信息安全管理辦法百度

XX第一條依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)，制定本治理方法.其次條和密碼技術(shù),保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性.具體包括以下幾個方面?！惨?信息處理和傳輸系統(tǒng)的安全。系統(tǒng)治理員應(yīng)對處理信息壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失?！捕?信息內(nèi)容的安全。側(cè)重于保護信息的機密性、完整性和術(shù)措施對所覺察的漏洞進展補救，防止竊取、冒充信息等?！踩泻Φ男畔⑼ㄟ^本公司的信息網(wǎng)絡(luò)〔內(nèi)部信息平臺〕系統(tǒng)傳播，避開對國家利益、公司利益以及個人利益造成損害。第三條信息安全治理實施工作責任制和責任追究制,由XXCIO領(lǐng)導(dǎo)小組組長,負責本公司信息安全工作的策略，重點，制度和措施,對本單位的信息安全工作負領(lǐng)導(dǎo)責任;由信息技術(shù)部負責人擔當信息安全實施小組組長,成員包括部門信息安全治理員，負10責信息安全保護工作的具體實施,對本單位的信息安全負直接收理責任。第四條信息安全實施小組對本公司的效勞器，網(wǎng)絡(luò),信息系開發(fā)，運行維護與用戶治理。第三章主要風(fēng)險第五條公司存在如下風(fēng)險:〔一〕來自公司外的風(fēng)險1公司用戶電腦后，會篡改電腦系統(tǒng)文件,使系統(tǒng)文件損壞,導(dǎo)致用戶電腦最終徹底崩潰，嚴峻影響員工的工作效率;有些木馬在用戶訪問網(wǎng)絡(luò)的時候，不留神被植入電腦中，輕則喪失工作文件，重則泄露機密信息。2不法分子利用網(wǎng)絡(luò)行竊、行騙等,假設(shè)是信息技術(shù)部、結(jié)算部和造成重要數(shù)據(jù)被拷貝泄露、財務(wù)網(wǎng)銀密碼被竊取.還可能使效勞器資源耗盡,最終徹底崩潰，同時整個網(wǎng)絡(luò)徹底癱瘓?！捕硜碜怨緝?nèi)的風(fēng)險1.文件的傳輸風(fēng)險。員工將公司重要文件以QQ、MSN發(fā)送出去，造成公司信息資源的外泄，危害公司生存進展。2。文件的打印風(fēng)險。員工將公司技術(shù)資料或商業(yè)信息打印到紙張帶出公司，公司信息資料外泄。司信息外泄.公司，造成公司信息泄露.5。上網(wǎng)行為風(fēng)險。員工在電腦問不良網(wǎng)站，造成電腦及公司網(wǎng)絡(luò)的破壞，導(dǎo)致電腦系統(tǒng)崩潰.用戶密碼風(fēng)險.主要包括用戶密碼和治理員密碼。用戶的開料和業(yè)務(wù)數(shù)據(jù)被竊取;治理員密碼被不法分子竊取,破壞應(yīng)用系統(tǒng)的正常運行。UPS損壞及業(yè)務(wù)中斷。8。辦公/區(qū)域風(fēng)險.主要包括辦公區(qū)域敏感信息的安全.員工在辦公區(qū)域隨便堆放本部門的重要文件或是在辦公區(qū)域毫不避嫌談?wù)摴ぷ鲀?nèi)容,可能會泄露部門工作機密，甚至是公司機密。公司信息安全治理方法,以此為根底，從各個層面杜絕信息安全隱患。第四章風(fēng)險防范措施第六條信息安全防范措施〔一〕計算機設(shè)備安全治理。1。公司全部人員應(yīng)保持清潔、安全、良好的計算機設(shè)備工作環(huán)境，制止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。嚴格遵守計算機設(shè)備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法.