第一篇:企业信息安全保密管理办法
企业信息安全保密管理办法
1.目的作用
企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。2.管理职责
由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。3.公司文件资料的形成过程保密规定 拟稿过程
拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理:
初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。草稿纸及废纸不得乱丢,如无保留价值应及时销毁。
文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。印制过程
秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:
要严格按照主管领导审定的份数印制,不得擅自多印多留。要严格控制印制工程中的接触人员。
打印过程形成的底稿、清样、废页要妥善处理,即使监销。复制过程
复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:
复制秘密文件、资料要建立严格的审批、登记制度。复制件与正本文件、资料同等密级对待和管理。严禁复制国家各种秘密文稿和国家领导人的内部讲话。绝密文件、资料、未经原发文机关批准不得自行复制。
4.公司文件资料传递、阅办过程保密规定
收发过程
收进文件时要核对收件单位或收件人,检查信件封口是否被开启。
收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。
收发文件、资料都要建立登记制度和严格实行签收手续。递送过程
企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。递送外地文件、资料,要通过机要交通或派专人递送。
凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。
递送的秘密文件、资料,一律要包装密封,并标明密级。阅办过程
呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。
绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。
秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。要控制文件、资料阅读范围,无关人员不能看文件、资料。
5.公司文件资料归档、保管过程中的保密规定
归档过程
秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。
有密级的档案,要按保密文件、资料管理办法进行管理。保密过程 秘密文件、资料应集中管理,个人不得保存。
存放处应装有保密设置,专室、专柜及一切设施要能防盗,安全可靠,钥匙应专人保管。文件资料每半年要进行一次清理,清理时应将无用的上级发文交主管部门或上级发文机关;借出的文件应做好清退,清退中如发现缺份,要及时向主管领导报告,认真查处。每年底要组织一次对作废的秘密文件、资料的销毁工作。该项工作要按程序规定进行,经领导复核后,在有专人监督下销毁,严禁向废品收购部门出售“三密”文件、资料。
6.宣传报告工作工程中的保密规定
宣传报道保密,就是对宣传报道中可能发生的泄密,采取一系列措施,确保企业秘密的安全。主要应做好以下几方面工作: 建立健全宣传报道中的保密制度,要明确规定“三密”文件、资料的内容都不能擅自公开或在报导中引用。
公司对外宣传报道的稿件,主管领导要认真进行保密审查。
做好确定密级的工作,使全体干部职工特别是领导和负责进行宣传报导的工作人员能了解掌握。因特殊需要,涉及到“三密“文件资料内容时,必须向总经理汇报请示,公司其他任何人均无权批准。公司管理层应经常向下属部门人员进行保密教育,提高全员保密意识,对违规者,应按制度进行处罚。
7.办公自动化设备(设施)使用的保密措施
随着企业办公自动化的普及,文件、资料保密工作面临新的挑战,为了消除办公自动化应用中所产生的保密领域问题,应抓好以下几个方面工作。
加强对工作人员的保密教育,树立以下思想观念:
树立配有加密设施的微机网络传递与机要通信收发的文件、资料同属正式文件、资料的保密观念。
树立复印文件、资料与正式文件、资料都具有相同作用的保密观念。
