管理制度模板信息安全制度

信息安全管控規(guī)章制度規(guī)章.目的信息是企事業(yè)機(jī)構(gòu)存在和發(fā)展的重要基礎(chǔ)。為規(guī)范企事業(yè)機(jī)構(gòu)信息管控，保障信息安全，明確信息安全管控的程序、職責(zé)、義務(wù)和權(quán)限，特制定本規(guī)章制度規(guī)章。.職責(zé)網(wǎng)絡(luò)管控員（委外）：負(fù)責(zé)任依責(zé)任公司的系統(tǒng)安全規(guī)定和機(jī)構(gòu)部門(mén)或科室業(yè)務(wù)相關(guān)要求，對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)管控、計(jì)算機(jī)維護(hù)及故障處理等，保證系統(tǒng)安全運(yùn)行。系統(tǒng)管控員（安全員）：負(fù)責(zé)任策劃和制定責(zé)任公司信息安全策略、監(jiān)督安全規(guī)定的實(shí)施，提出改善相關(guān)要求，確保信息系統(tǒng)滿足責(zé)任公司業(yè)務(wù)安全相關(guān)要求。負(fù)責(zé)任加解密授權(quán)管控、用戶申報(bào)、開(kāi)通訪問(wèn)授權(quán)和機(jī)房管控、數(shù)據(jù)備份。.定義與術(shù)語(yǔ)責(zé)任公司信息分類：A.技術(shù)信息：生產(chǎn)產(chǎn)品圖紙、制造技術(shù)、主要存在于技術(shù)部。B.質(zhì)量信息：主要保存在質(zhì)管部。C.商務(wù)信息：主要存在于采購(gòu)部、經(jīng)營(yíng)部。D.財(cái)務(wù)信息：主要存在于財(cái)務(wù)部。E.人事信息：責(zé)任公司責(zé)任公司有關(guān)員工及為責(zé)任公司服務(wù)的特殊技術(shù)人才信息資料。F.密碼信息：個(gè)人登錄、開(kāi)機(jī)密碼及IT管控員密碼。G.內(nèi)部運(yùn)作其他信息：包括設(shè)備、基礎(chǔ)設(shè)施、工程等信息資料。以上信息，根據(jù)信息秘密程度，分為可公開(kāi)信息和保密信息。責(zé)任公司任何責(zé)任公司有關(guān)員工均不可將責(zé)任公司保密信息（文件）以任何方法方式傳遞、泄露給非授權(quán)人。a.公開(kāi)信息：此類信息、文件可從責(zé)任公司公開(kāi)渠道所獲取，如責(zé)任公司廣告、網(wǎng)站中所涉及的責(zé)任公司名稱、公司地址、經(jīng)營(yíng)生產(chǎn)產(chǎn)品等。b.秘密信息：不可從公開(kāi)渠道所能獲取的信息，如生產(chǎn)產(chǎn)品技術(shù)文件，包括生產(chǎn)產(chǎn)品圖紙、客戶文件、工藝技術(shù)規(guī)范等；人事行政文件、管控程序和規(guī)范、生產(chǎn)經(jīng)營(yíng)統(tǒng)計(jì)信息和其他記錄、文件等。信息管控風(fēng)險(xiǎn)及危害來(lái)自企事業(yè)機(jī)構(gòu)外的風(fēng)險(xiǎn)a.病毒和木馬風(fēng)險(xiǎn)b.黑客攻擊風(fēng)險(xiǎn)來(lái)自企事業(yè)機(jī)構(gòu)內(nèi)的風(fēng)險(xiǎn)a.文件外發(fā)傳輸，包括電子郵件、打印外發(fā)、公司傳真等。b.存儲(chǔ)設(shè)備的風(fēng)險(xiǎn)，通過(guò)移動(dòng)存儲(chǔ)介質(zhì)將文件資料拷貝出責(zé)任公司，包括帶有保密信息的存儲(chǔ)介質(zhì)維修泄密，如相機(jī)、U盤(pán)、硬盤(pán)等維修。c.即時(shí)通訊，如QQ截圖、FeiQ、MSLYNC＞網(wǎng)絡(luò)飛鴿等。風(fēng)險(xiǎn)行為a.上網(wǎng)行為風(fēng)險(xiǎn)。