安全保密管理规定文档格式.docx
《安全保密管理规定文档格式.docx》由会员分享,可在线阅读,更多相关《安全保密管理规定文档格式.docx(15页珍藏版)》请在冰点文库上搜索。
4.1目的8
4.2开发信息的管理8
4.3开发系统的管理9
4.4开发区域的管理9
4.5开发人员的管理10
5系统及网络安全10
5.1机房10
5.2网络10
5.3病毒11
5.4备份11
6培训11
概要
目的
本规定基于以下目的而制订:
Ø
正确使用、处理信息资产,确保信息安全。
提高员工的信息安全意识。
建立确保信息安全的体制。
明确各岗位在信息安全上的职责。
确立信息安全受到侵害时的紧急对策。
明确产品开发中的信息安全相关的职责。
范围
本规定适用于全公司范围。
所有协作人员(如派遣社员)也要遵守本规定。
对于项目开发,如客户对安全方面有其它要求,客户的需求优先。
本规定不依存于任何特定的人、组织、业务和系统。
区域管理
区域管理主要指对员工出入公司及特定区域的记录和管理。
具体措施如下:
公司所有人配有IC卡,对出入公司进行管理。
节假日出入公司在使用IC卡的同时还须输入密码。
工作时间外出入公司所在的大厦须遵守物业管理规定进行登记。
根据项目需要或客户要求,可对特定的项目组或开发部门进行区域隔离,并通过IC卡进行出入管理。
文档、资料
保密内容
公司的秘密关系到公司的权利与利益,是依照特定的程序确定,在一定的时间内只限于一定范围内的人员知悉的事项,具体内容涵盖以下方面:
公司的科研成果、技术信息和经营信息,例如:
软件产品的开发技术、公司的客户名单、项目价格、货源情报、营销计划等;
涉及公司客户的技术信息、经营信息和其他信息,例如:
软件代码、产品外形、产品规格、产品性能、产品价格等;
公司参与项目所涉及的各种技术和资料,例如:
项目计划、业务说明、基本设计书、详细设计书、测试步骤书、手顺、报告等;
公司内部提供的培训资料、教材等;
与公司项目管理有关的资料、数据等,例如:
开发标准、质量标准、项目文档、软件过程数据库、评估过程、评估结果等;
公司重大决策中的秘密事项;
公司尚未付诸实施的经营战略、经营方向、经营规划、经营项目及经营决策;
公司内部掌握的合同、协议、意向书及可行性报告、主要会议记录;
公司的各类财务报表、统计报表;
公司所掌握的尚未进入市场或尚未公开的各类信息;
公司人员档案、工资性、劳务型收入及资料;
公司所有未声明可以公开的资料;
其他公司确定应当保密的事项。
一般性决定、决议、通告、行政管理资料等内部文件不属于保密范围。
保密级别
级别
保密级别分为以下三个级别:
社内秘、社外秘、集团外保密。
具体定义如下:
定义
社内秘
在公司内部也严格限制在颁发范围内使用的文件。
一般不能发行参考版。
在公司内部可以公开阅读和使用。
不经文件审批人的许可,不得提供给公司外部人员。
在文件审批人许可的情况下,可以发行参考版。
集团外保密
仅限于在集团公司内使用。
标示
用如下的方法对各种文档、资料进行标示。
印刷品
原则上,在文件封面的左上角进行标示;
如不能在左上角标示的(例如左上角有公司的标志等)也可在右上角标示。
悦丞
在标示保密级别的同时还需明确表示出文件的颁发范围。
如:
社外秘
社内秘
仅限于总经理限于公司员工(不包括派遣社员)
合同的原件等不能直接进行标示的,另外作成标明保密级别的表纸,并和原件装订在一起。
原件
标示方法手写、印章、印刷均可。
需注意的是手写、印章时要使用红色、印刷时使用大号字体以起到警示作用。
FD、CD-ROM等
在FD、CD-ROM的标签上进行标示。
电子文档
与印刷品一样,电子文当也是在文件封面的左上角进行标示。
其它
对于上记以外的介质,使用尽可能容易确认的方法进行标示或说明。
外语标识
中文
保密
日语
秘密
G外秘
英语
Confidential
Restricted
GroupRestricted
流通
公司员工及协作人员在传播文件、资料的过程中必须在规定的保密范围内进行。
文件、资料的流通时,不论属于何种保密级别都需遵守以下原则;
●通过邮寄或快送时,不得在信封上标示出文件的保密级别。
●使用传真时,事后确认是否安全到达。
●通过网络传送时,事先进行病毒检查。
对于[社内秘]的文件:
●原则上应亲自或由专人传递文件。
●如有特殊原因需通过邮寄、传真等方式进行时,应通过电话确认接收情况。
