计算机信息系统安全管理制度

1、计算机信息系统安全管理制度总则第一条为加强内网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据中华人民共和国计算机信息系统安全保护条例、云南省计算机信息系统安全保护管理办法等有关规定，结合本行内实际，特制订本制度。第二条计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条行内设立IT安全管理小组，专门负责本行内范围内的计算机信息系统安全管理工作。第一章网络管理第四条遵守国家有关法律、法规，严格执行安全保密制度，不得利用网络从事危害国家安全、泄露国家秘密

2、等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网络上发布反动、非法和虚假的消息，不得在网络上漫骂攻击他人，不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的侵入。管理办法：通过以下措施做到严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的侵入。（一）可分组、分时效、分个人、分权限控制使用、注册使用USB存储设备；出现事故问题可直接追究当事人或者部门负责人责任。1. USB禁用存储设置终端用户是否禁用所有USB存储设备。2. USB存储认证注册内部存储U盘只能在内网中指定机器使用，在外网无法使用；授信外

3、部U盘在外网可正常使用，在内部指定机器使用。3. USB文件操作审计详细记录终端用户在USB存储设备中操作文件的情况，包括创建目录、创建文件、修改、复制、剪切、粘贴、重命名、删除等操作。4. USB应用审计详细记录终端用户插拔USB存储设备的具体时间、盘符、插拔状态、磁盘容量、使用空间、剩余空间等信息。（二）无线网卡管理：设置终端用户允许或禁止使用无线网卡。（三）可信内网安全域：设置内网中可相互正常通信的IP地址范围，在同一安全域中的机器可相互通信。不在用以安全域而且没有经过授权或者安装客户端的机器不能与内网中的计算机通信，分发进入内网的机器完全隔离。（四）ARP报警：网络内出现ARP攻击后即

4、报警。并进行arp病毒防范；第五条各工作计算机未进行安全配置、未装防火墙或杀毒软件的，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用U盘等移动存储介质。管理办法：通过以下措施达到管理制度第五条之规定；1. 终端安全报警：终端用户未运行指定程序或者未安装行内规定必须安装的防病毒软件后即报警，可进行重启、锁定键盘鼠标、发通知信息或者强制阻断网络不允许进去单位网络等操作。2. 杀软管理：查看终端机器所安装的杀毒软件名称、病毒库版本及运行情况。第六条禁止未授权用户接入行内计

5、算机网络及访问网络中的资源，禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。管理办法：通过以下措施达到管理制度第六条之规定；1. 可信内网安全域：设置内网中可相互正常通信的IP地址范围，在同一安全域中的机器可相互通信。不在用以安全域而且没有经过授权或者安装客户端的机器不能与内网中的计算机通信，分发进入内网的机器完全隔离。2. 程序保护：保护指定程序不允许被非法关闭，如杀毒软件、办公软件、ERP客户端等。3. 程序黑名单：禁止终端用户运行指定程序，可分时段控制，支持模糊关键字，支持标题栏。4. 程序白名单：允许终端用户只运行指定程序，可分时段控制，支持模糊关键字，支持标题栏。5. 应用程序

6、流量管理:查看终端用户正在运行的应用程序所占用的带宽流量，包括上传流量与下载流量的具体信息。6. 互联网流量管理:设置终端用户流量的带宽限制。第七条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。管理办法：通过以下措施达到管理制度第七条之规定；1. 图档权限控管：定制终端用户机器的某些文档或目录禁止被剪切、复制、删除、重命名，从而保障文档的安全性，不被误删除或非法删除。第八条行内对所有IT软硬件资产信息，统一汇总到行政财务人员处理登记。不得私自拆卸安装非工作之外的软件、硬件资产。管理办法：通过以下措施达到管理制度第七条之规定；

7、2. 硬件资产管理：自动生成所有终端用户计算机的硬件资产信息。3. 软件资产管理：自动生成所有终端用户计算机的软件安装信息。4. 硬件资产查询：多条件查询所有终端用户的硬件信息。5. 软件资产查询：多条件查询终端用户的软件安装信息。6. 硬件维修记录：详细记录终端用户的硬件维修信息。7. 新安装软件管理：设置终端用户允许或禁止新安装软件。8. 硬件变化报警：终端用户的硬件发生变化后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息等操作。9. 软件变化报警：终端用户软件发生变化后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息等操作。第九条行内员工禁止利用扫描、监听、伪装等工具对网络和服务器

