信息安全管理制度（标准版）

PAGE1/NUMPAGES1信息安全管理制度信息安全管理制度（一）一、计算机设备管理制度1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由公司相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用。任何人不允许带电插拔计算机外部设备接口，计算机出现故障时应及时向IT部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。二、操作员安全管理制度（一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；（二）系统管理操作代码的设置与管理1、系统管理操作代码必须经过经营管理者授权取得；2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权；4、系统管理员不得使用他人操作代码进行业务操作；5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；（三）一般操作代码的设置与管理1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。2、操作员不得使用他人代码进行业务操作。3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。三、密码与权限管理制度1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串；2、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。4、系统维护用户的密码应至少由两人共同设置、保管和使用。5、有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。四、数据安全管理制度1、存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责；2、注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。4、数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。5、数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。6、需要长期保存的数据，数据管理部门需与相关部门制定转存，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。7、非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。9、运行维护部门需指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体（包括软盘、光盘、移动硬盘等）。五、机房管理制度1、进入主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作内容。2.IT部门人员进入机房必须经领导许可，其他人员进入机房必须经IT部门领导许可，并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录，由操作人和监督人签字后备查。3、保持机房整齐清洁，各种机器设备按维护计划定期进行保养，保持清洁光亮。4、工作人员进入机房必须更换干净的工作服和拖鞋。5、机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特别是易燃、易爆、有腐蚀等危险品进入机房。6、机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。7、严禁在通电的情况下拆卸，移动计算机等设备和部件。8、定期检查机房消防设备器材。9、机房内不准随意丢弃储蓄介质和有关业务保密数据资料，对废弃储蓄介质和业务保密资料要及时销毁（碎纸），不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。10、主机设备主要包括：服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护和防尘等项工作，保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。11、定期对空调系统运行的各项性能指标（如风量、温升、湿度、洁净度、温度上升率等）进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，保证机房空调的正常运行。12、计算机机房后备电源（UPS）除了电池自动检测外，每年必须充放电一次到两次。信息安全管理制度（二）1.总则1.1目的：为加强公司作风建设，宣传廉洁文化，预防利用职务及职权谋取不正当利益。同时做好公司信息的安全和保密工作，使公司所拥有的信息在经营活动中充分利用，保护公司的利益不受侵害，树立健康积极的企业文化形象，特制定本管理制度。1.2适用范围：本制度适用于公司所有在职员工。1.3定义：廉洁：清白高洁，不贪污，从不使用公家的钱来养活自己（不贪污），就是指人生光明磊落的态度和诚信，正直的风气。信息安全：信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行。业务单位：与公司有一切业务（含但不限于供货、施工、促销合作等关系）往来或联系的单位或个人。1.4职责权限3.1总经办负责廉洁文化建设方向的指引，对公司的信息安全管理具有监督和最后裁决权。3.2监察部负责监督和执行廉洁与信息安全管理规定，接受全体员工的举报和监督，对举报和违规情况进行调查核实。3.3行政部负责廉洁文化和信息安全意识的宣传和教育，接收和申报处理公司员工收受和外部财物。3.4信息部负责公司所有文件资料的分类存档和保存，对电子存档资料进行定期整理和备份，并做好文件防盗和密码保护工作。3.5各部门：具有共同维护公司廉洁文化建设和信息保密工作的权利，都有保守公司秘密的义务，对公司廉洁和信息安全管理规定具有监督和举报权。2.主要内容：2.1廉洁自律规定2.1.1不准收受任何业务单位的个人现金、购物卡券、有价证券和支付凭证。2.1.2因各种原因未能拒收业务单位的，必须及时向公司行政部申报统一处理。具体需申报的情况如下：业务单位不回收的样品和商品赠品；业务单位节假日馈赠的礼品、礼篮等；业务单位赠送的其他具有实际价值实物、活动等。业务单位组织的集体考察、学习、旅游等外出活动；业务单位赠送的无法拒绝的各类现金、购物卡券、有价证券和支付凭证；2.1.3不准向业务单位及其个人借贷钱物。2.1.4不准在各业务单位报销应由个人支付的有关票据。2.1.5不借业务办理之机，对各业务单位吃、卡、拿、要。4.1.6禁止利用职权和职务上的便利和影响为亲友及身边工作人员谋取利益。2.1.7工作中不弄虚作假，按规定收集整理好各类基础资料，不做假帐或帐外账。2.1.8不准用公款支付个人名义的宴请。公关或业务接待必须经总经办批准后在合理的范围内进行。2.1.9不准接受可能对商品和设备供应价格、施工价格的业务合作行为产生影响的钱、物馈赠和宴请。2.1.10不准为谋取不正当的利益，在经济往来中违反有关规定，以各种名义收取回扣、中介费、手续费等归个人所有。2.1.11不借出差、考察、学习之机利用公款进行旅游娱乐活动，或接受可能影响公正办理业务的宴请、礼品馈赠或其他服务。