第一篇:企业信息安全管理制度
企业信息安全管理制度
关键字: 密码 数据 机房 ISO27001 作者:亚远景科技有限公司 转载请注明出处
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
一、机房管理制度
1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。
2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
5、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
6、做好操作系统的补丁修正工作。
7、网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
8、计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
9、制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、计算机病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。
2、采用国家许可的正版防病毒软件并及时更新软件版本。
3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
三、数据保密及数据备份制度
1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2、禁止泄露、外借和转移专业数据信息。
3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
4、每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
8、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
网络安全管理员的职责
一、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。
二、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
三、网络安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。
四、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
五、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
六、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法如下:在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件。Unix中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab -l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls -lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。
一、机房管理制度
服务器机房由网络维护员专门负责管理。其它人员不得入内。机房钥匙不得转借他人。
网络维护员负责局域网的防毒和杀毒工作。并经常为服务器及其计算机设备进行病毒检查。
网络维护员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向部门经理报告。
机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
在原有设备的基础上,为了更好的利有现有打印机的资源。使用上实现分片共享。
服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
二、局域网管理制度
1、局域网管理工作由网络维护员负责。
2、出现问题、故障或发现病毒,及时通知网络维护员。由网络维护员及时处理和排除,并做记录。
3、网络客户如果确实要进行如上操作,可向网络维护员说明,获得同意后方可操作。
4、严禁在计算机有未杀的情况下发送电子邮件和拷贝文件到其它客户机上。
5、除网络维护员外,其它人员不得在服务器上任意安装和删除软件,不得随意更改服务器和交换机上的各项系统设置。
6、网络客户机上的操作人员不得更改计算机上的各系统设置。网络客户机不得使用盗版的软件和计算机游戏软件。
7、需要对局域网做大的改动时,须向部门经理请示,征得批准后方可进行。
8、上班期间不准上网聊天或玩游戏。网上客户机不得装载任何游戏软件或下载软件。下载软件须经信息资源部批准方可下载。
一、服务器机房由机房主管人员和管理人员专门负责管理。其它人员未经允许不得入内。机房钥匙不得转借他人。
二、机房管理人员负责校园网的防毒和杀毒工作。并经常为服务器及其微机设备进行病毒检查。
