信息安全管理制度 |
1 目的
信息是企业存在和发展的重要基础。为规范企业信息管理,保障信息安全,明确信息安全管理的程序、职责、义务和权限,特制定本制度。
2 职责
2.1 网络管理员:负责依公司的系统安全规定和部门业务要求,对网络进行维护管理、计算机维护及故障处理等,保证系统安全运行。
2.2 系统管理员:负责策划和制定公司信息安全策略、监督安全规定的实施,提出改善要求,确保信息系统满足公司业务安全要求。负责系统授权管理、用户帐号开通、访问授权设置和机房管理、数据备份。
3 定义与术语
3.1 公司信息分类:
技术信息:产品图纸、制造技术、主要存在于工程技术中心。
质量信息:主要保存在质量体系中心。
商务信息:主要存在于采购部、行政部、总经办。
财务信息:主要存在于财务部。
人事信息:公司员工及为公司服务的特殊技能人才信息资料,主要保存在人事部。
密码信息:个人登录、开机密码及IT管理员密码。
内部运作其他信息:包括设备、基础设施、工程等信息资料。
以上信息,根据信息秘密程度,分为可公开信息和保密信息。公司任何员工均不可将公司保密信息(文件)以任何方式传递、泄露给非授权人。
公开信息:此类信息、文件可从公司公开渠道所获取,如公司广告、网站中所涉及的公司名称、地址、经营产品等。
保密信息:不可从公开渠道所能获取的信息,如产品技术文件,包括产品图纸、客户资料、商业机密、工艺技术规范等;人事行政文件、管理程序和规范、生产经营统计信息和其他记录、文件等。
3.2 信息管理风险及危害
3.2.1 来自企业外的风险
a. 病毒和木马风险
b. 黑客攻击风险
3.2.2 来自企业内的风险
a. 文件外发传输,包括电子邮件、打印外发、传真等。
b. 存储设备的风险,通过移动存储介质将文件资料拷贝出公司,包括带有保密信息的存储介质维修泄密,如相机、U盘、硬盘等维修。
c. 即时通讯,如QQ截图、FeiQ、MS LYNC、网络飞鸽等。
d. 商业机密等保密信息的传递和交流。
e. 客户资料秘密的泄露。
3.2.3 风险行为
a. 上网行为风险。接收病毒邮件、访问不良网站传染病毒或安装插件,导致泄密或电脑系统的崩溃。
b. 用户密码风险。包括用户密码和管理员密码。密码泄漏可导致非授权人访问或篡改、窃取信息资料。
c. 办公/区域风险。在办公区域随意堆放保密文件、公开谈论工作内容导致泄密。
d. 机房设备风险。主要包括服务器、UPS电源、网络交换机等。这些风险来自防 盗、防雷、防火、防水。机房故障,可能会损坏机房设施,造成业务中断。
e. 商业机密风险。包括商业计划、内部流程、技术研发成果等重要信息,商业机密的泄露,将给企业造成很大的经济损失。
f. 客户资料秘密风险。包括公司与客户的重要业务细节、公司对客户的特殊营销策略、公司与客户的《客户隐私保密协议》中涉及到需要保密的客户信息、以及其它被指定为需要保密或带有机密文件标识的相关信息。
g.邮箱使用风险。包括无专有域名,企业可信度低、无法统一管理,导致公司资源流失、个人邮箱安全系数低、IP不干净等。
4 信息安全措施
4.1 上网行为管制
根据各部门涉及的信息需求,由公司保密主管领导决定、公司信息技术管理员实施公司电脑上网权限控制,包括允许访问网址、下载和安装的软件。电脑使用人员不得自主下载、安装非授权软件。
4.2 文件外发管制
文件外发控制是指对企业内部文件进行外发管理和外发控制,以防止企业机密信息被泄露或被非法盗用。
4.2.1 终端管控策略
a.文件水印:企业加强员工的信息安全培训,提高员工的信息安全意识和操作技能,对公司文件进行添加背景水印,文件外发时以防止恶意截屏、拍摄。提高文件泄密成本,降低泄密几率。
b.接口管控:系统管理员必要时对USB接口、打印机、邮件、QQ微信等多种外发通道进行禁止,杜绝信息泄露。
4.2.2 外发流程策略
a. 外发文件访问权限控制:网络管理员在管理系统中设定员工的身份认证、阅读次数、阅读时效、截屏限制、编辑权限、打印权限,以及指定的打开终端等功能操作,有效控制外发文件的访问权限;
b. 外发文件流程的管控:总经办规范文件外发流程,外发前各员工需在管理系统中流程申请、主管领导进行审批,控制避免造成过度外发和数据泄露。
4.3 商业机密
总经办通过合同、保密协议等法律方式对员工和合作伙伴的商业机密保守进行明确规定。同时,建立完善的内部保密制度,对商业机密进行分类、标记、限制传播范围等,防止信息外泄。另外,建立监控和审计机制,对数据访问和使用进行记录和审计,及时发现问题并采取措施。最后,定期开展员工培训,加强对商业机密的保密意识,培养员工的安全意识和保密意识。
