企业信息安全管理制度

交运集团青岛温馨巴士有限公司交运集团青岛温馨巴士有限公司 信息安全管理体系 信息安全管理体系 ISMSISMS 及管理规定 及管理规定 第一部分第一部分 信息安全管理体系 信息安全管理体系 ISMS 1 ISMS 产生的背景 特点和发展趋势产生的背景 特点和发展趋势 1 1 ISMS 标准产生的背景标准产生的背景 目前 我们虽处于和平年代 但全球经济一体化给世界各国带 来的经济与挑战不可小觑 来自敌对国家 恐怖分子 内部人员 经济竞争者 黑客等方面的威胁 信息安全已上升为国家战略 它 事关国家政治稳定 军事安全 社会安定 经济有序运行的全局性 问题 只有在人员 服务 硬件 软件 数据与文件以及知识产权与 专利这五大方面采取切实可行的控制措施 才能有效避免 控制 预防信息安全事件发声 切实把信息安全风险控制在可以接受的 水平 1 2 ISMS 标准的由来标准的由来 1993 年 BS7799 标准由英国贸易工业部立项 BS7799 1 1999 信息安全管理实施细则 BS7799 2 2002 信息安全管理实施规范 ISO IEC 27001 2005 信息安全 安全技术 信息安全管理 GB T 22080 2008 ISO IEC 27001 2005 信息技术 安全技术 信 息安全管理体系 要求 1 3 ISMS 标准的主要特点标准的主要特点 与质量 环境 能源 职业健康安全等管理体系高度兼容 即 管理理念 管理模式 管理的预期结果基本一致 向管理要效益 是该标准的精华 即并不需要组织投入大量 的资源就能在信息安全事件的防范上起到 立竿见影 的效果 可借助质量管理的八项原则 PDCA 持续改进 有 133 种控制目标和控制措施 ISMS 标准的附录 A 供组织 选用 组织可因地制宜 在现有管理体系基础上 有机嵌入 ISMS 以达到事半功倍的效果 1 4 ISMS 标准的发展趋势标准的发展趋势 ISMS 标准既适用于新兴产业 又适用于传统产业 既适用于服 务业 又适用于制造业 总之 只要有信息资产的组织 均可按 GB T22080 2008 ISO IEC 27001 2005 信息技术安全技术信息安全管理体系要 求 建立与保持 ISMS 2 信息安全管理体系建立的意义和作用信息安全管理体系建立的意义和作用 2 1 强化员工的信息安全意识 规范组织信息安全行为 强化员工的信息安全意识 规范组织信息安全行为 2 2 确保组织的关键信息资产始终处于全面系统的受控保护状态 确保组织的关键信息资产始终处于全面系统的受控保护状态 以保持组织的竞争优势 以保持组织的竞争优势 2 3 在信息系统受到侵袭时 确保业务持续开展 并将损失降到最在信息系统受到侵袭时 确保业务持续开展 并将损失降到最 低程度 低程度 2 4 有效规避法律风险 确保组织切实履行社会责任 有效规避法律风险 确保组织切实履行社会责任 2 5 如果通过如果通过 ISMS 认证 表明该管理体系运行有效 证明组织有能认证 表明该管理体系运行有效 证明组织有能 力保证信息安全 提高组织的知名度与信任度 力保证信息安全 提高组织的知名度与信任度 3 GB T 22080 2008 ISO IEC 27001 2005 标准标准 3 1 术语与定义术语与定义 3 1 1 资产资产 对组织有价值的任何东西 信息对一个组织而言具有重要的价值 信息时可以通过多种媒 体传递和存在 3 1 2 保密性保密性 信息不能被未被授权的个人 实体或者过程利用或知悉的特性 3 1 3 可用性可用性 根据授权实体的要求可访问和利用的特性 3 1 4 完整性完整性 保护资产的正确和完整的特性 保密性 可用性和完整性是信息保护的核心 这三者缺一不可 3 1 5 信息安全信息安全 保持信息的保密性 完整性 可用性 另外也可包括例如真实性 可核查行 不可否认性和可靠性等 3 1 6 信息安全事态信息安全事态 系统 服务或网络的一种可识别的状态的发生 它可能对信息 安全策略的违反或保护措施的失效 