信息安全管理制度

信息安全管理制度(全)

信息安全管理制度一、总则为了进一步加强公司的信息安全管理，根据公司的要求和保密规定，结合公司实际情况，特制定本制度。二、信息管理员职责1、公司负责信息安全的职能部门为信息安全部门。2、公司设置专人为信息管理员，负责信息系统和网络系统的运行、维护和管理。3、负责公司计算机系统的安装、备份和维护。4、督促各部门及时对计算机中的数据进行备份。5、负责计算机病毒入侵防范工作。6、定期对网络信息系统进行安全检查。7、监控违规对外联网行为，进行信息安全的监督。8、组织计算机使用人员进行内部网络使用规范的宣传教育和培训工作。9、与上级管理部门联络工作，参加上级组织的各类培训，并及时上报相关报表。三、管理制度一）密级制度公司将信息分为两类：息和保密信息。根据信息价值、影响及发放范围的不同，将保密信息划分为绝密、机密、秘密、内部公开四个级别。绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性影响的保密信息，如：公司订单，研发资料，重大投资决议等。机密信息：公司重要秘密，一旦泄露将使公司利益受到严重损害的保密信息，如：未发布的任命文件，公司财务分析报告等文件。秘密信息：公司一般性信息，但一旦泄露会使公司利益受到损害的保密信息，如：人事档案，供应商选择评估标准等文件。内部公开：仅在公司内部或某一个部门内公开，对外泄露可能会使公司利益造成损害的保密信息，如：年度培训计划，员工手册，各种规章制度等。创建文档时，需要在页眉处添加正确的密级，页脚处注明“机密，未经许可不得扩散”或类似字样。电子档和打印文档皆须包含上述字样。二）人员安全1、外来人员根据来访性质，可将来访人员分为两类：预约来访人员：计划内来访，指公司相关接待部门事先已明确来访人员的相关信息（单位、姓名及人数等）、来访时间及来访事由的情况。临时来访人员：计划外来访，指公司接待部门事先不清楚来访人员的相关信息、来访时间及来访事由的情况。2、颜色标识“临时出入卡”以区分不同的人员身份。接待流程及责任公司针对不同类型的来访人员，制定了不同的来访卡颜色，分别为红色贵宾来访卡、蓝色来访卡和黄色来访卡。接待流程也因此分为预约来访人员和临时来访人员两种情况。对于不需要进入办公或生产区的来访人员，接待流程如下：接待人员填写接待申请单，来访人员到公司前台，前台核实身份后发放“临时出入卡”，来访人员留下有效证件。员工与来访人员在大堂接待区或其他外部接待区会谈，会谈结束后来访人员到前台交还卡并领回证件，前台填写确认单，流程结束。如果来访人员需要进入办公或生产区，则需要由接待人员填写接待申请单并记录进入时间，前台发放“临时出入卡”，并将来访人员交接给接待人员，会谈结束后接待人员将来访人员送至大堂前台，前台确认离开时间、陪同情况，来访人员还卡并领回证件，前台填写确认单，流程结束。对于临时来访人员，一般会谈地点应安排在办公区域之外。如果确因工作需要需进入办公或生产区域，则需按预约来访流程，由接待人填单并经权签人审批。具体流程为：外来人员到访，前台电话通知接待人员，接待人员是否安排接待？如果否，则接待人员向来访者说明情况，流程结束。如果是，则转为“预约来访人员”接待流程，由接待人员填写“接待申请单”。在流程中，业务部门接待人员应事先按格式要求填写“接待申请单”，并确保填写信息准确。业务部门接待人应按要求到大堂前台接待来宾，并全程接待陪同。进入地点需与出门地点一致。业务部门权签人对外来人员进入研发区、办公区或生产区申请审批的真实性及合理性负责。大堂前台应根据来访人员信息及审批状态，核实无误后，方可发放“来访卡”，并在单中记录。来访人员离开时，如实在单中记录还卡情况、接待人员陪同等信息。特别注意，接待单中若注明“不需进入办公或厂区”的，或虽已注明但权签人未审批通过的，接待只能在大堂或其他公共区域进行，外来人员不得进入研发区域、生产区域和办公区域。给参观者强调应妥善保管好自己随身携带的物品，未经允许任何人不准携带照相机、录像机、摄像机等设备进入研发区域、生产区域和办公区域。