第8頁共8頁信息系統安全管理制度為維護公司信息安全，保證公司網絡環境的穩定，特制定本制度。一、互聯網使用管理互聯網使用管理互聯網使用管理互聯網使用管理1、禁止利用公司計算機信息網絡系統制作、復制、查閱和傳播危害國家安全、泄露公司____、非法網站及與工作無關的網頁等信息。行政部門建立網管監控渠道對員工上網信息進行監督。一經發現，視情節嚴重給予警告、通報批評、扣發工資____元/次、辭退等處罰。2、未經允許，禁止進入公司計算機信息網絡或者使用計算機信息網絡資源、對公司計算機信息網絡功能進行刪除、修改或者增加的、對公司計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統和計算機網絡安全的。一經發現，視情節嚴重給予警告、通報批評、扣發工資____元/次、辭退等處罰。3、公司網絡采取分組開通域名方式，防止木馬蠕蟲病毒造成計算機運行速度降低、網絡堵塞、帳號____安全系數降低。二、網站信息管理1、公司____發布、轉載信息依據國家有關規定執行，不包含違____各項法律法規的內容。2、公司____內容定期進行備份，由網管員保管，并對相應操作系統和應用系統進行安全保護。3、公司網管加強對上網設備及相關信息的安全檢查，對網站系統的安全進行實時監控。4、嚴格執行公司保密規定，凡涉及公司____內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網；5、所有上網稿件須經分管領導審批后，由企劃部門統一上傳。三、軟件管理軟件管理軟件管理軟件管理1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統管理員統一進行，任何部門和員工不得擅自采購。2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經許可，不得將公司購買或開發的軟件擅自提供給第三人。3、操作系統由公司統一提供。禁止____使用其它來源的操作系統，特別是的非法拷貝。擅自使用造成的一切后果由使用人自行承擔，對于造成損失的，將視情節及危害程度嚴重給予警告、通報批評、扣發工資____元/次等處罰。4、一般應用軟件統一在公司文件服務器上提供常用軟件____目錄，不提供____光盤(操作系統除外)。____非公司提供的軟件導致系統損害，信息丟失的，將視情節及危害程度嚴重給予警告、通報批評、扣發工資____元/次、辭退等處罰。5、公司小范圍使用的專業版權軟件，使用人需在自行備份并由信息系統管理員驗證后才可進行____。6、禁止____使用非工作用軟件。其它工作所需的應用軟件，可由使用部門申請，再由行政部門統一發布。四、計算機病毒管理1、集團計算機病毒管理由集團信息辦負責進行規劃、實施和監控。2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施，及時更新系統漏洞和使用殺毒軟件。具體內容包括：(1)及時更新微軟補丁，每周至少更新一次。當屏幕右下角有自動更新的圖標時，要及時____。(2)有些特殊的軟件(如sqlserver等)，及時到相應網站打補丁。(3)及時____殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能，而把殺毒軟件卸載。每周至少更新一次，確保殺毒軟件為最新版本。(4)嚴禁打開來歷不明的郵件。能判斷為病毒郵件的，立即刪除；不能判斷的聯系信息系統管理員解決。當計算機感染病毒后，請及時斷開網線，使用殺毒軟件查殺和查看操作系統和應用軟件的補丁是否及時更新；嚴重者請及時聯系信息辦信息系統管理員解決。(5)當有新病毒通過某些軟件(如：____，msn)傳播時，請立即關閉相應軟件或拔掉網線。查殺問題解決后，方可繼續使用。3、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者，第一次給予警告、第二次給予通報批評，第三次及以上將給予通報批評并扣發工資____元/次。五、網絡資源管理1、集團網絡資源和服務器由集團信息辦信息系統管理員統一進行規劃、管理和監督。2、服務器及個人用機的管理：(1)部門級及以上服務器必須指定專人負責管理，并在行政部門備案，非管理員不得對其進行操作。