公司信息安全管制制度1

1、公司信息安全管理制度1鑫歐克公司信息安全管理制度一、信息安全指導(dǎo)方針保障信息安全，創(chuàng)造用戶價值，切實推行安全管理，積極預(yù)防風(fēng)險，完善控制措施，信息安全，人人有責(zé)，不斷提高顧客滿意度。二、計算機設(shè)備管理制度1、計算機的使用部門要保持清潔、安全、良好的計算機設(shè)備工作環(huán)境，禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。2、非本單位技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進行維修、維護時，必須由本單位相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外維修，須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。3、嚴(yán)格遵守計算機設(shè)備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設(shè)備接口，

2、計算機出現(xiàn)故障時應(yīng)及時向電腦負(fù)責(zé)部門報告，不允許私自處理或找非本單位技術(shù)人員進行維修及操作。三、操作員安全管理制度（一）操作代碼是進入各類應(yīng)用系統(tǒng)進行業(yè)務(wù)操作、分級對數(shù)據(jù)存取進行控制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設(shè)置根據(jù)不同應(yīng)用系統(tǒng)的要求及崗位職責(zé)而設(shè)置；（二）系統(tǒng)管理操作代碼的設(shè)置與管理1、系統(tǒng)管理操作代碼必須經(jīng)過經(jīng)營管理者授權(quán)取得;2、系統(tǒng)管理員負(fù)責(zé)各項應(yīng)用系統(tǒng)的環(huán)境生成、維護，負(fù)責(zé)一般操作代碼的生成和維護，負(fù)責(zé)故障恢復(fù)等管理及維護；3、系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)整理、故障恢復(fù)等操作，必須有其上級授權(quán)；4、系統(tǒng)管理員不得使用他人操作代碼進行業(yè)務(wù)操作；5、系統(tǒng)管理員

3、調(diào)離崗位，上級管理員（或相關(guān)負(fù)責(zé)人）應(yīng)及時注銷其代碼并生成新的系統(tǒng)管理員代碼；（三）一般操作代碼的設(shè)置與管理1、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成，應(yīng)按每操作用戶一碼設(shè)置。2、操作員不得使用他人代碼進行業(yè)務(wù)操作。3、操作員調(diào)離崗位，系統(tǒng)管理員應(yīng)及時注銷其代碼并生成新的操作員代碼。四、密碼與權(quán)限管理制度1、密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的代碼和標(biāo)記。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜

4、測的數(shù)字和字符串；2、密碼應(yīng)定期修改，間隔時間不得超過一個月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。3、服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。4、系統(tǒng)維護用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用。5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)

5、部門負(fù)責(zé)人須指定專人接替并對密碼立即修改或用戶刪除，同時在“密碼管理登記簿”中登記。五、數(shù)據(jù)安全管理制度1、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識。備份數(shù)據(jù)必須異地存放，并明確落實異地備份數(shù)據(jù)的管理職責(zé)；2、注意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運輸安全和保密管理，保證存儲介質(zhì)的物理安全。3、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進行逐級審批，以保證備份數(shù)據(jù)安全完整。4、數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行，出現(xiàn)問題時由技術(shù)部門進行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進行驗證、確認(rèn)，

6、確保數(shù)據(jù)恢復(fù)的完整性和可用性。5、數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認(rèn)備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存，并確保可以隨時使用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期，避免對聯(lián)機業(yè)務(wù)運行造成影響。6、需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)數(shù)據(jù)存，防止存儲介質(zhì)過期失效，通過有效的查詢、使用方法保證的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。7、非本單位技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進行維修、維護時，必須由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外維修，須經(jīng)設(shè)備管理機構(gòu)負(fù)責(zé)人批準(zhǔn)。

7、送修前，需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除，并進行登記。對修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對設(shè)備進行驗收、病毒檢測和登記。8、管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄宓|IO9、運行維護部門需指定專人負(fù)責(zé)計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，經(jīng)常進行計算機病毒檢查,發(fā)現(xiàn)病毒及時清除。10、營業(yè)用計算機未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。鑫歐克五金制品廠2010年8月20日公司信息安全管理制度4信息安全管理制度信息安全是指通過各種策略保證公司計算機設(shè)

8、備、信息網(wǎng)絡(luò)平臺（內(nèi)部網(wǎng)絡(luò)系統(tǒng)及ERP、CRM、WMS.網(wǎng)站、企業(yè)郵箱等）、電了數(shù)據(jù)等的安全、穩(wěn)定、正常，旨在規(guī)范與保護信息在傳輸、交換和存儲、備份過程中的機密性、完整性和真實性。為加強公司信息安全的管理，預(yù)防信息安全事故的發(fā)生，特制定本管理制度。本制度適用于使用新合程計算機設(shè)備、信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的所有人員。1.訃算機設(shè)備安全管理1-1員工須使用公司提供的計算機設(shè)備（特殊情況的，經(jīng)批準(zhǔn)許可的方能使用自己的計算機），不得私自調(diào)換或拆卸并保持清潔、安全、良好的計算機設(shè)備工作環(huán)境，禁止在計算機使用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。2嚴(yán)格遵守計算機設(shè)備使用、開機、關(guān)機等

