第一篇：信息安全管理規定

信息安全管理規定

目 錄

1.1.1信息安全管理規定...................................................2

一、總則........................................................2

二、適用范圍....................................................2

三、職責........................................................2

四、管理規定....................................................2

五、信息安全風險評估............................................6

六、附則........................................................7 1.1.2.計算機病毒防范管理規定........................................8 1.1.3信息系統管理制度.................................................11

一、業務主管職責...............................................11

二、系統管理員具體職責：.......................................12

三、系統管理員操作管理制度.....................................12

四、系統管理員備份管理制度.....................................13

五、軟件管理制度...............................................13

六、數據管理制度...............................................14

七、系統維護管理制度...........................................15

八、檔案及數據管理制度.........................................16 1.1.4中心機房管理規定.................................................18

一、機房人員日常行為準則.......................................18

二、機房安全制度...............................................18

三、機房用電安全制度...........................................19

四、機房消防安全制度...........................................19

五、機房硬件設備安全使用制度...................................20

六、軟件安全使用制度...........................................21

七、機房資料、文檔和數據安全制度...............................22

八、機房財產登記和保護制度.....................................22

九、機房巡檢制度...............................................22

信息安全管理規定

1.1.1信息安全管理規定

一、總則

為加強公司管理處計算機信息體系資產安全的保護，保障公司信息化體系連續可靠正常地運行，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際網管理暫行規定》和相關行政法規，結合公司管理處實際狀況，特制訂本規定。

二、適用范圍

本規定適用于公司管理處所有員工，所有公司電子信息設備、版權軟件、電子信息系統、電子信息文件、客戶和廠商及兄弟單位提供給公司的所有電子信息資料的安全管理。

三、職責

3.1技術保障部負責本規定的制訂和修訂。3.2各級部門主管負責本規定在本部門的落實。

3.3技術保障部負責對本規定的執行情況開展定期或不定期的檢查和指導。

四、管理規定 4.1電子產品資產管理

4.1.1公司所有辦公電腦（含筆記本電腦）與相關電子產品屬公司資產，任何部門及個人無權侵占、挪為私用。4.1.2公司所有辦公電腦及相關電子產品由技術保障部統一做資產編號、建立臺帳、調度分配，并發放給對應的使用人員，資產掛靠人有該資產使用權，同時需承擔保管義務，任何遺失、人為破壞行為，需按照資產折舊值賠償。4.1.3公司所有辦公電腦及相關電子產品是公司配備給部門或個人的工作工具，任何人無權利用其做個人經營或工作無關事宜，一經發現提報人力資源部據公司相關規定處分。4.1.4未經許可，不得擅自使用他人電腦，所有用戶需設置5分鐘密碼屏保，以確保離開后電腦不被他人使用。4.1.5人員離職、調崗時，請參照人事人員離職/換崗流程通知技術保障部協助所屬部門交接人員備份信息資料，接收、重新分配電腦。4.2賬號及密碼安全管理

4.2.1公司各自崗位管理員及用戶無條件對本人所負責的相關信息系統及軟硬件密碼負直接管理責任，未經上級主管審批，不得將自己的賬號及密碼告訴其他人，造成損失者，對賬戶及密碼擁有人員酌情處分。

4.2.2機房設備及服務器、各信息系統管理員賬號統一由技術保障部對應責任崗位負責，并定期修改密碼；密碼需統一登記在冊，并及時更新，由技術保障部經理負責，出現重大泄露事件，對部門經理及相關責任人處分。4.2.3公司官網、微信、微博等與公司宣傳有關的賬號、密碼，統一由市場營銷部門對應崗位負責。

4.2.4因工作需要，在政府或第三方機構等網站注冊的賬號、密碼，分別由各責任部門自行負責。

4.2.5具有信息系統權限的人員離職、調崗時，必須由技術保障部會簽離職、調崗相關單據，以及時處理相關權限。4.3計算機系統安全管理

4.3.1公司所有辦公電腦系統權限、安裝軟件、端口使用權限全部由技術保障部根據本規定統一設置、管控，特殊崗位因工作需要開通權限，需經申請批準后由技術保障部執行，任何未經批準擅自更改者視情節嚴重性進行處分。4.3.2未經技術保障部備案許可，嚴禁擅自安裝自帶軟件，私自安裝軟件造成的版權糾紛，將由個人承擔全部相關法律責任。

4.3.3公司所有辦公電腦嚴禁安裝游戲、工作無關軟件，技術保障部不定期檢查，對并違規行為做通報。4.4網絡及應用系統安全管理

4.4.1任何部門和個人，不得利用計算機信息系統和網絡系統從事危害國家利益、集體利益和公民合法權益的活動，不得利用國際互聯網制作、復制、查閱和傳播違法信息，任何利用公司網絡所作的違法行為屬個人行為，將全部由個人承擔相關法律責任，公司將配合相關部門嚴厲查處。4.4.1.1煽動抗拒、違法亂紀、顛覆國家政權、分裂國家、破壞民族團結的；

4.4.1.2捏造或者歪曲事實，散布謠言，擾亂社會秩序的； 4.4.1.3宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；

4.4.1.4公然侮辱他人或者捏造事實誹謗他人的。4.4.2任何部門和個人不得從事下列危害公司或公共計算機信息系統和網絡系統安全的活動，違者全部由個人承擔相關法律責任，并視情節嚴重性請相關部門追究法律責任。4.4.2.1故意制作、傳播計算機病毒等破壞性程序的； 4.4.2.2故意攻擊公共網絡、公共服務器、公司網絡、公司服務器的；

4.4.2.3其他故意危害公共網絡、公司網絡安全的行為。4.4.3 電腦IP地址是公司網絡管理的最重要基礎，公司所有辦公電腦（含筆記本電腦）由技術保障部統一分配IP地址，任何部門或個人無權擅自修改IP地址。

4.4.4不得利用公司網絡打游戲、看電影、下載工作無關資料。

4.4.5不得在公司內部安裝、使用網絡代理軟件，以擾亂網絡管理機制。

4.4.6技術保障部需定期檢查、通報公司網絡使用狀況，并對違規者申請處分。4.5信息資料安全管理

4.5.1公司所有信息資料屬公司資產，各部門與個人有義務承擔本部門或個人信息資料的保密責任，并對所轄機密資料的安全承擔連帶責任。

4.5.2各部門主管需逐級制訂本部門機密資料的內容、受限范圍、發放審批機制，并定期檢查、更新。

4.5.3未經批準，不得把本部門機密資料放置在公共網絡、內部不受限共享夾、或以其他任何方式發送給受限范圍以外的人員；任何有意、無意的泄密行為都是公司嚴厲禁止的，直至追究法律責任。

