海油信息安全管理要求

精心整理1目的

规范计算机及计算机网络信息安全管理，提高信息安全保障能力和水平，维护国家及企业安全。2适用范围

公司机关及所属单位。

3编制依据

3.1

3.2

3.3

3.4

3.5

4

4.1

4.2

5

5.1

5.1.1

做好记录。

5.1.1.6各单位应对本单位信息系统的信息进行审查、检查和复查，确保信息的合法性、合规性。

5.1.1.7员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责，员工终端中严禁存储涉密(此处涉密系指涉及国家秘密，下同)信息，终端中的商密文件不可设置为共享，工作邮箱电子邮件的收发要进行病毒查杀。

5.1.1.8员工发现异常或发现其他人员非法使用计算机时，有及时向所属单位或公司报告的责任。

5.1.1.9各单位要对移动存储介质进行登记、编号，移动存储介质要经IT支持服务中心检测合格、注册后入网使用。

5.1.1.10涉及国家或企业秘密信息的存储、传输等应指定专人负责，并严格执行国家、中国海油及公司有关保密的法律、法规和相关管理规定。

5.1.1.11涉密信息未经批准，不得在网络上发布或通过明码（明文）传输。

5.1.2信息加密管理

5.1.2.1涉及国家秘密的信息，其电子文档资料须加密存储。

5.1.2.2涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。

5.1.2.3涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息，在传输过程中应遵守国家的有关规定，视情况采用文件加密传输或链路传输加密。

5.1.2.4适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。

5.1.3用户账号(ID)管理

5.1.3.1信息系统管理系统中或运维支持体系中应包括账号管理流程。

5.1.3.2信息系统用户要严格管理账号，不得把自己账号外借他人使用、不得在电脑、屏幕和办公桌上贴条暴露账号信息，禁止索要、盗取、使用、传播任何未经授权使用的账号。

