第一篇：企業(yè)信息安全

企業(yè)信息安全

2

———————————————————————————————— 作者：

———————————————————————————————— 日期：

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

淺談企業(yè)信息安全

摘要：信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對(duì)于人類具有特別重要的意義。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全越來越受到人們的重視，信息安全和其他商品一樣有價(jià)值，如何保證信息的安全性和保密性成為企業(yè)建設(shè)過程中需要解決的重要問題。

關(guān)鍵詞：信息；信息安全；重要性

信息安全綜述

信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識(shí)性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導(dǎo)致信息系統(tǒng)的不安全性，給企業(yè)的信息化建設(shè)帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

信息安全包括以下內(nèi)容：真實(shí)性，保證信息的來源真實(shí)可靠；機(jī)密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會(huì)被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對(duì)信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對(duì)其行為不能進(jìn)行否認(rèn)；可審查性，對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比，基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn)：

一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點(diǎn)，從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點(diǎn)，通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊。

二是信息安全問題的易擴(kuò)散性。信息安全問題會(huì)隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大。由于因特網(wǎng)的龐大系統(tǒng)，造成了病毒極易滋生和傳播，從而導(dǎo)致信息危害。

三是信息安全中的智能性、隱蔽性特點(diǎn)。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為，而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對(duì)抗，對(duì)信

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

息的破壞、竊取等都是通過技術(shù)手段實(shí)現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的，不受時(shí)間和地點(diǎn)的約束，犯罪行為實(shí)施后對(duì)機(jī)器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的迅猛發(fā)展，網(wǎng)絡(luò)環(huán)境變得日趨復(fù)雜，在人們享樂的同時(shí)，風(fēng)險(xiǎn)也隨之而來，因?yàn)?Internet 上的任何人之間都有可能存在利益關(guān)系，這些風(fēng)險(xiǎn)從信息丟失到信息盜用，網(wǎng)絡(luò)安全問題的數(shù)量也不斷增加。世界各家機(jī)構(gòu)都希望他們的網(wǎng)絡(luò)安全功能能夠用更加強(qiáng)大的設(shè)備來實(shí)施，使安全性得到增強(qiáng)。在現(xiàn)在更加復(fù)雜的網(wǎng)絡(luò)環(huán)境中，更需要全面且綜合的網(wǎng)絡(luò)安全解決方案。特別是在企業(yè)中，面臨的各種安全威脅，物理威脅，網(wǎng)絡(luò)威脅，操作系統(tǒng)威脅等等……所帶來的損失將不可計(jì)量。網(wǎng)絡(luò)安全已經(jīng)不再是網(wǎng)絡(luò)中的一項(xiàng)可有可無的技術(shù)了。它需要保證網(wǎng)絡(luò)的高安全性，使石油等企業(yè)緩解大量的網(wǎng)絡(luò)攻擊。2

信息的脆弱性

信息安全威脅主要來源于自然災(zāi)害、意外事故；計(jì)算機(jī)犯罪；人為錯(cuò)誤，比如使用不當(dāng)，安全意識(shí)差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議自身缺陷等等。信息的脆弱性依賴于網(wǎng)絡(luò)表現(xiàn)在 2.1 單點(diǎn)失效多 在沒有冗余的網(wǎng)絡(luò)中，就是不安全的網(wǎng)絡(luò)。當(dāng)分支機(jī)構(gòu)的路由出現(xiàn)故障時(shí)，分支機(jī)構(gòu)將無法與總行交換數(shù)據(jù)?？傂械某隹诼酚沙霈F(xiàn)故障時(shí)，將導(dǎo)致辦公網(wǎng)絡(luò)無法聯(lián)網(wǎng)及業(yè)務(wù)網(wǎng)絡(luò)無法服務(wù)。辦公網(wǎng)絡(luò)的防火墻亦會(huì)導(dǎo)致單點(diǎn)失效。

2.2 易遭病毒攻擊 在整個(gè)網(wǎng)絡(luò)中，沒有提供很好的防病毒網(wǎng)絡(luò)安全設(shè)備。整個(gè)網(wǎng)絡(luò)容易受病毒的攻擊，使網(wǎng)絡(luò)處于相當(dāng)不安全的環(huán)境。輕則數(shù)據(jù)丟失，重則網(wǎng)絡(luò)癱瘓，所有工作與業(yè)務(wù)將無法進(jìn)行。并會(huì)感染其他的設(shè)備。

2.3 易受非法入侵 在分支機(jī)構(gòu)與業(yè)務(wù)網(wǎng)絡(luò)中，沒有較好的訪問控制設(shè)備，只有一個(gè)邊界路由器作為保護(hù)，而邊界路由器易受攻擊。如利用 IP 欺騙即可。當(dāng)邊界路由器被攻擊，分支機(jī)構(gòu)與業(yè)務(wù)網(wǎng)絡(luò)將淪陷，容易導(dǎo)致非法的入侵，從而引起被授權(quán)的攻擊及數(shù)據(jù)竊取。

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

2.4 數(shù)據(jù)通訊不安全 在整個(gè)傳輸網(wǎng)絡(luò)中，容易發(fā)現(xiàn)數(shù)據(jù)通信的不安全，在傳輸過程中以明文傳輸，容易受到竊聽，及對(duì)信息的內(nèi)容進(jìn)行非法修改、重放等。破壞其完整性、影響銀行的正常運(yùn)作 2.5 訪問控制力度小 在整個(gè)網(wǎng)絡(luò)中，訪問控制存在著嚴(yán)重的不足，不同的用戶有著相同的訪問，這樣不能區(qū)分不同用戶的訪問權(quán)限，容易導(dǎo)致數(shù)據(jù)流失，不合理的訪問 2.6 沒有集中的網(wǎng)絡(luò)管理 總行中不能集中的管理設(shè)備，檢測(cè)設(shè)備的運(yùn)行狀況，當(dāng)某臺(tái)設(shè)備出現(xiàn)故障時(shí)，將不能及時(shí)檢測(cè)出 2.7 局域網(wǎng)過大 業(yè)務(wù)網(wǎng)絡(luò)局域網(wǎng)過大則導(dǎo)致廣播域過大，網(wǎng)絡(luò)容易出現(xiàn)擁塞。并且之間能夠私自進(jìn)行訪問，容易造成不安全事故。信息安全的目標(biāo)

3.1 保密性。

保密性是指信息不泄露給非授權(quán)人，或供其使用的特性。

3.2 完整性。

完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不遲延、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。

3.3 可用性。

可用性是指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時(shí)可以訪問到信息。

3.4 可控性。

可控性是指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

3.5 可審查性。在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對(duì)方的信息。我國(guó)企業(yè)信息化中的信息安全問題

近年來，隨著國(guó)家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對(duì)國(guó)際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素，企業(yè)在信息安全管理上的進(jìn)展是迅速的。但是，由于我國(guó)的信息化建設(shè)起步較晚，相關(guān)體系不完善，法律法規(guī)不健全等諸多因素，我國(guó)企業(yè)的信

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

息化仍然存在不安全問題。

4.1 信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。

我國(guó)企業(yè)的信息化建設(shè)發(fā)展迅速，各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動(dòng)后，各級(jí)企業(yè)已陸續(xù)設(shè)立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備，整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。

4.2 對(duì)引進(jìn)的國(guó)外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。

由于我國(guó)信息技術(shù)水平的限制，很多單位和部門直接引進(jìn)國(guó)外的信息設(shè)備，并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造，從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機(jī)。

4.3 我國(guó)企業(yè)基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國(guó)外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國(guó)企業(yè)信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國(guó)外，這使我國(guó)的網(wǎng)絡(luò)安全性能大大減弱，被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù)，我國(guó)許多企業(yè)的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。

4.4 信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)。

除了境外黑客對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行攻擊，國(guó)內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪，例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號(hào)密碼等。

