第二工程有限公司计算机网络安全管理办法.doc

x公局第二工程有限公司计算机网络安全管理办法第一章 总 则第一条 为规范和加强x公局第二工程有限公司（以下简称公司）计算机网络的安全管理，保护计算机信息系统（以下简称信息系统）资源安全，保证公司计算机网络的正常运行和健康发展，根据国家有关法律法规和xx公路工程局有限公司计算机网络安全管理办法，结合公司实际，制定本办法。第二条 本办法适用于公司机关及公司所属各项目。第三条 本办法所称信息系统是指由计算机及其相关和配套设备、设施构成的，按照一定应用目标和规则，对信息进行采集、加工、存储、传输、检索等处理的系统。第二章 组织机构和职责第四条 企业管理科（以下简称企管科）是公司计算机网络的管理部门，其职责如下：1、负责制定公司计算机网络安全策略并组织实施；2、负责对网络设备、安全设施进行安全配置；3、负责对网络用户及其权限进行管理；4、负责监控网络运行状况，进行日常维护、维修；5、负责对网络设备、安全设施的定期检查和安全审计；6、负责通过外包服务合同，落实和实施计算机网络安全管理的各项职责和工作任务。第三章 安全配置管理第五条 制定网络安全策略，对员工可使用的网络服务进行授权管理，保证网络连接和服务的安全技术正确实施。第六条 根据网络安全策略，在与外部网络连接的接口边界处部署防火墙等安全设备，采用最少开放原则设置端口控制，实现内外网安全隔离。第七条 公司局域网按部门划分不同的子网或网段，并依据业务数据的重要程度实现必要的网络隔离。第八条 在进行网络配置工作时，首先应对配置文件进行备份，配置完成并验证后，备份变更后的配置文件，并记录本次配置的目的、变更内容和时间。第四章 访问控制管理第九条 应根据x公局第二工程有限公司信息系统用户管理办法（试行），为公司员工分别设置网络用户帐号和初始口令。第十条 应通过使用用户名和口令，在对用户进行身份验证后方能允许其登录网络系统，使用公共的网络资源和网络服务。第十一条 员工应及时对初始口令进行修改，并保护好自己的口令等身份鉴别信息。第十二条 员工因业务需要须使用受控网络资源或特殊网络服务时，应提出书面申请，报本部门负责人批准，提交企管科审核后，由网络管理人员进行用户授权。第十三条 非公司人员因工作需要须接入公司局域网的，应由公司有关部门负责人批准。第十四条 网络管理员负责设置服务器和网络设备系统口令，系统口令每三个月更改一次。系统口令最少12个字节并包含数字、字母和特殊字符。安全管理员对所有设备、口令进行登记，纸质登记记录清单封存在仅有安全管理员和企管科负责人可以打开的柜子中。 第五章 日常维护管理第十五条 网络设备实行7 X 24小时不停机运行。应每日巡检设备运行状态和机房环境，并填写机房管理人员每日巡检表（附件一）。第十六条 应对网络系统中的设备运行状况、网络流量和用户行为等设置自动日志记录，每日对运行日志、网络监控记录和报警信息进行分析和处理。企管科负责人应能及时了解、掌握重大的网络安全事件及事故情况。第十七条 在设备发生故障时应利用备件及时修复，或与设备供应商联系维修，并填写机房设备维护记录。第十八条 每日对网络系统进行漏洞扫描和入侵检测，对发现的网络系统安全漏洞进行及时修补，并填写系统漏洞扫描记录。应定期编写网络漏洞扫描报告，内容包括漏洞名称、严重程度、原因分析和改进意见等。第十九条 每日对网络和主机进行恶意代码检测并保存检测记录。外来计算机或存储设备接入网络系统之前,应进行病毒检查。第二十条 及时对网络设备进行软件版本升级和打补丁。升级前应对现有的配置文件等重要文件进行备份，软件版本升级完成并验证后，登记版本信息并填写系统维护记录。第六章 安全审计管理第二十一条 定期对网络连接、网络安全措施、网络设备和操作规程进行安全检查和评估，编写网络安全报告，不断完善网络安全策略。第二十二条 定期对涉及网络配置的增、删、修改等操作记录进行审计, 检查实际配置与安全策略的符合性。第二十三条 定期对系统用户和有关管理人员的口令和访问权限进行审查。第二十四条 定期巡检设备运行状态和机房环境，对重要用户行为、网络运行日志、网络监控记录、漏洞扫描记录进行审计，对报警信息和系统资源的异常使用信息进行分析，检查违规行为和系统漏洞，提出处理措施和建议。第二十五条 最少每半年进行一次安全审计。大规模网络改造后3个月进行一次安全审计。第七章 附则第二十六条 本办法由企管科负责解释。第二十七条 本办法自公布之日起实行。附件：x公局二公司机房管理人员每日巡检表附件：x公局二公司机房管理人员每日巡检表_年_月_日 星期_机房设备情况计算机故障及处理情况设备故障现象处置办法已解决未解决备注卫生工作情况机房地面、桌面和机台保洁情况消防及安全注：此栏包括每天的电源、门窗、空调、照明、水管等设施的检查关闭。5