信息管理制度
在日新月异的现代社会中,很多地方都会使用到制度,制度具有使我们知道,应该做什么,不应该做什么,惩恶扬善、维护公平的作用。那么你真正懂得怎么制定制度吗?以下是小编收集整理的信息管理制度,希望能够帮助到大家。
信息管理制度1
一、遵守保密规定,严格掌控不应公开的档案信息。
二、保管档案数据信息的计算机不得与公共信息网络联接,确需联接时,必需通过安全保密审查。
三、加强对档案信息网络传输的管理,确保网络和使用过程的信息安全。
四、确定专人负责计算机系统的管理工作,并设置计算机操作系统用户口令。
五、计算机系统必需安装防病毒卡或反病毒软件并适时更新版本,做好防病毒工作。
六、保管档案数据的'计算机外送修理时,应将有关数据的内容清空、删除或将硬盘摘除,并做好计算机修理情况登记。
七、应实行有效措施,保证档案数据库和档案数据安全。全部数据至少复制两套,并异地保管。
八、信息载体(如硬盘等)损坏,必需拆除后放入待鉴定室专门保管。
九、磁性载体每满2年、光盘每满4年应进行一次抽样机读检验,抽样率不低于10%,如发觉问题应适时实行恢复措施。
十、具有永久保管价值的文本和图形形式的电子文件,必需同时制成纸质文件或缩微品等拷贝件一并归档保管。
十一、应加强对归档电子文件鉴定销毁的管理。对于属于保密范围的归档电子文件,连同存储载体一起销毁,并在网络上彻底删除;对于不属于保密范围的归档电子文件进行逻辑删除。
十二、以上各条请本单位全体干部职工相互监督,共同遵守。对违反本制度的,按国家有关规定处理。
信息管理制度2
基本要求
1.医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。
2.医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。
3.医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。
实施细则
1. 医疗机构应当建立患者诊疗信息保护制度:
(1)患者诊疗信息是指医疗机构在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息,包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。
(2)诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。
①获取制度原则包括获取行为的界定,例如:报销、外院就诊、案件审理、临床研究等;个人获取流程和必需材料;政府或社会组织获取流程和依据材料。
②修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。
③安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理,不得转出;患者资料通过分级权限管理保护及诊治;未经患者本人的许可,不得将其疾病及相关隐私信息传播给他人。
2.医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。
(1)员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。
(2)医院信息系统相关的所有授权和审批事项的制度,必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权
和审批部分均需按照本授权和审批事项的制度执行。
(3)内部人员授权管理由医疗机构信息安全领导小组主导并起始,实施按层级分级授权和负责制度。
(4)外包人员授权管理应由医疗机构信息安全工作小组组长授权,并按层级和部门岗位予以授权,并向授权方负责。没有经过正式授权的临时信息系统维护需求,可由信息安全工作小组组长临时授权同意后补充授权记录。
(5)重点加强对被授权者及其访问权限操作行为的合规性进行监管,评估与记录在案:
①建立与完善记录操作日志,记录一定周期内的行为日志,通过软件系统逐一识别,确定操作行为的合规性;
②建立操作系统识别库,对于不属于识别库行为,系统要给予报警,直至下调授权等次或中止授权。
3. 医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。
(1)医疗机构应按照信息安全等级要求,建立严格的信息分级安全管理系统和配套工作制度。
(2)应建立严格的信息分级授权制度体系并常态化运行。
(3)授权审批应严格根据工作岗位和工作内容而定。
(4)建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表,并保持良好的兼容互通。
4.发生或可能发生患者诊疗信息泄露事件时,应急处置基本原则
要求以下几点:
(1)泄密发现人员在第一时间先就泄密事件本身保密;
(2)如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;
(3)如未掌握涉密情况,应向上一级信息安全主管报告;
(4)处置过程保密。
5.医疗机构要建立患者诊疗信息安全事故责任追溯机制。
(1)根据信息安全分级授权和信息分级保护要求,信息安全事故责任须进行逐级追溯。
(2)根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。
(3)溯源技术标准体系主要为实现技术可行性。患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。溯源监管和奖惩制度主要是强化溯源机制的`威慑与强制作用。
6.医疗机构实施软件安全管理,应从以下四个方面进行管理,但不限于此:
(1)医疗机构临床信息系统软件的管理和维护,应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。
(2)若由开发该软件的公司负责维护的医疗机构,各科室应向计算机信息系统专职管理员书面报告每次维护的情况并备案。
(3)由各科室自行开发或应用新的软件、上级或政府职能部门 指定统一使用的,均必须按照规定的程序申报,经医院信息安全管理组织讨论批准后方可应用。
(4)为了防止计算机信息系统被病毒感染或者扩散病毒,任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U盘等储存介质。
信息管理制度3
1.目的:规范员工对生产现场的整理,实现均?、安全、文明生产、提高业务素质,提高经济效益、达到优质、高效、低耗具有重要意义。
2.范围:公司生产车间
3.内容:
3.1质量管理
3.1.1各车间应严格执行《程序文件》的规定,履行自己的职责、协调工作。
3.1.2对关键过程按《程序文件》的规定严格控制,对出现的异常情况,要查明原因,及时排除,使质量始终处于稳定的受控状态。
3.1.3认真执行“三检”制度(自检、互检、巡检),操作人员对自己生产的产品要做到自检,检查合格后,方能转入下工序,下工序对上工序的产品进行检查,不合格产品有权拒绝接收。如发现质量事故时做到责任者查不清不放过、事故原因不排除不放过,预防措施不制定不放过。
3.1.4车间要对所生产的产品质量负责,做到不合格的材料不投产、不合格的半成品不转序。
3.1.5严格划分“三品”(合格品、返修品、废品)隔离区,做到标识明显、数量准确、处理及时。
3.2工艺管理
3.2.1严格贯彻执行工艺规程。
3.2.2对新工人和工种变动人员进行岗位技能培训,经考试合格并有师傅指导方可上岗操作,生产技术部不定期检查工艺纪律执行情况。
3.2.3严格贯彻执行按标准、按工艺、按图纸生产,对图纸和工艺文件规定的工艺参数、技术要求应严格遵守、认真执行,按规定进行检查,做好记录。
3.2.4对原材料、半成品、零配件、进入车间后要进行自检,符合标准或有让步接收手续方可投产,否则不得投入生产。
3.2.5严格执行标准、图纸、工艺配方,如需修改或变更,应提出申请,并经试验鉴定,报请生产技术部审批后主可用于生产。
3.2.6合理化建议、技术改进、新材料应用必须进行试验、鉴定、审批后纳入有关技术、工艺文件方可用于生产。
3.2.7新制作的工装应进行检查和试验,判定无异常且首件产品合格方可投入生产。
3.2.8在用工装应保持完好。
3.2.9生产部门应建立库存工装台帐,按规定办理领出、维修、报废手续,做好各项记录。
3.2.10合理使用设备、量具、工位器具,保持精度和良好的.技术状态。
3.3定置管理
3.3.1定置摆放、工件按区域按类放置,合理使用工位器具。
3.3.2及时运转、勤检查、勤转序、勤清理、标志变化,应立即转序,不拖不积,稳拿轻放,保证产品外观完好。
3.3.3做到单物相符,工序小票,传递记录与工件数量相符,手续齐全。
3.3.4加强不合格品管理,有记录,标识明显,处理及时。
3.3.5安全通道内不得摆放任何物品,不得阻碍
3.3.6消防器材定置摆放,不得随意挪作他用,保持清洁卫生,周围不得有障碍物.
3.4设备管理
3.4.1车间设备指定专人管理
3.4.2严格执行公司设备使用、维护、保养、管理制度,认真执行设备保养制度,严格遵守操作规程。
3.4.3做到设备管理“三步法”,坚持日清扫、周维护、月保养,每天上班后检查设备的操纵控制系统、安全装置、润滑油路畅通,油线、油毡清洁、油压油位标准、并按润滑图表注油,油质合格,待检查无问题方可正式工作。
3.4.4设备台帐卡片、点检记录、运转记录齐全、完整、帐卡相符、填写及时、准确、整洁。
3.4.5实行重点设备凭证上岗操作,做到证机相符.
3.4.6严格设备事故报告制度,一般事故3天内,重大事故24小时内报生产主管或公司领导 .