9、安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機組件，當(dāng)計算機出現(xiàn)硬件故障時應(yīng)及時向信息技術(shù)部報告，不允許私自處理和維修。1. 3員工對所使用的計算機及相關(guān)設(shè)備的安全負(fù)責(zé)，如暫時離開座位時須鎖定系統(tǒng)，移動介質(zhì)自行安全保管。未經(jīng)許可，不得私自使用他人計算機或相關(guān)設(shè)備，不得私自將計算機等設(shè)備帶離公司。廠4因工作需要借用公司公共筆記本的，實行“誰借用、誰管理”的原則，切實做到為工作所用，使用結(jié)束后應(yīng)及時還回公司。2.電子資料文件安全管理。2.1 文件存儲重要的文件和工作資料不允許保存在C盤（含桌面），同時定期做好相應(yīng)備份，以防丟失；不進行與工作無關(guān)的下載、游戲等行為，定期查殺病毒與清理垃圾文

10、件；拷貝至公共計算機上使用的相關(guān)資料，使用完畢須注意刪除；各部門自行負(fù)責(zé)對存放在公司文件服務(wù)器P盤的資料進行審核與安全管理；若因個人原因造成數(shù)據(jù)資料泄密、丟失的，將由其本人承擔(dān)相關(guān)后果。2. 2文件加密涉及公司機密或重要的信息文件，所有人員需進行必要加密并妥善保管；若因保管不善，導(dǎo)致公司信息資料的外泄及其他損失，將由其本人承擔(dān)一切責(zé)任。2. 3文件移動嚴(yán)禁任何人員以個人介質(zhì)光盤、U盤、移動硬盤等外接設(shè)備將公司的文件資料帶離公司。若因出差等原因需要拷貝文件資料到存儲設(shè)備中，需要向上級請示批準(zhǔn)，并以公司存儲設(shè)備做文件拷貝。2. 4文件轉(zhuǎn)移若員工離職，在辦完移交手續(xù)時，所在部門負(fù)責(zé)人將此員工工作資料

11、拷貝至部門保存（可聯(lián)系信息技術(shù)部進行技術(shù)支持），若沒有執(zhí)行此操作流程，離職員工損失的任何資料由該部門自行承擔(dān)。3軟件安全管理3.1 軟（軟件原始盤片）、硬件設(shè)備的原始資料（光盤、說明書、保修卡、許可證協(xié)議、合同正本等）應(yīng)交總裁辦保管，保管應(yīng)做到防水、防磁、防火、防盜。3. 2服務(wù)器、PC機須安裝殺毒軟件，定期病毒庫更新及病毒查殺；任何人不得安裝危害公司計算機及網(wǎng)絡(luò)的任何軟件。4. 3信息技術(shù)部對各信息系統(tǒng)軟件、數(shù)據(jù)庫軟件、常用辦公軟件等進行備份存儲，做好版本控制及相關(guān)更新。3. 4員工須嚴(yán)格遵守公司計算二機使用管理規(guī)定中軟件管理的相關(guān)規(guī)范。4信息系統(tǒng)的安全管理各信息系統(tǒng)（MAIL、ERP、CR

12、M、WMS、WEB全管理等）的安要求，參考相應(yīng)的信息系統(tǒng)管理規(guī)定。5數(shù)據(jù)庫安全管理信息技術(shù)部須采用循環(huán)的完全備份和增量備份等備份策略，完成對各信息系統(tǒng)數(shù)據(jù)的定期備份，以便在信息系統(tǒng)發(fā)生故障時將數(shù)據(jù)恢復(fù)到最佳狀態(tài)。對備份的數(shù)據(jù)文件應(yīng)妥善保管，防止被非法拷貝或毀壞，嚴(yán)禁未經(jīng)授權(quán)將數(shù)據(jù)庫拷貝出系統(tǒng)，轉(zhuǎn)給任何單位或人員。6密碼安全管理6.1初始密碼須及時更改，新密碼須包含無規(guī)則的字母、數(shù)字、符號組合并至少10位以上，禁止直接使用常用單詞、人名、電話號碼等安全系數(shù)低的字符作為密碼。6. 2各用戶需對所使用電腦、信息系統(tǒng)等密碼進行定期（如3個月）更改，如出現(xiàn)密碼泄露或異常時，須立馬更改并告知信息技術(shù)部。7

13、. 3各服務(wù)器、信息系統(tǒng)的超級或管理員級密碼由分管系統(tǒng)管理員及信息技術(shù)部經(jīng)理雙重管理，信息技術(shù)部經(jīng)理掌握全部設(shè)備、全部系統(tǒng)的超級或管理員級密碼，分管管理員擁有分管系統(tǒng)的管理員級密碼（部分視情況授予超級密碼）；正常情況下，此類管理級密碼每1個月系統(tǒng)管理員必須更改一次并將新密碼報備，在有信息技術(shù)部人員變動、密碼外余名或其它異常情況下，必須第一時間更換并將新密碼報備。此類管理級賬號與密碼原則上不對其它任何人員提供，特殊需求須報上級領(lǐng)導(dǎo)批準(zhǔn)方可授予。7.信息安全禁止行為：7.1 利用公司信息系統(tǒng)平臺、網(wǎng)絡(luò)制作、傳播、復(fù)制危害公司及員工的有關(guān)任何信息；7. 2攻擊、入侵他人計算機，未經(jīng)允許使用他人計算機設(shè)備、信息系統(tǒng)等；7. 3未經(jīng)授權(quán)對信息平臺ERP、CRM、WMS、網(wǎng)站、企業(yè)郵件系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序）進行增