歡迎閱讀本文檔，希望本文檔能對您有所幫助!歡迎閱讀本文檔，希望本文檔能對您有所幫助!感謝閱讀本文檔，希望本文檔能對您有所幫助感謝閱讀本文檔，希望本文檔能對您有所幫助歡迎閱讀本文檔，希望本文檔能對您有所幫助!感謝閱讀本文檔，希望本文檔能對您有所幫助企業信息安全管理條例第一章信息安全概述1.1、公司信息安全管理體系

信息是一個組織的血液，它的存在方式各異?？梢允谴蛴?，手寫，也可以是電子，演示和口述的。當今商業競爭日趨激烈，來源于不同渠道的威脅，威脅到信息的安全性。這些威脅可能來自內部，外部，意外的，還可能是惡意的。隨著信息存儲、發送新技術的廣泛使用，信息安全面臨的威脅也越來越嚴重了。

信息安全不是有一個終端防火墻，或者找一個24小時提供信息安全服務的公司就可以達到的，它需要全面的綜合管理。信息安全管理體系的引入，可以協調各個方面的信息管理，使信息管理更為有效。信息安全管理體系是系統地對組織敏感信息進行管理，涉及到人，程序和信息科技系統。

改善信息安全水平的主要手段有：

1）安全方針：

為信息安全提供管理指導和支持；2）安全組織：在公司內管理信息安全；

3）資產分類與管理：對公司的信息資產采取適當的保護措施；4）人員安全：減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險；

5）實體和環境安全：防止對商業場所及信息未授權的訪問、損壞及干擾；

6）通訊與運作管理：確保信息處理設施正確和安全運行；7）訪問控制：妥善管理對信息的訪問權限；

8）系統的獲得、開發和維護：確保將安全納入信息系統的整個生命周期；

9）安全事件管理：確保安全事件發生后有正確的處理流程與報告方式；

10）商業活動連續性管理：防止商業活動的中斷，并保護關鍵的業務過程免受重大故障或災害的影響；

11）符合法律。避免違反任何刑法和民法、法律法規或者合同義務以及任何安全要求。

1.2、信息安全建設的原則

1）領導重視，全員參與；

2）信息安全不僅僅是it部門的工作，它需要公司全體員工的共同參與；

3）技術不是絕對的；

4）信息安全管理遵循“七分管理，三分技術”的管理原則；5）信息安全事件符合“

二、八”原則；

6）20%的安全事件來自外部網絡攻擊，80%的安全事件發生在公司內部；

7）管理原則。管理為主，技術為輔，內外兼防，發現漏洞，消除隱患，確保安全。

1.3、信息安全管理體系建設的目的

1）保障erp系統的安全運行，控制公司信息泄密風險；2）提高企業員工對安全的認識和對安全管理的參與；3）提高企業用戶及合作伙伴對企業的信心、信任、滿意程度；4）提高企業信息安全管理的質量和水平；5）使企業更有效地管理和處理信息安全事件；6）遵守和通過相關法律法規的要求；

7）為將來企業充份利用電子商務打下重要的基礎。

第二章員工信息安全規范2.1、適用范圍

本標準規定了公司員工必須遵循的個人計算機和其他方面的安全要求，規定了員工保護公司涉密信息的責任，并列出了大量可能遇到的情況下的安全要求。

本標準適用于公司所有員工，包括子公司的員工，以及其他經授權使用公司內部資源的人員。

2.2、計算機安全要求

1）計算機信息登記與使用維護：

每臺由公司購買的計算機的領用、使用人變更、配置變更、報廢等環節必須經過it部的登記，嚴禁私自變更使用人和增減配置；

每位員工有責任保護公司的計算機資源和設備，以及包含的信息。每位員工必須把自己的計算機名字設置成固定的格式，一律采用ad域名_所屬地區編號組成；

例如某臺計算機名為ssss_100201，ssss為地區ad域名，100為地區編號，201代表該地區第201個賬戶。2）必須在所有個人計算機上激活下列安全控制：

所有計算機（包括便攜電腦與臺式機）必須設有系統密碼；系統密碼應當符合一定程度的復雜性要求，并不定期更換密碼；存儲在個人計算機中的包含有公司涉密信息的文件，需要加密存放。3）當員工離開辦公室或工作區域時：

必須立即鎖定計算機或者激活帶密碼保護的屏幕保護程序；如果辦公室或者工作區域能上鎖，最后一個離開的員工請鎖上辦公室或工作區域；

妥善保管所有包含公司涉密內容的文件，如鎖進文件柜。4）防范計算機病毒和其他有害代碼：

每位員工由公司配備的計算機上都必須安裝和運行公司授權使用的防病毒軟件；

員工必須開啟防病毒軟件實時掃描保護功能，至少每周進行一次全硬盤掃描，在網絡條件許可的情況下每天進行一次病毒庫文件的更新；

如果員工發現未能處理的病毒，應立即斷開局域網連接，以免病毒在局域網內部交叉感染，并及時向公司it部門匯報。5）軟件的使用：

員工不得私自在計算機上安裝公司禁止的軟件，公司禁止安裝的軟件包括但不限于：bt等p2p軟件、sniffer等流量監控軟件及黑客軟件、p2p終結者、網絡執法官之類的網絡管理軟件；

