信息安全管理體系制度匯編（技術(shù)方案）

信息安全管理體系匯編（第一版）網(wǎng)絡(luò)運(yùn)營(yíng)中心監(jiān)制2015年3月目錄網(wǎng)絡(luò)運(yùn)營(yíng)中心監(jiān)制

目錄信息安全工作指導(dǎo)方針 PAGE30附件4：辦公設(shè)備維修報(bào)廢流程附件5：辦公設(shè)備領(lǐng)用單辦公設(shè)備領(lǐng)用單日期物品名稱數(shù)量領(lǐng)用人部門領(lǐng)用人簽字附件6：辦公設(shè)備調(diào)撥申請(qǐng)表辦公設(shè)備調(diào)撥申請(qǐng)表申請(qǐng)日期申請(qǐng)調(diào)出部門申請(qǐng)調(diào)入部門申請(qǐng)調(diào)撥人員姓名工作證號(hào)碼手機(jī)號(hào)碼是否對(duì)設(shè)備內(nèi)信息進(jìn)行處理□是□否處理人調(diào)撥原因：調(diào)出部門意見：簽字：時(shí)間：調(diào)入部門意見：簽字：時(shí)間：資產(chǎn)管理部意見：簽字：時(shí)間：附件7：辦公設(shè)備送外維修申請(qǐng)表辦公設(shè)備送外維修申請(qǐng)表申請(qǐng)人申請(qǐng)部門申請(qǐng)日期維修設(shè)備是否對(duì)敏感信息進(jìn)行處理□是□否處理人送外維修事由：資產(chǎn)管理部意見：簽字：時(shí)間：桌面終端安全管理制度

桌面終端安全管理制度總則為加強(qiáng)集團(tuán)桌面終端的管理，規(guī)范集團(tuán)桌面終端的安全配置和使用，降低由于個(gè)人對(duì)桌面終端的使用不當(dāng)而給集團(tuán)造成的風(fēng)險(xiǎn)，提高集團(tuán)桌面終端的安全標(biāo)準(zhǔn)化程度，特制定本制度。本制度所涉及的桌面終端包括辦公終端、生產(chǎn)終端、外部移動(dòng)終端，適用于所有使用終端設(shè)備的員工。員工桌面終端安全要求員工對(duì)所使用的桌面終端負(fù)有責(zé)任，必須保證正確的使用或操作，同時(shí)需采取適當(dāng)措施防止桌面終端設(shè)備遭受各種損害。員工有責(zé)任參加相應(yīng)培訓(xùn)以掌握集團(tuán)桌面終端的使用技能和了解相關(guān)管理規(guī)范。不得在未經(jīng)許可的情況下使用他人或其他未經(jīng)授權(quán)的桌面終端設(shè)備，也無(wú)權(quán)將自己使用的桌面終端任意地轉(zhuǎn)借他人；在工作需要的情況下，員工可以允許他人在其監(jiān)控下操作自己的電腦，但由員工本人承擔(dān)使用過(guò)程中的安全責(zé)任。員工對(duì)所使用的桌面終端中安裝的軟件負(fù)有保護(hù)責(zé)任，集團(tuán)的任何員工不得在未授權(quán)的情況下擅自將集團(tuán)的電腦軟件進(jìn)行復(fù)制、存儲(chǔ)、傳送或刪除。員工在電腦使用過(guò)程中有責(zé)任及時(shí)上報(bào)所遇見的故障、錯(cuò)誤等各類安全事件以保證網(wǎng)絡(luò)運(yùn)營(yíng)中心能夠及時(shí)采取相應(yīng)措施，并應(yīng)當(dāng)在事件的處理過(guò)程中協(xié)助相關(guān)人員開展工作。集團(tuán)擁有對(duì)桌面終端進(jìn)行管理、審核的權(quán)利，保留在未經(jīng)員工允許的情況下訪問(wèn)和檢查業(yè)務(wù)終端的權(quán)利。任何用戶、員工或臨時(shí)人員，不遵從本規(guī)范的可以采取警告、批評(píng)或終止訪問(wèn)權(quán)限等措施；情節(jié)嚴(yán)重的，追究主管領(lǐng)導(dǎo)和責(zé)任人的責(zé)任；對(duì)違反有關(guān)法律、法規(guī)的，將依法追究其法律責(zé)任。