或是和安全关联的一个先前 未知的状态 3 1 7 信息安全事件信息安全事件 一个信息安全事件由单个的或一系列的有害或意外信息安全事 态组成 它们具有损害业务运作和威胁信息安全的极大可能性 3 1 8 信息安全管理体系 信息安全管理体系 ISMS 基本业务风险方法 建立 实施 运行 监视 评审 保持和改进 信息安全的体系 是一个组织整个管理体系的一部分 管理体系也包括组织结构 方针策略 规划活动 职责 实践 规程和资源 3 1 9 残余风险残余风险 经过风险处置后遗留的风险 3 1 10 风险接受风险接受 接受风险的决定 3 1 11 风险分析风险分析 系统地使用信息来识别风险来源和估计风险 3 1 12 风险评估风险评估 风险分析和风险评价的整个过程 3 1 13 风险评价风险评价 将估计的风险与给定的风险准则加以比较 以确定风险严重性 的过程 3 1 14 风险管理风险管理 指导和控制一个组织相关风险的协调活动 3 1 15 风险处置风险处置 选择并且执行措施来更改风险的过程 在 ISMS 标准中 术语 控制措施 被用作 措施 的同义词 3 1 16 适用性声明 适用性声明 SOA 描述与组织的信息安全管理体系相关的和适用的控制目标和控 制措施的文件 控制目标和控制措施是基于风险评估和风险处置过程的结果和 结论 法律法规的要求 合同义务以及组织对于信息安全的业务要 求 3 2 适用性声明 适用性声明 SOA 简介 简介 信息安全涉及的主要方面提供组织拟考虑控制目标和 措施 1 安全方针2 个 2 信息安全组织11 个 3 资产管理5 个 4 人力资源安全9 个 5 物理和环境安全13 个 6 通信和操作管理32 个 7 访问控制25 个 8 信息系统获取 开发和维护6 个 9 信息安全事件管理5 个 10 业务连续性管理5 个 11 符合性10 个 共计 133 个 3 3 组织需加强管理的信息资产组织需加强管理的信息资产 3 3 1 硬件硬件 服务器 周边设备 PC 计算机 访问控制终端 Hub 程控交换 机 调制解调器 电话交换系统 UPS 传真机 复印机 电话机 移动电话 移动介质 包括 U 盘 硬盘 磁盘 光盘 录音机 录像 设备 3 3 2 软件软件 通用软件 正版 盗版 备份 应用软件 源代码保管 3 3 3 数据与文件 纸质数据与文件 纸质 电子 电子 组织中长期发展战略董事会会议纪要 员工 骨干人员 数据库薪资 骨干人员 数据库 公共关系数据库订单数据库 投标书产品 工程 技术图纸 供货商数据产品内控标准 工艺技术文件客户数据库 产品营销策略书产品生产计划书 产品质量 成本文件销售发票 汇票 现金 3 3 4 人员人员 3 3 4 1 组织的高管组织的高管 3 3 4 2 有机会解除关键信息资产人员有机会解除关键信息资产人员 董事会秘书以及在领导身边的工作人员 如小车班司机 重要 部门中层干部与技术 业务人员 IT 网管 3 3 4 3 外包服务人员外包服务人员 保安 保洁 绿化 维修等人员以及方可 特别是竞争对手 3 3 4 4 外来实习人员外来实习人员 3 3 5 知识产权与专利知识产权与专利 包括著作权 版权 和工业产权 具体指组织的实用 新型产品发明与计算机软件开发和 或 应 用以及组织自身商标实用这两大部分 3 4 标准要求简介标准要求简介 3 4 1 ISMS 标准发布与实施标准发布与实施 GB T 22080 2008 ISO IEC 27001 2005 信息技术 安全技术 信息安全管理体系 要求 于 2008 年 6 月 19 日由中华人民共和国 国家质量监督检验检疫总局和中国国家标准化管理委员会发布 并于 2008 年 11 月 1 日实施 3 4 2 ISMS 标准的适用范围标准的适用范围 ISMS 标准适用于所有类型的组织 包括商业企业 政府机构 非营利组织 3 4 3 ISMS 标准的目次标准的目次 前言 引言 1范围 2规范性引用文件 3术语和定义 4信息安全管理体系 ISMS 