信息安全管理體系匯編（第一版）網絡運營中心監制2015年3月目錄網絡運營中心監制

目錄信息安全工作指導方針 PAGE30附件4：辦公設備維修報廢流程附件5：辦公設備領用單辦公設備領用單日期物品名稱數量領用人部門領用人簽字附件6：辦公設備調撥申請表辦公設備調撥申請表申請日期申請調出部門申請調入部門申請調撥人員姓名工作證號碼手機號碼是否對設備內信息進行處理□是□否處理人調撥原因：調出部門意見：簽字：時間：調入部門意見：簽字：時間：資產管理部意見：簽字：時間：附件7：辦公設備送外維修申請表辦公設備送外維修申請表申請人申請部門申請日期維修設備是否對敏感信息進行處理□是□否處理人送外維修事由：資產管理部意見：簽字：時間：桌面終端安全管理制度

桌面終端安全管理制度總則為加強集團桌面終端的管理，規范集團桌面終端的安全配置和使用，降低由于個人對桌面終端的使用不當而給集團造成的風險，提高集團桌面終端的安全標準化程度，特制定本制度。本制度所涉及的桌面終端包括辦公終端、生產終端、外部移動終端，適用于所有使用終端設備的員工。員工桌面終端安全要求員工對所使用的桌面終端負有責任，必須保證正確的使用或操作，同時需采取適當措施防止桌面終端設備遭受各種損害。員工有責任參加相應培訓以掌握集團桌面終端的使用技能和了解相關管理規范。不得在未經許可的情況下使用他人或其他未經授權的桌面終端設備，也無權將自己使用的桌面終端任意地轉借他人；在工作需要的情況下，員工可以允許他人在其監控下操作自己的電腦，但由員工本人承擔使用過程中的安全責任。員工對所使用的桌面終端中安裝的軟件負有保護責任，集團的任何員工不得在未授權的情況下擅自將集團的電腦軟件進行復制、存儲、傳送或刪除。員工在電腦使用過程中有責任及時上報所遇見的故障、錯誤等各類安全事件以保證網絡運營中心能夠及時采取相應措施，并應當在事件的處理過程中協助相關人員開展工作。集團擁有對桌面終端進行管理、審核的權利，保留在未經員工允許的情況下訪問和檢查業務終端的權利。任何用戶、員工或臨時人員，不遵從本規范的可以采取警告、批評或終止訪問權限等措施；情節嚴重的，追究主管領導和責任人的責任；對違反有關法律、法規的，將依法追究其法律責任。集團放在辦公區和機房內的各種桌面終端設備由網絡運營中心網絡管理員負責管理和維護，其它部門員工不能私自改變設備的硬件配置、位置及其相關的資產編號。桌面終端初始配置新申請的桌面終端,將由網絡運營中心技術人員負責安裝操作系統以及設置系統環境。配置完畢后，交由員工使用，并進行登記。員工不得擅自更改桌面終端的關鍵配置，改變桌面終端硬件配置，拆裝桌面終端均由網絡運營中心技術人員負責處理。（關鍵配置：計算機名稱，TCP/IP網絡設置，計算機所屬域，安全策略等）初始安裝的軟件有：操作系統硬件驅動程序、多功能打印機驅動、系統補丁、MSoffice、多媒體播放軟件、即時通訊軟件等必要辦公軟件。其余軟件會放在文件服務器上，有需要請自行下載安裝。為保證數據的安全和完整，關鍵數據存放在非系統分區上（通常為非C盤分區）。集團桌面終端若沒有特殊需要不允許安裝第二個操作系統、不允許自己重裝操作系統、殺毒軟件，更不能私自設立服務系統(如DHCP、DNC、PROXY、E-MailServer等)。桌面終端接入網絡桌面終端設備接入內部網絡必須安裝統一的防病毒軟件，并能夠定期更新病毒庫，由網絡運營中心技術人員檢測是否符合要求。桌面終端接入內部網絡必須進行補丁升級，由網絡運營中心技術人員檢測是否升級到最新補丁。桌面終端設備接入內部網絡需要在網絡運營中心登記，記錄桌面終端的所屬部門、使用人、MAC地址、防病毒安裝情況、補丁安裝情況等信息。并由網絡運營中心技術人員分配IP地址，并與MAC綁定。禁止員工將個人臺式機或筆記本等相關電腦設備私自接入集團內部網絡，如果工作需要的話，需要經過網絡運營中心技術人員的安全檢測，在不存在安全問題并符合接入集團內部網絡相應規定的情況下方可使用。對部分員工私自將電腦接入集團內部網使用，造成集團其他電腦故障或集團內部網絡癱瘓的問題，一切后果由個人承擔，并按照相關規定給予相應的處罰。