1、附件 1:XXXXXXXXXX 信息安全管理制度XXXXXXXXXX 计算机网络信息安全保密制度XXXXXXXXXX 用户密码安全保密管理规定XXXXXXXXXX 电子文件保密管理规定XXXXXXXXXX 涉密计算机系统病毒防治管理规定XXXXXXXXXX 数字复印机多功能一体机保密管理规定XXXXXXXXXX 计算机信息发布、传递保密管理制度XXXXXXXXXX 互联网发布信息保密管理制度XXXXXXXXXX 计算机维修、更换及报废保密管理规定XXXXXXXXXX 移动存储介质管理制度XXXXXXXXXX 计算机保密管理制度XXXXXXXXXX 网络管理办法XXXXXXXXXX 系统数据备份
2、与恢复管理制度XXXXXXXXXX 网 络 信 息 安 全 应 急 预 案 XXXXXXXXXX 机房安全管理制度XXXXXXXXXX 信息化安全管理办法XXXXXXXXXX 信息系统变更管理制度XXXXXXXXXX 信息安全事件报告和处置管理制度XXXXXXXXXX 信息安全系统安全建设工作计划信息安全管理制度近年来, 随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代信息化时代。随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业
3、实现信息化运作亟待解决的问题。一、前言:企业的信息及其安全隐患。在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面:A 服务器信息。主要存在于信管部。B 密码信息。存在于各部门所有员工。针对以上涉及到安全的信息,在企业中存在如下风险:1 来自企业外的风险病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的
4、时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐,他们
5、在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及 DDoS 分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。2、来自企业内的风险 文件的传输风险。若有员工将公司重要文件以 QQ、MSN 发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,会造成企业信息的
6、外泄。 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息。若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。 上网行为风险。员工可能会在电脑上访问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握,可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。 机房设备风
7、险。主要包括服务器、UPS 电源、网络交换机、电话交换机、光端机等。这些风险来自防盗、防雷、防火、防水。若这些自然灾害发生,可能会损坏机房设施,造成业务中断。 办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识,在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容,若不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。为了保证企业信息的安全保密,公司所有人员必须严格遵守企业信息安全管理总则,以安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。1.计算机设备安
8、全管理。1) 公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2) 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。3)发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。4)下班后所有不再
9、使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。2.部门资料安全管理。1) 外接存储设备安全管理。严禁所有人员以个人介质光盘、U 盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱:将用户主机贴上封条标签,除信管部人员外,任何人不得私自拆开机箱,若信管部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。信管部将定期检查,
10、若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由信管部保管,若需要为用户处理电脑故障时,信管部在打开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机内硬盘的安全。2) 文件传真安全管理。所有人员对外发送传真,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。3
11、) 文件打印安全管理。所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。4) 文件的存储安全管理。所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用 U 盘或移动硬盘上,确保个人工作资料的文件归
12、档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门 U 盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。5) 办公区域的安全管理。所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好,被他人取走,造成的后果将由本
13、人承担。3.帐号密码安全管理。使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工,员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有 8 个字符长;密码必须包含以下任一部分:字母A-Z 或 a-z,数字 0-9,特殊字符,例如 $ ,-等。1) 电脑密码管理:每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登
