信息安全管理制度(全)

1、信息安全管理制度一、總則為了進(jìn)一步加強(qiáng)公司信息安全管理，根據(jù)公司的要求和保密規(guī)定，結(jié)合公司實(shí)際情況，特制定本制度。二、信息管理員職責(zé)1、公司負(fù)責(zé)信息安全的職能部門為XX 。2、公司設(shè)置專人為信息管理員，負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的運(yùn)行維護(hù)管理。3、負(fù)責(zé)公司計(jì)算機(jī)的系統(tǒng)安裝、備份、維護(hù)。4、負(fù)責(zé)督促各部及時(shí)對(duì)計(jì)算機(jī)中的數(shù)據(jù)進(jìn)行備份。5、負(fù)責(zé)計(jì)算機(jī)病毒入侵防范工作。6、定期對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全檢查。7 、違規(guī)對(duì)外聯(lián)網(wǎng)的監(jiān)控，信息安全的監(jiān)督。8、負(fù)責(zé)組織計(jì)算機(jī)使用人進(jìn)行內(nèi)部網(wǎng)絡(luò)使用規(guī)范的宣傳教育和培訓(xùn)工作。9、負(fù)責(zé)與上級(jí)管理部門聯(lián)絡(luò)工作，參加上級(jí)組織的各類培訓(xùn)，并及時(shí)上報(bào)相關(guān)報(bào)表。三、管理制度 （一）密級(jí)

2、制度從保密性角度，公司對(duì)于信息分成兩大類：公開信息和保密信息。1、公開信息：公司已對(duì)外公開發(fā)布的信息，如公司宣傳冊(cè)、產(chǎn)品或公司介紹視頻等。2 、保密信息： 公司僅允許在一定范圍內(nèi)發(fā)布的信息， 一旦泄露，將可能給公司或相關(guān)方造成不良影響。比如公司投資計(jì)劃等。3、保密信息密級(jí)劃分根據(jù)信息價(jià)值、影響及發(fā)放范圍的不同，公司將保密信息劃分為絕密、機(jī)密、秘密、內(nèi)部公開四個(gè)級(jí)別。絕密信息：關(guān)系公司前途和命運(yùn)的公司最重要、最敏感的信息，對(duì)公司根本利益有著決定性影響的保密信息，如：公司訂單，研發(fā) 資料，重大投資決議等。機(jī)密信息：公司重要秘密，一旦泄露將使公司利益受到嚴(yán)重?fù)p害的保密信息 , 如：未發(fā)布的任命文件，

3、公司財(cái)務(wù)分析報(bào)告等文件。秘密信息：公司一般性信息，但一旦泄露會(huì)使公司利益受到損害的保密信息，如：人事檔案，供應(yīng)商選擇評(píng)估標(biāo)準(zhǔn)等文件。內(nèi)部公開：僅在公司內(nèi)部公開或僅在公司某一個(gè)部門內(nèi)公開，對(duì)外泄露可能會(huì)使公司利益造成損害的保密信息的保密信息，如： 年度培訓(xùn)計(jì)劃，員工手冊(cè)，各種規(guī)章制度等。4、密級(jí)標(biāo)識(shí)創(chuàng)建文檔時(shí)，需要根據(jù)內(nèi)容在頁(yè)眉處添加正確的密級(jí)，頁(yè)腳處注明XX機(jī)密，未經(jīng)許可不得擴(kuò)散”或類似字樣。電子檔及打印文檔 皆須包含上述字樣。（二）人員安全1、外來人員根據(jù)來訪性質(zhì)，可將來訪人員分為兩類， 1 ） 預(yù)約來訪人員： 計(jì)劃內(nèi)來訪，指公司相關(guān)接待部門事先已明確來訪人員的相關(guān)信息 （單位、姓名及人數(shù)等

