信息安全管理操作规范
计算机信息安全管理规范
计算机信息安全管理规范目的:确保所有信息安全,防止公司重要数据泄露到允许范围以外。
规范计算机的管理,使之安全、稳定、可靠环境下运行。
一:病毒防护1、基本要求(1)严禁增删硬盘上的应用软件和系统软件,不得随意安装非工作需要的应用软件;软件安装必须通过IT部来完成;(2)所有计算机均不得安装游戏软件;(3)从软盘或光盘复制数据之前必须先用杀毒软件进行查杀,确保无毒后使用;(4)任何人不得向他人提供含有计算机病毒的文件、软件、媒体;(5)任何人在从INTERNET或INTRANET上复制文件前均应先行杀毒;(6)任何人不得通过互联网访问反动、色情、邪教等非法站点;(7)任何人未经同意,不得使用他人的电脑,公用电脑除外;(8)业务数据、文件应严格按照要求妥善存储在网络上相应的位置或本地硬盘上;(9)使用人在离开电脑前应先退出系统锁定电脑或关机。
2、监管措施(1)由公司IT部负责所有计算机的病毒检测和清查工作;(2)按照病毒防范(含检测周期、时间、方式、工具及责任人)规范实施杀毒措施;(3)工作时间内INTERNET只对必需部门和员工开放,如因工作需要可提出申请,经批准后方可开通;(4)使用网络版杀毒软件,确保全网自动安装、全网自动升级,采用集中式管理、分布式杀毒的方式,大大提高全网查杀病毒的效率;(5)由IT部负责对防病毒措施的落实情况进行监督。
二:硬件保护及保养1、基本要求(1)除公司IT部外,任何人不得随意拆卸所使用的电脑或相关的电脑设备;(2)各计算机的硬件配置统一由IT部负责,任何部门或个人不得私自更改配置或调换;(3)IT部人员在拆卸电脑时,必须采取必要的防静电措施;(4)IT部人员在作业完成后或准备离开时,必须将所拆卸的设备复原;(5)员工对自己所使用的电脑负有日常清洁维护的责任,应按标准操作规范操作电脑,定期进行维护清洁,保持所用电脑及外设始终处于整洁和良好的状态;(6)对关键的电脑及设备应配备必要的断电继电设施以保护电源;(7)硬件设施或加密狗(与USB接口的设施除外)不得带电插拔;(8)应保持设备及其所在环境的清洁,不准在主机和显示器等设备上放置任何物品,下班时,务必关机切断电源。
信息安全服务管理规范
信息安全服务管理规范信息安全服务管理规范(ISMS)是指在组织内建立和实施一套持续不断的信息安全管理机制、流程和方法,旨在确保组织能够对信息资产进行全面的管理和保护。
该规范可以涵盖从信息安全政策制定到信息安全事件响应的全过程,为组织提供一种科学、规范的管理方式,以确保信息安全工作的有效实施。
一、规范制定与实施1.组织应根据自身的信息安全需求制定并定期更新信息安全策略,以确保信息资产得到合理的保护。
2.组织应制定详细的信息安全管理流程、规程和方法,以确保信息安全管理工作的规范实施。
3.组织应确保信息安全管理流程、规程和方法能够与组织内部其他管理系统相衔接,形成一个完整的管理体系。
4.组织应指定信息安全管理人员,负责信息安全管理工作的日常运行和监督。
二、信息资产管理1.组织应对所有的信息资产进行全面的分类、识别和管理,并建立相应的信息资产清单。
2.组织应对信息资产进行风险评估,根据风险评估结果确定相应的信息安全控制措施。
3.组织应对信息资产进行定期的备份和恢复,以确保信息资产的完整性和可用性。
4.组织应对信息资产进行访问控制,建立适当的权限和访问控制机制,以防止未经授权的访问和使用。
三、人员管理1.组织应对所有员工进行信息安全教育和培训,提高员工的信息安全意识和技能。
2.组织应制定并实施人员离职时的信息安全处理程序,以确保离职员工不再具有对信息资产的未授权访问权限。
3.组织应建立信息安全意识培训的考核机制,对参与培训的员工进行考核,以确保培训效果的达到。
四、物理环境管理1.组织应确保信息系统和信息资产得到合理的物理保护,确保信息系统和信息资产的安全性和可用性。
