制度是共同遵守的办事规程或行动准则。制度对实现工作程序的规范化、管理方法的科学化,起着重大作用。以下是小编为您整理的《集团信息保密管理制度》的相关内容,希望能给你带来帮助!
第一篇:集团信息保密管理制度
企业集团网络与信息安全保密总体方案及策略
对大型企业集团网络与信息安全现状及安全隐患进行分析,提出了总体解决方案以及企业集团的管理对策,加强安全保密技术措施,构建系统的安全保密防范体系。主要内容包括:网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作El志和邮件归档审计等。企业集团实施网络与信息安全保密技术和管理策略将取得明显的信息安全及保密效果。
1、大型企业集团的网络与信息安全保密工作现状与分析
1.1大型企业集团网络与信息系统安全保密工作现状
经过对国内大型企业集团的了解和分析得知,国内大型企业集团的网络和信息化部有一些共性。大型企业集团一般拥有自己国内或国际的广域网,一般集团总部和各分部/分企业集团都有单独的互联网出口。集团和自已的上下游的合作伙伴会通过专线或互联网交换信息(见图1)。企业集团这种网络架构存在互联网出口多、安全性低,信息孤岛、OA等应用需要整合等典型问题。同时企业和合作伙伴的联网安伞也需要考虑。集团信息安全系统主要是由防火墙、入侵监测和病毒防范等组成,这种方法造成安全投入不断增加、维护与管理更加复杂、信息系统的使用效率大大降低、对内部没有防范,对新的攻击入侵毫无防御能力(如冲击波、振荡波)等一系列问舾。目前企业集团急需一套完整的符合国家信息安全保障工作要求的安全保密方案。
1.2大型企业集团信息网络的安全隐患
1.2.1互联网的安全使用问题
由于互联网使用的广泛性、接入手段的多样性(modem拨号、以太网卡、无线网卡、蓝牙、红外等等)、应用的复杂性以及攻击行为的隐蔽性(蠕虫,病毒、木马、僵尸等等),近年来我国已发生多起严重的网上失、窃密案件。威胁互联网安全的因素包括“黑客”的入侵,计算机病毒,数据“窃听”和拦截等方面。
企业集团内同样存在因广泛使用互联网而可能发生的核心企业秘密外泄的严重风险。因此,必须采用有效的技术手段,加强监督管理,规范互联网的使用,以达到保护国家秘密和集团企业核心秘密的目的。
1.2.2终端安全问题
随着企业信息网的对外开放,终端数量的日渐庞大,使企业信息网正在承受来自互联网的各种信息安全威胁,如网络蠕虫、安全攻击,垃圾邮件等。企业网终端没有统一的管理,病毒库不能得到严格升级,每台终端上的操作系统安全漏洞补丁不能得到及时更新,这些威胁都会严再影响企业内部网络的安全使用,并进一步威胁企业的健康发展。
在现有网络架构下,只要接入集团的一台终端感染网络病毒,就可能导致往有数千台终端的网络内爆发蠕虫病毒,网络中会充斥大量的无用数据包,占用几乎全部的网络设备资源和带宽,导致真正的应用数据包无法被传输,甚至出现交换机由于CPU利用率过高而近似死机的现象。因此,必须对集团网络从交换机终端即网络边缘开始进行安全控制。
1.2.3 Web应用系统分级授权控制问题
企业集团一般授权系统比较单一,需要建立分级授权系统对应用系统进行保护,主要包括:(1)边界权限控制:各企业集团内部上页属于内部办公平台,必须受限访问。(2)重要模块控制:各企业集团内部主页有企业秘密信息模块,也有公开信息模块。企业秘密信息模块包括OA系统、竞争情报、工作报告、会议纪要、科技成果、管珲课题研究等内容。应加强对企业秘密信息模块的保密管理,依据工作分工、分级授权进行访问控制和管理。
1.2.4文件保护问题
由于企业集团内部网络监控的缺位,目前存在以下内部泄密途径:(1)内部人员将资料通过移动存储介质从电脑中拷出带走;(2)内部人员通过互联网将资料通过电子邮件发送给外部人员;(3)将文件打印后带出。(4)将办公用便携式电脑直接带回家中,(5)电脑易手后,硬盘上的资料没有处理;(6)随意将文件设成共享,导致非相关人员获取资料;(7)移动存储介质设备共用,导致非相关人员获取资料;(8)将私人便携式电脑带到企业集团,接入局域网,窃取资料;(9)开启同事电脑,浏览、复制同事电脑里的资料。此外,还有很多其他途径可以被别有用心的内部人员利用以窃取资料。
1.2.5移动存储介质和设备管理问题
越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里,给企业信息资源管理带来相当人的安全隐患。企业集团移动存储介质使用管理中存在的问题主要包括:非法拷贝敏感信息和涉密信息到移动存储介质中;企业外部移动仔储介质未经授权在内部使用;企业内部移动存储介质及信息资源被带出,在外部非授权使用;存贮征媒体中的秘密信息在联网或人工交换时被泄露或被窃取;处理废旧移动存储介质时,末做信息清理;存有秘密信息的介质不经处理或任无人监督的情况下被带出修理;存有秘密信息的存储介质失窃;秘密信息和非秘密信息放在同一介质上。另外公私混用,存在一定安全隐患。
1.2.6涉密文件的等级保护问题
如果将涉密文件以明文方式存储在涉密存储介质中,一旦涉密存储介质(硬盘、移动硬盘、U盘、笔记本电脑)意外遗失或者被盗,或者存储在上面的涉密信息被恶意通过网络发送出去,则可能造成涉密信息的泄漏。必须采用一定的技术于段,根据涉密文件的级别,以不同等级自动进行加密,使涉密存储介质中存储的文件为密文,即便涉密存储介质被盗或意外遗失,或者被恶意外泄,也不至于造成直接泄密的重大损失。