承办部门接待责任人须告知参观者不得在研发区域、生产区域、仓库区域、办公区域拍照。1、参观者不得与非接待人员交换名片或联系方式等，接待责任人需严格执行此规定。来访人员需在接待区域等候，承办部门应做好引导和陪同工作，杜绝随意逗留在厂区内的情况。未经批准的来访人员不得在厂区内进行拍照、录像或摄影，接待结束时需目送其离开厂区。2、各业务单位来公司联系工作时，必须在会议室或指定区域内接待，相关职能部门有责任做好引导和约束工作。陪同人员在陪同过程中不得超出授权范围行事。未经公司许可，来访人员不得擅自携带本公司样品或产品出厂。前台每月需导出一次接待人违规记录，包括未还卡、未全程陪同等，违规者按公司规定处罚。3、正式员工遗失或忘带工卡等情况下需进入公司，无需填写接待申请单，前台可发放员工临时工卡凭其进出，当天有效。公司员工应明确员工信息安全责任，部门需定期组织公司内部信息安全培训和宣导，对可能接触到公司保密信息的员工需签署保密协议。所有员工有义务和责任防止无关外来人员进入研发区、生产区、办公区和仓库区，如对方不听劝阻，应及时通知公司领导。4、研发区域设有研发网络和研发公网，两者完全隔离且不能互访。研发公网与非研发办公网通过逻辑隔离，数据不能互访，只允许邮件交互，对研发公网发出的邮件需进行监控。研发网络不允许使用，研发公网可使用但只能收取邮件，不能发送。进入研发区域需通过门禁控制，不得携带手机、相机、U盘等移动设备进入，保安人员会进行随机抽查。研发区域实施门禁控制，仅授权人员才能进入。研发网络使用的，需设立安全机箱，将可能接触到的口、口、网口全部锁住。研发图纸需提交对应的共享文件夹，设置访问权限，仅限项目组成员访问。领用样机时需进行资产管理，测试只能在指定区域进行，不能带出。研发人员离职时，应按部门规定执行相关流程，包括工作交接、权限清理、软硬件归还和签署竞业协议等。研发人员的终端设备和笔记本需由专人进行管理。5、制造过程中，所有人员需严格遵守公司制定的各项规章制度，确保生产过程的安全和质量。对于未经授权的人员，不得进入制造区域。制造区域设有门禁控制，只有授权人员才能进入。制造过程中，需进行严格的设备管理和操作规范，确保设备正常运行和产品质量。对于设备故障和异常情况，需及时报告相关部门进行处理。制造区域需实施24小时监控，确保生产过程的安全和质量。所有制造过程中的记录需进行保存和备份，以备查阅和追溯。样品物料需进行台账管理，指定专人负责管理。样品离开样品组时，必须入库或由部门主管签署的领出单发出。制样组需记录至台账，半成品、成品、制样治具放入工程部指定的受控区域保管。定期销毁样品物料，由工程部向信息安全管理委员会申请，并做好记录。试产和量产物料需安排专人负责领料、生产、入库，报废品或物料统一进入不良品仓。定期申报后，集中销毁。待产时，物料需放入指定的受控区域进行管理，并做好台账登记。品质部需对检验物料进行样品台账管理。未经公司许可，公司员工不得擅自携带本公司物料、样品、产品出厂。房内设置了公司总网络机柜，大门必须随时关闭上锁，钥匙由管理人员保管并存档。任何人进入房必须经同意，并在其部门员工的陪同下方可进入。非信息管理员原则上不得进入房内机柜进行操作，如有特殊情况必须经主管部门批准同意后，在有关人员监督下进行操作。对操作内容进行记录，由操作人和监督人签字备查。保持机柜内整洁，定期进行设备保养，保持清洁光亮。房内严禁携带易燃、易爆、有腐蚀等危险品进入室内，不得在房内进食食品。在通电的情况下，严禁拆卸、移动机柜内交换机、服务器等设备和部件。定期检查机柜各系统运行情况，保证机柜正常运行。机柜内已对内、外网交换机进行标示，对所有网线按房号进行标示，如有新增必须进行标示。定期检查机房消防设备器材。机房内不得随意丢弃储蓄介质和有关业务保密数据资料，对废弃储蓄介质和业务保密资料要及时销毁，不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。