3.4.7坚持八字要求,即:整齐、清洁、安全、润滑,做到“三好”“四会”“五项纪律”。
三好即:管好、用好、保养好。
四会:即会使用、会保养、会检查、会排除一般故障。
五项纪律:即:遵守安全操作规程、经常保持设备整洁,并按规定加油,遵守交接班制度;管好工具、附件、不得丢失;发现故障立即停车、通知维修人员检查、处理。
3.4.8设备运行中,要做到勤检查、勤调整、勤维修,不离岗(设备运行过程中),对设备响声、温度、压力有异常时应及时处理并报告。
3.4.9操作人员离岗位要停机,严禁设备空车运转。
3.4.10保持设备清洁,严禁泡、冒、滴、漏。
3.4.11设备应保持操作控制系统,安全装置齐全可靠。
3.5工具管理
3.5.1卡物相符,个人长期使用的工具做到领用卡与实物相符,丢失赔偿,使用量具时轻拿轻放,不敲刀刃具,不乱拆工装模具。
3.5.2各种工具量具刃具应按规定使用,严禁违章使用或挪作他用。
3.5.3精密、贵重工具、量具应严格按规定保管和使用。
3.5.4严禁磕、碰、划伤、锈蚀、受压变形。
3.5.5车间不得使用不合格的或已损坏的工具、量具、刃具。
3.6计量管理
3.6.1使用人员要努力做到计量完好、准确、清洁并及时送检。
A量具必须保持完好无损,零件、附件无丢失,出现上述情况之一者,必须及时送技术品质科以便检查、修理、鉴定。
B禁止使用过期或不合格量具,做到正确使用、轻拿轻放、严禁碰撞,使用后擦拭干净,较长时间不使用时要涂油,正确放置。
C所有在用计量器具必须按合格证书填写的有效期或技术部的通知自觉及时送检。
3.6.2凡自制或新购计量器具均送技术品质科检测中心检查,合格后办理入库、领出手续。
3.6.3严禁用精密度较高的计量工具测量粗糙工件,更不准作为他用,不得使用非法计量单位的量具。文件、报表、记录等不得采用非计量单位。
3.6.4凡须报废的计量器具,应提出申请报技术部。
3.6.5各单位应按需要合理配备计量器具。
3.6.6对不按规定使用计量器具或造成损坏、丢失者,应视情节进行批评教育或予以罚款。
3.7能源管理
3.7.1积极履行节能职责,认真考核。
3.7.2开展能源消耗统计核算工作。
3.7.3认真执行公司下达的能源消耗定额。
3.7.4随时检查耗能设备运行情况,杜绝跑、冒、滴、漏,消除长流水现象,严格掌握控制设备预热时间,杜绝空车运行。
3.7.5未经允许不得私接耗能设备、设施、器具。
3.8劳动纪律(同行政部下达的管理制度)
3.8.1车间可据公司制度,具体制定管理细则,报主管领导批准后实施。
3.8.2车间做到奖罚分明,帐目齐全,分配公开、公正。
3.8.3严格现场管理,要做到生产任务过硬、技术质量过硬、管理工作过硬、劳动纪律过硬、思想工作过硬。
3.8.4经常不定期开展内部工艺、纪律、产品质量自检自纠工作。
3.8.5积极参加技术培训,大力开展岗位练兵,努力达到岗位技能要求。
3.8.6认真填写各项记录、管制表、台帐、做到及时、准确、清晰、完整、规范。
3.9文明生产
3.9.1车间清洁整齐,各图表美观大方,设计合理,填写及时,准确清晰,原始记录、台帐、生产小票齐全、完整、按规定填写。
3.9.2应准确填写生产记录、内容包括设备、工装、工具、卫生、安全等。
3.9.3室内外经常保持清洁,不准堆放垃圾,下班提前5~10分钟进行地面清洁、设备保养、规范物品摆放。
3.9.4车间地面不得有积水、积油、尘垢(生产过程中允许有浮尘存在,但下班应该进行清理)。
3.9.5车间内管路线路设置合理、安装整齐、严禁跑、冒、滴、漏。
3.9.6车间内管沟、盖板完整无缺,沟内无杂物,及时清理,严禁堵塞。
3.9.7车间内工位器具、设备附件、工作台、工具箱、产品架各种搬运小车等均应指定摆放,做到清洁有序。
3.9.8车间合理照明,严禁长明灯,长流水,长风扇。
3.9.9坚持现场管理文明生产、文明运转、文明操作、根治磕碰、划伤、锈蚀等现象,每天下班要做到设备不擦洗保养好不走,工件不按规定放好不走,工具不清点摆放好不走,相关记录没填写好不走,工作场地不打扫干净不走。
3.9.10边角料及废料等分类放到指定地点保管。
3.10安全生产
3.10.1严格执行各项安全操作规程。
3.10.2经常开展安全活动,开好周例会,不定期进行认真整改、清除隐患。
3.10.3贯彻“安全第一、预防为主”
3.10.4按规定穿戴好劳保用品,认真执行安全生产。
3.10.5特殊工种作业应持特殊作业操作证上岗。
3.10.6学徒工及其他学员上岗操作应有师傅带领指导,不得独立操作。
3.10.7生产、检验记录即使填写,班后认真检查,清理现场,关好门窗,对重要材料要严加管理以免丢失。
3.10.8非本工种人员或非本机人员不准操作设备
3.10.9重点设备(如数控中心),要专人管理,卫生清洁、严禁损坏。
3.10.10消防器材要确保灵敏可靠,定期检查更换(器材、药品),有效期限标志明显。
3.10.11加强事故管理,坚持对重大未遂事故不放过,要有事故原始记录及时处理报告,记录要准确,上报要及时。
3.10.12发生事故按有关规定及程序及时上报。
4、奖惩:
4.1生产部每周最少2次不定时对生产现场进行检查,按上述要求打分评比。
4.2生产部每天上下班对各生产场所进行检查,按上述要求进行打分、评比,进行全厂公示。对于全月综合评分超过90分,分别给予前三名100元、80元、50元的奖励。连续三月获奖的,奖金翻倍。
4.3对于全月评分不足60分的,每低于60分一分,罚款2元,并全厂通报。
4.4对于车间现场管理的奖惩金,在连同当月的工资一并发放。
5、执行:本规定自下发之日起第三天后执行。
信息管理制度4
1、目的
对客户资料进行有效管理,及时对顾客需求与信息进行沟通,确保顾客满意,客户档案管理制度。
2、范围
适用于顾客的信息管理、产品质量跟踪、顾客投诉、顾客满意度管理等。
3、职责
3.1营销总公司负责客户档案管理、产品质量跟踪、顾客投诉处理、顾客满意度调查等组织工作;
3.2各部门、各矿负责协助销售部完成各项顾客相关的工作。
4、客户档案的管理
4.1.1客户信息资料的收集整理
销售部通过市场信息的收集、顾客拜访销售人员统计,过程中收集客户的资料,并汇总
4.1.2客户档案的建立与管理
a)销售部、人事部联营办负责建立各自客户档案,客户档案应包括以下内容:
1.客户联系方式,包括电话、联系人、网址等;
2.客户信用状况描述;
3.客户以往交易记录等。
b)客户档案设专人管理,并根据客户的交易情况对档案内容进行及时更新;
c)客户档案由销售总监进行审批确认。
5.1.3客户档案的使用与保密
a)客户档案是公司市场管理重要参考内容,尤其是在与顾客签定合作关系是,相关人员应查阅客户的档案资料;
b)客户档案资料公司的.重要保密资料,未经公司总经理授权,任何人不得查阅及外传,否则公司按《保密管理制度》进行责任追究,管理制度《客户档案管理制度》。
5、客户关系维护管理
5.1.1公司办公室负责客户关系维护管理;
5.1.2客户关系维护管理的方式包括:
a)定期(节日或其他重要活动)与不定期(日常)的客户拜访与沟通;
b)客户产品使用情况的意见与建议调查;
c)顾客满意度调查等。
5.1.3相关业务部门负责客户关系维护的具体管理实施;
5.1.4客户关系维护管理应形成记录,并作为客户档案内容进行保管。
6、售后服务管理
a)营销总公司每年至少进行一次全面的顾客满意度调查;
b)公司办公室向顾客发放〈顾客满意度调查表〉,满意度调查的内容应包括、服务质量、套餐价格价格、公司评价等;
c)公司对反馈回来的调查表进行汇总、分类,并进行统计分析,编制“顾客满意度调查分析报告”,经总经理审批后发放到相关部门;
d)当顾客满意度未能达到公司规定要求时,由办公室组织,针对顾客满意度较低方面提出纠正预防措施进行改进。
7、客户投诉管理
7.1相关业务部门是客户投诉的接收部门;
7.2客户对服务质量的不达标投诉,由相关业务部门组织,报请公司生产处协同处理,处理结果公司总经理审批后,由办公室反馈到客户;
7.3客户对服务过程中的不满意投诉,由相关业务部门负责组织处理,处理结果经公司总经理审批后,由办公室反馈到客户;
8、相关/支持性文件
8.1《市场信息管理制度》;
8.2《保密管理制度》。
信息管理制度5
第一章总则
第一条为作好信息管理,加快我校信息化建设步伐,提高信息资源的运作成效,结合具体情况,制定本制度。
第二条本管理制度中关于信息的定义:
1、行政信息:在我校内部目的为行政传达的一切文字资料、电子邮件、文件、传真。具体信息管理表现为上传下达、平级传送的行文管理、资料管理、档案管理。归属于日常行政管理,各别属于机密的信息则不允许非核心人员私自传送和带走。
2、市场信息:对于学员文件、来往传真、电话、档案;应用的电话记录、报价、合同、方案设计、等原始资料、电子资料、文件、报告等。具体信息管理表现为学员信息、文字记录、资料收集分析、业务文件编写等。归属于业务经营管理。
第三条信息管理工作必须在加强宏观控制和微观执行的基础上,严格执行保密纪律,以提高我校效益和管理效率,服务于全校总体的经营管理为宗旨。
第四条信息管理工作要贯彻“提高效率就是增加企业效益”的方针,细致到位,准确快速,在学校经营管理中降低信息传达的失误失真延迟,有力辅助行政管理和经营决策的执行。
第五条总校及下属各工作点、机构的信息工作,都必须执行本制度。
第二节信息管理机构与相关人员
第六条学校信息室,以及各信息机构配备专职或兼职信息人员。
第七条各科部依据《行政管理条例》负责相关行政信息的日常管理。信息管理根据业务工作需要,配备必要的电脑技术人员、文员。
第八条学校信息室负责我校整个系统的信息管理工作,负责所有信息的`汇总和档案管理。对全系统的信息管理工作负责。
第九条各科部负责人主要负责行政信息的管理。
第十条学校信息室信息专员,主要负责市场信息的系统化、专业化管理。企业信息专员分为行政信息和市场信息两个岗位。
企业信息专员主要职责如下:
1、执行总经理办公会议的决议,参与编制总经理办公室主持的信息管理制度。(行政信息专员)
2、在业务中心总监指挥下,负责市场经营中各类信息的采集、处理、传达,执行中存在的问题提出改进措施。(市场信息专员)
3、与行政部联合处理日常工作中关联到业务机构的行政工作。(行政信息专员)
4、辅助指导我校其他各部门业务的信息统筹处理。(行政信息专员、市场信息专员)
5、对集团总经理负责并报告工作。
6、学校信息室日常负责监察我校全系统的业务信息管理和活动;负责搞好全系统业务人员关于市场经营信息的培训工作,不断提高业务人员的业务素质和业务水平;
第十一条各级领导必须切实保障信息中心人员依照本办法行使职权和履行职责。
第十二条信息管理人员在工作中,必须坚持原则,照章办事。对于违反保密制度和其他行政制度的事项,要及时向上级领导报告,接受指示后执行具体处理。
第十三条集团公司支持信息管理人员坚持原则,按信息制度办事。严禁任何人对敢于坚持原则的信息管理人员进行打击报复。学校对敢于坚持原则的信息管理人员予以表扬或奖励。
