(完整word版)信息安全作业规范

1.目的﹕1.1.為有效管控公司信息﹐確保公司相關信息非經受權不得泄露給非直接使用方﹐特制定本作業規范。2.范圍﹕2.1.本規范適用於XXXX所有信息之安全管制。3.定義﹕3.1.保密信息內容：，包括但不限於商業秘密、技術訣竅、研究成果、商業計畫、客戶資訊、財務資料、文檔模版、程式設計規範、開發流程、質量標準、雙方訂立的合同條款以及客戶從第三方處獲得的應保密的資訊；以及本規範定義的絕密、機密文件。3.2.信息安全等級定義為：絕密、机密、内部公开。3.2.1.絕密：3.2.1.1.客戶原檔資料。包括但不限於客戶書面、口頭或電子的形式提供給我司的任何資訊或資料。如客戶規格書、技術規範等3.2.1.2.客戶指定為保密項目且未公開发布之前的任何外观设计图片、外观件设计图片、外观件实物图片、图纸或图纸图片、產品規格書、軟體程式等。3.2.1.3.客戶提供的未在市場發布的樣機。3.2.1.4.其它客戶特別指定的保密信息3.2.1.5.我司成本資料、產品報價、盈利水準等3.2.2.機密﹕涉及公司或客戶技術及經營策略性的文件﹐具體如下﹕3.2.2.1.產品技朮類機密文件如作業指導書(SOP)﹑檢驗指導書(SIP)﹑工程圖面、控制計划(ControlPlan)、站位設備圖片及參數、BOM等。3.2.2.2.經營策略類機密文件如銷售合同、項目計划﹑生產訂單等。3.2.2.3.公司的關鍵零組件、半成品、成品。3.2.3.內部公開資料：除了絕密、機密資料以外已批準發行的體系文件規範、組織架構圖等。3.3.泄密：未經客戶及公司內部書面允許在網路上或其他媒體和公開渠道中出現本規範定義為絕密、機密、內部公開的信息，視為泄密。3.4.信息安全關鍵崗位：。1）直接或间接接触到客戶信息技术文档或产品的岗位，如：接收/下载/存储客戶文档、文档转换设计、文控、成品检验、废品处理、生产区域安全员、IT管理、接觸客戶未上市樣機及公司成品等岗位。2）接觸公司成本資料、產品報價、盈利水準等崗位。4.權責﹕4.1.廠端最高管理者4.1.1.信息安全體系的總指揮和決策者。4.1.2.提供信息安全體系所需的資源支持。4.2.信息安全負責人4.2.1.負責信息安全體系的建立、維護、持續改進。4.2.2.推動IT及各部門信息安全工作的有效開展。4.2.3.組織信息安全定期監督檢查的執行。4.2.4.開展定期信息安全檢討會議，推動持續改善。4.2.5.定期向最高管理者報告信息安全運行狀況。4.3.IT4.3.1.建立資訊安全管理系統。4.3.2.建立資訊安全相關文件規範。4.3.3.定期對廠內資訊安全進行例行檢查。如資訊安全防禦系統檢查、審核外發郵件權限、外網傳送權限等。4.4.体系部门4.4.1.信息安全體系文件的建立、維護、持續改進。4.4.2.溝通協調IT及各部門信息安全工作的順利開展。4.4.3.協助信息安全定期監督檢查，追蹤信息安全內外部稽核問題的改善結果。4.4.4.信息安全體系文件的發行管控。4.4.5.配備信息安全主任，對例行稽核及保密項目專項進行定期檢查，并對不合格項目進行推動改善。4.5.QC樣機的保管、使用、交接管理。4.6.CQS客户服务部4.6.1.客戶稽核時的信息安全保護，禁止來訪客戶參觀其他客戶專區、專線。4.7.1.及時識別、傳達客戶信息安全要求，包括合同、客戶調查等。4.7.2.對客戶系統下載的文件提供保密措施，具體保密措施見5.2.1.5。4.7.3.建立客戶外來文件清單，并放置在客戶專用服務器、傳達給相關人員和追蹤處理結果，追蹤內容包括，如轉換內部文件進度、是否發行等。4.7.4.試產樣機的保管、使用、交接管理。4.8.专案4.8.1.對客戶指定有保密要求的項目，專案啟動時識別接觸絕密文件的關鍵崗位及人員，識別和評估客戶特別信息安全要求，任何不符合及時向信息安全負責人報告并追蹤改善結果。4.8.2.PLM专案管理系統設置專案teammembers權限并定期維護。4.8.3.