4.5 在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢(shì)極不適應(yīng)。

造成以上問題的相關(guān)因素在于：首先，我國(guó)企業(yè)的經(jīng)濟(jì)基礎(chǔ)薄弱，在信息產(chǎn)業(yè)上的投入還是不足，尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識(shí)。其次，企業(yè)員工信息安全意識(shí)淡薄，警惕性不高。大多數(shù)計(jì)算機(jī)用戶都曾被病毒感染過，并且病毒的重復(fù)感染率相當(dāng)高。

相關(guān)解決措施

5.1 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的防范工作

5.1.1 加強(qiáng)內(nèi)部網(wǎng)絡(luò)治理人員以及使用人員的安全意識(shí)很多計(jì)算機(jī)系統(tǒng)常用口令來控制對(duì)系統(tǒng)資源的訪問，這是防病毒進(jìn)程中，最輕易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)治理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)上，軟件的安裝和治理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)治理的效率和質(zhì)量，而

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個(gè) NT 服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)治理員集中設(shè)置和治理，它會(huì)與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全治理的一部分，并且自動(dòng)提供最佳的網(wǎng)絡(luò)病毒防御措施。當(dāng)計(jì)算機(jī)病毒對(duì)網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒。

5.1.2 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的非凡網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被答應(yīng)，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

5.1.3 安全加密技術(shù) 加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于 Internet 上的電子交易系統(tǒng)成為了可能，因此完善的對(duì)稱加密和非對(duì)稱加密技術(shù)仍是 21 世紀(jì)的主流。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰(shuí)都可以用，解密密鑰只有解密人自己知道。

5.1.4 網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機(jī)安全措施之后，是全局性的由系統(tǒng)安全審計(jì)、入侵檢測(cè)和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測(cè)子系統(tǒng)。入侵檢測(cè)子系統(tǒng)根據(jù)一定的規(guī)則判定是否有入侵事件發(fā)生，假如有入侵發(fā)生，則啟動(dòng)應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計(jì)還可以作為以后對(duì)攻擊行為和后果進(jìn)行處理、對(duì)系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

5.2 針對(duì)我國(guó)企業(yè)信息安全存在的問題，要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù)，還要有嚴(yán)格的法律法規(guī)和信息安全教育。

5.2.1 加強(qiáng)全體員工的信息安全教育，提高警惕性。從自身做起，有效利用各種信息安全防護(hù)設(shè)備，保證個(gè)人的信息安全，提高整個(gè)系統(tǒng)的安全防護(hù)能力，從而促進(jìn)整個(gè)系統(tǒng)的信息安全。

5.2.2 發(fā)展有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識(shí)，加大核心技術(shù)的研發(fā)，尤其是信息安全產(chǎn)品，減小對(duì)國(guó)外產(chǎn)品的依賴程度。

5.2.3 創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國(guó)信息安全的法規(guī)體系，制定相關(guān)的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識(shí)產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法、電子信息進(jìn)出境法等，加大對(duì)網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度，對(duì)其進(jìn)行嚴(yán)厲的懲處。

5.2.4 高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，應(yīng)大力培養(yǎng)信息安全專業(yè)人才，建立信息安全人才培養(yǎng)體系。

5.2.5 加強(qiáng)國(guó)際防范，創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開放性、交互性和分散性等特征，產(chǎn)生了許多安全問題，要保證信息安全，必須積極參與國(guó)際合作，通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國(guó)際法律規(guī)范，防范來自世界各地的黑客入侵，加強(qiáng)信息網(wǎng)絡(luò)安全。結(jié)束語(yǔ)

總之，由于網(wǎng)絡(luò)及信息資源的特殊性質(zhì)，決定了信息安全問題的客觀存在。信息安全問題不僅涉及企業(yè)的經(jīng)濟(jì)安全、金融安全，同時(shí)也涉及政治安全和文化安全，因此應(yīng)當(dāng)加強(qiáng)對(duì)信息安全問題的重視。目前，我國(guó)企業(yè)正在加快信息化建設(shè)步伐，加強(qiáng)對(duì)信息安全的管理，保證信息的安全保密性勢(shì)在必行。

通信地址：河北省任丘市燕山道中國(guó)石油測(cè)井有 限公司華北事業(yè)部黨群工作科

郵編：

062552

電子郵件：

hbzhaiyj @cnpc.com.cn

聯(lián)系電話：

0317--27 22680

參考文獻(xiàn)

[專著] 于磊.書名[企業(yè)信息安全建設(shè)之道].北京：東方出版社，2010.

第二篇：企業(yè)信息安全工作報(bào)告

年信息安全報(bào)告

為認(rèn)真貫徹落實(shí)信息安全防護(hù)工作，依照《印發(fā)Xx重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查工作方案和信息安全自查操縱指南的通知》，我局立即組織展開信息系統(tǒng)安全檢查工作，現(xiàn)將自查情況匯報(bào)以下。

一、信息安全組織管理

領(lǐng)導(dǎo)重視,機(jī)構(gòu)健全。針對(duì)信息系統(tǒng)安全檢查工作,理事會(huì)高度重視,做到了主要領(lǐng)導(dǎo)親身抓,并成立了專門的信息安全工作領(lǐng)導(dǎo)小組,組長(zhǎng)由Xx擔(dān)負(fù),副組長(zhǎng)由Xx，成員由各科（室）、直屬單位負(fù)責(zé)人組成,領(lǐng)導(dǎo)小組下設(shè)辦公室,辦公室設(shè)在Xx。建立健全信息安全工作制度,積極主動(dòng)展開信息安全自查工作,保證了殘疾人工作的良好運(yùn)行,確保了信息系統(tǒng)的安全。

二、健全制度，嚴(yán)格管理

建立全面的信息安全管理體系，包括集團(tuán)信息安全工作方針和策略、信息安全組織結(jié)構(gòu)及職責(zé)、信息安全事件處置與報(bào)告制度、網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急預(yù)案管理辦法、變更管理辦法、網(wǎng)絡(luò)管理制度、系統(tǒng)管理制度、資產(chǎn)管理辦法、人員安全管理辦法等內(nèi)容。并嚴(yán)格網(wǎng)絡(luò)信息保密管理制度，實(shí)行“涉密不上網(wǎng)，上網(wǎng)不涉密”堅(jiān)持“誰(shuí)發(fā)布，誰(shuí)負(fù)責(zé)”的原則，信息系統(tǒng)安全方面實(shí)行領(lǐng)導(dǎo)審查簽字制度，凡互聯(lián)網(wǎng)上傳的信息，必須經(jīng)本單位主要領(lǐng)導(dǎo)審查批準(zhǔn)，并按照臺(tái)里新聞?lì)I(lǐng)導(dǎo)三審制度，做好信息審批才能上傳。特別是針對(duì)重點(diǎn)崗位人員鑒證了保密安全責(zé)任書，制定了日常考核監(jiān)督制度，確保管理監(jiān)查到位。

三、技術(shù)落實(shí)

日常管理方面切實(shí)抓好網(wǎng)內(nèi)、外網(wǎng)和硬件、應(yīng)用軟件“三層管理”，落實(shí)具體負(fù)責(zé)信息安全工作人員，對(duì)涉密信息文件、材料實(shí)行專人管理，對(duì)重點(diǎn)部門、崗位等進(jìn)行嚴(yán)格管理，確保信息安全工作。同時(shí)，重點(diǎn)抓好“三大安全”排查：一是硬件安全。包括傳輸、防雷、防火、監(jiān)控和電源等硬件設(shè)備都具有災(zāi)難備份，確保所有設(shè)備正常運(yùn)轉(zhuǎn)。二是網(wǎng)絡(luò)安全。包括網(wǎng)絡(luò)結(jié)構(gòu)、安全日志管理、密碼管理、互聯(lián)網(wǎng)行為管理等；數(shù)據(jù)庫(kù)存儲(chǔ)備份、移動(dòng)存儲(chǔ)設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施，明確了網(wǎng)絡(luò)安全責(zé)任，強(qiáng)化了網(wǎng)絡(luò)安全工作。三是應(yīng)用安全。包括網(wǎng)站、軟件管理等；上傳文件提前進(jìn)行病素檢測(cè)；分模塊分權(quán)限進(jìn)行維護(hù)。各機(jī)房和網(wǎng)站的服務(wù)器使用專屬權(quán)限密碼鎖登陸后臺(tái)，主要管理人員負(fù)責(zé)保密管理，服務(wù)器的用戶名和開機(jī)密碼為其專有，且規(guī)定嚴(yán)禁外泄。同時(shí)，涉密計(jì)算機(jī)相互共享之間設(shè)有嚴(yán)格的身份認(rèn)證和訪問控制。

