《信息安全管理条例.docx》由会员分享,可在线阅读,更多相关《信息安全管理条例.docx(7页珍藏版)》请在第一文库网上搜索。
1、信息安全管理条例XXX有限责任公司20XX年XX月XX日目录一、总贝IJ3(一)适用范围31 .公司全体员工适用。32 .版本及解除权3二、网络接入3三、账号管理及网络拓扑4四、服务器5五、信息系统5六、数据操作规范6七、敏感信息6八、密码安全7九、法律法规7一、总则随着信息技术的飞速发展及客户业务发展的需求,在日常的工作中公司员工不可避免的会接触到客户的业务数据及敏感信息。为保障客户业务系统稳定运行,确保客户业务数据安全存储。本着对客户负责、对公司负责、对员工负责的初衷,合法合规的开展相关工作,特制定本信息安全管理条例。全体员工应在今后的工作中严格遵守国家相关法律、法规及信息安全管理条例,严
2、格约束违法、违规行为。(-)适用范围1 .公司全体员工适用。本条例将从网络接入、账号管理、服务器安全、信息系统操作、数据库操作、敏感信息、密码安全、法律法规等多方面做出规范与定义,最大程度保障相关信息数据安全。2 .版本及解除权本条例非最终版,本条例会不断修订,以最新版为准。最新版本会在公司内部以电子版形式颁布,并只会全员。本条例最终解除权归XXXX有限公司所有。二、网络接入通过长需要接入的网络又以下几种(但不限于以下种类):1 .业务单位专网(如:特定网络接入点)。2 .业务单位内网(如:政务内网)。3 .业务单位外网(如:政务外网)。以上网络均非互联网,在接入客户网络时要遵循以下条例:1
3、.不经客户允许,任何人不得擅自接入客呼内网系统。2 .不可通过远程方式让非指定人员进入业务客户内网系统。3 .不得使用来历不明的电脑记入客户内网系统。4 .接入客户内网的设备必须进行病毒扫描,确保系统安全。5 .不得在客户内网环境中使用来历不明或未经杀毒的U盘。6 .不经允许不得随意访问业务但的内部资源。7 .不得使用扫描软件获取业务单位内部网络数据。8 .不得占用客户带宽下载与工作无关的资源。9 .不得在客户内网环境制作、下载、复制、查阅、发布、传播或以其他方式使用国家禁止或损害公司利益的内容。三、账号管理及网络拓扑通常在工作中设计的账号信息有以下几类(但不限于以下种类):堡垒机账号、VPN
4、账号、服务器账号、数据库账号、接口认证信息、阿里云账号、微信账号、支付宝账号、钉钉账号。1 .所有账号必须由指定人员保存。2 .所有文件必须保存在WPS云盘加密文件夹中。3 .存储账号的文件必须设置密码(必须复杂密码)。4 .不同客户的账号存储在不同文件中。5 .确定一些信息屏蔽字符,知情人为部门主管、运维人员。6 .不同客户的不同服务设备应使用不同密码。7 .设计内网地址、开放端口、开放协议、网络拓扑结构等信息严格保密。8,所有账号信息部门主管必须拥有管理权限。9.应定期修服务器密码。四、服务器一般包括:定期备份、定期杀毒、安全设置、每日巡检(但不限于以上工作)1 .所有服务器由指定专业人员
5、管理。2 .服务器必须开启相关安全日志,并且日志记录至少保存6个月。3 .服务器必须定期安全检测。4 .服务器必须实行每日巡检制。5 .费专业人员不可操作服务器。6 .由指定人员访问服务器开展线上测试工作。五、信息系统在日常工作中,不可避免的会登录客户业务系统处理相关问题。登录过程中设计到的所有信息我们应严格保管,确保不泄露、不丢失、不越权操作。1 .非指定人员不得随意登录客户业务系统。2 .登录账号由专人保管,未经同意不得授权他人使用。3 .未经授权不得增加、修改、删除业务系统的信息。4 .要对操作过程中设计的相关信息要做好保密工作。5 .不得随意查询他人相关信息,包括配偶、父母等直系亲属。
6、6,业务系统产生的所有数据归客户所有,所有数据不经同意不得使用。7 .无论何时都要遵守先备份后上线的原则。8 .软件稳定版本要又明确标识。六、数据操作规范相关数据包括居民基础信息、业务信息、个人隐私信息、数据处理规范但不限于以上数据,任何客户业务数据都适用以下条例。1 .非指定人员未经允许不得解除相关数据。2 .非指定人员未经允许不得留存相关数据。3 .非指定人员未经允许不得修改相关数据。4 .非指定人员未经允许不得删除相关数据。5 .非指定人员未经允许不可使用相关数据。6 .任何原始数据使用后必须最短时间内销毁。7 .操作相关数据时,必须做好相关备份工作。8 .原则上只有指定的数据人员可以接
7、触相关原始数据,下一节点人员接触到的数据必须脱敏、去标识化,并做好脱敏数据的使用监督工作。9 .相关数据的操作情况必须要有操作记录。七、敏感信息根据文件特性设置存取权限,禁止泄露、外借和转移专业数据信息。一般包括实体文件、电子文件、开发文档、系统对接指南、漏洞报告等,但不限于以上信息。1 .实体文件应由专职人员定点保管,未经允许不得擅自使用。2 .不经允许不得通过社交软件转发电子文件。3 .开发文档及系统对接指南不得擅自向公司以外人员传阅。4 .相关文件应设置密码存储。5 .由指定人员配置敏感参数。八、密码安全1 .所有密码不得使用弱密码。2 .登录模块应具备防暴力破解机制和错误次数限制。3 .建议系统最好拥有短信验证码功能。九、法律法规本条例中为能阐明的问题以相关法律、法规依据。1 .中华人民共和国网络安全发2 .民法典3 .计算机信息网络国际联网安全保护管理办法.互联网信息服务管理办法颁布日期:一年月日XXX技术有限责任公司