XXX
数据安全管理规定
编制:____________________
审核:____________________
____________________准:批
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制
2.文件版本信息
3.文件版本信息说明
文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第 2 页共11页
第一章总则
第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,
明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用
的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。
第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密
级的文件或已声明密级的数据不纳入本规定管理范畴。
第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。
第二章术语定义
第四条本规定所称数据所有者是指,对所管理业务领域内的信息或
信息系统,有权获取、创建、维护和授权的业务主管。
第五条本规定所称利益相关者包括数据创建者、数据所有者、数据
管理者、数据使用者及信息安全管理人员。
第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和
非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。
第 3 页共11页
第三章职责定义
第七条数据创建者负责针对其所创建数据的内容和价值提出分类分
级建议,提交对应级别数据所有者确认。
第八条来自XXX信息系统以外的数据,数据承接者视同创建者行使
提出分级分类建议的责任和义务。
第九条数据所有者具有确认数据类别和敏感级别、确认销毁、提出
技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利
和义务。其中,XXX业务数据的所有者为XXX指定的相应业务部门。第十条各类数据的责任部门是该类数据的管理者。数据管理者作为数据所有者的代理者,代理数据所有者从事数据管理工作,负责其所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于:数据类别和敏感级别的标识与声明,根据级别进行管理与保护,数据使用培训,执行销毁操作并声明,定期自查提交报告,配合数据安全违规调查等。
第四章分类与分级
第十一条数据按其内容和用途不同分为技术类数据、行政管理类数据、业务类数据以及安全运行类数据。
第十二条数据分级应根据其价值、内容的敏感程度、影响及发放第 4 页共11页
范围进行确定。
第十三条数据管理者负责制定其分管领域内数据敏感等级的划分规则,并制定和发布本部门或本领域的数据敏感等级目录。
第五章标识与声明
第十四条数据的分类分级标识、声明是数据不可分割的一部分,自其标识、声明之日起,数据及其标识、声明不得分离,数据管理者和数据使用者均须按照标识、声明的类别和级别安全管理和使用数据。第十五条对于文件形式的数据,须由数据管理者在文件明显位置标识其类别、敏感级别、失效日期等,且文件和标识不能分开。标识应该醒目,标识格式应统一,标识方法应便于审计。对于非文件形式的
高敏感级别数据,如无法标识,须进行声明。
第十六条失效日期指数据敏感级别的有效性截止日期。到达失效日期后,应对数据进行重定级。
第十七条对于敏感级别高的数据,须由管理者对数据名称、类别、敏感级别、失效日期等以声明文件的形式进行声明,声明文件须由数据所有者审批签字。声明文件须跟随数据一起保管和传递。(声明文件模版详见附件)
第 5 页共11页
第十八条多个不同敏感级别的数据合并在一起时,按最高敏感级别给混合数据进行标识和声明。
第六章保管与保护
第十九条数据管理者须按照数据的敏感级别实施对应的保管与保护措施,并确保满足数据所有者对数据的安全要求。
第二十条数据管理者在日常管理中,须对数据按敏感级别分级防护,采取对应的存储、归档、设定保存期限等措施。
第二十一条敏感级别高的数据纸质文件须参照XXX秘密级文件安全管理规定进行保管和保护。敏感级别高的电子数据须采用必要的访问控制措施。
第二十二条数据管理工作应该首选技术手段加管理要求实现。必须加强针对数据管理工作的技术手段的研究、选型、部署、维护等。
第二十三条敏感级别高的数据自产生之日起,所有者提出的技术保障需求应同步到位。如技术上无法达到,技术部门应持续跟踪技术进
展,逐步使技术手段能够满足各项管理要求;对于已成熟并可采纳的技术手段,技术部门应验证其功能可靠性,逐步引入,持续优化技术保障工作。
第 6 页共11页
第七章数据使用
第二十四条数据使用者在使用数据时,须注意识别数据的敏感级别,按照其敏感级规范数据操作使用行为;使用中发现问题及时反映,发现违规行为及时举报,并积极配合违规事件的调查;自觉遵守数据管理规定。
第二十五条数据使用者须保证其所使用数据来源的合法性,不私自拷贝、使用、传播、保存与自己工作无关的数据。
