信息安全管理制度

1、信息安全管理制度 jac-gl-402-20061 主題內(nèi)容與適用范圍1.1 為了保障公司信息系統(tǒng)及信息安全，制定本制度。本制度明確了公司各單位及計算機用戶在計算機信息安全管理方面的職責(zé)及處罰辦法。1.2 本制度適用于本公司以及所有接入公司內(nèi)部網(wǎng)絡(luò)的一切計算機應(yīng)用單位和計算機使用人員。 2 職責(zé)2.1 通則2.1.1 公司員工應(yīng)嚴(yán)格遵守國家相關(guān)的信息安全法律法規(guī)。2.1.2 各單位主要負(fù)責(zé)人是本單位的信息安全管理的第一責(zé)任人，對本單位信息安全負(fù)領(lǐng)導(dǎo)和管理責(zé)任。2.1.3 公司各事業(yè)部、中心、管理平臺各部門應(yīng)建立、健全信息安全組織，配備相應(yīng)的系統(tǒng)管理員，負(fù)責(zé)具體落實信息安全的相關(guān)工作。2.2 信

2、息部職責(zé)建立和完善信息安全管理體系，負(fù)責(zé)信息安全技術(shù)和管理方法的研究、應(yīng)用及推廣；提供信息系統(tǒng)安全技術(shù)保障，制訂及完善信息安全管理制度，實施信息安全監(jiān)控和管理、提供安全管理技術(shù)指導(dǎo)與服務(wù)、督促和檢查各應(yīng)用單位的信息安全體系建設(shè)及實施。2.3 企業(yè)管理部職責(zé)負(fù)責(zé)審核、發(fā)布信息安全管理制度，配合信息部檢查、監(jiān)督該制度執(zhí)行情況，并對違反制度的單位和人員按處罰條例進行兌現(xiàn)。2.4 安全生產(chǎn)管理部職責(zé)負(fù)責(zé)信息設(shè)備出入檢查和登記，外來人員攜帶信息設(shè)備的檢查和登記。2.5 應(yīng)用部門職責(zé)貫徹、落實和執(zhí)行公司信息安全管理制度、根據(jù)本部門情況分解制定本部門信息安全管理辦法并落實和執(zhí)行，進行部門內(nèi)信息安全管理執(zhí)行情

3、況檢查、考核。3 安全管理細則3.1 pc機（含臺式機、圖形工作站、筆記本電腦）安全管理3.1.1 pc硬件安全管理3.1 1.1 各單位應(yīng)明確指定每臺pc的責(zé)任人。 禁止擅自拆卸計算機硬件，禁止擅自安裝和使用與工作無關(guān)的部件，確因工作需要的，應(yīng)提出申請，經(jīng)部門負(fù)責(zé)人簽字同意后，報信息部審批。 各單位應(yīng)根據(jù)實際情況制定筆記本電腦管理規(guī)定并報信息部備案。3.1.2 pc軟件管理 操作系統(tǒng)： pc上只允許安裝公司所指定的操作系統(tǒng)及版本（以存放在公司文件服務(wù)器上的為準(zhǔn)），若因工作需要安裝其他操作系統(tǒng)，應(yīng)填寫信息需求申請表（見附件一），經(jīng)信息部批準(zhǔn)、備案后

4、方可安裝。 所有pc必須安裝公司指定的防病毒軟件，并遵守計算機防殺病毒管理規(guī)定。 常用辦公軟件和應(yīng)用軟件須到信息部指定的服務(wù)器上下載安裝；禁止擅自通過其他介質(zhì)拷貝、下載軟件進行安裝使用，確有特別需求的，須填寫信息需求申請表，報信息部批準(zhǔn)后方可安裝；禁止擅自安裝和使用盜版軟件，對擅自安裝而引起涉及版權(quán)方面法律糾紛的由責(zé)任人承擔(dān)一切后果。 公司管理類信息系統(tǒng)、技術(shù)類信息系統(tǒng)、技術(shù)類設(shè)計軟件、公司實施的或要求安裝的其他軟件安裝和使用遵照相應(yīng)軟件管理辦法。 禁止安裝和使用娛樂性軟件、游戲軟件（操作系統(tǒng)附帶的除外）。 嚴(yán)禁擅自安裝和

