计算机信息安全管理制度

Q/ZLZK203021-2009A计算息安理制度1目的加强算机络计算机信息全管，障公司网络台应系统正运行数据全，止泄。2范围适用公司各业部分公、控子司（下简各经单）所计算信息全理。3术语3.13.23.3

办公算机办用台式机、记本脑属于公司资的计机备。计算机信息：是指存储在计算机上的软件、数据、图纸等含有一定意义的计机信息资料。内网：司长沙园网及过专线与沙区互联的他区驻外机构络以下简称内3.4

外部网：互联网或除联网和公司内网之的第三方专网以下简称外4职责公司计算机信息安全采用集中制、分级管理原则。4.1公司息管理部门负制定公司计算机息全略标及息全略、导公司常计算机信息安全管理，负责直属部门算机信息安全日工作。负责协调司外部资，处理公司重大计算机信息全事件4.2经营单信息化管理部门：负责经单计算机信安全常工作，及向司息管理部门、督察部门报重大计算机信息全隐患和计算机信息安全事。4.3算机用：责本人用办公计机常保养正操作及安全管所接息的密性可性完性及时向信息化理门告计算信息安全隐患和算机信息安全事件。信息的人保密制定信密定级。5内容与求5．1账和密码安全理信化理门统一信息统户，保在统中的一性密信息行加密处理，保用户密、和。工工作或责时向信息管理门。信息化理部应时的，的。用公司计机息系，件9.1络与算机部设１Q/ZLZK203021-2009A程》，向信息化管理部门提出申请，经审批后方可取得账号和初始密码员工使用初始密码登信息系统后须立即更改密。密须满足以下要：密码度至少位码必须由大写字母（A到）写字母（到z）符号（!@#$%^&*）和字（）组类至少取种合。密更换周期不得长两个月，且变前后的密码不能同。用户登录系统时密码连续输错次，户号将变成定态户向息理门申解锁。严禁以非法手段尝试获取他人账号密码信息，未经授权不得使用他人账号密码登录系统。用对自己号密码安全性负责，禁止泄露给人因人号密码管理不慎造成的息安全事件由账号所有者负最终任。5．办公计算机安全管理信化理部在日管办公计算机，应行下安全设置：须所有办公计算机设置密码关未请使用和机锁须为有办计机部应全理系统机设需要，由密员进全程同所应到有密息统的位进行不使法用的设相定时进行理。计机使用人在常使用办公计算机时应如下要求：a)计算机用户用计算机在理公密信息账信息时，应信息安全，止关人泄密时计算机应用密的程锁定算。定计算机设、、机锁，有时信化理部理。不得自计算机输出设以计算机设、和件。得相关用。如使用计算机以的输输出设（如、、类录等）件时，须件计算部设权申请程》行。禁用办计算机理工关、员工常。严禁自公管系统系。严使用办公计算机不信息、取、泄露公机密和事法。5．计机防毒管理5.3.1

计算用户使计算机程取下安全：a)禁自闭更件，应时和系统，计机２Q/ZLZK203021-2009A全运行。发现或怀疑有办公计算机被病感染，应立即断开网络并执行全盘扫描病毒程序，如感染症状未能解除须立即上报信息化管理部门。对何来料，须使防毒件进扫后可使用，要开来不链。严禁故瞒报、制作、载、运行及传播计机病毒。5.3.2

信息化管理部门须护病毒系统及补丁更新系统正常运行。在发生重大病毒发事时，应及发病预，时取有的防施止毒面扩散。5．络全理5.4.1

信息管理门管理办公计机网安时，应遵循下要：必严格隔断允许访问外网的计算机与内网计算机之间的直接通讯。必须格断网财、发与它理计机间直接讯。办公算在用司络，用身、卡理址须与络问源对绑。5.4.2

信息管部在护息应用统络全，遵以要求a)信息化应用系统服务器许在公司网络机中机内，管方内，禁安在通公及它不安全内。信息化应用统要程管理，须使用的程管理，并现、机网管理，防止程管理用。必须公内部络要防系统并定的未，不许任何内部地服外网。对外的信息化应用系统必须部必要安以被行，并采取必要措施对行进计取。定内网运行，及时发络。要更网络安全管理时网络与计算机外部理。5.4.3