4.5.4對于部分有備份安全需求的部門，可申請由技術保障部統一安排部署備份服務器及備份機制。4.6中心機房安全管理

詳見《公司管理處中心機房管理規定》。4.7計算機病毒防范

詳見《公司管理處計算機病毒防范管理規定》 4.8監控資料安全管理

4.8.1監控資料調閱管理部門為技術保障部，安防監控錄像調閱請參照綜合管理部相關規定。

五、信息安全風險評估 5.1隨著信息技術的不斷發展、重大信息系統環境的不斷改進和改變，每年至少要進行一次信息安全風險評估，對相關的制度進行重新審核，并更新不適當的內容。

六、附則

6.1本規定由技術保障部負責解釋。

1.1.2.計算機病毒防范管理規定

為加強計算機的安全監察工作，預防和控制計算機病毒，保障計算機系統的正常運行，根據國家有關規定，結合實際情況，制定本制度。

一、凡在公司內所轄計算機進行操作、運行、管理、維護、使用計算機系統以及購置、維修計算機及其軟件的部門，必須遵守本制度。

二、本辦法所稱計算機病毒，是指編制或者在計算機程序中插入的破壞計算機系統功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

三、任何工作人員不得制作和傳播計算機病毒。

四、任何工作人員不得有下列傳播計算機病毒的行為： 故意輸入計算機病毒，危害計算機信息系統安全。向計算機應用部門提供含有計算機病毒的文件、軟件、媒體。購置和使用含有計算機病毒的媒體。

五、預防和控制計算機病毒的安全管理工作，由技術保障部負責實施管理。其主要職責是

制定計算機病毒防治管理制度和技術規程，并檢查執行情況； 采取計算機病毒安全技術防治措施；

對計算機信息系統使用人員進行計算機病毒防治教育和培訓； 及時檢測、清除計算機系統中的計算機病毒，并做好檢測、清除的記錄；

購置和使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品；

對因計算機病毒引起的計算機信息系統癱瘓、程序和數據嚴重破壞等重大事故及時做好記錄，評估事故損失，保護現場并向公安機關報告。

六、計算機安全管理部門應加強對計算機操作人員的審查，并定期進行安全教育和培訓。

七、計算機信息系統應用部門應建立計算機運行記錄制度，未經審定的任何程序、指令或數據，不得輸入計算機系統運行。

八、計算機安全管理部門應對引起的計算機及其軟件進行計算機病毒檢測，發現染有計算機病毒的，應采取措施加以消除，在未消除病毒之前不準投入使用。

九、通過網絡進行電子郵件或文件傳輸，應及時對傳輸媒體進行病毒檢測，接收到郵件時也要及時進行病毒檢測，以防止計算機病毒的傳播。

十、積極接受公安機關對計算機病毒防治管理工作的監督、檢查和指導。

十一 現對日常使用計算機做出如下建議 及時安裝系統補丁。建議使用系統自帶的更新程序進行系統更新，不要使用諸如360安全衛士或qq電腦管家進行更新 安裝殺毒軟件?？梢园惭b360等免費殺毒軟件。

定期掃描系統是否感染有病毒，3天左右一次，可以在下班前或中午吃飯的時候進行全盤病毒查殺。定期更新防病毒軟件。

不要亂點擊鏈接和下載軟件,目前許多下載網站都帶有推廣鏈接，很容易造成誤操作.如需要下載軟件,請到正規官方網站上下載.不要訪問無名和不熟悉的網站,防止受到惡意代碼攻擊或是惡意篡改注冊表和IE主頁.不要陌生人和不熟悉的網友聊天,特別是那些QQ病毒攜帶者,因為他們不時自動發送消息,這也是其中毒的明顯特征.關閉無用的應用程序,因為那些程序對系統往往會構成威脅,同時還會占用內存,降低系統運行速度.安裝軟件時,切記不要安裝其捆綁軟件,尤其是部分流氓軟件,一旦安裝，想要卸載十分麻煩,甚至于需要重裝系統才能清除.不要隨意執行附件中的可執行文件，一般以.com,.exe.bat作為后綴名 這些附件極有可能帶有計算機病毒或是黑客程序，輕易運行，很可能帶來不可預測的結果。對于這些可執行程序附件都必須檢查，確定無異后才可使用。不要隨意打開附件中的文檔文件 對方發送過來的電子函件及相關附件的文檔，首先要用另存為命令(Save As)保存到本地硬盤，待用病毒查殺軟件檢查無毒后才可以打開使用。如果用鼠標直接點擊兩下DOC、XLS等附件文檔，會自動啟用Word或 Excel，如有附件中有病毒則會立刻傳染;如有是否啟用宏的提示，那絕對不要輕易打開，否則極有可能感染上郵件病毒。

不要直接運行附件 對于文件擴展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含這些附件的電子函件，以保證計算機系統不受計算機病毒的侵害，或經過掃描之后打開。

郵件設置如果是使用Outlook作為收發電子郵件軟件的話，應當進行一些必要的設置。選擇工具菜單中的選項命令，在安全中設置附件的安全性為高;在其他中按高級選項按鈕，按加載項管理器按鈕，不選中服務器腳本運行。最后按確定按鈕保存設置。