5、使用上網(wǎng)代理類、黑客性質(zhì)類、網(wǎng)絡(luò)和通訊管理類等危害信息安全和網(wǎng)絡(luò)安全的軟件。3.1.3 pc操作管理計算機用戶應(yīng)使用規(guī)定的用戶賬號登陸操作系統(tǒng)，不得將帳號和密碼告知他人。 計算機用戶必須設(shè)置計算機系統(tǒng)登陸密碼和屏幕保護密碼（除特別情況，屏保等待時間不大于10分鐘），密碼長度不少于8位，密碼應(yīng)妥善管理，并且定期和不定期更改，長時間離開時（30分鐘以上）應(yīng)將計算機操作鎖定或關(guān)機。 cmos密碼與操作系統(tǒng)管理員密碼由系統(tǒng)管理員統(tǒng)一管理，所有計算機用戶未經(jīng)信息部的許可，不得修改計算機的系統(tǒng)設(shè)置，不得擅自更改ip地址，不得設(shè)置共享文件夾。 計算機用

6、戶不得使用任何方法竊取他人口令，非法入侵他人計算機系統(tǒng)。 嚴(yán)禁通過盜用他人ip地址、設(shè)置上網(wǎng)代理等違規(guī)方式訪問互聯(lián)網(wǎng)，禁止從事一切危害網(wǎng)絡(luò)安全和系統(tǒng)安全的操作。 pc硬盤應(yīng)分驅(qū)（盤）管理（至少分兩個邏輯驅(qū)（盤），系統(tǒng)軟件、應(yīng)用軟件、工作文件和數(shù)據(jù)應(yīng)分類分開存取，工作文件和數(shù)據(jù)、隨機專用設(shè)備驅(qū)動類文件應(yīng)做好備份。 禁止下載、存儲、使用、傳播與工作無關(guān)的文件（如：mp3，電影，游戲、小說等）； 具備上外網(wǎng)（互聯(lián)網(wǎng)）權(quán)限或擁有外部電子郵箱（公司分配的）的計算機用戶不得利用工作便利在互聯(lián)網(wǎng)上進行與工作無關(guān)的活動，禁止使用私人電子信箱傳遞有關(guān)公

7、司信息。計算機用戶崗位變更時，其網(wǎng)絡(luò)和信息系統(tǒng)使用帳號、權(quán)限須進行相應(yīng)變更，其帳號、權(quán)限應(yīng)報信息部予以處理，計算機用戶和所在單位均不得擅自將該用戶外網(wǎng)、外部信箱、oa、信息系統(tǒng)等帳號、口令和權(quán)限轉(zhuǎn)交其他人使用。0計算機用戶不得制作、查閱、復(fù)制和傳播思想內(nèi)容反動的、不健康的、有礙社會治安和有傷風(fēng)化的信息。3.1.4 外來計算機的管理 定義：非公司所屬計算機皆視為外來計算機。嚴(yán)禁外來計算機帶入涉密信息密集單位如技術(shù)研發(fā)部門、重要檔案管理等部門辦公場所。 外來計算機因工作需要在公司辦公場所內(nèi)（非涉密部門）使用時，應(yīng)安排專人監(jiān)控，原則上不得聯(lián)入公