第十四条信息管理人员力求稳定,不随便调动。信息管理人员调动工作或因故离职,必须与接替人员办理交接手续,没有办清交接手续的,不得离职,亦不得中断有关工作。被撤销、合并单位的信息管理人员,必须会同有关人员编制信息文件资料移交清单和造册,办理交接手续。
第三节行政信息管理
第十五条按照行政信息的定义,行政信息主要产生、传递、应用于学校行政活动中。
第十六条行政信息管理主要依据学校相关文件中的下列规定进行:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、信息管理中心管理规定;
4、学校印章、介绍信管理规定;
5、学校值班管理制度;
6、保密制度。
第四节市场信息管理
第十七条依照市场信息的定义,市场信息主要产生、传达、应用在市场业务经营管理中。
第十八条市场信息来源分类:业务(客户)信息、非业务市场信息。
第十九条信息中心市场信息专员直接在业务中心总监的指挥下,主要负责以下业务信息工作:
1、负责学校网站的建设、维护、更新和对外信息发布,并开展网络商务系列工作。
2、负责业务(客户)信息的接受、整理、初步分析和传呈业务中心总监,建立、保管客户档案并不断维护;
3、在业务中心总监的指挥下,负责与客户的电话、电子邮件的信息交流,负责与客户文件资料函件的撰写、整理、内部报批、外部发送;
4、指导、协助各市场机构对业务信息的收集,督促各市场机构将业务信息及时、准确呈报到学校,整理、分析各市场机构业务信息形成客户分类档案,并及时将重要的信息报告给业务中心总监;
5、负责定期撰写学校业务市场分析报告,协助学校业务决策;
6、监察、收集、整理竞争对手情报资料;收集、整理、分析行业性文章、资料;
7、负责直接业务情报、业务信息的整理。
8、上级安排的其他工作。
第二十一条行政信息专员在各级行政负责人的指挥下,主要负责以下非业务信息工作:
1、负责日常打印、复印等文字文件电脑处理工作和负责电脑、传真机、复印机等设备的使用、管理和维护;
2、负责学校非市场事务的洽谈和管理、日常信息交流;
3、接收、整理、呈报、发送非直接业务单位(如媒体机构)的信息文件资料;
4、学校内部一般性业务管理文件的拟稿;
5、各种与行政管理有关的信息资料工作;
6、上级交办的其他工作。
第二十二条信息人员必须严格遵守学校制度中下列具体规定:
1、文件收发规定;
2、文件、档案、资料的管理规定;
3、信息中心管理规定;
4、安全保密制度。
第五节其它
第二十三条信息管理人员必须认识到,没有脱离具体行政活动、业务活动而独立的信息工作,所以信息管理的最终目的,检验信息管理工作的成效标准,是业务工作、行政工作的效果和执行效率。
信息管理制度6
企业会计信息分级分类安全管理制度
第一章总则
第一条为加强xx省xx公司,以下简称“公司”会计信息化管理,确保会计信息的安全、准确、及时和完整,根据财政部《企业会计信息化工作规范》的要求,结合公司的实际情况,制定本规定。
第二条本规定适用于公司本部及所属权属企业,包括全资、控股子公司,以下简称“各权属单位”。
第三条会计信息化是指应用会计信息化软件及计算机等硬件设备输入会计基础数据,由计算机对会计基础数据进行处理,并打印输出会计凭证、会计账簿、会计报表及相关会计信息资料。
会计信息化核算的范围是:账务处理、报表处理、固定资产核算、工资核算、往来款项核算以及预算管理等。
第四条使用的会计信息化软件必须是通过财政部评审通过的商品化会计软件。机房相关设备符合企业会计信息化标准,满足会计信息化管理要求。
第二章职责分工
第五条公司财务部门负责公司会计信息化系统管理工作,研究制定和组织实施公司会计信息化发展规划,负责协调管理公司财务软件系统的维护、升级和数据备份工作,组织和管理会计信息化人员的培训工作,对会计信息化工作及有关人员进行指导、监督、考评。
第六条人员、权限控制。
1、公司各权属单位应设立会计信息化管理岗位,按照会计岗位职责设置操作权限。公司各权属单位财务部门负责人负责权限的授予,会计岗位之间权限明确且相互制约。
2、严格密码管理,会计人员要注意保管自己的密码或口令,并应定期更换。
3、会计人员不得参与系统维护和数据管理工作。
4、会计人员因工作调整各级计财处负责人应及时收回相关权限。
5、公司董事长、总经理、总会计师及财务负责人对公司及公司各权属单位的'账务有浏览、查询的权限。公司各权属单位负责人、财务负责人、会计主管、财务总监对本单位的账务均有浏览、查询的权限,但该权限仅限于其担任负责人的单位的账务。
6、未经授权的人员不得操作会计软件,不得进入、操作相应的功能模块。
7、公司及各权属单位NC财务软件权限的开立与变更需由公司财务部门负责人批准。
第七条安全控制。
1、公司统一委托软件开发商负责系统维护和程序数据维护工作。
2、会计信息化管理员负责定期对有关数据备份监督设备、网络、程序的正常运行。
3、任何人未经批准,不得擅自直接打开数据库进行操作。
4、会计信息化管理员应对各类操作人员权限、密码实行集中管理,做好保管、监督工作。
第三章管理程序及要求
第一节计算机机房、设备维护与安全管理和病毒防治制度
第八条确保计算机机房等设备安全运行。保持机房和设备的整洁
卫生,并经常对设备进行维护和保养。配备不间断电源、空调等设备,对发现问题的硬件及时修理或更换,以保证计算机机房的正常运行环境。
第九条确保会计核算软件和系统软件的安全、保密。及时处理软件运行故障,并作出维护记录。若软件出现处理不了的故障,应及时报告软件维护人员及时维护。
第十条所有的机房设立防火墙,财务微机必须安装杀毒软件,进行病毒实时监控、杀除,并定期进行杀毒软件升级。如无特殊需求,不得打开未经安全认证或不熟悉的网页。
第二节会计信息化软件管理
第十一条会计信息化软件的日常使用管理由会计信息管理员和.委托的软件开发单位维护人员负责。会计信息化软件的全套文档资料以及程序必须妥善保管,不得出售、转让、转借。
第十二条操作人员严格按照授予的功能权限、数据权限进行操作,不得越权使用软件。
第十三条操作人员应按照软件使用的要求,正确使用软件。离开
工作现场必须退出会计软件,严禁在使用过程中强行中断程序,以免破坏相关数据。
第十四条严禁在财务微机上安装游戏软件等与工作无关的软件。
第十五条不得在系统文件子目录下存放任何非系统文件,否则,系统维护人员有权删除文件,文件编辑者自负后果。
第三节会计信息化档案管理
第十六条会计信息化管理岗位负责会计信息化档案管理设专职档案员除外。会计信息化档案是指以磁性介质等存储的会计数据和计算机打印的书面形式的会计信息,包括记账凭证、会计账簿、会计报表包括报表格式和计算公式,以及信息化硬件设备携带的说明书、保修单和会计信息化软件携带的说明书等。
坏相关数据。
第十四条严禁在财务微机上安装游戏软件等与工作无关的软件。
第十五条不得在系统文件子目录下存放任何非系统文件,否则,系统维护人员有权删除文件,文件编辑者自负后果。
第三节会计信息化档案管理
第十六条会计信息化管理岗位负责会计信息化档案管理设专职档案员除外。会计信息化档案是指以磁性介质等存储的会计数据和计算机打印的书面形式的会计信息,包括记账凭证、会计账簿、会计报表包括报表格式和计算公式,以及信息化硬件设备携带的说明书、保修单和会计信息化软件携带的说明书等。
第十七条会计信息化档案要存放在专门的档案室,具体按公司《会计档案管理办法》执行。
第十八条记账凭证、会计账簿包括总账、明细账、日记账、固定
资产卡片、固定资产台账、辅助账簿、其他账簿等、财务报告包括月度、季度、年度及定期会计报表、附表需定期打印。打印输出的各种会计资料必须按公司《会计档案管理办法》规定及时归档保管。
第十九条严格执行会计信息化档案的借阅批准制度。除档案管理员外,任何人员查阅会计档案都要经过财务负责人批准,办理借阅手续,并保障数据的完整和安全。
第四章附则
第二十条会计人员及权限内使用人员必须对所分配权限设置操作密码或口令,并以妥当方式保存,注意保密。如因密码或口令泄漏而导致会计信息泄密的,将追究当事人的责任。
第二十一条本规定由公司财务部门负责制定、解释、修订。
第二十二条本规定自发布之日起执行。
信息管理制度7
用户信息管理制度的重要性不言而喻:
1. 保障用户权益:通过规范的数据管理,保护用户的.隐私,增强用户信任,提升品牌形象。
2. 防范风险:防止数据泄露引发的法律纠纷,降低企业运营风险。
3. 提升效率:明确的数据使用规则,有助于各部门高效协同,提高服务质量和业务流程效率。
4. 合规经营:遵守相关法规,避免因违规操作导致的罚款或其他法律责任。
信息管理制度8
一、前言
信息安全管理制度是组织内部的一种规章制度,其目的在于规范和管理组织内部的信息安全活动,确保组织的信息安全得到有效保障,保护组织及其所有利益相关者的信息安全。为此,本制度将全面介绍我们组织信息安全管理制度的原则、要求、程序、管理责任等,以期能够为相关工作的开展提供准确、明确的指导和保障。
二、信息安全原则
1. 信息安全意识普及原则
组织内部将不断开展安全意识培训活动,并制定相应的信息安全规定,提高全体员工的安全意识和保密意识。
2. 信息安全最小原则
在信息采集、传输、存储、处理等环节中,应遵循最小化原则,只收集必要的信息,保证信息的真实性、完整性和机密性。
3. 信息安全全面性原则
信息安全管理应从全面、系统的角度考虑,采取多种手段进行信息安全保护,确保信息安全风险得到有效控制,包括技术手段和管理手段等。
4. 信息安全风险评估原则
组织应该对信息系统、信息资源和信息安全进行全面评估和调查,确定信息安全威胁和风险,制定切实可行的措施和方案,实现信息安全的全面保护。
5. 信息安全追溯原则
当组织发生信息安全事件时,应该采取逐级追溯的措施,进行事故的调查、分析、并进行责任追究,避免类似安全事件再次发生。
三、信息安全管理要求
1. 信息安全管理的组织结构和职责
本组织应该成立信息安全管理委员会,主要负责信息安全相关工作的组织协调和管理。该委员会由高管层、信息管理人员、技术专家等组成,确定信息安全工作计划、审核和管理信息安全政策及规定等。
2. 信息安全保护的范围和措施
组织应该采取措施保护以下方面的信息安全:
(1)保护组织的信息系统与网络安全,防止未经授权的访问、篡改、延迟、中断或拒绝服务等攻击;
(2)防止对关键信息系统、数据和设备等的破坏、破解、篡改、数据丢失等危害;
(3)确保对重要信息和数据的保密性、完整性和可用性;
(4)保护公司的品牌声誉和商业机密,并确保未授权的信息泄露。
3. 信息安全管理过程和控制措施
组织应该采取一系列信息安全管理过程和控制措施,包括但不限于:
(1)确保信息安全政策及规定得到有效实施,对相关人员进行培训并定期回顾更新;
(2)建立安全的网络、系统和应用架构,进行访问控制、身份验证、安全管理等操作;
(3)采取防御性的安全措施,如攻击检测、入侵预防、边界安全等,防范未知的威胁;
(4)建立备份、复原和灾难恢复机制,以便在遭受攻击或突发事件时能够及时恢复正常业务运营;
(5)进行定期的安全审计和风险评估,发现隐患并采取措施加以纠正;