1.2.7邮件加密及归档审计
企业集团一般用户自主邮件恢复功能只能恢复30天之内的数据。且有一定的限制,无法查询和监督更长时期内的历史邮件。
据调查显示,目前全球范围内正式实行邮件归档系统的企业并不多,在我国企业中真正实施邮件归档的企业更是少之又少。与国外企业对邮件归档的认识不同的是,对于国内的企业负责人来说,也许他们更关心的是企业中的机密文件是否会被不轨员工利用电子邮件外泄。因此,必须采用一定的技术手段,实现邮件加密传输以及对邮件进行归档审计。利用邮件系统归档功能,可以根据企业集团工作需要查询和监督用户利用企业集团的邮件平台收发的电子邮件,尤其是公务邮件,对知识产权的保护具钉现实意义。
1.2.8 网络涉密传输
对于涉及氽业集团或国家秘密的数据传输,传输通道必须加密,以保证特殊条件下信息不被轻易窃取。
2、网络与信息安全保密建设总体方案
2.1总体目标
大型企业集团网络与信息安伞保密工作的总体目标可以定义为:针对集团网络及信息安全保密需要,构建系统的安全保密技术和防护策略及其措施,通过制度管理和技术防范,双管齐下,规范员工行为,以达到网络和信息资产安全的总体目标。最终达到“外人进不来,进来之后看不到,看到了拿不走, 拿走了用不了,操作了可追溯”的效果。
2.2总体要求
对于网络与信息保密工作而言,管理方法和技术手段同等重要,缺一不可。只重视管理流程,缺乏足够的技术手段,信息安全保密工作就只能取决于执行者自身的政治觉悟。对于觉悟不高者而言,容易流于形式,只审视技术手段。不加强管理,信息安伞保密工作就容易受到轻视,技术手段反而成为绊脚石,安全保密工作无法有效开展。安全,特别是信息安全是一个系统工程,在这个系统工程中,体现着“三分技术,七分管理”。
2.3管理改进
大型企业集团应建立网络与信息安全保密组织,制定相关的管理制度,大力宣传信息保密工作的重要性。最大程度地保护企业的各种秘密信息。具体工作任务包括:(1)根据企业集团信息保密工作的具体要求建立适合本企业集团或部门的电子信息保密规定,建立可操作的工作制度。(2)对本企业集团有涉密信息的部门划分级别,对用户的电脑进行严格的安全配置,例如禁止使用USB盘、只能登录特定的电脯等;(3)用户不明确信息是否涉密时,由保密工作部门进行甄别;(4)为信息技术管理部门提供有关信息保密管理、技术改进、提升与完善的具体建议;(5)对本企业的员工进行信息保密培训与教育;(6)对涉密信息的交流与传递进行监督;(7)协助安全部门对违反保密规定的信息泄漏事件进行调查、取证。(8)与审计部门配合,定期或不定期对本企业集团的信息保密工作进行审计;(9)定期或不定期向企业高层与集团信息保密工作组报告本企业集团的信息保密工作情况。
2.4总体方案
2.4.1建立网络分区分级管理
目前,企业集团的整个信息网络是一个整体,没有内、外网之分以及保密专网,网络结构存在安全隐患。
为了提高信息安全性,根据信息的密级,结合工作的需要,对信息网络进行分区分级管理。从长远看,企业集团网络应该分为困密网、专用网、外网、办公内网四个安全区,如图2所示。对于安全区内的系统根据审要性进行分级管理。
2.4.2建立网络安全准入系统
在企业集团范围内建立终端安全防护和全面的网络准入控制系统,实现如下目标:
(1)网络准入控制。工作站必须符合定义的安全策略(例如安装了指定的防病毒软件、更新了病毒特征代码、安装了最新的微软补丁等)才能够接入网络,实现自动修复以及用户和设备的认证,保证网络上所有终端都是健康的。
(2)应用程序控制。只有指定版本的软件才能够访问网络资源,禁止用户私自安装的软件或木马程序、蠕虫访问网络。
(3)基于用户/组的访问控制策略。可以对不同的成员企业集团、部门、承包商、项目组、第三方接人人员采用不同的网络访问控制策略,构建集中管理的分布式防火墙体系。
2.4.3实施Web应用分级授权控制系统
随着企业集团业务的发腰和集团各部门之间信息交流的增多,因估息系统建没周期较长、系统众多,技术架构趋于复杂,需要一套灵活的、易于管理的Web应用授权控制系统。
新的Web授权系统作为企业集团内部Web应用统一的授权服务平台,为企业门户任应用层面提供信息浏览的安伞保障,满足企业在业务需求不断发展的过程中产生的信息安全方面的需要。同时,该系统也可以作为一项独立的安全服务,为以后的集团门户系统提供强有力的支撑。
2.4.4建立企业电子文件保护平台
建立企业集团范围的电子文件保护平台,解决如下问题:
(1)按需对涉密电子文件进行加密。
(2)单一或组合授予用户阅读,打印、复制、编辑等权限。
(3)对于脱离受控环境的电子文件,可以限制其只能在特定的计算机上使用;或设置其可读取的次数和有效期限。
(4)与各类信息系统进行集成。使得这些信息系统具备电子文件保护能力,并且不会改变系统的原有流程。
(5)无论使用U盘、移动硬盘、还是通过Email发附件的方式,在受控环境之外不能有效使用经保护的涉密电子文件。
(6)关注电子文件本身,而不是层出不穷的各类电子设备和文件载体。
2.4.5移动存储设备的使用管理
移动存储设备应分密级使用,并必须保证密级文件的安全。