树立机要室登记、分发的文件、资料与各部门自行登记、分发的文件、资料都同等重要的保密观念。
树立以纸张为材料的秘密载体与软(硬)件为材料的秘密载体同样重要的保密观念。完善规章制度,认真抓好落实
办公自动化的设备(设施)要指定专人使用与保管。要履行严格的审批手续,控制好文件、资料的制作数量。要根据保密原则,制定严格的违规处罚规定。抓好专业技术培训
要通过专业技术培训,提高工作人员对各种办公自动化设备的操作技术与知识水平,懂得泄密途径和防范的办法。
改善各类设备的环境条件,防止技术性泄密。
8.计算机的保密管理措施
电子计算机已经广泛应用于工业,企业经营的信息、数据源源不断地被输入电脑。因此必须要做好计算机应用中的保密工作。企业的各级主管人员应学习和掌握计算机知识
首先要知道计算机方面的基础知识,掌握和学会对它的运用技能,才能了解到计算机信息系统的不安全因素,才能有针对性地做好保密管理。
造成计算机信息系统不安全因素的一般有以下方面:
8.1.1 计算机系统工作人员泄露计算机信息的秘密。8.1.2 直接从计算机电子文档中窃取信息、资料。8.1.3 电磁辐射泄密。
8.1.4 冒名顶替和越权偷用,暗藏非法程序,定时破坏,篡改。8.1.5 复制和窃取磁介质中的数据、信息。8.2 严格信息管理
除了加强对计算机工作人员经常进行保密教育之外,在信息管理中还应有以下措施:
8.2.1 对计算机工作人员采取分工负责制的办法,防止因一人的疏忽而影响整个系统的安全。
8.2.2 规定信息资源共享的等级和范围,明确使用各密级信息的权限和人员。8.2.3 对存取秘密的信息,计算机网络系统要自动登记存取情况,以便查阅。8.2.4 对含有密级信息的磁记录介质(如磁带、软盘、硬盘、光盘等)要由专人负责保管。8.2.5 含有密级的打印纸要及时处理,对网络系统中软件清单要妥善保管,调试中的软件清单要及时销毁。
8.2.6 对新购买的软件和其他机器拷贝的软件必须进行检查、消毒,以防计算机病毒带入系统。
8.3 完善系统功能
8.3.1 系统应有用户存取资格检查和用户身份识别功能,对非法的操作和无资格存取的用户要及时警告和登记。
8.3.2 用户和网络系统的界面要清晰,采用多层控制,以防用户非法进入系统而破坏整个系统的功能。
8.3.3 系统应有很强的数据加密软件,对需要保存在外存储介质上存贮介质上的秘密信息和上信道传输的秘密信息必须进行加密。
8.3.4 要有多种经受得住专业密码分析人员攻击的加密算法,对不同用户使用不同的加密算法。
8.4 加强对计算机房的安全管理
8.4.1 对计算机房出入的要加以限制,非工作人员不得进入,出入的物品也要进行严格管理。
8.4.2 经监测发现有辐射的机器和部件,要采取屏蔽措施。
8.4.3 对进入机房的各类设备、仪器都要经过监测,以防在使用这些设备和仪器时,将计算机内的信息辐射或传导出去。
第二篇:企业信息安全管理办法
信息安全管理办法
第一章 总则
第一条
为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。
第二条
本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
第三条
公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。
第四条
信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条
本办法适用于公司总部、各企事业单位及其全体员工。
第二章 信息安全管理组织与职责
第六条
公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。
第七条
公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。
第八条
信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。
第九条
公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
第十条
企事业单位信息部门负责本单位信息安全的管理,具体职责包括:在本单位宣传和贯彻执行信息安全政
策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
第十一条
技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。
第十二条
