《企業(yè)管理規(guī)章制度制訂及修訂管理?xiàng)l例華數(shù)集團(tuán)官方網(wǎng)站》由會(huì)員分享，可在線閱讀，更多相關(guān)《企業(yè)管理規(guī)章制度制訂及修訂管理?xiàng)l例華數(shù)集團(tuán)官方網(wǎng)站（39頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 華數(shù)傳媒信息安全管理?xiàng)l例 第一章 總 則 第一節(jié) 編制說(shuō)明 第一條 為了加強(qiáng)信息安全管理，保障各種信息資產(chǎn)的機(jī)密性、完整性和可用性，特制定《信息安全管理制度》（以下簡(jiǎn)稱“本制度”）。 第二條 本制度是信息安全管理的總原則。 第三條 本制度的解釋和修改權(quán)屬于華數(shù)數(shù)字電視IT管理部。 第二節(jié) 適用范圍 第四條 本制度適用于對(duì)公司信息資產(chǎn)各要素（包括：人員、數(shù)據(jù)、網(wǎng)絡(luò)、終端等）的安全管理，部門人員在涉及到信息安全時(shí)應(yīng)遵照?qǐng)?zhí)行。 第三節(jié) 依據(jù)標(biāo)準(zhǔn)和參考文獻(xiàn) 第五條 本制度依據(jù)標(biāo)準(zhǔn)和參考文獻(xiàn)包括： 1、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB

2、17859） 2、《信息安全管理體系標(biāo)準(zhǔn)》（BS7799/ISO17799） 3、《信息技術(shù)安全管理指南》（ISO13335） 4、《信息技術(shù)安全性通用評(píng)估準(zhǔn)則》（ISO15408/GB18336） 5、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院令第147號(hào)） 6、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》 7、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》 8、《計(jì)算機(jī)病毒防治管理辦法》（公安部令第51號(hào)令） 9、《計(jì)算機(jī)場(chǎng)地安全要求》（GB9361-88） 10、《BM21-2000涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》 第四節(jié) 名詞解釋 第六條 本制度使用以下定義：

3、(1) 信息安全：指信息的機(jī)密性、完整性和可用性的保持。 機(jī)密性：確保只有那些被授予特定權(quán)限的人才能夠訪問(wèn)到信息。 完整性：要保證信息和處理方法的正確性和完整性。 可用性：確保那些已被授權(quán)的用戶在他們需要的時(shí)候，確實(shí)可以訪問(wèn)得到所需信息。 (2) 信息安全管理：規(guī)定機(jī)制，使信息安全得以執(zhí)行。 (3) 設(shè)備：包括服務(wù)器、存儲(chǔ)設(shè)備、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。 (4) 風(fēng)險(xiǎn)評(píng)估：對(duì)信息、信息處理設(shè)施、信息處理過(guò)程和信息系統(tǒng)管理所受威脅、系統(tǒng)弱點(diǎn)保護(hù)不當(dāng)?shù)蕊L(fēng)險(xiǎn)因素的發(fā)生可能性和后果影響的資產(chǎn)價(jià)值評(píng)估。 (5) 資產(chǎn)：指被組織賦予了價(jià)值，組織需要保護(hù)的有用資源。 (6) 信息資產(chǎn)：信

4、息資產(chǎn)包含但不限于： ? 數(shù)據(jù)與文檔：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)材料、運(yùn)行與支持程序、業(yè)務(wù)持續(xù)性計(jì)劃、應(yīng)急安排； ? 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和實(shí)用程序； ? 物理資產(chǎn)：計(jì)算機(jī)、通訊設(shè)備、磁介質(zhì)（磁盤與磁帶） ? 人員：?jiǎn)T工、客戶等； ? 服務(wù)：計(jì)算和通訊服務(wù)； (7) 內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)：指公司業(yè)務(wù)系統(tǒng)網(wǎng)、OA辦公網(wǎng)等在內(nèi)的全部?jī)?nèi)部網(wǎng)絡(luò)。 (8) 安全事件：任何已經(jīng)發(fā)生的或可能發(fā)生導(dǎo)致信息安全受到損害的行為，或是違反安全程序的行為。 (9) 訪問(wèn)控制：防止對(duì)資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。 (10) 核心系統(tǒng)：維持正常生產(chǎn)所必須

5、的實(shí)時(shí)性系統(tǒng)平臺(tái)的經(jīng)營(yíng)業(yè)務(wù)數(shù)據(jù)。 (11) 重要系統(tǒng)：除核心系統(tǒng)外，維持經(jīng)營(yíng)管理所必須的系統(tǒng)平臺(tái)和包含有公司內(nèi)部經(jīng)營(yíng)管理信息的系統(tǒng)平臺(tái) 第五節(jié) 制度概述 第七條 制度概述： 第一章 總則：定義了本制度的適用范圍、依據(jù)標(biāo)準(zhǔn)和參考文獻(xiàn)、名詞解釋、責(zé)任要求以及制度執(zhí)行； 第二章 安全組織和人員職責(zé)描述：定義了信息安全的組織機(jī)構(gòu)和崗位安全管理方面的相關(guān)要求； 第三章 資產(chǎn)安全管理： 定義了信息資產(chǎn)的分類及安全管理方面的相關(guān)要求； 第四章 用戶帳號(hào)和口令安全管理：定義了用戶設(shè)置帳號(hào)、口令和權(quán)限的安全要求； 第五章 通用平臺(tái)安全管理：定義了主機(jī)設(shè)備、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件等的安全

6、管理要求； 第六章 網(wǎng)絡(luò)安全管理：定義了網(wǎng)絡(luò)安全管理方面的相關(guān)要求； 第七章 數(shù)據(jù)安全管理：定義了數(shù)據(jù)的傳遞、存儲(chǔ)、備份及恢復(fù)的相關(guān)安全要求； 第八章 保密安全管理：定義了涉密信息、涉密網(wǎng)絡(luò)以及涉密人員的安全保密要求； 第九章 防病毒安全管理：定義了管理員及員工的防病毒安全要求； 第十章 電子郵件安全管理：定義了電子郵件安全管理方面的相關(guān)要求； 第十一章 終端用戶安全管理：定義了對(duì)終端的安全管理以及終端用戶的行為要求； 第十二章 安裝及升級(jí)安全管理：定義了所有的信息設(shè)備、軟件在進(jìn)行系統(tǒng)安裝及升級(jí)時(shí)的安全要求； 第十三章 應(yīng)急安全管理：定義了因安全事件而引起重大信息災(zāi)害后，為盡可

7、能減少系統(tǒng)損失而采取的應(yīng)急處理要求； 第十四章 安全培訓(xùn)：定義了對(duì)人員進(jìn)行安全培訓(xùn)的相關(guān)要求。 第六節(jié) 責(zé)任要求 第八條 公司所有員工必須遵守本制度的規(guī)定，如由于未遵循本制度導(dǎo)致出現(xiàn)安全問(wèn)題，相關(guān)部門和人員負(fù)有責(zé)任。 第七節(jié) 制度執(zhí)行 第九條 本制度是信息安全管理的基礎(chǔ)性文件，公司人員的實(shí)施細(xì)則不能違反本制度。 第十條 本制度自下發(fā)之日起正式執(zhí)行 第二章 安全組織和人員職責(zé)描述 第一節(jié) 組織結(jié)構(gòu) 第十一條 信息安全實(shí)施統(tǒng)一領(lǐng)導(dǎo)、專業(yè)分工負(fù)責(zé)的原則。 信息安全采用二級(jí)管理體制，分為：部門經(jīng)理負(fù)責(zé)全部門總體的信息安全指導(dǎo)和運(yùn)行管理。各小組主管負(fù)責(zé)本組內(nèi)的

8、信息安全指導(dǎo)、運(yùn)行和運(yùn)行管理。 部門經(jīng)理 各小組主管 第十二條 信息安全工作組 信息安全工作組是部門信息安全工作的具體執(zhí)行單位，負(fù)責(zé)具體的安全規(guī)劃、建設(shè)、運(yùn)行和管理的組織。 信息安全工作組由部門經(jīng)理牽頭，各小組主管人員參加組成。 信息安全工作組主要職能有： (1) 信息安全工作組負(fù)責(zé)部門信息安全策略的管理、系統(tǒng)配置的管理、安全事件的審計(jì)和安全事故的處理； (2) 按照部門規(guī)定進(jìn)行信息系統(tǒng)的運(yùn)行監(jiān)視、安全審核，根據(jù)安全狀況調(diào)整部門內(nèi)信息系統(tǒng)的統(tǒng)一安全策略； (3) 安全事件發(fā)生后，信息安全工作組協(xié)調(diào)應(yīng)急響應(yīng)組決定是否啟動(dòng)應(yīng)急流程； (4) 組織編制修訂信息安全

9、相關(guān)制度、規(guī)范和流程； (5) 監(jiān)督信息安全相關(guān)制度、規(guī)范和流程的執(zhí)行； (6) 組織部門的信息安全培訓(xùn)； 第二節(jié) 信息安全工作組成員職責(zé) 第十三條 信息安全工作組組長(zhǎng)職責(zé) 信息安全工作組組長(zhǎng)具體負(fù)責(zé)信息安全工作組的管理工作，；組織信息安全工作組制訂、修改安全策略；審核檢查安全策略的執(zhí)行情況；全面負(fù)責(zé)部門內(nèi)的信息安全管理和信息安全運(yùn)行。 第三節(jié) 信息安全運(yùn)行緊密相關(guān)人員安全職責(zé) 第十四條 網(wǎng)絡(luò)管理員安全職責(zé) (1) 負(fù)責(zé)防病毒管理、防火墻系統(tǒng)管理、入侵檢測(cè)管理、安全漏洞掃描管理等； (2) 參與網(wǎng)絡(luò)系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定； (3) 承擔(dān)網(wǎng)絡(luò)安全事件的

10、處理； (4) 參與網(wǎng)絡(luò)安全建設(shè)方案制定； (5) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)升級(jí)、補(bǔ)?。? (6) 負(fù)責(zé)網(wǎng)絡(luò)日常監(jiān)控、優(yōu)化和安全加固； (7) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)和配置數(shù)據(jù)備份。 第十五條 數(shù)據(jù)庫(kù)系統(tǒng)管理員安全職責(zé) (1) 參與數(shù)據(jù)庫(kù)系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定； (2) 承擔(dān)數(shù)據(jù)庫(kù)系統(tǒng)安全事件的處理； (3) 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)升級(jí)、補(bǔ)丁和和安全加固； (4) 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)的日常安全監(jiān)控、配置和數(shù)據(jù)備份； (5) 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)權(quán)限和口令管理。 第十六條 操作系統(tǒng)管理員安全職責(zé) (1) 參與操作系統(tǒng)系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定； (2) 承擔(dān)操作系

