信息安全管理制度

信息安全管理規(guī)定 1目的 在遵循集團計算機信息安全管理制度原則基礎(chǔ)上，為確保公司網(wǎng)絡(luò)平臺、信息系統(tǒng)的正常運行及信息系統(tǒng)中的信息數(shù)據(jù)安全，防止泄密，針對公司實際情況，制定本管理規(guī)定。2范圍 本辦法適用于公司全體員工。3術(shù)語定義 3.1計算機信息：是指存儲在計算機相關(guān)設(shè)備上的應(yīng)用系統(tǒng)（軟件）、數(shù)據(jù)、文檔、圖紙等含有一定意義的計算機信息資料。 3.2內(nèi)部網(wǎng)絡(luò)：是指園區(qū)網(wǎng)絡(luò)及通過專線與園區(qū)互聯(lián)的其他園區(qū)、駐外機構(gòu)網(wǎng)絡(luò)（以下簡稱內(nèi)網(wǎng)）。3.3外部網(wǎng)絡(luò)：是指互聯(lián)網(wǎng)或除互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)之外的第三方專網(wǎng)（以下簡稱外網(wǎng)）。 3.4VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡稱VPN），是指在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，屬于遠程訪問技術(shù)，就是利用公網(wǎng)鏈路架設(shè)的虛擬私有網(wǎng)絡(luò)。4職責 4.1信息化管理部門：公司信息化管理部門，負責計算機信息安全日常工作，事業(yè)部接入級網(wǎng)絡(luò)交換設(shè)備的管理工作，及時向總部信息化管理部門、督察部門報告重大計算機信息安全隱患和計算機信息安全事件。 4.2計算機用戶：負責本人領(lǐng)用的辦公計算機的日常保養(yǎng)、正常操作及安全管理，負責所接觸計算機信息的保密性、可用性和完整性；及時向信息化管理部門報告計算機信息安全隱患和計算機信息安全事件。涉密信息的起草人必須按公司保密制度相關(guān)規(guī)定提出信息密級的定級申請。5內(nèi)容與要求 5.1賬號和密碼安全管理 5.1.1信息系統(tǒng)用戶賬號須嚴格按照業(yè)務(wù)信息系統(tǒng)要求進行設(shè)置，原則上不得設(shè)置成共用賬號，以確保使用人與賬號的唯一性。 5.1.2員工申請信息系統(tǒng)賬號權(quán)限時，所在部門的負責人應(yīng)嚴格審核，控制授予滿足其工作需要的最小權(quán)限；員工崗位或工作內(nèi)容發(fā)生變化后應(yīng)及時提出申請權(quán)限變更，應(yīng)用系統(tǒng)管理員應(yīng)及時變更異動員工的權(quán)限，凍結(jié)離職員工的賬號。 5.1.3計算機用戶應(yīng)妥善保管好自己的系統(tǒng)賬號密碼或身份認證設(shè)備，如發(fā)現(xiàn)遺失或被盜，應(yīng)立即向信息化管理部門報告，信息化管理部門應(yīng)及時處理，確保賬號使用的合法性。 2 5.2IT設(shè)備安全管理 5.2.1計算機用戶使用辦公計算機處理公司涉密信息時，應(yīng)對涉密文件進行加密處理，如設(shè)置訪問密碼、控制閱讀權(quán)限等。 5.2.2涉密崗位用戶使用筆記本電腦，須經(jīng)分管領(lǐng)導(dǎo)或總經(jīng)理批準，在安裝相應(yīng)的安全管理系統(tǒng)和安全防范措施后，才能使用。 5.2.3移動存儲類設(shè)備中不得保留涉密信息，臨時使用應(yīng)由使用人妥善保管，用后立刻刪除。5.2.4涉密崗位辦公計算機連接的打印設(shè)備應(yīng)由所在部門指定專人管理，并按照事業(yè)部保密工作實施細則相關(guān)規(guī)定嚴格控制涉密文件的打印。5.3網(wǎng)絡(luò)安全管理 5.3.1信息化管理部門應(yīng)定期對負責管理的網(wǎng)絡(luò)設(shè)備進行安全檢查，發(fā)現(xiàn)異常及時處理，重大事件應(yīng)及時向總部信息化管理部門報告。 5.3.2嚴格控制筆記本電腦上內(nèi)網(wǎng)，特殊需求須經(jīng)過分管領(lǐng)導(dǎo)或總經(jīng)理審批。5.3.3所有外網(wǎng)用戶登陸內(nèi)網(wǎng)信息系統(tǒng)必須通過VPN訪問。5.4信息系統(tǒng)運營安全管理 5.4.1信息系統(tǒng)應(yīng)用管理員的確定和變更應(yīng)按照事業(yè)部保密工作實施細則涉密崗位的規(guī)定進行政審，經(jīng)總經(jīng)理批準后，報信息化管理部門備案。 5.4.2信息系統(tǒng)的業(yè)務(wù)配置變更和二次開發(fā)需經(jīng)過評估和嚴格測試后，才能傳入正式環(huán)境使用。5.5計算機信息安全管理 5.5.1內(nèi)部信息拷出或向?qū)ν鈫挝话l(fā)送信息需在OA系統(tǒng)中發(fā)起計算機信息提取(外發(fā))申請流程申請。信息化管理部門定期根據(jù)內(nèi)部信息提取(外發(fā))日志對內(nèi)部信息提取(外發(fā))部門進行審計，如發(fā)現(xiàn)違規(guī)情況，將根據(jù)保密工作實施細則、員工獎懲制度等進行處理。 5.5.2按照集團計算機信息數(shù)據(jù)集中備份管理要求，公司信息化管理部門定期向總部信息化部提交申請，將由公司負責管理的計算機信息備份到集團數(shù)據(jù)備份中心，并及時跟進公司計算機信息備份工作的完成情況，以免造成計算機信息的丟失。 5.5.3信息備份應(yīng)保證及時、完整、真實、準確地轉(zhuǎn)儲到不可更改的脫機介質(zhì)上，備份介質(zhì)須異地存放，并確保在信息系統(tǒng)發(fā)生異常時能及時通知集團數(shù)據(jù)備份中心，進行信息系統(tǒng)恢復(fù)。5.6信息安全審計 5.6.1信息化管理部門應(yīng)定期組織對信息系統(tǒng)的系統(tǒng)管理員登錄日志、操作日志、變更記錄等關(guān)鍵信息的審計工作，根據(jù)信息系統(tǒng)實際情況形成審計記錄，及時處理違紀操作。 5.6.2業(yè)務(wù)部門應(yīng)定期對本部門員工對外發(fā)送涉密信息的合規(guī)性進行檢查，形成月度審計