审其适用性、充分性,必要时予以修订。
组织的角色,职责和权限
公司经营管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
各部门的信息安全管理职责决定本部门组织形式和业务分担,并形成文件。 总经理为本公司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
1.2 信息安全管理手册之信息安全管理制度与规范、业务流程 1.2.1 信息安全与保密管理制度
1) 为了保证项目网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。
2) 凡项目组从事项目管理工作的员工都必须执行本规定。
3) 项目的合同、需求说明、设计变更、工作联系单、工程洽商单、经济签证单、公司内部资料等必须由各部门信息管理员妥善管理,严禁外借,严禁非相关人员传阅、查看。
4) 对接入计算机及设备,必须符合一下规定:
a) 在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。 b) 非我项目的计算机及任何外设,不得接入网络系统。 c) 严禁私自开启计算机机箱封条或机箱锁。
5) 凡使用项目配备计算机网络系统的员工,必须遵守以下规定;
a) 未经批准,严禁非本项目工作人员使用除计算机及任何相关设备。 b) 对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
c) 未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。
d) 任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
6) 严格执行国家、有关保密、安全及办公自动化系统的有关法律、法规的规定和要求。各部门应自觉按照有关规定和要求配合做好保密和信息安全工作。
7) 任何经由我公司外网接入互联网的员工,必须严格遵守国家有关法律、法规。
8) 凡使用公司网络系统的员工,必须配合网络管理员做好防病毒工作。
a) 由办公室负责网络防病毒工作。信息维护员负责实施防病毒的日常管理工作。
b) 凡装有可与外界进行数据传输的设备的计算机,必须安装防病毒程序,办公室定期对防病毒程序进行升级,增强对病毒的查杀能力。 c) 凡需入网传输数据的盘片,由网络管理员负责检查、清查计算机病毒,确保没有病毒后方可传输数据。
d) 员工在使用过程中如发现计算机病毒,应立即停止进行任何程序并报告网络管理员,如遇到现有防病毒程序无法清杀的病毒,网络管理员必须先将受感染的计算机从网络上隔开,协助员工做好数据备份工作,并为用户恢复系统。
9) 分公司办公室定期对有关部门进行计算机网络系统安全和数据保密检查,并将检查结果向处保密工作小组汇报。
10) 涉及项目信息安全与保密的管理人员均需要对本制度相关具体要求,进行保密工作承诺。
1.2.2 文件加密管理制度
1.2.2.1目的
为规范公司重要文件的安全管理级别,通过文件外发控制以及加密管理,防
止公司机密文件外泄,保障公司信息安全。
1.2.2.2范围
本管理制度适用于所有安装加密软件用户。 1.2.2.3重要文件定义
需要保护的公司重要电子文档包含:公司财务数据,公司人员信息总表,各部门培训课件,采购部商品分析表,薪资表,工程图纸,市场部合同信息,公司vip信息汇总表。
1.2.2.4职责与权限
所有安装加密软件用户必须按照本制度规定进行执行;网管负责人负责加密软件的日常维护,安装管理,以及加密软件权限分配;综合部负责监管。
1.2.2.5规定描述 1) 文件加密类型
2) 目前对所有安装加密软件的用户电脑的重要文件进行加密处理。 3) 文件传播方式控制
4) 禁止通过复制/剪贴方式进行外发信息;
5) 重要文件在创建或编辑时必须在指定机器上操作并进行加密。所有通过U盘、E-mail、QQ、MSN、微信、网盘等工具传送的重要文件,都必须经过部门主管许可才允许。
6) 公司部提倡远程工作及登录服务器,如有必要需进行申请,开放端口,并通过加密的方式进行通讯。 7) 文件外发控制管理
重要文件需要传递到没有安装加密软件用户或者外发到公司外部,必须由各部门制定人员经过加密处理后才允许外发。.
对违反本规定者按照《员工手册》的有关规定处理。
本制度由网管员编撰、修改、执行,自总经理批准之日起开始执行。
1.2.3 信息安全奖惩管理办法
1.2.3.1目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。 1.2.3.2适用范围
本规范适用于我公司内部信息安全事件的奖惩。 1.2.3.3定义 序号 001 角色 职责 信息安全事件 指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。 002 信息安全活动 为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。 1.2.3.4职责与权限
序号 角色 001 002 员工 各部门信息安全接口人 003 部门主管 职责 遵守公司信息安全管理制度,积极配合、参与信息安全活动。 协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。 是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。 004 部门经理 作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。 005 006 007
部门副总 对所负责部门的信息安全事件负相应的管理责任。 IT部信息安全组 对信息安全事件进行跟踪处理,并确定事件责任人。 总经理 最终审批信息安全事件处罚申请。
008 总经理 最终审批信息安全事件处罚申请。 1.2.3.5内容
(一)奖励、违规行为处罚原则 及时激励原则
对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。
举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
违规行为处罚原则 ? 法律追究原则
公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。 ? 违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。 ? 主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
? 过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚。 ? 及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。
(二)奖励等级与责任部门 奖励等级与措施 奖励事迹 奖励等级 奖励措施