5管理职责 6ISMS 内部审核 7ISMS 的管理评审 8ISMS 改进 附录 A 规范性附录 控制目标和控制措施 附录 B 资料性附录 OECD 原则和本标准 附录 C 资料性附录 GB T1901 2000 GB T2401 2004 和本标 准之间的对照参考文献 3 4 4 应用于应用于 ISMS 过程的过程的 PDCA 模型模型 输出 输入 质量管理体系持续改进 管理职责 产品实现 资源管理 测量 分 析和改进 产品 顾客 和其 他相关 方 满意 顾客 和其 他相关 方 要求 3 4 5 PDCA 方法论方法论 规划 P 建立与管理风险和改进信息安全有关的 ISMS 方 针 目标 过程和规程 以提供与组织总方针和总目标相一致的结 果 实施 D 实施和运行 ISMS 方针 控制措施 过程和规程 检查 C 对照 ISMS 方针 目标和实践经验 评估并在适当 时测量过程的执行情况 并将结果报告管理者以供评审 处置 A 基于 ISMS 内部审核和管理评审的结果或者其他 相关信息 采取纠正和预防措施 以持续改进 ISMS 3 4 6 ISMS 标准要求简介标准要求简介 a 识别资产 b 识别威胁 脆弱性 c 风险评估 d 风险管理 控制与检查 e 持续改进 3 4 7 何谓威胁 何谓脆弱点 薄弱点 何谓威胁 何谓脆弱点 薄弱点 威胁 可能对资产或组织造成损害的事件的潜在原因 脆弱点 薄弱点 资产或资产组中能被威胁利用的弱点 3 4 8 风险评估应关注的问题风险评估应关注的问题 资产威胁 脆弱点 薄弱点 人员 硬件 软件 数据与文件 知识产权与 专利等 未经授权的访问和应用 恶意软件 有意或无意 软件故障 信息发送路径重定向 第三方恶意进行 信息未经授权修改 火灾 盗窃 非预期结果 误操作或故意所 为 等 物理保护措施的缺乏 或不适当 密码的错误选择和应 用 与外部网络的连接未 被保护 文件储存未被保护缺 乏安全培训等 3 4 9 制定控制目标 采取控制措施 防止信息安全事件的发生制定控制目标 采取控制措施 防止信息安全事件的发生 物理环境的安全性 物理层安全 如 门禁系统遭到破坏 非授权人员盗取组织核心机密信息 操作系统的安全性 系统层安全 如 病毒 黑客入侵 未安装正版防病毒软件或采取其他有效措 施 造成计算机 系统效率降低 死机 瘫痪等 3 4 10 风险评估程序风险评估程序 按照组织业务运作流程进行资产识别 并根据评估原则对资产 进行评价 建立风险测量的方法及风险等级评价原则 确定风险的 大小和等级 3 4 11 主要的风险控制目标和控制措施主要的风险控制目标和控制措施 3 4 11 1 物理环境的安全措施物理环境的安全措施 3 4 11 1 1 设置安全区域设置安全区域 物理安全边界 门禁系统 人工接待台 物理进入控制 确保只有授权人员才可进入 办公室 房间和设施的安全 具有针对火灾 水灾 地震 爆炸 暴乱和其他形式的自燃 或认为灾难的物理保护措施 设有安全工作指南 设置公共访问和装卸区域 3 4 11 1 2 设备安全设备安全 对设备进行选址安置或保护 设有 UPS 保护免受电力中断影响 保护电缆免受破坏 存储介质销毁或数据重写设备 3 4 11 1 3 操作系统 网络 应用的安全措施操作系统 网络 应用的安全措施 编制并保护文件化的操作程序 控制信息处理设施及系统的变更 设置职责分离 应分离开发 测试和运营设施 以降低不授权访问或对操作系 统变更的风险 3 4 11 1 4 第三方服务交付管理第三方服务交付管理 目标 实施和保持符合第三方服务交付协议的信息安全和服务 交付的适当水准 措施 策划管理要求 并监督 评审在第三方服务中的履约状况 定期评价与及时变更管理 3 4 11 1 5 网络安全管理网络安全管理 目标 确保网络中信息的安全性并保护支持性的基础设施 措施 网络控制应充分管理和控制网络 以防止威胁的发生 维 护使用网络的系统和应用程序的安全 包括传输中的信息 网络服 务安全应把信息安全性 服务级别以及所有网络服务的管理要求 