公司信息系统安全及保密管理制度 Microsoft Office Word 文档

1 17 公司信息系统安全及保密管理制度 第一章 总则 第一条 为建设好公司信息化系统 保护公司信息资源 保证公司计算机网络信息系统安全 为公司安全顺利生产 运行保驾护航 结合公司实际情况 特制定本制度 第二条 公司信息安全管理体系分为三级 运营改善部 为信息安全管理中心 是第一级 各部门为分管单位 是 第二级 各终端用户是第三级 第三条 本办法适用于公司各单位和接入公司局域网的 相关单位和个人 第二章 职责分工 第四条 公司运营改善部负责公司范围内的信息安全系 统的统一管理 结合总公司的要求组织部署公司信息安全 系统并承担日常管理工作 负责联络和组织安全管理人员 技术专家和安全产品厂家代表解决特殊或紧急情况 一 组织制定企业信息化建设规划中有关信息安全的 内容 二 组织落实公司信息系统安全等级保护和信息安全 风险评估等工作 三 负责企业专网内各信息系统及用户访问互联网的 安全监督 访问控制策略的制定 用户分类及访问权限的 审批等 四 负责公司各单位接入企业专网的各项信息化软硬 件设施 应用系统及安全环境的检查 五 根据企业管理的要求 确定要害信息系统及相关 设备 负责企业专网系统各项安全策略的制定及权限的审 批 六 负责检查督促使用公司企业专网的各单位建立信 息系统安全管理组织 明确组织的负责人和管理的责任人 七 负责组织对公司企业专网范围内的信息系统安全 情况进行检查 落实有关信息安全方面的法律法规 督促 2 17 开展对于信息安全隐患的整改工作 八 处理违反公司信息系统安全管理有关规定的事件 和行为 配合公安机关及保卫部门查处危害企业网络和信 息系统安全的违法犯罪案件 九 履行法律 法规 制度规定的其他有关网络信息 系统安全保护方面的管理职责 十 配合上级单位的全局安全策略的实施工作 并结 合公司的实际情况实施安全策略 审批相应的管理权限 制定相应的管理策略 第五条 公司各单位负责本单位信息化设备及系统的信 息安全管理工作 职责为 一 教育职工遵守内网信息系统安全制度的各项规 定 二 接入内网的信息化设备应服从公司统一实施的 网络信息安全策略 在公司统一的安全策略下 上级信息 化管理部门赋予的管理员权限范围内 在本单位或相应网 段内实施安全策略及安全管理 三 配合公司安全管理部门和安全运维单位处理终 端设备及信息系统存在的不安全隐患 四 按照公司运营改善部对信息安全的要求 规范 本单位职工及业务往来外部单位人员的上网行为 第六条 终端用户职责为 一 计算机接入局域网前必须按照公司的管理制度安 装公司统一部署的信息系统安全管理软件 二 自觉服从信息系统安全管理员和本单位信息化专 业员的管理和检查 自觉遵守公司关于信息系统的安全管 理制度以及国家的法律法规 三 及时更新和升级信息安全系统软件 第三章 密码使用管理 第七条 用户密码管理的范围包括所有连接到公司内网 的计算机 服务器 数据库和应用系统所使用的密码 第八条 如本管理制度与原系统有关密码的规定有冲突 时 按照相对严格的规定执行 3 17 第九条 内网非涉密计算机 服务器 数据库和应用系 统设置的密码长度不能少于 8 个字符 且至少同时包含数 字 字母和特殊符号中的两种 符合密码复杂度要求 密 码更换周期不得大于 90 天 第十条 涉密计算机的密码管理规定参照 公司涉密计 算机管理制度 执行 第十一条 服务器应在本机设置相应的密码安全策略以 保证密码设置符合等级保护要求 第十二条 各应用系统及数据库在部署实施以及升级完 