第一篇：企業(yè)信息安全工作報告

年信息安全報告

為認真貫徹落實信息安全防護工作，依照《印發(fā)Xx重點領域網(wǎng)絡與信息安全檢查工作方案和信息安全自查操縱指南的通知》，我局立即組織展開信息系統(tǒng)安全檢查工作，現(xiàn)將自查情況匯報以下。

一、信息安全組織管理

領導重視,機構健全。針對信息系統(tǒng)安全檢查工作,理事會高度重視,做到了主要領導親身抓,并成立了專門的信息安全工作領導小組,組長由Xx擔負,副組長由Xx，成員由各科（室）、直屬單位負責人組成,領導小組下設辦公室,辦公室設在Xx。建立健全信息安全工作制度,積極主動展開信息安全自查工作,保證了殘疾人工作的良好運行,確保了信息系統(tǒng)的安全。

二、健全制度，嚴格管理

建立全面的信息安全管理體系，包括集團信息安全工作方針和策略、信息安全組織結構及職責、信息安全事件處置與報告制度、網(wǎng)絡與信息系統(tǒng)應急預案管理辦法、變更管理辦法、網(wǎng)絡管理制度、系統(tǒng)管理制度、資產(chǎn)管理辦法、人員安全管理辦法等內容。并嚴格網(wǎng)絡信息保密管理制度，實行“涉密不上網(wǎng)，上網(wǎng)不涉密”堅持“誰發(fā)布，誰負責”的原則，信息系統(tǒng)安全方面實行領導審查簽字制度，凡互聯(lián)網(wǎng)上傳的信息，必須經(jīng)本單位主要領導審查批準，并按照臺里新聞領導三審制度，做好信息審批才能上傳。特別是針對重點崗位人員鑒證了保密安全責任書，制定了日?？己吮O(jiān)督制度，確保管理監(jiān)查到位。

三、技術落實

日常管理方面切實抓好網(wǎng)內、外網(wǎng)和硬件、應用軟件“三層管理”，落實具體負責信息安全工作人員，對涉密信息文件、材料實行專人管理，對重點部門、崗位等進行嚴格管理，確保信息安全工作。同時，重點抓好“三大安全”排查：一是硬件安全。包括傳輸、防雷、防火、監(jiān)控和電源等硬件設備都具有災難備份，確保所有設備正常運轉。二是網(wǎng)絡安全。包括網(wǎng)絡結構、安全日志管理、密碼管理、互聯(lián)網(wǎng)行為管理等；數(shù)據(jù)庫存儲備份、移動存儲設備管理、數(shù)據(jù)加密等安全防護措施，明確了網(wǎng)絡安全責任，強化了網(wǎng)絡安全工作。三是應用安全。包括網(wǎng)站、軟件管理等；上傳文件提前進行病素檢測；分模塊分權限進行維護。各機房和網(wǎng)站的服務器使用專屬權限密碼鎖登陸后臺，主要管理人員負責保密管理，服務器的用戶名和開機密碼為其專有，且規(guī)定嚴禁外泄。同時，涉密計算機相互共享之間設有嚴格的身份認證和訪問控制。

2、技術防護

按照等級保護、密碼防護等標準規(guī)范要求，各信息系統(tǒng)安裝了硬件防火墻，同時配置安裝了瑞星專業(yè)殺毒軟件，涉密計算機經(jīng)過保密技術檢查，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并要求安全信息管理員積極與網(wǎng)絡安全保障經(jīng)驗豐富的人員取得聯(lián)系，定期對網(wǎng)站安全保障工作進行檢查指導，在突發(fā)信息安全事件時給予技術支持。

3、應急處置與災備

我局信息系統(tǒng)系統(tǒng)，在突發(fā)事件時候，安全信息人員馬上切換應急備份系統(tǒng)，并上報主管領導，啟動安全應急預案及時處置，保證信息系統(tǒng)萬無一失。同時，為了技術安全與服務提供商簽訂硬件、軟件維護事宜，商定給予應急技術最大程度的支持。

四、存在的主要問題和面臨的威脅分析

1、發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)

（1）專業(yè)技術人員較少，信息系統(tǒng)安全方面可投入的力量有限;（2）規(guī)章制度體系初步建立，但還不完善，未能覆蓋相關信息系統(tǒng)安全的所有方面。

2、面臨的安全威脅與風險

(1)拒絕服務攻擊：供給者通過某種方法使系統(tǒng)響應減慢甚至癱瘓，組織合法用戶獲得服務。

(2)非授權訪問：沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源。(3)傳播病毒：通過網(wǎng)絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。

3、整體安全狀況的基本判斷

我局對信息安全工作嚴格按照有關要求，對涉及到的信息進行安全檢查，嚴格落實有關網(wǎng)絡信息安全保密方面的各項規(guī)定，采取了多種措施防范安全保密有關事件的發(fā)生，總體上看，我局網(wǎng)絡信息安全保密工作做得比較扎實，效果也比較好，近年來未發(fā)現(xiàn)失泄密問題。

五、改進措施與整改效果

我局針對存在的問題采取一些改進措施：一是繼續(xù)加強對工作人員的安全意識教育和技術培訓；二是切實增強信息安全制度的落實工作，不定期的對安全制度執(zhí)行情況進行檢查，對于導致不良后果的責任人，要嚴肅追究責任；三是以制度為根本，在進一步完善信息安全制度的同時，安排專人，完善設施，密切監(jiān)測，隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故;四是提高安全工作的現(xiàn)代化水平，便于我們進一步加強對計算機信息系統(tǒng)安全的防范和保密工作。同時密切聯(lián)系網(wǎng)絡安全技術專業(yè)人員，加強機房和網(wǎng)站安全措施建設力度；五是加強對信息系統(tǒng)的監(jiān)督管理，嚴格信息發(fā)布制度，加大對信息內容，信息權威性、一致性和時效性及網(wǎng)上信息辦理情況的監(jiān)管力度。

