公司信息安全管理制度

1、公司信息全管理制 公司信息安全管理制度企業(yè)信息安全管理制度一、計(jì)算機(jī)設(shè)備管理制度1.計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境，禁止在 計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物 品。2.非本單位技術(shù)人員對(duì)我單位的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由公司 相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。3.嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。 任何人不允許帶電插拔計(jì)算機(jī)外部設(shè)備接口，計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向 IT 部門 報(bào)告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。二、操作員安全管理制度（

2、一）.操作代碼是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級(jí)對(duì)數(shù)據(jù)存取進(jìn)行控 制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設(shè)置根據(jù)不同應(yīng)用 系統(tǒng)的要求及崗位職責(zé)而設(shè)置；（二）.系統(tǒng)管理操作代碼的設(shè)置與管理1、系統(tǒng)管理操作代碼必須經(jīng)過經(jīng)營(yíng)管理者授權(quán)取得；2、系統(tǒng)管-理-員負(fù)責(zé)各項(xiàng)應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)，負(fù)責(zé)一般操作代碼的 生成和維護(hù)，負(fù)責(zé)故障恢復(fù)等管理及維護(hù)；3、系統(tǒng)管-理-員對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等操作，必須有其上級(jí) 授權(quán)；4、系統(tǒng)管-理-員不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作；5、系統(tǒng)管-理-員調(diào)離崗位，上級(jí)管-理-（或相關(guān)負(fù)責(zé)人）應(yīng)及時(shí)注銷其代 碼并生成新的系統(tǒng)管-理-員代碼；（

3、三）.一般操作代碼的設(shè)置與管理1、一般操作碼由系統(tǒng)管-理-員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成，應(yīng)按每操作 用戶一碼設(shè)置。2、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。3、操作員調(diào)離崗位，系統(tǒng)管-理-員應(yīng)及時(shí)注銷其代碼并生成新的操作員代 碼。三、密碼與權(quán)限管理制度1.密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡(jiǎn)單的代碼和標(biāo)記。密碼是保護(hù) 系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶 密碼和操作密碼，用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用系統(tǒng) 的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜測(cè)的 數(shù)字和字符串；2.密碼應(yīng)定期修改，間隔時(shí)間不得超過一個(gè)

4、月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏 應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。3.服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人（不 參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信 封，在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況 需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理 人員索取，使用完畢后，須立即更改并封存，同時(shí)在“密碼管理登記簿”中登記。4.系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用。5.有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對(duì)密碼 立即修改或用戶

5、刪除，同時(shí)在“密碼管理登記簿”中登記。四、數(shù)據(jù)安全管理制度1.存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須異地存放，并明確 落實(shí)異地備份數(shù)據(jù)的管理職責(zé);2.注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸安全和保密管理，保 證存儲(chǔ)介質(zhì)的物理安全。3.任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄 或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批，以保證備份數(shù)據(jù)安全完整。4.數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢 復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行，出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支 持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。5.數(shù)

6、據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷 次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存，并確?？梢噪S時(shí)使 用。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。6.需要長(zhǎng)期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存 方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過期失效，通過有 效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記 錄。7.非本單位技術(shù)人員對(duì)本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由本公 司相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批 準(zhǔn)。送修前，需將設(shè)備存儲(chǔ)介

7、質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)管理的信息備份后刪 除，并進(jìn)行登記。對(duì)修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)和登 記。8.管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處 理廢棄無用的資料和介質(zhì)，防止泄密。9.運(yùn)行維護(hù)部門需指定專人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作，建立本單位的計(jì)算機(jī) 病毒防治管理制度，經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。/10.營(yíng)業(yè)用計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來歷不明 的載體（包括軟盤、光盤、移動(dòng)硬盤等）。五、機(jī)房管理制度1.進(jìn)入主機(jī)房至少應(yīng)當(dāng)有兩人在場(chǎng)，并登記“機(jī)房出入管理登記簿”，記錄出 入機(jī)房時(shí)間、人員和操作內(nèi)容。2.IT 部