移动存储设备应根据所保存的涉密内容。分级别进行登记和管理;采取技术手段,禁止未经许可的U盘在涉密计算机上进行使用,保证经过许可的U盘在涉密计算机上能正常使用,保证存储涉密文件的U盘丢失后不造成内容泄密。
2.4.6涉密文件安全等级保护
(1)所有文件只能任内部才能使用。即使被恶意通过互联网发出去,或者通过U盘拷贝出去,文件不能被正常读取。
(2)对文件征内部的流转进行等级划分。密级文件只能在具备相应或更高密级的计算机上才能被读取。
(3)文件以密文的方式在内部流转,即使在流转过程中被窃取,也不会造成重大泄密。
(4)对加密文件进行解密时,必须得到明确的授权。
(5)文件的整个流转过程具备完整的审计日志。
2.4.7实现邮件加密及归档审计
建立公开密钥基础设施(PKI)证书系统,要求部门经理以上用户采用PKI/CA(CA证书)邮件加密与数字签名的方式增加邮件系统访问的安全性。建立归档机制,自动、实时地对现有邮件系统中的邮件进行分类存储。终端用户删除邮件不会造成系统中数据的丢失。管理员可以根据需要随时根据各种条件进行检索。
2.4.8网络涉密传输
采用内置国家密码管理局认证硬件加密卡的网络加密机(VPN)进行数据传输通道的加密。即采用密码技术在公用网络中开辟出专用的隧道,形成专用网络,主要用于解决公共网络中数据传输的安全问题,保证内部网中的重要数据能够安全地借助公共网络进行交换。
3、网络与信息安全保密技术基本实施策略
根据大型企业集团网络与信息安伞保密总体方案,从六个方面加强安全保密技术措施,构建系统的安全保密防范体系。主要内容包括:网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作日志和邮件归档审计等。
3.1网络安全准入
策略内容:对终端电脑实行注册管理,接入企业集团网络时需进行设备和账号双重认证控制。首先,通过系统后台验证终端电脑是否已在企业集团注册,是否符合安全标准(安装准入客户端和指定病毒防火墙),验证合格后方允许接入系统;其次,用户输入账号、密码,经身份验证后方可访问内部信息资源。非注册终端设备或非授权账号不能接入内部办公网络,非安全终端设备(染毒)访问内部办公网络资源时受限。
解决问题:网络入口控制。防范非法接入网络;降低网络被病毒感染和攻击的概率。
3.2移动介质注册管理
策略内容:对移动存储介质(U盘、移动硬盘等)的使用进行注册管理。已注册移动存储介质在企业集团内网、工作电脑上可正常使用和交换数据;在外网或外部设备中,只有将移动存储介质设置为商旅模式并输入密码后方可使用;非注册移动仔储介质中的电子数据可拷贝至企业集团内网、工作电脑上,企业集团内网、工作电脑上的电子数据不能拷贝到非注册移动存储介质上;因工作需要向企业集团以外的电脑中拷贝电子数据时,经保密审查后,统一由企业集团或部门机要员将移动存储介质设置为商旅模式并进行解密;对注册移动存储介质中资料的所有更改、转移、交换、解密等行为,进行后台记录,作为审计依据。
解决问题:防范电子文件通过移动介质拷贝泄密,防范移动介质遗失造成失、泄密。
3.3 Web网页授权管理
策略内容:对企业集团内部主页进行三级授权管理。第一级为整个丰页的访问授权;第二级为主页内栏目或业务系统的访问授权,第三级为应用程序授权。各级授权管理分别由网页、栏目、业务系统的用户应用管理员负责。
解决问题:按授权范围查阅、利用网络信息资源,在安全范围内进行成果交流。
3.4电子文件加密保护
策略内容:禁止在企业集团网络上存储、处理、传输涉及国家秘密的电子文件、信息,对涉及企业秘密的电子文件、信息进行加密保护。丰委包括以下三个方面:
(1)对网页中需要保护的附件电子文件进行加密,根据需要对附件的查阅、修订、复制、下载、打印等权限进行控制。
(2)对部门或个人的最终成果类电子文件提供网络存储、备份管理审问,提供基于加密和授权保护的共享利用手段,进行成果管理和共享。设置个人文件夹备份保管个人成果文件,设置部门成果文件夹存储保管部门成果文件,设置部门共享文件夹任加密授权保护的前提下对成果文件进行共享。
(3)使用加密技术对重要或涉及企业秘密的电子文件进行加密管理,设置查阅、修订、复制、下载、打印等权限,按授权利用文件成果。
解决问题:进行成果管理,提供基于加密和授权保护的共享。防范非授权或无关人员接触涉密或敏感电于文件;防范二次传输泄密(授权人二次传送给无关人员或集团以外人员造成泄密);防范移动电脑遗失造成的数据丢失或泄密。
3.5国际互联网应用管控
策略内容:实施互联网出口认证和流量管理系统,加强互联网系统监控和管理。禁止进行联机游戏、基金炒股、P2P下载、BBS交流以及QQ、MSN等即时通讯网络操作;禁止使用超文本传输协议(http)以外的应用;禁止一个账号在多台机器上同时登录互联网;按国家相关规定对访问互联网的行为进行后台监控,必要时对后台监控日志进行审计;禁止访问非工作相关网站或不良信息网站。对违反互联网使用管理规定的用户,收回其权限并在企业集团内部通告。
解决问题:依法安全使用互联网,提高网络安全性。监督防范擅自向外网(如BBS、博客等)张贴涉密文件资料而造成泄密。
3.6电子邮件管理
策略内容:与集团外部进行工作邮件往来时必须使用企业集团外部邮件系统,禁止使用邮件系统传送国家秘密文件信息;使用邮件系统传送企业秘密文件信息时,应使用电于文件保护系统或企业集团配发的USB Key CA证书对邮件进行加密;企业集团对员工的邮件收发行为进行监控、记录并归档,作为审计依据。
