公司保密管理制度及信息安全管理規(guī)定.doc

公司保密管理制度及信息安全管理規(guī)定 公司保密管理制度及信息安全管理規(guī)定 一、總則（一）為保守公司秘密，維護公司的合法權益不受侵犯，保證公司正常經營管理秩序特制定本制度。 （二）公司秘密是關系公司權利和權益，依照特定程序確定，在一定時間內只限一定范圍的人員知悉的事項。 （三）公司所屬組織和分支機構以及全體員工都有保守公司秘密的義務。 （四）公司保密工作，實行既確保秘密又便利工作的方針。 （五）對保守，保護公司秘密以及改進保密技術，措施等方面成績顯著的部門或職員實行獎勵。 二、保密范圍和密級確定（一）公司秘密包括本制度第二條規(guī)定的下列秘密事項 二、保密范圍和密級確定（一）公司秘密包括本制度第二條規(guī)定的下列秘密事項 1、公司重大決策中的秘密事項； 2、公司尚未付諸實施的經營戰(zhàn)略，經營方向，經營規(guī)劃，經營項目及經營決策； 3、公司內部掌握的合同，協議，意向書及可行性報告，重要會議記錄； 4、公司財務預，決算報告及各類財務報表，統計報表； 5、公司所掌握的尚未進入市場或尚未公開的各類信息； 6、公司員工人事檔案，薪資待遇，勞務性收入及資料； 7、其他經公司確定為應保密的事項。 一般性決定，決策，通告，行政管理資料等內部文件不屬于保密范圍。 （二）公司機密分為絕密，機密，秘密三個等級。 1、絕密是最主要的公司秘密，一旦泄露會對公司的權益造成特別嚴重的損害。 2、機密的主要的公司秘密，一旦泄露會對公司的權益造成嚴懲嚴重的損害。 3、秘密是一般的公司秘密，泄露會對公司的權益造成損害。 （三）公司秘級的確定 1、公司經營發(fā)展中，直接影響公司權益的重要決策文件資料為絕秘級 2、公司規(guī)劃，財務報表，統計資料，重要會議記錄，公司經營情況為機密級 3、公司人事檔案,合同,協議,員工工資性收入,尚未進入市場或尚未公開的各類信息為秘密級； 4、屬公司秘密事項但不能標明密級的,通過口頭通知,傳達接觸范圍的人員。 5、屬于公司秘密的文件,資料,應當依據本制度 (二)（三）公司機密確定等級分類公司機密確定等級分類之規(guī)定標明密級,并確定保密期限,保密期限屆滿,自行解密。 三、常規(guī)保密措施（一） 三、常規(guī)保密措施（一）屬于公司秘密的文件,資料和其他物品的制作、收發(fā)、傳遞、使用、復制、摘抄、保存和銷毀,由公司行政部或主管副總經理委托專人執(zhí)行；采用電腦技術存取、處理、傳遞的公司秘密由電腦使用者負責保密。 （二）對于密級的文件,資料和其他物品,必須采取以下保密措施 1、非經總經理或副總經理及特別授權人員批準,不得復制和摘抄。 2、收發(fā),傳遞和外出攜帶,由指定人員負責,并采取必要的安全措施，在設備完善的保險裝置中保存。 （三）屬于公司秘密的設備或商業(yè)機密，由公司指定的專門部門負責，并采取相應的保密措施。 （四）在對外交往與合作中需要提供公司秘密事項的,應當事先經總經理批準。 （五）具有屬于公司秘密內容的會議和其他活動,主辦方應采取下列保密措施 1、選擇具備保密條件的會議場所； 2、根據工作需要,限定參加會議人員的范圍,對參加涉及密級事項會議的人員予以指定； 3、依照保密規(guī)定使用會議設備,管理會議文件； 4、確定會議內容是否傳達及傳達范圍。 （六）不準在私人書信和通訊中泄露公司秘密，不準在公共場所談論公司秘密,不準通過其他方式傳遞公司秘密。 （七）公司員工發(fā)現公司秘密已經泄露時,應當立即采取補救措施并及時報告總經理或相關領導,由其及時作出處理。 四、信息安全管理規(guī)定為保守秘密，防止泄密問題的發(fā)生，根據中華人民共和國保守國家秘密法和計算機信息系統保密管理暫行規(guī)定和計算機信息系統國際聯網保密管理規(guī)定，結合本單位實際，制定本制度。 （一）計算機網絡信息安全保密管理規(guī)定 1、為防止病毒造成嚴重后果，對外來光盤、軟件要嚴格管理，堅決不允許外來光盤、軟件在公網計算機上使用。 2、接入公網的計算機嚴禁將計算機設定為網絡共享，嚴禁將機內文件設定為網絡共享文件。 3、為防止黑客攻擊和網絡病毒的侵襲，接入公網的計算機一律安裝殺毒軟件，并要定時對殺毒軟件進行升級。 4、禁止將保密文件存放在網絡硬盤上。 5、禁止將涉密辦公計算機擅自聯接互聯網。 6、涉密計算機嚴禁直接或間接連接互聯網和其他公共信息網絡，必須實行物理隔離。 