信息安全管理制度全.doc

《信息安全管理制度全.doc》由会员分享，可在线阅读，更多相关《信息安全管理制度全.doc（14页珍藏版）》请在金锄头文库上搜索。

1、信息安全管理制度全信息安全管理制度一、总则 为了进一步强化公司信息安全管理，依据公司的要求和保密规定，结合公司实际状况，特制定本制度。 二、信息管理员使命 1、公司负责信息安全的职能部门为XX。 2、公司设置专人为信息管理员，负责信息系统和网络系统的运行维护管理。 3、负责公司计算机的系统安装、备份、维护。 4、负责催促各部及时对计算机中的数据进行备份。 5、负责计算机病毒入侵防范工作。 6、定期对网络信息系统安全检查。 7、违规对外联网的监控，信息安全的监督。 8、负责组织计算机使用人进行内部网络使用规范的宣扬教育和培训工作。 9、负责与上级管理部门联系工作，参加上级组织的各类培训，并及时上

2、报相关报表。 三、管理制度 一密级制度 从保密性角度，公司关于信息分成两大类：公开信息和保密信息。 1、公开信息：公司已对外公开公布的信息，如公司宣扬册、 产品或公司介绍视频等。 2、保密信息：公司仅同意在一定范围内公布的信息，一旦 泄露，将可能给公司或相关方造成不良影响。比如公司投资计划等。 3、保密信息密级划分 依据信息价值、影响及发放范围的不同，公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。 绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性影响的保密信息，如：公司订单，研发资料，重大投资决议等。 机密信息：公司重要秘密，一旦泄露将使公司利益受到严

3、重损害的保密信息,如：未公布的任命文件，公司财务分析报告等文件。 秘密信息：公司一般性信息，但一旦泄露会使公司利益受到损害的保密信息，如：人事档案，供应商选择评估标准等 文件。 内部公开：仅在公司内部公开或仅在公司某一个部门内公开，对外泄露可能会使公司利益造成损害的保密信息的保密信息，如：年度培训计划，员工手册，各种规章制度等。 4、密级标识 创建文档时，必需要依据内容在页眉处添加正确的密级，页脚处注明“XX机密，未通过许可不得扩散或类似字样。电子 档及打印文档皆须包涵上述字样。 二人员安全 1、外来人员 依据来访性质，可将来访人员分为两类，1预约来访人员：计划内来访，指公司相关接待部门事先已

4、明确来访人员的相关信息单位、姓名及人数等、来访时间及来访事由的状况。2临时来访人员：计划外来访，指即公司接待部门事先不清楚来访人员的相关信息、来访时间及来访事由的状况。 “临时出入卡颜色标识、2 1客户：红色贵宾来访卡 2供应商：蓝色来访卡 3应聘或其它人员：黄色来访卡 3、接待流程 1预约来访人员 A：来访人员不必需进入办公或生产区 接待流程如下： XX接待人员填写接待申请单。 来访人员到公司前台，前台核实身份后发“临时出入卡， 来访人员留下有效证件。 员工与来访人员在大堂接待区或其他外部接待区会谈。 来访人员到前台交还卡并领回证件，前台填写确认单。 流程结束。 B：来访人员必需要进入办公或

5、生产区 XX接待人员填写接待申请单。 来访人员到前台，前台核实身份后发“临时出入卡并 在单中记录，来访人员留下有效证件，前台确认进入时间。前台将来访人员交接给接待人员。 会谈结束，接待人员将来访人员送至大堂前台，前台确 认离开时间、陪同状况，来访人员还卡并领回证件，前台填写确认单。 流程结束。 2临时来访人员 一般状况下，临时来访的会谈地点应安排在办公区域之外，如确因工作必需要必需进入办公或生产区域，必需按预约来访流程，由接待人填单并经权签人审批。 具体流程： 外来人员到访。 前台 通知XX接待人员。 XX接待人员是否安排接待？ 否接待人员一直访者说明状况，流程结束。 是转“预约来访人员接待流

6、程，由接待人员填写“接待申请单。 4、流程各方责任 1业务部门 业务部门接待人员应事先按格式要求填写“接待申请单， 并确保填写信息准确；业务部门接待人应按要求到大堂前台接待 来宾，并覆行全程接待陪同义务。进入地点必需与出门地点一致。业务部门权签人由各部门自行维护，对外来人员进 入研发区、办公区或生产区申请审批的真实性及合理性负责。2前台、接待责任人 大堂前台应依据来访人员信息及审批状态，核实无误后，方可发放“来访卡，并在单中记录。来访人员离开时，如实 在单中记录还卡状况、接待人员陪同等信息。 特别注意，接待单中假设注明“不必需进入办公或厂区的，或虽已注明但权签人未审批通过的，接待只能在大堂或其

7、他公共区域进行，外来人员不得进入研发区域、生产区域和办公区域。 给参观者强调应妥善保管好自己随身携带的物品，未通过同意任何人不准携带照相机、录像机、摄像机等设备进入研发区域、生产区域和办公区域。承办部门接待责任人须告知参观者不得在研发区域、生产区域、仓库区域、办公区域拍照。参观者不得与接待责任人之外的管理人员、生产人员等交换名片、联系方式等，承办部门接待责任人必需严令禁止。 前台必需安排来访人员在接待区域等候，接待中承办部门须 做好引导和陪同工作，坚决杜绝来访人员随意在厂区内逗留。未通过批准来访人员不得在厂区内拍照、录像、摄影，接待结束时须目送来访人员离开厂区。 各业务单位来公司联系工作的，须

