信息安全管理规定
1
目的
在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常
运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。
2
范围
本办法适用于公司全体员工。
3
术语定义
计算机信息:是指存储在计算机相关设备上的应用系统(软件)
、数据、文档、图纸等含有一定
意义的计算机信息资料。
内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。
外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)
。
VPN
:虚拟专用网络(
Virtual Private Network
,简称
VPN
)
,是指在公共网络上建立专用网络的技
术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。
4
职责
信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换
设备的管理工作,
及时向总部信息化管理部门、
督察部门报告重大计算机信息安全隐患和计算机信息
安全事件。
计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机
信息的保密性、
可用性和完整性;
及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全
事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。
5
内容与要求
账号和密码安全管理
信息系统用户账号须严格按照业务信息系统要求进行设置,
原则上不得设置成共用账号,
以确
保使用人与账号的唯一性。
员工申请信息系统账号权限时,
所在部门的负责人应严格审核,
控制授予满足其工作需要的最
小权限;
员工岗位或工作内容发生变化后应及时提出申请权限变更,
应用系统管理员应及时变更异动
员工的权限,冻结离职员工的账号。
计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向
信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
2
IT
设备安全管理
计算机用户使用办公计算机处理公司涉密信息时,应对涉密文件进行加密处理,如设置访问密
码、控制阅读权限等。
涉密岗位用户使用笔记本电脑,须经分管领导或总经理批准,在安装相应的安全管理系统和安
全防范措施后,才能使用。
移动存储类设备中不得保留涉密信息,临时使用应由使用人妥善保管,用后立刻删除。
涉密岗位办公计算机连接的打印设备应由所在部门指定专人管理,并按照事业部《保密工作实
施细则》相关规定严格控制涉密文件的打印。
网络安全管理
信息化管理部门应定期对负责管理的网络设备进行安全检查,发现异常及时处理,重大事件应
及时向总部信息化管理部门报告。
严格控制笔记本电脑上内网,特殊需求须经过分管领导或总经理审批。
所有外网用户登陆内网信息系统必须通过
VPN
访问。
信息系统运营安全管理
信息系统应用管理员的确定和变更应按照事业部《保密工作实施细则》涉密岗位的规定进行
审,经总经理批准后,报信息化管理部门备案。
信息系统的业务配置变更和二次开发需经过评估和严格测试后,才能传入正式环境使用。计算机信息安全管理
内部信息拷出或向对外单位发送信息需在
OA
系统中发起《计算机信息提取
(
外发
)
申请流程》
申请。信息化管理部门定期根据内部信息提取
(
外发
)
日志对内部信息提取
(
外发
)
部门进行审计,如发
现违规情况,将根据《保密工作实施细则》
、
《员工奖惩制度》等进行处理。
按照集团计算机信息数据集中备份管理要求,公司信息化管理部门定期向总部信息化部提交申
请,
将由公司负责管理的计算机信息备份到集团数据备份中心,
并及时跟进公司计算机信息备份工作
的完成情况,以免造成计算机信息的丢失。
信息备份应保证及时、完整、真实、准确地转储到不可更改的脱机介质上,备份介质须异地存
放,并确保在信息系统发生异常时能及时通知集团数据备份中心,进行信息系统恢复。
信息安全审计
信息化管理部门应定期组织对信息系统的系统管理员登录日志、
操作日志、
变更记录等关键信
息的审计工作,根据信息系统实际情况形成审计记录,及时处理违纪操作。
业务部门应定期对本部门员工对外发送涉密信息的合规性进行检查,形成月度审计记录反馈给
3
信息化管理部门,及时处理违规操作。
信息化管理部门应定期针对信息系统进行信息安全(包括组织、人员、账号、角色、权限等)盘点,出具盘点报告,提交公司安全管理委员会。
