信息安全管理制度_3.docx

信息安全管理制度XXX有限公司信息安全管理制度第一章总则第一条为了强化XXX有限公司的信息安全管理，防计算机信息技术风险，确保公司数据机密安全，防止网络病毒危害和黑客恶意攻击，维护正常的生产顺利运行，根据（中华人民国计算机信息系统安全保护条例）、（ISO27001信息安全管理体系标准）以及有关法律、法规，结合我司实际，特制定XXX网络安全管理制度。第二条本规定所称信息安全管理，是指在日常办公、XXX业务建设、运行、维护及废止等经过中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。第三条信息安全管理制度根据省公安厅发文（关于开展2017年度信息安全等级保护测评机构省级备案工作的通知）为根据。第四条XXX信息安全管理工作实行统一领导和分级管理。由XXX总经理统一领导各部门的信息安全管理；下属部门经理负责各自部门的信息安全管理；XXX技术部负责XXX生产与测试环境的信息安全管理。第五条XXX信息安全管理实行分管领导负责制，根据“谁主管谁负责，谁运行谁负责，谁使用谁负责的原则，逐级落实部门与个人信息安全责任制。第六条本规定适用于XXX、XXX各业务网点、合作接入厂商。所有使用本网络或信息资源的其他外部机构和个人均应遵守本规定。第七条任何部门和个人不得以任何理由逃避该安全制度的管理，不得利用互联网计算机从事危害本地局域网服务器、不得从事危害利益、集体利益和公民合法利益的活动，不得危害计算机信息网络系统的全面安全。第二章服务器管理制度第八条XXX服务器的日常管理工作由XXX技术部管理人员负责。管理人员应认真履行下面职责：1负责XXX服务器的日常维护和管理、技术支持；2严格执行岗位责任制。管理人员要坚守工作岗位，有事外出要向领导请假，并且向其他工作人员交接清楚工作。要妥善保管好服务器登录密码，不得告诉别人。离开座位时，要及时退出设置项界面并登出账号；3加强XXX服务器检查。定期对数据存放硬盘空间、CPU使用、存空间等环境进行检查。发现硬盘存储空间、CPU异常、存异常等问题要及时处理，不能及时处理的问题应向领导及时报告，并采取积极措施尽快解决。4加强XXX服务器的病毒防。要经常了解和把握网络病毒的流行情况及其解决方案，并积极采取应对措施，避免对XXX服务器及网络其它终端的感染。一旦被感染，要及时提出杀毒方案，控制传播围。定期对XXX服务器进行查毒、杀毒。5保障本系统网络信息实时安全运行，负责天天的信息数据备份。6负责对XXX服务器用户的增加、删除及权限变更工作，严禁无关人员登录XXX服务器。第三章控制台管理制度第九条权限管理制度(一)管理员权限管理制度1管理员权限围：包括所有权限。2管理员权限在项目施行完成后，交由分管领导或指定成员管理。3若有技术人员因管理需要，需申请开通管理账号或管理员权限，应在维护完成后，删除权限并且注销帐户。4若技术人员接触到管理员权限密码，应在维护完成后，提醒管理员修改密码，管理员应该及时修改密码，避免密码丢失造成控制台管理权限泄密。5管理员要定期到服务器的事件管理器中查询管理员登录信息，发现异常登录，及时更新密码，并严格追查管理员控制台权限遗失原因。(二)系统运维员权限管理制度1系统运维员权限围：针对所有用户的参数设置、备份、访问所有组权限。2系统运维员根据监控的实际需要制定监控参数设置策略，经过审核后进行施行。3系统运维员根据硬盘容量和监控数据增长情况，制定数据备份策略，经过审核后进行施行。4系统运维员不得利用职务之便，在未经认可的情况下，私下进行监控个别电脑的参数设置，若造成损失，单位将追查相应责任。5严禁更改服务器操作系统的相关设置，严禁在XXX服务器上进行互联网阅读及不相关应用程序安装。6严守系统信息保密制度。不得随意将系统信息、数据对外泄露。(三)网络管理员权限管理制度1网络管理员权限围：针对所有网络设备的管理权限。2网络管理员根据公司业务需要，制定各项网络策略，经过审核后进行施行。3网络管理员不得利用职务之便，在未经认可的情况下，私下进行监控个别电脑的参数设置，若造成损失，单位将追查相应责任。5未经许可严禁更改服务器已经生效的网络配置，严禁在XXX服务器上进行互联网阅读及不相关网络设置。6严守系统信息保密制度。不得随意将系统信息、数据对外泄露。第十条技术部权限管理制度1技术部权限围：针对职权管理围用户的控制台、审计查看、获取报告权限。2技术部根据工作的需要对单位的电子文档安全、网络行为规的执行情况进行查看，发现异常情况，及时报告相关领导进行相应处理。3技术部应严守机密，不得将获知信息进行不当的处理，若导出数据，要进行妥善保管，不得随意存放和传输，若需要传输，需征求相关领导的认同，方可进行传输。第四章客户端管理制度第十一条工作人员实行专人专机，谁使用、谁管理、谁负责制度。工作人员应严格遵守下面规定：1要自觉遵守（中华人民国计算机信息系统安全保护条例）和其他有关计算机和网络方面的法律、法规，严格遵守计算机操作规程，爱护计算机和网络设备，及时反映和举报违背网络行为规的人和事。