《信息安全管理制度.doc》由会员分享,可在线阅读,更多相关《信息安全管理制度.doc(9页珍藏版)》请在三一办公上搜索。
1、信息安全管理制度 JAC-GL-402-20061 主题内容与适用范围1.1 为了保障公司信息系统及信息安全,制定本制度。本制度明确了公司各单位及计算机用户在计算机信息安全管理方面的职责及处罚办法。1.2 本制度适用于本公司以及所有接入公司内部网络的一切计算机应用单位和计算机使用人员。 2 职责2.1 通则2.1.1 公司员工应严格遵守国家相关的信息安全法律法规。2.1.2 各单位主要负责人是本单位的信息安全管理的第一责任人,对本单位信息安全负领导和管理责任。2.1.3 公司各事业部、中心、管理平台各部门应建立、健全信息安全组织,配备相应的系统管理员,负责具体落实信息安全的相关工作。2.2 信
2、息部职责建立和完善信息安全管理体系,负责信息安全技术和管理方法的研究、应用及推广;提供信息系统安全技术保障,制订及完善信息安全管理制度,实施信息安全监控和管理、提供安全管理技术指导与服务、督促和检查各应用单位的信息安全体系建设及实施。2.3 企业管理部职责负责审核、发布信息安全管理制度,配合信息部检查、监督该制度执行情况,并对违反制度的单位和人员按处罚条例进行兑现。2.4 安全生产管理部职责负责信息设备出入检查和登记,外来人员携带信息设备的检查和登记。2.5 应用部门职责贯彻、落实和执行公司信息安全管理制度、根据本部门情况分解制定本部门信息安全管理办法并落实和执行,进行部门内信息安全管理执行情
3、况检查、考核。3 安全管理细则3.1 PC机(含台式机、图形工作站、笔记本电脑)安全管理3.1.1 PC硬件安全管理3.1 1.1 各单位应明确指定每台PC的责任人。 3.1.1.2 禁止擅自拆卸计算机硬件,禁止擅自安装和使用与工作无关的部件,确因工作需要的,应提出申请,经部门负责人签字同意后,报信息部审批。 3.1.1.3 各单位应根据实际情况制定笔记本电脑管理规定并报信息部备案。3.1.2 PC软件管理3.1.2.1 操作系统: PC上只允许安装公司所指定的操作系统及版本(以存放在公司文件服务器上的为准),若因工作需要安装其他操作系统,应填写信息需求申请表(见附件一),经信息部批准、备案后
4、方可安装。3.1.2.2 所有PC必须安装公司指定的防病毒软件,并遵守计算机防杀病毒管理规定。3.1.2.3 常用办公软件和应用软件须到信息部指定的服务器上下载安装;禁止擅自通过其他介质拷贝、下载软件进行安装使用,确有特别需求的,须填写信息需求申请表,报信息部批准后方可安装;禁止擅自安装和使用盗版软件,对擅自安装而引起涉及版权方面法律纠纷的由责任人承担一切后果。 3.1.2.4 公司管理类信息系统、技术类信息系统、技术类设计软件、公司实施的或要求安装的其他软件安装和使用遵照相应软件管理办法。3.1.2.5 禁止安装和使用娱乐性软件、游戏软件(操作系统附带的除外)。3.1.2.6 严禁擅自安装和
5、使用上网代理类、黑客性质类、网络和通讯管理类等危害信息安全和网络安全的软件。3.1.3 PC操作管理3.1.3.1计算机用户应使用规定的用户账号登陆操作系统,不得将帐号和密码告知他人。3.1.3.2 计算机用户必须设置计算机系统登陆密码和屏幕保护密码(除特别情况,屏保等待时间不大于10分钟),密码长度不少于8位,密码应妥善管理,并且定期和不定期更改,长时间离开时(30分钟以上)应将计算机操作锁定或关机。3.1.3.3 CMOS密码与操作系统管理员密码由系统管理员统一管理,所有计算机用户未经信息部的许可,不得修改计算机的系统设置,不得擅自更改IP地址,不得设置共享文件夹。3.1.3.4 计算机用
6、户不得使用任何方法窃取他人口令,非法入侵他人计算机系统。 3.1.3.5 严禁通过盗用他人IP地址、设置上网代理等违规方式访问互联网,禁止从事一切危害网络安全和系统安全的操作。 3.1.3.6 PC硬盘应分驱(盘)管理(至少分两个逻辑驱(盘),系统软件、应用软件、工作文件和数据应分类分开存取,工作文件和数据、随机专用设备驱动类文件应做好备份。3.1.3.7 禁止下载、存储、使用、传播与工作无关的文件(如:MP3,电影,游戏、小说等);3.1.3.8 具备上外网(互联网)权限或拥有外部电子邮箱(公司分配的)的计算机用户不得利用工作便利在互联网上进行与工作无关的活动,禁止使用私人电子信箱传递有关公
