公司信息安全管理辦法

1、XXXX有限公司（籌）信息安全管理辦法（試行）第一章總則第一條 為完善公司信息化管理工作，確保公司信息安全，提高信息化管理工作的現(xiàn)代化水平，特制訂本辦法。第二條 本辦法適用于公司全部計算機(jī)和信息系統(tǒng)安全管理工作。第二章信息安全管理第三條設(shè)備安全管理1. 設(shè)備安全管理是指對支撐公司信息系統(tǒng)正常運(yùn)作的基礎(chǔ)硬件設(shè)備進(jìn)行的安全管理工作?；A(chǔ)硬件設(shè)備包括：服務(wù)器、交換機(jī)、 路由器、磁盤陣列、 UPS電源和綜合布線等。2. 公司信息系統(tǒng)中使用的基礎(chǔ)硬件設(shè)備均須符合相關(guān)的行業(yè)標(biāo)準(zhǔn)并具備完整的技術(shù)文檔（說明書、合格證、保修卡等）。3. 設(shè)備的操作使用按照設(shè)備的使用說明書和相關(guān)操作規(guī)程進(jìn)行，禁止非法操作。4.

2、信息系統(tǒng)中的關(guān)鍵設(shè)備須配置備機(jī)備件，保障信息系統(tǒng)運(yùn)行的連續(xù)性。第四條 網(wǎng)絡(luò)安全管理1. 網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。保護(hù)信息在傳輸、交換和存儲過程中的保密性、完整性、可用性和真實(shí)性。2. 網(wǎng)絡(luò)安全管理須建立健全網(wǎng)絡(luò)安全體系，統(tǒng)一制定公司的網(wǎng)絡(luò)安全策略和技術(shù)方案，網(wǎng)絡(luò)安全策略遵循技術(shù)保護(hù)和管理保護(hù)相結(jié)合的原則。3. 網(wǎng)絡(luò)系統(tǒng)的規(guī)劃建設(shè)均須符合國家、行業(yè)相關(guān)標(biāo)準(zhǔn)的安全要求，達(dá)到規(guī)定的安全等級。4. 網(wǎng)絡(luò)系統(tǒng)管理要采用統(tǒng)一的配置策略和安全策略。5. 網(wǎng)絡(luò)系統(tǒng)管理要建立完整的網(wǎng)絡(luò)技術(shù)文檔。6. 關(guān)鍵網(wǎng)絡(luò)設(shè)

3、備須開啟日志記錄和審計功能，達(dá)到防抵賴、防篡改和防竊取的目的。7. 變更、升級網(wǎng)絡(luò)系統(tǒng)時，要對變更、升級項目進(jìn)行評估，保障網(wǎng)絡(luò)系統(tǒng)的安全策略不受影響。8. 所有可配置的網(wǎng)絡(luò)設(shè)備按最小安全訪問原則設(shè)置訪問控制權(quán)限， 關(guān)閉不必要的端口及服務(wù)， 避免各類安全隱患。9. 接入外部網(wǎng)絡(luò)要安裝硬件防火墻、安全網(wǎng)關(guān)或其它安全設(shè)備，對非法數(shù)據(jù)流進(jìn)行限制， 避免遭受病毒和外部攻擊。10. 定期對防火墻、安全網(wǎng)關(guān)、路由器等網(wǎng)絡(luò)安全設(shè)備的安全配置、過濾規(guī)則進(jìn)行梳理，修正不當(dāng)配置。對服務(wù)器上的應(yīng)用進(jìn)行排查，關(guān)閉與業(yè)務(wù)無關(guān)的服務(wù)。定期檢查防火墻、安全網(wǎng)關(guān)、路由器等網(wǎng)絡(luò)安全設(shè)備的安全策略，并根據(jù)有關(guān)部門發(fā)布的信息安全警報

4、及時完善、更新安全策略。11. 禁止未經(jīng)授權(quán)的計算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)、發(fā)布不真實(shí)的信息、有意散布計算機(jī)病毒、不以真實(shí)身份使用網(wǎng)絡(luò)資源等非法行為。第五條 機(jī)房安全管理1. 機(jī)房安全管理是指保障機(jī)房的規(guī)劃設(shè)計、建設(shè)和管理達(dá)到國家、行業(yè)相關(guān)安全要求的管理工作。2. 機(jī)房安全管理要遵循規(guī)范化、實(shí)用性、責(zé)任制、集中統(tǒng)一管理的原則。3. 對不能停機(jī)的機(jī)房必須采取雙回路供電，或者配置持續(xù)工作半小時以上 UPS設(shè)備。4. 禁止在機(jī)房內(nèi)吸煙、進(jìn)食、嬉戲等，進(jìn)出機(jī)房隨手關(guān)門。5. 機(jī)房管理人員每日定時對機(jī)房的供電、空調(diào)、網(wǎng)絡(luò)和其它重要設(shè)備進(jìn)行巡檢，并填寫機(jī)房巡檢日志。6. 嚴(yán)禁易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體

5、物質(zhì)及其它與機(jī)房工作無關(guān)的物品進(jìn)入機(jī)房。禁止在機(jī)房內(nèi)堆放與信息系統(tǒng)運(yùn)行無關(guān)的物品。7. 服務(wù)器、交換機(jī)、路由器和磁盤陣列等核心設(shè)備應(yīng)放置在機(jī)房內(nèi)集中管理，外來設(shè)備進(jìn)入機(jī)房須履行登記審批手續(xù)，不得自行配置或更換。第六條 數(shù)據(jù)安全管理1. 公司信息管理部和系統(tǒng)外包開發(fā)商在進(jìn)行系統(tǒng)開發(fā)時，開發(fā)環(huán)境應(yīng)當(dāng)和生產(chǎn)環(huán)境嚴(yán)格分離，軟件開發(fā)人員只能在開發(fā)環(huán)境系統(tǒng)上工作。2. 對于外來存儲介質(zhì)、電子數(shù)據(jù)文件必須進(jìn)行病毒檢查，確認(rèn)沒有病毒后，才能在公司服務(wù)器上使用，以防止病毒對公司信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的破壞。3. 軟件開發(fā)人員、系統(tǒng)管理員等與公司計算機(jī)系統(tǒng)有關(guān)的工作人員調(diào)離公司時，必須移交全部技術(shù)開發(fā)手冊、源代碼及相關(guān)技術(shù)資料。4. 未經(jīng)公司批準(zhǔn)，任何人不得自行從公司信息系統(tǒng)中下載數(shù)據(jù)提供給外部機(jī)構(gòu)或個人。第七條 信息系統(tǒng)密碼安全管理1. 信息系統(tǒng)用戶均應(yīng)設(shè)置密碼，以防止他人越權(quán)操作。由于泄露密碼或密碼保管不當(dāng)而對公司造成損失的，公司將追究有關(guān)當(dāng)事人責(zé)任。2. 未經(jīng)授權(quán)，不得使用他人賬號和密碼進(jìn)入公司信息系統(tǒng)進(jìn)行操