8、司網(wǎng)絡(luò)，確實需要聯(lián)網(wǎng)的，須由相關(guān)單位申請，經(jīng)公司分管領(lǐng)導(dǎo)批準(zhǔn)并簽署信息安全、保密協(xié)議。3.2 系統(tǒng)安全與業(yè)務(wù)連續(xù)性管理3.2.1 服務(wù)器管理 各服務(wù)器責(zé)任單位應(yīng)根據(jù)服務(wù)器的應(yīng)用情況制定服務(wù)器管理辦法，并報信息部備案。 每臺服務(wù)器應(yīng)指定責(zé)任系統(tǒng)管理員和后備系統(tǒng)管理員，系統(tǒng)管理員應(yīng)根據(jù)服務(wù)器管理辦法對服務(wù)器進行日常管理。3.2.2 業(yè)務(wù)連續(xù)性管理 系統(tǒng)備份、恢復(fù)管理：各應(yīng)用信息系統(tǒng)的管理單位應(yīng)制訂可行的備份方案和災(zāi)難恢復(fù)方案，以保障在出現(xiàn)系統(tǒng)故障、或數(shù)據(jù)丟失等影響業(yè)務(wù)正常運行情況時恢復(fù)系統(tǒng)，減少和避免信息資產(chǎn)損失。 系統(tǒng)容災(zāi)管理：重要系統(tǒng)應(yīng)制

9、定合理的設(shè)備冗余和容災(zāi)方案，以保障當(dāng)部分設(shè)備發(fā)生故障時能夠支持業(yè)務(wù)和系統(tǒng)連續(xù)運行；重要系統(tǒng)和數(shù)據(jù)應(yīng)進行異機備份或用備份設(shè)備進行備份，以保障系統(tǒng)和數(shù)據(jù)具備合理容災(zāi)性能。 業(yè)務(wù)應(yīng)急預(yù)案：各業(yè)務(wù)單位應(yīng)制訂業(yè)務(wù)應(yīng)急預(yù)案；當(dāng)系統(tǒng)出現(xiàn)緊急情況不能支持業(yè)務(wù)應(yīng)用時，各單位應(yīng)啟動應(yīng)急預(yù)案，保障業(yè)務(wù)連續(xù)運營。當(dāng)緊急狀態(tài)排除后，業(yè)務(wù)部門要組織業(yè)務(wù)人員將緊急狀態(tài)時發(fā)生的業(yè)務(wù)補充到系統(tǒng)中，以確保信息業(yè)務(wù)信息完整、有效。3.3 數(shù)據(jù)安全管理3.3.1 數(shù)據(jù)備份：各服務(wù)器責(zé)任單位應(yīng)制定數(shù)據(jù)備份方案，并按方案進行備份，方案報信息部備案。應(yīng)用人員要對自己本地計算機的信息安全負(fù)責(zé)，作好各自的信息備份工作。3.3.2

10、 電子信息保密管理 各單位應(yīng)制定涉密電子信息保密管理辦法，對涉密電子信息按公司保密制度進行密級劃分并按密級進行管制。 未經(jīng)批準(zhǔn)禁止任何人將公司信息系統(tǒng)中的電子數(shù)據(jù)提供給無關(guān)人員、外單位人員；未經(jīng)批準(zhǔn)禁止任何人復(fù)制、轉(zhuǎn)移、查看、發(fā)布、打印公司涉密信息。其中公司保密制度（jac-gl-004-2006）規(guī)定的秘密級以上（含秘密級）信息須經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)，其他信息須經(jīng)部門負(fù)責(zé)人批準(zhǔn)。 對于以網(wǎng)絡(luò)通訊、電子郵件、光盤、軟盤、移動存儲設(shè)備等方式向公司以外的單位提供各種技術(shù)類電子數(shù)據(jù)（包括圖紙、數(shù)據(jù)及其他技術(shù)類文檔）、公司保密制度（jac-gl-004-2006）規(guī)

