信息服务管理制度

信息服务管理制度信息服务管理制度 信息服务管理制度 1 为加强对计算机信息系统的运行管理 提高工作 质量和管理有效性 实现计算机信息维护 操作规范化 确保计算机信息安全 可靠运作 结合公司实际情况 特 制定本规定 2 集团公司的信息管理内容主要包括 但不限于 2 1 动态性信息 即反映经营管理动态方面的信息 2 2 政策性信息 即与公司经营业务有关的国家 省 市 行业的政策性法规信息 2 3 反馈性信息 即反映公司高层领导指示和决定执 行情况的信息 2 4 调研性信息 即在调查研究基础上 经挖掘提炼 后 有分析 有探讨 有建议的深层次信息 2 5 参考性信息 即为公司领导了解情况 开阔思路 实施决策而提供的具有参考性质 咨询价值的信息 2 6 重大 突发性信息 即反映重大或突发事件信息 2 7 涉及员工思想反映等其它有关重要信息 3 职责 信息管理工作由信息科负责 各部门负责本部门信息 管理工作 3 1 信息科职责 3 1 1 信息管理工作的归口负责部门 指导各部门信息 管理工作 3 1 2 负责各部门之间的公文信息流转 汇集各业务部 门报送的信息 3 1 3 重要信息的保存归档 3 2 相应部门职责 3 2 1 负责收集本部门职责范围内的有关信息 包括业 务部门上报的相关信息 其中重要信息及时向上级或相关 部门传递 3 2 2 建立与本部门工作相适应的信息收集 反馈渠道 保证上下信息的及时传递和处理 4 要求 4 1 机密信息的交接相关管理规则将与本公司共享的机 密信息 与业务合作伙伴 委托对象以及派遣相关公司之 间进行交换时 应基于以下管理规则进行安全管理 4 1 1 制作与相关方共享机密信息的委托对象等的管理 列表 4 1 2 与委托对象签订保密合同 内容包括 守秘义务 成为保密对象的信息的范围 保密义务期限 使用目的的 限制 访问者应限定为在业务上须了解该信息的人员 对 指定重要机密信息的管理方法 对指定重要机密的复制的 限制 规定在保密期限满后返还或废弃 由本公司进行保 密相关确认措施的规程 违反合同时的措施 禁止擅自进 行再委托 禁止用自己电脑处理业务 4 1 3 与本公司和供应商一样 在供应商和委托对象等 之间也要制定机密信息的交换相关规则 a 本公司交给供应商的信息 原则上 均作为内部信 息处理 禁止对第 三方公开 b 须交换和公开机密信息时 请事先取得本公司的认 可后再实施 c 以电子文件的形式发送和接受机密信息时 请实施 加密 4 2 在工作部门的访问管理进行机密信息管理时 对于 本公司共享的机密信息 要基于以下物理规则进行管理 4 2 1 为了能够限制无关人员进入公司区域 建筑物以 及房间内而进行了区域区分 4 2 2 只许可须了解信息的人员进入 4 2 3 信息安全必要的场合 须设置围墙 监视摄像机 传感器等 4 2 4 定期地对进出记录 包括摄像机图像 进行监查 4 2 5 建立员工和外来人员进行区别 4 2 6 机密信息要上锁请保管于文件柜中 对试制品要 进行数量管理 并将访问限制为最低限度 4 3 信息资产的带出 带入相关管理规则 带出 带入 文件 记忆媒体 电脑 以及废弃的管理 4 3 1 禁止在业务目的以外的 电脑 带摄像头的手机 pda 随身听 记忆媒体 sd 卡 usb 存储等 带入处理机密 信息的场所 要带入时 须得到责任人的许可 4 3 2 在工作中不得使用私人电脑 并且禁止将私人电 脑带入 在工作中需要使用的记忆媒体和电脑 制作管理 表 对于带出的电脑要实施加密 设置多重密码 原则上 禁止带出电脑 4 3 3 对于机密资料 要用碎纸机进行裁切 溶解或烧 毁 对于涉及信息等的技术载体 要进行破坏以无法读取 信息 要与处理工业废品的企业签订机密保持合同 4 4 it 系统的访问管理 4 4 1it 系统的使用者 id 和密码的管理访问电子化信息 时 每个人要使用自己单独的 id 和密码 并取得谁访问了 