計算機(jī)信息安全管理制度

1、QZLZK2030212009A１計算機(jī)信息安全管理制度計算機(jī)信息安全管理制度1目的目的加強(qiáng)計算機(jī)網(wǎng)絡(luò)及計算機(jī)信息安全管理，保障公司網(wǎng)絡(luò)平臺、應(yīng)用系統(tǒng)的正常運(yùn)行及數(shù)據(jù)安全，防止泄密。2范圍范圍適用于公司及各事業(yè)部、分公司、控股子公司（以下簡稱各經(jīng)營單元）所有計算機(jī)信息安全管理。3術(shù)語術(shù)語3.13.1辦公計算機(jī)：辦公用臺式機(jī)、筆記本電腦等屬于公司資產(chǎn)的計算機(jī)設(shè)備。3.23.2計算機(jī)信息：是指存儲在計算機(jī)上的軟件、數(shù)據(jù)、圖紙等含有一定意義的

2、計算機(jī)信息資料。3.33.3內(nèi)部網(wǎng)絡(luò)：公司長沙園區(qū)網(wǎng)絡(luò)及通過專線與長沙園區(qū)互聯(lián)的其他園區(qū)、駐外機(jī)構(gòu)網(wǎng)絡(luò)（以下簡稱內(nèi)網(wǎng)）。3.43.4外部網(wǎng)絡(luò)：互聯(lián)網(wǎng)或除互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)之外的第三方專網(wǎng)（以下簡稱外網(wǎng)）。4職責(zé)職責(zé)公司計算機(jī)信息安全采用集中控制、分級管理原則。4.14.1公司信息化管理部門：負(fù)責(zé)制定公司計算機(jī)信息安全戰(zhàn)略目標(biāo)及信息安全策略、督導(dǎo)公司日常計算機(jī)信息安全管理，負(fù)責(zé)直屬部門計算機(jī)信息安全日常工作。負(fù)責(zé)協(xié)調(diào)公司內(nèi)外部資源，處理公司

3、重大計算機(jī)信息安全事件。4.24.2經(jīng)營單元信息化管理部門：負(fù)責(zé)本經(jīng)營單元計算機(jī)信息安全日常工作，及時向公司信息化管理部門、督察部門報告重大計算機(jī)信息安全隱患和計算機(jī)信息安全事件。4.4.3計算機(jī)用戶：負(fù)責(zé)本人領(lǐng)用的辦公計算機(jī)日常保養(yǎng)、正常操作及安全管理，負(fù)責(zé)所接觸信息的保密性、可用性和完整性；及時向信息化管理部門報告計算機(jī)信息安全隱患和計算機(jī)信息安全事件。信息的起草人須按《保密制度》相關(guān)規(guī)定提出信息密級定級申請。5內(nèi)容與要求內(nèi)容與要求

4、51賬號和密碼安全管理賬號和密碼安全管理5.1.1.5.1.1.信息化管理部門須統(tǒng)一生成信息系統(tǒng)用戶賬號，并確保身份賬號在此系統(tǒng)生命周期中的唯一性；對賬號密碼信息進(jìn)行加密處理，確保用戶賬號密碼不被非授權(quán)地訪問、修改和刪除。5.1.2.5.1.2.員工因工作崗位或職責(zé)變動需變更賬號權(quán)限時，須向信息化管理部門提出申請權(quán)限變更。信息化管理部門應(yīng)及時變更異動員工的權(quán)限，凍結(jié)離職員工的賬號。QZLZK2030212009A３a)禁止私自關(guān)閉、卸載

5、或更換防病毒軟件，應(yīng)及時更新病毒庫和操作系統(tǒng)補(bǔ)丁，保證計算機(jī)安全運(yùn)行。b)發(fā)現(xiàn)或懷疑有辦公計算機(jī)被病毒感染，應(yīng)立即斷開網(wǎng)絡(luò)并執(zhí)行全盤掃描病毒程序，如感染癥狀未能解除須立即上報信息化管理部門。c)對任何外來資料，須使用防病毒軟件進(jìn)行掃描后方可使用，不要打開外來不明鏈接。d)嚴(yán)禁故意瞞報、制作、下載、運(yùn)行及傳播計算機(jī)病毒。5.3.25.3.2信息化管理部門須維護(hù)防病毒系統(tǒng)及補(bǔ)丁更新系統(tǒng)正常運(yùn)行。在發(fā)生重大病毒發(fā)作事件時，應(yīng)及時發(fā)布病毒預(yù)警，

6、及時采取有效的預(yù)防措施防止病毒大面積擴(kuò)散。54網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理5.4.15.4.1信息化管理部門在管理辦公計算機(jī)網(wǎng)絡(luò)安全時，應(yīng)遵循以下要求：a)必須嚴(yán)格隔斷允許訪問外網(wǎng)的計算機(jī)與內(nèi)網(wǎng)計算機(jī)之間的直接通訊。b)必須嚴(yán)格隔斷內(nèi)網(wǎng)中財務(wù)、研發(fā)與其它管理類計算機(jī)之間的直接通訊。c)辦公計算機(jī)在使用公司網(wǎng)絡(luò)時，用戶身份、網(wǎng)卡物理地址必須與網(wǎng)絡(luò)訪問資源一對一綁定。5.4.25.4.2信息化管理部門在保護(hù)信息化應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全時，應(yīng)遵循以下要

7、求：a)信息化應(yīng)用系統(tǒng)的服務(wù)器及存儲設(shè)備只允許安裝在公司的網(wǎng)絡(luò)機(jī)房、數(shù)據(jù)中心機(jī)房內(nèi)，特殊情況可申請托管在第三方機(jī)房內(nèi)，禁止安裝在普通辦公場所及其它不安全場所內(nèi)。b)信息化應(yīng)用系統(tǒng)需要啟動遠(yuǎn)程管理時，須使用加密的遠(yuǎn)程管理協(xié)議，并且實現(xiàn)專人、專機(jī)、專網(wǎng)管理，防止遠(yuǎn)程管理權(quán)限被非法竊用。c)必須在公司內(nèi)外部網(wǎng)絡(luò)交匯處設(shè)置必要的防火墻系統(tǒng)，并制定必需的防火墻策略；未經(jīng)授權(quán)，不允許將任何內(nèi)部IP地址和服務(wù)端口映射到外部網(wǎng)絡(luò)。d)對外的信息化應(yīng)用系

8、統(tǒng)必須部署必要的安全手段以檢測和減少被攻擊行為，并采取必要措施便于對非法行為進(jìn)行審計取證。e)定期檢查內(nèi)部網(wǎng)絡(luò)運(yùn)行情況，及時發(fā)現(xiàn)非法網(wǎng)絡(luò)接入。f)需要變更網(wǎng)絡(luò)安全相關(guān)管理策略時，按9.1《網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流程》辦理。5.4.35.4.3用戶在使用公司網(wǎng)絡(luò)資源時，應(yīng)遵循以下安全要求：a)在默認(rèn)情況下，所有辦公用臺式機(jī)和工作站只能訪問公司內(nèi)網(wǎng)；筆記本不允許接入公司內(nèi)網(wǎng)。計算機(jī)用戶需要申請網(wǎng)絡(luò)權(quán)限時，須按附件9.1《網(wǎng)絡(luò)與計算