信息系统安全管理制度(3篇)

信息系统安全管理制度
总则
第一条为加强公司网络管理, 明确岗位职责, 规范操作流程, 维护网络正常
运行, 确保计算机信息系统的安全, 现根据《____计算机信息系统安全保护条
例》等有关规定, 结合本公司实际, 特制订本制度。

第二条计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的, 按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索
等处理的人机系统。

第三条信息中心的职责为专门负责本公司范围内的计算机信息系统安全管理
工作。

第一章网络管理
第四条遵守公司的规章制度, 严格执行安全保密制度, 不得利用网络从事危
害公司安全、泄露公司____等活动, 不得制作、浏览、复制、传播反动及____秽
信息, 不得在网络上发布公司相关的非法和虚假消息, 不得在网上泄露公司的任
何隐私。

严禁通过网络进行任何黑客活动和性质类似的破坏活动, 严格控制和防
范计算机病毒的侵入。

第五条各工作计算机未进行安全配置、未装防火墙或杀毒软件的, 不得入
网。

各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新, 并定
期进行病毒清查, 不要下载和使用未经测试和来历不明的软件、不要打开来历不
明的____、以及不要随意使用带毒u盘等介质。

第六条禁止未授权用户接入公司计算机网络及访问网络中的资源, 禁止未授权用户使用bt、电驴等占用大量带宽的下载工具。

第七条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据, 不得利用非法手段复制、截收、篡改计算机信息系统中的数据。

第八条公司员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击, 禁止非法侵入他人网络和服务器系统, 禁止利用计算机和网络干扰他人正常工作的行为。

第九条计算机各终端用户应保管好自己的用户帐号和____。

严禁随意向他人泄露、借用自己的帐号和____；严禁不以真实身份登录系统。

计算机使用者更应
定期更改____、使用复杂____。

第十条ip地址为计算机网络的重要资源, 计算机各终端用户应在信息中心的规划下使用这些资源, 不得擅自更改。

另外, 某些系统服务对网络产生影响, 计算机各终端用户应在信息中心的指导下使用, 禁止随意开启计算机中的系统服务, 保证计算机网络畅通运行。

第二章设备管理
第十一条公司员工因工作需要, 确需购买it设备或配件的, 可向信息中心提出申请, 若有符合需求的可调配设备；若无可调配或有但不符合工作需要的设备, 由申请人填写《信息设备申请表》。

若因工作需要对设备配置有特殊要求的, 需在申请表中说明。

第十二条凡登记在案的it设备, 由信息中心统一管理并张贴it设备卡。

it 设备卡作为相应设备的标识, 各终端用户有义务保证贴牌的整洁与完整, 不得遮盖、撕毁、涂画等。

第十三条it设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。

凡子公司或合作单位自行购买的设备, 原则上由分公司或合作单位自行负责, 但若有需要, 信息中心可协助处理。

第十四条严禁使用假冒伪劣产品；严禁擅自外接电源开关和插座；严禁擅自移动和装拆各类设备及其他辅助设备；严禁擅自请人维修；严禁擅自调整部门内部计算机信息系统的安排。

第十五条设备硬件或重装操作系统等问题由信息中心进行处理。

第十六条原购it设备原则上在规定使用年限内不再重复购买, 达到规定使用年限后, 由信息中心会同相关部门对其审核后处理。

在规定使用年限期间, 计算机终端用户因工作需要发生调动或离职, 需要继续使用该计算机的应在信息中心作变更备案；不继续使用该计算机的, 部门领导需监督责任人将计算机及相关设备及时退回信息中心, 由信息中心再行支配。

第十七条设备出现故障无法维修或维修成本过高, 且符合报废条件的, 由it 设备终端用户提出申请, 并填写《it设备报废申请表》, 由相应部门经理签字后报信息中心。

经信息中心对设备使用年限、维修情况等进行鉴定, 将报废设备交有关部门处理, 如报废设备能出售, 将收回的资金交公司财务入账。

同时, 由信息中心对报废设备登记备案、存档。

第三章数据管理
第十八条计算机终端用户计算机内的资料涉及公司____的, 应该为计算机设定开____码或将文件加密；凡涉及公司____的数据或文件, 非工作需要不得以任何形式转移, 更不得透露给他人。

