XX公司信息安全管理制度.docVIP

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许，计算机出现故障时应及时向报告，不允许私自处理维修。 不得私自使用他人 1.4因工作需要实行 “谁用、谁管理”的原则，切实做到为工作所用使用结束后及时 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动 严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示批准，并以公司存储设备做文件拷贝。 2.4文件转移 若员工离职，在办完移交手续时，所在部门负责人将此员工工作资料拷贝至部门保存（可联系信息技术部进行技术支持），若没有执行此操作流程，离职员工损失的任何资料由该部门自行承担。 3.软件安全管理 3.1软(软件原始盘片)、硬件设备的原始资料（光盘、说明书、保修卡、许可证协议、合同正本等）应交总裁办保管,保管应做到防水、防磁、防火、防盗。 3.2服务器、PC机须安装杀毒软件，定期病毒库更新及病毒查杀；任何人不得安装危害公司计算机及网络的任何软件。 3.3信息技术部对各信息系统软件、数据库软件、常用办公软件等进行备份存储，做好版本控制及相关更新。 3.4员工须严格遵守公司《计算机使用管理规定》中软件管理的相关规范。 4.信息系统的安全管理 各信息系统（MAIL、ERP、CRM、WMS、WEB等）的安全管理要求，参考相应的信息系统管理规定。 5.数据库安全管理 信息技术部须采用循环的完全备份和增量备份等备份策略，完成对各信息系统数据的定期备份，以便在信息系统发生故障时将数据恢复到最佳状态。对备份的数据文件应妥善保管，防止被非法拷贝或毁坏，严禁未经授权将数据库拷贝出系统，转给任何单位或人员。 6.密码安全管理 6.1初始密码须及时更改，新密码须包含无规则的字母、数字、符号组合并至少10位以上，禁止直接使用常用单词、人名、电话号码等安全系数低的字符作为密码。 6.2各用户需对所使用电脑、信息系统等密码进行定期（如3个月）更改，如出现密码泄露或异常时，须立马更改并告知信息技术部。 6.3各服务器、信息系统的超级或管理员级密码由分管系统管理员及信息技术部经理双重管理，信息技术部经理掌握全部设备、全部系统的超级或管理员级密码，分管管理员拥有分管系统的管理员级密码（部分视情况授予超级密码）；正常情况下，此类管理级密码每1个月系统管理员必须更改一次并将新密码报备，在有信息技术部人员变动、密码外露或其它异常情况下，必须第一时间更换并将新密码报备。此类管理级账号与密码原则上不对其它任何人员提供，特殊需求须报上级领导批准方可授予。 7.信息安全禁止行为： 7.1利用公司信息系统平台、网络制作、传播、复制危害公司及员工的有关任何信息； 7.2攻击、入侵他人计算机，未经允许使用他人计算机设备、信息系统等； 7.3未经授权对信息平台ERP、CRM、WMS、网站、企业邮件系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、移动、复制和删除等； 7.4未经授权查阅他人邮件，盗用他人名义进行发送任何电子邮件； 7.5故意干扰、破坏公司信息平台ERP、CRM、WMS、网站、企业邮件等系统的安全、稳定畅通运行；从事其他危害公司计算机、网络设备、信息平台的安全活动； 7.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息； 7.7 其它危害公司信息安全或违