8微网信通《公司信息安全管理制度及补充规定》Word文档格式.doc

8微网信通《公司信息安全管理制度及补充规定》Word文档格式.doc

《8微网信通《公司信息安全管理制度及补充规定》Word文档格式.doc》由会员分享，可在线阅读，更多相关《8微网信通《公司信息安全管理制度及补充规定》Word文档格式.doc（10页珍藏版）》请在冰豆网上搜索。

信息是公司赢利的基础条件，是公司生存的关键因素，为实现公司信息安全的规范化管理，特制定本制度。

企业间的竞争，是人才的竞争，技术的竞争，市场的竞争，更是信息的竞争。

只有占据了信息的至高点，才能在发展中立于不败。

信息安全不是仅仅依靠某个部门，某几个人就能够解决的，它需要全体员工的参与。

公司全体员工，应通过对本制度的学习，增强信息安全意识，明确自己承担的信息安全责任和义务，为保障公司业务的正常开展做出贡献。

二、保密守则

保守公司商业秘密，人人有责：

1.不准把公司商业秘密擅自带出工作区域；

2.不准在各类媒体上擅自披露公司商业秘密；

3.不准在互联网络擅自发布、传递公司商业秘密；

4.不准在非保密通信工具上探讨公司商业秘密；

5.不准在私人信函中涉及公司商业秘密；

6.不准在公开场合中谈论公司商业秘密；

7.不准在个人交往中谈论公司商业秘密；

8.不准为他人提供公司商业秘密；

9.不准看的不看，不该问的不问，不该说的不说，不该传的不传。

三、细则

（一）入职

1、公司在新员工入职时对其进行入职背景审查；

2、所有员工入职时，需与公司签定保密协议，承诺保守公司商业秘密；

签订保密协议的员工离开企业后仍有保密义务。

（二）离职

1、员工提出离职申请后，需接受信息安全审计；

2、部门领导根据员工在公司工作期间所接触商业秘密情况，确定其是否需要签署《竞业限制协议》，明确竞业限制期限和具体限制单位等。

员工离职后应依据《竞业限制协议》约定的事项和期限履行竞业限制承诺。

（三）保护商业秘密

1、禁止以欺诈、盗窃、利诱、胁迫、贿买或者其他不正当手段获取公司商业秘密、知识产权和专利技术；

2、严禁违反保密协议或者违反公司有关保守商业秘密的要求，披露、使用或者允许他人使用所掌握的商业秘密；

3、未经公司书面同意，禁止签署竞业限制协议的员工，在生产同类且有竞争关系的产品的企业任职或者自己研发、生产或经营同类且有竞争关系的产品；

4、在与第三方组织或个人建立合作关系时，必须评估其可能带来的安全风险，与其签订安全保密协议，或在商务合同中明确信息安全条款。

（四）区域安全

1、如果办公室或工作区域能上锁，最后一个离开的员工要锁上办公室或工作区域；

2、如果办公室或工作区域不能上锁：

1）员工离开时，激活屏幕保护密码；

2）妥善包管所有包含有公司机密内容的文件，如锁进文件柜；

3）在每天工作结束时，将便携电脑妥善包管，如锁入文件柜；

4）在每天工作结束时，如无数据需要处理，要将所有计算机关机。

（五）计算机安全

1、每个员工有责任保护公司的计算机资源和设备，以及包含的信息。

2、必须在所有个人计算机上激活下列安全控制:

1）员工的电脑中设置BIOS开机密码；

操作系统登录密码；

屏幕保护程序密码；

2）设置屏幕保护密码，并能在15分钟内自动激活；

3）将在个人计算机中的包含有公司机密信息的文件，包括邮件、存档文件，复制到本地的数据库；

存储在个人计算机中的包含有公司机密信息的文件，需要加密存放。

3、当员工在旅行中或在办公室之外的地方工作时：

1）要尽可能将便携电脑置于自己的控制之下；

2）当乘飞机或其他交通工具旅行时，禁止将便携电脑放在托运的行李中，过安检时要避免丢失；

3）便携电脑不应该长时间留在无人的交通工具上，例如公司的交通车、私人车辆等；

4）如果员工必须将便携电脑留在无人的交通工具上，员工要考虑放在安全的地方，如私人车辆的后尾箱；

5）如果员工必须将便携电脑留在酒店，应将其锁在保险柜里。

如果没有保险柜，应使用电脑锁将它锁在固定的物体上；

6）如果员工带着存有公司机密资料的便携介质，如纸件、磁盘、个人助理（PDA）、笔记本、移动存储设备等，员工必须根据上述保护便携电脑的标准同样地保护这些介质；

7）如果员工的便携电脑或公司的机密信息被偷、丢失，员工必须立即报告给直属领导。

4、邮件

1）员工当使用电子邮件通过互联网与其他人通讯：

禁止自动转发公司内部邮件到互联网上；

禁止使用非公司规定的电子邮件交换公司信息；

2）禁止使用公司的计算机散布或回复连锁邮件，恶作剧邮件；

3）如果员工收到连锁邮件或恶作剧邮件，禁止转发。

如果员工收到非官方的关于病毒或有害代码威胁的电子邮件通知，应与公司相关领导联系；

4）群发邮件仅可以用于工作目的，不准许群发大型邮件；

5）公司员工不得散发可能被认为不适当的，对他人不尊重或提倡违法行为的内容。

员工如果有关于不适当内容的疑问，可以咨询直属领导。

5、网络

1）禁止通过公司网络访问从事与工作无关的互联网内容；

2）禁止在网络上伪装为他人；

3）禁止在公司网络上运行黑客工具；

4）禁止在公司网络上使用非公司规定的电子邮件；

5）禁止员工私自拨号上互联网；

6）员工在外网注册时应避免使用公司/员工信息（如公司邮件地址，电话，职务等）——收到垃圾邮件的主要原因就是你在外网留下了公司的邮件地址；

7）在网络上发表言论，一定要从忠于公司事业的角度出发；

8）未经相关领导允许，禁止增加网络设备到公司的网络架构中（如：

路由器，拨号接入服务器，集线器等）。

6、软件使用许可证明、版权和知识产权

1）对于员工私人安装在公司计算机上的软件，员工必须持有有效使用许可证明；

2）禁止非法拷贝或复制软件，除非在许可证条款上明确允许；

3）如果员工使用没有许可证的软件，需要承担个人责任；

4）员工在公司内使用受版权或其他知识产权法规保护的信息或软件时，务必遵循相关的法规；

5）在公共网络（包括互联网）上的多数信息和软件（程序，视频，音频，数据文件等）都是受版权和知识产权保护的。

在公司使用这些资源时：

a）公司内使用这些来源的软件，必须得到版权所有者的允许；

b）员工必须阅读和理解软件版权限制。

如果员工认为公司不能遵循相关条款，禁止下载或使用；

c）员工必须遵循软件所附的关于使用的要求和限制（如，禁止用于商业目的，不能向其他使用者收费或分发，服从版权或每个拷贝所附的使用注意事项等）；

d）如果员工要在公司发布的产品或资料上引用和摘录任何外界的资料，员工必须获得相关领导的协助和批准。

（六）使用电话、打印机（传真机）和电话会议系统

1、当打印公司机密信息时，员工必须保护这些信息不受盗窃和非授权阅览（打印设备包括：

打印机，绘图仪，或其他用于输出硬拷贝的设备）；

2、在公司外部使用电话讨论公司的机密信息有时是必须的，但是会造成安全漏洞，需要小心在讨论机密事件时不被其他人偷听；

3、避免在公开场合使用移动电话谈论公司机密信息；

4、禁止在非公司的语音信箱内（如移动10086提供的语音邮箱）留下公司的机密信息。

如果员工将公司的固定电话或移动电话转移到非公司的语音信箱（如移动10086提供的语音邮箱），通过员工的语音留言告诫来电者不得留下公司机密信息；

