第1篇 企业信息管理制度
第一节 总则
一、为加强信息管理制度,加快公司信息化建设步伐,提高信息资源的运作成效,保证公司信息安全、结合公司具体情况,制定本信息管理制度。
二、本信息管理制度中关于信息的定义:
1、行政信息:公司系统内部目的为行政传达的一切文字资料、电子邮件、文件、传真。具体信息管理表现为上传下达、平级传送的行文管理、资料管理、档案管理。归属于日常行政管理。
2、市场信息:公司业务销售的客户文件、来往传真、电话、客户档案;公司业务应用的电话记录、报价、合同、方案设计、投标书等原始资料、电子资料、文件、报告等。具体信息管理制度表现为客户沟通、文字记录、资料收集分析、业务文件编写等。归属于业务经营管理。
3、财务信息:财务信息是指以货币形式的数据资料为主,结合其他资料,用来表明企业资金运动的状况及其特征的经济信息。
4、物流信息 :按信息产生和作用所涉及的不同功能领域分类,物流信息包括仓储信息、运输信息、加工信息、包装信息、装卸信息等。对于某个功能领域还可以进行进一步细化,例如,仓储信息分成入库信息、出库信息、库存信息、搬运信息等。
三、信息管理制度工作必须在加强宏观控制和微观执行的基础上,严格执行保密纪律,以提高企业效益和管理效率,服务于企业总体的经营管理为宗旨。
四、信息管理制度工作要贯彻“提高效率就是增加企业效益”的方针,细致到位,准确快速,在企业经营管理中降低信息传达的失误失真延迟,有力辅助行政管理和经营决策的执行。
六、公司已nbs(erp)系统为核心,各单独开发系统为辅助,组成公司整个信息网络。公司及全资下属公司、机构的信息工作,都必须执行本制度。
第二节 行政信息管理制度
六、按照行政信息的定义,行政信息主要产生、传递、应用于公司行政活动中。
七、行政信息管理制度主要依据公司下列规定进行:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、公司电子印章、介绍信管理规定;
4、保密制度。
第三节 市场信息管理制度
八、依照市场信息的定义,市场信息主要产生、传达、应用在市场业务经营管理中。
九、市场信息来源分类:业务(客户)信息、非业务市场信息。
1、业务(客户)信息:客户购买公司产品的电话、传真、函件、电子邮件;公司、客户之间业务沟通电话、传真、文件、函件、电子邮件;客户公司公开的资料;市场人员收集的客户秘密资料;市场人员传呈的报告、资料;针对客户的分析报告等。
2、非业务市场信息:网络、报刊、杂志和各种信息渠道收集的行业性文章、资料;竞争对手资料、文件、报告;公开的技术性资料;外围媒体、机构传送到公司的电子邮件、函件、资料;公司内部业务分析文件、报告;其他与市场业务经营和管理有关的资料。
十、营销管理人员主要负责以下业务信息工作:
1、负责集团网站的建设、维护、更新和对外信息发布,并开展网络商务系列工作。
2、负责业务(客户)信息的接受、整理、初步分析和传呈销售中心总监,建立、保管客户档案并不断维护;
3、协助各市场机构对业务信息的收集,督促各市场机构将业务信息及时、准确呈报到集团公司,整理、分析各市场机构业务信息形成客户分类档案,并及时将重要的信息管理制度报告给上级;
4、监察、收集、整理竞争对手情报资料;收集、整理、分析行业性文章、资料;
5、负责直接业务情报、业务信息的整理。
6、上级安排的其他工作。
第四节 财务信息管理制度
十一、财务管理信息化是一项系统化工程,财务会计部是实施财务信息化的主要部门,负责信息化的日常工作。
十二、财务信息化管理中财务部需要完成的工作。
1、 财务部负责财务电算化信息系统的运行与管理;
2、 财务部进行电算化系统的日常维护工作,协助各企业管理部操作人员建立账务和报表系统,协助总账增加或删除会计科目及辅助核算选项;
十三、财务信息为公司核心机密信息,须严格按公司信息安全管理制度执行。
第五节 物流信息管理制度
十四、按照物流信息的定义,行政信息主要产生、传递、应用于公司库存管理活动中。
十五、物流信息管理制度主要依据公司下列规定进行:
1、 所有物资流动单据必须与实物一致;
2、 物资流动信息必须即时跟新,发生物资流动时马上跟新物流信息;
3、 每次盘点结束需要变更库存信息时,必须通过多方确认,明白物资差异原因之后才进行调整。
第六节 信息安全管理制度
十六、计算机安全管理和使用
1. 计算机设计和操作人员(特别是营业方面)要注意计算机的安全设计和有关数据的安全使用和保护工作,不可违章改动或增删数据:
2. 计算机的管理和使用单位要切实注意网上数据的安全,信息处负责网上数据的安全和维护,各使用单位要做好数据的安全使用工作:对于网上的营业数据,营业与财务部门应定期进行各种账目与银行实际数据的校对,发现问题应及时与信息处或计算机安全工作小组人员联系
3. 各单位和有关部门计算机安全员应关注系统的工作是否正常,做好有关资料的收集整理和检查备份等工作,重要资料应提交总公司安全备份
4. 总公司各级机房工作人员和有关操作人员必须严格执行党和国家以及本企业的有关保密制度,不得随意公开计算机系统内的有关内容
5. 程序员与操作员在软件的设计和使用上应严格分工,否则,出现问题应首先追究程序员的责任
6. 计算机网络各种软件和设备的设置,应注意建立完整的资料和定期安全改动其参数的制度,防止系统参数外泄和资源被破坏
7. 对利用计算机进行作案的犯罪行为,总公司计算机安全工作小组配合安全保卫部门应对其进行严肃处理,情节严重者,移交司法部门依法处理。
十七、计算机网络使用管理
1. 总公司信息处和计算机安全小组负责对全公司计算机网络系统以及各单位、各部门上网的计算机和有关设备进行统一的管理、资料收集整理、保管以及安全监督
2. 任何单位、部门要上网的机器设备都应经过信息处领导的同意,并由信息处人员进行上网安装和有关资料归档
3. 任何单位和个人,未经安全确认不得随意改动系统,如需改动应提出书面申请,经信息处和计算机安全小组同意后方可按计划进行修改
4. 客户对服务器端应用数据要求修改,应填写“应用数据更改申请单”,经计算机安全工作小组同意后,由信息处人员根据该单内容进行修改
5. 对分给各部门上网的口令、密码、应牢记并妥善保管,以免出错影响正常工作
6. 网络管理员受理用户申请修改的内容后,应作好修改记录,记录的内容应作备案
7. 严禁将来历不明的程序和数据装入系统,不得将各种游戏软件装入机器,装入系统的程序和数据都应事先进行病毒检查,防止病毒侵入
8. 对外来的被计算机安全工作小组同意临时运行的软件,不得长期驻留硬盘,运行结束后作好备份应自行将其立即清除,释放空间,信息处或安全工作小组定期对来历不明的驻留程序进行消除
9. 信息处或安全小组定期或不定期对服务器和有关机器进行硬盘各种安全拷贝,定期进行病毒或其他安全检查
10. 总公司根据实际需要设立网站,网站日常维护和管理部门为总公司信息处。
11. 网站内容应根据各部门或单位的实际需要,提出要求,提供相关内容,经领导批准,按信息处要求进行处理。
12. 企业内部网与互联网必须采取有效方法隔离,不允许任何单位或个人通过企业网上互联网。
13. 对企业内部需要上互联网的单位或部门,应在信息处登记,征得同意后方可在指定的机器上上网,并注意防止使用过程中计算机病毒等的入侵。
14. 本司内部工作人员因工作需要,可在总公司信息处档案室的电脑资料阅览室上网,但应严格遵守上网资料查阅的各项制度。
15. 任何上网机器不得随意增删开机登录口令,如确实有必要改变时,应征得信息处的同意,并有资料备份。
16. 上网查阅有关资料应是为了工作需要的本公司内部职工,否则须经领导同意方可上网;
17. 查阅资料的电脑一般按上班时间定时开放,若特殊情况需要延长开放时间,应经有关领导批准;
18. 上网资料查阅人员应遵守党和国家各项有关规定,不得进行非本职工作所为,更不允许进行违法活动;
19. 资料查阅人员应爱护本室内的所有机器设备,资料查阅完毕应随手关机,整理本人周围的环境,带好自己的物品离去。
20. 对个别不遵守以上规定的人员,本室工作人员有权劝其离去,对态度恶劣者可请公司安全保卫人员请其离去,并与该人员单位领导联系对其进行批评教育。对极个别人员违法行为,公司安全保卫部门有权将其移交公安机关进行处理;
21. 严禁随意下载数据,特别应注意资料下载,应确保是否有病毒的存在,严禁带毒软件或介质在阅览室传播。
十八、计算机软件、数据、文件管理
1. 计算机软件指购置的系统软件以及自行开发或购置的应用软件(包括计算机程序,设计和使用资料以及有关数据等)
2. 总公司(暂除设计院和西办)的所有软件统一由总公司信息处保管原盘,复制拷贝盘供有关部门安装,使用
3. 应用部门需要的计算机软件应统一向信息处申请,信息处负责总公司各单位软件的安装,升级和维护
4. 各软件正式使用前,程序员和操作员应对其有足够的认识,重要软件操作员应认真掌握并慎重使用
5. 应用软件在运行过程中出现的问题,应及时与信息处或计算机安全工作小组取得联系,不得随意修改,程序在使用中有何修改要求,可填写“应用程序修改要求申请单”,写清楚问题和要求,交付信息处安排修改,修改时注意做好安全备份
6. 软件修改手续:信息处人员对正式运行的软件和“程序修改要求申请单”的内容进行确认,一般在试验网上修改,调试及试运行,修改好经安全小组领导同意后方可上网安装
7. 对集体或个人开发的应用软件,信息处接受设计者的鉴定申请,负责组织总公司内部的技术评审工作(技术评审的原则:鼓励技术开发、技术更新、技术进步、讲究实用、讲究技术资料完整,注重遵守各项保密制度)
