xxx信息安全管理制度

1、構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納上海 xxx 電子商務(wù)有限公司信息安全管理制度目錄第一章關(guān)于信息安全的總述1第二章信息安全管理的組織架構(gòu)2第三章崗位和人員管理3第四章信息分級與管理3第五章信息安全管理準則3第六章信息安全風(fēng)險評估和審計8第七章培訓(xùn)9第八章獎懲9第九章附則9第一章關(guān)于信息安全的總述第一條為了維護公司信息的安全，確保公司不因信息安全問題遭受損失，根據(jù)公司章程及相關(guān)制度，特制定本制度。第1頁共9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納第二條（信息安全的概念）本制度所稱的信息安全是指在信息的收集、產(chǎn)生、處理、傳遞、存儲等過程中，做到以下工作：1）確保信息保密，但在經(jīng)過授權(quán)

2、的人員需要得到信息時能夠在可以控制的情況下獲得信息；2）保證信息完整和不被滅失，但在特定的情況下應(yīng)當銷毀一些不應(yīng)保存的信息檔案；3）保證信息的可用性。第三條（制度的任務(wù)） 通過對具體工作中關(guān)于信息安全管理的規(guī)定，提高全體員工的安全意識，增強公司經(jīng)營過程中信息的安全保障，最終確保公司所有信息得到有效的安全管理，維護公司利益。第四條（制度的地位） 本制度是公司各級組織制定信息安全的相關(guān)措施、標準、 規(guī)范及實施細則都必須遵守的信息安全管理要求。第五條（制度的適用范圍） 全體員工均必須自覺維護公司信息的安全，遵守公司信息安全管理方面的相關(guān)規(guī)定。一切違反公司信息安全管理規(guī)定的組織和員人，均予以追究。第六

3、條（信息的概念） 本制度所稱的信息是指一切與公司經(jīng)營有關(guān)情況的反映（或者雖然與公司經(jīng)營無關(guān)， 但其產(chǎn)生或存儲是發(fā)生在公司控制的介質(zhì)中），它們所反映的情況包括公司的經(jīng)營狀況、財務(wù)狀況、組織狀況等一切內(nèi)容，其存儲的介質(zhì)包括紙質(zhì)文件、電子文件甚至是存在員工大腦中。具體來說，包括但不限于下列類型：1、 與公司業(yè)務(wù)相關(guān)的各個業(yè)務(wù)系統(tǒng)中的信息，如設(shè)計文檔、源代碼、可執(zhí)行代碼、配置、接口以及相應(yīng)的數(shù)據(jù)庫和數(shù)據(jù)庫相關(guān)備份等；2、 與公司業(yè)務(wù)相關(guān)的各種業(yè)務(wù)數(shù)據(jù)，如用戶資料、 經(jīng)銷商資料、 合作伙伴信息、 合同、各業(yè)務(wù)系統(tǒng)運行時數(shù)據(jù)、各類統(tǒng)計數(shù)據(jù)和報表、收入數(shù)據(jù)等；3、 與公司內(nèi)部管理相關(guān)的各類行政數(shù)據(jù)，如人事資

4、料、人事組織結(jié)構(gòu)等；4、 與公司財務(wù)管理相關(guān)的財務(wù)類數(shù)據(jù)，如采購信息、資產(chǎn)信息、財務(wù)信息；5、 其他如公司各分子公司和外地辦事結(jié)構(gòu)的數(shù)據(jù)；公司員工對內(nèi)、 對外進行各種書面的、口頭的信息傳播行為等。第七條 （信息安全工作的重要性）信息安全管理是公司內(nèi)部管理的一項重要及長期性的工作，其貫穿整個公司各項業(yè)務(wù)與各個工作崗位， 各個中心和部門必須積極配合該項工作的開展。第二章 信息安全管理的組織架構(gòu)第八條公司最高管理層是公司信息安全管理工作的最高領(lǐng)導(dǎo)者，負責(zé)全面把握公司信息安全管理工作方向。第2頁共9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納第九條公司 CTO以及其領(lǐng)導(dǎo)的技術(shù)專家小組作為信息安全管理工

