第一篇:信息安全管理规范和保密制度
xxx集团互联网事业部信息安全
管理规范和保密制度
第一章、总则
第1条为了明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。
第2条本制度适用于公司所有员工。
第二章、电子邮件管理制度
第1条 行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。并告知使用方法。
第2条 公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。
第3条 员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名:
声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。
第4条 收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。
第5条 发送带有公司涉密信息的邮件,发件人必须先经部门领导同意,(若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。
第6条 员工离职时,根据需要交由部门专人监管一个月,后由行政人力部注销。
第7条 违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元(由人力资源部门商定),并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。
第三章 数据安全管理制度
第1条 为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度
予以严肃查处。
第2条 计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。
第3条 计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。
第4条 计算机、服务器或存储设备,停止使用或使用前须进行低级格式化。
第5条 IT管理人员严禁利用自己的账号权限,查看其它员工的邮箱内容,盗取或传播邮件内容。造成严重后果的,由公司根据国家法律追究相关责任。
第6条服务器运维人员严禁利用职责便利,私自拷贝并传播给公司外部人员或不相关人员。造成严重后果的,由公司根据国家法律追究相关责任。
第8条为了确保数据安全,防止数据丢失,要定期对关键数据进行备份。并进行恢复测试。
第9条美罗全球精品购B2C后台管理账号,根据申请人员岗位,分配指定的权限。拒绝分配多余账号权限或直接分配管理员账号。并且开通账号必须走账号开通申请流程。员工离职后,及时删除或禁用账户。具体申请单见附件:
苏州美罗全球精品购 B2C平台权限申请表 部门 岗位 权限类别 □新增 □删除 姓名 申请时间 账户类型 □长久 □临时 新增或删除权限列表(由权限分配人填写): 部门经理 签字 权限分配操作人 签字
第四章 网络安全管理
第1条 未进行安全配置、未装防火墙或杀毒软件的计算机终端,不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件进行升级、更新,并定期进行病毒查杀。
第2条 计算机终端用户应使用开机密码,屏保密码等。并定期更改。员工应妥善保管所掌握的各类办公账号和密码,严禁随意向他人泄露、借用自己的账号密码。
第3条 IP地址为计算机网络的重要资源,公司员工应在管理员的规划下使用这些资源,不得擅自更改。对于影响网络安全的系统服务,员工应在管理员的知道下使用,禁止随意开启关闭计算机中的系统服务,保证计算机的网络畅通运行。
第4条 禁止未授权用户接入公司网络及访问网络中的资源。第5条 经远程通信传送的程序或数据,必须经过检查无病毒后方可打开或运行。
第五章 计算机安全管理
第1条 办公电脑硬盘机文件夹不得一直处于“共享”状态,如果需要共享时,必须设置密码,或设定用户权限,以限制用户;用毕,立即取消共享状态。不得下载和使用未经测试和来历不明的软件、未经病毒查杀不得使用U盘等介质。
第2条 计算机必须设置开机密码、屏保密码等,自动屏保开启时
间要求为5分钟;密码长度至少为8位,且为字母、数字等的组合,不可过于简单。
第3条 台式机机箱需加锁,防止设备丢失。计算机终端用户不得挪用办公电脑硬盘等,违反规定挪用者,视为故意违反安全规定,视情节严重程度,交由行政人力部处理。
第六章 公司保密制度
第4条 公司秘密分为三类:绝密、机密、秘密。
绝密:是指与公司生存、生产、科研、经营、人事有重大利益关系,一旦泄露会使公司的安全和利益遭受特别严重损害的事项,主要包括以下内容:
1.公司股份构成,投资情况,新产品、新技术开发资料,客户资料,商业计划等。
