企業(yè)信息安全管理制度

1、公司信息安全管理制度編制：關國健校對：審核：企業(yè)信息安全管理制度近年來， 隨著計算機技術和信息技術的飛速發(fā)展，社會的需求不斷進步， 企業(yè)傳統(tǒng)的手工生產(chǎn)模式和管理模式邁入了一個全新的時代信息化時代。 隨 著信息化程度的日益推進， 企業(yè)信息的脆弱性也日益暴露。 如何規(guī)范日趨復雜的 信息安全保障體系建設，如何進行信息風險評估保護企業(yè)的信息資產(chǎn)不受侵害， 已成為當前行業(yè)實現(xiàn)信息化運作待解決的問題。一、前言：企業(yè)的信息及其安全隱患。在我公司，我部門對信息安全做出整體規(guī)劃：通過從外到內、從廣義到狹義、從總體到 細化、 從戰(zhàn)術到戰(zhàn)略， 從公司的整體到局部的各個部門相結合一一剖析， 并針對信息安全提 出解決方

2、案。涉及到企業(yè)安全的信息包括以下方面：A、技術圖紙。B、商務信息。C、財務信息。D服務器信息。E、密碼信息。針對以上涉及到安全的信息，在企業(yè)中存在如下風險：1、來自企業(yè)外的風險（1）病毒和木馬風險：互聯(lián)網(wǎng)上到處流竄著不同類型的病毒和木馬，有些病毒在感染 企業(yè)用戶電腦后，會篡改電腦系統(tǒng)文件，使系統(tǒng)文件損壞，導致用戶電腦最終徹底崩潰，嚴 重影響員工的工作效率； 有些木馬在用戶訪問網(wǎng)絡的時候， 不小心被植入電腦中， 輕則丟失 工作文件，重則泄露機密信息。（ 2）不法分子等黑客風險： 計算機網(wǎng)絡的飛速發(fā)展也導致一些不法分子利用網(wǎng)絡行竊、 行騙等， 他們利用所學的計算機編程語言編譯有特定功能的木馬插件，

3、 經(jīng)過層層加殼封裝技 術， 用掃描工具找到互聯(lián)網(wǎng)上某電腦存在的漏洞， 繞過殺毒軟件的追擊和防火墻的阻撓， 從 漏洞進入電腦， 然后在電腦中潛伏， 依照不法分子設置的特定時間運行， 開啟遠程終端等常 用訪問端口， 那么這臺就能被不法分子為所欲為而不被用戶發(fā)覺， 尤其是技術部、 項目部和 財務部電腦若被黑客植入后門，留下監(jiān)視類木馬查件，將有可能造成技術圖紙被拷貝泄露、 財務網(wǎng)銀密碼被竊取。 還有些黑客純粹為顯示自己的能力以攻擊為樂， 他們在用以上方法在 網(wǎng)絡上綁架了成千上萬的電腦， 讓這些電腦成為自己傀儡， 在網(wǎng)絡上同時發(fā)布大量的數(shù)據(jù)包， 前幾年流行的洪水攻擊及 DDoS分布式拒絕服務攻擊都由此而

4、來，它會導致受攻擊方服務器 資源耗盡，最終徹底崩潰，同時整個網(wǎng)絡徹底癱瘓。2、來自企業(yè)內的風險(1) 文件的傳輸風險：若有員工將公司重要文件以QQ MSN發(fā)送出去，將會造成企業(yè)信息資源的外泄，甚至被競爭對手掌握，危害到企業(yè)的生存發(fā)展。(2) 文件的打印風險：若員工將公司技術資料或商業(yè)信息打印到紙張帶出公司，會使企 業(yè)信息資料外泄。(3) 文件的傳真風險：若員工將紙質重要資料或技術圖紙傳真出去，以及將其他單位傳 真給公司的技術文件和重要資料帶走，會造成企業(yè)信息的外泄。(4) 存儲設備的風險：若員工通過光盤或移動硬盤等存儲介質將文件資料拷貝出公司， 可能會泄露企業(yè)機密信息。 若有動機不良的員工，

5、私自拆開電腦機箱， 將硬盤偷偷帶出公司， 將會造成企業(yè)信息的泄露。(5) 上網(wǎng)行為風險：員工可能會在電腦上訪問不良網(wǎng)站，會將大量的病毒和頑固性插件 帶到企業(yè)網(wǎng)絡中來， 造成電腦及企業(yè)網(wǎng)絡的破壞， 更甚者， 在電腦中運行一些破壞性的程序， 導致電腦系統(tǒng)的崩潰。(6) 用戶密碼風險：主要包括用戶密碼和管理員密碼。若用戶的開機密碼、業(yè)務系統(tǒng)登 陸密碼被他人掌握， 可能會竊取此用戶權限內的信息資料和業(yè)務數(shù)據(jù)； 若管理員的密碼被竊 取，可能會被不法分子破壞應用系統(tǒng)的正常運行，甚至會被竊取整個服務器數(shù)據(jù)。(7) 機房設備風險：主要包括服務器、UPS電源、網(wǎng)絡交換機、電話交換機、光端機等。這些風險來自防盜、

6、防雷、防火、防水。若這些自然災害發(fā)生，可能會損壞機房設施，造成 業(yè)務中斷。(8) 辦公 / 區(qū)域風險： 主要包括辦公區(qū)域敏感信息的安全。 有些員工缺乏安全意識， 在辦公區(qū)域隨意堆放本部門的重要文件或是在辦公區(qū)域毫不避嫌談論工作內容，若不小心被其他人拿走或聽到，可能會泄露部門工作機密，甚至是公司機密。為了保證企業(yè)信息的安全保密， 公司所有人員必須嚴格遵守企業(yè)信息安全管理總則，以安全總則為基礎，各部門具體細則為安全管理行為標準，從各個層面杜絕信息安全隱患。二、總則：從整個公司層出發(fā)，針對這些信息隱患制訂安全防范措施。1 、計算機設備安全管理( 1)公司所有人員應保持清潔、安全、良好的計算機設備工作