5.1.4

5.1.5

5.2

5.2.1数据、

5.2.2

b)信息安全；

c)信息系统安全。

5.2.3在使用员工信息系统前，员工应签署信息系统使用安全保密协议。

5.2.4员工有保护办公计算机和设备物理安全的责任和义务，并按规定正确放置、保管、使用和归还员工信息系统，具体要求如下：

a)妥善保存可移动设备，不得存放涉密信息；

b)使用便携式计算机的员工，应当保管好计算机，防止遗窃；

c)避免环境对计算机设备的损害，比如食物、烟火、液体、极高和极低湿度、极高和极低温

度等；

d)禁止安装、使用未经授权的非公司标准软件和硬件；

e)信息技术支持部门负责设备的安装、拆卸、更改和迁移，员工不得自行进行以上操作；

f)员工应当认真保管公司分配的电子设备，未妥善保管而致丢失或损害的，应赔偿。

5.2.5员工在使用公司提供的互联网和员工信息系统时，应注意合法、安全和保密，具体要求如下：

a)员工根据公司有关规定申请互联网和员工信息系统的使用权；

）、10

5.2.6

d)员工发现计算机感染病毒时应当立刻关闭计算机，并报告1331服务热线或本单位的技术支

持部门；

e)员工在向信息系统上传数据前要做好查毒、杀毒工作，确保信息文件无毒上传；

f)移动办公计算机，应当定期接入公司企业网更新病毒库和查杀病毒；

g)外来移动存储介质应检查病毒、杀毒、检测并注册后，方可使用。

5.2.7员工应采取有效访问控制措施，以确保访问安全，具体要求如下：

a)员工应明确和采取措施，保护办公计算机不受非法进入；

b)员工有合法使用和保护各类系统密码的权利和义务；

c)应妥善保管计算机设备账号和密码；

d)必须设置屏保及密码，屏保等待时间小于15分钟，并在离开计算机时注销登录、启动屏保；

e)不能使用容易被人破解的密码；

f)应定期更改密码；

g)不得向其他人公开密码，在别人有可能已经获知密码时，须立刻更改密码，不得将密码记

录在容易获得的地方；

h)不得索要、盗取、使用、传播他人的任何账号和密码。

5.2.8员工在使用信息系统时应确保信息安全，具体要求如下：

a)员工不得通过互联网传递属于国家和公司保密规定范围内的任何信息；

b)员工应对终端内公司业务文件数据的完整和安全负责，包括保护公司的信息和软件；

c)公司商秘数据不得保留在私人计算机中；

5.2.9

的安全：

1)仅通过信息技术部门提供的加密漫游账户接入公司网络；

2)安装并启用公司规定的防病毒软件，并保证及时更新；

3)安装并启用公司规定的防火墙软件；

4)保管好计算机、密码。

5.2.11应当加强对第三方人员使用本公司信息系统的管理，具体要求如下：

a)严格控制第三方人员在公司内使用计算机和网络；

b)第三方人员必须签订保密协议，限制必要的访问权限（如公司内部网络访问权限、VPN访

问权限等），规定使用期限，明确公司内责任人；

c)第三方人员使用本公司信息系统时，应遵守本规定。

5.3对外网站安全管理

5.3.1对外网站信息系统管理员应当严格按照制度规定实施管理，负责网站防病毒、防黑客攻击及为网站的运行提供技术支持与保障。

5.3.2对外网站信息系统管理员须及时向对外网站负责人报告网站信息安全事件及处理情况。

5.3.3对外网站负责人须及时向公司保密办公室报告网站发生的重大安全事件，包括但不限于：

a)对外网站被黑客攻击；

b)对外网站出现违法、不良信息；

5.3.4

5.3.5

5.4

5.4.1

5.4.2

5.4.3

5.4.4

5.4.5

5.4.6

5.4.7重要系统的安全补丁测试内容包括安全补丁安装测试、安全补丁功能性测试、安全补丁兼容性测试和安全补丁回退测试：

a)安装测试主要测试安全补丁安装过程是否正确无误，安全补丁安装后系统是否正常启动；

b)安全补丁功能性测试主要测试安全补丁是否修补了安全漏洞；

c)安全补丁兼容性测试主要测试安全补丁安装后是否对应用系统带来影响，是否可正常运

行。

d)安全补丁回退测试主要包括安全补丁卸载测试、系统还原测试。

5.4.8系统管理员负责实施重要系统安全补丁测试工作，测试完成后需给出明确的书面测试结论。

5.4.9经测试并经系统责任人测试并审核通过的安全补丁方可安装到生产系统。

5.4.10从安全漏洞发布到安全补丁安装前，信息系统管理员应视需要采取应急措施加强网络安全，各相关信息系统应根据建议采取适当的防护措施，并加强对系统的监控，及时发现和报告安全事件。

5.4.11安全补丁安装前，应做好数据备份，确保任何操作都可回退，在到达回退时间安全补丁安装没有完成时，启动回退操作，保证系统正常运行。

5.4.12安全补丁应在信息系统业务空闲时间安装。

5.4.13安装核心信息系统的安全补丁，应当要求厂商工程师现场支持。

5.4.14安全补丁安装完成后，信息系统管理员须查看系统信息，确保安全补丁已成功安装。

5.4.15信息系统管理员须严格测试安装安全补丁后的系统，包括：安全补丁安装后系统的性能，各项业务操作是否正常。

况。

5.5

5.5.1

5.5.2

5.5.3

5.5.4

5.5.5

安全需求、符合等级保护要求的《信息系统安全设计子方案》，内容包括但不限于：

a)按子系统描述系统的安全体系结构；

b)描述每一个子系统所提供的安全功能；

c)标识所要求的任何基础性的硬件、固件或软件，及其支持性保护机制提供的功能表示；

d)描述子系统所有接口的用途与使用方法，并适当提供影响、例外情况和错误消息的细节；

e)确保子系统（包括但不限于：外购系统以及自主开发系统）的安全功能指标满足系统安全

需求及等级保护要求。

5.5.6立项单位和建设单位应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施。

5.5.7立项单位和建设单位应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，形成配套文件。

5.5.8立项单位和建设单位应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，且经过信息安全负责人批准后，方可正式实施。

