信息安全管理規范

公司

版本信息

當前版本：

最新更新日期：

最新更新作者：

作者：

創建日期：

審批人：

審批日期：

修訂歷史

版本號更新日期修訂作者主要修訂摘要

TableofContents（目錄）

1.公司信息安全要求...........................................................5

1.1信息安全方針..................................................................5

1.2信息安全工作撤U..............................................................................................................5

1.3職責..........................................................................6

1.4信息資產的分類規定............................................................6

1.5信息資產的分級（保密級別）規定...............................................7

1.6現行保密級別與原有保密級別對照表.............................................8

1.7信息標識與處置中的角色與職責..................................................8

1.8信息資產標注管理規定..........................................................9

1.9允許的信息交換方式..........................................................10

1.10信息資產處理和保護要求對應表................................................10

1.11口令使用策略.................................................................12

1.12桌面、屏幕清空策略..........................................................13

1.13遠程工作安全策略............................................................14

1.14移動辦公策略.................................................................14

1.15介質的申請、使用、掛失、報廢要求............................................15

1.16信息安全事件管理流程........................................................17

1.17電子郵件安全使用規范........................................................19

1.18設備報廢信息安全要求........................................................20

1.19用戶注冊與權限管理策略......................................................20

1.20用戶口令.................................................................21

1.21終端網絡接入準則............................................................21

1.22終端使用安全準則............................................................21

1.23出口防火墻的日常管理規定....................................................22

1.24局域網的日常管理規定........................................................23

1.25集線器、交換機、無線AP的日常管理規定.......................................23

1.公司信息安全要求

1.1信息安全方針

■擁有信息資產，積累、共享并保護信息資產是我們共同的責任。

■管理與技術并重，確保公司信息資產的安全,保障公司持續正常運營。

■履行對客戶知識產權的保護承諾，保障客戶信息資產的安全，滿足并超越

客戶信息安全需求。

1.2信息安全工作準則

■保護信息的機密性、完整性和可用性，即確保信息僅供給那些獲得授權的

人員使用、保護信息及信息處理方法的準確性和完整性、確保獲得授權的

人員能及時可靠地使用信息及信息系統；

■公司通過建立有效的信息安全管理體系和必要的技術手段，保障信息資產

的安全Z降低信息安全風險；

■各級信息安全責任者負責所轄區域的信息安全，通過建立相關制度及有效

的保護措施，確保公司的信息安全方針得到可靠實施;

■全體員工應只訪問或使用獲得授權的信息系統及其它信息資產，應按要求

選擇和保護口令；

■未經授權，任何人不得對公司信息資產進行復制、利用或用于其它目的；

■應及時檢測病毒，防止惡意軟件的攻擊；

■公司擁有為保護信息安全而使用監控手段的權力，任何違反信息安全政策的

員工都將受到相應處理;

