信息服务管理制度

1、信息服务管理制度信息服务管理制度1、为加强对计算机信息系统的运行管理，提高工作 质量和管理有效性，实现计算机信息维护、操作规范化，确 保计算机信息安全、可靠运作，结合公司实际情况，特制定 本规定：2、集团公司的信息管理内容主要包括，但不限于：2.1 动态性信息，即反映经营管理动态方面的信息；2.2 政策性信息，即与公司经营业务有关的国家、省、 市、行业的政策性法规信息；2.3 反馈性信息，即反映公司高层领导指示和决定执行 情况的信息；2.4 调研性信息， 即在调查研究基础上， 经挖掘提炼后， 有分析、有探讨、有建议的深层次信息；2.5 参考性信息，即为公司领导了解情况、开阔思路、实施决策而提供

2、的具有参考性质、咨询价值的信息；2.6 重大、突发性信息，即反映重大或突发事件信息；2.7 涉及员工思想反映等其它有关重要信息。3、职责： 信息管理工作由信息科负责，各部门负责本部门信息管 理工作；3.1 信息科职责：3.1.1 信息管理工作的归口负责部门，指导各部门信息 管理工作；3.1.2 负责各部门之间的公文信息流转，汇集各业务部 门报送的信息3.1.3 重要信息的保存归档。3.2 相应部门职责：3.2.1 负责收集本部门职责范围内的有关信息，包括业 务部门上报的相关信息，其中重要信息及时向上级或相关部 门传递；3.2.2 建立与本部门工作相适应的信息收集、反馈渠道， 保证上下信息的及时

3、传递和处理；4、要求：4.1 机密信息的交接相关管理规则将与本公司共享的机 密信息，与业务合作伙伴，委托对象以及派遣相关公司之间 进行交换时，应基于以下管理规则进行安全管理。4.1.1 制作与相关方共享机密信息的委托对象等的管理列表4.1.2 与委托对象签订保密合同（内容包括：守秘义务、 成为保密对象的信息的范围、保密义务期限、使用目的的限 制、访问者应限定为在业务上须了解该信息的人员、对指定 重要机密信息的管理方法、对指定重要机密的复制的限制、 规定在保密期限满后返还或废弃、由本公司进行保密相关确 认措施的规程、违反合同时的措施、禁止擅自进行再委托、 禁止用自己电脑处理业务）4.1.3 与本

4、公司和供应商一样，在供应商和委托对象等 之间也要制定机密信息的交换相关规则：a 本公司交给供应商的信息，原则上，均作为内部信 息处理，禁止对第 三方公开。b 须交换和公开机密信息时，请事先取得本公司的认 可后再实施。c 以电子文件的形式发送和接受机密信息时，请实施 加密。4.2 在工作部门的访问管理进行机密信息管理时，对于 本公司共享的机密信息，要基于以下物理规则进行管理。4.2.1 为了能够限制无关人员进入公司区域、建筑物以 及房间内而进行了区域区分。4.2.2 只许可须了解信息的人员进入。4.2.3 信息安全必要的场合，须设置围墙、监视摄像机、 传感器等。4.2.4 定期地对进出记录（包括

5、摄像机图像）进行监查。4.2.5 建立员工和外来人员进行区别。4.2.6 机密信息要上锁请保管于文件柜中；对试制品要 进行数量管理，并将访问限制为最低限度。4.3 信息资产的带出 /带入相关管理规则 带出、带入（文 件、记忆媒体、电脑）以及废弃的管理。4.3.1 禁止在业务目的以外的（电脑、带摄像头的手机、 pda 随身听、记忆媒体 sd 卡、 usb 存储等）带入处理机密 信息的场所。要带入时，须得到责任人的许可。4.3.2 在工作中不得使用私人电脑，并且禁止将私人电 脑带入； 在工作中需要使用的记忆媒体和电脑， 制作管理表。 对于带出的电脑要实施加密、设置多重密码，原则上，禁止 带出电脑。

6、4.3.3 对于机密资料，要用碎纸机进行裁切、溶解或烧 毁。对于涉及信息等的技术载体，要进行破坏以无法读取信 息；要与处理工业废品的企业签订机密保持合同。4.4 it 系统的访问管理4.4.1it 系统的使用者 id 和密码的管理访问电子化信息 时，每个人要使用自己单独的 id 和密码，并取得谁访问了 与本公司共享机密信息的记录。不与其他用户公用id,设定他人不容易推测出来的密码（密码同时包含有英文和数字， 在 6 个字符以上。 ）；密码须定期地变更， 至少要每 30 天 变更一次；不得将密码借给他人；对是否存在离职者的id、临时使用的 id 等、未被使用的 id 以及不正当的 id 进行检

