《进出口企业信息安全管理制度(AEO认证文件).docx》由会员分享,可在线阅读,更多相关《进出口企业信息安全管理制度(AEO认证文件).docx(7页珍藏版)》请在第一文库网上搜索。
1、文件变更记录版本生效日期变更内容变更人1.02020-5-12.02021-3-1文章结构调整2. 12021-4-27文章结构调整文件签收记录序号签收日期签收人签字1234567891011进出口企业信息安全管理制度(AEO认证文件)1 .目的为了维护公司信息安全,保护公司的商业信息及客户信息不被泄露,防止公司计算机网络、外接网络设备、移动媒介、办公软件、公司物流和财务运营等有关信息系统不被非法侵入,保证整个公司的信息合法使用和维护,特制定本制度。2 .适用范适用于公司(含分公司)所有使用计算机、移动媒体(含手机终端)及使用或操作网络、办公软件、信息系统进行处理工作有关的的部门(分公司)和人
2、员。3 .职责和权限3.1 研发部为公司信息安全工作的管理机构,各部门(分公司)在研发部的组织与指导下负责各个部门(分公司)的信息安全管理工作,具体职责为:3.1.1 确定部门(分公司)在信息安全工作中的职责,负责信息安全工作的实施。3.1.2 指导和检查信息安全职能部门(分公司)的各项工作,协同有关部门(分公司)共同组成应急处理小组,组织处理信息安全应急响应工作。3.1.3 监督信息安全措施的执行,并对重要信息安全事件的处理进行决策,对违反信息安全管理规定的部门(分公司)及人员进行评估、纠错、事后处罚、事后培训。3.1.4 负责内、外部组织和机构的信息安全沟通、协调和合作工作。32研发部是信
3、息安全管理工作的执行机构,由研发部经理担任负责人,负责领导信息安全工作,具体职责为:3.2.1根据国家和行业有关信息安全的政策、法律和法规,确定信息安全工作的总体方向、总体原则和安全工作方法,贯彻、落实和解释国家及行业有关信息安全的政策、法律、法规和信息安全工作要求,起草信息安全策略和信息安全方针。3 . 2. 2负责公司自有云服务器的安全管理,协助外部信息系统服务商在本公司自有云服务器中部署信息系统的工作。4 . 2. 3负责公司自有信息系统的安全使用指导及使用权限的设定,负责公司外部信息系统的安全使用指导。5 .2.4建设和完善信息系统安全组织体系和管理机制;负责组织信息系统安全知识的培训
4、和宣传工作。6 .2.5负责公司信息安全的培训工作。3.3 人事行政部职责:负责公司员工邮箱设置和管理,以及公司WIFI网络管理、访客计算机使用公司网络安全管理,包括密码修改、网络接入安全等。3.4 各部门(分公司)职责:各部门(分公司)的计算机,部门(分公司)负责人为管理第一责任人,承担本部门(分公司)计算机操作的管理、保密和安全管理职责,以防止误操作造成系统紊乱、文件丢失等故障。4.定义4.1 信息安全:是指通过各种计算机、网络和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性,保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。4.2 公司自有信息系统
5、:由公司研发部自主研发的信息系统,拥有完整知识产权的信息系统。4.3 自有云服务器:公司租用了阿里云的云服务器,在租用期间属于公司自有云服务器。4.4 外部信息系统分为两种情况4. 4.1信息系统软件部署在公司自有云服务器中:信息系统由其他公司研发及管理,该系统由系统服务提供商协助部署在公司云服务器中,公司针对云服务器进行安全管理,信息系统的安全管理由服务商提供。5. 4.2信息系统软件未部署在公司自有云服务器中:信息系统由其他公司研发及管理,信息系统的安全管理由服务商提供,公司只使用系统软件,负责监督信息系统服务商的信息安全管理。6. 工作程序6.1 员工计算机安全管理6.1.1 计算机主要
6、是用于员工业务数据的处理及信息传输,提高工作效率,不得在办公计算机上安装恶意软件、游戏、与工作无关的软件以及影响公司网络安全的其他软件,不准使用来历不明的载体(软盘、光盘、移动硬盘等)。6.1.2 2计算机操作人员发现计算机感染病毒,应立即中断程序和网络,并与研发部联系及时消除。6.1.3 外来计算机加入公司网络的,要符合公司的信息安全规定,并在接入后对计算机进行全盘杀毒。6.1.4 计算机操作人员要保持整洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。6.1.5 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方