■通過建立有效和高效的信息安全管理體系，定期評估信息安全風險，持續

改進信息安全管理體系。

1.3職責

全體員工應保護公司信息資產的安全。每個員工必須認識到信息資產的價

值，負責保護好自己生成、管理或可觸及的涉及的數據和信息。員工必須遵守

《信息標識與處理程序》，了解信息的保密級別。對于不能確定是否為涉密信息

的內容，必須征得相關管理部門的確認才可對外披露。員工必須遵守信息安全

相關的各項制度和規定，保證的系統、網絡、數據僅用于的各項工作相關的用

途，不得濫用。

1.4信息資產的分類規定

公司的信息資產分為電子數據、軟件、硬件、實體信息、服務五大類。

類別說明

電子數據存在信息媒介上的各種數據資料，包括源代碼、數據庫數據等各

種電子化的數據資料、項目文檔、管理文檔、運行管理規程、計

戈人報告、用戶手冊、作業指導書等各種電子化的數據資料。

軟件包括系統軟件、應用軟件、共享軟件

系統軟件：操作系統、語言包、工具軟件、各種庫等；

應用軟件：外部購買的應用軟件，辦公軟件等；

共享軟件：各種共享源代碼、共享可執行程序等。

硬件網絡設備：路由器、網關、交換機等

計算機設備：大型機、服務器、工作站、臺式計算機、移動計算

機等

存儲設備：磁帶機、磁盤陣列、工控機等

移動存儲設備：磁帶、光盤、軟盤、u盤、移動硬盤等

傳輸線路：光纖、雙絞線等

基礎保障設備：（UPS、變電設備等）、空調、保險柜、文件柜、

門禁、消防設施等，如對基礎設施使用屬于租用形式，請將其識別

到服務類別中。

安全保障設備：硬件防火墻、入侵檢測系統、身份驗證等

其他電子設備：打印機、復印機、掃描儀、傳真機等

實體信息紙制的各種文件、合同、傳真、會議紀要、財務報表、證書、電

報、發展計劃以及各類其他材質的證書獎牌等。

服務通過各種協議方式固化下來的服務活動、如物業、第三方、供應

商、提供檢修服務的提供方等。

1.5信息資產的分級（保密級別）規定

信息資產分為：一般、內部公開、企業秘密、企業機密4個保密級別。

保密級別名稱說明

1一般性信息，可以公開的信息、信息處理設備和系統

資源。

2內部公非敏感但僅限公司內部使用的信息、信息處理設備和

開系統資源。

3企業秘敏感的信息、信息處理設備和系統資源，只給必須知

密道者。

4企業機敏感的信息、信息處理設備和系統資源，僅適用極少

密數必須知道的人。

1.6現行保密級別與原有保密級別對照表

保密級別與公司原有的保密級別的對照表如下：

現行的保密級別與之相當的原有保密級別

一般一般

內部公開秘密

企業秘密機密

企業機密絕密

1.7信息標識與處置中的角色與職責

角色職責

責任人：信息資產的創建者，或■理解和各種信息訪問活動相關的安全風

者主要用戶所在組織、單位或部險；

門的負責人。信息資產責任人對■根據公司信息密級劃分標準來確定所屬信

所屬信息資產負直接責任。息資產的級§!!;

■根據公司相關策略確定并檢查信息訪問權

限；

■針對所屬信息資產提出恰當的保護措施。

保管者：受信息資產責任人■根據公司相關策略和信息資產責任人的要

委托，對信息資產進行日常求，負責信息資產的維護操作和日常管理

的管理，維護已經建立的保事務；

護措施。資產保管者通常是■負責具體設置信息訪問權限；

公司或部門的IT管理者或者■負責所管理的信息資產的安全控制；

代表(例如系統管理員)。■部署恰當的安全機制，進行備份和恢復操

作；

■按照信息資產責任人的要求實施其他控

制。

用戶：信息資產的使用者，除了■向信息責任人申請信息訪問；

公司內部員工，也可能是因為業■按照公司信息安全策略要求正當訪問信

務需要而訪1可公司信息的客戶息，禁止非授權訪問；

或第三方組織。■向相關組織報告隱患、故障或者違規事

件。

1.8信息資產標注管理規定

(1)公司所屬的各類信息資產，無論其存在形式是電子、紙質還是磁盤等，

都應在顯著位置標注其保密級別。

(2)一般電子或紙質文檔應在該文檔頁眉的右上角或頁腳上標注其保密級別

或在文件封面打上保密章，磁盤等介質應在其表面非數據區予以標注其

保密級別。

(3)如果某存儲介質中包含各個級別的信息，作為整體考慮，該存儲介質的

保密級別標注應以最高為準。

(4)如果沒有明顯的保密級別標注，該信息資產以〃一般〃級別看待。

(5)對于對外公開的信息，需要得到相關責任人的核準,并由對外信息發布

部門統一處理。

(6)如需在信息資產上表述保密聲明，可采用以下兩種表述方式：

表述方式一：“保密聲明：公司資產，注意保密。"