三、机房管理人员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向主管和部门负责人报告。
四、机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
五、服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
六、机房应做好防潮、防尘、防水、防热、防火、防盗等工作。下班人员离开前应切断电源,关好门窗,以确保安全。
七、机房主管人员对所管机房的微机及设备负全部责任。未经机房主管人员同意,任何人不准自行使用,移动和调换。
八、机房管理人员要坚守值班岗位,密切监视校园网网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗,并做好交接班记录。
九、机房管理人员要注意保密工作,不得随意泄露学校秘密信息。
十、健全机房设备固定资产台帐和低值易耗品台帐,建立设备使用记录本,记录使用、维修等变化情况。
第二篇:关于企业信息安全管理制度
关于企业信息安全管理制度
安全生产是企业的头等大事,必需坚持“安全第一,预防为主”的方针和群防群治制度,认真贯彻落实安全管理制度,切实加强安全管理,保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文件,制定本企业信息安全管理制度。
一、计算机设备安全管理制度
计算机不同于其他办公设备,其有用性、严密性、操作技术性强,含量高、部件易受损,特殊是联网计算机,开放性程度比较高,电脑内部易受外界的愉窥、攻击和病毒感染。为确保计算机软、硬件及网络的正常使用,特制定本制度。
1、公司内全部计算机归网络部统一管理,配备计算机的员工只负责使用操作;
2、计算机管理涉及的范围
2.1全部硬件(包括外接设备)及网络联接线路:
2.2计算机及网络故障的排除:
2.3计算机及网络的维护与修理:
2.4操作系统的管理:
3、公司内全部计算机使用人员均为计算机操作员:
4、网络维护部负责对公司内全部计算机进行定期检查,一般每两月进行一次;
5、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
6、非本单位技术人员对我单位的设备、系统等进行修理、维护时,必需由本单位相关技术人员现场全程监督。计算机设备送外修理,须经有关部门负责人批准。
7、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应准时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行修理及操作。
二、操作员安全管理制度
1、计算机原那么上由专人负责操作维护,不得串用设备。下班后必需按程序关闭主机和其他设备,切断电源。
2、为保证计算机信息安全,必需为计算机设置密码。
3、计算机操作员除使用操作计算机外,不允许有以下行为:
3.1硬件设备出现故障擅自拆开主机机箱盖板;
3.2更换计算机配件(如鼠标、键盘、耳麦):如有向网络管理员写设备申请单审批。
3.3删除计算机操作系统及公司指定的软件:
3.4使用带病毒的计算机软件;
3.5让外来人员进行有损于计算机的技术性操作;
4、不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算机进行杀毒。如觉察计算机有病毒时,应准时去除,去除不了的病毒,要准时上报,5、个人的公司重要文档、资料和数据保存时必需将资料储存在除操作系统外的其它磁盘空间,严禁将重要文件存放于桌面或C盘下。
6、工作时间内严禁工作人员在计算机上进行与工作无关的操作,不准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐,迅雷下载等,7、电脑及网络设备所在环境应保持清洁、卫生、通风,留意防尘、防潮、防火。
8、公司全部计算机使用者,不得破坏网管员对计算机的安全设置。包括用户使用权限。
9、除服务器外,其他全部计算机下班后必需关机并切断电源;
10、计算机使用者离职时必需由网络管理员确认其计算机硬件设备完好、移动存储设备归还、信息系统管理帐户密码和资料未破坏、个人帐户密码去除后方可办理离职手续。
11、如工作人员不按规定操作,造成不良后果的,将按有关规定,由操作者承担相应责任,并追究科室负责人的有关责任。
12、操作员设置与管理
(1)网络管理员管理操作权限必需经过公司领导授权取得;根据不同部门的要求及岗位职责而设置:
[2)网络管理员负责故障恢复等管理及维护,必需有其上级授权:不得使用他人操作代码进行业务操作;
三、密码与权限安全管理制度
1、密码设置应具有安全性、保密性,不能使用简洁的代码和标记。密码是爱护系统和数据安全的把握代码,也是爱护用户自身权益的把握代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等简洁猜测的数字和字符串;