用户在用公司网络资时，应遵循以下安要求：a)在下有办公用机作能问公司内网不许接公司内网。计机用户要网络时，须件网算机外访问程后通。不要用外时应及时通信息化理门外网。禁止办公计算机IP地址卡地址，止办计算机接定网络。３Q/ZLZK203021-2009Ad)当进行信息提取时，按附件《机信息提取输入流》理。5．信息应系开安全理5.5.1

信息化用系统开发安需必须可靠身认证机制，允许名问，账号和码须足全管理要求。必须有完整的权管理系统，支持层分级授权。账号密码必须加密存储在后台数据库中。必须于责离则义同业模的用限。信息化应用系统须经过第三方安测评机测评合格才能正式投入运。信息应用统发各阶段产的源码序编程序及文档资料格用户权集管理。5.5.2信息化应用系统营安全管理必须定期审计信息化应用系统用户行为。必须定期备份息化应用系统数。严禁改息应系数及更正系环下息应系统序件。必须严格权限控制，按业务职责对用户合理授权，信息化应用系统权限变更须经信息化管理部门审批。需定期进行风险测与评估，确保息化应用系统运行安。5．网设备安全配置5.6.1

所有网络备必须信息化管理部门定、管。需要使用程管理时，使用统的加密的程理能确保、机网管理，程管理权限用。5.6.25.6.35.6.4

管网备时需要用的码息必密文式保。经授，络管理程不更网备的文件。网络理程更要网络备，须有文网络备需变更》严格按进行。5.6.55.6.6

网管程必期备份所有络备的件。网络备时，可能有件，用后份的文件备。5.6.7

定期计络。４5.6.85.75.7.1

Q/ZLZK203021-2009A需期进行风险检测与评估，确保网络设备运行在可接受安全。据与复管理信息化理部门必须为有信息化应用系统制定相应的数备份与恢复策，填写《数据备记录照《信备份数据复管办法执行。5.7.2信略的有效性和执行情况，进行备份质不有，且能在恢操步分配时内成。5.7.3数备份应保证及、完整真、准确转储到不可更改的质上，份质须异存。5.85.8.1

机房安全管理信息化应用系的件设备只允许放置在公司网机房、数据心机房，殊况可申请托管第三方机，严禁放置在普办公场所及其它不安全场所。5.8.2

机房配备温湿度计和干灭火器，信息化管理部门须对机房员进行消防全指导，并做好机的火防盗、防、静、防击相安全。5.8.3

信息化管理部门须指定人对机房设备进行安全和管理对房行定期检，到异情及时理，并参照《计机机房管理定》执行。5．95.9.1

出图理信息管理门指定人对设备进行安全管和，为申请门相应的。5.9.2

只能在设上。部门配有机需定人管理，且只能，不，保制》相定理。5.9.3

人须在中《能，参照件9.3《CAD管》执行。5.9.45.9.5

人许不操的器和设。人员时须人员，信息化管理部门进行份实并其的与所填写申请表上对方，严禁和。

信息安培训管信息化管理部门应及做好信息安作，和作安风。5.10.2信化理部必须据内及行内信息安全的定息全计，计保证内能指导员理中可能到并应的信息安全。对不的对员、员、息内部及需定５Q/ZLZK203021-2009A6

不同培训容。c)针不的培对和内容明确训形及标。d)必针对培训效果行考核。违纪与处罚6.1对本制度行为，管理部《信息安记录表期报察门，依据违纪类型行相应罚。6.1.1以违纪行为，视其情节最高可给予开除处分，交处：6.1.26.1.3

