公司信息系统安全及保密管理制度-Microsoft-Office-Word-文档

公司信息系统安全及保密管理制度第一章 总则第一条 为建设好公司信息化系统，保护公司信息资源，保证公司计算机网络信息系统安全，为公司安全顺利生产运行保驾护航，结合公司实际情况，特制定本制度。第二条 公司信息安全管理体系分为三级：运营改善部为信息安全管理中心，是第一级；各部门为分管单位，是第二级；各终端用户是第三级。第三条 本办法适用于公司各单位和接入公司局域网的相关单位和个人。第二章 职责分工第四条 公司运营改善部负责公司范围内的信息安全系统的统一管理，结合总公司的要求组织部署公司信息安全系统并承担日常管理工作。负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。（一）组织制定企业信息化建设规划中有关信息安全的内容。（二）组织落实公司信息系统安全等级保护和信息安全风险评估等工作。（三）负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。 （四）负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。（五）根据企业管理的要求，确定要害信息系统及相关设备；负责企业专网系统各项安全策略的制定及权限的审批。 （六）负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织，明确组织的负责人和管理的责任人。 （七）负责组织对公司企业专网范围内的信息系统安全情况进行检查，落实有关信息安全方面的法律法规，督促开展对于信息安全隐患的整改工作。 （八）处理违反公司信息系统安全管理有关规定的事件和行为，配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。（九）履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。 （十）配合上级单位的全局安全策略的实施工作；并结合公司的实际情况实施安全策略，审批相应的管理权限、制定相应的管理策略。第五条 公司各单位负责本单位信息化设备及系统的信息安全管理工作，职责为：（一）教育职工遵守内网信息系统安全制度的各项规定。（二）接入内网的信息化设备应服从公司统一实施的网络信息安全策略，在公司统一的安全策略下、上级信息化管理部门赋予的管理员权限范围内，在本单位或相应网段内实施安全策略及安全管理。（三）配合公司安全管理部门和安全运维单位处理终端设备及信息系统存在的不安全隐患。 （四）按照公司运营改善部对信息安全的要求，规范本单位职工及业务往来外部单位人员的上网行为。第六条 终端用户职责为：（一）计算机接入局域网前必须按照公司的管理制度安装公司统一部署的信息系统安全管理软件。（二）自觉服从信息系统安全管理员和本单位信息化专业员的管理和检查，自觉遵守公司关于信息系统的安全管理制度以及国家的法律法规。（三）及时更新和升级信息安全系统软件。第三章 密码使用管理第七条 用户密码管理的范围包括所有连接到公司内网的计算机、服务器、数据库和应用系统所使用的密码。第八条 如本管理制度与原系统有关密码的规定有冲突时，按照相对严格的规定执行。第九条 内网非涉密计算机、服务器、数据库和应用系统设置的密码长度不能少于8个字符，且至少同时包含数字、字母和特殊符号中的两种，符合密码复杂度要求，密码更换周期不得大于90天。第十条 涉密计算机的密码管理规定参照公司涉密计算机管理制度执行。第十一条 服务器应在本机设置相应的密码安全策略以保证密码设置符合等级保护要求。第十二条 各应用系统及数据库在部署实施以及升级完毕之后应及时更改密码，保证。第十三条 密码的管理和保存（一）个人计算机密码应由使用人管理；公用计算机密码由本部门指定负责人管理；服务器和应用系统密码应由各系统管理员设置并管理。