第二十六条数据使用者和数据管理者无权未经所有者批准向发布范围以外的单位或个人提供中心数据或其衍生物,否则视为违规;如因工作原因需要对外提供的,应经数据所有者确认,并记录、备案、备查。
第二十七条XXX业务数据须按主管业务部门授权或管理规定要求对外提供,否则视为违规,并需做好数据提供记录,备案、备查。
第二十八条数据管理者要对数据使用情况进行掌控和审计,发现违规行为及时制止,并依本规定进行处置。
第八章数据销毁
第二十九条数据管理者有按照数据所有者要求清理和销毁原始数据的义务。
第三十条数据使用者应具有数据安全清理和销毁的意识,具有按第 7 页共11页
照数据管理者的要求清理和销毁本地临时数据、中间文件、过程文件的责任和义务。
第三十一条数据管理者和数据使用者具有按照规定记录清理和销毁数据过程,并接受安全管理人员审计的义务。
第三十二条数据管理者和数据使用者在清除和销毁电子数据时,须保证清除和销毁的彻底性。
第九章安全检查与审计要求
第三十三条数据管理者有义务监督数据的安全使用,负责所管理数据的自查工作。周期性地检查数据安全使用和管理情况,更新过期的标识或声明信息,向数据所有者汇报。
第三十四条信息安全领导机构根据信息安全组织授权,独立开展高敏感级别数据的第三方审计工作。检查和审计数据所有者、数据管理者数据管理要求的执行情况,向信息安全组织汇报。
第十章数据保护
第三十五条数据保护应遵循适度保护、积极防范、突出重点、分级管理的原则,通过数据的分类分级进行区别保护、动态保护。
第 8 页共11页
第三十六条X系X统信息安全组织,应根据信息安全工作的实际需要,制定数据保护的具体技术和管理措施。
页眉内容 XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明
确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。 第三章职责定义 第七条数据创建者负责针对其所创建数据的内容和价值提出分类分级建议,提交对应级别数据所有者确认。 第八条来自XXX信息系统以外的数据,数据承接者视同创建者行使提出分级分类建议的责任和义务。 第九条数据所有者具有确认数据类别和敏感级别、确认销毁、提出技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利和义务。其中,XXX业务数据的所有者为XXX指定的相应业务部门。 第十条各类数据的责任部门是该类数据的管理者。数据管理者作为数据所有者的代理者,代理数据所有者从事数据管理工作,负责其所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于:数据类别和敏感级别的标识与声明,根据级别进行管理与保护,数据使用培训,执行销毁操作并声明,定期自查提交报告,配合数据安全违规调查等。
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
数据安全管理办法 为保护公司重要经营数据安全,结合各部门实际情况及保密需求,制定本规定。 一、结合公司实际硬件配置情况,公司目前实行双硬盘数据加密共享备份机制。 二、数据加密共享备份以部门为单位,备份所需的专用硬盘安装于部门负责人的电脑上。总监及以上人员配备专用移动硬盘存放日常重要文件。 三、专用硬盘的安装及使用 1、公司在各部门负责人的台式电脑上安装500G大容量硬盘,该硬盘仅用于备份部门重要数据。 2、信息技术员将在安装数据备份专用硬盘的计算机上以部门内每个员工的姓名拼音建立帐户,设置初始密码,并在专用数据备份硬盘上建立一个以员工姓名命名的文件夹。 3、员工在备份资料时应及时请部门负责人更改初始密码。 4、部门负责人有权限查看和使用部门内所有员工的备份资料,员工仅有权限查看和使用个人备份的资料(信息技术员已在设置备份时设置完成此项功能)。
5、员工可通过远程共享访问部门经理的计算机,将欲备份的文件拷贝到个人姓名的文件夹里。 6、数据备份操作说明: 主要操作内容涉及三部分:(1)部门负责人修改密码操作;(2)员工备份数据操作;(3)部门负责人查看备份文件夹内的资料。 操作一:部门经理修改员工帐号密码步骤 (1)在桌面我的电脑图标点右键,选择管理,打开。如图: (2)展开本地用户和组,点击用户,右侧会显示所有用户名。 (3)找到在欲修改密码的用户名,点右键,选择设置密码,会提示如图,点继续。
(4)如下图,输入新的密码,点确定,即完成密码修改。 操作二:员工备份数据的步骤 (1)以财务部阎旭升为例,在个人电脑上上打开网上邻居—查看工作组计算机,找到部门经理姚滢的电脑,双击打开,会提示如图: (2)输入用户名/密码,并勾选记住我的密码,以后就不用再输入密码(注意1:非本部门员工在访问共享文档时,也会提示输入用
文件编号:GD/FS-9367 (操作规程范本系列) 数据中心信息安全管理及管控要求详细版 The Daily Operation Mode, It Includes All The Implementation Items, And Acts To Regulate Individual Actions, Regulate Or Limit All Their Behaviors, And Finally Simplify Management Process. 编辑:_________________ 单位:_________________ 日期:_________________
