信息系统安全管理制度(3篇).docx

《信息系统安全管理制度(3篇).docx》由会员分享，可在线阅读，更多相关《信息系统安全管理制度(3篇).docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全治理制度总则第一条为加强公司网络治理，明确岗位职责，标准操作流程，维护网络正常运行，确保计算机信息系统的安全，现依据计算机信息系统安全保护条 例等有关规定，结合本公司实际，特制订本制度。其次条计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络) 构成的，依据肯定的应用目标和规章对信息进展采集、加工、存储、传输、检索 等处理的人机系统。第三条信息中心的职责为特地负责本公司范围内的计算机信息系统安全治理工作。第一章网络治理第四条遵守公司的规章制度，严格执行安全保密制度，不得利用网络从事危害公司安全、泄露公司 等活动，不得制作、扫瞄、复制、传播反动及 秽信息，不得在网络上公布

2、公司相关的非法和虚假消息，不得在网上泄露公司的任何隐私。严禁通过网络进展任何黑客活动和性质类似的破坏活动，严格掌握和防范计算机病毒的侵入。第五条各工作计算机未进展安全配置、未装防火墙或杀毒软件的，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进展升级和更，并定期进展病毒清查，不要下载和使用未经测试和来历不明的软件、不要翻开来历不明的、以及不要随便使用带毒u 盘等介质。第六条制止未授权用户接入公司计算机网络及访问网络中的资源，制止未授权用户使用 bt、电驴等占用大量带宽的下载工具。第10页共16页第七条任何员工不得制造或者有意输入、传播计算机病毒和其他有害数据， 不得利用非法手段复制、

3、截收、篡改计算机信息系统中的数据。第八条公司员工制止利用扫描、监听、伪装等工具对网络和效劳器进展恶意攻击，制止非法侵入他人网络和效劳器系统，制止利用计算机和网络干扰他人正常工作的行为。第九条计算机各终端用户应保管好自己的用户帐号和 。严禁随便向他人泄露、借用自己的帐号和 ；严禁不以真实身份登录系统。计算机使用者更应定期更改 、使用简单 。第十条 ip 地址为计算机网络的重要资源，计算机各终端用户应在信息中心的规划下使用这些资源，不得擅自更改。另外，某些系统效劳对网络产生影响，计算机各终端用户应在信息中心的指导下使用，制止随便开启计算机中的系统服务，保证计算机网络畅通运行。其次章设备治理第十一条

4、公司员工因工作需要，确需购置it 设备或配件的，可向信息中心提出申请，假设有符合需求的可调配设备；假设无可调配或有但不符合工作需要的设备，由申请人填写信息设备申请表。假设因工作需要对设备配置有特别要求的，需在申请表中说明。第十二条凡登记在案的it 设备，由信息中心统一治理并张贴it 设备卡。it 设备卡作为相应设备的标识，各终端用户有义务保证贴牌的干净与完整，不得遮盖、撕毁、涂画等。第十三条 it 设备安全治理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。凡子公司或合作单位自行购置的设备，原则上由分公司或合作单位自行负责，但假设有需要，信息中心可帮助处理。第十四条严禁使用假冒伪劣产品；

5、严禁擅自外接电源开关和插座；严禁擅自移动和装拆各类设备及其他关心设备；严禁擅自请人修理；严禁擅自调整部门内部计算机信息系统的安排。第十五条设备硬件或重装操作系统等问题由信息中心进展处理。第十六条原购it 设备原则上在规定使用年限内不再重复购置，到达规定使用年限后，由信息中心会同相关部门对其审核后处理。在规定使用年限期间，计算机终端用户因工作需要发生调动或离职，需要连续使用该计算机的应在信息中心作变更备案；不连续使用该计算机的，部门领导需监视责任人将计算机及相关设备准时退回信息中心，由信息中心再行支配。第十七条设备消灭故障无法修理或修理本钱过高，且符合报废条件的，由it 设备终端用户提出申请，并

6、填写it 设备报废申请表，由相应部门经理签字后报信息中心。经信息中心对设备使用年限、修理状况等进展鉴定，将报废设备交有关部门处理，如报废设备能出售，将收回的资金交公司财务入账。同时，由信息中心对报废设备登记备案、存档。第三章数据治理第十八条计算机终端用户计算机内的资料涉及公司 的，应当为计算机设定开 码或将文件加密；凡涉及公司 的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其全部工作资料收回并保存。第十九条工作范围内的重要数据(重要程度由各部门经理核定)由计算机终端用户定期更、备份，并提交给所在部门部长，由部门部长负责保存。各部门经理在一