8. 软件的借用应办理好登记手续,借用者应及时归还,使用过程中应妥善保管,使用者使用不当搞坏的应按公司有关规定赔偿损失。
9. 各种介质(主要数据介质有磁盘、磁带、数据光盘等)各单位、各部门应有专人负责管理,不得随意放置,各种废弃数据和介质不允许未经销毁处理随便丢失。
10. 各单位计算机安全员有责任做好计算机介质管理并监督本单位做好介质管理工作。
11. 各单位不用或废弃介质应统一集中销毁,确认已无法使用介质可采用机械等方式销毁,纸介质采用碎纸机销毁,对介质理重要数据更新等操作,更新前一定要做好备份(一般为数据转移)确保无误后进行废弃介质(数据)处理。
12. 重要磁介质应存放金属屏蔽柜内保存,防止介质内容破坏。
13. 对一般过期无用的废弃数据系统管理员应及时进行数据整理,及时处理,腾出使用空间。
14. 计算机设备和重要数据介质应建立使用档案,做好管理工作。
15. 系统管理员在必要时才能取出备份数据或介质,进行有关应急使用。
16. 异地数据管理统一由总公司信息处进行,各使用单位不得未经许可在网络上随意进行增删改和复制、剪切等操作,对未授权随意操作者,产生不良后果(导致影响系统正常工作等)应追究操作者责任。
17. 对异地数据必须专人进行管理,专人负责使用管理,其它任何人不得未经许可随意使用。
18. 重要数据应定期进行异地安全备份,以防止出现数据故障,影响工作。
19. 各单位计算机安全员应协助总公司对本单位计算机应用进行指导,宣传有关安全制度和正常操作知识。
20. 总公司内部网未经信息处领导许可不得接入任何其它设备或与其它外部公共系统联接。
十九、信息保密
1. 企业内部的全体员工应遵守国家各项的有关计算机信息系统安全的规定,做好工作。
2. 企业内部的所有工作人员,不得利用计算机信息系统从事危害国家、企业利益或个人利益的活动。不得危害计算机信息系统的安全。
3. 计算机工作人员不得随意从企业内部计算机网上通过非正常途径将企业内部资料下载、取走,甚至非法提供他人使用。
4. 各部门计算机操作人员应严格遵守操作规程,不得随意地将录入资料随意放置,应随手将录入后资料按规定放置好,计算机资料用完后需要在计算机上停留的则保留,一般临时资料应及时清理。
5. 计算机系统安全员应定期检查信息保密方面工作是否存在问题,及时对发现的问题进行汇报处理。
总公司重要应用软件各部门必须注意保密,任何个人未经计算机安全小组许可不得向外单位或个人提供我司有关的软件、资料以及数据;
二十、信息安全培训与计算机病毒及有害数据防治及报告
1. 总公司定期组织计算机安全工作小组人员进行计算机应用系统安全分析或技术交流活动。
2. 信息处与人事劳动保卫处配合,定期对有关计算机安全员进行技术业务培训。
3. 不定期进行拉出去、请进来的方式与其它单位进行计算机安全交流活动,提高有关人员的技术水平和工作能力。
4. 计算机安全员必须参加年度技术业务知识培训或继续再教育学习。
5. 信息处应与劳人、职教部门配合,做好计划和安排好培训内容,定期对有关部门的程序员和操作员进行培训。
6. 宣传计算机病毒的危害性及可防治性,即既要重视它,看到病毒的危害严重,产生后果严重危胁着计算机应用系统。同时要正确按各项规定使用计算机,严格遵守各项操作规程则计算机病毒是可以避免的。
7. 网络计算机病毒危害是重点注意的问题,特别是系统管理员和各级计算机安全员应从自身工作开始,做好防止病毒入侵系统的工作。
8. 操作人员应对系统病毒的现象有所了解,对发现某些异常特征应及时与计算机安全员联系,排除病毒存在的可能性,确保正常工作。
9. 注意以防为主,但对出现病毒的机器或系统应及时与计算机安全工作小组取得联系,注意今后使用过程的跟踪,防止类似现象的发生。
10. 计算机安全员人手配置一套消病毒软件,对使用过程中不能确定是否存在病毒的有关介质,应用前应先行消毒,确保万无一失后才可正常使用。
11. 防毒软件也应确保安全,可靠方可投入使用,并注意定期升级。
第七节 信息考核制度
1、 erp关键用户管理制度(考核部分)
2、 系统实施及日常管理奖罚制度
3、 根据各部门在当年信息化推进工作中的实施程度与工作难度。对各绩效人员进行考核。最高不高于全部考核占比的5%,最低不低于3%。考核内容按各部门工作推进进度、工作完成及时率、数据信息准确率三项核心指标展开。由企业管理部设定具体指标指数。
第八节 其它
信息管理人员必须认识到,没有脱离具体行政活动、业务活动而独立的信息工作,所以信息管理的最终目的,检验信息管理工作的成效标准,是业务工作、行政工作的效果和执行效率。
第2篇 公司企业信息化管理制度
第一章 总 则
第一条
为加强公司信息化建设,规范公司信息化管理,降低公司管理成本,提高工作效率和管理水平,特制定本制度。
第二条
本制度适用于公司信息化硬件、软件、耗材、系统、数据和安全等管理工作,指导公司的网络使用管理和维护工作,规范设备和耗材采购配置引进流程,为公司的信息化系统健全完善和数据安全工作提供切实有效的方案。
第三条
公司信息化管理实行统一管理、分项负责、责任到人的管理机制。
第四条
本办法适用于职能管理系统信息化管理工作,生产技术系统信息化管理参照执行。
第二章 管理分工及职责
第五条
公司成立信息化管理小组(以下简称信息小组),负责建立健全公司信息化管理体系,组织制定和实施公司信息化管理的规章制度;审查《信息化工程方案》,审核《信息化设备的配置计划》,监督、检查、指导公司各部门信息化建设、运行维护及管理工作。
第六条
办公室是公司信息化管理常设机构。负责组织拟定公司信息化管理规章制度和管理流程,承办公司信息化设备的采购、调配与回收,组织信息化设备的安装、调试及技术支持,负责公司办公自动化系统(以下简称0a系统)建设、运营、维护和信息资源管理工作,统筹公司信息安全管理,组织公司信息化管理的知识培训。
第七条
公司各部门分别负责权限内信息化设备设施的日常使用、维护管理和软件系统维护及信息收集、汇总、整理、申报及信息安全管理工作。
第八条
公司各使用部门应指定专人负责本部门信息化管理工作。
第三章 软硬件管理
第九条
公司因工作需添置计算机及其他设备,应先根据项目情况和公司计划管理规定编写《信息化配置需求计划》,计划应详细说明使用目的、使用软件情况、配置计算机及外设数量、设备设施配置标准。提交到办公室审核后,履行公司及中煤龙化公司采购计划审批程序。
第十条
需求计划经批准后,公司权限内采购依据公司管理分工和采购规定,硬件设施采购由办公室负责办理,软件由申请部门会同办公室办理,所有信息化设备设施的型号、性能数据、厂商、供货商、购买日期等详细数据及软件信息,各使用部门均应以书面的形式提供给办公室备案。
第十一条
各使用部门应加强信息化设备设施(含软件)的管理,落实专责制,严禁私自处置。
第十二条
公司各使用部门负责本部门计算机及辅助设施的日常维护工作,确保设备在使用期内正常使用。
第十三条
计算机及辅助设施在使用中由于人为原因造成损坏,损失由当事人所在的科室进行赔偿或由当事人赔偿。
第十四条
公司各个科室因工作需要,添加或更换设备,应向办公室提交《信息化配置申请》,经办公室审核后,由总经理审批后,办公室负责组织购置或进行调剂。
第十五条
公司各部室的计算机及辅助设施变更后,办公室应登记备案。
第十六条
公司计算机设备的日常维修工作由办公室负责,维修和更换部件相关费用列入申请部门费用。
第十七条
办公室应维护计算机及设备的注册信息和分布信息,确保每一设备的信息真实可查。
第十八条
信息设备的淘汰、报废由使用部门提出申请,办公室审核,经公司主管领导审批后,办公室负责淘汰或报废设备的回收、处置。
第十九条
公司信息设备耗材由办公室统一采购、发放。办公室应根据公司耗材储备情况和各个部室的需求情况,在每个季度初拟定《耗材采购季度计划》,按公司规定程序审批后,组织采购和发放工作。耗材供应应及时、充足,保证经营管理需要。
办公室应根据各部门消耗情况,核定耗材定额,并根据实际需求及时调整。办公室应指定专人负责耗材管理,耗材管理人员应按部门、品类设置耗材使用台账,详细登记各部门耗材使用情况,并根据定额定期考核。
第四章 0a系统管理
第二十条
办公室是公司oa系统归口管理部门,负责公司oa系统资源分配,系统日常维护和管理。公司oa系统管理执行《中煤龙化公司办公自动化管理办法》规定。
第二十一条
办公室应指定专人负责对计算机设备、服务器要定期对其操作系统和文件进行检查,经常查杀病毒,保障设备正常运行。负责服务器运行日志记录工作。
第五章 网络管理
第二十二条
办公室负责公司内部局域网的网络通畅,网络共享和网络安全。
第二十三条
办公室负责搭建公司的远程访问平台,确保平台7x24的不间断的网络服务。对网络数据流进行安全过滤,应用防火墙和安全策略进行入侵监测和病毒监测。
第六章 数据及申报管理
第二十四条
信息管理人员应定期对公司数据进行异地备份,并保证备份数据安全,确保数据丢失后,可以通过备份还原数据。养成时时备份数据的习惯。
第二十五条
办公室应协助各部门设计备份策略,综合使用日志备份、差异备份和完全备份来维护数据库的数据安全,以便数据损坏后可以成功的恢复数据。
第二十六条
公司各信息系统使用部门负责权限内数据信息的收集、审核、汇总、整理、审批和按时申报工作。
第七章 安全管理
第二十七条
信息系统管理人员应加强密码管理,并定期更换。系统登录密码不得相互泄漏。
