第一篇：4.1.6 網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號(hào): A/0 編制人： XXX 審核人： XXX 批準(zhǔn)人： XXX

20XX年X月X日發(fā)布 20XX年X月X日實(shí)施

1.0目的

計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計(jì)算機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運(yùn)營(yíng)提供服務(wù)，依據(jù)國(guó)家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實(shí)際情況制定本規(guī)定。2.0術(shù)語(yǔ)

本規(guī)范中的名詞術(shù)語(yǔ)（比如“計(jì)算機(jī)信息安全”等）符合國(guó)家以及行業(yè)的相關(guān)規(guī)定。2.1計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、病毒防護(hù)、訪問(wèn)權(quán)限控制、加密與鑒別等七個(gè)方面。

2.2狹義上的計(jì)算機(jī)信息安全，是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散，防止計(jì)算機(jī)網(wǎng)絡(luò)上處理、傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。

2.3網(wǎng)絡(luò)安全，是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對(duì)網(wǎng)絡(luò)資源的正常訪問(wèn)和對(duì)網(wǎng)絡(luò)服務(wù)的正常使用。

2.4計(jì)算機(jī)及網(wǎng)絡(luò)安全員，是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。2.5普通用戶，是指除了計(jì)算機(jī)及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問(wèn)到互聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

2.6主機(jī)系統(tǒng)，指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運(yùn)營(yíng)管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。

2.7網(wǎng)絡(luò)服務(wù)，包含通過(guò)開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

2.8有害信息，參見國(guó)家現(xiàn)在法律法規(guī)的定義。

2.9重大計(jì)算機(jī)信息安全事件，是指公司對(duì)外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過(guò)Email及其他途徑大面積傳播或已造成較大社會(huì)影響；計(jì)算機(jī)病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊?。挥砂踩珕?wèn)題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁(yè)面被非法替換或者修改；主機(jī)房及設(shè)備被人為破壞；重要計(jì)算機(jī)設(shè)備被盜竊等事件。3.0組織架構(gòu)及職責(zé)分工

3.1公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī)

構(gòu)，統(tǒng)一歸口負(fù)責(zé)外部部門（政府和其他部門）有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。

3.3計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo)，落實(shí)國(guó)家有關(guān)計(jì)算機(jī)信息安全的法律、法規(guī)和上級(jí)有關(guān)規(guī)定，保障公司的計(jì)算機(jī)信息的安全。

3.4計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰(shuí)主管，誰(shuí)負(fù)責(zé)”的原則，各部門負(fù)責(zé)人對(duì)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。

3.5各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員，并報(bào)公司計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。3.6相關(guān)崗位信息安全職責(zé)： 3.6.1計(jì)算機(jī)及網(wǎng)絡(luò)安全員：

1）負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施，及時(shí)掌握和處理有關(guān)信息安全問(wèn)題。

2）定期或不定期檢測(cè)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時(shí)報(bào)告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計(jì)算機(jī)信息安全問(wèn)題，及時(shí)處理，保護(hù)現(xiàn)場(chǎng)，追查原因，并報(bào)部門計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組。

5）定期分析計(jì)算機(jī)安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對(duì)象的安全控制方法和措施的有效性，對(duì)于不符合安全控制要求的提出技術(shù)整改措施，對(duì)本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。

7）負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。8）負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進(jìn)程，在發(fā)現(xiàn)異常的系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。

10）負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。

11）進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補(bǔ)。

12）在正常的系統(tǒng)升級(jí)后，對(duì)系統(tǒng)重新進(jìn)行安全設(shè)置，并對(duì)系統(tǒng)進(jìn)行技術(shù)安全檢查。

13）根據(jù)上級(jí)和本級(jí)計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進(jìn)行系統(tǒng)升級(jí)或安全補(bǔ)丁程序的安裝。

14）管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。3.6.2普通用戶職責(zé)：

1）自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。2）負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。

3）發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件，及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。4）不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

3.7各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對(duì)穩(wěn)定，并加強(qiáng)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、離職或者其他原因離開原崗位時(shí)，應(yīng)將其涉及的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。4.0 系統(tǒng)安全規(guī)定

4.1公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理，并建立出入登記和審批制度。攜帶計(jì)算機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、出主機(jī)房，應(yīng)經(jīng)主管部門同意，并由機(jī)房管理人員進(jìn)行核查登記。

4.2各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理，做好計(jì)算機(jī)設(shè)備的增添、維修、調(diào)撥等的審核與管理。計(jì)算機(jī)設(shè)備維修特別是需離場(chǎng)維修或承包給企業(yè)外部人員維護(hù)、維修時(shí)，應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號(hào)、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。4.3使用、操作計(jì)算機(jī)設(shè)備時(shí)，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。

2）不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件，對(duì)于外來(lái)的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測(cè)，確認(rèn)無(wú)感染、攜帶病毒后方可使用。

3）不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無(wú)關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。5）在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上，應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。

6）在個(gè)人計(jì)算機(jī)上安裝防病毒軟件，并開啟實(shí)時(shí)病毒監(jiān)測(cè)功能，及時(shí)升級(jí)病毒庫(kù)和軟件。

7）非經(jīng)計(jì)算機(jī)管理部門的有效許可，不得對(duì)網(wǎng)絡(luò)進(jìn)行安全（漏洞）掃描和對(duì)賬號(hào)、口令及數(shù)據(jù)包進(jìn)行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。5.0 賬號(hào)管理安全

5.1賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶，不允許多人共同擁有同一賬號(hào)。必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配，不能根據(jù)個(gè)人需要、職位進(jìn)行分配，禁止與所管理主機(jī)系統(tǒng)無(wú)關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào)，要根據(jù)工作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。

最小授權(quán)原則是指對(duì)賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

5.2系統(tǒng)中所有的用戶（包括超級(jí)權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。5.3嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。

5.4員工發(fā)生工作變動(dòng)，必須重新審核其賬號(hào)的必要性和權(quán)限，及時(shí)取消非必要的賬號(hào)和調(diào)整賬號(hào)權(quán)限；如員工離開本部門，須立即取消其賬號(hào)。

5.5在本部門每個(gè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗(yàn)收后，應(yīng)立即刪除系統(tǒng)中所有的測(cè)試賬號(hào)和臨時(shí)賬號(hào)，對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。

5.6系統(tǒng)管理員必須定期對(duì)系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核，發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí)核實(shí)并作相應(yīng)的處理，對(duì)長(zhǎng)期不用的用戶賬號(hào)進(jìn)行鎖定。

5.7 一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。在特殊情況下（如系統(tǒng)維修、升級(jí)等）外部人員需要進(jìn)入系統(tǒng)操作，必須由系統(tǒng)管理員進(jìn)行登錄，并對(duì)操作過(guò)程進(jìn)行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。6.0 口令安全管理

6.1口令的選取、組成、長(zhǎng)度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符串作為口令，也不要使用單個(gè)單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合，口令長(zhǎng)度要求在8位以上。6.2重要的主機(jī)系統(tǒng)，要求至少每個(gè)月修改口令，對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī)，要求至少每?jī)蓚€(gè)月修改口令。

6.3重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。6.4本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。6.5軟件安全管理：

6.1不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件。6.2不得在重要的主機(jī)系統(tǒng)上安裝測(cè)試版的軟件。

6.3開發(fā)、修改應(yīng)用系統(tǒng)時(shí)，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問(wèn)控制等方面進(jìn)行論證，測(cè)試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測(cè)試、驗(yàn)收。

6.4操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、升級(jí)和打安全補(bǔ)丁。

6.5個(gè)人計(jì)算機(jī)上不得安裝與工作無(wú)關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無(wú)關(guān)的其它軟件。

6.6系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對(duì)可能的攻擊嘗試、非授權(quán)訪問(wèn)提出警告。6.7主機(jī)系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進(jìn)行登記。登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容，并進(jìn)行存檔保存。6.8重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級(jí)時(shí)應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí)利用系統(tǒng)鏡像對(duì)系統(tǒng)進(jìn)行完整性檢查。

7.0服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)（如防火墻、入侵檢測(cè)系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù)，對(duì)網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。8.0新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。9.0 互聯(lián)網(wǎng)信息安全

9.1公司對(duì)外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

9.2各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過(guò)濾垃圾電子郵件及有害信息。10.0數(shù)據(jù)安全

10.1需要保護(hù)的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。2）財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫(kù)。3）重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。4）其他重要數(shù)據(jù)。

10.2各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃，及時(shí)做好數(shù)

據(jù)備份及恢復(fù)。

10.3對(duì)數(shù)據(jù)備份必須有明確的記錄，在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間，備份操作人員等信息。對(duì)于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

10.4各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證，對(duì)數(shù)據(jù)恢復(fù)過(guò)程進(jìn)行試驗(yàn)，確保在發(fā)生安全問(wèn)題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。

10.5各部門計(jì)算機(jī)管理部門應(yīng)對(duì)所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案，登記的內(nèi)容主要包括：需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全管理和日常備份的人員、可以訪問(wèn)數(shù)據(jù)的用戶、訪問(wèn)的方式以及權(quán)限。

