信息安全管理制度全

1、信息安全管理制度一、總則為了進(jìn)一步加強(qiáng)公司信息安全管理，根據(jù)公司的要求和保密規(guī)定，結(jié)合公司實(shí)際情況，特制定本制度。二、信息管理員職責(zé)1、公司負(fù)責(zé)信息安全的職能部門為XX。2、公司設(shè)置專人為信息管理員，負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的運(yùn)行維護(hù)管理。3、負(fù)責(zé)公司計(jì)算機(jī)的系統(tǒng)安裝、備份、維護(hù)。4、負(fù)責(zé)督促各部及時(shí)對(duì)計(jì)算機(jī)中的數(shù)據(jù)進(jìn)行備份。5、負(fù)責(zé)計(jì)算機(jī)病毒入侵防范工作。6、定期對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全檢查。7、違規(guī)對(duì)外聯(lián)網(wǎng)的監(jiān)控，信息安全的監(jiān)督。8、負(fù)責(zé)組織計(jì)算機(jī)使用人進(jìn)行內(nèi)部網(wǎng)絡(luò)使用規(guī)范的宣傳教育和培訓(xùn)工作。9、負(fù)責(zé)與上級(jí)管理部門聯(lián)絡(luò)工作，參加上級(jí)組織的各類培訓(xùn)，并及時(shí)上報(bào)相關(guān)報(bào)表。三、管理制度（一）密級(jí)制度從

2、保密性角度，公司對(duì)于信息分成兩大類：公開信息和保密信息。1、公開信息：公司已對(duì)外公開發(fā)布的信息，如公司宣傳冊(cè)、產(chǎn)品或公司介紹視頻等。2、保密信息：公司僅允許在一定范圍內(nèi)發(fā)布的信息，一旦泄露，將可能給公司或相關(guān)方造成不良影響。比如公司投資計(jì)劃等。3、保密信息密級(jí)劃分根據(jù)信息價(jià)值、影響及發(fā)放范圍的不同，公司將保密信息劃分為絕密、機(jī)密、秘密、內(nèi)部公開四個(gè)級(jí)別。絕密信息：關(guān)系公司前途和命運(yùn)的公司最重要、最敏感的信息，對(duì)公司根本利益有著決定性影響的保密信息，如：公司訂單，研發(fā)資料，重大投資決議等。機(jī)密信息：公司重要秘密，一旦泄露將使公司利益受到嚴(yán)重?fù)p害的保密信息,如：未發(fā)布的任命文件，公司財(cái)務(wù)分析報(bào)告等

3、文件。秘密信息：公司一般性信息，但一旦泄露會(huì)使公司利益受到損害的保密信息，如：人事檔案，供應(yīng)商選擇評(píng)估標(biāo)準(zhǔn)等文件。內(nèi)部公開：僅在公司內(nèi)部公開或僅在公司某一個(gè)部門內(nèi)公開，對(duì)外泄露可能會(huì)使公司利益造成損害的保密信息的保密信息，如：年度培訓(xùn)計(jì)劃，員工手冊(cè)，各種規(guī)章制度等。4、密級(jí)標(biāo)識(shí)創(chuàng)建文檔時(shí)，需要根據(jù)內(nèi)容在頁眉處添加正確的密級(jí)，頁腳處注明“XX機(jī)密，未經(jīng)許可不得擴(kuò)散”或類似字樣。電子檔及打印文檔皆須包含上述字樣。（二）人員安全1、外來人員根據(jù)來訪性質(zhì)，可將來訪人員分為兩類，1）預(yù)約來訪人員：計(jì)劃內(nèi)來訪，指公司相關(guān)接待部門事先已明確來訪人員的相關(guān)信息（單位、姓名及人數(shù)等）、來訪時(shí)間及來訪事由的情況。

