计算机信息安全管理新规制度.doc

《计算机信息安全管理新规制度.doc》由会员分享，可在线阅读，更多相关《计算机信息安全管理新规制度.doc（18页珍藏版）》请在咨信网上搜索。

计算机信息安全管理制度 1 目标 加强计算机网络及计算机信息安全管理，保障企业网络平台、应用系统正常运行及数据安全，预防泄密。 2 范围 适适用于企业及各事业部、分企业、控股子企业（以下简称各经营单元）全部计算机信息安全管理。 3 术语 3.1 办公计算机：办公用台式机、笔记本电脑等属于企业资产计算机设备。 3.2 计算机信息：是指存放在计算机上软件、数据、图纸等含有一定意义计算机信息资料。 3.3 内部网络：企业长沙园区网络及经过专线和长沙园区互联其它园区、驻外机构网络（以下简称内网）。 3.4 外部网络：互联网或除互联网和企业内网之外第三方专网（以下简称外网）。 4 职责 企业计算机信息安全采取集中控制、分级管理标准。 4.1 企业信息化管理部门：负责制订企业计算机信息安全战略目标及信息安全策略、督导企业日常计算机信息安全管理，负责直属部门计算机信息安全日常工作。负责协调企业内外部资源，处理企业重大计算机信息安全事件。 4.2 经营单元信息化管理部门：负责本经营单元计算机信息安全日常工作，立即向企业信息化管理部门、督察部门汇报重大计算机信息安全隐患和计算机信息安全事件。 4.3计算机用户：负责本人领用办公计算机日常保养、正常操作及安全管理，负责所接触信息保密性、可用性和完整性；立即向信息化管理部门汇报计算机信息安全隐患和计算机信息安全事件。信息起草人须按《保密制度》相关要求提出信息密级定级申请。 5 内容和要求 5．1账号和密码安全管理 5.1.1. 信息化管理部门须统一生成信息系统用户账号，并确保身份账号在此系统生命周期中唯一性；对账号密码信息进行加密处理，确保用户账号密码不被非授权地访问、修改和删除。 5.1.2. 职员因工作岗位或职责变动需变更账号权限时，须向信息化管理部门提出申请权限变更。信息化管理部门应立即变更异动职员权限，冻结离职职员账号。 5.1.3. 职员使用企业计算机信息系统时，须参考附件9.1《网络和计算机外部设备访问权限申请步骤》，向信息化管理部门提出申请，经审批后方可取得账号和初始密码。职员使用初始密码登录信息系统后，须立即更改密码。 5.1.4. 密码须满足以下要求：密码长度最少8位，密码必需由大写字母（A到Z）、小写字母（a到z）、符号（!@#$%^&*等）和数字（0~9）4组类型最少需取2种组合。是否考虑由2种改为3种，和域账号密码要求统一？ 写最少2种组合是考虑到现在OA账号密码强度，提议不改动。 5.1.5. 密码更换周期不得长于两个月，且变更前后密码不能相同。 5.1.6. 用户登录系统时，密码连续输错5次，用户账号将变成锁定状态，用户须向信息化管理部门申请解锁。严禁以非法手段尝试获取她人账号密码信息，未经授权不得使用她人账号密码登录系统。 5.1.7. 用户对自己账号密码安全性负责，严禁泄露给她人。因个人账号密码管理不慎造成信息安全事件由账号全部者负最终责任。 5．2 办公计算机安全管理 5.2.1. 信息化管理部门在日常管理办公计算机时，应进行以下安全设置： a) 须为全部办公计算机设置BIOS密码，关闭未申请使用接口并贴封条和配置机箱锁； b) 须为全部办公计算机布署对应内网安全管理系统及防病毒软件； c) 主机设备需要带离现场维修时，应由保密专员进行全程陪同，并拆除全部存放介质； d) 存放介质应到含有涉密信息系统数据恢复资质单位进行维修； e) 不再使用或无法使用设备应按相关要求立即进行报废处理。 5.2.2. 计算机使用人在日常使用办公计算机时应遵守以下要求： a) 计算机用户使用计算机在处理企业涉密信息及账号信息时，应注意信息安全防范，预防被无关人员窥视泄密；临时离开计算机时应启用带密码保护屏幕保护程序或直接锁定计算机。 b) 定时检验计算机设备标签、封条、机箱锁，如有破损立即通知信息化管理部门处理。 