企业信息化管理制度三篇.doc

资源描述

企业信息化管理制度三篇第1条企业第一章企业信息管理系统信息管理系统第一章总则第一条为使公司管理跟上时代发展，借助网络、计算机等现代环境和工具，专门制定信息管理系统，为企业信息发展创造和巩固软硬环境，提升工作和管理效率。第二条信息工程是一项长期的系统管理工程，必需做好系统测试、运行维护工作，系统将不断完善。第二章信息工作管理第三条工作应严格按照企业发展规划和年度信息发展计划进行。第四条协助宣扬部编制企业信息宣扬材料，针对不同层次，由浅入深。第五条搞好企业信息化发展的外部环境，与各级政府和组织保持优良关系，争取经济政策支持。第六条为做好公司应用系统、采购的选择工作，软件的选择应从公司的实际必需要出发，强调原软件制造商和实施者的技术实力和开发软件产品的适应性，追求软件的性价比。在实施过程中，与原软件制造商、实施者、技术支持单位保持密切联系；充分发挥各业务部门的主观能动性，树立服务理念。硬件采购追求性价比、有用性、安全性和可扩大性等。、以及验收检查等。第七条系统的软件、硬件维护、管理和布暑由信息中心组织实施，集中管理。维护工作要确保系统的正常运行，管理工作要确保帐物一致，分配工作要按必需分配，系统软件、硬件的效率要充分发挥。第八条办好企业网站，维护企业网站，确保网络安全。第九条严禁拆掉和改换网络计算机及相关设备的部件。第十条为了做好网络管理工作，公司内部网络必需保持优良的用户和密码关闭，合理分配IP地址，做好虚拟网络的划分和管理。第十一条各部门必需按照相关设备操作规程使用硬件设备。软件的使用应严格按照操作指南进行，系统文件和其他文件不得随意删除。第十二条计算机信息系统安全管理执行领导责任制，指定专人管理，制定相应的管理制度，严格检查涉及安全的计算机。第十三条网络及其他单位系统软件的安装和维护应经信息中心相关管理人员确认后进行。第十四条信息系统应当最大限度地减少信息孤岛。开发平台应依据网络系统的实际状况确定，避免孤立行动，将开发纳进正常的信息开发渠道。第十五条信息中心负责并协助企业计算机及相关设备的研究、选择、采购、实施、管理、维护、布暑等。第十六条信息中心负责并协助处理各部门在使用网络和计算机时碰到的问题。第十七条计算机及相关设备的采购应严格按照要求或计划进行。验收应严格按照合同设备配置清单进行。验收记录应认真储存，不合格产品应退回或改换。第十八条主管部门负责固定资产设备的入库或调拨。第三章内部计算机安全防范和管理第十九条配备计算机的各部门应当建立健全必要的安全防范和管理制度，认真落实安全防范措施，并负责计算机使用和管理人员的教育和管理。第二十条计算机管理人员和用户必需严格执行各项管理制度，完善计算机台帐。未通过批准，不得将计算机软件带出或借出。他们必需认真做好保密、防盗防病毒工作，不得利用计算机从事任何非法活动。第二十一条强化计算机室内消防、电源管理，不得移动明火，禁止存放易燃易爆物品，使用电源必需确保安全。第二十二条必需完善计算机部件的安全保护措施，人员离开后应关窗锁门。第二十三条未通过主管领导同意，外来人员不得进入机房或操作计算机。第二十四条各部门应重点检查安全管理制度是否健全，管理人员是否落实，防范措施是否完善，并马上整改隐患。第四章信息安全管理第二十五条依据公司安全管理措施，公司计算机管理部门应建立相应的安全体系，并采用以下计算机安全措施:1.同一安全级别的文件应存储在不同的计算机中；2.设置密码进入计算机； 3.设置密码或密码以输入计算机文件； 4.加密计算机文件数据、 5.出于安全必需要，定期或不定期更改不同的安全方法或密码。 6.只有在申请和批准之后，查询、才干打印有关计算机的机密信息。第五章信息网络安全管理第二十六条主管部门负责计算机安全管理。