7、司信息。3.1.3.9计算机用户岗位变更时,其网络和信息系统使用帐号、权限须进行相应变更,其帐号、权限应报信息部予以处理,计算机用户和所在单位均不得擅自将该用户外网、外部信箱、OA、信息系统等帐号、口令和权限转交其他人使用。3.1.3.10计算机用户不得制作、查阅、复制和传播思想内容反动的、不健康的、有碍社会治安和有伤风化的信息。3.1.4 外来计算机的管理3.1.4.1 定义:非公司所属计算机皆视为外来计算机。严禁外来计算机带入涉密信息密集单位如技术研发部门、重要档案管理等部门办公场所。3.1.4.2 外来计算机因工作需要在公司办公场所内(非涉密部门)使用时,应安排专人监控,原则上不得联入公
8、司网络,确实需要联网的,须由相关单位申请,经公司分管领导批准并签署信息安全、保密协议。3.2 系统安全与业务连续性管理3.2.1 服务器管理3.2.1.1 各服务器责任单位应根据服务器的应用情况制定服务器管理办法,并报信息部备案。3.2.1.2 每台服务器应指定责任系统管理员和后备系统管理员,系统管理员应根据服务器管理办法对服务器进行日常管理。3.2.2 业务连续性管理3.2.2.1 系统备份、恢复管理:各应用信息系统的管理单位应制订可行的备份方案和灾难恢复方案,以保障在出现系统故障、或数据丢失等影响业务正常运行情况时恢复系统,减少和避免信息资产损失。3.2.2.2 系统容灾管理:重要系统应制
9、定合理的设备冗余和容灾方案,以保障当部分设备发生故障时能够支持业务和系统连续运行;重要系统和数据应进行异机备份或用备份设备进行备份,以保障系统和数据具备合理容灾性能。3.2.2.3 业务应急预案:各业务单位应制订业务应急预案;当系统出现紧急情况不能支持业务应用时,各单位应启动应急预案,保障业务连续运营。当紧急状态排除后,业务部门要组织业务人员将紧急状态时发生的业务补充到系统中,以确保信息业务信息完整、有效。3.3 数据安全管理3.3.1 数据备份:各服务器责任单位应制定数据备份方案,并按方案进行备份,方案报信息部备案。应用人员要对自己本地计算机的信息安全负责,作好各自的信息备份工作。3.3.2
10、 电子信息保密管理3.3.2.1 各单位应制定涉密电子信息保密管理办法,对涉密电子信息按公司保密制度进行密级划分并按密级进行管制。3.3.2.2 未经批准禁止任何人将公司信息系统中的电子数据提供给无关人员、外单位人员;未经批准禁止任何人复制、转移、查看、发布、打印公司涉密信息。其中公司保密制度(JAC-GL-004-2006)规定的秘密级以上(含秘密级)信息须经公司领导批准,其他信息须经部门负责人批准。3.3.2.3 对于以网络通讯、电子邮件、光盘、软盘、移动存储设备等方式向公司以外的单位提供各种技术类电子数据(包括图纸、数据及其他技术类文档)、公司保密制度(JAC-GL-004-2006)规
11、定的“秘密”以上密级的电子文档(数据),需按电子信息(数据)流出审批表(见附件二)规定的审批权限履行审批手续,并与客户签收回执单(附件三)一起备案存档。其中公司保密制度(JAC-GL-004-2006)规定的秘密级以上(含秘密级)信息流出须经公司领导批准,其他信息流出须经部门负责人批准。3.3.2.4 各类计算机、数字存储设备经报废、送外维修、外借、出售等方式转出公司时应对存储的信息进行不可恢复性删除。3.3.2.5 各类计算机、数字存储设备带出公司前,相关责任人应检查是否存有涉密信息,对存储的涉密信息应进行清除,或按公司相关保密制度进行报批。3.3.2.6 涉密电子信息应进行访问控制,其存储
12、、传输应进行加密处理,禁止使用明文进行网络传输。3.3.2.7 对因管理不善造成公司涉密电子信息泄漏的单位和员工,将按公司相关保密制度追究相关单位和员工的责任。3.4 移动存储设备管理3.4.1 严格控制各类移动存储设备(包括软驱、光驱、U盘、移动硬盘、数码设备、红外设备、无线通讯设备等)在公司使用,各单位应制订移动存储设备使用管理办法,并报信息部备案。3.4.2 各单位须对已有的移动存储设备指定专人统一登记,集中管理,并报信息部备案;新增移动存储设备需报信息部批准。对通过移动存储设备传入传出的文件应记录备案;禁止擅自使用私人移动存储设备拷贝数据。3.4.3 对因移动存储设备使用不当而造成的信