六、對信息安全工作開展的意見和建議

1、希望上級有關部門加強信息網(wǎng)絡安全技術人員培訓和演練，使安全技術人員及時更新信息網(wǎng)絡安全管理知識，提高相關管理及法律法規(guī)等的認識，不斷地加強信息網(wǎng)絡安全管理和技術防范水平。

2、加大信息安全網(wǎng)絡安全防護設備的投入。

年 月 日

第二篇：企業(yè)信息安全保密制度

企業(yè)集 團 管 理 制 度

信息安全保密制度

（2016初稿）/ 9

上海企業(yè)經(jīng)營管理股份有限公司

信息安全保密制度 第一章 總 則

第一條 根據(jù)國家相關規(guī)定，結合《企業(yè)知識產(chǎn)權管理規(guī)范》及具體情況，為保障公司整體利益和長遠利益，使公司長期、穩(wěn)定、高效地發(fā)展，適應激烈的市場競爭，特制定本制度。

第二條 本規(guī)定是安全保密、知識產(chǎn)權及專利保護工作的依據(jù)和準則。各部室要把安全保密工作列入工作規(guī)劃，使安全工作落到實處。

第三條 公司秘密是關系公司權力和利益，依照程序只允許特定時空范圍的人員知悉的事項，包括但不限于技術專利、財務、人事和其他商業(yè)機密。技術秘密是指能為公司帶來經(jīng)濟利益、具有實用性的技術信息、設計方案等，包括但不限于：技術信息、工程設計、科研專利、知識產(chǎn)權等等。財務秘密包括但不限于公司經(jīng)營的財務、資產(chǎn)及相關統(tǒng)計數(shù)字。人事秘密主要是與公司人力資源現(xiàn)狀、招聘計劃、員工隱私、勞資狀況等相關的信息。包括但不限于：人事檔案、合同、協(xié)議、職員工資性收入、招聘計劃等。日常秘密主要包括不限于：日常文件文檔、資料等。商業(yè)秘密包括但不限于：客戶名單、定價政策、財務資料、進貨渠道，等等。

第四條 公司所有職員、外派人員都有保守公司秘密的義務。接觸到公司秘密的高級員工，如：管理人員、技術人員、財務人員、秘書等負有特別的保秘責任。

第五條 保密工作實行安全、便利可行、積極預防的工作方針。保密范圍和密級確定： / 9

第六條 公司秘密包括本制度第三條規(guī)定的及下列秘密事項：(一)公司重大決策中的秘密事項；

(二)公司尚未付諸實施的經(jīng)營戰(zhàn)略、方向、規(guī)劃及決策等；(三)公司內部掌握的合同、協(xié)議、意見書及可行性報告；(四)公司財務預決算報告及各類財務報表、統(tǒng)計報表；(五)公司職員人事檔案，工資性、勞務性收入及資料；(六)公司科研專有技術、專利、知識產(chǎn)權、工程設計、等等；(七)其他經(jīng)公司確定應當保密的事項。

第七條 公司秘密的密級分為“絕密”、“機密”、“秘密”三級。

絕密是最重要的公司秘密，泄露會使公司權益和利益遭受特別嚴重損害;機密是重要的公司秘密，泄露會使公司權益和利益遭受到嚴重損害;秘密是一般的公司秘密，泄露會使公司權力和利益遭受損害。

第八條 秘級的確定：

(一)公司經(jīng)營發(fā)展中，直接影響公司權益和利益的重要決策文件、技術資料、技術專利等為絕密級;(二)公司的規(guī)劃、財務報表、統(tǒng)計資料、重要會議記錄、公司經(jīng)營情況為機密級;(三)公司人事檔案、合同、協(xié)議、職員工資性收入、尚未進入市場或尚未公開的各類信息為秘密級。

第九條 秘密級別由董事會秘書辦公室依據(jù)第七條確定，并確定保密期限：分永久、長期、短期，一般與密級相對應，特殊情況外標明。保密期限屆滿，自行解密。/ 9

第十條 發(fā)現(xiàn)已經(jīng)或者可能泄露秘密時，應立即采取補救措施并報告主管部室或公司領導；主管部室或領導接到報告，應及時處理。

第十一條 本制度規(guī)定的泄密是指下列行為之一：(一)使秘密被不應知悉者知悉的;(二)使秘密超出接觸限定范圍，而不能證明未被不應知悉者知悉的。

第二章 日常保密管理規(guī)定

第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項等。辦公室為日常保密工作管理部室。辦公室主要保密職責：

(一)根據(jù)法律及上級公司規(guī)定，結合公司實際制定安全保密管理規(guī)定，并監(jiān)督實施；

(二)負責組織宣傳安全保密管理規(guī)定、制度，組織培訓學習公司有關保密安全條例；

(三)制定并落實人事、檔案保密管理措施；

(四)配合其他部室完成技術、財務、商業(yè)等保密的管理、監(jiān)督和檢查工作；(五)嚴格機要、文印人員、招聘選拔；

(六)對安全保密突發(fā)事件應急處理，日常安全保密工作的監(jiān)督；協(xié)助公司領導完成保密工作檢查、獎懲及與之相關的活動等；

(七)承辦上級領導交辦的其他保密事項。

第十三條 日常保密工作，各部室、各崗位應做到：

(一)領導干部、部室負責人、專業(yè)組長：增強保密意識、以身作則，模范遵守保密規(guī)定，落實保密責任。做到：不泄露知悉的公司秘密；不在無保密保障的/ 9