毕之后应及时更改密码 保证 第十三条 密码的管理和保存 一 个人计算机密码应由使用人管理 公用计算机密 码由本部门指定负责人管理 服务器和应用系统密码应由 各系统管理员设置并管理 二 密码不能保存在该计算机周围显著位置 第四章 企业内网接入管理 第十四条 为保障公司内网安全可管理性 任何接入公 司局域网内的设备都应符合公司信息安全管理策略的要求 规定 第十五条 公司运营改善部负责公司企业网的管理 制 定用户管理制度 制定公司企业网用户编码规则 附件一 第十六条 有独立局域网或形成的专业系统网络用户的 主管单位 负责对其网内用户的管理 制定本单位或本系 统接入公司企业网用户管理办法 维护网络的安全 第十七条 所有接入公司企业网的用户都必须采用实名 制 按照公司统一制定的公司企业网用户编码规则为计算 机命名 计算机一经命名不得随意改动 第十八条 任何单位或网络用户不得擅自移动或改变交 换机 集线器等网络设备的位置和接线方式 更改其设备 配置 凡是由于更改网络设备配置 影响公司正常生产和 网络瘫痪的 一经查实要进行严肃处理 第十九条 IP 地址的申请根据 公司信息化网络系统管 理制度 相关规定执行 4 17 第二十条 运营改善部根据外网带宽测算合理全天互联 网权限用户总数 并根据各单位管理岗人员数量比例分配 相应数量互联网权限 第二十一条 公司科级及科级以上人员分配互联网权限 第二十二条 各单位信息化专业员因工作原因 分配一 个互联网权限 不计入各单位分配数量 第二十三条 各单位提报特殊需求到运营改善部审核 每季度一次统一报公司经理审批 第二十四条 外部常驻 三个月以上 单位按需申请 原则上开通互联网权限数量不超过管理人员数量的 10 第二十五条 临时来访人员或项目人员互联网需求由挂 靠单位提报 人员撤离后应及时通知取消 第二十六条 公司各部室负责本部门挂靠单位外网权限 的管理 第二十七条 生产现场 包括厂房内的办公区域 除科 级和科级以上人员外 其他人员一律不开通互联网权限 第二十八条 用户在工作时间使用互联网做与工作无关 的事 运营改善部有权取消其互联网权限 第五章 内网用户计算机使用安全管理 第二十九条 为防止病毒在公司内部爆发及蔓延 内网 用户计算机必须安装公司统一部署的正版杀毒软件 第三十条 病毒防护体系终端用户 其职责为 一 自觉服从运营改善部防病毒系统管理员 各单位 信息化专业员的管理和检查 普通用户发现病毒可疑现象 时 应及时查杀病毒 不得擅自散发 二 不得关闭或卸载防病毒软件的实时检测功能和统 一管理功能 三 不得利用网络散播病毒 四 每天检查并保证自己客户端防病毒软件版本及病 毒码的及时更新 升级 如有问题及时上报给本单位信息 化专业员 五 使用软盘 光盘 U 盘或者移动硬盘时 必须先 5 17 查杀病毒以确保不被带毒的存储介质传染 六 有业务安全特殊要求的系统 必须服从安全规定 封闭 U 口 拆除不必要的软盘和光盘驱动器 第三十一条 病毒爆发时 运营改善部有权利终止病毒 源终端的网络 第三十二条 对重点岗位的计算机系统必须设置使用权 限及专人使用的机制 禁止来历不明的人和软件进入系统 必须做到专机 专人 专盘 专用 以保证封闭的使用环 境而不产生计算机病毒 第三十三条 对于多人共用的一台计算机 应指定负责 人 负责人应做到有病毒时尽早发现 及时上报运营改善 部网络安全管理员 第三十四条 为加强内网终端计算机管理 公司统一部 署终端桌面安全管理系统和内网补丁分发系统 系统客户 端应遵守如下规定 一 