信息系统使用管理规范

***制度代码 版本 实施日期 主编单位 批准人年月日说明：......................................................................................................................................................................................................................................................................................................................................................................................为加强集团信息安全治理，降低失密、泄密风险，特制定本规定。本规定合用于集团各单位和全体员工，治理内容包括：帐号、计算机设备、网络系统、业务系统、办公系统使用过程的安全治理；互联网扫瞄、电子邮件、MSN等即时通讯系统的使用安全治理；信息化工程建设的安全治理。系统治理员指负责治理和保障集团计算机设备、网络、应用系统安全运营的治理人员。其主要职责是负责集团计算机设备(效劳器、存储等)、系统治理员需具备如下任职条件：(一)各单位最高系统治理员须计算机专业及计算机相关专业毕业,有相应岗位的专业技术认证且在集团效劳三年以上，无违规记录，由各单位IT人员负责人提名报各单位负责人审批允许前方可聘任。(二)各岗位系统治理员由各单位IT人员负责人指定，需要计算机专业及计、运维阅历。协议及不低于3行业规章，严守公司及岗位隐秘。假设有泄露安全信息、滥用权限等违记行为，一经查实，即给开除处分，造成损失的，依法追究责任。最高系统治理员及关键岗位系统治理员须设定为两人。前者职能是对系统治理员账号授权并安排相应权限，后者职能为系统的具体操作和配置治理，严格实行授权账户与操作治理账户分别原则。各网络、效劳器和应用系统等应启动安全审计功能，对上述各对象用的合规性具有监视和建议权。期满经其签字允许后，方可履行正常离职手续。拒绝履行上述程序的，视为违反保密协议，依据保密协议有关规定处理。本规定所指的“帐号”包含计算机硬件设备、操作系统以及应用系统的登录和操作帐号。每一个帐号都必需明确“帐号责任人”。集团在册员工帐号的“帐号责任人”为员工本人，仅限本人使用，并对帐号使用过程担当全部安全责任。对用于单位处理专项工作的电子邮件系统帐号，各单位须指定特地的帐号IT人员备案。集团内部员工每人只有一个账号。帐号及权限的申请须经帐号责任人所在公司人力资源部门审批后，报IT人员审核并开通。IT人员必需对用户帐号进展权限配置，使得用户能够使用集团内不同的系统或者同一系统的不同功能。IT人员开通用户帐号时制止使用一样的初始密码，集团用户首次登陆OA、ERP、邮件等应用系统，必需更改初始密码。一般用户密码长度不得少于6位(含)字符，并至少承受大写字母、小写字母、符号和数字其中的三种12位字符，并必需包含大写字母、小写字母、符号和数字的全部组合。集团用户每三个月内应当更改一次密码，且更改后的密码不应与最近前三次密码重复。具备密码强制更改措施的业务系统，IT人员应启用该功多每三个月通知用户更改一次密码。制止将用户名和密码保存在公用计算机的自动登陆程序中。制止统传输用户帐号和密码。员工离职，人力资源部门应当通知IT人员准时关闭员工帐号及权限。机、笔记本、移动上网本等)和效劳器，以及集团各下属单位购置并接入集团局域网处理集团内部业务的计算机。安排给个人使用的计算机，其使用人为设备责任人，公共计算机由资产所属单位明确设备责任人。计算机设备责任人对该计算机使用过程担当全部安全责任。计算机上制止安装和使用非办公软件，对于因员工自行安装的各制止私自拆装计算机或者更改操作系统的安全配置，包括但不限于系统补丁更、病毒库更、网络连接、IE安全级别、代理效劳器设置等。U盘、移动硬盘等移动存储设备在翻开前必需使用防病毒软件清查病毒，如存在无法去除病毒则住手使用；在疑心或者确认计算机感染病毒时，必需马上断开网络，并通知IT人员进展处理，经确认已无安全隐患后再接入网络。员工离开计算机时，必需关闭计算机或者启用计算机安全密码锁定程序。便携式计算机(笔记本电脑)必需设置开机密码和登陆操作系统密码。有硬盘加密功能的，应当启用该安全防护功能。涉密信息。计算机在送修前，计算机设备责任人必需将涉密信息转出。计算机无法启动或者计算机设备责任人无法完成转出操作的，应当向IT人员恳求技术支持。涉密文件所在计算机送修前，须送交IT人员进展痕迹擦除处理。前，需在IT人员指导下，卸载计算机中已装载的公司业务系统并删除全部与工作相关的数据。ADSL、私3G上网卡、VPN、数据专线等方式接入互联网或者第三方网络系统。制止员工私拘束局域网内安装配置各种网络设备(特别是无线网络设备)，确因工作需要临时安装的，必需报行政部审批后，由内部IT专业人员进展安全配置。重要会议、活动等的原始会议记要、录音影像等保密性质的原始文件资料，在必需传递时，应以物理存储方式(U盘、移动硬盘等)进展离线传制止以任何理由对网络系统进展扫描。制止访问包含色情、反动等不良内容的网站。“帐号责任人”对使用电子邮箱中的全部活动和大事担当全部责任。公共电子邮箱的使用仅限于申请邮箱时指定的业务工作。“帐号责任人”应当慎重防止公众互联网垃圾邮件或者垃圾信www、pop3、smtp通用协议。确因工作需要开通其它端口协议的，应报行政部审批。制止员工本人使用或者允许他人使用集团网络资源制作、复制、公布、传播违反国家法律规定和违反集团企业文化的信息。携出电脑内的重要文件必需设置密码或者加密处理。员工使用电脑在公司外部上网时，应启用防病毒软件和个人防火墙对笔记本电脑进展保护。携出电脑制止外借他人使用。员工应对携出电脑的资产、系统和信息安全负全责。全体员工有责任和义务对违反信息安全治理规定的人员和大事报。安全治理人员有权对本单位使用网络资源(计算机、网络、邮箱、即时通讯等)访问互联网的行为进展监