5.5.9立项单位和建设单位应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

5.5.10立项单位和建设单位应指定或授权专门的部门或人员负责管理工程实施过程，应按照信息系统安全设计方案要求，实施信息系统。

5.5.11立项单位和建设单位应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人

估，

5.5.21信息系统等级保护管理遵照《信息系统安全等级保护工作实施细则》（AM-01-08-02）执行。

5.5.22流程图和内控活动列表

依据本章节内容制定的信息系统安全测试的流程图见附件7.3、信息系统安全测试的内控活动列表见附件7.4。

5.6备份和灾备管理

5.6.1公司统一指导、组织信息系统备份及灾备中心的管理。

5.6.2IT支持服务中心应建立信息系统备份系统、灾备中心、管理细则和流程(包括灾难备份恢复应急预案及演练计划)，确保信息系统安全备份、灾备、运维和演练。

5.6.3IT支持服务中心应每半年开展备份系统、灾备中心演练和评估、验证数据可用性，根据演练、评估和验证情况，对应急预案和计划进行修订。

5.6.4IT支持服务中心应记录灾备中心的运行情况，每季度向公司提交运行情况报告。

5.7执行要求

5.7.1各单位应制定信息系统安全管理细则或流程，内容应包括安全管理策略、工作内容、责任和应急预案。

5.7.2各单位应加强对信息系统开发过程的信息安全管理，确保信息系统及其开发过程的安全性，应建立开发过程的安全控制措施,内容应包括：

a)应在信息系统开发项目的可行性研究分析中包括信息安全方面的内容；

5.7.3

5.7.4

5.7.5

5.7.6

5.7.7每一项与信息系统安全有关的活动，都应有两人或多人在场，负责的安全活动范围包括：

a)访问控制使用证件的发放与回收；

b)信息处理系统使用的媒介发放与回收；

c)处理保密信息；

d)硬件和软件的维护；

e)系统软件的设计、实现和修改；

f)重要程序和数据的删除和销毁等。

5.7.8下面每组内的两项信息系统维护管理工作应当尽可能分开，进行必要的职责分离：

a)系统管理与计算机编程；

b)机密资料的接收和传送；

c)安全管理和系统管理；

d)访问证件的管理与其它工作；

e)数据库管理和应用程序管理。

5.7.9各单位负责信息系统安全管理的部门应根据管理原则和该系统处理数据的保密性或主要

程度，制订相应的管理制度或采用相应的规范。具体工作是：

a)根据工作的重要程度，确定该系统的安全等级；

b)根据确定的安全等级，确定安全管理的范围；

c)制订相应的机房出入管理制度；

d)对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。

出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进

5.8

5.8.1

5.8.2

5.8.3

5.8.4

支持就紧急事件进行解决与恢复操作，通过1331服务台上报二级支持。

5.8.4.2二级支持由IT支持服务中心支持人员组成，对各单位提供支持；二级支持负责：

a）紧急事件判断；

b）就紧急事件进行解决与恢复操作；

c）与外部支持沟通，寻求相关支持；

d）形成应急处理报告。

5.8.4.31331服务台处理客户请求，记录紧急事件，派发或转发工单。

5.8.5紧急事件应急处理范围

5.8.5.1由于软件产品存在缺陷或使用过程中出现的失误，导致关键功能大面积失效或全局性重要业务无法运行。

5.8.5.2除原因之外的其他故障导致系统停止服务，或导致关键功能大面积失效、全局性重要业务无法运行。

5.8.6紧急事件应急处理内容

5.8.

