信息安全管理规范和操作指南

信息安全管理规范和操作指南1.总则

(1)为了保证公司信息网络系统的安全，依据有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司信息网络系统建立的实际状况，特制定本规定。

(2)本规定所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进展信息采集、处理、存储和传输的设备、技术、治理的组合。

(3)本规定适用于公司接入到公司网络系统的单机和局域网系统。

信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术，在实现网络系统安全的根底上，爱护信息在传输、交换和存储过程中的机密性、完整性和真实性。

2.物理安全

(1)物理安全是指爱护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误，以及计算机犯罪行为而导致的破坏。

网络设备、设施应配备相应的安全保障措施，包括防盗、防毁、防电磁干扰等，并定期或不定期地进展检查。

(2)对重要网络设备配备专用电源或电源爱护设备，保证其正常运行。

3.计算机的物理安全治理

(1)计算机指全部连接到公司信息网络系统的个人计算机、工作站、效劳器、网络打印机及各种终端设备；

(2)使用人员应爱惜计算机及与之相关的网络连接设备（包括网卡、网线、集线器、路由器等），按规定操作，不得对其实施人为损坏；

(3)计算机使用人员不得擅自更改网络设置，杜绝一切影响网络正常运行的行为发生；

(4)网络中的终端计算机在使用完毕后应准时关闭计算机和电源；

(5)客户机使用人员不得利用计算机进展违法活动。

4.紧急状况

(1).火灾发生：切断电源，快速报警，依据火情，选择正确的灭火方式灭火；

(2)水灾发生：切断电源，快速报告有关部门，尽可能地弄清水灾缘由，实行关闭阀门、排水、堵漏、防洪等措施；

(3)地震发生：切断电源，避开引发短路和火灾；

5.网络系统安全治理

(1)网络系统安全的内涵包括四个方面：

1)机密性：确保信息不暴露给未授权的实体或进程；

2)完整性：未经授权的人不能修改数据，只有得到允许的人才能修改数据，并且能够辨别出被篡改的数据。

3)可用性：得到授权的实体在合法的范围内可以随时随地访问数据，网络的攻击者不能阻碍网络资源的合法使用。

4)可控性：可以掌握授权范围内的信息流向和行为方式。可审查性：一旦消失安全问题，网络系统可以供应调查的依据和手段。接入Internet公共信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安全设备必需具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质，并符合国家的相关规定。

6.网络安全检测。

(1)为使网络长期保持较高的安全水平，网络治理员应当用网络安全检测工具对网络系统进展安全性分析，准时发觉并修正存在的安全漏洞。网络治理员在系统检测完成后，应编写检测报告，需具体记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。

网络反病毒。病毒的危害性巨大，对系统和信息的破坏程度具有不行测性，计算机用户和系统治理员应针对详细状况实行预防病毒技术、检测病毒技术和杀毒技术。

7.信息系统安全治理

(1)信息安全是指通过各种计算机、网络和密码技术，爱护信息在传输、交换和存储过程中的机密性、完整性和真实性。详细包括以下几个方面。

1)信息处理和传输系统的安全

系统治理员应对处理信息的系统进展具体的安全检查和定期维护，避开由于系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。

2)信息内容的安全

侧重于爱护信息的机密性、完整性和真实性。系统治理员应对所负责系统的安全性进展评测，实行技术措施对所发觉的漏洞进展补救，防止窃取、冒充信息等。

3)信息传播安全

要加强对信息的审查，防止和掌握非法、有害的信息通过我司的信息网络系统传播，避开对国家利益、公共利益以及个人利益造成损害。

涉及商业机密文件必需采纳RMS权限治理效劳进展文件爱护，以免外泄。

8.信息系统的内部治理

(1)各部门向网络系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载；

(2)依据状况，实行网络病毒监测、查毒、杀毒等技术措施，提高网络的整体抗病毒力量；部门负责的重要信息必需作好备份；

（3）网站和栏目信息的负责部门必需对所公布信息制定审查制度，对信息来源的合法性，公布范围，信息栏目维护的负责人等做出明确的规定。信息公布后还要随时检查信息的完整性、合法性；如发觉被删改，应准时报告综合部；