2、密码应定期修改,间隔时间不得超过一个月,如觉察或怀疑密码遗失或泄漏应马上修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊状况需要启用封存的密码,必需经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须马上更改并封存,同时在“密码管理登记簿”中登记,4、系统维护用户的密码应至少由两人共同设置、保管和使用管理制度,5、有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码马上修改或用户删除,同时在“密码管理登记簿”中登记,四、数据安全管理制度
1、存放备份数据的介质必需具有明确的标识。备份数据必需异地存放。
2、留意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全,3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必需严格根据程序进行逐级审批,以保证备份数据安全完好,4、数据恢复前,必需对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中,出现问题时由技术部门进行现场技术支持。数据恢复后,必需进行验证、确认,确保数据恢复的完好性和可用性。
5、数据清理前必需对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避开对联机业务运行造成影响。
6、需要长期保存的数据,数据管理部门需与相关部门制定转存,根据转存和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完好性和可用性。
7、非本单位技术人员对本公司的设备、系统等进行修理、维护时,必需由本公司相关技术人员现场全程监督。计算机设备送外修理,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备修理人员应对设备进行验收、病毒检测。
8、管理部门应对报废设备中存有的程序、数据资料进行备份后去除,并妥当处理废弃无用的资料和介质,防止泄密。
9、运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,常常进行计算机病毒检查,觉察病毒准时去除。
10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、网络管理
1、网络系统属于公司无形资产,公司有权限制上网行为,根据工作需要限制各部门的上网行为。
2、公司网络管理员对计算机IP地址统一安排、登记、管理,严禁私自更改IP地址。
3、公司员工必需自觉遵守企业的有关保密法规,严禁利用网络有意或无意泄漏公司的涉密文件、资料和数据。不得非法复制、转移和破坏公司的文件、资料和数据,4、实行“绝密”文件、涉秘件与计算机网络确定隔离,不得在计算机网络中输入、打印、复制“绝密”文件和有关涉秘件;
5、网络维护部负责文字工作的计算操作人员必需遵守有关的保密制度,对保密的文件资料进行加密存放,不得上网共享。
六、附
1、本制度由网络部负责解释,2、本制度由总经理批准后生效,自公布之日起执行。
第三篇:XX企业信息安全管理制度
企业信息安全管理制度
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作
用户代码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。
如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
第四篇:企业信息管理制度
第一节 总则
第一条 为加强信息管理,加快集团公司信息化建设步伐,提高信息资源的运作成效,结合集团公司具体情况,制定本制度。
第二条 本管理制度中关于信息的定义:
1、行政信息:集团公司系统内部目的为行政传达的一切文字资料、电子邮件、文件、传真。具体信息管理表现为上传下达、平级传送的行文管理、资料管理、档案管理。归属于日常行政管理。
2、市场信息:集团公司业务销售的客户文件、来往传真、电话、客户档案;集团公司业务应用的电话记录、报价、合同、方案设计、投标书等原始资料、电子资料、文件、报告等。具体信息管理表现为客户沟通、文字记录、资料收集分析、业务文件编写等。归属于业务经营管理。
第三条 信息管理工作必须在加强宏观控制和微观执行的基础上,严格执行保密纪律,以提高企业效益和管理效率,服务于企业总体的经营管理为宗旨。
第四条 信息管理工作要贯彻“提高效率就是增加企业效益”的方针,细致到位,准确快速,在企业经营管理中降低信息传达的失误失真延迟,有力辅助行政管理和经营决策的执行。
第五条 集团公司及全资下属集团公司(含51%股权的全资、内联企业)、机构的信息工作,都必须执行本制度。其他中外合资合作及内联企业参照本制度执行。
第二节 信息管理机构与相关人员
第六条 集团公司设立集团信息中心,集团公司下属独立核算的公司、企业设置独立的信息机构。非独立核算的单位配备专职或兼职信息人员。
第七条 各企业行政部依据《行政管理条例》负责相关行政信息的日常管理;实业公司销售中心办公室独立负责市场信息管理。
下属独立核算的公司、企业参照集团公司设立信息经理或专门信息管理的人员。
信息管理根据业务工作需要,配备必要的电脑技术人员、文员。
