信息安全管理基本规则

1、信息安全管理基本规则目录前言.3第章 总则.4第条（目的）.4第条（适用范围）.4第条（用语的定义）.4第条（规则的修改和废除） .4第章 关于保证信息安全的基本义务.5第条（保证信息安全的义务）.5第条（禁止不正当地获得信息资产）.5第条（禁止不正当地利用信息资产）.5第条（向协作单位委托业务）.5第章 信息安全的管理体制.6第条（全公司的信息安全管理的概括）.6第条（彻底进行信息安全管理）.6第条（信息安全的管理责任）.6第条（项目等的信息安全管理）.6第章 信息安全的管理.7第条（管理的基本）.7第条（信息安全的具体管理办法）.7第条（信息的机密划分）.7第条（信息管理负责人的作用）.7

2、第条（机密划分的付与）.7第条（机密划分的变更）.8第条（访问权限的付与）.8第条（对信息资产的访问）.8第条（访问的记录）.8第条（信息内容的改变）.8第条（按照保密合同等的机密管理）.8第条（访问他人拥有的信息资产等的管理）.8第条（禁止入内区域）.8第条（向他人公开信息笊）.9第条（对突发事态的处理）.9第条（关于信息安全的教育）.9第章 信息安全管理的监察.10第条（信息安全管理的监察）.10第条（关于保密合同等的进入检查）.10第章 罚则.11第条（惩戒）.11附则.12前言信息资产是最重要的经营资源之一。作为全公司共通的资产，应该通过对它进行万无一失的保护及信息共享而提高它的价值，

3、有效并高效率地活用于全公司的经营活动当中，以达到通过对信息资源的认真管理和应用，加深与顾客和客户之间的信赖关系，实现共同发展，追求全员经营的真谛。第章 总则第条（目的）本规则的目的是，制定一个在工作中对信息资产的利用和安全相关的，公司董事和从业人员都应遵守的基本事项，通过对其的切实应用，实现全公司高品质的统一信息安全管理，用以提高经营管理水平。第条（适用范围）公司信息资产的安全管理，依照本规则实施。第条（用语的定义）本规则用语的定义如下。 “信息资产”是指包括非电子版在内的所有信息及信息利用的手段。（1）信息资产，只要没有特别的界定，还应包括在工作中新生成的或增加的信息。（2）信息资产不仅仅是

4、指公司拥有的信息资产，还包括通过正当渠道从他人获得的信息资产。 “他人”是指：公司以外的法人、团体；公司的董事、从业人员以外的个人。 “从业人员”是指与公司有雇用关系的所有个人。 “电子版信息”是指能通过信息系统进行处理的信息。 “非电子版信息”是指电子版信息以外的信息。 “信息管理负责人”是指对该信息内容的变更、公开等拥有决定权及对该信息拥有管理权的负责人。通常，指该信息的制作人所属部门课以上的负责人。但是，如果负责人或其他上级领导未经过该部门负责人而直接指示工作人员制作的“绝密”或“秘密”的信息，该信息的管理负责人应是直接指示的负责人或其他上级领导。 “机密”按第条规则划分为“绝密”或“秘

5、密”。 “公开”指不管以任何手段、方法，不管在公司内外，对特定的对象或不特定的众多对象出示。 “发表”指对不特定多数的公开。 “访问”指包括信息阅览在内的信息的应用及信息利用手段。 “访问权限”指可访问的权限。 “有权访问者”指拥有访问权限的人。 “信息安全”指在需要信息时，只有有权访问者才能获得该信息，以便确保信息资产的安全。 “信息安全的管理”是指为了维护、确保和提高信息安全而对信息资产及其环境进行的管理。第条（规则的更改和废除）本规则由管理部门起草，由总经理更改和废除。第章 关于保证信息安全的基本义务第条 （保证信息安全的义务）负责人及从业人员有保证信息资产安全的义务。第条 （禁止非法获

6、得信息资产）董事以及从业人员不得以非法手段，也不得以社会通理上公认的不恰当的手段获取他人信息，且不得强硬要求他人提供。第条 （禁止非法利用信息资产等）董事及从业人员不得将信息资产私自用于业务以外的目的。 董事及从业人员不得将限定使用目的的信息资产用于该使用目的以外。 董事及从业人员不得擅自将信息资产携带出公司外，或向他人公开。 董事及从业人员必须遵守有关信息使用的各法令、规定。第条（向协作单位委托业务）部门负责人仅限于工作需要时，可以指定公司以外的协作单位，办理有关信息资产的业务。但是，必须要求协作单位限定在工作所需的范围内，并签订保密及复制品管理、信息资产的安全保密合同。 部门负责人向协作单