11、統(tǒng)系統(tǒng)安全事件的處理； (3) 負(fù)責(zé)操作系統(tǒng)系統(tǒng)的升級(jí)、補(bǔ)丁和安全加固； (4) 負(fù)責(zé)操作系統(tǒng)的日常安全監(jiān)控和操作系統(tǒng)和文件系統(tǒng)的備份； (5) 負(fù)責(zé)操作系統(tǒng)權(quán)限和口令管理。 第十七條 業(yè)務(wù)系統(tǒng)管理員的安全職責(zé) (1) 參與應(yīng)用系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定； (2) 承擔(dān)應(yīng)用系統(tǒng)安全事件的處理； (3) 負(fù)責(zé)應(yīng)用系統(tǒng)的安全加固； (4) 負(fù)責(zé)應(yīng)用系統(tǒng)的日常安全監(jiān)控和數(shù)據(jù)備份； (5) 負(fù)責(zé)應(yīng)用系統(tǒng)帳號(hào)權(quán)限和口令管理； (6) 負(fù)責(zé)應(yīng)用系統(tǒng)在操作系統(tǒng)和數(shù)據(jù)庫(kù)中帳號(hào)及該帳號(hào)下數(shù)據(jù)安全。 第十八條 資產(chǎn)管理員的安全職責(zé) (1) 按照資產(chǎn)存放環(huán)境要求存放相關(guān)物資和

12、資料； (2) 根據(jù)信息資產(chǎn)的分類分級(jí)標(biāo)識(shí)的要求進(jìn)行資產(chǎn)、資料的標(biāo)識(shí)； (3) 根據(jù)資產(chǎn)的信息安全等級(jí)進(jìn)行物資的入庫(kù)、出庫(kù)、銷毀，資料的保管、借閱、銷毀； (4) 資產(chǎn)管理員應(yīng)特別注意以下內(nèi)容的安全管理：系統(tǒng)備份、數(shù)據(jù)備份載體及相應(yīng)文檔管理；業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)、運(yùn)行數(shù)據(jù)的載體及相應(yīng)文檔的管理；軟件資料管理（包括軟件開(kāi)發(fā)的源代碼、軟件設(shè)計(jì)說(shuō)明書(shū)、使用說(shuō)明書(shū)、許可證等）；硬件隨機(jī)文檔；系統(tǒng)設(shè)計(jì)方案、工程施工過(guò)程文檔、系統(tǒng)運(yùn)行維護(hù)文檔、招投標(biāo)過(guò)程文檔；其它文檔管理（包括各種規(guī)章制度、收發(fā)文、工作日志歸檔、設(shè)備清單、合同）等等。 第四節(jié) 信息系統(tǒng)安全分工 第十九條 公司各信息系統(tǒng)內(nèi)，應(yīng)有

13、恰當(dāng)?shù)穆氊?zé)分離制度。若無(wú)法成立職責(zé)分離制度時(shí)，則應(yīng)建立適當(dāng)?shù)谋O(jiān)管機(jī)制，以監(jiān)督個(gè)人的表現(xiàn)與其矛盾的角色。 第二十條 系統(tǒng)職責(zé)分工明細(xì)表應(yīng)詳盡描述系統(tǒng)中各角色所對(duì)應(yīng)具體人員以及組織領(lǐng)導(dǎo)關(guān)系，明確權(quán)責(zé)關(guān)系。在人員角色變動(dòng)時(shí)，需有正式文檔進(jìn)行變更記錄。 第三章 資產(chǎn)安全管理 第一節(jié) 信息資產(chǎn)的分類分級(jí) 第二十一條 為了保證信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)，應(yīng)該對(duì)信息分類分級(jí)，指明其保護(hù)級(jí)別； 第二十二條 將信息資產(chǎn)分為不同的安全防護(hù)等級(jí)，有助于“應(yīng)級(jí)而異”地規(guī)劃、設(shè)計(jì)、實(shí)施相關(guān)的信息資產(chǎn)安全管理和保護(hù)措施，從而更有效地保障信息資產(chǎn)的機(jī)密性、完整性和可用性； 第二十三條 數(shù)據(jù)在信息

14、資產(chǎn)中占有非常重要的地位，通常作為企業(yè)知識(shí)產(chǎn)權(quán)、競(jìng)爭(zhēng)優(yōu)勢(shì)、商業(yè)秘密的載體。屬于需要重點(diǎn)評(píng)估、保護(hù)的對(duì)象； 第二十四條 信息資產(chǎn)的歸屬類別不是固定不變的，應(yīng)定期審查，更新其歸屬類別。 第二節(jié) 信息資產(chǎn)的標(biāo)識(shí) 第二十五條 對(duì)所有識(shí)別出并進(jìn)行分類的信息資產(chǎn)，應(yīng)當(dāng)建立資產(chǎn)目錄并進(jìn)行標(biāo)識(shí)，標(biāo)識(shí)方法可采用有形標(biāo)簽和電子標(biāo)簽； 第二十六條 對(duì)信息資產(chǎn)進(jìn)行標(biāo)識(shí)時(shí)，均應(yīng)同時(shí)標(biāo)識(shí)該信息資產(chǎn)的名稱、分類、責(zé)任人、安全級(jí)別等信息； 第二十七條 數(shù)據(jù)分類標(biāo)簽的對(duì)象包括各種存儲(chǔ)介質(zhì)、磁帶、軟盤以及其他介質(zhì)，所有印刷的、手寫(xiě)的敏感信息都需要考慮在恰當(dāng)?shù)奈恢梅胖脴?biāo)簽； 第二十八條 裝訂的硬拷貝信息資料

15、需要在開(kāi)啟前頁(yè)、標(biāo)題頁(yè)和尾頁(yè)上放置安全級(jí)別標(biāo)簽； 第二十九條 對(duì)與無(wú)法采用物理標(biāo)簽的信息資產(chǎn)（如電子文檔），可采用電子標(biāo)簽的標(biāo)識(shí)方法。 第三節(jié) 信息資產(chǎn)的管理 第三十條 信息資產(chǎn)的存放 (1) 物理資產(chǎn)的存放地點(diǎn)應(yīng)通風(fēng)良好，溫濕度適宜并有消防安全設(shè)施； (2) 對(duì)于存放有特殊要求信息資產(chǎn)應(yīng)存放在其所需的存放環(huán)境中，以防數(shù)據(jù)丟失； (3) 定期進(jìn)行資產(chǎn)存放環(huán)境的檢查和清潔，對(duì)不符合存放要求的情況應(yīng)作出整改。 第三十一條 信息資產(chǎn)的管理責(zé)任制 (1) 建立信息資產(chǎn)與管理人員對(duì)應(yīng)列表，確保每項(xiàng)信息資產(chǎn)都由專人負(fù)責(zé)，明確安全責(zé)任； (2) 信息資產(chǎn)的管理人、安全等級(jí)等信息資

16、產(chǎn)重要狀態(tài)變更，需要及時(shí)改變相應(yīng)標(biāo)識(shí)并同時(shí)通知相關(guān)的人員； (3) 電子數(shù)據(jù)、紙質(zhì)文檔等信息資產(chǎn)必須經(jīng)過(guò)信息安全工作組進(jìn)行安全等級(jí)確認(rèn)，在確認(rèn)之前不得將信息資產(chǎn)暴露于與確認(rèn)的安全等級(jí)無(wú)關(guān)的人員。 第三十二條 信息資產(chǎn)的檔案 (1) 對(duì)于每項(xiàng)信息資產(chǎn)都應(yīng)該建立資產(chǎn)管理檔案，詳細(xì)記錄資產(chǎn)的配置信息和變更信息； (2) 軟件資產(chǎn)應(yīng)妥善保管相關(guān)介質(zhì)和文檔，通過(guò)光盤刻錄的方式進(jìn)行備份。所有產(chǎn)品介質(zhì)和相關(guān)文檔統(tǒng)一由資產(chǎn)管理員保管并記錄于資產(chǎn)清單中，相關(guān)系統(tǒng)管理員單獨(dú)保存一份備份介質(zhì)。所有商業(yè)軟件到貨后應(yīng)在一周內(nèi)通過(guò)合適的渠道確認(rèn)、注冊(cè)License，軟件License維護(hù)由相應(yīng)管理員負(fù)責(zé)，并報(bào)送

17、資產(chǎn)管理員； (3) 在信息資產(chǎn)管理檔案的基礎(chǔ)上進(jìn)行信息資產(chǎn)的分配，調(diào)撥和在用信息資產(chǎn)設(shè)備的維護(hù)管理； (4) 資產(chǎn)管理檔案應(yīng)及時(shí)更新，使信息資產(chǎn)管理檔案與實(shí)際情況相符合。 第三十三條 信息資產(chǎn)的淘汰 (1) 建立信息資產(chǎn)的淘汰制度； (2) 硬件和系統(tǒng)軟件淘汰首先要考慮是否可以利舊作為他用； (3) 對(duì)已損壞且無(wú)法修復(fù)的硬件資產(chǎn)可按固資管理規(guī)定進(jìn)行報(bào)廢處理； (4) 軟件不再使用并經(jīng)過(guò)正式的聲明后，可以從系統(tǒng)中刪除該軟件，其相關(guān)的數(shù)據(jù)應(yīng)予以歸檔并保留三個(gè)月，特殊情況下可以保留更長(zhǎng)時(shí)間； (5) 淘汰或廢棄存有電子數(shù)據(jù)的硬盤、軟盤、光盤等存儲(chǔ)介質(zhì)以及打印有用戶數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)、

