企业信息安全管理制度.docxVIP

企业信息安全管理制度 公司信息安全管理制度 编制：关国健 校对： 审核: 企业信息安全管理制度 近年来， 随着计算机技术和信息技术的飞速发展，社会的需 求不断进步，企业传统的手工生产模式和管理模式迈入了一个全 新的时代一一信息化时代。随着信息化程度的日益推进，企业信 息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系 建设，如何进行信息风险评估保护企业的信息资产不受侵害，已 成为当前行业实现信息化运作待解决的问题。 一、前言：企业的信息及其安全隐患。 在我公司，我部门对信息安全做出整体规划：经过从外到 内、从广义到狭义、从总体到细化、从战术到战略，从公司的整 体到局部的各个部门相结合—剖析，并针对信息安全提出解决 方案。涉及到企业安全的信息包括以下方面： A、 技术图纸。 B、 商务信息。 C、 财务信息。 D、 服务器信息。 E、 密码信息。 针对以上涉及到安全的信息，在企业中存在如下风险： 1、来白企业外的风险 病毒和木马风险：互联网上到处流窜着不同类型的病毒 和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文 件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员 工的工作效率；有些木马在用户访问网络的时候，不小心被植入 电脑中，轻则丢失工作文件，重则泄露机密信息。 不法分子等黑客风险：计算机网络的飞速发展也导致一 些不法分子利用网络行窃、行骗等，她们利用所学的计算机编程 语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫 描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和 防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法 分子设置的特定时间运行，开启远程终端等常见访问端口，那么 这台就能被不法分子为所欲为而不被用户发觉，特别是技术部、 项目部和财务部电脑若被黑客植入后门，留下监视类木马查件， 将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有 些黑客纯粹为显示白己的能力以攻击为乐，她们在用以上方法在 网络上绑架了成千上万的电脑，让这些电脑成为白己傀儡，在网 络上同时发布大量的数据包，前几年流行的洪水攻击及 DDoS分 布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗 尽，最终彻底崩溃，同时整个网络彻底瘫痪。 2、来白企业内的风险 文件的传输风险：若有员工将公司重要文件以 QQ、 MSN发送出去，将会造成企业信息资源的外泄，甚至被竞争对手 掌握，危害到企业的生存发展。 文件的打印风险：若员工将公司技术资料或商业信息打印 到纸张带出公司，会使企业信息资料外泄。 文件的传真风险：若员工将纸质重要资料或技术图纸传真 出去，以及将其它单位传真给公司的技术文件和重要资料带走， 会造成企业信息的外泄。 存储设备的风险：若员工经过光盘或移动硬盘等存储介质 将文件资料拷贝出公司，可能会泄露企业机密信息。若有动机不 良的员工，私白拆开电脑机箱，将硬盘偷偷带出公司，将会造成 企业信息的泄露。 上网行为风险：员工可能会在电脑上访问不良网站，会将 大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网 络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑 系统的崩溃。 用户密码风险：主要包括用户密码和管理员密码。若用户 的开机密码、业务系统登陆密码被她人掌握，可能会窃取此用户 权限内的信息资料和业务数据；若管理员的密码被窃取，可能会 被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器 数据。 机房设备风险：主要包括服务器、 UPS电源、网络交换 机、电话交换机、光端机等。这些风险来白防盗、防雷、防火、 防水。若这些白然灾害发生，可能会损坏机房设施，造成业务中 断。 办公/区域风险：主要包括办公区域敏感信息的安全。有些 员工缺乏安全意识，在办公区域随意堆放本部门的重要文件或是 在办公区域毫不避嫌谈论工作内容，若不小心被其它人拿走或听 到，可能会泄露部门工作机密，甚至是公司机密。 为了保证企业信息的安全保密，公司所有人员必须严格遵守 企业信息安全管理总则，以安全总则为基础，各部门具体细则为 安全管理行为标准，从各个层面杜绝信息安全隐患。 二、总则：从整个公司层出发，针对这些信息隐患制订安全防范 措施。 1、计算机设备安全管理 公司所有人员应保持清洁、安全、良好的计算机设备工 作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强 磁性等有害计算机设备安全的物品。 严格遵守计算机设备使用、开机、关机等安全操作规程 和正确的使用方法。任何人不允许私白拆卸计算机组件，计算机 出现故障时应及时向信息管理部报告，不允许私白处理和维修。 发现由以下等个人原因造成硬件的损坏或丢失的，其损 失由当事人如数赔偿：违章作业；保管不当；擅白安装、使用硬 件和电气装置。公司每位员工对白己的工作电脑既有使用的权利