第一篇:信息系統(tǒng)安全管理制度
信息系統(tǒng)安全管理制度
一、總則
1、為加強公司網(wǎng)絡管理,明確崗位職責,規(guī)范操作流程,維護網(wǎng)絡正常運行,確保計算機信息系統(tǒng)的安全,現(xiàn)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、等有關規(guī)定,結合本公司實際,特制訂本制度;
2、計算機信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng);
3、公司由微機科專門負責本公司范圍內的計算機信息系統(tǒng)安全管理工作。
二、網(wǎng)絡管理
1、遵守國家有關法律、法規(guī),嚴格執(zhí)行安全保密制度及公司信息保密協(xié)議相關條款,不得利用網(wǎng)絡從事危害公司安全、泄露公司秘密等違法犯罪活動,嚴格控制和防范計算機病毒的侵入;
2、禁止未授權用戶或外來計算機接入公司計算機網(wǎng)絡及訪問、拷貝網(wǎng)絡中的資源;
3、任何員工不得故意輸入、傳播計算機病毒和其他有害數(shù)據(jù),不得利用非法手段復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù);
4、計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;計算機使用者更應以30天為周期更改密碼、密碼長度不少于8位。
三、設備管理
1、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統(tǒng)的安排;
2、設備硬件或重裝操作系統(tǒng)等問題由微機科統(tǒng)一管理。
四、數(shù)據(jù)管理
1、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數(shù)據(jù)或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負責將其所有工作資料收回并保存;
2、工作范圍內的重要數(shù)據(jù)(重要程度由各部門負責人核定)由計算機終端用戶定期更新、備份,并提交給所在部門負責人,由部門負責人負責保存;
3、計算機終端用戶務必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū),一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障,應及時與微機科聯(lián)系并采取保護數(shù)據(jù)安全的措施;
4、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應準備雙份,存放在不同的地點;光盤保存的數(shù)據(jù),要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數(shù)據(jù)丟失;做好防磁、防火、防潮和防塵工作。
五、操作管理
1、凡涉及業(yè)務的專業(yè)軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;
2、微機科將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由微機科收集計算機信息系統(tǒng)常見故障及排除方法并整理成冊,供公司員工學習參考。
3、計算機終端用戶在工作中遇到計算機信息系統(tǒng)問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與微機科或軟件開發(fā)單位、硬件供應商聯(lián)系,盡快解決問題。
六、網(wǎng)站管理
1、公司網(wǎng)站由微機科提供技術支持和后臺管理,由公司相關部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設資料。
七、處罰措施
1、計算機終端用戶擅自下載、安裝或存放與工作無關的文件經(jīng)查實后,根據(jù)文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數(shù)原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現(xiàn)三次以上(包括三次),將給予行政處罰。
2、有以下情況之一者,視情節(jié)嚴重程度處以50元以上500元以下罰款。構成犯罪的,依法追究刑事責任。(1)制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的;
(2)非法復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的;
(3)對網(wǎng)絡和服務器進行惡意攻擊,侵入他人網(wǎng)絡和服務器系統(tǒng),利用計算機和網(wǎng)絡干擾他人正常工作;