7、環(huán)境，禁止在計算機應 用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。（2）嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何 人不允許私自拆卸計算機組件， 計算機出現(xiàn)故障時應及時向信息管理部報告， 不允許私自處 理和維修。（3）發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或丟失的，其損失由當事人如數(shù)賠償：違 章作業(yè)；保管不當；擅自安裝、使用硬件和電氣裝置。公司每位員工對自己的工作電腦既有 使用的權利又有保護的義務。 任何的硬件損壞必須給出損壞報告， 說明損壞原因， 不得擅自 更換。公司會視實際情況進行處理。（4）下班后所有不再使用的計算機，應關閉主機電源，以防止意

8、外，對于共同使用的 計算機， 原則上由最后一個退出系統(tǒng)的使用人員關機， 并關閉電源。 外人未經(jīng)公司領導批準 不得操作公司計算機設備。2、部門資料安全管理（ 1）外接存儲設備安全管理：嚴禁所有人員以個人介質光盤、U 盤、移動硬盤等存儲設備拷貝公司的文件資料并帶出公司。 若因出差等原因需要拷貝文件資料到存儲設備中， 需 要向上級請示此行為， 并以公司存儲設備做文件拷貝。 為確保硬盤的安全， 嚴禁任何人私自 拆開電腦機箱：將用戶主機貼上封條標簽，除IT人員外，任何人不得私自拆開機箱，若信管部進行電腦硬件故障排查時， 拆除封條標簽后， 在故障排查結束及時更換新的封條標簽。 信管部將定期檢查，若發(fā)現(xiàn)有封

9、條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關人責任。給 每臺電腦主機配備鎖柜，將所有用戶主機存放在鎖柜內，鎖柜鑰匙統(tǒng)一由IT 保管，若需要為用戶處理電腦故障時， IT 在打開鎖柜處理完電腦故障時，一定要鎖好主機柜，確保主機 內硬盤的安全。（2）文件傳真安全管理：所有人員對外發(fā)送傳真，必須經(jīng)上級核實后，統(tǒng)一在綜合部登記， 由綜合部發(fā)送， 嚴禁個人私自在未經(jīng)許可的情況下對外發(fā)送任何類型的傳真文件，一經(jīng)發(fā)現(xiàn)， 所有后果將由個人承擔。 在對內傳真文件時， 應即刻通知傳真接收人接收并取走傳 真件， 在傳真結束時， 應馬上取走傳真原件。 若因傳真時沒有取走傳真件， 導致傳真件丟失， 造成本部門信息外泄，則由本

10、人承擔一切后果。（3）文件打印安全管理：所有人員不得私自將公司文件打印帶出公司，一經(jīng)發(fā)現(xiàn)，嚴 肅處理。若在上班時間，打印工作文件時，需要即刻在打印機處等候文件的打印，文件打印 完成后馬上取走， 若因文件打印時有其他緊急事件， 應該通知本部門人員代為領取打印文件。 禁止一切打印后未及時取走打印文件的行為，一經(jīng)發(fā)現(xiàn)，將對本人警告，若因打印后，文件 丟失，造成信息資料外泄，則由本人承擔相關責任。（4）文件的存儲安全管理：所有部門人員應每周清理計算機中的文件，清除不需要的 垃圾文件， 將重要的文件和工作資料保存在特定的文件夾里， 每月末應將電腦中的文件資料 做一次備份， 將文件資料備份到部門專用 U

11、盤或移動硬盤上， 確保個人工作資料的文件歸檔， 在電腦突發(fā)性故障或硬盤損壞時， 能夠及時恢復最近的工作資料； 電腦桌面上的文件應每周 末拷貝到非系統(tǒng)盤符中或不要在桌面存放任何工作性文件資料。若因個人原因未執(zhí)行備份， 造成數(shù)據(jù)資料丟失時，將由本人承擔相關后果。若員工離職，在辦完離職手續(xù)后，所在部門 負責人應聯(lián)系信管部協(xié)助將此員工工作資料拷貝到部門U盤或移動硬盤上，若沒有執(zhí)行此安全過程，離職員工損失的文件資料由該部門承擔。（5）辦公區(qū)域的安全管理：所有部門人員每天下班時應保證辦公桌的整潔，將部門重 要文件資料存放在個人抽屜柜中， 并檢查確保辦公桌上沒有存放重要文件或其他有可能泄露 本部門工作內容的

12、信息源。若因資料沒有存放好，被他人取走，造成的后果將由本人承擔。3、帳號密碼安全管理使用者須妥善保管好自己的帳戶和密碼。 嚴防被竊取而導致泄密。 帳戶及密碼由網(wǎng)絡管 理員設置后通知員工， 員工不得隨意更改密碼。 所有員工必須在所使用的計算機中設置開機 密碼和屏幕保護密碼。 為了保護公司的信息資產(chǎn)， 設置密碼時應注意： 密碼至少有 8 個字符 長；密碼必須包含以下任一部分：字母 A-Z 或 a-z ，數(shù)字 0-9 ，特殊字符，例如 $ ， - 等。（ 1）電腦密碼管理：每個員工擁有一個公司內部計算機登錄帳戶，以實名制設置；新員 工申請帳戶時需要向網(wǎng)絡管理員提供姓名、 部門、職位等信息， 網(wǎng)絡管理