(4)涉及商业隐秘的信息的存储、传输等应指定专人负责，并严格根据国家有关保密的法律、法规执行；

(5)涉及商业机密的工程招标、投标标注等信息，未经所属单位安全主管负责人的批准不得在网络上公布和明码传输；

(6)个人计算机中的涉密文件不行设置为共享，个人电子邮件的收发要实行病毒查杀。

(7)信息加密

1).涉及商业隐秘的信息，其电子文档资料须加密存储；

2).涉及公司和部门利益的敏感信息的电子文档资料应当加密存储；

3）.涉及社会安定的敏感信息的电子文档资料应当加密存储；

4）.涉及公司隐秘、与部门利益和社会安定的隐秘信息和敏感信息在传输过程中视状况及国家的有关规定采纳文件加密传输或链路传输加密。

（8）公司内任何组织和个人不得从事以下活动：

1）.利用信息网络系统制作、传播、复制有害信息；

2）.入侵他人计算机；

3）.未经允许使用他人在信息网络系统中未公开的信息；

4).未经授权对信息网络系统中存储、处理或传输的信息（包括系统文件和应用程序）进展增加、修改、复制和删除等；

5).未经授权查阅他人邮件；

6).盗用他人名义发送电子邮件；

7).有意干扰网络的畅通运行；

8).从事其他危害信息网络系统安全的活动。

9.密码治理

(1).具有密码功能的计算机、网络设备等系统处理公司隐秘信息，必需使用密码对用户的身份进展验证和确认。对于重要网络系统，各部门要有一个负责人，负责日常的密码治理工作。

(2).负责人负责给新增加的员工安排初始密码；指导员工正确使用密码；检查员工使用密码状况；帮忙员工开启被锁定的密码，对非法操作准时查明缘由；解决密码使用过程中消失的问题；帮助员工爱护公司隐秘不受侵害；定期向主管领导汇报密码使用状况和需要解决的问题。

(3).定期更换密码。密码的最长使用时间不能超过三个月，在涉密较多、人员简单、保密条件较差的地方应尽可能缩短密码的使用时间。当密码使用期满时，应更换新的密码。

(4)负责人必需有力量更改密码。当密码使用期满、被其他人知悉或认为密码担心全或失效时，最终员工可使用公司邮箱给系统治理员提交密码重置申请，非公司邮箱提交的申请不予进展处理。

(5).系统治理员重置密码后，最终员工首次登陆必需要进展修改密码，不得使用前三次使用过的密码。

(6).对密码数据库的访问和存取必需加以掌握，以防止密码被非法修改或泄露。

(7).当系统供应的访问和存取掌握机制不够完善时或机制虽然完善，但可能消失系统转储等状况时，应对存储的密码加密。

密码的等级应当符合以下要求：

1).初始密码应当由系统治理员集中产生供用户使用，并有密码更换记录，不得由员工产生；

2).密码的简单性要求密码长度不得小于8个字符，要包含大写、小写、特别字符、阿拉伯数字中的任意三种，密码更换周期不得长于三个月；

3).密码必需加密存储，并且保证密码存放载体的物理安全；

员工应记住自己的密码，不应把它记载在不保密的媒介物上，严禁张贴密码。

恶意软件治理

4).公司全部联网计算机必需安装防病毒软件，安装后不得自行关闭和卸载，对擅自卸载或不按规定使用防病毒软件的人员，如造成损失，应担当相应的责任；

5).由于特别缘由不能安装防病毒客户端软件的电脑，须记录相关缘由。

技术部负责对全部客户端的杀毒软件进展治理和监控，全体人员必需听从和协作。在正常运行过程中，不得随便关闭或退出。若因特别状况需临时暂停客户端运行者，应经技术部同意方可执行；

6).如发觉病毒，相关使用人应马上上报，准时联系技术部人员对感染机器进展有效的隔离，去除病毒的后检查其最近使用过的软盘、光盘和移动存储设备，以免漏杀，未去除病毒的计算机不得入网；

7).对因病毒引起的计算机信息系统瘫痪，程序和数据严峻破坏等重大事故应准时实行隔离措施，并准时公司技术部报告；

8).不得向他人供应含有计算机病毒的文件、软件、媒体。制止在计算机上装载与工作无关的软件，特殊是嬉戏软件、盗版软件等；

9).制止从Internet网络随便上下载程序、数据，以及外来程序和文档。如的确需要，应领先进展病毒检测后使用。在网上公布的文件文档，发件人应主动用查病毒软件检查并确认安全前方可发出，收件人发觉病毒，应马上杀毒，并通知发件人；

10).不得翻开可疑的或生疏人发送来的邮件及附件，必要时直接删除；对认定为去除不了含有病毒的文件，技术部有权直接删除，以防病毒集中、扩散。

外来的软盘、光盘和移动存储设备等应先进展杀毒检查后使用。当在光盘、U盘、移动存设备上发觉病毒后应马上报告技术部，并准时加以标识，不得在其他