信息安全管理制度
第一条 总则
为保证公司信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二条 电脑设备管理
(一)各部门对该部门的每台计算机应指定保管人,保管人对计算机软、硬件有使用、保管责任。
(二)计算机设备不使用时,应关掉设备的电源。每台计算机应设置自动锁屏密码, 人员暂离岗时,应锁定计算机。员工下班离开时应及时关闭电脑电源。
(三)计算机为公司资产,不得私用,转让借出;除笔记本外,其他设备严禁无故带出办公生产工作场所。
(四)计算机设备老化、性能落后、故障或异常情况(包括气味、冒烟)时,应当立即关闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。
(五)员工入职时,由综合部根据其职位分配相应的计算机。
(六)员工离职时,综合部应及时取消其所有 IT 资源使用权限, 回收其电脑。
第三条 软件系统管理
(一)公司的系统和软件的安装由综合部统一安排,任何人不得擅自对软件和系统做更改或删除,如有违反将给予处罚。
(二)公司台式机电脑及笔记本电脑的操作系统由网络管理员(以下简称网管)统一安装。
(三)公司应用软件的安装,网管将根据各岗位的工作需求进行安装。
例如:WPS 办公自动化软件、PHOTOSHOP 图形处理软件、企业 QQ 软件、杀毒软件,并升级成最新版本。
(四)未经允许,员工不得在网上下载软件、音乐、电影等,对于工作以外的应用软件,均不予安装。
(六)公司邮箱账号必须由本账号员工使用,使用电子邮件时,附件都应用安全软件查杀后确认无毒再打开,禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件,禁止将涉及公司秘密的内部邮件转发到互联网上,如造成公司损失或名誉影响, 公司将追究其个人责任。
(七)各部门软件分配使用后,保管人或使用人职务变动或离职时,应按照人事部门流程移交其保管或使用之软硬件,并办理交接,由综合部网络管理员对其软件使用权进行调整。
第四条 对于信息安全公司存在的风险
(一)来自公司外的风险
- 病毒和木马风险。互联网上不同类型的病毒和木马,在感染公司用户电脑后,会篡改电脑系统文件、使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件, 重则泄露机密信息。
- 不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,如果是综合部、结算部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成重要数据被拷贝泄露、财务网银密码被窃取。还可能使服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
(二)来自公司内的风险
- 文件的传输风险。员工将公司重要文件以 QQ、微信等方式发送至外网,将可能造成公司信息资源的外泄、危害公司生存发展。
- 存储设备的风险。员工通过 U 盘或移动硬盘等存储介质将文件资料拷贝出公司, 或员工私自拆开电脑机箱,将硬盘偷偷带出公司,可能造成公司信息外泄。
- 上网行为风险。员工在电脑上访问不良网站,造成电脑及公司网络的破坏,导致
计算机系统崩溃。
- 用户密码风险。主要包括用户密码和管理员密码。用户的开机密码、业务系统登陆密码被他人掌握,此用户权限内的信息资料和业务数据被窃取;管理员密码被不法分子窃取,破坏应用系统的正常运行。
- 机房设备风险。主要包括服务器、UPS 电源、网络交换机、电话交换机、光端机等。这些风险来自自然灾害导致的机房设施损坏及业务中断。
第五条 信息安全防范措施
(一)计算机设备安全管理
- 公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
- 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向综合部报告,不允许私自处理和维修。
- 发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业、保管不当、擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务,任何的硬件损坏必须给出损坏报告,说明损坏原因, 不得擅自更换。公司会视实际情况进行处理。
- 下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。
(二)人员管理
1.人员管理
为了规范员工入职管理,需要制定员工的入职流程,具体的员工入职流程适用人力资源部制定的相应流程。同时,员工办理入职申请经人力资源部和人员所属部门同意后,才能为入职员工开通该岗位所涉及系统(包括:应用系统、数据库系统、主机操作系统、硬件系统等)访问账号的权限。
