信息安全管理制度一、總則為了進一步加強公司信息安全管理，根據公司的要求和保密規定，結合公司實際情況，特制定本制度。二、信息管理員職責1、公司負責信息安全的職能部門為XX。2、公司設置專人為信息管理員，負責信息系統和網絡系統的運行維護管理。3、負責公司計算機的系統安裝、備份、維護。4、負責督促各部及時對計算機中的數據進行備份。5、負責計算機病毒入侵防范工作。6、定期對網絡信息系統安全檢查。7、違規對外聯網的監控，信息安全的監督。8、負責組織計算機使用人進行內部網絡使用規范的宣傳教育和培訓工作。9、負責與上級管理部門聯絡工作，參加上級組織的各類培訓，并及時上報相關報表。三、管理制度（一）密級制度從保密性角度，公司對于信息分成兩大類：公開信息和保密信息。1、公開信息：公司已對外公開發布的信息，如公司宣傳冊、產品或公司介紹視頻等。2、保密信息：公司僅允許在一定范圍內發布的信息，一旦泄露，將可能給公司或相關方造成不良影響。比如公司投資計劃等。3、保密信息密級劃分根據信息價值、影響及發放范圍的不同，公司將保密信息劃分為絕密、機密、秘密、內部公開四個級別。絕密信息：關系公司前途和命運的公司最重要、最敏感的信息，對公司根本利益有著決定性影響的保密信息，如：公司訂單，研發資料，重大投資決議等。機密信息：公司重要秘密，一旦泄露將使公司利益受到嚴重損害的保密信息,如：未發布的任命文件，公司財務分析報告等文件。秘密信息：公司一般性信息，但一旦泄露會使公司利益受到損害的保密信息，如：人事檔案，供應商選擇評估標準等文件。內部公開：僅在公司內部公開或僅在公司某一個部門內公開，對外泄露可能會使公司利益造成損害的保密信息的保密信息，如：年度培訓計劃，員工手冊，各種規章制度等。4、密級標識創建文檔時，需要根據內容在頁眉處添加正確的密級，頁腳處注明“XX機密，未經許可不得擴散”或類似字樣。電子檔及打印文檔皆須包含上述字樣。（二）人員安全1、外來人員根據來訪性質，可將來訪人員分為兩類，1）預約來訪人員：計劃內來訪，指公司相關接待部門事先已明確來訪人員的相關信息（單位、姓名及人數等）、來訪時間及來訪事由的情況。2）臨時來訪人員：計劃外來訪，指即公司接待部門事先不清楚來訪人員的相關信息、來訪時間及來訪事由的情況。2、“臨時出入卡”顏色標識1）客戶：紅色貴賓來訪卡2）供應商：藍色來訪卡3）應聘或其它人員：黃色來訪卡3、接待流程1）預約來訪人員A：來訪人員不需進入辦公或生產區接待流程如下：XX接待人員填寫接待申請單。來訪人員到公司前臺，前臺核實身份后發“臨時出入卡”，來訪人員留下有效證件。員工與來訪人員在大堂接待區或其他外部接待區會談。來訪人員到前臺交還卡并領回證件，前臺填寫確認單。流程結束。B：來訪人員需要進入辦公或生產區XX接待人員填寫接待申請單。來訪人員到前臺，前臺核實身份后發“臨時出入卡”并在單中記錄，來訪人員留下有效證件，前臺確認進入時間。前臺將來訪人員交接給接待人員。會談結束，接待人員將來訪人員送至大堂前臺，前臺確認離開時間、陪同情況，來訪人員還卡并領回證件，前臺填寫確認單。流程結束。2）臨時來訪人員一般情況下，臨時來訪的會談地點應安排在辦公區域之外，如確因工作需要需進入辦公或生產區域，需按預約來訪流程，由接待人填單并經權簽人審批。具體流程：外來人員到訪。前臺電話通知XX接待人員。XX接待人員是否安排接待？（否）接待人員向來訪者說明情況，流程結束。（是）轉“預約來訪人員”接待流程，由接待人員填寫“接待申請單”。4、流程各方責任1）業務部門業務部門接待人員應事先按格式要求填寫“接待申請單”，并確保填寫信息準確；業務部門接待人應按要求到大堂前臺接待來賓，并覆行全程接待陪同義務。進入地點需與出門地點一致。業務部門權簽人（由各部門自行維護），對外來人員進入研發區、辦公區或生產區申請審批的真實性及合理性負責。2）前臺、接待責任人大堂前臺應根據來訪人員信息及審批狀態，核實無誤后，方可發放“來訪卡”，并在單中記錄。來訪人員離開時，如實在單中記錄還卡情況、接待人員陪同等信息。特別注意，接待單中若注明“不需進入辦公或廠區”的，或雖已注明但權簽人未審批通過的，接待只能在大堂或其他公共區域進行，外來人員不得進入研發區域、生產區域和辦公區域。給參觀者強調應妥善保管好自己隨身攜帶的物品，未經允許任何人不準攜帶照相機、錄像機、攝像機等設備進入研發區域、生產區域和辦公區域。承辦部門接待責任人須告知參觀者不得在研發區域、生產區域、倉庫區域、辦公區域拍照。