10.6涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。10.7禁止在沒(méi)有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù)，在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫(kù)口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī)上存放重要數(shù)據(jù)。

10.8不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲(chǔ)，并將存儲(chǔ)的軟盤或筆記本電腦比照密級(jí)文件管理。11.0安全管理

11.1各部門必須對(duì)本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測(cè)：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測(cè)一次； 2）計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次； 3）數(shù)據(jù)備份應(yīng)每月檢查一次。

11.2檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

11.3發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴(kuò)散影響。觸犯刑律的，應(yīng)保存證據(jù)，報(bào)告公安機(jī)關(guān)，并配合查處。

11.4發(fā)生重大計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件須在24小時(shí)內(nèi)上報(bào)。

11.5各部門應(yīng)對(duì)用戶及本部門員工進(jìn)行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國(guó)家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識(shí)，加強(qiáng)用戶的法律意識(shí)和安全意識(shí)，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

12.0 顧客網(wǎng)絡(luò)信息安全

12.1 維護(hù)人員不得將顧客系統(tǒng)的密碼泄露給他人。

12.2 維護(hù)人員因工作原因進(jìn)入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。12.3 進(jìn)入顧客系統(tǒng)應(yīng)使用專用計(jì)算機(jī)，該計(jì)算機(jī)應(yīng)每周進(jìn)行殺毒，以防將病毒傳入顧客

系統(tǒng)。

12.4 維護(hù)人員的客戶端應(yīng)及時(shí)升級(jí)或更新，確保其與顧客系統(tǒng)的版本保持一致。

第二篇：網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號(hào):

A/0

編制人：

XXX

審核人：

XXX

批準(zhǔn)人：

XXX

20XX年X月X日發(fā)布

20XX年X月X日實(shí)施

目的計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計(jì)算機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運(yùn)營(yíng)提供服務(wù)，依據(jù)國(guó)家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實(shí)際情況制定本規(guī)定。

術(shù)語(yǔ)

本規(guī)范中的名詞術(shù)語(yǔ)（比如“計(jì)算機(jī)信息安全”等）符合國(guó)家以及行業(yè)的相關(guān)規(guī)定。

計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、病毒防護(hù)、訪問(wèn)權(quán)限控制、加密與鑒別等七個(gè)方面。

狹義上的計(jì)算機(jī)信息安全，是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散，防止計(jì)算機(jī)網(wǎng)絡(luò)上處理、傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。

網(wǎng)絡(luò)安全，是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對(duì)網(wǎng)絡(luò)資源的正常訪問(wèn)和對(duì)網(wǎng)絡(luò)服務(wù)的正常使用。

計(jì)算機(jī)及網(wǎng)絡(luò)安全員，是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。

普通用戶，是指除了計(jì)算機(jī)及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問(wèn)到互聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

主機(jī)系統(tǒng)，指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運(yùn)營(yíng)管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。

網(wǎng)絡(luò)服務(wù)，包含通過(guò)開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

有害信息，參見國(guó)家現(xiàn)在法律法規(guī)的定義。

重大計(jì)算機(jī)信息安全事件，是指公司對(duì)外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過(guò)Email及其他途徑大面積傳播或已造成較大社會(huì)影響；計(jì)算機(jī)病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊??；由安全問(wèn)題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁(yè)面被非法替換或者修改；主機(jī)房及設(shè)備被人為破壞；重要計(jì)算機(jī)設(shè)備被盜竊等事件。

組織架構(gòu)及職責(zé)分工

公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)，統(tǒng)一歸口負(fù)責(zé)外部部門（政府和其他部門）有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。

計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo)，落實(shí)國(guó)家有關(guān)計(jì)算機(jī)信息安全的法律、法規(guī)和上級(jí)有關(guān)規(guī)定，保障公司的計(jì)算機(jī)信息的安全。

計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰(shuí)主管，誰(shuí)負(fù)責(zé)”的原則，各部門負(fù)責(zé)人對(duì)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。

各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員，并報(bào)公司計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。

相關(guān)崗位信息安全職責(zé)：

1）負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施，及時(shí)掌握和處理有關(guān)信息安全問(wèn)題。

2）定期或不定期檢測(cè)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時(shí)報(bào)告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計(jì)算機(jī)信息安全問(wèn)題，及時(shí)處理，保護(hù)現(xiàn)場(chǎng)，追查原因，并報(bào)部門計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組。

5）定期分析計(jì)算機(jī)安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對(duì)象的安全控制方法和措施的有效性，對(duì)于不符合安全控制要求的提出技術(shù)整改措施，對(duì)本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。

7）負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。

8）負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進(jìn)程，在發(fā)現(xiàn)異常的系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。

10）負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。

11）進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補(bǔ)。

12）在正常的系統(tǒng)升級(jí)后，對(duì)系統(tǒng)重新進(jìn)行安全設(shè)置，并對(duì)系統(tǒng)進(jìn)行技術(shù)安全檢查。

13）根據(jù)上級(jí)和本級(jí)計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進(jìn)行系統(tǒng)升級(jí)或安全補(bǔ)丁程序的安裝。

14）管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。

15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。

1）自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。

2）負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。

3）發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件，及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。

4）不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對(duì)穩(wěn)定，并加強(qiáng)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、離職或者其他原因離開原崗位時(shí)，應(yīng)將其涉及的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。

系統(tǒng)安全規(guī)定

公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理，并建立出入登記和審批制度。攜帶計(jì)算機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、出主機(jī)房，應(yīng)經(jīng)主管部門同意，并由機(jī)房管理人員進(jìn)行核查登記。

各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理，做好計(jì)算機(jī)設(shè)備的增添、維修、調(diào)撥等的審核與管理。計(jì)算機(jī)設(shè)備維修特別是需離場(chǎng)維修或承包給企業(yè)外部人員維護(hù)、維修時(shí)，應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號(hào)、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。

使用、操作計(jì)算機(jī)設(shè)備時(shí)，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。

2）不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件，對(duì)于外來(lái)的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測(cè)，確認(rèn)無(wú)感染、攜帶病毒后方可使用。

3）不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無(wú)關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。

5）在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上，應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。

6）在個(gè)人計(jì)算機(jī)上安裝防病毒軟件，并開啟實(shí)時(shí)病毒監(jiān)測(cè)功能，及時(shí)升級(jí)病毒庫(kù)和軟件。

7）非經(jīng)計(jì)算機(jī)管理部門的有效許可，不得對(duì)網(wǎng)絡(luò)進(jìn)行安全（漏洞）掃描和對(duì)賬號(hào)、口令及數(shù)據(jù)包進(jìn)行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。

賬號(hào)管理安全

賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶，不允許多人共同擁有同一賬號(hào)。

必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配，不能根據(jù)個(gè)人需要、職位進(jìn)行分配，禁止與所管理主機(jī)系統(tǒng)無(wú)關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào)，要根據(jù)工作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。

最小授權(quán)原則是指對(duì)賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

系統(tǒng)中所有的用戶（包括超級(jí)權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。

嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。

員工發(fā)生工作變動(dòng)，必須重新審核其賬號(hào)的必要性和權(quán)限，及時(shí)取消非必要的賬號(hào)和調(diào)整賬號(hào)權(quán)限；如員工離開本部門，須立即取消其賬號(hào)。

在本部門每個(gè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗(yàn)收后，應(yīng)立即刪除系統(tǒng)中所有的測(cè)試賬號(hào)和臨時(shí)賬號(hào)，對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。

系統(tǒng)管理員必須定期對(duì)系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核，發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí)核實(shí)并作相應(yīng)的處理，對(duì)長(zhǎng)期不用的用戶賬號(hào)進(jìn)行鎖定。

一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。在特殊情況下（如系統(tǒng)維修、升級(jí)等）外部人員需要進(jìn)入系統(tǒng)操作，必須由系統(tǒng)管理員進(jìn)行登錄，并對(duì)操作過(guò)程進(jìn)行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。

口令安全管理

口令的選取、組成、長(zhǎng)度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符串作為口令，也不要使用單個(gè)單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合，口令長(zhǎng)度要求在8位以上。

重要的主機(jī)系統(tǒng)，要求至少每個(gè)月修改口令，對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī)，要求至少每?jī)蓚€(gè)月修改口令。

重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。

本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。

軟件安全管理：

不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件。

不得在重要的主機(jī)系統(tǒng)上安裝測(cè)試版的軟件。

開發(fā)、修改應(yīng)用系統(tǒng)時(shí)，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問(wèn)控制等方面進(jìn)行論證，測(cè)試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測(cè)試、驗(yàn)收。

操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、升級(jí)和打安全補(bǔ)丁。

個(gè)人計(jì)算機(jī)上不得安裝與工作無(wú)關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無(wú)關(guān)的其它軟件。

系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對(duì)可能的攻擊嘗試、非授權(quán)訪問(wèn)提出警告。

主機(jī)系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進(jìn)行登記。登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容，并進(jìn)行存檔保存。