4、2）臨時(shí)來訪人員：計(jì)劃外來訪，指即公司接待部門事先不清楚來訪人員的相關(guān)信息、來訪時(shí)間及來訪事由的情況?！芭R時(shí)出入卡”顏色標(biāo)識(shí)、21）客戶：紅色貴賓來訪卡2）供應(yīng)商：藍(lán)色來訪卡3）應(yīng)聘或其它人員：黃色來訪卡3、接待流程1）預(yù)約來訪人員A:來訪人員不需進(jìn)入辦公或生產(chǎn)區(qū)接待流程如下： XX接待人員填寫接待申請(qǐng)單。 來訪人員到公司前臺(tái)，前臺(tái)核實(shí)身份后發(fā)“臨時(shí)出入卡”來訪人員留下有效證件。 員工與來訪人員在大堂接待區(qū)或其他外部接待區(qū)會(huì)談。 來訪人員到前臺(tái)交還卡并領(lǐng)回證件，前臺(tái)填寫確認(rèn)單。 流程結(jié)束。B：來訪人員需要進(jìn)入辦公或生產(chǎn)區(qū) XX接待人員填寫接待申請(qǐng)單。 來訪人員到前臺(tái)，前臺(tái)核實(shí)身份后發(fā)“臨時(shí)出入

5、卡”并在單中記錄，來訪人員留下有效證件，前臺(tái)確認(rèn)進(jìn)入時(shí)間。前臺(tái)將來訪人員交接給接待人員。 會(huì)談結(jié)束，接待人員將來訪人員送至大堂前臺(tái)，前臺(tái)確認(rèn)離開時(shí)間、陪同情況，來訪人員還卡并領(lǐng)回證件，前臺(tái)填寫確認(rèn)單。 流程結(jié)束。2）臨時(shí)來訪人員一般情況下，臨時(shí)來訪的會(huì)談地點(diǎn)應(yīng)安排在辦公區(qū)域之外，如確因工作需要需進(jìn)入辦公或生產(chǎn)區(qū)域，需按預(yù)約來訪流程，由接待人填單并經(jīng)權(quán)簽人審批。具體流程： 外來人員到訪。 前臺(tái)電話通知XX接待人員。 XX接待人員是否安排接待？ （否）接待人員向來訪者說明情況，流程結(jié)束。 （是）轉(zhuǎn)“預(yù)約來訪人員”接待流程，由接待人員填寫“接待申請(qǐng)單”。4、流程各方責(zé)任1）業(yè)務(wù)部門業(yè)務(wù)部門接待人員應(yīng)

6、事先按格式要求填寫“接待申請(qǐng)單”，并確保填寫信息準(zhǔn)確；業(yè)務(wù)部門接待人應(yīng)按要求到大堂前臺(tái)接待來賓，并覆行全程接待陪同義務(wù)。進(jìn)入地點(diǎn)需與出門地點(diǎn)一致。業(yè)務(wù)部門權(quán)簽人（由各部門自行維護(hù)），對(duì)外來人員進(jìn)入研發(fā)區(qū)、辦公區(qū)或生產(chǎn)區(qū)申請(qǐng)審批的真實(shí)性及合理性負(fù)責(zé)。2）前臺(tái)、接待責(zé)任人大堂前臺(tái)應(yīng)根據(jù)來訪人員信息及審批狀態(tài)，核實(shí)無誤后，方可發(fā)放“來訪卡”，并在單中記錄。來訪人員離開時(shí)，如實(shí)在單中記錄還卡情況、接待人員陪同等信息。特別注意，接待單中若注明“不需進(jìn)入辦公或廠區(qū)”的，或雖已注明但權(quán)簽人未審批通過的，接待只能在大堂或其他公共區(qū)域進(jìn)行，外來人員不得進(jìn)入研發(fā)區(qū)域、生產(chǎn)區(qū)域和辦公區(qū)域。給參觀者強(qiáng)調(diào)應(yīng)妥善保管好自

7、己隨身攜帶的物品，未經(jīng)允許任何人不準(zhǔn)攜帶照相機(jī)、錄像機(jī)、攝像機(jī)等設(shè)備進(jìn)入研發(fā)區(qū)域、生產(chǎn)區(qū)域和辦公區(qū)域。承辦部門接待責(zé)任人須告知參觀者不得在研發(fā)區(qū)域、生產(chǎn)區(qū)域、倉庫區(qū)域、辦公區(qū)域拍照。參觀者不得與接待責(zé)任人之外的管理人員、生產(chǎn)人員等交換名片、聯(lián)系方式等，承辦部門接待責(zé)任人需嚴(yán)令禁止。前臺(tái)需安排來訪人員在接待區(qū)域等候，接待中承辦部門須做好引導(dǎo)和陪同工作，堅(jiān)決杜絕來訪人員隨意在廠區(qū)內(nèi)逗留。未經(jīng)批準(zhǔn)來訪人員不得在廠區(qū)內(nèi)拍照、錄像、攝影，接待結(jié)束時(shí)須目送來訪人員離開廠區(qū)。各業(yè)務(wù)單位來公司聯(lián)系工作的，須在會(huì)議室或指定的區(qū)域內(nèi)接待，相關(guān)職能部門有責(zé)任做好引導(dǎo)和約束工作。陪同人員在陪同過程中不得在授權(quán)范圍外行

