个人信息安全管理制度第1目标胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。2评估依据、范围和方法评估依下面是小编为大家整理的个人信息安全管理制度,供大家参考。
个人信息安全管理制度 第1篇
1目标
胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2评估依据、范围和方法
评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[20xx]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[20xx]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,
管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
评估方法
采用自评估方法。
3重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。
5安全检查项目评估
规章制度与组织管理评估
组织机构
评估标准
信息安全组织机构包括领导机构、工作机构。
现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
评估结论
完善信息安全组织机构,成立信息安全工作机构。
岗位职责
估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;
专责的工作职责与工作范围应有制度明确进行界定;
岗位实行主、副岗备用制度。
现状描述
我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;
专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;
专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;
岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
病毒管理
评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
现状描述
本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;
病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;
每周进行二次自动病毒扫描;
没有制定计算机病毒防治管理制度。
评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
运行管理
评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;
制定机房出入管理制度并上墙,对进出机房情况记录。
现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;
机房出入管理制度上墙,但没有机房进出情况记录。
评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维
流程、值班制度,实行工作票制度;
机房出入管理制度上墙,记录机房进出情况。
账号与口令管理
评估标准
制订了账号与口令管理制度;
普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;
半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
现状描述
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;
管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;
半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;
对账户密码、口令变更作相关记录;
及时对系统用户身份发生变化后对其账户进行变更或注销。
网络与系统安全评估
网络架构
评估标准
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
现状描述
局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;
没有不经过防火墙的外联链路,有当前网络拓扑结构图。
评估结论
局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
网络分区
评估标准
生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
现状描述
生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
评估结论
对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
网络设备
评估标准
网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
现状描述
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
