信息安全管理制度.docx

信息安全管理制度1主题内容与适用范围本制度明确了公司信息安全组织的架构、信息安全领导小组（信息安全工作小组）的职能、各部门的职责以及信息安全管理工作要求和工作流程。为落实谁主管谁负责，谁运行谁负责，谁使用谁负责的信息安全责任制，保障公司网络及信息系统安全,特制订本信息安全管理制度。2信息安全工作机构2.1 公司设信息安全领导小组，是公司信息安全工作的领导机构。领导小组下设工作小组,负责日常具体工作,配合信息安全归口部门做好本部门内的信息安全工作。2.2 生产技术部是公司信息安全归口部门，生产技术部计算机信息管理岗位兼任公司网络与信息安全岗位,负责公司网络及信息系统日常安全管理工作。综合部为公司安全保卫、保密相关工作的归口部门。3信息安全领导小组职能3.1 贯彻执行国家和行业有关信息安全的法律和法规，落实上级公司关于信息安全的管理要求和相关决策和决议。3.2 审议公司信息化发展规划和信息安全相关工作制度。3.3 落实谁主管谁负责，谁运行谁负责，谁使用谁负责的信息安全责任制，明确职责，落实责任。3.4 审议公司信息安全事件应急预案，领导重大信息安全事件的处置和事故处理。3.5 协调资金来源，保障信息安全项目资金的落实。4信息安全归口部门职能4.1 贯彻执行国家和行业有关信息安全的法衡口法规,制定、落实公司信息安全管理制度。4.2 协调、督促各职能部门落实信息安全措施，确保公司已建立的计算机网络及各类管理信息系统正常运行。4.3 制定公司网络与信息安全应急预案，组织应急预案的日常演练。5信息安全工作管理5.1 根据上级公司有关信息安全工作要求和企业信息化建设需要，制定公司网络与信息安全应急预案，明确责任、协调各职能部门开展信息安全工作。5.2 管理信息大区（公司信息内网）要落实内外隔离、安全分区、用户认证、定机上网的安全防护措施。5.3 管理信息大区（公司信息内网）和广域网应设防火墙有效隔离并配有防病毒系统、终端安全防护系统及系统补丁自动升级机制。禁止将外部网络直接接入内部网络。5.4 生产技术部负责收集各类应用系统的漏洞信息，评估漏洞威胁、成因和严重性。由生产技术部统一下载系统补丁、测试，并通知相关用户进行安装。服务器系统补丁安装前，应做好数据和系统的备份工作，做好应急应对措施。5.5 未经生产技术部同意，不准在公司网络上，私自连接相关网络设备、网络服务器或设置代理服务等。网络用户须遵守有关互联网的法律与法规，不得在网络上传播违反宪法和法律、行政法规、有损公共利益和企业形象的任何信息。5.6 生产技术部应利用现有技术手段，加强对网络的监管和审计。对违反信息安全管理制度的要提出警告并加以限制，重大信息安全问题应提交信息安全领导小组讨论。5.7 信息系统应急处置演练每年应至少一次。重要信息设备应配置有冗余，采用新技术不断提高信息系统的安全可靠性。5.8 公司信息安全管理人员应每年参加一次上级公司组织的或社会开办的信息安全专业培训。5.9 各类应用系统要制定数据备份策略，定期做好数据备份工作，有条件的要做好重要数据的异地备份工作。5.10 信息系统及网络相关设备和设施，要定期开展安全检查，做好维护保养工作。影响系统正常工作的要提前公告，使用户有所准备。5.11 公司信息机房配备远程摄像监控及机房环境监测系统，如遇异常情况系统将自动通过电话及手机短信方式告知相关信息人员及时进行处理。5.12 公司信息机房应配有两路不同来源的电源供电，应配有UPS电源保护，确保公司信息机房电源供给。UPS电源应定期检查。5.13 公司信息机房应配有独立的空调系统。应定期对空调系统进行保养和测试，发现问题及时报修，保证公司信息机房空调的正常运行。5.14 公司员工如须开通因特网，必须书面填写个人开通外网申请表经部门同意、公司总经理核准后由公司计算机信息人员负责开通。5.15 公司员工对网络及信息系统权限进行开通或变更的，必须在公司OA协同办公系统中填写公司网络及信息系统权限开通、变更申请单"，经相关部门审核同意后由公司计算机信息人员负责开通或变更。5.16 公司员工对ERP系统权限进行开通（变更）或进行故障报修的，必须在公司OA协同办公系统中填写mERP系统权限开通（变更）、故障报修申请单，经相关部门审核同意、公司分管领导核准后由公司计算机信息人员负责处理或上报ERP系统运维人员。5.17 公司员工对信息管理系统中某个子系统的流程需要进行调整，在系统功能可调整的范围内，填写公司OA协同办公系统中公司应用系统流程建立修改申请表，经相关部门审核同意、公司相关领导核准后由公司计算机信息人员负责处理。5.18 公司员工上网及使用各类信息系统，只能使用本人的账号。不得越权或使用他人身份进行登入。用户密码设置应有一定的长度和复杂度,用户对密码的妥善保存、保密和定期修改负有直接责任。5.19 公司计算机信息人员每月定期将员工相关账户信息从系统中导出后交人力资源部进行核对。根据人力资源部反馈的信息对员工的账号及权限进行相应的调整。5.20 公司员工通过移动办公使用信息系统的,必须通过IPSec或SSLVPN等安全接入方式实现，不能将信息系统直接发布到互联网。5.21 计算机的保管人是该计算机信息安全的第一责任人。保管人应注重计算机的防病毒系统运行情况和补丁的安装情况，确保使用安全。同时应注重自己重要数据的整理备份工作，公司本部员工可将自己的重要数据备份到公司云盘上。不得安装与工作无关的软件及盗版软件。5.22 涉密计算机、涉密移动存储或设备应符合国家有关保密规定。不准和其他网络联接，不准和其他业务工作交叉使用，不得移作他用。要采取严格的管理措施，防止泄密事件发生。5.23 在各类信息项目服务外包工作中，承包方人员和第三方人员的背景验证检查必须按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。合同条款和条件中必须声明各自的信息安全职责。5.24 软件外包开发，必须与软件开发单位签订协议。明确知识产权的归属和安全方面的要求；明确所完成工作的质量和准确性的认证方法；系统发生故障的处理约定。安装使用前须经过防恶意代码、木马等恶意程序的测试，必须提供软件设计的相关文档。