网络信息安全管理制度汇编.doc

网络信息安全管理制度汇编 网络信息安全管理制度大全 一、电脑设备管理 (2) 二、软件管理 (5) 三、数据安全管理 (9) 四、网络信息安全管理 (9) 五、病毒防护管理 (11) 六、下载管理 (11) 七、机房管理 (12) 八、备份及恢复 (16) 一、电脑设备管理 1、计算机基础设备管理 2、各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员 保管，保管人对计算机软、硬件有使用、保管责任。 3、公司计算机只有网络管理员进行维护时有权拆封，其它员工不得私自拆开封。 4、计算机设备不使用时，应关掉设备的电源。人员暂离岗时，应锁定计算机。 5、计算机为公司生产设备，不得私用，转让借出；除笔记本电脑外，其它设备 严禁无故带出办公生产工作场所。 6、按正确方法清洁和保养设备上的污垢，确保设备正常使用。 7、计算机设备老化、性能落后或故障严重，不能应用于实际工作的，应报信息 技术部处理。 8、计算机设备出现故障或异常状况〔包括气味、冒烟与过热〕时，应当马上关 闭电源开关，拔掉电源插头，并及时通知计算机管理人员检查或修理。 9、公司计算机及周边设备，计算机操作系统和所装软件均为公司财产，计算机 使用者不得随意损坏或卸载。 10、公司电脑的IP地址由网络管理员统一规划分配，员工不得擅自更改其IP地 址，更不得恶意占用他人的地址。计算机保管人对计算机软硬负保管之责，使用者如有使用不当，造成毁损或遗失，应负赔偿责任。 11、保管人和使用人应对计算机操作系统和所安装软件口令严格保密，并至少每 180天更改一次密码，密码应满足复杂性原则，长度应不低于8位，并由大写字母、小写字母、数字和标点符号中至少3类混合组成；关于因为软件自身原因无法达到要求的，应按照软件允3许的最高发码安全策略处理。12、重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘〔一般 为C盘〕以免系统崩溃导致数据丢失。与工作相关的重要文件及数据储存两份以上的备份，以防丢失。公司设立文件服务器，重要文件应及时上传备份，各部门专用软件和数据由计算机保管人定期备份上传，必需要信息技术部负责备份的应填写《数据备份申请表》，数据中心信息系统数据应按《备份管理》备份。 13、正确开机和关机。开机时，先开外设〔显示器、打印机等〕，再开主机；关 机时，应先退出应用程序和操作系统，再关主机和外设，避免非正常关机。 14、公司邮箱帐号必需由本帐号职员使用，未通过公司网络管理员同意不得将帐号 让与他人使用，如造成公司损失或名誉影响，公司将追究其个人责任，并保留法律追究途径。 15、未通过同意，员工不得在网上下载软件、音乐、电影或者电视剧等，不得使用 BT、电驴、POCO等严重占用带宽的P2P下载软件。员工在上网时，除非工作必需要，不同意使用、MSN等聊天软件。员工不得利用公司电脑及网络资源玩游戏,浏览与工作无关的网站。假设发现信息技术部可暂停其Internet 使用权限，并报相关领导处理。不得随意安装工作不必需要的软件。公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。 16、计算机出现重大故障，如硬盘损坏，计算机保管人应马上向部门负责人和信 息技术部报告，并填写《设备故障登记表》。 17、员工离职时，人力资源应及时通知信息技术部取消其所有的IT资源使用权 限，回收其电脑并保留一个星期，假设一个星期之内人事部没有招到新员工顶替，电脑将备份数据后入库。 18、如必需要私人计算机连接到公司网络，必需信息技术部授权并进行登记。 19、不得随意安装软件，软件安装按照《软件管理》实施。 20、所有计算机设备必需统一安装防病毒软件，未通过信息技术部同意，不得私自 在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必需及时升级操作系统补丁和防病毒软件。 21、任何人不得在公司的局域网上制造传播任何计算机病毒，不得有意引入病 毒。 