第一篇:信息系統安全審計管理制度
信息系統安全審計管理制度
第一章 工作職責安排
第一條 安全審計員的職責是: 1.制定信息安全審計的范圍和日程; 2.管理具體的審計過程;
3.分析審計結果并提出對信息安全管理體系的改進意見;
4.召開審計啟動會議和審計總結會議; 5.向主管領導匯報審計的結果及建議; 6.為相關人員提供審計培訓。
第二條 評審員由審計負責人指派,協助主評審員進行評審,其職責是:
1.準備審計清單; 2.實施審計過程; 3.完成審計報告;
4.提交糾正和預防措施建議; 5.審查糾正和預防措施的執行情況。第三條 受審員來自相關部門,其職責是: 1.配合評審員的審計工作; 2.落實糾正和預防措施; 3.提交糾正和預防措施的實施報告。
第二章 審計計劃的制訂
第四條 審計計劃應包括以下內容: 1.審計的目的; 2.審計的范圍; 3.審計的準則; 4.審計的時間;
5.主要參與人員及分工情況。第五條 制定審計計劃應考慮以下因素: 1.每年應進行至少一次涵蓋所有部門的審計; 2.當進行重大變更后(如架構、業務方向等),需要進行一次涵蓋所有部門的審計。
第三章 安全審計實施
第六條 審計的準備:
1.評審員需事先了解審計范圍相關的安全策略、標準和程序;
2.準備審計清單,其內容主要包括: 1)需要訪問的人員和調查的問題; 2)需要查看的文檔和記錄(包括日志); 3)需要現場查看的安全控制措施。
第七條 在進行實際審計前,召開啟動會議,其內容主要包括:
1.評審員與受審員一起確認審計計劃和所采用的審計方式,如在審計的內容上有異議,受審員應提出聲明(例如:限制可訪問的人員、可調查的系統等); 2.向受審員說明審計通過抽查的方式來進行。第八條 審計方式包括面談、現場檢查、文檔的審查、記錄(包括日志)的審查。
第九條 評審員應詳細記錄審計過程的所有相關信息。在審計記錄中應包含下列信息:
1.審計的時間;
2.被審計的部門和人員; 3.審計的主題 ; 4.觀察到的違規現象;
5.相關的文檔和記錄,比如操作手冊、備份記錄、操作員日志、軟件許可證、培訓記錄等; 6.審計參考的文檔,比如策略、標準和程序等; 7.參考所涉及的標準條款; 8.審計結果的初步總結。
第十條 如懷疑與相關安全標準有不符合項的情況,審計員應記錄所觀察到的詳細信息(如在何處、何時,所涉及的人員、事項,和具體的情況等)并描述其為什么不符合。關于不符合的情況應與受審員達成共識。
第十一條 在每項審計結束時應準備審計報告,審計報告應包括:
1.審計的范圍;
2.審計所覆蓋的安全領域; 3.審計結果的總結;
4.不符合項,不符合項的具體描述和相關證據; 5.糾正和預防措施的建議。
第十二條 不符合項是指與等級保護基本要求不一致的情況。產生不符合項可能是由于與相關的規定不一致,包括:
1.等級保護基本要求; 2.信息安全策略; 3.相關標準和程序; 4.相關法律條款; 5.本單位的相關規定;
6.任何其它在客戶合同中規定的要求。
第十三條 不符合項可以細分為“主要”或“次要”。如果所發現的不符合項屬于下列任何一種情況,此不符合項應被分類為 “主要”的:
1.會導致系統、程序或控制措施整體失效; 2.操作過程沒有形成標準的文檔;
3.累計多個同一類型的“次要”不符合項; 4.對信息安全管理體系的未授權變更。
如果所發現的不符合項屬于個別事件,此不符合項將被分類為 “次要”的,例如:
1.未標識信息安全分類的文檔; 2.沒有被管理層審閱的事故報告; 3.不完整的變更記錄; 4.不完整的機房進出記錄。
第十四條 造成不符合項的原因可以分為以下幾種: 1.其文檔化的標準和程序與信息安全策略不一致; 2.實際的操作與文檔化的標準和程序要求不一致; 3.實際的操作沒有達到預期效果。
第四章 安全審計匯報
第十五條 召開審計總結會議。應總結匯報以下內容: 1.審計的目標和范圍; 2.審計的時間; 3.參與審計的人員;
4.審計報告(包括糾正和預防措施的建議); 5.提交審計報告的副本供受審員參考。第十六條 在總結會議上,受審員應闡述任何疑問。
第五章 糾正和預防措施
第十七條 糾正和預防措施應該包括問題描述、根本原因、應急措施(可選)、糾正措施以及預防措施。
第十八條 受審員必須制定糾正和預防措施的實施計劃。
第十九條 受審員應在規定時間內向評審員提交糾正和預防措施的實施報告。
第六章 審計糾正和預防措施的實施狀況
第二十條 評審員應在受審員提交報告的3個月內,審計糾正和預防措施的實施狀況。
第二十一條 審計糾正和預防措施應包括:面談、現場檢查、文檔的審查以及記錄(包括日志)的審查。
第二十二條 評審員根據受審員提交的糾正和預防措施實施報告,收集、記錄和審查相關證據。
第七章 審計結果的審閱
第二十三條 安全審計員應審閱和分析所有審計結果。第二十四條 受審員的領導在審閱審計結果時,應分析的事件包括審計計劃、此次審計結果和上次審計結果的比較、糾正和預防措施。
第八章 附 則
第二十五條 本制度由某某單位負責解釋。第二十六條 本制度自發布之日起生效執行。
第二篇:信息系統安全管理制度
信息系統安全管理制度
一、總則
1、為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》、等有關規定,結合本公司實際,特制訂本制度;
2、計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統;
3、公司由微機科專門負責本公司范圍內的計算機信息系統安全管理工作。
二、網絡管理
