信息安全管理制度

信息安全治理內(nèi)部資料嚴(yán)禁泄漏信息安全治理內(nèi)部資料嚴(yán)禁泄漏9XXXVersion:1.0第一章信息安全概述、公司信息安全治理體系信息存儲(chǔ)、發(fā)送技術(shù)的廣泛使用，信息安全面臨的威逼也越來越嚴(yán)峻了。24小時(shí)供給信息安全效勞的織敏感信息進(jìn)展治理，涉及到人，程序和信息科技系統(tǒng)。改善信息安全水平的主要手段有：安全方針：為信息安全供給治理指導(dǎo)和支持。安全組織：在公司內(nèi)治理信息安全。資產(chǎn)分類與治理：對(duì)公司的信息資產(chǎn)實(shí)行適當(dāng)?shù)谋Ｗo(hù)措施。人員安全：削減人為錯(cuò)誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險(xiǎn)。實(shí)體和環(huán)境安全：防止對(duì)商業(yè)場(chǎng)所及信息未授權(quán)的訪問、損壞及干擾。通訊與運(yùn)作治理：確保信息處理設(shè)施正確和安全運(yùn)行。訪問掌握：妥當(dāng)治理對(duì)信息的訪問權(quán)限。系統(tǒng)的獲得、開發(fā)和維護(hù)：確保將安全納入信息系統(tǒng)的整個(gè)生命周期。安全大事治理：確保安全大事發(fā)生后有正確的處理流程與報(bào)告方式。免受重大故障或?yàn)?zāi)難的影響。何安全要求。、信息安全建設(shè)的原則領(lǐng)導(dǎo)重視，全員參與IT部門的工作，它需要公司全體員工的共同參與。技術(shù)不是確定的信息安全治理遵循“七分治理，三分技術(shù)”的治理原則。信息安全大事符合“二、八”原則20%的安全大事來自外部網(wǎng)絡(luò)攻擊，80%的安全大事發(fā)生在公司內(nèi)部。治理原則治理為主，技術(shù)為輔，內(nèi)外兼防，覺察漏洞，消退隱患，確保安全。、信息安全治理體系建設(shè)的目的ERP系統(tǒng)的安全運(yùn)行，掌握公司信息泄密風(fēng)險(xiǎn)；提高企業(yè)員工對(duì)安全的生疏和對(duì)安全治理的參與；提高企業(yè)用戶及合作伙伴對(duì)企業(yè)的信念、信任、滿足程度；提高企業(yè)信息安全治理的質(zhì)量和水平；使企業(yè)更有效地治理和處理信息安全大事；遵守和通過相關(guān)法律法規(guī)的要求；為將來企業(yè)充份利用電子商務(wù)打下重要的根底。其次章員工信息安全標(biāo)準(zhǔn)、范圍內(nèi)部資源的人員。、計(jì)算機(jī)安全要求1〕計(jì)算機(jī)信息登記與使用維護(hù)：IT部的登記，嚴(yán)禁私自變更使用人和增減配置；每位員工有責(zé)任保護(hù)公司的計(jì)算機(jī)資源和設(shè)備，以及包含的信息。稱的漢語拼音簡(jiǎn)寫加自己姓名的漢語拼音簡(jiǎn)寫組成。必需在全部個(gè)人計(jì)算機(jī)上激活以下安全掌握：全部計(jì)算機(jī)〔包括便攜電腦與臺(tái)式機(jī)〕必需設(shè)有系統(tǒng)密碼；系統(tǒng)密碼應(yīng)當(dāng)符合肯定程度的簡(jiǎn)單性要求，并不定期更換密碼；存儲(chǔ)在個(gè)人計(jì)算機(jī)中的包含有公司涉密信息的文件，需要加密存放。當(dāng)員工離開辦公室或工作區(qū)域時(shí)：必需馬上鎖定計(jì)算機(jī)或者激活帶密碼保護(hù)的屏幕保護(hù)程序；工作區(qū)域；妥當(dāng)保管全部包含公司涉密內(nèi)容的文件，如鎖進(jìn)文件柜；防范計(jì)算機(jī)病毒和其他有害代碼：病毒軟件；掃描，在網(wǎng)絡(luò)條件許可的狀況下每天進(jìn)展一次病毒庫文件的更；IT部門匯報(bào)；軟件的使用：包括但不限于：BTP2P軟件Sniffer等流量監(jiān)控軟件及黑客軟件P2P終結(jié)者，網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)治理軟件工作用計(jì)算機(jī)制止安裝盜版殺毒軟件和盜版防火墻軟件公司員工的機(jī)器上必需安裝并開啟功能的軟件有：卡巴斯基或其他正版防病毒軟件要擔(dān)當(dāng)全部責(zé)任；文件的共享：?jiǎn)T工在使用文件共享時(shí)，必需將其設(shè)置為受限共享；制止使用基于互聯(lián)網(wǎng)的P2P軟件和共享效勞，如：BT、eMule等。