下载文档原格式
网络信息安全管理制度为了保证医院网络系统的安全,促进医院网络的应用和发展,保证网络的正常运行和使用,特制定本安全管理制度。
一、网络管理1、遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入.2、各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。
各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。
3、禁止未授权用户接入医院计算机网络及访问网络中的资源,禁止未授权用户使用BT、迅雷等占用大量带宽的下载工具。
4、任何职工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据.5、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为.6、计算机各终端用户应保管好自己的用户帐号和密码。
严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。
计算机使用者更应定期更改密码、使用复杂密码。
7、IP地址为计算机网络的重要资源,计算机各终端用户应在办公室的规划下使用这些资源,不得擅自更改。
另外,某些系统服务对网络产生影响,计算机各终端用户应在医院网管人员的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。
医院各科室原则上只能使用一台电脑上外网,根据科室内部需要,由科室负责人统一调配。
若有业务需求需要增加时,由科室上报办公室审批处理。
二、设备管理1、凡登记在案的IT设备,由办公室统一管理2、 IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到科室)。
信息管理规章制度
第一条为了规范和加强信息管理工作,保护信息安全,提高信
息资源的利用效率,制定本规章制度。
第二条信息管理工作应当遵循合法、准确、安全、便捷的原则,确保信息的真实性、完整性和保密性。
第三条信息管理工作应当建立健全信息分类、存储、传输、利
用和销毁的制度,确保信息的合理利用和安全保护。
第四条信息管理工作应当建立信息管理责任制,明确信息管理
工作的责任主体和责任范围。
第五条信息管理工作应当加强信息技术支持,提高信息管理的
自动化、智能化水平。
第六条信息管理工作应当加强信息安全管理,建立健全信息安
全保护制度,加强信息安全技术保障。
第七条信息管理工作应当加强信息资源的共享和开放,促进信
息资源的共建共享共用。
第八条信息管理工作应当加强信息管理人员的培训和教育,提高信息管理人员的业务水平和管理能力。
第九条信息管理工作应当加强信息管理工作的监督和检查,及时发现和纠正信息管理工作中的问题。
第十条信息管理工作应当建立健全信息管理工作的考核评价制度,激励和约束信息管理工作人员。
第十一条本规章制度自颁布之日起施行。
如有需要修改,经相关部门审批后执行。
以上就是信息管理规章制度的内容,希望全体员工自觉遵守,共同维护好公司的信息资源。
计算机信息网络安全管理制度XXXXX计算机信息网络安全管理制度第一章总则第一条为规范XXXXX系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息化网络、计算机设备安全、有效运行,特制定本制度。
第二条XXXXX信息化及计算机网络管理工作在XXX的统一领导下,由XXXXX计算机信息网络安全管理领导小组所有成员负责具体组织实施。
第三条本单位计算机信息网络安全管理工作实行“一把手”负责制。
第四条本制度所称计算机信息安全网络管理工作包括信息化网络及设备管理、安全保密管理、计算机病毒防治、资料管理、培训等内容。
第二章信息化网络及设备管理第五条信息化网络及设备按个人分配使用。
分配到个人的设备由单位的工作人员负责,单位应指定一名熟悉计算机技术的人员负责日常管理和维护工作。
第六条凡使用信息化网络及设备的工作人员应自觉遵守相关法律法规和制度规定。
对违反规定使信息化网络及设备不能正常工作和造成重大事故者,追究其相应责任,后果严重的,依法追究法律责任。