(6)开展安全漏洞通报和个人信息保护工作。
四、信息安全管理程序
1. 信息安全政策制定和发布程序
(1)确定信息安全目标和原则;
(2)制定组织的信息安全政策,明确信息安全管理的基本要求和责任;
(3)发布信息安全政策并进行全体员工安全培训。
2. 信息安全风险评估程序
(1)评估信息系统、信息资源的安全状况;
(2)分析风险,确定应对方案;
(3)制定战略和措施,建立信息安全保护体系。
3. 信息安全措施实施程序
(1)根据信息安全政策和要求制定信息安全规定和操作规范;
(2)实施信息安全措施和操作规范;
(3)修订完善信息安全规定和操作规范。
4. 信息安全管理监督程序
(1)建立监督检查机制,确保信息安全政策和规定得到有效执行;
(2)建立内部审计机制,定期进行信息安全审核;
(3)建立风险管理机制,评估和处理各项信息安全风险。
5. 信息安全事件管理程序
(1)建立信息安全事件应急预案;
(2)识别和评估信息安全事件;
(3)采取措施进行应对和处理。
五、信息安全管理责任
1. 组织领导层的责任
(1)制定信息安全政策和保密制度;
(2)确保组织内部的信息安全状况得到有效保障,对信息安全风险进行全面评估;
(3)确保相关人员能够有效执行信息安全管理制度和政策,定期开展信息安全培训活动;
(4)对违反信息安全规定和制度的行为进行处罚。 2. 信息安全管理与监督部门的`责任
(1)建立信息安全管理制度,指导和协调信息安全工作的开展;
(2)监督和检查各种信息系统、存储媒介、应用系统等的安全性;
(3)对违反信息安全法规和内部规定的行为进行处理。
3. 个人责任
(1)遵守信息安全规定和制度,执行信息安全保护措施;
(2)保护机密信息,防止泄露;
(3)严禁进行网络攻击或其他有害行为;
(4)发现和处理信息安全事件,及时报告上级。
六、信息安全管理制度的修订和监督
1. 修订信息安全管理制度
本信息安全管理制度如遇重大安全事件或发生重大风险时,应当对制度进行修订。修订后的制度应当及时发布并进行全员培训、学习。
2. 监督信息安全管理制度的实施
本信息安全管理制度的实施需进行定期的监督,以保证制度的有效实施和执行。监督包括不限于定期的信息安全风险评估、安全漏洞扫描、信息安全审计和监督检查等。
3. 安全保密制度
本信息安全管理制度所包含的信息均为机密信息,未经允许不得外传或传递给无关人员。本信息安全管理制度适用于各部门及其所有员工,任何人不得违反规定操作。一旦违反蕞络,一切后果责任自行承担。
七、总结
信息安全管理制度是组织信息安全保障的重要保障,本制度应当在相关人员的共同努力下得到有效的实施,遵循信息安全原则,规范信息安全管理程序,强化信息安全管理责任,以保证组织的信息系统和数据得到有效的保护,推动组织和个人安全、高效、有素的发展。
信息管理制度9
第一章 总则
第一条 为了规范公司信息化管理,合理规划和高效、安全利用信息系统,制定本制度。
第二条 综合管理部为公司信息化对口管理部门,本制度适用于新亚煤矿各部门及施工单位。
第二章添置更换
第一条 信息化设备的配置,原则上根据煤矿各部门需求情况和信息化建设综合需要,由煤矿统筹安排。
第二条 因工作需要添置(更新)信息化设备时,由需求部门填写《新亚煤矿信息化设备添置更换申请表》,明确提出目前遇到的困难和所需设备性能要求,由信息中心进行技术鉴定,然后报财务部、分管矿长审批,由信息管理中心形成设备调拨或采购方案。采购的设备要注重性价比实际功效,力求力行节约、合理配置。
第三条 新购入的信息化设备(含软件)属固定资产范围内的必须按财务制度办理入库和出库手续,所有资料统一归档,信息管理中心应妥善保管好随机资料和软件介质。
第四条 新购入信息化设备(含软件)时,信息管理中心应协助供货方进行安装调试,确保设备正常投入使用。
第三章 管理与维护
第七条 信息化设备实行统一管理、分别负责。信息管理中心负责全煤矿系统计算机、服务器、交换机、路由器等煤矿信息化设备的规划、技术论证、采购、调配、维护、维修和管理。各部门操作使用人负责所有设备的环境卫生和日常清洁维护,各部门负责人承担部门设备的日常管理。
第八条 要充分挖掘现有信息化设备潜力,重视维护维修、功能开发、改造升级、延长使用寿命,确保信息化设备在使用中保持完好,做到合理流动、资源共享、物尽其用。杜绝闲置浪费、公物私化,不得将信息化设备用于与工作无关的事务上。
第九条 各部门操作使用人员需做好防尘、防水、防磁、防震、防盗等工作。计算机设备的键盘、鼠标、磁盘驱动器和显示器是易损件,使用过程中要轻拿轻放、保持清洁。磁盘驱动器及移动介质在读写时,禁止移动、晃动。键盘、鼠标要定期除尘。
第十条 计算机等日常办公用途的信息化设备主要责任人是使用本人,未经允许不得随意更换使用人。
第十一条 各种设备要明确专人负责保管,定期维护,延长其使用寿命,对暂时闲置的设备应妥善保管,定期保养。
第十二条 使用人员必须严格按照信息化设备操作规程操作,应掌握操作步骤,阅读有关手册,养成良好的使用习惯,不得凭主观意识随意操作,避免人为损坏,严禁超负荷运行。
第十三条 连接设备电源时,应明确供电电压的类型和范围是否符合设备的输入电压要求,不符合要求时,不准连接和开启电源、重要新信息化设备必须在配备ups电源或稳压电源的电网环境下运行,设备运行过程中不得震动、搬运或碰撞。严禁在设备运行过程中带电拔插。长时间不用时,应切断电源。
第十四条 路由器、交换机等重要网络设备和电缆的`安装、配置以及因工作需要进行操作和管理。使用部门不能随意更改相关配置,更不能未经允许随意关闭网络设备。
第十五条 重要网络设备必须监理完整的技术文档和维护方案。网络设备的定期停机维护和升级必须有维护记录。
第十六条网络设备配置完成后要注意保存设置,登录口令要保密,不得泄露。同事应安装配备相关安全防护工具,第七备份数据,检查安全漏洞等隐患,使之处于安全稳定的运行状态。
第十七条 信息化设备出现故障时,应及时通报煤矿信息管理中心进行处理,严禁非专业技术人员擅自拆卸设备、更换零(部)件。
第十八条 要监理信息化设备借用制度,设立借用登记册,做到借用登记、遗失赔偿、归还销帐。高档贵重设备应建立专门使用管理办法,不得借做私用。
第四章 设备报废
第十九条 计算机设备的报废必须严格履行手续,由部门提出报废申请,由信息管理中心进行技术论证并签署意见,报请煤矿领导审批后,根据财务制度办理报废手续,并对信息化设备进行报废处置。
第二十条 出现以下情况之一,可以申请报废:
1、主要部件或结构已经损坏,不能达到最低使用要求,且无修复价值的,可申请报废。
2、经技术鉴定,确属质量问题或损坏过重,无法修复及维修费用超过、接近新购设备价格的可申请报废。
第二十一条 对违反规定的部门或个人,将依据《建元煤矿违纪违规行为处罚办法》对相关责任人进行处罚。
给公司信息化建设造成不良影响的,追究分管领导的相关责任。
第五章 附则
第二十二条 本制度自下发日起正式执行。
信息管理制度10
为维护校园网络正常运行秩序,保障公民全体师生合法权益,加强校园信息网络安全管理,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》,特制定以下信息巡查管理制度:
1、网络管理小组和安全员要做好对上网用户的法律法规宣传和教育,对上网用户进行遵守国家的'有关法律、法规和行政规章教育,不得利用国际互联网危害国家安全,泄漏国家秘密,不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动。
2、加强安全巡查,负责对上网用户情况的监督、检查,发现有害信息及其它异常情况和其它违法犯罪行为,应及时予以制止,做好有关数据的保存和备份,并立即报告公安机关。网络管理小组和安全员要在正常工作日,对网站进行巡查,并做好巡查工作记录。
3、网络管理小组和网站管理人员应当加强自身帐号、密码等资料的管理,同时加强网络安全和信息安全的管理。严禁将帐号和密码泄漏给他人。
4、防止非本管理组成员对服务器上的数据进行修改,配备计算机防病毒软件、系统安全审计软件,建立具有保存60日以上系统网络运行日志和用户使用日志记录功能,在巡查过程中发现系统的重大事故(如病毒破坏、黑客攻击、雷击、电击等),应及时报告公安机关。
信息管理制度11
为保障学校网络和信息健康、安全,根据《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规,特制定齐一小学信息安全管理条例。
总则
一、严格遵守国家有关涉及互联网方面的法律法规;
二、坚决封堵互联网上不良和有害信息的侵入;
三、积极配合公安机关的网络信息安全部门检查;
四、按照备案要求,及时备案学校在互联网应用方面的变更信息;五、学校建立网络信息安全领导小组和学校网络信息保护小组,并报公安机关的网络安全部门备案。
安全员制度
一、设立2人以上专职或兼职计算机信息网络安全员;
二、安全员在学校信息技术部主任领导下,主要负责全校网络系统的安全性;
三、安全员负责学校教师网络安全知识和操作方面的培训指导;
四、安全员确保系统日志保存并按规定保留60天以上;
五、安全员负责系统数据冗灾备份工作;
六、安全员负责对防病毒系统、防火墙和入侵检测系统定期升级;定期对系统进行安全检测,及时发现安全漏洞予以消除,并对检测和漏洞消除情况做好记录;
七、安全员承担对不良、有害信息上报、处置工作。
与公安机关联系制度
一、建立与公安机关联的长效机制,对网络安全方面出现的问题和情况及时沟通;
二、网络安全保护小组以及安全员保持通讯畅通,确保24小时联系制度;
三、对学校信息安全涉及的案件,应当在24小时内向当地公安机关报告;
安全教育和培训
一、安全员定期接受公安机关和上级教育主管部门的安全培训;
二、实时了解网络信息安全的动向,不定期对学校联网用户(教师)进行关于最新系统漏洞修复和最新病毒预防等安全防范方面的培训和学习;
三、适时对学校老师进行基本的网络安全保护制度和具体方法的介绍,切实维护计算机联网安全;
机房管理制度
一、对能够进入网络控制机房的人员设定要求,建立网络控制机房准入制度;
二、严格执行对任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的'物品的禁止要求;
三、操作密码定期更改要求,超级用户权限设定、机房管理员权限等等的权限设定;
四、建立《机房日志》,对各类软硬件的添加、更换等进行登记;
五、各种主要数据的冗灾备份要求;
六、对机房设置的消防器材等不定期进行检查的要求,确保其有效性。
安全保护技术措施
一、对个人使用计算机设置系统密码,并设置屏幕保护,加强保护个人使用计算机信息安全;
二、系统日志保存完善,参照《互联网安全保护技术措施规定》,保存时间在60天以上;
三、对系统安全防范系统定期检测、升级、漏洞修补,确保系统安全;
四、系统数据冗灾备份;
五、定期巡视,确保信息安全、合法。
巡视上报制度
一、对于校园论坛、留言板、社区等,建立信息发布前的关键字或敏感词汇的自动过滤功能;
