計(jì)算機(jī)信息安全管理規(guī)定.doc

受控印章：更 改 記 錄版本號(hào)更改內(nèi)容更改人審核人批準(zhǔn)人生效日期部門會(huì)簽總經(jīng)辦市場部研發(fā)部商務(wù)部PMC部采購部生產(chǎn)部工程部品質(zhì)部倉庫部人力資源部財(cái)務(wù)部1.目的：1.1為加強(qiáng)桑格爾科技有限公司計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行、維護(hù)和管理，確保網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運(yùn)行，促進(jìn)公司網(wǎng)絡(luò)的健康發(fā)展，根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定、中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法和國家有關(guān)規(guī)定，特制定本管理規(guī)定。2.適用范圍：2.1 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由計(jì)算機(jī)硬件設(shè)備、軟件及客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置組成。2.2 軟件包括：服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件、有關(guān)專業(yè)的網(wǎng)絡(luò)應(yīng)用軟件等。2.3 客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置包括客戶機(jī)在網(wǎng)絡(luò)上的名稱，IP地址分配，用戶登錄名稱、用戶密碼、ERP設(shè)置、OA地址設(shè)置及Internet的配置等。2.4 系統(tǒng)軟件是指: 操作系統(tǒng)（如 WINDOWS XP等）軟件。2.5平臺(tái)軟件是指:設(shè)計(jì)平臺(tái)工具（如CAD2004等）、辦公用軟件（如OFFICE 2000）等平 臺(tái)軟件。 2.6專業(yè)軟件是指：設(shè)計(jì)工作中使用的繪圖軟件（如PRO/E、UG軟件等）。2.7 管理軟件是指：生產(chǎn)和財(cái)務(wù)管理用軟件（如易助ERP系統(tǒng)）。3.定義：3.1 計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。3.2 計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和羅輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。 羅輯安全包括信息的完整性、保密性和可用性。4.職責(zé)：4.1 信息管理部門為網(wǎng)絡(luò)安全運(yùn)行的歸口部門，負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)和管理。4.2 負(fù)責(zé)系統(tǒng)軟件的調(diào)研、采購、安裝、升級(jí)、保管工作。4.4 負(fù)責(zé)軟件有效版本的管理。4.4 信息管理部門為計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫安全管理的歸口管理部門。4.5 信息管理人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)、辦公自動(dòng)化、易助的安全運(yùn)行；服務(wù)器安全運(yùn)行和數(shù)據(jù)備份；internet對(duì)外接口安全以及計(jì)算機(jī)系統(tǒng)防病毒管理；各種軟件的用戶密碼及權(quán)限管理；協(xié)助職能科室進(jìn)行數(shù)據(jù)備份和數(shù)據(jù)歸檔。