第七条严禁在信息化设备上安装与工作无关的、未经广泛验证为安全的软件程序。
严禁带电拔插计算机内部配件。
移动非便携式信息网络设备应断电后进行。
离开工作场所前,须关闭计算机,切断电源。
如有特殊情况不能关闭的,须征得本部门负责人同意。
第八条非指定的技术人员不得擅自打开信息化网络设备外壳,进行任何配置和检测。
不得擅自将信息网络设备(包括报废设备)的配件私自拆卸,移植到其它设备。
第九条未经单元卖力人批准,任何人不得随意更换信息化网络设备,不得随意外借、处置信息网络设备。
外部人员如需使用本单元的信息网络设备,需经本单元主管领导赞成,并在现场监督的情况下进行。
第十条对计算机进行硬盘格式化和删除操纵系统文件,须事先做好数据备份工作,并由本单元信息化管理员进行操纵。
第十一条各单位信息化网络设备的使用人、保管人、责任人等情况的变更,应及时报办公室和财务部门登记备案。
第十二条重要的信息化网络设备,由本单位办公室集中统一管理。
校园网络信息安全管理制度XXX网站信息安全管理制度一、加强机房建设,严格控制机房出入1.建立完善的管理制度,确保网络信息安全管理工作得到有效实施。
2.指定专人负责,实行机房岗位责任制。
3.配备技术防范器材,做好预防准备。
二、加强校园网络信息监控1.学校网站必须遵守国家有关信息网络的法律法规,加强对网络要害信息的监控。
重点监控以下信息:煽动破坏宪法和法律、行政法规实施的;,推翻社会主义制度的;煽动歧视,破坏民族团结的;捏造或者歪曲事实,散布谣言,扰乱社会秩序的;散布“”传单和收看“”等有关信息的;公然侮辱他人或者捏造事实诽谤他人的;损害国家机关和学校信誉的;其他违反宪法和法律、行政法规的。
对涉及上述内容的网络地址、目录或者服务器应按国家有关规定,予以删除关闭。
2.此外,还要对以下信息进行监控:擅自进入计算机信息网络使用计算机信息网络资源的;对计算机信息网络功能进行删除、修改或者增加的;擅自对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;故意制作、传播计算机病毒等破坏性程序的;其他危害计算机信息网络安全的。
三、落实管理责任制,加强机房“三防”教育1.学校机房的管理责任包括:负责本网络的安全保护管理工作,建立完善的安全保护管理制度;落实安全保护技术措施,保障本网络的运行安全和信息安全;负责对本网络用户进行安全教育和培训;对委托发布信息的单位和个人进行登记,并按照国家网络法律进行审核;建立计算机信息网络电子公告系统的用户登记和信息管理制度;发现有网络违法犯罪、反党反社会主义宣传、色情迷信暴力宣传、传播网络病毒、危害他人通信自由行为的,应当保留有关原始记录,并在24小时内向当地公安机关报告。
2.在机房建设中,要加强“防腐朽思想、防病毒侵害、防网络泄密”的“三防”教育。
学校教育信息建设中,硬件建设是基础,应用是核心。
学校应与服务商合作共同推出安全管理模块,过滤不良站点、查杀病毒、建立校园网防火墙,以保证整个校园网的安全平稳运行。
信息安全管理制度大纲第一章总则第一条为加强信息安全管理工作,保护机构的信息资产安全,提高信息系统的安全性,依据有关法律法规,制定本制度。
第二条本制度适用于机构所有员工、外包服务提供方、访客等使用或涉及机构信息系统资源的人员。
第三条信息安全管理目标是确保信息安全,保护信息资产的完整性、可用性和保密性,防范信息系统遭受各类威胁和攻击。
第四条本制度内容包括信息安全管理的基本原则、组织机构和责任、信息资产管理、信息安全控制措施、信息安全培训和宣传、信息安全事件处理等内容。
第五条机构应当根据实际需求和风险情况,结合本制度制定相应的信息安全管理制度补充文件。
第二章信息安全管理的基本原则第六条信息安全管理遵循的基本原则包括:(一)依法合规原则:遵循有关法律法规和政策要求,保护信息资产的合法权益。
(二)谨慎原则:按照需求和风险分析的结果确定信息安全控制措施,确保信息安全工作的有效性和可靠性。
(三)全面原则:全面考虑信息安全系统的所有方面,确保信息资产的安全性、完整性和可用性。
(四)风险管理原则:采取适当的风险评估和风险管理措施,及时发现和应对信息安全威胁。
(五)责任原则:建立明确的信息安全管理职责和权限,明确责任分工,推动信息安全管理工作的开展。
