信息安全管理制度個(gè)人桌面終端管理辦法

附件4：XXXX

個(gè)人桌面終端管理辦法（試行）1.總則為了加強(qiáng)XX公司個(gè)人桌面終端的安全使用，保證個(gè)人桌面終端操作系統(tǒng)、周邊硬件、通信設(shè)備、應(yīng)用系統(tǒng)的安全使用，切實(shí)防范和降低因桌面終端使用不當(dāng)，對(duì)信息系統(tǒng)或數(shù)據(jù)的訪問而帶來的安全風(fēng)險(xiǎn)，制定本辦法。本辦法適用于公司本部及所屬各單位辦公環(huán)境的所有個(gè)人桌面終端管理。公司范圍內(nèi)個(gè)人桌面終端設(shè)備自購入起直至報(bào)廢前的使用過程，應(yīng)按本辦法相關(guān)規(guī)定進(jìn)行管理。個(gè)人桌面終端定義：接入公司及所屬各單位網(wǎng)絡(luò)的用于辦公的各類計(jì)算機(jī)及所屬設(shè)備。2職責(zé)公司各部門各單位對(duì)本部門本單位名下的個(gè)人桌面終端設(shè)備負(fù)有管理責(zé)任，各級(jí)信息化管理職能部門對(duì)本辦法負(fù)有執(zhí)行監(jiān)督的責(zé)任，應(yīng)保證設(shè)備的安全合理使用。按照“誰使用，誰負(fù)責(zé)”的原則，使用人對(duì)配置給個(gè)人的桌面終端負(fù)有保管和安全使用的責(zé)任，其所保管桌面終端設(shè)備，正確操作使用。各部門各單位負(fù)責(zé)組織使用人參加相應(yīng)知識(shí)培訓(xùn)，以掌握個(gè)人終端設(shè)備的使用方法和了解相關(guān)管理規(guī)范。任何使用人在未經(jīng)他人許可的情況下，不能使用他人或其它未經(jīng)授權(quán)的個(gè)人桌面終端設(shè)備，也不得將所使用的個(gè)人桌面終端設(shè)備任意轉(zhuǎn)借他人。確因工作需要，使用人可以允許非公司人員在受監(jiān)控的情況下操作其負(fù)責(zé)的個(gè)人桌面終端設(shè)備，但該使用人應(yīng)承擔(dān)使用過程中的全部責(zé)任。個(gè)人桌面終端設(shè)備接入公司的辦公網(wǎng)絡(luò)前，由使用人根據(jù)工作需要提出增加終端的申請(qǐng)，并經(jīng)使用單位（部門）審批后通過桌面系統(tǒng)需求變更單報(bào)送相關(guān)部門批準(zhǔn)后方可接入。第三方用戶終端接入公司的辦公網(wǎng)絡(luò)按照《第三方人員管理辦法》執(zhí)行。使用人在個(gè)人桌面終端設(shè)備使用過程中,有責(zé)任及時(shí)通過故障報(bào)修方式（電話或網(wǎng)絡(luò)）向相關(guān)部門上報(bào)使用過程中發(fā)生的故障、錯(cuò)誤和各類安全事件，并應(yīng)當(dāng)協(xié)助維護(hù)人員工作。通信相關(guān)部門負(fù)有利用各種技術(shù)管理手段對(duì)所轄個(gè)人桌面終端設(shè)備進(jìn)行管理的職責(zé)，將定期或不定期的組織針對(duì)個(gè)人桌面終端設(shè)備相關(guān)軟硬件配置和使用情況的檢查。相關(guān)部門負(fù)有對(duì)使用人訪問互聯(lián)網(wǎng)的行為進(jìn)行監(jiān)控，并對(duì)違規(guī)行為進(jìn)行通報(bào)的責(zé)任個(gè)人桌面終端硬件管理保持良好的計(jì)算機(jī)使用辦公環(huán)境。使用人離開座位，應(yīng)鎖閉計(jì)算機(jī)屏幕，下班后，應(yīng)關(guān)閉計(jì)算機(jī)。