參觀者不得與接待責任人之外的管理人員、生產人員等交換名片、聯系方式等，承辦部門接待責任人需嚴令禁止。前臺需安排來訪人員在接待區域等候，接待中承辦部門須做好引導和陪同工作，堅決杜絕來訪人員隨意在廠區內逗留。未經批準來訪人員不得在廠區內拍照、錄像、攝影，接待結束時須目送來訪人員離開廠區。各業務單位來公司聯系工作的，須在會議室或指定的區域內接待，相關職能部門有責任做好引導和約束工作。陪同人員在陪同過程中不得在授權范圍外行事。來訪人員未經我公司許可不得擅自攜帶本公司樣品、產品出廠。前臺每月導出一次接待人違規記錄，包括未還卡、未全程陪同等，違規者按公司規定處罰。2、公司員工1）正式員工工卡丟失、忘帶之類需進入公司，不需填寫接待申請單，經XX正式員工證實，前臺可發放員工臨時工卡憑其進出，當天有效。2）人員聘用時需明確員工信息安全責任，同時XX部定期組織公司內部信息安全的培訓和宣導。公司內部可能接觸到公司保密信息的員工需要簽署保密協議。3）凡公司員工均有義務和責任防止無關外來人員進入研發區、生產區、辦公區和倉庫區，對方不聽勸阻時須及時通知公司領導。（三）研發區域1、研發區域設研發網絡和研發公網。2、研發網絡與辦公網絡完全隔離，不能互訪。3、研發公網與非研發辦公網通過VLAN進行邏輯上的隔離。4、研發公網與非研發部門數據不能互訪，只允許郵件交互。對研發公網發出的郵件進行監控。5、研發網絡不允許使用internet。研發公網可以使用internet，對來自internet的郵件只能收，不能發。6、進入研發區域需通過門禁控制。7、進入研發區域不準帶手機、相機、U盤等移動設施進入。保安值守，隨機抽查。8、研發區域實施門禁控制，僅授權人員才能進入。9、研發網絡使用的PC，設安全機箱，將可能接觸到的COM口、USB口、網口全部鎖住。10、研發圖紙提交對應PM，PM建立一個共享文件夾，設置訪問權限，僅限項目組成員訪問。11、領用樣機時有資產管理，測試只能在指定區域進行測試，不能帶出。12、研發人員離職嚴格按照XX部離職流程相關規定執行，包括工作交接、權限清理、軟硬件歸還、簽署競業協議等。13、研發人員的終端PC，筆記本需專人管理。（四）制造過程1、樣品物料實行臺賬管理，指定專人管理，樣品離開樣品組采取入庫或有部門主管簽署的領出單發出，制樣組記錄至臺賬，制樣組的樣品半成品、成品、制樣治具放入工程部指定的受控區域保管，定期（一般客戶的機型轉入批量生產后），由工程部向信息安全管理委員會申請，實行集中銷毀，并作好記錄。2、試產和量產物料：物料安排專人負責領料、生產、入庫，報廢品或物料統一經ERP系統進入不良品倉。定期申報后，集中銷毀。待產時，物料放入指定的受控區域作受控管理，并作好臺賬登記。3、檢驗物料：檢驗物料由品質部作好樣品臺賬管理。4、未經公司許可，公司員工不得擅自攜帶本公司物料、樣品、產品出廠。（五）IT房管理1、公司總網絡機柜設置于IT房，大門必須隨時關閉上鎖，鑰匙由XX管理。鑰匙保留一份在檔案室，由管理人員存檔并登記。2、任何人進入IT房必須通過XX同意，并在其部門員工的陪同下方可進入。非信息管理員原則上不得進入IT房在機柜內進行操作。如遇特殊情況必須操作時，必須經主管部門批準同意后有關人員監督下進行。對操作內容進行記錄，由操作人和監督人簽字后備查。3、保持機柜內整齊清潔，各種機器設備定期進行保養，保持清潔光亮。4、IT房嚴禁攜帶特別是易燃、易爆、有腐蝕等危險品進入室內。不得在IT房進食食品。5、嚴禁在通電的情況下拆卸、移動機柜內交換機、服務器等設備和部件。6、定期對機柜各系統運行的情況進行檢查，保證機柜的正常運行。7、機柜內已對內、外網交換機進行了明顯的標示；對所有網線按房號進行了標示；如有新增必須進行標示。8、定期檢查機房消防設備器材。9.機房內不準隨意丟棄儲蓄介質和有關業務保密數據資料，對廢棄儲蓄介質和業務保密資料要及時銷毀，不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。10.IT房中要保持恒溫、恒濕、電壓穩定，做好靜電防護和防塵等工作，保證主機系統的平穩運行。11.定期對空調系統運行的各項性能指標（如風量、溫升、濕度、潔凈度、溫度上升率等）進行測試，并做好記錄，通過實際測量各項參數發現問題及時解決，保證機房空調的正常運行。12.計算機機房后備電源（UPS）除了電池自動檢測外，每年必須充放電一次到兩次。