联想内部信息安全制度

PAGE联想内部信息安全制度一、总则（一）目的为了加强联想内部信息安全管理，保护公司的信息资产安全，确保公司业务的正常运转，特制定本制度。本制度旨在规范公司内部信息的收集、存储、使用、传输、共享和删除等行为，防止信息泄露、篡改、丢失或被非法获取，维护公司的合法权益和声誉。（二）适用范围本制度适用于联想公司全体员工、合作伙伴以及任何因工作需要访问公司信息系统或接触公司信息资产的人员。（三）基本原则1.合法性原则：严格遵守国家法律法规和行业标准，确保公司信息安全管理活动合法合规。2.保密性原则：对公司的敏感信息进行严格保密，防止信息泄露给未经授权的人员或机构。3.完整性原则：保证公司信息的完整性，防止信息被篡改或损坏。4.可用性原则：确保公司信息系统的正常运行，保证信息的及时、准确获取和使用。5.责任追究原则：对违反信息安全制度的行为进行责任追究，严肃处理相关责任人。二、信息安全管理机构及职责（一）信息安全管理委员会1.组成：由公司高层管理人员担任主任，各部门负责人为成员。2.职责：制定公司信息安全战略和方针，审批信息安全管理制度和规划。决策公司信息安全重大事项，协调解决信息安全工作中的重大问题。监督信息安全管理工作的执行情况，对信息安全工作进行全面指导和管理。（二）信息安全管理部门1.设置：设立专门的信息安全管理部门，配备专业的信息安全管理人员。2.职责：负责制定和完善公司信息安全管理制度、流程和标准，并监督执行。组织开展信息安全风险评估、审计和监控工作，及时发现和处理信息安全隐患。负责公司信息安全技术防护体系的建设和维护，包括防火墙、入侵检测系统、加密技术等。开展信息安全培训和教育工作，提高员工的信息安全意识和技能。协调处理信息安全事件，及时向上级报告，并采取措施降低事件造成的损失。与外部信息安全机构进行沟通与合作，及时了解行业信息安全动态，借鉴先进的管理经验和技术手段。（三）各部门信息安全责任人1.职责：负责本部门信息安全管理工作，落实公司信息安全制度和要求。组织开展本部门信息安全培训和教育活动，提高员工信息安全意识。定期对本部门信息资产进行清查和盘点，确保信息资产的安全和完整。监督本部门员工的信息安全行为，及时发现和纠正违规行为。配合信息安全管理部门开展信息安全工作，及时报告本部门信息安全事件。三、信息资产分类与管理（一）信息资产分类1.按照敏感程度分类：绝密信息：涉及公司核心商业机密、技术秘密、财务数据等，一旦泄露将对公司造成重大损失的信息。机密信息：包括公司重要业务信息、客户资料、内部管理文件等，泄露后可能对公司业务产生较大影响的信息。秘密信息：一般性的公司业务信息、日常办公文件等，泄露后可能对公司造成一定影响的信息。公开信息：可以向社会公开的公司信息，如公司简介、产品宣传资料等。2.按照信息载体分类：电子信息资产：包括计算机系统、网络设备、数据库、文件服务器、电子邮件系统等存储的信息。纸质信息资产：如文件、档案、报表、合同等纸质介质存储的信息。其他信息资产：如移动存储设备、多媒体资料、语音记录等存储的信息。（二）信息资产标识与登记1.对每一项信息资产进行唯一标识，并建立详细的信息资产登记台账。台账内容包括信息资产名称、类别、来源、存储位置、密级、责任人、使用范围、更新时间等。2.在信息资产载体上显著标识其密级和责任人，确保信息资产的标识清晰、易于识别。（三）信息资产存储与保管1.电子信息资产：按照信息资产的类别和重要性，合理分配存储资源，确保数据存储的安全性和可靠性。采用数据备份和恢复策略，定期对重要数据进行备份，并将备份数据存储在安全的位置。备份数据的存储介质应与原数据存储介质分开存放，异地存储一份备份数据。对存储设备进行定期维护和检查，确保设备的正常运行，防止因设备故障导致数据丢失。建立数据访问控制机制，根据员工的工作职责和权限，限制对信息资产的访问。只有经过授权的人员才能访问相应级别的信息资产。2.纸质信息资产：设立专门的文件档案库，对纸质信息资产进行集中存储和管理。档案库应具备防火、防潮、防虫、防盗等安全设施。按照文件的类别和时间顺序进行分类存放，建立文件索引和目录，便于查找和使用。定期对纸质文件进行清理和归档，销毁过期或无用的文件，确保文件档案库的整洁和有序。3.