解决问题:防范通过非企业集团邮箱发送工作邮件可能造成的泄密,提供监控和追溯审查手段,加强邮件安全保密管理。
3.7监控审计
策略内容:完整记录用户访问互联网、收发邮件、电子文件拷贝、电脑操作以及信息系统管理员操作等所有信息传递活动日志,可对重点部门、部位或个人的电脑操作进行监控;根据需要对各种信息进行监控审计。审计工作由审计郜人员组织执行。
解决问题:提供监控审计手段,便于稽核追踪管理。区分管理权(用户)、操作杈(管理员)、审计权(审计人员)。
4、结束语
大型企业集团实施上述网络与信息安全保密技术和管理策略将取得明显的效果。比如,限制非法或不安全登录网络,提高了计算机信息系统的安全性;对计算机及移动存储介质进行注册管理,对涉密电子文件采取加密措施,实现了对电子文件的有效保密管控;安装应用国际互联网监控管理系统,确保安全、合法、规范地使用互联网,加强了信息保密管理;制定计算机网络与信息安全保密管理规定,提高了规范化管理水平;此外,通过该项日的建设与实施,深入推动了保密宣传教育工作,提高了员工的保密意识,对深入开展网路与信息安全保密工作具有重要的现实意义。
随着上述方案在大璎企业集团的逐步伞面推广实施,集团的网络与信息安伞保密技术防范能力将显著得到加强,安令保密管理水平必将迈上新台阶。
第二篇:矿务集团关于保密要害部门、部位保密管理的规定
第一章总则
第一条为加强保密要害部门、部位的保密管理,依据上级保密委要求及有关法律规定,制定本规定。
第二条本规定适用于集团公司部室及所属单位(以下简称部门、单位)。
第三条本规定所称保密要害部门是指部门、单位日常工作中产生、传递、使用和管理绝密级或较多机密级、秘密级国家和企业秘密的内设机构。保密要害部位是指部门、单位内部集中制作、存储、保管国家、企业秘密载体的专门场所。
第四条保密要害部门、部位要严格按照标准和程序确定,实行“谁主管、谁负责”的原则,做到严格管理、责任到人、严密防范、确保安全。
第五条各级保密机构要加强对保密要害部门、部位保密工作的指导、监督和检查。
第二章保密要害部门、部位的确定
第六条部门、单位的内设机构和场所,符合本规定第三条的,应确定为保密要害部门和保密要害部位。
涉及国家、企业秘密较多的矿处级以上领导人员办公场所,应确定为保密要害部位。
第七条集团公司管理部室以及经营承包处室、中介机构的保密要害部门、部位由各部门、单位确定,报集团公司党委保密委办公室确认。
基层单位部门及所属单位的保密要害部门、部位由基层单位各部门、单位确定,报所在单位保密办确认,并报集团公司党委保密委保密办备案。确定保密要害部门、部位的,应按照标准和程序从严掌握。
第八条各部门、单位应根据情况变化适时对保密要害部门、部位作出调整,并按照本规定第八条要求报相应保密工作部门确认或备案。
第三章保密要害部门、部位的相关职责
第九条保密要害部门、部位所在部门、单位保密委或保密办的职责是:
(一)负责确定和调整本部门、单位的保密要害部门、部位;
(二)组织制定保密要害部门、部位的保密管理制度和防范措施;
(三)与保密要害部门、部位主要负责人签订保密责任书;
(四)组织协调对保密要害部门、部位工作人员进行涉密资格审查和保密教育培训;
(五)定期检查保密要害部门、部位的保密管理和保密技术防范情况,解决存在问题,组织查处泄密事件。
第十条保密要害部门、部位主要负责人的职责是:
(一)确保国家、企业秘密的绝对安全;
(二)结合本部门、部位的实际,制定具体的保密管理制度和防范措施;
(三)与所属工作人员签订保密责任书,建立岗位责任制,把保密责任落实到人;
(四)定期进行保密教育,使所属工作人员增强保密意识,掌握必备的保密知识和技能;
(五)对所属工作人员辞职、调动、因私出国(境)申请提出意见;
(六)对所属工作人员执行保密制度、遵守保密纪律的情况进行监督、考核;
(七)定期对保密环境和涉密载体进行检查,及时消除泄密隐患。
第四章保密要害部门、部位工作人员的要求
第十一条保密要害部门、部位工作人员必须保守国家和企业秘密,维护国家、企业安全和利益,并符合下列基本条件:
(一)忠于祖国和企业,政治可靠、思想进步、遵纪守法、品行端正;
(二)涉及国家秘密的,还要历史清白,社会关系清楚,配偶不得为非中国公民。
第十二条保密要害部门、部位工作人员上岗前,应由所在部门、单位进行涉密资格审查。不符合条件的,不得在保密要害部门、部位工作。
第十三条保密要害部门、部位工作人员必须与所在部门、单位签订保密责任书。保密责任书包括应承担的保密责任和义务,必须遵守的保密纪律和有关限制性要求,以及需事先告知的事项和有关奖惩规定等基本内容。拒绝签订保密责任书的人员,不得在保密要害部门、部位工作。
第十四条保密要害部门、部位新录用、调入的工作人员,应在上岗前接受保密教育和培训。各部门、单位应定期对保密要害部门、部位工作人员进行在岗保密教育。
第十五条各部门、单位应将保密要害部门、部位工作人员遵守保密纪律、履行保密义务和接受保密教育的情况作为考核的一项重要内容。