数据中心信息安全管理及管控要求 详细版 提示语:本操作规程文件适合使用于日常的规则或运作模式中,包含所有的执行事项,并作用于规范个体行动,规范或限制其所有行为,最终实现简化管理过程,提高管理效率。,文档所展示内容即为所得,可在下载完成后直接进行编辑。 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、 ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的
BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
公司信息安全管理办法 一、目的 为了保护区域的整体利益和长远利益不受侵害,需要加强对公司内部信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本管理办法。二、适用范围 本管理办法适用于公司所有员工。 三、职责 由于区域的信息贯穿在区域建设及经营活动的全过程和各个环节,所以信息安全的管理,除了领导重视而且需全员参与,各个项目/部门人员都要严格遵守公司信息管理办法规定的内容。 四、信息分类 区域信息包括但不局限于以下内容 1.公司所有内部系统账号密码安全(如: ERP、NC……等)。 2.公司员工内部沟通QQ群、微信群。 3.公司文件(包括所有电子版文件和纸质版文件。如:内部公文、会议资料、设计图纸、设计方案、合同、管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容……一切有关于公司利益的文件)。 五、管理要求 公司内部系统账号密码管理要求: 1.公司所有内部系统的个人账号密码不得随意给他人,如出现问题由账号本人负责。 2.员工离职时,人事部应该第一时间发起账号注销流程或通知离职员工所有项目/部门的行政管理人员发起账号注销流程,拒绝出现离职员工还存在能使用公
司内部系统账号密码权限。 公司员工内部沟通QQ群、微信群管理要求: 1.未经群管理人员同意不得随意邀请人进入沟通平台,如需要邀请必需经群管理人员同意。 2.进入QQ群、微信群的员工必需更改群名称,群名称格式为:项目/部门-姓名(如:设计部-张某某)。 3.员工离职时,人事部应该第一时间通知群管理人员将离职员工移出群。 公司文件安全管理规范要求: 1.员工必须具有保密意识,做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。 2.严禁在公共场合、公用电话及网络公众平台上交谈、传递保密事项,不准在私人交往中泄露公司秘密。 3.员工发现公司秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告区域项目/部门第一负责人,区域项目/部门第一负责人应立即作出相应处理。 4.区域或区域各项目/部门在开会过程中,如未经会议组织人员同意,不得随意拍照、摄像,包括相机、摄像机、手机等相关设备,一经发现,严厉惩罚当事人。 5.公司文件不得随意给无关人员查阅、复制或借出,特别是具有保密性的文件。 6.对草稿、初稿或过期文件不能随意乱丢,如无保留价值应及时销毁,必须同定稿一样对待,按保密原则和要求管理。 7.具有保密性的文件,区域各项目/部门需要指定人员做好保密工作,不能随意堆放及存放。 XX公司
公司网络信息安全管理办法 1.总则 为规范公司计算机与网络的管理,确保计算机与网络资源的高效性与安全性,特制订本办法。 1.1网络信息安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。 1.2本规定涉及的管理范围,包括各类软、硬件设备。其中,软件设备包含:办公系统(OA、CRM、现金流系统)、邮件系统、局域网、操作系统以及网络上提供的相关服务;硬件设备包含计算机及与计算机相连接的打印机、扫描仪、路由器、服务器、U盘、移动硬盘等设备。 1.3本办法适用于部门及车间各单位。 2.网络安全管理 2.1全公司计算机由其指定责任人负责计算机与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。若发现该责任人泄漏计算机内信息秘密,将视情节轻重,对该责任人处以200-5000元的经济处罚。 2.2公司员工必须定期对其重要文件进行备份,不建议将文件数据单一存储在某一设备介质中,应在多种设备介质(移动硬盘或U盘)中建立多个备份。一旦数据丢失且无法恢复,将视数据损失情况及重
要程度,对当事人处以200-5000元的经济处罚。 2.3公司各部门的重要数据,应每季度由其部门特定人员进行备份,同时应将数据备份到多种设备介质中,包括移动硬盘,光盘等。一旦数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000元的经济处罚。 2.4公司服务器系统的数据备份,由其部门特定人员进行数据备份。责任人需每周一次对数据文件进行完整备份,并将备份文件转移到指定存储介质中。未按要求进行备份,并导致服务器数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000经济处罚。 2.5公司员工不得使用各种手段破解、攻击公司计算机网络系统与各种服务平台。一经发现,将对当事人处以5000元的经济处罚并给予开除处理。 2.6 责任人需定期对使用电脑进行杀毒、清理垃圾文件、升级补丁,保持计算机系统清洁。未按规定执行,对部门第一负责人及经办人员分别处以200元和100元的经济处罚。 2.7责任人需定期对服务器进行杀毒、清理垃圾文件、升级补丁,保持计算机系统清洁。未按规定执行,对第一负责人及经办人员分别处以200元和100元的经济处罚。 2.8 公司员工因履行职务或者主要利用公司的物质条件、技术累积、业务信息等产生的发明创造、作品、计算机软件、技术信息或其他与商业信息有关的知识产权均属公司所有。工作成果包括发明创造、技术改造、工具模型、专有技术、专有设计、专利、管理模式、
