信息系統(tǒng)反恐安全管理制度

1、信息系統(tǒng)反恐安全管理制度 1 目的 為了防止信息系統(tǒng)安全，滿足C-TPAT的相關(guān)要求。 2 適用范圍 涉及的計(jì)算機(jī)設(shè)備，包括計(jì)算機(jī)室計(jì)算機(jī)設(shè)備及計(jì)算機(jī)室負(fù) 責(zé)安裝在其它部門或單位的計(jì)算機(jī)設(shè)備。 3定義 無 4職責(zé)： 41 由專業(yè)人員負(fù)責(zé)所有微機(jī)的檢測(cè)和清理工作。 42 由計(jì)算機(jī)室的專業(yè)人員，根據(jù)上述作業(yè)計(jì)劃進(jìn)行檢測(cè)。 43 由經(jīng)理負(fù)責(zé)對(duì)防范措施的落實(shí)情況進(jìn)行監(jiān)督。 5工作程序 51 信息系統(tǒng)安全管理的要求： 5 11 一般工作部不安裝軟驅(qū)和光驅(qū)，如有安裝軟驅(qū)和光 驅(qū)的計(jì)算機(jī)，每次使用磁盤都要用殺毒軟件檢查。 5 12 對(duì)于聯(lián)網(wǎng)的計(jì)算器，任何人在未經(jīng)批準(zhǔn)的情況下， 不得向計(jì)算器內(nèi)拷入軟件或文檔。

2、 5 13 數(shù)據(jù)的備份由相關(guān)專業(yè)負(fù)責(zé)人管理是，備份用的軟 盤由專業(yè)負(fù)責(zé)人提供。 514 軟盤光盤等在使用前，必須確保無病毒。 5 15 計(jì)算器一經(jīng)發(fā)現(xiàn)病毒，應(yīng)立即通知計(jì)算機(jī)室專業(yè)人 員處理。 516 工操作員在離開前應(yīng)退出系統(tǒng)并關(guān)機(jī)。 5 17 任何人未經(jīng)操作員本人同意，不得使用他人的計(jì)算 機(jī)。 52 裝有軟驅(qū)的微機(jī)一律不得入網(wǎng)；對(duì)于尚未聯(lián)網(wǎng)計(jì)算機(jī)， 其軟件的安裝由計(jì)算機(jī)室負(fù)責(zé)、任何微機(jī)需安裝軟件時(shí)，由 相關(guān)人員負(fù)責(zé)人提出書面報(bào)告，經(jīng)經(jīng)理同意后，由計(jì)算機(jī)室 負(fù)責(zé)安裝； 軟件出現(xiàn)異常時(shí)， 應(yīng)通知計(jì)算機(jī)室專業(yè)人員處理； 所有微機(jī)不得安裝游戲軟件；數(shù)據(jù)的備份由相關(guān)專業(yè)負(fù)責(zé)人 管理，備份用的軟盤由專業(yè)

3、負(fù)責(zé)人提供。 53 硬件維護(hù)人員在拆卸微機(jī)時(shí)， 必須采取必要的防靜電措 施；硬件維護(hù)人員在作業(yè)完成后或準(zhǔn)備離去時(shí)，必須將所拆 卸的設(shè)備復(fù)原；要求各專業(yè)負(fù)責(zé)人認(rèn)真落實(shí)所轄微機(jī)及配套 設(shè)備的使用的保養(yǎng)責(zé)任；要求各專業(yè)負(fù)責(zé)人采取必要措施， 確保所用的微機(jī)及外設(shè)始終處于整潔和良好的狀態(tài)；所有帶 鎖的微機(jī)，在使用完畢或離去前必須上鎖；對(duì)于關(guān)鍵的計(jì)算 機(jī)設(shè)備應(yīng)配備必要的斷電保護(hù)電源。 54 各單位所轄微機(jī)的使用、清洗和保養(yǎng)工作，由相應(yīng)專業(yè) 負(fù)責(zé)人負(fù)責(zé)；各專業(yè)負(fù)責(zé)人必須經(jīng)常檢查所轄微機(jī)及外設(shè)的 狀況，及時(shí)發(fā)現(xiàn)和解決問題。 55 由于計(jì)算機(jī)設(shè)備已逐步成為我們工作中必不可少的重要 工作。因此，計(jì)算機(jī)部決定將計(jì)算

4、機(jī)的管理納入對(duì)各專業(yè)負(fù) 責(zé)人的考核范圍，并將嚴(yán)格實(shí)行。 5 51 凡是發(fā)現(xiàn)以下情況的，計(jì)算機(jī)部根據(jù)實(shí)際情況追究 當(dāng)事人及其直接領(lǐng)導(dǎo)的責(zé)任。 A. 計(jì)算機(jī)感染病毒 B. 私自安裝和使用未經(jīng)許可的軟件（含游戲） C. 微機(jī)具有密碼功能卻未使用； D. 離開微機(jī)卻未退出系統(tǒng)或關(guān)機(jī)； E. 擅自使用他人微機(jī)或外造成不良影響或損失； F. 沒有及時(shí)檢查或清潔計(jì)算機(jī)及相關(guān)外設(shè)。 5 52 凡發(fā)現(xiàn)由于以下作業(yè)而造成硬件的損壞或丟失的， 其損失由當(dāng)事人負(fù)責(zé)。 A. 違章作業(yè) B. 保管不當(dāng)擅自安裝、使用硬件、和電氣裝置。 5 6 員工的電子郵件可能會(huì)為企業(yè)網(wǎng)絡(luò)帶來好幾種漏洞， 例如收到不請(qǐng)自來的郵件卻毫無警惕

