当前位置:文档之家› 信息安全管理制度

信息安全管理制度

1目的为加强公司内部信息安全保障体系建设、提升公司内部针对数据信息风险识别、评估和预防能力,从而达到规避信息安全问题给公司带来经济损失和经营风险。

2适用范围本制度适应公司信息安全管理(网络、软件系统、网络设备、机房等)。

3名词解释3.1信息:是指音讯、消息、通讯系统传输和处理的对象,泛指公司运营过程中所产生具备可再利用价值数据载体。

按照数据来源方式,可将公司信息大致分为:技术信息、商务信息、财务信息、生产设备信息。

3.2信息安全:是指保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。

4功能权责4.1 IT部:负责整个公司网络信息安全统筹管理、研发服务器上的应该用管理、维护、数据备份和定期巡检,研发内部信息安全的审查。

以及负责本制度制订、解释和执行情况监督。

4.2研发部:负责对PDM、PLM、以及开发专用软件及工具的使用管理,必要生产资料的发放,且负责本制度内部宣导、执行和监督。

4.3 公司各部门:负责对个人办公涉及硬件、软件、网络等相关资源管理,且负责本制度内部宣导、执行和监督。

5制度说明5.1计算机设备安全管理5.1.1严禁使用个人计算机接入公司网络或进行办公用途。

若因工作需要必须使用个人电脑的,必须提交《USB存储、个人邮箱/计算机权限申请单》申请,经公司总经理批准后由IT部携带卡方可带入公司使用,并且进出公司大门时需要在保安处登记。

如有违反,对违规电脑一律进行全盘格式化处理,并全公司范围通报批评。

如对公司造成损失的,视情节严重情况,予以追究相应责任。

5.1.2禁止对办公计算机进行一切未授权的外部访问,包括光盘引导、U盘引导、硬盘引导等非法访问方式。

5.1.3因公出差人员,如需外带笔记本电脑,应提前申请,并说明出差事由、时间等信息,由IT部统一配置,并对所存储资料进行加密处理。

出差结束后应及时归还借用笔记本电脑,并由IT部对使用情况进行安全审计,如有异常及时上报。

5.1.4公司所有员工应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、腐蚀、强磁性等有害计算机设备安全的物品。

5.1.5严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。

5.1.6发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。

公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。

任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。

公司会视实际情况进行处理。

5.1.7下班后所有不再使用的计算机,应关闭主机电源,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。

5.1.8外请人员对计算机进行维修时,必须由IT部人员全程陪同。

5.1.9员工原则上只能使用本部门分配的计算机,非必要时,不能将设备交由他人操作;非经当事人同意,不得擅自在他人的计算机上进行任何操作;5.1.10员工不能私自安装电脑系统,若需要安装系统,必须联系IT部,由IT工程师评估之后,安排时间安装。

对因私自安装影响正常使用,数据丢失等损失,由员工自己承担,并视损失程度进行处罚。

5.1.11员工不能私自拆装电脑,若发现有电脑配件被更换或减少,将对设备保管人进行处罚。

5.1.12因员工在电脑上接入产品,设备,导致电脑主板、电源、USB接口等烧坏,后果由员工自行承担,对损失进行赔偿(因工作原因除外)。

5.1.13公司的电脑显示器、主机、打印机、笔记本、投影仪等IT资产,有贴好唯一编号的标签,员工不可以私自撕毁,覆盖,兑换标签,若发现标签不见,损毁,与实物不符,则对资产保管人和使用人进行处罚。

5.1.14严禁非法断电关机,严禁IT设备接触水、金属丝等导电异物5.1.15研发部门使用的电脑应安装信息安全防护软件,对公司重要的文档和数据进行保护(IP_guad)5.1.16接入研发网络的笔记本电脑应安装信息安全保护软件。

5.1.17研发部门的同事应当遵守公司的保密协议,未经授权不能将会司涉密文件通过移动存储或网络等任保途径带出公司,一旦发现将移交公安机关处理。

5.2资料安全管理5.2.1所有公司员工严禁以个人存储介质,如光盘、U盘、移动硬盘等存储设备拷贝公司文件资料。

5.2.2内部文件交换,必须使用已登记的公司U盘、移动硬盘等存储介质,在IT部指定的办公计算机上进行操作。

5.2.3外部输入文件,可使用个人存储设备,但必须在IT部指定的办公计算机上进行操作。

5.2.4未经授权,任何人不得通过非法途径复制公司办公电脑信息资料。

若实际工作需要,必须依照《IT服务管理规定》申请审批后,方可开通。

5.2.5所有公司员工不得私自将公司文件打印带出公司,一经发现,严肃处理。

若在上班时间,打印工作文件时,需要将打印文件马上取走,或通知本部门人员代为领取打印文件。

针对未及时取走打印文件行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。

5.2.6部门重要文件资料需存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源,若因资料没有存放好,被他人取走,造成的后果将由本人承担。

5.2.7公司所有员工必须在使用的计算机中设置开机密码和屏幕保护密码,为了保护公司财产、以及员工办公机密信息,设置密码时,应注意:密码至少有8字符长度,密码必须包含以下任一部分:字母A-Z或者a-z,数字0-9,以及特殊符号(例如:$@#^!_等),每三个月必须更新一次密码。