13、員將在一天內將賬 戶信息通知其本人。公司所有用戶在分配到工作電腦時, 應首先更改自己的電腦登錄密碼 ,并將個人登錄密碼在綜合管理部登記，若更改密碼后，未進行登記，一經(jīng)網(wǎng)絡管理員發(fā)現(xiàn)， 將對該用戶進行口頭警告。 同時， 因沒有及時向綜合管理部備案造成的電腦故障問題或文件 丟失等問題，綜合管部不承擔責任。（2）應用系統(tǒng)密碼管理：包括BPM金蝶、CTBS郵件系統(tǒng)所有用戶都將分配到一個帳號密碼， 帳號是不變的， 用戶可以更改自己的系統(tǒng)密碼， 密碼盡可能設置為高安全性的復雜 密碼，嚴禁用戶將密碼設置為如 123456 等傻瓜式密碼，若密碼設置過于簡單，被其他用戶 非法登陸后，在系統(tǒng)中將會非法編制篡改單據(jù)

14、，在BPM中非法冒用流程管理權限，若產(chǎn)生此情況，將會導致嚴重的后果；嚴禁將帳號密碼透露給他人，讓他人代己做單據(jù)或辦理流程； 員工調離崗位或離職， 所在部門負責人應及時通知信管部注銷該員工的應用系統(tǒng)帳戶。 若因 以上原因造成的信息安全后果將由本人承擔。（ 3）采用用戶身份認證系統(tǒng)：目前我公司登陸服務器采取的是靜態(tài)密碼認證，這種密碼從而可能保護技術是最低層次的。 在企業(yè)內， 容易被其他部門人員注意到服務器登陸密碼， 會被動機不良的員工登陸到服務器， 破壞服務器數(shù)據(jù)； 在企業(yè)外， 容易遭到黑客字典掃描破 解密碼，從而攻擊各應用服務器，破壞或盜取商業(yè)數(shù)據(jù)等。因此，我部門在未來的發(fā)展規(guī)劃 中，要將用戶身

15、份認證當作安全的一個重大隱患，想辦法解決這個問題。這里，我們可以采取動態(tài)口令牌或USBKEY認證技術，并選擇其中一種技術與公司現(xiàn)有的靜態(tài)密碼技術相結合，動態(tài)口令牌隨機生成動態(tài)密碼，并于60 秒內自動刷新密碼，無法采用數(shù)據(jù)字典掃描破解密碼，讓黑客攻擊行為束手無策；而USBKEY采用USB密鑰，存儲特定的加密算法，只有將USB鑰匙接上電腦，與電腦中存儲的認證軟件驗證通過后，才能進入。我們通過（動態(tài) +靜態(tài)）混合身份認證，或（硬件 +軟件）混合身份認證，保證服務器的登陸 基于網(wǎng)內的行為、網(wǎng)外的行為都是安全的。4、殺毒軟件安全管理用戶使用的殺毒軟件和防火墻已經(jīng)設置好自動調度更新和病毒庫升級，每日定時殺

16、毒， 使用者也應經(jīng)常手動掃描殺毒。5、各類軟件安全管理軟件原始盤片應交綜合部保管，軟、硬件設備的原始資料（軟盤、光盤、說明書及保修 卡、許可證協(xié)議等）交綜合部保管。保管應做到防水、防磁、防火、防盜。使用者必需的操 作守冊由使用者長借、保管。6、郵件安全管理所有因公對外聯(lián)系的電子郵件一律通過公司郵箱在指定的電腦上進行收發(fā)。（參考郵箱管理制度）綜上所述，使用者應該具有一定的安全防范意識，具體應做到： 日常工作信息安全：（1）員工應對在自己公司電腦內公司機密信息的安全負責，當需暫時離開座位時必須 立即啟動屏幕保護程序并帶有密碼。（2）員工有責任正確地保護分配給本人的所有計算機帳戶。（3）各部門經(jīng)理及

17、人事部應及時向綜合管理部提供本部門及公司員工的人事及職位變 動信息。（4）每臺公司電腦內必須安裝反病毒軟件并啟動實時掃描程序。綜合管理部網(wǎng)絡管理 員統(tǒng)一安裝殺毒軟件。（5）不得安裝有可能危及公司計算機網(wǎng)絡的任何軟件，若實在有需要進行軟件測試的 必須將計算機脫離公司計算機網(wǎng)絡進行單機操作。6)任何對公司內部計算機網(wǎng)絡的黑客行為是絕對禁止的，一經(jīng)查實將按公司有關規(guī)定嚴肅處理。 假期時間辦公室的安全： 確保工作電腦的安全，在你離開之前的一周內備份你的文件。在 你即將離開之際確保你的電腦關機并設有開機密碼，其它信息管理部設備的電源也必須切 斷。確保數(shù)據(jù)的安全： 確保你的軟盤， 備份數(shù)據(jù)源和所有機密文件

18、被妥善鎖好。 公司高度秘密和 秘密信息在不用時必須總是被保存在設有密碼鎖或鑰匙的柜中。 公司的機密信息必須存放在 鎖上的辦公桌或文件柜中。當你在外的時候： 不要在任何地方談論公司的機密信息。 公司的競爭對手成員也可能在休假， 而且總在探聽我們公司的消息。任何小小的信息都可能是他們所需要的。當你回來的時候： 如果你發(fā)現(xiàn)在安全方面有任何可疑之處都要向公司有關方面進行匯報。 報 告任何意外對于正確調查和阻止任何更進一步錯誤的行為是很重要的。常規(guī)注意事項(1) 任何外來盤片(包括CD VCD碟片及軟盤)，只有經(jīng)過系統(tǒng)管理員確認不帶病毒后， 才可在公司計算機上使用 . 否則造成病毒感染或其他破壞的，公司