22、计算机使用者发现病毒后应马上停机并及时通知公司信息技术部或本部门 病毒防治工作负责人，按《计算机病毒防治管理》处理。 23、因工作必需要使用、MSN等通讯工作，应当仔细辨认后再接收，对接收 的文件应用安全软件查杀后确认无毒再打开。 24、使用电子邮件时，附件都应用安全软件查杀后确认无毒再打开。关于陌生的 电子邮件，请直接予以删除。 25、任何人不得进入未通过许可的计算机系统更改系统信息和用户数据，不得以任 何形式攻击公司的其它电脑或者服务器。 26、不得利用计算机技术侵占其他用户合法利益，不得非法侵入他人电脑，不得 制作、复制、和传播妨害公司稳定的有关信息。 27、不得利用公司的网络资源公布，传播迷信、淫秽、色情、赌博、暴力、凶杀、 恐惧等信息，违者将送公安机关处理。 28、不得利用公司的网络资源进行入侵、破解、窜改其它Internet工作站或者服 务器等网络犯罪行为，假设发现马上终止其Internet权限，并、上报公司最高领导保留送公安机关处理的权力。 二、软件管理 部门权责1、此处软件指公司所有操作系统、系统安全软件、办公软件软件、专用 软件，数据中心信息系统等。公司所有业务所必需的软件由公司综合部网络管理员统一管理和安装。员工无权要求综合部网络管理提供软件介质和软件授权号码给其他人。更不同意将某某产权的软件安装在非某某产权的电脑上。 2、信息技术部负责全公司所使用软件的管理。为确保公司计算机软件之 适当使用，各部门对该部门的每台计算机应指定保管人，共享计算机 则由部门指定人员保管，保管人对计算机软、硬件具使用、保管之责。 3、各部门专用软件和数据由计算机保管人定期备份，信息技术部对备份 状况进行抽检，必需要信息技术部备份的应填写《数据备份申请表》，数 据中心信息系统数据应按《备份管理制度》备份。 4、信息技术部负责管理监督公司软件使用状况，并负责软件预算编列及 软件异动等事项。 5、信息技术部负责公司数据中心信息系统的选型、变更、安装、设置、 测试、维护管理。 6、针对新的信息系统上线，必需由信息技术部会同必需求部门对软件系统进 行评估，并做出上线计划，上前后进行测试，并记录各项测试数据、 参数配置及测试结果。在测试中发现的问题必需及时向供应商反馈并进 行书面记录进行整改。当由新系统替换旧系统时，业务部门必需对旧系 统下线前的期末数据与新系统上线后的期初数据进行核实，确认无误 后方可投入使用。供应商完成系统测试后，必需获取测试验收确认函， 确保软件系统满足业务必需求，并及时对系统用户进行培训指导。 软件采购 7、各部门对该部门使用的软件，应视必需要查核实际使用状况，以作为软件增置与编列预算的参照。软件采购时应考量软件用途、授权形式及 价格以评估软件必需求，由信息技术部统一提出采购计划。 计算机软件安装及保管 8、公司之各类授权计算机软件，统一由信息技术部负责保管，并每年至6少进行一次盘点。各单位因业务必需要必需使用时可提出申请，由信息技术部依该软件之授权使用范围进行安装。 9、公司拥有的授权计算机软件，由信息技术部门统一布暑安装；计算机使用人堆各别软件有安装变动必需求，必需先填写《软件安装申请单》, 信息系统软件申请须经部门经理和相关部门副总同意后,信息技术部 则依据软件实施申请单，安装或授权安装至各计算机之内。 10、计算机保管人对软件负保管之责，软件使用者如有使用不当，造成毁损或遗失，应负赔偿责任。软件使用者应当对口令严格保密，并至 少每180天更改一次密码，密码应满足复杂性原则，长度应不低于8 位，并由大写字母、小写字母、数字和标点符号中至少3类混合组成。关于因为软件自身原因无法达到要求的，应按照软件同意的最高发码安全策略处理。 11、各部门软件分配使用后，保管人或使用人职务变动或离职时，应按照人事部门流程移交其保管或使用之软硬件，并办理交接，由信息技术部对其软件使用权限进行调整。 12、信息技术部在实施系统变更，如变更操作系统、软件安装、升级时都必需做《计算机设备软硬件变更清单》。 13、信息技术部每半年会同必需求部门对计算机系统和数据中心信息系统用户状况进行一次复查。 第四节软件使用者的权利和义务 14、禁止员工使用会干扰或破坏网络上其它使用者或节点的软、硬件系统。 