6.1明确故障范围，确定故障原因和排除故障，减少对业务的影响。

5.8.

6.2向领导汇报系统紧急事件状态及处理情况。

5.8.

6.3向各使用单位通报紧急事件处理进度。

5.8.

6.4紧急事件须根据规定的流程，在ITSM系统中准确、完整的完成事件的记录、处理和分析总结。

5.8.

6.5须对应急处理进行回顾和分析，并提出预防措施和建议。

5.8.

6.6必要情况下请求启动灾备。

5.8.7

5.8.8

5.8.9

7.6。

5.9

5.9.1

(

5.9.2

5.9.3

全管理报告》。

5.9.4各单位应在信息系统安全事件调查时，提供相应的日志数据。

5.9.5各级别日志归档周期是：

a)安全等保级别为一级的信息系统的日志归档周期为半年；

b)安全等保级别为二级的信息系统的归档周期为每季度；

c)安全等保级别为三级的信息系统的日志检查和归档周期为每个月；

d)重要科研信息系统、科研专网或物理隔离网的日志归档周期为每个月。

5.9.6公司根据各单位和系统的重要性抽查日志和日志归档，检查周期是：

a)每半年检查安全等保级别为一级的信息系统；

b)每季度检查安全等保级别为二级及其以上级别的信息系统；

c)每月检查重要办公和科研信息系统、科研专网或物理隔离网。

5.9.7各单位每个月都应对信息系统进行日志检查，并在系统运行报告和《信息系统安全管理报告》详细描述日志检查结果。

5.9.8公司根据信息安全事件的危害程度，确定调查方式和处理方式。

5.9.9对于危害国家或社会的信息安全事件，公司将成立专门的工作组进行调查。

5.9.10员工违反管理规定的，公司按照员工管理权限，依据公司《员工违纪处理规定》（2015版）

5.10

月底

6

6.1

6.2

6.3

6.4

7

7.1

7.2

7.3

7.4

7.5

7.6应急响应内控活动列表

——————————

信息安全管理规定

信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上，为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件）、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网）。 3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。 3.4 VPN：虚拟专用网络（Virtual Private Network，简称VPN），是指在公共网络上建立专用网络的技术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络交换设备的管理工作，及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计算机信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置，原则上不得设置成共用账号，以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时，所在部门的负责人应严格审核，控制授予满足其工作需要的最小权限；员工岗位或工作内容发生变化后应及时提出申请权限变更，应用系统管理员应及时变更异动员工的权限，冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即向信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

XX公司信息安全管理制度

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密

企业信息安全规范

信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理，促进信息安全管理工作体系化、规范化，提高信息系统和网络服务质量，提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平，特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向，阐明信息安全建设和管理的重要原则，阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据，信息安全相关人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视，大力支持信息安全工作，并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员，它适用于本公司全部员工，集成商，软件开发商，产品提供商，商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视管理，不断积累完善各个信息安全管理章程与规定，全面提高信息安全管理水平。

第八条全过程原则：信息安全是一个系统工程，应将它落实在系统建设、运行、维护、管理的全过程中，安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则，在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则：应进行安全风险管理和风险控制，以可以接受的成本或最小成本，确认、控制、排除可能影响公司信息系统的安全风险，并将其带来的危害最小化。 第十条分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表，在表中明确资产类别，同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则：信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划，负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下，负责具体实施。 第十二条平衡原则：在公司信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则：在公司信息安全管理过程中，应遵循动态管理原则，要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织，设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策，协调信息安全相关各部门之间的关系，并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构，负责信息系统的信息安全管理工作，配备专职安全管理员，由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下： 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序；

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

信息安全管理制度

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息安全管理系统的规范

信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及 技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复，确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。 在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安 全策略和目标的需求； b)在组织的整体业务风险框架下，通过 实施及运作控制措施管理组织的信息 安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