表述方式二："保密聲明：本文檔受國家相關法律和公司制度保護，不

得擅自復制或擴散。"

1.9允許的信息交換方式

公司允許的信息交換方式有：郵件、視頻、電話、網站內容發布、文件共

享、傳真、光盤、磁盤、磁帶和紙張。

1.10信息費產處理和保護要求對應表

企業機密企業秘密內部公開一般

授需得到責任人和需得到相關責任需得到責無特別

權公司管理層批準人及部門領導批港任人批準要求

只能被得到授權只能被公司內部可以被公任何公

的公司極少數核心或外部得到明確授司內部或外司員工或

訪

人員訪問權的人員訪問，訪部因為業務外部人員

問

問者應該簽署保密需要的人員都可以訪

協議訪問問

電子類的應該加電子類的應該妥電子類的以恰當

密存儲在安全的計善保存在設有安全應該妥善保方式保

算機系統內；硬拷控制的計算機系統管，可以進存，避免

貝應該鎖在安全的內（建議進行信息加行加密;紙被非授權

存

保險柜內；禁止以密）；硬拷貝應該妥質不應放在人員看

儲

其他形式存儲或顯善保管，嚴禁擺放桌面至II；存儲

示在桌面；使用白板有信息的

展示后應立即擦除介質避免

丟失

得到相關責任人須經相關責任人經相關責內部復

復及公司管理層批批準，并讓專人操任人批準制無限制

制準；需要登記作或監督實施，需

要登記

禁止打印（或在須經相關責任人經相關責無限

授權情況卜專人負許可，打印件標注任人許可，制，打印

打

責打印，不得打印密級并妥善管理，打印件標注件標注密

印

到無人值守機）不得打印到無人值密級并妥善級

守機管理

禁止郵件直接發須經相關責任人經相關責無限制

送，經授權后做電許可，郵件發送應任人許可

郵

子簽名和加密控做加密控制，保留

件

制，經安全的途徑記錄

發送，保留記錄

禁止傳真須經相關責任人經相關責無限制

傳

許可后專人負責傳任人許可

真

真

快經授權后采取妥紹受權后，由簽經授權無限制

遞善的保護措施，由署了特定安全協議后，由簽署

專人快遞的專門的快遞公司J方At?女士

快遞協議的專門

的快遞公司

快遞

經相關責任人和經相關責任人批經授權無限制

公司管理層批準準后，密封分發，后，以內部

內部分后，密封分發，或或以允許的電子分郵件形式發

發以允許的電子分發發形式進行安全的放，或直接

形式進行安全的分分發進行硬拷貝

發分發

經相關責任人和經相關責任人批經授權經授權

公司管理層批準后準后分發，需簽署后,以郵件后，以允

^^卜分分發，需要簽署特保密協議，需要進或者快遞方許的分發

發定的保密協議，需行登記式分發，建方式分發

要進行登記議簽署保密

協議

碎紙機；徹底銷碎紙機；徹底捎保存件標電子記

毀介質；電子記錄毀介質；電子記錄明作廢；電錄定期消

處

定期消除；進行檢定期消除；進行檢子記錄定期除，介質

理

查確認查確認消除；介質銷毀

銷毀

直接責任人應有跟蹤文件復制、無要求不建議

記錄跟收件人、復制者、保存、瀏覽、銷毀跟蹤

蹤保存者、瀏覽者、過程，應有記錄

銷毀者的日志記錄

1.11口令使用策略

全體員工在挑選和使用口令時，應:

(1)保證口令的機密。

(2)除非能安全保存，避免將口令記錄在紙上,

(3)只要有跡象表明系統或口令可能遭到破壞，應立即更改口令。

(4)選用高質量的口令，最少要有6個字符，另外：

A.口令應由字母加數字組成;

