第一章:前言
本标准规定了公司内外部各类信息的交流方式、使用及保管要求, 以及与信息安全管理的有关等内容。
本办法适用于公司内部各类信息的管理。
**第二章:**定义
第一条:信息:本标准中的信息特指本公司经营管理过程中产生的、以书面或电子文档、多媒体、数据系统等各种形式存在的各类图文、数据资料。
第二条:密级:根据信息内容对公司经营运作的安全重要程度及泄密风险而划分的保密等级,具体划分为绝密级、机密级和秘密级。
1.绝密级:对企业的经济利益或者生存与发展具有特别重大影响的,泄露后会使企业的利益遭受特别严重的损害。如新产品开发计划任务书、研究成果论文报告及总结、已申请专利但尚未公开的专利申请文件等。
2.机密级:对企业的经济利益或者生存与发展具有重大影响的,泄露后会使企业的利益遭受严重的损害。如产品设计评审报告、设计方案、内控技术质量标准、重要会议纪要、年度总结报告等。
3.秘密级:对企业的经济利益或者生存与发展具有较大影响的,泄露后会使企业的利益遭受损失。如技术图纸与文件、技术通知、合同与技术协议、一般会议纪要、尚未公开的各类信息、员工人事档案、合同、协议、员工工资信息等。
**第三章:**职责
第一条:各单位负责正确传递、使用和管理与本单位工作相关的信息,并对本单位接收或内部产生的各类信息的安全管理负责。
第二条:各单位负责做好本单位的信息安全教育工作;单位领导是本单位信息安全的第一责任人;各单位要明确一名信息安全管理员,负责本单位的各类信息安全的管理工作。
第三条:各类数据服务器及其配备的存储介质(包括硬盘、磁带等)原则上统一由行政部信息网络科负责保管、备份和维护,特殊情况下需要由使用单位自行保管和维护的,需报公司主管领导批准。
第四条:行政部为公司信息安全管理的常务机构,对公司总体信息安全负责。
1.负责根据备份策略对公司服务器文件和数据库进行备份,用户负责对本人计算机上重要文件进行备份。
2.负责组织相关单位人员不定期检查公司信息安全工作。
3.负责每半年组织对公司创建的各类信息进行清理。
4.对新增的信息进行密级甄别,确定信息密级及涉密人员等。
5.负责信息安全事件的调查、处理和考核。
6.负责公司《信息安全责任书》的组织签订工作。
第五条:公司全体员工有保守公司秘密的职责和义务。
**第四章:**信息传递与处理
第一条:相关单位间进行各方面的工作联系,可以通过书面通知、邮件、电话、各类信息管理系统等方式进行沟通。
第二条:主要信息的分类、负责单位及处理要求
第三条:环安管理方案的完成情况、环安监测结果及其他规定事项的信息按相关程序进行。
第四条:管理方针、目标、指标、重要环安因素、法律法规要求以及内部审核结果和管理评审内容的传达,按《文件控制程序》的规定进行。
第五条:行政部负责协调、处理各类信息沟通过程中出现的异常问题,问题重大时可报管理者代表和相关领导,或召开专门会议解决。
第六条:以各类报告、通知等文件形式反映的生产过程突发产品质量和环境及职安问题,应报行政部备案,相关责任单位明确处理办法并记录处理过程, 由业务主管部门跟进核实后分类归档。
**第五章:**供方的投诉及处理
第一条:凡为本公司提供产品及服务的供方在业务过程中遇到问题,在沟通无效及可能受到相关业务单位人员打击报复的情况下,可向质量部进行投诉。对涉及廉政建设方面的投诉由质量部转财务部负责处理。
第二条:投诉的内容可包括:对供方的评级、考核、供货量分配,是否给供方统一、明确的技术、质量要求,是否对供方产品正确地检查判定,对货物的装卸,对本公司工作人员的服务及其它等。
第三条:凡需投诉的单位可以以书面、电话等形式进行投诉,并提供相应的资料和证据等,做到清楚明了,有理有据,不可凭空捏造事实。
第四条:投诉处理单位收到投诉后按签收日算起十个工作日内必须给予供方书面答复并妥善处理且应尽量保证投诉单位的合法权利,如因调查取证困难或处理较麻烦,一时不能妥善处理的,也应在答复中给出预计处理完该事件的时间,便于投诉人的跟踪。
第五条:投诉单位收到投诉处理单位的书面答复和处理方案或结果后,如有不清楚或不妥善之处可与投诉处理单位进行沟通。如不满意可直接向本公司高层领导反馈情况。
**第六章:**外部环境与职安信息交流与处理
第一条:来自环境与职安主管部门和周围社区的要求和投诉、法律法规及其他要求的变更等信息,由行政部负责收集、分析与整理。
第二条:责任部门在确认事态并调查原因后,应实施相应的对策进行改善。并将对策的实施情况反馈给行政部,经公司高层确认后,由行政部对外做出必要的回应。
**第七章:**主要的信息管理系统(包括但不限于)
注:以上管理系统的信息发放范围、使用及编辑权限等的具体审批工作由行政部信息网络科负责。
**第八章:**信息传播管理规定
第一条:公司禁止员工在内部网络上制作、传播如下信息:
1.煽动颠覆国家政权,推翻社会主义制度的;
2.煽动抗拒、破坏国家宪法和法律、行政法规实施的;
3.煽动分裂国家、破坏国家统一的;
4.损害国家机关信誉的;
5.煽动民族仇恨、民族歧视,破坏民族团结的;
6.捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
7.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
8.任何非法的、骚扰性、中伤他人的、辱骂性的、恐吓性的、伤害性的、挑衅的、庸俗的、淫秽等内容的;
9.个人广告及盈利性信息、与工作无关的信息;
10.损害公司形象和声誉的。
第二条:双方在工作中出现争议内容时,应通过正常方式向上级领导或相关职能部门反馈,禁止在内部网络上发布各种攻击性、煽动性、误导性言论。
第三条:用于工作沟通的电子邮件,应在确定小范围人员内部传递,避免大范围反复抄送各级领导和非直接相关人员;除在单位领导批准下发出的正常工作邮件外,禁止个人在公司内群发邮件。
**第九章:**信息的安全管理
第一条:各单位需每半年对本单位创建的各类信息进行清理,对新增的信息进行密级甄别,确定信息密级及涉密人员等,报行政部审批,备案。
第二条:电子文档的信息安全管理
1.各单位产生的信息要按照公司统一的规范名称命名,发放时信息的首页要有注明密级的显性标志。
2.电子信息标题需加注密级及保密期限,标识方法为信息名称后加密级“▲”保密期限,如:秘密文件保密期限为3年,则标识为:信息名称【秘密▲3年】。
3.各类信息要尽量缩小发放范围。
按照已定义清楚的密级、发放范围进行管理。没有工作需求的信息不要随意发放,不涉及的人员不要发放。
4.对于新产生的信息,产生单位先自行定义密级,确定涉密人员、发放范围、信息流通环节、管理措施,填写《涉密信息申报审批表》,报行政部审核,公司分管领导审批后由行政部备案。
第三条:涉密信息的安全管理
1.经识别后的所有绝密信息一律不得通过内部电子邮件在公司内进行传递。
2.绝密信息不得存入个人电脑,必须指定专人专门电脑保存;绝密的纸质文件不得个人保管,必须存入各单位档案室归档管理。
3.涉密信息若确需拷贝,必须经单位领导、公司高层审批后在行政部备案后方可拷贝。
4.需对外维修计算机硬盘或其它存储设备的,行政部信息网络科要定点并与维修商家签订保密协议;涉及报废的,须对涉密信息进行不可恢复性处理。
5.个人笔记本电脑(公司高层除外)带入公司需先在行政部信息网络科备案,出厂时门卫复核。
第四条:各级员工的信息使用权限
1.公司高层:可授权使用公司所有信息和外单位信息发放范围内指定的信息。
2.各单位领导:可授权使用本单位所产生的所有信息。
3.行政部领导负责新增电子信息管理传输系统审批:审批内容包括系统内管理、传输的信息密级,信息发放范围、使用及编辑权限等。
4.行政部计算机维护人员在远程维护计算机时须事先与该计算机使用者电话沟通,并实行用户密码确认后方可进入到该计算机进行维护。
**第十章:**纸质媒介信息安全的管理
第一条:管理标准上没有特别需要将涉密电子文件导成纸质文件的原则上不允许出纸质文件。如因会议讨论等打印出的涉密文件由会议组织单位根据需要确定打印份数,会议期间登记发放,不再使用的回收销毁。会议结束后会议室白板上的信息必须及时清除,会议中产生的各种记录不得遗留在会议室。如因起草、修改或其他工作需要打印出的涉密文件,要妥善保存,不再使用的按《记录控制程序》中要求回收销毁。
第二条:绝密级的纸质文件查阅必须由公司高层审批。机密级的纸质文件查阅必须由单位领导审批。秘密级的纸质文件查阅必须由职能科室科长审批。查阅涉密文件须填写《涉密信息查阅审批表》,绝密纸质文件只能在档案室查阅,其它涉密文件必须在规定的场所查阅。
第三条:所有纸质文件必须在封面或首页的左上角标标明密级和保密期限,在末页注明阅读范围和印制份数,有附件的还应在附件的左上角注明密级和期限。
第四条:涉密纸质文件的标识方法为“▲”,“▲”前标密级,“▲”后标保密期限。如:秘密文件保密期限为3年,则标识为:秘密▲3年(黑体 三号字)。涉密文件保密期限完后自然解密。
第五条:涉密纸质文件或其它有保密要求的物件有外包装的还应该在外包装上标明密级和期限。
第六条:涉密的纸质文件必须严格按照批准的份数印制,发文单位不得多留多印。印完以后应及时销毁文件清样、废页、废件,不得任其丢失。涉密文件原则上不得复制、摘抄,若因工作需要复制的,必须严格走审批手续。
第七条:收发、分送、复制、摘抄、保存、销毁,实行严格的登记签收制度。若收件人不在,发件人应将材料收回,不得随意丢放在桌面。各纸质文件应妥善保管,管理不当出现丢失的,追究直接责任人责任。
第八条:实行定期清查、清退、归档制度。涉密文件使用完毕后各单位应及时清理、收回文件,核清份数,造册登记。
