計算機(jī)信息安全管理制度

（可.以直接使用，可編輯實用優(yōu)秀文檔，歡迎卜.載）

計算機(jī)信息安全管理制度

1目的

加強(qiáng)計堂機(jī)網(wǎng)絡(luò)及計電機(jī)信息安全管理，保障公司網(wǎng)絡(luò)平臺、應(yīng)用系統(tǒng)的正常運行及數(shù)據(jù)安午，

防止it密。

2范圍

適用r公司及各事業(yè)部、分公司、控股子公司（以下簡稱各經(jīng)營單元）所有計算機(jī)信息安全管理。

3術(shù)語

3.1辦公計算機(jī)：辦公用臺式機(jī)、筆記本電腦等屬于公司資產(chǎn)的計算機(jī)設(shè)備。

3.2計算機(jī)信息：是指存儲在計兌機(jī)上的軟件、數(shù)據(jù)、圖紙等含有一定意義的計算機(jī)信息資料。

3.3內(nèi)部網(wǎng)絡(luò)：公司長沙園區(qū)網(wǎng)絡(luò)及通過專線與長沙園區(qū)互聯(lián)的其他園區(qū)、駐外機(jī)構(gòu)網(wǎng)絡(luò)（以下簡稱

內(nèi)網(wǎng)）。

3.4外部網(wǎng)絡(luò)：互聯(lián)網(wǎng)或除互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)之外的第三方專網(wǎng)（以卜簡稱外網(wǎng)）。

4職責(zé)

公司計衽機(jī)信息安全采用集中控制、分級管理原則。

4.1公司信息化管理部U：負(fù)責(zé)制定公司計算機(jī)信息安全戰(zhàn)略目標(biāo)及信息安全策略、皙導(dǎo)公司日常計第

機(jī)信息安全管理，負(fù)責(zé)直屬部門計算機(jī)信息安全日常工作。負(fù)責(zé)協(xié)調(diào)公司內(nèi)外部資源，處理公司重大

計算機(jī)信息安全事件。

4.2經(jīng)營單元信息化管理部門：負(fù)責(zé)本經(jīng)營單元計算機(jī)信息安全日常工作，及時向公司信息化管理部

門、將察部門報告重大計算機(jī)信息安全隱患和計算機(jī)信息安全事件。

4.3計算機(jī)用戶：負(fù)責(zé)本人領(lǐng)用的辦公計免機(jī)H常保養(yǎng)、正常操作及安全管理，負(fù)貢所接觸信息的保密

性、可用性和完整性；及時向信息化管理部門報告計算機(jī)信息安全隱患和計算機(jī)信息安全事件。信息

的起草人須按《保箔制度》相關(guān)規(guī)定提出信息密級定級申請。

5內(nèi)容與要求

5.1賬號和密碼安全管理

5.1.1.信息化管理部門須統(tǒng)?生成信息系統(tǒng)用戶賬號，并確保身份賬號在此系統(tǒng)生命周期中的唯?

性：對賬號密碼信息進(jìn)行加密處理,確保用賬號密碼不被非授權(quán)地訪問、修改和刪繪。

5.1.2.員工因工作崗位或職責(zé)變動需變更賬號權(quán)限時，須向信息化管理部門提出申請權(quán)限變更。信

息化管理部門應(yīng)及時變更異動員工的權(quán)限，凍結(jié)離職員工的賬號。

5.1.3.員工使用公司計算機(jī)信息系統(tǒng)時，兔參照附件9.1&網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流

程》,向信息化管理部門提出申請，經(jīng)審批后方可取得賬號和初始密碼。員工使用初始密碼登錄信息

系統(tǒng)后，須立即更改密碼。

5.1.4.密碼須滿足以下要求：密碼長度至少8位，密碼必須由大寫字母（A到Z）、小寫字母（a到

z）、符號（@#$%八&*等）和數(shù)字（0~9）4組類型至少|(zhì)需取2種組合。批注億1]:是否考慮由2種改為3種，與域賬號密碼耍

求統(tǒng)一？

5.1.5.密碼更換周期不得長于兩個月，且變更前后的密碼不能相同。

批注[Z2]:寫至少2種組合是考慮到目前OA賬號的密

5.1.6.用戶登錄系統(tǒng)時，密碼連續(xù)輸錯5次，用戶賬號將變成鎖定狀態(tài)，用戶須向信息化管理部門眄強(qiáng)度,建議不改動.

申請解鎖。嚴(yán)禁以非法手段嘗試獲取他人賬號密碼信息，未經(jīng)授權(quán)不得使用他人賬號潛碼登錄系統(tǒng)。

5.1.7.用戶對自己賬號密碼的安全性負(fù)責(zé)，禁止泄確給他人。因個人賬號密碼管理不慎造成的信息

安全事件由賬號所有者負(fù)最終責(zé)任。

5.2辦公計算機(jī)安全管理

5.2.1.信息化管理部門在H常管理辦公計算機(jī)時，應(yīng)進(jìn)行如下安全設(shè)置：

a）須為所有辦公計算機(jī)設(shè)苴BIOS密碼，關(guān)閉未申請使用的接口并貼封條和配備機(jī)箱鎖；

b）須為所有辦公計算機(jī)部署相應(yīng)的內(nèi)網(wǎng)安全管理系統(tǒng)及防病毒軟件：

c）主機(jī)設(shè)備需要帶離現(xiàn)場維修時，應(yīng)由保密專員進(jìn)行全程陪同，并拆除所有存儲介質(zhì)；

d）存儲介質(zhì)應(yīng)到具TT涉密信息系統(tǒng)數(shù)據(jù)恢紀(jì)資質(zhì)的單位進(jìn)行維修：

e）不再使用或無法使用的電備應(yīng)按相關(guān)規(guī)定及時進(jìn)行報廢處理。

5.2.2.計算機(jī)使用人在日常使用辦公計算機(jī)時應(yīng)遵守如卜要求：

a）計算機(jī)用戶使用計算機(jī)在處理公司涉密信息及賬號信息時，應(yīng)注意信息安全防范，防止被無

關(guān)人員觀視泄密：替時離開計算機(jī)時應(yīng)啟用帶密碼保護(hù)的屏幕保護(hù)程序或直接鎖定計匏機(jī)。

b）定期檢查計算機(jī)設(shè)各標(biāo)簽、封條、機(jī)箍鎖，如有破損及時通知信息化管理部門處理.