评估结论
对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
IP管理
评估标准
有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
现状描述
没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
评估结论
建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
补丁管理
评估标准
有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
现状描述
通过手工补丁管理手段,没有制订相应管理制度;
Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
评估结论
完善补丁管理的手段,制订相应管理制度;
补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
系统安全配置
评估标准
个人信息安全管理制度 第2篇
为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。
本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案。
网络安全管理制度
第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。
第二条任何单位和个人不得从事下列危害公司网络安全的活动:
1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。
2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。
3、未经允许,对信息网络功能进行删除、修改或增加。
4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。
5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。
7、向其它非本单位用户透露公司网络登录用户名和密码。
8、其他危害信息网络安全的行为。
第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。
第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。
第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。
第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息系统安全保密制度
第一条、“信息系统安全保密”是一项常抓不懈的工作,每名系统管理员都必须提高信息安全保密意识,充分认识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统安全保密培训。
第二条、实行信息发布责任追究制度,所有信息的发布必须按规定办理审核、审签手续,必须真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必须与内部网和互联网实施物理隔离,严格执行上网信息的审查制度和涉及国家秘密的信息不得在企业内网发布的规定,杜绝泄密事件的发生。凡发布虚假、反动、色情、泄密等内容,追究信息报送和审核者责任,对公司造成重大经济损失,将追究责任人相应的法律责任。
第三条、信息系统管理权限从安全级别上分为绝密、机密、秘密;
从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;
从操作承载体上分为服务器(包括系统服务器、应用服务器和控制服务器)、工作终端、用户终端;
从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。
第四条、所有信息系统的使用者和不同安全等级信息之间必须存在授权关系,并在新建信息系统开发建设阶段形成方案并加以设计,在软件系统中预留对应关系设置的功能,根据使用者岗位职务的变迁进行调整。
第五条、利用IT技术手段,对信息系统的硬件配置调整、软件参数修改严加控制。利用操作系统、数据库系统、应用系统所提供的安全机制,设置相应的安全参数,保证系统访问的安全;
对于重要的计算机设备,要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配置,并定期对以上情况进行检查。
第六条、信息系统如需要委托专业机构进行系统运行和维护管理时,应严格审查其资质条件、市场剩余和信用状况等,并且与其签订正式的服务合同和保密协议。
第七条、所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件,对未安装防病毒软件的终端用户有权拒绝为其提供网络接入服务。
第八条、利用防火墙、路由器、入侵检测等网络设备,加强网络安全,严密防范来自互联网的黑客攻击和非法侵入。
第九条、对于通过互联网传输的涉密或关键业务数据,要采取必要的技术手段确保信息传递的保密性、准确性、完整性。
第十条、对于停止运行的废旧系统,应当做好系统中有价值及涉密信息的销毁、转移等善后工作。
