集团 信息安全管理办法

某某集团有限公司管理文件

Q/QTG 01-019-2011/A

信息安全管理办法

2011-08-04发布2011-08-06实施某集团有限公司发布

Q/QTG 01-019-2011/A

信息安全管理办法

1 目的

为了加强集团公司计算机信息系统的安全防护，保证集团公司计算机网络及生产业务应用服务系统的正常运作，使网络信息资源免遭窃取、篡改和破坏并依据《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》和《计算机信息系统国际联网保密管理规定》等相关法律、法规的要求，特制定本办法。

2 适应范围

本办法适用于使用集团公司计算机信息系统的所有职能部门、子公司（含连入企业网络或单机使用）。特车公司军品安全管理要求高于本规定的按军品安全规定执行。

3 术语和定义

3.1本管理办法中所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对企业信息进行采集、加工、存储、传输、检索、输出等处理的人机系统。

3.2计算机信息系统安全是指计算机信息系统设施的完整存在，并且信息系统功能能够有效发挥，以及其中所载信息内容的准确、完整。

4 职责

4.1保密委员会是某某集团有限公司信息安全管理的最高管理机构，其机构设置详见《保密管理规定》。

4.2企业管理部信息管理处（以下简称信息管理处）负责对集团公司计算机信息系统保密和安全管理的指导、协调、监督和检查工作。

4.3 各涉密单位和个人按本规定做好计算机信息系统的安全防护。

4.4所有使用部门、人员应有接收回执，并被视作已经阅读和遵守本办法所有条款。

5 工作程序和要求

5.1 信息系统安全和保密内容

5.1.1计算机信息系统安全

包括硬件设施、软件设施、供电系统、机房及网上信息等的安全。

5.1.1.1硬件设施的安全包括PC、笔记本型计算机、各种类型工作站、服务器，各种网络联接设备（集线器、中继器、交换机、转换器），网络联线（光纤、电缆、双绞线）和路由设施的安全。

a)计算机及相应配套设备实行专人专用、专人专管制度，使用人员承担所辖微机及配套设备的使用和保养责任。

b)禁止在信息设备旁放置盛水容器、食品，禁止在设备旁抽烟。

c)硬件设备的使用实行登记制度，经主管部门批准才能投入使用和更换，并进行备案。

d)设备的拆卸与维修、硬件升级均需要授权专业人员进行或者在专业人员指导下进行，

禁止使用者随意拆卸与更换。用于联网的网络接口和网线，禁止挪做他用。

e)信息存储设备的报废应遵循相关的程序，有敏感信息的存储设备在报废之前应该物理销毁或安全地覆盖。

5.1.1.2软件设施的安全包括操作系统软件、数据库管理系统、开发工具软件、应用系统、网络管理系统、WEB服务器软件、WEB浏览软件、安全管理软件、运行支持软件等。这些软件设施的执行代码、原代码、载体以及相应的配置参数、设计标准、数据格式都是安全保护对象。

a)禁止在企业生产业务系统计算机上安装任何非正常生产经营、技术研发需要的系统和应用软件，确有特殊需求的应用软件，须经企业管理部批准后安装。

b) 禁止从互联网络上下载或通过邮件系统接受、安装使用盗版软件和任何未经安全检验证明的外来应用软件，包括各类操作系统、数据库系统及应用软件。

c)生产业务系统的操作系统、应用软件升级需经企业管理部专业人员许可后进行，企业管理部将不定期地对生产业务系统服务器、工作站、PC的操作系统、应用软件进行升级、打补丁和安全配置。

d)禁止任何部门和个人将集团公司内部使用的各类系统及应用软件对外传播使用，因此行为对企业造成的知识产权经济损失全部由相关责任人个人承担。

e)禁止任何部门和个人卸载公司安装使用的加密软件和防毒软件等安全软件。

f)禁止任何部门和个人安装使用未经信息管理处允许的任何网络管理软件。

5.1.1.3供电系统

禁止任何单位和个人对计算机系统进行断电，迫不得已需要断电时，应及时通知企业管理部和计算机用户。

5.1.1.4机房

禁止任何单位和个人未经允许进入机房；未经授权禁止任何人操作机房中的任何设备。

5.1.1.5网上信息安全

网上信息安全按5.2.3.1的要求进行管理。

5.1.2计算机信息系统保密

指涉密信息及其载体在网络上采集、加工、存储、传输、检索、输出中被使用者直接泄露或被非法入侵者窃取。主要包括涉密信息和涉密载体等。

5.1.2.1涉密信息包括以电子文件或数据库形式分布在网络上的各种服务器和主机上的企业科技、经营和管理等方面的秘密信息。

5.1.2.2涉密载体包括硬磁盘、软磁盘、磁卡、光盘、磁带、文件、资料、报表，以及各种服务器、主机、数据库和接触上述秘密信息载体的计算机操作人员(包括集团公司内所有使用计算机工作的人员)。

5.1.3信息系统安全和保密责任

5.1.3.1企业管理部信息管理处（以下简称信息管理处）

a）负责在企业网络及数据中心建设、维护、管理中提供安全保密方面的技术保障；

b）负责企业网安全保密工作的整体规划、制度建设、培训教育、咨询服务和检查监督；

c）负责与入网部门负责人签署《某某集团有限公司计算机入网部门领导安全保密责任书》（见附录A）；

d）负责检查监督各部门签署《某某集团有限公司计算机入网用户安全保密责任书》（见附录B）的执行情况；

e）对数据中心节点骨干网络的安全保密负全面责任；

f）严格控制涉密信息的使用权限，严格密码和口令的保密管理；

g）严格控制企业网的接入和接出；

h）严格控制OA及其他相关生产业务系统电子证书的审核、签发

5.1.3.2信息系统使用部门

a）负责本部门计算机设备的安全及网络信息的安全保密工作；

b）负责制定和组织实施本部门计算机信息系统的安全保密规章制度；

c）负责本部门入网信息的保密级别、期限的控制工作；

d）负责对使用计算机网络的操作人员进行安全保密的培训教育，组织签署《某某集团有限公司计算机入网用户安全保密责任书》，并定期进行安全保密的检查监督；

e) 负责本部门使用计算机硬件的表面保洁、环境安全等，并负责使用软件按要求及时升级和其它方式的维护。

5.1.3.3计算机操作人员

a）按照5.1.3.2 e)的要求，负责保养好个人使用的计算机及其配套设备；

b）对个人在信息采集、数据录入、文件制作与编辑、产品设计、工程设计、程序设计、信息浏览与查询、信息打印输出、拷贝、转储、公用电子邮件的发送与接收等操作过程中所产生、利用、废弃的信息安全保密负责；

c）保证个人计算机系统账户密码和口令不丢失、不泄密；

d）负责OA及其它生产业务系统电子证书口令和私钥的保密，不得随便导出、删除自己的电子证书。

5.2信息系统安全和保密措施

5.2.1入网管理：

5.2.1.1为确保计算机信息系统的安全、保密，入网部门和个人必须严格按照信息管理处的要求办理申请入网登记手续，认真填写入网申请登记表，并列出入网设备清单，包括服务器、工作站、PC、网络联接设备（包括上网设备的网卡的MAC编码），申请登记表中必须注明每台入网设备使用者、维护者和具体安装位置。

5.2.1.2申请入网时，必须说明入网的目的，所使用的网络资源，通过集团公司企业网和国际互联网所要传递信息的密级及保密措施。

5.2.1.3以子网方式接入集团公司企业网的部门，必须由企业管理部审查其网络方案。包括