各级信息管理部门设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位可设置两个员工互为备份。
第十三条
信息安全岗位的设立应遵循职责分离的要求,包括:制度监督者与执行者分离,信息系统授权者与操作者分离,应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。
第十四条
公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求,承担相关安全义务和责任,并及时报告信息安全事件。
第三章 信息安全目标与工作原则
第十五条
信息安全工作的总体目标是:实施信息系统安全等级保护,建立和健全先进实用、完整可靠的信息安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。
第十六条
信息安全体系建设必须坚持以下原则: 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。
保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。
符合法规。信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技术和专业安全服务。
综合防范。管理与技术并重,相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合防范。
集中共享。建立集中、统一的信息安全技术服务平台和
集中专业化的信息安全队伍。
第四章 信息安全工作基本要求
第十七条
根据公司信息安全专项规划和总体方案,分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,并保持三个体系稳定、均衡发展。
第十八条
建立全面的信息安全管理体系:
制定并实施统一的信息安全策略、管理制度和技术标准。
实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。
建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程,实现对信息系统全生命周期的安全管理。
实现对信息系统的安全风险管理,及时发现和防范安全隐患。
第十九条
建立有效的信息安全技术体系:
强化网络、桌面和应用系统安全防护体系,按照自主定级、自主保护的原则,评估确定各信息系统保护等级并实施
相应的保护措施。
建立统一的网络安全信任体系,加强网络实体身份管理与认证,为网络和信息系统安全运行提供信任基础。
建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统,及时发现安全隐患。
建立全面有效的应急响应体系,制定并落实完整、规范的应急处理和响应流程,完善信息安全报告、处理机制。
建立包括同城和异地容灾备份中心的信息系统灾难恢复体系,定期进行灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。
第五章 信息安全监控
第二十条
信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。
第二十一条
信息系统的运行和维护单位,在国家法律和公司有关规定许可的范围内,具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受
必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。
第二十二条
各级信息部门负责制定和实施信息安全监控计划,包括日常监控、应急处理和定期汇报。
第二十三条
日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。
第二十四条
各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行,并至少每年组织一次相关岗位人员进行应急预案演练。
第二十五条
各级信息部门编制、上报信息安全月报和年报,及时向主管领导和上级部门汇报重大信息安全风险和事件。
第六章 信息安全风险评估
第二十六条
信息管理部负责组织建立风险评估规范及实施团队,定期或在重大、特殊事件发生时进行风险评估。
第二十七条
风险评估包括范围确定、风险识别、风险分析和控制措施,确保信息安全,满足应用和业务需要。