7、法。任何人不允许带电插拔计算机外部设备接口,非公司技术人员对公司计算机、计算机系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。计算机设备送外维修,必须经有关部门(分公司)负责人批准。6.1.6 员工发生岗位异动时必须根据相关规定移交使用计算机及计算机内保存的资料。员工离职时,在得到人事行政部通知后,立即删除或关闭其所有公司信息系统账号。6.1.7 公司人事行政部应对报废计算机中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。5. 2密码与权限安全管理5.1.1 计算机的密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控
8、制代码,也是保护用户自身权益的控制代码。密码设置不应是名字、生日,或重复、有顺序、有规律等容易猜测的数字和字符串,公司要求采用大小写字母加数字且不少于8位的密码。5.1.2 密码应定期修改,间隔时间不得超过90天,并设置计算机本地安全策略中的密码策略和账户锁定策略,具体操作可参考电脑本地安全策略设置指导文件,如发现或怀疑密码遗失或泄露应立即修改,并在公司电脑及信息系统账号密码管控表记录用户名、修改时间、修改人等内容。5.1.3 服务器(包括云服务器)、路由器等重要设备的超级用户密码由研发部负责人指定专人(不参与系统开发和维护的人员)设置和管理。5 . 2. 4公司自有系统的用户名密码由研发部统
9、一创建与管理,外部系统的用户名密码由使用者自行管理并报部门(分公司)负责人登记,不得随意透露给其他人员。6 .2.5当员工离职时,本人的公司自有信息系统的账号密码由研发部进行删除或关闭,外部信息系统的账号密码由使用部门(分公司)更改密码,计算机的用户名密码由部门(分公司)负责人进行修改。5.3 员工邮箱安全管理1 .3.1员工因办公需要使用邮箱时; 一律由人事行政部负责开通邮箱,邮箱用户名和密码由人事行政部及个人自行保管。邮箱使用人以公司员工身份与他人交流信息、联系工作。5 . 3. 2公司员工在使用企业邮箱时不得随意打开未知连接,不得使用企业邮箱进行非业务或者私人目的操作,不得向公司外发送未
10、经安全确认的含有机密信息的商务信息邮件。6 .3.3公司员工不得通过公司邮箱造谣或传播反动、病毒等信息,一经查出将严厉惩处当事人。7 . 3.4当员工辞职或被公司辞退以及其他原因将不再使用公司邮箱时,应由其员工部门(分公司)负责人通知人事行政部,人事行政部在接到通知后应当天注销其员工用户身份和邮箱。5.4 网络设备及网络上的数据的安全管理5.4.1 严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备的,需要向部门(分公司)负责人请示,并以公司存储设备做文件的拷贝,为确保硬盘的安全,严禁任何人私自拆开计算机机箱。5.4.2
11、4. 2所有员工应该将重要的涉及进出口的文件和工作资料保存在计算机指定的区域内,每月初将计算机中的文件资料做一次备份,备分方式及频次参见进出口单证管理制度执行。5.4.3 若员工离职,在办完离职手续前,部门(分公司)负责人应该将该员工的工作资料备份到公司移动硬盘上。5.5 服务器(含云服务器)安全管理5.5.1 服务器只能由研发人员操作,定期每周进行一次重要程序补丁检查并升级,在升级补丁之前应做好相应测试工作,并备有应急恢复机制。5.5.2 服务器管理员每月定期对服务器进行巡检,巡检主要内容包括:CPU使用率、内存使用率、磁盘使用率、云安全中心情况、对主机进行漏洞扫描等;并填写服务器检查日志。
12、5.5.3 服务器管理员每半年需修改服务器密码一次。当服务器管理员有变更时,管理员密码需及时更改。5.5.4 5.4研发部做好服务器的备份工作,至少每季度有一份完整备份,重要数据及时备份。研发部负责人有责任监督、协调其备份工作。5. 6无线WIFI安全管理公司安装无线WIFI,仅供本司员工上网使用,严禁非本司员工使用,人事行政部负责密码每年修改一次。5.7 访客计算机上网安全管理原则上禁止访客计算机直接接入公司办公网络,如因工作实际需要接入的,向业务对接部门(分公司)申请,报人事行政部开通临时账号,方可接入网络;如因员工故意告知id、密码给访客所造成的损失,由员工个人负责。5.8 系统非法入侵
13、安全管理5.8.1 公司在网络入口部署防火墙,阻止和防范外部攻击和入侵,禁止越过防火墙使用网络。公司统一为所有内部计算机安装杀毒软件,严禁私自卸载。5.8.2 研发部随时查阅防火墙上的病毒报告,并每周生成安全审计报告。5 . 9信息安全培训贸易安全相关人员(此处指进出口业务相关人员)、各部门(分公司)负责人一年至少参加一次信息安全培训,由国际物流部负责招集,由研发部负责主讲,主要学习信息安全制度、网络安全、计算机密码安全保密和信息系统维护等。5.10罚则出现违反本规定的行为且给公司带来重大损害时,将按照员工手册、及其他公司规定进行处罚。6 .参考文件/关联文件6.1 信息安全应急预案6.2 信息系统安全管理制度6.3 员工手册6.4 电脑本地安全策略设置指导6.5 进出口单证管理制度7 .附件/表单7.1 公司电脑及信息系统账号密码管控表
免费区 
