信息安全管理制度
信息安全管理制度范本(3篇)
信息安全管理制度范本一、总则为了有效保护企业的信息资产、确保信息系统的正常运行和信息安全,特制定本信息安全管理制度(以下简称“本制度”)。
本制度适用于企业内的所有信息系统、网络设备、信息资产,以及企业内所有员工和外部用户在使用企业信息系统时应遵守的各项规定。
二、信息安全管理目标1.保护企业信息资产的机密性、完整性和可用性,防止信息泄露、损坏和非法使用。
2.确保信息系统的安全运行,防止病毒、木马等威胁和攻击。
3.加强员工的信息安全意识,提高信息安全管理水平。
三、信息安全管理要求1.建立健全信息安全管理制度,确保信息安全管理的全面性、连续性和有效性。
2.明确信息资产的分类、归属和责任,制定相应的保护措施。
3.制定密码管理制度,对信息系统进行可靠的身份认证和访问控制。
4.建立网络安全管理制度,加强网络设备的配置和管理,防止网络攻击和非法入侵。
5.制定备份和恢复管理制度,保证信息系统数据的安全备份和快速恢复。
6.建立事件处理和应急响应机制,及时发现和处理安全事件,减少损失。
7.加强员工的信息安全教育培训,提高员工的信息安全意识和能力。
8.定期进行安全演练和评估,发现和修复系统漏洞和安全隐患。
四、信息安全责任1.企业负责人应当明确信息安全的重要性,并将其纳入企业的经营战略之中。
2.信息安全部门负责制定、实施和维护信息安全管理制度,并监督和检查各部门的信息安全工作。
3.各部门负责指定信息安全管理员,负责本部门的信息安全工作。
4.员工应当遵守本制度的各项规定,妥善保管个人账号和密码,不得私自泄露、更改或共享。
五、信息安全监督与检查1.企业信息安全部门负责对各部门的信息安全情况进行定期检查和评估。
2.企业内部和外部专业机构可以被委托进行信息安全审计。
3.对发生的信息安全事件和违规行为,进行调查和处理,并采取相应的纠正和预防措施。
六、其他本制度的解释权归企业负责人和信息安全部门负责人所有。
本制度自发布之日起生效。
信息安全管理制度
信息安全管理制度信息安全管理制度(通用7篇)信息安全管理制度篇1近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。
随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。
如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:A. 技术图纸。
主要存在于技术部、项目部、质管部。
.B. 商务信息。
主要存在于采购部、客服部。
C. 财务信息。
主要存在于财务部。
D 服务器信息。
主要存在于信管部。
E 密码信息。
存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:1 来自企业外的风险①病毒和木马风险。
互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
信息安全管理制度范文(4篇)
信息安全管理制度范文以下是一份信息安全管理制度的范本:1. 前言1.1 目的1.2 适用范围1.3 定义2. 管理承诺2.1 高层管理承诺2.2 员工责任意识3. 组织结构和职责3.1 安全委员会3.2 安全管理团队3.3 小组和单个员工的职责4. 安全策略4.1 信息安全目标4.2 信息安全政策4.3 信息安全指南5. 风险管理5.1 风险评估5.2 风险处理5.3 灾难恢复计划6. 资产管理6.1 资产分类6.2 资产所有权6.3 资产使用规定7. 安全访问控制7.1 用户账户管理7.2 密码策略7.3 权限访问控制7.4 安全审计和监控8. 安全开发和维护8.1 安全需求分析8.2 安全编码实践8.3 安全测试8.4 软件维护安全性9. 配置管理9.1 配置管理政策9.2 配置管理控制9.3 变更管理10. 供应商和合同管理10.1 供应商评估10.2 合同管理10.3 第三方风险管理11. 培训和意识11.1 信息安全培训11.2 安全意识活动12. 事件管理12.1 安全事件响应12.2 事件记录和报告12.3 事件调查和改进13. 合规性和审核13.1 内部合规性检查13.2 外部审核和认证14. 文档管理14.1 文档控制14.2 文档保密性15. 修改管理15.1 修改控制程序15.2 审核和批准16. 附录16.1 定义和缩略语16.2 参考文件以上是一份信息安全管理制度的范本,具体可根据组织的实际情况进行调整和补充。
