两化融合信息安全管理程序

编号：HL/GX/B/08-2014 版本：第1版，第0次修改1. 范围本控制程序规定了*集团有限公司（以下简称“公司”）两化融合实施评估与诊断工作中，各部门的职责以及主要工作流程。2. 规范性引用文件下列文件对于本控制程序的应用是必不可少的。凡是注明日期的引用文件，仅注明日期的版本适用于本控制程序。凡是不注明日期的引用文件，其最新版本（包括所有的修改单）适用于本控制程序。3. 术语和定义下列术语和定义适用于本控制程序。评估与诊断:企业按照GB/T 23020-2013的相关要求，制定两化融合自评估体系，并按照策划的周期开展整体性评估、分析、诊断的过程。4. 职责4.1. 两化融合联合工作组负责审查和核准公司信息安全总体策略，批准重大信息安全建设方案及对紧急重大信息安全事故做出决策；贯彻落实国家及上级单位有关信息系统安全的方针政策、法律、规范和标准。4.2. 信息中心负责编写两化融合管理信息安全程序文件，明确信息安全的分工及相关工作要求；组织制定公司信息安全管理规章制度和标准规范、规划；负责公司所有办公使用的计算机及网络的管理维护及监控；4.3. 营销中心负责收集或传达客户需要保密的信息；4.4. 供应链中心负责研发过程中公司内部和客户信息的保密； 4.5. 人力中心负责组织信息安全培训和宣导；4.6. 公司各部门负责其它过程中公司内部和客户信息的保密；负责落实本单位范围内信息系统安全工作责任制。5. 管理活动的内容与方法5.1. 总体要求5.1.1 相关要求采取适当措施，确保全员认识到信息安全的重要性和紧迫性，增强信息安全意识。确立信息安全责任制，完善管理和防范机制。提供必要的技术条件和设备设施保障。识别可能存在的信息安全风险，进行持续性管理，确保信息安全事件得到有效处理。5.2. 业务描述5.2.1 密级分类从保密性角度，公司对于信息分成两大类：公开信息和保密信息。公开信息：公司已对外公开发布的信息，如公司宣传册、产品或公司介绍视频等。保密信息：公司仅允许在一定范围内发布的信息，一旦泄露，将可能给公司或相关方造成不良影响。比如公司投资计划等。根据信息价值、影响及发放范围的不同，公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性影响的保密信息，如：重大投资决议等。机密信息：公司重要秘密，一旦泄露将使公司利益受到严重损害的保密信息,如：未发布的任命文件，公司财务分析报告等文件。秘密信息：公司一般性信息，但一旦泄露会使公司利益受到损害的保密信息，如：人事档案，供应商选择评估标准等文件。内部公开：仅在公司内部公开或仅在公司某一个部门内公开，对外泄露可能会使公司利益造成损害的保密信息的保密信息，如：年度培训计划，员工手册，各种规章制度等。5.2.2 密级标识创建文档时，需要根据内容在页眉处添加正确的密级，页脚处注明“信维机密，未经许可不得扩散”或类似字样。电子档及打印文档皆须包含上述字样。5.2.3 物理安全1、所有非公司配备电脑（销售除外）、U盘、数码相机等存储设备未经许可一律不可带入公司，全部登记寄存在保安室储存柜内（包含客户存储设备，由保安室保安指引办理寄存手续）；2、所有电脑专人专用，使用人员必须凭密码登录使用电脑，且必须对本机密码严格保密。3、下班或离开座位10分钟以上，应关闭或锁定计算机。秘密级以上文件不可存放在桌面，应放在带锁抽屉或文件柜内。4、信息中心对公司所有主机强制加锁，网络管理员列清单每半个月检查一次。