工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件；公司員工的機器上必須安裝并開啟功能的軟件有：金山企業版防病毒軟件、office20

10、360瀏覽器、ie8.0升級包、winrar、固網打印服務；

如果由于使用未經公司授權的且沒有許可的軟件造成公司損失，員工需要承擔全部責任。6）文件的共享：

員工在使用文件共享時，必須將其設置為受限共享；

禁止使用基于互聯網的p2p軟件和共享服務，如：bt、emule等；不得在計算機上配置匿名ftp、tftp、http，或其他無需驗證的服務；

例如。員工不得在公司的計算機上私自架設匿名ftp；未經it部門許可，不得在使用erp系統的計算機上使用u盤或移動硬盤。如因業務需要，必須要訪問其他人的硬盤。當定義共享權限時，員工必須設定用戶權限、設定訪問密碼，并及時取消所定義的共享。

7）郵件的發送與接收：

禁止使用公司的計算機散布、回復、轉發連鎖郵件、惡作劇郵件；禁止將涉及公司秘密的內部郵件轉發到互聯網上。8）公司涉密信息的保護：

公司涉密信息包括但不限于公司數據庫中的秘密信息，與公司目前或未來產品、服務或研究有關的公司技術或科技信息，業務或營銷計算、營銷收益或其他財務資料、人事資料，以及軟件等技術信息、經營信息等；

公司的員工會接觸到公司的涉密信息。員工禁止在未經公司授權的情況下泄漏這些信息，并且必須遵守公司為保護此信息而制定的各項標準和流程；

每個員工只能接觸使用與本崗位工作相關的涉密信息，禁止從非正常途徑獲取公司或部門的涉密信息；禁止非授權復制涉密信息；

對公司文檔的保管、存檔、發送、刪除、銷毀、復制等必須遵守公司相關的文檔保密管理規定；

禁止使用提供翻譯服務的互聯網站來翻譯公司的涉密信息；公司涉密信息盡量避免通過互聯網傳送，但由于工作需要，需要通過電子郵件等方式發送公司涉密信息時，可以采用winrar加密壓縮的方式把涉密內容作為附件發送，然后通過其他渠道告知對方加密密碼。

9）公司信箱的帳戶及密碼

所有的密碼必須符合如下條件：

至少8個字符長，并且包含英文、數字及特殊字符；禁止把用戶名用作密碼或其一部分；

舊密碼中任何三個連續的字符盡量不要連續出現在新密碼中；公司要求員工至少每30天更換一次密碼。10）內部網絡使用規則

禁止在網絡上偽裝為他人身份；

不得私自安裝網絡管理軟件，監控網絡流量或者妨礙他人使用網絡資源；

不得對公司網絡或服務器以及網絡中他人電腦運行安全掃描程序或者惡意攻擊；

未經it部允許，不得增加網絡設備到公司的網絡中，嚴禁私自購買路由器、交換機接入公司網絡等行為；宿舍區電腦大部分屬于員工私人計算機，禁止將公司數據及其他涉及到公司機密的電子文件傳入私人計算機中；

第三章公司信息安全管理檢查執行規定

3.1.檢查原則

根據違規行為的性質、造成的后果及違規人的主觀意愿對違規行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監控不力、權限審核不當，造成公司安全制度和措施難以落實，安全管理工作混亂的部門，部門負責人須承擔領導責任。對違反信息安全管理規定者，如其直接領導有明顯管理和指導不力的須承擔連帶責任。

3.2.檢查方式

公司技術部門抽調網絡管理人員，不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件，排查違規電腦，追究相關當事人。

3.3.檢查結果

對于故意盜竊、泄露公司保密信息的，或故意違反信息安全管理規定，性質特別嚴重造成重大損失的，給予罰款、降薪、降職、辭退、直至開除的處理，并賠償公司損失。對于觸犯國家法律的，移交國家司法機關依法處理。。對違反公司信息安全制度規定，性質較輕，在公司內部系統給予點名通報批評，并記錄在案，責令限期改正。

第二篇：（施工企業）安全生產管理條例第一章總則

第一條為了加強建設工程安全生產監督管理，保障人民群眾生命和財產安全，根據《中華人民共和國建筑法》、《中華人民共和國安全生產法》，制定本條例。

第二條在中華人民共和國境內從事建設工程的新建、擴建、改建和拆除等有關活動及實施對建設工程安全生產的監督管理，必須遵守本條例。

本條例所稱建設工程，是指土木工程、建筑工程、線路管道和設備安裝工程及裝修工程。

第三條建設工程安全生產管理，堅持安全第

一、預防為主的方針。

第四條建設單位、勘察單位、設計單位、施工單位、工程監理單位及其他與建設工程安全生產有關的單位，必須遵守安全生產法律、法規的規定，保證建設工程安全生產，依法承擔建設工程安全生產責任。