第十一条、系统管理人员要遵守信息系统的各项管理制度,防止利用计算机舞弊和犯罪。
第十二条、对重要业务系统的访问建立用户管理制度,对于不同类别不同级别的各类管理及使用人员采取密码分级管理,设定密码有效期限,对密码存储采用非明文二次加密技术防止各类密码泄露事故的发生。
信息安全风险应急预案
一、总则
为加强公司信息安全风险源的预防管理,提高应急防范能力,保障网络系统、信息系统及信息机房的整体安全,促进公司安全生产稳步健康发展,制定本预案。
二、编制目的
依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神。确保公司信息网络系统安全运行,为公司整体安全形势稳步发展提供保障。
三、适用范围
本预案适用于各单位信息安全突发风险应急管理。
四、主要风险源
1、火灾
2、意外断电
3、重要数据丢失
4、网络系统大面积瘫痪
五、风险源辨识及评估
各单位应组织员工对风险源进行全面、系统的辨识和风险评估,并确保:危险源辨识前要进行相关知识的培训;
辨识范围覆盖本单位的所有活动及区域;
对危险源辨识和风险评估资料进行统计、分析、整理、归档;
、火灾辨识及评估
火灾辨识
(1)自然灾害引起的火灾
(2)强电线路短路引起的火灾
(3)杂物堆积引起的火灾
(4)温度过高引起的火灾。
(5)老鼠咬线引起的火灾。
火灾风险评估
机房发生火灾可能导致工作人员人身受到伤害;
信息网络设备受到损坏;
网络系统大面积瘫痪;
国家、集体财产受到损失。
、意外断电辨识及评估
意外断电辨识
(1)自然灾害引起的意外断电。
(2)短路跳闸引起的意外断电。
意外断电风险评估
1、意外断电可能导致机房核心交换机、防火墙、汇聚交换机、数据库服务器、软件服务器、恒温设备等重要设备损坏或数据丢失;
2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的.间接财产损失。
、重要数据丢失辨识及评估
重要数据丢失辨识
(1)意外断电引起的数据丢失。
(2)服务器故障引起的数据丢失。
(3)数据库损坏引起的数据丢失。
重要数据丢失风险评估
1、安全软件系统数据丢失可能导致安全生产监控类系统数据无法正常采集于传输,影响到矿井安全生产的正常进行。
2、数据库系统数据丢失可能导致经营管理类系统无法正常使用,影响公司相关部门经营管理工作和日常办公无法正常进行。
、网络系统大面积瘫痪
网络系统大面积瘫痪辨识
(1)意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。
(2)通信线路中断引起的网络系统大面积瘫痪
(3)服务器损坏或故障引起的大面积无法登录互联网。
网络系统大面积瘫痪风险评估
1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断,管理部门失去对矿井生产的安全监管,安全生产无法正常进行。
2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。
、高空作业辨识及评估
高空作业辨识
(1)日常高空维修可能造成人身伤害。
(2)工程高空施工可能造成人身伤害。
高空作业风险评估
日常高空维修网络设备、打扫卫生和高空施工可能造成工作人员人身伤害和精神伤害,影响公司安全生产稳步发展。
六、安全风险应急预案及措施
根据各单位存在的主要风险源和风险评估,保障安全生产工作有序进行,制定本预案及措施。
火灾应急预案及处置措施
应急预案
(1)发生特大火灾时(包括机房、UPS、库房),值班人员应立即逃离火灾范围,启动对应的火灾应急预案和响应级别,拉响警报,向公司总调度室、本单位负责人、单位安监部门汇报,在确保人身安全的情况下,组织人员利用灭火器进行灭火;
如果火势过大,人员无法靠近时,应立即拨打火警119,求助消防部门进行灭火。
(2)发生重大火灾时(包括机房局部、UPS控制器、库房局部),值班人员应立即逃离火灾范围,启动对应的火灾应急预案,拉响警报,向公司调度室和本单位安监部门汇报,在确保人身安全的情况下,组织人员利用灭火器进行灭火,力争将财产损失降到最低。
(3)发生较大火灾时(包括消防通道、办公室)值班人员应启动对应的火灾应急预案,向公司总调度室及本单位安监部门汇报,在确保人身安全的情况下,组织人员利用灭火器进行灭火,避免或降低财产损失。
处置措施
(1)火灾发生时,值班和工作人员应立即脱离火灾范围,确保人身安全。
(2)根据火灾大小确定火灾风险等级,并启动相应的响应等级。
(3)根据火灾风险等级向公司总调度室及本单位安监部门汇报火灾情况。
(4)火势过大无法控制时,应立即拨打火警119进行求助。
(5)在确保人身安全的情况下,组织人员利用灭火器进行灭火,避免火灾扩大,降低财产损失。
(6)尽最大可能搜集火灾发生的相关信息,做好记录,为事故处理提供依据。
(7)每月针对火灾诱发根源进行彻底检查(如易燃物品不能堆放、库房物品分类并整齐摆放等),预防火灾的发生。
、意外断电应急预案及处置措施
应急预案
发生自然灾害和短路引起的意外断电时,值班人员在确保人身安全的情况下,根据风险等级启动相应的响应等级,向本单位安监部门进行汇报,邀请电力维修人员进行断电故障排查,并组织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服务器、软件系统、烟雾报警、UPS温度监控、机房温度监控系统进行隐患排查,发现设备故障和数据丢失,应当进行及时处理和上报。
处置措施