15、员工不得将公司授权软件私自拷贝、借于他人或私自将软、硬件带回家中。 16、软件保管人或使用人，关于保管或使用软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著 作权者或造成公司损失，则该员应负刑事及民事之全部责任。 17、尊重知识财产权,禁止下载未通过授权的音乐、影片及软件。 三、数据安全管理 1、工作所必需的资料、数据，不得带出办公区。因外派等业务必需带出的状况除外，但必需始终注意做好相关资料的保密工作。外派等业务活动结束后，必需将相关资料数据及时带回，并清除保留在公司以外设备上的资料。 2、当使用公司的网络打印机时，打印的资料必需在30 分钟内取回，保密资料的打印不得使用公用的网络打印机。 3、保密的资料应设置密码并妥善保管，不得随意置于桌面。 4、在执行资产转移时，要对那些存储保密资料或数据的载体〔如计算机或软、硬盘〕使用 cipher 命令对整个磁盘进行彻底清除，以防泄密。具体使用方法请向综合部网络管理员咨询，关于必需要储存的资料或数据应强化保密措施并进行保护。 5、个人资料，工作资料应定期做好备份工作〔重要资料应随时双重备份在其他电脑和其他介质上〕，以防病毒侵袭、硬件损坏等造成数据丢失。 四、网络信息安全管理 1、新员工入职，在得到自己的办公平台的帐户名和密码后，应马上更改自己的密码，如果因为没有更改密码而造成办公平台或公共管理系统帐户被他人盗用的状况，后果将由员工本人负责。 2、公司办公平台是为全体员工从事生产活动以及业务沟通提供服务的。不得利用公司的办公平台从事与工作无关的活动，一经查出或对公司造成不良影响的，将追究其责任。 3、员工有责任预防邮件病毒的传播，员工的电脑必需安装公司指定的杀毒软件，并启用杀毒软件的邮件防火墙功能。不同意在没有防火墙的电脑上进行收发邮件的操作，如果员工本人无法确定邮件附件的用途，那么即使杀毒软件没有给出提示，也不要轻易打开此类邮件。在使用电子邮件的过程中，有任何疑问都可以与综合部网络管理员联系。如果员工未按照上述要求执行，导致电脑感染电脑病毒并在公司局域网内传播电脑病毒，造成严重后果的，公司将追究该员工的责任。 4、由于办公平台服务器磁盘空间有限，公司通常状况下默认分配给每个员工的空间是200M，员工应将在办公平台存储超过一年的文件删除，以节约磁盘空间，重要文件请自行储存在个人电脑内。 5.公司IP地址由综合部网络管理员统一规划和分配使用，员工个人不得随意变更个人电脑的IP地址。 6、个人由于业务学习等而必需用计算机以及计算机网络的，可以利用休息时间进行，不可以占用工作时间。 7、不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害公司稳定的有关信息。 8、不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动； 9、不访问不明网站的内容，以避免恶意网络攻击和病毒的侵扰。10、员工个人等其他网络通讯工具，在个人信息资料中不得包涵公司相关〔如公司 、IP地址等〕信息，在工作时间不使用进行与工作无关的事情。 五、病毒防护管理 1、公司为员工配备的电脑以及员工所负责的服务器必需安装防病毒软件，并且应遵循综合部网络管理员指定的计算机病毒防护标准，如：安装并注意始终启用网络管理员指定的防病毒软件，并及时更新病毒库代码等。如因未及时升级防病毒软件而引起的系统问题和网络问题，由个人承当责任； 2、办公平台服务器的病毒防治由综合部网络管理员负责，各部门的工作站病毒的防治由各部门负责周期性查毒和升级病毒库，综合部网络管理员进行指导和协助。 3、任何人不得在公司的网络上制造、传播任何计算机病毒，不得有意引入病毒。网络使用者发现病毒应马上向综合部网络管理报告以便获得及时处理。 4、各部门定期对本部门计算机系统和网络数据进行备份以防发生故障时进行恢复。 六、下载管理 1、不准在任何时间利用公司网络下载黑客工具、解密软件，系统扫描工具，木马程序等威胁系统和网络安全的软件。 2、工作期间不同意下载和在线观看与工作无关的软件或其他内容，如MP 3、小说、电影、电视和图片等。 