信息管理制度15篇.docx

1、信息管理制度15篇信息管理制度15篇信息管理制度1第一章 总则第一条 为加强公司计算机和信息系统（包含涉密信息系统和非涉密信息系统）安全保密管理，保证国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包含机房、网络设备、软件、网络线路、用户终端等内容。第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则

2、，保证涉密信息系统和国家秘密信息安全。第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。第二章 管理机构与职责第六条 公司法人代表是涉密信息系统安全保密第一责任人，保证涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。第七条 公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责：（一）建立健全安全保密管理制度和防范措施，并监督检查落实情况；（二）协调处理有关涉密信息系统安全保密

3、管理的重大问题，对重大失泄密事件进行查处。第八条 成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。第九条 保密办主要职责：（一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施；（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；（三）组织对涉密信息系统进行安全保密监督检查和风险评估，明确提出涉密信息系统安全运行的保密要求；（四）会同科技信息部对涉密信息系

4、统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；（七）组织查处涉密信息系统失泄密事件。第十条科技信息部、财会部主要职责是：（一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案；（二）落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施；每半年对涉密信息系统进行风险评估，明确提出整改措施，经涉密

5、信息系统安全保密领导小组批准后组织实施，保证安全技术措施有效、可靠；（三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施；（四）配备涉密信息系统管理员、安全保密管理员和安全审计员，并制定相应的职责； “三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过安全保密培训持证上岗；（五）落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理，负责日常业务数据及其他重要数据的备份管理；（六）配合保密办对涉密信息系统进行安全检查，对存在的隐患进行及时整改；（七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事件。第十

6、一条 党政办公室主要职责：按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。第十二条 相关业务部门、单位主要职责：涉密信息系统的使用部门、单位要严格遵守保密管理规定，教育员工提升安全保密意识，落实涉密信息系统各项安全防范措施；准确确定应用系统密级，制定并落实相应的二级保密管理制度。第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责是：（一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，保证信息系统的安全、稳定、连续运行。系统管理员包含网络管理员、数据库管理员、应用系统管理员。（二）安全保密管理员负责安全技术设备、策略实施和管理工作，包含用户帐号管理

7、以及安全保密设备和系统所产生日志的审查分析。（三）安全审计员负责安全审计设备安装调试，对各种系统操作行为进行安全审计跟踪分析和监督检查，以及时发现违规行为，并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。第三章 系统建设管理第十四条 规划和建设涉密信息系统时，按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。第十五条 涉密信息系统规划和建设的安全保密方案，应由有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，安全保密方案必须经上级保密主管部门审批后方可实施。第十六条 涉密信息系统规划和建设实施时，应由有“

8、涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同组织验收。第十七条 对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。第四章 信息管理第一节 信息分类与控制第十八条 涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密，并按涉密文件进行管理。电子文件密级标识应与信息主体不可

9、分离，密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。第二十条 涉密信息系统应建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。第二十一条 向涉密信息系统以外的单位传递涉密信息，一般只提供纸质文件，确需提供涉密电子文档的，按信息交换及中间转换机管理规定执行。第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。第二节 用户管理与授权第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要，确

10、定人员知悉范围，以此作为用户授权的依据。第二十四条 用户清单管理（一）科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单；财会部管理“财务会计核算网”用户清单；（二）新增用户时，由用户本人明确提出书面申请，经本部门、单位审核，科技信息部、保密办审批后，由科技信息部备案并统一建立用户；“财务会计核算网”的用户由财会部统一建立；（三）删除用户时，由用户本人所在部门、单位书面通知科技信息部，核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止；“财务会计核算网”密办审核，公司分管领导审批。开通、审批坚持“工作必须”的原则。第六十四条 国际互联网计算机实

11、行专人负责、专机上网管理，严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。第六十五条 上网信息实行“谁上网谁负责”的保密管理原则，信息上网必须经过严格审查和批准，坚决做到“涉密不上网，上网不涉密”。对上网信息进行扩充或更新，应重新进行保密审查。第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，经科技信息部审批后，按照信息交换及中间转换机管理规定执行。第九章 便携式计算机管理第六十八条 便携式计算机（包含涉密

