信息安全管理条例
第一章信息安全概述 1.1、公司信息安全管理体系
信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。
信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。
改善信息安全水平的主要手段有:
1) 安全方针:为信息安全提供管理指导和支持; 2) 安全组织:在公司内管理信息安全;
3) 资产分类与管理:对公司的信息资产采取适当的保护措施; 4) 人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险;
5) 实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6) 通讯与运作管理:确保信息处理设施正确和安全运行; 7) 访问控制:妥善管理对信息的访问权限;
8) 系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期;
9) 安全事件管理:确保安全事件发生后有正确的处理流程与报告方式;
10) 商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故障或灾害的影响;
11) 符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。
1.2、信息安全建设的原则
1) 领导重视,全员参与;
2) 信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与;
3) 技术不是绝对的;
4) 信息安全管理遵循“七分管理,三分技术”的管理原则; 5) 信息安全事件符合“
二、八”原则;
6) 20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部;
7) 管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
1.3、信息安全管理体系建设的目的
1) 保障ERP系统的安全运行,控制公司信息泄密风险; 2) 提高企业员工对安全的认识和对安全管理的参与; 3) 提高企业用户及合作伙伴对企业的信心、信任、满意程度; 4) 提高企业信息安全管理的质量和水平; 5) 使企业更有效地管理和处理信息安全事件; 6) 遵守和通过相关法律法规的要求;
7) 为将来企业充份利用电子商务打下重要的基础。
第二章员工信息安全规范 2.1、适用范围
本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。
本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。
2.2、计算机安全要求
1)计算机信息登记与使用维护:
每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置;
每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制:
所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。 3)当员工离开办公室或工作区域时:
必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域;
妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码:
每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件;
员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新;
如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报。 5)软件的使用:
员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络管理软件;
工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件; 公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、Office20
10、360浏览器、IE8.0升级包、Winrar、固网打印服务;
如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需要承担全部责任。 6)文件的共享:
员工在使用文件共享时,必须将其设置为受限共享;
禁止使用基于互联网的P2P软件和共享服务,如:BT、eMule等; 不得在计算机上配置匿名FTP、TFTP、HTTP,或其他无需验证的服务;
例如:员工不得在公司的计算机上私自架设匿名FTP; 未经IT部门许可,不得在使用ERP系统的计算机上使用U盘或移动硬盘。如因业务需要,必须要访问其他人的硬盘。当定义共享权限时,员工必须设定用户权限、设定访问密码,并及时取消所定义的共享。
7)邮件的发送与接收:
禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件; 禁止将涉及公司秘密的内部邮件转发到互联网上。 8)公司涉密信息的保护:
公司涉密信息包括但不限于公司数据库中的秘密信息,与公司目前或未来产品、服务或研究有关的公司技术或科技信息,业务或营销计算、营销收益或其他财务资料、人事资料,以及软件等技术信息、经营信息等;
公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的情况下泄漏这些信息,并且必须遵守公司为保护此信息而制定的各项标准和流程;
每个员工只能接触使用与本岗位工作相关的涉密信息,禁止从非正常途径获取公司或部门的涉密信息;禁止非授权复制涉密信息;
对公司文档的保管、存档、发送、删除、销毁、复制等必须遵守公司相关的文档保密管理规定;
禁止使用提供翻译服务的互联网站来翻译公司的涉密信息; 公司涉密信息尽量避免通过互联网传送,但由于工作需要,需要通过电子邮件等方式发送公司涉密信息时,可以采用Winrar加密压缩的方式把涉密内容作为附件发送,然后通过其他渠道告知对方加密密码。
9)公司信箱的帐户及密码
所有的密码必须符合如下条件:
至少8个字符长,并且包含英文、数字及特殊字符; 禁止把用户名用作密码或其一部分;
旧密码中任何三个连续的字符尽量不要连续出现在新密码中; 公司要求员工至少每30天更换一次密码。 10)内部网络使用规则
禁止在网络上伪装为他人身份;
不得私自安装网络管理软件,监控网络流量或者妨碍他人使用网络资源;
不得对公司网络或服务器以及网络中他人电脑运行安全扫描程序或者恶意攻击;
未经IT部允许,不得增加网络设备到公司的网络中,严禁私自购买路由器、交换机接入公司网络等行为; 宿舍区电脑大部分属于员工私人计算机,禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中;
第三章公司信息安全管理检查执行规定
3.1.检查原则
根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当,造成公司安全制度和措施难以落实,安全管理工作混乱的部门,部门负责人须承担领导责任。对违反信息安全管理规定者,如其直接领导有明显管理和指导不力的须承担连带责任。
3.2.检查方式
公司技术部门抽调网络管理人员,不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件,排查违规电脑,追究相关当事人。
3.3.检查结果
对于故意盗窃、泄露公司保密信息的,或故意违反信息安全管理规定,性质特别严重造成重大损失的,给予罚款、降薪、降职、辞退、直至开除的处理,并赔偿公司损失。对于触犯国家法律的,移交国家司法机关依法处理。?对违反公司信息安全制度规定,性质较轻,在公司内部系统给予点名通报批评,并记录在案,责令限期改正。