离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存。

第十九条工作范围内的重要数据(重要程度由各部门经理核定)由计算机终端用户定期更新、备份, 并提交给所在部门部长, 由部门部长负责保存。

各部门经
理在一个季度开始后____天之内将本部门上一季度的工作数据交行政人事部汇集后统一采用磁性介质或光盘保存。

第二十条计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区, 一般是c盘)外的盘上。

计算机信息系统发生故障, 应及时与信息中心联系并采取保护数据安全的措施。

第二十一条对重要的数据应准备双份, 存放在不同的地点；对采用磁性介质或光盘保存的数据, 要定期进行检查, 定期进行复制, 防止由于磁性介质损坏, 而使数据丢失；做好防磁、防火、防潮和防尘工作。

第四章操作管理
第二十二条凡涉及业务的专业软件由使用人员自行负责。

严禁利用计算机干与工作无关的事情；严禁除维修人员以外的外部人员操作各类设备；严禁非信息中心人员随意更改设备配置。

第二十三条信息中心将有针对性地对员工的计算机应用技能进行定期或不定期的培训, 培训成绩将记入员工绩效考核；由信息中心收集计算机信息系统常见故障及排除方法并整理成册, 供公司员工学习参考。

第二十四条计算机终端用户在工作中遇到计算机信息系统问题, 首先要学会自行处理或参照手册处理；若遇到手册中没有此问题, 或培训未曾讲过的问题, 再与信息中心或软件开发单位、硬件供应商联系, 尽快解决问题。

第五章网站管理
第二十五条公司____由信息中心提供技术支持和后台管理, 由公司相关部门提供经审核后的书面和电子版网站建设资料。

(一)网站、网页出现非法言论时的紧急处置措施
1.网站、网页由信息中心人员随时密切监视信息内容。

2.发现网上出现非法信息时, 负责人员应立即向部门领导通报情况, 情况紧急的应先采取删除等处理措施, 再按流程办理。

3、网站负责人员在接到通知后立即清理非法信息, 强化安全防范措施, 并将网站网页重新投入使用。

4.网站负责人员应妥善保存有关记录及日志或检查记录。

(二)黑客攻击时的紧急处置措施
1.当有网页内容被篡改, 或通过公司网络防火墙发现有黑客正在进行攻击时, 首先应将被攻击的服务器等设备断开网络, 同时向上级领导汇报情况。

