信息安全管理办法.

*********有限责任公司

信息安全管理办法

第一章总则

第一条为了加强************有限责任公司（以下简称：我行）计算机信息系统安全保护工作，确保我行计算机信息系统安全、稳定、高效运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，结合自身实际制定本办法。

第二条************有限责任公司计算机信息系统安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。其中“预防为主”是计算机安全管理工作的基本方针。

第三条************有限责任公司计算机信息系统安全工作实行统一领导和分级管理。按照“谁主管谁负责、谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第四条成立计算机信息安全管理工作领导小组，由科技、财会、保卫、稽核、办公室、电子银行等部门组成，实行一把手负责制，计算机信息安全管理工作领导小组负责组

织、协调、监督和检查我行计算机安全管理工作。

第五条权限说明：************有限责任公司作为吉林省农村信用联合社（以下简称:省联社）信息系统平台的终端使用者，享有使用其系统、数据库、网络等其他IT资源的权利，吉林省农村信用联合社享有开发、管理、控制其系统、数据库的权利，当出现各种事故时由************向吉林省农村信用联合社进行通知报告，系统、数据库、网络等故障根据事故级别情况由吉林省农村信用联合社进行处理解决。

本办法适用于************计算机设备、系统的使用部门和各分支机构。本办法与相关制度对应关系如下第四章对应《************有限责任公司系统运行维护实施细则》须结合上述制度开展工作。

第五章对应《************有限责任公司网络运行维护实施细则》须结合上述制度开展工作。

第六章对应《************有限责任公司办公设备日常操作管理办法》、《************计算机物品管理指导意见（试行）》须结合上述制度开展工作。

第八章对应《************数据备份管理规定》结合该制度开展工作。

第二章人员与岗位管理

第一节人员基本要求与安全教育

第六条本办法所称计算机安全人员，是指各级机构专（兼）职计算机安全管理人员。

第七条计算机安全人员应当遵纪守法、政治过硬、业务精通、恪尽职守。违反国家法律、法规和受到行政处分的人员，不得从事计算机安全管理工作。

第八条计算机安全人员变动，应向上级科技管理部门备案。

第九条营业机构对全体员工应进行计算机安全法律法规及相关规章制度的培训。

第十条计算机安全人员应定期接受政治思想教育、职业道德教育、安全保密教育。

第十一条计算机安全教育由科技信息部负责实施。

第二节计算机关键岗位人员安全管理

第十二条本办法所称计算机信息系统关键岗位人员（简称关键岗位人员），是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、操作运营等岗位人员。

第十三条关键岗位人员上岗前，必须经过人事部门的政治素质审查，科技信息部的信息安全教育、业务操作技能考核，合格者方可上岗。

第十四条关键岗位人员上岗必须实行“权限分散、不

得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务；系统开发人员不得兼任系统管理员。

第十五条岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及基层业务保密信息的关键岗位人员调离单位时，必须进行离岗稽核，关键岗位人员在调离后应继续履行保密义务。

第十六条关键岗位人员离岗后，必须及时注销其用户，并更换相关密码。

第三节计算机岗位人员的安全责任

第十七条系统管理员安全责任

1．负责系统的运行管理，实施系统安全运行细则。

2．严格用户权限管理，维护系统安全正常运行。

3．认真记录系统安全事项，及时向科技信息部负责人报告安全事件。

4．对进行系统操作的其他人员予以安全监督。

第十八条网络管理员安全责任

1．负责网络的运行管理，检测网络运行状况，实施网络安全策略和安全运行细则。

2．合理配置网络应用，严格控制网络用户访问权限，维护网络安全正常运行。

3．监控网络关键设备、网络端口、网络物理链路，防范黑客入侵，及时向部门负责人报告安全事件。

4．对操作网络管理功能的其他人员进行安全监督。

第十九条开发人员安全责任

1．系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。

2．系统投产运行前，应完整移交系统源代码和相关涉密资料。

3．不得对系统设置“后门”。

4．对系统核心技术保密。

第二十条应用系统、操作系统维护员安全责任

1．负责系统维护，及时解除系统故障，确保系统正常运行。

2．不得擅自改变系统功能及相关参数。

3．不得安装与系统无关的其它计算机程序。

4．维护过程中，发现安全漏洞应及时报告部门负责人。

第二十一条业务操作员安全责任

1．严格执行系统操作规程和运行安全管理制度。

2．不得向他人提供自己的操作密码，柜员卡不得借给他人。

3．及时向科技信息部报告系统各种异常事件。

第二十二条各部门、营业机构计算机管理员责任

1．各部门、营业机构应指派素质好、较熟悉计算机知识的人员担任本单位的计算机管理员或科技协管员，并报科技信息部备案。如有变更应做好交接工作，并及时通知科技信息部。

2．各部门、营业机构计算机管理员或科技协管员要配合科技人员工作，并参加各项信息安全技能培训。

3．各部门、营业机构计算机管理员或科技协管员负责本部门、本网点计算机病毒防治工作，监督检查本部门客户端安全管理情况；负责提出本部门信息安全保障需求，及时与科技信息部沟通信息安全监测情况；协助科技信息部完成对本部门的信息安全检查工作。

