企业管理资料-信息安全制度文档范本.docx

《企业管理资料-信息安全制度文档范本.docx》由会员分享，可在线阅读，更多相关《企业管理资料-信息安全制度文档范本.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理规章制度L目的信息是企事业单位存在和发展的重要基础.为规范企事业单位信息 管理，保障信息安全,明确信息安全管理的程序、职责、义务和权限，特制 定本规章制度.2 .职责网络管理员（委外）：负责依公司或者机构的系统安全规定和相关部 门业务要求,对网络进行维护管理、计算机维护及故障处理等，保证系统安 全运行.2.1 系统管理员（安全员）：负责策划和制定公司或者机构信息安全策略、 监督安全规定的实施，提出改善要求,确保信息系统满足公司或者机构业 务安全要求.负责加解密授权管理、用户申报、开通访问授权和机房管理、 数据备份.3 .定义与术语公司或者机构信息分类：A.技术信息：产品图纸、制造技

2、术、主要存在于技术部.B.相关质量信息：主要保存在质管部.C.商务信息：主要存在于采购部、经营部.D.财务信息：主要存在于财务部.E.人事信息：公司或者机构工作人员及为公司或者机构服务的特 殊技能人才信息资料.F.密码信息：某工作人员个人登录、开机密码及IT管理员密码.G.内部运作其他信息：包括设备、基础设施、工程等信息资料.以上信息，根据信息秘密程度，分为可公开信息和保密信息.公司或者 机构任何工作人员均不可将公司或者机构保密信息（文件）以任何方式 传递、泄露给非授权人.a.公开信息：此类信息、文件可从公司或者机构公开渠道所获取, 如公司或者机构广告、网站中所涉及的公司或者机构名称、地址、经

3、营 产品等.b.秘密信息:不可从公开渠道所能获取的信息，如产品技术文件，包括 产品图纸、客户文件、工艺技术规范等；人事行政文件、管理程序和规 范、生产经营统计信息和其他记录、文件等.3.1 信息管理风险及危害来自企事业单位外的风险a.病毒和木马风险b.黑客攻击风险来自企事业单位内的风险a.文件外发传输，包括电子邮件、打印外发、传真等.b.存储设备的风险,通过移动存储介质将文件资料拷贝出公司或者机 构，包括带有保密信息的存储介质维修泄密，如相机、U盘、硬盘等维修.c.即时通讯，如QQ截图、FeiQ、MS LYNC、网络飞鸽等.3.1.1 风险行为a.上网行为风险.接收病毒邮件、访问不良网站传染病

4、毒或安装插件,导致泄密或电脑系统的崩溃.b.用户密码风险.包括用户密码和管理员密码.密码泄漏可导致非授权人访问或篡改、窃取信息资料.c.办公/区域风险.在办公区域随意堆放保密文件、公开谈论工作内容 导致泄密.d.机房设备风险.主要包括服务器、UPS电源、网络交换机等.这些风 险来自防盗、防雷、防火、防水.机房故障，可能会损坏机房设施,造成业 务中断.4 .信息安全措施上网行为管制根据各相关部门涉及的信息需求，由公司或者机构保密主管领导决 定、公司或者机构信息技术管理员实施公司或者机构电脑上网授权，包括 允许访问网址、下载和安装的软件.电脑使用人员不得自主下载、安装非 授权软件.各业务相关部门若

5、需要查阅资料和其他目的需要查看特定网站或安 装软件，需要由相关部门主管审查、保密主管领导批准，方可由网络管理员 开通.4.1 文件外发管制需要拷贝公司或者机构的文件资料并带出公司或者机构时,需要经 过授权人批准，解密后方可带出.图纸、资料等技术相关质量类电子文件，如果需要外发，统1由解密权 限人员解密后再外发.其中，若给委外加工方的技术文件，应经公司或者机 构转换，并消除客户有关产品型号、编号等信息后方可外发.授权解密人员对自己的解密文件进行审查，并对解密行为负责，符合 外发要求后方可解密外发.4.2 计算机应用软件安装与维护根据工作性质，公司或者机构统1规定允许安装的应用软件,并由系 统管理

6、员统1安装.工作人员必须从共享于服务器中的应用软件及升级版 本安装，不得安装网络下载或其他渠道软件版本.必须而共享软件中没有 的,由计算机管理员负责安装和升级.系统管理员负责保证所安装软件的安全性.4.3 计算机设备安全管理采购、安装与维护：计算机及其他涉密数码产品采购、安装和使用,应通过网络管理员审 查、主管领导批准.任何人不得使用某工作人员个人电脑、PAD、U盘等 接入公司或者机构网络.非网络管理人员（包括外来维修人员）不得处置、 维修公司或者机构电脑、硬盘和其他有涉密信息的数码产品.产品维修及 报废处置应建立维修处置记录,相关人员签名存档.电脑初始安装由系统管理员负责，必须安装规定的安全

7、软件，以保证 电脑安全运行.计算机时钟设置：必须设置成与internet同步,操作人员不得更改计 算机时间和时间,以保证计算机文件信息的准确性.下班后所有不再使用的计算机，应关闭主机电源,以防止意外.发现由以下等某工作人员个人原因造成硬件的损坏或丢失的，其损 失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置.4.3.1 杀毒软件:统1由网络管理员安装杀毒软件，并负责定期维护，包括升级以及故 障处理用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒 库升级，每日定时杀毒，使用者也应经常手动扫描杀毒.非管理员不得修改 防火墙和杀毒软件设置.4.3.2 信息资料备份涉及公司或

8、者机构产品技术、相关质量和财务等保密信息的,应在数 据服务器中保存备份文件.网络管理员负责服务器安全运行，并维护和定期备份服务器文件.工作人员离职时，须交回全部技术文件资料等保密文件，并经相关部 门负责人确认.相关部门负责人联系网络管理员对该工作人员电脑进行 保密检查，确保无泄密后签字认可.4.3.3 密码管理每个工作人员拥有1个公司或者机构内部计算机登录帐户和自己的 密码.使用者须妥善保管好自己的帐户和密码.帐户及密码设置后通知管 理员备案.所有工作人员必须在所使用的计算机中设置开机密码和屏幕 保护密码.为了保护公司或者机构的信息资产,设置密码时应注意:密码至 少有6个字符长；密码必须包含以

9、下任2部分：字母A-Z或a-z,数字0-9, 特殊字符，例如$，-等.工作人员密码每3个月至少更新1次.密码包括：开机密码、邮箱登录密码、ERP登录密码.USB Key管理：交由网络管理员锁到密码箱保存.任何人不得将此带 出公司或者机构.4.4 机房管理参照信息系统安全等级保护基本要求GB/T22239-2008要求，由人 力资源与行政办负责公司或者机构网络系统和计算机服务器（机房）管 理.建立计算机机房出入、操作登记.非授权人不得操作服务器.为保护计算机及网络系统安全，须满足以下要求：a.计算机房建筑接地电阻不大于4欧姆；b.温度不高于30度；湿度不大于70%;c.电源：配置稳压器和过压防护设备；d.设置访问用户权限，并及时删除废除用户；e.服务器数据备份，每周5下午进行备份.5 .记录与支持性文件加解密授权审核或者签字表5.1 计算机及其他数码产品登记表主机（服务器）操作登记表5.2 机房出入登记表授权加解密人员保密承诺书5.3 计算机初始配置要求硬盘及其他存储介质领用（维修）登记