公司信息管理標(biāo)準(zhǔn)規(guī)定

企業(yè)信息管理要求第一章總則第一條目標(biāo)為了加強(qiáng)企業(yè)信息管理力度、提升信息管理水平，特制訂本管理要求。第二條適用范圍本管理要求適適用于企業(yè)范圍內(nèi)信息管理。第三條依據(jù)文件《中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《信息系統(tǒng)安全管理要求》第二章職責(zé)第四條企業(yè)信息中心關(guān)鍵工作職責(zé)：負(fù)責(zé)制訂信息系統(tǒng)相關(guān)制度編制、修訂、解釋。負(fù)責(zé)企業(yè)范圍內(nèi)網(wǎng)絡(luò)信息工作全方面管理、組織協(xié)調(diào)。配合完成網(wǎng)絡(luò)安全、技術(shù)服務(wù)咨詢、網(wǎng)絡(luò)運(yùn)行維護(hù)、遠(yuǎn)程幫助和專業(yè)軟件和辦公管理平臺(tái)建立和維護(hù)等工作。負(fù)責(zé)組織、開展企業(yè)信息系統(tǒng)日常管理工作，并對(duì)各單位信息系統(tǒng)管理工作進(jìn)行監(jiān)督、指導(dǎo)和服務(wù)。負(fù)責(zé)幫助總部信息和文檔中心開展業(yè)務(wù)應(yīng)用軟件和信息系統(tǒng)引進(jìn)、開發(fā)、管理及技術(shù)支持等工作。第五條各部門、各單位職責(zé)：負(fù)責(zé)在業(yè)務(wù)開展過程中，對(duì)相關(guān)信息搜集、整理、錄入、處理、儲(chǔ)存、傳輸和應(yīng)用管理。對(duì)所需信息系統(tǒng)設(shè)備、軟件提出需求意見，負(fù)責(zé)設(shè)備日常保養(yǎng)和統(tǒng)計(jì)工作，做好軟件使用、維護(hù)、推廣工作。負(fù)責(zé)配合企業(yè)信息中心實(shí)施該管理要求。第三章管理要求第六條定義信息系統(tǒng)：指由計(jì)算機(jī)及其相關(guān)配套設(shè)備、設(shè)施（含網(wǎng)絡(luò)）組成，根據(jù)一定應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存放、傳輸、檢索等處理人機(jī)系統(tǒng)。軟件分為系統(tǒng)軟件和應(yīng)用軟件（1）系統(tǒng)軟件：指為管理、控制和維護(hù)計(jì)算機(jī)及外部設(shè)備，和提供計(jì)算機(jī)和用戶界面軟件。多種語言和它們匯編或解釋、編譯程序、計(jì)算機(jī)監(jiān)控管理程序(Monitor)、調(diào)試程序(Debug)、故障檢驗(yàn)和診療程序、程序庫、數(shù)據(jù)庫管理程序、操作系統(tǒng)(OS)。（2）應(yīng)用軟件（applicationsoftware）：用戶能夠使用多種程序設(shè)計(jì)語言，和用多種程序設(shè)計(jì)語言編制應(yīng)用程序集合。第七條信息系統(tǒng)建立信息系統(tǒng)設(shè)備需求申請(qǐng)步驟詳見附件一信息系統(tǒng)管理平臺(tái)建立信息系統(tǒng)管理平臺(tái)（OA平臺(tái)）由總部信息和文檔中心建立，OA平臺(tái)賬戶各部門、各單位提供職員名單，并根據(jù)部門職責(zé)確定訪問權(quán)限，由總部信息和文檔中心給配置。第八條信息系統(tǒng)使用管理信息系統(tǒng)設(shè)備日常管理和保養(yǎng)由使用單位/部門負(fù)責(zé)，企業(yè)本部機(jī)房共用總部中心機(jī)房由總部信息和文檔中心統(tǒng)一管理?？偛恐行臋C(jī)房及公用使用設(shè)備由信息和文檔中心負(fù)責(zé)，各單位機(jī)房及公共使用設(shè)備由信息組負(fù)責(zé)。軟件日常管理和版本升級(jí)，網(wǎng)絡(luò)版由信息和文檔中心統(tǒng)一負(fù)責(zé)，單機(jī)版由使用單位/部門負(fù)責(zé)。工作調(diào)動(dòng)、離職等原因調(diào)離本崗位職員，離任前須向原單位移交保管使用信息系統(tǒng)設(shè)備及軟件資料，并辦理交接手續(xù)。