第一篇:计算机信息系统管理办法
济南xxxxxxx有限公司
文 件
编号:受控号:
计算机信息系统管理办法
为保障公司各部门计算机及信息网络的安全高效使用,规范管理与维护,特制定以下管理办法:
一、计算机及配套设备的购置、管理
1.购置:各部门根据工作需要提出申请,经公司批准后,由综合部负责统一采购。
2.采购以“性价比最佳”为原则,同时需确保售后服务的质量,兼顾外形的和谐统一。
3.各使用部门需在综合部办理计算机的登记手续,驱动盘、使用说明、保修卡及配置清单等原始资料由综合部负责保管,同时登记固定资产台帐。
4.将计算机管理纳入部门经理职责范围,指定日常使用人为专管人员,负责计算机的日常维护清洁、查毒清毒等工作。
5.计算机发生故障时,专管人员应及时向综合部报告,需外联技术员检查、维修的,由综合部负责联系接洽。未经综合部许可任何人不得随意拆装硬件。
6.为保证计算机性能正常,各部门应定期清洁与维护计算机(每周至少一次),具体流程由综合部负责制订并培训。
二、计算机安全规定
1.任何人不得利用计算机进行侵害国家、公司和个人利益与合法权益的活动。
2.需保密的部门应设置开机密码、屏保密码以及重要文件的读取密码。密码由专人负责保管,并视需要及时更改。
3.定期做好重要文件、数据的备份工作,防止文件丢失,确保数据安全。(详见
六、数据保密和备份)
4.为防止计算机病毒传播,使用任何外来文件需首先进行病毒清查,安装有杀毒软件的计算机须定期查毒(每周一次)。
三、计算机使用规定
1.按照“使用部门负责”原则,各部门所属计算机的日常使用及清洁维护、查毒清毒、数据备份、磁盘整理等工作需落实到专管员。本管理办法下发一周内,各部门
将专管员报给综合部,由综合部统一安排培训。
2.专管人员应经常检查所属计算机及外设状况,如发现异常应立即报告,禁止因不规范操作等原因造成硬件损坏。
3.日常工作涉及计算机使用的员工应注意相关知识的学习与积累,必要时综合部组织专项培训。
4.使用中应注意随时存盘;为消除安全隐患,下班后应关闭计算机及附属设备并切断电源。
5.任何部门或个人不得私自安装、使用包括游戏软件等一切与工作无关的软件,不可利用计算机进行与工作无关的活动,不可在计算机存储与工作无关的文件,否则按第七条进行处罚。
四、硬件设备管理
1.路由器、交换机和服务器是公司信息系统的关键设备,须放置在指定地点,由专职管理人员统一管理,其他人不得自行配置或更换。
2.每台计算机外观要保持清洁、卫生,并由使用人负责管理和维护,无关人员未经批准严禁动用他人计算机。
3.严禁易燃易爆和强磁物品靠近计算机放置。
4.计算机及相关设备的报废需经过专职人员鉴定,确认不能使用后方可申请报废。
5.使用人员如发现计算机系统运行异常,及时与系统管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
五、计算机网络管理
1.按照公司管理模式,在保证各部门内部工作管理的同时,有关部门设立局域网(内网),系统管理员统一分配局域系统IP地址和DNS域名服务,相关部门配合组织实施。
2.各部门应严格遵守公司内网保密制度,不随意通过网络获取或对外泄露文件、报表等,否则按第七条规定处罚。
3.可以登陆互联网的计算机由专人负责管理,定期上网升级杀毒软件并查清本部门局域网内连接的全部计算机。
4.公司使用企业邮箱以“保密性佳、满足需要、费用最低”为原则,密码由专人负责保管,并视情况更新,并做到“及时下载、定期清理”,谨慎对待不明邮件,避免病毒的传播。
5.严格遵守《中华人民共和国计算机信息网络国际联网暂行规定》,严禁利用计算
机非法入侵他人或其他组织的计算机信息系统。
六、数据保密和备份
1.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2.禁止泄露、外借和转移专业数据信息。
3.涉密部门指定专管员对计算机内的重要数据应定期(两周一次)制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复。
4.备份数据不得更改。
5.操作人员必须注意保护自己的计算机信息系统,对部门登录的口令要注意保密。
6.不得让任何无关的人员使用自己的计算机,不要擅自或让其他非专业技术人员修改自己计算机系统的重要设备。
七、罚则
有下列行为之一且不限于以下行为的,公司将视情节轻重给予处罚,部门经理负管理不善责任:
1.擅自拷贝或外串公司数据的,给予当事人最低200元/次的经济处罚;所拷贝或外串数据属公司重要机密的,公司有权报警立案处理。
2.因违反本规定或进行不当操作造成计算机损坏的,公司可根据情况,要求当事人/部门负担不低于30%或全部维修费用。
