常州联通特殊通信安全管理办法.docx

常州联通特殊通信安全管理办法本规定适用于常州联通所有部门及人员，包含但不局限于财务部票据合同材料；人事部人力合同信息材料；公客、集客、校客部政策方针材料；业务能力部系统管理、用户信息材料；网络公司项目建设方案合同材料；各营销中心活动方案材料等等，内容涉及操作安全、文件存储、查询安全、保密管理和罚则。此办法为总则，各部门需根据部门实际情况，制定内部特殊通信安全管理细则。第一章 操作安全管理第一条 加强对涉密软、硬件设备（包括应用系统、操作系统、数据库及其它网络设备等）的帐号、密码、操作权限的管理。第二条 各涉密软、硬件设备使用单位应实行帐号的分权、分域管理，并遵循最小授权和权限分割原则设置不同的用户权限。第三条 禁止转让、共享各类帐号的行为，必须按规定定期更改帐户密码，由于密码保管不擅被盗用产生的后果由帐户所有人承担。第四条 涉密软、硬件设备的帐号权限实行分级管理，至少分为系统管理员、操作管理员、一般用户三级。第五条 帐号、权限的申请与变更，必须通过公司指定流程，由需求人或部门发起，经过相关领导审批，最后由系统管理员操作处理。所有申请流程需归档备案。第二章 文件存储管理第六条 涉密数据、文件必须存储在独立的存储介质中。数字版文件存储在光盘、磁带、硬盘或独立服务器等介质中；实物版文件存储在保险柜等介质中。第七条 各存储介质必须有严格的保密措施。第八条 各涉密数据、文件必须采取备份措施。包含但不局限于设立独立的备份服务器、保险柜或采取数字、实物版互为备份等方式。且备份期不小于三个月。第九条 各涉密数据、文件的存储、备份，必须建立相应的日志、台帐，详细记录操作人、帐号、时间及操作命令等，该日志也应进行安全存储。第十条 加强对数据、文件有效性的检查，对过期、失效数据、文件，进行及时销毁处理。第三章 查询安全管理第十一条 各部门增设专职（兼职）信息安全员岗位（简称信息安全员），负责本部门查询安全管理的审批、监管和稽核。第十二条 凡外部人员及公司内部非相关人员需查询涉密数据、文件，必须持有上级相关部门或领导的批准流程、证明。第十三条 外部人员及其他部门人员查询本部门涉密数据、文件时，统一由本部门信息安全员归口处理，负责相关资料的调取及查询后的收归工作。第十四条 本部门人员查询其他部门涉密数据、文件时，统一由本部门信息安全员走相关流程申请，并将相关流程、批文备份后转交需求人办理。第十五条 各部门信息安全员必须建立本部门涉密数据、文件查询日志、台帐，详细记录查询人、时间及查询内容等，并将相关流程、批文对应保存，该日志也应进行安全存储，并定期上报公司综合部备案。第四章 保密管理第十六条 严格执行保密制度，各级人员不得将涉密数据、文件等公司机密，泄露给第三方或与业务无关的单位和个人，关键岗位的员工要与公司签署保密协议。第十七条 未与我公司签订安全保密协议的，不得向外部人员、合作单位提供任何帐号权限。第十八条 对岗位工作过程中查看的涉密数据、文件信息，严禁拷贝、外传。第十九条 严格遵守通信纪律，保守通信秘密，严禁将涉密数据、文件任意抄录、复制和擅自带出公司，严禁以任何方式泄露公司机密。第二十条 所有部门信息安全员，均应熟悉并严格执行安全保密规定，加强部门内部安全保密教育，并定期检查，发现问题应及时整改。第五章 罚则第二十一条 对违反公司管理规定，擅自查询涉密资料的行为，一旦发现，按照情节严重程度，由公司纪检部门进行严肃处理