重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級(jí)時(shí)應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí)利用系統(tǒng)鏡像對(duì)系統(tǒng)進(jìn)行完整性檢查。

服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)（如防火墻、入侵檢測(cè)系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù)，對(duì)網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。

新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。

互聯(lián)網(wǎng)信息安全

公司對(duì)外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過(guò)濾垃圾電子郵件及有害信息。

數(shù)據(jù)安全

需要保護(hù)的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。

2）財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫(kù)。

3）重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。

4）其他重要數(shù)據(jù)。

各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃，及時(shí)做好數(shù)據(jù)備份及恢復(fù)。

對(duì)數(shù)據(jù)備份必須有明確的記錄，在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間，備份操作人員等信息。對(duì)于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證，對(duì)數(shù)據(jù)恢復(fù)過(guò)程進(jìn)行試驗(yàn)，確保在發(fā)生安全問(wèn)題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。

各部門計(jì)算機(jī)管理部門應(yīng)對(duì)所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案，登記的內(nèi)容主要包括：需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全管理和日常備份的人員、可以訪問(wèn)數(shù)據(jù)的用戶、訪問(wèn)的方式以及權(quán)限。

涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。

禁止在沒(méi)有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù)，在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫(kù)口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī)上存放重要數(shù)據(jù)。

不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲(chǔ)，并將存儲(chǔ)的軟盤或筆記本電腦比照密級(jí)文件管理。

安全管理

各部門必須對(duì)本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測(cè)：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測(cè)一次；

2）計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次；

3）數(shù)據(jù)備份應(yīng)每月檢查一次。

檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴(kuò)散影響。觸犯刑律的，應(yīng)保存證據(jù)，報(bào)告公安機(jī)關(guān)，并配合查處。

發(fā)生重大計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件須在24小時(shí)內(nèi)上報(bào)。

各部門應(yīng)對(duì)用戶及本部門員工進(jìn)行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國(guó)家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識(shí)，加強(qiáng)用戶的法律意識(shí)和安全意識(shí)，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

顧客網(wǎng)絡(luò)信息安全

維護(hù)人員不得將顧客系統(tǒng)的密碼泄露給他人。

維護(hù)人員因工作原因進(jìn)入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。

進(jìn)入顧客系統(tǒng)應(yīng)使用專用計(jì)算機(jī)，該計(jì)算機(jī)應(yīng)每周進(jìn)行殺毒，以防將病毒傳入顧客系統(tǒng)。

維護(hù)人員的客戶端應(yīng)及時(shí)升級(jí)或更新，確保其與顧客系統(tǒng)的版本保持一致。

文檔內(nèi)容僅供參考

第三篇：信息安全管理規(guī)范和保密制度

xxx集團(tuán)互聯(lián)網(wǎng)事業(yè)部信息安全

管理規(guī)范和保密制度

第一章、總則

第1條為了明確崗位職責(zé)，規(guī)范操作流程，確保公司信息資產(chǎn)的安全，特制訂本制度。

第2條本制度適用于公司所有員工。

第二章、電子郵件管理制度

第1條 行政人力部必須在員工入職三天內(nèi)，向員工分配企業(yè)郵箱的個(gè)人用戶名和密碼。并告知使用方法。

第2條 公司郵箱賬戶限本人使用，禁止將本人賬戶轉(zhuǎn)借或借用他人賬戶。員工必須及時(shí)修改初始密碼，并且在使用中定期（最多3個(gè)月）修改郵箱的密碼，以防他人利用。密碼至少為8位，且需是字母、數(shù)字、特殊符號(hào)等至少兩個(gè)的組合。因郵箱密碼泄露造成的損失，由用戶自行承擔(dān)責(zé)任。

第3條 員工的對(duì)外往來(lái)的公務(wù)郵件，原則上必須使用公司統(tǒng)一后綴的郵箱；對(duì)外往來(lái)的私人郵件則不允許使用公司統(tǒng)一后綴的郵箱。禁止非工作用途將郵箱賬戶公布在外部INTERNET網(wǎng)上。公務(wù)用郵件時(shí)，必須使用含有以下字樣的個(gè)人簽名：

聲明：您有義務(wù)對(duì)本郵件內(nèi)容進(jìn)行保密，未經(jīng)書面允許不可私自復(fù)制、轉(zhuǎn)發(fā)、散布。

第4條 收到危害社會(huì)安定的郵件，應(yīng)及時(shí)刪除，嚴(yán)禁轉(zhuǎn)發(fā)或點(diǎn)擊相應(yīng)鏈接，若因此造成不良影響或損失的，由用戶個(gè)人承擔(dān)責(zé)任，管理員發(fā)現(xiàn)類似現(xiàn)象的有權(quán)封鎖相關(guān)郵件賬戶。發(fā)現(xiàn)郵件感染病毒，立刻將計(jì)算機(jī)斷開公司網(wǎng)絡(luò)，并使用相應(yīng)軟件進(jìn)行殺毒。

第5條 發(fā)送帶有公司涉密信息的郵件，發(fā)件人必須先經(jīng)部門領(lǐng)導(dǎo)同意，（若是絕密級(jí)別，需經(jīng)公司領(lǐng)導(dǎo)同意），并將涉密信息加密處理后方可發(fā)送；否則視情節(jié)嚴(yán)重程度予以處理。

第6條 員工離職時(shí)，根據(jù)需要交由部門專人監(jiān)管一個(gè)月，后由行政人力部注銷。

第7條 違反以上電子郵件管理規(guī)定，視情節(jié)輕重，最低經(jīng)濟(jì)處罰50元（由人力資源部門商定），并交行政人力部處理；情節(jié)特別嚴(yán)重的將移交國(guó)家司法機(jī)關(guān)，追究法律責(zé)任。

第三章 數(shù)據(jù)安全管理制度

第1條 為保證存儲(chǔ)商業(yè)機(jī)密的計(jì)算機(jī)、文件、光盤等不會(huì)輕易泄露，公司對(duì)涉及技術(shù)及商業(yè)機(jī)密的文件、光盤等實(shí)行專人管理、借閱登記的制度；同時(shí)儲(chǔ)存涉及技術(shù)及商業(yè)機(jī)密的計(jì)算機(jī)均應(yīng)進(jìn)行CMOS加密及屏幕保護(hù)加密。此兩項(xiàng)密碼除使用者本人擁有外，應(yīng)向本部門經(jīng)理備份，不得泄密給其它部門或個(gè)人。離開原工作崗位的員工由所在部門負(fù)責(zé)人將其所有工作資料收回并保存。如有因密碼泄露而導(dǎo)致嚴(yán)重后果者，其行為等同于故意泄密，公司將按照人力資源獎(jiǎng)懲制度

予以嚴(yán)肅查處。

第2條 計(jì)算機(jī)終端用戶務(wù)必將重要數(shù)據(jù)存放在計(jì)算機(jī)硬盤中除系統(tǒng)盤以外的的硬盤分區(qū)。計(jì)算機(jī)系統(tǒng)發(fā)生故障時(shí)，應(yīng)及時(shí)與管理員聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施。

第3條 計(jì)算機(jī)終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)，對(duì)重要的數(shù)據(jù)應(yīng)保存雙份，存放在不同位置，并進(jìn)行定期檢查，防止數(shù)據(jù)丟失。

第4條 計(jì)算機(jī)、服務(wù)器或存儲(chǔ)設(shè)備，停止使用或使用前須進(jìn)行低級(jí)格式化。

第5條 IT管理人員嚴(yán)禁利用自己的賬號(hào)權(quán)限，查看其它員工的郵箱內(nèi)容，盜取或傳播郵件內(nèi)容。造成嚴(yán)重后果的，由公司根據(jù)國(guó)家法律追究相關(guān)責(zé)任。

第6條服務(wù)器運(yùn)維人員嚴(yán)禁利用職責(zé)便利，私自拷貝并傳播給公司外部人員或不相關(guān)人員。造成嚴(yán)重后果的，由公司根據(jù)國(guó)家法律追究相關(guān)責(zé)任。

第8條為了確保數(shù)據(jù)安全，防止數(shù)據(jù)丟失，要定期對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份。并進(jìn)行恢復(fù)測(cè)試。

第9條美羅全球精品購(gòu)B2C后臺(tái)管理賬號(hào)，根據(jù)申請(qǐng)人員崗位，分配指定的權(quán)限。拒絕分配多余賬號(hào)權(quán)限或直接分配管理員賬號(hào)。并且開通賬號(hào)必須走賬號(hào)開通申請(qǐng)流程。員工離職后，及時(shí)刪除或禁用賬戶。具體申請(qǐng)單見附件：

蘇州美羅全球精品購(gòu) B2C平臺(tái)權(quán)限申請(qǐng)表 部門 崗位 權(quán)限類別 □新增 □刪除 姓名 申請(qǐng)時(shí)間 賬戶類型 □長(zhǎng)久 □臨時(shí) 新增或刪除權(quán)限列表（由權(quán)限分配人填寫）： 部門經(jīng)理 簽字 權(quán)限分配操作人 簽字