c) 不得私自挂接计算机输入输出设备和有意损毁计算机设备标签、封条和硬件锁。不得将相关设备挪作私用。 d) 如需使用计算机以外输入输出设备（如打印机、扫描仪、移动存放类设备及刻录光驱等）及硬件接口时，须参考附件9.1《网络和计算机外部设备访问权限申请步骤》实施。 e) 严禁利用办公计算机处理和工作无关内容、破坏或影响其它职员正常工作。 f) 严禁私自卸载企业内网管理系统及防病毒系统。 g) 严禁使用办公计算机公布不良信息、牟取私利、泄露企业机密和从事违法犯罪活动。 5．3 计算机防病毒管理 5.3.1 计算机用户在使用计算机过程中应注意采取以下防病毒安全方法： a) 严禁私自关闭、卸载或更换防病毒软件，应立即更新病毒库和操作系统补丁，确保计算机安全运行。 b) 发觉或怀疑有办公计算机被病毒感染，应立即断开网络并实施全盘扫描病毒程序，如感染症状未能解除须立即上报信息化管理部门。 c) 对任何外来资料，须使用防病毒软件进行扫描后方可使用，不要打开外来不明链接。 d) 严禁有意瞒报、制作、下载、运行及传输计算机病毒 。 5.3.2 信息化管理部门须维护防病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时，应立即公布病毒预警，立即采取有效预防方法预防病毒大面积扩散。 5．4网络安全管理 5.4.1 信息化管理部门在管理办公计算机网络安全时，应遵照以下要求： a) 必需严格隔断许可访问外网计算机和内网计算机之间直接通讯。 b) 必需严格隔断内网中财务、研发和其它管理类计算机之间直接通讯。 c) 办公计算机在使用企业网络时，用户身份、网卡物理地址必需和网络访问资源一对一绑定。 5.4.2 信息化管理部门在保护信息化应用系统网络安全时，应遵照以下要求： a) 信息化应用系统服务器及存放设备只许可安装在企业网络机房、数据中心机房内，特殊情况可申请托管在第三方机房内，严禁安装在一般办公场所及其它不安全场所内。 b) 信息化应用系统需要开启远程管理时，须使用加密远程管理协议，而且实现专员、专机、专网管理，预防远程管理权限被非法窃用。 c) 必需在企业内外部网络交汇处设置必需防火墙系统，并制订必需防火墙策略；未经授权，不许可将任何内部IP地址和服务端口映射到外部网络。 d) 对外信息化应用系统必需布署必需安全手段以检测和降低被攻击行为，并采取必需方法便于对非法行为进行审计取证。 e) 定时检验内部网络运行情况，立即发觉非法网络接入。 f) 需要变更网络安全相关管理策略时，按9.1《网络和计算机外部设备访问权限申请步骤》办理。 5.4.3 用户在使用企业网络资源时，应遵照以下安全要求： a) 在默认情况下，全部办公用台式机和工作站只能访问企业内网；笔记本不许可接入企业内网。计算机用户需要申请网络权限时，须按附件9.1《网络和计算机外部设备访问权限申请步骤》审批后开通。 b) 职员因岗位职责改变不再需要使用外网时，应立即通知信息化管理部门关闭外网权限。 c) 严禁职员私自修改办公计算机IP地址、网卡地址等，严禁将办公计算机私自接入非指定网络环境。 d) 当需进行信息提取时，按附件9.2《计算机信息提取(输入)步骤》办理。 5．5 信息化应用系统开发安全管理 5.5.1 信息化应用系统开发安全需求 a) 必需有可靠身份认证机制，不许可匿名访问，账号和密码须满足安全管理要求。 b) 必需有完整权限管理系统，支持分层分级授权。 c) 账号密码必需加密存放在后台数据库中。 d) 必需基于职责分离标准定义不一样业务模块使用权限。 e) 信息化应用系统必需经过第三方安全测评机构测评合格后才能正式投入运行。 f) 信息化应用系统开发各阶段产生源代码程序、编译程序及文档资料严格按用户授权集中管理。 5.5.2 信息化应用系统运行安全管理 a) 必需定时审计信息化应用系统用户行为。 b) 必需定时备份信息化应用系统数据。 c) 严禁篡改信息化应用系统数据及更更正式系统环境下信息化应用系统程序文件。 d) 必需严格权限控制，按业务职责对用户合理授权，信息化应用系统权限变更须经信息化管理部门审批。 