1、 Q/ZLZK203021-2009A 计算机信息安全管理制度1 目的加强计算机网络及计算机信息安全管理,保障公司网络平台、应用系统的正常运行及数据安全,防止泄密。2 范围适用于公司及各事业部、分公司、控股子公司(以下简称各经营单元)所有计算机信息安全管理。3 术语3.1 办公计算机:办公用台式机、笔记本电脑等属于公司资产的计算机设备。3.2 计算机信息:是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。3.3 内部网络:公司长沙园区网络及通过专线与长沙园区互联的其他园区、驻外机构网络(以下简称内网) 。3.4 外部网络:互联网或除互联网和公司内网之外的第三方专网(以下简称外
2、网) 。4 职责公司计算机信息安全采用集中控制、分级管理原则。4.1 公司信息化管理部门:负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计算机信息安全管理,负责直属部门计算机信息安全日常工作。负责协调公司内外部资源,处理公司重大计算机信息安全事件。4.2 经营单元信息化管理部门:负责本经营单元计算机信息安全日常工作,及时向公司信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。4.3 计算机用户:负责本人领用的办公计算机日常保养、正常操作及安全管理,负责所接触信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。信息的
3、起草人须按保密制度相关规定提出信息密级定级申请。5 内容与要求51 账号和密码安全管理5.1.1. 信息化管理部门须统一生成信息系统用户账号,并确保身份账号在此系统生命周期中的唯一性;对账号密码信息进行加密处理,确保用户账号密码不被非授权地访问、修改和删除。5.1.2. 员工因工作岗位或职责变动需变更账号权限时,须向信息化管理部门提出申请权限变更。信息化管理部门应及时变更异动员工的权限,冻结离职员工的账号。Comment Z1: 是否考虑由 2种改为3种,与域账号密码要求统一?Comment Z2: 写至少 2种组合是考虑到目前 OA账号的密码强度,建议不改动。Q/ZLZK203021-200
4、9A 5.1.3.员工使用公司计算机信息系统时,须参照附件 9.1网络与计算机外部设备访问权限申请流程 ,向信息化管理部门提出申请,经审批后方可取得账号和初始密码。员工使用初始密码登录信息系统后,须立即更改密码。5.1.4.密码须满足以下要求:密码长度至少 8位,密码必须由大写字母(A 到 Z) 、小写字母(a到 z) 、符号(!#$%&* 等)和数字( 09)4 组类型至少 需取 2种组合。5.1.5.密码更换周期不得长于两个月,且变更前后的密码不能相同。5.1.6.用户登录系统时,密码连续输错 5次,用户账号将变成锁定状态,用户须向信息化管理部门申请解锁。严禁以非法手段尝试获取他人账号密码
5、信息,未经授权不得使用他人账号密码登录系统。5.1.7.用户对自己账号密码的安全性负责,禁止泄露给他人。因个人账号密码管理不慎造成的信息安全事件由账号所有者负最终责任。52 办公计算机安全管理5.2.1.信息化管理部门在日常管理办公计算机时,应进行如下安全设置:a) 须为所有办公计算机设置 BIOS密码,关闭未申请使用的接口并贴封条和配备机箱锁;b) 须为所有办公计算机部署相应的内网安全管理系统及防病毒软件;c) 主机设备需要带离现场维修时,应由保密专员进行全程陪同,并拆除所有存储介质;d) 存储介质应到具有涉密信息系统数据恢复资质的单位进行维修;e) 不再使用或无法使用的设备应按相关规定及时
