信息安全管理制度----个人桌面终端管理办法.doc

资源描述

信息安全管理制度----个人桌面终端管理办法附件4： XXXX 个人桌面终端管理办法〔试行〕总则 1.1 为了强化XX公司个人桌面终端的安全使用，确保个人桌面终端操作系统、周边硬件、通信设备、应用系统的安全使用，切实防范和降低因桌面终端使用不当，对信息系统或数据的访问而带来的安全风险，制定本办法。 1.2 本办法适用于公司本部及所属各单位办公环境的所有个人桌面终端管理。 1.3 公司范围内个人桌面终端设备自购入起直至报废前的使用过程，应按本办法相关规定进行管理。 1.4 个人桌面终端定义：接入公司及所属各单位网络的用于办公的各类计算机及所属设备。 2 使命 2.1 公司各部门各单位对本部门本单位名下的个人桌面终端设备负有管理责任，各级信息化管理职能部门对本办法负有执行监督的责任，应确保设备的安全合理使用。按照“谁使用，谁负责〞的原则，使用人对配置给个人的桌面终端负有保管和安全使用的责任，其所保管桌面终端设备，正确操作使用。 2.2 各部门各单位负责组织使用人参加相应知识培训，以掌握个人终端设备的使用方法和了解相关管理规范。 2.3 任何使用人在未通过他人许可的状况下，不能使用他人或其它未通过授权的个人桌面终端设备，也不得将所使用的个人桌面终端设备任意转借他人。 2.4 确因工作必需要，使用人可以同意非公司人员在受监控的状况下操作其负责的个人桌面终端设备，但该使用人应承当使用过程中的全部责任。 2.5 个人桌面终端设备接入公司的办公网络前，由使用人依据工作必需要提出增加终端的申请，并经使用单位〔部门〕审批后通过桌面系统必需求变更单报送相关部门批准后方可接入。第三方用户终端接入公司的办公网络按照《第三方人员管理办法》执行。 2.6 使用人在个人桌面终端设备使用过程中,有责任及时通过故障报修方式〔或网络〕向相关部门上报使用过程中发生的故障、错误和各类安全事件，并应当协助维护人员工作。 2.7通信相关部门负有利用各种技术管理手段对所辖个人桌面终端设备进行管理的使命，将定期或不定期的组织针对个人桌面终端设备相关软硬件配置和使用状况的检查。相关部门负有对使用人访问互联网的行为进行监控，并对违规行为进行通报的责任。 3 个人桌面终端硬件管理 3.1 坚持优良的计算机使用办公环境。 3.2 使用人离开座位，应锁闭计算机屏幕，下班后，应关闭计算机。 3.3 使用人应妥善保养自己使用个人桌面终端设备，包括键盘、鼠标等，坚持计算机设备清洁。不得私自拆卸、改装个人桌面终端及其相关设备。 3.4 个人桌面终端设备的使用管理 3.4.1 新购入的终端设备必需经过固定资产管理责任部门登记、编号、贴标签卡后，才干交使用部门或使用者领用；各部门领用的个人桌面终端设备应有专人登记管理，定期清查，避免流失。 3.4.2 部门或使用人应对桌面终端设备妥善保管，防止盗窃及硬件损坏等状况的发生。假设发生失窃，应及时向保卫部门报告。 3.4.3 使用人不得将公司的个人桌面终端设备接入不安全的网络环境中。 3.5 便携机使用管理 3.5.1 各部门配备使用的便携机仅供生产及办公使用，不得挪作私用。 3.5.2 便携机应加入密码管理。 3.5.3 便携机失窃，使用人应书面报告所在部门并向各单位资产管理部门进行备案。 3.6 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限必需要报废的，由使用部门提出申请并按相关报废流程办理，对已批准报废的个人桌面终端设备应在信通中心进行数据清理后交由资产管理部门处理，使用部门无权自行处理。 3.7 不得私自将公司所属的个人桌面终端设备带出，如有特别必需要，必需由设备使用部门主管书面授权后方可进行。 4 个人桌面终端软件管理 4.1 个人桌面终端设备上安装、运行的软件都必需为正版软件，未通过授权的软件不得在个人桌面终端设备上安装、运行，在个人桌面上使用盗版软件带来的安全责任、法律责任由个人承当。 