XX信息安全管理办法试行.doc

《XX信息安全管理办法试行.doc》由会员分享，可在线阅读，更多相关《XX信息安全管理办法试行.doc（5页珍藏版）》请在咨信网上搜索。

起草人 校准人 页码 页 申报部门 意见 会签人 版本号 1.0 审批 签发人 XX信息安全管理制度 1 目的 为了切实有效的保证公司信息系统安全，提高信息系统为公司生产经营的服务能力，确保公司信息安全能够支持公司业务的连续性，降低和避免信息安全对公司业务影响的风险，特制定本制度。 2 范围 2.1 本制度适用于XXXXXX公司及其辖下子公司、分公司及控股公司（以下简称：本公司）的所有员工。 3 定义 3.1 本制度所称的信息是指一切与公司经营有关情况的反映（或者虽然与公司经营无关，但其产生或存储是发生在公司控制的介质中），它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容，其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。 3.2 信息系统包括但不限于语音和数据通信系统、网络及设备、办公协作平台、邮件系统、文件服务器、WEB服务器、人事与考勤系统、财务系统、产品开发系统等等。 4 职责 4.1. 普通用户、超级用户职责 4.1.1. 恪守承诺主动的安全意识。 4.1.2. 警惕所有与安全相关的活动/行动。 4.1.3. 离开无人照管的终端设备时，必须退出系统或锁定电脑屏幕（Ctrl+Alt+Del键或者Windows键+L）。 4.1.4. 在没有得到用户本人同意的情况下，不能擅自进入他人电脑，不能非法闯入他人的账户，破解他人的密码。 4.1.5. 即使你有修改文件的权限也不能修改不属于你自己的文件或者别人没有授权你修改的文件。 4.1.6. 不能尝试损坏文件、设备、软件或属于他人或公司的数据/文件。 4.1.7. 确保及时更新杀毒软件，不能尝试开发和制造发布电脑病毒。 4.1.8. 所有员工必须安装使用正版软件和授权软件。 4.2. 主管经理职责: 各部门主管经理负责对本部门员工宣导信息安全制度，并确保自己部门员工严格遵守此规定和制度。 4.3. IT部职责、IT类工程师职责: 4.3.1. IT部负责编制、修订、宣导、解释本规定； 4.3.2. IT部负责提供系统接入授权，编制信息保密及用户授权使用指南和安全机制，确保授权的用户接入公司网络和应用系统，没有授权的用户将被拒绝接入公司网络和系统，同时实施接入痕迹跟踪和审核； 4.3.3. 定期回顾重要信息系统和数据，确保用户授权服务和重要业务信息保护是安全和受控的； 4.3.4. 信息安全工程师负责建立、维护和管理账户密码授权，定期审核用户授权清单与系统实际授权的一致性； 4.3.5. 信息安全工程师要定期审核日志文件以及记录。 4.3.6. 管理和监控外部接入。 5 系统 5.1. 数据中心管理 5.2. 计算机设备管理 5.2.1 计算机设备不使用时，应关掉设备的电源。人员暂离开座位时，应锁定计算机(如锁屏)（系统管理员已设定计算机自动锁屏时间应设为10分钟）。员工在结束工作下班前要关闭电脑电源。 5.2.2 按正确方法清洁和保养设备上的污垢，保证设备正常使用。 5.2.3 计算机设备出现故障或异常情况（包括气味、冒烟与过热等）时，应当立即关闭电源开关，拔掉电源插头，并及时通知计算机管理员检查或维修。 5.2.4 所有维修和更改配置的活动都应实时跟踪和记录，并保存好相关记录，以备查询。 5.3. 网络与网站管理 5.3.1. 公司电脑用户如发现网络中断或网络系统不可使用，请马上通知IT部维修。 5.3.2. 计算机网络设备（包括电源等附加设备）应有明显的标志存在，任何人未经IT部许可不得改动公司计算机网络的物理设备的物理位置（包括电源和连线）；不得以任何形式中止和干扰物理网络的正常运行（如切断电源供应、阻断电缆等行为）。 5.3.3. 为了保证公司内部的计算机安全和网络数据通讯的正常进行，未经公司许可任何人不得对计算机设备、系统、网络传输进行监控。 5.3.4. 任何人不得使用任何手段窃听或盗取公司网络上数据、数据流等电子信息。 5.3.5. 远程协助管理 5.3.6.1定义：相关技术人员使用远程协助方法提供远程技术支持、服务的行为。适用范围：相关技术人员无法正常到达需协助地点提供技术支持的情况下，允许使用“远程协助”提供协助。 