c）不得擅自掛接計算機(jī)輸入輸出設(shè)備以及故意損毀計算機(jī)設(shè)備標(biāo)簽、封條和硬件鎖。不得將相

關(guān)設(shè)備挪作私用。

d）如需使用計算機(jī)以外的輸入輸出設(shè)備（如打印機(jī)、掃描儀、移動存儲類設(shè)備及刻錄光騎等）

及硬件接口時，須參照附件9.1《網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流程￥執(zhí)行。

e）禁止利用辦公計算機(jī)處理與工作無關(guān)內(nèi)容、破壞或影響其它員工正常工作。

f）嚴(yán)禁擅自卸載公司內(nèi)網(wǎng)管理系統(tǒng)及就病毒系統(tǒng)。

8）嚴(yán)禁使用辦公計算機(jī)發(fā)布不良信息、牟取私利、泄露公司機(jī)密和從事違法犯罪活動。

5.3計算機(jī)防病毒管埋

5.3.1計算機(jī)用戶在使用計算機(jī)過程中應(yīng)注意采取以下防病毒安全措施：

a）禁止私自關(guān)閉、卸載或更換防病毒軟件，應(yīng)及時更新病毒庫和操作系統(tǒng)補(bǔ)丁，保證計算機(jī)安

全運行。

b）發(fā)現(xiàn)或懷疑有辦公計算機(jī)被病毒感染，應(yīng)立即斷開網(wǎng)絡(luò)并執(zhí)行全盤掃描病毒程序，如感染癥

狀未能解除須立即上報信息化管理部門。

c）對任何外來資料，須使用防病毒軟件進(jìn)行掃描后方可使用，不要打開外來不明徒接。

d）嚴(yán)禁故意瞞報、制作、下載、運行及傳播計算機(jī)病毒。

5.3.2信息化管理部門須維護(hù)防病毒系統(tǒng)及補(bǔ)丁更新系統(tǒng)正常運行。在發(fā)生重大病毒發(fā)作事件時，應(yīng)及

時發(fā)布病毒預(yù)警，及時采取有效的預(yù)防指尷防止病毒大面積擴(kuò)散。

5.4網(wǎng)絡(luò)安全管理

5.4.1信息化管理部門在管理辦公計算機(jī)網(wǎng)絡(luò)安全時，應(yīng)遵循以下要求：

a）必須嚴(yán)格隔斷允許訪問外網(wǎng)的計算機(jī)與內(nèi)網(wǎng)計算機(jī)之間的亢接通訊。

b）必須嚴(yán)格隔斷內(nèi)網(wǎng)中財務(wù)、研發(fā)與JI：它管理類計算機(jī)之間的直接通訊。

c）辦公計算機(jī)在使用公司網(wǎng)絡(luò)時，用戶身份、網(wǎng)卡物理地址必須與網(wǎng)絡(luò)訪問資源一對一綁定。

信息化管理部門在保護(hù)信息化應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全時，應(yīng)遵循以下要求：

a）信息化應(yīng)用系統(tǒng)的服務(wù)器及存儲設(shè)備只允許安裝在公司的網(wǎng)絡(luò)機(jī)房、數(shù)據(jù)中心機(jī)房內(nèi)，特殊

情況可申請托管在第三方機(jī)房內(nèi)，禁止安裝在普通辦公場所及其它不安全場所內(nèi).

b）信息化應(yīng)用系統(tǒng)需要啟動遠(yuǎn)程管理時，須使用加密的遠(yuǎn)程管理協(xié)議，并旦實現(xiàn)專人、專機(jī)、

專網(wǎng)管理，防止遠(yuǎn)程管理權(quán)限被非法竊用。

c）必須在公司內(nèi)外部網(wǎng)絡(luò)交匯處設(shè)置必要的防火增系統(tǒng),并制定必需的防火墻策略：未經(jīng)授權(quán)，

不允許將任何內(nèi)部IP地址和服務(wù)端口映射到外部網(wǎng)絡(luò)。

d）對外的信息化應(yīng)用系統(tǒng)必須部署必要的安仝手段以檢測和減少被攻擊行為,并采取必要措施

便于對非法行為進(jìn)行審計取證。

e）定期檢查內(nèi)部網(wǎng)絡(luò)運行情況，及時發(fā)現(xiàn)非法網(wǎng)絡(luò)接入。

f）需要變更網(wǎng)絡(luò)安全相關(guān)管理策略時，按9.14網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流程》辦理。

5.4.3用戶在使用公司網(wǎng)絡(luò)資源時，應(yīng)遵循以下安全要求：

a）在默認(rèn)情況下，所有辦公用臺式機(jī)和工作站只能訪問公司內(nèi)網(wǎng)：筆記本不允許接入公司內(nèi)網(wǎng)。

計算機(jī)用戶需要申請網(wǎng)絡(luò)權(quán)限時，須按附件9.1《網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流程》

審批后開通。

h）員，因崗位職貢變化不再需要使用外網(wǎng)時，應(yīng)及時通知信息化首埋部門關(guān)閉外網(wǎng)權(quán)限.

c）禁止員工私自修改辦公計兌機(jī)的IP地址、網(wǎng)卡地址等，禁止將辦公計算機(jī)私自接入非指定網(wǎng)

絡(luò)環(huán)境.

