信息安全管理操作規(guī)范

信息安全管理操作規(guī)范(初稿)一、 目的為了保護圓融光電公司的自主知識產(chǎn)權(quán)，保證圓融光電公司所有數(shù)據(jù)的安全、信息系統(tǒng)和計算機本身的穩(wěn)定以及規(guī)范管理員工的行為操作，特制定本操作規(guī)范。二、 定義1. 信息系統(tǒng)：指網(wǎng)絡(luò)系統(tǒng)、軟件及軟件系統(tǒng)、硬件及服務(wù)器等，不包括公司內(nèi)生產(chǎn)專用設(shè)備自帶的控制系統(tǒng)2. 信息安全：指物理安全、數(shù)據(jù)安全、信息系統(tǒng)安全；3. 合同方：是指與圓融光電公司簽訂相關(guān)合作合同的外部單位或組織；4. 外來信息化設(shè)備：非圓融光電公司（資產(chǎn)的信息化設(shè)備，如供應(yīng)商及員工個人的筆記本電腦、臺式電腦等。三、 范圍1. 適用范圍：圓融光電公司所有部門；2. 網(wǎng)絡(luò)組成部分包括下述內(nèi)容：2.1. 可以輸出話音和電子信息的所有電纜；2.2. 可以控制話音通訊和電子信息通訊的，以及所有可用于控制信息流的計算機；2.3. 所有計算機部件，包括（但不僅限于）-顯示器、機箱、存儲計算機、調(diào)制解調(diào)器、內(nèi)存芯片、鍵盤、鼠標、網(wǎng)卡和電纜；2.4. 所有計算機軟件；2.5. 所有輸出計算機，包括便攜式計算機、臺式機及圖形工作站、打印機和傳真機；四、 職責1. 信息部:1.1. 負責圓融光電公司信息網(wǎng)絡(luò)的整體安全體系設(shè)計及需求分析、整體網(wǎng)絡(luò)安全項目實施、策略部署及信息安全項目相關(guān)文件的歸檔管理；1.2. 負責圓融光電公司信息安全相關(guān)制度及流程的建設(shè);1.3. 負責對計算機信息系統(tǒng)安全保密方面的薄弱環(huán)節(jié)進行評估，并提出整改措施。2. 圓融光電公司各部門2.1. 將信息安全作為工作的一部分，納入年度及月度工作中;2.2. 負責執(zhí)行公司相關(guān)信息安全制度及流程；2.3. 負責配合完成各項信息安全建設(shè)工作。五、 內(nèi)容1. 信息機房管理1.1. 日常管理l 工作人員應(yīng)認真閱讀機房管理條例，執(zhí)行機房的各項規(guī)章制度和管理辦法；l 定期檢查安全保障計算機，確保其處于正常工作狀態(tài)；l 建立并嚴格執(zhí)行機房管理制度，無關(guān)人員未經(jīng)安全責任人批準嚴禁進出機房；l 注意安全用電，任何人啟動計算機前應(yīng)檢查通電情況，若有不正常現(xiàn)象應(yīng)立即通知管理人員；l 使用計算機應(yīng)按其性能正規(guī)操作，嚴禁用濕物接觸電源、電器、以免發(fā)生意外；l 經(jīng)常檢查門窗、插銷、門鎖是否完好，發(fā)現(xiàn)問題及時處理，做好防盜工作；l 加強計算機的安全防范工作，保持室內(nèi)清潔、干燥、空氣疏通、安全用電、注意防火、防盜、防塵；l 保持機房安靜，嚴禁在機房內(nèi)大聲喧嘩、吵鬧；l 對出現(xiàn)意外、設(shè)備及安全事故的，按公司安全生產(chǎn)管理手冊中相應(yīng)規(guī)定執(zhí)行；2. 用戶操作安全管理本規(guī)定是對網(wǎng)絡(luò)用戶在使用企業(yè)信息網(wǎng)絡(luò)時需要遵守的安全規(guī)范進行定義。2.1. 操作人員不得利用國際互聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密、泄漏公司秘密等違法犯罪活動；2.2. 嚴格遵守上機操作規(guī)范，不得攜帶非法、盜版及未經(jīng)網(wǎng)絡(luò)管理人員許可的光盤及各種軟件上機使用；2.3. 進入互聯(lián)網(wǎng)后，上網(wǎng)人員應(yīng)遵守國家有關(guān)法律和公司保密管理制度：l 不得擅自進入未經(jīng)許可的計算機系統(tǒng)或改動他人信息；l 不得在網(wǎng)絡(luò)上散發(fā)惡意信息、冒用他人名義發(fā)送信息、侵犯他人隱私；l 不得制作、傳播計算機病毒及從事其他侵犯網(wǎng)絡(luò)和他人合法權(quán)益的活動；l 不得瀏覽、發(fā)布、拷貝有關(guān)淫穢、迷信、反動等不健康的內(nèi)容或無故向他人發(fā)送惡意的挑釁性的郵件和商業(yè)廣告；由此造成的一切法律責任均由用戶本人負責；2.4. 