企业信息安全管理规范

企业信息安全管理规范

1目的：

为保障信息设备正常运行、规范文件存储、保证数据安全、信息系统设备安全；

2范围：

信息设备安全、应用系统安全、数据数据安全、用户信息安全、权限对照表、用户授权申请、用户培训。3作业内容：

3.1信息设备安全

3.1.1定义：信息设备安全指的是计算机、服务器、路由器、交换机、视讯等相关IT类硬件设

备的物理安全。

3.1.2机房应选择在具有防震、防风和防雨等能力的建筑内。

3.1.3机房应采取防电磁干扰措施，电源线和通信线缆应隔离，避免互相干扰，对重要设备和磁

介质实施电磁屏蔽。

3.1.4机房应采取防静电、防水的相关措施。

3.1.5机房应安装门禁、防雷、监视、消防、报警设施。

3.1.6计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路，应建立

备用供电系统，以备常用供电系统停电时启用。

3.1.7机房应配备 UPS 设备，以保证机房设备的电源能在发生断电的情况下维持机房所有设备

的电源供应。

3.1.8定时检查机房环境温度、湿度情况，确保温度控制在 15℃~30℃的范围内，湿度控制在

35%~65%的范围内，以保证机房设备和系统的正常运行。

3.1.9重要服务器及相关设备必须放置在机房内，并固定在机柜的相应位置。

3.1.10应将通信线缆铺设在隐蔽处，不允许祼线部署。

3.1.11信息设备安全机房设施，IT部安排经授权人员专人管理，并设定电子门禁管制，未经授

权人员不可进入。外来人员进出机房应办理登记手续，并由专业管理人员陪同。

3.1.12未经许可，任何人不得擅自拆卸、搬移、更换主机及网络设备的部件；

3.1.13使用者电脑由用户管理。

3.1应用系统安全

3.1.1定义：应用系统安全指的是服务器、客户端操作系统、软件应用系统，如：Windows操作

系统、server2003/08系统，ERP、门禁、考勤、电话计费系统等。

3.1.2应在主机操作系统中安装防病毒系统，并定期对服务器主机进行恶意代码查杀，及实时更

新病毒库。

3.1.3防病毒系统应具有全方位网络恶意代码防护能力、集中管理与监控功能和系统自动更新功

能，而且系统必须具有较好的兼容性，不能影响各应用系统的正常运行。

3.1.4设定指定邮箱接收防病毒系统自动更新信息及查杀病毒信息，并定时每周/每月检查系统

运行状态，查看日志记录，并予以分析处理。

3.1.5所有主机应通过补丁服务器进行补丁统一自动分发。

3.2网络安全

3.2.1总体安全要求

3.2.1.1应对计算机网络进行安全区域划分，不同安全区域具有不同安全等级，并采取相应

的安全防护措施。一般情况下，可划为如下几个区域：

?办公内网：由本单位局域网内的服务器、客户端及相关设备组成的网络区域；

?业务专网：由集团公司及各级下属单位共同组成的通过专用 VPN 系统相连

接的广域网络；

3.2.1.2应在不同网络安全区域之间采取安全隔离措施。

?业务专网和办公内网之间物理隔离；

3.2.1.3未经许可，不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运

行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新。

3.2.1.4公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求，并通过流量分

配措施对网络的各种应用合理分配相应的带宽，以保证重要应用系统的正常访问。

3.2.1.5所有网络设备管理员帐号设置应满足安全性要求。

?口令长度应设置在 8 位字符以上、复杂度为数字、字母、特殊字符的组合，并且定期更新；

?当登录失败超过三次时结束会话连接并锁定账号 30分钟以上，当网络登录连接超时自动退出。

3.2.1.6应对所有网络设备进行日志审计。

?审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况；

?应使用日志审计工具设置特定事件报警及生成日志报表；

?应做好网络设备日志的保存工作，保存期大于30天，保存的日志不可修改。

3.2.2业务专网安全管理

3.2.2.1业务专网采用统一的专用 VPN 系统组网。

?(办公内网采用硬件 VPN 方式接入业务专网；

?移动办公用户采用 VPN 单机连接方式接入业务专网；

?VPN 连接必须采用安全的 VPN 连接协议，办公内网 VPN 互联必须采用硬件鉴权和口令双重认证。

3.2.2.2办公内网 VPN 互联应配置双物理线路，以提高网络可靠性。

3.3数据安全及保密管理

3.3.1数据库安全

3.3.1.1数据库系统的管理员口令应设置为长度在 8 位字符以上、复杂性为数字、字母、特

殊字符的组合，并且定期更新。

3.3.1.2对于数据库系统应有严格的资源访问控制策略，访问控制细粒度应达到数据库表级。

3.3.1.3应严格限制数据库系统的默认用户访问权限，及时删除不必要的临时账号和测试账

号等。

3.3.2数据备份

3.3.2.1制定重要数据的备份与恢复方案，并建立相应的备份与恢复系统，要求如下：

?IT授权人员每天将船务、报关、财务等重要资料进行备份，以防遗失。

?IT部每周将船务、报关、业务、财务等重要备份资料进行刻录光盘或硬盘备份，以防备份数据恢复失败而存取不到相关资料。备份数据应定期每周提供一份至香港总部。

?任何未经授权许可人员不得随意将数据备份至其它电脑。

?所有资料数据不得存入电脑系统盘，以防遗失。相关人员在进行数据编辑处理时，应及时存盘，公司电脑统一设定为每15分钟会自动存盘一次。

3.3.3保密管理

3.3.3.1公司保密的信息资料包括但不限于：

?公司董事局资料，重大会议记录、纪要，保密期限内的重要决定事项；仅限经理级及以上人员阅览。

?公司的年度工作总结，财务预算决算报告，缴纳税款、营业报表和各种综合统计报表；仅限财务人员、公司高层阅览。

?公司有关销售业务资料；仅限业务部人员、公司高层阅览。

?货源信息和对供应商调研资料；仅限采购人员、授权人员及公司高层人员阅览。

?公司开发设计资料(包括技术图纸)，技术资料和生产情况,公司新的样板，样板单，公司规定的敏感产品等；仅限设计开发流程人员、QE人员、业务主管、公司高层阅

览。

?客户提供的一切文件、重要信息资料等；限对口部门阅览。

?公司的安全防范状况及存在问题；仅限安全办、经理级人员阅览。

?公司员工违法违纪的检举、投诉、调查材料,发生案件、事故的调查登记资料；限行政管理人员阅览。

?公司、法人代表的印章、营业执照、财务印章、合同协议；限指定人员阅览。

?其它由公司定义的商业及技术、安全机密.