場所閱辦秘密文件、資料；不在家屬、親友、熟人和其他無關人員面前談論公司秘密事項；不攜帶秘密文件、資料參加社交活動；不在出訪、考察等外事活動中攜帶秘密文件、資料；閱辦完秘密文件及時清退、歸檔；審校、簽發(fā)文件及稿件時，要把好定密關；下級發(fā)生泄密問題后，及時上報、設法補救，不掩蓋包庇。

(二)員工應做到：不該說的秘密不說；不該問的秘密不問；不該看的秘密不看；不該記錄的秘密不記錄；不在非保密本上記錄秘密；不在公共場所和家屬、子女、親友面前談論公司秘密事項；不在不利于保密的地方存放秘密文件、資料；不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場所；不在私人交往中泄露公司秘密。日常保密措施：

第十四條 健全收發(fā)文制度，各部室要有專人負責文件、設計圖紙、技術檔案等機密文件的管理和清退工作，發(fā)現(xiàn)秘級文件資料丟失、被竊、泄密時，須立即報告，及時追查、力挽損失。

第十五條 檔案管理按照質量管理體系文件中有關規(guī)定執(zhí)行。

第十六條 有秘密內容的會議或活動，主辦部門應采取措施：

(一)選擇具備保密條件的會議場所，嚴禁使用無線話筒傳達密件或向室外擴音；

(二)根據(jù)需要，限定參會人員的范圍，指定參會人員;(三)依照規(guī)定使用會議設備和管理會議文件；

(四)規(guī)定不準記錄的會議內容，不得記錄，不攜帶錄音機進入會場錄音；不以任何形式對外泄露會議秘密內容，會議結束后，要對會議場所進行保密檢查；/ 9

嚴禁濫印、復印會議秘密文件資料，確需要復制的須經(jīng)批準。

第十七條 文印崗人員應該做到：

(一)復印的秘密文件：需經(jīng)批準后才能復??；嚴格控制份數(shù)，復印件要按原件一樣管理；

(二)嚴格保管承印的秘密文稿、資料及有秘密內容的磁盤、錄音筆等；對會議記錄和有關文件、資料嚴加保管，及時立卷歸檔；

(三)嚴格遵守保密紀律，打印、復印涉密文稿的內容不得傳播，不得讓無關人員閱看，不私自多印留存；

(四)打印的密件廢頁、圖紙廢頁、蠟紙應及時處理，不讓無關人員閱看；發(fā)現(xiàn)密件丟失或下落不明，要立即報告，并抓緊查找，采取補救措施。定期檢查、清理、清退、銷毀文件；嚴防將秘密文件、資料和文件底稿隨同舊報紙等出售。

第十八條 對于密級文件、資料設計圖紙、方案、技術標準和其他物品，須采取保密措施：

(一)非經(jīng)批準，不得復制和摘抄;收發(fā)、傳遞和外出攜帶，由指定人員擔任，并采取必要的安全措施；

(二)在設備完善的保險裝置中保存；

(三)如有與質量管理體系中規(guī)定相左之處，以后者為準。第十九條 如有必要公司應與相關人員簽訂《保密合同》。

第三章 商業(yè)保密管理規(guī)定

第二十條 商業(yè)保密包括但不限于：客戶信息、采購資料、定價政策、財務資料、進貨渠道、投標信息、經(jīng)營策略等。

第二十一條 市場部為商業(yè)保密的主管部門，辦公室及其他部門配合市場部/ 9

完成商業(yè)保密管理。市場部主要保密職責：

(一)制定商業(yè)保密管理有關規(guī)范、制度，并組織實施、監(jiān)督；(二)組織宣傳、培訓商業(yè)管理規(guī)定；

(三)負責本部門保密管理工作，監(jiān)督其他部門管理工作；(四)負責商業(yè)泄密事件的應急、調查、處理、處罰工作；

第二十二條 涉及公司商業(yè)秘密的合作、代理、交易合同或協(xié)議，依據(jù)情況設置相關“保密條款”，限制對方行為。

第二十三條 市場部有關人員不可將商業(yè)秘密透露給任何第三方或用于合同目的以外的用途，離職、辭職時，要及時交出相關資料，同時不得泄露公司經(jīng)營秘密；不可在對外接受訪問或者與任何第三方交流時泄露秘密內容。

第四章 財務保密管理規(guī)定

第二十四條 財務保密工作包括但不限于資產(chǎn)、財務統(tǒng)計數(shù)字及工資及其他報表的保密。

第二十五條 財務部為財務保密的歸主管部門，市場部、辦公室及其他部門配合財務部落實財務保密工作。財務部主要保密職責：

(一)根據(jù)法律及上級單位規(guī)定，結合實際制定財務保密規(guī)范；(二)組織本部門員工學習并執(zhí)行財務保密制度的有關規(guī)定；(三)負責組織宣傳保密、安全管理規(guī)定、規(guī)范，組織培訓學習公司有關保密安全規(guī)定；

(四)負責本部門保密管理工作，監(jiān)督其他部門管理工作； / 9

(五)負責財務泄密事件的應急、調查、處理、處罰工作；

第五章 計算機與互聯(lián)網(wǎng)信息保密管理規(guī)定

第二十六條 IT部要健全各項信息保密管理制度，強化機房計算機的應用管理。凡秘密數(shù)據(jù)的傳輸和存貯均應采取相應的保密措施，錄有文件的存貯設備要妥善保管，嚴防丟失。

(一)保障公司計算機及其相關的配套設備、設施的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，維護計算機信息系統(tǒng)的安全性。應及時發(fā)現(xiàn)安全隱患，及時提出解決方案，及時處理解決問題；

(二)新用戶登記時，應認真核實其身份，并詳細記錄用戶的相關信息。員工不允許將公司“用戶信息和網(wǎng)絡密碼”告知非本公司人員。員工離開本公司，IT部應注銷該員工的所有用戶信息；

