计算机信息安全管理制度

计算机信息安全管理制度

1目的

加强计算机网络及计算机信息安全管理，保障公司网络平台、应用系统的正常运行及数据安全, 防止泄密。

2围

适用于公司及各事业部、分公司、控股子公司（以下简称各经营单元）所有计算机信息安全管理。

3术语

3.1 办公计算机：办公用台式机、笔记本电脑等属于公司资产的计算机设备。

3.2 计算机信息：是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。

3.3 部网络：公司园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称网）。

3.4 外部网络：互联网或除互联网和公司网之外的第三专网（以下简称外网）。

4职责

公司计算机信息安全采用集中控制、分级管理原则。

4.1公司信息化管理部门：负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计算机信息安全管理，负责直属部门计算机信息安全日常工作。负责协调公司外部资源，处理公司重大计算机信息安全事件。

4.2经营单元信息化管理部门：负责本经营单元计算机信息安全日常工作，及时向公司信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。

4.3计算机用户：负责本人领用的办公计算机日常保养、正常操作及安全管理，负责所接触信息的保密

性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。信息的起草人须按《保密制度》相关规定提出信息密级定级申请。

5容与要求

5. 1账号和密码安全管理

5.1.1. 信息化管理部门须统一生成信息系统用户账号，并确保身份账号在此系统生命期中的唯一性；

对账号密码信息进行加密处理，确保用户账号密码不被非授权地访问、修改和删除。

5.1.2. 员工因工作岗位或职责变动需变更账号权限时，须向信息化管理部门提出申请权限变更。信息化管理部门应及时变更异动员工的权限，冻结离职员工的账号。

5.1.3. 员工使用公司计算机信息系统时，须参照附件9.1《网络与计算机外部设备访问权限申请流

程》，向信息化管理部门提出申请，经审批后可取得账号和初始密码。员工使用初始密码登录信息系

统后，须立即更改密码。

5.1.4. 密码须满足以下要求：密码长度至少8位，密码必须由大写字母（A到Z）、小写字母（a

到z）、符号（！@#$%人&* 等）和数字（0~9）4组类型至少需取2种组合。

5.1.5. 密码更换期不得长于两个月，且变更前后的密码不能相同。

5.1.

6. 用户登录系统时，密码连续输错5次，用户账号将变成锁定状态，用户须向信息化管理部门

申请解锁。禁以非法手段尝试获取他人账号密码信息，未经授权不得使用他人账号密码登录系统。

5.1.7. 用户对自己账号密码的安全性负责，禁止泄露给他人。因个人账号密码管理不慎造成的信息安全事件由账号所有者负最终责任。

5 . 2办公计算机安全管理

5.2.1. 信息化管理部门在日常管理办公计算机时，应进行如下安全设置：

a）须为所有办公计算机设置BIOS密码，关闭未申请使用的接口并贴封条和配备机箱锁；

b）须为所有办公计算机部署相应的网安全管理系统及防病毒软件；

c）主机设备需要带离现场维修时，应由保密专员进行全程陪同，并拆除所有存储介质；

d）存储介质应到具有涉密信息系统数据恢复资质的单位进行维修；

e）不再使用或无法使用的设备应按相关规定及时进行报废处理。

5.2.2. 计算机使用人在日常使用办公计算机时应遵守如下要求：

a）计算机用户使用计算机在处理公司涉密信息及账号信息时，应注意信息安全防，防止被无关人员窥视泄密；暂时离开计算机时应启用带密码保护的屏幕保护程序或直接锁定计算机。

b）定期检查计算机设备标签、封条、机箱锁，如有破损及时通知信息化管理部门处理。

c）不得擅自挂接计算机输入输出设备以及故意损毁计算机设备标签、封条和硬件锁。不得将相关设备挪作私用。

d）如需使用计算机以外的输入输出设备（如打印机、扫描仪、移动存储类设备及刻录光驱等）

及硬件接口时，须参照附件9.1《网络与计算机外部设备访问权限申请流程》执行。

e）禁止利用办公计算机处理与工作无关容、破坏或影响其它员工正常工作。

f）禁擅自卸载公司网管理系统及防病毒系统。

g）禁使用办公计算机发布不良信息、牟取私利、泄露公司机密和从事违法犯罪活动。

5. 3计算机防病毒管理

5.3.1 计算机用户在使用计算机过程中应注意采取以下防病毒安全措施：

a）禁止私自关闭、卸载或更换防病毒软件，应及时更新病毒库和操作系统补丁，保证计算机安全运行。

b）发现或怀疑有办公计算机被病毒感染，应立即断开网络并执行全盘扫描病毒程序，如感染症状未能解除须立即上报信息化管理部门。

c）对任外来资料，须使用防病毒软件进行扫描后可使用，不要打开外来不明。

d）禁故意瞒报、制作、下载、运行及传播计算机病毒。

5.3.2 信息化管理部门须维护防病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时，应及时发布病毒预警，及时采取有效的预防措施防止病毒大面积扩散。

5 . 4网络安全管理

541 信息化管理部门在管理办公计算机网络安全时，应遵循以下要求：

a）必须格隔断允访问外网的计算机与网计算机之间的直接通讯。

b）必须格隔断网中财务、研发与其它管理类计算机之间的直接通讯。

c）办公计算机在使用公司网络时，用户身份、网卡物理地址必须与网络访问资源一对一绑定。

542 信息化管理部门在保护信息化应用系统网络安全时，应遵循以下要求：

a）信息化应用系统的服务器及存储设备只允安装在公司的网络机房、数据中心机房，特殊情况

可申请托管在第三机房，禁止安装在普通办公场所及其它不安全场所。

b）信息化应用系统需要启动远程管理时，须使用加密的远程管理协议，并且实现专人、专机、专网管理，防止远程管理权限被非法窃用。

c）必须在公司外部网络交汇处设置必要的防火墙系统，并制定必需的防火墙策略；未经授权，不允将任部IP地址和服务端口映射到外部网络。

d）对外的信息化应用系统必须部署必要的安全手段以检测和减少被攻击行为，并采取必要措施便于对非法行为进行审计取证。

e）定期检查部网络运行情况，及时发现非法网络接入。

f）需要变更网络安全相关管理策略时，按9.1《网络与计算机外部设备访问权限申请流程》543 用户在使用公司网络资源时，应遵循以下安全要求：

a）在默认情况下，所有办公用台式机和工作站只能访问公司网；笔记本不允接入公司网。计算机用户需要申请网络权限时，须按附件9.1《网络与计算机外部设备访问权限申请流程》

后开通。

b）员工因岗位职责变化不再需要使用外网时，应及时通知信息化管理部门关闭外网权限。

c）禁止员工私自修改办公计算机的IP地址、网卡地址等，禁止将办公计算机私自接入非指定网络环境。办理。审批