所有的網(wǎng)絡(luò)維護操作，包括對桌面系統(tǒng)配置的修改，都只能由信息部相關(guān)技術(shù)工程師執(zhí)行，其他各部門員工或合同方，都不允許修改系統(tǒng)及公司提供其使用的工作站；下列行為是違規(guī)的，且被認為是對系統(tǒng)修改的行為：l 把信息系統(tǒng)的網(wǎng)絡(luò)引線接到其他地方；l 打開系統(tǒng)的機箱或封蓋；l 安裝任何與工作無關(guān)的軟件，包括從因特網(wǎng)上下載的軟件；l 卸載和更換計算機的各類驅(qū)動、殺毒軟件及防火墻；2.5. 設(shè)置強有力的口令保護政策；各部門員工都應(yīng)使用唯一的登錄名訪問網(wǎng)絡(luò)資源，口令用于保護只有經(jīng)過合法授權(quán)的用戶才能夠使用相應(yīng)的登陸訪問網(wǎng)絡(luò)資源。各部門員工都應(yīng)對自己的或者他人的口令保守秘密?？诹畹氖褂脩?yīng)遵守下列規(guī)定：l 口令最少由7個字母和數(shù)字混合組成；l 各部門員工應(yīng)每90天更改一次口令。信息部需通過技術(shù)手段實現(xiàn)口令到期后的提醒，各部門員工在看到提醒后，必須按要求及時進行更改；l 公司的每臺計算機和服務(wù)器在發(fā)放前，信息部就必須做好鎖屏設(shè)置，責任人在使用過程中不得擅自更改，人員離開計算機必須立即鎖定屏幕；l 口令由個人保管，各部門員工不得把口令記錄在紙上，或者告訴其他人。各部門員工的直接上司、人事部門人員或安全管理人員在場的情況下，該各部門員工可以根據(jù)要求交出口令，人事負責人在得知員工離職時，必須要求起將計算機口令交至本部門信息化管理員處。l 公司保留追查各部門員工因未能按照上述規(guī)定保守自己的口令秘密，并對公司造成損失的權(quán)利；2.6. 重要崗位的登陸過程應(yīng)增加必要的限制措施，每周檢查主機登陸日志，及時發(fā)現(xiàn)不合法的登陸情況；2.7. 各部門員工不得利用各種技術(shù)從事用戶帳戶及口令的偵聽、盜用活動，對類似活動圓融光電公司保留追究法律責任的權(quán)利；2.8. 信息部對公司信息系統(tǒng)所用的軟、硬件建立操作記錄管理制度，實際按日記錄管理；2.9. 信息部系統(tǒng)管理員日常操作嚴格執(zhí)行計算機操作上崗制度，每日如實對企業(yè)信息系統(tǒng)及中斷運行情況進行記錄；2.10. 信息部各系統(tǒng)管理員對所負責的系統(tǒng)的運行情況及使用情況按日記錄，并對操作人員維護情況進行檢查、匯總，及時發(fā)現(xiàn)問題、解決問題，保證系統(tǒng)運行良好；2.11. 各部門員工應(yīng)配合信息部完成計算機入域工作，不得私自退出域、不得以任何方式修改本地管理員密碼及登陸本地計算機；2.12. 各部門每月至少需要組織一次信息安全自查工作，具體參照信息安全自查/檢查表（附件1）并在每月的22號前將自查的結(jié)果以書面的形式反饋至信息部。3. 計算機安全管理本制度所指計算機是列入固定資產(chǎn)項目的服務(wù)器、工作站、臺式機、筆記本電腦及相關(guān)周邊附屬計算機等，本制度是對這些具體計算機進行安全管理的說明。3.1. 信息部負責公司應(yīng)落實各項管理制度和技術(shù)規(guī)范，監(jiān)控、封堵、清除網(wǎng)上有害信息。為了有效的防范網(wǎng)上非法活動，企業(yè)網(wǎng)要統(tǒng)一出口管理、統(tǒng)一用戶管理；3.2. 公司的信息化設(shè)備原則上禁止帶出圓融光電公司，如工作需要必須要帶出的（其中包括：外出開會、出差及培訓），各部門必須建立相應(yīng)的審批流程或登記手續(xù)；3.3. 各部門不得隨意將計算機借給非圓融光電公司員工，各部門的計算機使用者不得自行將計算機借給他人使用；3.4. 對本企業(yè)所使用的硬件計算機進行統(tǒng)一管理，并建立計算機卡片，詳細記錄其計算機名、使用時間、供貨廠家及相關(guān)情況；3.5. 定期對有關(guān)計算機進行保養(yǎng)，保持機房和計算機的整潔，嚴禁違規(guī)違章操作，確保機房、硬件計算機的安全；3.6. 對企業(yè)信息系統(tǒng)軟硬件及有關(guān)正版軟件要認真組織做好軟件的升級工作，并對功能改動部分進行認真測試研究，確定新增功能在本單位的用法，防止工作的盲目性。對企業(yè)信息系統(tǒng)軟硬件及有關(guān)正版軟件應(yīng)備份存檔，應(yīng)嚴格保護所有在用的正版軟件的版權(quán)，不準拷貝給他人和單位，要維護不同版本的完整性、獨立性，確切掌握軟件版本使用情況，防止出現(xiàn)版本的混淆；3.7. 信息部應(yīng)建立計算機管理維護記錄，實行維護記錄制度，對故障發(fā)生的時間、表現(xiàn)的解決措施、結(jié)果及軟硬件的升級情況進行詳細記錄，以便今后解決故障；3.8. 未經(jīng)系統(tǒng)管理員同意或授權(quán)，任何人不得在企業(yè)信息系統(tǒng)上安裝、拆卸軟硬件，不得改變系統(tǒng)的運行環(huán)境；3.9. 