桌面終端日常使用桌面終端賬號密碼設置：員工應及時更改出庫桌面終端的初始密碼，不得將桌面終端的密碼設置為空；盡量避免使用與個人有關數據（如生日、電話號碼等）和常用的英文單詞當作密碼；員工桌面終端的密碼復雜度應滿足一定要求，至少保證最小長度8位以上，數字、字母或特殊字符組合；員工應根據所使用的桌面終端訪問業務系統的安全與敏感程度定期修改密碼；不要把口令保留在任何自動登錄過程中。如不要啟用在IE（Microsoft瀏覽器）中“自動記住密碼”的功能。所有桌面終端必須設置屏保和鎖屏，設置員工無操作5分鐘后自動啟動屏保，恢復時需要輸入用戶密碼，員工離開座位應確保終端處于退出登錄狀態。禁止員工在桌面終端上安裝與生產工作無關的軟件，如游戲、視頻等。如因業務需求安裝從互聯網上下載的程序必須經過防病毒軟件的掃描，在確認無病毒后才可安裝使用，對于不能確定的文件或程序應及時通報網絡運營中心的技術人員；員工下載、安裝和使用第三方的程序必須不違反集團的安全規定和軟件版權規定。通過互聯網、局域網獲得的文件以及通過任何可移動的存儲介質進行文件拷貝時，必須要使用殺毒軟件檢查后才能使用。員工有責任經常檢查和整理自己的桌面終端設備，不得干預和取消相關補丁包的更新、病毒掃描、病毒更新，如發現技術問題及時聯系網絡運營中心技術人員。員工下班時應關閉電腦主機、顯示屏。為保證操作系統補丁正常生效，關機時選擇“安裝更新后關閉計算機”來關閉桌面終端。員工使用桌面終端收發郵件，應遵守以下規定：員工應遵照郵件管理員的要求安裝和配置客戶端系統，并按集團要求配置郵件客戶端的安全選項；員工在自己的郵箱賬號開通后應及時修改密碼，定期更改郵箱賬號密碼以防止他人盜用，不得試圖猜測和打開其他任何未經許可的用戶郵箱；員工應對自己的郵箱賬號和密碼的安全負責，不得將郵箱賬號借與他人。一旦發現郵箱賬號密碼泄露，應及時更換密碼。若發現郵箱存在任何安全漏洞的情況，應及時通知集團郵件系統管理人員。使用桌面操作系統的員工的郵件客戶端必須使用OUTLOOKEXPRESS或MICROSOFTOUTLOOK進行對郵件定期及時的收取，不允許在服務器端保留備份，并及時刪除過時和無保留價值的郵件，從而避免占用集團大量網絡資源的現象，如果有保留備份的需要須向網絡運營中心技術人員提出申請，并經同意后方可使用，若沒有按照以上規定造成個人的各類郵件故障，一切后果由個人承擔。發現郵箱中出現不明來源的郵件不要隨便打開，如有疑問應及時向網絡運營中心相關技術人員報告，尤其是帶有可執行附件的郵件，如.EXE、.VBS、.JS等，同時一定要保證客戶諾頓殺毒軟件的電子郵件掃描功能和自動防護功能處于開啟的狀態；如非必要，盡量關閉郵件“預覽”特性，很多嵌入在HTML格式郵件中的病毒代碼將會在預覽的時候執行，含有重要信息的郵件傳輸應加密并采用安全傳輸方式。發送帶有附件的郵件不要以.EXE、.ZIP、.BAT的格式發送，如有需要盡量采取.RAR壓縮的格式發送，同時附件的發送容量最大不要超過20M。對違反上述規定者，在經過網絡運營中心技術人員警告后，依然違反以上規定的員工，郵件系統管理員有權停止或取消該員工郵箱使用權限。由集團購買的商業軟件的版權屬于集團所有，對于該軟件的安裝和使用必須遵從與軟件供應商簽署的合同和國家相關的法律，任何個人未經許可不得將該軟件復制或安裝、使用于個人或其他非集團業務需要的領域。離職員工須退還全部桌面終端及使用權限，交接完成后刪除硬盤上的工作文檔。該員工使用的相關賬戶必須做出相應處理(如更換該賬號的密碼)。離職員工要配合網絡運營中心技術人員做好桌面終端設備的入庫檢測。桌面終端連接互連網員工不得利用集團網絡資源、終端設備訪問和工作無關或有害的網站。禁止使用需要消耗大量帶寬并和業務無關的應用，如P2P協議的下載軟件：BT、迅雷等軟件。