XX公司信息安全管理制度

第 1 页 共 4 页 信息安全管理制度信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备 信息网络平台 内部网络系统及 ERP CRM WMS 网站 企业邮箱等 电子数据等的安全 稳定 正常 旨在规范与保护信 息在传输 交换和存储 备份过程中的机密性 完整性和真实性 为加强公司信息安全的管 理 预防信息安全事故的发生 特制定本管理制度 本制度适用于使用新合程计算机设备 信息系统 网络系统的所有人员 1 1 计算机设备安全管理计算机设备安全管理 1 1 员工须使用公司提供的计算机设备 特殊情况的 经批准许可的方能使用自已的计 算机 不得私自调换或拆卸并保持清洁 安全 良好的计算机设备工作环境 禁止在计算 机使用环境中放置易燃 易爆 强腐蚀 强磁性等有害计算机设备安全的物品 1 2 严格遵守计算机设备使用 开机 关机等安全操作规程和正确的使用方法 任何人 不允许私自拆卸计算机组件 当计算机出现硬件故障时应及时向信息技术部报告 不允许私 自处理和维修 1 3 员工对所使用的计算机及相关设备的安全负责 如暂时离开座位时须锁定系统 移 动介质自行安全保管 未经许可 不得私自使用他人计算机或相关设备 不得私自将计算机 等设备带离公司 1 4 因工作需要借用公司公共笔记本的 实行 谁借用 谁管理 的原则 切实做到 为工作所用 使用结束后应及时还回公司 2 2 电子资料文件安全管理 电子资料文件安全管理 2 1 文件存储 重要的文件和工作资料不允许保存在 C 盘 含桌面 同时定期做好相应备份 以防 丢失 不进行与工作无关的下载 游戏等行为 定期查杀病毒与清理垃圾文件 拷贝至公共 计算机上使用的相关资料 使用完毕须注意删除 各部门自行负责对存放在公司文件服务器 P 盘的资料进行审核与安全管理 若因个人原因造成数据资料泄密 丢失的 将由其本人承 担相关后果 2 2 文件加密 涉及公司机密或重要的信息文件 所有人员需进行必要加密并妥善保管 若因保管 第 2 页 共 4 页 不善 导致公司信息资料的外泄及其他损失 将由其本人承担一切责任 2 3 文件移动 严禁任何人员以个人介质光盘 U 盘 移动硬盘等外接设备将公司的文件资料带离公 司 若因出差等原因需要拷贝文件资料到存储设备中 需要向上级请示批准 并以公司存储 设备做文件拷贝 2 4 文件转移 若员工离职 在办完移交手续时 所在部门负责人将此员工工作资料拷贝至部门保 存 可联系信息技术部进行技术支持 若没有执行此操作流程 离职员工损失的任何资料 由该部门自行承担 3 3 软件安全管理软件安全管理 3 1 软 软件原始盘片 硬件设备的原始资料 光盘 说明书 保修卡 许可证协议 合同正本等 应交总裁办保管 保管应做到防水 防磁 防火 防盗 3 2 服务器 PC 机须安装杀毒软件 定期病毒库更新及病毒查杀 任何人不得安装危 害公司计算机及网络的任何软件 3 3 信息技术部对各信息系统软件 数据库软件 常用办公软件等进行备份存储 做好 版本控制及相关更新 3 4 员工须严格遵守公司 计算机使用管理规定 中软件管理的相关规范 4 4 信息系统的安全管理信息系统的安全管理 各信息系统 MAIL ERP CRM WMS WEB 等 的安全管理要求 参考相应的信息系统 管理规定 5 5 数据库安全管理数据库安全管理 信息技术部须采用循环的完全备份和增量备份等备份策略 完成对各信息系统数据的 定期备份 以便在信息系统发生故障时将数据恢复到最佳状态 对备份的数据文件应妥善保 管 防止被非法拷贝或毁坏 严禁未经授权将数据库拷贝出系统 转给任何单位或人员 6 6 密码安全管理密码安全管理 6 1 初始密码须及时更改 新密码须包含无规则的字母 数字 符号组合并至少 10 位 以上 禁止直接使用常用单词 人名 电话号码等安全系数低的字符作为密码 第 3 页 共 4 页 6 2 各用户需对所使用电脑 信息系统等密码进行定期 如 3 个月 更改 如出现密码 泄露或异常时 须立马更改并告知信息技术部 6 3 各服务器 信息系统的超级或管理员级密码由分管系统管理员及信息技术部经理双 重管理 信息技术部经理掌握全部设备 全部系统的超级或管理员级密码 分管管理员拥有 分管系统的管理员级密码 部分视情况授予超级密码 正常情况下 此类管理级密码每 1 个月系统管理员必须更改一次并将新密码报备 在有信息技术部人员变动 密码外露或其它 异常情况下 必须第一时间更换并将新密码报备 此类管理级账号与密码原则上不对其它任 何人员提供 特殊需求须报上级领导批准方可授予 7 7 信息安全禁止行为 信息安全禁止行为 7 1 利用公司信息系统平台 网络制作 传播 复制危害公司及员工的有关任何信息 7 2 攻击 入侵他人计算机 未经允许使用他人计算机设备 信息系统等 7 3 未经授权对信息平台 ERP CRM WMS 网站 企业邮件系统中存储 处理或传输的 信息 包括系统文件和应用程序 进行增加 修改 移动 复制和删除等 7 4 未经授权查阅他人邮件 盗用他人名义进行发送任何电子邮件 7 5 故意干扰 破坏公司信息平台 ERP CRM WMS 网站 企业邮件等系统的安全 稳 定畅通运行 从事其他危害公司计算机 网络设备 信息平台的安全活动 7 6 未经公司高管领导批准不得通过网络 移动存储设备等向外传输 发布 泄露有关 公司的任何信息 7 7 其它危害公司信息安全或违反国家相关法律法规 信息安全条例的行为 8 8 信息安全响应机制信息安全响应机制 8 1 信息技术部负责公司信息安全的整体指导与管理工作 并对数据中心机房软硬件及 信息系统 数据库的维护 备份等安全进行日常管理 各分支机构 部门涉及公司 或商业 机 密的信息安全由分支或部门本身自行负责管理和控制 8 2 为保障各信息系统安全稳定运行 信息技术部在工作日时间由分管管理员负责维护 节假日根据需要 安排相关人员负责值班支持 使用人如发现问题应及时通知信息技术部 管理员应及时处理并做好系统事件记录 8 3 信息系统的权限管理部门为信息技术部 负责各信息系统的权限管理 并指定专人 为系统管理员完成各系统账号 权限的设立 注销及变更 8 4 如出现特殊情况 分管管理员应及时处