网络信息安全管理制度ZYZ.docx
《网络信息安全管理制度ZYZ.docx》由会员分享,可在线阅读,更多相关《网络信息安全管理制度ZYZ.docx(14页珍藏版)》请在冰豆网上搜索。
网络信息安全管理制度ZYZ
网络信息安全管理制度
计算机终端管理^2
软件管理^5
防火墙与安全网关管理^7
计算机病毒防治^8
备份与恢复^11
机房管理^14
第一节计算机基础设备管理
第1条各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员保管,保管人对计算机软、硬件有使用、保管责任。
第2条公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。
第3条计算机设备不使用时,应关掉设备的电源。
人员暂离岗时,应锁定计
算机。
第4条计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其
它设备严禁无故带出办公生产工作场所。
第5条按正确方法清洁和保养设备上的污垢,保证设备正常使用。
第6条计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应
报信息技术部处理。
第7条计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。
第8条公司计算机及周边设备,计算机操作系统和所装软件均为公司财产,计算机使用者不得随意损坏或卸载。
第二节计算机系统应用管理
第9条公司电脑的I?
地址由网络管理员统一规划分配,员工不得擅自更改其I?
地址,更不得恶意占用他人的地址。
第10条计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。
第11条计算机保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允
许的最高密码安全策略处理。
第12条重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘〔一般为(:
盘)以免系统崩溃导致数据丢失。
与工作相关的重要文件及数据保存两份以上的备份,以防丢失。
公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按《备份管理》备份。
第13条正确开机和关机。
开机时,先开外设(显示器、打印机等),再开主机;关机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。
第14条公司邮箱帐号必须由本帐号职员使用,未经公司网络管理员允许不得将帐号让与他人使用,如造成公司损失或名誉影响,公司将追究其个人责任,并保留法律追究途径。
第15条未经允许,员工不得在网上下载软件、音乐、电影或者电视剧等,
不得使用81\电驴、?
0(^0等严重占用带宽的?
2?
下载软件。
员工在上网时,除非工作需要,不允许使用(^、1^等聊天软件。
员工不得利用公司电脑及网络资源玩游戏,浏览与工作无关的网站。
若发现信息技术部可暂停其11^611161使用权限,并报相关领导处理。
第16条不得随意安装工作不需要的软件。
公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。
第17条计算机出现重大故障,如硬盘损坏,计算机保管人应立即向部门负责人和信息技术部报告,并填写《设备故障登记表》。
第18条员工离职时,人力资源应及时通知信息技术部取消其所有的1了资源使用权限,回收其电脑并保留一个星期,若一个星期之内人事部没有招到新员工顶替,电脑将备份数据后入库。
第三节计算机安全管理
第19条如需要私人计算机连接到公司网络,需信息技术部授权并进行登记。
第20条不得随意安装软件,软件安装按照《软件管理》实施。
第21条所有计算机设备必须统一安装防病毒软件,未经信息技术部同意,不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。
所有计算机必须及时升级操作系统补丁和防病毒软件。
第22条任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。
第23条计算机使用者发现病毒后应立即停机并及时通知公司信息技术部或
本部门病毒防治工作负责人,按《计算机病毒防治管理》处理。
第24条因工作需要使
9、1^等通讯工作,应当仔细辨别后再接收,对
接收的文件应用安全软件查杀后确认无毒再打开。
第25条使用电子邮件时,附件都应用安全软件查杀后确认无毒再打开。
对
于陌生的电子邮件,请直接予以删除。
第26条任何人不得进入未经许可的计算机系统更改系统信息和用户数据,
不得以任何形式攻击公司的其它电脑或者服务器。
第27条不得利用计算机技术侵占其他用户合法利益,不得非法侵入他人电
脑,不得制作、复制、和传播妨害公司稳定的有关信息。
第28条不得利用公司的网络资源发布,传播迷信、淫秽、色情、赌博、暴
力、凶杀、恐怖等信息,违者将送公安机关处理。
第29条不得利用公司的网络资源进行入侵、破解、篡改其它让忱!
!
