信息化安全管理制度

信息化安全管理制度第一章总则第一条为了保障公司计算机及办公网络信息系统的正常运行、使用和管理，促进公司办公网络的健康发展，依照有关法律法规和公司相关管理制度，特制定本规定。第二条公司计算机及办公网络信息系统的建设，是利用先进实用的计算机技术和网络通信技术，实现公司部门和个人的计算机互联，旨在为公司的办公、研发、管理等工作提供先进的信息交流手段和丰富的信息资源，实现资源共享，以促进公司事业的发展。第三条公司计算机及办公网络信息系统在公司总经理领导下，由信息技术部具体负责公司计算机及办公网络信息系统的规划、建设和管理工作。第四条本规定适用于公司各级各部门使用公司计算机及办公网络信息系统得所有人员（以下简称“用户”）。第二章网络及邮箱权限分配权限组及描述:Administrators管理员对计算机/域有不受限制的完全访问及修改操作权。PowerUsers向后兼容包括高级用户权限，拥有对域访问非修改全限。IIS_IUSRS拥有Internet信息服务使用的内置组，包括网络邮箱，web浏览，非下载权限。NetworkUsers此组中成员拥有对计算机usb、文件共享权限，对域内部网络资源浏览、下载权限。Users 此组中成员对域内部网络资源浏览、下载权限，无计算机USB、共享开放权限。Guests 供来宾访问计算机或访问外部网络固定帐户。Mail_User 此组用户拥有公司外部邮箱使用权。（注：公司邮箱服务器开放前为）办公人员权限组归属：Administrators:TOC\o"1-5"\h\zPowerUsers ：IIS_IUSRS ：NetworkUsers ：Users ：Guests ：公司提供一台公用电脑，便于公司内部无WEB权限员工及公司外部人员临时使用，设定固定账户。Mail_User :第三章用户守则第五条认真遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《保险中介机构信息化工作监管办法》和国家有关法律、法规，贯彻执行本规定及公司相关规定和制度。第六条严格执行安全保密制度，用户对所提供的信息负责。不得利用办公网从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息；第七条公司员工必须接受并配合国家和公司有关部门依照有关法律和规定进行的监督检查，并有义务及时向公司技术信息部报告任何违反用户守则的行为；第八条员工在办公网上不得进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。这些活动主要包括（但并不局限于）在网络上发布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机、以不真实身份使用网络资源等；第九条办公网上的信息和资源属于公司或该信息和资源的所有者。公司员工只有在取得了公司或该信息和资源的所有者的允许后，才能使用该信息和资源。网络上软件的使用应遵守知识产权的有关法律法规。第十条公司全体员工，必须遵守上述守则。对于违反规定的员工，公司将视其情节轻重分别对其进行警告、罚款等处理，必要时将诉诸法律。第四章计算机管理规定第十一条公司计算机根据各部门使用需要统一调配，统一定制计算机软/硬件及安全防范标准，只有符合规定标准的设备方可使用。公司信息系统工程师负责管理所有计算机软/硬件配置情况，并根据公司授权，可以对所有计算机进行调试、检查。第十二条公司员工，在未获批准的情况下，不可进行以下行为：1．复制或修改（删除）在所使用计算机内装置的软件；2．复制安装在所使用计算机内的软件作为私人用途；3．在所使用计算机内安装未获批准的软件；4．从互联网上下载与业务工作无关的程序、数据并安装在办公室电脑内；5．自行拆卸、安装、更换计算机设配配件；6．利用公司计算机办公网络信息系统处理与工作无关的事情。7．修改系统设置和危害计算机系统的其他行为；8．向计算机管理人员提出安装指定标准以外的软、硬件或升级的要求，若确属工作需要须安装非指定标准软件或硬件，应向所属部门领导提交书面申请，经批准后由公司信息系统工程师统一安装，申请表交由信息技术部备案；第十三条员工下班或长时间离开公司，必须关闭计算机和办公桌上所有电源开关（防止静电），笔记本计算机应锁入个人抽屉，以防遗失或意外损坏。第十四条违犯以上管理条例者，公司有权按照相关处罚规定，对使用者进行适当处罚。第五章安全管理规定第十五条公司全体员工有义务时刻提高警惕、加强网络安全防范意识，积极配合安全管理工作，及时向公司汇报网络安全状况，不可做出危害计算机及办公网络信息系统的任何行为。第十六条公司统一施行网络安全防范，有相应的网络攻击防范、追踪措施，安全审计和预警措施，系统运行和用户使用日志记录，身份验证和识别，信息群发和有害数据防范措施等。第十七条公司员工，不可自行更改所使用计算机的网络安全设置信息（如计算机名、IP、网关、病毒防治软件、防火墙等），不可干扰其他网络使用者或破坏网络服务等。第十八条公司及各部门的业务数据，由信息技术部部IT工程师负责备份，每周至少备份一次，重要数据由使用者本人向信息技术部申请做立即备份。第十九条公司计算机及办公网络信息系统的数据资料列入保密范围。未经许可，严禁非相关人员私自查看和复制。第二十条计算机使用者必须定期升级操作系统和病毒防治软件，妥善保管好自己的用户名和密码，并做定期更改，避免数据被黑客程序或病毒窃取、破坏而导致数据丢失或泄密。第二十一条公司拥有员工所使用计算机的最高管理权限。除指定涉及保密的计算机外，信息技术部有权指定专人不定期检查员工计算机内软硬件、数据等信息，如有数据涉及公司机密，由使用者提前告知信息技术部。第六章机房及网络设备管理规定第二十二条公司机房实行出入控制，非有关人员不可随意进入机房。外来检修人员、公务人员及公司其他部门人员等进入机房必须有信息技术部工作人员始终陪同。并禁止携带与网络操作无关的物品。第二十三条公司IT系统工程师（以下简称“网管”）对机房、网络进行操作时必须经过信息技术部负责人批准，严禁随意操作、更改机房和网络配置。重大网络操作（如系统更换、数据转储等）应事先书面提出报告，采取妥善措施系统和数据保护性备份，通知有关人员后，经信息技术部负责人批准，方可实施操作，并填写操作记录。第二十四条未经信息技术部负责人批准，任何人不得改变网络拓扑结构、网络设备布置、服务器配置和网络参数。网管应及时监控网络运行状况，对不成功进入、不成功访问、越权存取尝试等进行记录、整理、分析，并提出针对性措施。第二十五条公司网络账号采用分组管理，并详细登记用户姓名、部门名称、账号名及口令、存取权限、开通时间、网络资源分配情况等。用户账号下的数据属各个用户的私人数据，网管具有管理及备份权限，其他人员均无权访问（账号当事人授权访问情况除外）。网管必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息、个人隐私等资料泄露出去。第二十六条公司网络检修由网管进行。网络检修分为定期检修和临时检修两种。检修的项目涉及服务器、交换机、集线器、路由器、防火墙、网关、配线架、网线、UPS电源、接插件等公用网络实体。在网络出现异常征兆或故障情况下可进行网络的临时检修。网络的临时检修包括检查、分析、确定故障设备或故障部位，并进行应急维修。第七章处罚第二十七条公司全体使用公司计算机及办公网络的员工均受本处罚条例约束。第二十八条初次违犯本规定但未对公司利益造成危害或对其他使用者造成影响者，公司将给予通报批评。第二十九条多次违犯本规定但未对公司利益造成危害或对其他使