e) 需定时进行风险检测和评定，确保信息化应用系统运行安全。 5．6 网络设备安全配置 5.6.1 全部网络设备必需由信息化管理部门指定专员、专机管理。需要使用远程管理时，优先使用统一加密远程管理协议实现功效，并确保专员、专机、专网管理，严防远程管理权限被非法窃用。 5.6.2 管理网络设备时需要用到密码信息必需以密文形式保留。 5.6.3 未经授权，网络管理工程师不得私自更改网络设备配置文件。 5.6.4 网络管理工程师 更改关键网络设备配置前，必需先备份现有配置文件，更改网络设备时，需填写《配置变更记录表》并严格根据表内容进行。 5.6.5 网络管理工程师必需周期性备份管辖范围内全部网络设备配置文件。 5.6.6 网络设备故障时，尽可能抢救现有配置文件，并用最终备份版本配置文件快速配置替换设备。 5.6.7 定时审计网络配置。 5.6.8 需定时进行风险检测和评定，确保网络设备运行在可接收安全。 5.7 数据备份和恢复管理 5.7.1 信息化管理部门必需为全部信息化应用系统制订对应数据备份和恢复策略，填写《数据备份统计表》，参考《信息备份和数据恢复管理措施》实施。 5.7.2 信息化管理部门须定时检验备份策略有效性和实施情况，进行备份恢复测试，确保备份介质不仅有效，而且能在恢复操作步骤分配时间内完成。 5.7.3 数据备份应确保立即、完整、真实、正确地转储到不可更改介质上，备份介质须异地存放。 5.8 机房安全管理 5.8.1 信息化应用系统硬件设备只许可放置在企业网络机房、数据中心机房内，特殊情况可申请托管第三方机房，严禁放置在一般办公场所及其它不安全场所内。 5.8.2 机房配置温湿度计和干冰灭火器，信息化管理部门须对机房人员进行消防安全指导，并做好机房防火、防盗、防水、防静电、防雷击方法，杜绝相关安全事故发生。 5.8.3 信息化管理部门须指定专员负责对机房内各类设备进行安全维护和管理，对机房进行定时巡检，碰到异常情况立即处理，并参考《计算机机房管理要求》实施。 5．9 出图管理 5.9.1 信息化管理部门须指定专员负责对出图设备进行安全管理和维护，为出图申请部门提供对应技术支持。 5.9.2 图纸只能在出图室出图设备上打印。技术部门如配置有打印机，需指定专员管理，且打印机只能打印文档资料，不得打印图纸，违者按《保密制度》相关要求处理。 5.9.3 出图人员须在OA中提议《出图申请步骤》经审批后方能出图，具体参考附件9.3《CAD出图管理步骤》实施。 5.9.4 出图人员未经许可不得操作出图室打印服务器和出图设备。 5.9.5 出图人员取图时须出示本人职员卡，由信息化管理部门进行身份核实，并将其清点图纸和所填写出图申请表上内容查对一致后方可取走图纸，严禁代领和冒领。 5.10 信息安全培训管理 5.10.1 信息化管理部门应及做好信息安全培训工作，降低因意识和操作失误带来安全风险。 5.10.2 信息化管理部门必需依据中国外及行业内信息安全发展现实状况每十二个月制订信息安全培训计划，培训计划要求以下： a) 确保培训内容能指导职员正常处理日常工作中可能碰到并应该引发注意信息安全问题。 b) 针对不一样培训对象如通常新职员、通常老职员、信息化内部职员、及关键涉密岗位需制订不一样培训内容。 c) 针对不一样培训对象和内容明确培训形式及目标。 d) 必需针对培训效果进行考评。 6 违纪和处罚 6.1 对违反本制度违纪行为，信息化管理部门填写《信息安全违规统计表》，并定时上报督察部门，依据违纪类型进行对应处罚。 6.1.1以下违纪行为，视其情节最高可给开除处分，并移交司法处理： a) 违反国家相关信息管理法规，利用网络从事违反中国法律和法规活动，发表违反法律法规言论（包含以任何理由），泄露国家机密，进行任何破坏国家安全活动； b) 利用网络对她人进行欺侮、诽谤、骚扰；侵害她人正当权益；侵犯她人声誉权、肖像权、姓名权等人身权利；侵犯她人商誉、商标、版权、专利、专有技术等多种知识产权； c) 利用网络或电子邮件传输任何非法、骚扰性、中伤她人、辱骂性、恐吓性、伤害性、淫秽信息数据；传输任何教唆她人组成犯罪行为信息数据；主动发送连锁邮件或垃圾邮件和主动散布计算机病毒或恶意代码；以任何形式、任何目标对电子邮件功效进行滥用；盗用她人任何系统帐号；传输助长国家不利原因、包含国家安全，和任何不符合国家法律、法规、规章信息数据； d) 终端用户使用破解、猜测和嗅探口令工具企图侵入信息化应用系统；或使用黑客工具攻击内部网络；或私自修改和删除信息系统信息； e) 利用企业信息化资源牟取私利。 