19、將對其責任人進行罰款處 理，每次金額 50元500元。( 2)個人未經(jīng)公司領導允許不得擅自將公司保密的商務資料、技術文件輸出，若需輸 出必須履行審批手續(xù)。申請人填寫申請單，寫明輸出資料內容、份數(shù)、路徑、用途、申請日 期、申請人等項目，經(jīng)部門領導和公司領導共同簽字審批后，交由專人上機操作。( 3)未經(jīng)系統(tǒng)管理員許可，不得從因特網(wǎng)上下載任何軟件安裝，系統(tǒng)管理員將不定期 檢查，發(fā)現(xiàn)有違反本條規(guī)定的，將給予 50 元 500 元的罰款。( 4)嚴禁在工作時間利用計算機網(wǎng)絡從事與本職工作無關的活動，發(fā)現(xiàn)有違反本條規(guī) 定的，將給予 50 元 200 元的罰款。三、細則：從各部門級出發(fā)，針對這些信息隱患制訂

20、安全防范措施。1 、商務部的安全處理措施如下：( 1 )商務招標的安全管理：由商務部門編寫招標計劃， 經(jīng)部門負責人簽字后， 上報總經(jīng)理審批， 總經(jīng)理根據(jù)生產(chǎn)過 程的物料需求及原有的物料商務價格決定是否需要尋找新的貨源，若審批同意后， 商務部才可以開展招標工作。 商務部門制定招標邀請書， 邀請眾多有法人資格、 供貨條件的單位參與 我公司的招標活動。在發(fā)標書的過程中。商務部應遵守下列原則：招標的公開性：對于商 務的招標信息應該公開； 評標的標準和程序應該公開； 中標的結果應該公開。 招標的公平 與公正：對待各方投標者一視同仁，不得對任何投標方帶有主觀意見。招標的保密性：商 務部人員嚴禁以任何形式向

21、投標方透露招標的意向。 評標完成后提交評標報告給總經(jīng)理， 最 后由總經(jīng)理中標、授標。（2）商務價格及供應商的信息安全保密： 商務信息的保密要求商務部所有人員不得以任何形式向其他部門或外部人員透露物料 商務的價格， 嚴禁向他人透露各種物料的供貨來源。 商務部門人員要隨時檢查個人辦公區(qū)域 的文件資料是否存放好， 防止因打印的商務價格表和供應商聯(lián)絡單沒有存放好， 導致商務信 息資料外泄。 要求部門人員要嚴格保管好工作紙質文件， 同時一定要在電腦中設置帶密碼的 屏幕保護確保價格信息與供應商資料的電子信息安全。2、項目部的安全處理措施如下：（ 1）圖紙的安全管理： 項目部的圖紙只允許在部門內部傳閱。在進

22、行項目生產(chǎn)時，工藝員申請借閱項目圖紙， 經(jīng)簽字確認后， 檔案專員將圖紙副本發(fā)放給工藝員， 工藝員負責監(jiān)督技術人員和操作人員嚴 格按照圖紙進行生產(chǎn)， 確保生產(chǎn)過程符合 ISO9000 體系要求。 生產(chǎn)完成后， 工藝員將圖紙返 還給檔案專員，圖紙副本重新歸檔。在借閱過程中，嚴禁借用人將圖紙傳閱給其他人員，一 經(jīng)發(fā)現(xiàn)，必將嚴肅處理。（ 2）工藝技術文件的安全管理： 項目生產(chǎn)的工藝技術文件由計劃員歸檔保存， 在組織生產(chǎn)人員進行操作培訓時， 指導操 作人員學習質量文件和相關工藝規(guī)程， 培訓過程中， 確保工藝技術文件只在培訓過程中流轉， 培訓完成后， 收回所有的技術文件， 禁止任何人以任何理由將文件帶出公

23、司。 禁止任何人復 印、傳真此類文件。（ 3）人員的安全管理： 項目部保管著生產(chǎn)技術文件和圖紙，公司的人員流動很容易造成技術的泄露。鑒于此， 部門應嚴格控制工藝技術文件及圖紙的傳閱。 文件將由專員保管。 禁止部門人員在未經(jīng)允許 的情況下傳真或復印此類文件； 在部門員工調動或離職前， 由部門檔案專員收回該員工所有 工作文件。 若檔案專員調動或離職， 由部門經(jīng)理親自收回該崗位所有的工作資料， 并清點所 有書面文件和電子文件是否存在缺省或丟失的情況， 最大程度避免人員的流動造成技術資料 的外泄。4 、倉儲部存在的安全隱患及處理措施如下：A 物料庫存安全 : 物料采購入庫后，倉儲部做好物資的保管工作，

24、如實登記倉庫實物賬，經(jīng)常清查、盤點 庫存物資，確保系統(tǒng)帳、查存卡、實物一致；做好物資商務、存儲、生產(chǎn)領用各環(huán)節(jié)平衡銜 接工作，做到物料的先進先出，當保管物料的庫存量不足時，及時通知商務部，由商務部制 定新的計劃進行物料商務，再入庫存，確保生產(chǎn)有序進行。B物料信息安全： 倉儲部所有人員不得向任何人以任何形式透露各種物料的供貨數(shù)量、供貨來源。 倉儲部負責人應嚴格規(guī)范部門人員的安全防范意識， 并嚴格存放好入庫單和領料單等紙質單據(jù)， 確 保不會因為單據(jù)的存放不善而泄露物料供貨信息。C倉庫整體安全： 做好物資的存儲工作，按品種、規(guī)格、體積、重量等特征決定存放的方式與位置，倉庫 物品堆放整齊、平穩(wěn)，合理利

