信息安全管理规范(制度)

信息安全管理规范（制度）一、定义信息安全是指在信息的收集、产生、处理、传递、存储等过程中，做到以下工作：1）确保信息信息安全，即信息安全性；2）保证信息完整和不被灭失，即完整性；3）保证信息的可用性，即信息的可用性。信息安全的意义：信息即资产，保障信息安全就是保障企业信息资产。二、信息安全意识1、遵守公司制度，妥善使用公司信息处理设备（电脑、打印机等）。2、注意公司信息系统登录信息信息安全，不得告知其它人。3、加强移动计算机的安全保管，防止丢失。4、使用过的重要文件及时销毁、不得扔废纸篓里也不得重复利用。5、工作过程中，重要信息（包括纸质文档）妥善保管，及时备份。6、移动硬盘、U盘、带存储卡的设备不得随意接入公司内部网络拷贝信息。7、外来设备未经许可严禁接入公司内部网络。8、和外部组织交往时，注意信息安全，不透露、传递、发送任何有关公司的信息。三、密码管理制度1.密码必须符合复杂性要求不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分。密码至少以下四类字符中的三类字符：英文大写字母（A到Z）、英文小写字母(a到z）、10个基本数字（0-9）、非字母字符（例如：！、$、#、%）。2.密码长度最小值:密码长度最小需设置成8位。3.密码最短使用期限:7天。4.密码最长使用期限:90天必须修改。5.强制密码历史:每一次更改的密码不应与前1次相同。四、数据信息安全屏幕保护1.计算机屏幕五分钟未动,会自动锁屏,解锁需输入登入产码2.如欲离开座位,养成屏保习惯(Ctrl+Alt+Del选锁定改计算机)薪资数据信息安全建议不在本地存储。防毒安全1.电脑需安装防毒软件。2.不明链接不要点击。3.不明文件不要下载或开启。4.不明邮件不要打开。5.U盘使用前须扫毒(未来:将限制性使用U盘)。文件安全1.研发、财务、设计等部门文件需做加产2.邮件使用规范:仅处理与工作相关事宜、禁止发送违反公司利益之邮件；处理工作相关之邮件须使用公司统一配发之邮箱。3.文件服务器上部门专用文件夹仅能对同部门做权限开放。4.文件服务器上共享文件夹需定义负责人,有权限开放需求时,须经文件夹负责人确认后方可开放。5.重要文件请养成备份之习惯以防止因意外导致数据文件毁损。6.禁止将与工作无关的图片、音频、视频、含有淫秽、色情、暴力的文字、图片、音频、视频等文件存放于工作所用电脑或公司文件服务器。七、网络安全1.无线网络开放对象公司配发之计算机访客可向IT申请临时使用2.员工个人计算机不开放接入公司内部网络3.凡有访问Internet的权限的用户电脑，任何时间公司员工不得使用公司的电脑浏览淫秽、色情、暴力、违反国家安全的网站。VPN(接入公司內部网络用)采申请方式开放。八、系统安全1.门禁控制指纹录入作为考勤及门禁访问；进入研发区域、设计区域、财务区域需在线填写需求申请单。2.操作系统系统登录安全（即：计算机登录及软件登录）；系统资源、存储安全。3.应用系统公司配发之计算机已安装应用软件；若安装其他软件，需在线填写IT需求申请单（须以管理员权限才可进行）；安装软件必须为正版授权。九、信息安全设施、设备管理制度用于信息安全防范的设施、设备，由信息安全管理部门登记备案。使用部门应严格信息安全防范设施、设备的使用管理。信息安全防范设施、设备未经信息安全同意，禁止私自拆卸维修。配备信息安全防范设施、设备的部门、部位必须按要求开启使用。禁止使用部门和个人私自挪动、拆除信息安全防范设施、设备。信息安全设备购置管理制度1.需处理信息安全信息的计算机及办公自动化设备(包括移动式硬盘、u盘等电子载体)在申请购置时，应同时填写信息安全算机信息系统及办公自动化设申请表经公司信息安全负责人审核批准。2.信息安全的计算机和办公自动化设备未经信息安全同意，使用部门不得擅自搬移设备。归还时应经技术负责人审批备案进行消产处理后方可退回信息安全。3.信息安全的计算机信息安全和办公自动化设备需要维修前，应由兼职设备管理员专门负责，出公司维修应进行信息安全检查，采取相应的安全信息安全措施，确认无信息安全信息并经主管领导审核签字确认后方可送修。不宜搬动的设备可由维修人员到现场修理，外