工作站或者服务器等网络犯罪行为,若发现立即终止其11^611161权限,并
上报公司最高领导保留送公安机关处理的权力。
第一节部门权责
第1条此处软件指公司所有操作系统、系统安全软件、办公软件软件、专用
软件,数据中心信息系统等。
第2条信息技术部负责全公司所使用软件的管理。
为确保公司计算机软件之
适当使用,各部门对该部门的每台计算机应指定保管人,共享计算机
则由部门指定人员保管,保管人对计算机软、硬件具使用、保管之责。
第3条各部门专用软件和数据由计算机保管人定期备份,信息技术部对备份
情况进行抽查,需要信息技术部备份的应填写《数据备份申请表》,数
据中心信息系统数据应按《备份管理制度》备份。
第4条信息技术部负责管理监督公司软件使用情况,并负责软件预算编列及
软件异动等事项。
第5条信息技术部负责公司数据中心信息系统的选型、变更、安装、设置、测试、维护管理。
第6条针对新的信息系统上线,需由信息技术部会同需求部门对软件系统进行评估,并做出上线计划,上前后进行测试,并记录各项测试数据、参数配置及测试结果。
在测试中发现的问题需及时向供应商反馈并进行书面记录进行整改。
当由新系统替换旧系统时,业务部门需对旧系统下线前的期末数据与新系统上线后的期初数据进行核实,确认无误后方可投入使用。
供应商完成系统测试后,需获取测试验收确认函,确保软件系统满足业务需求,并及时对系统用户进行培训指导。
第二节软件采购
第7条各部门对该部门使用的软件,应视需要查核实际使用状况,以作为软件增置与编列预算的参考。
软件采购时应考量软件用途、授权形式及价格以评估软件需求,由信息技术部统一提出采购计划。
第三节计算机软件安装及保管
第8条公司之各类授权计算机软件,统一由信息技术部负责保管,并每年至少进行一次盘点。
各单位因业务需要需使用时可提出申请,由信息技术部依该软件之授权使用范围进行安装。
第9条公司拥有的授权计算机软件,由信息技术部门统一部署安装;计算机使用人堆个别软件有安装变动需求,必须先填写《软件安装申请单》,信息系统软件申请须经部门经理和相关部门副总同意后,信息技术部则依据软件实施申请单,安装或授权安装至各计算机之内。
第10条计算机保管人对软件负保管之责,软件使用者如有使用不当,造成毁损或遗失,应负赔偿责任。
软件使用者应当对口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成。
对于因为软件自身原因无法达到要求的,应按照软件允许的最高密码安全策略处理。
第11条各部门软件分配使用后,保管人或使用人职务变动或离职时,应按
照人事部门流程移交其保管或使用之软硬件,并办理交接,由信息技
术部对其软件使用权限进行调整。
第12条信息技术部在实施系统变更,如变更操作系统、软件安装、升级时
都必须做《计算机设备软硬件变更清单》。
第13条信息技术部每半年会同需求部门对计算机系统和数据中心信息系统
用户情况进行一次复查。
第四节软件使用者的权利和义务第14条禁止员工使用会干扰或破坏网络上其它使用者或节点的软、硬件系
统。
第15条员工不得将公司授权软件私自拷贝、借于他人或私自将软、硬件带
回家中。
第16条软件保管人或使用人,对于保管或使用软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著作权者或造成公司损失,则该员应负刑事及民事之全部责任。
第17条尊重知识财产权,禁止下载XX的音乐、影片及软件。
防火墙与安全网关管理
第一节权限及配置变更流程
第1条信息技术部门应指定网络管理员负责防火墙和安全网关的管理工作,
网络管理员必须熟悉网络理论、网络设计和防火墙管理,接受防火墙
应用和网络安全方面的培训。
第2条网络管理员对防火墙和安全网关所做的一切配置和修改工作都必须先
在《安全设备配置及修改总汇》登记,由信息技术部负责人审查批准
后实施。
第二节防火墙和安全网关管理规定第3条公司和外部网络连接时均安装防火墙或安全网关以确保网络及连接的安全,通过防火墙或安全网关的设置对内外网络访问按照权限进行控
制。
第4条厂商工程师只能在管理员的陪同下进行调试,调试完毕后应立即更改管理口令。