公司信息安全管理制度

鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全，创造用户价值，切实推行安全管理，积极预防风险，完善控制措施，信息安全，人人有责，不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 （一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置； （二）系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得； 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码； （三）一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串； 2、密码应定期修改，间隔时间不得超过一个月，如发

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全管理制度

信息安全管理制度 第一章总则 第一条为了保护医院信息系统安全，促进医院信息系统的应用和发展，保障医院信息工程建设的顺利进行，特制定本规则。 第二条本规则所称的信息系统，是由计算机及其相关配套的设备、设施构成的，按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统，即现在医院建设和应用中的信息工程，。 第三条信息系统的安全保护，是保障计算机及配套的设备、设施的安全，运行环境的安全，保障信息的安全，保障医院信息管理系统功能的正常发挥，以维护信息系统的安全运行。 第四条信息系统的安全保护，重点是维护信息系统中数据信息和网络上一切设备的安全。 第五条医院信息系统内全部上网运行计算机的安全保护都适用本规则。 第六条信息中心主管全院信息系统的安全保护工作。 第七条任何单位或者个人，不得利用上网计算机从事危害医院利益的活动，不得危害信息系统的安全。 第八条各级各类医院根据本规则，结合医院不同的功能

任务和医院信息系统规模大小，参照以下内容制定适宜于本医院的运行与应用保障制度。 第二章信息安全保护制度 第九条信息系统的建设和应用，应遵守医院信息系统管理规则、医院行政法规和其他有关规定。 第十条信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息中心负责制定和实施。 第十一条信息中心机房应当符合国家标准和国家规定。 第十二条在信息系统设施附近营房维修、改造及其他活动，不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业，须事先通知信息中心，经中心负责人同意并采取保护措施后，方可实施作业。 第十三条信息系统的使用单位和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。 第十四条对信息系统中发生的问题，有关使用单位负责人应当立即向信息工程技术人员报告。 第十五条对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作，由计算机中心负责处理。 第十六条对信息系统软件、设备、设施的安装、调试、

网络数据和信息安全管理规范

网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。 术语 本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。 普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

信息安全事件管理规范

信息安全管理部 信息安全事件管理规范 V1.0

文档信息： 文档修改历史: 评审人员：

信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续 处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生 类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理 工作。 4．0 信息资产 信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成 实质性损害的信息事件； 5．2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

ISO 270001 信息安全管理体系标准业务

一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： ·直接损失：丢失订单，减少直接收入，损失生产率； ·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； ·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

2、标准发展 目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。 经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1： 表1 ISO27000标准族现行状态

网络及信息安全管理制度汇编

中心机房管理制度 计算机机房属机密重地。为做到严格管理，保证安全，特制订如下制度： 第一条中心机房的管理由系统管理员负责，非机房工作人员未经允许不准进入，机房门口明显位置应张贴告示：“机房重地，非请莫入”。 第二条机房内应保持整洁，严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房，未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作，落实专人收集、保管，信息载体必须安全存放并严密保管，防止丢失或失效。机房资料外借必须经批准并履行手续，方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态，保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告，并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。

第七条机房设备应由专业人员操作、使用，禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。 第八条外单位人员因工作需要进入机房时，必须报经局领导审批后方可进入，进入机房后须听从工作人员的指挥，未经许可，不得触及机房内设施。 第九条外来人员参观机房，须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询；对参观人员不合理要求，陪同人员应婉拒，其他人员不得擅自操作。 第十条中心机房处理秘密事务时，不得接待参观人员或靠近观看。

网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络，若因工作需要，上网查询信息，允许访问与工作相关的网站，但须报告计算机管理部门，并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统，禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告，并采取措施及时解决。 第五条局域网要采取安全管理措施，保障计算机网络设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络

信息安全管理规范完整篇.doc

信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事

件的处理过程，并负责与政府相关应急部门联络，汇报情况。 3.1.2网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理 工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 3.1.4信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。