信息安全管理标准信息安全管理标准.doc

信息安全管理标准 Information Security Management Standard 背景和目的 为保证公司网络环境的安全稳定，公司重要数据的安全，为公司提供有效便捷的办公环境等，特制定本本管理标准。 信息资源是分公司的重要资产，是企业进行生产、经营、管理和决策的重要基础，必须加强安全管理。 适用范围 本作业标准适用于公司范围内所有信息资源管理。 本管理办法所涵盖的信息资源范畴，主要是指分公司内部有关生产经营管理方面的信息（以下称内部信息）。管理的对象主要是由信息化系统形成的信息、使用计算机编制的信息、专业系统采集的原始信息等，包括各类文本信息、数据库信息、WEB页面信息、图形图像信息、多媒体信息等。 管理体系 第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。我部门从信息处理最集中地核心路由器入手，使用专业核心硬件防火墙对所有产生并传输的信息数据进行安全检查，通过核心路由器内的记录进行安全分析，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。所有信息数据的安全综合分析报告每半个月检测分析一次，并装订成册。 2、信息内容的安全。 侧重于保护信息的机密性、完整性和真实性。我部门应对所负责所有系统的功能进行评测，采取技术措施对所发现的漏洞进行补救升级，对系统出现的bug进行持续改进。 3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本公司的信息网络（内部信息平台）系统传播，避免对公司利益、公共利益以及国家利益造成损害。公司所有对外的工作信息（即部门外发的所有信息）产生原则上由部门综合科室进行初步审查，包括发送的通知公告，工作传阅，工作报告等等，初步审查后提交部门经理进行签字确认，通过后方可发布及传播。部门内部交流的信息由部门主管严格审查，发现有问题的及时处理。公司计算机不得产生与工作无关的任何信息。所有信息的上传及下载技术上首先由单机的杀毒软件查杀，在传输过程中由核心防火墙上的策略进行检测查杀，确保数据的安全无误。信息管理部负责单机的杀毒软件的选型，安装及升级维护。对于存放在FTP等长期共享的数据，由信息管理部在服务器上安装杀毒软件定期自动查杀，设置FTP详细的权限保障和控制数据的安全性。对于数据的安全由部门领导进行指派相关权限防泄密和防删除，防篡改。由各部门指定各个员工的详细数据权限，报分管领导签字认可后，交信息管理部在后台通过加密软件，服务器自带权限及各系统权限分配功能进行相应调整实时完成权限把控。从源头上用技术手段保障信息安全。 当遭遇泄密时，通过文件的权限对应相关的权限拥有者进行内部立案调查，对重大信息泄露的，则报公司领导立项专案调查。 第二条 我部门承担任何涉及国家秘密信息的安全工作，配合电信及公安网警的监管工作。 第三条 信息的内部管理 1、各部门综合科室负责部门网络（内部信息平台）系统的简单查毒、杀毒工作，确保信息文件无毒上载，防止垃圾数据上传； 2、我部门在后台采取网络（内部信息平台）的病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体防病毒能力； 3、各部门综合科室对部门所负责的信息数据的备份整理及归档工作，数据整理后可以向我部门申请提交，由我部门制作成特定光盘存档； 4、各部门应对部门的信息进行严格的审查及控制，各栏目或系统发布的公共信息必须由各部门综合科室制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性，并对数据的及时性进行跟踪检查，遵守我部门的通知，定期及时清理系统里的垃圾数据，保障系统的流畅运行及数据的有效性； 5、员工不得散布涉及国家秘密的信息的存储、传输，严格遵守国家有关保密的法律、法规执行，各部门指定专门的信息员负责对本部门信息在网络传播的宣贯教育； 6、涉及国家秘密信息，未经信息安全分管领导批准不得在网络上发布和传输； 7、公司涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。由信息管理部在分配计算机下发时对每台计算机进行杀毒软件安装，并将各类杀毒软件设置为自动查杀。 第四条 信息加密 1、涉及公司秘密的信息，其电子文档资料应当在涉密介质中加密单独存储； 2、涉及部门敏感信息的电子文档资料应当在涉密介质中加密单独存储； 3、不得传播涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息。 第五条 员工不得从事以下活动： 1、未经信息管理部批准，任何人不得改变网络（内部信息平台）拓扑结构、网络（内部信息平台）设备布置、服务器、路由器配置和网络（内部信息平台）参数。 2、任何人不得进入未经许可的计算机系统更改系