第十六条保密要害部门、部位工作人员辞职、调动,应事先提出申请,按照人事管理权限和有关保密规定,经有关部门、单位批准。有关部门、单位认为保密要害部门、部位工作人员辞职、调动可能对国家和企业秘密安全构成危害的和国家、企业另有规定不得辞职的,可不予批准。保密要害部门、部位工作人员离开涉密单位,可能对国家、企业秘密安全构成危害的,要实行脱密期管理。脱密期限由部门、单位根据涉密程度确定,一般为6个月至3年。国家、企业有关主管部门有特殊规定的,从其规定。
保密要害部门、部位工作人员离开涉密单位,应与原单位签订保密承诺书。
第十七条保密要害部门、部位工作人员因私出国(境),必须经所在部门、单位批准。部门、单位认为出国(境)后可能对国家、企业秘密安全构成危害的,不予批准。国家、企业有关主管部门有特殊规定的,从其规定。
第十八条部门、单位发现保密要害部门、部位工作人员擅自离职或因私出国(境)的,应立即向上级部门、集团公司保密办报告,必要时可直接向当地公安机关或国家安全机关报告。第十九条保密要害部门、部位工作人员因履行保守国家、企业秘密义务,使相关权益受到限制的,有关部门、单位应通过适当方式给予补偿。
第五章保密要害部门、部位的场所、设施和设备
第二十条保密要害部门、部位应具备完善可靠的人防、技防、物防保障条件,确保国家和企业秘密处于安全状态。
第二十一条保密要害部门、部位应确定安全控制区域,并根据周边环境特点采取必要的安全防范措施。有关部门审批新建项目,涉及保密要害场所、部位周边环境安全问题的,应事先征求单位、部门保密工作部门的意见。保密要害部门、部位工程建设项目的保密技术防范措施,应与工程建设同步进行。
第二十二条保密要害部门、部位所在办公场所,应加强安全防范措施,根据实际需要安装电子监控、防盗、报警等保密安全装置,与保卫部门值班室联接。保卫民警要重点对保密要害部门、部位进行巡逻。
第二十三条保密要害部门、部位应确定进入人员范围,采取其他控制人员进入的措施,严禁无关人员进入;对进入保密要害部门、部位的工勤人员,应有严格的保密监督管理办法。
第二十四条保密要害部门、部位使用的设备和产品,应符合保密管理要求和保密技术标准;使用进口设备和产品,应进行安全技术检查。
第二十五条保密要害部门、部位使用涉密计算机、涉密电磁介质应符合国家有关保密规定,对涉及绝密级国家秘密的计算机、电磁介质应采取严格的控制措施。
第二十六条保密要害部门、部位国家和企业秘密载体应在安
全可靠的设备中保存。绝密级文件应放置在保险柜内,并明确管理责任人,采取严格的管理措施。
第二十七条保密要害部门、部位,未经批准不得带入有录音、录像、拍照、信息存储等功能的设备。
第六章奖惩
第二十八条保密要害部门、部位及工作人员在保密工作中作出突出成绩的,所在部门、单位应按照有关规定给予表彰和奖励。
第二十九条保密要害部门、部位工作人员违反保密规定、发生严重责任事故造成泄密的,应给予党纪政纪处分;情节严重、构成犯罪的,移送司法机关依法追究刑事责任。
第七章附则
第三十条各部门、单位可依据本规定制定具体管理办法。
第三十一条各部门、单位应对保密要害部门、部位的保密管理情况作出文字记载。
第三十二条本规定由集团公司党委保密委办公室负责解释。
第三十三条本规定自印发之日起施行。
第三篇:信息保密管理制度
第一条
目的
为有效保护公司的知识产权,维护公司的权利,为了防止商业秘密泄露或剽窃,防止不正当竞争,特制订本制度。 第二条 信息保密范围
(一) 公司重大决策中的秘密事项。
(二) 公司尚未付诸实施的经营战略、经营方向、营销规划、经营项目及经营决策。
(三) 公司内部掌握的合同、协议、意见书及可行性报告、主要会议记录等。
(四) 公司财务预决算报告及各类财务报表、统计报表。
(五) 公司销售采购数据、供应商资料、客户资料及联系方式。
(六) 公司职员人事档案、工资性、劳务性收入及资料。 第三条 信息保密规则
(一)各部门人员使用的所有办公用电脑,必须设置开机密码,密码除使用人应牢记外,应向各个部门经理上报备案。电脑开机密码的变更应及时向各部门经理报告。
(二)未经总经理(包括其授权人)或部门经理批准,公司任何人不得开启其他员工电脑,不得查阅和拷贝其他员工电脑中的资料和信息。
(三)未经公司网管人员同意,公司任何人不得打开电脑机箱、拆卸、更换板(卡)。
(四)各部门日常联络工作文件通过内部邮箱系统进行沟通传递,尽量避免打印和复印。邮箱中的重要邮件要定期进行备份。
(五)如因工作需要,确需刻录公司信息资料,必须经部门经理和管理部主管共同批准,否则一律不得刻录。
(六)办公电脑中的资料要定期整理、清理和备份。各电脑使用人员应每周将本周重要工作文件整理备份一次。
(七)研发部不得以任何方式将产品研发资料对外泄露。营销部、产品部或市场部不得将销售资料、客户信息对外泄露,也不得转发给无关的技术人员。
(八)新产品通过公司网站对外发布,应事先将该产品的功能、结构和产品性能等报总经理或其指定授权人批准,经批准后方可发布。应避免信息泄露过早,造成他人模仿或拷贝。
(九)公司电脑网络管理人员可以使用各种办法(包括对公司服务器的搜索)对违反公司规定的行为进行监控。如发现员工私自使用个人电子信箱发送属于公司保密范围的任何资料,有权进行制止和举报,公司将根据奖惩办法对举报人给予奖励和表彰。
(十)公司外人员需要动用我司电脑或查阅相关信息,必须有我司员工陪同。凡涉及公司商业秘密的数据,一律不允许浏览。也不得拷贝、打印、复制、特殊情况下需由部门主管签字确认后方可提供相关部分的数据。对擅自提供信息者,一经发现,予以辞退并追究法律责任。