4.6 信息管理人員執(zhí)行企業(yè)保密制度，嚴(yán)守企業(yè)商業(yè)機(jī)密。4.7員工執(zhí)行計(jì)算機(jī)信息安全管理規(guī)定，遵守企業(yè)保密制度。4.8系統(tǒng)管理員的密碼必須由信息管理部門相關(guān)人員掌握。5.作業(yè)程序：. 5.1網(wǎng)絡(luò)系統(tǒng)維護(hù)5.1.1 系統(tǒng)管理員每日定時(shí)對(duì)機(jī)房內(nèi)的網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)庫服務(wù)器、ERP服務(wù)器、OA服務(wù)器、Internet服務(wù)器進(jìn)行日常巡視，并填寫網(wǎng)絡(luò)運(yùn)行日志附錄A。5.1.2 對(duì)于系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)的異?，F(xiàn)象信息管理部應(yīng)及時(shí)組織相關(guān)人員進(jìn)行分析，制定處理方案，采取積極措施，并如實(shí)將異?，F(xiàn)象記錄在網(wǎng)絡(luò)運(yùn)行日志附錄A。針對(duì)當(dāng)時(shí)沒有解決的問題或重要的問題應(yīng)將問題描述、分析原因、處理方案、處理結(jié)果、預(yù)防措施等內(nèi)容記錄在網(wǎng)絡(luò)問題處理跟蹤表附錄B上。部門負(fù)責(zé)人要跟蹤檢查處理結(jié)果。5.1.3 定時(shí)對(duì)相關(guān)服務(wù)器數(shù)據(jù)進(jìn)行備份。5.1.4 定時(shí)維護(hù)OA服務(wù)器，及時(shí)組織清理郵箱，保證服務(wù)器有充足空間，OA系統(tǒng)能夠正常運(yùn)行。5.1.5 維護(hù)Internet 服務(wù)器，監(jiān)控外來訪問和對(duì)外訪問情況，如有安全問題，及時(shí)處理。5.1.6 制定服務(wù)器的防病毒措施，及時(shí)下載最新的防病毒疫苗，防止服務(wù)器受病毒的侵害。5.2 客戶端維護(hù)5.2.1 按照人事部下達(dá)的新員工（或外借人員）姓名、分配單位、人員編號(hào)為新的計(jì)算機(jī)用戶分配計(jì)算 機(jī)名、IP地址、用戶名、登錄密碼。5.2.1.1帳號(hào)申請(qǐng) 新員工（或外借人員）需使用計(jì)算機(jī)向部門主管提出申請(qǐng)經(jīng)批準(zhǔn)由信息部門負(fù)責(zé)分配計(jì)算機(jī)、OA 的ID和郵箱。如需使用ERP向部門主管申請(qǐng)，由信息部門分配權(quán)限和帳號(hào)密碼，信息管理部人員負(fù)責(zé)軟件客戶端的安裝調(diào)試。5.2.1.2 使用 ERP：信息管理人員完成安裝調(diào)試客戶端，用戶輸入信息部門分配的帳號(hào)密碼登陸,可進(jìn)行密碼更換。其中ERP打印設(shè)置可由用戶自行設(shè)置，如無法完成設(shè)置，可由信息管理人員協(xié)助完成設(shè)置。5.2.1.3 帳號(hào)注銷：員工離職應(yīng)將本人所使用的用戶名、登錄密碼和郵箱、ERP等軟件信息以書面形式記錄，經(jīng)信息管理人員核實(shí)并將該記錄登記備案。信息管理人員對(duì)離職人員OA、ERP中的公司資料信息備份以及拿到人事部門的員工離職通知單，方可對(duì)該離職人員所用的帳號(hào)信息進(jìn)行處理。5.2.2如有移動(dòng)用戶需訪問局域網(wǎng)，需經(jīng)該部門主管領(lǐng)導(dǎo)批準(zhǔn)，有關(guān)部門通知信息管理員提供服務(wù)。5.2.3 根據(jù)用戶需要為其配置Internet接入權(quán)限，一般員工只有接入局域網(wǎng)權(quán)限，如有工作需要要接入Internet，可向所在部門主管提出申請(qǐng)，經(jīng)行政部及總經(jīng)辦批準(zhǔn)后通知網(wǎng)絡(luò)管理員提供服務(wù)。