f) 有其它严重违反计算机信息安全要求行为，造成严重后果或重大损失。 6.1.2 以下违纪行为，视其情节最高可给记大过处分： a) 私自拆装计算机设备，或自行插拔机内部件或添加设备； b) 因为保管不善而泄漏个人账号和密码，使企业关键信息泄漏或信息系统遭到攻击，给企业造成重大损失； c) 职员在所使用计算机上私自卸载企业统一安装内网监控软件； d) 有其它较严重违反计算机信息安全要求行为，造成较严重后果或一定损失。 6.1.3 以下违纪行为，视其情节最高可给记过处分： a) 私自删除或修改计算机标准软件及系统配置（如用户名、用户IP地址等）； b) 职员在所使用计算机上私自卸载企业统一安装防病毒软件，或有意使防病毒软件处于未激活状态； c) 工作时间长时间参与工作无关网上聊天、浏览和业务无关网站、玩电脑游戏； d) 下载互联网上非法软件或拷贝外来非法软件进入企业网络； e) 大量下载或传输和业务无关数据或非法软件，占用网络带宽； f) 有其它通常违反计算机信息安全要求行为。 6.1.4 以下违纪行为，视其情节最高可给通报批评处分： a) 离开计算机时不立即进行锁屏或不按要求设置自动启用屏幕保护； b) 职员随意在自己计算机内设置共享目录，未设置口令保护，并在共享完成后未能立即取消共享功效； c) 有其它轻度违反计算机信息安全要求行为。 7相关文件 7．1 《信息化应用系统管理要求》 7．2 《保密制度》 7．3 《计算机机房管理要求》 7．4 《信息备份和数据恢复管理制度》 7．5 《计算机设备管理措施》 8统计 8．1《计算机信息提取（输入）申请单》 8．2《出图申请单》 8．3《信息安全违规统计表》 8．4《计算机安全检验统计表》 8．5《数据备份统计表》 8. 6《配置变更记录表》 9 附件 9．1网络和计算机外部设备访问权限申请步骤 9．2计算机信息提取（输入）步骤 9．3 CAD出图管理步骤 9．4 电子数据归档步骤 附加说明： 本制度由信息化管理部门提出并解释。 本制度关键起草人：翟艺 曾筝 本制度审核人： 张飞庆 本制度同意人：王玉坤 统计1： 计算机信息提取（输入）申请单 申请人 信息等级 提取时间 信息起源部门责任人 信息提取部门责任人 审批人 信息名称 介质 信息起源及目标地 计算机信息安全工程师 销毁人 证实人 销毁时间 注：信息等级审批，绝密信息——CEO； 机密信息——分管领导； 秘密和通常信息——部门责任人。 统计2： 出 图 申 请 单 部门 出图人 项目 用 途 图幅 数量 代 号（编 码） 名 称 A0 A1 A2 A3 A4 项目责任人 审批 计算机信息安全工程师 日期 备注：⑴A0、A1必需填写代号、名称。 ⑵总图、一级部件不管图幅大小，必需填写代号、名称。 统计3： 信息安全违规统计表 基础信息 违规人姓名 所属部门 计算机名/IP 账号 违规时间 违规行为描述 违纪定级 呈报单位 呈报人 呈报时间 统计4： 计算机安全检验统计表 单位名称： 年 季度 设备号 机器IP 使用者 部门 时间 系统状态描述 统计人： 审批人： 统计5： 数据备份统计表 信息化应用系统基础信息 应用名称 所在园区 操作员 操作系统类型 数据库类型 支撑平台 备份内容 数据库/程序 备份类型 （增备/全备） 备份周期 备份目标园区 备份方法 手动/自动 备份介质 备份操作统计表 时间 备份情况说明 备份结果 统计6： 配置变更记录表 编号： G+年月日+次序号 日 期 设备名 设备编号 统计人 变更原因： 配 置 内 容 原内容： 变更内容： 审核：_________ 附件 9.1 网络和计算机外部设备访问权限申请步骤 适用范围：本步骤适适用于企业计算机网络（包含跨网段计算机、互联网等网络）及计算机外部设备（包含光驱、USB外设、移动存放等设备）访问权限申请管理。 