篇一:信息保密管理制度
信息保密管理制度
第一条 目的
为有效保护公司的设计成果等知识产权,防止公司的核心商业秘密泄露或被剽窃,防止
不正当竞争,特制订本规定。
第二条 信息保密范围
公司所有的不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措
施的技术信息和经营信息。
具体包括但不限于:公司所有的产品规划、创意、设计方案、设计文件(含图纸及文档
资料)、讨论结果结论;所有的资质认证的资料;所有的开发项目和进度;所有的技术资料
和程序代码;所有的技术文档资料;所有的供应商资料;所有的采购数据;所有的客户资料
及联络方式;所有的销售报表;所有的人事资料;所有的财务资料等。其他所有与公司经营
管理相关的商业、技术、管理资料等公司认为需要保密的信息。
信息保密规则
第三条 各部门人员使用的所有办公用电脑,必须设置开机密码,密码除了使用人应牢记外,
应向各部门经理上报备案。电脑使用人员变更密码应及时向各部门经理报告。
第四条 未经总经理(包括其授权人)或各部门经理批准,公司任何人不得开启其他员工电
脑,不得查阅和拷贝其他员工电脑中的资料和信息。
第五条 未经公司网管人员同意,公司任何人不得打开电脑机箱、拆卸、更换板(卡)。
第六条 未经总经理(包括其授权人)或各部门经理批准,各部门员工不得将上述属公司商
业秘密范围的资料设置为共享文件的形式。
第七条 各部门日常联络工作文件通过内部邮件系统进行沟通传递,尽量避免打印及复印。
各电脑使用人员必须每半天接收一次内部邮件,并按信息级别由相应主管审批后方可以发布
或传递。邮件要定期进行备份。
第八条 如因工作需要,确需刻录公司信息资料,必须经部门经理和管理部主管共同批准,
否则一律不得刻录。
第九条 办公电脑中的资料要定期整理、清理和备份。各电脑使用人员应每周将本周重要工
作文件整理备份一次。
第十条 研发部与供应商的设计资料传递,由各设计小组长负责,普通设计人员不得使用外
部邮件传递。设计人员应将相关资料用内部邮件传给各设计小组长,由小组长审核后再转发
相关供应商。
第十一条 营销部、产品部或市场部收到客户的设计信息,原则上只能把该信息发送给项目
负责人。如确有需要,经部门经理发送给该项目的主要经办人。收到设计信息的人员,不得
以任何方式将客户的设计信息对外泄露,也不得转发给无关的技术人员。
第十二条 新产品通过公司网站对外发布,应事先将该产品的功能、结构和技术性能等报总
经理或其指定授权人批准,经批准后方可发布。应避免信息泄露过早,造成他人的模仿或拷
贝。
第十三条 公司电脑网络管理人员可以使用各种办法(包括对公司服务器的搜索)对违反公
司规定的行为进行监控。如发现员工私自使用个人电子信箱发送属于公司保密范围的任何资
料,有权进行制止和举报。公司将根据奖惩管理办法对举报人给予奖励和表彰。
第十四条 公司外人员需要动用我司电脑或查阅相关信息,必须有我司员工陪同。凡涉及公
司商业秘密的数据信息,一律不允许浏览。也不得拷贝、打印、复制,特殊情况下需由部门
主管签字确认后方可提供相关部分的数据。对擅自提供信息者,一经发现,予以辞退并追究
法律责任。
第十五条 存放财务资料的电脑原则上不予联网,并应采取相关的技术限制和控制措施。数
据传递由专人使用U盘和专用信箱传递,避免信息不当扩散。
信息分级及传递规则
第十六条公司信息根据重要程度分为四级
绝密:指极为重要的公司核心商业秘密,如被泄露会使公司利益遭受特别严重的损失。
主要指产品规划、创意、设计方案、产品设计文件(含图纸及文档资料)、客户资料及联络
方式;销售报表;采购数据、产品数据;技术项目档案;重大项目资料、公司的核心技术程
序、程序的源代码、外购的软件等;所有的人事资料;所有的财务资料;法律文件;股东会
文件、董事会文件;公司各种规章制度等涉及公司运营的核心数据资料及档案。
此级别信息,只有得到涉秘信息部门或项目主管书面许可方可根据工作需要进行内部加
密传递,且传递范围仅限于需求部门主管或项目的负责人,由部门主管或项目负责人根据业
务需要进行分割、整理后传达给本部门的员工。部门主管或项目负责人对接收的资料信息的
安全和合理使用负责,因本人或本部门人员原因造成资料外泄,由部门主管首先负管理责任,
同时追究直接责任人责任。许可须采用邮件回复、签字审批(如果需要移交的资料比较多或
比较重要,须填写《数据档案资料移交清册》,见附表一)等有文字记载的书面方式进行,
未经批准不得向任何人泄露,未经批准擅自将此级别信息对外发布,按泄密处理,责任人和
部门主管负连带责任。
机密:指重要的公司秘密,如被泄露会使公司利益遭受严重损失。主要指公司各种讨论、
论证结论;资质认证资料;开发项目和进度等对公司经营有重大商业价值的信息;各个部门
因工作关系,经部门经理审批可了解相关信息的内容,但严禁复制拷贝,需要复制拷贝须经
