信息安全管理制度全.docx
《信息安全管理制度全.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度全.docx(8页珍藏版)》请在冰豆网上搜索。
信息安全管理制度全
信息安全管理制度
一、总则
为了进一步加强公司信息安全管理,根据公司的要求和保密规定,结合公司实际情况,特制定本制度。
二、信息管理员职责
1、公司负责信息安全的职能部门为。
2、公司设置专人为信息管理员,负责信息系统和网络系统的运行维护管理。
3、负责公司计算机的系统安装、备份、维护。
4、负责督促各部及时对计算机中的数据进行备份。
5、负责计算机病毒入侵防范工作。
6、定期对网络信息系统安全检查。
7、违规对外联网的监控,信息安全的监督。
8、负责组织计算机使用人进行内部网络使用规范的宣传教育和培训工作。
9、负责与上级管理部门联络工作,参加上级组织的各类培训,并及时上报相关报表。
三、管理制度
(一)密级制度
从保密性角度,公司对于信息分成两大类:
公开信息和保密信息。
1、公开信息:
公司已对外公开发布的信息,如公司宣传册、产品或公司介绍视频等。
2、保密信息:
公司仅允许在一定范围内发布的信息,一旦泄露,将可能给公司或相关方造成不良影响。
比如公司投资计划等。
3、保密信息密级划分
根据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。
绝密信息:
关系公司前途和命运的公司最重要、最敏感的信息,对公司根本利益有着决定性影响的保密信息,如:
公司订单,研发资料,重大投资决议等。
机密信息:
公司重要秘密,一旦泄露将使公司利益受到严重损害的保密信息,如:
未发布的任命文件,公司财务分析报告等文件。
秘密信息:
公司一般性信息,但一旦泄露会使公司利益受到损害的保密信息,如:
人事档案,供应商选择评估标准等文件。
内部公开:
仅在公司内部公开或仅在公司某一个部门内公开,对外泄露可能会使公司利益造成损害的保密信息的保密信息,如:
年度培训计划,员工手册,各种规章制度等。
4、密级标识
创建文档时,需要根据内容在页眉处添加正确的密级,页脚处注明“机密,未经许可不得扩散”或类似字样。
电子档及打印文档皆须包含上述字样。
(二)人员安全
1、外来人员
根据来访性质,可将来访人员分为两类,1)预约来访人员:
计划内来访,指公司相关接待部门事先已明确来访人员的相关信息(单位、姓名及人数等)、来访时间及来访事由的情况。
2)临时来访人员:
计划外来访,指即公司接待部门事先不清楚来访人员的相关信息、来访时间及来访事由的情况。
2、“临时出入卡”颜色标识
1)客户:
红色贵宾来访卡
2)供应商:
蓝色来访卡
3)应聘或其它人员:
黄色来访卡
3、接待流程
1)预约来访人员
A:
来访人员不需进入办公或生产区
接待流程如下:
1接待人员填写接待申请单。
2来访人员到公司前台,前台核实身份后发“临时出入卡”,来访人员留下有效证件。
3员工与来访人员在大堂接待区或其他外部接待区会谈。
4来访人员到前台交还卡并领回证件,前台填写确认单。
5流程结束。
B:
来访人员需要进入办公或生产区
1接待人员填写接待申请单。
2来访人员到前台,前台核实身份后发“临时出入卡”并在单中记录,来访人员留下有效证件,前台确认进入时间。
3前台将来访人员交接给接待人员。
4会谈结束,接待人员将来访人员送至大堂前台,前台确认离开时间、陪同情况,来访人员还卡并领回证件,前台填写确认单。
5流程结束。
2)临时来访人员
一般情况下,临时来访的会谈地点应安排在办公区域之外,如确因工作需要需进入办公或生产区域,需按预约来访流程,由接待人填单并经权签人审批。
具体流程:
1外来人员到访。
2前台电话通知接待人员。
3接待人员是否安排接待?