第二十八条
操作人员操作完毕应及时退出应用程序,以防他人非法进入系统。
第二十九条
涉密文件以纸质方式发送,不得以电子公文形式在网上传递。对网上处理信息应执行“上网不涉密、涉密不上网”制度,坚决杜绝发生泄密、盗取信息等现象。
第三十条
公司全体工作人员对信息化设备有管理和维护的责任。来访人员或非本部门人员未经许可,不得操作公司设备,时刻注意防火、防水、防盗。下班之后操作人员应按照正确程序关闭办公自动化设备及电源,要及时关闭门窗,防止失窃。
第三十一条
信息化设备的具体使用者为该设备的第一责任人。对于每台计算机中保存的文件、资料等保密信息,第一责任人负保密责任。严禁操作人员私自利用工作便利及非法手段调阅非共享信息。
第三十二条
操作人员应有强烈的病毒防范意识,使用u盘、光盘及网络信息准用存储设备时,首先须对其进行杀毒操作,确认其未带病毒后才可在系统上使用。定期进行杀毒处理,发现计算机遭受计算机病毒感染时应立即隔离,尽快杀毒。工作数据要经常做备份,检查、杀毒后备用。
第三十三条
任何个人不得从事下列危害信息系统安全的活动:
(一)未经允许,进入信息系统或使用公司信息系统资源;
(二)未经允许,对信息系统功能进行删除、修改或者增加;
(三)未经允许,对信息系统中存储、处理或者传输的数据或应用程序进行删除、修改或者增加;
(四)故意制作、传播计算机病毒等破坏性程序;
(五)任意方式对数据的恶意操作,如篡改、删除、转移等。
(六)未经授权查阅其他人的电子邮件,冒用他人名义发送电子邮件。
违反本规定,公司将视情节和公司奖惩相关规定追究责任人责任。
第八章 附 则
第三十四条
本办法由公司办公室负责解释。
第三十五条
本办法自发布之日起施行。
第3篇 药业企业信息情报管理制度
xx药业信息情报管理制度
1.目 的:为了及时、准确地收集、传递及反馈有关信息,做好信息情报的管理,特制定本制度。
2.适用范围:本规定适用于总公司及各分子公司。
3.权责说明
3.1信息部负责公司重大信息的收集、汇总、发布等。
3.2专项信息情报由各部门管理。
3.3信息情报内容
信息情报的内容包括:公司的资源信息、公司生产经营情况、国家政策信息、与公司销售有关的信息(医院和医生情况、医院药品用量情况、对方医药公司的资信情况等)、行业信息、新药研发动向、竞争对手信息、市场信息、人才需求信息等等一切与公司生产经营活动相关的信息。
4.公司内部信息的管理
4.1 公司内部信息由各部门、各子公司提供,信息部负责汇总、分类、整理、分析、提炼和发布。
4.2 信息部将公司各单位收集的信息情报汇总后,由专人分类整理和分析提炼,以信息简报的形式发布,同时在公司内部网站发布,供公司内部交流。
4.3信息情报的收集工作是各单位的日常工作,公司信息的收集由各部门负责人或者子公司的行政部门负责人负责。
4.4信息情报的传递实行'零通报'制度,对于特别重要或者特别有价值的情报信息应及时上报,对于一般信息情报,各单位应将收集的信息情报经本单位领导审阅后,在每月20日前交给信息部,信息部的邮箱地址:;信息部应主动与各单位信息负责人沟通以收集公司信息。
4.5 各单位上报的信息不限于本单位的职责范围,应树立大局观,凡是对公司发展有利的信息,都应及时通报,信息部对各单位的信息情报上交情况应做好统计。
4.6信息部将有关信息及时通过计算机网络或者'信息简报'形式发布,以达到信息交流的目的;
5.专项信息情报管理
5.1专项信息情报管理由各单位负责,并指派专人对本单位专项信息情报进行收集、管理、汇总和分析等。
5.2信息部应根据公司的安排,或者主动针对与公司生产经营有关的专题收集信息并汇总分析,为公司决策提供参考意见。
6.公司的信息情报仅供公司内部交流,是公司的无形资产,任何人不得外传,亦不能窃取以谋求私利。
7.公司所有员工对公司的信息情报有保密义务。
8.信息情报收集发布程序
8.1 各单位指定的信息员按照要求收集、整理本单位的信息情报。
8.2 各单位领导负责审定本单位报送的信息情报。
8.3 信息情报报送公司信息部。
8.4 信息部对收集到的信息情报汇总、筛选、编辑。
8.5 将信息简报初稿报送分管领导及其他相关领导审阅。
8.6 正式出版。
8.7 送相关上级主管部门和公司各单位。
9.附则
9.1 本制度由信息部负责解释。
9.2本制度施行后,凡既有的类似规章制度或与之相抵触的规定即行废止。
9.3 本制度经总经理批准后自颁布之日起执行。修改时亦同。
附:信息情报收集发布流程
第4篇 企业信息安全管理制度
近年来, 随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代--信息化时代。随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面:
a. 技术图纸。主要存在于技术部、项目部、质管部。
.b. 商务信息。主要存在于采购部、客服部。
c. 财务信息。主要存在于财务部。
d 服务器信息。主要存在于信管部。
e 密码信息。存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:
1 来自企业外的风险
①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及ddos分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
2、来自企业内的风险
① 文件的传输风险。若有员工将公司重要文件以qq、msn发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。
②文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。
③文件的传真风险。若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文
件和重要资料带走,会造成企业信息的外泄。
④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机
密信息。若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。
⑤ 上网行为风险。员工可能会在电脑*问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。
⑥用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握,
可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。
⑦机房设备风险。主要包括服务器、ups电源、网络交换机、电话交换机、光端机等。这些风险来自防
盗、防雷、防火、防水。若这些自然灾害发生,可能会损坏机房设施,造成业务中断。
⑧办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识,在办公区域随意堆放本
部门的重要文件或是在办公区域毫不避嫌谈论工作内容,若不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。
为了保证企业信息的安全保密,公司所有人员必须严格遵守企业信息安全管理总则,以安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。
二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。
1.计算机设备安全管理。
1) 公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2) 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
3)发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。
4)下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。
2.部门资料安全管理。
1) 外接存储设备安全管理。
严禁所有人员以个人介质光盘、u盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱:①将用户主机贴上封条标签,除信管部人员外,任何人不得私自拆开机箱,若信管部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。信管部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。②给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由信管部保管,若需要为用户处理电脑故障时,信管部在打开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机内硬盘的安全。
2) 文件传真安全管理。
所有人员对外发送传真,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。
3) 文件打印安全管理。
