PAGEPAGE1數(shù)據(jù)安全管理制度數(shù)據(jù)安全管理制度一、總則為保障企業(yè)數(shù)據(jù)安全，減小信息化風險，規(guī)范信息資產(chǎn)的使用和管理，制定以下數(shù)據(jù)安全管理制度。本制度適用于公司內(nèi)部及與公司信息資產(chǎn)有關(guān)的合作伙伴。任何人員必須遵守本制度及企業(yè)其他有關(guān)的信息安全管理規(guī)定，確保信息資產(chǎn)得到科學、規(guī)范、有序的管理，保證企業(yè)數(shù)據(jù)的機密性、完整性和可用性。二、信息安全管理職責1、信息安全管理部門是公司的信息安全管理中心。其主要職責是對企業(yè)信息系統(tǒng)進行安全風險評估，建立和管理信息系統(tǒng)的安全控制措施并定期檢查其有效性。2、公司每個部門必須對其管理范圍內(nèi)的信息資源實行責任管理，任何人員不得將機密信息泄露給未授權(quán)的人員，不得私自處理機密信息。3、公司各級主管領(lǐng)導必須嚴格執(zhí)行信息安全管理制度，對部門內(nèi)的信息系統(tǒng)進行安全管理。必須組織每年至少一次的信息安全管理培訓，審查信息安全控制措施的可行性，并負責定期檢查其有效性。三、信息資源分類1、公司的信息資源主要包括數(shù)據(jù)、文件、圖書、手稿、圖片、錄像、聲音、計算機軟件、硬件設(shè)備等數(shù)據(jù)資產(chǎn)。2、公司對每一種信息資源進行分類管理，按不同等級進行保護。信息資源應分為以下幾個等級：（1）公開信息：指對企業(yè)不構(gòu)成任何威脅的信息，所有人員可查看，如企業(yè)宣傳資料、公告、規(guī)章制度等。（2）內(nèi)部信息：指只限公司內(nèi)部人員在執(zhí)行工作職責時使用的信息，如部門間溝通、員工個人資料等。（3）機密信息：指對公司有重大利益或商業(yè)秘密等的保護之需，資料保密期限視涉密等級確定。四、信息安全技術(shù)措施1、網(wǎng)絡安全（1）公司網(wǎng)絡必須有專人進行維護管理，并設(shè)有防火墻、入侵檢測系統(tǒng)等安全設(shè)備，確保網(wǎng)絡安全穩(wěn)定。（2）公司所有網(wǎng)絡帳號都必須設(shè)置復雜密碼，并要求密碼定期更改，系統(tǒng)管理員對帳號和密碼進行嚴格管理，并定期審計操作記錄和安全日志。2、系統(tǒng)安全（1）對公司核心數(shù)據(jù)系統(tǒng)要實施嚴格的管理員授權(quán)管理，管理人員要對管理員權(quán)限進行授權(quán)并進行定期審查。（2）對涉密數(shù)據(jù)系統(tǒng)，必須采用身份驗證和訪問控制技術(shù)，同時在管理上強化加密控制、非法信息監(jiān)測和防護。（3）對敏感數(shù)據(jù)，必須設(shè)置限制性訪問權(quán)限，確保底層數(shù)據(jù)保密。3、傳輸安全（1）公司對所有文件的傳輸必須實施加解密技術(shù)，確保傳輸過程中的數(shù)據(jù)安全。（2）對郵件等傳輸通訊，必須采用加密技術(shù)，確保數(shù)據(jù)安全與傳輸過程的機密性。4、數(shù)據(jù)備份（1）公司必須按照安全備份的方法，對重要數(shù)據(jù)進行備份和還原，以應對突發(fā)情況。（2）公司必須對備份數(shù)據(jù)控制和管理，保障數(shù)據(jù)的完整性、可恢復性和可用性。五、信息安全審計1、公司應每年進行一次信息安全審計，并將抽查結(jié)果上報領(lǐng)報局、安全監(jiān)管部門，并對審計結(jié)果進行分析，及時處理信息安全問題。2、公司應定期組織演練應急信息處置預案，一旦發(fā)生突發(fā)事件，能夠快速、高效地應對。3、公司應制定漏洞監(jiān)測計劃，確保及時排除系統(tǒng)安全隱患。六、信息安全違規(guī)處理1、對于違反公司有關(guān)信息安全規(guī)定的人員，安全監(jiān)管部門有權(quán)采取相應措施，對其進行批評教育、訓誡、罰款、停職、開除等處罰。2、對于泄漏機密、造成重大損失、違法犯罪等情況，將予以移交司法機關(guān)追究刑事