予以确定并包括在所有网络服务协议中 无论这些服务是有内部 提供的还是外包的 3 4 11 1 6 介质处置介质处置 控制目标 防止资产遭受未授权泄露 修改 移动或销毁以及业 务活动的中断 控制措施 可移动介质的管理 应有适当的可移动介质的管理 规程 介质的处置 不再需要的介质 应使用正式的规程可靠并安 全地处置 信息处理规程 应建立信息的处理及存储规程 以防止 信息的未授权的泄露或不当使用 系统文件安全 应保护系统文件 以防止未授权的访问 4 信息安全管理体系认证步骤信息安全管理体系认证步骤 决策准备 宣贯培训 制定计划 确定信息安全方针和范围 现状调查与风险评估 明确信息安全结构及职责 确定风险处理 计划 准备控制概要 制定业务可持续发展计划 体系文件编写 体系运行 内部审核 外部审核初访 外部正式审核 颁发证 书 体系持续运行 老师总结 注意问题 向质量管理体系 方向 发展 在资产 威胁 脆弱性 评估 识别中下功夫 ISMS 嵌入到管理体系中去 建立实施 运行改进 与其它体系一脉相承 第二部分第二部分 信息安全管理规定信息安全管理规定 1 信息安全管理的组织 人员和制度信息安全管理的组织 人员和制度 1 1 组织管理组织管理 信息安全管理组织主要包括 综合信息处 企业发展处 营销宣 传中心 人力资源处 市场开发处 计划财务处 安全技术处和稽 查管理处 信息安全问题由单位内部的各处控制和管理 组织根据自身业务特点和具体情况所制定的信息安全管理办法 和规范 必须符合国家信息安全相关法律 法规的规定 从单位自 身微观的层次上体现了信息安全管理与国家的宏观的信息安全管 理的一致和配合 1 2人员管理人员管理 1 2 1 管理目标管理目标 人员的素质是提高信息安全性致关重要的因素 信息安全的人 员管理中 人员因素是信息安全管理环节中最重要的一环 全面提 高人员的技术水平 道德品质 政治觉悟和安全意识是信息安全的 重要保障 人员的安全审查应该从安全意识 法律意识 安全技能 等几方面进行 应试具有政治可靠 思想进步 作风正派 技术合 格等基本素质 关键岗位人员的审查标准 1 2 2 管理措施管理措施 1 2 2 1 离岗离职人员的管理离岗离职人员的管理 第一条第一条 工作人员离职之后仍对其在任职期间接触 知悉的属于 本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信 息 承担如同任职期间一样的保密义务和不擅自使用的义务 直至 该秘密信息成为公开信息 而无论离职人员因何种原因离职 第二条第二条 离职人员因职务上的需要所持有或保管的一切记录着 本单位秘密信息的文件 资料 图表 笔记 报告 信件 传真 磁 带 磁盘 仪器以及其它任何形式的载体 均归本单位所有 而无 论这些秘密信息有无商业上的价值 第三条第三条 离职人员应当于离职时 或者于本单位提出请求时 返 还全部属于本单位的财务 包括记载着本单位秘密信息的一切载 体 若记录着秘密信息的载体是由离职人员自备的 则视为离职人 员已同意将这些载体物的所有权转让给本单位 本单位应该在离 职人员返还这些载体时 给予离职人员相当于载体本身价值的经 济补偿 但秘密信息可以从载体上消除或复制出来时 可以由本单 位将秘密信息复制到本单位享有所有权的其他载体上 并把原载 体上的秘密信息消除 此种情况下的离职人员无需将载体返还 本 单位也无须给予离职人员经济补偿 第四条第四条 离职人员离职时 应将工作时使用的电脑 U 盘及其他 一切存储设备中关于工作相关或与本单位有利益关系的信息 文 件等内容交接给本单位相关人员 不得在离职后以任何形式带走 相关信息 第五条第五条 员工离职 包括岗位变动 解除劳动关系等 相关规定中 应包括信息安全审查的相关内容 审查应包括以下方面 当员工发生岗位变动时 应按有关规定办理离职手续 离职员工原岗位使用的各类信息系统用户是否已完成交接或 被关闭 离职员工是否签署保密协议 若已签署保密协议应检查保密 协议中的相关内容 