d）當(dāng)需進(jìn)行信息提取時，按附件9.2《計算:機(jī)信息提?。ㄝ斎耄┝鞒獭忿k理。

5.5信息化應(yīng)用系統(tǒng)開發(fā)安全管理

5.5.1信息化應(yīng)用系統(tǒng)開發(fā)安全需求

a）必須有可靠的身份認(rèn)證機(jī)制，不允許匿名訪問，賬號和密碼須滿足安全管理要求。

b）必須有完整的權(quán)限管理系統(tǒng)，支持分層分級授權(quán)。

c）賬號密碼必須加密存儲在后臺數(shù)據(jù)庫中。

d）必須基于職責(zé)分離原則定義不同業(yè)務(wù)模塊的使用權(quán)限。

e）信息化應(yīng)用系統(tǒng)必須經(jīng)過第三方安全測評機(jī)構(gòu)測評合格后才能正式投入運行，

f）信息化應(yīng)用系統(tǒng)開發(fā)各階段產(chǎn)生的源代碼程序、編譯程序及文檔資料嚴(yán)格按用戶授權(quán)集中管

理。

5.5.2信息化應(yīng)用系統(tǒng)運營安全管理

a）必須定期審計信息化應(yīng)用系統(tǒng)用戶行為。

h）必須定期備份信息化應(yīng)用系統(tǒng)數(shù)據(jù)。

c）嚴(yán)禁獲改信息化應(yīng)用系統(tǒng)數(shù)據(jù)及更改正式系統(tǒng)環(huán)境下信息化應(yīng)用系統(tǒng)程序文件。

d）必須嚴(yán)格權(quán)限控制，按業(yè)務(wù)職費對用戶合理授權(quán)，信息化應(yīng)用系統(tǒng)權(quán)限的變更須經(jīng)信息化管

理部門審批。

e）需定期進(jìn)行風(fēng)險檢測與評估,確保信息化應(yīng)用系統(tǒng)運行安全。

5.6網(wǎng)絡(luò)設(shè)缶安仝配?

5.6.1所有網(wǎng)絡(luò)設(shè)備必須由信息化管理部門指定專員、專機(jī)管理。需要使用遠(yuǎn)程管理時，優(yōu)先使用

統(tǒng)一的加密的遠(yuǎn)程管理協(xié)議實現(xiàn)功能，并確保專人、專機(jī)、專網(wǎng)管理，嚴(yán)防遠(yuǎn)程管理權(quán)限被非法竊用。

5.6.2管理網(wǎng)絡(luò)設(shè)備時需要用到的密碼信息必須以密文形式保存。

5.6.3未經(jīng)授權(quán)，網(wǎng)絡(luò)管理匚程帥不得私自更改網(wǎng)絡(luò)設(shè)備的配包文件。

5.6.4網(wǎng)絡(luò)管理一匚程帥更改重要網(wǎng)絡(luò)設(shè)備配置前，必須先備份現(xiàn)有配置文件，更改網(wǎng)絡(luò)設(shè)品時，需

填寫K配置變更登記表》并嚴(yán)格按照表內(nèi)容進(jìn)行。

5.6.5網(wǎng)絡(luò)管理工程師必須周期性備份管轄范圍內(nèi)所有網(wǎng)絡(luò)設(shè)備的配置文件。

5.6.6網(wǎng)絡(luò)設(shè)備故障時，盡可能搶救現(xiàn)畬配西文件，開用最用備份版本的配置文件快速配置首換設(shè)

備。

5.6.7定期審計網(wǎng)絡(luò)配芭。

5.6.8需定期進(jìn)行風(fēng)險檢測與評估，確保網(wǎng)絡(luò)設(shè)備運行在可接受安全.

5.7數(shù)據(jù)備份與恢復(fù)管理

5.7.1信息化管理部門必須為所有信息化應(yīng)用系統(tǒng)制定相應(yīng)的數(shù)據(jù)備份與恢復(fù)策略，填寫6數(shù)據(jù)備

份記錄表》，參照《信息備份與數(shù)據(jù)恢發(fā)管理辦法》執(zhí)行。

5.7.2信息化管理部門須定期檢查備份策略的有效性和執(zhí)行情況，進(jìn)行備份恢愛測試,確保備份介質(zhì)

不僅有效，而且能在恢豆操作步驟分配的時間內(nèi)完成。

5.7.3數(shù)據(jù)備份應(yīng)保證及時、完整、真實、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)匕備份介質(zhì)須異地存放。

5.8機(jī)房安全管理

5.8.1信息化應(yīng)用系統(tǒng)的硬件設(shè)備只允許放置在公司的網(wǎng)絡(luò)機(jī)房、數(shù)據(jù)中心機(jī)房內(nèi)，特殊情況可申請托

管第三方機(jī)房，嚴(yán)禁放置在普通辦公場所及其它不安全場所內(nèi)。

5.8.2機(jī)房配備溫濕度計和干冰滅火器，信息化管理部門須對機(jī)房人員進(jìn)行消防安全指導(dǎo)，并做好機(jī)房

的防火、防盜、防水、防靜電、防雷擊措施，杜絕相關(guān)安全事故發(fā)生。

5.8.3信息化管理部門須指定專人負(fù)費對機(jī)房內(nèi)各類設(shè)備進(jìn)行安全維護(hù)和管理，對機(jī)房進(jìn)行定期巡檢，

