信息服务管理制度.doc

信息服务管理制度

信息服务管理制度

1、为加强对计算机信息系统的运行管理，提高工作质量和管理有效性，实现计算机信息维护、操作规范化，确保计算机信息安全、可靠运作，结合公司实际情况，特制定本规定：

2、集团公司的信息管理内容主要包括，但不限于：

2.1 动态性信息，即反映经营管理动态方面的信息；

2.2 政策性信息，即与公司经营业务有关的国家、省、市、行业的政策性法规信息；

2.3 反馈性信息，即反映公司高层领导指示和决定执行情况的信息；

2.4 调研性信息，即在调查研究基础上，经挖掘提炼后，有分析、有探讨、有建议的深层次信息；

2.5 参考性信息，即为公司领导了解情况、开阔思路、实施决策而提供的具有参考性质、咨询价值的信息；

2.6 重大、突发性信息，即反映重大或突发事件信息；

2.7 涉及员工思想反映等其它有关重要信息。

3、职责：

信息管理工作由信息科负责，各部门负责本部门信息管理工作；

3.1 信息科职责：

3.1.1 信息管理工作的归口负责部门，指导各部门信息管理工作；

3.1.2 负责各部门之间的公文信息流转，汇集各业务部门报送的信息

3.1.3 重要信息的保存归档。

3.2 相应部门职责：

3.2.1 负责收集本部门职责范围内的有关信息，包括业务部门上报的相关信息，其中重要信息及时向上级或相关部门传递；

3.2.2 建立与本部门工作相适应的信息收集、反馈渠道，保证上下信息的及时传递和处理；

4、要求：

4.1 机密信息的交接相关管理规则将与本公司共享的机密信息，与业务合作伙伴，委托对象以及派遣相关公司之间进行交换时，应基于以下管理规则进行安全管理。

4.1.1 制作与相关方共享机密信息的委托对象等的管理列表

4.1.2 与委托对象签订保密合同（内容包括：守秘义务、成为保密对象的信息的范围、保密义务期限、使用目的的限制、访问者应限定为在业务上须了解该信息的人员、对指定重要机密信息的管理方法、对指定重要机密的复制的限制、规定在保密期限满后返还或废弃、由本公司进行保密相关确认措施的规程、违反合同时的措施、禁止擅自进行再委托、禁止用自己电脑处理业务）

4.1.3 与本公司和供应商一样，在供应商和委托对象等之间也要制定机密信息的交换相关规则：

a本公司交给供应商的信息，原则上，均作为内部信息处理，禁止对第三方公开。

b须交换和公开机密信息时，请事先取得本公司的认可后再实施。

c以电子文件的形式发送和接受机密信息时，请实施加密。

4.2 在工作部门的访问管理进行机密信息管理时，对于本公司共享的机密信息，要基于以下物理规则进行管理。

4.2.1 为了能够限制无关人员进入公司区域、建筑物以及房间内而进行了区域区分。

4.2.2 只许可须了解信息的人员进入。

4.2.3 信息安全必要的场合，须设置围墙、监视摄像机、传感器等。

4.2.4 定期地对进出记录（包括摄像机图像）进行监查。

4.2.5 建立员工和外来人员进行区别。

4.2.6 机密信息要上锁请保管于文件柜中；对试制品要进行数量管理，并将访问限制为最低限度。

4.3 信息资产的带出/带入相关管理规则带出、带入（文件、记忆媒体、电脑）以及废弃的管理。

4.3.1 禁止在业务目的以外的（电脑、带摄像头的手机、pda 随身听、记忆媒体sd 卡、usb 存储等）带入处理机密信息的场所。要带入时，须得到责任人的许可。

4.3.2 在工作中不得使用私人电脑，并且禁止将私人电脑带入；在工作中需要使用的记忆媒体和电脑，制作管理表。对于带出的电脑要实施加密、设置多重密码，原则上，禁止带出电脑。

4.3.3 对于机密资料，要用碎纸机进行裁切、溶解或烧毁。对于涉及信息等的技术载体，要进行破坏以无法读取信息；要与处理工业废品的企业签订机密保持合同。

4.4 it 系统的访问管理

4.4.1it 系统的使用者 id 和密码的管理访问电子化信息时，每个人要使用自己单独的 id 和密码，并取得谁访问了与本公司共享机密信息的记录。不与其他用户公用 id，设定他人不容易推测出来的密码（密码同时包含有英文和数字，在 6 个字符以上。）；密码须定期地变更，至少要每 30 天变更一次；不得将密码借给他人；对是否存在离职者的 id、临时使用的 id 等、未被使用的 id 以及不正当的 id 进行检查。

