公司信息安全管理规定

1、XXXX集团公司信息安全管理制度一、计算机机房安全管理1、路由器、交换机和服务器以及通信设备是网络的关键设备，须 放置计算机机房内，不得自行配置或更换。2、计算机机房内必须安装高清监控系统，可监控范围360度无死 角，且需安装大容量存储器，保证录音保存期限，最长保留3年，由 专人负责登记并做好转存备份、删除记录工作。3、计算机机房要保持清洁、卫生，并由专人负责管理和维护，无 关人员未经管理人员批准严禁进入机房。4、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入 机房。5、建立机房登记制度，对本地局域网络的运行，建立档案。未发 生故障或故障隐患时当班人员不可对光纤、网线及各种设备进行任何

2、调试，对所发生的故障、处理过程和结果等做好详细登记。6、网络管理人员应做好网络安全工作，服务器的各种帐号严格保 密。监控网络上的数据流，从中检测出攻击的行为并给予响应和处理。7、做好操作系统的补丁修正工作。8、网络管理人员统一管理计算机及其相关设备，完整保存计算机 及其相关设备的驱动程序、保修卡及重要随机文件。9、计算机及其相关设备的报废需经过管理部门或专职人员鉴定， 确认不符合使用要求后方可申请报废。10、制定数据管理制度，对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时 修改。二、网络

3、安全管理1、网络安全管理员主要负责全公司网络（包含非开放式局域网、 开放式局域网及广域网）的系统安全性。2、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞 检测及修补、病毒防治等工作。3、做好周密的日志记录以及细致的分析，察觉到网络处于被攻 击状态后，网络安全管理员应确定其身份，并对其发出警告，提前制 止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做 善意阻击并向主管领导汇报。4、每月安全管理人员应向主管人员提交当月值班及事件记录， 并对系统记录文件保存收档，以备查阅。三、系统运行维护管理1、中心机房和办公区域隔离分设，未经负责人批准，不得在中 心机房设备上编写、修改、更换各

4、类软件系统及更改设备参数配置。2、各类软件系统的维护、增删、配置的更改，各类硬件设备的 添加、更换必需经负责人书面批准后方可进行；必须按规定进行详细 登记和记录，对各类软件、现场资料、档案整理存档。3、为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。4、部门负责人应定期与不定期对制度的执行情况进行检查，督 促各项制度的落实，并作为人员考核之依据。四、资产和设备管理1、数据中心所属范围内包括所有设备及办公物品归属数据中心 管理。2、严格执行上级管理部门有关设备管理的各项规章制度，对本 中心管理的设备进行编号、登记、建立完善、准确的文档。3、购

5、进设备时，数据中心有关负责人必须与供货人共同启封， 核对设备规格、型号、数目及软件和文字资料，并进行质量检验。核 对无误，验收合格后，方可签字并办理有关手续。4、实行设备领用人责任制，谁领用，谁使用，谁保管。5、对数据中心所属重要设备，要建立档案系统，保证技术资料 完整。6、非数据中心工作人员，不得擅自启动、关闭、动用、迁移各 种网络设备。7、从数据中心调出设备，必须经中心负责人认可批准后，方可 调出。8、每半年对数据中心的计算机网络设备进行一次全面检查和维 护。9、每年末对固定资产清查一次。10、每年对机房设备保管和使用环境评估检查一次，如出现问题 及时采取积极措施。11、对于超过有效使用期

6、的设备、淘汰设备或毁坏设备，按上次 管理部门对固定资产设备报废规章制度办理，并履行有关手续。12、数据中心设备使用和管理人员，对操作不当或管理不善造成 设备损失的，要追查责任，给予相应处罚，故意破坏的移交司法部门 处理。对于工作认真负责，避免损失的，给予一定奖励。五、数据及信息安全管理数据中心的数据及信息安全主要由信息安全管理员负责，信息安 全管理员的主要职责如下：1、信息安全管理员负责企业的信息安全保护管理工作，建立健 全信息安全保护管理制度；2、信息安全管理员负责落实信息安全保护技术措施，保障本网 络的运行安全和信息安全；3、数据存储设备和通讯设备全程24小时监控，对数据导出功能 进行权限