(4)訪問未經(jīng)授權的文件、系統(tǒng)或更改設備設置;
(5)申請人在設備領用或報廢一周之內未將所涉及到的表單交微機科;(6)擅自與他人更換使用計算機或相關設備;
(7)擅自調整部門內部計算機的安排且未向行政部備案;
(8)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等;(9)工作時間外使用公司計算機做與工作無關的事務;(10)相同故障出現(xiàn)三次以上(包括三次)仍無法自行處理的;
(11)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
3、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節(jié)嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
行政部微機科
第二篇:信息系統(tǒng)安全管理制度
信 息 安 全 管 理 制 度
為維護公司信息安全,保證公司網(wǎng)絡環(huán)境的穩(wěn)定,特制定本制度。
一、互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理
1、禁止利用公司計算機信息網(wǎng)絡系統(tǒng)制作、復制、查閱和傳播危害國家安全、泄露公司秘密、非法網(wǎng)站及與工作無關的網(wǎng)頁等信息。行政部門建立網(wǎng)管監(jiān)控渠道對員工上網(wǎng)信息進行監(jiān)督。一經(jīng)發(fā)現(xiàn),視情節(jié)嚴重給予警告、通報批評、扣發(fā)工資500-1000元/次、辭退等處罰。
2、未經(jīng)允許,禁止進入公司計算機信息網(wǎng)絡或者使用計算機信息網(wǎng)絡資源、對公司計算機信息網(wǎng)絡功能進行刪除、修改或者增加的、對公司計算機信息網(wǎng)絡中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統(tǒng)和計算機網(wǎng)絡安全的。一經(jīng)發(fā)現(xiàn),視情節(jié)嚴重給予警告、通報批評、扣發(fā)工資1000-2000元/次、辭退等處罰。
3、公司網(wǎng)絡采取分組開通域名方式,防止木馬蠕蟲病毒造成計算機運行速度降低、網(wǎng)絡堵塞、帳號密碼安全系數(shù)降低。
二、網(wǎng)站信息管理
1、公司網(wǎng)站發(fā)布、轉載信息依據(jù)國家有關規(guī)定執(zhí)行,不包含違反國家各項法律法規(guī)的內容。
2、公司網(wǎng)站內容定期進行備份,由網(wǎng)管員保管,并對相應操作系統(tǒng)和應用系統(tǒng)進行安全保護。
3、公司網(wǎng)管加強對上網(wǎng)設備及相關信息的安全檢查,對網(wǎng)站系統(tǒng)的安全進行實時監(jiān)控。
4、嚴格執(zhí)行公司保密規(guī)定,凡涉及公司秘密內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網(wǎng);
5、所有上網(wǎng)稿件須經(jīng)分管領導審批后,由企劃部門統(tǒng)一上傳。
三、軟件管理軟件管理軟件管理軟件管理
1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統(tǒng)管理員統(tǒng)一進行,任何部門和員工不得擅自采購。
2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經(jīng)許可,不得將公司購買或開發(fā)的軟件擅自提供給第三人。
3、操作系統(tǒng)由公司統(tǒng)一提供。禁止安裝使用其它來源的操作系統(tǒng),特別是未經(jīng)授權的非法拷貝。擅自使用造成的一切后果由使用人自行承擔,對于造成損失的,將視情節(jié)及危害程度嚴重給予警告、通報批評、扣發(fā)工資100-200元/次等處罰。
4、一般應用軟件統(tǒng)一在公司文件服務器上提供常用軟件安裝目錄,不提供安裝光盤(操作系統(tǒng)除外)。安裝非公司提供的軟件導致系統(tǒng)損害,信息丟失的,將視情節(jié)及危害程度嚴重給予警告、通報批評、扣發(fā)工資100-300元/次、辭退等處罰。
5、公司小范圍使用的專業(yè)版權軟件,使用人需在自行備份并由信息系統(tǒng)管理員驗證后才可進行安裝。
6、禁止安裝使用非工作用軟件。其它工作所需的應用軟件,可由使用部門申請,再由行政部門統(tǒng)一發(fā)布。
四、計算機病毒管理
1、集團計算機病毒管理由集團信息辦負責進行規(guī)劃、實施和監(jiān)控。
