终端信息安全管理规定分析.doc

XXXX信息中心终端信息安全管理规定信息中心年 月XXXX信息中心终端信息安全管理规定注：XXXX代表单位名称，XX代表单位简称，xxxx代表系统名称，*代表部门名称。第一章 总 则第一条 为规范XXXX信息中心（以下简称“中心”）员工在使用计算机终端过程中的行为，提高计算机终端的安全性，确保员工安全使用计算机终端，特制定本规定。第二条 本规定适用于在XX使用计算机终端的所有员工，包括内部终端和外部终端，信息中心及其他部门员工。第三条 本规定所指的计算机终端包括员工在XX网络中用于办公用途的台式计算机、便携式计算机。第二章 台式计算机安全管理第一节 硬件使用相关规定第四条 台式计算机由XX(单位简称)*（部门名称）部门统一配发，员工领到台式计算机后，应妥善保管台式计算机的主机、显示器以及附带的所有附件（包括各种线缆、光盘、说明书等）。第五条 质保期内员工不得自行拆卸台式计算机，以免影响台式计算机厂商的售后服务。第六条 未经许可，严禁将非XX配发的台式计算机接入XX局域网。第七条 未经员工所在部门批准，员工不得自行变更台式计算机的硬件配置。第八条 因工作岗位变动不再需要使用台式计算机时，应及时办理资产转移或清退手续。台式计算机做资产转移或清退时，应删除机内的敏感和重要数据。第二节 系统使用相关规定第九条 台式计算机的IP地址由XX统一分配，员工不得自行变更，否则会造成台式计算机无法正常连接网络。第十条 各部门应记录和管理IP地址相关的设备使用情况，对打印机、复印机等设备应及时记录设备使用情况。第十一条 接收来自外部的软件或资料时，应首先进行防病毒处理。第十二条 禁止在没有采用安全保护机制的台式计算机上存储重要数据，在存储重要数据的台式计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。第十三条 员工应设置台式计算机的开机密码，有关密码设置按照帐号口令权限安全管理规定执行。第十四条 员工离开自己台式计算机时，应将台式计算机屏幕锁定；员工完成应用系统的操作或离开工位时，应及时退出系统。第十五条 所有的台式计算机系统设备必须有一个台式计算机可读的设备属性标签，以便于查询和统计。第十六条 存放台式计算机系统设备的区域必须保持适当的工作温度和湿度，相关要求参见产品说明。第十七条 必须明确所有台式计算机的使用者，台式计算机上不得放盛有饮料等液体的容器。第十八条 根据信息安全管理员的通知进行所使用台式计算机的病毒防治产品的升级版本检查，是否升级完成。第十九条 定期对所使用台式计算机进行病毒的检测和清除。如果发现病毒，将检测和清除的结果报安全管理员进行备案。第二十条 对于外来的（例如从网络上下载）程序和文档，在运行或打开前必须进行计算机病毒的检测和清除。第二十一条 对于电子邮件附件所带的程序和文档在确认来自可信的发件人之前不得运行或打开，并且在运行或打开前必须进行计算机病毒的检测和清除。第二十二条 不得进行计算机病毒的制作和传播。第三章 便携式计算机安全管理第二十三条 便携式计算机的硬件使用、系统使用安全管理规定参照台式计算机相关条款执行。第二十四条 当使用存储XX内部重要信息的便携式计算机时宜特别小心，确保业务信息不被损害和丢失。第二十五条 携带存储XX内部重要信息的便携式计算机外出时，不要使便携式计算机处于无人看管状态，防止非授权访问和信息泄露。第二十六条 当在XX之外的公共场所、会议室和其它不受保护的区域使用便携式计算机时应避免信息泄露。第二十七条 建议定期对便携式计算机上的业务信息进行备份，并对备份的信息采取足够的防范措施，防止信息损坏或丢失。第四章 外部终端安全管理第二十八条 未经允许，外部终端不得以任何方式接入XX网络。第二十九条 外部终端在接入XX网络前，必须由申请人填写XXXX外部终端接入申请表（见附件），网络管理员对填入信息的准确性进行确认后，经相关负责人签字确认后方可实施接入。第三十条 应根据申请人提交的用户信息开放网络资源，并依照应用系统访问权限开放应用系统的访问资源。第三十一条 接入终端应安装正版操作系统和正版办公软件，并定期更新补丁程序。第三十二条 接入终端应安装正版杀毒软件，并定期进行病毒库升级。第三十三条 接入终端应使用固定IP地址，并且不得自行变更。第五章 网络资源使用安全管理第三十四条 XX的网络资源和服务平台为所有员工提供服务，禁止使用任何手段攻击或破坏计算机网络和服务平台，例如利用Email服务发送电子邮件炸弹、垃圾电子邮件，利用网络服务实施网络攻击等第三十五条 任何人不得在XX系统上发布、谈论和传播涉及XX内部敏感信息。不得发布有危害国家安全、社会稳定、他人权益内容的信息。第三十六条 员工不得私自设立WWW、FTP、TELNET、BBS、NEWS等应用服务；不得设立网上游戏服务，不得设立拨号接入服务。第三十七条 任何人不得制造、传播各种计算机病毒或恶意软件。一旦发现计算机病毒，员工应及时进行病毒的清理，并采取必要措施，隔离病毒感染的计算机，防止病毒进一步传播。第三十八条 员工的个人账号和密码未得到其本人授权的，任何人不得私自使用或者破解。第三十九条 未经允许，不得切断他人的计算机网络。第四十条 工作期间不允许随意使用公司网络资源下载和使用与工作无关的文件和网络服务。第四十一条 通过Email发送涉及XX敏感信息时建议采用加密措施，以防止信息泄漏。第六章 安全监督与检查第四十二条 信息中心终端管理员和对违反管理规定的行为要及时指正，对严重违反者要立即上报。第四十三条 信息中心终端管理员应当定期或不定期对各个部门的计算机终端使用状况进行审计。信息安全工作组对违反管理规定的情况要通报批评；对严重违反规定，可能或者己经造成重大损失的情况要立即汇报XX主管领导。第四十四条 对于违反本规定的直接责任人应给予其相应的处罚，对于给XX造成重大损失或重大影响的人员依据相应法律法规处理，并追究其直接上级领导的相应责任。第七章