遇到異常情況及時處理，并參照《計兌機(jī)機(jī)房管理規(guī)定》執(zhí)行。

5.9出圖管理

5.9.1信息化管理部門須指定專人負(fù)費對出圖設(shè)備進(jìn)行安全管理和維護(hù)，為出圖申請部門提供相應(yīng)的技

術(shù)支持。

5.9.2圖紙只能在出圖室出圖設(shè)備上打印。技術(shù)部門如配備有打印機(jī)，需指定專人管理,且打印機(jī)只能

打印文檔資料?，不得打印圖紙,違者按《保密制度》相關(guān)規(guī)定處理。

5.9.3出圖人員須在0A中發(fā)起《出國申請流程》經(jīng)審批后方能出圖，體參照附件9.3久AD出圖管理

流程》執(zhí)行。

5.9.4出圖人員未經(jīng)許可不得操作出圖室的打印服務(wù)器和出圖設(shè)備。

5.9.5出圖人員取圖時須出示本人員工卡，由信息化管理部門進(jìn)行身份核實，并將其清點的圖紙與所填

寫的出圖申請表上內(nèi)容核對一致后方可取走圖紙，嚴(yán)禁代領(lǐng)和國領(lǐng)。

5.10信息安全培訓(xùn)管理

5.10.1信息化管理部門應(yīng)及做好信息安全培訓(xùn)工作，減少因意識和操作失誤帶來安全風(fēng)險。

5.10.2信息化管理部門必須根據(jù)國內(nèi)外及行業(yè)內(nèi)信息安全發(fā)展的現(xiàn)狀每年制定信息安全培訓(xùn)計劃，培

訓(xùn)計劃要求如卜：

a）保證培訓(xùn)內(nèi)容能指導(dǎo)員工正常處理口常工作中可能遇到并應(yīng)該引起注意的信總安全問題。

h）針對不同的培訓(xùn)對象如一般新員工、一般老員工、信息化內(nèi)部員工、及關(guān)鍵涉密崗位需制定

不同的培訓(xùn)內(nèi)容。

C）針對不同的培訓(xùn)對象和內(nèi)容明確培訓(xùn)形式及目標(biāo)。

d）必須針對培訓(xùn)效果進(jìn)行考核。

6違紀(jì)與處罰

6.1對違反本制度的違紀(jì)行為，信息化管理部門填寫《信息安全違規(guī)記錄表》，并定期上報督察部門，

依據(jù)違紀(jì)類型進(jìn)行相應(yīng)處罰。

以下違紀(jì)行為，視其怙節(jié)最高可給予開除處分，并移交司法處理：

a）違反國家有關(guān)信息管理的法規(guī)，利用網(wǎng)絡(luò)從事違反中華人民共和國法律和法規(guī)的活動，發(fā)表

違反法律法規(guī)的言論（包括以任何理由），泄露國家機(jī)密，進(jìn)行任何破壞國家安全的活動的：

b）利用網(wǎng)絡(luò)對他人進(jìn)行侮辱、誹謗、騷擾的：侵害他人合法權(quán)益的；侵犯他人的名譽(yù)權(quán)、肖像

權(quán)、姓名權(quán)等人身權(quán)利的；侵犯他人的商譽(yù)、商標(biāo)、版權(quán)、專利、專有技術(shù)等各種知識產(chǎn)權(quán)

的；

0利用網(wǎng)絡(luò)或電子郵件傳輸任何非法的、騷擾性的、中傷他人的、辱罵性的、恐嚇性的、傷害

性的、淫穢的信息數(shù)據(jù)；傳輸任何教唆他人構(gòu)成犯罪.行為信息數(shù)據(jù)的；主動發(fā)送連鎖郵件或

垃圾批件以及生動散布計算機(jī)病毒或惡意代碼的：以任何形式、任何目的對電子郵件功能進(jìn)

行濫用的；盜用他人任何系統(tǒng)帳號的；傳輸助長國家不利因素、涉及國家安全，以及任何不

符合國家法律、法規(guī)、規(guī)章信息數(shù)據(jù)的：

d）終端用戶使用破解、猜測和嗅探口令工具企圖侵入信息化應(yīng)用系統(tǒng)的：或使用黑客工具攻擊

內(nèi)部網(wǎng)絡(luò)：或擅自修改和刪除信息系統(tǒng)信息的：

e）利用公司信息化資源中取私利的.

n有其他嚴(yán)重違反計算機(jī)信息安全規(guī)定的行為，造成嚴(yán)重后果或重大損失的。

以下違紀(jì)行為，視其情節(jié)最高可給予記大過處分：

a）擅自拆裝計算機(jī)設(shè)備，或自行插拔機(jī)內(nèi)部件或添加設(shè)備的；

b）由于保管不善而泄漏個人賬號和密碼，使公司重要信息泄漏或信息系統(tǒng)遭到攻擊，給公司造

成重大損失的：

0員工在所使用的計算機(jī)上搐自卸載公司統(tǒng)一安裝的內(nèi)網(wǎng)監(jiān)控軟件的；

d）有其他較嚴(yán)重違反計算機(jī)信息安全規(guī)定的行為，造成較嚴(yán)重后果或一定損失的。

以卜違紀(jì)仃為，視具情節(jié)最高可給予記過處分：

a）擅自刪除或修改計算機(jī)的標(biāo)準(zhǔn)軟件及系統(tǒng)配置,（如用戶名、用戶IP地址等）的：

b）員工在所使用的計算機(jī)上報自卸載公司統(tǒng)一安裝的防病毒軟件，或故意使防病毒軟件處于未

激活狀態(tài)的：

0工作時間長時間參與工作無關(guān)的網(wǎng)上聊天、瀏覽與業(yè)務(wù)無關(guān)的網(wǎng)站、玩電腦游戲的：

d）卜我互聯(lián)網(wǎng)上的非法軟件或拷貝外來的非法軟件進(jìn)入公司網(wǎng)絡(luò)的：

e）大量卜載或傳輸與業(yè)務(wù)無關(guān)的數(shù)據(jù)以非法軟件，占用網(wǎng)絡(luò)帶寬的：

f）有其他一般違反計算機(jī)信息安全規(guī)定行為的。

以下違紀(jì)行為，視其情節(jié)最高可給予通報批評處分：

a）離開計算機(jī)時不及時進(jìn)行鎖屏或不按規(guī)定設(shè)置自動啟用扉幕保護(hù)的：

b）員工隨意在自己的計算機(jī)內(nèi)設(shè)置共享目錄，未設(shè)置口令保護(hù)，并在共享完畢后未能立即取消

共享功能的：

c）有其他輕度違反計兌機(jī)信息安全規(guī)定行為的。

7相關(guān)文件

7.1&信息化應(yīng)用系統(tǒng)管理規(guī)定》

7.2《保密制度》

7.3《計兌機(jī)機(jī)房管理規(guī)定》

7.4《信息備份與數(shù)據(jù)恢復(fù)管理制度》

7.5年計算機(jī)設(shè)備管理辦法》

8記錄

8.1《計算機(jī)信息提?。ㄝ斎耄┥暾垎巍?/p>

8.2《出圖申請單》

8.3?信息安仝違規(guī)記錄表》

8.44計算機(jī)安全檢查記錄表》

8.5g數(shù)據(jù)備份記錄表》

8.66配置變更登記表》

9附件

9.1網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流程

9.2汁算機(jī)信息提取（輸入）流程

9.3CAD出圖管理流程

9.4電子數(shù)據(jù)歸檔流程

附加說明：

本制度由信息化管理部門提出并解擇。

本制度主要起草人：愛藝曾箏

本制度審核人：張E慶

本制度批準(zhǔn)人：王玉坤

記錄1:

計算機(jī)信息提取（輸入）申請單

干請人信息筆級提取時間

信息來源部門負(fù)信息提取部門

審批人

賁人負(fù)貨人

信息名稱介質(zhì)

信息來源及目

的地

計算機(jī)信息安

銷毀人證明人銷毀時間

全工程師

注：信息等級審批，絕密信息一一CEO;機(jī)密信息一一分管領(lǐng)導(dǎo)；秘密和一般僖息一一部門負(fù)費人。

記錄2：

出圖申請單

部門出圖人

項目用途

圖幅數(shù)量代號（編碼）名稱

A0

A1

A2

A3

A4

項目負(fù)責(zé)人審批

計算機(jī)信息安全日期

工程師

備注：⑴AO、A1必須填寫代號、名稱。⑵總圖、一級部件不論圖幅大小，必需填寫代號、名稱。

記錄3：

信息安全違規(guī)記錄表

基本信息

違規(guī)人姓名所屬部門

計算機(jī)名/IP賬號違規(guī)時間

違規(guī)行為描述

違紀(jì)定級

呈報單位呈報人呈報時間

記錄4：

計算機(jī)安全檢查記錄表

單位名稱：年季度

設(shè)備號機(jī)器IP使用者部門時間系統(tǒng)狀態(tài)描述

記錄人:審批人:

記錄5：

數(shù)據(jù)備份記錄表

信息化應(yīng)用系統(tǒng)基本信息

應(yīng)用名稱所在園區(qū)操作員

操作系統(tǒng)類型數(shù)據(jù)庫類型支撐平臺

備份內(nèi)容數(shù)據(jù)庫/程序備份類型（增備/全備份周期

備）

備份日標(biāo)園區(qū)備份方式手動/自動備份介質(zhì)

備份操作記錄表

時間備份情況說明備份結(jié)果

記錄6：

配置變更登記表

編號：G+年月日+順序號

日期設(shè)備名設(shè)備編號記錄人

變更原因：

配置內(nèi)容

原內(nèi)容：變更內(nèi)容：

附件

9.1網(wǎng)絡(luò)與計算機(jī)外部設(shè)備訪問權(quán)限申請流程

適用范圍：本流程適用于公司計算機(jī)網(wǎng)絡(luò)（包括跨網(wǎng)段計算機(jī)、互聯(lián)網(wǎng)等網(wǎng)絡(luò)）及計算機(jī)外部設(shè)備（包

括光軀、USB外設(shè)、移動存儲等設(shè)備）的訪問權(quán)限申請管理.

流程圖說明責(zé)任人（參與人）

［接收申請）

?接收直屬部門或經(jīng)營單元相關(guān)負(fù)賁入審批公司信息化部信息安全工程師、經(jīng)

通過后的申請營電元信息安全工程師

、、、No

批；1?按權(quán)限分級審批申請：

①直屬部門及沒有派駐信息化主管的經(jīng)營單公司信息化部部長

Yes

元申請

②有派駐信息化主管的經(jīng)營單元申請派駐經(jīng)營單元信息化主管

開通權(quán)限?按權(quán)限分級開通計算乩安全權(quán)限，并將結(jié)果反

饋給申請人：

①直屬部門申請及跨網(wǎng)段計算機(jī)訪問公司信息化部信息安全工程師

②經(jīng)營單元申請（不包含跨網(wǎng)段計算機(jī)訪問）經(jīng)營單元信息安全工程師

（歸檔I?存檔匯總公司信息化部信息安全工程師

9.2計算機(jī)信息提取（輸入）流程

適用范圍：本流程適用于公司所有計算機(jī)信息提?。ㄝ斎耄┕芾怼?/p>

流程圖說明貨任人（參與人）

?接收按計算機(jī)信息涉密等級分級審批通過公司信息安全室主任、經(jīng)營單

后的申請：元信息化相關(guān)室主任

①“一般”和“秘密”級信息的申請信息輸入或輸出部門負(fù)貢人

②“機(jī)密/級信息的申請申請部門分管領(lǐng)導(dǎo)

③“絕密”級信息的申請經(jīng)營單元總經(jīng)理或CEO

?派發(fā)信息提取（輸入〉任務(wù)公司信息安全室主任、經(jīng)營單

元信息化相關(guān)室主任

?提?。ㄝ斎耄┬畔⒐拘畔⒒啃畔踩こ?/p>

師、經(jīng)首單元信息安全工程師

?確認(rèn)信息提?。?俞入）是否完成公司信息化部信息安全工程

師、經(jīng)營單元信息安全工程師

（申請人）

?存檔匯總公司信息化部信息安全工程師

9.3CAD出圖管理流程

適用范圍：本流程適用了?公司所有CAD圖紙輸出管理。

流程圖說明責(zé)任人（參與人）

?接收申請部門負(fù)責(zé)人審批通過后的申請公司信息化部信息安全工程

1劇攵申請)

師、經(jīng)營單元信息安全工程師

?圖紙輸出：公司信息化部信息安全工程和

出圖,①根據(jù)圖紙輸出類型（白圖、描圖）安排繪、經(jīng)營單元信息安全工程師

圖儀

②及時更換紙張，定期檢查墨盒容量，保障

繪圖儀正常運行

^No?圖紙輸出后進(jìn)行清點：

有收

①清點領(lǐng)取圖紙,如有誤，重新出圖申請人

②對申請人清點后的圖紙進(jìn)行圖紙代號和公司信息億部信息安全工程

Yes

名稱的核對，記錄實際出圖數(shù)量帥、經(jīng)營單元信息安全工程加

（歸檔）?存檔匯總：公司信息化部信息安全工程

①每季度將流程匯總，統(tǒng)計出圖數(shù)量師、經(jīng)營單元信息安全工程師

②計算各部門出引費用，交申請部門分管領(lǐng)