13、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人（不參與系統開發和維護的人員）設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經過相關部門負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。（二）計算機設備管理制度1、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境。2、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電撥插計算機外部設備接口，計算機出現故障時應及時向負責部門報告，不允許私自處理或找非本公司技術人員進行維修及操作。計算機設備送外維修，須經主管部門批準，統一維修。3、非本公司人員對我公司的設備、系統等進行維修、維護時，必須通知公司信息管理員。信息管理員對其提出注意事項，“內網”電腦維修、維護時必須進行監督。4、對必須使用“內網”的員工申報公司領導同意后開通。5、每臺“內網”使用的電腦均指定IP地址，落實使用人，“內網”計算機使用人應經過公司領導批準；“內網”電腦必須設置開機密碼、勾選“待機恢復輸入密碼”。6、密碼應定期修改，間隔時間不得超過二個月，如發現或懷疑密碼遺失或泄漏應立即修改。7、有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除，同時在“密碼管理登記簿”中登記。9、將所有外網電腦進行IP-MAC綁定，防止“內網”用戶誤接入外網造成信息安全隱患。如有新增電腦進入外網，必須經過主管部門批準。10、新入職員工，必須先接受網絡安全知識培訓后方可上崗工作。11、員工職務變動時，應及時按XX部門流程辦理軟硬件、權限的調整工作。12、員工離職時，人力資源應及時通知信息技術部取消其所有的IT資源使用權限，回收其電腦并保留一個星期，若一個星期之內XX部沒有招到新員工頂替，電腦將備份數據后入庫。12、如需要私人計算機連接到公司網絡，需要信息技術部門授權并進行登記。13、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據，不得以任何形式訪問公司的其它電腦或者服務器。（三）數據安全1、存放備份數據的介質必須具有明確的標識。備份數據必須與計算機分開存放，并明確落實備份數據的管理人。2、注意計算機重要信息資料和數據存儲介質的存放，保證存儲介質的物理安全。3、數據恢復前，必須對原環境的數據進行備份，防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行，出現問題時由相關部門進行現場技術支持。數據恢復后，必須進行驗證、確認，確保數據恢復的完整性和可用性。4、數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存，并確保可以隨時使用。5、需要長期保存的數據，刻錄2張光盤分開存放，并有詳細的文檔記錄。6、需要長期保存的數據，數據管理部門需與相關部門制定轉存方案，根據轉存方案和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。7、送修前，需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除，并進行登記。對修復的設備，信息管理員應對設備進行驗收、病毒檢測和登記。8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除，并妥善處理廢棄無用的資料和介質，防止泄密。9、經常進行計算機病毒檢查，發現病毒及時清除。10、計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。四、處罰有下列行為之一且不限于以下行為的，公司將視情節輕重給予處罰，對于觸犯國家法律的，公司將移交國家司法機關依法處理。因違反本規定或進行不當操作造成計算機損壞的，公司可根據情況，要求當事人負擔部分或全部維修費用。1、擅自泄露公司數據的，視情節輕重，給予警告、辭退或移交司法機關等處罰。2、因不備份文件或數據導致丟失并影響工作的，給予責任人警告處罰。3、計算機出現問題不及時報告導致工作延誤的，給予責任人警告處罰。4、因疏忽導致計算機病毒及其他危害計算機網絡安全的，給予當事人警告處罰。5、利用公司計算機或網絡進行與工作無關活動的（如玩游