18、財(cái)務(wù)數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)等的紙質(zhì)文檔需要進(jìn)行安全銷毀。 第四節(jié) 信息資產(chǎn)的審計(jì)和執(zhí)行 第三十四條 各小組主管及信息資產(chǎn)管理員應(yīng)當(dāng)對(duì)本部門各類信息資產(chǎn)進(jìn)行有效監(jiān)督和管理，對(duì)違反管理規(guī)定的行為要及時(shí)指正，對(duì)嚴(yán)重違反者要立即上報(bào)； 第三十五條 信息安全工作組應(yīng)當(dāng)定期/不定期組織對(duì)各個(gè)小組的信息資產(chǎn)的安全狀態(tài)進(jìn)行審計(jì)，對(duì)違反管理規(guī)定的情況要通報(bào)批評(píng)； 第三十六條 對(duì)嚴(yán)重違反規(guī)定，可能或者己經(jīng)造成重大損失的情況要立即匯報(bào)部門經(jīng)理。 第四章 用戶帳號(hào)與口令安全管理 第一節(jié) 口令設(shè)置原則 第三十七條 口令中至少應(yīng)包括以下三種：數(shù)字、大寫(xiě)字母、小寫(xiě)字母以及特殊字符（特殊符號(hào)舉例如

19、下：!@#$%^&*()_+|~-=\`{}[]:”;’<>?,./）； 第三十八條 口令長(zhǎng)度不應(yīng)小于8位； 第三十九條 口令避免以下選擇： (1) 親戚、朋友、同事、單位等的名字，生日、車牌號(hào)、電話號(hào)碼； (2) 一串相同的數(shù)字或字母； (3) 明顯的鍵盤序列； (4) 所有上面情況的逆序或前后加一個(gè)數(shù)字； (5) 常見(jiàn)的詞語(yǔ)或字典詞語(yǔ)。 第二節(jié) 用戶新增、注銷管理 第四十條 新增用戶：必須由申請(qǐng)小組提出正式申請(qǐng)，需填寫(xiě)相關(guān)信息：使用者的姓名、聯(lián)系電話、職責(zé)（崗位）、MAC地址、使用時(shí)間、申請(qǐng)使用的系統(tǒng)范圍和權(quán)限等信息。由部門經(jīng)理審批后移交給信息安全工作組，審核后，

20、下發(fā)至相應(yīng)的管理員，管理員根據(jù)申請(qǐng)的內(nèi)容進(jìn)行賦權(quán)；操作完成后，系統(tǒng)管理員通過(guò)郵件或其他安全方式通知相關(guān)人員或部門。 第四十一條 注銷用戶：由于人事變動(dòng)，帳號(hào)的使用者發(fā)生崗位變動(dòng)或者離職，人事部門發(fā)報(bào)人事變更訊息，通知至系統(tǒng)管理員所在小組。由系統(tǒng)管理員提出正式申請(qǐng)經(jīng)系統(tǒng)所在部門經(jīng)理審批后，立即進(jìn)行相應(yīng)的權(quán)限變動(dòng)或帳號(hào)回收，嚴(yán)格防止由于崗位變動(dòng)，帳號(hào)、權(quán)限沒(méi)有進(jìn)行變更的情況。 第三節(jié) 帳號(hào)配置與管理 第四十二條 帳號(hào)權(quán)限在建立/更新/取消時(shí)，用戶應(yīng)填寫(xiě)系統(tǒng)帳號(hào)權(quán)限申請(qǐng)單（參見(jiàn)附件二）來(lái)申請(qǐng)；該表單應(yīng)由系統(tǒng)擁有者來(lái)審批和簽署。 第四十三條 系統(tǒng)管理員負(fù)責(zé)對(duì)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他

21、信息設(shè)備的用戶帳號(hào)、權(quán)限進(jìn)行管理。對(duì)用戶帳號(hào)和權(quán)限進(jìn)行登記備案，至少每半年審核一次用戶帳號(hào)的使用情況，對(duì)長(zhǎng)期未使用的或過(guò)期的帳號(hào)進(jìn)行清理； 第四十四條 在系統(tǒng)上線運(yùn)行前，系統(tǒng)管理員必須重新配置或更改廠商在開(kāi)發(fā)、測(cè)試階段設(shè)置的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的系統(tǒng)口令、用戶帳號(hào)及口令，更改數(shù)據(jù)庫(kù)內(nèi)置帳號(hào)的口令； 第四十五條 如果必須給予第三方人員(如廠商支持工程師)帳號(hào)口令，或當(dāng)外包方人員申請(qǐng)開(kāi)通系統(tǒng)帳號(hào)時(shí)，須事先與系統(tǒng)擁有部門簽訂保密協(xié)議，按照普通用戶新增、注銷管理規(guī)定執(zhí)行。系統(tǒng)管理員必須予以登記并納入統(tǒng)一管理，同時(shí)對(duì)帳號(hào)安全負(fù)有責(zé)任； 第四十六條 帳號(hào)配置不允許由系統(tǒng)管理員外

22、其他任何用戶操作，也不能在系統(tǒng)管理員使用的終端之外進(jìn)行安裝； 第四十七條 系統(tǒng)管理員給新增用戶分配帳號(hào)必須設(shè)置口令，并限定有效期。必須強(qiáng)制新用戶在第一次登陸時(shí)更改口令； 第四十八條 系統(tǒng)管理員必須有能力更改口令，幫助用戶開(kāi)啟被鎖定的口令，對(duì)非法操作及時(shí)查明原因；解決口令使用過(guò)程中出現(xiàn)的問(wèn)題；定期向小組主管和信息安全工作組匯報(bào)帳號(hào)、口令使用情況和需要解決的問(wèn)題； 第四十九條 重大操作后、口令使用期滿、被其他人知悉或認(rèn)為口令不保密時(shí)，系統(tǒng)管理員應(yīng)按照口令更改流程變換口令?？诹罡鼡Q操作應(yīng)在保密條件下進(jìn)行； 第五十條 業(yè)務(wù)系統(tǒng)管理員在配置應(yīng)用系統(tǒng)用戶帳號(hào)時(shí)，必須采用加密口令格式，在登陸

23、輸入口令過(guò)程中不能以任何方式顯示口令； 第五十一條 信息安全工作組應(yīng)每三個(gè)月對(duì)系統(tǒng)用戶和管理員的帳號(hào)、訪問(wèn)權(quán)限和相應(yīng)的訪問(wèn)及操作日志進(jìn)行審核，形成相應(yīng)的檢查記錄報(bào)告，由系統(tǒng)擁有者或部門經(jīng)理簽字確認(rèn)；對(duì)于涉及重要數(shù)據(jù)的賬號(hào)和權(quán)限應(yīng)提交系統(tǒng)擁有者審核確認(rèn)。 第五十二條 臨時(shí)帳號(hào)的申請(qǐng)單應(yīng)獨(dú)立存檔并由第三者(非批準(zhǔn)人)作至少每月進(jìn)行一次檢查；在使用期滿時(shí)，系統(tǒng)管理員應(yīng)審核臨時(shí)帳號(hào)操作日志記錄并形成相應(yīng)的檢查記錄報(bào)告，由系統(tǒng)擁有者或信息安全經(jīng)理簽字確認(rèn)。 第五十三條 嚴(yán)禁多人和多系統(tǒng)共用帳號(hào)。每個(gè)操作用戶必須有且只有一個(gè)專用帳號(hào)； 第五十四條 口令在數(shù)據(jù)庫(kù)中的存放和通過(guò)網(wǎng)絡(luò)傳輸不應(yīng)采

24、用明碼方式，對(duì)口令的訪問(wèn)和存取必須加以控制，以防止口令被非法修改或泄露； 第五十五條 具有口令功能的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息，必須使用口令對(duì)用戶進(jìn)行身份驗(yàn)證和確認(rèn)。 第四節(jié) 權(quán)限設(shè)置及變更管理 第五十六條 對(duì)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、信息的訪問(wèn)采用分級(jí)管理，根據(jù)人員職責(zé)設(shè)定權(quán)限； 第五十七條 僅有操作系統(tǒng)管理員及DBA擁有數(shù)據(jù)庫(kù)的寫(xiě)權(quán)限；應(yīng)用系統(tǒng)管理員只能擁有相關(guān)數(shù)據(jù)庫(kù)的讀權(quán)限；超級(jí)用戶權(quán)限只允許操作系統(tǒng)及數(shù)據(jù)庫(kù)管理員使用，其他用戶需要使用超級(jí)權(quán)限時(shí)需提出申請(qǐng)，經(jīng)審批后，由數(shù)據(jù)庫(kù)管理員作一次性授權(quán)，并在數(shù)據(jù)庫(kù)管理員監(jiān)督下操作； 第五十八條 員工只能擁有本崗位內(nèi)的權(quán)限

25、，且采取最低可用原則配置；如因工作需要另外增加崗位外權(quán)限的，需要領(lǐng)導(dǎo)審批；經(jīng)使用員工所在小組主管和信息安全工作組同意后方可增加，增加后要保留操作日志和審批記錄； 第五十九條 系統(tǒng)管理員對(duì)到期的使用授權(quán)負(fù)責(zé)收回； 第六十條 在權(quán)限建立/更新/取消時(shí)，用戶應(yīng)填寫(xiě)系統(tǒng)權(quán)限申請(qǐng)單來(lái)申請(qǐng)權(quán)限。該表單應(yīng)由系統(tǒng)擁有者來(lái)審批和簽署。操作人員在完成操作后需在《系統(tǒng)帳號(hào)權(quán)限申請(qǐng)表》中進(jìn)行情況說(shuō)明并有第三者進(jìn)行確認(rèn)。 第五節(jié) 帳號(hào)、口令使用管理 第六十一條 用戶使用系統(tǒng)時(shí)，必須使用帳號(hào)以及口令進(jìn)行登陸，方可進(jìn)行操作 第六十二條 禁止使用系統(tǒng)內(nèi)置帳號(hào)進(jìn)行應(yīng)用系統(tǒng)數(shù)據(jù)的維護(hù)工作。嚴(yán)禁使用數(shù)據(jù)庫(kù)內(nèi)置帳

26、號(hào)的口令進(jìn)行數(shù)據(jù)庫(kù)管理； 第六十三條 重要的設(shè)備、系統(tǒng)的管理員帳號(hào)口令在每次修改之后必須備案； 第六十四條 口令必須定期修改，口令使用周期不能超過(guò)3個(gè)月，在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短口令的使用時(shí)間； 第六十五條 用戶應(yīng)記住自己的帳號(hào)、口令，不允許記載在不保密的媒介物或貼在終端上。同時(shí)，避免泄漏口令，不要將口令告訴其他人。如果發(fā)現(xiàn)口令泄漏，應(yīng)立即通知系統(tǒng)管理員及時(shí)更改； 第六十六條 用戶通過(guò)公網(wǎng)連接到公司內(nèi)部網(wǎng)站時(shí)，需注意帳號(hào)、口令的保密，避免在公共場(chǎng)所泄漏帳號(hào)、口令； 第六十七條 企業(yè)內(nèi)用戶口令不應(yīng)當(dāng)用作其他非企業(yè)應(yīng)用的口令，如公網(wǎng)郵箱口令等。 

