當ciso與cio擁有同等的話語權，信息安全與管理的脈絡會不會在業務視角上更為清晰？就我個人看來，同等話語權有助于提升企業對安全的重視度，同時提醒cio職責本源回歸到對信息的全盤掌控中，更加明晰了cio的職責。一是保持信息，二是靈活運用信息。二者都在價值的實現和話語權的平等。我個人認為這很合理。

相關概念：安全服務和軟件市場的弱點

idc近日發布了研究報告《中國it安全硬件、軟件和服務全景圖，2012-2016》，分析了2011年中國it安全市場的發展狀況，并**了未來五年的市場發展趨勢。報告顯示，2011年中國it證全市場規模為147億美元，增長18。同比增長5%

1%。安全硬件市場規模72.7億美元，占49

5%；其次是安全服務市場和安全軟件市場，分別為26.9%和23.6%

從軟件和服務的比重來看，很容易看出中國市場對它的重視程度?？纯从卸嗌偃速徺I產品滅火，有多少人根據自己的特點使用定制的服務部署解決方案。安全真正上升到業務流程級別的話，單一的產品并不能滿足其實施要求，隨著人們對信息安全與管理的理解和重視程度加深，it成熟度的提高，這個比重應當會提高。

在it作為一種服務的趨勢下，信息安全與管理領域也會作出相應的市場變化。

有關法規：個人隱私法

在臺灣，人們把數據安全叫做“資訊安全”，像**、企業這樣的一旦泄露了個人資料，將會面臨數量較大的罰款，這是“個人隱私法”規定的。在中國大陸，這樣的規定遲早會出臺。從去年到今年上半年的事件來看，嚴厲的罰款還是一種警惕。

有關新技術：云計算安全

根據一項惠普主導的最新調查表明，一半以上的中國業務及技術高管認為，缺乏對云服務安全需求的認識令其擔憂。超過四分之三的受訪者表示，如何保護和使用大數據也是一個問題。絕大多數中國受訪者表示，云計算面臨的最大挑戰是：

購買服務時未對服務提供商進行篩選（55%），或對安全需求缺乏了解（53%）；在全球范圍內，缺乏對安全需求的了解（62%）以及購買服務時為對服務提供商進行篩選（55%）。然而，在中國，超過四分之三（75%）的受訪者認為云服務最終可以像本地數據中心一樣安全；從全球來看，這一數字是三分之二。

我相信云服務的安全性是可以證明的。想想看，人們把最重要的錢放進了銀行。我認為最值得注意的是，很多人不了解自己的安全需求，這是一個非常致命的情況。

曾經在采訪中和多個被訪者有一個共識，云計算的安全問題不是突然出來的，里面很多安全問題都是傳統的安全問題，我們需要去比較現在的與之前在pc時代互聯網時代有什么不同，或能找到自己的思路。如若連需求都不明，勢必不會贏。

2011年11月，云安全聯盟發布了3.0版的云安全指南，在當前尚無一個被業界廣泛認可和普遍遵從的國際性云安全標準的形勢下，此文獻使得用戶能夠意識到在技術和管理層面需要面對的問題，推薦大家去了解一下。

有關行業：制造業的安全

制造業中有許多細分行業，每個行業的每個企業業務都千差萬別，并且受企業文化影響，即使一個相同的方案實施起來，都會有不同的結果呈現，可以說，每個制造業都需要一個定制化的方案。

現在，中大型企業可能會運用類似惠普數據中心安全服務這樣的整體方案，更多中小型企業還用不上成熟度較高的這種方案?？v觀制造業，幾乎所有企業最關心的只是數據安全，對需求還是停留在“加密”這個詞匯上。然而，it時代已經完全不同了，經過pc和互聯網，我們現在所站的是云、移動和大數據環境，核心數據已經越來越不好抓住了。

有關態勢：安全需要重新被思考

去年，我采訪完清華大學計算機系教授、博士生導師鄭緯民先生后，寫下一段“后記”：作為安全的追隨者，經歷互聯網、網格我們，如何思考其中的聯系，我們究竟要做什么樣的安全？用了多少？

現在，云計算給我們帶來了重新認識安全的機會，一場前所未有的安全關注已經開始，安全產業者與用戶都需重新思考，什么是安全。

“什么是安全？”在現在云計算、社交化、大數據的環境中，這個問題變得越來越復雜。會上陳經理介紹今年一個泄密事件受到的攻擊，并不從部署了強大安全邊界的正門而入，而是從程序員的朋友的朋友入手攻擊，最終找到程序員在公司的信息進入公司。

如此的迂回的攻擊方式，是之前未有過的，最終這個出其不意也導致企業巨大的損失。我不禁想，在當今社會環境下，個人發布的這么多信息，我該怎么辦？“因為新一代攻擊者懂得針對一個目標基于多種威脅渠道從多個數據點發起攻擊，所以只有充分了解威脅的整個生命周期，并且能夠將數據安全嵌入各個環節的解決方案才能夠有效防止新的威脅。

”這是某廠商給出的答案?！鞍踩芷凇钡母拍?，也需要重新被思考。

· 移動性：在中國，95%的受訪者表示進行集中設備管理困難重重（全球為73%），而約一半（48%）的受訪者表示，移動設備的大量使用提高了數據丟失或數據盜取的潛在風險（全球為51%）。

· 大數據：在中國，超過四分之三（78%）受訪者表示對大數據的保護和使用存在困難，而在全球，該比例約為三分之二（66%）。

· 身份管理：中國的受訪者表示，圍繞身份管理的最大問題是數據保護（90%）和身份管制（80%），而在全球，這兩個數字分別為74%和69%。

· 基于打印機的入侵：盡管數據安全是重中之重，88%的中國受訪者并未部署打印安全解決方案，這使他們容易遭遇基于打印機的入侵以及打印文檔的挪用，而在全球，該比例為68%。

『九』信息安全管理方案

為加快實施網絡強國戰略，深入貫徹落實《中華人民共和國網絡安全法》等法律法規，有效防范網絡違法犯罪，切實維護網絡安全，保護公民個人信息安全和網絡合法權益，督促指導互聯網企業和聯網單位履行信息網絡安全義務，推動信息安全管理員專業技術人才隊伍建設，加強信息安全管理員知識與技能培訓，增強全社會維護網絡安全的責任意識，提升人民群眾的`網絡安全感和滿意度。

一、參賽對象

參賽單位：基礎電信運營企業、互聯網服務企業、網絡安全服務企業、上網服務企業、網絡安全協會等自律組織，黨政機關和企事業聯網單位中從事網絡安全管理、運維、技術研發等相關崗位的人員。

二、競賽內容

競賽包括知識和技能兩部分。

三、賽事安排

5月4日-5月10日，通過電話報名或前往喀什地區公安局網安部門現場報名；報名選手可通過競賽平臺進入學習的平臺開展自主學習。

競賽分為初賽、復賽、決賽三個階段。

（一）初賽組織

1.于6月10日前競賽完畢。

2.最終選拔初賽隊伍數量10%的參賽隊伍進入復賽。

（二）復賽組織

6月20日，各地完成復賽隊伍遴選，并報送復賽名單；

7月10日，舉行復賽并產生決賽名單；

（三）決賽組織

7月25日，在青島高新技術產業開發區舉行現場決賽及頒獎儀式。

『十』信息安全管理方案

為加強計算機的安全監察工作，預防和控制計算機病毒，保障計算機系統的正常運行，根據公司有關規定，結合實際情況，制定本制度。

一、凡在本網站所轄計算機進行操作、運行、管理、維護、使用計算機系統以及購置，維修計算機及其軟件的部門，必須遵守本辦法。

二、本辦法所稱計算機病毒，是指編制或者在計算機程序中插入的破壞計算機系統功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