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
4) 文件的存储安全管理。
所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用u盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门u盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。
5) 办公区域的安全管理。
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好,被他人取走,造成的后果将由本人承担。
3.帐号密码安全管理。
使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工,员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有8个字符长;密码必须包含以下任一部分:字母a-z或a-z,数字0-9,特殊字符,例如 $ ,-等。
1)电脑密码管理:每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记,若更改密码后,未进行登记,一经信管部发现,将对该用户进行口头警告。同时,因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题,信管部不承担责任。
2)应用系统密码管理:所有erp用户及oa用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在erp中将会非法编制篡改单据,在oa中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将erp帐号或oa帐号密码透露给他人,让他人代己做erp单据或办理oa流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。
3)采用用户身份认证系统:目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用服务器,破坏或盗取商业数据等。因此,我部门在未来的发展规划中,要将用户身份认证当作安全的一个重大隐患,想办法解决这个问题。
这里,我们可以采取动态口令牌或usb key认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于60秒内自动刷新密码,无法采用数据字典扫描破解密码,让黑客攻击行为束手无策;而usb key采用usb密钥,存储特定的加密算法,只有将usb钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。
4..杀毒软件安全管理。
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
5.各类软件安全管理。
软件原始盘片应交综合部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。
6.邮件安全管理。
所有因公对外联系的电子邮件一律通过公司邮箱或 或在指定的电脑上进行收发。(参考邮箱管理制度)
综上所述,使用者应该具有一定的安全防范意识,具体应做到:
日常工作信息安全:
1)员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
2.)员工有责任正确地保护分配给本人的所有计算机帐户。
3.)各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。
4)每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。
5)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
6)任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
假期时间办公室的安全: 确保工作电脑的安全,在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码,其它信息管理部设备的电源也必须切断。
确保数据的安全:确保你的软盘,备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。
当你在外的时候:不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假,而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。
当你回来的时候:如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。
常规注意事项
1)任何外来盘片(包括cd、vcd碟片及软盘),只有经过系统管理员确认不带病毒后,才可在公司计算机上使用.否则造成病毒感染或其他破坏的,公司将对其责任人进行罚款处理,每次金额50元~500元。
2)个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出,若需输出必须履行审批手续。申请人填写申请单,写明输出资料内容、份数、路径、用途、申请日期、申请人等项目,经部门领导和公司领导共同签字审批后,交由专人上机操作。
3)未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查,发现有违反本条规定的,将给予50元~500元的罚款。
4)严禁在工作时间利用计算机网络从事与本职工作无关的活动,发现有违反本条规定的,将给予50元~200元的罚款。
三、细则:从各部门级出发,针对这些信息隐患制订安全防范措施。
1.采购部的安全处理措施如下:
1)采购招标的安全管理。
由采购部门编写招标计划,经部门负责人签字后,上报总经理审批,总经理根据生产过程的物料需求及原有的物料采购价格决定是否需要寻找新的货源,若审批同意后,采购部才可以开展招标工作。采购部门制定招标邀请书,邀请众多有法人资格、供货条件的单位参与我公司的招标活动。在发标书的过程中。采购部应遵守下列原则:①招标的公开性:对于采购的招标信息应该公开;评标的标准和程序应该公开;中标的结果应该公开。②招标的公平与公正:对待各方投标者一视同仁,不得对任何投标方带有主观意见。③招标的保密性:采购部人员严禁以任何形式向投标方透露招标的意向。评标完成后提交评标报告给总经理,最后由总经理中标、授标。
2)采购价格及供应商的信息安全保密。
采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格,严禁向他人透露各种物料的供货来源。采购部门人员要随时检查个人办公区域的文件资料是否存放好,防止因打印的采购价格表和供应商联络单没有存放好,导致采购信息资料外泄。要求部门人员要严格保管好工作纸质文件,同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全。
2.客服部有如下工作存在安全隐患:
1)及时向甲方传递发货信息与到货信息。
2)甲方基地发货及库存统计:记录甲方发往各风场的数据,盘点甲方各基地库存数;
3)总经办工作安排。
以上存在的安全隐患及处理措施如下:
a)发货、到货、现场库存信息安全。
客服部人员在统计往风场发货及现场库存的时候,可能会因为客服部盘点疏忽,最终统计的库存结果不准确。这会造成公司的发货信息与现场到货数量不一致,从而得迅速查找整个发货到货流程的出错环节;甚至会因为库存统计的不准确,延迟发货到货时间,导致现场库不能及时向风场发货,从而影响客户的业务。客服部现场人员必须每日在oa中编写日记,以便部门领导能随时掌握此现场人员的工作动态,现场人员要认真盘点到货数量及现场库存信息,在现场与甲方进行每月、每季、每年度的数据核对,确保到货数量与发货数量一致,并随时向部门负责人汇报。
b)总经办的日程安排管理。
在实际的工作中,总经理因工作繁忙暂时不在公司,一些待办理的工作无法通过审核。客服部负责人要了解总经办的行程,并确保行程不被泄露,保证总经理的其他事务不会受到打扰,在总经理方便时,提醒总经理处理一些比较紧急的待办文件;若总经理不在公司,以先短信后电话的形式给总经理汇报待办理的文件类型,在总经理办理完成后,及时将文件下发给相应部门。
3.项目部的安全处理措施如下:
1)图纸的安全管理。
项目部的图纸只允许在部门内部传阅。在进行项目生产时,工艺员申请借阅项目图纸,经签字确认后,档案专员将图纸副本发放给工艺员,工艺员负责监督技术人员和操作人员严格按照图纸进行生产,确保生产过程符合iso9000体系要求。生产完成后,工艺员将图纸返还给档案专员,图纸副本重新归档。在借阅过程中,严禁借用人将图纸传阅给其他人员,一经发现,必将严肃处理。
2)工艺技术文件的安全管理。
项目生产的工艺技术文件由计划员归档保存,在组织生产人员进行操作培训时,指导操作人员学习质量文件和相关工艺规程,培训过程中,确保工艺技术文件只在培训过程中流转,培训完成后,收回所有的技术文件,禁止任何人以任何理由将文件带出公司。禁止任何人复印、传真此类文件。
3)人员的安全管理。