27、第五章 通用平臺(tái)安全管理 第六十八條 通用平臺(tái)安全管理指系統(tǒng)中使用的主機(jī)設(shè)備、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件等的安全管理: 原則如下： (1) 系統(tǒng)管理員至少要至三個(gè)月對(duì)涉及通用平臺(tái)配置的增、刪、修改等操作的配置更改記錄進(jìn)行審計(jì)； (2) 重要資源的訪問(wèn)控制策略至少要每六個(gè)月審計(jì)一次。 (3) 如果在上述審計(jì)和檢查工作中發(fā)現(xiàn)有安全事故,應(yīng)遵照安全事故處理流程進(jìn)行處理。 (4) 各小組主管要對(duì)所有審計(jì)和檢查工作情況記錄登記 第六章 網(wǎng)絡(luò)安全管理 第一節(jié) 基礎(chǔ)管理 第六十九條 網(wǎng)絡(luò)結(jié)構(gòu)管理 (1) OA辦公網(wǎng)網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)需進(jìn)行嚴(yán)格的規(guī)劃、設(shè)計(jì)和管理，一

28、經(jīng)確定，不能輕易更改； (2) 如因業(yè)務(wù)需要，確需對(duì)網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)整和改變，需按照相應(yīng)的運(yùn)維管理制度上報(bào)； (3) 網(wǎng)絡(luò)結(jié)構(gòu)要按照分層網(wǎng)絡(luò)設(shè)計(jì)的原則來(lái)進(jìn)行規(guī)劃，合理清晰的層次劃分和設(shè)計(jì)，可以保證網(wǎng)絡(luò)系統(tǒng)骨干穩(wěn)定可靠、接入安全、便于擴(kuò)充和管理、易于故障隔離和排除。 第七十條 網(wǎng)絡(luò)配置管理 (1) 所有的網(wǎng)絡(luò)配置工作都要有文檔記錄，網(wǎng)絡(luò)設(shè)備的配置文件需要定期備份； (2) 按照最小服務(wù)原則為每臺(tái)基礎(chǔ)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置； (3) 網(wǎng)絡(luò)需保持持續(xù)不斷的運(yùn)行，維護(hù)工作要在用戶使用量小的時(shí)候進(jìn)行。 第七十一條 網(wǎng)絡(luò)互連 (1) 網(wǎng)絡(luò)按訪問(wèn)控制策略劃分不同的邏輯區(qū)域； (2

29、) 公司內(nèi)部不同業(yè)務(wù)的計(jì)算機(jī)網(wǎng)絡(luò)之間的互連原則： ? 互連點(diǎn)上必須實(shí)施安全措施，如安裝防火墻等； ? 網(wǎng)絡(luò)之間互連點(diǎn)采取集中原則，并考慮安全冗余； (3) 公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)之間的互連原則： ? 網(wǎng)絡(luò)之間互連點(diǎn)采取集中原則，并考慮安全冗余； ? 互連點(diǎn)上必須實(shí)施安全措施，如安裝防火墻、實(shí)施入侵檢測(cè)等； ? 網(wǎng)絡(luò)互連點(diǎn)及安全設(shè)備必須納入到網(wǎng)管體系的監(jiān)控。 ? 在公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)必須設(shè)置接口機(jī)或代理服務(wù)器，用于與第三方網(wǎng)絡(luò)連接，禁止生產(chǎn)用的主機(jī)、服務(wù)器與第三方網(wǎng)絡(luò)直接連接； ? 與第三方網(wǎng)絡(luò)的連接中，在互連點(diǎn)上的防火墻上應(yīng)該進(jìn)行IP地址轉(zhuǎn)換，保護(hù)公司內(nèi)部接口機(jī)或代理

30、服務(wù)器真實(shí)的IP地址； ? 在防火墻上實(shí)施策略控制，嚴(yán)格限制訪問(wèn)的地址和端口。 (4) 內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的互連原則： ? 禁止計(jì)費(fèi)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間直接連接； ? 嚴(yán)格控制公司內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，由于業(yè)務(wù)需要，必須進(jìn)行連接的，必須實(shí)施嚴(yán)格的安全措施，如安裝防火墻、實(shí)施入侵檢測(cè)等； ? 遵循公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)之間的互連原則。 第七十二條 終端的接入管理 (1) 只有遵循本制度第十一章《終端用戶安全管理》的計(jì)算機(jī)終端方能接入公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)； (2) 外單位人員一般不允許接入公司內(nèi)部網(wǎng)，如因維護(hù)需要確需連入網(wǎng)絡(luò)，必須履行審批手續(xù)，并在相關(guān)人員隨工的

31、情況下方可接入； (3) 確需通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的，必須履行審批手續(xù)，在固定時(shí)間，通過(guò)身份驗(yàn)證后接入。對(duì)連接時(shí)間、事由都要有詳細(xì)記錄。 第二節(jié) 運(yùn)行管理 第七十三條 網(wǎng)絡(luò)監(jiān)控管理 (1) 網(wǎng)絡(luò)管理小組負(fù)責(zé)網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)安全的建設(shè)和維護(hù)，以實(shí)現(xiàn)對(duì)網(wǎng)元以及網(wǎng)絡(luò)安全情況的實(shí)時(shí)監(jiān)控和管理，確保整個(gè)網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行； (2) 各級(jí)網(wǎng)絡(luò)管理部門可使用入侵檢測(cè)、漏洞掃描等設(shè)備和技術(shù)定期對(duì)網(wǎng)絡(luò)安全情況進(jìn)行監(jiān)控和分析，對(duì)于監(jiān)控到的異常行為要有及時(shí)、有效的處理機(jī)制； (3) 網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的日常檢查，監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備性能參數(shù)和網(wǎng)絡(luò)運(yùn)行狀況；對(duì)關(guān)鍵設(shè)備要做到每日檢查，發(fā)現(xiàn)問(wèn)題應(yīng)迅速解決，全部

32、管理工作應(yīng)保留記錄； (4) 定期或不定期對(duì)備件及備用線路進(jìn)行檢測(cè)和維護(hù)； (5) 網(wǎng)絡(luò)安全監(jiān)控設(shè)備的運(yùn)行不能影響網(wǎng)絡(luò)的正常使用； (6) 各級(jí)網(wǎng)絡(luò)管理部門要對(duì)所有在線網(wǎng)絡(luò)設(shè)備運(yùn)行情況記錄登記，并定期向上級(jí)上報(bào)網(wǎng)絡(luò)運(yùn)行狀況報(bào)告。 第七十四條 網(wǎng)絡(luò)審計(jì)管理 (1) 系統(tǒng)管理員至少要每三個(gè)月對(duì)涉及網(wǎng)絡(luò)配置的增、刪、修改等操作的配置更改記錄進(jìn)行審計(jì)； (2) 安全監(jiān)督員至少要每三個(gè)月對(duì)系統(tǒng)用戶和管理員的訪問(wèn)權(quán)限進(jìn)行審查； (3) 建立統(tǒng)一的時(shí)鐘服務(wù)器，保證日志信息的準(zhǔn)確性； (4) 重要資源的訪問(wèn)控制策略至少要每六個(gè)月審計(jì)一次。 (5) 如果在上述審計(jì)和檢查工作中發(fā)現(xiàn)有安全事故,

33、應(yīng)遵照安全事故處理流程進(jìn)行處理。 第七章 數(shù)據(jù)安全管理 第一節(jié) 數(shù)據(jù)安全范圍 第七十五條 數(shù)據(jù)安全范圍是指公司所有數(shù)據(jù)對(duì)象及其存在形式（如文本、程序、系統(tǒng)數(shù)據(jù)）等等；需要保護(hù)的重要數(shù)據(jù)包括：運(yùn)營(yíng)支撐數(shù)據(jù)、業(yè)務(wù)支撐數(shù)據(jù)和管理支撐數(shù)據(jù)。 第二節(jié) 數(shù)據(jù)管理通則 第七十六條 數(shù)據(jù)的訪問(wèn)范圍和權(quán)限設(shè)置必須由系統(tǒng)或業(yè)務(wù)系統(tǒng)管理員集中控制，并可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。 第七十七條 數(shù)據(jù)訪問(wèn)采用分級(jí)管理，數(shù)據(jù)的操作必須經(jīng)過(guò)嚴(yán)格的身份鑒別與權(quán)限控制，確保數(shù)據(jù)訪問(wèn)遵循最小授權(quán)原則。關(guān)鍵業(yè)務(wù)數(shù)據(jù)和用戶帳號(hào)信息必須實(shí)行專人管理； 第七十八條 數(shù)據(jù)的更改應(yīng)嚴(yán)格遵循相關(guān)管

34、理辦法及操作規(guī)范執(zhí)行。應(yīng)采取有效措施防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。 第七十九條 嚴(yán)禁通過(guò)系統(tǒng)管理員帳號(hào)直接對(duì)系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)信息進(jìn)行增加、修改、復(fù)制和刪除等； 第八十條 重要數(shù)據(jù)的更改必須兩人負(fù)責(zé)，一人操作，一人審核，防止使用過(guò)程中產(chǎn)生誤操作或被非法篡改； 第八十一條 應(yīng)用軟件必須確保各處理環(huán)節(jié)數(shù)據(jù)輸入、輸出的平衡，并進(jìn)行必要的稽核； 第八十二條 應(yīng)用軟件對(duì)重要數(shù)據(jù)應(yīng)進(jìn)行傳輸加密和完整性校驗(yàn)處理； 第八十三條 網(wǎng)絡(luò)管理員應(yīng)定期改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞； 第八十四條 對(duì)外提供系統(tǒng)業(yè)務(wù)數(shù)據(jù)的統(tǒng)計(jì)必須參照數(shù)據(jù)提取流程進(jìn)行