第四章 網(wǎng)絡(luò)安全管理

第1條 未進(jìn)行安全配置、未裝防火墻或殺毒軟件的計(jì)算機(jī)終端，不得連接公司網(wǎng)絡(luò)和服務(wù)器。公司員工應(yīng)定期對(duì)所配備的計(jì)算機(jī)終端的操作系統(tǒng)、殺毒軟件進(jìn)行升級(jí)、更新，并定期進(jìn)行病毒查殺。

第2條 計(jì)算機(jī)終端用戶應(yīng)使用開機(jī)密碼，屏保密碼等。并定期更改。員工應(yīng)妥善保管所掌握的各類辦公賬號(hào)和密碼，嚴(yán)禁隨意向他人泄露、借用自己的賬號(hào)密碼。

第3條 IP地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源，公司員工應(yīng)在管理員的規(guī)劃下使用這些資源，不得擅自更改。對(duì)于影響網(wǎng)絡(luò)安全的系統(tǒng)服務(wù)，員工應(yīng)在管理員的知道下使用，禁止隨意開啟關(guān)閉計(jì)算機(jī)中的系統(tǒng)服務(wù)，保證計(jì)算機(jī)的網(wǎng)絡(luò)暢通運(yùn)行。

第4條 禁止未授權(quán)用戶接入公司網(wǎng)絡(luò)及訪問(wèn)網(wǎng)絡(luò)中的資源。第5條 經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)檢查無(wú)病毒后方可打開或運(yùn)行。

第五章 計(jì)算機(jī)安全管理

第1條 辦公電腦硬盤機(jī)文件夾不得一直處于“共享”狀態(tài)，如果需要共享時(shí)，必須設(shè)置密碼，或設(shè)定用戶權(quán)限，以限制用戶；用畢，立即取消共享狀態(tài)。不得下載和使用未經(jīng)測(cè)試和來(lái)歷不明的軟件、未經(jīng)病毒查殺不得使用U盤等介質(zhì)。

第2條 計(jì)算機(jī)必須設(shè)置開機(jī)密碼、屏保密碼等，自動(dòng)屏保開啟時(shí)

間要求為5分鐘；密碼長(zhǎng)度至少為8位，且為字母、數(shù)字等的組合，不可過(guò)于簡(jiǎn)單。

第3條 臺(tái)式機(jī)機(jī)箱需加鎖，防止設(shè)備丟失。計(jì)算機(jī)終端用戶不得挪用辦公電腦硬盤等，違反規(guī)定挪用者，視為故意違反安全規(guī)定，視情節(jié)嚴(yán)重程度，交由行政人力部處理。

第六章 公司保密制度

第4條 公司秘密分為三類：絕密、機(jī)密、秘密。

絕密：是指與公司生存、生產(chǎn)、科研、經(jīng)營(yíng)、人事有重大利益關(guān)系，一旦泄露會(huì)使公司的安全和利益遭受特別嚴(yán)重?fù)p害的事項(xiàng)，主要包括以下內(nèi)容：

1.公司股份構(gòu)成，投資情況，新產(chǎn)品、新技術(shù)開發(fā)資料，客戶資料，商業(yè)計(jì)劃等。

2.公司總體發(fā)展規(guī)劃、經(jīng)營(yíng)策略、營(yíng)銷策略、商務(wù)談判內(nèi)容，正式合同和協(xié)議文書。

3.按《信息科技文件保密管理規(guī)定》屬于絕密級(jí)別的各種檔案。4.公司高層管理人員及其他對(duì)公司經(jīng)營(yíng)管理產(chǎn)生重大影響的會(huì)議紀(jì)要。

機(jī)密：是指與本公司的生存、生產(chǎn)、科研、經(jīng)營(yíng)、人事有重要利益關(guān)系，一旦泄露會(huì)使公司安全和利益遭受嚴(yán)重?fù)p害的事項(xiàng)，主要包括以下內(nèi)容：

1.尚未確定的公司重要人事調(diào)整及安排情況，人力資源部對(duì)管理

人員的考評(píng)材料。

2.公司與客戶、外部高層人士、科研人員的來(lái)往情況及其載體。3.公司薪金制度，財(cái)務(wù)專用印鑒、賬號(hào)，保險(xiǎn)柜密碼，月度、季度、的財(cái)務(wù)預(yù)、決算報(bào)告及各類財(cái)務(wù)、統(tǒng)計(jì)報(bào)表，電腦開啟密碼，重要磁盤、磁帶的內(nèi)容及其存放位置。

4.按照《信息科技文件保密管理規(guī)定》屬于機(jī)密級(jí)別的各種檔案。5.獲得競(jìng)爭(zhēng)對(duì)手情況的方法、渠道及公司相應(yīng)對(duì)策。6.外事活動(dòng)中內(nèi)部掌握的原則及政策。7.公司高層管理人員的家庭住址。

8.公司總經(jīng)理召開的經(jīng)營(yíng)管理工作會(huì)議的會(huì)議紀(jì)要。

秘密：是指與本公司的生存、生產(chǎn)、科研、經(jīng)營(yíng)、人事有較大利益關(guān)系，一旦泄露會(huì)使公司的安全和利益遭受損害的事項(xiàng)，主要包括以下內(nèi)容：

1.市場(chǎng)調(diào)查預(yù)測(cè)情況，未來(lái)新產(chǎn)品的市場(chǎng)預(yù)測(cè)情況。2.公司內(nèi)部制度檢查，獎(jiǎng)懲措施及執(zhí)行情況。3.生產(chǎn)、技術(shù)、財(cái)務(wù)部門的安全保衛(wèi)情況。4.公司內(nèi)部各類通知及郵件等。

5.按《信息科技文件保密管理規(guī)定》屬于秘密級(jí)別的各種檔案。6.公司部門例會(huì)會(huì)議紀(jì)要。第5條 各密級(jí)知曉范圍 絕密級(jí)

公司高層管理人員及與絕密內(nèi)容有直接關(guān)系的工作人員。

機(jī)密級(jí)

經(jīng)理級(jí)別以上管理人員以及與機(jī)密內(nèi)容有直接關(guān)系的工作人員。秘密級(jí)

項(xiàng)目經(jīng)理級(jí)別以上管理人員以及與秘密內(nèi)容有直接關(guān)系的工作人員。

第6條 保密守則

1.公司員工必須有保密意識(shí)，做到不該問(wèn)的絕不問(wèn)，不該說(shuō)的絕不說(shuō)，不該看的絕不看。

2.員工認(rèn)知期間的工作成果歸公司所有，并按《企業(yè)員工保密合同》及本制度進(jìn)行管理。

3.任何人不得以任何形式在互聯(lián)網(wǎng)上直接暴露公司研發(fā)項(xiàng)目的名稱，團(tuán)隊(duì)交流盡可能采用拼音縮寫等形式。

4.未經(jīng)公司管理層同意，員工不得隨意將可能涉及公司技術(shù)及商業(yè)秘密的文件、數(shù)據(jù)等帶離公司（包括帶回家中或是其它地方）。經(jīng)管理層批準(zhǔn)，可將涉及公司的技術(shù)及商業(yè)秘密的文件、數(shù)據(jù)帶離公司的員工，必須采取必要的安全防范措施，保證相關(guān)資料不被泄露。如因失竊等因素而導(dǎo)致公司的商業(yè)和技術(shù)機(jī)密泄露，公司將對(duì)相關(guān)責(zé)任人按“玩忽職守”予以經(jīng)濟(jì)或行政處罰。

5.禁止任何非本公司員工在任何時(shí)間內(nèi)非經(jīng)允許使用本公司的計(jì)算機(jī)等辦公設(shè)備，在確有需要使用本公司計(jì)算機(jī)等辦公設(shè)備，須由本公司正式員工向本部門經(jīng)理及綜合部相關(guān)負(fù)責(zé)人提出申請(qǐng)，取得同意后方可在指定區(qū)域內(nèi)使用，負(fù)責(zé)申請(qǐng)之員工須保證使用人不能訪問(wèn)涉

及公司機(jī)密的任何內(nèi)容。

6.任何非本公司外來(lái)人員需要經(jīng)由領(lǐng)導(dǎo)同意，并登記備案后方可入內(nèi)，且不可出入機(jī)房要地。

7.所有員工不得隨意拷貝與自身業(yè)務(wù)無(wú)關(guān)的文件（文檔），復(fù)印或用其他方法取得公司商業(yè)秘密。如確有工作需要，須事先由本部門經(jīng)理向總經(jīng)理申請(qǐng)，獲得簽字同意后方可在相關(guān)部門經(jīng)理的指導(dǎo)下進(jìn)行。

8.嚴(yán)禁在公共場(chǎng)合、私人交往、公用電話、傳真上交談、傳遞保密事項(xiàng)。

9.員工發(fā)現(xiàn)公司秘密已經(jīng)泄漏或可能泄漏時(shí)，應(yīng)立即采取補(bǔ)救措施，并及時(shí)報(bào)告公司高層。