重要的是要确保该制度能够全面覆盖信息安全管理的各个方面,并与实际操作相符。
信息安全管理制度范文(2)一、制度目的本制度的目的是为了保护组织的信息资产,保障信息的机密性、完整性和可用性,防范信息安全风险,确保组织的持续经营和业务运作。
二、适用范围本制度适用于组织内所有人员,包括员工、临时工、实习生、外包人员等。
三、信息安全政策1.确定信息安全目标和原则,明确信息安全的重要性,所有人员都必须遵守信息安全政策。
十八项信息安全管理制度
一、制度总则第一条为加强我单位信息安全工作,保障信息系统安全稳定运行,保护国家秘密、商业秘密和个人隐私,根据国家相关法律法规和行业标准,制定本制度。
第二条本制度适用于我单位所有信息系统、设备、网络、数据以及相关人员。
第三条我单位信息安全工作遵循以下原则:(一)依法依规:严格遵守国家有关信息安全法律法规和行业标准。
(二)统一领导:成立信息安全工作领导小组,负责信息安全工作的统筹规划、组织协调和监督指导。
(三)分级管理:按照信息系统等级保护要求,对信息系统进行分类管理。
(四)技术保障:采用先进的技术手段,加强信息系统安全防护。
(五)安全培训:加强信息安全意识教育,提高全员信息安全素养。
二、组织管理第四条成立信息安全工作领导小组,负责信息安全工作的统筹规划、组织协调和监督指导。
第五条设立信息安全管理部门,负责信息安全日常管理工作。
第六条各部门、各岗位明确信息安全责任,落实信息安全责任制。
三、信息系统安全第七条信息系统建设应遵循安全、可靠、高效的原则,符合国家相关法律法规和行业标准。
第八条信息系统开发、运维过程中,应采用安全编码规范,确保代码质量。
第九条信息系统应定期进行安全评估,发现安全隐患及时整改。
第十条信息系统应实施等级保护,按照等级保护要求进行安全防护。
四、网络安全第十一条网络安全设备应满足国家相关法律法规和行业标准要求。
第十二条网络设备应定期进行安全检查,确保网络设备安全稳定运行。
第十三条网络访问控制应严格执行,防止未授权访问。
第十四条网络传输应采用加密技术,确保数据传输安全。
五、数据安全第十五条数据安全应遵循“最小化原则”,确保数据安全。
第十六条数据存储应采用安全存储设备,防止数据泄露、篡改、损坏。
第十七条数据传输应采用加密技术,确保数据传输安全。
第十八条数据备份应定期进行,确保数据可恢复。
六、人员管理第十九条加强信息安全意识教育,提高全员信息安全素养。
第二十条人员入职、离职应进行信息安全审查。
信息安全管理的制度法规
第一章总则第一条为加强信息安全管理工作,保障国家信息安全,维护社会稳定,促进信息化建设,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规,结合本地区实际情况,制定本制度。
第二条本制度适用于本地区各类组织和个人,包括但不限于政府机关、企事业单位、社会团体、公民等。
第三条信息安全管理工作应当遵循以下原则:(一)依法管理:遵守国家法律法规,严格执行信息安全管理制度。
(二)预防为主:建立健全信息安全防护体系,加强信息安全管理,预防信息安全事件发生。
(三)综合管理:从技术、管理、人员等多方面入手,综合施策,确保信息安全。
(四)责任到人:明确信息安全责任,落实信息安全责任追究制度。
第二章信息安全管理体系第四条建立健全信息安全管理体系,明确信息安全管理组织架构、职责分工、工作流程等。
第五条设立信息安全管理部门,负责信息安全工作的组织、协调、指导和监督。
第六条各级组织应当设立信息安全责任人,负责本组织的信息安全工作。
第七条建立信息安全风险评估制度,定期开展信息安全风险评估,及时发现和消除信息安全风险。