三、任何工作人員不得制作和傳播計算機病毒。

四、任何工作人員不得有下列傳播計算機病毒的行為：

1、故意輸入計算機病毒，危害計算機信息系統安全。

2、向計算機應用部門提供含有計算機病毒的文件、軟件、媒體。

3、購置和使用含有計算機病毒的媒體。

五、預防和控制計算機病毒的安全管理工作，由我部信息安全協調科負責實施，其主要職責是：

1、制定計算機病毒防治管理制度和技術規程，并檢查執行情況;

2、培訓計算機病毒防治管理人員外；

3、采取計算機病毒安全技術防治措施；

4、對網站計算機信息系統應用和使用人員進行計算機病毒防治教育和培訓；

5、及時檢測、清除計算機系統中的計算機病毒，并做好檢測、清除的記錄；

6、購置和使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品；

7、向公安機關報告發現的計算機病毒，并協助公安機關追查計算機病毒的來源。

8、對因計算機病毒引起的計算機信息系統癱瘓，程序和數據嚴重破壞等重大事故及時向公安機關報告人，并保護現場。

9 、計算機安全管理部門應加強對計算機操作人員的審查，并定期進行安全教育和培訓。

10、計算機信息系統應用部門應建立計算機運行記錄制度，未經審定的任何程序，指令或數據，不得輸入計算機系統運行。

11、計算機安全管理部門應對引起的計算機及其軟件進行計算機病毒檢測，發現染有計算機病毒的，應采取措施加以消除，在未消除病毒之前不準投入使用。

12、通過網絡進行電子郵件或文件傳輸，應及時對傳輸媒體進行病毒檢測，接收到郵件時也要及時進行病毒檢測，以防止計算機病毒的傳播。

13、任何部門和個人不得從事下列活動：

⑴收集、研究有害數據；

⑵出版、刊登、講解、出租有害數據原理，源程序的書籍，資料或文章；

⑶復制有害數據的檢測，清除工具

六、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者，第一次給予警告、第二次給予通報批評，第三次及以上將給予通報批評并進行100-200元/次的處罰。

七、積極接受公安機關對計算機病毒防治管理工作的監督，檢查和指導。

第五項密碼安全保密制度

一、提高安全認識，禁止非工作人員操縱系統主機，不使用系統主機時，應注意鎖屏。

二、每周檢查主機登錄日志，及時發現不合法的登錄情況。

三、對網絡（內部信息平臺）管理員，系統管理員和系統操作員所用口令每十五天更換一次，口令要無規則，重要口令要多于八位。

四、加強口令管理，對文件用隱性密碼方式保存，確認所有帳號都有口令，當系統中的帳號不再被使用時，應立即從相應的數據庫中清除。

五、網絡（內部信息平臺）管理員、系統管理員調離崗位后一小時內由接任人員監督檢查更換新的密碼。

第六項病毒檢測和網絡安全漏洞檢測制度

一、網絡（內部信息平臺）的服務器，具有合法權限的用戶才能進行相應權限范圍內的操作，任何其他非法操作都屬于入侵行為。

二、所有用戶，不準掃描端口，不準猜測和掃描其他用戶的密碼，不準猜測和掃描網絡（內部信息平臺）的服務器和交換設備的口令。

三、系統管理員應定期檢查服務器的系統日志，如發現有入侵情況，應用時采取措施，保留原始數據，以便進行調查取證，并向委領導匯報，做好入侵情況登記。

四、服務器如果發現漏洞要及時修補漏洞或進行系統升級。

五、要定期對網站進行網絡（內部信息平臺）數據包的監控，及時發現和網絡（內部信息平臺）運行情況，全面監視對公開服務器的訪問，及時發現和拒絕不安全的操作和黑客攻擊行為，阻止網絡（內部信息平臺）內外的入侵。

六、網絡（內部信息平臺）信息安全員履行對所有上網信息進行審查的職責，根據需要采取措施，監視、記錄、檢測、制止、查處、防范針對其所管轄網絡（內部信息平臺）或入網計算機的人或事。

七、所有用戶有責任對所發現或發生的違反有關法律，法規和規章制度的人或事予以制止或向我部信息安全協調科反映、舉報，協助有關部門或管理人員對上述人或事進行調查、取證、處理，應該向調查人員如實提供所需證據。

八、網絡（內部信息平臺）管理員應根據實際情況和需要采用新技術調整網絡（內部信息平臺）結構，系統功能，變更系統參數和使用方法，及時排除系統隱患。

深圳前海潤林供應鏈實業有限公司

第七項違法使用網絡

二、以下行為屬于違法使用網絡（內部信息平臺）：

1、破壞網絡（內部信息平臺）通訊設施，包括室內網絡布線，室內信息插座，配線間網絡設備等。

2、隨意改變網絡接入位置。

3、盜用他人的IP地址，更改網卡地址、盜用他人帳號（包括上網帳號、電子郵件帳號、信息發布帳號等）；

4、通過電子郵件、網絡（內部信息平臺）、存儲介質等途徑故意傳播計算機病毒。

5、對網絡進行惡意偵聽和信息截獲，在網絡上發送干擾正常通信的數據。

6、對網絡各攻擊，包括利用已知的.系統漏洞、網絡漏洞、安全工具、端口掃描等進行攻擊，以后、以及利用IP欺騙手段實施的拒絕服務攻擊；

7、訪問和傳播色情、反動、邪教、謠言等不良信息的。

第八項網絡資源管理

一、網絡資源和服務器由信息系統管理員統一進行規劃、管理和監督。

二、服務器及個人用機的管理：

1、各部門及以上服務器必須指定專人負責管理，并在信息系統管理員處備案，未經授權，非管理員不得對其進行操作。

2、各部門及以上的服務器管理員有責任對其負責的服務器進行例行檢查，包括：服務器的CPU、內存、硬盤等資源利用情況；服務器上運行的服務使用情況；服務器上運行的殺毒軟件的及時更新；

3、服務器管理員要做好服務器的備份工作，至少每季度有一份完整備份，重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。

4、個人和各部門未經服務器管理員批準不得私自設立服務器。

5、服務器管理員每月定期對服務器做一次全面檢查，并填寫服務器檢查日志。

6、服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時，管理員密碼需及時更改。

7、各部門所有人員應自行維護電腦的正常使用，并按照要求進行設置及及時進行補丁更新，不得擅自退出域、去除域管理員權限、修改主機名、修改IP等。

三、IP地址的管理：

1、IP地址由服務器管理員統一規劃管理。未經許可，不得擅自更改任何設備的IP地址。

2、我項目部申請的公網IP任何人不得私用。

3、工作需要公網IP，需申請上級領導批準后，方可使用。

4、公司公網IP使用無工作需要時，立即停止使用，并通知服務器管理員收回。

『十一』信息安全管理方案

第一章 總 則

第一條 為加強郵政行業寄遞服務用戶個人信息安全管理，保護用戶合法權益，維護郵政通信與信息安全，促進郵政行業健康發展，根據《中華人民共和國郵政法》、《全國人大常委會關于加強網絡信息保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定，制定本規定。

第二條 在中華人民共和國境內經營和使用寄遞服務涉及用戶個人信息安全的活動以及相關監督管理工作，適用本規定。

第三條 本規定所稱寄遞服務用戶個人信息（以下簡稱寄遞用戶信息），是指用戶在使用寄遞服務過程中的個人信息，包括寄（收）件人的姓名、地址、身份證件號碼、電話號碼、單位名稱，以及寄遞詳情單號、時間、物品明細等內容。

