網(wǎng)絡(luò)與信息安全管理辦法（試行）

XXXXXXXXXXXXXXXXXXX公司

網(wǎng)絡(luò)與信息安全管理辦法（試行）

第一章總則

第一條前言

黨的十八大以來，為實(shí)現(xiàn)中華民族偉大復(fù)興的中國夢，把我國建

設(shè)成為網(wǎng)絡(luò)強(qiáng)國，以習(xí)近平同志為核心的黨中央領(lǐng)導(dǎo)高度重視網(wǎng)信事

業(yè)的發(fā)展，進(jìn)行了一系列重要的頂層設(shè)計(jì)與戰(zhàn)略布局。習(xí)近平總書記

指出，沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會穩(wěn)定運(yùn)行，廣

大人民群眾利益也難以得到保障。要樹立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信

息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺

建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè),

做到關(guān)口前移，防患于未然。

第二條目的

為進(jìn)一步規(guī)范公司網(wǎng)絡(luò)與信息安全管理，確保公司網(wǎng)絡(luò)資源高

效、安全運(yùn)行，加強(qiáng)對網(wǎng)絡(luò)資源安全性保護(hù)，特制定本管理辦法。

第三條適用范圍

（一）本管理辦法適用于本公司范圍內(nèi)的網(wǎng)絡(luò)、軟件、系統(tǒng)、信

息設(shè)備等；

（二）本管理辦法適用于XXXXXXXXXXXXXXXX公司及下屬子公司全

體員工。

第四條定義

（一）本管理辦法所稱的網(wǎng)絡(luò)安全，是指公司所使用的廣域網(wǎng)和

局域網(wǎng)提供各種應(yīng)用和服務(wù)的所有硬件和軟件等信息資產(chǎn)的安全；

（二）本管理辦法所稱的信息安全，是指包括由服務(wù)器、辦公終

端及其附屬設(shè)備上的，根據(jù)開發(fā)設(shè)計(jì)、技術(shù)文檔、財(cái)務(wù)報(bào)表、培訓(xùn)資

料、人事管理等要求建立的信息系統(tǒng)、報(bào)表文檔、數(shù)據(jù)庫、圖片以及

其它包含公司商業(yè)機(jī)密的相關(guān)文檔、文件和資料的保密和安全；

（三）本管理辦法所稱的管理員，是指信息部工作人員；

（四）公司網(wǎng)絡(luò)與信息的安全管理，應(yīng)當(dāng)保障計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和

配套設(shè)施的安全、信息的安全、運(yùn)行環(huán)境的安全。保障公司網(wǎng)絡(luò)系統(tǒng)

的正常運(yùn)行，保障信息系統(tǒng)的安全運(yùn)行；

（五）信息部對網(wǎng)絡(luò)中的信息進(jìn)行有效的監(jiān)督和審查，所有部門

成員必須接受并配合信息部依法進(jìn)行的監(jiān)督檢查，凡是涉及到網(wǎng)絡(luò)安

全和信息安全的所有事項(xiàng)，必須遵守本規(guī)定；

（六）公司內(nèi)部人員有義務(wù)向信息部報(bào)告違反本管理辦法的部門

和個(gè)人或?qū)揪W(wǎng)絡(luò)及信息安全正常運(yùn)行有害行為，經(jīng)核查后將對舉

報(bào)人進(jìn)行匿名處理并申請相應(yīng)的獎勵(lì)；

（七）密級描述：

絕密所屬公司內(nèi)部僅限于特定人員（一般為所屬公司最高管理層

及信息特定經(jīng)手人員）或外部特定人員在總裁或以上級別管理人員授

權(quán)可以獲得的信息，該級別信息的泄露對于企業(yè)聲譽(yù)、經(jīng)營、財(cái)務(wù)會

直接造成重大損失，如：公司并購計(jì)劃。此級別信息的訪問控制遵行

最小可控原則，即訪問權(quán)限設(shè)為特定身份明確的個(gè)人，權(quán)限設(shè)為特定

身份明確的個(gè)人專用；

機(jī)密部門或特定內(nèi)部組織（如項(xiàng)目小組）內(nèi)部人員，或其他部門

及所屬公司外部特定人員在副總裁或以上級別管理人員授權(quán)后可以獲

得的信息，該級別信息的泄露對于企業(yè)或該部門的聲譽(yù)、經(jīng)營、財(cái)務(wù)

