企业信息安全管理制度.doc

《企业信息安全管理制度.doc》由会员分享，可在线阅读，更多相关《企业信息安全管理制度.doc（26页珍藏版）》请在三一办公上搜索。

1、企业信息安全管理制度 企业信息安全管理制度篇1一、遵守保密规定,严格控制不应公开的档案信息。二、保存档案数据信息的计算机不得与公共信息网络联接,确需联接时,必须通过安全保密审查。三、加强对档案信息网络传输的管理,确保网络和使用过程的信息安全。四、确定专人负责计算机系统的管理工作,并设置计算机操作系统用户口令。五、计算机系统必须安装防病毒卡或反病毒软件并及时更新版本,做好防病毒工作。六、保存档案数据的计算机外送修理时,应将有关数据的内容清空、删除或将硬盘摘除,并做好计算机修理情况登记。七、应采取有效措施,保证档案数据库和档案数据安全。所有数据至少复制两套,并异地保存。八、信息载体(如硬盘等)损坏

2、,必须拆除后放入待鉴定室专门保存。九、磁性载体每满2年、光盘每满4年应进行一次抽样机读检验,抽样率不低于10%,如发现问题应及时采取恢复措施。十、具有永久保存价值的文本和图形形式的电子文件,必须同时制成纸质文件或缩微品等拷贝件一并归档保存。十一、应加强对归档电子文件鉴定销毁的管理。对于属于保密范围的归档电子文件,连同存储载体一起销毁,并在网络上彻底删除;对于不属于保密范围的归档电子文件进行逻辑删除。十二、以上各条请本单位全体干部职工互相监督,共同遵守。对违反本制度的,按国家有关规定处理。企业信息安全管理制度篇2第一章总则第一条为进一步规范安全信息管理，畅通安全信息渠道，及时掌握现场安全生产动态

3、，准确处理各类安全信息和资料，切实提高对安全信息的分析、统计、处理能力，更好地发挥用安全信息指导安全生产和预防安全隐患的作用，逐步建立、完善公司安全信息管理网络，制定本制度。第二条本制度规定的安全信息系指在公司生产过程中发生的运输行车事故、人身伤亡事故、特种设备事故、生产安全隐患、设备隐患、治安事件、管理问题、职工违章违纪及其它影响安全生产的信息。第三条安全信息管理必须遵循的原则1、真实性原则。凡反馈的安全信息，必须做到件件真实、*可靠、实事求是，具有可追踪性，杜绝虚假信息、失效信息、重复信息，保证安全信息的真实性。2、准确性原则。各类安全信息的数据统计和综合分析，要做到全面、客观、准确，避免

4、错、漏信息的发生。3、时效性原则。安全信息的反馈要及时、快捷，严格按照规定时间、周期提报，不得人为拖延，影响信息畅通。第四条充分利用办公信息系统网络资源，通过信息交换中心，传真电话等方式，及时传递安全信息，逐步实现安全信息网络化管理。第五条公司各部门要完善安全信息管理办法，对安全信息的报道、反馈、处理等环节应作出具体规定，形成安全信息工作管理的闭环。第二章管理职责第六条公司领导职责：掌握安全生产动态，超前预测、超前防范，及时处置安全生产重要信息，组织解决危及安全生产的重大问题；公司安委会等监督检查发现的突出问题，及时通报有关单位、主管部门和贵州铁路实业集团公司，并对整改落实情况进行督促、检查；

5、处理突发安全生产重大事件，审核或直接向贵州铁路实业集团公司（地方政府主管部门）报告或通报发生的安全重要信息。分管领导：负责监督指导分管部门安全信息管理工作，督促分管部门及时掌握现场安全生产动态，确保信息渠道畅通；审核分管部门日常向贵州铁路实业集团公司（地方政府主管部门）报告或通报安全重要信息；按规定参加分管部门安全生产分析会议，对分管部门安全信息进行分析，查找倾向性、关键性问题，指导分管部门制订整改措施，掌握整改措施实施进度，督促危及安全的倾向性、关键性问题得到及时解决和整改。第七条安委会职责：公司安委会是公司安全信息管理的监督部门。负责公司安全信息的收集、统计、综合分析，跟踪处理领导督办的信