(2)部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查，包括：服務器的cpu、內存、硬盤等資源利用情況；服務器上運行的服務使用情況；服務器上運行的os及時升級；服務器上運行的殺毒軟件的及時更新；(3)服務器管理員要做好服務器的備份工作，至少每季度有一份完整異地(異機)備份，重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。(4)個人和部門未經行政部門批準不得私自設立服務器。(5)服務器管理員每月定期對服務器做一次全面檢查，并填寫服務器檢查日志。(6)服務器管理員每季度需修改服務器____一次。當服務器管理員有變更時，管理員____需及時更改。(7)員工應避免隨意共享工作相關資料，若需共享，應指定合理權限，并在完成后及時取消；嚴禁未經信息系統管理部門批準，擅自共享給局域網內所有用戶。(8)員工應自行維護電腦的正常使用，并按照網管的要求進行設置及及時進行補丁更新，不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。3、ip地址的管理。(1)ip地址由行政部門統一規劃管理。未經許可，不得擅自更改任何設備的ip地址。(2)公司申請的公網ip任何人不得私用。(3)工作需要公網ip，需申請信息部批準后，方可使用。(4)公司公網ip使用無工作需要時，立即停止使用，并通知行政部門收回。(5)ftp等____器的使用須經行政部門批準，且不得擅自更改使用用途。六、機房管理1、人員管理。相關維護人員憑門禁卡或____進出機房，其它人員不得擅入。如確需進入機房的其它工作人員，應向相關部門提出申請，并做相應的登記備案后，在相關人員的陪同下入內。信息系統管理員有權在場監控及記錄入內者的工作情況。2、機房設備管理。參照公司固定資產管理制度進行管理。非電源性電子設備(如路由器，服務器等)必須接不間斷電源，保證數據在突然斷電時不致丟失；機房溫度應保持在22±2℃。工作時間，非工作時間公司保安應定時巡視機房，確保機房環境、供電及溫度正常；如出現機房溫度超過30攝氏度警戒線、停電等異常情況，應與管理員聯絡，立刻采取必要措施保障機房設備的安全。3、信息管理。任何人員(包括管理員)在機房信息設備上進行更改操作，都需記錄備案。未經管理員許可在機房內擅自進行操作者，可視情節給予通報批評、扣發工資____元；情節嚴重的，可予以辭退。4、施工管理。公司機房建設應符合機房建設的有關標準和規定；在公司機房內施工，須由信息安全部經理批準，并有網絡管理員或授權的公司保安監督施工現場。七、電子設備使用管理1、電子設備的新增購買申請先采用調配方式，若無法調配同等配置的，才予購買。使用管理參照公司固定資產管理制度。2、計算機及其輔助設備一經領用，使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失，可視情節給予警告、通報批評、按價賠償。(1)臺式計算機：非經信息管理員工同意不得擅自打開機箱。(2)筆記本電腦設備：a、不同品牌型號的零配件不可互換使用。b、用于移動辦公，絕對不允許作為服務器共享操作。c、應保持出廠預裝的正版操作系統，保留硬盤中的隱藏分區。如確因工作需要重新____其它操作系統(如win____等)，需由系統管理員進行。不允許私自重新分區格式化，將原出廠隱____格式化刪除。3、非經許可，不得將個人臺式電腦及相關設備帶入公司，特殊情況，需辦理相關登記手續。4、員工不得隨意增減配件，不得在未經管理員許可的情況下對硬盤做低級格式化。未經行政部門批準，嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備(含配件)，可視情節給予警告、通報批評、扣發工資____元/次。八、信息系統管理員1、管理權限和責任(1)負責公司各信息系統的信息安全、日常維護、系統管理等。(2)嚴格遵守公司制定的相關信息安全管理制度，履行工作職責。(3)制定各信息系統的管理維護標準，包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等，送交信息安全主管部門審核備案，并嚴格執行。(4)信息系統管理員必須簽訂《關鍵職位員工之保密承諾書》。2、職責規范(1)推動員工樹立信息系統安全防范意識，完善公司信息安全保障機制，逐步建立以預防、發現、響應、恢復為基礎的信息安全管理機制。