13、息泄密或其他事故,要追究使用者、移动设备责任人及单位负责人的相关责任。4 信息安全检查和督察4.1 信息部负责制定信息安全检查管理办法,每年年底前根据实际情况制订下一年度检查计划,检查方案。4.2 各事业部、中心、管理平台各部门制定本单位检查计划和方案,报信息部批准和备案,并按计划进行检查,检查结果和整改措施报信息部备案。4.3 信息部按计划检查督促各部门的检查执行情况,并对执行效果报公司进行考核。4.4 信息部联合企业管理部按检查计划和方案进行定期和不定期抽查,被抽查单位应按要求进行配合,企业管理部按制度对违规单位和个人按处罚条例进行兑现。5处罚5.1 信息部、企业管理部将定期对各单位执行本
14、制度的情况进行检查考核。5.2 对严重违反本制度及相关信息安全制度计算机应用单位或个人,信息部应立即停止其使用系统和网络的权限,直至单位领导和责任人做出书面检查、落实相应的处罚并整改到位。由此造成的一切后果由责任单位或责任人自负。5.3 公司员工违反本制度一条一次,罚款300元,所在单位罚款500元;违反多条多次累计并加倍处罚。5.4 员工违反本制度3.1.2.6条,3. 1.3.4条, 3.1.3.5条者,给予下岗处理。5.5对故意盗取公司技术、管理、财务、经营及人事档案等保密信息者;对有意攻击、破坏公司信息系统并造成严重后果者,予以开除处理。对触犯刑律的,依法移送司法机关处理。6 相关制度
15、6.1保密制度(JAC-GL-004-2006)。6.2内外网和电子信箱管理办法(JAC-GL-401-2006)。6.3计算机防杀病毒管理规定6.4本制度其他依据:国家、省市信息安全相关法律法规;国家、省保密局相关文件7 附件附件一:信息需求申请表附件二:电子信息(数据)流出审批表附件三:客户签收回执单附加说明:本制度编制:郭祥、罗军本制度审核:李世杭本制度会签:项兴初、马民生、杨文江、 靳素华、 任国清、 张作洋、 周明良、 顾德华、范家辰、王兵、 王朝云本制度批准:赵厚柱本制度由信息部负责解释,自2006年7月1日起发布实施。附件一:信息需求申请表(JAC企管表040)申请内容 USB接
16、口 特殊软件 开通外网 OA用户 内部邮箱 外部邮箱 VPN帐户 其他需求 申请人 所在岗位 所在单位 电脑编号 IP地址 MAC地址 申请事由: 部门领导意见 信息部系统管理员初审意见 信息部领导意见 分管领导意见 备注 填表说明:1、申请内容:USB接口开通指开通USB数据传输功能,USB外接鼠标、键盘不需申请;外部信箱指公司网站上()的电子信箱,;VPN帐户指可以通过互联网远程访问公司内部网的特定系统的帐户;2、电脑编号即固定资产编号;3、MAC地址即计算机网卡的物理地址(physical address),可以在命令行下通过ipconfig /all获得;4、部门领导意见:管理平台须各
17、部门负责人签署,各事业部须事业部分管副总以上领导签署。附件二:电子信息(数据)流出审批表(JAC企管表041)数据流出方式 网络传送电子邮件移动存储设备刻录光盘其它 申请人姓名 所在单位 数据接收 单 位 数据接收者及联系电话 数据流出 原 因 所在科室领导 意见 (签名) 年 月 日 所在单位主管 意见 (签名) 年 月 日 信息部部长 意见 (签名) 年 月 日 分管领导 意 见 (签名) 年 月 日 备注 公司保密制度(JAC-GL-004-2006)规定的秘密级以上(含秘密级)信息流出须经公司领导批准,其他信息流出须经部门负责人批准。办理数据流出者须知: 1、办理数据流出者必须将此表与
18、客户签收回执单一起进行备案存档。 2、办理数据流出者对所流出数据产生的问题负全部责任。 填表说明:1、数据经信息部流出时,须信息部部长签署意见,其他情况不需要。2、所在单位主管意见,管理平台须各部门负责人签署;各事业部须事业部分管副总以上领导签署附件三:客户签收回执单(JAC企管表042)客户签收回执单 填写时间: 年 月 日 JAC企管表042 姓名 单位 职务 单位地址 联系电话 所得到的数据(文件) 数据的使用范围和期限说明 从何处、何人(包括联系方式)、以何种方式获得数据(文件) 接受数据(文件)者必须遵守以下规则: 1、所得到的数据(文件)只能用于提供数据(文件)者指定的用途,不得易作他用。 2、所得到的数据(文件)必须进行保密处理,不得被不相关人员获得。 3、所得到的数据(文件)使用完后必须送还提供者(或销毁)。 4、接受数据(文件)者对所得到的数据(文件)所产生的问题负全部责任。
