- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
保密和信息安全管理规定
一、规定目的
本规定旨在维护公司的保密和信息安全,确保公司在发展
中不受到信息泄露、丢失和篡改等情况的危害,保护公司和客
户的利益,促进公司信息化建设和管理的健康、有序、稳定发
展。
二、适用范围
本规定适用于全体员工及外包公司。
三、保密和信息安全的责任
1.管理层和安全管理员的职责和责任
1.1.管理层应建立保密和信息安全意识;
1.2.安全管理员应负责信息安全工作,做好安全技术防护、
安全管理和监控工作;
1.3.管理层和安全管理员应对公司、部门、员工的安全现
状进行定期评估和检查,以及处理发现的安全问题。
2.员工的职责和责任
2.1.员工应于入职时签订保密协议,并在服务期内遵守保
密规定;
2.2.员工应保护公司和客户的信息资料,避免信息泄露、
丢失和篡改等情况的危害;
2.3.员工应定期参加保密和信息安全培训和教育,提高安
全意识,并采取有效方法和措施预防信息安全问题的产生。
四、信息资产的分类
公司信息资产按照其重要程度和保密等级的不同,分为三
级:
1.一级信息资产
一级信息资产包括涉及公司核心业务和重要管理信息的资
产,其机密等级属于绝密和机密。
2.二级信息资产
二级信息资产包括公司日常业务所需的资产,其机密等级
属于秘密。
3.三级信息资产
三级信息资产包括公司公开信息和非核心业务所需的资产,
其机密等级属于内部限制和一般。
五、信息资产的安全管理措施
1.一级信息资产的安全管理措施
1.1.一级信息资产必须存储在安全机房内,使用专用服务
器和安全防护设备;
1.2.一级信息资产的备份必须由专人进行,备份数据必须
存放在安全存储设备中;
1.3.一级信息资产的传输必须采用加密传输方式和安全验
证措施,确保信息安全。
2.二级信息资产的安全管理措施
2.1.二级信息资产的备份和存储必须采用安全设备,确保
备份和存储过程不受到干扰和恶意攻击;
2.2.二级信息资产的传输必须采用加密传输方式,并进行
安全验证;
2.3.二级信息资产的使用和访问必须根据安全级别和权限
进行控制和审计;
2.4.二级信息资产必须进行相关安全防护措施,避免安全
威胁和漏洞的利用。
3.三级信息资产的安全管理措施
3.1.三级信息资产的备份和存储可以采用常规方式,但其
备份数据必须加密存储;
3.2.三级信息资产的传输必须采用安全协议和加密方式;
3.3.三级信息资产的使用和访问必须根据安全级别和权限
进行控制和审计;
3.4.三级信息资产必须采取基本的安全防护措施和漏洞修
复。
六、信息安全事件的应对
1.事件的分类
信息安全事件根据影响的大小和程度,分为一般、重要和
关键级别。
2.应对流程
2.1.一般级别事件的应对流程:上报——处理——总结—
—复查。
2.2.重要级别事件的应对流程:上报——处理——考核—
—总结——复查。
2.3.关键级别事件的应对流程:上报——立即处理——督
办——紧急考核——总结——复查。
七、规定的实施与监督
1.实施
1.1.规定由公司安全管理员组织实施,并不断完善和更新;
1.2.全体员工应当自觉遵守本规定的要求,保护公司和客
户的信息安全。
2.监督
2.1.管理层应负责对本规定的实施和执行进行监督和考核;
2.2.安全管理员应定期开展保密和信息安全检查,并向管
理层报告检查结果;
2.3.违反本规定的员工,应受到相应的纪律处分和行政处
罚。
八、附则
本规定自公布之日起生效,同时废止公司既有的保密和信
息安全管理规定。如对此规定有疑义或建议,可向公司安全管
理员反映,积极参与规定的改进和完善。
文档评论(0)