网络与应用系统安全管理规定

**公司

网络与应用系统安全管理规定

第一章总则

第一条为贯彻《中华人民共和国网络安全法》（以下简称《网络安全法》）最大限度地消除互联网应用风险和隐患,提高**公司网络和应用系统安全防护水平,保障网络和应用系统的安全和稳定运行,特结合**公司实际制定本规定。

第二条把网络与应用系统安全纳入公司发展规划和预算管理。确立网络与应用系统安全在公司发展中的重要地位，将网络与应用系统安全预算资金集中投入，统一管理，专款专用。

第三条加强网络与应用系统安全队伍建设，将人才培养与推进信息化安全结合起来，提高全员信息化应用安全水平。

第四条制订公司全员信息化安全管理和应用培训计划，开展信息化安全应用相关培训，不断提高公司对网络和应用系统安全的认识和应用水平。

第五条本规定基本内容包括：网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急处理。

第二章网络管理

第六条建立网络管理台账，掌握本单位的网络结构及终端的接入情况，做到条理清楚、管理到位。

（一）所有网络设备（包括防火墙、路由器、交换机等）应归**部统一管理，其安装、维护等操作应由**部工作人员进行，其他任何人不得破坏或擅自进行维修和修改。同时，登录网络设备密码应遵循复杂性原则，且位数应不低于8位。

（二）建立租用链路管理台账，包含但不局限于以下内容：链路供应商、本端接口、对端、技术参数等日常维护信息。

（三）建立网络拓朴图，标注线路连接、设备功能、IP 地址、子网掩码、出口网关等常用管理信息。

（四）局域网原则上应实行静态IP管理，IP地址由**部统一分配，并制定“IP地址分配表”，记录IP地址使用人、MAC地址、电脑操作系统等信息。

（五）IP地址为计算机网络的重要资源，公司员工应在**部的规划下使用这些资源，不应擅自更改。

（六）公司内计算机网络部分的扩展应经过**部批准，未经许可任何部门不应私自将交换机、集线器等网络设备接入网络。

（七）**部负责不定时查看网络运行情况，如网络出现异常时及时采取措施进行处理。

（八）公司网络安全应严格执行国家《网络安全法》，对在网络上（包括内网和外网）从事任何有悖网络安全法律法规的活动者，将视其情节轻重交有关部门或公安机关处理。

第三章设备管理

第七条做好日常维护和保养，掌握正确的操作使用方法和规程，减少设备的故障率，确保设备能够正常和可靠运行。

（一）建立设备管理台账，应包含以下内容：设备型号、序列号、设备配置、技术参数、运行时间、保修期限等日常维护信息；

（二）服务器电源应保证冗余电源，有条件的情况下采用双路电源接入。对于运行重要应用系统的服务器设备，还应配备不间断（UPS）电源，以避免非常规断电造成服务器设备的物理损坏。UPS负载必须保持在总负荷80％以下，并且定期对UPS设备进行检测，确保设备运行正常和有效；

（三）相关管理人员应定期对各设备进行巡检，查看设备运行日志，监测设备，并填写“巡检情况记录”；

（四）严禁撕毁、涂画或遮盖IT设备标签，或未经**部备案擅自调整部门内部计算机信息系统的配置；

（五）计算机终端用户因主观操作不当导致设备、设施损坏，应承担相应修复费用，不能修复的应按所损坏设备、

设施的市场价值予以赔偿；蓄意破坏设备、设施的，除照价赔偿外，还应视情节严重给予行政处罚；

（六）终端设备，特别是笔记本电脑等移动设备应采用实名制，不得赠送、出借、出售给他人使用。

第四章系统安全管理

第八条系统安全管理应充分利用现有资源，完善相关的管理制度和流程，保证安全系统有效、稳定和可靠运行。

（一）设置防火墙安全策略时，应考虑隔离病毒传播、非授权访问的通道等方面的内容，而且策略应注明用途，避免冗余策略的产生；

（二）按照不同的访问权限，在核心交换机、路由器设置不同的访问控制策略；

（三）不定期开展对服务器进行安全扫描，针对发现的漏洞及时补漏加固。

（四）移动存储设备（优盘、移动硬盘等）必须进行病毒扫描确认无毒后，方能接入服务器；

（五）各应用系统管理员登录密码应遵循密码复杂度原则，且位数不应少于8位；

（七）定期查看各应用系统、终端操作系统相关安全公告，根据需要下载操作系统相关补丁安装包，进行测试后对服务器进行升级；

（八）禁止在机房服务器上安装与系统应用无关的软

件，并且安装软件要确认安装包的安全性，安装和卸载软件应做好相应记录；

（九）公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新，并定期进行病毒查杀；

（十）公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码，严禁随意向他人泄露和借用；

（十一）经远程通信传送的程序或数据，必须经过安全检测确认无病毒后方可安装和使用；

（十二）定期组织灾难恢复演习，提高相关管理人员的应急反应能力，确保恢复过程安全、迅速和有效；

（十三）重大节假日之前，相关人员应对网络、各应用系统进行巡检，确保节假日期间网络和各应用系统运行安全、稳定和有效。

第五章机房管理

第九条对机房进行科学、规范管理，确保计算机网络、各应用系统安全、高效和稳定运行。

（一）采取措施确保机房设备物理安全；

（二）机房温、湿度达到《电子计算机机房设计规范》国家标准（GB50174-93）要求；

（三）未经公司授权且机房管理人员在场监督，任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等；

（四）严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房；

（五）机房定期做好清洁除尘工作，未经机房管理人员同意严禁无关人员进入机房。

第六章数据安全管理

第十条高度重视各类数据备份的重要性，制定备份策略，并定期进行恢复检查，确保备份数据的安全和有效。

（一）服务器磁盘采用冗余磁盘阵列（RAID）容错方式，以避免磁盘因物理损坏而造成数据丢失；

（二）制定数据备份策略，对服务器操作系统、数据库、文件进行备份，根据数据重要性、更新频率要求设置备份频率；

（三）定期对备份数据进行还原测试，确保备份数据的安全性和有效性；

（四）计算机终端用户必须将重要数据存放在计算机硬盘中除系统盘分区 (一般是 C盘)外的硬盘分区。计算机信息系统发生故障，应及时与**部联系并采取相应数据保护措施；

（五）计算机终端用户未做好备份前不能删除任何硬盘数据。对重要的数据必须准备双份，存放在不同的地点；对采用光盘等介质保存的数据，必须做好防火、防潮和防尘工作，并定期进行检查、复制，防止介质损坏，丢失数据。