信息安全管理办法.docx

信息安全管理办法.docx

《信息安全管理办法.docx》由会员分享，可在线阅读，更多相关《信息安全管理办法.docx（7页珍藏版）》请在冰豆网上搜索。

信息安全管理办法

信息安全管理办法

1目的

通过加强公司计算机系统、办公网络、服务器系统的管理，保证网络系统安

全运行，保证公司机密文件的信息安全，保障服务器、数据库的安全运行，加强计算机办公人员的安全意识和团队合作精神，特制定本办法。

2概述

本办法规范了公司的信息安全管理，适用于本公司所有在编员工。

3用户帐号及权限管理

3.1权责说明

信息系统用户包拮电脑账户、网络管理用户、操作系统用户、数据库用户、应用用户；访问信息系统要根据用户类别、信息类别等进行相应的权限设置。

3.1.1信息系统主管部门负贵对信息系统的管理帐号、操作系统、数据库及应用系统中各类角色和权限的分配以及分级授权的管理，系统管理人员负贵信息系统的具体用户权限管理。

3.1.2信息系统的用户管理需指定专人负贵。

用户的増、删、改需依据各系统业务主管部门或系统使用部门的申请进行，文档应定期归档保留，并定期提供完整的用户权限清单报业务主管部门审核，及时根据反馈予以权限清理。

3.2用户帐号和权限管理的原则

3.2.1根据用户对系统资源的需求与最小授权原则进行授权。

3.2.2用户在一个应用系统上只能拥有唯一的一个帐号，不得外泄用户名和密码，不得转借他人使用。

3.2.3在多用户信息系统中，用户权限申请、更改、撤销必须通过审批，并保留相应审批记录。

3.2.4用户工作岗位变动后，管理员应该及时修改其访问权限。

3.3普通用户帐号和权限管理普通用户帐号是为系统普通用户创建的用户帐号，普通用户只能在授权范围内使用系统，例如对自己所负责工作内容的数据进行新建、査询、删除等操作，用户帐号的权限应在被授权人的岗位说明书职责范围之内。

