项目信息安全管理细则
第一章总则
第一条为保障中铁九局四公司项目部计算机网络系统的安全,促进项目部各项业务的信息化, 保障信息安全,保证计算机系统的正常运行,特制定本细则。
第二条计算机安全管理的主要内容包括安全防范设施和安全保障机制,以有效降低系统风险和操作风险。
第三条项目部应设立专(兼)职计算机管理员,负责项目信息系统的日常安全管理和执行工作。
第二章技术安全管理
第四条技术安全管理主要是指项目部信息系统的安全技术实施和维护方面的技术管理,包括网络安全管理,系统安全管理操作安全管理。
第五条严禁利用项目信息系统从事国家明令禁止的活动。
第六条未经许可禁止新增,挪用和改动项目信息权,严禁将外来计算机设备接入公司网络。
第七条严禁在计算机上随意安装使用与工作无关的软件特别是具有密码破解,黑客攻击等功能的软件。
第八条严禁在工作时间进行浪费网络资源和威胁网络安全
的操作(如大文件下载,计算机端口扫描等)。
第九条计算机管理员负责统一安装所有员工办公电脑上的操作系统及应用软件,并负责调试,维护。
第十条在使用过程中计算机出现故障,应通知计算机管理员,不得擅自拆卸计算机。
第三章病毒防范管理
第十一条计算机病毒是指隐藏在计算机软件程序和数据资源中,利用系统的软件程序和数据资源繁殖并生存,并通过系统的软件程序和数据共享途径进行传染的攻击性程序,它会影响计算机系统的正常运行。
第十二条对计算机病毒的防范应以预防为主, 事后处理为辅。计算机病毒防范工作由计算机管理员统一规划,协调和组织实施。
第十三条选用的病毒防护软,硬件,必须是经公安部认证、批准的产品。
第十四条计算机管理员必须不定期组织检查病毒,发现病毒及时采取相应措施处理。
第十五条项目部所有员工必须严格按以下要求进行病毒防范:严禁未经授权自行重装操作系统或变更系统设置,如确有必
要,应通知计算机管理员安装或在综合部授权同意的情况下自行操作。
第十六条严禁自行下载,安装不明来历的软件;
第十七条在所使用的电邮系统中不要打开不明来历的电子邮件,一旦发现应立即删除;
第十八条如果防病毒软件报告查到新病毒, 首先应立刻将计算机断网,避免病毒在网络中扩散,然后将提示信息通知计算机管理员,在管理员的指导下进行杀毒或安装系统补丁,不得自行处
理。
第十九条本规定由公司办公室解释。
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。
5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
XXXXX有限公司 体系文件文件编号XZ-GZ10-019 版本号 标题:关键岗位信息安全管理细则 页数1/2 1.目的 为了切实保障公司信息系统安全,规范公司关键岗位人员信息安全的责任,根据国家信息安全法规,制定本细则。 2.适用范围 公司所有关键岗位人员。 3.定义 关键岗位——本细则中关键岗位是指在信息系统运行过程中可接触到等级为敏感级及以上信息资产 的岗位。 关键岗位人员——本公司关键岗位为设计人员(项目开发)质量管理人员,公司骨干(主管级及以上 人员)业务(销售)等岗位。 4.引用文件 无 5.程序 信息关键岗位控制要求 关键岗位是指在信息系统运行过程中可接触到等级为敏感级以上信息的岗位,选拔招聘关键岗位人员 时,应对被选拔者的相关背景和资历、入职动机、工作稳定性等进行审查,审查通过后方可上岗工作。 关键岗位人员必须是正式员工,并签署“商业秘密保密协议”和“员工遵守职业道德准则承诺书”。 为做好关键岗位风险控制,有效防范和规避关键岗位员工操作风险和道德风险,应对关键岗位人员进 行信息安全例行检查,通过例行检查对关键岗位人员进行评估,必要时对关键岗位人员实施轮换,在 轮换时需对原岗位人员进行离任审计,以确保对离任人员的风险控制。 关键岗位的员工,有义务接受信息安全和保密知识、职业道德的教育和培训。 关键岗位人员禁止使用(除非授权):a) USB接口数据交换;b) 外网访问; c) 非公司邮箱的使用(邮箱使用权限需经审批);d) 电脑打印; 关键岗位的信息安全基本要求。
禁止利用计算机资源制造、传播违反国家法律法规的信息。 掌握所在岗位需要的计算机信息安全知识,妥善保管计算机系统中的重要文件和数据,妥善保管身份 认证凭据(如用户账号、密码、数字证书等)。 严禁自行更换所使用计算机系统的软硬件配置;严禁在计算机设备上安装、使用盗版软件,与工作无 关的软件或非授权数据介质(如软盘、光盘、优盘和移动硬盘等)。 XXXXX有限公司 体系文件文件编号XZ-GZ10-019 版本号 标题:关键岗位信息安全管理细则 页数2/2
