信息安全管理制度

——10—信息安全治理制度一、總則為了進(jìn)一步加強(qiáng)公司信息安全治理，依據(jù)公司的要求和保密規(guī)定，結(jié)合公司實(shí)際狀況,特制定本制度.二、信息治理員職責(zé)1、公司負(fù)責(zé)信息安全的職能部門為ＸX。2維護(hù)治理。３、負(fù)責(zé)公司計(jì)算機(jī)的系統(tǒng)安裝、備份、維護(hù)。4、負(fù)責(zé)催促各部準(zhǔn)時(shí)對(duì)計(jì)算機(jī)中的數(shù)據(jù)進(jìn)展備份。5、負(fù)責(zé)計(jì)算機(jī)病毒入侵防范工作。6、定期對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全檢查。７、違規(guī)對(duì)外聯(lián)網(wǎng)的監(jiān)控，信息安全的監(jiān)視。8、負(fù)責(zé)組織計(jì)算機(jī)使用人進(jìn)展內(nèi)部網(wǎng)絡(luò)使用標(biāo)準(zhǔn)的宣傳教育和培訓(xùn)工作.9、負(fù)責(zé)與上級(jí)治理部門聯(lián)絡(luò)工作,參與上級(jí)組織的各類培訓(xùn),并準(zhǔn)時(shí)上報(bào)相關(guān)報(bào)表．三、治理制度〔一)密級(jí)制度從保密性角度,公司對(duì)于信息分成兩大類：公開信息和保密信息。１、公開信息：公司已對(duì)外公開公布的信息，如公司宣傳冊(cè)、產(chǎn)品或公司介紹視頻等．2、保密信息:公司僅允許在肯定范圍內(nèi)公布的信息,一旦泄露,將可能給公司或相關(guān)方造成不良影響.比方公司投資打算等。3、保密信息密級(jí)劃分依據(jù)信息價(jià)值、影響及發(fā)放范圍的不同，公司將保密信息劃分為絕密、機(jī)密、隱秘、內(nèi)部公開四個(gè)級(jí)別．絕密信息:關(guān)系公司前途和命運(yùn)的公司最重要、最敏感的信息，重大投資決議等。機(jī)密信息:公司重要隱秘，一旦泄露將使公司利益受到嚴(yán)峻損害的保密信息，如:未公布的任命文件，公司財(cái)務(wù)分析報(bào)告等文件。隱秘信息：公司一般性信息，但一旦泄露會(huì)使公司利益受到損害的保密信息,如:人事檔案，供給商選擇評(píng)估標(biāo)準(zhǔn)等文件。內(nèi)部公開:僅在公司內(nèi)部公開或僅在公司某一個(gè)部門內(nèi)公開,對(duì)外泄露可能會(huì)使公司利益造成損害的保密信息的保密信息,如：年度培訓(xùn)打算,員工手冊(cè),各種規(guī)章制度等。4、密級(jí)標(biāo)識(shí)創(chuàng)立文檔時(shí),需要依據(jù)內(nèi)容在頁(yè)眉處添加正確的密級(jí)，頁(yè)腳處注明“XX機(jī)密,未經(jīng)許可不得集中”或類似字樣.電子檔及打印文檔皆須包含上述字樣?！捕橙藛T安全1、外來(lái)人員依據(jù)來(lái)訪性質(zhì),可將來(lái)訪人員分為兩類,１〕預(yù)約來(lái)訪人員：打算內(nèi)來(lái)訪，指公司相關(guān)接待部門事先已明確來(lái)訪人員的相關(guān)信息(單位姓名及人數(shù)等來(lái)訪時(shí)間及來(lái)訪事由的狀況.2) 打算外來(lái)訪，指即公司接待部門事先不清楚來(lái)訪人員的相關(guān)信息、來(lái)訪時(shí)間及來(lái)訪事由的狀況.1〕客戶：紅色貴賓來(lái)訪卡２〕供給商：藍(lán)色來(lái)訪卡應(yīng)聘或其它人員：黃色來(lái)訪卡３、接待流程預(yù)約來(lái)訪人員A:來(lái)訪人員不需進(jìn)入辦公或生產(chǎn)區(qū)接待流程如下:XX接待人員填寫接待申請(qǐng)單。②來(lái)訪人員留下有效證件。