中小型企業(yè)信息安全管理規(guī)范

1、中小型企業(yè)信息安全管理規(guī)范4安全管理規(guī)范為做好 itit 外包服務(wù)工作，維護(hù)服務(wù)企業(yè)信息安全與保密工 作，加強對項目工程師的信息安全教育與培訓(xùn)工作， 防止由于項 目組人為原因造成泄密行為的發(fā)生， 維護(hù)客戶方及公司的合法權(quán) 益，擬定如下安全管理規(guī)范進(jìn)行參考學(xué)習(xí)。1 1、保密規(guī)范秘密文件要標(biāo)識，秘密信息妥善保管，保密信息慎傳遞，發(fā) 現(xiàn)泄密快報告。2 2、知識產(chǎn)權(quán)在您正式加入陽光雨露公司時， 您會與公司簽署 知識產(chǎn)權(quán) 及保密協(xié)議，這是一份具有法律約束力的文件，請您注意不要 違背協(xié)議中的各項條款。根據(jù)協(xié)議，您在客戶方工作期間，在職 務(wù)工作中形成研究、 開發(fā)成果歸屬公司； 您在聘用期間以及聘用 期終止后

2、，除非為了履行自己在公司的職務(wù)或者執(zhí)行國家法律的 規(guī)定，未經(jīng)公司書面同意，決不能公開發(fā)表或?qū)ζ渌诵孤豆?的任何商業(yè)秘密，決不能為其它目的使用公司的任何商業(yè)秘密， 決不復(fù)印、 轉(zhuǎn)移含有公司商業(yè)秘密的資料， 無論這些商業(yè)秘密信 息是否是由您本人開發(fā)出來的。3 3、嚴(yán)格遵守公司及客戶方的信息保密規(guī)范，在有客戶方行 為保密的規(guī)范的前提下， 所有人員有責(zé)任閱讀并認(rèn)真填寫、 履行 客戶方的信息保密行為規(guī)范。如果客戶方無明確信息保密規(guī)范，請嚴(yán)格按照公司如下定義的內(nèi)容（或者客戶方定義的保密內(nèi)容） 履行信息保密行為。1.01.0 保密區(qū)域定義所有公司或者客戶方的計算機(jī)機(jī)房，網(wǎng)絡(luò)設(shè)備間/ /室，開發(fā)部，微機(jī)室

3、，信息處理室，電話中心，存放企業(yè)或者部門重要的 技術(shù)、管理數(shù)據(jù)和資料的辦公室或者區(qū)域。2.02.0 保密信息定義在公司或者客戶方各類應(yīng)用信息系統(tǒng)中保存的， 包含但不限 定以下內(nèi)容：1 1）. . 技術(shù)秘密技術(shù)創(chuàng)新方面（包括原有和新開發(fā)的、重要的、在一定時期 內(nèi)具先進(jìn)水平的技術(shù)項目）的調(diào)研、計劃、立項、可行性分析、 方案、決策、研究試制的記錄和總結(jié)、參數(shù)、技術(shù)鑒定等信息及 其記錄載體?？赡艹蔀榘l(fā)明或?qū)＠碾A段性成果， 或已經(jīng)有關(guān)部門批準(zhǔn)的 發(fā)明或?qū)＠晒?及對該項目成果實施效果有重大影響的技術(shù)決 竅和輔助技術(shù)。消化吸收國外先進(jìn)技術(shù)并加以改進(jìn)的技術(shù)工藝。產(chǎn)品生產(chǎn)、設(shè)計、創(chuàng)新方面的工藝配方、工藝流

4、程、工藝條 件和技術(shù)裝備要求， 工藝參數(shù)、 工藝方法、操作規(guī)程、 內(nèi)控標(biāo)準(zhǔn)、 成份和檢測方法、 工藝技術(shù)決竅、 傳統(tǒng)工藝和秘方的信息及其記錄載體。新產(chǎn)品研制成本、生產(chǎn)能力以及實現(xiàn)利潤預(yù)測資料。節(jié)能降耗、 提高生產(chǎn)效率、 質(zhì)量攻關(guān)的技術(shù)決竅和技術(shù)改進(jìn) 方案?？萍及l(fā)展規(guī)劃，包括中長期發(fā)展規(guī)劃、產(chǎn)品發(fā)展規(guī)劃、設(shè)備 更新規(guī)劃。2 2）. . 營銷秘密產(chǎn)品（商品）的庫存情況、儲備計劃和數(shù)量、采購計劃、合 同價格和采購成本。供產(chǎn)銷計劃和措施、價格調(diào)整方案、營銷策略、定價依據(jù)、 銷售合同、客戶檔案（省內(nèi)外經(jīng)銷點及用戶資料） 。企業(yè)財務(wù)管理、 財務(wù)收支、 會計報表、 會計帳簿、 會計憑證、銷售情況資料。企業(yè)發(fā)