(三)對于安全性較高的信息，需要嚴格管理。無論是紙張形式還是電子形式，均要落實到責任人。嚴禁將工作中的數(shù)據(jù)文檔帶離。

(四)企業(yè)研發(fā)的各辦公系統(tǒng)的數(shù)據(jù)內容要嚴格把關；IT部要將審核后的內容準確、安全、即時地上傳至托管服務器。

(五)加強計算機系統(tǒng)的保密安全管理。對涉密與非保密計算機予以明確區(qū)分，涉密機必須完全與局域網(wǎng)脫離連接，并禁止上因特網(wǎng)以防泄密。并采取身份認證、存儲傳輸加密、配置防視頻泄密干擾器等措施加強保密防范。

第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發(fā)、傳遞、使用、復制、摘抄、保存和銷毀，由辦公室或主管領導委托專人執(zhí)行；采用電腦技術存取、處理、傳遞的公司秘密由IT部門負責保密。/ 9

第二十八條 計算機房內，禁止無關人員逗留、參觀，嚴禁會客。

第六章 罰則 和 獎則

第二十九條 公司對在安全保密工作中做出突出成績的個人和部室給予獎勵。

第三十條 對未按本《規(guī)定》進行管理或管理不善造成秘密泄漏的，除對直接責任者按規(guī)定給予相應處理外，還將追究所屬部室主要負責人的責任，并對直接責任者和所屬部室給予相應的經(jīng)濟處罰。

第三十一條 對無視本《規(guī)定》，以謀取個人或小集團利益為目、蓄意泄漏秘密的，造成重大損失和嚴重后果的，將依《中華人民共和國刑法》追究法律責任。

第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經(jīng)濟損失，削弱競爭能力的，視情節(jié)輕重給予不同程度的行政處分和經(jīng)濟處罰，明知故犯者加重處罰。對違反本《規(guī)定》，使單位秘密泄露，造成直接或間接經(jīng)濟損失的，由公司保衛(wèi)部及所屬管理部門負責調查核實，并提出處理意見，報公司領導批準后執(zhí)行。

第七章 附 則

第三十三條 本《規(guī)定》自發(fā)布之日起執(zhí)行。第三十四條 本規(guī)定的解釋權屬于本公司保衛(wèi)部。/ 9

第三篇：企業(yè)信息安全管理辦法

信息安全管理辦法

第一章 總則

第一條

為加強公司信息安全管理，推進信息安全體系建設，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)國家有關法律、法規(guī)和《公司信息化工作管理規(guī)定》，制定本辦法。

第二條

本辦法所指的信息安全管理，是指計算機網(wǎng)絡及信息系統(tǒng)（以下簡稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。

第三條

公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各信息系統(tǒng)的主管部門、運營和使用單位各自履行相關的信息系統(tǒng)安全建設和管理的義務與責任。

第四條

信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。

第五條

本辦法適用于公司總部、各企事業(yè)單位及其全體員工。

第二章 信息安全管理組織與職責

第六條

公司信息化工作領導小組是信息安全工作的最高決策機構，負責信息安全政策、制度和體系建設規(guī)劃的審批，部署并協(xié)調信息安全體系建設，領導信息系統(tǒng)等級保護工作。

第七條

公司建立和健全由總部、企事業(yè)單位以及信息技術支持單位三方面組成，協(xié)調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導，確定相關責任，設置相應崗位，配備必要人員。

第八條

信息管理部是公司信息安全的歸口管理部門，負責落實信息化工作領導小組的決策，實施公司信息安全建設與管理，確保重要信息系統(tǒng)的有效保護和安全運行。具體職責包括：組織制定和實施公司信息安全政策標準、管理制度和體系建設規(guī)劃，組織實施信息安全項目和培訓，組織信息安全工作的監(jiān)督和檢查。

第九條

公司保密部門負責信息安全工作中有關保密工作的監(jiān)督、檢查和指導。

第十條

企事業(yè)單位信息部門負責本單位信息安全的管理，具體職責包括：在本單位宣傳和貫徹執(zhí)行信息安全政

策與標準，確保本單位信息系統(tǒng)的安全運行，實施本單位信息安全項目和培訓，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。

第十一條

技術支持單位在信息管理部的領導下，承擔所負責的信息系統(tǒng)和所在區(qū)域的信息安全管理任務，主要包括：在所維護系統(tǒng)和本區(qū)域內宣傳和貫徹信息安全政策與標準，確保所負責信息系統(tǒng)的安全運行。

第十二條

各級信息管理部門設立信息安全管理和技術崗位，包括信息安全、應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡負責人和管理員，重要崗位可設置兩個員工互為備份。

第十三條

信息安全崗位的設立應遵循職責分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權者與操作者分離，應用系統(tǒng)管理員與數(shù)據(jù)庫管理員分離，程序開發(fā)人員不應具備對生產(chǎn)環(huán)境的訪問權限。

第十四條

公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統(tǒng)控制要求，承擔相關安全義務和責任，并及時報告信息安全事件。

第三章 信息安全目標與工作原則

第十五條

信息安全工作的總體目標是：實施信息系統(tǒng)安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐公司業(yè)務持續(xù)、穩(wěn)定、健康發(fā)展。

第十六條

信息安全體系建設必須堅持以下原則： 堅持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一投資、統(tǒng)一建設、統(tǒng)一管理。

保障應用。保障網(wǎng)絡和信息系統(tǒng)，特別是全局網(wǎng)絡和重要業(yè)務信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全，實現(xiàn)以應用促安全，以安全保應用。

符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國家對信息系統(tǒng)等級保護、企業(yè)內部控制要求，積極采用法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務。

綜合防范。管理與技術并重，相互補充。從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡與系統(tǒng)、數(shù)據(jù)與應用等多方面著手，在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合防范。