(2)遵守職業道德，嚴守保密制度，不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料；不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業____(包括技術____和經營____)；未經公司書面同意，不擅自使用已接觸到、了解到、知悉或被告之的商業____；不利用已知的公司資源(如公司信息系統缺陷、口令等)，做違____法規、竊取公司商業____、攻擊公司服務器等行為。(3)端正服務態度，對員工的需求積極快速響應，并提供迅速、周到的技術服務支持。九、附則：1、本制度解釋權歸集團信息辦。2、本制度自頒布之日起施行。信息系統安全管理制度（二）--____聯華中安制定為加強開發區計算機信息系統安全和保密管理，保障計算機信息系統的安全，____聯華中安信息技術有限公司特制定本管理制度。第一條嚴格落實計算機信息系統安全和保密管理工作責任制。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則，各科室在其職責范圍內，負責本單位計算機信息系統的安全和保密管理。第二條辦公室是全局計算機信息系統安全和保密管理的職能部門。辦公室負責具體管理和技術保障工作。第三條計算機信息系統應當按照國家保密法標準和國家信息安全等級保護的要求實行分類分級管理，并與保密設施同步規劃、同步建設。第四條局域網分為內網、外網。內網運行各類辦公軟件，專用于公文的處理和交換，屬____網；外網專用于各部門和個人瀏覽國際互聯網，屬非____網。上內網的計算機不得再上外網，涉及國家____的信息應當在指定的____信息系統中處理。第五條購置計算機及相關設備須按保密局指定的有關參數指標由機關事務中心統一購置，并對新購置的計算機及相關設備進行保密技術處理。辦公室將新購置的計算機及相關設備的有關信息參數登記備案后統一發放。經辦公室驗收的計算機，方可提供上網ip地址，接入機關局域網。第六條計算機的使用管理應符合下列要求：(一)嚴禁同一計算機既上互聯網又處理____信息；(二)各科室要建立完整的辦公計算機及網絡設備技術檔案，定期對計算機及軟件____情況進行檢查和登記備案；(三)設置開機口令，長度不得少于____個字符，并定期更換，防止口令被盜；(四)____正版防病毒等安全防護軟件，并及時進行升級，及時更新操作系統補丁程序；(五)未經辦公室認可，機關內所有辦公計算機不得修改上網ip地址、網關、dns服務器、子網掩碼等設置；(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理____信息；(七)嚴禁將辦公計算機帶到與工作無關的場所；確因工作需要需攜帶有____信息的手提電腦外出的，必須確保____信息安全。第七條____移動存儲設備的使用管理應符合下列要求：(一)分別由各科室兼職保密員負責登記，做到專人專用專管，并將登記情況報信息中心備案；(二)嚴禁____移動存儲設備在內、外網之間交叉使用；(三)移動存儲設備在接入本部門計算機信息系統之前，應查殺病毒、木馬等惡意代碼；(四)鼓勵采用____技術等對移動存儲設備中的信息進行保護；(五)嚴禁將____存儲設備帶到與工作無關的場所。第八條數據復制操作管理應符合下列要求：(一)將互聯網上的信息復制到內網時，應采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；(二)使用移動存儲設備從內網向外網復制數據時，應當采取嚴格的保密措施，防止____；(三)復制和傳遞密級電子文檔，應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。不得利用____傳遞、轉發或抄送____信息；(四)各科室因工作需要向外網公開內部信息資料時，必須由該科室負責人審核同意，交由辦公室統一發布。第九條辦公計算機及相關設備由機關事務中心負責維護，按保密要求實行定點維修。需外請維修的，要派專人全程監督；需外送維修的，應由辦公室拆除信息存儲部件，以防止存儲資料____。第十條辦公計算機及相關設備在變更用途時，必須進行嚴格的消磁技術處理。第十一條辦公計算機及相關設備報廢時，應由信息中心拆除存儲部件，然后交辦公室核定，由機關事務中心按有關要求統一銷毀，同時作好備案登記。嚴禁各科室自行處理報廢計算機。第十二條加強對兼職保密員的管理，積極參加國家保密工作部門____的崗位職能培訓。定期內辦公室____開展經常性的保密教育培訓，提高____工作人員的計算機信息安全保密意識與技能。第十三條辦公室要加強機關計算機信息系統安全和保密管理情況的監督，定期進行檢查，提高____隱患發現能力和____事件應急處置能力。