江苏金陵电缆有限公司
【2025】JLDL-ZD-003 号
数据安全管理制度
一、目的
为保障公司数据安全,切实推行安全管理,积极预防风险,完善控制措施,制定本制度。
二、适用范围
本办法适用于司各职能部门数据安全管理。
三、职责
3.1 商务部:
3.1.1负责公司数据安全管理策略制定与落实。
3.1.2负责起草数据安全规章制度,承担数据安全保障建设、数据安全日常管理职能,提供数据安全技术保障。
3.1.3负责对信息管理员进行数据安全指导、培训。
3.2各业务部门:
3.2.1指定专人担任专职或兼职信息管理员,负责协助商务部开展数据安全实施工作,并提供部门内部技术支持和网络管理工作。
3.2.2负责落实相关数据安全管理工作在部门内的实施。
3.2.3负责业务操作层的相关数据安全保障。
四、程序
4.1 网络安全管理
4.1.1公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。
4.1.2新增网络设备入网时,网络管理员应按照网络设备安全配置检查要求 进行检查,经数据安全管理员确认所有检查项检查结果符合要求后允许网络设备进入网络运行。
4.1.3网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,数据安全管理员全程参与,确保网络系统安全。
4.1.4当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。
4.1.5网络管理员应建立网络技术档案,技术文档包括拓扑结构(含分支网络)、网络设备配置等相关文档,网络技术文档由网络管理员保管。
4.2主机安全管理
4.2.1主机系统原则上仅开启必要的系统服务和功能,开启系统日志、安全日志。
4.2.2新增主机设备入网时,主机运行维护人员应按照主机设备安全配置检查要求进行检查,经数据安全管理员确认所有检查项检查结果符合后允许主机设 备进入网络运行。
4.2.3主机运行维护人员应及时更新软件版本和病毒库;数据安全管理员负责制订统一的病毒管理策略。
4.2.4主机运行维护人员每个月通过防病毒管理软件查看所有主机的防病毒软件运行状态,如有异常情况,主机运行维护人员需及时反馈给数据安全管理员 进行处置。
4.3应用安全管理
4.3.1重要信息系统应用开发应建立开发测试环境,开发测试的环境必须与实际运行环境分开,信息系统开发、测试、修改工作不得在生产环境中进行。
4.3.2新建信息系统入网前,系统管理员须进行由数据安全管理员参加的系统测试,并出具包含身份鉴别、访问控制、安全审计等内容的系统测试报告。
4.4数据安全管理
4.4.1公司每一位员工都有保守公司数据安全防止泄密的责任,任何人不得向公司以外的任何单位或个人泄露公司技术和商业机密,如因学术交流或论文发表涉及公司技术或商业机密,应提前向公司汇报,并在获得批准同意后,方能以认可的形式对外发布。
4.4.2定期对公司重要信息包括软件代码、核心业务数据进行备份,备份完成后,做好登记工作。
4.4.3数据库管理员负责对重要信息系统的数据库每周进行全备份,并对备份数据的有效性进行检查。
4.4.4存放备份数据的介质包括U盘、移动硬盘、光盘和纸质,所有备份介质必须明确标识备份内容和时间,并实行异地存放。
4.4.5数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
4.4.6数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。数据清理的实施应避开业务高峰期避免对联机业务运行造成影响。
4.4.7管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
4.4.8因审计、查询等管理需要拷贝系统原始数据的,需要经商务部主管部门和业务主管部门同意后,并双方在场后,由系统管理员导出数据。
4.5 密码与权限管理
4.5.1信息系统的用户密码不少于8位,密码应至少在字母、数字、特殊字符这三类字符中任选两种或两种以上混合使用,不得使用缺省口令、空口令、弱口令 ;根据管理需要开设用户,及时删除系统多余和过期的账户。
4.5.2员工离职后,员工所属部门或人事部应在当天通知商务部,及时关闭 离职员工的信息系统账号和邮箱账号,并对员工的出入卡进行停卡处理。
4.6管理安全
4.6.1信息化设备安全管理
1、严禁将公司配发给员工用于办公的计算机转借给非公司员工使用,严禁利用公司信息化设备资源为第三方从事兼职工作。
2、员工须保管好个人账户口令,未经许可员工之间不得私下互相转让、借用公司IT系统账号;员工完成信息系统的操作或离开工位时,须及时退出信息系统。
3、员工个人终端必须设置系统登陆密码和屏幕保护密码。
4、员工个人终端必须安装公司统一采购的防病毒软件,不得私自卸载和停用,及时更新重要系统补丁及病毒库,并定期查杀病毒。
5、员工发现计算机或信息受到安全威胁或者已经发生安全攻击事件,应立即通知数据安全管理员。
4.6.2专业安全人员管理
1、商务部应指定专人负责数据安全管理工作,定期开展数据安全检查工作。
2、数据安全管理人员在离岗时,应由商务部负责人指派专人接任数据安全管理工作;接任数据安全管理人员应及时终止离岗人员的访问权限,并在交接后三个工作日内修改相关安全系统口令密码。
4.6.3数据安全事件预防和处理
1、公司商务部应制定信息系统应急预案和演练计划,并组织进行演练。
2、商务部负责数据安全事件预防和处理工作。
3、非重要信息系统整体瘫痪,系统管理员应及时组织人员进行系统恢复;
重要信息系统整体瘫痪,系统管理员立即上报商务部负责人,并及时组织人员进行恢复,24小时内无法恢复的,需要通知各相关部门并报分管领导。
4、系统恢复后,系统管理员应查明故障原因,制定改进措施并加以验证,向商务部负责人提交事件书面报告。
4.7数据安全等级划分
4.7.1从保密性角度,公司对于信息分成两大类:公开信息和保密信息。
1、公开信息:公司已对外公开发布的信息,如公司宣传册、产品或公司介绍视频等。
2、保密信息:公司仅允许在一定范围内发布的信息, 一旦泄露,将可能给公司或相关方造成不良影响。比如公司投资计划等。根据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、敏感、 一般四个级别。
4.7.2密级标识:创建文档时,需要根据内容在页眉处添加正确的密级,页脚处注明“机密文件,未经许可不得扩散”或类似字样。电子档及打印文档皆须包含上述字样。
4.8数据安全风险识别
4.8.1商务部每年依据《数据安全审计制度》要求开展数据安全审计工作,审计过程包括制度执行安全、网络安全、物理安全、服务器安全及数据库安全等方面内容,并制定【数据安全风险分析及措施】,提高公司的数据安全水平。
4.9考核及其他
4.9.1对违反数据安全管理规定,导致数据安全事件的,或发生数据安全事件后未及时如实上报的,应当根据事件影响程度,追究相关部门领导责任并可对相关责任人员处以警告、记过、记大过处分,情节严重者将解除劳动合同并移送公安机关处理。
