信息安全管理制度 (2).pdfVIP

信息安全管理规定 1 目的 在遵循集团《计算机信息安全管理制度》原则基础上，为确保公司网络平台、信息系统的正 常 运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。 2 范围 本办法适用于公司全体员工。 3 术语定义 3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件） 、数据、文档、图纸等含有一定 意义的计算机信息资料。 3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网） 。 3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网） 。 3.4 VPN ：虚拟专用网络（ Virtual Private Network ，简称 VPN ） ，是指在公共网络上建立专用网络的技 术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。 4 职责 4.1 信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络 交换 设备的管理工作， 及时向总部信息化管理部门、 督察部门报告重大计算机信息安全隐患和计算机信息 安全事件。 4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计 算机 信息的保密性、 可用性和完整性； 及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全 事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5 内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置， 原则上不得设置成共用账号， 以 保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时， 所在部门的负责人应严格审核， 控制授予满足其工作需要的最 小权限； 员工岗位或工作内容发生变化后应及时提出申请权限变更， 应用系统管理员应及时变更异动 员工的权限，冻结离职员工的账号。 5.1.3 计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即 向 信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。 2 5.2 IT 设备安全管理 5.2.1 计算机用户使用办公计算机处理公司涉密信息时，应对涉密文件进行加密处理，如设置访问 密 码、控制阅读权限等。 5.2.2 涉密岗位用户使用笔记本电脑，须经分管领导或总经理批准，在安装相应的安全管理系统和 安 全防范措施后，才能使用。 5.2.3 移动存储类设备中不得保留涉密信息，临时使用应由使用人妥善保管，用后立刻删除。 5.2.4 涉密岗位办公计算机连接的打印设备应由所在部门指定专人管理，并按照事业部《保密工作 实 施细则》相关规定严格控制涉密文件的打印。 5.3 网络安全管理 5.3.1 信息化管理部门应定期对负责管理的网络设备进行安全检查，发现异常及时处理，重大事件 应 及时向总部信息化管理部门报告。 5.3.2 严格控制笔记本电脑上内网，特殊需求须经过分管领导或总经理审批。 5.3.3 所有外网用户登陆内网信息系统必须通过 VPN 访问。 5.4 信息系统运营安全管理 5.4.1 信息系统应用管理员的确定和变更应按照事业部《保密工作实施细则》涉密岗位的规定进行 政 审，经总经理批准后，报信息化管理部门备案。 5.4.2 信息系统的业务配置变更和二次开发需经过评估和严格测试后，才能传入正式环境使用。 5.5 计算机信息安全管理 5.5.1 内部信息拷出或向对外单位发送信息需在 OA 系统中发起《计算机信息提取 ( 外发 ) 申请流程》 申请。信息化管理部门定期根据内部信息提取 ( 外发 ) 日志对内部信息提取 ( 外发 ) 部门进行审计，如发 现违规情况，将根据《保密工作实施细则》 、 《员工奖惩制度》等进行处理。 5.5.2 按照集团计算机信息数据集中备份管理要求，公司信息化管理部门定期向总部信息化部提交 申 请， 将由公司负责管理的计算机信息备份到集团数据备份中心， 并及时跟进公司计算机信息备份工作 的完成情况，以免造成计算机信息的丢失。 5.5.3 信息备份应保证及时、完整、真实、准确地转储到不可更改的脱机介质上，备份介质须异地 存 放，并确保在信息系统发生异常时能及时通知集团数据备份中心，进行信息系统恢复。 5.6 信息安全审计 5.6.1 信息化管理部门应定期组织对信息系统的系统管理员登录日志、 操作日志、 变更记录等关键信 息的