6、息，及时向公司领导汇报安全情况及重要信息，按规定向集团公司安监部和地方政府主管部门报送、反馈安全信息，按规定对公司各部门安全信息管理工作进行监督检查及考核。第八条部门职责：公司各部门是安全信息的主体单位，负责本单位安全信息的收集，按规定时限和要求向公司安委会报送、反映、通报安全生产信息。第九条信息主要1、安全事故信息；2、领导干部监督检查信息；3、公司安委会监督检查信息；4、公司各部门检查发现、反馈的信息；5、上级通报的信息；6、其他信息（群众举报，新闻媒体等）。第十条信息分类：安全信息分为生产安全事故信息和其他安全信息事故信息包括：行车安全事故，人身伤亡事故，特种设备事故，火灾、爆炸、中毒、

7、治安、交通事故信息。其他安全信息包括：严重威胁行车安全，劳动安全和特种设备安全的重大隐患；未构成事故，但对于行车安全有影响，对人身安全构成威胁的信息；特种设备发生故障影响正常使用，运输不畅，装卸车多，卸车困难；公司布置的安全工作重点落实情况；安全监督检查情况；上级通报的信息；各种安全报表资料；明确要求上报的材料（活动安排工作小结，整改结果等）和其它有关影响安全生产的信息。其中：事故信息为重要信息。第十一条事故信息传递要求1、行车安全事故信息凡施工装卸作业、调车作业、轨道车辆故障中断行车的信息，货场部发生或收到后，要认真做好记录，立即报告公司安委会，公司安委会在事发12小时内将事故发生地点、事故

8、概况、初步影响范围、事故损失及人员伤亡情况报集团公司安监部，详细情况24小时内书面上报。2、人身伤亡事故信息在生产过程中，生产区域内发生的人身伤亡事故，不论原因、责任、伤亡人员归属情况是否属于工伤事故，相关部门都应认真做好记录并立即通知公司安委会，安委会电话速报集团公司安全部、人力资源部和党群工作部（工会）。3、特种设备事故信息发生严重以上的特种设备事故（有人员伤亡或者直接经济损失50万元（含50万元）以上的设备、事故或有人员伤亡的设备爆炸事故）。货场部立即报告公司安委会，公司安委会立即报告集团公司安全部、质量技术部及当地质量技术监督行政部门，并同时报告设备使用注册登记的质量技术监督行政部门。

9、4、火灾、爆炸、中毒、治安、交通事故信息1）火灾、爆炸一般以上事故，治安事件、交通（涉及人员轻伤）、中毒事故，公司安委会事发2小时内电话报集团公司安监部。2）发生较大治安事件、交通安全事故（重伤及以上严重事故苗子和造成经济损失5万元以下的交通事故），公司安委会电话速报集团公司安监部，并于2日内书面上报。3）发生急性中毒事故、火灾大事故、重大治安事件、重大交通事故及造成经济损失5万元（含5万元）以上50万元以下的特种设备事故，公司安委会电话速报集团公司安监部并于20小时之内书面上报。4）发现或收到事故信息，除立即报告主管上级部门外，应向驻站民警通报和报案。第十二条其它信息传递要求1、发生或收到未

10、构成安全事故，但对行车安全有影响，对人身安全构成威胁的信息，公司安委会要认真做好记录，必要时，应形成专题报告上报并在公司交班会上通报。2、集团公司布置的安全重点落实情况、安全监督检查情况、安全通报信息，公司安委会在规定时间内反馈；上报信息处理情况。3、集团公司明确要求上报的材料（活动安排、工作小结、整改结果等），公司安委会必须按规定时期上报。第三章综合分析处理第十三条信息的综合分析1、公司安委会定期对本系统安全信息进行综合分析，按照等级管理和时效管理要求，纳入本系统安全问题库。2、公司安委会结合公司的安全信息、监督检查信息和上级通报的信息定期进行综合分析。3、公司安委会每月定期对安全信息进行综