12、便携式计算机和非涉密便携式计算机）实行 “谁拥有，谁使用，谁负责”的保密管理原则，使用者须与公司签定保密承诺书。第六十九条 涉密便携式计算机根据工作需要确定密级，粘贴密级标识，按照涉密设备进行管理，保密办备案后方可使用。第七十条 便携式计算机应具备防病毒、防非法外联和身份认证（设置开机密码口令）等安全保密防护措施。第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络；严禁涉密便携式计算机与涉密信息系统互联。第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分离保管。第七

13、十三条 禁止使用私有便携式计算机处理办公信息；严禁非涉密便携式计算机存储、处理涉密信息；严禁将涉密存储介质接入非涉密便携式计算机使用。第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质，按照 “集中管理、审批借用”的原则进行管理，建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司，返回时须进行技术检查。第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域，需办理保密审批手续。第十章 应急响应管理第七十六条 为有效预防和处置涉密信息系统安全突发事件，及时控制和消除涉密信息系统安全突发事件的危害和影响，保障涉密信息系统的安全稳定运行，科技信息部和财会部应

14、分别制定相应应急响应预案，经公司涉密信息系统安全保密领导小组审批后实施。第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件，根据事件引发原因分为灾害类、故障类或攻击类三种情况。（一）灾害事件：根据实际情况，在保障人身安全前提下，保障数据安全和设备安（二）故障或攻击事件：判断故障或攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质分别采用以下方案：1.病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的

15、危害范围。为避免产生更大的损失，保护计算机，必要时可关闭相应的端口，寻找并公布病毒攻击信息，以及杀毒、防御方法；2.外部入侵：判断入侵的来源，评价入侵可能或已经导致的危害。对入侵未遂、未造成损害的，且评价威胁很小的外部入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和带来的影响；3.内部入侵：查清入侵来源，如IP地址、所在区域、所处办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备；4.网络故障：判断故障发生点

16、和故障原因，能迅速解决的尽快排除故障，并优先保证主要应用系统的运转；5.其它未列出的不确定因素导致的事件，结合具体的情况，做出相应的处理。不能处理的及时咨询，上报公司信息安全领导小组。第七十八条 按照信息安全突发事件的性质、影响范围和导致的损失，将涉密信息系统安全突发事件分为特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）四个等级。（一）一般事件由科技信息部（或财会部）依据应急响应预案进行处置；（二）较大事件由科技信息部（或财会部）、保密办依据应急响应预案进行处置，及时向公司信息安全领导小组报告并提请协调处置；（三）重大事件启动应急响应预案，对突发事件进行处置

17、，及时向公司党政报告并提请协调处置；（四）特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。第七十九条 发生突发事件（如涉密数据被窃取或信息系统瘫痪等）应按如下应急响应的基本步骤、基本处理办法和流程进行处理：（一）上报科技信息部和保密办；（二）关闭系统以防止造成数据损失；（三）切断网络，隔离事件区域；（四）查阅审计记录寻找事件源头；（五）评估系统受损程度；（六）对引起事件漏洞进行整改；（七）对系统重新进行风险评估；（八）由保密办根据风险评估结果并书面确认安全后，系统方能重新运行；（九）对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录；（十）依照法规制度对责任人进行处理。

18、第八十条 科技信息部、财会部应会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以使用户明确自身的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容，并记录备案。第十一章 人员管理第八十一条 各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训，并记录备案。第八十二条涉密人员离岗、离职，应及时调整或取消其访问授权，并将其保管的涉密设备、存储介质全部清退并办理移交手续。第八十三条 承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。第十二章 督查与

19、奖惩第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查，并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查，检查结果存档备查。第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查（取证）软件等，应覆盖保密检查的项目，并通过国家保密局的检测。安全保密检查工具应及时升级或更新，保证检查时使用最新版本。第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况，纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩

20、规定执行。第十三章 附 则第八十七条 本规定由保密办负责解释与修订。第八十八条 本规定自发布之日起实施。原计算机磁（光）介质保密管理规定）制度编号：（厂1908号）、涉密计算机信息系统保密管理规定制度编号:（20xx）厂1911号、涉密计算机采购、维修、变更、报废保密管理规定制度编号:（20xx）厂1925号、国际互联网信息发布保密管理规定制度编号:（20xx）厂1926号、涉密信息系统信息保密管理规定制度通告:（20xx）0934号、涉密信息系统安全保密管理规定制度通告:（20xx）0935号同时废止。信息管理制度2第一章：总则第一条为了使企业在管理上跟上时代的发展，适应信息社会及网络经济下

21、的市场竞争环境，利用先进的管理手段提升工厂的工作及管理效率，必须借助于网络及计算机等现代化的环境及工具，这就要求企业本身要重视信息化的发展，而信息化的健康发展就必须有一个好的管理制度来保障，籍以创造及巩固企业好的信息化发展的软环境及硬环境，因此，特制定X公司信息化工作管理制度。第二条信息化工程是一个长期的系统管理工程，必须做好系统测试、运行及维护工作，系统持续改善。第二章：信息化工作管理第三条严格按工厂发展规划及年度信息化发展计划开展工作。4.按工厂年度宣传计划，协助宣传部门搞好企业信息化宣传材料的准备工作，针对不同层次做到由浅入深，趣味多变。5.按工厂年度教育培训计划，协助教育部门搞好教材、

22、教师、教学环境的准备工作。6.搞好企业信息化发展的外部环境，与各级政府及组织保持不错的关系，尽争取取经济政策上的支持。7.搞好企业各应用系统的选型、采购工作，其中软件的选型要从企业实际需求出发，多比较，强调软件原厂商及实施商的技术实力与发展软件产品的适应性，追求软件的性价比。实施时，与软件原厂商、实施商、技术依托单位保持密切联系，多交流思想认识，克服各种阻力。另外发挥各业务部门的主观能动性，以业务部门为主，树立服务的思想。硬件的采购到货比三家，追求性价比、实用性、安全性及扩充性等等。我订有效合同，搞好验收等把关工作。8.系统的软、硬件维护、管理及调配由信息中心组织实施，归口管理，维护工作做到系

23、统的正常运行，管理工作做到账物一致，调配工作做到按需分配，充分发挥系统软、硬件的效率。9.办好企业网站，维护企业网页，同时对与internet的连接把好安全关(防火墙)。10.搞好企业内部网的防毒作用，网络用机严禁私接光软驱，私自安装软件，尤其是游戏软件。11.严禁拆换网络计算机及相关设备的零部件。12.把好企业上internet关，各部门确因工作需上网查询、发布信息、收发电子邮件，填写申请书，需经厂领导或信息中心主任批准后方可进行。13.信息中心搞好网络管理工作，企业内部网必须把好用户及密码的关，合理分配IP地址，搞好虚网划分及管理。14.各部门对硬件设备的使用，必须必须按相关设备操作规程进

24、行，严禁带电拨插计算机及相关设备，不得私拉网线，软件的使用严格按操作指南进行，不得任意删改系统文件及别人的文件。15.各单位计算机信息系统的保密管理应实行单位领导负责制，由各单位主管领导负责，并指定人员真心专管，制订相应的管理制度，对涉密的计算机要经严格审查，并由经岗位保密培训的人员专门负责，其计算机要设置口令。16.网络及其他单元系统用机的软件安装及维护必须由信息中心相关管理人员确认以后进行。17.信息系统的开发由信息中心主持进行，尽量减少信息化孤岛，开发的平台应结合网络系统实际来定，避免孤立行事，将开发纳入信息化发展正常渠道，对于有难度的开发由信息中心确认后可派专人进行。18.信息中心人员