3、由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致使病毒传播者，一经核实，公司依据相关规定将给予警告、通报批评。 七、机房管理 机房设备管理规定 1、机房管理人员应使用电子表格对机房内设备做好登记，记录现有设备 的型号、配置、位置、状态等信息，以便跟踪设备变化。 2、计算机及网络设备的搬运必需填写《机房设备变更表》并通过信息技 术部负责人审批方可进入或搬离计算机机房。 3、机房管理人员对机房设备的操作必需严格按照操作程序进行，并在《机 房运行日志》做相应记录。 4、机房内主机等设备的故障修理，必需于《机房运行日志》做好故障维 修登记,假设涉及设备送修，须填写《机房设备变更表》。 机房进出规定 1、信息技术部应依据公司实际状况，安排专人对机房进行值班和巡检。 2、机房钥匙由信息技术部储存，其余钥匙交公司行政部统一保管，如果 特别状况必需使用时须严格登记。 3、钥匙保管人不同意私配机房钥匙，无关人员不得借用机房钥匙，机房 钥匙一旦遗失必需马上向信息技术部负责人报备。 4、任何非机房管理人员必需要进入机房，必需填写《机房出入登记表》在机房值班人员陪同下进入机房。 5、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品，因工作必需要使用时，必 须向信息技术部负责人申请并做具体登记，严格执行操作规程，用后 必需置于安全状态，妥善保管。 6、进入机房人员应自觉遵守机房内各项管理规定，服从机房值班人员的管理，非经机房管理人员同意，不得擅自对机房设备进行操作。工作 完毕后应及时离开，离开机房时应主动接受机房值班人员的检查。 7、条进入机房人员在工作完毕后，自觉将所带无关物品带走。 机房卫生规定 1、机房值班人员必需要天天对机房进行清扫，确保机房内环境、设备的清洁。 2、任何人不得将食物或饮料带入机房，任何人不得在机房内吃东西、吸烟、吐痰。 机房消防、安全管理规定 1、机房应坚持计算机设备正常运行所必需的温度、湿度等环境要求，安 装温湿度报警设施，对运行环境可能出现的不利因素进行监测并预警。 这些要求至少包括以下内容： 〔1〕安装24小时不间断空调系统，机房内坚持一定的温度和湿度；〔2〕安装湿度和温度显示装置； 〔3〕安装烟雾感应探测器和温度感应探测器； 〔4〕安装火灾报警和自动灭火系统； 〔5〕配备手动灭火器； 〔6〕将机房地板抬高。 2、机房应列为单位要害和重点防火部位，应严格按照相关国家标准安装配备。足够数量的消防报警设备以及消防器材，机房工作人员要熟悉 机房消防器材的存放位置及使用方法，定期检查改换。 3、机房及其四周严禁吸咽、焚烧任何物品。 4、机房应配备适当的不间断的电力供应〔UPS〕，确保有足够的后备电力支持正常的系统应急操作；每半年对现有的不间断的电力供应设备进 行检查与维护，确保设备的正常运作。 5、机房管理人员要熟悉设备电源和照明用电以及其他电气设备总开关位置，掌握切断电源的方法与步骤，发现火情及时报告，采用有效措施 及时灭火。 值班管理规定 1、信息技术部应依据公司实际状况，安排专人对机房进行值班和巡检。 2、值班人员应每日做好系统运行和机房安全工作,检查空调、UPS、温湿17度、消防等设备的完好性，并将检查结果记录于《机房运行日志》，如果发现问题及时汇报处理。 3、值班人员应每日检查各类系统设备的运行状态，并在《机房运行日志》中进行记录。假设系统发生故障，应及时报告相关管理人员，并协 助其进行问题调查，做好工作记录，将故障发生时间及修复时间等相 关信息进行登记。 4、对机房内所有人员的操作，值班人员应该在《机房运行日志》中进 行记录。 5、关于进入机房人员不遵守机房管理规定或从事与正常工作内容不相 符的操作，必需及时加以制止，必要时可终止其操作。 6、信息技术部负责人应每月审阅《机房运行日志》，确保所有机房操作已通过适当的授权和审批。八、备份及恢复 备份操作管理 1、备份工作应由信息技术部门安排备份管理人员和备份数据保管人员。备份管理人员负责实施备份、恢复操作和登记工作，备份保管人员负 责备份介质的取放、改换。 