2.公司总体发展规划、经营策略、营销策略、商务谈判内容,正式合同和协议文书。
3.按《信息科技文件保密管理规定》属于绝密级别的各种档案。4.公司高层管理人员及其他对公司经营管理产生重大影响的会议纪要。
机密:是指与本公司的生存、生产、科研、经营、人事有重要利益关系,一旦泄露会使公司安全和利益遭受严重损害的事项,主要包括以下内容:
1.尚未确定的公司重要人事调整及安排情况,人力资源部对管理
人员的考评材料。
2.公司与客户、外部高层人士、科研人员的来往情况及其载体。3.公司薪金制度,财务专用印鉴、账号,保险柜密码,月度、季度、年度的财务预、决算报告及各类财务、统计报表,电脑开启密码,重要磁盘、磁带的内容及其存放位置。
4.按照《信息科技文件保密管理规定》属于机密级别的各种档案。5.获得竞争对手情况的方法、渠道及公司相应对策。6.外事活动中内部掌握的原则及政策。7.公司高层管理人员的家庭住址。
8.公司总经理召开的经营管理工作会议的会议纪要。
秘密:是指与本公司的生存、生产、科研、经营、人事有较大利益关系,一旦泄露会使公司的安全和利益遭受损害的事项,主要包括以下内容:
1.市场调查预测情况,未来新产品的市场预测情况。2.公司内部制度检查,奖惩措施及执行情况。3.生产、技术、财务部门的安全保卫情况。4.公司内部各类通知及邮件等。
5.按《信息科技文件保密管理规定》属于秘密级别的各种档案。6.公司部门例会会议纪要。第5条 各密级知晓范围 绝密级
公司高层管理人员及与绝密内容有直接关系的工作人员。
机密级
经理级别以上管理人员以及与机密内容有直接关系的工作人员。秘密级
项目经理级别以上管理人员以及与秘密内容有直接关系的工作人员。
第6条 保密守则
1.公司员工必须有保密意识,做到不该问的绝不问,不该说的绝不说,不该看的绝不看。
2.员工认知期间的工作成果归公司所有,并按《企业员工保密合同》及本制度进行管理。
3.任何人不得以任何形式在互联网上直接暴露公司研发项目的名称,团队交流尽可能采用拼音缩写等形式。
4.未经公司管理层同意,员工不得随意将可能涉及公司技术及商业秘密的文件、数据等带离公司(包括带回家中或是其它地方)。经管理层批准,可将涉及公司的技术及商业秘密的文件、数据带离公司的员工,必须采取必要的安全防范措施,保证相关资料不被泄露。如因失窃等因素而导致公司的商业和技术机密泄露,公司将对相关责任人按“玩忽职守”予以经济或行政处罚。
5.禁止任何非本公司员工在任何时间内非经允许使用本公司的计算机等办公设备,在确有需要使用本公司计算机等办公设备,须由本公司正式员工向本部门经理及综合部相关负责人提出申请,取得同意后方可在指定区域内使用,负责申请之员工须保证使用人不能访问涉
及公司机密的任何内容。
6.任何非本公司外来人员需要经由领导同意,并登记备案后方可入内,且不可出入机房要地。
7.所有员工不得随意拷贝与自身业务无关的文件(文档),复印或用其他方法取得公司商业秘密。如确有工作需要,须事先由本部门经理向总经理申请,获得签字同意后方可在相关部门经理的指导下进行。
8.严禁在公共场合、私人交往、公用电话、传真上交谈、传递保密事项。
9.员工发现公司秘密已经泄漏或可能泄漏时,应立即采取补救措施,并及时报告公司高层。
10.掌握公司秘密的人员在工作变动时,应及时办理交接手续,并由主管领导签字。
11.除本制度外,关键岗位人员还应遵守《关键岗位信息安全规范及保密制度》。
第七章 其他
第1条 对于由于工作失误或没按照本制度执行而导致公司商业秘密泄露者,公司将视情节轻重给以相应的经济及行政处罚;对于有意泄露公司机密者,公司除将立即与其解除劳动合同、并对其处以经济及行政处分外,还将视其行为后果的严重性,保留追究其刑事责任的权利。
第2条 本制度由公司各部门进行实施,企业管理部进行监督,修订权归公司所有。由发布之日起生效。
第二篇:信息安全保密制度
信息安全保密制度
第1条 为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密制度。
第2条 安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
第3条 信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
第4条 信息中心的所有工作人员必须严格遵守院里的规章制度和信息中心的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。
第5条 未经院领导和信息中心负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。
第6条 未经院领导和信息中心负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
