企业信息安全管理条例

信息安全管理条例

第一章信息安全概述

1.1、公司信息安全管理体系

信息是一个组织的血液，它的存在方式各异。可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠道的威胁，威胁到信息的安全性。这些威胁可能来自内部，外部，意外的，还可能是恶意的。随着信息存储、发送新技术的广泛使用，信息安全面临的威胁也越来越严重了。

信息安全不是有一个终端防火墙，或者找一个24小时提供信息安全服务的公司就可以达到的，它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面的信息管理，使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理，涉及到人，程序和信息科技系统。

改善信息安全水平的主要手段有：

1)安全方针：为信息安全提供管理指导和支持；

2)安全组织：在公司内管理信息安全；

3)资产分类与管理：对公司的信息资产采取适当的保护措施；

4)人员安全：减少人为错误、偷窃、欺诈或滥用信息及处理设施的

风险；

5)实体和环境安全：防止对商业场所及信息未授权的访问、损坏及

干扰；

6)通讯与运作管理：确保信息处理设施正确和安全运行；

7)访问控制：妥善管理对信息的访问权限；

8)系统的获得、开发和维护：确保将安全纳入信息系统的整个生命

周期；

9)安全事件管理：确保安全事件发生后有正确的处理流程与报告方

式；

10)商业活动连续性管理：防止商业活动的中断，并保护关键的业务

过程免受重大故障或灾害的影响；

11)符合法律：避免违反任何刑法和民法、法律法规或者合同义务以

及任何安全要求。

1.2、信息安全建设的原则

1)领导重视，全员参与；

2)信息安全不仅仅是IT部门的工作，它需要公司全体员工的共同参

与；

3)技术不是绝对的；

4)信息安全管理遵循“七分管理，三分技术”的管理原则；

5)信息安全事件符合“二、八”原则；

6)20%的安全事件来自外部网络攻击，80%的安全事件发生在公司内

部；

7)管理原则:管理为主，技术为辅，内外兼防，发现漏洞，消除隐患，

确保安全。

1.3、信息安全管理体系建设的目的

1)保障ERP系统的安全运行，控制公司信息泄密风险；

2)提高企业员工对安全的认识和对安全管理的参与；

3)提高企业用户及合作伙伴对企业的信心、信任、满意程度；

4)提高企业信息安全管理的质量和水平；

5)使企业更有效地管理和处理信息安全事件；

6)遵守和通过相关法律法规的要求；

7)为将来企业充份利用电子商务打下重要的基础。

第二章员工信息安全规范

2.1、适用范围

本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。

本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。

2.2、计算机安全要求

1）计算机信息登记与使用维护：

每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置；

每位员工有责任保护公司的计算机资源和设备，以及包含的信息。

每位员工必须把自己的计算机名字设置成固定的格式，一律采用AD域名_所属地区编号组成；

例如某台计算机名为SSSS_100201，SSSS为地区AD域名，100为地区编号，201代表该地区第201个账户。

2）必须在所有个人计算机上激活下列安全控制：

所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。

3）当员工离开办公室或工作区域时：

必须立即锁定计算机或者激活带密码保护的屏幕保护程序；

如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域；

妥善保管所有包含公司涉密内容的文件，如锁进文件柜。

4）防范计算机病毒和其他有害代码：

每位员工由公司配备的计算机上都必须安装和运行公司授权使

用的防病毒软件；

员工必须开启防病毒软件实时扫描保护功能，至少每周进行一次全硬盘扫描，在网络条件许可的情况下每天进行一次病毒库文件的更新；

如果员工发现未能处理的病毒，应立即断开局域网连接，以免病毒在局域网内部交叉感染，并及时向公司IT部门汇报。

5）软件的使用：

员工不得私自在计算机上安装公司禁止的软件，公司禁止安装的软件包括但不限于：BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络管理软件；

工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件；

公司员工的机器上必须安装并开启功能的软件有：金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务；

如果由于使用未经公司授权的且没有许可的软件造成公司损失，员工需要承担全部责任。

6）文件的共享：

员工在使用文件共享时，必须将其设置为受限共享；

禁止使用基于互联网的P2P软件和共享服务，如：BT、eMule 等；

不得在计算机上配置匿名FTP、TFTP、HTTP，或其他无需验证的服务；

例如：员工不得在公司的计算机上私自架设匿名FTP；

未经IT部门许可，不得在使用ERP系统的计算机上使用U盘或移动硬盘。如因业务需要，必须要访问其他人的硬盘。当定义共享权限时，员工必须设定用户权限、设定访问密码，并及时取消所定义的共享。

7）邮件的发送与接收：

禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件；

禁止将涉及公司秘密的内部邮件转发到互联网上。

8）公司涉密信息的保护：

公司涉密信息包括但不限于公司数据库中的秘密信息，与公司目前或未来产品、服务或研究有关的公司技术或科技信息，业务或营销计算、营销收益或其他财务资料、人事资料，以及软件等技术信息、经营信息等；

公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的情况下泄漏这些信息，并且必须遵守公司为保护此信息而制定的各项标准和流程；

每个员工只能接触使用与本岗位工作相关的涉密信息，禁止从非正常途径获取公司或部门的涉密信息；禁止非授权复制涉密信息；