8、門人員進(jìn)入機(jī)房必須經(jīng)領(lǐng)導(dǎo)許可，其他人員進(jìn)入機(jī)房必須經(jīng) 部門領(lǐng) 導(dǎo)許可，并有有關(guān)人員陪同。值班人員必須如實(shí)記錄來訪人員名單、進(jìn)出機(jī)房時(shí) 間、來訪內(nèi)容等。非 IT 部門工作人員原則上不得進(jìn)入中心對(duì)系統(tǒng)進(jìn)行操作。如遇 特殊情況必須操作時(shí)，經(jīng) IT 部門負(fù)責(zé)人批準(zhǔn)同意后有關(guān)人員監(jiān)督下進(jìn)行。對(duì)操作 內(nèi)容進(jìn)行記錄，由操作人和監(jiān)督人簽字后備查。3.保持機(jī)房整齊清潔，各種機(jī)器設(shè)備按維護(hù)計(jì)劃定期進(jìn)行保養(yǎng)，保持清潔光 亮。/4.工作人員進(jìn)入機(jī)房必須更換干凈的工作服和拖鞋。5.機(jī)房?jī)?nèi)嚴(yán)禁吸煙、吃東西、會(huì)客、聊天等。不得進(jìn)行與業(yè)務(wù)無關(guān)的活動(dòng)。嚴(yán) 禁攜帶液體和食品進(jìn)入機(jī)房，嚴(yán)禁攜帶與上機(jī)無關(guān)的物品，特別是易燃、易爆、有

9、 腐蝕等危險(xiǎn)品進(jìn)入機(jī)房。6.機(jī)房工作人員嚴(yán)禁違章操作，嚴(yán)禁私自將外來軟件帶入機(jī)房使用。7.嚴(yán)禁在通電的情況下拆卸，移動(dòng)計(jì)算機(jī)等設(shè)備和部件。8.定期檢查機(jī)房消防設(shè)備器材。9.機(jī)房?jī)?nèi)不準(zhǔn)隨意丟棄儲(chǔ)蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料，對(duì)廢棄儲(chǔ)蓄介質(zhì)和 業(yè)務(wù)保密資料要及時(shí)銷毀（碎紙），不得作為普通垃圾處理。嚴(yán)禁機(jī)房?jī)?nèi)的設(shè)備、 儲(chǔ)蓄介質(zhì)、資料、工具等私自出借或帶出。10.主機(jī)設(shè)備主要包括：服務(wù)器和業(yè)務(wù)操作用 機(jī)等。在計(jì)算機(jī)機(jī)房中要保持 恒溫、恒濕、電壓穩(wěn)定，做好靜電防護(hù)和防塵等項(xiàng)工作，保證主機(jī)系統(tǒng)的平穩(wěn)運(yùn) 行。服務(wù)器等所在的主機(jī)要實(shí)行嚴(yán)格的門禁管理制度，及時(shí)發(fā)現(xiàn)和排除主機(jī)故障， 根據(jù)業(yè)務(wù)應(yīng)用要求及運(yùn)行操作規(guī)范

10、，確保業(yè)務(wù)系統(tǒng)的正常工作。11.定期對(duì)空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo)（如風(fēng)量、溫升、濕度、潔凈度、溫 度上升率等）進(jìn)行測(cè)試，并做好記錄，通過實(shí)際測(cè)量各項(xiàng)參數(shù)發(fā)現(xiàn)問題及時(shí)解決， 保證機(jī)房空調(diào)的正常運(yùn)行。12.計(jì)算機(jī)機(jī)房后備電源（UPS）除了電池自動(dòng)檢測(cè)外，每年必須充放電一次到 兩次。信息管理規(guī)定 14:31 | #2 樓目的：為了使新進(jìn)職員更快的容入到信息部的日常工作中，盡快的著手信息部 相關(guān)工作。1、范圍的區(qū)分及工作職責(zé)1.1 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由計(jì)算機(jī)硬件設(shè)備、軟件及客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置組成 如：顯示器、主機(jī)、筆記本電腦、視頻攝像頭、麥克風(fēng)、固定電話機(jī)、移動(dòng)電話、 交換機(jī)、路由器、防火墻、復(fù)印機(jī)、打