第八条 集团信息中心负责集团公司整个系统的信息管理工作,负责所有信息的汇总和档案管理。对全系统的信息管理工作负责。
第九条 依据《行政管理条例》,各企业行政负责人主要负责行政信息的管理。
第十条 集团信息中心设企业信息专员,主要负责市场信息的系统化、专业化管理。企业信息专员分为行政信息和市场信息两个岗位。
企业信息专员主要职责如下:
1、执行集团公司总经理办公会议的决议,参与编制总经理办公室主持的信息管理制度。(行政信息专员)
2、在销售中心总监指挥下,负责市场经营中各类信息的采集、处理、传达,执行中存在的问题提出改进措施。(市场信息专员)
3、与行政部联合处理日常工作中关联到业务机构的行政工作。(行政信息专员)
4、辅助指导集团公司其他各部门业务的信息统筹处理。(行政信息专员、市场信息专员)
5、对集团总经理负责并报告工作。
6、集团信息中心日常负责监察集团全系统的业务信息管理和活动;负责搞好全系统业务人员关于市场经营信息 的培训工作,不断提高业务人员的业务素质和业务水平;
第十一条 各级领导必须切实保障信息中心人员依照本办法行使职权和履行职责。
第十二条 信息管理人员在工作中,必须坚持原则,照章办事。对于违反保密制度和其他行政制度的事项,要及时向上级领导报告,接受指示后执行具体处理。
第十三条 集团公司支持信息管理人员坚持原则,按信息制度办事。严禁任何人对敢于坚持原则的信息管理人员进行打击报复。集团公司对敢于坚持原则的信息管理人员予以表扬或奖励。
第十四条 信息管理人员力求稳定,不随便调动。信息管理人员调动工作或因故离职,必须与接替人员办理交接手续,没有办清交接手续的,不得离职,亦不得中断有关工作。被撤销、合并单位的信息管理人员,必须会同有关人员编制信息文件资料移交清单和造册,办理交接手续。
第三节 行政信息管理
第十五条 按照行政信息的定义,行政信息主要产生、传递、应用于集团公司行政活动中。
第十六条 行政信息管理主要依据集团公司《行政管理纲要》中下列规定进行:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、信息管理中心管理规定;
4、集团公司印章、介绍信管理规定;
5、集团公司值班管理制度;
6、保密制度。
第十七条 考虑集团公司业务竞争的特殊性质,行政信息管理不再涉及集团公司营销类(客户)信息、技术类信息和财务类信息。
第四节 市场信息管理
第十八条 依照市场信息的定义,市
场信息主要产生、传达、应用在市场业务经营管理中。
第十九条 市场信息来源分类:业务(客户)信息、非业务市场信息。
1、业务(客户)信息:客户购买公司产品的电话、传真、函件、电子邮件;公司、客户之间业务沟通电话、传真、文件、函件、电子邮件;客户公司公开的资料;市场人员收集的客户秘密资料;销售中心情报人员传
呈的报告、资料;针对客户的分析报告等。
2、非业务市场信息:网络、报刊、杂志和各种信息渠道收集的行业性文章、资料;竞争对手资料、文件、报告;公开的技术性资料;外围媒体、机构传送到集团公司的电子邮件、函件、资料;公司内部业务分析文件、报告;其他与市场业务经营和管理有关的资料。
第二十条 信息中心市场信息专员直接在销售中心总监的指挥下,主要负责以下业务信息工作:
1、负责集团网站的建设、维护、更新和对外信息发布,并开展网络商务系列工作。
2、负责业务(客户)信息的接受、整理、初步分析和传呈销售中心总监,建立、保管客户档案并不断维护;
3、在销售中心总监的指挥下,负责与客户的电话、电子邮件的信息交流,负责与客户文件资料函件的撰写、整理、内部报批、外部发送;
4、负责按照《区域市场管理办法》的规定,指导、协助各市场机构对业务信息的收集,督促各市场机构将业务信息及时、准确呈报到集团公司,整理、分析各市场机构业务信息形成客户分类档案,并及时将重要的信息报告给销售中心总监;
5、负责定期撰写公司业务市场分析报告,协助公司销售决策;
6、监察、收集、整理竞争对手情报资料;收集、整理、分析行业性文章、资料;
7、负责直接业务情报、业务信息的整理。
8、上级安排的其他工作。
第二十一条 行政信息专员在各级行政负责人的指挥下,主要负责以下非业务信息工作:
1、负责日常打印、复印等文字文件电脑处理工作和负责电脑、传真机、复印机等设备的使用、管理和维护;
2、负责公司非市场事务的洽谈和管理、日常信息交流;
3、接收、整理、呈报、发送非直接业务单位(如媒体机构)的信息文件资料;
4、集团公司内部一般性业务管理文件的拟稿;
5、各种与行政管理有关的信息资料工作;
6、上级交办的其他工作。
第二十二条 信息人员必须严格遵守集团公司制度中下列具体规定:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、信息中心管理规定;
4、安全保密制度。
第五节 其它
第二十三条 信息管理人员必须认识到,没有脱离具体行政活动、业务活动而独立的信息工作,所以信息管理的最终目的,检验信息管理工作的成效标准,是业务工作、行政工作的效果和执行效率。
第二十四条 本信息管理办法由集团公司董事会颁布、解释、修改,集团信息中心和各级企业行政管理部门负责执行。
第五篇:企业信息安全保密制度
企业集 团 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企业经营管理股份有限公司