二、对于电子邮件服务,建立垃圾邮件的自动过滤功能;
三、新闻时事、时政类栏目信息以及学校其他相关信息对外发布,必须建立信息发布前的审核制度;
四、以上通过相关管理措施发现的有害信息应完整留存,并指定专人定期上报公安机关网络安全部门。
用户登记制度
学校信息中心将对每位教师使用的计算机主机所对应IP地址,做好如实的登记工作,变动信息及时更新工作。
附则
本制度自即日起实施。制度一式三份,一份报公安机关网络安全部门备案;一份报教育局信息中心备案;一份与学校信息技术部存档保管备查。
信息管理制度12
1、信息安全禁止行为:
1.1利用公司信息系统平台、网络制作、传播、复制危害公司及员工的有关任何信息;
1.2攻击、入侵他人计算机,未经允许运用他人计算机设备、信息系统等;
1.3未经授权对信息平台erp、crm、wms、网站、企业邮件系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、移动、复制和删除等;
1.4未经授权查阅他人邮件,盗用他人名义进行发送任何电子邮件;
1.5有意干扰、破坏公司信息平台erp、crm、wms、网站、企业邮件等系统的`平安、稳定畅通运行;从事其他危害公司计算机、网络设备、信息平台的平安活动;
1.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息;其它危害公司信息安全或违反国家相关法律法规、信息安全条例的行为。
2、信息安全响应机制
2.1信息技术部负责公司信息安全的整体指导与管理工作,并对数据中心机房软硬件及信息系统、数据库的维护、备份等平安进行日常管理。各分支机构、部门涉及公司(或商业)机密的信息安全由分支或部门本身自行负责管理和限制。
2.2为保障各信息系统平安稳定运行,信息技术部在工作日时间由分管管理员负责维护,节假日依据须要,支配相关人员负责值班支持。运用人如发觉问题应刚好通知信息技术部,管理员应刚好处理并做好系统事务记录。
2.3信息系统的权限管理部门为信息技术部,负责各信息系统的权限管理,并指定专人为系统管理员完成各系统账号、权限的设立、注销及变更。
2.4如出现特别状况,分管管理员应刚好处理及解决,同时第一时间向部门经理报告,如确定异样状况为灾难、重大影响的还须上报公司高层。
3、如其它信息管理制度涉及信息安全的条款与本制度有冲突,则以本制度为准。本管理规定由信息技术部负责制定、说明,自颁布之日起先暂行。
信息管理制度13
第一节总则
1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。
2、本制度所称信息技术外包服务,是指医院以签订合同的方式,托付担当信息技术服务且非本医院所属的专业机构供应的信息技术服务,主要包括信息技术询问服务、运行维护服务、技术培训及其它相关信息化建设服务等。
3、安全管理是以平安为目的,进行有关安全工作的方针、决策、安排、组织、指挥、协调、限制等职能,合理有效地运用人力、财力、物力、时间和信息,为达到预定的平安防范而进行的各种活动的总和,称为安全管理。
4、外包服务安全管理遵循关于平安的全部商业准则及适当的外部法律、法规。
第二节外包服务范围
1、外包服务包括信息技术询问服务、运行维护服务、技术培训等。
2、询问服务:
(1)依据医院的信息化建设总体部署,帮助医院制定切实可行的技术实施方案。
(2)对医院现有的信息技术基础架构、设备运行状态和应用状况进行诊断和评估,提出合理化的解决方案。
(3)依据医院的实际状况提出备份方案和应急方案。
(4)其它信息技术询问服务。
3、运行维护服务:
(1)软硬件设备安装、升级服务。
(2)硬件设备的修理和保养。
(3)依据医院业务改变,供应应用系统功能性的需求解决方案及执行服务。
(4)系统定期巡检和整体性能评估。
(6)日常业务数据问题的处理服务。
(7)其它运行维护服务。
4、技术培训:依据医院的实际状况,供应相关的技术培训。
第三节外包服务安全管理
1、外包服务安全管理应根据“平安第一、预防为主”的原则,实行科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。
2、成立由分管领导同志信息化外包管理组织,明确信息化管理的部门、人员及其职责。
3、建立信息建设平安保密制度,与外包服务方签订平安保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行平安保密教化。
4、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。
5、外包服务方的.人员素养、技术与管理水平能够满意拟担当项目的要求,进行相应的平安资质管理。
6、信息中心配备专人负责平安保密工作,负责日常信息安全监督、检查、指导工作。对服务方供应的服务进行平安性监督与评估,实行平安措施对访问实施限制,出现问题应遵照合同规定刚好处理和报告,确保其供应的服务符合医院的内部限制要求。
7、对外包服务的业务应用系统运行的平安状况应定期进行评估,当出现重大平安问题或隐患时应进行重新评估,提出改进看法,直至停止外包服务。
8、运用外包服务方设备的,对其进行必要的平安检查。
9、在重要平安区域,对外部服务方的每次访问进行风险限制;必要时应外部服务方的访问进行限制。
第四节附则
1、本制度由信息中心负责说明。
2、本制度自发布之日起生效执行。
信息管理制度14
第一节 总则
1、为加强单位信息技术外包服务的安全管理,保证单位信息系统运行环境的稳定,特制定本制度。
2、本制度所称信息技术外包服务,是指单位以签订合同的方式,委托承担信息技术服务且非本单位所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。
3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。
4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。
第二节 外包服务范围
5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。
6、咨询服务:
6.1根据单位的信息化建设总体部署,协助单位制定切实可行的技术实施方案。
6.2 对单位现有的信息技术基础架构、设备运行状态和应用情况进行
诊断和评估,提出合理化的解决方案。
6.3 根据单位的实际情况提出备份方案和应急方案。
6.4 其它信息技术咨询服务。
7、运行维护服务:
7.1 软硬件设备安装、升级服务。
7.2硬件设备的维修和保养。
7.3 根据单位业务变化,提供应用系统功能性的需求解决方案及执行服务。
7.4系统定期巡检和整体性能评估。
7.5 日常业务数据问题的处理服务
。 7.6 其它运行维护服务。
8、技术培训:根据单位的实际情况,提供相关的技术培训。
第三节 外包服务安全管理
9、外包服务安全管理应按照“安全第一、预防为主”的原则,采取科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。
10、 成立由分管领导同志信息化外包管理组织,明确信息化管理的.部门、人员及其职责。
11、建立信息建设安全保密制度,与外包服务方签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。
12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。
13、外包服务方的人员素质、技术与管理水平能够满足拟承担项目的要求,进行相应的安全资质管理。
14、信息中心配备专人负责安全保密工作,负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估,采取安全措施对访问实施控制,出现问题应遵照合同规定及时处理和报告,确保其提供的服务符合单位的内部控制要求。
15、对外包服务的业务应用系统运行的安全状况应定期进行评估,当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务。
16、使用外包服务方设备的,对其进行必要的安全检查。
17、在重要安全区域,对外部服务方的每次访问进行风险控制;必要时应外部服务方的访问进行限制。
第四节 附则
18、本制度由信息中心负责解释。
19、本制度自发布之日起生效执行。
信息管理制度15
近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面:
A技术图纸。主要存在于技术部、项目部、质管部。
B商务信息。主要存在于采购部、客服部。
C财务信息。主要存在于财务部。
D服务器信息。主要存在于信管部。
E密码信息。存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:
1来自企业外的风险
①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
2、来自企业内的风险
①文件的传输风险。若有员工将公司重要文件以QQ、MSN发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。
②文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。③文件的传真风险。若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,会造成企业信息的外泄。
④存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息。若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。⑤上网行为风险。员工可能会在电脑上访问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。
⑥用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握,可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。
⑦机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自防盗、防雷、防火、防水。若这些自然灾害发生,可能会损坏机房设施,造成业务中断。
⑧办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识,在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容,若不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。