4、） 、來訪時(shí)間及來訪事由的情況。 2） 臨時(shí) 來訪人員：計(jì)劃外來訪，指即公司接待部門事先不清楚來訪人員的 相關(guān)信息、來訪時(shí)間及來訪事由的情況。2 、“臨時(shí)出入卡”顏色標(biāo)識(shí)4 1）客戶：紅色貴賓來訪卡2 ）供應(yīng)商：藍(lán)色來訪卡3）應(yīng)聘或其它人員：黃色來訪卡3、接待流程1）預(yù)約來訪人員A :來訪人員不需進(jìn)入辦公或生產(chǎn)區(qū)接待流程如下： XX 接待人員填寫接待申請(qǐng)單。 來訪人員到公司前臺(tái)，前臺(tái)核實(shí)身份后發(fā)“臨時(shí)出入卡” ， 來訪人員留下有效證件。 員工與來訪人員在大堂接待區(qū)或其他外部接待區(qū)會(huì)談。 來訪人員到前臺(tái)交還卡并領(lǐng)回證件，前臺(tái)填寫確認(rèn)單。 流程結(jié)束。B :來訪人員需要進(jìn)入辦公或生產(chǎn)區(qū) XX 接待人

5、員填寫接待申請(qǐng)單。 來訪人員到前臺(tái)， 前臺(tái)核實(shí)身份后發(fā)“臨時(shí)出入卡”并在單 中記錄，來訪人員留下有效證件，前臺(tái)確認(rèn)進(jìn)入時(shí)間。 前臺(tái)將來訪人員交接給接待人員。 會(huì)談結(jié)束，接待人員將來訪人員送至大堂前臺(tái)，前臺(tái)確認(rèn)離開時(shí)間、陪同情況，來訪人員還卡并領(lǐng)回證件，前 臺(tái)填寫確認(rèn)單。 流程結(jié)束。2）臨時(shí)來訪人員一般情況下，臨時(shí)來訪的會(huì)談地點(diǎn)應(yīng)安排在辦公區(qū)域之外，如確因工作需要需進(jìn)入辦公或生產(chǎn)區(qū)域， 需按預(yù)約來訪 流程，由接待人填單并經(jīng)權(quán)簽人審批。具體流程： 外來人員到訪。 前臺(tái)電話通知 XX 接待人員。 XX 接待人員是否安排接待？ （否）接待人員向來訪者說明情況，流程結(jié)束。 （是）轉(zhuǎn)“預(yù)約來訪人員”接待流

6、程，由接待人員填寫“接待申請(qǐng)單?！? 、流程各方責(zé)任1）業(yè)務(wù)部門業(yè)務(wù)部門接待人員應(yīng)事先按格式要求填寫“接待申請(qǐng)單” ， 并確保填寫信息準(zhǔn)確；業(yè)務(wù)部門接待人應(yīng)按要求到大堂前臺(tái)接待 來賓，并覆行全程接待陪同義務(wù)。進(jìn)入地點(diǎn)需與出門地點(diǎn)一致。 業(yè)務(wù)部門權(quán)簽人 （由各部門自行維護(hù)） ，對(duì)外來人員進(jìn)入研發(fā)區(qū)、 辦公區(qū)或生產(chǎn)區(qū)申請(qǐng)審批的真實(shí)性及合理性負(fù)責(zé)。2）前臺(tái)、接待責(zé)任人大堂前臺(tái)應(yīng)根據(jù)來訪人員信息及審批狀態(tài)，核實(shí)無誤后， 方可發(fā)放“來訪卡”，并在單中記錄。來訪人員離開時(shí)，如實(shí)在單 中記錄還卡情況、接待人員陪同等信息。特別注意，接待單中若注明“不需進(jìn)入辦公或廠區(qū)”的，或雖已注明但權(quán)簽人未審批通過的，接待只

7、能在大堂或其他公共區(qū)域進(jìn)行，外來人員不得進(jìn)入研發(fā)區(qū)域、生產(chǎn)區(qū)域和辦公區(qū)域。給參觀者強(qiáng)調(diào)應(yīng)妥善保管好自己隨身攜帶的物品，未經(jīng)允許任何人不準(zhǔn)攜帶照相機(jī)、錄像機(jī)、攝像機(jī)等設(shè)備進(jìn)入研發(fā)區(qū)域、生產(chǎn)區(qū)域和辦公區(qū)域。承辦部門接待責(zé)任人須告知參觀者不得在研發(fā)區(qū)域、生產(chǎn)區(qū)域、倉(cāng)庫(kù)區(qū)域、辦公區(qū)域拍照。參觀者不得與接待責(zé)任人之外的管理人員、生產(chǎn)人員等交換名片、聯(lián)系方式等，承辦部門接待責(zé)任人需嚴(yán)令禁止。前臺(tái)需安排來訪人員在接待區(qū)域等候，接待中承辦部門須做好引導(dǎo)和陪同工作，堅(jiān)決杜絕來訪人員隨意在廠區(qū)內(nèi)逗留。未經(jīng)批準(zhǔn)來訪人員不得在廠區(qū)內(nèi)拍照、錄像、攝影，接待結(jié)束 時(shí)須目送來訪人員離開廠區(qū)。各業(yè)務(wù)單位來公司聯(lián)系工作的，須在

