公司資訊保安管理制度

江西天施康中藥股份****資訊保安管理制度

一、資訊保安指導方針

保障資訊保安，創造使用者價值，切實推行安全管理，積極預防風險，完善控制措施，資訊保安，人人有責，不斷提高使用者滿意度。

二、計算機裝置管理制度

1、計算機的使用部門要保持清潔、安全、良好的計算機裝置工作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機裝置安全的物品。

2、非本單位技術人員對我單位的裝置、系統等進行維修、維護時，必須由本單位相關技術人員現場全程監督。計算機裝置送外維修，須經有關部門負責人批准。

3、嚴格遵守計算機裝置使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部裝置介面，計算機出現故障時應及時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行維修及操作。

三、操作員安全管理制度

（一）操作**是進入各類應用系統進行業務操作、分級對資料訪問進行控制的**。操作**分為系統管理**和一般操作**。**的設定根據不同應用系統的要求及崗位職責而設定；

（二）系統管理操作**的設定與管理

1、系統管理操作**必須經過經營管理者授權取得；

2、系統管理員負責各項應用系統的環境生成、維護，負責一般操作**的生成和維護，負責故障恢復等管理及維護；

3、系統管理員對業務系統進行資料整理、故障恢復等操作，必須有其上級授權；

4、系統管理員不得使用他人操作**進行業務操作；

5、系統管理員調離崗位，上級管理員（或相關負責人）應及時登出其**並生成新的系統管理員**；

（三）一般操作**的設定與管理

1、一般操作碼由系統管理員根據各類應用系統操作要求生成，應按每操作使用者一碼設定。

2、操作員不得使用他人**進行業務操作。

3、操作員調離崗位，系統管理員應及時登出其**並生成新的操作員**。

四、密碼與許可權管理制度

1、密碼設定應具有安全性、保密性，不能使用簡單的**和標記。密碼是保護系統和資料安全的控制**，也是保護使用者自身權益的控制**。密碼分設為使用者密碼和操作密碼，使用者密碼是登陸系統時所設的密碼，操作密碼是進入各應用系統的操作員密碼。

密碼設定不應是名字、生日，重複、順序、規律數字等容易猜測的數字和字串；

2、密碼應定期修改，間隔時間不得超過乙個月，如發現或懷疑密碼遺失或洩漏應立即修改。

3、伺服器、路由器等重要裝置的超級使用者密碼由系統管理員設定和管理。

4、有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替並對密碼立即修改或使用者刪除。

五、資料安全管理制度

1、存放備份資料的介質必須具有明確的標識。備份資料必須異地存放，並明確落實異地備份資料的管理職責;

2、注意計算機重要資訊資料和資料儲存介質的存放、運輸安全和保密管理，保證儲存介質的物理安全。

3、任何非應用性業務資料的使用及存放資料的裝置或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程式進行逐級審批，以保證備份資料安全完整。

4、資料恢復前，必須對原環境的資料進行備份，防止有用資料的丟失。資料恢復過程中要嚴格按照資料恢復手冊執行，出現問題時由技術部門進行現場技術支援。資料恢復後，必須進行驗證、確認，確保資料恢復的完整性和可用性。

5、資料清理前必須對資料進行備份，在確認備份正確後方可進行清理操作。歷次清理前的備份資料要根據備份策略進行定期儲存或永久儲存，並確保可以隨時使用。資料清理的實施應避開業務高峰期，避免對聯機業務執行造成影響。

6、需要長期儲存的資料，資料管理部門需與相關部門制定轉存方案，根據轉存方案和查詢使用方法要在介質有效期內進行轉存，防止儲存介質過期失效，通過有效的查詢、使用方法保證資料的完整性和可用性。轉存的資料必須有詳細的文件記錄。

7、非本單位技術人員對本公司的裝置、系統等進行維修、維護時，必須由本公司相關技術人員現場全程監督。計算機裝置送外維修，須經裝置管理機構負責人批准。送修前，需將裝置儲存介質內應用軟體和資料等涉經營管理的資訊備份後刪除，並進行登記。

對修復的裝置，裝置維修人員應對裝置進行驗收、病毒檢測和登記。

8、管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除，並妥善處理廢棄無用的資料和介質，防止洩密。

9、執行維護部門需指定專人負責計算機病毒的防範工作，建立本單位的計算機病毒防治管理制度，經常進行計算機病毒檢查，發現病毒及時清除。

10、計算機未經有關部門允許不准安裝其它軟體、不准使用來歷不明的載體（包括軟盤、光碟、行動硬碟等）。

江西天施康中藥股份****

2023年02月19日