项目部保管着生产技术文件和图纸,公司的人员流动很容易造成技术的泄露。鉴于此,部门应严格控制工艺技术文件及图纸的传阅。文件将由专员保管。禁止部门人员在未经允许的情况下传真或复印此类文件;在部门员工调动或离职前,由部门档案专员收回该员工所有工作文件。若档案专员调动或离职,由部门经理亲自收回该岗位所有的工作资料,并清点所有书面文件和电子文件是否存在缺省或丢失的情况,最大程度避免人员的流动造成技术资料的外泄。
4.仓储部存在的安全隐患及处理措施如下:
a)物料库存安全。
物料采购入库后,仓储部做好物资的保管工作,如实登记仓库实物账,经常清查、盘点库存物资,确保系统帐、查存卡、实物一致;做好物资采购、存储、生产领用各环节平衡衔接工作,做到物料的先进先出,当保管物料的库存量不足时,及时通知采购部,由采购部制定新的计划进行物料采购,再入库存,确保生产有序进行。
b)物料信息安全。
仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。仓储部负责人应严格规范部门人员的安全防范意识,并严格存放好入库单和领料单等纸质单据,确保不会因为单据的存放不善而泄露物料供货信息。
c)仓库整体安全。
做好物资的存储工作,按品种、规格、体积、重量等特征决定存放的方式与位置,仓库物品堆放整齐、平稳,合理利用储物空间,减少地面负荷,便于盘存和领取,并有效做到先进先出;做好仓库的安全、防火、防盗、防爆、卫生工作,确保仓库和物资的安全;对危险品需进行单独存放与隔离、管制。
5.技术研发部的安全处理措施如下:
1)图纸的归档
a) 外来书面图纸:公司指定收件人收到后整理并编制归档,确认完整无误后,交由综合部档案管理员。图纸蓝图邮寄到北京,复印件登记,入库经总经理批示发放至相应部门。
b) 电子版图纸:外来电子版图纸,由公司指定专人负责接收。打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门;若外来电子版图纸已由对方传至我方项目人员处,项目人员应将图纸资料整理后报综合部存档,由综合部统一打印及按公司规定下发至相应的职能部门,若出现图纸变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。
c) 内部设计电子版图纸:在工程完工后一周内,技术人员应将最后定稿图纸交由综合部,由其在三天内加密统一刻录光盘。一式两份,公司领导及综合部档案管理员各保管一份。
2)外来工艺文件、技术规格书
技术人员在收到文件后1个工作日内整理无误,交综合部档案管理员登记、入库经总经理批示后方能发放。
3)内部拟定的工艺文件、技术规范文件
a) 公司自行编写的生产工艺文件,经总经理审批签署后交综合部档案管理员入库存档。
b) 移交文件时,移交人应备有档案实体和目录,经档案管理员对照验收无误后方能办理移交登记手续。
c) 档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者,有权拒绝接收,并限期改正补交。
d) 移交时,移交和 接收文件方均应建立书面移交记录。
4)技术图书、期刊、标准的管理
公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
5)技术,项目往来传真件
综合部收到技术文件后,下发到相应部门,相关责任人签收签字。同时保留复印件,按项目不同分类,待项目结束后,各负责人将其保存的传真复印件整理装订后归档。
6)技术,项目往来电子邮件
由公司指定接收人以及综合部邮箱管理员定期下载整理。每月将电子邮件交综合部统一刻制成光盘存档。
7)本行业其他公司宣传画册、样本、产品信息等文件,由综合部按《样本资料明细表》登记保管,使用人可查询使用,不得私自留存。
8)技术文件的复印
归档的技术文件确因工作原因需要复印时,须由使用人到综合部填写《资料复印申请表》经总经理批准后,综合部指定人员复印后发放至使用人。
9)技术文件的借阅
a)借阅手续:各部门有关工作人员因工作需要借阅归档技术文件,应办理调阅手续,经部门负责人签字,交公司领导批准后方可办理借阅手续。
b)借阅记录:档案管理员应有清楚、准确的借阅记录,包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。
c)借阅时间:一般最长不超过8个工作时,超过8个小时需在办理调档申请时特别说明。如员工因工作原因经批准需要带出资料时,则其返回后一个工作日内归还。
d)归还要求:借阅的资料交还时,必须由经办人当面点交清楚,如发现遗失或损坏,应立即报告领导,同时应追究使用人的责任。
公司所有技术文件均应先由综合部专人登记入库后,经总经理批示后分发至相应部门负责人处,由其向部门员工下发。各部门负责人应做好本部门技术资料的保密工作,若保管技术资料人员离职时应向综合部交回相关的技术资料。综合部下发技术文件时,须由签收人签字确认。
6.质管部的安全处理措施如下:
1)工艺文件的安全管理。
部门档案专员保管本部门的工艺文件。此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况,若要进行生产过程检验,在部门负责人授权下,部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员,质量工程师或其他管理人员根据工艺文件的标准,对生产现场各道工序施工工艺、方法、操作规程进行检查监督,提出生产过程中的不合项,对不合格项进行跟踪验证。生产过程检验完毕后,质量工程师将工艺文件副本返还给部门档案专员,最后由档案专员进行文件归档。工艺文件仅允许部门内部管理人员传阅,不得借阅给其他任何部门及工人。若部门管理人员借阅工艺文件后,造成的文件丢失,则借阅者承担相关责任。
2)验收图纸的安全管理。
验收图纸用于检验生产完工后的产品是否合格,由部门档案专员保管。质量工程师借阅验收图纸后,以此为标准对完工产品进行鉴定,若合格,则调入成品库;若不合格,则对不合格项进行跟踪验证,直到产品合格为止。验收图纸借阅分为以下几种情况:①内部管理人员借阅。验收图纸只允许本部门内管理人员的互相传阅,借阅人在档案专员处登记,确定归还时间后,档案专员对其分发验收图纸副本,借阅完后,及时归还给档案专员,禁止传阅给部门非管理人员。②技术研发部人员借阅。只有技术研发部人员才能借阅本部门验收图纸。在借阅时,要遵守借阅流程,在技术研发部经理签字后,上报总经理审批,总经理审核通过后,质管部方可将验收图纸副本借阅给相关人员,并要求在8个小时内归还图纸。图纸借阅过程中,严禁将图纸传阅给其他人员,或私自将图纸进行复印或扫描,一经发现,必将严肃处理。③验收图纸不得传阅给其他部门人员,也不得传阅给本部门非管理人员。一经发现,追究档案专员相关责任。
7.财务部的安全处理措施如下:
1)财务部为公司重要数据信息部门,除本部门在内工作外,其他无关人员不得入内。
2)财务人员去银行取现金、支票等,应两人以上同行,禁止途中办理任何与此项工作无关事宜。
3)妥善存放支票,支票与有效密码及专用印鉴要分别存放。
4)出纳人员不得私配保险柜钥匙,不得将保险柜密码外传,过节或放假时,要与综合部配合,对保险柜加贴封条。 若因密码钥匙保管不善,导致现金及其他财产损失,将由本人承担一切损失。
5)会计人员应妥善保管好各类凭证及发票,不得在凭证发票随意摆放在办公桌的情况下离开办公区域。凭证发票录入核对完毕,应立即整理存放到财务凭证专柜中,同时确保上锁,并妥善保管好钥匙,若因以上原因造成财务数据丢失,将由本人承担一切后果。
6)财务人员应保管好电子银行或其他一切与财务有关的加密锁,在使用时,使用人不得离开电脑,确保所做的一切操作均出自本人之手。若使用完毕,一定要将加密锁存放于财务专柜中妥善保管。
7)财务部门因为数据的重要性,因此对安全的要求很高。在使用电脑时,要求财务部门人员一定要每天升级杀毒软件,若电脑出现异常,应联系信管部查明原因,是否能安全操作。
8)财务部是企业工资的发放部门,掌管着企业全体人员的工资详情。由于工资向来是公司的敏感信息,因此,财务的工作要求财务所有人员应严格遵守职业素养,严禁财务部人员以任何形式向任何人透露工资或奖金信息。
8.综合部的安全处理措施如下:
1)技术类文件、图纸和图书的安全管理。
综合部指定收件人收到外来书面图纸后整理并编制归档,确认完整无误后,交由档案管理员。图纸蓝图邮寄到北京,将复印件登记,再经总经理批示后发放至相应部门。综合部指定收件人接收到外来电子版图纸,打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门,若图纸出现变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
2)涉外合同的安全管理。
综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后,由综合部将其分类归档到指定的档案盒中,并将档案盒编号题名存放于指定的档案柜中,将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料,需要向综合部提出申请,经综合部负责人审批通过后,档案管理员方可开启档案盒调出文件发放给相关部门;原则上不允许各部门向综合部借阅其他部门的合同资料,若确因工作原因需要借阅,则应提交总经理审批,综合部在看到总经理的签字后方可指派档案管理员借出资料,并规定借阅时间不得超过8个小时,由借阅人签字,在借阅过程中造成的合同资料丢失,将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒;严禁档案管理员将档案柜钥匙借给任何人,若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。