8、會(huì)議室或指定的區(qū)域內(nèi)接待，相關(guān)職能部門有責(zé)任做好引導(dǎo)和約束工作。陪同人員在陪同過程中不得在授權(quán)范圍外行事。來訪人員未經(jīng)我公司許可不得擅自攜帶本公司樣品、產(chǎn)品出廠。前臺(tái)每月導(dǎo)出一次接待人違規(guī)記錄，包括未還卡、未全程陪同等，違規(guī)者按公司規(guī)定處罰。2、公司員工1）正式員工工卡丟失、忘帶之類需進(jìn)入公司，不需填寫接待申請(qǐng)單，經(jīng) XX 正式員工證實(shí)，前臺(tái)可發(fā)放員工臨時(shí)工卡憑其進(jìn)出，當(dāng)天有效。2 ）人員聘用時(shí)需明確員工信息安全責(zé)任，同時(shí)XX 部定期組織公司內(nèi)部信息安全的培訓(xùn)和宣導(dǎo)。公司內(nèi)部可能接觸到公司保密信息的員工需要簽署保密協(xié)議。3）凡公司員工均有義務(wù)和責(zé)任防止無關(guān)外來人員進(jìn)入研發(fā)區(qū)、生產(chǎn)區(qū)、辦公區(qū)和倉(cāng)

9、庫(kù)區(qū)，對(duì)方不聽勸阻時(shí)須及時(shí)通知公司領(lǐng)導(dǎo)。（三）研發(fā)區(qū)域1、研發(fā)區(qū)域設(shè)研發(fā)網(wǎng)絡(luò)和研發(fā)公網(wǎng)。2、研發(fā)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)完全隔離，不能互訪。3 、研發(fā)公網(wǎng)與非研發(fā)辦公網(wǎng)通過VLAN 進(jìn)行邏輯上的隔離。4、研發(fā)公網(wǎng)與非研發(fā)部門數(shù)據(jù)不能互訪，只允許郵件交互。對(duì) 研發(fā)公網(wǎng)發(fā)出的郵件進(jìn)行監(jiān)控。5 、研發(fā)網(wǎng)絡(luò)不允許使用 internet 。研發(fā)公網(wǎng)可以使用 internet ， 對(duì)來自 internet 的郵件只能收，不能發(fā)。6、進(jìn)入研發(fā)區(qū)域需通過門禁控制。7 、進(jìn)入研發(fā)區(qū)域不準(zhǔn)帶手機(jī)、相機(jī)、 U 盤等移動(dòng)設(shè)施進(jìn)入。保安值守，隨機(jī)抽查8、研發(fā)區(qū)域?qū)嵤╅T禁控制，僅授權(quán)人員才能進(jìn)入。9、研發(fā)網(wǎng)絡(luò)使用的 PC ，設(shè)安全

10、機(jī)箱， 將可能接觸到的 COM 口、 USB 口、網(wǎng)口全部鎖住。10 、研發(fā)圖紙?zhí)峤粚?duì)應(yīng) PM ，PM 建立一個(gè)共享文件夾，設(shè)置訪 問權(quán)限，僅限項(xiàng)目組成員訪問。11 、領(lǐng)用樣機(jī)時(shí)有資產(chǎn)管理，測(cè)試只能在指定區(qū)域進(jìn)行測(cè)試， 不能帶出。12 、研發(fā)人員離職嚴(yán)格按照 XX 部離職流程相關(guān)規(guī)定執(zhí)行， 包括 工作交接、權(quán)限清理、軟硬件歸還、簽署競(jìng)業(yè)協(xié)議等。13、研發(fā)人員的終端 PC,筆記本需專人管理。（四）制造過程1 、樣品物料實(shí)行臺(tái)賬管理，指定專人管理，樣品離開樣品組采 取入庫(kù)或有部門主管簽署的領(lǐng)出單發(fā)出，制樣組記錄至臺(tái)賬，制樣 組的樣品半成品、成品、制樣治具放入工程部指定的受控區(qū)域保管， 定期（一般客