25、用儲物空間，減少地面負荷，便于盤存和領取，并有效做到先 進先出；做好倉庫的安全、防火、防盜、防爆、衛(wèi)生工作，確保倉庫和物資的安全；對危險 品需進行單獨存放與隔離、管制。5. 技術部門的安全處理措施如下：（ 1）圖紙的歸檔 ：A、外來書面圖紙：公司指定收件人收到后整理并編制歸檔，確認完整無誤后，交由綜 合部檔案管理員。圖紙藍圖郵寄到北京，復印件登記，入庫經(jīng)總經(jīng)理批示發(fā)放至相應部門。B電子版圖紙：外來電子版圖紙，由公司指定專人負責接收。打印一份，并同時將電 子文件交檔案管理員登記入庫， 經(jīng)總經(jīng)理批示發(fā)放至相應部門； 若外來電子版圖紙已由對方 傳至我方項目人員處， 項目人員應將圖紙資料整理后報綜合部

26、存檔， 由綜合部統(tǒng)一打印及按 公司規(guī)定下發(fā)至相應的職能部門， 若出現(xiàn)圖紙變更時， 綜合部應及時替換舊版電子圖， 并回 收已發(fā)放的舊版圖紙。C、 內部設計電子版圖紙： 在工程完工后一周內， 技術人員應將最后定稿圖紙交由綜合 部，由其在三天內加密統(tǒng)一刻錄光盤。 一式兩份， 公司領導及綜合部檔案管理員各保管一份。（2） 外來工藝文件、技術規(guī)格書 ： 技術人員在收到文件后 1 個工作日內整理無誤， 交綜合部檔案管理員登記、 入庫經(jīng)總經(jīng) 理批示后方能發(fā)放。（ 3）內部擬定的工藝文件、技術規(guī)范文件 ：A、公司自行編寫的生產(chǎn)工藝文件， 經(jīng)總經(jīng)理審批簽署后交綜合部檔案管理員入庫存檔。B 、移交文件時， 移交人

27、應備有檔案實體和目錄， 經(jīng)檔案管理員對照驗收無誤后方能辦 理移交登記手續(xù)。C、 檔案管理專員應仔細檢查文件材料是否完整、齊全、簽署是否齊全、凡不符合規(guī)定 要求者，有權拒絕接收，并限期改正補交。D 、移交時，移交和 接收文件方均應建立書面移交記錄。(4) 技術圖書、期刊、標準的管理 :公司購入的技術圖書、 期刊和標準， 均屬公司固定資產(chǎn)， 應由綜合部加蓋行政專用章后 登記、入庫、領用、借用、查閱應辦理審批、發(fā)入登記手續(xù)。損壞、丟失應由責任人負責全 價賠償或購買新書。(5) 技術，項目往來傳真件 : 綜合部收到技術文件后，下發(fā)到相應部門，相關責任人簽收簽字。同時保留復印件，按 項目不同分類，待項目

28、結束后，各負責人將其保存的傳真復印件整理裝訂后歸檔。(6) 技術，項目往來電子郵件 : 由公司指定接收人以及綜合部郵箱管理員定期下載整理。 每月將電子郵件交綜合部統(tǒng)一 刻制成光盤存檔。(7) 本行業(yè)其他公司宣傳畫冊、樣本、產(chǎn)品信息等文件，由綜合部按樣本資料明細表 登記保管，使用人可查詢使用，不得私自留存。(8) 技術文件的復印 :歸檔的技術文件確因工作原因需要復印時， 須由使用人到綜合部填寫 資料復印申請表 經(jīng)總經(jīng)理批準后，綜合部指定人員復印后發(fā)放至使用人。(9) 技術文件的借閱A、借閱手續(xù)：各部門有關工作人員因工作需要借閱歸檔技術文件，應辦理調閱手 續(xù)，經(jīng)部門負責人簽字，交公司領導批準后方可

29、辦理借閱手續(xù)。B借閱記錄：檔案管理員應有清楚、準確的借閱記錄，包括借閱人、借閱資料名 稱、借閱時間、歸還時間、簽字等。C借閱時間：一般最長不超過8個工作時，超過 8個小時需在辦理調檔申請時特別說明。如員工因工作原因經(jīng)批準需要帶出資料時，則其返回后一個工作日內歸還。D歸還要求：借閱的資料交還時，必須由經(jīng)辦人當面點交清楚，如發(fā)現(xiàn)遺失或損 壞，應立即報告領導，同時應追究使用人的責任。公司所有技術文件均應先由綜合部專人登記入庫后，經(jīng)總經(jīng)理批示后分發(fā)至相應 部門負責人處，由其向部門員工下發(fā)。各部門負責人應做好本部門技術資料的保密工 作，若保管技術資料人員離職時應向綜合部交回相關的技術資料。綜合部下發(fā)技術