向其重申权益及其应承担的保密义务 离职员工保管的工作资料 信息资产是否已经交回 离职员工使用的各类计算机及其他设备是否已全部交回 信息科技员工及关键岗位员工 应立即取消其原岗位的系统 权限 及时更改相应系统的相关用户密码 确保密码 设备 资料 及相关敏感信息等的移交 1 2 2 2 在岗在职人员的管理在岗在职人员的管理 第一条第一条 禁止利用计算机资源制造 传播违反国家法律法规的信 息 第二条第二条 掌握所在岗位需要的计算机信息安全知识 妥善保管 计算机系统中的重要文件和数据 妥善保管身份认证凭据 如用户 账号 密码 数字证书等 第三条第三条 严禁自行更改所使用计算机系统的硬件配置 严禁在 计算机设备上安装 使用非工作需要的软件或非授权的数据介质 如软盘 光盘 U 盘和移动硬盘灯 第四条第四条 所有员工有义务和责任爱护并正确使用计算机 计算机 必须安装防病毒软件 及时更新补丁 并定期检查更新情况 未经 审批 计算机不得与外单位网络连接 禁止在非授权的情况下将计 算机同时接入互联网和内部网络 第五条第五条 离开工作座位时 必须将办公电脑启动屏幕保护程序或 保持注销状态 并采用口令进行保护 非必要时 不能将计算机设 备提供给他人使用 特别是非本单位人员 未经设备保管员同意 不能擅自使用他人计算机设备 禁止与他人的设备互换使用 第六条第六条 发现可以与计算机安全相关的事件时 有责任和义务及 时报告 有责任和义务自觉接受信息中心部门在信息安全防范方 面的管理 监督和检查 第七条第七条 有义务参加信息安全教育和培训 1 2 2 3 员工招聘管理员工招聘管理 第一条第一条 员工招聘过程中 与新员工签订的劳动合同或其他协议 中应明确员工的信息安全责任 并应包括与信息安全相关的保密 条款 如有需要 合同中应明确该责任在结束合同关系一段特定的 时间内仍然有效 第二条第二条 信息科技关键岗位人员的招聘 应明确该岗位在信息安 全方面的要求 并对应聘人员的相关背景进行严格审查 相关岗位 人员应签署专门的保密协议 如有需要 保密协议中应明确该责任 在结束合同关系一段特定的时间内仍然有效 1 2 2 4 员工信息安全教育与培训员工信息安全教育与培训 1 2 2 4 1 教育与培训的主要内容教育与培训的主要内容 教育与培训的内容主要有三个方面 第一 基本安全教育及基 本概念可能存在的威胁和风险 理解相关方针和规章制度 提高安 全意识 掌握基本安全操作概念 第二 专业安全方面的培训及职 业道德教育与岗位相关安全技术理论培训 岗位职能和操作技能 培训 第三 安全的高级培训及国家和行业相关法律法规 全面的 安全技术理论和知识 全面的安全管理理论 安全工程理论 关键 岗位职能与责任的培训 1 2 2 4 2 教育与培训的主要措施教育与培训的主要措施 第一条第一条 为保障信息安全保障体系的完整 有效 应建立信息安 全教育和培训制度 信息安全教育和培训应贯穿员工在工作的全 过程 包括 新员工入行教育和培训 岗前教育与培训和在岗教育 和培训 对员工的信息安全教育与培训应保存相关记录 第二条第二条 信息安全教育和培训应作为新员工入行教育和培训的 重要内容 培训内容应包含但不限于 信息安全及保密管理的基本知识 员工信息安全管理的相关规定和要求 办公自动化系统 邮件系统 内部网络和桌面办公设备等计算 机资源的正确使用和信息安全保护的基本要求 最新的信息安全总体策略 信息安全事件的报告流程 第三条第三条 员工上岗前所在机构或部门的管理人员应向其申明本 机构或部门的信息安全管理要求和责任 员工的岗前教育与培训应包括与本岗位密切相关的计算机安 全管理要求培训 对本岗位中信息安全的关键控制点应着重向员 工申明 信息科技员工的岗前教育和培训中 还应包括职业道德 行为 规范 奖惩措施 信息安全管理制度和规范等方面的教育和培训内 容 第四条第四条 在岗员工应定期接受信息安全教育 主动学习 掌握最 新的信息安全管理制度和规范 在信息安全总体策略 相关管理制度和规范发生变化后 应及 时向在岗员工发布 