計算機管理落實到專人，保管人對計算機丟失或者不當使用造成的損失負責，并對因計算機丟失或者不當使用造成的信息丟失和泄密事故負責；3.10. 針對具體應(yīng)用型計算機建立有關(guān)的操作流程，使用時應(yīng)嚴格按照操作流程執(zhí)行；3.11. 計算機報廢應(yīng)依據(jù)公司有關(guān)規(guī)章制度執(zhí)行，對報廢計算機上保存的存儲內(nèi)容要進行清除，防止泄密；3.12. 對于標準外的軟件如因需要投入公司使用，必須確認與操作系統(tǒng)等不沖突才可以投入正常運行；3.13. 不得在網(wǎng)絡(luò)中安裝與工作無關(guān)的應(yīng)用及系統(tǒng)軟件；3.14. 由公司信息化管理部門統(tǒng)一規(guī)劃、購買、布置網(wǎng)絡(luò)使用的相應(yīng)軟硬件；3.15. 各部門必須配合信息部相關(guān)安全項目的實施。4. 數(shù)據(jù)安全管理本制度對管理服務(wù)器數(shù)據(jù)的人員進行規(guī)范和說明。4.1. 重要數(shù)據(jù)在處理中時，被批準使用數(shù)據(jù)人員以外的其他人員不應(yīng)該進入機房工作。處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)。應(yīng)妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進行粉碎；4.2. 網(wǎng)絡(luò)數(shù)據(jù)采用光盤或外置硬盤進行備份，作為檔案保存的網(wǎng)絡(luò)數(shù)據(jù)應(yīng)使用光盤介質(zhì)進行存儲。其他相關(guān)臨時數(shù)據(jù)信息的存儲可采用磁盤備份；4.3. 信息部機房管理員經(jīng)常對系統(tǒng)中的數(shù)據(jù)進行備份，以便在計算機發(fā)生故障時可恢復(fù)到最近狀態(tài)。原則上要求在發(fā)生業(yè)務(wù)的當天進行備份。備份模式為：利用光盤進行每周七天的循環(huán)覆蓋備份，每一周進行一次低級備份（全部備份）；保存最近三個月的備份機及每年年末的備份。同時應(yīng)備雙份以上，存儲于不同的地點；4.4. 對數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴加控制。嚴禁未經(jīng)授權(quán)將數(shù)據(jù)拷貝出系統(tǒng)，轉(zhuǎn)給無關(guān)的人員或單位；嚴禁未授權(quán)進行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入系統(tǒng)操作；4.5. 數(shù)據(jù)庫管理系統(tǒng)的口令必須由專人管理，并定期更換。禁止同一人管理操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令；4.6. 采用專門的數(shù)據(jù)備份和容災(zāi)安全解決方案和設(shè)備。5. 病毒安全預(yù)防本規(guī)定對病毒的安全防范辦法進行定義和說明：5.1. 所有計算機資源受到防病毒軟件的保護，指定專人負責計算機病毒防范工作。定期進行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告；5.2. 各部門員工應(yīng)負責運行系統(tǒng)中的防病毒軟件，不得關(guān)閉或者進行回避。如果各部門員工受到系統(tǒng)中運行的防病毒軟件發(fā)出的任何警告，則應(yīng)該立即停止使用系統(tǒng)，并且與網(wǎng)絡(luò)維護人員聯(lián)系；5.3. 網(wǎng)絡(luò)維護人員應(yīng)負責保證所有防病毒軟件為最新版本，可以在所有各部門員工的系統(tǒng)都在網(wǎng)絡(luò)資源上連接工作時，通過自動過程進行安裝。各部門員工如果懷疑自己的防病毒軟件在過去的60天中沒有更新，應(yīng)該與網(wǎng)絡(luò)維護人員聯(lián)系；5.4. 禁止運行未經(jīng)審核的軟件，并配合信息部完成病毒清除工作；5.5. 如果有病毒造成的損失，應(yīng)該立即隔離受到病毒感染的計算機，并將其與企業(yè)內(nèi)部網(wǎng)絡(luò)斷開；5.6. 重要部門的計算機要做到專人專用專管，避免交叉使用；六、 考核6.1. 同一個人第一次出現(xiàn)違反規(guī)定的事件，根據(jù)事件的輕重程度給予分別給予責任部門提醒、警告、過程考核等；同一個人出現(xiàn)第二次違反規(guī)定的事故，則立即取消其相關(guān)的信息系統(tǒng)使用權(quán)限，并對其所