8、进行恶意攻击，及时对终端机器系统漏洞进行修补，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。管理办法：通过以下措施达到管理制度第九条之规定；1. 终端漏洞扫描：查看客户端机器的微软补丁安装情况，并可进行相应补丁的安装与忽略安装操作。2. 补丁自动分发设置：设置终端用户是否自动进行补丁分发设置。3. 已安装补丁信息：详细查看终端用户已安装补丁信息。4. 漏洞修复日志：详细记录终端用户漏洞修复日志情况。5. 已忽略补丁信息：详细记录终端用户已忽略补丁安装信息。6. 更新补丁库：更新服务器中的补丁库信息。第十条计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他

9、人泄露、借用自己的帐号和密码；严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。第十一条IP地址为计算机网络的重要资源，计算机各终端用户应在IT安全管理小组的规划下使用这些资源，不得擅自更改。另外，某些系统服务对网络产生影响，计算机各终端用户应在IT安全管理小组的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行。管理办法：通过以下措施达到管理制度第十一条之规定；1. IP地址列表：扫描内网中所有机器的IP地址，并显示该IP地址所对应机器的终端类型，是非法入侵终端、安全终端还是授信终端。2. IPMAC地址绑定：将终端用户的IP地址与MAC地址进行绑定，不允

10、许终端用户非法修改IP。3. 无线网卡管理：设置终端用户允许或禁止使用无线网卡。4. 非法外联控制：设置终端用户允许或禁止新建网络连接。5. 网络属性管理：设置终端用户允许或禁止使用网络属性功能。6. 远程网络配置：远程对终端用户的计算机名称、IP地址、网关、DNS地址以及代理服务器地址进行配置。7. 批量网络配置：远程对多个终端用户的网络配置进行统一设置。第二章外设管理第十二条凡登记在案的IT外部设备，都要对其进行管理，如：打印机、扫描仪、光驱、软驱、刻录机、无线网卡等。管理办法：通过以下措施达到管理制度第十二条之规定；1. 光驱管理设置终端机器允许或禁止使用光驱。2. 软驱管理设置终端机器

11、允许或禁止使用软驱。3. 刻录机管理设置终端机器允许或禁止使用刻录机。4. 新增加设备管理设置终端机器允许或禁止新增加设备。5. 添加打印机管理设置终端机器允许或禁止新添加打印机。6. 打印机管理设置终端机器允许或禁止使用打印机。7. 红外端口管理设置终端用户允许或禁止使用红外端口。8. 蓝牙管理设置终端用户允许或禁止使用蓝牙设备。9. 无线上网卡管理设置终端用户允许或禁止使用无线上网卡。第十三条IT设备安全管理实行“谁使用谁负责”的原则（公用设备责任落实到部门和责任人）。凡分行内或合作单位自行购买的设备，原则上由分行内或合作单位自行负责，但若有需要，IT安全管理小组可协助处理。备注：主要是移

12、动存储设备U盘等。管理办法：通过以下措施达到管理制度第十三条之规定；可分组、分时效、分个人、分权限控制使用、注册使用USB存储设备；出现事故问题可直接追究当事人或者部门负责人责任。1. USB禁用存储设置终端用户是否禁用所有USB存储设备。2. USB存储认证注册内部存储U盘只能在内网中指定机器使用，在外网无法使用；授信外部U盘在外网可正常使用，在内部指定机器使用。3. USB文件操作审计详细记录终端用户在USB存储设备中操作文件的情况，包括创建目录、创建文件、修改、复制、剪切、粘贴、重命名、删除等操作。4. USB应用审计详细记录终端用户插拔USB存储设备的具体时间、盘符、插拔状态、磁盘容量

13、、使用空间、剩余空间等信息。第十四条设备出现故障无法维修或维修成本过高，且符合报废条件的，由IT设备终端用户提出申请，并填写IT设备报废申请表，由相应部门经理签字后报IT安全管理小组。经IT安全管理小组对设备使用年限、维修情况等进行鉴定，将报废设备交有关部门处理，如报废设备能出售，将收回的资金交行内财务入账。同时，由IT安全管理小组对报废设备登记备案、存档。管理办法：通过以下措施达到管理制度第十四条之规定；金盾CIS对IT资产进行生命周期管理，特别是在做IT采购决策的时候，金盾CIS可以给IT管理人员一个清楚的全局IT资产状况，如：采购：什么时间采购的IT资产，信息记录入库。入库：设备到货，安