3.因不备份文件或数据导致丢失影响工作的,给予责任人警告并处以200元/次的经济处罚。
4.计算机出现问题不及时报告导致工作延误的,给予责任人警告处分或最低50元/次的经济处罚。
5.因疏忽导致计算机病毒及其他危害计算机网络安全的,给予当事人警告处分或最低50元/次的经济处罚。
6.利用公司计算机或网络进行与工作无关活动的(如玩游戏、聊天等),给予当事人警告处分并最低50元/次的经济处罚。
7.违规行为给公司造成损失情节严重的,公司将另行议处。特别严重的公司保留向责任人追究法律责任的权利。
xxxx年xx月
起草:审批:共印份共3页
第二篇:计算机信息系统涉密管理办法
计算机信息系统涉密管理办法
第一章 总 则
第一条 为保护农村商业银行股份有限公司(以下简称“本行”)计算机网络系统的安全,根据《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》等法律、法规制订本办法。
第二条 本办法所称的计算机信息系统,是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的,按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 概念释义:
(一)计算机信息系统安全,是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护,不因自然的和人为的原因而遭到破坏、更改和丢失,以保证计算机信息系统能连续正常运行。
(二)计算机信息系统保密,是指对涉及本行商密的包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定。
(三)计算机信息系统的安全保密,是指保障计算机、数据信息网络及其相关的和配套的设备、设施的安全,保障运行环境(机房)的安全,保障信息的安全,保障计算机和网络功能的正常发挥,防止工作或政治因素造成的失密、泄密,防止人为或自然灾害等造成的破坏,以及防止利用计算机犯罪等。
第四条
本办法适用于支行(部)的业务网、办公网、互连网等三大计算机网络系统涉密工作的管理。
第二章 组织管理及职责
第五条 本行成立计算机网络系统保密领导小组,由行长任组长,分管副行长为副组长、各支行(部)负责人为小组成员,信息科技部负责保密领导小组的日常检查工作。
(一)保密领导领导小组定期向本行领导报告安全保密工作情况;
(二)保密领导领导小组督促本部门安全保密措施的贯彻执行;
(三)小组成员负责本部门安全保密检查;进行安全保密教育。第七条 对涉密信息需要经计算机系统采集、加工、存储、处理、输出的,由信息的生成、拥有、管理、提供部门向总行保密领导小组进行申报,经总行保密领导小组核定并签署意见后书面通知相关部门执行。
第八条
总行保密领导小组不定期组织开展本行涉密计算机信息安全检查,对检查中发现的问题将及时予以纠正,对严重违反涉密规定,造成后果的,要进行通报,并按有关规定,追究领导责任,严肃处理。
第三章 计算机及网络系统
第九条 设备选型、购置须经充分论证,做好验收,对密钥、密码、参数等信息应做好接交保管,网络设备要特别关注其保密性能。
第十条
建立常规硬件系统维护管理制度,保持维护计算机和网络设备、工具和资料处于良好状态。
第十一条 各级操作人员必须进行必要的安全保密培训,在职责范围内严格按相关操作规程进行操作。
第十二条 应用系统在设计上严格控制涉密文件信息查询、检索的人员范围,严格管理用户使用权限。系统软硬件一经安装、调试、正式运行,各支行(部)未经科技部门许可,不得自行对其更改配置。
第四章 介质、资料的管理
第十三条
应用系统使用、产生的介质(磁性存储介质、电子存储介质、光存储介质等)或资料(纸质文档、电子文档、程序等)要按其重要性进行分类,对存放有关键或重要数据的介质和资料,应复制必要的份数,并分别存放在不同的安全地方,建立严格的保密保管制度。
第十四条 保留在机房内的介质或资料,应为系统有效运行所必需的最少数量,除此之外,不应保留在机房内。
第十五条 存放介质、资料的库房,必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。
第十六条 介质(资料)库,应设专人负责登记保管,未经批准,不得向第三方提供。
第十七条 系统内有关人员在使用介质(资料)期间,应严格按国家相关保密规定进行控制,不得转借或复制,需要使用或复制的须经相关领导批准。
第十八条
库房保管人对所有介质(资料)应定期检查,根据介质的安全保存期限,及时更新复制。损坏、废弃或过期的介质(资料)应由专人负责处理,秘密级以上的介质(资料)在超过保密期或废弃不用时,要及时销毁。