信息安全保密制度 第一章 总 则
第一条 根据国家相关规定,结合《企业知识产权管理规范》及具体情况,为保障公司整体利益和长远利益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本制度。
第二条 本规定是安全保密、知识产权及专利保护工作的依据和准则。各部室要把安全保密工作列入工作规划,使安全工作落到实处。
第三条 公司秘密是关系公司权力和利益,依照程序只允许特定时空范围的人员知悉的事项,包括但不限于技术专利、财务、人事和其他商业机密。技术秘密是指能为公司带来经济利益、具有实用性的技术信息、设计方案等,包括但不限于:技术信息、工程设计、科研专利、知识产权等等。财务秘密包括但不限于公司经营的财务、资产及相关统计数字。人事秘密主要是与公司人力资源现状、招聘计划、员工隐私、劳资状况等相关的信息。包括但不限于:人事档案、合同、协议、职员工资性收入、招聘计划等。日常秘密主要包括不限于:日常文件文档、资料等。商业秘密包括但不限于:客户名单、定价政策、财务资料、进货渠道,等等。
第四条 公司所有职员、外派人员都有保守公司秘密的义务。接触到公司秘密的高级员工,如:管理人员、技术人员、财务人员、秘书等负有特别的保秘责任。
第五条 保密工作实行安全、便利可行、积极预防的工作方针。保密范围和密级确定: / 9
第六条 公司秘密包括本制度第三条规定的及下列秘密事项:(一)公司重大决策中的秘密事项;
(二)公司尚未付诸实施的经营战略、方向、规划及决策等;(三)公司内部掌握的合同、协议、意见书及可行性报告;(四)公司财务预决算报告及各类财务报表、统计报表;(五)公司职员人事档案,工资性、劳务性收入及资料;(六)公司科研专有技术、专利、知识产权、工程设计、等等;(七)其他经公司确定应当保密的事项。
第七条 公司秘密的密级分为“绝密”、“机密”、“秘密”三级。
绝密是最重要的公司秘密,泄露会使公司权益和利益遭受特别严重损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严重损害;秘密是一般的公司秘密,泄露会使公司权力和利益遭受损害。
第八条 秘级的确定:
(一)公司经营发展中,直接影响公司权益和利益的重要决策文件、技术资料、技术专利等为绝密级;(二)公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级;(三)公司人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的各类信息为秘密级。
第九条 秘密级别由董事会秘书办公室依据第七条确定,并确定保密期限:分永久、长期、短期,一般与密级相对应,特殊情况外标明。保密期限届满,自行解密。/ 9
第十条 发现已经或者可能泄露秘密时,应立即采取补救措施并报告主管部室或公司领导;主管部室或领导接到报告,应及时处理。
第十一条 本制度规定的泄密是指下列行为之一:(一)使秘密被不应知悉者知悉的;(二)使秘密超出接触限定范围,而不能证明未被不应知悉者知悉的。
第二章 日常保密管理规定
第十二条 日常保密包括但不限于文印文档、资料、人事及其他保密事项等。办公室为日常保密工作管理部室。办公室主要保密职责:
(一)根据法律及上级公司规定,结合公司实际制定安全保密管理规定,并监督实施;
(二)负责组织宣传安全保密管理规定、制度,组织培训学习公司有关保密安全条例;
(三)制定并落实人事、档案保密管理措施;
(四)配合其他部室完成技术、财务、商业等保密的管理、监督和检查工作;(五)严格机要、文印人员、招聘选拔;
(六)对安全保密突发事件应急处理,日常安全保密工作的监督;协助公司领导完成保密工作检查、奖惩及与之相关的活动等;
(七)承办上级领导交办的其他保密事项。
第十三条 日常保密工作,各部室、各岗位应做到:
(一)领导干部、部室负责人、专业组长:增强保密意识、以身作则,模范遵守保密规定,落实保密责任。做到:不泄露知悉的公司秘密;不在无保密保障的/ 9
场所阅办秘密文件、资料;不在家属、亲友、熟人和其他无关人员面前谈论公司秘密事项;不携带秘密文件、资料参加社交活动;不在出访、考察等外事活动中携带秘密文件、资料;阅办完秘密文件及时清退、归档;审校、签发文件及稿件时,要把好定密关;下级发生泄密问题后,及时上报、设法补救,不掩盖包庇。
(二)员工应做到:不该说的秘密不说;不该问的秘密不问;不该看的秘密不看;不该记录的秘密不记录;不在非保密本上记录秘密;不在公共场所和家属、子女、亲友面前谈论公司秘密事项;不在不利于保密的地方存放秘密文件、资料;不携带秘密材料游览、参观、探亲、访友和出入公共场所;不在私人交往中泄露公司秘密。日常保密措施:
第十四条 健全收发文制度,各部室要有专人负责文件、设计图纸、技术档案等机密文件的管理和清退工作,发现秘级文件资料丢失、被窃、泄密时,须立即报告,及时追查、力挽损失。
第十五条 档案管理按照质量管理体系文件中有关规定执行。
第十六条 有秘密内容的会议或活动,主办部门应采取措施:
(一)选择具备保密条件的会议场所,严禁使用无线话筒传达密件或向室外扩音;
(二)根据需要,限定参会人员的范围,指定参会人员;(三)依照规定使用会议设备和管理会议文件;