3.3.3.2公司的保密制度

?保密范畴内的文件、传真、邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理；

?凡涉及公司、客户机密文件资料的报废处理,必须由专人首先碎纸,不准未经碎纸丢弃处理；

?公司员工本人工作所持有的各种文件、资料、电子文档（磁碟，光盘等），当本人离开办公室外出时,须存放入文件柜或抽屉，不准随意乱放，未经批准，不能复制抄

录或携带外出；

?未经公司领导批准,不得向外界提供公司及客户的任何保密资料；

?妥善保管好各种财务账册、公司证照、印章。

3.3.3.3公司的保密措施

?公司与重要岗位人员签订《保密协议》，使公司的资料安全受法律保护；

?公司采购资料上锁、权限管制、定期检讨等措施确保资料及信息外泄、遗失、失窃等；

?公司中层以上领导,要自觉带头遵守保密制度。相关人员按公司要求签订“保密协议”；

?公司各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念；

?全体员工自觉遵守保密基本准则,做到:不该说的机密，绝对不说,不该看的机密,绝对不看（含超越自己职责、业务范围的文件、资料、电子文档）；

?公司员工依照公司规定，保守公司秘密。发现他人泄密，应及时举报，同时公司应立即采取补救措施，避免或减轻损害后果；对泄密或非法获取公司秘密的行为及时

检举投诉的，按照有关规定给予奖励；

?对员工因不遵守公司规定，造成泄密事件，依照有关法规及公司的相关制度,按厂规处理。严重者依法追究刑事责任。

信息安全管理规定

信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上，为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件）、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网）。 3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。 3.4 VPN：虚拟专用网络（Virtual Private Network，简称VPN），是指在公共网络上建立专用网络的技术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络交换设备的管理工作，及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计算机信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置，原则上不得设置成共用账号，以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时，所在部门的负责人应严格审核，控制授予满足其工作需要的最小权限；员工岗位或工作内容发生变化后应及时提出申请权限变更，应用系统管理员应及时变更异动员工的权限，冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即向信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

XX公司信息安全管理制度

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密

企业信息安全规范

信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理，促进信息安全管理工作体系化、规范化，提高信息系统和网络服务质量，提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平，特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向，阐明信息安全建设和管理的重要原则，阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据，信息安全相关人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视，大力支持信息安全工作，并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员，它适用于本公司全部员工，集成商，软件开发商，产品提供商，商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视管理，不断积累完善各个信息安全管理章程与规定，全面提高信息安全管理水平。

第八条全过程原则：信息安全是一个系统工程，应将它落实在系统建设、运行、维护、管理的全过程中，安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则，在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则：应进行安全风险管理和风险控制，以可以接受的成本或最小成本，确认、控制、排除可能影响公司信息系统的安全风险，并将其带来的危害最小化。 第十条分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表，在表中明确资产类别，同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则：信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划，负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下，负责具体实施。 第十二条平衡原则：在公司信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则：在公司信息安全管理过程中，应遵循动态管理原则，要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织，设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策，协调信息安全相关各部门之间的关系，并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构，负责信息系统的信息安全管理工作，配备专职安全管理员，由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下： 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序；