第四條 寄遞用戶信息安全監督管理堅持安全第一、預防為主、綜合治理的方針，保障用戶個人信息安全。

第五條 國務院郵政管理部門負責全國郵政行業寄遞用戶信息安全監督管理工作。

省、自治區、直轄市郵政管理機構負責本行政區域內的郵政行業寄遞用戶信息安全監督管理工作。

按照國務院規定設立的省級以下郵政管理機構負責本轄區的郵政行業寄遞用戶信息安全監督管理工作。

國務院郵政管理部門和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構，統稱為郵政管理部門。

第六條 郵政管理部門應當與有關部門相互配合，健全寄遞用戶信息安全保障機制，維護寄遞用戶信息安全。

第七條 郵政企業、快遞企業及其從業人員應當遵守國家有關信息安全管理的規定及本規定，防止寄遞用戶信息泄露、丟失。

第二章 一般規定

第八條 郵政企業、快遞企業應當建立健全寄遞用戶信息安全保障制度和措施，明確企業內部各部門、崗位的安全責任，加強寄遞用戶信息安全管理和安全責任考核。

第九條 以加盟方式經營快遞業務企業應當在加盟協議中訂立寄遞用戶信息安全保障條款，明確被加盟人與加盟人的安全責任。加盟人發生信息安全事故時，被加盟人應當依法承擔相應安全管理責任。

第十條 郵政企業、快遞企業應當與其從業人員簽訂寄遞用戶信息保密協議，明確保密義務和違約責任。

第十一條 郵政企業、快遞企業應當組織從業人員進行寄遞用戶信息安全保護相關知識、技能培訓，加強職業道德教育，不斷提高從業人員的法制觀念和責任意識。

第十二條 郵政企業、快遞企業應當建立寄遞用戶信息安全投訴處理機制，公布有效聯系方式，接受并及時處理有關投訴。

第十三條 郵政企業、快遞企業受網絡購物、電視購物和郵購等經營者委托提供寄遞服務的，在與委托方簽訂協議時，應當訂立寄遞用戶信息安全保障條款，明確信息使用范圍和方式、信息交換安全保護措施、信息泄露責任劃分等內容。

第十四條 郵政企業、快遞企業委托第三方錄入寄遞用戶信息的，應當確認其具有信息安全保障能力，并訂立信息安全保障條款，明確責任劃分。第三方發生信息安全事故導致寄遞用戶信息泄露、丟失的，郵政企業、快遞企業應當依法承擔相應責任。

第十五條 未經法律明確授權或者用戶書面同意，郵政企業、快遞企業及其從業人員不得將其掌握的寄遞用戶信息提供給任何單位或者個人。

第十六條 公安機關、國家安全機關或者檢察機關的工作人員依照法律規定程序調閱、檢查寄遞詳情單實物及電子信息檔案，郵政企業、快遞企業應當配合，并對有關情況予以保密。

第十七條 郵政企業、快遞企業應當建立寄遞用戶信息安全應急處置機制。對于突發的寄遞用戶信息安全事故，應當立即采取補救措施，按照規定報告郵政管理部門，并配合郵政管理部門和相關部門的調查處理工作，不得遲報、漏報、謊報、瞞報。

第三章 寄遞詳情單實物信息安全管理

第十八條 郵政企業、快遞企業應當加強寄遞詳情單管理，對空白寄遞詳情單發放情況進行登記，對號段進行全程跟蹤，形成跟蹤記錄。

第十九條 郵政企業、快遞企業應當加強營業場所、處理場所管理，嚴禁無關人員進出郵件（快件）處理、存放場地，嚴禁無關人員接觸、翻閱郵件（快件），防止寄遞詳情單實物信息（以下簡稱實物信息）在處理過程中泄露。

第二十條 郵政企業、快遞企業應當優化寄遞處理流程，減少接觸實物信息的處理環節和操作人員。

第二十一條 郵政企業、快遞企業應當采用有效技術手段，防止實物信息在寄遞過程中泄露。

第二十二條 郵政企業、快遞企業應當配備符合國家標準的安全監控設備，安排具有專門技術和技能的人員，對收寄、分揀、運輸、投遞等環節的實物信息處理進行安全監控。

第二十三條 郵政企業、快遞企業應當建立健全寄遞詳情單實物檔案管理制度，實行集中封閉管理，確定集中存放地，及時回收寄遞詳情單妥善保管。設立、變更集中存放地，應當及時報告所在地郵政管理部門。

第二十四條 郵政企業、快遞企業應當對寄遞詳情單實物檔案集中存放地設專人管理，采取必要的安全防護措施，確保存儲安全。

第二十五條 郵政企業、快遞企業應當建立并嚴格執行寄遞詳情單實物檔案查詢管理制度。內部人員因工作需要查閱檔案時，應當確保檔案完整無損，并做好查閱登記，不得私自攜帶離開存放地。

第二十六條 寄遞詳情單實物檔案應當按照國家相關標準規定的期限保存。保存期滿后，由企業進行集中銷毀，做好銷毀記錄，嚴禁丟棄或者販賣。

第二十七條 郵政企業、快遞企業應當對實物信息安全保障情況進行定期自查，記錄自查情況，及時消除自查中發現的信息安全隱患。

第四章 寄遞詳情單電子信息安全管理

第二十八條 郵政企業、快遞企業應當按照國家規定，加強寄遞服務用戶信息相關信息系統和網絡設施的安全管理。

第二十九條 郵政企業、快遞企業信息系統的網絡架構應當符合國家信息安全管理規定，合理劃分安全區域，實現各安全區域之間有效隔離，并具有防范、監控和阻斷來自內部和外部網絡攻擊破壞的能力。

第三十條 郵政企業、快遞企業應當配備必要的防病毒軟件、硬件，確保信息系統和網絡具有防范計算機病毒的能力，防止惡意代碼破壞信息系統和網絡，避免信息泄露或者被篡改。

第三十一條 郵政企業、快遞企業構建信息系統和網絡，應當避免使用信息系統和網絡供應商提供的默認密碼、安全參數，并對通過開放公共網絡傳輸的寄遞用戶信息采取加密措施，嚴格審查并監控對信息系統、網絡設備的遠程訪問。

第三十二條 郵政企業、快遞企業在采購計算機軟件、硬件產品或者技術服務時，應當與供應商簽訂保密協議，明確其安全責任，以及在發生信息安全事件時配合郵政管理部門和相關部門調查的義務。

第三十三條 郵政企業、快遞企業應當建立信息系統安全內部審計制度，定期開展內部審計，對發現的問題及時整改。

第三十四條 郵政企業、快遞企業應當加強信息系統及網絡的權限管理，基于權限最小化和權限分離原則，向從業人員分配滿足工作需要的最小操作權限和可訪問的最小信息范圍。

郵政企業、快遞企業應當加強對信息系統和數據庫的管理，使網絡管理人員僅具有進行信息系統、數據庫、網絡運行維護和優化的權限。網絡管理人員的維護操作須經安全管理員授權，并受到安全審計員的監控和審計。

第三十五條 郵政企業、快遞企業應當加強信息系統密碼管理，使用高安全級別密碼策略，定期更換密碼，禁止將密碼透露給無關人員。

第三十六條 郵政企業、快遞企業應當加強寄遞用戶電子信息的存儲安全管理，包括：

（一）使用獨立物理區域存儲寄遞用戶信息，禁止非授權人員進出該區域；

（二）采用加密方式存儲寄遞用戶信息；

（三）確保安全使用、保管和處置存有寄遞用戶信息的計算機、移動設備和移動存儲介質。明確管理數據存儲設備、介質的負責人，建立設備、介質使用和借用登記制度，限制設備輸出接口的使用。存儲設備和介質報廢的，應當及時刪除其中的寄遞用戶信息數據，并銷毀硬件。

