易泰达科技有限公司保密制度暂行规定
一、保密总则
第一条 为保守公司秘密,维护公司权益,特制定本规定。
第二条 公司秘密是关系公司权力和利益,依照特定程序确定,在一定时间内只限一定范围的人员知悉的事项。
第三条 公司附属组织、分支机构以及职员都有保守公司秘密的义务。
第四条 公司保密工作,实行既确保秘密又便利工作的方针。
第五条 对保守、保护公司秘密以及改进保密技术、措施等方面成绩显著的部门或职员实行奖励。
二、保密范围和密级确定
第六条 公司秘密包括本规定第二条规定的下列秘密事项:
(一)公司重大决策中的秘密事项;
(二)公司尚未付诸实施的经营战略、经营方向、经营规划、经营项目及经营决策;
(三)公司内部掌握的合同、协议、意见书及可行性报告、主要会议记录;
(四)公司财务预决算报告及各类财务报表、统计报表;
(五)公司所掌握的尚未进入市场或尚未公开的各类信息;
(六)公司职员人事档案,工资性、劳务性收入及资料;
(七)其他经公司确定应当保密的事项。
注:一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。
第七条
公司秘密的密级分为"绝密"、"机密"、"秘密"三级绝密是最重要的公司秘密,泄露会使公司的权益和利益遭受特别严重的损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严重的损害;秘密是一般的公司秘密,泄露会使公司的权力和利益遭受较大的损害。
第八条
公司各部门对其产生的文件资料,提出定级意见,由公司领导签发,确立后均在文件右上角注明密级及保密期限。保密期限届满,自行解密。
第九条 属公司秘密事项但不能标明密级的,可通过口头通知、传达接触范围内的人员。
第十条 密级变更
因工作需要或环境变化,需要变更密级的,由原产生密件部门提出申请,交公司领导批准变更,或由公司领导直接变更。
三、保密措施
第十一条 保密文档管理
(一)实行全员保密教育和保密知识系统培训,确保国家和公司秘密不被泄露。
(二)公司设信息安全监督分管保密工作。公司各部门、下属公司配备信息安全员负责存管保密材料。
(四)定期检查保密场所的电器设备、防盗、消防器材的完好状态,确保秘密设备及文件的安全和有效运行。
(五)对保密材料须专门登记入册,并定期清查,防止丢失和错漏。
(六)传阅保密材料由信息安全员统一掌握,划定传阅范围,不得自行扩大,不得让无关人员查阅,控制传阅件的行踪,以防丢失。
(七)保密材料不得私自复制。复印件视同原件管理,复印过程的废页要及时进行销毁。
(八)保密材料严格按领导批准的份数打印或印刷,不得擅自多印多留。草稿视同原件一样管理。打印过程形成的废页、废件及时销毁。
(九)绝密件由信息安全员另行打印、复印。
(十)信息安全员负责本部门信息安全文件的存贮及传递,部门间的传递,绝密文件需要通过信息安全员直接传递,机密文件、秘密文件则可采用电子媒体传递,
(十一)外出工作须携带保密材料时,要经信息安全总监批准,并且不得携入不利于保密的场所。
(十二)做好公司重要会议的保密工作。会址应选择有利于保密的地方,严格控制无关人员进入,严禁滥发会议文件,检查有无遗留材料。
(十三)注意在通讯和办公自动化中的保密工作。不在无保密措施的电话、传真机上传递保密材料。建立专门的信息网络保密制度。
(十四)严格限定密件的接触范围。部门保密柜放置在各部门内,由部门信息安全员负责开﹑关,并持有专用的钥匙。对文件的借﹑还﹑传递过程,须由信息安全员办理相关手续;对部门间的传递,信息安全员负责登录《部门间信息传递记录》。
(十五)对保密内容未经许可,不得擅自摘抄、翻印、复印、摄影、转借或损坏;否则由此造成的后果由当事人承担责任。
(十六)公司保证员工的隐私权不受侵犯,个人资料不被有意泄露。
第十二条
属于公司秘密的设备或者项目的研制、开发、运输、使用、保存、维修和销毁,由公司相关责任部门执行,并采用相应的保密措施。
第十三条 具有属于公司秘密内容的会议和其他活动,主办部门应采取下列保密措施:
(一)选择具备保密条件的会议场所;
(二)根据工作需要,限定参加会议人员的范围,对参加涉及密级事项会议的人员予以指定;
(三)依照保密规定使用会议设备和管理会议文件;
(四)确定会议内容是否传达及传达范围。
第十四条 员工计算机要设置开机密码。密码设置原则:
(一)密码一般都要在6位以上
(二)最好要大小写字母、数字、特殊字符混合使用,以增强加密强度。
(三)不要使用与自己或家人或其他相关人等的生日、爱好、口头语、习惯等容易猜测的字符作为密码。
(四)密码不要与本人所使用的文件特性、操作系统、软件版本、特定日期等字符相关。
(五)建议使用语句缩写、多项混合缩写或扩写。
(六)不要和任何人谈论有关密码内容的话题。
(七)对于服务器、重要系统、数据库、网络设备、防火墙、ids、安全设备等可以采用分段记忆,即密码可以由每人记住一段,多人所记密码的组合在一起才能登
陆。
(八)服务器、网络设备、安全设备等的密码恢复设备,平时应该禁止。如:windows2000
server等系统的软驱、光驱平时应该移除,以避免破坏者从其方式进入。又如:操作系统恢复盘平时应该放置在远离操作系统本身的安全位置,不要放在平时触手可得的位置。
(九)恢复设备应该编号放置,设备表面不要注明做何用途,只能通过编号识别。
(十)所有设备的欢迎界面、banner等不要与密码、操作系统、软件版本等信息有关。
(十一)相关员工离职之后,重要设备、操作系统的密码必须立即更改。(包括参与项目的所有集成公司员工在内)
(十二)重要的系统、设备可以使用多因素密码,如:securid等设备来增强系统安全性。
四、保密纪律及责任、处罚
第十五条 保密纪律
(一)不该说的话,不要说;
(二)不该问的事,不要问;
(三)不该看的文件,不要看;
(四)不该记(摄、录)的事,不要记(摄、录);
(五)不得擅自携带密件外出;
(六)不得在公共场合谈论公司秘密;
(七)不得在私人通信中涉及公司秘密;
(八)不在不利于保密的地方放置密件;
(九)不得利用公用电话、明码电报,以及邮局办理秘密事项;
(十)发现泄密及时报告,采取补救措施,最大限度减轻损害;
(十一)顾客问及公司秘密,应予以婉拒、避谈。
第十六条 责任与处罚
出现下列情况之一者,根据公司相关规定做出相应处罚:
(一)泄露公司秘密,尚未造成严重后果或经济损失的;
(二)已泄露公司秘密但采取补救措施的;
(三)故意或过失泄露公司秘密,造成严重后果或重大经济损失的;
(四)违反本保密规定,为他人窃取、刺探、收买或违章提供公司秘密的;
(五)利用职权强制他人违反保密规定的。
五、附则
第十七条 本规定的泄密是指下列行为之一:
(一)使公司秘密被不应知悉的;
(二)使公司秘密超出了限定的接触范围,而不能证明未被不应知悉者知悉的。