文件信息安全管理程序.doc

文件信息安全管理程序 一、目的： 本程序的目的旨在明确信息安全之标准及策略，以期达到提供内部客户及外部客户安全之系统架构及环境、信息系统可用性的目标。 二、适用范围： 文件信息安全管理程序须能配合及支持本公司之目标、利益，及管理者的意向，解决现在或未来可能发生的危机或问题，具备前瞻性、长久性及可以做为评估及考核之依据。同时本政策的公布实施亦可达到教育训练及倡导的作用。信息安全的范围应包含(不限于)下列范围： 1 计算机及相关软硬件系统之管理。 2 各类项目之供货商管理。 3 本公司机密文件信息之保护。 4 应用系统之安全相关之设计、应用。 5 项目之管理与考核。 6 数据库之存取控制。 7 使用者之身份认证与管理。 8 各项重要设备之管理与维护。 9 网络安全及备份。 10 信息系统之安全与备份。 11 病毒之防害与防止。 12 信息安全危机之通报与处理。 13 各项有关法规之配合与实施。 14 人员之管理。 15 员工考核之重要依据。 三、文件信息安全相关法令 本部门所有之信息安全规定均须符合或不违背下列相关法令： 1 海关反恐规定。 2 商业使用电子计算器处理会计数据办法。 3 计算机处理个人数据保护法。 4 电子签章法。 5 劳动基准法。 6 国内外文件信息安全相关之法令。 四、文件信息安全操作指引 A1. 电脑安全要求： 1) 一般工作都不安装软驱和光驱，如有安装软驱和光驱的电脑，每次使用磁盘都要用杀毒软件检查。 2) 对于联网的计算机，任何人在未经批准的情况下，不得向计算机内拷入软件或文档； 3) 数据的备份由相关专业负责人管理，备份用的软盘由专业负责人提供； 4) 软盘、光盘等在使用前，必须确保无病毒； 5) 计算机必须安装防毒软件，机密计算机须安装防火墙等防护软件； 6) 计算机一经发现病毒，应立即通知电脑管理专业人员处理； 7) 操作员在离开前应退出系统并关机； 8) 任何人未经操作员本人同意及监视，不得使用他人的电脑。 A2. 监管措施: 1) 由专业人员负责所有电脑的检测和清理工作； 2) 由电脑管理的专业人员，根据上述作业计划进行检测； 3) 由行政办主任负责对防护措施的落实情况进行监督。 4) 装有软驱的电脑一律不得入网；对于尚未联网计算机，其软件的安装由电脑管理人员负责、任何电脑需安装软件时，由相关专业负责人提出书面报告，经总经理同意后，由电脑管理人员负责安装；软件出现异常时，应通知电脑管理专业人员处理； 所有电脑不得安装游戏软件；数据的备份由相关专业负责人管理，备份用的软盘由专业负责人提供。 5) 硬件维护人员在拆卸电脑时，必须采取必要的防静电措施；硬件维护人员在作业完成后或准备离去时，必须将所拆卸的设备复原；要求各专业负责人认真落实所辖电脑及配套设备的使用的保养责任；要求各专业负责人采取必要措施，确保所用的电脑及外设始终处于整洁和良好的状态；所有带锁的电脑，在使用完毕或离去前必须上锁；对于关键的电脑设备应配备必要的继电保护电源。 6) 各单位所辖电脑的使用、清理和保养工作，由相应专业负责人负责；各专业负责人必须经常检查所辖电脑及外设的状况，及时发现和解决问题。 7) 由于电脑设备已逐步成为我们工作中必不可少的重要工作。因此，电脑管理员决定将电脑的管理纳入对各专业负责人的工作考核范围，并将严格实行。 8) 凡是发现以下情况的，电脑管理员根据实际情况追究当事人及其直接领导的责 任。 （1) 电脑感染病毒。 （2) 私自安装和使用未经许可的软件（含游戏）。 （3) 电脑具有密码功能却未使用。 （4) 离开电脑却未退出系统或关机。 （5) 擅自使用他人电脑或外设造成不良影响或损失。 （6) 没有及时检查或清洁电脑及相关外设。 9) 凡发现由于以下作业而造成硬件的损坏或丢失的，其损失由当事人负责。 （1) 违章作业。 （2) 保管不当。 （3) 擅自安装、使用硬件、和电气装置。 10) 员工的电子邮件可能会为企业网络带来安全漏洞，例如收到不请自来的邮件却毫无警惕便直接打开其附件，或是未对附加文件扫描是否有病毒藏匿其中便直接开启文件等等。此外，企业若不主动将新的病毒库派送到员工的电脑上，强制施行公司制定的政策，而是安全信任员工随意更新自己电脑上的病毒库，那么就算员工每次都很谨慎先扫描文件，确定没有病毒后才打开文件，仍然有被病毒感染的风险。更有甚者，若是放任不当的电子邮件、色情或其它具有攻击性的内容在办公室到处流窜，企业更有可能会面临法律上的种种问题。 11) 密码是大部分企业的主要弱点，因为人们为了节省时间，常常会共享或选择简单的密码。密码若不够复杂，便很容易被别人猜测到并用来取得机密资料。其实网络安全的弱点还在于不是只有使用者有密码而已，若态度不够谨慎，只要稍微运用一下手腕便可让他们吐露