中小型企业信息安全管理规范

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

中小型企业信息安全管理规范 4

安全管理规范

为做好IT 外包服务工作,维护服务企业信息安全与保密工作,加强对项目工程师的信息安全教育与培训工作,防止由于项目组人为原因造成泄密行为的发生,维护客户方及公司的合法权益,拟定如下安全管理规范进行参考学习。

1、保密规范

秘密文件要标识,秘密信息妥善保管,保密信息慎传递,发现泄密快报告。

2、知识产权

在您正式加入阳光雨露公司时,您会与公司签署《知识产权及保密协议》,这是一份具有法律约束力的文件,请您注意不要违背协议中的各项条款。根据协议,您在客户方工作期间,在职务工作中形成研究、开发成果归属公司;您在聘用期间以及聘用期终止后,除非为了履行自己在公司的职务或者执行国家法律的规定,未经公司书面同意,决不能公开发表或对其他人泄露公司的任何商业秘密,决不能为其它目的使用公司的任何商业秘密,决不复印、转移含有公司商业秘密的资料,无论这些商业秘密信息是否是由您本人开发出来的。

3、严格遵守公司及客户方的信息保密规范,在有客户方行为保密的规范的前提下,所有人员有责任阅读并认真填写、履行客户方的信息保密行为规范。如果客户方无明确信息保密规范,

请严格按照公司如下定义的内容(或者客户方定义的保密内容)履行信

息保密行为。

1.0 保密区域定义

所有公司或者客户方的计算机机房,网络设备间/室,开发部,微机室,信息处理室,电话中心,存放企业或者部门重要的技术、管理数据和资料的办公室或者区域。

2.0保密信息定义

在公司或者客户方各类应用信息系统中保存的,包含但不限定以下内容:

1). 技术秘密

技术创新方面(包括原有和新开发的、重要的、在一定时期内具先进水平的技术项目)的调研、计划、立项、可行性分析、方案、决策、研究试制的记录和总结、参数、技术鉴定等信息及其记录载体。

可能成为发明或专利的阶段性成果,或已经有关部门批准的发明或专利成果,及对该项目成果实施效果有重大影响的技术决窍和辅助技术。

消化吸收国外先进技术并加以改进的技术工艺。

产品生产、设计、创新方面的工艺配方、工艺流程、工艺条件和技术装备要求,工艺参数、工艺方法、操作规程、内控标准、成份和检测方法、工艺技术决窍、传统工艺和秘方的信息及其记

录载体。

新产品研制成本、生产能力以及实现利润预测资料。

节能降耗、提高生产效率、质量攻关的技术决窍和技术改进方案。

科技发展规划,包括中长期发展规划、产品发展规划、设备更新规划。

2). 营销秘密

产品(商品)的库存情况、储备计划和数量、采购计划、合同价格和采购成本。

供产销计划和措施、价格调整方案、营销策略、定价依据、销售合同、客户档案(省内外经销点及用户资料)。

企业财务管理、财务收支、会计报表、会计帐簿、会计凭证、销售情况资料。

企业发展计划、规划及生产规模,各项经济技术指标的年度计划和统计报表。

企业资产、资金状况及企业各类经济指标。正在或将要与外商谈判的进出口商品需求情况、内部掌握的方案、对外招标价格底盘及方案等影响商业谈判顺利进行的措施和办法。

引进技术项目及设备进口计划、用汇额及有关资料。

3.0 其它工作秘密

尚未公开的人事考察政审、评议考核、职务任免、调动、奖惩和机构设置材料及信息。不宜公开的企业各类档案、机要文件和各类报表。

在一定时期、一定范围内尚未公开的企业党委会议、部门会议、

董事会议、党政联席会议和纪检、保卫等专题会议的会议记录、纪要及有关材料。

群众来信来访和纪检、监督、审计工作中的保密事项(包括立安、案情调查、问题分析、审查和结论等)。

未公开的工程项目的标底。未批准公开的各种事故的情况。中央和省市的各类密级文件。

4). 信息化应用类秘密企业现有的应用系统,应用的技术细节,应

用效果等。应用的软件的名称、数量和分布等信息。使用的硬件的

名称,数量和分布等信息。

各应用系统的相关数据。

各应用系统的权限密码。与合作公司签订的合同内容,以及合同中被定义为不可公

开、或者秘密的内容。

各类信息化应用项目的各个阶段执行的资料、总结,或者相关的附件。

5). 所有标识为“机密” 、“绝密”、“秘密”等其他与计算机

或者信息化相关的信息。 4.0 安全管理要求

1). 安全培训

各驻场服务SSL,负责对驻场工程师含备份工程师员进行信

息安全和使用的宣贯和培训工作;

所有新到的员工,首先应对其进行项目信息安全意识的培

训;

对于授权合作伙伴的人员,要确保其理解和承担信息安全的责任和义务;

2). 对信息披露的控制

未获得许可,不允许私自带领公司或者客户方企业之外或本项目组成员无关的人员参观保密区域;

未获得许可,不允许对外介绍公司或者客户方企业现有的应用系统,应用的技术细节,应用效果等(有合作项目,并承担了保密义务的情况除外) ;

未获得许可,不允许对外透露应用的软件的名称、数量和分布等信息;

未获得许可,不允许对外透露硬件的名称,数量和分布等信息;

5.0其他相关规定

各类计算机或者网络设备接入的要求:请遵循客户方相关IT 管理规定

6.0信息安全的审计

项目经理负责每月对各平台项目实施团队进行信息应用安全的审计和评价工作,对出现问题的平台和授权子商按照相应规定进行处罚和通报。

7.0 涉密电子信息泄密的处罚

1).项目组各成员,均有保守外包企业秘密、和发现有泄密隐患进行报告的义务;

2).对泄密的直接责任人和间接责任人,项目组将根据企业和国家有关法律、法规视情

节轻重进行行政处分或经济处罚。情节严重的,移交国家政法部门追究刑事责任;

相关文档
最新文档