中小型企业信息安全管理规范

1、谢谢观赏中小型企业信息安全管理规范 4安全管理规范为做好 IT 外包服务工作，维护服务企业信息安全与保密工 作，加强对项目工程师的信息安全教育与培训工作， 防止由于项 目组人为原因造成泄密行为的发生， 维护客户方及公司的合法权 益，拟定如下安全管理规范进行参考学习。1、保密规范秘密文件要标识，秘密信息妥善保管，保密信息慎传递，发 现泄密快报告。2、知识产权在您正式加入阳光雨露公司时， 您会与公司签署 知识产权 及保密协议，这是一份具有法律约束力的文件，请您注意不要 违背协议中的各项条款。根据协议，您在客户方工作期间，在职 务工作中形成研究、 开发成果归属公司； 您在聘用期间以及聘用 期终止后，

2、除非为了履行自己在公司的职务或者执行国家法律的 规定，未经公司书面同意， 决不能公开发表或对其他人泄露公司 的任何商业秘密，决不能为其它目的使用公司的任何商业秘密， 决不复印、 转移含有公司商业秘密的资料， 无论这些商业秘密信 息是否是由您本人开发出来的。3、严格遵守公司及客户方的信息保密规范，在有客户方行 为保密的规范的前提下， 所有人员有责任阅读并认真填写、 履行 客户方的信息保密行为规范。如果客户方无明确信息保密规范，请严格按照公司如下定义的内容（或者客户方定义的保密内容） 履行信息保密行为。1.0 保密区域定义所有公司或者客户方的计算机机房，网络设备间/室，开发部，微机室，信息处理室，

3、电话中心，存放企业或者部门重要的 技术、管理数据和资料的办公室或者区域。2.0保密信息定义在公司或者客户方各类应用信息系统中保存的， 包含但不限 定以下内容：1）. 技术秘密技术创新方面（包括原有和新开发的、重要的、在一定时期 内具先进水平的技术项目）的调研、计划、立项、可行性分析、 方案、决策、研究试制的记录和总结、参数、技术鉴定等信息及 其记录载体。可能成为发明或专利的阶段性成果， 或已经有关部门批准的 发明或专利成果， 及对该项目成果实施效果有重大影响的技术决 窍和辅助技术。消化吸收国外先进技术并加以改进的技术工艺。产品生产、设计、创新方面的工艺配方、工艺流程、工艺条 件和技术装备要求，

4、 工艺参数、 工艺方法、操作规程、 内控标准、 成份和检测方法、 工艺技术决窍、 传统工艺和秘方的信息及其记录载体。新产品研制成本、生产能力以及实现利润预测资料。节能降耗、 提高生产效率、 质量攻关的技术决窍和技术改进 方案。科技发展规划，包括中长期发展规划、产品发展规划、设备 更新规划。2）. 营销秘密产品（商品）的库存情况、储备计划和数量、采购计划、合 同价格和采购成本。供产销计划和措施、价格调整方案、营销策略、定价依据、 销售合同、客户档案（省内外经销点及用户资料） 。企业财务管理、 财务收支、 会计报表、 会计帐簿、 会计凭证、 销售情况资料。企业发展计划、 规划及生产规模， 各项经济

5、技术指标的年度 计划和统计报表。企业资产、资金状况及企业各类经济指标。 正在或将要与外商谈判的进出口商品需求情况、 内部掌握的 方案、对外招标价格底盘及方案等影响商业谈判顺利进行的措施 和办法。引进技术项目及设备进口计划、用汇额及有关资料。3.0 其它工作秘密尚未公开的人事考察政审、评议考核、职务任免、调动、奖 惩和机构设置材料及信息。 不宜公开的企业各类档案、机要文 件和各类报表。在一定时期、 一定范围内尚未公开的企业党委会议、 部门会 议、董事会议、党政联席会议和纪检、保卫等专题会议的会议记 录、纪要及有关材料。群众来信来访和纪检、监督、审计工作中的保密事项（包括 立安、案情调查、问题分析

6、、审查和结论等） 。未公开的工程项目的标底。 未批准公开的各种事故的情况。 中央和省市的各类密级文件。4）. 信息化应用类秘密 企业现有的应用系统，应用的技术细节，应用效果等。 应用的软件的名称、数量和分布等信息。 使用的硬件的名称，数量和分布等信息。各应用系统的相关数据。各应用系统的权限密码。 与合作公司签订的合同内容，以及合同中被定义为不可公开、或者秘密的内容。各类信息化应用项目的各个阶段执行的资料、 总结， 或者相 关的附件。5). 所有标识为“机密” 、“绝密”、“秘密”等其他与计算机 或者信息化相关的信息。 4.0 安全管理要求1). 安全培训各驻场服务SSL,负责对驻场工程师含备份

7、工程师员进行信息安全和使用的宣贯和培训工作；所有新到的员工，首先应对其进行项目信息安全意识的培训；对于授权合作伙伴的人员， 要确保其理解和承担信息安全的 责任和义务 ;2). 对信息披露的控制未获得许可， 不允许私自带领公司或者客户方企业之外或本 项目组成员无关的人员参观保密区域；未获得许可， 不允许对外介绍公司或者客户方企业现有的应 用系统，应用的技术细节，应用效果等(有合作项目，并承担了 保密义务的情况除外) ；未获得许可， 不允许对外透露应用的软件的名称、 数量和分 布等信息；未获得许可， 不允许对外透露硬件的名称， 数量和分布等信 息；5.0其他相关规定各类计算机或者网络设备接入的要求： 请遵循客户方相关 IT 管理规定6.0信息安全的审计项目经理负责每月对各平台项目实施团队进行信息应用安 全的审计和评价工作， 对出现问题的平台和授权子商按照相应规 定进行处罚和通报。7.0 涉密电子信息泄密的处罚1).项目组各成