公司信息安全管理制度(修订版)

信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理，让大家充分运用计算机来提高工作效率， 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报给 IT管理员，IT管理员（填写《计算机IP地址分配表》）进行备案管理。如有变更，应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机（不包括IT管理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意，任何人不得随意拆卸更换；如果计算机出现故障，计算机负责人应及时向IT管理员报告，IT管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。 4.日常保养内容： A．计算机表面保持清洁 B．应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性； C．下班不用时，应关闭主机电源。 5．计算机IP地址和密码由IT管理员指定发给各部门，不能擅自更换。计算机系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管，不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的 要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。

7.计算机的内部调用： A. IT管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用，IT管理员应做好调用记录，《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废： A. 计算机报废，由使用部门提出，IT管理员根据计算机的使用、升级情况，组 织鉴定，同意报废处理的，报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收，组织人员一次性处理。 C. 计算机报废的条件：1）主要部件严重损坏，无升级和维修价值；2）修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁，不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐；非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责： A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理： A. 计算机系统软件：要求IT管理员统一配装正版Windows专业版，办公常用办

信息安全管理办法93613

信息安全管理办法 第一章总则 第一条为保障公司信息安全，切实推行安全管理，积极预防风险，完善控制措施，制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度，承担信息安全保障 建设、信息安全日常管理职能，提供信息安全技术保障。 4、负责各中心、分公司、专（兼）职信息管理员信 息安全指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员，负责协助 IT中心开展信息安全实施工作，并提供部门内部技术支持和网络管理工作。

2、负责落实相关信息安全管理工作在部门内的实施。 3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作，提高 人员的信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离，在网络边界处应部署防火墙或其他安全访问控制设备，制定访问控制规则。 第八条新增网络设备入网时，网络管理员应按照《网络设备安全配置检查表》进行检查（见附录A），经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造，在投入使用前，网络管理员须进行网络连通性、冗余性和传输速度等测试，信息安全管理员全程参与，确保网络系统安全。 第十条当网络设备配置发生变更时，须及时对网络设备配置文件进行备份；网络设备配置每三个月进行全备份，网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案，技术文档包

信息安全管理制度19215

信息安全管理制度 目录 1.安全管理制度要求 1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件应包括： a)安全岗位管理制度； b)系统操作权限管理； c)安全培训制度； d)用户管理制度； e)新服务、新功能安全评估； f)用户投诉举报处理； g)信息发布审核、合法资质查验和公共信息巡查； h)个人电子信息安全保护； i)安全事件的监测、报告和应急处置制度； j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括： 1.个人身份核查： 2.个人履历的核查： 3.学历、学位、专业资质证明： 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括： 1.上岗前的培训； 2.安全制度及其修订后的培训； 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程： a)及时终止离岗员工的所有访问权限； b)关键岗位人员须承诺调离后的保密义务后方可离开； c)配合公安机关工作的人员变动应通报公安机关。

信息安全管理系统的规范

信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及 技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复，确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全管理办法

银行 信息安全管理办法 第一章总则 第一条为加强*** （下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。 第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员，

配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作： （一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。 （二）审核信息化建设项目中的安全方案，组织实施信息安

网络数据和信息安全管理规范

网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。 术语 本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。 普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

信息安全事件管理规范

信息安全管理部 信息安全事件管理规范 V1.0

文档信息： 文档修改历史: 评审人员：

信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续 处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生 类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理 工作。 4．0 信息资产 信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成 实质性损害的信息事件； 5．2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

企业信息安全保密管理办法

企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”，均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富，但信息又是一种无形的资产，客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害，需要加强对信息的保密管理，使公司所拥有的信息在经营活动中充分利用，为公司带来最大的效益，特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节，所以信息的保密管理，除了领导重视而且需全员参与，各个职能部门人员都要严格遵守公司信息保密制度，公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始，对有保密要求的文件、资料，在拟稿过程应按以下规定办理： 初稿形成后，要根据文稿内容确定密级和保密期限，在编文号时应具体标明。 草稿纸及废纸不得乱丢，如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等，必须同定稿一样对待，按保密原则和要求管理。 印制过程 秘密文件、资料，应由公司机要打字员打印，并应注意以下几点：要严格按照主管领导审定的份数印制，不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理，即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量，要求如下：复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。

绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人，检查信件封口是否被开启。 收文启封后，要清点份数，按不同类别和密级，分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向，并填写好发文通知单，封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的，可通过交换站进行，一律直送直取。 递送外地文件、资料，要通过机要交通或派专人递送。 凡携带秘密文件、资料外出，一般要有两人以上同行，必须装在可靠的文件包或箱内，做到文件不离人。 递送的秘密文件、资料，一律要包装密封，并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后，要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位（人）。凡需有关部门（人）承办的文件、资料，一律由文件经管部门办理。 绝密文件、资料，一般不传阅，应在特别设立的阅文室内阅读。 秘密文件、资料，不得长时间在个人手中保留，更不能带回家或公共场所。 要控制文件、资料阅读范围，无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时，要在卷宗的扉页标明原定密级，并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料，要及时清理上交或登记销毁，防止失散。 有密级的档案，要按保密文件、资料管理办法进行管理。 保密过程

信息安全管理规范完整篇.doc

信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事

件的处理过程，并负责与政府相关应急部门联络，汇报情况。 3.1.2网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理 工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 3.1.4信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。

CCRC-ISV-C01：2018信息安全服务规范

文件编码：CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布

目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)

电信公司信息安全管理八项制度

关于下发《**电信公司信息安全管理八项制度 (试行)》的通知 县级分公司、公司各部门： 根据中电信黑[2011] 793 号《黑龙江电信信息安全管理八项制度（试行）》，制定了《**电信公司信息安全管理八项制度(试行)》，请认真遵照执行。并将执行过程中出现的新情况，新问题及时反馈至运行维护部。 各相关职能部门要按照本制度规范尽快落实本部门的信息安全工作及责任人。 附件 1：**电信公司业务经营、合作的信息安全评估保障制度 附件 2：**电信公司违法违规信息应急处置流程 附件 3：**电信公司信息安全工作（资金、人员）保障制度

附件 4：**电信公司信息安全管理考核和奖惩制度附件 5：**电信公司信息安全技术保障制度 附件 6：**电信公司信息安全事件报告制度 附件 7：**电信公司信息安全事件应急处置制度附件 8：**电信公司信息安全组织机构管理制度

附件 1： **电信公司基础业务经营、合作的 信息安全评估保障制度 一、公司产品内容上线前应当由专人对相关内容的合法合规性进行审核，做到先审后发，产品中未通过审核的相关内容不得上线运营。需要审核的产品内容包括但不仅限于各产品中以公司名义对外发布的以及客户通过公司自营网站对外发布的图片、文字、流媒体等信息内容。 二、公司自营网站、自营业务业务板块或栏目新增、变更，须经各级公司部门负责人同意，报公司分管领导审批。 三、与合作方（含代收费）进行业务合作前，各部门业务运营部门（中心）应当严格审核其电信业务经营许可证或备案许可证、营业执照等经营资质材料，对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。在签订合作协议时，必须要求合作方签订《信息安全承诺书》，明确其负责合作涉及业务的信息安全，约定信息安全考核制度和违法违规处罚标准。 四、合作业务涉及合作方需进行 IP 地址和域名备案的， 在业务开通前，必须要求合作方出具 IP 地址和域名已经备案 的书面证明函件。

信息安全管理制度

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网，信息中心对其提供指导，必要时可以中断其与骨干网连接，待子网恢复正常后再恢复连接。

信息安全管理规范标准

信息安全管理规公司

版本信息 修订历史

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（级别）规定 (7) 1.6现行级别与原有级别对照表 (8) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (10) 1.10信息资产处理和保护要求对应表 (10) 1.11口令使用策略 (12) 1.12桌面、屏幕清空策略 (13) 1.13远程工作安全策略 (14) 1.14移动办公策略 (14) 1.15介质的申请、使用、挂失、报废要求 (15) 1.16信息安全事件管理流程 (17) 1.17电子安全使用规 (19) 1.18设备报废信息安全要求 (20) 1.19用户注册与权限管理策略 (20) 1.20用户口令管理 (21) 1.21终端网络接入准则 (21) 1.22终端使用安全准则 (22) 1.23出口防火墙的日常管理规定 (23) 1.24局域网的日常管理规定 (23) 1.25集线器、交换机、无线AP的日常管理规定 (23) 1.26网络专线的日常管理规定 (24) 1.27信息安全惩戒 (24) 2. 信息安全知识 (25) 2.1什么是信息？ (25) 2.2什么是信息安全？ (25) 2.3信息安全的三要素 (25)

2.4什么是信息安全管理体系？ (26) 2.5建立信息安全管理体系的目的 (27) 2.6信息安全管理的PDCA模式 (28) 2.7安全管理－风险评估过程 (28) 2.8信息安全管理体系标准（ISO27001标准家族） (29) 2.9信息安全控制目标与控制措施 (30)

信息安全管理规范 通用版

信息安全管理规范及保密制度(通用版) ****年**月**日*****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相

关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意, (若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人 力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。