信息安全管理制度 第一章总则 第一条为了保护医院信息系统安全,促进医院信息系统的应用和发展,保障医院信息工程建设的顺利进行,特制定本规则。 第二条本规则所称的信息系统,是由计算机及其相关配套的设备、设施构成的,按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统,即现在医院建设和应用中的信息工程,。 第三条信息系统的安全保护,是保障计算机及配套的设备、设施的安全,运行环境的安全,保障信息的安全,保障医院信息管理系统功能的正常发挥,以维护信息系统的安全运行。 第四条信息系统的安全保护,重点是维护信息系统中数据信息和网络上一切设备的安全。 第五条医院信息系统内全部上网运行计算机的安全保护都适用本规则。 第六条信息中心主管全院信息系统的安全保护工作。 第七条任何单位或者个人,不得利用上网计算机从事危害医院利益的活动,不得危害信息系统的安全。 第八条各级各类医院根据本规则,结合医院不同的功能
任务和医院信息系统规模大小,参照以下内容制定适宜于本医院的运行与应用保障制度。 第二章信息安全保护制度 第九条信息系统的建设和应用,应遵守医院信息系统管理规则、医院行政法规和其他有关规定。 第十条信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息中心负责制定和实施。 第十一条信息中心机房应当符合国家标准和国家规定。 第十二条在信息系统设施附近营房维修、改造及其他活动,不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业,须事先通知信息中心,经中心负责人同意并采取保护措施后,方可实施作业。 第十三条信息系统的使用单位和个人,都必须遵守计算机安全使用规则,以及有关的操作规程和规定制度。 第十四条对信息系统中发生的问题,有关使用单位负责人应当立即向信息工程技术人员报告。 第十五条对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作,由计算机中心负责处理。 第十六条对信息系统软件、设备、设施的安装、调试、
信息安全管理制度 发布日期:2021年01月01日实施日期:2021年01月01日上海*******股份有限公司信息中心发布
信息安全管理制度 目录 一、总则 (3) 二、职责 (3) 三、电子邮件管理 (4) 四、硬件设备管理 (5) 五、软件管理 (8) 六、计算机操作员管理 (8) 七、数据安全管理 (11) 八、机房管理 (12) 九、考核办法 (13) 十、附则 (14) 十一、附件: (14)
一、总则 1.1目的 为规范公司信息安全管理工作,保证计算机系统的正常运行,降低信息安全漏洞对公司造成的损害,推进公司信息化建设工作,特制定本制度。 1.2定义 信息安全是指信息系统(包括电子邮件、硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受内部、外部、自然等因素的威胁,保证系统联系可靠正常运行。 二、职责 2.1 主要管理部门 综合管理部。 2.2 网络管理员 网络管理员为信息系统主要管理人,负责信息系统的建设、维护、管理、升级工作;负责公司网站的信息更新操作。 2.3 ERP系统管理员 ERP系统管理员为ERP系统主要管理人,负责ERP系统的维护、
管理、权限变更等工作。 2.4 计算机操作员 使用电子计算机从事文字、图形、图像等信息处理工作及计算机系统操作、维护与管理的工作人员。 三、电子邮件管理 3.1 电子邮件命名 3.1.1公司内部人员统一使用后缀为@***的电子邮件。 3.1.2电子邮件账号原则上以姓名拼音的第一个字母进行命名,如遇重复,由综管部与个人协商确定。 3.2 电子邮件使用管理程序 3.2.1邮箱申请:新进人员直接由综管部确定并下发邮箱地址; 3.2.2人员异动:所属部门人员岗位异动应及时通知综管部;离职人员邮箱由部门根据需求处理后通知综管部清除账户。 3.3 邮件发送 3.3.1 邮件发送对象:邮件接收人为邮件内容的主要执行人。发送邮件时应按流程逐级发送,不允许越级汇报或发给与邮件内容无关人员。发送时应明确收件人执行要求。 3.3.2建立发送群体对象因人员岗位变动要及时更新联系名单。 3.3.3抄送对象:主要用于备案、告知、协调等事宜。包括需让领导、团队知悉的或寻求协调的相关人员,因此发件人在抄送邮件时要仔细辨别、判断,不得群发。例如:日常工作处理(属于本岗位可以
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
