信息安全管理制度

编号：HD-TR-G23 版本：B/1

1 目的

为了强化公司的信息安全管理，预防计算机信息技术风险，确保公司数据秘密安全，防止网络病毒危害和黑客恶意攻击，维护正常的生产经营顺利运行，根据《中华人民国计算机信息系统安全保护条例》、《ISO27001信息安全管理体系标准》以及有关法律、法规，结合公司实际情况，特制定本管理制度。

2 定义

本制度所称信息安全管理，是指在日常办公、公司运营过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

3 范围

本制度适用于公司全体部门和集团下属单位和所有分/子公司。

4 职责
      信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任制。

5 信息安全建设和管理

5.1 组织架构

公司行政人事部负责指导全公司的信息安全管理工作。

5.2 人员安全管理

5.2.1 人力资源部门负责人员安全管理，应建立以员工为中心的人力资源管理策略。

5.2.2 人员聘用时需明确员工信息安全责任，人事部门必须在新员工入职一个月内组织一次信息安全培训，并且每年定期组织一次针对全体员工的信息安全培训和宣导，提高员工的商业秘密保护意识。 

5.2.3 员工离职时须严格按照离职流程进行，各交接人应该负责交接信息的安全处理，以确保相关信息资料的不外泄。

5.2.4 信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在岗位职责中明确对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。

5.3 信息安全风险评估

5.3.1 公司每年组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。

5.3.2 行政人事部负责组织成立风险评估小组。

5.3.3 风险评估小组组长负责进行信息安全风险评估的策划，风险评估小组按策划进行风险评估。

5.3.4 公司各部门和集团下属单位负责按规定进行风险处理,并定期输出《信息安全风险评估报告》。

5.3.5 当公司发生以下情况时需及时进行风险评估：

    1）当发生重大信息安全事故时；

    2）当信息网络系统发生重大更改时；

3）管理者代表确定有必要时。

5.3.6 与外部公司签订合约时应进行信息安全风险评估。

5.4 信息安全事件报告和协查

5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。

5.4.2 加强值班管理及时发现信息，安全事件和隐患。

5.4.3 一旦发现信息安全案事件，应详细、如实记录事件经过，保存相关日志，并形成相应分析报告，并及时通知有关人员，并与公安部门取得联系。

5.5.4 进行网络违法案件及其他信息安全检查时，有关人员必须积极配合。

5.5 知识产权保护

5.5.1 公司从正当渠道获取各类专利、专有技术和正版软件，以保证著作人的版权和知识产权不受侵害。

5.5.2 公司员工应遵守从互联网获得软件和信息的条款规定。

5.5.3 法律、法规和合同约定的要求有限制内容的，公司员工除非得到授权的许可，否则不得复制、转换到另一种格式以提取文件内容，不得整体或部分的复制其文档内容。

5.5.4 公司各部门保留各类专利、专有技术、软件的授权文件（证书）、软件母盘及手册等证明和证据。

5.5.5 公司在授权范围内使用经授权的专利或专有技术，并采取必要的技术和管理手段，尽一切努力保护其所有人的合法权益不受第三方侵害。

5.6 密码安全管理规定

公司所有计算机、（云）服务器、网络交换机等IT设备与信息系统必须按本规定要求设置相关密码。

5.6.1 用户的个人邮箱等办公账号必须按照要求设置初始密码，用户必须在首次使用时更改密码并妥善保管，不得散发或与他人共享。

5.6.2 用户密码的设置不应少于6位，最好包含大小写字母、数字和特殊字符。

5.6.3 信息系统管理员密码长度至少要求6位，必须包含字母、数字与特殊字符。

5.6.4 （云）服务器、防火墙、路由器、交换机、网络负载等重要IT设备的超级管理员密码长度应在10位以上，且必须包含字母、数字与特殊字符。

5.6.5 以上所有密码均不能使用姓名的汉语拼音、生日，重复、顺序、规律数字、工号和常见的英文单词等容易猜测的数字和字符串。

5.6.6 以上所有密码，每六个月定期更改，以增强密码的安全性。

5.6.7 （云）服务器、防火墙、路由器、交换机、网络负载等重要设备的超级管理员密码由系统管理员自行保存，严禁将密码转告他人；若因工作需要必须转告，应由行政人事部负责人审批；非系统管理员使用密码完成工作后，系统管理员应该及时更改密码，保证密码安全。

5.7 信息机房和实验室机房安全管理

5.7.1 信息机房服务器及网络设备，相关管理人员应尽量通过远程连接方式对服务器端进行维护，减少进入机房操作。

5.7.2 对于已获得批准进入机房的外来技术人员，相关设备负责人需对其工作内容进行规范及管控。

5.7.3 进入机房工作人员应恪守保密原则，不得泄露机房各种信息资料与数据。

5.7.4 外来人员对各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经相关系统负责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档，受访部门负责相应安全责任。