30、文 件時，須由簽收人簽字確認。6. 質管部的安全處理措施如下：(1) 工藝文件的安全管理 :部門檔案專員保管本部門的工藝文件。此文件用于檢驗新工藝生產(chǎn)過程中各環(huán)節(jié) 是否存在質量不合格的情況，若要進行生產(chǎn)過程檢驗，在部門負責人授權下，部門檔 案專員將工藝文件副本傳閱給質量管理工程師及部門其他管理人員，質量工程師或其 他管理人員根據(jù)工藝文件的標準，對生產(chǎn)現(xiàn)場各道工序施工工藝、 方法、 操作規(guī)程進行檢 查監(jiān)督，提出生產(chǎn)過程中的不合項，對不合格項進行跟蹤驗證。生產(chǎn)過程檢驗完畢后，質量 工程師將工藝文件副本返還給部門檔案專員， 最后由檔案專員進行文件歸檔。 工藝文件僅允 許部門內部管理人員傳閱， 不得借

31、閱給其他任何部門及工人。 若部門管理人員借閱工藝文件 后，造成的文件丟失，則借閱者承擔相關責任。(2) 驗收圖紙的安全管理 : 驗收圖紙用于檢驗生產(chǎn)完工后的產(chǎn)品是否合格，由部門檔案專員保管。質量工程 師借閱驗收圖紙后，以此為標準對完工產(chǎn)品進行鑒定，若合格，則調入成品庫；若不合 格，則對不合格項進行跟蹤驗證，直到產(chǎn)品合格為止。驗收圖紙借閱分為以下幾種情況： 內部管理人員借閱。 驗收圖紙只允許本部門內管理人員的互相傳閱， 借閱人在檔案專員處登 記，確定歸還時間后，檔案專員對其分發(fā)驗收圖紙副本，借閱完后，及時歸還給檔案專員， 禁止傳閱給部門非管理人員。 技術研發(fā)部人員借閱。 只有技術研發(fā)部人員才能借

32、閱本部門 驗收圖紙。在借閱時，要遵守借閱流程，在技術研發(fā)部經(jīng)理簽字后，上報總經(jīng)理審批，總經(jīng) 理審核通過后， 質管部方可將驗收圖紙副本借閱給相關人員， 并要求在 8 個小時內歸還圖紙。 圖紙借閱過程中，嚴禁將圖紙傳閱給其他人員，或私自將圖紙進行復印或掃描，一經(jīng)發(fā)現(xiàn)， 必將嚴肅處理。 驗收圖紙不得傳閱給其他部門人員， 也不得傳閱給本部門非管理人員。 一 經(jīng)發(fā)現(xiàn)，追究檔案專員相關責任。7. 財務部的安全處理措施如下：(1) 財務部為公司重要數(shù)據(jù)信息部門，除本部門在內工作外，其他無關人員不得入內。(2) 財務人員去銀行取現(xiàn)金、支票等，應兩人以上同行，禁止途中辦理任何與此項工作 無關事宜。(3) 妥善存

33、放支票，支票與有效密碼及專用印鑒要分別存放。(4) 出納人員不得私配保險柜鑰匙，不得將保險柜密碼外傳，過節(jié)或放假時，要與綜合 部配合，對保險柜加貼封條。 若因密碼鑰匙保管不善，導致現(xiàn)金及其他財產(chǎn)損失，將由本 人承擔一切損失。(5) 會計人員應妥善保管好各類憑證及發(fā)票，不得在憑證發(fā)票隨意擺放在辦公桌的情況 下離開辦公區(qū)域。 憑證發(fā)票錄入核對完畢， 應立即整理存放到財務憑證專柜中， 同時確保上 鎖，并妥善保管好鑰匙，若因以上原因造成財務數(shù)據(jù)丟失，將由本人承擔一切后果。(6) 財務人員應保管好電子銀行或其他一切與財務有關的加密鎖，在使用時，使用人不 得離開電腦， 確保所做的一切操作均出自本人之手。

34、若使用完畢， 一定要將加密鎖存放于財 務專柜中妥善保管。(7) 財務部門因為數(shù)據(jù)的重要性，因此對安全的要求很高。在使用電腦時，要求財務部 門人員一定要每天升級殺毒軟件， 若電腦出現(xiàn)異常， 應聯(lián)系信管部查明原因， 是否能安全操 作。(8) 財務部是企業(yè)工資的發(fā)放部門，掌管著企業(yè)全體人員的工資詳情。由于工資向來是 公司的敏感信息， 因此， 財務的工作要求財務所有人員應嚴格遵守職業(yè)素養(yǎng)， 嚴禁財務部人 員以任何形式向任何人透露工資或獎金信息。8. 綜合部的安全處理措施如下：(1) 技術類文件、圖紙和圖書的安全管理 : 綜合部指定收件人收到外來書面圖紙后整理并編制歸檔，確認完整無誤后，交由 檔案管理員

35、。圖紙藍圖郵寄到北京，將復印件登記，再經(jīng)總經(jīng)理批示后發(fā)放至相應部 門。綜合部指定收件人接收到外來電子版圖紙，打印一份，并同時將電子文件交檔案 管理員登記入庫，經(jīng)總經(jīng)理批示發(fā)放至相應部門，若圖紙出現(xiàn)變更時，綜合部應及時 替換舊版電子圖，并回收已發(fā)放的舊版圖紙。公司購入的技術圖書、期刊和標準，均 屬公司固定資產(chǎn)，應由綜合部加蓋行政專用章后登記、入庫、領用、借用、查閱應辦 理審批、發(fā)入登記手續(xù)。損壞、丟失應由責任人負責全價賠償或購買新書。(2) 涉外合同的安全管理 :綜合部統(tǒng)一管理各部門的涉外合同。 各部門將已蓋章的合同原件提交給綜合部后， 由綜合部將其分類歸檔到指定的檔案盒中，并將檔案盒編號題名存