步骤图 说明 责任人（参与人） 接收申请 审批 No Yes 开通权限 归档 l 接收直属部门或经营单元相关责任人审批经过后申请 l 按权限分级审批申请： ① 直属部门及没有派驻信息化主管经营单元申请 ② 有派驻信息化主管经营单元申请 l 按权限分级开通计算机安全权限，并将结果反馈给申请人： ① 直属部门申请及跨网段计算机访问 ② 经营单元申请（不包含跨网段计算机访问） l 存档汇总 企业信息化部信息安全工程师、经营单元信息安全工程师 企业信息化部部长 派驻经营单元信息化主管 企业信息化部信息安全工程师 经营单元信息安全工程师 企业信息化部信息安全工程师 9.2计算机信息提取(输入)步骤 适用范围：本步骤适适用于企业全部计算机信息提取（输入）管理。 步骤图 说明 责任人（参与人） 归档 验收 提取信息 接收申请 No Yes 派发任务 l 接收按计算机信息涉密等级分级审批经过后申请： ① “通常”和“秘密”级信息申请 ② “机密”级信息申请 ③ “绝密”级信息申请 l 派发信息提取（输入）任务 l 提取（输入）信息 l 确定信息提取（输入）是否完成 l 存档汇总 企业信息安全室主任、经营单元信息化相关室主任 信息输入或输出部门责任人 申请部门分管领导 经营单元总经理或CEO 企业信息安全室主任、经营单元信息化相关室主任 企业信息化部信息安全工程师、经营单元信息安全工程师 企业信息化部信息安全工程师、经营单元信息安全工程师 (申请人) 企业信息化部信息安全工程师 9.3 CAD出图管理步骤 适用范围：本步骤适适用于企业全部CAD图纸输出管理。 步骤图 说明 责任人（参与人） 归档 图纸清收 出图 接收申请 No Yes l 接收申请部门责任人审批经过后申请 l 图纸输出： ① 依据图纸输出类型（白图、描图）安排绘图仪 ② 立即更换纸张，定时检验墨盒容量，保障绘图仪正常运行 l 图纸输出后进行清点： ① 清点领取图纸，如有误，重新出图 ② 对申请人清点后图纸进行图纸代号和名称查对，统计实际出图数量 l 存档汇总： ① 每三个月将步骤汇总，统计出图数量 ② 计算各部门出图费用，交申请部门分管领导签字后汇总给财务部门 企业信息化部信息安全工程师、经营单元信息安全工程师 企业信息化部信息安全工程师 、经营单元信息安全工程师 申请人 企业信息化部信息安全工程师、经营单元信息安全工程师 企业信息化部信息安全工程师、经营单元信息安全工程师 9.4电子数据备份及归档步骤 适用范围：本步骤适适用于企业全部电子数据归档、应用系统备份管理。 步骤图 说明 责任人（参与人） 接收申请 实施备份 归档 Yes 备份方案 校验 No 方案审批 No Yes l 接收申请部门和信息化部责任人审批经过后申请： ① 电子数据归档 ② 应用系统备份 l 根据《信息备份和数据恢复管理措施》要求依据备份类型设计信息备份方案： ① 电子数据归档 ② 应用系统备份 l 方案审批 l 依据《信息备份和数据恢复管理措施》实施数据备份： ① 电子数据归档 ② 应用系统备份 l 确定信息备份是否成功 ① 电子数据归档 ② 应用系统备份 l 存档汇总： ① 将电子数据备份介质密封提交给企业档案室保管 ② 删除相关临时文件，以预防泄密 ③ 统计应用系统备份日志 信息安全室主任 信息系统运行室主任 信息化部信息安全工程师 信息化部信息系统运行工程师 信息化部部长 信息化部信息安全工程师 (督察部、申请人) 信息化部信息系统运行工程师 (信息化部系统管理员) 信息化部信息安全工程师 (申请人） 信息化部信息系统运行工程师 (信息化部系统管理员) 信息化部信息安全工程师 (督察部、企业档案管理员) 信息化部信息安全工程师 (督察部) 信息化部信息系统运行工程师 (信息化部系统管理员)