信息安全管理制度

《信息安全管理制度》由會員分享，可在線閱讀，更多相關《信息安全管理制度（4頁珍藏版）》請在裝配圖網上搜索。

1、信息安全管理規(guī)定 1 目的 在遵循集團《計算機信息安全管理制度》原則基礎上，為確保公司網絡平臺、信息系統(tǒng)的正常 運行及信息系統(tǒng)中的信息數據安全，防止泄密，針對公司實際情況，制定本管理規(guī)定。 2 范圍 本辦法適用于公司全體員工。 3 術語定義 3.1 計算機信息：是指存儲在計算機相關設備上的應用系統(tǒng)（軟件） 、數據、文檔、圖紙等含有一定 意義的計算機信息資料。 3.2 內部網絡：是指園區(qū)網絡及通過專線與園區(qū)互聯(lián)的其他園區(qū)、駐外機構網絡（以下簡稱內網） 。 3.3 外部網絡：是指互聯(lián)網或除互聯(lián)網和公司內網之外的第三方專網（以下簡稱外網） 。 3.4 VPN

2、 ：虛擬專用網絡（ VirtualPrivateNetwork ，簡稱 VPN ） ，是指在公共網絡上建立專用網絡的技 術，屬于遠程訪問技術，就是利用公網鏈路架設的虛擬私有網絡。 4 職責 4.1 信息化管理部門：公司信息化管理部門，負責計算機信息安全日常工作，事業(yè)部接入級網絡交換 設備的管理工作， 及時向總部信息化管理部門、 督察部門報告重大計算機信息安全隱患和計算機信息 安全事件。 4.2 計算機用戶：負責本人領用的辦公計算機的日常保養(yǎng)、正常操作及安全管理，負責所接觸計算機 信息的保密性、 可用性和完整性； 及時向信息化管理部門報告計算機信息安全隱患

3、和計算機信息安全 事件。涉密信息的起草人必須按公司《保密制度》相關規(guī)定提出信息密級的定級申請。 5 內容與要求 5.1 賬號和密碼安全管理 信息系統(tǒng)用戶賬號須嚴格按照業(yè)務信息系統(tǒng)要求進行設置， 原則上不得設置成共用賬號， 以確 保使用人與賬號的唯一性。 員工申請信息系統(tǒng)賬號權限時， 所在部門的負責人應嚴格審核， 控制授予滿足其工作需要的最 小權限； 員工崗位或工作內容發(fā)生變化后應及時提出申請權限變更， 應用系統(tǒng)管理員應及時變更異動 員工的權限，凍結離職員工的賬號。 計算機用戶應妥善保管好自己的系統(tǒng)賬號密碼或身份認證設備，如發(fā)現遺失或被盜，應立即向

4、 信息化管理部門報告，信息化管理部門應及時處理，確保賬號使用的合法性。 2 5.2IT 設備安全管理 計算機用戶使用辦公計算機處理公司涉密信息時，應對涉密文件進行加密處理，如設置訪問密 碼、控制閱讀權限等。 涉密崗位用戶使用筆記本電腦，須經分管領導或總經理批準，在安裝相應的安全管理系統(tǒng)和安 全防范措施后，才能使用。 移動存儲類設備中不得保留涉密信息，臨時使用應由使用人妥善保管，用后立刻刪除。 涉密崗位辦公計算機連接的打印設備應由所在部門指定專人管理，并按照事業(yè)部《保密工作實 施細則》相關規(guī)定嚴格控制涉密文件的打印。 5.3 網絡安全管理 信息化管理

5、部門應定期對負責管理的網絡設備進行安全檢查，發(fā)現異常及時處理，重大事件應 及時向總部信息化管理部門報告。 嚴格控制筆記本電腦上內網，特殊需求須經過分管領導或總經理審批。 所有外網用戶登陸內網信息系統(tǒng)必須通過 VPN 訪問。 5.4 信息系統(tǒng)運營安全管理 信息系統(tǒng)應用管理員的確定和變更應按照事業(yè)部《保密工作實施細則》涉密崗位的規(guī)定進行政 審，經總經理批準后，報信息化管理部門備案。 信息系統(tǒng)的業(yè)務配置變更和二次開發(fā)需經過評估和嚴格測試后，才能傳入正式環(huán)境使用。 5.5 計算機信息安全管理 內部信息拷出或向對外單位發(fā)送信息需在 OA 系統(tǒng)中發(fā)起《計算

6、機信息提取 ( 外發(fā) ) 申請流程》 申請。信息化管理部門定期根據內部信息提取 ( 外發(fā) ) 日志對內部信息提取 ( 外發(fā) ) 部門進行審計，如發(fā) 現違規(guī)情況，將根據《保密工作實施細則》 、 《員工獎懲制度》等進行處理。 按照集團計算機信息數據集中備份管理要求，公司信息化管理部門定期向總部信息化部提交申 請， 將由公司負責管理的計算機信息備份到集團數據備份中心， 并及時跟進公司計算機信息備份工作 的完成情況，以免造成計算機信息的丟失。 信息備份應保證及時、完整、真實、準確地轉儲到不可更改的脫機介質上，備份介質須異地存 放，并確保在信息系統(tǒng)發(fā)生異常時能及時通知集團數據備份中心，進行信息系統(tǒng)恢復。 5.6 信息安全審計 信息化管理部門應定期組織對信息系統(tǒng)的系統(tǒng)管理員登錄日志、 操作日志、 變更記錄等關鍵信 息的審計工作，根據信息系統(tǒng)實際情況形成審計記錄，及時處理違紀操作。 業(yè)務部門應定期對本部門員工對外發(fā)送涉密信息的合規(guī)性進行檢查，形成月度審計記錄反饋給 3 信息化管理部門，及時處理違規(guī)操作。 信息化管理部門應定期針對信息系統(tǒng)進行信息安全（包括組織、人員、賬號、角色、權限等） 盤點，出具盤點報告，提交公司安全管理委員會。