集中共享。建立集中、統(tǒng)一的信息安全技術服務平臺和

集中專業(yè)化的信息安全隊伍。

第四章 信息安全工作基本要求

第十七條

根據(jù)公司信息安全專項規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，并保持三個體系穩(wěn)定、均衡發(fā)展。

第十八條

建立全面的信息安全管理體系：

制定并實施統(tǒng)一的信息安全策略、管理制度和技術標準。

實行信息系統(tǒng)資產(chǎn)管理責任制，保護信息系統(tǒng)，特別是核心信息系統(tǒng)的設備、軟件、數(shù)據(jù)和技術文檔的安全。

建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。

實現(xiàn)對信息系統(tǒng)的安全風險管理，及時發(fā)現(xiàn)和防范安全隱患。

第十九條

建立有效的信息安全技術體系：

強化網(wǎng)絡、桌面和應用系統(tǒng)安全防護體系，按照自主定級、自主保護的原則，評估確定各信息系統(tǒng)保護等級并實施

相應的保護措施。

建立統(tǒng)一的網(wǎng)絡安全信任體系，加強網(wǎng)絡實體身份管理與認證，為網(wǎng)絡和信息系統(tǒng)安全運行提供信任基礎。

建立完善有效的安全監(jiān)控和預警體系，監(jiān)控重要網(wǎng)絡和核心業(yè)務系統(tǒng)，及時發(fā)現(xiàn)安全隱患。

建立全面有效的應急響應體系，制定并落實完整、規(guī)范的應急處理和響應流程，完善信息安全報告、處理機制。

建立包括同城和異地容災備份中心的信息系統(tǒng)災難恢復體系，定期進行災難恢復的測試和演練，確保災難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 信息安全監(jiān)控

第二十條

信息安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡安全的因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同時為其他安全措施的設計和實施提供可靠依據(jù)。安全監(jiān)控的結果要保存一年以上。

第二十一條

信息系統(tǒng)的運行和維護單位，在國家法律和公司有關規(guī)定許可的范圍內，具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡及應用系統(tǒng)的用戶有義務接受

必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內容。

第二十二條

各級信息部門負責制定和實施信息安全監(jiān)控計劃，包括日常監(jiān)控、應急處理和定期匯報。

第二十三條

日常監(jiān)控分為實時監(jiān)控和定期檢查，包括應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查。監(jiān)控及檢查結果要存檔備查，異常情況須及時向有關負責人匯報。

第二十四條

各級信息部門應對網(wǎng)絡及重要信息系統(tǒng)制定詳細的應急處理預案。應急處理按照預案進行，并至少每年組織一次相關崗位人員進行應急預案演練。

第二十五條

各級信息部門編制、上報信息安全月報和年報，及時向主管領導和上級部門匯報重大信息安全風險和事件。

第六章 信息安全風險評估

第二十六條

信息管理部負責組織建立風險評估規(guī)范及實施團隊，定期或在重大、特殊事件發(fā)生時進行風險評估。

第二十七條

風險評估包括范圍確定、風險識別、風險分析和控制措施，確保信息安全，滿足應用和業(yè)務需要。

評估范圍可包括管理組織、流程、政策與標準、應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡、物理環(huán)境，應涵蓋公司內部關鍵控制點。

風險識別包括識別風險類型和風險事件，形成風險列表，更新信息風險數(shù)據(jù)庫。

風險分析包括信息資產(chǎn)分類、風險發(fā)生概率和影響程度分析，并確定風險等級，形成風險評估報告。

控制措施包括安全管理策略和風險控制措施，形成風險控制報告。

第二十八條

信息管理部將風險評估和控制報告上報信息主管領導審批。根據(jù)領導審批意見，落實控制措施。

第七章 信息安全培訓

第二十九條

信息管理部負責制定公司信息安全培訓計劃，組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓，培訓計劃報信息管理部備案。

第三十條

信息管理部及各企事業(yè)單位信息部門對應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡管理員、開發(fā)人員進行信息安全技術培訓，提高信息安全管理和維護水平。

第三十一條

信息管理部及各企事業(yè)單位信息部門分層次、分類型對員工進行信息安全培訓，包括針對業(yè)務和技術管理人員進行管理層面的信息安全管理培訓，針對從事日常業(yè)務處理人員進行操作層面基本安全知識培訓。

第三十二條

員工上崗前，應進行崗位信息安全培訓，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動時，及時調整信息系統(tǒng)操作權限。

第三十三條

信息安全政策與標準發(fā)生重大調整、新建和升級的信息系統(tǒng)投入使用前，開展必要的安全培訓，明確相關調整和變更所帶來的信息安全權限和責任的變化。

第八章 信息安全檢查與考核

第三十四條

信息管理部定期進行信息安全檢查與考核，包括信息安全政策與標準的培訓與執(zhí)行情況、重大信息安全事件及整改措施落實情況、現(xiàn)有信息安全措施的有效性、信息安全技術指標完成情況。

第三十五條

各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運行維護管理辦法》進行信息安全自我考核，信息管理部進行綜合評價，形成考核報告，報信息主管領導。

第三十六條

對于不執(zhí)行本辦法造成嚴重后果的，應追究相關部門和個人責任。

第九章 附則

第三十七條

各企事業(yè)單位可參照本管理辦法制定相應的實施細則。

第三十八條 第三十九條

本辦法由公司信息管理部負責解釋。本辦法自印發(fā)之日起施行。

第四篇：關于企業(yè)信息安全管理制度

關于企業(yè)信息安全管理制度

安全生產(chǎn)是企業(yè)的頭等大事，必需堅持“安全第一，預防為主”的方針和群防群治制度，認真貫徹落實安全管理制度，切實加強安全管理，保證職工在生產(chǎn)過程中的安全與健康。根據(jù)國家和省有關法規(guī)、規(guī)定和文件，制定本企業(yè)信息安全管理制度。