7、位委托业务时，在业务结束后，必须确认该信息资产及其复制品的归还、废弃等处理结果。第章 信息安全的管理体制第条（全公司信息安全管理的概要）信息安全管理要委派专人管理，总经理统管公司的信息安全管理，并对此负责。第条（贯彻落实信息安全管理）为贯彻落实信息安全管理，在总经理下设置信息安全管理部门。 信息安全管理部门应协助总经理的工作。 信息安全管理部门应负责调查部门的管理状况，及时提出意见，向总经理汇报工作。第条 （信息安全的管理责任）各部门负责人作为信息安全管理的负责人，统管本部门的信息安全，并对其负责。第条 （项目等的信息安全管理）由几个部门组成的项目组等部门来完成一项工作时，其项目组领导成为该项

8、目的信息管理负责人，同时负有信息安全管理的全部责任，并采取必要的措施。第章 信息安全的管理第条 （管理的基本方针）信息资产必须要保证有权访问者随时可以使用到准确内容的信息，同时应作好安全管理保护。第条（信息安全的具体管理办法）信息安全的具体管理办法按另行规定的“信息安全管理使用手册”（以下简称“使用手册”）执行。负责各职能部门的部门领导，要制定适合本部门的必要的信息安全管理规则或标准，经总经理批准后，在全单位贯彻落实。 信息安全管理负责人，只要不违背本规则的精神，应制定所在单位的信息安全管理的具体实施办法，经总经理批准后，在所管辖的单位贯彻落实。 信息安全的管理办法，除按本规则及各有关规定执行

9、外，还必须满足各有关法令的规定。第条（信息的机密划分）信息，根据保密的程度，划分为“绝密”、“秘密”、“公司内部信息”、“公开”（以下简称“机密划分”）。但是，信息安全管理负责人经总经理同意，可以将所管辖单位的机密划分再进行详细的划分。第条（信息管理负责人的作用）信息管理负责人对自己管理的信息，应注意实施以下各项： 进行机密划分及标识。 决定根据机密划分的有权访问者及决定对该有权访问者的承诺范围。 有关带出公司外及向他人公开的判断及审批。 按照保密合同，明确信息资产的要求。 根据机密划分进行废弃处理及其确认。 根据机密划分，作好信息内容的保密。 根据需要限定使用目的。 根据需要设定第号和第号的

10、有效期限。 其它有关事项。第条（机密划分的实施）分为“绝密”及“秘密”的机密信息，属于另行规定的信息及信息管理负责人指定的信息。但是，需要注意的是不可过度地指定“绝密”信息。机密信息的使用，按“使用手册”执行。第条（机密划分的变更）对信息的机密划分及有效期限的变更，只限于该信息的管理负责人进行。第条（赋予访问权限）信息管理负责人根据工作需要，赋予必要的人以访问权限，来谋求信息共享。但是，访问权限的赋予，必须限定工作上必要的范围。信息管理负责人接到要求访问权限的申请时，必须按照前款仔细斟酌。第条（信息资产的访问）信息资产的访问，只有有权访问者才可进行。信息资产的访问，应按第条信息管理负责人指定的

11、条件进行。第条（访问记录）作为“绝密”信息的信息资产的访问管理，应建立访问记录以备追查之用。第条（信息内容的改变）信息内容的改变，只有信息管理负责人及获得信息管理负责人批准者，或获得授权委托方才可以进行。第条 （按照保密合同等的机密管理）部门负责人根据与他人的合同书、保证书的规定，在对对方的信息资产实施管理的同时，应按照公司第条的管理规定，起到信息管理负责人的作用。第条 （访问他人所拥有的信息资产等的管理）他人向我方公开的信息资产的访问管理，除遵守本规则外，如有有关公开的合同书、保证书等，也必须严格执行。第条 （禁止入内区域）信息安全管理负责人，可在所管辖的部门内划定有权访问者以外人员禁止入内

12、的区域。 在前款指定的禁止入内的区域中，信息安全管理负责人应明确标示出此处为有权访问者以外的禁止入内区域，并应认真管理访问记录。 关于信息通信网络、信息系统等提供的机能，信息安全管理负责人可以划定有权访问者以外的人禁止入内的区域。第条（向他人公开信息等）向他人公开的信息，根据机密划分需要信息管理负责人的审批。但是，机密划分为“公开”的，不需要审批。 关于向他人公开的机密信息，除前款所述的审批外，其所属的担当董事、理事、单位负责人可指定需要自己审批的项目。 机密信息向特定的他人公开，必须签署保密合同。 董事及从业人员在退休或解除雇用关系后，不得将在职期间了解到的机密信息非法公开给他人。第条（对突发事态的处理）有可能发生或发生了关于信息安全的突发事件时，信息安全管理负责人应迅速协同有关部门进行处理。第条（关于信息安全的教育）信息安全管理负责人，作为信息资产管理的一环，应教育、提高全体从业人员对信息安全必要性、重要性的认识。信息安全管理负责人对有关的外部协作单位，也应进行上述必要的讲解。第章 信息安全管理的监察第条（信息安全管理的监察）信息安全管理负责人在所管辖的部门，对信息安全管理进行自查，并将其结果向总经理汇报。管理部门的检查部门与有关部门协作，对前款及第条第款的事实状态进行监察。第条（与保密合同等相关的进入检查等）根据第条第款的规则，签署保密合同时，应根据需要