2不得随意更改网络设置。如确需更改须经网络管理人员同意，并在网络管理人员的指导下操作。3未经同意，禁止擅自拆卸电脑主机箱，更换、添加电脑配件。4未经同意，禁止擅自使用未经杀毒的硬盘、软盘、光盘、盘，不准打开来历不明的电子，以免带进病毒；若发现来历不明的电子应及时删除；要经常检查计算机有无感染病毒，若发现计算机被病毒感染，应及时杀毒或报告网络管理人员；未经允许不得随意安装来历不明的系统、应用、游戏等软件。5不得恶意访问和攻击网络服务器和别人计算机；未经允许不得阅读别人文件、文档、电子；不得滥用网络资源；不得制造和传播计算机病毒；禁止毁坏网络数据、网络资源，或在网络上进行恶作剧行为。6要自觉遵守保密法律、法规，不得在网上发布、传送携带机密的信息。7不得在网上发布或传送有损国格、人格或具有威胁性、不友好的信息；不得利用网络接收和分布思想容反动、不健康或色情的信息，如收到“法*功等容反动的电子，应及时删除，不得散发；严禁在网上玩游戏或利用网络炒股。8要妥善保护好本人的上网口令，不得擅自转让用户帐号，或将口令随意告诉别人，不得冒用别人帐号、口令上网。9工作人员使用的光盘、软盘、硬盘、盘等存储介质，不得随意借给外人使用，不得带出办公场所。10对已损坏的光盘、软盘、硬盘、盘等存储介质，不得随意丢弃。11不得使用明文禁止的相关程序和，不得对明文禁止的文件做相应的操作。12触犯其他有关法律、行政法规的，按照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追查刑事责任。第五章病毒检测和网络安全漏洞检测第十二条办公网和生产网必须配置认定合格的计算机病毒检测、去除工具，定期进行病毒检测和去除。第十三条各部门发现计算机病毒应当及时去除；无法去除的，应当及时向计算机网络管理人员报告，并采取隔离、控制措施；在确认病毒类型、查明传入途径、被感染的设备、磁媒体数量并彻底去除病毒后，方可重新投入使用。第十四条禁止任何部门和个人安装黑客软件，严禁攻击办公网和生产网其它计算机，严禁分布黑客软件和病毒。第十五条对于系统软件和应用软件的安全隐患，计算机管理人员必须及时从系统软件开发商和应用软件开发商获取相关的弥补措施，如安装补丁软件、制定新的安全策略等。第十六条网络管理科必须对办公网和生产网的计算机安装防火墙系统，加强网络安全管理，预防病毒感染和恶意攻击。第十七条办公网和生产网的病毒检测和网络安全检测；负责人员必须定期对网络安全和病毒检测进行检查。第十八条涉密计算机必须与上互联网计算机做到物理隔离。第五章系统数据管理和安全协查第十九条接入互联网的计算机必须自觉遵守网络法规，严禁利用计算机从事下列活动：1未经允许，对上所具有的功能、程序、数据进行删除、修改和增加；2成心制作、传播计算机病毒与毁坏性程序；3其他危害安全的行为。4严禁在XXX上传递机密文件，十分是机密级以上的机密文件。第二十条任何部门和个人不得在办公网和生产网通过互联网下载传递有政治问题和淫秽色情容的信息。第二十一条严禁在网络上使用来历不明、引发病毒传染的软件，对于来历不明的可能引发计算机病毒的软件必须使用认定合格的杀毒软件检查、杀毒。第二十二条服务器及网络设备遭受攻击后，网络管理技术人员要立即采取措施予以解决，同时做好系统保护工作。第六章账号使用登记和操作权限管理制度第二十三条XXX各主要网络设备、计算机服务器系统由技术部统一管理，除管理员外，其他任何人不得擅自操作网络设备，修改网络设置。第二十四条XXX所有网络设备、计算机服务器系统应当正确分配权限，并加口令予以保护，口令应定期修改，任何非系统管理员严禁使用、猜想各类管理员口令。第二十五条对于网络设备要做好备份工作，确保在系统发生故障时能及时恢复。第二十六条对于网络系统的设置、修改要及时做好登记、备案工作。重大更改必须向主管领导汇报，征得同意后方可进行更改。第七章安全教育和培训第二十七条技术部负责牵头，定期召开信息安全会议，通报信息安全状况，解决信息安全问题。第二十八条技术部要定期举办信息安全培训班，学习相关法律、法规，提高管理人员的信息安全意识和安全水平。第二十九条管理人员要定期对生产环境检测和安全维护。第三十条XXX办公网和生产网络线路安全运行由技术部负责监督、维护。第三十一条要加强对计算机实体的安全保护工作，中心机房、各部门计算机要做好防火、防水、防盗、防雷等方面工作。第八章奖励与处罚第三十二条公司每年应组织一次本单位信息安全管理工作评选活动，对表现突出的单位和个人进行通报表彰并给予一定形式的奖励。第三十三条违背本管理制度，将按有关规定视情节给予相应的批评教育、通报批评、行政处分或处以警告、责令停机整顿。触犯法律、行政法规的，按照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追查刑事责任。第九章附则第三十四条本规定由XXX负责解释。第三十五条本规定自发布之日起施行。