第五條國家鼓勵建設工程安全生產的科學技術研究和先進技術的推廣應用，推進建設工程安全生產的科學管理。

第二章建設單位的安全責任

第六條建設單位應當向施工單位提供施工現場及毗鄰區域內供水、排水、供電、供氣、供熱、通信、廣播電視等地下管線資料，氣象和水文觀測資料，相鄰建筑物和構筑物、地下工程的有關資料，并保證資料的真實、準確、完整。

建設單位因建設工程需要，向有關部門或者單位查詢前款規定的資料時，有關部門或者單位應當及時提供。

第七條建設單位不得對勘察、設計、施工、工程監理等單位提出不符合建設工程安全生產法律、法規和強制性標準規定的要求，不得壓縮合同約定的工期。

第八條建設單位在編制工程概算時，應當確定建設工程安全作業環境及安全施工措施所需費用。

第九條建設單位不得明示或者暗示施工單位購買、租賃、使用不符合安全施工要求的安全防護用具、機械設備、施工機具及配件、消防設施和器材。

第十條建設單位在申請領取施工許可證時，應當提供建設工程有關安全施工措施的資料。

依法批準開工報告的建設工程，建設單位應當自開工報告批準之日起15日內，將保證安全施工的措施報送建設工程所在地的縣級以上地方人民政府建設行政主管部門或者其他有關部門備案。

第十一條建設單位應當將拆除工程發包給具有相應資質等級的施工單位。

建設單位應當在拆除工程施工15日前，將下列資料報送建設工程所在地的縣級以上地方人民政府建設行政主管部門或者其他有關部門備案：

（一）施工單位資質等級證明；

（二）擬拆除建筑物、構筑物及可能危及毗鄰建筑的說明；

（三）拆除施工組織方案；

（四）堆放、清除廢棄物的措施。

實施爆破作業的，應當遵守國家有關民用爆炸物品管理的規定。

第三章勘察、設計、工程監理及其他有關單位的安全責任

第十二條勘察單位應當按照法律、法規和工程建設強制性標準進行勘察，提供的勘察文件應當真實、準確，滿足建設工程安全生產的需要。

勘察單位在勘察作業時，應當嚴格執行操作規程，采取措施保證各類管線、設施和周邊建筑物、構筑物的安全。

第十三條設計單位應當按照法律、法規和工程建設強制性標準進行設計，防止因設計不合理導致生產安全事故的發生。

設計單位應當考慮施工安全操作和防護的需要，對涉及施工安全的重點部位和環節在設計文件中注明，并對防范生產安全事故提出指導意見。

采用新結構、新材料、新工藝的建設工程和特殊結構的建設工程，設計單位應當在設計中提出保障施工作業人員安全和預防生產安全事故的措施建議。

設計單位和注冊建筑師等注冊執業人員應當對其設計負責。

第十四條工程監理單位應當審查施工組織設計中的安全技術措施或者專項施工方案是否符合工程建設強制性標準。

工程監理單位在實施監理過程中，發現存在安全事故隱患的，應當要求施工單位整改；情況嚴重的，應當要求施工單位暫時停止施工，并及時報告建設單位。施工單位拒不整改或者不停止施工的，工程監理單位應當及時向有關主管部門報告。

工程監理單位和監理工程師應當按照法律、法規和工程建設強制性標準實施監理，并對建設工程安全生產承擔監理責任。

第十五條為建設工程提供機械設備和配件的單位，應當按照安全施工的要求配備齊全有效的保險、限位等安全設施和裝置。

第十六條出租的機械設備和施工機具及配件，應當具有生產（制造）許可證、產品合格證。

出租單位應當對出租的機械設備和施工機具及配件的安全性能進行檢測，在簽訂租賃協議時，應當出具檢測合格證明。

禁止出租檢測不合格的機械設備和施工機具及配件。

第十七條在施工現場安裝、拆卸施工起重機械和整體提升腳手架、模板等自升式架設設施，必須由具有相應資質的單位承擔。

安裝、拆卸施工起重機械和整體提升腳手架、模板等自升式架設設施，應當編制拆裝方案、制定安全施工措施，并由專業技術人員現場監督。

施工起重機械和整體提升腳手架、模板等自升式架設設施安裝完畢后，安裝單位應當自檢，出具自檢合格證明，并向施工單位進行安全使用說明，辦理驗收手續并簽字。

第十八條施工起重機械和整體提升腳手架、模板等自升式（本文權屬文秘之音所有，更多文章請登陸查看）架設設施的使用達到國家規定的檢驗檢測期限的，必須經具有專業資質的檢驗檢測機構檢測。經檢測不合格的，不得繼續使用。

第十九條檢驗檢測機構對檢測合格的施工起重機械和整體提升腳手架、模板等自升式架設設施，應當出具安全合格證明文件，并對檢測結果負責。

第四章施工單位的安全責任

第二十條施工單位從事建設工程的新建、擴建、改建和拆除等活動，應當具備國家規定的注冊資本、專業技術人員、技術裝備和安全生產等條件，依法取得相應等級的資質證書，并在其資質等級許可的范圍內承攬工程。

