公司信息安全管理制度

1、信息安全管理制度信息安全是指通過各種策略保證公司計算機設備、信息網(wǎng)絡平臺 （內部網(wǎng)絡系統(tǒng)及 ERP 、 CRM 、WMS 、網(wǎng)站、企業(yè)郵箱等）、電子數(shù) 據(jù)等的安全、穩(wěn)定、正常，旨在規(guī)范與保護信息在傳輸、交換和存儲、 備份過程中的機密性、完整性和真實性。為加強公司信息安全的管理， 預防信息安全事故的發(fā)生，特制定本管理制度。本制度適用于使用新合 程計算機設備、信息系統(tǒng)、網(wǎng)絡系統(tǒng)的所有人員。1. 計算機設備安全管理1.1 員工須使用公司提供的計算機設備（特殊情況的，經(jīng)批準許可 的方能使用自已的計算機），不得私自調換或拆卸并保持清潔、安全、 良好的計算機設備工作環(huán)境， 禁止在計算機使用環(huán)境中放置易燃、

2、 易爆、 強腐蝕、強磁性等有害計算機設備安全的物品。1.2 嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確 的使用方法。 任何人不允許私自拆卸計算機組件， 當計算機出現(xiàn)硬件故 障時應及時向信息技術部報告，不允許私自處理和維修。1.3 員工對所使用的計算機及相關設備的安全負責，如暫時離開座 位時須鎖定系統(tǒng)，移動介質自行安全保管。未經(jīng)許可，不得私自使用他 人計算機或相關設備 ,不得私自將計算機等設備帶離公司。1.4 因工作需要借用公司公共筆記本的，實行 “誰借用、誰管理 ”的 原則，切實做到為工作所用，使用結束后應及時還回公司。2. 電子資料文件安全管理。2.1 文件存儲重要的文件和工作資

3、料不允許保存在 C 盤（含桌面），同時定期做 好相應備份，以防丟失；不進行與工作無關的下載、游戲等行為，定期 查殺病毒與清理垃圾文件；拷貝至公共計算機上使用的相關資料， 使用 完畢須注意刪除； 各部門自行負責對存放在公司文件服務器 P 盤的資料 進行審核與安全管理；若因個人原因造成數(shù)據(jù)資料泄密、丟失的，將由 其本人承擔相關后果。2.2 文件加密涉及公司機密或重要的信息文件，所有人員需進行必要加密并妥善 保管；若因保管不善，導致公司信息資料的外泄及其他損失，將由其本人承擔一切責2.3 文件移動嚴禁任何人員以個人介質光盤、 U 盤、移動硬盤等外接設備將公司 的文件資料帶離公司。 若因出差等原因需要

4、拷貝文件資料到存儲設備中， 需要向上級請示批準，并以公司存儲設備做文件拷貝。2.4 文件轉移若員工離職，在辦完移交手續(xù)時，所在部門負責人將此員工工作資 料拷貝至部門保存（可聯(lián)系信息技術部進行技術支持），若沒有執(zhí)行此 操作流程，離職員工損失的任何資料由該部門自行承擔。3. 軟件安全管理3.1 軟 （軟件原始盤片 ）、硬件設備的原始資料（光盤、說明書、保修 卡、許可證協(xié)議、合同正本等）應交總裁辦保管 ,保管應做到防水、防 磁、防火、防盜。3.2 服務器、 PC 機須安裝殺毒軟件，定期病毒庫更新及病毒查殺； 任何人不得安裝危害公司計算機及網(wǎng)絡的任何軟件。3.3 信息技術部對各信息系統(tǒng)軟件、數(shù)據(jù)庫軟件