5.2.4網(wǎng)絡(luò)用戶不得隨意移動(dòng)信息點(diǎn)接線。因辦公室調(diào)整確需移動(dòng)或增加信息點(diǎn)時(shí)，應(yīng)由計(jì)算機(jī)管理人員統(tǒng)一調(diào)整，并及時(shí)修改“網(wǎng)絡(luò)結(jié)構(gòu)圖”。5.2.5 為客戶機(jī)安裝防病毒軟件，并通知和協(xié)助網(wǎng)絡(luò)用戶升級(jí)防病毒疫苗。5.2.6對(duì)于網(wǎng)絡(luò)用戶傳播、復(fù)制、制造計(jì)算機(jī)病毒或采用黑客技術(shù)而致使計(jì)算機(jī)網(wǎng)絡(luò)癱瘓?jiān)斐芍卮髶p失的情況，將給予嚴(yán)肅處理。（具體參見獎(jiǎng)懲制度）5.2.7 不得利用互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所制作、下載、復(fù)制、查閱、發(fā)布、傳播或者以其他方式使用含有下列內(nèi)容的信息： 5.2.7.1反對(duì)憲法確定的基本原則的； 5.2.7.2.危害國家統(tǒng)一、主權(quán)和領(lǐng)土完整的； 5.2.7.3 泄露國家秘密，危害國家安全或者損害國家榮譽(yù)和利益的； 5.2.7.4 煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)，或者侵害民族風(fēng)俗、習(xí)慣的； 5.2.7.5破壞國家宗教政策，宣揚(yáng)邪教、迷信的； 5.2.7.6散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的； 5.2.7.7宣傳淫穢、賭博、暴力或者教唆犯罪的； 5.2.7.8侮辱或者誹謗他人，侵害他人合法權(quán)益的； 5.2.7.9危害社會(huì)公德或者民族優(yōu)秀文化傳統(tǒng)的； 5.2.7.10含有法律、行政法規(guī)禁止的其他內(nèi)容的。 5.3 系統(tǒng)及平臺(tái)軟件的管理5.3.1 系統(tǒng)及平臺(tái)軟件采購 5.3.1.1 由信息管理員提出相關(guān)系統(tǒng)軟件的采購及升級(jí)申請(qǐng)，填寫軟件引進(jìn)、升級(jí)審批表附錄D， 經(jīng) 部門主管批準(zhǔn)后采購。5.3.1.2 應(yīng)將原始盤片、資料、合同及發(fā)票復(fù)制件歸檔案保存。5.3.1.3 應(yīng)辦理軟件注冊(cè)手續(xù)，并將軟件認(rèn)證號(hào)碼、經(jīng)銷商和技術(shù)支持商相關(guān)信息填入軟件信息表附錄C。5.3.2 系統(tǒng)、平臺(tái)軟件的管理5.3.2.1 信息管理人員負(fù)責(zé)軟件的安裝。5.3.2.2 信息管理部門保存和使用軟件的復(fù)制盤片，也可根據(jù)需要從檔案借出原始盤片，復(fù)制相關(guān)資料留存使用。 5.3.2.3 信息管理人員應(yīng)及時(shí)下載系統(tǒng)及平臺(tái)軟件的相關(guān)補(bǔ)丁程序，并與原系統(tǒng)進(jìn)行配套管理和使用。5.3.2.4 信息管理員負(fù)責(zé)將軟件商信息記錄在軟件信息表附錄C，就軟件技術(shù)問題與軟件商聯(lián)系，并負(fù)責(zé)軟件的升級(jí)。5.4 軟件維護(hù)5.4.1 用戶向信息管理人員提交軟件維護(hù)請(qǐng)求。接到請(qǐng)求的信息管理人員應(yīng)及時(shí)提供維護(hù)服務(wù)，并填寫維護(hù)記錄附錄E。5.4.2 對(duì)于較復(fù)雜的問題，處理人應(yīng)及時(shí)與信息管理員溝通，信息管理員組織研究解決方案，及時(shí)處理問題。