科技类公司信息安全管理制度
公司信息安全管理制度公司信息安全管理制度 编制: *** 企业信息安全管理制度企业信息安全管理制度 近年来, 随着计算机技术和信息技术的飞速发展,社会的需求不断进步, 企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。 随 着信息化程度的日益推进,企业信息的脆弱性也日益暴露。如何规范日趋复杂的 信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害, 已成为当前行业实现信息化运作待解决的问题。 一、前言:企业的信息及其安全隐患。一、前言:企业的信息及其安全隐患。 在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到 细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析, 并针对信息安全提 出解决方案。涉及到企业安全的信息包括以下方面: A、项目合同。 B、商务信息。 C、财务信息。 D、服务器信息。 E、密码信息。 针对以上涉及到安全的信息,在企业中存在如下风险:针对以上涉及到安全的信息,在企业中存在如下风险: 1 1、来自企业外的风险、来自企业外的风险 (1)病毒和木马风险:互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染 企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严 重影响员工的工作效率; 有些木马在用户访问网络的时候, 不小心被植入电脑中,轻则丢失 工作文件,重则泄露机密信息。 (2) 不法分子等黑客风险: 计算机网络的飞速发展也导致一些不法分子利用网络行窃、 行骗等, 他们利用所学的计算机编程语言编译有特定功能的木马插件, 经过层层加壳封装技 术,用扫描工具找到互联网上某电脑存在的漏洞, 绕过杀毒软件的追击和防火墙的阻挠, 从 漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行, 开启远程终端等常 用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉, 尤其是技术部、项目部和 财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、 财务网银密码被窃取。 还有些黑客纯粹为显示自己的能力以攻击为乐, 他们在用以上方法在 2 网络上绑架了成千上万的电脑, 让这些电脑成为自己傀儡, 在网络上同时发布大量的数据包, 前几年流行的洪水攻击及 DDoS 分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器 资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。 2 2、来自企业内的风险、来自企业内的风险 (1)文件的传输风险:若有员工将公司重要文件以QQ、微信、MSN 发送出去,将会造 成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。 (2)文件的打印风险:若员工将公司技术资料或商业信息打印到纸张带出公司,会使企 业信息资料外泄。 (3)文件的传真风险:若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传 真给公司的技术文件和重要资料带走,会造成企业信息的外泄。 (4)存储设备的风险:若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司, 可能会泄露企业机密信息。 若有动机不良的员工, 私自拆开电脑机箱, 将硬盘偷偷带出公司, 将会造成企业信息的泄露。 (5)上网行为风险:员工可能会在电脑上访问不良网站,会将大量的病毒和顽固性插件 带到企业网络中来, 造成电脑及企业网络的破坏, 更甚者, 在电脑中运行一些破坏性的程序, 导致电脑系统的崩溃。 (6)用户密码风险:主要包括用户密码和管理员密码。若用户的开机密码、业务系统登 陆密码被他人掌握, 可能会窃取此用户权限内的信息资料和业务数据; 若管理员的密码被窃 取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。 (7)机房设备风险:主要包括服务器、UPS 电源、网络交换机、电话交换机、光端机等。 这些风险来自防盗、防雷、防火、防水。若这些自然灾害发生,可能会损坏机房设施,造成 业务中断。 (8)办公/区域风险:主要包括办公区域敏感信息的安全。 有些员工缺乏安全意识, 在办 公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容, 若不小心被其他 人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。 为了保证企业信息的安全保密, 公司所有人员必须严格遵守企业信息安全管理总则, 以 安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。 二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。 1 1、计算机设备安全管理、计算机设备安全管理 (1)公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应 3 用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 (2)严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何 人不允许私自拆卸计算机组件, 计算机出现故障时应及时向信息部报告, 不允许私自处理和 维修。 (3)发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违 章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有 使用的权利又有保护的义务。 任何的硬件损坏必须给出损坏报告, 说明损坏原因,不得擅自 更换。公司会视实际情况进行处理。 (4)下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的 计算机,原则上由最后一个退出系统的使用人员关机, 并关闭电源。外人未经公司领导批准 不得操作公司计算机设备。 2 2、部门资料安全管理、部门资料安全管理 (1)外接存储设备安全管理:严禁所有人员以个人介质光盘、U 盘、移动硬盘等存储 设备拷贝公司的文件资料并带出公司。 若因出差等原因需要拷贝文件资料到存储设备中, 需 要向上级请示此行为,并以公司存储设备做文件拷贝。 为确保硬盘的安全,严禁任何人私自 拆开电脑机箱:①将用户主机贴上封条标签,除IT 人员外,任何人不得私自拆开机箱,若 信管部进行电脑硬件故障排查时, 拆除封条标签后, 在故障排查结束及时更换新的封条标签。 信管部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。②给 每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由IT 保管,若需要 为用户处理电脑故障时,IT 在打开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机 内硬盘的安全。 (2)文件传真安全管理:所有人员对外发送传真,必须经上级核实后,统一在综合部 登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件, 一 经发现,所有后果将由个人承担。 在对内传真文件时,应即刻通知传真接收人接收并取走传 真件, 在传真结束时, 应马上取走传真原件。 若因传真时没有取走传真件, 导致传真件丢失, 造成本部门信息外泄,则由本人承担一切后果。 (3)文件打印安全管理:所有人员不得私自将公司文件打印带出公司,一经发现,严 肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印 完成后马上取走, 若因文件打印时有其他紧急事件, 应该通知本部门人员代为领取打印文件。 禁止一切打印后未及
蚂蚁文库