一、計算機設備安全管理制度

計算機不同于其他辦公設備，其有用性、嚴密性、操作技術性強，含量高、部件易受損，特殊是聯(lián)網(wǎng)計算機，開放性程度比較高，電腦內部易受外界的愉窺、攻擊和病毒感染。為確保計算機軟、硬件及網(wǎng)絡的正常使用，特制定本制度。

1、公司內全部計算機歸網(wǎng)絡部統(tǒng)一管理，配備計算機的員工只負責使用操作;

2、計算機管理涉及的范圍

2.1全部硬件(包括外接設備)及網(wǎng)絡聯(lián)接線路:

2.2計算機及網(wǎng)絡故障的排除:

2.3計算機及網(wǎng)絡的維護與修理:

2.4操作系統(tǒng)的管理:

3、公司內全部計算機使用人員均為計算機操作員:

4、網(wǎng)絡維護部負責對公司內全部計算機進行定期檢查，一般每兩月進行一次;

5、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環(huán)境，禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

6、非本單位技術人員對我單位的設備、系統(tǒng)等進行修理、維護時，必需由本單位相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外修理，須經(jīng)有關部門負責人批準。

7、嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口，計算機出現(xiàn)故障時應準時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行修理及操作。

二、操作員安全管理制度

1、計算機原那么上由專人負責操作維護，不得串用設備。下班后必需按程序關閉主機和其他設備，切斷電源。

2、為保證計算機信息安全，必需為計算機設置密碼。

3、計算機操作員除使用操作計算機外，不允許有以下行為:

3.1硬件設備出現(xiàn)故障擅自拆開主機機箱蓋板;

3.2更換計算機配件(如鼠標、鍵盤、耳麥):如有向網(wǎng)絡管理員寫設備申請單審批。

3.3刪除計算機操作系統(tǒng)及公司指定的軟件:

3.4使用帶病毒的計算機軟件;

3.5讓外來人員進行有損于計算機的技術性操作;

4、不得使用來路不明或未經(jīng)殺毒的盤片。計算機操作員定期對計算機進行殺毒。如覺察計算機有病毒時，應準時去除，去除不了的病毒，要準時上報，5、個人的公司重要文檔、資料和數(shù)據(jù)保存時必需將資料儲存在除操作系統(tǒng)外的其它磁盤空間，嚴禁將重要文件存放于桌面或C盤下。

6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作，不準上網(wǎng)與工作無關的聊天、玩電腦游戲、看影視、聽音樂，迅雷下載等，7、電腦及網(wǎng)絡設備所在環(huán)境應保持清潔、衛(wèi)生、通風，留意防塵、防潮、防火。

8、公司全部計算機使用者，不得破壞網(wǎng)管員對計算機的安全設置。包括用戶使用權限。

9、除服務器外，其他全部計算機下班后必需關機并切斷電源;

10、計算機使用者離職時必需由網(wǎng)絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個人帳戶密碼去除后方可辦理離職手續(xù)。

11、如工作人員不按規(guī)定操作，造成不良后果的，將按有關規(guī)定，由操作者承擔相應責任，并追究科室負責人的有關責任。

12、操作員設置與管理

(1)網(wǎng)絡管理員管理操作權限必需經(jīng)過公司領導授權取得;根據(jù)不同部門的要求及崗位職責而設置:

[2)網(wǎng)絡管理員負責故障恢復等管理及維護，必需有其上級授權:不得使用他人操作代碼進行業(yè)務操作;

三、密碼與權限安全管理制度

1、密碼設置應具有安全性、保密性，不能使用簡潔的代碼和標記。密碼是愛護系統(tǒng)和數(shù)據(jù)安全的把握代碼，也是愛護用戶自身權益的把握代碼。密碼分設為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時所設的密碼，操作密碼是進入各應用系統(tǒng)的操作員密碼。密碼設置不應是名字、生日，重復、順序、規(guī)律數(shù)字等簡潔猜測的數(shù)字和字符串;

2、密碼應定期修改，間隔時間不得超過一個月，如覺察或懷疑密碼遺失或泄漏應馬上修改，并在相應登記簿記錄用戶名、修改時間、修改人等內容。

3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊狀況需要啟用封存的密碼，必需經(jīng)過相關部門負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須馬上更改并封存，同時在“密碼管理登記簿”中登記，4、系統(tǒng)維護用戶的密碼應至少由兩人共同設置、保管和使用管理制度，5、有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除，同時在“密碼管理登記簿”中登記，四、數(shù)據(jù)安全管理制度

1、存放備份數(shù)據(jù)的介質必需具有明確的標識。備份數(shù)據(jù)必需異地存放。

2、留意計算機重要信息資料和數(shù)據(jù)存儲介質的存放、運輸安全和保密管理，保證存儲介質的物理安全，3、任何非應用性業(yè)務數(shù)據(jù)的使用及存放數(shù)據(jù)的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據(jù)程序進行逐級審批，以保證備份數(shù)據(jù)安全完好，4、數(shù)據(jù)恢復前，必需對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復過程中，出現(xiàn)問題時由技術部門進行現(xiàn)場技術支持。數(shù)據(jù)恢復后，必需進行驗證、確認，確保數(shù)據(jù)恢復的完好性和可用性。

5、數(shù)據(jù)清理前必需對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要進行定期保存或永久保存，并確保可以隨時使用。數(shù)據(jù)清理的實施應避開業(yè)務高峰期，避開對聯(lián)機業(yè)務運行造成影響。

6、需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關部門制定轉存，根據(jù)轉存和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完好性和可用性。

7、非本單位技術人員對本公司的設備、系統(tǒng)等進行修理、維護時，必需由本公司相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外修理，須經(jīng)設備管理機構負責人批準。送修前，需將設備存儲介質內應用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除，并進行登記。對修復的設備，設備修理人員應對設備進行驗收、病毒檢測。