2、技術(shù)防護(hù)

按照等級(jí)保護(hù)、密碼防護(hù)等標(biāo)準(zhǔn)規(guī)范要求，各信息系統(tǒng)安裝了硬件防火墻，同時(shí)配置安裝了瑞星專業(yè)殺毒軟件，涉密計(jì)算機(jī)經(jīng)過保密技術(shù)檢查，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并要求安全信息管理員積極與網(wǎng)絡(luò)安全保障經(jīng)驗(yàn)豐富的人員取得聯(lián)系，定期對(duì)網(wǎng)站安全保障工作進(jìn)行檢查指導(dǎo)，在突發(fā)信息安全事件時(shí)給予技術(shù)支持。

3、應(yīng)急處置與災(zāi)備

我局信息系統(tǒng)系統(tǒng)，在突發(fā)事件時(shí)候，安全信息人員馬上切換應(yīng)急備份系統(tǒng)，并上報(bào)主管領(lǐng)導(dǎo)，啟動(dòng)安全應(yīng)急預(yù)案及時(shí)處置，保證信息系統(tǒng)萬(wàn)無一失。同時(shí)，為了技術(shù)安全與服務(wù)提供商簽訂硬件、軟件維護(hù)事宜，商定給予應(yīng)急技術(shù)最大程度的支持。

四、存在的主要問題和面臨的威脅分析

1、發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)

（1）專業(yè)技術(shù)人員較少，信息系統(tǒng)安全方面可投入的力量有限;（2）規(guī)章制度體系初步建立，但還不完善，未能覆蓋相關(guān)信息系統(tǒng)安全的所有方面。

2、面臨的安全威脅與風(fēng)險(xiǎn)

(1)拒絕服務(wù)攻擊：供給者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，組織合法用戶獲得服務(wù)。

(2)非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。(3)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。

3、整體安全狀況的基本判斷

我局對(duì)信息安全工作嚴(yán)格按照有關(guān)要求，對(duì)涉及到的信息進(jìn)行安全檢查，嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定，采取了多種措施防范安全保密有關(guān)事件的發(fā)生，總體上看，我局網(wǎng)絡(luò)信息安全保密工作做得比較扎實(shí)，效果也比較好，近年來未發(fā)現(xiàn)失泄密問題。

五、改進(jìn)措施與整改效果

我局針對(duì)存在的問題采取一些改進(jìn)措施：一是繼續(xù)加強(qiáng)對(duì)工作人員的安全意識(shí)教育和技術(shù)培訓(xùn)；二是切實(shí)增強(qiáng)信息安全制度的落實(shí)工作，不定期的對(duì)安全制度執(zhí)行情況進(jìn)行檢查，對(duì)于導(dǎo)致不良后果的責(zé)任人，要嚴(yán)肅追究責(zé)任；三是以制度為根本，在進(jìn)一步完善信息安全制度的同時(shí)，安排專人，完善設(shè)施，密切監(jiān)測(cè)，隨時(shí)隨地解決可能發(fā)生的信息系統(tǒng)安全事故;四是提高安全工作的現(xiàn)代化水平，便于我們進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全的防范和保密工作。同時(shí)密切聯(lián)系網(wǎng)絡(luò)安全技術(shù)專業(yè)人員，加強(qiáng)機(jī)房和網(wǎng)站安全措施建設(shè)力度；五是加強(qiáng)對(duì)信息系統(tǒng)的監(jiān)督管理，嚴(yán)格信息發(fā)布制度，加大對(duì)信息內(nèi)容，信息權(quán)威性、一致性和時(shí)效性及網(wǎng)上信息辦理情況的監(jiān)管力度。

六、對(duì)信息安全工作開展的意見和建議

1、希望上級(jí)有關(guān)部門加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn)和演練，使安全技術(shù)人員及時(shí)更新信息網(wǎng)絡(luò)安全管理知識(shí)，提高相關(guān)管理及法律法規(guī)等的認(rèn)識(shí)，不斷地加強(qiáng)信息網(wǎng)絡(luò)安全管理和技術(shù)防范水平。

2、加大信息安全網(wǎng)絡(luò)安全防護(hù)設(shè)備的投入。

年 月 日

第三篇：企業(yè)信息安全管理辦法

信息安全管理辦法

第一章 總則

第一條

為加強(qiáng)公司信息安全管理，推進(jìn)信息安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，根據(jù)國(guó)家有關(guān)法律、法規(guī)和《公司信息化工作管理規(guī)定》，制定本辦法。

第二條

本辦法所指的信息安全管理，是指計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)（以下簡(jiǎn)稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護(hù)，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運(yùn)行得到可靠保障。

第三條

公司信息安全管理堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的基本原則，各信息系統(tǒng)的主管部門、運(yùn)營(yíng)和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責(zé)任。

第四條

信息安全管理，包括管理組織與職責(zé)、信息安全目標(biāo)與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、信息安全檢查與考核。

第五條

本辦法適用于公司總部、各企事業(yè)單位及其全體員工。

第二章 信息安全管理組織與職責(zé)

第六條

公司信息化工作領(lǐng)導(dǎo)小組是信息安全工作的最高決策機(jī)構(gòu)，負(fù)責(zé)信息安全政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息安全體系建設(shè)，領(lǐng)導(dǎo)信息系統(tǒng)等級(jí)保護(hù)工作。

第七條

公司建立和健全由總部、企事業(yè)單位以及信息技術(shù)支持單位三方面組成，協(xié)調(diào)一致、密切配合的信息安全組織和責(zé)任體系。各級(jí)信息安全組織均要明確主管領(lǐng)導(dǎo)，確定相關(guān)責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。

第八條

信息管理部是公司信息安全的歸口管理部門，負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的決策，實(shí)施公司信息安全建設(shè)與管理，確保重要信息系統(tǒng)的有效保護(hù)和安全運(yùn)行。具體職責(zé)包括：組織制定和實(shí)施公司信息安全政策標(biāo)準(zhǔn)、管理制度和體系建設(shè)規(guī)劃，組織實(shí)施信息安全項(xiàng)目和培訓(xùn)，組織信息安全工作的監(jiān)督和檢查。

第九條

公司保密部門負(fù)責(zé)信息安全工作中有關(guān)保密工作的監(jiān)督、檢查和指導(dǎo)。

第十條

企事業(yè)單位信息部門負(fù)責(zé)本單位信息安全的管理，具體職責(zé)包括：在本單位宣傳和貫徹執(zhí)行信息安全政

策與標(biāo)準(zhǔn)，確保本單位信息系統(tǒng)的安全運(yùn)行，實(shí)施本單位信息安全項(xiàng)目和培訓(xùn)，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。

第十一條

技術(shù)支持單位在信息管理部的領(lǐng)導(dǎo)下，承擔(dān)所負(fù)責(zé)的信息系統(tǒng)和所在區(qū)域的信息安全管理任務(wù)，主要包括：在所維護(hù)系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標(biāo)準(zhǔn)，確保所負(fù)責(zé)信息系統(tǒng)的安全運(yùn)行。