第三篇：企業信息安全管理制度企業信息安全管理制度

關鍵字：密碼數據機房iso27001作者：亞遠景科技有限公司轉載請注明出處

一、計算機設備管理制度

1.計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

2.非本單位技術人員對我單位的設備、系統等進行維修、維護時，必須由本單位相關技術人員現場全程監督。計算機設備送外維修，須經有關部門負責人批準。

3.嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口，計算機出現故障時應及時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行維修及操作。

二、操作員安全管理制度

（一）.操作代碼是進入各類應用系統進行業務操作、分級對數據存取進行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置；

（二）.系統管理操作代碼的設置與管理

1、系統管理操作代碼必須經過經營管理者授權取得；

2、系統管理員負責各項應用系統的環境生成、維護，負責一般操作代碼的生成和維護，負責故障恢復等管理及維護；

3、系統管理員對業務系統進行數據整理、故障恢復等操作，必須有其上級授權；

4、系統管理員不得使用他人操作代碼進行業務操作；

5、系統管理員調離崗位，上級管理員（或相關負責人）應及時注銷其代碼并生成新的系統管理員代碼；

（三）.一般操作代碼的設置與管理

1、一般操作碼由系統管理員根據各類應用系統操作要求生成，應按每操作用戶一碼設置。

2、操作員不得使用他人代碼進行業務操作。

3、操作員調離崗位，系統管理員應及時注銷其代碼并生成新的操作員代碼。

三、密碼與權限管理制度

1.密碼設置應具有安全性、保密性，不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼，也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼，用戶密碼是登陸系統時所設的密碼，操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日，重復、順序、規律數字等容易猜測的數字和字符串；

2.密碼應定期修改，間隔時間不得超過一個月，如發現或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿記錄用戶名、修改時間、修改人等內容。

3.服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人（不參與系統開發和維護的人員）設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經過相關部門負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。

4.系統維護用戶的密碼應至少由兩人共同設置、保管和使用。

5.有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除，同時在“密碼管理登記簿”中登記。

四、數據安全管理制度

1.存放備份數據的介質必須具有明確的標識。備份數據必須異地存放，并明確落實異地備份數據的管理職責;

2.注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理，保證存儲介質的物理安全。

3.任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批，以保證備份數據安全完整。

4.數據恢復前，必須對原環境的數據進行備份，防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行，出現問題時由技術部門進行現場技術支持。數據恢復后，必須進行驗證、確認，確保數據恢復的完整性和可用性。

5.數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存，并確?？梢噪S時使用。數據清理的實施應避開業務高峰期，避免對聯機業務運行造成影響。

6.需要長期保存的數據，數據管理部門需與相關部門制定轉存方案，根據轉存方案和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。

7.非本單位技術人員對本公司的設備、系統等進行維修、維護時，必須由本公司相關技術人員現場全程監督。計算機設備送外維修，須經設備管理機構負責人批準。送修前，需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除，并進行登記。對修復的設備，設備維修人員應對設備進行驗收、病毒檢測和登記。

8.管理部門應對報廢設備中存有的程序、數據資料進行備份后清除，并妥善處理廢棄無用的資料和介質，防止泄密。

9.運行維護部門需指定專人負責計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，經常進行計算機病毒檢查，發現病毒及時清除。

10.營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。

五、機房管理制度

1.進入主機房至少應當有兩人在場，并登記“機房出入管理登記簿”，記錄出入機房時間、人員和操作內容。

2.it部門人員進入機房必須經領導許可，其他人員進入機房必須經it部門領導許可，并有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非it部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時，經it部門負責人批準同意后有關人員監督下進行。對操作內容進行記錄，由操作人和監督人簽字后備查。

3.保持機房整齊清潔，各種機器設備按維護計劃定期進行保養，保持清潔光亮。

4.工作人員進入機房必須更換干凈的工作服和拖鞋。

5.機房內嚴禁吸煙、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房，嚴禁攜帶與上機無關的物品，特別是易燃、易爆、有腐蝕等危險品進入機房。

6.機房工作人員嚴禁違章操作，嚴禁私自將外來軟件帶入機房使用。

7.嚴禁在通電的情況下拆卸，移動計算機等設備和部件。

8.定期檢查機房消防設備器材。

9.機房內不準隨意丟棄儲蓄介質和有關業務保密數據資料，對廢棄儲蓄介質和業務保密資料要及時銷毀（碎紙），不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。

10.主機設備主要包括。服務器和業務操作用pc機等。在計算機機房中要保持恒溫、恒濕、電壓穩定，做好靜電防護和防塵等項工作，保證主機系統的平穩運行。服務器等所在的主機要實行嚴格的門禁管理制度，及時發現和排除主機故障，根據業務應用要求及運行操作規范，確保業務系統的正常工作。

11.定期對空調系統運行的各項性能指標（如風量、溫升、濕度、潔凈度、溫度上升率等）進行測試，并做好記錄，通過實際測量各項參數發現問題及時解決，保證機房空調的正常運行。