第四节一般计算机用户的安全管理责任

第二十三条本办法所称一般计算机用户是指使用计算机设备的我行所有工作人员。

第二十四条一般计算机用户应承担如下安全义务：

1．不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。

2．未经科技信息部检测和授权，不得将接入系统内部网络所用计算机转接国际互联网，不得将便携式计算机接入总行内部网络，不得随意将私人计算机带入机房或私自拷贝任何信息。所造成的后果和相关经济损失由本人承担。

第五节外来人员的安全管理

第二十五条各单位要针对不同的外来人员，制定相应的安全策略，严格控制外来人员对我行信息系统、网络设备、安全设备、办公主机、主机服务器的访问，外来人员对敏感的信息资产进行访问时，应与其签订安全保密协议，明确安全责任和义务。

第二十六条各单位必须做好外来人员的出入管理和陪同工作。

第二十七条严禁外来人员在未经科技信息部允许的情况情况下通过办公用户网访问生产网络。

第二十八条对需要长期进入各级单位工作的外公司人员，必须报外来人员管理部门审批，做好其工作区域的隔离和访问控制，并对访问过程进行全程监控、详细记录和及时审计。

第三章设备的安全管理

第二十九条设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。

第三十条生产环境、测试环境、开发环境的相关设备相互之间必须有明确的物理安全边界，物理安全区必须有明确的标志。

第三十一条设备所在的物理安全区应具备符合国家

相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等基本环境条件。

第三十二条对路由器、交换机、防火墙和主机服务器等设备必须采取严格的管理措施，未经批准不得随意移动和接入。

第三十三条设备安装时，应由相关技术人员制定详细可行的操作步骤，其中关键设备的安装必须请供货厂商（代理商）技术人员现场支持。

第三十四条主机和网络通信关键设备必须有备份，并处于实时备用状态。

第三十五条重要设备使用单位应做好设备日常运行维护工作：

1．做好设备的日常检测、检查、记录，及时掌握设备的运行状况。

2．设备发生故障时应及时维修，必要时，通知设备维护商的技术人员到场解决。

3．制定设备维护计划，为维护的项目、步骤、周期、责任人等做出明确规定，并严格按照设备维护计划定期进行设备的保养和维护，做好设备维护记录。

第四章系统的安全管理

第三十六条本办法所指的计算机系统是指

************业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。

第三十七条系统规划与立项要充分考虑系统的安全需求，系统建设要充分考虑实现安全功能，计算机安全管理部门应对重要系统的立项进行安全性专项审查。

第三十八条系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。

第三十九条系统投入运行前，必须进行系统的安全评估与审批；对已投入运行的系统需跟踪进行评估并根据评估结果不断改进和提高系统安全性。

第四十条系统运行安全管理

1．严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。

2．备份系统与生产系统的系统构成与配置应保持一致，以保证生产系统出现故障时能顺利切换。

3．严禁擅自修改系统参数，确需修改应严格履行审批手续，由维护岗位人员实施，实施时应有监督，修改后的参数应记录在案。

4．严禁擅自对业务数据库的数据进行修改或恢复操作，确需操作时应严格履行审批手续，由相关岗位人员实施，并由有关人员监督执行。

5．对于系统软件升级、应用软件升级或更新、系统切

换、年终结转、结息等重大事件操作，按《************有限责任公司系统升级管理办法》由科技信息部从安全角度出发与业务部门密切配合，共同制定详细的计划和方案。

第四十一条做好系统的日常安全运行维护工作，不断完善系统运行制度、日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。定期对系统进行备份，并对备份媒体按有关规定指定专人妥善保管，重要业务系统的备份媒体必须异地保存。重要业务系统应由业务部门制定计算机安全保护的应急计划，保证业务的不间断运行，并不断完善应急计划。对涉密的应用系统，应严格执行保密管理的有关规定。

第四十二条各级运行机构必须做好对系统的安全监测工作。非营业机构接入生产网，须向科技信息部申请，连接单独设立的服务器。

第四十三条严格执行系统废止和销毁的有关安全管理规定。

第五章网络安全管理

第一节网络管理

第四十四条科技信息部应持续建立健全网络安全运行制度，不断健全《************网络运行维护实施细则》、《************系统运行维护实施细则》、《************计

算机系统应急预案》等涉及到网络方面的制度，并按制度开展日常工作。

第四十五条应配备专职网络管理员。重要网络设备应放置在机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。网管设备属专管设备，必须严格控制其管理员密码。

第四十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份，按《************数据备份管理规定》执行备份有关工作。

第四十七条新建网络、网络改造或变更在投入使用前，科技信息部应制订相应的网络安全防范措施，组织对新建网络或改造后网络实施安全检验，未通过检验不允许投产使用。

第四十八条网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在节假日进行，同时做好配置参数的备份和应急恢复准备。

第四十九条网络管理员应按照省联社统一发布安全规范实施所负责网络的安全配置，并定期检查与规范的符合性。对网络设备配置命令和响应信息的完整性、合理性及保

密性必须进行验证。

第五十条与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，提出具体实施方案，并得到充分论证，经过科技信息部审核通过方可实施。