第十二條

各級(jí)信息管理部門設(shè)立信息安全管理和技術(shù)崗位，包括信息安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)負(fù)責(zé)人和管理員，重要崗位可設(shè)置兩個(gè)員工互為備份。

第十三條

信息安全崗位的設(shè)立應(yīng)遵循職責(zé)分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權(quán)者與操作者分離，應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫(kù)管理員分離，程序開發(fā)人員不應(yīng)具備對(duì)生產(chǎn)環(huán)境的訪問權(quán)限。

第十四條

公司員工必須嚴(yán)格遵守公司信息安全政策、管理制度、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)控制要求，承擔(dān)相關(guān)安全義務(wù)和責(zé)任，并及時(shí)報(bào)告信息安全事件。

第三章 信息安全目標(biāo)與工作原則

第十五條

信息安全工作的總體目標(biāo)是：實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)，建立和健全先進(jìn)實(shí)用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實(shí)性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。

第十六條

信息安全體系建設(shè)必須堅(jiān)持以下原則： 堅(jiān)持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理。

保障應(yīng)用。保障網(wǎng)絡(luò)和信息系統(tǒng)，特別是全局網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)不間斷穩(wěn)定運(yùn)行及其信息的安全，實(shí)現(xiàn)以應(yīng)用促安全，以安全保應(yīng)用。

符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國(guó)家對(duì)信息系統(tǒng)等級(jí)保護(hù)、企業(yè)內(nèi)部控制要求，積極采用法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù)。

綜合防范。管理與技術(shù)并重，相互補(bǔ)充。從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合防范。

集中共享。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺(tái)和

集中專業(yè)化的信息安全隊(duì)伍。

第四章 信息安全工作基本要求

第十七條

根據(jù)公司信息安全專項(xiàng)規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，并保持三個(gè)體系穩(wěn)定、均衡發(fā)展。

第十八條

建立全面的信息安全管理體系：

制定并實(shí)施統(tǒng)一的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。

實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，保護(hù)信息系統(tǒng)，特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全。

建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)全生命周期的安全管理。

實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理，及時(shí)發(fā)現(xiàn)和防范安全隱患。

第十九條

建立有效的信息安全技術(shù)體系：

強(qiáng)化網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護(hù)體系，按照自主定級(jí)、自主保護(hù)的原則，評(píng)估確定各信息系統(tǒng)保護(hù)等級(jí)并實(shí)施

相應(yīng)的保護(hù)措施。

建立統(tǒng)一的網(wǎng)絡(luò)安全信任體系，加強(qiáng)網(wǎng)絡(luò)實(shí)體身份管理與認(rèn)證，為網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行提供信任基礎(chǔ)。

建立完善有效的安全監(jiān)控和預(yù)警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，及時(shí)發(fā)現(xiàn)安全隱患。

建立全面有效的應(yīng)急響應(yīng)體系，制定并落實(shí)完整、規(guī)范的應(yīng)急處理和響應(yīng)流程，完善信息安全報(bào)告、處理機(jī)制。

建立包括同城和異地容災(zāi)備份中心的信息系統(tǒng)災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的測(cè)試和演練，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 信息安全監(jiān)控

第二十條

信息安全監(jiān)控的目的是對(duì)威脅系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)安全的因素進(jìn)行有效控制，防止由于技術(shù)或人為因素導(dǎo)致的異常和損失，同時(shí)為其他安全措施的設(shè)計(jì)和實(shí)施提供可靠依據(jù)。安全監(jiān)控的結(jié)果要保存一年以上。

第二十一條

信息系統(tǒng)的運(yùn)行和維護(hù)單位，在國(guó)家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)，具體進(jìn)行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受

必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個(gè)人隱私的內(nèi)容。

第二十二條

各級(jí)信息部門負(fù)責(zé)制定和實(shí)施信息安全監(jiān)控計(jì)劃，包括日常監(jiān)控、應(yīng)急處理和定期匯報(bào)。

第二十三條

日常監(jiān)控分為實(shí)時(shí)監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對(duì)信息系統(tǒng)訪問的實(shí)時(shí)監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異常情況須及時(shí)向有關(guān)負(fù)責(zé)人匯報(bào)。

第二十四條

各級(jí)信息部門應(yīng)對(duì)網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細(xì)的應(yīng)急處理預(yù)案。應(yīng)急處理按照預(yù)案進(jìn)行，并至少每年組織一次相關(guān)崗位人員進(jìn)行應(yīng)急預(yù)案演練。

第二十五條

各級(jí)信息部門編制、上報(bào)信息安全月報(bào)和年報(bào)，及時(shí)向主管領(lǐng)導(dǎo)和上級(jí)部門匯報(bào)重大信息安全風(fēng)險(xiǎn)和事件。

第六章 信息安全風(fēng)險(xiǎn)評(píng)估

第二十六條

信息管理部負(fù)責(zé)組織建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，定期或在重大、特殊事件發(fā)生時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

第二十七條

風(fēng)險(xiǎn)評(píng)估包括范圍確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和控制措施，確保信息安全，滿足應(yīng)用和業(yè)務(wù)需要。

評(píng)估范圍可包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點(diǎn)。

風(fēng)險(xiǎn)識(shí)別包括識(shí)別風(fēng)險(xiǎn)類型和風(fēng)險(xiǎn)事件，形成風(fēng)險(xiǎn)列表，更新信息風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。

風(fēng)險(xiǎn)分析包括信息資產(chǎn)分類、風(fēng)險(xiǎn)發(fā)生概率和影響程度分析，并確定風(fēng)險(xiǎn)等級(jí)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。

控制措施包括安全管理策略和風(fēng)險(xiǎn)控制措施，形成風(fēng)險(xiǎn)控制報(bào)告。

第二十八條

信息管理部將風(fēng)險(xiǎn)評(píng)估和控制報(bào)告上報(bào)信息主管領(lǐng)導(dǎo)審批。根據(jù)領(lǐng)導(dǎo)審批意見，落實(shí)控制措施。

第七章 信息安全培訓(xùn)

第二十九條

信息管理部負(fù)責(zé)制定公司信息安全培訓(xùn)計(jì)劃，組織、實(shí)施信息安全管理和技術(shù)培訓(xùn)。各級(jí)信息部門負(fù)責(zé)相應(yīng)層級(jí)的信息安全培訓(xùn)，培訓(xùn)計(jì)劃報(bào)信息管理部備案。

第三十條

信息管理部及各企事業(yè)單位信息部門對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開發(fā)人員進(jìn)行信息安全技術(shù)培訓(xùn)，提高信息安全管理和維護(hù)水平。

第三十一條

信息管理部及各企事業(yè)單位信息部門分層次、分類型對(duì)員工進(jìn)行信息安全培訓(xùn)，包括針對(duì)業(yè)務(wù)和技術(shù)管理人員進(jìn)行管理層面的信息安全管理培訓(xùn)，針對(duì)從事日常業(yè)務(wù)處理人員進(jìn)行操作層面基本安全知識(shí)培訓(xùn)。

第三十二條

員工上崗前，應(yīng)進(jìn)行崗位信息安全培訓(xùn)，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動(dòng)時(shí)，及時(shí)調(diào)整信息系統(tǒng)操作權(quán)限。

第三十三條

信息安全政策與標(biāo)準(zhǔn)發(fā)生重大調(diào)整、新建和升級(jí)的信息系統(tǒng)投入使用前，開展必要的安全培訓(xùn)，明確相關(guān)調(diào)整和變更所帶來的信息安全權(quán)限和責(zé)任的變化。

第八章 信息安全檢查與考核

第三十四條

信息管理部定期進(jìn)行信息安全檢查與考核，包括信息安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息安全事件及整改措施落實(shí)情況、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標(biāo)完成情況。

第三十五條

各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運(yùn)行維護(hù)管理辦法》進(jìn)行信息安全自我考核，信息管理部進(jìn)行綜合評(píng)價(jià)，形成考核報(bào)告，報(bào)信息主管領(lǐng)導(dǎo)。

