信 息 安 全 管 理 制 度
? 為維護公司信息安全,保證公司網絡環境的穩定,特制定本制度。
?壹、 互聯網使用管理互聯網使用管理互聯網使用管理互聯網使用管理
1、禁止利用公司計算機信息網絡系統制作、復制、查閱和傳播危害國家安全、泄露公司秘密、非法網站及與工作無關的網頁等信息。行政部門建立網管監控渠道對員工上網信息進行監督。壹經發現,視情節嚴重給予警告、通報批評、扣發工資500-1000元/次、辭退等處罰。 2、未經允許,禁止進入公司計算機信息網絡或者使用計算機信息網絡資源、對公司計算機信息網絡功能進行刪除、修改或者增加的、對公司計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統和計算機網絡安全的。壹經發現,視情節嚴重給予警告、通報批評、扣發工資1000-2000元/次、辭退等處罰。 ?
3、公司網絡采取分組開通域名方式,防止木馬蠕蟲病毒造成計算機運行速度降低、網絡堵塞、帳號密碼安全系數降低。 ?二、網站信息管理
1、公司網站發布、轉載信息依據國家有關規定執行,不包含違反國家各項法律法規的內容。 ?
2、公司網站內容定期進行備份,由網管員保管,並對相應操作系統和應用系統進行安全保護。 ?
3、公司網管加強對上網設備及相關信息的安全檢查,對網站系統的安全進行實時監控。 4、嚴格執行公司保密規定,凡涉及公司秘密內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網;
5、所有上網稿件須經分管領導審批後,由企劃部門統壹上傳。 ?三、軟件管理軟件管理軟件管理軟件管理 ?1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統管理員統壹進行,任何部門和員工不得擅自采購。 ?
2、公司提供的全部軟件僅限於員工完成公司的工作使用。未經許可,不得將公司購買或開發的軟件擅自提供給第三人。
3、操作系統由公司統壹提供。禁止安裝使用其它來源的操作系統,特別是未經授權的非法拷貝。擅自使用造成的壹切後果由使用人自行承擔,對於造成損失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-200元/次等處罰。 ?
4、壹般應用軟件統壹在公司文件服務器上提供常用軟件安裝目錄,不提供安裝光盤(操作系統除外)。安裝非公司提供的軟件導致系統損害,信息丟失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-300元/次、辭退等處罰。 ?5、公司小範圍使用的專業版權軟件,使用人需在自行備份並由信息系統管理員驗證後才可進行安裝。 ?
6、禁止安裝使用非工作用軟件。其它工作所需的應用軟件,可由使用部門申請,再由行政部門統壹發布。 ?四、計算機病毒管理
1、集團計算機病毒管理由集團信息辦負責進行規劃、實施和監控。 ?
2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施,及時更新系統漏洞和使用殺毒軟件。具體內容包括: (1)及時更新微軟補丁,每周至少更新壹次。當屏幕右下角有自動更新的圖標時,要及時安裝。 (2)有些特殊的軟件(如SQL SERVER等),及時到相應網站打補丁。 (3)及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能,而把殺毒軟件卸載。每周至少更新壹次,確保殺毒軟件為最新版本。 (4)嚴禁打開來歷不明的郵件。能判斷為病毒郵件的,立即刪除;不能判斷的聯系信息系統管理員解決。當計算機感染病毒後,請及時斷開網線,使用殺毒軟件查殺和查看操作系統和應用軟件的補丁是否及時更新;嚴重者請及時聯系信息辦信息系統管理員解決。 (5)當有新病毒通過某些軟件(如:QQ,MSN)傳播時,請立即關閉相應軟件或拔掉網線。查殺問題解決後,方可繼續使用。 ?3、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒並傳播者,第壹次給予警告、第二次給予通報批評,第三次及以上將給予通報批評並扣發工資50-100元/次。 ?五、網絡資源管理
1、集團網絡資源和服務器由集團信息辦信息系統管理員統壹進行規劃、管理和監督。 2、服務器及個人用機的管理: (1)部門級及以上服務器必須指定專人負責管理,並在行政部門備案,未經授權,非管理員不得對其進行操作。 (2)部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查,包括:服務器的CPU、內存、硬盤等資源利用情況;服務器上運行的服務使用情況;服務器上運行的OS及時升級;服務器上運行的殺毒軟件的及時更新; (3)服務器管理員要做好服務器的備份工作,至少每季度有壹份完整異地(異機)備份,重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。 (4)個人和部門未經行政部門批準不得私自設立服務器。 (5)服務器管理員每月定期對服務器做壹次全面檢查,並填寫服務器檢查日誌。 (6)服務器管理員每季度需修改服務器密碼壹次。當服務器管理員有變更時,管理員密碼需及時更改。 (7)員工應避免隨意***享工作相關資料,若需***享,應指定合理權限,並在完成後及時取消;嚴禁未經信息系統管理部門批準,擅自***享給局域網內所有用戶。 (8)員工應自行維護電腦的正常使用,並按照網管的要求進行設置及及時進行補丁更新,不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。 ?