对在岗员工的信息安全基本要求 奖惩措施 信息安全事件报 告流程等 应纳入员工守则或另行编制成册 及时向在岗员工发布 第五条第五条 信息科技各相关部门应定期组织对部门内所有员工的 信息安全教育和培训 教育和培训内容包括但不限于 及时向员工 发布最新的信息安全管理策略 制度和规范 每年至少组织一次部 门内的信息安全专题培训 及时向员工通报典型的信息安全事件 及处理情况等 1 3 制度管理制度管理 1 3 1 物理环境安全管理规范物理环境安全管理规范 包括安全域 门禁控制 监控与报警 电源和电缆管理 环境管 理与维护 设备常规管理 变更管理 事故处理等 1 3 2 终端计算机安全使用规范终端计算机安全使用规范 包括安装防病毒软件 操作系统定期自动升级 密码保护 IE 安全级别设置 邮件管理 重要文件备份等 1 3 3 防火墙系统管理规范防火墙系统管理规范 包括明确岗位职责 防火墙的规划部署 配置测试 状态监控 日志分析 安全事件的响应处理等 2 数据与文件 以及知识产权与专利数据与文件 以及知识产权与专利 2 1 文件的处理程序文件的处理程序 2 1 1 签收与启封签收与启封 文件的收发由专人履行签收手续 其他人员不得随意签收和启 封 如果标有具体人员亲收 亲拆的公文 信函 除本人委托外 任 何人不得启封 应原封不动交给亲收人或指定人员 办公室收到的 各类公文及重要资料 刊物须及时交送有关领导和相关科 室 按 有关程序和规定及时处理 防止耽搁 延误 2 1 2登记登记 登记文件必须将收发文时间 来文单位 发往单位 文件字号 密级 标题 缓急程序 份数及处理时间 处理情况逐项登记清楚 登记文件应按来文单位类型分别登记 登记簿应装订成册 易于保 存 查询 妥善保存 5 年后销毁 2 1 3办理办理 经办人员必须根据文件的内容和阅知的范围 及时 迅速传阅 办理 不得拖延 事后必须在办文单上签字或写明办理经过及结果 需向领导反馈情况的必须及时反馈 领导批示后的文件 应按领导 批示意见进行办理 2 1 4 传阅传阅 传阅文件应突出一个 快 随时掌握文件的去向 避免文件漏 传 误传和延误 遗失 a 严格登记手续 文件传阅时应做好登记手续或请传阅者做好 传阅签收 b 文件传阅时 应设立必要的文件传阅夹和办文单 以便区别 于其他材料和领导阅后签字 批示 要提醒传阅者不要随意抽取文 件夹里的文件 以避免文件漏传 c 文件传阅应在部内的办公室进行 不得将文件带到住所或公 共场所阅处 d 文件传阅必须根据规定的文件阅读范围进行传阅 应由专人 按各领导的排序或主次先后递送 对传阅的文件应及时收回 重要 文件应当天送达 当天收回 要避免文件在传阅对象之间发生相互 传递的 横传 现象 以免传阅的文件失去控制 造成文件积压 丢 失和下落不明等情况 要加快文件传阅的速度 要尽量减少文件传 阅时的停留时间 缩短文件传阅周期 2 2 文件的保管文件的保管 文件的保管 存放必须明确专人负责 并建立健全管理制度 第一条第一条 对传阅好的文件 办理好的文件 应及时核对清点 并 分门别类保管存放 第二条第二条 文件借阅时 必须符合规定的文件阅知范围 办理借阅 文件的登记手续 在规定的场所阅读 如遇特殊情况需要携带文件 外出时 必须经研发中心负责人批准 并采取必要的保密措施 涉 及密级的公文和内部重要资料 要注意保密 凡是有密级的文件 不得随意复印 确因工作需要必须经分管领导同意才可复印 其复 印件按正式文件管理 第三条第三条 文件的存放场所应安全 保密 不得将文件随意放在办 公桌面上或存放在玻璃橱和敞开式的橱柜中 关于文件的清退 销 毁要建立定期的文件清理制度 定期做好文件的清退和销毁工作 清退和销毁文件 必须严格履行登记手续 文件销毁时需经分管领 导批准同意 个人不得擅自销毁文件 2 3 文件的清退 销毁文件的清退 销毁 公司下发的文件清退单 认真核对应清退的文件 按时 如数将 清退的文件送综合信息处并办理清退 注销手续 第一条第一条 综合信息处的文件根据有关归档要求 