第三十七條 郵政企業、快遞企業應當加強寄遞用戶信息的應用安全管理，對所有批量導出、復制、銷毀用戶個人信息的操作進行審查，并采取防泄密措施，同時記錄進行操作的人員、時間、地點和事項，留作信息安全審計依據。

第三十八條 郵政企業、快遞企業應當加強對離崗人員的信息安全審計，及時刪除或者禁用離崗人員系統賬戶。

第三十九條 郵政企業、快遞企業應當制定本企業與市場相關主體的信息系統安全互聯技術規則，對存儲寄遞服務信息的信息系統實行接入審查，定期進行安全風險評估。

第五章 監督管理

第四十條 郵政管理部門依法履行下列職責：

（一）制定保障寄遞用戶信息安全的政策、制度和相關標準，并監督實施；

（二）監督、指導郵政企業、快遞企業落實信息安全責任制，督促企業加強寄遞用戶信息安全管理；

（三）對寄遞用戶信息安全進行監測、預警和應急管理；

（四）監督、指導郵政企業、快遞企業開展寄遞用戶信息安全宣傳教育和培訓；

（五）依法對郵政企業、快遞企業實施寄遞用戶信息安全監督檢查；

（六）組織調查或者參與調查寄遞用戶信息安全事故，依法查處違反寄遞用戶信息安全管理規定的行為；

（七）法律、行政法規和規章規定的其他職責。

第四十一條 郵政管理部門應當加強郵政行業寄遞用戶信息安全管理制度和知識的宣傳，強化郵政企業、快遞企業及其從業人員的信息安全管理意識，提高用戶對個人信息安全保護的認識。

第四十二條 郵政管理部門應當加強郵政行業寄遞用戶信息安全運行的監測預警，建立信息管理體系，收集、分析與信息安全有關的各類信息。

下級郵政管理部門應當及時向上一級郵政管理部門報告郵政行業寄遞用戶信息安全情況，并根據需要通報工業和信息化、通信管理、公安、國家安全、商務和工商行政管理等相關部門。

第四十三條 郵政管理部門應當對郵政企業、快遞企業建立和執行寄遞用戶信息安全管理制度，規范從業人員信息安全保護行為，防范信息安全風險等情況進行檢查。

第四十四條 郵政管理部門發現郵政企業、快遞企業存在違反寄遞用戶信息安全管理規定，妨害或者可能妨害寄遞用戶信息安全的，應當依法進行調查處理。違法行為涉及其他部門管理職權的，郵政管理部門應當會同有關部門對涉案郵政企業、快遞企業進行調查處理。

第四十五條 郵政管理部門應當加強對郵政企業、快遞企業及其從業人員遵守本規定情況的監督檢查。

第四十六條 郵政企業、快遞企業拒不配合寄遞用戶信息安全監督檢查的，依照《中華人民共和國郵政法》第七十七條的規定予以處罰。

第四十七條 郵政企業、快遞企業及其從業人員因泄露寄遞用戶信息對用戶造成損失的，應當依法予以賠償。

第四十八條 郵政企業、快遞企業及其從業人員違法提供寄遞用戶信息，尚未構成犯罪的，依照《中華人民共和國郵政法》第七十六條的規定予以處罰。構成犯罪的，移送司法機關追究刑事責任。

第四十九條 任何單位和個人有權向郵政管理部門舉報違反本規定的行為。郵政管理部門接到舉報后，應當依法及時處理。

第五十條 郵政管理部門可以在行業內通報郵政企業、快遞企業違反寄遞用戶信息安全管理規定行為、信息安全事件，以及對有關責任人員進行處理的情況。必要時可以向社會公布上述信息，但涉及國家秘密、商業秘密和個人隱私的除外。

第五十一條 郵政管理部門及其工作人員對在履行職責過程中知悉的寄遞用戶信息應當保密，不得泄露、篡改或者損毀，不得出售或者非法向他人提供。

第五十二條 郵政管理部門工作人員在寄遞用戶信息安全監督管理工作中濫用、玩忽職守，依照《郵政行業安全監督管理辦法》第五十五條的規定予以處理。

第六章 附 則

第五十三條 本規定自發布之日起施行。

『十二』信息安全管理方案

目錄

信息安全管理制度...................................................................................................... 2

第一項計算機管理制度............................................................................................ 4

第二項機房管理制度................................................................................................ 5

第三項網絡安全管理制度........................................................................................ 8

第四項計算機病毒防治管理制度..........................................................................10

第五項密碼安全保密制度......................................................................................12

第六項病毒檢測和網絡安全漏洞檢測制度..........................................................13

第七項違法使用網絡..............................................................................................14

第八項網絡資源管理..............................................................................................15

信息安全管理制度

為維護公司信息安全，保證公司網絡環境的穩定，特制定本制度。

第一條信息安全是指通過各種計算機、網絡（內部信息平臺）和密碼技術，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。

1、信息處理和傳輸系統的安全。系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護，避免因為系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。

2、信息內容的安全。側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測，采取技術措施對所發現的漏洞進行補救，防止竊取、冒充信息等。

3、信息傳播安全。要加強對信息的審查，防止和控制非法、有害的信息通過本公司的信息網絡（內部信息平臺）系統傳播，避免對公司利益、公共利益以及個人利益造成損害。

第二條信息的內部管理

1、各部門在向網絡（內部信息平臺）系統提交信息前要作好查毒、殺毒工作，確保信息文件無毒上載；

2、根據情況，采取網絡（內部信息平臺）病毒監測、查毒、殺毒等技術措施，提高網絡（內部信息平臺）的整體搞病毒能力；

3、各信息應用部門對本部門所負責的信息必須作好備份；

4、各部門應對本部門的信息進行審查，網站各欄目信息的負責部門必須對發布信息制定審查制度，對信息來源的合法性，發布范圍，信息欄目維護的負責人等作出明確的規定。信息發布后還要隨時檢查信息的完整性、合法性；如發現被刪改，應及時向信息安全部門報告；

5、涉密文件不可放置個人計算機中，非涉密電子郵件的收發也要實行病毒查殺。

第四條信息加密

1、涉及公司秘密的信息，其電子文檔資料應當在涉密介質中加密單獨存儲；

2、涉及公司和部門利益的敏感信息的電子文檔資料應當在涉密介質中加密單獨存儲；

第五條任何部門和個人不得從事以下活動：

1、利用信息網絡系統制作、傳播、復制有害信息；

2、入侵他人計算機；

3、未經允許使用他人在信息網絡系統中未公開的信息；

4、未經授權對網絡（內部信息平臺）系統中存儲、處理或傳輸的信息（包括系統文件和應用程序）進行增加、修改、復制和刪除等；

5、未經授權查閱他人郵件；

6、盜用他人名義發送電子郵件；

7、故意干擾網絡（內部信息平臺）的暢通運行；

8、從事其他危害信息網絡（內部信息平臺）系統安全的活動。

第六條本制度自發布之日起施行，凡與本制度有沖突的均以本制度為準。

第一項計算機管理制度

為保證計算機的正常運行，確保計算機安全運行，制定本制度。

一、管理范圍劃分

本公司計算機分為涉密和非涉密兩部分，涉密計算機指主要用于儲存或傳輸有關人事、財務、經濟運行、信息安全等涉及企業經營管理信息的計算機。非涉密計算機指用于儲存或傳輸日常辦公資料信息計算機。信息技術部、關務部、財務部計算機按照涉密要求進行管理。