7、个季度开头后 天之内将本部门上一季度的工作数据交行政人事部集合后统一承受磁性介质或光盘保存。其次十条计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区，一般是c 盘)外的盘上。计算机信息系统发生故障，应准时与信息中心联系并实行保护数据安全的措施。其次十一条对重要的数据应预备双份，存放在不同的地点；对承受磁性介质或光盘保存的数据，要定期进展检查，定期进展复制，防止由于磁性介质损坏， 而使数据丧失；做好防磁、防火、防潮和防尘工作。第四章操作治理其次十二条凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情；严禁除修理人员以外的外部人员操作各类设备；严禁非信息

8、中心人员随便更改设备配置。其次十三条信息中心将有针对性地对员工的计算机应用技能进展定期或不定期的培训，培训成绩将记入员工绩效考核；由信息中心收集计算机信息系统常见故障及排解方法并整理成册，供公司员工学习参考。其次十四条计算机终端用户在工作中遇到计算机信息系统问题，首先要学会自行处理或参照手册处理；假设遇到手册中没有此问题，或培训未曾讲过的问题， 再与信息中心或软件开发单位、硬件供给商联系，尽快解决问题。第五章网站治理其次十五条公司由信息中心供给技术支持和后台治理，由公司相关部门供给经审核后的书面和电子版网站建设资料。(一)网站、网页消灭非法言论时的紧急处置措施1、网站、网页由信息中心人员随时亲

9、热监视信息内容。2、觉察网上消灭非法信息时，负责人员应马上向部门领导通报状况，状况紧急的应先实行删除等处理措施，再按流程办理。3、网站负责人员在接到通知后马上清理非法信息，强化安全防范措施，并将网站网页重投入使用。4、网站负责人员应妥当保存有关记录及日志或检查记录。(二)黑客攻击时的紧急处置措施1、当有网页内容被篡改，或通过公司网络防火墙觉察有黑客正在进展攻击时，首先应将被攻击的效劳器等设备断开网络，同时向上级领导汇报状况。2、网站负责人员马上进展将被破坏系统进展恢复和重建。(三)病毒安全紧急处置措施1、当觉察计算机感染病毒后，应马上将该机从网络上隔离出来。2、对存放数据的计算机的硬盘进展数据

10、备份。3、启用反病毒软件对该机进展杀毒，同时用杀毒软件对其他联网机器进展病毒扫描和去除。4、如觉察杀毒软件无法去除该病毒，应马上向上级领导报告。5、经网站负责人员确认确实无法查杀该病毒后，应作好相关记录，同时马上联系相关技术人员快速争论并解决问题。6、假设感染病毒的设备是效劳器或者主机系统，经上级领导同意，应马上切断效劳器并告知客户端人员进展客户端机器的杀毒工作。(四)软件系统患病破坏性攻击的紧急处置措施1、oa 等重要的软件系统寻常必需存有备份，与软件系统相对应的数据必需有多日备份，并将它们保存于不同的机器上。2、如觉察软件遭到破坏或运行不正常，应马上向信息中心人员报告。3、信息中心人员马上

11、进展软件系统和数据的恢复。(五)数据库安全紧急处置措施1、各数据库系统要至少预备两个以上数据库备份。2、一旦数据库崩溃，应马上上级领导报告，同时通知各部门使用人员暂缓上传上报数据。3、信息中心人员应对主机系统进展维护，如遇无法解决的问题，马上向上级领导汇报并准时通知专业技术人员进展处理。4、系统修复完毕后，依据要求恢复数据。5、假设备份数据也消灭问题，准时汇报领导并且联系软件开发商解决。(六)设备安全紧急处置措施1、计算机、效劳器等关键设备损坏后，应马上通知信息中心人员。2、信息中心人员应马上查明缘由。3、假设能够自行恢复，应马上用备件替换受损部件。4、假设不能自行恢复的，马上与设备供给商联系

12、，恳求派专业修理人员进展修理。5、假设设备一时不能修复，应向上级领导汇报。(七)关键人员不在岗的紧急处置措施1、对于关键岗位寻常应做好人员储藏，确保一项工作有两人能操作。2、一旦发生关键人员不在岗的状况，首先应向上级领导汇报。3、经上级领导批准后由信息中心其他人员进展操作。第六章惩罚措施其次十六条计算机终端用户擅自下载、或存放与工作无关的文件，经查实后，依据文件大小第一次按元/m(四舍五入到百兆)进展罚款，以后每次按倍数原则(其次次元/m，第三元/m，第四次元/m， 以此类推)惩罚。凡某一使用责任人此种状况消灭三次以上(包括三次)，将赐予行政惩罚。其次十七条有以下状况之一者，视情节严峻程度处以

