信息安全管理制度XMS

XXXXXXXXXXXXXXXXXXX公司信息安全管理制度SB-GL-02-20111主题内容与适用范围1.1为了保障公司信息系统正常运行，制定本制度。本制度明确了公司各部门及计算机用户在计算机信息管理方面的职责及处罚办法。1.2本制度适用于本公司以及所有接入公司内部网络的一切计算机应用单位和计算机使用人员。2职责2.1通则2.1.1公司员工应严格遵守国家相关的信息安全法律法规。2.1.2各部门主要负责人是本单位的信息安全管理的第一责任人，对本单位信息安全负领导和管理责任。公司网络系统、计算机设备、软件的管理责任部门为营运及人力资源部。具体管理人员为网络管理专员。2.2营运及人力资源部职责2.2.1负责制订、发布信息安全管理制度，检查、监督该制度执行情况，并对违反制度的单位和人员按处罚条例进行处罚。由网络管理专员对口处理以下事宜：2.2.2负责保证公司网络的正常运行、系统升级、安全维护等2.2.3负责网络设备及相关设备采购、登记造册、备案等。2.2.4负责计算机及相关设备的统一配置、定位、安装、故障排除等2.2.5负责网络软件的评估、购买、推广、使用培训、备案和维护。2.2.6负责公司网络及网站安全维护和信息维护；2.2.7负责与其他网站的沟通、购买的使用权利、信息发布。2.2.8建立和健全信息安全管理体系，负责信息安全技术和管理方法的研究、应用及推广；提供信息系统安全技术保障，制订及完善信息安全管理制度，实施信息安全监控和管理、提供安全管理技术指导与服务、督促和检查各应用单位的信息安全体系建设及实施。2.3设备部职责负责新进信息设备检查和登记，外来人员携带信息设备的检查和登记。2.5应用部门职责贯彻、落实和执行公司信息安全管理制度、根据本部门情况分解制定本部门信息安全管理办法并落实和执行，进行部门内信息安全管理执行情况检查、考核。3安全管理细则3.1计算机（含台式机、笔记本计算机）、打印机及外围设备安全管理3.1.1计算机硬件安全管理3.1.1.1各部门应明确指定每台计算机的责任人。遵循谁使用，谁负责的管理原则；网络设备使用者也为设备的使用责任人。其他个人和部门未经允许不得私自挪用、调换、外借和移动。3.1.1.2网络管理专员是公司网络系统的具体管理人员。负责对公司内部网络和网站进行日常监督和维护，包括信息维护和安全防护。3.1.1.3计算机设备必须有资产标签，资产标签由网络管理专员制作、贴定和管理。计算机设备使用者不得修改、污秽、撕毁。禁止擅自拆卸计算机硬件，禁止擅自安装和使用与工作无关的部件。3.1.1.4计算机及关联设备、移动存储器或IT相关固定资产及低值易耗品由营运及人力资源部根据实际需要负责统一购买、储存和分配。各部门如需要添加设备，必须完成申请流程，总经理批准后由营运及人力资源部负责采购、安装和调试。3.1.1.5网络软件和设备需求申请流程为：部门填写《信息需求申请表》（见附件一）------营运及人力资源部审核--------总经理批准3.1.1.6计算机用户离职时必须由网络管理专员审查其计算机硬件设备状况、移动存储设备归还，无问题后由网络管理专员签字确认。3.1.2计算机软件管理3.1.2.1操作系统：计算机上只允许安装公司所指定的操作系统及版本，若因工作需要安装其他操作系统，应填写《信息需求申请表》（见附件一），完成相应申请流程，总经理批准后由网络管理专员安装相应的正版软件或绿色软件。3.1.2.2所有计算机必须安装公司指定的防病毒软件，并遵守《计算机防杀病毒管理规定》。计算机用户在使用外来存储设备，需先对该存储进行病毒检测，确保无病毒后方可使用。禁止在使用电脑设备时，关闭、删除、更换公司防病毒软件。3.1.2.3常用办公软件和应用软件须到营运及人力资源部指定的服务器上下载安装；禁止擅自通过其他介质拷贝、下载软件进行安装使用，确有特别需求的，须填写《信息需求申请表》，报营运及人力资源部批准后方可安装；禁止擅自安装和使用盗版软件，对擅自安装而引起涉及版权方面法律纠纷的由责任人承担一切后果。