2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施,及時更新系統(tǒng)漏洞和使用殺毒軟件。具體內容包括:(1)及時更新微軟補丁,每周至少更新一次。當屏幕右下角有自動更新的圖標時,要及時安裝。(2)有些特殊的軟件(如SQL SERVER等),及時到相應網(wǎng)站打補丁。(3)及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能,而把殺毒軟件卸載。每周至少更新一次,確保殺毒軟件為最新版本。(4)嚴禁
打開來歷不明的郵件。能判斷為病毒郵件的,立即刪除;不能判斷的聯(lián)系信息系統(tǒng)管理員解決。當計算機感染病毒后,請及時斷開網(wǎng)線,使用殺毒軟件查殺和查看操作系統(tǒng)和應用軟件的補丁是否及時更新;嚴重者請及時聯(lián)系信息辦信息系統(tǒng)管理員解決。(5)當有新病毒通過某些軟件(如:QQ,MSN)傳播時,請立即關閉相應軟件或拔掉網(wǎng)線。查殺問題解決后,方可繼續(xù)使用。
3、凡未按以上預防計算機病毒步驟執(zhí)行而造成機器感染病毒并傳播者,第一次給予警告、第二次給予通報批評,第三次及以上將給予通報批評并扣發(fā)工資50-100元/次。
五、網(wǎng)絡資源管理
1、集團網(wǎng)絡資源和服務器由集團信息辦信息系統(tǒng)管理員統(tǒng)一進行規(guī)劃、管理和監(jiān)督。
2、服務器及個人用機的管理:(1)部門級及以上服務器必須指定專人負責管理,并在行政部門備案,未經(jīng)授權,非管理員不得對其進行操作。(2)部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查,包括:服務器的CPU、內存、硬盤等資源利用情況;服務器上運行的服務使用情況;服務器上運行的OS及時升級;服務器上運行的殺毒軟件的及時更新;(3)服務器管理員要做好服務器的備份工作,至少每季度有一份完整異地(異機)備份,重要數(shù)據(jù)及時備份。信息系統(tǒng)管理員有責任監(jiān)督、協(xié)調其備份工作。(4)個人和部門未經(jīng)行政部門批準不得私自設立服務器。(5)服務器管理員每月定期對服務器做一次全面檢查,并填寫服務器檢查日志。(6)服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時,管理員密碼需及時更改。(7)員工應避免隨意共享工作相關資料,若需共享,應指定合理權限,并在完成后及時取消;嚴禁未經(jīng)信息系統(tǒng)管理部門批準,擅自共享給局域網(wǎng)內所有用戶。(8)員工應自行維護電腦的正常使用,并按照網(wǎng)管的要求進行設置及及時進行補丁更新,不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。
3、IP地址的管理:(1)IP地址由行政部門統(tǒng)一規(guī)劃管理。未經(jīng)許可,不得擅自更改任何設備的IP地址。(2)公司申請的公網(wǎng)IP任何人不得私用。(3)工作需要公網(wǎng)IP,需申請信息部批準后,方可使用。(4)公司公網(wǎng)IP使用無工作需要時,立即停止使用,并通知行政部門收回。(5)FTP等特殊服務器的使用須經(jīng)行政部門批準,且不得擅自更改使用用途。
六、機房管理
1、人員管理:相關維護人員憑門禁卡或密碼進出機房,其它人員不得擅入。如確需進入機房的其它工作人員,應向相關部門提出申請,并做相應的登記備案后,在相關人員的陪同下入內。信息系統(tǒng)管理員有權在場監(jiān)控及記錄入內者的工作情況。
2、機房設備管理:參照公司固定資產管理制度進行管理。非電源性電子設備(如路由器,服務器等)必須接不間斷電源,保證數(shù)據(jù)在突然斷電時不致丟失;機房溫度應保持在22±2℃。工作時間,非工作時間公司保安應定時巡視機房,確保機房環(huán)境、供電及溫度正常;如出現(xiàn)機房溫度超過30攝氏度警戒線、停電等異常情況,應與管理員聯(lián)絡,立刻采取必要措施保障機房設備的安全。
3、信息管理:任何人員(包括管理員)在機房信息設備上進行更改操作,都需記錄備案。未經(jīng)管理員許可在機房內擅自進行操作者,可視情節(jié)給予通報批評、扣發(fā)工資200-500元;情節(jié)嚴重的,可予以辭退。
4、施工管理:公司機房建設應符合機房建設的有關標準和規(guī)定;在公司機房內施工,須由信息安全部經(jīng)理批準,并有網(wǎng)絡管理員或授權的公司保安監(jiān)督施工現(xiàn)場。
七、電子設備使用管理
1、電子設備的新增購買申請先采用調配方式,若無法調配同等配置的,才予購買。使用管理參照公司固定資產管理制度。
2、計算機及其輔助設備一經(jīng)領用,使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規(guī)定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失,可視情節(jié)給予警告、通報批評、按價賠償。(1)臺式計算機:非經(jīng)信息管理員工同意不得擅自打開機箱。(2)筆記本電腦設備:a、不同品牌型號的零配件不可互換使用。b、用于移動辦公,絕對不允許作為服務器共享操作。c、應保持出廠預裝的正版操作系統(tǒng),保留硬盤中的隱藏分區(qū)。如確因工作需要重新安裝其它操作系統(tǒng)(如WIN2000等),需由系統(tǒng)管理員進行。不允許私自重新分區(qū)格式化,將原出廠隱藏區(qū)格式化刪除。