3.3.1帐号和权限的申请/变更。

a）各部门使用人员根据工作需要提出系统或应用程序访问、权限变更的申

请，填写相应的用户帐号和权限申请表格，由系统的业务责任人签宇同意。

b）用户帐号和权限申请表格需写明访问所需的系统或应用程序名称、帐号及所需的用户权限。

c）通过审批的用户帐号和权限申请表报送系统或应用管理员进行审核和实施。

d）管理员实施完成后，应及时通知申请人并将用户帐号和权限申请表进行存档。

3.3.2帐号和权限的注销。

a）用户需要注销自己的系统或应用程序帐号时，应填写相应的用户帐号和

权限申请表申请注销帐号/权限，并由所在部门业务责任人签宇同意。

b）用户帐号和权限申请表需注明原用户帐号的名称及权限等信息，并由申

请人签宇确认

c）通过审批的用户帐号和权限申请表报送系统或应用管理员进行审核和实

施。

d）管理员实施完成后，应及时通知申请人所在部门业务责任人并将用户帐

号和权限申请表进行存档。

e）当员工发生离职时，IT部根据人力资源部的《离职手续清单》删除离职

人员的系统帐号及网络访问权限。

3.3.3管理员用户帐号和权限管理。

管理员用户帐号是指可对系统内所有用户帐号及数据信息进行操作的帐号，

管理员用户拥有对计算机系统或者网络完全访问权限。

管理员用户包拮：

系统管理员、数据库管理员、操作系统管理员和网络管理员。

a）管理员帐号创建或权限变更时，应填写相应的管理员用户帐号和权限申

请表，经主管部门领导审批后创建用户账号。

b）管理员发生离职时，IT部根据人力资源部的《离职手续清单》删除离职

人员的系统帐号及网络访问权限。

3.3.4用户帐号和权限的设置。

a）应用管理员或系统管理人员应根据通过审核的用户帐号和权限申请表对

用户和权限参数进行设置。

b）应用管理员或系统管理人员将相关执行情况填写在用户帐号和权限申请

表中，并变更相关技术资料、档案，将用户帐号和权限申请表存档。

c）管理员完成用户权限设置和变更后，及时通知申请人员。

3.3.5其他

a）任何人不得以任何方式获取、盗用他人的用户名和口令。

b）任何情况下管理员用户帐号不得授予供应商技术人员使用。

工程验收后应收回全部调试帐号；对存有重要数据信息的故障设备交由外单位维修时，本单位必须派人进行现场监督。

原则上禁止设备供应商通过远程登陆的方式进行测试或维护操作。

需要向供应商提供远程接入权限时，应事先经系统维护部门主管领导书面确认，方可开启适当权限的临时帐号，事后及时关闭帐号、修改临时密码并登记。

c）对于长时间没有登录的用户，原则上应予以清理，并对清理的帐号留下文宇记录。

d）用户角色的管理应遵循权限管理的相关规定.

3.4数据及文档保密管理办法

3.4.1涉密数据及文档

涉密数据及文档是指关系公司的安全和利益、依照国家和公司有关规定确定、在一定时间内限定人员范围知悉的事项。

3.4.2组织和职贵

a）涉密信息安全保密管理实行贵任制。

b）公司管理层对信息系统涉密信息管理负总贵。

对公司上网信息划定密级范围和使用权限；对各部门上网信息进行审査、检査、监督、管理，提出改进意见；对IT部保证信息的安全运行的技术措施提出要求并监督落实。

c）各部门对涉密信息承担日常安全管理贵任。

严格执行有关保密规定，把好职责范围内涉密信息安全第一关。

d）各部门领导是信息系统涉密信息管理的第一贵任人，对本部门涉密信息

安全负贵，对接触信息系统人员进行保密教育培训

e）IT部应当依照法律法规和国家及公司有关规定，负责公司计算机网络与外界网络互联的安全保密管理，落实安全保密技术措施，保障网络的运行安全和信息安全。

f）IT部对信息系统的涉密信息的存储、处理、传输的保密措施和反病毒的技术保障负责。

g）所有通过网络提供信息的单位，应当接受公司主管领导和IT部的安全保密监督、检査、指导、培训，协助上级和公司査处通过计算机网络的违法犯罪和违反保密规定的行为。

3.4.3保密规定

所有人员必须严格遵守国家各项保密法律、法规,严格遵守公司的保密制度和纪律，保守国家、公司秘密；使用信息系统的有关部门、个人应当履行下列安全保密职责：

a）负责本部门信息安全保密工作，协助公司建立健全保密制度。

b）对委托发布信息的部门和个人进行登记，所提供的涉密信息内容必须经主管部门审査后予以发布，否则，不予发布。

c）信息系统及公司文档，任何人不得私自进行系统的复制、对外进行相关信息发布、对外演示或进行经营活动。

d）系统主管部门对开发人员或参加开发的协作单位进行严格资格审査，并签订保密协议书，承诺其负有的安全保密责任和义务。

e）所有文档与数据必须存放在公司或部门指定的服务器进行保存与备份，并对文档服务器根据需要进行权限分配。

f）系统维护人员因工作需要所了解的用户信息，包括姓名、用户地址、电话号码、单位、上网信息、电子邮件等属个人隐私，不得向他人透露，确保公司全体员工个人隐私不会受到任何侵犯。

g）所有设备的用户名、用户密码是保证系统安全运行的重要资料，相关网络维护人员应严格进行管理，不得以任何形式透露给任何不相关的人员。

h）网络维护用的图纸、网络拓扑、网络VLAN划分、IP地址、数据、电缆

路由、系统配置、电路方式、配线表等均为保密资料，未经主管领导批准不得私自向他人介绍，更不允许私自以复印、电子信件、传真等方式向他人泄露。

i）机房属保密重点对象，无关人员不得出入；如需满足外部单位检査或厂家维护需要，应经IT部同意，并由专人陪同，方可进入机房；机房管理人员对进入机房人员姓名、进出机房时间等做好记录。

