信息安全管理制度003.doc

信息安全管理规定1目的在遵循集团计算机信息安全管理制度原则基础上，为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。2范围本办法适用于公司全体员工。3术语定义3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件）、数据、文档、图纸等含有一定意义的计算机信息资料。3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网）3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网）3.4 VPN：虚拟专用网络（Virtual Private Network，简称VPN，是指在公共网络上建立专用网络的技术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。4职责4.1信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络交换设备的管理工作，及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计算机信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司保密制度相关规定提出信息密级的定级申请。5内容与要求5.1 账号和密码安全管理 信息系统用户账号须严格按照业务信息系统要求进行设置，原则上不得设置成共用账号，以确保使用人与账号的唯一性。 员工申请信息系统账号权限时，所在部门的负责人应严格审核，控制授予满足其工作需要的最小权限；员工岗位或工作内容发生变化后应及时提出申请权限变更，应用系统管理员应及时变更异动员工的权限，冻结离职员工的账号。计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即向信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。2  5.2 IT设备安全管理计算机用户使用办公计算机处理公司涉密信息时，应对涉密文件进行加密处理，如设置访问密码、控制阅读权限等。涉密岗位用户使用笔记本电脑，须经分管领导或总经理批准，在安装相应的安全管理系统和安全防范措施后，才能使用。移动存储类设备中不得保留涉密信息，临时使用应由使用人妥善保管，用后立刻删除。涉密岗位办公计算机连接的打印设备应由所在部门指定专人管理，并按照事业部保密工作实施细则相关规定严格控制涉密文件的打印。5.3 网络安全管理信息化管理部门应定期对负责管理的网络设备进行安全检查，发现异常及时处理，重大事件应及时向总部信息化管理部门报告。严格控制笔记本电脑上内网，特殊需求须经过分管领导或总经理审批。所有外网用户登陆内网信息系统必须通过VPN访问。5.4信息系统运营安全管理信息系统应用管理员的确定和变更应按照事业部保密工作实施细则涉密岗位的规定进行政审，经总经理批准后，报信息化管理部门备案。信息系统的业务配置变更和二次开发需经过评估和严格测试后，才能传入正式环境使用。5.5 计算机信息安全管理 内部信息拷出或向对外单位发送信息需在OA系统中发起计算机信息提取外发申请流程申请。信息化管理部门定期根据内部信息提取外发日志对内部信息提取外发部门进行审计，如发现违规情况，将根据保密工作实施细则员工奖惩制度等进行处理。按照集团计算机信息数据集中备份管理要求，公司信息化管理部门定期向总部信息化部提交申请，将由公司负责管理的计算机信息备份到集团数据备份中心，并及时跟进公司计算机信息备份工作的完成情况，以免造成计算机信息的丢失。信息备份应保证及时、完整、真实、准确地转储到不可更改的脱机介质上，备份介质须异地存放，并确保在信息系统发生异常时能及时通知集团数据备份中心，进行信息系统恢复。5.6 信息安全审计 信息化管理部门应定期组织对信息系统的系统管理员登录日志、操作日志、变更记录等关键信息的审计工作，根据信息系统实际情况形成审计记录，及时处理违纪操作。业务部门应定期对本部门员工对外发送涉密信息的合规性进行检查，形成月度审计记录反馈给 3  信息化管理部门，及时处理违规操作。信息化管理部门应定期针对信息系统进行信息安全（包括组织、人员、账号、角色、权限等）盘点，出具盘点报告，提交公司安全管理委员会。