网络信息安全管理制度ZYZ.docx

1、网络信息安全管理制度ZYZ网络信息安全管理制度计算机终端管理八2软件管理八5防火墙与安全网关管理八7计算机病毒防治八8备份与恢复八11机房管理八14第一节计算机基础设备管理第1条各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指 定人员保管，保管人对计算机软、硬件有使用、保管责任。第2条公司计算机只有网络管理员进行维护时有权拆封，其它员工不得私自 拆开封。第3条计算机设备不使用时，应关掉设备的电源。人员暂离岗时，应锁定计算机。第4条计算机为公司生产设备，不得私用，转让借出；除笔记本电脑外，其它设备严禁无故带出办公生产工作场所。第 5条按正确方法清洁和保养设备 上的污垢，保证设备正常使

2、用。第 6条计算机设备老化、性能落后或故障严重， 不能应用于实际工作的，应报信息技术部处理。第7条计算机设备出现故障或异常情况（包括气味、冒烟与过热）时，应当 立即关闭电源开关，拔掉电源插头，并及时通知计算机管理人员检查或维修。第8条公司计算机及周边设备，计算机操作系统和所装软件均为公司财产， 计算机使用者不得随意损坏或卸载第二节计算机系统应用管理第9条公司电脑的I?地址由网络管理员统一规划分配，员工不得擅自更改 其I?地址，更不得恶意占用他人的地址。第10条计算机保管人对计算机软硬负保管之责，使用者如有使用不当，造 成毁损或遗失，应负赔偿责任。第11条计算机保管人和使用人应对计算机操作系统和

3、所安装软件口令严格 保密，并至少每180天更改一次密码，密码应满足复杂性原则，长度应不低于 8 位，并由大写字母、小写字母、数字和标点符号中至少 3类混合组成；对于因 为软件自身原因无法达到要求的，应按照软件允许的最高密码安全策略处理。第12条重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统 盘一般为（：盘）以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保 存两份以上的备份，以防丢失。公司设立文件服务器，重要文件应及时上传备 份，各部门专用软件和数据由计算机保管人定期备份上传，需要信息技术部负 责备份的应填写数据备份申请表，数据中心信息系统数据应按备份管理 备份。第13条正确开

4、机和关机。开机时，先开外设（显示器、打印机等），再开 主机；关机时，应先退出应用程序和操作系统，再关主机和外设，避免非正常 关机。第14条公司邮箱帐号必须由本帐号职员使用，未经公司网络管理员允许不 得将帐号让与他人使用，如造成公司损失或名誉影响，公司将追究其个人责任， 并保留法律追究途径。第15条未经允许，员工不得在网上下载软件、音乐、电影或者电视剧等，不得使用 电驴、？ 0（八0等严重占用带宽的？ 2?下载软件。员工在上网时，除非工作需要，不允许使用（八、1八等聊天软件。员工不得利用公司电脑及 网络资源玩游戏，浏览与工作无关的网站。若发现信息技术部可暂停其 11八611161使用权限，并报相

5、关领导处理。第16条不得随意安装工作不需要的软件。公司拥有的授权软件软件须报公 司副总审批通过后由信息技术部或授权相关部门执行。第17条计算机出现重大故障，如硬盘损坏，计算机保管人应立即向部门负 责人和信息技术部报告，并填写设备故障登记表。第18条员工离职时，人力资源应及时通知信息技术部取消其所有的 1 了资源使用权限，回收其电脑并保留一个星期，若一个星期之内人事部没有招到新 员工顶替，电脑将备份数据后入库。第三节计算机安全管理第19条如需要私人计算机连接到公司网络，需信息技术部授权并进行登记。 第20条不得随意安装软件，软件安装按照软件管理实施。第 21条所有计算 机设备必须统一安装防病毒软

6、件，未经信息技术部同意， 不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升 级操作系统补丁和防病毒软件。第 22条任何人不得在公司的局域网上制造传播 任何计算机病毒，不得故意引入病毒。第23条计算机使用者发现病毒后应立即停机并及时通知公司信息技术部或本部门病毒防治工作负责人，按计算机病毒防治管理处理。第 24条因工作需要使9、 1八等通讯工作，应当仔细辨别后再接收，对接收的文件应用安全软件查杀后确认无毒再打开。第 25条使用电子邮件时,附件都应用安全软件查杀后确认无毒再打开。对于陌生的电子邮件，请直接予以删除。第 26条任何人不得进入未经许可的 计算机系统