3、IP地址的管理: (1)IP地址由行政部門統壹規劃管理。未經許可,不得擅自更改任何設備的IP地址。 (2)公司申請的公網IP任何人不得私用。 (3)工作需要公網IP,需申請信息部批準後,方可使用。 (4)公司公網IP使用無工作需要時,立即停止使用,並通知行政部門收回。 (5)FTP等特殊服務器的使用須經行政部門批準,且不得擅自更改使用用途。 ?六、機房管理
1、人員管理:相關維護人員憑門禁卡或密碼進出機房,其它人員不得擅入。如確需進入機房的其它工作人員,應向相關部門提出申請,並做相應的登記備案後,在相關人員的陪同下入內。信息系統管理員有權在場監控及記錄入內者的工作情況。
2、機房設備管理:參照公司固定資產管理制度進行管理。非電源性電子設備(如路由器,服務器等)必須接不間斷電源,保證數據在突然斷電時不致丟失;機房溫度應保持在22±2℃。工作時間,非工作時間公司保安應定時巡視機房,確保機房環境、供電及溫度正常;如出現機房溫度超過30攝氏度警戒線、停電等異常情況,應與管理員聯絡,立刻采取必要措施保障機房設備的安全。
3、信息管理:任何人員(包括管理員)在機房信息設備上進行更改操作,都需記錄備案。未經管理員許可在機房內擅自進行操作者,可視情節給予通報批評、扣發工資200-500元;情節嚴重的,可予以辭退。
4、施工管理:公司機房建設應符合機房建設的有關標準和規定;在公司機房內施工,須由信息安全部經理批準,並有網絡管理員或授權的公司保安監督施工現場。 ?七、電子設備使用管理
1、電子設備的新增購買申請先采用調配方式,若無法調配同等配置的,才予購買。使用管理參照公司固定資產管理制度。
2、計算機及其輔助設備壹經領用,使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失,可視情節給予警告、通報批評、按價賠償。 (1)臺式計算機:非經信息管理員工同意不得擅自打開機箱。 (2)筆記本電腦設備:a、不同品牌型號的零配件不可互換使用。b、用於移動辦公,絕對不允許作為服務器***享操作。c、應保持出廠預裝的正版操作系統,保留硬盤中的隱藏分區。如確因工作需要重新安裝其它操作系統(如WIN2000等),需由系統管理員進行。不允許私自重新分區格式化,將原出廠隱藏區格式化刪除。 ?
3、非經許可,不得將個人臺式電腦及相關設備帶入公司,特殊情況,需辦理相關登記手續。
4、員工不得隨意增減配件,不得在未經管理員許可的情況下對硬盤做低級格式化。未經行政部門批準,嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備(含配件),可視情節給予警告、通報批評、扣發工資200-500元/次。 ?
八、信息系統管理員 1、管理權限和責任 (1)負責公司各信息系統的信息安全、日常維護、系統管理等。 (2)嚴格遵守公司制定的相關信息安全管理制度,履行工作職責。 (3)制定各信息系統的管理維護標準,包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等,送交信息安全主管部門審核備案,並嚴格執行。 (4)信息系統管理員必須簽訂《關鍵職位員工之保密承諾書》。 ?
2、職責規範 (1)推動員工樹立信息系統安全防範意識,完善公司信息安全保障機制,逐步建立以預防、發現、響應、恢復為基礎的信息安全管理機制。 (2)遵守職業道德,嚴守保密制度,不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料;不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業秘密(包括技術秘密和經營秘密);未經公司書面同意,不擅自使用已接觸到、了解到、知悉或被告之的商業秘密;不利用已知的公司資源(如公司信息系統缺陷、口令等),做違反國家法規、竊取公司商業秘密、攻擊公司服務器等行為。 (3)端正服務態度,對員工的需求積極快速響應,並提供迅速、周到的技術服務支持。 ?九、附則:
1、本制度解釋權歸集團信息辦。 2、本制度自頒布之日起施行。