(1)发生意外断电时,在确保人身安全的情况下,值班人员应启动相应的响应等级。
(2)向本单位安监部门进行汇报。
(3)必须请专业电力维修人员进行故障排查与维修。
(4)搜集意外断电发生的信息并作好记录,为事故处理提供依据。
、重要数据丢失应急预案及处置措施
应急预案
(1)因意外断电引起重要数据丢失时,值班人员应根据风险等级启动相应的响应等级,向公司总调度室和安监部门进行汇报,邀请专业电力维修人员进行故障排查,恢复供电正常,排查机房设备及数据情况,发现设备故障和数据丢失,立即组织相关技术人员进行恢复。
(2)因服务器故障引起数据丢失时,值班人员应根据风险等级启动相应的响应等级,向公司总调度室和案件部门进行汇报,并组织技术人员进行服务器维修和数据恢复,如果服务器和数据无法维修和恢复时,应向本单位负责人汇报并外请专业人员进行维修,确保设备和数据安全。
(3)因数据库无法启动引起的数据丢失,值班人员应根据风险等级启动相应的响应等级,向公司总调度室和案件部门进行汇报,并组织技术人员进行数据恢复,如果数据无法恢复,应向本单位负责人汇报并外请专业人员进行数据恢复,确保设数据安全。
处置措施
(1)发生数据丢失时,值班人员应根据风险等级启动相应相应等级。
(2)值班人员向本单位安监部门汇报。
(3)组织技术人员对数据进行恢复。
(4)本单位技术人员无法恢复丢失数据时,应向本单位负责人汇报并外请专业人员进行数据恢复,确保数据安全。
(5)做好数据丢失与恢复过程的记录。
、高空作业应急预案及处置措施
应急预案
(1)在高空维修过程中发生人员坠落风险时,如果坠落人员处于清醒状态,应立即拨打120送往医院进行急救;
如果坠落人员处于昏迷状态,其他维修人员应当立即进行简单的急救(如将人平躺在地上,进行按压胸部、掐人中、人工呼吸等),同时拨打120急救电话送往医院进行抢救,并向公司总调度室、本单位负责人及安监部门汇报。
(2)在高空施工过程中发生人员坠落风险时,如果坠落人员处于清醒状态,应立即拨打120送往医院进行急救;
如果坠落人员处于昏迷状态,其他维修人员应当立即进行简单的急救(如将人平躺在地上,进行按压胸部、掐人中、人工呼吸等),同时拨打120急救电话送往医院进行抢救,并向公司总调度室、本单位负责人及安监部门汇报。
处置措施
(1)日常高空维修必须在确保人身安全的情况下进行,否则不能进行维修作业。
(2)在日常工作中设计到高空维修,维修人员一定要2人或2人以上进行维修。否则,维修人员可以拒绝维修工作。
(2)高空维修人员必须佩带安全绳索,并采用安全梯子进行高空作业。否则,不能进行高空维修作业。
(3)事故发生后要对事故的经过进行详细记录,为事故处理提供依据。
个人信息安全管理制度 第3篇
一、一般规定
1、未经网管批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。
2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。
3、机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息。
4、各部门应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。
二、帐号管理
1、网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。
2、网络(内部信息平台)管理员为用户设置明码口令,用户可以根据自己的保密情况进行修改口令,用户应对工作站设置开机密码和屏保密码。
3、用户帐号下的数据属于用户私有数据,当事人具有存入权限,管理员具有管理和备份存取权限。
4、网络(内部信息平台)管理员根据有关帐号管理规则对用户帐号执行管理,并对用户帐号及数据的安全和保密负责。
5、网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息等资料的泄露出去。
三、网络管理员职责
1、协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略。
2、负责公用网络(内部信息平台)实体,如服务器、交换机、集线器、防火墙、网线、接插件等的维护和管理。
3、负责服务器和系统软件的安装、维护、调整及更新。
4、负责网络(内部信息平台)账号管理,资源分配,数据安全和系统安全。
5、监视网络(内部信息平台)运行,调整参数,调度资源,保持网络(内部信息平台)安全、稳定、畅通。
6、负责系统备份和网络(内部信息平台)数据备份,负责各部门电子数据资料的整理和归档。
7、保管网络(内部信息平台)拓扑图接线表,设备规格及配置单,管理记录,运行记录,检修记录等网络(内部信息平台)资料。
8、每年对本单位网络(内部信息平台)的效能和各电脑性能进行评价,提出网络(内部信息平台)结构、技术和网络、管理的改进措施。
四、安全管理职责
1、保障网络(内部信息平台)畅通和信息安全。
2、严格遵守公司、省、市制定的相关法律、行政法规,严格执行《网络安全工作制度》,以人为本,依法管理,确保网络(内部信息平台)安全有序。
3、在发生网络(内部信息平台)重大突发事件时,应立即报告,采取应急措施,尽快恢复网络(内部信息平台)正常运行。
4、充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。
5、加强信息审查工作,保存,备份至少90天之内网络信息日志,及时加以分析,排查不安定因素,防止黄色,反动信息的传播。
