公司信息管理规定第一章总则第一条目的为了加强公司信息管理力度、提升信息管理水平,特制定本管理规定。第二条适用范围本管理规定适用于公司范围内的信息管理。第三条依据文件《中华人民共和国计算机信息系统安全保护条例》《信息系统安全管理要求》第二章职责第四条公司信息中心主要工作职责:(一)负责制定信息系统相关制度的编制、修订、解释。(二)负责公司范围内网络信息工作的全面管理、组织协调。配合完成网络安全、技术服务咨询、网络运营维护、远程协助以及专业软件和办公管理平台的建立与维护等工作。(三)负责组织、开展公司信息系统的日常管理工作,并对各单位的信息系统管理工作进行监督、指导与服务。(四)负责协助总部信息与文档中心开展业务应用软件和信息系统的引进、开发、管理及技术支持等工作。第五条各部门、各单位的职责:(一)负责在业务开展过程中,对相关信息的收集、整理、录入、处理、储存、传递和应用管理。(二)对所需信息系统设备、软件提出需求意见,负责设备的日常保养和统计工作,做好软件的使用、维护、推广工作。(三)负责配合公司信息中心实施该管理规定。第三章管理规定第六条定义(一)信息系统:指由计算机及其相关的配套设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(二)软件分为系统软件和应用软件(1)系统软件:指为管理、控制和维护计算机及外部设备,以及提供计算机与用户界面的软件。各种语言和它们的汇编或解释、编译程序、计算机的监控管理程序(Monitor)、调试程序(Debug)、故障检查和诊断程序、程序库、数据库管理程序、操作系统(OS)。(2)应用软件(applicationsoftware):用户可以使用的各种程序设计语言,以及用各种程序设计语言编制的应用程序的集合。第七条信息系统的建立(一)信息系统设备需求申请流程详见附件一(二)信息系统管理平台建立信息系统管理平台(OA平台)由总部信息与文档中心建立,OA平台账户各部门、各单位提供员工名单,并按照部门职责确定访问权限,由总部信息与文档中心给予配置。第八条信息系统的使用管理(一)信息系统设备的日常管理与保养由使用单位/部门负责,公司本部的机房共用总部中心机房由总部信息与文档中心统一管理。总部中心机房及公用使用设备由信息与文档中心负责,各单位机房及公共使用设备由信息组负责。(二)软件的日常管理与版本升级,网络版由信息与文档中心统一负责,单机版由使用单位/部门负责。(三)工作调动、离职等原因调离本岗位的员工,离任前须向原单位移交保管使用的信息系统设备及软件资料,并办理交接手续。(四)接入公司网络由部门提出申请,公司本部由公司信息与文档中心负责,各单位由信息组负责接入。(五)未经允许,严禁私自将外部计算机接入公司内网。(六)各部门、各单位定期对岗位异动、退休员工、新增管理人员进行梳理,及时通知信息与文档中心做相应删减或权限变更。(七)OA平台信息发布由各单位的部门经理及负责人审核。(八)各单位每年末将信息系统设备、软件使用情况按总部相关要求报送公司信息中心,信息中心将相关信息汇总分析后报总部信息与文档中心。(九)信息系统设备到报废状态或时间时需按照公司的相关程序处理。第九条信息系统的维护管理信息系统设备的维修维护与故障处理,公司由信息中心配合总部信息与文档中心负责,各单位由信息组负责。第十条信息系统安全管理(一)信息系统安全管理要求信息安全管理的要求是保护公司的信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等,使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失降到最小。(二)信息安全的实现目标(1)真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别;(2)保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义;(3)完整性:保证数据的一致性,防止数据被非法用户篡改;(4)可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝;(5)不可抵赖性:建立有效的责任机制,防止用户否认其行为;(6)可控制性:对信息的传播及内容具有控制能力;(7)可审查性:对出现的网络信息安全问题提供调查的依据和手段。(三)信息安全管理的相关规定(1)信息系统建设必须严格遵守《保密法》、《公司保密管理暂行规定》等相关要求,采取必要的安全措施,确保公司及国家秘密安全。(2)各部门、各单位应确定专人负责本部门、本单位的信息安全与保密工作,定期升级杀毒软件,检查指导信息安全保密工作落实情况。(3)计算机使用人员应设置开机密码或屏保密码,确保业务工作形成的资料、文件等信息安全,重要信息资料加密保存。(4)对于存储过国家涉密信息的计算机信息媒体或载体(硬盘、软盘、磁带机其它存储设备),未经脱密处理,严禁在连接互联网的计算机上使用。(5)涉密计算机由公司保密办公室统一管理,授权使用,涉密计算机不得连接互联网,不得与非涉密计算机之间交叉使用移动介质。