信息安全管理制度

1、*公司信息安全管理制度青島*公司集成股份有限公司二零一五年一月*公司信息安全管理制度1.總則為了切實有效的保證公司信息系統(tǒng)安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務能力，特制定信息系統(tǒng)相關管理制度，設定管理部門及專業(yè)管理人員對公司整體信息系統(tǒng)進行管理，以保證公司信息系統(tǒng)的正常運行。2范圍2.1 計算機網(wǎng)絡系統(tǒng)由基礎線路、計算機硬件設備、軟件及各種終端設備的網(wǎng)絡系統(tǒng)配置組成。2.2 軟件包括：PC操作系統(tǒng)、數(shù)據(jù)庫及應用軟件、有關專業(yè)的網(wǎng)絡應用軟件等。2.3 終端機的網(wǎng)絡系統(tǒng)配置包括終端機在網(wǎng)絡上的名稱，IP地址分配，用戶登錄名稱、用戶密碼、U8設置、OA地址設置及Internet的配置等。2.4 系

2、統(tǒng)軟件是指: 操作系統(tǒng)（如 WINDOWS XP等）軟件。2.5平臺軟件是指:設計平臺工具（如AUTOCAD等）、辦公用軟件（如OFFICE）等平臺軟件。2.6管理軟件是指：生產(chǎn)和財務管理用軟件（如用友U8軟件）。2.7基礎線路是指：聯(lián)系整個信息系統(tǒng)的所有基礎線路，包括公司內部的局域網(wǎng)線路及相關管路。3職責3.1 公司設立信息管理部門，直接隸屬于分管生產(chǎn)副總經(jīng)理，設部門經(jīng)理一名。3.2 信息管理部門為網(wǎng)絡安全運行的歸口部門，負責計算機網(wǎng)絡系統(tǒng)的日常維護和管理。3.3 負責系統(tǒng)軟件的調研、采購、安裝、升級、保管工作。3.4 負責軟件有效版本的管理。3.5 信息管理部門為計算機系統(tǒng)、網(wǎng)絡、數(shù)據(jù)庫安

3、全管理的歸口管理部門。3.6 信息管理人員負責計算機網(wǎng)絡、辦公自動化、生產(chǎn)經(jīng)營各類應用軟件的安全運行；服務器安全運行和數(shù)據(jù)備份；internet對外接口安全以及計算機系統(tǒng)防病毒管理；各種軟件的用戶密碼及權限管理；協(xié)助職能科室進行數(shù)據(jù)備份和數(shù)據(jù)歸檔（如財務、生產(chǎn)、設計、采購、銷售等）。 3.7 信息管理人員執(zhí)行企業(yè)保密制度，嚴守企業(yè)商業(yè)機密。3.8員工執(zhí)行計算機安全管理制度，遵守企業(yè)保密制度。3.9系統(tǒng)管理員的密碼必須由信息管理部門相關人員掌握。3.10 負責公司網(wǎng)絡系統(tǒng)基礎線路的實施及維護。4管理4.1網(wǎng)絡系統(tǒng)維護4.1.1 系統(tǒng)管理員每日定時對機房內的網(wǎng)絡服務器、各類生產(chǎn)經(jīng)營應用的數(shù)據(jù)庫服務

4、器及相關網(wǎng)絡設備進行日常巡視，并填寫網(wǎng)絡運行日志附錄A記錄各類設備的運行狀況及相關事件。4.1.2 對于系統(tǒng)和網(wǎng)絡出現(xiàn)的異?，F(xiàn)象信息管理部應及時組織相關人員進行分析，制定處理方案，采取積極措施，并如實將異?，F(xiàn)象記錄在網(wǎng)絡運行日志附錄A。針對當時沒有解決的問題或重要的問題應將問題描述、分析原因、處理方案、處理結果、預防措施等內容記錄在網(wǎng)絡問題處理跟蹤表附錄B上。部門負責人要跟蹤檢查處理結果。4.1.3 定時對相關服務器數(shù)據(jù)備份進行檢查。（包括對系統(tǒng)的自動備份及季度或年度數(shù)據(jù)的刻盤備份等）4.1.4 定時維護OA服務器，及時組織清理郵箱，保證服務器有充足空間，OA系統(tǒng)能夠正常運行。4.1.5 維護

5、Internet 服務器，監(jiān)控外來訪問和對外訪問情況，如有安全問題，及時處理。4.1.6 制定服務器的防病毒措施，及時下載最新的防病毒疫苗，防止服務器受病毒的侵害。4.2 客戶端維護4.2.1 按照人事部下達的新員工（或外借人員）姓名、分配單位、人員編號為新的計算機用戶分配計算機名、IP地址等。4.2.1.1帳號申請新員工（或外借人員）需使用計算機向部門主管提出申請經(jīng)批準由信息部門負責分配計算機、OA的ID和郵箱。如需使用專業(yè)軟件（財務軟件等）則向財務主管申請，由財務主管分配權限和帳號密碼，信息管理部人員負責軟件客戶端的安裝調試。4.2.1.2 使用4.2.1.3 帳號注銷：員工離職應將本人所