任何人不允許私自拆卸計算機組件,計算機消滅故障時應(yīng)準時向信息治理部報告，不允許私自處理和修理。覺察由以下等個人緣由造成硬件的損壞或喪失的，其損失由當事人如數(shù)賠償：違章作業(yè)；保管不當；擅自安裝、使用硬件和電氣裝置.公司每位員工對自己的工作電腦既有使用的權(quán)利又有保護的義務(wù)。任何的硬件損壞必需給出損壞報告,說明損壞緣由，不得擅自更換。公司會視實際狀況進展處理。4。下班后全部不再使用的計算機，應(yīng)關(guān)閉主機電源,以防止計算機設(shè)備.1.外接存儲設(shè)備安全治理信息技術(shù)部使用技術(shù)手段制止全部人員以個人介質(zhì)光盤、U進展拷貝。為確保硬盤的安全,嚴禁任何人私自拆開電腦機箱，將用戶主機貼上封條標簽，除信息技術(shù)部人員外,任何人不得私自拆開機箱，假設(shè)信息技術(shù)部進展電腦硬件故障排查時,撤除封條相關(guān)人責任。2。文件安全治理。人員對外發(fā)送涉密，必需經(jīng)上級核實后，統(tǒng)一在規(guī)定部在對內(nèi)文件時，應(yīng)即刻通知接收人接收并取走件，后果。3。文件打印安全治理。全部人員不得私自將公司文件打印帶出公司，一經(jīng)覺察,嚴峻處理。假設(shè)在上班時間，打印工作文件時，需要即刻在打印機處等候文件的打印,文件打印完成后馬上取走，假設(shè)因文件打印時有其打印后未準時取走打印文件的行為，一經(jīng)覺察，將對本人警告，假設(shè)因打印后,文件喪失，造成信息資料外泄，則由本人擔當相關(guān)責任。文件的存儲安全治理。全部部門人員應(yīng)定時清理計算機中的文件，去除不需要的垃用U盤或移動硬盤上，確保個人工作資料的文件歸檔，在電腦桌面上的文件應(yīng)每周末拷貝到非系統(tǒng)盤符中或不要在桌面存放任何工作性文件資料。假設(shè)因個人緣由未執(zhí)行備份,造成數(shù)據(jù)資料后,所在部門負責人應(yīng)聯(lián)系信息技術(shù)部幫助將此員工工作資料拷貝到部門U盤或移動硬盤上,假設(shè)沒有執(zhí)行此安全過程,離職員工損失的文件資料由該部門擔當.5。辦公區(qū)域的安全治理.全部部門人員每天下班時應(yīng)保證辦公桌的干凈，將部門重要有存放好，被他人取走,造成的后果將由本人擔當。〔三〕帳號密碼安全治理使用者須妥當保管好自己的帳戶和密碼.嚴防被竊取而導(dǎo)致泄機中設(shè)置開機密碼和屏幕保護密碼。為了保護公司的信息資產(chǎn)，設(shè)置密碼時應(yīng)留意：密碼至少有8個字符長;密碼必需包含以下任一局部:字母A—Z或$，—等。1.電腦密碼治理:每個員工治理自己電腦的登錄密碼,周期性的準時更改自己的電腦登錄密碼.2OA將安排到一個帳號密碼,帳號是不變的，用戶可以更改自己的系統(tǒng)密碼,密碼盡可能設(shè)置為高安全性的簡單密碼，嚴禁用戶將密123456他用戶非法登陸后，在核心業(yè)務(wù)系統(tǒng)中將會非法編制篡改單據(jù)，OAOAOA統(tǒng)帳戶。假設(shè)因以上緣由造成的信息安全后果將由本人擔當。3。承受用戶身份認證系統(tǒng)：對核心業(yè)務(wù)系統(tǒng)實行USBKEY認證技術(shù)，并選擇其中一種技術(shù)與公司現(xiàn)有的靜態(tài)密碼技術(shù)相結(jié)合，USBKEY承受USB密鑰，存儲特定的加密算法，只有將USB鑰匙接上電腦，與電腦中存儲的認證軟件驗證通過后，才能進入。我們通過〔動態(tài)+靜態(tài)〕混合身份認證，或〔〕混合身份認證,保證效勞器的登陸基于網(wǎng)內(nèi)的行為、網(wǎng)外的行為都是安全的.