此外，員工不得通過網絡進行以下行為：通過互聯網竊取、泄露集團未公布的機密信息；故意制作、傳播計算機病毒等破壞性程序，攻擊桌面終端及通信網絡；利用互聯網侵犯他人知識產權；在互聯網上建立淫穢網站、網頁，提供淫穢站點鏈接服務，或者傳播淫穢書刊、影片、音像、圖片；利用互聯網侮辱他人或者捏造事實誹謗他人；利用互聯網進行盜竊、詐騙、敲詐勒索；非法截獲、篡改、刪除他人電子郵件或者其他數據資料，侵犯公民通信自由和通信秘密；利用互聯網煽動民族仇恨、民族歧視，破壞民族團結；利用互聯網組織邪教組織、聯絡邪教組織成員，破壞國家法律、行政法規實施。員工訪問互聯網應遵守《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《計算機信息系統國際聯網保密管理規定》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《維護互聯網安全的決定》等有關法律法規，如有違反應獨立承擔一切責任。集團將保留對員工使用互聯網進行監控的權利，任何人如經查實違反上述規定，將予以相應的懲罰，網絡運營中心技術人員有權停止或取消該員工使用互聯網權限。桌面終端維修報廢員工申報維護時，有義務向網絡運營中心技術人員簡單描述故障特征，以便快速解決問題，提高工作效率。在桌面終端設備被維修、回收、出售或轉給其他人之前，由網絡運營中心技術人員確保所有包含集團保密的、受限、敏感信息必須使用不可恢復方式刪除。桌面終端設備報廢需要經過網絡運營中心技術人員確認無法維修后，方可進行報廢處理。具體的維修報廢流程詳見《辦公設備安全管理制度》中的辦公設備維修報廢流程。附則本制度的制定和修改需要經架構與安全委員會成員討論通過后，管理委員會批準之日起生效。本制度解釋權屬架構與安全委員會。介質安全管理制度介質安全管理制度總則為加強介質保管、使用、維修和銷毀的全過程管理，保障介質安全，特制定本制度。本制度中所指的介質主要包括與信息系統相關的存儲介質（磁盤、陣列、磁帶庫等）及存儲重要數據的移動介質（移動硬盤、U盤等）。介質保管網絡運營中心負責介質的安全及資產管理，介質在購置后由網絡運營中心網絡管理員統一進行資產編號，并對介質進行登記備案，填寫《介質目錄清單》，詳見附件1。介質登記時應按照用途對其重要程度進行分類和標識，重要介質中的數據和軟件應采用加密存儲。網絡管理員定期對清單中的介質進行盤點，如介質發生變更應及時更新表單。介質在長期保管時，其保管的地點必須滿足防火、防水、防震、防潮、防靜電等方面的安全要求，介質的保管要符合介質生產商對介質保管的要求。對介質進行異地運輸保存時，需保證有專人負責監督整個運輸過程。備份數據介質異地存儲時應遵循本制度。介質使用與維護集團員工需使用介質時，應填寫《介質申請表》，詳見附件2，經所在部門經理審批同意后提交給網絡運營中心審核，審核通過后由網絡管理員發放介質，并對介質清單進行更新。介質在第一次使用前必須由網絡運營中心進行惡意代碼檢測，防止惡意代碼入侵和感染信息系統。介質在轉交他人使用時，應對敏感信息進行加密或清除，并在交予他人時予以告知，介質轉交給他人應通知網絡管理員進行清單更新。移動介質不慎遺失時，當事人應立即上報所在部門經理，由部門經理向網絡運營中心備案，及時采取有效措施，防止信息泄密。如有必要，需上報架構與安全委員會。各部門工作人員在離崗前，應將領用的移動介質退還給網絡運營中心，介質中保存的數據應進行轉存或清除。介質維修與銷毀介質的維修工作由網絡運營中心專業技術人員統一負責。如網絡運營中心無法對介質進行維修，需送外部維修時，應由網絡運營中心審核同意后，清除介質中敏感數據，再到具有相關資質的單位進行維修，并填寫《介質送外維修申請表》（詳見附件3），必要時應與維修單位簽署保密協議。介質維修前應對介質中的數據進行備份，無法備份的應采取其他手段防止數據丟失。維修的介質如果存有涉密數據或重要數據，應備份并清除介質中的數據后方可進行維修，應保證清除的數據無法被還原。各部門不再使用或需要報廢的介質應及時移交網絡運營中心統一管理，在移交前各部門自行對介質進行信息清除處理工作，移交完成后網絡運營中心將不再對其內保存的數據負責，介質移交單詳見附件4。網絡運營中心對需要報廢的介質提出報廢申請，由財務部物資科進行報廢審批，審批通過后網絡運營中心按規定進行銷毀處理。銷毀前填寫《介質銷毀清單》(詳見附件5)。銷毀