外來U盤、移動硬盤、光盤等最好在裝有殺毒軟件的電腦上查毒確認無病毒后再打開、執行、拷貝。1.1.3信息系統管理制度

一、業務主管職責

財務、綜管、營銷、運營等重點業務主管，負責協調本業務范圍內信息系統的總體運行工作。具體職責包括：

1、負責本部門信息化崗位的設定和分配，結合本部門情況確定每個崗位的職責；

2、分配每一崗位人員操作權限，以書面形式通知系統管理員；

3、根據本單位的實際情況，總結系統存在的問題，并提出改進的建議；

4、研究本單位的需求，對信息系統提出新需求或升級的請求；

二、系統管理員具體職責：

1、負責系統軟件、硬件及數據庫的安裝與升級；

2、負責系統軟件、硬件及數據庫所有技術問題，保障系統正常運行；

3、負責服務器的硬軟件資源分配，監控網絡的運行；

4、負責數據的備份與備份的恢復工作；

5、負責公司用戶權限的分配管理工作，做好數據的保密工作；

6、負責組織信息系統的培訓工作；

三、系統管理員操作管理制度

1、操作人員(包括專業維護人員)必須嚴格按照操作權限操作，不得越權操作。每次操作應記錄相應的操作日記，日記包括操作時間、執行命令等。

2、操作人員離開系統時，應退出系統或進行系統封鎖。

3、管理員每周應檢查數據備份情況，每月應將其刻錄成光盤。

4、系統管理員變動前必須辦理交接手續，經接管人員或監交人員與系統管理員雙方簽字確認，作為檔案存檔。

四、系統管理員備份管理制度 具體內容包括：

（1）管轄范圍內的服務器地址分布；

（2）網絡服務器口令、數據庫超級口令、公司信息系統管理員口令；

（3）每年的歷史數據備份，本年的所有的數據備份；（4）系統培訓資料；（5）系統維護記錄本；

（6）所有版本的公司信息系統軟件；（7）所有版本的數據庫管理系統軟件；（8）其他應交接的內容。

（9）對交接內容應進行相應的測試，以確保交接質量。一旦交接，接替人員或監交人員應立即更換所有口令，并開始承擔系統管理員的所有工作。

五、軟件管理制度

1、信息系統功能改動時，應對其功能改動部分進行認真測試研究，確定新增功能的用法，防止工作的盲目性。

2、公司在組織軟件的升級工作時，一般應在同一個會計期間內一次性更換所有在用軟件，升級前應通知各用戶，并對功能更動部分加以說明。

3、要嚴格保護所有在用軟件的版權，包括網絡、數據庫、操作系統、軟件等。嚴禁將軟件以任何形式出售、轉讓或贈送給該范圍以外的任何單位或個人。

4、各單位要制定具體的防病毒措施。所有來歷不明的媒體介質在使用前必須經過病毒檢測，對所有在用計算機尤其是 NT 服務器必須定期進行病毒檢測。使用網絡的單位要嚴防病毒通過網絡傳播，辦公用計算機不能裝入各種游戲軟件。

六、數據管理制度

1、信息系統的數據管理是指數據不丟失、不損毀、不向無關人員泄露、不被非法修改，保障數據的安全要從技術和管理兩個方面著手，做好安全保密工作。

2、要經常對系統中的數據進行備份，以便在計算機發生故障時可將數據恢復到最近狀態。數據備份的目標是防止任何時間發生的硬、軟件故障以及人為失誤造成的數據損毀，因此原則上要求在發生業務的當天都進行備份。具體備份模式為：

（1）每天在服務器上作一數據備份，（2）每周作一個異地備份，每月制作一份數據光盤；（3）每年年末制作雙備份, 存儲于不同的地點。

3、對備份的數據應加強管理，防止被非法拷貝或毀壞。

4、采取各種措施來保障上網數據的安全性。要嚴密控制好數據庫及其服務器的口令，控制好各用戶的口令。

七、系統維護管理制度

1、系統維護管理是指為保障系統正常運行而進行的對硬件、網絡、數據庫、操作系統、軟件及相關辦公自動化軟件進行的安裝、修正、更新版本、擴展、備份等操作以及對軟件應用模式的設計及實施工作。系統的維護管理工作由系統管理員或由系統管理員授權的專業維護人員負責進行。未經系統管理員授權的人員不得進行系統維護操作。

2、未經系統管理員許可，不得在公司信息系統服務器上安裝其它硬、軟件，不得改變系統的運行環境。

3、系統運行時，應獲得充分的維護保障。系統發生影響正常運行的故障時，系統理員應及時給予處理。屬于系統優化或不影響正常業務流程的問題，系統管理員應進行合理的預計，提前規劃，制定實施方案以確保系統的平穩運行。

4、系統運行中出現故障或出現不明意義的提示時，操作人員應保護現場，及時與系統管理員聯系。由于操作人員擅自處理故障而引起的后果由操作人員自己負責。

5、系統管理員在不能直接排除故障并且沒有替代解決方案，應請求上一級部門系統管理員或專業維護人員的技術支持。

6、要建立系統管理維護記錄本實行系統維護記錄制度。對故障的發生時間、表現、解決辦法及結果等進行詳細的記錄，并由維護人員或系統管理員簽字。系統管理維護記錄本的登記要條理清楚、時間準確，字跡工整。

7、對于兩個以上的系統維護管理人員應進行合理的分工，充分發揮系統管理員的作用，不斷加強系統維護的技術保障，逐步形成一套有效的系統維護管理體制。

八、檔案及數據管理制度

1、公司信息系統檔案包括：（1）數據庫備份資料 ；（2）軟件升級前的數據庫備份；

（3）打印輸出的經過蓋章簽字的會計資料；

（4）每年一次的經系統管理員簽字的系統管理維護記錄本存檔；

（5）所有版本的系統、網絡、數據庫、軟件；（6）軟件的開發文檔、源程序；（7）其他應該存檔的資料或數據。

2、打印輸出的憑證、報表、帳簿等各種會計資料的保存按財政部《會計檔案管理辦法》 執行。數據庫的備份要永久保留。以膠片、磁、光等介質保存的數據的檔案應按照有關規定保存在溫濕度適宜、陽光不直射，并且不能被損害的場所。

3、以磁介質存儲的數據應定期更換新的介質進行再拷貝。

4、本章未及內容按照財政部《會計檔案管理辦法》 執行。附件：補丁更新記錄臺帳、數據備份登記臺帳、服務器等設備維護登記表、檔案移交登記表的樣本。

1.1.4中心機房管理規定

為進一步做好公司信息化管理工作，提高精細化管理水平，降低辦公費用消耗，確保公司網絡通訊系統的暢通，按照公司《信息安全管理規定》，特制訂中心機房管理規定。

本規定適用于中心機房的管理，機房工作人員要認真遵守，并作為日常行為規范。

一、機房人員日常行為準則

1.1必須注意環境衛生。禁止在機房內抽煙、吃食物、隨地吐痰，保持機房無塵潔凈環境。

1.2機房用品要各歸其位，不能隨意亂放,不許堆放雜物。注意檢查機房的防曬、防水、防潮，維持機房環境通爽，保證機房的適當溫度和適度。

1.3中心機房每周清掃一次，物品要擺放整齊，保持安靜清潔的工作環境。

二、機房安全制度

2.1禁止帶領與機房工作無關的人員進出機房，建立機房準入制度，凡進入機房人員必須得到技術保障部經理允許，并進行登記（格式見《公司管理處機房出入登記表》），由技術保障部人員全程陪同。

2.2未經主管領導批準，禁止將密碼、信息外借透露給其它人員，同時有責任對信息保密。對于泄露信息的情況要及時上報，并積極主動采取措施保證機房安全。2.3重點做好機房防火、防水、防潮濕、防干燥、防短路、防斷路、防老鼠、防盜、防高溫，出現機房盜竊、破門、火警、水浸、110報警等嚴重事件時，網絡信息工作人員有義務以最快的速度和最短的時間到達現場，協助處理相關的事件。