3、非經(jīng)許可,不得將個人臺式電腦及相關設備帶入公司,特殊情況,需辦理相關登記手續(xù)。
4、員工不得隨意增減配件,不得在未經(jīng)管理員許可的情況下對硬盤做低級格式化。未經(jīng)行政部門批準,嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備(含配件),可視情節(jié)給予警告、通報批評、扣發(fā)工資200-500元/次。
八、信息系統(tǒng)管理員
1、管理權限和責任(1)負責公司各信息系統(tǒng)的信息安全、日常維護、系統(tǒng)管理等。(2)嚴格遵守公司制定的相關信息安全管理制度,履行工作職責。(3)制定各信息系統(tǒng)的管理維護標準,包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等,送交信息安全主管部門審核備案,并嚴格執(zhí)行。(4)信息系統(tǒng)管理員必須簽訂《關鍵職位員工之保密承諾書》。
2、職責規(guī)范(1)推動員工樹立信息系統(tǒng)安全防范意識,完善公司信息安全保障機制,逐步建立以預防、發(fā)現(xiàn)、響應、恢復為基礎的信息安全管理機制。(2)遵守職業(yè)道德,嚴守保密制度,不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料;不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業(yè)秘密(包括技術秘密和經(jīng)營秘密);未經(jīng)公司書面同意,不擅自使用已接觸到、了解到、知悉或被告之的商業(yè)秘密;不利用已知的公司資源(如公司信息系統(tǒng)缺陷、口令等),做違反國家法規(guī)、竊取公司商業(yè)秘密、攻擊公司服務器等行為。(3)端正服務態(tài)度,對員工的需求積極快速響應,并提供迅速、周到的技術服務支持。
九、附則:
1、本制度解釋權歸集團信息辦。
2、本制度自頒布之日起施行。
第三篇:信息系統(tǒng)安全管理制度
信息系統(tǒng)安全管理制度
第一章
總則
第一條
為保證本單位信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》,結合本單位系統(tǒng)建設實際情況,特制定本制度。第二條
本制度適用于本單位XX部門及所有系統(tǒng)使用部門和人員。
第三條
XX部門是本單位系統(tǒng)管理的責任主體,負責組織單位系統(tǒng)的維護和管理。
第二章
系統(tǒng)安全策略
第四條
XX部門負責單位人員的權限分配,權限設定遵循最小授權原則。
1)管理員權限:維護系統(tǒng),對數(shù)據(jù)庫與服務器進行維護。系統(tǒng)管理員、數(shù)據(jù)庫管理員應權限分離,不能由同一人擔任。
2)普通操作權限:對于各個系統(tǒng)的使用人員,針對其工作范圍給予操作權限。3)查詢權限:對于單位管理人員可以以此權限查詢數(shù)據(jù),但不能輸入、修改數(shù)據(jù)。4)特殊操作權限:嚴格控制單位管理方面的特殊操作,只將權限賦予相關科室負責人,例如退費操作等。
第五條 加強密碼策略,使得普通用戶進行鑒別時,如果輸入三次錯誤口令將被鎖定,需要系統(tǒng)管理員對其確認并解鎖,此帳號才能夠再使用。用戶使用的口令應滿足以下要求:-8個字符以上;
-使用以下字符的組合:a-z、A-Z、0-9,以及!@#$%^&*()-+;-口令每三個月至少修改一次。
第六條 定期安裝系統(tǒng)的最新補丁程序,在安裝前進行安全測試,并對重要文件進行備份。第七條 每月對操作系統(tǒng)進行安全漏洞掃描,及時發(fā)現(xiàn)最新安全問題,通過升級、打補丁或加固等方式解決。第八條 關閉信息系統(tǒng)不必要的服務。
第九條
做好備份策略,保障系統(tǒng)故障時能快速的恢復系統(tǒng)正常并避免數(shù)據(jù)的丟失。
第三章
系統(tǒng)日志管理
第十一條
對于系統(tǒng)重要數(shù)據(jù)和服務器配值參數(shù)的修改,必須征得XX領導批準,并做好相應記錄。
第十二條
對各項操作均應進行日志管理,記錄應包括操作人員、操作時間和操作內容等詳細信息。
第十三條
審計日志應包括但不局限于以下內容:包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全事件。
第十四條
安全審計員應每日對審計日志進行審查,對異常事件及時跟進解決,并定期形成日志分析報告。
第十五條
系統(tǒng)審計日志應定期做好備份工作。