員工與來(lái)訪人員在大堂接待區(qū)或其他外部接待區(qū)會(huì)談。來(lái)訪人員到前臺(tái)交還卡并領(lǐng)回證件，前臺(tái)填寫確認(rèn)單.⑤流程完畢。B：來(lái)訪人員需要進(jìn)入辦公或生產(chǎn)區(qū)XX接待人員填寫接待申請(qǐng)單。②來(lái)訪人員到前臺(tái)，前臺(tái)核實(shí)身份后發(fā)“臨時(shí)出入卡＂并在單中記錄，來(lái)訪人員留下有效證件，前臺(tái)確認(rèn)進(jìn)入時(shí)間。前臺(tái)將來(lái)訪人員交接給接待人員.④會(huì)談完畢，接待人員將來(lái)訪人員送至大堂前臺(tái),前臺(tái)確認(rèn)離開時(shí)間、伴隨狀況，來(lái)訪人員還卡并領(lǐng)回證件,前臺(tái)填寫確認(rèn)單。⑤流程完畢.外,如確因工作需要需進(jìn)入辦公或生產(chǎn)區(qū)域，需按預(yù)約來(lái)訪流程，由接待人填單并經(jīng)權(quán)簽人審批.具體流程:外來(lái)人員到訪。前臺(tái)通知ＸX接待人員．XX接待人員是否安排接待?(否)接待人員始終訪者說(shuō)明狀況，流程完畢。⑤4、流程各方責(zé)任業(yè)務(wù)部門并確保填寫信息準(zhǔn)確;業(yè)務(wù)部門接待人應(yīng)按要求到大堂前臺(tái)接待來(lái)賓,并覆行全程接待伴隨義務(wù).進(jìn)入地點(diǎn)需與出門地點(diǎn)全都。業(yè)務(wù)部門權(quán)簽人〔由各部門自行維護(hù))，對(duì)外來(lái)人員進(jìn)入研發(fā)區(qū)、辦公區(qū)或生產(chǎn)區(qū)申請(qǐng)審批的真實(shí)性及合理性負(fù)責(zé).前臺(tái)、接待責(zé)任人大堂前臺(tái)應(yīng)依據(jù)來(lái)訪人員信息及審批狀態(tài)，核實(shí)無(wú)誤后，方可發(fā)放“來(lái)訪卡“，并在單中記錄．來(lái)訪人員離開時(shí),照實(shí)在單中記錄還卡狀況、接待人員伴隨等信息.雖已注明但權(quán)簽人未審批通過的，接待只能在大堂或其他公共區(qū)域進(jìn)展,外來(lái)人員不得進(jìn)入研發(fā)區(qū)域、生產(chǎn)區(qū)域和辦公區(qū)域。給參觀者強(qiáng)調(diào)應(yīng)妥當(dāng)保管好自己隨身攜帶的物品，未經(jīng)允許任何人不準(zhǔn)攜帶照相機(jī)、錄像機(jī)、攝像機(jī)等設(shè)備進(jìn)入研發(fā)區(qū)域、生產(chǎn)區(qū)域和辦公區(qū)域．承辦部門接待責(zé)任人須告知參觀者不得在研發(fā)區(qū)域、生產(chǎn)區(qū)域、倉(cāng)庫(kù)區(qū)域、辦公區(qū)域拍照。參觀者不得與接待責(zé)任人之外的治理人員、生產(chǎn)人員等交換名片、聯(lián)系方式等，承辦部門接待責(zé)任人需嚴(yán)令制止.前臺(tái)需安排來(lái)訪人員在接待區(qū)域等候，接待中承辦部門須做好引導(dǎo)和伴隨工作,堅(jiān)決杜絕來(lái)訪人員隨便在廠區(qū)內(nèi)逗留。未經(jīng)批準(zhǔn)來(lái)訪人員不得在廠區(qū)內(nèi)拍照、錄像、攝影,接待完畢時(shí)須目送來(lái)訪人員離開廠區(qū)。各業(yè)務(wù)單位來(lái)公司聯(lián)系工作的,須在會(huì)議室或指定的區(qū)域內(nèi)接待，相關(guān)職能部門有責(zé)任做好引導(dǎo)和約束工作。伴隨人員在伴隨過程中不得在授權(quán)范圍外行事。來(lái)訪人員未經(jīng)我公司許可不得擅自攜帶本公司樣品、產(chǎn)品出廠。