公司信息安全管理规定.docx

XXXX 集团公司信息安全治理制度一、计算机机房安全治理1、路由器、交换机和效劳器以及通信设备是网络的关键设备，须放置计算机机房内，不得自行配置或更换。2、计算机机房内必需安装高清监控系统，可监控范围 360 度无死角，且需安装大容量存储器，保证录音保存期限，最长保存3 年，由专人负责登记并做好转存备份、删除记录工作。3、计算机机房要保持清洁、卫生，并由专人负责治理和维护，无关人员未经治理人员批准严禁进入机房。4、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。5、建立机房登记制度，对本地局域网络的运行，建立档案。未发生故障或故障隐患时当班人员不行对光纤、网线及各种设备进展任何调试，对所发生的故障、处理过程和结果等做好具体登记。6、网络治理人员应做好网络安全工作，效劳器的各种帐号严格保密。监控网络上的数据流，从中检测出攻击的行为并赐予响应和处理。7、做好操作系统的补丁修正工作。8、网络治理人员统一治理计算机及其相关设备，完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。9、计算机及其相关设备的报废需经过治理部门或专职人员鉴定， 确认不符合使用要求前方可申请报废。10、制定数据治理制度，对数据实施严格的安全与保密治理，防止系统数据的非法生成、变更、泄露、丧失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。二、网络安全治理1、网络安全治理员主要负责全公司网络包含非开放式局域网、开放式局域网及广域网的系统安全性。2、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。3、做好周密的日志记录以及细致的分析，觉察到网络处于被攻击状态后，网络安全治理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，假设对方不听劝告，在保护系统安全的状况下可做善意阻击并向主管领导汇报。4、每月安全治理人员应向主管人员提交当月值班及大事记录， 并对系统记录文件保存收档，以备查阅。三、系统运行维护治理1、中心机房和办公区域隔离分设，未经负责人批准，不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。2、各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准前方可进展；必需按规定进展具体登记和记录，对各类软件、现场资料、档案整理存档。3、为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必需按有关规定履行交接登记手续。4、部门负责人应定期与不定期对制度的执行状况进展检查，催促各项制度的落实，并作为人员考核之依据。四、资产和设备治理1、数据中心所属范围内包括全部设备及办公物品归属数据中心治理。2、严格执行上级治理部门有关设备治理的各项规章制度，对本中心治理的设备进展编号、登记、建立完善、准确的文档。3、购进设备时，数据中心有关负责人必需与供货人共同启封， 核对设备规格、型号、数目及软件和文字资料，并进展质量检验。核对无误，验收合格后，方可签字并办理有关手续。4、实行设备领用人责任制，谁领用，谁使用，谁保管。5、对数据中心所属重要设备，要建立档案系统，保证技术资料完整。6、非数据中心工作人员，不得擅自启动、关闭、动用、迁移各种网络设备。7、从数据中心调出设备，必需经中心负责人认可批准后，方可调出。8、每半年对数据中心的计算机网络设备进展一次全面检查和维护。9、每年末对固定资产清查一次。10、每年对机房设备保管和使用环境评估检查一次，如消灭问题准时实行乐观措施。11、对于超过有效使用期的设备、淘汰设备或毁坏设备，按上次治理部门对固定资产设备报废规章制度办理，并履行有关手续。12、数据中心设备使用和治理人员，对操作不当或治理不善造成设备损失的，要追查责任，赐予相应惩罚，有意破坏的移交司法部门处理。对于工作认真负责，避开损失的，赐予肯定嘉奖。