《信息安全管理规定》由会员分享,可在线阅读,更多相关《信息安全管理规定(49页珍藏版)》请在金锄头文库上搜索。
1、书山有路勤为径,学海无涯苦作舟。信息安全管理规定 目录 一、总则.2 二、适用范围.2 三、职责.2 四、管理规定.2 五、信息安全风险评估.6 六、附则.71.1.2.计算机病毒防范管理规定.81.1.3信息系统管理制度.11 一、业务主管职责.11 二、系统管理员具体职责:.12 三、系统管理员操作管理制度.12 四、系统管理员备份管理制度.13 五、软件管理制度.13 六、数据管理制度.14 七、系统维护管理制度.15 八、档案及数据管理制度.161.1.4中心机房管理规定.18 一、机房人员日常行为准则.18 二、机房安全制度.18 三、机房用电安全制度.19 四、机房消防安全制度.1
2、9 五、机房硬件设备安全使用制度.20 六、软件安全使用制度.21 七、机房资料、文档和数据安全制度.22 八、机房财产登记和保护制度.22 九、机房巡检制度.22 一、总则 为加强公司管理处计算机信息体系资产安全的保护,保障公司信息化体系连续可靠正常地运行,根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际网管理暂行规定和相关行政法规,结合公司管理处实际状况,特制订本规定。 二、适用范围 本规定适用于公司管理处所有员工,所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。 三、职责 3.1技术保障
3、部负责本规定的制订和修订。 3.2各级部门主管负责本规定在本部门的落实。 3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。 四、管理规定4.1电子产品资产管理 4.1.1公司所有办公电脑(含笔记本电脑)与相关电子产品属公司资产,任何部门及个人无权侵占、挪为私用。 4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配,并发放给对应的使用人员,资产挂靠人有该资产使用权,同时需承担保管义务,任何遗失、人为破坏行为,需按照资产折旧值赔偿。 4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具,任何人无权利用其做个人经营或工作无关
4、事宜,一经发现提报人力资源部据公司相关规定处分。 4.1.4未经许可,不得擅自使用他人电脑,所有用户需设置5分钟密码屏保,以确保离开后电脑不被他人使用。 4.1.5人员离职、调岗时,请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料,接收、重新分配电脑。 4.2账号及密码安全管理 4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任,未经上级主管审批,不得将自己的账号及密码告诉其他人,造成损失者,对账户及密码拥有人员酌情处分。 4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责,并定期修改密码;密码需
5、统一登记在册,并及时更新,由技术保障部经理负责,出现重大泄露事件,对部门经理及相关责任人处分。 4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码,统一由市场营销部门对应岗位负责。 4.2.4因工作需要,在政府或第三方机构等网站注册的账号、密码,分别由各责任部门自行负责。 4.2.5具有信息系统权限的人员离职、调岗时,必须由技术保障部会签离职、调岗相关单据,以及时处理相关权限。 4.3计算机系统安全管理 4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控,特殊岗位因工作需要开通权限,需经申请批准后由技术保障部执行,任何未经批准擅自更改者视
6、情节严重性进行处分。 4.3.2未经技术保障部备案许可,严禁擅自安装自带软件,私自安装软件造成的版权纠纷,将由个人承担全部相关法律责任。 4.3.3公司所有办公电脑严禁安装游戏、工作无关软件,技术保障部不定期检查,对并违规行为做通报。 4.4网络及应用系统安全管理 4.4.1任何部门和个人,不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动,不得利用国际互联网制作、复制、查阅和传播违法信息,任何利用公司网络所作的违法行为属个人行为,将全部由个人承担相关法律责任,公司将配合相关部门严厉查处。 4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的;
7、4.4.1.2捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; 4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。 4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动,违者全部由个人承担相关法律责任,并视情节严重性请相关部门追究法律责任。 4.4.2.1故意制作、传播计算机病毒等破坏性程序的; 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的; 4.4.2.3其他故意危害公共网络、公司网络安全的行为。 4.4.3电脑ip地址是公司网络管理的最重要基础,公司所有办公电脑(
8、含笔记本电脑)由技术保障部统一分配ip地址,任何部门或个人无权擅自修改ip地址。 4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。 4.4.5不得在公司内部安装、使用网络代理软件,以扰乱网络管理机制。 4.4.6技术保障部需定期检查、通报公司网络使用状况,并对违规者申请处分。 4.5信息资料安全管理 4.5.1公司所有信息资料属公司资产,各部门与个人有义务承担本部门或个人信息资料的保密责任,并对所辖机密资料的安全承担连带责任。 4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制,并定期检查、更新。 4.5.3未经批准,不得把本部门机密资料放置在公共网络、内部
9、不受限共享夹、或以其他任何方式发送给受限范围以外的人员;任何有意、无意的泄密行为都是公司严厉禁止的,直至追究法律责任。 4.5.4对于部分有备份安全需求的部门,可申请由技术保障部统一安排部署备份服务器及备份机制。 4.6中心机房安全管理 详见公司管理处中心机房管理规定。 4.7计算机病毒防范 详见公司管理处计算机病毒防范管理规定4.8监控资料安全管理 4.8.1监控资料调阅管理部门为技术保障部,安防监控录像调阅请参照综合管理部相关规定。 五、信息安全风险评估5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当
10、的内容。 六、附则 6.1本规定由技术保障部负责解释。 1.1.2.计算机病毒防范管理规定 为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。 一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本制度。 二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 三、任何工作人员不得制作和传播计算机病毒。 四、任何工作人员不得有下列传播计算机病毒的行为。故意输入计算机病毒,危害
11、计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。 五、预防和控制计算机病毒的安全管理工作,由技术保障部负责实施管理。其主要职责是 制定计算机病毒防治管理制度和技术规程,并检查执行情况;采取计算机病毒安全技术防治措施; 对计算机信息系统使用人员进行计算机病毒防治教育和培训;及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录; 购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品; 对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录,评估事故损失,保护现场并向公安机关报告。 六、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。 七、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。 八、计算
