信息安全管理制度

电子技术有限公司 文件编号： QS-MAD-014 制定单位：管理部 制定日期：2012-10-29 三阶文件 信息安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 修正日期： 版 本：A/01版 页 数： 第1页 共11页 编 号：QS-MAD-014 版本： A/01 拟 制: 日期： 2012-10-29 审 核： 日期： 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化： 日期： 批 准： 日期： 文 件 修 订 记 录 页面 版本 修订人 修订内容 修订日期 （共 页包括封面） 会签栏 市场部 研发部 PMC部 制造部 质量部 财务部 管理部 总经理 发放对象 市场部 研发部 PMC部 制造部 质量部 财务部 管理部 总经理 目 录 31、 总则 31.1 目的 31.2 范围 32、 信息安全管理相关角色职责 33、 管理规定 33.1 计算机及周边设备使用与安全 33.2 网络使用与安全 33.3 Internet访问控制 33.4 文档保密管理 33.5 病毒防范 33.6 域用户管理 33.7 信息安全及危机处理 33.8 机房管理 34、 处罚条例（参照奖惩制度） 35、 参考文件 1、 总则 a) 目的 为了 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 公司信息安全管理，增强公司所有员工的信息安全意识，防止公司机密信息被有意或无意泄露，特制定本制度。 b) 范围 本文规定了信息安全管理相关标准和注意事项，规定了员工保护公司机密信息的责任，并列出了大量可能遇到的情况下的安全要求。 本制度适用于公司所有在职员工，包括授权使用公司内部资源的人员。 2、 信息安全管理相关角色职责： IT部门对公司IT规划、建设、管理、维护及信息安全负责，同时根据公司资源的配置情况进行设备的调配；员工必须遵照《信息安全管理制度》并配合IT部门做好各种信息系统及设备维护，保证各种信息系统、IT设备、系统数据安全完好。 3、 管理规定 a) 计算机及周边设备使用与安全 3.1.1 计算机使用与安全 3.1.1.1 计算机为专人使用，未经许可不得使用他人计算机，所有计算机取消配置光驱并加密USB端口限制加密文件出口；所有人员必须设置开机密码及屏保密码，密码长度不短于六位并符合复杂性要求。 3.1.1.2 计算机硬件、软件、网络及周边设备维修、维护由IT人员负责。未经允许不得私自拆卸计算机箱，不得擅自增加或拆除计算机内的配件；禁止私自卸载加密软件、安装与工作无关的软件以及重装操作系统. 3.1.1.3 所有人员下班后必须关闭计算机及显示器的电源开关，笔记本要入柜锁好，平时不使用计算机时应将计算机显示器关闭（节约电力延长设备使用寿命). 3.1.1.4 在计算机运行时不得移动、敲打、震动计算机主机，以免硬盘损坏导致数据资料遗失，保持计算机干净、整洁； 3.1.1.5 不得使用未经IT认可的其他一切移动存储设备（笔记本电脑、U盘、移动硬盘、MP3等），否则公司有权没收移动存储设备(包括可作为移动存储设备使用的电器)，并对违反规定的当事人处以警告或以上处罚。 3.1.1.6 如有计算机软硬件故障需要维修，必须依照《IT技术支持申请管理办法》提出申请，由IT人员负责维修及故障排除；IT人员必须定期检查及维护相关设备并做好相关记录； 3.1.1.7 未经公司明确允许，不允许擅自使用个人电脑进行办公与业务。如已获允许使用个人电脑进行办公与业务，应当清楚注意以下几点： a) 使用个人电脑于公司内进行办公、开发等成果，均属公司资产，受到公司监管。 b) 个人电脑于公司内所安装软件，必须是经公司允许使用的。未经公司允许，因个人学习需要所安装的软件，不得在公司内使用。 c) 个人电脑于公司内使用，发生的非人为硬件故障，公司无维修责任。 d) 个人电脑于公司内进行业务，亦需接受公司信息安全制度监管。 3.1.1.8 员工计算机上的重要资料必须定期备份。 