信息安全管理规定.doc

《信息安全管理规定.doc》由会员分享，可在线阅读，更多相关《信息安全管理规定.doc（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书山有路勤为径，学海无涯苦作舟。信息安全管理规定 目录 一、总则.2 二、适用范围.2 三、职责.2 四、管理规定.2 五、信息安全风险评估.6 六、附则.71.1.2.计算机病毒防范管理规定.81.1.3信息系统管理制度.11 一、业务主管职责.11 二、系统管理员具体职责：.12 三、系统管理员操作管理制度.12 四、系统管理员备份管理制度.13 五、软件管理制度.13 六、数据管理制度.14 七、系统维护管理制度.15 八、档案及数据管理制度.161.1.4中心机房管理规定.18 一、机房人员日常行为准则.18 二、机房安全制度.18 三、机房用电安全制度.19 四、机房消防安全制度.1

2、9 五、机房硬件设备安全使用制度.20 六、软件安全使用制度.21 七、机房资料、文档和数据安全制度.22 八、机房财产登记和保护制度.22 九、机房巡检制度.22 一、总则 为加强公司管理处计算机信息体系资产安全的保护，保障公司信息化体系连续可靠正常地运行，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际网管理暂行规定和相关行政法规，结合公司管理处实际状况，特制订本规定。 二、适用范围 本规定适用于公司管理处所有员工，所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。 三、职责 3.1技术保障

3、部负责本规定的制订和修订。 3.2各级部门主管负责本规定在本部门的落实。 3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。 四、管理规定4.1电子产品资产管理 4.1.1公司所有办公电脑（含笔记本电脑）与相关电子产品属公司资产，任何部门及个人无权侵占、挪为私用。 4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配，并发放给对应的使用人员，资产挂靠人有该资产使用权，同时需承担保管义务，任何遗失、人为破坏行为，需按照资产折旧值赔偿。 4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具，任何人无权利用其做个人经营或工作无关

4、事宜，一经发现提报人力资源部据公司相关规定处分。 4.1.4未经许可，不得擅自使用他人电脑，所有用户需设置5分钟密码屏保，以确保离开后电脑不被他人使用。 4.1.5人员离职、调岗时，请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料，接收、重新分配电脑。 4.2账号及密码安全管理 4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任，未经上级主管审批，不得将自己的账号及密码告诉其他人，造成损失者，对账户及密码拥有人员酌情处分。 4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责，并定期修改密码；密码需

5、统一登记在册，并及时更新，由技术保障部经理负责，出现重大泄露事件，对部门经理及相关责任人处分。 4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码，统一由市场营销部门对应岗位负责。 4.2.4因工作需要，在政府或第三方机构等网站注册的账号、密码，分别由各责任部门自行负责。 4.2.5具有信息系统权限的人员离职、调岗时，必须由技术保障部会签离职、调岗相关单据，以及时处理相关权限。 4.3计算机系统安全管理 4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控，特殊岗位因工作需要开通权限，需经申请批准后由技术保障部执行，任何未经批准擅自更改者视

6、情节严重性进行处分。 4.3.2未经技术保障部备案许可，严禁擅自安装自带软件，私自安装软件造成的版权纠纷，将由个人承担全部相关法律责任。 4.3.3公司所有办公电脑严禁安装游戏、工作无关软件，技术保障部不定期检查，对并违规行为做通报。 4.4网络及应用系统安全管理 4.4.1任何部门和个人，不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动，不得利用国际互联网制作、复制、查阅和传播违法信息，任何利用公司网络所作的违法行为属个人行为，将全部由个人承担相关法律责任，公司将配合相关部门严厉查处。 4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的；

7、4.4.1.2捏造或者歪曲事实，散布谣言，扰乱社会秩序的； 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； 4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。 4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动，违者全部由个人承担相关法律责任，并视情节严重性请相关部门追究法律责任。 4.4.2.1故意制作、传播计算机病毒等破坏性程序的； 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的； 4.4.2.3其他故意危害公共网络、公司网络安全的行为。 4.4.3电脑ip地址是公司网络管理的最重要基础，公司所有办公电脑（

8、含笔记本电脑）由技术保障部统一分配ip地址，任何部门或个人无权擅自修改ip地址。 4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。 4.4.5不得在公司内部安装、使用网络代理软件，以扰乱网络管理机制。 4.4.6技术保障部需定期检查、通报公司网络使用状况，并对违规者申请处分。 4.5信息资料安全管理 4.5.1公司所有信息资料属公司资产，各部门与个人有义务承担本部门或个人信息资料的保密责任，并对所辖机密资料的安全承担连带责任。 4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制，并定期检查、更新。 4.5.3未经批准，不得把本部门机密资料放置在公共网络、内部

