网络与信息安全保障措施(详细)

信息安全管理制度

1．信息管理部职责

1.1 公司设立信息管理部门，设部门经理一名。

1.2 信息管理部门为网络安全运行的归口部门，负责计算机网络系统的日常维护和管理。

1.3 负责系统软件的调研、采购、安装、升级、保管工作。

1.4 负责软件有效版本的管理。

1.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。

1.6 信息管理人员负责计算机网络、办公自动化、销售经营各类应用软件的安全运行；服务器安全运行和数据备份；internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理；协助职能科室进行数据备份和数据归档（如财务、采购、销售等）。

1.7 信息管理人员执行企业制度，严守企业商业。

1.8员工执行计算机安全管理制度，遵守企业制度。

1.9系统管理员的密码必须由信息管理部门相关人员掌握。

1.10 负责公司网络系统基础线路的实施及维护。

2．信息管理细则

2.1网络系统维护

2.1.1 系统管理员每日定时对机房的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视，并填写《网络运行日志》记录各类设备的运行状况及相关事件。

2.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析，制定处理方案，采取积极措施，并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。

2.1.3 定时对相关服务器数据备份进行检查。（包括对系统的自动备份及季度或

年度数据的刻盘备份等）

2.1.4 定时维护OA服务器，及时组织清理，保证服务器有充足空间，OA系统能够正常运行。

2.1.5 维护Internet 服务器，监控外来访问和对外访问情况，如有安全问题，及时处理。

2.1.6 制定服务器的防病毒措施，及时下载最新的防病毒疫苗，防止服务器受病毒的侵害。

2.2 客户端维护

2.2.1 按照人事部下达的新员工、分配单位、人员编号为新的计算机用户分配计算机名、IP地址等。

2.2.1.1申请

新员工（需使用计算机向部门主管提出申请经批准由信息部门负责分配计算机、OA的ID和。如需使用专业软件（财务软件等）则向财务主管申请，由财务主管分配权限和密码，信息管理部人员负责软件客户端的安装调试。

2.2.1.2 使用

2.2.1.3 注销：员工离职应将本人所使用的计算机名、IP地址、用户名、登录密码、生产经营专用软件等软件信息以书面形式记录，经信息管理人员核实并将该记录登记备案。信息管理人员对离职人员的公司资料信息备份以及拿到人事部门的员工离职通知单，方可对该离职人员所用的信息删除。

2.2.4 网络用户不得随意移动信息点接线。因房屋调整确需移动或增加信息点时，应由计算机管理人员统一调整，并及时修改“网络结构图”。

2.2.5 为客户机安装防病毒软件，并通知和协助网络用户升级防病毒疫苗。

2.3 系统及平台软件的管理

2.3.1 系统及平台软件采购

2.3.1.1 由信息管理员提出相关系统软件的采购及升级申请，填写《软件引进、升级审批表》，经部门主管及公司领导批准后采购。

2.3.1.2 应将原始盘片、资料、合同及发票复制件归档案保存，以备日后查询等。

2.3.1.3 应办理软件注册手续，并将软件认证、经销商和技术支持商相关信息填入《软件信息表》。

2.3.2 系统、平台软件的管理

2.3.2.1 信息管理人员负责软件的安装。

2.3.2.2 信息管理部门保存和使用软件的复制盘片，也可根据需要从档案借出原始盘片，复制相关资料留存使用。

2.3.2.3 信息管理人员应及时下载系统及平台软件的相关补丁程序，并与原系统进行配套管理和使用。

2.3.2.4 信息管理员负责将软件商信息记录在《软件信息表》，就软件技术问题与软件商联系，并负责软件的升级。

2.4 软件维护

2.4.1 用户向信息管理人员提交软件维护请求。接到请求的信息管理人员应及时提供维护服务，并填写《维护记录》。

2.4.2 对于较复杂的问题，处理人应及时与信息管理员沟通，信息管理员组织研究解决方案，及时处理问题。

2.4.3 应记录处理问题的方案及结果，信息管理员定期组织交流，总结汇总各种软件的问题，以便改进软件，积累经验，提高处理问题的技术水平。

2.5 软件的借用

2.5.1 用户需自行安装系统和专业软件时，应填写《软件借用记录》，办理借用手续。

2.6软件有效版本管理

2.6.1 信息管理员应建立系统、平台、专业、管理软件的有效版本清单，并定期发布，格式见《软件有效版本清单》。

2.7 数据备份管理

2.7.1 服务器数据备份

2.7.1.1每周应至少做一次数据的备份，并在备份服务器中进行逻辑备份的验证工作，经过验证的逻辑备份存放在不同的物理设备中，至少同时保留两个完整的数据备份。

2.7.1.2 每周至少对文件服务器和财务等生产经营用服务器做一次数据备份。

2.7.1.3 应对数据库进行自动实时备份。

2.7.1.4自动或手工备份的数据应在数据库故障时能够准确恢复。

2.7.2 管理信息的备份

2.7.2.1 各部门应定时对管理数据进行备份。

2.7.2.2 每年的1月份，计算机人员应协助职能科室对上一年度的管理数据进行备份、标识并归档。

2.8 计算机病毒防治

2.8.1 在服务器和客户端微机上安装病毒自动检测程序和防病毒软件，信息管理人员应及时下载防病毒疫苗，用户应及时下载疫苗并检测、杀毒。

2.8.2 在向微机及服务器拷贝或安装软件前，首先要进行病毒检测。如用户经管理代表批准安装外来软件，应经过计算机人员对安装软件进行防病毒检测。2.8.3 对于外来的图纸和文件，在使用前要进行病毒监测。

2.8.4 送外维修和欲联网的计算机必须经过病毒检测后，方可联入网络。

2.8.5 为了防止病毒侵蚀，员工和信息管理人员不得从internet网下载游戏及与工作无关的软件，不得在服务器或关键客户端微机上安装、运行游戏软件。

2.9 文件服务器的管理

2.9.1 文件服务器中为用户预留了一定的存储空间，存放重要文件、设计图纸和阶段成果，以避免在本地硬盘遭到损坏时丢失文件。

2.10 系统制度

2.10.1 系统管理员的职责和义务

2.10.1.1 系统管理员应由主管领导批准设立，具有系统管理员权限的用户应对所管理系统的安全负责。

2.10.1.2 系统管理员不得擅自泄露其他用户的用户名及密码，不得为员工检索其他人员信息和企业信息。

2.10.1.3 因工作需要，经主管领导批准，系统管理员可以为用户检索、打印企业信息，但应妥善保管打印件，并对作废容及时销毁。

2.10.1.4系统管理员不得随意修改合法用户的身份，确因工作需要应得到主管领导的批准。

2.10.1.5 系统管理员应遵守制度，不泄漏企业信息。

2.10.2 用户的职责和义务

2.10.2.1 用户有权以自己合法的身份使用应用系统。