8、管理部門應對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后去除，并妥當處理廢棄無用的資料和介質，防止泄密。

9、運行維護部門需指定專人負責計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，常常進行計算機病毒檢查，覺察病毒準時去除。

10、營業(yè)用計算機未經(jīng)有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。

五、網(wǎng)絡管理

1、網(wǎng)絡系統(tǒng)屬于公司無形資產(chǎn)，公司有權限制上網(wǎng)行為，根據(jù)工作需要限制各部門的上網(wǎng)行為。

2、公司網(wǎng)絡管理員對計算機IP地址統(tǒng)一安排、登記、管理，嚴禁私自更改IP地址。

3、公司員工必需自覺遵守企業(yè)的有關保密法規(guī)，嚴禁利用網(wǎng)絡有意或無意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復制、轉移和破壞公司的文件、資料和數(shù)據(jù)，4、實行“絕密”文件、涉秘件與計算機網(wǎng)絡確定隔離，不得在計算機網(wǎng)絡中輸入、打印、復制“絕密”文件和有關涉秘件;

5、網(wǎng)絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度，對保密的文件資料進行加密存放，不得上網(wǎng)共享。

六、附

1、本制度由網(wǎng)絡部負責解釋，2、本制度由總經(jīng)理批準后生效，自公布之日起執(zhí)行。

第五篇：企業(yè)信息安全管理條例

信息安全管理條例

第一章信息安全概述 1.1、公司信息安全管理體系

信息是一個組織的血液，它的存在方式各異。可以是打印，手寫，也可以是電子，演示和口述的。當今商業(yè)競爭日趨激烈，來源于不同渠道的威脅，威脅到信息的安全性。這些威脅可能來自內部，外部，意外的，還可能是惡意的。隨著信息存儲、發(fā)送新技術的廣泛使用，信息安全面臨的威脅也越來越嚴重了。

信息安全不是有一個終端防火墻，或者找一個24小時提供信息安全服務的公司就可以達到的，它需要全面的綜合管理。信息安全管理體系的引入，可以協(xié)調各個方面的信息管理，使信息管理更為有效。信息安全管理體系是系統(tǒng)地對組織敏感信息進行管理，涉及到人，程序和信息科技系統(tǒng)。

改善信息安全水平的主要手段有：

1)安全方針：為信息安全提供管理指導和支持； 2)安全組織：在公司內管理信息安全；

3)資產(chǎn)分類與管理：對公司的信息資產(chǎn)采取適當?shù)谋Ｗo措施； 4)人員安全：減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險；

5)實體和環(huán)境安全：防止對商業(yè)場所及信息未授權的訪問、損壞及干擾；

6)通訊與運作管理：確保信息處理設施正確和安全運行； 7)訪問控制：妥善管理對信息的訪問權限；

8)系統(tǒng)的獲得、開發(fā)和維護：確保將安全納入信息系統(tǒng)的整個生命周期；

9)安全事件管理：確保安全事件發(fā)生后有正確的處理流程與報告方式；

10)商業(yè)活動連續(xù)性管理：防止商業(yè)活動的中斷，并保護關鍵的業(yè)務過程免受重大故障或災害的影響；

11)符合法律：避免違反任何刑法和民法、法律法規(guī)或者合同義務以及任何安全要求。

1.2、信息安全建設的原則

1)領導重視，全員參與；

2)信息安全不僅僅是IT部門的工作，它需要公司全體員工的共同參與；

3)技術不是絕對的；

4)信息安全管理遵循“七分管理，三分技術”的管理原則； 5)信息安全事件符合“

二、八”原則；

6)20%的安全事件來自外部網(wǎng)絡攻擊，80%的安全事件發(fā)生在公司內部；

7)管理原則:管理為主，技術為輔，內外兼防，發(fā)現(xiàn)漏洞，消除隱患，確保安全。

1.3、信息安全管理體系建設的目的

1)保障ERP系統(tǒng)的安全運行，控制公司信息泄密風險； 2)提高企業(yè)員工對安全的認識和對安全管理的參與； 3)提高企業(yè)用戶及合作伙伴對企業(yè)的信心、信任、滿意程度； 4)提高企業(yè)信息安全管理的質量和水平； 5)使企業(yè)更有效地管理和處理信息安全事件； 6)遵守和通過相關法律法規(guī)的要求；

7)為將來企業(yè)充份利用電子商務打下重要的基礎。

第二章員工信息安全規(guī)范 2.1、適用范圍

本標準規(guī)定了公司員工必須遵循的個人計算機和其他方面的安全要求，規(guī)定了員工保護公司涉密信息的責任，并列出了大量可能遇到的情況下的安全要求。

本標準適用于公司所有員工，包括子公司的員工，以及其他經(jīng)授權使用公司內部資源的人員。

2.2、計算機安全要求

1）計算機信息登記與使用維護：

每臺由公司購買的計算機的領用、使用人變更、配置變更、報廢等環(huán)節(jié)必須經(jīng)過IT部的登記，嚴禁私自變更使用人和增減配置；

每位員工有責任保護公司的計算機資源和設備，以及包含的信息。每位員工必須把自己的計算機名字設置成固定的格式，一律采用AD域名_所屬地區(qū)編號組成；

例如某臺計算機名為SSSS_100201，SSSS為地區(qū)AD域名，100為地區(qū)編號，201代表該地區(qū)第201個賬戶。2）必須在所有個人計算機上激活下列安全控制：

所有計算機（包括便攜電腦與臺式機）必須設有系統(tǒng)密碼；系統(tǒng)密碼應當符合一定程度的復雜性要求，并不定期更換密碼；存儲在個人計算機中的包含有公司涉密信息的文件，需要加密存放。3）當員工離開辦公室或工作區(qū)域時：