(六)持续改进原则:不断完善信息安全管理制度,提高信息安全管理水平。
第七条机构应当根据实际情况,结合信息系统的特点和风险控制需求,灵活运用上述基本原则,制定信息安全管理计划和具体控制措施。
第三章组织机构和责任第八条机构应当建立完善的信息安全管理组织机构,包括信息安全管理委员会、信息安全管理部门和信息安全管理人员。
第九条信息安全管理委员会由机构领导或主管部门领导任命,负责制定信息安全战略、政策和规划,协调信息安全管理工作,解决重大信息安全事件。
第十条信息安全管理部门是机构专门负责信息安全管理的部门,负责组织和实施信息安全管理工作,指导和监督各部门的信息安全工作。
第十一条信息安全管理人员是指负责信息安全管理工作的具体人员,包括信息安全管理员、信息安全运维人员、信息安全技术人员等。
信息安全管理制度发布日期:2021年01月01日实施日期:2021年01月01日XXX发布密级:□公开内部□秘密】信息安全管理制度目录1、总则1.1目的为规范公司信息安全管理工作,保证计算机系统的正常运行,降低信息安全漏洞对公司造成的损害,推进公司信息化建设工作,特制定本制度。
1.2定义信息安全是指信息系统(包括电子邮件、硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
其根本目的就是使内部信息不受内部、外部、自然等因素的威胁,保证系统联系可靠正常运行。
2、职责2.1主要管理部门综合办理部。
2.2网络管理员网络管理员为信息系统主要管理人,负责信息系统的建设、维护、管理、升级工作;负责公司网站的信息更新操作。
2.3.ERP系统管理员ERP系统管理员为ERP系统主要管理人,负责ERP系统的维护、密级:□公开内部□隐秘】管理、权限变更等工作。
2.4计算机操作员使用电子计算机从事文字、图形、图象等信息处理工作及计算机系统操作、维护与办理的工作人员。
三、电子邮件管理3.1电子邮件命名3.1.1公司内部人员统一使用后缀为@***的电子邮件。
3.1.2电子邮件账号原则上以姓名拼音的第一个字母进行命名,如遇重复,由综管部与个人协商肯定。
3.2电子邮件使用办理程序3.2.1邮箱申请:新进人员直接由综管部肯定并下发邮箱地点;3.2.2人员异动:所属部门人员岗亭异动应实时告诉综管部;离职人员邮箱由部门按照需求处理后告诉综管部清除账户。
3.3邮件发送3.3.1邮件发送对象:邮件接收人为邮件内容的主要执行人。
发送邮件时应按流程逐级发送,不允许越级汇报或发给与邮件内容无关人员。
发送时应明确收件人执行要求。
3.3.2建立发送群体对象因人员岗亭变动要实时更新接洽名单。
信息安全管理规范和保密制度模板范文一、总则1. 为促进企业信息安全管理,保障企业重要信息资产的安全性、完整性和可用性,遵守相关法律法规,制定本规范。
2. 本规范适用于全体员工、外聘人员和供应商,并穿透至企业相关合作方。
3. 所有员工必须严格遵守本规范的要求。
二、信息资产分类和保护等级1. 信息资产分为公开信息、内部信息和机密信息。
2. 具体的信息保护等级及措施由信息安全管理部门按照相关标准进行制定。
三、信息安全责任1. 企业领导层要高度重视信息安全工作,制定相关政策及目标,并进行监督。
2. 信息安全管理部门负责制订、实施、评估和监督信息安全相关制度和措施,监控信息安全风险。
3. 各部门主管负责本部门信息安全工作的组织和落实。
四、信息安全管理措施1. 员工入职时应签署保密协议,并接受相关培训。
2. 严格控制权限,所有员工只能访问其工作所需的信息,禁止私自访问不相关信息。
3. 确保网络和系统的安全性,包括定期更新设备软件、加密网络访问等。
4. 定期检查网络设备和系统,发现及时修复漏洞。
5. 加强对外部供应商、合作伙伴的信息安全管理,签署保密协议并进行监督。
6. 实施通信和数据加密措施,确保敏感信息在传输过程中的安全。
7. 定期备份关键数据,确保数据完整性和可用性。
8. 加强物理安全管理措施,包括防灾、防泄密、防火等。
五、信息安全事件处理1. 组织相关人员对信息安全事件进行调查、记录和报告。
2. 及时进行事故响应和应急处理,尽力减少损失。
3. 开展对信息安全事件的分析及评估,并进行改进措施的制定和落实。
