信息安全管理指引

**有限公司工作指導書文件編號WI-014生效日期2019.06.27信息安全管理指引修訂狀態(tài)A0頁碼第1頁共8頁1.目的為了科學、有效地管理，促進網(wǎng)絡系統(tǒng)安全應用、高效運行，充分發(fā)揮網(wǎng)絡作用，保證局域網(wǎng)的安全、全公司及客戶的所有產(chǎn)品制作、管理、發(fā)放、回收、銷售及銷毀，為確保客戶及我公司產(chǎn)品所有產(chǎn)品信息不被泄露。2.適用范圍公司信息安全管控的過程。3.職責3.1項目組：負責編制客戶代碼。3.2QC：負責所有來料、半成品及成品的檢驗。3.3倉管：負責所有產(chǎn)品、物料的發(fā)放、管理、整理。3.4品質主管：確認生產(chǎn)中產(chǎn)出的不良品的管控。3.5保安隊長：負責對來訪客人的指引，對品牌保護政策的宣傳和對員工的相關培訓以及監(jiān)管成品、半成品、不良品等的銷毀工作。3.6銷售部工程師：負責確認客戶提供的樣品。3.7集團IT工程師：負責公司IT設備、程序的安裝，網(wǎng)絡的安全及門禁系統(tǒng)的管控。3.8各部門實際操作人員：負責對IT設備的日常保管和正確的操作使用。3.8集團人力資源部：負責監(jiān)督執(zhí)行各項工作的開展及執(zhí)行及保密相機的管理與照片讀取的審核。4.工作程序4.1信息安全管理小組4.1.1公司組織成立信息安全小組（見附件組織架構），由小組成員定期對公司的信息安全運行狀況進行監(jiān)督檢查及跟進改善；4.4.2信息安全管理小組組長負責每月定期組織小組成員召開一次會議，并保留會議記錄。4.2客戶信息安全控制客戶名稱、地址為公司的秘密信息，為對此信息進行管控，所有客戶均以代碼形式出現(xiàn)。4.2.1銷售部在客戶開發(fā)階段，尚未建立客戶代碼，由銷售部業(yè)務員自編代碼，待客戶導入后才申請正式的代碼；4.2.2當客戶正式導入后，由銷售部將相關資料如正式訂單、營業(yè)執(zhí)照、開戶行等信息提交給項目組，由項目組根據(jù)產(chǎn)品類型確定此客戶為A類、B類或C類，再根據(jù)流水號進行編號，最終形成“AXXX”、“BXXX”或“CXXX”，此為最終的客戶代碼；4.2.3公司各部門溝通及生產(chǎn)流通的相關記錄（如工程單、打樣單、生產(chǎn)排期、生產(chǎn)日報表、出/入倉單、各工序制程管制表、成品檢驗報告等等），只可出現(xiàn)客戶代碼。4.3技術資料安全控制技術資料包括產(chǎn)品信息、工藝文件、客戶標準、客戶訂單、圖紙、BOM表、內(nèi)/外部會議記錄等等均為公司機密資料，未經(jīng)允許禁止泄露。研發(fā)禁止使用USB，設置單獨的房間用于放置服務器，放置服務器的房間應上鎖，只有授權人員方可進入；研發(fā)設置門禁并安裝CCTV，非此部門人員禁止入內(nèi)，若因工作原因需要進入需得到研發(fā)經(jīng)理的許可；所有人員不得以任何方式泄露公司的技術資料，電腦禁用USB，若因工作需要使用USB，必須用的在OA填寫《可移動介質權限申請表》，經(jīng)部門總監(jiān)審核，集團IT部總監(jiān)批準方可開通其電腦權限；所有人員不得私自將客戶產(chǎn)品圖案或結構用于其它客戶的產(chǎn)品上；涉密項目的關鍵崗位人員，禁止參與對應客戶競爭對手的項目；技術資料存儲柜需上鎖；文檔打印所有人員不得私自將公司文件打印帶出公司，若在上班時間打印工作文件時，需要即刻在打印機處等候文件的打印，文件打印完成后馬上取走，若因文件打印時有其他緊急事件，應該通知本部門人員代為領取打印文件；研發(fā)技術資料禁止打印；對于涉密的部門（設計開發(fā)部項目組）需安裝加密網(wǎng)絡內(nèi)的打印機涉密內(nèi)容只能在加密打印機上打印；普通網(wǎng)絡下的電腦無法連接到加密打印機。