2.4工作人員離開工作區域前，應保證工作區域內保存的重要文件、資料、設備、數據處于安全保護的狀態。

三、機房用電安全制度

3.1機房工作人員應學習常規的用電安全操作知識，了解機房內部的供電、用電設施的操作規程。掌握機房用電應急處理步驟、措施、要領。定期檢查供電、用電設備、設施。

3.2機房不得亂拉亂接電線及用電設備。如發現用電安全隱患，應及時采取措施解決，不能解決的必須及時向主管領導匯報。

3.3在危險性高的位置應張貼相應的安全操作方法、警示以及指引，實際操作時應嚴格執行。

3.4在外部供電系統停電時，機房工作人員應全力配合完成停電應急工作，啟動應急設備，或及時關閉計算機系統。

四、機房消防安全制度

4.1機房管理人員應熟悉機房內部消防安全操作規則，了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。4.2工作人員要保護消防設備不被破壞。如發現消防安全隱患，應及時采取措施解決，不能解決的應及時向相關負責人員提出解決。

4.3最后離開機房的工作人員，應檢查消防設備的工作狀態消防器材的完好，關閉將會帶來消防隱患的設備，采取措施保證無人狀態下的消防安全。

五、機房硬件設備安全使用制度

5.1機房人員必須熟知機房內設備的基本安全操作規則。應定期檢查、整理硬件物理連接線路，定期檢查硬件運作狀態。

5.2禁止隨意在設備上進行安裝、拆卸硬件、或隨意更改設備連線、禁止隨意進行硬件復位。禁止在服務器上進行試驗性質的配置操作，需要對服務器進行配置，應在其它可進行試驗的機器上調試通過并確認可行后，才能對服務器進行準確的配置。

5.3對影響到全公司的硬件設備的更改、調試等操作應預先發布通知，并且應有充分的時間、方案、人員準備，才能進行硬件設備的更改。對重大設備設置的更改，必須首先形成方案文件，經過討論確認可行后，由具備資格的技術人員進行更改和調整，并應做好詳細的更改和操作記錄。對設備的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先準備好后備配件和應急措施。

5.4不允許任何人在服務器、交換設備等核心設備上進行與工作范圍無關的任何操作。不允許他人操作機房內部的設備，對于核心服務器和設備的調整配置，需要主管領導同意后才能進行。

5.5要注意和落實硬件設備的維護保養措施。

六、軟件安全使用制度

6.1必須定期檢查軟件的運行狀況、定期進行數據和軟件日志備份。

6.2禁止在工作服務器上進行試驗性質的軟件調試，禁止在服務器隨意安裝軟件。需要對服務器進行配置，必須在其它可行試驗的機器上調試通過并確認可行后，才能對服務器進行準確的配置。

6.3對會影響到全局的軟件更改、調試等操作應發布通知，并且應有充分時間、方案、人員準備，才能進行軟件配置的更改。對重大軟件配置的更改，應先形成方案文件，經過討論確定可行后，由具備資格的技術人員進行更改，并應做好詳細的更改和操作記錄。對軟件的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先備份原有軟件系統和落實好應急措施。

七、機房資料、文檔和數據安全制度

7.1資料、文檔、數據等必須有效組織、整理和歸檔備案。禁止任何人員將機房內的資料、文檔、數據、配置參數等信息擅自以任何形式提供給其他無關人員或向外隨意傳播。

7.2對于牽涉到網絡安全、數據安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關數據的，應由機房工作人員代為查閱，并只能向其提供與其當前工作內容相關的數據或資料。

7.3重要資料、文檔、數據應采取對應的技術手段進行加密、存儲和備份。對于加密的數據應保證其可還原性，防止遺失重要數據。

八、機房財產登記和保護制度

8.1機房的日常物品、設備、消耗品等必須有清晰的數量、型號登記記錄，對于公共使用的物品和重要設備，必須履行借取和歸還登記手續。

8.2機房工作人員應有義務安全和小心使用機房的任何設備、儀器等物品，對于使用過程中損壞、消耗、遺失的物品應匯報登記，并對責任人追究相關責任。

8.3未經主管領導同意，不允許向他人外借提供機房設備和物品。

九、機房巡檢制度 9.1機房工作人員每日對中心機房按照《機房巡檢標準》進行巡檢

第二篇：信息安全管理規定

信息安全管理規定

2010 年我公司建立并實行質量、環境、職業健康“三標”整合型管理體系的第一年。作為涵蓋研發和生產制造企業,信息安全化建設同等重要，公司領導也高度重視。院四標體系的建設，特別是信息安全體系的建設，是安全管理工作的重要組成部分。按公司的要求工作中信息安全要逐步做到制度化、常態化。在領導的統一指導和推進下，邊學習邊實踐，將信息安全意識貫徹到每一個員工的工作中。一：通過開展多種形式的信息安全宣傳，提高員工安全意識 安全意識是信息安全的第一道防線，信息安全管理要想做好，提高全體員工的安全意識是關鍵。為此，我認為公司相關部門和責任人要認真策劃，在公司內部進行了大量的信息安全相關的宣傳工作。這些宣傳要達到效果，就不能是枯燥的，喊口號式的宣傳，而應該喜聞樂見，生動活潑，結合實際，便于操作。為此，我們可以制作了形象生動的海報在公司內部宣傳欄進行張貼；針對廣大員工對信息安全應該如何做的困惑，編寫 “信息安全實用操作手冊”的方式發給公司員工等，讓信息安全意識在全體員工中逐步形成。

二、通過組織各類檢查，督促員工把自身的信息安全工作做好 為確保切實增強全體員工的安全意識和安全行為習慣，光靠宣傳還不夠。公司成立信息安全的管理工作組，主要領導擔任管理者代表，設置專職安全員和各部門安全責任人和安全員，在公司內部組織信息安全的內部檢查工作，檢查不拘泥于形式，明確檢查的項目內容，比如：首先檢查公司內所有內網機。通過檢查一方面是摸清公司內網機情況，另一方面就是通過檢查對公司所有內網機進行一次安全加固，確保內網機的信息安全。通過檢查，所有內網機在帳號、口令、機器補丁、網絡和服務、日志審核等方面進行加固等。其次擴大一些范圍 檢查包括公司所有的內外網終端及服務器等。因為覆蓋面廣，工作量大，檢查可以采取信息安全的檢查工具——漏洞掃描儀來進行自動檢查。檢查之前并未通知各部門，可以說這次檢查結果真實的反映了公司當時內外網機的信息安全情況。檢查結束后，檢查組根據檢查結果對問題機器下發了整改通知，并給出具體的整改意見。整改結束后又進行了一次掃描檢查，其三是采取自查和抽查相結合的方式。自查時間、自查內容及加固方法通過郵件方式群發給公司員工。在自查期結束后，信息安全工作組再制定了抽查計劃，各部門按一定比例抽查內外網機，并對發現問題的機器現場進行加固整改工作。這樣通過一次次的檢查，讓公司的員工開始養成了良好的工作習慣，如設置強登錄口令、禁用Guest 帳戶、及時升級系統補丁、設置自動屏保、關閉自定義共享等。

