发行部门 承认 审查 作 成 件名 信息安全管理条例 发行日 版 1. 目的 2. 适用范围 3. 信息安全管理组织 4. 文件的机密等级区分及使用 5. 信息发行申请 6. 公司电脑的使用 7. 外部记忆媒体的管理 8. 公司网络的使用 9. 电子邮件的使用 10. 服务器的使用管理 11. 访客入室申请规定 12. 信息安全管理维持 附表:
1.目的 为了防止信息泄露,保护我司信息资产的机密性和安全性,提高我司信息资产的可使用性,特根据公司信息安全管理规则制定本信息安全管理条例。
2.适用范围 本条例适用于公司所有计算机(包括硬件、软件、存储设备等)和网络构建的信息系统以及通过信息系统保存、流通的所有信息资产和信息资产使用者。
3.信息安全管理组织 3-1 公司 信息安全管理组织
3-2 信息安全管理组织的职责
(1)据点最高信息安全管理责任者
中心长作为据点最高信息安全管理责任者,负责遵守、实施以下事项。 ① 向据点内的各部门展开DOA及董事会的决定事项。
例 实行计划、基于IT的安全政策、文书管理?其他的政策等 ② 对据点内信息安全対策和规则的贯彻实施;
③ 对据点内的各部门信息安全的促进和实行状况的把握以及必要事項展开。 ④ 据点内的调整(本据点内的事务局机能)
※对据点各部门所制作信息的机密等级划分的承认及调整 ※对据点内的信息安全管理问题点、课题等的抽出以及报告
(2)信息安全管理责任者
各部门长作为部门信息安全管理责任者,负责遵守、实施以下事项。
① 对部内的信息资产(信息、数据以及信息设备)的合理使用、管理进行监督。
② 对本部门制作的信息、数据进行机密等级区分并取得据点最高信息安全管理责任者的批准
※对本部门作成信息的机密等级区分相关做出进行部门内调整等
③ 根据据点最高信息安全管理责任者承认的机密区分和各项相关规定,对信息的制作、保存、保管、废弃、
使用以及与公司内外的信息交付与接收进行审核与批准。 ④ 对信息访问权限的赋予与消除进行审核与批准。
※根据机密区分对不同信息访问权限申请的审核与批准
※在发生人员调动及离职等情况下,需要消除对象人员的访问权限 ⑤ 部门信息安全管理状况的把握以及问题点课题的汇报 ⑥ 部门信息安全管理者以及信息安全管理担当者的任命 ⑦ 部内教育的指示
※指示本部门实施信息安全教育
(3)信息安全管理者
各部门课长作为部门信息安全管理者,负责遵守、实施以下事项。
① 在信息安全管理责任者领导下,负责日常业务中的信息安全管理,执行实务工作。 ② 教育的实施
※确保部下了解信息安全管理 ※确保部下参加信息安全教育
(4)信息安全管理担当者
部门信息安全管理担当主要配合本部门信息安全管理责任者,信息安全管理者以及信息安全事务局对本部门的信息资产进行维护、管理,对使用行为进行记录,协助信息安全事务局推进本部门内信息安全政策的实施并跟进确认实施状况。 主要职责:
① 本部门信息设备的集中管理(包括设备的保管,借出/归还记录,设备状况确认); ① 本部门共享文件目录权限表的维护;
② 本部门人员设计系统账号申请及申请记录保存;信息发行记录的保管; ③ 对本部门员工遇到的信息资产或安全相关的问题予以支援;
④ 根据信息安全事务局制定的年度信息安全巡查计划参加信息安全巡查。 ⑤ 负责本部门信息安全巡查改善事项的推进。
(5)信息安全事务局
公司信息安全事务局是公司信息安全工作执行推进的主体。信息安全事务局在信息安全委员会的指示下,在公司内负责信息安全政策的展开、推进以及报告。 主要职责:
① 对来自CKJ及公司信息安全新政策进行全员展开;
② 根据信息安全政策的变化对公司信息安全管理规定、管理方法进行相应修订; ③ 制定公司年度信息安全巡查计划并组织进行每月一次的信息安全巡查; ④ 将信息安全巡查结果进行汇总,向信息安全委员会报告并向各部门展开; ⑤ 每年定期的向公司全体员工进行信息安全教育。