10.掌握公司秘密的人員在工作變動(dòng)時(shí)，應(yīng)及時(shí)辦理交接手續(xù)，并由主管領(lǐng)導(dǎo)簽字。

11.除本制度外，關(guān)鍵崗位人員還應(yīng)遵守《關(guān)鍵崗位信息安全規(guī)范及保密制度》。

第七章 其他

第1條 對(duì)于由于工作失誤或沒(méi)按照本制度執(zhí)行而導(dǎo)致公司商業(yè)秘密泄露者，公司將視情節(jié)輕重給以相應(yīng)的經(jīng)濟(jì)及行政處罰；對(duì)于有意泄露公司機(jī)密者，公司除將立即與其解除勞動(dòng)合同、并對(duì)其處以經(jīng)濟(jì)及行政處分外，還將視其行為后果的嚴(yán)重性，保留追究其刑事責(zé)任的權(quán)利。

第2條 本制度由公司各部門進(jìn)行實(shí)施，企業(yè)管理部進(jìn)行監(jiān)督，修訂權(quán)歸公司所有。由發(fā)布之日起生效。

第四篇：數(shù)據(jù)備份和恢復(fù)管理規(guī)范

數(shù)據(jù)備份和恢復(fù)管理規(guī)范

第一章 總 則

第一條 為規(guī)范、統(tǒng)一全集團(tuán)范圍內(nèi)重要系統(tǒng)的數(shù)據(jù)備份及管理工作，明確各系統(tǒng)數(shù)據(jù)備份及恢復(fù)的角色和職責(zé)，確保備份介質(zhì)的安全和按時(shí)、順利恢復(fù)系統(tǒng)和數(shù)據(jù)，并確保有關(guān)責(zé)任人員熟練掌握系統(tǒng)和數(shù)據(jù)的備份、歸檔和恢復(fù)流程，特制定本辦法。

第二條 備份和恢復(fù)管理的范圍包括：確定關(guān)鍵系統(tǒng)的備份和恢復(fù)方針及原則；系統(tǒng)、應(yīng)用等軟件及業(yè)務(wù)、配置等數(shù)據(jù)的備份和恢復(fù)；備份介質(zhì)的存放、歸檔管理；系統(tǒng)及數(shù)據(jù)恢復(fù)演練；備份和恢復(fù)流程的評(píng)估和維護(hù)；歸檔數(shù)據(jù)的查詢；備份和恢復(fù)所需存儲(chǔ)、磁帶庫(kù)等硬件工具/設(shè)備的監(jiān)控和管理。不包括：硬件、網(wǎng)絡(luò)的備份和恢復(fù)（屬于業(yè)務(wù)連續(xù)性管理）；業(yè)務(wù)系統(tǒng)的在線數(shù)據(jù)冗余（屬于業(yè)務(wù)可用性管理）。

第三條 關(guān)鍵系統(tǒng)定義： ERP、研發(fā)、SCM、CRM、財(cái)務(wù)、HR和其他多個(gè)單位通用的業(yè)務(wù)系統(tǒng)；MIP、郵件、公共網(wǎng)站等IT基礎(chǔ)應(yīng)用系統(tǒng)；單個(gè)單位使用的核心業(yè)務(wù)系統(tǒng)。

第四條 集團(tuán)數(shù)據(jù)備份和恢復(fù)工作由集團(tuán)備份管理員負(fù)責(zé)組織、協(xié)調(diào)，并按照既定計(jì)劃和策略督促相關(guān)人員執(zhí)行。

第二章 數(shù)據(jù)備份、歸檔和恢復(fù)原則

第五條 備份和恢復(fù)時(shí)間、性能應(yīng)符合各系統(tǒng)服務(wù)級(jí)別的規(guī)定，各系統(tǒng)服務(wù)級(jí)別由系統(tǒng)所在單位與系統(tǒng)主要使用部門商議。

第六條 應(yīng)考慮主機(jī)系統(tǒng)（操作系統(tǒng)、工具軟件、數(shù)據(jù)庫(kù)系統(tǒng)軟件、應(yīng)用等）變化的頻率，全備份的頻率應(yīng)與業(yè)務(wù)系統(tǒng)變化頻率成正比。

第七條 當(dāng)主機(jī)系統(tǒng)發(fā)生較大更改時(shí)，應(yīng)馬上對(duì)主機(jī)系統(tǒng)進(jìn)行一次全備份。第八條 應(yīng)考慮全備份的容量，全備份的頻率應(yīng)與其備份容量成反比。第九條 系統(tǒng)全備份方式適用于使用小型機(jī)設(shè)備的系統(tǒng)，使用PC服務(wù)器的系統(tǒng)建議采用克隆系統(tǒng)應(yīng)急盤方式。

第十條 對(duì)應(yīng)用軟件等程序文件：當(dāng)系統(tǒng)配置數(shù)據(jù)發(fā)生變動(dòng)時(shí)，應(yīng)馬上備份，備份介質(zhì)保留至下一次系統(tǒng)全備份。當(dāng)生產(chǎn)環(huán)境中的應(yīng)用軟件將發(fā)生變動(dòng)時(shí)，應(yīng)對(duì)變動(dòng)前的應(yīng)用軟件進(jìn)行備份。該種情況下的備份一般情況下由各系統(tǒng)管理員自行準(zhǔn)備資源完成。

第十一條 對(duì)Oracle等數(shù)據(jù)庫(kù)進(jìn)行在線備份的系統(tǒng)，原則上要求周日為0級(jí)備份（冷備份）。對(duì)有數(shù)據(jù)長(zhǎng)期保留需求的系統(tǒng)，只進(jìn)行系統(tǒng)的0級(jí)備份的歸檔，以確保數(shù)據(jù)有效性和可恢復(fù)性。

第十二條 歸檔數(shù)據(jù)一般包括程序文件、數(shù)據(jù)文件，一般不包括數(shù)據(jù)庫(kù)歸檔日志、邏輯備份數(shù)據(jù)（如在線備份）。

第十三條 歸檔數(shù)據(jù)完整性的基本原則：進(jìn)行數(shù)據(jù)恢復(fù)后，系統(tǒng)在簡(jiǎn)單配置后可直接使用。

第十四條 對(duì)業(yè)務(wù)數(shù)據(jù)備份：在網(wǎng)絡(luò)帶寬和存儲(chǔ)設(shè)備允許的前提下，可以采用集中備份和恢復(fù)管理的方式，否則采用分布備份和恢復(fù)管理方式。在數(shù)據(jù)庫(kù)故障時(shí)能夠快速恢復(fù)數(shù)據(jù)是選擇備份方式的一個(gè)重要因素。應(yīng)該采用多種備份方式（如采用塊方式和文本方式等），以保證除了使用備份系統(tǒng)進(jìn)行恢復(fù)外，還可以在本地備份機(jī)上直接恢復(fù)應(yīng)用，如特別關(guān)鍵應(yīng)用，建議考慮增加異地的恢復(fù)方式。除了用于恢復(fù)外，備份介質(zhì)還應(yīng)該方便存檔數(shù)據(jù)查詢、恢復(fù)演練、新系統(tǒng)測(cè)試、審計(jì)檢查等使用。重點(diǎn)保留月末、季末、年末、結(jié)息日、新系統(tǒng)切換等重點(diǎn)時(shí)間的數(shù)據(jù)。

第十五條 對(duì)Oracle數(shù)據(jù)庫(kù)備份：為了保護(hù)最近產(chǎn)生的數(shù)據(jù)，必須連續(xù)備份數(shù)據(jù)庫(kù)邏輯日志。在業(yè)務(wù)數(shù)據(jù)的兩次連續(xù)0級(jí)備份之間，應(yīng)該進(jìn)行業(yè)務(wù)數(shù)據(jù)邏輯日志的備份。

第十六條 應(yīng)該根據(jù)數(shù)據(jù)容量/備份持續(xù)時(shí)間來(lái)決定采用每日0級(jí)備份，或定期0級(jí)備份+每日增量備份方式（增量備份分為對(duì)上次0級(jí)備份的增量、對(duì)上次增量的增量?jī)煞N）。如果每日0級(jí)備份的備份和恢復(fù)時(shí)間符合要求，建議采用每日0級(jí)備份方式；否則采用每周0級(jí)備份+每日增量備份方式。備份介質(zhì)保留一個(gè)備份周期。

第十七條 區(qū)別維持關(guān)鍵業(yè)務(wù)運(yùn)行的數(shù)據(jù)（如，僅僅包含賬戶數(shù)據(jù)、客戶信息、交易數(shù)據(jù)，不含歷史數(shù)據(jù)），并每日單獨(dú)備份，剩余數(shù)據(jù)同樣單獨(dú)備份?？紤]到是快速恢復(fù)數(shù)據(jù)，故該類數(shù)據(jù)不宜過(guò)大。另外考慮到其使用目標(biāo)是僅僅是應(yīng)急，故其備份介質(zhì)都是短期保留。

