企业信息安全管理制度文档格式.docx
《企业信息安全管理制度文档格式.docx》由会员分享,可在线阅读,更多相关《企业信息安全管理制度文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及DDoS分布式拒绝效劳攻击都由此而来,它会导致受攻击方效劳器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
2、来自企业内的风险
〔1〕文件的传输风险:
假设有职工将公司重要文件以QQ、MSN发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存开展。
(2)文件的打印风险:
假设职工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。
(3)文件的风险:
假设职工将纸质重要资料或技术图纸出去,以及将其他单位给公司的技术文件和重要资料带走,会造成企业信息的外泄。
(4)存储设备的风险:
假设职工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息。
假设有动机不良的职工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。
(5)上网行为风险:
职工可能会在电脑上访问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。
(6)用户密码风险:
主要包括用户密码和管理员密码。
假设用户的开机密码、业务系统登陆密码被他人掌握,可能会窃取此用户权限内的信息资料和业务数据;
假设管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个效劳器数据。
(7)机房设备风险:
主要包括效劳器、UPS电源、网络交换机、交换机、光端机等。
这些风险来自防盗、防雷、防火、防水。
假设这些自然灾害发生,可能会损坏机房设施,造成业务中断。
(8)办公/区域风险:
主要包括办公区域敏感信息的平安。
有些职工缺乏平安意识,在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容,假设不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。
为了保证企业信息的平安保密,公司所有人员必须严格遵守企业信息平安管理总那么,以平安总那么为根底,各部门具体细那么为平安管理行为标准,从各个层面杜绝信息平安隐患。
二、总那么:
从整个公司层出发,针对这些信息隐患制订平安防范措施。
1、计算机设备平安管理
〔1〕公司所有人员应保持清洁、平安、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备平安的物品。
〔2〕严格遵守计算机设备使用、开机、关机等平安操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
〔3〕发现由以下等个人原因造成硬件的损坏或丧失的,其损失由当事人如数赔偿:
违章作业;
保管不当;
擅自安装、使用硬件和电气装置。
公司每位职工对自己的工作电脑既有使用的权利又有保护的义务。
任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。
公司会视实际情况进行处理。
〔4〕下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原那么上由最后一个退出系统的使用人员关机,并关闭电源。
外人未经公司领导批准不得操作公司计算机设备。
2、部门资料平安管理
〔1〕外接存储设备平安管理:
严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。
假设因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。
为确保硬盘的平安,严禁任何人私自拆开电脑机箱:
①将用户主机贴上封条标签,除IT人员外,任何人不得私自拆开机箱,假设信管部进行电脑硬件故障排查时,撤除封条标签后,在故障排查结束及时更换新的封条标签。
信管部将定期检查,假设发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。
②给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由IT保管,假设需要为用户处理电脑故障时,IT在翻开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机内硬盘的平安。
