计算机信息安全管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息安全管理制度
1 目的
加强计算机网络及计算机信息安全管理,保障公司网络平台、应用系统的正常运行及数据安全,防止泄密。
2 范围
适用于公司及各事业部、分公司、控股子公司(以下简称各经营单元)所有计算机信息安全管理。
3 术语
3.1 办公计算机:办公用台式机、笔记本电脑等属于公司资产的计算机设备。
3.2 计算机信息:是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。
3.3 内部网络:公司长沙园区网络及通过专线与长沙园区互联的其他园区、驻外机构网络(以下简称内网)。
3.4 外部网络:互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。
4 职责
公司计算机信息安全采用集中控制、分级管理原则。
4.1 公司信息化管理部门:负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计算机信息安全管理,负责直属部门计算机信息安全日常工作。负责协调公司内外部资源,处理公司重大计算机信息安全事件。
4.2 经营单元信息化管理部门:负责本经营单元计算机信息安全日常工作,及时向公司信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。
4.3计算机用户:负责本人领用的办公计算机日常保养、正常操作及安全管理,负责所接触信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。信息的起草人须按《保密制度》相关规定提出信息密级定级申请。
5 内容与要求
5.1账号和密码安全管理
5.1.1.信息化管理部门须统一生成信息系统用户账号,并确保身份账号在此系统生命周期中的唯一性;对账号密码信息进行加密处理,确保用户账号密码不被非授权地访问、修改和删除。
5.1.2.员工因工作岗位或职责变动需变更账号权限时,须向信息化管理部门提出申请权限变更。信息化管理部门应及时变更异动员工的权限,冻结离职员工的账号。
5.1.3.员工使用公司计算机信息系统时,须参照附件9.1《网络与计算机外部设备访问权限申请流
程》,向信息化管理部门提出申请,经审批后方可取得账号和初始密码。员工使用初始密码登录信息系统后,须立即更改密码。
5.1.4.密码须满足以下要求:密码长度至少8位,密码必须由大写字母(A到Z)、小写字母(a到z)、符号(!@#$%^&*等)和数字(0~9)4组类型至少需取2种组合。
5.1.5.密码更换周期不得长于两个月,且变更前后的密码不能相同。
5.1.
6.用户登录系统时,密码连续输错5次,用户账号将变成锁定状态,用户须向信息化管理部门申请解锁。严禁以非法手段尝试获取他人账号密码信息,未经授权不得使用他人账号密码登录系统。
5.1.7.用户对自己账号密码的安全性负责,禁止泄露给他人。因个人账号密码管理不慎造成的信息安全事件由账号所有者负最终责任。
5.2 办公计算机安全管理
5.2.1.信息化管理部门在日常管理办公计算机时,应进行如下安全设置:
a)须为所有办公计算机设置BIOS密码,关闭未申请使用的接口并贴封条和配备机箱锁;
b)须为所有办公计算机部署相应的内网安全管理系统及防病毒软件;
c)主机设备需要带离现场维修时,应由保密专员进行全程陪同,并拆除所有存储介质;
d)存储介质应到具有涉密信息系统数据恢复资质的单位进行维修;
e)不再使用或无法使用的设备应按相关规定及时进行报废处理。
5.2.2.计算机使用人在日常使用办公计算机时应遵守如下要求:
a)计算机用户使用计算机在处理公司涉密信息及账号信息时,应注意信息安全防范,防止被无
关人员窥视泄密;暂时离开计算机时应启用带密码保护的屏幕保护程序或直接锁定计算机。
b)定期检查计算机设备标签、封条、机箱锁,如有破损及时通知信息化管理部门处理。
c)不得擅自挂接计算机输入输出设备以及故意损毁计算机设备标签、封条和硬件锁。不得将相
关设备挪作私用。
d)如需使用计算机以外的输入输出设备(如打印机、扫描仪、移动存储类设备及刻录光驱等)
及硬件接口时,须参照附件9.1《网络与计算机外部设备访问权限申请流程》执行。
e)禁止利用办公计算机处理与工作无关内容、破坏或影响其它员工正常工作。
f)严禁擅自卸载公司内网管理系统及防病毒系统。
g)严禁使用办公计算机发布不良信息、牟取私利、泄露公司机密和从事违法犯罪活动。
5.3 计算机防病毒管理
5.3.1计算机用户在使用计算机过程中应注意采取以下防病毒安全措施:
a)禁止私自关闭、卸载或更换防病毒软件,应及时更新病毒库和操作系统补丁,保证计算机安
全运行。
b)发现或怀疑有办公计算机被病毒感染,应立即断开网络并执行全盘扫描病毒程序,如感染症
状未能解除须立即上报信息化管理部门。
c)对任何外来资料,须使用防病毒软件进行扫描后方可使用,不要打开外来不明链接。
d)严禁故意瞒报、制作、下载、运行及传播计算机病毒。
5.3.2信息化管理部门须维护防病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时,应及时发布病毒预警,及时采取有效的预防措施防止病毒大面积扩散。
5.4网络安全管理
5.4.1信息化管理部门在管理办公计算机网络安全时,应遵循以下要求:
a)必须严格隔断允许访问外网的计算机与内网计算机之间的直接通讯。
b)必须严格隔断内网中财务、研发与其它管理类计算机之间的直接通讯。
c)办公计算机在使用公司网络时,用户身份、网卡物理地址必须与网络访问资源一对一绑定。
5.4.2信息化管理部门在保护信息化应用系统网络安全时,应遵循以下要求:
a)信息化应用系统的服务器及存储设备只允许安装在公司的网络机房、数据中心机房内,特殊
情况可申请托管在第三方机房内,禁止安装在普通办公场所及其它不安全场所内。
b)信息化应用系统需要启动远程管理时,须使用加密的远程管理协议,并且实现专人、专机、
专网管理,防止远程管理权限被非法窃用。
c)必须在公司内外部网络交汇处设置必要的防火墙系统,并制定必需的防火墙策略;未经授权,
不允许将任何内部IP地址和服务端口映射到外部网络。
d)对外的信息化应用系统必须部署必要的安全手段以检测和减少被攻击行为,并采取必要措施
便于对非法行为进行审计取证。
e)定期检查内部网络运行情况,及时发现非法网络接入。
f)需要变更网络安全相关管理策略时,按9.1《网络与计算机外部设备访问权限申请流程》办理。
5.4.3用户在使用公司网络资源时,应遵循以下安全要求:
a)在默认情况下,所有办公用台式机和工作站只能访问公司内网;笔记本不允许接入公司内网。
计算机用户需要申请网络权限时,须按附件9.1《网络与计算机外部设备访问权限申请流程》审批后开通。
b)员工因岗位职责变化不再需要使用外网时,应及时通知信息化管理部门关闭外网权限。
c)禁止员工私自修改办公计算机的IP地址、网卡地址等,禁止将办公计算机私自接入非指定网
络环境。