第二十七条计算机操作人员应当强化自身修养，遵守职业道德和工作纪律。第二十八条计算机操作人员应当熟悉应急措施的方法和程序。第二十九条各部门计算机操作人员应当定期进行病毒检测。第三十条发现病毒应马上采用措施清理病毒，新发现的病毒种类和重大安全事故应及时报告。第三十一条操作人员应遵守工作纪律，严格按照工作权限操作，严禁未通过许可使用计算机技术访问或修改他人信息。第三十二条严禁利用计算机技术制造和传播病毒，严禁攻击和非法访问服务器。第三十三条媒体在网络通信和系统中互相传输时，可以在传输前进行病毒检测。关于外国、未通过测试的软件和数据，不同意使用计算机和互联网。第三十四条计算机管理人员应当保持原则，遵守国家保密法和信息工作纪律，认真履行工商银行使命，确保不泄露秘密。第三十五条必需要长时间存储的数据应当进行双重备份，防止数据丢失。第六章补充规定第四十条本管理办法由信息中心负责解释。第四十一条本办法自公布之日起施行。近年来，随着计算机技术和信息技术的飞速发展以及社会必需求的不断进步，企业传统的手工生产模式和管理模式已经进入了一个新的信息时代。随着信息技术的发展，企业信息的脆弱性日益暴露。如何规范日益复杂的信息安全体系建设，如何展开信息风险评估，保护企业信息资产不受侵害，已成为当前行业实现信息化运营必需要解决的问题。一、企业及其安全隐患的前言信息。在我们公司，我们部门制定了一个信息安全的总体计划。从外到内、从广义到狭义、从整体到细节、从战术到战略，从整体到公司的地方部门，我们逐一分析并提出信息安全解决方案。与企业安全相关的信息包括以下几个方面:A、技术图纸。 B、商业信息。 C、财务信息。 D、服务器信息。 E、密码信息。关于上述安全相关信息，企业存在以下风险 1、来自企业外部的风险(1)病毒和特洛伊木马风险不同类型的病毒和特洛伊木马在互联网上到处传播。有些病毒会在感染企业用户的计算机后窜改计算机系统文件，导致系统文件被破坏，最终导致用户的计算机完全崩溃，严重影响员工的工作效率；当用户访问网络时，一些木马被意外植入计算机，这可能导致工作文件丢失或机密信息泄露。 (2)黑客风险计算机网络的迅速发展，如犯罪分子也导致一些犯罪分子利用网络窃取、进行欺骗等。他们使用他们所学的计算机编程语言来编译具有特定功能的特洛伊木马插件，通过层层封装技术，使用扫描工具来发现互联网上的计算机漏洞，绕过反病毒软件的追击和防火墙的阻碍，从漏洞进入计算机，然后埋伏在计算机中。依据不法分子设定的具体时间，打开远程终端等公共访问端口，就可以让不法分子操作这台计算机，而不会被用户发现，特别是如果技术部、项目部和财务部的计算机被黑进后门，留下类似木马的监控文件，可能会导致技术图纸被复制和泄露、金融网上银行的密码被盗。一些黑客喜爱纯粹为了显示自己能力的攻击。他们在网络上绑架了成千上万台计算机，通过各种方法把这些计算机变成他们的傀儡，同时在网络上公布大量数据包。过去几年盛行的洪水攻击和分布式拒绝服务攻击都是由此产生的。这将导致被攻击方的服务器资源耗尽，最终完全崩溃，同时整个网络将完全瘫痪。 2、企业内部风险(1)文件传递风险如果员工通过、MSN 发送公司重要文件，将导致企业信息资源泄露，甚至被竞争对手掌握，危及企业的生存和发展。 2文件打印风险如果员工将公司的技术数据或业务信息打印到纸上并带出公司，将导致公司信息的泄露。 3文件的风险如果员工出重要的纸质资料或技术图纸，并带走其他单位给公司的技术文件和重要资料，将会造成企业信息的泄露。 4存储设备的风险如果员工通过光盘或可移动硬盘等存储介质将文件复制出公司，公司的机密信息可能会被泄露。如果动机不良的员工擅自打开电脑机箱，将硬盘偷运出公司，将导致企业信息的泄露。 