5.4.3 應(yīng)記錄處理問題的方案及結(jié)果，信息管理員定期組織交流，總結(jié)匯總各種軟件的問題，以便改進(jìn)軟件，積累經(jīng)驗(yàn)，提高處理問題的技術(shù)水平。 5.5 軟件的借用5.5.1 用戶需自行安裝系統(tǒng)和專業(yè)軟件時(shí)，應(yīng)填寫軟件借用記錄附錄F，辦理借用手續(xù)。5.6軟件有效版本管理 5.6.1 信息管理員應(yīng)建立系統(tǒng)、平臺(tái)、專業(yè)、管理軟件的有效版本清單，并定期發(fā)布，格式見軟件有效版本清單附錄G。5.7 數(shù)據(jù)備份管理 5.7.1 服務(wù)器數(shù)據(jù)備份 5.7.1.1每周應(yīng)至少做一次ERP的備份，并在備份服務(wù)器中進(jìn)行邏輯備份的驗(yàn)證工作，經(jīng)過驗(yàn)證的邏輯備 份存放在不同的物理設(shè)備中，至少同時(shí)保留兩個(gè)完整的數(shù)據(jù)備份。5.7.1.2 每周至少對(duì)文件服務(wù)器和OA服務(wù)器做一次數(shù)據(jù)備份。5.7.1.3 應(yīng)對(duì)數(shù)據(jù)庫進(jìn)行自動(dòng)實(shí)時(shí)備份。5.7.1.4自動(dòng)或手工備份的數(shù)據(jù)應(yīng)在數(shù)據(jù)庫故障時(shí)能夠準(zhǔn)確恢復(fù)。5.7.2 管理信息的備份5.7.2.1 各部門應(yīng)定時(shí)對(duì)管理數(shù)據(jù)進(jìn)行備份。5.7.2.2 每年的2月份，計(jì)算機(jī)人員應(yīng)協(xié)助職能科室對(duì)一年的管理數(shù)據(jù)進(jìn)行備份、標(biāo)識(shí)并歸檔。5.8 計(jì)算機(jī)病毒防治5.8.1 在服務(wù)器和客戶端微機(jī)上安裝病毒自動(dòng)檢測程序和防病毒軟件，信息管理人員應(yīng)及時(shí)下載防病毒疫苗，用戶應(yīng)及時(shí)下載疫苗并檢測、殺毒。5.8.2 在向微機(jī)及服務(wù)器拷貝或安裝軟件前，首先要進(jìn)行病毒檢測。如用戶經(jīng)管理代表批準(zhǔn)安裝外來軟件， 應(yīng)經(jīng)過計(jì)算機(jī)人員對(duì)安裝軟件進(jìn)行防病毒檢測。5.8.3 對(duì)于外來的圖紙和文件，在使用前要進(jìn)行病毒監(jiān)測。5.8.4 送外維修和欲聯(lián)網(wǎng)的計(jì)算機(jī)必須經(jīng)過病毒檢測后，方可聯(lián)入網(wǎng)絡(luò)。5.8.5 為了防止病毒侵蝕，員工和信息管理人員不得從internet網(wǎng)下載游戲及與工作無關(guān)的軟件，不得在微機(jī)、服務(wù)器上安裝、運(yùn)行游戲軟件。5.9 文件服務(wù)器的管理5.9.1 文件服務(wù)器中為用戶預(yù)留了一定的存儲(chǔ)空間，存放重要文件、設(shè)計(jì)圖紙和階段成果，以避免在本地硬盤遭到損壞時(shí)丟失文件。5.9.2 為有效利用存儲(chǔ)空間，文件服務(wù)器禁止放置與工作無關(guān)的內(nèi)容，未經(jīng)信息管理員同意，嚴(yán)禁向文件服務(wù)器傳送可執(zhí)行文件。5.10 IP地址和用戶密碼管理5.10.1 局域網(wǎng)IP地址由信息管理員負(fù)責(zé)管理，用戶不得擅自改變服務(wù)器和客戶端的IP地址。5.10.2 信息管理員為用戶設(shè)置權(quán)限、用戶名和登錄密碼，并填寫用戶信息表附錄H，備案用戶信息。5.10.3 用戶可修改自己的應(yīng)用系統(tǒng)密碼。5.11 對(duì)外接口管理（Internet服務(wù)器 ，OA服務(wù)器）5.11.1用戶應(yīng)避免利用OA傳送較大容量的附件10M以下、圖紙和圖片，郵件最大控制在10M以內(nèi)，定期清理郵箱，保證OA的正常運(yùn)行。5.11.2 用戶不得利用Internet及OA瀏覽、傳播違法和不健康的內(nèi)容，違反規(guī)定的用戶將被終止上網(wǎng)權(quán)利。