第十八條 要使用腳本來(lái)進(jìn)行備份和恢復(fù)，盡量避免手工操作；盡量安排在非工作時(shí)間備份。

第十九條 在備份和恢復(fù)操作流程發(fā)生變動(dòng)時(shí)，應(yīng)該對(duì)操作人員進(jìn)行培訓(xùn)；進(jìn)行恢復(fù)演練的頻率與流程變化的頻率成正比；進(jìn)行實(shí)際恢復(fù)演練的頻率與恢復(fù)失敗的頻率（考核指標(biāo)之一）成正比。

第二十條 所有對(duì)生產(chǎn)系統(tǒng)和數(shù)據(jù)的恢復(fù)都要預(yù)先得到批準(zhǔn)；對(duì)存檔備份介質(zhì)的調(diào)閱需要登記，并且只能拷貝不能外借。

第二十一條 所有的備份介質(zhì)都要貼上清晰的標(biāo)簽，標(biāo)簽應(yīng)包含介質(zhì)編號(hào)（或序號(hào)）、備份內(nèi)容、備份日期時(shí)間、備份人員等內(nèi)容；數(shù)據(jù)備份在制作、傳遞、轉(zhuǎn)移過(guò)程中，必須填寫《數(shù)據(jù)備份登記表》或《數(shù)據(jù)轉(zhuǎn)移保存登記表》，詳細(xì)記錄備份數(shù)據(jù)制作、傳遞、轉(zhuǎn)移的全部過(guò)程與責(zé)任人；數(shù)據(jù)備份的存放處必須符合防火、防水、防磁的安全要求；保存期在一年以上的備份磁帶應(yīng)半年進(jìn)行重寫或重繞處理；長(zhǎng)期保存的磁帶應(yīng)記錄使用次數(shù)，保證介質(zhì)在規(guī)定的次數(shù)內(nèi)使用；歸檔數(shù)據(jù)備份介質(zhì)應(yīng)該實(shí)施異地存放，建議存放至銀行保險(xiǎn)箱或檔案室（必須和主機(jī)房不在同一建筑物內(nèi)，如分支機(jī)構(gòu)辦公場(chǎng)所）。

第三章 存儲(chǔ)、備份設(shè)備及相關(guān)設(shè)備管理

第二十二條 存儲(chǔ)設(shè)備：集團(tuán)中央數(shù)據(jù)存儲(chǔ)系統(tǒng)、集團(tuán)中央備份存儲(chǔ)系統(tǒng)；備份管理員負(fù)責(zé)：每天檢查存儲(chǔ)設(shè)備控制器產(chǎn)生的信息，每周至少一次現(xiàn)場(chǎng)檢查存儲(chǔ)設(shè)備及相關(guān)部件運(yùn)行狀況，并將檢查記錄包含在周報(bào)中；存儲(chǔ)設(shè)備Lun的調(diào)整和新Lun的分配，磁盤Raid策略調(diào)整等資源使用管理；

第二十三條 備份設(shè)備：STK SL500磁帶庫(kù)、LTO3數(shù)據(jù)磁帶、LTO3清洗帶；磁帶庫(kù)設(shè)備要求制定驅(qū)動(dòng)器自動(dòng)清洗策略，備份管理員負(fù)責(zé)：定期檢查策略執(zhí)行執(zhí)行是否正常，每周至少一次現(xiàn)場(chǎng)檢查磁帶庫(kù)及相關(guān)部件運(yùn)行狀況，并將檢查記錄包含在周報(bào)中；根據(jù)備份策略或用戶需求調(diào)整，及時(shí)調(diào)整磁帶庫(kù)設(shè)備的資源分配。

第二十四條 相關(guān)設(shè)備：光纖通道交換機(jī)及光纖通道接口等部件、主機(jī)HBA卡；備份管理員負(fù)責(zé)：每周至少一次現(xiàn)場(chǎng)檢查光纖通道交換機(jī)及相關(guān)部件運(yùn)行情況，并將檢查記錄包含在周報(bào)中；每月協(xié)助系統(tǒng)管理員對(duì)主機(jī)HBA卡運(yùn)行情況進(jìn)行檢查，包括雙通道、負(fù)載均衡功能是否正常以及操作系統(tǒng)是否出現(xiàn)類似光纖通道報(bào)警信息；交換機(jī)Zooning調(diào)整、劃分及相關(guān)資源調(diào)配。

第二十五條 備份管理員負(fù)責(zé)以上設(shè)備的日常維護(hù)和故障報(bào)修。維護(hù)和報(bào)修流程見本規(guī)范第二十九條第2款。

第四章 備份和恢復(fù)相關(guān)人員職責(zé)

第二十六條 集團(tuán)備份管理員由集團(tuán)IT管理部任命和管理；二級(jí)備份管理員由二級(jí)管理平臺(tái)IT部門任命和管理，在備份業(yè)務(wù)上配合集團(tuán)備份管理員。增加二級(jí)備份管理員的調(diào)整須提前知會(huì)集團(tuán)IT管理部。系統(tǒng)管理責(zé)任人由系統(tǒng)所在平臺(tái)的IT部門確定，業(yè)務(wù)管理責(zé)任人由系統(tǒng)所在平臺(tái)的關(guān)鍵業(yè)務(wù)部門確定。

第二十七條 集團(tuán)備份管理員職責(zé)：作為集團(tuán)數(shù)據(jù)備份和恢復(fù)工作的總體計(jì)劃制

定和工作協(xié)調(diào)者，負(fù)責(zé)備份系統(tǒng)管理和日常維護(hù)；負(fù)責(zé)備份數(shù)據(jù)在磁帶、光盤等可移動(dòng)存儲(chǔ)介質(zhì)上克隆、遷移和本地存放；參與備份系統(tǒng)建設(shè)、改造項(xiàng)目；協(xié)助二級(jí)備份管理員和各系統(tǒng)管理員進(jìn)行數(shù)據(jù)覆蓋和災(zāi)難恢復(fù)工作；定期組織二級(jí)備份管理員及相關(guān)人員進(jìn)行備份數(shù)據(jù)有效性驗(yàn)證；負(fù)責(zé)組織集團(tuán)本部相關(guān)系統(tǒng)管理員進(jìn)行備份數(shù)據(jù)的有效性驗(yàn)證工作；負(fù)責(zé)備份系統(tǒng)客戶端程序的異常處理，但不含客戶端程序的管理；有義務(wù)和責(zé)任對(duì)系統(tǒng)管理員制定的備份策略提出合理建議；根據(jù)各系統(tǒng)恢復(fù)演練要求，制定總體恢復(fù)演練工作計(jì)劃。

第二十八條 二級(jí)備份管理員職責(zé)：作為二級(jí)平臺(tái)及下屬單位數(shù)據(jù)備份和恢復(fù)工作詳細(xì)計(jì)劃的制定和協(xié)調(diào)者，協(xié)助備份管理員維護(hù)工作；組織相關(guān)系統(tǒng)管理員進(jìn)行備份系統(tǒng)客戶端的日常維護(hù)；協(xié)助備份管理員定期組織相關(guān)人員進(jìn)行備份數(shù)據(jù)的有效性驗(yàn)證；參與備份系統(tǒng)建設(shè)、改造項(xiàng)目；負(fù)責(zé)平臺(tái)管理范圍內(nèi)系統(tǒng)進(jìn)行數(shù)據(jù)覆蓋和協(xié)助集團(tuán)備份管理員完成災(zāi)難恢復(fù)工作；負(fù)責(zé)制定該平臺(tái)及下屬單位的系統(tǒng)恢復(fù)演練詳細(xì)計(jì)劃，并負(fù)責(zé)該平臺(tái)及下屬單位數(shù)據(jù)從備份系統(tǒng)的導(dǎo)出。

第二十九條 系統(tǒng)技術(shù)管理責(zé)任人職責(zé)：簡(jiǎn)稱系統(tǒng)管理員。是系統(tǒng)管理責(zé)任部門指定的系統(tǒng)日常維護(hù)人員，作為數(shù)據(jù)備份策略的制定者和恢復(fù)工作的實(shí)際執(zhí)行者，按照《備份系統(tǒng)維護(hù)指引》要求，負(fù)責(zé)對(duì)備份系統(tǒng)客戶端的維護(hù)；根據(jù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全需求，負(fù)責(zé)制定合理、有效的備份策略(系統(tǒng)管理員只能負(fù)責(zé)提出策略和有效性審核，策略的合理性應(yīng)由集團(tuán)備份管理員完成)；在集團(tuán)備份管理員或二級(jí)備份管理員的協(xié)助下，負(fù)責(zé)進(jìn)行責(zé)任系統(tǒng)的備份數(shù)據(jù)有效性驗(yàn)證；根據(jù)災(zāi)難演練計(jì)劃，建立系統(tǒng)詳細(xì)恢復(fù)操作文檔，并負(fù)責(zé)具體系統(tǒng)的搭建、恢復(fù)工作，同時(shí)負(fù)責(zé)組織相關(guān)人員對(duì)恢復(fù)系統(tǒng)的有效性進(jìn)行測(cè)試并提交相關(guān)報(bào)告。（各個(gè)應(yīng)用系統(tǒng)需要確定主要維護(hù)責(zé)任部門，由責(zé)任部門提出對(duì)系統(tǒng)的維護(hù)要求和指標(biāo)）