11、印機(jī)、傳真機(jī)、監(jiān)控?cái)z像頭及各種服務(wù)器 等。1.2 軟件包括：服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用軟件、有關(guān)專業(yè)的網(wǎng)絡(luò)應(yīng)用 軟件等。1.3 客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置包括客戶機(jī)在網(wǎng)絡(luò)上的名稱， 地址分配，用戶 登錄名稱、用戶密碼、U8 設(shè)置、OA 地址設(shè)置及 的配置等。1.4 系統(tǒng)軟件是指: 操作系統(tǒng)（如 WINDOWS 2000 等）軟件。1.5 平臺(tái)軟件是指:辦公用軟件（如 OFFICE 2000）等平臺(tái)軟件。1.6 專業(yè)軟件是指：設(shè)計(jì)工作中使用的繪圖軟件（如各種提花軟件等）。1.7 管理軟件是指：生產(chǎn)和財(cái)務(wù)管理用軟件（如 、用友 U8 軟件、金碟軟 件等）。2. 職責(zé)2.1 信息部為網(wǎng)絡(luò)安全運(yùn)行的歸口部

12、門，負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)和管 理。2.1 負(fù)責(zé)系統(tǒng)軟件的調(diào)研、開發(fā)、安裝、升級(jí)、保管工作；2.2 負(fù)責(zé)軟件有效版本的管理。2.3 信息部為計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)安全管理的歸口管理部門。2.4 網(wǎng)絡(luò)管-理-員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)、ERP辦公自動(dòng)化(OA)、U8、金碟的安全 運(yùn)行；服務(wù)器安全運(yùn)行和數(shù)據(jù)備份；internet 外接口安全以及計(jì)算機(jī)系統(tǒng)防病 毒管理；各種軟件的用戶密碼及權(quán)限管理；協(xié)助職能部門進(jìn)行數(shù)據(jù)備份和數(shù)據(jù)歸 檔。2.5 網(wǎng)絡(luò)管-理-員執(zhí)行企業(yè)保密制度，嚴(yán)守企業(yè)商業(yè)機(jī)密；2.6 公司全體職員執(zhí)行計(jì)算機(jī)安全管理制度，遵守企業(yè)保密制度。2.7 系統(tǒng)管-理-員的密碼必須由信息部負(fù)責(zé)人掌

13、握。3管理3.1 網(wǎng)絡(luò)系統(tǒng)維護(hù)3.1.1 網(wǎng)絡(luò)管-理-員每日定時(shí)對(duì)機(jī)房?jī)?nèi)的網(wǎng)絡(luò)服務(wù)器、 庫(kù)服務(wù)器、金 碟服務(wù)器、OA 服務(wù)器 Internet 服務(wù)器進(jìn)行日常巡視，并對(duì)有可能出現(xiàn)的各種異常 情況進(jìn)行預(yù)防。3.1.2 對(duì)于系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)的異?，F(xiàn)象信息部應(yīng)及時(shí)組織相關(guān)人員進(jìn)行分析， 制定處理方案，采取積極措施，并如實(shí)將異?，F(xiàn)象記錄存檔。針對(duì)當(dāng)時(shí)沒有解決的 問題或重要的問題應(yīng)將問題描述、分析原因、處理方案、處理結(jié)果、預(yù)防措施等記 錄存檔。部門負(fù)責(zé)人要跟蹤檢查處理結(jié)果。3.1.3 定時(shí)對(duì)相關(guān)服務(wù)器數(shù)據(jù)進(jìn)行備份。3.1.4 定時(shí)維護(hù) OA、ERP 服務(wù)器，及時(shí)組織清理日志文件，保證服務(wù)器有充足 空間，各

