信息系统安全管理制度

2020-03-03 06:06:42 来源：范文大全收藏下载本文

信息安全管理制度

为维护公司信息安全，保证公司网络环境的稳定，特制定本制度。

一、互联网使用管理互联网使用管理互联网使用管理互联网使用管理

1、禁止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司秘密、非法网站及与工作无关的网页等信息。行政部门建立网管监控渠道对员工上网信息进行监督。一经发现，视情节严重给予警告、通报批评、扣发工资500-1000元/次、辞退等处罚。

2、未经允许，禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。一经发现，视情节严重给予警告、通报批评、扣发工资1000-2000元/次、辞退等处罚。

3、公司网络采取分组开通域名方式，防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号密码安全系数降低。

二、网站信息管理

1、公司网站发布、转载信息依据国家有关规定执行，不包含违反国家各项法律法规的内容。

2、公司网站内容定期进行备份，由网管员保管，并对相应操作系统和应用系统进行安全保护。

3、公司网管加强对上网设备及相关信息的安全检查，对网站系统的安全进行实时监控。

4、严格执行公司保密规定，凡涉及公司秘密内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网；

5、所有上网稿件须经分管领导审批后，由企划部门统一上传。

三、软件管理软件管理软件管理软件管理

1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行，任何部门和员工不得擅自采购。

2、公司提供的全部软件仅限于员工完成公司的工作使用。未经许可，不得将公司购买或开发的软件擅自提供给第三人。

3、操作系统由公司统一提供。禁止安装使用其它来源的操作系统，特别是未经授权的非法拷贝。擅自使用造成的一切后果由使用人自行承担，对于造成损失的，将视情节及危害程度严重给予警告、通报批评、扣发工资100-200元/次等处罚。

4、一般应用软件统一在公司文件服务器上提供常用软件安装目录，不提供安装光盘（操作系统除外）。安装非公司提供的软件导致系统损害，信息丢失的，将视情节及危害程度严重给予警告、通报批评、扣发工资100-300元/次、辞退等处罚。

5、公司小范围使用的专业版权软件，使用人需在自行备份并由信息系统管理员验证后才可进行安装。

6、禁止安装使用非工作用软件。其它工作所需的应用软件，可由使用部门申请，再由行政部门统一发布。

四、计算机病毒管理

1、集团计算机病毒管理由集团信息办负责进行规划、实施和监控。

2、员工应树立预防计算机病毒的意识和熟知预防计算机病毒的措施，及时更新系统漏洞和使用杀毒软件。具体内容包括：（1）及时更新微软补丁，每周至少更新一次。当屏幕右下角有自动更新的图标时，要及时安装。（2）有些特殊的软件（如SQL SERVER等），及时到相应网站打补丁。（3）及时安装杀毒软件和升级杀毒软件病毒特征库。严禁因杀毒软件影响性能，而把杀毒软件卸载。每周至少更新一次，确保杀毒软件为最新版本。（4）严禁

打开来历不明的邮件。能判断为病毒邮件的，立即删除；不能判断的联系信息系统管理员解决。当计算机感染病毒后，请及时断开网线，使用杀毒软件查杀和查看操作系统和应用软件的补丁是否及时更新；严重者请及时联系信息办信息系统管理员解决。（5）当有新病毒通过某些软件（如：QQ,MSN）传播时，请立即关闭相应软件或拔掉网线。查杀问题解决后，方可继续使用。

3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者，第一次给予警告、第二次给予通报批评，第三次及以上将给予通报批评并扣发工资50-100元/次。

五、网络资源管理

1、集团网络资源和服务器由集团信息办信息系统管理员统一进行规划、管理和监督。

2、服务器及个人用机的管理：（1）部门级及以上服务器必须指定专人负责管理，并在行政部门备案，未经授权，非管理员不得对其进行操作。（2）部门级及以上的服务器管理员有责任对其负责的服务器进行例行检查，包括：服务器的CPU、内存、硬盘等资源利用情况；服务器上运行的服务使用情况；服务器上运行的OS及时升级；服务器上运行的杀毒软件的及时更新；（3）服务器管理员要做好服务器的备份工作，至少每季度有一份完整异地（异机）备份，重要数据及时备份。信息系统管理员有责任监督、协调其备份工作。（4）个人和部门未经行政部门批准不得私自设立服务器。（5）服务器管理员每月定期对服务器做一次全面检查，并填写服务器检查日志。（6）服务器管理员每季度需修改服务器密码一次。当服务器管理员有变更时，管理员密码需及时更改。（7）员工应避免随意共享工作相关资料，若需共享，应指定合理权限，并在完成后及时取消；严禁未经信息系统管理部门批准，擅自共享给局域网内所有用户。（8）员工应自行维护电脑的正常使用，并按照网管的要求进行设置及及时进行补丁更新，不得擅自退出域、去除域管理员权限、修改主机名、修改ip等。