6、经常检查网络(内部信息平台)工作环境的防火、防盗工作。五、电脑操作人员培训制度
五、病毒的防治管理制度
1、任何人不得在机关的局域网上制造传播任何计算机病毒,不得故意引入病毒。网络(内部信息平台)使用者发现病毒应立即向网络管理员报告。网络管理员及时指导和协助处理病毒。
2、各部门应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
个人信息安全管理制度 第4篇
总则
目的:
为加强公司作风建设,宣传廉洁文化,预防利用职务及职权谋取不正当利益。同时做好公司信息的安全和保密工作,使公司所拥有的信息在经营活动中充分利用,保护公司的利益不受侵害,树立健康积极的企业文化形象,特制定本管理制度。
适用范围:
本制度适用于公司所有在职员工。
定义:
廉洁:清白高洁,不**,从不使用公家的钱来养活自己(不**),就是指人生光明磊落的态度和诚信,正直的风气。
信息安全:信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。
业务单位:与公司有一切业务(含但不限于供货、施工、促销合作等关系)往来或联系的单位或个人。
职责权限
总经办负责廉洁文化建设方向的指引,对公司的信息安全管理具有监督和最后裁决权。
监察部负责监督和执行廉洁与信息安全管理规定,接受全体员工的举报和监督,对举报和违规情况进行调查核实。
行政部负责廉洁文化和信息安全意识的宣传和教育,接收和申报处理公司员工收受和外部财物。
信息部负责公司所有文件资料的分类存档和保存,对电子存档资料进行定期整理和备份,并做好文件防盗和密码保护工作。
各部门:具有共同维护公司廉洁文化建设和信息保密工作的权利,都有保守公司秘密的义务,对公司廉洁和信息安全管理规定具有监督和举报权。
主要内容:
廉洁自律规定
不准收受任何业务单位的个人现金、购物卡券、有价证券和支付凭证。
因各种原因未能拒收业务单位的,必须及时向公司行政部申报统一处理。具体需申报的情况如下:
业务单位不回收的样品和商品赠品;
业务单位节假日馈赠的礼品、礼篮等;
业务单位赠送的其他具有实际价值实物、活动等。
业务单位组织的集体考察、学习、旅游等外出活动;
业务单位赠送的无法拒绝的各类现金、购物卡券、有价证券和支付凭证;
不准向业务单位及其个人借贷钱物。
不准在各业务单位报销应由个人支付的有关票据。
不借业务办理之机,对各业务单位吃、卡、拿、要。
禁止利用职权和职务上的便利和影响为亲友及身边工作人员谋取利益。
工作中不弄虚作假,按规定收集整理好各类基础资料,不做假帐或帐外账。
不准用公款支付个人名义的宴请。公关或业务接待必须经总经办批准后在合理的范围内进行。
不准接受可能对商品和设备供应价格、工程施工价格的业务合作行为产生影响的钱、物馈赠和宴请。
不准为谋取不正当的利益,在经济往来中违反有关规定,以各种名义收取回扣、中介费、手续费等归个人所有。
不借出差、考察、学习之机利用公款进行旅游娱乐活动,或接受可能影响公正办理业务的宴请、礼品馈赠或其他服务。
严禁以虚报、谎报等手段获取荣誉;
以虚报、谎报等手段获取的荣誉、职称及其他利益予以取消或者纠正。
信息安全
**息:公司已对外公开发布的信息,如公司宣传册、产品或公司介绍视频等。
保密信息:公司仅允许在一定范围内发布的信息,一旦泄露,将可能给公司或相关方造成不良影响。比如公司投资计划等。
根据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。
绝密信息:关系公司前途和命运的公司最重要、最敏感的信息,对公司根本利益有着决定性影响的保密信息,如:公司订单,重大投资决议等。
机密信息:公司重要秘密,一旦泄露将使公司利益受到严重损害的保密信息如:未发布的任命文件,公司财务分析报告等文件。
秘密信息:公司一般性信息,但一旦泄露会使公司利益受到损害的保密信息,如:人事档案,供应商选择评估标准等文件。
内部公开:仅在公司内部公开或仅在公司某一个部门内公开,对外泄露可能会使公司利益造成损害的保密信息的保密信息,如:年度培训计划,员工手册,各种规章制度等。
公司保密信息包括但不限于以下内容:
公司经营发展决策中的秘密事项;
专有技术,专利技术、技术图纸;
生产细则、工程BOM、SOP及治具资料;
人事决策中的秘密事项;
重要的合同、客户和合作渠道;
招标项目的标底、合作条件、贸易条件;
财务信息,公司非向公众公开的财务情况、银行账户账号;
董事会或总经理确定应当保守的公司其他秘密事项。
除公司已经正式对外公开发布的信息外,任何单位和个人不得从事以下活动:
利用信息网络系统制作、传播、复制有害信息;
未经允许使用他人在信息网络系统中未公开的信息;
未经授权对网络(内部信息平台)系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;
未经授权查阅他人邮件;
盗用他人名义发送电子邮件;
故意干扰网络(内部信息平台)的畅通运行;
从事其他危害信息网络(内部信息平台)系统安全的活动。
公司保密信息应根据需要,限于一定范围的员工接触。接触公司秘密的员工,未经批准不准向他人泄露。非接触公司秘密的员工,不准打听公司秘密。
违规追责处理
公司所有员工一经任何人发现或内外部举报有违廉洁自律的行为,公司将组织相关部门进行调查核实,一经查证,将追究责任人所造成的责任损失,并进行违规处罚,对造成公司重大经济损失且情节严重的,将移交公安机关进行立案处理。