11、合分析并形成月度安全分析报告（纪要）。4、公司把安全生产信息纳入日交班、周大交班等会议及时进行分析。第十四条信息处理1、公司各部要充分利用安全信息的预测功能、许价功能、导向功能，把信息作为安全决策的重要依据，运用信息正确指导安全工作。2、对安全信息做到三不放过的原则：不弄清责任不放过；不分析管理原因不放过；不制定措施不放过。3、针对安全信息反映的倾向性问题采取加强管理、加大投入、强化控制等多种措施，及时消除安全隐患。4、对上级主管部门及公司各部门反馈的安全信息及时调查、处理、反馈。5、建立安全问题库，从信息的收集、分析到处理形成动态的闭环管理，保证安全信息畅通和有效利用，对上级通报、反馈的安全

12、信息，公司各部要按要求及时上报调查处理及整改结果。第四章附则第十五条公司安委会是公司安全生产信息中心，任何部门、个人不得以任何借口对安全生产信息进行隐瞒、迟报、越级上报，一经发现，将追究责任人责任。未按规定上报的信息分为漏报、迟报、错报。凡未上报视为漏报；凡超过规定时限上报，视为迟报；不符合完整、准确、质量要求者，视为错报。第十六条公司安委会对各部门安全生产信息管理情况进行抽查检查，并将抽查检查情况纳入季度考核、奖惩。第十七条安全生产信息管理工作的考核，由公司安委会按公司安全管理考核办法有关规定进行。第十八条本制度由公司安委会负责解释。企业信息安全管理制度篇3信息安全是指通过各种策略保证公司计

13、算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。1.计算机设备安全管理1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。1.2严格遵守计算机设备使用、开

14、机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。1.4因工作需要借用公司公共笔记本的，实行 “谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。2.电子资料文件安全管理。2.1文件存储重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与

15、清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。2.2文件加密涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。2.3文件移动严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示批准，并以公司存储设备做文件拷贝。2.4文件转移若员工离职，在办完移交手续时，所在部门负责人将此员工工作

16、资料拷贝至部门保存（可联系信息技术部进行技术支持），若没有执行此操作流程，离职员工损失的任何资料由该部门自行承担。3.软件安全管理3.1软(软件原始盘片)、硬件设备的原始资料（光盘、说明书、保修卡、许可证协议、合同正本等）应交总裁办保管,保管应做到防水、防磁、防火、防盗。3.2服务器、PC机须安装杀毒软件，定期病毒库更新及病毒查杀；任何人不得安装危害公司计算机及网络的任何软件。3.3信息技术部对各信息系统软件、数据库软件、常用办公软件等进行备份存储，做好版本控制及相关更新。3.4员工须严格遵守公司计算机使用管理规定中软件管理的相关规范。4.信息系统的安全管理各信息系统（MAIL、ERP、CRM

17、、WMS、WEB等）的安全管理要求，参考相应的信息系统管理规定。5.数据库安全管理信息技术部须采用循环的完全备份和增量备份等备份策略，完成对各信息系统数据的定期备份，以便在信息系统发生故障时将数据恢复到最佳状态。对备份的数据文件应妥善保管，防止被非法拷贝或毁坏，严禁未经授权将数据库拷贝出系统，转给任何单位或人员。6.密码安全管理6.1初始密码须及时更改，新密码须包含无规则的字母、数字、符号组合并至少10位以上，禁止直接使用常用单词、人名、电话号码等安全系数低的字符作为密码。6.2各用户需对所使用电脑、信息系统等密码进行定期（如3个月）更改，如出现密码泄露或异常时，须立马更改并告知信息技术部。6

18、.3各服务器、信息系统的超级或管理员级密码由分管系统管理员及信息技术部经理双重管理，信息技术部经理掌握全部设备、全部系统的超级或管理员级密码，分管管理员拥有分管系统的管理员级密码（部分视情况授予超级密码）；正常情况下，此类管理级密码每1个月系统管理员必须更改一次并将新密码报备，在有信息技术部人员变动、密码外露或其它异常情况下，必须第一时间更换并将新密码报备。此类管理级账号与密码原则上不对其它任何人员提供，特殊需求须报上级领导批准方可授予。7.信息安全禁止行为：7.1利用公司信息系统平台、网络制作、传播、复制危害公司及员工的有关任何信息；7.2攻击、入侵他人计算机，未经允许使用他人计算机设备、信

