信息安全管理办法.doc

*修订履历*版次修订内容页次新版发行核准审核承办发行/制订部门签名日期1、目的为保守公司秘密，维护公司权益，控制对公司网络运行的访问权限，使应用人员得到应有的信息，并防止信息不必要的泄露和泄密。特制定本制度。2、适用范围 本文件适用于公司相关邮件；各项规章制度、流程文件、表格；与产品相关文件（ID、工模、BOM、ECO、配色、软件）等信息资料的安全保密管理。在一定时间内只限一定范围的人员知悉的事项，公司各职员都有保守公司秘密的义务。3、管理职责 总经办文控负责：负责各部门工作流程检查及公司各部门文件资料的备档管理。 网络部负责：负责各部门网络信息资料安全保密稽查。 人事部负责：负责落实各部门违规操作的处罚工作。4、定义 无5、示意流程图 无6、内容6.1邮件安全及保密管理6.1.1各部门职员邮箱由公司网络部统一分配，不允许使用私人邮箱。网络部应做好相应帐户及密码记录，原则上每个人只允许使用一个邮箱，各职员应记住自己的密码及用户名。6.1.2公司内邮箱除销售部人员邮箱（属外部邮箱），其它各部门邮箱属内部邮箱 6.1.3公司内各部门工作沟通可使用邮箱进行，（说明：销售部门人员的邮箱（外部邮箱）不能直接发往其它各部门，需经总经办文控中心转发） 6.1.4总经办分外部邮箱和内部邮箱。公司内各部门需对外发送邮件，需先发送到总经办内部邮箱，邮件需完整，写明主旨、邮件内容，注明发送地址，由总经办文控中心转发，总经办文控中心需做好相关邮件收发记录。6.1.5销售部门与各部门发送邮箱，需先发送到总经办外部邮箱，邮件需完整，写明主旨、邮件内容，注明发送地址，由总经办文控中心转发，总经办文控中心需做好相关邮件收发记录。6.1.6公司所有外来邮件由文控中心外部邮箱统一接收，转发到各相关责任人。6.2各相关规章制度、流程文件、表格安全及保密管理 6.2.1公司各部门相关规章制度、流程文件、表格原则上由相应的责任部门自行制定，经审批后交文控中心备档，统一管理。 6.2.2需发放到各部门的文件，文控中心以加盖“受控文件”章的方式受控发放，并要求责任人签字接受。具体按文件资料管理程序执行。 6.2.3不允许各部门使用私自复印的黑色“受控文件”章的文件，文控中心不定期抽查，一经发现即令回收作废。 6.2.4公司相关规章制度、流程文件、表格的电子文件由文控中心统一管理，需共享的电子文件由文控中心建立超链接功能，设定权限、密码，利用FTP软件以只读方式在局域网上共享，路径为FTP/：，各部门可自行查阅。6.3与客人产品相关文件的安全及保密管理6.3.1与公司产品相关的文件主要为立项书、ID、工模、BOM、ECO、配色方案、软件等文件。6.3.2与产品相关的一律不允许存在各项目负责人的本地硬盘，资料统一存放在网络盘，路径为：/。6.3.3总经办文控中心根据项目清单，对每个项目设定文件夹，文件夹按相应的负责人设定用户、密码进行分配。无该项目无关人员一律没有读写权力。6.3.4对于立项、BOM、ID、软件单独设定文件夹，设定权限，项目部指定专人进行管理（立项、BOM、软件项目助理负责；ID由ID指定专人负责）6.3.5文控中心应对权限及密码统一管理分配，并及时更新记录，对网络盘产品资料定期备份。6.3.5权限分配模式见下： 项目名称项目工模部共用文件夹 如： 注：“项目夹”项目完全控制权限，总监、ID、工模、助理只读权限。 “工模夹”工模完全控制权限，项目、总总监、ID、助理只读权限。 “共用夹”为与本项目人员的日常沟通类文件，项目、总监、工模、ID、助理读写权限。6.4网络安全审计系统管理6.4.1公司信息资料的安全及保密管理，由公司网管在局域网服务器安装网络安全审计系统，对设备使用、应用程序、上网行为、文件操作、网络该问等实施监控。6.4.2设备使用监控 可禁止各种类型的设备，包括：软驱、光驱（包括刻录机）、磁带驱动器、USB存储设 备、串/并口、 SCSI、IEEE1394总线、调制解调器、红外通讯设备、USB、以及笔记本电脑使用的 PCMCIA卡接口。 6.4.3应用程序监控 可以禁止运行指定的应用程序，或者只允许运行指定的应用程序。6.4.4上网行为监控 可以禁止访问指定的网站，或者只允许访问指定的网站。 6.4.5文件操作监控 可限制对指定文档的访问，限制指定的计算机或组的用户对文档进行的操作，包括访 问、创建、复制、移动、改名、删除、恢复以及文档打印等操作。 6.4.6网络访问监控 可指定禁止非法外联，禁止未安装客户端代理模块的计算机接入网络，与安装了客户 端代理的计算机进行通信。 6.4.7终端屏幕监视 可根据需要进行终端屏幕监视，随时掌握终端用户的使用情况。 6.4.8历史数据备份 收集代理模块采集的数据，并将其保存到数据库中； 6.4.9数据查询统计 可查询特定机器特定时刻的历史记录；查看监测日志、系统日志和管理员的操作日志 并进行分析和审计。 6.4.10用户及权限管理 包括添加、删除、修改管理员，系统管理员采用分权分级的管理方式，每个管理员 都有其授权工作范围和管理权限。6.4.11外部交流识别管理 公司与外部高层人士、业务人员的来往情况及其载体,须保密管理.不对外 张贴外部客户信息. 供应商进入工厂区域范围应正确配戴访客证. 外来人员由对应接待人带领下方可入厂,经董事长同意后方可进行车间.6.5安全保密原则及稽查6.5.1不准在私人交往和通信中泄露公司秘密，不准在公共场所谈论公司秘密，不准通过其他方式传递公司秘密。 6.5.2公司工作人员发现公司秘密已经泄露或者可能泄露时，应当立即采取补救措施并及时报告行政人力资源部；行政人力资源部接到报告，应立即作出处理。6.5.3文控中心会定期稽核各部门的工作及流程的执行情况。6.5.4网管每天定时稽核各部门的文件保密及网页流程情况。6.5.5文控中心及网管的稽核报表每天必须交总经办及人事部备档。6.6违规处理：6.6.1针对违规情况，第一次记警告一次，第二次记小过一次。第三次记大过一次。6.6.2出现下列情况之一的，予以辞退并酌情赔偿经济损失，或根据所