接入企業(yè)網(wǎng)絡(luò)由部門提出申請(qǐng)，企業(yè)本部由企業(yè)信息和文檔中心負(fù)責(zé)，各單位由信息組負(fù)責(zé)接入。未經(jīng)許可，嚴(yán)禁私自將外部計(jì)算機(jī)接入企業(yè)內(nèi)網(wǎng)。各部門、各單位定時(shí)對(duì)崗位異動(dòng)、退休職員、新增管理人員進(jìn)行梳理，立即通知信息和文檔中心做對(duì)應(yīng)刪減或權(quán)限變更。OA平臺(tái)信息公布由各單位部門經(jīng)理及責(zé)任人審核。各單位每十二個(gè)月末將信息系統(tǒng)設(shè)備、軟件使用情況按總部相關(guān)要求報(bào)送企業(yè)信息中心，信息中心將相關(guān)信息匯總分析后報(bào)總部信息和文檔中心。信息系統(tǒng)設(shè)備到報(bào)廢狀態(tài)或時(shí)間時(shí)需根據(jù)企業(yè)相關(guān)程序處理。第九條信息系統(tǒng)維護(hù)管理信息系統(tǒng)設(shè)備維修維護(hù)和故障處理，企業(yè)由信息中心配合總部信息和文檔中心負(fù)責(zé)，各單位由信息組負(fù)責(zé)。第十條信息系統(tǒng)安全管理信息系統(tǒng)安全管理要求信息安全管理要求是保護(hù)企業(yè)信息財(cái)產(chǎn)，以預(yù)防偶然或未授權(quán)者對(duì)信息惡意泄露、修改和破壞，從而造成信息不可靠或無法處理等，使得我們?cè)谧畲蟪潭鹊乩眯畔槲覀兎?wù)同時(shí)而不招致?lián)p失或使損失降到最小。信息安全實(shí)現(xiàn)目標(biāo)（1）真實(shí)性:對(duì)信息起源進(jìn)行判定，能對(duì)偽造起源信息給予判別;（2）保密性：確保機(jī)密信息不被竊聽，或竊聽者不能了解信息真實(shí)含義;（3）完整性:確保數(shù)據(jù)一致性，預(yù)防數(shù)據(jù)被非法用戶篡改;（4）可用性:確保正當(dāng)用戶對(duì)信息和資源使用不會(huì)被不正當(dāng)?shù)鼐芙^;（5）不可抵賴性:建立有效責(zé)任機(jī)制，預(yù)防用戶否認(rèn)其行為;（6）可控制性:對(duì)信息傳輸及內(nèi)容含有控制能力;（7）可審查性:對(duì)出現(xiàn)網(wǎng)絡(luò)信息安全問題提供調(diào)查依據(jù)和手段。（三）信息安全管理相關(guān)要求信息系統(tǒng)建設(shè)必需嚴(yán)格遵守《保密法》、《企業(yè)保密管理暫行要求》等相關(guān)要求，采取必需安全方法，確保企業(yè)及國家秘密安全。各部門、各單位應(yīng)確定專員負(fù)責(zé)本部門、本單位信息安全和保密工作，定時(shí)升級(jí)殺毒軟件，檢驗(yàn)指導(dǎo)信息安全保密工作落實(shí)情況。計(jì)算機(jī)使用人員應(yīng)設(shè)置開機(jī)密碼或屏保密碼，確保業(yè)務(wù)工作形成資料、文件等信息安全，關(guān)鍵信息資料加密保留。對(duì)于存放過國家涉密信息計(jì)算機(jī)信息媒體或載體（硬盤、軟盤、磁帶機(jī)其它存放設(shè)備），未經(jīng)脫密處理，嚴(yán)禁在連接互聯(lián)網(wǎng)計(jì)算機(jī)上使用。涉密計(jì)算機(jī)由企業(yè)保密辦公室統(tǒng)一管理，授權(quán)使用，涉密計(jì)算機(jī)不得連接互聯(lián)網(wǎng)，不得和非涉密計(jì)算機(jī)之間交叉使用移動(dòng)介質(zhì)。企業(yè)商業(yè)秘密和信息資料，嚴(yán)禁在互聯(lián)網(wǎng)公開公布。軟件應(yīng)用要立即做好數(shù)據(jù)備份，單機(jī)版應(yīng)用軟件日常備份由使用單位部門自行負(fù)責(zé)；網(wǎng)絡(luò)版應(yīng)用軟件數(shù)據(jù)備份，數(shù)據(jù)庫在總部中心機(jī)房由信息和文檔中心負(fù)責(zé)，數(shù)據(jù)庫在各單位由信息組負(fù)責(zé)；特殊數(shù)據(jù)由業(yè)務(wù)主管部門負(fù)責(zé)。