資訊保安管理辦法

第一章總則

第一條為保障公司資訊保安，切實推行安全管理，積極預防風險，完善控制措施，制定本辦法。

第二條本辦法適用於公司各職能部門、分公司資訊保安管理。

第二章主要內容及工作職責

第三條資訊保安管理的主要工作內容包括機房安全管理、網路安全管理、主機安全管理、應用安全管理、資料安全管理和管理安全工作。

第四條 it中心工作職責

1、it中心為公司資訊保安管理主管部門。

2、負責公司資訊保安管理策略制訂與落實。

3、負責起草資訊保安規章制度，承擔資訊保安保障建設、資訊保安日常管理職能，提供資訊保安技術保障。

4、負責各中心、分公司、專（兼）職資訊管理員資訊保安指導、培訓。

第五條各中心、分公司

1、指定專人擔任專職或兼職資訊管理員，負責協助it中心開展資訊保安實施工作，並提供部門內部技術支援和網路管理工作。

2、負責落實相關資訊保安管理工作在部門內的實施。

3、負責業務操作層的相關資訊保安保障。

4、負責做好本部門人員的資訊保安教育工作，提高人員的資訊保安意識和技能水平。

第三章機房安全管理

第六條機房人員出入、巡檢、操作和裝置管理請參照《機房安全管理規定》。

第四章網路安全管理

第七條公司內部網路與網際網路實行安全隔離，在網路邊界處應部署防火牆或其他安全訪問控制裝置，制定訪問控制規則。

第八條新增網路裝置入網時，網路管理員應按照《網路裝置安全配置檢查表》進行檢查（見附錄a），經資訊保安管理員確認所有檢查項檢查結果全部為「是」後允許網路裝置進入網路執行。

第九條網路新建或改造，在投入使用前，網路管理員須進行網路連通性、冗餘性和傳輸速度等測試，資訊保安管理員全程參與，確保網路系統安全。

第十條當網路裝置配置發生變更時，須及時對網路裝置配置檔案進行備份；網路裝置配置每三個月進行全備份，網路裝置配置檔案由網路管理員保管。

第十一條網路管理員應建立網路技術檔案，技術文件包括拓撲結構（含分支網路）、網路裝置配置等相關文件，網路技術文件由網路管理員保管。

第五章主機安全管理

第十二條主機系統原則上僅開啟必要的系統服務和功能，開啟系統日誌、安全日誌。

第十三條新增主機裝置入網時，主機執行維護人員應按照《主機裝置安全配置檢查表》進行檢查（見附錄b），經資訊保安管理員確認所有檢查項檢查結果全部為「是」後允許主機裝置進入網路執行。

第十四條主機執行維護人員應及時更新軟體版本和病毒庫；資訊保安管理員負責制訂統一的病毒管理策略。

第十五條主機執行維護人員每個月通過防病毒管理軟體檢視所有主機的防病毒軟體執行狀態，如有異常情況，主機執行維護人員需及時反饋給資訊保安管理員進行處置。

第六章應用安全管理

第十六條重要資訊系統應用開發應建立開發測試環境，開發測試的環境必須與實際執行環境分開，資訊系統開發、測試、修改工作不得在生產環境中進行。

第十七條新建資訊系統入網前，系統管理員須進行由資訊保安管理員參加的系統測試，並出具包含身份鑑別、訪問控制、安全審計等內容的系統測試報告。

第七章資料安全管理

第十八條公司每一位員工都有保守公司資訊保安防止洩密的責任，任何人不得向公司以外的任何單位或個人洩露公司技術和商業機密，如因學術交流或**發表涉及公司技術或商業機密，應提前向公司匯報，並在獲得批准同意後，方能以認可的形式對外發布。

