计算机信息安全管理制度.pdf

《计算机信息安全管理制度.pdf》由会员分享，可在线阅读，更多相关《计算机信息安全管理制度.pdf（17页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Q/ZLZK203021-2009A计算机信息安全管理制度计算机信息安全管理制度1 1 目的目的加强计算机网络及计算机信息安全管理，保障公司网络平台、应用系统的正常运行及数据安全，防止泄密。2 2 范围范围适用于公司及各事业部、分公司、控股子公司（以下简称各经营单元）所有计算机信息安全管理。3 3 术语术语3 3。1 1办公计算机：办公用台式机、笔记本电脑等属于公司资产的计算机设备。3 3。2 2计算机信息:是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。3 3。3 3内部网络：公司长沙园区网络及通过专线与长沙园区互联的其他园区、驻外机构网络（以下简称内网）。3.43.4外

2、部网络：互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。4 4 职责职责公司计算机信息安全采用集中控制、分级管理原则。4 4。1 1 公司信息化管理部门：负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计算机信息安全管理，负责直属部门计算机信息安全日常工作。负责协调公司内外部资源,处理公司重大计算机信息安全事件。4 4。2 2 经营单元信息化管理部门:负责本经营单元计算机信息安全日常工作，及时向公司信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件.4 4。3 3 计算机用户:负责本人领用的办公计算机日常保养、正常操作及安全管理，负责所接触信息的保

3、密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件.信息的起草人须按保密制度相关规定提出信息密级定级申请。5 5 内容与要求内容与要求5 51 1 账号和密码安全管理账号和密码安全管理5.1.1.5.1.1.信息化管理部门须统一生成信息系统用户账号，并确保身份账号在此系统生命周期中的唯一性；对账号密码信息进行加密处理，确保用户账号密码不被非授权地访问、修改和删除。5.1.2.5.1.2.员工因工作岗位或职责变动需变更账号权限时，须向信息化管理部门提出申请权限变更。信息化管理部门应及时变更异动员工的权限，冻结离职员工的账号.5.1.3.5.1.3.员工使用公司计

4、算机信息系统时,须参照附件 9.1网络与计算机外部设备访问权限申请流Q/ZLZK203021-2009A程，向信息化管理部门提出申请，经审批后方可取得账号和初始密码.员工使用初始密码登录信息系统后，须立即更改密码.5.1.4.5.1.4.密码须满足以下要求：密码长度至少8 位，密码必须由大写字母（A 到 Z）、小写字母（a到z）、符号（！$&等）和数字（09）4 组类型至少需取 2 种组合.5.1.5.5.1.5.密码更换周期不得长于两个月，且变更前后的密码不能相同。5.1.6.5.1.6.用户登录系统时，密码连续输错 5 次，用户账号将变成锁定状态，用户须向信息化管理部门申请解锁。严禁以非法

5、手段尝试获取他人账号密码信息，未经授权不得使用他人账号密码登录系统.5.1.7.5.1.7.用户对自己账号密码的安全性负责，禁止泄露给他人。因个人账号密码管理不慎造成的信息安全事件由账号所有者负最终责任.5 52 2 办公计算机安全管理办公计算机安全管理5.2.1.5.2.1.信息化管理部门在日常管理办公计算机时，应进行如下安全设置：a)须为所有办公计算机设置BIOS 密码，关闭未申请使用的接口并贴封条和配备机箱锁；b)须为所有办公计算机部署相应的内网安全管理系统及防病毒软件；c)主机设备需要带离现场维修时，应由保密专员进行全程陪同，并拆除所有存储介质；d)存储介质应到具有涉密信息系统数据恢复

6、资质的单位进行维修;e)不再使用或无法使用的设备应按相关规定及时进行报废处理。5.2.2.5.2.2.计算机使用人在日常使用办公计算机时应遵守如下要求：a)计算机用户使用计算机在处理公司涉密信息及账号信息时,应注意信息安全防范,防止被无关人员窥视泄密;暂时离开计算机时应启用带密码保护的屏幕保护程序或直接锁定计算机.b)定期检查计算机设备标签、封条、机箱锁，如有破损及时通知信息化管理部门处理。c)不得擅自挂接计算机输入输出设备以及故意损毁计算机设备标签、封条和硬件锁.不得将相关设备挪作私用。d)如需使用计算机以外的输入输出设备（如打印机、扫描仪、移动存储类设备及刻录光驱等)及硬件接口时，须参照附