使用人應(yīng)妥善保養(yǎng)自己使用個(gè)人桌面終端設(shè)備，包括鍵盤、鼠標(biāo)等，保持計(jì)算機(jī)設(shè)備清潔。不得私自拆卸、改裝個(gè)人桌面終端及其相關(guān)設(shè)備。個(gè)人桌面終端設(shè)備的使用管理新購入的終端設(shè)備必須經(jīng)過固定資產(chǎn)管理責(zé)任部門登記、編號(hào)、貼標(biāo)簽卡后，才能交使用部門或使用者領(lǐng)用；各部門領(lǐng)用的個(gè)人桌面終端設(shè)備應(yīng)有專人登記管理，定期清查，避免流失。部門或使用人應(yīng)對(duì)桌面終端設(shè)備妥善保管，防止盜竊及硬件損壞等情況的發(fā)生。若發(fā)生失竊，應(yīng)及時(shí)向保衛(wèi)部門報(bào)告。使用人不得將公司的個(gè)人桌面終端設(shè)備接入不安全的網(wǎng)絡(luò)環(huán)境中。3.5便攜機(jī)使用管理各部門配備使用的便攜機(jī)僅供生產(chǎn)及辦公使用，不得挪作私用。3.5.2便攜機(jī)應(yīng)加入密碼管理。便攜機(jī)失竊，使用人應(yīng)書面報(bào)告所在部門并向各單位資產(chǎn)管理部門進(jìn)行備案。3.6個(gè)人桌面終端設(shè)備因使用時(shí)間較長或嚴(yán)重?fù)p壞而無法修復(fù)及超過固定資產(chǎn)使用年限需要報(bào)廢的，由使用部門提出申請(qǐng)并按相關(guān)報(bào)廢流程辦理，對(duì)已批準(zhǔn)報(bào)廢的個(gè)人桌面終端設(shè)備應(yīng)在信通中心進(jìn)行數(shù)據(jù)清理后交由資產(chǎn)管理部門處理，使用部門無權(quán)自行處理。不得私自將公司所屬的個(gè)人桌面終端設(shè)備帶出，如有特殊需要，必須由設(shè)備使用部門主管書面授權(quán)后方可進(jìn)行。個(gè)人桌面終端軟件管理個(gè)人桌面終端設(shè)備上安裝、運(yùn)行的軟件都必須為正版軟件，未經(jīng)授權(quán)的軟件不得在個(gè)人桌面終端設(shè)備上安裝、運(yùn)行，在個(gè)人桌面上使用盜版軟件帶來的安全責(zé)任、法律責(zé)任由個(gè)人承擔(dān)。由公司購買的商業(yè)軟件安裝和使用必須遵從國家相關(guān)的法律并與軟件供應(yīng)商簽署合同，任何個(gè)人未經(jīng)許可不得將該軟件復(fù)制或安裝、使用于個(gè)人或其他非公司業(yè)務(wù)需要的領(lǐng)域。不得在個(gè)人桌面終端設(shè)備上安裝與工作無關(guān)的軟件。不得使用計(jì)算機(jī)玩電子游戲和聽音樂。不得在個(gè)人桌面終端設(shè)備上使用黑客、系統(tǒng)破解、端口掃描或口令破解等軟件。不得使用個(gè)人桌面終端制造和散布各種惡意電腦程序，包括電腦病毒、電腦木馬程序、電腦蠕蟲程序等。不得使用個(gè)人桌面終端執(zhí)行網(wǎng)絡(luò)或主機(jī)掃描、網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)拒絕服務(wù)攻擊。不得擅自監(jiān)控網(wǎng)絡(luò)流量，不得針對(duì)網(wǎng)絡(luò)上的設(shè)備和系統(tǒng)運(yùn)行安全測(cè)試工具和軟件。個(gè)人桌面終端數(shù)據(jù)管理個(gè)人桌面終端設(shè)備的安全保密規(guī)范依據(jù)公司《計(jì)算機(jī)信息系統(tǒng)安全和保密管理辦法》等相關(guān)規(guī)定執(zhí)行。