3.1.2.4公司管理类信息系统、技术类信息系统、技术类设计软件、公司实施的或要求安装的其他软件安装和使用遵照相应软件管理办法。3.1.2.5禁止安装和使用娱乐性软件、游戏软件（操作系统附带的除外）。3.1.2.6严禁擅自安装和使用上网代理类、黑客性质类、网络和通讯管理类等危害信息安全和网络安全的软件。3.1.3计算机操作管理3.1.3.1计算机用户应使用规定的用户账号登陆操作系统，不得将帐号和密码告知他人。3.1.3.2计算机用户必须设置计算机系统登陆密码和屏幕保护密码（除特别情况，屏保等待时间不大于10分钟），密码长度不少于8位，最好是由数字、字母、和其他有效字符组成，密码应妥善管理，并且定期和不定期更改。3.1.3.3公司网络系统是为公司正常办公系统，每一个使用网络系统员工必须在工作时间内保持计算机开机状态，及时发出和接受信息。长时间离开时（30分钟以上）应将计算机设置为节能屏保状态，每一个使用计算机用户必须在下班时按程序关闭电源。3.1.3.4严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》，计算机用户不得使用任何方法窃取他人口令，非法入侵他人或其他组织的计算机信息系统。3.1.3.5各部门和车间第一负责人每天上午和下午必须上网浏览四次（上下午各2次），以保证即时获得公司网上信息。3.1.3.6公司及各部门的信息和工作流程将根据营运及人力资源部的使用推进进度，及时在内网获得及公布信息和完成流程审批。3.1.3.7严禁通过盗用他人IP地址、设置上网代理等违规方式访问互联网，禁止从事一切危害网络安全和系统安全的操作。3.1.3.8公司重要文档、资料和数据应上传至文件服务器妥善保存；本机保存务必将资料存储在除操作系统外的硬盘空间。3.1.3.9严禁使用公司网络下载、存储、使用、传播与公司工作无关的资料和软件；3.1.3.10具备上外网（互联网）权限或拥有外部电子邮箱（公司分配的）的计算机用户不得利用工作便利在互联网上进行与工作无关的活动，禁止使用私人电子信箱传递有关公司信息。3.1.3.11计算机用户岗位变更或离职时，其网络和信息系统使用帐号、权限须进行相应变更，其帐号、权限应报营运及人力资源部予以处理，计算机用户和所在单位均不得擅自将该用户外网、外部信箱、OA、信息系统等帐号、口令和权限转交其他人使用。3.1.3.12计算机用户不得制作、查阅、复制和传播思想内容反动的、不健康的、有碍社会治安和有伤风化的信息。3.1.3.14计算机、打印机及外围设备发生故障应尽快通知网络管理员，不允许私自打开设备操作。3.1.3.15电脑操作人员必须爱护电脑设备，保持电脑设备的清洁卫生，禁止在开机状态下使用湿物（湿毛巾、溶剂等）擦拭显示屏幕。3.1.4内外网使用范围：3.1.4.1公司严格管理内外网使用范围，原则上每个部门仅允许一台计算机设备连接外网，营运及人力资源部负责对上外网电脑统一分配、登记、管理，（具体见附件三《计算机设备档案》）3.1.4.2内网分两部分，财务U8和OA在一个局域网内，财务部负责规定U8软件的使用及访问权限；营运及人力资源部负责规定OA、ERP等软件的访问权限；工程部独立局域网，只允许工程技术人员使用，由工程部规定访问权限。3.1.4.3出于安全原因，外网连接属于控制状态，外网接口由部门第一负责人使用或由部门第一负责人指定人员使用（营运及人力资源部备案）。3.1.4.5总经理、总监、副总监、总经理助理及有工作需要的计算机用户经营运及人力资源部批准后可以同时使用内外网。3.1.4.6严禁未经营运及人力资源部允许私自连接内外网。3.1.5外来计算机的管理3.1.5.1定义：非公司所属计算机皆视为外来计算机。严禁外来计算机带入涉密信息密集单位如技术研发部门(工程部)、重要档案管理等部门办公场所。3.1.5.2外来计算机因工作需要在公司办公场所内（非涉密部门）使用时，应安排专人监控，原则上不得联入公司网络，确实需要联网的，须由相关单位申请，经营运及人力资源部批准并签署信息安全、保密协议。