(四〕殺毒軟件安全治理用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動調(diào)度更和病毒庫升級，每日定時殺毒，使用者也應(yīng)常常手動掃描殺毒?！参濉掣黝愜浖踩卫碥浖急P片應(yīng)交信息技術(shù)部保管，軟、硬件設(shè)備的原始資料〔軟盤、光盤、說明書及保修卡、許可證協(xié)議等〕交信息技術(shù)部保管。保管應(yīng)做到防水、防磁、防火、防盜.使用者必需的操作守冊由使用者長借、保管?！擦赤]件安全治理全部因公對外聯(lián)系的電子郵件一律通過公司郵箱在自己的辦公電腦上進展收發(fā).〔七〕日常工作信息安全1需臨時離開座位時必需馬上啟動屏幕保護程序并帶有密碼。2。員工有責任正確地保護安排給本人的全部計算機帳戶。3.各部門經(jīng)理及人事部應(yīng)準時向信息技術(shù)部供給本部門及公司員工的人事及職位變動信息。4信息技術(shù)部可以供給最殺毒軟件。5有需要進展軟件測試的必需將計算機脫離公司計算機網(wǎng)絡(luò)進展單機操作.6經(jīng)查實將按公司有關(guān)規(guī)定嚴峻處理。第七條信息技術(shù)部的安全措施如下：〔一)計算機網(wǎng)絡(luò)設(shè)備安全治理公司全部計算機及網(wǎng)絡(luò)設(shè)備統(tǒng)一歸信息技術(shù)部治理。本方法所涉及產(chǎn)品的界定：1。計算機是指為公司內(nèi)部員工使用的PC機〔包括CPU、硬盤、內(nèi)存、機箱、顯示器、主板、網(wǎng)卡、顯卡、顯示器、光驅(qū)、鍵盤和鼠標。2。網(wǎng)絡(luò)設(shè)備是指公司內(nèi)部使用的效勞器、網(wǎng)絡(luò)交換機、路由器、集線器、以及網(wǎng)絡(luò)接入設(shè)備等.3。計算機其他配件是指公司備用的光驅(qū)、軟驅(qū)等。45。包括計算機及耗材的選購打算、故障修理等項工作。在員工電腦各組件老化或損壞，嚴峻影響工作效率時 ,所在部門可申請以舊換或報廢處理。假設(shè)需要報廢，依據(jù)規(guī)定辦法執(zhí)行，各部門不得擅自處理破舊的電腦或電子設(shè)備。報廢的電腦硬盤必需消磁處理?！捕彻救枯斎胼敵鲈O(shè)備統(tǒng)一歸信息技術(shù)部治理決故障?！踩?公司視頻會議設(shè)備和視頻監(jiān)控設(shè)備統(tǒng)一由信息技術(shù)部治理SONY攝像頭、會議話筒、電視、投影儀以及鍵盤、接收器、遙控器和線材局部.信息治理部負責以上設(shè)備的維護治理工作包括視頻會議的搭建。視頻監(jiān)控設(shè)備包括監(jiān)控效勞器、監(jiān)控系統(tǒng)以及各路視頻采集器。信息治理部負責各路視頻的監(jiān)控以及備份和維護工作?！菜摹澈诵臉I(yè)務(wù)系統(tǒng)、OA帳戶安全治理系統(tǒng)治理帳號的設(shè)置與治理1。核心業(yè)務(wù)系統(tǒng)、OA系統(tǒng)治理帳號必需經(jīng)過主管領(lǐng)導(dǎo)授權(quán)取得。核心業(yè)務(wù)系統(tǒng)治理員負責核心業(yè)務(wù)系統(tǒng)帳套環(huán)境生成、維護,負責一般操作帳號的生成和維護,負責故障恢復(fù)等治理及維護；OAOA系統(tǒng)治理員對業(yè)務(wù)系統(tǒng)進展數(shù)據(jù)整理、故障恢復(fù)等操作,必需有相關(guān)部門的簽字和領(lǐng)導(dǎo)的審批授權(quán)。核心業(yè)務(wù)系統(tǒng)、OA操作用戶需要增加或修改權(quán)限需要填寫核心業(yè)務(wù)系統(tǒng)/OA用戶權(quán)限申請表，并經(jīng)過本部門負責人簽字后交由信息技術(shù)部作權(quán)限相關(guān)處理。5。