4.4 客户资料
4.4.1 对于保密范围的客户资料和文件,应采取以下措施:
(1) 在设备完善的文件柜中保存。
(2) 非经董事长或董事长指定的管理人员批准,不得复制和摘抄。
(3) 收发、传递和外出携带,应由指定人员负责,并采取必要的安全措施。
(4)在管理系统中,对客户资料的查看进行不同人不同权限的管控。
4.4.2 具有保密内容的会议和其他活动,主办部门应采取下列保密措施:
(1) 选择具备保密条件的会议场所。
(2) 根据工作需要,限定参加会议的人员范围,对参加会议的人员予以明确指定。
(3) 依照保密规定使用会议设备和管理会议文件,确定会议内容是否传达及传达范围。
4.5专有邮箱
(1) 建立企业专有邮箱,并以企业域名为邮箱后缀,所有员工邮箱均为统一格式,展示统一的公司形象。
(2) 公司内统一使用企业专有邮箱,禁止使用个人邮箱,防止个人邮箱在安全性、稳定性以及防病毒、反垃圾邮件方面的不可靠。
(3) 设立总经办为企业邮箱系统的综合管理部门,负责为公司全员的邮箱进行管理、命名、分配容量、分组、修改密码、设定功能限制等。
(4) 与客户日常合作沟通,使用企业邮箱可以把过程中所涉及到的重要文件、信息进行记录,避免造成信息丢失。
(5) 总经办对离职人员的邮箱帐号做收回处理,避免公司资源流失,避免公司数据的丢失和灭失。
4.6 计算机应用软件安装与维护
根据工作性质,公司统一规定允许安装的应用软件,并由系统管理员统一安装。
系统管理员负责保证所安装软件的安全性。
4.7 计算机设备安全管理
4.7.1 采购、安装与维护:
计算机及其他涉密数码产品的采购、安装和使用,应通过网络管理员审查、主管领导批准。
公司内非网络管理人员不得随便处置、维修公司电脑、硬盘和其他有涉密信息的数码产品。产品维修及报废处置应建立维修处置记录,相关人员签名存档。
网络管理人员处理不了的信息难题,在管理系统中进行流程申请,主管领导审批后,方可请外来人员进行维修与维护,维修过程中,网络管理员全程跟进,以便更大程度的降低数据和信息泄露的风险。
电脑初始安装由系统管理员负责,必须安装规定的安全软件,以保证电脑安全运行。
计算机时钟设置:必须设置成与internet同步,操作人员不得更改计算机日期和时间,以保证计算机文件信息的准确性。
下班后所有不再使用的计算机,应关闭主机电源,以防止意外。
发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。
4.7.2 杀毒软件
统一由网络管理员安装杀毒软件,并负责定期维护,包括升级以及故障处理。用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。非管理员不得修改防火墙和杀毒软件设置。
4.7.3 信息资料备份
涉及公司产品技术、质量和财务等保密信息的,应在数据服务器中保存备份文件。
网络管理员负责服务器安全运行,并维护和定期备份服务器文件。
员工离职时,须交回全部技术文件资料等保密文件,并经部门负责人确认。部门负责人联系网络管理员对该员工电脑进行保密检查,确保无泄密后签字认可。
4.7.4 密码管理
每个员工拥有一个公司内部计算机登录帐户和自己的密码。使用者须妥善保管好自己的帐户和密码。帐户及密码设置后通知管理员备案。所有员工必须在所使用的计算机中设置开机密码或屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有6个字符长;密码必须包含以下任二部分:字母A-Z或a-z,数字0-9,特殊字符,例如 $ 等。
员工密码每三个月至少更新一次。
密码包括:开机密码、邮箱登录密码、ERP登录密码等。
4.7.5 机房管理
参照《信息系统安全等级保护基本要求》GB/T22239-2008要求,由人事部与行政部负责公司网络系统和计算机服务器(机房)管理。建立计算机机房出入、操作登记。
非授权人不得操作服务器。
为保护计算机及网络系统安全,须满足以下要求:
计算机房建筑接地电阻不大于4欧姆;
温度不高于30度;湿度不大于70%;
电源:配置稳压器和过压防护设备;
设置访问用户权限,并及时删除废除用户;
服务器数据备份,每周五下午进行备份。
5 记录与支持性文件
5.1 计算机及其他数码产品登记表
5.2 主机(服务器)操作登记表
5.3 机房出入登记表
5.4 计算机初始配置要求