4.文件的机密等级区分及使用
4-1文件的机密等级区分及使用:
公司内所有信息资产文件均按照机密等级分为以下四类:极秘、秘、部外秘、社外秘。 不同机密等级的文件有不同的管理使用要求,员工需按照以下规定进行管理使用:
定义 极秘 ?该项信息若泄露给特定人以外会造成竞争力下降或者违法行为等对组织延续有直接影响的信息 ?关联法律法规,合同里规定有守秘义务的重要信息 ?极个别指定客户可收到相关信息 公开范围 管理 ?严密地限制在特定人员内 ?各本部内设定文件夹 ??信息的开放必须全部记录 ? ?设定密码的数据收发必须把信息(数据)和 密码分开 复印 打印 社内邮件 (包含AFL) 涉外邮件 ?原则禁止 ? ?业务上有必要时由项目组长或者本部长承认 认 ?原则禁止 ?设置密码 ?原则禁止 ?设置密码 外部介质 ?禁止 ?仅仅特定的当事人间共享 ?各部门里设定文件夹 ?信息的开放全部记录 ?设定密码的数据收发必须把信息(数据)和密码分开 ?原则禁止 ?业务上有必要时由信息安全管理者和责任者承认 ?原则禁止 责任者承认 ?希望设置密码 ?原则禁止 责任者承认 ?设置密码 ?原则禁止 ?业务上有必要时由信息安全管理管理者和责任者承认 ?设置密码(记忆体本身) 部门间数据交换 ?禁止 ?原则禁止 ?业务上有必要时由信息安全管理管理者和责任者承认 ?希望设定密码 标示 ?必须 ?必须 ?业务上有必要时由项目组长或者本部长承认 ?业务上有必要时由信息安全管理管理者和秘密 ?若泄露给特定的当事人以外会造成公司利益损坏或者竞争力下降的信息 ?相关法律法规,合同里被规定为守秘义务的重要信息 ?业务上有必要时由项目组长或者本部长承认 ?业务上有必要时由信息安全管理管理者和
定义 公开范围 管理 部外秘 以外泄露时会造成利益损坏,混乱,误解的信息。 ?仅仅特定的部门(本部,Group、Team)、?利用本公司的信息当事人 项目成员 ?各部门里设定文件夹 ?设定密码的数据收发必须把信息(数据)和密码分开 社内邮件(含同一部署 他部?可(信息安全管理者承认) ?希望设定密码 ?可(信息安全管理者承认) ?希望设定密码 外部介质 部门间数据交换 ?必須 标示 ?必须 ?必须 ?必须 ?可(信息安全管理者承认) ?设定密码(记忆体本体) ?可 ?可(信息安全管理者承认) ?设定密码(记忆体本体) ?可 ?可(信息安全管理者承认) ?可 ?可 ?各部门内设定文件夹 ?设定密码的数据收发必须把信息(数据)和密码分开 ?可 社外秘 ?特定的部门(本部,Group、Team)、项目泄 ?泄露到公司外会造成损坏利益 AFL) 署 社外邮件 ※对收到有密码设定的文件进行保存时,需要存放至个人PC或公司的文件服务器 (文件服务器有设定权限的文件夹中、个人PC的盘符中)中进行保存,保存后可以解除文件的密码。如需再次发行该文件时,需按本管理条例实行?
※向社外发行机密文件时(如:零部件交易基本合同、开发委托合同、共同开发委托合同等机密文件),如发行对象为与公司有合同关系的外部公司,则申请发行人需填写<信息发行申请书〉;如发行对象为与公司没有合同关系的外部公司,不允许对外发行。
4-2文件机密等级的标识:
员工需按照下述要求对公司内所有信息资产文件进行机密等级标识:
(1)在信息资产文件首页的上部用「极秘」,「秘」,「部外秘」,「社外秘」表示其机密等级。标识方法请见示
例,字体请使用红色28号黑体加粗,边框请使用红色2磅粗细:
示例: (2)在信息资产文件页脚右侧用,分别表示「极秘」,「秘」,「部外秘」,「社外秘」。
※具体标识方法请参考附件7《标注手顺》
4-3纸质机密文件的管理
(1)纸质机密文书的制作
1)制作纸质机密文书时必须根据文件机密等级,在遵从机密文件区分定义表中的信息复制/传递管理规定的
信息保密安全管理制度