第五章 安全保密管理
第十九条
计算机信息系统的建设和应用,应当遵守国家有关法律、行政法规和本行其它有关规定。
第二十条 计算机机房、办公、防雷、消防、通讯及供配电设施应当符合国家标准和国家有关规定。在上述设施附近施工,不得危害计算机网络系统的安全。
第二十一条 严禁任何涉及支行(部)机密的涉密计算机信息系统直接或间接地与国际互联网或其他公共信息网络相连接,必须实行内联网与互联网严格物理隔离。所有与互联网连接的计算机必须使用专用的上网计算机或采用隔离措施的计算机,上网计算机中不得有涉及本机构保密信息的内容。
第二十二条 凡接入互联网的单位,要实行保密领导责任制,各部门负责人是本部门保密工作的第一责任人,必须指定专人负责本部门上网信息的保密监督检查,确保涉密信息的安全。
第二十三条 要求接入国际互联网的计算机,由使用部门提出申请,经科技部门按规定审核后,报分管领导审批。互联网实行专网管理,由信息科技部统一出口管理,并向通信运营商提出申请安装,严格控制各支行(部)自行申请安装。互联网申请安装必须报市公安局网络监察大队备案。为控制源头,加强管理,支行(部)大楼实行单一互联网专线,由信息科技部负责安全措施落实,各部门不得自行通过电话或其他方式上互联网,以防止通过互联网发生泄密事件。
第二十四条 对计算机信息系统中发生的案件,按规定及时向本行相关部门报告。
第二十五条 上网信息的保密管理坚持“谁上网,谁负责”的原则。凡向互联网发布涉密信息,必须经过总行保密领导小组授权总行办公室审查批准。第二十六条
本行员工必须接受保密安全教育,严格遵守保密纪律。在开展技能培训的同时,必须把保密教育作为技能培训的重要内容之一。
第二十七条 本行与外单位因业务关系进行网络互联时,必须在双方设置硬件防火墙,并通过中间服务器访问我行数据,与关联单位签定的协议中,必须含有保密条款。关联单位必须遵守我行有关保密规定,不得泄露我行重要的保密信息。
第二十八条 总行保密领导小组不定期组织开展本行涉密计算机信息安全检查,对检查中发现的问题将及时予以纠正,对严重违反涉密规定,造成后果的,要进行通报,并按有关规定,追究领导责任,严肃处理。
第六章 人员内控管理
第二十九条 人员管理。
本行员工一旦发现涉密信息泄露或可能发生泄露的情况时,应立即向保密领导小组报告,并采取相应的保护措施。
第三十条 任何人不得擅自处理或破坏发生事故的涉密计算机信息系统现场,必须及时通知总行保密领导小组,经保密领导小组授权,信息科技部进行技术分析、取证,并及时做好相应的登记备案工作。
第三十一条 泄密事故相关人员应根据责任和损失大小承担相关事故责任,给本行造成重大损失的将被依法追究责任,情节严重的将送交司法机关处理。
第三十二条
人员审查。
人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员,必须按机要人员的条件进行审查。
第三十三条
关键岗位人选。
对计算机信息系统的关键岗位人选,如安全负责人、系统管理员等,不仅需要进行严格的政审,还要考核其业务能力,以保证这部分人员可信可靠,能胜任本职工作。关键岗位人员要实行定期强制休假制度。
第三十四条
人员培训。
计算机信息系统上岗的所有工作人员,均需由有关部门组织上岗培训,包括计算机及网络操作、维护培训、应用软件操作培训、计算机网络系统安全课程及保密教育培训,经培训合格的人员持证上岗。
第三十五条 人员考核。
人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的应追究其法律责任。
第三十六条
签订保密协议。
对于所有进入计算机网络系统工作的人员,均应签订保密契约,承诺其对系统应尽的安全保密义务,保证在岗工作期间和离岗后均不得违反保密契约,泄漏系统秘密。对违反保密契约的,应有惩处条款。对接触机密信息的人员,应规定在离岗后的一段时期内不得离境。
第三十七条 人员调离。
对调离人员,特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续。进行调离谈话,承诺其调离后的保密义务,交还所有钥匙及证件,退还全部技术手册、软件及有关资料。更换系统口令和用户名。自调离决定通知之日起,必须立即进行上述工作,不得拖延。
第七章 操作安全管理
第三十八条 系统操作安全管理目标。
系统操作是指对计算机信息系统开发、操作、维护、系统管理等人员的行为或活动。计算机信息系统操作安全管理的目标是:
(一)对系统管理及系统操作均应进行有效的监督或监控;
(二)所有接触系统的人员均应承担与其工作性质相应的安全责任。
第三十九条 计算机操作人员分类。