7、件9。1网络与计算机外部设备访问权限申请流程执行。e)禁止利用办公计算机处理与工作无关内容、破坏或影响其它员工正常工作.f)严禁擅自卸载公司内网管理系统及防病毒系统。g)严禁使用办公计算机发布不良信息、牟取私利、泄露公司机密和从事违法犯罪活动。5 53 3 计算机防病毒管理计算机防病毒管理5 5。3.13.1计算机用户在使用计算机过程中应注意采取以下防病毒安全措施:a)禁止私自关闭、卸载或更换防病毒软件,应及时更新病毒库和操作系统补丁,保证计算机安全Q/ZLZK203021-2009A运行。b)发现或怀疑有办公计算机被病毒感染，应立即断开网络并执行全盘扫描病毒程序，如感染症状未能解除须立即上报

8、信息化管理部门。c)对任何外来资料，须使用防病毒软件进行扫描后方可使用，不要打开外来不明链接。d)严禁故意瞒报、制作、下载、运行及传播计算机病毒。5.3.25.3.2信息化管理部门须维护防病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时,应及时发布病毒预警，及时采取有效的预防措施防止病毒大面积扩散。5 54 4 网络安全管理网络安全管理5 5。4.14.1信息化管理部门在管理办公计算机网络安全时,应遵循以下要求:a)必须严格隔断允许访问外网的计算机与内网计算机之间的直接通讯.b)必须严格隔断内网中财务、研发与其它管理类计算机之间的直接通讯。c)办公计算机在使用公司网络时，用户身份、网卡

9、物理地址必须与网络访问资源一对一绑定。5.4.25.4.2信息化管理部门在保护信息化应用系统网络安全时，应遵循以下要求：a)信息化应用系统的服务器及存储设备只允许安装在公司的网络机房、数据中心机房内，特殊情况可申请托管在第三方机房内,禁止安装在普通办公场所及其它不安全场所内。b)信息化应用系统需要启动远程管理时，须使用加密的远程管理协议，并且实现专人、专机、专网管理，防止远程管理权限被非法窃用。c)必须在公司内外部网络交汇处设置必要的防火墙系统，并制定必需的防火墙策略；未经授权,不允许将任何内部 IP 地址和服务端口映射到外部网络.d)对外的信息化应用系统必须部署必要的安全手段以检测和减少被攻

10、击行为,并采取必要措施便于对非法行为进行审计取证。e)定期检查内部网络运行情况,及时发现非法网络接入.f)需要变更网络安全相关管理策略时，按9。1网络与计算机外部设备访问权限申请流程办理.5.4.35.4.3用户在使用公司网络资源时，应遵循以下安全要求：a)在默认情况下,所有办公用台式机和工作站只能访问公司内网；笔记本不允许接入公司内网。计算机用户需要申请网络权限时，须按附件 9。1网络与计算机外部设备访问权限申请流程审批后开通.b)员工因岗位职责变化不再需要使用外网时，应及时通知信息化管理部门关闭外网权限.c)禁止员工私自修改办公计算机的 IP 地址、网卡地址等,禁止将办公计算机私自接入非指

11、定网Q/ZLZK203021-2009A络环境。d)当需进行信息提取时，按附件9.2计算机信息提取（输入）流程办理。5 55 5 信息化应用系统开发安全管理信息化应用系统开发安全管理5 5。5 5。1 1 信息化应用系统开发安全需求信息化应用系统开发安全需求a)必须有可靠的身份认证机制，不允许匿名访问,账号和密码须满足安全管理要求。b)必须有完整的权限管理系统，支持分层分级授权。c)账号密码必须加密存储在后台数据库中。d)必须基于职责分离原则定义不同业务模块的使用权限。e)信息化应用系统必须经过第三方安全测评机构测评合格后才能正式投入运行。f)信息化应用系统开发各阶段产生的源代码程序、编译程序

12、及文档资料严格按用户授权集中管理.5.5.25.5.2信息化应用系统运营安全管理信息化应用系统运营安全管理a)必须定期审计信息化应用系统用户行为.b)必须定期备份信息化应用系统数据。c)严禁篡改信息化应用系统数据及更改正式系统环境下信息化应用系统程序文件。d)必须严格权限控制,按业务职责对用户合理授权,信息化应用系统权限的变更须经信息化管理部门审批。e)需定期进行风险检测与评估，确保信息化应用系统运行安全。5 56 6 网络设备安全配置网络设备安全配置5.65.6。1 1所有网络设备必须由信息化管理部门指定专员、专机管理。需要使用远程管理时，优先使用统一的加密的远程管理协议实现功能，并确保专人