●如通过网络传送,需对文件加密;
不能进行加密的情况下,应利用软件进行密码保护。
对于[社内秘]的文件,原则上禁止复制。
如果因业务上的需要必须复制时,应事先得到许可并记录文件的传播途径,进行管理。
使用
公司员工及协作人员在使用文件、资料时应在规定的保密范围内使用。
在使用过程中应遵循以下要求:
●应自觉维护公司的利益,保守公司秘密。
●不得在公共场所谈论公司的保密事项。
●不得利用所掌握的公司秘密牟取私利。
●不得将工作中获取或研制开发中的公司秘密据为已有,有关资料、图纸、样品一律归档,不得私自留存。
●员工需要调离公司,应提前把所有的商业秘密资料进行移交,同时承担不向外泄露商业秘密的义务。
●在对外交往与合作中如需要提供公司的保密事项,应事先经过部门经理批准。
●发现公司秘密已经泄露或可能泄露时,应当立即采取补救措施并及时报告部门经理。
如要对文件进行修改,须遵循以下原则:
●文件的修改只能由文件的编写者或其指定的人员进行。
●文件修改后必须填写变更履历,并告知规定范围内的人员。
保管
文件、资料的保管时,不论属于何种保密级别都需遵守以下原则;
●如有指定保管期限,按照指定的期限进行保管。
●要求在能够防止文件劣化、损伤和不易丢失的场所进行保管。
●下班或外出时,不要将文件随意放置,必要时存放在保管库或抽屉中并上锁。
●存放在服务器上的电子文档,由文件管理员通过系统管理员设定文件的访问权限。
●必须存放在上锁的保管库或相应场所,只有保密范围内的人员可以存取。
●如是电子文档,必须实行密码保护,必要时对其进行加密处理。
对于[社外秘]或[集团公司外秘]的文件:
●如果保存在公司内部网络系统上,必须对集团公司或集团公司外的协作人员的访问权限进行限制。
●
废弃
对于已经过了保管期限或者没有必要再进行保存和管理的文件,需在遵循以下原则的前提下进行废弃。
对于[社内秘]的文件,进行粉碎等使其不能被再次识别的方法进行处理。
对于[社外秘]或[集团外保密]的文件,根据实际情况可进行再利用,如利用文件的背面复印、印刷等。
在处理电子文档时,应保证文档被删除后不能被恢复。
对于软盘等介质在删除文件后应进行格式化。
废弃软盘等介质时,应进行格式化或破坏介质本身以保证不能被再利用。
项目开发中的安全管理
在项目开发的过程中,对预想的安全问题进行防范,保护项目的信息资产,并由此得到客户的信赖。
如果客户有特殊要求,项目组成员需签订相应的保密协议。
开发信息的管理
与客户相关的信息
对于与客户相关的信息,项目组有保守机密的义务。
●只有在业务上相关的特定项目组成员能够知悉客户相关的信息。
●不得随意复制从客户那里获得的信息。
成果物的管理
●原则上只有项目组成员能够访问相关信息。
●对于机密性较高的成果物,只有业务上必需的特定成员能够访问。
●为防止项目组成员对程序代码等重要的成果物的误操作,需按软件配置管理规程进行管理。
●对于重要的成果物,定期进行备份,并对备份的介质上锁保管。
财务相关信息
●只有业务上必需的特定成员能够知悉相关信息。
测试数据的管理
●当使用现地测试数据进行测试的时候,应获得项目经理或相关责任人的确认。
●测试结束后,将由客户提供并明确保密的测试数据彻底删除,防止再利用。
●将管理的对象存放在指定的地方进行保管,防止遗失,必要时上锁管理。
●当相关信息存放在共享服务器上时,根据保密级别及规定的范围设置相应的权限。
●对于机密性更高的文件,单独存放,必要时实施密码保护。
●从工作场所提取成果物时,需得到项目负责人的认可。
信息共享
当其它的项目组有信息共享的需求时,充分考虑版权等问题并根据具体情况,对相关内容进行删减后,进行共享。
开发系统的管理
管理对象
开发系统的管理对象主要指包括在开发环境中的各种软硬件设备。
基本原则
●明确服务器、网络等的使用者及访问权限。
●设置密码,制订非法访问的对策
●制订计算机病毒防范策略
开发用网络的构建
在开发用网络的构建时,在逻辑上独立于其它网络,由项目组内部进行管理。
●必要时使用防火墙进行保护。
●与其它运行中的系统在物理上或逻辑上进行分离。
开发用网络的管理
●对开发用网络的使用者,根据业务需要提供最低限度的访问权限。
●对用户进行管理,定期对用户的权限进行更新。
●根据保密级别的规定或在必要时取得访问的记录,并定期检查。
●当有人员流动时对访问者及其权限进行更新。