13、元以上元以下罚款。(一)制造或者有意输入、传播计算机病毒以及其他有害数据的；(二)非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的；(三)对网络和效劳器进展恶意攻击，侵入他人网络和效劳器系统，利用计算机和网络干扰他人正常工作；(四)访问的文件、系统或更改设备设置；(五)申请人在设备领用或报废一周之内未将其次章所涉及到的表单交会信息中心；(六)擅自与他人更换使用计算机或相关设备；(七)擅自调整部门内部计算机的安排且未向信息中心备案；(八)日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、it 设备卡被撕毁、涂画或遮盖等。(九)工作时间外使用公司计算机做与工作无关的事

14、务；(十)一样故障屡次消灭且经推断故障缘由为个人缘由所导致的；(十一)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭；其次十八条计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的，视情节严峻，按所破坏设备市场价值的 % %赔偿，并赐予行政惩罚。第七章附则其次十九条本制度以下用语的含义：设备。指为完成工作而购置的笔记本电脑、台式电脑、打印机、复印机、 机、扫描仪等it 设备。有害数据。指与计算机信息系统相关的，含有危害计算机信息系统安全运行的程序，或者对国家和社会公共安全构成危害或潜在威逼的数据。合法用户。经信息中心授权使用本公司网络资源的本公司员工

15、，其余均为非法用户。第三十条计算机终端用户应乐观协作信息中心共同做好计算机信息系统安全治理工作。第三十一条本制度适用于全公司范围，由总裁办信息中心负责解释、修订。第三十二条本制度自公布之日起实施，凡原制度与本制度不相符的，照本制度执行。信息系统安全治理制度二为维护公司信息安全，保证公司网络环境的稳定，特制定本制度。 一、互联网使用治理互联网使用治理互联网使用治理互联网使用治理1、制止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司、非法网站及与工作无关的网页等信息。行政部门建立网管监控渠道对员工上网信息进展监视。一经觉察，视情节严峻赐予警告、通报批判、扣发工资元/次、辞退

16、等惩罚。2、未经允许，制止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进展删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进展删除、修改或者增加、有意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。一经觉察，视情节严峻赐予警告、通报批判、扣发工资元/次、辞退等惩罚。3、公司网络实行分组开通域名方式，防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号安全系数降低。二、网站信息治理1、公司公布、转载信息依据国家有关规定执行，不包含违各项法律法规的内容。2、公司内容定期进展备份，由网管员保管，并对相应操

17、作系统和应用系统进展安全保护。3、公司网管加强对上网设备及相关信息的安全检查，对网站系统的安全进展实时监控。4、严格执行公司保密规定，凡涉及公司内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网；5、全部上网稿件须经分管领导审批后，由企划部门统一上传。三、软件治理软件治理软件治理软件治理1、公司软件产品的选购、软件的使用安排及版权掌握等由行政部门信息系统治理员统一进展，任何部门和员工不得擅自选购。2、公司供给的全部软件仅限于员工完成公司的工作使用。未经许可，不得将公司购置或开发的软件擅自供给应第三人。3、操作系统由公司统一供给。制止使用其它来源的操作系统，特别是的非法拷贝。擅自使用造

18、成的一切后果由使用人自行担当，对于造成损失的，将视情节及危害程度严峻赐予警告、通报批判、扣发工资元/次等惩罚。4、一般应用软件统一在公司文件效劳器上供给常用软件名目，不供给 光盘(操作系统除外)。非公司供给的软件导致系统损害，信息丧失的，将视情节及危害程度严峻赐予警告、通报批判、扣发工资元/次、辞退等惩罚。5、公司小范围使用的专业版权软件，使用人需在自行备份并由信息系统治理员验证后才可进展。6、制止使用非工作用软件。其它工作所需的应用软件，可由使用部门申请，再由行政部门统一公布。四、计算机病毒治理1、集团计算机病毒治理由集团信息办负责进展规划、实施和监控。2、员工应树立预防计算机病毒的意识和熟