第五十一条网络管理人员应随时掌握监测网络运行状况，定期检查网络状况，双机热备对获得的信息进行分析，发现安全隐患应报告部门负责人。

第五十二条网络扫描、监测结果和网络运行日志等重要信息应备份存储。

第五十三条联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应及时处理。

第五十四条科技信息部人员严禁超越网络管理权限，非法操作业务数据信息，不得擅自设置路由与非相关网络进行连接。

第五十五条按照我行制定的相关网络安全技术规范要求，对办公用户网、测试网与生产网络实施严格的物理、逻辑隔离措施。

第五十六条对计算机网络和数据通信设备的停用、维修、重用和作废环节，应建立安全机制有效清除或销毁敏感信息，防止泄露。

第二节内网的使用管理

第五十七条由总行办公室(党办)统一为各级机构、各专业分配内部网络电子邮箱和即时通讯软件工具账号，用于日常信息传递。

第五十八条由总行办公室(党办)统一为各机构、各部门分配内部相关群组，用于实时信息传递。

第五十九条加强内网操作人员权限管理，严格按照权限规定办理业务，无关人员禁止使用内网。

第六十条接入内网的计算机未经科技信息部允许不准安装其它软件。

第六十一条接入内网的计算机禁止使用各种游戏、娱乐软件。

第六十二条严禁擅自将我行内网与外网直接连接。

（一）我行内网与企业外单位网络利用专线进行互连的方案，必须报我行总行科技信息部审批，经省联社相关部门同意后方可实施；

（二）我行专用网络与INTERNET互联网连接的方案，必须报总行科技信息部审批。不得同一台主机进行内外网切换，严格保持内、外网物理隔离。

第六十三条内网的网络设备用户访问内网网络资源应经过安全认证、合理授权。认证应采用高安全强度的认证方式，对用户的权限应合理规划，实现角色的分离和相互制约，限制用户权限尤其是超级用户权限的滥用和误用。

第六十四条防火墙策略的制定要严格按照相关网络技术规范进行，防火墙策略的变更应经过科技部部门审批。利用防火墙、防病毒、安全漏洞扫描、网络非法外联、网络入侵检测等软件和工具对获得的信息进行分析时，如发现安全事件，必须按照规定及时处理和报告，并对其日志进行保存和审计。

第六十五条严禁外单位（包括供应商和服务商等）通过专线或拨号方式对我行信息系统进行远程维护和技术支持。

第三节接入国际互联网管理

第六十六条各级机构办公场所禁止私自用各种方式接入互联网。确有特殊需要接入互联网的部门，必须由部门负责人提出书面申请，经主管领导审批，报科技信息部备案，方可接入。并严格保持内、外网物理隔离。

第六十七条使用国际互联网的安全管理

1．接入国际互联网的机器不得存有涉密金融数据信息，接入国际互联网的计算机上不得使用存有涉密金融数据信息的媒体。

2．从国际互联网下载的任何信息资源，未经检测并得到许可，不得在本行系统内网上使用。禁止访问或下载与工作无关的信息，禁止访问高风险网站，禁止安装、使用各类

游戏、娱乐软件。

3．接入国际互联网的计算机须安装防病毒系统，并定期升级。严禁利用互联网络传播病毒、散播非法信息、泄露国家和机构的机密。

5．本单位所属的国际互联网账号不得在本单位之外的其它场所使用。

6．国际互联网接入账户和密码必须实行专人管理，并不定期更换密码。

7．确有需要接入国际互联网的部门必须由负责人提出书面申请，送科技信息部初审，报分管行领导签批同意后方可接入。

8．使用国际互联网的所有用户应遵守国家有关法律法规和相关管理规定，不得从事任何违法违规活动。

9. 无线网络只允许访问国际互联网，严禁通过无线网络访问业务运行类系统，无线网络的应用开通范围需由本单位安全管理岗审核。

第六十八条各使用部门应自觉接受总行信息安全工作领导小组的监督检查。

第六章计算机安全保密管理

第一节计算机及相关产品安全管理

第六十九条涉密计算机要与公用网络实行物理隔离，不得与因特网、非保密的局域网、非涉密的单机等有任何形式的物理连接。

第七十条涉密计算机的使用要由专人负责管理，建立专门用户，并设立密码。

第七十一条计算机须安装具有实时监控病毒功能的防毒软件和防火墙产品，并及时升级。利用防毒软件，对需要在计算机使用的外来软盘、光盘等存储介质、下载的网络文件、电子邮件及其附件等进行病毒检查、清除。

第七十二条任何单位或个人不得在连接互联网的计算机或网络中存储、处理、传递、发布涉及国家秘密以及************内部商业秘密的信息，当发现信息泄漏，应立即向有关部门报告。

第七十三条进行互联网连接的单位和个人，应遵守国家有关法律、法规，严格执行安全保密制度，不得利用计算机国际互联网从事危害国家安全、泄漏国家秘密等违法犯罪活动；不得利用计算机国际互联网进行搜集、整理、窃取国家秘密的活动。

第七十四条各级单位和用户原则上不准开设电子公告系统、聊天室等，如确有需要必须上报有关部门审批、备案。

第七十五条用户使用电子邮件进行网上信息交流应

遵守国家有关保密规定，不得利用电子邮件传递、转发或抄送涉密信息。互联单位、接入单位如有邮件服务器，对其管理的邮件服务器用户应当明确保守国家秘密的要求。

第七十六条对于建立主页的单位，应与保密部门签订保密责任协议，并协助保密部门对其主页内容进行保密监督、检查，指定专人负责对信息内容的监督审查。

第七十七条由省计算机中心负责开发的软件产品、密钥及技术资料等要进行登记并妥善保管，严防泄漏，指定专人管理已开发的全部程序源码和技术资料，未经科技信息部主管领导批准，不得向外复制、销售、转让软件产品。