信息安全管理制度一、总则 为了进一步加强公司信息安全管理,根据公司的要求和保密规定,结合公司实际情况,特制定本制度。 二、信息管理员职责 1、公司负责信息安全的职能部门为XX。 2、公司设置专人为信息管理员,负责信息系统和网络系统的运行维护管理。 3、负责公司计算机的系统安装、备份、维护。 4、负责督促各部及时对计算机中的数据进行备份。 5、负责计算机病毒入侵防范工作。 6、定期对网络信息系统安全检查。 7、违规对外联网的监控,信息安全的监督。 8、负责组织计算机使用人进行内部网络使用规范的宣传教育和培训工作。 9、负责与上级管理部门联络工作,参加上级组织的各类培训,并及时上报相关报表。. 三、管理制度 (一)密级制度 从保密性角度,公司对于信息分成两大类:公开信息和保密信息。 1、公开信息:公司已对外公开发布的信息,如公司宣传册、
产品或公司介绍视频等。 2、保密信息:公司仅允许在一定范围内发布的信息,一旦 泄露,将可能给公司或相关方造成不良影响。比如公司投资计划等。 3、保密信息密级划分 根据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。 绝密信息:关系公司前途和命运的公司最重要、最敏感的信息,对公司根本利益有着决定性影响的保密信息,如:公司订单,研发资料,重大投资决议等。 机密信息:公司重要秘密,一旦泄露将使公司利益受到严重损害的保密信息,如:未发布的任命文件,公司财务分析报告等文件。 秘密信息:公司一般性信息,但一旦泄露会使公司利益受到损害的保密信息,如:人事档案,供应商选择评估标准等 文件。. 内部公开:仅在公司内部公开或仅在公司某一个部门内公开,对外泄露可能会使公司利益造成损害的保密信息的保密信息,如:年度培训计划,员工手册,各种规章制度等。 4、密级标识 创建文档时,需要根据内容在页眉处添加正确的密级,页脚处注明“XX机密,未经许可不得扩散”或类似字样。电子
关于**项目信息安全管理办法 为了规范及加强**项目的信息安全管理工作,特制定<<**项目信息安全管理办法>>,并严格按要求执行,具体如下: 一、硬件设备及软件信息安全管理 1、按照**客服供应商硬件及软件设备要求标准进行配置,确保符合标准。并定期维护。 要求:技术员定期维护,对于损坏、无法修复、多次修复仍然存在问题的电脑及时进行更换。 对象:**项目组座席、管理使用的电脑 实施时间:随时检查,每月排查登记一次 违规处罚:未按规定时间完成的考核技术负责人500元/次。 2、招募第三方安全公司,按**客服供应商对第三方安全公司的安全测评要求来进行招标,定期上报安全测评报告,并对存在的信息安全、网络安全等隐患或漏洞进行排查整改。 对象:**项目组所使用设备、软件等 实施时间:每季度测评一次 违规处罚:未按规定时间完成的考核技术负责人500元/次。 3、外网访问、系统更新补丁、防火墙检查、机房电脑USB端口的禁用等检查工作 要求:对海口职场电脑外网访问进行严格审查,无关于工作的外网一律禁止访问,对于网盘、视频、音乐、非工作用的在线聊天软
件等进行屏蔽。每周定期打系统更新补丁,每周定期对防火墙进行检查、打补丁,每周定期对机房电脑USB端口禁用进行检查 对像:机房座席电脑、管理人员使用的电脑、服务器。 实施时间:每周定期检查,并做好技术维护日志登记工作。以便可追溯。 违规处罚:未按规定时间完成的考核技术负责人500元/次。如有出现擅自开通外网、解禁USB端口等出现危害信息安全 等行为的,一律按500元/次进行考核,严重的做辞 退处理。并承担由此造成的经济损失。 4、硬件设备、软件等信息安全检查要求 要求:1、对**项目所有电脑按区域进行划分,共5个区域。 2、专人负责,每个区域由团队长进行管理。 3、每周各区域负责人对管辖区域信息安全进行检查及检查。 4、检查完毕后团队长填写《信息安全检查表》,并签名。 5、中心经理每日对团队长信息安全工作及签名进行检查,一 旦出现未按要求完成工作则纳入考核。 实施时间:每周日前完成 违规处罚:不按时完成工作及签名者,考核200元/次。 二、座席入职及职场信息安全管理 1、座席信息安全保密工作 要求:座席上岗前100%签订保密协议,并通过信息安全制度考试后
1目的 规范计算机及计算机网络信息安全管理,提高信息安全保障能力和水平,维护国家及企业安全。 2适用范围 公司机关及所属单位。 3编制依据 3.1《信息安全管理办法》(IT-01-07,2011,中国海油) 3.2《信息系统安全等级保护管理细则》(IT-01-07-02,2011,中国海油) 3.3《计算机信息网络安全规范》(Q/HS 5000-2009,中国海油) 3.4《信息安全管理办法》(AM-01-08,2015,公司) 3.5《信息系统安全等级保护工作实施细则》(AM-01-08-01,2015,公司) 4职责 4.1行政管理部 督促、检查、指导公司及所属单位计算机网络信息运营的安全工作。 4.2公司机关部门及所属单位 履行计算机网络信息安全的义务和责任。 