某某单位网络与信息安全工作规定.docx

1、某某单位网络与信息安全工作规定第一章 总 则第1条 为加强某某单位网络与信息安全管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据中华人民共和国计算机信息系统安全保护条例等有关规定，结合单位实际，特制订本制度。第2条 计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第3条 单位设立信息安全工作小组，分别由各部门管理层核心人员组成。信息安全工作小组的工作职责为制定适应于单位的中长期业务发展的IT战略计划，并对单位的网络信息系统运作实施、监控、检查和重要事项的审

2、批。第二章 计算机终端管理第一节 计算机基础设备管理第4条 单位各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员保管，保管人对计算机软、硬件有使用、保管责任。第5条 单位计算机只有网络管理员进行维护时有权拆封，其它员工不得私自拆开封。第6条 计算机设备不使用时，应关掉设备的电源。人员暂离岗时，应锁定计算机。第7条 计算机为单位办公生产设备，不得私用，转让借出；除笔记本电脑外，其它设备严禁无故带出办公生产工作场所。第8条 按正确方法清洁和保养设备上的污垢，保证设备正常使用。第9条 计算机设备老化、性能落后或故障严重，不能应用于实际工作的，应报信息管理部门处理。第10条 计算机设

3、备出现故障或异常情况（包括气味、冒烟与过热）时，应当立即关闭电源开关，拔掉电源插头，并及时通知计算机管理人员检查或维修。第11条 单位计算机及周边设备，计算机操作系统和所装软件均为单位财产，计算机使用者不得随意损坏或卸载。第二节 计算机系统应用管理第12条 单位计算机的IP地址由网络管理员统一规划自动分配，员工不得擅自更改其IP地址，更不得恶意占用他人的地址。第13条 计算机保管人对计算机软硬件负保管之责，使用者如有使用不当，造成毁损或遗失，应负赔偿责任。第14条 计算机保管人和使用人应对计算机操作系统和所安装软件口令严格保密，并至少每180天更改一次密码，密码应满足复杂性原则，长度应不低于6

4、位，并由大写字母、小写字母、数字和标点符号中至少3类混合组成；对于因为软件自身原因无法达到要求的，应按照软件允许的最高密码安全策略处理。第15条 重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘（一般为C盘）以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份，以防丢失。第16条 正确开机和关机。开机时，先开外设（显示器、打印机等），再开主机；关机时，应先退出应用程序，再关主机和外设，避免非正常关机。第17条 单位各信息系统帐号必须由本帐号职员使用，未经允许不得将帐号让与他人使用，如造成单位损失或名誉影响，单位将追究其个人责任，并保留法律追究途径。第18条 未经允

5、许，在工作时间内员工不得在网上下载软件、音乐、电影或者电视剧等，不得使用BT、电驴、迅雷等严重占用带宽的P2P下载软件。员工在上网时，除非工作需要，不允许使用QQ、MSN等聊天软件。员工不得利用单位计算机及网络资源玩游戏,浏览与工作无关的网站。若发现信息管理部门可暂停其Internet使用权限，并报相关领导处理。第19条 不得随意安装工作不需要的软件。单位拥有的授权软件安装使用须报单位有关主管部门审批通过后由信息管理部门或授权相关部门执行。第20条 计算机出现重大故障，如硬盘损坏，计算机保管人应立即向部门负责人和信息管理部门报告，并填写设备故障登记表。第21条 员工离职时，人事部门应及时通知信

6、息管理部门取消其所有的IT资源使用权限，回收其计算机。第三节 计算机安全管理第22条 如需要私人计算机连接到单位网络，需信息管理部门授权并进行登记。第23条 不得随意安装软件，软件安装按照软件管理实施。第24条 所有计算机设备必须安装防病毒软件。所有计算机必须及时升级操作系统补丁和防病毒软件病毒库。第25条 任何人不得在单位局域网上制造传播任何计算机病毒，不得故意引入病毒。第26条 计算机使用者发现病毒后应立即关机，并及时通知单位信息管理部门，按计算机病毒防治管理处理。第27条 因工作需要使用QQ、MSN等通讯软件接收文件时，应当仔细辨别后再接收，对接收的文件应用防病毒软件查杀后确认无毒再打开