评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。
风险识别包括识别风险类型和风险事件,形成风险列表,更新信息风险数据库。
风险分析包括信息资产分类、风险发生概率和影响程度分析,并确定风险等级,形成风险评估报告。
控制措施包括安全管理策略和风险控制措施,形成风险控制报告。
第二十八条
信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见,落实控制措施。
第七章 信息安全培训
第二十九条
信息管理部负责制定公司信息安全培训计划,组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训,培训计划报信息管理部备案。
第三十条
信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训,提高信息安全管理和维护水平。
第三十一条
信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训,包括针对业务和技术管理人员进行管理层面的信息安全管理培训,针对从事日常业务处理人员进行操作层面基本安全知识培训。
第三十二条
员工上岗前,应进行岗位信息安全培训,并签署信息安全保密协议。在岗位发生变动时,及时调整信息系统操作权限。
第三十三条
信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息安全权限和责任的变化。
第八章 信息安全检查与考核
第三十四条
信息管理部定期进行信息安全检查与考核,包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。
第三十五条
各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核,信息管理部进行综合评价,形成考核报告,报信息主管领导。
第三十六条
对于不执行本办法造成严重后果的,应追究相关部门和个人责任。
第九章 附则
第三十七条
各企事业单位可参照本管理办法制定相应的实施细则。
第三十八条 第三十九条
本办法由公司信息管理部负责解释。本办法自印发之日起施行。
第三篇:构建企业信息安全保密技术防范体系
构建企业信息安全技术防范措施
杜洪伟
天津第七市政公路工程有限公司,天津(300113)
摘 要:随着计算机网络的快速发展,网络资源共享也更加广泛。计算机网络面临着信息泄露、黑客攻击、病毒感染等多种威胁,信息安全保密工作面临着严峻挑。本文结合我国企业信息安全保密工作的相关要求和实际情况,从技术防范的角度出发,对保障网络的信息安全进行了分析,探讨了构建满足企业信息安全保密工作需要的防范措施。
关键词:企业信息化;信息安全保密;技术防范措施; 引言
信息网络国际化、社会化、开放化和个人化的特点, 决定了,它在给人们提供高效率、高效益、高质量的“信息共享”的同时,也投下了不安全的阴影。随着企业和人民对网络环境和网络资源依赖程度的不断加深, 信息泄露、黑客入侵、计算机病毒传播甚至于威胁信息安全的问题会出现得越来越多。因此,如何在企业机构中做好信息安全保密工作,事关企业发展的战略安全与重要利益。试想一下如果有关我国企业技术研究的重要信息系统安全遭到泄漏、破坏,那么就会对我国企业技术研究开发的各方面工作造成严重影响,使企业在该技术领域的研究陷于被动的处境,甚至会牵连整个社会和经济的发展进程,引致灾难性的经济损失后果。总之,在企业机构中做好信息安全保密工作是一项系统工程,本文从技术角度出发,以未雨绸缪,预防为主,兼顾防御及修复的原则为指导,加强信息安全保密工作的重要意识,在构建防范体系的过程中把该安全意识落实到每个技术细节上。最终构建一个系统、全面、可靠、有针对性的技术防范体系。网络信息安全问题
信息安全实质上是信息系统安全,信息系统主要由计算机系统构成,包括软件、硬件等。国际标准化组织(ISO)将“信息安全”定义为: 为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络信息安全面临的威胁是多方面的, 具有无边界性、突发性、蔓延性和隐蔽性等新的特点。网络模糊了地理、空间上的边疆概念, 使得网上的冲突和对抗更具隐蔽性。对计算机网络的攻击往往是在没有任何先兆的情况下突然发生的, 而且会沿着网络迅速蔓延。对网络信息安全防御的困难还在于, 一个攻击者仅需要发起一个成功的攻击, 而防御者则需要考虑所有可能的攻击;而且这种攻击是在动态变化的。因此,需从技术上采取综合、系统性的多种措施构建技术防范体系。