对计算机信息系统的操作人员,应根据计算机信息系统有限职责、有限使用授权原则进行分类。
(一)营业网点操作员、管理人员。
(二)事后监督系统操作员、管理人员。
(三)办公自动化系统操作、管理人员。
(四)网络及硬件维护人员。
(五)系统运行维护人员。
(六)中心系统管理人员。
(七)安全管理人员。
第四十条 系统操作控制管理。
(一)应按照分工负责、互相制约的原则制定各类系统操作人员的职责,职责不允许交叉覆盖。
(二)各类人员在履行职责时要按规定行事,不得从事超越自己职责以外的任何操作。
(三)在对生产系统和监督系统进行系统维护、恢复、强行更改数据时,至少应有两名操作人员在场、并进行详细的登记及签名。
(四)系统检查人员、安全管理人员有权对生产系统进行监督与核查,但该过程必须履行必要的手续和按照一定的程序进行。
第八章 安全保密监督
第四十一条 科技部门对计算机信息系统安全保密工作,行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保密工作;
(二)检查危害计算机信息系统安全的违规事件;
(三)履行计算机信息系统安全保密工作的其它监督职责。
第四十二条 科技部门发现影响计算机信息系统安全保密的隐患时,应当及时通知本行保密领导小组采取保密保护措施,在紧急情况下,有权直接先采取必要的措施,然后再向领导报告,遇有重大问题,可以要求召集计算机保密领导小组成员会议商议对策。
第九章 泄密处理
第四十三条 如发生涉密计算机信息泄密事故,不得隐瞒,应立即向保密领导小组报告,并请求信息科技部给予技术支持;信息科技部将根据保密领导小组的要求,采取有效的技术措施,避免泄密进一步扩大。
第四十四条 本行员工一旦发现涉密信息泄露或可能发生泄露的情况时,应立即向保密领导小组报告,并采取相应的保护措施。
第四十五条 任何人不得擅自处理或破坏发生事故的涉密计算机信息系统现场,必须及时通知总行保密领导小组,经保密领导小组授权,信息科技部进行技术分析、取证,并及时做好相应的登记备案工作。
第四十六条 泄密事故相关人员应根据责任和损失大小承担相关事故责任,给本行造成重大损失的将被依法追究责任,情节严重的将送交司法机关处理。
第四十七条 第四十八条
第十章 附则
本办法由农村商业银行股份有限公司负责解释。本办法自发布之日起执行。
第三篇:村镇银行计算机信息系统保密管理办法
村镇银行计算机信息系统保密管理办法
(征求意见稿)
第一章
总 则
第一条 为加强村镇银行计算机信息系统的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》等有关法律、法规,制定本办法。
第二条 本办法适用于村镇银行系统采集、存储、处理、传递、使用、输出和销毁涉及国家秘密的通信、办公自动化和计算机信息系统(以下简称“涉密计算机信息系统”)。
第二章 组织与职责
第三条 村镇银行科技部门负责对村镇银行计算机信息系统保密工作进行工作指导、协调。科技部门牵头成立计算机安全检查小组负责具体计算机信息系统保密的检查工作。
第四条 村镇银行计算机信息系统的保密管理坚持“业务谁主管,保密谁负责”的原则。即特定计算机信息系统的保密管理工作由村镇银行或支行主管该系统的部门或岗位承担。
第五条 计算机信息系统的保密管理工作,应主动接受国家有关保密部门的业务指导和监督。
第六条 计算机信息系统的业务负责部门应协助计算安全检查小组,定期组织开展要害部门和重要岗位计算机信息系统的保密技术检查,发现问题应及时整改。第七条 涉密计算机信息系统的使用部门应加强员工保密知识的学习教育,严格执行有关保密管理规定,协助村镇银行科技部门做好涉密计算机信息系统的日常管理工作。
第八条 涉密计算机信息系统工作人员的职责要求:
(一)选配涉密计算机信息系统管理人员应按国家有关规定进行严格审查,岗前保密培训,并保持相对稳定;
(二)涉密计算机信息系统工作人员应严格执行有关保密管理规定和操作规程;
(三)涉密计算机信息系统工作人员应自觉接受村镇银行保密部门的监督检查。第九条 各支行和员工发现下列问题应及时采取补救措施,并报告保密部门。
(一)发现保密方面的漏洞和隐患;
(二)发现违反有关保密规定的行为;
(三)发现泄密事件。
第三章 系统规划建设
第十条 涉密计算机信息系统在使用前,必须报村镇银行保密管理部门审批,审批办法依照中保委《涉及 国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)执行;已投入使用而尚未经过审批的涉密计算机信息系统,要按上述办法补办审批手续;未经审批或审批不合格的涉密计算 机信息系统不得投入使用。