7、。第28条 使用电子邮件时，附件都应用防病毒软件查杀后确认无毒再打开。对于陌生的电子邮件，请直接予以删除。第29条 任何人不得进入未经许可的计算机系统更改系统信息和用户数据，不得以任何形式攻击单位的其它计算机或者服务器。第30条 不得利用计算机技术侵占其他用户合法利益，不得非法侵入他人计算机，不得制作、复制、和传播妨害单位稳定的有关信息。第31条 不得利用单位的网络资源发布，传播迷信、淫秽、色情、赌博、暴力、凶杀、恐怖等信息，违者将送公安机关处理。第32条 不得利用单位的网络资源进行入侵、破解、篡改其它Internet工作站或者服务器等网络犯罪行为，若发现有权终止其Internet权限，并上报

8、单位最高领导，保留送公安机关处理的权力。第三章 软件管理第一节部门权责第33条 此处软件指单位所有操作系统、系统安全软件、办公软件、专用软件，信息系统等。第34条 信息管理部门负责全单位所使用软件的管理。为确保单位计算机软件之适当使用，各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员保管，保管人对计算机软、硬件具使用、保管之责。第35条 各部门专用软件和数据由计算机保管人定期备份，信息管理部门对备份情况进行抽查，需要信息管理部门备份的应填写数据备份申请表，数据中心信息系统数据应按备份管理制度备份。第36条 信息管理部门负责管理监督单位软件使用情况，并负责软件预算编列及软件异动

9、等事项。第37条 信息管理部门负责单位信息系统的选型、变更、安装、设置、测试、维护管理。第38条 针对新的信息系统上线，需由信息管理部门会同需求部门对软件系统进行评估，并做出上线计划，上线前后进行测试，并记录各项测试数据、参数配置及测试结果。在测试中发现的问题需及时向供应商反馈并进行书面记录进行整改。当由新系统替换旧系统时，业务部门需对旧系统下线前的期末数据与新系统上线后的初期数据进行核实，确认无误后方可投入使用。供应商完成系统测试后，需获取测试验收确认函，确保软件系统满足业务需求，并及时对系统用户进行培训指导。第二节 软件采购第39条 各部门对该部门使用的软件，应视需要查核实际使用状况，以作

10、为软件增置与编列预算的参考。软件采购时应考量软件用途、授权形式及价格以评估软件需求，由信息管理部门统一提出采购计划。第40条 第三节 计算机软件安装及保管第41条 单位之各类授权计算机软件，统一由信息管理部门负责保管，并每年至少进行一次盘点。各部门因业务需要需使用时可提出申请，由信息管理部门依该软件之授权使用范围进行安装。第42条 单位拥有的授权计算机软件，由信息管理部门统一部署安装；计算机使用人个别软件有安装变动需求，必须先填写软件安装申请单,信息管理部门则依据软件实施申请单，安装或授权安装至各计算机之内。第43条 计算机保管人对软件负保管之责，软件使用者如有使用不当，造成毁损或遗失，应负赔

11、偿责任。软件使用者应当对口令严格保密，并至少每180天更改一次密码，密码应满足复杂性原则，长度应不低于6位，并由大写字母、小写字母、数字和标点符号中至少3类混合组成。对于因为软件自身原因无法达到要求的，应按照软件允许的最高密码安全策略处理。第44条 各部门软件分配使用后，保管人或使用人职务变动或离职时，应按照人事部门流程移交其保管或使用之软硬件，并办理交接，由信息管理部门对其软件使用权限进行调整。第45条 信息管理部门在实施系统变更，如变更操作系统、软件安装、升级时都必须做计算机设备软硬件变更表。第46条 信息管理部门每半年会同需求部门对计算机系统和信息系统用户情况进行一次复查。第四节 软件使