第三十六條

對(duì)于不執(zhí)行本辦法造成嚴(yán)重后果的，應(yīng)追究相關(guān)部門和個(gè)人責(zé)任。

第九章 附則

第三十七條

各企事業(yè)單位可參照本管理辦法制定相應(yīng)的實(shí)施細(xì)則。

第三十八條 第三十九條

本辦法由公司信息管理部負(fù)責(zé)解釋。本辦法自印發(fā)之日起施行。

第四篇：企業(yè)信息安全管理?xiàng)l例

信息安全管理?xiàng)l例

第一章信息安全概述 1.1、公司信息安全管理體系

信息是一個(gè)組織的血液，它的存在方式各異?？梢允谴蛴?，手寫，也可以是電子，演示和口述的。當(dāng)今商業(yè)競(jìng)爭(zhēng)日趨激烈，來源于不同渠道的威脅，威脅到信息的安全性。這些威脅可能來自內(nèi)部，外部，意外的，還可能是惡意的。隨著信息存儲(chǔ)、發(fā)送新技術(shù)的廣泛使用，信息安全面臨的威脅也越來越嚴(yán)重了。

信息安全不是有一個(gè)終端防火墻，或者找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的，它需要全面的綜合管理。信息安全管理體系的引入，可以協(xié)調(diào)各個(gè)方面的信息管理，使信息管理更為有效。信息安全管理體系是系統(tǒng)地對(duì)組織敏感信息進(jìn)行管理，涉及到人，程序和信息科技系統(tǒng)。

改善信息安全水平的主要手段有：

1)安全方針：為信息安全提供管理指導(dǎo)和支持； 2)安全組織：在公司內(nèi)管理信息安全；

3)資產(chǎn)分類與管理：對(duì)公司的信息資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)措施； 4)人員安全：減少人為錯(cuò)誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險(xiǎn)；

5)實(shí)體和環(huán)境安全：防止對(duì)商業(yè)場(chǎng)所及信息未授權(quán)的訪問、損壞及干擾；

6)通訊與運(yùn)作管理：確保信息處理設(shè)施正確和安全運(yùn)行； 7)訪問控制：妥善管理對(duì)信息的訪問權(quán)限；

8)系統(tǒng)的獲得、開發(fā)和維護(hù)：確保將安全納入信息系統(tǒng)的整個(gè)生命周期；

9)安全事件管理：確保安全事件發(fā)生后有正確的處理流程與報(bào)告方式；

10)商業(yè)活動(dòng)連續(xù)性管理：防止商業(yè)活動(dòng)的中斷，并保護(hù)關(guān)鍵的業(yè)務(wù)過程免受重大故障或?yàn)?zāi)害的影響；

11)符合法律：避免違反任何刑法和民法、法律法規(guī)或者合同義務(wù)以及任何安全要求。

1.2、信息安全建設(shè)的原則

1)領(lǐng)導(dǎo)重視，全員參與；

2)信息安全不僅僅是IT部門的工作，它需要公司全體員工的共同參與；

3)技術(shù)不是絕對(duì)的；

4)信息安全管理遵循“七分管理，三分技術(shù)”的管理原則； 5)信息安全事件符合“

二、八”原則；

6)20%的安全事件來自外部網(wǎng)絡(luò)攻擊，80%的安全事件發(fā)生在公司內(nèi)部；

7)管理原則:管理為主，技術(shù)為輔，內(nèi)外兼防，發(fā)現(xiàn)漏洞，消除隱患，確保安全。

1.3、信息安全管理體系建設(shè)的目的

1)保障ERP系統(tǒng)的安全運(yùn)行，控制公司信息泄密風(fēng)險(xiǎn)； 2)提高企業(yè)員工對(duì)安全的認(rèn)識(shí)和對(duì)安全管理的參與； 3)提高企業(yè)用戶及合作伙伴對(duì)企業(yè)的信心、信任、滿意程度； 4)提高企業(yè)信息安全管理的質(zhì)量和水平； 5)使企業(yè)更有效地管理和處理信息安全事件； 6)遵守和通過相關(guān)法律法規(guī)的要求；

7)為將來企業(yè)充份利用電子商務(wù)打下重要的基礎(chǔ)。

第二章員工信息安全規(guī)范 2.1、適用范圍

本標(biāo)準(zhǔn)規(guī)定了公司員工必須遵循的個(gè)人計(jì)算機(jī)和其他方面的安全要求，規(guī)定了員工保護(hù)公司涉密信息的責(zé)任，并列出了大量可能遇到的情況下的安全要求。

本標(biāo)準(zhǔn)適用于公司所有員工，包括子公司的員工，以及其他經(jīng)授權(quán)使用公司內(nèi)部資源的人員。

2.2、計(jì)算機(jī)安全要求

1）計(jì)算機(jī)信息登記與使用維護(hù)：

每臺(tái)由公司購(gòu)買的計(jì)算機(jī)的領(lǐng)用、使用人變更、配置變更、報(bào)廢等環(huán)節(jié)必須經(jīng)過IT部的登記，嚴(yán)禁私自變更使用人和增減配置；

每位員工有責(zé)任保護(hù)公司的計(jì)算機(jī)資源和設(shè)備，以及包含的信息。每位員工必須把自己的計(jì)算機(jī)名字設(shè)置成固定的格式，一律采用AD域名_所屬地區(qū)編號(hào)組成；

例如某臺(tái)計(jì)算機(jī)名為SSSS_100201，SSSS為地區(qū)AD域名，100為地區(qū)編號(hào)，201代表該地區(qū)第201個(gè)賬戶。2）必須在所有個(gè)人計(jì)算機(jī)上激活下列安全控制：

所有計(jì)算機(jī)（包括便攜電腦與臺(tái)式機(jī)）必須設(shè)有系統(tǒng)密碼；系統(tǒng)密碼應(yīng)當(dāng)符合一定程度的復(fù)雜性要求，并不定期更換密碼；存儲(chǔ)在個(gè)人計(jì)算機(jī)中的包含有公司涉密信息的文件，需要加密存放。3）當(dāng)員工離開辦公室或工作區(qū)域時(shí)：

必須立即鎖定計(jì)算機(jī)或者激活帶密碼保護(hù)的屏幕保護(hù)程序； 如果辦公室或者工作區(qū)域能上鎖，最后一個(gè)離開的員工請(qǐng)鎖上辦公室或工作區(qū)域；

妥善保管所有包含公司涉密內(nèi)容的文件，如鎖進(jìn)文件柜。4）防范計(jì)算機(jī)病毒和其他有害代碼：

每位員工由公司配備的計(jì)算機(jī)上都必須安裝和運(yùn)行公司授權(quán)使用的防病毒軟件；

員工必須開啟防病毒軟件實(shí)時(shí)掃描保護(hù)功能，至少每周進(jìn)行一次全硬盤掃描，在網(wǎng)絡(luò)條件許可的情況下每天進(jìn)行一次病毒庫(kù)文件的更新；

如果員工發(fā)現(xiàn)未能處理的病毒，應(yīng)立即斷開局域網(wǎng)連接，以免病毒在局域網(wǎng)內(nèi)部交叉感染，并及時(shí)向公司IT部門匯報(bào)。5）軟件的使用：

員工不得私自在計(jì)算機(jī)上安裝公司禁止的軟件，公司禁止安裝的軟件包括但不限于：BT等P2P軟件、Sniffer等流量監(jiān)控軟件及黑客軟件、P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)管理軟件；

工作用計(jì)算機(jī)禁止安裝盜版殺毒軟件和盜版防火墻軟件； 公司員工的機(jī)器上必須安裝并開啟功能的軟件有：金山企業(yè)版防病毒軟件、Office2010、360瀏覽器、IE8.0升級(jí)包、Winrar、固網(wǎng)打印服務(wù)；