1、遵守國家有關法律、法規,嚴格執行安全保密制度及公司信息保密協議相關條款,不得利用網絡從事危害公司安全、泄露公司秘密等違法犯罪活動,嚴格控制和防范計算機病毒的侵入;
2、禁止未授權用戶或外來計算機接入公司計算機網絡及訪問、拷貝網絡中的資源;
3、任何員工不得故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據;
4、計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;計算機使用者更應以30天為周期更改密碼、密碼長度不少于8位。
三、設備管理
1、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排;
2、設備硬件或重裝操作系統等問題由微機科統一管理。
四、數據管理
1、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存;
2、工作范圍內的重要數據(重要程度由各部門負責人核定)由計算機終端用戶定期更新、備份,并提交給所在部門負責人,由部門負責人負責保存;
3、計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與微機科聯系并采取保護數據安全的措施;
4、終端用戶未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份,存放在不同的地點;光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
五、操作管理
1、凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;
2、微機科將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由微機科收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
3、計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與微機科或軟件開發單位、硬件供應商聯系,盡快解決問題。
六、網站管理
1、公司網站由微機科提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
七、處罰措施
1、計算機終端用戶擅自下載、安裝或存放與工作無關的文件經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
2、有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。構成犯罪的,依法追究刑事責任。(1)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(2)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(3)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(4)訪問未經授權的文件、系統或更改設備設置;
(5)申請人在設備領用或報廢一周之內未將所涉及到的表單交微機科;(6)擅自與他人更換使用計算機或相關設備;
(7)擅自調整部門內部計算機的安排且未向行政部備案;
(8)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等;(9)工作時間外使用公司計算機做與工作無關的事務;(10)相同故障出現三次以上(包括三次)仍無法自行處理的;
(11)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
3、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
行政部微機科
第三篇:信息系統安全管理制度
信 息 安 全 管 理 制 度
為維護公司信息安全,保證公司網絡環境的穩定,特制定本制度。
一、互聯網使用管理互聯網使用管理互聯網使用管理互聯網使用管理
1、禁止利用公司計算機信息網絡系統制作、復制、查閱和傳播危害國家安全、泄露公司秘密、非法網站及與工作無關的網頁等信息。行政部門建立網管監控渠道對員工上網信息進行監督。一經發現,視情節嚴重給予警告、通報批評、扣發工資500-1000元/次、辭退等處罰。
2、未經允許,禁止進入公司計算機信息網絡或者使用計算機信息網絡資源、對公司計算機信息網絡功能進行刪除、修改或者增加的、對公司計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統和計算機網絡安全的。一經發現,視情節嚴重給予警告、通報批評、扣發工資1000-2000元/次、辭退等處罰。
3、公司網絡采取分組開通域名方式,防止木馬蠕蟲病毒造成計算機運行速度降低、網絡堵塞、帳號密碼安全系數降低。
二、網站信息管理
1、公司網站發布、轉載信息依據國家有關規定執行,不包含違反國家各項法律法規的內容。
2、公司網站內容定期進行備份,由網管員保管,并對相應操作系統和應用系統進行安全保護。
3、公司網管加強對上網設備及相關信息的安全檢查,對網站系統的安全進行實時監控。
4、嚴格執行公司保密規定,凡涉及公司秘密內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網;
