计算机信息系统保密管理制度.docxVIP

计算机信息系统保密管理制度

?一、总则

1.目的

为加强公司计算机信息系统的保密管理，确保公司机密信息的安全，防止信息泄露、篡改和丢失，特制定本制度。

2.适用范围

本制度适用于公司内所有涉及计算机信息系统的部门、人员及相关操作。包括但不限于办公电脑、服务器、网络设备、移动存储设备等所涉及的信息处理和存储。

3.基本原则

计算机信息系统保密管理遵循预防为主、综合治理、突出重点、保障安全的原则，确保公司信息资产的保密性、完整性和可用性。

二、保密管理职责

1.公司保密委员会

负责制定和修订计算机信息系统保密管理制度，并监督制度的执行情况。

审批重要信息系统的安全保密方案和措施，协调解决信息系统保密工作中的重大问题。

对违反信息系统保密规定的行为进行调查和处理，决定相应的处罚措施。

2.信息技术部门

负责计算机信息系统的日常维护和管理，保障系统的稳定运行和数据安全。

制定并实施信息系统安全策略，包括访问控制、数据加密、安全审计等措施。

定期对信息系统进行安全检查和风险评估，及时发现和处理安全隐患。

对涉及信息系统保密的人员进行安全培训和教育，提高员工的保密意识和技能。

3.各部门负责人

为本部门计算机信息系统保密工作的第一责任人，负责组织落实本部门的保密制度和措施。

对本部门员工进行保密教育和管理，监督员工遵守信息系统保密规定。

审核本部门涉及信息系统的重要操作和数据访问，确保操作符合保密要求。

4.全体员工

严格遵守计算机信息系统保密管理制度，保护公司机密信息不被泄露。

妥善保管个人使用的计算机及相关设备，设置安全的登录密码，并定期更换。

不得擅自将公司信息系统账号和密码提供给他人使用，不得在非工作场合谈论公司机密信息。

发现信息系统安全问题或可疑情况及时报告上级领导和信息技术部门。

三、信息系统安全策略

1.访问控制策略

根据工作职责和权限，对不同人员授予相应的信息系统访问权限，实行最小化授权原则。

用户账号和密码应严格保密，定期更换密码，避免使用简单易猜的密码。

对于涉及公司核心机密的信息系统，采用多因素认证方式，如密码、令牌、指纹识别等，增强访问安全性。

禁止非授权人员访问公司信息系统，严禁越权操作。离职或岗位变动人员，应及时注销其信息系统账号。

2.数据加密策略

对公司重要的数据文件和数据库进行加密存储，确保数据在传输和存储过程中的保密性。

根据数据的敏感程度和安全需求，选择合适的加密算法和密钥管理方式。

在数据备份时，同样进行加密处理，防止备份数据泄露。

对于涉及机密信息的电子邮件，应采用加密技术进行传输，确保邮件内容不被窃取。

3.安全审计策略

在信息系统中建立完善的审计机制，记录和监控所有重要操作和系统事件。

审计内容包括用户登录和注销、数据访问、系统配置更改等，以便及时发现异常行为。

定期对审计日志进行分析和审查，发现潜在的安全风险和违规行为，并及时采取措施进行处理。

审计日志应妥善保存一定期限，以便后续进行追溯和调查。

四、信息系统建设与管理

1.系统规划与设计

在信息系统规划和设计阶段，充分考虑安全保密因素，将保密要求纳入系统整体架构。

对涉及公司机密信息的系统，应采用安全可靠的技术架构和产品，确保系统具备足够的安全性和保密性。

与系统开发供应商签订保密协议，明确双方在信息安全方面的责任和义务，防止在开发过程中出现信息泄露。

2.系统开发与测试

严格控制信息系统开发过程中的访问权限，对开发人员的操作进行严格监控和审计。

在开发环境中对系统进行全面的安全测试，包括漏洞扫描、渗透测试等，及时发现和修复安全隐患。

对涉及公司机密信息的系统开发，应在专用的测试环境中进行，测试数据应进行脱敏处理，防止敏感信息泄露。

3.系统上线与验收

信息系统上线前，必须进行全面的安全评估和验收，确保系统符合公司保密要求和安全标准。

对系统的安全配置、访问控制、数据加密等功能进行严格检查，验收合格后方可正式上线运行。

建立系统上线后的跟踪和维护机制，及时处理系统运行过程中出现的安全问题和故障。

五、移动存储设备管理

1.设备购置与登记

如需购置移动存储设备用于公司业务，应选择具有加密功能和安全认证的产品。

对购置的移动存储设备进行详细登记，包括设备型号、编号、购置时间、使用部门等信息。

2.使用管理

移动存储设备只能用于公司内部业务，禁止用于个人目的或非法活动。

在使用移动存储设备前，应进行病毒查杀和安全检查，确保设备无安全隐患。

对于存储公司机密信息的移动存储设备，应设置访问密码和加密