因工作需要打印涉密內(nèi)容，打印者需在涉密軟件客戶端在線申請打印，部門經(jīng)理批準后方能打印成功。對加入加密網(wǎng)絡內(nèi)的電腦屏幕打印啟用水印功能，用于事后泄密追蹤的審計。各部門打印的涉密內(nèi)容紙檔都不可隨意存放，需管控在涉密圈內(nèi)的人員才有權限查看的地方。4.4拍照控制4.4.1工廠在廠區(qū)門口、接待室、展廳、各車間張貼“禁止拍照”的標識。4.4.2員工、訪客進入生產(chǎn)區(qū)域時隨身攜帶的手機、相機等有攝像功能的設備需交保安貼膜。保密車間嚴禁攜帶手機進入（針對在保密車間辦公的管理人員，公司為其配備無攝像功能的手機）；4.4.3保密車間，員工的手機需放在手機柜并上鎖。4.4.4拍照權限：公司為人力資源部配置1臺專用拍照相機，相機上張貼“保密專用”標識，數(shù)據(jù)傳輸端口貼易碎標簽，防止拍照者私自讀取照片；所有非保密車間員工、訪客如需進入保密車間拍照，必須寫《工作聯(lián)絡單》經(jīng)過車間最高主管審批后，才能對指定區(qū)域或工廠設施進行拍照；被批準可以拍照者需憑已審批的《工作聯(lián)絡單》到人力資源部借用相機，人力資源部需做好保密相機的借出/歸還登記；訪客拍照時必須有本廠人員陪同，禁止近距離拍攝產(chǎn)品；公司為人力資源部授權1臺電腦主機負責讀取照片，所有照片需經(jīng)人力資源部指定人員審核，確認無泄密風險后才能讀取。4.4.5員工、訪客未經(jīng)許可，私自拍照時車間主管有權制止并向管理層匯報。4.5樣品控制4.5.1打樣區(qū)域設立門禁系統(tǒng)，授權人員方可入內(nèi)；4.5.2樣板在其他部門流轉時須用白紙覆蓋其表面；4.5.3樣板制作人員須將樣板數(shù)量詳細記入《生產(chǎn)日報表》中；4.5.4樣板制作過程中產(chǎn)生的不良品按《知識產(chǎn)權保護管理程序》進行報廢處理；4.5.5所有樣品必須在大貨走貨后6個月才可以展示在樣品展示室。4.6帶客戶標識的物料/輔料控制4.6.1物料/輔料倉為受控制區(qū)域，倉庫主管應對進入倉庫的人員進行監(jiān)督，以防止無關人員進入。4.6.2對于帶有客戶商標的物料/輔料，必須存放于受控制區(qū)域，如帶有鎖的柜子里，并進行標識。4.6.3倉庫人員在收到各類帶有客戶標識的物料/輔料后，先點清數(shù)量，進行品質檢查后分類貯存，并鎖好。4.6.4每種物料/輔料儲存處都要有完整的記錄收、發(fā)、存的物料管制卡。如條件允許，應將所有的收、發(fā)、存情況記錄于電腦中，以清晰知道每種物料/輔料的庫存狀況。4.6.5發(fā)給各生產(chǎn)部的帶客戶標識的物料/輔料，如數(shù)量不足時應填寫《生產(chǎn)領料單》經(jīng)生產(chǎn)總監(jiān)批準后方可再領取。4.6.6在生產(chǎn)過程中，帶客戶標識的物料/輔料如有毀壞或不良時，要以毀壞品或不良品換取相同數(shù)量的新物料/輔料。4.6.7在生產(chǎn)過程中，帶客戶標識的物料/輔料如有個別遺失，要立即通知車間主管，經(jīng)查找，確不能找回的，經(jīng)車間主管和倉管確認后，方能補發(fā)。4.6.8帶有客戶標識的物料/輔料，如有不良品或過期不能再用，要定期（如每3個月）進行銷毀處理以免混亂。4.6.9不良品或過期不能再用的物料、輔料應存放于指定的區(qū)域，如倉庫，進行標識，并有庫存記錄。