信息安全是一个综合、交叉的学科领域,要涉及到安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等各个方面, 还要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果, 进行自主创新研究, 加强顶层设计, 提出系统的、完整的, 协同的解决方案。
实际上不论是局域网还是广域网, 都是一种系统, 所以系统安全问题的解决, 必然是一项系统工程, 必须采用系统工程学的方法、运用系统工程学的原理来设计网络信息安全体系。解决网络信息安全的基本策略是技术、管理和法制并举。技术是核心, 要通过关键技术的突破, 构筑起国家信息安全技术防范体系。管理是关键, 根据“木桶原理”, 信息安全链条中任何一个环节的脆弱都有可能导致安全防护体系的失效, 必须要加强各管理部门和有关人员间的密切合作。法制是保障, 通过建立信息安全法规体系, 规范信息化社会中各类主体的行为, 以维持信息化社会的正常运作秩序。
3.信息安全的技术体系构成
3.1信息安全技术基础 3.1.1边界隔离技术
边界隔离包括逻辑隔离、物理隔离、信息过滤、入侵检测、防火墙、防病毒网关等,其实就是一种用于信息系统边办防护的安全技术,以阻止来自网络系统外部的各种攻击。运用该项技术首先
巨大商业、社会价值,病毒的泛滥大有愈演愈烈之势,其危害的深度、广度和力度也越来越大。流行广泛、各类繁多、潜伏期长、破坏力大,对储存了大量科研数据的计算机信息系统构成了长期与现实的威胁。
其次就是黑客入侵。通过技术手段,非法侵入计算机信息系统,获取秘密信息或有选择地破坏信息的有效性与完整性。这是当前企业机构计算机信息系统所面临的最大威胁。黑客除了在网上编写程序利用软件进行直接的攻击和破坏,还采用信号截取和声像外露信号来获取秘密信息。
再者就是存储介质失密,特别是随着移动存储介质的广泛使用,使得利用存储介质窃取信息的事件日益增多。如涉密的优盘、硬盘、光盘、笔记本电脑等。
系统漏洞,软件是编程人员设计编写的,有时因为疏忽,有时为了自便而专门设置,总是或多或少存在一些大大小小的漏洞。因此没有无懈可击,天衣无缝的软件系统。利用计算机操作系统、信息管理系统、网络系统的自身安全漏洞,进行窃取与破坏活动。
非法访问,企业机构以外人员利用非法手段进入安全保密防范措施不完善的信息系统,对企业信息系统进行的破坏活动。另外还有人为因素。例如个别人员利用合法身份与国外的网络非法连接,或者使用随身携带的摄像等装备进行的窃取行为。
以上所列举的情况是目前存在于企业机构的主要信息安全威胁,针对上述威胁我们应构建有针对性的、强健的技术防范体系。
3.2.2构建有针对性的技术防范体系
构建符合企业机构工作特点且有针对性的信息安全保密技术防范体系,实际上就是从信息系统和信息网络的不同层面保证信息的机密性、完整性、可用性、可控性,进而保障信息系统的安全,提高信息系统及网络的防御能力。安全保密技术是随着信息技术、网络技术,以及各种入侵技术的发展而不断完善和提高的,不断采用一些最新的安全防护技术,可以极大地弥补传统安全防护手段存在的不足。因此,信息安全保密的技术防范体系,是构建整个信息安全保密体系的重要组成部分,在资金允许和技术可行的条件下,应该尽可能采用先进的、且经得住实践检验的技术防护手段,这样才能有效抵御不断出现的信息安全威胁。
(1)物理安全防护
物理安全防护主要指内网借助于某些网络设备及软件系统等方式间接地连接到外网,另外还包括对网络设备保护层及电磁辐射的物理防护。物理安全防护的方法有以下几种:
1)抑制电磁泄漏(即TEMPEST技术)是物理安全防护的一个重要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,既要采用各种电磁屏蔽手段,还要应对可能出现的干扰。
2)网络隔离卡:在终端机上加装网络安全隔离卡,并额外配备1块硬盘,这样就能根据使用者的需求,灵活切换内外网。
3)最直接的方法应是一人双机:如果经济条件允许,给专业管理人员配备2台终端机,1台接外网,1台只接内网。
(2)防火墙
目前,常见的防火墙主要有三类:
1)应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔离应用层通信流的作用。2)包过滤型防火墙:数据分组的过滤或包过滤,其中包过滤原理和技术可以认为是各种网络防火墙的基础构件。
3)综合型防火墙将数据包过滤和代理服务结合起来使用。
混合使用数据包过滤技术、代理服务技术和其他一些新技术将是未来防火墙的发展趋势。(3)抗攻击、防病毒网关
