【正文】 信息安全管理制度琥珀（安吉）燃機(jī)熱電有限公司 36 / 38信息安全制度1 總則 第1條 為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。 2 適用范圍 第2條 本規(guī)定適用于琥珀（安吉）燃機(jī)熱電有限公司各部門及生產(chǎn)現(xiàn)場。 3 管理對(duì)象 第3條 管理對(duì)象指組成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。主要范圍包括：人員安全、物理環(huán)境安全、資產(chǎn)識(shí)別和分類、風(fēng)險(xiǎn)管理、物理和邏輯訪問控制、系統(tǒng)操作與運(yùn)行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和標(biāo)準(zhǔn)的符合性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。4 術(shù)語定義 DMZ：用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開放給因特網(wǎng)。 容量：分為系統(tǒng)容量和環(huán)境容量兩方面。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲(chǔ)等。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。 安全制度：與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。 安全邊界：用以明確劃分安全區(qū)域，如圍墻、辦公大樓、網(wǎng)段等。 惡意軟件：包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。 備份周期：根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個(gè)備份周期的內(nèi)容相當(dāng)于一個(gè)完整的全備份。 系統(tǒng)工具：能夠更改系統(tǒng)及應(yīng)用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。 消息驗(yàn)證：一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它可以在硬件或軟件上實(shí)施。 數(shù)字簽名：一種保護(hù)電子文檔真實(shí)性和完整性的方法。例如，在電子商務(wù)中可以使用它驗(yàn)證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。 信息處理設(shè)備：泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。 不可抵賴性服務(wù)：用于解決交易糾紛中爭議交易是否發(fā)生的機(jī)制。 電子化辦公系統(tǒng)：包括電子郵件、OA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。 5 安全制度方面 安全制度要求 本制度的詮釋 第4條 所有帶有“必須”的條款都是強(qiáng)制性的。除非事先得到安全管理委員會(huì)的認(rèn)可，否則都要堅(jiān)決執(zhí)行。其它的條款則是強(qiáng)烈建議的，只要實(shí)際可行就應(yīng)該被采用。 第5條 所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。 第6條 各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以及日常的信息安全管理。 第7條 安全管理代表（或其指派的人員）將審核各部門安全控制措施實(shí)施的準(zhǔn)確性和完整性，此過程是公司例行內(nèi)部審計(jì)的一部分。 制度發(fā)布 第8條 所有制度在創(chuàng)建和更新后，必須經(jīng)過相應(yīng)管理層的審批。制度經(jīng)批準(zhǔn)之后必須通知所有相關(guān)人員。 制度復(fù)審 第9條 當(dāng)環(huán)境改變、技術(shù)更新或者業(yè)務(wù)本身發(fā)生變化時(shí)，必須對(duì)安全制度重新進(jìn)行評(píng)審，并作出相應(yīng)的修正，以確保能有效地保護(hù)公司的信息資產(chǎn)。 第10條 安全管理委員會(huì)必須定期對(duì)本管理辦法進(jìn)行正式的復(fù)審，并根據(jù)復(fù)審所作的修正，指導(dǎo)相關(guān)員工采取相應(yīng)的行動(dòng)。6 組織安全方面 組織內(nèi)部安全 信息安全體系管理 第11條 公司成立安全管理委員會(huì)，安全管理委員會(huì)是公司信息安全管理的最高決策機(jī)構(gòu)，安全管理委員會(huì)的成員應(yīng)包括公司主要管理人、生產(chǎn)技術(shù)管理部負(fù)責(zé)人、公司安全審計(jì)負(fù)責(zé)人、公司計(jì)算機(jī)管理員、操作員等。 第12條 信息安全管理代表由信息安全管理委員會(huì)指定，一般應(yīng)包含安全稽核崗、信息管理部信息安全相關(guān)崗位。 第13條 安全管理委員會(huì)通過清晰的方向、可見的承諾、詳細(xì)的分工，積極地支持信息安全工作，主要包括以下幾方面： 1)確定信息安全的目標(biāo)符合公司的要求和相關(guān)制度； 2)闡明、復(fù)查和批準(zhǔn)信息安全管理制度； 3)復(fù)查信息安全管理制度執(zhí)行的有效性； 4)為信息安全的執(zhí)行提供明確的指導(dǎo)和有效的支持； 5)提供信息安全體系運(yùn)作所需要的資源 6)為信息安全在公司執(zhí)行定義明確的角色和職責(zé)； 7)批準(zhǔn)信息安全推廣和培訓(xùn)的計(jì)劃和程序； 8)確保信息安全控制措施在公司內(nèi)被有效的執(zhí)行。 