B.口令不應采用如姓名、電話號碼、牛日等容易猜出或破解的信息。

(5)每三個月更改或根據訪問次數更改口令(特別是特權用戶)，避免再次使

用或循環使用舊口令。

(6)首次登錄時，應立即更改臨時口令。

(7)不得共享個人用戶口令。

1.12桌面、屏幕清空策略

為了降低在正常工作時間以外對信息進行未經授權訪問所帶來的風險、損

失和損害，員工應：

(1)在閑置或工作時間之外將紙張或計算機存儲介質儲存在合適的柜子或其

它形式的安全設備中。

(2)當辦公室無人時將關鍵業務信息放置到安全地點(比如防火的保險箱或柜

子中)。

(3)在無人使用時，將個人計算機、計算機終端和打印機、復印機設為鎖定

狀態。

(4)為個人計算機、計算機終端設定密碼，同時設定屏保時間(<=15分

鐘)。

(5)在打印保密級別為企業機密、企業秘密的信息后，應立刻從打印機中清

除相關痕跡，并有效保護打印出來的信息內容。

3遠程工作安全策略

必須保護好遠程工作場所防止盜竊設備和信息、未經授權公開信息、對公

司內部系統進行遠程非法訪問或濫用設備等行為c員工應：

(1)保障物理安全。

(2)對家人和客人使用設備進行限制。如果必須要使用，應在旁邊進行監督

和控制，確保關鍵業務信息的安全。

(3)遠程工作活動結束時，權限以及設備及時收回。

(4)網絡遠程登錄終端的撥號密碼即VPN帳號僅限本人使用，不允許他人使

用。

(5)進入公司或客戶的信息系統工作完畢后，必須立即退出系統。

1.14移動辦公策略

使用移動辦公設備(如筆記本電腦)時，員工尤其應該注意保證業務信息不

受損壞、非法訪問或泄密：

(1)移動辦公設備需要帶出公司工作場所時，應進行登記。

(2)在公共場所使用移動辦公設備時，必須注意防范被未經授權的人員窺

視。

(3)應實時更新用于防范惡意軟件的程序。

(4)應對信息進行方便快捷的備份。

(5)備份的信息應該予以適當的保護以防信息被盜或丟失。

(6)使用移動辦公設備通過公共網對公司商務信息進行遠程訪問時必須進行

身份識別和VPN訪問控制。

(7)防止移動辦公設備被盜。

(8)防止保密級別為企業秘密級以上的信息所在的移動辦公設備無人看管。

1.15介質的申請、使用.掛失、報廢要求

(1)介質的申請:

序號責任者任務相關文件或記錄

1資產管理員按照公司的固定資產或《固定資產管理制度》

消耗資材申領方式向公

《計算機維護消耗資材管

司申領介質。

理辦法》

2資產管理員從公司領取介質并登記《介質登記表》

到《介質登記表》中C

3資產管理員如通過設備管理，需通參見使用說明

過usb使用的移動存儲

介質在中注冊。

4資產管理員在《介質登記表》中登《介質登記表》

記發放時間，使用人等

信息后發放介質。

(2)介質的使用：

A.如安裝了設備，所有工作中使用的USB存儲介質都應在中進行注

冊。

B.如果確認介質中的內容不再需要，應立即將其以可靠方式清除。

C.如果數據需要保存，則使用人應該保存在有良好安全措施的個人計

算機和服務器上，而不應該放在計算機活動介質中。

D.所有的備份介質都應存放在安全可靠的地方，并符合生產廠家說明

書的安全要求。

(3)介質的掛失：

序號責任者任務相關文件或記錄

1使用者使用人立即向資產管理員申報掛失

2資產管理員如果是通過usb使用的移動存儲介

質被掛失且在上注冊過，則應在上

進行注銷。

3資產管理在介質登記表中登記掛失《介質登記表》

員

(4)介質的報廢:

序號責任者任務相關文件或記錄

1使用者1)、書面文件用碎紙機粉碎

2)、其他介質報廢，使用人向

資產管理員申請介質報廢。

2資產管理如果是通過usb使用的移動存

員儲介質且在上注冊過，則應在上進

行注銷。

3資產管理按照公司的固定資產和消耗資《固定資產管理制

員材的報廢流程實施。度》

《計算機維護消耗

資材管理辦法》

4資產管理在介質清單中登記已報廢《1介質登記表》

員

146信息安全事件管理流程

(1)發現

A.公司全體員工都有責任和義務將已發現的或可疑的事件、故障和薄

弱點及時報告給相關部門或人員。

B.任何企圖阻攔、干擾、報復事件報告者的行為都被視為違反公司策

略。

(2)報告

A.對于部門范圍內的信息安全事件，當事人可直接向部門負責人報告,

并按照本部門規范進行處理。事件處理者需填寫附錄中的《信息安

全事件報告處理記錄單》，每月將相關記錄上交過程管理部。

B.除部門內可以自行處理的信息安全事件外，其余信息安全事件必須

統一上報給客服記錄。

(3)響應

A.客服對信息安全事件做出最初響應，將技術方面的信息安全事件交

給系統服務部組織處理，將管理方面的信息安全事件交給過程管理

部組織相關部門進行處理。

B.需要做進一步調查的信息安全事件，當其影響范圍涉及整個公司或

影響程度嚴重妨礙了公司的正常運營時，報告給信息安全管理委員

會。

C.事件響應及處理者在處理安全事件時應考慮以下優先次序：

■保護人員的生命與安全

■保護敏感的設備和資料

■保護重要的數據資源

■防止系統被損壞

■將公司遭受的損失降至最小

D.如果發生違法事件，事件相關涉及部門要采集并保存有效證據，上

交過程管理部報告給公司最高管理者決策，由法務部向外部法律機

構報告。必要時，法務部可以尋求外部專家的支持。

(4)評價/調查

安全事件或故障發生之后，事件處理者要對事件或故障的類型、嚴重程

度、發生的原因、性質、產生的損失、責任人進行調查確認，形成事件或故障

評價資料。

(5)懲戒

A.要根據事件的嚴重程度、造成的損失、產生的原因對違規者進行

教育或者處罰。

B.懲戒手段可包括通報批評、行政警告、經濟處罰、調離崗位、依

據合同給予辭退，對于觸犯刑律者可交司法機關處理。

C.具體處罰標準參見《信息安全管理職責程序》。

(6)公告

A.事件的調查結果要反饋給當事部門領導。

B.當事部門可組織相關的人員進行學習和培訓。

1.17電子郵件安全使用規范

(1)公司電子郵件系統禁止用于創建與分發任何含有破壞性、歧視性的信息,

包括對種族、性別、殘疾人、年齡、職業、性取向、宗教信仰、政治信

念、國籍等方面的攻擊性語言。公司的員工如果接收到任何含有此類信

息的郵件，應立即向主管領導進行匯報。

(2)禁止使用公司帳號發送連鎖信。禁止使用公司電子郵件帳號發送病毒或

惡意代碼警告由3件.這些規則也適用于當公司員工接收到這類電子郵件

并進行轉發的情況。

(3)使用的郵件軟件客戶端要及時升級，減少由于軟件的漏洞而受到外部攻

擊，避免因此而導致的郵件丟失和系統中毒。

(4)郵件必須有標題，盡量以文本方式瀏覽郵件。

(5)陌生人的郵件附件盡量不要打開，禁止撰寫、發送、轉發各種垃圾郵件,

禁止在未經授權的情況下利用他人的計算機系統發送互聯網電子郵件。

(6)禁止使用工作郵箱從事任何非法活動及其與工作無關的郵件。

(7)為了保證郵件安全禁止使用自動轉發功能c

(8)公司業務信息郵件必須使用公司規定的業務專用郵箱發送，除了業務相

關郵件禁止使用業務郵箱發送其他郵件。

(9)郵件必須主題明確，能夠通過郵件主題判斷業務類別。

(10)做好郵件的病毒防護工作。發送郵件應該注意郵件的保密,避免泄漏公

司機密。

(11)所有員工都要嚴格遵守《電子郵件安全使用規范》的相關規定，員工之