3.1.1.9 员工在更换或退回计算机时，必须备份计算机上的重要资料，然后彻底删除计算机中的资料。 3.1.1.9 员工在公司内使用与工作无关的、受版权或其他知识产权法规保护的信息或软件时，须得到版权所有者的允许，否则须承担个人责任，与公司无关。 3.1.2 计算机周边设备使用与安全 3.1.2.1 打印机、复印机 a) 为降低打印纸、炭粉等耗材费用，所有用户必须合理使用打印机，尽量减少打印量；如果不是正式对外或重要文件，尽量采用再生纸进行打印； b) 未经允许，严禁打印、复印、传真含有公司机密信息的文件，IT人员通过技术手段检查每个用户及部门的打印文件，防止机密信息泄露，同时对打印和复印量进行考核； c) 用户打印的资料必须及时从打印机上取走，避免打印出来的资料当做回收纸造成浪费；从打印机上取资料时，只能取自己的资料，不能将他人资料取出随便放置； d) K3系统所需打印单据必须使用针式打印机打印，不得使用手写纸单据； 3.1.2.2 电话系统及传真机 a) 电话系统及传真机是公司内外联系的主要通信工具，所有员工必须合理利用； b) 电话系统及传真机由IT部门负责维护管理； c) 除经理级含以上人员之外，所有电话只能拨打内线电话；如需要拨打外线，必须填写《IT支持申请表》并详细注明申请的等级（国际长途、国内长途、市话）经批准后，IT部门根据号码资源情况分配内线电话号码或拨打外线账号；市话等级由本部门经理审批，国内长途及国际长途由部门经理审核、副总经理批准； d) 不得使用公司电话打私人电话；所有电话应长话短说，尽量避免长时间占用电话线路影响公司对外联络； e) 员工如发现电话系统及传真机故障，应及时通知IT人员派人处理； 3.1.2.3 IT必须定期对计算机周边设备进行检查维护，确保设备正常工作； 3.1.2.4 IT人员有权根据业务的需要合理调配各部门计算机及周边设备； 3.1.2.5 计算机及周边设备购买流程参考《晶福源固定资产管理程序》。 b) 网络使用与安全 员工于公司内使用公司网络资源，仅限于工作与业务用途，不允许浏览与工作无关网页，使用QQ、MSN等即时通信工具与外界进行私人信息交流。 3.2.1 文件共享 a) 禁止使用基于互联网的PEER-TO-PEER（即P2P） 文件共享服务， 如NAPSTER、 Kazaa、 BT、eMule、 eDonkey等P2P共享软件，除非由公司直属领导明确批准，并经过IT部门审核通过； b) 不能在员工的个人计算机上配置匿名的FTP， TFTP， HTTP等其他无需验证的服务。 例如: 员工不能分配员工的整个硬盘给匿名访问； c) 无直属领导批准，不允许通过移动存储设备包括可作为移动存储设备使用的电器传输包含有公司机密信息的资料； d) 如果因为业务需要，其他人员必须要访问员工的硬盘或个人计算机中的公司机密信息。当定义共享功能时，员工必须设定特定用户权限、设定访问密码，并单独告知须访问共享的员工。如果无需共享及共享完成时，应该及时取消； e) 不能使用未经公司批准的即时通讯软件（如OICQ、MSN、网易泡泡等），内部通讯工具按公司规定使用。 3.2.2 邮件 a) 员工必须依照《IT支持申请表》之规定申请账号后方可使用；所有人员必须使用分配的个人邮箱接收和发送邮件，禁止将邮箱账号借给他人使用或盗用他人名义发送邮件； b) 公司领导有权查看部下的公司邮箱的权利，避免公司信息泄露和非法盗用。取消公司邮件WEB收发方式，统一使用OUTLOOK等邮件工具收发，禁止使用如163.126等私人邮件； c) 所有邮件用户不得利用公司提供的邮件账号发送与工作无关事项，为保证沟通畅顺，所有发送邮件携带附件不能超过10MB，超过10M的文件通过FTP传送； d) 为保证信息的准确传递，避免内部垃圾邮件以及泄露公司机密，严禁将只需知会、通知部分用户的邮件发送给所有用户或其他无关的用户； e) 访问公司内部及外部电子公告板时不得发表反动、迷信、色情及具有煽动性的言论; f) 禁止使用公司计算机散布或回复连锁邮件，恶作剧邮件,如果员工收到连锁邮件或恶作剧邮件，禁止转发； g) 公司的员工不得转发任何病毒及恶意程序； h) 公司的员工不得通过任何网络途径散发可能被认为不适当的，对他人不尊重或提倡违法行为的内容。 