如果由于使用未經(jīng)公司授權(quán)的且沒有許可的軟件造成公司損失，員工需要承擔(dān)全部責(zé)任。6）文件的共享：

員工在使用文件共享時(shí)，必須將其設(shè)置為受限共享；

禁止使用基于互聯(lián)網(wǎng)的P2P軟件和共享服務(wù)，如：BT、eMule等； 不得在計(jì)算機(jī)上配置匿名FTP、TFTP、HTTP，或其他無需驗(yàn)證的服務(wù)；

例如：?jiǎn)T工不得在公司的計(jì)算機(jī)上私自架設(shè)匿名FTP； 未經(jīng)IT部門許可，不得在使用ERP系統(tǒng)的計(jì)算機(jī)上使用U盤或移動(dòng)硬盤。如因業(yè)務(wù)需要，必須要訪問其他人的硬盤。當(dāng)定義共享權(quán)限時(shí)，員工必須設(shè)定用戶權(quán)限、設(shè)定訪問密碼，并及時(shí)取消所定義的共享。

7）郵件的發(fā)送與接收：

禁止使用公司的計(jì)算機(jī)散布、回復(fù)、轉(zhuǎn)發(fā)連鎖郵件、惡作劇郵件； 禁止將涉及公司秘密的內(nèi)部郵件轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上。8）公司涉密信息的保護(hù)：

公司涉密信息包括但不限于公司數(shù)據(jù)庫(kù)中的秘密信息，與公司目前或未來產(chǎn)品、服務(wù)或研究有關(guān)的公司技術(shù)或科技信息，業(yè)務(wù)或營(yíng)銷計(jì)算、營(yíng)銷收益或其他財(cái)務(wù)資料、人事資料，以及軟件等技術(shù)信息、經(jīng)營(yíng)信息等；

公司的員工會(huì)接觸到公司的涉密信息。員工禁止在未經(jīng)公司授權(quán)的情況下泄漏這些信息，并且必須遵守公司為保護(hù)此信息而制定的各項(xiàng)標(biāo)準(zhǔn)和流程；

每個(gè)員工只能接觸使用與本崗位工作相關(guān)的涉密信息，禁止從非正常途徑獲取公司或部門的涉密信息；禁止非授權(quán)復(fù)制涉密信息；

對(duì)公司文檔的保管、存檔、發(fā)送、刪除、銷毀、復(fù)制等必須遵守公司相關(guān)的文檔保密管理規(guī)定；

禁止使用提供翻譯服務(wù)的互聯(lián)網(wǎng)站來翻譯公司的涉密信息； 公司涉密信息盡量避免通過互聯(lián)網(wǎng)傳送，但由于工作需要，需要通過電子郵件等方式發(fā)送公司涉密信息時(shí)，可以采用Winrar加密壓縮的方式把涉密內(nèi)容作為附件發(fā)送，然后通過其他渠道告知對(duì)方加密密碼。

9）公司信箱的帳戶及密碼

所有的密碼必須符合如下條件：

至少8個(gè)字符長(zhǎng)，并且包含英文、數(shù)字及特殊字符； 禁止把用戶名用作密碼或其一部分；

舊密碼中任何三個(gè)連續(xù)的字符盡量不要連續(xù)出現(xiàn)在新密碼中； 公司要求員工至少每30天更換一次密碼。10）內(nèi)部網(wǎng)絡(luò)使用規(guī)則

禁止在網(wǎng)絡(luò)上偽裝為他人身份；

不得私自安裝網(wǎng)絡(luò)管理軟件，監(jiān)控網(wǎng)絡(luò)流量或者妨礙他人使用網(wǎng)絡(luò)資源；

不得對(duì)公司網(wǎng)絡(luò)或服務(wù)器以及網(wǎng)絡(luò)中他人電腦運(yùn)行安全掃描程序或者惡意攻擊；

未經(jīng)IT部允許，不得增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)中，嚴(yán)禁私自購(gòu)買路由器、交換機(jī)接入公司網(wǎng)絡(luò)等行為； 宿舍區(qū)電腦大部分屬于員工私人計(jì)算機(jī)，禁止將公司數(shù)據(jù)及其他涉及到公司機(jī)密的電子文件傳入私人計(jì)算機(jī)中；

第三章公司信息安全管理檢查執(zhí)行規(guī)定

3.1．檢查原則

根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對(duì)違規(guī)行為進(jìn)行處罰。對(duì)在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權(quán)限審核不當(dāng)，造成公司安全制度和措施難以落實(shí)，安全管理工作混亂的部門，部門負(fù)責(zé)人須承擔(dān)領(lǐng)導(dǎo)責(zé)任。對(duì)違反信息安全管理規(guī)定者，如其直接領(lǐng)導(dǎo)有明顯管理和指導(dǎo)不力的須承擔(dān)連帶責(zé)任。

3.2．檢查方式

公司技術(shù)部門抽調(diào)網(wǎng)絡(luò)管理人員，不定期對(duì)公司所屬公司辦公電腦進(jìn)行抽查。分析信息安全日志文件，排查違規(guī)電腦，追究相關(guān)當(dāng)事人。

3.3．檢查結(jié)果

對(duì)于故意盜竊、泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質(zhì)特別嚴(yán)重造成重大損失的，給予罰款、降薪、降職、辭退、直至開除的處理，并賠償公司損失。對(duì)于觸犯國(guó)家法律的，移交國(guó)家司法機(jī)關(guān)依法處理。?對(duì)違反公司信息安全制度規(guī)定，性質(zhì)較輕，在公司內(nèi)部系統(tǒng)給予點(diǎn)名通報(bào)批評(píng)，并記錄在案，責(zé)令限期改正。

第五篇：企業(yè)信息安全保密制度

企業(yè)集 團(tuán) 管 理 制 度

信息安全保密制度

（2016初稿）/ 9

上海企業(yè)經(jīng)營(yíng)管理股份有限公司

信息安全保密制度 第一章 總 則

第一條 根據(jù)國(guó)家相關(guān)規(guī)定，結(jié)合《企業(yè)知識(shí)產(chǎn)權(quán)管理規(guī)范》及具體情況，為保障公司整體利益和長(zhǎng)遠(yuǎn)利益，使公司長(zhǎng)期、穩(wěn)定、高效地發(fā)展，適應(yīng)激烈的市場(chǎng)競(jìng)爭(zhēng)，特制定本制度。

第二條 本規(guī)定是安全保密、知識(shí)產(chǎn)權(quán)及專利保護(hù)工作的依據(jù)和準(zhǔn)則。各部室要把安全保密工作列入工作規(guī)劃，使安全工作落到實(shí)處。

第三條 公司秘密是關(guān)系公司權(quán)力和利益，依照程序只允許特定時(shí)空范圍的人員知悉的事項(xiàng)，包括但不限于技術(shù)專利、財(cái)務(wù)、人事和其他商業(yè)機(jī)密。技術(shù)秘密是指能為公司帶來經(jīng)濟(jì)利益、具有實(shí)用性的技術(shù)信息、設(shè)計(jì)方案等，包括但不限于：技術(shù)信息、工程設(shè)計(jì)、科研專利、知識(shí)產(chǎn)權(quán)等等。財(cái)務(wù)秘密包括但不限于公司經(jīng)營(yíng)的財(cái)務(wù)、資產(chǎn)及相關(guān)統(tǒng)計(jì)數(shù)字。人事秘密主要是與公司人力資源現(xiàn)狀、招聘計(jì)劃、員工隱私、勞資狀況等相關(guān)的信息。包括但不限于：人事檔案、合同、協(xié)議、職員工資性收入、招聘計(jì)劃等。日常秘密主要包括不限于：日常文件文檔、資料等。商業(yè)秘密包括但不限于：客戶名單、定價(jià)政策、財(cái)務(wù)資料、進(jìn)貨渠道，等等。