會造成直接但不重大的損失，如：部門下一年經(jīng)營目標(biāo)。此級別信息

的訪問控制遵行部門內(nèi)部開放的原則，即默認(rèn)為司門或特定內(nèi)部組織

所有人員均可訪問。部開放的默認(rèn)原則，即默認(rèn)為部門或特定內(nèi)部組

織所有人員均可訪問；

秘密所屬公司內(nèi)部人員，或所屬公司外部特定人員在部門主管或

以上級人員授權(quán)后可以獲得的信息，該級別信息泄露不直接造成企業(yè)

聲譽(yù)、經(jīng)營、財(cái)務(wù)上的損失或造成的損失較小，如：所屬公司員工通

訊錄。此級別信息的訪問控制遵循公司內(nèi)部開放的默認(rèn)原則，即默認(rèn)

為公司內(nèi)部所有人員均可訪問；

一般對任何所屬公司內(nèi)部、外部人員和組織均可以公開的信息。

如：公司Logo,公司已公開上市的產(chǎn)品目錄，此級別信息的訪問控制

一般不做限制。

第二章管理員職責(zé)

第一條管理員工作職責(zé)

（一）負(fù)責(zé)公司網(wǎng)絡(luò)整體規(guī)劃的管理，對網(wǎng)絡(luò)設(shè)計(jì)提出優(yōu)化建議,

為公司提供網(wǎng)絡(luò)支持及網(wǎng)絡(luò)監(jiān)控，保障網(wǎng)絡(luò)的正常運(yùn)行;

第三章網(wǎng)絡(luò)安全管理

第一條網(wǎng)絡(luò)安全管理

（一）公司信息部對網(wǎng)絡(luò)架構(gòu)進(jìn)行統(tǒng)一規(guī)劃、建設(shè)并負(fù)責(zé)運(yùn)行、

監(jiān)督、管理和維護(hù)，包括設(shè)置路由器、交換機(jī)、防火墻、臺式電腦、

筆記本電腦及與網(wǎng)絡(luò)安全相關(guān)的軟硬件；

（二）公司網(wǎng)絡(luò)的IP地址、子網(wǎng)規(guī)劃以及涉及網(wǎng)絡(luò)安全的各種系

統(tǒng)登錄帳戶和默認(rèn)密碼的軟硬件設(shè)備等均由信息的集中部署管理，登

記后分配至個(gè)人，并不定期進(jìn)行監(jiān)督和檢查。任何人必須嚴(yán)格使用由

信息部分配的“IP地址”、“機(jī)器名”、“系統(tǒng)登錄帳戶”以及個(gè)人

電腦等軟硬件配置等，嚴(yán)禁私自更改IP地址以及盜用他人的軟硬件配

置；

（三）嚴(yán)禁利用公司信息類資產(chǎn)包括電腦，打印機(jī)、傳真機(jī)或RTX、

QQ、微信、MSN等軟硬件以及網(wǎng)絡(luò)資源進(jìn)行與工作無關(guān)或無益的私人活

動；

（四）嚴(yán)禁以空密碼登錄公司內(nèi)部各種涉及網(wǎng)絡(luò)安全的信息系統(tǒng)

或軟硬件設(shè)備。個(gè)人在獲得由信息部分配的各種系統(tǒng)登錄默認(rèn)密碼后,

應(yīng)及時(shí)更改密碼，各類密碼的設(shè)置應(yīng)遵循不易被雙譯的原則，密碼的

位數(shù)應(yīng)在八位以上，必須包含大小寫字母和數(shù)字，不得把自己的密碼

告訴他人，也不得把密碼寫在紙上，密碼應(yīng)經(jīng)常更換；

（五）嚴(yán)禁以任何手段竊取或試圖竊取未授權(quán)使用的各種涉及網(wǎng)

絡(luò)安全的軟硬件設(shè)備的系統(tǒng)登錄密碼，也不得以他人帳號、IP地址等

任何形式登錄或試圖登錄未授權(quán)使用的各種涉及網(wǎng)絡(luò)安全的軟硬件設(shè)