第十一条 规划和建设涉密计算机信息系统,应同步规划建设相应的保密设施。第十二条 涉密计算机信息系统的规划、研制、安装和使用,均必须符合保密要求。
第十三条 安装、使用涉密计算机信息系统的场所,应按国家有关规定,与办公驻地、人员住所保持相应的安全距离,并根据处理信息的涉密程度设立必要控制区,无关人员不得进入。
第十四条 安装、使用涉密计算机信息系统的场所应采取有效的安全保密措施,有关设备的技术措施 应得到国家保密部门或有关主管部门的认可,其他物理安全要求均应符合国家有关保密标准。
第十五条 保密部门应定期组织对安装、使用涉密计算机信息系统场所的保密技术检查。
第十六条 保密部门应依照有关法规和标准对建设中的涉密计算机信息系统进行保密监督和技术检 查。
第十七条 在采购计算机安全产品时,其产品必须有国家安全管理部门颁发的许可证,选购的密码产 品应符合国家有关主管部门对普密、商密管理规定。
第四章 涉密信息管理
第十八条 存储涉密信息的计算机媒体介质(包括软盘、硬盘、光盘、U盘等),应按所存储信息的 最高密级标明密级,并按相应的密级进行管理;对不再使用的媒体介质应送交保密部门及时销毁。
第十九条 涉及国家秘密和村镇银行商业秘密的信息,不得在与国际互联网相联的计算机信息系统中编 辑、存储、运行、传递、发布,确保信息的机密性、完整性和可用性。
第二十条 上网信息的保密管理实行“谁上网谁负责”的办法。各级行应根据国家保密法规,实行上网信息保密审批领导责任制,提供主页制作服务的单位,要对自己制作的主页承担具体保密责任。
第二十一条 涉密信息必须按照保密规定进行采集、存储、处理、传递、使用和销毁,应当符合下列 要求:
(一)计算机信息系统存储、处理、传输、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离;
(二)涉密信息在存储、传输中,必须采取加密措施,防止信息非授权泄露;
(三)使用加密措施应当与涉密信息的密级相同,并得到有权部门认证;
(四)涉密信息的复制、分发、输出必须得到有效的控制,并按相应密级的文件进行管理;
(五)涉密信息的销毁必须有效且不可恢复。
第二十二条 凡使用电子邮件进行网上信息交流的,应当遵守国家和村镇银行有关的保密规定,不得转发、传递或抄送国家秘密和村镇银行商业秘密信息。第二十三条 涉密信息的数据库必须有与涉密信息密级相适应的安全保密措施,确保涉密信息在建 库、检索、修改、输出等环节的保密。
(一)用身份验证方法对用户注册和鉴别;
(二)对不同用户设置不同的用户权限,控制用户对数据的操作权限和访问范围;
(三)建立系统日志和数据备份。
第五章 系统管理
第二十四条 涉密计算机信息系统,不得直接或间接与国际互联网或其他公共信息网络联接,必须实行物理隔离。
第二十五条 涉密计算机信息系统应采取有效的防病毒、防黑客措施。外来文件在执行或打开前,应先进行病毒和黑客程序的检测和清除。
第二十六条 涉密计算机信息系统中涉及国家秘密信息的各种程序,应当在建库、检索、修改、打印 等环节设置保密措施,其保密措施应按处理秘密信息的最高密级进行管理。
第二十七条 涉密网络内部,应当采取身份认证、数字签名、访问控制、监控管理、信息加密、数据 保护、审计跟踪等措施。
(一)涉密网络的访问应按权限控制,不得越权操作。访问、处理秘密级、机密级信息,应按用户类别控制;
(二)涉密计算机网络系统的通信应采用完整性校验技术,以确保信息的完整性;
(三)涉密计算机网络应当采取身份认证技术,防止冒充和非法访问;
(四)涉密计算机网络应采用加密措施,保证信息在处理、存储、传输过程中的安全性。
第二十八条 涉密计算机网络系统应当符合《涉及国家秘密的计算机信息系统保密技术要求》所规定的其他安全保密措施。第二十九条 涉密计算机在进行维护检修时,对涉密信息应采取安全保密措施(将涉密信息转储后彻 底删除)。无法采取上述措施时,安全保密人员和业务人员必须在维修现场,对维修人员、维修对象、维 修内容进行监督并详细记录。
第六章 考评及奖惩
第三十条 村镇银行要定期对涉密计算机信息系统的运行、维护、使用情况进行检查和综合考评,并对检查和综合考评结果予以通报;对在计算机信息系统保密工作中做出显著成绩的单位、部门和个人,应给 予表彰。
第三十一条 违反本规定的使用单位、部门和个人,由村镇银行保密部门责令其停止使用,限期整改。对拒不执行整改,又不停止使用,而造成泄密的,应根据《村镇银行违规违纪行为处分管理办法》,给予有关责任人相应处罚。对违反本规定泄露国家秘密的,依据国家有关规定和法律,追究有关领导和直接责任人的责任,造成重大损失的,要从严处罚,直至追究刑事责任。
第七章 附 则
第三十二条 各支行可依据本办法,结合实际情况,制定具体实施细则。第三十三条 本办法由村镇银行负责制定、解释和修订。