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
**企业信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的信息安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS7等)软件。 5、平台软件是指:鼎捷ERP、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop等)。 第三条职责 1、信息中心部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管
信息系统数据安全管理办法1 信息系统数据管理办法 (试行) 第一章总则 第一条为了规范信息系统的数据管理工作,真实、有效地保存和使用各类数据,保证信息系统的安全运行,根据《中华人民共和国计算机信息系统安全保护条例》及相关法律、行政法规的规定,特制定本办法。 第二条本办法所指的数据包括各类业务数据以及各种系统软件、应用软件、配置参数等。 第二章数据的使用 第三条信息系统实行安全等级保护,软件使用权限按程序审批,相关软件使用人员按业务指定权限使用、操作相应的软件,并且定期或不定期地更换不同的密码口令。 第四条业务软件的使用主体为系统各部门,(0A)系统的使用主体为在编人员。录入数据的完整性、正确性和实时性由各相关录入部门、人员负责。信息办负责软件和数据的安装维护,以及数据的安全保护。 第五条其他单位需要部门提供数据的,根据有关规定,按密级经分管领导签字同意后,由信息办提供。 第二章数据的备份
第七条信息办按照数据的分类和特点,分别制定相应的备份策略,包括日常备份、特殊日备份、版本升级备份以及各类数据的保存期限、备份方式、备份介质、数据清理周期等。 第八条数据备份管理人员必须仔细检查备份作业或备份程序的执行情况,核实备份数据的有效性,确保备份数据的正确性和完整性。 第九条数据备份管理人员定期对各类数据进行安全备份: (一)对最近一周内的数据每天备份:周一至周日对数据进行全备份(对于大存储量的数据,可进行增量备份); (二)对最近一月内的数据,每周保留一个全备份; (三)对最近一年内的数据,每月保留一个全备份; (四)每年至少保留一个全备份。 第十条对于数据库服务器、web服务器、网络设备的参数配置,在每次做过更改后,要及时备份。 第十一条数据备份要求异机备份,并且不能备份在WEB或FTP 等公共访问站点上;月备份和年备份同时要求至少一个离线备份。 第三章数据的恢复 第十二条对系统进行数据恢复必须制定书面的数据恢复方案(内容包括进行数据恢复的原因和理由、恢复何时和何种数据、使用哪一套备份介质、恢复的方法和操作步骤等),经信息办主
公司信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使
用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
信息安全管理条例第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。 改善信息安全水平的主要手段有: 1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全; 3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险; 5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限; 8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期; 9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式; 10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故 障或灾害的影响; 11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。 1.2、信息安全建设的原则 1)领导重视,全员参与; 2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与; 3)技术不是绝对的; 4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“二、八”原则; 6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部; 7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全管理制度 第一章总则 第一条为了建立、健全的信息安全管理制度,按照相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。 