信息安全.docx
《信息安全.docx》由会员分享,可在线阅读,更多相关《信息安全.docx(6页珍藏版)》请在冰豆网上搜索。
信息安全
信息安全管理程序
1.目的
本程序是企业运转中信息安全管理的指南,目的在于规范服务管理人员在信息安全管理过程中的行为,保证其对公司服务管理体系策略、计划以及信息安全管理策略的遵从,保证信息安全管理目标的实现。
2.范围
本安全措施适用于本厂各部门对信息安全方面的管理。
3.职责
保障公司信息安全防护和防止产生恐怖威胁
4.内容
4.1保密内容
4.1.1会议记录保密期限内的重要决定事项。
4.1.2公司年度工作总结,财务预算决算报告,缴纳税款和各种综合统计报表。
4.1.3公司有关供应商资料,货源情报和供应商调研资料。
4.1.4公司生产、设计资料,技术资料和生产情况。
4.1.5客户提供的一切文件、样板。
4.1.6公司各部门人员编制调整、未公布的计划、员工福利待遇资料、员工手册。
4.1.7公司的安全防范状况及存在问题。
4.1.8公司员工违法违纪的检举、投诉、调查资料,发生案件和事故的调查登记资料。
4.1.9公司法人代表的印章、营业执照、财务印章、合同协议
5.安全管理措施
5.1.计算机设备安全管理。
5.1.1公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
5.1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
5.1.3发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:
违章作业;保管不当;擅自安装、使用硬件和电气装置。
公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。
任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。
公司会视实际情况进行处理。
5.1.4下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。
外人未经公司领导批准不得操作公司计算机设备。
5.2.部门资料安全管理。
5.2.1外接存储设备安全管理。
严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。
若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。
为确保硬盘的安全,严禁任何人私自拆开电脑机箱:
①将用户主机贴上封条标签,除信管部人员外,任何人不得私自拆开机箱,若信管部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。
信管部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。
②给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由信管部保管,若需要为用户处理电脑故障时,信管部在打开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机内硬盘的安全。
5.2.2文件传真安全管理。
所有人员对外发送传真,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。
在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。
若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。
5.2.3文件打印安全管理。
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。
若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。
禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
5.2.4文件的存储安全管理。
所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。
若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。
若员工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。
5.2.5办公区域的安全管理。
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。
若因资料没有存放好,被他人取走,造成的后果将由本人承担。
5.3.帐号密码安全管理。
5.3.1电脑密码管理:
每个员工拥有一个公司内部计算机登录帐户。
新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。
公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记,若更改密码后,未进行登记,一经信管部发现,将对该用户进行口头警告。
同时,因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题,信管部不承担责任。
5.3.2应用系统密码管理:
所有ERP用户及OA用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在ERP中将会非法编制篡改单据,在OA中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将ERP帐号或OA帐号密码透露给他人,让他人代己做ERP单据或办理OA流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。
若因以上原因造成的信息安全后果将由本人承担。
5.3.3采用用户身份认证系统:
目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。
在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用服务器,破坏或盗取商业数据等。
5.4.杀毒软件安全管理。
5.4.1用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
5.5各类软件安全管理。
5.5.1软件原始盘片应交综合部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。
保管应做到防水、防磁、防火、防盗。
使用者必需的操作守册由使用者长借、保管。
5.6 邮件安全管理。
5.6.1所有因公对外联系的电子邮件一律通过公司邮箱在指定的电脑上进行收发。
6.保密制度
6.1为保守公司秘密,维护公司发展和利益,制定本制度。
6.2全体员工都有保守公司秘密的义务。
6.3在对外交往和合作中,须特别注意不泄漏公司秘密,更不准出卖公司的秘密。
6.4公司秘密是关系公司发展和利益,在一定时间内只限一定范围的员工知悉的事项。
公司秘密包括下列秘密事项:
6.5属于公司秘密的文件、资料,应标明“秘密”字样,由专人负责印制、收发、传递、保管。
6.6公司秘密应根据需要,限于一定范围的员工接触。
6.7非经批准,不准复印、摘抄秘密文件、资料。
6.8记载有公司秘密事项的工作笔记,持有人必须妥善保管。
如有遗失,必须立即报告并采取补救措施。
6.9接触公司秘密的员工,未经批准不准向他人泄露。
非接触公司秘密的员工,不准打听、刺探公司秘密。
6.10对保守公司秘密或防止泄密有功的,予以表扬、奖励。
违反本规定故意或过失泄露公司秘密的,视情节及危害后果予以行政处分或经济处罚,直至予以除名。
6.11信息室、档案室、计算机房等机要部门,非工作人员不得随便进入,工作人员也不能随便带人进入。
7.安全事件防护应急措施
7.1及时发现、及时报告,在发现后及时向上一级领导或部门报告。
7.2保护现场,立即与网络隔离,防止影响扩大。
7.3及时取证,分析、查找原因。
7.4消除有害信息,防止进一步传播,将事件的影响降到最低。
7.5在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
7.6追究相关责任。
根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交学校及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
升级会员 