总经理批准。
此级别信息经审批后可以在具有相关业务联系的经理层传递,不得发布给与业务无关的
经理和普通职员,更不得对外泄露。
秘密:指公司一般商业秘密,泄露会使公司的利益遭受损失。主要指日常的部门内部讨
论、论证结论;日常工作信息等。
此级别信息由部门经理决定发布范围,可以在具有相关业务联系的员工间传递,但不得
发布给与业务无关的员工,更不得对外泄露。
普通非秘密类信息:指内部非保密信息。主要指各种管理公告、公示,对全体员工开放
的各种信息。
此级别信息可以在公司范围内发布传递,但不得对外公布。
第十七条公司信息的传递统一用公司邮箱进行,在发送时应仔细核对收件人,需要审批的,
得到批准方可发送。
上述涉密信息的存储、处理、传递、输出要遵守文件传递和档案管理制度,并标注相应
的密级标识,受控传递、签阅。
第十八条 部门间的信息传递统一由部门主管负责,各个部门的主管是涉秘信息发布与接收
的唯一通道,除部门主管外任何人未经批准不得跨跃部门、跨跃职权发布、存储、保留涉秘
信息,否则根据本规定进行处罚。部门主管须按公司要求严格履行保密义务,严格按审批程
序和谨慎原则处理涉秘资料,需要批准传递的涉秘文件资料,确因业务需要,可以观摩、演
示,但得到批准前不得另外保存、复制、传播,否则按泄密处理。
第十九条 任何人发现受控以外传递的涉秘信息,须在第一时间报告部门主管乃至总经理,
并采取措施彻底清除已经传递出去的涉秘信息,销毁或回收全部受控以外的文件资料。
数据信息保护保全管理规则
第二十条 宗旨:公司的技术信息、经营信息和管理信息等是公司赖以生存和发展的根本,
所有员工必须树立信息时代科技优先、信息为本的思想,严格保护公司的商业秘密。
第二十一条 岗位责任:各部门主管是本部门数据信息保全的第一责任人,如发生数据信息
遗失、毁损、灭失、使用不当、泄密等问题,部门主管负首要管理责任。网络管理员负责对
公司电子数据信息进行备份,备份过程中不得查阅浏览与本职工作无关的信息内容,对于工
作中知悉的相关商业秘密信息要严格保密。数据管理专员负责收集和保管公司数据信息,各
部门须全力配合,不得拒绝;数据保管专员必须于数据采集的当天将数据资料存放到指定的
存放地点,不得私自留存、复制,同时要按照公司的档案管理制度做好数据信息的登记和备
案(即详细登记数据资料的内容、采集时间、版本信息等),分类存放,以便于查阅。
第二十二条 信息归档保存:公司数据信息以“谁形成,谁负责归档”为原则。各个部门根
据本部门的业务情况建立全面的业务数据管理规范,部门主管对本部门的数据信息的归档及
安全负全责。各部门的数据信息应及时归档,并自行设专柜妥善保存。密级为绝密的重要档
案信息应在公司以外的专业保管场所由公司指定的专人负责存档及保管。密级为机密级以上
的数据信息,应由部门主管亲自归档及保管,以确保数据信息的安全。其它密级的数据信息
由部门主管根据数据的重要程度分级指派专人负责归档和保管,同时明确归档及保管人员的
责任。
第二十三条 各部门数据信息档案管理:各部门须根据本部门特点,制定部门信息档案管理
办法。各部门要严格执行公司信息管理规定及本部门的信息档案管理办法,确保公司的全部
信息档案体系能记录、有记录、可查考,为公司的快速发展提供安全、持续、高效的支持。
各部门应充分利用已有的信息档案体系提高决策的科学性,不断创新发展,积累越来越多的
知识财富。
第二十四条 数据信息的备份与移交:绝密级信息,必须以可移动的存储方式进行数据备份。
每月的第3个工作日由各个部门指定的数据管理人员或部门主管将备份数据信息移交给公
司指定数据管理专员。存放于公司以外的安全场所,以确保公司数据资料的绝对安全,避免
因火灾、盗抢及其他不可预料的以外给公司造成不可挽回的损失。
第二十五条 信息封存要求:部门主管须在封存的介质上加贴一次性封签,并在封签上签字
同时签署封存日期。无总经理批准任何人不得拆封,如遇特殊情况确需拆封检查,须由数据
管理专员亲自执行,并在查验完毕后1小时内重新封存完整并在封签上签字确认,同时注明
日期。如需记载的事项较多,应以独立文本文件记录,并与数据信息一并归档保存。
第二十六条 封存人对数据信息的完整性和安全性负责。如果发现有重大的数据遗漏给与警
告或1000元-10000以内罚款,并视情况减少,取消期权,股权。
第二十七条 借数据备份之名盗取公司数据或恶意伪造编造数据,一经发现立即开除,取消
期权,股权。并保留追究一切责任和要求经济赔偿的权利。
第二十八条 数据保管专员的权利与责任:公司指定的数据保管专员,有权按公司规定搜集
数据资料,各个部门主管须全力配合,不得以任何理由拒绝。数据保管专员必须于数据采集
的当天将数据资料存放到制定外部存放地点,不得私自留存、复制和发生任何泄密,否则承