为了保证企业信息的安全保密,公司所有人员必须严格遵守企业信息安全管理总则,以安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。
二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。
1、计算机设备安全管理。
1)公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2)严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
3)发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。
4)下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。
2、部门资料安全管理。
1)外接存储设备安全管理。
严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱。
2)文件传真安全管理。
所有人员对外发送传真,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。
3)文件打印安全管理。
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
4)文件的存储安全管理。
所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。
5)办公区域的安全管理。
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好,被他人取走,
造成的后果将由本人承担。
3、帐号密码安全管理。
使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工,员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有8个字符长;密码必须包含以下任一部分:字母A—Z或a—z,数字0—9,特殊字符,例如$,—等。
1)电脑密码管理:每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记,若更改密码后,未进行登记,一经信管部发现,将对该用户进行口头警告。同时,因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题,信管部不承担责任。
2)应用系统密码管理:所有ERP用户及OA用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在ERP中将会非法编制篡改单据,在OA中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将ERP帐号或OA帐号密码透露给他人,让他人代己做ERP单据或办理OA流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。
3)采用用户身份认证系统:目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;在企业外,攻击各应用服务器,破坏或盗取商业数据等。因此,我部门在未来的发展规划中,要将用户身份认证当作安全的一个重大隐患,想办法解决这个问题。
这里,我们可以采取动态口令牌或USBKEY认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于60秒内自动刷新密码,无法采用数据字典扫描破译密码,让黑客攻击行为束手无策;而USBKEY采用USB密钥,存储特定的加密算法,只有将USB钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。
4、杀毒软件安全管理。
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
5、各类软件安全管理。
软件原始盘片应交综合部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。
6、邮件安全管理。
所有因公对外联系的电子邮件一律通过公司邮箱info@zxtrcom或tech@th—eecom或info@th—eecom在指定的电脑上进行收发。(参考邮箱管理制度)
综上所述,使用者应该具有一定的安全防范意识,具体应做到: 日常工作信息安全:
1)员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
2)员工有责任正确地保护分配给本人的所有计算机帐户。
3)各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。
4)每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。
5)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
6)任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
假期时间办公室的安全:确保工作电脑的安全,在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码,其它信息管理部设备的电源也必须切断。
确保数据的安全:确保你的软盘,备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。当你在外的时候:不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假,而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。
当你回来的时候:如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。
常规注意事项
1)任何外来盘片(包括CD、VCD碟片及软盘),只有经过系统管理员确认不带病毒后,才可在公司计算机上使用否则造成病毒感染或其他破坏的,公司将对其责任人进行罚款处理,每次金额50元~500元。
2)个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出,若需输出必须履行审批手续。申请人填写申请单,写明输出资料内容、份数、路径、用途、申请日期、申请人等项目,经部门领导和公司领导共同签字审批后,交由专人上机操作。
3)未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查,发现有违反本条规定的,将给予50元~500元的罚款。
4)严禁在工作时间利用计算机网络从事与本职工作无关的活动,发现有违反本条规定的,将给予50元~200元的罚款。
三、细则:从各部门级出发,针对这些信息隐患制订安全防范措施。
1、采购部的安全处理措施如下:
1)采购招标的安全管理。
由采购部门编写招标计划,经部门负责人签字后,上报总经理审批,总经理根据生产过程的物料需求及原有的物料采购价格决定是否需要寻找新的货源,若审批同意后,采购部才可以开展招标工作。采购部门制定招标邀请书,邀请众多有法人资格、供货条件的单位参与我公司的招标活动。在发标书的过程中。采购部应遵守下列原则:①招标的公开性:对于采购的招标信息应该公开;评标的标准和程序应该公开;中标的结果应该公开。②招标的公平与公正:对待各方投标者一视同仁,不得对任何投标方带有主观意见。③招标的保密性:采购部人员严禁以任何形式向投标方透露招标的意向。评标完成后提交评标报告给总经理,最后由总经理中标、授标。
2)采购价格及供应商的信息安全保密。
采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格,严禁向他人透露各种物料的供货来源。采购部门人员要随时检查个人办公区域的文件资料是否存放好,防止因打印的采购价格表和供应商联络单没有存放好,导致采购信息资料外泄。要求部门人员要严格保管好工作纸质文件,同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全。
2、客服部有如下工作存在安全隐患:
1)及时向甲方传递发货信息与到货信息。
2)甲方基地发货及库存统计:记录甲方发往各风场的数据,盘点甲方各基地库存数;
3)总经办工作安排。
以上存在的安全隐患及处理措施如下:
A)发货、到货、现场库存信息安全。
客服部人员在统计往风场发货及现场库存的时候,可能会因为客服部盘点疏忽,最终统计的库存结果不准确。这会造成公司的发货信息与现场到货数量不一致,从而得迅速查找整个发货到货流程的出错环节;甚至会因为库存统计的不准确,延迟发货到货时间,导致现场库不能及时向风场发货,从而影响客户的业务。客服部现场人员必须每日在OA中编写日记,以便部门领导能随时掌握此现场人员的工作动态,现场人员要认真盘点到货数量及现场库存信息,在现场与甲方进行每月、每季、每年度的数据核对,确保到货数量与发货数量一致,并随时向部门负责人汇报。
B)总经办的日程安排管理。
在实际的工作中,总经理因工作繁忙暂时不在公司,一些待办理的工作无法通过审核。客服部负责人要了解总经办的行程,并确保行程不被泄露,保证总经理的其他事务不会受到打扰,在总经理方便时,提醒总经理处理一些比较紧急的待办文件;若总经理不在公司,以先短信后电话的形式给总经理汇报待办理的文件类型,在总经理办理完成后,及时将文件下发给相应部门。
3、项目部的安全处理措施如下:
1)图纸的安全管理。
项目部的图纸只允许在部门内部传阅。在进行项目生产时,工艺员申请借阅项目图纸,经签字确认后,档案专员将图纸副本发放给工艺员,工艺员负责监督技术人员和操作人员严格按照图纸进行生产,确保生产过程符合ISO9000体系要求。生产完成后,工艺员将图纸返还给档案专员,图纸副本重新归档。在借阅过程中,严禁借用人将图纸传阅给其他人员,一经发现,必将严肃处理。
2)工艺技术文件的安全管理。
项目生产的工艺技术文件由计划员归档保存,在组织生产人员进行操作培训时,指导操作人员学习质量文件和相关工艺规程,培训过程中,确保工艺技术文件只在培训过程中流转,培训完成后,收回所有的技术文件,禁止任何人以任何理由将文件带出公司。禁止任何人复印、传真此类文件。
3)人员的安全管理。
项目部保管着生产技术文件和图纸,公司的人员流动很容易造成技术的泄露。鉴于此,部门应严格控制工艺技术文件及图纸的传阅。文件将由专员保管。禁止部门人员在未经允许的情况下传真或复印此类文件;在部门员工调动或离职前,由部门档案专员收回该员工所有工作文件。若档案专员调动或离职,由部门经理亲自收回该岗位所有的工作资料,并清点所有书面文件和电子文件是否存在缺省或丢失的情况,最大程度避免人员的流动造成技术资料的外泄。
