信息安全管理操作规范.doc

1、信息安全管理操作规范(初稿)一、 目的为了保护圆融光电公司的自主知识产权，保证圆融光电公司所有数据的安全、信息系统和计算机本身的稳定以及规范管理员工的行为操作，特制定本操作规范。二、 定义1. 信息系统：指网络系统、软件及软件系统、硬件及服务器等，不包括公司内生产专用设备自带的控制系统2. 信息安全：指物理安全、数据安全、信息系统安全；3. 合同方：是指与圆融光电公司签订相关合作合同的外部单位或组织；4. 外来信息化设备：非圆融光电公司（资产的信息化设备，如供应商及员工个人的笔记本电脑、台式电脑等。三、 范围1. 适用范围：圆融光电公司所有部门；2. 网络组成部分包括下述内容：2.1. 可以输

2、出话音和电子信息的所有电缆；2.2. 可以控制话音通讯和电子信息通讯的，以及所有可用于控制信息流的计算机；2.3. 所有计算机部件，包括（但不仅限于）-显示器、机箱、存储计算机、调制解调器、内存芯片、键盘、鼠标、网卡和电缆；2.4. 所有计算机软件；2.5. 所有输出计算机，包括便携式计算机、台式机及图形工作站、打印机和传真机；四、 职责1. 信息部:1.1. 负责圆融光电公司信息网络的整体安全体系设计及需求分析、整体网络安全项目实施、策略部署及信息安全项目相关文件的归档管理；1.2. 负责圆融光电公司信息安全相关制度及流程的建设;1.3. 负责对计算机信息系统安全保密方面的薄弱环节进行评估，

3、并提出整改措施。2. 圆融光电公司各部门2.1. 将信息安全作为工作的一部分，纳入年度及月度工作中;2.2. 负责执行公司相关信息安全制度及流程；2.3. 负责配合完成各项信息安全建设工作。五、 内容1. 信息机房管理1.1. 日常管理工作人员应认真阅读机房管理条例，执行机房的各项规章制度和管理办法；定期检查安全保障计算机，确保其处于正常工作状态；建立并严格执行机房管理制度，无关人员未经安全责任人批准严禁进出机房；注意安全用电，任何人启动计算机前应检查通电情况，若有不正常现象应立即通知管理人员；使用计算机应按其性能正规操作，严禁用湿物接触电源、电器、以免发生意外；经常检查门窗、插销、门锁是否完

4、好，发现问题及时处理，做好防盗工作；加强计算机的安全防范工作，保持室内清洁、干燥、空气疏通、安全用电、注意防火、防盗、防尘；保持机房安静，严禁在机房内大声喧哗、吵闹；对出现意外、设备及安全事故的，按公司安全生产管理手册中相应规定执行；2. 用户操作安全管理本规定是对网络用户在使用企业信息网络时需要遵守的安全规范进行定义。2.1. 操作人员不得利用国际互联网从事危害国家安全、泄露国家秘密、泄漏公司秘密等违法犯罪活动；2.2. 严格遵守上机操作规范，不得携带非法、盗版及未经网络管理人员许可的光盘及各种软件上机使用；2.3. 进入互联网后，上网人员应遵守国家有关法律和公司保密管理制度：不得擅自进入未

5、经许可的计算机系统或改动他人信息；不得在网络上散发恶意信息、冒用他人名义发送信息、侵犯他人隐私；不得制作、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动；不得浏览、发布、拷贝有关淫秽、迷信、反动等不健康的内容或无故向他人发送恶意的挑衅性的邮件和商业广告；由此造成的一切法律责任均由用户本人负责；2.4. 所有的网络维护操作，包括对桌面系统配置的修改，都只能由信息部相关技术工程师执行，其他各部门员工或合同方，都不允许修改系统及公司提供其使用的工作站；下列行为是违规的，且被认为是对系统修改的行为：把信息系统的网络引线接到其他地方；打开系统的机箱或封盖；安装任何与工作无关的软件，包括从因特网上下