5、如果通过传真发送公司的机密文档，要核实目的传真的电话号码，联系收件人确保保护传真，确保快速取走或确保传真件在安全区域内；

6、禁止使用互联网传真服务发送或接受公司机密信息；

7、禁止使用第三方的传真服务发送或接受公司的机密信息；

8、禁止通过无线传真设备发送公司机密文档；

9、如果在电话、电视会议中涉及讨论公司机密信息，会议的主持人或组织人，在会议全过程中一定要确认每一个与会者是经授权参与的。

（七）涉密文档

1、涉密文档的存放

1）每个员工只能拥有与本岗位工作相关的涉密文档，禁止从非正常途径获取公司或部门的涉密文档；

禁止非授权复制涉密文档；

2）机密或绝密级文档必须存储于安全措施完备的设备中；

3）秘密级以上的纸面或文档介质无人照看时需上锁保存；

4）应定期对机密或绝密文档清查、清退、归档，发生丢失要及时查找，并上报；

2、涉密文档的传递

1）未经批准，所有公司内部信息不得在公共论坛上发表、传播；

2）公司机密级或绝密级信息共享或发送时，必须使用文档安全控制系统；

绝密级文档不能作为电子邮件附件发送；

3）发送纸质机密、绝密文档时应用信封封装，同时做好传送记录；

3、涉密文档的删除和销毁

1）员工离开原岗位（含离职）并工作交接完毕后，应删除或销毁所有与原工作岗位相关的涉密文档；

2）涉密文档的销毁必须由文档管理人使用可靠的技术措施和适当的设备进行；

3）计算机转移到公司其它员工前，要由公司指定人员对无关涉密文档彻底删除；

4）在复制过程中，废弃的涉密文档必须销毁，如复印效果不好的纸件，打印未完成的纸件等。

（八）保护公司的信息

1、公司信息安全涉及到两部分，公司内部信息共享和传播控制，以及公司和外部的信息安全控制；

2、公司内部信息共享和传播控制：

公司内部各体系之间，在没有公司领导授权或批准的情况下，不允许相互交流人事信息、薪酬信息（重要机密）、产品成本（含研发等）信息（重要机密）、核心技术机密（重要机密）等。

涉及的体系有行政支撑体系、产品体系、方案及营销体系，包括以上体系相互之间。

3、公司对外信息发布：

3.1产品方案类，由方案营销部或市场管理部统一审核。

3.2商务价格类，由市场管理部统一审核。

3.3其他，相关体系分管副总负责审核。

4、公司机密信息指公司拥有的信息，包括公司文件服务器中、数据库中的信息，其中有许多（但并不是所有）是绝对机密的，也可能享有著作权、专利权或其他知识产权或其他法律上的权利。

机密信息包括：

与公司目前或未来产品、服务或研究有关的公司技术或科技信息，业务或营销计划或预测、营业收益或其他财务资料、人事资料（包含主管或组织变更），以及软件等技术信息、经营信息；

5、公司的员工会接触到公司认为属于机密的信息。

员工绝对不能在未经公司授权的情况下泄露这些信息，并且必须恪守公司为保护此等信息而制订的各项标准及流程；

6、保护公司机密信息的基本要求是：

公司机密信息仅限于有业务需要的人员中使用。

对于公司机密信息必须根据公司的相关规定予以适当的标识。

当将公司的机密信息通过因特网，公众网或无线网络传送时，必须予以加密；

7、如果需要共享公司机密信息（如：

网络组，或其他共享的资源库），员工必须使用安全控制来管理和限制其他人的访问。

安全控制不能设置为任何人可读，或公共享用公司机密信息；

8、如果员工不理解怎样正确设置或使用安全控制，员工应该向相关领导请求建议或帮助；

9、禁止在没有员工的控制或公司控制的系统上，存储或处理公司的机密信息；

10、禁止使用提供翻译服务的互联网站来翻译公司的机密信息；

11、非蓄意的泄密员工必须小心避免非蓄意地泄露公司专有信息。

为了避免因无心之失，泄露公司信息，绝对禁止和任何未经授权的人员讨论公司视为机密或尚未公开的专有信息。

此外，在任何场合，如身边有未经授权的人员，就不应谈论公司机密信息，即使谈论对象已获授权。

例如，在交易会上、机场等公共场所，或在使用移动电话、无线电及其它电子媒体或数据库时。

（九）安全事件汇报

1、员工发现了信息安全事件，不论这