2.网站负责人员立即进行将被破坏系统进行恢复和重建。

(三)病毒安全紧急处置措施
1.当发现计算机感染病毒后, 应立即将该机从网络上隔离出来。

2.对存放数据的计算机的硬盘进行数据备份。

3.启用反病毒软件对该机进行杀毒, 同时用杀毒软件对其他联网机器进行病毒扫描和清除。

4.如发现杀毒软件无法清除该病毒, 应立即向上级领导报告。

5、经网站负责人员确认确实无法查杀该病毒后, 应作好相关记录, 同时立即联系相关技术人员迅速研究并解决问题。

6、如果感染病毒的设备是服务器或者主机系统, 经上级领导同意, 应立即切断服务器并告知客户端人员进行客户端机器的杀毒工作。

(四)软件系统遭受破坏性攻击的紧急处置措施
1.oa等重要的软件系统平时必须存有备份, 与软件系统相对应的数据必须有多日备份, 并将它们保存于不同的机器上。

2、如发现软件遭到破坏或运行不正常, 应立即向信息中心人员报告。

3.信息中心人员立即进行软件系统和数据的恢复。

(五)数据库安全紧急处置措施
1.各数据库系统要至少准备两个以上数据库备份。

2.一旦数据库崩溃, 应立即上级领导报告, 同时通知各部门使用人员暂缓上传上报数据。

3.信息中心人员应对主机系统进行维护, 如遇无法解决的问题, 立即向上级领导汇报并及时通知专业技术人员进行处理。

4、系统修复完毕后, 按照要求恢复数据。

5、如果备份数据也出现问题, 及时汇报领导并且联系软件开发商解决。

(六)设备安全紧急处置措施
1.计算机、服务器等关键设备损坏后, 应立即通知信息中心人员。

2.信息中心人员应立即查明原因。

3.如果能够自行恢复, 应立即用备件替换受损部件。

4、如果不能自行恢复的, 立即与设备提供商联系, 请求派专业维修人员进行维修。

5、如果设备一时不能修复, 应向上级领导汇报。

(七)关键人员不在岗的紧急处置措施
1.对于关键岗位平时应做好人员储备, 确保一项工作有两人能操作。

2、一旦发生关键人员不在岗的情况, 首先应向上级领导汇报。

3.经上级领导批准后由信息中心其他人员进行操作。

第六章处罚措施
第二十六条计算机终端用户擅自下载、____或存放与工作无关的文件, 经查实后, 根据文件大小第一次按____元/____m(四舍五入到百兆)进行罚款, 以后每次按倍数原则(第二次____元/____m, 第三____元/____m, 第四次____元/____m,
以此类推)处罚。

凡某一使用责任人此种情况出现三次以上(包括三次), 将给予行政处罚。

第二十七条有以下情况之一者, 视情节严重程度处以____元以上____元以下罚款。

(一)制造或者故意输入、传播计算机病毒以及其他有害数据的；
(二)非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的；
(三)对网络和服务器进行恶意攻击, 侵入他人网络和服务器系统, 利用计算机和网络干扰他人正常工作；
(四)访问的文件、系统或更改设备设置；
(五)申请人在设备领用或报废一周之内未将第二章所涉及到的表单交会信息中心；
(六)擅自与他人更换使用计算机或相关设备；
(七)擅自调整部门内部计算机的安排且未向信息中心备案；
(八)日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、it设备卡被撕毁、涂画或遮盖等。

(九)工作时间外使用公司计算机做与工作无关的事务；
(十)相同故障多次出现且经判断故障原因为个人原因所导致的；
(十一)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭；
第二十八条计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的, 视情节严重, 按所破坏设备市场价值的____%~____%赔偿, 并给予行政处罚。

第七章附则
第二十九条本制度下列用语的含义:
设备。

指为完成工作而购买的笔记本电脑、台式电脑、打印机、复印机、传真机、扫描仪等it设备。

有害数据。

指与计算机信息系统相关的, 含有危害计算机信息系统安全运行的程序, 或者对国家和社会公共安全构成危害或潜在威胁的数据。

合法用户。

经信息中心授权使用本公司网络资源的本公司员工, 其余均为非法用户。

第三十条计算机终端用户应积极配合信息中心共同做好计算机信息系统安全管理工作。

第三十一条本制度适用于全公司范围, 由总裁办信息中心负责解释、修订。

第三十二条本制度自发布之日起实施, 凡原制度与本制度不相符的, 照本制
度执行。

信息系统安全管理制度（二）
为维护公司信息安全, 保证公司网络环境的稳定, 特制定本制度。

一、互联网使用管理互联网使用管理互联网使用管理互联网使用管理
1.禁止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司____、非法网站及与工作无关的网页等信息。

行政部门建立网管监控渠道对员工上网信息进行监督。

一经发现, 视情节严重给予警告、通报批评、扣发工资____元/次、辞退等处罚。

2.未经允许, 禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安
处罚。

3、公司网络采取分组开通域名方式, 防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号____安全系数降低。

二、网站信息管理
1.公司____发布、转载信息依据国家有关规定执行, 不包含违____各项法律法规的内容。

2.公司____内容定期进行备份, 由网管员保管, 并对相应操作系统和应用系统进行安全保护。

3、公司网管加强对上网设备及相关信息的安全检查, 对网站系统的安全进行实时监控。

4.严格执行公司保密规定, 凡涉及公司____内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网；
5、所有上网稿件须经分管领导审批后, 由企划部门统一上传。

三、软件管理软件管理软件管理软件管理
1.公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行, 任何部门和员工不得擅自采购。