3)工资编制的安全管理。
综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的,综合部在核算员工工资的时候,应该谨慎处理,如在电子表的发送之前,可以设置相应的密码,防止不小心发送到其他人电脑上,在打印工资表的时候,应单独设置非监控直接打印,并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算,不得擅自更改原始依据。工资核算完成后,上报公司领导审批。
严禁工资核算人向他人透露公司工资及奖金信息,严禁在任何场合与他人讨论工资话题,一经发现,将追究其相关责任。
9.信管部的安全处理措施如下:
1)计算机网络设备安全管理。
公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定:
a) 计算机是指为公司内部员工使用的pc机(包括cpu、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供,如非特殊需要不配备光驱和软驱。)
b)网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
c)计算机其他配件是指公司备用的光驱、软驱等。
d) 附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
e) 包括计算机及耗材的采购计划、故障维修等项工作。
在员工电脑各组件老化或损坏,严重影响工作效率时,信管部可申请以旧换新或报废处理。若需要报废,则填写报废申请单经部门负责人确认后上报总经理审批,审批通过后才能作报废处理,信管部不得擅自处理破旧的电脑或电子设备。
2)公司所有输入输出设备统一归信息管理部管理。
输入输出设备包括扫描仪,传真机,打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映,以便信息管理部及时查找原因,解决故障。
3)公司视频会议设备和视频监控设备统一由信息管理部管理。
a)视频会议设备包括视频会议服务器、视频会议终端、sony摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
b)视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。
4)信息化系统erp、oa帐户安全管理
系统管理帐号的设置与管理
a)erp、oa系统管理帐号必须经过总经理授权取得。
b)erp系统管理员负责erp系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护;oa系统管理员负责oa系统自定义表单的生成、流程的建设和优化。
c)erp、oa系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权。
d)erp、oa操作用户需要增加或修改权限需要填写erp/oa用户权限申请表,并经过本部门负责人签字后交由总经理审核,通过后,再由信息管理部作权限相关处理。
e)系统管理员不得使用他人帐号进行业务操作。
f)系统管理员调离岗位或离职,信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。
一般操作帐号的设置与管理
a)一般操作帐号由系统管理员根据各类应用系统操作要求生成,应按每用户一帐号对应设置。
b)操作员调离岗位,系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。
5)密码安全管理
a)终端计算机密码安全管理:系统管理员及时登记公司所有用户电脑密码,制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时,系统管理员及时登记相应的新密码。
b)应用服务器密码安全管理:包括erp服务器、oa服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码。制成《服务器密码登记》文件,并提交给部门负责人。
c)防火墙/路由器密码安全管理: 防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人。
d)erp/oa系统密码安全管理: erp/oa系统密码分为管理员密码和操作用户密码。系统管理员登录密码由erp/oa管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。操作用户密码由erp/oa管理员在创建帐户时初始生成,信息管理部发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由erp/oa管理员帮其初始化密码。
信管部应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于信管部内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高。
6)数据备份安全管理
定期备份erp服务器、oa服务器、邮箱服务器。具体备份方法如下:
a)erp服务器备份:每天早上自动备份e3帐套和5000帐套。
b)oa服务器备份:每天早上9:00备份oa数据库,并于每周五早上9:00备份oa系统文件夹。
c)邮箱服务器备份:每周五早上9:00在邮箱控制台执行备份操作,并于每月28日备份邮箱目录文件夹。备份完成后,将备份文件转存到其他电脑上或移动硬盘上做异地归档,以防本地硬盘发生故障时能随时做灾难恢复。
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开企业网络应用高峰,避免对各部门工作造成影响。数据的清理包括:
a)erp系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。
b)oa系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。
c)邮箱系统中垃圾邮件的清理、人员变动记录的清理。
d)用户电脑中系统垃圾文件的清理、ie缓存的清理。
7)信息资料安全管理
a)加密系统管理;目前我公司使用的是天盾文档加密系统,对常用办公软件office、pdf、autocad文件加密,公司内部的此类文件被带出公司后,显示在其他的电脑上均为乱码,保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。然而,我公司因为之前的需求,加密软件使用的是单机版与网络版混合使用的,网络版可以根据策略的下发,实现文件在企业网的加密、反截图、禁usb等功能,但脱离局域网后,电脑无法打开文件,若有出差人员在外地使用电脑,就无法使用网络版;而单机版就解决了出差人员电脑加密的问题,可以正常打开公司的文件,但这里存在一个安全风险,若出差人员的电脑被盗,将会造成企业信息资料的外泄。针对以上情况,我们需要寻找一种更加适合的加密软件,确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能:能够通过控制台在公司网内加密指定类型的文件,同时可以设置不同的加密权限对应于不同的用户组;能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等;能够加密原加密软件不支持的文件类型;能够荧荧于所有的windows平台上;能够禁用usb存储设备,不禁用usb外设;能禁止用户屏幕截图;能审计打印等。
b)大蓝监控软件管理:监控软件在很大程度上起到威慑作用,监控软件能够记录所有用户在个人电脑上的一举一动,通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。
c)打印控制软件管理:打印控制软件应用后,员工的打印需要在管理员审核通过后方能打印,若管理员审核到某员工的打印内容涉及本公司信息安全,拒绝员工的打印。在审核通过、打印完成后,管理员可随时调出以前的打印记录,保证了及时信息安全责任追究。
d)设备送外维修,须经设备管理部门负责人批准。送修前,需将设备存储介质内应用软件和数据备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
e)信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
f)信息管理部负责计算机病毒的防治工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
g)用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
8)机房安全管理