7、查。4.4.2 电脑、服务器等 it 系统的设置以及废弃的管理在 与因特网之间设置合适的防火墙，将业务上必要的信息设备 和电脑连接于安全的公司内部系统内，不要连接社外网络。 信息要保管在服务器上，实行服务器的安全管理，而非个人 电脑里；人员离开座位时，要将笔记本电脑上锁保管于办公 桌的抽屉中、柜子等中；台式电脑等的固定式电脑，要用电 脑锁固定在办公桌等的上面；带出的电脑内的数据要实施加 密，在万一被盗时，可避免数据被读取；带出电脑期间，应 随时带在身边； 对 biosos 屏幕保护程序设定密码； 离开座位 时，可锁屏，可把屏幕设置为在 5 分钟内无输入的状态下， 可通过带密码的屏幕保护程序锁定

8、屏幕。 it 系统的废弃和再 使用：如果 it 系统废弃，须将硬盘内的信息完全删除或进 行物理破坏。保管机密信息的服务器要设置在可确保安全的 合适场所。4.5 对非法程序和病毒的管理4.5.1 针对电脑病毒和非法程序，由系统管理员（或提 供单位）指定防毒软件（杀毒软件）的种类和版本，并加以 引进。使防毒软件常驻于规定的各对象电脑中，始终确保完 全受保护的环境；设置为至少每天更新一次（推荐每隔一定 时间进行自动更新）病毒定义；对于被保存的所有文件，进 行定期扫描；禁止安装和使用文件交换软件（ winnyshare 等 的文件交换软件；由信息安全责任人检查，或使用检测工具 自主检测。4.6 可持续

9、性的备份管理对于重要系统，要定期地实施 备份，要能够确认处理机密信息的信息系统的所有备份媒体 均得以正确的机密区分的管理。4.7 实施信息安全的教育和培训关于信息安全，要对所 有员工按照培训计划实施信息安全教育。此外，委托对象也 应对委托进行业务的员工实施同样的信息安全教育。所有员 工要定期地自我检查，当出现不符合规定的事项时，要指导 改善并记录。自我检查表中加入了清 #理桌面（应注意整理 整顿，禁止将机密文件放在桌上） 、清理屏幕 （离开座位时， 应设定为不显示屏幕或启用带密码的屏幕保护程序）4.8 与员工签订保密协议在工作中有关于保密的条款， 取得员工的保密协议，委托对象要进行保密管理，并

10、对保密 协议进行管理。4.9.发生信息安全事故时的处理方法在发现信息安全上 的问题或感觉到发生的危险时，或目击了事件事故或发现了 事件事故的痕迹时，要立即向本公司的信息管理责任人报 告。要把握受害状况和使受害影响最小化的紧急处理；查明 原因和暂定措施，以在信息泄漏时可向该第三方报告等，实 现相关者能够进行自卫和相关处理；必要时，应进行宣传处 理，向相关政府机关报告。记录事故的经过和处理的过程， 要迅速实施防止事故再次发生的对策，并贯彻周知。4.10 实施可持续地推进改善活动的信息安全pdca 实施自我检查，以确认信息安全是否得以正确实施，每年至少实 施一次检查。对自主检查的结果、明确了的不符合

11、事项，应 制定改善计划。4.11 对外信息披露的管理4.11.1 责任部门对外信息披露的责任部门为办公室，办公室是公司的对 外公告、启事、宣传文稿等工作的对口部门。4.11.2 对外信息披露的过程4.11.2.1 信息的报送：各部门根据工作需要对外发布信 息时，需提前通知办公室，并将对外公布信息内容、信息披 露的渠道等报送办公室审批。4.11.2.2 信息的审批：办公室对各部门的对外公布信息 内容和渠道进行审核，审批通过后由办公室统一执行对外信 息发布的工作。重要对外信息的审批则需上报行政总监、总 经理审批，审批通过后由办公室进行发布工作。注：对于经常性或较为适于职能部门发布的信息，经办 公室、行政总监、总经理批准后，可由相应部门负责对外信 息发布，发布信息的内