備。嚴(yán)禁以任何手段、任何形式查詢、訪問、修改和刪除或試圖查詢、

訪問、修改和刪除未授權(quán)的網(wǎng)絡(luò)資源；

（六）嚴(yán)禁以任何方式、任何理由對影響公司網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行

的服務(wù)和軟硬件設(shè)備實(shí)施攻擊、干擾和破壞。員工在公司內(nèi)的辦公電

腦不能隨意連接手機(jī)熱點(diǎn)或連接不明來歷的的WIFI信號源。員工在日

常辦公時(shí)不能通過共享WIFI軟件及硬件為他人提供網(wǎng)絡(luò)服務(wù)；

（七）公司重要涉密崗位嚴(yán)禁使用屬于個(gè)人的或未授權(quán)的各類存

儲介質(zhì)或可移動的信息設(shè)備，如軟盤、光盤、移動硬盤、U盤、筆記本

電腦等。未經(jīng)允許不得私自將上述設(shè)備帶入公司使用，如確因工作需

要使用，應(yīng)報(bào)本部門負(fù)責(zé)人審批；

（A）禁止撕毀硬件設(shè)備上的標(biāo)簽、二維碼、出廠編碼等，禁止

私自更換各種硬件設(shè)備的零件；

（九）各部門的計(jì)算機(jī)信息安全保密管理由各部門負(fù)責(zé)人或分管

領(lǐng)導(dǎo)負(fù)責(zé)，并指定有關(guān)人員具體承辦，信息部負(fù)責(zé)檢查、監(jiān)督。公司

員工應(yīng)積級主動地按照信息部指定的文件服務(wù)器或其他存儲設(shè)備定期

做好涉及公司重要信息數(shù)據(jù)的備份，且做好自己本地電腦和服務(wù)器雙

重備份的要求，禁止將工作文件放在系統(tǒng)桌面上，若因硬件故障造成

公司重要數(shù)據(jù)丟失且沒有及時(shí)備份的，將由個(gè)人承擔(dān)相應(yīng)責(zé)任；

（十）信息部對開通互聯(lián)網(wǎng)權(quán)限的計(jì)算機(jī)使用人實(shí)行嚴(yán)格的審批

登記管理辦法。除了日常辦公軟件外，個(gè)人電腦不能安裝任何軟件，

如遇特殊情況需安裝其他軟件的，需本人提出申請，經(jīng)部門負(fù)責(zé)人審

核、信息部審批后方可安裝軟件。信息部將不定期對公司內(nèi)的個(gè)人電

腦進(jìn)行抽查，如安裝非辦公軟件和未經(jīng)審批安裝的軟件，將上報(bào)相關(guān)

部門進(jìn)行考核和處罰；

（十一）公司員工必須對自己在互聯(lián)網(wǎng)發(fā)布的信息負(fù)責(zé)，不得進(jìn)

入非法的網(wǎng)站或利用公司網(wǎng)絡(luò)資源進(jìn)行與工作無關(guān)，危害公司、國家

安全利益的犯罪活動。嚴(yán)禁利用公司網(wǎng)絡(luò)對內(nèi)或?qū)ν庵谱鳌⒉殚?、?fù)

制和傳播反動、封建迷信、淫穢色情等言論、圖片以及其它有礙社會

治安的信息，更不得在網(wǎng)上公開發(fā)布、宣傳、談?wù)撋婕肮旧虡I(yè)秘密

或與工作無關(guān)和無益的言論。由于工作原因需向公司內(nèi)部或外部發(fā)布

信息的，必須經(jīng)分管領(lǐng)導(dǎo)審查批準(zhǔn)后方可發(fā)布或上傳；

第四章信息安全管理

第一條信息安全管理

（一）禁止在個(gè)人電腦上共享公司有商業(yè)價(jià)值的重要文件或在部

門共享盤上存放有商業(yè)價(jià)值的重要文件。確因特殊情況需要共享的，

應(yīng)報(bào)本部門負(fù)責(zé)人審批通過后，由信息部進(jìn)行信息安全方面的處理后,

方可共享使用；

（二）公司員工必須把公共區(qū)域的打印資料和相關(guān)資料及時(shí)帶走

或銷毀，書寫板必須及時(shí)擦拭干凈，工作區(qū)域內(nèi)的標(biāo)簽禁止書寫涉密

信息，離開自己的工作區(qū)域時(shí)必須對電腦進(jìn)行鎖屏處理。涉密文件或

具有敏感信息的資料需要進(jìn)行廢棄的，不能直接丟棄在垃圾筒中，需

通過碎紙機(jī)粉碎處理。非工作時(shí)間或長期無人看管下，所有涉及到公

司重要信息的紙質(zhì)資料必須存放在帶有鎖的抽屜或檔案柜中;