19、知预防计算机病毒的措施，准时更系统漏洞和使用杀毒软件。具体内容包括：(1) 准时更微软补丁，每周至少更一次。当屏幕右下角有自动更的图标时，要准时。(2) 有些特别的软件(如 sqlserver 等)，准时到相应网站打补丁。(3) 准时杀毒软件和升级杀毒软件病毒特征库。严禁因杀毒软件影响性能，而把杀毒软件卸载。每周至少更一次，确保杀毒软件为最版本。(4) 严禁翻开来历不明的邮件。能推断为病毒邮件的，马上删除；不能推断的联系信息系统治理员解决。当计算机感染病毒后，请准时断开网线，使用杀毒软件查杀和查看操作系统和应用软件的补丁是否准时更；严峻者请准时联系信息办信息系统治理员解决。(5) 当有病毒通过

20、某些软件(如：，msn)传播时，请马上关闭相应软件或拔掉网线。查杀问题解决后，方可连续使用。3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者，第一次赐予警告、其次次赐予通报批判，第三次及以上将赐予通报批判并扣发工资 元/次。五、网络资源治理1、集团网络资源和效劳器由集团信息办信息系统治理员统一进展规划、治理和监视。2、效劳器及个人用机的治理：(1) 部门级及以上效劳器必需指定专人负责治理，并在行政部门备案，非治理员不得对其进展操作。(2) 部门级及以上的效劳器治理员有责任对其负责的效劳器进展例行检查，包括：效劳器的cpu、内存、硬盘等资源利用状况；效劳器上运行的效劳使用状况； 效

21、劳器上运行的os 准时升级；效劳器上运行的杀毒软件的准时更；(3) 效劳器治理员要做好效劳器的备份工作，至少每季度有一份完整异地(异机)备份，重要数据准时备份。信息系统治理员有责任监视、协调其备份工作。(4) 个人和部门未经行政部门批准不得私自设立效劳器。(5) 效劳器治理员每月定期对效劳器做一次全面检查，并填写效劳器检查日志。(6) 效劳器治理员每季度需修改效劳器一次。当效劳器治理员有变更时，治理员需准时更改。(7) 员工应避开随便共享工作相关资料，假设需共享，应指定合理权限，并在完成后准时取消；严禁未经信息系统治理部门批准，擅自共享给局域网内全部用户。(8) 员工应自行维护电脑的正常使用，

22、并依据网管的要求进展设置及准时进展补丁更，不得擅自退出域、去除域治理员权限、修改主机名、修改ip 等。3、ip 地址的治理。(1) ip 地址由行政部门统一规划治理。未经许可，不得擅自更改任何设备的ip 地址。(2) 公司申请的公网ip 任何人不得私用。(3) 工作需要公网ip，需申请信息部批准后，方可使用。(4) 公司公网ip 使用无工作需要时，马上停顿使用，并通知行政部门收回。(5)ftp 等器的使用须经行政部门批准，且不得擅自更改使用用途。六、机房治理1、人员治理。相关维护人员凭门禁卡或进出机房，其它人员不得擅入。如确需进入机房的其它工作人员，应向相关部门提出申请，并做相应的登记备案后，

23、在相关人员的伴随下入内。信息系统治理员有权在场监控及记录入内者的工作状况。2、机房设备治理。参照公司固定资产治理制度进展治理。非电源性电子设备(如路由器，效劳器等)必需接不连续电源，保证数据在突然断电时不致丧失；机房温度应保持在 222。工作时间，非工作时间公司保安应定时巡察机房，确保机房环境、供电及温度正常；如消灭机房温度超过 30 摄氏度戒备线、停电等特别状况，应与治理员联络，马上实行必要措施保障机房设备的安全。3、信息治理。任何人员(包括治理员)在机房信息设备上进展更改操作，都需记录备案。未经治理员许可在机房内擅自进展操作者，可视情节赐予通报批判、扣发工资元；情节严峻的，可予以辞退。4、

24、施工治理。公司机房建设应符合机房建设的有关标准和规定；在公司机房内施工，须由信息安全部经理批准，并有网络治理员或授权的公司保安监视施工现场。七、电子设备使用治理1、电子设备的增购置申请先承受调配方式，假设无法调配同等配置的，才予购置。使用治理参照公司固定资产治理制度。2、计算机及其关心设备一经领用，使用人员需严格依据设备使用说明书和治理员制定的相关使用规定操作。对丧失、擅自转让、人为毁损造成无法修复等损失，可视情节赐予警告、通报批判、按价赔偿。(1) 台式计算机：非经信息治理员工同意不得擅自翻开机箱。(2) 笔记本电脑设备：a、不同品牌型号的零配件不行互换使用。b、用于移动办公，确定不允许作为