14、系統(tǒng)能夠正常運(yùn)行。3.1.5 維護(hù) Internet 服務(wù)器，監(jiān)控外來訪問和對(duì)外訪問情況，如有安全問 題，及時(shí)處理。3.1.6 制定服務(wù)器的防病毒措施，及時(shí)下載最新的防病毒疫苗，防止服務(wù)器受 病毒的侵害。3.2 客戶端維護(hù)3.2.1 為符合條件的新進(jìn)職員分配計(jì)算機(jī)并為新的計(jì)算機(jī)用戶分配計(jì)算機(jī) 名、IP 地址、用戶名、登錄密碼。3.2.1.1 為符合條件的新進(jìn)職員分配各類帳號(hào)帳號(hào)申請(qǐng)由新進(jìn)職員向所在部 門主管提出申請(qǐng)經(jīng)批準(zhǔn)后由信息部負(fù)責(zé)分配計(jì)算機(jī)、OA 的 ID 和郵箱。如需 使用 U8、kingbee 向財(cái)務(wù)主管申請(qǐng)，由財(cái)務(wù)主管分配權(quán)限和帳號(hào)密碼，信息部網(wǎng)絡(luò) 管-理-員負(fù)責(zé)軟件客戶端的安裝調(diào)試

15、。3.2.1.2 使用OA：在地址欄輸入 進(jìn)入 OA 登陸界面,初始密碼為空，第一次登陸后必須在 系統(tǒng)中修改密碼，用戶如無法獨(dú)立修改可由網(wǎng)絡(luò)管理-員協(xié)助完成修改。ERP、U8、KINGBEE：由網(wǎng)絡(luò)管-理-員完成安裝調(diào)試客戶端，用戶輸入財(cái)務(wù)主管 分配的帳號(hào)密碼登陸。其中 U8 打印設(shè)置可有用戶自行設(shè)置，如無法完成設(shè)置，可 由網(wǎng)絡(luò)管-理-員協(xié)助完成設(shè)置。3.2.1.3 帳號(hào)注銷：職員離職應(yīng)將本人所使用的計(jì)算機(jī)名、 地址、用戶 名、登錄密碼、ERP、OA 的 ID 和郵箱、U8、kingbee 等軟件信息以書面形式記 錄，經(jīng)網(wǎng)絡(luò)管-理-員核實(shí)并將該記錄登記備案。3.2.2 如有移動(dòng)用戶需訪問局域網(wǎng)

16、，需經(jīng)該部門主管領(lǐng)導(dǎo)批準(zhǔn)，有關(guān)部門通知 網(wǎng)絡(luò)管-理-員提供服務(wù)。3.2.3 根據(jù)用戶需要為其配置 Internet 入權(quán)限，一般職員只有接入局域網(wǎng) 權(quán)限;3.2.4 網(wǎng)絡(luò)用戶不得隨意移動(dòng)信息點(diǎn)接線。因房屋調(diào)整確需移動(dòng)或增加信息點(diǎn) 時(shí)，應(yīng)由網(wǎng)絡(luò)管-理-員統(tǒng)一調(diào)整，并及時(shí)修改“網(wǎng)絡(luò)結(jié)構(gòu)圖”。3.2.5 為客戶機(jī)安裝防病毒軟件，并通知和協(xié)助網(wǎng)絡(luò)用戶升級(jí)防病毒疫苗。3.2.6 對(duì)于網(wǎng)絡(luò)用戶傳播、復(fù)制、制造計(jì)算機(jī)病毒或采用黑客技術(shù)而致使計(jì)算 機(jī)網(wǎng)絡(luò)癱瘓?jiān)斐芍卮髶p失的情況，將給予嚴(yán)肅處理。3.3 系統(tǒng)及平臺(tái)軟件的管理3.3.1 系統(tǒng)、平臺(tái)軟件的管理3.3.1.1 網(wǎng)絡(luò)管-理-員負(fù)責(zé)軟件的安裝。3.3.1.2 信息部保存和使用軟件的復(fù)制盤片，復(fù)制相關(guān)資料留存使用。3.3.1.3 網(wǎng)絡(luò)管-理-員應(yīng)及時(shí)下載系統(tǒng)及平臺(tái)軟件的相關(guān)補(bǔ)丁程序，并與原系 統(tǒng)進(jìn)行配套管理和使用。3.4 軟件維護(hù)3.4.1 用戶向網(wǎng)絡(luò)管-理-員提交軟件維護(hù)請(qǐng)求。接到請(qǐng)求的網(wǎng)絡(luò)管理-員應(yīng)及 時(shí)提供維護(hù)服務(wù);3.4.2 對(duì)于較復(fù)雜的問題，網(wǎng)絡(luò)管-理-員及時(shí)與信息部部門負(fù)責(zé)人溝通，信息 部