第七十八条对于操作系统、数据库、网络通讯及安全设备等重要区域均应设置口令，对记录密码的载体应严格管理，确保安全。

第二节数据信息的管理

第七十九条计算机的存储媒体要依据文件内容准确界定并标注涉密介质的密级和保密期限，按照所标密级和保密期限严格管理。密级和保密期限的界定标注方法等同于同内容的纸质文件。

第八十条必须加强数据信息处理全过程的安全管理，保证数据信息的保密性、完整性、可用性、可控性。数据信息的安全管理应做到：

1．严把数据信息采集关，确保真实、可靠、合法。

2．据实录入数据信息，严禁凭空输入，对数据信息的修改，必须得到有关部门的批准，并记录备案。

3．必须采用必要的技术措施保证数据信息传输过程的安全，应使用加密技术对涉密或重要的数据信息实施加密处理。

4．使用部门应按规定进行数据备份，并检查备份媒体的有效性，送往异地的重要数据磁盘、磁带必须有加密措施，严防泄漏。

5．在设备维修、报废过程中，要确保其中的数据信息的保密性、完整性。

第八十一条涉密媒体包括记录档案资料、软件、数据等的各种载体。保证涉密媒体信息的安全应做到：1．各种媒体的收集、保管、使用须按科技档案管理办法执行。

2．严格分级管理，在媒体使用上，根据媒体的密级，要做到分级使用、定人操作，保留在现场的媒体数量应是系统有效运行所需要的最小数量。

3．涉密数据在系统进行下载存贮过程中必须采取相应的加密技术措施。

4．涉密媒体的保管要防磁、防潮、防腐、防霉变，重要磁介质每年要进行翻录或复制，实行异地保管，时限四年。

5．涉密媒体的传递与外借，应有审批手续和传递记录，涉密媒体传递过程中，要采取必要的防复制及加密等安全措施。

6．涉密媒体必须按照有关保密管理规定进行管理，严格录入、查询、复制、传递、保管、归档、销毁等各环节的手续；同一媒体上不得混录密和非密信息，如果必须同时录用不同密级的信息，应按存储信息的较高密级进行管理并标明密级。

7．媒体要根据需要与存储环境定期进行循环复制备份，并进行登记；全部涉密媒体信息的转交、挪动和销毁，相关人员均须在场。

8．废弃媒体，相关部门应详细登记，妥善保管，每年底报请分管领导批准后，集中统一在保密管理人员监督下进行不可恢复性销毁。

第八十二条金融电子化系统中的信息应根据其重要性、密级、应用需求等分别实行相应的加密措施。对绝密级(金融电子化设计方案、金融主要业务的源代码、联行或电子汇兑密押、密钥的文字说明等),机密级（计算机网络设计方案、数据库设计说明、有关电子帐务数据文件、主要业务的目标程序等）,秘密级（省市级项目电报、会计报表、银行重要凭证及帐务等）等信息不得通过互联网传送，机密信息不得以明文形式传送。

第三节数据备份与恢复

第八十三条省计算机中心负责业务数据和系统方面的备份及恢复。各业务部门负责本部门重要业务数据和资料方面的备份和恢复。

第八十四条要确认备份操作准确无误后进行备份操作。各业务部门应将计算机信息数据备份媒体视同重要空白凭证，指定专人负责备份数据媒体的管理。备份数据媒体应按要求写明标识，要确保存放地的安全，并定期进行检查，确保数据的完整性、可用性。

第七章第三方访问和外包服务安全管理

第一节第三方访问控制

第八十五条本办法所称第三方访问是指************之外的单位和个人物理访问省计算机中心机房或者通过网络连接逻辑访问省计算机中心数据库和计算机系统等活动。

第八十六条省计算机中心负责涉密计算机系统和网络相关的第三方访问授权审批，科技信息部负责非涉密计算机系统和网络相关的第三方访问授权审批。未经************授权的任何第三方访问均视为非法入侵行为。

第八十七条允许被第三方访问的计算机系统和资源

企业信息安全管理办法

信息安全管理办法 第一章总则 第一条为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《公司信息化工作管理规定》，制定本办法。 第二条本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导，确定相关责任，设置相应岗位，配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，组织实施信息安全项目和培训，组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

信息安全管理规定

信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上，为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件）、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网）。 3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。 3.4 VPN：虚拟专用网络（Virtual Private Network，简称VPN），是指在公共网络上建立专用网络的技术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络交换设备的管理工作，及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计算机信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置，原则上不得设置成共用账号，以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时，所在部门的负责人应严格审核，控制授予满足其工作需要的最小权限；员工岗位或工作内容发生变化后应及时提出申请权限变更，应用系统管理员应及时变更异动员工的权限，冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即向信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。