5、作顧問小組，負責(zé)指導(dǎo)公司信息安全管理工作。第十條公司成立專門的信息安全管理工作小組，負責(zé)檢查信息管理風(fēng)險、制定安全管理規(guī)范、監(jiān)督公司信息安全管理工作。第十一條公司人力資源部、法務(wù)部、支付運維部及技術(shù)專家小組作為信息安全管理輔助執(zhí)行機構(gòu)配合信息安全小組工作執(zhí)行。第三章崗位和人員管理第十二條涉及到信息安全的崗位和人員的權(quán)責(zé)必須清晰明確，建立責(zé)任人機制，任何信息都有明確的責(zé)任人進行負責(zé)。第十三條加強對機要崗位人員的管理，嚴格控制機要崗位人員的人事變動，加強日常工作監(jiān)管。第十四條定期對員工進行信息安全培訓(xùn)，確保員工了解信息安全存在的威脅和問題，在日常工作中切實遵守信息安全政策。第四章信息分級與管理第十

6、五條信息分級依據(jù)信息的價值，或者信息在不安全情況下對公司及合作伙伴的直接或潛在影響。第十六條公司各類經(jīng)營管理信息均屬公司無形資產(chǎn)，都必須按照規(guī)定的分級方式進行分級，并明確標注。第十七條公司為每級信息制定最低安全操作原則，以指導(dǎo)各項具體操作手冊的制定和具體信息操作。第十八條注：詳細的信息分級標準，以及最低安全操作原則，見信息分級和管理標準。第五章信息安全管理準則第一節(jié)實體和環(huán)境安全第十九條關(guān)鍵或敏感信息的存放和處理設(shè)備需要放在安全的地方，并使用相應(yīng)的安全防護第3頁共9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納設(shè)備和準入控制手段進行保護， 確保這些信息或設(shè)備免受未經(jīng)授權(quán)的訪問、 損害或者干擾。具

7、體措施如下：1. 存放或處理信息的設(shè)備，如服務(wù)器、存儲設(shè)備等，應(yīng)該放在公司內(nèi)部機房或?qū)I(yè)、可信的 IDC機房內(nèi)。2. 存放公司重要信息的 IT 設(shè)備接入網(wǎng)絡(luò)環(huán)境（特別是接入公網(wǎng)環(huán)境）必須經(jīng)過嚴格的安全檢查， 配備符合安全要求的網(wǎng)絡(luò)設(shè)備和安全防范設(shè)備，并采取有效的管理措施確保不被入侵或數(shù)據(jù)泄露。3. 對于那些不能放在機房里，但又存放有關(guān)鍵或敏感信息的設(shè)備，如文件服務(wù)器，代碼管理服務(wù)器等，必須放在有嚴格進出限制的房間里，不得放在公共辦公區(qū)域。4. 對于存放紙質(zhì)文件的文件柜和文件室，必須有鎖或其他安全控制裝置，并指定專人負責(zé)文件取放。5.對于紙質(zhì)文件或可移動存儲介質(zhì)，暫時不用時， 需存在合適的加鎖的

8、柜子和/ 或其它形式的安全設(shè)備中，并且可移動存儲介質(zhì)上的重要文件需要加密保護。第二十條嚴格控制進出安全區(qū)域的人員，并使用必要的監(jiān)控設(shè)備或手段監(jiān)視人員在安全區(qū)域的行為。具體包括：1. 安全區(qū)域是指為存放關(guān)鍵或敏感信息，以及信息處理設(shè)備，而劃分出來有進入控制手段的區(qū)域。2. 內(nèi)部員工進入安全區(qū)域必須經(jīng)過授權(quán)，并登記進入和離開時間。3. 外來人員在安全區(qū)內(nèi)工作，除需要經(jīng)過授權(quán)外，必須在適當?shù)谋O(jiān)視下進行工作。4. 人員隨身攜帶物品或設(shè)備進出安全區(qū)域必須經(jīng)過檢查。第二十一條存放關(guān)鍵或敏感信息的介質(zhì)或設(shè)備離開工作環(huán)境（安全區(qū)域），運輸、 攜帶或在外部使用，需采取保護手段，防止信息竊取和損壞。第二十二條 存