13、、专机、专网管理,严防远程管理权限被非法窃用。5 5。6.26.2管理网络设备时需要用到的密码信息必须以密文形式保存。5.6.35.6.3未经授权，网络管理工程师不得私自更改网络设备的配置文件。5 5。6.46.4网络管理工程师 更改重要网络设备配置前，必须先备份现有配置文件,更改网络设备时,需填写配置变更登记表并严格按照表内容进行。5 5。6 6。5 5 网络管理工程师必须周期性备份管辖范围内所有网络设备的配置文件.5 5。6.66.6网络设备故障时，尽可能抢救现有配置文件,并用最后备份版本的配置文件快速配置替换设备。5 5。6 6。7 7 定期审计网络配置。5.6.85.6.8需定期进行风

14、险检测与评估,确保网络设备运行在可接受安全。Q/ZLZK203021-2009A5.75.7数据备份与恢复管理数据备份与恢复管理5 5。7 7。1 1 信息化管理部门必须为所有信息化应用系统制定相应的数据备份与恢复策略,填写 数据备份记录表,参照信息备份与数据恢复管理办法执行。5.7.25.7.2信息化管理部门须定期检查备份策略的有效性和执行情况，进行备份恢复测试,确保备份介质不仅有效，而且能在恢复操作步骤分配的时间内完成。5.7.35.7.3数据备份应保证及时、完整、真实、准确地转储到不可更改的介质上,备份介质须异地存放.5.85.8机房安全管理机房安全管理5 5。8.18.1信息化应用系统

15、的硬件设备只允许放置在公司的网络机房、数据中心机房内，特殊情况可申请托管第三方机房，严禁放置在普通办公场所及其它不安全场所内。5.8.25.8.2机房配备温湿度计和干冰灭火器，信息化管理部门须对机房人员进行消防安全指导，并做好机房的防火、防盗、防水、防静电、防雷击措施，杜绝相关安全事故发生.5.8.35.8.3信息化管理部门须指定专人负责对机房内各类设备进行安全维护和管理，对机房进行定期巡检，遇到异常情况及时处理，并参照计算机机房管理规定执行。5 59 9出图管理出图管理5.95.9。1 1信息化管理部门须指定专人负责对出图设备进行安全管理和维护，为出图申请部门提供相应的技术支持。5.9.25

16、.9.2图纸只能在出图室出图设备上打印。技术部门如配备有打印机，需指定专人管理，且打印机只能打印文档资料，不得打印图纸，违者按保密制度相关规定处理。5 5。9.39.3出图人员须在 OA 中发起出图申请流程经审批后方能出图，具体参照附件9。3CAD 出图管理流程执行。5.95.9。4 4出图人员未经许可不得操作出图室的打印服务器和出图设备。5 5。9.59.5出图人员取图时须出示本人员工卡，由信息化管理部门进行身份核实，并将其清点的图纸与所填写的出图申请表上内容核对一致后方可取走图纸，严禁代领和冒领。5 5。1010信息安全培训管理信息安全培训管理5.10.15.10.1信息化管理部门应及做好

17、信息安全培训工作，减少因意识和操作失误带来安全风险.5 5。1010。2 2信息化管理部门必须根据国内外及行业内信息安全发展的现状每年制定信息安全培训计划，培训计划要求如下:a)保证培训内容能指导员工正常处理日常工作中可能遇到并应该引起注意的信息安全问题。b)针对不同的培训对象如一般新员工、一般老员工、信息化内部员工、及关键涉密岗位需制定不同的培训内容。Q/ZLZK203021-2009Ac)针对不同的培训对象和内容明确培训形式及目标.d)必须针对培训效果进行考核。6 6违纪与处罚违纪与处罚6 6。1 1 对违反本制度的违纪行为，信息化管理部门填写信息安全违规记录表，并定期上报督察部门,依据违

18、纪类型进行相应处罚。6.1.16.1.1 以下违纪行为，视其情节最高可给予开除处分,并移交司法处理：a)违反国家有关信息管理的法规，利用网络从事违反中华人民共和国法律和法规的活动，发表违反法律法规的言论(包括以任何理由），泄露国家机密，进行任何破坏国家安全的活动的；b)利用网络对他人进行侮辱、诽谤、骚扰的；侵害他人合法权益的；侵犯他人的名誉权、肖像权、姓名权等人身权利的；侵犯他人的商誉、商标、版权、专利、专有技术等各种知识产权的；c)利用网络或电子邮件传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的、淫秽的信息数据；传输任何教唆他人构成犯罪行为信息数据的;主动发送连锁邮件或垃