前臺(tái)每月導(dǎo)出一次接待人違規(guī)記錄，包括未還卡、未全程伴隨等,違規(guī)者按公司規(guī)定懲罰。2、公司員工１)正式員工工卡喪失、忘帶之類需進(jìn)入公司,不需填寫接待申請(qǐng)單,經(jīng)XX正式員工證明,前臺(tái)可發(fā)放員工臨時(shí)工卡憑其進(jìn)出，當(dāng)天有效。人員聘用時(shí)需明確員工信息安全責(zé)任,同時(shí)ＸX司內(nèi)部信息安全的培訓(xùn)和宣導(dǎo)。公司內(nèi)部可能接觸到公司保密信息的員工需要簽署保密協(xié)議。3產(chǎn)區(qū)、辦公區(qū)和倉(cāng)庫(kù)區(qū),對(duì)方不聽勸阻時(shí)須準(zhǔn)時(shí)通知公司領(lǐng)導(dǎo)。〔三〕研發(fā)區(qū)域1、研發(fā)區(qū)域設(shè)研發(fā)網(wǎng)絡(luò)和研發(fā)公網(wǎng)。2、研發(fā)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)完全隔離，不能互訪。3、研發(fā)公網(wǎng)與非研發(fā)辦公網(wǎng)通過ＶLAN進(jìn)展規(guī)律上的隔離.４、研發(fā)公網(wǎng)與非研發(fā)部門數(shù)據(jù)不能互訪,只允許郵件交互。對(duì)研發(fā)公網(wǎng)發(fā)出的郵件進(jìn)展監(jiān)控。5ｉｎtｅｒｎｔｒｎｅtintｅrnｅt６、進(jìn)入研發(fā)區(qū)域需通過門禁掌握。7U值守,隨機(jī)抽查。8、研發(fā)區(qū)域?qū)嵤╅T禁掌握,僅授權(quán)人員才能進(jìn)入.9PCＯＭ口、USB10、研發(fā)圖紙?zhí)峤粚?duì)應(yīng)PM，PＭ建立一個(gè)共享文件夾，設(shè)置訪問權(quán)限,僅限工程組成員訪問.11、領(lǐng)用樣機(jī)時(shí)有資產(chǎn)治理,測(cè)試只能在指定區(qū)域進(jìn)展測(cè)試，不能帶出。12、研發(fā)人員離職嚴(yán)格依據(jù)ＸＸ部離職流程相關(guān)規(guī)定執(zhí)行,包括工作交接、權(quán)限清理、軟硬件歸還、簽署競(jìng)業(yè)協(xié)議等。13PC，筆記本需專人治理。〔四〕制造過程1入庫(kù)或有部門主管簽署的領(lǐng)出單發(fā)出,制樣組記錄至臺(tái)賬，制樣組的樣品半成品、成品、制樣治具放入工程部指定的受控區(qū)域保管，定期〔一般客戶的機(jī)型轉(zhuǎn)入批量生產(chǎn)后，由工程部向信息安全治理委員會(huì)申請(qǐng),實(shí)行集中銷毀，并作好記錄.２、試產(chǎn)和量產(chǎn)物料:物料安排專人負(fù)責(zé)領(lǐng)料、生產(chǎn)、入庫(kù)，報(bào)廢品或物料統(tǒng)一經(jīng)ERP產(chǎn)時(shí)，物料放入指定的受控區(qū)域作受控治理,并作好臺(tái)賬登記。3、檢驗(yàn)物料：檢驗(yàn)物料由品質(zhì)部作好樣品臺(tái)賬治理。4、未經(jīng)公司許可,公司員工不得擅自攜帶本公司物料、樣品、產(chǎn)品出廠。〔五〕IT1、公司總網(wǎng)絡(luò)機(jī)柜設(shè)置于IT房，大門必需隨時(shí)關(guān)閉上鎖,鑰匙由ＸX２、任何人進(jìn)入IＴ房必需通過XX下方可進(jìn)入。非信息治理員原則上不得進(jìn)入IT房在機(jī)柜內(nèi)進(jìn)展操作。如遇特別狀況必需操作時(shí),必需經(jīng)主管部門批準(zhǔn)同意后有關(guān)人員監(jiān)視下進(jìn)展。對(duì)操作內(nèi)容進(jìn)展記錄，由操作人和監(jiān)視人簽字后備查。3光亮。4、ＩT房嚴(yán)禁攜帶特別是易燃、易爆、有腐蝕等危急品進(jìn)入室IT5、嚴(yán)禁在通電的狀況下拆卸、移動(dòng)機(jī)柜內(nèi)交換機(jī)、效勞器等設(shè)備和部件。