間應互相監督，及時制止違反規定的人員,對于使用公司郵箱傳播反動

言論、從事任何與法律或公司制度相違活動的人員將禁用或者注銷其郵

箱，并根據情節嚴重給予相應處罰或提交司法機關處理。

8設備報廢信息安全要求

報廢設備上交前，使用者自己負責將設備介質中的信息進行備份，機電一

體化產品事業部負責將設備介質中的所有信息清除掉，以防信息泄漏。

1.19用戶注冊與權限管理策略

對任何多用戶使用的信息系統和服務設施進行訪問，應：

(1)使用唯一的用戶名，以便將用戶與其操作聯系起來，使用戶對其操作負

責。只有因工作需要才允許使用組用戶名C

(2)添加新用戶或用戶權限變更時應有書面申請并經過審批。

(3)系統管理員對新注冊用戶進行授權。

(4)應記錄所有注冊用戶。

(5)用戶因工作變更或離開組織時，應立即取消其訪問權限。

(6)系統權限管理的責任人應定期組織檢查并刪除多余的用戶名和賬戶，并

對用戶的訪問權限進行定期評審或在變動后進行評審。

(7)系統權限管理的責任人需要嚴格控制特權的分配和使用，要對特權的分

配和使用情況進行評審，確保沒有非法授予用戶特權，以保證對數據和

信息服務的訪問進行了有效的控制。

1.20用戶口令管理

在進行信息系統的口令管理，應：

(1)用戶需要自己維護口令，系統僅在開始時提供一個安全的臨時口令，用

戶需要立即更改臨時口令。用戶忘記口令時，必須在對該用戶進行適當

的身份核實后才能向其提供臨時口令。

(2)在向用戶提供臨時口令時必須確保其安全，避免使用第三方或無保護的

(明文)電子郵件，用戶應對收到的口令予以確認。

(3)不允許在計算機系統上以無保護的形式存儲口令。

(4)保證個人口令安全，確保工作組口令僅在本組成員間共享。

1.21終端網絡接入準則

公司網絡覆蓋范圍內使用的每臺計算機，員工均應安裝公司規定的防毒軟

件，不得私自使用其他防毒軟件。

1.22終端使用安全準則

(1)每臺計算機應開啟實時監控功能，定期進行計算機病毒檢測，并及時對

防毒軟件或病毒特征庫進行升級更新。

(2)每臺計算機應定期連接公司網絡并從病毒服務器獲得防病毒軟件的最新

定義碼及掃描引擎。

(3)為防止計算機使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和

工具由系統服務事業部統一管理。

(4)公司不定期組織相關部門對客戶端及信息安全客戶端安裝情況進行油查。

抽查情況將通報各相關部門并列入年度的績效考核。

(5)計算機使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術問題，

可通過撥打客戶服務熱線尋求技術支持。

(6)為防止惡意代碼的侵擾，每臺計算機必須按《訪問控制管理程序》第5.2.1

節的要求設置管理員口令；網絡共享文件必須設置密碼和只讀權限。

(7)任何部門和個人不得制作、復制、傳播計算機病毒，任何部門和個人負

有清除或防治計算機病毒的義務。

(8)不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執行從網絡

上下載的各種程序。當需要從計算機信息網絡上下載程序、數據或者購

置、維修、借入計算機設備時,應當進行計算機病毒檢測。

(9)使用電子郵件,對來路不明的郵件(特別是含有附件的郵件)，收到后不

要打開，直接刪除并清空廢件箱。

1.23出口防火墻的日常管理規定

(1)為公司的出口防火墻設置只讀權限,便于監視進出本公司的所有訪問。

(2)對防火墻的接口IP地址、用戶名、口令及配置文件信息進行嚴格管理。

(3)除授權人員外，禁止任何人員物理接觸防火墻；對防火墻的遠程管理僅

限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權限。