其他信息资产：对移动存储设备、多媒体资料等其他信息资产进行分类管理，明确存储位置和责任人。对移动存储设备进行加密处理，防止数据在传输和存储过程中被窃取。定期对多媒体资料进行备份和整理，确保资料的完整性和可访问性。（四）信息资产使用与共享1.信息资产使用：员工在使用公司信息资产时，应严格遵守公司的信息安全制度和操作规程，确保信息资产的安全和正常使用。对于涉及敏感信息的信息资产，应采取必要的安全措施，如加密传输、访问控制等，防止信息泄露。不得擅自修改、删除或破坏公司的信息资产，如需对信息资产进行修改或更新，应按照规定的流程进行审批和操作。2.信息资产共享：公司内部各部门之间如需共享信息资产，应按照规定的流程进行申请和审批。申请部门应明确共享信息资产的名称、类别、共享范围、共享期限等信息，并说明共享的必要性和安全性措施。审批部门应根据共享信息资产的密级和敏感程度，评估共享的风险，并决定是否批准共享申请。对于涉及敏感信息的共享申请，应采取严格的安全措施，确保信息在共享过程中的安全。在信息资产共享过程中，共享双方应签订信息安全保密协议，明确双方的权利和义务，确保信息资产的安全和保密。（五）信息资产销毁1.当信息资产不再需要或达到保存期限时，应按照规定的流程进行销毁。销毁前应进行审批，确保销毁行为的合法性和必要性。2.电子信息资产销毁：采用安全可靠的方式对电子信息资产进行销毁，如数据擦除、格式化、物理损坏等，确保数据无法恢复。在销毁电子信息资产时，应进行记录，包括销毁时间、销毁方式、销毁设备、销毁人员等信息。3.纸质信息资产销毁：对于纸质信息资产，应采用焚烧、粉碎等方式进行销毁，确保文件内容无法辨认。销毁纸质信息资产时，应在专人监督下进行，并做好销毁记录。4.其他信息资产销毁：按照电子信息资产或纸质信息资产的销毁方式，对移动存储设备、多媒体资料等其他信息资产进行销毁，并做好记录。四、信息安全技术防护（一）网络安全防护1.建立完善的网络安全防护体系，包括防火墙、入侵检测系统、防病毒软件等，防止外部非法网络访问和攻击。2.对公司内部网络进行分段管理，严格控制不同区域之间的网络访问权限，防止内部网络安全事件的发生。3.定期对网络设备进行漏洞扫描和安全评估，及时发现和修复网络安全漏洞。4.制定网络安全应急预案，在发生网络安全事件时能够迅速响应，采取措施降低事件造成的损失。（二）数据安全防护1.采用数据加密技术，对公司的敏感数据进行加密存储和传输，确保数据在传输和存储过程中的安全性。2.建立数据备份和恢复机制，定期对重要数据进行备份，并将备份数据存储在安全的位置。备份数据应具备可恢复性，能够在数据丢失或损坏时及时恢复。3.对数据访问进行严格的权限控制，只有经过授权的人员才能访问相应级别的数据。同时，对数据访问行为进行审计和记录，以便及时发现和处理异常访问行为。4.加强对数据库的安全管理，定期对数据库进行备份、优化和安全检查，防止数据库被攻击或数据泄露。（三）终端安全防护1.对公司员工使用的终端设备（如计算机、笔记本电脑、移动设备等）进行安全管理，安装防病毒软件、防火墙等安全防护软件，并定期进行更新和升级。2.制定终端设备安全策略，限制终端设备的使用权限，如禁止安装未经授权的软件、限制外部设备接入等，防止终端设备成为安全漏洞的入口。3.对终端设备进行定期巡检，检查设备的安全状态，及时发现和处理设备故障和安全隐患。4.加强对移动设备的管理，采用移动设备管理系统（MDM）对移动设备进行远程管理和监控，确保移动设备的安全。五、信息安全人员管理（一）人员招聘与入职管理1.在人员招聘过程中，应注重考察应聘者的信息安全意识和职业道德，对应聘者进行背景调查，确保招聘人员符合公司信息安全要求。2.新员工入职时，应进行信息安全培训，使其了解公司信息安全制度和要求，签订信息安全保密协议，明确其在信息安全方面的责任和义务。3.为新员工分配信息资产访问权限时，应根据其工作职责和岗位需求，严格按照权限管理流程进行分配，并进行记录。（二）人员培训与教育1.定期组织公司员工参加信息安全培训和教育活动，提高员工的信息安全意识和技能。培训内容包括信息安全法律法规、公司信息安全制度、信息安全技术知识等。2.根据员工的工作岗位和职责，开展针对性的信息安全培训，如对涉及敏感信息的员工进行加密技术、访问控制等方面的培训。