企业信息安全保密管理办法

企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”，均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富，但信息又是一种无形的资产，客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害，需要加强对信息的保密管理，使公司所拥有的信息在经营活动中充分利用，为公司带来最大的效益，特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节，所以信息的保密管理，除了领导重视而且需全员参与，各个职能部门人员都要严格遵守公司信息保密制度，公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始，对有保密要求的文件、资料，在拟稿过程应按以下规定办理： 初稿形成后，要根据文稿内容确定密级和保密期限，在编文号时应具体标明。 草稿纸及废纸不得乱丢，如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等，必须同定稿一样对待，按保密原则和要求管理。 印制过程 秘密文件、资料，应由公司机要打字员打印，并应注意以下几点：要严格按照主管领导审定的份数印制，不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理，即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量，要求如下：复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。

绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人，检查信件封口是否被开启。 收文启封后，要清点份数，按不同类别和密级，分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向，并填写好发文通知单，封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的，可通过交换站进行，一律直送直取。 递送外地文件、资料，要通过机要交通或派专人递送。 凡携带秘密文件、资料外出，一般要有两人以上同行，必须装在可靠的文件包或箱内，做到文件不离人。 递送的秘密文件、资料，一律要包装密封，并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后，要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位（人）。凡需有关部门（人）承办的文件、资料，一律由文件经管部门办理。 绝密文件、资料，一般不传阅，应在特别设立的阅文室内阅读。 秘密文件、资料，不得长时间在个人手中保留，更不能带回家或公共场所。 要控制文件、资料阅读范围，无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时，要在卷宗的扉页标明原定密级，并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料，要及时清理上交或登记销毁，防止失散。 有密级的档案，要按保密文件、资料管理办法进行管理。 保密过程

信息安全管理制度

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

公司信息安全管理办法-XX公司

公司信息安全管理办法 一、目的 为了保护区域的整体利益和长远利益不受侵害，需要加强对公司内部信息的保密管理，使公司所拥有的信息在经营活动中充分利用，为公司带来最大的效益，使公司长期、稳定、高效地发展，适应激烈的市场竞争，特制定本管理办法。二、适用范围 本管理办法适用于公司所有员工。 三、职责 由于区域的信息贯穿在区域建设及经营活动的全过程和各个环节，所以信息安全的管理，除了领导重视而且需全员参与，各个项目/部门人员都要严格遵守公司信息管理办法规定的内容。 四、信息分类 区域信息包括但不局限于以下内容 1.公司所有内部系统账号密码安全（如： ERP、NC……等）。 2.公司员工内部沟通QQ群、微信群。 3.公司文件（包括所有电子版文件和纸质版文件。如：内部公文、会议资料、设计图纸、设计方案、合同、管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容……一切有关于公司利益的文件）。 五、管理要求 公司内部系统账号密码管理要求： 1.公司所有内部系统的个人账号密码不得随意给他人，如出现问题由账号本人负责。 2.员工离职时，人事部应该第一时间发起账号注销流程或通知离职员工所有项目/部门的行政管理人员发起账号注销流程，拒绝出现离职员工还存在能使用公

司内部系统账号密码权限。 公司员工内部沟通QQ群、微信群管理要求： 1.未经群管理人员同意不得随意邀请人进入沟通平台，如需要邀请必需经群管理人员同意。 2.进入QQ群、微信群的员工必需更改群名称，群名称格式为：项目/部门-姓名（如:设计部-张某某）。 3.员工离职时，人事部应该第一时间通知群管理人员将离职员工移出群。 公司文件安全管理规范要求： 1.员工必须具有保密意识，做到不该问的绝对不问，不该说的绝对不说，不该看的绝对不看。 2.严禁在公共场合、公用电话及网络公众平台上交谈、传递保密事项，不准在私人交往中泄露公司秘密。 3.员工发现公司秘密已经泄露或可能泄露时，应立即采取补救措施并及时报告区域项目/部门第一负责人，区域项目/部门第一负责人应立即作出相应处理。 4.区域或区域各项目/部门在开会过程中，如未经会议组织人员同意，不得随意拍照、摄像，包括相机、摄像机、手机等相关设备，一经发现，严厉惩罚当事人。 5.公司文件不得随意给无关人员查阅、复制或借出，特别是具有保密性的文件。 6.对草稿、初稿或过期文件不能随意乱丢，如无保留价值应及时销毁，必须同定稿一样对待，按保密原则和要求管理。 7.具有保密性的文件，区域各项目/部门需要指定人员做好保密工作，不能随意堆放及存放。 XX公司

员工信息安全规范

编号：SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：____________________ 审核：____________________ 批准：____________________ 本文档下载后可任意修改

员工信息安全规范 简介：该制度资料适用于公司或组织通过程序化、标准化的流程约定，达成上下级或不同的人员之间形成统一的行动方针，从而协调行动，增强主动性，减少盲目性，使工作有条不紊地进行。文档可直接下载或修改，使用时请详细阅读内容。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1）计算机信息登记与使用维护： 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置； 每位员工有责任保护公司的计算机资源和设备，以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式，一律采用AD域名_所属地区编号组成；

例如某台计算机名为SSSS_100201，SSSS为地区AD 域名，100为地区编号，201代表该地区第201个账户。 2）必须在所有个人计算机上激活下列安全控制： 所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。 3）当员工离开办公室或工作区域时： 必须立即锁定计算机或者激活带密码保护的屏幕保护程序； 如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域； 妥善保管所有包含公司涉密内容的文件，如锁进文件柜。 4）防范计算机病毒和其他有害代码： 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件； 员工必须开启防病毒软件实时扫描保护功能，至少每周进行一次全硬盘扫描，在网络条件许可的情况下每天进行一