三、加強信息安全相關的設施管理 1）安全存儲介質的統一管理

根據院移動介質使用管理規定的精神，我們制定了切實可行的安 全移動介質管理方案。安全移動存儲介質由信息中心統一制作好后，由公司負責統一編號并進行登記發放工作。員工在申領安全存儲介 質時需要進行申請審批，公司安全員定期對安全存儲介質做好查檢清點工作，確保每一個發放出去的安全移動介質能夠追溯到責任人。員工離職時，安全員負責安全移動介質的收回工作。2）服務器的統一安全管理

整合后的公司設置了專門的服務器室，要求各部門的服務器進行 統一集中存放管理。為加強管理，公司設置了服務器室管理員，編制 了服務器室管理規定，對出入和內部日常環境安全進行統一管理。建 立了服務器臺帳，每臺服務器都落實到部門和責任人。另外，對于有時發生的非計劃停電，對公司的服務器造成一定沖擊，可能造成服務器硬件損壞的情況可采取UPS電源的措施，即使短時間停電，服務器正常工作不受影響。3）內外網機的統一接入管理

在內外網機管理方面，公司設置了專人負責對內外網機接入進行 管理，包括內外網機的申請、員工離職注銷、變更以及內網機的桌面 安裝等。對公司的內外網機，建立了完整的內外網機清單，在我們進 行工具設備進行內外網機掃描檢查時，能幫助我們很快定位到問題機 器。

以上是我對公司在信息安全管理及體系建設方面開展工作的一些建議，希望我們能摸著石頭過河，工作開展具有可行性和實用性，把公司的信息安全防護工作做好。

第三篇：信息安全管理規定

一、總則

1、為維護本公司計算機信息及網絡系統安全，促進計算機的高效應用和良性發展，根據國家相關法律法規，結合本公司實際情況制定本制度。

2、本制度所稱的計算機信息及網絡系統，包括計算機及其相關的配套設備、設施（含網絡）和公司所有文件文檔信息等。

3、通過規范公司員工的計算機操作，對服務器及重要客戶端數據和操作系統及時備份還原，建立有效的病毒防范機制，保障計算機系統及網絡的正常運行，確保計算機信息及網絡的安全，嚴防公司機密通過計算機系統及網絡泄漏。

4、所有員工必須嚴格遵守本制度，不得利用計算機信息網絡系統從事危害國家利益、公司利益和公民合法利益的活動。

二、安全管理職責

1、信息中心職責：

1）信息中心成員負責對計算機系統、常用應用軟件、計算機外設及網絡等進行維護維修；配合做好信息及網絡監控中心的工作；負責本制度的補充修正；負責對公司員工進行信息及網絡安全的教育和培訓，以提高全體計算機使用人員的信息安全意識。

2）信息及網絡監控中心負責人應嚴格保守公司機密，負責日常的信息及網絡監督監管，發現有違反本制度的行為應及時予以警告和制止，不得包庇泄漏公司機密行為，情節嚴重的應如實上報公司督察組，提供相關證據，協助公司督察組的調查工作。

2、各部門負責人職責：

各部門負責人應根據本制度負責監督本部門人員在計算機信息及網絡安全方面的相關行為，且應以身作則。

3、計算機使用者職責：

各使用者應當接受信息及網絡監控中心和信息管理員的監督檢查，并配合管理員做好公司的信息及網絡安全工作。

三、安全防范措施

1、除信息管理員外任何人未經批準不得以任何方式進行如下操作：

1）進入公司服務器（包括威盾服務器、文件服務器等）進行操作；

2）更改計算機網絡設置；拆裝計算機配件；更改網絡設備的設置及位置；

3）給他人計算機安裝網絡監控，窺視他人電腦資料及信息。

2、信息、文件及文檔的管理

1）公司內所有電腦原則上要求登陸公司域（csalp）以提高安全管理級別；各部門及個人原則上應將所使用的重要和機密文件信息放置于公司文件服務器統一管理，不得隨意在客戶端電腦簡單共享，以確保數據安全。

2）未經授權不得私閱、刪除、修改他人及公司文件、文檔、電子郵件等。

3）存有公司重要機密文件及信息的電腦，使用部門及個人應高度重視，嚴防泄密。

4）個人購買的移動存儲介質不得隨意拿到公司使用；公司移動存儲介質不得隨意帶離公司。嚴禁通過移動存儲介質以及郵件等其它方式向外拷貝公司機密信息。

5）遵守已建立的數據信息存取訪問控制機制，對數據信息的重要程度進行分類，按劃分的訪問和存儲等級，設立訪問和存儲權限，不得越權存取閱讀更改數據信息。

6）任何人不得以任何形式泄漏公司機密信息、文件及文檔。

3、病毒防范

1）信息管理員應高度關注相關網站的病毒預警，及時下載殺毒軟件升級包，有重要信息及時通知電腦使用人員；電腦使用者應及時升級殺毒軟件及防火墻。

2）不得故意制作、傳播、安裝計算機病毒及木馬等破壞性程序以及其他危害公司信息及網絡安全的行為。

3）不得使用未經殺毒的硬盤、軟盤、光盤、Ｕ盤；不得隨意打開來歷不明的電子郵件，不得隨意下載安裝來歷不明的系統、應用軟件等；如發現所用電腦有中毒跡象，應立即切斷與局域網的聯系，以防病毒在局域網內傳播擴散，并及時通知網管員處理。

4、用戶名及密碼管理

嚴肅域用戶管理制度，不得隨意將自己的域用戶密碼告知他人，如密碼被盜用應及時通知網管員更改密碼。

5、監控及網絡管理

1）信息及網絡監控中心通過威盾及網絡哨兵等工具實時監控局域網內計算機使用者的行為和互聯網使用情況等。

2）信息及網絡監控中心根據使用者工作內容及性質嚴格控制登陸互聯網的客戶端數量，并界定其上網的方式及時間。

3）所有使用者不得登陸與本職工作無關的網站；嚴禁登陸含有國家明令禁止內容的網站；禁止翻閱散播制造有損國家、集體及公司形象的言論；自覺遵守國家相關保密法律、法規；嚴禁在公司內玩電腦游戲；嚴禁利用電腦進行與本職工作無關的活動。