(6)公司的商业秘密和信息资料,严禁在互联网公开发布。(7)软件应用要及时做好数据备份,单机版应用软件的日常备份由使用单位部门自行负责;网络版应用软件的数据备份,数据库在总部中心机房的由信息与文档中心负责,数据库在各单位的由信息组负责;特殊数据由业务主管部门负责。(8)安全保密制度a)为保证计算机网络信息安全保密制度系统正常运行,特制定本制度;为防止病毒造成严重后果,对外来光盘、软件、移动硬盘、U盘等要严格管理,原则上不允许外来光盘、软件、移动硬盘、U盘等在内部局域网计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用;接入网络的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件;为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,并要定时对病毒库进行升级,每周对计算机病毒进行一次查杀检查;禁止将驻留有内部资料和涉密信息的计算机擅自连入因特网:在使用电子邮箱传递、下载邮件时,必须先进行病毒查杀,以免感染病毒:加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。b)涉密电子文件、图纸、存储介质保密管理规定涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等;属于保密的电子文件、电子图纸、电子资料、移动介质等,都必须在显要位置注明文件的密级,并进行严格管理,未经批准,不得擅自传递、翻印复制,批准翻印复制时,档案管理部门要有登记:各项目经理部所有电子文件未经允许不得拷贝、转存、窃取:存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中;各单位及各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用;不再使用的涉密存储介质应由使用者提出报告,由单位领导批准后,交主管领导监督专人负责定点销毁;对录有秘密内容的录音带、录象带的管理,严格执行保管制度,未经批准,不得外借。复印秘密以上的文件、图纸、资料时,必须按规定履行审批手续,复印件要同原件一样登记、保管,不得擅自多印留存或转给他人。c)数据安全保密规定存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全;任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整;数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照相关要求执行,出现问题时由各单位的信息管理组进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性;数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的各份数据要根据各份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响;需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内有关经营管理等涉密的信息备份后删除,并进行登记。对维修返回的设备,信息管理组人员应对设备进行验收、病毒检测和登记。d)计算机信息系统的安全保密管理计算机信息系统的应用实现安全保密等级保护。安全等级的划分标准和安全等级保护的具体方案由各项目部计算机信息管理组制定,各项目部领导审定批准;计算机机房的建设应当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全,在计算机信息系统线路附近施工前必须通知信息管理组;计算机信息系统的应用部门应当加强本部门计算机信息安全管理,防止内部保密信息的流失:项目部计算机信息系统的建设和应用,应按照有关法律、行政法规和国家/公司的安全保密规定,同步落实相应的安全保密措施:涉密信息处理场所要定期或根据需要进行保密技术检查;对计算机信息系统中发生的安全和泄密事件,有关使用部门应当及时向信息管理组和项目部领导汇报;对项目部信息系统内计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由信息管理组归口管理。5.3.2安全保密监督各项目部信息管理组对各项目部信息安全管理工作行使下列监督职权:a)监督、检查、指导计算机信息系统安全保密工作;b)查处危害计算机信息系统安全保密的行为;c)履行计算机信息系统安全保密工作的其他监督职责;d)信息管理组发现影响计算机信息系统安全保密的隐患时,应当及时通知使用部门采取安全保护措施e)紧急情况下,信息管理组可以就涉及计算机信息系统安全保密的特定事项发布专项通告。第四章附则本办法由公司信息中心负责解释。本办法自发布之日起执行。