信息安全管理制度

1、精選優(yōu)質(zhì)文檔-傾情為你奉上XXX信息安全管理Version: 1.0第一章 信息安全概述1.1、公司信息安全管理體系信息是一個組織的血液，它的存在方式各異?？梢允谴蛴?，手寫，也可以是電子，演示和口述的。當今商業(yè)競爭日趨激烈，來源于不同渠道的威脅，威脅到信息的安全性。這些威脅可能來自內(nèi)部，外部，意外的，還可能是惡意的。隨著信息存儲、發(fā)送新技術(shù)的廣泛使用，信息安全面臨的威脅也越來越嚴重了。信息安全不是有一個終端防火墻，或者找一個24小時提供信息安全服務(wù)的公司就可以達到的，它需要全面的綜合管理。信息安全管理體系的引入，可以協(xié)調(diào)各個方面的信息管理，使信息管理更為有效。信息安全管理體系是系統(tǒng)地對組織敏感

2、信息進行管理，涉及到人，程序和信息科技系統(tǒng)。改善信息安全水平的主要手段有：1）安全方針：為信息安全提供管理指導(dǎo)和支持。2）安全組織：在公司內(nèi)管理信息安全。3）資產(chǎn)分類與管理：對公司的信息資產(chǎn)采取適當?shù)谋Ｗo措施。4）人員安全：減少人為錯誤、偷竊、欺詐或濫用信息及處理設(shè)施的風(fēng)險。5）實體和環(huán)境安全：防止對商業(yè)場所及信息未授權(quán)的訪問、損壞及干擾。6）通訊與運作管理：確保信息處理設(shè)施正確和安全運行。7）訪問控制：妥善管理對信息的訪問權(quán)限。8）系統(tǒng)的獲得、開發(fā)和維護：確保將安全納入信息系統(tǒng)的整個生命周期。9）安全事件管理：確保安全事件發(fā)生后有正確的處理流程與報告方式。10）商業(yè)活動連續(xù)性管理：防止商業(yè)活

3、動的中斷，并保護關(guān)鍵的業(yè)務(wù)過程免受重大故障或災(zāi)害的影響。11）符合法律：避免違反任何刑法和民法、法律法規(guī)或者合同義務(wù)以及任何安全要求。1.2、信息安全建設(shè)的原則1）領(lǐng)導(dǎo)重視，全員參與信息安全不僅僅是IT部門的工作，它需要公司全體員工的共同參與。2）技術(shù)不是絕對的信息安全管理遵循“七分管理，三分技術(shù)”的管理原則。3）信息安全事件符合“二、八”原則20%的安全事件來自外部網(wǎng)絡(luò)攻擊，80%的安全事件發(fā)生在公司內(nèi)部。4）管理原則管理為主，技術(shù)為輔，內(nèi)外兼防，發(fā)現(xiàn)漏洞，消除隱患，確保安全。1.3、信息安全管理體系建設(shè)的目的1）保障ERP系統(tǒng)的安全運行，控制公司信息泄密風(fēng)險；2）提高企業(yè)員工對安全的認識和

4、對安全管理的參與；3）提高企業(yè)用戶及合作伙伴對企業(yè)的信心、信任、滿意程度；4）提高企業(yè)信息安全管理的質(zhì)量和水平；5）使企業(yè)更有效地管理和處理信息安全事件；6）遵守和通過相關(guān)法律法規(guī)的要求；7）為將來企業(yè)充份利用電子商務(wù)打下重要的基礎(chǔ)。第二章 員工信息安全規(guī)范2.1、范圍本標準規(guī)定了公司員工必須遵循的個人計算機和其他方面的安全要求，規(guī)定了員工保護公司涉密信息的責任，并列出了大量可能遇到的情況下的安全要求。本標準適用于公司所有員工，包括子公司的員工，以及其他經(jīng)授權(quán)使用公司內(nèi)部資源的人員。2.2、計算機安全要求1）計算機信息登記與使用維護：ü 每臺由公司購買的計算機的領(lǐng)用、使用人變更、配置