12.計算機機房后備電源（ups）除了電池自動檢測外，每年必須充放電一次到兩次。

一、機房管理制度

1、路由器、交換機和服務器以及通信設備是網絡的關鍵設備，須放置計算機機房內，不得自行配置或更換，更不能挪作它用。

2、計算機房要保持清潔、衛生，并由專人7*24負責管理和維護（包括溫度、濕度、電力系統、網絡設備等），無關人員未經管理人員批準嚴禁進入機房。

3、嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房。

4、建立機房登記制度，對本地局域網絡、廣域網的運行，建立檔案。未發生故障或故障隱患時當班人員不可對中繼、光纖、網線及各種設備進行任何調試，對所發生的故障、處理過程和結果等做好詳細登記。

5、網管人員應做好網絡安全工作，服務器的各種帳號嚴格保密。監控網絡上的數據流，從中檢測出攻擊的行為并給予響應和處理。

6、做好操作系統的補丁修正工作。

7、網管人員統一管理計算機及其相關設備，完整保存計算機及其相關設備的驅動程序、保修卡及重要隨機文件。

8、計算機及其相關設備的報廢需經過管理部門或專職人員鑒定，確認不符合使用要求后方可申請報廢。

9、制定數據管理制度。對數據實施嚴格的安全與保密管理，防止系統數據的非法生成、變更、泄露、丟失及破壞。當班人員應在數據庫的系統認證、系統授權、系統完整性、補丁和修正程序方面實時修改。

二、計算機病毒防范制度

1、網絡管理人員應有較強的病毒防范意識，定期進行病毒檢測（特別是郵件服務器），發現病毒立即處理并通知管理部門或專職人員。

2、采用國家許可的正版防病毒軟件并及時更新軟件版本。

3、未經上級管理人員許可，當班人員不得在服務器上安裝新軟件，若確為需要安裝，安裝前應進行病毒例行檢測。

4、經遠程通信傳送的程序或數據，必須經過檢測確認無病毒后方可使用。

三、數據保密及數據備份制度

1、根據數據的保密規定和用途，確定使用人員的存取權限、存取方式和審批手續。

2、禁止泄露、外借和轉移專業數據信息。

3、制定業務數據的更改審批制度，未經批準不得隨意更改業務數據。

4、每周五當班人員制作數據的備份并異地存放，確保系統一旦發生故障時能夠快速恢復，備份數據不得更改。

5、業務數據必須定期、完整、真實、準確地轉儲到不可更改的介質上，并要求集中和異地保存，保存期限至少2年。

6、備份的數據必須指定專人負責保管，由管理人員按規定的方法同數據保管員進行數據的交接。交接后的備份數據應在指定的數據保管室或指定的場所保管。

8、備份數據資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。

網絡安全管理員的職責

一、網絡安全管理員主要負責全公司網絡（包含局域網、廣域網）的系統安全性。

二、負責日常操作系統、網管系統、郵件系統的安全補丁、漏洞檢測及修補、病毒防治等工作。

三、網絡安全管理員應經常保持對最新技術的掌握，實時了解internet的動向，做到預防為主。

四、良好周密的日志記錄以及細致的分析經常是預測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者的有力武器。察覺到網絡處于被攻擊狀態后，網絡安全管理員應確定其身份，并對其發出警告，提前制止可能的網絡犯罪，若對方不聽勸告，在保護系統安全的情況下可做善意阻擊并向主管領導匯報。

五、在做好本職工作的同時，應協助機房管理人員進行機房管理，嚴格按照機房制度執行日常維護。

六、每月安全管理人員應向主管人員提交當月值班及事件記錄，并對系統記錄文件保存收檔，以備查閱。具體文件及方法如下：在nt中是使用administrativetools菜單中eventviewer查看系統的system、security、application日志文件。對netware而言，錯誤日志是sys＄log.err文件，通過syscon菜單中supervisoroptions下viewfileservererrorlog觀察記錄，另外文卷錯誤日志文件是各文卷中的vol＄log.log以及事務跟蹤處理系統錯誤日志文件sys：文卷中的tts＄log.err文件。unix中各項日志包括/usr/adm目錄下的系統錯誤登記文件message、使用su命令的記錄文件sulog、每個用戶記錄上次注冊時間的登記文件lastlog、系統中注冊用戶的有關信息文件wtmp、每個用戶所執行命令的內容項文件acct以及/etc目錄下當前注冊用戶的有關信息文件utmp和其他應用程序產生的日志文件。對于其中的一些日志文件，可以采用who或w命令查看當前系統的登錄使用者（xenix系統中還可以用whodo命令確定當前用戶的行為）；last命令查看以前的登錄情況，這些命令都可以合并使用grep進行條件控制選擇過濾；用find查看文件及其屬主，特別監控具有根訪問權的進程及文件以及檢查開機文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at運行的文件，并用corntab－l與corntab－r命令對用戶的corntab文件進行列出與刪除管理；使用ls－lr生成主檢查表，并定期生成新表，使用diff命令進行比較，并使檢查通過的新表成為新的主檢查表，直到下一次檢查為止。強烈建議在inetd.conf中注釋掉所有的r打頭的命令文件，以及去掉/etc/hosts.equiv中的所有項并不允許用戶設立個人的.rhosts文件，使可信主機不予設立或為空以加強系統的安全。

