機(jī)房管理制度范本

1、CMT-OP-IT002共16頁(yè) 第 頁(yè) 生效日期：2008-04-05標(biāo)題：信息安全制度版本：A 版.IT室信息安全制度1、目的為了對(duì)信息安全工作進(jìn)行有效地管理，防止由于各種原因造成泄密行為的發(fā)生，維護(hù)公司利益，保證公司生產(chǎn)經(jīng)營(yíng)的順利進(jìn)行，特制定本規(guī)定。2、適用X圍本規(guī)定適應(yīng)于操作部IT室所有員工，提供服務(wù)的外包商、承包商、供應(yīng)商以及其它被公司授權(quán)使用軟件系統(tǒng)、計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的其它單位。3、職責(zé)3.1.IT經(jīng)理3.1.1對(duì)信息安全提出制定、實(shí)施要求，并監(jiān)督制定、實(shí)施全過(guò)程，定期審計(jì)信息安全實(shí)施管理進(jìn)度、效果。3.1.2 對(duì)提報(bào)的電子信息是否涉密和涉密級(jí)別的初步方案進(jìn)行最終確定。3.2.維管

2、組3.2.1負(fù)責(zé)制定計(jì)算機(jī)信息安全管理要求。3.2.2對(duì)內(nèi)部的員工進(jìn)行安全教育，定期對(duì)內(nèi)部的人員的安全工作進(jìn)行考核。3.2.3對(duì)提報(bào)的電子信息是否涉密和涉密級(jí)別的初步方案進(jìn)行初步確定。3.3.IT室員工3.3.1.項(xiàng)目實(shí)施方案、流程、數(shù)據(jù)等涉密電子信息的實(shí)施者、使用者、管理者為該電子信息的XX直接責(zé)任人。3.3.2.IT室全體成員均有保守企業(yè)秘密和發(fā)現(xiàn)有泄密隱患進(jìn)行報(bào)告的義務(wù)。3.3.3.有接受企業(yè)提供的安全培訓(xùn)，簽訂安全承諾協(xié)議并承諾保守XX的義務(wù)。4、定義企業(yè)秘密是指企業(yè)在生產(chǎn)、經(jīng)營(yíng)、科研活動(dòng)中所產(chǎn)生的，不為公眾知悉，能為企業(yè)帶來(lái)經(jīng)濟(jì)效益，一旦泄露會(huì)給企業(yè)帶來(lái)?yè)p害，并且具有實(shí)用性，已經(jīng)企業(yè)

3、采取XX措施的工作部署、技術(shù)工藝、產(chǎn)品開(kāi)發(fā)和研制、營(yíng)銷策略的情況、企業(yè)管理體制、生產(chǎn)動(dòng)向和計(jì)劃、經(jīng)濟(jì)統(tǒng)計(jì)和財(cái)會(huì)數(shù)據(jù)等信息及其記錄的載體。5、 信息密級(jí)劃分 5.1.參考國(guó)家XX條例，將IT室的數(shù)據(jù)/文檔信息劃分為絕密、XX、秘密和非密四個(gè)類別四個(gè)類別。5.2.所有的文檔/文件在制作之前都必須區(qū)分密級(jí)，信息數(shù)據(jù)根據(jù)密級(jí)確定專人專管，察看翻閱密級(jí)為"秘密"以上數(shù)據(jù)信息的需經(jīng)IT經(jīng)理許可。6、辦公室信息安全要求6.1.不得在顯示器和辦公桌等明顯處粘貼寫(xiě)了重要口令的便簽。6.2.辦公室電腦都應(yīng)設(shè)置復(fù)雜口令，特別要注意具有管理員權(quán)限的用戶。密碼不得隨意泄露，離開(kāi)微機(jī)后必須鎖定系統(tǒng)。6

4、.3.一般情況不得共享文件夾，如因工作需要信息共享，必須采取加復(fù)雜的口令，使用完成要取消共享。6.4.在接收時(shí)要建立良好的安全習(xí)慣，具有一定的警惕性，對(duì)一些來(lái)歷不明的不要打開(kāi)其，要立即刪除。6.5.所有單獨(dú)在房間的員工，在離開(kāi)辦公室時(shí)必須鎖門。6.6.員工離開(kāi)座位較長(zhǎng)時(shí)間或下班后，辦公桌不能留有密級(jí)為秘密以上的文件。6.7.在員工調(diào)離或離職時(shí)，所有的訪問(wèn)權(quán)限必須交還（包括但不限于員工卡、辦公室鑰匙、公司提供的辦公設(shè)備和介質(zhì)等）。6.8.任何文件材料都必須妥善處理,廢棄文件一律采取粉碎處理,不得隨意丟棄。7、接待管理在未經(jīng)IT經(jīng)理許可的情況下，不允許有以下活動(dòng)：7.1.未獲得許可，不允許私自帶領(lǐng)

