中小型企业信息安全管理规范

1、中小型企业信息安全管理规范4安全管理规范为做好IT外包服务工作，维护服务企业信息安全与保密工作，加 强对项目工程师的信息安全教育与培训工作，防止由于项目组人为原因 造成泄密行为的发生，维护客户方及公司的合法权益，拟定如下安全管 理规范进行参考学习。1、保密规范秘密文件要标识，秘密信息妥善保管，保密信息慎传递，发现泄密 快报告。2、知识产权在您正式加入阳光雨露公司时，您会与公司签署知识产权及保 密协议，这是一份具有法律约束力的文件，请您注意不要违背协议中 的各项条款。根据协议，您在客户方工作期间，在职务工作中形成研 究、开发成果归属公司；您在聘用期间以及聘用期终止后，除非为了 履行自己在公司的职

2、务或者执行国家法律的规定，未经公司书面同意， 决不能公开发表或对其他人泄露公司的任何商业秘密，决不能为其它目 的使用公司的任何商业秘密，决不复印、转移含有公司商业秘密的资 料，无论这些商业秘密信息是否是由您本人开发出来的。3、严格遵守公司及客户方的信息保密规范，在有客户方行为保密 的规范的前提下，所有人员有责任阅读并认真填写、履行客户方的信 息保密行为规范。如果客户方无明确信息保密规范， 请严格按照公司如下定义的内容（或者客户方定义的保密内容）履行信息保密行为。1.0保密区域定义所有公司或者客户方的计算机机房，网络设备间/室，开发部，微机室，信息处理室，电话中心，存放企业或者部门重要的技术、

3、管理数据和资料的办公室或者区域。2.0保密信息定义在公司或者客户方各类应用信息系统中保存的，包含但不限定以 下内容：1） .技术秘密技术创新方面（包括原有和新开发的、重要的、在一定时期内具先 进水平的技术项目）的调研、计划、立项、可行性分析、方案、决策、 研究试制的记录和总结、参数、技术鉴定等信息及其记录载体。可能成为发明或专利的阶段性成果，或已经有关部门批准的发明 或专利成果，及对该项目成果实施效果有重大影响的技术决窍和辅助技 术。消化吸收国外先进技术并加以改进的技术工艺。产品生产、设计、创新方面的工艺配方、工艺流程、工艺条件和技 术装备要求，工艺参数、工艺方法、操作规程、内控标准、成份和检

4、 测方法、工艺技术决窍、传统工艺和秘方的信息及其记录载体。新产品研制成本、生产能力以及实现利润预测资料。节能降耗、提高生产效率、质量攻关的技术决窍和技术改进方案。科技发展规划，包括中长期发展规划、产品发展规划、设备 更新规 划。2） .营销秘密产品（商品）的库存情况、储备计划和数量、采购计划、合同价格 和采购成本。供产销计划和措施、价格调整方案、营销策略、定价依据、销售合 同、客户档案（省内外经销点及用户资料）。企业财务管理、财务收支、会计报表、会计帐簿、会计凭证、 销售情况资料。企业发展计划、规划及生产规模，各项经济技术指标的年度计划 和统计报表。企业资产、资金状况及企业各类经济指标。正在或

5、将要与外商谈判 的进出口商品需求情况、内部掌握的方案、对外招标价格底盘及方案等 影响商业谈判顺利进行的措施和办法。引进技术项目及设备进口计划、用汇额及有关资料。3） 0其它工作秘密尚未公开的人事考察政审、评议考核、职务任免、调动、奖惩和机 构设置材料及信息。不宜公开的企业各类档案、机要文件和各类报表。在一定时期、一定范围内尚未公开的企业党委会议、部门会议、董事会议、党政联席会议和纪检、保卫等专题会议的会议记 录、纪要及 有关材料。群众来信来访和纪检、监督、审计工作中的保密事项(包括 立安、案情调查、问题分析、审查和结论等)未公开的工程项目的标底。未批准公开的各种事故的情况。中央 和省市的各类密

6、级文件。4） .信息化应用类秘密企业现有的应用系统，应用的技术细节，应 用效果等。应用的软件的名称、数量和分布等信息。使用的硬件的 名称，数量和分布等信息。各应用系统的相关数据。各应用系统的权限密码。与合作公司签订的合同内容，以及合同中 被定义为不可公开、或者秘密的内容。各类信息化应用项目的各个阶段执行的资料、总结，或者相关的 附件。5） .所有标识为“机密”、“绝密”、“秘密”等其他与计算机 或者信息化相关的信息。4.0安全管理要求1） .安全培训各驻场服务SSL,负责对驻场工程师含备份工程师员进行信息安全和使用的宣贯和培训工作；所有新到的员工，首先应对其进行项目信息安全意识的培训；对于授权

7、合作伙伴的人员，要确保其理解和承担信息安全的责任 和义务；2） .对信息披露的控制未获得许可，不允许私自带领公司或者客户方企业之外或本 项目 组成员无关的人员参观保密区域；未获得许可，不允许对外介绍公司或者客户方企业现有的应用系 统，应用的技术细节，应用效果等（有合作项目，并承担了保密义务的情 况除外）；未获得许可，不允许对外透露应用的软件的名称、数量和分布等 信息；未获得许可，不允许对外透露硬件的名称，数量和分布等信息、；5. 0其他相关规定各类计算机或者网络设备接入的要求：请遵循客户方相关IT管理 规定6.0信息安全的审计项目经理负责每月对各平台项目实施团队进行信息应用安 全的审计 和评价工作，对出现问题的平台和授权子商按照相应规定进行处罚和通 报。7.0涉密电子信息泄密的处罚1) .项