信息安全管理制度

北京XXXXXXXXXXXXX 信息安全管理制度 制定部门：技术部与行政部 制定人：XXX 制定时间：2016.4.21

1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;

信息安全管理制度19215

信息安全管理制度 目录 1.安全管理制度要求 1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件应包括： a)安全岗位管理制度； b)系统操作权限管理； c)安全培训制度； d)用户管理制度； e)新服务、新功能安全评估； f)用户投诉举报处理； g)信息发布审核、合法资质查验和公共信息巡查； h)个人电子信息安全保护； i)安全事件的监测、报告和应急处置制度； j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括： 1.个人身份核查： 2.个人履历的核查： 3.学历、学位、专业资质证明： 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括： 1.上岗前的培训； 2.安全制度及其修订后的培训； 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程： a)及时终止离岗员工的所有访问权限； b)关键岗位人员须承诺调离后的保密义务后方可离开； c)配合公安机关工作的人员变动应通报公安机关。

公司信息安全管理制度

**企业信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行，保证公司机密文件的信息安全，保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神，把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括：服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称，IP地址分配，用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指：操作系统（如WINDOWS XP、WINDOWS7等）软件。 5、平台软件是指：鼎捷ERP、办公用软件（如OFFICE 2003）等平台软件。 6、专业软件是指：设计工作中使用的绘图软件（如Photoshop等）。 第三条职责 1、信息中心部门为网络安全运行的管理部门，负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行；服务器安全运行和数据备份；Internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度，严守公司商业机密。 5、员工执行计算机安全管理制度，遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时，必须遵守《计算机信息网络国际联网安全保护管理办法》的规定，应遵守国家法律、法规，加强信息安全教育。

企业信息安全管理条例

信息安全管理条例第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液，它的存在方式各异。可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠道的威胁，威胁到信息的安全性。这些威胁可能来自内部，外部，意外的，还可能是恶意的。随着信息存储、发送新技术的广泛使用，信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙，或者找一个24小时提供信息安全服务的公司就可以达到的，它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面的信息管理，使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理，涉及到人，程序和信息科技系统。 改善信息安全水平的主要手段有： 1)安全方针：为信息安全提供管理指导和支持； 2)安全组织：在公司内管理信息安全； 3)资产分类与管理：对公司的信息资产采取适当的保护措施； 4)人员安全：减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险； 5)实体和环境安全：防止对商业场所及信息未授权的访问、损坏及干扰；

6)通讯与运作管理：确保信息处理设施正确和安全运行； 7)访问控制：妥善管理对信息的访问权限； 8)系统的获得、开发和维护：确保将安全纳入信息系统的整个生命周期； 9)安全事件管理：确保安全事件发生后有正确的处理流程与报告方式； 10)商业活动连续性管理：防止商业活动的中断，并保护关键的业务过程免受重大故 障或灾害的影响； 11)符合法律：避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。 1.2、信息安全建设的原则 1)领导重视，全员参与； 2)信息安全不仅仅是IT部门的工作，它需要公司全体员工的共同参与； 3)技术不是绝对的； 4)信息安全管理遵循“七分管理，三分技术”的管理原则； 5)信息安全事件符合“二、八”原则； 6)20%的安全事件来自外部网络攻击，80%的安全事件发生在公司内部； 7)管理原则:管理为主，技术为辅，内外兼防，发现漏洞，消除隐患，确保安全。

企业信息安全管理制度(试行)

XX公司信息安全管理制度（试行） 第一章总则 第一条为保证信息系统安全可靠稳定运行，降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁，结合公司实际，特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责： 一、信息中心 （一）负责组织和协调XX公司的信息系统安全管理工作； （二）负责建立XX公司信息系统网络成员单位间的网络访问规则；对公司本部信息系统网络终端的网络准入进行管理； （三）负责对XX公司统一的两个互联网出口进行管理，配置防火墙等信息安全设备；会同保密处对公司本部互联网上网行为进行管理； （四）对XX公司统一建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，界定两级单位信息安全管理责任； （五）负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 （一）负责人力资源安全相关管理工作。 （二）负责将信息安全策略培训纳入年度职工培训计划，并组织实施。 三、各部门 （一）负责本部门信息安全管理工作。 （二）配合和协助业务主管部门完善相关制度建设，落实日常管理工作。 四、所属各单位 （一）负责组织和协调本单位信息安全管理工作。 （二）对本单位建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，报XX公司信息中心备案。

第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则： 一、主要领导人负责原则； 二、规范定级原则； 三、依法行政原则； 四、以人为本原则； 五、注重效费比原则； 六、全面防范、突出重点原则； 七、系统、动态原则； 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规，组织制定公司信息安全策略，经主管领导审批发布后，对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容： 一、信息网络与信息系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略； 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究，以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点，及时调整安全策略； 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略，并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审，必要时组织修订；当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则，公司建立信息安全分级责任制，各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求： 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管

信息安全管理办法

银行 信息安全管理办法 第一章总则 第一条为加强*** （下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。 第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员，

配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作： （一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。 （二）审核信息化建设项目中的安全方案，组织实施信息安