9、不受限共享夹、或以其他任何方式发送给受限范围以外的人员；任何有意、无意的泄密行为都是公司严厉禁止的，直至追究法律责任。 4.5.4对于部分有备份安全需求的部门，可申请由技术保障部统一安排部署备份服务器及备份机制。 4.6中心机房安全管理 详见公司管理处中心机房管理规定。 4.7计算机病毒防范 详见公司管理处计算机病毒防范管理规定4.8监控资料安全管理 4.8.1监控资料调阅管理部门为技术保障部，安防监控录像调阅请参照综合管理部相关规定。 五、信息安全风险评估5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变，每年至少要进行一次信息安全风险评估，对相关的制度进行重新审核，并更新不适当

10、的内容。 六、附则 6.1本规定由技术保障部负责解释。 1.1.2.计算机病毒防范管理规定 为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行，根据国家有关规定，结合实际情况，制定本制度。 一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门，必须遵守本制度。 二、本办法所称计算机病毒，是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 三、任何工作人员不得制作和传播计算机病毒。 四、任何工作人员不得有下列传播计算机病毒的行为。故意输入计算机病毒，危害

11、计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。 五、预防和控制计算机病毒的安全管理工作，由技术保障部负责实施管理。其主要职责是 制定计算机病毒防治管理制度和技术规程，并检查执行情况；采取计算机病毒安全技术防治措施； 对计算机信息系统使用人员进行计算机病毒防治教育和培训；及时检测、清除计算机系统中的计算机病毒，并做好检测、清除的记录； 购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品； 对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录，评估事故损失，保护现场并向公安机关报告。 六、计

12、算机安全管理部门应加强对计算机操作人员的审查，并定期进行安全教育和培训。 七、计算机信息系统应用部门应建立计算机运行记录制度，未经审定的任何程序、指令或数据，不得输入计算机系统运行。 八、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测，发现染有计算机病毒的，应采取措施加以消除，在未消除病毒之前不准投入使用。 九、通过网络进行电子邮件或文件传输，应及时对传输媒体进行病毒检测，接收到邮件时也要及时进行病毒检测，以防止计算机病毒的传播。 十、积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。 十一现对日常使用计算机做出如下建议及时安装系统补丁。建议使用系统自带的更新程序进行系

13、统更新，不要使用诸如360安全卫士或电脑管家进行更新安装杀毒软件。可以安装360等免费杀毒软件。 定期扫描系统是否感染有病毒，3天左右一次，可以在下班前或中午吃饭的时候进行全盘病毒查杀。定期更新防病毒软件。 不要乱点击链接和下载软件，目前许多下载网站都带有推广链接，很容易造成误操作.如需要下载软件，请到正规官方网站上下载.不要访问无名和不熟悉的网站，防止受到恶意代码攻击或是恶意篡改注册表和ie主页.不要陌生人和不熟悉的网友聊天，特别是那些病毒携带者，因为他们不时自动发送消息，这也是其中毒的明显特征.关闭无用的应用程序，因为那些程序对系统往往会构成威胁，同时还会占用内存，降低系统运行速度.安装软

14、件时，切记不要安装其捆绑软件，尤其是部分流氓软件，一旦安装，想要卸载十分麻烦，甚至于需要重装系统才能清除.不要随意执行附件中的可执行文件，一般以.com，.exe.bat作为后缀名这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于这些可执行程序附件都必须检查，确定无异后才可使用。不要随意打开附件中的文档文件对方发送过来的电子函件及相关附件的文档，首先要用另存为命令（saveas）保存到本地硬盘，待用病毒查杀软件检查无毒后才可以打开使用。如果用鼠标直接点击两下doc、xls等附件文档，会自动启用word或excel，如有附件中有病毒则会立刻传染;如有是否启用宏的