c) Internet访问控制 3.3.1 所有需要访问Internet网站或基于Internet的其他应用（如QQ）必须依照《IT支持申请表》之规定提出申请经部门经理、副总经理、总经理批准后，IT开放相关权限； 3.3.2 公司将屏蔽大部分端口，阻止与工作无关的网络应用软件的运行，包括即时通讯如QQ、ICQ等（MSN通讯除外），网络游戏，网络视屏，网络P2P下载如BT等等。在工作时间员工尽量不要下载过大的文件，占用过多的网络带宽，IT工程师将对计算机进行流量限制和网络行为监控，公司将根据情节轻重进行相关处罚，同时计算机将会禁止网络功能。 3.3.3 所有用户申请的Internet访问权与电脑及时段绑定来实现，严禁无关人员盗用认证的MAC地址上网，如有发现重罚处理。 d) 文档保密管理 3.4.1 所有文档文件按照《文档保密管理条例》由IT部署文件服务器统一负责管理；IT必须做好文档文件的存档、备份和保密工作； 3.4.2 所有需要共享文件、合同、图纸等，必须放置在公司文件服务器相应文件夹，严禁私自建立共享文件夹、文档提供给他人查阅；IT控制文件服务器上各文件文件夹的访问权限分配。 3.4.3 IT部及提供、查阅、使用文档文件的所有人员必须严格遵守《文档保密管理条例》保密制度、规定，如违规泄密，将根据公司规定进行处理。情节严重构成犯罪的，公司将提请司法机关追究其法律责任。 3.4.4 严格遵从公司保密相关规定,为公司文件资料信息保密，是每个成员应尽的义务。 3.4.5 凡涉及本公司利益，在一定时间内只能让一定的人员知悉的文件档案资料，均属保密范围。 3.4.6 保密是文件档案资料管理中非常重要的内容，任何的泄密行为都可能会损害公司的商业秘密和整体利益。公司所有员工，尤其是各部门负责人和文控管理人员，应提高文件档案资料保密意识，并在工作中遵守保密规定。文控人员在平时的工作过程中时刻保持保密意识，在提供档案文件的查借阅时根据密级严格审核和查借阅手续，在每一个细小的环节降低泄密的风险，确保保密文件安全、稳妥。 3.4.7 若发现泄密，保密文件、档案丢失时，应立即向公司领导报告，并及时采取有效补救措施。 3.4.8 保密文件销毁时，必须通过粉碎机销毁。 3.4.9 阐述不尽处，可参见公司《保密协议》相关规定。以及文档管理规定 e) 病毒防范 3.5.1 公司局域网上的每台计算机安装网络版金山毒霸杀毒软件客户端，客户端病毒库自动与服务器进行同步，员工不必关心杀毒软件升级问题。 3.5.2 避免在一台计算机上安装多套杀毒软件程序，将导致系统缓慢或其他系统问题。 3.5.3 IT工程师将及时关注操作系统补丁发布，提醒每位员工及时对操作系统打补丁。员工应及时进行补丁升级。 f) 域用户管理 3.8.1 在公司局域网上建立公司域环境，员工使用域用户进行操作系统的登录。只有以域用户才能访问公司的公共文档，例如ERP系统、服务器上的公共文件夹。外来计算机设备即使连接到公司局域网上也不能访问公司的文档。 3.8.2 员工域用户账号和密码是登录系统和访问公司公共信息的钥匙，必须牢记账户密码，并注意不要泄漏给其他人。公司也将不定期使用组策略强制用户更改域账号密码，并限定密码复杂程度。 3.8.3 在局域网内不建议员工开设共享文件夹，如工作需要开设，必须要进行权限限定。 3.8.4 在域环境中，用户安装软件将受到限制，避免因安装不必要的软件影响操作系统不稳定。在域环境中，员工的账号将由管理员集中管理，如果员工忘记密码，管理员可以及时修改； 3.8.5 为保障公司信息安全，IT工程师将及时清理过期的各类系统账号，主要包括域用户账号、邮箱账号、K/3ERP账号、OA账户以及K/3 PLM系统账户等； g) 信息安全及危机处理 3.7.1公司机密信息 3.7.1.1公司机密信息指公司拥有的信息，包括公司数据库中的信息，其中有许多（但并不是所有）是绝对机密的，也可能享有著作权、专利权或其他知识产权或其他法律上的权利。