（三）涉密信息的傳輸、查詢、修改、刪除等處理只限在與之相

關(guān)或被授權(quán)的人員內(nèi)進(jìn)行，授權(quán)必須走審批流程報(bào)領(lǐng)導(dǎo)審批，也可以

通過內(nèi)部系統(tǒng)授權(quán)。上網(wǎng)用戶只能根據(jù)自己的權(quán)限查詢涉密信息，不

得越權(quán)查詢或下載。與涉密信息相關(guān)的工作人員離開計(jì)算機(jī)時(shí)，必須

立即關(guān)閉相關(guān)界面，如長時(shí)間離開，需鎖定或關(guān)閉計(jì)算機(jī)，否則須對

造成的泄密事件負(fù)責(zé)；

（四）未經(jīng)部門負(fù)責(zé)人允許，任何人嚴(yán)禁將涉及公司保密信息的

存儲設(shè)備、筆記本電腦或相關(guān)資料帶離公司，對藥門內(nèi)含有涉密信息

的各類存儲介質(zhì)或可移動的信息設(shè)備，如軟盤、光盤、移動硬盤、U盤、

筆記本電腦等均須列入保密管理范疇，經(jīng)部門負(fù)責(zé)人允許后方可使用。

各類數(shù)據(jù)備份介質(zhì)，需由各部門負(fù)責(zé)人指派專人保管，并做好記錄，

若數(shù)據(jù)丟失或泄密，部門負(fù)責(zé)人須承擔(dān)連帶責(zé)任；

（五）公司信息系統(tǒng)商業(yè)數(shù)據(jù)及商業(yè)資料是公司經(jīng)營決策的重要

商業(yè)秘密，各部門員工須樹立嚴(yán)格的保密觀念，遵守保密規(guī)定；涉密

的公司信息系統(tǒng)存儲介質(zhì)及信息系統(tǒng)資料，由各督門指定專人管理，

在其本人離職時(shí)必須交回部門負(fù)責(zé)人處；

（六）當(dāng)本部門員工出現(xiàn)工作崗位變動或離職等情況時(shí)，部門負(fù)

責(zé)人或分管領(lǐng)導(dǎo)應(yīng)根據(jù)情況以相應(yīng)方式通知信息部相關(guān)工作人員取消

其相應(yīng)的權(quán)限、密碼，并對其使用的電腦進(jìn)行格式化處理；

（七）各部門負(fù)責(zé)人或分管領(lǐng)導(dǎo)應(yīng)認(rèn)真、嚴(yán)格地對待和審批下屬

員工提交的涉及互聯(lián)網(wǎng)權(quán)限的申請，須對其進(jìn)行有效的監(jiān)督和管理，

并對其上網(wǎng)后的行為和發(fā)布的信息嚴(yán)格審查和把關(guān)。若因下屬員工觸

犯本管理辦法的，部門負(fù)責(zé)人須承擔(dān)連帶責(zé)任；

（A）被標(biāo)為報(bào)廢的信息資產(chǎn)必須被物理銷毀或安全處理。存儲

介質(zhì)包括磁盤和硬盤必須在報(bào)廢或重新使用之前格式化以確保其機(jī)密

和重要的信息被完全刪除，所有被報(bào)廢或分配再使用的信息資產(chǎn)必須

在安全處理之后報(bào)送至資產(chǎn)保管人；

（九）當(dāng)發(fā)生泄密事件后，要立即向分管領(lǐng)導(dǎo)和信息部報(bào)告，信

息部要立即進(jìn)行情況核實(shí)，對泄密的內(nèi)容做好密級等級的定義，在初

步核實(shí)下，對一般涉密事件須二十四小時(shí)內(nèi)向上一級保密組織報(bào)告，

對于重大泄密事件必須立即向上級保密組織報(bào)告；

（十）公司所有員工必須自覺遵守本管理辦法，提高信息安全防

范意識，防止泄密事件的發(fā)生。各部門及個(gè)人如發(fā)現(xiàn)有單位或個(gè)人違

反上述規(guī)定、或計(jì)算機(jī)信息系統(tǒng)正在泄密或已經(jīng)泄密的情況，均有權(quán)

利與義務(wù)及時(shí)采取補(bǔ)救措施并向信息部或運(yùn)管部舉報(bào)，公司將對舉報(bào)