第四條 公司所有職員、外派人員都有保守公司秘密的義務(wù)。接觸到公司秘密的高級(jí)員工，如：管理人員、技術(shù)人員、財(cái)務(wù)人員、秘書等負(fù)有特別的保秘責(zé)任。

第五條 保密工作實(shí)行安全、便利可行、積極預(yù)防的工作方針。保密范圍和密級(jí)確定： / 9

第六條 公司秘密包括本制度第三條規(guī)定的及下列秘密事項(xiàng)：(一)公司重大決策中的秘密事項(xiàng)；

(二)公司尚未付諸實(shí)施的經(jīng)營(yíng)戰(zhàn)略、方向、規(guī)劃及決策等；(三)公司內(nèi)部掌握的合同、協(xié)議、意見書及可行性報(bào)告；(四)公司財(cái)務(wù)預(yù)決算報(bào)告及各類財(cái)務(wù)報(bào)表、統(tǒng)計(jì)報(bào)表；(五)公司職員人事檔案，工資性、勞務(wù)性收入及資料；(六)公司科研專有技術(shù)、專利、知識(shí)產(chǎn)權(quán)、工程設(shè)計(jì)、等等；(七)其他經(jīng)公司確定應(yīng)當(dāng)保密的事項(xiàng)。

第七條 公司秘密的密級(jí)分為“絕密”、“機(jī)密”、“秘密”三級(jí)。

絕密是最重要的公司秘密，泄露會(huì)使公司權(quán)益和利益遭受特別嚴(yán)重?fù)p害;機(jī)密是重要的公司秘密，泄露會(huì)使公司權(quán)益和利益遭受到嚴(yán)重?fù)p害;秘密是一般的公司秘密，泄露會(huì)使公司權(quán)力和利益遭受損害。

第八條 秘級(jí)的確定：

(一)公司經(jīng)營(yíng)發(fā)展中，直接影響公司權(quán)益和利益的重要決策文件、技術(shù)資料、技術(shù)專利等為絕密級(jí);(二)公司的規(guī)劃、財(cái)務(wù)報(bào)表、統(tǒng)計(jì)資料、重要會(huì)議記錄、公司經(jīng)營(yíng)情況為機(jī)密級(jí);(三)公司人事檔案、合同、協(xié)議、職員工資性收入、尚未進(jìn)入市場(chǎng)或尚未公開的各類信息為秘密級(jí)。

第九條 秘密級(jí)別由董事會(huì)秘書辦公室依據(jù)第七條確定，并確定保密期限：分永久、長(zhǎng)期、短期，一般與密級(jí)相對(duì)應(yīng)，特殊情況外標(biāo)明。保密期限屆滿，自行解密。/ 9

第十條 發(fā)現(xiàn)已經(jīng)或者可能泄露秘密時(shí)，應(yīng)立即采取補(bǔ)救措施并報(bào)告主管部室或公司領(lǐng)導(dǎo)；主管部室或領(lǐng)導(dǎo)接到報(bào)告，應(yīng)及時(shí)處理。

第十一條 本制度規(guī)定的泄密是指下列行為之一：(一)使秘密被不應(yīng)知悉者知悉的;(二)使秘密超出接觸限定范圍，而不能證明未被不應(yīng)知悉者知悉的。

第二章 日常保密管理規(guī)定

第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項(xiàng)等。辦公室為日常保密工作管理部室。辦公室主要保密職責(zé)：

(一)根據(jù)法律及上級(jí)公司規(guī)定，結(jié)合公司實(shí)際制定安全保密管理規(guī)定，并監(jiān)督實(shí)施；

(二)負(fù)責(zé)組織宣傳安全保密管理規(guī)定、制度，組織培訓(xùn)學(xué)習(xí)公司有關(guān)保密安全條例；

(三)制定并落實(shí)人事、檔案保密管理措施；

(四)配合其他部室完成技術(shù)、財(cái)務(wù)、商業(yè)等保密的管理、監(jiān)督和檢查工作；(五)嚴(yán)格機(jī)要、文印人員、招聘選拔；

(六)對(duì)安全保密突發(fā)事件應(yīng)急處理，日常安全保密工作的監(jiān)督；協(xié)助公司領(lǐng)導(dǎo)完成保密工作檢查、獎(jiǎng)懲及與之相關(guān)的活動(dòng)等；

(七)承辦上級(jí)領(lǐng)導(dǎo)交辦的其他保密事項(xiàng)。

第十三條 日常保密工作，各部室、各崗位應(yīng)做到：

(一)領(lǐng)導(dǎo)干部、部室負(fù)責(zé)人、專業(yè)組長(zhǎng)：增強(qiáng)保密意識(shí)、以身作則，模范遵守保密規(guī)定，落實(shí)保密責(zé)任。做到：不泄露知悉的公司秘密；不在無保密保障的/ 9

場(chǎng)所閱辦秘密文件、資料；不在家屬、親友、熟人和其他無關(guān)人員面前談?wù)摴久孛苁马?xiàng)；不攜帶秘密文件、資料參加社交活動(dòng)；不在出訪、考察等外事活動(dòng)中攜帶秘密文件、資料；閱辦完秘密文件及時(shí)清退、歸檔；審校、簽發(fā)文件及稿件時(shí)，要把好定密關(guān)；下級(jí)發(fā)生泄密問題后，及時(shí)上報(bào)、設(shè)法補(bǔ)救，不掩蓋包庇。

(二)員工應(yīng)做到：不該說的秘密不說；不該問的秘密不問；不該看的秘密不看；不該記錄的秘密不記錄；不在非保密本上記錄秘密；不在公共場(chǎng)所和家屬、子女、親友面前談?wù)摴久孛苁马?xiàng)；不在不利于保密的地方存放秘密文件、資料；不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場(chǎng)所；不在私人交往中泄露公司秘密。日常保密措施：

第十四條 健全收發(fā)文制度，各部室要有專人負(fù)責(zé)文件、設(shè)計(jì)圖紙、技術(shù)檔案等機(jī)密文件的管理和清退工作，發(fā)現(xiàn)秘級(jí)文件資料丟失、被竊、泄密時(shí)，須立即報(bào)告，及時(shí)追查、力挽損失。

第十五條 檔案管理按照質(zhì)量管理體系文件中有關(guān)規(guī)定執(zhí)行。

第十六條 有秘密內(nèi)容的會(huì)議或活動(dòng)，主辦部門應(yīng)采取措施：

(一)選擇具備保密條件的會(huì)議場(chǎng)所，嚴(yán)禁使用無線話筒傳達(dá)密件或向室外擴(kuò)音；

(二)根據(jù)需要，限定參會(huì)人員的范圍，指定參會(huì)人員;(三)依照規(guī)定使用會(huì)議設(shè)備和管理會(huì)議文件；

(四)規(guī)定不準(zhǔn)記錄的會(huì)議內(nèi)容，不得記錄，不攜帶錄音機(jī)進(jìn)入會(huì)場(chǎng)錄音；不以任何形式對(duì)外泄露會(huì)議秘密內(nèi)容，會(huì)議結(jié)束后，要對(duì)會(huì)議場(chǎng)所進(jìn)行保密檢查；/ 9

嚴(yán)禁濫印、復(fù)印會(huì)議秘密文件資料，確需要復(fù)制的須經(jīng)批準(zhǔn)。

第十七條 文印崗人員應(yīng)該做到：

(一)復(fù)印的秘密文件：需經(jīng)批準(zhǔn)后才能復(fù)?。粐?yán)格控制份數(shù)，復(fù)印件要按原件一樣管理；

(二)嚴(yán)格保管承印的秘密文稿、資料及有秘密內(nèi)容的磁盤、錄音筆等；對(duì)會(huì)議記錄和有關(guān)文件、資料嚴(yán)加保管，及時(shí)立卷歸檔；