6、进行报废处理。5.2.2.计算机使用人在日常使用办公计算机时应遵守如下要求:a) 计算机用户使用计算机在处理公司涉密信息及账号信息时,应注意信息安全防范,防止被无关人员窥视泄密;暂时离开计算机时应启用带密码保护的屏幕保护程序或直接锁定计算机。b) 定期检查计算机设备标签、封条、机箱锁,如有破损及时通知信息化管理部门处理。c) 不得擅自挂接计算机输入输出设备以及故意损毁计算机设备标签、封条和硬件锁。不得将相关设备挪作私用。d) 如需使用计算机以外的输入输出设备(如打印机、扫描仪、移动存储类设备及刻录光驱等)及硬件接口时,须参照附件 9.1网络与计算机外部设备访问权限申请流程执行。e) 禁止利用办
7、公计算机处理与工作无关内容、破坏或影响其它员工正常工作。f) 严禁擅自卸载公司内网管理系统及防病毒系统。g) 严禁使用办公计算机发布不良信息、牟取私利、泄露公司机密和从事违法犯罪活动。53 计算机防病毒管理5.3.1 计算机用户在使用计算机过程中应注意采取以下防病毒安全措施:Q/ZLZK203021-2009A a) 禁止私自关闭、卸载或更换防病毒软件,应及时更新病毒库和操作系统补丁,保证计算机安全运行。b) 发现或怀疑有办公计算机被病毒感染,应立即断开网络并执行全盘扫描病毒程序,如感染症状未能解除须立即上报信息化管理部门。c) 对任何外来资料,须使用防病毒软件进行扫描后方可使用,不要打开外来
8、不明链接。d) 严禁故意瞒报、制作、下载、运行及传播计算机病毒 。5.3.2 信息化管理部门须维护防病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时,应及时发布病毒预警,及时采取有效的预防措施防止病毒大面积扩散。54 网络安全管理5.4.1 信息化管理部门在管理办公计算机网络安全时,应遵循以下要求:a) 必须严格隔断允许访问外网的计算机与内网计算机之间的直接通讯。b) 必须严格隔断内网中财务、研发与其它管理类计算机之间的直接通讯。c) 办公计算机在使用公司网络时,用户身份、网卡物理地址必须与网络访问资源一对一绑定。5.4.2 信息化管理部门在保护信息化应用系统网络安全时,应遵循以下要求
9、:a) 信息化应用系统的服务器及存储设备只允许安装在公司的网络机房、数据中心机房内,特殊情况可申请托管在第三方机房内,禁止安装在普通办公场所及其它不安全场所内。b) 信息化应用系统需要启动远程管理时,须使用加密的远程管理协议,并且实现专人、专机、专网管理,防止远程管理权限被非法窃用。c) 必须在公司内外部网络交汇处设置必要的防火墙系统,并制定必需的防火墙策略;未经授权,不允许将任何内部 IP 地址和服务端口映射到外部网络。d) 对外的信息化应用系统必须部署必要的安全手段以检测和减少被攻击行为,并采取必要措施便于对非法行为进行审计取证。e) 定期检查内部网络运行情况,及时发现非法网络接入。f)
10、需要变更网络安全相关管理策略时,按 9.1网络与计算机外部设备访问权限申请流程办理。5.4.3 用户在使用公司网络资源时,应遵循以下安全要求:a) 在默认情况下,所有办公用台式机和工作站只能访问公司内网;笔记本不允许接入公司内网。计算机用户需要申请网络权限时,须按附件 9.1网络与计算机外部设备访问权限申请流程审批后开通。b) 员工因岗位职责变化不再需要使用外网时,应及时通知信息化管理部门关闭外网权限。Q/ZLZK203021-2009A c) 禁止员工私自修改办公计算机的 IP 地址、网卡地址等,禁止将办公计算机私自接入非指定网络环境。d) 当需进行信息提取时,按附件 9.2计算机信息提取(
11、输入)流程办理。55 信息化应用系统开发安全管理5.5.1 信息化应用系统开发安全需求a) 必须有可靠的身份认证机制,不允许匿名访问,账号和密码须满足安全管理要求。b) 必须有完整的权限管理系统,支持分层分级授权。c) 账号密码必须加密存储在后台数据库中。d) 必须基于职责分离原则定义不同业务模块的使用权限。e) 信息化应用系统必须经过第三方安全测评机构测评合格后才能正式投入运行。f) 信息化应用系统开发各阶段产生的源代码程序、编译程序及文档资料严格按用户授权集中管理。5.5.2 信息化应用系统运营安全管理a) 必须定期审计信息化应用系统用户行为。b) 必须定期备份信息化应用系统数据。c) 严