〔2〕文件平安管理:
所有人员对外发送,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的文件,一经发现,所有后果将由个人承当。
在对内文件时,应即刻通知接收人接收并取走件,在结束时,应马上取走原件。
假设因时没有取走件,导致件丧失,造本钱部门信息外泄,那么由本人承当一切后果。
〔3〕文件打印平安管理:
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。
假设在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,假设因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。
禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,假设因打印后,文件丧失,造成信息资料外泄,那么由本人承当相关责任。
〔4〕文件的存储平安管理:
所有部门人员应每周清理计算机中的文件,去除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;
电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。
假设因个人原因未执行备份,造成数据资料丧失时,将由本人承当相关后果。
假设职工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此职工工作资料拷贝到部门U盘或移动硬盘上,假设没有执行此平安过程,离职职工损失的文件资料由该部门承当。
〔5〕办公区域的平安管理:
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。
假设因资料没有存放好,被他人取走,造成的后果将由本人承当。
3、帐号密码平安管理
使用者须妥善保管好自己的帐户和密码。
严防被窃取而导致泄密。
帐户及密码由网络管理员设置后通知职工,职工不得随意更改密码。
所有职工必须在所使用的计算机中设置开机密码和屏幕保护密码。
为了保护公司的信息资产,设置密码时应注意:
密码至少有8个字符长;
密码必须包含以下任一局部:
字母A-Z或a-z,数字0-9,特殊字符,例如$,-等。
〔1〕电脑密码管理:
每个职工拥有一个公司内部计算机登录帐户,以实名制设置;
新职工申请帐户时需要向网络管理员提供、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。
公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在综合管理部登记,假设更改密码后,未进行登记,一经网络管理员发现,将对该用户进行口头警告。
同时,因没有及时向综合管理部备案造成的电脑故障问题或文件丧失等问题,综合管部不承当责任。
〔2〕应用系统密码管理:
包括BPM、金蝶、CTBS、邮件系统所有用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高平安性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,假设密码设置过于简单,被其他用户非法登陆后,在系统中将会非法编制篡改单据,在BPM中非法冒用流程管理权限,假设产生此情况,将会导致严重的后果;
严禁将帐号密码透露给他人,让他人代己做单据或办理流程;
职工调离岗位或离职,所在部门负责人应及时通知信管部注销该职工的应用系统帐户。
假设因以上原因造成的信息平安后果将由本人承当。
〔3〕采用用户身份认证系统:
目前我公司登陆效劳器采取的是静态密码认证,这种密码保护技术是最低层次的。
在企业内,容易被其他部门人员注意到效劳器登陆密码,从而可能会被动机不良的职工登陆到效劳器,破坏效劳器数据;
在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用效劳器,破坏或盗取商业数据等。
因此,我部门在未来的开展规划中,要将用户身份认证当作平安的一个重大隐患,想方法解决这个问题。
这里,我们可以采取动态口令牌或USBKEY认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于60秒内自动刷新密码,无法采用数据字典扫描破解密码,让黑客攻击行为束手无策;
而USBKEY采用USB密钥,存储特定的加密算法,只有将USB钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。