第八条建立信息安全事件报告和处理制度,确保信息安全事件得到及时报告、处理和调查。
第三章信息安全管理制度第九条建立信息安全管理制度,包括但不限于以下内容:(一)网络安全管理制度:明确网络安全防护措施,规范网络使用行为。
(二)数据安全管理制度:加强数据安全管理,确保数据安全。
(三)信息系统安全管理制度:加强信息系统安全管理,确保信息系统安全稳定运行。
(四)信息安全培训制度:定期开展信息安全培训,提高信息安全意识。
(五)信息安全审计制度:对信息安全工作进行审计,确保信息安全制度得到有效执行。
第十条严格执行信息安全管理制度,确保信息安全制度得到有效落实。
第四章信息安全技术措施第十一条加强信息安全技术防护,包括但不限于以下措施:(一)网络边界防护:加强网络边界防护,防止恶意攻击和非法访问。
(二)入侵检测与防御:部署入侵检测与防御系统,及时发现和阻止入侵行为。
信息化安全管理制度范文(3篇)
信息化安全管理制度范文一、总则1.1 为规范和管理企业的信息化安全工作,保护企业的信息资产,提升信息化安全管理水平,制定本信息化安全管理制度。
1.2 本制度适用于企业所有涉及信息化系统和信息资产的管理活动。
1.3 企业应建立信息化安全管理委员会,并设立信息化安全管理办公室,负责制定、实施和监督本制度的执行情况。
二、信息资产管理2.1 企业应对信息资产进行分类和标识,并制定相应的保护措施。
2.2 企业应建立信息资产管理制度,包括信息资产的申请、获取、使用、存储、备份、报废等方面的规定。
2.3 企业应定期对信息资产进行风险评估和安全审计,及时修复系统漏洞和弱点。
三、系统运维管理3.1 企业应建立信息化系统运维管理制度,包括系统的安装、配置、维护和升级等方面的规定。
3.2 企业应对系统进行定期维护和巡检,确保系统的稳定性和安全性。
3.3 企业应建立系统运维人员的权限管理制度,明确各级人员的职责和权限。
3.4 企业应建立系统备份和恢复制度,定期备份重要数据,并测试备份恢复的有效性。
四、网络安全管理4.1 企业应建立网络安全管理制度,包括网络设备的配置、防火墙的设置、网络流量的监测等方面的规定。
4.2 企业应对网络进行定期安全检查和漏洞扫描,及时发现并修复网络安全漏洞。
4.3 企业应建立网络访问控制制度,限制非授权人员的访问权限。
4.4 企业应对网络数据进行加密和传输安全管理,确保数据的机密性和完整性。
五、员工安全意识和培训管理5.1 企业应加强员工的信息安全意识培训,使其具备信息安全防护的基本知识和技能。
5.2 企业应定期组织信息安全培训,提高员工对信息安全工作的敏感性和责任感。
5.3 企业应建立员工违反信息安全管理制度的处罚制度,并进行相应的纪律处分。
六、应急管理6.1 企业应建立信息安全事故应急预案,指定应急响应小组,并定期进行演练和评估。
6.2 企业应建立信息安全事件的快速报告和通知机制,及时处置和恢复信息安全事件。
公司信息安全管理制度(5篇)
公司信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。
为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。
本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。
1.计算机设备安全管理1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。
未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。
2.2文件加密涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。
信息安全管理制度模版(3篇)
信息安全管理制度模版一、引言信息安全对于现代社会的各个组织和个人来说,都至关重要。
为了确保信息的保密性、完整性和可用性,在组织内部制定和实施信息安全管理制度是非常必要的。
本制度旨在规范组织内部对信息安全的管理和保护,提高信息系统的安全性和可靠性,减少信息泄露和损失的风险。