導(dǎo)簽字后匯總給財務(wù)部門

9.4電子數(shù)據(jù)備份及歸檔流程

適用范圍：本流程適用r公司所有電子數(shù)據(jù)歸檔、應(yīng)用系統(tǒng)備份管理。

流程圖說明責(zé)任人（參與人）

?接收申請部門和信息化部負(fù)責(zé)人審批逋過后

1接收申請］

的申請：

①電子數(shù)據(jù)歸檔信息安全室主任

②應(yīng)用系統(tǒng)備份信息系統(tǒng)運營室土任

番份方案<----?按照《信息備份與數(shù)據(jù)恢復(fù)管理辦法》的要

求根據(jù)備份的類型設(shè)計信息備份方案：

①電子數(shù)據(jù)歸檔信息化部信息安全工程師

②應(yīng)用系統(tǒng)備份信息化部信息系統(tǒng)運營工程師

1

、No

<市獨：二?方案審批信息化部部長

Yes

?根據(jù)《信息備份與數(shù)據(jù)恢紀(jì)管理辦法》執(zhí)行

執(zhí)行備份<----

數(shù)據(jù)備份：

①電子數(shù)據(jù)歸檔信息化部信息安全工程抑

（督察部、書請人）

②應(yīng)用系統(tǒng)備份信息化部信息系統(tǒng)運營工程師

（信息化部系統(tǒng)管理員）

*No?確認(rèn)信息備份是否成功

<

①電子數(shù)據(jù)歸檔信息化部信息安全工程師

（申請人）

Yes

②應(yīng)用系統(tǒng)備份信息化部信息系統(tǒng)運營工程加

（信息化部系統(tǒng)管理員）

（歸檔）

?存檔匯總：

①將電子數(shù)據(jù)備份介質(zhì)密封提交給公司檔案信息化部信息安全工程師

室保管（督察部、公司檔案管理員）

②刪除相關(guān)臨時文件，以防止泄密信息化部信息安全工程師

（督察部）

③記錄應(yīng)用系統(tǒng)備份日志信息化部信息系統(tǒng)運營T：程師

（信息化部系統(tǒng)管理員）

網(wǎng)絡(luò)信息安全管理制度大全

一、電腦設(shè)備管理19

二、軟件管理21

三、數(shù)據(jù)安全管理22

四、網(wǎng)絡(luò)信息安全管理23

五、病毒防護(hù)管理23

六、下載管理23

七、機(jī)房管理24

八、備份及恢復(fù)25

一、電腦設(shè)冬管理

1、計算機(jī)基礎(chǔ)設(shè)備管理

2、各部門對該部門的每臺計算機(jī)應(yīng)指定保管人，共享計算機(jī)則由部門指定人員

保管，保管人對計算機(jī)軟、硬件有使用、保管責(zé)任。

3、公司計算機(jī)只有網(wǎng)絡(luò)管理員進(jìn)行維護(hù)時有權(quán)拆封，其它員工不得私自拆開封。

4、計算機(jī)設(shè)備不使用時，應(yīng)關(guān)掉設(shè)備的電源。人員暫離崗時，應(yīng)鎖定計算機(jī)。

5、計算機(jī)為公司生產(chǎn)設(shè)備，不得私用，轉(zhuǎn)讓借出；除筆記本電腦外，其它設(shè)備

嚴(yán)禁無故帶出辦公生產(chǎn)工作場所。

6、按正確方法清潔和保養(yǎng)設(shè)備上的污垢，保證設(shè)備正常使用。

7、計算機(jī)設(shè)備老化、性能落后或故障嚴(yán)重，不能應(yīng)用于實際工作的，應(yīng)報信息

技術(shù)部處理。

8、計算機(jī)設(shè)備出現(xiàn)故障或異常情況（包括氣味、冒煙與過熱）時，應(yīng)當(dāng)立即關(guān)

閉電源開關(guān)，拔掉電源插頭，并及時通知計算機(jī)管理人員檢查或維修。

9、公司計算機(jī)及周邊設(shè)備，計算機(jī)操作系統(tǒng)和所裝軟件均為公司財產(chǎn)，計算機(jī)

使用者不得隨意損壞或卸載。

10、公司電腦的IP地址由網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃分配，員工不得擅自更改其IP

地址，更不得惡意占用他人的地址。計算機(jī)保管人對計算機(jī)軟硬負(fù)保管之

責(zé)，使用者如有使用不當(dāng)，造成毀損或遺失，應(yīng)負(fù)賠償責(zé)任。

11、保管人和使用人應(yīng)對計算機(jī)操作系統(tǒng)和所安裝軟件口令嚴(yán)格保密，并至少每

180天更改一次密碼，密碼應(yīng)滿足復(fù)雜性原則，長度應(yīng)不低于8位，并由大

寫字母、小寫字母、數(shù)字和標(biāo)點符號中至少3類混合組成；對于因為軟件自

身原因無法達(dá)到要求的，應(yīng)按照軟件允3許的最高密碼安全策略處理。

12、重要資料、電子文檔、重要數(shù)據(jù)等不得放在桌面、我的文檔和系統(tǒng)盤（一般

為C盤）以免系統(tǒng)解潰導(dǎo)致數(shù)據(jù)丟失。與工作相關(guān)的重要文件及數(shù)據(jù)保存兩

份以上的備份，以防丟失。公司設(shè)立文件服務(wù)器，重要文件應(yīng)及時上傳備份，

各部門專用軟件和數(shù)據(jù)由計算機(jī)保管人定期備份上傳，需要信息技術(shù)部負(fù)責(zé)

備份的應(yīng)填寫《數(shù)據(jù)備份申請表》，數(shù)據(jù)中心信息系統(tǒng)數(shù)據(jù)應(yīng)按《備份管理》

備份。

13、正確開機(jī)和關(guān)機(jī)。開機(jī)時，先開外設(shè)（顯示器、打印機(jī)等），再開主機(jī)；關(guān)