第九条:各涉密资料柜必须上锁。
**第十一章:**打印机、复印机、传真机管理规定
第一条:各单位打印机、复印机、传真机均需明确专人负责,在机器上要贴上责任人的名字。打印、复印废的涉密文件要立即销毁,打印、复印、传真机旁不允许出现废弃的涉密文件。
第二条:利用传真机传出涉密文件要由有批准权限的领导签字(岗位例行工作的除外)。传真机管理员收到传真件后要交本单位信息安全员鉴定密级。
第三条:打印机实行权限控制,各单位打印机的打印权限申请或调整需求均需填写《打印权限申请表》,经部门领导审核、分管公司高层批准后由行政部开通。
**第十二章:**涉外活动应遵守的规定
第一条:在对外交往和合作中,需要提供公司秘密事项的,需事先报公司分管领导批准。
第二条:接待外来人员参观访问,向外来人员介绍情况时不得涉及公司机密。实验室、监控室、外检、各资料室等涉密场所未经批准不得带人参观。
**第十三章:**属于公司秘密内容的会议和其他活动,主办单位应采取下列措施:
第一条:选择具备保密条件的会议场所。
第二条:根据需要,限定并指定参加会议的人员。
第三条:依据保密规定使用会议设备(如不得使用无线麦克风等),管理会议文件。
第四条:确定会议内容是否传达,以及传达范围。
**第十四章:**如因工作需要登陆外部网查阅资料的必须在公司指定的电脑上网,通过外部网络邮箱接收到的疑似有问题或来历不明的邮件或附件时,应直接予以删除,切忌打开附件及回复、转发类似邮件。
**第十五章:**公司的信息存储形式包括各单位内部纸质文件,以及由各单位自行负责保管的存储数据用的各类移动存储工具等,需入柜上锁管理,杜绝携带出工作场所,同时,各单位资料室必须上锁,与之无关人员不能随便进出。
**第十六章:**各单位要明确一名信息安全管理员,负责本单位的各类信息安全的管理工作,信息安全管理员名单由行政部存档备案。
**第十七章:**各类密级保密期限
一般情况下,各类涉密信息的保密期限按此表设定,有特殊需要的,可突破保密期限的上限,但必须明确标明具体期限。任何情况下保密期限不得低于下表要求。
**第十八章:**文档加密使用、管理
第一条:管理职责
1.各部门负责本部门人员文档密级权限的申请,对本部门的文档安全管理工作进行监督、管理和控制:
-
负责对内部人员提出的需要解密的文档按解密流程办理解密。解密审批流程:绝密信息解密需要公司高层审批。机密和秘密信息解密需要部门领导或其授权人审批;
-
负责对文档进行解密后发送给指定接收者;
-
负责本部门人员的密级申请、密级调整等工作。
2.行政部负责制定并执行电子文档安全管理的技术方案,监督电子文档保密工作的实施情况,根据实际需要不断研究和改进技术方案。
第二条:文档密级
1.指用户计算机文档产生时所属的密级,或者经调整后文档所属的密级。
2.密级分类:绝密级、机密级、秘密级
第三条:加密电子文档的基本管理要求
1.文档实行分级管理。
2.文档加密方式:加密系统对用户新建、打开的文档自动加密。
第四条:文档密级调整和授权操作
1.所创建的文档需在全公司范围内共享,则需将文档密级调整到“默认等级”。
2.如创建人发出的文档经本部门领导或信息安全管理员审核后认为原密级较低,则需将文档调整到较高密级后再予以发出。
3.对于具有较高密级的岗位用户需向低密级用户发送文档且文档需进行保密时,高密级用户可根据需要设置相应的文档密级,同时对文档进行授权设置,向指定的低密级用户授权使用文档。
第五条:加密文档的流转
1.加密文档在公司内部传递的安全管理策略
2.外发文档管理
1)外发文档包管理:外发文档包是一种特殊格式的文档包,用户可将若干个的加密文档打包成可以自运行的文件发给公司外人员使用。操作时需注意以下要求:
a) 对外发文档包设定使用期限、打开次数。
b)需根据安全策略需要限制文档接收方对外发文档的使用权限。
c)设定文档密码或激活码,并提供给文档接收方。
2)邮件外发文档:主要是针对向外定期发送的文档,通过邮件的形式外发,外发后自动解密。
3)外发前需通过文档外发解密系统申请解密《外发邮件解密权限申请表》:
a) 机密、秘密及一般文件经部门信息安全第一负责人审核解密后发行政部外发;
b) 绝密文件原则上不允许外发,若确因工作需要外发的,需以邮件形式报公司高层审批并解密后发行政部外发。
4)所有外发邮件必须注明发件主题、发件部门、发件人,发件主题必须与内容相符。
5)所有的外发文档总部服务器将记录用户的发送记录,作为文档泄密追查的依据。
**第十九章:**检查与考核
行政部负责不定期组织各相关单位抽查信息安全工作,考核依据《综合监督考核管理办法》。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
