【正文】 ，以及權(quán)限管理不健全，都會(huì)帶來企業(yè)核心數(shù)據(jù)信息的外泄，無論是有意還是無意，都會(huì)給企業(yè)帶來無法估計(jì)的損失。二、企業(yè)內(nèi)部人員的故意或過錯(cuò)而造成的商業(yè)機(jī)密泄漏。黑客、木馬的破壞性，相信很多企業(yè)的CTO都感受頗深。隨著互聯(lián)網(wǎng)的發(fā)展和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，企業(yè)信息安全問題已經(jīng)成為每一個(gè)企業(yè)面對(duì)生死存亡必須要考慮的一個(gè)問題。信息在企業(yè)的經(jīng)營和發(fā)展中的作用由此可窺一斑，有時(shí)候信息甚至可以左右一個(gè)企業(yè)的存亡。企業(yè)網(wǎng)絡(luò)的安全防范對(duì)于企業(yè)來說也是不容忽視的。本課題研究了企業(yè)所面臨的信息安全風(fēng)險(xiǎn)，試圖從企業(yè)管理的各個(gè)主要環(huán)節(jié)入手進(jìn)行分析，認(rèn)為可以構(gòu)建一個(gè)安全的企業(yè)網(wǎng)絡(luò)。如今，企業(yè)之間以及企業(yè)內(nèi)部的信息傳遞越來越依賴于網(wǎng)絡(luò)。由于互聯(lián)網(wǎng)的開放性和通信協(xié)議原始設(shè)計(jì)的局限性的影響，企業(yè)信息因?yàn)橹T多方面的原因容易造成外泄，給公司的正常運(yùn)營帶來安全隱患。很多企業(yè)的局域網(wǎng)設(shè)計(jì)、辦公自動(dòng)化（OA）系統(tǒng)都存在著或多或少的漏洞。黑客的攻擊，或許只會(huì)對(duì)企業(yè)的局域網(wǎng)、以及辦公系統(tǒng)帶來破壞，很少能夠有目的地，如其所愿地獲取所希望的信息。因此，面對(duì)企業(yè)信息安全所面臨的威脅，企業(yè)必須把信息安全風(fēng)險(xiǎn)降到最低，避免因企業(yè)信息外泄或被竊而給企業(yè)帶來不可估量的損失。管理混亂、安全管理制度不健全等都可能引起企業(yè)信息安全風(fēng)險(xiǎn)。第三章：如何降低企業(yè)信息安全的風(fēng)險(xiǎn)一、制定企業(yè)信息安全規(guī)范，并嚴(yán)格加以執(zhí)行。二、警惕對(duì)企業(yè)內(nèi)部不滿的員工和已離職員工。提升安全技能，并通過運(yùn)用企業(yè)信息方面危機(jī)的事例分析，逐步培養(yǎng)企業(yè)人員信息安全意識(shí)，使員工充分認(rèn)識(shí)企業(yè)信息安全風(fēng)險(xiǎn)防范的必要性和重要性，并注重提高處理計(jì)算機(jī)系統(tǒng)安全問題的能力。打印紙不隨意丟棄，過期文件及時(shí)銷毀。首先員工對(duì)互聯(lián)網(wǎng)的濫用使企業(yè)的生產(chǎn)力嚴(yán)重流失、工作效率降低。企業(yè)花巨資打造的信息化工作平臺(tái)成為員工的私人領(lǐng)地和病毒桃花源。通過 Email、MSN或者移動(dòng)硬盤造成文件流失、泄露。調(diào)查發(fā)現(xiàn)，很多病毒事件是因?yàn)閱T工訪問一些非法網(wǎng)頁、BBS論壇或下載通過即時(shí)通信軟件傳播的文件而引發(fā)的。小草上網(wǎng)行為管理軟路由能夠幫助企業(yè)管理者管控網(wǎng)絡(luò)濫用問題，防止網(wǎng)絡(luò)攻擊、黑客入侵，提升網(wǎng)絡(luò)使用效率，提高員工的工作效率。第三條 公司秘密是關(guān)系公司權(quán)力和利益，依照程序只允許特定時(shí)空范圍的人員知悉的事項(xiàng)，包括但不限于技術(shù)專利、財(cái)務(wù)、人事和其他商業(yè)機(jī)密。包括但不限于：人事檔案、合同、協(xié)議、職員工資性收入、招聘計(jì)劃等。接觸到公司秘密的高級(jí)員工，如：管理人員、技術(shù)人員、財(cái)務(wù)人員、秘書等負(fù)有特別的保秘責(zé)任。絕密是最重要的公司秘密，泄露會(huì)使公司權(quán)益和利益遭受特別嚴(yán)重?fù)p害。(二)公司的規(guī)劃、財(cái)務(wù)報(bào)表、統(tǒng)計(jì)資料、重要會(huì)議記錄、公司經(jīng)營情況為機(jī)密級(jí)。/ 9第十條 發(fā)現(xiàn)已經(jīng)或者可能泄露秘密時(shí)，應(yīng)立即采取補(bǔ)救措施并報(bào)告主管部室或公司領(lǐng)導(dǎo)；主管部室或領(lǐng)導(dǎo)接到報(bào)告，應(yīng)及時(shí)處理。辦公室為日常保密工作管理部室。(二)員工應(yīng)做到：不該說的秘密不說；不該問的秘密不問；不該看的秘密不看；不該記錄的秘密不記錄；不在非保密本上記錄秘密；不在公共場(chǎng)所和家屬、子女、親友面前談?wù)摴久孛苁马?xiàng)；不在不利于保密的地方存放秘密文件、資料；不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場(chǎng)所；不在私人交往中泄露公司秘密。(三)依照規(guī)定使用會(huì)議設(shè)備和管理會(huì)議文件；(四)規(guī)定不準(zhǔn)記錄的會(huì)議內(nèi)容，不得記錄，不攜帶錄音機(jī)進(jìn)入會(huì)場(chǎng)錄音；不以任何形式對(duì)外泄露會(huì)議秘密內(nèi)容，會(huì)議結(jié)束后，要對(duì)會(huì)議場(chǎng)所進(jìn)行保密檢查；/ 9嚴(yán)禁濫印、復(fù)印會(huì)議秘密文件資料，確需要復(fù)制的須經(jīng)批準(zhǔn)。