9、放關(guān)鍵或敏感信息的介質(zhì)或設(shè)備，如果不再使用或轉(zhuǎn)作其他用途，應(yīng)將其中的數(shù)據(jù)進行徹底銷毀。應(yīng)注意選擇數(shù)據(jù)銷毀手段，確保數(shù)據(jù)真正無法恢復(fù)。第二節(jié)操作管理第二十三條明確所有信息處理操作的流程，明確流程中每個環(huán)節(jié)的責(zé)任，確保信息處理過程安全無誤。具體措施如下：1. 信息處理過程或操作步驟應(yīng)整理成正式文檔，改動處理過程必須得到管理層授權(quán)，第4頁共9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納操作人員必須按照信息處理的規(guī)定程序操作；2. 信息處理職責(zé)劃分清晰，并通過訪問控制、接觸限制機制確定授權(quán)人員身份；3. 定期檢查人員權(quán)限列表。第二十四條 信息系統(tǒng)必須建立詳細的操作規(guī)范和要求，并對這些操作規(guī)范進行備案，

10、進行定期檢查，及時更新操作規(guī)范。第二十五條 各信息管理部門應(yīng)采取有效取防范措施防止和檢測惡意軟件的入侵信息系統(tǒng)或設(shè)備，防范措施必須由安全部門制定或經(jīng)過安全部門審核。第二十六條 根據(jù)信息使用特性建立備份策略和恢復(fù)流程，留存一個或多個數(shù)據(jù)備份，并演練數(shù)據(jù)恢復(fù)流程。第二十七條 信息系統(tǒng)應(yīng)記錄操作日志、事件日志和錯誤日志，根據(jù)信息等級和類型制定日志信息的保存期限，并且在適當?shù)臅r候可監(jiān)視設(shè)備運行和操作環(huán)境情況。第三節(jié)訪問控制第二十八條 制定正式流程控制信息系統(tǒng)訪問權(quán)限與服務(wù)使用權(quán)限的分配。這些流程應(yīng)該涉及用戶訪問生命周期的各個階段，從初期的新用戶注冊到用戶因不再要求對信息系統(tǒng)和服務(wù)進行訪問而最終取消注冊

11、，定期對用戶訪問權(quán)限進行檢查。第二十九條公司統(tǒng)一建立員工的身份信息庫，并為每位員工配備相應(yīng)身份卡，所有信息必須使用實名訪問， 除非信息明確標注可被匿名訪問或使用其他認證策略。對于紙質(zhì)文檔的借閱、復(fù)印等需用身份卡進行實名登記，對于信息系統(tǒng)的訪問必須使用統(tǒng)一的用戶實名認證。第三十條信息的邏輯訪問權(quán)僅應(yīng)授予合法用戶，信息系統(tǒng)應(yīng)該滿足以下要求：1. 根據(jù)已經(jīng)確定的業(yè)務(wù)訪問控制策略來控制信息系統(tǒng)功能的用戶訪問權(quán)；2. 防止能夠越過系統(tǒng)訪問控制措施的實用程序和操作系統(tǒng)軟件的非法訪問；3. 不妨害其它與之共享信息資源的系統(tǒng)的安全；4. 僅能向信息所有者、其它指定的合法個人或定義的用戶組提供信息訪問。第四節(jié)系

