某公司信息安全管理制度.docx
信息安全管理制度第一章总则第一条*XX物流(集团)有限公司(以下简称公司)必须坚持“安全第一, 预防为主”的方针和群防群治制度,认真贯彻落实安全管理制度,切实加强安全 管理,保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文 件,制定本企业信息安全管理制度。第二条本信息安全管理制度,是指公司及所属各单位内部员工通过计算机 电子化办公设备,开展工作、活动及进行消息传递动作,确保在消息传递过程中 相关设备、相关信息安全有效,维护企业社会形象,杜绝发生盗取、传播等涉嫌 违法行为。确保信息传递设备质量完好,企业内部计算机的正常使用。第三条公司信息部主管网络、信息安全,要求所属各单位依据自身情况, 建立相关组织机构进行管理。第四条公司主要依靠计算机设备,计算机不同于其他办公设备,其实用性、 严密性、操作技术性强,含量高、部件易受损;特别是联网计算机,开放性程度 比较高,电脑内部易受外界的偷窥、攻击和病毒感染。为确保计算机软、硬件及 网络的正常使用,特制定本制度。第二章日常管理第五条公司内所有计算机的维护、调试信息部统一管理,配备计算机的员 工只负责使用操作。第六条公司信息部对计算机管理涉及的范围包括所有硬件(包括外接设备) 及网络联接线路;计算机及网络故障的排除及计算机及网络的维护与维修。第七条公司内所有计算机使用人员均为计算机操作员,信息部负责对公司 内所有计算机进行定期检查。第八条计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境, 禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安 全的物品。第九条非本单位技术人员对我单位的设备、系统等进行维修、维护时,必 须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负 责人批准。第十条严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使 用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时 向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。第三章员工职责第十一条计算机原则上由专人负责操作维护,不得串用设备。下班后必须 按程序关闭主机和其他设备,切断电源。第十二条为保证计算机信息安全,必须为计算机设置密码。第十三条 计算机操作员需正确使用操作计算机,杜绝违规操作,具体包括 当硬件设备出现故障擅自拆开主机机箱盖板;更换计算机配件(如鼠标、键盘、耳 麦);如有向网络管理员写设备申请单审批。删除计算机操作系统及公司指定的软 件;使用带病毒的计算机软件;让外来人员进行有损于计算机的技术性操作等。第十四条不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算 机进行杀毒。如发现计算机有病毒时,应及时清除,清除不了的病毒,要及时上 报。第十五条公司重要文档、资料和数据保存时必须将资料储存在除操作系统 外的其它磁盘空间,严禁将重要文件存放于桌面或C盘下。第十六条工作时间内严禁工作人员在计算机上进行与工作无关的操作,不 准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐等,第十七条 电脑及网络设备所在环境应保持清洁、卫生、通风,注意防尘、 防潮、防火。第十八条公司所有计算机使用者,不得破坏网管员对计算机的安全设置。包括用户使用权限。第十九条除服务器外,其他所有计算机下班后必须关机并切断电源;第二十条计算机使用者离职时必须由网络管理员确认其计算机硬件设备完 好、移动存储设备归还、信息系统管理帐户密码和资料未破坏、个人帐户密码清 除后方可办理离职手续。第二十一条 如工作人员不按规定操作,造成不良后果的,将按有关规定, 由操作者承担相应责任,并追究科室负责人的有关责任。第二十二条网络管理员管理操作权限必须经过公司领导授权取得;根据不 同部门的要求及岗位职责而设置。负责故障恢复等管理及维护,必须有其上级授 权;不得使用他人操作代码进行业务操作。第四章密码安全第二十三条密码设置应具有安全性、保密性,不能使用简单的代码和标记。 密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密 码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是 进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律 数字等容易猜测的数字和字符串;第二十四条密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密 码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内 容。第二十五条 服务器、路由器等重要设备的超级用户密码由运行机构负责人 指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码 装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。 如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用 人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理 登记簿”中登记。第二十六条系统维护用户的密码应至少由两人共同设置、保管和使用管理 制度。5、有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码 立即修改或用户删除,同时在“密码管理登记簿”中登记。第五章数据安全第二十七条存放备份数据的介质必须具有明确的标识。备份数据必须异地 存放。第二十八条注意计算机重要信息资料和数据存储介质的存放、运输安全和 保密管理,保证存储介质的物理安全。第二十九条任何非应用性业务数据的使用及存放数据的设备或介质的调拨、 转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。第三十条数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢 失。数据恢复过程中,出现问题时由技术部门进行现场技术支持。数据恢复后, 必须进行验证、确认,确保数据恢复的完整性和可用性。第三十一条数据清理前必须对数据进行备份,在确认备份正确后方可进行 清理操作。历次清理前的备份数据要进行定期保存或永久保存,并确保可以随时 使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。第三十二条需要长期保存的数据,数据管理部门需与相关部门制定转存, 根据转存和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效, 通过有效的查询、使用方法保证数据的完整性和可用性。第三十三条 非本单位技术人员对本公司的设备、系统等进行维修、维护时, 必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理 机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的 信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、 病毒检测。第三十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清 除,并妥善处理废弃无用的资料和介质,防止泄密。第三十五条运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。 第三十六条营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。第六章网络管理第三十七条网络系统属于公司无形资产,公司有权限制上网行为,根据工 作需要限制各部门的上网行为。第三十八条 公司网络管理员对计算机IP地址统一分配、登记、管理,严禁 私自更改IP地址。第三十九条 公司员工必须自觉遵守企业的有关保密法规,严禁利用网络有 意或无意泄漏公司的涉密文件、资料和数据。不得非法复制、转移和破坏公司的 文件、资料和数据。第四十条 实行“绝密”文件、涉秘件与计算机网络绝对隔离,不得在计算 机网络中输入、打印、复制“绝密”文件和有关涉秘件;第四十一条网络维护部负责文字工作的计算操作人员必须遵守有关的保密 制度,对保密的文件资料进行加密存放,不得上网共享。第七章附则第四十二条 本制度由网络部负责解释。第四十三条本制度经公司安全生产委员会批准后生效,自颁布之日起执行。