第四章
個人操作管理
第十六條 單位工作人員申請賬戶權限需填寫《系統(tǒng)權限申請表》,經(jīng)系統(tǒng)管理員批準后方可開通。賬號申請表上應詳細記錄賬號信息。
第十七條 人員離職或調職時需交回相關系統(tǒng)賬號及密碼,經(jīng)系統(tǒng)管理員刪除或變更賬號后方能離職或調職。
第十八條 單位工作人員嚴禁私自在辦公計算機上安裝軟件,以免造成病毒感染。嚴禁私自更改計算機的設置及安全策略。
第十九條 嚴格管理口令,包括口令的選擇、保管和更換,采取關閉guest和匿名用戶、增強管理員口令選擇要求等措施。第二十條 計算機設備應設屏幕密碼保護的用戶界面,保證數(shù)據(jù)的機密性的安全。
第五章
懲處
第二十一條
違反本管理制度,將提請單位行政部視情節(jié)給予相應的批評教育、通報批評、行政處分或處以警告、以及追究其他責任。觸犯國家法律、行政法規(guī)的,依照有關法律、行政法規(guī)的規(guī)定予以處罰;構成犯罪的,依法追究刑事責任。
第四篇:計算機信息系統(tǒng)安全管理制度
計算機信息系統(tǒng)安全管理制度
總 則
第一條 為加強公司網(wǎng)絡管理,明確崗位職責,規(guī)范操作流程,維護網(wǎng)絡正常運行,確保計算機信息系統(tǒng)的安全,現(xiàn)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關規(guī)定,結合本公司實際,特制訂本制度。
第二條 計算機信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。
第三條信息中心的職責為專門負責本公司范圍內的計算機信息系統(tǒng)安全管理工作。
第一章 網(wǎng)絡管理
第四條 遵守公司的規(guī)章制度,嚴格執(zhí)行安全保密制度,不得利用網(wǎng)絡從事危害公司安全、泄露公司秘密等活動,不得制作、瀏覽、復制、傳播反動及淫穢信息,不得在網(wǎng)絡上發(fā)布公司相關的非法和虛假消息,不得在網(wǎng)上泄露公司的任何隱私。嚴禁通過網(wǎng)絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條 各工作計算機未進行安全配置、未裝防火墻或殺毒軟件的,不得入網(wǎng)。各計算機終端用戶應定期對計算機系統(tǒng)、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經(jīng)測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條 禁止未授權用戶接入公司計算機網(wǎng)絡及訪問網(wǎng)絡中的資源,禁止未授權用戶使用BT、電驢等占用大量帶寬的下載工具。
第七條 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數(shù)據(jù),不得利用非法手段復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)。
第八條 公司員工禁止利用掃描、監(jiān)聽、偽裝等工具對網(wǎng)絡和服務器進行惡意攻擊,禁止非法侵入他人網(wǎng)絡和服務器系統(tǒng),禁止利用計算機和網(wǎng)絡干擾他人正常工作的行為。
第九條 計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;嚴禁不以真實身份登錄系統(tǒng)。計算機使用者更應定期更改密碼、使用復雜密碼。
第十條 IP地址為計算機網(wǎng)絡的重要資源,計算機各終端用戶應在信息中心的規(guī)劃下使用這些資源,不得擅自更改。另外,某些系統(tǒng)服務對網(wǎng)絡產生影響,計算機各終端用戶應在信息中心的指導下使用,禁止隨意開啟計算機中的系統(tǒng)服務,保證計算機網(wǎng)絡暢通運行。
第二章 設備管理
第十一條 公司員工因工作需要,確需購買IT設備或配件的,可向信息中心提出申請,若有符合需求的可調配設備;若無可調配或有但不符合工作需要的設備,由申請人填寫《信息設備申請表》。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十二條 凡登記在案的IT設備,由信息中心統(tǒng)一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等。
第十三條 IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡子公司或合作單位自行購買的設備,原則上由分公司或合作單位自行負責,但若有需要,信息中心可協(xié)助處理。
第十四條 嚴禁使用假冒偽劣產品;嚴禁擅自外接電源開關和插座;嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統(tǒng)的安排。