安全保密制度a)為確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密制度系統(tǒng)正常運(yùn)行，特制訂本制度;為預(yù)防病毒造成嚴(yán)重后果，對(duì)外來光盤、軟件、移動(dòng)硬盤、U盤等要嚴(yán)格管理，標(biāo)準(zhǔn)上不許可外來光盤、軟件、移動(dòng)硬盤、U盤等在內(nèi)部局域網(wǎng)計(jì)算機(jī)上使用。確因工作需要使用，事先必需進(jìn)行防(殺)毒處理，證實(shí)無病毒感染后，方可使用;接入網(wǎng)絡(luò)計(jì)算機(jī)嚴(yán)禁將計(jì)算機(jī)設(shè)定為網(wǎng)絡(luò)共享，嚴(yán)禁將機(jī)內(nèi)文件設(shè)定為網(wǎng)絡(luò)共享文件;為預(yù)防黑客攻擊和網(wǎng)絡(luò)病毒侵襲，接入網(wǎng)絡(luò)計(jì)算機(jī)一律安裝殺毒軟件，并要定時(shí)對(duì)病毒庫進(jìn)行升級(jí)，每七天對(duì)計(jì)算機(jī)病毒進(jìn)行一次查殺檢驗(yàn);嚴(yán)禁將駐留有內(nèi)部資料和涉密信息計(jì)算機(jī)私自連入因特網(wǎng):在使用電子郵箱傳輸、下載郵件時(shí)，必需優(yōu)異行病毒查殺，以免感染病毒:加強(qiáng)對(duì)上網(wǎng)人員保密意識(shí)教育，提升上網(wǎng)人員保密觀念，增強(qiáng)防范意識(shí)，自覺實(shí)施保密要求。b)涉密電子文件、圖紙、存放介質(zhì)保密管理要求涉密存放介質(zhì)是指存放了涉密信息硬盤、光盤、軟盤、移動(dòng)硬盤及U盤等;屬于保密電子文件、電子圖紙、電子資料、移動(dòng)介質(zhì)等，全部必需在顯要位置注明文件密級(jí)，并進(jìn)行嚴(yán)格管理，未經(jīng)同意，不得私自傳輸、翻印復(fù)制，同意翻印復(fù)制時(shí)，檔案管理部門要有登記:各項(xiàng)目經(jīng)理部全部電子文件未經(jīng)許可不得拷貝、轉(zhuǎn)存、竊取:存有涉密信息存放介質(zhì)不得接入或安裝在非涉密計(jì)算機(jī)或低密級(jí)計(jì)算機(jī)上，不得轉(zhuǎn)借她人，不得帶出工作區(qū)，下班后存放在本單位指定柜中;各單位及各部門負(fù)責(zé)管理其使用各類涉密存放介質(zhì)，應(yīng)該依據(jù)相關(guān)要求確定密級(jí)及保密期限，并視同紙制文件，按對(duì)應(yīng)密級(jí)文件進(jìn)行分密級(jí)管理，嚴(yán)格借閱、使用、保管及銷毀制度。借閱、復(fù)制、傳輸和清退等必需嚴(yán)格推行手續(xù)，不能降低密級(jí)使用;不再使用涉密存放介質(zhì)應(yīng)由使用者提出匯報(bào)，由單位領(lǐng)導(dǎo)同意后，交主管領(lǐng)導(dǎo)監(jiān)督專員負(fù)責(zé)定點(diǎn)銷毀;對(duì)錄有秘密內(nèi)容錄音帶、錄象帶管理，嚴(yán)格實(shí)施保管制度，未經(jīng)同意，不得外借。復(fù)印秘密以上文件、圖紙、資料時(shí)，必需按要求推行審批手續(xù)，復(fù)印件要同原件一樣登記、保管，不得私自多印留存或轉(zhuǎn)給她人。c)數(shù)據(jù)安全保密要求存放備份數(shù)據(jù)介質(zhì)必需含有明確標(biāo)識(shí)。備份數(shù)據(jù)必需異地存放，并明確落實(shí)異地備份數(shù)據(jù)管理職責(zé);注意計(jì)算機(jī)關(guān)鍵信息資料和數(shù)據(jù)存放介質(zhì)存放、運(yùn)輸安全和保密管理，確保留放介質(zhì)物理安全;任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)使用及存放數(shù)據(jù)設(shè)備或介質(zhì)調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必需嚴(yán)格根據(jù)程序進(jìn)行逐層審批，以確保備份數(shù)據(jù)安全完整;數(shù)據(jù)恢復(fù)前，必需對(duì)原環(huán)境數(shù)據(jù)進(jìn)行備份，預(yù)防有用數(shù)據(jù)丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按攝影關(guān)要求實(shí)施，出現(xiàn)問題時(shí)由各單位信息管理組進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，必需進(jìn)行驗(yàn)證、確定，確保數(shù)據(jù)恢復(fù)完整性和可用性;數(shù)據(jù)清理前必需對(duì)數(shù)據(jù)進(jìn)行備份，在確定備份正確后方可進(jìn)行清理操作。歷次清理前各份數(shù)據(jù)要依據(jù)各份策略進(jìn)行定時(shí)保留或永久保留，并確保能夠隨時(shí)使用。數(shù)據(jù)清理實(shí)施應(yīng)避開業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響;需要長久保留數(shù)據(jù)，數(shù)據(jù)管理部門需和相關(guān)部門制訂轉(zhuǎn)存方案，依據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)使用期內(nèi)進(jìn)行轉(zhuǎn)存，預(yù)防存放介質(zhì)過期失效，經(jīng)過有效查詢、使用方法確保數(shù)據(jù)完整性和可用性。轉(zhuǎn)存數(shù)據(jù)必需有具體文檔統(tǒng)計(jì)。非本單位技術(shù)人員對(duì)本企業(yè)設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必需由本企業(yè)相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)責(zé)任人同意。送修前，需將設(shè)備存放介質(zhì)內(nèi)相關(guān)經(jīng)營管理等涉密信息備份后刪除，并進(jìn)行登記。對(duì)維修返回設(shè)備，信息管理組人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)和登記。d)計(jì)算機(jī)信息系統(tǒng)安全保密管理計(jì)算機(jī)信息系統(tǒng)應(yīng)用實(shí)現(xiàn)安全保密等級(jí)保護(hù)。安全等級(jí)劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)具體方案由各項(xiàng)目部計(jì)算機(jī)信息管理組制訂，各項(xiàng)目部領(lǐng)導(dǎo)審定同意;計(jì)算機(jī)機(jī)房建設(shè)應(yīng)該符合國家標(biāo)準(zhǔn)和國家相關(guān)要求。在計(jì)算機(jī)機(jī)房周圍施工，不得危害計(jì)算機(jī)信息系統(tǒng)安全，在計(jì)算機(jī)信息系統(tǒng)線路周圍施工前必需通知信息管理組;計(jì)算機(jī)信息系統(tǒng)應(yīng)用部門應(yīng)該加強(qiáng)本部門計(jì)算機(jī)信息安全管理，預(yù)防內(nèi)部保密信息流失:項(xiàng)目部計(jì)算機(jī)信息系統(tǒng)建設(shè)和應(yīng)用，應(yīng)根據(jù)相關(guān)法律、行政法規(guī)和國家/企業(yè)安全保密要求，同時(shí)落實(shí)對(duì)應(yīng)安全保密方法:涉密信息處理場(chǎng)所要定時(shí)或依據(jù)需要進(jìn)行保密技術(shù)檢驗(yàn);對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生安全和泄密事件，相關(guān)使用部門應(yīng)該立即向信息管理組和項(xiàng)目部領(lǐng)導(dǎo)匯報(bào);對(duì)項(xiàng)目部信息系統(tǒng)內(nèi)計(jì)算機(jī)病毒和危害社會(huì)公共安全其它有害數(shù)據(jù)防治研究工作，由信息管理組歸口管理。5.3.2安全保密監(jiān)督各項(xiàng)目部信息管理組對(duì)各項(xiàng)目部信息安