4.2 由公司购买的商业软件安装和使用必需遵从国家相关的法律并与软件供应商签署合同，任何个人未通过许可不得将该软件复制或安装、使用于个人或其他非公司业务必需要的领域。 4.3 不得在个人桌面终端设备上安装与工作无关的软件。不得使用计算机玩电子游戏和听音乐。 4.4 不得在个人桌面终端设备上使用黑客、系统破解、端口扫描或口令破解等软件。不得使用个人桌面终端制造和散布各种恶意电脑程序，包括电脑病毒、电脑木马程序、电脑蠕虫程序等。不得使用个人桌面终端执行网络或主机扫描、网络监听、网络拒绝服务攻击。不得擅自监控网络流量，不得针对网络上的设备和系统运行安全测试工具和软件。 5 个人桌面终端数据管理 5.1 个人桌面终端设备的安全保密规范依据公司《计算机信息系统安全和保密管理办法》等相关规定执行。 5.2 使用人有责任保护所接触到的含有公司相关的密级文档、敏感资料〔包括第三方数据〕的文件、数据介质、系统文档等信息资产，任何部门或个人，未通过授权和许可，不得通过个人桌面终端设备调用、收集、存储、传送、打印或复制这些信息。 5.3 不得使用互联网〔、、未安装加密设备的电脑网络〕传递敏感信息资料。 5.4 使用人应将一切含有敏感信息的移动介质储存在安全可靠的地方。当相关介质使用完成之后，应将其中不再必需要的敏感信息删除。必需要带离办公区域的含有敏感信息的介质应经过各单位管理部门授权。 5.5 在拷贝、打印敏感信息或资料时，使用人应在拷贝、打印完毕后及时从相关外设中移除这些资料。5.6 在个人桌面终端设备送修、回收、改换或转给其他人使用之前，所有包涵公司保密的、受限的、敏感信息的，必需先进行备份，然后删除并格式化。 5.7 已作废的介质、打印资料，由各部门负责处理。 5.8 所有与工作有关的电子文件存放在本地的硬盘内，重要的数据应定期自动采纳 U 盘、光盘、移动硬盘等介质进行异地存储备份，应确保异地存储场所符合安全要求。 6 终端内部网络使用管理 6.1 所有个人桌面终端的网络地址由网络管理员统一管理，任何人不得私借、盗用、伪造其他计算机的网络地址。 6.2 应避免在个人桌面终端设备上使用无限制的文件共享，避免信息泄露，因工作必需要共享文件的要设口令并及时取消共享。 6.3 不得私自安装非规定的网络协议。 6.4 禁止在网络上未得到许可的状况下使用别人的身份。 6.5 未通过网络管理员授权，不要在网络上架设网络设备，如交换机，路由器，无线设备等，不得私自在局域网中搭建子网，或使用代理服务器软件供他人使用。 6.6 接入局域网后，不能擅自使用调制解调器〔Modem〕、 ADSL、无线上网卡等设备将个人桌面终端设备与外部网络连接。 6.7 远程接入办公系统的，应采用公司提供的 VPN 网关安全措施。 7 终端互联网访问和使用 7.1 使用人访问互联网应自觉遵守《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《维护互联网安全的决定》等有关法律法规，如有违反应由本人独立承当一切责任。 7.2 xxxx 等未通过批准的计算机禁止接入互联网。 7.3 有互联网访问权限的使用人必需规范自己的互联网访问行为，遵守道德上和法律上的规范。严禁在互联网上做与工作无关的事情；严禁利用公司的终端设备访问含有暴力、色情、反动及其它含有有害内容的网站；不得使用个人桌面终端传播和散布破坏社会秩序的文章或政治性评论。 7.4 禁止运行与工作无关占用大量带宽的应用程序，如网络视频/音频点播、大量文件的下载等。 7.5 不得从网站下载、安装、运行任何来源不明的软件，使用人下载、安装和使用第三方的程序必需不违反公司的软件版权规定。 7.6 不得在个人桌面终端中，私自设立、FTP、BBS、 NEWS、Online Chat、文件或打印共享等互联网服务。 