2.1.12严禁以虚报、谎报等手段获取荣誉；以虚报、谎报等手段获取的荣誉、职称及其他利益予以取消或者纠正。2.2信息安全2.2.1公开信息：公司已对外公开发布的信息，如公司宣传册、产品或公司介绍视频等。2.2.2保密信息：公司仅允许在一定范围内发布的信息，一旦泄露，将可能给公司或相关方造成不良影响。比如公司投资计划等。2.2.3根据信息价值、影响及发放范围的不同，公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性影响的保密信息，如：公司订单，重大投资决议等。机密信息：公司重要秘密，一旦泄露将使公司利益受到严重损害的保密信息如：未发布的任命文件，公司财务等文件。秘密信息：公司一般性信息，但一旦泄露会使公司利益受到损害的保密信息，(www.qiquha.com)如：人事档案，供应商选择评估标准等文件。内部公开：仅在公司内部公开或仅在公司某一个部门内公开，对外泄露可能会使公司利益造成损害的保密信息的保密信息，如：年度培训计划，员工手册，各种规章制度等。2.2.4公司保密信息包括但不限于以下内容：公司经营发展决策中的秘密事项；专有技术，专利技术、技术图纸;生产细则、工程BOM、SOP及治具资料；人事决策中的秘密事项；重要的合同、客户和合作渠道；招标项目的标底、合作条件、贸易条件；财务信息，公司非向公众公开的财务情况、银行账户账号；董事会或总经理确定应当保守的公司其他秘密事项。2.2.5除公司已经正式对外公开发布的信息外，任何单位和个人不得从事以下活动：利用信息网络系统制作、传播、复制有害信息；未经允许使用他人在信息网络系统中未公开的信息；未经授权对网络（内部信息平台）系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、复制和删除等；未经授权查阅他人邮件；盗用他人名义发送电子邮件；故意干扰网络（内部信息平台）的畅通运行；从事其他危害信息网络（内部信息平台）系统安全的活动。2.2.6公司保密信息应根据需要，限于一定范围的员工接触。接触公司秘密的员工，未经批准不准向他人泄露。非接触公司秘密的员工，不准打听公司秘密。2.3违规追责处理2.3.1公司所有员工一经任何人发现或内外部举报有违廉洁自律的行为，公司将组织相关部门进行调查核实，一经查证，将追究责任人所造成的责任损失，并进行违规处罚，对造成公司重大经济损失且情节严重的，将移交公安机关进行立案处理。2.3.2除公司公开的信息外，任何人将公司的保密信息以任何形式（口头传达、电子邮件、上传网络、存储拷贝、拍照影印、复印资料）对外泄露或散布出去的，公司将从源头上追究信息泄密者，经查实后立即根据情节轻重进行追责处理。因信息泄密造成公司经济损失或形象受损时，将依法移交司法机关进行处理。3.附则3.1本制度最终解释权归有限公司所有。3.2本制度自年8月9日起实行，暂定实施1年。信息安全管理制度（三）第一章　总　则第一条　为加强邮政行业寄递服务用户个人信息安全管理，保护用户合法权益，维护邮政通信与信息安全，促进邮政行业健康发展，根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定，制定本规定。第二条　在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作，适用本规定。第三条　本规定所称寄递服务用户个人信息（以下简称寄递用户信息），是指用户在使用寄递服务过程中的个人信息，包括寄（收）件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄递详情单号、时间、物品明细等内容。第四条　寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针，保障用户个人信息安全。第五条　国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构，统称为邮政管理部门。第六条　邮政管理部门应当与有关部门相互配合，健全寄递用户信息安全保障机制，维护寄递用户信息安全。第七条　邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定，防止寄递用户信息泄露、丢失。第二章　一般规定第八条　邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施，明确企业内部各部门、岗位的安全责任，加强寄递用户信息安全管理和安全责任考核。第九条　以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款，明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时，被加盟人应当依法承担相应安全管理责任。第十条　邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议，明确保密义务和违约责任。第十一条　邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训，加强职业道德教育，不断提高从业人员的法制观念和责任意识。第十二条　邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制，公布有效联系方式，接受并及时处理有关投诉。第十三条　邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的，在与委托方签订协议时，应当订立寄递用户信息安全保障条款，明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。第十四条　邮政企业、快递企业委托第三方录入寄递用户信息的，应当确认其具有信息安全保障能力，并订立信息安全保障条款，明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的，邮政企业、快递企业应当依法承担相应责任。第十五条　未经法律明确授权或者用户书面同意，邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。第十六条　公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案，邮政企业、快递企业应当配合，并对有关情况予以保密。第十七条　邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故，应当立即采取补救措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部门的调查处理工作，不得迟报、漏报、谎报、瞒报。第三章　寄递详情单实物信息安全管理第十八条　邮政企业、快递企业应当加强寄递详情单管理，对空白寄递详情单发放情况进行登记，对号段进行全程跟踪，形成跟踪记录。第十九条　邮政企业、快递企业应当加强营业场所、处理场所管理，严禁无关人员进出邮件（快件）处理、存放场地，严禁无关人员接触、翻阅邮件（快件），防止寄递详情单实物信息（以下简称实物信息）在处理过程中泄露。第二十条　邮政企业、快递企业应当优化寄递处理流程，减少接触实物信息的处理环节和操作人员。第二十一条　邮政企业、快递企业应当采用有效技术手段，防止实物信息在寄递过程中泄露。第二十二条　邮政企业、快递企业应当配备符合国家标准的安全监控设备，安排具有专门技术和技能的人员，对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。第二十三条　邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度，实行集中封闭管理，确定集中存放地，及时回收寄递详情单妥善保管。