5、所有上網稿件須經分管領導審批后,由企劃部門統一上傳。
三、軟件管理軟件管理軟件管理軟件管理
1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統管理員統一進行,任何部門和員工不得擅自采購。
2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經許可,不得將公司購買或開發的軟件擅自提供給第三人。
3、操作系統由公司統一提供。禁止安裝使用其它來源的操作系統,特別是未經授權的非法拷貝。擅自使用造成的一切后果由使用人自行承擔,對于造成損失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-200元/次等處罰。
4、一般應用軟件統一在公司文件服務器上提供常用軟件安裝目錄,不提供安裝光盤(操作系統除外)。安裝非公司提供的軟件導致系統損害,信息丟失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-300元/次、辭退等處罰。
5、公司小范圍使用的專業版權軟件,使用人需在自行備份并由信息系統管理員驗證后才可進行安裝。
6、禁止安裝使用非工作用軟件。其它工作所需的應用軟件,可由使用部門申請,再由行政部門統一發布。
四、計算機病毒管理
1、集團計算機病毒管理由集團信息辦負責進行規劃、實施和監控。
2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施,及時更新系統漏洞和使用殺毒軟件。具體內容包括:(1)及時更新微軟補丁,每周至少更新一次。當屏幕右下角有自動更新的圖標時,要及時安裝。(2)有些特殊的軟件(如SQL SERVER等),及時到相應網站打補丁。(3)及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能,而把殺毒軟件卸載。每周至少更新一次,確保殺毒軟件為最新版本。(4)嚴禁
打開來歷不明的郵件。能判斷為病毒郵件的,立即刪除;不能判斷的聯系信息系統管理員解決。當計算機感染病毒后,請及時斷開網線,使用殺毒軟件查殺和查看操作系統和應用軟件的補丁是否及時更新;嚴重者請及時聯系信息辦信息系統管理員解決。(5)當有新病毒通過某些軟件(如:QQ,MSN)傳播時,請立即關閉相應軟件或拔掉網線。查殺問題解決后,方可繼續使用。
3、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者,第一次給予警告、第二次給予通報批評,第三次及以上將給予通報批評并扣發工資50-100元/次。
五、網絡資源管理
1、集團網絡資源和服務器由集團信息辦信息系統管理員統一進行規劃、管理和監督。
2、服務器及個人用機的管理:(1)部門級及以上服務器必須指定專人負責管理,并在行政部門備案,未經授權,非管理員不得對其進行操作。(2)部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查,包括:服務器的CPU、內存、硬盤等資源利用情況;服務器上運行的服務使用情況;服務器上運行的OS及時升級;服務器上運行的殺毒軟件的及時更新;(3)服務器管理員要做好服務器的備份工作,至少每季度有一份完整異地(異機)備份,重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。(4)個人和部門未經行政部門批準不得私自設立服務器。(5)服務器管理員每月定期對服務器做一次全面檢查,并填寫服務器檢查日志。(6)服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時,管理員密碼需及時更改。(7)員工應避免隨意共享工作相關資料,若需共享,應指定合理權限,并在完成后及時取消;嚴禁未經信息系統管理部門批準,擅自共享給局域網內所有用戶。(8)員工應自行維護電腦的正常使用,并按照網管的要求進行設置及及時進行補丁更新,不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。
3、IP地址的管理:(1)IP地址由行政部門統一規劃管理。未經許可,不得擅自更改任何設備的IP地址。(2)公司申請的公網IP任何人不得私用。(3)工作需要公網IP,需申請信息部批準后,方可使用。(4)公司公網IP使用無工作需要時,立即停止使用,并通知行政部門收回。(5)FTP等特殊服務器的使用須經行政部門批準,且不得擅自更改使用用途。
六、機房管理
1、人員管理:相關維護人員憑門禁卡或密碼進出機房,其它人員不得擅入。如確需進入機房的其它工作人員,應向相關部門提出申請,并做相應的登記備案后,在相關人員的陪同下入內。信息系統管理員有權在場監控及記錄入內者的工作情況。
2、機房設備管理:參照公司固定資產管理制度進行管理。非電源性電子設備(如路由器,服務器等)必須接不間斷電源,保證數據在突然斷電時不致丟失;機房溫度應保持在22±2℃。工作時間,非工作時間公司保安應定時巡視機房,確保機房環境、供電及溫度正常;如出現機房溫度超過30攝氏度警戒線、停電等異常情況,應與管理員聯絡,立刻采取必要措施保障機房設備的安全。
3、信息管理:任何人員(包括管理員)在機房信息設備上進行更改操作,都需記錄備案。未經管理員許可在機房內擅自進行操作者,可視情節給予通報批評、扣發工資200-500元;情節嚴重的,可予以辭退。