7、管理；4、项目实施人员入职时均签署保密协议，作业流程合法合规， 对员工违规行为具有成熟完善的处置机制，愿意接受委托方检查和监 督；5、项目实施人员的通讯设备（手机、IPAD等电子设备），必须 放置到规定区域内，不许带到作业区，以防数据的泄露；6、负责防火墙、IDS、防病毒系统等的策略制定；7、负责本中心审计系统的运行管理，对运行情况进行审计;8、负责本中心身份认证系统、权限管理和授权、单点登录系统 的运行管理；9、负责本中心的防火墙、入侵检测系统、防病毒系统的运行管 理，并定期升级；10、负责本中心相关日志的填写、收集、归档、管理；11、对本中心所发布的信息内容按照等相关规定进行审核；12、发

8、现有违反安全管理规定的行为，应当保留有关原始记录， 并及时向相关管理部门报告；13、按照国家有关规定，负责删除企业中含有违法内容的地址、 目录或者关闭服务器。六、数据安全把控方案（一）数据备份、数据恢复、数据删除1、为了确保系统计算机系统的数据安全，使得在计算机系统失 效或数据丢失时，能依靠备份尽快地恢复系统和数据，保护关键应用 数据的安全，保证数据不丢失，特制定本制度。2、拥有重要系统或重要数据的服务器应该及对数据进行备份， 防止系统、数据的丢失；涉及数据备份和恢复的服务器要由专人负责 数据备份工作，并认真填写备份日志。3、网络服务器数据备份工作，由网络管理部负责，增量备份每 日做，系统备份

9、每周做一次。系统管理员在每周最后一个工作日，将 数据库及各主要硬件设备配置文件等做一次异机备份，数据保存一个 季度。4、备份数据应该严格管理，妥善保存；备份数据资料保管地点 应有防火、防热、防潮、防尘、防磁、防盗设施。5、数据的备份、恢复、转出、转入的权限都应严格控制。严禁 未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权 进行数据恢复或转入或转出操作。6、一旦发生数据丢失或数据破坏等情况，要由系统管理员进行 备份数据恢复，以免造成不必要的麻烦或更大的损失。7、数据的删除，所实施的项目按与委托方签定协议要求规定的， 到期必须删除的数据及资料，由该项目负责人上报相应部门审批后， 交由

10、数据中心的信息安全管理员进行数据资料删除操作并做数据删 除登记。8、各级信息技术管理部门必须定期检查保存备份数据能否正常 使用。（二）密码管理制度1、网络服务器密码口令的管理（1）服务器和网络设备的管理账号密码，由网络管理员持有， 实行定期轮换制度，最长有效期不超过90天。（2）更换服务器与网络设备密码时必须执行密码备案制度，以 防遗失密码，同时告知主管领导备案密码。（3）用户级密码如：网站、数据库系统、网站信息管理系统等 用户帐号必须专人专号，不得互相泄露密码。（4）公共帐号等不能向中心以外人员泄露。（5）如发现密码及口令有泄密迹象，系统管理员要立刻报告部 门负责人，严查泄露源头，同时更换密

11、码。2、用户密码及口令的管理（1）系统管理员负责设定密码和口令。（2）公共帐号密码变更，必须通知到相关部门。（三）信息安全责任制1、及时对计算机安全制度进行补充和完善，形成完整的、科学的 计算机安全工作制度体系。2、加强对重要岗位人员在安全方面的管理，实行责权分配。3、重要岗位人员上岗前必须进行审查和业务技能考核，并进行必 要的安全教育和培训，合格者方能上岗。4、重要岗位人员必须严格遵守保密法规和有关计算机安全管理规 定，承担相应岗位安全责任。5、系统管理员负责系统的运行管理、实施系统安全细则，严格用 户权限管理，记录系统安全事项，对进行系统操作的其他人员予以安 全监督。及时解除系统故障，不得擅自改变系统功能，不得安装与系 统无关的其它程序，发现漏洞及时处理。6、操作人员及时向系统管理员报告系统各种异常事件，严格执行 系统操作规程和运行安全管理制度。7、重要网络设备应放在主机房内，其他人员不得对网络设备进行 任何操作。8、内部网络的所有计算机设备，不得直接与外部互联网相联接，必须实行物理隔离。9、定期进行主机设备的例行保养和预防性检修，制定主机设备故 障