5互联网接入风险员工可能会访问计算机上的不良网站，并给企业网络带来大量病毒和顽固的插件，从而对计算机和企业网络造成损害。此外，在计算机中运行一些破坏性的程序会导致计算机系统崩溃。 6用户密码风险主要包括用户密码和管理员密码。如果用户的启动密码、业务系统登录密码被他人掌握，用户权限内的信息和业务数据可能被窃取；如果管理员的密码被盗，应用系统的正常运行可能会被犯罪分子破坏，甚至整个服务器的数据都可能被盗。 7机房设备的风险主要包括服务器、不间断电源、网络交换机、交换机、光收发器等。这些风险来自于防盗、防雷、防火、防水。如果发生这些自然灾害，机房设施可能会遭到破坏，导致业务中断。 8办公室/区域风险主要包括办公室区域敏感信息的安全。有些员工缺乏安全意识，在办公区随意堆放部门重要文件或谈论工作内容，在办公区却不避嫌。如果他们被别人无意中拿走或听到，他们可能会泄露部门的工作秘密，甚至公司秘密。为了确保企业信息的安全性和保密性，公司所有人员必需严格遵守企业信息安全管理的一般原则。基于安全的一般原则，各部门的具体规则是安全管理行为的标准，从而从各个层面消除信息安全隐患。 2 、一般规定从全公司层面出发，针对这些信息隐患制定安全防范措施。 1、计算机设备安全管理(1)公司所有人员应保持清洁、安全、优良的计算机设备工作环境，严禁在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等危害计算机设备安全的物品。 (2)严格遵守计算机设备使用、启动、关机等安全操作规程和正确的使用方法。未通过同意，任何人不得拆卸计算机组件。如果计算机出现故障，应及时向信息管理部报告。不同意未通过授权的搬运和维护。 (三)因以下个人原因发现硬件损坏或丢失的，当事人应当赔偿非法操作的全部损失；保管不当；未通过授权的安装、使用硬件和电气设备。公司的每个员工都有权利也有义务保护他/她的工作电脑。必需报告任何硬件损坏，并解释损坏原因。未通过授权不得更换。公司将依据实际状况来处理。 (4)下班后不再使用的所有计算机都应关机，以防发生事故。关于一起使用的计算机，原则上，最后一个退出系统的用户应该关机并关机。未通过公司领导批准，外人不得操作公司的计算机设备。 2、部门数据安全管理(1)外部存储设备安全管理严禁所有人员使用存储设备(如个人媒体光盘、U盘、移动硬盘)复制公司文件和数据，并将其带出公司。如果由于出差或其他原因，必需要将文件复制到存储设备中，则必需要向上级请求有关此行为的指示，并使用公司的存储设备进行文件复制。为了确保硬盘的安全，严禁任何人未通过许可①拆卸机箱并在用户主机上贴上封条。除信息技术人员外，未通过同意，任何人不得拆卸机箱。信息管理部在对计算机硬件进行故障排除时，如果去掉了密封标签，应在故障排除后及时改换新的密封标签。信息管理部将进行定期检查。如果发现有开封迹象，将检查视频监控记录，追查相关人员的责任。 (2)每台计算机主机配有一个锁柜。所有用户主机都存储在锁柜中。锁柜钥匙由信息技术部门保管。如果有必要为用户处理计算机故障，则必需在打开锁柜时锁定主机柜，以处理计算机故障，从而确保主机中硬盘的安全。 (2)文件安全管理的所有人员必需经上级核实后，向综合部登记，由综合部发送。严禁个人未通过许可发送任何类型的文件。一旦被发现，一切后果将由个人承当。在内部文件时，应马上通知接收人接收和取走，在结束时，应马上取走原始。如果因为没有被拿走而导致丢失和部门信息泄露，我将承当一切后果。 (3)文件打印安全管理的所有人员不得擅自将公司文件打印出公司。一经发现，将严正处理。如果在打印工作文档时，您必需要在办公时间内等待文档在打印机上马上打印，则应在打印完文档后立马上其拿走。