機(jī)時，應(yīng)先退出應(yīng)用程序和操作系統(tǒng)，再關(guān)主機(jī)和外設(shè)，避免非正常關(guān)機(jī)。

14、公司郵箱帳號必須由本帳號職員使用，未經(jīng)公司網(wǎng)絡(luò)管理員允許不得將帳號

讓與他人使用，如造成公司損失或名譽(yù)影響，公司將追究其個人責(zé)任，并保

留法律追究途徑。

15、未經(jīng)允許，員工不得在網(wǎng)上下載軟件、音樂、電影或者電視劇等，不得使用

BT,電驢、P0C0等嚴(yán)重占用帶寬的P2P下載軟件。員工在上網(wǎng)時，除非工作

需要，不允許使用QQ、MSN等聊天軟件。員工不得利用公司電腦及網(wǎng)絡(luò)資源

玩游戲,瀏覽與工作無關(guān)的網(wǎng)站。若發(fā)現(xiàn)信息技術(shù)部可暫停其Internet使用

權(quán)限，并報相關(guān)領(lǐng)導(dǎo)處理。不得隨意安裝工作不需要的軟件。公司擁有的授

權(quán)軟件軟件須報公司副總審批通過后由信息技術(shù)部或授權(quán)相關(guān)部門執(zhí)行。

16、計算機(jī)出現(xiàn)重大故障，如硬盤損壞，計算機(jī)保管人應(yīng)立即向部門負(fù)責(zé)人和信

息技術(shù)部報告，并填寫《設(shè)備故障登記表》。

17、員工離職時，人力資源應(yīng)及時通知信息技術(shù)部取消其所有的IT資源使用權(quán)

限，回收其電腦并保留一個星期，若一個星期之內(nèi)人事部沒有招到新員工頂

替，電腦將備份數(shù)據(jù)后入庫。

18、如需要私人計算機(jī)連接到公司網(wǎng)絡(luò)，需信息技術(shù)部授權(quán)并進(jìn)行登記。

19、不得隨意安裝軟件，軟件安裝按照《軟件管理》實施。

20、所有計算機(jī)設(shè)備必須統(tǒng)一安.裝防病毒軟件，未經(jīng)信息技術(shù)部同意，不得私自

在計算機(jī)中安裝非公司統(tǒng)一規(guī)定的任何防病毒軟件及個人防火墻。所有計算

機(jī)必須及時升級操作系統(tǒng)補(bǔ)丁和防病毒軟件。

21、任何人不得在公司的局域網(wǎng)上制造傳播任何計算機(jī)病毒，不得故意引入病

毒。

22、計算機(jī)使用者發(fā)現(xiàn)病毒后應(yīng)立即停機(jī)并及時通知公司信息技術(shù)部或本部門

病毒防治工作負(fù)責(zé)人，按《計算機(jī)病毒防治管理》處理。

23、因工作需要使用QQ、MSN等通訊工作，應(yīng)當(dāng)仔細(xì)辨別后再接收，對接收的文

件應(yīng)用安全軟件查殺后確認(rèn)無毒再打開。

24、使用電子郵件時，附件都應(yīng)用安全軟件查殺后確認(rèn)無毒再打開。對于陌生的

電子郵件，請直接予以刪除。

25、任何人不得進(jìn)入未經(jīng)許可的計算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)，不得以任

何形式攻擊公司的其它電腦或者股務(wù)器。

26、不得利用計算機(jī)技術(shù)侵占其他用戶合法利益，不得非法侵入他人電腦，不得

制作、復(fù)制、和傳播妨害公司穩(wěn)定的有關(guān)信息。

27、不得利用公司的網(wǎng)絡(luò)資源發(fā)布，傳播迷信、淫穢、色情、賭博、暴力、兇殺、

恐怖等信息，違者將送公安機(jī)關(guān)處理。

28、不得利用公司的網(wǎng)絡(luò)資源進(jìn)行入侵、破解、篡改其它Intemet工作站或者

服務(wù)器等網(wǎng)絡(luò)犯罪行為，若發(fā)現(xiàn)立即終止其Internet權(quán)限，并、上報公司最

高領(lǐng)導(dǎo)保留送公安機(jī)關(guān)處理的權(quán)力。

二、軟件管理

部門權(quán)責(zé)

1、此處軟件指公司所有操作系統(tǒng)、系統(tǒng)安全軟件、辦公軟件軟件、專用

軟件，數(shù)據(jù)中心信息系統(tǒng)等。公司所有業(yè)務(wù)所需的軟件由公司綜合部網(wǎng)絡(luò)管理員統(tǒng)

一管理和安裝。員工無權(quán)要求綜合部網(wǎng)絡(luò)管理提供軟件介質(zhì)和軟件授權(quán)號碼給其他

人。更不允許將某某產(chǎn)權(quán)的軟件安裝在非某某產(chǎn)權(quán)的電腦上。

2,信息技術(shù)部負(fù)責(zé)全公司所使用軟件的管理。為確保公司計算機(jī)軟件之

適當(dāng)使用，各部門對該部門的每臺計算機(jī)應(yīng)指定保管人.共享計算機(jī)

則由部門指定人員保管，保管人對計算機(jī)軟、硬件具使用、保管之責(zé)。

3、各部門專用軟件和數(shù)據(jù)由計算機(jī)保管人定期備份，信息技術(shù)部對備份

情況進(jìn)行抽查，需要信息技術(shù)部備份的應(yīng)填寫《數(shù)據(jù)備份申請表》，數(shù)

據(jù)中心信息系統(tǒng)數(shù)據(jù)應(yīng)按《備份管理制度》備份。

4、信息技術(shù)部負(fù)責(zé)管理監(jiān)督公司軟件使用情況，并負(fù)責(zé)軟件預(yù)算編列及

軟件異動等事項。

5、信息技術(shù)部負(fù)責(zé)公司數(shù)據(jù)中心信息系統(tǒng)的選型、變更、安裝、設(shè)置、

測試、維護(hù)管理。

6,針對新的信息系統(tǒng)上線，需由信息技術(shù)部會同需求部門對軟件系統(tǒng)進(jìn)