员工信息安全管理规定练习题

1.在公司办公区域内，如发现未佩戴胸卡或可疑人员进入，公司员工有责任和权利要求其出示胸牌或有效授权证明，如确认其是非授权进入，需立即向公司（）或（）汇报。 1.部门负责人 2.公司保安 3.人力资源部 4.公司行政部和部门信息专员 2.在信息系统使用规定中,明文规定员工不得使用（）的软件 1.未经公司授权 2.已被授权 3.开源 4.试用版 3.公司禁止使用工作计算机扫描网络、进行网络嗅探，什么情况除外？ 1.为了个人电脑安全,搜查同事电脑是否感染病毒 2.该工作属于工作职责范围 3.帮助同事 4.个人具备网管工作能力 4.计算机系统的安全保护是指保障计算机及其相关、配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以( ) 1.保证计算机信息系统各项配套设施的正常运作 2.维护计算机信息系统的安全运行 3.降低计算机损耗，保持正常运营 4.保证环境对信息系统的破坏降到最低 5.操作系统TCP/IP配置为( )，非特殊要求不得私自设立IP地址 1.IT管理部指定 2.个人设定 3.自动获取 4.192.168.0.X 6.网上信息发布,以下哪些行为违反公司信息安全管理规定: 1.在个人博客上发布项目信息 2.在公开论坛上私自代表公司发布信息 3.使用私人笔记本电脑在公司上网参与网络赌博 4.以上说法都不对

7.仅有（）的员工可以使用公司办公设备 1.经过授权 2.未经过授权 3.所有员工 4.行政部员工 8.操作系统计算机名必须与工作计算机资产标签上的编号保持一致。如因（），需要向IT管理部说明，获得IT管理部同意后方可使用特殊计算机名。 1.个人域帐户名 2.特殊要求不能保持一致 3.考勤打卡号 4.个人邮箱帐号 9.对于远程连接和远程访问控制必须为访问控制的账户设定密码，口令长度应遵循以下哪些规则？ 1.口令的长度应不低于4位 2.口令的长度应不低于6位 3.口令应由大小写字母,数字或特殊字符组成 4.口令中只能包含数字 10.员工日常办公信息处理的设备包括( )等 1.复印机 2.传真机 3.碎纸机 4.打印机 11.在员工工作计算机管理规定中,明文规定禁止将机密信息保留在( ) 1.共用存储介质 2.公用电脑上 3.个人工作用电脑上 4.申请并批准使用的移动存储介质 12.《员工信息安全管理规定》适用的范围是:( ) 1.公司的计算机设备安全 2.员工个人财产和人身安全 3.公司内所有员工，和在公司安全区域内工作的外协人员和客户的计算机信息系统及信息数 据 4.客户的计算机和设备

网络与信息安全管理条例

信息安全要从法律、管理和技术三个方面着手 第一章信息安全概述 第一节信息技术 一、信息技术的概念 信息技术（Information Technology，缩写IT），是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术（Information and Communications Technology, ICT）。主要包括传感技术、计算机技术和通信技术。 有人将计算机与网络技术的特征——数字化、网络化、多媒体化、智能化、虚拟化，当作信息技术的特征。我们认为，信息技术的特征应从如下两方面来理解： 1. 信息技术具有技术的一般特征——技术性。具体表现为：方法的科学性，工具设备 的先进性，技能的熟练性，经验的丰富性，作用过程的快捷性，功能的高效性等。 2. 信息技术具有区别于其它技术的特征——信息性。具体表现为：信息技术的服务主 体是信息，核心功能是提高信息处理与利用的效率、效益。由信息的秉性决定信息技术还具有普遍性、客观性、相对性、动态性、共享性、可变换性等特性。 二、信息技术的发展 信息技术推广应用的显著成效，促使世界各国致力于信息化，而信息化的巨大需求又驱使信息技术高速发展。当前信息技术发展的总趋势是以互联网技术的发展和应用为中心，从典型的技术驱动发展模式向技术驱动与应用驱动相结合的模式转变。 微电子技术和软件技术是信息技术的核心。 三网融合和宽带化是网络技术发展的大方向。 互联网的应用开发也是一个持续的热点。 三、信息技术的应用 信息技术的应用包括计算机硬件和软件，网络和通讯技术，应用软件开发工具等。计算机和互联网普及以来，人们日益普遍地使用计算机来生产、处理、交换和传播各种形式的信息（如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等）。 第二节信息安全 一、信息安全的概念 保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。 信息安全的任务： （1）可获得性 （2）授权与密钥管理 （3）身份识别与完整性 信息不安全因素 物理不安全、网络不安全、系统不安全、管理不安全 信息安全的对策与措施 对策：系统边界、网络系统、主机 措施：（1）发展和使用信息加密技术：文件加密技术、存储介质加密技术、数据库加密方法； （2）采取技术防护措施：审计技术、安全协议、访问控制技术； （3）行政管理措施：加强对计算机的管理、加强对人员的管理 二、信息安全基本特性