接收病毒郵件、訪問(wèn)不良網(wǎng)站傳染病毒或安裝插件，導(dǎo)致泄密或電腦系統(tǒng)的崩潰。b.用戶密碼風(fēng)險(xiǎn)。包括用戶密碼和管控員密碼。密碼泄漏可導(dǎo)致非授權(quán)人訪問(wèn)或篡改、竊取信息資料。c.辦公/區(qū)域風(fēng)險(xiǎn)。在辦公區(qū)域隨意堆放保密文件、公開(kāi)談?wù)摴ぷ饔嘘P(guān)內(nèi)容導(dǎo)致泄密。d.機(jī)房設(shè)備風(fēng)險(xiǎn)。主要包括服務(wù)器、UPS電源、網(wǎng)絡(luò)交換機(jī)等。這些風(fēng)險(xiǎn)來(lái)自防盜、防雷、防火、防水。機(jī)房故障，可能會(huì)損壞機(jī)房設(shè)施，造成業(yè)務(wù)中斷。.信息安全措施上網(wǎng)行為管制根據(jù)各機(jī)構(gòu)部門(mén)或科室涉及的信息需求，由責(zé)任公司保密主管相關(guān)領(lǐng)導(dǎo)決定、責(zé)任公司信息技術(shù)管控員實(shí)施責(zé)任公司電腦上網(wǎng)授權(quán)，包括允許訪問(wèn)網(wǎng)址、下載和安裝的軟件。電腦使用有關(guān)員工不得自主下載、安裝非授權(quán)軟件。各業(yè)務(wù)機(jī)構(gòu)部門(mén)或科室若需要查閱資料和其他目的需要查看特定網(wǎng)站或安裝軟件，需要由機(jī)構(gòu)部門(mén)或科室主管審查、保密主管相關(guān)領(lǐng)導(dǎo)批準(zhǔn)，方可由網(wǎng)絡(luò)管控員開(kāi)通。文件外發(fā)管制需要拷貝責(zé)任公司的文件資料并帶出責(zé)任公司時(shí)，需要經(jīng)過(guò)授權(quán)人批準(zhǔn)，解密后方可帶出。圖紙、資料等技術(shù)質(zhì)量類電子文件，如果需要外發(fā)，統(tǒng)一由解密權(quán)限有關(guān)員工解密后再外發(fā)。其中，若給委外加工方的技術(shù)文件，應(yīng)經(jīng)責(zé)任公司轉(zhuǎn)換，并消除客戶有關(guān)生產(chǎn)產(chǎn)品型號(hào)、編號(hào)等信息后方可外發(fā)。授權(quán)解密有關(guān)員工對(duì)自己的解密文件進(jìn)行審查，并對(duì)解密行為負(fù)責(zé)任，符合外發(fā)相關(guān)要求后方可解密外發(fā)。計(jì)算機(jī)應(yīng)用軟件安裝與維護(hù)根據(jù)工作性質(zhì)，責(zé)任公司統(tǒng)一規(guī)定允許安裝的應(yīng)用軟件，并由系統(tǒng)管控員統(tǒng)一安裝。責(zé)任公司有關(guān)員工必須從共享于服務(wù)器中的應(yīng)用軟件及升級(jí)版本安裝，不得安裝網(wǎng)絡(luò)下載或其他渠道軟件版本。必須而共享軟件中沒(méi)有的，由計(jì)算機(jī)管控員負(fù)責(zé)任安裝和升級(jí)。系統(tǒng)管控員負(fù)責(zé)任保證所安裝軟件的安全性。計(jì)算機(jī)設(shè)備安全管控采購(gòu)、安裝與維護(hù)：計(jì)算機(jī)及其他涉密數(shù)碼生產(chǎn)產(chǎn)品采購(gòu)、安裝和使用，應(yīng)通過(guò)網(wǎng)絡(luò)管控員審查、主管相關(guān)領(lǐng)導(dǎo)批準(zhǔn)。任何人不得使用個(gè)人電腦、PAD、U盤(pán)等接入責(zé)任公司網(wǎng)絡(luò)。非網(wǎng)絡(luò)管控有關(guān)員工（包括外來(lái)維修有關(guān)員工）不得處置、維修責(zé)任公司電腦、硬盤(pán)和其他有涉密信息的數(shù)碼生產(chǎn)產(chǎn)品。生產(chǎn)產(chǎn)品維修及報(bào)廢處置應(yīng)建立維修處置記錄，相關(guān)有關(guān)員工簽名存檔。