信息安全管理制度-模板

信息安全管理制度

保密等级：内部公开

版本/版次： 1.0

编制日期

审核日期

审查日期

批准日期

文件修订履历表

信息安全管理制度

1 目的

为满足业务运行要求，遵守国家法律法规，实施信息安全风险管理，确保信息安全以及实现持续改进的目的，特制定此制度。

2 范围

本制度适用于xxx有限公司（以下简称xxx集团或集团）信息安全整体工作，在集团范围内给予执行。

3 职责

3.1 最高管理者在公司的战略层面统筹推进两化融合。

3.2 管理者代表提出本公司的两化融合相关决策建议。

4 引用文件

无

5 信息安全建设和管理

5.1组织架构

5.2 人员安全管理

5.2.1 人力资源管理部门负责人员安全管理，应建立以员工为中心的人力资源管理策略。

5.2.2 人员聘用时需明确员工信息安全责任，人力资源部门必须在新员工入职一个月内组织一次信息安全培训，并且每年定期组织一次针对全体员工的信息安全培训和宣导，提高员工的商业秘密保护意识。

5.2.3 员工离职时须严格按照离职流程进行，各交接人应该负责交接信息的安全处理，以确保相关信息资料的不外泄。

5.2.4 信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在岗位职责中应明确对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。

5.3 信息安全风险评估

5.3.1 集团每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。

5.3.2 信息资源管理部负责组织成立风险评估小组。

5.3.3 风险评估小组组长负责进行信息安全风险评估的策划，风险评估小组按策划进行风险评估。

5.3.4 集团各部门负责按规定进行风险处理,并定期输出《xx信息安全风险评估报告》。

5.3.5 当集团发生以下情况时需及时进行风险评估：

1）当发生重大信息安全事故时；

2）当信息网络系统发生重大更改时；

3）管理者代表确定有必要时。

5.3.6 与外部公司签订合约时应进行信息安全风险评估；

5.4 信息安全事件报告和协查

5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。

5.4.2 加强值班管理及时发现信息，安全事件和隐患。

5.4.3 一旦发现信息安全案事件，应详细、如实记录事件经过，保存相关日志，并形成相应分析报告，并及时通知有关人员，并与公安部门取得联系。

5.5.4 进行网络违法案件及其他信息安全检查时，有关人员必须积极配合。

5.5 知识产权保护

5.5.1 集团从正当渠道获取各类专利、专有技术和正版软件，以保证著作人的版权和知识产权不受侵害。

5.5.2 集团员工应遵守从互联网获得软件和信息的条款规定。

5.5.3 法律、法规和合同约定的要求有限制内容的，集团员工除非得到授权的许可，否则不得复制、转换到另一种格式以提取文件内容，不得整体或部分的复制其文档内容。

5.5.4 集团各部门保留各类专利、专有技术、软件的授权文件（证书）、软件母盘及手册等证明和证据。

5.5.5 集团在授权范围内使用经授权的专利或专有技术，并采取必要的技术和管理手段，尽一切努力保护其所有人的合法权益不受第三方侵害。

5.6 密码安全管理规定

集团所有计算机、服务器、网络交换机等IT设备与信息系统必须按本规定要求设置相关密码。

5.6.1 用户的个人办公账号必须按照要求设置初始密码，用户必须在首次使用时更改密码并妥善保管，不得散发或与他人共享。

5.6.2 用户密码的设置不应少于10位，最好包含大小写字母、数字和特殊字符。5.6.3 信息系统管理员密码长度至少要求10位，必须包含字母、数字与特殊字符。

5.6.4 服务器、防火墙、路由器、交换机、网络负载等重要IT设备的超级管理员密码长度应在12位以上，且必须包含字母、数字与特殊字符。

5.6.5 以上所有密码均不能使用姓名的汉语拼音、生日，重复、顺序、规律数字、工号和常见的英文单词等容易猜测的数字和字符串。

5.6.6 以上所有密码，每三个月定期更改，以增强密码的安全性。

5.6.7 服务器、防火墙、路由器、交换机、网络负载等重要设备的超级管理员密码由系统管理员自行保存，严禁将密码转告他人；若因工作需要必须转告，应由信息资源管理部负责人审批；非系统管理员使用密码完成工作后，系统管理员应该及时更改密码，保证密码安全。

5.7 机房安全管理

5.7.1 服务器及网络设备相关管理人员应尽量通过远程连接方式对服务器端进行维护，减少进入机房操作。

5.7.2 对于已获得批准进入机房的外来技术人员，相关设备负责人需对其工作内容进行规范及管控。

5.7.3 进入机房工作人员应恪守保密原则，不得泄露机房各种信息资料与数据。5.7.4 外来人员对各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经相关系统负责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档，受访部门负责相应安全责任。

5.7.5 在机房设安全监控探头，并进行全天监视和录像，安全监控录像信息的保存周期为90天。

5.7.6 机房内应配备温度计，机房管理人员应每天关注温度的变化，做好机房的防潮、防湿、防高温工作，一般情况下，当机房的温度超过28摄氏度的话，则应开

启降温设备做好降温工作。

5.7.7 机房管理人员定期检查机房线路、消防器材、火灾自动报警、火灾自动灭火系统等消防设施，保证其状态良好。

5.8 计算机安全管理

5.8.1 任何人不允许私自拆卸计算机及增减组件。

5.8.2 下班后所有不再使用的计算机，应关闭主机及显示器，对于公共的计算机，原则上由最后一个使用人员关机，并关闭电源。外来人员不得操作公司计算机。5.8.3 员工离开工作岗位时应立即用带密码的计算机屏幕保护锁定计算机。

5.8.4 操作系统由集团统一提供，禁止安装使用其它来源的操作系统，特别是未经授权的非法拷贝。

5.8.5 集团提供的全部软件仅限于员工完成工作所使用；未经许可，不得将集团购买或开发的软件擅自提供给第三方。

5.8.6 计算机必须打开操作系统自带防火墙，使用人员不得私自改变计算机的安全配置，不得私自以任何方式接入互联网，不得从事危害网络秩序、网络安全的活动。

5.9 服务器安全管理

5.9.1 集团所有服务器必须严格按照密码安全管理规定设置开机密码、系统登陆密码、以及带密码的屏幕保护。

5.9.2 集团所有服务器应按照信息资源管理部相关安全技术规范来设置安全策略，策略设定后要进行有效性检查，确保有效执行。

5.9.3 服务器日常操作和维护由系统管理人员负责，未经许可其他人不得对服务器进行操作。

5.9.4 为了保证服务器的运行效能和安全，只允许安装压缩、杀毒等必要的应用软件，严禁安装游戏、聊天工具等与系统无关的软件。

5.9.5 系统管理人员定期对服务器进行巡检，发现服务器有严重错误或黑客入侵等行为，必须立即采取措施进行处理。

5.9.6 服务器的关键信息及重要数据应定期备份，确保系统一旦发生故障时能够快速恢复。

5.9.7 原则上不允许在个人电脑上共享公司有商业价值的重要文件或在部门公共盘上存放有商业价值的重要文件。

5.10 网络安全管理

5.10.1 集团所有网络设备密码必须严格按照密码安全管理规定执行。