其它各科室要密切配合，共同做好計算機信息系統安全和保密工作。第十四條____工作人員離崗離職，有關科室應即時取消其計算機____信息系統訪問授權，收回計算機、移動存儲設備等相關物品。第十五條各科室和個人應當接受并配合機關保密工作領導小組____的保密監督檢查，協助核查有關____行為。對違反本規定的有關人員應給予批評教育，并責令限期整改；造成____事件的，由有關部門根據國家相關保密法律法規進行查處，并追究相關責任人的責任。第十六條各科室要根據本規定，確保____信息安全。信息系統安全管理制度（三）總則第一條為加強公司網絡管理，明確崗位職責，規范操作流程，維護網絡正常運行，確保計算機信息系統的安全，現根據《____計算機信息系統安全保護條例》等有關規定，結合本公司實際，特制訂本制度。第二條計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。第三條信息中心的職責為專門負責本公司范圍內的計算機信息系統安全管理工作。第一章網絡管理第四條遵守公司的規章制度，嚴格執行安全保密制度，不得利用網絡從事危害公司安全、泄露公司____等活動，不得制作、瀏覽、復制、傳播反動及____穢信息，不得在網絡上發布公司相關的非法和虛假消息，不得在網上泄露公司的任何隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動，嚴格控制和防范計算機病毒的侵入。第五條各工作計算機未進行安全配置、未裝防火墻或殺毒軟件的，不得入網。各計算機終端用戶應定期對計算機系統、殺毒軟件等進行升級和更新，并定期進行病毒清查，不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的____、以及不要隨意使用帶毒u盤等介質。第六條禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源，禁止未授權用戶使用bt、電驢等占用大量帶寬的下載工具。第七條任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據，不得利用非法手段復制、截收、篡改計算機信息系統中的數據。第八條公司員工禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊，禁止非法侵入他人網絡和服務器系統，禁止利用計算機和網絡干擾他人正常工作的行為。第九條計算機各終端用戶應保管好自己的用戶帳號和____。嚴禁隨意向他人泄露、借用自己的帳號和____；嚴禁不以真實身份登錄系統。計算機使用者更應定期更改____、使用復雜____。第十條ip地址為計算機網絡的重要資源，計算機各終端用戶應在信息中心的規劃下使用這些資源，不得擅自更改。另外，某些系統服務對網絡產生影響，計算機各終端用戶應在信息中心的指導下使用，禁止隨意開啟計算機中的系統服務，保證計算機網絡暢通運行。第二章設備管理第十一條公司員工因工作需要，確需購買it設備或配件的，可向信息中心提出申請，若有符合需求的可調配設備；若無可調配或有但不符合工作需要的設備，由申請人填寫《信息設備申請表》。若因工作需要對設備配置有特殊要求的，需在申請表中說明。第十二條凡登記在案的it設備，由信息中心統一管理并張貼it設備卡。it設備卡作為相應設備的標識，各終端用戶有義務保證貼牌的整潔與完整，不得遮蓋、撕毀、涂畫等。第十三條it設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡子公司或合作單位自行購買的設備，原則上由分公司或合作單位自行負責，但若有需要，信息中心可協助處理。第十四條嚴禁使用假冒偽劣產品；嚴禁擅自外接電源開關和插座；嚴禁擅自移動和裝拆各類設備及其他輔助設備；嚴禁擅自請人維修；嚴禁擅自調整部門內部計算機信息系統的安排。第十五條設備硬件或重裝操作系統等問題由信息中心進行處理。第十六條原購it設備原則上在規定使用年限內不再重復購買，達到規定使用年限后，由信息中心會同相關部門對其審核后處理。在規定使用年限期間，計算機終端用戶因工作需要發生調動或離職，需要繼續使用該計算機的應在信息中心作變更備案；不繼續使用該計算機的，部門領導需監督責任人將計算機及相關設備及時退回信息中心，由信息中心再行支配。第十七條設備出現故障無法維修或維修成本過高，且符合報廢條件的，由it設備終端用戶提出申請，并填寫《it設備報廢申請表》，由相應部門經理簽字后報信息中心。