第二条本文档适用于公司信息安全管理活动。 第二章信息安全范围 第三条信息安全策略涉及的范围包括: 1.单位全体员工。 2.单位所有业务系统。 3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。 4.单位办公场所和上述信息资产所处的物理位置。 第三章信息安全总体目标 第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。 第四章信息安全方针 第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。 第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类
管理,并编制和维护所有重要资产的清单。 第三条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。 第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。 第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。 第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。 第七条对用户权限和口令进行严格管理,防止对信息系统的非法访问。 第八条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。第九条与外单位的外包(服务)合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容,并采取相应措施严格保证对协议安全内容的执行。 第十条在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。 第十一条定期对信息系统进行风险评估,并根据风险评估的结果采取
数据安全管理规定 1.保密制度 1.目的 实现研发中心内部数据的安全。 2.使用范围 适用于公司在生产、研发、行政管理中形成的文件(如:合同、图纸、技术报告、企业标准、管理制度、图片、程序、数模、人事档案、财务报告等)及模型、样机、样件等。3.保密要求 3.1新员工进入公司后,由人力资源部组织进行《保密制度》学习培训,并签订《知识产权及保密协议》。 3.2 员工由于项目工作需要,必须将数据携带外出、复印、打印或者经由电子邮件、传真发送,必须由其主管项目经理批准,并登记备案。 3.3公司电脑配置实行一机一人,每台电脑必须设置个人密码,任何人不得将个人密码告诉他人,否则后果自负。 4.奖惩 因疏忽或无意泄漏公司数据者,由公司根据情节进行处罚。 2.公司计算机网络管理办法 1.目的 为加强公司计算机网络系统管理,提高公司计算机网络系统的安全性、可靠性和稳定性,保证研发及行政管理工作需要,特制定本办法。 2.职责/职能 2.1综合管理部是计算机系统主管部门,统—管理公司的计算机网络。 2.2数据操作员负责公司对外及外来光盘、磁盘、电子邮件等电子文件传递的管理工作。 2.3网站管理员负责公司内、外网站服务器的维护管理工作。
3.内部安全防范管理 3.1公司内各类计算机系统用户,严禁运行未经检验和来历不明的软件,严禁在各自的计算机内安装与各自业务无关的软件,严禁安装运行各种游戏软件,严禁将计算机系统口令和个人密码告诉无关人员,未经许可严禁将计算机交由外部门人员操作。 3.2公司各计算机用户应确保各自计算机内的数据资料的安全。未经许可,任何人严禁擅自拷贝公司数据。综合管理部切实做好数据的备份工作。 4.防范计算机病毒 4.1公司内各计算机用户应当专人、专管、专用。 4.2公司预防计算机病毒选用的硬件、软件必须是正版产品。 4.3对计算机安全运行操作的具体要求: 4.3.1谨慎地处理、使用共享软件。 4.3.2新安装系统要进行检验。 4.3.3外来电脑未经许可不得联入公司网络。 4.3.4对软盘、U盘、移动硬盘、光盘实行管理,在使用外来软盘、U盘、移动硬盘、光盘时,应首先检测其安全性。 4.3.5决不执行不知来源的程序。 4.3.6系统中的数据要定期进行备份。 4.3.7禁止在工作场所安装计算机游戏,玩计算机游戏。 4.3.8计算机系统管理员定期检查清除计算机游戏。 4.3.9密切注意自用计算机的配置参数(如引导扇区、中断向量表、应用程序长度、执行时间)和运行情况,发现异常,及时报告系统管理员,做出判断和处理。 4.4确保杀毒软件病毒特征码的及时更新:由于病毒不断发展变化,要求计算机系统管理员密切注意所用杀毒软件病毒特征码的更新情况,做到及时更新。 4.5防范病毒制度化:对各计算机系统,尤其是服务器定期扫描杀毒。 4. 6对新购计算机进行病毒检查,对新购软件系统进行病毒检查,计算机不得外借。 4.7互联网防毒的安全措施: 4.7.1公司设有联入互联网的专用计算机(除邮件收发专用机外,不与公司内部网连接),未经过主管部门同意,任何人不得私自接入互联网。 4.7.2不得进入各“黑客”站点访问,不允许在局域网及Internet上使用“黑客”软件,以防不明病毒。