如果在文件打印过程中有其他紧急状况，您应该通知部门人员代表您收集打印的文件。严禁打印后及时带走打印好的文件。一旦被发现，我将被警告。如果打印后文件丢失，信息泄露，我将承当相关责任。 (4)文件存储安全管理所有部门人员每周清理计算机中的文件，清除不必要的垃圾文件，将重要文件和工作数据储存在特定的文件夹中，每月月底对计算机中的文件进行备份，并将文件备份到本部门的专用u盘或移动硬盘上，以确保个人工作数据文件的归档，并在计算机突然故障或硬盘损坏时及时恢复最新的工作数据；电脑桌面上的文件应在每个周末复制到非系统磁盘字符中，否则桌面上不应存储任何工作文件。如果由于个人原因未进行备份，数据丢失，我将承当相关后果。员工离职后，部门负责人应联系信息管理部，协助员工完成离职手续后，将员工的工作数据复制到部门的u盘或移动硬盘上。如果该安全程序未得到实施，部门应承当离职员工的文件和数据的损失。 (5)办公区域的安全管理所有部门人员天天下班时应确保办公桌的整洁，将重要的部门文件存放在个人的抽屉里，并检查确保办公桌上没有可能泄露本部门工作内容的重要文件或其他信息来源。如果材料存放不当，被别人拿走，后果由我自己承当。 3、帐户密码安全管理用户必需正确储存他们的帐户和密码。防止盗窃导致泄漏。网络管理员设置好帐户和密码后，会通知员工，员工不会随意更改密码。所有员工必需在他们使用的计算机上设置开机密码和屏幕保护密码。为了保护公司的信息资产，密码应设置为至少8个字符长。密码必需包涵以下任何一个字母a-z或A-Z、数字0-9、特别字符，如-等。 (1)计算机密码管理每个员工在公司内都有一个由实名制设置的计算机登录账户；申请账户时，新员工必需要向网络管理员提供姓名、部门、职位等信息，网络管理员将在一天内告知自己账户信息。当公司的所有用户被分配到工作计算机时，他们应该首先更改他们的计算机登录密码，并向综合管理部门注册他们的个人登录密码。如果密码更改后没有注册，网络管理员会在用户发现后口头警告用户。同时，综合管理部对因未及时向综合管理部备案而导致的计算机故障或文件丢失等问题不承当责任。 (2)应用系统密码管理包括BPM、金蝶、CTBS、邮件系统的所有用户将被分配一个账户密码。账号不变。用户可以更改自己的系统密码。密码尽可能设置为高安全性复杂密码。严禁用户将密码设置为愚蠢的密码，如123456。如果密码设置过于简单，被其他用户非法登录后，系统中的窜改文件将被非法准备，流程管理中的流程管理权限将被非法使用。如果发生这种状况，将会造成严重的后果。严禁向他人泄露账号密码，并让他人代其制作文件或办理手续；员工离职或离职时，部门负责人应及时通知信息管理部注销其申请系统账户。我将承当上述原因造成的信息安全后果。 (3)使用用户身份认证系统目前，我公司的登录服务器采纳静态密码认证，这是最低级别的密码保护技术。在企业中，其他部门人员很容易注意到服务器登录密码，这可能会被动机不良的员工用来登录服务器并销毁服务器数据。在企业外部，很容易受到黑客字典扫描来破解密码，从而攻击各种应用服务器，破坏或窃取商业数据等。因此，在本部门将来的发展规划中，我们应该将用户身份认证视为一个重大的安全隐患，并找到解决这个问题的方法。在这里，我们可以采纳动态口令卡或USBKEY认证技术，并选择其中一种与公司现有的静态口令技术相结合。动态口令卡随机生成动态口令，并在60秒内自动刷新口令。数据字典不能用来扫描和破解密码，让黑客在攻击中束手无策。优盘密钥使用优盘密钥来存储特定的加密算法，并且只有在优盘密钥连接到计算机并通过存储在计算机中的认证软件验证后才干进入。我们通过(动态和静态)混合身份验证或(硬件和软件)混合身份验证，基于网络内的行为、网络外的行为，确保服务器的登录是安全的。 