●定期检查对开发网络的使用状况(根据防火墙的日志文件等)、安全管理状况。
●项目结束后,尽快拆除不再需要的网络系统。
●必要时,保持网络设备(防火墙、路由器)和服务器等的设定并单独存放。
密码
●选择他人难以推测的内容作为密码。
●妥善保管密码。
●严禁获取和使用他人的密码。
●不能严守密码的情况下,应时常更换密码。
●系统管理工作中使用的密码,应与个人用密码不同并时常更换。
●人员离席时应锁定计算机,防止他人非法访问。
病毒防范
●建立病毒防范机制
●尽快确定防病毒软件并在项目组内安装。
开发区域的管理
主要是对开发区域的出入进行管理。
明确项目组成员可出入的区域;
对服务器等进行物理上的保护,如放置于单独的房间。
开发人员的管理
对项目组内的所有成员(包括外派社员)进行管理。
对项目组成员进行保密义务的教育,并促使所有成员熟知相关规定。
对新加入的成员随时进行教育、培训。
外派社员对本公司的信息资产负有保密的义务,在项目开发过程中接触到的相关信息、资料只限于在本公司内使用。
根据需要可要求外派社员签订保密协议。
系统及网络安全
机房
机房内放置着维持公司内部网络运行及连接公网的服务器、交换机、路由器等重要设备,这些设备的安全运行直接影响到公司其它部门的日常工作,因此机房的安全管理十分重要。
机房由网络管理员专门负责管理,其他人员不得进入和操作各种设备。
网络管理员不在机房时必须将机房门上锁,并妥善保管机房钥匙,不得转借他人。
网络管理员要确保机房内各设备正常工作,出现问题或故障及时处理,并做记录,如不能及时处理应向部门经理报告。
服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和数据丢失。
机房内保持环境清洁,地面、窗台和窗户无灰尖,并保持室内空气干燥流通。
网络
公司内部网络的畅通以及内网与公网的正常连接直接影响到其他部门的日常工作,在网络安全管理是应遵循以下原则:
公司外部的访问由防火墙进行保护。
网络管理工作由网络管理员负责。
每日上班后十分钟内检查网络运行是否正常,如出现问题或故障应及时处理和排除,并做记录。
如出现小故障,应在两小时内排除,出现大的故障应向部门经理请示和向各网络用户说明。
公司内部网络服务器由网络管理员统一管理,一般操作人员不得在服务器上任意安装和删除软件,不得随意更改服务器和交换机上的各项系统设置,不得随意在服务器上增加或删除网络用户的帐号和电子邮件地址。
如确实要进行如上操作,可向网络管理员提出书面申请,经批准后由网络管理员执行。
门禁系统、网络设备和电话交换机的日常维护由网管负责。
如果出现故障,由网管直接联系供货商维修。
电话系统、门禁系统,网络管理员只负责具体安装、调试,规划由企划部完成。
对公司内部网和各应用系统的登录密码进行定期更换。
网络管理员服务器登录密码要一月一换,所用密码长度至少12位,要用不规则的英文字母和数字和其它难以猜测的符号组成。
相应密码应以文档格式保密存放。
病毒
公司配备两台分别装有中、日文操作系统的防病毒服务器,分别对装有日文和中文操作系统的计算机进行管理;
其他所有计算机安装防病毒软件客户端。
防病毒服务器每天自动上网更新,并对客户端其它服务器(如邮件服务器等)进行升级和扫描,每周对其它客户端进行升级和扫描,确保公司的所有计算机保持最新版本。
如果发生特殊情况,如突发性的病毒传播事件,网络管理员负责通知、指导员工进行防范和解决问题。
备份
一、公司文件备份方案
公司文件包含位于公司文件服务器上的企划管理部发布的公司文件和日常单据,品质管理部发布的NSSP标准及相关资料等,其版本管理分别由文件的发布部门负责。
根据版本变更情况,备份及灾难恢复方案如下:
类别
备份方法/介质
备份物保管部门
备份策略
责任人/备份执行人
阶段备份
文件复制/CDR
部门备份管理员
全备份
部门经理/网管组
灾难备份
公司外灾难备份处
二、部门文件备份方案
部门文件包括公司文件服务器上各部门用于存放本部门专用文件的文件夹和各部门服务器中用于本部门公用的软件、技术资料两部分。
这些文件的建立和管理由部门负责,版本变更的频率较低,相应的备份方案为:
部门经理/备份管理员
三、项目文件备份方案
项目文件的备份按公司软件开发标准中的软件配置管理规定进行。
培训
本规定应对公司所有员工包括派遣社员进行培训,提高员工对信息资产的认识,加强员工的安全保密意识。
升级会员 