信息安全管理制度

信息安全管理規(guī)定 1目的 在遵循集團(tuán)計(jì)算機(jī)信息安全管理制度原則基礎(chǔ)上，為確保公司網(wǎng)絡(luò)平臺(tái)、信息系統(tǒng)的正常運(yùn)行及信息系統(tǒng)中的信息數(shù)據(jù)安全，防止泄密，針對(duì)公司實(shí)際情況，制定本管理規(guī)定。2范圍 本辦法適用于公司全體員工。3術(shù)語(yǔ)定義 3.1計(jì)算機(jī)信息：是指存儲(chǔ)在計(jì)算機(jī)相關(guān)設(shè)備上的應(yīng)用系統(tǒng)（軟件）、數(shù)據(jù)、文檔、圖紙等含有一定意義的計(jì)算機(jī)信息資料。 3.2內(nèi)部網(wǎng)絡(luò)：是指園區(qū)網(wǎng)絡(luò)及通過(guò)專線與園區(qū)互聯(lián)的其他園區(qū)、駐外機(jī)構(gòu)網(wǎng)絡(luò)（以下簡(jiǎn)稱內(nèi)網(wǎng)）。3.3外部網(wǎng)絡(luò)：是指互聯(lián)網(wǎng)或除互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)之外的第三方專網(wǎng)（以下簡(jiǎn)稱外網(wǎng)）。 3.4VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡(jiǎn)稱VPN），是指在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，屬于遠(yuǎn)程訪問(wèn)技術(shù)，就是利用公網(wǎng)鏈路架設(shè)的虛擬私有網(wǎng)絡(luò)。4職責(zé) 4.1信息化管理部門：公司信息化管理部門，負(fù)責(zé)計(jì)算機(jī)信息安全日常工作，事業(yè)部接入級(jí)網(wǎng)絡(luò)交換設(shè)備的管理工作，及時(shí)向總部信息化管理部門、督察部門報(bào)告重大計(jì)算機(jī)信息安全隱患和計(jì)算機(jī)信息安全事件。 4.2計(jì)算機(jī)用戶：負(fù)責(zé)本人領(lǐng)用的辦公計(jì)算機(jī)的日常保養(yǎng)、正常操作及安全管理，負(fù)責(zé)所接觸計(jì)算機(jī)信息的保密性、可用性和完整性；及時(shí)向信息化管理部門報(bào)告計(jì)算機(jī)信息安全隱患和計(jì)算機(jī)信息安全事件。涉密信息的起草人必須按公司保密制度相關(guān)規(guī)定提出信息密級(jí)的定級(jí)申請(qǐng)。5內(nèi)容與要求 5.1賬號(hào)和密碼安全管理 5.1.1信息系統(tǒng)用戶賬號(hào)須嚴(yán)格按照業(yè)務(wù)信息系統(tǒng)要求進(jìn)行設(shè)置，原則上不得設(shè)置成共用賬號(hào)，以確保使用人與賬號(hào)的唯一性。 5.1.2員工申請(qǐng)信息系統(tǒng)賬號(hào)權(quán)限時(shí)，所在部門的負(fù)責(zé)人應(yīng)嚴(yán)格審核，控制授予滿足其工作需要的最小權(quán)限；員工崗位或工作內(nèi)容發(fā)生變化后應(yīng)及時(shí)提出申請(qǐng)權(quán)限變更，應(yīng)用系統(tǒng)管理員應(yīng)及時(shí)變更異動(dòng)員工的權(quán)限，凍結(jié)離職員工的賬號(hào)。 5.1.3計(jì)算機(jī)用戶應(yīng)妥善保管好自己的系統(tǒng)賬號(hào)密碼或身份認(rèn)證設(shè)備，如發(fā)現(xiàn)遺失或被盜，應(yīng)立即向信息化管理部門報(bào)告，信息化管理部門應(yīng)及時(shí)處理，確保賬號(hào)使用的合法性。 2 5.2IT設(shè)備安全管理 5.2.1計(jì)算機(jī)用戶使用辦公計(jì)算機(jī)處理公司涉密信息時(shí)，應(yīng)對(duì)涉密文件進(jìn)行加密處理，如設(shè)置訪問(wèn)密碼、控制閱讀權(quán)限等。 