担给公司造成的经济损失,并视情节予以5000-100000元的罚款。同时指定保管人员要按照
公司的档案管理制度,做好数据资料的登记和记录,分类存放,详细登记数据资料的内容,
采集时间,版本信息等以便于查阅。
责任与监管
第二十九条 主管责任
技术总监和技术项目负责人,负责技术文档、源程序、开发文档以及技术相关档案的组
织编写和文件归档,负责外购的技术开发应用软件的保管和应用,确保软件没有应用于公司
以外的任何用途,负责对全部技术文档进行监察与监督,对技术资料的完整与安全负责;
产品部主管对产品规划、创意、设计方案、产品设计文件(含图纸及文档资料)等全部
的产品设计文档和资料负责,组织编写建立归档,进行监察与监督,对本部门的资料完整与
安全负责;
人力资源主管对全部的人事资料和档案负责,负责人事制度的建立健全和发布实施,签
阅存档;
综合管理部主管对公司全部财务数据档案、公司行政档案、公司资质证书、公司印鉴等
的完整和安全负责,同时负责建立健全公司行政办公管理制度,签阅存档。
市场部主管负责公司全部营销企划方案、营销计划规划及策划资料组织编写和归档,对
本部门的文件资料的完整和安全负责;
项目主管负责所辖区域的客户资料的整理建档,对客户资料的完整和安全负责;
第三十条 监管
对于公司的知识财产采取内部监督和外部监察双重手段进行监管,以确保公司的核心知
识资产的安全。
首先,每个月部门主管要组织本部门进行自查,保证本月及以前月份备份数据的完整和
准确;
第二,每个季度由综合管理部组织各个部门主管,由总经理统领进行交叉稽查;
第三,由总经理根据需要,聘请外部的顾问和专家进行外部独立稽查;
第三十一条 责任承担
1)对于重要资料没有备份、备份不全或备份错误的,根据给公司造成的损失追究相应
的责任。
2)违反“信息保密规则”,对相关责任人员予以警告或罚款,行政记过、记大过直至开
除。
3)违反“信息分级及传递规则规则”,对相关责任人员予处警告或罚款,行政记过、记
大过直至开除。
4)违反“数据信息保护保全管理规则”,因过失导致数据信息遗失、泄露,对责任人处
以警告或1000元以下罚款;窃取公司商业秘密范围的数据信息或恶意伪造篡改数据的,一
经发现立即予以辞退,取消全部股权期权奖金红利,除按劳动合同和竞业禁止约定处罚外,
构成犯罪的报司法机关追究刑事责任。
5)违反本“信息管理保密暂行规定”,除给予警告、罚款、记过、记大过、辞退等行政
处分外,如给公司造成经济损失,同时承担民事赔偿责任,部门主管有过失的负连带赔偿责
任。构成犯罪的,报送司法机关依法追究刑事责任。
第三十二条 本制度由综合管理部解释、补充,经总经理批准颁布执行。
篇二:数据保密及数据备份制度
数据保密及数据备份制度
1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2、禁止泄露、外借和转移专业数据信息。
3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
4、每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存。
6、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
7、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
篇三:数据保密规范
概述
数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。
为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
一、数据信息安全管理制度
1.1 数据信息安全存储要求
数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。
存储介质管理须符合以下规定:
? 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。
? 删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。
? 任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。
1.2 数据信息传输安全要求
? 在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和应用加密技术时,应符合以下规范:
?
? 必须符合国家有关加密技术的法律法规; 根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密钥的长度;