第5条防火墙或安全网关需要增加或删除访问控制策略时,应严格按照配置变更流程进行。
第6条在配置和访问控制策略更改时,网络管理员应及时导出防火墙或安全
网关的配置文件,作好备份并标明改动内容。
第7条网络管理员应每月进行一次防火墙访问控制策略审查工作,对过期和
权限过大的策略进行优化,优化工作应严格按照配置变更流程进行。
第8条网络管理员应该及时了解厂商发布的软硬件升级包,防火墙和安全网
关的升级应严格按照配置变更流程进行。
计算机病毒防治
第一节防病毒管理
第1条信息技术部系统管理员负责公司病毒防治工作。
第2条病毒防治管理是计算机信息系统安全的一个重要组成部分,各部门应
提高防范计算机病毒的安全意识,切实履行各项职责。
第3条信息技术部负责对计算机病毒防治工作进行部署、监管和指导。
第4条信息技术部负责建立突发病毒事件应急响应机制,在重大病毒爆发时,
负责组织和协调相关部门研究应急方案、付诸实施,并跟踪有关反馈
信息和处理结果。
第5条信息技术部负责组织计算机病毒防治培训和讲座,提高员工的病毒防治安全意识。
第6条信息技术部及时发布"新病毒预告",提供特定病毒专杀工具、相关安
全补丁等提供本公司用户选择使用。
第二节防病毒软件的安装第7条信息技术部负责在全网范围内建立多层次的防病毒体系,要使用国家
规定的、具有计算机使用系统安全专用产品销售许可证的防病毒产品。
应安装防病毒软件、防火墙以及安全卫士等恶意软件防治工具。
第8条对新购进的计算机及设备,在安装完操作系统后,系统管理员要在第
一时间内安装防病毒软件。
第9条没有安装防病毒软件的计算机不得接入到公司网络中。
第10条防病毒软件的类型遵循公司统一规划,不得私自安装其他类型的软
件。
第三节防病毒软件的升级第11条信息技术部负责公司数据中心防病毒软件的升级,病毒特征库至少要做到每天自动升级检查,自动部署,值班人员检查情况并写入《机房运行日志》。
各部门病毒防治工作负责人负责所辖范围计算机防病毒软件的升级。
第12条对病毒特征库的升级情况应该进行手工检查,将当前版本与软件厂
商在网站上公布的版本进行比较。
第13条一旦出现传播速度快,威胁大的新病毒,应该立即进行手工升级。
第四节防病毒软件的维护第14条信息技术部防病毒管理人员每个月第一周对服务器进行病毒扫描,
并且对病毒疫情进行统计分析,包括计算机病毒种类,文件感染率、
计算机病毒处理结果〔删除、清除、隔离和不操作)等内容,填写报
告分析结果及时上报安全主管。
扫描结果保留3个月以上。
第15条信息技术部防病毒管理人员负责定期对各部门病毒防治管理工作进
行监管,包括病毒防治产品运行、功能的正确使用、合理设置参数、
及时升级病毒特征码等。
第五节发现病毒后的措施第16条发现病毒后,应及时通知公司信息技术部或本部门病毒防治工作负
责人,相关负责人应采取以下措施:
隔离受感染主机:
当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,不应带"毒"继续运行;对于重要服务器,要先确定被感染情况,不要盲目断网;
确定病毒种类特征:
采用多种手段确定病毒的类型和传播途径,如查看防病毒软件的报警信息、搜索互联网相关信息、和防病毒厂商沟通等途径。
对于未知病毒,可以尽快提交给有关部门或厂商;
防止扩散:
如果出现大面积传播的趋势,要根据病毒的传播形式,采取网络访问控制、内容过滤等手段控制病毒的扩散;
查杀病毒:
尽量使用专杀工具对病毒进行查杀,完成后,重启计算机,再次用最新升级的防病毒软件检查系统中是否还存在该病毒,并确定被感染破坏的数据是否确实完全恢复。
查找中毒原因,改进和完善防护措施,对造成严重影响的应填写《病毒查杀分析报告》交信息技术部存档。
第六节用户管理
第17条正确安装和使用本公司指定的计算机病毒防治产品,未经许可,不
得随意卸载病毒防治产品。
第18条发生突发病毒事件应立即拔掉网线,应及时通知公司信息技术部或
本部门病毒防治工作负责人。
第19条不得随意下载和运行未确定安全性的软件、程序和文档。
收到不明
电子邮件,不得浏览和运行,以免感染计算机病毒。
