第一篇:信息安全管理制度----个人桌面终端管理办法解析
附件4:
XXXX 个人桌面终端管理办法(试 行)1.总则
1.1 为了加强XX公司个人桌面终端的安全使用,保证个人桌面终端操作系统、周边硬件、通信设备、应用系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统或数据的访问而带来的安全风险,制定本办法。
1.2 本办法适用于公司本部及所属各单位办公环境的所有个人桌面终端管理。1.3 公司范围内个人桌面终端设备自购入起直至报废前的使用过程,应按本办法相关规定进行管理。
1.4 个人桌面终端定义:接入公司及所属各单位网络的用于办公的各类计算机及所属设备。2 职责
2.1 公司各部门各单位对本部门本单位名下的个人桌面终端设备负有管理责任,各级信息化管理职能部门对本办法负有执行监督的责任,应保证设备的安全合理使用。按照“谁使用,谁负责”的原则,使用人对配臵给个人的桌面终端负有保管和安 — 17 —
全使用的责任,其所保管桌面终端设备,正确操作使用。
2.2 各部门各单位负责组织使用人参加相应知识培训,以掌握个人终端设备的使用方法和了解相关管理规范。
2.3 任何使用人在未经他人许可的情况下,不能使用他人或其它未经授权的个人桌面终端设备,也不得将所使用的个人桌面终端设备任意转借他人。
2.4 确因工作需要,使用人可以允许非公司人员在受监控的情况下操作其负责的个人桌面终端设备,但该使用人应承担使用过程中的全部责任。
2.5 个人桌面终端设备接入公司的办公网络前,由使用人根据工作需要提出增加终端的申请,并经使用单位(部门)审批后通过桌面系统需求变更单报送相关部门批准后方可接入。
第三方用户终端接入公司的办公网络按照《第三方人员管理办法》执行。
2.6 使用人在个人桌面终端设备使用过程中,有责任及时通过故障报修方式(电话或网络)向相关部门上报使用过程中发生的故障、错误和各类安全事件,并应当协助维护人员工作。
2.7通信相关部门负有利用各种技术管理手段对所辖个人桌面终端设备进行管理的职责,将定期或不定期的组织针对个人桌面终端设备相关软硬件配臵和使用情
况的检查。相关部门负有对使用人访问互联网的行为进行监控,并对违规行为进行 — 18 — 通报的责任。个人桌面终端硬件管理
3.1 保持良好的计算机使用办公环境。
3.2 使用人离开座位,应锁闭计算机屏幕,下班后,应关闭计算机。
3.3 使用人应妥善保养自己使用个人桌面终端设备,包括键盘、鼠标等,保持计算机设备清洁。不得私自拆卸、改装个人桌面终端及其相关设备。3.4 个人桌面终端设备的使用管理
3.4.1 新购入的终端设备必须经过固定资产管理责任部门登记、编号、贴标签卡后,才能交使用部门或使用者领用;各部门领用的个人桌面终端设备应有专人登记管理,定期清查,避免流失。
3.4.2 部门或使用人应对桌面终端设备妥善保管,防止盗窃及硬件损坏等情况的发生。若发生失窃,应及时向保卫部门报告。
3.4.3 使用人不得将公司的个人桌面终端设备接入不安全的网络环境中。3.5 便携机使用管理
3.5.1 各部门配备使用的便携机仅供生产及办公使用,不得挪作私用。— 19 —
3.5.2 便携机应加入密码管理。
3.5.3 便携机失窃,使用人应书面报告所在部门并向各单位资产管理部门进行备案。
3.6 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门提出申请并按相关报废流程办理,对已批准报废的个人桌面终端设备应在信通中心进行数据清理后交由资产管理部门处理,使用部门无权自行处理。