二、非涉密計算機日常管理

1、各部門的計算機，操作人為管理第一責任人，承擔公司計算機操作的管理、保密和安全,以防止誤操作造成系統紊亂、文件丟失等故障。

2、計算機主要是用于業務數據的`處理及信息傳輸,提高工作效率。嚴禁上班時間用計算機玩游戲及運行一切與工作無關的軟件。

3、新購的計算機、初次使用的軟件、數據載體應經我部計算機管理員檢測,確認無病毒和有害數據后,方可投入使用。

4、計算機操作人員發現本部門的計算機感染病毒,應立即中斷運行,并與計算機管理員聯系及時消除。

5、愛護機關計算機設備，保持計算機設備的干凈整潔。

三、涉密計算機日常管理

1、涉密的計算機內的重要文件由專人集中加密保存,不得隨意復制和解密,未經加密的重要文件不能存放在與國際聯網的計算機上。

2、對需要保存的涉密信息,可到信息安全科轉存到光盤或其他可移動的介質上。存儲涉密信息的介質應當按照所存儲信息的最高密級標明密級,并按相應密級的文件管理。

3、對信息載體(軟盤、光盤等)及計算機處理的業務報表、技術數據、圖紙要有專人負責保存,按規定使用、借閱、移交、銷毀。

四、其他

對違反以上規定的行為視情節輕重,由公司行政部進行處罰，并追究有關人員的責任。

『十三』信息安全管理方案

1.安全管理制度要求

1.1總則：為了切實有效的保證公司信息安全，提高信息系統為公司生產經營的服務能力，特制定交互式信息安全管理制度，設定管理部門及專業管理人員對公司整體信息安全進行管理，以確保網絡與信息安全。

1.1.1建立文件化的安全管理制度，安全管理制度文件應包括：

a)安全崗位管理制度；

b)系統操作權限管理；

c)安全培訓制度；

d)用戶管理制度；

e)新服務、新功能安全評估；

f)用戶投訴舉報處理；

g)信息發布審核、合法資質查驗和公共信息巡查；

h)個人電子信息安全保護；

i)安全事件的監測、報告和應急處置制度；

j)現行法律、法規、規章、標準和行政審批文件。

1.1.2安全管理制度應經過管理層批準，并向所有員工宣貫

2.機構要求

2.1法律責任

2.1.1互聯網交互式服務提供者應是一個能夠承擔法律責任的組織或個人。

2.1.2互聯網交互式服務提供者從事的信息服務有行政許可的應取得相應許可。 3.人員安全管理

3.1安全崗位管理制度

建立安全崗位管理制度，明確主辦人、主要負責人、安全責任人的職責：崗位管理制度應包括保密管理。

3.2關鍵崗位人員

3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規、道德規范和對應的業務要求來執行，包括：1.個人身份核查：2.個人履歷的核查：

3.學歷、學位、專業資質證明：

4.從事關鍵崗位所必須的能力

3.2.2應與關鍵崗位人員簽訂保密協議。

3.3安全培訓

建立安全培訓制度，定期對所有工作人員進行信息安全培訓，提高全員的信息安全意識，包括：

1.上崗前的培訓；

2.安全制度及其修訂后的培訓；

3.法律、法規的發展保持同步的繼續培訓。

應嚴格規范人員離崗過程：

a)及時終止離崗員工的所有訪問權限；

b)關鍵崗位人員須承諾調離后的保密義務后方可離開；

c)配合公安機關工作的人員變動應通報公安機關。 3.4人員離崗

實習報告網（Sxw9.cOM）冷門知識寶庫:
• 信息安全報告?|?信息安全應急預案?|?信息安全文案?|?信息管理實習報告?|?信息安全管理方案?|?信息安全管理方案

應嚴格規范人員離崗過程：

a)及時終止離崗員工的所有訪問權限；

b)關鍵崗位人員須承諾調離后的保密義務后方可離開；

c)配合公安機關工作的人員變動應通報公安機關。

4.訪問控制管理

4.1訪問管理制度

建立包括物理的和邏輯的系統訪問權限管理制度。

4.2權限分配

按以下原則根據人員職責分配不同的訪問權限：

a)角色分離，如訪問請求、訪問授權、訪問管理；

b )滿足工作需要的最小權限；

c)未經明確允許，則一律禁止。

4.3特殊權限限制和控制特殊訪問權限的分配和使用：

a)標識出每個系統或程序的特殊權限；

b)按照“按需使用”、“一事一議”的原則分配特殊權限；

c)記錄特殊權限的授權與使用過程；

d)特殊訪問權限的分配需要管理層的批準。

注：特殊權限是系統超級用戶、數據庫管理等系統管理權限。

4.4權限的檢查

定期對訪問權限進行檢查，對特殊訪問權限的授權情況應在更頻繁的時間間隔內進行檢查，如發現不恰當的權限設置，應及時予以調整。

5網絡與主機系統的安全

5.1 網絡與主機系統的安全

應維護使用的網絡與主機系統的安全，包括：

a)實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施；

b)實施7×24h網絡入侵行為的預防、檢測與響應措施；

c)適用時，對重要文件的完整性進行檢測，并具備文件完整性受到破壞后的恢復措施；

d)對系統的脆弱性進行評估，并采取適當的措施處理相關的風險。注：系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。

5.2備份5.2.1

應建立備份策略，有足夠的備份設施，確保必要的信息和軟件在災難或介質故障時可以恢復。

5.2.2 網絡基礎服務（登錄、消息發布等）應具備容災能力。

5.3安全審計

5.3.1應記錄用戶活動、異常情況、故障和安全事件的日志。

5.3.2審計日志內容應包括：

a)用戶注冊相關信息，包括：

1)用戶唯一標識；

2)用戶名稱及修改記錄；

3)身份信息，如姓名、證件類型、證件號碼等；

4 )注冊時間、IP地址及端口號；

5)電子郵箱地址和于機號碼；

6 )用戶備注信息；7 )用戶其他信息。

b )群組、頻道相關信息，包括：

1)創建時間、創建人、創建人IP地址及端口號；

2 )刪除時間、刪除人、刪除人IP地址及端口號；

3 )群組組織結構；

4 )群組成員列表。

c)用戶登錄信息，包括：

1)用戶唯一標識；2 )登錄時間；3 )退出時間；4 ) IP地址及端口號。

d )用戶信息發布日志，包括：1)用戶唯一標識；2 )信息標識；3)信息發布時間；4 ) IP地址及端口號；5 )信息標題或摘要，包括圖片摘要 。

e)用戶行為，包括：1 )進出群組或頻道；2 )修改、刪除所發信息；3 )上傳、下載文件。

5.3.3應確保審計日志內容的可溯源性，即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡聊天等網絡消息服務提供者應能防范偽造、隱匿發送者真實標記的消息的措施；涉及地址轉換技術的服務，如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息；涉及短網址服務的,應審計原始URL與短UR L之間的映射關系。