科技公司信息安全管理制度

信息安全管理制度 第一章总则 第一条为了建立、健全的信息安全管理制度，按照相关的国家标准，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照信息安全管理制度的相关规定执行，改进信息安全管理制度的有效性，特制定信息安全策略文档。 第二条本文档适用于公司信息安全管理活动。 第二章信息安全范围 第三条信息安全策略涉及的范围包括： 1．单位全体员工。 2．单位所有业务系统。 3．单位现有信息资产，包括与上述业务系统相关的数据、硬件、软件、服务及文档等。 4．单位办公场所和上述信息资产所处的物理位置。 第三章信息安全总体目标 第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作，制定适合单位的风险控制措施，有效控制信息系统面临的安全风险，保障信息系统的正常稳定运行。 第四章信息安全方针 第一条单位主管领导定期组织相关人员召开信息安全会议，对有关的信息安全重大问题做出决策。 第二条清晰识别所有资产，实施等级标记，对资产进行分级、分类

管理，并编制和维护所有重要资产的清单。 第三条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全，并加强对外单位人员访问信息系统的控制．降低系统被非法入侵的风险。 第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能，定期进行审计并作相应的记录。 第五条明确全体员工的信息安全责任，所有员工必须接受信息安全教育培训，提高信息安全意识。针对不同岗位，制定不同等级培训计划，并定期对各个岗位人员进行安全技能及安全认知考核。 第六条建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息安全事故的流程，并使所有的员工和相关方都能理解和执行事故处理流程，同时妥善保存安全事件的相关记录与证据。 第七条对用户权限和口令进行严格管理，防止对信息系统的非法访问。 第八条制定完善的数据备份策略，对重要数据进行备份。数据备份定期进行还原测试，备份介质与原信息所在场所应保持安全距离。第九条与外单位的外包（服务）合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容，并采取相应措施严格保证对协议安全内容的执行。 第十条在开发新业务系统时，应充分考虑相关的安全需求，并严格控制对项目相关文件和源代码等敏感数据的访问。 第十一条定期对信息系统进行风险评估，并根据风险评估的结果采取

信息安全管理制度

信息安全管理制度 第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室（下属单位）在向委网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；

3、各信息应用科室（单位）对本单位所负责的信息必须作好备份； 4、各科室（单位）应对本部门的信息进行审查，网站各栏目信息的负责科室（单位）必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告； 5、涉及国家秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行； 6、涉及国家秘密信息，未经委信息安全分管领导批准不得在网络上发布和明码传输； 7、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。 第四条信息加密 1、涉及国家秘密的信息，其电子文档资料应当在涉密介质中加密单独存储； 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储； 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储；； 4、涉及国家秘密、国家与部门利益和社会安定的秘密信

公司信息安全管理制度【最新】

公司信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的，经批准许可的方能使用自已的计算机)，不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使

用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面)，同时定期做好相应备份，以防丢失;不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料，使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管;若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。

信息安全管理办法-政府部门要求

信息安全管理办法 目录 1 信息安全组织管理 (1) 2 日常信息安全管理 (1) 4.1 基本要求 (1) 4.2 人员管理 (1) 4.3 资产管理 (2) 4.4 采购管理 (2) 4.5 外包管理 (2) 4.6 经费保障 (2) 3 信息安全防护管理 (3) 5.1 基本要求 (3) 5.2 网络边界防护管理 (3) 5.3 信息系统防护管理 (3) 5.4 门户网站防护管理 (3) 5.5 电子邮件防护管理 (3) 5.6 终端计算机防护管理 (4) 5.7 存储介质防护管理 (4) 4 信息安全应急管理 (4) 5 信息安全教育培训 (4) 6 信息安全检查 (5)

1 信息安全组织管理 本项要求包括： a)应加强领导，落实责任，完善措施，建立健全信息安全责任制和工作机制； b)应明确一名主管领导，负责本单位信息安全管理工作，根据国家法律法规有关要求，结合实际组织制定信息安全管理制度，完善技术防护措施，协调处理重大信息安全事件； c)应指定一个机构，具体承担信息安全管理工作，负责组织落实信息安全管理制度和信息安全技术防护措施，开展信息安全教育培训和监督检查等； d)各内设机构应指定一名专职或兼职信息安全员，负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心，掌握基本的信息安全知识和技能。 2 日常信息安全管理 2.1 基本要求 本项要求包括： a)应制定信息安全工作的总体方针和目标，明确信息安全工作的主要任务和原则； b)应建立健全信息安全相关管理制度； c)应加强对人员、资产、采购、外包等的安全管理，并保证信息安全工作经费投入。 2.2 人员管理 本项要求包括：

信息安全奖惩管理办法

信息安全奖惩管理办法 1.目的 明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升。 2.适用范围 本规范适用于深圳市XX公司 (后续简称为公司)。 3.定义 4.职责与权限

5.内容 5.1奖励、违规行为处罚原则 5.1.1及时激励原则 对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。 5.1.2举报保密原则 对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。 5.1.3违规行为处罚原则 5.1.3.1法律追究原则 公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。 5.1.3.2违规分级原则 根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。 5.1.3.3主动从宽原则 产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。

5.1.3.4过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚。 5.1.3.5及时处理原则 对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。 5.2奖励等级与责任部门 5.2.1奖励等级与措施 5.2.2奖励责任部门 1）对于满足信息安全奖励标准的集体或者个人，IT部信息安全组可根据具体事迹定期进行申报，审批通过后由人力资源部根据公司财务制度进行发放奖金；