3.7 不得私自将公司所属的个人桌面终端设备带出,如有特殊需要,必须由设备使用部门主管书面授权后方可进行。4 个人桌面终端软件管理
4.1 个人桌面终端设备上安装、运行的软件都必须为正版软件,未经授权的软件不得在个人桌面终端设备上安装、运行,在个人桌面上使用盗版软件带来的安全责任、法律责任由个人承担。
4.2 由公司购买的商业软件安装和使用必须遵从国家相关的法律并与软件供应商签署合同,任何个人未经许可不得将该软件复制或安装、使用于个人或其他非公司业务需要的领域。
4.3 不得在个人桌面终端设备上安装与工作无关的软件。不得使用计算机玩电子游戏和听音乐。
4.4 不得在个人桌面终端设备上使用黑客、系统破解、端口 — 20 —
扫描或口令破解等软件。不得使用个人桌面终端制造和散布各种恶意电脑程序,包括电脑病毒、电脑木马程序、电脑蠕虫程序等。不得使用个人桌面终端执行网络或主机扫描、网络监听、网络拒绝服务攻击。不得擅自监控网络流量,不得针对网络上的设备和系统运行安全测试工具和软件。5 个人桌面终端数据管理
5.1 个人桌面终端设备的安全保密规范依据公司《计算机信息系统安全和保密管理办法》等相关规定执行。
5.2 使用人有责任保护所接触到的含有公司相关的密级文档、敏感资料(包括第三方数据)的文件、数据介质、系统文档等信息资产,任何部门或个人,未经授权和许可,不得通过个人桌面终端设备调用、收集、存储、传送、打印或复制这些信息。
5.3 不得使用互联网(电话、传真、未安装加密设备的电脑网络)传递敏感信息资料。
5.4 使用人应将一切含有敏感信息的移动介质保存在安全可靠的地方。当相关介质使用完成之后,应将其中不再需要的敏感信息删除。需要带离办公区域的含有敏感信息的介质应经过各单位管理部门授权。
5.5 在拷贝、打印敏感信息或资料时,使用人应在拷贝、打印完毕后及时从相关外设中移除这些资料。
5.6 在个人桌面终端设备送修、回收、更换或转给其他人使用之前,所有包含公司保密的、受限的、敏感信息的,必须先进行备份,然后删除并格式化。5.7 已作废的介质、打印资料,由各部门负责处理。
5.8 所有与工作有关的电子文件存放在本地的硬盘内,重要的数据应定期自动采用U盘、光盘、移动硬盘等介质进行异地存储备份,应确保异地存储场所符合安全要求。终端内部网络使用管理
6.1 所有个人桌面终端的网络地址由网络管理员统一管理,任何人不得私借、盗用、伪造其他计算机的网络地址。
6.2 应避免在个人桌面终端设备上使用无限制的文件共享,避免信息泄露,因工作需要共享文件的要设口令并及时取消共享。6.3 不得私自安装非规定的网络协议。
6.4 禁止在网络上未得到许可的情况下使用别人的身份。
6.5 未经网络管理员授权,不要在网络上架设网络设备,如交换机,路由器,无线设备等,不得私自在局域网中搭建子网,或使用代理服务器软件供他人使用。
6.6 接入局域网后,不能擅自使用调制解调器(Modem)、ADSL、无线上网卡等设备将个人桌面终端设备与外部网络连接。
6.7 远程接入办公系统的,应采取公司提供的VPN网关安全措施。7 终端互联网访问和使用
7.1 使用人访问互联网应自觉遵守《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《维护互联网安全的决定》等有关法律法规,如有违反应由本人独立承担一切责任。7.2 xxxx等未经批准的计算机禁止接入互联网。
7.3 有互联网访问权限的使用人必须规范自己的互联网访问行为,遵守道德上和法律上的规范。严禁在互联网上做与工作无关的事情;严禁利用公司的终端设备访问含有暴力、色情、反动及其它含有有害内容的网站;不得使用个人桌面终端传播和散布破坏社会秩序的文章或政治性评论。