（二） 密码不能保存在该计算机周围显著位置。第四章 企业内网接入管理第十四条 为保障公司内网安全可管理性，任何接入公司局域网内的设备都应符合公司信息安全管理策略的要求规定。第十五条 公司运营改善部负责公司企业网的管理，制定用户管理制度，制定公司企业网用户编码规则（附件一）。第十六条 有独立局域网或形成的专业系统网络用户的主管单位，负责对其网内用户的管理，制定本单位或本系统接入公司企业网用户管理办法，维护网络的安全。第十七条 所有接入公司企业网的用户都必须采用实名制，按照公司统一制定的公司企业网用户编码规则为计算机命名，计算机一经命名不得随意改动。第十八条 任何单位或网络用户不得擅自移动或改变交换机、集线器等网络设备的位置和接线方式、更改其设备配置。凡是由于更改网络设备配置，影响公司正常生产和网络瘫痪的，一经查实要进行严肃处理。第十九条 IP地址的申请根据公司信息化网络系统管理制度相关规定执行。第二十条 运营改善部根据外网带宽测算合理全天互联网权限用户总数，并根据各单位管理岗人员数量比例分配相应数量互联网权限。第二十一条 公司科级及科级以上人员分配互联网权限。第二十二条 各单位信息化专业员因工作原因，分配一个互联网权限，不计入各单位分配数量。第二十三条 各单位提报特殊需求到运营改善部审核，每季度一次统一报公司经理审批。第二十四条 外部常驻（三个月以上）单位按需申请，原则上开通互联网权限数量不超过管理人员数量的10%。第二十五条 临时来访人员或项目人员互联网需求由挂靠单位提报，人员撤离后应及时通知取消。第二十六条 公司各部室负责本部门挂靠单位外网权限的管理。第二十七条 生产现场，包括厂房内的办公区域，除科级和科级以上人员外，其他人员一律不开通互联网权限。第二十八条 用户在工作时间使用互联网做与工作无关的事，运营改善部有权取消其互联网权限。第五章 内网用户计算机使用安全管理第二十九条 为防止病毒在公司内部爆发及蔓延，内网用户计算机必须安装公司统一部署的正版杀毒软件。第三十条 病毒防护体系终端用户，其职责为：（一）自觉服从运营改善部防病毒系统管理员、各单位信息化专业员的管理和检查。普通用户发现病毒可疑现象时，应及时查杀病毒，不得擅自散发。（二）不得关闭或卸载防病毒软件的实时检测功能和统一管理功能。（三）不得利用网络散播病毒。（四）每天检查并保证自己客户端防病毒软件版本及病毒码的及时更新、升级，如有问题及时上报给本单位信息化专业员。（五）使用软盘、光盘、U盘或者移动硬盘时，必须先查杀病毒以确保不被带毒的存储介质传染。（六）有业务安全特殊要求的系统，必须服从安全规定，封闭U口、拆除不必要的软盘和光盘驱动器。第三十一条 病毒爆发时，运营改善部有权利终止病毒源终端的网络。第三十二条 对重点岗位的计算机系统必须设置使用权限及专人使用的机制，禁止来历不明的人和软件进入系统。必须做到专机、专人、专盘、专用，以保证封闭的使用环境而不产生计算机病毒。第三十三条 对于多人共用的一台计算机，应指定负责人，负责人应做到有病毒时尽早发现，及时上报运营改善部网络安全管理员。第三十四条 为加强内网终端计算机管理，公司统一部署终端桌面安全管理系统和内网补丁分发系统。系统客户端应遵守如下规定：（一）所有接入局域网内计算机终端必须注册统一部署的终端桌面管理软件，凡有特殊原因(包括非Windows操作系统)不能注册的设备，所在单位须向运营改善部申请，运营改善部审批通过后在系统中取消限制并备案（附件四）。（二）不得关闭、卸载或破坏终端桌面管理客户端服务进程，使客户端失去原有功能。（三）对补丁分发系统提示的系统漏洞补丁应及时下载并安装，以减少系统漏洞的威胁。第三十五条 计算机必须安装正版操作系统，实行实名制。安装统一的防病毒软件，注册安装统一的内网管理系统，服从统一的用户安全策略。第三十六条 内网安全系统的注册信息需准确无误，严禁随意填写。