5工作内容与要求 5.1安全防范 5.1.1基本要求 5.1.1.1各单位应按信息系统安全保护级别对信息系统采取安全防范措施,并确保安全防范工作的有效落实。 5.1.1.2IT支持服务中心应采取必要措施,提高网络的整体防护能力。 5.1.1.3各信息系统的数据、信息传输都应采用加密传输。 5.1.1.4各业务责任单位应制定其信息系统备份策略和灾备策略。 5.1.1.5IT支持服务中心应提供备份和灾备的相应资源、服务,定期备份数据、进行恢复测试并做好记录。 5.1.1.6各单位应对本单位信息系统的信息进行审查、检查和复查,确保信息的合法性、合规性。 5.1.1.7员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责,员工终端中严禁存储涉密(此处涉密系指涉及国家秘
密,下同)信息,终端中的商密文件不可设置为共享,工作邮箱电子邮件的收发要进行病毒查杀。 5.1.1.8员工发现异常或发现其他人员非法使用计算机时,有及时向所属单位或公司报告的责任。 5.1.1.9各单位要对移动存储介质进行登记、编号,移动存储介质要经IT支持服务中心检测合格、注册后入网使用。 5.1.1.10涉及国家或企业秘密信息的存储、传输等应指定专人负责,并严格执行国家、中国海油及公司有关保密的法律、法规和相关管理规定。 5.1.1.11涉密信息未经批准,不得在网络上发布或通过明码(明文)传输。 5.1.2信息加密管理 5.1.2.1涉及国家秘密的信息,其电子文档资料须加密存储。 5.1.2.2涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。 5.1.2.3涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息,在传输过程中应遵守国家的有关规定,视情况采用文件加密传输或链路传输加密。 5.1.2.4适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。 5.1.3用户账号(ID)管理 5.1.3.1信息系统管理系统中或运维支持体系中应包括账号管理流程。 5.1.3.2信息系统用户要严格管理账号,不得把自己账号外借他人使用、不得在电脑、屏幕和办公桌上贴条暴露账号信息,禁止索要、盗取、使用、传播任何未经授权使用的账号。 5.1.3.3加强对离职员工的账号管理,各单位在员工离职时应办理注销其账号。5.1.4用户权限管理 5.1.4.1信息系统权限设计要符合安全管理要求,实现最小权限和权限互斥原则。 5.1.4.2信息系统的用户权限要严格对应用户工作职责,权限申请和变更应按流程办理审批手续。 5.1.5禁止活动 5.1.5.1涉密计算机必须与互联网物理隔离,禁止把涉密计算机直接或间接连入公司局域网络和互联网,禁止在互联网计算机中存储或处理涉密信息。 5.1.5.2禁止利用信息网络系统制作、传播、复制有害信息。 5.1.5.3禁止非法违规入侵计算机和信息系统,禁止未经授权对信息网络系统中存
项目信息安全管理细则 第一章总则 第一条为保障中铁九局四公司项目部计算机网络系统的安全,促进项目部各项业务的信息化,保障信息安全,保证计算机系统的正常运行,特制定本细则。 第二条计算机安全管理的主要内容包括安全防范设施和安全保障机制,以有效降低系统风险和操作风险。 第三条项目部应设立专(兼)职计算机管理员,负责项目信息系统的日常安全管理和执行工作。 第二章技术安全管理 第四条技术安全管理主要是指项目部信息系统的安全技术实施和维护方面的技术管理,包括网络安全管理,系统安全管理,操作安全管理。 第五条严禁利用项目信息系统从事国家明令禁止的活动。 第六条未经许可禁止新增,挪用和改动项目信息权,严禁将外来计算机设备接入公司网络。 第七条严禁在计算机上随意安装使用与工作无关的软件,特别是具有密码破解,黑客攻击等功能的软件。 第八条严禁在工作时间进行浪费网络资源和威胁网络安全的操作(如大文件下载,计算机端口扫描等)。
第九条计算机管理员负责统一安装所有员工办公电脑上的操作系统及应用软件,并负责调试,维护。 第十条在使用过程中计算机出现故障,应通知计算机管理员,不得擅自拆卸计算机。 第三章病毒防范管理 第十一条计算机病毒是指隐藏在计算机软件程序和数据资源中,利用系统的软件程序和数据资源繁殖并生存,并通过系统的软件程序和数据共享途径进行传染的攻击性程序,它会影响计算机系统的正常运行。 第十二条对计算机病毒的防范应以预防为主,事后处理为辅。计算机病毒防范工作由计算机管理员统一规划,协调和组织实施。 第十三条选用的病毒防护软,硬件,必须是经公安部认证、批准的产品。 第十四条计算机管理员必须不定期组织检查病毒,发现病毒及时采取相应措施处理。 第十五条项目部所有员工必须严格按以下要求进行病毒防范:严禁未经授权自行重装操作系统或变更系统设置,如确有必要,应通知计算机管理员安装或在综合部授权同意的情况下自行操作。 第十六条严禁自行下载,安装不明来历的软件;
