信息安全管理办法百度.docx

XX金融公司信息安全管理办法 第一章 总则 第一条 根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本管理办法。 第二条 信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 （一）信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。? （二）信息内容的安全。?侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。? （三）信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本公司的信息网络（内部信息平台）系统传播，避免对国家利益、公司利益以及个人利益造成损害。 第二章 职责权限 第三条 信息安全管理实施工作责任制和责任追究制，由XX金融公司（以下简称“公司”）成立信息安全领导小组，由CIO担任领导小组组长，负责本公司信息安全工作的策略，重点，制度和措施，对本单位的信息安全工作负领导责任；由信息技术部负责人担任信息安全实施小组组长，成员包括部门信息安全管理员，负责信息安全保护工作的具体实施，对本单位的信息安全负直接管理责任。 第四条 信息安全实施小组对本公司的服务器，网络，信息系统具有审核和管理权，负责本公司信息系统的规划，建设，应用开发，运行维护与用户管理。 第三章 主要风险 第五条 公司存在如下风险： （一）来自公司外的风险 1.病毒和木马风险。互联网上不同类型的病毒和木马，在感染公司用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。 2.不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，如果是信息技术部、结算部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成重要数据被拷贝泄露、财务网银密码被窃取。还可能使服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。 （二）来自公司内的风险 1.文件的传输风险。员工将公司重要文件以QQ、MSN发送出去，造成公司信息资源的外泄，危害公司生存发展。 2.文件的打印风险。员工将公司技术资料或商业信息打印到纸张带出公司，公司信息资料外泄。 3.文件的传真风险。员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文件和重要资料带走，造成公司信息外泄。 4.存储设备的风险。员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司，或员工私自拆开电脑机箱，将硬盘偷偷带出公司，造成公司信息泄露。 5.上网行为风险。员工在电脑上访问不良网站，造成电脑及公司网络的破坏，导致电脑系统崩溃。 6.用户密码风险。主要包括用户密码和管理员密码。用户的开机密码、业务系统登陆密码被他人掌握，此用户权限内的信息资料和业务数据被窃取；管理员密码被不法分子窃取，破坏应用系统的正常运行。 7.机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自自然灾害导致的机房设施损坏及业务中断。 8.办公/区域风险。主要包括办公区域敏感信息的安全。员工在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容，可能会泄露部门工作机密，甚至是公司机密。 为了保证公司信息的安全保密，公司所有人员必须严格遵守公司信息安全管理办法，以此为基础，从各个层面杜绝信息安全隐患。 第四章 风险防范措施 第六条 信息安全防范措施 （一）计算机设备安全管理。 1.公司所有人员应保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2. 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向信息管理部报告，不允许私自处理和维修。 3.发现由以下等个人原因造成硬件的损坏或丢失的，其损失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进行处理。 4.下班后所有不再使用的计算机，应关闭主机电源，以防止意外，对于共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。 （二）部门资料安全管理 1.外接存储设备安全管理 信息技术部使用技术手段禁止所有人员以个人介质光盘、U盘、移动硬盘