六、信息安全教育和培训1. 针对全体员工及时开展相关信息安全培训,提高员工的信息安全意识。
2. 定期组织信息安全知识竞赛,对于表现优秀的员工进行奖励。
七、制度的监督和评估1. 建立信息安全管理评估机制,定期对信息安全制度进行评估,并进行修订和完善。
2. 对违反保密规定的行为进行相应的惩处和纠正。
八、附则本规范的解释权归公司信息安全管理部门所有。
恶意代码防范管理制度第一章总则第一条为了规范和加强单位计算机信息系统的恶意代码防护管理工作,特制定本制度。
第二条本制度适用于本单位管辖范围内各部门的计算机用户以及使用本单位网络、数据资源的第三方人员。
第三条职责(一)本单位负责本办法的制订和修订;(二)本单位负责对本制度的执行情况开展定期或不定期的监督检查和指导工作;(三)本单位负责单位管辖范围内的计算机病毒防范工作。
第二章程序第四条对员工进行恶意代码防范意识教育培训,提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检测,对外来计算机或存储设备接入网络系统之前也进行病毒检查。
第五条指定专人对网络和主机进行恶意代码检测并保存《恶意代码检测记录》。
日常管理(一)需确保本单位范围内所有入网服务器、个人计算机(除来宾及外租网络信息管理科外)必须安装统一的防病毒软件,并保持最新的病毒及恶意代码库。
对于未能达到上述要求的计算机应禁止其访问本单位网络资源,直至其符合条件。
(二)对防病毒系统及设施(包括但不限于防病毒服务器、中央管控服务器、网络病毒墙、Web安全网关、邮件安全网关等)进行日常的维护,并对上述系统及设施的配置进行登记。
对上述系统及设施进行产品升级、配置修改、硬件维护等将导致相应系统和设施中断运行的事件(设备重启之外),应在主管授权下进行,并做好相应的记录。
(三)每月需对病毒感染前10的用户进行统计,并进行相应处理。
第五条计算机存储、网络设备及IP相关地址的管理(一)禁止任何人私自拆卸、转移、更换和加装计算机存储与网络设备。
(二)禁止任何人私自设定、更改和透露计算机的IP地址及计算机网卡的物理地址。
第六条计算机操作系统及其软件安装的管理(一)禁止任何人私自安装计算机操作系统及相关的应用软件。
(二)禁止任何人利用本单位计算机下载、复制、安装和传播各类与工作无关的软件。
(三)禁止任何人利用本单位计算机下载、复制、观看和传播各类与工作无关的视频文件。
信息安全管理制度第一条总则为保证公司信息系统安全可靠稳固运行,着落或禁止人为或自然因素从物理层面对公司信息系统的保密性、完全性、可用性带来的安全要挟,结合公司实际,特制定本制度。
第二条电脑设备管理(一)各部门对该部门的每台运算机应指定保管人,保管人对运算机软、硬件有使用、保管责任。
(二)运算机设备不使用时,应关掉设备的电源。
每台运算机应设置自动锁屏密码,人员暂离岗时,应锁定运算机。
员工下班离开时应及时关闭电脑电源。
(三)运算机为公司资产,不得私用,转让借出;除笔记本外,其他设备严禁无故带出办公生产工作场所。
(四)运算机设备老化、性能落后、故障或非常情形(包括气味、冒烟)时,应当立刻关闭电源开关,拔掉电源插头,并及时通知运算机管理人员检查或修理。
(五)员工入职时,由综合部根据其职位分配相应的运算机。
(六)员工离职时,综合部应及时取消其所有 IT 资源使用权限,回收其电脑。
第三条软件系统管理(一)公司的系统和软件的安装由综合部统一安排,任何人不得擅自对软件和系统做更换或删除,如有违背将给予处罚。
(二)公司台式机电脑及笔记本电脑的操作系统由网络管理员(以下简称网管)统一安装。
(三)公司运用软件的安装,网管将根据各岗位的工作需求进行安装。
例如:XXX 办公自动化软件、PHOTOSHOP 图形处理软件、企业 QQ 软件、杀毒软件,并升级成最新版本。
(四)公司办公使用的 OA、ERP、微信、腾讯 QQ 等软件,在新员工入职后在 OA上提交使用申请,由信息化组分配账号,告知初始密码。
(五)未经答应,员工不得在网上下载软件、音乐、电影等,对于工作以外的运用软件,均不予安装。
(六)公司邮箱账号必须由本账号员工使用,使用电子邮件时,附件都运用安全软件查杀后确认无毒再打开,制止使用公司的运算机散布、回复、转发连锁邮件、恶作剧邮件,制止将触及公司秘密的内部邮件转发到互联网上,如造成公司缺失或名誉影响,公司将追究其个人责任。