銷毀之前，倉庫應填寫《報廢申請單》，將建議銷毀的物料/輔料款號、名稱、規(guī)格、顏色、數(shù)量等進行記錄。4.6.10銷售部CSR或業(yè)助應通過電子郵件的方式告訴客戶或貿(mào)易公司相關人員，獲得同意后方可進行銷毀。工廠應保留客戶或貿(mào)易公司同意銷毀的電子郵件或其它書面記錄。4.6.11銷毀的方式可以為切紙機切斷（切成2段）、打廢紙機切斷等。4.6.12銷毀時，要有品質人員、保安人員現(xiàn)場監(jiān)督執(zhí)行。4.6.13銷毀的全過程要進行拍照，制作成銷毀記錄（該記錄內(nèi)容包括銷毀時的照片、監(jiān)督人員姓名及日期、公司蓋章等），與客戶或貿(mào)易公司同意銷毀的電子郵件或其它書面記錄，以及銷毀清單一起至少保存1年。4.7不良品控制4.7.1本公司的不良品是指在生產(chǎn)過程中某些原因導致的不能滿足客戶要求的調(diào)機品、半成品和成品。4.7.2不良品應存放于指定的區(qū)域，進行標識。4.7.3保密期的不良品，生產(chǎn)部統(tǒng)一交接給各事業(yè)處的最后一道工序并保留交接記錄，待客戶產(chǎn)品正式上市后方可銷毀。4.7.4銷售部CS或業(yè)助應通過電子郵件的方式告訴客戶或貿(mào)易公司相關人員，獲得同意后方可進行銷毀。工廠應保留客戶或貿(mào)易公司同意銷毀的電子郵件或其它書面記錄。4.7.5銷毀之前，品質部應填寫《報廢申請單》，記錄建議銷毀的不良品工程單號、料號、名稱、數(shù)量等內(nèi)容。4.7.6銷毀的方式可以為切紙機切斷（將帶有的品牌標識切成2段）、打廢紙機切斷等。4.7.7銷毀時，要有品質人員、保安人員現(xiàn)場監(jiān)督執(zhí)行。4.7.8銷毀的全過程要進行拍照并且錄像，制作成銷毀記錄（該記錄內(nèi)容包括銷毀時的照片、監(jiān)督人員姓名及日期、公司蓋章等），與客戶或貿(mào)易公司同意銷毀的電子郵件或其它書面記錄，以及銷毀清單一起至少保存1年。4.8樣板、成品貨尾、不符合出貨品質要求的成品、取消訂單、退回產(chǎn)品（RTV）等銷毀控制程序4.8.1上述成品必須存放于制定的區(qū)域，進行標識，并有庫存記錄。4.8.2必須是大貨走貨后12個月以上才能向客戶申請銷毀。4.8.3處理前必須將數(shù)量、料號、顏色、相片等資料交給相關品牌的客戶批核同意，獲得授權書或認證書后才可進行銷毀。4.8.4跟據(jù)客戶的要求，進行處理后方可銷毀，如：移除所有品牌標識或涂上擦不掉的墨水（如果不能移除標簽），并進行拍照。4.8.5所有銷毀記錄必須保存至少1年。4.9本公司的保密產(chǎn)品不允許外發(fā)加工。4.10網(wǎng)絡和數(shù)據(jù)安全控制4.10.1局域網(wǎng)安全與信息管理局域網(wǎng)的安全管理，應當保障計算機網(wǎng)絡設備和配套設施的安全，保障網(wǎng)絡系統(tǒng)的正常運行，保障信息系統(tǒng)的安全運行。局域網(wǎng)的所有工作人員及局域網(wǎng)用戶必須遵守國家有關法規(guī)，嚴格執(zhí)行安全保密制度，并對所提供、所傳播的信息負責。局域網(wǎng)入網(wǎng)的計算機必須嚴格遵守公司的相關規(guī)定。任何部門或個人不得利用計算機網(wǎng)絡從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機網(wǎng)絡及信息系統(tǒng)的安全。任何部門或個人不得利用計算機網(wǎng)絡瀏覽和傳播色情網(wǎng)站、反動網(wǎng)站，堅決杜絕色情、反動、暴力等有害信息在局域網(wǎng)的傳播。