5.3.4應保護審計日志，保證無法單獨中斷審計進程，防止刪除、修改或覆蓋審計日志。

5.3.5應能夠根據公安機關要求留存具備指定信息訪問日志的留存功能。

審計日志保存周期

a )應永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及歷史變更記錄；

b)系統維護日志信息保存12個月以上；

c)應留存用戶日志信息12個月以上；

d )對用戶發布的信息內容保存6個月以上；

e)已下線的系統的日志保存周期也應符合以上規定。

6應用安全

6.1用戶管理

6.1.1向用戶宣傳法律法規，應在用戶注冊時，與用戶簽訂服務協議，告知相關權利義務及需承擔的法律責任。

6.1.2建立用戶管理制度，包括：

a )用戶實名登記真實身份信息，并對用戶真實身份信息進行有效核驗，有校核驗方法可追溯到用戶登記的真實身份，如：1)身份證與姓名實名驗證服務：2)有效的銀行卡：3)合法、有效的數字證書：4)已確認真實身份的網絡服務的注冊用戶：5)經電信運營商接入實名認證的用戶。（如某網站采用已經實名認證的第三方賬號登陸，可認為該網站的用戶已進行有效核驗。）

b )應對用戶注冊的賬號、頭像和備注等信息進行審核，禁止使用違反法律法規和社會道德的內容：

c )建立用戶黑名單制度，對網站自行發現以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。

6.1.3當用戶利用互聯網從事的服務需要行政許可時，應查驗其合法資質，查驗可以通過以下方法進行：a )核對行政許可文件：b )通過行政許可主管部門的公開信息: c )通過行政許可主管部門的驗證電話、驗證平臺。

6.2違法有害信息防范和處置

6.2.1公司采取管理與技術措施，及時發現和停止違法有害信息發布。

6.2.2公司采用人工或自動化方式，對發布的信息逐條審核。

采取技術措施過濾違法有害信息，包括且不限于:a )基于關鍵詞的'文字信息屏蔽過濾；b)基于樣本數據特征值的文件屏蔽過濾；c)基于URL的屏蔽過濾。

6.2.3應采取技術措施對違法有害信息的來源實施控制，防止繼續傳播。

注：違法有害信息來源控制技術措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發布來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。

6.2.4公司建立7*24h信息巡查制度，及時發現并處置違法有害信息。

6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調差配合制度，包括：

a)對發現的違法有害信息，立即停止發布傳輸，保留相關證據（包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄），并向屬地公安機關報告

b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關報告，同時配合公安機關做好調查取證工作

6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個環節應能再5min之內刪除，相關的屏蔽過濾措施應在10min內生效。 6.3破壞性程序防范

6.3.1實施破壞性程序的發現和停止發布措施、并保留發現的破壞性程序的相關證據。

6.3.2對軟件下載服務提供者（包括應用軟件商店），檢查用戶發布的軟件是否是計算機病毒等惡意代碼。

7個人電子信息保護

7.1.1制定明確、清楚的個人電子信息處置規則，并且在顯著位置予以公示。在用戶注冊時，在與用戶簽訂服務協議中明示收集與使用個人電子信息的目的、范圍與方式。

7.1.2湖南凱美醫療網站僅收集為實現正當商業目的和提供網絡服務所必需的個人信息；收集個人電子信息時，取得用戶的明確授權同意；公司在姜個人電子信息交給第三方處理時，處理方符合本制度標準的要求，并取得用戶明確授權同意；法律、行政法規另有規定的，從其規定。

7.1.3公司在修改個人電子信息處理時，應告知用戶，并取得其同意。

7.2技術措施

公司建立覆蓋個人電子信息處理的各個環節的安全保護制度和技術措施，防止個人電子信息泄露、損毀、丟失，包括：

a )采用加密方式保存用戶密碼等重要信息

b )審計內部員工對涉及個人電子信息的所有操作，并對審計進行分析，預防內部員工故意泄露

c )審計個人電子信息上載、存儲或傳輸，作為信息泄露，毀損，丟失的查詢依據

d )建立程序來控制對涉及個人電子信息的系統和服務的訪問權的分配。這些程序涵蓋用戶訪問生存周期內的各個階段，從新用戶初始注冊到不再需要訪問信息系統和服務的用戶的最終撤銷

e )系統的安全保障技術措施覆蓋個人電子信息處理的各個環節，防止網絡違法犯罪活動竊取信息，降低個人電子信息泄露的風險

7.3個人信息泄露事件的處理

a)當發現個人電子信息泄露時間后，應：

b )立即采取補救措施，防止信息繼續泄露

c )24小時內告知用戶，根據用戶初始注冊信息重新激活賬戶，避免造成更大的損失立即告屬地公安機關

8安全事件管理

8.1安全時間管理制度

8.1.1建立安全事件的監測、報告和應急處置制度，確?？焖儆行Ш陀行虻仨憫踩录?

8.1.2安全事件包括違法有害信息、危害計算機信息系統安全的異常情況及突發公共事件。

8.2應急預案

制定安全事件應急處置預案，向屬地公安機關寶貝，并定期開展應急演練。

8.3突發公共事件處理

突發公共事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），互聯網交互式服務提供者應建立相應處置機制，當突發公共事件發生后，投入相應的人力與技術措施開展處置工作：

a)I級：應投入安全管理等部門80%甚至全部人力開展處置工作；

b)II級：應投入安全管理等部門50% -80%的人力開展處置工作；

c)III級：應投入安全管理等部門30%-50%的人力開展處置工作；

d)IV級：應投入安全管理等部門30%的人力開展處置工作。

8.4技術接口

公司網站所設技術接口為公安機關提供的符合國家及公共安全行業標準的技術接口，能確保實時，有效地提供相關證據。

『十四』信息安全管理方案

1.總則

1.1目的：

為加強公司作風建設，宣傳廉潔文化，預防利用職務及職權謀取不正當利益。同時做好公司信息的安全和保密工作，使公司所擁有的信息在經營活動中充分利用，保護公司的利益不受侵害，樹立健康積極的企業文化形象，特制定本管理制度。