8、事。來訪人員未經(jīng)我公司許可不得擅自攜帶本公司樣品、產(chǎn)品出廠。前臺(tái)每月導(dǎo)出一次接待人違規(guī)記錄，包括未還卡、未全程陪同等，違規(guī)者按公司規(guī)定處罰。2、公司員工1 )正式員工工卡丟失、忘帶之類需進(jìn)入公司，不需填寫接待申請(qǐng)單，經(jīng)XX正式員工證實(shí)，前臺(tái)可發(fā)放員工臨時(shí)工卡憑其進(jìn)出，當(dāng)天有效。2 )人員聘用時(shí)需明確員工信息安全責(zé)任，同時(shí)XX部定期組織公司內(nèi)部信息安全的培訓(xùn)和宣導(dǎo)。公司內(nèi)部可能接觸到公司保密信息的員工需要簽署保密協(xié)議。3）凡公司員工均有義務(wù)和責(zé)任防止無關(guān)外來人員進(jìn)入研發(fā)區(qū)、生產(chǎn)區(qū)、辦公區(qū)和倉庫區(qū)，對(duì)方不聽勸阻時(shí)須及時(shí)通知公司領(lǐng)導(dǎo)。（三）研發(fā)區(qū)域1、研發(fā)區(qū)域設(shè)研發(fā)網(wǎng)絡(luò)和研發(fā)公網(wǎng)。2、研發(fā)網(wǎng)絡(luò)與辦公

9、網(wǎng)絡(luò)完全隔離，不能互訪。3、 研發(fā)公網(wǎng)與非研發(fā)辦公網(wǎng)通過VLAN進(jìn)行邏輯上的隔離。4、 研發(fā)公網(wǎng)與非研發(fā)部門數(shù)據(jù)不能互訪，只允許郵件交互。對(duì)研發(fā)公網(wǎng)發(fā)出的郵件進(jìn)行監(jiān)控。5、 研發(fā)網(wǎng)絡(luò)不允許使用internet。研發(fā)公網(wǎng)可以使用internet，對(duì)來自internet的郵件只能收，不能發(fā)。6、進(jìn)入研發(fā)區(qū)域需通過門禁控制。盤等移動(dòng)設(shè)施進(jìn)入。保U、進(jìn)入研發(fā)區(qū)域不準(zhǔn)帶手機(jī)、相機(jī)、7安值守，隨機(jī)抽查。8、研發(fā)區(qū)域?qū)嵤╅T禁控制，僅授權(quán)人員才能進(jìn)入。9 、研發(fā)網(wǎng)絡(luò)使用的PC，設(shè)安全機(jī)箱，將可能接觸到的COM口、USB口、網(wǎng)口全部鎖住。10 、研發(fā)圖紙?zhí)峤粚?duì)應(yīng)PM，PM建立一個(gè)共享文件夾，設(shè)置訪問權(quán)限，僅限項(xiàng)

10、目組成員訪問。11 、領(lǐng)用樣機(jī)時(shí)有資產(chǎn)管理，測試只能在指定區(qū)域進(jìn)行測試，不能帶出。12 、研發(fā)人員離職嚴(yán)格按照XX部離職流程相關(guān)規(guī)定執(zhí)行，包括工作交接、權(quán)限清理、軟硬件歸還、簽署競業(yè)協(xié)議等。13、研發(fā)人員的終端PC,筆記本需專人管理。（四）制造過程1 、樣品物料實(shí)行臺(tái)賬管理，指定專人管理，樣品離開樣品組采取入庫或有部門主管簽署的領(lǐng)出單發(fā)出，制樣組記錄至臺(tái)賬，制樣組的樣品半成品、成品、制樣治具放入工程部指定的受控區(qū)域保管，定期（一般客戶的機(jī)型轉(zhuǎn)入批量生產(chǎn)后）由工程部向信息安全管理委員會(huì)申請(qǐng)，實(shí)行集中銷毀，并作好記錄。2 、試產(chǎn)和量產(chǎn)物料：物料安排專人負(fù)責(zé)領(lǐng)料、生產(chǎn)、入庫，報(bào)廢品或物料統(tǒng)一經(jīng)ERP