5、展計劃、 規(guī)劃及生產(chǎn)規(guī)模， 各項經(jīng)濟(jì)技術(shù)指標(biāo)的年度 計劃和統(tǒng)計報表。企業(yè)資產(chǎn)、資金狀況及企業(yè)各類經(jīng)濟(jì)指標(biāo)。 正在或?qū)⒁c外商談判的進(jìn)出口商品需求情況、 內(nèi)部掌握的 方案、對外招標(biāo)價格底盤及方案等影響商業(yè)談判順利進(jìn)行的措施 和辦法。引進(jìn)技術(shù)項目及設(shè)備進(jìn)口計劃、用匯額及有關(guān)資料。3.03.0 其它工作秘密尚未公開的人事考察政審、評議考核、職務(wù)任免、調(diào)動、獎 懲和機(jī)構(gòu)設(shè)置材料及信息。 不宜公開的企業(yè)各類檔案、機(jī)要文 件和各類報表。在一定時期、 一定范圍內(nèi)尚未公開的企業(yè)黨委會議、 部門會 議、董事會議、黨政聯(lián)席會議和紀(jì)檢、保衛(wèi)等專題會議的會議記 錄、紀(jì)要及有關(guān)材料。群眾來信來訪和紀(jì)檢、監(jiān)督、審計工作中

6、的保密事項（包括 立安、案情調(diào)查、問題分析、審查和結(jié)論等） 。未公開的工程項目的標(biāo)底。 未批準(zhǔn)公開的各種事故的情況。 中央和省市的各類密級文件。4 4）. . 信息化應(yīng)用類秘密 企業(yè)現(xiàn)有的應(yīng)用系統(tǒng)，應(yīng)用的技術(shù)細(xì)節(jié)，應(yīng)用效果等。 應(yīng)用的軟件的名稱、數(shù)量和分布等信息。 使用的硬件的名稱，數(shù)量和分布等信息。各應(yīng)用系統(tǒng)的相關(guān)數(shù)據(jù)。各應(yīng)用系統(tǒng)的權(quán)限密碼。 與合作公司簽訂的合同內(nèi)容，以及合同中被定義為不可公開、或者秘密的內(nèi)容。各類信息化應(yīng)用項目的各個階段執(zhí)行的資料、 總結(jié)， 或者相 關(guān)的附件。5).5). 所有標(biāo)識為“機(jī)密” 、“絕密”、“秘密”等其他與計算機(jī)或者信息化相關(guān)的信息。 4.04.0 安全管理

7、要求1).1). 安全培訓(xùn)各駐場服務(wù) sslssl,負(fù)責(zé)對駐場工程師含備份工程師員進(jìn)行信息安全和使用的宣貫和培訓(xùn)工作；所有新到的員工，首先應(yīng)對其進(jìn)行項目信息安全意識的培訓(xùn)；對于授權(quán)合作伙伴的人員， 要確保其理解和承擔(dān)信息安全的 責(zé)任和義務(wù) ; ;2).2). 對信息披露的控制未獲得許可， 不允許私自帶領(lǐng)公司或者客戶方企業(yè)之外或本 項目組成員無關(guān)的人員參觀保密區(qū)域；未獲得許可， 不允許對外介紹公司或者客戶方企業(yè)現(xiàn)有的應(yīng) 用系統(tǒng)，應(yīng)用的技術(shù)細(xì)節(jié)，應(yīng)用效果等(有合作項目，并承擔(dān)了 保密義務(wù)的情況除外) ；未獲得許可， 不允許對外透露應(yīng)用的軟件的名稱、 數(shù)量和分 布等信息；未獲得許可， 不允許對外透露硬件的名稱， 數(shù)量和分布等信 息；5.05.0 其他相關(guān)規(guī)定各類計算機(jī)或者網(wǎng)絡(luò)設(shè)備接入的要求： 請遵循客戶方相關(guān) itit 管理規(guī)定6.06.0 信息安全的審計項目經(jīng)理負(fù)責(zé)每月對各平臺項目實施團(tuán)隊進(jìn)行信息應(yīng)用安 全的審計和評價工作， 對出現(xiàn)問題的平臺和授權(quán)子商按照相應(yīng)規(guī) 定進(jìn)行處罰和通報。7.07.0 涉密電子信息泄密的處罰1).1).