5.2.8公司所有人员工拥有一个公司内部计算机登录账号。

新员工申请账号时需要向网络管理员提供姓名、部门、职位等信息,网络工程师将在一天内将账户信息通知其本人。

公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码。

5.2.9服务器、网络设备、固定电话、WIFI、以及门禁和考勤设备的账号和密码,根据实际工作职责,以及业务需求,依照《IT服务管理规定》相关管理规定提交相关申请,经批准后,由管理员统一配发,同时管理员也会进行周期性更新,使用者不得私自修改、或者意图采用其它方式进行篡改账号和密码信息,一经发现严肃处理。

5.2.10公司内部使用的业务系统(OA、ERP、企业邮箱、考勤软件等),依据入职员工岗位职责、工作范围等相关信息,统一分配系统账号和密码,初始账号和密码统一由系统管理员设置,后续员工必须重新设置,且必须妥善管理。

严防密码和账号被窃取而导致泄密。

5.2.11公司员工调离岗位时,管理员及时注销、收回员工现有账号和密码,以避免信息账号和密码信息泄露导致信息安全风险。

5.2.12外来磁盘、对外报送的磁盘以及从外界录入信息的磁盘,一律进行病毒检测,在确保没有病毒时方可进入本公司计算机读取信息。

外来的信息光盘,非经允许,不准在公司的计算机读取信息,以防止病毒入侵。

5.2.13严禁员工私自将与工作无关文件信息以光盘、活动硬盘、局域网及其它任何形式拷贝至公司计算机硬盘及在公司局域网上传播。

5.2.14业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2个月,具体依据数据的重要性和追溯要求确定保存期限。

5.2.15严禁利用,具备拍照、摄影、录像功等影像记忆功能的个人电子设备,在公司办公区内开展拍照、摄影、录像等活动。

5.2.16与工作相关的重要文件及数据保存两份以上的备份,并上传到PLM系统;研发过程中的程序源代码数据应实时上传到SVN 文件服务器,所有研发人员需严格遵守《研发管理制度》。

5.3软件安全管理5.3.1公司ERP管理系统应建立严格的安全防护策略,禁止通过外部互联网访问公司软件系统。

如因业务性质要求,需开放系统外网访问功能,IT部应提前规划完善的安全访问策略,并提报外部访问人员名单,经公司审批后执行,记录备案。

5.3.2公司所有服务器、以及个人办公电脑都必须安装由IT部指定杀毒软件、且必须设置好自动调度更新和病毒库升级、每日定时杀毒。

不得擅自卸载杀毒软件,IT部会不定期进行抽查,且将抽查结果详细记录到《杀毒软件安装情况分析表》。

5.3.3系统中心各部门应定期查毒,(周期15天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。

5.3.4公司配备具有IPS和IDS能力的网络设备(例如:防火墙、路由器、网络行为监控设备等),操作系统等,对于公司的网络资源、应用软件、用户行为等进行24小时监控。

可以有效避免各种外来攻击。

5.3.5公司所有员工都必须基于域控服务器安全认证机制,访问公司文件服务器、共享文档、以及其他资源,员工不得擅自摆脱域控,违者按照罚则进行处分。

5.3.6在个人办公电脑上安装和使用各种应用软件之前,必须经由杀毒软件对安装源进行全文扫描,确认无任何病毒之后,方可安装。

5.3.7所有软件安装源、或光碟交由IT部统一保管,且必须保管在防水、防磁、防火、防盗之处。

5.3.8任何部门和个人严禁在局域网上使用来历不明、可能引发病毒传染的软件。

对于可能引起计算机病毒的软件,应使用杀毒软件检查、杀毒。

5.4网络安全管理5.4.1未经公司IT部确认,任何人不得私自改变公司网络拓扑结构、网络设备布置、服务器、路由器、交换机配置和网络参数。

5.4.2严禁在公司办公环境私自架设无线网络,影响正常办公秩序;5.4.3任何员工不得随意改变网络接入位置、也不得随意修改办公电脑接入IP、网卡地址。

5.4.4任何员工不得对公司内部网络进行恶意侦听和信息截获、发送干扰正常网络通信的数据,或利用各种系统漏洞扫描工具、扫描公司内网中其它办公电脑漏洞和利用漏洞发起网络攻击。

5.4.5非涉外工作需要,禁止办公计算机接入互联网,使用QQ、Skype、MSN等即时联络通讯软件,以免造成内部资料外泄。

若实际工作需要,必须依照《IT服务管理规定》申请审批后,方可开通。

5.4.6任何员工不得利用公司互联网资源访问和传播色情、邪教、谣言等不利于公司的负面信息。

5.4.7任何员工不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。

网络使用者发现病毒应立即向IT部反馈。

IT部接到举报后,应及时指导和协助处理病毒。

5.4.8任何单位及个人,不得利用联网计算机从事危害公司局域网的活动。

5.4.9任何外来协作单位以及个人、进入公司使用网络资源之前,接待部门必须严格按照《外来人员网络、设备资源使用登记表》登记后,IT部工程师才开放相关资源。

默认情况外来协作工作单位及个人仅限于外网资源使用,禁止访问公司内网上的任何资源。

但外来协作单位及个人,在工作开展过程中确实需要使用公司内网资源,接待部门相关负责必须参照《IT服务管理规定》相关规定进行申请。

相关主题