1.2適用范圍：

本制度適用于公司所有在職員工。

1.3定義：

廉潔：清白高潔，不貪污，從不使用公家的錢來養活自己（不貪污），就是指人生光明磊落的態度和誠信，正直的風氣。

信息安全：信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行。

業務單位：與公司有一切業務（含但不限于供貨、施工、促銷合作等關系）往來或聯系的單位或個人。

1.4職責權限

3.1總經辦負責廉潔文化建設方向的指引，對公司的信息安全管理具有監督和最后裁決權。

3.2監察部負責監督和執行廉潔與信息安全管理規定，接受全體員工的舉報和監督，對舉報和違規情況進行調查核實。

3.3行政部負責廉潔文化和信息安全意識的宣傳和教育，接收和申報處理公司員工收受和外部財物。

3.4信息部負責公司所有文件資料的分類存檔和保存，對電子存檔資料進行定期整理和備份，并做好文件防盜和密碼保護工作。

3.5各部門：具有共同維護公司廉潔文化建設和信息保密工作的權利，都有保守公司秘密的義務，對公司廉潔和信息安全管理規定具有監督和舉報權。

2.主要內容：

2.1廉潔自律規定

2.1.1不準收受任何業務單位的個人現金、購物卡券、有價證券和支付憑證。

2.1.2因各種原因未能拒收業務單位的，必須及時向公司行政部申報統一處理。具體需申報的情況如下：

業務單位不回收的樣品和商品贈品；

業務單位節假日饋贈的禮品、禮籃等；

業務單位贈送的其他具有實際價值實物、活動等。

業務單位組織的集體考察、學習、旅游等外出活動；

業務單位贈送的無法拒絕的各類現金、購物卡券、有價證券和支付憑證；

2.1.3不準向業務單位及其個人借貸錢物。

2.1.4不準在各業務單位報銷應由個人支付的有關票據。

2.1.5不借業務辦理之機，對各業務單位吃、卡、拿、要。

4.1.6禁止利用職權和職務上的便利和影響為親友及身邊工作人員謀取利益。

2.1.7工作中不弄虛作假，按規定收集整理好各類基礎資料，不做假帳或帳外賬。

2.1.8不準用公款支付個人名義的宴請。公關或業務接待必須經總經辦批準后在合理的范圍內進行。

2.1.9不準接受可能對商品和設備供應價格、工程施工價格的業務合作行為產生影響的錢、物饋贈和宴請。

2.1.10不準為謀取不正當的利益，在經濟往來中違反有關規定，以各種名義收取回扣、中介費、手續費等歸個人所有。

2.1.11不借出差、考察、學習之機利用公款進行旅游娛樂活動，或接受可能影響公正辦理業務的宴請、禮品饋贈或其他服務。

2.1.12嚴禁以虛報、謊報等手段獲取榮譽；以虛報、謊報等手段獲取的榮譽、職稱及其他利益予以取消或者糾正。

2.2信息安全

2.2.1公開信息：公司已對外公開發布的信息，如公司宣傳冊、產品或公司介紹視頻等。

2.2.2保密信息：公司僅允許在一定范圍內發布的信息，一旦泄露，將可能給公司或相關方造成不良影響。比如公司投資計劃等。

2.2.3根據信息價值、影響及發放范圍的不同，公司將保密信息劃分為絕密、機密、秘密、內部公開四個級別。

絕密信息：關系公司前途和命運的公司最重要、最敏感的信息，對公司根本利益有著決定性影響的保密信息，如：公司訂單，重大投資決議等。

機密信息：公司重要秘密，一旦泄露將使公司利益受到嚴重損害的保密信息如：未發布的任命文件，公司財務分析報告等文件。

秘密信息：公司一般性信息，但一旦泄露會使公司利益受到損害的保密信息，如：人事檔案，供應商選擇評估標準等文件。

內部公開：僅在公司內部公開或僅在公司某一個部門內公開，對外泄露可能會使公司利益造成損害的保密信息的保密信息，如：年度培訓計劃，員工手冊，各種規章制度等。

2.2.4公司保密信息包括但不限于以下內容：

公司經營發展決策中的秘密事項；

專有技術，專利技術、技術圖紙；

生產細則、工程BOM、SOP及治具資料；

人事決策中的秘密事項；

重要的合同、客戶和合作渠道；

招標項目的標底、合作條件、貿易條件；

財務信息，公司非向公眾公開的財務情況、銀行賬戶賬號；

董事會或總經理確定應當保守的公司其他秘密事項。

2.2.5除公司已經正式對外公開發布的信息外，任何單位和個人不得從事以下活動：

利用信息網絡系統制作、傳播、復制有害信息；

未經允許使用他人在信息網絡系統中未公開的信息；

未經授權對網絡（內部信息平臺）系統中存儲、處理或傳輸的信息（包括系統文件和應用程序）進行增加、修改、復制和刪除等；

未經授權查閱他人郵件；

盜用他人名義發送電子郵件；

故意干擾網絡（內部信息平臺）的暢通運行；

從事其他危害信息網絡（內部信息平臺）系統安全的活動。

2.2.6公司保密信息應根據需要，限于一定范圍的員工接觸。接觸公司秘密的員工，未經批準不準向他人泄露。非接觸公司秘密的員工，不準打聽公司秘密。

2.3違規追責處理

2.3.1公司所有員工一經任何人發現或內外部舉報有違廉潔自律的行為，公司將組織相關部門進行調查核實，一經查證，將追究責任人所造成的責任損失，并進行違規處罰，對造成公司重大經濟損失且情節嚴重的，將移交公安機關進行立案處理。

2.3.2除公司公開的信息外，任何人將公司的保密信息以任何形式（口頭傳達、電子郵件、上傳網絡、存儲拷貝、拍照影印、復印資料）對外泄露或散布出去的，公司將從源頭上追究信息泄密者，經查實后立即根據情節輕重進行追責處理。因信息泄密造成公司經濟損失或形象受損時，將依法移交司法機關進行處理。

3.附則

3.1本制度最終解釋權歸xx有限公司所有。

3.2本制度自20xx年8月9日起實行，暫定實施1年。

『十五』信息安全管理方案

摘要：在信息技術速度發展的背景下，辦公自動化逐漸在越來越多的企業中運用，尤其是信息傳輸工作，人們更多的是依靠計算機技術，這不僅減少了信息傳輸過程中的時間，而且還為人們的高效辦公提供良好的條件。然而企業享受自動化的辦公帶來便利性的同時對信息安全隱患問題要給予高度重視。尤其出現內部信息泄露的情況會對企業造成較大的影響，因此，企業需要加強管理網內的信息資源，從優化管理系統方面入手，從而不斷提升企業信息的安全性。本文主要分析企業設計信息安全方面的系統，提升信息安全性。

關鍵詞：企業內網；信息安全管理系統；設計；研究

網絡信息和計算機技術發展的背景下，為人們的工作帶來極大便利性，然而由于信息出現泄露的情況十分嚴重，這使得企業蒙受嚴重的損失。因此，這就需要企業不斷加強對信息安全的管理工作，從而更好地保護企業信息的安全性。尤其是企業中財務信息、高層機密決策以及技術信息等更是需要加強管理，這能夠充分保障企業發展所需要的優勢資源。本文重點分析企業如何設計信息管理的系統，進一步提升企業中信息管理的可靠性。

1闡述企業內部對信息管理的情況

1.1企業缺乏監控體系

目前，許多企業中在內部網絡和外部網絡之間的連接處基本依靠防火墻進行控制，而對企業中員工的上網行為則主要是依靠訪問管理的方式進行控制。然而這些防護方式并沒有對企業內部信息實施有效的監控[1]，一旦受到來自外界干擾或者是外界系統對公司的入侵，極易造成企業中的信息發生泄漏的問題，因此，為了能夠更好地管理企業信息，就需要不斷提升監控能力。

1.2企業缺乏安全管理機制

這主要表現在企業中沒有一個安全管理的機制，企業中對信息安全管理還處于初級認識階段。因此，在管理工作中沒有嚴格地監控機制，從而導致了企業中的信息安全存在較大的威脅性。然而盡管有的企業對信息管理采取一定的措施，然而在管理方面的力度不夠，尤其對企業員工的管理沒有十分明確的制度規定，這一方面導致了企業員工對信息安全的認識度不高，另一方面對信息安全的保護力度不足，使得企業內部信息受到極大的威脅。

1.3企業缺乏應急流程

目前，企業在信息安全保護工作中沒有一套有效的應急流程，一旦企業中發生信息問題，難以找到有效的負責人，這不僅沒有有效管理信息，而且也難以防止類似信息問題再次發生[2]。尤其是信息管理的機房以及子系統中，實施遠程控制沒有取得顯著的效果，而發生信息問題時，也不能及時上報，從而延緩了信息問題處理的良好時機。

2分析安全隱患

2.1操作系統存在安全隱患的問題

這主要是由于企業中許多員工在工作中操作系統方面沒有十分注意信息安全的問題，并認為只要電腦能夠正常使用，并且不影響自己的工作情況即可，而較少考慮自己信息安全方面的問題，所以這就導致了需要操作中出現信息泄露的問題，例如從不同的端口中出現駭客入侵的情況，從而導致了信息安全受到較大的影響。

2.2應用系統存在安全隱患的問題

由于企業中各個不用的工作種類對信息的需要量不同，因此，在信息管理方面也出現需要一定的困難，因為工作中所涉及的應用系統較多，而且其中的信息保密程度不同，所以一旦應用系統出現問題就會對信息安全帶來較大的威脅性[3]。此外，由于應用系統具有不斷變化的特點，這對信息安全帶來一定的威脅。

2.3病毒侵害目前，各種各樣的病毒入侵，對信息安全帶來較大的影響，而且這些病毒還有快速傳播的特點，因此，信息安全受到較大的威脅。此外，在傳播途徑方面出現的多樣化，也對信息安全產生了較大影響。例如通過郵件、下載以及移動設備等方式而攜帶病毒，從而對企業中的管理信息的系統造成不良影響。