(十一)存放财务资料的电脑原则上不予联网,并采取相关的技术限制和控制措施。数据传递有专人使用U盘和专用信箱传递,避免信息不当扩散。
第四条 信息保护管理规则
(一)岗位责任:各部门主管是本部门信息保全的第一责任人,如发生数据信息遗失、损毁、使用不当、泄露等问题,各部门主管负首要管理责任。网络管理员应负责对公司电子数据信息进行备份,备份过程中不得查阅浏览与本职工作无关的信息内容,对于工作中知悉的相关商业秘密信息要严格保密。
(二)信息归档保存:公司数据信息要以“谁形成、谁负责归档”为原则。各部门根据本部门的业务情况建立全面的业务数据管理规范,部门主管对本部门的数据信息的归档及安全负责。各部门的信息应及时归档,并放入自行指定文件夹中妥善保管。公司绝密信息应统一由管理部统一归档保管。各部门重要信息,应由部门主管亲自归档及保管,以确保数据信息的安全。
(三)信息的备份和移交:绝密级信息,必须以可移动的存储方式进行数据备份。每月的第3个工作日由各个部门数据信息管理专员或部门主管将备份数据信息移交给公司综合管理部专员。存放于公司的信息管理库,以确保数据资料的绝对安全,以防信息资料的丢失造成不可挽回的损失。
(四)信息的封存要求:需封存的重要数据信息资料必须在纸袋封口处贴上一次性封签,并在封签上签字同时签署封存日期。无总经理批准任何人不得拆封,如遇特殊情况需拆封检查,须由信息管理专员亲自执行,并在查验完毕后1小时内重新封存完整并签上签字确认,同时注明日期。如需记载的事项较多,应以独立文本文件记录,并与数据信息一并归档保持。 第五条 责任与监管
综合管理部对公司重要信息资料进行监察和管理,对信息资料完整与安全负责。各部门主管对各个部门的数据信息进行监管检查,对信息资料的完整与安全负责。各个部门信息管理专员对各车间各小组资料、信息进行监督检查。每个月部门主管组织本部门进行自查,保证本月以前月份备份数据的完整和准确。 第五条 承担责任
(一)对于重要资料没有备份、备份不全或备份错误的,根据给公司造成的损失追究相应责任。
(二)违反“信息保密制度”,对相关责任人员予以警告或惩罚,行政记过、记大过直至开除。
(三)违反“信息保护管理规则”因过失导致数据信息遗失、泄露,对责任人处于警告或1000以下罚款;窃取公司商业秘密范围的数据信息或恶意伪造篡改数据信息的,一经发现立即予以辞退,取消全部股权奖金红利,除劳动合同和竞业禁止约定处罚外,构成犯罪的报司法机关追究刑事责任。
(四)违反本“信息管理保密暂行规定”除给予警告、惩罚、记过、记大过、辞职等行政处分外,如给公司造成经济损失,同时承担民事赔偿责任,部门主管有过失的负连带赔偿责任。构成犯罪的,报送司法机关依法追究刑事责任。
第六条
本制度有综合管理部解释、补充、经总经理批准颁发执行。
第四篇:信息保密管理制度
A有限公司 信息保密管理制度
第一章 总 则
第一条 为加强A有限公司及下属子公司(以下称“公司”)重要信息保密工作,维护信息披露的公平原则,防止出现公司重要信息泄露,防止利用重要信息进行投资交易,防止员工个人投资交易中的不正当行为影响公司声誉和业务活动开展或者对公司构成重大合规风险,维护投资者的合法权益,特制订本制度。 第二条 本制度系根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国证券投资基金法》、《私募投资基金管理人内部控制指引》等有关法律、法规及《公司章程》、《公司信息披露管理制度》等有关规定结合公司实际而制定。
第三条 公司管理层和全体员工应根据要求做好公司重要信息的保密管理工作。公司总经理负责组织公司重要信息保密管理工作的开展,风控风控法务部与总经办协助分管领导做好公司重要信息保密管理工作的开展。风控风控法务部对公司重要信息保密管理制度实施情况进行监督。公司相关部门应将公司重要信息保密管理纳入相关业务的工作中。
第四条公司员工对旗下管理的私募投资基金的投资人信息及项目投资信息等相关资料负有保密义务,除法律、行政法规和其他有关规定、监管机构及审计要求外,不得向任何机构或者个人泄露相关信息和资料。
第五条公司应开展经常性的保密教育,使员工牢固树立保密意识,确保公司业务涉及的保密信息不被泄露。
第六条本制度适用范围为全体与公司签订正式劳动合同并建立正式劳动关系的员工,及虽未与公司签订劳动合同但参与公司业务的高级管理人员及其他兼职人员等。
第二章 公司重要信息及信息知情人 第七条 本制度所称公司重要信息(以下简称“重要信息”)包括但不限于如下内容:
(一) 公司与拟投资对象在洽谈过程中涉及的交易价格、交易结构、投资信息、专有信息、技术资料及知识产权等商业秘密;
(二) 公司为受托管理的客户企业进行投资分析、决策、交易或者向客户提供投资咨询建议的信息;
(三) 公司客户、投资人及关联方向公司报送的尚未公开披露的文件;
(四) 基金销售及投后管理工作中所涉及的客户个人隐私信息及合作伙伴等相关信息;
(五) 涉及公司及公司旗下基金的经营、财务、利润分配、投融资、并购重组、重要人事变动等对公司发展有重大影响的未公开披露的信息;
(六) 公司订立的重要合同,可能对公司的资产、负债、权益和经营成果产生重要影响。
(七) 其他尚未批准公开披露的信息。