在通讯网络中使用抗攻击防病毒网关可以有效避免“拒绝服务攻击(DoS)”和“连接耗尽攻击”
第四篇:安全生产非法违法企业信息发布管理办法
国家安全监管总局办公厅关于印发
安全生产非法违法企业信息发布管理办法的通知
安监总厅统计〔2014〕55号
各省、自治区、直辖市及新疆生产建设兵团安全生产监督管理局,各省级煤矿安全监察局,总局和煤矿安监局机关各司局、应急指挥中心:
《安全生产非法违法企业信息发布管理办法》已经国家安全监管总局2014年第3次局长办公会议审定通过,现印发给你们,请遵照执行。
国家安全监管总局办公厅
2014年5月5日
安全生产非法违法企业信息发布管理办法
第一条 为打击非法违法生产经营建设行为(以下简称非法违法行为),规范安全生产非法违法企业信息发布工作,按照有关规定,制定本办法。
第二条 发布国家安全监管总局和国家煤矿安监局机关各司局、应急指挥中心(以下统称机关各司局)在各类暗查抽查、督查检查等行动中发现的非法违法行为且情节严重的企业信息,以及因非法违法行为引发较大以上(含较大)事故的企业信息适用本办法。
第三条 安全生产非法违法企业信息发布工作遵循依法规范、公平公正、及时全面、客观真实、便于查询的原则。
第四条 安全生产非法违法企业信息每季度发布一次。每季度第一个月20日前对上一季度安全生产非法违法企业名单及相关信息在国家安全监管总局网站和中央主流媒体发布。
第五条 机关各司局负责将在暗查抽查、专项行动、专项督查、安全生产大检查等行动中发现的非法违法行为且情节严重的企业信息,以及因非法违法行为导致发生较大以上事故的企业信息,在下一季度的第一个月5 —1—
日前以统一格式(见附件)提供给统计司。
统计司负责每季度汇总、整理和审核安全生产非法违法企业信息,并拟定信息发布内容。
办公厅负责对拟发布信息的审核,并报国家安全监管总局领导同志审定;同时将信息向国务院相关主管部门和地方安全监管监察部门通报,作为严格限制其新增的项目核准、用地审批、证券融资、银行贷款等的重要参考依据。
人事司(宣教办)负责联系有关媒体单位对外发布和信息发布后社会舆论的采集分析。
第六条 安全生产非法违法企业信息公示期与核销。
(一)安全生产非法违法企业信息公示期一般为1年。
(二)公示期满前,由责任企业向省级安全监管、煤矿安监部门提出核销申请并附相关整改材料,由省级安全监管、煤矿安监部门负责核查,并将核查结果和企业申请材料一并报统计司。
(三)统计司汇总核审后,提交国家安全监管总局局长办公会议审议。
(四)在国家安全监管总局网站上公告信息公示解除情况,将审议通过的企业信息予以移除,并向媒体通报。
(五)被公示企业未按要求改正,或屡查屡犯的,由相关安全监管监察部门依法从重处罚,并延长公示期。
第七条 各省级及省级以下安全监管、煤矿安监部门负责建立本级的安全生产非法违法企业信息发布办法。
第八条 本办法自公布之日起施行。
附件:年季度安全生产非法违法企业信息表
—2—
附件
年季度安全生产非法违法企业信息表
单位(盖章):日期:
—3—
第五篇:企业信息安全保密制度
企业集 团 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企业经营管理股份有限公司
信息安全保密制度 第一章 总 则
第一条 根据国家相关规定,结合《企业知识产权管理规范》及具体情况,为保障公司整体利益和长远利益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本制度。
第二条 本规定是安全保密、知识产权及专利保护工作的依据和准则。各部室要把安全保密工作列入工作规划,使安全工作落到实处。
第三条 公司秘密是关系公司权力和利益,依照程序只允许特定时空范围的人员知悉的事项,包括但不限于技术专利、财务、人事和其他商业机密。技术秘密是指能为公司带来经济利益、具有实用性的技术信息、设计方案等,包括但不限于:技术信息、工程设计、科研专利、知识产权等等。财务秘密包括但不限于公司经营的财务、资产及相关统计数字。人事秘密主要是与公司人力资源现状、招聘计划、员工隐私、劳资状况等相关的信息。包括但不限于:人事档案、合同、协议、职员工资性收入、招聘计划等。日常秘密主要包括不限于:日常文件文档、资料等。商业秘密包括但不限于:客户名单、定价政策、财务资料、进货渠道,等等。
第四条 公司所有职员、外派人员都有保守公司秘密的义务。接触到公司秘密的高级员工,如:管理人员、技术人员、财务人员、秘书等负有特别的保秘责任。