二、信息安全管理的基本原则1、统一领导,明确责任。
组织内设立信息安全管理部门,明确信息安全的领导和责任,确保信息安全工作的高效进行。
2、全面风险评估,科学防控。
对组织内部的信息系统及信息资源进行全面的风险评估,科学制定相应的防控措施,确保信息系统的安全。
3、合规合法,遵守法律法规。
组织在实施信息安全管理中,要严格遵守相关法律法规,确保信息的合法使用和传输。
4、文化培育,全员参与。
组织要加强信息安全宣传教育,提升员工的信息安全意识和技能,形成良好的信息安全文化。
5、持续改进,保持更新。
组织要定期检查和评估信息安全管理制度的有效性,不断改进和完善,以应对新的威胁和风险。
三、信息安全管理的具体措施1、信息分类和标记(1)根据信息的重要性和敏感性,将信息进行分类,确定不同的安全级别,并在每个信息上标明相应的安全标记。
(2)制定信息流转控制规定,确保不同安全级别的信息在流转过程中得到适当的保护和控制。
2、权限管理(1)建立合理的权限体系,根据员工的岗位和职责,分配不同的权限,并严格控制权限变更的申请和审批过程。
(2)定期审核权限的使用情况,及时收回离职员工的权限,避免权限滥用和泄露风险。
3、网络安全(1)建立安全的网络架构,包括网络拓扑、边界安全和网络隔离等,确保网络资源的安全和可靠。
(2)加强网络设备的管理,定期进行漏洞扫描和安全测试,及时修补漏洞,提高网络的抗攻击能力。
(3)制定网络使用规范,明确员工在网络使用中的义务和责任,加强网络安全的宣传教育和培训。
4、物理安全(1)建设安全的办公环境,采取必要的物理安全措施,包括视频监控、门禁系统和安全保密区域等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度发布日期:2021年01月01日实施日期:2021年01月01日XXX发布密级:□公开内部□秘密】信息安全管理制度目录1、总则1.1目的为规范公司信息安全管理工作,保证计算机系统的正常运行,降低信息安全漏洞对公司造成的损害,推进公司信息化建设工作,特制定本制度。
1.2定义信息安全是指信息系统(包括电子邮件、硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
其根本目的就是使内部信息不受内部、外部、自然等因素的威胁,保证系统联系可靠正常运行。
2、职责2.1主要管理部门综合办理部。
2.2网络管理员网络管理员为信息系统主要管理人,负责信息系统的建设、维护、管理、升级工作;负责公司网站的信息更新操作。
2.3.ERP系统管理员ERP系统管理员为ERP系统主要管理人,负责ERP系统的维护、密级:□公开内部□隐秘】管理、权限变更等工作。
2.4计算机操作员使用电子计算机从事文字、图形、图象等信息处理工作及计算机系统操作、维护与办理的工作人员。
三、电子邮件管理3.1电子邮件命名3.1.1公司内部人员统一使用后缀为@***的电子邮件。
3.1.2电子邮件账号原则上以姓名拼音的第一个字母进行命名,如遇重复,由综管部与个人协商肯定。
3.2电子邮件使用办理程序3.2.1邮箱申请:新进人员直接由综管部肯定并下发邮箱地点;3.2.2人员异动:所属部门人员岗亭异动应实时告诉综管部;离职人员邮箱由部门按照需求处理后告诉综管部清除账户。
3.3邮件发送3.3.1邮件发送对象:邮件接收人为邮件内容的主要执行人。
发送邮件时应按流程逐级发送,不允许越级汇报或发给与邮件内容无关人员。
发送时应明确收件人执行要求。
3.3.2建立发送群体对象因人员岗亭变动要实时更新接洽名单。
3.3.3抄送对象:主要用于备案、告知、协调等事宜。
包括需让领导、团队知悉的或寻求协调的相干人员,因此发件人在抄送邮件时要仔细判袂、判断,不得群发。
例如:一样平常工作处理(属于本岗亭可以密级:□公开内部□秘密】处理)无需抄送对象,超过权限或重点督办、关注项目抄送给收件人上级主管。
3.3.4邮件附件普通不超过10M,超过10M的普通要求进行拆分。
3.3.5发送内容:公司域名邮件只能用于与公司业务有关的工作中,严禁个人利用公司域名邮箱发送违法、违规等有损公司利益、形象的邮件。