3.2系统安全与业务连续性管理3.2.1服务器管理3.2.1.1服务器责任单位应根据服务器的应用情况制定服务器管理办法，并报营运及人力资源部备案。3.2.1.2服务器应指定责任网络管理员和后备网络管理员，网络管理员应根据服务器管理办法对服务器进行日常管理。3.2.2业务连续性管理3.2.2.1系统备份、恢复管理：各应用信息系统的管理单位应制订可行的备份方案和灾难恢复方案，以保障在出现系统故障、或数据丢失等影响业务正常运行情况时恢复系统，减少和避免信息资产损失。3.2.2.2系统容灾管理：重要系统应制定合理的设备冗余和容灾方案，以保障当部分设备发生故障时能够支持业务和系统连续运行；重要系统和数据应进行异机备份或用备份设备进行备份，以保障系统和数据具备合理容灾性能。3.2.2.3业务应急预案：各业务单位应制订业务应急预案；当系统出现紧急情况不能支持业务应用时，各部门应启动应急预案，保障业务连续运营。当紧急状态排除后，业务部门要组织业务人员将紧急状态时发生的业务补充到系统中，以确保信息业务信息完整、有效。3.3数据安全管理3.3.1数据备份：服务器、计算机责任单位应制定数据备份方案，并按方案进行备份，方案报营运及人力资源部备案。应用人员要对自己本地计算机的信息安全负责，作好各自的信息备份工作。3.3.2电子信息保密管理3.3.2.1各部门应制定涉密电子信息保密管理办法，对涉密电子信息按公司保密制度进行密级划分并按密级进行管制。3.3.2.2未经批准禁止任何人将公司信息系统中的电子数据提供给无关人员、外单位人员；未经批准禁止任何人复制、转移、查看、发布、打印公司涉密信息。其中公司《保密制度》（SB-GL-004-2006）规定的秘密级以上（含秘密级）信息须经公司领导批准，其他信息须经部门负责人批准。3.3.2.3对于以网络通讯、电子邮件、光盘、软盘、移动存储设备等方式向公司以外的单位提供各种技术类电子数据（包括图纸、数据及其他技术类文档）、公司《保密制度》（SB-GL-002-XXX-2006）规定的“秘密”以上密级的电子文档（数据），需按《电子信息（数据）流出审批表》（见附件二）规定的审批权限履行审批手续，并与《客户签收回执单》（附件三）一起备案存档。其中公司《保密制度》（SB-GL-002-XXX-2006）规定的秘密级以上（含秘密级）信息流出须经公司领导批准，其他信息流出须经部门负责人批准。3.3.2.4各类计算机、数字存储设备经报废、送外维修、外借、出售等方式转出公司时应对存储的信息进行不可恢复性删除。3.3.2.5各类计算机、数字存储设备带出公司前，相关责任人应检查是否存有涉密信息，对存储的涉密信息应进行清除，或按公司相关保密制度进行报批。3.3.2.6涉密电子信息应进行访问控制，其存储、传输应进行加密处理，禁止使用明文进行网络传输。3.3.2.7对因管理不善造成公司涉密电子信息泄漏的单位和员工，将按公司相关保密制度追究相关单位和员工的责任。3.4移动存储设备管理3.4.1严格控制各类移动存储设备（包括软驱、光驱、U盘、移动硬盘、数码设备、红外设备、无线通讯设备等）在公司使用，各部门应制订移动存储设备使用管理办法，并报营运及人力资源部备案。3.4.2各部门须对已有的移动存储设备指定专人统一登记，集中管理，并报营运及人力资源部备案；新增移动存储设备需报营运及人力资源部批准。对通过移动存储设备传入传出的文件应记录备案；禁止擅自使用私人移动存储设备拷贝数据。3.4.3对因移动存储设备使用不当而造成的信息泄密或其他事故，要追究使用者、移动设备责任人及单位负责人的相关责任。4信息安全检查和督察4.1公司：营运及人力资源部负责制定信息安全检查管理办法，每年年底前根据实际情况制订下一年度检查计划，检查方案。4.2部门：各部门制定本单位检查计划和方案，报营运及人力资源部批准和备案，并按计划进行检查，检查结果和整改措施报管理