2.组织应对机房、服务器及其他重要信息系统设备进行定期巡检和维护,确保设备的正常运行。
3.组织应确保机房和其他重要区域设有门禁和监控系统,以防止未经授权的人员进入,并对设备和区域进行实时监控。
五、安全事件管理1.组织应建立完善的安全事件管理流程,对信息安全事件进行及时的响应和处置。
信息安全管理规范和保密制度(5篇)
信息安全管理规范和保密制度是组织内部为确保信息资产的安全性和保密性而制定的一套具体规范和制度。
它旨在规范和管理组织内部信息系统和信息资产的使用、存储和传输,提高信息安全管理水平,防范各类信息安全威胁,保护组织的核心利益和用户的权益。
下面将就信息安全管理规范和保密制度的主要内容展开阐述,以期为组织制定相关规范和制度提供参考。
一、信息安全管理规范1. 信息资产分类和保护a. 将信息资产按照重要程度、敏感程度和机密程度进行分类,建立相应的保护措施。
b. 制定信息资产的使用规则,明确各级用户对各类信息资产的访问权限和使用规范。
c. 防止信息资产的非法获取、篡改、毁损等行为,建立相关防护机制和安全措施。
2. 密码管理a. 建立合理的密码策略,包括密码的长度、复杂度和过期时间等要求。
b. 严格控制密码的分发和访问权限,确保只有授权用户能够使用密码。
c. 提供密码更改和重置的方式,确保丢失或泄露的密码能够及时更新。
3. 网络安全管理a. 建立网络安全策略,包括网络架构、设备安全配置和网络访问控制等。
b. 定期对网络设备和系统进行漏洞扫描和安全评估,及时修补漏洞和强化安全措施。
c. 保护网络通信的机密性和完整性,采用加密算法和安全传输协议等技术手段防止信息泄露和篡改。
4. 应用系统安全管理a. 建立应用系统的访问控制和操作审计机制,确保用户的合法性和操作的可追溯性。
b. 限制应用系统的访问权限和功能权限,确保用户只能访问其需要的功能和数据。
c. 对应用系统进行安全评估和渗透测试,及时发现和修复潜在的安全隐患。
5. 物理安全管理a. 建立物理访问控制措施,限制只有授权人员才能进入信息系统存储和处理区域。
b. 对信息系统和存储介质进行安全防护,采用监控设备和防盗设备等物理手段防止物理攻击和丢失。
二、保密制度1. 保密责任和义务a.明确组织内部人员的保密责任和义务,包括对隐私和商业机密的保护。
b.制定保密责任和义务方面的行为准则,防止信息泄露和滥用。
信息安全管理规范和保密制度范例(6篇)
信息安全管理规范和保密制度范例信息安全保密管理制度第一条为处理网站信息资源发布过程中涉及的办公____信息和业务____信息,特制定本制度。
第二条网站应建立规范的信息采集、审核和发布机制,实行网站编辑制度。
第三条各部门要设立网站信息员负责向网站编辑报送本部门需要公开发布的信息。
第四条策划部网络信息组负责指导全公司各部门网站信息员的保密技术培训,落实技术防范措施。
第五条凡需要发布上网的信息资源必须遵循“谁发布,谁负责;谁主管,谁管理”的原则。
第六条各部门要有一名领导主管此项工作。
要指定专人负责上网信息的保密检查,落实好保密防范措施,定期对本部门网站信息员进行保密教育和管理。
第七条拟对外公开的信息,必须经本部门分管负责人____同意并对上传的内容进行登记建档后方可发布上网,重要信息还需经公司____管理小组审核确认。
第八条对互动性栏目要加强监管,确保信息的健康和安全。
以下有害信息不得在网上发布1、____宪法所确定的基本原则的;2、危害国家安全、泄露国家____、____、破坏国家统一的;3、损害国家荣誉和利益的;4、煽动民族仇恨、民族歧视、____的;5、破坏国家____政策,宣扬____和封建迷信的;6、散布谣言,扰乱社会秩序,破坏社会稳定的;7、散布____秽、____、____、____、凶杀、____或教唆犯罪的;8、侮辱或者诽谤他人,侵害他人的合法权益的;9、含有法律、行政法规禁止的其他内容的。