对于实际工作中接触到的其余未明确类型的信息,应当结合重要信息具有的价格敏感性、未公开性特征,遵循实质重于形式的原则进行识别,在拟披露前向分管领导申请批准,未批准的不得对外披露。
第八条重要信息的存续期间为自该重要信息形成之日起至该信息被依法公开披露之日。总经理会议授权分管领导有权决定重要信息的公开披露之日。 第九条本制度所称重要信息知情人指在重要信息公开披露前可直接或间接获取重要信息的员工。包括但不限于:
(一) 公司董事、监事及高级管理人员、涉及本制度规定的重要信息的公司关联方;
(二) 公司项目负责人,包括但不限于项目经理、投资总监、董事总经理等;
(三) 公司涉及投融资、基金事务的员工,包括公司投融资部门、公司信息披露部等相关员工;
(四) 其他由于所任职务可以获取公司有关重要信息的人员,包括参与重大投资事项的商议筹划、论证咨询的相关人员等;
(五) 公司根据实质重于形式的原则确定的其他人员,包括上述(一)至
(四)项中自然人的配偶、子女和父母等信息知情人。
第十条下列事项不属于上述应保密的重要信息,公司应在经总经理会议通过或分管领导批准后,主动向投资人、中国证券基金业协会及其他监管机构披露如下事项:
(一) 资金募集时期应披露的信息:基金合同、招募说明书等宣传推介文件、基金的投资情况、基金的资产负债情况、基金的投资收益分配情况、基金承担的费用和业绩报酬安排、中国证监会及基金业协会规定的影响投资者合法权益的其他重大信息;
(二) 在基金运作期间,公司应当在每年结束之日起6个月内向投资者披露以下信息:报告期末基金主要财务指标和基金份额总额、基金的财务情况、基金投资运作情况、投资者账户信息,包括实缴出资额、未缴出资额以及报告期末所持有基金份额总额等、投资收益分配和损失承担情况、基金管理人取得的管理费和业绩报酬,包括计提基准、计提方式和支付方式、基金合同约定的其他信息;
(三) 在基金运作期间发生以下重大事项的,公司应当按照基金合同的约定及时向投资者披露:基金名称、注册地址、组织形式发生变更的、投资范围和投资策略发生重大变化的、变更基金管理人或托管人的、管理人的法定代表人、实际控制人发生变更的、管理费率、托管费率发生变化的、基金收益分配事项发生变更的、基金触发巨额赎回的、基金存续期变更或展期的、基金发生清算的、发生重大关联交易事项的、基金管理人、实际控制人、高管人员涉嫌重大违法违规行为或正在接受监管部门或自律管理部门调查的、涉及私募基金管理业务、基金财产、基金托管业务的重大诉讼、仲裁、基金合同约定的影响投资者利益的其他重大事件;
(四) 其他依据《私募投资基金监督管理暂行办法》及《私募投资基金信息披露管理办法》等规定需要对外披露的事项。
第三章 重要信息保密措施
第十一条 公司各业务岗位应妥善处理业务相关资料,不得擅自对外透露业务相关资料信息。不得以复印、拍照、扫描、下载、拷贝、抄录等任何方式将业务资料用在业务之外;非工作需要,不得将业务资料带出办公室;存有业务资料的电脑需设置开机密码和屏幕保护密码,电脑离开本人视线时退出业务系统或文件。 第十二条公司业务相关资料如需在会议、培训班等较多人参与的活动中散发,应在资料上标有“内部资料,妥善保管”或“内部资料,对外保密”等字样,并要求领取人妥善保管,不得扩散。
第十三条公司员工应严格保密公司旗下基金产品信息及项目投资信息,不得对外泄露及谈论产品投资组合情况,不得将产品及项目的财务报表和交易文件外传。 第十四条项目投融资过程中,项目负责人系防止重要信息泄露的主要负责人,对其团队成员的信息保密工作负有直接责任。其工作内容包括:(1)信息披露前,项目负责人应审核拟披露的重要信息并督促部门直接业务人员填写《重要信息对外报送表及承诺函》(详见附件一);(2)项目负责人应确保在信息披露前,已与接收方签订相关《保密协议》(详见附件二);(3)若发生重要信息泄露事件,项目负责人有义务在泄露事件发生后的30日内核查出泄露原因及相关泄露人员,并将核查结果上报至分管领导;(4)如发生重要信息知情人员变动或非本制度规定的重要信息知情人涉及业务的,项目负责人应立即向分管领导或有关部门汇报交接及委派情况。
第十五条公司各部门根据要求对外报送的文件、音像及光盘等涉及公司重要信息的,应当严格按照本制度做好公司外部报送程序的登记。
公司各部门因业务需要拟将应保密的重要信息对外披露的,部门直接业务人员需在信息披露前填写《重要信息对外报送表及承诺函》并获得分管领导及部门主管审批许可,并有义务在披露前与接收方签订《保密协议》。在签订《保密协议》前,应将该协议及《重要信息对外报送表及承诺函》一并交由风控法务部审核,并在最终签订后一起交由公司档案部归档。
第十六条 在劳动合同期限内及劳动合同解除或终止后,员工保证将严守重要信息,除非为公司的利益,不会使用任何重要信息,未获得公司的书面授权不得向任何个人(包括按照公司的保密规定无权知悉该项重要信息的公司其他员工)、企业披露、传播、公布、发表、传授、转让任何重要信息。员工同意将对这些重要信息保密,并至少以不低于合理的谨慎来保护和维护重要信息不被擅自使用、披露、报道、转让或出版。
第十七条 信息披露主管部门和相关业务主管部门等应当做好重要信息的管理工作,及时交由公司档案部归档保存,保存期限自该业务完成之日起至少保存20年。
第四章 防止重要信息泄露及责任追究
第十八条 各部门负责人应对部门重要信息知情人做好相关信息保密义务的提醒及教育,并定期及不定期的向分管领导汇报信息保密情况。