7、更改系统信息和用户数据，不得以任何形式攻击公司的其它电脑或者服务器。第 27条不得利用计算机技术侵占其他用户合法利益，不得非法侵入他人电脑，不得制作、复制、和传播妨害公司稳定的有关信息。第 28条不得利用公司的网络资源发布，传播迷信、淫秽、色情、赌博、暴力、凶杀、恐怖等信息，违者将送公安机关处理。第29条不得利用公司的网络资源进行入侵、破解、篡改其它让忱！ ！工作站或者服务器等网络犯罪行为，若发现立即终止其 1M611161权限，并上报公司最高领导保留送公安机关处理的权力。第一节部门权责第1条此处软件指公司所有操作系统、系统安全软件、办公软件软件、专用软件，数据中心信息系统等。第2条信息技术部

8、负责全公司所使用软件的管 理。为确保公司计算机软件之适当使用，各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员保管，保管人对计算机软、硬件具使用、保管之责。第 3条各部门专用软件和数据由计算机保管人定期备份，信息技术部对备份情况进行抽查，需要信息技术部备份的应填写数据备份申请表，数据中心信息系统数据应按备份管理制度备份。第 4条信息技术部负责管 理监督公司软件使用情况，并负责软件预算编列及软件异动等事项。第5条信息技术部负责公司数据中心信息系统的选型、变更、安装、设置、 测试、维护管理。第6条针对新的信息系统上线，需由信息技术部会同需求部门对软件系统进 行评估，并做出上线计划

9、，上前后进行测试，并记录各项测试数据、参数配置 及测试结果。在测试中发现的问题需及时向供应商反馈并进行书面记录进行整 改。当由新系统替换旧系统时，业务部门需对旧系统下线前的期末数据与新系 统上线后的期初数据进行核实，确认无误后方可投入使用。供应商完成系统测 试后，需获取测试验收确认函， 确保软件系统满足业务需求，并及时对系统用户进行培训指导。第二节软件采购第7条各部门对该部门使用的软件，应视需要查核实际使用状况，以作为软 件增置与编列预算的参考。软件采购时应考量软件用途、授权形式及价格以评 估软件需求，由信息技术部统一提出采购计划。第三节计算机软件安装及保管第8条公司之各类授权计算机软件，统一

10、由信息技术部负责保管，并每年至 少进行一次盘点。各单位因业务需要需使用时可提出申请，由信息技术部依该 软件之授权使用范围进行安装。第9条公司拥有的授权计算机软件，由信息技术部门统一部署安装；计算机 使用人堆个别软件有安装变动需求，必须先填写软件安装申请单， 信息系统软件申请须经部门经理和相关部门副总同意后，信息技术部则依据软件实施 申请单，安装或授权安装至各计算机之内。第10条计算机保管人对软件负保管之责，软件使用者如有使用不当，造成 毁损或遗失，应负赔偿责任。软件使用者应当对口令严格保密，并至少每 180天更改一次密码，密码应满足复杂性原则，长度应不低于 8位，并由大写字母、小写字母、数字和

11、标点符号中至少 3类混合组成。对于因为软件自身原因无法达 到要求的，应按照软件允许的最高密码安全策略处理。第11条各部门软件分配使用后，保管人或使用人职务变动或离职时，应按照人事部门流程移交其保管或使用之软硬件，并办理交接，由信息技术部对其软件使用权限进行调整。第 12条信息技术部在实施系统变更，如 变更操作系统、软件安装、升级时都必须做计算机设备软硬件变更清单。第 13条信息技术部每半年会同 需求部门对计算机系统和数据中心信息系统用户情况进行一次复查。第四节软件使用者的权利和义务第 14条禁止员工使用会干扰或破坏网络上 其它使用者或节点的软、硬件系统。第15条员工不得将公司授权软件私自拷贝、

12、借于他人或私自将软、硬件带回家中第16条软件保管人或使用人，对于保管或使用软件不可盗卖、循私营利或 其它不法情事，违者除提报主管及依公司规定惩处外，如因此触犯著作权者或 造成公司损失，则该员应负刑事及民事之全部责任。第 17条尊重知识财产权，禁止下载XX的音乐、影片及软件。防火墙与安全网关管理第一节权限及配置变更流程第1条信息技术部门应指定网络管理员负责防火墙和安全网关的管理工作，网络管理员必须熟悉网络理论、网络设计和防火墙管理，接受防火墙应用和网络安全方面的培训。第 2条网络管理员对防火墙和安全网关所做的 一切配置和修改工作都必须先在安全设备配置及修改总汇登记，由信息技术部负责人审查批准后实