违反家有信管理的法规利用络事违反中华民共国律和法规的动，表违反律规言括以任何理由泄露国机密，进何国全动；利用络对人行侮辱、诽谤骚扰的；侵害他人合权益；犯他人的名权肖像权姓名权人权利的；侵他人商、商标版权、专利、专有技术等各知识权的；利用络或子件传输任何法的骚扰的、他人的辱的、、害的的信息据；传输任何他人犯行为信息据的；动发邮件或邮件以及动机或；任形式、任何目的对电子邮件进行用的；用他人任何的；传国家不利、及家安全以任何不合国家法律、法规、规信息据的；用用破和侵信息化应用的；或用内部网络；或和除信信息的；利用信化利。有他反机信息全定的为果或的。以下违纪行为，其情节最高可给记处分：机，行机内件的；由管不泄人和密，司信息或信息，司的；用机司安的内网件的；有他违信安规定行，果或定。以违纪行为，视其情节最高可给予记处：除或机标及（用名、等的；用的机上安的件或件处６6.1.4

Q/ZLZK203021-2009A激活状的；工时长间参与工无的上聊、览业务无关网、电脑戏；下载联网的法软件或拷外来非软件进入公网络；大量载或输业务无关的据或法件，占用网带宽；有其他一般违反算机信息安全规行为的。以下违纪行为，其情节最高可给通报批处分：离开计算机时不时进行锁屏或不规定设自动启用幕保护的；员工意自己计算机内设置共享录，未设置口令保护，并在共享完毕后能立即取消共享功的；有其他轻度违反算机信息安全规行为的。7相关文件7．1《息化应用系统管理规定》7．2保制》7．3《计机机房管理规定》．4《信备份数据复理制度》7．5《算机设备管理办法》记录8．1计算机信息提取（输）申请单》8．2《出图申单》8．3《信息安全违规录》8．4计算机安全录》8．5《数据备份录》8.6《置》9附件9．1网与计算机外设备申9．2计机信息提取（输入）9．3CAD图管理9．4电数：制度信化管理提并。７Q/ZLZK203021-2009A本制度主要起人：翟曾本制度审核人：张飞庆本制度批准人：王玉坤８Q/ZLZK203021-2009A记录1：计机信息提取（输入）请单申人信息源部门负责人信息称信息来及目的地计算机息安

信息级信息提部门负责人

提取间审批人介质销毁人

证明人

销毁间全工师—；

机密——分导；

秘和—。记：门目幅量人全师

出图申请单人用途代编）批期

名称备注⑴A0、A1必写号名。⑵总一件图小需代名。９Q/ZLZK203021-2009A记录：表基本信息违规人名计算机名/IP违规行描

所属部门账号

违规时间违纪定呈报单

呈报人

呈报时间１０Q/ZLZK203021-2009A记录：表单位名称：号

者

部门

年度时间述记录：

审批人：１１Q/ZLZK203021-2009A记录：表信息化应用系统基本信息应用称操作系类型

所在区据库型

操作员支撑台备份容序类型全期备）备份目园区备份作记录表时备份情说

备份式动质

备份果１２Q/ZLZK203021-2009A记录：表：月日+顺号日期

名

号

人原：配

容原：

内容：审：_____１３Q/ZLZK203021-2009A附件9.1程适范围本流程适于司机（包跨网计算网网络及算外部设包括光、设、移动存储等备）的访权限申请管理。流程图

说明

责任人（参与人）接收请

接收直属门或经营单元相关负责审批信息安全工程、经通过后申请

营元信息安全工程No审批Yes

按限分审批请：①没息化主管的经单部请②有驻信息化管的经单申请

派驻经单元信息化主管开通限

按权限分级开通计全权限结果反馈给申请人：①直属部门申请及跨网段计算机访问

公司信化部信息安全程②经营单元申请（不含跨段计算机访问）工师归

存档总

公司信化部信息安全程１４Q/ZLZK203021-2009A9.2算机信息提取入)程适用围本程用公所有算信提（入管。流程图

说明责任（与）接按计算机信涉密等级分审批通过室主任、经营单接收请派发务提取息No验收Yes归

的申：①”“密”信息申请②机”级息的请③绝密”信息的申请派发信提取（输入）务提取输入信息确信息提取（入）是否完存档总

元信化关主任信息输或输出部门负人申请门分领经营元总理CEO公司信息安全主任、营元信化关主任公信化信息安全程师、经营单元息安全程公信化信息安全程师、经营单元息安全程(申请人)公司信化部信息安全程１５Q/ZLZK203021-2009A9.3图管流程适范围：本流程适用于公