使用人有責(zé)任保護(hù)所接觸到的含有公司相關(guān)的密級(jí)文檔、敏感資料（包括第三方數(shù)據(jù)）的文件、數(shù)據(jù)介質(zhì)、系統(tǒng)文檔等信息資產(chǎn)，任何部門或個(gè)人，未經(jīng)授權(quán)和許可，不得通過個(gè)人桌面終端設(shè)備調(diào)用、收集、存儲(chǔ)、傳送、打印或復(fù)制這些信息。不得使用互聯(lián)網(wǎng)（電話、傳真、未安裝加密設(shè)備的電腦網(wǎng)絡(luò)）傳遞敏感信息資料。使用人應(yīng)將一切含有敏感信息的移動(dòng)介質(zhì)保存在安全可靠的地方。當(dāng)相關(guān)介質(zhì)使用完成之后，應(yīng)將其中不再需要的敏感信息刪除。需要帶離辦公區(qū)域的含有敏感信息的介質(zhì)應(yīng)經(jīng)過各單位管理部門授權(quán)。在拷貝、打印敏感信息或資料時(shí)，使用人應(yīng)在拷貝、打印完畢后及時(shí)從相關(guān)外設(shè)中移除這些資料。在個(gè)人桌面終端設(shè)備送修、回收、更換或轉(zhuǎn)給其他人使用之前，所有包含公司保密的、受限的、敏感信息的，必須先進(jìn)行備份，然后刪除并格式化。已作廢的介質(zhì)、打印資料，由各部門負(fù)責(zé)處理。所有與工作有關(guān)的電子文件存放在本地的硬盤內(nèi)，重要的數(shù)據(jù)應(yīng)定期自動(dòng)采用U盤、光盤、移動(dòng)硬盤等介質(zhì)進(jìn)行異地存儲(chǔ)備份，應(yīng)確保異地存儲(chǔ)場(chǎng)所符合安全要求。終端內(nèi)部網(wǎng)絡(luò)使用管理所有個(gè)人桌面終端的網(wǎng)絡(luò)地址由網(wǎng)絡(luò)管理員統(tǒng)一管理，任何人不得私借、盜用、偽造其他計(jì)算機(jī)的網(wǎng)絡(luò)地址。應(yīng)避免在個(gè)人桌面終端設(shè)備上使用無限制的文件共享，避免信息泄露，因工作需要共享文件的要設(shè)口令并及時(shí)取消共不得私自安裝非規(guī)定的網(wǎng)絡(luò)協(xié)議。禁止在網(wǎng)絡(luò)上未得到許可的情況下使用別人的身份。未經(jīng)網(wǎng)絡(luò)管理員授權(quán)，不要在網(wǎng)絡(luò)上架設(shè)網(wǎng)絡(luò)設(shè)備，如交換機(jī)，路由器，無線設(shè)備等，不得私自在局域網(wǎng)中搭建子網(wǎng)，或使用代理服務(wù)器軟件供他人使用。接入局域網(wǎng)后，不能擅自使用調(diào)制解調(diào)器（ Modem）、ADSL、無線上網(wǎng)卡等設(shè)備將個(gè)人桌面終端設(shè)備與外部網(wǎng)絡(luò)連接。遠(yuǎn)程接入辦公系統(tǒng)的，應(yīng)采取公司提供的VPN網(wǎng)關(guān)安全措施。終端互聯(lián)網(wǎng)訪問和使用使用人訪問互聯(lián)網(wǎng)應(yīng)自覺遵守《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《維護(hù)互聯(lián)網(wǎng)安全的決定》等有關(guān)法律法規(guī)，如有違反應(yīng)由本人獨(dú)立承擔(dān)一切責(zé)任。7.2xxxx等未經(jīng)批準(zhǔn)的計(jì)算機(jī)禁止接入互聯(lián)網(wǎng)。有互聯(lián)網(wǎng)訪問權(quán)限的使用人必須規(guī)范自己的互聯(lián)網(wǎng)訪問行為，遵守道德上和法律上的規(guī)范。