收發(fā)、傳遞和外出攜帶，由指定人員擔(dān)任，并采取必要的安全措施；(二)在設(shè)備完善的保險(xiǎn)裝置中保存；(三)如有與質(zhì)量管理體系中規(guī)定相左之處，以后者為準(zhǔn)。市場(chǎng)部主要保密職責(zé)：(一)制定商業(yè)保密管理有關(guān)規(guī)范、制度，并組織實(shí)施、監(jiān)督；(二)組織宣傳、培訓(xùn)商業(yè)管理規(guī)定；(三)負(fù)責(zé)本部門保密管理工作，監(jiān)督其他部門管理工作；(四)負(fù)責(zé)商業(yè)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作；第二十二條 涉及公司商業(yè)秘密的合作、代理、交易合同或協(xié)議，依據(jù)情況設(shè)置相關(guān)“保密條款”，限制對(duì)方行為。財(cái)務(wù)部主要保密職責(zé)：(一)根據(jù)法律及上級(jí)單位規(guī)定，結(jié)合實(shí)際制定財(cái)務(wù)保密規(guī)范；(二)組織本部門員工學(xué)習(xí)并執(zhí)行財(cái)務(wù)保密制度的有關(guān)規(guī)定；(三)負(fù)責(zé)組織宣傳保密、安全管理規(guī)定、規(guī)范，組織培訓(xùn)學(xué)習(xí)公司有關(guān)保密安全規(guī)定；(四)負(fù)責(zé)本部門保密管理工作，監(jiān)督其他部門管理工作； / 9(五)負(fù)責(zé)財(cái)務(wù)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作；第五章 計(jì)算機(jī)與互聯(lián)網(wǎng)信息保密管理規(guī)定第二十六條 IT部要健全各項(xiàng)信息保密管理制度，強(qiáng)化機(jī)房計(jì)算機(jī)的應(yīng)用管理。員工不允許將公司“用戶信息和網(wǎng)絡(luò)密碼”告知非本公司人員。(四)企業(yè)研發(fā)的各辦公系統(tǒng)的數(shù)據(jù)內(nèi)容要嚴(yán)格把關(guān)；IT部要將審核后的內(nèi)容準(zhǔn)確、安全、即時(shí)地上傳至托管服務(wù)器。第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發(fā)、傳遞、使用、復(fù)制、摘抄、保存和銷毀，由辦公室或主管領(lǐng)導(dǎo)委托專人執(zhí)行；采用電腦技術(shù)存取、處理、傳遞的公司秘密由IT部門負(fù)責(zé)保密。第三十一條 對(duì)無視本《規(guī)定》，以謀取個(gè)人或小集團(tuán)利益為目、蓄意泄漏秘密的，造成重大損失和嚴(yán)重后果的，將依《中華人民共和國刑法》追究法律責(zé)任。第三十四條 本規(guī)定的解釋權(quán)屬于本公司保衛(wèi)部。第四條信息安全管理，包括管理組織與職責(zé)、信息安全目標(biāo)與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、信息安全檢查與考核。各級(jí)信息安全組織均要明確主管領(lǐng)導(dǎo)，確定相關(guān)責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。第十條企事業(yè)單位信息部門負(fù)責(zé)本單位信息安全的管理，具體職責(zé)包括：在本單位宣傳和貫徹執(zhí)行信息安全政策與標(biāo)準(zhǔn)，確保本單位信息系統(tǒng)的安全運(yùn)行，實(shí)施本單位信息安全項(xiàng)目和培訓(xùn)，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。第十四條公司員工必須嚴(yán)格遵守公司信息安全政策、管理制度、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)控制要求，承擔(dān)相關(guān)安全義務(wù)和責(zé)任，并及時(shí)報(bào)告信息安全事件。保障應(yīng)用。綜合防范。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺(tái)和集中專業(yè)化的信息安全隊(duì)伍。建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)全生命周期的安全管理。建立完善有效的安全監(jiān)控和預(yù)警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，及時(shí)發(fā)現(xiàn)安全隱患。安全監(jiān)控的結(jié)果要保存一年以上。第二十二條各級(jí)信息部門負(fù)責(zé)制定和實(shí)施信息安全監(jiān)控計(jì)劃，包括日常監(jiān)控、應(yīng)急處理和定期匯報(bào)。應(yīng)急處理按照預(yù)案進(jìn)行，并至少每年組織一次相關(guān)崗位人員進(jìn)行應(yīng)急預(yù)案演練。評(píng)估范圍可包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點(diǎn)。第二十八條信息管理部將風(fēng)險(xiǎn)評(píng)估和控制報(bào)告上報(bào)