19、息系统等；7.3未经授权对信息平台ERP、CRM、WMS、网站、企业邮件系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、移动、复制和删除等；7.4未经授权查阅他人邮件，盗用他人名义进行发送任何电子邮件；7.5故意干扰、破坏公司信息平台ERP、CRM、WMS、网站、企业邮件等系统的安全、稳定畅通运行；从事其他危害公司计算机、网络设备、信息平台的安全活动；7.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息；7.7 其它危害公司信息安全或违反国家相关法律法规、信息安全条例的行为。8.信息安全响应机制8.1信息技术部负责公司信息安全的整体

20、指导与管理工作，并对数据中心机房软硬件及信息系统、数据库的维护、备份等安全进行日常管理。各分支机构、部门涉及公司（或商业)机密的信息安全由分支或部门本身自行负责管理和控制。8.2为保障各信息系统安全稳定运行，信息技术部在工作日时间由分管管理员负责维护，节假日根据需要，安排相关人员负责值班支持。使用人如发现问题应及时通知信息技术部，管理员应及时处理并做好系统事件记录。8.3信息系统的权限管理部门为信息技术部，负责各信息系统的权限管理，并指定专人为系统管理员完成各系统账号、权限的设立、注销及变更。8.4如出现特殊情况，分管管理员应及时处理及解决，同时第一时间向部门经理报告，如确定异常情况为灾难、重

21、大影响的还须上报公司高层。9 如其它信息管理制度涉及信息安全的条款与本制度有冲突，则以本制度为准。本管理规定由信息技术部负责制定、解释，自颁布之日开始暂行。企业信息安全管理制度篇4一、总则为了加强公司内所有信息安全的管理，让大家充分运用计算机来提高工作效率，特制定本制度。二、计算机管理要求1、IT管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报给IT管理员，IT管理员（填写计算机IP地址分配表）进行备案管理。如有变更，应在变更计算机负责人一周内向IT管理员申请备案。2、公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机（不包括I

22、T管理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由计算机负责人承担。3、计算机设备未经IT管理员批准同意，任何人不得随意拆卸更换；如果计算机出现故障，计算机负责人应及时向IT管理员报告，IT管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。4、日常保养内容：A、计算机表面保持清洁B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性；C、下班不用时，应关闭主机电源。5、计算机IP地址和密码由IT管理员指定发给各部门，不能擅自更换。计算机系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管，不得随意带出公司或个人存放。6、禁止

23、将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。7、计算机的内部调用：A、IT管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移或调换。B、计算机在公司内调用，IT管理员应做好调用记录，调用记录单经副总经理签字认可后交IT管理员存档。8、计算机报废：A、计算机报废，由使用部门提出，IT管理员根据计算机的使用、升级情况，组织鉴定，同意报废处理的，报部门经理批准后按固定资产管理规定到财务部办理报废手续。B、报废的计算机残件由IT管理员回收，组织人员一次性处理。C、计算机报废的条件：1）主要部件严重损坏，无升级和维修价

24、值；2）修理或改装费用超过或接近同等效能价值的设备。三、环境管理1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。2、应尽量保持计算机周围环境的整洁，不要将影响使用或清洁的用品放在计算机周围。3、服务器机房内应做到干净、整洁、物品摆放整齐；非主管维护人员不得擅自进入。四、软件管理和防护1、职责：A、IT管理员负责软件的开发购买保管、安装、维护、删除及管理。B、计算机负责人负责软件的使用及日常维护。2、使用管理：A、计算机系统软件：要求IT管理员统一配装正版Windows专业版，办公常用办公软件安装正版office专业版套装、正版ERP管理系统，制图软件安装正版CAD专业版，杀毒软件安装安

25、全杀毒套装，邮件软件安装闪电邮，及自主开发等各种正版及绿色软件。B、禁止私自下载或安装软件、游戏、电影等，如工作需要安装或删除软件时，向IT管理员提出申请，经检查符合要求的软件由IT管理部员或在IT管理员的监督下进行安装或删除。C、计算机负责人应管理好计算机的操作系统或软件的用户名、工号、密码。若调整工作岗位，应及时通知IT管理部员更改相关权限。不得盗用他人用户名和密码登录计算机，或更改、破坏他人的文件资料，做好局域网上共享文件夹的密码保护工作。D、计算机负责人应及时做好业务相关软件的应用程序数据备份（刻录光盘），防止因机器故障或被误删除而引起文件丢失。E、计算机软件在使用过程中如发现异常或出