信息管理制度信息管理制度总则本信息管理制度旨在规范公司内部信息的管理和使用,保障信息的安全和合法性,维护公司的利益和声誉。
所有使用公司信息系统的员工都必须遵守本制度。
一、系统管理一)系统安装系统安装必须由专业人员进行,确保安装程序无病毒、无恶意软件,并按照公司的安全标准进行配置。
二)系统操作员工必须使用个人账号进行操作,不得使用他人账号。
同时,员工应该熟悉系统操作流程,避免误操作导致信息泄露或数据丢失。
三)系统维护系统维护应该由专业人员进行,包括系统更新、补丁安装、备份等。
员工不得随意更改系统设置或删除系统文件,以免影响系统稳定性和安全性。
四)病毒防护员工应该定期更新杀毒软件,并扫描磁盘、U盘等外部存储设备,确保不会被病毒感染。
同时,员工应该避免打开未知来源的邮件、文件或链接,以免被恶意软件攻击。
五)账号管理员工应该妥善保管个人账号和密码,不得将其泄露给他人。
同时,员工应该定期更改密码,以增强账号的安全性。
离职员工应该及时注销个人账号,避免账号被他人利用。
以上是本公司信息管理制度的主要内容,希望所有员工能够认真遵守,共同维护公司的信息安全和利益。
系统数据管理在计算机系统中,数据是非常重要的,因此系统数据管理非常关键。
它包括数据备份、数据恢复、数据安全等方面。
在数据备份方面,需要定期备份重要数据,以防止数据丢失。
在数据恢复方面,需要及时恢复数据,以保证系统正常运行。
在数据安全方面,需要加强数据加密和访问控制,以防止数据泄露和非法访问。
硬件管理硬件管理是指对计算机硬件的管理和维护。
它包括设备管理、日常操作管理、计算机维护管理和硬件安全管理。
设备管理主要包括对硬件设备的管理和配置,以及对硬件设备的故障排除。
日常操作管理主要包括对硬件设备的使用和维护,以及对硬件设备的安全保护。
计算机维护管理主要包括对硬件设备的维护和保养,以及对硬件设备的升级和更新。
硬件安全管理主要包括对硬件设备的安全保护和防护,以及对硬件设备的安全监控和管理。
上海xxx电子商务有限公司信息安全管理制度目录第一章关于信息安全的总述 (2)第二章信息安全管理的组织架构 (3)第三章岗位和人员管理 (3)第四章信息分级与管理 (3)第五章信息安全管理准则 (4)第六章信息安全风险评估和审计 (8)第七章培训 (9)第八章奖惩 (9)第九章附则 (9)第一章关于信息安全的总述第一条(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。
第二条(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息;2)保证信息完整和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3)保证信息的可用性。
第三条(制度的任务)通过对具体工作中关于信息安全管理的规定,提高全体员工的安全意识,增强公司经营过程中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。
第四条(制度的地位)本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。
第五条(制度的适用范围)全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。
一切违反公司信息安全管理规定的组织和员人,均予以追究。
第六条(信息的概念)本制度所称的信息是指一切与公司经营有关情况的反映(或者虽然与公司经营无关,但其产生或存储是发生在公司控制的介质中),它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。
具体来说,包括但不限于下列类型:1、与公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等;2、与公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等;3、与公司内部管理相关的各类行政数据,如人事资料、人事组织结构等;4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息;5、其他如公司各分子公司和外地办事结构的数据;公司员工对内、对外进行各种书面的、口头的信息传播行为等。
