信息安全管理制度

信息安全管理制度

JAC-GL-402-2006

1 主题内容与适用范围

1.1 为了保障公司信息系统及信息安全，制定本制度。本制度明确了公司各单位及计算机用户在计算机信息安全管理方面的职责及处罚办法。

1.2 本制度适用于本公司以及所有接入公司内部网络的一切计算机应用单位和计算机使用人员。

2 职责

2.1 通则

2.1.1 公司员工应严格遵守国家相关的信息安全法律法规。

2.1.2 各单位主要负责人是本单位的信息安全管理的第一责任人，对本单位信息安全负领导和管理责任。

2.1.3 公司各事业部、中心、管理平台各部门应建立、健全信息安全组织，配备相应的系统管理员，负责具体落实信息安全的相关工作。

2.2 信息部职责

建立和完善信息安全管理体系，负责信息安全技术和管理方法的研究、应用及推广；提供信息系统安全技术保障，制订及完善信息安全管理制度，实施信息安全监控和管理、提供安全管理技术指导与服务、督促和检查各应用单位的信息安全体系建设及实施。

2.3 企业管理部职责

负责审核、发布信息安全管理制度，配合信息部检查、监督该制度执行情况，并对违反制度的单位和人员按处罚条例进行兑现。

2.4 安全生产管理部职责

负责信息设备出入检查和登记，外来人员携带信息设备的检查和登记。

2.5 应用部门职责

贯彻、落实和执行公司信息安全管理制度、根据本部门情况分解制定本部门信息安全管理办法并落实和执行，进行部门内信息安全管理执行情况检查、考核。

3 安全管理细则

3.1 PC机（含台式机、图形工作站、笔记本电脑）安全管理

3.1.1 PC硬件安全管理

3.1 1.1 各单位应明确指定每台PC的责任人。

3.1.1.2 禁止擅自拆卸计算机硬件，禁止擅自安装和使用与工作无关的部件，确因工作需要的，应提出申请，经部门负责人签字同意后，报信息部审批。

3.1.1.3 各单位应根据实际情况制定笔记本电脑管理规定并报信息部备案。

3.1.2 PC软件管理

3.1.2.1 操作系统：PC上只允许安装公司所指定的操作系统及版本（以存放在公司文件服务器上的为准），若因工作需要安装其他操作系统，应填写《信息需求申请表》（见附件一），经信息部批准、备案后方可安装。

3.1.2.2 所有PC必须安装公司指定的防病毒软件，并遵守《计算机防杀病毒管理规定》。

3.1.2.3 常用办公软件和应用软件须到信息部指定的服务器上下载安装；禁止擅自通过其他介质拷贝、下载软件进行安装使用，确有特别需求的，须填写《信息需求申请表》，报信息部批准后方可安装；禁止擅自安装和使用盗版软件，对擅自安装而引起涉及版权方面法律纠纷的由责任人承担一切后果。

3.1.2.4 公司管理类信息系统、技术类信息系统、技术类设计软件、公司实施的或要求安装的其他软件安装和使用遵照相应软件管理办法。

3.1.2.5 禁止安装和使用娱乐性软件、游戏软件（操作系统附带的除外）。

3.1.2.6 严禁擅自安装和使用上网代理类、黑客性质类、网络和通讯管理类等危害信息安全和网络安全的软件。

3.1.3 PC操作管理

3.1.3.1计算机用户应使用规定的用户账号登陆操作系统，不得将帐号和密码告知他人。

3.1.3.2 计算机用户必须设置计算机系统登陆密码和屏幕保护密码（除特别情况，屏保等待时间不大于10分钟），密码长度不少于8位，密码应妥善管理，并且定期和不定期更改，长时间离开时（30分钟以上）应将计算机操作锁定或关机。

3.1.3.3 CMOS密码与操作系统管理员密码由系统管理员统一管理，所有计算机用户未经信息部的许可，不得修改计算机的系统设置，不得擅自更改IP地址，不得设置共享文件夹。

3.1.3.4 计算机用户不得使用任何方法窃取他人口令，非法入侵他人计算机系

统。

3.1.3.5 严禁通过盗用他人IP地址、设置上网代理等违规方式访问互联网，禁止从事一切危害网络安全和系统安全的操作。

3.1.3.6 PC硬盘应分驱（盘）管理（至少分两个逻辑驱（盘）），系统软件、应用软件、工作文件和数据应分类分开存取，工作文件和数据、随机专用设备驱动类文件应做好备份。

3.1.3.7 禁止下载、存储、使用、传播与工作无关的文件（如：MP3，电影，游戏、小说等）；

3.1.3.8 具备上外网（互联网）权限或拥有外部电子邮箱（公司分配的）的计算机用户不得利用工作便利在互联网上进行与工作无关的活动，禁止使用私人电子信箱传递有关公司信息。

3.1.3.9计算机用户岗位变更时，其网络和信息系统使用帐号、权限须进行相应变更，其帐号、权限应报信息部予以处理，计算机用户和所在单位均不得擅自将该用户外网、外部信箱、OA、信息系统等帐号、口令和权限转交其他人使用。3.1.3.10计算机用户不得制作、查阅、复制和传播思想内容反动的、不健康的、有碍社会治安和有伤风化的信息。

3.1.4 外来计算机的管理

3.1.

4.1 定义：非公司所属计算机皆视为外来计算机。严禁外来计算机带入涉密信息密集单位如技术研发部门、重要档案管理等部门办公场所。

3.1.

4.2 外来计算机因工作需要在公司办公场所内（非涉密部门）使用时，应安排专人监控，原则上不得联入公司网络，确实需要联网的，须由相关单位申请，经公司分管领导批准并签署信息安全、保密协议。

3.2 系统安全与业务连续性管理

3.2.1 服务器管理

3.2.1.1 各服务器责任单位应根据服务器的应用情况制定服务器管理办法，并报信息部备案。

3.2.1.2 每台服务器应指定责任系统管理员和后备系统管理员，系统管理员应根据服务器管理办法对服务器进行日常管理。

3.2.2 业务连续性管理

3.2.2.1 系统备份、恢复管理：各应用信息系统的管理单位应制订可行的备份方