房地产公司信息安全及防泄密管理作业指引模版.doc

1、 1.92cm 页脚：1.75cm 5.2.17cm 5.2.17cm 信息安全及防泄密管理作业指引 编制 xx 日期 x-09-15 审核 xx 日期 批准 日期 修订记录 日 期 修订状态 修改内容 修改人 审核人 批准人

2、 1.目的 为防范和化解集团公司信息安全风险，完善信息系统安全保障体系，确保信息安全系统安全、稳定运行，经参考国际安全标准ISO 17799/27001并根据国家信息安全相关法律法规和有关要求，结合公司情况制定本指引。 2.适用范围 集团各部室及下属公司。 5.2.术语与定义 公司秘密文件/信息：具体含义及范围参照有关部门发布的相关规定。 4．流程图 略 5. 管理操作指引 5.1涉密信息管理 涉密信息包括文本信息和电脑信息、数据等。保密范围如下： 5.1.1 公司重大决策中的秘密事项； 5.1.2 公司尚未付诸实施的经营战略、经营方向、经营规划、经营

3、项目及经营决策； 5.1.5.2 公司重要的合同、协议、意见书、可行性报告、重要会议记录、客户和业务渠道；与公司目前或未来业务有关的设计、构想、技术秘密和商业秘密等； 5.1.4 公司财务预决算报告及各类财务报表、统计报表、银行帐户、涉及公司销售、成本等方面的数据等； 5.1.5 公司所掌握的尚未进入市场或尚未公开的各类信息； 5.1.6 人事决策中的秘密事项； 5.1.7 公司员工人事档案、劳资收入等资料； 5.1.8 招标项目的标底、合作条件； 5.1.9 其他公司秘密。 5.2 保密管理 5.2.1 全体员工都有保守公司秘密的义务。 5

4、2.2 公司秘密是关系公司权利、发展和利益，依据特定程序确定，在一定时期内只限一定范围的人员知悉的事项。 5.2.3 凡公司员工有权接触与其工作内容相关的公司机密，但同时公司职员也有义务遵守公司的保密制度及保密协议。 5.2.4 凡公司所有的一切文件、资料、数据皆属于保密信息，区别在于密级不同。各负责人有义务收集并整理业务开展过程中产生的有价值的文档数据，保存于公司加密服务器，作为知识沉淀。 5.2.5 密级分为秘密、绝密二级。秘密文件、资料的保密期限为三至五年，绝密文件、资料的保密期限为一般为五至十年，或永久保密。 5.2.6 保密级别较低的文件可因工作需要对外

5、公开，秘密级文件需按授权进行审批，绝密级文件仅对应知悉的部门及相关人员公开。 5.2.7 公司秘密文件、资料由相关岗位员工负责印制、收发、传递和保管。绝密文件的打印需用专用U盘，由起草人呈报有阅文资格的人员传阅。 5.2.8 员工如需查看非本人职权内知悉的公司机密技术或资料时必须经过符合授权的审批，非经批准，不准复制、复印、摘抄秘密文件、资料。未经批准，私自查看、复印则视为盗取公司机密，公司将视其行为及所导致的后果进行处分，处分包括：记过、罚款、开除直至追究其刑事责任。 5.2.9 记载有公司秘密的工作笔记，持有人必须妥善保管，如有遗失，必须立即报告给总裁办采取补救措施。

6、5.2.10 接触公司秘密的员工，未经许可不准向他人透露，非接触公司秘密的员工，未经批准不准打听、探求公司秘密。公司绝对禁止员工在公司内外与任何人（包括亲属、家属）谈论、交流公司秘密。 5.2.11 员工在处理属公司秘密资料（书面或电子文本）时，应避免有第三者在场，离开桌面时，无论时间长短，都应将公司秘密资料收藏好，不得放在桌面。 5.2.12 员工电脑应设置开机密码,避免他人擅用；较长时间离开座位时，应设置密码锁定电脑，避免他人擅自使用该电脑；文件共享时也应设置密码,避免无权限阅读人员复制信息,造成机密泄漏。 5.2.13 公司管理软件(财务、成本、人事等)应依据工作职责和职务

7、设置权限，持有权限的员工应妥善保管权限密码，不得透露给无权限的员工使用。 5.3访问管理 5.3.1 信息类文件、设备、区域的划分与管理由人事企管部提供参考，上报集团高层领导进行裁决。 5.3.2 对于涉密的文件、设备、区域，归口管理部门有权限制任何人员使用或进入。 5.3.3 信息安全必要场合，必须设置有24小时监控设备。 5.3.4 归口管理部门有权对授权员工与其他人员进行区别。 5.3.5 除集团高层外，所有人员使用涉密信息必须通过信息安全管理系统进行。 5.4设备管理 5.4.1 具有打印、复印、拷贝、扫描功能、以及其他可能作为电子类信息载体的输

8、出设备，都属于信息安全设备管理范畴。 5.4.2 对于涉密类设备的管理与区分由人事企管部提供参考，上报集团高层领导进行裁决。 5.4.3 除集团高层领导与经按授权审批通过的人员外，集团全体员工必须接受计算机外部接口管理（移动电脑、摄像头、PDA、USB设备、外接光驱等）。禁止与业务无关的文件拷入与拷出。 5.4.4 对USB的使用可通过临时授权进行解封。若由此产生信息安全类事故，责任由部门负责人与使用人共同承担。若使用人离职，则由部门负责人承担。 5.5信息化系统使用管理 5.5.1 公司所有信息化系统权限的管理与授予由集团高层领导审批、集团人事企管部负责执行与

9、审核。 5.5.2 人事企管部有权对任何非IT人员的权限进行审核与修改，对于发生信息安全事故或其他意外事件时，IT管理员有权不经报批直接封停相关人员一切权限。 5.5.3 任何使用信息化系统的员工必须认真管理本人密码，并接受IT部定时抽检，不符合要求的密码限时修改，并通报批评。 5.5.4 公司全体员工必须定期参加IT部组织的有关培训。特别是与信息安全相关的培训。因未参加培训而导致工作的延误将自行承担相关责任，造成严重后果的，予以相关惩罚。 5.6灾备管理 5.6.1 集团IT人员应及时规划灾备系统与设备，确保公司数据冷备与热备齐全。 5.6.2 存放的备份数据应有明确的标识、备份数据需异地存放。 5.6.3 备份数据的转存、调拨、使用、销毁都必须经过高层领导的审批。 6．支持性文件 无 7．相关记录 7.1《04-01机密信息责任人作业表单》 7.2《04-02机密信息泄露问责作业表单》