一、機房管理制度

服務器機房由網絡維護員專門負責管理。其它人員不得入內。機房鑰匙不得轉借他人。

網絡維護員負責局域網的防毒和殺毒工作。并經常為服務器及其計算機設備進行病毒檢查。

網絡維護員要確保機房內各設備正常工作，出現故障應及時處理。如不能及時處理應向部門經理報告。

機房內保持環境清潔，地面、窗臺和窗戶無灰尖。并經常為服務器及交換機等設備除塵。保持室內空氣干燥流通。

在原有設備的基礎上，為了更好的利有現有打印機的資源。使用上實現分片共享。

服務器和交換機等設備無特殊情況不得隨意關閉，所有設備必須接ups保護電池，以防止突然停電對設備造成損壞和資料丟失。

二、局域網管理制度

1、局域網管理工作由網絡維護員負責。

2、出現問題、故障或發現病毒，及時通知網絡維護員。由網絡維護員及時處理和排除，并做記錄。

3、網絡客戶如果確實要進行如上操作，可向網絡維護員說明，獲得同意后方可操作。

4、嚴禁在計算機有未殺的情況下發送電子郵件和拷貝文件到其它客戶機上。

5、除網絡維護員外，其它人員不得在服務器上任意安裝和刪除軟件，不得隨意更改服務器和交換機上的各項系統設置。

6、網絡客戶機上的操作人員不得更改計算機上的各系統設置。網絡客戶機不得使用盜版的軟件和計算機游戲軟件。

7、需要對局域網做大的改動時，須向部門經理請示，征得批準后方可進行。

8、上班期間不準上網聊天或玩游戲。網上客戶機不得裝載任何游戲軟件或下載軟件。下載軟件須經信息資源部批準方可下載。

一、服務器機房由機房主管人員和管理人員專門負責管理。其它人員未經允許不得入內。機房鑰匙不得轉借他人。

二、機房管理人員負責校園網的防毒和殺毒工作。并經常為服務器及其微機設備進行病毒檢查。

三、機房管理人員要確保機房內各設備正常工作，出現故障應及時處理。如不能及時處理應向主管和部門負責人報告。

四、機房內保持環境清潔，地面、窗臺和窗戶無灰尖。并經常為服務器及交換機等設備除塵。保持室內空氣干燥流通。

五、服務器和交換機等設備無特殊情況不得隨意關閉，所有設備必須接ups保護電池，以防止突然停電對設備造成損壞和資料丟失。

六、機房應做好防潮、防塵、防水、防熱、防火、防盜等工作。下班人員離開前應切斷電源，關好門窗，以確保安全。

七、機房主管人員對所管機房的微機及設備負全部責任。未經機房主管人員同意，任何人不準自行使用，移動和調換。

八、機房管理人員要堅守值班崗位，密切監視校園網網絡的工作情況，防止黑客襲擊，做好每天的數據備份，不得無故脫離崗，并做好交接班記錄。

九、機房管理人員要注意保密工作，不得隨意泄露學校秘密信息。

十、健全機房設備固定資產臺帳和低值易耗品臺帳，建立設備使用記錄本，記錄使用、維修等變化情況。

第四篇：企業信息安全管理辦法信息安全管理辦法

第一章總則

第一條

為加強公司信息安全管理，推進信息安全體系建設，保障信息系統安全穩定運行，根據國家有關法律、法規和《公司信息化工作管理規定》，制定本辦法。

第二條

本辦法所指的信息安全管理，是指計算機網絡及信息系統（以下簡稱信息系統）的硬件、軟件、數據及環境受到有效保護，信息系統的連續、穩定、安全運行得到可靠保障。

第三條

公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各信息系統的主管部門、運營和使用單位各自履行相關的信息系統安全建設和管理的義務與責任。

第四條

信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。

第五條

本辦法適用于公司總部、各企事業單位及其全體員工。

第二章信息安全管理組織與職責

第六條

公司信息化工作領導小組是信息安全工作的最高決策機構，負責信息安全政策、制度和體系建設規劃的審批，部署并協調信息安全體系建設，領導信息系統等級保護工作。

第七條

公司建立和健全由總部、企事業單位以及信息技術支持單位三方面組成，協調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導，確定相關責任，設置相應崗位，配備必要人員。

第八條

信息管理部是公司信息安全的歸口管理部門，負責落實信息化工作領導小組的決策，實施公司信息安全建設與管理，確保重要信息系統的有效保護和安全運行。具體職責包括：組織制定和實施公司信息安全政策標準、管理制度和體系建設規劃，組織實施信息安全項目和培訓，組織信息安全工作的監督和檢查。

第九條

公司保密部門負責信息安全工作中有關保密工作的監督、檢查和指導。

第十條

企事業單位信息部門負責本單位信息安全的管理，具體職責包括：在本單位宣傳和貫徹執行信息安全政

策與標準，確保本單位信息系統的安全運行，實施本單位信息安全項目和培訓，追蹤和查處本單位信息安全違規行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。

第十一條

技術支持單位在信息管理部的領導下，承擔所負責的信息系統和所在區域的信息安全管理任務，主要包括：在所維護系統和本區域內宣傳和貫徹信息安全政策與標準，確保所負責信息系統的安全運行。