26、现错误代码时，计算机负责人应及时上报IT管理员进行处理。3、升级、防护：A、如操作系统、软件需要更新及版本升级，则由IT管理员负责升级安装、购买等。B、U盘、软盘在使用前，必须先采用杀毒软件进行扫描杀毒，无病毒后再使用。C、由IT管理员协助计算机负责人对计算机进行病毒、木马程序检测和清理工作，要求定期更新杀毒软件。五、硬件维护1、要求：A、IT管理部员负责计算机或相关电脑设备的维护。B、对硬件进行维护的人员在拆卸计算机时，必须采取必要的防静电措施。C、对硬件进行维护的人员在作业完成后或准备离去时，必须将所拆卸的设备复原。D、对于关键的计算机设备应配备必要的断电、继电保护电源。E、IT管理部员应

27、按设备说明书进行日常维护，每月一次。2、维护：A、计算机的使用、清洁和保养工作，由计算机负责人负责；B、IT管理员必须经常检查计算机及外设的状况，及时发现和解决问题。六、网络管理A、禁止浏览或登入反动、色情、邪教等不明非法网站、浏览非法信息以及利用电子信箱收发有关上述内容的邮件；不得通过互联网或光盘下载安装传播病毒以及黑客程序。B、禁止私自将公司的受控文件及数据上传网络与拷贝传播。七、维修流程当计算机出现故障时，应立即停止操作，上报公司IT管理员，填写公司电脑维修记录表；由IT管理员负责维修。八、奖惩办法由于计算机设备是我们工作中的重要工具。因此，IT管理员将计算机的管理纳入对各计算机负责人的

28、绩效考核范围，并将严格实行。从本制度公布之日起：1、凡是发现以下行为，IT管理员有权根据实际情况处罚并追究当事人及其直接领导的责任，严重的则交由上级部门领导对其处理。A、私自安装和使用未经许可的软件（含游戏、电影），每个软件罚50元。B、计算机具有密码功能却未使用，每次罚10元。C、下班后，计算机未退出系统或关闭显示器的，每次罚10元。D、擅自使用他人计算机或外设造成不良影响的，每次罚50元。E、浏览登入反动、色情、邪教等不明非法网站，传播非法邮件的，每次罚100元。F、如有私自或没有经过IT管理部审核更换计算机IP地址的，每次罚10元。G、如有拷贝受控文件及数据，故意删除共享资料软件及计算机

29、数据的，按损失酌情进行处罚。2、凡发现由于：违章作业，保管不当，擅自安装、使用硬件和电气装置，而造成硬件的损坏或丢失的，其损失由责任人赔偿硬件价值的全部费用。九、附则1、本制度为公司计算机管理制度，要求每一位计算机负责人必须遵守该制度。2、本制度由IT管理员负责编制与修改。3、本制度由公司总经理批准后执行。企业信息安全管理制度篇5第一章总则第一条为加强邮政行业寄递服务用户个人信息安全管理，保护用户合法权益，维护邮政通信与信息安全，促进邮政行业健康发展，根据中华人民共和国邮政法、全国人大常委会关于加强网络信息保护的规定、邮政行业安全监督管理办法等法律、行政法规和有关规定，制定本规定。第二条在中华

30、人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作，适用本规定。第三条本规定所称寄递服务用户个人信息（以下简称寄递用户信息），是指用户在使用寄递服务过程中的个人信息，包括寄（收）件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄递详情单号、时间、物品明细等内容。第四条寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针，保障用户个人信息安全。第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮

31、政行业寄递用户信息安全监督管理工作。国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构，统称为邮政管理部门。第六条邮政管理部门应当与有关部门相互配合，健全寄递用户信息安全保障机制，维护寄递用户信息安全。第七条邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定，防止寄递用户信息泄露、丢失。第二章一般规定第八条邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施，明确企业内部各部门、岗位的安全责任，加强寄递用户信息安全管理和安全责任考核。第九条以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款，明确被加盟人与加盟人的安全责任