第7条 档案资料安全保密管理,遵循《档案库房管理制度》、《保密守册》、《档案室职责》、《档案资料利用管理规定》、《档案安全消防措施》执行。
第8条 医疗数据资料、信息系统库资料,除参照执行第7条相关规定外,还应遵循:
第1款 资料建档和资料派发要履行交接手续。
第2款 原始数据、中间数据、成果数据等,应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠;办公文员要对数据进行校验,注意
作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照“基础地理信息系统建库技术规范” 要求作业;专检员要严格按照“资料成果专检”规定把关;系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。
第3款 定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库系统的正常运行。
第4款 未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
第5款 除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。
第6款 医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
第7款 严格遵守信息中心工作流程,不得做任何违反工作流程的操作。
第8款 定期对数据库的信息数据进行备份,要求每增加或更新批次,数据备份一次,包括异地热机备份和刻盘备份两种方式;每月定期刻盘两套,异地保存。
第9条 软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好,建库技术标准规范、应用服务体系完善。
第10条 信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
第11条 权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
第12条 权限管理从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。
第1款 安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料;
第2款 设定内容中,完全控制是指对VPN虚拟专网中服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、终端(包括工作终端和用户终端)有绝对控制权,包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等;
第3款 高级管理员为最高权限人,设定权限为完全控制,即拥有对所有用户名及密钥管理,查看系统运行日志,拥有对服务器、终端的所有权限管理,即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;系统管理员权限包括对工作终端用户名及密钥管理,拥有对服务器(不包括控制服务器)和终端所有权限管理,即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权;中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权;特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。
第13条 控制服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;信息系统库运行情况记录;各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
第14条 强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
信息中心
2006.12
第三篇:信息安全保密制度
篇一:信息安全保密制度
第35条:信息安全保密制度管理办法
1、建立密码共设协管制度 1)、his系统服务器操作系统密码,由院长和信息科专职人员共同设置并定期更改,保证信息中心单人无法擅自进入服务器。2)、his系统数据密码,由院长和信息科专职人员共同设置并定期更改,确保信息科单人无法擅自登入his系统数据。
2、建立调用敏感数据申报制度 1)、药械科工作人员调用药品销售(科室、医技)相关报表,由药剂科主任负责确认每个工作人员具体调用范围,以书面形式提出申请,经院长审批后,交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露,由药械科负责人解释及承担责任。2)、其他科室工作人员无权调用敏感数据,不得以任何理由要求信息科授予相关权限。如有发生,信息科有权拒绝授予并报告院长。3)、网络管理员不得利用职务之便为他人提供统方信息,一旦发生将严肃处理。
