投标保密方案.docx

PAGE2/NUMPAGES2

保密方案

1.公司保密措施

为保障信息安全，公司切实推行安全管理，积极预防风险，完善安全保密控制措施。为加强组织领导，公司特制定保密相关制度，对保密工作的审查范围、原则、程序、责任追究等各环节作了明确规定。公司按照“谁主管、谁使用、谁负责”的原则，各相关涉密人员均需与公司签署《保密协议》，明确各个部门和人员的保密责任、义务以及责任追究等事项。同时，公司做好各涉密人员的保密教育和管理工作，加强保密工作的重要性，提高涉密人员的保密工作素质。

1.1建立有效的人员保密机制

签订保密协议，用合同的机制规范相关人员的行为，一旦泄密相关人员需要支付巨额的赔偿。另外，公司建立了外包服务提供人员的解密、脱密机制。例如，A公司的C员工为B公司提供了IT外包服务。在项目完成之后，C员工在接下来的半年或一年解密、脱密期内不允许为与B公司存在竞争关系、业务相关或相近的公司提供服务，在解密、脱密期结束之后才能再次提供类似的服务，该保密机制有效保障了客户对外包服务提供商安全机制的信任。

1.2建立有效的安全管理流程

公司建立了有效的安全管理流程，对公司内外网络进行严格的隔离，内部和外部的邮件系统也进行了严格的隔离。信息的访问、存储、传递都必须按照严格的安全规范进行：未经授权不得访问相关信息，未经审批不得传递相关数据。整个公司内部的信息管理严格按照规范的安全流程进行管理。

1.3严格的信息化设备管理

（1）严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁将公司配发的笔记本电脑带回家使用，严禁利用公司信息化设备资源为第三方从事兼职工作。

（2）公司所有硬件服务器统一放在机房内，由公司指定的部门承担管理职责，由专人负责服务器杀毒、升级、备份。

（3）非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，必须经过部门负责人批准，并登记备案。送修前，需将设备存储介质内的应用软件和数据等涉及经营管理的内容备份后删除，并进行登记，方可送修。对修复的设备，设备维修人员对应设备进行验收、病毒检测和登记。

（4）严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自处理或找非本单位技术人员对信息化设备进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。

（5）计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

（6）原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码，对于交换机、防火墙、路由器等网络设备也必须设管理密码。

（7）公司所有终端电脑、服务器都必须安装正版杀病毒软件，系统管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。

1.4系统管理员安全管理

（1）公司所有服务器，由指定的管理员集中管理。系统管理员权限必须经过公司管理层授权取得。

（2）各部门拥有各类服务器的使用权，核心业务部门还拥有相应服务器的管理权，核心业务部门拥有服务器的管理权由公司批准后授予。

（3）系统管理员负责各服务器的操作系统环境生成、维护，负责常规用户的技术支持和管理。

（4）系统管理员对业务系统进行数据整理、备份、故障恢复等操作，必须有其上级授权，在完成备份后交由公司指定的备份管理部门保存，并做好备份管理登记。

（5）系统管理员调离岗位，上级管理者或负责人应及时注销其管理密码并生成新的管理密码。

1.5密码与权限管理

（1）密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码设置不应是名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串；

（2）密码应每月定期修改，如发现或怀疑密码遗失或泄漏应立即修改，并在设置在机房的密码管理登记薄上记录用户名、修改时间、修改人等内容。

（3）服务器、防火墙、路由器、交换机等重要设备的管理密码由指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在启封出加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在：“密码管理登记薄”中登记。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除同时在“密码管理登记薄”中登记。

1.6信息安全管理

（1）公司每一位员工都有保守公司信息安全防止泄密的责任，任何人不得向外的任何单位或个人泄露公司技术和商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公司汇报，并在获得批准同意后，方能以认可的形式对外