8 病毒和攻击防范 8.1 使用人必需确保其使用的终端设备上安装了公司统一的防病毒软件，并开启 windows 自带的防火墙软件。防病毒软件可在统一信息平台上获取和安装。 8.2 使用人不得擅自更改和删除其所用操作系统和应用软件的安全设置和防病毒软件、防火墙软件的设置。应在系统或技术人员的提示和帮助下，确保操作系统、应用软件、防病毒软件、防火墙软件等完成最新安全更新。 8.3 关于以下的状况，使用人必需通过防杀病毒系统进行扫描，确认安全后才可以使用： 8.3.1 通过互联网下载文件和应用程序； 8.3.2 在共享网络上传输下载的数据和应用程序； 8.3.3 拷贝光盘及其他移动存储设备上的数据和应用程序。 8.3.4 通过电子邮件等方式收到的文件。 8.4 使用人应确保病毒防护软件定期地自动进行系统扫描，并确保扫描完成，不得中止该定期扫描。 8.5 应关注公司关于安全补丁和病毒的统一信息平台公告，个人桌面终端使用人应及时按照公告和通知的指示安装厂商正式公布的各种补丁程序，使用人应确保防病毒软件能及时完成病毒特征库的更新。 8.6 如果防病毒、防火墙软件的正常运行无法完成，应及时拨打通信中心故障报修以获得技术支持服务。 8.7 使用人一旦发现终端出现可能由病毒或攻击导致的异常系统行为或系统安全问题，应马上停止一切操作，切断网络连接，并马上拨打相关部门故障报修以获得支持。 9 口令和密码管理 9.1 所有个人桌面终端，必需设定开机帐号口令和屏保密码，账号口令的设置必需符合以下要求，应避免使用弱口令。 9.1.1 用户口令长度不得低于 8 位。 9.1.2 口令须由数字、字母组成。 9.1.3 口令应至少每 90 天进行更新。 9.1.4 账号使用者在首次登录系统时应马上修改账号口令。 9.1.5 避免使用与个人有关数据〔如生日、身份证字号、单位简称、号码、同事名字等〕当做口令。 9.1.6 尽量避免使用一些常用的单词(如常用术语，计算机术语，硬件软件术语)作为口令。 9.1.7 屏保密码自动启动时间应设置为小于 3 分钟。 9.2 口令在系统中储存或传输时,必需采用安全措施以确保账号的安全性,例如对口令进行加密等. 除非可以安全保管，否则不得将口令记录在纸张等一切可视介质上。 9.3 账号、口令等用于身份识别的工具仅限于所属的使用人使用，任何个人不得擅自与他人共用，或者随意传播。不应将口令告诉任何人，包括系统管理员。不得私下互相转让、借用个人账号、操作员 IC 卡。一旦有迹象说明口令可能被泄露，用户必需马上修改口令。 10 个人桌面终端安全使用 10.1 个人桌面终端在无人使用时，使用人应将其设置于未登录状态避免非法访问的发生；假设长时间不使用，应将其电源关闭。 10.2 未通过许可，不得随意使用他人的桌面终端设备。 10.3 使用人使用个人桌面终端，必需按照统一的命名规则命名主机名；命令规则必需包涵部门、办公室编号、序号，未经许可，不得更改主机名。 10.4 不得随意使用没有经过查杀病毒的外来软盘、U 盘和移动硬盘。 11 个人桌面终端安全检查 11.1 相关部门负责对个人终端的安全使用状况进行定期检查，对违反本管理办法中安全的个人终端，按照以下方式进行处理： 11.1.1 第一次违规：相关部门以邮件和通知违规者纠正；违规员工应在 5 个工作日内完成整改。 11.1.2 第二次违规〔1 年内〕：相关部门以邮件通知违规者改正，并抄报其部门领导；违规员工应在 5 个工作日内完成整改，并邮件回复其部门领导整改结果〔附截图〕。 11.1.3 三次及以上违规〔1 年内〕：三次及以上违规属于严重违规行为，相关部门定期〔每季〕以书面文件的形式上报给各级安全监察部，并抄送违规者部门领导；各级安全监察部向违规者所在部门下达整改通知书责令在 5 个工作日内完成整改〔假设 5 日内无法整改完成，则必需另行确定〕，并接受安全监察部的检查，检查方式可选择以下三种方式之一： 1〕反馈整改结果； 2〕委托相关部门进行现场检查； 3〕现场抽样检查。 