14、录密码在信息管理部登记,若更改密码后,未进行登记,一经信管部发现,将对该用户进行口头警告。同时,因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题,信管部不承担责任。2) 应用系统密码管理:所有 ERP 用户及 OA 用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如 123456 等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在 ERP 中将会非法编制篡改单据,在 OA 中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将 ERP 帐号或 OA 帐号密码透露给他人,让他人代己做 ERP
15、单据或办理 OA 流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。3) 采用用户身份认证系统:目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用服务器,破坏或盗取商业数据等。因此,我部门在未来的发展规划中,要将用户身份认证当作安全的一个重大隐患,想办法解决这个问题。这里,我们可以采取动态口令牌或 USB KEY 认证技术,并选择其中一种技
16、术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于 60秒内自动刷新密码,无法采用数据字典扫描破解密码,让黑客攻击行为束手无策;而 USB KEY 采用 USB 密钥,存储特定的加密算法,只有将 USB 钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。4.杀毒软件安全管理。用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。5.各类软件安全管理。软件原始盘片应交综合部保管,软、硬件设备的原始资料(软
17、盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。6.邮件安全管理。所有因公对外联系的电子邮件一律通过公司邮箱 在指定的电脑上进行收发。 (参考邮箱管理制度)综上所述,使用者应该具有一定的安全防范意识,具体应做到:日常工作信息安全:1)员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。2.)员工有责任正确地保护分配给本人的所有计算机帐户。3.)各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。4)每台公司电脑内必须安装反病毒软件并启动实
18、时扫描程序。信息管理部可以提供最新杀毒软件。5)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。6)任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。假期时间办公室的安全: 确保工作电脑的安全,在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码,其它信息管理部设备的电源也必须切断。确保数据的安全:确保你的软盘,备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。当你在
19、外的时候:不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假,而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。当你回来的时候:如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。常规注意事项1)任何外来盘片(包括 CD、VCD 碟片及软盘),只有经过系统管理员确认不带病毒后,才可在公司计算机上使用.否则造成病毒感染或其他破坏的,公司将对其责任人进行罚款处理,每次金额 50 元500 元。2)个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出,若需输出必须履行审批手续。申请人填写申
20、请单,写明输出资料内容、份数、路径、用途、申请日期、申请人等项目,经部门领导和公司领导共同签字审批后,交由专人上机操作。3)未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查,发现有违反本条规定的,将给予 50 元500 元的罚款。4)严禁在工作时间利用计算机网络从事与本职工作无关的活动,发现有违反本条规定的,将给予 50 元200 元的罚款。技术部组织架构及岗位职责为实现公司信息化目标,规范公司信息化建设,建立和完善公司信息化管理体系,明确管理职责,保障公司信息系统安全、高效、稳定运行,为公司提供准确、有效的财务、生产、技术及其它相关信息,为公司高层科学决策提供依据,
21、从而进一步增强企业的核心竞争力组织架构总经理 维护主管 系统安全网络安全项目组组长 资料管理员软件开发员 信息管理员 三、公司信息部部门及岗位职责1.信息部部门职责(1( 负责公司信息化建设的总体规划及网络体系结构的设计,负责公司信息化系统选型工作,并负责编制公司信息化总体规划与选型报告,并报公司领导审批。(2( 负责公司信息化系统的推进与执行,负责公司信息化项目实施工作的日常管理,并协调解决项目实施过程中碰到的问题。(3( 负责组织调研公司各部门信息化需求并汇总,负责组织公司财务、生产、技术、办公自动化系统软件的开发,使公司信息化系统形成一个无缝连接的整体。负责公司各种汇总报表、查询软件、分
22、析软件的二次开发,为领导决策和各业务经营环节提供及时、准确的决策信息。(4( 负责公司所有信息化项目的持续改进与日常维护,负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作,在保证公司的计算机网络安全运行的前提下,树立服务意识,为公司领导、各业务职能部门提供最优质服务。 (5( 负责公司人员计算机应用方面的培训,提高公司计算机应用的整体水平和办公效率。 (6( 负责公司计算机及相关设备的采购及维修计划编制。2.岗位职责1.总经理 (1)负责主持信息部的全面日常工作,负责制定本部门的管理制度及组织建设,并监督本部人员全面完成部门职责范围内的各项工作任务;负责本部门员工的工作检查、考核及评价。 (2)贯彻落实本部岗位责任制和工作标准,密切各部门工作关系,加强与集 团各部门的协作配合,做好衔接协调工作;(3)负责公司信息化系统总体构架,构建公司信息化实施组织,结合业务流程、项目管理,实施公司集成信息化系统。(4)负责控制信息化项目预算。负责控制本部门信息化预算,降低费用成本。(5)负责公司信息化项目关键控制点的监督、控制和风险评价;(5)负责组织公司的信息安全工作,持续加强公司的信息安全管理。(6)组织对公司计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档;(7)负责组织对计算机网络及信息系统的维护,保证网络及信息系统的正常运行。