32、。加盟人发生信息安全事故时，被加盟人应当依法承担相应安全管理责任。第十条邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议，明确保密义务和违约责任。第十一条邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训，加强职业道德教育，不断提高从业人员的法制观念和责任意识。第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制，公布有效联系方式，接受并及时处理有关投诉。第十三条邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的，在与委托方签订协议时，应当订立寄递用户信息安全保障条款，明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划

33、分等内容。第十四条邮政企业、快递企业委托第三方录入寄递用户信息的，应当确认其具有信息安全保障能力，并订立信息安全保障条款，明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的，邮政企业、快递企业应当依法承担相应责任。第十五条未经法律明确授权或者用户书面同意，邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。第十六条公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案，邮政企业、快递企业应当配合，并对有关情况予以保密。第十七条邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事

34、故，应当立即采取补救措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部门的调查处理工作，不得迟报、漏报、谎报、瞒报。第三章寄递详情单实物信息安全管理第十八条邮政企业、快递企业应当加强寄递详情单管理，对空白寄递详情单发放情况进行登记，对号段进行全程跟踪，形成跟踪记录。第十九条邮政企业、快递企业应当加强营业场所、处理场所管理，严禁无关人员进出邮件（快件）处理、存放场地，严禁无关人员接触、翻阅邮件（快件），防止寄递详情单实物信息（以下简称实物信息）在处理过程中泄露。第二十条邮政企业、快递企业应当优化寄递处理流程，减少接触实物信息的处理环节和操作人员。第二十一条邮政企业、快递企业应当采用有效技

35、术手段，防止实物信息在寄递过程中泄露。第二十二条邮政企业、快递企业应当配备符合国家标准的安全监控设备，安排具有专门技术和技能的人员，对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。第二十三条邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度，实行集中封闭管理，确定集中存放地，及时回收寄递详情单妥善保管。设立、变更集中存放地，应当及时报告所在地邮政管理部门。第二十四条邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理，采取必要的安全防护措施，确保存储安全。第二十五条邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时，应当确

36、保档案完整无损，并做好查阅登记，不得私自携带离开存放地。第二十六条寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严禁丢弃或者贩卖。第二十七条邮政企业、快递企业应当对实物信息安全保障情况进行定期自查，记录自查情况，及时消除自查中发现的信息安全隐患。第四章寄递详情单电子信息安全管理第二十八条邮政企业、快递企业应当按照国家规定，加强寄递服务用户信息相关信息系统和网络设施的安全管理。第二十九条邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定，合理划分安全区域，实现各安全区域之间有效隔离，并具有防范、监控和阻断来自内部和外部网络攻击破

37、坏的能力。第三十条邮政企业、快递企业应当配备必要的防病毒软件、硬件，确保信息系统和网络具有防范计算机病毒的能力，防止恶意代码破坏信息系统和网络，避免信息泄露或者被篡改。第三十一条邮政企业、快递企业构建信息系统和网络，应当避免使用信息系统和网络供应商提供的默认密码、安全参数，并对通过开放公共网络传输的寄递用户信息采取加密措施，严格审查并监控对信息系统、网络设备的远程访问。第三十二条邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时，应当与供应商签订保密协议，明确其安全责任，以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。第三十三条邮政企业、快递企业应当建立信息系统安全内部审

38、计制度，定期开展内部审计，对发现的问题及时整改。第三十四条邮政企业、快递企业应当加强信息系统及网络的权限管理，基于权限最小化和权限分离原则，向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。邮政企业、快递企业应当加强对信息系统和数据库的管理，使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权，并受到安全审计员的监控和审计。第三十五条邮政企业、快递企业应当加强信息系统密码管理，使用高安全级别密码策略，定期更换密码，禁止将密码透露给无关人员。第三十六条邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理，包括：（一）使用独

39、立物理区域存储寄递用户信息，禁止非授权人员进出该区域；（二）采用加密方式存储寄递用户信息；（三）确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人，建立设备、介质使用和借用登记制度，限制设备输出接口的使用。存储设备和介质报废的，应当及时删除其中的寄递用户信息数据，并销毁硬件。第三十七条邮政企业、快递企业应当加强寄递用户信息的应用安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点和事项，留作信息安全审计依据。第三十八条邮政企业、快递企业应当加强对离岗人员的信息安全审计，及时