所有接入局域网内计算机终端必须注册统一部署 的终端桌面管理软件 凡有特殊原因 包括非 Windows 操作 系统 不能注册的设备 所在单位须向运营改善部申请 运 营改善部审批通过后在系统中取消限制并备案 附件四 二 不得关闭 卸载或破坏终端桌面管理客户端服务 进程 使客户端失去原有功能 三 对补丁分发系统提示的系统漏洞补丁应及时下载 并安装 以减少系统漏洞的威胁 第三十五条 计算机必须安装正版操作系统 实行实名 制 安装统一的防病毒软件 注册安装统一的内网管理系 统 服从统一的用户安全策略 第三十六条 内网安全系统的注册信息需准确无误 严 禁随意填写 第三十七条 内网用户应保证计算机每天至少重启一次 并清理系统垃圾文件 第三十八条 企业专网内的信息系统必须安装使用正版 软件 杜绝安装来历不明的软件产品 禁止安装与工作内 容无关的软件 第三十九条 网络用户应严格执行公司制定的安全保密 6 17 规定 不得利用企业网从事危害国家安全 泄露国家秘密 等犯罪活动 不得制作 查阅 复制和传播有碍社会治安 的信息 如发现上述行为运营改善部将立即中止传输 关 闭用户 第四十条 接入公司企业网络的任何用户 不得在接通 公司企业网的同时 使用代理等方式规避公司管理 第四十一条 不得利用公司网络环境下载或运行对内网 用户或其他网络用户造成威胁的攻击程序和软件 发起攻 击等类似行为 第四十二条 对于违反上述条款规定的单位 运营改善 部将对其执行专业考核 对于违反上述条款规定的个人 相关单位应按照本单位的有关规章制度条款 视情节严重 进行考核 第六章 内网安全技术设施管理 第四十三条 在局域网与互联网的接口上统一部署硬件 防火墙设备 并按照安全规则进行设置 第四十四条 在局域网与互联网的接口上布置防病毒网 关 对来自互联网的病毒进行阻拦和封杀 管理要求如下 一 确保防病毒网关设备病毒库正常运行和更新 对 互联网入口病毒进行有效拦截 二 根据公司实际情况制定防病毒网关过滤策略 并 根据运行过程中出现的问题进行调整 第四十五条 为对互联网无用信息资源进行过滤拦截 在局域网与互联网的接口上布置互联网内容过滤系统 管 理要求如下 一 根据实际需求 细化访问控制策略 屏蔽与工作 无关的互联网内容信息 二 及时放行各安全系统误拦截的网站 第四十六条 为对内网上网计算机进行审核限制和流量 控制 在局域网与互联网的接口上布置计费网关 管理要 求如下 一 对各单位申请开通互联网访问权限人员严格审核 7 17 并根据实际需求开通互联网访问权限 二 对网络流量情况监控 分析流量组成 并优化管 理策略 第四十七条 通过互联网访问公司局域网的用户采用虚 拟专用网 VPN 的方式进行连接 以达到安全访问的目的 第四十八条 公司 VPN 帐号是为了方便公司员工外出时 办公而设置的 如果有使用需求时 由各单位信息化专业 员进行申请 经本单位主管领导批准后 由运营改善部专 业人员负责开通 附件五 第四十九条 凡拥有 VPN 帐号的人员有对个人账号进行 保密的义务 如发现泄露账号和密码的行为 运营改善部 有权立即冻结相关帐号 并按照专业管理制度落实考核 第五十条 连续三个月以上未使用的 VPN 账号 运营改 善部将停用该账号 第五十一条 安全系统负责人对所负责安全系统必须做 到每个工作日对系统进行一次巡检 保证各安全设备正常 运行 第七章 移动存储介质使用管理 第五十二条 工作配备的移动介质 包括软盘 光盘 移动硬盘 U 盘 CF 卡 SD 卡 MMC 卡 记忆棒 XD 卡及 手机 相机等移动存储介质 只能在企业内部使用 不允 