xxxx企业公司计算机信息系统安全管理制度.doc

xxxxx公司计算机信息系统安全管理制度第一章 总则第 1 条 为明确岗位职责，规范操作流程，确保公司计算机信息系统的安全，根据中华人民共和国计算机信息系统安全保护条例等有关规定，结合公司实际，特制订本制度。 第 2 条 计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第 3 条 公司行政部设立信息专员，负责公司范围内的计算机信息系统安全管理工作。第二章 设备、设施管理第 4 条 公司各部门IT设备或配件的采购、管理参照xxxxx公司固定资产管理制度执行，由信息专员督导落实。公司的IT设备或配件由信息专员负责选型申购、管理，由行政部负责人采购， IT设备的选型采购必须符合公司计算机信息系统的应用、安全要求。第 5 条 已有IT设备原则上在规定使用年限内不再重复购买，达到规定使用年限后，由信息专员会同相关部门对其核验后处理。第 6 条 公司机房的管理和维护由信息专员负责，具体职责包括： （一）建立本地局域网络、广域网的运行档案。机房设备发生故障时，及时处理并对故障的处理过程及结果进行详细登记。 （二）及时更新、修正操作系统补丁，定期进行病毒检测。机房电脑必须采用国家许可的正版防病毒软件，并监控更新软件版本和升级病毒库。 （三）严格保密服务器的各种账号，对机房数据库实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。 （四）每周备份业务数据并将其刻制至光盘，确保信息系统一旦发生故障能够快速恢复。数据库备份数据不得更改，数据备份光盘应异地存放，保存期限为3年。 （五）根据数据的保密规定和用途，确定拥有系统权限人员的存取权限、存取方式和审批手续。 （六）对机房的温度、湿度、电力系统、网络设备等进行巡查检测，以确保机房设施、设备的运作安全。第 7 条 对公司重大信息系统配置的更改，信息专员应先形成方案文件，经行政部负责人确认可行，报公司领导批准后执行。方案中应包括系统备份方式、调试运行期限、更改和操作记录、应急措施等相关内容。第三章 数据安全管理第 8 条 计算机终端用户计算机内的资料涉及公司秘密的，应该为计算机设定开机密码或将文件加密；凡涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。第 9 条 计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘分区(操作系统所在的硬盘分区，一般是C盘)外的硬盘分区。计算机信息系统发生故障，应及时与信息专员联系并采取保护数据安全的措施。第 10 条 计算机终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份，存放在不同的地点；对采用磁性介质或光盘保存的数据，应做好防磁、防火、防潮和防尘工作，并定期进行检查、复制，防止由于磁性介质损坏，丢失数据。第四章 网络安全管理第 11 条 未进行安全配置、未装防火墙或杀毒软件的计算机终端，不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新，并定期进行病毒查杀。第 12 条 计算机终端用户应使用复杂密码，并定期更改。公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码，严禁随意向他人泄露、借用自己的账号和密码。第 13 条 IP地址为计算机网络的重要资源，公司员工应在信息专员的规划下使用这些资源，不得擅自更改。对于影响网络的系统服务，公司员工应在信息专员的指导下使用，禁止随意开启、关闭计算机中的系统服务，保证计算机网络畅通运行。第 14 条 经远程通信传送的程序或数据，必须经过检测确认无病毒后方可安装和使用。 第五章 公司网站、邮箱和OA系统管理第 15 条 信息专员负责公司网站的运营管理。信息专员负责公司网站的技术支持，并分配网站管理员权限；公司各部门及公司应及时提供动态信息，经行政部审核后，由信息专员发布。第 16 条 公司各部门工作上的对外邮件来往原则上必须使用公司邮箱进行收发；公司邮箱的使用由公司信息专员全程提供技术支持，信息专员必须开启邮箱的相关管理功能对公司邮箱的使用全程进行安全监测，定期检查监测结果并进行相应处置。第 17 条 OA系统是公司经营管理信息传递的有效平台，由信息专员负责管理维护。信息专员应根据公司经营管理流程及时升级OA系统功能，并对公司员工进行操作培训。第 18 条 公司信息专员和OA系统管理员应确保后台管理账号和密码的安全，并定期变更。未经授权，任何人不得超越权限查看信息系统中的内容。第六章 操作管理第 19 条 信息专员应收集计算机信息系统常见故障及排除方法并整理成指导手册，供公司员工学习参考，并根据工作需要对公司员工进行定期或不定期的计算机应用技能培训。第 20 条 计算机终端用户在工作中遇到计算机信息系统问题，应先自行参照指导手册处理；若手册和之前培训中均未涉及此类问题，应及时与信息专员或软件开发单位、硬件供应商联系，尽快解决问题。第七章 禁止行为及处罚措施第 21 条 公司员工应遵守国家有关法律、法规，严格执行安全保密制度，有利用公司网络进行下述行为之一者，视情节严重程度处以50元以上500元以下罚款。构成犯罪的，移交司法机关处理。 （一）发布反动、非法和虚假的消息，或制作、浏览、复制、传播反动及色情信息。 （二）漫骂攻击他人，或泄露他人隐私。 （三）制造或者故意输入、传播计算机病毒和其他有害数据，进行任何黑客活动和性质类似的破坏活动。 （四）泄露、外借和转移公司机房专业数据信息。利用非法手段复制、截收、篡改公司计算机信息系统中的数据。 （五）利用扫描、监听、伪装等工具对公司网络和服务器进行恶意攻击，或非法侵入他人网络和服务器系统。 （六）利用计算机和网络干扰他人正常工作。第 22 条 有违反以下情况行为之一者，情节轻微的给予警告处分；情节严重，给公司造成重大损失的，除赔偿相应损失外，处以50元以上500元以下罚款。 （一）严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。禁止在机房内吃食物、抽烟、随地吐痰。未经机房管理人员同意并在场严禁无关人员进入机房。 （二）未经公司授权且机房管理人员在场监督，任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等；不得在机房服务器上安装与系统应用无关的软件。 （三）机房设备未发生故障或无故障隐患时机房管理人员不得私自对光纤、路由器、交换机、硬件防火墙、UPS系统、服务器和网线等网络设备进行任何调试。 （四）严禁撕毁、涂画或遮盖IT设备标签，或未经行政部信息专员备案擅自调整部门内部计算机信息系统的配置。严禁使用假冒伪劣产品、擅自外接电源开关和插座、擅自移动和装拆各类设备及其他辅助设备、擅自请人维修。 （五）不得下载和使用未经测试和来历不明的软件、不得打开来历不明的电子邮件、未经病毒查杀不得使用U盘等介质。 （六）禁止未授权用户接入公司计算机网络及访问网络中的资源，禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。第 23 条 第二十二条 计算机终端用户因主观操作不当导致设备、设施损坏，应承担相应修复费用，不能修复的按所损坏设备、设施市场价值的20%80%予以赔偿；蓄意破坏设备、设施的，除照价赔偿外，视情节严重给予行政处罚。第八章 附则第 24 条 本制度用语释义： （一）设备：公司办公使用的笔记本电脑、台式电脑、打印机、复印机、传真机、扫描仪等IT设备。 （二）设施: 计算机信息系统中各设备正常运行所需的外部配套装备，包括机房、通信管