合肥车桥信息安全管理制度6..doc

信息安全管理制度1内容与范围1.1为了保障公司信息系统及信息安全，制定本制度。本制度明确了公司各单位及计算机用户在计算机信息安全管理方面的职责及处罚办法。1.2本制度适用于本公司以及所有接入公司内部网络的一切计算机应用单位和计算机使用人员。2职责2.1通则2.1.1公司员工应严格遵守国家相关的信息安全法律法规和本制度。2.1.2各单位主要负责人是本单位的信息安全管理的第一责任人，对本单位信息安全负领导和管理责任。2.1.3公司管理平台、各事业部、销售公司、技术中心各部门应建立、健全信息安全组织，配备相应的系统管理员，负责具体落实信息安全的相关工作。2.2企业管理部职责2.2.1建立和完善信息安全管理体系，负责信息安全技术和管理方法的研究、应用及推广；提供信息系统安全技术保障，制订及完善信息安全管理制度，实施信息安全监控和管理、提供安全管理技术指导与服务、督促和检查各应用单位的信息安全体系建设及实施。2.2.2 负责审核、发布信息安全管理制度，监督该制度执行情况。 2.3人力资源部职责负责对违反制度的单位和人员按处罚条例和检查报告进行兑现。2.4应用部门职责贯彻、落实和执行公司信息安全管理制度，进行部门内信息安全管理执行情况检查、考核。3安全管理细则3.1PC机（含台式机、图形工作站、笔记本电脑）安全管理。3.1.1PC硬件安全管理3.1.1.1各单位应明确指定每台PC的责任人。3.1.1.2禁止擅自拆卸计算机硬件，禁止擅自安装和使用与工作无关的部件，确因工作需要的，应提出申请，经部门负责人签字同意后，报信息办审批。3.1.1.3各单位应根据实际情况制定笔记本电脑管理规定并报信息办备案。3.1.2PC软件管理3.1.2.1操作系统：PC上只允许安装公司所指定的操作系统及版本，若因工作需要安装其他操作系统，应填写信息需求申请表（见附件一），按流程报批，并报企业管理部信息办备案后方可安装。3.1.2.2所有PC必须安装公司指定的防病毒软件。3.1.2.3常用办公软件和应用软件须到信息办指定的服务器上下载安装，并在授权范围内使用；禁止擅自通过其他介质拷贝、下载软件进行安装使用，确有特别需求的，须填写信息需求申请表，按流程报批，并报信息办备案后方可安装；禁止擅自安装和使用盗版软件，对擅自安装而引起涉及版权方面法律纠纷的由责任人承担一切后果。3.1.2.4禁止安装和使用娱乐性软件、游戏软件（操作系统附带的除外）。3.1.2.5严禁擅自安装和使用上网代理类、黑客性质类、网络和通讯管理类等危害信息安全和网络安全的软件。3.1.3 PC操作管理3.1.3.1计算机用户应使用规定的用户账号登陆操作系统，不得将帐号和密码告知他人。3.1.3.2 CMOS密码与操作系统管理员密码由系统管理员统一管理，所有计算机用户未经信息办的许可，不得修改计算机的系统设置，不得擅自更改IP地址。3.1.3.3计算机用户不得使用任何方法窃取他人口令，非法入侵他人计算机系统。3.1.3.4严禁通过盗用他人IP地址、设置上网代理等违规方式访问互联网，禁止从事一切危害网络安全和系统安全的操作。3.1.3.5 PC硬盘应分驱（盘）管理（至少分两个逻辑驱（盘），系统软件、应用软件、工作文件和数据应分类分开存取，工作文件和数据、随机专用设备驱动类文件应做好备份。3.1.3.6禁止下载、存储、使用、传播与工作无关的文件（如：MP3，电影，游戏、小说等）。3.1.3.7具备上外网（互联网）权限的计算机用户不得利用工作便利在互联网上进行与工作无关的活动，禁止使用私人电子信箱传递有关公司信息。3.1.3.8计算机用户岗位变更时，其网络和信息系统使用帐号、权限须进行相应变更，其帐号、权限应报信息办予以处理，计算机用户和所在单位均不得擅自将该用户外网、OA、信息系统等帐号、口令和权限转交其他人使用。3.1.3.9计算机用户不得制作、查阅、复制和传播思想内容反动的、不健康的、有碍社会治安和有伤风化的信息。3.1.4外来计算机的管理3.1.4.1定义：非公司所属计算机皆视为外来计算机。严禁外来计算机带入涉密信息密集单位如技术研发部门、重要档案管理等部门办公场所。3.1.4.2外来计算机因工作需要在公司办公场所内（非涉密部门）使用时，应安排专人监控，原则上不得联入公司网络，确实需要联网的，须由相关单位申请，报公司分管领导批准并签署信息安全、保密协议，信息办予以安全检查后开通。3.2系统安全与业务连续性管理3.2.1服务器管理3.2.1.1各服务器责任单位应根据服务器的应用情况制定服务器管理办法，并报信息办备案。3.2.1.2每台服务器应指定责任系统管理员和后备系统管理员，系统管理员应根据服务器管理办法对服务器进行日常管理。