集團(tuán)放在辦公區(qū)和機(jī)房?jī)?nèi)的各種桌面終端設(shè)備由網(wǎng)絡(luò)運(yùn)營(yíng)中心網(wǎng)絡(luò)管理員負(fù)責(zé)管理和維護(hù)，其它部門員工不能私自改變?cè)O(shè)備的硬件配置、位置及其相關(guān)的資產(chǎn)編號(hào)。桌面終端初始配置新申請(qǐng)的桌面終端,將由網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員負(fù)責(zé)安裝操作系統(tǒng)以及設(shè)置系統(tǒng)環(huán)境。配置完畢后，交由員工使用，并進(jìn)行登記。員工不得擅自更改桌面終端的關(guān)鍵配置，改變桌面終端硬件配置，拆裝桌面終端均由網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員負(fù)責(zé)處理。（關(guān)鍵配置：計(jì)算機(jī)名稱，TCP/IP網(wǎng)絡(luò)設(shè)置，計(jì)算機(jī)所屬域，安全策略等）初始安裝的軟件有：操作系統(tǒng)硬件驅(qū)動(dòng)程序、多功能打印機(jī)驅(qū)動(dòng)、系統(tǒng)補(bǔ)丁、MSoffice、多媒體播放軟件、即時(shí)通訊軟件等必要辦公軟件。其余軟件會(huì)放在文件服務(wù)器上，有需要請(qǐng)自行下載安裝。為保證數(shù)據(jù)的安全和完整，關(guān)鍵數(shù)據(jù)存放在非系統(tǒng)分區(qū)上（通常為非C盤分區(qū)）。集團(tuán)桌面終端若沒(méi)有特殊需要不允許安裝第二個(gè)操作系統(tǒng)、不允許自己重裝操作系統(tǒng)、殺毒軟件，更不能私自設(shè)立服務(wù)系統(tǒng)(如DHCP、DNC、PROXY、E-MailServer等)。桌面終端接入網(wǎng)絡(luò)桌面終端設(shè)備接入內(nèi)部網(wǎng)絡(luò)必須安裝統(tǒng)一的防病毒軟件，并能夠定期更新病毒庫(kù)，由網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員檢測(cè)是否符合要求。桌面終端接入內(nèi)部網(wǎng)絡(luò)必須進(jìn)行補(bǔ)丁升級(jí)，由網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員檢測(cè)是否升級(jí)到最新補(bǔ)丁。桌面終端設(shè)備接入內(nèi)部網(wǎng)絡(luò)需要在網(wǎng)絡(luò)運(yùn)營(yíng)中心登記，記錄桌面終端的所屬部門、使用人、MAC地址、防病毒安裝情況、補(bǔ)丁安裝情況等信息。并由網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員分配IP地址，并與MAC綁定。禁止員工將個(gè)人臺(tái)式機(jī)或筆記本等相關(guān)電腦設(shè)備私自接入集團(tuán)內(nèi)部網(wǎng)絡(luò)，如果工作需要的話，需要經(jīng)過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員的安全檢測(cè)，在不存在安全問(wèn)題并符合接入集團(tuán)內(nèi)部網(wǎng)絡(luò)相應(yīng)規(guī)定的情況下方可使用。對(duì)部分員工私自將電腦接入集團(tuán)內(nèi)部網(wǎng)使用，造成集團(tuán)其他電腦故障或集團(tuán)內(nèi)部網(wǎng)絡(luò)癱瘓的問(wèn)題，一切后果由個(gè)人承擔(dān)，并按照相關(guān)規(guī)定給予相應(yīng)的處罰。