15、提示，那绝对不要轻易打开，否则极有可能感染上邮件病毒。 不要直接运行附件对于文件扩展名很怪的附件，或者是带有脚本文件如*.vbs、*.shs等的附件，千万不要直接打开，一般可以删除包含这些附件的电子函件，以保证计算机系统不受计算机病毒的侵害，或经过扫描之后打开。 邮件设置如果是使用outlook作为收发电子邮件软件的话，应当进行一些必要的设置。选择工具菜单中的选项命令，在安全中设置附件的安全性为高;在其他中按高级选项按钮，按加载项管理器按钮，不选中服务器脚本运行。最后按确定按钮保存设置。 外来u盘、移动硬盘、光盘等最好在装有杀毒软件的电脑上查毒确认无病毒后再打开、执行、拷贝。 1.1.3信息系

16、统管理制度 一、业务主管职责 财务、综管、营销、运营等重点业务主管，负责协调本业务范围内信息系统的总体运行工作。具体职责包括： 1、负责本部门信息化岗位的设定和分配，结合本部门情况确定每个岗位的职责； 2、分配每一岗位人员操作权限，以书面形式通知系统管理员； 3、根据本单位的实际情况，总结系统存在的问题，并提出改进的建议； 4、研究本单位的需求，对信息系统提出新需求或升级的请求； 二、系统管理员具体职责： 1、负责系统软件、硬件及数据库的安装与升级； 2、负责系统软件、硬件及数据库所有技术问题，保障系统正常运行； 3、负责服务器的硬软件资源分配，监控网络的运行； 4、负责数据的备份与备份的恢复

17、工作； 5、负责公司用户权限的分配管理工作，做好数据的保密工作； 6、负责组织信息系统的培训工作； 三、系统管理员操作管理制度 1、操作人员（包括专业维护人员）必须严格按照操作权限操作，不得越权操作。每次操作应记录相应的操作日记，日记包括操作时间、执行命令等。 2、操作人员离开系统时，应退出系统或进行系统封锁。 3、管理员每周应检查数据备份情况，每月应将其刻录成光盘。 4、系统管理员变动前必须办理交接手续，经接管人员或监交人员与系统管理员双方签字确认，作为档案存档。 四、系统管理员备份管理制度具体内容包括： （1）管辖范围内的服务器地址分布； （2）网络服务器口令、数据库超级口令、公司信息系统

18、管理员口令； （3）每年的历史数据备份，本年的所有的数据备份；（4）系统培训资料；（5）系统维护记录本； （6）所有版本的公司信息系统软件；（7）所有版本的数据库管理系统软件；（8）其他应交接的内容。 （9）对交接内容应进行相应的测试，以确保交接质量。一旦交接，接替人员或监交人员应立即更换所有口令，并开始承担系统管理员的所有工作。 五、软件管理制度 1、信息系统功能改动时，应对其功能改动部分进行认真测试研究，确定新增功能的用法，防止工作的盲目性。 2、公司在组织软件的升级工作时，一般应在同一个会计期间内一次性更换所有在用软件，升级前应通知各用户，并对功能更动部分加以说明。 3、要严格保护所有在

19、用软件的版权，包括网络、数据库、操作系统、软件等。严禁将软件以任何形式出售、转让或赠送给该范围以外的任何单位或个人。 4、各单位要制定具体的防病毒措施。所有来历不明的媒体介质在使用前必须经过病毒检测，对所有在用计算机尤其是nt服务器必须定期进行病毒检测。使用网络的单位要严防病毒通过网络传播，办公用计算机不能装入各种游戏软件。 六、数据管理制度 1、信息系统的数据管理是指数据不丢失、不损毁、不向无关人员泄露、不被非法修改，保障数据的安全要从技术和管理两个方面着手，做好安全保密工作。 2、要经常对系统中的数据进行备份，以便在计算机发生故障时可将数据恢复到最近状态。数据备份的目标是防止任何时间发生的

20、硬、软件故障以及人为失误造成的数据损毁，因此原则上要求在发生业务的当天都进行备份。具体备份模式为： （1）每天在服务器上作一数据备份， （2）每周作一个异地备份，每月制作一份数据光盘；（3）每年年末制作双备份，存储于不同的地点。 3、对备份的数据应加强管理，防止被非法拷贝或毁坏。 4、采取各种措施来保障上网数据的安全性。要严密控制好数据库及其服务器的口令，控制好各用户的口令。 七、系统维护管理制度 1、系统维护管理是指为保障系统正常运行而进行的对硬件、网络、数据库、操作系统、软件及相关办公自动化软件进行的安装、修正、更新版本、扩展、备份等操作以及对软件应用模式的设计及实施工作。系统的维护管理工