2.公司提供的全部软件仅限于员工完成公司的工作使用。

未经许可, 不得将公司购买或开发的软件擅自提供给第三人。

3.操作系统由公司统一提供。

禁止____使用其它来源的操作系统, 特别是的非法拷贝。

擅自使用造成的一切后果由使用人自行承担, 对于造成损失的, 将视情节及危害程度严重给予警告、通报批评、扣发工资____元/次等处罚。

4.一般应用软件统一在公司文件服务器上提供常用软件____目录, 不提供
____光盘(操作系统除外)。

____非公司提供的软件导致系统损害, 信息丢失的,
罚。

5、公司小范围使用的专业版权软件, 使用人需在自行备份并由信息系统管理
员验证后才可进行____。

6、禁止____使用非工作用软件。

其它工作所需的应用软件, 可由使用部门申请, 再由行政部门统一发布。

四、计算机病毒管理
1.集团计算机病毒管理由集团信息办负责进行规划、实施和监控。

2.员工应树立预防计算机病毒的意识和熟知预防计算机病毒的措施, 及时更
新系统漏洞和使用杀毒软件。

具体内容包括:
(1)及时更新微软补丁, 每周至少更新一次。

当屏幕右下角有自动更新的图标时, 要及时____。

(2)有些特殊的软件(如sqlserver等), 及时到相应网站打补丁。

(3)及时____杀毒软件和升级杀毒软件病毒特征库。

严禁因杀毒软件影响性能, 而把杀毒软件卸载。

每周至少更新一次, 确保杀毒软件为最新版本。

(4)严禁
打开来历不明的邮件。

能判断为病毒邮件的, 立即删除；不能判断的联系信
息系统管理员解决。

当计算机感染病毒后, 请及时断开网线, 使用杀毒软件查杀
和查看操作系统和应用软件的补丁是否及时更新；严重者请及时联系信息办信息
系统管理员解决。

(5)当有新病毒通过某些软件(如: ____, msn)传播时, 请立即关闭相应软件
或拔掉网线。

查杀问题解决后, 方可继续使用。

3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者, 第一次给予警告、第二次给予通报批评, 第三次及以上将给予通报批评并扣发工资
____元/次。

五、网络资源管理
1.集团网络资源和服务器由集团信息办信息系统管理员统一进行规划、管理和监督。

2.服务器及个人用机的管理:
(1)部门级及以上服务器必须指定专人负责管理, 并在行政部门备案, 非管理员不得对其进行操作。

(2)部门级及以上的服务器管理员有责任对其负责的服务器进行例行检查, 包括: 服务器的cpu、内存、硬盘等资源利用情况；服务器上运行的服务使用情况；服务器上运行的os及时升级；服务器上运行的杀毒软件的及时更新；
(3)服务器管理员要做好服务器的备份工作, 至少每季度有一份完整异地(异机)备份, 重要数据及时备份。

信息系统管理员有责任监督、协调其备份工作。

(4)个人和部门未经行政部门批准不得私自设立服务器。

(5)服务器管理员每月定期对服务器做一次全面检查, 并填写服务器检查日志。

(6)服务器管理员每季度需修改服务器____一次。

当服务器管理员有变更时, 管理员____需及时更改。

(7)员工应避免随意共享工作相关资料, 若需共享, 应指定合理权限, 并在完成后及时取消；严禁未经信息系统管理部门批准, 擅自共享给局域网内所有用户。

(8)员工应自行维护电脑的正常使用, 并按照网管的要求进行设置及及时进行补丁更新, 不得擅自退出域、去除域管理员权限、修改主机名、修改ip等。

3.ip地址的管理。

(1)ip地址由行政部门统一规划管理。

未经许可, 不得擅自更改任何设备的
ip地址。

(2)公司申请的公网ip任何人不得私用。

(3)工作需要公网ip, 需申请信息部批准后, 方可使用。

(4)公司公网ip使用无工作需要时, 立即停止使用, 并通知行政部门收回。

(5)ftp等____器的使用须经行政部门批准, 且不得擅自更改使用用途。

六、机房管理
1.人员管理。

相关维护人员凭门禁卡或____进出机房, 其它人员不得擅入。

如确需进入机房的其它工作人员, 应向相关部门提出申请, 并做相应的登记备案后, 在相关人员的陪同下入内。

信息系统管理员有权在场监控及记录入内者的工作情况。

2.机房设备管理。

参照公司固定资产管理制度进行管理。

非电源性电子设备(如路由器, 服务器等)必须接不间断电源, 保证数据在突然断电时不致丢失；机房温度应保持在22±2℃。

工作时间, 非工作时间公司保安应定时巡视机房, 确保机房环境、供电及温度正常；如出现机房温度超过30摄氏度警戒线、停电等异常情况, 应与管理员联络, 立刻采取必要措施保障机房设备的安全。

