信息安全管理制度

《信息安全管理制度》由會員分享，可在線閱讀，更多相關(guān)《信息安全管理制度（4頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息安全管理規(guī)定 1 目的 在遵循集團《計算機信息安全管理制度》原則基礎(chǔ)上，為確保公司網(wǎng)絡(luò)平臺、信息系統(tǒng)的正常 運行及信息系統(tǒng)中的信息數(shù)據(jù)安全，防止泄密，針對公司實際情況，制定本管理規(guī)定。 2 范圍 本辦法適用于公司全體員工。 3 術(shù)語定義 3.1 計算機信息：是指存儲在計算機相關(guān)設(shè)備上的應用系統(tǒng)（軟件） 、數(shù)據(jù)、文檔、圖紙等含有一定 意義的計算機信息資料。 3.2 內(nèi)部網(wǎng)絡(luò)：是指園區(qū)網(wǎng)絡(luò)及通過專線與園區(qū)互聯(lián)的其他園區(qū)、駐外機構(gòu)網(wǎng)絡(luò)（以下簡稱內(nèi)網(wǎng)） 。 3.3 外部網(wǎng)絡(luò)：是指互聯(lián)網(wǎng)或除互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)之外的第三方專網(wǎng)（以下簡稱外網(wǎng)） 。 3.4 VPN

2、 ：虛擬專用網(wǎng)絡(luò)（ VirtualPrivateNetwork ，簡稱 VPN ） ，是指在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技 術(shù)，屬于遠程訪問技術(shù)，就是利用公網(wǎng)鏈路架設(shè)的虛擬私有網(wǎng)絡(luò)。 4 職責 4.1 信息化管理部門：公司信息化管理部門，負責計算機信息安全日常工作，事業(yè)部接入級網(wǎng)絡(luò)交換 設(shè)備的管理工作， 及時向總部信息化管理部門、 督察部門報告重大計算機信息安全隱患和計算機信息 安全事件。 4.2 計算機用戶：負責本人領(lǐng)用的辦公計算機的日常保養(yǎng)、正常操作及安全管理，負責所接觸計算機 信息的保密性、 可用性和完整性； 及時向信息化管理部門報告計算機信息安全隱患

3、和計算機信息安全 事件。涉密信息的起草人必須按公司《保密制度》相關(guān)規(guī)定提出信息密級的定級申請。 5 內(nèi)容與要求 5.1 賬號和密碼安全管理 信息系統(tǒng)用戶賬號須嚴格按照業(yè)務信息系統(tǒng)要求進行設(shè)置， 原則上不得設(shè)置成共用賬號， 以確 保使用人與賬號的唯一性。 員工申請信息系統(tǒng)賬號權(quán)限時， 所在部門的負責人應嚴格審核， 控制授予滿足其工作需要的最 小權(quán)限； 員工崗位或工作內(nèi)容發(fā)生變化后應及時提出申請權(quán)限變更， 應用系統(tǒng)管理員應及時變更異動 員工的權(quán)限，凍結(jié)離職員工的賬號。 計算機用戶應妥善保管好自己的系統(tǒng)賬號密碼或身份認證設(shè)備，如發(fā)現(xiàn)遺失或被盜，應立即向

4、 信息化管理部門報告，信息化管理部門應及時處理，確保賬號使用的合法性。 2 5.2IT 設(shè)備安全管理 計算機用戶使用辦公計算機處理公司涉密信息時，應對涉密文件進行加密處理，如設(shè)置訪問密 碼、控制閱讀權(quán)限等。 涉密崗位用戶使用筆記本電腦，須經(jīng)分管領(lǐng)導或總經(jīng)理批準，在安裝相應的安全管理系統(tǒng)和安 全防范措施后，才能使用。 移動存儲類設(shè)備中不得保留涉密信息，臨時使用應由使用人妥善保管，用后立刻刪除。 涉密崗位辦公計算機連接的打印設(shè)備應由所在部門指定專人管理，并按照事業(yè)部《保密工作實 施細則》相關(guān)規(guī)定嚴格控制涉密文件的打印。 5.3 網(wǎng)絡(luò)安全管理 信息化管理

5、部門應定期對負責管理的網(wǎng)絡(luò)設(shè)備進行安全檢查，發(fā)現(xiàn)異常及時處理，重大事件應 及時向總部信息化管理部門報告。 嚴格控制筆記本電腦上內(nèi)網(wǎng)，特殊需求須經(jīng)過分管領(lǐng)導或總經(jīng)理審批。 所有外網(wǎng)用戶登陸內(nèi)網(wǎng)信息系統(tǒng)必須通過 VPN 訪問。 5.4 信息系統(tǒng)運營安全管理 信息系統(tǒng)應用管理員的確定和變更應按照事業(yè)部《保密工作實施細則》涉密崗位的規(guī)定進行政 審，經(jīng)總經(jīng)理批準后，報信息化管理部門備案。 信息系統(tǒng)的業(yè)務配置變更和二次開發(fā)需經(jīng)過評估和嚴格測試后，才能傳入正式環(huán)境使用。 5.5 計算機信息安全管理 內(nèi)部信息拷出或向?qū)ν鈫挝话l(fā)送信息需在 OA 系統(tǒng)中發(fā)起《計算

6、機信息提取 ( 外發(fā) ) 申請流程》 申請。信息化管理部門定期根據(jù)內(nèi)部信息提取 ( 外發(fā) ) 日志對內(nèi)部信息提取 ( 外發(fā) ) 部門進行審計，如發(fā) 現(xiàn)違規(guī)情況，將根據(jù)《保密工作實施細則》 、 《員工獎懲制度》等進行處理。 按照集團計算機信息數(shù)據(jù)集中備份管理要求，公司信息化管理部門定期向總部信息化部提交申 請， 將由公司負責管理的計算機信息備份到集團數(shù)據(jù)備份中心， 并及時跟進公司計算機信息備份工作 的完成情況，以免造成計算機信息的丟失。 信息備份應保證及時、完整、真實、準確地轉(zhuǎn)儲到不可更改的脫機介質(zhì)上，備份介質(zhì)須異地存 放，并確保在信息系統(tǒng)發(fā)生異常時能及時通知集團數(shù)據(jù)備份中心，進行信息系統(tǒng)恢復。 5.6 信息安全審計 信息化管理部門應定期組織對信息系統(tǒng)的系統(tǒng)管理員登錄日志、 操作日志、 變更記錄等關(guān)鍵信 息的審計工作，根據(jù)信息系統(tǒng)實際情況形成審計記錄，及時處理違紀操作。 業(yè)務部門應定期對本部門員工對外發(fā)送涉密信息的合規(guī)性進行檢查，形成月度審計記錄反饋給 3 信息化管理部門，及時處理違規(guī)操作。 信息化管理部門應定期針對信息系統(tǒng)進行信息安全（包括組織、人員、賬號、角色、權(quán)限等） 盤點，出具盤點報告，提交公司安全管理委員會。