3分析信息管理系統設計

在文章中主要分析信息系統設計工作中通過客戶端和服務器端的模式而不斷提升信息系統的安全性，在這一模式下，可以通過服務器端和客戶端而對企業中的信息進行有效管理，這能夠更好地降低當前企業中信息安全的威脅度，同時也能夠有效提升企業中信息管理的工作效率[4]。從當前市場上所流行的一些主流應用軟件可知，基本是分布式的模式發展較快，此外，在分散網絡以及終端設備方面也能夠通過組件的方式而不斷提升管理的效率，這就能夠在滿足企業對信息的需求情況。無論出于企業中的何種位置上，只要出于互聯網支持的背景下，都能夠隨意訪問企業內部的系統，同時還能夠在各個應用系統中做到組件共享和系統升級。由此可知，運用客戶端和服務器端的方式就能夠更好地提升信息保護的能力，當企業工作人員對信息進行提取時，此時企業內部的服務器就會接收對應的信息，然后經過系統的處理，而將信息提取的結果有效反饋給信息需求者。當前企業中運用客戶端和服務器端的模式在信息管理工作中不斷提升了工作效率，同時也對信息安全保護帶來幫助。這種模式具有良好的交互性、安全性、響應快以及網絡負載較低等特點[5]，從而能夠提升信息數據的處理速度。

3.1分析系統工作的原理

在本次設計的信息管理系統中主要從如下三個不同部分共同組成，即控制端、客戶端以及服務器端。而在信息管理工作中的人員則需要按照三者不同的作用而控制好企業中內網的情況，因此，這就需要安裝控制端、客戶端以及服務端，然后做好對企業中的信息工作。其中，在企業中的信息保護工作就需要在計算機中的客戶端做好控制，而系統中的客戶端則能夠加強控制，最后是存儲信息方面，計算機需要對計算機中的信息實施有效的保護，這對具有存儲功能的計算機而言，這一個服務項目就稱之為服務器端，它主要的作用就是能夠在數據庫中保護好客戶端中的信息，并能夠在日常監控中記下監聽日志[6]。該信息管理的系統在實際工作中的操作方式是：第一，做好數據源的統計工作，這主要是對客戶端中各種信息（包括軟硬件）、屏幕采集、信息數據以及監聽日志做好統計工作；第二，對不同的數據信息進行收集和整理，這主要是從服務段每天所收集的信息而進行分類處理，尤其是在對其中的不同的類型的信息都需要做好整理，從而能將數據劃分在對應的數據庫中，便于做好信息管理的工作；第三，從信息管理系統中下載數據，這主要是從數據庫中對不同的信息數據進行下載和管理，并能夠將這些數據保存在對應的數據庫中，從能夠在為信息管理工作提供一定的指導依據；第四，動作響應，這主要是對客戶端中的信息進行管理，此時工作人員可以從信息控制端中接收信息指令，然后根據系統中的掌握信息是否處于安全的環境下。例如通過網絡中所收集的信息，則能夠通過客戶端而更好地掌握網絡中的信息傳輸情況，從而幫助企業帶來良好的信息保護依據[7]。通過分析上述信息實施的過程情況可知，客戶端屬于信息安全保護的重點內容，主要的內容模塊有：通信、安全策略、信息釆集以及命令執行。而在該系統中，服務器端則主要是對系統中的數據進行科學管理，其主要包括的內容有：系統部署、信息服務、管理、信息匯總以及遠程安裝模塊。系統中的控制端主要是對管理人員而言的，它能夠為數據查詢工作提供幫助，同時更好地將數據信息傳遞給對應的工作人員，主要的模塊有：命令控制、通訊、策略配置以及圖形化。

3.2分析信息系統的功能設計情況

1）運行中系統資源的占用情況

這主要是因為系統通過屏幕錄制的模塊可以和計算機運行保持同步，所以在安全角度就需要做到完整性以及隱秘性，而屏幕錄制在運行時沒有占據較多的內存，從而能夠充分保存計算機為日常工作提供便利性。從近年來發展情況可知，存儲技術在不斷進步，其中以大容量存儲設備最為顯著，通過這些大容量的設備而更好地滿足信息管理中對空間的需求情況。此外，通過壓縮的方式也可以釋放一定的內存。

2）分析監聽模塊

在本文中所設計的信息系統還增加了監聽模塊，主要是從網絡流量的情況而做好信息保密工作。因此，在設計本系統中，還增加了一個管理信息管理的模塊，主要是信息管理計算機進行監聽，例如其中的網絡流量情況、數據傳輸速度以及信息的保密性等，經過技術人員研究之后所得到本系統的功能如下：第一，系統對信息數據包的截獲情況，此時可以運用軟件對網絡中的信息進行監測，然后通過信息源中的主機情況進行分析，從而能夠將信息從主機服務口實施過濾，促成相關信息形成日志，第二，協議分析，這主要是針對信息傳輸工作中，主要是將數據信息轉化文字信息，同時能夠掌握好數據信息[8]，從而便于工作人員提升對網絡性能的監控能力，從而能夠對網絡安全運行而提供良好的保障性。因此，在計算機中需要通過網絡正常的方式而提升信息的安全度。通過數據包的截獲，可以對其中的信息數據進行分析與匹配，工作人員就能夠從一些可以信息中找出可疑信息，進而能夠對保護原始數據帶來幫助。

4結束語

當前，企業在發展過程中需要不斷擴大業務范圍，從而能夠有效鞏固自己的市場地位，同時也能夠有效節約企業發展所需要的成本。而在信息化發展的背景下，人們已經對計算機技術產生了較大的依賴性，同時人們日常工作中對借助于信息化技術幫助也極大地提升了工作效率，并逐漸建成企業中的網絡系統、門戶系統以及郵件系統，而在實際管理企業信息系統方面還需要不斷加強，從而保護好企業發展中的各種信息，尤其是處理企業中所存在的安全問題，從而有效防止企業內部的信息出現泄漏的情況。文章中所設計系統經過實踐運用對企業信息保護帶來積極幫助，然而在實際工作中還需要針對新情況而不斷完善。

參考文獻：

[1]石玉成.企業內網USB設備監控與審計管理系統的設計與實現[J].信息安全與技術,20xx,4(1).

[2]呂志強,劉喆,常子敬,等.惡意USB設備攻擊與防護技術研究[J].信息安全研究,20xx,2(2).

[3]王義春.基于IBE的電力內網安全機制研究[J].黑龍江科學,20xx,7(4).

[4]王義春.基于IBE的電力內網安全機制研究[J].黑龍江科學,20xx,7(17).

[5]于寶東.桌面安全系統助力石化企業計算機終端管理[J].中國管理信息化,20xx,18(2).

[6]劉梁,姚文,張晶,等.淺談三級氣象信息系統測評及安全防護策略[J].信息安全與技術,20xx,4(4).

[7]劉梁,姚文,張晶,等.淺談三級氣象信息系統測評及安全防護策略[J].信息安全與技術,20xx,4(4).

[8]馬征,盧士達,丁海松,等.信息外網終端虛擬化設計與實現[J].華東電力,20xx,41(8).

推薦閱讀: 系統安全方案(范本17篇) 工作策劃方案(范本15篇) 信息安全產品經理工作總結(匯總15篇) 信息安全報告（通用11篇） 安全生產月宣傳活動方案(系列15篇) 【報告示范】安全管理見習報告范本

我們精彩推薦信息安全管理方案專題，靜候訪問專題：信息安全管理方案

熱門標簽: 信息安全實習報告 信息系統方案 信息管理實踐報告 信息安全工作總結 醫院信息系統方案 信息化教學方案