第十二條

各級信息管理部門設立信息安全管理和技術崗位，包括信息安全、應用系統、數據庫、操作系統、網絡負責人和管理員，重要崗位可設置兩個員工互為備份。

第十三條

信息安全崗位的設立應遵循職責分離的要求，包括。制度監督者與執行者分離，信息系統授權者與操作者分離，應用系統管理員與數據庫管理員分離，程序開發人員不應具備對生產環境的訪問權限。

第十四條

公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統控制要求，承擔相關安全義務和責任，并及時報告信息安全事件。

第三章信息安全目標與工作原則

第十五條

信息安全工作的總體目標是。實施信息系統安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐公司業務持續、穩定、健康發展。

第十六條

信息安全體系建設必須堅持以下原則。堅持統一。信息安全體系必須統一規劃、統一標準、統一設計、統一投資、統一建設、統一管理。

保障應用。保障網絡和信息系統，特別是全局網絡和重要業務信息系統不間斷穩定運行及其信息的安全，實現以應用促安全，以安全保應用。

符合法規。信息安全體系要滿足法律法規要求，包括國家對信息系統等級保護、企業內部控制要求，積極采用法律法規允許的、成熟的先進技術和專業安全服務。

綜合防范。管理與技術并重，相互補充。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合防范。

集中共享。建立集中、統一的信息安全技術服務平臺和

集中專業化的信息安全隊伍。

第四章信息安全工作基本要求

第十七條

根據公司信息安全專項規劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，并保持三個體系穩定、均衡發展。

第十八條

建立全面的信息安全管理體系：

制定并實施統一的信息安全策略、管理制度和技術標準。

實行信息系統資產管理責任制，保護信息系統，特別是核心信息系統的設備、軟件、數據和技術文檔的安全。

建立信息系統物理環境、網絡、系統、應用、數據等各層面的安全管理流程，實現對信息系統全生命周期的安全管理。

實現對信息系統的安全風險管理，及時發現和防范安全隱患。

第十九條

建立有效的信息安全技術體系：

強化網絡、桌面和應用系統安全防護體系，按照自主定級、自主保護的原則，評估確定各信息系統保護等級并實施

相應的保護措施。

建立統一的網絡安全信任體系，加強網絡實體身份管理與認證，為網絡和信息系統安全運行提供信任基礎。

建立完善有效的安全監控和預警體系，監控重要網絡和核心業務系統，及時發現安全隱患。

建立全面有效的應急響應體系，制定并落實完整、規范的應急處理和響應流程，完善信息安全報告、處理機制。

建立包括同城和異地容災備份中心的信息系統災難恢復體系，定期進行災難恢復的測試和演練，確保災難發生后能夠充分發揮備份的效能，降低造成的影響和損失。

第五章信息安全監控

第二十條

信息安全監控的目的是對威脅系統、數據庫及網絡安全的因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果要保存一年以上。

第二十一條

信息系統的運行和維護單位，在國家法律和公司有關規定許可的范圍內，具體進行規范、合理、有效的信息安全監控。使用公司網絡及應用系統的用戶有義務接受

必要的監控。監控不能影響、泄漏不涉及安全問題的網上行為和個人隱私的內容。

第二十二條

各級信息部門負責制定和實施信息安全監控計劃，包括日常監控、應急處理和定期匯報。

第二十三條

日常監控分為實時監控和定期檢查，包括應用系統、數據庫、操作系統、網絡、物理環境以及外部人員對信息系統訪問的實時監控與定期檢查。監控及檢查結果要存檔備查，異常情況須及時向有關負責人匯報。

第二十四條

各級信息部門應對網絡及重要信息系統制定詳細的應急處理預案。應急處理按照預案進行，并至少每年組織一次相關崗位人員進行應急預案演練。

第二十五條

各級信息部門編制、上報信息安全月報和年報，及時向主管領導和上級部門匯報重大信息安全風險和事件。

第六章信息安全風險評估

第二十六條

信息管理部負責組織建立風險評估規范及實施團隊，定期或在重大、特殊事件發生時進行風險評估。

第二十七條

風險評估包括范圍確定、風險識別、風險分析和控制措施，確保信息安全，滿足應用和業務需要。

評估范圍可包括管理組織、流程、政策與標準、應用系統、數據庫、操作系統、網絡、物理環境，應涵蓋公司內部關鍵控制點。

風險識別包括識別風險類型和風險事件，形成風險列表，更新信息風險數據庫。

風險分析包括信息資產分類、風險發生概率和影響程度分析，并確定風險等級，形成風險評估報告。

控制措施包括安全管理策略和風險控制措施，形成風險控制報告。

第二十八條

信息管理部將風險評估和控制報告上報信息主管領導審批。根據領導審批意見，落實控制措施。

第七章信息安全培訓

第二十九條

信息管理部負責制定公司信息安全培訓計劃，組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓，培訓計劃報信息管理部備案。