21、作由系统管理员或由系统管理员授权的专业维护人员负责进行。未经系统管理员授权的人员不得进行系统维护操作。 2、未经系统管理员许可，不得在公司信息系统服务器上安装其它硬、软件，不得改变系统的运行环境。 3、系统运行时，应获得充分的维护保障。系统发生影响正常运行的故障时，系统理员应及时给予处理。属于系统优化或不影响正常业务流程的问题，系统管理员应进行合理的预计，提前规划，制定实施方案以确保系统的平稳运行。 4、系统运行中出现故障或出现不明意义的提示时，操作人员应保护现场，及时与系统管理员联系。由于操作人员擅自处理故障而引起的后果由操作人员自己负责。 5、系统管理员在不能直接排除故障并且没有替代解决方

22、案，应请求上一级部门系统管理员或专业维护人员的技术支持。 6、要建立系统管理维护记录本实行系统维护记录制度。对故障的发生时间、表现、解决办法及结果等进行详细的记录，并由维护人员或系统管理员签字。系统管理维护记录本的登记要条理清楚、时间准确，字迹工整。 7、对于两个以上的系统维护管理人员应进行合理的分工，充分发挥系统管理员的作用，不断加强系统维护的技术保障，逐步形成一套有效的系统维护管理体制。 八、档案及数据管理制度 1、公司信息系统档案包括：（1）数据库备份资料；（2）软件升级前的数据库备份； （3）打印输出的经过盖章签字的会计资料； （4）每年一次的经系统管理员签字的系统管理维护记录本存档；

23、 （5）所有版本的系统、网络、数据库、软件；（6）软件的开发文档、源程序；（7）其他应该存档的资料或数据。 2、打印输出的凭证、报表、帐簿等各种会计资料的保存按财政部会计档案管理办法执行。数据库的备份要永久保留。以胶片、磁、光等介质保存的数据的档案应按照有关规定保存在温湿度适宜、阳光不直射，并且不能被损害的场所。 3、以磁介质存储的数据应定期更换新的介质进行再拷贝。 4、本章未及内容按照财政部会计档案管理办法执行。附件：补丁更新记录台帐、数据备份登记台帐、服务器等设备维护登记表、档案移交登记表的样本。 1.1.4中心机房管理规定 本规定适用于中心机房的管理，机房工作人员要认真遵守，并作为日常行

24、为规范。 一、机房人员日常行为准则 1.1必须注意环境卫生。禁止在机房内抽烟、吃食物、随地吐痰，保持机房无尘洁净环境。 1.2机房用品要各归其位，不能随意乱放，不许堆放杂物。注意检查机房的防晒、防水、防潮，维持机房环境通爽，保证机房的适当温度和适度。 1.3中心机房每周清扫一次，物品要摆放整齐，保持安静清洁的工作环境。 二、机房安全制度 2.1禁止带领与机房工作无关的人员进出机房，建立机房准入制度，凡进入机房人员必须得到技术保障部经理允许，并进行登记（格式见公司管理处机房出入登记表），由技术保障部人员全程陪同。 2.2未经主管领导批准，禁止将密码、信息外借透露给其它人员，同时有责任对信息保密。

25、对于泄露信息的情况要及时上报，并积极主动采取措施保证机房安全。 2.3重点做好机房防火、防水、防潮湿、防干燥、防短路、防断路、防老鼠、防盗、防高温，出现机房盗窃、破门、火警、水浸、110报警等严重事件时，网络信息工作人员有义务以最快的速度和最短的时间到达现场，协助处理相关的事件。 2.4工作人员离开工作区域前，应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护的状态。 三、机房用电安全制度 3.1机房工作人员应学习常规的用电安全操作知识，了解机房内部的供电、用电设施的操作规程。掌握机房用电应急处理步骤、措施、要领。定期检查供电、用电设备、设施。 3.2机房不得乱拉乱接电线及用电设备。

26、如发现用电安全隐患，应及时采取措施解决，不能解决的必须及时向主管领导汇报。 3.3在危险性高的位置应张贴相应的安全操作方法、警示以及指引，实际操作时应严格执行。 3.4在外部供电系统停电时，机房工作人员应全力配合完成停电应急工作，启动应急设备，或及时关闭计算机系统。 四、机房消防安全制度 4.1机房管理人员应熟悉机房内部消防安全操作规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。 4.2工作人员要保护消防设备不被破坏。如发现消防安全隐患，应及时采取措施解决，不能解决的应及时向相关负责人员提出解决。 4.3最后离开机房的工作人员，应检查消防设备的工作状态消防器材的完好，关闭将会带来