25、应指导、教授业务部门人员有关系统的应用，保证业务部门人员能正确使用系统。19.IT人员搞好自身理论学习工作，平常有时间多看书，多交流，作好学习总结。20.信息中心搞好全厂计算机及相关设备(软、硬件)的调研、选型、采购、实施、管理、维护(修)、调配等工作。21.信息处理中心负责解答业务部门在使用网络及计算机过程中碰到的任何问题并协助处理好问题，搞好工厂宣讲工作，提升企业员工对工厂的认识。22.定期进行设备的清查工作，尤其是设备调配之后，保证配置的完整性并作好封记，更新管理账目。23.计算机及相关设备采购严格按需求或计划进行，验收时严格按合同设备配置清单执行，认真作好验收记录，对不合格品负责退换。

26、24.信息中心负责设备的入库或转固定资产工作，任何采购件必须转固定资产或入库，只有这样后才能持相关票据到财务处报账，任何领用品必须开增值税发票，增增税发票及入库单办理账务。第三章：内部电脑安全管理随着企业生产节奏的加快和办公现代化，我厂使用电脑的车间、处室越来越多，目前电脑安装部位普遍存在防范措施薄弱，安全隐患突出。而近期以来，地区高校内部和有关电脑经营公司均相继发生电脑被窃案件，给国家和集体财产造成了较大的损失。从案件性质分析，电脑已经成为犯罪分子重点侵袭的目标。因此，为安全使用电脑，防止各类案件的发生，结合工厂情况，特重申加强内部电脑安全管理的通知如下：一.凡配有电脑部门的领导要从思想上重

27、视电脑部位的安全管理，必须建立健全必要的安全管理制度，认真落实安全防范措施，并负责对使用和管理电脑人员的教育管理工作。二.电脑管理和使用人员必须保持高度的警惕性，严格执行各项管理制度，健全电脑台帐，电脑软件未经领导批准，不得擅自带出和外借，自觉做好保密、防盗和防病毒工作，更不得用电脑从事任何违法活动。三.电脑室内必须加强对火种、电源的管理，不得擅自动明火，禁止存放易燃易爆物品，使用电源必须保证安全，人员离开后应切断电源。四.电脑部位的安全防护措施必须健全，应做到人员离开后能关窗锁门。五.严格外来人员管理，未经同意不得擅自进入电脑室或操作电脑。六.此通知下发后，各部门要对电脑部位进行认真检查，重

28、点检查安全管理制度是否健全，管理人员是否落实，防范措施是否健全，对存在的隐患要立即进行整改，杜绝各类案件的发生。信息管理制度3一.出入管理1.严禁非机房工作人员进入机房，特殊情况需经中心负责人批准，并认真填写登记表后方可进入。2.进入机房人员应遵守机房管理制度，更换专用工作鞋。3.进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。二.安全管理1.操作人员随时监控中心设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。2.非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。3.严格执行密码管理规定，对操作

29、密码定期更改，超级用户密码由系统管理员掌握。4.机房工作人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。5.中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。6.不定期对机房内设置的消防器材、监控设备进行检查，以保证其有效性。三.操作管理1.中心机房的数据实行双人作业制度。2.值班人员必须认真、如实、详细填写机房日志等各种登记簿，以备后查。3.严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。4.每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清

30、洁。5.责任人必须密切监视中心设备运行状况以及各网点运行情况，保证安全、高效运行。6.严格按规章制度要求做好各种数据、文件的备份工作。中心服务器数据库要定期进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。四.运行管理1.各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。2.为保证数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。3.负责人应定期与不定期对制度的执行情况进行检查，督促各项制度的落实，并作为人员考核之依据。信息管理制度4一.总则为加强公司保密工作的管理，防范和杜绝各种泄密事件的发生，维护公司正常经营管理秩序，保障公司合法权益不受侵犯，特制定本制度。二.适用范围本制度适用于总公司及直属公司全体员工，每个员工均有保守公司秘密的义务和制止他人泄密的权利。三.保密范围和密级划分公司秘密指涉及公司利益、依照一定程序确定、在一定时间内只限一定范围内的人员知悉的事项。1.密级划分公司秘密的密级分为绝密、机密、秘密三级。1)绝密级:是最重要的公司秘密，泄露会给公司造成特别严重的经济损失或不良影响;2)机密级:是重