企業(yè)信息安全管理條例

1、精品文檔信息安全管理條例第一章信息安全概述1.1 、公司信息安全管理體系信息是一個組織的血液， 它的存在方式各異?？梢允谴蛴?，手寫，也可以是電子，演示和口述的。當今商業(yè)競爭日趨激烈，來源于不同渠道的威脅，威脅到信息的安全性。這些威脅可能來自內部，外部，意外的，還可能是惡意的。隨著信息存儲、發(fā)送新技術的廣泛使用，信息安全面臨的威脅也越來越嚴重了。信息安全不是有一個終端防火墻，或者找一個 24 小時提供信息安全服務的公司就可以達到的， 它需要全面的綜合管理。 信息安全管理體系的引入，可以協(xié)調各個方面的信息管理， 使信息管理更為有效。信息安全管理體系是系統(tǒng)地對組織敏感信息進行管理， 涉及到人，程序和

2、信息科技系統(tǒng)。改善信息安全水平的主要手段有：1) 安全方針：為信息安全提供管理指導和支持；2) 安全組織：在公司內管理信息安全；3) 資產分類與管理：對公司的信息資產采取適當?shù)谋Ｗo措施；4) 人員安全：減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險；5) 實體和環(huán)境安全：防止對商業(yè)場所及信息未授權的訪問、損壞及。1 歡迎下載精品文檔干擾；6) 通訊與運作管理：確保信息處理設施正確和安全運行；7) 訪問控制：妥善管理對信息的訪問權限；8) 系統(tǒng)的獲得、開發(fā)和維護：確保將安全納入信息系統(tǒng)的整個生命周期；9) 安全事件管理：確保安全事件發(fā)生后有正確的處理流程與報告方式；10) 商業(yè)活動連續(xù)性管理

3、：防止商業(yè)活動的中斷，并保護關鍵的業(yè)務過程免受重大故障或災害的影響；11) 符合法律：避免違反任何刑法和民法、法律法規(guī)或者合同義務以及任何安全要求。1.2 、信息安全建設的原則1) 領導重視，全員參與；2) 信息安全不僅僅是 IT 部門的工作，它需要公司全體員工的共同參與；3) 技術不是絕對的；4) 信息安全管理遵循“七分管理，三分技術”的管理原則；5) 信息安全事件符合“二、八”原則；6) 20%的安全事件來自外部網絡攻擊， 80%的安全事件發(fā)生在公司內部；7) 管理原則 : 管理為主，技術為輔，內外兼防，發(fā)現(xiàn)漏洞，消除隱患，。2 歡迎下載精品文檔確保安全。1.3 、信息安全管理體系建設的目

4、的1) 保障 ERP系統(tǒng)的安全運行，控制公司信息泄密風險；2) 提高企業(yè)員工對安全的認識和對安全管理的參與；3) 提高企業(yè)用戶及合作伙伴對企業(yè)的信心、信任、滿意程度；4) 提高企業(yè)信息安全管理的質量和水平；5) 使企業(yè)更有效地管理和處理信息安全事件；6) 遵守和通過相關法律法規(guī)的要求；7) 為將來企業(yè)充份利用電子商務打下重要的基礎。第二章員工信息安全規(guī)范2.1 、適用范圍本標準規(guī)定了公司員工必須遵循的個人計算機和其他方面的安全要求，規(guī)定了員工保護公司涉密信息的責任，并列出了大量可能遇到的情況下的安全要求。本標準適用于公司所有員工，包括子公司的員工， 以及其他經授權使用公司內部資源的人員。2.2

5、 、計算機安全要求。3 歡迎下載精品文檔1）計算機信息登記與使用維護：每臺由公司購買的計算機的領用、使用人變更、配置變更、報廢等環(huán)節(jié)必須經過 IT 部的登記，嚴禁私自變更使用人和增減配置；每位員工有責任保護公司的計算機資源和設備，以及包含的信息。每位員工必須把自己的計算機名字設置成固定的格式，一律采用AD域名 _所屬地區(qū)編號組成；例如某臺計算機名為 SSSS_100201，SSSS為地區(qū) AD 域名， 100 為地區(qū)編號， 201 代表該地區(qū)第 201 個賬戶。2）必須在所有個人計算機上激活下列安全控制：所有計算機（包括便攜電腦與臺式機）必須設有系統(tǒng)密碼；系統(tǒng)密碼應當符合一定程度的復雜性要求，

6、 并不定期更換密碼； 存儲在個人計算機中的包含有公司涉密信息的文件，需要加密存放。3）當員工離開辦公室或工作區(qū)域時：必須立即鎖定計算機或者激活帶密碼保護的屏幕保護程序；如果辦公室或者工作區(qū)域能上鎖， 最后一個離開的員工請鎖上辦公室或工作區(qū)域；妥善保管所有包含公司涉密內容的文件，如鎖進文件柜。4）防范計算機病毒和其他有害代碼：每位員工由公司配備的計算機上都必須安裝和運行公司授權使。4 歡迎下載精品文檔用的防病毒軟件；員工必須開啟防病毒軟件實時掃描保護功能， 至少每周進行一次全硬盤掃描，在網絡條件許可的情況下每天進行一次病毒庫文件的更新；如果員工發(fā)現(xiàn)未能處理的病毒， 應立即斷開局域網連接， 以免病