36、放于指定的檔案柜 中，將檔案柜鎖好。由指定的檔案管理員保管鑰匙。各部門需要借閱已歸檔的合同資 料，需要向綜合部提出申請，經(jīng)綜合部負責人審批通過后，檔案管理員方可開啟檔案 盒調出文件發(fā)放給相關部門； 原則上不允許各部門向綜合部借閱其他部門的合同資料，若確因工作原因需要借閱，則應提交總經(jīng)理審批，綜合部在看到總經(jīng)理的簽字后方可 指派檔案管理員借出資料，并規(guī)定借閱時間不得超過 8 個小時，由借閱人簽字，在借 閱過程中造成的合同資料丟失，將由借閱人承擔相關后果。嚴禁檔案管理員在未經(jīng)許 可的情況下私自開啟任何類型的檔案盒；嚴禁檔案管理員將檔案柜鑰匙借給任何人， 若因此造成的合同信息泄露、合同丟失將由檔案管

37、理員承擔一切責任。(3) 工資編制的安全管理 : 綜合部統(tǒng)一核算管理人員和工人工資。工資針對于所有部門都是保密的，綜合部 在核算員工工資的時候，應該謹慎處理，如在電子表的發(fā)送之前，可以設置相應的密 碼，防止不小心發(fā)送到其他人電腦上，在打印工資表的時候，應單獨設置非監(jiān)控直接 打印，并立即去打印機取走打印表。工資的核算應嚴格以考勤、績效為依據(jù)核算，不 得擅自更改原始依據(jù)。工資核算完成后，上報公司領導審批。嚴禁工資核算人向他人透露公司工資及獎金信息，嚴禁在任何場合與他人討論工 資話題，一經(jīng)發(fā)現(xiàn)，將追究其相關責任。9. 信管部的安全處理措施如下：(1) 計算機網(wǎng)絡設備安全管理 : 公司所有計算機及網(wǎng)絡

38、設備統(tǒng)一歸信息管理部管理。本制度所涉及產(chǎn)品的界定：A、計算機是指為公司內部員工使用的PC機(包括CPU硬盤、內存、機箱、顯示器、網(wǎng)卡、鍵盤和鼠標。主機板和顯示卡由本公司提供，如非特殊需要不配備光驅和軟驅。)B網(wǎng)絡設備是指公司內部使用的服務器、網(wǎng)絡交換機、路由器、集線器、以及網(wǎng)絡接 入設備等。C計算機其他配件是指公司備用的光驅、軟驅等。D附帶軟件包括計算機驅動盤、系統(tǒng)安裝盤、程序安裝盤等。E、包括計算機及耗材的商務計劃、故障維修等項工作。在員工電腦各組件老化或損壞，嚴重影響工作效率時，信管部可申請以舊換新或 報廢處理。若需要報廢，則填寫報廢申請單經(jīng)部門負責人確認后上報總經(jīng)理審批，審 批通過后才能

39、作報廢處理，信管部不得擅自處理破舊的電腦或電子設備。(2) 公司所有輸入輸出設備統(tǒng)一歸信息管理部管理 :輸入輸出設備包括掃描儀， 傳真機， 打印機。 使用者在使用此相關設備遇到問題可尋信 息管理部幫助。 在使用設備過程中遇到故障要及時向信息管理部反映， 以便信息管理部及時 查找原因，解決故障。(3) 公司視頻會議設備和視頻監(jiān)控設備統(tǒng)一由信息管理部管理 :A視頻會議設備包括視頻會議服務器、視頻會議終端、SONY攝像頭、會議話筒、電視、投影儀以及鍵盤、 接收器、 遙控器和線材部分。 信息管理部負責以上設備的維護管理工作包 括視頻會議的搭建。B 視頻監(jiān)控設備包括監(jiān)控服務器、監(jiān)控系統(tǒng)以及各路視頻采集器

40、。信息管理部負責各路 視頻的監(jiān)控以及備份和維護工作。(4) 信息化系統(tǒng)帳戶安全管理 系統(tǒng)管理帳號的設置與管理A、系統(tǒng)管理帳號必須經(jīng)過總經(jīng)理授權取得。B系統(tǒng)管理員負責系統(tǒng)帳套環(huán)境生成、維護，負責一般操作帳號的生成和維護，負責 故障恢復等管理及維護；自定義表單的生成、流程的建設和優(yōu)化。C系統(tǒng)管理員對業(yè)務系統(tǒng)進行數(shù)據(jù)整理、故障恢復等操作，必須有相關部門的簽字和 領導的審批授權。D操作用戶需要增加或修改權限需要填寫用戶權限申請表，并經(jīng)過本部門負責人簽字 后交由總經(jīng)理審核，通過后，再由信息管理部作權限相關處理。E、系統(tǒng)管理員不得使用他人帳號進行業(yè)務操作。F、系統(tǒng)管理員調離崗位或離職，信息管理部負責人應及

41、時注銷其帳號并生成新的系統(tǒng) 管理員帳號。一般操作帳號的設置與管理A、一般操作帳號由系統(tǒng)管理員根據(jù)各類應用系統(tǒng)操作要求生成，應按每用戶一帳號對 應設置。B操作員調離崗位，系統(tǒng)管理員應及時注銷其帳號并在新員工入職時根據(jù)需要生成新 的操作員帳號。(5) 密碼安全管理A、終端計算機密碼安全管理：系統(tǒng)管理員及時登記公司所有用戶電腦密碼，制成用 戶電腦密碼登記 文件。在用戶人員變動或電腦更換時， 系統(tǒng)管理員及時登記相應的新密碼。B應用服務器密碼安全管理：包括財務服務器、BPM服務器、自動化服務器、郵箱服務器。 信息管理部為確保服務器置于外網(wǎng)相對安全， 針對每個服務器創(chuàng)建一個復雜的、 不同 的密碼，并每年更