電腦初始安裝由系統(tǒng)管控員負(fù)責(zé)任，必須安裝規(guī)定的安全軟件，以保證電腦安全運(yùn)行。計(jì)算機(jī)時(shí)鐘設(shè)置：必須設(shè)置成與internet同步，操作有關(guān)員工不得更改計(jì)算機(jī)日期和時(shí)間，以保證計(jì)算機(jī)文件信息的準(zhǔn)確性。下班后所有不再使用的計(jì)算機(jī)，應(yīng)關(guān)閉主機(jī)電源，以防止意外。發(fā)現(xiàn)由以下等個(gè)人原因造成硬件的損壞或丟失的，其損失由當(dāng)事人如數(shù)賠償：違章作業(yè)；保管不當(dāng)；擅自安裝、使用硬件和電氣裝置。殺毒軟件：統(tǒng)一由網(wǎng)絡(luò)管控員安裝殺毒軟件，并負(fù)責(zé)任定期維護(hù)，包括升級(jí)以及故障處理。用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動(dòng)調(diào)度更新和病毒庫(kù)升級(jí)，每日定時(shí)殺毒，使用者也應(yīng)經(jīng)常手動(dòng)掃描殺毒。非管控員不得修改防火墻和殺毒軟件設(shè)置。信息資料備份涉及責(zé)任公司生產(chǎn)產(chǎn)品技術(shù)、質(zhì)量和財(cái)務(wù)等保密信息的，應(yīng)在數(shù)據(jù)服務(wù)器中保存?zhèn)浞菸募＞W(wǎng)絡(luò)管控員負(fù)責(zé)任服務(wù)器安全運(yùn)行，并維護(hù)和定期備份服務(wù)器文件。責(zé)任公司有關(guān)員工離職時(shí)，須交回全部技術(shù)文件資料等保密文件，并經(jīng)機(jī)構(gòu)部門(mén)或科室負(fù)責(zé)任人確認(rèn)。機(jī)構(gòu)部門(mén)或科室負(fù)責(zé)任人聯(lián)系網(wǎng)絡(luò)管控員對(duì)該責(zé)任公司有關(guān)員工電腦進(jìn)行保密檢查，確保無(wú)泄密后簽字或蓋章或蓋章或簽字或蓋章認(rèn)可。密碼管控每個(gè)責(zé)任公司有關(guān)員工擁有一個(gè)責(zé)任公司內(nèi)部計(jì)算機(jī)登錄帳戶和自己的密碼。使用者須妥善保管好自己的帳戶和密碼。帳戶及密碼設(shè)置后通知管控員備案。所有責(zé)任公司有關(guān)員工必須在所使用的計(jì)算機(jī)中設(shè)置開(kāi)機(jī)密碼和屏幕保護(hù)密碼。為了保護(hù)責(zé)任公司的信息資產(chǎn)，設(shè)置密碼時(shí)應(yīng)注意：密碼至少有6個(gè)字符長(zhǎng)；密碼必須包含以下任二部分：字母A-Z或a-z,數(shù)字＞9,特殊字符，例如$，-等。責(zé)任公司有關(guān)員工密碼每三個(gè)月至少更新一次。密碼包括：開(kāi)機(jī)密碼、郵箱登錄密碼、ERP登錄密碼。USBKey管控：交由網(wǎng)絡(luò)管控員鎖到密碼箱保存。任何人不得將此帶出責(zé)任公司。機(jī)房管控參照《信息系統(tǒng)安全等級(jí)保護(hù)基本相關(guān)要求》GB/T22239-2008相關(guān)要求，由人資與行政辦負(fù)責(zé)任責(zé)任公司網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)服務(wù)器（機(jī)房）管控。建立計(jì)算機(jī)機(jī)房出入、操作登記。非授權(quán)人不得操作服務(wù)器。為保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全，須滿足以下相關(guān)要求：a.計(jì)算機(jī)房建筑接地電阻不大于4歐姆；b.溫度不高于30度；濕度不大于70%;c.電源：配置穩(wěn)壓器