4.4.2 电脑、服务器等 it 系统的设置以及废弃的管理在与因特网之间设置合适的防火墙，将业务上必要的信息设备和电脑连接于安全的公司内部系统内，不要连接社外网络。信息要保管在服务器上，实行服务器的安全管理，而非个人电脑里；人员离开座位时，要将笔记本电脑上锁保管于办公桌的抽屉中、柜子等中；台式电脑等的固定式电脑，要用电脑锁固定在办公桌等的上面；带出的电脑内的数据要实施加密，在万一被盗时，可避免数据被读取；带出电脑期间，应随时带在身边；对 biosos屏幕保护程序设定密码；离开座位时，可锁屏，可把屏幕设置为在 5 分钟内无输入的状态下，可通过带密码的屏幕保护程序锁定屏幕。it 系统的

废弃和再使用：如果 it 系统废弃，须将硬盘内的信息完全删除或进行物理破坏。保管机密信息的服务器要设置在可确保安全的合适场所。

4.5 对非法程序和病毒的管理

4.5.1 针对电脑病毒和非法程序，由系统管理员（或提供单位）指定防毒软件（杀毒软件）的种类和版本，并加以引进。使防毒软件常驻于规定的各对象电脑中，始终确保完全受保护的环境；设置为至少每天更新一次（推荐每隔一定时间进行自动更新）病毒定义；对于被保存的所有文件，进行定期扫描；禁止安装和使用文件交换软件（winnyshare 等的文件交换软件；由信息安全责任人检查，或使用检测工具自主检测。

4.6 可持续性的备份管理对于重要系统，要定期地实施备份，要能够确认处理机密信息的信息系统的所有备份媒体均得以正确的机密区分的管理。

4.7 实施信息安全的教育和培训关于信息安全，要对所有员工按照培训计划实施信息安全教育。此外，委托对象也应对委托进行业务的员工实施同样的信息安全教育。所有员工要定期地自我检查，当出现不符合规定的事项时，要指导改善并记录。自我检查表中加入了清##理桌面（应注意整理整顿，禁止将机密文件放在桌上）、清理屏幕（离开座位时，应设定为不显示屏幕或启用带密码的屏幕保护程序）。

4.8 与员工签订保密协议在工作中有关于保密的条款，取得员工的保密协议，委托对象要进行保密管理，并对保密协议进行管理。

4.9.发生信息安全事故时的处理方法在发现信息安全上的问题或感觉到发生的危险时，或目击了事件事故或发现了事件事故的痕迹时，要立即向本公司的信息管理责任人报告。要把握受害状况和使受害影响最小化的紧急处理；查明原因和暂定措施，以在信息泄漏时可向该第三方报告等，实现相关者能够进行自卫和相关处理；必要时，应进行宣传处理，向相关政府机关报告。记录事故的经过和处理的过程，要迅速实施防止事故再次发生的对策，并贯彻周知。

4.10 实施可持续地推进改善活动的信息安全 pdca实施自我检查，以确认信息安全是否得以正确实施，每年至少实施一次检查。对自主检查的结果、明确了的不符合事项，应制定改善计划。

4.11 对外信息披露的管理

4.11.1责任部门

对外信息披露的责任部门为办公室，办公室是公司的对外公告、启事、宣传文稿等工作的对口部门。

4.11.2对外信息披露的过程

4.11.2.1信息的报送：各部门根据工作需要对外发布信息时，需提前通知办公室，并将对外公布信息内容、信息披露的渠道等报送办公室审批。

4.11.2.2信息的审批：办公室对各部门的对外公布信息内容和渠道进行审核，审批通过后由办公室统一执行对外信息发布的工作。重要对外信息的审批则需上报行政总监、总经理审批，审批通过后由办公室进行发布工作。

注：对于经常性或较为适于职能部门发布的信息，经办公室、行政总监、总经理批准后，可由相应部门负责对外信息发布，发布信息的内容则必须在办公室留档。

4.11.2.3发生费用的控制：对于因信息发布披露而产生的费用，各部门在年初时需制订相应的预算，在具体信息的对外公布执行中，财务部门按照预算进行控制。对于超出预算或其他特殊情况的费用，则需相应部门上报公司总经理进行审批，审批通过后予以执行。