5.7.5研发部门的实验室机房，属重要涉密岗位，必须严格执行公司保密和密码工作的规定。无关人员原则上不准进入机房，不准违规操作和使用机房设备，不准私自将设备带离机房。

5.7.6 做好机房设备的日常维护工作，严禁在机房内吸烟，不准在机房堆放杂物和垃圾，保持机房室内整洁。

5.7.7 机房内应配备温度计，机房管理人员应每天关注温度的变化，做好机房的防潮、防湿、防高温工作，一般情况下，当机房的温度超过28摄氏度的话，则应开启降温设备做好降温工作。

5.7.8 机房管理人员定期检查机房线路、消防器材、火灾自动报警、火灾自动灭火系统等消防设施，保证其状态良好。

5.8 计算机安全管理

5.8.1 任何人严禁私自拆卸计算机硬件外壳，严禁未经许可移动、拆卸、调试、更换硬件设备。

5.8.2 下班后所有不再使用的计算机，应关闭主机及显示器，对于公共的计算机，原则上由最后一个使用人员关机，并关闭电源。外来人员不得操作公司计算机。

5.8.3 员工离开工作岗位时应立即用带密码的计算机屏幕保护锁定计算机。

5.8.4 操作系统由公司统一提供，禁止安装使用其它来源的操作系统，特别是未经授权的非法拷贝。

5.8.5 公司提供的全部软件仅限于员工完成工作所使用；未经许可，不得将公司购买或开发的软件擅自提供给第三方。

5.8.6 计算机必须打开操作系统自带防火墙，使用人员不得私自改变计算机的安全配置，不得私自以任何方式接入互联网，不得从事危害网络秩序、网络安全的活动。

5.8.7公司购买的商品软件由网络管理员统一保管并做好备份，其密钥、序列号、加密狗等由使用部门在网络管理员处登记领用，禁止在公司外使用。

5.8.8公司员工必须自觉遵守企业的保密法规，严禁利用网络有意或无意泄漏公司的涉密文件、资料和数据；不得非法复制、转移和破坏公司的文件、资料和数据。

5.8.9 公司重要电子文档、资料和数据应定期备份，本机保存务必将资料存储在除操作系统外的硬盘空间，不将重要文件存放在桌面上。

5.8.10公司内部使用移动存储设备，使用前需先对该存储设备进行病毒检测，确保无病毒后方可使用。防止内部局域网病毒扩散。进入邮箱，不要随便打开来历不明的邮件及附件，同时开启杀毒软件邮件监控程序以免被计算机病毒入侵。

