公司保密管理制度及信息安全管理规定.doc

1、公司保密管理制度及信息安全管理规定一、总则（一）为保守公司秘密，维护公司的合法权益不受侵犯，保证公司正常经营管理秩序特制定本制度。（二）公司秘密是关系公司权利和权益，依照特定程序确定，在一定时间内只限一定范围的人员知悉的事项。（三）公司所属组织和分支机构以及全体员工都有保守公司秘密的义务。（四）公司保密工作，实行既确保秘密又便利工作的方针。（五）对保守，保护公司秘密以及改进保密技术，措施等方面成绩显著的部门或职员实行奖励。二、保密范围和密级确定（一）公司秘密包括本制度第二条规定的下列秘密事项：1、公司重大决策中的秘密事项；2、公司尚未付诸实施的经营战略，经营方向，经营规划，经营项目及经营决策；

2、3、公司内部掌握的合同，协议，意向书及可行性报告，重要会议记录；4、公司财务预，决算报告及各类财务报表，统计报表；5、公司所掌握的尚未进入市场或尚未公开的各类信息；6、公司员工人事档案，薪资待遇，劳务性收入及资料；7、其他经公司确定为应保密的事项。一般性决定，决策，通告，行政管理资料等内部文件不属于保密范围。（二）公司机密分为绝密，机密，秘密三个等级。1、绝密是最主要的公司秘密，一旦泄露会对公司的权益造成特别严重的损害。2、机密的主要的公司秘密，一旦泄露会对公司的权益造成严惩严重的损害。3、秘密是一般的公司秘密，泄露会对公司的权益造成损害。（三）公司秘级的确定1、公司经营发展中，直接影响公司权

3、益的重要决策文件资料为绝秘级：2、公司规划，财务报表，统计资料，重要会议记录，公司经营情况为机密级：3、公司人事档案,合同,协议,员工工资性收入,尚未进入市场或尚未公开的各类信息为秘密级；4、属公司秘密事项但不能标明密级的,通过口头通知,传达接触范围的人员。5、属于公司秘密的文件,资料,应当依据本制度(二)（三）公司机密确定等级分类之规定标明密级,并确定保密期限,保密期限届满,自行解密。三、常规保密措施（一）属于公司秘密的文件,资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由公司行政部或主管副总经理委托专人执行；采用电脑技术存取、处理、传递的公司秘密由电脑使用者负责保密。（二

4、）对于密级的文件,资料和其他物品,必须采取以下保密措施：1、非经总经理或副总经理及特别授权人员批准,不得复制和摘抄。2、收发,传递和外出携带,由指定人员负责,并采取必要的安全措施，在设备完善的保险装置中保存。（三）属于公司秘密的设备或商业机密，由公司指定的专门部门负责，并采取相应的保密措施。（四）在对外交往与合作中需要提供公司秘密事项的,应当事先经总经理批准。（五）具有属于公司秘密内容的会议和其他活动,主办方应采取下列保密措施：1、选择具备保密条件的会议场所；2、根据工作需要,限定参加会议人员的范围,对参加涉及密级事项会议的人员予以指定；3、依照保密规定使用会议设备,管理会议文件；4、确定会议

5、内容是否传达及传达范围。（六）不准在私人书信和通讯中泄露公司秘密，不准在公共场所谈论公司秘密,不准通过其他方式传递公司秘密。（七）公司员工发现公司秘密已经泄露时,应当立即采取补救措施并及时报告总经理或相关领导,由其及时作出处理。四、信息安全管理规定为保守秘密，防止泄密问题的发生，根据中华人民共和国保守国家秘密法和计算机信息系统保密管理暂行规定和计算机信息系统国际联网保密管理规定，结合本单位实际，制定本制度。（一）计算机网络信息安全保密管理规定1、为防止病毒造成严重后果，对外来光盘、软件要严格管理，坚决不允许外来光盘、软件在公网计算机上使用。2、接入公网的计算机严禁将计算机设定为网络共享，严禁将

6、机内文件设定为网络共享文件。3、为防止黑客攻击和网络病毒的侵袭，接入公网的计算机一律安装杀毒软件，并要定时对杀毒软件进行升级。4、禁止将保密文件存放在网络硬盘上。5、禁止将涉密办公计算机擅自联接互联网。6、涉密计算机严禁直接或间接连接互联网和其他公共信息网络，必须实行物理隔离。7、要坚持“谁上网，谁负责”的原则，各部门要有一名领导负责此项工作，信息上网必须经过主管领导严格审查，并经主管领导批准。8、互联网必须与涉密计算机系统实行物理隔离。9、在与互联网相连的信息设备上不得存储、处理和传输任何涉密信息。10、应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。（

7、二）涉密存储介质保密管理规定1、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。2、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，存放在本单位指定的密码柜中。3、需归档的涉密存储介质，因及时归档。4、各部门负责管理其使用的各类涉密存储介质，应当根据有关规定确定密级及保密期限，并视同纸制文件，按相应密级的文件进行分密级管理，严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续，不能降低密级使用。5、涉密存储介质的维修应保证信息不被泄露，由各涉密部门负责人负责。需外送维修的，要经领导批准，到指定的维修点维修。6、不再使用

8、的涉密存储介质应由使用者提出报告，由所领导批准后，交保密办公室负责销毁。（三）计算机维修维护管理规定1、涉密计算机和存储介质发生故障时，应当向所本部门领导提出维修申请，经批准后到指定维修地点修理，一般应当由本公司内部维修人员实施，须由外部人员到现场维修时，整个过程应当由有关人员全程旁站陪同，禁止外来维修人员读取和复制被维修设备中的涉密信息，维修后应当进行保密检查。2、凡需外送修理的涉密设备，必须主管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。3、高密级设备调换到低密级单位使用，要进行降密处理，并做好相应的设备转移和降密记录。4、由公司主管领导指定专人负责办公室计算机软件的安装和设备

9、的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。（四）用户密码安全保密管理规定1、用户密码管理的范围是指办公室所有涉密计算机所使用的密码。2、机密级涉密计算机的密码管理由涉密科室负责人负责，秘密级涉密计算机的密码管理由使用人负责。3、密码必须由数字、字符和特殊字符组成，秘密级计算机设置的密码长度不能少于8个字符，机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过60天。4、秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示所保密委员会负责人认可。（五）涉密电子文件保密管理规定1、涉密电子文件是指在计算机系统中生成、存

10、储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。2、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。3、各涉密部门自用信息资料由本部门管理员定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。4、各部门要对备份电子文件进行规范的登记管理，备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。5、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。6

11、、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。（六）涉密计算机系统病毒防治管理规定1、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。2、每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本，同时将升级记录登记备案。3、绝对禁止涉密计算机在线升级防病毒软件病毒库，同时对离线升级包的来源进行登记。4、涉密计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。5、对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用。6、对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员的责任。（七）上网发布信息保密规定1、上网信息的保密管理坚持“谁发布谁负责”的原则。凡向国际联网的站点提供或发布信息，必须经过保密审查批准，报分管领导审批。提供信息的部门应当按照一定的工作程序，健全信息保密审批制度。2、凡以提供网上信息服务为目的而采集的信息，除在其它新闻媒体上已公开发表的，组织者在上网发布前，应当征得提供信息单位的同意。凡对网上信息进行扩充或更新，应当认真执行信息保密审核制度。