《管理制度模板信息安全制度.docx》由会员分享,可在线阅读,更多相关《管理制度模板信息安全制度.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管控规章制度规章1 .目的信息是企事业机构存在和发展的重要基础。为规范企事业机构信息 管控,保障信息安全,明确信息安全管控的程序、职责、义务和权限, 特制定本规章制度规章。2 .职责2.1 网络管控员(委外):负责任依责任公司的系统安全规定和机构部门 或科室业务相关要求,对网络进行维护管控、计算机维护及故障处理等, 保证系统安全运行。2.2 系统管控员(安全员):负责任策划和制定责任公司信息安全策略、 监督安全规定的实施,提出改善相关要求,确保信息系统满足责任公司 业务安全相关要求。负责任加解密授权管控、用户申报、开通访问授权 和机房管控、数据备份。3 .定义与术语3.1 责任公司信息
2、分类:A.技术信息:生产产品图纸、制造技术、主要存在于技术部。B.质量信息:主要保存在质管部。C.商务信息:主要存在于采购部、经营部。D.财务信息:主要存在于财务部。E.人事信息:责任公司责任公司有关员工及为责任公司服务的特 殊技术人才信息资料。F.密码信息:个人登录、开机密码及IT管控员密码。G.内部运作其他信息:包括设备、基础设施、工程等信息资料。以上信息,根据信息秘密程度,分为可公开信息和保密信息。责任 公司任何责任公司有关员工均不可将责任公司保密信息(文件)以任何 方法方式传递、泄露给非授权人。a.公开信息:此类信息、文件可从责任公司公开渠道所获取,如责 任公司广告、网站中所涉及的责任
3、公司名称、公司地址、经营生产产品 等。b.秘密信息:不可从公开渠道所能获取的信息,如生产产品技术文 件,包括生产产品图纸、客户文件、工艺技术规范等;人事行政文件、 管控程序和规范、生产经营统计信息和其他记录、文件等。3.2 信息管控风险及危害3.2.1 来自企事业机构外的风险a.病毒和木马风险b.黑客攻击风险3.2.2 来自企事业机构内的风险a.文件外发传输,包括电子邮件、打印外发、公司传真等。b.存储设备的风险,通过移动存储介质将文件资料拷贝出责任公司, 包括带有保密信息的存储介质维修泄密,如相机、U盘、硬盘等维修。c.即时通讯,如QQ截图、FeiQ、MS LYNC网络飞鸽等。3.2.3 风
4、险行为a.上网行为风险。接收病毒邮件、访问不良网站传染病毒或安装插件,导致泄密或电脑系统的崩溃。b.用户密码风险。包括用户密码和管控员密码。密码泄漏可导致非授权人访问或篡改、窃取信息资料。c.办公/区域风险。在办公区域随意堆放保密文件、公开谈论工作有 关内容导致泄密。d.机房设备风险。主要包括服务器、UPS电源、网络交换机等。这 些风险来自防 盗、防雷、防火、防水。机房故障,可能会损坏机房设施, 造成业务中断。4 .信息安全措施4.1 上网行为管制根据各机构部门或科室涉及的信息需求,由责任公司保密主管相关 领导决定、责任公司信息技术管控员实施责任公司电脑上网授权,包括 允许访问网址、下载和安装
5、的软件。电脑使用有关员工不得自主下载、 安装非授权软件。各业务机构部门或科室若需要查阅资料和其他目的需要查看特定网 站或安装软件,需要由机构部门或科室主管审查、保密主管相关领导批 准,方可由网络管控员开通。4.2 文件外发管制需要拷贝责任公司的文件资料并带出责任公司时,需要经过授权人 批准,解密后方可带出。图纸、资料等技术质量类电子文件,如果需要外发,统一由解密权 限有关员工解密后再外发。其中,若给委外加工方的技术文件,应经责 任公司转换,并消除客户有关生产产品型号、编号等信息后方可外发。授权解密有关员工对自己的解密文件进行审查,并对解密行为负责任,符合外发相关要求后方可解密外发。4.3 计算
6、机应用软件安装与维护根据工作性质,责任公司统一规定允许安装的应用软件,并由系统 管控员统一安装。责任公司有关员工必须从共享于服务器中的应用软件 及升级版本安装,不得安装网络下载或其他渠道软件版本。必须而共享 软件中没有的,由计算机管控员负责任安装和升级。系统管控员负责任保证所安装软件的安全性。4.4 计算机设备安全管控4.4.1 采购、安装与维护:计算机及其他涉密数码生产产品采购、安装和使用,应通过网络管 控员审查、主管相关领导批准。任何人不得使用个人电脑、PAD、U盘等 接入责任公司网络。非网络管控有关员工(包括外来维修有关员工)不 得处置、维修责任公司电脑、硬盘和其他有涉密信息的数码生产产
7、品。 生产产品维修及报废处置应建立维修处置记录,相关有关员工签名存档。电脑初始安装由系统管控员负责任,必须安装规定的安全软件,以 保证电脑安全运行。计算机时钟设置:必须设置成与internet同步,操作有关员工不得 更改计算机日期和时间,以保证计算机文件信息的准确性。下班后所有不再使用的计算机,应关闭主机电源,以防止意外。发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人 如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。4.4.2 杀毒软件:统一由网络管控员安装杀毒软件,并负责任定期维护,包括升级以 及故障处理。用户使用的杀毒软件和防火墙已经设置好自动调度更新和 病毒库升级
8、,每日定时杀毒,使用者也应经常手动扫描杀毒。非管控员 不得修改防火墙和杀毒软件设置。4.4.3 信息资料备份涉及责任公司生产产品技术、质量和财务等保密信息的,应在数据 服务器中保存备份文件。网络管控员负责任服务器安全运行,并维护和定期备份服务器文件。责任公司有关员工离职时,须交回全部技术文件资料等保密文件, 并经机构部门或科室负责任人确认。机构部门或科室负责任人联系网络 管控员对该责任公司有关员工电脑进行保密检查,确保无泄密后签字或 盖章或盖章或签字或盖章认可。4.4.4 密码管控每个责任公司有关员工拥有一个责任公司内部计算机登录帐户和自 己的密码。使用者须妥善保管好自己的帐户和密码。帐户及密
9、码设置后 通知管控员备案。所有责任公司有关员工必须在所使用的计算机中设置 开机密码和屏幕保护密码。为了保护责任公司的信息资产,设置密码时 应注意:密码至少有6个字符长;密码必须包含以下任二部分:字母A-Z 或a-z,数字9,特殊字符,例如$,-等。责任公司有关员工密码每三个月至少更新一次。密码包括:开机密码、邮箱登录密码、ERP登录密码。USB Key管控:交由网络管控员锁到密码箱保存。任何人不得将此带出责任公司。4.5 机房管控参照信息系统安全等级保护基本相关要求GB/T22239-2008相关 要求,由人资与行政办负责任责任公司网络系统和计算机服务器(机房) 管控。建立计算机机房出入、操作登记。非授权人不得操作服务器。为保护计算机及网络系统安全,须满足以下相关要求:a.计算机房建筑接地电阻不大于4欧姆;b.温度不高于30度;湿度不大于70%;c.电源:配置稳压器和过压防护设备;d.设置访问用户权限,并及时删除废除用户;e.服务器数据备份,每周五下午进行备份。5 .记录与支持性文件5.1 加解密授权审批表5.2 计算机及其他数码生产产品登记表5.3 主机(服务器)操作登记表5.4 机房出入登记表5.5 授权加解密有关员工保密承诺书5.6 计算机初始配置相关要求5.7 硬盘及其他存储介质领用(维修)登记