6、载的软件；卸载和更换计算机的各类驱动、杀毒软件及防火墙；2.5. 设置强有力的口令保护政策；各部门员工都应使用唯一的登录名访问网络资源，口令用于保护只有经过合法授权的用户才能够使用相应的登陆访问网络资源。各部门员工都应对自己的或者他人的口令保守秘密。口令的使用应遵守下列规定：口令最少由 7 个字母和数字混合组成；各部门员工应每 90 天更改一次口令。信息部需通过技术手段实现口令到期后的提醒，各部门员工在看到提醒后，必须按要求及时进行更改；公司的每台计算机和服务器在发放前，信息部就必须做好锁屏设置，责任人在使用过程中不得擅自更改，人员离开计算机必须立即锁定屏幕；口令由个人保管，各部门员工不得把口

7、令记录在纸上，或者告诉其他人。各部门员工的直接上司、人事部门人员或安全管理人员在场的情况下，该各部门员工可以根据要求交出口令，人事负责人在得知员工离职时，必须要求起将计算机口令交至本部门信息化管理员处。公司保留追查各部门员工因未能按照上述规定保守自己的口令秘密，并对公司造成损失的权利；2.6. 重要岗位的登陆过程应增加必要的限制措施，每周检查主机登陆日志，及时发现不合法的登陆情况；2.7. 各部门员工不得利用各种技术从事用户帐户及口令的侦听、盗用活动，对类似活动圆融光电公司保留追究法律责任的权利；2.8. 信息部对公司信息系统所用的软、硬件建立操作记录管理制度，实际按日记录管理；2.9. 信息

8、部系统管理员日常操作严格执行计算机操作上岗制度，每日如实对企业信息系统及中断运行情况进行记录；2.10. 信息部各系统管理员对所负责的系统的运行情况及使用情况按日记录，并对操作人员维护情况进行检查、汇总，及时发现问题、解决问题，保证系统运行良好；2.11. 各部门员工应配合信息部完成计算机入域工作，不得私自退出域、不得以任何方式修改本地管理员密码及登陆本地计算机；2.12. 各部门每月至少需要组织一次信息安全自查工作，具体参照信息安全自查/检查表 （附件 1）并在每月的 22 号前将自查的结果以书面的形式反馈至信息部。3. 计算机安全管理本制度所指计算机是列入固定资产项目的服务器、工作站、台式

9、机、笔记本电脑及相关周边附属计算机等，本制度是对这些具体计算机进行安全管理的说明。3.1. 信息部负责公司应落实各项管理制度和技术规范，监控、封堵、清除网上有害信息。为了有效的防范网上非法活动，企业网要统一出口管理、统一用户管理；3.2. 公司的信息化设备原则上禁止带出圆融光电公司，如工作需要必须要带出的（其中包括：外出开会、出差及培训） ，各部门必须建立相应的审批流程或登记手续；3.3. 各部门不得随意将计算机借给非圆融光电公司员工，各部门的计算机使用者不得自行将计算机借给他人使用；3.4. 对本企业所使用的硬件计算机进行统一管理，并建立计算机卡片，详细记录其计算机名、使用时间、供货厂家及相

10、关情况；3.5. 定期对有关计算机进行保养，保持机房和计算机的整洁，严禁违规违章操作，确保机房、硬件计算机的安全；3.6. 对企业信息系统软硬件及有关正版软件要认真组织做好软件的升级工作，并对功能改动部分进行认真测试研究，确定新增功能在本单位的用法，防止工作的盲目性。对企业信息系统软硬件及有关正版软件应备份存档，应严格保护所有在用的正版软件的版权，不准拷贝给他人和单位，要维护不同版本的完整性、独立性，确切掌握软件版本使用情况，防止出现版本的混淆；3.7. 信息部应建立计算机管理维护记录，实行维护记录制度，对故障发生的时间、表现的解决措施、结果及软硬件的升级情况进行详细记录，以便今后解决故障；3