第20条杜绝病毒传播的各种途径。
光盘、V盘和移动硬盘等存储介质在使用
前应进行病毒检测。
备份与恢复
第一节备份操作管理
第1条备份工作应由信息技术部门安排备份管理人员和备份数据保管人员。
备份管理人员负责实施备份、恢复操作和登记工作,备份保管人员负责备份介质的取放、更换。
第2条数据被大规模更新前后,须对数据进行备份,在操作系统和应用程序发生重大改变前后,须对系统和应用程序进行备份。
第一条各部门专用软件和数据由计算机保管人定期备份,信息技术部对备份情况进行抽查,需要信息技术部备份的应填写《数据备份申请表》,提出具体的备份要求,包括备份内容、备份周期等,申请部门负责人审批后由备份管理人员制定相应策略,并由信息技术部门负责人审批后执行。
第3条备份操作人员每次备份填写《备份工作汇总记录》。
第4条备份对象发生变更后,应及时评估和调整备份策略。
备份策略的变更应得到需求申请部门以及信息技术部负责人审批。
第5条《数据备份申请表》和《备份工作汇总记录》必须由备份管理员妥善保管,信息技术部负责人每三个月对备份工作进行审核,核对系统中的备份工作与备份申请是否吻合,以保证备份是按照要求进行的,核对系统中的备份日志与备份工作汇总记录,以保证备份的有效性、完整性以及出现的问题能得到适当的处理。
第二节备份恢复
第6条信息技术部负责人应制定相应的备份恢复计划。
第7条需要恢复备份数据时,应由需求部门填写《数据恢复申请表》,内容包括数据内容、恢复原因、恢复数据来源、计划恢复时间、恢复方案等,由需求部门以及信息技术部门相关负责人审批后由备份管理员负责实施。
第8条备份管理员应对《数据恢复申请表》进行保存和归档,信息技术部负
责人应每三个月对上述文档进行审阅,确保备份恢复工作的合规性。
第三节备份介质的存放与管理
第9条对数据、操作系统以及程序的备份,须保存在两份介质中,一份本地存放,另一份异地存放;本地和异地的备份介质均需填写《备份介质
登记表》。
第10条备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠等要求。
无论是存放在本地还是异地,须确保存放场所的安全,经信息部门负责人批准后实施,只有授权人员才可以访问;
第11条备份介质的存取应由备份保管人员负责,其他人员未经批准不能操作。
第12条存放备份的介质必须具有明确的标识;标识必须使用统一的命名规
范。
介质标识号命名规则:
8八0^?
^三位数编号:
如8八0^
2。
第13条在本地和异地建立《备份目录清单》,用以记录备份数据的名称、内容、存放位置、数据录入时间和数据保留期限等,由备份管理人员负责每次填写,备份保管人员核对并保管。
数据存放应以压缩包的形式。
备份数据命名规则:
〔一〉操作系统:
8181操作系统名称―日期。
如^5了邮件服务器操作系
101230。
应用系统软件:
80?
1应用系统软件名称―日期。
如50?
了用友冊?
服务器
101230。
数据库:
0八化数据库名称^应用系统软件名称^日期。
其他文件:
?
文件名称―日期。
第14条所有备份介质一律不准外借,不准流出公司,除备份管理员任何人员不得擅自取用,若要取用须经信息技术部门负责人批准,并填《备份介质登记表》。
借用人员使用完介质后,应立即归还。
由备份管理员检查,确认介质物理和数据完好无误。
备份管理人员及借用人员须分别在《备份介质借用登记表》上签字确认介质归还。
第15条备份介质要每3个月进行检查,以确认介质能否继续使用、备份内容是否正确。
一旦发现介质损坏,应立即更换,并对损坏介质进行销毁处理;对超出保存期的数据可以进行冲洗。
存放介质需要冲洗或销毁时,应填写《备份介质冲洗销毁登记表》,由需求部门负责人和信息技术部负责人审批后,备份管理人员与备份保管人员办理交接手续后由备份管理人员销毁,必须使备份介质中的数据永久不可读取,备份数据介质销毁后,在《备份介质登记表》中注明冲洗或销毁。
销毁时须备份管理人员和备份保管人员双人以上在场,防止数据的泄漏。
《备份介质冲洗7销毁登记表》由备份保管人员保管。
第16条长期保存的备份介质,必须按照制造厂商确定的存储寿命定期转储,磁盘、磁带、光盘等介质使用有效期规定为三年,三年后更换新介质进行备份。