第三十七条 内网用户应保证计算机每天至少重启一次，并清理系统垃圾文件。第三十八条 企业专网内的信息系统必须安装使用正版软件，杜绝安装来历不明的软件产品，禁止安装与工作内容无关的软件。第三十九条 网络用户应严格执行公司制定的安全保密规定，不得利用企业网从事危害国家安全、泄露国家秘密等犯罪活动；不得制作、查阅、复制和传播有碍社会治安的信息。如发现上述行为运营改善部将立即中止传输，关闭用户。第四十条 接入公司企业网络的任何用户，不得在接通公司企业网的同时，使用代理等方式规避公司管理。第四十一条 不得利用公司网络环境下载或运行对内网用户或其他网络用户造成威胁的攻击程序和软件，发起攻击等类似行为。第四十二条 对于违反上述条款规定的单位，运营改善部将对其执行专业考核；对于违反上述条款规定的个人，相关单位应按照本单位的有关规章制度条款，视情节严重进行考核。第六章 内网安全技术设施管理第四十三条 在局域网与互联网的接口上统一部署硬件防火墙设备，并按照安全规则进行设置。第四十四条 在局域网与互联网的接口上布置防病毒网关，对来自互联网的病毒进行阻拦和封杀。管理要求如下：（一）确保防病毒网关设备病毒库正常运行和更新，对互联网入口病毒进行有效拦截。（二）根据公司实际情况制定防病毒网关过滤策略，并根据运行过程中出现的问题进行调整。第四十五条 为对互联网无用信息资源进行过滤拦截，在局域网与互联网的接口上布置互联网内容过滤系统。管理要求如下：（一）根据实际需求，细化访问控制策略，屏蔽与工作无关的互联网内容信息。（二）及时放行各安全系统误拦截的网站。第四十六条 为对内网上网计算机进行审核限制和流量控制，在局域网与互联网的接口上布置计费网关。管理要求如下：（一）对各单位申请开通互联网访问权限人员严格审核，并根据实际需求开通互联网访问权限。（二）对网络流量情况监控，分析流量组成，并优化管理策略。第四十七条 通过互联网访问公司局域网的用户采用虚拟专用网（VPN）的方式进行连接，以达到安全访问的目的。第四十八条 公司VPN帐号是为了方便公司员工外出时办公而设置的。如果有使用需求时，由各单位信息化专业员进行申请，经本单位主管领导批准后，由运营改善部专业人员负责开通（附件五）。第四十九条 凡拥有VPN帐号的人员有对个人账号进行保密的义务。如发现泄露账号和密码的行为，运营改善部有权立即冻结相关帐号，并按照专业管理制度落实考核。第五十条 连续三个月以上未使用的VPN账号，运营改善部将停用该账号。第五十一条 安全系统负责人对所负责安全系统必须做到每个工作日对系统进行一次巡检，保证各安全设备正常运行。第七章 移动存储介质使用管理第五十二条 工作配备的移动介质（包括软盘、光盘、移动硬盘、U盘、CF卡、SD卡、MMC卡、记忆棒、XD卡及手机、相机等移动存储介质）只能在企业内部使用，不允许外借、存储私人资料或带离企业使用。移动介质要定期杀毒，在每次读取移动介质上的数据之前，必须先进行病毒检查。第五十三条 对外单位的计算机、存储设备、移动介质的因工作需要接入内网系统的，此前必须进行病毒检测，查杀病毒后方可使用。第五十四条 外部人员的存储设备需要接入到内部计算机上进行电子文件拷贝时，必须由该计算机所有人或负责人操作，在涉密计算机上操作必须经过本单位领导的审批同意。第五十五条 各单位应根据本制度制定适合本单位相关要求的移动存储设备管理规定，严格管理电子信息的外发拷贝传输。第五十六条 企业专网内用于生产岗位等重要的计算机终端设备要严格控制移动介质的接入使用，必要时封闭外接端口。因特殊原因需临时开启接口的用户，应由其所在单位严格控制。第五十七条 重要岗位的计算机系统要对移动介质采取加密技术进行控制，防止泄密。第八章 数据备份管理第五十八条 除生产系统外公司级各应用系统，由各单位系统管理员制定备份策略并定期备份，以保证出现事故和灾难时其数据信息能够及时、完整地进行恢复。