11、戶的機(jī)型轉(zhuǎn)入批量生產(chǎn)后） ，由工程部向信息安全管理 委員會(huì)申請(qǐng)，實(shí)行集中銷毀，并作好記錄。11 2、試產(chǎn)和量產(chǎn)物料：物料安排專人負(fù)責(zé)領(lǐng)料、生產(chǎn)、入庫(kù)，報(bào)廢品或物料統(tǒng)一經(jīng) ERP 系統(tǒng)進(jìn)入不良品倉(cāng)。 定期申報(bào)后， 集中銷毀。 待產(chǎn)時(shí)，物料放入指定的受控區(qū)域作受控管理，并作好臺(tái)賬登記。3、檢驗(yàn)物料：檢驗(yàn)物料由品質(zhì)部作好樣品臺(tái)賬管理。4、未經(jīng)公司許可，公司員工不得擅自攜帶本公司物料、樣品、 產(chǎn)品出廠。（五）IT 房管理1 、公司總網(wǎng)絡(luò)機(jī)柜設(shè)置于 IT 房，大門必須隨時(shí)關(guān)閉上鎖， 鑰匙 由 XX 管理。鑰匙保留一份在檔案室，由管理人員存檔并登記。2、任何人進(jìn)入 IT 房必須通過 XX 同意， 并在其部

12、門員工的陪同 下方可進(jìn)入。 非信息管理員原則上不得進(jìn)入 IT 房在機(jī)柜內(nèi)進(jìn)行操作。 如遇特殊情況必須操作時(shí)，必須經(jīng)主管部門批準(zhǔn)同意后有關(guān)人員監(jiān) 督下進(jìn)行。對(duì)操作內(nèi)容進(jìn)行記錄，由操作人和監(jiān)督人簽字后備查。3、保持機(jī)柜內(nèi)整齊清潔，各種機(jī)器設(shè)備定期進(jìn)行保養(yǎng)，保持清 潔光亮。4 、IT 房嚴(yán)禁攜帶特別是易燃、 易爆、有腐蝕等危險(xiǎn)品進(jìn)入室內(nèi)。 不得在 IT 房進(jìn)食食品。5 、嚴(yán)禁在通電的情況下拆卸、移動(dòng)機(jī)柜內(nèi)交換機(jī)、服務(wù)器等設(shè) 備和部件。6 、定期對(duì)機(jī)柜各系統(tǒng)運(yùn)行的情況進(jìn)行檢查，保證機(jī)柜的正常運(yùn) 行。7、機(jī)柜內(nèi)已對(duì)內(nèi)、外網(wǎng)交換機(jī)進(jìn)行了明顯的標(biāo)示；對(duì)所有網(wǎng)線 按房號(hào)進(jìn)行了標(biāo)示；如有新增必須進(jìn)行標(biāo)示。8、定

13、期檢查機(jī)房消防設(shè)備器材。9. 機(jī)房?jī)?nèi)不準(zhǔn)隨意丟棄儲(chǔ)蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料，對(duì)廢棄儲(chǔ)蓄介質(zhì)和業(yè)務(wù)保密資料要及時(shí)銷毀，不得作為普通垃圾處理。 嚴(yán)禁機(jī)房?jī)?nèi)的設(shè)備、儲(chǔ)蓄介質(zhì)、資料、工具等私自出借或帶出。10.IT 房中要保持恒溫、恒濕、電壓穩(wěn)定，做好靜電防護(hù)和防塵 等工作，保證主機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。11. 定期對(duì)空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo) （如風(fēng)量、 溫升、濕度、 潔凈度、溫度上升率等）進(jìn)行測(cè)試，并做好記錄，通過實(shí)際測(cè)量各 項(xiàng)參數(shù)發(fā)現(xiàn)問題及時(shí)解決，保證機(jī)房空調(diào)的正常運(yùn)行。12. 計(jì)算機(jī)機(jī)房后備電源（ UPS ）除了電池自動(dòng)檢測(cè)外，每年必 須充放電一次到兩次。 12 13、服務(wù)器、路由器等重要設(shè)備的