第三十四条 本办法自发布之日起施行,原规定与本办法相抵触的,以本办法为准。
第四篇:计算机信息系统管理制度
计算机信息系统管理制度
一、目的
为加强对信息系统的管理,确保公司信息系统正常运行,防止各种因素对信息系统造成危害,严格信息系统授权管理,确保信息系统的高效、安全运行。
二、适用范围
适用于公司所有信息系统的管理,包括单机和网络系统。
三、职责
计算机管理员负责监督本制度实施。
四、定义
IT设备指除PC外的信息系统设备。
五、内容
1、硬件管理 1.1计算机设备购置
1.1.1各部门根据工作需要提出计算机设备购买申请,填写《设备设施购置申请表》交办公室、财务部签署意见后报总经理审批;
1.1.2计算机管理员根据总经理的批复后实施。购买时至少挑选3家供应商进行比较,考虑:价格、供应商的合法性、质量承诺和售后服务的信誉度、设备能否满足使用部门的需要、设备是否易于调整且可靠性高;
1.1.3设备购置后,计算机管理员会同供应商进行设备安装,试运行正常,计算机管理员建立《计算机设备管理台账》,将设备编号后交与使用部门;
1.1.4计算机硬件设备的原始资料(光盘、说明书及保修卡、许可证协议等)根据档案保管要求保管。使用者必需的操作手册由使用者保管。
1.2计算机的使用
1.2.1各部门的计算机只能由计算机管理员授权及培训的员工操作使用; 1.2.2使用者应保持设备及其所在环境的清洁。下班时,需关机切断电源; 1.2.3使用者的业务数据,应严格按照要求妥善存储在网络上相应的位置上; 1.2.4未经许可,使用者不可增删硬盘上的应用软件和系统软件; 1.2.5严禁使用计算机玩游戏。1.3计算机设备维护
1.3.1计算机设备不准私自随意拆装,必须由计算机管理员对计算机设备进行维护,对
使用人员的报修及维修需填写《硬件设备故障及维修记录》;
1.3.2一切硬件设备不准带出机房及办公场所(如必要时必须经过公司相关部门领导同意)。
1.4计算机设备的报废
1.4.1计算机设备需要报废时,使用部门提出申请,填写《设备报废申请单》,交财务部审核后,报总经理批准;
1.4.2财务部根据总经理批复,实施财务核销;
1.4.3使用部门将已同意报废的设备与《设备报废申请单》一起计算机管理员;不得随意乱放处置,应按照清单办理报废销毁手续,由计算机管理员统一处理;
1.4.4计算机管理员注销《计算机设备管理台帐》,并将已报废的设备按照清单办理销毁手续。
1.5硬件安全管理 1.5.1 PC安全
◆任何个人未经计算机管理员许可,不得擅自拆装电脑机箱;
◆员工应尽力防止任何液体进入机箱,显示器,键盘、鼠标及外部设备。一旦发生此类情况,须立即关闭相关设备电源,并报告计算机管理员。键盘进水请立即将键盘倒置以减轻损害程度;
◆计算机管理员应建立《计算机设备管理台帐》,详细记录每台PC的编号,IP地址,使用人及所属部门;发生变更时及时更改记录。
1.5.2机房安全
◆无人值守时机房必须上锁;
◆机房钥匙由计算机管理员,备用钥匙由办公室保管;计算机管理员不得擅自将钥匙交于他人使用,离开机房后应锁闭机房;
◆任何人不得携带饮料或其他液体、未包装的食品进入机房,任何人不得在机房内进食或打开食品包装;
◆机房内严禁吸烟;
◆机房温度应保持在18℃25℃;计算机管理员应经常注意机房空调设备的运行状况,一旦空调设备发生运行故障,须及时通知办公室进行修理;
◆机房内设备放置应合理有序,线路连接应保持整洁,相关标签清晰。1.5.3 IT设备安全
◆服务器的开机前,负责硬件安全检查,作《计算机安全值班记录》。必须由计算机管理员单独负责并进行操作,并做《服务器使用记录》;
◆计算机管理员应建立《IT设备及供应商、报修电话一览表》,详细记录每种设备的型号,供货商及维修电话,以在设备发生故障时可以第一时间联系到供货商或生产厂家。
2、软件管理 2.1备份
2.1.1所有系统软件和应用软件,由公司计算机管理员列表登记《软件一览表》,备制二份,一份使用,一份保存;
2.1.2所有信息数据,应当按《服务备份管理细则》进行复制备份,并由计算机管理员负责保管。
2.2维护更新
软件维护更新必须按规定的要求执行。2.3文件病毒防治
2.3.1计算机管理员负责在服务器及个人微机上统一安装防病毒软件并将不定期检查员工的计算机。任何个人未经许可不得卸除或关闭防病毒程序,如发现有私自卸除或关闭防病毒程序的情况,将立即制止并上报该部门主管;
2.3.2计算机管理员负责定期发布更新的防病毒软件及其病毒库,并根据需要通知员工执行必要的防范措施。员工应积极配合信息系统管理员的工作;
2.3.3员工一旦发现或怀疑自己的计算机被病毒感染时,应该立即停止一切操作,断开网络,并向计算机管理员报告;
