信息安全与保密管理规定
1 目的
为维护公司内部网络信息安全,防止外部对网络的攻击和入侵,防止网络内部信息的泄露,特制定本规定。
2 信息安全管理内容
2.1所有直接或间接接入公司网络的信息终端,包括电脑、手机、PDA及实验设备等,一律纳入公司管理的范畴。
2.2所有纳入公司管理范畴的信息终端统一由总经理工作部管理。
2.3由总经理工作部科信专责负责制定信息安全管理措施,并负责实施。
2.4任何员工不得危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
2.5所有需要接入公司网络的电脑必须安装有效的杀毒软件,公司所有的电脑由科信专责指定杀毒软件并强制安装,统一升级。科信专责有权针对特定病毒采取的必要措施,以达到有效预防、消除病毒影响的目的。
2.6公司所有的电脑上不得擅自安装或运行修改操作系统运行参数的软件。不得从事扰乱公司网络正常运行的活动。
2.7所有员工必须保管好自己的网络帐号信息,只准本人使用,不得借与他人使用,不得以任何理由将自己的网络帐号泄露给公司外部的人员。
2.8至少每月修改一次密码。密码被他人获悉后,必须及时更改密码。密码长度必须在十位以上,并符合复杂性要求。
2.9各部门存取必须建立访问控制与审核机制,严格控制重要资料的存取。
2.10科信专责负责对所有电脑的操作系统做升级、补漏洞的工作,降低系统的运行风险。
2.11科信专责负责设置安全可靠的防火墙,安装防病毒软件,定期进行安全风险分析与系统漏洞测试,适时对软硬件进行升级,确保系统安全、可靠、稳定地运行。
2.12由科信专责严格控制所有信息终端访问Internet网的行为,并建立审核机制。
2.13所有信息终端所在场所必须有必要的防盗、消防设施,并严格控制相关人
员进出。
2.14科信专责负责对公司OA系统使用人员进行审核。
3 信息保密管理
3.1涉密信息定义范围包括《保密制度》所定义的范围但不仅限于该范围,还包括公司信息网络的架构、设备资料等相关信息。
3.2涉密信息的密级参照《保密制度》。严格执行访问控制与审核机制。涉及公司商业机密和技术机密的资料必须实行“涉密资料原则上不上网”的要求。对各级涉密信息具体要求如下:
3.2.1绝密资料必须使用文件系统权限控制,并作审核。不允许使用网络共享等易泄漏的方式传递。传递时必须使用强密码加密;
3.2.2机密资料必须使用文件系统权限控制,并作审核。传递时必须使用强密码加密;
秘密资料传递时必须使用强密码加密;
3.2.3所有有机会直接或间接地接触本涉密信息的人员(包括员工、外聘的管理顾问等)均为涉密人员。涉密人员必须签《商业秘密保证及竞业限制协议》。
3.2.4涉密场所必须严格控制人员的进出。
3.2.5所有涉密介质(软盘、光盘、硬盘等)必须实行使用登记。使用完后必须作脱密处理。
3.2.6对外公布有关公司的信息必须经过有关部门审核、批准后方可执行。 4附则。
4.1本规定由总经理工作部负责解释。
4.2本规定自颁布之日起执行。