必須立即鎖定計算機或者激活帶密碼保護的屏幕保護程序； 如果辦公室或者工作區(qū)域能上鎖，最后一個離開的員工請鎖上辦公室或工作區(qū)域；

妥善保管所有包含公司涉密內容的文件，如鎖進文件柜。4）防范計算機病毒和其他有害代碼：

每位員工由公司配備的計算機上都必須安裝和運行公司授權使用的防病毒軟件；

員工必須開啟防病毒軟件實時掃描保護功能，至少每周進行一次全硬盤掃描，在網(wǎng)絡條件許可的情況下每天進行一次病毒庫文件的更新；

如果員工發(fā)現(xiàn)未能處理的病毒，應立即斷開局域網(wǎng)連接，以免病毒在局域網(wǎng)內部交叉感染，并及時向公司IT部門匯報。5）軟件的使用：

員工不得私自在計算機上安裝公司禁止的軟件，公司禁止安裝的軟件包括但不限于：BT等P2P軟件、Sniffer等流量監(jiān)控軟件及黑客軟件、P2P終結者、網(wǎng)絡執(zhí)法官之類的網(wǎng)絡管理軟件；

工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件； 公司員工的機器上必須安裝并開啟功能的軟件有：金山企業(yè)版防病毒軟件、Office2010、360瀏覽器、IE8.0升級包、Winrar、固網(wǎng)打印服務；

如果由于使用未經(jīng)公司授權的且沒有許可的軟件造成公司損失，員工需要承擔全部責任。6）文件的共享：

員工在使用文件共享時，必須將其設置為受限共享；

禁止使用基于互聯(lián)網(wǎng)的P2P軟件和共享服務，如：BT、eMule等； 不得在計算機上配置匿名FTP、TFTP、HTTP，或其他無需驗證的服務；

例如：員工不得在公司的計算機上私自架設匿名FTP； 未經(jīng)IT部門許可，不得在使用ERP系統(tǒng)的計算機上使用U盤或移動硬盤。如因業(yè)務需要，必須要訪問其他人的硬盤。當定義共享權限時，員工必須設定用戶權限、設定訪問密碼，并及時取消所定義的共享。

7）郵件的發(fā)送與接收：

禁止使用公司的計算機散布、回復、轉發(fā)連鎖郵件、惡作劇郵件； 禁止將涉及公司秘密的內部郵件轉發(fā)到互聯(lián)網(wǎng)上。8）公司涉密信息的保護：

公司涉密信息包括但不限于公司數(shù)據(jù)庫中的秘密信息，與公司目前或未來產(chǎn)品、服務或研究有關的公司技術或科技信息，業(yè)務或營銷計算、營銷收益或其他財務資料、人事資料，以及軟件等技術信息、經(jīng)營信息等；

公司的員工會接觸到公司的涉密信息。員工禁止在未經(jīng)公司授權的情況下泄漏這些信息，并且必須遵守公司為保護此信息而制定的各項標準和流程；

每個員工只能接觸使用與本崗位工作相關的涉密信息，禁止從非正常途徑獲取公司或部門的涉密信息；禁止非授權復制涉密信息；

對公司文檔的保管、存檔、發(fā)送、刪除、銷毀、復制等必須遵守公司相關的文檔保密管理規(guī)定；

禁止使用提供翻譯服務的互聯(lián)網(wǎng)站來翻譯公司的涉密信息； 公司涉密信息盡量避免通過互聯(lián)網(wǎng)傳送，但由于工作需要，需要通過電子郵件等方式發(fā)送公司涉密信息時，可以采用Winrar加密壓縮的方式把涉密內容作為附件發(fā)送，然后通過其他渠道告知對方加密密碼。

9）公司信箱的帳戶及密碼

所有的密碼必須符合如下條件：

至少8個字符長，并且包含英文、數(shù)字及特殊字符； 禁止把用戶名用作密碼或其一部分；

舊密碼中任何三個連續(xù)的字符盡量不要連續(xù)出現(xiàn)在新密碼中； 公司要求員工至少每30天更換一次密碼。10）內部網(wǎng)絡使用規(guī)則

禁止在網(wǎng)絡上偽裝為他人身份；

不得私自安裝網(wǎng)絡管理軟件，監(jiān)控網(wǎng)絡流量或者妨礙他人使用網(wǎng)絡資源；

不得對公司網(wǎng)絡或服務器以及網(wǎng)絡中他人電腦運行安全掃描程序或者惡意攻擊；

未經(jīng)IT部允許，不得增加網(wǎng)絡設備到公司的網(wǎng)絡中，嚴禁私自購買路由器、交換機接入公司網(wǎng)絡等行為； 宿舍區(qū)電腦大部分屬于員工私人計算機，禁止將公司數(shù)據(jù)及其他涉及到公司機密的電子文件傳入私人計算機中；

第三章公司信息安全管理檢查執(zhí)行規(guī)定

3.1．檢查原則

根據(jù)違規(guī)行為的性質、造成的后果及違規(guī)人的主觀意愿對違規(guī)行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權限審核不當，造成公司安全制度和措施難以落實，安全管理工作混亂的部門，部門負責人須承擔領導責任。對違反信息安全管理規(guī)定者，如其直接領導有明顯管理和指導不力的須承擔連帶責任。

3.2．檢查方式

公司技術部門抽調網(wǎng)絡管理人員，不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件，排查違規(guī)電腦，追究相關當事人。

3.3．檢查結果

對于故意盜竊、泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質特別嚴重造成重大損失的，給予罰款、降薪、降職、辭退、直至開除的處理，并賠償公司損失。對于觸犯國家法律的，移交國家司法機關依法處理。?對違反公司信息安全制度規(guī)定，性質較輕，在公司內部系統(tǒng)給予點名通報批評，并記錄在案，責令限期改正。