12、禁篡改信息化应用系统数据及更改正式系统环境下信息化应用系统程序文件。d) 必须严格权限控制,按业务职责对用户合理授权,信息化应用系统权限的变更须经信息化管理部门审批。e) 需定期进行风险检测与评估,确保信息化应用系统运行安全。56 网络设备安全配置5.6.1 所有网络设备必须由信息化管理部门指定专员、专机管理。需要使用远程管理时,优先使用统一的加密的远程管理协议实现功能,并确保专人、专机、专网管理,严防远程管理权限被非法窃用。5.6.2 管理网络设备时需要用到的密码信息必须以密文形式保存。5.6.3 未经授权,网络管理工程师不得私自更改网络设备的配置文件。5.6.4 网络管理工程师 更改重要网
13、络设备配置前,必须先备份现有配置文件,更改网络设备时,需填写配置变更登记表并严格按照表内容进行。5.6.5 网络管理工程师必须周期性备份管辖范围内所有网络设备的配置文件。Q/ZLZK203021-2009A 5.6.6 网络设备故障时,尽可能抢救现有配置文件,并用最后备份版本的配置文件快速配置替换设备。5.6.7 定期审计网络配置。5.6.8 需定期进行风险检测与评估,确保网络设备运行在可接受安全。5.7 数据备份与恢复管理5.7.1 信息化管理部门必须为所有信息化应用系统制定相应的数据备份与恢复策略,填写数据备份记录表 ,参照信息备份与数据恢复管理办法执行。5.7.2 信息化管理部门须定期检
14、查备份策略的有效性和执行情况,进行备份恢复测试,确保备份介质不仅有效,而且能在恢复操作步骤分配的时间内完成。5.7.3 数据备份应保证及时、完整、真实、准确地转储到不可更改的介质上,备份介质须异地存放。5.8 机房安全管理5.8.1 信息化应用系统的硬件设备只允许放置在公司的网络机房、数据中心机房内,特殊情况可申请托管第三方机房,严禁放置在普通办公场所及其它不安全场所内。5.8.2 机房配备温湿度计和干冰灭火器,信息化管理部门须对机房人员进行消防安全指导,并做好机房的防火、防盗、防水、防静电、防雷击措施,杜绝相关安全事故发生。5.8.3 信息化管理部门须指定专人负责对机房内各类设备进行安全维护
15、和管理,对机房进行定期巡检,遇到异常情况及时处理,并参照计算机机房管理规定执行。59 出图管理5.9.1 信息化管理部门须指定专人负责对出图设备进行安全管理和维护,为出图申请部门提供相应的技术支持。5.9.2 图纸只能在出图室出图设备上打印。技术部门如配备有打印机,需指定专人管理,且打印机只能打印文档资料,不得打印图纸,违者按保密制度相关规定处理。5.9.3 出图人员须在 OA 中发起出图申请流程经审批后方能出图,具体参照附件 9.3CAD 出图管理流程执行。5.9.4 出图人员未经许可不得操作出图室的打印服务器和出图设备。5.9.5 出图人员取图时须出示本人员工卡,由信息化管理部门进行身份核
16、实,并将其清点的图纸与所填写的出图申请表上内容核对一致后方可取走图纸,严禁代领和冒领。 5.10 信息安全培训管理5.10.1 信息化管理部门应及做好信息安全培训工作,减少因意识和操作失误带来安全风险。Q/ZLZK203021-2009A 5.10.2 信息化管理部门必须根据国内外及行业内信息安全发展的现状每年制定信息安全培训计划,培训计划要求如下:a) 保证培训内容能指导员工正常处理日常工作中可能遇到并应该引起注意的信息安全问题。b) 针对不同的培训对象如一般新员工、一般老员工、信息化内部员工、及关键涉密岗位需制定不同的培训内容。c) 针对不同的培训对象和内容明确培训形式及目标。d) 必须针
17、对培训效果进行考核。 6 违纪与处罚6.1 对违反本制度的违纪行为,信息化管理部门填写信息安全违规记录表 ,并定期上报督察部门,依据违纪类型进行相应处罚。6.1.1 以下违纪行为,视其情节最高可给予开除处分,并移交司法处理:a) 违反国家有关信息管理的法规,利用网络从事违反中华人民共和国法律和法规的活动,发表违反法律法规的言论(包括以任何理由) ,泄露国家机密,进行任何破坏国家安全的活动的;b) 利用网络对他人进行侮辱、诽谤、骚扰的;侵害他人合法权益的;侵犯他人的名誉权、肖像权、姓名权等人身权利的;侵犯他人的商誉、商标、版权、专利、专有技术等各种知识产权的; c) 利用网络或电子邮件传输任何非