35、審批，并簽訂保密協(xié)議，保障數(shù)據(jù)信息的使用范圍可控制； 第八十五條 系統(tǒng)管理員必須定期對(duì)系統(tǒng)數(shù)據(jù)的處理和傳輸進(jìn)行詳細(xì)的安全檢查和維護(hù)，避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)的信息造成破壞和損失； 第八十六條 數(shù)據(jù)安全保密管理應(yīng)嚴(yán)格執(zhí)行第八章《保密安全管理》的規(guī)定。 第三節(jié) 存儲(chǔ)、備份與恢復(fù) 第八十七條 數(shù)據(jù)備份應(yīng)保證及時(shí)、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改的介質(zhì)上，并規(guī)定保存期限； 第八十八條 備份介質(zhì)應(yīng)采用性能可靠、不易損壞的介質(zhì)，如磁帶、光盤等，并采取防盜、防毀、防電磁干擾等措施，保障數(shù)據(jù)安全； 第八十九條 備份介質(zhì)應(yīng)注明數(shù)據(jù)的來(lái)源、備份日期、恢復(fù)步驟等信息，并于安全環(huán)境保

36、管； 第1條 備份數(shù)據(jù)（包括系統(tǒng)、網(wǎng)絡(luò)配置文件、應(yīng)用軟件和應(yīng)用數(shù)據(jù)信息）應(yīng)專人統(tǒng)一管理。要建立備份介質(zhì)保管登記制度，由專人負(fù)責(zé)。嚴(yán)防業(yè)務(wù)數(shù)據(jù)泄密或丟失。 第2條 備份數(shù)據(jù)盡量做到異地、異人保存； 第3條 根據(jù)系統(tǒng)特點(diǎn)制定詳細(xì)的備份恢復(fù)方案。重要系統(tǒng)自運(yùn)行開(kāi)始必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問(wèn)題能夠及時(shí)恢復(fù)正常； 第4條 定期對(duì)備份數(shù)據(jù)的可用性進(jìn)行檢查。要保證備份數(shù)據(jù)是可讀的，經(jīng)常對(duì)備份介質(zhì)進(jìn)行測(cè)試； 第5條 備份數(shù)據(jù)應(yīng)做到定期全備份和增量備份。備份內(nèi)容包括系統(tǒng)備份和數(shù)據(jù)備份兩部分。系統(tǒng)常規(guī)備份至少每月一次，關(guān)鍵業(yè)務(wù)數(shù)據(jù)備份至少每天一次； 第6條 系統(tǒng)進(jìn)行升級(jí)前必須進(jìn)行系統(tǒng)

37、的完整備份； 第7條 網(wǎng)絡(luò)設(shè)備和主機(jī)的配置信息在每次更新后及時(shí)備份，更新前的備份按需要保存一定時(shí)間； 第8條 備份完成后要認(rèn)真填寫(xiě)備份日志； 第9條 當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失后，應(yīng)保護(hù)好現(xiàn)場(chǎng)，停止任何操作，立即通知系統(tǒng)管理員，由系統(tǒng)管理員采取相應(yīng)恢復(fù)措施； 第10條 如系統(tǒng)管理員不能恢復(fù)數(shù)據(jù)，視數(shù)據(jù)的重要程度，通知相關(guān)領(lǐng)導(dǎo)和信息安全工作組，并聯(lián)系第三方工程師解決； 第11條 備份數(shù)據(jù)的恢復(fù)需經(jīng)主管人員簽字認(rèn)可后，方可進(jìn)行； 第12條 對(duì)存儲(chǔ)有涉密數(shù)據(jù)的設(shè)備故障，需交外單位人員修理時(shí)，本單位必須派專人在場(chǎng)監(jiān)督； 第13條 過(guò)期的備份數(shù)據(jù)應(yīng)經(jīng)主管人員認(rèn)可后，方可銷毀。 第八章 保密安全管

38、理 第一節(jié) 涉密數(shù)據(jù)安全管理 第九十條 數(shù)據(jù)密級(jí)分類原則 數(shù)據(jù)密級(jí)根據(jù)其內(nèi)容重要性的不同，劃分為：機(jī)密、秘密、內(nèi)部、公共四個(gè)級(jí)別。其中，機(jī)密、秘密、內(nèi)部數(shù)據(jù)屬于涉密信息。 (1) 機(jī)密數(shù)據(jù) 機(jī)密數(shù)據(jù)是指那些具有最高安全級(jí)別，對(duì)企業(yè)正常經(jīng)營(yíng)、管理和安全運(yùn)行起到至關(guān)重要作用，一旦被非法訪問(wèn)或篡改，會(huì)導(dǎo)致災(zāi)難性的影響，并且這種影響在短時(shí)期內(nèi)是不可恢復(fù)的；或者會(huì)嚴(yán)重影響公司業(yè)務(wù)發(fā)展，使公司在市場(chǎng)競(jìng)爭(zhēng)中非常被動(dòng)的關(guān)鍵數(shù)據(jù)。 (2) 秘密數(shù)據(jù) 秘密數(shù)據(jù)是指那些必須在企業(yè)內(nèi)使用，并且有嚴(yán)格訪問(wèn)控制的信息。任何對(duì)秘密數(shù)據(jù)的非法訪問(wèn)、修改或刪除會(huì)嚴(yán)重影響企業(yè)內(nèi)計(jì)算機(jī)系統(tǒng)的安全，但這種影響

39、是可以在短時(shí)期內(nèi)恢復(fù)的；或者會(huì)對(duì)公司業(yè)務(wù)拓展產(chǎn)生不利影響但通過(guò)努力可以逐漸扭轉(zhuǎn)的數(shù)據(jù)。 (3) 內(nèi)部數(shù)據(jù) 內(nèi)部數(shù)據(jù)通常是指那些只供公司內(nèi)部使用的信息資料，任何對(duì)內(nèi)部數(shù)據(jù)的非法訪問(wèn)、修改或刪除可能會(huì)對(duì)企業(yè)安全造成一定的影響，但不可能是嚴(yán)重的或不可恢復(fù)的。 (4) 公共數(shù)據(jù) 公共數(shù)據(jù)是指可以公共訪問(wèn)和對(duì)外發(fā)布的信息，并且公共數(shù)據(jù)可以自由散布而不會(huì)產(chǎn)生任何安全問(wèn)題。 第九十一條 涉密數(shù)據(jù)密級(jí)確認(rèn) (1) 根據(jù)公司有關(guān)的保密文件，確定需要保密的信息內(nèi)容、劃分編發(fā)等級(jí)、明確信息提供范圍。對(duì)于未明確密級(jí)但內(nèi)容涉密的信息，要根據(jù)有關(guān)的保密規(guī)定，確定編發(fā)級(jí)別；對(duì)有涉密嫌疑又來(lái)源不明的信息不予編發(fā)；

40、 (2) 數(shù)據(jù)的管理者應(yīng)確保這些數(shù)據(jù)被恰當(dāng)?shù)姆诸?，并確保原創(chuàng)人或其他員工理解他們的責(zé)任； (3) 保密文件由擬制人根據(jù)文件密級(jí)不同，提交不同級(jí)別的領(lǐng)導(dǎo)進(jìn)行密級(jí)確認(rèn)，保密數(shù)據(jù)由業(yè)務(wù)系統(tǒng)管理員根據(jù)數(shù)據(jù)密級(jí)不同，做好數(shù)據(jù)密級(jí)分類記錄，提交不同級(jí)別的領(lǐng)導(dǎo)進(jìn)行密級(jí)確認(rèn)，數(shù)據(jù)密級(jí)分類記錄表可參考附件三,在確認(rèn)之前不得將文件內(nèi)容透露給與確認(rèn)密級(jí)無(wú)關(guān)的人； (4) 密級(jí)確認(rèn)的具體權(quán)限為： ? 機(jī)密數(shù)據(jù)由公司一級(jí)部門以上的高層領(lǐng)導(dǎo)確認(rèn)； ? 秘密數(shù)據(jù)由公司二級(jí)部門以上的領(lǐng)導(dǎo)確認(rèn)； ? 內(nèi)部數(shù)據(jù)由各部門經(jīng)理確認(rèn)； ? 公共數(shù)據(jù)由發(fā)文單位根據(jù)需要進(jìn)行確認(rèn)。 (5) 對(duì)涉密數(shù)據(jù)的密級(jí)，每年需要評(píng)審，密

41、級(jí)變化后應(yīng)改變文檔的分類標(biāo)簽同時(shí)通知相關(guān)的人員； (6) 所有的涉密數(shù)據(jù)都有一段密級(jí)保持時(shí)間。 第九十二條 涉密數(shù)據(jù)的獲取 (1) 必須首先經(jīng)過(guò)申請(qǐng)批準(zhǔn)，才能查詢和閱讀文檔、數(shù)據(jù),。查閱權(quán)限申請(qǐng)流程： ? 機(jī)密數(shù)據(jù)：公司總經(jīng)理及一級(jí)部門以上領(lǐng)導(dǎo)及其簽字批準(zhǔn)的人員； ? 秘密數(shù)據(jù)：部門經(jīng)理以上領(lǐng)導(dǎo)及其簽字批準(zhǔn)的人員； ? 內(nèi)部數(shù)據(jù)：部門副經(jīng)理以上領(lǐng)導(dǎo)及其簽字批準(zhǔn)的人員。 (2) 嚴(yán)禁復(fù)制機(jī)密數(shù)據(jù)。申請(qǐng)復(fù)制秘密數(shù)據(jù)必須由一級(jí)部門、部門經(jīng)理以上領(lǐng)導(dǎo)批準(zhǔn)，申請(qǐng)復(fù)制內(nèi)部數(shù)據(jù)由部門副經(jīng)理、三級(jí)部門主管簽字批準(zhǔn)； (3) 信息使用、加工處理部門及網(wǎng)絡(luò)管理部門，不得通過(guò)不正當(dāng)?shù)氖侄?，超越?quán)限查

