公关活动策划公司信息安全管理办法.docxVIP

公关活动策划公司信息安全管理办法

一、总则

1.为加强公司信息安全管理，保障公司业务的正常开展和客户信息的安全，依据国家相关法律法规和行业标准，结合本公司实际情况，特制定本办法。

2.本办法适用于公司内部所有涉及信息处理、存储、传输和使用的部门、员工以及合作伙伴。

二、信息安全目标

1.确保公司信息资产的保密性，防止未经授权的访问、披露和使用。

2.维护信息的完整性，防止信息被篡改、损坏或丢失。

3.保障信息的可用性，确保公司业务运营所需信息的及时、准确获取和使用。

三、信息安全管理组织与职责

1.信息安全管理委员会

-公司设立信息安全管理委员会，作为信息安全管理的最高决策机构，由公司高层管理人员组成。其主要职责包括制定信息安全战略、审批信息安全政策和计划、协调解决重大信息安全问题等。

-信息安全管理委员会定期召开会议，审议信息安全工作进展报告，评估信息安全风险，并对信息安全管理措施的改进提出指导意见。

2.信息安全管理负责人

-公司指定一名信息安全管理负责人，全面负责公司信息安全管理工作的组织、协调和实施。信息安全管理负责人应具备相应的专业知识和管理能力，熟悉国家信息安全法律法规和行业标准。

-信息安全管理负责人的职责包括制定和执行信息安全管理制度、组织开展信息安全培训和教育、监督信息安全措施的落实情况、协调处理信息安全事件等。

3.各部门职责

-业务部门：负责在日常业务活动中遵循信息安全管理规定，保护本部门所涉及的客户信息和业务数据，及时向信息安全管理部门报告发现的信息安全问题。

-技术部门：承担公司信息系统的建设、维护和安全保障工作，包括网络安全防护、系统漏洞修复、数据备份与恢复等。同时，为其他部门提供技术支持和指导，协助解决信息安全相关的技术问题。

-人力资源部门：将信息安全培训纳入员工培训计划，组织开展信息安全意识教育和技能培训，确保员工了解并遵守信息安全管理规定。在员工招聘、离职过程中，做好信息安全相关的审查和交接工作。

-行政部门：负责公司物理环境的安全管理，包括办公场所的门禁控制、设备保管等，防止未经授权人员进入公司内部获取信息。

四、人员信息安全管理

1.人员招聘与背景审查

-在招聘过程中，对涉及信息安全敏感岗位的人员进行背景审查，包括但不限于个人信用记录、犯罪记录等，确保新员工无不良信息安全记录。

-新员工入职时，应签署保密协议，明确其在公司任职期间对公司信息安全的保密责任和义务。

2.信息安全培训与教育

-公司定期为员工提供信息安全培训，培训内容包括信息安全意识、公司信息安全政策和程序、安全操作规程、安全事件应急处理等。

-根据员工的岗位特点和职责，开展针对性的信息安全技能培训，如网络安全防护、数据加密技术等，提高员工信息安全防护能力。

-新员工入职时，必须接受初始信息安全培训，使其了解公司信息安全管理要求和基本安全知识。员工在工作过程中，如公司信息安全政策和技术有更新，应及时接受相应的培训。

3.员工行为规范

-员工应妥善保管个人工作账号和密码，不得共享或泄露给他人。密码应具有足够的强度，并定期更新。

-在使用公司信息系统和设备时，员工应遵守公司的信息安全规定，不得进行任何可能危害信息安全的操作，如安装未经授权的软件、访问非法网站等。

-员工在处理客户信息和公司业务数据时，应遵循保密原则，不得在未经授权的情况下复制、传播或披露信息。如因工作需要将信息带出公司，必须经过上级批准，并采取相应的安全措施。

4.离职人员管理

-员工离职时，应及时收回其工作账号、权限，并进行离职审计，检查其在任职期间是否存在违反信息安全规定的行为。

-离职员工应归还所使用的公司信息设备和存储介质，确保其中的公司信息已妥善处理或删除。

五、信息资产分类与保护

1.信息资产分类

-公司信息资产分为以下几类：

-客户信息：包括客户的基本资料、联系方式、业务需求、策划方案等。

-业务数据：如公关活动策划文档、执行情况记录、财务数据等。

-信息系统：包括公司内部使用的网络设备、服务器、软件系统等。

-物理资产：如办公设备、存储介质等。

-根据信息资产的重要性、敏感性和价值，对其进行分级，分为绝密、机密、秘密和一般四个级别。绝密级信息资产为对公司和客户利益有重大影响、一旦泄露将造成严重损失的信息；机密级信息资产为对公司和客户有重要价值、泄露可能造成较大损失的信息；秘密级信息资产为涉及公司和客户一般商业秘密、泄露可能造成一定损失的信息；一般级信息资产为对公司和客户价值较低、泄露影响较小的信息。

2.信息资产保护措施

-对于绝密级信息资产，应采取严格的访问控制措施，仅限于极少数授权人员访问，并进行详细的访问记录。信息存储应采用高强度加密技术，传输过程中应使用安全的通信