第九条网站必须设置不良信息过滤程序对信息进行甄别、筛选、把关,防止虚假、反动、____秽信息发布到网上。
第2页共2页第十条公司____信息一律不得在与国际网络连接的计算机系统中存储、处理和传输。
第十一条网站应当设置网站后台管理及上传的登录口令。
口令的位数不应少于____位,且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。
严禁将各个人登录帐号和____泄露给他人使用。
第十二条网站应当设置合理的管理权限。
IT部信息安全管理与网络设备使用规范
IT部信息安全管理与网络设备使用规范在现代信息技术高度发达的背景下,信息安全管理以及网络设备使用规范成为IT部门不可忽视的重要课题。
本文将探讨IT部门在信息安全管理和网络设备使用方面的规范要求,旨在确保企业网络环境的安全稳定运行。
一、信息安全管理规范1. 密码安全首先,IT部门应制定并严格执行密码安全规范。
包括但不限于以下要求:(1)密码复杂度要求:密码应包含至少8位字符,包括大写和小写字母、数字以及特殊字符;(2)定期更改密码:用户密码应定期更改,建议每3个月更换一次;(3)禁止共享密码:严禁用户将密码共享或泄露给他人,用户需对自己的账号和密码的安全负责。
2. 系统访问控制为确保系统的安全性,IT部门需建立健全的系统访问控制规范,包括但不限于以下方面:(1)权限管理:根据岗位职责和业务需求,将用户划分为不同的权限组,且权限应按需授权,严禁赋予不必要的权限;(2)访问日志记录:系统应具备完善的访问日志记录功能,记录用户的登录和操作行为,以便日后审计和追责;(3)远程访问控制:对于需要远程访问的用户,应采取额外的安全措施,如VPN等加密通道进行连接。
3. 数据备份与恢复IT部门应制定数据备份与恢复规范,确保数据的安全可靠性,以应对意外数据丢失或系统故障等情况。
具体规范如下:(1)定期备份:对关键数据进行定期备份,备份频率根据数据的重要性而定;(2)备份验证:备份数据应进行验证以确保备份文件完整无误,备份文件的存储位置应安全可靠;(3)灾难恢复计划:IT部门应制定完善的灾难恢复计划,包括数据恢复的流程、责任人以及测试和演练等。
二、网络设备使用规范1. 设备配置管理IT部门应建立网络设备配置管理规范,以确保设备的合理配置和安全运行。
具体规范包括但不限于以下要求:(1)设备命名规范:对设备进行统一的命名标准,以便管理和维护;(2)设备登记备案:对每台设备进行登记备案,记录设备的基本信息、购买时间、保修期限等;(3)设备配置备份:对设备的配置进行备份,以便在需要时能够快速恢复设备配置;(4)设备升级和维护:定期检查设备的版本信息,及时进行升级和维护,确保设备的安全性和稳定性。
信息安全管理规范
信息安全管理规范一、引言信息安全管理规范是为了保护组织的信息资产,确保其机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险而制定的一系列规范和措施。
本文将详细介绍信息安全管理规范的制定目的、适合范围、定义、原则、责任和具体措施等内容。
二、目的本信息安全管理规范的目的是为了确保组织的信息资产得到妥善保护,防止信息泄露、篡改和破坏等安全风险,提高信息系统和网络的安全性和可靠性,保障业务的正常运行。
三、适合范围本信息安全管理规范适合于组织内的所有员工、合作火伴和供应商,涵盖所有的信息系统和网络,包括但不限于计算机、服务器、网络设备、数据库、应用程序等。
四、定义4.1 信息资产:指组织拥有的所有信息,包括但不限于电子文档、数据库、软件、硬件设备等。
4.2 信息安全:指确保信息的机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险。