局域網(wǎng)的工作人員和局域網(wǎng)用戶必須接受本公司有關管理部門按章依法進行的網(wǎng)絡系統(tǒng)及信息系統(tǒng)的安全檢查。在局域網(wǎng)上不允許進行任何干擾網(wǎng)絡用戶、破壞網(wǎng)絡服務和破壞網(wǎng)絡設備的活動。禁止在網(wǎng)絡上發(fā)布不真實的信息，不得使用網(wǎng)絡進入未經(jīng)授權使用的計算機，不得以虛假身份使用網(wǎng)絡資源等。任何部門和個人不得私自將計算機接入局域網(wǎng)。0任何部門和個人不得盜用局域網(wǎng)資源。1局域網(wǎng)用戶必須對提供的信息負責，不得利用網(wǎng)絡從事危害公司安全、泄露公司機密等犯罪活動，不得制作、查閱、復制和傳播有礙社會治安和不健康的、有傷風化的信息。2嚴禁制造和輸入計算機病毒以及其他有害數(shù)據(jù)危害計算機信息系統(tǒng)的安全。3發(fā)現(xiàn)違法犯罪行為和有害的、不健康的信息，局域網(wǎng)用戶應及時報告公司集團IT工程師。4各部門對上網(wǎng)信息要進行審查，嚴格把關，凡涉及國家及公司秘密的信息嚴禁上網(wǎng)。5嚴禁瀏覽、復制或傳播下列信息：煽動分裂國家、破壞國家統(tǒng)一和民族團結、推翻社會主義制度；煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施；捏造或者歪曲事實,故意散布謠言,擾亂社會秩序；公然侮辱他人或者捏造事實誹謗他人；宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等；6局域網(wǎng)嚴禁以下行為：未經(jīng)批準私自連接集線器、交換機等網(wǎng)絡設備；用各種手段私自切斷他人網(wǎng)絡連接；通過掃描、偵聽、破解口令、安置木馬、遠程接管、利用系統(tǒng)缺陷等手段獲取他人信息；通過局域網(wǎng)向與其無被管理關系和信息服務關系的用戶亂發(fā)垃圾E-Mail；冒用他人名義從事網(wǎng)上活動的；故意制作、傳播計算機病毒等破壞性程序；使用信息炸彈，致使局域網(wǎng)系統(tǒng)或連網(wǎng)計算機系統(tǒng)發(fā)生阻塞、溢出、處理機忙、資源異常消耗、死鎖、癱瘓等運行異常的的行為。4.10.2數(shù)據(jù)保密及數(shù)據(jù)備份根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權限、存取方式和審批手續(xù)。禁止泄露、外借和轉移專業(yè)數(shù)據(jù)信息。制定業(yè)務數(shù)據(jù)的更改審批制度，未經(jīng)批準不得隨意更改業(yè)務數(shù)據(jù)。每周五集團IT工程師制作數(shù)據(jù)的備份并異地存放，確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復，備份數(shù)據(jù)不得更改。業(yè)務數(shù)據(jù)必須定期、完整、真實、準確地轉儲到不可更改的介質上，并要求集中和異地保存，保存期限至少2年。備份的數(shù)據(jù)必須指定專人負責保管，備份數(shù)據(jù)應在指定的場所保管。備份數(shù)據(jù)資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。