房内需保持恒温、恒湿、电压稳定，做好静电防护和防尘等工作，保证主机系统平稳运行。定期测试空调系统运行各项性能指标，并做好记录，发现问题及时解决，保证机房空调正常运行。计算机机房后备电源每年需充放电一到两次，除了电池自动检测外。服务器、路由器等重要设备的超级用户密码应由运行机构负责人指定专人进行设置和管理。密码设置人员应将密码装入密码信封，加盖个人名章或签字后交给密码管理人员存档并登记。如需启用封存的密码，必须经过相关部门负责人同意，并由密码使用人员向密码管理人员索取。使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。计算机使用部门应保持清洁、安全、良好的计算机设备工作环境。严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电拨插计算机外部设备接口。计算机出现故障时应及时向负责部门报告，不允许私自处理或找非本公司技术人员进行维修及操作。计算机设备送外维修，须经主管部门批准，统一维修。非本公司人员对我公司的设备、系统等进行维修、维护时，必须通知公司信息管理员。信息管理员对其提出注意事项，“内网”电脑维修、维护时必须进行监督。对必须使用“内网”的员工申报公司领导同意后开通。每台“内网”使用的电脑均指定地址，落实使用人，“内网”计算机使用人应经过公司领导批准；“内网”电脑必须设置开机密码、勾选“待机恢复输入密码”。密码应定期修改，间隔时间不得超过两个月，如发现或怀疑密码遗失或泄漏应立即修改。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。所有外网电脑应进行绑定，防止“内网”用户误接入外网造成信息安全隐患。如有新增电脑进入外网，必须经过主管部门批准。新入职员工必须先接受网络安全知识培训后方可上岗工作。员工职务变动时，应及时按部门流程办理软硬件、权限的调整工作。员工离职时，人力资源应及时通知信息技术部取消其所有的资源使用权限，回收其电脑并保留一个星期，若一个星期之内部没有招到新员工顶替，电脑将备份数据后入库。如需要私人计算机连接到公司网络，需要信息技术部门授权并进行登记。任何人不得进入未经许可的计算机系统更改系统信息和用户数据，不得以任何形式访问公司的其它电脑或者服务器。存放备份数据的介质必须具有明确的标识。备份数据必须与计算机分开存放，并明确落实备份数据的管理人。2、在存储重要信息资料和数据存储介质时，必须注意物理安全，以确保数据的安全性。3、在进行数据恢复前，必须备份原环境中的数据，以防止有用数据的丢失。在数据恢复过程中，必须严格按照数据恢复手册执行，并在出现问题时寻求相关部门的现场技术支持。数据恢复后，必须进行验证和确认，以确保数据的完整性和可用性。4、在进行数据清理前，必须备份数据，并在确认备份正确后才能进行清理操作。历次清理前的备份数据必须根据备份策略进行定期保存或永久保存，并确保可以随时使用。5、需要长期保存的数据应该刻录2张光盘并分开存放，并有详细的文档记录。6、需要长期保存的数据，数据管理部门应与相关部门制定转存方案，并在介质有效期内进行转存，以防止存储介质过期失效。通过有效的查询和使用方法，可以保证数据的完整性和可用性。转存的数据必须有详细的文档记录。7、在送修前，需要备份设备存储介质内的应用软件和数据等涉及经营管理的信息，并进行登记。对修复的设备，信息管理员应对设备进行验收、病毒检测和登记。8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，以防止泄密。9、需要经常进行计算机病毒检查，并及时清除发现的病毒。10、未经有关部门允许，不准安装其他软件，也不准使用来源不明的载体（包括软盘、光盘、移动硬盘等）。四、处罚任何涉及以下行为之一的行为，公司将视情节轻重给予处罚。对于触犯国家法律的行为，公司将移交国家司法机关依法处理。因违反本规定或进行不当操作造成计算机损坏的，公司可根据情况，要求当事人负担部分或全部