7.4 禁止运行与工作无关占用大量带宽的应用程序,如网络视频/音频点播、大量文件的下载等。
7.5 不得从网站下载、安装、运行任何来源不明的软件,使用人下载、安装和使用第三方的程序必须不违反公司的软件版权规定。
7.6 不得在个人桌面终端中,私自设立WWW、FTP、BBS、NEWS、Online Chat、文件或打印共享等互联网服务。— 23 — 8 病毒和攻击防范
8.1 使用人必须确保其使用的终端设备上安装了公司统一的防病毒软件,并开启windows自带的防火墙软件。防病毒软件可在统一信息平台上获取和安装。8.2 使用人不得擅自更改和删除其所用操作系统和应用软件的安全设臵和防病毒软件、防火墙软件的设臵。应在系统或技术人员的提示和帮助下,确保操作系统、应用软件、防病毒软件、防火墙软件等完成最新安全更新。
8.3 对于以下的情况,使用人必须通过防杀病毒系统进行扫描,确认安全后才可以使用:
8.3.1 通过互联网下载文件和应用程序;
8.3.2 在共享网络上传输下载的数据和应用程序;
8.3.3 拷贝光盘及其他移动存储设备上的数据和应用程序。8.3.4 通过电子邮件等方式收到的文件。
8.4 使用人应确保病毒防护软件定期地自动进行系统扫描,并确保扫描完成,不得中止该定期扫描。
8.5 应关注公司关于安全补丁和病毒的统一信息平台公告,个人桌面终端使用人应及时按照公告和通知的指示安装厂商正式发布的各种补丁程序,使用人应确保防病毒软件能及时完成病毒特征库的更新。
8.6 如果防病毒、防火墙软件的正常运行无法完成,应及时 — 24 — 拨打通信中心故障报修电话以获得技术支持服务。
8.7 使用人一旦发现终端出现可能由病毒或攻击导致的异常系统行为或系统安全问题,应立即停止一切操作,切断网络连接,并立即拨打相关部门故障报修电话以获得支持。9 口令和密码管理
9.1 所有个人桌面终端,必须设定开机帐号口令和屏保密码,账号口令的设臵必须符合下列要求,应避免使用弱口令。9.1.1 用户口令长度不得低于8位。9.1.2 口令须由数字、字母组成。9.1.3 口令应至少每90天进行更新。
9.1.4 账号使用者在首次登录系统时应立即修改账号口令。
9.1.5 避免使用与个人有关数据(如生日、身份证字号、单位简称、电话号码、同事名字等)当做口令。
9.1.6 尽量避免使用一些常用的单词(如常用术语,计算机术语,硬件软件术语)作为口令。
9.1.7 屏保密码自动启动时间应设臵为小于3分钟。
9.2 口令在系统中保存或传输时,必须采取安全措施以保证账号的安全性,例如对口令进行加密等.除非可以安全保管,否则不得将口令记录在纸张等一切可视介质上。
9.3 账号、口令等用于身份识别的工具仅限于所属的使用人使用,任何个人不得擅自与他人共用,或者随意传播。不应将 — 25 —
口令告诉任何人,包括系统管理员。不得私下互相转让、借用个人账号、操作员IC卡。一旦有迹象表明口令可能被泄露,用户必须立即修改口令。10 个人桌面终端安全使用
10.1 个人桌面终端在无人使用时,使用人应将其设臵于未登录状态避免非法访问的发生;若长时间不使用,应将其电源关闭。
10.2 未经许可,不得随意使用他人的桌面终端设备。10.3 使用人使用个人桌面终端,必须按照统一的命名规则命名主机名;命令规则必须包含部门、办公室编号、序号,未经许可,不得更改主机名。
10.4 不得随意使用没有经过查杀病毒的外来软盘、U盘和移动硬盘。11 个人桌面终端安全检查