開案前与客户确认是否为项目保密,并将具体保密要求传达给信息安全主任及項目組人員。4.8.4.對于客户保密項目需制定“《關鍵崗位名單》”。4.8.5.客戶稽核時的信息安全保護，禁止來訪客戶參觀其他客戶專區、專線。4.8.6.保密項目配合信息安全主任開展專項審核。4.9.HR4.9.1.負責信息安全入職培訓和年度培訓的實施。4.9.2.所有人員入職前需進行背景调查。4.9.3.所有新入職員工簽訂《保密協議》。4.9.4.統籌《關鍵崗位人員清單》并簽訂《信息安全關鍵崗位專項保密協議》。4.9.5.建立信息安全處罰規範。4.9.6.對內部和外部人員進行進出管理。4.10.制造部4.10.1.產線禁止帶手機、照像機、攝像機等可以拍照和攝像的設備進入。4.10.2.落實現場信息安全管理制度，產線帶離物品需登記、批準，包括儀器/設備/制具、物料、半成品、成品、樣機、保密文件等。4.11.IE工业工程4.11.1負責Layout規劃時需識別信息安全要求，按客戶要求配置信息安全所需設施。4.11.2試產樣機放置放需規範攝像頭監控。4.11.3.4.12.仓库負責報廢品的銷毀並保留銷毀記錄。4.13.關鍵崗位人員4.13.1.瞭解本規範要求和遵守附件7.1“信息安全關鍵崗位保密要求”。4.13.2.按客戶要求及項目要求簽署《信息安全關鍵崗位專項保密協議》。4.14.所有人員4.14.1.瞭解并遵守本規範的要求5.作業程序﹕5.1.信息安全管理政策和信息安全組織圖5.1.1.信息安全管理政策:5.1.2.信息安全組織圖略,见品质手册.5.2.關鍵信息資產管控要求：5.2.1.客戶外來文件5.2.1.1.圖紙、規格書、包裝要求等客戶文件定義為絕密文件；5.2.1.2.客戶外來文件由業務指定專人、專用臺式電腦下載，專用電腦除客户客户指定系统外,禁止上其他外网及外发邮件。使用固定IP和MAC位址綁定並申報備案.5.2.1.3.登陆客户指定系统下載客戶外來文件，禁止使用便攜式電腦，应使用專用台式電腦，并放置在有攝像監控的獨立區域，禁止非操作人員進入。5.2.1.4.下載后立即轉為不可打印PDF檔格式上傳PLM系統，文件名稱使用內部代碼命名，禁止直接使用客戶名稱及Logo；5.2.1.5.外來文件上傳PLM系統后，需立即刪除本地電腦的外来文件。5.2.1.6.外來文件接收、上傳、發行等管控流程參考：《文件管制作業程序》之5.5客戶外來文件之管控制&7.23外來文件發行流程圖。5.2.2.樣機的管制(主要針對客戶未上市樣機)：5.2.2.1.客戶樣機的接收、借用、處理管控要求參考《客供品管制作業規範》之5.3及7.1客供品管制流程。5.2.2.2.樣機現場使用、交接、保管：5.2.2.2.1．樣機需有防拆標簽、保密殼。当ME工程师安装或维修测试治具,若需要拆开拆標簽、保密殼时，必须有客户在场或客戶書面同意，并在有摄像头監控範圍內的区域操作。5.2.2.2.2.樣機從交接需進行登記，記錄表單參考《客供品管制作業規範》中的“樣機交接list”。5.2.2.2.3.樣機帶出測試場地須經本部門主管審批同意，中午休息、下班後不能放在工位，須存放在保密櫃并上鎖。5.2.2.2.4.不將因履行職務或工作任務之目的知悉或獲得的樣機資訊提供給任何其他人，本條中“任何人”包括但不限於：專案組之外的員工或管理人員、親友、公司競爭對手、客戶等。5.2.2.2.5.不從事申請用途外的其它動作，如：複製、拍照、出租、出借、轉讓、拆機等，無論是否出於營利、非營利、個人研究學習等目的。5.2.2.2.6.不得將樣機相關資訊/產品圖片通過微博，論壇，微信等任何網路途徑散播。5.2.2.2.7.不在樣機上安裝和使用與申請用途無關的應用軟體，尤其是評測軟體，如安兔兔、魯大師等。5.2.2.2.8.不得擅自拆除樣機的保密殼，並不得對樣機進行拍照。5.2.2.2.9.樣機使用、存放區域需安裝攝像頭5.2.2.2.10.所有樣機需根據客戶要求，即時返還或銷毀，并保留返還或銷毀的證據。