要定期清理归档 并做好归档手续 第二条第二条 对不需要归档的其他文件 资料及内部刊物 应按公司 的规定进行清退 销毁 第三条第三条 文件管理人员在工作调动 离职时 应先办理文件的移 交手续 清退所持的全部文件 方可办理调动 离职手续 任何个 人不得私自带走文件或私自销毁文件 关于文件管理职责 2 4 文件管理职责文件管理职责 第一条第一条 公司综合信息处是文件管理的职能部门 应加强对文件 特别是公司文件的管控严格执行有关规定和保密纪律 做到既充 分发挥每份文件的作用 又严防失密 泄密现象的发生 第二条第二条 综合信息处负责人应定期检查文件的收发 登记 传阅 保管和清退 销毁情况 加强文件管理和保密教育 第三条第三条 综合信息处负责文件处理 保管的人员要增强责任性和 保密意识 忠于职守 严格遵守有关规章制度和保密纪律 勤恳工 作 确保文件正常运转 防止遗失 3 计算机硬件设备管理计算机硬件设备管理 3 1 定义定义 信息安全硬件设备的管理包括 服务器 周边设备 PC 计算机 访问控制终端 Hub 程控交换机 调制解调器 电话交换系统 UPS 传真机 复印机 电话机 移动电话 移动介质 包括 U 盘 硬盘 磁盘 光盘 录音机 录像设备 3 2管理规定管理规定 3 2 1 计算机设备信息安全管理计算机设备信息安全管理 第一条第一条 严禁私自打开机箱 严禁私自更换外设 如需更换外设 及意见 需向战略管理处提出申请 由负责人员更换 非人为引起 的硬件损坏 由公司战略管理处更换新的配件 如果是因人为引起 的损坏 或丢失硬件及外设 需由使用人照价赔偿 第二条第二条 禁止使用私人移动存储设备 如 U 盘 存储卡 读卡器 移动硬盘 私人光盘 手机存储等一切存储设备 避免病毒的入 侵及公司资料泄露 第三条第三条 禁止私自安装与工作无关的软件 杀毒软件不得随意更 换 由网络管理者统一安装 并必须处于开机启动状态 第四条第四条 计算机的使用部门要保持清洁 安全 良好的计算机设 备工作环境 禁止在计算机应用环境中放置易燃 易爆 强腐蚀 强磁性等有害计算机设备安全的物品 保证计算机的散热风扇无 阻 第五条第五条 非本单位技术人员对我单位的设备 系统等进行维修时 必须由本单位相关技术人员现场全程监督 计算机设备送外维修 须经有关部门负责人批准 第六条第六条 严格遵守计算机设备使用 开机 关机等安全操作规程 和正确的使用方法 计算机出现故障时应及时向电脑负责部门报 告 不允许私自处理或找非本单位技术人员进行维修及操作 第七条第七条 严禁除本单位技术人员以外的人随意进入机房 非本单 位技术人员进入机房需填写进出记录 并由本单位技术人员现场 全程监督 特殊情况除外 第八条第八条 本单位技术人员要做到定期养护工作 保证计算机的日 常运作 并做好设备的登记台帐 登记卡片 使用情况记录 故障 情况记录及故障处理情况记录 第九条第九条 设备发生故障时 在购置合同的保修期内要做好修换处 理 保修期外的设备 技术人员要及时做好设备的修理工作 第十条第十条 设备到报废期 由使用单位提出报废申请报告并附设备 故障记录报公司战略管理处 经公司战略处根据帐卡清点 核实 鉴定 审批后 报废计算机调回公司办公室 由公司办公室负责处 理 并登记报废台帐 4 信息安全软件管理信息安全软件管理 4 1 计算机软件信息安全管理计算机软件信息安全管理 第一条第一条 计算机开机密码设置应具有安全性 保密性 不能使用 简单的数字和符号 开机密码应定期修改 如发现或怀疑密码遗失 或泄漏应立即修改 密码遗失 应及时与技术人员联系 第二条第二条 外接存储设备 移动硬盘 U 盘等 时 应先进行查毒检 查 防止感染木马病毒 资料泄露 第三条第三条 严禁随意共享计算机内的信息资料 如有需求 要及时 联系专业技术人员进行共享调配 第四条第四条 计算机进行交接工作时 要做好详细的计算机资料交接 工作 个人信息或非工作信息要在交接前进行拷贝或删除 第五条第五条 禁止下载和安装与工作业务无关的软件和工具 禁止随 意更换杀毒软件 禁