机密信息包括：与公司目前或未来产品、服务或研究有关的公司技术或科技信息，业务或营销 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 或预测、营业收益或其他财务资料、人事资料（包含主管或组织变更），以及软件等技术信息、经营信息。客户的资料没有 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 3.7.1.2 公司的员工会接触到公司认为属于机密的信息。员工绝对不能在未经公司授权的情况下泄露这些信息，并且必须恪守公司为保护此等信息而制订的各项标准及流程 3.7.1.3 保护公司机密信息的基本要求是：公司机密信息仅限于有业务需要的人员中使用。对于公司机密信息必须根据公司的相关规定予以适当的标识。当将公司的机密信息通过因特网，公众网或无线网络传送时，必须予以加密。 3.7.1.4 如果需要共享公司机密信息，员工必须使用安全控制来管理和限制其他人的访问。 安全控制不能设置为任何人可读，或公共享用公司机密信息。 3.7.1.5 如果员工不理解怎样正确设置或使用安全控制，员工应该向技术中心信息中心请求建议或帮助。 3.7.1.6 当将公司的机密信息存储于可移动的介质上时，如磁盘，磁带，CD， 移动存储设备等， 必须要注意防范偷窃或未经授权的访问。在存储介质上要有公司相关的保密标识，同时当不使用这些文件时，将其锁上保管。禁止暴露在无人照看的区域。 3.7.1.7 禁止在没有员工的控制或公司控制的系统上，存储或处理公司的机密信息。 3.7.1.8 禁止使用提供翻译服务的互联网站来翻译公司的机密信息。 3.7.1.9 禁止在公共计算机内存放含有公司机密信息的文件。如果为工作业务需要，必须在工作业务完成后完全删除含有公司机密信息的文件。 3.7.2 办公区信息安全 3.7.2.1 员工在离开办公桌时应锁定计算机桌面，同时桌面上不能放有秘密以上文件。保密级以上文件应放在带锁抽屉或保密柜内； 3.7.2.2 部门打印机只允许共享给本部门员工，并由专人负责管理； 3.7.2.3 在办公区域接听工作电话或讨论工作进展时，对含有机密信息的内容严禁高声谈论。在会议室会议结束后，要带走相关的会议资料，同时清理会议室场所（包括相关机器设备上的电子件材料、白板上的板书信息、纸件材料等），保证会议信息的不泄漏和会议室使用后的整洁。 3.7.2.4 未经批准严禁带领公司外部人员进入研发工作区；公司访客需进入研发办公区的，需经公司总监以上人员同意，并由相关研发工程师全程陪同； 3.7.2.5 在研发工作区内，与项目无关的人员严禁打听、阅读、各种保密资料和数据；无论公司内部或外部人员，未经部门主管批准，不能在研发区域内拍摄、录音、摄像。 3.7.3 对外交流信息安全 3.7.3.1 外来访人员应引导在前台或保安处登记。登记时需注明是否携带笔记本电脑、照相机、录像机、U盘等。接待人员必须向外来人员说明在没有得到许可的前提下，禁止携带上述物品进入公司；如需携带笔记本电脑进入公司，应提醒来访人员禁止独自在办公区域使用该设备。还应提醒外来人员，未经允许禁止在公司内进行拍照、录像、复印、抄写等活动； 3.7.3.2 接待人员禁止向外来人员透露业务范围之外的公司技术、商务情况，避免在交流中泄密；不随意承诺，不在授权范围之外行事, 已经承诺和双方达成意向的事宜应当做正式记录； 如需向外来人员提供含有公司保密信息的文件、资料或实物，接待人应获得部门主管批准，并与外来人员签订保密协议后再行提供； 3.7.4 密码 3.7.4.1 计算机和各信息系统的用户ID和密码是验证员工身份的关键因素，其允许员工访问公司的计算机和信息。 为了保护员工自身和公司的资源，禁止将员工的密码透露给其他人。 3.7.4.2 计算机的密码必须符合如下条件： a） 至少6个字符 b） 包含二个及以上字母和非字母字符 c） 禁止用户名、工号等的一部分与密码相同 d） 不同系统的密码不能相同 e） 共享密码应随机，并保持至少6个字符 3.7.4.3 员工所使用的各个信息系统的密码要定期更新。 