11、定的“秘密”以上密級的電子文檔（數(shù)據(jù)），需按電子信息（數(shù)據(jù)）流出審批表（見附件二）規(guī)定的審批權(quán)限履行審批手續(xù)，并與客戶簽收回執(zhí)單（附件三）一起備案存檔。其中公司保密制度（jac-gl-004-2006）規(guī)定的秘密級以上（含秘密級）信息流出須經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)，其他信息流出須經(jīng)部門負(fù)責(zé)人批準(zhǔn)。 各類計算機、數(shù)字存儲設(shè)備經(jīng)報廢、送外維修、外借、出售等方式轉(zhuǎn)出公司時應(yīng)對存儲的信息進行不可恢復(fù)性刪除。 各類計算機、數(shù)字存儲設(shè)備帶出公司前，相關(guān)責(zé)任人應(yīng)檢查是否存有涉密信息，對存儲的涉密信息應(yīng)進行清除，或按公司相關(guān)保密制度進行報批。 涉密電子信息應(yīng)進行訪問控制，其存儲

12、、傳輸應(yīng)進行加密處理，禁止使用明文進行網(wǎng)絡(luò)傳輸。 對因管理不善造成公司涉密電子信息泄漏的單位和員工，將按公司相關(guān)保密制度追究相關(guān)單位和員工的責(zé)任。3.4 移動存儲設(shè)備管理3.4.1 嚴(yán)格控制各類移動存儲設(shè)備（包括軟驅(qū)、光驅(qū)、u盤、移動硬盤、數(shù)碼設(shè)備、紅外設(shè)備、無線通訊設(shè)備等）在公司使用，各單位應(yīng)制訂移動存儲設(shè)備使用管理辦法，并報信息部備案。3.4.2 各單位須對已有的移動存儲設(shè)備指定專人統(tǒng)一登記，集中管理，并報信息部備案；新增移動存儲設(shè)備需報信息部批準(zhǔn)。對通過移動存儲設(shè)備傳入傳出的文件應(yīng)記錄備案；禁止擅自使用私人移動存儲設(shè)備拷貝數(shù)據(jù)。3.4.3 對因移動存儲設(shè)備使用不當(dāng)而造成的信

13、息泄密或其他事故，要追究使用者、移動設(shè)備責(zé)任人及單位負(fù)責(zé)人的相關(guān)責(zé)任。4 信息安全檢查和督察4.1 信息部負(fù)責(zé)制定信息安全檢查管理辦法，每年年底前根據(jù)實際情況制訂下一年度檢查計劃，檢查方案。4.2 各事業(yè)部、中心、管理平臺各部門制定本單位檢查計劃和方案，報信息部批準(zhǔn)和備案，并按計劃進行檢查，檢查結(jié)果和整改措施報信息部備案。4.3 信息部按計劃檢查督促各部門的檢查執(zhí)行情況，并對執(zhí)行效果報公司進行考核。4.4 信息部聯(lián)合企業(yè)管理部按檢查計劃和方案進行定期和不定期抽查，被抽查單位應(yīng)按要求進行配合，企業(yè)管理部按制度對違規(guī)單位和個人按處罰條例進行兌現(xiàn)。5處罰5.1 信息部、企業(yè)管理部將定期對各單位執(zhí)行本

14、制度的情況進行檢查考核。5.2 對嚴(yán)重違反本制度及相關(guān)信息安全制度計算機應(yīng)用單位或個人，信息部應(yīng)立即停止其使用系統(tǒng)和網(wǎng)絡(luò)的權(quán)限，直至單位領(lǐng)導(dǎo)和責(zé)任人做出書面檢查、落實相應(yīng)的處罰并整改到位。由此造成的一切后果由責(zé)任單位或責(zé)任人自負(fù)。5.3 公司員工違反本制度一條一次，罰款300元，所在單位罰款500元；違反多條多次累計并加倍處罰。5.4 員工違反本制度條，3. 1.3.4條， 條者，給予下崗處理。5.5對故意盜取公司技術(shù)、管理、財務(wù)、經(jīng)營及人事檔案等保密信息者；對有意攻擊、破壞公司信息系統(tǒng)并造成嚴(yán)重后果者，予以開除處理。對觸犯刑律的，依法移送司法機關(guān)處理。6 相關(guān)制度