4.3 信息安全管理:指对信息安全进行规划、组织、实施、监控和改进的过程。
4.4 信息安全事件:指可能导致信息资产受到威胁、损失或者破坏的事件,包括但不限于病毒攻击、网络攻击、数据泄露等。
五、原则5.1 领导承诺:组织的领导应对信息安全工作赋予足够的重视,并提供必要的资源和支持。
5.2 风险管理:组织应通过风险评估和风险处理等手段,识别和评估信息安全风险,并采取相应的措施进行管理和控制。
5.3 安全意识培训:组织应定期开展信息安全意识培训,提高员工对信息安全的认识和理解。
5.4 安全控制措施:组织应建立和完善信息安全管理体系,采取合理的安全控制措施,确保信息资产的安全性。
5.5 持续改进:组织应不断改进信息安全管理体系,提高信息安全管理水平。
六、责任6.1 高层管理人员:负责制定信息安全策略和目标,确保信息安全工作的有效实施。
6.2 信息安全管理部门:负责制定、实施和监督信息安全管理措施,协调各部门的信息安全工作。
6.3 部门经理:负责本部门的信息安全工作,确保信息资产得到妥善保护。
公司信息安全管理制度五篇
公司信息安全管理制度五篇公司信息安全管理制度五篇_公司网络安全管理制度范本信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及erp、crm、wms、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。
下面是小编整理的公司信息安全管理制度,供你参考,希望能对你有所帮助。
★公司信息安全管理制度11.计算机设备安全管理1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。
未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储重要的文件和工作资料不允许保存在c盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器p盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。
2.2文件加密涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动严禁任何人员以个人介质光盘、u盘、移动硬盘等外接设备将公司的文件资料带离公司。
信息安全管理规范
信息安全管理规范一、引言信息安全是现代社会高度关注的重要问题,各类组织和企业都面临着信息泄露、数据丢失、黑客攻击等安全风险。
为了确保信息系统的安全性和可靠性,本文档旨在制定一套信息安全管理规范,以指导组织内部的信息安全管理工作。
二、范围本规范适合于本组织内的所有信息系统和相关信息资源,包括但不限于计算机网络、服务器、数据库、应用程序、存储设备等。
三、信息安全政策1. 组织应制定明确的信息安全政策,并将其在组织内部广泛宣传,以确保所有员工都了解和遵守该政策。
2. 信息安全政策应包括对信息安全目标、责任分工、风险管理、合规要求等方面的规定。
四、信息资产管理1. 组织应对所有信息资产进行分类、归档和标记,确保其价值、敏感性和保密性的合理评估。
2. 组织应制定信息资产管理流程,包括信息资产的获取、使用、存储、传输和处置等环节的规定。
五、访问控制1. 组织应制定访问控制策略,确保惟独授权的用户可以访问相应的信息资源。
2. 组织应采取适当的措施,如密码策略、身份认证、访问权限管理等,确保访问控制的有效性。
六、网络安全1. 组织应建立防火墙、入侵检测系统、网络流量监控等安全设施,确保网络的安全性和稳定性。
2. 组织应定期对网络进行安全扫描和漏洞评估,及时修补安全漏洞,防止黑客攻击和恶意软件的侵入。
