信息安全管理程序.docx

信息安全管理程序1.目的 为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。2.1权责2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。2.2.3全体员工：按照管理要求进行执行。3.内容3.1公司保密资料：3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。3.1.2公司有关供货商资料，货源情报和供货商调研资料。3.1.3公司生产、设计数据，技术数据和生产情况。3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。3.2公司的信息安全制度3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2.4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。3.2.4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位置。3.2.6 全体员工自觉遵守保密基本准则，做到：不该说的机密，绝对不说，不该看的机密，绝对不看(含超越自己职责、业务范围的文件、数据、电子文文件)。3.2.7员工应严格遵守本规定，保守公司秘密，发现他人泄密，立即上报，避免或减轻损害后果。3.2.8所有公司文档，应该存放于授权的文件夹或分类数据库内，数据由IT每日统一备份。可分为每天日备份、每周完整备份,每月每季的备份。确保数据一旦遗失都可以从备份数据找回相应的数据备份;且数据均存放于第三方。3.2.9存储于计算机本地的机密文件，用户应该设置保护密码或将其存入相应的设有访问权限控制的档夹内。3.2.10使用者使用计算机过程中发现故障或是要安装与工作有关的软件与硬件等,可直通知IT进行咨询所需要求服务的问题，IT于收到单据按情况急紧做出判断，一般十五分钟至二十分钟内为其提供服务。3.2.11与工作有关必须上Internet网或使用Email的使用者,按规定先填写权限申请表,由本部门主管同意并最高主管核准方可生效。3.2.12新使用者使用计算机首先申请一计算机账号，填写权限申请表;经部门主管批准后，IT按要求进行处理。一旦离职有新使用者继续使用也要重新申请新账号,不可续继使用离职者账号。3.2.13公司其它通讯设施管理规定：1）公司的电话只用于公司的内部联系工作所用。2）要开通可以拔打外线电话功能，则需填请递交新增电话申请,若要开放到国际长途必须最高主管核准，根据工务专业人员设置的密码方可拨打外线。电话密码必须设置使用相应的权限，如惠州市本地市话、广东境内长途、国内长途及国际长途。任何员工必须对自己所授权使用的电话密码保密。3）公司的打印机、传真机，只限于工作联系之用，严禁公司员工私自进行个人联系和进行危害公司利益的操作。3.3安全保密措施：3.3.1对不明来历的邮件不要查看或尝试打开，直接删除，以避免计算机感染病毒或木马，或尽快请IT来检查。3.3.2 在附件中如出现一些附加名是EXE、COM等可执行的附件或其它可疑附件时，请先用杀毒软件详细查杀后再使用，或请IT处理。3.3.3 不要随便尝试不明的或不熟悉的计算机操作步骤；遇到计算机发生异常而自己无法解决时，就立即通知IT解决。3.3.4不要随便运行或删除计算机上的文件或程序，不要随意更改计算机参数等。3.3.5先以加密技术保护敏感的数据文件，然后再通过公司网络及互联网进行传送。3.3.6关闭电子邮件所具有自动处理电子邮件附件功能，关闭电子邮件应用系统或其它应用软件中可自动处理的功能，以防计算机病毒入侵。3.3.7任何人未经计算机用户本人同意，不得使用他人的计算机。如有需要，应有人在其身旁监督。3.3.8不要随意将公司或个人的文档发送给他人或给他人查看和使用。对任何异常情况应急时向IT人员报告。3.3.9每一计算机用户都有一开机密码和网络账号密码，此密码的保护时间为三个月更换一次。3.3.10一般性工作计算机不允许光驱，计算机如有光驱的要求，必须经过人事部批准和确认，并要求在每次使用磁盘都要用杀毒软件检查。3.3.11未经公司允许，公司网络内部的计算机禁止使用移动存储设备。包括如光驱、软驱、移动硬盘、U盘等。3.3.12由IT人员负责所有计算机及相关设备的检测、日常保养工作，还负责对防范措施的落实情况进行监督。3.3.13未经授权，用户不得在个人计算机、网络服务器或其它设备（如笔记本计算机及独立式计算机）上安装任何软件。3.3.14任何外来计算机、网络等相关设备不得连接进入公司内部网络。需要连接进入公司内部网络的设备，在经过主管以上批准后，并需经过IT人员的检查、杀毒和确认。3.1.15未经授权批准，任何属于公司财产的计算机、网络等相关设备不得带出公司外。3.4使用违规处理规定：凡是发现以下情况的，IT会将相关证据提交给人事部根据实际情况追究当事人及其相关人员的责任;并给于相当的处分。3.4.1因非法操作而引起的计算机感染病毒；3.4.2私自安装和使用未经许可的软件；3.4.3擅自使用他人计算机或造成不良影响或损失；3.4.4凡发现由于违章作业、保管不当或擅自安装、使用硬件而造成硬件损坏或丢失的；3.4.5凡是私自复制、删除计算机内资料者；3.5 安全事件防范与处理：3.5.1 IT定期或不定期检查信息系统使用记录。对于在非工作时间大量使用系统资源，多次尝试未授权账户名、密码，试图暴力破解网络关卡，大量复制、删除、修改数据等予以阻止并通知其部门经理，情节严重的，IT将通知其部门经理及人事部门联合处理。4.相关的文件4.1试用期管理程序4.2奖惩管理程序4.3培训管理程序5.相关表单5.1权限申请表5.2电脑安全及密码(开机、屏保)更改记录5.3计算机编号及登记记