渠道的管控措施：5.3.1.E-mail流出的管控措施：5.3.1.1.IT部門對Mail設定權限管制,Mail外發權限需由廠區最高主管及IT主管批准。5.3.1.2.對於有洩密嫌疑的人員，HR按公司流程向IT申請調查其外發郵件是否有洩密。5.3.2.移動裝置流出的管控措施(如硬盤、U盤、SD卡、電腦、相机等)5.3.2.1.私人的硬盤、U盤、SD卡、電腦、拍照設備嚴禁帶進公司非常管制區域。5.3.2.2.工作用U盤、硬盤統一鐳雕“XXX公司專用”及編碼(按部門)由HR安全科統一管理。5.3.2.3.公司配發的電腦由IT安裝監控軟件,並由IT提供監控辦法。5.3.2.4.公司使用的相机，所属部门应建立借用登记表，和保管人。5.3.2.5.攜帶相機離開管制区過安檢門時，開具物品放行條批准。5.3.2.6.相機進入車間需在車間安保處登記，安保定期發相機進出記錄給責任部門確認。5.3.2.7.借用人使用完成後將相機記憶體清空，并做归还登记。5.3.2.8.保管人在归还和借出时檢查相機記憶體是否存在文檔及圖片。5.3.3.手机社交軟件如微信、QQ、Line等方式流出的管控措施5.3.3.1.辦公區域手机管理,對技朮核心部門,手机用統一設計的套子,用易碎標簽遮蓋攝像頭。5.3.3.2.生產區域統一配帶條碼的儲物柜,并監控帶攝像頭的手机一律不得帶入。5.3.4.影印文件流出的管控措施5.3.4.1.文件管理系统發行的文件，体系部门負責管控體系文件不能列印、下載、復製、轉發、修改等。如有特殊情況下載、列印，須經管理者代表審批，如涉及客戶外來文件或客戶保密資料需加簽業務部主管。5.3.4.2.紙檔文件需申請批準方可發行，使用部門如文件丟失需簽核到部門最高主管和管理者代表。5.3.4.3.车间纸档SOP、CP需加錫箔紙過塑，文件帶離管制區需過安檢。5.3.4.4.专案组負責PLM專案人員的維護，PLM設置禁止無關人員查看、下載、打印文件。5.3.4.5.所有文件禁止直接使用客戶名稱及Logo，可使用内部代码或內部機種名等做替代。5.3.4.6.安全科保安檢查與公司工作相關的紙質文件只允在辦公樓與生產廠區之間流通，不允許帶出公司5.3.5.樣機、材料、半成品、成品流出的管控措施：5.3.5.1.樣機、材料、半成品、成品流出需開物品放行條，樣機出廠物品放行條需由廠區最高主管批准5.3.5.2.安全科保安對轉運的樣機、材料、半成品、成品等物品流出檢查放行條5.3.5.3.保密項目物料和成品轉運需使用密封袋或密封箱做不可視處理，封口處需加貼常有編號的封條，加封及拆封時需登記，封條號以便追蹤。5.3.5.4.報廢品須銷毀並保留銷毀記錄,仓库負責執行或監督廠商執行。5.3.6.人員管理5.3.6.1.各部門按“信息安全關鍵崗位”定義提報清單給HR制定《關鍵崗位人員清單》，各部門根據實際人員變動及時更新提交給HR更新。5.3.6.2.《關鍵崗位人員清單》內容至少包括:工号、部門、是否簽核专项保密协议、是否岗前培训、信用等级調查、相關IT權限等。5.3.6.3.专案组按保密項目制定各專案《關鍵崗位名單》，按名單設置PLM等相關權限，并將關鍵崗位名單提交給HR。5.3.6.4.客戶關鍵崗位人員離職須至少有一個月的脫密期，回收關鍵信息資產。5.4.公司區域管制﹕5.4.1.公司分為非常管制區和一般管制區﹐非常管制區是指生產車間和辦公區域﹐一般管制區是指生產車間和辦公區域以外的區域（如食堂和宿舍等）。5.4.1.1.非常管制區須設門禁管制﹐RD辦公樓隻有在此區域辦公的人員才有權限刷卡進出﹐其他人員如工作需進出此區域時﹐必須填寫申請單經此區域管轄的最高主管核準後﹐方可給其開放進出權限。5.4.1.2.非常管制區域車間門口﹐須安排有公司保安二十四小時值班﹐非本厂的人員未經許可不可進出此車間。如有特殊情況﹐必須填寫進入車間的訪客申請單﹐經此车间主管同意後﹐由本车间人员陪同進出此車間。5.4.1.3.IE工