七、安全事件管理1. 组织应建立安全事件管理流程,包括安全事件的报告、调查、处理和应急响应等环节。
2. 组织应定期进行安全事件演练,提高员工对安全事件的应对能力和反应速度。
八、物理安全1. 组织应对信息系统所在的物理环境进行安全评估,并采取相应的物理安全措施,如门禁系统、监控摄像头等。
2. 组织应定期检查和维护信息系统的物理安全设施,确保其正常运行和有效性。
九、备份与恢复1. 组织应制定备份和恢复策略,确保重要数据的备份和恢复工作得以顺利进行。
2. 组织应定期测试备份数据的完整性和可恢复性,以确保备份方案的有效性。
十、培训与意识提升1. 组织应定期组织信息安全培训,提高员工对信息安全的意识和知识。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理操作规范(初稿)一、目的为了保护圆融光电公司的自主知识产权,保证圆融光电公司所有数据的安全、信息系统和计算机本身的稳定以及规范管理员工的行为操作,特制定本操作规范。
二、定义1.信息系统:指网络系统、软件及软件系统、硬件及服务器等,不包括公司内生产专用设备自带的控制系统2.信息安全:指物理安全、数据安全、信息系统安全;3.合同方:是指与圆融光电公司签订相关合作合同的外部单位或组织;4.外来信息化设备:非圆融光电公司(资产的信息化设备,如供应商及员工个人的笔记本电脑、台式电脑等。
三、范围1.适用范围:圆融光电公司所有部门;2.网络组成部分包括下述内容:2.1.可以输出话音和电子信息的所有电缆;2.2.可以控制话音通讯和电子信息通讯的,以及所有可用于控制信息流的计算机;2.3.所有计算机部件,包括(但不仅限于)--显示器、机箱、存储计算机、调制解调器、内存芯片、键盘、鼠标、网卡和电缆;2.4.所有计算机软件;2.5.所有输出计算机,包括便携式计算机、台式机及图形工作站、打印机和传真机;四、职责1.信息部:1.1.负责圆融光电公司信息网络的整体安全体系设计及需求分析、整体网络安全项目实施、策略部署及信息安全项目相关文件的归档管理;1.2.负责圆融光电公司信息安全相关制度及流程的建设;1.3.负责对计算机信息系统安全保密方面的薄弱环节进行评估,并提出整改措施。
2.圆融光电公司各部门2.1.将信息安全作为工作的一部分,纳入年度及月度工作中;2.2.负责执行公司相关信息安全制度及流程;2.3.负责配合完成各项信息安全建设工作。
五、内容1.信息机房管理1.1.日常管理工作人员应认真阅读机房管理条例,执行机房的各项规章制度和管理办法;定期检查安全保障计算机,确保其处于正常工作状态;建立并严格执行机房管理制度,无关人员未经安全责任人批准严禁进出机房;注意安全用电,任何人启动计算机前应检查通电情况,若有不正常现象应立即通知管理人员;使用计算机应按其性能正规操作,严禁用湿物接触电源、电器、以免发生意外;经常检查门窗、插销、门锁是否完好,发现问题及时处理,做好防盗工作;加强计算机的安全防范工作,保持室内清洁、干燥、空气疏通、安全用电、注意防火、防盗、防尘;保持机房安静,严禁在机房内大声喧哗、吵闹;对出现意外、设备及安全事故的,按公司《安全生产管理手册》中相应规定执行;2.用户操作安全管理本规定是对网络用户在使用企业信息网络时需要遵守的安全规范进行定义。