12、統(tǒng)開發(fā)和維護第三十一條新系統(tǒng)和改進系統(tǒng)在建設(shè)過程中都應(yīng)該考慮信息安全的需求，并采取相應(yīng)的防范第5頁共9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納措施，包括：1. 系統(tǒng)包括基礎(chǔ)設(shè)施、自主開發(fā)的業(yè)務(wù)應(yīng)用程序和第三方開發(fā)的應(yīng)用程序；2. 涉及關(guān)鍵或敏感信息的基礎(chǔ)設(shè)施和自主開發(fā)程序的安全設(shè)計方案必須經(jīng)過信息安全管理組織審核；3. 從外部采購商用軟件或系統(tǒng)需要進行安全評估，需要達到公司信息安全要求。第三十二條 系統(tǒng)開發(fā)過程的產(chǎn)物（如設(shè)計文檔，源代碼，算法等）應(yīng)嚴格管理，確保無關(guān)人員無法接觸，并可有效控制這些產(chǎn)物傳播范圍。第三十三條 對于系統(tǒng)中不可避免需要暴露的敏感信息，必須采取有效措施確保信息不會被無

13、關(guān)人員獲取或者確保信息不可被非法使用。第三十四條 系統(tǒng)開發(fā)過程必須有配套的項目管理工作，以保證相關(guān)項目中可能涉及到信息得到有效的管理。第三十五條系統(tǒng)維護必須做到權(quán)限清晰，系統(tǒng)中的重要數(shù)據(jù)必須指定專人負責(zé)數(shù)據(jù)管。第三十六條開發(fā)、測試和線上環(huán)境分開，重要系統(tǒng)的開發(fā)、測試和維護職責(zé)必須分離。系統(tǒng)開發(fā)或變更結(jié)束， 開發(fā)團隊應(yīng)與維護團隊進行正式的系統(tǒng)交接工作， 并提供必要的技術(shù)文檔。第五節(jié)信息流轉(zhuǎn)、使用和發(fā)布第三十七條 公司信息對外發(fā)布由公司負責(zé)公共關(guān)系及投資者關(guān)系部門統(tǒng)一負責(zé)，所有員工應(yīng)當嚴格遵守相關(guān)部門制定的信息發(fā)布政策。第三十八條采取有效措施保護通過網(wǎng)絡(luò)傳送的關(guān)鍵或敏感信息，具體措施如下：1、 利

14、用公共網(wǎng)絡(luò)傳送信息或進行交易處理，應(yīng)評估可能的信息風(fēng)險，確定信息傳送的完整性、機密性、身份鑒別及不可否認性等安全需求，并針對數(shù)據(jù)傳輸、網(wǎng)絡(luò)線路與設(shè)備、與外部的網(wǎng)絡(luò)接口及路由器等事項，采取妥善適當?shù)陌踩毓艽胧?、 開放外界連接的信息系統(tǒng)，應(yīng)根據(jù)數(shù)據(jù)及系統(tǒng)重要性和價值，采用數(shù)據(jù)加密、身份鑒別、 電子簽名、 防火墻及安全漏洞偵測等不同安全類型的技術(shù)或措施， 防止數(shù)據(jù)及系統(tǒng)被侵入、破壞、竄改、刪除及未經(jīng)授權(quán)的存取。與外界網(wǎng)絡(luò)連接的接口，應(yīng)使用防火墻及其他必要的安全設(shè)施，控管外界與公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)傳輸與資源存取。4、 開放外界連接的信息系統(tǒng)，必要時應(yīng)以代理服務(wù)器等方式提供外界存取數(shù)據(jù)，避免第6頁共

15、9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納外界直接進入信息系統(tǒng)或數(shù)據(jù)庫存取數(shù)據(jù)。5、 存有關(guān)鍵或敏感信息的系統(tǒng)，應(yīng)加強安全保護措施，防止關(guān)鍵或敏感信息遭不當或不法的竊取使用。6、 內(nèi)部員工之間或內(nèi)部員工與外部人員發(fā)送關(guān)鍵或敏感的信息，必須使用公司信息安全管理組織指定的傳送方式。第三十九條公司應(yīng)采取有效措施保護通過郵件傳送的關(guān)鍵或敏感數(shù)據(jù)，具體措施如下：1、 機密性數(shù)據(jù)以外的敏感性數(shù)據(jù)及文件，如有電子傳送的需要，各部門應(yīng)是需要以適當?shù)募用芑螂娮雍灻劝踩夹g(shù)處理；2、 機密數(shù)據(jù)原則上不建議使用電子郵件傳送。如果業(yè)務(wù)性質(zhì)特殊，必須利用電子郵件或其他電子方式傳送機密性數(shù)據(jù)及文件，應(yīng)采用公司認可的