人進(jìn)行匿名處理并給予相應(yīng)獎勵(lì)。

第五章信息設(shè)備管理

第一條信息設(shè)備管理

（一）公司各部門的信息設(shè)備由各部門的部門負(fù)責(zé)人指定專人保

管和維護(hù)，并定期向信息部報(bào)備，設(shè)備應(yīng)定時(shí)清理（包括鼠標(biāo)、鍵盤、

顯示器、機(jī)箱、寫字臺等）；

（二）公司員工不得隨意打開計(jì)算機(jī)機(jī)箱，若因工作需求要打開

機(jī)箱的，應(yīng)報(bào)部門負(fù)責(zé)人審批后并告知信息部，由管理員打開機(jī)箱；

（三）信息設(shè)備發(fā)生故障時(shí)各部門需發(fā)起《IT協(xié)作單》報(bào)備信息

部，由管理員進(jìn)行排查處理，若1個(gè)工作日內(nèi)不能處理完畢，管理員

須暫調(diào)其他備用設(shè)備以確保該員工能正常辦公。若該設(shè)備無法修復(fù)，

管理員應(yīng)調(diào)配其他備用配件或采購新設(shè)備進(jìn)行更換；

（四）損壞責(zé)任的承擔(dān)：

1.自然損壞：凡屬于計(jì)算機(jī)原有的質(zhì)量問題、超過使用年限等非

人為因素造成的損壞；

2.個(gè)人原因損壞：凡屬于人為因素，例如摔打、撞擊等造成的損

壞；

3.凡屬自然損壞的，維修費(fèi)用由公司承擔(dān)。屬個(gè)人原因損壞的，

維修費(fèi)用由個(gè)人承擔(dān)；

（五）機(jī)型過于陳舊無維修價(jià)值的，由信息部申請核銷，經(jīng)總經(jīng)

理批準(zhǔn)后報(bào)財(cái)務(wù)部備案，并將該設(shè)備其他完好的部件作為配件使用。

第六章網(wǎng)絡(luò)與信息安全培訓(xùn)

第一條培訓(xùn)內(nèi)容可分為業(yè)務(wù)知識培訓(xùn)和新員工培訓(xùn)兩個(gè)方面：

（一）業(yè)務(wù)知識的培訓(xùn)主要為ERP、0A和財(cái)務(wù)等應(yīng)用系統(tǒng)的培訓(xùn);

（二）新員工的培訓(xùn)是管理員對新入職員工進(jìn)行入職培訓(xùn)，包括

網(wǎng)絡(luò)安全、信息安全、信息系統(tǒng)的規(guī)范操作等相關(guān)內(nèi)容。

第二條各部門負(fù)責(zé)人必須在其部門設(shè)置一名關(guān)鍵用戶，關(guān)鍵用戶

負(fù)責(zé)接受信息部的培訓(xùn)并對本部門員工傳達(dá)相關(guān)的培訓(xùn)內(nèi)容。

第三條由于培訓(xùn)內(nèi)容涉及到公司的網(wǎng)絡(luò)安全、信息安全和信息系

統(tǒng)的規(guī)范操作，其目的是為了提高員工網(wǎng)絡(luò)與信息安全的防護(hù)意識，

防止出現(xiàn)網(wǎng)絡(luò)攻擊和信息泄露等事件的發(fā)生，因此每次培訓(xùn)結(jié)束后管

理員將會對培訓(xùn)人員進(jìn)行考核。

第七章獎懲辦法

第一條對違反公司網(wǎng)絡(luò)系統(tǒng)工作規(guī)定的人員，將按以下公司制定

的網(wǎng)絡(luò)與信息安全工作違規(guī)處理辦法進(jìn)行處罰。

項(xiàng)目具體事項(xiàng)獎懲細(xì)則

設(shè)備

機(jī)箱、顯示器、鍵

若不定期清理，報(bào)送人事部進(jìn)行考核。

清潔盤、打印機(jī)設(shè)備

帶電拔插、開機(jī)箱、1.未造成設(shè)備損壞的，對當(dāng)事人進(jìn)行警示教育。

擅自拆裝設(shè)備內(nèi)部2.造成設(shè)備損壞的，報(bào)送人事部進(jìn)行考核并賠

模塊、撕毀設(shè)備標(biāo)償損失。

簽3.對舉報(bào)人進(jìn)行相應(yīng)獎勵(lì)。

L一旦造成公司辦公設(shè)備癱瘓或網(wǎng)絡(luò)故障，報(bào)

未經(jīng)允許使用其他

送人事部進(jìn)行考核并處以罰款。

設(shè)備硬件和軟件

2.對舉報(bào)人進(jìn)行相應(yīng)獎勵(lì)。

打游戲、看視頻、

使用一經(jīng)舉報(bào)或查實(shí)，報(bào)送人事部進(jìn)行考核并對舉

下載與工作無關(guān)的

報(bào)人進(jìn)行相應(yīng)獎勵(lì)。

內(nèi)容

下班離崗后未關(guān)閉

第一次警告，第二次報(bào)送人事部進(jìn)行考核。

設(shè)備電源

利用WIFI設(shè)備進(jìn)一經(jīng)舉報(bào)或查實(shí)，報(bào)送人事部進(jìn)行考核并對舉

行共享報(bào)人進(jìn)行相應(yīng)獎勵(lì)。

登陸非法網(wǎng)站，散1.未造成大規(guī)模影響的，報(bào)送人事部進(jìn)行考核

與信播輿情、謠言等并處以罰款。