11.1 相关部门负责对个人终端的安全使用情况进行定期检查,对违反本管理办法中安全的个人终端,按照以下方式进行处理:
11.1.1 第一次违规:相关部门以邮件和电话通知违规者纠正;违规员工应在5个工作日内完成整改。
11.1.2 第二次违规(1年内):相关部门以邮件通知违规者纠正,并抄报其部门领导;违规员工应在5个工作日内完成整 — 26 — 改,并邮件回复其部门领导整改结果(附截图)。
11.1.3 三次及以上违规(1年内):三次及以上违规属于严重违规行为,相关部门定期(每季)以书面文件的形式上报给各级安全监察部,并抄送违规者部门领导;各级安全监察部向违规者所在部门下达整改通知书责令在5个工作日内完成整改(若5日内无法整改完成,则需另行确定),并接受安全监察部的检查,检查方式可选择以下三种方式之一: 1)反馈整改结果;
2)委托相关部门进行现场检查; 3)现场抽样检查。
11.2 对刻意不执行本安全管理制度、漠视计算机安全工作和存在安全隐患而没有及时整改的,以至造成重大安全事故和事件的,各级安全监察部将追究部门主要负责人和直接责任者的责任,涉嫌犯罪的,移送国家司法机关处理。12 附则
12.1 本办法未尽事宜,按照公司相关文件和国家现行法律、法规执行。12.2 本办法解释和修改权由XX负责。12.3 本办法由颁布之日起施行。13 附录
13.1 附录A(规范性附录)终端设备接入网络、故障处理工作流程 — 28 —
附录A:终端设备接入网络、故障处理工作流程:
流程步骤说明 客户申请
客户可以通过两种方式进行申请: 第一是拨打相关部门电话,申请受理内容。第二是登录网站按照服务说明申请。座席核实
客户申请业务单成功后,相关部门或人员需要仔细审查核实客户的信息和申请内容。业务派工
相关部门将客户的具体申请业务单派工到业务处理部门的相应职能工作组,由工作组人员接受到派工单。业务销单
工作人员打印工单后到现场工作,工作完成后进行销单。业务回访
业务处理流程中最后的闭环步骤,通过客户回访确定业务处理情况,由客户评定处理人员对是否处理完和处理的满意度,如果不满意要重新处理。— 30 —
第二篇:桌面安全管理制度
桌面安全管理制度
为了保证安徽分公司桌面电脑安全、持续、稳定地运行,更好地为公司开展各项业务服务,特制定以下制度(本制度适用中心支公司及营销服务部所有员工,包括其他需要使用公司内部计算机的非公司员工):
1. 爱护设备、规范操作、小心使用,注意清洁,做好防尘、防潮、防火、防盗工作。
2. 注意预防病毒和木马等黑客程序破坏系统、影响电脑运行。严禁使用来历不明的软盘、光盘、U盘等设备,不轻易接收或打开来历不明的邮件,不轻易打开不明链接,不登录色情、暴力和反动网站。
3. 打开非本机的文件(如软盘、光盘、U盘、邮件附件和下载软件等)之前,应先用软件杀毒。
4. 办公电脑统一由信息技术员管理,自己严禁私自拆开机箱、改变硬件设备的配置。若发现电脑硬件故障或需安装教学软件,可直接向办公室反映,办公室将安排技术人员到现场解决问题。
5. 办公电脑的计算机名和IP地址等网络配置信息由信息技术统一分配,严禁随意更改,以免影响网络功能的使用。
6. 使用人是维护计算机的第一责任人,负责计算机的使用与维护。办公室的网线、交换机等公共设备由本人或指定的专人负责管理维护。在遵守本管理制度的前提下,出现本人无法解决的故障时,应向办公室提出申请,由办公室派遣信息技术员维护维修。
7. 有下列情形之一的,维修工作及费用由使用者承担。
1.管理不善,如碰撞、挤压、被盗等造成损坏或丢失者。
2.在计算机上擅自安装软件(绿色免安装软件除外),引起计算机病毒、系
统冲突等各类故障者。