3.鼓励员工自主学习信息安全知识，参加相关的培训课程和考试，对表现优秀的员工给予奖励。（三）人员考核与奖惩1.建立信息安全人员考核机制，对员工的信息安全工作表现进行定期考核。考核内容包括信息安全制度执行情况、信息安全意识、信息安全技能等方面。2.对在信息安全工作中表现突出的员工给予奖励，如表彰、奖金、晋升等，激励员工积极参与信息安全工作。3.对违反信息安全制度的员工进行严肃处理，根据违规行为的严重程度，给予警告、罚款、降职、辞退等处罚，并追究其相应的法律责任。（四）人员离职管理1.员工离职时，应按照规定的流程进行离职交接，归还所使用的公司信息资产和相关资料，删除其在公司信息系统中的账号和权限。2.对离职员工进行离职面谈，提醒其在离职后仍需遵守公司信息安全保密协议，不得泄露公司信息。3.在离职员工离职手续办理完毕后，对其在公司期间的信息安全行为进行审计，如发现有违规行为，按照公司规定进行处理。六、信息安全审计与监控（一）信息安全审计1.定期开展信息安全审计工作，对公司信息安全管理制度的执行情况、信息资产的管理情况、信息安全技术防护措施的有效性等进行全面审计。2.制定信息安全审计计划和审计方案，明确审计的范围、内容、方法和时间安排。审计人员应具备专业的信息安全知识和技能，确保审计工作的准确性和有效性。3.对审计发现的问题进行详细记录和分析，提出整改建议和措施，并跟踪整改情况，确保问题得到及时解决。4.将信息安全审计结果向公司信息安全管理委员会报告，为公司信息安全决策提供依据。（二）信息安全监控1.建立信息安全监控体系，对公司网络、系统、应用程序等进行实时监控，及时发现和处理信息安全事件。2.监控内容包括网络流量、系统日志、用户行为、数据访问等方面，通过数据分析和关联分析技术，发现潜在的信息安全威胁。3.设立信息安全监控岗位，配备专业的监控人员，负责信息安全监控工作的日常运行和管理。监控人员应具备较强的数据分析能力和应急处理能力，能够及时发现和处理信息安全事件。4.对信息安全监控发现的异常情况进行及时报警，通知相关人员进行处理。同时，对信息安全事件进行详细记录和分析，总结经验教训，不断完善信息安全监控体系。七、信息安全事件管理（一）事件定义与分级1.信息安全事件定义：指由于自然灾难、人为失误、恶意攻击等原因，导致公司信息资产遭受泄露、篡改、丢失或被非法获取，对公司业务造成影响的事件。2.信息安全事件分级：根据信息安全事件对公司业务的影响程度和损失大小，将信息安全事件分为重大事件、较大事件、一般事件和轻微事件四级。重大事件：指导致公司核心业务瘫痪、重要信息资产泄露、公司声誉严重受损等，造成重大经济损失或社会影响的事件。较大事件：指导致公司重要业务受到较大影响、部分信息资产泄露、公司声誉受到一定影响等，造成较大经济损失的事件。一般事件：指导致公司一般业务受到影响、少量信息资产泄露、公司声誉受到轻微影响等，造成一定经济损失的事件。轻微事件：指对公司业务影响较小、信息资产未造成实质性损失、公司声誉未受到影响的事件。（二）事件报告与响应1.事件报告：发生信息安全事件后，事件发现人应立即向本部门负责人报告，部门负责人应在接到报告后及时向公司信息安全管理部门报告。信息安全管理部门在接到报告后，应迅速对事件进行初步评估，判断事件的严重程度，并及时向公司信息安全管理委员会报告。对于重大信息安全事件，公司应在事件发生后[X]小时内向上级主管部门和相关监管机构报告。2.事件响应：公司信息安全管理部门在接到信息安全事件报告后，应立即启动信息安全应急预案，组织相关人员进行应急处理。应急处理人员应迅速采取措施，控制事件的发展，防止事件进一步扩大。如采取隔离网络、关闭系统、清除病毒、恢复数据等措施。在应急处理过程中，应及时收集事件相关的证据和信息，如系统日志、网络流量数据、用户操作记录等，以便后续进行分析和调查。（三）事件调查与处理1.事件调查：信息安全事件应急处理结束后，应及时组织对事件进行调查，查明事件发生的原因、过程和影响范围。调查人员应通过查阅相关资料、询问相关人员、分析技术数据等方式，全面了解事件情况，找出事件的根源和责任人。在事件调查过程中，应保持客观、公正、严谨的态度，如实记录调查结果，形成事