14、装金盾CIS资产自动汇总形成明细。维修：设备维修，IT资产的整个维修过程全程跟踪记录。借调：设备借调，支持借调设备申请流程以及追踪设备借调返回时间。领用：记录设备使用情况，包括哪一位员工领用了设备等信息。折旧：支持企业的财务制度，通过年限的设定，统计个别折旧年限的设备。报废：允许管理员通过流程，报废已经损坏不堪的机器或者年限太老的机器。第三章数据管理第十五条计算机终端用户计算机内的资料涉及行内秘密的，应该为计算机设定开机密码或将文件加密；凡涉及行内机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存。管理办法：通过以

15、下措施达到管理制度第十五条之规定；通过金盾CIS加密解密模块在不影响用户使用习惯的情况下,强制透明自动加密涉密资料以及重要数据；控制泄密资料以邮件、即时通信工具、U盘拷贝等方式泄密。即使发到外网数据在没有金盾客户端的情况下无法正常使用，强制打开将以乱码方式显示，看不到文件的明文。这也是杜绝泄密的有效办法从泄密文件根源上来解决问题。1. 自动加解密下发终端用户所对应的加密策略，强制自动加密终端用户文件。2. 手动加解密可对任何文件进行手动强制加密、解密操作。3. 硬盘全加密对硬盘上所有已选定图档格式的文件，进行全盘加密。4. 硬盘全解密对硬盘上所有已选定图档格式的文件，进行全盘解密。5. 图档密

16、级将不同类型的图档根据实际情况设置为不同的密级，针对不同密级的文档，只有特定的用户拥有该密级权限方可查看。6. 移动外发满足加密文件脱机使用，提供授权邮箱，离线运行，外网解密等外发解密方式。7. 外发审核日志终端用户外发加密文件需经管理员审核通过后解密，方可进行外发。第十六条工作范围内的重要数据（重要程度由各部门经理核定）由计算机终端用户定期更新、备份，并提交给所在部门经理，由部门经理负责保存。各部门经理在一个季度开始后10天之内将本部门上一季度的工作数据交行政人事部汇集后统一采用磁性介质或光盘保存。管理办法：通过以下措施达到管理制度第十六条之规定；1. 远程文件管理管理员可远程操作客户端硬盘

17、上的所有文件，包括下载、上传、删除、查看、远程执行等操作。2. 图档权限控管定制终端用户机器的某些文档或目录禁止被剪切、复制、删除、重命名，从而保障文档的安全性，不被误删除或非法删除。3. 图档备份对终端用户机器上的重要文件进行自动备份或手动备份到文档备份服务器。4. 备份日志查询查看终端用户文件备份的详细情况，并可进行文档恢复操作，保证终端文件安全。第十七条计算机终端用户务必将有价值的数据存放在除系统盘（操作系统所在的硬盘分区，一般是C盘）外的盘上。计算机信息系统发生故障，应及时与IT安全管理小组联系并采取保护数据安全的措施。第十八条就是终端用户未做好备份前不得删除任何硬盘数据。对重要的数据

18、应准备双份，存放在不同的地点；对采用磁性介质或光盘保存的数据，要定期进行检查，定期进行复制，防止由于磁性介质损坏，而使数据丢失；做好防磁、防火、防潮和防尘工作。第四章操作管理第十九条凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情；IT安全管理小组将有针对性地对员工的数据审计信息进行定期的上报，供行内领导参考查阅；管理办法：通过以下措施达到管理制度第十九条之规定；1. 浏览网站审计全面记录上网信息并产生相应链接以便管理员查看。对终端所登录的网站包括网站标题、网站地址、访问时间等详细记录。2. 文件操作审计详细记录终端用户的文件访问、新建、复制、粘贴、剪切、重命名、删除等

19、操作。3. 打印文件审计全面记录终端用户打印的文件名字、页数、时间及其具体打印文件的内容。4. 应用程序审计详细记录客户端运行过的应用程序，包括开始运行时间、结束运行时间以及总共运行时长等信息。5. 即时通讯审计详细记录终端用户通过即时通讯工具（QQ/TM/RTX/SKYPE/UC/淘宝旺旺/飞信/MSN/Yahoo）进行聊天的聊天记录，并可详细记录附件发送内容。6. 邮件监控审计监控终端用户发送邮件的正文、标题、收发件人、发件人以及附件内容等。可监控WEB邮件以及通过FOXMAIL/OUTLOOK/EXHANGE服务器等发送的邮件。7. 论坛审计监控终端用户在任何论坛网站上的发帖评论及相关回、发贴内容。包括发贴时间、人员名称等。第六章处罚措施第二十条有以下情况之一者，视情节严重程度处以xx元以上xxxx元以下罚款。构成犯罪的，依法追究刑事责任。（1） 制造或者故意输入、传播计算机病毒以及其他有害数据的；（2） 非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;（3） 对网络和服务器