5.9 （云）服务器的安全管理

5.9.1 公司所有服务器必须严格按照密码安全管理规定设置开机密码、系统登陆密码、以及带密码的屏幕保护。

5.9.2 公司所有服务器应按照相关安全技术规范来设置安全策略，策略设定后要进行有效性检查，确保有效执行。

5.9.3 服务器日常操作和维护由系统管理人员负责，未经许可其他人不得对服务器进行操作。

5.9.4 为了保证服务器的运行效能和安全，只允许安装压缩、杀毒等必要的应用软件，严禁安装游戏、聊天工具等与系统无关的软件。

5.9.5 系统管理人员定期对服务器进行巡检，发现服务器有严重错误或黑客入侵等行为，必须立即采取措施进行处理。

5.9.6 服务器的关键信息及重要数据定期备份，确保系统一旦发生故障时能够快速恢复。

5.9.7 原则上不允许在个人电脑上共享公司有商业价值的重要文件或在部门公共盘上存放有商业价值的重要文件。

5.10 网络安全管理

5.10.1 公司所有网络设备密码必须严格按照密码安全管理规定执行。

5.10.2 未经行政人事部批准，任何人不得改变网络拓扑结构、网络设备布置、（云）服务器、路由器配置和网络参数。

5.10.3 网络管理人员定期对网络、系统、线路和设备的运行情况进行统计分析，优化网络性能，保证系统和设备运行正常、完好。

5.10.4 定期进行网络安全漏洞扫描，及时发现网络漏洞，及时进行整改。

5.10.5 网络管理人员通过技术手段对公司网络进行不间断监控，及时发现和拒绝不安全的操作以及黑客攻击行为，阻止网络内外的入侵。

5.10.6 网络管理人员每个季度对路由器、防火墙、安全监控系统的安全策略进行一次审查和必要的修改，并对配置文件进行备份保存，以确保安全策略的完整性和一致性。

5.10.7 网络优化、安全策略调整、或网络设备新增时，必须经过详细研究讨论和全面测试，并要通过安全方案审核，确保网络系统的安全和正常运行。

5.10.8 禁止任何人员将公司网络的资料、文档、数据、配置参数等信息擅自以任何形式提供给无关人员或向外随意传播。

5.11 计算机病毒防治

5.11.1 公司所有计算机及（云）服务器必须安装企业防病毒软件。

5.11.2 禁止用户私自禁用或绕开企业防病毒软件。

5.11.3 企业防病毒软件不能自动清除并引起安全事故的病毒，应及时上报行政人事部负责人。

5.11.4 计算机设备保管人应定期检查防病毒软件安装及病毒库的升级情况。

5.11.5 用户在使用任何电子媒介前都应对其进行病毒扫描，对发现病毒的电子媒介应禁用，病毒清除后方可使用，对不能清除的病毒，应及时上报行政人事部。

5.11.6 用户应在计算机启动后检查是否已启动病毒实时监测系统，如未启动，应在进行其他操作前启动病毒实时监测系统。

5.12 信息系统安全管理

5.12.1 信息系统投运前，相关管理部门要掌握有关设备所提供的各种系统监控、维护工具，并检查其安全性和完整性。

5.12.2 为保障信息系统正常运行，由专人（系统管理员）负责信息系统的应用及数据库管理，包括对程序、硬件、网络、操作系统等的安装、修正、备份等操作。

5.12.3 信息系统管理员建立系统维护记录，实行维护过程登记。对故障的发生时间、表现与频率、解决方法、结果进行详细记录，形成专门的系统管理维护记录。

5.12.4 信息系统需求变更应当严格遵照管理流程进行操作。信息系统管理员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变信息系统环境配置。

5.12.5 根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。

5.12.6 公司所有信息系统只限于公司内部使用，严禁将信息系统软件以任何形式调用、出借、挪用给该范围以外的任何单位或个人。

5.12.7 定期对信息系统中的数据进行备份，以便服务器发生故障时，能启用备份恢复数据到最近状态。需备份的数据包括：应用程序备份、数据库备份。备份方式包括每日系统自动备份、系统管理员不定期储存备份。

5.12.8 对信息系统数据的备份、恢复、转出及转入权限严格控制，禁止除系统管理员之外的其他人员进行操作。

5.12.9 任何人员不得直接打开信息系统数据库文件进行操作，不得随意增加、删除、修改数据，不得修改原程序和数据库表结构。

5.12.10 信息系统硬件设备的报废应由使用部门提出申请，行政人事部根据设备的使用情况进行审核，提出设备报废清单，按《固定资产管理制度》报废流程办理。

5.13 数据备份管理

5.13.1 数据安全存储要求

 5.13.1.1 数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。

 5.13.1.2 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。

 5.13.1.3 删除可重复使用存储介质上的涉密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。

5.13.2 数据备份要求

 5.13.2.1 数据信息备份应采用性能可靠、不宜损坏的介质，如磁带、光盘等。备份数据信息的物理介质应有数据信息的来源、备份日期、恢复步骤等信息，并置于安全环境保管。

 5.13.2.2 一般情况下对服务器和网络安全设备的配置数据信息每季度进行一次备份，对公司云服务器上的数据每天进行备份，当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份；网络设备配置文件在进行版本升级前和配置修改后进行备份。

5.13.2.3 备份执行过程应有详细的规划和记录，包括备份主体、备份时间、备份策略、备份路径等。

 5.13.2.4 数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。

5.13.3 备份数据恢复管理

 5.13.3.1 应根据不同业务系统实际情况，确定需要备份的数据信息。

 5.13.3.2 定期检查、测试备份介质和备份信息，保持其可用性和完整性，并确保在预定的时间内恢复成功。

5.13.3.3 恢复策略应该根据数据信息的重要程度和引入新数据信息的频率设定备份的频率（云服务器数据每日软备份，每周硬备份）。

5.14 物理环境安全管理

5.14.1 公司物理区域应建立牢固的物理安全周界，应有妥当的出入控制保护，以防未经授权的人员进出造成安全隐患。

5.14.2 行政人事部保证安全区域的消防设施的完整与合格，并建立安全事故处理与消防应急预案，避免因火灾或水灾等引起的可能风险。

5.14.3 行政人事部负责管理与关闭安全周界的防火门、消防门、安全通道门窗，并安装报警器同时建立巡视制度。

5.14.4 员工进入办公区域，必须刷卡或指纹进入，并注意防止外来人员尾随进入。

5.14.5 外来人员进入办公区域，须到前台进行登记，按照《外来人员管理制度》执行，来访者只允许访问经授权的区域。

5.14.6 所有人员每天下班时应保证办公桌的整洁，将重要文件资料存放在个人抽屉柜或保险柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。

5.15 业务连续性

5.15.1 行政人事部负责信息系统的业务持续性管理工作。

5.15.2 重要信息系统一旦受到重大影响或中断后，行政人事部及相关部门应立即对信息系统采取应急措施，并进行恢复，确保公司生产经营活动的持续运行。

6 处罚措施

员工如有违反以上规章条例，根据违章的情节与严重程度对该员工给予相应处罚。

7 附则

本制度由行政人事部负责制订与解释，自发布之日起生效。

上海辉电电力设备工程有限公司