第十九條定期對公司重要資訊包括軟體**進行備份，備份完成後，做好登記工作。

第二十條資料庫管理員負責對重要資訊系統的資料庫每週進行全備份，並對備份資料的有效性進行檢查。

第二十一條存放備份資料的介質包括u盤、行動硬碟、光碟和紙質，所有備份介質必須明確標識備份內容和時間，並實行異地存放。

第二十二條資料恢復前，必須對原環境的資料進行備份，防止有用資料的丟失。資料恢復後，必須進行驗證、確認，確保資料恢復的完整性和可用性。

第二十三條資料清理前必須對資料進行備份，在確認備份正確後方可進行清理操作。資料清理的實施應避開業務高峰期避免對聯機業務執行造成影響。

第二十四條管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除，並妥善處理廢棄無用的資料和介質，防止洩密。

第二十五條因審計、查詢等管理需要拷貝系統原始資料的，需要經it中心主管部門和業務主管部門同意後，並雙方在場後，由系統管理員匯出資料。

第八章密碼與許可權管理

第二十六條資訊系統的使用者密碼不少於8位，密碼應至少在字母、數字、特殊字元這三類字元中任選兩種或兩種以上混合使用，不得使用預設口令、空口令、弱口令；根據管理需要開設使用者，及時刪除系統多餘和過期的賬戶。

第二十八條員工離職後，員工所屬部門或人力資源部應在當天通知總部it中心，及時關閉離職員工的oa賬號和郵箱賬號，並對員工的出入卡進行停卡處理。

第九章管理安全

第二十九條資訊化裝置安全管理

1、嚴禁將公司配發給員工用於辦公的計算機轉借給非公司員工使用，嚴禁利用公司資訊化裝置資源為第三方從事兼職工作。

2、員工須保管好個人帳戶口令，未經許可員工之間不得私下互相轉讓、借用公司it系統賬號；員工完成資訊系統的操作或離開工位時，須及時退出資訊系統。

3、員工個人終端必須設定系統登陸密碼和螢幕保護密碼。

4、員工個人終端必須安裝公司統一採購的防病毒軟體，不得私自解除安裝和停用，及時更新重要系統補丁及病毒庫，並定期查殺病毒。

5、員工發現計算機或資訊受到安全威脅或者已經發生安全攻擊事件，應立即通知資訊保安管理員。

第三十條專業安全人員管理

1、總部及各分公司it中心應指定專人負責資訊保安管理工作。

2、總部it中心的資訊保安管理員負責協調資訊保安管理工作，各分公司資訊保安管理人員負責各自資訊保安建設工作的實施，推動各自資訊保安各項工作開展。

3、資訊保安管理人員在離崗時，應由it中心負責人指派專人接任資訊保安管理工作；接任資訊保安管理人員應及時終止離崗人員的訪問許可權，並在交接後三個工作日內修改相關安全系統口令密碼。

第三十一條系統運維安全管理，參照《荷馬****資訊系統運維管理辦法》。

第三十二條資訊保安事件預防和處理

1、公司it中心應制定資訊系統應急預案和演練計畫，並組織進行演練。

2、總部及各分公司it中心負責資訊保安事件預防和處理工作。

3、非重要資訊系統整體癱瘓，系統管理員應及時組織人員進行系統恢復；重要資訊系統整體癱瘓，系統管理員立即報it中心負責人，並及時組織人員進行恢復，24小時內無法恢復的，需要通知各相關部門並報分管領導。

4、系統恢復後，系統管理員應查明故障原因，制定改進措施並加以驗證，向it中心負責人提交事件書面報告。

第十章考核及其他

第三十三條對違反資訊保安管理規定，導致資訊保安事件的，或發生資訊保安事件後未及時如實上報的，應當根據事件影響程度，追究相關部門領導責任並可對相關責任人員處以警告、記過、記大過處分，情節嚴重者將解除勞動合同並送公安機關處理。

第三十四條本辦法自公布之日起實施。

附錄a網路裝置安全配置檢查表

附錄b主機裝置安全配置檢查表

資訊保安管理辦法

資訊保安管理辦法

資訊保安獎懲管理辦法

資訊保安事件管理辦法

資訊保安管理辦法

資訊保安管理辦法

資訊保安獎懲管理辦法

資訊保安事件管理辦法

相關推薦