5、企業(yè)之外，或者與本部門無(wú)關(guān)的人員參觀IT辦公室、機(jī)房、監(jiān)控室、測(cè)試室、設(shè)備間等區(qū)域。7.2.未獲得許可，不允許接受任何的外部的訪談、咨詢或調(diào)查，書(shū)面的調(diào)查和咨詢，以及類似的要求。7.3.未獲得許可，不允許對(duì)外介紹企業(yè)現(xiàn)有的應(yīng)用系統(tǒng)，應(yīng)用的技術(shù)細(xì)節(jié)，操作流程等。7.4.未獲得許可，不允許對(duì)外介紹應(yīng)用的軟件的名稱、數(shù)量和分布等信息；7.5.未獲得許可，不允許對(duì)外介紹我們使用的硬件的名稱，數(shù)量和分布等信息；8、應(yīng)用系統(tǒng)安全要求8.1.新用戶申請(qǐng)企業(yè)內(nèi)部員工使用系統(tǒng)前必須經(jīng)過(guò)培訓(xùn)，并經(jīng)考試合格才能申請(qǐng)，填寫(xiě)申請(qǐng)單，由所在部門主管和IT主管簽字方可開(kāi)戶。客戶、外包商申請(qǐng)用戶需經(jīng).方可開(kāi)戶。8.2.權(quán)限申

6、請(qǐng)及變更用戶崗位確定后方可申請(qǐng)或變更權(quán)限；需經(jīng)所在部門主管和IT主管簽字方可申請(qǐng)或變更權(quán)限。8.3.系統(tǒng)密碼要求告知用戶獲得ID后必須修改密碼。密碼不能低于6位；應(yīng)盡量包含字母、數(shù)字、標(biāo)點(diǎn)等多種組合；不能將用戶名、生日等作為密碼的一部分。9、網(wǎng)絡(luò)信息安全10、數(shù)據(jù)備份 為了實(shí)現(xiàn)確定的恢復(fù)功能，當(dāng)發(fā)生地震、水災(zāi)、火災(zāi)等不可抗拒的自然災(zāi)害或由于人為原因造成系統(tǒng)災(zāi)難性故障時(shí)，能保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)正常運(yùn)行，重要業(yè)務(wù)系統(tǒng)的系統(tǒng)管理員或者數(shù)據(jù)管理員，必須在系統(tǒng)正常運(yùn)行時(shí)定期地或按照某種條件實(shí)施相應(yīng)的數(shù)據(jù)的備份。根據(jù)不同的恢復(fù)要求，應(yīng)有以下形式的備份：10.1.增量信息備份，由系統(tǒng)定時(shí)對(duì)新增信息進(jìn)行備份

7、。10.2.局部系統(tǒng)備份，對(duì)某些重要的局部系統(tǒng)進(jìn)行定期備份。10.3.熱備份，對(duì)系統(tǒng)的重要設(shè)備進(jìn)行冗余設(shè)置，并在必要時(shí)能立即投入使用。10.4.全系統(tǒng)備份，定期對(duì)全系統(tǒng)的運(yùn)行現(xiàn)場(chǎng)進(jìn)行備份。10.5.建立容災(zāi)機(jī)房，使備份數(shù)據(jù)保存的物理位置應(yīng)該與業(yè)務(wù)系統(tǒng)服務(wù)器所在的物理位置有明顯的區(qū)別，以保證以外發(fā)生的時(shí)候，已經(jīng)備份的數(shù)據(jù)不會(huì)丟失。11、涉密電子信息泄密的處罰11.1.IT室全體成員均有保守企業(yè)秘密、和發(fā)現(xiàn)有泄密隱患進(jìn)行報(bào)告的義務(wù).11.2.對(duì)泄密的直接責(zé)任人和間接責(zé)任人，IT室上報(bào)公司并根據(jù)公司和國(guó)家有關(guān)法律、法規(guī)視情節(jié)輕重進(jìn)行行政處分或經(jīng)濟(jì)處罰。情節(jié)嚴(yán)重的，移交國(guó)家政法部門追究刑事責(zé)任；12、

8、附：常見(jiàn)泄密途徑及保護(hù)辦法 12.1.常見(jiàn)泄密途徑12.1.1.存放涉密電子信息的計(jì)算機(jī)安全防護(hù)不到位（比如密碼簡(jiǎn)單、系統(tǒng)存在漏洞等）被黑客主動(dòng)盜得。12.1.2.利用存放涉密電子信息的計(jì)算機(jī)上internet網(wǎng)，感染了木馬病毒，信息被木馬病毒傳播出去。12.1.3.涉密電子信息通過(guò)互聯(lián)網(wǎng)電子等形式傳遞過(guò)程中被截取。12.1.4.存放涉密電子信息的外部介質(zhì)（磁盤、U盤等）存放和管理不得位，被其他人員（同事或外公司人員）獲得。12.1.5.與外公司在項(xiàng)目洽談、項(xiàng)目實(shí)施過(guò)程中被外公司人員獲得。12.1.6.涉密電子信息的使用和管理人員離開(kāi)公司將涉密電子信息帶走。12.1.7.涉密電子信息的使用和管理人員故意泄密。二、保護(hù)方法：12.2.1.存放涉密電子信息的計(jì)算機(jī)要建立臺(tái)帳重點(diǎn)控制，要求計(jì)算機(jī)維護(hù)人員定期檢查其安全性，杜絕一起安全隱患。12.2.2.存放涉密電子信息的計(jì)算機(jī)禁止上internet網(wǎng)，以防止信息通過(guò)internet網(wǎng)泄漏，防止感染木馬病毒。12.2.3.涉密電子信息禁止在沒(méi)有加密的狀態(tài)下通過(guò)互聯(lián)網(wǎng)電子等形式傳遞。12.2.4.存放涉密電子信息的外部介質(zhì)（磁盤、U盤等）的使用