5.2.2涉密崗位用戶使用筆記本電腦，須經(jīng)分管領(lǐng)導(dǎo)或總經(jīng)理批準(zhǔn)，在安裝相應(yīng)的安全管理系統(tǒng)和安全防范措施后，才能使用。 5.2.3移動(dòng)存儲(chǔ)類設(shè)備中不得保留涉密信息，臨時(shí)使用應(yīng)由使用人妥善保管，用后立刻刪除。5.2.4涉密崗位辦公計(jì)算機(jī)連接的打印設(shè)備應(yīng)由所在部門指定專人管理，并按照事業(yè)部保密工作實(shí)施細(xì)則相關(guān)規(guī)定嚴(yán)格控制涉密文件的打印。5.3網(wǎng)絡(luò)安全管理 5.3.1信息化管理部門應(yīng)定期對(duì)負(fù)責(zé)管理的網(wǎng)絡(luò)設(shè)備進(jìn)行安全檢查，發(fā)現(xiàn)異常及時(shí)處理，重大事件應(yīng)及時(shí)向總部信息化管理部門報(bào)告。 5.3.2嚴(yán)格控制筆記本電腦上內(nèi)網(wǎng)，特殊需求須經(jīng)過(guò)分管領(lǐng)導(dǎo)或總經(jīng)理審批。5.3.3所有外網(wǎng)用戶登陸內(nèi)網(wǎng)信息系統(tǒng)必須通過(guò)VPN訪問(wèn)。5.4信息系統(tǒng)運(yùn)營(yíng)安全管理 5.4.1信息系統(tǒng)應(yīng)用管理員的確定和變更應(yīng)按照事業(yè)部保密工作實(shí)施細(xì)則涉密崗位的規(guī)定進(jìn)行政審，經(jīng)總經(jīng)理批準(zhǔn)后，報(bào)信息化管理部門備案。 5.4.2信息系統(tǒng)的業(yè)務(wù)配置變更和二次開發(fā)需經(jīng)過(guò)評(píng)估和嚴(yán)格測(cè)試后，才能傳入正式環(huán)境使用。5.5計(jì)算機(jī)信息安全管理 5.5.1內(nèi)部信息拷出或向?qū)ν鈫挝话l(fā)送信息需在OA系統(tǒng)中發(fā)起計(jì)算機(jī)信息提取(外發(fā))申請(qǐng)流程申請(qǐng)。信息化管理部門定期根據(jù)內(nèi)部信息提取(外發(fā))日志對(duì)內(nèi)部信息提取(外發(fā))部門進(jìn)行審計(jì)，如發(fā)現(xiàn)違規(guī)情況，將根據(jù)保密工作實(shí)施細(xì)則、員工獎(jiǎng)懲制度等進(jìn)行處理。 5.5.2按照集團(tuán)計(jì)算機(jī)信息數(shù)據(jù)集中備份管理要求，公司信息化管理部門定期向總部信息化部提交申請(qǐng)，將由公司負(fù)責(zé)管理的計(jì)算機(jī)信息備份到集團(tuán)數(shù)據(jù)備份中心，并及時(shí)跟進(jìn)公司計(jì)算機(jī)信息備份工作的完成情況，以免造成計(jì)算機(jī)信息的丟失。 5.5.3信息備份應(yīng)保證及時(shí)、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改的脫機(jī)介質(zhì)上，備份介質(zhì)須異地存放，并確保在信息系統(tǒng)發(fā)生異常時(shí)能及時(shí)通知集團(tuán)數(shù)據(jù)備份中心，進(jìn)行信息系統(tǒng)恢復(fù)。5.6信息安全審計(jì) 5.6.1信息化管理部門應(yīng)定期組織對(duì)信息系統(tǒng)的系統(tǒng)管理員登錄日志、操作日志、變更記錄等關(guān)鍵信息的審計(jì)工作，根據(jù)信息系統(tǒng)實(shí)際情況形成審計(jì)記錄，及時(shí)處理違紀(jì)操作。 5.6.2業(yè)務(wù)部門應(yīng)定期對(duì)本部門員工對(duì)外發(fā)送涉密信息的合規(guī)性進(jìn)行檢查，形成月度審計(jì)