第七条(信息安全工作的重要性)信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。
第二章信息安全管理的组织架构第八条公司最高管理层是公司信息安全管理工作的最高领导者,负责全面把握公司信息安全管理工作的方向。
第九条公司CTO以及其领导的技术专家小组作为信息安全管理工作顾问小组,负责指导公司信息安全管理工作。
第十条公司成立专门的信息安全管理工作小组,负责检查信息管理风险、制定安全管理规范、监督公司信息安全管理工作。
第十一条公司人力资源部、法务部、支付运维部及技术专家小组作为信息安全管理辅助执行机构配合信息安全小组工作执行。
第三章岗位和人员管理第十二条涉及到信息安全的岗位和人员的权责必须清晰明确,建立责任人机制,任何信息都有明确的责任人进行负责。
第十三条加强对机要岗位人员的管理,严格控制机要岗位人员的人事变动,加强日常工作监管。
第十四条定期对员工进行信息安全培训,确保员工了解信息安全存在的威胁和问题,在日常工作中切实遵守信息安全政策。
第四章信息分级与管理第十五条信息分级依据信息的价值,或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。
第十六条公司各类经营管理信息均属公司无形资产,都必须按照规定的分级方式进行分级,并明确标注。
第十七条公司为每级信息制定最低安全操作原则,以指导各项具体操作手册的制定和具体信息操作。
第十八条注:详细的信息分级标准,以及最低安全操作原则,见《信息分级和管理标准》。
第五章信息安全管理准则第一节实体和环境安全第十九条关键或敏感信息的存放和处理设备需要放在安全的地方,并使用相应的安全防护设备和准入控制手段进行保护,确保这些信息或设备免受未经授权的访问、损害或者干扰。
具体措施如下:1. 存放或处理信息的设备,如服务器、存储设备等,应该放在公司内部机房或专业、可信的IDC机房内。
2. 存放公司重要信息的IT设备接入网络环境(特别是接入公网环境)必须经过严格的安全检查,配备符合安全要求的网络设备和安全防范设备,并采取有效的管理措施确保不被入侵或数据泄露。
3. 对于那些不能放在机房里,但又存放有关键或敏感信息的设备,如文件服务器,代码管理服务器等,必须放在有严格进出限制的房间里,不得放在公共办公区域。
4. 对于存放纸质文件的文件柜和文件室,必须有锁或其他安全控制装置,并指定专人负责文件取放。
5. 对于纸质文件或可移动存储介质,暂时不用时,需存放在合适的加锁的柜子和/或其它形式的安全设备中,并且可移动存储介质上的重要文件需要加密保护。
第二十条严格控制进出安全区域的人员,并使用必要的监控设备或手段监视人员在安全区域的行为。
具体包括:1. 安全区域是指为存放关键或敏感信息,以及信息处理设备,而划分出来有进入控制手段的区域。
2. 内部员工进入安全区域必须经过授权,并登记进入和离开时间。
3. 外来人员在安全区内工作,除需要经过授权外,必须在适当的监视下进行工作。
4. 人员随身携带物品或设备进出安全区域必须经过检查。
第二十一条存放关键或敏感信息的介质或设备离开工作环境(安全区域),运输、携带或在外部使用,需采取保护手段,防止信息窃取和损坏。
第二十二条存放关键或敏感信息的介质或设备,如果不再使用或转作其他用途,应将其中的数据进行彻底销毁。
应注意选择数据销毁手段,确保数据真正无法恢复。
第二节操作管理第二十三条明确所有信息处理操作的流程,明确流程中每个环节的责任,确保信息处理过程安全无误。
具体措施如下:1. 信息处理过程或操作步骤应整理成正式文档,改动处理过程必须得到管理层授权,操作人员必须按照信息处理的规定程序操作;2. 信息处理职责划分清晰,并通过访问控制、接触限制机制确定授权人员身份;3. 定期检查人员权限列表。
第二十四条信息系统必须建立详细的操作规范和要求,并对这些操作规范进行备案,进行定期检查,及时更新操作规范。
第二十五条各信息管理部门应采取有效取防范措施防止和检测恶意软件的入侵信息系统或设备,防范措施必须由安全部门制定或经过安全部门审核。