5、變更、報廢等環(huán)節(jié)必須經(jīng)過IT部的登記，嚴禁私自變更使用人和增減配置；ü 每位員工有責任保護公司的計算機資源和設(shè)備，以及包含的信息。ü 每位員工必須把自己的計算機名字設(shè)置成固定的格式，一律采用部門名稱的漢語拼音簡寫加自己姓名的漢語拼音簡寫組成。2）必須在所有個人計算機上激活下列安全控制：ü 所有計算機（包括便攜電腦與臺式機）必須設(shè)有系統(tǒng)密碼；ü 系統(tǒng)密碼應(yīng)當符合一定程度的復(fù)雜性要求，并不定期更換密碼；ü 存儲在個人計算機中的包含有公司涉密信息的文件，需要加密存放。3）當員工離開辦公室或工作區(qū)域時：ü 必須立即鎖定計算機或者激活帶密碼保護

6、的屏幕保護程序；ü 如果辦公室或者工作區(qū)域能上鎖，最后一個離開的員工請鎖上辦公室或工作區(qū)域；ü 妥善保管所有包含公司涉密內(nèi)容的文件，如鎖進文件柜；4）防范計算機病毒和其他有害代碼：ü 每位員工由公司配備的計算機上都必須安裝和運行公司授權(quán)使用的防病毒軟件；ü 員工必須開啟防病毒軟件實時掃描保護功能，至少每周進行一次全硬盤掃描，在網(wǎng)絡(luò)條件許可的情況下每天進行一次病毒庫文件的更新；ü 如果員工發(fā)現(xiàn)未能處理的病毒，應(yīng)立即斷開局域網(wǎng)連接，以免病毒在局域網(wǎng)內(nèi)部交叉感染，并及時向公司IT部門匯報；5）軟件的使用：ü 員工的不得私自在計算機上安裝公司

7、禁止的軟件，公司禁止安裝的軟件包括但不限于：n BT等P2P軟件n Sniffer等流量監(jiān)控軟件及黑客軟件n P2P終結(jié)者，網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)管理軟件n 工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件ü 公司員工的機器上必須安裝并開啟功能的軟件有：n 卡巴斯基或其他正版防病毒軟件ü 如果由于使用未經(jīng)公司授權(quán)的且沒有許可的軟件造成公司損失，員工需要承擔全部責任；6）文件的共享：ü 員工在使用文件共享時，必須將其設(shè)置為受限共享；ü 禁止使用基于互聯(lián)網(wǎng)的P2P軟件和共享服務(wù)，如：BT、eMule等。ü 不得在計算機上配置匿名FTP、TFTP、HT

8、TP，或其他無需驗證的服務(wù)。例如：員工不得在公司的計算機上私自架設(shè)匿名FTP。ü 未經(jīng)IT部門許可，不得在使用ERP系統(tǒng)的計算機上使用U盤或移動硬盤。ü 如因業(yè)務(wù)需要，必須要訪問其他人的硬盤。當定義共享權(quán)限時，員工必須設(shè)定用戶權(quán)限、設(shè)定訪問密碼，并及時取消所定義的共享。7）郵件的發(fā)送與接收：ü 禁止使用公司的計算機散布、回復(fù)、轉(zhuǎn)發(fā)連鎖郵件、惡作劇郵件；ü 禁止將涉及公司秘密的內(nèi)部郵件轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上。8）公司涉密信息的保護：ü 公司涉密信息包括但不限于公司數(shù)據(jù)庫中的秘密信息，與公司目前或未來產(chǎn)品、服務(wù)或研究有關(guān)的公司技術(shù)或科技信息，業(yè)務(wù)或營銷計算