第三十條

信息管理部及各企事業單位信息部門對應用系統、數據庫、操作系統和網絡管理員、開發人員進行信息安全技術培訓，提高信息安全管理和維護水平。

第三十一條

信息管理部及各企事業單位信息部門分層次、分類型對員工進行信息安全培訓，包括針對業務和技術管理人員進行管理層面的信息安全管理培訓，針對從事日常業務處理人員進行操作層面基本安全知識培訓。

第三十二條

員工上崗前，應進行崗位信息安全培訓，并簽署信息安全保密協議。在崗位發生變動時，及時調整信息系統操作權限。

第三十三條

信息安全政策與標準發生重大調整、新建和升級的信息系統投入使用前，開展必要的安全培訓，明確相關調整和變更所帶來的信息安全權限和責任的變化。

第八章信息安全檢查與考核

第三十四條

信息管理部定期進行信息安全檢查與考核，包括信息安全政策與標準的培訓與執行情況、重大信息安全事件及整改措施落實情況、現有信息安全措施的有效性、信息安全技術指標完成情況。

第三十五條

各企事業單位信息部門按照本辦法和《公司信息系統運行維護管理辦法》進行信息安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領導。

第三十六條

對于不執行本辦法造成嚴重后果的，應追究相關部門和個人責任。

第九章附則

第三十七條

各企事業單位可參照本管理辦法制定相應的實施細則。

第三十八條第三十九條

本辦法由公司信息管理部負責解釋。本辦法自印發之日起施行。

第五篇：企業信息安全保密管理辦法企業信息安全保密管理辦法

1.目的作用

企業內部的“信息流”與企業的“人流”、“物流”、“資金流”，均為支持企業生存與發展的最基本條件?？梢娦畔⑴c人、財、物都是企業的財富，但信息又是一種無形的資產，客觀上使人們利用過程中帶來安全管理上的困難。為了保護公司的利益不受侵害，需要加強對信息的保密管理，使公司所擁有的信息在經營活動中充分利用，為公司帶來最大的效益，特制定本制度。

2.管理職責

由于企業的信息貫穿在企業經營活動的全過程和各個環節，所以信息的保密管理，除了領導重視而且需全員參與，各個職能部門人員都要嚴格遵守公司信息保密制度，公司督察部具體負責對各部門執行情況的檢查和考核。

3.公司文件資料的形成過程保密規定擬稿過程

擬稿是文件、資料保密工作的開始，對有保密要求的文件、資料，在擬稿過程應按以下規定辦理：

初稿形成后，要根據文稿內容確定密級和保密期限，在編文號時應具體標明。草稿紙及廢紙不得亂丟，如無保留價值應及時銷毀。

文件、資料形成前的討論稿、征求意見稿、審議稿等，必須同定稿一樣對待，按保密原則和要求管理。印制過程

秘密文件、資料，應由公司機要打字員打印，并應注意以下幾點：

要嚴格按照主管領導審定的份數印制，不得擅自多印多留。要嚴格控制印制工程中的接觸人員。

打印過程形成的底稿、清樣、廢頁要妥善處理，即使監銷。復制過程

復制過程是按照規定的閱讀范圍擴大文件、資料發行數量，要求如下：

復制秘密文件、資料要建立嚴格的審批、登記制度。復制件與正本文件、資料同等密級對待和管理。嚴禁復制國家各種秘密文稿和國家領導人的內部講話。

1絕密文件、資料、未經原發文機關批準不得自行復制。

4.公司文件資料傳遞、閱辦過程保密規定

收發過程

收進文件時要核對收件單位或收件人，檢查信件封口是否被開啟。

收文啟封后，要清點份數，按不同類別和密級，分別進行編號、登記、加蓋收文章。發文時要按照文件、資料的類別和文號及順序號登記清楚去向，并填寫好發文通知單，封面要編號并加蓋密級章。

收發文件、資料都要建立登記制度和嚴格實行簽收手續。遞送過程

企業內部建有文件、資料交換站的，可通過交換站進行，一律直送直取。遞送外地文件、資料，要通過機要交通或派專人遞送。

凡攜帶秘密文件、資料外出，一般要有兩人以上同行，必須裝在可靠的文件包或箱內，做到文件不離人。

遞送的秘密文件、資料，一律要包裝密封，并標明密級。閱辦過程

呈送領導人批示的文件、資料、應進行登記。領導人批示后，要及時退還或由經管文件部門當日收回。領導人之間不得橫向傳批文件、不得把文件直接交承辦單位（人）。凡需有關部門（人）承辦的文件、資料，一律由文件經管部門辦理。

絕密文件、資料，一般不傳閱，應在特別設立的閱文室內閱讀。

秘密文件、資料，不得長時間在個人手中保留，更不能帶回家或公共場所。要控制文件、資料閱讀范圍，無關人員不能看文件、資料。

5.公司文件資料歸檔、保管過程中的保密規定

歸檔過程

秘密文件、資料在歸檔時，要在卷宗的扉頁標明原定密級，并以文件資料中最高密級為準。不宜于保留不屬于企業留存的“三密”文件、資料，要及時清理上交或登記銷毀，防止失散。

有密級的檔案，要按保密文件、資料管理辦法進行管理。保密