4、施工管理:公司機房建設應符合機房建設的有關標準和規定;在公司機房內施工,須由信息安全部經理批準,并有網絡管理員或授權的公司保安監督施工現場。
七、電子設備使用管理
1、電子設備的新增購買申請先采用調配方式,若無法調配同等配置的,才予購買。使用管理參照公司固定資產管理制度。
2、計算機及其輔助設備一經領用,使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失,可視情節給予警告、通報批評、按價賠償。(1)臺式計算機:非經信息管理員工同意不得擅自打開機箱。(2)筆記本電腦設備:a、不同品牌型號的零配件不可互換使用。b、用于移動辦公,絕對不允許作為服務器共享操作。c、應保持出廠預裝的正版操作系統,保留硬盤中的隱藏分區。如確因工作需要重新安裝其它操作系統(如WIN2000等),需由系統管理員進行。不允許私自重新分區格式化,將原出廠隱藏區格式化刪除。
3、非經許可,不得將個人臺式電腦及相關設備帶入公司,特殊情況,需辦理相關登記手續。
4、員工不得隨意增減配件,不得在未經管理員許可的情況下對硬盤做低級格式化。未經行政部門批準,嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備(含配件),可視情節給予警告、通報批評、扣發工資200-500元/次。
八、信息系統管理員
1、管理權限和責任(1)負責公司各信息系統的信息安全、日常維護、系統管理等。(2)嚴格遵守公司制定的相關信息安全管理制度,履行工作職責。(3)制定各信息系統的管理維護標準,包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等,送交信息安全主管部門審核備案,并嚴格執行。(4)信息系統管理員必須簽訂《關鍵職位員工之保密承諾書》。
2、職責規范(1)推動員工樹立信息系統安全防范意識,完善公司信息安全保障機制,逐步建立以預防、發現、響應、恢復為基礎的信息安全管理機制。(2)遵守職業道德,嚴守保密制度,不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料;不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業秘密(包括技術秘密和經營秘密);未經公司書面同意,不擅自使用已接觸到、了解到、知悉或被告之的商業秘密;不利用已知的公司資源(如公司信息系統缺陷、口令等),做違反國家法規、竊取公司商業秘密、攻擊公司服務器等行為。(3)端正服務態度,對員工的需求積極快速響應,并提供迅速、周到的技術服務支持。
九、附則:
1、本制度解釋權歸集團信息辦。
2、本制度自頒布之日起施行。
第四篇:信息系統安全管理制度
信息系統安全管理制度
第一章
總則
第一條
為保證本單位信息系統的操作系統和數據庫系統的安全,根據《中華人民共和國計算機信息系統安全保護條例》,結合本單位系統建設實際情況,特制定本制度。第二條
本制度適用于本單位XX部門及所有系統使用部門和人員。
第三條
XX部門是本單位系統管理的責任主體,負責組織單位系統的維護和管理。
第二章
系統安全策略
第四條
XX部門負責單位人員的權限分配,權限設定遵循最小授權原則。
1)管理員權限:維護系統,對數據庫與服務器進行維護。系統管理員、數據庫管理員應權限分離,不能由同一人擔任。
2)普通操作權限:對于各個系統的使用人員,針對其工作范圍給予操作權限。3)查詢權限:對于單位管理人員可以以此權限查詢數據,但不能輸入、修改數據。4)特殊操作權限:嚴格控制單位管理方面的特殊操作,只將權限賦予相關科室負責人,例如退費操作等。
第五條 加強密碼策略,使得普通用戶進行鑒別時,如果輸入三次錯誤口令將被鎖定,需要系統管理員對其確認并解鎖,此帳號才能夠再使用。用戶使用的口令應滿足以下要求:-8個字符以上;
-使用以下字符的組合:a-z、A-Z、0-9,以及!@#$%^&*()-+;-口令每三個月至少修改一次。
第六條 定期安裝系統的最新補丁程序,在安裝前進行安全測試,并對重要文件進行備份。第七條 每月對操作系統進行安全漏洞掃描,及時發現最新安全問題,通過升級、打補丁或加固等方式解決。第八條 關閉信息系統不必要的服務。
第九條
做好備份策略,保障系統故障時能快速的恢復系統正常并避免數據的丟失。
第三章
系統日志管理
第十一條
對于系統重要數據和服務器配值參數的修改,必須征得XX領導批準,并做好相應記錄。
第十二條
對各項操作均應進行日志管理,記錄應包括操作人員、操作時間和操作內容等詳細信息。
第十三條
審計日志應包括但不局限于以下內容:包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全事件。
第十四條
安全審計員應每日對審計日志進行審查,對異常事件及時跟進解決,并定期形成日志分析報告。
第十五條
系統審計日志應定期做好備份工作。
第四章
個人操作管理
第十六條 單位工作人員申請賬戶權限需填寫《系統權限申請表》,經系統管理員批準后方可開通。賬號申請表上應詳細記錄賬號信息。
第十七條 人員離職或調職時需交回相關系統賬號及密碼,經系統管理員刪除或變更賬號后方能離職或調職。
第十八條 單位工作人員嚴禁私自在辦公計算機上安裝軟件,以免造成病毒感染。嚴禁私自更改計算機的設置及安全策略。
第十九條 嚴格管理口令,包括口令的選擇、保管和更換,采取關閉guest和匿名用戶、增強管理員口令選擇要求等措施。第二十條 計算機設備應設屏幕密碼保護的用戶界面,保證數據的機密性的安全。
