信息安全管理制度.docx
《信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度.docx(13页珍藏版)》请在冰豆网上搜索。
信息安全管理制度
信息安全管理制度
文件名称
信息安全管理制度
JP--05-12-28
版本主控部门
A/0行政人事部
文件编号发布日期
拟制:
行政人事部审核:
行政人事部批准:
版本号1、目的
修改时间
修改人
修改原因
同意同意
意见
签名/日期
修改主要内容
随着计算机技术和信息技术的飞速发展,计算机已在我公司各领域发挥着积极的作用如何管好、用好计算机以及保证网络及数据的安全可靠已是当务之急为此,特制订本管理程序2、适用范围
本程序适用于阳江市金鹏针织机械有限公司各部门,管理用计算机、服务器及其网络,在线的工业控制用计算机等
3、定义
企业的信息及其安全隐患,我公司对信息安全做出整体规划:
通过从外到内,针对信息安全提出解决方案4、职责`
A技术图纸:
技术部、品质组B财务信息:
主要存在于财务部C商务信息:
主要存在于采购组、市场部
D计算机信息:
主要存在于组组,及各部门有关使用的员工5、运作程序
关于技术项目研发人员和资料的信息安全管理制度及准则
涉及本公司研发项目或公司重要机密的工作人员必须签订本公司制定的保密承若书相关人员有义务确保公司的机密和重要文件的安全性
第1页共8页
项目安全处理措施如下:
技术部的图纸只允许在部门内部传阅在进行项目生产时,工艺员申请借阅项目图纸,经签字确认后,档案管理员将图纸副本发放给工艺员,工艺员负责监督技术人员和操作人员严格按照图纸进行生产,确保生产过程符合体系要求生产完成后,工艺员将图纸返还给档案管理员,图纸副本重新归档在借阅过程中,严禁借用人将图纸传阅给其他人员,一经发现,必将严肃处理
项目生产的工艺技术文件由计划员归档保存,在组织生产人员进行操作培训时,指导操作人员学习质量文件和相关工艺规程,培训过程中,确保工艺技术文件只在培训过程中流转,培训完成后,收回所有的技术文件,禁止任何人以任何理由将文件带出公司禁止任何人复印、传真此类文件
技术部保管着生产技术文件和图纸,公司的人员流动很容易造成技术的泄露鉴于此,部门应严格控制工艺技术文件及图纸的传阅文件将由专员保管禁止部门人员在未经允许的情况下传真或复印此类文件;在部门员工调动或离职前,由部门档案管理员收回该员工所有工作文件若档案管理员调动或离职,由部门经理亲自收回该岗位所有的工作资料,并清点所有书面文件和电子文件是否存在缺省或丢失的情况,最大程度避免人员的流动造成技术资料的外泄
技术研发部的安全处理措施如下:
图纸的归档
■外来书面图纸:
公司指定收件人收到后整理并编制归档,确认完整无误后,交由档案管理员图纸蓝图送到技术部主管,复印件登记,入库经总经理批示发放至相应部门
■电子版图纸:
外来电子版图纸,由公司指定专人负责接收打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门;若外来电子版图纸已由对方传至我方项目人员处,项目人员应将图纸资料整理后存档,由档案管理员统一打印及按公司规定下发至相应的职能部门,若出现图纸变更时,应及时替换旧版电子图,并回收已发放的旧版图纸
■内部设计电子版图纸:
在工程完工后一周内,技术人员应将最后定稿图纸交由档案管理员,由其在三天内加密统一刻录光盘一式两份,公司领导及档案管理员各保管一份
外来工艺文件、技术规格书
■技术人员在收到文件后1个工作日内整理无误,交档案管理员登记、入库经总经理批示后方能发放内部拟定的工艺文件、技术规范文件
■公司自行编写的生产工艺文件,经总经理审批签署后交档案管理员入库存档
■移交文件时,移交人应备有档案实体和目录,经档案管理员对照验收无误后方能办理移交登记手续■档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者,有权拒绝接收,并限期改正补交
■移交时,移交和接收文件方均应建立书面移交记录
公司购入的技术图书、期刊和标准,均属公司固定资产,应由加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续损坏、丢失应由责任人负责全价赔偿或购买新书
档案管理员收到技术文件后,下发到相应部门,相关责任人签收签字同时保留复印件,按项目不同分类,待项目结束后,各负责人将其保存的传真复印件整理装订后归档
第2页共8页
档
本行业其他公司宣传画册、样本、产品信息等文件,由档案管理员按《样本资料明细表》登记保管,使用人可查询使用,不得私自留存
归档的技术文件确因工作原因需要复印时,须由使用人填写《资料复印申请表》经总经理批准后,指定人员复印后发放至使用人
技术文件的借阅
■借阅手续:
各部门有关工作人员因工作需要借阅归档技术文件,应办理调阅手续,经部门负责人签字,交公司领导批准后方可办理借阅手续
■借阅记录:
档案管理员应有清楚、准确的借阅记录,包括借阅人、借阅资料名称、借阅时间、归还时间、签字等
■借阅时间:
一般最长不超过8个工作时,超过8个小时需在办理调档申请时特别说明如员工因工作原因经批准需要带出资料时,则其返回后一个工作日内归还
■归还要求:
借阅的资料交还时,必须由经办人当面点交清楚,如发现遗失或损坏,应立即报告领导,同时应追究使用人的责任
公司所有技术文件均应先由专人登记入库后,经总经理批示后分发至相应部门负责人处,由其向部门员工下发各部门负责人应做好本部门技术资料的保密工作,若保管技术资料人员离职时应交回相关的技术资料下发技术文件时,须由签收人签字确认
品质组的安全处理措施如下:
工艺文件的安全管理
■部门档案管理员保管本部门的工艺文件此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况,若要进行生产过程检验,在部门负责人授权下,部门档案管理员将工艺文件副本传阅给质量管理工程师及部门其他管理人员,质量工程师或其他管理人员根据工艺文件的标准,对生产现场各道工序施工工艺、方法、操作规程进行检查监督,提出生产过程中的不合项,对不合格项进行跟踪验证生产过程检验完毕后,质量工程师将工艺文件副本返还给部门档案管理员,最后由档案管理员进行文件归档工艺文件仅允许部门内部管理人员传阅,不得借阅给其他任何部门及工人若部门管理人员借阅工艺文件后,造成的文件丢失,则借阅者承担相关责任
验收图纸的安全管理
■验收图纸用于检验生产完工后的产品是否合格,由部门档案管理员保管质量工程师借阅验收图纸后,以此为标准对完工产品进行鉴定,若合格,则调入成品库;若不合格,则对不合格项进行跟踪验证,直到产品合格为止
■验收图纸借阅分为以下几种情况:
①内部管理人员借阅验收图纸只允许本部门内管理人员的互相传阅,借阅人在档案管理员处登记,确定归还时间后,档案管理员对其分发验收图纸副本,借阅完后,及时归还给档案管理员,禁止传阅给部门非管理人员
第3页共8页
由公司指定接收人以及邮箱管理员定期下载整理每月将电子邮件交综合部统一刻制成光盘存
②技术研发部人员借阅只有技术研发部人员才能借阅本部门验收图纸在借阅时,要遵守借阅流程,在技术研发部经理签字后,上报总经理审批,总经理审核通过后,品质组方可将验收图纸副本借阅给相关人员,并要求在8个小时内归还图纸图纸借阅过程中,严禁将图纸传阅给其他人员,或私自将图纸进行复印或扫描,一经发现,必将严肃处理
③验收图纸不得传阅给其他部门人员,也不得传阅给本部门非管理人员一经发现,追究档案管理员相关责任
财务部的安全处理措施如下:
财务部为公司重要数据组门,除本部门在内工作外,其他无关人员不得入内
财务人员去银行取现金、支票等,应两人以上同行,禁止途中办理任何与此项工作无关事宜妥善存放支票,支票与有效密码及专用印鉴要分别存放
出纳人员不得私配保险柜钥匙,不得将保险柜密码外传,过节或放假时,要对保险柜加贴封条若因密码钥匙保管不善,导致现金及其他财产损失,将由本人承担一切损失
会计人员应妥善保管好各类凭证及发票,不得在凭证发票随意摆放在办公桌的情况下离开办公区域凭证发票录入核对完毕,应立即整理存放到财务凭证专柜中,同时确保上锁,并妥善保管好钥匙,若因以上原因造成财务数据丢失,将由本人承担一切后果
财务人员应保管好电子银行或其他一切与财务有关的加密锁,在使用时,使用人不得离开电脑,确保所做的一切操作均出自本人之手若使用完毕,一定要将加密锁存放于财务专柜中妥善保管
财务部门因为数据的重要性,因此对安全的要求很高在使用电脑时,要求财务部门人员一定要每天升级杀毒软件,若电脑出现异常,应联系组查明原因,是否能安全操作
财务部是企业工资的发放部门,掌管着企业全体人员的工资详情由于工资向来是公司的敏感信息,因此,财务的工作要求财务所有人员应严格遵守职业素养,严禁财务部人员以任何形式向任何人透露工资或奖金信息
采购组的安全处理措施如下:
采购价格及供应商的信息安全保密
■采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格,严禁向他人透露各种物料的供货来源
■采购部门人员要随时检查个人办公区域的文件资料是否存放好,防止因打印的采购价格表和供应商联络单没有存放好,导致采购信息资料外泄
■要求部门人员要严格保管好工作纸质文件,同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全
市场部有如下工作存在安全隐患■及时向客户传递发货信息与到货信息
■仓库发货及库存统计:
记录我方发往各客户的数据,盘点我方各仓库库存数;以上存在的安全隐患及处理措施,发货、到货、现场库存信息安全
■市场部人员在统计发货及现场库存的时候,可能会因为客服部盘点疏忽,最终统计的库存结果不准
第4页共8页
确这会造成公司的发货信息与现场到货数量不一致,从而得迅速查找整个发货到货流程的出错环节;甚至会因为库存统计的不准确,延迟发货到货时间,导致现场库不能及时发货,从而影响客户的业务