桌面終端日常使用桌面終端賬號(hào)密碼設(shè)置：?jiǎn)T工應(yīng)及時(shí)更改出庫(kù)桌面終端的初始密碼，不得將桌面終端的密碼設(shè)置為空；盡量避免使用與個(gè)人有關(guān)數(shù)據(jù)（如生日、電話號(hào)碼等）和常用的英文單詞當(dāng)作密碼；員工桌面終端的密碼復(fù)雜度應(yīng)滿足一定要求，至少保證最小長(zhǎng)度8位以上，數(shù)字、字母或特殊字符組合；員工應(yīng)根據(jù)所使用的桌面終端訪問(wèn)業(yè)務(wù)系統(tǒng)的安全與敏感程度定期修改密碼；不要把口令保留在任何自動(dòng)登錄過(guò)程中。如不要啟用在IE（Microsoft瀏覽器）中“自動(dòng)記住密碼”的功能。所有桌面終端必須設(shè)置屏保和鎖屏，設(shè)置員工無(wú)操作5分鐘后自動(dòng)啟動(dòng)屏保，恢復(fù)時(shí)需要輸入用戶密碼，員工離開座位應(yīng)確保終端處于退出登錄狀態(tài)。禁止員工在桌面終端上安裝與生產(chǎn)工作無(wú)關(guān)的軟件，如游戲、視頻等。如因業(yè)務(wù)需求安裝從互聯(lián)網(wǎng)上下載的程序必須經(jīng)過(guò)防病毒軟件的掃描，在確認(rèn)無(wú)病毒后才可安裝使用，對(duì)于不能確定的文件或程序應(yīng)及時(shí)通報(bào)網(wǎng)絡(luò)運(yùn)營(yíng)中心的技術(shù)人員；員工下載、安裝和使用第三方的程序必須不違反集團(tuán)的安全規(guī)定和軟件版權(quán)規(guī)定。通過(guò)互聯(lián)網(wǎng)、局域網(wǎng)獲得的文件以及通過(guò)任何可移動(dòng)的存儲(chǔ)介質(zhì)進(jìn)行文件拷貝時(shí)，必須要使用殺毒軟件檢查后才能使用。員工有責(zé)任經(jīng)常檢查和整理自己的桌面終端設(shè)備，不得干預(yù)和取消相關(guān)補(bǔ)丁包的更新、病毒掃描、病毒更新，如發(fā)現(xiàn)技術(shù)問(wèn)題及時(shí)聯(lián)系網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員。員工下班時(shí)應(yīng)關(guān)閉電腦主機(jī)、顯示屏。為保證操作系統(tǒng)補(bǔ)丁正常生效，關(guān)機(jī)時(shí)選擇“安裝更新后關(guān)閉計(jì)算機(jī)”來(lái)關(guān)閉桌面終端。員工使用桌面終端收發(fā)郵件，應(yīng)遵守以下規(guī)定：?jiǎn)T工應(yīng)遵照郵件管理員的要求安裝和配置客戶端系統(tǒng)，并按集團(tuán)要求配置郵件客戶端的安全選項(xiàng)；員工在自己的郵箱賬號(hào)開通后應(yīng)及時(shí)修改密碼，定期更改郵箱賬號(hào)密碼以防止他人盜用，不得試圖猜測(cè)和打開其他任何未經(jīng)許可的用戶郵箱；員工應(yīng)對(duì)自己的郵箱賬號(hào)和密碼的安全負(fù)責(zé)，不得將郵箱賬號(hào)借與他人。一旦發(fā)現(xiàn)郵箱賬號(hào)密碼泄露，應(yīng)及時(shí)更換密碼。若發(fā)現(xiàn)郵箱存在任何安全漏洞的情況，應(yīng)及時(shí)通知集團(tuán)郵件系統(tǒng)管理人員。使用桌面操作系統(tǒng)的員工的郵件客戶端必須使用OUTLOOKEXPRESS或MICROSOFTOUTLOOK進(jìn)行對(duì)郵件定期及時(shí)的收取，不允許在服務(wù)器端保留備份，并及時(shí)刪除過(guò)時(shí)和無(wú)保留價(jià)值的郵件，從而避免占用集團(tuán)大量網(wǎng)絡(luò)資源的現(xiàn)象，如果有保留備份的需要須向網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員提出申請(qǐng)，并經(jīng)同意后方可使用，若沒(méi)有按照以上規(guī)定造成個(gè)人的各類郵件故障，一切后果由個(gè)人承擔(dān)。