2.1.操作人员不得利用国际互联网从事危害国家安全、泄露国家秘密、泄漏公司秘密等违法犯罪活动;2.2.严格遵守上机操作规范,不得携带非法、盗版及未经网络管理人员许可的光盘及各种软件上机使用;2.3.进入互联网后,上网人员应遵守国家有关法律和公司保密管理制度:不得擅自进入未经许可的计算机系统或改动他人信息;不得在网络上散发恶意信息、冒用他人名义发送信息、侵犯他人隐私;不得制作、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动;不得浏览、发布、拷贝有关淫秽、迷信、反动等不健康的内容或无故向他人发送恶意的挑衅性的邮件和商业广告;由此造成的一切法律责任均由用户本人负责;2.4.所有的网络维护操作,包括对桌面系统配置的修改,都只能由信息部相关技术工程师执行,其他各部门员工或合同方,都不允许修改系统及公司提供其使用的工作站;下列行为是违规的,且被认为是对系统修改的行为:把信息系统的网络引线接到其他地方;打开系统的机箱或封盖;安装任何与工作无关的软件,包括从因特网上下载的软件;卸载和更换计算机的各类驱动、杀毒软件及防火墙;2.5.设置强有力的口令保护政策;各部门员工都应使用唯一的登录名访问网络资源,口令用于保护只有经过合法授权的用户才能够使用相应的登陆访问网络资源。
各部门员工都应对自己的或者他人的口令保守秘密。
口令的使用应遵守下列规定:口令最少由7个字母和数字混合组成;各部门员工应每90天更改一次口令。
信息部需通过技术手段实现口令到期后的提醒,各部门员工在看到提醒后,必须按要求及时进行更改;公司的每台计算机和服务器在发放前,信息部就必须做好锁屏设置,责任人在使用过程中不得擅自更改,人员离开计算机必须立即锁定屏幕;口令由个人保管,各部门员工不得把口令记录在纸上,或者告诉其他人。
各部门员工的直接上司、人事部门人员或安全管理人员在场的情况下,该各部门员工可以根据要求交出口令,人事负责人在得知员工离职时,必须要求起将计算机口令交至本部门信息化管理员处。
公司保留追查各部门员工因未能按照上述规定保守自己的口令秘密,并对公司造成损失的权利;2.6.重要岗位的登陆过程应增加必要的限制措施,每周检查主机登陆日志,及时发现不合法的登陆情况;2.7.各部门员工不得利用各种技术从事用户帐户及口令的侦听、盗用活动,对类似活动圆融光电公司保留追究法律责任的权利;2.8.信息部对公司信息系统所用的软、硬件建立操作记录管理制度,实际按日记录管理;2.9.信息部系统管理员日常操作严格执行计算机操作上岗制度,每日如实对企业信息系统及中断运行情况进行记录;2.10.信息部各系统管理员对所负责的系统的运行情况及使用情况按日记录,并对操作人员维护情况进行检查、汇总,及时发现问题、解决问题,保证系统运行良好;2.11.各部门员工应配合信息部完成计算机入域工作,不得私自退出域、不得以任何方式修改本地管理员密码及登陆本地计算机;2.12.各部门每月至少需要组织一次信息安全自查工作,具体参照《信息安全自查/检查表》(附件1)并在每月的22号前将自查的结果以书面的形式反馈至信息部。
3.计算机安全管理本制度所指计算机是列入固定资产项目的服务器、工作站、台式机、笔记本电脑及相关周边附属计算机等,本制度是对这些具体计算机进行安全管理的说明。
3.1.信息部负责公司应落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。
为了有效的防范网上非法活动,企业网要统一出口管理、统一用户管理;3.2.公司的信息化设备原则上禁止带出圆融光电公司,如工作需要必须要带出的(其中包括:外出开会、出差及培训),各部门必须建立相应的审批流程或登记手续;3.3.各部门不得随意将计算机借给非圆融光电公司员工,各部门的计算机使用者不得自行将计算机借给他人使用;3.4.对本企业所使用的硬件计算机进行统一管理,并建立计算机卡片,详细记录其计算机名、使用时间、供货厂家及相关情况;3.5.定期对有关计算机进行保养,保持机房和计算机的整洁,严禁违规违章操作,确保机房、硬件计算机的安全;3.6.对企业信息系统软硬件及有关正版软件要认真组织做好软件的升级工作,并对功能改动部分进行认真测试研究,确定新增功能在本单位的用法,防止工作的盲目性。