第五章
懲處
第二十一條
違反本管理制度,將提請單位行政部視情節給予相應的批評教育、通報批評、行政處分或處以警告、以及追究其他責任。觸犯國家法律、行政法規的,依照有關法律、行政法規的規定予以處罰;構成犯罪的,依法追究刑事責任。
第五篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
總 則
第一條 為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》等有關規定,結合本公司實際,特制訂本制度。
第二條 計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條信息中心的職責為專門負責本公司范圍內的計算機信息系統安全管理工作。
第一章 網絡管理
第四條 遵守公司的規章制度,嚴格執行安全保密制度,不得利用網絡從事危害公司安全、泄露公司秘密等活動,不得制作、瀏覽、復制、傳播反動及淫穢信息,不得在網絡上發布公司相關的非法和虛假消息,不得在網上泄露公司的任何隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條 各工作計算機未進行安全配置、未裝防火墻或殺毒軟件的,不得入網。各計算機終端用戶應定期對計算機系統、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條 禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源,禁止未授權用戶使用BT、電驢等占用大量帶寬的下載工具。
第七條 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據。
第八條 公司員工禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法侵入他人網絡和服務器系統,禁止利用計算機和網絡干擾他人正常工作的行為。
第九條 計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;嚴禁不以真實身份登錄系統。計算機使用者更應定期更改密碼、使用復雜密碼。
第十條 IP地址為計算機網絡的重要資源,計算機各終端用戶應在信息中心的規劃下使用這些資源,不得擅自更改。另外,某些系統服務對網絡產生影響,計算機各終端用戶應在信息中心的指導下使用,禁止隨意開啟計算機中的系統服務,保證計算機網絡暢通運行。
第二章 設備管理
第十一條 公司員工因工作需要,確需購買IT設備或配件的,可向信息中心提出申請,若有符合需求的可調配設備;若無可調配或有但不符合工作需要的設備,由申請人填寫《信息設備申請表》。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十二條 凡登記在案的IT設備,由信息中心統一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等。
第十三條 IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡子公司或合作單位自行購買的設備,原則上由分公司或合作單位自行負責,但若有需要,信息中心可協助處理。
第十四條 嚴禁使用假冒偽劣產品;嚴禁擅自外接電源開關和插座;嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排。
第十五條 設備硬件或重裝操作系統等問題由信息中心進行處理。第十六條 原購IT設備原則上在規定使用年限內不再重復購買,達到規定使用年限后,由信息中心會同相關部門對其審核后處理。在規定使用年限期間,計算機終端用戶因工作需要發生調動或離職,需要繼續使用該計算機的應在信息中心作變更備案;不繼續使用該計算機的,部門領導需監督責任人將計算機及相關設備及時退回信息中心,由信息中心再行支配。
第十七條 設備出現故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經理簽字后報信息中心。經信息中心對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息中心對報廢設備登記備案、存檔。
第三章 數據管理
第十八條 計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。
第十九條 工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份,并提交給所在部門部長,由部門部長負責保存。各部門經理在一個季度開始后10天之內將本部門上一季度的工作數據交行政人事部匯集后統一采用磁性介質或光盤保存。
第二十條 計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與信息中心聯系并采取保護數據安全的措施。
第二十一條 對重要的數據應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
第四章 操作管理
第二十二條 凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;嚴禁非信息中心人員隨意更改設備配置。