3、IP地址的管理：（1）IP地址由行政部门统一规划管理。未经许可，不得擅自更改任何设备的IP地址。（2）公司申请的公网IP任何人不得私用。（3）工作需要公网IP，需申请信息部批准后，方可使用。（4）公司公网IP使用无工作需要时，立即停止使用，并通知行政部门收回。（5）FTP等特殊服务器的使用须经行政部门批准，且不得擅自更改使用用途。

六、机房管理

1、人员管理：相关维护人员凭门禁卡或密码进出机房，其它人员不得擅入。如确需进入机房的其它工作人员，应向相关部门提出申请，并做相应的登记备案后，在相关人员的陪同下入内。信息系统管理员有权在场监控及记录入内者的工作情况。

2、机房设备管理：参照公司固定资产管理制度进行管理。非电源性电子设备（如路由器，服务器等）必须接不间断电源，保证数据在突然断电时不致丢失；机房温度应保持在22±2℃。工作时间，非工作时间公司保安应定时巡视机房，确保机房环境、供电及温度正常；如出现机房温度超过30摄氏度警戒线、停电等异常情况，应与管理员联络，立刻采取必要措施保障机房设备的安全。

3、信息管理：任何人员（包括管理员）在机房信息设备上进行更改操作，都需记录备案。未经管理员许可在机房内擅自进行操作者，可视情节给予通报批评、扣发工资200-500元；情节严重的，可予以辞退。

4、施工管理：公司机房建设应符合机房建设的有关标准和规定；在公司机房内施工，须由信息安全部经理批准,并有网络管理员或授权的公司保安监督施工现场。

七、电子设备使用管理

1、电子设备的新增购买申请先采用调配方式，若无法调配同等配置的，才予购买。使用管理参照公司固定资产管理制度。

2、计算机及其辅助设备一经领用，使用人员需严格按照设备使用说明书和管理员制定的相关使用规定操作。对丢失、擅自转让、人为毁损造成无法修复等损失，可视情节给予警告、通报批评、按价赔偿。 (1)台式计算机：非经信息管理员工同意不得擅自打开机箱。 (2)笔记本电脑设备：a、不同品牌型号的零配件不可互换使用。b、用于移动办公，绝对不允许作为服务器共享操作。c、应保持出厂预装的正版操作系统，保留硬盘中的隐藏分区。如确因工作需要重新安装其它操作系统（如WIN2000等），需由系统管理员进行。不允许私自重新分区格式化，将原出厂隐藏区格式化删除。

3、非经许可，不得将个人台式电脑及相关设备带入公司，特殊情况，需办理相关登记手续。

4、员工不得随意增减配件，不得在未经管理员许可的情况下对硬盘做低级格式化。未经行政部门批准，严禁将台式电脑及其它电子设备带出公司。私自调配电子设备（含配件），可视情节给予警告、通报批评、扣发工资200-500元/次。

八、信息系统管理员

1、管理权限和责任（1）负责公司各信息系统的信息安全、日常维护、系统管理等。（2）严格遵守公司制定的相关信息安全管理制度，履行工作职责。（3）制定各信息系统的管理维护标准，包含用户及权限建立与变更标准及流程、定期检查制度、违约处罚条款等，送交信息安全主管部门审核备案，并严格执行。（4）信息系统管理员必须签订《关键职位员工之保密承诺书》。

2、职责规范（1）推动员工树立信息系统安全防范意识，完善公司信息安全保障机制，逐步建立以预防、发现、响应、恢复为基础的信息安全管理机制。（2）遵守职业道德，严守保密制度，不以任何形式携带走所接触的、了解的、获知的、掌握的、使用的集团任何资料；不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的集团商业秘密（包括技术秘密和经营秘密）；未经公司书面同意，不擅自使用已接触到、了解到、知悉或被告之的商业秘密；不利用已知的公司资源（如公司信息系统缺陷、口令等），做违反国家法规、窃取公司商业秘密、攻击公司服务器等行为。（3）端正服务态度，对员工的需求积极快速响应，并提供迅速、周到的技术服务支持。

九、附则：

1、本制度解释权归集团信息办。

2、本制度自颁布之日起施行。