發(fā)現(xiàn)郵箱中出現(xiàn)不明來(lái)源的郵件不要隨便打開，如有疑問(wèn)應(yīng)及時(shí)向網(wǎng)絡(luò)運(yùn)營(yíng)中心相關(guān)技術(shù)人員報(bào)告，尤其是帶有可執(zhí)行附件的郵件，如.EXE、.VBS、.JS等，同時(shí)一定要保證客戶諾頓殺毒軟件的電子郵件掃描功能和自動(dòng)防護(hù)功能處于開啟的狀態(tài)；如非必要，盡量關(guān)閉郵件“預(yù)覽”特性，很多嵌入在HTML格式郵件中的病毒代碼將會(huì)在預(yù)覽的時(shí)候執(zhí)行，含有重要信息的郵件傳輸應(yīng)加密并采用安全傳輸方式。發(fā)送帶有附件的郵件不要以.EXE、.ZIP、.BAT的格式發(fā)送，如有需要盡量采取.RAR壓縮的格式發(fā)送，同時(shí)附件的發(fā)送容量最大不要超過(guò)20M。對(duì)違反上述規(guī)定者，在經(jīng)過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員警告后，依然違反以上規(guī)定的員工，郵件系統(tǒng)管理員有權(quán)停止或取消該員工郵箱使用權(quán)限。由集團(tuán)購(gòu)買的商業(yè)軟件的版權(quán)屬于集團(tuán)所有，對(duì)于該軟件的安裝和使用必須遵從與軟件供應(yīng)商簽署的合同和國(guó)家相關(guān)的法律，任何個(gè)人未經(jīng)許可不得將該軟件復(fù)制或安裝、使用于個(gè)人或其他非集團(tuán)業(yè)務(wù)需要的領(lǐng)域。離職員工須退還全部桌面終端及使用權(quán)限，交接完成后刪除硬盤上的工作文檔。該員工使用的相關(guān)賬戶必須做出相應(yīng)處理(如更換該賬號(hào)的密碼)。離職員工要配合網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員做好桌面終端設(shè)備的入庫(kù)檢測(cè)。桌面終端連接互連網(wǎng)員工不得利用集團(tuán)網(wǎng)絡(luò)資源、終端設(shè)備訪問(wèn)和工作無(wú)關(guān)或有害的網(wǎng)站。禁止使用需要消耗大量帶寬并和業(yè)務(wù)無(wú)關(guān)的應(yīng)用，如P2P協(xié)議的下載軟件：BT、迅雷等軟件。此外，員工不得通過(guò)網(wǎng)絡(luò)進(jìn)行以下行為：通過(guò)互聯(lián)網(wǎng)竊取、泄露集團(tuán)未公布的機(jī)密信息；故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，攻擊桌面終端及通信網(wǎng)絡(luò)；利用互聯(lián)網(wǎng)侵犯他人知識(shí)產(chǎn)權(quán)；在互聯(lián)網(wǎng)上建立淫穢網(wǎng)站、網(wǎng)頁(yè)，提供淫穢站點(diǎn)鏈接服務(wù)，或者傳播淫穢書刊、影片、音像、圖片；利用互聯(lián)網(wǎng)侮辱他人或者捏造事實(shí)誹謗他人；利用互聯(lián)網(wǎng)進(jìn)行盜竊、詐騙、敲詐勒索；非法截獲、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料，侵犯公民通信自由和通信秘密；利用互聯(lián)網(wǎng)煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)；利用互聯(lián)網(wǎng)組織邪教組織、聯(lián)絡(luò)邪教組織成員，破壞國(guó)家法律、行政法規(guī)實(shí)施。