13、施。第二节防火墙和安全网关管理规定第 3条公司和外部网络连接时均安装防火 墙或安全网关以确保网络及连接的安全，通过防火墙或安全网关的设置对内外 网络访问按照权限进行控制。第4条厂商工程师只能在管理员的陪同下进行调试，调试完毕后应立即更改 管理口令。第5条防火墙或安全网关需要增加或删除访问控制策略时，应严格按照配置 变更流程进行。第6条在配置和访问控制策略更改时，网络管理员应及时导出防火墙或安全网关的配置文件，作好备份并标明改动内容。第 7条网络管理员应每月进行 一次防火墙访问控制策略审查工作，对过期和权限过大的策略进行优化，优化工作应严格按照配置变更流程进行。第 8条网络管理员应该及时了解厂商

14、发布的软硬件升级包，防火墙和安全网关的升级应严格按照配置变更流程进行。计算机病毒防治第一节防病毒管理第1条信息技术部系统管理员负责公司病毒防治工作。第2条病毒防治管理是计算机信息系统安全的一个重要组成部分，各部门应提高防范计算机病毒的安全意识，切实履行各项职责。第 3条信息技术部负 责对计算机病毒防治工作进行部署、监管和指导。第 4条信息技术部负责建立突 发病毒事件应急响应机制，在重大病毒爆发时，负责组织和协调相关部门研究应急方案、付诸实施，并跟踪有关反馈信息和处理结果。第5条信息技术部负责组织计算机病毒防治培训和讲座，提高员工的病毒防 治安全意识。第6条信息技术部及时发布新病毒预告，提供特定

15、病毒专杀工具、相关安全补丁等提供本公司用户选择使用。第二节防病毒软件的安装第7条信息技术部负责在全网范围内建立多层次的 防病毒体系，要使用国家规定的、具有计算机使用系统安全专用产品销售许可证的防病毒产品。应安装防病毒软件、防火墙以及安全卫士等恶意软件防治工具。第 8条对新购进的计算机及设备，在安装完操作系统后，系统管理员要在第时间内安装防病毒软件。第9条没有安装防病毒软件的计算机不得接入到 公司网络中。第10条防病毒软件的类型遵循公司统一规划，不得私自安装其他 类型的软件。第三节防病毒软件的升级第11条信息技术部负责公司数据中心防病毒软件 的升级，病毒特征库至少要做到每天自动升级检查，自动部署

16、，值班人员检查 情况并写入机房运行日志。各部门病毒防治工作负责人负责所辖范围计算机 防病毒软件的升级。第12条对病毒特征库的升级情况应该进行手工检查，将当前版本与软件厂商在网站上公布的版本进行比较。第 13条一旦出现传播速度快，威胁大的 新病毒，应该立即进行手工升级。第四节防病毒软件的维护第14条信息技术部防病毒管理人员每个月第一周 对服务器进行病毒扫描，并且对病毒疫情进行统计分析，包括计算机病毒种类，文件感染率、计算机病毒处理结果删除、清除、隔离和不操作）等内容，填写报告分析结果及时上报安全主管。扫描结果保留 3个月以上。第15条信息技 术部防病毒管理人员负责定期对各部门病毒防治管理工作进行

17、监管，包括病毒防治产品运行、功能的正确使用、合理设置参数、及时升级病毒特征码等。第五节发现病毒后的措施第16条发现病毒后，应及时通知公司信息技术部 或本部门病毒防治工作负责人，相关负责人应采取以下措施：隔离受感染主机：当出现计算机病毒传染迹象时，立即隔离被感染的系统 和网络，并进行处理，不应带”毒继续运行；对于重要服务器， 要先确定被感染情况，不要盲目断网；确定病毒种类特征：米用多种手段确定病毒的类型和传播途径，如查看防 病毒软件的报警信息、搜索互联网相关信息、和防病毒厂商沟通等途径。对于 未知病毒，可以尽快提交给有关部门或厂商；防止扩散：如果出现大面积传播的趋势，要根据病毒的传播形式，采取网

18、 络访问控制、内容过滤等手段控制病毒的扩散；查杀病毒：尽量使用专杀工具对病毒进行查杀，完成后，重启计算机， 再次用最新升级的防病毒软件检查系统中是否还存在该病毒，并确定被感染破坏 的数据是否确实完全恢复。查找中毒原因，改进和完善防护措施，对造成严重影响的应填写 病毒查杀分析报告交信息技术部存档。第六节用户管理第17条正确安装和使用本公司指定的计算机病毒防治产品，未经许可，不得随意卸载病毒防治产品。第18条发生突发病毒事件应立即拔掉网线，应 及时通知公司信息技术部或本部门病毒防治工作负责人。第19条不得随意下载和运行未确定安全性的 软件、程序和文档。收到不明电子邮件，不得浏览和运行，以免感染计算