經信息中心對設備使用年限、維修情況等進行鑒定，將報廢設備交有關部門處理，如報廢設備能出售，將收回的資金交公司財務入賬。同時，由信息中心對報廢設備登記備案、存檔。第三章數據管理第十八條計算機終端用戶計算機內的資料涉及公司____的，應該為計算機設定開____碼或將文件加密；凡涉及公司____的數據或文件，非工作需要不得以任何形式轉移，更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。第十九條工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份，并提交給所在部門部長，由部門部長負責保存。各部門經理在一個季度開始后____天之內將本部門上一季度的工作數據交行政人事部匯集后統一采用磁性介質或光盤保存。第二十條計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區，一般是c盤)外的盤上。計算機信息系統發生故障，應及時與信息中心聯系并采取保護數據安全的措施。第二十一條對重要的數據應準備雙份，存放在不同的地點；對采用磁性介質或光盤保存的數據，要定期進行檢查，定期進行復制，防止由于磁性介質損壞，而使數據丟失；做好防磁、防火、防潮和防塵工作。第四章操作管理第二十二條凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情；嚴禁除維修人員以外的外部人員操作各類設備；嚴禁非信息中心人員隨意更改設備配置。第二十三條信息中心將有針對性地對員工的計算機應用技能進行定期或不定期的培訓，培訓成績將記入員工績效考核；由信息中心收集計算機信息系統常見故障及排除方法并整理成冊，供公司員工學習參考。第二十四條計算機終端用戶在工作中遇到計算機信息系統問題，首先要學會自行處理或參照手冊處理；若遇到手冊中沒有此問題，或培訓未曾講過的問題，再與信息中心或軟件開發單位、硬件供應商聯系，盡快解決問題。第五章網站管理第二十五條公司____由信息中心提供技術支持和后臺管理，由公司相關部門提供經審核后的書面和電子版網站建設資料。(一)網站、網頁出現非法言論時的緊急處置措施1、網站、網頁由信息中心人員隨時密切監視信息內容。2、發現網上出現非法信息時，負責人員應立即向部門領導通報情況，情況緊急的應先采取刪除等處理措施，再按流程辦理。3、網站負責人員在接到通知后立即清理非法信息，強化安全防范措施，并將網站網頁重新投入使用。4、網站負責人員應妥善保存有關記錄及日志或檢查記錄。(二)黑客攻擊時的緊急處置措施1、當有網頁內容被篡改，或通過公司網絡防火墻發現有黑客正在進行攻擊時，首先應將被攻擊的服務器等設備斷開網絡，同時向上級領導匯報情況。2、網站負責人員立即進行將被破壞系統進行恢復和重建。(三)病毒安全緊急處置措施1、當發現計算機感染病毒后，應立即將該機從網絡上隔離出來。2、對存放數據的計算機的硬盤進行數據備份。3、啟用反病毒軟件對該機進行殺毒，同時用殺毒軟件對其他聯網機器進行病毒掃描和清除。4、如發現殺毒軟件無法清除該病毒，應立即向上級領導報告。5、經網站負責人員確認確實無法查殺該病毒后，應作好相關記錄，同時立即聯系相關技術人員迅速研究并解決問題。6、如果感染病毒的設備是服務器或者主機系統，經上級領導同意，應立即切斷服務器并告知客戶端人員進行客戶端機器的殺毒工作。(四)軟件系統遭受破壞性攻擊的緊急處置措施1、oa等重要的軟件系統平時必須存有備份，與軟件系統相對應的數據必須有多日備份，并將它們保存于不同的機器上。2、如發現軟件遭到破壞或運行不正常，應立即向信息中心人員報告。3、信息中心人員立即進行軟件系統和數據的恢復。(五)數據庫安全緊急處置措施1、各數據庫系統要至少準備兩個以上數據庫備份。2、一旦數據庫崩潰，應立即上級領導報告，同時通知各部門使用人員暫緩上傳上報數據。3、信息中心人員應對主機系統進行維護，如遇無法解決的問題，立即向上級領導匯報并及時通知專業技術人員進行處理。4、系統修復完畢后，按照要求恢復數據。5、如果備份數據也出現問題，及時匯報領導并且聯系軟件開發商解決。(六)設備安全緊急處置措施1、計算機、服務器等關鍵設備損壞后，應立即通知信息中心人員。2、信息中心人員應立即查明原因。3、如果能夠自行恢復，應立即用備件替換受損部件。4、如果不能自行恢復的，立即與設備提供商聯系，請求派專業維修人員進行維修。5、如果設備一時不能修復，應向上級領導匯報。(七)關鍵人員不在崗的緊急處置措施1、對于關鍵崗位平時應做好人員