11、系統(tǒng)進(jìn)入不良品倉。定期申報(bào)后，集中銷毀。待產(chǎn)時(shí)，物料放入指定的受控區(qū)域作受控管理，并作好臺(tái)賬登記。3、檢驗(yàn)物料：檢驗(yàn)物料由品質(zhì)部作好樣品臺(tái)賬管理。4、未經(jīng)公司許可，公司員工不得擅自攜帶本公司物料、樣品、產(chǎn)品出廠。（五）IT房管理1 、公司總網(wǎng)絡(luò)機(jī)柜設(shè)置于IT房，大門必須隨時(shí)關(guān)閉上鎖，鑰匙由XX管理。鑰匙保留一份在檔案室，由管理人員存檔并登記。2、任何人進(jìn)入IT房必須通過XX同意，并在其部門員工的陪同下方可進(jìn)入。非信息管理員原則上不得進(jìn)入IT房在機(jī)柜內(nèi)進(jìn)行操作。如遇特殊情況必須操作時(shí)，必須經(jīng)主管部門批準(zhǔn)同意后有關(guān)人員監(jiān)督下進(jìn)行。對(duì)操作內(nèi)容進(jìn)行記錄，由操作人和監(jiān)督人簽字后備查。3、保持機(jī)柜內(nèi)整齊清

12、潔，各種機(jī)器設(shè)備定期進(jìn)行保養(yǎng)，保持清潔光亮。4、IT房嚴(yán)禁攜帶特別是易燃、易爆、有腐蝕等危險(xiǎn)品進(jìn)入室內(nèi)。房進(jìn)食食品。IT不得在5、嚴(yán)禁在通電的情況下拆卸、移動(dòng)機(jī)柜內(nèi)交換機(jī)、服務(wù)器等設(shè)備和部件。6、定期對(duì)機(jī)柜各系統(tǒng)運(yùn)行的情況進(jìn)行檢查，保證機(jī)柜的正常運(yùn)行。7、機(jī)柜內(nèi)已對(duì)內(nèi)、外網(wǎng)交換機(jī)進(jìn)行了明顯的標(biāo)示；對(duì)所有網(wǎng)線按房號(hào)進(jìn)行了標(biāo)示；如有新增必須進(jìn)行標(biāo)示。8、定期檢查機(jī)房消防設(shè)備器材。9.機(jī)房內(nèi)不準(zhǔn)隨意丟棄儲(chǔ)蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料，對(duì)廢棄儲(chǔ)蓄介質(zhì)和業(yè)務(wù)保密資料要及時(shí)銷毀，不得作為普通垃圾處理。嚴(yán)禁機(jī)房內(nèi)的設(shè)備、儲(chǔ)蓄介質(zhì)、資料、工具等私自出借或帶出。1.1 IT房中要保持恒溫、恒濕、電壓穩(wěn)定，做好靜

13、電防護(hù)和防塵等工作，保證主機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。11 .定期對(duì)空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo)（如風(fēng)量、溫升、濕度、潔凈度、溫度上升率等）進(jìn)行測試，并做好記錄，通過實(shí)際測量各項(xiàng)參數(shù)發(fā)現(xiàn)問題及時(shí)解決，保證機(jī)房空調(diào)的正常運(yùn)行。12 .計(jì)算機(jī)機(jī)房后備電源（UPS）除了電池自動(dòng)檢測外，每年必須充放電一次到兩次。13 、服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理人員索取，使用完畢