7、要堅持“誰上網，誰負責”的原則，各部門要有一名領導負責此項工作，信息上網必須經過主管領導嚴格審查，并經主管領導批準。 8、互聯網必須與涉密計算機系統實行物理隔離。 9、在與互聯網相連的信息設備上不得存儲、處理和傳輸任何涉密信息。 10、應加強對上網人員的保密意識教育，提高上網人員保密觀念，增強防范意識，自覺執(zhí)行保密規(guī)定。 （二）涉密存儲介質保密管理規(guī)定 1、涉密存儲介質是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等。 2、存有涉密信息的存儲介質不得接入或安裝在非涉密計算機或低密級的計算機上，不得轉借他人，存放在本單位指定的密碼柜中。 3、需歸檔的涉密存儲介質，因及時歸檔。 4、各部門負責管理其使用的各類涉密存儲介質，應當根據有關規(guī)定確定密級及保密期限，并視同紙制文件，按相應密級的文件進行分密級管理，嚴格借閱、使用、保管及銷毀制度。 借閱、復制、傳遞和清退等必須嚴格履行手續(xù)，不能降低密級使用。 5、涉密存儲介質的維修應保證信息不被泄露，由各涉密部門負責人負責。 需外送維修的，要經領導批準，到指定的維修點維修。 6、不再使用的涉密存儲介質應由使用者提出報告，由所領導批準后，交保密辦公室負責銷毀。 （三）計算機維修維護管理規(guī)定 1、涉密計算機和存儲介質發(fā)生故障時，應當向所本部門領導提出維修申請，經批準后到指定維修地點修理，一般應當由本公司內部維修人員實施，須由外部人員到現場維修時，整個過程應當由有關人員全程旁站陪同，禁止外來維修人員讀取和復制被維修設備中的涉密信息，維修后應當進行保密檢查。 2、凡需外送修理的涉密設備，必須主管領導批準，并將涉密信息進行不可恢復性刪除處理后方可實施。 3、高密級設備調換到低密級單位使用，要進行降密處理，并做好相應的設備轉移和降密記錄。 4、由公司主管領導指定專人負責辦公室計算機軟件的安裝和設備的維護維修工作，嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。 （四）用戶密碼安全保密管理規(guī)定 1、用戶密碼管理的范圍是指辦公室所有涉密計算機所使用的密碼。 2、機密級涉密計算機的密碼管理由涉密科室負責人負責，秘密級涉密計算機的密碼管理由使用人負責。 3、密碼必須由數字、字符和特殊字符組成，秘密級計算機設置的密碼長度不能少于8個字符，機密級計算機設置的密碼長度不得少于10個字符，密碼更換周期不得超過60天。 4、秘密級計算機設置的用戶密碼由使用人自行保存，嚴禁將自用密碼轉告他人；若工作需要必須轉告，應請示所保密委員會負責人認可。 （五）涉密電子文件保密管理規(guī)定 1、涉密電子文件是指在計算機系統中生成、存儲、處理的機密、秘密和內部的文件、圖紙、程序、數據、聲像資料等。 2、電子文件必須定期、完整、真實、準確地存儲到不可更改的介質上，并集中保存，然后從計算機上徹底刪除。 3、各涉密部門自用信息資料由本部門管理員定期做好備份，備份介質必須標明備份日期、備份內容以及相應密級，嚴格控制知悉此備份的人數，做好登記后進保密柜保存。 4、各部門要對備份電子文件進行規(guī)范的登記管理，備份可采用磁盤、光盤、移動硬盤、U盤等存儲介質。 5、涉密文件和資料的備份應嚴加控制。 未經許可嚴禁私自復制、轉儲和借閱。 對存儲涉密信息的磁介質應當根據有關規(guī)定確定密級及保密期限，并視同紙制文件，分密級管理，嚴格借閱、使用、保管及銷毀制度。 6、備份文件和資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施，并進行異地備份。 （六）涉密計算機系統病毒防治管理規(guī)定 1、涉密計算機必須安裝經過國家安全保密部門許可的查、殺病毒軟件。 2、每周升級和查、殺計算機病毒軟件的病毒樣本。 確保病毒樣本始終處于最新版本，同時將升級記錄登記備案。 3、絕對禁止涉密計算機在線升級防病毒軟件病毒庫，同時對離線升級包的進行登記。 4、涉密計算機應限制信息入口，如軟盤、光盤、U盤、移動硬盤等的使用。 5、對必須使用的外來介質（磁盤、光盤，U盤、移動硬盤等），必須先進行計算機病毒的查、殺處理，然后才可使用。 6、對于因未經許可而擅自使用外來介質導致嚴重后果的，要嚴格追究相關人員的責任。 （七）上網發(fā)布信息保密規(guī)定 1、上網信息的保密管理