員工訪問(wèn)互聯(lián)網(wǎng)應(yīng)遵守《中華人民共和國(guó)國(guó)家安全法》、《中華人民共和國(guó)保守國(guó)家秘密法》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《維護(hù)互聯(lián)網(wǎng)安全的決定》等有關(guān)法律法規(guī)，如有違反應(yīng)獨(dú)立承擔(dān)一切責(zé)任。集團(tuán)將保留對(duì)員工使用互聯(lián)網(wǎng)進(jìn)行監(jiān)控的權(quán)利，任何人如經(jīng)查實(shí)違反上述規(guī)定，將予以相應(yīng)的懲罰，網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員有權(quán)停止或取消該員工使用互聯(lián)網(wǎng)權(quán)限。桌面終端維修報(bào)廢員工申報(bào)維護(hù)時(shí)，有義務(wù)向網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員簡(jiǎn)單描述故障特征，以便快速解決問(wèn)題，提高工作效率。在桌面終端設(shè)備被維修、回收、出售或轉(zhuǎn)給其他人之前，由網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員確保所有包含集團(tuán)保密的、受限、敏感信息必須使用不可恢復(fù)方式刪除。桌面終端設(shè)備報(bào)廢需要經(jīng)過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員確認(rèn)無(wú)法維修后，方可進(jìn)行報(bào)廢處理。具體的維修報(bào)廢流程詳見《辦公設(shè)備安全管理制度》中的辦公設(shè)備維修報(bào)廢流程。附則本制度的制定和修改需要經(jīng)架構(gòu)與安全委員會(huì)成員討論通過(guò)后，管理委員會(huì)批準(zhǔn)之日起生效。本制度解釋權(quán)屬架構(gòu)與安全委員會(huì)。介質(zhì)安全管理制度介質(zhì)安全管理制度總則為加強(qiáng)介質(zhì)保管、使用、維修和銷毀的全過(guò)程管理，保障介質(zhì)安全，特制定本制度。本制度中所指的介質(zhì)主要包括與信息系統(tǒng)相關(guān)的存儲(chǔ)介質(zhì)（磁盤、陣列、磁帶庫(kù)等）及存儲(chǔ)重要數(shù)據(jù)的移動(dòng)介質(zhì)（移動(dòng)硬盤、U盤等）。介質(zhì)保管網(wǎng)絡(luò)運(yùn)營(yíng)中心負(fù)責(zé)介質(zhì)的安全及資產(chǎn)管理，介質(zhì)在購(gòu)置后由網(wǎng)絡(luò)運(yùn)營(yíng)中心網(wǎng)絡(luò)管理員統(tǒng)一進(jìn)行資產(chǎn)編號(hào)，并對(duì)介質(zhì)進(jìn)行登記備案，填寫《介質(zhì)目錄清單》，詳見附件1。介質(zhì)登記時(shí)應(yīng)按照用途對(duì)其重要程度進(jìn)行分類和標(biāo)識(shí)，重要介質(zhì)中的數(shù)據(jù)和軟件應(yīng)采用加密存儲(chǔ)。網(wǎng)絡(luò)管理員定期對(duì)清單中的介質(zhì)進(jìn)行盤點(diǎn)，如介質(zhì)發(fā)生變更應(yīng)及時(shí)更新表單。介質(zhì)在長(zhǎng)期保管時(shí)，其保管的地點(diǎn)必須滿足防火、防水、防震、防潮、防靜電等方面的安全要求，介質(zhì)的保管要符合介質(zhì)生產(chǎn)商對(duì)介質(zhì)保管的要求。