9、、營銷收益或其他財務(wù)資料、人事資料，以及軟件等技術(shù)信息、經(jīng)營信息等；ü 公司的員工會接觸到公司的涉密信息。員工絕對不能在未經(jīng)公司授權(quán)的情況下泄漏這些信息，并且必須遵守公司為保護此信息而制定的各項標準和流程。ü 每個員工只能接觸使用與本崗位工作相關(guān)的涉密信息，禁止從非正常途徑獲取公司或部門的涉密信息；禁止非授權(quán)復(fù)制涉密信息。ü 對公司文檔的保管、存檔、發(fā)送、刪除、銷毀、復(fù)制等必須遵守公司相關(guān)的文檔保密管理規(guī)定。ü 禁止使用提供翻譯服務(wù)的互聯(lián)網(wǎng)站來翻譯公司的涉密信息。ü 公司涉密信息盡量避免通過互聯(lián)網(wǎng)傳送，但由于工作需要，需要通過電子郵件等方式發(fā)送

10、公司涉密信息時，可以采用Winrar加密壓縮的方式把涉密內(nèi)容作為附件發(fā)送，然后通過其他渠道告知對方加密密碼。9）公司信箱的帳戶及密碼ü 所有的密碼必須符合如下條件：n 至少8個字符長，并且包含一個字母字符或其他非字母字符；n 禁止把用戶名用作密碼或其一部分；n 舊密碼中任何三個連續(xù)的字符盡量不要連續(xù)出現(xiàn)在新密碼中；n 公司要求員工至少每6個月更換一次信箱密碼。10）內(nèi)部網(wǎng)絡(luò)使用規(guī)則ü 禁止在網(wǎng)絡(luò)上偽裝為他人身份；ü 不得私自安裝網(wǎng)絡(luò)管理軟件，監(jiān)控網(wǎng)絡(luò)流量或者妨礙他人使用網(wǎng)絡(luò)資源；ü 不得對公司網(wǎng)絡(luò)或服務(wù)器以及網(wǎng)絡(luò)中他人電腦運行安全掃描程序或者惡意攻擊；&

11、#252; 未經(jīng)IT部允許，不得增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)中，嚴禁私自購買路由器、交換機接入公司網(wǎng)絡(luò)等行為；ü 宿舍區(qū)電腦大部分屬于員工私人電腦，但是所有電腦必須到IT部登記使用人的部門、姓名、聯(lián)系電話、計算機的網(wǎng)卡物理地址后方能接入互聯(lián)網(wǎng)。第三章 公司信息安全管理檢查執(zhí)行規(guī)定3.1檢查原則根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對違規(guī)行為進行處罰對在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權(quán)限審核不當，造成公司安全制度和措施難以落實，安全管理工作混亂的部門，部門負責人須承擔領(lǐng)導(dǎo)責任。對違反信息安全管理規(guī)定者，如其直接領(lǐng)導(dǎo)有明顯管理和指導(dǎo)不力的須承擔連帶責任。3.2檢查方式

12、集團IT部抽調(diào)網(wǎng)絡(luò)管理人員，不定期對集團所屬公司辦公電腦進行抽查。分析信息安全日志文件，排查違規(guī)電腦，追究相關(guān)當事人。3.3檢查結(jié)果對于故意盜竊、泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質(zhì)特別嚴重造成重大損失的，給予罰款、降薪、降職、辭退、直至開除的處理，并賠償公司損失。對于觸犯國家法律的，移交國家司法機關(guān)依法處理。對違反公司信息安全制度規(guī)定，性質(zhì)較輕，在公司內(nèi)部系統(tǒng)給予點名通報批評，并記錄在案，責令限期改正。附件一：新購臺式電腦登記表計算機編號計算機領(lǐng)用人所在單位(部門)計算機基本信息登記購買日期領(lǐng)用日期購買商家購買價格服務(wù)年限有限保修 是 否品牌型號處理器內(nèi)存硬盤顯示器備注領(lǐng)用人簽字專心-專注-專業(yè)附件二：宿舍區(qū)上網(wǎng)電腦登記表使用人所在單位(部門)宿舍號宿舍電話移動電話有線網(wǎng)卡地址無線網(wǎng)卡地址附件三：信息安全檢查登記表