2.3.4计算机管理员接到病毒报告后,应立即检查被感染情况,作必要的记录,并清除病毒。同时,应通知相关人员,以协助防止病毒的扩散。
2.4电子邮件病毒防治
2.4.1应在电子邮件服务器上安装邮件病毒扫描程序;
2.4.2计算机管理员应确保邮件病毒扫描程序正常运行,并能有效拦截邮件病毒; 2.4.3因工作需要使用外部邮件系统,应确认防病毒程序正常工作。对可疑邮件应先联系计算机管理员再作处理。
2.5保密要求
2.5.1计算机存贮、传输的信息属于企业商业机密,各部门的加密软件盒必须妥善保管,如发生加密盒丢失、信息泄密及因其造成后果的,由计算机管理员负责。如因操作发生失
误所致,其责任由操作员承担;
2.5.2涉密信息的处理应通过单机独立工作,其信息介质应由专人负责保管,并按相应密级的文件进行管理;
2.5.3各部门计算机因故障需要送外修理,必须由计算机管理员办理,同时必须有效清除硬盘信息或卸下硬盘,不得泄密信息;
2.5.4建立账号审批制度,加强对信息系统的访问权限管理,系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控;
2.5.5当发生岗位变化或离岗的用户,部门负责人应通知计算机管理员,及时调整其在系统中的访问权限;
2.5.6系统操作人员应当在权限范围内进行操作,不得利用他人的口令和密码进入信息系统。更换操作人员或密码泄密后,必须及时更改密码。操作人员如果离开工作现场,必须在离开前锁定或退出已经运行的程序,防止其他人员越权操作或散发不当信息;
2.5.7对于特权用户,企业应该对其在系统中的操作进行监控,并定期审阅监控日志; 2.5.8计算机管理员应当定期对系统中的账号进行审阅,避免有授权不当或冗余账号存在。
3、网络安全 3.1互联网连接安全
3.1.1计算机管理员应保证公司局域网与国际互联网的网络连接有效;出现故障应及时与网络接入运营商联系,排除故障;
3.1.2计算机管理员应经常察看防火墙或网关设备状态,确保其正常运行; 3.1.3计算机管理员在必要时可更改防火墙规则或网关设备的数据传送规则,以阻止有害信息包的传递;
3.2账号安全
3.2.1用户应使用自己的独立账号访问公司邮件服务器或应用系统,非特殊情况不得与他人共享账号;
3.2.2计算机管理员为每位用户设立初始密码时,密码长度至少为6位,必须包括英文字母、数字、及标点符号三种字符中的至少两种;
3.2.3对于电子邮件账号,计算机管理员应根据实际情况设置账号锁定策略。如登录失败3次则锁定该用户30分钟;
3.2.4对于公司重要账号的密码管理,应加强安全管理,定期检查更新安全措施。
3.3服务器安全
3.3.1服务器管理员密码严禁为空,设置高级密码强度;
3.3.2服务器只安装必要的服务及应用程序;与公司业务无关的服务组件及应用软件不得安装;
3.3.3除非公司关键业务服务器应取消缺省的驱动器共享;
3.3.4必须针对每台服务器提供相应的备份策略,并记录到信息系统备份计划中; 3.3.5计算机管理员应及时为服务器的操作系统及应用软件安装补丁程序,避免因软件漏洞造成黑客或病毒入侵;
3.3.6除非服务器本地登录应处于锁定状态或未登录状态; 3.4局域网安全
3.4.1公司网络结构由计算机管理员统一规划建设并负责管理维护,任何部门和个人不得私自更改。个人电脑及实验环境设备等所用IP地址必须按信息系统管理员指定的方式设置,不得擅自改动;
3.4.2严禁任何人以任何手段,蓄意破坏公司网络的正常运行,或窃取公司网上的保密信息;
3.4.3公司网上服务如DNS、DHCP、WINS等由计算机管理员统一规则,任何部门和个人不得在网上擅自设置该类服务;
3.4.4除计算机管理员外,严禁任何人安装、使用任何包捕获程序、嗅探器及密码破解程序;
3.4.5工作必需软件由计算机管理员负责安装,任何个人未经许可不得擅自安装任何软件;
3.4.6计算机管理员应及时提醒和帮助用户对PC的操作系统及应用软件安装补丁程序,避免因软件漏洞造成黑客或病毒入侵;
4公司计算机信息系统权限管理
4.1公司所使用的计算机信息系统(以下简称CMS)权限管理采用人员控制、部门控制、功能授权、数据导出专项控制限制等功能模块交叉管理,功能授权采用按职能定位设置工作小组,按工作小组分配人员,实现功能授权管理。确保系统和数据的安全;
4.2申请部门填写《信息系统授权申请登记表》,计算机管理员对人员进行核定。4.3计算机管理员对使用授权进行核定。4.4报总经理批准。
4.5计算机管理员实施,建立用户使用账户,并通知用户。4.6计算机管理员存档《信息系统授权申请登记表》。
第五篇:信息系统验收管理办法
7信息系统验收管理办法