设立、变更集中存放地，应当及时报告所在地邮政管理部门。第二十四条　邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理，采取必要的安全防护措施，确保存储安全。第二十五条　邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时，应当确保档案完整无损，并做好查阅登记，不得私自携带离开存放地。第二十六条　寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严禁丢弃或者贩卖。第二十七条　邮政企业、快递企业应当对实物信息安全保障情况进行定期自查，记录自查情况，及时消除自查中发现的信息安全隐患。第四章　寄递详情单电子信息安全管理第二十八条　邮政企业、快递企业应当按照国家规定，加强寄递服务用户信息相关信息系统和网络设施的安全管理。第二十九条　邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定，合理划分安全区域，实现各安全区域之间有效隔离，并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。第三十条　邮政企业、快递企业应当配备必要的防病毒软件、硬件，确保信息系统和网络具有防范计算机病毒的能力，防止恶意代码破坏信息系统和网络，避免信息泄露或者被篡改。第三十一条　邮政企业、快递企业构建信息系统和网络，应当避免使用信息系统和网络供应商提供的默认密码、安全参数，并对通过开放公共网络传输的寄递用户信息采取加密措施，严格审查并监控对信息系统、网络设备的远程访问。第三十二条　邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时，应当与供应商签订保密协议，明确其安全责任，以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。第三十三条　邮政企业、快递企业应当建立信息系统安全内部审计制度，定期开展内部审计，对发现的问题及时整改。第三十四条　邮政企业、快递企业应当加强信息系统及网络的权限管理，基于权限最小化和权限分离原则，向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。邮政企业、快递企业应当加强对信息系统和数据库的管理，使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权，并受到安全审计员的监控和审计。第三十五条　邮政企业、快递企业应当加强信息系统密码管理，使用高安全级别密码策略，定期更换密码，禁止将密码透露给无关人员。第三十六条　邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理，包括：（一）使用独立物理区域存储寄递用户信息，禁止非授权人员进出该区域；（二）采用加密方式存储寄递用户信息；（三）确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人，建立设备、介质使用和借用登记制度，限制设备输出接口的使用。存储设备和介质报废的，应当及时删除其中的寄递用户信息数据，并销毁硬件。第三十七条　邮政企业、快递企业应当加强寄递用户信息的应用安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点和事项，留作信息安全审计依据。第三十八条　邮政企业、快递企业应当加强对离岗人员的信息安全审计，及时删除或者禁用离岗人员系统账户。第三十九条　邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则，对存储寄递服务信息的信息系统实行接入审查，定期进行安全风险评估。第五章　监督管理第四十条　邮政管理部门依法履行下列职责：（一）制定保障寄递用户信息安全的政策、制度和相关标准，并监督实施；（二）监督、指导邮政企业、快递企业落实信息安全责任制，督促企业加强寄递用户信息安全管理；（三）对寄递用户信息安全进行监测、预警和应急管理；（四）监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训；（五）依法对邮政企业、快递企业实施寄递用户信息安全监督检查；（六）组织调查或者参与调查寄递用户信息安全事故，依法查处违反寄递用户信息安全管理规定的行为；（七）法律、行政法规和规章规定的其他职责。第四十一条　邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传，强化邮政企业、快递企业及其从业人员的信息安全管理意识，提高用户对个人信息安全保护的认识。第四十二条　邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警，建立信息管理体系，收集、分析与信息安全有关的各类信息。下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况，并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。第四十三条　邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度，规范从业人员信息安全保护行为，防范信息安全风险等情况进行检查。第四十四条　邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定，妨害或者可能妨害寄递用户信息安全的，应当依法进行调查处理。违法行为涉及其他部门管理职权的，邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。第四十五条　邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。第四十六条　邮政企业、快递企业拒不配合寄递用户信息安全监督检查的，依照《中华人民共和国邮政法》第七十七条的规定予以处罚。第四十七条　邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的，应当依法予以赔偿。第四十八条　邮政企业、快递企业及其从业人员违法提供寄递用户信息，尚未构成犯罪的，依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的，移送司法机关追究刑事责任。第四十九条　任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后，应当依法及时处理。第五十条　邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件，以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息，但涉及国家秘密、商业秘密和个人隐私的除外。第五十一条　邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密，不得泄露、篡改或者损毁，不得出售或者非法向他人提供。第五十二条　邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊，依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。第六章　附　则第五十三条　本规定自发布之日起施行。精品资料欢迎下载