许外借 存储私人资料或带离企业使用 移动介质要定期 杀毒 在每次读取移动介质上的数据之前 必须先进行病 毒检查 第五十三条 对外单位的计算机 存储设备 移动介质 的因工作需要接入内网系统的 此前必须进行病毒检测 查杀病毒后方可使用 第五十四条 外部人员的存储设备需要接入到内部计算 机上进行电子文件拷贝时 必须由该计算机所有人或负责 人操作 在涉密计算机上操作必须经过本单位领导的审批 同意 第五十五条 各单位应根据本制度制定适合本单位相关 8 17 要求的移动存储设备管理规定 严格管理电子信息的外发 拷贝传输 第五十六条 企业专网内用于生产岗位等重要的计算机 终端设备要严格控制移动介质的接入使用 必要时封闭外 接端口 因特殊原因需临时开启接口的用户 应由其所在 单位严格控制 第五十七条 重要岗位的计算机系统要对移动介质采取 加密技术进行控制 防止泄密 第八章 数据备份管理 第五十八条 除生产系统外公司级各应用系统 由各单 位系统管理员制定备份策略并定期备份 以保证出现事故 和灾难时其数据信息能够及时 完整地进行恢复 第五十九条 各单位自建的管理信息系统其数据和信息 备份 由该单位系统管理人员根据本单位的存储设备资源 等具体情况制定备份策略并定期进行备份 第六十条 数据备份介质的保管地点应有防火 防热 防潮 防尘 防磁 防盗等措施 并进行异地备份 第六十一条 个人终端计算机内与公司工作相关的重要 数据应定时备份 并与计算机异地存放 第九章 数据泄露防护系统管理 第六十二条 为防止企业机密信息被企业员工有意识或 无意识的泄露给外部人员 与机密信息无关人员或非注册 人员 公司在重要关键部门要部署安装数据泄露防护系 统 对重要数据和文档进行加密 第六十三条 公司所使用的数据泄露防护系统可生成三 种文件 普通加密文件 用于本系统内部用户之间交互文 件形式 权限文件 本系统内部不同用户之间区分阅读修 改权限文件 外发文件 对需要控制的发给对本系统外用 户的电子文档的形式 第六十四条 数据泄露防护系统管理员职责如下 一 审批各单位提出的增加用户需求 核实需求情况 在系统中及时增加用户 不影响用户正常工作使用 9 17 二 根据各单位实际应用需求 以不产生明文为底线 原则 进行策略配置 三 对用户提出的重置密码需求 系统管理员应首先 确认用户的身份 核实后进行密码初始化 四 根据各单位的提报的需求设置审批人员 五 定时备份数据库并遵守数据备份的相关管规定 第六十五条 电子文件解密审批人应对解密文件内容进 行严格审查 第六十六条 电子文件解密执行 谁解密谁负责 原则 由解密人和解密审批人承担解密后的责任 第六十七条 数据泄露防护系统相关的各单位负责人应 对本单位需要安装数据泄露防护系统客户端的人员进行统 计并保存台账记录 负责指导用户的安装使用 第六十八条 数据泄露防护系统客户端用户应遵守如下 规定 一 禁止终端用户自行卸载或破坏程序文件 使客户 端软件失去原有加密功能 二 客户端如需更改权限 应先向所在单位信息化负 责人申请 经所在单位领导复审同意后报运营改善部更改 权限 三 数据泄露防护系统电子文件解密采取审批和自主 解密两种形式 拥有解密审批权限的用户处理解密申请时 应严格审查解密文件内容 由于审查不到位而发生的泄密 事件与解密申请人同负主要责任 四 个人账户密码尤其是具有解密和审批权限账户密 码应严格保密 第六十九条 各单位如需更改加密策略 应由本单位信 息化专业员提出申请 并填写 防泄密系统策略更改申请 表 附件六 并由本部门领导确认改变后的策略在可 