5.12 系統(tǒng)保密制度5.12.1 系統(tǒng)管理員的職責(zé)和義務(wù) 5.121.1.1 系統(tǒng)管理員應(yīng)由主管領(lǐng)導(dǎo)批準(zhǔn)設(shè)立，具有系統(tǒng)管理員權(quán)限的用戶應(yīng)對(duì)所管理系統(tǒng)的安全負(fù)責(zé)。 5.12.1.2 系統(tǒng)管理員不得擅自泄露其他用戶的用戶名及密碼，不得為員工檢索其他人員信息和企業(yè)保密信息。 5.12.1.3 因工作需要，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，系統(tǒng)管理員可以為用戶檢索、打印企業(yè)信息，但應(yīng)妥善保管打印件，并對(duì)作廢內(nèi)容及時(shí)銷毀。5.12.1.4系統(tǒng)管理員不得隨意修改合法用戶的身份，確因工作需要應(yīng)得到主管領(lǐng)導(dǎo)的批準(zhǔn)。5.12.1.5 系統(tǒng)管理員應(yīng)遵守保密制度，不泄漏企業(yè)信息。 5.12.2 用戶的職責(zé)和義務(wù)5.12.2.1 用戶有權(quán)以自己合法的身份使用應(yīng)用系統(tǒng)。5.12.2.2 用戶不得盜用其他人的身份登陸網(wǎng)絡(luò)或進(jìn)入應(yīng)用系統(tǒng)，確因工作需要需征得本人的同意。5.12.2.3 用戶應(yīng)保管好自己的密碼，并三個(gè)月更換一次密碼，以保證數(shù)據(jù)安全。5.13 重大操作事項(xiàng)審批制度5.13.1 涉及到服務(wù)器系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫安全的操作應(yīng)填寫重大操作事項(xiàng)審批表附錄I，任何人不得擅自更改運(yùn)行系統(tǒng)的相關(guān)配置。5.13.2 部門負(fù)責(zé)人應(yīng)組織相關(guān)人員及專家討論操作的必要性和可行性，制定安全措施和操作步驟。5.13.3 經(jīng)批準(zhǔn)的重大操作需做充分的實(shí)驗(yàn)和準(zhǔn)備，并驗(yàn)證其可行和安全后，由兩人以上共同操作。5.13.4 對(duì)管理軟件的重大操作和維護(hù)應(yīng)執(zhí)行重大操作審批制度，不允許對(duì)運(yùn)行的軟件進(jìn)行 直接調(diào)試和試 5.13.5 在重大操作實(shí)施之前，應(yīng)做好系統(tǒng)的備份。在實(shí)施過程中，應(yīng)詳細(xì)記錄操作過程，以保證實(shí)施過程 發(fā)生意外時(shí)能將系統(tǒng)恢復(fù)到實(shí)施前的運(yùn)行狀況。5.14落實(shí)安全責(zé)任5.14.1 對(duì)于新上崗信息管理人員，應(yīng)進(jìn)行崗位培訓(xùn)，培訓(xùn)崗位標(biāo)準(zhǔn)、計(jì)算機(jī)管理制度、操作規(guī)程，落實(shí)安全職責(zé)。5.15 質(zhì)量改進(jìn)5.15.1 對(duì)于發(fā)生的系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器故障，應(yīng)按照質(zhì)量保證體系的要求，采取質(zhì)量改進(jìn)措施。5.16 網(wǎng)站建設(shè)5.16.1 信息管理部門負(fù)責(zé)對(duì)網(wǎng)站的維護(hù)、更新、推廣，負(fù)責(zé)對(duì)外欄目及管理文檔欄目管理密碼以及訪問密碼的設(shè)置。5.16.2 網(wǎng)站改版基本為每兩年改版一次，由信息管理部門提供改版方案，由管理代表審批（具體審批流程、審批權(quán)限財(cái)務(wù)審批制度），將通過審批的改版方案及要求下達(dá)到網(wǎng)站開發(fā)商（公司網(wǎng)站由網(wǎng)站開發(fā)商