除公司公开的信息外,任何人将公司的保密信息以任何形式(口头传达、电子邮件、上传网络、存储拷贝、拍照影印、复印资料)对外泄露或散布出去的,公司将从源头上追究信息泄密者,经查实后立即根据情节轻重进行追责处理。因信息泄密造成公司经济损失或形象受损时,将依法移交司法机关进行处理。
附则
本制度最终解释权归xx有限公司所有。
本制度自20xx年8月9日起实行,暂定实施1年。
个人信息安全管理制度 第5篇
安全管理制度要求
总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
建立文件化的安全管理制度,安全管理制度文件应包括:
a)安全岗位管理制度;
b)系统操作权限管理;
c)安全培训制度;
d)用户管理制度;
e)新服务、新功能安全评估;
f)用户投诉举报处理;
g)信息发布审核、合法资质查验和公共信息巡查;
h)个人电子信息安全保护;
i)安全事件的监测、报告和应急处置制度;
j)现行法律、法规、规章、标准和行政审批文件。
安全管理制度应经过管理层批准,并向所有员工宣贯
机构要求
法律责任
互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
人员安全管理
安全岗位管理制度
建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
关键岗位人员
关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:个人身份核查:个人履历的核查:
学历、学位、专业资质证明:
从事关键岗位所必须的能力
应与关键岗位人员签订保密协议。
安全培训
建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
上岗前的培训;
安全制度及其修订后的培训;
法律、法规的发展保持同步的继续培训。
应严格规范人员离岗过程:
a)及时终止离岗员工的所有访问权限;
b)关键岗位人员须承诺调离后的保密义务后方可离开;
c)配合公安机关工作的人员变动应通报公安机关。
人员离岗
应严格规范人员离岗过程:
a)及时终止离岗员工的所有访问权限;
b)关键岗位人员须承诺调离后的保密义务后方可离开;
c)配合公安机关工作的人员变动应通报公安机关。
访问控制管理
访问管理制度
建立包括物理的和逻辑的系统访问权限管理制度。
权限分配
按以下原则根据人员职责分配不同的访问权限:
a)角色分离,如访问请求、访问授权、访问管理;
b )满足工作需要的最小权限;
c)未经明确允许,则一律禁止。
特殊权限限制和控制特殊访问权限的分配和使用:
a)标识出每个系统或程序的特殊权限;
b)按照“按需使用”、“一事一议”的原则分配特殊权限;
c)记录特殊权限的授权与使用过程;
d)特殊访问权限的分配需要管理层的批准。
注:特殊权限是系统超级用户、数据库管理等系统管理权限。
权限的检查
定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。
5网络与主机系统的安全
网络与主机系统的安全
应维护使用的网络与主机系统的安全,包括:
a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施;
b)实施7×24h网络入侵行为的预防、检测与响应措施;
c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;
d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
备份
应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。
网络基础服务(登录、消息发布等)应具备容灾能力。
安全审计
应记录用户活动、异常情况、故障和安全事件的日志。
审计日志内容应包括:
a)用户注册相关信息,包括:
1)用户唯一标识;
2)用户名称及修改记录;
3)身份信息,如姓名、证件类型、证件号码等;
4 )注册时间、IP地址及端口号;
5)电子邮箱地址和于机号码;
6 )用户备注信息;
7 )用户其他信息。
b )群组、频道相关信息,包括:
1)创建时间、创建人、创建人IP地址及端口号;
2 )删除时间、删除人、删除人IP地址及端口号;
3 )群组组织结构;
4 )群组成员列表。
c)用户登录信息,包括:
1)用户唯一标识;
2 )登录时间;
3 )退出时间;
4 ) IP地址及端口号。
d )用户信息发布日志,包括:1)用户唯一标识;
2 )信息标识;
3)信息发布时间;
4 ) IP地址及端口号;
5 )信息标题或摘要,包括图片摘要 。
e)用户行为,包括:1 )进出群组或频道;
2 )修改、删除所发信息;
3 )上传、下载文件。
应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;
涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;
涉及短网址服务的,应审计原始URL与短UR L之间的映射关系。
应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。
应能够根据公安机关要求留存具备指定信息访问日志的留存功能。
审计日志保存周期
a )应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录;