27、消防隐患的设备，采取措施保证无人状态下的消防安全。 五、机房硬件设备安全使用制度 5.1机房人员必须熟知机房内设备的基本安全操作规则。应定期检查、整理硬件物理连接线路，定期检查硬件运作状态。 5.2禁止随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。禁止在服务器上进行试验性质的配置操作，需要对服务器进行配置，应在其它可进行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。 5.3对影响到全公司的硬件设备的更改、调试等操作应预先发布通知，并且应有充分的时间、方案、人员准备，才能进行硬件设备的更改。对重大设备设置的更改，必须首先形成方案文件，经过讨论确认可行后

28、，由具备资格的技术人员进行更改和调整，并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做好充分的准备，必要时需要先准备好后备配件和应急措施。 5.4不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。不允许他人操作机房内部的设备，对于核心服务器和设备的调整配置，需要主管领导同意后才能进行。 5.5要注意和落实硬件设备的维护保养措施。 六、软件安全使用制度 6.1必须定期检查软件的运行状况、定期进行数据和软件日志备份。 6.2禁止在工作服务器上进行试验性质的软件调试，禁止在服务器随意安装软件。需要对服务器进行配置，必须在其

29、它可行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。 6.3对会影响到全局的软件更改、调试等操作应发布通知，并且应有充分时间、方案、人员准备，才能进行软件配置的更改。对重大软件配置的更改，应先形成方案文件，经过讨论确定可行后，由具备资格的技术人员进行更改，并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做好充分的准备，必要时需要先备份原有软件系统和落实好应急措施。 七、机房资料、文档和数据安全制度 7.1资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给

30、其他无关人员或向外随意传播。 7.2对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的，应由机房工作人员代为查阅，并只能向其提供与其当前工作内容相关的数据或资料。 7.3重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性，防止遗失重要数据。 八、机房财产登记和保护制度 8.1机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录，对于公共使用的物品和重要设备，必须履行借取和归还登记手续。 8.2机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品，对于使用过程中损

31、坏、消耗、遗失的物品应汇报登记，并对责任人追究相关责任。 8.3未经主管领导同意，不允许向他人外借提供机房设备和物品。 九、机房巡检制度9.1机房工作人员每日对中心机房按照机房巡检标准进行巡检 2021年我公司建立并实行质量、环境、职业健康“三标”整合型管理体系的第一年。作为涵盖研发和生产制造企业，信息安全化建设同等重要，公司领导也高度重视。院四标体系的建设，特别是信息安全体系的建设，是安全管理工作的重要组成部分。按公司的要求工作中信息安全要逐步做到制度化、常态化。在领导的统一指导和推进下，边学习边实践，将信息安全意识贯彻到每一个员工的工作中。一：通过开展多种形式的信息安全宣传，提高员工安全意

32、识安全意识是信息安全的第一道防线，信息安全管理要想做好，提高全体员工的安全意识是关键。为此，我认为公司相关部门和责任人要认真策划，在公司内部进行了大量的信息安全相关的宣传工作。这些宣传要达到效果，就不能是枯燥的，喊口号式的宣传，而应该喜闻乐见，生动活泼，结合实际，便于操作。为此，我们可以制作了形象生动的海报在公司内部宣传栏进行张贴；针对广大员工对信息安全应该如何做的困惑，编写“信息安全实用操作手册”的方式发给公司员工等，让信息安全意识在全体员工中逐步形成。 二、通过组织各类检查，督促员工把自身的信息安全工作做好为确保切实增强全体员工的安全意识和安全行为习惯，光靠宣传还不够。公司成立信息安全的管

33、理工作组，主要领导担任管理者代表，设置专职安全员和各部门安全责任人和安全员，在公司内部组织信息安全的内部检查工作，检查不拘泥于形式，明确检查的项目内容，比如：首先检查公司内所有内网机。通过检查一方面是摸清公司内网机情况，另一方面就是通过检查对公司所有内网机进行一次安全加固，确保内网机的信息安全。通过检查，所有内网机在帐号、口令、机器补丁、网络和服务、日志审核等方面进行加固等。其次扩大一些范围检查包括公司所有的内外网终端及服务器等。因为覆盖面广，工作量大，检查可以采取信息安全的检查工具漏洞扫描仪来进行自动检查。检查之前并未通知各部门，可以说这次检查结果真实的反映了公司当时内外网机的信息安全情况。