4、仓储部存在的安全隐患及处理措施如下:
A)物料库存安全。
物料采购入库后,仓储部做好物资的保管工作,如实登记仓库实物账,经常清查、盘点库存物资,确保系统帐、查存卡、实物一致;做好物资采购、存储、生产领用各环节平衡衔接工作,做到物料的先进先出,当保管物料的库存量不足时,及时通知采购部,由采购部制定新的计划进行物料采购,再入库存,确保生产有序进行。
B)物料信息安全。
仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。仓储部负责人应严格规范
部门人员的安全防范意识,并严格存放好入库单和领料单等纸质单据,确保不会因为单据的存放不善而泄露物料供货信息。
C)仓库整体安全。
做好物资的存储工作,按品种、规格、体积、重量等特征决定存放的方式与位置,仓库物品堆放整齐、平稳,合理利用储物空间,减少地面负荷,便于盘存和领取,并有效做到先进先出;做好仓库的安全、防火、防盗、防爆、卫生工作,确保仓库和物资的安全;对危险品需进行单独存放与隔离、管制。
5、技术研发部的安全处理措施如下:
1)图纸的归档
A)外来书面图纸:公司指定收件人收到后整理并编制归档,确认完整无误后,交由综合部档案管理员。图纸蓝图邮寄到北京,复印件登记,入库经总经理批示发放至相应部门。
B)电子版图纸:外来电子版图纸,由公司指定专人负责接收。打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门;若外来电子版图纸已由对方传至我方项目人员处,项目人员应将图纸资料整理后报综合部存档,由综合部统一打印及按公司规定下发至相应的职能部门,若出现图纸变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。
C)内部设计电子版图纸:在工程完工后一周内,技术人员应将最后定稿图纸交由综合部,由其在三天内加密统一刻录光盘。一式两份,公司领导及综合部档案管理员各保管一份。
2)外来工艺文件、技术规格书
技术人员在收到文件后1个工作日内整理无误,交综合部档案管理员登记、入库经总经理批示后方能发放。
3)内部拟定的工艺文件、技术规范文件
A)公司自行编写的生产工艺文件,经总经理审批签署后交综合部档案管理员入库存档。
B)移交文件时,移交人应备有档案实体和目录,经档案管理员对照验收无误后方能办理移交登记手续。
C)档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者,有权拒绝接收,并限期改正补交。
D)移交时,移交和接收文件方均应建立书面移交记录。
4)技术图书、期刊、标准的管理
公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
5)技术,项目往来传真件
综合部收到技术文件后,下发到相应部门,相关责任人签收签字。同时保留复印件,按项目不同分类,待项目结束后,各负责人将其保存的传真复印件整理装订后归档。
6)技术,项目往来电子邮件
由公司指定接收人以及综合部邮箱管理员定期下载整理。每月将电子邮件交综合部统一刻制成光盘存档。
7)本行业其他公司宣传画册、样本、产品信息等文件,由综合部按《样本资料明细表》登记保管,使用人可查询使用,不得私自留存。
8)技术文件的复印
归档的技术文件确因工作原因需要复印时,须由使用人到综合部填写《资料复印申请表》经总经理批准后,综合部指定人员复印后发放至使用人。
9)技术文件的借阅
A)借阅手续:各部门有关工作人员因工作需要借阅归档技术文件,应办理调阅手续,经部门负责人签字,交公司领导批准后方可办理借阅手续。
B)借阅记录:档案管理员应有清楚、准确的借阅记录,包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。
C)借阅时间:一般最长不超过8个工作时,超过8个小时需在办理调档申请时特别说明。如员工因工作原因经批准需要带出资料时,则其返回后一个工作日内归还。
D)归还要求:借阅的资料交还时,必须由经办人当面点交清楚,如发现遗失或损坏,应立即报告领导,同时应追究使用人的责任。
公司所有技术文件均应先由综合部专人登记入库后,经总经理批示后分发至相应部门负责人处,由其向部门员工下发。各部门负责人应做好本部门技术资料的保密工作,若保管技术资料人员离职时应向综合部交回相关的技术资料。综合部下发技术文件时,须由签收人签字确认。
6、质管部的安全处理措施如下:
1)工艺文件的安全管理。
部门档案专员保管本部门的工艺文件。此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况,若要进行生产过程检验,在部门负责人授权下,部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员,质量工程师或其他管理人员根据工艺文件的标准,对生产现场各道工序施工工艺、方法、操作规程进行检查监督,提出生产过程中的不合项,对不合格项进行跟踪验证。生产过程检验完毕后,质量工程师将工艺文件副本返还给部门档案专员,最后由档案专员进行文件归档。工艺文件仅允许部门内部管理人员传阅,不得借阅给其他任何部门及工人。若部门管理人员借阅工艺文件后,造成的文件丢失,则借阅者承担相关责任。
2)验收图纸的安全管理。
验收图纸用于检验生产完工后的产品是否合格,由部门档案专员保管。质量工程师借阅验收图纸后,以此为标准对完工产品进行鉴定,若合格,则调入成品库;若不合格,则对不合格项进行跟踪验证,直到产品合格为止。验收图纸借阅分为以下几种情况:①内部管理人员借阅。验收图纸只允许本部门内管理人员的互相传阅,借阅人在档案专员处登记,确定归还时间后,档案专员对其分发验收图纸副本,借阅完后,及时归还给档案专员,禁止传阅给部门非管理人员。②技术研发部人员借阅。只有技术研发部人员才能借阅本部门验收图纸。在借阅时,要遵守借阅流程,在技术研发部经理签字后,上报总经理审批,总经理审核通过后,质管部方可将验收图纸副本借阅给相关人员,并要求在8个小时内归还图纸。图纸借阅过程中,严禁将图纸传阅给其他人员,或私自将图纸进行复印或扫描,一经发现,必将严肃处理。③验收图纸不得传阅给其他部门人员,也不得传阅给本部门非管理人员。一经发现,追究档案专员相关责任。
7、财务部的安全处理措施如下:
1)财务部为公司重要数据信息部门,除本部门在内工作外,其他无关人员不得入内。
2)财务人员去银行取现金、支票等,应两人以上同行,禁止途中办理任何与此项工作无关事宜。
3)妥善存放支票,支票与有效密码及专用印鉴要分别存放。
4)出纳人员不得私配保险柜钥匙,不得将保险柜密码外传,过节或放假时,要与综合部配合,对保险柜加贴封条。若因密码钥匙保管不善,导致现金及其他财产损失,将由本人承担一切损失。
5)会计人员应妥善保管好各类凭证及发票,不得在凭证发票随意摆放在办公桌的情况下离开办公区域。凭证发票录入核对完毕,应立即整理存放到财务凭证专柜中,同时确保上锁,并妥善保管好钥匙,若因以上原因造成财务数据丢失,将由本人承担一切后果。
6)财务人员应保管好电子银行或其他一切与财务有关的加密锁,在使用时,使用人不得离开电脑,确保所做的一切操作均出自本人之手。若使用完毕,一定要将加密锁存放于财务专柜中妥善保管。
7)财务部门因为数据的重要性,因此对安全的要求很高。在使用电脑时,要求财务部门人员一定要每天升级杀毒软件,若电脑出现异常,应联系信管部查明原因,是否能安全操作。
8)财务部是企业工资的发放部门,掌管着企业全体人员的工资详情。由于工资向来是公司的敏感信息,因此,财务的工作要求财务所有人员应严格遵守职业素养,严禁财务部人员以任何形式向任何人透露工资或奖金信息。
8、综合部的安全处理措施如下:
1)技术类文件、图纸和图书的安全管理。
综合部指定收件人收到外来书面图纸后整理并编制归档,确认完整无误后,交由档案管理员。图纸蓝图邮寄到北京,将复印件登记,再经总经理批示后发放至相应部门。综合部指定收件人接收到外来电子版图纸,打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门,若图纸出现变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
2)涉外合同的安全管理。
综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后,由综合部将其分类归档到指定的档案盒中,并将档案盒编号题名存放于指定的档案柜中,将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料,需要向综合部提出申请,经综合部负责人审批通过后,档案管理员方可开启档案盒调出文件发放给相关部门;原则上不允许各部门向综合部借阅其他部门的合同资料,若确因工作原因需要借阅,则应提交总经理审批,综合部在看到总经理的签字后方可指派档案管理员借出资料,并规定借阅时间不得超过8个小时,由借阅人签字,在借阅过程中造成的合同资料丢失,将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒;严禁档案管理员将档案柜钥匙借给任何人,若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。
3)工资编制的安全管理。
综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的,综合部在核算员工工资的时候,应该谨慎处理,如在电子表的发送之前,可以设置相应的密码,防止不小心发送到其他人电脑上,在打印工资表的时候,应单独设置非监控直接打印,并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算,不得擅自更改原始依据。工资核算完成后,上报公司领导审批。严禁工资核算人向他人透露公司工资及奖金信息,严禁在任何场合与他人讨论工资话题,一经发现,将追究其相关责任。
9、信管部的安全处理措施如下:
1)计算机网络设备安全管理。
公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定:
A)计算机是指为公司内部员工使用的PC机(包括CPU、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供,如非特殊需要不配备光驱和软驱。)
B)网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
C)计算机其他配件是指公司备用的`光驱、软驱等。
D)附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
E)包括计算机及耗材的采购计划、故障维修等项工作。