3、建立机房准入制度
确需进入信息机房参观的非本科室工作人员,必须经院领导批准后可入内参观,进入信息网络机房后必须听从网络管理人员的安排。
4、签订信息安全保密协议书 1)、医院同his厂家签订信息安全保密协议书,约束his厂家泄露信息。2)、同厂家工程实施人员签订信息安全保密保证书,约束实施人员不泄露信息,如有发生,由his厂家承担全部责任。3)、信息中心和his厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查,凡涉及敏感数据项,在不影响正常工作的前提下,予以屏蔽。4)、his厂家负责监督信息中心,取消信息中心授予敏感数据权限的功能,并由his厂家出具相关证明。
为保障本实施办法的有效执行及公证严明,本实施办法由院方及第三方厂家共同负责监督落实。
第36条:信息网络机房管理制度
1、信息网络机房直接由院长管理,在院长和院办室的领导下,负责制定全院信息化建设工作规划和实施方案。
2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员,必须经医院领导批准后方可入内参观,进入网络机房后必须听从网络管理员的安排。
3、网络机房设备、门窗、水电暖安全每天检查一次,并做好检查记录。
4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。
5、网络机房工作人员不得在机房内会客,不得将易燃、易腐蚀品带入机房,不做与工作无关的事。
6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。
7、建立健全和落实医院信息化建设的各项管理规章制度,如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。
8、负责医院管理信息网络的维护工作,加强医院信息系统网络和数据的安全性,确保其正常运行。
9、负责医院医疗信息的收集、传递和反馈,保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。
10、负责医院门户网站建设与管理,及时更新医院网站。及时完成医院下达的临时性工作任务。篇二:信息安全保密制度 信息安全保密制度
为加强对计算机信息网络国际联网安全保护,加强对计算机信息服务的管理,保障通过计算机网络国际联网传播信息安全,维护公共秩序和社会稳定,特制定如下规定: 第一条 公司设立网络信息安全管理小组,由公司领导和相
关技术人员、管理人员组成、负责信息内容审核,信息发布登记,网络安全技术防范与管理等工作。
第二条 网络信息安全管理小组进行信息内容审核,信息发
布登记,电子公告系统审计,违法犯罪案件保安等工作,并采取网络安全技术防范措施,保证网络的安全。
第三条 任何单位、部门和个人不得利用国际联网危害国家
安全、泄露国家秘密、不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。所有工作人员必须严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规。
第四条 任何单位、部门和个人不得利用国际联网制作、复 制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序 的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶 杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第五条 任何单位、部门和个人不得从事下列危害计算机信 息网络安全的活动。
(一)未经允许,进入计算及信息网络或者使用计算机 网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修 改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者 传输的数据和应用程序进行删除、修改或者增 加的;
(四)故意制作、传输计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第六条 用户的通信自由和通信秘密受法律保护,任何单位、部门和个人不得违反法律规定,利用国际联网侵犯用的通信自由和通信秘密。
第七条 公司设立网络安全管理员,每天对网上信息惊醒检
查,发现有异常信息须立即按照有关规定处理。发现有不良信息,应立即删除并做好备份及详细记录; 第八条