4.10.3外接存儲設備安全管理公司所有電腦默認禁用USB端口及光盤、光驅未經(jīng)許可，嚴禁所有人員以個人介質光盤、U盤、移動硬盤等存儲設備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設備中，需憑上級簽批的《工作聯(lián)絡單》到集團IT部借用公司存儲設備做文件拷貝。嚴禁任何人私自拆開電腦機箱;用戶主機貼上封條標簽，除集團IT部人員外，任何人不得私自拆開機箱，若集團IT部進行電腦硬件故障排查時，拆除封條標簽后，在故障排查結束及時更換新的封條標簽。集團IT部將定期檢查，若發(fā)現(xiàn)有封條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關人責任,確保主機內(nèi)硬盤的安全。4.10.4加密網(wǎng)絡的建立及解除新的涉密項目的引入，第一接觸部門將涉密內(nèi)容正式通知到相關組員執(zhí)行保密要求；當涉密項目已經(jīng)不需要保密的時候，原發(fā)出部門再次發(fā)出郵件解除涉密內(nèi)容。各部門工作人員因工作需要開通涉密內(nèi)容權限和加入加密網(wǎng)絡，需提交《涉密內(nèi)容權限申請表》經(jīng)部門經(jīng)理、集團IT總監(jiān)批準后，通知集團IT工程師加入加密網(wǎng)絡。4.11計算機安全控制4.11.1計算機病毒防范集團IT工程師應有病毒防范意識，每日定時進行病毒檢測(特別是郵件服務器)，發(fā)現(xiàn)病毒立即處理并通知管理部門或專職人員。采用國家許可的正版防病毒軟件并及時更新軟件版本。未經(jīng)上級管理人員許可，集團IT工程師不得在服務器上安裝新軟件，若確為需要安裝，安裝前應進行病毒例行檢測。經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。4.11.2賬號和密碼安全管理使用者須妥善保管好自己的帳戶和密碼，嚴防被竊取而導致泄密，帳戶及密碼由網(wǎng)絡管理員設置后通知員工。所有員工必須在所使用的計算機中設置開機密碼和屏幕保護密碼。為了保護公司的信息資產(chǎn)，設置密碼時應注意：密碼至少由8位及8位以上的字母A-Z或a-z、數(shù)字0-9、非字母字符例如？*$等組合而成。電腦密碼管理：新員工申請帳戶時OA填寫《IT賬號和權限申請流程》完成批準后，網(wǎng)絡管理員將在一天內(nèi)將開通的賬戶信息通知其本人。每個員工擁有一個公司內(nèi)部計算機登錄帳戶，公司所有用戶在分配到工作電腦時,應首先更改自己的電腦登錄密碼。應用系統(tǒng)密碼管理：所有ERP用戶及OA用戶都將分配到一個帳號密碼，密碼盡可能置為高安全性的復雜密碼，嚴禁用戶將密碼設置為如123456等傻瓜式密碼，若密碼設置過于簡單，被其他用戶非法登陸后，在ERP中將會非法編制篡改單據(jù)，在OA中非法冒用流程管理權限，若產(chǎn)生此情況，將會導致嚴重的后果；嚴禁將ERP帳號或OA帳號密碼透露給他人，讓他人代己做ERP單據(jù)或辦理OA流程。4.11.3各類軟件安全管理硬件設備的原始資料（軟盤、光盤、說明書及保修卡、許可證協(xié)議等）交IT部保管。保管應做到防水、防磁、防火、防盜。使用者必需的操作守冊由使用者長借、保管。4.11.4郵件安全管理所有因公對外聯(lián)系的電子郵件一律通過公司郵箱xxx@（具體參考《電子郵件和互聯(lián)網(wǎng)使用規(guī)定》）加密網(wǎng)絡內(nèi)的郵箱：將因工作需要接觸到涉密內(nèi)容的人員郵箱進行登記造冊，建立白名單，只有在白名單內(nèi)的郵箱才能接收和查看保密內(nèi)容。在加密電腦上建立的非白名單郵箱，在發(fā)送郵件時需要經(jīng)過部門經(jīng)理審計后才能發(fā)送成功。