与本公司共享机密信息的记录 不与其他用户公用 id 设 定他人不容易推测出来的密码 密码同时包含有英文和数 字 在 6 个字符以上 密码须定期地变更 至少要每 30 天变更一次 不得将密码借给他人 对是否存在离职者 的 id 临时使用的 id 等 未被使用的 id 以及不正当的 id 进行检查 4 4 2 电脑 服务器等 it 系统的设置以及废弃的管理 在与因特网之间设置合适的防火墙 将业务上必要的信息 设备和电脑连接于安全的公司内部系统内 不要连接社外 网络 信息要保管在服务器上 实行服务器的安全管理 而非个人电脑里 人员离开座位时 要将笔记本电脑上锁 保管于办公桌的抽屉中 柜子等中 台式电脑等的固定式 电脑 要用电脑锁固定在办公桌等的上面 带出的电脑内 的数据要实施加密 在万一被盗时 可避免数据被读取 带出电脑期间 应随时带在身边 对 biosos 屏幕保护程序 设定密码 离开座位时 可锁屏 可把屏幕设置为在 5 分 钟内无输入的状态下 可通过带密码的屏幕保护程序锁定 屏幕 it 系统的废弃和再使用 如果 it 系统废弃 须将硬 盘内的信息完全删除或进行物理破坏 保管机密信息的服 务器要设置在可确保安全的合适场所 4 5 对非法程序和病毒的管理 4 5 1 针对电脑病毒和非法程序 由系统管理员 或提 供单位 指定防毒软件 杀毒软件 的种类和版本 并加 以引进 使防毒软件常驻于规定的各对象电脑中 始终确 保完全受保护的环境 设置为至少每天更新一次 推荐每 隔一定时间进行自动更新 病毒定义 对于被保存的所有 文件 进行定期扫描 禁止安装和使用文件交换软件 winnyshare 等的文件交换软件 由信息安全责任人检查 或使用检测工具自主检测 4 6 可持续性的备份管理对于重要系统 要定期地实施 备份 要能够确认处理机密信息的信息系统的所有备份媒 体均得以正确的机密区分的管理 4 7 实施信息安全的教育和培训关于信息安全 要对所 有员工按照培训计划实施信息安全教育 此外 委托对象 也应对委托进行业务的员工实施同样的信息安全教育 所 有员工要定期地自我检查 当出现不符合规定的事项时 要指导改善并记录 自我检查表中加入了清 理桌面 应 注意整理整顿 禁止将机密文件放在桌上 清理屏幕 离开座位时 应设定为不显示屏幕或启用带密码的屏幕 保护程序 4 8 与员工签订保密协议在工作中有关于保密的条款 取得员工的保密协议 委托对象要进行保密管理 并对保 密协议进行管理 4 9 发生信息安全事故时的处理方法在发现信息安全上 的问题或感觉到发生的危险时 或目击了事件事故或发现 了事件事故的痕迹时 要立即向本公司的信息管理责任人 报告 要把握受害状况和使受害影响最小化的紧急处理 查明原因和暂定措施 以在信息泄漏时可向该第三方报告 等 实现相关者能够进行自卫和相关处理 必要时 应进 行宣传处理 向相关政府机关报告 记录事故的经过和处 理的过程 要迅速实施防止事故再次发生的对策 并贯彻 周知 4 10 实施可持续地推进改善活动的信息安全 pdca 实施 自我检查 以确认信息安全是否得以正确实施 每年至少 实施一次检查 对自主检查的结果 明确了的不符合事项 应制定改善计划 4 11 对外信息披露的管理 4 11 1 责任部门 对外信息披露的责任部门为办公室 办公室是公司的 对外公告 启事 宣传文稿等工作的对口部门 4 11 2 对外信息披露的过程 4 11 2 1 信息的报送 各部门根据工作需要对外发布信 息时 需提前通知办公室 并将对外公布信息内容 信息 披露的渠道等报送办公室审批 4 11 2 2 信息的审批 办公室对各部门的对外公布信息 内容和渠道进行审核 审批通过后由办公室统一执行对外 信息发布的工作 重要对外信息的审批则需上报行政总监 总经理审批 审批通过后由办公室进行发布工作 注 对于经常性或较为适于职能部门发布的信息 经 办公室 行政总监 总经理批准后 可由相应部门负责对 外信息发布 发布信息的内