j）具有保密性质的资料、数据、文件、图纸等，未经允许不得带出工作场所。

k）任何员工发现有违反保密纪律、泄露秘密的情况，都有贵任和义务进行制止和向公司主管部门举报。

3.5邮件系统管理

公司IT部统一管理公司的电子邮件服务器并负责电子邮件帐号的开户、使用、维护和监督、检査工作。

3.5.1邮件帐号管理

a）公司IT部负责电子邮件帐号的管理工作。

员工入职时，须由人力资源部通知IT部邮件系统负责人开通帐号。

每一名员工将被授予一个用户帐号及相应的密码，该用户帐号和密码由用户负贵保管。

用户应当对其用户帐号进行的所有活动和事件负法律责任。

员工离职时，人力资源部应及时通知IT部完成电子邮件帐号的注销工作。

b）帐号仅限本人使用，禁止将本人帐号转借他人或借用他人帐号。

3.5.2电子邮件使用规定

a）用户应当及时更改邮件帐号的初始密码并保存好，不得透露给其它人员。

b）用户应当定期检査自己的邮箱并下载邮件，以保证用户的邮箱只占用合理的磁盘空间。

用户应当自行做好邮件的备份工作，如需任何帮助可以联系IT部技术人员予以指导。

c）在公司内部使用电子邮件只能使用在公司的电子邮件地址，不可擅自使用其他任何邮件地址传输公司资料或与客户进行交流。

d）发送保密资料邮件时，需由部门经理同意，加密发送，由部门对资料的安全性负责。

绝密级的资料不建议通过邮件系统发送。

3.5.3监督检査

公司员工使用公司电子邮件需要接受公司管理层和IT部的监管。

公司有权对收发的电子邮件的内容进行检査。

3.6授权软件使用政策授权软件使用政策为员工提供了可遵循的指导方针，来保证我们公司合法和符合社会道德标准的使用公司的软件资产。

所有软件都只用于商业用途并严禁任何员工用于私人用途。

3.6.1统一政策公司从不同出版商和提供商处购买了授权的计算机软件拷贝。

己授权和注册的软件程序拷贝被安装于公司内的计算机上，并且根据软件协议和公司政策，

制作相应的拷贝副本。

除非得到软件出版商和公司的书面许可声明，严禁制作其他任何有关此软件和相关文档的拷贝。

3.6.2从其他渠道获得的软件

公司提供合法获得的软件拷贝，及时满足合理的软件需求并为所有的计算机提供充足的拷贝数量。

使用从其他任何渠道获得的软件都有可能为公司带来安全和法律风险，不允许安装任何非法软件。

3.6.3内部控制

保留通过强化内部控制来防止制造和使用未授权软件拷贝，以此来保护公司声誉及其在计算机软件上的投资的权利。

对于未授权或未声明，及与授权不相匹配的软件，一经发现立即删除没有有效授权或授权证明的公司财产上发现的软件。

3.7防病毒管理制度

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

任何单位和个人不得制作和传播计算机病毒。

3.7.1所有所属公司资产的办公电脑都必须安装公司指定的防毒软件，不得随意卸载此软件，不得随意更改防毒软件的系统配置。

3.7.2IT部门要及时了解并发布计算机病毒疫情，预报或者报告计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况，并及时提供相应的病毒专杀工具及相关系统补丁。

3.7.3IT部门必须定期维护防病毒软件的服务器，査看服务器的软件升级情况及病毒库更新情况，做到服务器的防病毒软件及病毒库随时与外部防病毒软件版

本保持一致，做好维护记录

3.7.4不得随意在计算机上使用外来软盘、光盘和U盘等移动介质，尤其严禁使用游戏盘，凡确因业务需要使用外来移动介质的，必须先进行病毒检测，杀灭工作，方可进入计算机和网络系统运行；在接收外部电子邮件时不要随意打开邮件附表，以防外来病毒侵害。

3.7.5各部门应自行做好重要业务资料、信息的备份工作，防止因病毒发作导致信息丢失。

3.8信息系统日志管理

3.8.1信息系统应具备符合公司相关内部控制制度要求的日志文件，日志文件至少应记录各系统操作的用户、操作时间、重要数据的増、删、改等内容。

系统管理人员应定期检査日志文件，并记录检査结果。

3.8.2系统管理人员至少每月对操作系统日志