承担风险范围内 最后报运营改善部备案并进行策略调整 附件七 第十章 网络信息发布管理 第七十条 任何人不得利用企业内部网制作 复制 发 布 传播含有下列内容的信息 10 17 一 反对宪法所确定的基本原则的 二 危害国家安全 泄露国家秘密 颠覆国家政权 破坏国家统一的 三 损害国家荣誉和利益的 四 煽动民族仇恨 民族歧视 破坏民族团结的 五 破坏国家宗教政策 宣扬邪教和封建迷信的 六 散步谣言 编造和传播假新闻 扰乱社会秩序 破坏社会稳定的 七 散布淫秽 色情 赌博 暴力 凶杀 恐怖或 者教唆犯罪的 八 侮辱或者诽谤他人 侵害他人合法权益的 九 含有法律 行政法规禁止的其它内容 第七十一条 不得在互联网上散布或谣传对公司有不利 影响的信息 第七十二条 不得在互联网上泄露公司机密 第七十三条 对于不遵守公司规定 在互联网上擅自发 表不当言论的单位和个人 公司保留对其依法起诉的权利 对触犯国家法律的单位和个人 公司将依法配合公安机关 提供证据和调查 第十一章 信息系统账号调整与注销管理 第七十四条 人员岗位发生变动 应及时会知运营改善 部调整其信息系统中权限信息 第七十五条 人员离职及岗位人员变动后不再使用原有 信息系统的情况 相关单位应会知运营改善部删除其账号 第十二章 附则 第七十六条 本制度由公司运营改善部负责解释 第七十七条 各单位应根据本制度制定符合本部门的详 细规定 第七十八条 对违反本制度的行为根据公司专业考核办 法有关规定进行处理 第七十九条 本制度附件 附件一 公司企业网用户编码规则 11 17 附件二 互联网权限申请 变更 审批表 附件三 公司特殊终端接入处理流程图 附件四 公司 VPN 帐号申请流程图 附件五 防泄密系统策略更改申请表 附件六 防泄密系统策略更改流程图 第八十条 本制度自下发之日起执行 公司 二 0 一五年 月 日 主题词 信息 风险 评估 办法 公司运营改善部 2015 年 月 日印发 共印发 份 附件一 公司企业网用户编码规则 公司企业网用户的计算机编码规则为 单位编码 名称全拼 12 17 例如 运营改善部张三 计算机名字的编码为 单位名称 单位编码 单位名称 单位编码 单位名称 单位编码 办公室 bg 生产部 sc 安全部 aq 设备部 jd 计财部 jc 能源部 ny 后勤部 hq 保卫武装部 bw 党群工作部 dq 技术质量部 jz 人力资源部 rz 运营改善部 yg 技改工程部 gc 炼铁作业部 lt 炼钢作业部 lg 热轧作业部 zg 硅钢事业部 gg 动力作业部 dl 电力作业部 fd 制氧作业部 zy 质量检查站 zj 供应管理部 wz 设备维检中心 wj 钢材加工作业部 gj 线材作业部 xc jx 13 17 附件二 XX 作业 部互联网使用人员申请 单位公章 编码 序号 姓名 作业区 科室 岗位 办公地点 IP 地址 详细事由 备注 说明工作性质及需求理由 提报人 主管领导 14 17 附件三 公司特殊终端接入处理流程图 15 17 附件四 公司 VPN 帐号申请流程图 不不不不 I T不不不不 不不不不不不 不不不不 不不 不不不 不不 不不不 不不 不不不不 VPN不不不不 不不不不 不不 不不不不不不不不不不不不不不不不不 不不不不不 16 17 附件五 防泄密系统策略更改申请表 编码 申请 单位 策略更 改要求 说明 申请人 信息化 专业员 签字 年 月 日 单位主 管领导 意见 签字 年 月 日 运营改 善部领 导意见 签字 年 月 日 17 17 附件六 公司防泄密系统策略更改流程图