第九条发现有违反犯罪现象立即按照规定处理并立即向公司领导汇报,在24小时内向公安部门报告。自觉接收公安机关的安全监督、检查和知道。如实向公安机关提供安全操作的信息、资料及数据文件,协助公安机关查处各项违法犯罪行为。入网部门办理备案手续,并送交公安机关备案。篇三:信息安全保密管理制度 信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。
(2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将保密文件存放在网络硬盘上。
(5)禁止将涉密办公计算机擅自联接国际互联网。(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。
(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。(8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
(9)国际互联网必须与涉密计算机系统实行物理隔离。
(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
(11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。(13)严禁互联网计算机接入公安专网。(14)严禁公安业务计算机接入互联网。
二、涉密存储介质保密管理规定
(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。(3)需归档的涉密存储介质,因及时归档。
(4)各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
(5)涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。(6)不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。
三、计算机维修维护管理规定
(1)涉密计算机和存储介质发生故障时,应当向所信息中心提出维修申请,经批准后到指定维修地点修理,一般应当由本局内部维修人员实施,须由外部人员到现场维修时,整个过程应当由有关人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的涉密信息,维修后应当进行保密检查。
(2)凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
(3)高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
四、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。(2)机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。(3)密码必须由数字、字符和特殊字符组成,秘密级计算机设置的密码长度不能少于8个字符,机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示所保密委员会负责人认可。
五、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(3)各涉密部门自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
第四篇:信息安全保密制度
第35条:信息安全保密制度管理办法
1、建立密码共设协管制度
1)、HIS系统服务器操作系统密码,由院长和信息科专职人员共同设置并定期更改,保证信息中心单人无法擅自进入服务器。
2)、HIS系统数据密码,由院长和信息科专职人员共同设置并定期更改,确保信息科单人无法擅自登入HIS系统数据。
2、建立调用敏感数据申报制度
1)、药械科工作人员调用药品销售(科室、医技)相关报表,由药剂科主任负责确认每个工作人员具体调用范围,以书面形式提出申请,经院长审批后,交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露,由药械科负责人解释及承担责任。
2)、其他科室工作人员无权调用敏感数据,不得以任何理由要求信息科授予相关权限。如有发生,信息科有权拒绝授予并报告院长。
3)、网络管理员不得利用职务之便为他人提供统方信息,一旦发生将严肃处理。
3、建立机房准入制度
确需进入信息机房参观的非本科室工作人员,必须经院领导批准后可入内参观,进入信息网络机房后必须听从网络管理人员的安排。
4、签订信息安全保密协议书
1)、医院同HIS厂家签订信息安全保密协议书,约束HIS厂家泄露信息。
2)、同厂家工程实施人员签订信息安全保密保证书,约束实施人员不泄露信息,如有发生,由HIS厂家承担全部责任。
