《信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度.docx(8页珍藏版)》请在第壹文秘上搜索。
1、信息安全管理制度第一条总则为保证公司信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁结合公司实际,特制定本制度。第二条电脑设备管理(一)各部门对该部门的每台计算机应指定保管人,保管人对计算机软、硬件有使用、保管责任。(二)计算机设备不使用时,应关掉设备的电源。每台计算机应设置自动锁屏密码,人员暂离岗时,应锁定计算机。员工下班离开时应及时关闭电脑电源。(三)计算机为公司资产,不得私用,转让借出;除笔记本外,其他设备严禁无故带出办公生产工作场所。(四)计算机设备老化、性能落后、故障或异常情况(包括气味、冒烟)时,应当立即关闭电源开关,
2、拔掉电源插头,并及时通知计算机管理人员检查或维修。(五)员工入职时,由综合部根据其职位分配相应的计算机。(六)员工离职时,综合部应及时取消其所有IT资源使用权限,回收其电脑。第三条软件系统管理(一)公司的系统和软件的安装由综合部统一安排,任何人不得擅自对软件和系统做更改或删除,如有违反将给予处罚。(二)公司台式机电脑及笔记本电脑的操作系统由网络管理员(以下简称网管)统一安装。()公司应用软件的安装,网管将根据各岗位的工作需求进行安装。例如:WPS办公自动化软件、PHOTOSHOP图形处理软件、企业QQ软件、杀毒软件,并升级成最新版本。(四)公司办公使用的0A、ERP、微信、腾讯QQ等软件,在新
3、员工入职后在OA上提交使用申请,由信息化组分配账号,告知初始密码。(五)未经允许,员工不得在网上下载软件、音乐、电影等,对于工作以外的应用软件,均不予安装。(六)公司邮箱账号必须由本账号员工使用,使用电子邮件时,附件都应用安全软件查杀后确认无毒再打开,禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件,禁止将涉及公司秘密的内部邮件转发到互联网上,如造成公司损失或名誉影响,公司将追究其个人责任。(七)各部门软件分配使用后,保管人或使用人职务变动或离职时,应按照人事部门流程移交其保管或使用之软硬件,并办理交接,由综合部网络管理员对其软件使用权进行调整。第四条对于信息安全公司存在的风险(一)来
4、自公司外的风险1 .病毒和木马风险。互联网上不同类型的病毒和木马,在感染公司用户电脑后,会篡改电脑系统文件、使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。2 .不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,如果是综合部、结算部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成重要数据被拷贝泄露、财务网银密码被窃取。还可能使服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。(二)来自公司内的风险1文件的传输风险。员工将公司重要文件以QQ、微信等
5、方式发送至外网,将可能造成公司信息资源的外泄、危害公司生存发展。2存储设备的风险。员工通过U盘或移动硬盘等存储介质将文件资料拷贝出公司,或员工私自拆开电脑机箱,将硬盘偷偷带出公司,可能造成公司信息外泄。3上网行为风险。员工在电脑上访问不良网站,造成电脑及公司网络的破坏,导致计算机系统崩溃。4用户密码风险。主要包括用户密码和管理员密码。用户的开机密码、业务系统登陆密码被他人掌握,此用户权限内的信息资料和业务数据被窃取;管理员密码被不法分子窃取,破坏应用系统的正常运行。5机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自自然灾害导致的机房设施损坏及业务中断。第
6、五条信息安全防范措施(一)计算机设备安全管理1 .公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2 .严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向综合部报告,不允许私自处理和维修。3 .发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业、保管不当、擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务,任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实
7、际情况进行处理。4 .下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。(二)部门资料安全管理1 .外接存储设备安全管理综合部使用技术手段禁止所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝公司文件资料到存储设备中,需要经过主管领导审批。为确保硬盘的安全,严禁任何人私自拆开电脑机箱。2 .文件打印安全管理。所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件
8、的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。3 .文件的存储安全管理。所有部门人员应定时清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若