4(否)接待人员向来访者说明情况,流程结束。
5(是)转“预约来访人员”接待流程,由接待人员填写“接待申请单”。
4、流程各方责任
1)业务部门
业务部门接待人员应事先按格式要求填写“接待申请单”,并确保填写信息准确;业务部门接待人应按要求到大堂前台接待来宾,并覆行全程接待陪同义务。
进入地点需与出门地点一致。
业务部门权签人(由各部门自行维护),对外来人员进入研发区、办公区或生产区申请审批的真实性及合理性负责。
2)前台、接待责任人
大堂前台应根据来访人员信息及审批状态,核实无误后,方可发放“来访卡”,并在单中记录。
来访人员离开时,如实在单中记录还卡情况、接待人员陪同等信息。
特别注意,接待单中若注明“不需进入办公或厂区”的,或虽已注明但权签人未审批通过的,接待只能在大堂或其他公共区域进行,外来人员不得进入研发区域、生产区域和办公区域。
给参观者强调应妥善保管好自己随身携带的物品,未经允许任何人不准携带照相机、录像机、摄像机等设备进入研发区域、生产区域和办公区域。
承办部门接待责任人须告知参观者不得在研发区域、生产区域、仓库区域、办公区域拍照。
参观者不得与接待责任人之外的管理人员、生产人员等交换名片、联系方式等,承办部门接待责任人需严令禁止。
前台需安排来访人员在接待区域等候,接待中承办部门须做好引导和陪同工作,坚决杜绝来访人员随意在厂区内逗留。
未经批准来访人员不得在厂区内拍照、录像、摄影,接待结束时须目送来访人员离开厂区。
各业务单位来公司联系工作的,须在会议室或指定的区域内接待,相关职能部门有责任做好引导和约束工作。
陪同人员在陪同过程中不得在授权范围外行事。
来访人员未经我公司许可不得擅自携带本公司样品、产品出厂。
前台每月导出一次接待人违规记录,包括未还卡、未全程陪同等,违规者按公司规定处罚。
2、公司员工
1)正式员工工卡丢失、忘带之类需进入公司,不需填写接待申请单,经正式员工证实,前台可发放员工临时工卡凭其进出,当天有效。
2)人员聘用时需明确员工信息安全责任,同时部定期组织公司内部信息安全的培训和宣导。
公司内部可能接触到公司保密信息的员工需要签署保密协议。
3)凡公司员工均有义务和责任防止无关外来人员进入研发区、生产区、办公区和仓库区,对方不听劝阻时须及时通知公司领导。
(三)研发区域
1、研发区域设研发网络和研发公网。
2、研发网络与办公网络完全隔离,不能互访。
3、研发公网与非研发办公网通过进行逻辑上的隔离。
4、研发公网与非研发部门数据不能互访,只允许邮件交互。
对研发公网发出的邮件进行监控。
5、研发网络不允许使用。
研发公网可以使用,对来自的邮件只能收,不能发。
6、进入研发区域需通过门禁控制。
7、进入研发区域不准带手机、相机、U盘等移动设施进入。
保安值守,随机抽查。
8、研发区域实施门禁控制,仅授权人员才能进入。
9、研发网络使用的,设安全机箱,将可能接触到的口、口、网口全部锁住。
10、研发图纸提交对应,建立一个共享文件夹,设置访问权限,仅限项目组成员访问。
11、领用样机时有资产管理,测试只能在指定区域进行测试,不能带出。
12、研发人员离职严格按照部离职流程相关规定执行,包括工作交接、权限清理、软硬件归还、签署竞业协议等。
13、研发人员的终端,笔记本需专人管理。
(四)制造过程
1、样品物料实行台账管理,指定专人管理,样品离开样品组采取入库或有部门主管签署的领出单发出,制样组记录至台账,制样组的样品半成品、成品、制样治具放入工程部指定的受控区域保管,定期(一般客户的机型转入批量生产后),由工程部向信息安全管理委员会申请,实行集中销毁,并作好记录。
2、试产和量产物料:
物料安排专人负责领料、生产、入库,报废品或物料统一经系统进入不良品仓。
定期申报后,集中销毁。
待产时,物料放入指定的受控区域作受控管理,并作好台账登记。
3、检验物料:
检验物料由品质部作好样品台账管理。
4、未经公司许可,公司员工不得擅自携带本公司物料、样品、产品出厂。
(五)房管理
1、公司总网络机柜设置于房,大门必须随时关闭上锁,钥匙由管理。
钥匙保留一份在档案室,由管理人员存档并登记。
2、任何人进入房必须通过同意,并在其部门员工的陪同下方可进入。
非信息管理员原则上不得进入房在机柜内进行操作。
如遇特殊情况必须操作时,必须经主管部门批准同意后有关人员监督下进行。
对操作内容进行记录,由操作人和监督人签字后备查。
3、保持机柜内整齐清洁,各种机器设备定期进行保养,保持清洁光亮。
4、房严禁携带特别是易燃、易爆、有腐蚀等危险品进入室内。
不得在房进食食品。
5、严禁在通电的情况下拆卸、移动机柜内交换机、服务器等设备和部件。
6、定期对机柜各系统运行的情况进行检查,保证机柜的正常运行。
7、机柜内已对内、外网交换机进行了明显的标示;对所有网线按房号进行了标示;如有新增必须进行标示。
8、定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁,不得作为普通垃圾处理。
严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等工作,保证主机系统的平稳运行。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源()除了电池自动检测外,每年必须充放电一次到两次。