15、6.1保密制度（jac-gl-004-2006）。6.2內(nèi)外網(wǎng)和電子信箱管理辦法（jac-gl-401-2006）。6.3計算機防殺病毒管理規(guī)定6.4本制度其他依據(jù)：國家、省市信息安全相關(guān)法律法規(guī)；國家、省保密局相關(guān)文件7 附件附件一：信息需求申請表附件二：電子信息（數(shù)據(jù)）流出審批表附件三：客戶簽收回執(zhí)單附加說明：本制度編制：郭祥、羅軍本制度審核：李世杭本制度會簽：項興初、馬民生、楊文江、 靳素華、 任國清、 張作洋、 周明良、 顧德華、范家辰、王兵、 王朝云本制度批準(zhǔn)：趙厚柱本制度由信息部負(fù)責(zé)解釋，自2006年7月1日起發(fā)布實施。附件一：信息需求申請表（jac企管表040）申請內(nèi)容 usb接

16、口 特殊軟件 開通外網(wǎng) oa用戶 內(nèi)部郵箱 外部郵箱 vpn帳戶 其他需求 申請人 所在崗位 所在單位 電腦編號 ip地址 mac地址 申請事由： 部門領(lǐng)導(dǎo)意見 信息部系統(tǒng)管理員初審意見 信息部領(lǐng)導(dǎo)意見 分管領(lǐng)導(dǎo)意見 備注 填表說明：1、申請內(nèi)容：usb接口開通指開通usb數(shù)據(jù)傳輸功能，usb外接鼠標(biāo)、鍵盤不需申請；外部信箱指公司網(wǎng)站上（）的電子信箱,；vpn帳戶指可以通過互聯(lián)網(wǎng)遠程訪問公司內(nèi)部網(wǎng)的特定系統(tǒng)的帳戶；2、電腦編號即固定資產(chǎn)編號；3、mac地址即計算機網(wǎng)卡的物理地址（physical address），可以在命令行下通過ipconfig /all獲得；

17、4、部門領(lǐng)導(dǎo)意見：管理平臺須各部門負(fù)責(zé)人簽署，各事業(yè)部須事業(yè)部分管副總以上領(lǐng)導(dǎo)簽署。附件二：電子信息（數(shù)據(jù)）流出審批表（jac企管表041）數(shù)據(jù)流出方式 網(wǎng)絡(luò)傳送電子郵件移動存儲設(shè)備刻錄光盤其它 申請人姓名 所在單位 數(shù)據(jù)接收 單 位 數(shù)據(jù)接收者及聯(lián)系電話 數(shù)據(jù)流出 原 因 所在科室領(lǐng)導(dǎo) 意見 （簽名） 年 月 日 所在單位主管 意見 （簽名） 年 月 日 信息部部長 意見 （簽名） 年 月 日 分管領(lǐng)導(dǎo) 意 見 （簽名） 年 月 日 備注 公司保密制度（jac-gl-004-2006）規(guī)定的秘密級以上（含秘密級）信息流出須經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)，其他信息流出須經(jīng)部門負(fù)責(zé)人批準(zhǔn)。辦理數(shù)據(jù)流出者須知： 1、辦理數(shù)據(jù)流出者必須將此表與客戶簽收回執(zhí)單一起進行備案存檔。 2、辦理數(shù)據(jù)流出者對所流出數(shù)據(jù)產(chǎn)生的問題負(fù)全部責(zé)任。 填表說明：1、數(shù)據(jù)經(jīng)信息部流出時，須信息部部長簽署意見，其他情況不需要。2、所在單位主管意見，管理平臺須各部門負(fù)責(zé)人簽署；各事業(yè)部須事業(yè)部分管副總以上領(lǐng)導(dǎo)簽署附件三：