第十五條 設備硬件或重裝操作系統(tǒng)等問題由信息中心進行處理。第十六條 原購IT設備原則上在規(guī)定使用年限內不再重復購買,達到規(guī)定使用年限后,由信息中心會同相關部門對其審核后處理。在規(guī)定使用年限期間,計算機終端用戶因工作需要發(fā)生調動或離職,需要繼續(xù)使用該計算機的應在信息中心作變更備案;不繼續(xù)使用該計算機的,部門領導需監(jiān)督責任人將計算機及相關設備及時退回信息中心,由信息中心再行支配。
第十七條 設備出現(xiàn)故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經(jīng)理簽字后報信息中心。經(jīng)信息中心對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息中心對報廢設備登記備案、存檔。
第三章 數(shù)據(jù)管理
第十八條 計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數(shù)據(jù)或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負責將其所有工作資料收回并保存。
第十九條 工作范圍內的重要數(shù)據(jù)(重要程度由各部門經(jīng)理核定)由計算機終端用戶定期更新、備份,并提交給所在部門部長,由部門部長負責保存。各部門經(jīng)理在一個季度開始后10天之內將本部門上一季度的工作數(shù)據(jù)交行政人事部匯集后統(tǒng)一采用磁性介質或光盤保存。
第二十條 計算機終端用戶務必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū),一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障,應及時與信息中心聯(lián)系并采取保護數(shù)據(jù)安全的措施。
第二十一條 對重要的數(shù)據(jù)應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數(shù)據(jù),要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數(shù)據(jù)丟失;做好防磁、防火、防潮和防塵工作。
第四章 操作管理
第二十二條 凡涉及業(yè)務的專業(yè)軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;嚴禁非信息中心人員隨意更改設備配置。
第二十三條 信息中心將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由信息中心收集計算機信息系統(tǒng)常見故障及排除方法并整理成冊,供公司員工學習參考。
第二十四條 計算機終端用戶在工作中遇到計算機信息系統(tǒng)問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與信息中心或軟件開發(fā)單位、硬件供應商聯(lián)系,盡快解決問題。
第五章 網(wǎng)站管理
第二十五條 公司網(wǎng)站由信息中心提供技術支持和后臺管理,由公司相關部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設資料。
(一)網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論時的緊急處置措施
1、網(wǎng)站、網(wǎng)頁由信息中心人員隨時密切監(jiān)視信息內容。
2、發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時,負責人員應立即向部門領導通報情況,情況緊急的應先采取刪除等處理措施,再按流程辦理。
3、網(wǎng)站負責人員在接到通知后立即清理非法信息,強化安全防范措施,并將網(wǎng)站網(wǎng)頁重新投入使用。
4、網(wǎng)站負責人員應妥善保存有關記錄及日志或檢查記錄。
(二)黑客攻擊時的緊急處置措施
1、當有網(wǎng)頁內容被篡改,或通過公司網(wǎng)絡防火墻發(fā)現(xiàn)有黑客正在進行攻擊時, 首先應將被攻擊的服務器等設備斷開網(wǎng)絡,同時向上級領導匯報情況。
2、網(wǎng)站負責人員立即進行將被破壞系統(tǒng)進行恢復和重建。
(三)病毒安全緊急處置措施
1、當發(fā)現(xiàn)計算機感染病毒后,應立即將該機從網(wǎng)絡上隔離出來。
2、對存放數(shù)據(jù)的計算機的硬盤進行數(shù)據(jù)備份。
3、啟用反病毒軟件對該機進行殺毒,同時用殺毒軟件對其他聯(lián)網(wǎng)機器進行病毒掃描和清除。
4、如發(fā)現(xiàn)殺毒軟件無法清除該病毒,應立即向上級領導報告。
5、經(jīng)網(wǎng)站負責人員確認確實無法查殺該病毒后,應作好相關記錄,同時立即聯(lián)系相關技術人員迅速研究并解決問題。