b)系统维护日志信息保存12个月以上;
c)应留存用户日志信息12个月以上;
d )对用户发布的信息内容保存6个月以上;
e)已下线的系统的日志保存周期也应符合以上规定。
6应用安全
用户管理
向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的法律责任。
建立用户管理制度,包括:
a )用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用户登记的真实身份,如:1)身份证与姓名实名验证服务:2)有效的银行卡:3)合法、有效的数字证书:4)已确认真实身份的网络服务的注册用户:5)经电信运营商接入实名认证的用户。(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。)
b )应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:
c )建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。
当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行:a )核对行政许可文件:b )通过行政许可主管部门的**息: c )通过行政许可主管部门的验证电话、验证平台。
违法有害信息防范和处置
公司采取管理与技术措施,及时发现和停止违法有害信息发布。
公司采用人工或自动化方式,对发布的信息逐条审核。
采取技术措施过滤违法有害信息,包括且不限于:a )基于关键词的文字信息屏蔽过滤;
b)基于样本数据特征值的文件屏蔽过滤;
c)基于URL的屏蔽过滤。
应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。
建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括:
a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告
b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作
与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内删除,相关的屏蔽过滤措施应在10min内生效。
破坏性程序防范
实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。
对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。
7个人电子信息保护
制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。在用户注册时,在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。
湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息;
收集个人电子信息时,取得用户的明确授权同意;
公司在姜个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;
法律、行政法规另有规定的,从其规定。
公司在修改个人电子信息处理时,应告知用户,并取得其同意。
技术措施
公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:
a )采用加密方式保存用户密码等重要信息
b )审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露
c )审计个人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据
d )建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销
e )系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险
个人信息泄露事件的处理
a)当发现个人电子信息泄露时间后,应:
b )立即采取补救措施,防止信息继续泄露
c )24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关
8安全事件管理
安全时间管理制度
建立安全事件的监测、报告和应急处置制度,确保快速有效和有序地响应安全事件.
安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。
应急预案
制定安全事件应急处置预案,向属地公安机关宝贝,并定期开展应急演练。
突发公共事件处理
突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:
a)I级:应投入安全管理等部门80%甚至全部人力开展处置工作;
b)II级:应投入安全管理等部门50% -80%的人力开展处置工作;
c)III级:应投入安全管理等部门30%-50%的人力开展处置工作;
d)IV级:应投入安全管理等部门30%的人力开展处置工作。
技术接口
公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口,能确保实时,有效地提供相关证据。