(三)嚴(yán)格遵守保密紀(jì)律，打印、復(fù)印涉密文稿的內(nèi)容不得傳播，不得讓無關(guān)人員閱看，不私自多印留存；

(四)打印的密件廢頁(yè)、圖紙廢頁(yè)、蠟紙應(yīng)及時(shí)處理，不讓無關(guān)人員閱看；發(fā)現(xiàn)密件丟失或下落不明，要立即報(bào)告，并抓緊查找，采取補(bǔ)救措施。定期檢查、清理、清退、銷毀文件；嚴(yán)防將秘密文件、資料和文件底稿隨同舊報(bào)紙等出售。

第十八條 對(duì)于密級(jí)文件、資料設(shè)計(jì)圖紙、方案、技術(shù)標(biāo)準(zhǔn)和其他物品，須采取保密措施：

(一)非經(jīng)批準(zhǔn)，不得復(fù)制和摘抄;收發(fā)、傳遞和外出攜帶，由指定人員擔(dān)任，并采取必要的安全措施；

(二)在設(shè)備完善的保險(xiǎn)裝置中保存；

(三)如有與質(zhì)量管理體系中規(guī)定相左之處，以后者為準(zhǔn)。第十九條 如有必要公司應(yīng)與相關(guān)人員簽訂《保密合同》。

第三章 商業(yè)保密管理規(guī)定

第二十條 商業(yè)保密包括但不限于：客戶信息、采購(gòu)資料、定價(jià)政策、財(cái)務(wù)資料、進(jìn)貨渠道、投標(biāo)信息、經(jīng)營(yíng)策略等。

第二十一條 市場(chǎng)部為商業(yè)保密的主管部門，辦公室及其他部門配合市場(chǎng)部/ 9

完成商業(yè)保密管理。市場(chǎng)部主要保密職責(zé)：

(一)制定商業(yè)保密管理有關(guān)規(guī)范、制度，并組織實(shí)施、監(jiān)督；(二)組織宣傳、培訓(xùn)商業(yè)管理規(guī)定；

(三)負(fù)責(zé)本部門保密管理工作，監(jiān)督其他部門管理工作；(四)負(fù)責(zé)商業(yè)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作；

第二十二條 涉及公司商業(yè)秘密的合作、代理、交易合同或協(xié)議，依據(jù)情況設(shè)置相關(guān)“保密條款”，限制對(duì)方行為。

第二十三條 市場(chǎng)部有關(guān)人員不可將商業(yè)秘密透露給任何第三方或用于合同目的以外的用途，離職、辭職時(shí)，要及時(shí)交出相關(guān)資料，同時(shí)不得泄露公司經(jīng)營(yíng)秘密；不可在對(duì)外接受訪問或者與任何第三方交流時(shí)泄露秘密內(nèi)容。

第四章 財(cái)務(wù)保密管理規(guī)定

第二十四條 財(cái)務(wù)保密工作包括但不限于資產(chǎn)、財(cái)務(wù)統(tǒng)計(jì)數(shù)字及工資及其他報(bào)表的保密。

第二十五條 財(cái)務(wù)部為財(cái)務(wù)保密的歸主管部門，市場(chǎng)部、辦公室及其他部門配合財(cái)務(wù)部落實(shí)財(cái)務(wù)保密工作。財(cái)務(wù)部主要保密職責(zé)：

(一)根據(jù)法律及上級(jí)單位規(guī)定，結(jié)合實(shí)際制定財(cái)務(wù)保密規(guī)范；(二)組織本部門員工學(xué)習(xí)并執(zhí)行財(cái)務(wù)保密制度的有關(guān)規(guī)定；(三)負(fù)責(zé)組織宣傳保密、安全管理規(guī)定、規(guī)范，組織培訓(xùn)學(xué)習(xí)公司有關(guān)保密安全規(guī)定；

(四)負(fù)責(zé)本部門保密管理工作，監(jiān)督其他部門管理工作； / 9

(五)負(fù)責(zé)財(cái)務(wù)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作；

第五章 計(jì)算機(jī)與互聯(lián)網(wǎng)信息保密管理規(guī)定

第二十六條 IT部要健全各項(xiàng)信息保密管理制度，強(qiáng)化機(jī)房計(jì)算機(jī)的應(yīng)用管理。凡秘密數(shù)據(jù)的傳輸和存貯均應(yīng)采取相應(yīng)的保密措施，錄有文件的存貯設(shè)備要妥善保管，嚴(yán)防丟失。

(一)保障公司計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全性。應(yīng)及時(shí)發(fā)現(xiàn)安全隱患，及時(shí)提出解決方案，及時(shí)處理解決問題；

(二)新用戶登記時(shí)，應(yīng)認(rèn)真核實(shí)其身份，并詳細(xì)記錄用戶的相關(guān)信息。員工不允許將公司“用戶信息和網(wǎng)絡(luò)密碼”告知非本公司人員。員工離開本公司，IT部應(yīng)注銷該員工的所有用戶信息；

(三)對(duì)于安全性較高的信息，需要嚴(yán)格管理。無論是紙張形式還是電子形式，均要落實(shí)到責(zé)任人。嚴(yán)禁將工作中的數(shù)據(jù)文檔帶離。

(四)企業(yè)研發(fā)的各辦公系統(tǒng)的數(shù)據(jù)內(nèi)容要嚴(yán)格把關(guān)；IT部要將審核后的內(nèi)容準(zhǔn)確、安全、即時(shí)地上傳至托管服務(wù)器。

(五)加強(qiáng)計(jì)算機(jī)系統(tǒng)的保密安全管理。對(duì)涉密與非保密計(jì)算機(jī)予以明確區(qū)分，涉密機(jī)必須完全與局域網(wǎng)脫離連接，并禁止上因特網(wǎng)以防泄密。并采取身份認(rèn)證、存儲(chǔ)傳輸加密、配置防視頻泄密干擾器等措施加強(qiáng)保密防范。

第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發(fā)、傳遞、使用、復(fù)制、摘抄、保存和銷毀，由辦公室或主管領(lǐng)導(dǎo)委托專人執(zhí)行；采用電腦技術(shù)存取、處理、傳遞的公司秘密由IT部門負(fù)責(zé)保密。/ 9

第二十八條 計(jì)算機(jī)房?jī)?nèi)，禁止無關(guān)人員逗留、參觀，嚴(yán)禁會(huì)客。

第六章 罰則 和 獎(jiǎng)則

第二十九條 公司對(duì)在安全保密工作中做出突出成績(jī)的個(gè)人和部室給予獎(jiǎng)勵(lì)。

第三十條 對(duì)未按本《規(guī)定》進(jìn)行管理或管理不善造成秘密泄漏的，除對(duì)直接責(zé)任者按規(guī)定給予相應(yīng)處理外，還將追究所屬部室主要負(fù)責(zé)人的責(zé)任，并對(duì)直接責(zé)任者和所屬部室給予相應(yīng)的經(jīng)濟(jì)處罰。

第三十一條 對(duì)無視本《規(guī)定》，以謀取個(gè)人或小集團(tuán)利益為目、蓄意泄漏秘密的，造成重大損失和嚴(yán)重后果的，將依《中華人民共和國(guó)刑法》追究法律責(zé)任。

第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經(jīng)濟(jì)損失，削弱競(jìng)爭(zhēng)能力的，視情節(jié)輕重給予不同程度的行政處分和經(jīng)濟(jì)處罰，明知故犯者加重處罰。對(duì)違反本《規(guī)定》，使單位秘密泄露，造成直接或間接經(jīng)濟(jì)損失的，由公司保衛(wèi)部及所屬管理部門負(fù)責(zé)調(diào)查核實(shí)，并提出處理意見，報(bào)公司領(lǐng)導(dǎo)批準(zhǔn)后執(zhí)行。

第七章 附 則

第三十三條 本《規(guī)定》自發(fā)布之日起執(zhí)行。第三十四條 本規(guī)定的解釋權(quán)屬于本公司保衛(wèi)部。/ 9