19、机病毒。第 20条杜绝病毒传播的各种途径。光盘、V盘和移动硬盘等存储介质在使用前应进行病毒检测。备份与恢复第一节备份操作管理第1条备份工作应由信息技术部门安排备份管理人员和备份数据保管人员。 备份管理人员负责实施备份、恢复操作和登记工作，备份保管人员负责备份介 质的取放、更换。第2条数据被大规模更新前后，须对数据进行备份，在操作系统和应用程序 发生重大改变前后，须对系统和应用程序进行备份。第一条各部门专用软件和数据由计算机保管人定期备份，信息技术部对备 份情况进行抽查，需要信息技术部备份的应填写数据备份申请表，提出具体 的备份要求，包括备份内容、备份周期等，申请部门负责人审批后由备份管理 人员

20、制定相应策略，并由信息技术部门负责人审批后执行。第3条备份操作人员每次备份填写备份工作汇总记录。第4条备份对象发生变更后，应及时评估和调整备份策略。备份策略的变更 应得到需求申请部门以及信息技术部负责人审批。第5条数据备份申请表和备份工作汇总记录必须由备份管理员妥善 保管，信息技术部负责人每三个月对备份工作进行审核，核对系统中的备份工 作与备份申请是否吻合，以保证备份是按照要求进行的，核对系统中的备份日 志与备份工作汇总记录，以保证备份的有效性、完整性以及出现的问题能得到 适当的处理。第二节备份恢复第6条信息技术部负责人应制定相应的备份恢复计划。第7条需要恢复备份数据时，应由需求部门填写数据恢

21、复申请表，内容 包括数据内容、恢复原因、恢复数据来源、计划恢复时间、恢复方案等， 由需求部门以及信息技术部门相关负责人审批后由备份管理员负责实施。第8条备份管理员应对数据恢复申请表进行保存和归档，信息技术部负责人应每三个月对上述文档进行审阅，确保备份恢复工作的合规性。第三 节备份介质的存放与管理第9条对数据、操作系统以及程序的备份，须保存在两份介质中，一份本地 存放，另一份异地存放；本地和异地的备份介质均需填写备份介质登记表。第10条备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠 等要求。无论是存放在本地还是异地，须确保存放场所的安全，经信息部门负 责人批准后实施，只有授权人员才可

22、以访问；第11条备份介质的存取应由备份保管人员负责，其他人员未经批准不能操 作。第12条存放备份的介质必须具有明确的标识；标识必须使用统一的命名规范。介质标识号命名规则：8八0八？八三位数编号：如8八0八2。第13条在本地和异地建立备份目录清单，用以记录备份数据的名称、 内容、存放位置、数据录入时间和数据保留期限等，由备份管理人员负责每次 填写，备份保管人员核对并保管。数据存放应以压缩包的形式。备份数据命名 规则：一 操作系统：8181操作系统名称一日期。如八5 了邮件服务器操作系101230。应用系统软件：80？ 1应用系统软件名称一日期。如50？ 了用友冊？服务器101230。数据库：0八

23、化数据库名称八应用系统软件名称八日期。其他文件:? 文件名称一日期。第14条所有备份介质一律不准外借，不准流出公司，除备份管理员任何人 员不得擅自取用，若要取用须经信息技术部门负责人批准，并填 备份介质登记表。借用人员使用完介质后，应立即归还。由备份管理员检查，确认介质物理 和数据完好无误。备份管理人员及借用人员须分别在备份介质借用登记表上 签字确认介质归还。第15条备份介质要每3个月进行检查，以确认介质能否继续使用、备份内 容是否正确。一旦发现介质损坏，应立即更换，并对损坏介质进行销毁处理；对超出保存期的数据可以进行冲洗。存放介质需要冲洗或销毁时，应填写 备份介质冲洗销毁登记表，由需求部门负