11、.8. 未经系统管理员同意或授权，任何人不得在企业信息系统上安装、拆卸软硬件，不得改变系统的运行环境；3.9. 计算机管理落实到专人，保管人对计算机丢失或者不当使用造成的损失负责，并对因计算机丢失或者不当使用造成的信息丢失和泄密事故负责；3.10. 针对具体应用型计算机建立有关的操作流程，使用时应严格按照操作流程执行；3.11. 计算机报废应依据公司有关规章制度执行，对报废计算机上保存的存储内容要进行清除，防止泄密；3.12. 对于标准外的软件如因需要投入公司使用，必须确认与操作系统等不冲突才可以投入正常运行；3.13. 不得在网络中安装与工作无关的应用及系统软件；3.14. 由公司信息化管理

12、部门统一规划、购买、布置网络使用的相应软硬件；3.15. 各部门必须配合信息部相关安全项目的实施。4. 数据安全管理本制度对管理服务器数据的人员进行规范和说明。4.1. 重要数据在处理中时，被批准使用数据人员以外的其他人员不应该进入机房工作。处理结束后，应清除不能带走的本作业数据。应妥善处理打印结果，任何记有重要信息的废弃物在处理前应进行粉碎；4.2. 网络数据采用光盘或外置硬盘进行备份，作为档案保存的网络数据应使用光盘介质进行存储。其他相关临时数据信息的存储可采用磁盘备份；4.3. 信息部机房管理员经常对系统中的数据进行备份，以便在计算机发生故障时可恢复到最近状态。原则上要求在发生业务的当天

13、进行备份。备份模式为：利用光盘进行每周七天的循环覆盖备份，每一周进行一次低级备份（全部备份） ；保存最近三个月的备份机及每年年末的备份。同时应备双份以上，存储于不同的地点；4.4. 对数据的备份、恢复、转出、转入的权限都应严加控制。严禁未经授权将数据拷贝出系统，转给无关的人员或单位；严禁未授权进行数据恢复或转入系统操作；4.5. 数据库管理系统的口令必须由专人管理，并定期更换。禁止同一人管理操作系统口令和数据库管理系统口令；4.6. 采用专门的数据备份和容灾安全解决方案和设备。5. 病毒安全预防本规定对病毒的安全防范办法进行定义和说明：5.1. 所有计算机资源受到防病毒软件的保护，指定专人负责

14、计算机病毒防范工作。定期进行病毒检测，发现病毒立即处理并报告；5.2. 各部门员工应负责运行系统中的防病毒软件，不得关闭或者进行回避。如果各部门员工受到系统中运行的防病毒软件发出的任何警告，则应该立即停止使用系统，并且与网络维护人员联系；5.3. 网络维护人员应负责保证所有防病毒软件为最新版本，可以在所有各部门员工的系统都在网络资源上连接工作时，通过自动过程进行安装。各部门员工如果怀疑自己的防病毒软件在过去的 60 天中没有更新，应该与网络维护人员联系；5.4. 禁止运行未经审核的软件，并配合信息部完成病毒清除工作；5.5. 如果有病毒造成的损失，应该立即隔离受到病毒感染的计算机，并将其与企业

15、内部网络断开；5.6. 重要部门的计算机要做到专人专用专管，避免交叉使用；六、 考核6.1. 同一个人第一次出现违反规定的事件，根据事件的轻重程度给予分别给予责任部门提醒、警告、过程考核等；同一个人出现第二次违反规定的事故，则立即取消其相关的信息系统使用权限，并对其所在部门通报批评处分。所有的违规事件，信息部都将详细记录在案；6.2. 针对信息部由于管理不当等导致的安全问题，则同样承担管理责任，根据情节严重给予提醒、警告、过程考核等；同样的问题第二次出现，将对信息部进行通报批评；6.3. 违反公司规定，故意或者过失泄露公司秘密的，根据公司奖惩条例相关规定视情节轻重进行处罚；情节严重构成犯罪的，移交公安机关依法追究刑事责任。七、 附件附件.1. 信息化设备维修检测记录附件.2. 机房设备检查记录表资产转移单 附件.3.