我们通过〔动态+静态〕混合身份认证,或〔硬件+软件〕混合身份认证,保证效劳器的登陆基于网内的行为、网外的行为都是平安的。
4、杀毒软件平安管理
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
5、各类软件平安管理
软件原始盘片应交综合部保管,软、硬件设备的原始资料〔软盘、光盘、说明书及保修卡、许可证协议等〕交综合部保管。
保管应做到防水、防磁、防火、防盗。
使用者必需的操作守册由使用者长借、保管。
6、邮件平安管理
所有因公对外联系的电子邮件一律通过公司邮箱在指定的电脑上进行收发。
〔参考邮箱管理制度〕综上所述,使用者应该具有一定的平安防范意识,具体应做到:
日常工作信息平安:
〔1〕职工应对在自己公司电脑内公司机密信息的平安负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
〔2〕职工有责任正确地保护分配给本人的所有计算机帐户。
〔3〕各部门经理及人事部应及时向综合管理部提供本部门及公司职工的人事及职位变动信息。
〔4〕每台公司电脑内必须安装反病毒软件并启动实时扫描程序。
综合管理部网络管理员统一安装杀毒软件。
〔5〕不得安装有可能危及公司计算机网络的任何软件,假设实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
〔6〕任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
假期时间办公室的平安:
确保工作电脑的平安,在你离开之前的一周内备份你的文件。
在你即将离开之际确保你的电脑关机并设有开机密码,其它信息管理部设备的电源也必须切断。
确保数据的平安:
确保你的软盘,备份数据源和所有机密文件被妥善锁好。
公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。
公司的机密信息必须存放在锁上的办公桌或文件柜中。
当你在外的时候:
不要在任何地方谈论公司的机密信息。
公司的竞争对手成员也可能在休假,而且总在探听我们公司的消息。
任何小小的信息都可能是他们所需要的。
当你回来的时候:
如果你发现在平安方面有任何可疑之处都要向公司有关方面进行汇报。
报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。
常规考前须知
〔1〕任何外来盘片(包括CD、VCD碟片及软盘),只有经过系统管理员确认不带病毒后,才可在公司计算机上使用.否那么造成病毒感染或其他破坏的,公司将对其责任人进行罚款处理,每次金额50元~500元。
〔2〕个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出,假设需输出必须履行审批手续。
申请人填写申请单,写明输出资料内容、份数、路径、用途、申请日期、申请人等工程,经部门领导和公司领导共同签字审批后,交由专人上机操作。
〔3〕未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查,发现有违反本条规定的,将给予50元~500元的罚款。
〔4〕严禁在工作时间利用计算机网络从事与本职工作无关的活动,发现有违反本条规定的,将给予50元~200元的罚款。
三、细那么:
从各部门级出发,针对这些信息隐患制订平安防范措施。
1、商务部的平安处理措施如下:
〔1〕商务招标的平安管理:
由商务部门编写招标方案,经部门负责人签字后,上报总经理审批,总经理根据生产过程的物料需求及原有的物料商务价格决定是否需要寻找新的货源,假设审批同意后,商务部才可以开展招标工作。
商务部门制定招标邀请书,邀请众多有法人资格、供货条件的单位参与我公司的招标活动。
在发标书的过程中。
商务部应遵守以下原那么:
①招标的公开性:
对于商务的招标信息应该公开;
评标的标准和程序应该公开;
中标的结果应该公开。
②招标的公平与公正:
对待各方投标者一视同仁,不得对任何投标方带有主观意见。
③招标的保密性:
商务部人员严禁以任何形式向投标方透露招标的意向。
评标完成后提交评标报告给总经理,最后由总经理中标、授标。
〔2〕商务价格及供给商的信息平安保密:
商务信息的保密要求商务部所有人员不得以任何形式向其他部门或外部人员透露物料商务的价格,严禁向他人透露各种物料的供货来源。
商务部门人员要随时检查个人办公区域的文件资料是否存放好,防止因打印的商务价格表和供给商联络单没有存放好,导致商务信息资料外泄。
要求部门人员要严格保管好工作纸质文件,同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供给商资料的电子信息平安。
2、工程部的平安处理措施如下:
〔1〕图纸的平安管理:
工程部的图纸只允许在部门内部传阅。
在进行工程生产时,工艺员申请借阅工程图纸,经签字确认后,档案专员将图纸副本发放给工艺员,工艺员负责监督技术人员和操作人员严格按照图纸进行生产,确保生产过程符合ISO9000体系要求。
生产完成后,工艺员将图纸返还给档案专员,图纸副本重新归档。
在借阅过程中,严禁借用人将图纸传阅给其他人员,一经发现,必将严肃处理。
〔2〕工艺技术文件的平安管理:
工程生产的工艺技术文件由方案员归档保存,在组织生产人员进行操作培训时,指导操作人员学习质量文件和相关工艺规程,培训过程中,确保工艺技术文件只在培训过程中流转,培训完成后,收回所有的技术文件,禁止任何人以任何理由将文件带出公司。
禁止任何人复印、此类文件。
〔3〕人员的平安管理:
工程部保管着生产技术文件和图纸,公司的人员流动很容易造成技术的泄露。
鉴于此,部门应严格控制工艺技术文件及图纸的传阅。
文件将由专员保管。
禁止部门人员在未经允许的情况下或复印此类文件;
在部门职工调动或离职前,由部门档案专员收回该职工所有工作文件。
假设档案专员调动或离职,由部门经理亲自收回该岗位所有的工作资料,并清点所有书面文件和电子文件是否存在缺省或丧失的情况,最大程度防止人员的流动造成技术资料的外泄。
4、仓储部存在的平安隐患及处理措施如下:
A物料库存平安:
物料采购入库后,仓储部做好物资的保管工作,如实登记仓库实物账,经常清查、盘点库存物资,确保系统帐、查存卡、实物一致;
做好物资商务、存储、生产领用各环节平衡衔接工作,做到物料的先进先出,当保管物料的库存量缺乏时,及时通知商务部,由商务部制定新的方案进行物料商务,再入库存,确保生产有序进行。
B、物料信息平安:
仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。
仓储部负责人应严格标准部门人员的平安防范意识,并严格存放好入库单和领料单等纸质单据,确保不会因为单据的存放不善而泄露物料供货信息。
C、仓库整体平安:
做好物资的存储工作,按品种、规格、体积、重量等特征决定存放的方式与位置,仓库物品堆放整齐、平稳,合理利用储物空间,减少地面负荷,便于盘存和领取,并有效做到先进先出;
做好仓库的平安、防火、防盗、防爆、卫生工作,确保仓库和物资的平安;
对危险品需进行单独存放与隔离、管制。
5.技术部门的平安处理措施如下:
〔1〕图纸的归档:
A、外来书面图纸:
公司指定收件人收到后整理并编制归档,确认完整无误后,交由综合部档案管理员。
图纸蓝图邮寄到北京,复印件登记,入库经总经理批示发放至相应部门。
B、电子幅员纸:
外来电子幅员纸,由公司指定专人负责接收。
打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门;
假设外来电子幅员纸已由对方传至我方工程人员处,工程人员应将图纸资料整理后报综合部存档,由综合部统一打印及按公司规定下发至相应的职能部门,假设出现图纸变更时,综合部应及时替换旧版电子图,并回收已发放的旧幅员纸。
C、内部设计电子幅员纸:
在工程完工后一周内,技术人员应将最后定稿图纸交由综合部,由其在三天内加密统一刻录光盘。
一式两份,公司领导及综合部档案管理员各保管一份。
(2)外来工艺文件、技术规格书:
技术人员在收到文件后1个工作日内整理无误,交综合部档案管理员登记、入库经总经理批示前方能发放。
〔3〕内部拟定的工艺文件、技术标准文件:
A、公司自行编写的生产工艺文件,经总经理审批签署后交综合部档案管理员入库存档。
B、移交文件时,移交人应备有档案实体和目录,经档案管理员对照验收无误前方能办理移交登记手续。
C、档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者,有权拒绝接收,并限期改正补交。
D、移交时,移交和接收文件方均应建立书面移交记录。
(4)技术图书、期刊、标准的管理:
公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。
损坏、丧失应由责任人负责全价赔偿或购置新书。
(5)技术,工程往来件:
综合部收到技术文件后,下发到相应部门,相关责任人签收签字。
同时保存复印件,按工程不同分类,待工程结束后,各负责人将其保存的复印件整理装订后归档。
(6)技术,工程往来电子邮件:
由公司指定接收人以及综合部邮箱管理员定期下载整理。
每月将电子邮件交综合部统一刻制成光盘存档。
(7)本行业其他公司宣传画册、样本、产品信息等文件,由综合部按?
样本资料明细表?
登记保管,使用人可查询使用,不得私自留存。
(8)技术文件的复印:
归档的技术文件确因工作原因需要复印时,须由使用人到综合部填写?
资料复印申请表?