对企业信息系统软硬件及有关正版软件应备份存档,应严格保护所有在用的正版软件的版权,不准拷贝给他人和单位,要维护不同版本的完整性、独立性,确切掌握软件版本使用情况,防止出现版本的混淆;3.7.信息部应建立计算机管理维护记录,实行维护记录制度,对故障发生的时间、表现的解决措施、结果及软硬件的升级情况进行详细记录,以便今后解决故障;3.8.未经系统管理员同意或授权,任何人不得在企业信息系统上安装、拆卸软硬件,不得改变系统的运行环境;3.9.计算机管理落实到专人,保管人对计算机丢失或者不当使用造成的损失负责,并对因计算机丢失或者不当使用造成的信息丢失和泄密事故负责;3.10.针对具体应用型计算机建立有关的操作流程,使用时应严格按照操作流程执行;3.11.计算机报废应依据公司有关规章制度执行,对报废计算机上保存的存储内容要进行清除,防止泄密;3.12.对于标准外的软件如因需要投入公司使用,必须确认与操作系统等不冲突才可以投入正常运行;3.13.不得在网络中安装与工作无关的应用及系统软件;3.14.由公司信息化管理部门统一规划、购买、布置网络使用的相应软硬件;3.15.各部门必须配合信息部相关安全项目的实施。
4.数据安全管理本制度对管理服务器数据的人员进行规范和说明。
4.1.重要数据在处理中时,被批准使用数据人员以外的其他人员不应该进入机房工作。
处理结束后,应清除不能带走的本作业数据。
应妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎;4.2.网络数据采用光盘或外置硬盘进行备份,作为档案保存的网络数据应使用光盘介质进行存储。
其他相关临时数据信息的存储可采用磁盘备份;4.3.信息部机房管理员经常对系统中的数据进行备份,以便在计算机发生故障时可恢复到最近状态。
原则上要求在发生业务的当天进行备份。
备份模式为:利用光盘进行每周七天的循环覆盖备份,每一周进行一次低级备份(全部备份);保存最近三个月的备份机及每年年末的备份。
同时应备双份以上,存储于不同的地点;4.4.对数据的备份、恢复、转出、转入的权限都应严加控制。
严禁未经授权将数据拷贝出系统,转给无关的人员或单位;严禁未授权进行数据恢复或转入系统操作;4.5.数据库管理系统的口令必须由专人管理,并定期更换。
禁止同一人管理操作系统口令和数据库管理系统口令;4.6.采用专门的数据备份和容灾安全解决方案和设备。
5.病毒安全预防本规定对病毒的安全防范办法进行定义和说明:5.1.所有计算机资源受到防病毒软件的保护,指定专人负责计算机病毒防范工作。
定期进行病毒检测,发现病毒立即处理并报告;5.2.各部门员工应负责运行系统中的防病毒软件,不得关闭或者进行回避。
如果各部门员工受到系统中运行的防病毒软件发出的任何警告,则应该立即停止使用系统,并且与网络维护人员联系;5.3.网络维护人员应负责保证所有防病毒软件为最新版本,可以在所有各部门员工的系统都在网络资源上连接工作时,通过自动过程进行安装。
各部门员工如果怀疑自己的防病毒软件在过去的60天中没有更新,应该与网络维护人员联系;5.4.禁止运行未经审核的软件,并配合信息部完成病毒清除工作;5.5.如果有病毒造成的损失,应该立即隔离受到病毒感染的计算机,并将其与企业内部网络断开;5.6.重要部门的计算机要做到专人专用专管,避免交叉使用;六、考核6.1.同一个人第一次出现违反规定的事件,根据事件的轻重程度给予分别给予责任部门提醒、警告、过程考核等;同一个人出现第二次违反规定的事故,则立即取消其相关的信息系统使用权限,并对其所在部门通报批评处分。
所有的违规事件,信息部都将详细记录在案;6.2.针对信息部由于管理不当等导致的安全问题,则同样承担管理责任,根据情节严重给予提醒、警告、过程考核等;同样的问题第二次出现,将对信息部进行通报批评;6.3.违反公司规定,故意或者过失泄露公司秘密的,根据公司奖惩条例相关规定视情节轻重进行处罚;情节严重构成犯罪的,移交公安机关依法追究刑事责任。