第五条 保密工作实行安全、便利可行、积极预防的工作方针。保密范围和密级确定: / 9
第六条 公司秘密包括本制度第三条规定的及下列秘密事项:(一)公司重大决策中的秘密事项;
(二)公司尚未付诸实施的经营战略、方向、规划及决策等;(三)公司内部掌握的合同、协议、意见书及可行性报告;(四)公司财务预决算报告及各类财务报表、统计报表;(五)公司职员人事档案,工资性、劳务性收入及资料;(六)公司科研专有技术、专利、知识产权、工程设计、等等;(七)其他经公司确定应当保密的事项。
第七条 公司秘密的密级分为“绝密”、“机密”、“秘密”三级。
绝密是最重要的公司秘密,泄露会使公司权益和利益遭受特别严重损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严重损害;秘密是一般的公司秘密,泄露会使公司权力和利益遭受损害。
第八条 秘级的确定:
(一)公司经营发展中,直接影响公司权益和利益的重要决策文件、技术资料、技术专利等为绝密级;(二)公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级;(三)公司人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的各类信息为秘密级。
第九条 秘密级别由董事会秘书办公室依据第七条确定,并确定保密期限:分永久、长期、短期,一般与密级相对应,特殊情况外标明。保密期限届满,自行解密。/ 9
第十条 发现已经或者可能泄露秘密时,应立即采取补救措施并报告主管部室或公司领导;主管部室或领导接到报告,应及时处理。
第十一条 本制度规定的泄密是指下列行为之一:(一)使秘密被不应知悉者知悉的;(二)使秘密超出接触限定范围,而不能证明未被不应知悉者知悉的。
第二章 日常保密管理规定
第十二条 日常保密包括但不限于文印文档、资料、人事及其他保密事项等。办公室为日常保密工作管理部室。办公室主要保密职责:
(一)根据法律及上级公司规定,结合公司实际制定安全保密管理规定,并监督实施;
(二)负责组织宣传安全保密管理规定、制度,组织培训学习公司有关保密安全条例;
(三)制定并落实人事、档案保密管理措施;
(四)配合其他部室完成技术、财务、商业等保密的管理、监督和检查工作;(五)严格机要、文印人员、招聘选拔;
(六)对安全保密突发事件应急处理,日常安全保密工作的监督;协助公司领导完成保密工作检查、奖惩及与之相关的活动等;
(七)承办上级领导交办的其他保密事项。
第十三条 日常保密工作,各部室、各岗位应做到:
(一)领导干部、部室负责人、专业组长:增强保密意识、以身作则,模范遵守保密规定,落实保密责任。做到:不泄露知悉的公司秘密;不在无保密保障的/ 9
场所阅办秘密文件、资料;不在家属、亲友、熟人和其他无关人员面前谈论公司秘密事项;不携带秘密文件、资料参加社交活动;不在出访、考察等外事活动中携带秘密文件、资料;阅办完秘密文件及时清退、归档;审校、签发文件及稿件时,要把好定密关;下级发生泄密问题后,及时上报、设法补救,不掩盖包庇。
(二)员工应做到:不该说的秘密不说;不该问的秘密不问;不该看的秘密不看;不该记录的秘密不记录;不在非保密本上记录秘密;不在公共场所和家属、子女、亲友面前谈论公司秘密事项;不在不利于保密的地方存放秘密文件、资料;不携带秘密材料游览、参观、探亲、访友和出入公共场所;不在私人交往中泄露公司秘密。日常保密措施:
第十四条 健全收发文制度,各部室要有专人负责文件、设计图纸、技术档案等机密文件的管理和清退工作,发现秘级文件资料丢失、被窃、泄密时,须立即报告,及时追查、力挽损失。
第十五条 档案管理按照质量管理体系文件中有关规定执行。
第十六条 有秘密内容的会议或活动,主办部门应采取措施:
(一)选择具备保密条件的会议场所,严禁使用无线话筒传达密件或向室外扩音;
(二)根据需要,限定参会人员的范围,指定参会人员;(三)依照规定使用会议设备和管理会议文件;
(四)规定不准记录的会议内容,不得记录,不携带录音机进入会场录音;不以任何形式对外泄露会议秘密内容,会议结束后,要对会议场所进行保密检查;/ 9
严禁滥印、复印会议秘密文件资料,确需要复制的须经批准。
第十七条 文印岗人员应该做到:
(一)复印的秘密文件:需经批准后才能复印;严格控制份数,复印件要按原件一样管理;
(二)严格保管承印的秘密文稿、资料及有秘密内容的磁盘、录音笔等;对会议记录和有关文件、资料严加保管,及时立卷归档;
(三)严格遵守保密纪律,打印、复印涉密文稿的内容不得传播,不得让无关人员阅看,不私自多印留存;
