安全管理制度课件

安全管理制度,信息技术中心阳江分部6/6/2020,目的,保证公司的计算机信息资源的有效利用和信息安全，维护公司信息网络的秩序和稳定，保障公司物质文明建设和精神文明建设的顺利进行。,职责,公司CIO（信息主管）负责审核和批准关于公司的信息安全政策、程序、公告、临时管理办法和技术措施，并在全公司实施。信息安全管理组由公司党群部门经理任组长，包括公司总经办、综合管理部、信息技术中心等成员。负责制定关于公司的信息和资料在计算机信息网上的安全使用和交流的安全保护管理规定，并采取措施保证管理规定在公司内的实施。三信息安全技术组由信息技术中心主任任组长，包括信息技术中心行政和技术负责人、网络、系统、安全技术人员。负责从网络和系统管理、数据管理、应用系统管理、病毒和恶意代码的防治等方面制定公司信息安全技术管理措施并实施。,职责,四各部、处在本部门贯彻执行本规定部门共同使用的硬件类信息资产，由部门指定具体责任人负责，这类信息资产有共享打印机、公用计算机、扫描仪、投影仪等五公司全体员工必须按照公司网络与信息安全保密项目的要求正确合理地安装、使用相应软件，安全、正确、合理、有效地使用计算机用户信息资产如下：用户使用的计算机设备及计算机内存储的公司生产和管理的数据、软件和资料；用户在网上浏览、录入、修改、发送和接收的公司生产和管理的数据和资料；用户网络工作过程中产生和使用的公司生产和管理的文件和文字资料。,个人电脑使用,员工使用个人电脑注意以下事项管理好自己的用户账号及电脑，严格遵守操作规则及规定，防止发生信息网络失泄密事件；及时安装操作系统的补丁程序，定期检查电脑是否已更新病毒码，必须按照集团统一部署安装网络安全准入系统（简称SEP）与内网安全保护软件（简称防水墙）；员工帐号一般授予PowerUsers权限，员工需对其上网账号的一切网络行为负责：同一时段只能在一台电脑上登录流量监控系统访问互联网；不得以任何方式窃取他人账号上网；不得在互联网使用除公司外部邮箱以外的第三方邮件系统收发工作邮件；及时或定期进行数据备份，妥善保管使用的计算机数据和存储介质，遵守公司信息安全和保密管理的有关规定，重要的私人信息不得存放在工作电脑上，确保数据和信息安全；不得擅自重装操作系统、对系统配置等参数进行删除或修改；不得私自调换、拆卸信息设备；不得安装股票、游戏软件，或非法拷贝、使用来历不明或与公司业务无关的软件。不得未经授权进行全公司范围的网络扫描。,信息资源使用,员工不得利用公司网络资源保存、传输或以任何电子化的方式利用涉及国家秘密的文件、信息；不得未经许可将涉及公司秘密、限制使用或内部使用的文件带出公司范围。严禁公司员工将私人电脑接入公司网络，严禁未按规定安装安全软件的电脑及公司以外人员的电脑设备加入公司网络。员工因工作使用的移动存储介质须上交所在部门（处）的机要员进行登记，并仅限于本人使用，不得使用未登记的移动存储介质存储、转移公司电脑内的信息。外来人员必须遵守公司的管理规定，在指定地点、有限网点使用网络和计算机，不得使用非公司电脑利用公司网络连接互联网，长期驻场的承包商必须使用专用且符合规定安全保护措施的网络，该承包商的接口管理部门须承担相应的管理责任。,其他应当注意的细节打印机10秒延迟带来信息漏洞：即使是激光打印机，也有10秒以上的延迟，第一个看到文件的人可能就不是你了。打印纸背面好习惯换取的大损失：你会发现打印、复印造成的废纸所包含公司机密竟然如此全面。电脑易手新员工真正的入职导师：如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。共享做好文件再通知窃取者：有的公司为了杜绝内部网络泄密，规定所有人在共享以后一定要马上取消。摄像头挥手之间断送的竞标机会：总部在上海的一家国内大型广告公司竞标前一天，广告创意被竞争对手窃取，原因竟然是主创人员的OICQ上安装了视频,其他资源使用,信息技术人员职责,作为信息技术人员，严禁泄露用户账户及其密码，严禁擅自利用信息人员身份登录用户账户或远程登录用户计算机。在为用户处理故障时，严禁查看和盗取用户电脑内信息；对于无意间看到的信息，应视为不知且不能向他人透露。信息人员应管理好有关信息中心的内部账号密码及其常人软件的卸载密码，严格遵守操作规则及规定，防止发生信息网络失泄密事件。,公司安全策略,防水墙策略,SEP策略,以域用户登录，装有公司指定版本的SEP、防水墙软件客户端，且病毒库过期不超过一个星期的，允许接入公司内网，正常工作不受影响；打印机、IP电话等设备采用MAC地址排除的方法保证正常使用；安装有SEP的客户端的笔记本电脑可使用现场无线网。,集团信息安全策略,-集团信息安全保障体系,集团网络与信息安全保障体系包括明确信息安全、系统安全、物理安全和运行安全四大保障要求综合采取信息系统风险评估、等级保护、IS20000和ISO27001四种建设方法改进和完善信息安全组织、安全管理、安全技术、安全运行和应急恢复五项工作采取安全检查和审计两项措施建立并巩固集团信息安全事前、事中和事后控制三道防线。目的建立和形成管理、技术、监督并举的集团信息安全保障体系和持续改进的体系维护机制信