計算機操作者安全管理各部門所使用之IT設備皆為公司資產(chǎn)，任何人不可進行惡意破壞。員工對在自己公司電腦內(nèi)公司機密信息的安全負責，必須啟動屏幕保護程序（自動鎖屏時間為8分鐘內(nèi)）并帶有密碼。公司計算機內(nèi)之硬件，除得到授權外，只可由IT工程組人員進行更換或維護。任何人不得私自打開機箱。不可利用公司IT設備作私人用途。如發(fā)現(xiàn)公司IT設備有任何異常聲響或氣味出現(xiàn)時，應立即切斷電源，并及時通知IT工程組人員進行檢修。如果較長時間（超過30分鐘）不使用計算機時，須將電腦鎖定并關閉顯示器之電源。下班后必須關閉計算機主機并切斷電源。計算機系統(tǒng)內(nèi)任何軟件均有版權，軟件安裝、設定均由電腦工程師專人負責，除得到授權外﹐任何人不得私自安裝、刪除或更改軟件設置。如工作需要安裝軟件必須填寫OA《IT賬號和權限申請流程》，經(jīng)過批準后，由IT部負責安裝。公司計算機內(nèi)所有數(shù)據(jù)資料，均為公司資產(chǎn)，受知識產(chǎn)權法保護,任何人不得故意刪改。所有不明來歷軟件或檔案均有可能傳播計算機病毒，各電腦操作者如發(fā)現(xiàn)有不明來歷軟件或電子檔案應及時通知電腦工程師。0除經(jīng)上級領導核準外，所有員工一律不能把公司內(nèi)之數(shù)據(jù)以任何媒體(包括電子郵件、軟盤、硬盤、光盤、U盤、MP3、MP4、手機或打印等)方式發(fā)放到公司以外之地方，一經(jīng)發(fā)現(xiàn)，將視作企圖盜取公司資料(公司資產(chǎn))論處。1任何人不得利用公司電腦資源下載MP3音樂、看電影、玩游戲，不得利用公司內(nèi)（外）部郵件服務器或用服務器上共享目錄傳送游戲程序、音樂、電子小說等以及與工作無關的圖片等。2服務器上分配給各部門的空間﹐用以存儲部門日常工作文件（包括日常報表﹑圖紙﹑相關的文檔等）,不得作其它用途(如視頻文件,個人資料等)。3服務器上本部門數(shù)據(jù)﹐應定期進行規(guī)檔整理。對于長時間或以后都不再用到的數(shù)據(jù)﹐要通知電腦管理將其備份后﹐從現(xiàn)在目錄中移除﹐以節(jié)省服務器存儲空間﹐提高服務器工作效能。4任何人不得私自在互聯(lián)網(wǎng)上下載文件，所有使用電子郵件之員工，若收到不明之郵件時，切勿打開該郵件，應立即刪除該郵件及通知集團IT工程師。4.11.6加密網(wǎng)絡內(nèi)的電腦加密網(wǎng)絡內(nèi)的電腦，集團IT部都會關閉電腦的USB接口功能，不允許電腦連接任何外用設備：U盤、硬盤、光盤、照相機等，加密電腦無法連接普通網(wǎng)絡內(nèi)的打印機。加密手提電腦都必須貼有標簽注明某客戶專用字樣，以區(qū)分加密電腦和普通電腦。因工作出差需將加密電腦帶離出廠，出廠前需填寫《工作聯(lián)絡單》，經(jīng)部門經(jīng)理批準后通知IT部網(wǎng)絡技術員對手提電腦進行出廠授權，限定涉密文件的使用次數(shù)和時限，在筆記本電腦所有外接端口貼易碎流水標簽,外出回廠后需到集團IT部進行端口解封檢查動作。若加密手提電腦出廠前未到集團IT部進行出廠授權，電腦將無法使用。手提電腦出廠時需要經(jīng)過公司保安檢查，確認手提電腦是否已經(jīng)經(jīng)過IT網(wǎng)絡組授權，否則不予放行。加密電腦只開通指定網(wǎng)站的上網(wǎng)功能。4.11.7計算機、服務器或存儲設備，停止使用或用作它用前是需進行低級格式化。4.11.8集團IT部必須有兩個以上集團IT系統(tǒng)