3.2.2业务连续性管理3.2.2.1系统备份、恢复管理：各应用信息系统的管理单位应制订可行的备份方案和灾难恢复方案，以保障在出现系统故障、或数据丢失等影响业务正常运行情况时恢复系统，减少和避免信息资产损失。3.2.2.2系统容灾管理：重要系统应制定合理的设备冗余和容灾方案，以保障当部分设备发生故障时能够支持业务和系统连续运行；重要系统和数据应进行异机备份或用备份设备进行备份，以保障系统和数据具备合理容灾性能。3.2.2.3业务应急预案：各业务单位应制订业务应急预案；当系统出现紧急情况不能支持业务应用时，各单位应启动应急预案，保障业务连续运营。当紧急状态排除后，业务部门要组织业务人员将紧急状态时发生的业务补充到系统中，以确保信息业务信息完整、有效。3.3数据安全管理3.3.1数据备份：各服务器责任单位应制定数据备份方案，并按方案进行备份，方案报信息办备案。应用人员要对自己本地计算机的信息安全负责，作好各自的信息备份工作。3.3.2电子信息保密管理3.3.2.1各单位应对涉密电子信息按公司保密制度进行管制。3.3.2.2未经批准禁止任何人将公司信息系统中的电子数据提供给无关人员、外单位人员；未经批准禁止任何人复制、转移、查看、发布、打印公司涉密信息。3.3.2.3对于以网络通讯、电子邮件、光盘、软盘、移动存储设备等方式向公司以外的单位提供各种技术类电子数据（包括图纸、数据及其他技术类文档）。3.3.2.4各类计算机、数字存储设备经报废、送外维修、外借、出售等方式转出公司时应对存储的信息进行不可恢复性删除。3.3.2.5各类计算机、数字存储设备带出公司前，相关责任人应检查是否存有涉密信息，对存储的涉密信息应进行清除，或按公司相关保密制度进行报批。3.3.2.6涉密电子信息应进行访问控制，其存储、传输应进行加密处理，禁止使用明文进行网络传输。3.3.2.7对因管理不善造成公司涉密电子信息泄漏的单位和员工，将按公司相关保密制度追究相关单位和员工的责任。3.4移动存储设备管理3.4.1严格控制各类移动存储设备（包括软驱、光驱、U盘、移动硬盘、数码设备、红外设备、无线通讯设备等）在公司使用，各单位应制订移动存储设备使用管理办法，并报信息办备案。3.4.2各单位须对已有的移动存储设备指定专人统一登记，集中管理，并报信息办备案；新增移动存储设备需报信息办批准。对通过移动存储设备传入传出的文件应记录备案；禁止擅自使用私人移动存储设备拷贝数据。3.4.3对因移动存储设备使用不当而造成的信息泄密或其他事故，要追究使用者、移动设备责任人及单位负责人的相关责任。3.5网络安全管理3.5.1信息办应统一规划并组织实施网络安全管理体系，包括制订网络管理规范、网络安全方案、网络系统备份和恢复方案，网络通信应急预案等； 3.5.2公司网络架构、网络通信技术方案由信息办统一规划、实施和维护；任何单位和个人，未经授权，不得擅自变动网络架构、网络通信技术方案，不得变动网络设备布局、设备参数；任何单位和个人，未经允许不得私自架设和扩充网络设备；3.5.3任何单位和个人不得私自挪用、破坏各类网络设备；工程施工时涉及网络设备或线路时，应提前通知信息办，经确认后方可施工； 3.5.4网络地址（IP）、域名等由信息办统一分配，任何单位和个人，未经授权，不得私自变动网络域名、物理地址、IP地址；3.5.5公司任何单位和个人，未经批准不得利用公司资源私建网站、网络论坛、BBS； 3.5.6公司任何单位和个人应在授权范围内使用网络，不得将使用权限转借他人使用，不得利用公司网络从事与工作无关的事情。3.5.7严禁任何人通过任何手段攻击公司各类网络设备以及服务器、PC等其他网上设备。4 信息安全检查和督察4.1信息办负责制定信息安全检查管理办法，每年年底前根据实际情况制订下一年度检查计划，检查方案。4.2管理平台、销售公司、各事业部、技术中心各部门制定本单位检查计划和方案，报信息办批准和备案，并按计划进行检查，检查结果和整改措施报信息办备案。4.3信息办按计划检查督促各部门的检查执行情况，并对执行效果报公司进行考核。4.4信息办联按检查计划和方案进行定期和不定期抽查，被抽查单位应按要求进行配合，人力资源部按处罚条例和检查报告进行兑现。5处罚5.1信息办将定期对各单位执行本制度的情况进行检查考核。5.2对严重违反本制度及相关信息安全制度计算机应用单位或个人，信息办应立即停止其使用系统和网络的权限，直至单位领导和责任人做出书面检查、落实相应的处罚并整改到位。由此造成的一切后果由责任单位或责任人自负。5.3公司员工违反本制度一条一次，罚款300元，所在单位罚款500元；违反多条多次累计并加倍处罚。5.4对故意盗取公司技术、管理、财务、经营及人事档案等保密信息者；对有意攻击、破坏公司信息系统并造成严重后果者，予以开除处理。对触犯刑律的，依法移送司法机关处理。6相关文件和记录6.1相关文件公司保密制度OA、内外网管理办法技术中心保密管理办法其它文件：国家、省市信