(4)嚴禁連接公司網絡的任］可單位和人員以任何形式對防火墻進行攻擊。

(5)集中收集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優化防火

墻訪問規則，杜絕安全漏洞。

(6)定期使用安全評估系統檢查防火墻的各項服務是否有漏洞。

(7)部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊，

由系統服務部統一操作。

1.24局域網的曰常管理規定

各部門不得將私巨構建的局域網接入公司網絡。如需接入必須通過公司審

批，備案在冊，由系統服務部統一操作。

員工在辦公區域只能通過公司內網聯入互聯網。

1.25集線器、交換機.無線AP的日常管理規定

(1)各部門不得私自使用網絡訪問設備。

(2)禁止使用路由器及無線路由設備。

(3)如需使用集線器、交換機、無線AP,必須通過公司審批，備案在冊。

(4)無線AP必須設置符合安全要求的密碼(具體要求參見管理文件《訪問控

制管理程序》中5.2.1的要求)，只有被授權人員方可使用無線網絡。

(5)公司定期檢查集線器、交換機、無線AP的登記和使用情況。

1.26網絡專線的日常管理規定

(1)各部門不得私自搭建網絡專線。如需使用網絡專線必須通過公司審批，

備案在冊。

(2)公司定期檢查網絡專線的登記和使用情況,

1.27信息安全懲戒

(1)全體員工(含臨時員工、派遣員工、實習員工、常駐外包員工)均應遵守

所有與信息安全相關的管理規定，不允許任何部門或人員有損害公司信

息安全的行為。

(2)對違反信息安全管理規定，并造成嚴重后果的部門或員工，由公司信息

安全管理委員會授權實施懲戒。

(3)懲戒手段包括通告、行政警告、經濟處罰、調離崗位、依據合同予以辭

退，對于觸犯刑律者移交司法機關處理。

(4)對于的合同承包商和外部用戶，如果違反了信息安全管理規定，公司信

息安全委員會有權建議公司中止與他們的合同和協議。

2.信息安全知識

2.1什么是信息？

是來自任何來源的知識。

在ISO27001的標準里：

＞信息是一種資產，就象其它重要的企業資產一樣，

＞信息資產對組織具有價值，因而需要受到妥善的保護。

＞信息是有生命周期的。

安全保護應兼顧到從其創建或誕生，到被使用或操作，到存儲，再到被傳遞，直至其

生命期結束而被銷毀或丟棄。

2.2什么是信息安全？

信息安全的目的是，保護信息不受各種威脅，以確保業務連續，將企業損失降至最

低,★鉞資收益與商業機會最大化。

信息安全的任務是，要采取措施（技術手段及有效管理）讓這些信息資產免遭威脅，

或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。

2.3信息安全的三要素

■機密性

編號：

曲間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第26頁共30頁

■完整性

■可用性

注：

1）、機密性：信息不可用或不被泄漏給未授權的個人、實體或過程的特性,確保只有

獲得授權的使用者才能使用信息。

2）、完整性：保護資產的精確與完整的特性，確保信息在存儲、使用、傳輸的過程中

不會被未授權用戶篡改，同時還要防止授權用戶對系統及信息進行不恰當的篡改，

保持信息內、外部表示的一致性。

3）、可用性：需要時，授權實體可以訪問和使用的特性，確保授權用戶或實體對信息

及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。

2.4什么是信息安全管理體系？

信息安全管理體系是協調的活動以指揮和控制：

■一組被分配職責和權限及關系的人和設備；

■保護信息的機密性、完整性和可用性；

■此外