42、看、使用、復(fù)制保密信息，也不能擅自降低保密級(jí)別，把涉密信息作為非涉密信息傳播。 (4) 管理者負(fù)責(zé)從那些不再需要的員工手中取回任何公司涉密數(shù)據(jù)； 第九十三條 涉密數(shù)據(jù)的傳遞 涉密數(shù)據(jù)的傳遞必須經(jīng)過(guò)審批并采用適當(dāng)?shù)姆绞竭M(jìn)行傳遞； 文檔的密級(jí)必須清楚地標(biāo)識(shí)在各種電子信息文檔的每一頁(yè)上，或每個(gè)電子文件的開(kāi)始；如果不能標(biāo)識(shí)，原創(chuàng)人必須告知所有接受者數(shù)據(jù)的密級(jí)； 涉密數(shù)據(jù)的披露或分發(fā)應(yīng)當(dāng)有所記錄，涉密數(shù)據(jù)的分發(fā)必須發(fā)至收件人 本人，并由收件人簽收； 在對(duì)外合作中，如確實(shí)需向合作方提供公司涉密數(shù)據(jù)的，必須按密級(jí)由相應(yīng)領(lǐng)導(dǎo)書(shū)面批準(zhǔn)，并在提供前與之簽訂保密協(xié)議； 內(nèi)部公共數(shù)據(jù)可以按部門分發(fā)或

43、在公司內(nèi)部公告欄內(nèi)張貼，也可以在公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)布； 機(jī)密、秘密數(shù)據(jù)嚴(yán)禁在計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)布、公開(kāi)和傳送，內(nèi)部數(shù)據(jù)如需在網(wǎng)絡(luò)上傳送，應(yīng)得到相應(yīng)領(lǐng)導(dǎo)的批準(zhǔn)； 計(jì)算機(jī)信息系統(tǒng)處理、傳遞、儲(chǔ)存涉密信息的文件、資料特別是涉及國(guó)家秘密信息的文件、資料時(shí)，公司應(yīng)采用相應(yīng)的防范措施，以從物理上、邏輯上確保重要數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩浴Ｍǔ?huì)考慮采用數(shù)據(jù)加密、安全密鑰或侵入監(jiān)測(cè)系統(tǒng)加以監(jiān)控。 涉密數(shù)據(jù)保管、存檔 要加強(qiáng)對(duì)計(jì)算機(jī)介質(zhì)（軟盤、磁帶、光盤、磁卡等）的管理，對(duì)儲(chǔ)存有秘密文件、資料的計(jì)算機(jī)等設(shè)備要有專人或兼職人員操作，采取必要的防范措施，嚴(yán)格對(duì)涉密存儲(chǔ)介質(zhì)的管理，建立規(guī)范的管理制度，存儲(chǔ)有涉密

44、內(nèi)容的介質(zhì)一律不得進(jìn)入互聯(lián)網(wǎng)絡(luò)使用； 機(jī)密、秘密數(shù)據(jù)由數(shù)據(jù)的簽收人和簽發(fā)人親自保管。內(nèi)部數(shù)據(jù)由收件人本人或本部門專人保管，內(nèi)部公共數(shù)據(jù)一般由各部門專人保管； 涉密數(shù)據(jù)的查閱和復(fù)制應(yīng)當(dāng)在文件保管人處進(jìn)行登記，以備核查； 如涉密數(shù)據(jù)的保管人不慎將文件丟失，應(yīng)立即向相應(yīng)的領(lǐng)導(dǎo)匯報(bào)情況，盡快挽回?fù)p失，減小影響； 公司機(jī)密以及行政機(jī)密、內(nèi)部數(shù)據(jù)在文件管理部門存檔； 各部門機(jī)密、秘密數(shù)據(jù)在部門內(nèi)存檔； 在文檔和程序中注明版權(quán)（非授權(quán)批準(zhǔn)）不允許傳遞（賣）給第三方； 時(shí)效性特別強(qiáng)的信息的處理不能通過(guò)EMAIL、電話等等，除非這些信息己經(jīng)公開(kāi)發(fā)布； 在日常工作時(shí)間之外，含有涉密數(shù)據(jù)的必須加密，

45、除非特別授權(quán)； 在無(wú)人照看的場(chǎng)所應(yīng)保護(hù)敏感信息（鎖在柜中、如果離開(kāi)時(shí)間超過(guò)30分鐘房間應(yīng)上鎖）； 在個(gè)人計(jì)算機(jī)上的涉密數(shù)據(jù)存儲(chǔ)，必須加設(shè)訪問(wèn)口令； 計(jì)算機(jī)存儲(chǔ)介質(zhì)不再用于涉密數(shù)據(jù)存儲(chǔ)時(shí)，必須要進(jìn)行消磁或者重新格式化；系統(tǒng)內(nèi)涉密數(shù)據(jù)數(shù)據(jù)不再有效時(shí)，應(yīng)由數(shù)據(jù)使用部門提出正式申請(qǐng)，系統(tǒng)擁有者或信息安全經(jīng)理簽字審批后，由系統(tǒng)管理員立即進(jìn)行徹底刪除，并由第三者進(jìn)行確認(rèn)。 不要在PC或者個(gè)人工作臺(tái)上保留涉密數(shù)據(jù)（除非信息安全組批準(zhǔn)并實(shí)施了控制方法）； 執(zhí)行公司或行業(yè)的其它信息保密制度。 第二節(jié) 涉密網(wǎng)絡(luò)安全管理 第九十四條 凡本部門使用互聯(lián)網(wǎng)絡(luò)的人員，必須有一位主管分管并指定專人負(fù)

46、責(zé)本單位或本部門網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)安全保密工作，經(jīng)常進(jìn)行監(jiān)督、檢查，處理本單位涉及網(wǎng)絡(luò)安全保密的有關(guān)事宜，并協(xié)助主管部門開(kāi)展安全保密工作的檢查指導(dǎo)； 第九十五條 計(jì)算機(jī)網(wǎng)絡(luò)用戶的口令和采取的安全措施，屬于秘密級(jí)事項(xiàng)；有調(diào)閱機(jī)密內(nèi)容權(quán)限的用戶口令和網(wǎng)絡(luò)系統(tǒng)級(jí)口令及安全措施屬于機(jī)密事項(xiàng)，不能轉(zhuǎn)告非授權(quán)用戶； 第九十六條 不得在網(wǎng)上擅自連接各類網(wǎng)絡(luò)設(shè)備。所有網(wǎng)絡(luò)設(shè)備的增減與變動(dòng)，其技術(shù)方案必須經(jīng)過(guò)審批，并在華數(shù)數(shù)字電視IT管理部技術(shù)人員的監(jiān)督下執(zhí)行； 第九十七條 各部門需要安裝主機(jī)、服務(wù)器等設(shè)備時(shí)，必須預(yù)先報(bào)系統(tǒng)主管部門核準(zhǔn)，并由其進(jìn)行安全和技術(shù)審核，分配網(wǎng)絡(luò)地址和設(shè)置安全措施后，方可實(shí)施安裝； 第

47、九十八條 各單位需要通過(guò)互聯(lián)網(wǎng)與外單位進(jìn)行信息（含數(shù)據(jù)）交換，應(yīng)經(jīng)過(guò)公司提供的統(tǒng)一網(wǎng)絡(luò)信道進(jìn)出。由于特殊原因個(gè)別部門要求建立獨(dú)立的網(wǎng)絡(luò)信息通道時(shí)，應(yīng)事先報(bào)部門經(jīng)理批準(zhǔn)并經(jīng)系統(tǒng)主管部門進(jìn)行內(nèi)部技術(shù)安全審查； 第九十九條 對(duì)預(yù)先未經(jīng)安全技術(shù)審核、批準(zhǔn)，而私自接入或使用網(wǎng)絡(luò)設(shè)備的單位以及進(jìn)行其他違章操作的單位，一經(jīng)發(fā)現(xiàn)，即停止該單位的入網(wǎng)資格，并拆除私自聯(lián)入的設(shè)備。造成損失的，要追究責(zé)任； 第一百條 凡屬公司涉密文件、資料一律不得輸入計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，本單位、本部門科學(xué)研究方面的文件、資料、成果，如屬國(guó)家秘密范圍，不得進(jìn)入互聯(lián)網(wǎng)絡(luò)； 第一百〇一條 必須做好涉密數(shù)據(jù)的保管工作，管好秘密源頭。

48、 第三節(jié) 涉密人員安全管理 第一百〇二條 必須簽訂保密協(xié)議，保密協(xié)議應(yīng)包括： 1.保密的內(nèi)容和范圍 2.保密的期限 3.雙方的義務(wù) 4.違約責(zé)任 第一百〇三條 基本保密義務(wù)： 應(yīng)當(dāng)遵守組織的保密制度，妥善保管其所保存的組織秘密資料，不得刺探與本職工作、本身業(yè)務(wù)無(wú)關(guān)的公司秘密，不得泄露公司的技術(shù)秘密； 非經(jīng)公司書(shū)面同意，不得利用公司的商業(yè)秘密進(jìn)行生產(chǎn)、經(jīng)營(yíng)和兼職活動(dòng)，不得利用公司的商業(yè)秘密組建新的企業(yè)； 如果發(fā)現(xiàn)公司秘密被泄露，應(yīng)當(dāng)采取有效措施防止泄密擴(kuò)大，并及時(shí)告知公司； 無(wú)論是在職還是離職，不得披露、使用或者允許他人使用公司的商業(yè)秘密，不得利用公司的商業(yè)秘密從事兼職

49、活動(dòng)，不得利用公司的商業(yè)秘密到其他單位任職； 員工離職時(shí)，應(yīng)當(dāng)將所持有的秘密資料如數(shù)歸還公司，不得保留拷貝； 員工離職后在約定期限內(nèi)不得泄露原公司機(jī)密。 第九章 防病毒安全管理 第一節(jié) 建立病毒預(yù)警機(jī)制 第一百〇四條 制定防病毒的管理制度和操作指南； 第一百〇五條 設(shè)立專門的管理員負(fù)責(zé)防病毒的管理工作； 第一百〇六條 管理員要及時(shí)了解防殺計(jì)算機(jī)病毒廠商公布的計(jì)算機(jī)病毒情報(bào)，關(guān)注新產(chǎn)生的、傳播面廣的計(jì)算機(jī)病毒，并知道它們的發(fā)作特征和存在形態(tài)，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)出現(xiàn)的異常是否與新的計(jì)算機(jī)病毒有關(guān)； 第一百〇七條 管理員要及時(shí)了解操作系統(tǒng)廠商所發(fā)布的漏洞情況，對(duì)于很可能被病