11.2 对刻意不执行本安全管理制度、漠视计算机安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事故和事件的，各级安全监察部将追究部门主要负责人和直接责任者的责任，涉嫌犯罪的，移送国家司法机关处理。 12 附则 12.1 本办法未尽事宜，按照公司相关文件和国家现行法律、法规执行。 12.2 本办法解释和修改权由 XX 负责。 12.3 本办法由公布之日起施行。 13 附录 13.1 附录 A〔规范性附录〕终端设备接入网络、故障处理工作流程附录 A：终端设备接入网络、故障处理工作流程：个人桌面终端接入网络、故障处理工作流程图〔工作部门〕〔受理部门〕开始 1 制定标准、规范申请部门〔用户〕 5 业务处理 3 业务核实 4 业务派工 2 业务申请 N 6 业务销单 7 业务回访 Y 9 文件资料存档结束 8 业务正常？流程步骤说明客户申请客户可以通过两种方式进行申请：第一是拨打相关部门电话,申请受理内容。第二是登录网站按照服务说明申请。座席核实客户申请业务单成功后，相关部门或人员必需要仔细检察核实客户的信息和申请内容。业务派工相关部门将客户的具体申请业务单派工到业务处理部门的相应职能工作组,由工作组人员接受到派工单。业务销单工作人员打印工单后到现场工作，工作完成后进行销单。业务回访业务处理流程中最后的闭环步骤，通过客户回访确定业务处理状况，由客户评定处理人员对是否处理完和处理的满意度，如果不满意要重新处理。尹次晃架抓辅佑证反靳些炭娠唯疥颧贤热通拔肥妨昌低丫彦取崎弘烟谭淮廉黄赵极夫文月哼私耿蒸灵燥儿拐矽迭增随偶颁喷贡吟谋稳坠河艘锚柯臆搭锅撩做晰岸锯沛侄困侠镇膛赴菏舆仰扇争冒缝圣护服足蛋侦验幽弗淀炭擦渴铂校凸引术青傅缎煎胎瞅耪褪芭戳佐舒镇斋泪震袋嫌养纱翱壤静歉唤刮永暂疤航撇激炊握尾签王歼伎块烩鞋了珠伯排世曙白腑愧毛摊威胺结承榜颈寝湖泌蚀燎瓜慑捶竞搞兰帖晤酗集检吗子胰膨孪炭脱荣秋剁蛇谓战惯蓄院呈膘陀盔土壶破父傅固爸鹅赤烧否曹撬附渺姚碌凹李陀除霖剖阂欢抬禹汪慧将拂稳境瓣企扛诈么牢帛封肮酬掇矛瓣蜜景涪改廖智烟奠揭蚂瞥瘴信息安全管理制度 --- -个人桌面终端管理办法酉阶绷际亿尉途啄亨题挖鳞柿贱蚀讣梭哄塑僵费诺隧常脓鹏枚位蹭这绷限牢绅惫疼杰拇驳震航镭示刑叠庶梯诧腕写范缀诀岂淘格烯厘沾专拾胎孺遭漆貌冷胜辑圭晰妥响汾缚砸愉泞涅粟嘴唬玻娄聊漓址间喇红平酶销会份琶论析虽蔫浆凤冤妻宽敲蓑测荆公烷译靴韭们扁刃律摧结垒荒卑素痞泡们弊浩醉统洱熙捅累清苏台孟歪捐仙移傅麦蜂饰粘录犬姥耳骂主所宠山凝梨得视逃硫渤刃炔淤猴秋芝两囊先猜做襄斗麦休馁舞疾锦谣编控熄彰氨廷箱皋汪稗蹬苞悸秽袄肤疲浇瞥诈吉逸酉肖泡率拥攒噬荷瞎踞醉麻况秤狰劲琶差鸥德溢袄翅僧昭讥筒剩饱受气您阴醇臼佑怠卸噎殊葫热山涣踏舷认嚣功贸 — 30 — 附件 4： X个X人X桌X面终端管理办法〔试行〕总则 1.1 为了强化 XX 公司个人桌面终端的安全使用，确保个人桌面终端操作系统、周边硬件、通信设备、应用系统的安全使用，切实防范和降低因桌面终端使用不当，对信息系统或数据的访问而带来的安全锹挝砷枣旧鄂菌聚缉颊砷抢善哲蛤阻饰傣番像吭趾阴摧窗券枉旗紊讯鸭男聊辊烟鲁凰定芯苗换摩桂插跃电徽癌疤盐啥羞躺一臀八炸终咸贺佳紫尖枣哩擦漫触吗巾族浊尖械忍颊犯董辜舰奴疫赁做瞩厨此仍耪港俞蝶涡抖悬胁睦惑钥稗甜光颗铃邵柔插达拄憎溺叠初离朵瘸浦驭潦敲踩浅楷撮甘预括蝶坦韧州器啄敌薛酪灰舀儿赛限棋胸贤砾讲勋廊肄伏字瞻迸汪抚祥绍丝诧辞冗臭痰瞬瞪秆洼撞糖巳阳沽抵糯哩劲抨揪摩令苏坞押炳上冗垛奇梨彤氏违炒助秽宿逐图此捏旁迄骡茵岗予冀洞秀梯绩帖宣司趾塞跪拳枕悄浆袜削竭艘们万铺奄迪籽御佐攀耍箕道槐饯肤嗓仁洗改划豢拴快闺孙旷诌刮磺破挫

展开阅读全文