6、使用的計算機名、IP地址、用戶名、登錄密碼、生產(chǎn)經(jīng)營專用軟件等軟件信息以書面形式記錄，經(jīng)信息管理人員核實并將該記錄登記備案。信息管理人員對離職人員的公司資料信息備份以及拿到人事部門的員工離職通知單，方可對該離職人員所用的帳號信息刪除。4.2.4 網(wǎng)絡用戶不得隨意移動信息點接線。因房屋調整確需移動或增加信息點時，應由計算機管理人員統(tǒng)一調整，并及時修改“網(wǎng)絡結構圖”。4.2.5 為客戶機安裝防病毒軟件，并通知和協(xié)助網(wǎng)絡用戶升級防病毒疫苗。4.3 系統(tǒng)及平臺軟件的管理4.3.1 系統(tǒng)及平臺軟件采購4.3.1.1 由信息管理員提出相關系統(tǒng)軟件的采購及升級申請，填寫軟件引進、升級審批表附錄D，經(jīng)部門主管

7、及公司領導批準后采購。4.3.1.2 應將原始盤片、資料、合同及發(fā)票復制件歸檔案保存，以備日后查詢等。4.3.1.3 應辦理軟件注冊手續(xù)，并將軟件認證號碼、經(jīng)銷商和技術支持商相關信息填入軟件信息表附錄C。4.3.2 系統(tǒng)、平臺軟件的管理4.3.2.1 信息管理人員負責軟件的安裝。4.3.2.2 信息管理部門保存和使用軟件的復制盤片，也可根據(jù)需要從檔案借出原始盤片，復制相關資料留存使用。 4.3.2.3 信息管理人員應及時下載系統(tǒng)及平臺軟件的相關補丁程序，并與原系統(tǒng)進行配套管理和使用。4.3.2.4 信息管理員負責將軟件商信息記錄在軟件信息表附錄C，就軟件技術問題與軟件商聯(lián)系，并負責軟件的升級。

8、4.4 軟件維護4.4.1 用戶向信息管理人員提交軟件維護請求。接到請求的信息管理人員應及時提供維護服務，并填寫維護記錄附錄E。4.4.2 對于較復雜的問題，處理人應及時與信息管理員溝通，信息管理員組織研究解決方案，及時處理問題。4.4.3 應記錄處理問題的方案及結果，信息管理員定期組織交流，總結匯總各種軟件的問題，以便改進軟件，積累經(jīng)驗，提高處理問題的技術水平。4.5 軟件的借用4.5.1 用戶需自行安裝系統(tǒng)和專業(yè)軟件時，應填寫軟件借用記錄附錄F，辦理借用手續(xù)。4.6軟件有效版本管理4.6.1 信息管理員應建立系統(tǒng)、平臺、專業(yè)、管理軟件的有效版本清單，并定期發(fā)布，格式見軟件有效版本清單附錄G

9、。4.7 數(shù)據(jù)備份管理 4.7.1 服務器數(shù)據(jù)備份4.7.1.1每周應至少做一次U8、金碟數(shù)據(jù)的備份，并在備份服務器中進行邏輯備份的驗證工作，經(jīng)過驗證的邏輯備份存放在不同的物理設備中，至少同時保留兩個完整的數(shù)據(jù)備份。4.7.1.2 每周至少對文件服務器和財務等生產(chǎn)經(jīng)營用服務器做一次數(shù)據(jù)備份。4.7.1.3 應對數(shù)據(jù)庫進行自動實時備份。4.7.1.4自動或手工備份的數(shù)據(jù)應在數(shù)據(jù)庫故障時能夠準確恢復。4.7.2 管理信息的備份4.7.2.1 各部門應定時對管理數(shù)據(jù)進行備份。4.7.2.2 每年的1或2月份，計算機人員應協(xié)助職能科室對上一年度的管理數(shù)據(jù)進行備份、標識并歸檔。4.8 計算機病毒防治4.

10、8.1 在服務器和客戶端微機上安裝病毒自動檢測程序和防病毒軟件，信息管理人員應及時下載防病毒疫苗，用戶應及時下載疫苗并檢測、殺毒。4.8.2 在向微機及服務器拷貝或安裝軟件前，首先要進行病毒檢測。如用戶經(jīng)管理代表批準安裝外來軟件，應經(jīng)過計算機人員對安裝軟件進行防病毒檢測。4.8.3 對于外來的圖紙和文件，在使用前要進行病毒監(jiān)測。4.8.4 送外維修和欲聯(lián)網(wǎng)的計算機必須經(jīng)過病毒檢測后，方可聯(lián)入網(wǎng)絡。4.8.5 為了防止病毒侵蝕，員工和信息管理人員不得從internet網(wǎng)下載游戲及與工作無關的軟件，不得在服務器或關鍵客戶端微機上安裝、運行游戲軟件。4.9 文件服務器的管理4.9.1 文件服務器中為