18、法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的、淫秽的信息数据;传输任何教唆他人构成犯罪行为信息数据的;主动发送连锁邮件或垃圾邮件以及主动散布计算机病毒或恶意代码的;以任何形式、任何目的对电子邮件功能进行滥用的;盗用他人任何系统帐号的;传输助长国家不利因素、涉及国家安全,以及任何不符合国家法律、法规、规章信息数据的;d) 终端用户使用破解、猜测和嗅探口令工具企图侵入信息化应用系统的;或使用黑客工具攻击内部网络;或擅自修改和删除信息系统信息的;e) 利用公司信息化资源牟取私利的。f) 有其他严重违反计算机信息安全规定的行为,造成严重后果或重大损失的。6.1.2 以下违纪行为,视其情节最
19、高可给予记大过处分:a) 擅自拆装计算机设备,或自行插拔机内部件或添加设备的;b) 由于保管不善而泄漏个人账号和密码,使公司重要信息泄漏或信息系统遭到攻击,给公司造成重大损失的;Q/ZLZK203021-2009A c) 员工在所使用的计算机上擅自卸载公司统一安装的内网监控软件的;d) 有其他较严重违反计算机信息安全规定的行为,造成较严重后果或一定损失的。6.1.3 以下违纪行为,视其情节最高可给予记过处分:a) 擅自删除或修改计算机的标准软件及系统配置(如用户名、用户 IP 地址等)的;b) 员工在所使用的计算机上擅自卸载公司统一安装的防病毒软件,或故意使防病毒软件处于未激活状态的;c) 工
20、作时间长时间参与工作无关的网上聊天、浏览与业务无关的网站、玩电脑游戏的;d) 下载互联网上的非法软件或拷贝外来的非法软件进入公司网络的;e) 大量下载或传输与业务无关的数据或非法软件,占用网络带宽的; f) 有其他一般违反计算机信息安全规定行为的。6.1.4 以下违纪行为,视其情节最高可给予通报批评处分:a) 离开计算机时不及时进行锁屏或不按规定设置自动启用屏幕保护的;b) 员工随意在自己的计算机内设置共享目录,未设置口令保护,并在共享完毕后未能立即取消共享功能的;c) 有其他轻度违反计算机信息安全规定行为的。7 相关文件71 信息化应用系统管理规定72 保 密 制 度 73 计算机机房管理规
21、定74 信息备份与数据恢复管理制度75 计算机设备管理办法8 记录81计算机信息提取(输入)申请单82出图申请单83信息安全违规记录表84计算机安全检查记录表85数据备份记录表8. 6配置变更登记表9 附件91 网络与计算机外部设备访问权限申请流程Q/ZLZK203021-2009A 92 计算机信息提取(输入)流程93 CAD 出图管理流程94 电子数据归档流程附加说明:本制度由信息化管理部门提出并解释。本制度主要起草人:翟艺 曾筝本制度审核人: 张飞庆本制度批准人:王玉坤 Q/ZLZK203021-2009A 记录 1:计 算 机 信 息 提 取 ( 输 入 ) 申 请 单申请人 信息等级
22、 提取时间信息来源部门负责人信息提取部门负责人审批人信息名称 介质信息来源及目的地计算机信息安全工程师销毁人 证明人 销毁时间注:信息等级审批,绝密信息CEO; 机密信息分管领导; 秘密和一般信息部门负责人。记录 2:出 图 申 请 单部门 出图人项目 用 途图幅 数量 代 号(编 码) 名 称A0A1A2A3A4项目负责人 审批计算机信息安全工程师日期备注:A0、A1 必须填写代号、名称。 总图、一级部件不论图幅大小,必需填写代号、名称。Q/ZLZK203021-2009A 记录 3:信息安全违规记录表基本信息违规人姓名 所属部门计算机名/IP 账号 违规时间违规行为描述违纪定级呈报单位 呈报人 呈报时间