系統(tǒng)治理員不得使用他人帳號進展業(yè)務(wù)操作.6銷其帳號并生成的系統(tǒng)治理員帳號。〔五〕密碼安全治理1.終端計算機密碼安全治理:電腦終端密碼由用戶自行治理,在用戶人員變動或電腦更換時，系統(tǒng)治理員準時收回并更換密碼。2.應(yīng)用效勞器密碼安全治理：包括核心業(yè)務(wù)系統(tǒng)效勞器、OA效勞器、域效勞器、郵箱效勞器.信息技術(shù)部為確保效勞器置于外網(wǎng)相對安全，針對每個效勞器創(chuàng)立一個簡單的、不同的密碼，并每年更換一次密碼。制成密碼登記文件,并提交給部門負責人。3.防火墻/路由器密碼安全治理：防火墻和路由器的密碼和效勞器治理方法一樣，設(shè)置成不同的、簡單的密碼,并每年更換一次,將密碼登記到《網(wǎng)絡(luò)設(shè)備密碼登記文件》中，并提交給部門負責人。4。核心業(yè)務(wù)系統(tǒng)/OA系統(tǒng)密碼安全治理：核心業(yè)務(wù)系統(tǒng)/OA系統(tǒng)密碼分為治理員密碼和操作用戶密碼。系統(tǒng)治理員登錄密碼由核心業(yè)務(wù)系統(tǒng)/OA治理員掌管,為保證系統(tǒng)安全需要定/OA治理員在創(chuàng)立帳戶時初始生成，信息技術(shù)部發(fā)放帳號密碼后，由用戶本人修改密碼,并自行保管好自己的密碼,如特別緣由遺忘密碼時，由核心業(yè)務(wù)系統(tǒng)/OA信息技術(shù)部應(yīng)將全部的效勞器和網(wǎng)絡(luò)設(shè)備設(shè)置不同的密碼，全部的密碼僅限于信息技術(shù)部內(nèi)部人員把握，不得向其他部門人員透露,在特別狀況下，需要供給商做遠程調(diào)試時，方可透漏相關(guān)設(shè)備密碼，在調(diào)試完畢后 ,應(yīng)盡快更改密碼。并通知部門內(nèi)其他人員.由于效勞器及網(wǎng)絡(luò)設(shè)備均置于公網(wǎng)上，簡潔受到不法分子攻擊，因此，需要定期更改密碼 ,且密碼簡單性盡可能設(shè)置高?！擦硵?shù)據(jù)備份安全治理定期備份核心業(yè)務(wù)系統(tǒng)效勞器、OA數(shù)據(jù)清理前必需對數(shù)據(jù)進展備份，在確認備份正確前方可進司網(wǎng)絡(luò)應(yīng)用頂峰，避開對各部門工作造成影響?！财摺承畔①Y料安全治理，在條件允許的范圍內(nèi)要求使用如下系統(tǒng)治理加密系統(tǒng)治理；使用的是文檔加密系統(tǒng)，對常用辦公軟件officepdfAutoCAD權(quán)的狀況無法將公司的文件資料泄露出去。監(jiān)控軟件治理：監(jiān)控軟件在很大程度上起到威懾作用，監(jiān)幕監(jiān)控、屏幕錄象、插入存儲設(shè)備報警、網(wǎng)頁及程序過濾等功能準時抓出威逼公司信息安全的元兇。打印掌握軟件治理：打印掌握軟件應(yīng)用后,員工的打印需要責任追究。4。設(shè)備送外修理，須經(jīng)設(shè)備治理部門負責人批準。送修前，需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)備份后刪除,并進展登記。記。信息技術(shù)部對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進展備份后去除，并妥當處理廢棄無用的資料和介質(zhì),防止泄密.信息技術(shù)部負責計算機病毒的防治工作,建立公司的計算機病毒防治治理制度,常常進展計算機病毒檢查，覺察病毒準時去除。7使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)?！舶恕硻C房安全治理嚴格依據(jù)《計算機機房治理