需要长期保存的数据,应在介质有效期内进行转存,防止存储介质过期失效。
以上操作由备份管理员提出申请,信息部门负责人审批后执行并在《备份介质登记表》和《备份介质冲洗7销毁登记表》中登记,备份保管员负责核对。
第一节机房设备管理规定第一条机房管理人员应使用电子表格对机房内设备做好登记,记录现有设备
的型号、配置、位置、状态等信息,以便跟踪设备变化。
第二条计算机及网络设备的搬运必须填写《机房设备变更表》并通过信息技
术部负责人审批方可进入或搬离计算机机房。
第三条机房管理人员对机房设备的操作必须严格按照操作程序进行,并在《机
房运行日志》做相应记录。
第四条机房内主机等设备的故障维修,必须于《机房运行日志》做好故障维
修登记,若涉及设备送修,须填写《机房设备变更表》。
第二节机房进出规定第五条信息技术部应根据公司实际情况,安排专人对机房进行值班和巡检。
第六条机房钥匙由信息技术部保存,其余钥匙交公司行政部统一保管,如果
特殊情况需使用时须严格登记。
第七条钥匙保管人不允许私配机房钥匙,无关人员不得借用机房钥匙,机房
钥匙一旦遗失必须立即向信息技术部负责人报备。
第八条任何非机房管理人员需要进入机房,需填写《机房出入登记表》在机
房值班人员陪同下进入机房。
第九条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、
流体物质等对设备正常运行构成威胁的物品,因工作需要使用时,必
须向信息技术部负责人申请并做详细登记,严格执行操作规程,用后
必须置于安全状态,妥善保管。
第十条进入机房人员应自觉遵守机房内各项管理规定,服从机房值班人员的
管理,非经机房管理人员允许,不得擅自对机房设备进行操作。
工作
完毕后应及时离开,离开机房时应主动接受机房值班人员的检查。
第十一条进入机房人员在工作完毕后,自觉将所带无关物品带走。
第三节机房卫生规定
第十二条机房值班人员需要每天对机房进行打扫,保证机房内环境、设备的清
洁。
第十三条任何人不得将食物或饮料带入机房,任何人不得在机房内吃东西、吸烟、吐痰。
第四节机房消防、安全管理规定第十四条机房应保持计算机设备正常运行所必须的温度、湿度等环境要求,安装温湿度报警设施,对运行环境可能出现的不利因素进行监测并预警。
这些要求至少包括以下内容:
安装24小时不间断空调系统,机房内保持一定的温度和湿度;
安装湿度和温度显示装置;
安装烟雾感应探测器和温度感应探测器;〔四〉安装火灾报警和自动灭火系统;
配备手动灭火器;
将机房地板抬高。
第十五条机房应列为单位要害和重点防火部位,应严格按照相关国家标准安装配备。
足够数量的消防报警设备以及消防器材,机房工作人员要熟悉机房消防器材的存放位置及使用方法,定期检查更换。
第十六条机房及其附近严禁吸咽、焚烧任何物品。
第十七条机房应配备适当的不间断的电力供应①?
?
),确保有足够的后备电力
支持正常的系统应急操作;每半年对现有的不间断的电力供应设备进
行检查与维护,确保设备的正常运作。
第十八条机房管理人员要熟悉设备电源和照明用电以及其他电气设备总开关位
置,掌握切断电源的方法与步骤,发现火情及时报告,采取有效措施
及时灭火。
第五节值班管理规定第十九条信息技术部应根据公司实际情况,安排专人对机房进行值班和巡检。
第二十条值班人员应每日做好系统运行和机房安全工作,检查空调、
3、温湿
度、消防等设备的完好性,并将检查结果记录于《机房运行日志》,如果发现问题及时汇报处理。
第二十一条值班人员应每日检查各类系统设备的运行状态,并在《机房运行日志》中进行记录。
若系统发生故障,应及时报告相关管理人员,并协助其进行问题调查,做好工作记录,将故障发生时间及修复时间等相关信息进行登记。
第二十二条对机房内所有人员的操作,值班人员应该在《机房运行日志》中进
行记录。
第二十三条对于进入机房人员不遵守机房管理规定或从事与正常工作内容不相符的操作,必须及时加以制止,必要时可终止其操作。
第二十四条信息技术部负责人应每月审阅《机房运行日志》,确保所有机房操作已通过适当的授权和审批。
升级会员 