3、自行打开机箱进行维修,并擅自增减硬件设备者。
4、因操作不当或非熟练人员使用而造成计算机系统崩溃、经常死机者。
5、频繁开关机,关机后再次开机没有间隔15秒以上,不做散热防水,不定
期清洁电脑,不定期防消电脑病毒者。
8. 公司所有桌面计算机在下发前均已经过标准化预装。在使用桌面计算机时不得擅自改变预安装的软件,不得安装与工作无关的、非法使用的其他软件,如聊天软件、游戏软件、代理服务软件、娱乐软件等;如确因工作需要安装其他软件的,必须得到办公室的确认。
公司桌面电脑标准化软件为:
(1)操作系统:Windows 2000 Professional、Windows 98SE
Windows XP Professional
(2)办公软件: Office2000、Office XP、Adobe Acrobat、ACDSee
(3)系统软件:OA、NETTERM、client32、财务P07插件
(4)防病毒软件:CA eTrust
(5)公司统一安装的其它软件: 总分公司开发的各类业务及管理系统、CuteFTP、播
放器、网络电话、UltraEdit等
9. 桌面电脑及系统软件必须设定用户密码,如操作系统登录密码、OA密码、业务、财务、两核系统登录密码等。桌面电脑必须开启屏幕保护功能并设立屏保密码,长时间离开计算机,必须锁定计算机。员工下班、出差,必须关闭计算机。密码要求使用字母、数字和非字母字符的组合并保持口令的保密性。禁止将密码共享给其他
人;至少每六个月更换一次密码。
10. 严格控制OA邮箱的空间,严禁通过OA发送与工作无关的邮件,禁止使用公司的OA系统散布、转发或回复连锁邮件、恶作剧邮件及其他一些与业务无关的邮件(如广告或垃圾邮件等);连锁邮件,恶作剧邮件等一经发现,立即取消OA使用权限
11. 员工必须定期(如每周)备份重要的工作文档、数据。备份形式可以采用拷贝备份,关键文档、数据可以采用光盘刻录备份、异机备份等,如需要帮助可通知信息技术员协助
12. 必须安装统一部署的防病毒软件,未经信息技术处批准不得擅自安装非本公司指定的防病毒软件。不得私自删除防病毒软件及改变防病毒软件的设置;公司使用的是CA eTrust Antivirus防病毒软件,如果发现病毒警告信息,应立即拔掉网线、保存文件、关闭计算机并与信息技术人员联系。
第三篇:计算机终端安全管理办法
计算机终端安全管理办法
第一章 总则
一、为了保护计算机系统、本地DCN网络的安全,促进本公司各类信息系统、计算机终端、网络的应用和发展,保证DCN网络上的各个系统的稳定运行,特制定本办法。
二、本办法所称的系统、网络、终端,是指运行在泰安本地DCN网络上的服务器、网络设备及个人使用的计算机终端。
三、系统管理员、网络管理员、所有系统使用人员及所有计算机终端使用人员都有义务遵照本办法执行与维护系统、网络安全运行。
第二章
硬件安全
四、各种网络设备、接入网络的计算机终端设备所使用电源都必须符合设备安装使用规范。网络设备所用电源必须有良好的接地,必须有可靠的稳压保护措施,重要的核心网络设备、小型计算机与客服相关计算机终端必须配有UPS。
五、各种系统、网络设备、计算机终端在安装过程中应严格按照安装手册中指定步骤和要求进行施工;确保各种设备通风散热良好。
六、本地DCN网络系统的安全运行和系统设备管理维护工作由信息化支撑中心负责,未经信息化支撑中心同意,任何单位和个人,不得擅自安装、拆卸网络设备,不得私自增减和改动网络节点。
七、除信息化支撑中心网络管理员外,任何人不得修改网络设备的软硬件配置,不得更换交换机或路由器端口。
