2）涉外合同的安全管理。
        综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后，由综合部将其分类归档到指定的档案盒中，并将档案盒编号题名存放于指定的档案柜中，将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料，需要向综合部提出申请，经综合部负责人审批通过后，档案管理员方可开启档案盒调出文件发放给相关部门；原则上不允许各部门向综合部借阅其他部门的合同资料，若确因工作原因需要借阅，则应提交总经理审批，综合部在看到总经理的签字后方可指派档案管理员借出资料，并规定借阅时间不得超过8个小时，由借阅人签字，在借阅过程中造成的合同资料丢失，将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒；严禁档案管理员将档案柜钥匙借给任何人，若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。
        3）工资编制的安全管理。
        综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的，综合部在核算员工工资的时候，应该谨慎处理，如在电子表的发送之前，可以设置相应的密码，防止不小心发送到其他人电脑上，在打印工资表的时候，应单独设置非监控直接打印，并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算，不得擅自更改原始依据。工资核算完成后，上报公司领导审批。
        严禁工资核算人向他人透露公司工资及奖金信息，严禁在任何场合与他人讨论工资话题，一经发现，将追究其相关责任。
        9.信管部的安全处理措施如下：
        1）计算机网络设备安全管理。
        公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定：
        A） 计算机是指为公司内部员工使用的PC机（包括CPU、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供，如非特殊需要不配备光驱和软驱。）
        B）网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
        C）计算机其他配件是指公司备用的光驱、软驱等。
        D） 附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
        E） 包括计算机及耗材的采购计划、故障维修等项工作。
        在员工电脑各组件老化或损坏，严重影响工作效率时，信管部可申请以旧换新或报废处理。若需要报废，则填写报废申请单经部门负责人确认后上报总经理审批，审批通过后才能作报废处理，信管部不得擅自处理破旧的电脑或电子设备。
        2）公司所有输入输出设备统一归信息管理部管理。
        输入输出设备包括扫描仪，传真机，打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映，以便信息管理部及时查找原因，解决故障。
        3）公司视频会议设备和视频监控设备统一由信息管理部管理。
        A）视频会议设备包括视频会议服务器、视频会议终端、SONY摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
        B）视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。
        4）信息化系统ERP、OA帐户安全管理
        系统管理帐号的设置与管理
        A）ERP、OA系统管理帐号必须经过总经理授权取得。
        B）ERP系统管理员负责ERP系统帐套环境生成、维护，负责一般操作帐号的生成和维护，负责故障恢复等管理及维护；OA系统管理员负责OA系统自定义表单的生成、流程的建设和优化。
        C）ERP、OA系统管理员对业务系统进行数据整理、故障恢复等操作，必须有相关部门的签字和领导的审批授权。
        D）ERP、OA操作用户需要增加或修改权限需要填写ERP/OA用户权限申请表，并经过本部门负责人签字后交由总经理审核，通过后，再由信息管理部作权限相关处理。
        E）系统管理员不得使用他人帐号进行业务操作。
        F）系统管理员调离岗位或离职，信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。
        一般操作帐号的设置与管理
        A）一般操作帐号由系统管理员根据各类应用系统操作要求生成，应按每用户一帐号对应设置。
        B）操作员调离岗位，系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。
        5）密码安全管理
        A）终端计算机密码安全管理：系统管理员及时登记公司所有用户电脑密码，制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时，系统管理员及时登记相应的新密码。
        B）应用服务器密码安全管理：包括ERP服务器、OA服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全，针对每个服务器创建一个复杂的、不同的密码，并每年更换一次新密码。制成《服务器密码登记》文件，并提交给部门负责人。
        C）防火墙/路由器密码安全管理: 防火墙和路由器的密码和服务器管理方法一样，设置成不同的、复杂的密码，并每年更换一次，将密码登记到《网络设备密码登记文件》中，并提交给部门负责人。
        D）ERP/OA系统密码安全管理: ERP/OA系统密码分为管理员密码和操作用户密码。系统管理员登录密码由ERP/OA管理员掌管，为保证系统安全需要定期更改时，及时上报部门负责人。操作用户密码由ERP/OA管理员在创建帐户时初始生成，信息管理部发放帐号密码后，由用户本人修改密码，并自行保管好自己的密码，如特殊原因忘记密码时，由ERP/OA管理员帮其初始化密码。
        信管部应将所有的服务器和网络设备设置不同的密码，所有的密码仅限于信管部内部人员掌握，不得向其他部门人员透露，在特殊情况下，需要供应商做远程调试时，方可透漏相关设备密码，在调试结束后，应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上，容易受到不法分子攻击，因此，需要定期更改密码，且密码复杂性尽可能设置高。
        6）数据备份安全管理
        定期备份ERP服务器、OA服务器、邮箱服务器。具体备份方法如下：
        A）ERP服务器备份：每天早上自动备份E3帐套和5000帐套。
        B）OA服务器备份：每天早上9：00备份OA数据库，并于每周五早上9：00备份OA系统文件夹。
        C）邮箱服务器备份：每周五早上9：00在邮箱控制台执行备份操作，并于每月28日备份邮箱目录文件夹。备份完成后，将备份文件转存到其他电脑上或移动硬盘上做异地归档，以防本地硬盘发生故障时能随时做灾难恢复。