3)、信息中心和HIS厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查,凡涉及敏感数据项,在不影响正常工作的前提下,予以屏蔽。
4)、HIS厂家负责监督信息中心,取消信息中心授予敏感数据权限的功能,并由HIS厂家出具相关证明。为保障本实施办法的有效执行及公证严明,本实施办法由院方及第三方厂家共同负责监督落实。第36条:信息网络机房管理制度
1、信息网络机房直接由院长管理,在院长和院办室的领导下,负责制定全院信息化建设工作规划和实施方案。
2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员,必须经医院领导批准后方可入内参观,进入网络机房后必须听从网络管理员的安排。
3、网络机房设备、门窗、水电暖安全每天检查一次,并做好检查记录。
4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。
5、网络机房工作人员不得在机房内会客,不得将易燃、易腐蚀品带入机房,不做与工作无关的事。
6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。
7、建立健全和落实医院信息化建设的各项管理规章制度,如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。
8、负责医院管理信息网络的维护工作,加强医院信息系统网络和数据的安全性,确保其正常运行。
9、负责医院医疗信息的收集、传递和反馈,保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。
10、负责医院门户网站建设与管理,及时更新医院网站。及时完成医院下达的临时性工作任务。
第五篇:《信息安全保密制度》
XXXXXX信息安全保密制度
〔编号: 〕
一、总则
为确保公司的技术、经营秘密不流失,确保公司各项工作安全、迅速地进行,保证公司的合法利益不受损害,根据《中华人民共和国保密法》有关规定,结合本公司实际情况,特制定本制度。
二、适用范围
(一)公司秘密是指关系公司权力和利益、依照特定程序确定、在一定时间内只限一定范围内的人员知悉的事项。凡是与本公司保密相关的工作内容均应保密,并适用本制度。
(二)本制度适用于公司全体员工,每个员工均有保守公司秘密的义务和制止他人泄密的权利。
(三)保密工作由公司总经理领导,各部门负责人具体实施。各部门应将保密工作纳入本部门的工作计划,保障本部门工作的顺利开展。
三、保密守则:
(一)不该说的保密信息,绝对不说;
(二)不该问的保密信息,绝对不问;
(三)不该看的保密信息,绝对不看;
(四)不该记录的保密信息,绝对不记录;
(五)不在不利于保密的地方记录或存放应保密的文件和资料;
(六)不在私人通讯中涉及保密信息;
(七)不在公共场所和家属、子女、亲友面前谈论保密信息;
(八)不在互联网、电话、邮寄邮件等不利于保密的通讯渠道中传达保密信息;
(九)非工作必要的情况下,不携带保密资料游览、参观、探亲、访友和出入公共场所。
(十)在保密岗位工作接触保密信息的人员,应按照核准的权限使用保密信息。
四、保密范围和密级划分
(一)密级划分:
1、绝密级:是公司秘密中的核心部分,限极少数人知悉的事项,一旦泄露将对公司造成特别严重的损失,影响到公司发展。主要包括以下内容:
(1)公司尚未公布或实施的经营战略、经营方向、经营规划、经营项目以及经营决策。(2)公司发展相关的市场调查与预测报告、投资计划等。
(3)股东资料、财务预算决算报告、审计报告等各类财务报表、统计报表。(4)公司的各类印章、营业证照、合同、协议、意见书及可行性报告等。(5)公司的工作总结和计划、会议纪录、会议纪要、保密期限内的重要决定事项。(6)公司有关业务的成本、报价、方案、措施等情报。
(7)客户资料,对供应商或同行对手的资讯调研等公司所掌握的尚未进入市场或尚未公开的各类资源性信息。
(8)公司中层以上职员的人事考核、涉嫌违法违纪调查,未公布的人事任免、奖惩决定等。
2、机密级:是公司秘密中比较重要的部分,一旦泄露将给公司造成比较严重的损失或不良影响。主要包括以下内容:
(1)反映公司技术水平、技术力量、技术潜力、产品动向的相关事项。(2)公司财务、营销管理制度、目标管理方案、月度运行报告等。(3)公司人事档案、个人工资档案、奖金数额、公司总体组织架构。(4)公司各部门人员编制调整,未公布的员工福利待遇资料、员工手册。(5)公司的安全防范状况及存在的问题。
(6)公司员工违法违纪的检举、投诉、调查材料、发生案件、事故的调查登记等资料。
3、秘密级:是除了绝密级和机密级以外的其它经公司确认应当保密的事项,泄露会给公司造成一定的经济损失或不良影响。
(二)密级确认
属于公司秘密的文件或资料,由起草部门依据本制度“密级划分”的规定标明密级,并确定保密期限。保密期限届满,除要求继续保密的事项外,文件或资料自行解密。