3.3.6发送邮件格式要求如下:1)称号:如“某某某,您好!”大概“各位同仁:大家好!”等等。
2)邮箱署名部分统一格式:促整合·拓市场·增效益3.4收件处理3.4.1处理原则1)及时、有措施、有时间、有责任人;2)部门员工对部门负责人反馈,跨部门协调由部门负责人之间协调解决。
3.4.2反馈工夫:重要、紧急事件应第一工夫回复,普通事件原则上不超过4h,个人请假或出差XXX律风回复或指定他人回复。
3.4.3反馈结果:邮件处理人在处理后应将结果以邮件形式告知发件人。
四、硬件设备管理密级:□公开内部□隐秘】4.1设备购置审核计算机、打印机等设备购置申请按公司《固定资产管理制度》进行申购,如原有设备进行升级、更换需由网络管理员进行确认并签字后按固定资产购置流程办理。
4.2设备日常使用4.2.1计算机设备依据谁使用谁负责的原则设定主要负责人,对一机多人操作的设备要确定主要责任人,并由网络管理员填写【计算机管理人员登记表】登记备案。
4.2.2计算机设备需保持干燥、清洁、安全、良好的工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
计算机需放置于平稳、水平平面,避免因活动、震动等原因导致设备损坏,严禁在通电的情况下拆卸、移动计算机等设备和部件。
4.2.3除网络管理员外任何人不得自行拆卸、更换、升级设备机箱、内部配件、外部设备等。
4.3设备维修4.3.1计算机出现妨碍时应实时向综合办理部报告,不答应操作员私自处理或找非本单位技术人员进行维修。
4.3.2非本单位技术人员对我司的设备、系统等进行维修、维护时,必须由公司网络办理员现场全程监督。
计算机设备送外维修,须经按公司《固定资产办理规定》审批经由过程,并拆除硬盘后送修。
如硬盘需要送外维修,需与维修方签订保密和谈。
密级:□公开内部□秘密】4.4设备报废4.4.1计算机设备报废按公司《固定资产管理制度》进行报废。
4.4.2报废电脑需对硬盘资料进行备份,并将硬盘拆除或破坏后方可进行报废。
4.5移动存储设备管理4.5.1涉密移动存储设备,是指用于存储公司秘要信息的移动硬盘、软盘、U盘、光盘、磁带、存储卡等存储设备。
4.5.2涉密移动存储设备实行登记管理。
并确定各涉密移动存储设备使用人、管理人。
4.5.3涉密移动存储设备只能在本公司涉密计算机和涉密信息系统内使用,严禁在个人计算机上使用;严禁借给外单位使用。
4.5.4任何移动存储设备在接入本单位计算机信息系统之前,要查杀病毒、木马等恶意代码后才能继续操作。
4.5.5涉密移动存储设备出现丧失,需立即上报信息安全危急处理工作小组,采取相应措施。
4.5.6涉密移动存储设备的销毁,由综合管理部统一登记造册,并经公司领导批准后,备份数据后集中销毁,任何个人不得擅自销毁。
4.6外来设备管理4.6.1外来计算机未经答应制止接入公司网络,如需接入公司网络需经审批、登记后由网络办理员进行接入。
4.6.2外来计算机必须装有有效的杀毒软件和防火墙。
4.6.3接入公司网络的外来计算机默认只允许登录互联网查找相关密级:□公开内部□秘密】资料,不得接入公司局域网。
如因特殊要求需接入公司局域网,需经审批、登记后由网络管理员进行接入,使用过程中需有公司员工在场陪同、监督。
4.7无线局域网办理除网络管理员外,任何人禁止私自架设无线收发装置用以接入公司网络。
如需使用无线网络需申请、登记后由网络管理员进行架设。
五、软件管理5.1软件安装权限除部门副经理以上管理人员及网络管理员以外,其他操作员无软件安装权限,所有软件由网络管理员负责安装。
5.2软件更新网络管理人员负责将记录软件供应商信息,就软件技术问题与软件供应商联系,及时下载系统及平台软件的相关补丁程序,并与原系统进行配套管理和使用。
5.3病毒防护软件效劳器和客户端计算机上均需安装企业版病毒查杀软件及防火墙,方便网络办理员监控公司安全状况;网络办理员应实时下载更新病毒库,每周定时查杀。
六、计算机操作员办理6.1操作员账号密码统一由网络办理员分配。
每位操作员各自对应一个操作账号,操作账号作为个人身份辨认依据,操作员须妥帖保管密级:□公开内部□隐秘】好本人的帐户和密码,不成将操作账号密码告知其他人员,严防被盗取及盗用而导致信息安全事故。