第二十六条根据信息使用特性建立备份策略和恢复流程,留存一个或多个数据备份,并演练数据恢复流程。
第二十七条信息系统应记录操作日志、事件日志和错误日志,根据信息等级和类型制定日志信息的保存期限,并且在适当的时候可监视设备运行和操作环境情况。
第三节访问控制第二十八条制定正式流程控制信息系统访问权限与服务使用权限的分配。
这些流程应该涉及用户访问生命周期的各个阶段,从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册,定期对用户访问权限进行检查。
第二十九条公司统一建立员工的身份信息库,并为每位员工配备相应身份卡,所有信息必须使用实名访问,除非信息明确标注可被匿名访问或使用其他认证策略。
对于纸质文档的借阅、复印等需用身份卡进行实名登记,对于信息系统的访问必须使用统一的用户实名认证。
第三十条信息的逻辑访问权仅应授予合法用户,信息系统应该满足以下要求:1. 根据已经确定的业务访问控制策略来控制信息系统功能的用户访问权;2. 防止能够越过系统访问控制措施的实用程序和操作系统软件的非法访问;3. 不妨害其它与之共享信息资源的系统的安全;4. 仅能向信息所有者、其它指定的合法个人或定义的用户组提供信息访问。
第四节系统开发和维护第三十一条新系统和改进系统在建设过程中都应该考虑信息安全的需求,并采取相应的防范措施,包括:1. 系统包括基础设施、自主开发的业务应用程序和第三方开发的应用程序;2. 涉及关键或敏感信息的基础设施和自主开发程序的安全设计方案必须经过信息安全管理组织审核;3. 从外部采购商用软件或系统需要进行安全评估,需要达到公司信息安全要求。
第三十二条系统开发过程的产物(如设计文档,源代码,算法等)应严格管理,确保无关人员无法接触,并可有效控制这些产物传播范围。
第三十三条对于系统中不可避免需要暴露的敏感信息,必须采取有效措施确保信息不会被无关人员获取或者确保信息不可被非法使用。
第三十四条系统开发过程必须有配套的项目管理工作,以保证相关项目中可能涉及到信息得到有效的管理。
第三十五条系统维护必须做到权限清晰,系统中的重要数据必须指定专人负责数据管。
第三十六条开发、测试和线上环境分开,重要系统的开发、测试和维护职责必须分离。
系统开发或变更结束,开发团队应与维护团队进行正式的系统交接工作,并提供必要的技术文档。
第五节信息流转、使用和发布第三十七条公司信息对外发布由公司负责公共关系及投资者关系的部门统一负责,所有员工应当严格遵守相关部门制定的信息发布政策。
第三十八条采取有效措施保护通过网络传送的关键或敏感信息,具体措施如下:1、利用公共网络传送信息或进行交易处理,应评估可能的信息风险,确定信息传送的完整性、机密性、身份鉴别及不可否认性等安全需求,并针对数据传输、网络线路与设备、与外部的网络接口及路由器等事项,采取妥善适当的安全控管措施。
2、开放外界连接的信息系统,应根据数据及系统重要性和价值,采用数据加密、身份鉴别、电子签名、防火墙及安全漏洞侦测等不同安全类型的技术或措施,防止数据及系统被侵入、破坏、窜改、删除及未经授权的存取。
与外界网络连接的接口,应使用防火墙及其他必要的安全设施,控管外界与公司内部网络的数据传输与资源存取。
4、开放外界连接的信息系统,必要时应以代理服务器等方式提供外界存取数据,避免外界直接进入信息系统或数据库存取数据。
5、存有关键或敏感信息的系统,应加强安全保护措施,防止关键或敏感信息遭不当或不法的窃取使用。
6、内部员工之间或内部员工与外部人员发送关键或敏感的信息,必须使用公司信息安全管理组织指定的传送方式。
第三十九条公司应采取有效措施保护通过邮件传送的关键或敏感数据,具体措施如下:1、机密性数据以外的敏感性数据及文件,如有电子传送的需要,各部门应是需要以适当的加密或电子签名等安全技术处理;2、机密数据原则上不建议使用电子邮件传送。
如果业务性质特殊,必须利用电子邮件或其他电子方式传送机密性数据及文件,应采用公司认可的加密或电子签名等安全技术处理。
第四十条机要信息通过网络传播必须加密,正文和密码必须采取两个以上的通路进行发送。
第四十一条为了规避转发带来的信息泄漏风险,机要信息从源到使用环境,禁止通过中间环节进行转发,特殊情况需要经过公司高层批准。