第二十三條 信息中心將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由信息中心收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
第二十四條 計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與信息中心或軟件開發單位、硬件供應商聯系,盡快解決問題。
第五章 網站管理
第二十五條 公司網站由信息中心提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
(一)網站、網頁出現非法言論時的緊急處置措施
1、網站、網頁由信息中心人員隨時密切監視信息內容。
2、發現網上出現非法信息時,負責人員應立即向部門領導通報情況,情況緊急的應先采取刪除等處理措施,再按流程辦理。
3、網站負責人員在接到通知后立即清理非法信息,強化安全防范措施,并將網站網頁重新投入使用。
4、網站負責人員應妥善保存有關記錄及日志或檢查記錄。
(二)黑客攻擊時的緊急處置措施
1、當有網頁內容被篡改,或通過公司網絡防火墻發現有黑客正在進行攻擊時, 首先應將被攻擊的服務器等設備斷開網絡,同時向上級領導匯報情況。
2、網站負責人員立即進行將被破壞系統進行恢復和重建。
(三)病毒安全緊急處置措施
1、當發現計算機感染病毒后,應立即將該機從網絡上隔離出來。
2、對存放數據的計算機的硬盤進行數據備份。
3、啟用反病毒軟件對該機進行殺毒,同時用殺毒軟件對其他聯網機器進行病毒掃描和清除。
4、如發現殺毒軟件無法清除該病毒,應立即向上級領導報告。
5、經網站負責人員確認確實無法查殺該病毒后,應作好相關記錄,同時立即聯系相關技術人員迅速研究并解決問題。
6、如果感染病毒的設備是服務器或者主機系統,經上級領導同意,應立即切斷服務器并告知客戶端人員進行客戶端機器的殺毒工作。
(四)軟件系統遭受破壞性攻擊的緊急處置措施
1、OA等重要的軟件系統平時必須存有備份,與軟件系統相對應的數據必須有多日備份,并將它們保存于不同的機器上。
2、如發現軟件遭到破壞或運行不正常,應立即向信息中心人員報告。
3、信息中心人員立即進行軟件系統和數據的恢復。
(五)數據庫安全緊急處置措施
1、各數據庫系統要至少準備兩個以上數據庫備份。
2、一旦數據庫崩潰,應立即上級領導報告,同時通知各部門使用人員暫緩上傳上報數據。
3、信息中心人員應對主機系統進行維護,如遇無法解決的問題,立即向上級領導匯報并及時通知專業技術人員進行處理。
4、系統修復完畢后,按照要求恢復數據。
5、如果備份數據也出現問題,及時匯報領導并且聯系軟件開發商解決。
(六)設備安全緊急處置措施
1、計算機、服務器等關鍵設備損壞后,應立即通知信息中心人員。
2、信息中心人員應立即查明原因。
3、如果能夠自行恢復,應立即用備件替換受損部件。
4、如果不能自行恢復的,立即與設備提供商聯系,請求派專業維修人員進行維修。
5、如果設備一時不能修復,應向上級領導匯報。
(七)關鍵人員不在崗的緊急處置措施
1、對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能操作。
2、一旦發生關鍵人員不在崗的情況,首先應向上級領導匯報。
3、經上級領導批準后由信息中心其他人員進行操作。
第六章 處罰措施
第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關的文件,經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
第二十七條 有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(二)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(三)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(四)訪問未經授權的文件、系統或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息中心;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向信息中心備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障多次出現且經判斷故障原因為個人原因所導致的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
第二十八條 計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
第七章 附 則
第二十九條 本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、打印機、復印機、傳真機、掃描儀等IT設備。
有害數據:指與計算機信息系統相關的,含有危害計算機信息系統安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數據。
合法用戶:經信息中心授權使用本公司網絡資源的本公司員工,其余均為非法用戶。
第三十條 計算機終端用戶應積極配合信息中心共同做好計算機信息系統安全管理工作。
第三十一條 本制度適用于全公司范圍,由總裁辦信息中心負責解釋、修訂。
第三十二條 本制度自發布之日起實施,凡原制度與本制度不相符的,照本制度執行。
點擊咨詢 