第三十條 系統(tǒng)業(yè)務(wù)管理責(zé)任人職責(zé)：作為數(shù)據(jù)備份和恢復(fù)工作的用戶方或負(fù)責(zé)業(yè)務(wù)維護(hù)的項(xiàng)目組，負(fù)責(zé)確認(rèn)系統(tǒng)數(shù)據(jù)備份和恢復(fù)的時(shí)間、性能等指標(biāo)。ERP、SCM、CRM等類系統(tǒng)業(yè)務(wù)責(zé)任部門為系統(tǒng)所在單位財(cái)務(wù)部門，研發(fā)類系統(tǒng)業(yè)務(wù)責(zé)任部門為系統(tǒng)所在單位研發(fā)部門，集團(tuán)HR系統(tǒng)業(yè)務(wù)責(zé)任部門為集團(tuán)人力資源部，MIP、郵件等基礎(chǔ)應(yīng)用系統(tǒng)業(yè)務(wù)責(zé)任部門為集團(tuán)IT部。其他系統(tǒng)由系統(tǒng)管理的責(zé)任單位IT部門確定系統(tǒng)業(yè)務(wù)責(zé)任部門。

第五章 運(yùn)維管理流程

第三十一條 數(shù)據(jù)備份異常的預(yù)警機(jī)制：對(duì)于連續(xù)兩次備份失敗的系統(tǒng)，集團(tuán)備份管理員應(yīng)以郵件、短信或電話方式知會(huì)二級(jí)備份管理員或相關(guān)系統(tǒng)管理員及該管理平臺(tái)IT部門負(fù)責(zé)人，系統(tǒng)管理員應(yīng)積極采取相關(guān)措施，二級(jí)備份管理員及集團(tuán)備份管理員應(yīng)配合，確保當(dāng)天晚上數(shù)據(jù)備份成功，連續(xù)三次備份失敗，集團(tuán)備份管理員應(yīng)將該信息抄送至系統(tǒng)責(zé)任單位財(cái)務(wù)負(fù)責(zé)人、集團(tuán)IT總監(jiān)。

第三十二條 系統(tǒng)日常維護(hù)流程：備份系統(tǒng)的服務(wù)器端操作，由備份管理員負(fù)責(zé)，客戶端操作由相關(guān)責(zé)任人負(fù)責(zé)，備份管理員協(xié)助完成。

1.備份情況通報(bào)流程：集團(tuán)備份管理員每天上午10點(diǎn)前將前一天晚上數(shù)據(jù)備份情況在MIP上公布（周六備份情況在周一通報(bào)），每周備份管理員將一周備份情況進(jìn)行總結(jié)并發(fā)布至MIP，內(nèi)容包括但不限于：本周備份數(shù)據(jù)量、備份有效性總結(jié)、故障處理情況；每月進(jìn)行一次系統(tǒng)運(yùn)行情況總結(jié)，上報(bào)至基礎(chǔ)管理中心高級(jí)經(jīng)理，內(nèi)容包括但不限于：本月備份有效性情況、故障處理匯總及分析、系統(tǒng)運(yùn)行趨勢(shì)分析及系統(tǒng)改進(jìn)合理化建議等。對(duì)于備份失敗的系統(tǒng)，以郵件、短信或電話方式通知二級(jí)備份管理員及其上級(jí)領(lǐng)導(dǎo)并給出初步診斷結(jié)果和建議操作；二級(jí)備份管理員應(yīng)立即聯(lián)系相關(guān)系統(tǒng)管理員，系統(tǒng)管理員應(yīng)在當(dāng)天配合備份管理員查找問(wèn)題。若數(shù)據(jù)連續(xù)兩天沒(méi)有備份成功，第三天需要系統(tǒng)管理員與備份管理員一起確定系統(tǒng)的備份方式，若為數(shù)據(jù)庫(kù)的在線備份失敗，應(yīng)采取冷備份，若因數(shù)據(jù)庫(kù)沒(méi)有正確啟停，需系統(tǒng)管理員在策略中約定的時(shí)間手工啟停數(shù)據(jù)庫(kù)，保證當(dāng)晚數(shù)據(jù)備份成功。如二級(jí)備份管理員及系統(tǒng)管理員對(duì)備份失敗問(wèn)題一天內(nèi)查不出原因，集團(tuán)備份管理員應(yīng)協(xié)調(diào)相關(guān)資源協(xié)助處理。

2.備份系統(tǒng)日程運(yùn)維管理流程：包括備份系統(tǒng)及相關(guān)設(shè)備日常檢查及故障處理。備份管理員每天對(duì)備份系統(tǒng)軟件日志進(jìn)行查看，如系統(tǒng)出現(xiàn)的報(bào)警或故障信息，當(dāng)天反饋至技術(shù)后臺(tái)支持經(jīng)理，如超過(guò)2天不能解決，應(yīng)上報(bào)至基礎(chǔ)運(yùn)維管理中心高級(jí)經(jīng)理，并聯(lián)系相關(guān)外部技術(shù)支持人員。如超過(guò)4天不能解決，應(yīng)上報(bào)至集團(tuán)IT總監(jiān)。3.備份和恢復(fù)策略初次申請(qǐng)流程：由系統(tǒng)管理員提出備份和恢復(fù)策略并填寫《備份和恢復(fù)需求》、《系統(tǒng)備份信息表》、《備份和恢復(fù)策略和原則》，系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)《備份和恢復(fù)需求》進(jìn)行確認(rèn)，二級(jí)平臺(tái)備份管理員審查，集團(tuán)備份管理員審核，并在備份系統(tǒng)中實(shí)施，備份管理員直屬領(lǐng)導(dǎo)及基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。

4.備份和恢復(fù)策略變更流程：由系統(tǒng)管理員提出變更后的備份和恢復(fù)策略并填寫《備份和恢復(fù)需求》、《系統(tǒng)備份信息表》、《備份和恢復(fù)策略和原則》，系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)《備份和恢復(fù)需求》進(jìn)行確認(rèn)，二級(jí)平臺(tái)備份管理員審查，集團(tuán)備份管理員審核，并在備份系統(tǒng)中實(shí)施，備份管理員直屬領(lǐng)導(dǎo)及基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。5.備份數(shù)據(jù)常規(guī)恢復(fù)流程：常規(guī)恢復(fù)指數(shù)據(jù)的測(cè)試環(huán)境覆蓋、恢復(fù)演練等要求下進(jìn)行數(shù)據(jù)恢復(fù)。不允許在凌晨進(jìn)行數(shù)據(jù)恢復(fù)，如需進(jìn)行數(shù)據(jù)，需要以郵件方式發(fā)送請(qǐng)求至集團(tuán)備份管理員，由備份管理員安排恢復(fù)時(shí)間和協(xié)助恢復(fù)。如系統(tǒng)管理員自行恢復(fù)，導(dǎo)致正常備份工作受到影響，將追究相關(guān)管理員責(zé)任。

6.系統(tǒng)和數(shù)據(jù)災(zāi)難恢復(fù)流程：系統(tǒng)管理員提交系統(tǒng)和數(shù)據(jù)恢復(fù)申請(qǐng)，系統(tǒng)管理員直屬領(lǐng)導(dǎo)進(jìn)行審核，系統(tǒng)業(yè)務(wù)責(zé)任部門審批，根據(jù)系統(tǒng)故障類型，二級(jí)備份管理員或集團(tuán)備份管理員準(zhǔn)備恢復(fù)的介質(zhì)，系統(tǒng)管理員進(jìn)行系統(tǒng)和數(shù)據(jù)恢復(fù)，系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)恢復(fù)數(shù)據(jù)正確性進(jìn)行驗(yàn)證，確認(rèn)恢復(fù)成功后，由系統(tǒng)管理部門對(duì)外發(fā)出《系統(tǒng)恢復(fù)通知》。

7.日常備份和歸檔管理流程：集團(tuán)備份管理員進(jìn)行日常備份和歸檔，提交《備份介質(zhì)存放登記表》，并在MIP上發(fā)布當(dāng)日備份信息，備份管理員直屬領(lǐng)導(dǎo)對(duì)歸檔進(jìn)行審核和數(shù)據(jù)抽查，基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。

8.備份介質(zhì)存放管理流程：集團(tuán)備份管理員對(duì)歸檔的備份介質(zhì)（目前為磁帶）進(jìn)行異地存放，并填寫《數(shù)據(jù)轉(zhuǎn)移保存登記表》，備份管理員直屬領(lǐng)導(dǎo)審查，基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。