第十九条公司员工不得将知晓的重要信息对外泄露,或利用重要信息进行内幕交易或建议他人利用重要信息进行交易。
第二十条 公司员工应当严格遵守法律法规及本制度的有关规定,对违反规定的,公司有权委派相关代表对该员工进行调查,相关部门和人员应当配合做好相关调查工作。
第二十一条 公司员工违反本制度规定,由公司总经理会议视情节轻重给予该员工相应处分。具体操作规则如下:(1)若公司员工在披露重要信息过程中,已获得公司内部批准并完成了相关登记手续,但未与接收方签订《保密协议》且未给公司造成严重后果的,则公司有权给予该员工警告或扣罚部分绩效奖金的处罚;(2)若公司员工未填写《重要信息对外报送表及承诺函》而将公司应保密的重要信息泄露,但尚未对公司业务造成严重影响的,则总经理会议可依据其行为的性质及恶劣程度给予其扣罚所有绩效奖金、开除等处罚;(3)若公司员工故意泄露或利用公司重要保密信息且给公司造成严重影响的,则公司可要求其立即离职并扣罚所有绩效奖金,因泄露/利用公司重要信息而获得的利益应归公司所有,给公司造成损失的,公司有权向该员工追偿,公司保留追究其法律责任的权利;(4)若对外报送重要信息的员工已完成所有公司内部报送手续且与接收方签订了《保密协议》,但项目中应保密的重要信息仍被泄露且对公司业务造成一定影响的,则项目负责人应负责在泄露事件发生后的30日内核查出信息泄露的原因及泄露人员。若在上述时间内,项目负责人无法核查出原因及泄露人,则由总经理会议另行协商处理办法。
在上述情况中,若泄露员工的部门主管或项目负责人存在过错或过失,公司有权认定该主管或项目负责人为第二直接责任人并给予其相应处罚。
第五章 附则
第二十二条 本制度自公布之日起施行,下属子公司均应按照本制度执行。
附:保密信息对外披露流程表
项目组成立并确立项目负责人及重要信息传递人
填写《重要信息对外报送表及承诺函》并报项目负责人及分管领导审
批
将已核准的《重要信息对外报送表及承诺函》及项目相关的《保密协议》一并交由风控法务部
审核
与项目对方签订业经风控法务部审核的《保密协议》,并将该协议与《重要信息对外报送表及承诺函》并交公司档案室备案
附件
1、保密协议(标准版).doc
2、重要信息对外报送表及承诺函.doc
3、员工岗位保密协议书.docx
第五篇:信息保密制度
信息保密制度(试行)
为进一步规范**信息平台的管理和应用,保证**信息平台安全平稳运行,促进**信息化事业健康发展,保障公民合法权益,根据《中华人民共和国保密法》和《中华人民共和国互联网管理办法》,并结合我单位实际制定本办法
一、严格保密计算机系统和**软件的使用情况及各种数据分析及统计信息内容,不得向外界随意透露;
二、计算机、打印机等设备按照“谁使用谁负责”的原则作好安全防护。不得在工作时间将计算机用于非工作内容。严禁计算机使用人员私装、私卸计算机软件。
三、数据分析专用计算机,数据存储专用介质,须贴上明显安全标识,并由专人负责。
四、使用外来数据盘,必须在检测、清除病毒后方可使用。如遇杀毒仍旧无法清除的,应及时与技术人员联系,以免病毒侵扰计算机及网络系统,造成严重后果。
五、外单位人员不得使用本单位计算机及附属设备。跨单位使用计算机设备的,需征得相关领导的同意,并有专人监督设备使用过程并做好记录。
六、计算机及系统设置参数(如用户帐号、登录口令、IP地址、系统路径、远程拨号号码等)为工作秘密,任何人不得以任何借口向外泄露。
七、因工作需要开设共享目录时,应注意设置访问控制口令(如共享文件夹),并在完成工作后立即关闭共享,以保证本地文件的安全与保密。
八、上网信息的保密管理坚持“谁发布谁负责”的原则。不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息或工作敏感信息。
九、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
十、严禁下载或购买、安装黑客软件,要定期更新系统安全补丁和用杀毒软件检测机器上有无木马、病毒程序。
十一、 涉及数据分析及数据存储的计算机,不得直接或间接地与互联网或其他公共信息网络相联接。
十二、 携带有数据库信息的计算机、存储介质外出,须经分管领导批准,并采取必要的保密措施。将单位电脑或存储介质带回家,不得用该电脑上互联网,且需采取必要的保密措施。
十三、携带有数据库信息的计算机系统进行维护检修时,须保证所存储的数据库信息不被泄露,对数据库信息应采取转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,必须在维修现场对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
十四、凡需外送修理的数据库信息计算机或存储介质,必须经主管领导批准,并将数据库信息进行不可恢复性删除处理后方可实施。
十五、凡私自改变计算机网络(如内网改外网、私接线路等),造成数据库信息或我单位内部工作信息泄密的,一经发现按有关规定严肃处理。如因失职或故意等原因造成信息泄漏的,将依据相关规定严肃处理责任人员,造成严重后果的,直至追究法律责任。
十六、数据中心机房安全保密按照《**数据中心机房安全保密制度》执行。
十七、本保密制度由**单位负责解释。