3.7.5 数据备份 3.7.5.1 数据备份是保证数据安全的重要手段之一。IT必须制定详细的备份计划对公司重要数据经行备份并记录相关备份的完整日志，备份对象包括员工计算机重要数据、公司所有信息系统的资料和数据，备份介质包含硬盘、光盘、磁带机； 3.7.5.2 备份计划一般按照每天本机和异地完整备份各一次，可根据不同的情况进行调整，每个季度必须归档一次； 3.7.5.3 所有备份数据必须保证完整有效，IT人员必须定期检查。 3.7.6 所有使用IT系统人员必须依照《IT支持申请管理办法》规定申请相关权限后方可使用；IT必须做好一切防范措施保证信息系统安全； 3.7.7 当发生不可抗拒事件时，IT部要尽可能保护设备及数据完整； 3.7.8 当不可抗拒事件发生后，IT部应立即检查、鉴定设备及数据的损坏情况，并根据具体情况制定恢复系统运行计划和实施； 3.7.9 当系统恢复运行后，立即组织各部门相关人员进行数据恢复工作，使系统正常运行。 机房管理 3.8.1 出入管理 3.8.1.1 严禁非机房工作人员进入机房，特殊情况经机房管理负责人批准，并认真填写登记表后方可进入。 3.8.1.2 进入机房人员应遵守机房管理制度。 3.8.1.3 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。 3.8.2 安全管理 3.8.2.1 操作人员随时监控中心设备运行状况，发现异常情况应立即按照规程进行操作，并及时上报和详细记录。 3.8.2.2 非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。 3.8.2.3 严格执行密码管理规定，对操作密码定期更改，超级用户密码由系统管理员掌握。 3.8.2.4 机房工作人员应恪守保密制度，不得擅自泄露公司各种信息资料与数据。 3.8.2.5 机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。 3.8.2.6 不定期对机房内设置的消防器材、空调设备、电源设备、网络设备、计算机设备、监控设备进行检查，以保证其有效性。并将检查情况记录在《机房设备操作登记薄》上。 3.8.3操作管理 3.8.3.1机房工作人员必须认真、如实、详细填写《机房设备操作登记薄》，以备后查。 3.8.3.2 路由器、交换机和服务器以及通信设备是网络的关键设备，须放置计算机机房内，不得自行配置或更换，更不能挪作它用。 3.8.3.3 严格按照操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。 3.8.3.4 每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备除尘清洁。 3.8.3.5 值班人员必须密切监视机房设备运行状况，确保安全、高效运行。 3.8.3.6 严格按规章制度要求做好各种数据、文件的备份工作。服务器数据库要定期进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，必要时归档到公司技术档案中，以备后查。 3.8.3.7 计算机及其相关设备的报废需经过管理部门或专职人员鉴定，确认不符合使用要求后方可申请报废；报废前硬盘数据必须经过低格技术销毁，然后通过物理销毁达到数据的真正销毁,防止数据的意外泄露； 4、 处罚条例（参照奖惩制度） · IT工程师将不定期检查每台电脑的网络流量，记录网络流量的具体内容。 · 对于网络监控情况IT工程师将每周做周报汇报给公司高层领导。 · 具体监控措施有流量统计分布、网站访问统计、每日流量统计、每台计算机流量统计。 5、 参考文件 5.1 《IT支持申请管理办法》 5.2 《文档保密管理条例》 6、表单 6.1.记录及表格 记录名称 保存部门 保存期限 K3系统用户权限申请表 管理部IT 长期保存 IT支持申请表 管理部IT 1年 机房操作登记簿 管理部IT 1年