? 听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。 ? 机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称加密。
? 机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数字签名时应符合以下规范:
?
?
?
?
充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。 采取保护公钥完整性的安全措施,例如使用公钥证书; 确定签名算法的类型、属性以及所用密钥长度; 用于数字签名的密钥应不同于用来加密内容的密钥。
1.3 数据信息安全等级变更要求
数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。
1.4 数据信息安全管理职责
数据信息涉及各类人员的职责如下:
? 拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指
定数据资产的管理者/维护人;
? 管理者:被授权管理相关数据资产;负责数据的日常维护和管理;
? 访问者:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性
等;
二、数据信息重要性评估
2.1 数据信息分级原则
分级合理性
数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。
分级周期性
数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。
2.2 数据信息分级
数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下:
三、数据信息完整性安全规范
数据信息完整性应符合以下规范:
? 确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。
? 应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系
统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
? 应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系
统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
? 具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计。
? 在数据信息时,经过不安全网络的(例如INTERNET网),需要对传输的数据信息
提供完整性校验。
? 应具备完善的权限管理策略,支持权限最小化原则、合理授权。
四、数据信息保密性安全规范
数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用,确保数据信息能够被安全、方便、透明的使用。为此,业务平台应采用加密等安全措施开展数据信息保密性工作:
? 应采用加密效措施实现重要业务数据信息传输保密性;
? 应采用加密实现重要业务数据信息存储保密性;
加密安全措施主要分为密码安全及密钥安全。
4.1 密码安全
密码的使用应该遵循以下原则:
? 不能将密码写下来,不能通过电子邮件传输;
? 不能使用缺省设置的密码;
? 不能将密码告诉别人;
? 如果系统的密码泄漏了,必须立即更改;
? 密码要以加密形式保存,加密算法强度要高,加密算法要不可逆;
? 系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、
复杂性等;
? 如果需要特殊用户的口令(比如说UNIX下的Oracle),要禁止通过该用户进行交
互式登录;
? 在要求较高的情况下可以使用强度更高的认证机制,例如:双因素认证;
? (要定时运行密码检查器检查口令强度,对于保存机密和绝密信息的系统应该每周
检查一次口令强度;其它系统应该每月检查一次。
4.2 密钥安全
密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。因此,应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;还应对生成、存储和归档保存密钥的设备采取物理保护。此外,必须使用经过业
《数据保密制度》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/show/122267.html
转载请保留,谢谢!
- 上一篇:预备党员转正申请书