①非信息管理部人员不得进入机房,信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时,完成相关操作后,一定要关好机房大门,并保管好机房钥匙。
②保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
③确保机房防水,定期检查机房天花板、四壁有无漏水现象,保证机房内的服务器和其他电器设备的安全。
a)发生机房漏水时,信管部应立即通知综合部联系大厦物业,同时,信管部第一时间保护好服务器及其他设备,避免设备浸水后损坏。
b)若为墙体或窗户渗漏水,应急领导小组应立即采取有效措施确保机房安全,同时安排通知综合部协助及时清除积水,维修墙体或窗户,消除渗漏水隐患。
④确保机房防火,定期检查机房内灭火器状态完好无损。
a)完善机房环境,确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房。
b)一旦发生火灾,迅速切断机房电源,避免灾情的扩散,并迅速拨打物业管理和119火警电话。
c)等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。
d)配合消防部门调查事故原因,对造成的损失和起火原因做好记录,以便进行灾后总结。
⑤确保机房防雷,遇到暴风雨恶劣天气,应作防范性处理。
a)遇雷暴天气,信管部在下班后应及时关闭所有服务器,切断电源,暂停内部计算机网络工作。
b)雷暴天气结束后,信管部应及时开通服务器,恢复内部计算机网络工作,对设备和数据进行检查。出现故障的,事发部门应将故障情况及时报告应急领导小组。
c)因雷击造成损失的,信管部应会同综合部进行核实、报损,并在调查工作结束后一日内书面报告领导。
应急领导小组每日查看、清点设备并锁好机房大门。
⑥确保在停电后,业务应用的安全管理。
信管部在接到停电通知时,应设置便签提醒自己具体要停电的时间,若停电时间在上班时间,则提前发出通知给北京和常州所有人员,避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间,则在下班时通知所有人关闭电源,同时信管部及时关闭服务器,以免停电损坏主机电源。
停电结束后,打开各应用服务器,并谨记要打开视频监控服务器,恢复闭路监控系统正常工作。
⑦确保机房防盗,针对此环节,作相关防范处理。
a)信息管理部每日查看、清点设备并锁好机房大门。
b)信息管理部每日检查录像监控服务器状态,确保监控画面正常,并检查每日录像正常性、完整性。
c)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息管理部,同时保护好现场。
d)信管部接报后,即刻调出监控录像,搜查可疑行迹,若无法解决,可联系公安部门处理。
提高行业信息化管理水平,信息安全是关键。而信息安全构建必须管理、技术两者双管齐下:
1)加强管理,综合防范。 安全体系是一个整体的、系统的工程,不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统。
2)完善制度,强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任。确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。
第5篇 企业信息系统管理制度
信息系统管理制度
制度编号:
第一章总则
第一条“信息化”是提高企业管理水平的重要途径,由计算机、网络、软件组成的信息系统在公司的生产、经营管理中应用得越来越普遍。根据《中华人民共和国计算机信息系统安全保护条例》、《会计电算化管理办法》、《会计基础工作规范》、《内部会计控制规范》,保证信息系统的安全性、稳定性,为各部门的日常工作提供高效的信息化平台,需要对信息系统的使用、维护、管理进行规范,特制定本制度。
第二条范围。本制度所指的的信息系统包括:oa办公自动化系统、公司网站、erp
系统(金蝶k3系统、用友nc系统、明源erp系统等)、邮件系统、安全防御系统等以软件应
用为主的系统。
第二章组织机构和职能
第三条信息系统管理的职能部门:集团信息中心、公司业务部门
第四条集团信息中心的主要职能及管理人员岗位职责:
集团信息中心制定专职的系统管理员,保证信息系统数据库服务器、应用服务器、交换机和各终端计算机正常运行,公司系统管理人员建立日常运行维护管理流程并按管理流程对信息系统软件进行日常维护管理;保证信息系统软件的正常运行;清理无用用户数据和管理用户权。
第五条公司信息系统对口业务部门的主要职能:
1、对口业务部门设专(兼)职的信息管理专员1人,保证信息系统软件的正常运行,负责信息系统基础数据的维护,系统日常数据的备份;
2、对口业务部门指派专(兼)人员,负责监督检查公司业务数据录入的正确性、及时性、完整性,系统生成的报表,以及静态管理报表和动态管理报表取数的准确性;
第三章信息系统使用
第六条软件系统操作人员必须严格按集团信息管理中心划分的权限操作,如需变更权限,请向信息管理中心申请。
第七条凡具有软件操作权限的人员,必须严守自己的用户名和密码,不能向他人(包
括公司内部和公司外部的人员)透露,如因此造成损失,由该用户自行负责。
第八条要求软件用户经常修改用户密码,以保证密码不泄漏。要求密码在六位以上。
第九条业务部门必须严格按照信息系统有关操作管理的要求,规范操作流程,严密控
制访问人员,防止无关用户进入系统,确保应用系统的安全、稳定、持续运行。
第十条操作人员必须根据各业务系统要求及时、准确、完整的录入信息数据。
第十一条未经授权,不得打印或拷贝公司信息数据等内部资料给非授权人员。
第四章系统管理
第十二条新增用户或者用户操作权限变更,都需要按以下流程审批:
1.填写信息系统用户权限申请表(附件1);
2.主管部门负责人审核;
3.权限涉及部门负责人意见;
4.信息管理中心负责人审批;
5.审批后交信息管理中心办理。
第十三条系统备份。对于数据库集中保存在信息管理中心服务器的应用系统,信息管理中心负责数据库的备份,具体要求如下:
1.建立自动备份策略,每天晚上进行一次本机备份;
2.每周六,把所有数据库的本机备份拷贝到另一台独立的电脑上保存,备份电脑上至少保存最近五天的备份文件;
3、每月,把所有备份的数据存至集团指定的备份服务器保存,备份服务器至少保存最近十
天的备份文件;
4.每季,把所有备份的数据进行刻录光盘保存;
5.年初,将所有信息系统的数据库刻录光盘保存。
第十四条业务数据修改。如果因为管理需要调整业务,或者因为业务操作错误、系统错误等原因需要直接修改数据库中的数据,根据修改业务数据的影响程度分为一般业务数据修改、重大业务数据修改两种情况处理,分别参见第十五条、第十六条。
第十五条一般业务数据修改,按以下流程执行:
1.填写业务数据修改申请表(附件2)
2.申请部门负责人审核;
3.信息管理中心审核;
4.信息管理中心分管领导审批;
5.审批通过后,信息管理中心进行修改,做好审批表的存档。
第十六条重大业务数据修改指符合以下情形之一的情况:
1.对公司的资产、利润有影响;
2.对财务报表有影响;
3.违反公司相关制度、流程;
4.批量调整基础数据、业务数据。
按以下流程执行:
1.填写业务数据修改申请表(附件3);
2.申请部门负责人审核;
3.相关部门会签,审计监察中心、财务控制中心必须会签,其他相关部门根据业务影响指定,必要时由人资行政中心召集相关部门集体讨论;
4.信息管理中心审核;
5.信息管理中心分管领导审核;
6.总经理审批;
7.审批通过后,信息管理中心进行修改,做好审批表的存档。
注:涉及财务数据变动业务必须报集团财务控制中心总监审批确认
第五章应用软件系统开发
第十七条若部门有软件开发需求或者系统功能调整需求,由需求部门提出书面申请,按以下流程进行审批:
1.需求部门提出书面申请,并提供相关业务需求、样本数据、计算公式、报表等资料;
2.信息管理中心对业务需求进行整理、分析,对需求部门进行初步调研,提出软件实现方案,提出对相关业务的接口与影响,并建议购买或自行开发;
3.信息管理中心组织管理评审,主要考虑对业务流程的影响、是否符合相关管理制度、是否需要调整部门考核指标等因素,如果该软件需求涉及多个部门的业务,组织其他相关部门进行会签后签署评审意见;
4.信息管理中心分管领导审批;
5.如果是外购软件或实施,还应由总经理审批。
第十八条购买软件或实施服务:
1.信息管理中心起草招标邀请函,至少邀请三家以上的单位参与投标;
2.信息管理中心组织评标,信息管理中心分管领导主持,董事办、人资行政中心、审计监察中心、财务控制中心、运营管理中心采购管理部参加;
3.法律事务部拟定合同,信息管理中心组织合同评审,签订合同;
4.办理款项、收货;
5.组织安装、调试、培训、数据录入等实施工作;
6.进行项目验收。
第十九条软件开发
1.信息管理中心制定详细的开发计划,报分管领导审批;
2.信息管理中心按计划组织软件的开发,需求部门必须确定至少一名熟悉业务的人员配合开发人员进行需求确认、开发、测试;
3.信息管理中心对操作人员进行培训;
4.信息管理中心组织操作人员进行系统初始化,录入必要的基础数据;
5.新系统必须经过一定时间的试运行阶段,以确保软件的适应性、稳定性、准确性。在试运行阶段,新系统与旧系统(或手工处理)并行运行,互相对比操作结果,分析新系统的正确性;