第三十三條 系統(tǒng)和數(shù)據(jù)恢復(fù)演練流程：包括所有非災(zāi)難恢復(fù)性質(zhì)的數(shù)據(jù)恢復(fù)流程。集團(tuán)或二級(jí)平臺(tái)備份管理員提交《系統(tǒng)和數(shù)據(jù)恢復(fù)演練計(jì)劃》，同時(shí)準(zhǔn)備好演練的環(huán)境和介質(zhì)，系統(tǒng)管理員將系統(tǒng)和數(shù)據(jù)恢復(fù)至預(yù)定位置，并進(jìn)行系統(tǒng)和數(shù)據(jù)恢復(fù)結(jié)果進(jìn)行驗(yàn)證，并填寫《系統(tǒng)和數(shù)據(jù)恢復(fù)演練反饋表》。

第三十四條 存檔數(shù)據(jù)查詢流程：由存檔數(shù)據(jù)查詢?nèi)颂峤弧洞鏅n數(shù)據(jù)查詢申請(qǐng)表》，系統(tǒng)業(yè)務(wù)責(zé)任人審核，系統(tǒng)管理員準(zhǔn)備恢復(fù)所需硬件、軟件等資源，二級(jí)備份管理員或集團(tuán)備份管理員準(zhǔn)備恢復(fù)環(huán)境和備份介質(zhì)，系統(tǒng)管理員進(jìn)行數(shù)據(jù)恢復(fù)對(duì)恢復(fù)系統(tǒng)和數(shù)據(jù)進(jìn)行可用性確認(rèn)，系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)恢復(fù)系統(tǒng)和數(shù)據(jù)進(jìn)行正確性驗(yàn)證，并通知查詢?nèi)诉M(jìn)行數(shù)據(jù)查詢。

第六章 懲罰措施

第三十五條 如集團(tuán)備份管理員已通知相關(guān)系統(tǒng)管理員備份失敗信息，而系統(tǒng)管理員沒(méi)有及時(shí)處理，導(dǎo)致兩次以上的數(shù)據(jù)備份失敗情況發(fā)生，系統(tǒng)管理員應(yīng)承擔(dān)數(shù)據(jù)安全管理不善責(zé)任，并在MIP上通報(bào)批評(píng)，如造成數(shù)據(jù)丟失等嚴(yán)重后果，按照相關(guān)單位規(guī)定進(jìn)行處罰。

第三十六條 因集團(tuán)備份管理員維護(hù)不到位，出現(xiàn)同一套系統(tǒng)數(shù)據(jù)備份失敗情況，且沒(méi)有及時(shí)知會(huì)相關(guān)系統(tǒng)管理員進(jìn)行應(yīng)急處理，導(dǎo)致系統(tǒng)備份失敗情況連續(xù)發(fā)生三天以上（含三天），集團(tuán)備份管理員將承擔(dān)系統(tǒng)管理不善責(zé)任，并在MIP上通報(bào)批評(píng)，如由此造成的數(shù)據(jù)丟失或其他嚴(yán)重后果，按照集團(tuán)相關(guān)規(guī)定進(jìn)行處罰。連續(xù)三個(gè)月未出現(xiàn)因備份管理員維護(hù)不力而出現(xiàn)備份異常情況，由集團(tuán)IT管理部給予××獎(jiǎng)勵(lì)。

第三十七條 因相關(guān)系統(tǒng)管理員未及時(shí)處理，而導(dǎo)致連續(xù)三天以上備份失敗（含三天），系統(tǒng)管理員承擔(dān)系統(tǒng)維護(hù)不善的責(zé)任，并在MIP上通報(bào)批評(píng)，如因此造成的數(shù)據(jù)丟失或其他嚴(yán)重后果，按系統(tǒng)管理員所在單位相關(guān)規(guī)定進(jìn)行處罰。

第三十八條 如無(wú)特殊原因，連續(xù)三個(gè)月內(nèi)都未組織二級(jí)備份管理員及相關(guān)系統(tǒng)管理員進(jìn)行系統(tǒng)災(zāi)難恢復(fù)演練工作，集團(tuán)備份管理員應(yīng)承擔(dān)系統(tǒng)維護(hù)不力責(zé)任，并在MIP上通報(bào)批評(píng)。

第三十九條 二級(jí)備份管理員不配合集團(tuán)備份管理員組織系統(tǒng)災(zāi)難恢復(fù)演練工作，導(dǎo)致演練工作無(wú)法開展，將追究相關(guān)責(zé)任人責(zé)任并在MIP上通報(bào)批評(píng)。

第四十條 相關(guān)系統(tǒng)管理員不服從備份管理員組織，連續(xù)三個(gè)月內(nèi)都未進(jìn)行系統(tǒng)災(zāi)難恢復(fù)演練工作，將追究相關(guān)責(zé)任人責(zé)任并在MIP上通報(bào)批評(píng)，因此出現(xiàn)備份數(shù)據(jù)恢復(fù)無(wú)效而導(dǎo)致數(shù)據(jù)丟失情況，由系統(tǒng)管理員及所在部門責(zé)任人承擔(dān)數(shù)據(jù)安全的全部責(zé)任。

第四十一條 本《規(guī)范》由集團(tuán)IT管理部負(fù)責(zé)修改和解釋。第四十二條 此規(guī)范自下發(fā)之日起執(zhí)行。

2006年4月9日

第五篇：加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作方案（推薦）

各單位：

根據(jù)**、**和**、**有關(guān)要求，為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作，經(jīng)**領(lǐng)導(dǎo)同意，現(xiàn)就有關(guān)事項(xiàng)通知如下。

一、建立健全網(wǎng)絡(luò)和信息安全管理制度

各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求，制定并組織實(shí)施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任，規(guī)范計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度，切實(shí)做好本單位網(wǎng)絡(luò)與信息安全保障工作。

二、切實(shí)加強(qiáng)網(wǎng)絡(luò)和信息安全管理

各單位要設(shè)立計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組，負(fù)責(zé)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護(hù)等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，各盡其職，常抓不懈，并按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，切實(shí)履行好信息安全保障職責(zé)。

三、嚴(yán)格執(zhí)行計(jì)算機(jī)網(wǎng)絡(luò)使用管理規(guī)定

各單位要提高計(jì)算機(jī)網(wǎng)絡(luò)使用安全意識(shí)，嚴(yán)禁涉密計(jì)算機(jī)連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，嚴(yán)禁在非涉密計(jì)算機(jī)上存儲(chǔ)、處理涉密信息，嚴(yán)禁在涉密與非涉密計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離，并強(qiáng)化身份鑒別、訪問(wèn)控制、安全審計(jì)等技術(shù)防護(hù)措施，有效監(jiān)控違規(guī)操作，嚴(yán)防違規(guī)下載涉密和敏感信息。嚴(yán)禁通過(guò)互聯(lián)網(wǎng)電子郵箱、即時(shí)通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。

四、加強(qiáng)網(wǎng)站信息發(fā)布審查監(jiān)管

各單位通過(guò)門戶網(wǎng)站在互聯(lián)網(wǎng)上公開發(fā)布信息，要遵循涉密不公開、公開不涉密的原則，按照信息公開條例和有關(guān)規(guī)定，建立嚴(yán)格的審查制度。要對(duì)網(wǎng)站上發(fā)布的信息進(jìn)行審核把關(guān)，審核內(nèi)容包括：上網(wǎng)信息有無(wú)涉密問(wèn)題；上網(wǎng)信息目前對(duì)外發(fā)布是否適宜；信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上發(fā)布信息，嚴(yán)禁交流傳播涉密信息。堅(jiān)持先審查、后公開，一事一審、全面審查。各單位網(wǎng)絡(luò)信息發(fā)布審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)、專人實(shí)施。

五、組織開展網(wǎng)絡(luò)和信息安全清理檢查

各單位要在近期集中開展一次網(wǎng)絡(luò)安全清理自查工作。對(duì)辦公網(wǎng)絡(luò)和門戶網(wǎng)站的安全威脅和風(fēng)險(xiǎn)進(jìn)行認(rèn)真分析，制定并組織實(shí)施本單位各種網(wǎng)絡(luò)與信息安全工作計(jì)劃、工作方案，及時(shí)按照要求消除信息安全隱患。各單位要加大網(wǎng)絡(luò)和信息安全監(jiān)管檢查力度，及時(shí)發(fā)現(xiàn)問(wèn)題、堵塞漏洞、消除隱患；要全面清查，嚴(yán)格把關(guān)，對(duì)自查中發(fā)現(xiàn)的問(wèn)題要立即糾正，存在嚴(yán)重問(wèn)題的單位要認(rèn)真整改。

各單位要從維護(hù)國(guó)家安全和利益的戰(zhàn)略高度，充分認(rèn)識(shí)信息化條件下網(wǎng)絡(luò)和信息安全的嚴(yán)峻形勢(shì)，切實(shí)增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)、安全意識(shí)，進(jìn)一步加強(qiáng)教育、強(qiáng)化措施、落實(shí)責(zé)任，堅(jiān)決防止網(wǎng)絡(luò)和信息安全事件發(fā)生，為**召開營(yíng)造良好環(huán)境。