5.3.6.2操作管理：远程协助的所有操作必须在双方可视，且经被协助者同意的情况下进行，协助者不得擅自更改、删除被协助者电脑上的相关应用程序。 5.4. 邮箱与OA系统管理 5.4.1 公司内部邮件系统不得用作宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的工具。 5.4.2 不得利用公司邮件系统公然侮辱他人或者捏造事实诽谤他人的，或者进行其他恶意攻击的途径。 5.4.3 公司邮件系统不用于“连锁信”、“广告”、“游戏”等与工作无关的信息内容的传输，任何人不得利用公司的邮件系统收发私人信件，非授权用户严禁向所有用户发邮件。 5.4.4 公司为保障邮件系统及其网络通讯的速度，所有用户的邮箱设定了邮箱空间大小，请尽可能减少您在邮件服务器上占用的空间；并定期清空和归档不必要的邮件；内部发送的邮件大小设定为50MB的大小，外部发送的邮件大小设定为20MB（相关详细的技术信息请咨询IT部，过大的邮件请通过KK、QQ传输、文件共享方式）。 5.4.5 为保障公司邮件系统正常运行，也为保障邮件系统更好地服务于您，请正常退出邮件系统之后再关机。 5.4.6 使用公司邮箱用户的计算机必须安装相应的防病毒软件，并且尽量减少使用公司的邮件系统传送.EXE文件和BAT等批处理文件，以防病毒通过邮件传播。 5.5. 账户及密码管理 5.5.1 权限分配 5.5.1.1 系统账户权限分配由部门签批和IT部确认后交由系统管理员负责设定； 5.5.1.2 操作人员必须一人一码，严禁多人一码或一人多码；任何人未经授权不得借用和泄露自己的账户和密码给他人使用，出现问题由账户拥有者负责； 5.5.1.3 账户密码必须定期更改，原则上六个月必须更新密码，且不能使用前三次使用过的密码； 5.5.1.4 密码设定至少８位，且必须有大小写字母、组合字母和数字； 5.5.1.5 任何人不得盗用他人账户和密码，一旦发现将根据公司政策处理。 5.5.2密码恢复 5.5.2.1 当因用户密码遗忘、或其他原因需修改密码必须由账户使用者本人提出申请后由IT部协助重新设置。 5.5.2.2 系统管理员完成密码恢复后通知申请人修改后的新密码并归档密码恢复申请表。 5.6. 软件管理 5.6.1 公司计算机软件的使用、采购、相关技术培训等必须由IT部审核同意。 5.6.2 用户不得改动所使用的计算机系统的相关软件设置(尤其：计算机名字、IP地址、浏览器的相关配置等)； 5.6.3 对于公司的生产/营运管理等系统及其他网络应用系统用户，请在用完系统后及时退出系统。 5.6.4 严禁在公司的电脑系统上安装或玩电脑游戏，公司IT部人员会不定期检查公司电脑，如发现有游戏则由使用者负责。同时追究部门负责人的责任。 5.7. IP地址管理 IP地址是计算机网络管理的一个非常重要的工具，目前公司IP地址采用的是动态地址主机配置协议（DHCP），由DHCP服务器动态分配的，降低了因人为分配IP地址而导致地址冲突的风险，提高了工作效率，所有客户机IP地址是由IT部分配的；为了确保公司网络正常运行，在未经公司IT部授权的情况下，不能随意挪用、借用、更改或盗用IP地址（非经本公司IT部的授权，在任何时间，通过任何计算机私自故意进入本公司任何一个IP地址且不论时间长短的行为）。” 5.8. 电话通信管理 5.8.1 为降低公司每月通信费用，IT部每月将根据分机号码和对电话记录进行统计和报告，并将违反下面规定的人员报告给相关部门负责人。 5.8.2 不允许使用公司电话做与公司业务无关的事。 5.8.3 不允许使用公司电话进行聊天或拨打色情服务电话。 5.8.4 不允许在不必要时间内，拨打国家特别号码（如：110， 120， 119等等）。 5.9. 打印复印扫描管理 5.9.1 请爱护使用打印机、复印机，杜绝浪费纸张，非重要文件可使用回收纸双面打印。 5.9.2 禁止打印复印公司机密资料和未经许可打印复印的资料。如有特殊需要，请相关领导审批后或由专人打印复印，并严格控制份数，严格登记，用后及时回收，按规定销毁，防止失、泄密事件的发生。 5.9.3 打印机复印机出现卡纸等故障，请按照机器上简要操作说明解决；如不能解决的，应请专业人员维修，严禁非专业人员随意拆卸。 5.9.4 员工扫描的文件全部发到自己的公司邮箱，如大批量扫描可找IT部申请扫描到自己的文件夹。 6 相关文件 《XX员工信息安全培训2013年11月10日.ppt》 《信息系统帐号及密码管理规范2013年11月22日》