1、公司信息安全制度1、目的为了保护企业信息资产,支持企业的长期发展,保证企业的商业信息和敏感的个人信息的真实、准确、完整和不可否认性,避免由于公司内部的和外部人员通过非法、违规等不正当的手段,冒用、盗用、非法利用公司信息,或破坏公司的信息系统或资产,维护和保护企业的基本权益和利益。2、适用范围本规定适应于公司全体员工,提供服务的外包商、承包商、供应商以及其它被公司授权使用软件系统、计算机和网络系统的其它单位。3、职责3.1.操作部 IT 室4、定义企业秘密:是指企业在生产、经营、科研活动中所产生的,不为公众知悉,能为企业带来经济效益,一旦泄露会给企业带来损害,并且具有实用性,已经企业采取保密措施
2、的工作部署、技术工艺、产品开发和研制、营销策略的情况、企业管理体制、生产动向和计划、经济统计和财会数据等信息及其记录的载体。5、 信息密级划分 5.1.参考国家保密条例,将公司的数据/文档信息划分为绝密、机密、秘密和非密四个类别四个类别。5.1.1.绝密:涉及企业经营安危和企业特有,一旦泄密会使企业遭受严重危害和重大损失的保密资料或信息列为绝密级。5.1.2.机密:超过行业水平,信息或资料一旦泄漏,会使企业遭受较大损失的保密资料或信息列为机密级。5.1.3.秘密级:不属于绝密和机密,一旦泄密使企业遭受损失的其它保密资料和信息列为秘密级。 5.1.4.非密级:不属于以上三种密级,但不可外借的资料
3、和信息的划分为内部级。 5.2.所有的文档/文件在制作之前都必须区分密级,信息数据根据密级确定专人专管,察看翻阅密级为“秘密“以上数据信息的需经部门负责人许可。6、办公室信息安全要求6.1.不得在显示器和办公桌等明显处粘贴写了重要口令的便签。6.2.办公室电脑都应设置复杂口令,特别要注意具有管理员权限的用户。密码不得随意泄露,离开微机后必须锁定系统。6.3.一般情况不得共享文件夹,如因工作需要信息共享,必须采取加复杂的口令,使用完成要取消共享。6.4.在接收邮件时要建立良好的安全习惯,具有一定的警惕性,对一些来历不明的邮件不要打开其附件,要立即删除。6.5.所有单独在房间的员工,在离开办公室时
4、必须锁门。6.6. 员工离开座位较长时间或下班后,办公桌不能留有密级为秘密以上的文件。6.7.在员工调离或离职时,所有的访问权限必须交还(包括但不限于员工卡、办公室钥匙、公司提供的办公设备和介质等)。6.8.任何文件材料都必须妥善处理,废弃文件一律采取粉碎处理,不得随意丢弃。7、接待管理在未经部门领导许可的情况下,不允许有以下活动:7.1.未获得许可,不允许私自带领企业之外,或者与本部门无关的人员参观 IT 办公室、机房、监控室、测试室、设备间等区域。7.2.未获得许可,不允许接受任何的外部的电话访谈、咨询或调查,书面的调查和咨询,以及类似的要求。7.3.未获得许可,不允许对外介绍企业现有的应
5、用系统,应用的技术细节,操作流程等。7.4.未获得许可,不允许对外介绍应用的软件的名称、数量和分布等信息;7.5.未获得许可,不允许对外介绍我们使用的硬件的名称,数量和分布等信息;8、应用系统安全要求8.1.新用户申请企业内部员工使用系统前必须经过培训,并经考试合格才能申请,填写申请单,由所在部门主管和 IT 主管签字方可开户。客户、外包商申请用户需经操作部经理以上领导签字确认方可开户。8.2.权限申请及变更用户岗位确定后方可申请或变更权限;需经所在部门主管和 IT 主管签字方可申请或变更权限。8.3.系统密码要求告知用户获得 ID 后必须修改密码。密码不能低于 6 位;应尽量包含字母、数字、
6、标点等多种组合;不能将用户名、生日等作为密码的一部分。9、网络信息安全10、数据备份为了实现确定的恢复功能,当发生地震、水灾、火灾等不可抗拒的自然灾害或由于人为原因造成系统灾难性故障时,能保障计算机信息系统继续正常运行,重要业务系统的系统管理员或者数据管理员,必须在系统正常运行时定期地或按照某种条件实施相应的数据的备份。根据不同的恢复要求,应有以下形式的备份:10.1.增量信息备份,由系统定时对新增信息进行备份。10.2.局部系统备份,对某些重要的局部系统进行定期备份。10.3.热备份,对系统的重要设备进行冗余设置,并在必要时能立即投入使用。10.4.全系统备份,定期对全系统的运行现场进行备份
7、。10.5.建立容灾机房,使备份数据保存的物理位置应该与业务系统服务器所在的物理位置有明显的区别,以保证以外发生的时候,已经备份的数据不会丢失。11、涉密电子信息泄密的处罚11.1.IT 室全体成员均有保守企业秘密、和发现有泄密隐患进行报告的义务.11.2.对泄密的直接责任人和间接责任人,IT 室上报公司并根据公司和国家有关法律、法规视情节轻重进行行政处分或经济处罚。情节严重的,移交国家政法部门追究刑事责任;12、附:常见泄密途径及保护办法12.1.常见泄密途径12.1.1.存放涉密电子信息的计算机安全防护不到位(比如密码简单、系统存在漏洞等)被黑客主动盗得。12.1.2.利用存放涉密电子信息
8、的计算机上 internet 网,感染了木马病毒,信息被木马病毒传播出去。12.1.3.涉密电子信息通过互联网电子邮件等形式传递过程中被截取。12.1.4.存放涉密电子信息的外部介质(磁盘、U 盘等)存放和管理不得位,被其他人员(同事或外公司人员)获得。12.1.5.与外公司在项目洽谈、项目实施过程中被外公司人员获得。12.1.6.涉密电子信息的使用和管理人员离开公司将涉密电子信息带走。12.1.7.涉密电子信息的使用和管理人员故意泄密。二、保护方法:12.2.1.存放涉密电子信息的计算机要建立台帐重点控制,要求计算机维护人员定期检查其安全性,杜绝一起安全隐患。12.2.2.存放涉密电子信息的计算机禁止上internet网,以防止信息通过internet网泄漏,防止感染木马病毒。12.2.3.涉密电子信息禁止在没有加密的状态下通过互联网电子邮件等形式传递。12.2.4.存放涉密电子信息的外部介质(磁盘、U盘等)的使用、存放和销毁要建立台帐控制。12.2.5.与外公司在项目洽谈、项目实施过程中相关人员要注意保密工作。12.2.6.涉密电子信息的使用和管理人员要签订相关保密合同,通过合同约束相关责任人的行为。12.2.7.实施相关的电子信息保密系统。(如加密系统、身份认证系统等)。