八、如确因工作需要调整网络配置或端口配置,应先征得信息化支撑中心的同意,调整完毕后将调整情况通报信息化支撑中心网络管理
员,以方便网络资料的归档与更新。
九、任何单位和个人从事施工、建设时,不得危害计算机系统、本地DCN网络与计算机终端的安全。
第三章 软件安全
十、接入DCN网络的计算机终端,应确保安装正版操作系统,并安装相应的系统补丁(windowsXP操作系统至少安装SP2补丁)。安装公司统一要求的防病毒软件诺顿后方可接入DCN网络。
十一、个人终端设置开机密码和屏保密码,入域机器自动符合符合集团的相关要求(密码长度至少为8位,且包含大写、小写、数字、特殊字符中任意两种字符),屏保时间设置为10分钟以内;未入域机器通过定期或不定期抽查的方式控制密码设置情况。
十二、严禁在DCN网络运行的服务器、计算机终端上使用未经授权、来历不明的应用软件;严禁使用可能携带病毒的软件,对于网络上的系统软件,应及时查阅有关资料,找出其存在的BUG,并及时打补丁。
十三、任何单位和个人不得在系统网络及其联网计算机上传送危害国家安全、通信公司安全的信息及个人隐私(包括多媒体信息),不得录阅传送淫秽、色情资料。
十四、网络的IP地址是网络中的重要的资源。IP地址配置不当将会引起地址冲突,给网络安全带来隐患。IP地址应由网络管理员按计划分配和回收。维护人员在给节点分配IP地址时,应在规定的地址段内按地址由低至高依次分配,并将配置资料交网络管理员。任何IP地址的使用人员不得随意更改IP地址信息。
第四章 网络互联
十五、任何单位和个人不得私自将DCN网络内的计算机接入其他网络(包括其他专业承载网络),不得将本DCN网络和其他网络互联(包括其他专业承载网络)。
十六、任何单位和个人不得私自将DCN内的终端接入INTERNET,确保完全双网隔离,不允许双网卡及双网互换。
十七、任何单位和个人不得私自开设代理服务器、MAIL服务器、和www.xiexiebang.com网络互连,必须采用134.40.*.*、10.73.*.*、130.17.*.*规范地址。如确实不能采用规范地址的,必须采用地址转换技术接入。内部网络互连需经网运部批准后方能实施。
第五章
病毒防护
二十、为防止病毒感染,各种操作系统在安装后都应及时安装防病毒软件及操作系统的补丁。对于每台新入L_DCN网络的计算机,都必须经过信息化支撑中心的检查后才能接入。检查的内容:操作系统的补丁安装情况、SQLServer的补丁安装情况、Norton客户端及其他防毒软件的安装情况,及时更新情况等内容。
二十一、计算机终端使用人员应定期或不定期对系统进行查杀病毒,对病毒的感染情况和双网隔离情况进行及时上报。
二十二、任何可能携带病毒的软件一律不得在系统上安装使用。二
十三、信息化支撑中心做为计算机安全的主办部门,负责对病毒、入侵攻击事件的监控。
二十四、管理人员应了解最新的病毒信息和病毒动向,及时发布反病毒公告,及时下载杀毒防毒补丁及病毒专杀工具。
二十五、由于计算机信息安全是一个群众性的日常工作,为了进一步加强计算机信息安全的力度,成立计算机信息安全小组。各县市分公司、岱岳分公司指定二名同志、市公司各单位指定一名同志作为计算机信息安全员。计算机信息安全小组受市公司运维部领导,在信息化支撑中心指导下开展日常工作。计算机信息安全员的职责如下:
1、负责本部门计算机信息安全管理制度的落实和监督;
2、负责本部门日常计算机查毒、杀毒、操作系统补丁的安装及计算机共享的管理;
3、检查Norton杀毒软件的安装及更新情况,及其它杀毒软件的手工病毒代码更新,杀毒软件的定期执行;
4、如果发现计算机病毒或操作系统的漏洞,要及时通知信息化支撑中心做病毒情况记录,考虑整体防范方案。
