企业安全信息管理制度
在不断进步的社会中,很多情况下我们都会接触到制度,制度是要求成员共同遵守的规章或准则。那么拟定制度真的很难吗?以下是小编帮大家整理的企业安全信息管理制度,仅供参考,希望能够帮助到大家。
企业安全信息管理制度1
一、总则
为了保护企业的信息安全,特订立本制度,望全体员工遵照执行。
二、计算机管理要求
1、IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。
2、公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由计算机负责人承担。
3、计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。
4、日常保养内容
A、计算机表面保持清洁。
B、应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性。
C、下班不用时,应关闭主机电源。
5、计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司或个人存放。
6、禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7、计算机的内部调用
A、IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移或调换。
B、计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理签字认可后交IT管理员存档。
8、计算机报废
A、计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。
B、报废的计算机残件由IT管理员回收,组织人员一次性处理。
C、计算机报废的条件:
(1)主要部件严重损坏,无升级和维修价值。
(2)修理或改装费用超过或接近同等效能价值的设备。
三、环境管理
1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。
2、应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机周围。
3、服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进入。
四、软件管理和防护
1、职责:
A、IT管理员负责软件的开发购买保管、安装、维护、删除及管理。
B、计算机负责人负责软件的使用及日常维护。
2、使用管理:
A、计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办公软件安装正版office专业版套装、正版ERP管理系统,制图软件安装正版CAD专业版,杀毒软件安装安全杀毒套装,邮件软件安装闪电邮,及自主开发等各种正版及绿色软件。
B、禁止私自下载或安装软件、游戏、电影等,如工作需要安装或删除软件时,向IT管理员提出申请,经检查符合要求的软件由IT管理部员或在IT管理员的监督下进行安装或删除。
C、计算机负责人应管理好计算机的`操作系统或软件的用户名、工号、密码。若调整工作岗位,应及时通知IT管理部员更改相关权限。不得盗用他人用户名和密码登录计算机,或更改、破坏他人的文件资料,做好局域网上共享文件夹的密码保护工作。
D、计算机负责人应及时做好业务相关软件的应用程序数据备份(刻录光盘),防止因机器故障或被误删除而引起文件丢失。
E、计算机软件在使用过程中如发现异常或出现错误代码时,计算机负责人应及时上报IT管理员进行处理。
3、升级、防护:
A、如操作系统、软件需要更新及版本升级,则由IT管理员负责升级安装、购买等。
B、U盘、软盘在使用前,必须先采用杀毒软件进行扫描杀毒,无病毒后再使用。
C、由IT管理员协助计算机负责人对计算机进行病毒、木马程序检测和清理工作,要求定期更新杀毒软件。
五、硬件维护
1、要求:
A、IT管理部员负责计算机或相关电脑设备的维护。
B、对硬件进行维护的人员在拆卸计算机时,必须采取必要的防静电措施。
C、对硬件进行维护的人员在作业完成后或准备离去时,必须将所拆卸的设备复原。
D、对于关键的计算机设备应配备必要的断电、继电保护电源。
E、IT管理部员应按设备说明书进行日常维护,每月一次。
2、维护:
A、计算机的使用、清洁和保养工作,由计算机负责人负责。
B、IT管理员必须经常检查计算机及外设的状况,及时发现和解决问题。
六、网络管理
1、禁止浏览或登入反动、色情、邪教等不明非法网站、浏览非法信息以及利用电子信箱收发有关上述内容的邮件;不得通过互联网或光盘下载安装传播病毒以及黑客程序。
2、禁止私自将公司的受控文件及数据上传网络与拷贝传播。
七、维修流程当计算机出现故障时,应立即停止操作,上报公司IT管理员,填写《公司电脑维修记录表》;由IT管理员负责维修。
八、奖惩办法由于计算机设备是我们工作中的重要工具。因此,IT管理员将计算机的管理纳入对各计算机负责人的绩效考核范围,并将严格实行。从本制度公布之日起:
1、凡是发现以下行为,IT管理员有权根据实际情况处罚并追究当事人及其直接领导的责任,严重的则交由上级部门领导对其处理。
A、私自安装和使用未经许可的软件(含游戏、电影),每个软件罚________元。
B、计算机具有密码功能却未使用,每次罚________元。
C、下班后,计算机未退出系统或关闭显示器的,每次罚________元。
D、擅自使用他人计算机或外设造成不良影响的,每次罚________元。
E、浏览登入反动、色情、邪教等不明非法网站,传播非法邮件的,每次罚________元。
F、如有私自或没有经过IT管理部审核更换计算机IP地址的,每次罚________元。
G、如有拷贝受控文件及数据,故意删除共享资料软件及计算机数据的,按损失酌情进行处罚。
2、凡发现由于:违章作业,保管不当,擅自安装、使用硬件和电气装置,而造成硬件的损坏或丢失的,其损失由责任人赔偿硬件价值的全部费用。
九、附则
1、本制度为公司计算机管理制度,要求每一位计算机负责人和员工都必须遵守该制度。
2、本制度由行政部负责编制与修改。
3、本制度由公司总经理批准后执行。
企业安全信息管理制度2
第一章 总则
第一条 为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章 管理机构与职责
第六条 公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条 公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:
(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条 成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条 保密办主要职责:
(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;
(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;
(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;
(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;
(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
小组批准后组织实施,确保安全技术措施有效、可靠;
(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;
(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责; “三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;
(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条 党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条 相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章 系统建设管理
第十四条 规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条 涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条 涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条 对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第四章 信息管理
第一节 信息分类与控制
第十八条 涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的.涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条 涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条 向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节 用户管理与授权
第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条 用户清单管理
(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;
(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条 国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条 上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章 便携式计算机管理
第六十八条 便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行 “谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条 涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条 便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条 禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照 “集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章 应急响应管理
第七十六条 为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安
(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;
2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;
3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;
4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条 按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(二)较大事件由科技信息部(或财会部)、保密办依据应急响应预案进行处置,及时向公司信息安全领导小组报告并提请协调处置;
(三)重大事件启动应急响应预案,对突发事件进行处置,及时向公司党政报告并提请协调处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条 发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条 科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章 人员管理
第八十一条 各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条 承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章 督查与奖惩
第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章 附 则
第八十七条 本规定由保密办负责解释与修订。
第八十八条 本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(2006)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(2007)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(2007)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(2008)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(2008)0935号]同时废止。
【企业安全信息管理制度】相关文章:
企业信息安全管理制度02-04
企业信息安全管理制度(通用15篇)03-29
信息安全与企业发展05-01
信息安全管理制度04-05
信息安全管理制度12-05
【经典】信息安全管理制度04-13
信息安全管理制度04-05
信息安全管理制度汇编04-05
网吧信息安全管理制度12-11
网络信息安全管理制度05-25