嚴(yán)禁在互聯(lián)網(wǎng)上做與工作無關(guān)的事情；嚴(yán)禁利用公司的終端設(shè)備訪問含有暴力、色情、反動(dòng)及其它含有有害內(nèi)容的網(wǎng)站；不得使用個(gè)人桌面終端傳播和散布破壞社會(huì)秩序的文章或政治性評(píng)論。禁止運(yùn)行與工作無關(guān)占用大量帶寬的應(yīng)用程序，如網(wǎng)絡(luò)視頻/音頻點(diǎn)播、大量文件的下載等。不得從網(wǎng)站下載、安裝、運(yùn)行任何來源不明的軟件，使用人下載、安裝和使用第三方的程序必須不違反公司的軟件版權(quán)規(guī)定。7.6不得在個(gè)人桌面終端中，私自設(shè)立WWW、FTP、BBS、NEWS、OnlineChat、文件或打印共享等互聯(lián)網(wǎng)服務(wù)。病毒和攻擊防范使用人必須確保其使用的終端設(shè)備上安裝了公司統(tǒng)一的防病毒軟件，并開啟windows自帶的防火墻軟件。防病毒軟件可在統(tǒng)一信息平臺(tái)上獲取和安裝。使用人不得擅自更改和刪除其所用操作系統(tǒng)和應(yīng)用軟件的安全設(shè)置和防病毒軟件、防火墻軟件的設(shè)置。應(yīng)在系統(tǒng)或技術(shù)人員的提示和幫助下，確保操作系統(tǒng)、應(yīng)用軟件、防病毒軟件、防火墻軟件等完成最新安全更新。對(duì)于以下的情況，使用人必須通過防殺病毒系統(tǒng)進(jìn)行掃描，確認(rèn)安全后才可以使用：通過互聯(lián)網(wǎng)下載文件和應(yīng)用程序；在共享網(wǎng)絡(luò)上傳輸下載的數(shù)據(jù)和應(yīng)用程序；拷貝光盤及其他移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)和應(yīng)用程序。通過電子郵件等方式收到的文件。使用人應(yīng)確保病毒防護(hù)軟件定期地自動(dòng)進(jìn)行系統(tǒng)掃描，并確保掃描完成，不得中止該定期掃描。應(yīng)關(guān)注公司關(guān)于安全補(bǔ)丁和病毒的統(tǒng)一信息平臺(tái)公告，個(gè)人桌面終端使用人應(yīng)及時(shí)按照公告和通知的指示安裝廠商正式發(fā)布的各種補(bǔ)丁程序，使用人應(yīng)確保防病毒軟件能及時(shí)完成病毒特征庫的更新。如果防病毒、防火墻軟件的正常運(yùn)行無法完成，應(yīng)及時(shí)撥打通信中心故障報(bào)修電話以獲得技術(shù)支持服務(wù)。使用人一旦發(fā)現(xiàn)終端出現(xiàn)可能由病毒或攻擊導(dǎo)致的異常系統(tǒng)行為或系統(tǒng)安全問題，應(yīng)立即停止一切操作，切斷網(wǎng)絡(luò)連接，并立即撥打相關(guān)部門故障報(bào)修電話以獲得支持?？诹詈兔艽a管理所有個(gè)人桌面終端，必須設(shè)定開機(jī)帳號(hào)口令和屏保密碼，賬號(hào)口令的設(shè)置必須符合下列要求，應(yīng)避免使用弱口令。9.1.1用戶口令長度不得低于8位?？诹铐氂蓴?shù)字、字母組成。9.1.3口令應(yīng)至少每90天進(jìn)行更新。賬號(hào)使用者在首次登錄系統(tǒng)時(shí)應(yīng)立即修改賬號(hào)口令。避免使用與個(gè)人有關(guān)數(shù)據(jù)（如生日、身份證字號(hào)、單位簡(jiǎn)稱、電話號(hào)碼、同事名字等）當(dāng)做口令。盡量避免使用一些常用的單詞（如常用術(shù)語，計(jì)算機(jī)術(shù)語，硬件軟件術(shù)語）作為口令。