5、、常用辦公軟件等 進行備份存儲，做好版本控制及相關更新。3.4 員工須嚴格遵守公司計算機使用管理規(guī)定中軟件管理的相 關規(guī)范。4. 信息系統(tǒng)的安全管理各信息系統(tǒng)（ MAIL 、 ERP 、 CRM 、WMS 、WEB 等）的安全管理 要求，參考相應的信息系統(tǒng)管理規(guī)定。5. 數(shù)據(jù)庫安全管理信息技術部須采用循環(huán)的完全備份和增量備份等備份策略，完成對 各信息系統(tǒng)數(shù)據(jù)的定期備份， 以便在信息系統(tǒng)發(fā)生故障時將數(shù)據(jù)恢復到 最佳狀態(tài)。對備份的數(shù)據(jù)文件應妥善保管，防止被非法拷貝或毀壞，嚴 禁未經(jīng)授權將數(shù)據(jù)庫拷貝出系統(tǒng)，轉給任何單位或人員。6. 密碼安全管理6.1 初始密碼須及時更改，新密碼須包含無規(guī)則的字母、數(shù)

6、字、符 號組合并至少 10 位以上，禁止直接使用常用單詞、人名、電話號碼等 安全系數(shù)低的字符作為密碼。6.2 各用戶需對所使用電腦、 信息系統(tǒng)等密碼進行定期 （如 3 個月） 更改，如出現(xiàn)密碼泄露或異常時，須立馬更改并告知信息技術部。6.3 各服務器、信息系統(tǒng)的超級或管理員級密碼由分管系統(tǒng)管理員 及信息技術部經(jīng)理雙重管理， 信息技術部經(jīng)理掌握全部設備、 全部系統(tǒng) 的超級或管理員級密碼， 分管管理員擁有分管系統(tǒng)的管理員級密碼 （部 分視情況授予超級密碼）；正常情況下，此類管理級密碼每 1 個月系統(tǒng) 管理員必須更改一次并將新密碼報備， 在有信息技術部人員變動、 密碼 外露或其它異常情況下， 必須第

7、一時間更換并將新密碼報備。 此類管理 級賬號與密碼原則上不對其它任何人員提供， 特殊需求須報上級領導批 準方可授予。7. 信息安全禁止行為：7.1 利用公司信息系統(tǒng)平臺、網(wǎng)絡制作、傳播、復制危害公司及員 工的有關任何信息；7.2 攻擊、入侵他人計算機，未經(jīng)允許使用他人計算機設備、信息 系統(tǒng)等；7.3 未經(jīng)授權對信息平臺 ERP、CRM、WMS 、網(wǎng)站、企業(yè)郵件系 統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應用程序）進行增加、 修改、移動、復制和刪除等；7.4 未經(jīng)授權查閱他人郵件， 盜用他人名義進行發(fā)送任何電子郵件；7.5 故意干擾、破壞公司信息平臺 ERP、CRM、WMS 、網(wǎng)站、企 業(yè)郵件

8、等系統(tǒng)的安全、穩(wěn)定暢通運行；從事其他危害公司計算機、網(wǎng)絡 設備、信息平臺的安全活動；7.6 未經(jīng)公司高管領導批準不得通過網(wǎng)絡、移動存儲設備等向外傳 輸、發(fā)布、泄露有關公司的任何信息；7.7 其它危害公司信息安全或違反國家相關法律法規(guī)、信息安全條 例的行為8. 信息安全響應機制8.1 信息技術部負責公司信息安全的整體指導與管理工作，并對數(shù) 據(jù)中心機房軟硬件及信息系統(tǒng)、數(shù)據(jù)庫的維護、備份等安全進行日常管 理。各分支機構、部門涉及公司（或商業(yè) ）機密的信息安全由分支或部 門本身自行負責管理和控制。8.2 為保障各信息系統(tǒng)安全穩(wěn)定運行，信息技術部在工作日時間由 分管管理員負責維護，節(jié)假日根據(jù)需要，安排相關人員負責值班支持。 使用人如發(fā)現(xiàn)問題應及時通知信息技術部， 管理員應及時處理并做好系 統(tǒng)事件記錄。8.3 信息系統(tǒng)的權限管理部門為信息技術部，負責各信息系統(tǒng)的權 限管理，并指定專人為系統(tǒng)管理員完成各系統(tǒng)賬號、權限的設立、注銷 及變更。8.4 如出現(xiàn)特殊情況，分管管理員應