50、毒利用的遠(yuǎn)程控制的漏洞要及時(shí)提醒用戶安裝相關(guān)補(bǔ)丁； 第一百〇八條 對(duì)有嚴(yán)重破壞力的計(jì)算機(jī)病毒的爆發(fā)日期或爆發(fā)條件，及時(shí)通知所有相關(guān)人員進(jìn)行相應(yīng)防范。 第一百〇九條 如遇病毒安全事故，則按照信息安全事件響應(yīng)。 第二節(jié) 防病毒軟件的安裝使用 第一百一十條 防病毒軟件的部署： 應(yīng)在全網(wǎng)范圍內(nèi)建立多層次的防病毒體系，要使用國(guó)家規(guī)定的、服務(wù)技術(shù)支持優(yōu)秀、具有計(jì)算機(jī)使用系統(tǒng)安全專用產(chǎn)品銷售許可證的網(wǎng)絡(luò)防病毒產(chǎn)品。 IT管理部負(fù)責(zé)對(duì)公司防病毒軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理。 (1) 在Internet出口處部署網(wǎng)關(guān)型防病毒軟件，重點(diǎn)要對(duì)進(jìn)入網(wǎng)絡(luò)的SMTP郵件進(jìn)行實(shí)時(shí)

51、病毒過(guò)濾； (2) 在群件系統(tǒng)上部署群件防病毒軟件，對(duì)郵件、文檔等進(jìn)行實(shí)時(shí)的病毒過(guò)濾，防止計(jì)算機(jī)病毒通過(guò)群件服務(wù)器擴(kuò)散、傳播； (3) 在所有的Windows服務(wù)器與客戶端中部署病毒實(shí)時(shí)監(jiān)控軟件； (4) 服務(wù)器和客戶端的防病毒系統(tǒng)必須能夠統(tǒng)一管理，可以統(tǒng)一升級(jí)、殺毒、監(jiān)控。 第一百一十一條 防病毒軟件的安裝： (1) 對(duì)新購(gòu)進(jìn)的計(jì)算機(jī)及設(shè)備，在安裝完操作系統(tǒng)后，要在第一時(shí)間內(nèi)安裝防病毒軟件； (2) 沒(méi)有安裝防病毒軟件的Windows系統(tǒng)不得接入到生產(chǎn)網(wǎng)絡(luò)中； (3) 防病毒軟件的類型遵循統(tǒng)一規(guī)劃，不得私自安裝其他類型的軟件。 第一百一十二條 防病毒軟件的升級(jí)： (1) 病

52、毒特征庫(kù)至少要做到每天自動(dòng)升級(jí)檢查，自動(dòng)部署； (2) 對(duì)病毒特征庫(kù)的升級(jí)情況應(yīng)該進(jìn)行手工檢查，將當(dāng)前版本與軟件廠商在網(wǎng)站上公布的版本進(jìn)行比較。應(yīng)該每周檢查一次； (3) 一旦出現(xiàn)傳播速度快，威脅大的新病毒，應(yīng)該立即進(jìn)行手工升級(jí)。 第一百一十三條 防病毒軟件的維護(hù)： (1) 防病毒系統(tǒng)管理員負(fù)責(zé)軟件的總體維護(hù)，定期（每天）檢查防病毒服務(wù)器端軟件的運(yùn)轉(zhuǎn)情況，如有異常及時(shí)處理； (2) 各個(gè)服務(wù)器系統(tǒng)的管理員有責(zé)任維護(hù)本機(jī)防病毒系統(tǒng)的正常運(yùn)轉(zhuǎn)，也需要定期對(duì)防病毒軟件的升級(jí)情況進(jìn)行監(jiān)控。如果遇到問(wèn)題或者病毒報(bào)警，與防病毒管理員共同解決。 第三節(jié) 防范病毒措施 第一百一十四條 公司

53、要求所有服務(wù)器及個(gè)人電腦均安裝防病毒軟件，并至少實(shí)現(xiàn)由防病毒軟件的服務(wù)器端強(qiáng)制所有終端聯(lián)網(wǎng)后可以自動(dòng)實(shí)時(shí)更新病毒庫(kù)。 第一百一十五條 操作系統(tǒng)和重要應(yīng)用的管理員帳號(hào)的口令應(yīng)該具備一定的復(fù)雜度，防止被病毒利用，口令設(shè)置遵循本制度第四章《用戶帳號(hào)與口令安全管理》； 第一百一十六條 關(guān)鍵服務(wù)器要盡量做到專機(jī)專用，不應(yīng)該開(kāi)啟任何網(wǎng)絡(luò)共享； 第一百一十七條 對(duì)共享的網(wǎng)絡(luò)文件服務(wù)器，應(yīng)特別加以維護(hù)，控制讀寫(xiě)權(quán)限，盡量不在服務(wù)器上遠(yuǎn)程運(yùn)行軟件程序； 第一百一十八條 對(duì)于出現(xiàn)的最新病毒，在廠家沒(méi)有發(fā)布特征庫(kù)解決方案之前，要根據(jù)病毒自身特點(diǎn)在網(wǎng)關(guān)處進(jìn)行內(nèi)容過(guò)濾； 第一百一十九條 在網(wǎng)絡(luò)設(shè)備上關(guān)閉病毒的

54、常用端口； 第一百二十條 IE安全級(jí)別設(shè)置在中以上，對(duì)ActiveX控件要確認(rèn)安全后才可打開(kāi)； 第一百二十一條 建立網(wǎng)內(nèi)防病毒技術(shù)支持系統(tǒng)，使用電話、郵件等手段對(duì)用戶在防病毒方面進(jìn)行技術(shù)支持。 第四節(jié) 病毒處理 第一百二十二條 隔離受感染主機(jī)： 當(dāng)出現(xiàn)計(jì)算機(jī)病毒傳染跡象時(shí)，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)，并進(jìn)行處理，原則上不應(yīng)帶“毒”繼續(xù)運(yùn)行； 第一百二十三條 確定病毒種類特征： 采用多種手段確定病毒的類型和傳播途徑，如查看防病毒軟件的報(bào)警信息、搜索互聯(lián)網(wǎng)相關(guān)信息、和防病毒廠商溝通等途徑。對(duì)于未知病毒，可以盡快提交給有關(guān)部門或廠商； 第一百二十四條 防止擴(kuò)

55、散： 如果出現(xiàn)大面積傳播的趨勢(shì)，要根據(jù)病毒的傳播形式，采取網(wǎng)絡(luò)訪問(wèn)控制、內(nèi)容過(guò)濾等手段控制病毒的擴(kuò)散； 第一百二十五條 查殺病毒： 盡量使用專殺工具對(duì)病毒進(jìn)行查殺，殺毒完成后，重啟計(jì)算機(jī)，再次用最新升級(jí)的防病毒軟件檢查系統(tǒng)中是否還存在該病毒，如是系統(tǒng)漏洞應(yīng)及時(shí)打上相應(yīng)補(bǔ)丁，并確定被感染破壞的數(shù)據(jù)是否確實(shí)完全恢復(fù)； 第一百二十六條 如果重要數(shù)據(jù)文件被感染，無(wú)法修復(fù)，可以請(qǐng)數(shù)據(jù)恢復(fù)的專業(yè)人員進(jìn)行處理。 第四節(jié) 員工防病毒安全管理 第一百二十七條 重視管理員發(fā)布的病毒和補(bǔ)丁通告，提高病毒的防范意識(shí)，及時(shí)安裝操作系統(tǒng)補(bǔ)丁； 第一百二十八條 只有安裝了防病毒軟件的

56、計(jì)算機(jī)系統(tǒng)才能夠接入公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)，防病毒軟件必須選擇公司統(tǒng)一指定的類型； 第一百二十九條 用戶有協(xié)助管理員維護(hù)本機(jī)系統(tǒng)防病毒軟件的義務(wù)，如果防病毒軟件出現(xiàn)工作異常，病毒特征庫(kù)過(guò)舊(更新時(shí)間為兩周前)等問(wèn)題，應(yīng)該及時(shí)通知管理員進(jìn)行維護(hù)； 第一百三十條 嚴(yán)禁用戶以任何方式卸載防病毒軟件和停止防病毒服務(wù)； 第一百三十一條 軟盤、光盤等移動(dòng)媒體，以及外來(lái)的系統(tǒng)和軟件，下載軟件等，要先進(jìn)行計(jì)算機(jī)病毒檢查，確認(rèn)無(wú)計(jì)算機(jī)病毒后才可以使用；嚴(yán)禁使用未經(jīng)清查的、來(lái)歷不明的軟盤、光盤等； 第一百三十二條 不要閱讀和傳播來(lái)歷不明的郵件，用郵件客戶端收取郵件時(shí)設(shè)置默認(rèn)為文本方式； 第一百三十三條 如果

57、發(fā)現(xiàn)本機(jī)有感染病毒的跡象，應(yīng)立刻通知系統(tǒng)管理員，必要時(shí)拔掉網(wǎng)線。 第一百三十四條 定期對(duì)所有重要敏感數(shù)據(jù)進(jìn)行備份； 第一百三十五條 用戶有義務(wù)為自己的電腦設(shè)置帳戶口令，口令長(zhǎng)度8位以上，不得設(shè)置簡(jiǎn)單口令，口令設(shè)置遵循本制度第四章《用戶帳號(hào)與口令安全管理》； 第一百三十六條 定期對(duì)自己的電腦進(jìn)行殺毒和漏洞掃描； 第十章 電子郵件安全管理 第一節(jié) 電子郵件服務(wù)安全管理 第一百三十七條 郵件帳號(hào)管理 (1) 帳號(hào)口令的設(shè)置原則遵循本制度第四章《用戶帳號(hào)與口令安全管理》； (2) 如果確認(rèn)某個(gè)帳號(hào)的活動(dòng)已經(jīng)威脅到整個(gè)系統(tǒng)的安全，應(yīng)立即禁用此帳號(hào)，并第一時(shí)間通知用戶； (3)

58、 網(wǎng)絡(luò)應(yīng)能控制用戶登錄入郵件系統(tǒng)次數(shù)，應(yīng)對(duì)所有用戶的訪問(wèn)進(jìn)行審計(jì)，如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息； (4) 建立口令管理制度。做到口令專管專用、定期更改，失密后立即報(bào)告； (5) 系統(tǒng)管理員在應(yīng)用戶要求并且由部門接口人確認(rèn)后由部門接口人送郵件至IT管理部后，可以修改用戶口令； (6) 離職員工在離職日起必須對(duì)其持有的公司內(nèi)部員工郵件帳號(hào)進(jìn)行刪除； (7) 禁止匿名發(fā)送郵件，必須做身份認(rèn)證。 第一百三十八條 容量限制 (1) 限制用戶郵箱的總?cè)萘? 對(duì)用戶的郵箱應(yīng)根據(jù)系統(tǒng)容量及需求設(shè)置相應(yīng)的容量限制； (2) 限制郵件傳輸容量 ? 對(duì)傳輸郵件的大小