        数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开企业网络应用高峰，避免对各部门工作造成影响。数据的清理包括：
        A）ERP系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。
        B）OA系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。
        C）邮箱系统中垃圾邮件的清理、人员变动记录的清理。
        D）用户电脑中系统垃圾文件的清理、IE缓存的清理。
        7）信息资料安全管理
        A）加密系统管理；目前我公司使用的是天盾文档加密系统，对常用办公软件office、pdf、AutoCAD文件加密，公司内部的此类文件被带出公司后，显示在其他的电脑上均为乱码，保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。然而，我公司因为之前的需求，加密软件使用的是单机版与网络版混合使用的，网络版可以根据策略的下发，实现文件在企业网的加密、反截图、禁USB等功能，但脱离局域网后，电脑无法打开文件，若有出差人员在外地使用电脑，就无法使用网络版；而单机版就解决了出差人员电脑加密的问题，可以正常打开公司的文件，但这里存在一个安全风险，若出差人员的电脑被盗，将会造成企业信息资料的外泄。针对以上情况，我们需要寻找一种更加适合的加密软件，确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能：能够通过控制台在公司网内加密指定类型的文件，同时可以设置不同的加密权限对应于不同的用户组；能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等；能够加密原加密软件不支持的文件类型；能够荧荧于所有的windows平台上；能够禁用USB存储设备，不禁用USB外设；能禁止用户屏幕截图；能审计打印等。
        B）大蓝监控软件管理：监控软件在很大程度上起到威慑作用，监控软件能够记录所有用户在个人电脑上的一举一动，通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。
        C）打印控制软件管理：打印控制软件应用后，员工的打印需要在管理员审核通过后方能打印，若管理员审核到某员工的打印内容涉及本公司信息安全，拒绝员工的打印。在审核通过、打印完成后，管理员可随时调出以前的打印记录，保证了及时信息安全责任追究。
        D）设备送外维修，须经设备管理部门负责人批准。送修前，需将设备存储介质内应用软件和数据备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。
        E）信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。
        F）信息管理部负责计算机病毒的防治工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。
        G）用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体（包括软盘、光盘、移动硬盘等）。
        8）机房安全管理
        ①非信息管理部人员不得进入机房，信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时，完成相关操作后，一定要关好机房大门，并保管好机房钥匙。
        ②保持机房整齐清洁，各种机器设备按维护计划定期进行保养，保持清洁光亮。
        ③确保机房防水，定期检查机房天花板、四壁有无漏水现象，保证机房内的服务器和其他电器设备的安全。
        A）发生机房漏水时，信管部应立即通知综合部联系大厦物业，同时，信管部第一时间保护好服务器及其他设备，避免设备浸水后损坏。
        B）若为墙体或窗户渗漏水，应急领导小组应立即采取有效措施确保机房安全，同时安排通知综合部协助及时清除积水，维修墙体或窗户，消除渗漏水隐患。
        ④确保机房防火，定期检查机房内灭火器状态完好无损。
        A）完善机房环境，确保机房具备二氧化碳灭火器；禁止携带易燃易爆物品进入机房。
        B）一旦发生火灾，迅速切断机房电源，避免灾情的扩散，并迅速拨打物业管理和119火警电话。
        C）等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。
        D）配合消防部门调查事故原因，对造成的损失和起火原因做好记录，以便进行灾后总结。
        ⑤确保机房防雷，遇到暴风雨恶劣天气，应作防范性处理。
        A）遇雷暴天气，信管部在下班后应及时关闭所有服务器，切断电源，暂停内部计算机网络工作。
        B）雷暴天气结束后，信管部应及时开通服务器，恢复内部计算机网络工作，对设备和数据进行检查。出现故障的，事发部门应将故障情况及时报告应急领导小组。
        C）因雷击造成损失的，信管部应会同综合部进行核实、报损，并在调查工作结束后一日内书面报告领导。
        应急领导小组每日查看、清点设备并锁好机房大门。
        ⑥确保在停电后，业务应用的安全管理。
        信管部在接到停电通知时，应设置便签提醒自己具体要停电的时间，若停电时间在上班时间，则提前发出通知给北京和常州所有人员，避免在停电时出现文件损坏或资料丢失；若停电时间发生在下班时间，则在下班时通知所有人关闭电源，同时信管部及时关闭服务器，以免停电损坏主机电源。
        停电结束后，打开各应用服务器，并谨记要打开视频监控服务器，恢复闭路监控系统正常工作。
        ⑦确保机房防盗，针对此环节，作相关防范处理。
        A）信息管理部每日查看、清点设备并锁好机房大门。
        B）信息管理部每日检查录像监控服务器状态，确保监控画面正常，并检查每日录像正常性、完整性。
        C）发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告信息管理部，同时保护好现场。
        D）信管部接报后，即刻调出监控录像，搜查可疑行迹，若无法解决，可联系公安部门处理。
        提高行业信息化管理水平，信息安全是关键。而信息安全构建必须管理、技术两者双管齐下：
        1）加强管理，综合防范。 安全体系是一个整体的、系统的工程，不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合，逐级建立多层次的安全防护体系，综全防范实现分级阻止违规行为，实现一体化的安全系统。
        2）完善制度，强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限，对员工按其职责划定必要的最小授权范围，明确安全责任。确保安全措施落实、有效，加强员工的信息安全教育和培训，强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。