四、對違反本制度的，視情節及性質嚴重程度按公司相關規定予以處理。

第四篇：中國人民銀行信息安全管理規定

中國人民銀行信息安全管理規定

第一條 為強化人民銀行信息安全管理，防范計算機信息技術風險，保障人民銀行計算機網絡與信息系統安全和穩定運行，根據《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等規定，特制定本規定。

第一章 總則

第二條 本規定所稱信息安全管理，是指在人民銀行信息化項目立項、建設、運行、維護及廢止等過程中保障計算機信息及其相關系統、環境、網絡和操作安全的一系列管理活動。

第三條 人民銀行信息安全管理工作實行統一領導和分級管理?？傂薪y一領導分支機構和直屬企事業單位的信息安全管理，負責總行機關的信息安全管理。分支機構負責本單位和轄內的信息安全管理，各直屬企事業單位負責本單位的信息安全管理。

第四條 人民銀行信息安全管理實行分管領導負責制，按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實單位與個人信息安全責任制。

第五條 本規定適用于人民銀行總行機關、各分支機構和直屬企事業單位（以下統稱“各單位”）。所有使用人民銀行網絡或信息資源的其他外部機構和個人均應遵守本規定。

第二章 組織保障

第六條 各單位應設立由本單位領導和相關部門主要負責人組成的計算機安全工作領導小組，辦公室設在本單位科技部門，負責協調本單位及轄內信息安全管理工作，決策本單位及轄內信息安全重大事宜。

第七條 各單位科技部門應設立信息安全管理部門或崗位?？傂袡C關、分行、營業管理部、省會（首府）城市中心支行、副省級城市中心支行科技部門配備專職信息安全管理人員，實行A、B崗制度；地（市）中心支行和縣（市）支行設立信息安全管理崗位。

人員的配備和變更情況應及時報上一級科技部門備案。信息安全管理人員調離原崗位時應辦理交接手續，并履行其調離后的保密義務。

第二節 部門計算機安全員

第十五條 各部門應指派素質好、較熟悉計算機知識的人員擔任部門計算機安全員，并報本單位科技部門備案。如有變更應做好交接工作，并及時通報科技部門。

第十六條 部門計算機安全員配合信息安全管理人員工作，并參加各項信息安全技能培訓。

第十七條 部門計算機安全員在如下職責范圍內開展工作：

（一）負責本部門計算機病毒防治工作，監督檢查本部門客戶端安全管理情況。

（二）負責提出本部門信息安全保障需求，及時與信息安全管理人員溝通信息安全信息。

（三）負責本部門國際互聯網使用和接入安全管理，組織開展本部門信息安全自查，協助科技部門完成對本部門的信息安全檢查工作。

第三節 技術支持人員

第十八條 本規定所稱技術支持人員，是指參與人民銀行網絡、計算機系統、機房環境等建設、運行、維護的內部技術支持人員和外包服務人員。

第十九條 人民銀行內部技術支持人員在履行網絡和信息系統建設和日常運行維護職責過程中，應承擔如下安全義務：

（一）不得對外泄漏或引用工作中觸及的任何敏感信息。嚴格權限訪問，未經業務主管部門授權不得擅自改變系統設臵或修改系統生成的任何數據。

（二）主動檢查和監控生產系統安全運行狀況，發現安全隱患或故障及時報告本部門主管領導，并及時響應、處臵。

（三）嚴格操作管理、測試管理、應急管理、配臵管理、變更管理、檔案管理等工作制度，做好數據備份工作。

第四章 機房環境和設備資產管理

第一節 機房安全管理

第二十六條 本規定所稱機房是指計算機系統等主要設備放臵、運行場所以及供配電、通信、空調、消防、監控等配套環境設施。

第二十七條 各單位機房的規劃、建設、改造、運行、維護由科技部門負責，相關設備采購納入政府集中采購。機房的消防、視頻監視錄像、防雷、門禁等子系統的規劃、建設、運行和維護由科技部門和保衛部門協商確定。

第二十八條 各單位原則上只建設一個符合國家計算機機房有關標準和人民銀行相關規定的計算機機房，為所有業務部門提供機房基礎設施服務。

第二十九條 機房建設、改造的方案應報上一級科技部門備案。必要時，由上一級機構科技部門會同會計、保衛等部門進行審核。

第三十條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業承包資質、兩年以上從事計算機機房設計與施工經驗的專業化公司，其中總行、分行、營業管理部、省會（首府）城市中心支行、計劃單列市中心支行的機房建設或改造應選擇具有國家貳級或貳級以上資質同時具有三年以上專業從事計算機機房裝修裝飾經驗的專業公司。重要機房建設或改造工程應引入監理制度。

第三十一條 總行、分行、營業管理部、省會（首府）城市中心支行應建立機房設施與場地環境監控系統，對機房空調、消防、不間斷電源（UPS）、供配電、門禁系統等重要設施實行全面監控。

第三十二條 各單位機房投入使用前，應經過當地公安消防部門的消防驗收和本單位科技、保衛與會計部門組織的驗收，并出具明確結論的驗收報告。未經驗收或驗收不合格的機房均不得投入使用。

第三十三條 各單位應建立健全機房管理制度，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應經過相關專業培訓，熟知機房各類設備的分布和操作要領，定期巡查機房，發現問題及時報告。

(二)具備必要的網絡監測、跟蹤和審計等管理功能。(三)針對不同的網絡安全域，采取必要的安全隔離措施。

第二節 網絡運行安全管理

第四十二條 各單位科技部門應建立健全網絡安全運行制度，配備專（兼）職網絡管理員。網絡管理員負責日常監測和檢查網絡安全運行狀況，管理網絡資源及其配臵信息，建立健全網絡運行維護檔案，及時發現和解決網絡異常情況。

第四十三條 網絡管理員應定期參加網絡安全技術培訓，具備一定的非法入侵、病毒蔓延等網絡安全威脅的應對技能，緊急情況下，經本部門主管領導授權后可采取“先斷網、后處理”的緊急應對措施。

第四十四條 各單位科技部門應嚴格網絡接入管理。任何設備接入網絡前，接入方案、設備的安全性等應經過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應的網絡資源。

第四十五條 各單位科技部門應嚴格網絡變更管理。網絡管理員調整網絡重要參數配臵和服務端口前，應書面請示本部門主管領導，變更信息應做好記錄。實施有可能影響網絡正常運行的重大網絡變更，應提前通知所有使用部門并安排在節假日進行，同時做好配臵參數的備份和應急恢復準備。

第四十六條 各單位應嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技部門提出書面申請，并采取相應的安全防護措施。