在员工电脑各组件老化或损坏,严重影响工作效率时,信管部可申请以旧换新或报废处理。若需要报废,则填写报废申请单经部门负责人确认后上报总经理审批,审批通过后才能作报废处理,信管部不得擅自处理破旧的电脑或电子设备。
2)公司所有输入输出设备统一归信息管理部管理。
输入输出设备包括扫描仪,传真机,打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映,以便信息管理部及时查找原因,解决故障。
3)公司视频会议设备和视频监控设备统一由信息管理部管理。
A)视频会议设备包括视频会议服务器、视频会议终端、SONY摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
B)视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。
4)信息化系统ERP、OA帐户安全管理
系统管理帐号的设置与管理
A)ERP、OA系统管理帐号必须经过总经理授权取得。
B)ERP系统管理员负责ERP系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护;OA系统管理员负责OA系统自定义表单的生成、流程的建设和优化。
C)ERP、OA系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权。
D)ERP、OA操作用户需要增加或修改权限需要填写ERP/OA用户权限申请表,并经过本部门负责人签字后交由总经理审核,通过后,再由信息管理部作权限相关处理。
E)系统管理员不得使用他人帐号进行业务操作。
F)系统管理员调离岗位或离职,信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。一般操作帐号的设置与管理
A)一般操作帐号由系统管理员根据各类应用系统操作要求生成,应按每用户一帐号对应设置。
B)操作员调离岗位,系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。
5)密码安全管理
A)终端计算机密码安全管理:系统管理员及时登记公司所有用户电脑密码,制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时,系统管理员及时登记相应的新密码。
B)应用服务器密码安全管理:包括ERP服务器、OA服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码。制成《服务器密码登记》文件,并提交给部门负责人。
C)防火墙/路由器密码安全管理:防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人。
D)ERP/OA系统密码安全管理:ERP/OA系统密码分为管理员密码和操作用户密码。系统管理员登录密码由ERP/OA管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。操作用户密码由ERP/OA管理员在创建帐户时初始生成,信息管理部发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由ERP/OA管理员帮其初始化密码。
信管部应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于信管部内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高。
6)数据备份安全管理
定期备份ERP服务器、OA服务器、邮箱服务器。具体备份方法如下:
A)ERP服务器备份:每天早上自动备份E3帐套和5000帐套。
B)OA服务器备份:每天早上9:00备份OA数据库,并于每周五早上9:00备份OA系统文件夹。
C)邮箱服务器备份:每周五早上9:00在邮箱控制台执行备份操作,并于每月28日备份邮箱目录文件夹。备份完成后,将备份文件转存到其他电脑上或移动硬盘上做异地归档,以防本地硬盘发生故障时能随时做灾难恢复。
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开企业网络应用高峰,避免对各部门工作造成影响。数据的清理包括:
A)ERP系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。
B)OA系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。
C)邮箱系统中垃圾邮件的清理、人员变动记录的清理。
D)用户电脑中系统垃圾文件的清理、IE缓存的清理。
7)信息资料安全管理
A)加密系统管理;目前我公司使用的是天盾文档加密系统,对常用办公软件office、pdf、AutoCAD文件加密,公司内部的此类文件被带出公司后,显示在其他的电脑上均为乱码,保证了各个部门在未授权的情况无法将公司的文件资料的泄露出去。然而,我公司因为之前的需求,加密软件使用的是单机版与网络版混合使用的,网络版可以根据策略的下发,实现文件在企业网的加密、反截图、禁USB等功能,但脱离局域网后,电脑无法打开文件,若有出差人员在外地使用电脑,就无法使用网络版;而单机版就解决了出差人员电脑加密的问题,可以正常打开公司的文件,但这里存在一个安全风险,若出差人员的电脑被盗,将会造成企业信息资料的外泄。针对以上情况,我们需要寻找一种更加适合的加密软件,确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能:能够通过控制台在公司网内加密指定类型的文件,同时可以设置不同的加密权限对应于不同的用户组;能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等;能够加密原加密软件不支持的文件类型;能够荧荧于所有的windows平台上;能够禁用USB存储设备,不禁用USB外设;能禁止用户屏幕截图;能审计打印等。
B)大蓝监控软件管理:监控软件在很大程度上起到威慑作用,监控软件能够记录所有用户在个人电脑上的一举一动,通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。
C)打印控制软件管理:打印控制软件应用后,员工的打印需要在管理员审核通过后方能打印,若管理员审核到某员工的打印内容涉及本公司信息安全,拒绝员工的打印。在审核通过、打印完成后,管理员可随时调出以前的打印记录,保证了及时信息安全责任追究。
D)设备送外维修,须经设备管理部门负责人批准。送修前,需将设备存储介质内应用软件和数据备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
E)信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
F)信息管理部负责计算机病毒的防治工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
G)用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
8)机房安全管理
①非信息管理部人员不得进入机房,信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时,完成相关操作后,一定要关好机房大门,并保管好机房钥匙。
②保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
③确保机房防水,定期检查机房天花板、四壁有无漏水现象,保证机房内的服务器和其他电器设备的安全。
A)发生机房漏水时,信管部应立即通知综合部联系大厦物业,同时,信管部第一时间保护好服务器及其他设备,避免设备浸水后损坏。
B)若为墙体或窗户渗漏水,应急领导小组应立即采取有效措施确保机房安全,同时安排通知综合部协助及时清除积水,维修墙体或窗户,消除渗漏水隐患。
④确保机房防火,定期检查机房内灭火器状态完好无损。
A)完善机房环境,确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房。
B)一旦发生火灾,迅速切断机房电源,避免灾情的扩散,并迅速拨打物业管理和119火警电话。
C)等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。
D)配合消防部门调查事故原因,对造成的损失和起火原因做好记录,以便进行灾后总结。
⑤确保机房防雷,遇到暴风雨恶劣天气,应作防范性处理。
A)遇雷暴天气,信管部在下班后应及时关闭所有服务器,切断电源,暂停内部计算机网络工作。
B)雷暴天气结束后,信管部应及时开通服务器,恢复内部计算机网络工作,对设备和数据进行检查。出现故障的,事发部门应将故障情况及时报告应急领导小组。
C)因雷击造成损失的,信管部应会同综合部进行核实、报损,并在调查工作结束后一日内书面报告领导。应急领导小组每日查看、清点设备并锁好机房大门。
⑥确保在停电后,业务应用的安全管理。
信管部在接到停电通知时,应设置便签提醒自己具体要停电的时间,若停电时间在上班时间,则提前发出通知给北京和常州所有人员,避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间,则在下班时通知所有人关闭电源,同时信管部及时关闭服务器,以免停电损坏主机电源。停电结束后,打开各应用服务器,并谨记要打开视频监控服务器,恢复闭路监控系统正常工作。⑦确保机房防盗,针对此环节,作相关防范处理。
A)信息管理部每日查看、清点设备并锁好机房大门。
B)信息管理部每日检查录像监控服务器状态,确保监控画面正常,并检查每日录像正常性、完整性。
C)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息管理部,同时保护好现场。
D)信管部接报后,即刻调出监控录像,搜查可疑行迹,若无法解决,可联系公安部门处理。
提高行业信息化管理水平,信息安全是关键。而信息安全构建必须管理、技术两者双管齐下:
1)加强管理,综合防范。安全体系是一个整体的、系统的工程,不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统。
2)完善制度,强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任。确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。
【信息管理制度】相关文章:
信息安全管理制度04-08
信息披露管理制度11-29
信息安全管理制度08-15
信息资料管理制度12-11
[经典]信息安全管理制度06-16
信息管理制度04-22
质量信息的管理制度12-20
信息报送管理制度02-19
信息化管理制度05-25