■市场部现场人员必须每日在OA中编写日记,以便部门领导能随时掌握此现场人员的工作动态,现场人员要认真盘点到货数量及现场库存信息,在现场与甲方进行每月、每季、每年度的数据核对,确保到货数量与发货数量一致,并随时向部门负责人汇报
组的安全处理措施如下:
计算机网络设备安全管理,公司所有计算机及网络设备统一归信息组管理本制度所涉及产品的界定:
■计算机是指为公司内部员工使用的PC机
■网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等■计算机其他配件是指公司备用的光驱、软驱等
■附带软件包括计算机驱动盘、系统安装盘、程序安装盘等■包括计算机及耗材的采购计划、故障维修等项工作
在员工电脑各组件老化或损坏,严重影响工作效率时,由员工请示组可申请以旧换新或报废处理若需要报废,则填写报废申请单经部门负责人确认后上报总经理审批,审批通过后才能作报废处理,组不得擅自处理破旧的电脑或电子设备
公司所有输入输出设备统一归组管理
■输入输出设备包括扫描仪,传真机,打印机使用者在使用此相关设备遇到问题可寻组帮助在使用设备过程中遇到故障要及时向组反映,以便组及时查找原因,解决故障
■视频会议设备包括视频会议服务器、视频会议终端、摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分组负责以上设备的维护管理工作包括视频会议的搭建
■视频监控设备包括监控服务器、监控系统以及各路视频采集器组负责各路视频的监控以及备份和维护工作
信息化系统帐户安全管理
■系统管理帐号必须经过总经理授权取得
■系统管理员负责系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护
■系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权
■操作用户需要增加或修改权限需要填写用户权限申请表,并经过本部门负责人签字后交由总经理审核,通过后,再由组作权限相关处理
■系统管理员不得使用他人帐号进行业务操作
■系统管理员调离岗位或离职,组负责人应及时注销其帐号并生成新的系统管理员帐号■一般操作帐号由系统管理员根据各类应用系统操作要求生成,应按每用户一帐号对应设置
第5页共8页
■操作员调离岗位,系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号终端计算机密码安全管理:
系统管理员及时登记公司所有用户电脑密码,制成《用户电脑密码登记》文件在用户人员变动或电脑更换时,系统管理员及时登记相应的新密码
■应用服务器密码安全管理:
包括服务器、邮箱服务器组为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码制成《服务器密码登记》文件,并提交给部门负责人
■防火墙/路由器密码安全管理:
防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人
■系统密码安全管理:
系统密码分为管理员密码和操作用户密码系统管理员登录密码由管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人操作用户密码由管理员在创建帐户时初始生成,组发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由管理员帮其初始化密码
数据备份安全管理:
定期备份服务器、邮箱服务器具体备份方法如下:
■数据备份:
每天早上9:
00相关人员对服备器、邮箱服务器、考勤数据,进行备份数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用数据清理的实施应避开企业网络应用高峰,避免对各部门工作造成影响
■系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理■邮箱系统中垃圾邮件的清理、人员变动记录的清理■用户电脑中系统垃圾文件的清理、IE缓存的清理计算机日常工作信息安全管理
■员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码
■员工有责任正确地保护分配给本人的所有计算机帐户
■各部门经理及人事部应及时向组提供本部门及公司员工的人事及职位变动信息■每台公司电脑内必须安装反病毒软件并启动实时扫描程序组可以提供最新杀毒软件■不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作
■任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理■假期时间办公室的安全:
确保工作电脑的安全,在你离开之前的一周内备份你的文件在你即将离开之际确保你的电脑关机并设有开机密码,其它组设备的电源也必须切断
■确保数据的安全:
确保你的软盘,备份数据源和所有机密文件被妥善锁好公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中公司的机密信息必须存放在锁上的办公桌或文件柜中
第6页共8页
■所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料
■电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果
■若员工离职,在办完离职手续后,所在部门负责人应联系组协助将此员工工作资料拷贝到部门U盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担
信息化系统应急预案:
确保机房和网络设备放置防水,定期检查机房天花板、四壁有无漏水现象,保证机房内的服务器和其他电器设备的安全
■发生机房漏水时,组应立即通知相关处理部,同时,组第一时间保护好服务器及其他设备,避免设备浸水后损坏
■若为墙体或窗户渗漏水,应急领导小组应立即采取有效措施确保机房安全,同时安排通知综合部协助及时清除积水,维修墙体或窗户,消除渗漏水隐患
确保机房防火,定期检查机房内灭火器状态完好无损
■完善机房环境,确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房
■一旦发生火灾,迅速切断机房电源,避免灾情的扩散,并迅速拨打物业管理和火警电话■等待消防车到来期间应组织物业保安或工作人员在保证安全的前提下灭火应急领导小组应在第一时间内集中所有二氧化碳灭火器抓住时机尽可能的把火扑灭
■配合消防部门调查事故原因,对造成的损失和起火原因做好记录,以便进行灾后总结确保机房防雷,遇到暴风雨恶劣天气,应作防范性处理
■遇雷暴天气,组在下班后应及时关闭所有服务器,切断电源,暂停内部计算机网络工作■雷暴天气结束后,组应及时开通服务器,恢复内部计算机网络工作,对设备和数据进行检查出现故障的,事发部门应将故障情况及时报告应急领导小组
■因雷击造成损失的,组应会同综合部进行核实、报损,并在调查工作结束后一日内书面报告领导确保在停电后,业务应用的安全管理
■组在接到停电通知时,应设置便签提醒自己具体要停电的时间,若停电时间在上班时间,则提前发出通知给公司所有人员,避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间,则在下班时通知所有人关闭电源,同时组及时关闭服务器,以免停电损坏主机电源
■停电结束后,打开各应用服务器,并谨记要打开视频监控服务器,恢复闭路监控系统正常工作确保机房防盗和计算机防针对此环节,作相关防范处理■组每日查看、清点设备并锁好机房大门
■组每日检查录像监控服务器状态,确保监控画面正常,并检查每日录像正常性、完整性■发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告组,同时保护好现场■组接报后,即刻调出监控录像,搜查可疑行迹,若无法解决,可联系公安部门处理
第7页共8页
来自企业外的风险:
■互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息
■计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪
来自企业内的风险
■文件的传输风险若有员工将公司重要文件以QQ、发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展
■文件的打印风险若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄■文件的传真风险若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,会造成企业信息的外泄
■存储设备的风险若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露
■上网行为风险员工可能会在电脑*问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃
加强管理,综合防范安全体系是一个整体的、系统的工程,不是简单的“技术积木”它是技术、管理的有机结合体管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统
完善制度,强化培训完善的信息安全管理制度是行业信息系统安全运行的基础保证为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念提高员工的职业道德和信息化应用水平
第8页共8页
升级会员 