第四十七條 信息安全管理人員經本部門主管領導批準，有權對本單位或轄內網絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息，不得向外界提供。未經總行科技司授權，任何外部單位與人員不得檢測、掃描人民銀行內部網絡。

第四十八條 各單位以不影響業務的正常網絡傳輸為原則，合理控制多媒體網絡應用規模和范圍。未經總行科技司批準，不得在人民銀行內部網絡上提供跨轄區視頻點播等嚴重占用網絡資源的多媒體網絡應

項目技術方案應包括以下基本安全內容：

（一）業務需求部門提出的安全需求。

（二）安全需求分析和實現。

（三）運行平臺的安全策略與設計。

第五十七條 各單位科技部門負責對項目技術方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節 計算機系統開發與集成

第五十八條 計算機系統開發應符合軟件工程規范，依據安全需求進行安全設計，保證安全功能的完整實現。

第五十九條 計算機系統開發單位應在完成開發任務后將程序源代碼及其相關技術文檔全部移交人民銀行科技部門。外部開發單位還應與人民銀行簽署相關知識產權保護協議和保密協議，不得將計算機系統采用的關鍵安全技術措施和核心安全功能設計對外公開。

第六十條 計算機系統的開發人員不能兼任計算機系統管理員或業務系統操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第六十一條 計算機系統開發、測試、修改工作不得在生產環境中進行。

第六十二條 涉密計算機系統集成應選擇具有國家相關部門頒發的涉密系統集成資質證書的單位或企業，并簽訂嚴格的保密協議。

第三節 計算機系統運行

第六十三條 各單位計算機系統上線運行實行安全審查制度，未通過安全審查的任何新建或改造計算機系統不得投產運行。具體要求如下：

（一）項目承擔單位（部門）應組織制定安全測試方案，進行系統上線前的自測試并形成測試報告，報科技部門審查。

（二）計算機系統應用部門應在計算機系統投產運行前同步制定相關安全操作規定，報科技部門備案。

（三）科技部門應提出明確的測試方案和測試報告審查意見。必

第七十三條 對已經廢止的計算機系統軟件和數據備份介質，科技部門按業務規定在一定期限內妥善保存。超過保存期限后需要銷毀的，應在本單位保密工作委員會監督下予以不可恢復性銷毀。

第七章 客戶端安全管理

第七十四條 本規定所稱客戶端是指人民銀行計算機用戶、網絡與信息系統所使用的終端設備，包括聯網桌面終端、柜面終端、單機運行（?。┙K端、遠程接入終端、便攜式計算機等。

第七十五條 各單位應建立完善的客戶端管理制度，記錄所有客戶端設備信息和軟件配臵信息。

第七十六條 客戶端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關的軟件。

第七十七條 客戶端應統一安裝病毒防治軟件，設臵用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。

第七十八條 確因工作需要經授權可遠程接入內部網絡的用戶，應嚴格保存其身份認證介質及口令密碼，不得轉借其他人使用。

第八章 信息安全專用產品、服務管理

第一節 資質審查與選型購臵

第七十九條 本規定所稱信息安全專用產品，是指人民銀行安裝使用的專用安全軟件、硬件產品。本規定所稱信息安全服務，是指人民銀行向社會購買的專業化安全服務。

第八十條 總行科技司負責信息安全服務提供商的資質審查和信息安全專用產品的選型，由集中采購部門按照政府集中采購程序選購。

第八十一條 各單位購臵掃描、檢測類信息安全專用產品應報總行科技司批準、備案。

第二節 使用管理

第八十二條

各單位科技部門應建立信息安全專用產品登記使用制度，建立信息安全類固定資產使用登記簿并由專人負責管理。掃描、1第九十一條 各單位所有部門和個人應加強對移動存儲設備（Ｕ盤、軟盤、移動硬盤）的管理。

第九十二條 各單位應建立存儲介質銷毀制度，對載有敏感信息的存儲介質應采用焚燒或粉碎等方式進行處臵并做好記錄。

第三節

數據安全

第九十三條 本規定中所稱的數據是指以電子形式存儲的人民銀行業務數據、辦公信息、系統運行日志、故障維護日志以及其他內部資料。

第九十四條 各單位業務部門負責提出數據在輸入、處理、輸出等不同狀態下的安全需求，科技部門負責審核安全需求并提供一定的技術實現手段。

第九十五條 各單位業務部門應嚴格管理業務數據的增加、修改、刪除等變更操作，適時進行業務數據有效性檢查，按照既定備份策略執行數據備份任務，并定期測試備份數據的有效性和預演數據恢復流程。

第九十六條 各單位科技部門系統管理員負責定期導出網絡和重要計算機系統日志文件并明確標識存儲內容、時間、密級等信息。日志文件應至少保留一年，妥善保管。

第九十七條 各單位業務部門應明確規定備份數據的保存時限和密級，建立備份數據銷毀審批登記制度，并根據數據重要性級別分類采取相應的安全銷毀措施。

第九十八條 所有數據備份介質應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數據時需要提供相關口令密碼的，應把口令密碼密封后與數據備份介質一并妥善保管。

第四節

口令密碼

第九十九條

各單位系統管理員、數據庫管理員、網絡管理員、業務操作人員均須設臵口令密碼，至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求。

第一百條

敏感計算機系統和設備的口令密碼設臵應在安全的環境下進行，必要時應將口令密碼筆錄、密封交相關部門保管。未經科

3應建立存取控制機制、認證機制，列明所有用戶名單及其權限，嚴格監督第三方訪問活動。

第一百一十條 獲得第三方訪問授權的所有單位和個人應與人民銀行簽訂安全保密協議，不得進行未授權的修改、增加、刪除數據操作，不得復制和泄漏人民銀行任何信息。

第二節

外包服務管理

第一百一十一條 本規定所稱外包服務是指由人民銀行之外的其他社會廠商為人民銀行計算機系統、網絡或桌面環境提供全面或部分的技術支持、咨詢等服務。外包服務應簽訂正式的外包服務協議，明確約定雙方義務。

第一百一十二條 經本單位科技部門領導批準，外包服務提供商可提供上門維護服務并由人民銀行科技人員在場準確記錄所有技術配臵變更信息。外包服務提供商不得查看、復制涉密信息或將涉密介質帶離人民銀行。

第一百一十三條 計算機設備確需送外單位維修時，各單位科技部門應徹底清除所存工作信息，必要時應與設備維修廠商簽訂保密協議。與密碼設備配套使用的計算機設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件，并徹底清除與密碼有關的軟件和信息。

第十一章 信息通報、災難備份與應急管理

第一節 信息通報

第一百一十四條

各單位應按照人民銀行信息安全事件報告制度進行信息通報，一般信息安全事件應逐級通報，發生因人為、自然原因造成信息系統癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應直接報總行科技司。