不得在計(jì)算機(jī)上配置匿名FTPTFTP，或其他無需驗(yàn)證的效勞。FTP。ITERPU盤或移動(dòng)硬盤。設(shè)定用戶權(quán)限、設(shè)定訪問密碼，并準(zhǔn)時(shí)取消所定義的共享。郵件的發(fā)送與接收：制止使用公司的計(jì)算機(jī)散布、回復(fù)、轉(zhuǎn)發(fā)連鎖郵件、惡作劇郵件；制止將涉及公司隱秘的內(nèi)部郵件轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上。公司涉密信息的保護(hù)：產(chǎn)品、效勞或爭(zhēng)論有關(guān)的公司技術(shù)或科技信息，業(yè)務(wù)或營(yíng)銷計(jì)算、營(yíng)準(zhǔn)和流程。徑獵取公司或部門的涉密信息；制止非授權(quán)復(fù)制涉密信息。關(guān)的文檔保密治理規(guī)定。制止使用供給翻譯效勞的互聯(lián)網(wǎng)站來翻譯公司的涉密信息。子郵件等方式發(fā)送公司涉密信息時(shí)，可以承受Winrar加密壓縮的方式把涉密內(nèi)容作為附件發(fā)送，然后通過其他渠道告知對(duì)方加密密碼。公司信箱的帳戶及密碼全部的密碼必需符合如下條件：8個(gè)字符長(zhǎng)，并且包含一個(gè)字母字符或其他非字母字符；制止把用戶名用作密碼或其一局部；舊密碼中任何三個(gè)連續(xù)的字符盡量不要連續(xù)消滅在密碼中；6個(gè)月更換一次信箱密碼。內(nèi)部網(wǎng)絡(luò)使用規(guī)章制止在網(wǎng)絡(luò)上偽裝為他人身份；源；不得對(duì)公司網(wǎng)絡(luò)或效勞器以及網(wǎng)絡(luò)中他人電腦運(yùn)行安全掃描程序或者惡意攻擊；未經(jīng)IT部允許，不得增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)中，嚴(yán)禁私自購(gòu)置路由器、交換機(jī)接入公司網(wǎng)絡(luò)等行為；宿舍區(qū)電腦大局部屬于員工私人電腦，但是全部電腦必需到IT部登記聯(lián)網(wǎng)。檢查原則領(lǐng)導(dǎo)責(zé)任。連帶責(zé)任。檢查方式IT部抽調(diào)網(wǎng)絡(luò)治理人員，不定期對(duì)集團(tuán)所屬公司辦公電腦進(jìn)展抽查。分析信息安全日志文件，排查違規(guī)電腦，追究相關(guān)當(dāng)事人。3.3．檢查結(jié)果并賠償公司損失。對(duì)于觸犯國(guó)家法律的，移交國(guó)家司法機(jī)關(guān)依法處理。，并記錄在案，責(zé)令限期改正。附件一：購(gòu)臺(tái)式電腦登記表計(jì)算機(jī)編號(hào)計(jì)算機(jī)編號(hào)計(jì)算機(jī)領(lǐng)用人所在單位(部門)計(jì)算機(jī)根本信息登記計(jì)算機(jī)根本信息登記購(gòu)置日期領(lǐng)用日期購(gòu)置商家購(gòu)置價(jià)格效勞年限有限保修□是□否品牌型號(hào)處理器內(nèi)存硬盤顯示器備注領(lǐng)用人簽字信息安全治理內(nèi)部資料嚴(yán)禁泄漏信息安全治理內(nèi)部資料嚴(yán)禁泄漏使用人所在單位(部門)使用人所在單位(部門)宿舍號(hào)宿舍移動(dòng)有線網(wǎng)卡信息安全治理內(nèi)部資料嚴(yán)禁泄漏信息安全治理內(nèi)部資料嚴(yán)禁泄漏使用人所在公司使用人所在公司/部門領(lǐng)導(dǎo)Mac安全事項(xiàng)□密碼違規(guī)□應(yīng)用軟件安裝殺毒軟件違規(guī)□郵件使用文件共享違規(guī)□網(wǎng)絡(luò)使用□