12、用者的权利和义务第47条 禁止员工使用会干扰或破坏网络上其它使用者或节点的软、硬件系统。第48条 员工不得将单位授权软件私自拷贝、借于他人或私自将软、硬件带回家中。第49条 软件保管人或使用人，对于保管或使用软件不可盗卖、循私营利或其它不法事情,违者除提报主管及依单位规定惩处外,如因此触犯著作权者或造成单位损失，则该员工应负刑事及民事之全部责任。第50条 尊重知识财产权,禁止下载未经授权的音乐、影片及软件。第四章 防火墙与安全网关管理第一节 权限及配置变更流程第51条 信息管理部门应指定网络管理员负责防火墙和安全网关的管理工作，网络管理员必须熟悉网络理论、网络设计和防火墙管理，接受防火墙应用和

13、网络安全方面的培训。第52条 网络管理员对防火墙和安全网关所做的一切配置和修改工作都必须先在安全设备配置及修改表登记，由信息管理部门负责人审查批准后实施。第二节 防火墙和安全网关管理规定第53条 单位和外部网络连接时均安装防火墙或安全网关以确保网络及连接的安全，通过防火墙或安全网关的设置对内外网络访问按照权限进行控制。第54条 厂商工程师只能在管理员的陪同下进行调试，调试完毕后应立即更改管理口令。第55条 防火墙或安全网关需要增加或删除访问控制策略时，应严格按照配置变更流程进行。第56条 在配置和访问控制策略更改时，网络管理员应及时导出防火墙或安全网关的配置文件，作好备份并标明改动内容。第57

14、条 网络管理员应每月进行一次防火墙访问控制策略审查工作，对过期和权限过大的策略进行优化，优化工作应严格按照配置变更流程进行。第58条 网络管理员应该及时了解厂商发布的软硬件升级包，防火墙和安全网关的升级应严格按照配置变更流程进行。第五章 计算机病毒防治第一节 防病毒管理第59条 信息管理部门系统管理员负责单位病毒防治工作。第60条 病毒防治管理是计算机信息系统安全的一个重要组成部分，各部门应提高防范计算机病毒的安全意识，切实履行各项职责。第61条 信息管理部门负责对计算机病毒防治工作进行部署、监管和指导。第62条 信息管理部门负责建立突发病毒事件应急响应机制，在重大病毒爆发时，负责组织和协调相

15、关部门研究应急方案、付诸实施，并跟踪有关反馈信息和处理结果。第63条 信息管理部门负责组织计算机病毒防治培训和讲座，提高员工的病毒防治安全意识。第64条 信息管理部门及时发布“新病毒预告”，提供特定病毒专杀工具、相关安全补丁等提供本单位用户选择使用。第二节 防病毒软件的安装第65条 信息管理部门负责在单位局域网范围内建立多层次的防病毒体系，要使用国家规定的、具有计算机使用系统安全专用产品销售许可证的防病毒产品。应安装防病毒软件、防火墙以及安全卫士等恶意软件防治工具。第66条 对新购进的计算机及设备，在安装完操作系统后，系统管理员要在第一时间内安装防病毒软件。第67条 没有安装防病毒软件的计算机不得接入到单位网络中。第三节 防病毒软件的升级第68条 信息管理部门负责单位信息系统服务器防病毒软件的升级，病毒特征库至少要做到每天自动升级检查，值班人员检查情况并写入机房运行日志。第69条 对病毒特征库的升级情况应该进行手工检查，将当前版本与软件厂商在网站上公布的版本进行比较。第70条 一旦出现传播速度快，威胁大的新病毒，应该立即进行手工升级。第四节 防病毒软件的维护第71条 信息管理部门防病毒管理人员每个月第一周对信息系统服务器进行病毒扫描，如遇疫情需对病毒疫情进行统计分析，包括计算机病毒种类，文件感染率、计算机病毒处理结果（删除、清除、隔离和不操作）等内容，填写报告分析结果