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管
公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率,特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给IT管理员,IT管理员(填 写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果 其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责 人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的要做相应赔偿,禁止 计算机使用人员对硬盘格式化操作。 7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理签字认可后交IT管 理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组织鉴定,同意报废处 理的,报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或改装费用超过或接近 同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办公软件安装正版office
信息安全管理办法 总则 一、目的:为了保护区域的整体利益和长远利益不受侵害,需要加强对公司部信息的管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本管理办法。 二、适用围:本管理办法适用于青燕祥云科技各部门所有员工。 三、职责:由于信息贯穿在公司建设及经营活动的全过程和各个环节,所以信息安全的管理,除了领导重视而且需全员参与,各个部门人员都要严格遵守公司信息管理办法规定的容。 总经办负责:各部门工作流程检查及公司各部门文件资料备档管理 技术部负责:各部门网络信息资料安全稽查 人事部负责:落实各部门违规操作的处罚工作 四、信息分类:信息包括但不局限于以下容 1、公司所有部系统账号密码安全(如:企业、ERP、NC……等)。 2、公司员工部沟通QQ群、微信群、钉钉群。 3、公司文件(包括所有电子版文件和纸质版文件。如:部公文、会议资料、产品图纸、设计方案、合同、管理诀窍、客户、供货商信息、产销策略、招投标中的标底及标书容……一切有关于公司利益的文件)。 五、管理要求: (一)公司部系统账号密码管理要求: (1)公司所有部系统的个人账号密码不得随意给他人,如出现问题由账号本人
负责。 (2)员工离职时,人事部应该第一时间发起账号注销流程或通知离职员工所有部门的行政管理人员发起账号注销流程,拒绝出现离职员工还存在能使用公司部系统账号密码权限。 (3)各部门员工由行政部统一分配,不允许使用私人,行政部应做好相应账户及密码记录。 (4)公司各部门沟通以形式,应注意发送需完整,写明主旨、容、并按要求修改为统一签名。 (二)公司员工部沟通QQ群、微信群、钉钉群管理要求: (1)未经群管理人员同意不得随意邀请人进入沟通平台,如需要邀请必需经群管理人员同意。 (2)进入QQ群、微信群、钉钉群的员工必需更改群名称,群名称格式为:部门-(如:人事行政部-三)。 (3)员工接到群消息应第一时间做出回复,保证信息传达准确及时有反馈。(4)员工离职时,人事部应该第一时间通知群管理人员将离职员工移出群。(三)公司文件安全管理规要求: (1)员工必须具有意识,做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。 (2)严禁在公共场合、公用及网络公众平台上交谈、传递事项,不准在私人交往中泄露公司秘密。 (3)员工发现公司秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告部门第一负责人,部门第一负责人应立即作出相应处理。 (4)各部门在开会过程中,如未经会议组织人员同意,不得随意拍照、摄像,包括相机、摄像机、手机等相关设备,一经发现,严厉惩罚当事人。
管理制度编号:YTO-FS-PD644 公司信息安全管理制度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
公司信息安全管理制度通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,