8、在会议室或指定的区域内接待，相关职能部门有责任做好引导和约束工作。 陪同人员在陪同过程中不得在授权范围外行事。 来访人员未通过我公司许可不得擅自携带本公司样品、产品出厂。 前台每月导出一次接待人违规记录，包括未还卡、未全程陪同等，违规者按公司规定处罚。 2、公司员工 1正式员工工卡丢失、忘带之类必需进入公司，不必需填写接 待申请单，经XX正式员工证实，前台可发放员工临时工卡凭其进出，当天有效。 2人员聘用时必需明确员工信息安全责任，同时XX部定期组织公司内部信息安全的培训和宣导。公司内部可能接触到公司保密信 息的员工必需要签署保密协议。 3凡公司员工均有义务和责任防止无关外来人员进入研发区、生

9、产区、办公区和仓库区，对方不听劝阻时须及时通知公司领导。 三研发区域 1、研发区域设研发网络和研发公网。 2、研发网络与办公网络完全隔离，不能互访。 3、研发公网与非研发办公网通过VLAN进行逻辑上的隔离。 4、研发公网与非研发部门数据不能互访，只同意邮件交互。对研发公网发出的邮件进行监控。 5、研发网络不同意使用internet。研发公网可以使用internet，对来自internet的邮件只能收，不能发。 6、进入研发区域必需通过门禁控制。 盘等移动设施进入。保U、进入研发区域不准带手机、相机、7 安值守，随机抽检。 8、研发区域实施门禁控制，仅授权人员才干进入。 9、研发网络使用的PC，

10、设安全机箱，将可能接触到的COM 口、USB口、网口全部锁住。 10、研发图纸提交对应PM，PM建立一个共享文件夹，设 置访问权限，仅限项目组成员访问。 11、领用样机时有资产管理，测试只能在指定区域进行测试，不能带出。 12、研发人员离职严格按照XX部离职流程相关规定执行，包括工作交接、权限清理、软硬件归还、签署竞业协议等。 13、研发人员的终端PC，笔记本必需专人管理。 四制造过程 1、样品物料执行台账管理，指定专人管理，样品离开样品 组采用入库或有部门主管签署的领出单发出，制样组记录至台账，制样组的样品半成品、成品、制样治具放入工程部指定的受控区域保管，定期一般客户的机型转入批量生产后，

11、由工程部向信息安全管理委员会申请，执行集中销毁，并 作好记录。 2、试产和量产物料：物料安排专人负责领料、生产、入库，报废品或物料统一经ERP系统进入不良品仓。定期申报后，集中销毁。待产时，物料放入指定的受控区域作受控管理，并作好台账登记。 3、检验物料：检验物料由品质部作好样品台账管理。 4、未通过公司许可，公司员工不得擅自携带本公司物料、样品、产品出厂。 五IT房管理 1、公司总网络机柜设置于IT房，大门必需随时关闭上锁，钥匙由XX管理。钥匙保留一份在档案室，由管理人员存档并登记。 2、任何人进入IT房必需通过XX同意，并在其部门员工的陪同下方可进入。非信息管理员原则上不得进入IT房在机柜

12、内进行操作。如遇特别状况必需操作时，必需经主管部门批准同意后有关人员监督下进行。对操作内容进行记录，由操作人和监督人签字后备查。 3、坚持机柜内整齐清洁，各种机器设备定期进行保养，坚持清洁光亮。 4、IT房严禁携带特别是易燃、易爆、有腐蚀等危险品进入室内。房进食食品。IT不得在 5、严禁在通电的状况下拆卸、移动机柜内交换机、服务器等设备和部件。 6、定期对机柜各系统运行的状况进行检查，确保机柜的正常运行。 7、机柜内已对内、外网交换机进行了显然的标示；对所有网线按房号进行了标示；如有新增必需进行标示。 8、定期检查机房消防设备器材。 9.机房内不准随意丢掉储蓄介质和有关业务保密数据资料，对废弃

13、储蓄介质和业务保密资料要及时销毁，不得作为一般 垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。 10.IT房中要坚持恒温、恒湿、电压稳定，做好静电防护和防尘等工作，确保主机系统的平稳运行。 11.定期对空调系统运行的各项性能指标如风量、温升、湿度、洁净度、温度上升率等进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，确保机房空调的正常运行。 12.计算机机房后备电源UPS除了电池自动检测外，每年必需充放电一次到两次。 13、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人不参加系统开发和维护的人员设置和管理，并由密码设置人员将密码装入密码信封，在骑缝

14、处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特别状况必需要启用封存的密码，必需经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须马上更改并封存，同时在“密码管理登记簿中登记。 二计算机设备管理制度 1、计算机的使用部门要坚持清洁、安全、优良的计算机设备工作环境。 2、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不同意带电拨插计算机外部设备接口，计算机出现故障时应及时向负责部门报告，不同意私自处理或找非本公司技术人员进行修理及操作。计算机设备送外修理，须经主管部门批准，统一修理。 、非本公司人员对我公司的设备、系统等进行修理、维护时，3

15、 必需通知公司信息管理员。信息管理员对其提出注意事项，“内网电脑修理、维护时必需进行监督。 4、对必需使用“内网的员工申报公司领导同意后开通。 5、每台“内网使用的电脑均指定IP地址，落实使用人，“内网计算机使用人应经过公司领导批准；“内网电脑必需设置开机密码、勾选“待机恢复输入密码。 6、密码应定期修改，间隔时间不得超过二个月，如发现或怀疑密码遗失或泄漏应马上修改。 7、有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码马上修改或用户删除，同时在“密码管理登记簿中登记。 9、将所有外网电脑进行IP-MAC绑定，防止“内网用户误接入外网造成信息安全隐患。如有新增电脑进入外网，必需经过主管部门批准。 10、新入