14、超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由 密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個(gè)人名章或簽字 后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密 碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理人 員索取， 使用完畢后， 須立即更改并封存， 同時(shí)在 “密碼管理登記簿 中登記。二）計(jì)算機(jī)設(shè)備管理制度1、計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工 作環(huán)境。2、嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正 確的使用方法。任何人不允許帶電撥插計(jì)算機(jī)外部設(shè)備接口，計(jì)算 機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向負(fù)責(zé)部門報(bào)告，不允許私自處理或找

15、非本公 司技術(shù)人員進(jìn)行維修及操作。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)主管部門 批準(zhǔn)，統(tǒng)一維修。3、非本公司人員對(duì)我公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)， 必須通知公司信息管理員。信息管理員對(duì)其提出注意事項(xiàng)， “內(nèi)網(wǎng)”電 腦維修、維護(hù)時(shí)必須進(jìn)行監(jiān)督。4、對(duì)必須使用“內(nèi)網(wǎng)” 的員工申報(bào)公司領(lǐng)導(dǎo)同意后開通。5 、每臺(tái)“內(nèi)網(wǎng)”使用的電腦均指定 IP 地址，落實(shí)使用人， “內(nèi)網(wǎng)” 計(jì)算機(jī)使用人應(yīng)經(jīng)過公司領(lǐng)導(dǎo)批準(zhǔn)； “內(nèi)網(wǎng)”電腦必須設(shè)置開機(jī)密碼、 勾選“待機(jī)恢復(fù)輸入密碼”。6、密碼應(yīng)定期修改，間隔時(shí)間不得超過二個(gè)月，如發(fā)現(xiàn)或懷疑 密碼遺失或泄漏應(yīng)立即修改。7 、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專 人

16、接替并對(duì)密碼立即修改或用戶刪除， 同時(shí)在 “密碼管理登記簿 ”中登 記。9 、將所有外網(wǎng)電腦進(jìn)行 IP-MAC 綁定，防止“內(nèi)網(wǎng)”用戶誤接入 外網(wǎng)造成信息安全隱患。如有新增電腦進(jìn)入外網(wǎng)，必須經(jīng)過主管部 門批準(zhǔn)。10、新入職員工，必須先接受網(wǎng)絡(luò)安全知識(shí)培訓(xùn)后方可上崗工作。11 、員工職務(wù)變動(dòng)時(shí)， 應(yīng)及時(shí)按 XX 部門流程辦理軟硬件、 權(quán)限的調(diào)整工作12、員工離職時(shí)，人力資源應(yīng)及時(shí)通知信息技術(shù)部取消其所有 的 IT 資源使用權(quán)限，回收其電腦并保留一個(gè)星期，若一個(gè)星期之內(nèi) XX 部沒有招到新員工頂替，電腦將備份數(shù)據(jù)后入庫(kù)。12、如需要私人計(jì)算機(jī)連接到公司網(wǎng)絡(luò)，需要信息技術(shù)部門授 權(quán)并進(jìn)行登記。13

17、、任何人不得進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng)更改系統(tǒng)信息和用 戶數(shù)據(jù)，不得以任何形式訪問公司的其它電腦或者服務(wù)器。 （三）數(shù)據(jù)安全1、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須與 計(jì)算機(jī)分開存放，并明確落實(shí)備份數(shù)據(jù)的管理人。2、注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放，保證存儲(chǔ) 介質(zhì)的物理安全。3、數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù) 的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行，出現(xiàn)問題 時(shí)由相關(guān)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確 認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。15 4、數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份

18、數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存 或永久保存，并確保可以隨時(shí)使用。5 、需要長(zhǎng)期保存的數(shù)據(jù)，刻錄 2 張光盤分開存放，并有詳細(xì)的 文檔記錄。6、需要長(zhǎng)期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存 方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存， 防止存儲(chǔ)介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完 整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。7、送修前，需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)管理 的信息備份后刪除，并進(jìn)行登記。對(duì)修復(fù)的設(shè)備，信息管理員應(yīng)對(duì) 設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)和登記。8、管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后 清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。9、經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。10、計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、