59、應(yīng)做相應(yīng)的限定。如果由于用戶發(fā)送的郵件超過(guò)規(guī)定限額，造成網(wǎng)絡(luò)擁塞，郵件服務(wù)器癱瘓等問(wèn)題，系統(tǒng)管理員將限制該用戶的郵箱只能收，不能發(fā)，或者關(guān)閉該用戶的郵箱，直到該用戶重新申請(qǐng)郵箱為止。需緊急發(fā)送并超過(guò)限定大小的，請(qǐng)以網(wǎng)站下載、FTP或其它方式替代； ? 為了避免郵件服務(wù)器資源被過(guò)量使用，堅(jiān)決杜絕大規(guī)模群組發(fā)送郵件；如確有需要，應(yīng)分批發(fā)送。通知、公告一類的內(nèi)容應(yīng)盡量通過(guò)應(yīng)用中的公告牌發(fā)布。 第一百三十九條 隱私保護(hù) 不得違法公開(kāi)、編輯或透露用戶的郵件內(nèi)容。 第二節(jié) 電子郵件用戶使用安全 第一百四十條 電子郵件內(nèi)容 (1) 禁止利用電子郵件服務(wù)發(fā)送連環(huán)郵件、分發(fā)垃圾郵件； (

60、2) 禁止傳輸任何騷擾性的、中傷他人的、恐嚇性的、庸俗、淫穢以及其他違反國(guó)家和公司規(guī)定內(nèi)容的信息資料； (3) 禁止散布電腦病毒、木馬程序、干擾網(wǎng)絡(luò)上其他使用者及破壞網(wǎng)絡(luò)節(jié)點(diǎn)的軟硬件系統(tǒng)，或其它類似情形。 第一百四十一條 電子郵件操作 (1) 用戶必須以本人的真實(shí)身份使用用于辦公用途的電子郵件，禁止以他人名義濫發(fā)郵件或盜用他人郵箱。未經(jīng)授權(quán)任何人不得以他人帳戶口令進(jìn)行登錄，閱讀他人郵件內(nèi)容； (2) 郵箱用戶的登錄密碼（用戶口令），必須嚴(yán)格保密，不得泄露，用戶使用完郵件系統(tǒng)后，必須立即退出登錄，以防他人冒名使用。用戶必須使用本人的郵件帳號(hào)口令訪問(wèn)系統(tǒng)。如將其借予他人使用，由此造成的一切

61、安全后果由郵件帳號(hào)所有人承擔(dān)； (3) 用戶若發(fā)現(xiàn)任何非法使用該用戶帳號(hào)或其它系統(tǒng)安全漏洞情況，須立即通告系統(tǒng)管理員； (4) 不要閱讀和傳播來(lái)歷不明的郵件及附件，提高對(duì)于病毒郵件的防范意識(shí)，避免傳遞病毒郵件，具體措施遵循本制度第九章《防病毒安全管理》； (5) 用戶不得將公司提供的電子郵件地址用于非工作目的(特別是以?shī)蕵?lè)、購(gòu)物、交友等為目的身份注冊(cè))，如果受到大量垃圾郵件的困擾應(yīng)該通知系統(tǒng)管理員； (6) 郵件用戶必須經(jīng)常清理各自的郵箱，防止郵箱超限。用戶要保留的郵件要及時(shí)拷貝到本地計(jì)算機(jī)上保留； (7) 郵件系統(tǒng)管理員必須遵守有關(guān)法律規(guī)定和職業(yè)道德規(guī)范，維護(hù)企業(yè)、用戶個(gè)人的隱私與

62、安全。 第十一章 終端用戶安全管理 第一節(jié) 終端安全管理 第一百四十二條 根據(jù)終端用途的不同，將終端分為：普通辦公終端、營(yíng)業(yè)終端和系統(tǒng)維護(hù)終端三大類。對(duì)終端管理要求如下： (1) 發(fā)現(xiàn)終端運(yùn)行異常，及時(shí)與終端維護(hù)部門或單位聯(lián)系，非專業(yè)管理人員不得擅自拆開(kāi)終端調(diào)換設(shè)備配件； (2) 外來(lái)人員攜帶電腦需要接入公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的，必須征得相關(guān)部門負(fù)責(zé)人允許方可接入，并且要在相關(guān)人員隨工的情況下完成操作； (3) 新購(gòu)終端入網(wǎng)前要進(jìn)行病毒掃描并統(tǒng)一部署安全軟件； (4) 系統(tǒng)維護(hù)終端只能用來(lái)進(jìn)行系統(tǒng)維護(hù)管理和優(yōu)化操作，不得接入互聯(lián)網(wǎng)。 (5) 禁止?fàn)I業(yè)終端接入互聯(lián)網(wǎng)。

63、 第二節(jié) 終端用戶帳戶與口令管理 第一百四十三條 終端用戶要嚴(yán)格遵循本制度第四章《用戶帳號(hào)與口令安全管理》中的有關(guān)規(guī)定，定期更換口令，并盡量避免口令泄露，否則按照安全事件的嚴(yán)重程度追究相應(yīng)人員的責(zé)任。 第三節(jié) 終端用戶行為規(guī)范 第一百四十四條 未經(jīng)授權(quán)嚴(yán)禁使用他人帳號(hào)口令進(jìn)行系統(tǒng)操作； 第一百四十五條 不得隨意將終端設(shè)備提供給他人使用，長(zhǎng)時(shí)間離開(kāi)時(shí)，應(yīng)將終端置于鎖定狀態(tài)或關(guān)機(jī)； 第一百四十六條 不得利用終端安裝或使用嗅探、掃描、攻擊等各類黑客軟件進(jìn)行信息竊取或攻擊他人或其他系統(tǒng)； 第一百四十七條 禁止利用終端從事危害國(guó)家安全、泄漏國(guó)家秘密等違法犯罪活動(dòng)，禁止編制、運(yùn)

64、行、傳播危害網(wǎng)絡(luò)安全的軟件，禁止制作、查閱、復(fù)制和傳播妨礙社會(huì)治安的信息和淫穢色情等信息； 第一百四十八條 禁止利用終端進(jìn)行大量占用網(wǎng)絡(luò)資源的操作，以免造成整體網(wǎng)絡(luò)處理性能的下降； 第一百四十九條 禁止用戶隨意改動(dòng)自己的網(wǎng)絡(luò)參數(shù)配置，包括IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS等； 第一百五十條 禁止用戶采用任何工具私自修改網(wǎng)卡的MAC地址。 第四節(jié) 終端用戶防病毒安全管理 第一百五十一條 終端用戶必須提高病毒的防范意識(shí)，嚴(yán)格遵循本制度第九章《防病毒安全管理》中的規(guī)定，統(tǒng)一部署殺毒軟件，及時(shí)更新病毒庫(kù)。 第五節(jié) 終端用戶電子郵件安全管理 第一百五十二條 終端用戶在使用

65、終端進(jìn)行郵件收發(fā)時(shí)，須遵循本制度第十章《電子郵件安全管理》中的相關(guān)規(guī)定。 第十二章 安裝及升級(jí)安全管理 第一節(jié) 軟件安裝安全管理 第一百五十三條 所有新的應(yīng)用系統(tǒng)軟件或者軟件增強(qiáng)部分功能必須在用戶需求說(shuō)明中詳細(xì)定義，并提交給業(yè)務(wù)系統(tǒng)管理員審核； 第一百五十四條 所有的應(yīng)用軟件包必須與公司首選并且認(rèn)證過(guò)的計(jì)算機(jī)系統(tǒng)平臺(tái)保持兼容； 第一百五十五條 為了遵守法規(guī)和取得賣方的各方面支持，軟件必須附帶包括各種條款的最終用戶授權(quán)協(xié)議； 第一百五十六條 新軟件和升級(jí)軟件在實(shí)施前必須搭建測(cè)試環(huán)境進(jìn)行功能、性能和兼容性測(cè)試。測(cè)試前應(yīng)提供測(cè)試方案，測(cè)試后提供詳細(xì)的測(cè)試報(bào)告。 第一百五

66、十七條 公司應(yīng)有明確規(guī)定各類服務(wù)器設(shè)備、終端安裝的軟件，禁止安裝盜版軟件和非認(rèn)可軟件； 第一百五十八條 對(duì)于公司設(shè)備及所安裝的軟件及LICENSE應(yīng)有清晰的記錄； 第一百五十九條 對(duì)于非規(guī)定范圍內(nèi)的軟件安裝前應(yīng)由系統(tǒng)維護(hù)人員進(jìn)行評(píng)估和記錄，并交由信息安全經(jīng)理審核批準(zhǔn)后，方可認(rèn)為為認(rèn)可軟件，進(jìn)入系統(tǒng)使用。 第一百六十條 制定所有設(shè)備（含終端設(shè)備）所安裝軟件至少定期（6個(gè)月）和不定期檢查流程，并進(jìn)行結(jié)果通報(bào)；檢查內(nèi)容包括設(shè)備型號(hào)、具體配置、安裝的軟件名稱、用途、許可證號(hào)等。 第二節(jié) 主機(jī)設(shè)備安裝安全管理 第一百六十一條 每個(gè)操作系統(tǒng)必須要有系統(tǒng)加固手冊(cè)，信息安全工作組應(yīng)對(duì)每一平臺(tái)(如Linux, Solaris, Windows, HPUX, AIX等)的加固方式進(jìn)行評(píng)估。系統(tǒng)的加固手冊(cè)應(yīng)至少包括如下內(nèi)容： (1) 關(guān)閉不必要的服務(wù)； (2) 對(duì)系統(tǒng)中的密碼設(shè)置需要有如下限制，主要包括密碼長(zhǎng)度不能少于8位;應(yīng)該有數(shù)字﹑字母和特殊字母三種組成;密碼的有效期最長(zhǎng)為三個(gè)月，密碼輸入錯(cuò)誤10次以上，用戶賬號(hào)應(yīng)該被鎖定； (3) 系統(tǒng)管理員可以鎖定賬號(hào)和為用戶賬號(hào)進(jìn)行解鎖；