19、圾邮件以及主动散布计算机病毒或恶意代码的；以任何形式、任何目的对电子邮件功能进行滥用的;盗用他人任何系统帐号的；传输助长国家不利因素、涉及国家安全，以及任何不符合国家法律、法规、规章信息数据的；d)终端用户使用破解、猜测和嗅探口令工具企图侵入信息化应用系统的；或使用黑客工具攻击内部网络;或擅自修改和删除信息系统信息的；e)利用公司信息化资源牟取私利的。f)有其他严重违反计算机信息安全规定的行为，造成严重后果或重大损失的。6.1.26.1.2以下违纪行为，视其情节最高可给予记大过处分：a)擅自拆装计算机设备，或自行插拔机内部件或添加设备的；b)由于保管不善而泄漏个人账号和密码，使公司重要信息泄漏

20、或信息系统遭到攻击，给公司造成重大损失的；c)员工在所使用的计算机上擅自卸载公司统一安装的内网监控软件的；d)有其他较严重违反计算机信息安全规定的行为,造成较严重后果或一定损失的。6.1.36.1.3以下违纪行为，视其情节最高可给予记过处分：a)擅自删除或修改计算机的标准软件及系统配置（如用户名、用户IP 地址等）的;b)员工在所使用的计算机上擅自卸载公司统一安装的防病毒软件，或故意使防病毒软件处于未激活状态的;Q/ZLZK203021-2009Ac)工作时间长时间参与工作无关的网上聊天、浏览与业务无关的网站、玩电脑游戏的；d)下载互联网上的非法软件或拷贝外来的非法软件进入公司网络的；e)大量

21、下载或传输与业务无关的数据或非法软件，占用网络带宽的；f)有其他一般违反计算机信息安全规定行为的。6.1.46.1.4以下违纪行为，视其情节最高可给予通报批评处分：a)离开计算机时不及时进行锁屏或不按规定设置自动启用屏幕保护的；b)员工随意在自己的计算机内设置共享目录，未设置口令保护，并在共享完毕后未能立即取消共享功能的；c)有其他轻度违反计算机信息安全规定行为的。7 7 相关文件相关文件7 71 1 信息化应用系统管理规定7 72 2 保密制度7 73 3 计算机机房管理规定7 74 4 信息备份与数据恢复管理制度7 75 5 计算机设备管理办法8 8 记录记录8 81 1计算机信息提取(输

22、入）申请单8 82 2出图申请单8 83 3信息安全违规记录表8 84 4计算机安全检查记录表8 85 5数据备份记录表8.68.6配置变更登记表9 9 附件附件9 91 1 网络与计算机外部设备访问权限申请流程9 92 2 计算机信息提取（输入)流程9 93 3 CAD 出图管理流程9 94 4 电子数据归档流程附加说明：本制度由信息化管理部门提出并解释。本制度主要起草人：翟艺 曾筝Q/ZLZK203021-2009A本制度审核人：张飞庆本制度批准人：王玉坤Q/ZLZK203021-2009A记录 1：计计算算机机信信息息提提取取（输输入入)申申请请单单申请人信息来源部门负责人信息名称信息来

23、源及目的地计算机信息安全工程师注注:信息等级审批，绝密信息信息等级审批，绝密信息-CEO-CEO；机密信息机密信息-分管领导；分管领导；秘密和一般信息秘密和一般信息-部门负责人部门负责人.信息等级信息提取部门提取时间负责人审批人介质销毁人证明人销毁时间记录 2：出出 图图 申申 请请 单单部门项目图幅A0A1A2A3A4数量出图人用途代号(编 码）审批日期名称项目负责人计算机信息安全工程师备注：A0、A1 必须填写代号、名称。总图、一级部件不论图幅大小，必需填写代号、名称.记录 3：信息安全违规记录表信息安全违规记录表Q/ZLZK203021-2009A基本信息基本信息违规人姓名违规人姓名计算

24、机名计算机名/IP/IP违规行为描述违规行为描述所属部门所属部门账号账号违规时间违规时间违纪定级违纪定级呈报单位呈报单位记录 4：呈报人呈报人呈报时间呈报时间计算机安全检查记录表计算机安全检查记录表单位名称：年季度Q/ZLZK203021-2009A设备号设备号机器机器 IPIP使用者使用者部门部门时间时间系统状态描述系统状态描述记录人:审批人：记录 5：数据备份记录表数据备份记录表信息化应用系统基本信息信息化应用系统基本信息Q/ZLZK203021-2009A应用名称操作系统类型备份内容数据库/程序所在园区操作员支撑平台备份周期数据库类型备份类型（增 备/全备）备份目标园区备份操作记录表备份