第一百一十五條 重大信息安全事件發生后，各單位相關人員應注意保護事件現場，采取必要的控制措施，調查事件原因，并及時報告本單位主管領導。

第一百一十六條 各單位應在重大信息安全事件發生后的兩小時

（一）（二）

（三）（四）

（五）（六）

（七）總則（目標、原則、適用范圍、預案調用關系等）。應急組織機構。

預警響應機制（報告、評估、預案啟動等）。各類危機處臵流程。應急資源保障。事后處理流程。

預案管理與維護（生效、演練、維護等）。

第一百二十五條 各單位定期組織應急預案的演練，并指定專人管理和維護應急預案，根據人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應急預案的有效性和災難發生時的可獲取性。

第一百二十六條 各單位計算機安全工作領導小組統一負責各業務系統的應急協調與指揮，決策重大事宜（決定應急預案的啟動、災難宣告、預警相關單位等）和調動應急資源。

第一百二十七條 總行辦公廳負責統一向社會發布應急事件公告，其他任何單位或個人不得向社會發布應急事件公告。

第十二章 安全監測、檢查、評估與審計

第一節 安全監測

第一百二十八條 各單位科技部門應整合和利用現有網絡管理系統、計算機資源監控系統、專用安全監控系統以及相關設備與系統的運行日志等監控資源，加強對網絡、重要計算機系統和機房環境等設施的安全運行監測。

第一百二十九條 各單位科技部門應建立運行監測周報、月報或季報制度，報送本單位計算機安全工作領導小組和上一級科技部門，抄送相關業務部門。

第一百三十條 各單位要及時預警、響應和處臵運行監測中發現的問題，發現重大隱患和運行事故應及時協調解決，并報上一級單位相關部門。

第二節 安全檢查

7管理和信息安全事件全過程的技術審計，發現問題及時報本單位或上一級單位主管領導。

第一百四十條 各單位應做好操作系統、數據庫管理系統等審計功能配臵管理，應完整保留相關日志記錄，一般保留至少一個月，涉及資金交易的業務系統日志應根據需要確定保留時間。

第十三章

獎勵與處罰

第一百四十一條 各單位每年應組織一次本單位和轄內信息安全管理工作評比活動，對達標單位的相關人員應給予一定的獎勵，對表現突出的單位和個人進行通報表彰并給予一定形式的獎勵。

第一百四十二條 對于違反本規定，造成重大信息安全事件的單位及個人，要給予通報批評；情節嚴重的，依據相關法律法規，追究其主管領導、相關部門負責人及直接責任人的責任；構成犯罪的，依法追究刑事責任。

第十四章

附 則

第一百四十三條 人民銀行之前發布的其他信息安全管理制度有關規定條款如與本規定不一致的，按本規定執行。

第一百四十四條 本規定由總行負責解釋。第一百四十五條 本規定自發布之日起執行。

第五篇：信息安全與保密管理規定

DEJIN

公司管理制度

信息安全與保密管理規定

總則

一、目的

為了保證我局各中心、各股、各部門人員充分合理利用網絡資源，提高網絡帶寬利用率，方便網絡流量控制和帶寬管理；為了保證財政系統內部網絡安全，保護內部數據，防止機密信息泄露，消除企業潛在濫用互聯網的法律風險；為了保證員工使用先進的系統工具提高工作效率, 規范員工的網絡行為；結合各中心、各部門、各崗位工作實際需要，特制定本制度。

二、信息安全管理規定

（1）信息中心負責硬件及軟件的統一管理和安全運行，服務器上數據資料、信息資料的保密。

（2）各股室負責本部門硬件和軟件的安全運行，數據信息、資料的保密。（3）計算機操作人員負責本人使用的計算機的開機口令、網絡口令及用戶口令的保密。

（4）新購置的軟件(除設備帶的軟件)必須由信息中心登記，并將副本移交綜合檔案室。

（5）計算機操作人員負責對本機硬盤中的重要數據、資料、文件等及時做好備份工作。

（6）不得超越自己的權限范圍，修改他人或服務器內的公用數據。（7）所有直接或間接接入財政內網的信息終端的電腦，一律納入我局管理 DEJIN

公司管理制度 的范疇。

（8）所有納入我局管理范疇的信息終端統一由信息中心管理。（9）由信息中心負責制定信息安全管理策略，并負責實施。

（10）任何員工不得危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權益，不得從事違法犯罪活動。

（11）需要接入財政內網的電腦必須安裝有效的殺毒軟件，我局所有的電腦由信息中心指定殺毒軟件并強制安裝，統一升級。信息中心有權針對特定病毒采取的必要措施，以達到有效預防、消除病毒影響的目的。

（12）我局所有的電腦上不得擅自安裝或運行修改操作系統運行參數的軟件。不得從事擾亂公司網絡正常運行的活動。

（13）所有員工必須保管好自己的網絡帳號信息，只準本人使用，不得借與他人使用，不得以任何理由將自己的網絡帳號泄露給財政系統以外的人員。

（14）至少每月修改一次密碼。密碼被他人獲悉后，必須及時更改密碼。

（15）各部門存取必須建立訪問控制與審核機制，嚴格控制重要資料的存取。

（16）信息中心負責對所有電腦的操作系統做升級、補漏洞的工作，降低系統的運行風險。

（17）信息中心負責設置安全可靠的防火墻，安裝防病毒軟件，定期進行安全風險分析與系統漏洞測試，適時對軟硬件進行升級，確保系統安全、可靠、穩定地運行。

（l8）由信息中心嚴格控制所有信息終端訪問Internet網的行為，并建立 2 DEJIN

公司管理制度

審核機制。

（19）所有信息終端所在場所必須有必要的防盜、消防設施，并嚴格控制相關人員進出。

三、信息保密管理規定

（1）涉密信息定義范圍包括《保密管理規定》所定義的范圍但不僅限于該范圍，還包括我局信息網絡的架構、設備資料等相關信息。

（2）涉密信息的密級參照《保密管理規定》。嚴格執行訪問控制與審核機制。涉及財政系統機密和技術機密的資料必須實行，涉密資料原則上不允許上網。

（3）涉密場所必須嚴格控制人員的進出。

（4）所有涉密介質（軟盤、光盤、硬盤等）必須實行使用登記。使用完后必須作脫密處理。

（5）對外公布有關財政信息必須經過有關部門審核、批準后方可執行。

四、執行力度保障

（1）實行“領導責任制”。各部門主管負責本部門的安全工作。

（2）信息中心定期抽查各部門安全工作，并隨時進行突擊檢查。