(四)打印的密件废页、图纸废页、蜡纸应及时处理,不让无关人员阅看;发现密件丢失或下落不明,要立即报告,并抓紧查找,采取补救措施。定期检查、清理、清退、销毁文件;严防将秘密文件、资料和文件底稿随同旧报纸等出售。
第十八条 对于密级文件、资料设计图纸、方案、技术标准和其他物品,须采取保密措施:
(一)非经批准,不得复制和摘抄;收发、传递和外出携带,由指定人员担任,并采取必要的安全措施;
(二)在设备完善的保险装置中保存;
(三)如有与质量管理体系中规定相左之处,以后者为准。第十九条 如有必要公司应与相关人员签订《保密合同》。
第三章 商业保密管理规定
第二十条 商业保密包括但不限于:客户信息、采购资料、定价政策、财务资料、进货渠道、投标信息、经营策略等。
第二十一条 市场部为商业保密的主管部门,办公室及其他部门配合市场部/ 9
完成商业保密管理。市场部主要保密职责:
(一)制定商业保密管理有关规范、制度,并组织实施、监督;(二)组织宣传、培训商业管理规定;
(三)负责本部门保密管理工作,监督其他部门管理工作;(四)负责商业泄密事件的应急、调查、处理、处罚工作;
第二十二条 涉及公司商业秘密的合作、代理、交易合同或协议,依据情况设置相关“保密条款”,限制对方行为。
第二十三条 市场部有关人员不可将商业秘密透露给任何第三方或用于合同目的以外的用途,离职、辞职时,要及时交出相关资料,同时不得泄露公司经营秘密;不可在对外接受访问或者与任何第三方交流时泄露秘密内容。
第四章 财务保密管理规定
第二十四条 财务保密工作包括但不限于资产、财务统计数字及工资及其他报表的保密。
第二十五条 财务部为财务保密的归主管部门,市场部、办公室及其他部门配合财务部落实财务保密工作。财务部主要保密职责:
(一)根据法律及上级单位规定,结合实际制定财务保密规范;(二)组织本部门员工学习并执行财务保密制度的有关规定;(三)负责组织宣传保密、安全管理规定、规范,组织培训学习公司有关保密安全规定;
(四)负责本部门保密管理工作,监督其他部门管理工作; / 9
(五)负责财务泄密事件的应急、调查、处理、处罚工作;
第五章 计算机与互联网信息保密管理规定
第二十六条 IT部要健全各项信息保密管理制度,强化机房计算机的应用管理。凡秘密数据的传输和存贮均应采取相应的保密措施,录有文件的存贮设备要妥善保管,严防丢失。
(一)保障公司计算机及其相关的配套设备、设施的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全性。应及时发现安全隐患,及时提出解决方案,及时处理解决问题;
(二)新用户登记时,应认真核实其身份,并详细记录用户的相关信息。员工不允许将公司“用户信息和网络密码”告知非本公司人员。员工离开本公司,IT部应注销该员工的所有用户信息;
(三)对于安全性较高的信息,需要严格管理。无论是纸张形式还是电子形式,均要落实到责任人。严禁将工作中的数据文档带离。
(四)企业研发的各办公系统的数据内容要严格把关;IT部要将审核后的内容准确、安全、即时地上传至托管服务器。
(五)加强计算机系统的保密安全管理。对涉密与非保密计算机予以明确区分,涉密机必须完全与局域网脱离连接,并禁止上因特网以防泄密。并采取身份认证、存储传输加密、配置防视频泄密干扰器等措施加强保密防范。
第二十七条 属于公司秘密的信息、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由办公室或主管领导委托专人执行;采用电脑技术存取、处理、传递的公司秘密由IT部门负责保密。/ 9
第二十八条 计算机房内,禁止无关人员逗留、参观,严禁会客。
第六章 罚则 和 奖则
第二十九条 公司对在安全保密工作中做出突出成绩的个人和部室给予奖励。
第三十条 对未按本《规定》进行管理或管理不善造成秘密泄漏的,除对直接责任者按规定给予相应处理外,还将追究所属部室主要负责人的责任,并对直接责任者和所属部室给予相应的经济处罚。
第三十一条 对无视本《规定》,以谋取个人或小集团利益为目、蓄意泄漏秘密的,造成重大损失和严重后果的,将依《中华人民共和国刑法》追究法律责任。
第三十二条 保密管理人员因玩忽职守使秘密泄漏造成经济损失,削弱竞争能力的,视情节轻重给予不同程度的行政处分和经济处罚,明知故犯者加重处罚。对违反本《规定》,使单位秘密泄露,造成直接或间接经济损失的,由公司保卫部及所属管理部门负责调查核实,并提出处理意见,报公司领导批准后执行。
第七章 附 则
第三十三条 本《规定》自发布之日起执行。第三十四条 本规定的解释权属于本公司保卫部。/ 9
点击咨询 