经总经理批准后,综合部指定人员复印后发放至使用人。
(9)技术文件的借阅
A、借阅手续:
各部门有关工作人员因工作需要借阅归档技术文件,应办理调阅手续,经部门负责人签字,交公司领导批准前方可办理借阅手续。
B、借阅记录:
档案管理员应有清楚、准确的借阅记录,包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。
C、借阅时间:
一般最长不超过8个工作时,超过8个小时需在办理调档申请时特别说明。
如职工因工作原因经批准需要带出资料时,那么其返回后一个工作日内归还。
D、归还要求:
借阅的资料交还时,必须由经办人当面点交清楚,如发现遗失或损坏,应立即报告领导,同时应追究使用人的责任。
公司所有技术文件均应先由综合部专人登记入库后,经总经理批示后分发至相应部门负责人处,由其向部门职工下发。
各部门负责人应做好本部门技术资料的保密工作,假设保管技术资料人员离职时应向综合部交回相关的技术资料。
综合部下发技术文件时,须由签收人签字确认。
6.质管部的平安处理措施如下:
(1)工艺文件的平安管理:
部门档案专员保管本部门的工艺文件。
此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况,假设要进行生产过程检验,在部门负责人授权下,部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员,质量工程师或其他管理人员根据工艺文件的标准,对生产现场各道工序施工工艺、方法、操作规程进行检查监督,提出生产过程中的不合项,对不合格项进行跟踪验证。
生产过程检验完毕后,质量工程师将工艺文件副本返还给部门档案专员,最后由档案专员进行文件归档。
工艺文件仅允许部门内部管理人员传阅,不得借阅给其他任何部门及工人。
假设部门管理人员借阅工艺文件后,造成的文件丧失,那么借阅者承当相关责任。
(2)验收图纸的平安管理:
验收图纸用于检验生产完工后的产品是否合格,由部门档案专员保管。
质量工程师借阅验收图纸后,以此为标准对完工产品进行鉴定,假设合格,那么调入成品库;
假设不合格,那么对不合格项进行跟踪验证,直到产品合格为止。
验收图纸借阅分为以下几种情况:
①内部管理人员借阅。
验收图纸只允许本部门内管理人员的互相传阅,借阅人在档案专员处登记,确定归还时间后,档案专员对其分发验收图纸副本,借阅完后,及时归还给档案专员,禁止传阅给部门非管理人员。
②技术研发部人员借阅。
只有技术研发部人员才能借阅本部门验收图纸。
在借阅时,要遵守借阅流程,在技术研发部经理签字后,上报总经理审批,总经理审核通过后,质管部方可将验收图纸副本借阅给相关人员,并要求在8个小时内归还图纸。
图纸借阅过程中,严禁将图纸传阅给其他人员,或私自将图纸进行复印或扫描,一经发现,必将严肃处理。
③验收图纸不得传阅给其他部门人员,也不得传阅给本部门非管理人员。
一经发现,追究档案专员相关责任。
7.财务部的平安处理措施如下:
(1)财务部为公司重要数据信息部门,除本部门在内工作外,其他无关人员不得入内。
(2)财务人员去银行取现金、支票等,应两人以上同行,禁止途中办理任何与此项工作无关事宜。
(3)妥善存放支票,支票与有效密码及专用印鉴要分别存放。
(4)出纳人员不得私配保险柜钥匙,不得将保险柜密码外传,过节或放假时,要与综合部配合,对保险柜加贴封条。
假设因密码钥匙保管不善,导致现金及其他财产损失,将由本人承当一切损失。
(5)会计人员应妥善保管好各类凭证及发票,不得在凭证发票随意摆放在办公桌的情况下离开办公区域。
凭证发票录入核对完毕,应立即整理存放到财务凭证专柜中,同时确保上锁,并妥善保管好钥匙,假设因以上原因造成财务数据丧失,将由本人承当一切后果。
(6)财务人员应保管好电子银行或其他一切与财务有关的加密锁,在使用时,使用人不得离开电脑,确保所做的一切操作均出自本人之手。
假设使用完毕,一定要将加密锁存放于财务专柜中妥善保管。
(7)财务部门因为数据的重要性,因此对平安的要求很高。
在使用电脑时,要求财务部门人员一定要每天升级杀毒软件,假设电脑出现异常,应联系信管部查明原因,是否能平安操作。
(8)财务部是企业工资的发放部门,掌管着企业全体人员的工资详情。
由于工资向来是公司的敏感信息,因此,财务的工作要求财务所有人员应严格遵守职业素养,严禁财务部人员以任何形式向任何人透露工资或奖金信息。
8.综合部的平安
升级会员 