第六章、考核办法
二十六、计算机终端安全管理办法的执行情况纳入各部门绩效考核运维基础管理中。
二十七、信息化支撑中心应每天对诺顿病毒情况与入侵攻击事件进行监控,通知事件较多的相关部门,并协助其进行相应的病毒查杀等工作。如果信息化支撑中心未及时对病毒及威胁情况进行通报或者通知,应当对信息化支撑中心进行责任追究。
二十八、在监控中病毒事件较多的部门,应当积极配合信息化支撑中心对计算机进行病毒的查杀工作。
二十九、对于连续一周内,病毒或者入侵事件排在第一位的单位,进行责任追究并予以扣分处理,同时进行信息安全通报。
三
十、对于每天监控中,病毒或者入侵事件超过100的计算机进行封网处理。
三
十一、对于每天监控中,病毒或者入侵事件超过200的计算机进行封网处理。同时对所在单位,进行责任追究并予以扣分处理,进行信息安全通报。
三
十二、每周对一周内病毒或者入侵事件的前十名计算机终端进行信息安全通报。
三
十三、市公司运维部、信息化支撑中心每月抽查部分部门或部分计算机设备一次。检查要点如下:
1、有无感染病毒的计算机设备(不论病毒来源);
2、有无使用双网卡、双网线、拨号设备等方法在企业内部网计算机上交替上互联网的情况;
3、每台计算机Norton网络版杀毒软件的安装、更新、运行情况。因计算机性能低无法安装Norton的应替换为其他杀毒软件;
4、企业内网计算机上有无游戏等非工作用软件的安装; 5、计算机信息安全管理制度所规定的其他内容。
第四篇:电脑终端安全系统管理办法
电脑终端安全系统管理办法
为了加强计算机终端信息安全管理,促使员工规范安全的使用网络及信息系统,切实保障公司IT资产的完整可靠,同时鉴于本系统的敏感性,特制定本办法。实施范围:控股集团总裁班子除外的所有员工(含如山创投及事业部)。设置专用服务器安装终端安全服务端系统,指定专人管理。3 系统管理员密码须由两人以上分段保管,每一个月必须修改一次。以下软件、网站等在工作时间段予以禁用:
4.1 各类下载工具软件,如迅雷、FlashGet等P2P软件。
4.2 游戏软件、游戏插件、娱乐软件。
4.3 色情、反动、游戏等网站。下列软件在工作时间段如需开通,必须经本部门负责人批准,报企管部审核,并进行台账登记管理。
5.1 即时通讯软件,如QQ、MSN、飞信等。
5.2 股票软件、期货软件。
5.3 其它除禁用软件以外且与工作无关的软件。禁止修改计算机名称、IP地址等属性,未经信息管理部同意禁止重装系统、卸载终端安全系统客户端。本系统由控股集团信息管理部指定人员负责维护,定期检查系统运行状况及客户端运行情况。
8员工若违反下述条款,给予50-1000元的负激励,并在集团OA上通报批评。情节严重的,给以待岗或辞退处理,构成犯罪的将移交司法机关处理。
8.1 未经信息管理部同意,私自重装操作系统。
8.2 私自卸载或禁止终端安全客户端软件。
8.3 攻击公司的网络系统、服务器等;对软件进行反向工程,如反汇编、反编译等。
8.4 系统管理员利用系统私自查看及获取他人数据。
8.5 上述行为同时违反保密管理标准的,同时按保密管理标准规定进行考核。
9本办法适用于盾安控股集团有限公司,由信息管理部提出并负责解释。
第五篇:信息安全管理办法
HYW3-111-XZ15
XXXXZDXXXXXXXX电厂管理制度
Net
信息安全管理办法
2015-9-10发布 2015-9-10实施
XXXXXXXX电厂 发 布 HYW3-111-XZ15
XXXXXXXX电厂 信息安全管理办法
第一章 总 则
第一条 为了加强XXXXXXXX电厂(以下简称“电厂”)信息的安全管理,确保公司信息系统安全、稳定运行,特制定本办法。