五、数据及信息安全治理数据中心的数据及信息安全主要由信息安全治理员负责，信息安全治理员的主要职责如下：1、信息安全治理员负责企业的信息安全保护治理工作，建立健全信息安全保护治理制度；2、信息安全治理员负责落实信息安全保护技术措施，保障本网络的运行安全和信息安全；3、数据存储设备和通讯设备全程 24 小时监控，对数据导出功能进展权限治理；4、工程实施人员入职时均签署保密协议，作业流程合法合规， 对员工违规行为具有成熟完善的处置机制，情愿承受托付方检查和监视；5、工程实施人员的通讯设备手机、IPAD 等电子设备，必需放置到规定区域内，不许带到作业区，以防数据的泄露；6、负责防火墙、IDS、防病毒系统等的策略制定；7、负责本中心审计系统的运行治理，对运行状况进展审计；8、负责本中心身份认证系统、权限治理和授权、单点登录系统的运行治理；9、负责本中心的防火墙、入侵检测系统、防病毒系统的运行治理，并定期升级；10、负责本中心相关日志的填写、收集、归档、治理；11、对本中心所公布的信息内容依据等相关规定进展审核；12、觉察有违反安全治理规定的行为，应当保存有关原始记录， 并准时向相关治理部门报告；13、依据国家有关规定，负责删除企业中含有违法内容的地址、名目或者关闭效劳器。六、数据安全把控方案一数据备份、数据恢复、数据删除1、为了确保系统计算机系统的数据安全，使得在计算机系统失效或数据丧失时，能依靠备份尽快地恢复系统和数据，保护关键应用数据的安全，保证数据不丧失，特制定本制度。2、拥有重要系统或重要数据的效劳器应当及对数据进展备份， 防止系统、数据的丧失；涉及数据备份和恢复的效劳器要由专人负责数据备份工作，并认真填写备份日志。3、网络效劳器数据备份工作，由网络治理部负责，增量备份每日做，系统备份每周做一次。系统治理员在每周最终一个工作日，将数据库及各主要硬件设备配置文件等做一次异机备份，数据保存一个季度。4、备份数据应当严格治理，妥当保存；备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。5、数据的备份、恢复、转出、转入的权限都应严格掌握。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进展数据恢复或转入或转出操作。6、一旦发生数据丧失或数据破坏等状况，要由系统治理员进展备份数据恢复，以免造成不必要的麻烦或更大的损失。7、数据的删除，所实施的工程按与托付方签定协议要求规定的， 到期必需删除的数据及资料，由该工程负责人上报相应部门审批后， 交由数据中心的信息安全治理员进展数据资料删除操作并做数据删 除登记。8、各级信息技术治理部门必需定期检查保存备份数据能否正常使用。二密码治理制度1、网络效劳器密码口令的治理（1） 效劳器和网络设备的治理账号密码，由网络治理员持有， 实行定期轮换制度，最长有效期不超过 90 天。（2） 更换效劳器与网络设备密码时必需执行密码备案制度，以防遗失密码，同时告知主管领导备案密码。（3） 用户级密码如：网站、数据库系统、网站信息治理系统等用户帐号必需专人专号，不得相互泄露密码。（4） 公共帐号等不能向中心以外人员泄露。（5） 如觉察密码及口令有泄密迹象，系统治理员要马上报告部门负责人，严查泄露源头，同时更换密码。2、用户密码及口令的治理（1） 系统治理员负责设定密码和口令。（2） 公共帐号密码变更，必需通知到相关部门。三信息安全责任制1、准时对计算机安全制度进展补充和完善，形成完整的、科学的计算机安全工作制度体系。2、加强对重要岗位人员在安全方面的治理，实行责权安排。3、重要岗位人员上岗前必需进展审查和业务技能考核，并进展必要的安全教育和培训，合格者方能上岗。4、重要岗位人员必需严格遵守保密法规和有关计算机安全治理规定，担当相应岗位安全责任。5、系统治理员负责系统的运行治理、实施系统安全细则，严格用户权限治理，记录系统安全事项，对进展系统操作的其他人员予以安全监视。准时解除系统故障，不得擅自转变系统功能，不得安装与系统无关的其它程序，觉察漏洞准时处理。6、操作人员准时向系统治理员报告系统各种特别大事，严格执行系统操作规程和运行安全治理制度。7、重要网络设备应放在主机房内，其他人员不得对网络设备进展任何操作。8、内部网络的全部计算机设备，不得直接与外部互联网相联接，必需实行物理隔离。9、定期进展主机设备的例行保养和预防性检修，制定主机设备故障修理规程并严格执行，重大故障应留意保护现场，进展应急处理应马上报告。10、必需按技术规程进展系统和用户数据备份；系统和用户数据必需双备份，异地存放。关键系统应有灾难数据备份。11、加强计算机病毒防范措施，有计算机预防和去除病毒和软件或硬件产品。12、各科室要加强计算机安全教育，宣传计算机犯罪的危害，提高全员计算机安全防范意识和法纪观念，自觉维护计算机安全。