25、效劳器共享操作。c、应保持出厂预装的正版操作系统，保存硬盘中的隐蔽分区。如确因工作需要重 其它操作系统(如 win 等)，需由系统治理员进展。不允许私自重分区格式化，将原出厂隐 格式化删除。3、非经许可，不得将个人台式电脑及相关设备带入公司，特别状况，需办理相关登记手续。4、员工不得随便增减配件，不得在未经治理员许可的状况下对硬盘做低级格式化。未经行政部门批准，严禁将台式电脑及其它电子设备带出公司。私自调配电子设备(含配件)，可视情节赐予警告、通报批判、扣发工资元/次。八、信息系统治理员1、治理权限和责任(1)负责公司各信息系统的信息安全、日常维护、系统治理等。(2) 严格遵守公司制定的相关信

26、息安全治理制度，履行工作职责。(3) 制定各信息系统的治理维护标准，包含用户及权限建立与变更标准及流程、定期检查制度、违约惩罚条款等，送交信息安全主管部门审核备案，并严格执行。(4) 信息系统治理员必需签订关键职位员工之保密承诺书。2、职责标准(1)推发动工树立信息系统安全防范意识，完善公司信息安全保障机制，逐步建立以预防、觉察、响应、恢复为根底的信息安全治理机制。(2) 遵守职业道德，严守保密制度，不以任何形式携带走所接触的、了解的、获知的、把握的、使用的集团任何资料；不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的集团商业(包括技术和经营)；未经公司书面同意，

27、不擅自使用已接触到、了解到、知悉或被告之的商业；不利用的公司资源(如公司信息系统缺陷、口令等)，做违法规、窃取公司商业、攻击公司效劳器等行为。(3) 端正效劳态度，对员工的需求乐观快速响应，并供给快速、周到的技术效劳支持。九、附则：1、本制度解释权归集团信息办。2、本制度自公布之日起施行。信息系统安全治理制度三网络信息安全保密系统工作制度一、严格遵守 保密法、 互联网治理方法等相关的法律、法规、条例及其各项规定、制度。依据国家安全保密规定，实行掌握源头、归口治理、分级负责、突出重点、有利进展的原则。二、信息科负责指导人口安康网络和信息系统网安全保密工作。三、严格执行国家有关规定，做好人口安康网

28、络和信息系统的保密工作。在通过计算机网络传输时各个终端设备及用户不得直接或间接地与国际互联网或其它公共信息网相连接，必需实行物理隔离，要加装硬件防火墙，并规定网络访问只能出不能进，网络治理员每天要留意扫瞄效劳器工作记录，觉察问题准时防患及处理。四、人口安康网络和信息系统内的计算机要处理好共享资源与保密源的关系，应分别把他们存放到相应的位置。应用软件要设置，要大于位并使用数字、大小写字母、特别符号混合的，定期更换，不得泄露给外人。五、在本单位局域网的互联网出口前加装网络防火墙，并做好相应的安全设置， 正版杀毒软件，并做好杀毒软件病毒库的及进更。每台设备至少一星期进展一次病毒的查杀，一旦机器感染病

29、毒后，应马上将病毒机与网络隔离并做妥当处理。六、涉及国家的信息不得在国际互联网的计算机信息系统中存储、处理、传递；要严格遵守国家的保密法律，不得泄露国家及本地区的信息。不扫瞄互联网上不安康的网页、不发表反动言论、不接收和翻开来历不时的邮件、不随便向生疏人接收和发送文件、不随便使用来历不明的光盘、软盘、优盘等移动存储介质，不利用办公机器玩玩耍。对设备的重要数据要准时做好备份工作， 并安全存放，以便于设备消灭紧急事故时的数据恢复工作。七、网络治理员和计算机使用者要提高网络安全和病毒防范的意识。对本单位单机和效劳器使用的操作系统、办公软件、数据库等软件准时更升级，及进打安全补丁，尽量削减系统安全漏洞。对于上传的数据要经过杀毒、加密等安全程序，确保数据的安全性。八、未经主管领导同意，各科室和信息中心不得向外公布和供给任何与人口安康网络和信息的信息。九、不以任何形式攻击网站防火墙和网上效劳器，不做任何危及网络安全的行为。未经单位同意不得自行在外网建立网站，不得设立电子公告系统、谈天 室、网络闻组，不得公布、谈论危及国家的政治言论或传播国家信息。十、通过网络向社会公布的信息应依据工作程序必需经单位主管领导同意和保密 前方可公布。用户使用 进展网上沟通，应遵守国家有关保密及安全规定。十一、存储信息的计算机在送修前，要做好保密处理。