42、換一次新密碼。制成服務器密碼登記文件，并提交給部門負責人。C防火墻/路由器密碼安全管理：防火墻和路由器的密碼和服務器管理方法一樣，設置 成不同的、復雜的密碼，并每年更換一次，將密碼登記到網(wǎng)絡設備密碼登記文件中，并 提交給部門負責人。D財務和BPM系統(tǒng)密碼安全管理：財務和BPM系統(tǒng)密碼分為管理員密碼和操作用戶密 碼。系統(tǒng)管理員登錄密碼由財務和BPM管理員掌管，為保證系統(tǒng)安全需要定期更改時，及時上報部門負責人。操作用戶密碼由財務和 BPMW理員在創(chuàng)建帳戶時初始生成，信息管理部發(fā)放帳號密碼后，由用戶本人修改密碼，并自行保管好自己的密碼，如特殊原因忘記密碼時， 由ERP/OA管理員幫其初始化密碼。信管

43、部應將所有的服務器和網(wǎng)絡設備設置不同的密碼，所有的密碼僅限于信管部 內部人員掌握，不得向其他部門人員透露，在特殊情況下，需要供應商做遠程調試時， 方可透漏相關設備密碼，在調試結束后，應盡快更改密碼。并通知部門內其他人員。 由于服務器及網(wǎng)絡設備均置于公網(wǎng)上，容易受到不法分子攻擊，因此，需要定期更改 密碼，且密碼復雜性盡可能設置高。（6）數(shù)據(jù)備份安全管理定期備份財務服務器、自動化服務器、BPM服務器、郵箱服務器。具體備份方法如下：每天早上自動備份一次， 每月手動備份一次。 備份完成后， 將備份文件轉存到其他電腦 上或移動硬盤上做異地歸檔， 以防本地硬盤發(fā)生故障時能隨時做災難恢復。 數(shù)據(jù)清理前必須

44、對數(shù)據(jù)進行備份， 在確認備份正確后方可進行清理操作。 歷次清理前的備份數(shù)據(jù)要根據(jù)備份 策略進行定期保存或永久保存， 并確保可以隨時使用。 數(shù)據(jù)清理的實施應避開企業(yè)網(wǎng)絡應用 高峰，避免對各部門工作造成影響。數(shù)據(jù)的清理包括：A、財務系統(tǒng)中錯誤單據(jù)的清理、錯誤初始資料的清理、人員變動記錄的清理。B BPM系統(tǒng)中錯誤流程的清理、錯誤審批單的清理、人員變動記錄的清理。C郵箱系統(tǒng)中垃圾郵件的清理、人員變動記錄的清理。D用戶電腦中系統(tǒng)垃圾文件的清理、IE緩存的清理。7）信息資料安全管理A、加密系統(tǒng)管理；目前我公司使用的是天盾文檔加密系統(tǒng)，對常用辦公軟件office 、pdf 、 AutoCAD 文件加密，公

45、司內部的此類文件被帶出公司后，顯示在其他的電腦上均為亂 碼， 保證了各個部門在未授權的情況無法將公司的文件資料泄露出去。然而， 我公司因為之前的需求， 加密軟件使用的是單機版與網(wǎng)絡版混合使用的， 網(wǎng)絡版可以根據(jù)策略的下發(fā)， 實 現(xiàn)文件在企業(yè)網(wǎng)的加密、反截圖、禁USB等功能，但脫離局域網(wǎng)后，電腦無法打開文件，若有出差人員在外地使用電腦， 就無法使用網(wǎng)絡版； 而單機版就解決了出差人員電腦加密的問題，可以正常打開公司的文件，但這里存在一個安全風險，若出差人員的電腦被盜，將會造 成企業(yè)信息資料的外泄。 針對以上情況， 我們需要尋找一種更加適合的加密軟件， 確保使用 一種版本就能夠融合單機與網(wǎng)絡的優(yōu)勢。

46、 我們需要這種加密軟件實現(xiàn)如下功能： 能夠通過控 制臺在公司網(wǎng)內加密指定類型的文件，同時可以設置不同的加密權限對應于不同的用戶組； 能夠根據(jù)需要設置文件能否在脫離公司網(wǎng)的情況下使用以及使用的時間限制等； 能夠加密原 加密軟件不支持的文件類型；能夠熒熒于所有的windows平臺上；能夠禁用 USB存儲設備，不禁用USB外設；能禁止用戶屏幕截圖；能審計打印等。B大藍監(jiān)控軟件管理：監(jiān)控軟件在很大程度上起到威懾作用，監(jiān)控軟件能夠記錄所有 用戶在個人電腦上的一舉一動，通過實時屏幕監(jiān)控、屏幕錄象、插入存儲設備報警、網(wǎng)頁及 程序過濾等功能及時抓出威脅企業(yè)信息安全的元兇。C打印控制軟件管理：打印控制軟件應用后，員工的打印需要在管理員審核通過后方能打印， 若管理員審核到某員工的打印內容涉及本公司信息安全， 拒絕員工的打印。 在審核 通過、打印完成后，管理員可隨時調出以前的打印記錄，保證了及時信息安全責任追究。D設備送外維修，須經(jīng)設備管理部門負責人批準。送修前，需將設備存儲介質內應用 軟件和數(shù)據(jù)備份后刪除，并進行登記。對修復的設備，設備維修人員應對設備進行驗收、病 毒檢測和登記。E、信息管理部和綜合部對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善 處理廢棄無用的資料