第14條 安全管理委員會(huì)需要對(duì)內(nèi)部或外部信息安全專家的建議進(jìn)行評(píng)估，并檢查和調(diào)整建議在公司內(nèi)執(zhí)行的結(jié)果。 第15條 必須舉行信息安全管理會(huì)議，會(huì)議成員包括安全管理委員會(huì)、安全管理代表和其他相關(guān)的公司高層管理人員。 第16條 信息安全管理會(huì)議必須每年定期舉行，討論和審批信息安全相關(guān)事宜，具體包括以下內(nèi)容: 1)復(fù)審本管理制度的有效性；2)復(fù)審技術(shù)變更帶來的影響； 3)復(fù)審安全風(fēng)險(xiǎn)； 4)審批信息安全措施及程序； 5)審批信息安全建議； 6)確保任何新項(xiàng)目規(guī)劃已考慮信息安全的需求； 7)復(fù)審安全檢查結(jié)果和安全事故報(bào)告； 8)復(fù)審安全控制實(shí)施的效果和影響； 9)宣導(dǎo)和推行公司高層對(duì)信息安全管理的指示。 信息安全職責(zé)分配 第17條 信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé)： （一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)； （二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃； （三）組織全公司安全檢查； （四）配合全公司安全審計(jì)工作的開展； （五）牽頭組織全公司安全管理培訓(xùn)； （六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購臵。 （七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊(cè)實(shí)施各類安全策略。 （八）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。 第18條 各分公司信息管理部門作為信息安全管理部門，其主要職責(zé)： （一）根據(jù)本規(guī)定、信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，組織建立安全管理流程、手冊(cè)； （二）組織實(shí)施內(nèi)部安全檢查； （三）組織安全培訓(xùn)； （四）負(fù)責(zé)機(jī)密信息和機(jī)密資源的安全管理； （五）負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護(hù)、升級(jí)； （六）配合安全審計(jì)工作的開展； （七）定期上報(bào)本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和管理的意見和建議。 （八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊(cè)實(shí)施各類安全策略。 （九）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。 信息處理設(shè)備的授權(quán) 第19條 新設(shè)備的采購和設(shè)備部署的審批流程應(yīng)該充分考慮信息安全的要求。 第20條 新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的批準(zhǔn)。必須對(duì)新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以確保它們的安全性和兼容性。 第21條 除非獲得安全管理委員會(huì)的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。 獨(dú)立的信息安全審核 第22條 必須對(duì)公司信息安全控制措施的實(shí)施情況進(jìn)行獨(dú)立地審核，確保公司的信息安全控制措施符合管理制度的要求。審核工作應(yīng)由公司的審計(jì)部門或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。 第23條 獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。 第三方訪問的安全性 明確第三方訪問的風(fēng)險(xiǎn) 第24條 必須對(duì)第三方對(duì)公司信息或信息系統(tǒng)的訪問進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行嚴(yán)格控制，相關(guān)控制須考慮物理上和邏輯上訪問的安全風(fēng)險(xiǎn)。只有在風(fēng)險(xiǎn)被消除或降低到可接受的水平時(shí)才允許其訪問。 第25條 第三方包括但不限于： 1) 硬件和軟件廠商的支持人員和其他外包商 2) 監(jiān)管機(jī)構(gòu)、外部顧問、外部審計(jì)機(jī)構(gòu)和合作伙伴 3) 臨時(shí)員工、實(shí)習(xí)生 4) 清潔工和保安 5) 公司的客戶 第26條 第三方對(duì)公司信息或信息系統(tǒng)的訪問類型包括但不限于： 1) 物理的訪問，例如：訪問公司機(jī)房、監(jiān)控中心等； 2) 邏輯的訪問，例如：訪問公司的數(shù)據(jù)庫、信息系統(tǒng)等； 3) 與第三方之間的網(wǎng)絡(luò)連接，例如：固定的連接、臨時(shí)的遠(yuǎn)程連接； 第27條 第三方所有的訪問申請(qǐng)都必須經(jīng)過信息安全管理代表的審批，只提供其工作所須的最小權(quán)限和滿足其工作所需的最少資源，并且需要定期對(duì)第三方的訪問權(quán)限進(jìn)行復(fù)查。