6、如果感染病毒的設備是服務器或者主機系統(tǒng),經(jīng)上級領導同意,應立即切斷服務器并告知客戶端人員進行客戶端機器的殺毒工作。
(四)軟件系統(tǒng)遭受破壞性攻擊的緊急處置措施
1、OA等重要的軟件系統(tǒng)平時必須存有備份,與軟件系統(tǒng)相對應的數(shù)據(jù)必須有多日備份,并將它們保存于不同的機器上。
2、如發(fā)現(xiàn)軟件遭到破壞或運行不正常,應立即向信息中心人員報告。
3、信息中心人員立即進行軟件系統(tǒng)和數(shù)據(jù)的恢復。
(五)數(shù)據(jù)庫安全緊急處置措施
1、各數(shù)據(jù)庫系統(tǒng)要至少準備兩個以上數(shù)據(jù)庫備份。
2、一旦數(shù)據(jù)庫崩潰,應立即上級領導報告,同時通知各部門使用人員暫緩上傳上報數(shù)據(jù)。
3、信息中心人員應對主機系統(tǒng)進行維護,如遇無法解決的問題,立即向上級領導匯報并及時通知專業(yè)技術人員進行處理。
4、系統(tǒng)修復完畢后,按照要求恢復數(shù)據(jù)。
5、如果備份數(shù)據(jù)也出現(xiàn)問題,及時匯報領導并且聯(lián)系軟件開發(fā)商解決。
(六)設備安全緊急處置措施
1、計算機、服務器等關鍵設備損壞后,應立即通知信息中心人員。
2、信息中心人員應立即查明原因。
3、如果能夠自行恢復,應立即用備件替換受損部件。
4、如果不能自行恢復的,立即與設備提供商聯(lián)系,請求派專業(yè)維修人員進行維修。
5、如果設備一時不能修復,應向上級領導匯報。
(七)關鍵人員不在崗的緊急處置措施
1、對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能操作。
2、一旦發(fā)生關鍵人員不在崗的情況,首先應向上級領導匯報。
3、經(jīng)上級領導批準后由信息中心其他人員進行操作。
第六章 處罰措施
第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關的文件,經(jīng)查實后,根據(jù)文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數(shù)原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現(xiàn)三次以上(包括三次),將給予行政處罰。
第二十七條 有以下情況之一者,視情節(jié)嚴重程度處以50元以上500元以下罰款。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的;
(二)非法復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的;
(三)對網(wǎng)絡和服務器進行惡意攻擊,侵入他人網(wǎng)絡和服務器系統(tǒng),利用計算機和網(wǎng)絡干擾他人正常工作;
(四)訪問未經(jīng)授權的文件、系統(tǒng)或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息中心;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向信息中心備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障多次出現(xiàn)且經(jīng)判斷故障原因為個人原因所導致的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
第二十八條 計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節(jié)嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
第七章 附 則
第二十九條 本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、打印機、復印機、傳真機、掃描儀等IT設備。
有害數(shù)據(jù):指與計算機信息系統(tǒng)相關的,含有危害計算機信息系統(tǒng)安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數(shù)據(jù)。
合法用戶:經(jīng)信息中心授權使用本公司網(wǎng)絡資源的本公司員工,其余均為非法用戶。
第三十條 計算機終端用戶應積極配合信息中心共同做好計算機信息系統(tǒng)安全管理工作。
第三十一條 本制度適用于全公司范圍,由總裁辦信息中心負責解釋、修訂。
第三十二條 本制度自發(fā)布之日起實施,凡原制度與本制度不相符的,照本制度執(zhí)行。
第五篇:信息系統(tǒng)安全審計管理制度
信息系統(tǒng)安全審計管理制度
第一章 工作職責安排
第一條 安全審計員的職責是: 1.制定信息安全審計的范圍和日程; 2.管理具體的審計過程;
