企业信息安全管理条例

1、信息平安治理条例第一章信息平安概述1.1、公司信息平安治理体系信息是一个组织的血液,它的存在方式各异.可以是打印,手写,也可以是电子,演示和口述的.当今商业竞争日趋剧烈,来源于不同渠道的威胁,威胁到信息的平安性.这些威胁可能来自内部,外部,意外的,还可能是恶意的.随着信息存储、发送新技术的广泛使用,信息平安面临的威胁也越来越严重了.信息平安不是有一个终端防火墙,或者找一个24小时提供信息平安效劳的公司就可以到达的,它需要全面的综合治理.信息平安管理体系的引入,可以协调各个方面的信息治理,使信息治理更为有效.信息平安治理体系是系统地对组织敏感信息进行治理,涉及到人,程序和信息科技系统.改善信息平

2、安水平的主要手段有：1平安方针：为信息平安提供治理指导和支持；2平安组织：在公司内治理信息平安；3资产分类与治理：对公司的信息资产采取适当的保护举措；4人员平安：减少人为错误、偷窃、欺诈或滥用信息及处理设施的5实体和环境平安：预防对商业场所及信息未授权的访问、损坏及干扰；6通讯与运作治理：保证信息处理设施正确和平安运行；7访问限制：妥善治理对信息的访问权限；8系统的获得、开发和维护：保证将平安纳入信息系统的整个生命周期；9平安事件治理：保证平安事件发生后有正确的处理流程与报告方式；10商业活动连续性治理：预防商业活动的中断,并保护关键的业务过程免受重大故障或灾害的影响；11符合法律：预防违反任

3、何刑法和民法、法律法规或者合同义务以及任何平安要求.1.2、信息平安建设的原那么1领导重视,全员参与；2信息平安不仅仅是IT部门的工作,它需要公司全体员工的共同参与；3技术不是绝对的；4信息平安治理遵循“七分治理,三分技术的治理原那么；5信息平安事件符合“二、八原那么；620%勺平安事件来自外部网络攻击,80%勺平安事件发生在公司内部；7治理原那么：治理为主,技术为辅,内外兼防,发现漏洞,消除隐患,保证平安.1.3、信息平安治理体系建设的目的1保证ERP系统的平安运行,限制公司信息泄密风险；2提升企业员工对平安的熟悉和对平安治理的参与；3提升企业用户及合作伙伴对企业的信心、信任、满意程度；4提

4、升企业信息平安治理的质量和水平；5使企业更有效地治理和处理信息平安事件；6遵守和通过相关法律法规的要求；7为将来企业充份利用电子商务打下重要的根底.第二章员工信息平安标准2.1、 适用范围本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的平安要求.本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员.2.2、 计算机平安要求1计算机信息登记与使用维护：每台由公司购置的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置；每位员工有责任保护公司的计算

5、机资源和设备,以及包含的信息.每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名所属地区编号组成；例如某台计算机名为SSSS_100201SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户.2必须在所有个人计算机上激活以下平安限制：所有计算机包括便携电脑与台式机必须设有系统密码；系统密码应当符合一定程度的复杂性要求,并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放.3当员工离开办公室或工作区域时：必须立即锁定计算机或者激活带密码保护的屏幕保护程序；如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域；妥善保管所有

6、包含公司涉密内容的文件,如锁进文件柜.4防范计算机病毒和其他有害代码：每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件；员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新；如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报.5软件的使用：员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于：BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络治理软件；工作用计算机禁止安装盗版杀毒软件和盗版防火墙

7、软件；公司员工的机器上必须安装并开启功能的软件有：金山企业版防病毒软件、Office2021、360浏览器、IE8.0升级包、Winrar、固网打印效劳；如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需要承当全部责任.6文件的共享：员工在使用文件共享时,必须将其设置为受限共享；禁止使用基于互联网的P2P软件和共享效劳,如：BTeMule等;不得在计算机上配置匿名FTPTFTPHTTP或其他无需验证的效劳；例如：员工不得在公司的计算机上私自架设匿名FTP未经IT部门许可,不得在使用ERP系统的计算机上使用U盘或移动硬盘.如因业务需要,必须要访问其他人的硬盘.当定义共享权限时,员工必

8、须设定用户权限、设定访问密码,并及时取消所定义的共享.7邮件的发送与接收：禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件；禁止将涉及公司秘密的内部邮件转发到互联网上.8公司涉密信息的保护：公司涉密信息包括但不限于公司数据库中的秘密信息,与公司目前或未来产品、效劳或研究有关的公司技术或科技信息,业务或营销计算、营销收益或其他财务资料、人事资料,以及软件等技术信息、经营信息等；公司的员工会接触到公司的涉密信息.员工禁止在未经公司授权的情况下泄漏这些信息,并且必须遵守公司为保护此信息而制定的各项标准和流程；每个员工只能接触使用与本岗位工作相关的涉密信息,禁止从非正常途径获取公司或部门的涉密

9、信息；禁止非授权复制涉密信息；对公司文档的保管、存档、发送、删除、销毁、复制等必须遵守公司相关的文档保密治理规定;禁止使用提供译效劳的互联网站来译公司的涉密信息；公司涉密信息尽量预防通过互联网传送,但由于工作需要,需要通过电子邮件等方式发送公司涉密信息时,可以采用Winrar加密压缩的方式把涉密内容作为附件发送,然后通过其他渠道告知对方加密密码.9公司信箱的帐户及密码所有的密码必须符合如下条件：至少8个字符长,并且包含英文、数字及特殊字符；禁止把用户名用作密码或其一局部；旧密码中任何三个连续的字符尽量不要连续出现在新密码中；公司要求员工至少每30天更换一次密码.10内部网络使用规那么禁止在网络

10、上伪装为他人身份；不得私自安装网络治理软件,监控网络流量或者阻碍他人使用网络资源；不得对公司网络或效劳器以及网络中他人电脑运行平安扫描程序或者恶意攻击；未经IT部允许,不得增加网络设备到公司的网络中,严禁私自购置路由器、交换机接入公司网络等行为；宿舍区电脑大局部属于员工私人计算机,禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中；第三章公司信息平安治理检查执行规定3.1 .检查原那么根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处分.对在公司信息平安治理制度和举措上贯彻、监控不力、权限审核不当,造成公司平安制度和举措难以落实,平安治理工作混乱的部门,部门负责人须承当领导责任.对违反信息平安治理规定者,如其直接领导有明显治理和指导不力的须承当连带责任.3.2 .检查方式公司技术部门抽调网络治理人员,不定期对公司所属公司办公电脑进行抽查.分析信息平安日志文件,排查违规电脑,