9、因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系综合部协助将该员工的工作资料拷贝到部门U盘或移动硬盘上,若没有执行此规范流程,由员工离职导致损失的文件资料责任由该部门承担。第六条网络管理(一)公司员工所用的电脑,由网管统一安排连接网络,未经网管许可,不得自行连接。(二)公司联网电脑原则上专人专用,未经许可,不得使用他人电脑。(三)公司人员工作变更或办公地点变更时,应及时告知网管,以便网管工作。第七条网络信息安全管理(一)所有工作人员,必须遵守公司的有关规定,严格执行安全保密制度,禁止在工作时间内做与工作无关的事情,由此引起的一切
10、责任由当事人全权承担。(二)任何人不得破坏、盗用电脑网络中的信息资源,不得从事危害电脑网络安全活动;严禁故意制作、传播电脑病毒等破坏性程序。(三)禁止工作时间使用公司电脑玩游戏、听音乐、看娱乐性视频、使用微博、使用QQ或类似聊天软件进行非工作性质聊天。(FI)未经允许,禁止对电脑信息网络功能进行删除、修改或者增加。(五)未经允许,禁止对电脑信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加,进行其他黑客活动。(六)未经允许,禁止擅自使用非法手段开通USB权限拷贝资料。(七)使用云盘软件上传、下载数据需要提交申请,待审批同意后方可使用。(八)新员工入职,在获得自己的办公平台的账户
11、和密码后,应立即更改自己的密码,如果因为没有更改密码而造成办公平台账户被他人盗用的情况,后果将由员工本人负责。(九)公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改其IP地址。(十)员工有责任预防邮件病毒的传播,员工的电脑必须安装公司指定的杀毒软件,并启用杀毒软件的邮件防火墙功能。(十一)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。(十二)不得利用公司计算机网络从事危害国家安全及其他法律文明禁止的活动,不得访问不明网站的内容,以避免恶意网络共计和病毒的侵扰。第八条密码与权限管理(一)密码设置应具有安全性、保密性,
12、不能使用简单的代码和标记。OA账户及密码由综合部设置后通知员工,员工及时修改密码后牢记。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有8个字符长;密码必须包含以下任一部分:字母A-Z或a-z,数字0-9,特殊字符,例如$,一等。(二)密码应定期修改,每月1日应当更改自己的电脑登录密码。如发现或怀疑密码遗失或泄漏应立即修改,并在相应的登记簿记录用户名、修改时间、修改人等内容。(三)服务器、路由器等重要设备的超级用户密码由综合部网络管理员设置和管理。(四)有关密码授权工作人员调离岗位,有关部门负责人必须指定专人接替并对密码立即修改或用
13、户删除。第九条病毒防护管理(一)公司为员工配备的电脑以及员工所负责的服务器必须安装防病毒软件,并遵循综合部网络管理员指定的计算机病毒防护标准。公司电脑的杀毒软件升级由电脑使用人自行负责,要求每周至少进行一次系统病毒查杀。办公平台的病毒防治由综合部网络管理员负责(二)任何人不得在公司的网络上制造、传播计算机病毒,不得故意引人病毒,网络使用者发现病毒应立即向管理部网络管理员报告并及时处理。第十条备份与恢复(一)备份工作应由综合部安排备份管理人员和备份数据保管人员,备份管理人员负责实施备份、恢复操作和登记工作,备份数据保管人员负责备份介质的取放、更换,其他人员未经批准不得操作。(二)存放备份数据的介
14、质必须具有明确的标识。每日对系统数据进行备份,备份数据必须保存在两份介质中,一份本地存放,一份异地存放;异地的备份介质存放场所必须满足防火、防水、防潮、防磁、防盗等要求,无论存放在本地还是异地,必须确保存放场所的安全,经综合部负责人批准后实施,只有授权人员才可以访问。(三)需要恢复备份数据时,应由需求部门提交申请,内容包括数据内容、恢复原因、回复数据来源、计划恢复时间、恢复方案等,由需求部门以及信息技术部门相关负责人审批后由备份管理员负责实施。(四)灾害信息安全策略1 .网络系统核心设备或主干网络线路发生故障,或因服务器软硬件故障、黑客、病毒攻击,公司主要的应用系统停止服务、系统瘫痪或遭受灾害
15、等特殊情况时,信息化职能部门应及时组织力量解决突发事故,恢复信息系统正常运行。2 .突发事故发生后,信息化职能部门需及时通知相关领导和其他负责人并尽快对软、硬件损失做出评估,以为恢复系统数据做好充分准备。(六)信息数据的恢复当公司因灾害而导致软、硬件损失或数据丢失后,综合部门应在完成损失评估后,根据公司恢复生产的统一安排下使用备份数据进行系统恢复,以把公司受灾害的生产影响降到最低。第十一条综合部的安全措施(一)计算机网络设备安全管理公司所有计算机及网络设备统一归综合部管理。本办法所涉及产品的界定:1计算机是指为公司内部员工使用的PC机(包括CPU、硬盘、内存、机箱、显示器、主板、网卡、显卡、显
16、示器、光驱、键盘和鼠标。2网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。3计算机其他配件是指公司备用的光驱、软驱等。4附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。在员工电脑各组件老化或损坏,严重影响工作效率时,所在部门可申请以旧换新或报废处理。若需要报废,按照规定办法执行,各部门不得擅自处理破旧的电脑或电子设备。报废的电脑硬盘必须消磁处理。(二)公司所有计算机输入输出设备统一归综合部管理输入输出设备包括但不限于扫描仪、传真机、打印机。使用者在使用此相关设备遇到问题可寻综合部帮助。在使用设备过程中遇到故障要及时向综合部反映,以便综合部及时查找原因,解决故障。()公司视频会议设备和视频监控设备