保密和信息安全管理规定.pdf

保密和信息安全管理规定

一、规定目的

本规定旨在维护公司的保密和信息安全，确保公司在发展

中不受到信息泄露、丢失和篡改等情况的危害，保护公司和客

户的利益，促进公司信息化建设和管理的健康、有序、稳定发

展。

二、适用范围

本规定适用于全体员工及外包公司。

三、保密和信息安全的责任

1.管理层和安全管理员的职责和责任

1.1.管理层应建立保密和信息安全意识；

1.2.安全管理员应负责信息安全工作，做好安全技术防护、

安全管理和监控工作；

1.3.管理层和安全管理员应对公司、部门、员工的安全现

状进行定期评估和检查，以及处理发现的安全问题。

2.员工的职责和责任

2.1.员工应于入职时签订保密协议，并在服务期内遵守保

密规定；

2.2.员工应保护公司和客户的信息资料，避免信息泄露、

丢失和篡改等情况的危害；

2.3.员工应定期参加保密和信息安全培训和教育，提高安

全意识，并采取有效方法和措施预防信息安全问题的产生。

四、信息资产的分类

公司信息资产按照其重要程度和保密等级的不同，分为三

级：

1.一级信息资产

一级信息资产包括涉及公司核心业务和重要管理信息的资

产，其机密等级属于绝密和机密。

2.二级信息资产

二级信息资产包括公司日常业务所需的资产，其机密等级

属于秘密。

3.三级信息资产

三级信息资产包括公司公开信息和非核心业务所需的资产，

其机密等级属于内部限制和一般。

五、信息资产的安全管理措施

1.一级信息资产的安全管理措施

1.1.一级信息资产必须存储在安全机房内，使用专用服务

器和安全防护设备；

1.2.一级信息资产的备份必须由专人进行，备份数据必须

存放在安全存储设备中；

1.3.一级信息资产的传输必须采用加密传输方式和安全验

证措施，确保信息安全。

2.二级信息资产的安全管理措施

2.1.二级信息资产的备份和存储必须采用安全设备，确保

备份和存储过程不受到干扰和恶意攻击；

2.2.二级信息资产的传输必须采用加密传输方式，并进行

安全验证；

2.3.二级信息资产的使用和访问必须根据安全级别和权限

进行控制和审计；

2.4.二级信息资产必须进行相关安全防护措施，避免安全

威胁和漏洞的利用。

3.三级信息资产的安全管理措施

3.1.三级信息资产的备份和存储可以采用常规方式，但其

备份数据必须加密存储；

3.2.三级信息资产的传输必须采用安全协议和加密方式；

3.3.三级信息资产的使用和访问必须根据安全级别和权限

进行控制和审计；

3.4.三级信息资产必须采取基本的安全防护措施和漏洞修

复。

六、信息安全事件的应对

1.事件的分类

信息安全事件根据影响的大小和程度，分为一般、重要和

关键级别。

2.应对流程

2.1.一般级别事件的应对流程：上报——处理——总结—

—复查。

2.2.重要级别事件的应对流程：上报——处理——考核—

—总结——复查。

2.3.关键级别事件的应对流程：上报——立即处理——督

办——紧急考核——总结——复查。

七、规定的实施与监督

1.实施

1.1.规定由公司安全管理员组织实施，并不断完善和更新；

1.2.全体员工应当自觉遵守本规定的要求，保护公司和客

户的信息安全。

2.监督

2.1.管理层应负责对本规定的实施和执行进行监督和考核；

2.2.安全管理员应定期开展保密和信息安全检查，并向管

理层报告检查结果；

2.3.违反本规定的员工，应受到相应的纪律处分和行政处

罚。

八、附则

本规定自公布之日起生效，同时废止公司既有的保密和信

息安全管理规定。如对此规定有疑义或建议，可向公司安全管

理员反映，积极参与规定的改进和完善。