24、责人和信息技术部负责人审批后，备份管 理人员与备份保管人员办理交接手续后由备份管理人员销毁，必须使备份介质 中的数据永久不可读取，备份数据介质销毁后，在备份介质登记表中注明冲 洗或销毁。销毁时须备份管理人员和备份保管人员双人以上在场，防止数据的 泄漏。备份介质冲洗7销毁登记表由备份保管人员保管。第16条长期保存的备份介质，必须按照制造厂商确定的存储寿命定期转储， 磁盘、磁带、光盘等介质使用有效期规定为三年，三年后更换新介质进行备份。 需要长期保存的数据，应在介质有效期内进行转存，防止存储介质过期失效。 以上操作由备份管理员提出申请，信息部门负责人审批后执行并在 备份介质登记表和备份介质冲洗7销

25、毁登记表中登记，备份保管员负责核对。第一节机房设备管理规定第一条机房管理人员应使用电子表格对机房内设 备做好登记，记录现有设备的型号、配置、位置、状态等信息，以便跟踪设备变化。第二条计算机及 网络设备的搬运必须填写机房设备变更表并通过信息技术部负责人审批方可进入或搬离计算机机房。第三条机房管理人员对机房设备的操作必须严格按照操作程序进行，并在机房运行日志做相应记录。第四条机房内主机等设备的故障维修，必须于机房运行日志做好故障维修登记，若涉及设备送修，须填写机房设备变更表。第二节机房进出规 定第五条信息技术部应根据公司实际情况，安排专人对机房进行值班和巡检。第六条机房钥匙由信息技术部保存，其余钥

26、匙交公司行政部统一保管，如果特殊情况需使用时须严格登记。第七条钥匙保管人不允许私配机房钥匙， 无关人员不得借用机房钥匙，机房钥匙一旦遗失必须立即向信息技术部负责人报备。第八条任何非机房管理 人员需要进入机房，需填写机房出入登记表在机房值班人员陪同下进入机房。第九条进入机房人员不得携带任何易燃、易 爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品，因工作需要使用时，必须向信息技术部负责人申请并做详细登记，严格执行操作规程，用后必须置于安全状态，妥善保管。第十条进入机房人员应自觉遵守机房内各 项管理规定，服从机房值班人员的管理，非经机房管理人员允许，不得擅自对机房设备进行操作。工

27、作完毕后应及时离开，离开机房时应主动接受机房值班人员的检查。第十一 条进入机房人员在工作完毕后，自觉将所带无关物品带走。第三节机房卫生规定第十二条机房值班人员需要每天对机房进行打扫，保证机房内环境、设备 的清洁。第十三条任何人不得将食物或饮料带入机房，任何人不得在机房内吃东西、 吸烟、吐痰。第四节机房消防、安全管理规定第十四条机房应保持计算机设备正常运行 所必须的温度、湿度等环境要求，安装温湿度报警设施，对运行环境可能出现 的不利因素进行监测并预警。这些要求至少包括以下内容：安装24小时不间断空调系统，机房内保持一定的温度和湿度；安装湿度和温度显示装置；安装烟雾感应探测器和温度感应探测器； 四

28、安装火灾报警和自动灭火系统；配备手动灭火器；将机房地板抬高第十五条机房应列为单位要害和重点防火部位，应严格按照相关国家标准 安装配备。足够数量的消防报警设备以及消防器材，机房工作人员要熟悉机房 消防器材的存放位置及使用方法，定期检查更换。第十六条机房及其附近严禁吸咽、焚烧任何物品。第十七条机房应配备适当的不间断的电力供应 ？），确保有足够的后备 电力支持正常的系统应急操作；每半年对现有的不间断的电力供应设备进行检查与维护，确保设备的正常运作。第十八条机房管理人员要熟悉设备 电源和照明用电以及其他电气设备总开关位置，掌握切断电源的方法与步骤，发现火情及时报告，采取有效措施及时灭火。第五节值班管理

29、规定第十九条信息技术部应根据公司实际情况，安排专人 对机房进行值班和巡检。第二十条值班人员应每日做好系统运行和机房安全工 作，检查空调、3、温湿度、消防等设备的完好性，并将检查结果记录于机房运行日志，如果发 现问题及时汇报处理。第二十一条值班人员应每日检查各类系统设备的运行状 态，并在机房运行日志中进行记录。若系统发生故障，应及时报告相关管理 人员，并协助其进行问题调查，做好工作记录，将故障发生时间及修复时间等 相关信息进行登记。第二十二条对机房内所有人员的操作，值班人员应该在机房运行日志中 进行记录。第二十三条对于进入机房人员不遵守机房管理规定或从事与正常工作内容 不相符的操作，必须及时加以制止，必要时可终止其操作。第二十四条信息技术部负责人应每月审阅机房运行日志，确保所有机房 操作已通过适当的授权和审批。