13、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。
如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
(二)计算机设备管理制度
1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境。
2、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电拨插计算机外部设备接口,计算机出现故障时应及时向负责部门报告,不允许私自处理或找非本公司技术人员进行维修及操作。
计算机设备送外维修,须经主管部门批准,统一维修。
3、非本公司人员对我公司的设备、系统等进行维修、维护时,必须通知公司信息管理员。
信息管理员对其提出注意事项,“内网”电脑维修、维护时必须进行监督。
4、对必须使用“内网”的员工申报公司领导同意后开通。
5、每台“内网”使用的电脑均指定地址,落实使用人,“内网”计算机使用人应经过公司领导批准;“内网”电脑必须设置开机密码、勾选“待机恢复输入密码”。
6、密码应定期修改,间隔时间不得超过二个月,如发现或怀疑密码遗失或泄漏应立即修改。
7、有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
9、将所有外网电脑进行绑定,防止“内网”用户误接入外网造成信息安全隐患。
如有新增电脑进入外网,必须经过主管部门批准。
10、新入职员工,必须先接受网络安全知识培训后方可上岗工作。
11、员工职务变动时,应及时按部门流程办理软硬件、权限的调整工作。
12、员工离职时,人力资源应及时通知信息技术部取消其所有的资源使用权限,回收其电脑并保留一个星期,若一个星期之内部没有招到新员工顶替,电脑将备份数据后入库。
12、如需要私人计算机连接到公司网络,需要信息技术部门授权并进行登记。
13、任何人不得进入未经许可的计算机系统更改系统信息和用户数据,不得以任何形式访问公司的其它电脑或者服务器。
(三)数据安全
1、存放备份数据的介质必须具有明确的标识。
备份数据必须与计算机分开存放,并明确落实备份数据的管理人。
2、注意计算机重要信息资料和数据存储介质的存放,保证存储介质的物理安全。
3、数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复过程中要严格按照数据恢复手册执行,出现问题时由相关部门进行现场技术支持。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
4、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。
历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。
5、需要长期保存的数据,刻录2张光盘分开存放,并有详细的文档记录。
6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。
转存的数据必须有详细的文档记录。
7、送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。
对修复的设备,信息管理员应对设备进行验收、病毒检测和登记。
8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9、经常进行计算机病毒检查,发现病毒及时清除。
10、计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
四、处罚
有下列行为之一且不限于以下行为的,公司将视情节轻重给予处罚,对于触犯国家法律的,公司将移交国家司法机关依法处理。
因违反本规定或进行不当操作造成计算机损坏的,公司可根据情况,要求当事人负担部分或全部维修费用。
1、擅自泄露公司数据的,视情节轻重,给予警告、辞退或移交司法机关等处罚。
2、因不备份文件或数据导致丢失并影响工作的,给予责任人警告处罚。
3、计算机出现问题不及时报告导致工作延误的,给予责任人警告处罚。
4、因疏忽导致计算机病毒及其他危害计算机网络安全的,给予当事人警告处罚。
5、利用公司计算机或网络进行与工作无关活动的(如玩游戏、聊天等),给予当事人警告处罚。
未经同意私自使用他人计算机者,给予当事人警告处罚。
6、任何将私人的光盘、(学习光盘除外)、软盘、3、手机、移动存储器等在公司的计算机设备上使用的现象一经发现,给予当事人警告处罚。
7、计算机管理员私自给职员工开通上网功能,一经发现或举报属实,给予当事人警告处罚。
8、私自更改计算机的各项设置者,给予当事人记小过处罚。
9、任何人通过邮件或擅自拷贝,复制等途径泄露公司或客户机密,一经发现,视情节轻重,处以降薪或辞退处理。
造成恶劣影响或严重损失的,公司还将依法追究其法律责任。
五、其它
(一)本制度解释权属公司。
(二)本制度自下发之日起执行。
升级会员 