大型企业信息技术部网络信息安全制度.doc

网络信息安全管理制度第一条 目的 为维护公司网络安全，保障信息安全，保证公司网络系统的畅通，有效防止病毒入侵，特制定本制度。第二条 适用范围本制度适用于公司信息技术部、信息系统管理人员及各电脑中心。第三条 职责 1、信息技术部发部负责公司网络系统的安全管理和日常系统维护，制定相关制度并实施检查。2、建议：信息技术部会同相关部门不定期抽查网络内设备安全状态，制度的落实情况等，发现隐患及时予以纠正。3、各部门负责落实网络安全的各项制度、规定的落实和实施。第四条 网络安全管理范围网络安全管理须从以下几个方面进行规范：物理层、网络层、应用安全，物理层包括环境安全和设备安全、网络层安全包含网络边界安全、应用安全包括操作系统安全和应用系统安全。第五条 机房安全1、公司网络机房是网络系统的核心。除技术部管理人员外，其他人员未经允许不得入内。2、技术部的管理人员不准在主机房内会客或带无关人员进入。3、未经许可，不得动用机房内所有设施（包括不限于网络设备、安全设备、服务器、主机、显示器、存储介质、线缆、应急消防、照明等）。4、机房工作人员进入机房必须遵守相关工作制度和条例，不得从事与本职工作无关的事宜，每天上、下班前须检查设备电源情况、运行情况，在确保安全的情况下，方可离开。5、 为防止磁化记录的破坏，机房内不准使用磁化杯、收音机等可产生磁场的物体。6、 机房工作人员要严格按照设备操作规程进行操作，保证设备处于良好的运行状态。7、 机房温度要保持温度在205摄氏度，相对湿度在705。8、做好机房和设备的卫生清扫工作，定期对设备进行除尘，保证机房和设备卫生、整洁。9、 机房设备必须符合防雷、防静电规定的措施，每年进行一次全面检查处理，计算机及辅助设备的电源须是接地的电源。10、 工作人员必须遵守劳动纪律，坚守岗位，认真履行机房值班制度，做好防火、防水、防盗等工作。11、 机房电源不可以随意断开，对重要设备必须提供双套电源。并配备UPS电源供电。公司办公楼如长时间停电须通知技术部，制定相应的技术措施，并指明电源恢复时间。第六条 设备安全管理1、 网络系统的主设备是连续运行的，技术部每天必须安排专职值班人员。2、 负责监视、检查网络系统运行设备及其附属设备（如电源、空调等）的工作状况，发现问题及时向技术部领导报告，遇有紧急情况，须立即采取措施进行妥善处理。3、 负责填写系统运行（操作）日志，并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。4、 负责保持机房的卫生及对温度、湿度的调整，负责监视并制止违章操作及无关人员的操作。5、 不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备，确需移动的要经技术部领导同意。6、 在维护与检修计算机及设备时，打开机箱外壳前须先关闭电源并释放掉自身所带静电。第七条 网络安全1、 公司网络与信息系统中，在网络边界和对外出口处必须配置网络防火墙。2、 未实施网络安全管理措施的计算机设备禁止与外网相连。3、 任何接入网络区域中的网络安全设备，必须是经过国家有关安全部门认证的、合格的网络安全产品。4、 在计算机联入公司网络之后，禁止再以其他任何方式（如拨号上网、ISDN、ADSL、3G等）与外网相连。5、 对于公司内部网络应当根据功能性、重要性的不同进行网络区域划分，进行分级、分层、分区域管理，对内网信息系统及相应的局域网（业务专网）划分为独立可管理、可控制的区域，不同的区域采取相应的安全策略和保护手段。6、 对网络设备、安全设备等的操作管理均应闭市后进行，严禁在开市期间进行任何操作。7、 对网络设备、安全设备等进行管理操作应进行安全评估，确保安全的前提下进行，操作前后进行配置备份。8、 对网络设备、安全设备、通讯线路应每半年进行配置备份工作，并异地保存，如果有配置更改进行配置覆盖。9、 对网络设备、安全设备、通讯线路应每季度进行应急演练。10、 网络设备、安全设备的管理密码必须采用尽可能长并不易猜测的字符串，不能通过电子邮件等明文方式传送传输，密码必须每半年更新。11、按国家相关要求定期开展信息安全等级保护和风险测评工作，排查信息系统安全隐患。第七条 系统安全管理1、 禁止下载互联网上任何未经确认其安全性的软件，严禁下载、安装、使用游戏软件、盗版软件及其他不符合公司制度的或不符合要求的软件。2、 密码管理：密码的编码必须采用尽可能长并不易猜测的字符串，不能通过电子邮件等明文方式传送传输，密码必须每半年进行更新。3、 普通系统用户：未经相关部门允许，禁止与其他人员共享账号和密码；4、 禁止运行网络监听工具或其他黑客工具；5、 系统管理员：不得随意在系统中增加账号，随意修改权限，未经技术开发部领导许可，严禁委托他人行使管理员权利。任何权限的修改操作均需要提交工作联系单，由领导同意后在保证安全的前提下方可进行。6、 外来软盘或光盘须在未联网的单机上检查病毒，确认无毒后方可入网使用。私自使用造成病毒侵害要追究当事人责任。7、 网络系统的所有系统程序、文件、数据等均不准私自拷贝出来赠送或以其他方式给其它单位或个人，违者将追究责任。8、 所有服务器、终端均需根据公司要求统一安装实时反病毒系统，并实行专人负责病毒查杀工作。9、 公司网内U盘、移动硬盘等存储介质的使用，均应遵循统一注册、权限细化、专人管理、领用申请登记，用完归还的要求，严禁个人长期保存内网注册U盘，严禁内网注册U盘他用。10、 严禁在公司网络内使用未经许可的软盘和U盘等存储介质，如工作需要，应向管理人员申请使用内网注册U盘。11、 内网注册U盘申请领用和归还，均应对U盘进行数据清空处理。12、 严禁以任何途径和媒体传播计算机病毒，对于传播和感染计算机病毒者，视情节轻重，给予适当的处分。制造病毒或修改病毒程序制成者，要给予严肃处理。13、 发现病毒，应及时对感染病毒的设备进行隔离，情况严重时报相关部门并及时妥善处理。14、 实时进行防病毒监控，安全做好防病毒软件和病毒代码的定期升级。15、 对防病毒数据库的升级应采用N-1的方式，不允许实时升级，升级前应对防病毒数据库进行验证，在确保安全的情况下进行。16、 应当注意保护网络数据信息的安全，对于存储在数据库中的关键数据以及关键的应用系统应作数据备份。17、 对备份数据应有计划的进行可用性效验。18、 禁止内网用户私自更改内网计算机、服务器系统设置，如计算机名、IP信息、用户信息等19、 内网计算机、存储介质改变用途或报废之前，应有技术人员使用专门数据销毁工具将硬盘或存储介质中的数据进行清除，以保证信息安全20、 内网安全移动存储介质进行维修、报废时，应先报主管领导审批，有专人负责登记备案后进行。第八条 安全事件报告1、 内网用户、系统管理人员、安全管理人员、网络管理人员等发现安全事件已经发生或可能发生时，应立即采取相应措施并