1、信息系统安全管理控制程序1. 目的:为了防止信息和技术的泄密,导致危害安全的情况的发生,特制定本程序;2范围:适用于公司各种资料、文件、信息(包括计算机)的管理。3职责:办公室具体负责,其他部门的和相关人员配合执行。安全经理负责日常的检查和核实。4具体程序要求4.1 公司秘密具体范围包括:4.1.1 公司股东、董事会资料,会议记录、纪要,保密期限内的重要决定事项;4.1.2 公司的年度工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表;4.1.3 公司有关销售业务资料,货源情报和对供应商调研资料;4.1.4 公司开发设计资料,技术资料和生产情况;4.1.5 客户提供的一切文件、样
2、板等;4.1.6 公司各部门人员编制.调整,未公布的计划,员工福利待遇资料等;4.1.7 公司的安全防范状况及存在问题;4.1.8 公司员工违法违纪的检举.投诉.调查材料,发生案件,事故的调查登记资料;4.1.9 公司、法人代表的印章、营业执照、财务印章、合同协议。4.1.10 针对上述的各种信息, 公司制定人员接触信息的权限来加以识别和控制管理.4.2 公司的保密制度4.2.1 文件、传真邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理4.2.2 凡涉及公司内部秘密的文件资料的报废处理,必须首先碎纸,不准未经碎纸丢弃处理4.2.3 公司员工本人工作所持有的各种文件、资料、电子文档(
3、磁碟,光盘等) ,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出4.2.4 未经公司领导批准,不得向外界提供公司的任何保密资料4.2.5 未经公司领导批准,不得向外界提供客户的任何资料4.2.6 妥善保管好各种财务账册、公司证照、印章4.3、电脑保密措施4.3.1 不要将机密文件及可能是受保护文件随意存放,文件的存放在分类分目录存放于指定位置。4.3.2 未经领导及他人许可,不要打开或尝试打开他人文件,以避免泄密或文件的损坏。4.3.3 对不明来历的邮件或文件不要查看或尝试打开,以避免计算机中病毒或木马,并尽快请相关人员来检查。4.3.4 在一些
4、邮件中的附件中,如果有出现一些附加名是:EXE,COM 等可执行的附件或其它可疑附件时,请先用杀毒软件详细查杀后再使用,或请相关人员处理。4.3.5 不要随便尝试不明的或不熟悉的计算机操作步骤。遇到计算机发生异常而自己无法解决时,请专业人员解决。4.3.6 不要随便安装或使用不明来源的软件或程序。不要随便运行或删除电脑上的文件或程序。不要随意计算机参数等。4.3.7 收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄这些邮件。4.3.8 不向他人披露使密码,防止他人接触计算机系统造成意外。4.3.9 每台电脑都需要设置密码, 密码至少应该每月更新一次, 如发现密码已泄漏,就尽快更换。预设的密
5、码及由别人提供的密码不能采用。定期用杀毒程序扫描计算机系统。对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒、有害的程序编码,进行适当的处理后才可开启使用。IT 人员进行定期的检查,如果发现有不按照要求定期更换密码的情况, 将进行相应的处罚,扣除当月的考核奖金 20 元。4.3.10 先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送。在适当的情况下,利用数定证书为信息及数据加密或加上数字签名。4.3.11 对于不熟的人员,请不要让其随意使用你的计算机,如必须使用,应有人在其身旁监督。4.3.12 不得随意将公司或个人的文件发送给他人,或打开给他人查看或使用。
6、4.3.13 在计算机使用或管理上如有任何疑问,请询问专门人员。4.4、公司的保密措施4.4.1 公司中层以上领导,要自觉带头遵守保密制度。4.4.2 公司各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念。4.4.3 全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、资料、电子文档) 。4.4.4 .对员工依照公司本规定,保守公司秘密,发现他人泄密,立即采取补救措施,避免或减轻损害后果的;对泄密或者非法获取公司秘密的行为及时检举投诉的,按照有关规定给予奖励。4.4.5 对员工因不遵守公司规定,造成泄密事件,依照有关法
7、规及公司的奖惩规定, 给予纪律制裁.解雇,直至追究刑事责任.4.4.6 设置监控日志来记录密码错误和异常的接近不该接近的文件的情况4.4.7 针对异常的 IT 进入的情况进行记录并调查;4.4.8 在系统上设置异常进入的警告系统;4.4.9 制定电脑系统崩溃后进行恢复数据的方案计划; 每月一次由公司的 IT 人员对公司的电脑系统的数据进行备份,并将备份的文件存放在工厂以外的地方。4.4.10 对电脑数据进行不通知的定期检查以确保电脑信心系统的有效性和可靠性4.4.11 信息安全的相关规定在人员入厂时进行培训。同时,对管理人员和接触使用电脑的相关的人员必须进行额外的培训。并保留相应的培训的记录。4.5 相关4.5.1电脑密码更换记录 4.5.2电脑资料备份记录4.5.3IT 异常进入调查报告