第二条 本办法规定了信息安全管理的职责、内容和方法,本办法适用于电厂各部门。
第二章 人员与帐户
第三条 电厂的所有员工都必须接受信息安全培训,培训由电厂人力资源部组织,信息中心协助。
第四条 信息中心统一管理各应用系统中的帐户信息,包括用户基本信息、用户帐号、权限等。信息中心应在接到人力资源部门的员工职位变动或离职的通知后,根据具体情况及时调整相应的帐户信息。
第五条 员工离职时必须将其掌管的信息资产(如电脑、打印机等)移交信息中心,信息中心进行清点和核查。必要时,还需要检查此员工管理的信息系统,以确认系统安全、正常,没有遭受蓄意破坏。
第三章 口令策略
第六条 信息系统中所需要的所有口令应至少满足以下要求:
(一)长度:至少6位,建议在16位以下。
(二)复杂度:可以由大小写字母、数字和普通符号组成。
(三)有效期:口令应每季度更换。
(四)更换策略:新口令至少与前3次的口令不能相同。
第四章 特权帐号的控制
第七条 特权帐号是指具有特殊管理功能和权限的专用账号,如:具有应用系统管理权、数据库管理权、操作系统管理权的帐号,还包括网络设备特权帐号等。
第八条 特权帐号应由专人管理和使用,责任到人。特权帐号使用人在出差、请假期间,应将特权帐号转交给信息中心负责人指定的人员。特权帐号使用人长期离开时,应将特权帐号交给信息中心负责人。
第九条 使用特权帐号后,特权帐号使用人应将其操作情况记录在《操作日志》中。信息中心负责人每季度对《操作日志》进行审核。
第十条 特权帐号使用人在进行操作时,不得擅自离开;操作完成后,应立即退出登录,以防账号被窃用。
HYW3-111-XZ15
第五章 安全检查和审计
第十一条 信息中心安全管理员对防火墙进行管理,按照电厂有关技术规范的要求和本单位的实际情况配置相应的安全策略。防火墙必须保留完整的日志记录,安全管理员对其每月进行检查、分析和审计。
第十二条 应用系统、操作系统和数据库的自动日志记录应完整保留,以便对其使用情况进行检查和审计。
第六章 病毒防护
第十三条 电厂内部网络内所有采用windows操作系统的计算机(包括服务器、台式机和笔记本)都必须安装电厂统一的防病毒软件,防病毒软件的安装、升级、更新和策略设置由信息中心负责,电脑终端用户不得擅自卸载杀毒软件或更改其设置。
第七章 数据安全与保护
第十四条 重要数据的安全保护工作由电厂信息中心负责,按照数据重要性的分类应采用不同的备份和管理的策略。
第十五条 重要数据进行销毁或存储介质报废时,应确保对数据存储介质的物理销毁或清除。
第十六条 信息中心的技术资料、软件安装介质、软件授权以及设备保修卡等重要资料应指定专人分类妥善保管。上述资料应存放在防火、防潮并且上锁的资料柜中,借出时应登记,避免遗失。
第八章 安全应急处理
第十七条 信息系统受到恶意攻击或发生重大事故时,信息中心负责应急和恢复工作。信息中心应对主要事故和攻击的情况做出预案,以确保能迅速恢复系统的正常运行。
第十八条 信息系统受到非法攻击或发生重大事故后,信息中心应对系统的安全性重新进行全面的评估,制订相应的整改措施并落实执行。
第十九条 建立信息系统问题汇报机制,信息中心根据问题的性质、影响大小和发生频度对电厂的信息系统进行分类汇总,信息化领导小组每季度审阅相应的报告,对其中特别重大的事件(例如;重大安全事件〈黑客攻击〉、主要系统的设备损毁、病毒造成的电厂范围的网络瘫痪)应及时上报,同时向上级公司信息中心汇报。
第九章 附 则
第二十条 本办法由电厂行政部信息中心负责解释。
第二十一条
本办法自发布施行。
点击咨询 