第一章 总则
第一条 为保障******(局)公司信息系统升级(新建)改造项目(以下简称“项目”)的建设质量和投资效益,规范和加强项目管理,按照《烟草行业计算机软件投资项目管理办法》等有关规定,结合本单位实际情况,制定本办法。
第二条 本办法适用于使用财政性资金的和******(局)公司自行调整资金的信息系统升级改造项目。
第三条 项目验收包括系统初验、系统试运行、竣工验收三个环节。第四条 信息中心项目负责人负责信息化建设项目验收的组织管理工作。
第二章 系统初验
第五条 项目开发单位在项目完成后1个月内,向信息中心提出项目竣工验收申请,并填写《信息化建设项目竣工验收申请表》(详见附表一),同时提交以下材料:
(一)软件测试报告。
(二)信息安全测评报告。
(三)系统测试方案。
(四)系统测试用例。
(五)系统使用手册。
(六)其他相关资料和文件。
原则上,满足以下条件之一的项目,其软件测试、信息安全测评以及其他需要的测试必须由具有资质的第三方机构实施并形成测评报告:
(一)信息安全等级保护在三级及以上的。
(二)纳入国家局、省局、市公司重要信息系统目录的。
(三)涉及核心业务、信息资源、基础设施、跨部门业务协同、公众利益的重大项目。
第六条 项目负责人经过初步验收征得主管领导同意后,方可开展项目初验,并组织信息系统使用人员开展信息系统使用测评,财务人员启动资金使用情况总结,项目负责人(监理单位)开展初步总结。
第七条 项目负责人督促信息系统使用人员熟悉系统功能,经过培训后按照系统测试用例并结合业务实际需求开展测试,形成系统使用测试意见并签字。测试过程中,项目开发单位应当配合需求单位对信息系统使用人员进行测试指导。信息系统使用人员重点测试内容包括:
(一)信息系统功能是否符合需求规格说明书的业务流程和业务需求。
(二)信息系统数据处理是否正确。
(三)信息系统性能是否满足业务要求。
(四)信息系统是否易于操作,并具较好的容错性。
第八条 项目开发单位按信息系统使用人员的测试意见对信息系统进行调整,并再次开展信息系统使用测试。对于有重大调整的项目,项目开发单位还应当再次组织软件测试和信息安全测评。
第九条 在项目满足项目合同约定、通过信息系统使用测试、经费使用符合财务规定后,项目负责人应当组织主管领导、系统使用者代表、安全管理员、项目开发单位、(监理单位)以及信息化专家召开项目初验评审会,相关各方共同签字确认形成“项目初步验收意见”。通过初验后,对于初验中遗留的问题,开发单位要做好遗留问题记录并在试运行前完成系统调整。
第三章 系统试运行
第十条 项目通过初步验收后进入系统试运行环节,项目负责人和项目需求单位应当确定试运行范围、设定试运行目标,制定各方协调机制和试运行计划,组织相关的业务人员开展试运行。开发单位应当制定系统维护方案、培训计划和培训教材。
第十一条 项目开发单位应当进行系统试运行环境准备,部署信息系统,开展业务人员系统使用培训,在试运行期间提供技术支持并跟踪系统试运行情况。(监理单位对试运行情况开展监理工作。)
第十二条 项目负责人协助系统试运行业务人员重点验证在真实的业务环境中,系统的稳定性和可用性,是否符合业务需求、业务流程要求、数据处理和存储要求,对于试运行期间出现的各项问题予以记录并提出系统改进意见,形成业务人员试运行反馈意见并签字确认。
第十三条 项目开发单位应当按照业务人员试运行反馈意见修改系统、完善系统功能、优化系统性能。项目建设单位再次组织业务人员开展试运行评价。第十四条 项目达到试运行目标后,项目负责人组织召开系统试运行总结会,项目需求单位、项目开发单位、监理单位应当共同签字确认形成项目试运行评价意见。
第四章 竣工验收
第十五条 信息系统通过试运行后,项目负责人应当组织项目各方准备竣工验收相关材料。包括:
(一)项目负责人整理、编写的验收材料:
1、立项批复。
2、招投标文件。
3、项目合同。
4、系统使用测试意见。
5、项目初步验收意见。
6、业务人员试运行反馈意见。
7、项目试运行评价意见。
8、其他和项目建设单位有关的材料。
(二)项目开发单位整理、编写的验收材料:
1、需求规格说明书。
2、项目验收技术规范。
3、项目建设总结报告。
4、软件测试报告。
5、信息安全测评报告。
6、项目建设技术方案。
7、其他和项目开发单位有关的材料。
(三)监理单位整理、编写的验收材料:
1、项目监理总结报告。
2、其他和监理单位有关的材料。
(四)共同编写的验收材料:
1、项目总结报告和初步决算报告。
2、修改后的至少两年的信息系统保修方案。保修方案应当界定保修的内容,明确开发单位的保修责任、自工程竣工验收合格之日起至少两年的保修期限、保修方式、保修响应时间以及保修费用的承担方式。