34、检查结束后，检查组根据检查结果对问题机器下发了整改通知，并给出具体的整改意见。整改结束后又进行了一次扫描检查，其三是采取自查和抽查相结合的方式。自查时间、自查内容及加固方法通过邮件方式群发给公司员工。在自查期结束后，信息安全工作组再制定了抽查计划，各部门按一定比例抽查内外网机，并对发现问题的机器现场进行加固整改工作。这样通过一次次的检查，让公司的员工开始养成了良好的工作习惯，如设置强登录口令、禁用guest帐户、及时升级系统补丁、设置自动屏保、关闭自定义共享等。 三、加强信息安全相关的设施管理1）安全存储介质的统一管理 根据院移动介质使用管理规定的精神，我们制定了切实可行的安全移动介质管理方案

35、。安全移动存储介质由信息中心统一制作好后，由公司负责统一编号并进行登记发放工作。员工在申领安全存储介质时需要进行申请审批，公司安全员定期对安全存储介质做好查检清点工作，确保每一个发放出去的安全移动介质能够追溯到责任人。员工离职时，安全员负责安全移动介质的收回工作。2）服务器的统一安全管理 整合后的公司设置了专门的服务器室，要求各部门的服务器进行统一集中存放管理。为加强管理，公司设置了服务器室管理员，编制了服务器室管理规定，对出入和内部日常环境安全进行统一管理。建立了服务器台帐，每台服务器都落实到部门和责任人。另外，对于有时发生的非计划停电，对公司的服务器造成一定冲击，可能造成服务器硬件损坏的情

36、况可采取ups电源的措施，即使短时间停电，服务器正常工作不受影响。3）内外网机的统一接入管理 在内外网机管理方面，公司设置了专人负责对内外网机接入进行管理，包括内外网机的申请、员工离职注销、变更以及内网机的桌面安装等。对公司的内外网机，建立了完整的内外网机清单，在我们进行工具设备进行内外网机扫描检查时，能帮助我们很快定位到问题机器。 以上是我对公司在信息安全管理及体系建设方面开展工作的一些建议，希望我们能摸着石头过河，工作开展具有可行性和实用性，把公司的信息安全防护工作做好。 第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据中华人民

37、共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定等规定，特制定本规定。 第一章总则 第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单

38、位与个人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第二章组织保障 第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行a、b岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位

39、。 -1人员的配备和变更情况应及时报上一级科技部门备案。信息安全管理人员调离原岗位时应办理交接手续，并履行其调离后的保密义务。 第二节部门计算机安全员 第十五条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员，并报本单位科技部门备案。如有变更应做好交接工作，并及时通报科技部门。 第十六条部门计算机安全员配合信息安全管理人员工作，并参加各项信息安全技能培训。 第十七条部门计算机安全员在如下职责范围内开展工作： （一）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。 （二）负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。 （三）负责本部门国际互

40、联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。 第三节技术支持人员 第十八条本规定所称技术支持人员，是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十九条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务： （一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问，未经业务主管部门授权不得擅自改变系统设臵或修改系统生成的任何数据。 （二）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处臵。 （三）严格操作

41、管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度，做好数据备份工作。 -3第四章机房环境和设备资产管理 第一节机房安全管理 第二十六条本规定所称机房是指计算机系统等主要设备放臵、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第二十七条各单位机房的规划、建设、改造、运行、维护由科技部门负责，相关设备采购纳入政府集中采购。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。 第二十八条各单位原则上只建设一个符合国家计算机机房有关标准和人民银行相关规定的计算机机房，为所有业务部门提供机房基础设施服务。 第二十九条机房建设、改

42、造的方案应报上一级科技部门备案。必要时，由上一级机构科技部门会同会计、保卫等部门进行审核。 第三十条机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司，其中总行、分行、营业管理部、省会（首府）城市中心支行、计划单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同时具有三年以上专业从事计算机机房装修装饰经验的专业公司。重要机房建设或改造工程应引入监理制度。 第三十一条总行、分行、营业管理部、省会（首府）城市中心支行应建立机房设施与场地环境监控系统，对机房空调、消防、不间断电源（ups）、供配电、门禁系统等重要设施实行全面监控。 第三十二条各单位机房投入使用前，应经过当地公安消防部门的消防验收和本单位科技、保卫与会计部门组织的验收，并出具明确结论的验收报告。未经验收或验收不合格