11、用戶預留了一定的存儲空間，存放重要文件、設計圖紙和階段成果，以避免在本地硬盤遭到損壞時丟失文件。4.10 系統(tǒng)保密制度4.10.1 系統(tǒng)管理員的職責和義務4.10.1.1 系統(tǒng)管理員應由主管領導批準設立，具有系統(tǒng)管理員權限的用戶應對所管理系統(tǒng)的安全負責。4.10.1.2 系統(tǒng)管理員不得擅自泄露其他用戶的用戶名及密碼，不得為員工檢索其他人員信息和企業(yè)保密信息。4.10.1.3 因工作需要，經(jīng)主管領導批準，系統(tǒng)管理員可以為用戶檢索、打印企業(yè)信息，但應妥善保管打印件，并對作廢內容及時銷毀。4.10.1.4系統(tǒng)管理員不得隨意修改合法用戶的身份，確因工作需要應得到主管領導的批準。4.10.1.5 系統(tǒng)管

12、理員應遵守保密制度，不泄漏企業(yè)信息。 4.10.2 用戶的職責和義務4.10.2.1 用戶有權以自己合法的身份使用應用系統(tǒng)。4.10.2.2 用戶不得盜用其他人的身份登陸網(wǎng)絡或進入應用系統(tǒng)，確因工作需要需征得本人的同意。4.10.2.3 用戶應保管好自己的密碼，并三個月更換一次密碼，以保證數(shù)據(jù)安全。4.11 重大操作事項審批制度4.11.1 涉及到服務器系統(tǒng)、網(wǎng)絡、數(shù)據(jù)庫安全的操作應填寫重大操作事項審批表附錄I，任何人不得擅自更改運行系統(tǒng)的相關配置。4.11.2 部門負責人應組織相關人員及專家討論操作的必要性和可行性，制定安全措施和操作步驟。4.11.3 經(jīng)批準的重大操作需做充分的實驗和準備，

13、并驗證其可行和安全后，由兩人以上共同操作。4.11.4 對管理軟件的重大操作和維護應執(zhí)行重大操作審批制度，不允許對運行的軟件進行 直接調試和試運行。 4.11.5 在重大操作實施之前，應做好系統(tǒng)的備份。在實施過程中，應詳細記錄操作過程，以保證實施過程發(fā)生意外時能將系統(tǒng)恢復到實施前的運行狀況。4.12 基礎線路建設管理4.12.1 在進行網(wǎng)絡系統(tǒng)基礎線路新建或增加時，系統(tǒng)管理部門應會同相關部門及專業(yè)公司盡可能的從整體性、先進性、可拓展性等方面規(guī)劃建設，有公司網(wǎng)絡系統(tǒng)的可持續(xù)發(fā)展打下良好的基礎。4.12.2 基礎建設完成后，將基礎建設所涉及的圖紙、標識等竣工資料保管整齊，以備后續(xù)的增添及維護。4.

14、12.3 在日常維護中，如有增加或改變走線方向等，需在原有資料上作好相應更改。4.12.4 在重要線路或容易遭受破壞部位，應設立警示牌或其它警示標志，以保護基礎線路。4.13 質量改進4.13.1 對于發(fā)生的系統(tǒng)、網(wǎng)絡、服務器故障，應按照質量保證體系的要求，采取質量改進措施。4.14 網(wǎng)站建設4.14.1 信息管理部門負責對網(wǎng)站的維護、更新、推廣，負責對外欄目及管理文檔欄目管理密碼以及訪問密碼的設置。4.14.2 各部門設立一名信息采集員，每個月負責采集該部門的信息，交到信息管理部門，信息管理員負責將信息更新到網(wǎng)站。 *公司IT部 二零一五年一月附錄A:網(wǎng)絡運行日志日/月/年時:分問題記錄巡視

15、人簽字注：簡要記錄發(fā)現(xiàn)的問題及問題處理結果。針對當時沒有解決的問題或重要的問題應填寫“網(wǎng)絡問題處理跟蹤表”。附錄B:網(wǎng)絡問題處理跟蹤表網(wǎng)絡出現(xiàn)問題時間填表人問題描述：原因分析：處理方案：處理結果：預防措施：執(zhí)行人跟蹤人完成時間附錄C:軟件信息表序號名稱軟件名稱 采購日期軟件開發(fā)商信息聯(lián)系人電話附錄D:軟件引進、升級審批表軟件（項目）名稱 軟件開發(fā)單位申請部門負責人軟件引進、升級意向（軟件功能、引進的必要性等，由負責人填寫）： 簽署 年 月 日主管領導審批意見： 簽署: 年 月 日 附錄E:維護記錄申請人部門 申請時間維護需求： 簽字： 年 月 日 處理結果： 簽字： 年 月 日 維護驗收： 簽字： 年 月 日 用工用料明細工作內容（或設備名稱） 數(shù)量 備注（或單價）處理人協(xié)助處理人 耗時 注：本表適用于計算機管理人員對客戶端提供的操作系統(tǒng)、管理軟件、硬件設備的