6.信息管理中心组织软件的验收;
7.信息管理中心对软件的源代码、文档进行归档整理并保存,以作为二次开发的重要参考信息;
8.运行3个月后对开发或新购软件应用情况进行总结。
第五章系统操作培训
第二十条实施或开发新的信息系统或者功能模块,或者对系统功能进行较大调整,信息管理中心组织相关操作人员进行集中操作培训。
第二十一条因岗位调整、新进员工等原因需要进行系统操作培训,该部门负责人应首先安排原岗位人员对新到岗人员进行培训,作为工作交接的一部分。
第二十二条如果个别操作人员对系统操作不熟悉,需要进行单独培训,通知信息中心,信息管理中心在两天内进行一对一培训。
第六章附则
第二十三条本制度由信息管理中心负责起草并归口管理,人资行政中心监督执
行。
第二十四条本制度从下发之日起开始执行,原相关制度废止。
第二十五条本制度的附件有:
附件1:信息系统用户申请单
附件2:一般业务数据修改申请表
附件3:重大业务数据修改申请表
二八年五月二十一日
附件1:
信息系统用户权限申请表
附件2:
一般业务数据修改申请表
附件3:
重大业务数据修改申请表
第6篇 某企业信息安全管理制度
作为一家公司或企业,自然有许多信息方面的工作需要管理,换言之,信息安全管理工作非同小可。企业如何做好这方面的工作大家如对此持有疑惑,不妨参考以下这篇企业信息安全管理制度范本。
一、计算机安全管理制度
1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3. 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一). 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1. 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.it部门人员进入机房必须经领导许可,其他人员进入机房必须经it部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非it部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经it部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(ups)除了电池自动检测外,每年必须充放电一次到两次。
第7篇 v企业信息管理制度
小编为大家整理了一篇关于企业信息管理制度的范文,大家一起来看看吧。
第一节 总则
第一条 为加强信息管理,加快集团公司信息化建设步伐,提高信息资源的运作成效,结合集团公司具体情况,制定本制度。
第二条 本管理制度中关于信息的定义:
1、行政信息:集团公司系统内部目的为行政传达的一切文字资料、电子邮件、文件、传真。具体信息管理表现为上传下达、平级传送的行文管理、资料管理、档案管理。归属于日常行政管理。
2、市场信息:集团公司业务销售的客户文件、来往传真、电话、客户档案;集团公司业务应用的电话记录、报价、合同、方案设计、投标书等原始资料、电子资料、文件、报告等。具体信息管理表现为客户沟通、文字记录、资料收集分析、业务文件编写等。归属于业务经营管理。
第三条 信息管理工作必须在加强宏观控制和微观执行的基础上,严格执行保密纪律,以提高企业效益和管理效率,服务于企业总体的经营管理为宗旨。
第四条 信息管理工作要贯彻“提高效率就是增加企业效益”的方针,细致到位,准确快速,在企业经营管理中降低信息传达的失误失真延迟,有力辅助行政管理和经营决策的执行。
第五条 集团公司及全资下属集团公司(含51%股权的全资、内联企业)、机构的信息工作,都必须执行本制度。其他中外合资合作及内联企业参照本制度执行。
第二节 信息管理机构与相关人员
第六条 集团公司设立集团信息中心,集团公司下属独立核算的公司、企业设置独立的信息机构。非独立核算的单位配备专职或兼职信息人员。
第七条 各企业行政部依据《行政管理条例》负责相关行政信息的日常管理;实业公司销售中心办公室独立负责市场信息管理。
下属独立核算的公司、企业参照集团公司设立信息经理或专门信息管理的人员。
信息管理根据业务工作需要,配备必要的电脑技术人员、文员。
第八条 集团信息中心负责集团公司整个系统的信息管理工作,负责所有信息的汇总和档案管理。对全系统的信息管理工作负责。
第九条 依据《行政管理条例》,各企业行政负责人主要负责行政信息的管理。
第十条 集团信息中心设企业信息专员,主要负责市场信息的系统化、专业化管理。企业信息专员分为行政信息和市场信息两个岗位。
企业信息专员主要职责如下:
1、执行集团公司总经理办公会议的决议,参与编制总经理办公室主持的信息管理制度。(行政信息专员)
2、在销售中心总监指挥下,负责市场经营中各类信息的采集、处理、传达,执行中存在的问题提出改进措施。(市场信息专员)
3、与行政部联合处理日常工作中关联到业务机构的行政工作。(行政信息专员)
4、辅助指导集团公司其他各部门业务的信息统筹处理。(行政信息专员、市场信息专员)
5、对集团总经理负责并报告工作。
6、集团信息中心日常负责监察集团全系统的业务信息管理和活动;负责搞好全系统业务人员关于市场经营信息 的培训工作,不断提高业务人员的业务素质和业务水平;
第十一条 各级领导必须切实保障信息中心人员依照本办法行使职权和履行职责。
第十二条 信息管理人员在工作中,必须坚持原则,照章办事。对于违反保密制度和其他行政制度的事项,要及时向上级领导报告,接受指示后执行具体处理。
第十三条 集团公司支持信息管理人员坚持原则,按信息制度办事。严禁任何人对敢于坚持原则的信息管理人员进行打击报复。集团公司对敢于坚持原则的信息管理人员予以表扬或奖励。
第十四条 信息管理人员力求稳定,不随便调动。信息管理人员调动工作或因故离职,必须与接替人员办理交接手续,没有办清交接手续的,不得离职,亦不得中断有关工作。被撤销、合并单位的信息管理人员,必须会同有关人员编制信息文件资料移交清单和造册,办理交接手续。
第三节 行政信息管理
第十五条 按照行政信息的定义,行政信息主要产生、传递、应用于集团公司行政活动中。
第十六条 行政信息管理主要依据集团公司《行政管理纲要》中下列规定进行:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、信息管理中心管理规定;
4、集团公司印章、介绍信管理规定;
5、集团公司值班管理制度;
6、保密制度。
第十七条 考虑集团公司业务竞争的特殊性质,行政信息管理不再涉及集团公司营销类(客户)信息、技术类信息和财务类信息。
第四节 市场信息管理
第十八条 依照市场信息的定义,市场信息主要产生、传达、应用在市场业务经营管理中。
第十九条 市场信息来源分类:业务(客户)信息、非业务市场信息。
1、业务(客户)信息:客户购买公司产品的电话、传真、函件、电子邮件;公司、客户之间业务沟通电话、传真、文件、函件、电子邮件;客户公司公开的资料;市场人员收集的客户秘密资料;销售中心情报人员传呈的报告、资料;针对客户的分析报告等。
2、非业务市场信息:网络、报刊、杂志和各种信息渠道收集的行业性文章、资料;竞争对手资料、文件、报告;公开的技术性资料;外围媒体、机构传送到集团公司的电子邮件、函件、资料;公司内部业务分析文件、报告;其他与市场业务经营和管理有关的资料。
第二十条 信息中心市场信息专员直接在销售中心总监的指挥下,主要负责以下业务信息工作:
1、负责集团网站的建设、维护、更新和对外信息发布,并开展网络商务系列工作。
2、负责业务(客户)信息的接受、整理、初步分析和传呈销售中心总监,建立、保管客户档案并不断维护;
3、在销售中心总监的指挥下,负责与客户的电话、电子邮件的信息交流,负责与客户文件资料函件的撰写、整理、内部报批、外部发送;
4、负责按照《区域市场管理办法》的规定,指导、协助各市场机构对业务信息的收集,督促各市场机构将业务信息及时、准确呈报到集团公司,整理、分析各市场机构业务信息形成客户分类档案,并及时将重要的信息报告给销售中心总监;
5、负责定期撰写公司业务市场分析报告,协助公司销售决策;
6、监察、收集、整理竞争对手情报资料;收集、整理、分析行业性文章、资料;
7、负责直接业务情报、业务信息的整理。
8、上级安排的其他工作。
第二十一条 行政信息专员在各级行政负责人的指挥下,主要负责以下非业务信息工作:
1、负责日常打印、复印等文字文件电脑处理工作和负责电脑、传真机、复印机等设备的使用、管理和维护;
2、负责公司非市场事务的洽谈和管理、日常信息交流;
3、接收、整理、呈报、发送非直接业务单位(如媒体机构)的信息文件资料;
4、集团公司内部一般性业务管理文件的拟稿;
5、各种与行政管理有关的信息资料工作;
6、上级交办的其他工作。
第二十二条 信息人员必须严格遵守集团公司制度中下列具体规定:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、信息中心管理规定;
4、安全保密制度。
第五节 其它
第二十三条 信息管理人员必须认识到,没有脱离具体行政活动、业务活动而独立的信息工作,所以信息管理的最终目的,检验信息管理工作的成效标准,是业务工作、行政工作的效果和执行效率。
第二十四条 本信息管理办法由集团公司董事会颁布、解释、修改,集团信息中心和各级企业行政管理部门负责执行。