企业信息安全管理条例.docx

信息平安管理条例第一章信息平安概述1.1、公司信息平安管理体系信息是一个组织的血液，它的存在方式各异。可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争口趋激烈，来源于不同渠道的威逼，威逼到信息的平安性。这些威逼可能来自内部，外部,意外的，还可能是恶意的。随着信息存储、发送新技术的广泛运用，信息平安面临的威逼也越来越严峻了。信息平安不是有一个终端防火墙，或者找一个24小时供应信息平安服务的公司就可以达到的，它须要全面的综合管理。信息平安管理体系的引入，可以协调各个方面的信息管理，使信息管理更为有效。信息平安管理体系是系统地对组织敏感信息进行管理，涉及到人，程序和信息科技系统。改善信息平安水平的主要手段有：1）平安方针：为信息平安供应管理指导和支持：2）平安组织：在公司内管理信息平安；3）资产分类与管理：对公司的信息资产实行适当的爱护措施：4）人员平安：削减人为错误、偷窃、欺诈或滥用信息及处理设施的风险：5）实体和环境平安：防止对商业场所及信息未授权的访问、损坏及干扰；6）通讯与运作管理：确保信息处理设施正确和平安运行：7）访问限制：妥当管理对信息的访问权限；8）系统的获得、开发和维护：确保将平安纳入信息系统的整个生命周期；9）平安事务管理：确保平安事务发生后有正确的处理流程与报告方式：10）商业活动连续性管理：防止商业活动的中断，并爱护关键的业务过程免受重大故障或灾难的影响；11）符合法律：避开违反任何刑法和民法、法律法规或者合同义务以及任何平安要求。1.2、信息平安建设的原则1）领导重视，全员参加；2）信息平安不仅仅是IT部门的工作，它须要公司全体员工的共同参加；3）技术不是肯定的：4）信息平安管理遵循“七分管理，三分技术”的管理原则；5）信息平安事务符合“二、八”原则；6）20%的平安事务来自外部网络攻击，80%的'F安事务发生在公司内部；7）管理原则:管理为主，技术为辅，内外能防，发觉漏洞，消退隐患,确保平安。1.3、信息平安管理体系建设的目的1）保障ERP系统的平安运行，限制公司信息泄密风险：2）提高企业员工对'F安的相识和对平安管理的参加；3）提高企业用户及合作伙伴对企业的信念、信任、满足程度：4）提高企业信息平安管理的质量和水平；5）使企业更有效地管理和处理信息平安事务：6）遵守和通过相关法律法规的要求；7）为将来企业充份利用电子商务打下重要的基础。其次章员工信息平安规范2.1、 适用范围本标准规定了公司员工必需遵循的个人计算机和其他方面的平安要求，规定了员工爱护公司涉密信息的贲任，并列出了大量可能遇到的状况卜的平安要求。本标准适用于公司全部员工，包括子公司的员工，以及其他经授权运用公司内部资源的人员。2.2、 计算机平安要求1）计算机信息登记与运用维护：每台由公司购买的计算机的领用、运用人变更、配置变更、报废等环节必需经过IT部的登记，严禁私自变更运用人和增减配置；每位员工有责任爱护公司的计算机资源和设备，以及包含的信息。每位员工必需把自己的计算机名字设置成固定的格式，一律采纳AD域名.所属地区编号组成：例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号，201代表该地区第201个账户。2）必需在全部个人计算机上激活下列平安限制:全部计算机（包括便携电脑与台式机）必需设有系统密码：系统密码应当符合肯定程度的困难性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，须要加密存放。3）当员工离开办公室或工作区域时：必需马上锁定计算机或者激活带密码爱护的屏幕爱护程序；假如办公室或者工作区域能上锁，最终一个离开的员工请锁上办公室或工作区域；妥当保管全部包含公司涉密内容的文件，如锁进文件柜。4）防范计算机病毒和其他有害代码：每位员工由公司配备的计算机上都必需安装和运行公司授权运用的防病毒软件；员工必需开启防病毒软件实时扫描爱护功能，至少每周进行一次全硬盘扫描，在网络条件许可的状况下每天进行一次病毒库文件的更新：假如员工发觉未能处理的病毒，应马上断开局域网连接，以免病毒在局域网内部交叉感染，并刚好向公司IT部门汇报。