5、所有部门电脑USB端口采取技术封闭结合外部USB插口贴易碎纸方式封闭，原则上仅限研发、生产、品管、工艺、人事部门各可留一台电脑开放USB插口，且此电脑由以上部门各自指定一名专职人员使用，本部门内所有人员拷贝等必须经此电脑方可操作，且每次拷贝必须在专职人员处做好记录。其他部门若因工作需要开通USB，需填写工作联络单，按公司内部审批程序批准开通。同样需指定专职人员管理和记录。5.2.4 网络安全1、公司内部禁止使用无线上网功能。2、网络管理员统一建立公司局域网，根据职务级别及部门特性设置不同权限。原则上，所有部门电脑仅限部门经理/副经理及高管连INTERNET,销售、采购、行政外联人员、人事外联人员、财务在线申报提交等人员可开通INTERNET,其余电脑一律断开INTERNET。 3、任何部门或个人不得私自安装、使用未经许可的软件（包括游戏软件等一切与工作无关的软件）。凡需在可入网的计算机上安装任何软件，需经机房审批同意后进行安装。不得私自更改计算机的各项设置，如：计算机名、网络IP地址、计算机管理员密码、登陆方式等。任何人不得利用各种手段破解、攻击公司计算机网络系统及计算机账号密码。4、行政统一安装企业版瑞星杀毒软件，并由网络管理员每月统一定期杀毒。各部门在使用计算机时如发现有病毒感染现象应立即报告行政部网络管理员。禁止任何部门或员工未经授权以任何名义制造、传播、复制、收集计算机病毒。5、公司电脑一律严禁使用QQ/MSN/SKYPE等聊天工具，销售助理及负责国外客户联络人员因与客户联络开通此类聊天工具，必须申请并经审批后可开通。6、邮件监控：网管按部门设立一个账号，分配给各部门负责人监管本部门所有人员邮件收发情况（研发除外）；5.2.5 人员安全1、人员聘用时需明确员工信息安全责任，同时人力资源部定期组织公司内部信息安全的培训和宣导。公司内部可能接触到公司保密信息的员工需要签署保密协议。2、客户、供应商或其他相关方进入公司区域，须由相关业务接口部门指派人员全程陪同。进入特定区域前，需经过主管该区域的部门负责人批准。陪同人员在陪同过程中不得在授权范围外行事。5.3. 检查与考核有下列行为之一且不限于以下行为的，公司将视情节轻重给予处罚，对于触犯国家法律的，公司将移交国家司法机关依法处理。因违反本规定或进行不当操作造成计算机损坏的，公司可根据情况，要求当事人负担部分或全部维修费用。1、 擅自泄露公司数据的，视情节轻重，给予警告、辞退或移交司法机关等处罚。2 、因不备份文件或数据导致丢失并影响工作的，给予责任人警告处罚。3、 计算机出现问题不及时报告导致工作延误的，给予责任人警告处罚。4、 因疏忽导致计算机病毒及其他危害计算机网络安全的，给予当事人警告处罚。5、 利用公司计算机或网络进行与工作无关活动的（如玩游戏、聊天等），给予当事人警告处罚。未经同意私自使用他人计算机者，给予当事人警告处罚。6、任何将私人的光盘、VCD（学习光盘除外）、软盘、MP3、手机、移动存储器等在公司的计算机设备上使用的现象一经发现，给予当事人警告处罚。7、 计算机管理员私自给职员工开通上网功能，一经发现或举报属实，给予当事人警告处罚。8、 私自更改计算机的各项设置者，给予当事人记小过处罚。9、 任何人通过邮件或擅自拷贝，复制等途径泄露公司或客户机密，一经发现，视情节轻重，处以降薪或辞退处理。造成恶劣影响或严重损失的，公司还将依法追究其法律责任。本控制程序规定的管理活动进行检查与考核，考核内容如下表所示。表 考核内容序号考核项目考核标准考核对象考核部门1信息安全事件数发生一类信息安全障碍数不超过3次，发生信息安全事数不超过10次改进责任部门信息中心6. 相关文件表 相关文件序号制度标准名称标准编