5、便直接打開其附件，或 是未對(duì)附件文件掃描是否有病毒藏匿其中便直接開啟文件 等等。此外，企業(yè)若不主動(dòng)將新的病毒庫(kù)派送到員工的計(jì)算 機(jī)上，強(qiáng)制施行公司制定的政策，而是安全信任員工隨意更 新自己計(jì)算機(jī)上的病毒庫(kù)，那么就算員工每次都很謹(jǐn)慎掃描 文件，確定沒有病毒后才打開文件，仍然有被病毒感染的風(fēng) 險(xiǎn)。更有甚者，若是放任不當(dāng)?shù)碾娮余]件、色情或其它具有 攻擊性的內(nèi)容在辦公室到處流竄，企業(yè)更有可能會(huì)面臨法律 上的種種問題。 57 密碼是大部份企業(yè)的主要弱點(diǎn)，因?yàn)槿藗兞斯?jié)省時(shí)間， 常常會(huì)共享或選擇簡(jiǎn)單的密碼。密碼若不夠復(fù)雜，便很容易 被別人猜測(cè)到并用來取得機(jī)密資料。其實(shí) 網(wǎng)絡(luò)安全的弱點(diǎn)還在于不是只有使用者有密

6、碼而已，若態(tài)度 不夠 謹(jǐn)慎，只要稍微運(yùn)用一下手碗便可讓他們吐露出來， 例如通過電話或電子郵件假裝一下，通常就能把員工的密碼 騙到手。 58 完全不知道如何防范各式各樣的安全漏洞。 例如通過社 交手段套取等等，便會(huì)使得企業(yè)門戶大開，容易受到各種攻 擊。未受到正確訓(xùn)練或不滿意工作的員工，更可能把企業(yè)獨(dú) 家或敏感資料泄露給競(jìng)爭(zhēng)對(duì)手等不應(yīng)該接觸的這些資料的 人。 59 企業(yè)應(yīng)決定由誰負(fù)責(zé)主導(dǎo)政策的制定與執(zhí)行，人事部門 則應(yīng)在員工的新進(jìn)訓(xùn)練時(shí)以書面告知公司的政策，待員工同 意后要求其簽名確認(rèn)已了解并愿意遵守公司相關(guān)規(guī)定，之后 必須嚴(yán)格執(zhí)行規(guī)定，絕對(duì)不能有例外。公司頌的政策內(nèi)，應(yīng) 明確制定違反規(guī)定的處罰細(xì)

7、則。一般而言，安全系統(tǒng)與網(wǎng)絡(luò) 管理人員應(yīng)該建構(gòu)安全防護(hù)機(jī)制，成立緊急應(yīng)變小姐以應(yīng)會(huì) 可能發(fā)生的漏洞，并與人事部門密切合作，隨時(shí)報(bào)告可疑的 狀況。 510 網(wǎng)絡(luò)的維護(hù) 5101 設(shè)立網(wǎng)際網(wǎng)絡(luò)使用規(guī)范，讓員工了解公司對(duì)員工個(gè) 人使用電子郵件與計(jì)算機(jī)的規(guī)定。此外，明確的網(wǎng)絡(luò)的使用 規(guī)范可提高 IT 人員設(shè)定與監(jiān)視網(wǎng)絡(luò)安全方案的效率。 5102 采及能夠掃描郵件是否含有不適當(dāng)內(nèi)容的技術(shù)，并 記錄違反公司管制規(guī)定的網(wǎng)絡(luò)行為。 5103 法律專家認(rèn)為，監(jiān)視員工的電子郵件與網(wǎng)絡(luò)行為在 公司而對(duì)法律訴訟時(shí)，有利于保護(hù)公司本身，因此企業(yè)應(yīng)當(dāng) 設(shè)立使用規(guī)范，并采用內(nèi)容監(jiān)視機(jī)制，保護(hù)員工不受任何騷 擾。 5104 訓(xùn)練員工了解如何應(yīng)該及時(shí)下載最新的防毒更新資 料，如何辨認(rèn)電腦是否有可能中毒，并教導(dǎo)員工如何開啟檔 案之前掃描檔案是否有病毒。 5105 修補(bǔ)軟件的漏洞，降低病毒透過網(wǎng)面或電子郵件滲 入企業(yè)網(wǎng)絡(luò)的機(jī)會(huì)。 制定密碼使用規(guī)范，要求員工經(jīng)常更換密碼，并教育員工防 范社交欺騙手段，要求他們無