屏保密碼自動(dòng)啟動(dòng)時(shí)間應(yīng)設(shè)置為小于3分鐘?？诹钤谙到y(tǒng)中保存或傳輸時(shí),必須采取安全措施以保證賬號(hào)的安全性,例如對(duì)口令進(jìn)行加密等.除非可以安全保管，否則不得將口令記錄在紙張等一切可視介質(zhì)上。賬號(hào)、口令等用于身份識(shí)別的工具僅限于所屬的使用人使用，任何個(gè)人不得擅自與他人共用，或者隨意傳播。不應(yīng)將口令告訴任何人，包括系統(tǒng)管理員。不得私下互相轉(zhuǎn)讓、借用個(gè)人賬號(hào)、操作員IC卡。一旦有跡象表明口令可能被泄露，用戶必須立即修改口個(gè)人桌面終端安全使用個(gè)人桌面終端在無人使用時(shí)，使用人應(yīng)將其設(shè)置于未登錄狀態(tài)避免非法訪問的發(fā)生；若長時(shí)間不使用，應(yīng)將其電源關(guān)閉。未經(jīng)許可，不得隨意使用他人的桌面終端設(shè)備。使用人使用個(gè)人桌面終端，必須按照統(tǒng)一的命名規(guī)則命名主機(jī)名；命令規(guī)則必須包含部門、辦公室編號(hào)、序號(hào)，未經(jīng)許可，不得更改主機(jī)名。不得隨意使用沒有經(jīng)過查殺病毒的外來軟盤、U盤和移動(dòng)硬盤。個(gè)人桌面終端安全檢查相關(guān)部門負(fù)責(zé)對(duì)個(gè)人終端的安全使用情況進(jìn)行定期檢查，對(duì)違反本管理辦法中安全的個(gè)人終端，按照以下方式進(jìn)行處理：第一次違規(guī)：相關(guān)部門以郵件和電話通知違規(guī)者糾正；違規(guī)員工應(yīng)在5個(gè)工作日內(nèi)完成整改。第二次違規(guī)（1年內(nèi)）：相關(guān)部門以郵件通知違規(guī)者糾正，并抄報(bào)其部門領(lǐng)導(dǎo)；違規(guī)員工應(yīng)在 5個(gè)工作日內(nèi)完成整改，并郵件回復(fù)其部門領(lǐng)導(dǎo)整改結(jié)果（附截圖）三次及以上違規(guī)（1年內(nèi)）：三次及以上違規(guī)屬于嚴(yán)重違規(guī)行為，相關(guān)部門定期（每季）以書面文件的形式上報(bào)給各級(jí)安全監(jiān)察部，并抄送違規(guī)者部門領(lǐng)導(dǎo)；各級(jí)安全監(jiān)察部向違規(guī)者所在部門下達(dá)整改通知書責(zé)令在5個(gè)工作日內(nèi)完成整改（若5日內(nèi)無法整改完成，則需另行確定），并接受安全監(jiān)察部的檢查，檢查方式可選擇以下三種方式之■■1）反饋整改結(jié)果；2）委托相關(guān)部門進(jìn)行現(xiàn)場(chǎng)檢查；3）現(xiàn)場(chǎng)抽樣檢查。11.2對(duì)刻意不執(zhí)行本安全管理制度、漠視計(jì)算機(jī)安全工作和存在安全隱患而沒有及時(shí)整改的，以至造成重大安全事故和事件的，各級(jí)安全監(jiān)察部將追究部門主要負(fù)責(zé)人和直接責(zé)任者的責(zé)任，涉嫌犯罪的，移送國家司法機(jī)關(guān)處理。12附則本辦法未盡事宜，按照公司相關(guān)文件和國家現(xiàn)行法律、法規(guī)執(zhí)行。12.2本辦法解釋和修改權(quán)由XX負(fù)責(zé)。本辦法由頒布之日起施行。13附錄附錄A（規(guī)范性附錄）終端設(shè)備接入網(wǎng)絡(luò)、故障處理工作流附錄A:終端設(shè)備接入網(wǎng)絡(luò)、故障處