第三方對(duì)重要信息系統(tǒng)或地點(diǎn)的訪問和操作必須有相關(guān)人員陪同。 第28條 公司負(fù)責(zé)與第三方溝通的人員必須在第三方接觸公司信息或信息系統(tǒng)前，主動(dòng)告知第三方的職責(zé)、義務(wù)和需要遵守的規(guī)定，第三方必須在清楚并同意后才能接觸相應(yīng)信息或信息系統(tǒng)。所有對(duì)第三方的安全要求必須包含在與其簽訂的合約中。 當(dāng)與客戶接觸時(shí)強(qiáng)調(diào)信息安全 第29條 必須在允許客戶訪問信息或信息系統(tǒng)前識(shí)別并告知其需要遵守的安全需求。采取相應(yīng)的保護(hù)措施保護(hù)客戶訪問的信息或信息系統(tǒng)。 與第三方簽訂合約的安全要求 第30條 與第三方合約中應(yīng)包含必要的安全要求，如：訪問、處理、管理公司信息或信息系統(tǒng)的安全要求。7 信息資產(chǎn)與人員安全 資產(chǎn)責(zé)任 資產(chǎn)的清單 第31條 應(yīng)清楚識(shí)別所有的資產(chǎn)，所有與信息相關(guān)的重要資產(chǎn)都應(yīng)該在資產(chǎn)清單中標(biāo)出，并及時(shí)維護(hù)更新。這些資產(chǎn)包括但不限于∶ 1)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊(cè)、培訓(xùn)材料、操作手冊(cè)、業(yè)務(wù)連續(xù)性計(jì)劃、系統(tǒng)恢復(fù)計(jì)劃、備份信息和合同等。 2)軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具以及實(shí)用工具等。 3)實(shí)體：計(jì)算機(jī)設(shè)備（處理器、顯示器、筆記本電腦、調(diào)制解調(diào)器等）、通訊設(shè)備（路由器、程控電話交換機(jī)、傳真機(jī)等）、存儲(chǔ)設(shè)備、磁介質(zhì)（磁帶和磁盤等）、其它技術(shù)設(shè)備（電源、空調(diào)器等）、機(jī)房等。 4)服務(wù)：通訊服務(wù)（專線）。 第32條 資產(chǎn)清單必須每年至少審核一次。在購買新資產(chǎn)之前必須進(jìn)行安全評(píng)估。資產(chǎn)交付后，資產(chǎn)清單必須更新。資產(chǎn)的風(fēng)險(xiǎn)評(píng)估必須每年至少一次，主要評(píng)估當(dāng)前已部署安全控制措施的有效性。 第33條 實(shí)體資產(chǎn)需要貼上適當(dāng)?shù)臉?biāo)簽。 資產(chǎn)的管理權(quán) 第34條 所有資產(chǎn)都應(yīng)該被詳細(xì)說明，必須指明具體的管理者。管理者可以是個(gè)人，也可以是某個(gè)部門。管理者是部門的資產(chǎn)則由部門主管負(fù)責(zé)監(jiān)護(hù)。 第35條 資產(chǎn)管理者的職責(zé)是： 1)確定資產(chǎn)的保密等級(jí)分類和訪問管理辦法； 2)定期復(fù)查資產(chǎn)的分類和訪問管理辦法。 資產(chǎn)的合理使用 第36條 必須識(shí)別信息和信息系統(tǒng)的使用準(zhǔn)則，形成文件并實(shí)施。使用準(zhǔn)則應(yīng)包括： 1)使用范圍 2)角色和權(quán)限 3)使用者應(yīng)負(fù)的責(zé)任 4)與其他系統(tǒng)交互的要求 第37條 所有訪問信息或信息系統(tǒng)的員工、第三方必須清楚要訪問資源的使用準(zhǔn)則，并承擔(dān)他們的責(zé)任。公司的所有信息處理設(shè)備（包括個(gè)人電腦）只能被使用于工作相關(guān)的活動(dòng)，不得用來炒股、玩游戲等。濫用信息處理設(shè)備的員工將受到紀(jì)律處分。 信息分類 信息分類原則 第38條 所有信息都應(yīng)該根據(jù)其敏感性、重要性以及業(yè)務(wù)所要求的訪問限制進(jìn)行分類和標(biāo)識(shí)。 第39條 信息管理者負(fù)責(zé)信息的分類，并對(duì)其進(jìn)行定期檢查，以確保分類的正確。當(dāng)信息被發(fā)布到公司外部，或者經(jīng)過一段時(shí)間后信息的敏感度發(fā)生改變時(shí)，信息需要重新分類。 第40條 信息的保密程度從高到低分為絕密、機(jī)密、秘密和非保密四種等級(jí)。以電子形式保存的信息或管理信息資產(chǎn)的系統(tǒng)，需根據(jù)信息的敏感度進(jìn)行標(biāo)識(shí)。含有不同分類信息的系統(tǒng)，必須按照其中的最高保密等級(jí)進(jìn)行分類。 信息標(biāo)記和處理 第41條 必須建立相應(yīng)的保密信息處理規(guī)范。對(duì)于不同的保密等級(jí)，應(yīng)明確說明如下信息活動(dòng)的處理要求： 1)復(fù)制 2)保存和保管（以物理或電子方式） 3)傳送（以郵寄、傳真或電子郵件的方式） 4)銷毀 第42條 電子文檔和系統(tǒng)輸出的信息（打印報(bào)表和磁帶等）應(yīng)帶有適當(dāng)?shù)男畔⒎诸悩?biāo)記。對(duì)于打印報(bào)表，其保密等級(jí)應(yīng)顯示在每頁的頂端或底部。 第43條 將保密信息發(fā)送到公司以外時(shí)，負(fù)責(zé)傳送信息的工作人員應(yīng)在分發(fā)信息之前，先告知對(duì)方文檔的保密等級(jí)及其相應(yīng)的處理要求。 人員安全 信息安全意識(shí)、教育和培訓(xùn) 第44條 所有公司員工和第三方人員必須接受包括安全性要求、信息處理設(shè)備的正確使用等內(nèi)容的培訓(xùn)，并應(yīng)該及時(shí)了解和學(xué)習(xí)公司對(duì)安全管理制度和標(biāo)準(zhǔn)的更新。 第45條 應(yīng)該至少每年向員工提供一次安全意識(shí)培訓(xùn)，其內(nèi)容包括但不限于