2.员工需要签署《保密责任书》,《保密责任书》应包括保密期限、保密范围、保密
的权利义务、违约责任等方面内容。
3.员工对信息资源访问必须提交部门主管审批,得到授权后才能访问。
4.拥有信息资源访问权的每一个人员都必须接受应急程序培训,并且必须签署相应的访问和不泄密协议。
(三)访客管理
1.前台应及时登记访客信息(填写《公司访客登记表》),在确认相关信息后,根据到访事由,礼貌安排访客进入。
2.与公司有往来业务的企业或个人来访,如有预约,一楼前台应致电部门受访人,并通知其至前台将来访者引领至接待区域,如无预约,前台应致电部门受访人,如受访人拒绝接待,前台应委婉告知。如果被访员工不在公司或不方便马上接见,可由其决定是否安排他人代为接见或请来访者等候。访客可在休息区等侯,原则上不可自行进入办公区域。
3.接待人员应热情礼貌的接待每位访客,其仪表、行为应严格遵照《员工守则》执行,维护公司整体形象。
4.遇到突发事件,应镇定灵活的快速处理问题或通知相关事务负责人,避免出现来访者大声喧哗、随意走动、扰乱办公现象。
5.原则上一般访客应自行填写访客登记卡,前台人员在保证能够如实填写访客登记表单的情况下,可改由受访人、接待人代为填写。
6.重要被邀访客的登记,可由公司邀请部门直接填写。
7除公司指定提供服务的快递公司人员可进入办公区域取送邮件外,其他快递人员不
可进入办公区域。邮件一律送到前台处,由前台接待员签收后通知或交由本人领取。
(四)办公环境管理
1.日常工作中,对于敏感数据文档,不能存放于电脑桌面。
2.员工应设置屏保密码,离开工位时应将计算机锁屏。
3.员工离开工位后办公桌面上不能放有密级文档;密级文档应放在保密柜内。
4.员工应妥善保管好归属个人或由个人代管的贵重物品,下班后必须把贵重物品存放在带锁的柜子内。
5.己作废的密级文件应及时用碎纸机销毁,不得随意丢弃。
6.不应该将任何敏感资料放置在移动计算机和存储介质上。
7.严禁在未得管理员允许的情况下传送密级文件。
8.应及时取走打印机、复印机、传真机上的个人文件。
9.会议结束后,应及时擦除残留在白板上的信息。
(五)清洁桌面及清屏策略
1.含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应锁入文件柜、保险柜等。
2.所有计算机终端必须设立登录口令,在人员离开时应该锁屏、注销或关机。
3.在结束工作时,必须关闭所有计算机终端,并且将个人桌面上所有记录有敏感信息的介质锁入文件柜。
4.应清洁电脑屏幕,确保不放置重要信息在电脑桌面上。
5.计算机终端应设置屏幕密码保护,屏保时间不大于3分钟;传真机由使用部i门负责管理,并落实责任人。
6.打印或复印公司机密信息时,打印或复印设备现场应有可靠人员,打印或复印完毕即从设备拿走。
(六)运输中物理介质安全策略
1.物理介质是信息资源的载体,在运送过程中必须对其安全进行管理。建立该方针是为了确保包含信息的介质在组织的物理边界以外运送时,防止未授权的访问、不当的使用或毁坏。
2.保障物理介质在运输中的信息安全,保障所存储信息的可能性、完整性和保密。
3.应考虑下列方针以保护不同地点间传输的信息介质:
- 应使可靠自的运输单位或人
- 令授权的送信人歹列表应经管理者批准
- 令包装要足以保护信息免遭在运输期间可能出现的任何物理损坏,并且符合制造商的规范(例如软件),例如防止可能减少介质恢复效力的任何环境因素,例如暴露于过热、潮湿或电磁区域
- 若需要,应采取专门的控制,以保护敏感信息免遭未授权泄露或修改
例子包括:
- 使用可上锁的容器
- 手工交付
- 令防篡改的包装(它可以揭示任何想获得访问的企图)
- 在异常情况下,把托运货物分解成多次交付,并且通过不同的路线发送。
(七)访问控制策略
1.公司内部可公开的信息不作特别限定.允许所有用户访问
2.公司内部部分公开信息.根据业务需求访问.访问人员提申请.经访问授权管理部门认可.访问授权实施部门实施后用户方可访问。
3.公司网络、信息系统根据业务需求访问.访问人员提出申请.经信息安全小组认可.实施后用户方可访问。
4.信息安全小组安全管理员按规定周期对访问授权进行检查和评审
5.访问权限应及时撤销.如在申请访问时限结束时、员工聘用期限结束时、第三方服务协议中止时
6.用户不得访问或尝试访问未经授权的网络、系统、文件和服务;远程用户应该通过公司批准的连接方式
7.在防火墙内部连接内部网络的计算机不允许连接工NTERNET,除非获得信息安全小组的批准
8.用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件》等
9.在信息网、外联网安装新的服务〈包括软件和硬件)必须获得信息安全小组的批准
10.用户不得私自撤除或更换网络设备
第六条 网络管理
(一)公司员工所用的电脑,由网管统一安排连接网络,未经网管许可,不得自行连接。