7、毒在局域網內部交叉感染，并及時向公司 IT 部門匯報。5）軟件的使用：員工不得私自在計算機上安裝公司禁止的軟件， 公司禁止安裝的軟件包括但不限于： BT等 P2P軟件、Sniffer 等流量監(jiān)控軟件及黑客軟件、 P2P終結者、網絡執(zhí)法官之類的網絡管理軟件；工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件；公司員工的機器上必須安裝并開啟功能的軟件有： 金山企業(yè)版防病毒軟件、 Office2010 、360 瀏覽器、 IE8.0 升級包、 Winrar 、固網打印服務；如果由于使用未經公司授權的且沒有許可的軟件造成公司損失，員工需要承擔全部責任。6）文件的共享：員工在使用文件共享時，必須將其設置為

8、受限共享；禁止使用基于互聯(lián)網的 P2P軟件和共享服務，如：BT、eMule 等；不得在計算機上配置匿名 FTP、TFTP、HTTP，或其他無需驗證的。5 歡迎下載精品文檔服務；例如：員工不得在公司的計算機上私自架設匿名FTP；未經 IT 部門許可，不得在使用 ERP系統(tǒng)的計算機上使用 U 盤或移動硬盤。如因業(yè)務需要， 必須要訪問其他人的硬盤。當定義共享權限時，員工必須設定用戶權限、設定訪問密碼，并及時取消所定義的共享。7）郵件的發(fā)送與接收：禁止使用公司的計算機散布、 回復、轉發(fā)連鎖郵件、惡作劇郵件；禁止將涉及公司秘密的內部郵件轉發(fā)到互聯(lián)網上。8）公司涉密信息的保護：公司涉密信息包括但不限于公司

9、數(shù)據庫中的秘密信息， 與公司目前或未來產品、 服務或研究有關的公司技術或科技信息， 業(yè)務或營銷計算、營銷收益或其他財務資料、人事資料，以及軟件等技術信息、經營信息等；公司的員工會接觸到公司的涉密信息。 員工禁止在未經公司授權的情況下泄漏這些信息， 并且必須遵守公司為保護此信息而制定的各項標準和流程；每個員工只能接觸使用與本崗位工作相關的涉密信息， 禁止從非正常途徑獲取公司或部門的涉密信息；禁止非授權復制涉密信息；對公司文檔的保管、存檔、發(fā)送、刪除、銷毀、復制等必須遵守。6 歡迎下載精品文檔公司相關的文檔保密管理規(guī)定；禁止使用提供翻譯服務的互聯(lián)網站來翻譯公司的涉密信息；公司涉密信息盡量避免通過互

10、聯(lián)網傳送，但由于工作需要， 需要通過電子郵件等方式發(fā)送公司涉密信息時，可以采用 Winrar 加密壓縮的方式把涉密內容作為附件發(fā)送， 然后通過其他渠道告知對方加密密碼。9）公司信箱的帳戶及密碼所有的密碼必須符合如下條件：至少 8 個字符長，并且包含英文、數(shù)字及特殊字符；禁止把用戶名用作密碼或其一部分；舊密碼中任何三個連續(xù)的字符盡量不要連續(xù)出現(xiàn)在新密碼中；公司要求員工至少每 30 天更換一次密碼。10）內部網絡使用規(guī)則禁止在網絡上偽裝為他人身份；不得私自安裝網絡管理軟件， 監(jiān)控網絡流量或者妨礙他人使用網絡資源；不得對公司網絡或服務器以及網絡中他人電腦運行安全掃描程序或者惡意攻擊；未經 IT 部允

11、許，不得增加網絡設備到公司的網絡中，嚴禁私自購買路由器、交換機接入公司網絡等行為；。7 歡迎下載精品文檔宿舍區(qū)電腦大部分屬于員工私人計算機，禁止將公司數(shù)據及其他涉及到公司機密的電子文件傳入私人計算機中；第三章公司信息安全管理檢查執(zhí)行規(guī)定3.1 檢查原則根據違規(guī)行為的性質、 造成的后果及違規(guī)人的主觀意愿對違規(guī)行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權限審核不當， 造成公司安全制度和措施難以落實，安全管理工作混亂的部門，部門負責人須承擔領導責任。 對違反信息安全管理規(guī)定者，如其直接領導有明顯管理和指導不力的須承擔連帶責任。3.2 檢查方式公司技術部門抽調網絡管理人員，不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件，排查違規(guī)電腦，追究相關當事人。3.3 檢查結果對于故意盜竊、 泄露公司保密信息的， 或故意違反信息安全管理規(guī)定，性質特別嚴重造成重大損失的， 給予罰款、