6、定期對(duì)機(jī)柜各系統(tǒng)運(yùn)行的狀況進(jìn)展檢查，保證機(jī)柜的正常運(yùn)行。7房號(hào)進(jìn)展了標(biāo)示；如有增必需進(jìn)展標(biāo)示。８、定期檢查機(jī)房消防設(shè)備器材.9棄儲(chǔ)蓄介質(zhì)和業(yè)務(wù)保密資料要準(zhǔn)時(shí)銷毀，不得作為一般垃圾處理。嚴(yán)禁機(jī)房?jī)?nèi)的設(shè)備、儲(chǔ)蓄介質(zhì)、資料、工具等私自出借或帶出。I等工作,保證主機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。定期對(duì)空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo)〔干凈度、溫度上升率等)進(jìn)展測(cè)試，并做好記錄,通過實(shí)際測(cè)量各項(xiàng)參數(shù)覺察問題準(zhǔn)時(shí)解決,保證機(jī)房空調(diào)的正常運(yùn)行。計(jì)算機(jī)機(jī)房后備電源〔ＵPS)除了電池自動(dòng)檢測(cè)外,每年必需充放電一次到兩次。13、效勞器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人(不參與系統(tǒng)開發(fā)和維護(hù)的人員)設(shè)置和治理,并由密碼設(shè)置人員將密碼裝入密碼信封,在騎縫處加蓋個(gè)人名章或簽字后交給經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼治理人員索取，使用完畢后,須馬上更改并封存，同時(shí)在“密碼治理登記簿”中登記．(二)計(jì)算機(jī)設(shè)備治理制度1、計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境。２、嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和機(jī)消滅故障時(shí)應(yīng)準(zhǔn)時(shí)向負(fù)責(zé)部門報(bào)告，不允許私自處理或找非本公司技術(shù)人員進(jìn)展修理及操作。計(jì)算機(jī)設(shè)備送外修理,須經(jīng)主管部門批準(zhǔn),統(tǒng)一修理。3、非本公司人員對(duì)我公司的設(shè)備、系統(tǒng)等進(jìn)展修理、維護(hù)時(shí)，修理、維護(hù)時(shí)必需進(jìn)展監(jiān)視。

內(nèi)網(wǎng)“電腦4、對(duì)必需使用“內(nèi)網(wǎng)”的員工申報(bào)公司領(lǐng)導(dǎo)同意后開通。６、密碼應(yīng)定期修改,間隔時(shí)間不得超過二個(gè)月，如覺察或疑心密碼遺失或泄漏應(yīng)馬上修改.7、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定?！懊艽a治理登記簿”中登記。9、將全部外網(wǎng)電腦進(jìn)展IP—MＡC入外網(wǎng)造成信息安全隱患。如有增電腦進(jìn)入外網(wǎng)，必需經(jīng)過主管部門批準(zhǔn)。10、入職員工，必需先承受網(wǎng)絡(luò)安全學(xué)問培訓(xùn)前方可上崗工作。1１XＸ部門流程辦理軟硬件、權(quán)限的調(diào)整工作。12、員工離職時(shí),人力資源應(yīng)準(zhǔn)時(shí)通知信息技術(shù)部取消其全部的IT資源使用權(quán)限,回收其電腦并保存一個(gè)星期，假設(shè)一個(gè)星期之內(nèi)XＸ部沒有招到員工頂替，電腦將備份數(shù)據(jù)后入庫(kù)。