40、删除或者禁用离岗人员系统账户。第三十九条邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则，对存储寄递服务信息的信息系统实行接入审查，定期进行安全风险评估。第五章监督管理第四十条邮政管理部门依法履行下列职责：（一）制定保障寄递用户信息安全的政策、制度和相关标准，并监督实施；（二）监督、指导邮政企业、快递企业落实信息安全责任制，督促企业加强寄递用户信息安全管理；（三）对寄递用户信息安全进行监测、预警和应急管理；（四）监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训；（五）依法对邮政企业、快递企业实施寄递用户信息安全监督检查；（六）组织调查或者参与调查寄递用户信

41、息安全事故，依法查处违反寄递用户信息安全管理规定的行为；（七）法律、行政法规和规章规定的其他职责。第四十一条邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传，强化邮政企业、快递企业及其从业人员的信息安全管理意识，提高用户对个人信息安全保护的认识。第四十二条邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警，建立信息管理体系，收集、分析与信息安全有关的各类信息。下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况，并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。第四十三条邮政管理部门应当对邮政企业、快递企业建立和

42、执行寄递用户信息安全管理制度，规范从业人员信息安全保护行为，防范信息安全风险等情况进行检查。第四十四条邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定，妨害或者可能妨害寄递用户信息安全的，应当依法进行调查处理。违法行为涉及其他部门管理职权的，邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。第四十五条邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。第四十六条邮政企业、快递企业拒不配合寄递用户信息安全监督检查的，依照中华人民共和国邮政法第七十七条的规定予以处罚。第四十七条邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失

43、的，应当依法予以赔偿。第四十八条邮政企业、快递企业及其从业人员违法提供寄递用户信息，尚未构成犯罪的，依照中华人民共和国邮政法第七十六条的规定予以处罚。构成犯罪的，移送司法机关追究刑事责任。第四十九条任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后，应当依法及时处理。第五十条邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件，以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息，但涉及国家秘密、商业秘密和个人隐私的除外。第五十一条邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密，不得泄露、篡改或者

44、损毁，不得出售或者非法向他人提供。第五十二条邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用、玩忽职守，依照邮政行业安全监督管理办法第五十五条的规定予以处理。第六章附则第五十三条本规定自发布之日起施行。企业信息安全管理制度篇61、局域网由市公司信息中心统一管理。2、计算机用户加入局域网，必须由系统管理员安排接入网络，分配计算机名、ip地址、帐号和使用权限，并记录归档。3、入网用户必须对所分配的帐号和密码负责，严格按要求做好密码或口令的保密和更换工作，不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位，必须是字母数字混合。4、任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使

45、用权限。业务系统岗位变动时，应及时重新设置该岗帐号和工作口令。5、凡需联接互联网的用户，必需填写计算机入网申请表，经单位分管领导或部门负责人同意后，由信息中心安排和监控、检查，已接入互联网的用户应妥善保管其计算机所分配帐号和密码，并对其安全负责。不得利用互联网做任何与其工作无关的事情，若因此造成病毒感染，其本人应付全部责任。6、入网计算机必须有防病毒和安全保密措施，确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换，必须进行病毒检查。因违反规定造成电子数据失密或病毒感染，由违反人承担相应责任，同时应追究其所在部门负责人的领导责任。7、所有办公电脑都应安装全省统一指定的趋势防病毒系

46、统，并定期升级病毒码及杀毒引擎，按时查杀病毒。未经信息中心同意，不得以任何理由删除或换用其他杀毒软件（防火墙），发现病毒应及时向信息中心汇报，由系统管理员统一清除病毒。8、入网用户不得从事下列危害公司网络安全的活动：（1）未经允许，对公司网络及其功能进行删除、修改或增加;（2）未经允许，对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加;（3）使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准，不得擅自拷贝提供给外单位或个人，如因非法拷贝而引起的问题，由拷贝人承担全部责任。9、入网用户必须遵守国家的有关法律法规和公司的有关规定，如有违反，信息中心将停止其入网使用权，并追究其相应的责任。10、用户必须做好防火、防潮、防雷、防盗、防尘和防泄密等防范措施，重要文件和资