4、防病毒软件安全管理用户使用的防病毒软件和防火墙已设置为自动计划更新和更新病毒数据库。用户还应该天天定期手动扫描和杀死病毒。 5、各种软件安全管理软件的原始磁盘交综合部保管，软件原始数据、硬件设备(软盘、光盘、说明书和保修卡、许可协议等。)应提交综合部保管。保管应防水、防磁、防火、防盗。用户所必需的操作寄存器由用户的长期贷款、储存。 6、电子邮件安全管理所有与业务相关的电子邮件应通过公司的电子邮箱在指定的计算机上发送和接收。 (参见邮箱管理系统)综上所述，用户应具备一定的安全防范意识，并应具体确保日常工作信息的安全。(1)员工应对自己公司计算机中公司机密信息的安全负责。当他们必需要暂时离开座位时，他们必需马上用密码启动屏幕保护程序。 (2)员工有责任正确保护分配给他们的所有计算机帐户。 (3)各部门和人事部门经理应及时向综合管理部提供本部门和公司员工的人事和岗位变动信息。 (4)必需在每个公司的计算机中安装防病毒软件，并且必需启动实时扫描程序。综合管理部网络管理员统一安装杀毒软件。 (5)不得安装可能危及公司计算机网络的软件。如果软件测试确实是必要的，计算机必需与公司的计算机网络断开，以便独立运行。 (6)公司内部计算机网络的任何黑客行为都是绝对禁止的，一经查实，将按照公司的相关规定严正处理。假期期间办公室的安全确保了工作计算机的安全，并在你离开前一周内备份你的文件。在你离开之前，确保你的电脑已经关机并有开机密码，其他信息管理设备也必需关机。确保您的软盘、备份数据源和所有机密文件都已正确锁定。不使用时，公司的高度机密和机密信息必需始终储存在带密码锁或钥匙的柜子中。公司的机密信息必需存放在上锁的办公桌或文件柜中。当你不在的时候，不要在任何地方谈论公司的机密信息。公司的竞争对手可能也在度假，总是窥探我们公司。任何一点点信息都可能是他们所必需要的。当你回来时，如果你发现任何关于安全的可疑状况，你必需向有关公司报告。报告任何事故关于正确调查和防止任何进一步的错误行为非常重要。一般注意事项(1)任何外部光盘，包括光盘、光盘和软盘，只有在系统管理员确认没有病毒后，才干在公司的计算机上使用。.否则，如果造成病毒感染或其他损害，公司将对责任人进行罚款，每次罚款50元~ 500元。 (2)未通过公司领导同意，个人不得出口公司机密业务数据、技术文件。如必需出口，必需办理审批手续。申请人填写申请表，说明输出数据内容、份数、路径、用途、申请日期、申请人和其他项目。申请表经部门领导和公司领导共同签字批准后，将移交给一名专门负责操作电脑的人员。 (3)未通过系统管理员许可，不得从互联网下载任何软件安装。系统管理员不会定期检查。如发现违反本条，将处以50元至500元罚款。 (4)严禁在工作时间利用计算机网络从事与本职工作无关的活动。任何违反本条的行为将被处以50元至200元的罚款。三个、从每个部门级别制定的规则，以制定针对这些潜在信息危害的安全预防措施。1、商务部的安全措施如下(1)商务招标的安全管理由商务部制定，经部门负责人签字后，报总经理批准。总经理应依据生产过程中的材料必需求和材料的原始商业价格决定是否寻找新的货源。商务部经批准后方可展开招标工作。商务部已经起草了投标邀请书，邀请了许多具有法人资格、供货条件的单位参加我们的投标活动。在投标过程中。商务部应遵循以下原则:(1)招标公开。应披露商业投标信息；评标标准和程序应当公开；中标结果应该公之于众。 (2)公平公正的投标平等对待各方投标人，不得对任何投标人有主观看法。 (3)严格禁止商务部招标人员以任何形式向投标人透露其投标意向。评标结束后，向总经理提交评标报告，总经理将中标、。 (2)商业价格和供应商信息安全保密商业信息的保密性要求商务部所有人员不得以任何形式向其他部门或外部人员透露材料的商业价格，严禁向他人透露各种材料的供应来源。业务部门人员应随时检查个人办公区的文件和资料是否储存完好，防止因打印的业务价格表和供应商联系单未储存而导致业务信息和资料的泄露。要求部门人员严格保管工作底稿文件，同时必需在计算机中设置带密码的屏幕保护，以确保价格信息和供应商信息的电子信息的安全。 2、项目部的安全处理措施如下(1)安全管理项目部的图纸只同意在部门内传阅。在项目生产过程中，技术人员申请借用项目图纸，经签字确认后，档案员向技术人员发放一份图纸，技术人员负责监督技术人员和操作人员严格按照图纸生产，确保生产过程符合ISO9000体系的要求。生产完成后，技术人员将图纸归还给档案管理员，图纸的副本将再次存档。借款过程中，严禁借款人将图纸传递给其他人员。一旦被发现，他们将受到严惩。 (2)工艺技术文件的安全管理项目产生的工艺技术文件由计划员归档储存。在组织生产人员进行操作培训时，计划员应指导操作人员学习质量文件和相关的工艺程序。在培训过程中，计划员应确保工艺技术文件仅在培训过程中传阅。培训结束后，应收回所有技术文件，任何人不得以任何理由将文件带出公司。不同意任何人复制此类文件。 (3)人员安全管理项目部储存生产技术文件和图纸，公司人员流动容易造成技术泄漏。有鉴于此，部门应严格控制工艺技术文件和图纸的流通。这些文件将由专员保管。未通过同意，部门人员不得或复印此类文件。部门员工调动或离职前，部门档案员将收回员工的所有工作文件。如果档案员调动或离职，部门经理将亲自收回该岗位的所有工作数据，并检查所有书面文件和电子文件是否有遗漏或丢失，以最大限度地避免因人员流动造成的技术数据泄露。 4、仓储部门存在的安全隐患及处理措施如下:a、库存物资采购入库后，仓储部门应做好物资的保管工作，如实登记仓库实物台帐，定期检查库存物资的库存状况，确保系统台帐、检查卡、实物一致性；做好物资商务、仓储、生产收集各环节的平衡衔接，实现物资先进先出。库存物资库存不够时，应及时通知商务部，商务部应制定新的物资商务计划，重新入库，确保有序生产。 B、材料信息安全存储部所有人员不得以任何形式向任何人透露各种材料的供应数量、供应来源。仓储部门负责人应严格规范部门人员的安全意识，严格储存纸质文件，如收据、领料单等，确保物资供应信息不会因文件保管不当而泄露。 C、仓库整体安全做好材料储存工作，依据品种、规格、体积、重量的特点确定储存方法和位置，仓库物品堆放整齐、平稳，合理利用储存空间，减少地面负荷，便于库存和接收，有效实现先进先出；做好仓库安全工作、防火、防盗、防爆、卫生确保仓库和材料安全；危险货物应分开存放并隔离、控制。 5.技术部门采用的安全措施如下(1)图纸的归档A、国外书面图纸公司指定的接收方在收到文件后，应进行整理和编辑，确认文件完整无误后，提交综合部档案员。图纸蓝图应邮寄给XX，复印件应登记入库，并依据总经理的指示分发给相应部门。 B、电子图纸外部电子图纸应由公司指定人员接收。打印一份，同时将电子文件交给档案员登记入库，经总经理指示后发放到相应部门。如果外部电子图纸已由另一方移交给我方项目人员，项目人员应对图纸进行整理，并提交综合部备案，综合部统一打印，并按公司规定分发给相应的职能部门。如遇图纸变更，综合部应及时改换旧的电子图纸，并收回已发放的旧电子图纸。 C、项目完成后一周内，技术人员将最终图纸提交给综合部，综合部在三天内对光盘进行加密并统一刻录。一式两份，公司领导和综合部档案员各一份。 2外协工艺文件、技术规范技术人员在收到后1个工作日内整理好文件，交综合部档案员登记、保管，收到总经理指示后方可发放。 (3)内部起草的工艺文件、技术规范

展开阅读全文