1２、如需要私人計(jì)算機(jī)連接到公司網(wǎng)絡(luò)，需要信息技術(shù)部門授權(quán)并進(jìn)展登記。1３、任何人不得進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù),不得以任何形式訪問公司的其它電腦或者效勞器．〔三)數(shù)據(jù)安全1算機(jī)分開存放，并明確落實(shí)備份數(shù)據(jù)的治理人。2質(zhì)的物理安全。3、數(shù)據(jù)恢復(fù)前,必需對(duì)原環(huán)境的數(shù)據(jù)進(jìn)展備份,防止有用數(shù)據(jù)的喪失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格依據(jù)數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行,消滅問題時(shí)由保數(shù)據(jù)恢復(fù)的完整性和可用性。4、數(shù)據(jù)清理前必需對(duì)數(shù)據(jù)進(jìn)展備份，在確認(rèn)備份正確前方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要依據(jù)備份策略進(jìn)展定期保存或永久保存，并確?？梢噪S時(shí)使用。5、需要長(zhǎng)期保存的數(shù)據(jù),刻錄2張光盤分開存放,并有具體的文檔記錄。6案,依據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)展轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性.轉(zhuǎn)存的數(shù)據(jù)必需有具體的文檔記錄。7、送修前，需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)治理的信息備份后刪除,并進(jìn)展登記。對(duì)修復(fù)的設(shè)備，信息治理員應(yīng)對(duì)設(shè)備進(jìn)展驗(yàn)收、病毒檢測(cè)和登記。８、治理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)展備份后去除,并妥當(dāng)處理廢棄無(wú)用的資料和介質(zhì)，防止泄密.9、常常進(jìn)展計(jì)算機(jī)病毒檢查,覺察病毒準(zhǔn)時(shí)去除。1０、計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來(lái)歷不明的載體〔包括軟盤、光盤、移動(dòng)硬盤等。四、懲罰有以下行為之一且不限于以下行為的,公司將視情節(jié)輕重賜予懲罰,對(duì)于觸犯國(guó)家法律的,公司將移交國(guó)家司法機(jī)關(guān)依法處理。因違反本規(guī)定或進(jìn)展不當(dāng)操作造成計(jì)算機(jī)損壞的，公司可依據(jù)狀況,要求當(dāng)事人負(fù)擔(dān)部分或全部修理費(fèi)用。1、擅自泄露公司數(shù)據(jù)的,視情節(jié)輕重,賜予警告、辭退或移交司法機(jī)關(guān)等懲罰。2、因不備份文件或數(shù)據(jù)導(dǎo)致喪失并影響工作的，賜予責(zé)任人警告處罰。3、計(jì)算機(jī)消滅問題不準(zhǔn)時(shí)報(bào)告導(dǎo)致工作延誤的,賜予責(zé)任人警告處罰。4、因疏忽導(dǎo)致計(jì)算機(jī)病毒及其他危害計(jì)算機(jī)網(wǎng)絡(luò)安全的，賜予當(dāng)事人警告懲罰。5、利用公司計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)展與工作