16、加密或電子簽名等安全技術(shù)處理。第四十條機要信息通過網(wǎng)絡(luò)傳播必須加密，正文和密碼必須采取兩個以上的通路進行發(fā)送。第四十一條 為了規(guī)避轉(zhuǎn)發(fā)帶來的信息泄漏風(fēng)險，機要信息從源到使用環(huán)境，禁止通過中間環(huán)節(jié)進行轉(zhuǎn)發(fā)，特殊情況需要經(jīng)過公司高層批準。第四十二條嚴格控制信息使用需求，涉及到關(guān)鍵或敏感的信息必須嚴格進行審批：1、 對于各類信息的需求方必須明確，需求方的變化必須進行審核，機要信息需求方發(fā)生變化必須得到公司高層批準；2、 信息的使用需求必須明確，使用需求發(fā)生變化必須進行審核，機要信息的使用需求發(fā)生變更必須得到公司高層批準。第四十三條信息使用者必須確保信息使用環(huán)境的安全，并在使用完畢后妥善處理信息（視信

17、息類型不同，采取歸還、歸檔或者銷毀等操作），在未經(jīng)授權(quán)的情況下不得擅自傳播信息。第四十四條 管理信息流轉(zhuǎn)和使用的組織應(yīng)致力于實現(xiàn)信息流轉(zhuǎn)的程序化和自動化，減少信息流轉(zhuǎn)環(huán)節(jié)，以及不必要的人為接觸，提高信息安全和工作效率。第六節(jié)安全事故和故障處理第四十五條 各個信息系統(tǒng)必須建立事故和故障的應(yīng)急處理預(yù)案，盡量降低事故和故障對公司經(jīng)營的影響。第四十六條安全事故匯報，將影響安全的事故通過適當?shù)墓芾砬辣M快向管理層匯報。第四十七條安全部門定期發(fā)布安全漏洞報告，列舉安全漏洞和安全風(fēng)險，以及可以采取的解第7頁共9頁構(gòu)思新穎，品質(zhì)一流，適合各個領(lǐng)域，謝謝采納決措施，相關(guān)部門積極配合改進。第四十八條安全事故發(fā)生后

18、，回顧事故處理過程，分析事故原因，從事故中吸取教訓(xùn)。第七節(jié)業(yè)務(wù)連續(xù)性管理第四十九條公司重要的業(yè)務(wù)，特別是重要的IT 應(yīng)用和信息管理系統(tǒng)，必須考慮如何防止業(yè)務(wù)中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。第五十條重要 IT 系統(tǒng)需要制定和實施連續(xù)性計劃，內(nèi)容包括：1. 確定并認可各項責(zé)任和應(yīng)急程序；2.確定執(zhí)行應(yīng)急程序可以在規(guī)定時間內(nèi)恢復(fù)IT 系統(tǒng)；3. 適當?shù)貙T工進行培訓(xùn)，讓他們了解包括危機管理在內(nèi)的應(yīng)急程序；4. 應(yīng)急程序定期演練。第五十一條業(yè)務(wù)連續(xù)性計劃需要定期進行檢查、維護，甚至重新分析。第六章 信息安全風(fēng)險評估和審計第五十二條 信息安全風(fēng)險評估主要是為了發(fā)現(xiàn)公司信息管理的安全漏洞，評估信息安全風(fēng)險對公司的影響以及提出相應(yīng)改進的措施。第五十三條 信息安全風(fēng)險評估主要由公司的安全部門和信息安全管理組織承擔，由其制定相關(guān)風(fēng)險評估模型并定期對各系統(tǒng)和流程進行評估。第五十四條 信息安全審計主要是為了審核各級組織和系統(tǒng)是否按照公司相關(guān)制度和流程進行信息安全管理。第五十五條 公司根據(jù)相關(guān)內(nèi)部審計制度建立信息