25、操作记录表时间备份方式手动/自动备份介质备份情况说明备份结果Q/ZLZK203021-2009A记录 6：配置变更登记表配置变更登记表编号：编号：G+G+年月日年月日+顺序号顺序号日日 期期变更原因变更原因:设备名设备名设备编号设备编号记录人记录人配配置置内内容容原内容：原内容：变更内容：变更内容：审核：审核：_Q/ZLZK203021-2009A附件9.19.1 网络与计算机外部设备访问权限申请流程网络与计算机外部设备访问权限申请流程适用范围：本流程适用于公司计算机网络（包括跨网段计算机、互联网等网络）及计算机外部设备（包括光驱、USB 外设、移动存储等设备）的访问权限申请管理.流程图流程图

26、接收申请说明说明 接收直属部门或经营单元相关负责人审批通过后的申请 按权限分级审批申请：审批YesNo 直属部门及没有派驻信息化主管的经营单元申请 有派驻信息化主管的经营单元申请按权限分级开通计算机安全权限，并将结果反馈给申请人：责任人（参与人）责任人（参与人）公司信息化部信息安全工程师、经营单元信息安全工程师公司信息化部部长派驻经营单元信息化主管公司信息化部信息安全工程师经营单元信息安全工程师公司信息化部信息安全工程师开通权限 直属部门申请及跨网段计算机访问 经营单元申请（不包含跨网段计算机访问）存档汇总归档9 9。2 2 计算机信息提取计算机信息提取(输入）流程输入）流程适用范围:本流程适

27、用于公司所有计算机信息提取（输入）管理。流程图流程图说明说明责任人（参与人）责任人（参与人）Q/ZLZK203021-2009A接收按计算机信息涉密等级分级审批通过接收申请后的申请：“一般”和“秘密”级信息的申请“机密级信息的申请“绝密”级信息的申请派发信息提取（输入）任务派发任务提取（输入）信息确认信息提取(输入）是否完成存档汇总提取信息公司信息安全室主任、经营单元信息化相关室主任信息输入或输出部门负责人申请部门分管领导经营单元总经理或 CEO公司信息安全室主任、经营单元信息化相关室主任公司信息化部信息安全工程师、经营单元信息安全工程师公司信息化部信息安全工程师、经营单元信息安全工程师（申请

28、人）验收No公司信息化部信息安全工程师Yes归档9 9。3 CAD3 CAD 出图管理流程出图管理流程适用范围：本流程适用于公司所有CAD 图纸输出管理。流程图流程图说明说明责任人（参与人）责任人（参与人）Q/ZLZK203021-2009A接收申请 接收申请部门负责人审批通过后的申请 图纸输出：根据图纸输出类型（白图、描图）安排绘图仪出图 及时更换纸张，定期检查墨盒容量，保障绘图仪正常运行 图纸输出后进行清点：清点领取图纸，如有误，重新出图 对申请人清点后的图纸进行图纸代号和图纸清收No名称的核对，记录实际出图数量 存档汇总：Yes 每季度将流程汇总,统计出图数量 计算各部门出图费用，交申请

29、部门分管领导签字后汇总给财务部门归档公司信息化部信息安全工程师、经营单元信息安全工程师公司信息化部信息安全工程师、经营单元信息安全工程师申请人公司信息化部信息安全工程师、经营单元信息安全工程师公司信息化部信息安全工程师、经营单元信息安全工程师9.49.4 电子数据备份及归档流程电子数据备份及归档流程适用范围：本流程适用于公司所有电子数据归档、应用系统备份管理。流程图流程图说明说明责任人（参与人）责任人（参与人）Q/ZLZK203021-2009A接收申请 接收申请部门和信息化部负责人审批通过后的申请：电子数据归档 应用系统备份 按照信息备份与数据恢复管理办法的要备份方案求根据备份的类型设计信息

30、备份方案：电子数据归档 应用系统备份 方案审批 根据信息备份与数据恢复管理办法执行方案审批Yes执行备份No数据备份：电子数据归档 应用系统备份 确认信息备份是否成功 电子数据归档 应用系统备份 存档汇总:将电子数据备份介质密封提交给公司档案No校验室保管 删除相关临时文件,以防止泄密 记录应用系统备份日志信息安全室主任信息系统运营室主任信息化部信息安全工程师信息化部信息系统运营工程师信息化部部长信息化部信息安全工程师（督察部、申请人)信息化部信息系统运营工程师(信息化部系统管理员)信息化部信息安全工程师（申请人）信息化部信息系统运营工程师（信息化部系统管理员）信息化部信息安全工程师(督察部、公司档案管理员）信息化部信息安全工程师(督察部)信息化部信息系统运营工程师（信息化部系统管理员)Yes归档