3.分析審計結果并提出對信息安全管理體系的改進意見;
4.召開審計啟動會議和審計總結會議; 5.向主管領導匯報審計的結果及建議; 6.為相關人員提供審計培訓。
第二條 評審員由審計負責人指派,協(xié)助主評審員進行評審,其職責是:
1.準備審計清單; 2.實施審計過程; 3.完成審計報告;
4.提交糾正和預防措施建議; 5.審查糾正和預防措施的執(zhí)行情況。第三條 受審員來自相關部門,其職責是: 1.配合評審員的審計工作; 2.落實糾正和預防措施; 3.提交糾正和預防措施的實施報告。
第二章 審計計劃的制訂
第四條 審計計劃應包括以下內容: 1.審計的目的; 2.審計的范圍; 3.審計的準則; 4.審計的時間;
5.主要參與人員及分工情況。第五條 制定審計計劃應考慮以下因素: 1.每年應進行至少一次涵蓋所有部門的審計; 2.當進行重大變更后(如架構、業(yè)務方向等),需要進行一次涵蓋所有部門的審計。
第三章 安全審計實施
第六條 審計的準備:
1.評審員需事先了解審計范圍相關的安全策略、標準和程序;
2.準備審計清單,其內容主要包括: 1)需要訪問的人員和調查的問題; 2)需要查看的文檔和記錄(包括日志); 3)需要現(xiàn)場查看的安全控制措施。
第七條 在進行實際審計前,召開啟動會議,其內容主要包括:
1.評審員與受審員一起確認審計計劃和所采用的審計方式,如在審計的內容上有異議,受審員應提出聲明(例如:限制可訪問的人員、可調查的系統(tǒng)等); 2.向受審員說明審計通過抽查的方式來進行。第八條 審計方式包括面談、現(xiàn)場檢查、文檔的審查、記錄(包括日志)的審查。
第九條 評審員應詳細記錄審計過程的所有相關信息。在審計記錄中應包含下列信息:
1.審計的時間;
2.被審計的部門和人員; 3.審計的主題 ; 4.觀察到的違規(guī)現(xiàn)象;
5.相關的文檔和記錄,比如操作手冊、備份記錄、操作員日志、軟件許可證、培訓記錄等; 6.審計參考的文檔,比如策略、標準和程序等; 7.參考所涉及的標準條款; 8.審計結果的初步總結。
第十條 如懷疑與相關安全標準有不符合項的情況,審計員應記錄所觀察到的詳細信息(如在何處、何時,所涉及的人員、事項,和具體的情況等)并描述其為什么不符合。關于不符合的情況應與受審員達成共識。
第十一條 在每項審計結束時應準備審計報告,審計報告應包括:
1.審計的范圍;
2.審計所覆蓋的安全領域; 3.審計結果的總結;
4.不符合項,不符合項的具體描述和相關證據(jù); 5.糾正和預防措施的建議。
第十二條 不符合項是指與等級保護基本要求不一致的情況。產生不符合項可能是由于與相關的規(guī)定不一致,包括:
1.等級保護基本要求; 2.信息安全策略; 3.相關標準和程序; 4.相關法律條款; 5.本單位的相關規(guī)定;
6.任何其它在客戶合同中規(guī)定的要求。
第十三條 不符合項可以細分為“主要”或“次要”。如果所發(fā)現(xiàn)的不符合項屬于下列任何一種情況,此不符合項應被分類為 “主要”的:
1.會導致系統(tǒng)、程序或控制措施整體失效; 2.操作過程沒有形成標準的文檔;
3.累計多個同一類型的“次要”不符合項; 4.對信息安全管理體系的未授權變更。
如果所發(fā)現(xiàn)的不符合項屬于個別事件,此不符合項將被分類為 “次要”的,例如:
1.未標識信息安全分類的文檔; 2.沒有被管理層審閱的事故報告; 3.不完整的變更記錄; 4.不完整的機房進出記錄。
第十四條 造成不符合項的原因可以分為以下幾種: 1.其文檔化的標準和程序與信息安全策略不一致; 2.實際的操作與文檔化的標準和程序要求不一致; 3.實際的操作沒有達到預期效果。
第四章 安全審計匯報
第十五條 召開審計總結會議。應總結匯報以下內容: 1.審計的目標和范圍; 2.審計的時間; 3.參與審計的人員;
4.審計報告(包括糾正和預防措施的建議); 5.提交審計報告的副本供受審員參考。第十六條 在總結會議上,受審員應闡述任何疑問。
第五章 糾正和預防措施
第十七條 糾正和預防措施應該包括問題描述、根本原因、應急措施(可選)、糾正措施以及預防措施。
第十八條 受審員必須制定糾正和預防措施的實施計劃。
第十九條 受審員應在規(guī)定時間內向評審員提交糾正和預防措施的實施報告。
第六章 審計糾正和預防措施的實施狀況
第二十條 評審員應在受審員提交報告的3個月內,審計糾正和預防措施的實施狀況。
第二十一條 審計糾正和預防措施應包括:面談、現(xiàn)場檢查、文檔的審查以及記錄(包括日志)的審查。
第二十二條 評審員根據(jù)受審員提交的糾正和預防措施實施報告,收集、記錄和審查相關證據(jù)。
第七章 審計結果的審閱
第二十三條 安全審計員應審閱和分析所有審計結果。第二十四條 受審員的領導在審閱審計結果時,應分析的事件包括審計計劃、此次審計結果和上次審計結果的比較、糾正和預防措施。
第八章 附 則
第二十五條 本制度由某某單位負責解釋。第二十六條 本制度自發(fā)布之日起生效執(zhí)行。
點擊咨詢 