信息安全管理規(guī)范

本文格式為Word版，下載可任意編輯——信息安全管理規(guī)范

附件一、《四川強力建筑機械有限公司信息安全管理制度建議（參考）》

一、總則

為了加強計算機信息的保密和安全管理，確保公司信息系統(tǒng)的正常運行和公司核心數(shù)字知識產(chǎn)權(quán)的保護，根據(jù)《信息安全管理體系要求（ISO27001）》和《信息安全管理體系實施指南（ISO17799/BS7799）》，結(jié)合本公司的實際狀況，特制定本規(guī)定。

凡使用本公司涉密計算機信息系統(tǒng)進行信息存儲、處理、傳遞的部門和個人，都應(yīng)當遵守本規(guī)定。

計算機信息系統(tǒng)的保密和安全管理，實行控制源頭、歸口管理、分級負責、突出重點和有利工作的原則。

信息中心負責涉密內(nèi)網(wǎng)計算機信息系統(tǒng)的保密技術(shù)體系的建設(shè)；信息中心和公司行政部門負責涉密內(nèi)網(wǎng)信息系統(tǒng)的保密監(jiān)視和檢查；信息中心專兼職保密及技術(shù)人員負責實施系統(tǒng)的運行及安全保密技術(shù)，各相關(guān)涉密部門應(yīng)當指派兼職人員，協(xié)助進行涉密信息系統(tǒng)的管理工作。

二、信息的保密管理規(guī)范

任何人和部門在涉密計算機信息系統(tǒng)工作和處理公司信息，應(yīng)當確保在涉密工作模式下進行相關(guān)的業(yè)務(wù)工作，主動將文件存儲在指定的保密區(qū)域中，在未經(jīng)管理員的許可下，不得以任何手段將涉密文件帶出保密區(qū)域。

在涉密計算機信息系統(tǒng)中，不得私自建立除單位網(wǎng)絡(luò)外的其它網(wǎng)絡(luò)連接，如通過手機撥號、MODEM撥號和無線等方式建立新連接，嚴緊以任何方式私自連接到互聯(lián)網(wǎng)或者非本單位的網(wǎng)絡(luò)。

不得私自將外部計算機終端處理設(shè)備（包括PDA和筆記本等）通過交換機網(wǎng)絡(luò)或者對等網(wǎng)絡(luò)連接（網(wǎng)線交織直聯(lián)）接入涉密計算機信息系統(tǒng)中。

各種存儲設(shè)備（指計算機硬盤、移動硬盤、U盤、軟盤、磁帶及其它設(shè)備），未經(jīng)允許或者未經(jīng)管理員注冊的計算機信息媒體或載體，一律不得在涉密信息網(wǎng)絡(luò)中使用。在涉密計算機上使用移動存儲設(shè)備必需有詳細的登記和使用記錄，包括何時使用，進行了哪些操作等等。

通過移動存儲設(shè)備進行涉密信息的交換，必需在指定的范圍內(nèi)的計算機和人員中進行，不得通過移動存儲設(shè)備將涉密信息帶出到非涉密網(wǎng)絡(luò)中。

涉密計算機終端的硬件設(shè)備和軟件程序是公司的重要資產(chǎn)，未經(jīng)管理人員同意，任何人不得隨意拆卸和更換設(shè)備，也不得隨意安裝應(yīng)用軟件。

公司有權(quán)對涉密計算機信息網(wǎng)絡(luò)采取系統(tǒng)安全保密監(jiān)控管理等技術(shù)措施，針對不同人員和計算機權(quán)限進行授權(quán)管理，并對內(nèi)部人員的操作進行詳細的日志審計功能（包括打印、文件操作和網(wǎng)絡(luò)訪問等），防止進行違規(guī)操作，保護公司的數(shù)字知識產(chǎn)權(quán)和信息網(wǎng)絡(luò)的正常運行。

員工離職或者調(diào)離所在部門的時候，必需通過信