3、信息管理。

任何人员(包括管理员)在机房信息设备上进行更改操作, 都需记录备案。

未经管理员许可在机房内擅自进行操作者, 可视情节给予通报批评、扣发工资____元；情节严重的, 可予以辞退。

4、施工管理。

公司机房建设应符合机房建设的有关标准和规定；在公司机房内施工, 须由信息安全部经理批准, 并有网络管理员或授权的公司保安监督施工现场。

七、电子设备使用管理
1.电子设备的新增购买申请先采用调配方式, 若无法调配同等配置的, 才予购买。

使用管理参照公司固定资产管理制度。

2.计算机及其辅助设备一经领用, 使用人员需严格按照设备使用说明书和管理员制定的相关使用规定操作。

对丢失、擅自转让、人为毁损造成无法修复等损失, 可视情节给予警告、通报批评、按价赔偿。

(1)台式计算机: 非经信息管理员工同意不得擅自打开机箱。

(2)笔记本电脑设备: a、不同品牌型号的零配件不可互换使用。

b、用于移动办公, 绝对不允许作为服务器共享操作。

c、应保持出厂预装的正版操作系统, 保留硬盘中的隐藏分区。

如确因工作需要重新____其它操作系统(如win____等), 需由系统管理员进行。

不允许私自重新分区格式化, 将原出厂隐____格式化删除。

3、非经许可, 不得将个人台式电脑及相关设备带入公司, 特殊情况, 需办理相关登记手续。

4、员工不得随意增减配件, 不得在未经管理员许可的情况下对硬盘做低级格式化。

未经行政部门批准, 严禁将台式电脑及其它电子设备带出公司。

私自调配电子设备(含配件), 可视情节给予警告、通报批评、扣发工资____元/次。

八、信息系统管理员
1.管理权限和责任(1)负责公司各信息系统的信息安全、日常维护、系统管理等。

(2)严格遵守公司制定的相关信息安全管理制度, 履行工作职责。

(3)制定各信息系统的管理维护标准, 包含用户及权限建立与变更标准及流程、定期检查制度、违约处罚条款等, 送交信息安全主管部门审核备案, 并严格执行。

(4)信息系统管理员必须签订《关键职位员工之保密承诺书》。

2.职责规范(1)推动员工树立信息系统安全防范意识, 完善公司信息安全保障机制, 逐步建立以预防、发现、响应、恢复为基础的信息安全管理机制。

(2)遵守职业道德, 严守保密制度, 不以任何形式携带走所接触的、了解的、获知的、掌握的、使用的集团任何资料；不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的集团商业____(包括技术____和经营____)；未经公司书面同意, 不擅自使用已接触到、了解到、知悉或被告之的商业____；不利用已知的公司资源(如公司信息系统缺陷、口令等), 做违____法规、窃取公司商业____、攻击公司服务器等行为。

(3)端正服务态度, 对员工的需求积极快速响应, 并提供迅速、周到的技术服务支持。

九、附则:
1.本制度解释权归集团信息办。

2.本制度自颁布之日起施行。

信息系统安全管理制度（三）
网络信息安全保密系统工作制度
一、严格遵守《____保密法》、《____互联网管理办法》等相关的法律、法规、条例及其各项规定、制度。

按照国家安全保密规定, 实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。

二、信息科负责指导人口健康网络和信息系统网安全保密工作。

三、严格执行国家有关规定, 做好人口健康网络和信息系统的保密工作。

在通过计算机网络传输时各个终端设备及用户不得直接或间接地与国际互联网或其它公共信息网相连接, 必须实行物理隔离, 要加装硬件防火墙, 并规定网络访问。