(二)公司联网电脑原则上专人专用,未经许可,不得使用他人电脑。
(三)公司人员工作变更或办公地点变更时,应及时告知网管,以便网管工作。第七条 网络信息安全管理
(一)所有工作人员,必须遵守公司的有关规定,严格执行安全保密制度,禁止在
工作时间内做与工作无关的事情,由此引起的一切责任由当事人全权承担。
(二)任何人不得破坏、盗用电脑网络中的信息资源,不得从事危害电脑网络安全活动;严禁故意制作、传播电脑病毒等破坏性程序。
(三)禁止工作时间使用公司电脑玩游戏、听音乐、看娱乐性视频、使用微博、使用 QQ 或类似聊天软件进行非工作性质聊天。
(四)未经允许,禁止对电脑信息网络功能进行删除、修改或者增加。
(五)未经允许,禁止对电脑信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加,进行其他黑客活动。
(六)未经允许,禁止擅自使用非法手段开通 USB 权限拷贝资料。
(七)使用云盘软件上传、下载数据需要提交申请,待审批同意后方可使用。
(八)新员工入职,在获得自己的办公平台的账户和密码后,应立即更改自己的密码,如果因为没有更改密码而造成办公平台账户被他人盗用的情况,后果将由员工本人负责。
(九)公司电脑的 IP 地址由网络管理员统一规划分配,员工不得擅自更改其 IP 地址。
(十)员工有责任预防邮件病毒的传播,员工的电脑必须安装公司指定的杀毒软件, 并启用杀毒软件的邮件防火墙功能。
(十一)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
(十二)不得利用公司计算机网络从事危害国家安全及其他法律文明禁止的活动, 不得访问不明网站的内容,以避免恶意网络共计和病毒的侵扰。
第八条 密码与权限管理
(一)密码设置应具有安全性、保密性,不能使用简单的代码和标记。OA 账户及密码由综合部设置后通知员工,员工及时修改密码后牢记。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意: 密码至少有 8 个字符长;密码必须包含以下任一部分:字母 A-Z 或 a-z,数字 0-9,特殊字符,例如 $ ,-等。
(二)密码应定期修改,每月 1 日应当更改自己的电脑登录密码。如发现或怀疑密码遗失或泄漏应立即修改,并在相应的登记簿记录用户名、修改时间、修改人等内容。
(三)服务器、路由器等重要设备的超级用户密码由综合部网络管理员设置和管理。
(四)有关密码授权工作人员调离岗位,有关部门负责人必须指定专人接替并对密码立即修改或用户删除。
第九条 病毒防护管理
(一)公司为员工配备的电脑以及员工所负责的服务器必须安装防病毒软件,并遵循综合部网络管理员指定的计算机病毒防护标准。公司电脑的杀毒软件升级由电脑使用人自行负责,要求每周至少进行一次系统病毒查杀。办公平台的病毒防治由综合部网络管理员负责。
(二)任何人不得在公司的网络上制造、传播计算机病毒,不得故意引人病毒,网络使用者发现病毒应立即向管理部网络管理员报告并及时处理。
第十条 备份与恢复
(一)备份工作应由综合部安排备份管理人员和备份数据保管人员,备份管理人员负责实施备份、恢复操作和登记工作,备份数据保管人员负责备份介质的取放、更换,其他人员未经批准不得操作。
(二)存放备份数据的介质必须具有明确的标识。每日对系统数据进行备份,备份数据必须保存在两份介质中,一份本地存放,一份异地存放;异地的备份介质存放场所必须满足防火、防水、防潮、防磁、防盗等要求,无论存放在本地还是异地,必须确保存放场所的安全,经综合部负责人批准后实施,只有授权人员才可以访问。
(三)需要恢复备份数据时,应由需求部门提交申请,内容包括数据内容、恢复原
因、回复数据来源、计划恢复时间、恢复方案等,由需求部门以及信息技术部门相关负责人审批后由备份管理员负责实施。
(四)灾害信息安全策略
- 网络系统核心设备或主干网络线路发生故障,或因服务器软硬件故障、黑客、病毒攻击,公司主要的应用系统停止服务、系统瘫痪或遭受灾害等特殊情况时,信息化职能部门应及时组织力量解决突发事故,恢复信息系统正常运行。
- 突发事故发生后,信息化职能部门需及时通知相关领导和其他负责人并尽快对软、硬件损失做出评估,以为恢复系统数据做好充分准备。
(五)信息数据的恢复
当公司因灾害而导致软、硬件损失或数据丢失后,综合部门应在完成损失评估后,根据公司恢复生产的统一安排下使用备份数据进行系统恢复,以把公司受灾害的生产影响降到最低。
第十一条 数据安全管理
(一)禁止泄露、外借和转移公司及客户数据信息,因此造成经济损失的将追究法
律责任。
(二)各部门对电脑内的重要数据应根据具体情况做备份,确保系统一旦发生故障时能够快速恢复。
(三)业务数据必须定期、完整、真实、准确地备份。
扫一扫
432
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
