信息安全管理規(guī)范

本文格式為Word版，下載可任意編輯——信息安全管理規(guī)范

附件一、《四川強力建筑機械有限公司信息安全管理制度建議（參考）》

一、總則

為了加強計算機信息的保密和安全管理，確保公司信息系統(tǒng)的正常運行和公司核心數(shù)字知識產權的保護，根據《信息安全管理體系要求（ISO27001）》和《信息安全管理體系實施指南（ISO17799/BS7799）》，結合本公司的實際狀況，特制定本規(guī)定。

凡使用本公司涉密計算機信息系統(tǒng)進行信息存儲、處理、傳遞的部門和個人，都應當遵守本規(guī)定。

計算機信息系統(tǒng)的保密和安全管理，實行控制源頭、歸口管理、分級負責、突出重點和有利工作的原則。

信息中心負責涉密內網計算機信息系統(tǒng)的保密技術體系的建設；信息中心和公司行政部門負責涉密內網信息系統(tǒng)的保密監(jiān)視和檢查；信息中心專兼職保密及技術人員負責實施系統(tǒng)的運行及安全保密技術，各相關涉密部門應當指派兼職人員，協(xié)助進行涉密信息系統(tǒng)的管理工作。

二、信息的保密管理規(guī)范

任何人和部門在涉密計算機信息系統(tǒng)工作和處理公司信息，應當確保在涉密工作模式下進行相關的業(yè)務工作，主動將文件存儲在指定的保密區(qū)域中，在未經管理員的許可下，不得以任何手段將涉密文件帶出保密區(qū)域。

在涉密計算機信息系統(tǒng)中，不得私自建立除單位網絡外的其它網絡連接，如通過手機撥號、MODEM撥號和無線等方式建立新連接，嚴緊以任何方式私自連接到互聯(lián)網或者非本單位的網絡。

不得私自將外部計算機終端處理設備（包括PDA和筆記本等）通過交換機網絡或者對等網絡連接（網線交織直聯(lián)）接入涉密計算機信息系統(tǒng)中。

各種存儲設備（指計算機硬盤、移動硬盤、U盤、軟盤、磁帶及其它設備），未經允許或者未經管理員注冊的計算機信息媒體或載體，一律不得在涉密信息網絡中使用。在涉密計算機上使用移動存儲設備必需有詳細的登記和使用記錄，包括何時使用，進行了哪些操作等等。

通過移動存儲設備進行涉密信息的交換，必需在指定的范圍內的計算機和人員中進行，不得通過移動存儲設備將涉密信息帶出到非涉密網絡中。

涉密計算機終端的硬件設備和軟件程序是公司的重要資產，未經管理人員同意，任何人不得隨意拆卸和更換設備，也不得隨意安裝應用軟件。

公司有權對涉密計算機信息網絡采取系統(tǒng)安全保密監(jiān)控管理等技術措施，針對不同人員和計算機權限進行授權管理，并對內部人員的操作進行詳細的日志審計功能（包括打印、文件操作和網絡訪問等），防止進行違規(guī)操作，保護公司的數(shù)字知識產權和信息網絡的正常運行。

員工離職或者調離所在部門的時候，必需通過信