(三)密级权限
1、公司总经理有权知晓全部秘密(绝密、机密、秘密)并拥有完整的处置权。
2、绝密级只限公司总经理指定的人员知晓,并在征得上级领导同意授权之后拥有一定的处置权。
3、机密级只限负责该项工作的主管人员以及该主管人员认为必须知道的人员知晓,并在征得上级领导同意授权之后拥有一定的处置权。
4、秘密级只限涉及相关工作的人员知晓,并在征得上级领导同意授权之后拥有一定的处置权。
五、保密措施
(一)对新进员工必须签订保密协议,事先进行保密教育,学习保密条例,增强保密观念。
(二)需要保密的文件资料或电子信息在拟稿、编辑、印刷、收发、传递、使用、携带、复制、摘抄、保存与销毁等各项环节,应由公司授权的专门部门或人员负责执行,并在处理过程中采取相应的保密措施。
1、未经授权的部门或人员,不得超出授权范围私自对保密的文件和资料进行处理。
2、各部门应在本部门的保密文件、资料或保密物品上的醒目位置标注保密标志或字样,并妥善保管。未经相关授权,任何人不得接触保密文件、资料或保密物品。
3、采用电脑和网络技术存取、处理、传递的需要保密的信息,以及相关存储设备,应在处理过程中按照公司规定进行加密,并在具备保密功能的设备中妥善保存。
4、凡需要保密的信息(含实体文件资料、电脑软件、电子信息),未经授权的部门或人员确系工作原因需要借阅或使用,必须提出书面申请,经过具有授权资格的负责人书面签字同意后方可使用,并到期归还,书面申请审批单应由出借部门全部留存并妥善管理。
5、员工本人职责范围内的保密信息(含实体文件资料、电脑软件、电子信息)不可任人浏览。员工本人离开座位时,应使用安全密码将电脑锁屏或锁机。员工本人离开办公室外出时,台式电脑应设置开机密码并确认已经妥善关闭电脑。需要保密的实体文件资料应锁入文件柜或抽屉,不得随意乱放、任人取阅,更不能在未经批准的情况下携带外出。
(三)涉及公司秘密的会议或其它活动,主办部门应采取下列保密措施:
1、根据工作需要,对参加涉及密级事项会议的人员予以指定。
2、选择具备保密条件的会议场所;
3、依照“保密守则”的规定使用会议设备和管理会议文件。
4、确定会议内容是否传达以及传达的范围。
5、未参会的部门或人员需要参阅,必须办理提交借阅申请。
(四)财务部历年的台帐、原始凭证、报表等,如有其他部门或外部单位需要查询,必须提交借阅申请,经过总经理书面同意并安排专人盯随之后,方可查阅总经理允许提供的内容。
(五)未经授权,任何通讯内容不得涉及保密信息。如对某一具体事项不能确定是否需要保密,应由上级领导审定。
(六)所有需要保密的信息(含实体文件资料、电脑软件、电子信息)不允许外单位人员借阅,本公司人员更不得代为传阅,外单位人员来公司参观、学习、拜访、洽谈业务时,行政综合部应将其接触范围严格控制在公司的涉密区域之外,并安排专人陪同带领,避免外单位人员进入涉密区域。
(七)全体员工一旦发现失密、泄密问题,必须立即上报并确认公司领导已经知悉,以便及时采取补救措施。
六、责任与奖惩
(一)部门保密工作管理力度,是考核评定该部门负责人工作业绩、评定年终奖的重要依据之一。
(二)防止泄密是公司每个员工的职责。公司对于严守机密,举报泄密行为,挽回公司损失有明显成绩者,将予以奖励。
(三)奖励措施
1、严格执行保密管理制度,坚持原则,坚决保护公司秘密者,视情节奖励人民币100—200元。
2、发现他人失密、泄密问题、出卖公司秘密,能够及时举报,使公司免受损失者,视情节奖励人民币200—300元。
3、防止泄密,举报他人泄密行为,及时阻止泄密的影响继续扩大,对挽回公司损失有明显成绩者,视情节给予一定的奖励。
(四)惩罚措施
对于泄密的员工,不论职务高低,遵照“谁泄密,谁负责,谁受罚”的原则,一律给予处罚。
1、因过失泄露公司秘密,被及时发现未造成损失者,处以人民币???元的罚款。部门负责人存在管理疏失的应负连带责任,处以人民币???元的罚款。
2、因过失泄露公司秘密,未造成重大损失者,视情节处以人民币???-???元的罚款并留公司查看三个月。部门负责人存在管理疏失的应负连带责任,处以人民币???元的罚款。
3、因过失泄露公司秘密,给公司造成重大损失或严重后果者,视情节处以人民币???元的罚款,并予以辞退。部门负责人存在管理疏失的应负连带责任,处以人民币???元的罚款。
4、故意为他人窃取、刺探、收买或违规提供公司秘密的,或利用职权强制他人泄密,给公司造成重大损失者,一律予以辞退,并依法提交司法机关追究其刑事责任。部门负责人存在管理疏失的,视情节严重程度具体处理。
5、个人工资档案、奖金数额等对其他员工泄露的,一经查实,直接对该当事人予以薪酬调整。
七、附则
(一)如有未尽事项将另行发布通知。
(二)本制度由人力资源部负责制定、修改、解释和监督执行。过去的有关规定如有与本制度不一致的,以本制度为准。
(三)本制度自发布之日起生效,前期相关规定自行废止。
XXXXXX公司
20XX年XX月XX日
点击咨询 