(四)规定不准记录的会议内容,不得记录,不携带录音机进入会场录音;不以任何形式对外泄露会议秘密内容,会议结束后,要对会议场所进行保密检查;/ 9
严禁滥印、复印会议秘密文件资料,确需要复制的须经批准。
第十七条 文印岗人员应该做到:
(一)复印的秘密文件:需经批准后才能复印;严格控制份数,复印件要按原件一样管理;
(二)严格保管承印的秘密文稿、资料及有秘密内容的磁盘、录音笔等;对会议记录和有关文件、资料严加保管,及时立卷归档;
(三)严格遵守保密纪律,打印、复印涉密文稿的内容不得传播,不得让无关人员阅看,不私自多印留存;
(四)打印的密件废页、图纸废页、蜡纸应及时处理,不让无关人员阅看;发现密件丢失或下落不明,要立即报告,并抓紧查找,采取补救措施。定期检查、清理、清退、销毁文件;严防将秘密文件、资料和文件底稿随同旧报纸等出售。
第十八条 对于密级文件、资料设计图纸、方案、技术标准和其他物品,须采取保密措施:
(一)非经批准,不得复制和摘抄;收发、传递和外出携带,由指定人员担任,并采取必要的安全措施;
(二)在设备完善的保险装置中保存;
(三)如有与质量管理体系中规定相左之处,以后者为准。第十九条 如有必要公司应与相关人员签订《保密合同》。
第三章 商业保密管理规定
第二十条 商业保密包括但不限于:客户信息、采购资料、定价政策、财务资料、进货渠道、投标信息、经营策略等。
第二十一条 市场部为商业保密的主管部门,办公室及其他部门配合市场部/ 9
完成商业保密管理。市场部主要保密职责:
(一)制定商业保密管理有关规范、制度,并组织实施、监督;(二)组织宣传、培训商业管理规定;
(三)负责本部门保密管理工作,监督其他部门管理工作;(四)负责商业泄密事件的应急、调查、处理、处罚工作;
第二十二条 涉及公司商业秘密的合作、代理、交易合同或协议,依据情况设置相关“保密条款”,限制对方行为。
第二十三条 市场部有关人员不可将商业秘密透露给任何第三方或用于合同目的以外的用途,离职、辞职时,要及时交出相关资料,同时不得泄露公司经营秘密;不可在对外接受访问或者与任何第三方交流时泄露秘密内容。
第四章 财务保密管理规定
第二十四条 财务保密工作包括但不限于资产、财务统计数字及工资及其他报表的保密。
第二十五条 财务部为财务保密的归主管部门,市场部、办公室及其他部门配合财务部落实财务保密工作。财务部主要保密职责:
(一)根据法律及上级单位规定,结合实际制定财务保密规范;(二)组织本部门员工学习并执行财务保密制度的有关规定;(三)负责组织宣传保密、安全管理规定、规范,组织培训学习公司有关保密安全规定;
(四)负责本部门保密管理工作,监督其他部门管理工作; / 9
(五)负责财务泄密事件的应急、调查、处理、处罚工作;
第五章 计算机与互联网信息保密管理规定
第二十六条 IT部要健全各项信息保密管理制度,强化机房计算机的应用管理。凡秘密数据的传输和存贮均应采取相应的保密措施,录有文件的存贮设备要妥善保管,严防丢失。
(一)保障公司计算机及其相关的配套设备、设施的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全性。应及时发现安全隐患,及时提出解决方案,及时处理解决问题;
(二)新用户登记时,应认真核实其身份,并详细记录用户的相关信息。员工不允许将公司“用户信息和网络密码”告知非本公司人员。员工离开本公司,IT部应注销该员工的所有用户信息;
(三)对于安全性较高的信息,需要严格管理。无论是纸张形式还是电子形式,均要落实到责任人。严禁将工作中的数据文档带离。
(四)企业研发的各办公系统的数据内容要严格把关;IT部要将审核后的内容准确、安全、即时地上传至托管服务器。
(五)加强计算机系统的保密安全管理。对涉密与非保密计算机予以明确区分,涉密机必须完全与局域网脱离连接,并禁止上因特网以防泄密。并采取身份认证、存储传输加密、配置防视频泄密干扰器等措施加强保密防范。
第二十七条 属于公司秘密的信息、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由办公室或主管领导委托专人执行;采用电脑技术存取、处理、传递的公司秘密由IT部门负责保密。/ 9
第二十八条 计算机房内,禁止无关人员逗留、参观,严禁会客。
第六章 罚则 和 奖则
第二十九条 公司对在安全保密工作中做出突出成绩的个人和部室给予奖励。
第三十条 对未按本《规定》进行管理或管理不善造成秘密泄漏的,除对直接责任者按规定给予相应处理外,还将追究所属部室主要负责人的责任,并对直接责任者和所属部室给予相应的经济处罚。
第三十一条 对无视本《规定》,以谋取个人或小集团利益为目、蓄意泄漏秘密的,造成重大损失和严重后果的,将依《中华人民共和国刑法》追究法律责任。
第三十二条 保密管理人员因玩忽职守使秘密泄漏造成经济损失,削弱竞争能力的,视情节轻重给予不同程度的行政处分和经济处罚,明知故犯者加重处罚。对违反本《规定》,使单位秘密泄露,造成直接或间接经济损失的,由公司保卫部及所属管理部门负责调查核实,并提出处理意见,报公司领导批准后执行。
第七章 附 则
第三十三条 本《规定》自发布之日起执行。第三十四条 本规定的解释权属于本公司保卫部。/ 9
点击咨询 