14、后，須立即更改并封存，同時(shí)在“密碼管理登記簿”中登記。（二）計(jì)算機(jī)設(shè)備管理制度1 、計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境。2、嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。任何人不允許帶電撥插計(jì)算機(jī)外部設(shè)備接口，計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向負(fù)責(zé)部門報(bào)告，不允許私自處理或找非本公司技術(shù)人員進(jìn)行維修及操作。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)主管部門批準(zhǔn)，統(tǒng)一維修。、非本公司人員對(duì)我公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，3必須通知公司信息管理員。信息管理員對(duì)其提出注意事項(xiàng)，“內(nèi)網(wǎng)”電腦維修、維護(hù)時(shí)必須進(jìn)行監(jiān)督。4、對(duì)必須使用“內(nèi)網(wǎng)”的員工申報(bào)公司領(lǐng)導(dǎo)同意后開通。5、每臺(tái)“內(nèi)

15、網(wǎng)”使用的電腦均指定IP地址，落實(shí)使用人，“內(nèi)網(wǎng)”計(jì)算機(jī)使用人應(yīng)經(jīng)過公司領(lǐng)導(dǎo)批準(zhǔn)；“內(nèi)網(wǎng)”電腦必須設(shè)置開機(jī)密碼、勾選“待機(jī)恢復(fù)輸入密碼”。6、密碼應(yīng)定期修改，間隔時(shí)間不得超過二個(gè)月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改。7、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對(duì)密碼立即修改或用戶刪除，同時(shí)在“密碼管理登記簿”中登記。9、將所有外網(wǎng)電腦進(jìn)行IP-MAC綁定，防止“內(nèi)網(wǎng)”用戶誤接入外網(wǎng)造成信息安全隱患。如有新增電腦進(jìn)入外網(wǎng)，必須經(jīng)過主管部門批準(zhǔn)。10 、新入職員工，必須先接受網(wǎng)絡(luò)安全知識(shí)培訓(xùn)后方可上崗工作。權(quán)限部門流程辦理軟硬件、XX應(yīng)及時(shí)按員工職務(wù)變動(dòng)時(shí)，11 的調(diào)整工作

16、。12 、員工離職時(shí)，人力資源應(yīng)及時(shí)通知信息技術(shù)部取消其所有的IT資源使用權(quán)限，回收其電腦并保留一個(gè)星期，若一個(gè)星期之內(nèi)XX部沒有招到新員工頂替，電腦將備份數(shù)據(jù)后入庫。13 、如需要私人計(jì)算機(jī)連接到公司網(wǎng)絡(luò)，需要信息技術(shù)部門授權(quán)并進(jìn)行登記。14 、任何人不得進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)，不得以任何形式訪問公司的其它電腦或者服務(wù)器。（三）數(shù)據(jù)安全1、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須與計(jì)算機(jī)分開存放，并明確落實(shí)備份數(shù)據(jù)的管理人。2、注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放，保證存儲(chǔ)介質(zhì)的物理安全。3、數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。

17、數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行，出現(xiàn)問題時(shí)由相關(guān)部門進(jìn)行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。4、數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存，并確保可以隨時(shí)使用。5、需要長期保存的數(shù)據(jù)，刻錄2張光盤分開存放，并有詳細(xì)的文檔記錄。6、需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。7、送修前，需將設(shè)備存儲(chǔ)介質(zhì)

18、內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除，并進(jìn)行登記。對(duì)修復(fù)的設(shè)備，信息管理員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測和登記。8、管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。9、經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。10、計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來。歷不明的載體（包括軟盤、光盤、移動(dòng)硬盤等）四、處罰有下列行為之一且不限于以下行為的，公司將視情節(jié)輕重給予處罰，對(duì)于觸犯國家法律的，公司將移交國家司法機(jī)關(guān)依法處理。因違反本規(guī)定或進(jìn)行不當(dāng)操作造成計(jì)算機(jī)損壞的，公司可根據(jù)情況，要求當(dāng)事人負(fù)擔(dān)部分或全部維修費(fèi)用。1、擅自泄露公司數(shù)據(jù)的，視情節(jié)輕重，給予警告、辭退或移交司法機(jī)關(guān)等處罰。2、因不備份文件或數(shù)據(jù)導(dǎo)致丟失并影響工作的，給予責(zé)任人警告處罰。3、計(jì)算機(jī)出現(xiàn)問題不及時(shí)報(bào)告導(dǎo)致工作延誤的，給予責(zé)任人警告處罰。4、因疏忽導(dǎo)致計(jì)算機(jī)病毒及其他危害計(jì)算機(jī)網(wǎng)絡(luò)安全的，給予當(dāng)事人警告處罰。5、利用公司計(jì)算機(jī)或網(wǎng)