5）软件的运用：员工不得私自由计第机上安装公司禁止的软件，公司禁止安装的软件包括但不限于：BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络管理软件：工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件：公司员工的机器上必需安装并开启功能的软件有：金山企业版防病毒软件、OffiCe2010、360阅读器、IE8.0升级包、Winrar、固网打印服务；假如由于运用未经公司授权的且没有许可的软件造成公司损失,员工须要担当全部贲任。6）文件的共享，员工在运用文件共享时，必需将其设置为受限共享：禁止运用基于互联网的P2P软件和共享服务，如：BT.eMu1.e等；不得在计算机上配置匿名FTP、TFTP.HTTP,或其他无需验证的服务；例如：员工不得在公司的计算机上私自架设匿名FTP：未经IT部门许可，不得在运用ERP系统的计算机上运用U盘或移动硬盘。如因业务须要，必须要访问其他人的硬盘。当定义共享权限时，员工必需设定用户权限、设定访问密码，并刚好取消所定义的共享。7）邮件的发送与接收：禁止运用公司的计弊机散布、回曳、转发连锁邮件、恶作剧邮件：禁止将涉及公司隐私的内部邮件转发到互联网上。8）公司涉密信息的爱护：公司涉密信息包括但不限于公司数据库中的隐私信息，与公司目前或将来产品、服务或探讨有关的公司技术或科技信息，业务或营销计算、营销收益或其他财务资料、人事资料，以及软件等技术信息、经营信息等：公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的状况卜.泄漏这些信息，并且必需遵守公司为爱护此信息而制定的各项标准和流程；每个员工只能接触运用与本岗位工作相关的涉密信息，禁止从非正常途径获得公司或部门的涉密信息；禁止非授权复制涉密信息；对公司文档的保管、存档、发送、删除、销毁、复制等必需遵守公司相关的文档保密管理规定：禁止运用供应翻译服务的互联网站来翻译公司的涉密信息；公司涉密信息尽量避开通过互联网传送，但由于工作须要，须要通过电子邮件等方式发送公司涉密信息时，可以采纳Winrar加密压缩的方式把涉密内容作为附件发送，然后通过其他渠道告知对方加密密码。9）公司信箱的帐户及密码全部的密码必需符合如下条件：至少8个字符长，并且包含英文、数字及特殊字符；禁止把用户名用作密码或其一部分；旧密码中任何三个连续的字符尽量不要连续出现在新密码中：公司要求员工至少每30天更换一次密码。10）内部网络运用规则禁止在网络上伪装为他人身份：不得私自安装网络管理软件，监控网络流量或者阻碍他人运用网络资源；不得对公司网络或服务器以及网络中他人电脑运行平安扫描程序或者恶意攻击；未经IT部允许，不得增加网络设备到公司的网络中，严禁私自购买路由器、交换机接入公司网络等行为:宿舍区电脑大部分属于员工私人计算机，禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中：第三章公司信息平安管理检查执行规定3.1. 检查原则依据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行惩罚。对在公司信息平安管理制度和措施上贯彻、监控不力、权限审核不当，造成公司平安制度和措施难以落实，平安管理工作混乱的部门，部门负责人须担当领导责任。对违反信息平安管理规定者,如其干脆领导有明显管理和指导不力的须担当连带贲任。3.2. 检查方式公司技术部门抽调网络管理人员，不定期对公司所属公司办公电脑进行抽杏。分析信息平安日志文件，排杏违规电脑，追究相关当事人。3.3. 检查结果对于有意盗窃、泄露公司保密信息的，或有意违反信息平安管理规定，性质特殊严峻造成重大损失的，赐予罚款、降薪、降职、辞退、直至开除的处理，并赔偿公司损失。对于触犯国家法律的，移交国家司法机关依法处理。？对违反公司信息平安制度规定，性质较轻，在公司内部系统赐予点名通报指责，并记录在案，贡令限期改正。