對(duì)介質(zhì)進(jìn)行異地運(yùn)輸保存時(shí)，需保證有專人負(fù)責(zé)監(jiān)督整個(gè)運(yùn)輸過(guò)程。備份數(shù)據(jù)介質(zhì)異地存儲(chǔ)時(shí)應(yīng)遵循本制度。介質(zhì)使用與維護(hù)集團(tuán)員工需使用介質(zhì)時(shí)，應(yīng)填寫《介質(zhì)申請(qǐng)表》，詳見附件2，經(jīng)所在部門經(jīng)理審批同意后提交給網(wǎng)絡(luò)運(yùn)營(yíng)中心審核，審核通過(guò)后由網(wǎng)絡(luò)管理員發(fā)放介質(zhì)，并對(duì)介質(zhì)清單進(jìn)行更新。介質(zhì)在第一次使用前必須由網(wǎng)絡(luò)運(yùn)營(yíng)中心進(jìn)行惡意代碼檢測(cè)，防止惡意代碼入侵和感染信息系統(tǒng)。介質(zhì)在轉(zhuǎn)交他人使用時(shí)，應(yīng)對(duì)敏感信息進(jìn)行加密或清除，并在交予他人時(shí)予以告知，介質(zhì)轉(zhuǎn)交給他人應(yīng)通知網(wǎng)絡(luò)管理員進(jìn)行清單更新。移動(dòng)介質(zhì)不慎遺失時(shí)，當(dāng)事人應(yīng)立即上報(bào)所在部門經(jīng)理，由部門經(jīng)理向網(wǎng)絡(luò)運(yùn)營(yíng)中心備案，及時(shí)采取有效措施，防止信息泄密。如有必要，需上報(bào)架構(gòu)與安全委員會(huì)。各部門工作人員在離崗前，應(yīng)將領(lǐng)用的移動(dòng)介質(zhì)退還給網(wǎng)絡(luò)運(yùn)營(yíng)中心，介質(zhì)中保存的數(shù)據(jù)應(yīng)進(jìn)行轉(zhuǎn)存或清除。介質(zhì)維修與銷毀介質(zhì)的維修工作由網(wǎng)絡(luò)運(yùn)營(yíng)中心專業(yè)技術(shù)人員統(tǒng)一負(fù)責(zé)。如網(wǎng)絡(luò)運(yùn)營(yíng)中心無(wú)法對(duì)介質(zhì)進(jìn)行維修，需送外部維修時(shí)，應(yīng)由網(wǎng)絡(luò)運(yùn)營(yíng)中心審核同意后，清除介質(zhì)中敏感數(shù)據(jù)，再到具有相關(guān)資質(zhì)的單位進(jìn)行維修，并填寫《介質(zhì)送外維修申請(qǐng)表》（詳見附件3），必要時(shí)應(yīng)與維修單位簽署保密協(xié)議。介質(zhì)維修前應(yīng)對(duì)介質(zhì)中的數(shù)據(jù)進(jìn)行備份，無(wú)法備份的應(yīng)采取其他手段防止數(shù)據(jù)丟失。維修的介質(zhì)如果存有涉密數(shù)據(jù)或重要數(shù)據(jù)，應(yīng)備份并清除介質(zhì)中的數(shù)據(jù)后方可進(jìn)行維修，應(yīng)保證清除的數(shù)據(jù)無(wú)法被還原。各部門不再使用或需要報(bào)廢的介質(zhì)應(yīng)及時(shí)移交網(wǎng)絡(luò)運(yùn)營(yíng)中心統(tǒng)一管理，在移交前各部門自行對(duì)介質(zhì)進(jìn)行信息清除處理工作，移交完成后網(wǎng)絡(luò)運(yùn)營(yíng)中心將不再對(duì)其內(nèi)保存的數(shù)據(jù)負(fù)責(zé)，介質(zhì)移交單詳見附件4。網(wǎng)絡(luò)運(yùn)營(yíng)中心對(duì)需要報(bào)廢的介質(zhì)提出報(bào)廢申請(qǐng)，由財(cái)務(wù)部物資科進(jìn)行報(bào)廢審批，審批通過(guò)后網(wǎng)絡(luò)運(yùn)營(yíng)中心按規(guī)定進(jìn)行銷毀處理。銷毀前填寫《介質(zhì)銷毀清單》(詳見附件5)。銷毀