6.2网络管理员未分配操作账号密码的员工即无权使用计算机,不得使用他人账号密码登录计算机进行操作。
如因工作需要需操作计算机,需向综合管理部经理提出申请,并由其同意后,经网络管理员分配账号密码后使用自己的账号密码登录计算机进行操作。
6.3操作员计算机操作权限由其岗亭工作特性决定,如因工作需要需变更、增加权限需填写《权限变更申请单》向综合办理部司理提出申请,取得批准后,由网络办理员进行权限变更操作。
6.4ERP操作权限变更需向财务总监提出申请,获得批准后由ERP系统管理员进行权限变更操作。
6.5所有操作员必须在所使用的计算机中设置开机密码和屏幕保护密码。
为了保护公司的信息资产,密码复杂性要求:长度至少有7个字符长,密码必须包含字母及数字。
6.6所有计算机的本地管理员账号密码由综合管理部统一管理,其他操作员禁止使用任何手段尝试破解获取管理员账号密码。
6.7操作员离开计算机时需启动计算机屏幕保护。
多操作员共用同一计算机设备,操作员需离开计算机较长时间时需保存好文件并注销操作员用户,以保证其他操作员能正常登录计算机。
6.8操作员如发现本人的账号存在被盗用可能必须实时上报信息安全危急处理工作小组,并由网络办理员协助调查。
6.9任何人员不得利用计算机信息网络制作、复制和传播下列信息:密级:□公开内部□秘密】1)煽动抗拒、破坏宪法和法律、法规实施的;2),推翻社会主义制度的;3)煽动分裂国家、破坏国家统一的;4)煽动民族仇恨、民族歧视,破坏民族团结的;5)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;7)侮辱他人或者捏造事实诽谤他人的;8)包含公司秘要信息的;9)进行其他违法犯罪活动的。
6.10任何人员不得从事下列危害计算机信息网络安全的行为:1)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;2)未经允许,对计算机信息网络功能进行删除、修改或者增加的;3)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改、或者拷贝等;4)有意制造、传播计算机病毒等破损性程序的;5)安装未经许可的应用软件、或者下载与工作内容无关的文件;6)不法提供网页、文件传输、邮件、论坛、聊天、路由、署理等效劳的;7)非法使用他人IP地址、账户、口令,或冒用他人名义进行密级:□公开内部□秘密】网上举动的;8)其他危害计算机信息网络安全的。
9)擅自修改计算机主机和网络的系统配置参数。
10)通过电子邮件及其它形式泄露本单位技术和商业机密等信息。
七、数据安全管理7.1个人电子文档等重要数据必须储存至文件效劳器上。
网络办理员需定期对文件效劳器上的文档进行备份。
7.2网络管理员要做好服务器的安全性预防工作,每周进行一次完整杀毒,按应用系统的要求进行数据备份,以防数据的丢失。
7.3含有重要信息的资料(卡片、稿纸、光盘等)废弃时,应及时销毁,以免被误用或导致信息泄露。
7.4技术图纸等秘要文件需经文件加密系统加密,外发、打印等操作均需经过部门领导授权。
7.5存放备份数据的介质必须具有明确的标识。
备份数据必须异地存档,并明确落实异地备份数据的管理职责。
7.6非本公司技术人员对公司的设备、系统等进行维修、维护时,必须由本公司相关网络管理员现场全程监督。
计算机设备送外维修,须经设备管理机构负责人批准。
送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。
对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
密级:□公开内部□秘密】八、机房办理8.1机房需保持整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
8.2机房内严禁进行吸烟、吃东西、会客、闲聊等与业务无关的举动。
严禁照顾液体、食品、易燃、易爆、强磁性、侵蚀等物品进入机房。