2、数据被大规模更新前后，须对数据进行备份，在操作系统和应用程序发生重大改变前后，须对系统和应用程序进行备份。 3、各部门专用软件和数据由计算机保管人定期备份，信息技术部对备份状况进行抽检，必需要信息技术部备份的应填写《数据备份申请表》，提出具体的备份要求，包括备份内容、备份周期等，申请部门负责人审 批后由备份管理人员制定相应策略，并由信息技术部门负责人审批后 执行。 4、备份操作人员每次备份填写《备份工作汇总记录》。 5、备份对象发生变更后，应及时评估和调整备份策略。备份策略的变更应得到必需求申请部门以及信息技术部负责人审批。 6、《数据备份申请表》和《备份工作汇总记录》必需由备份管理员妥善保管，信息技术部负责人每三个月对备份工作进行审核，核对系统中 的备份工作与备份申请是否吻合，以确保备份是按照要求进行的,核对 系统中的备份日志与备份工作汇总记录，以确保备份的有效性、完整 性以及出现的问题能得到适当的处理。 7、信息技术部负责人应制定相应的备份恢复计划。 8、必需要恢复备份数据时，应由必需求部门填写《数据恢复申请表》，内容包括数据内容、恢复原因、恢复数据来源、计划恢复时间、恢复方案等， 由必需求部门以及信息技术部门相关负责人审批后由备份管理员负责实 施。 9、备份管理员应对《数据恢复申请表》进行储存和归档，信息技术部负责人应每三个月对上述文档进行审阅，确保备份恢复工作的合规性。 第三节备份介质的存放与管理 10、对数据、操作系统以及程序的备份，须储存在两份介质中，一份本地存放，另一份异地存放；本地和异地的备份介质均必需填写《备份介质 登记表》。 11、备份介质存放场所必需满足防火、防水、防潮、防磁、防盗、防鼠 等要求。无论是存放在本地还是异地，须确储存放场所的安全，经信 息部门负责人批准后实施，只有授权人员才可以访问； 12、备份介质的存取应由备份保管人员负责，其他人员未通过批准不能操 作。 13、存放备份的介质必需具有明确的标识；标识必需使用统一的命名规范。 介质标识号命名规则:BACKUP+三位数编号：如BACKUP002。 14、在本地和异地建立《备份目录清单》，用以记录备份数据的名称、内容、存放位置、数据录入时间和数据保留期限等，由备份管理人员负 责每次填写，备份保管人员核对并保管。数据存放应以压缩包的形式。备份数据命名规则: 〔1〕操作系统:SYST操作系统名称+日期。 如SYST邮件服务器操作系统20211230。 〔2〕应用系统软件:SOFT应用系统软件名称+日期。 如SOFT用友ERP服务器端20211230。 〔3〕数据库:DATE数据库名称+应用系统软件名称+日期。 〔4〕其他文件:FILE+文件名称+日期。 15、所有备份介质一律不准外借，不准流出公司，除备份管理员任何人员不得擅自取用，假设要取用须经信息技术部门负责人批准，并填《备 份介质登记表》。借用人员使用完介质后，应马上归还。由备份管理员检查，确认介质物理和数据完好无误。备份管理人员及借用人员须分 别在《备份介质借用登记表》上签字确认介质归还。 16、备份介质要每3个月进行检查，以确认介质能否持续使用、备份内容是否正确。一旦发现介质损坏，应马上改换，并对损坏介质进行销 毁处理；对超出储存期的数据可以进行冲洗。存放介质必需要冲洗或销 毁时，应填写《备份介质冲洗/销毁登记表》，由必需求部门负责人和信 息技术部负责人审批后，备份管理人员与备份保管人员办理交接手续 后由备份管理人员销毁，必需使备份介质中的数据永久不可读取，备 份数据介质销毁后，在《备份介质登记表》中注明冲洗或销毁。销毁 时须备份管理人员和备份保管人员双人以上在场，防止数据的泄漏。《备份介质冲洗/销毁登记表》由备份保管人员保管。 17、长期储存的备份介质，必需按照制造厂商确定的存储寿命定期转储，磁盘、磁带、光盘等介质使用有效期规定为三年，三年后改换新介质 进行备份。必需要长期储存的数据，应在介质有效期内进行转存，防止 存储介质过期失效。以上操作由备份管理员提出申请，信息部门负责 人审批后执行并在《备份介质登记表》和《备份介质冲洗/销毁登记表》中登记，备份保管员负责核对。