行評估，并做出上線計劃，上前后進(jìn)行測試，并記錄各項測試數(shù)據(jù)、

參數(shù)配置及測試結(jié)果。在測試中發(fā)現(xiàn)的問題需及時向供應(yīng)商反饋并進(jìn)

行書面記錄進(jìn)行整改。當(dāng)由新系統(tǒng)替換舊系統(tǒng)時，業(yè)務(wù)部門需對舊系

統(tǒng)下線前的期末數(shù)據(jù)與新系統(tǒng)上線后的期初數(shù)據(jù)進(jìn)行核實，確認(rèn)無誤

后方可投入使用。供應(yīng)商完成系統(tǒng)測試后，需獲取測試驗收確認(rèn)函，

確保軟件系統(tǒng)滿足業(yè)務(wù)需求，并及時對系統(tǒng)用戶進(jìn)行培訓(xùn)指導(dǎo)。

軟件采購

7,各部門對該部門使用的軟件，應(yīng)視需要查核實際使用狀況，以作為軟

件增置與編列預(yù)算的參考。軟件采購時應(yīng)考量軟件用途、授權(quán)形式及

價格以評估軟件需求，由信息技術(shù)部統(tǒng)一提出采購計劃。

計算機(jī)軟件安裝及保管

8,公司之各類授權(quán)計算機(jī)軟件，統(tǒng)-由信息技術(shù)部負(fù)責(zé)保管，并每上至

6少進(jìn)行一次盤點。各單位因業(yè)務(wù)需要需使用時可提出申請，由信息友

術(shù)部依該軟件之授權(quán)使用范圍進(jìn)行安裝。

9、公司擁有的授權(quán)計算機(jī)軟件，曰信息技術(shù)部門統(tǒng)一部署安裝；計算機(jī)

使用人堆個別軟件有安裝變動需求，必須先填寫《軟件安裝申請單》，

信息系統(tǒng)軟件申請須經(jīng)部門經(jīng)理和相關(guān)部門副總同意后，信息技術(shù)部

則依據(jù)軟件實施申請單，安裝或授權(quán)安裝至各計算機(jī)之內(nèi)。

10、計算機(jī)保管人對軟件負(fù)保管之責(zé)，軟件使用者如有使用不當(dāng)，造成

毀損或遺失，應(yīng)負(fù)賠償責(zé)任。軟件使用者應(yīng)當(dāng)為口令嚴(yán)格保密，并至

少每180天更改一次密碼，密碼應(yīng)滿足復(fù)雜性原則，長度應(yīng)不低于8

位，并由大寫字母、小寫字母、數(shù)字和標(biāo)點符號中至少3類混合組成。

對于因為軟件自身原因無法達(dá)到要求的，應(yīng)按照軟件允許的最高密碼

安全策略處理。

11、各部門軟件分配使用后，保管人或使用人職務(wù)變動或離職時，應(yīng)按

照人事部門流程移交其保管或使用之軟硬件，并辦理交接，由信息技

術(shù)部對其軟件使用權(quán)限進(jìn)行調(diào)整。

12、信息技術(shù)部在實施系統(tǒng)變更，如變更操作系統(tǒng)、軟件安裝、升級時

都必須做《計算機(jī)設(shè)備軟硬件變更清單》。

13、信息技術(shù)部每半年會同需求部門對計算機(jī)系統(tǒng)和數(shù)據(jù)中心信息系統(tǒng)

用戶情況進(jìn)行一次復(fù)查。

第四節(jié)軟件使用者的權(quán)利和義務(wù)

14、禁止員工使用會干擾或破壞網(wǎng)絡(luò)上其它使用者或節(jié)點的軟、硬件系

統(tǒng)。

15、員工不得將公司授權(quán)軟件私自考貝、借于他人或私自將軟、硬件帶

回家中。

16、軟件保管人或使用人，對于保管或使用軟件不可盜賣、循私營利或

其它不法情事，違者除提報主管及依公司規(guī)定懲處外,如因此觸犯著

作權(quán)者或造成公司損失，則該員應(yīng)負(fù)刑事及民事之全部責(zé)任。

17、尊重知識財產(chǎn)權(quán),禁止下載未經(jīng)授權(quán)的音樂、影片及軟件。

三；數(shù)據(jù)安全管理

1、工作所需的資料、數(shù)據(jù)，不得帶出辦公區(qū)。因外派等業(yè)務(wù)需帶出的情況除外，但

需始終注意做好相關(guān)資料的保密工作。外派等業(yè)務(wù)活動結(jié)束后，必須將相關(guān)資料數(shù)

據(jù)及時帶回，并清除保留在公司以外設(shè)備上的資料。

2、當(dāng)使用公司的網(wǎng)絡(luò)打印機(jī)時，打印的資料必須在30分鐘內(nèi)取回，保密資料的打

印不得使用公用的網(wǎng)絡(luò)打印機(jī)。

3、保密的資料應(yīng)設(shè)置密碼并妥善保管，不得隨意置于桌面。

4、在執(zhí)行資產(chǎn)轉(zhuǎn)移時，要對那些存儲保密資料或數(shù)據(jù)的載體（如計算機(jī)或軟、硬盤）

使用＜cipher》命令對整個磁盤進(jìn)行徹底清除，以防泄密。具體使用方法請向綜合

部網(wǎng)絡(luò)管理員咨詢，對于需要保存的資料或數(shù)據(jù)應(yīng)加強(qiáng)保密措施并進(jìn)行保護(hù)。

5、個人資料，工作資料應(yīng)定期做好備份工作（重要資料應(yīng)隨時雙重備份在其他電腦

和其他介質(zhì)上），以防病毒侵襲、硬件損壞等造成數(shù)據(jù)丟失。

四、網(wǎng)絡(luò)信息安全管理

1、新員工入職，在得到自己的辦公平臺的帳戶名和密碼后，應(yīng)立即更改自己的密碼，

如果因為沒有更改密碼而造成辦公平臺或公共管理系統(tǒng)帳戶被他人盜用的情況，后

果將由員工本人負(fù)責(zé)。

2、公司辦公平臺是為全體員工從事生產(chǎn)活動以及業(yè)務(wù)溝通提供服務(wù)的。不得利用公

司的辦公平臺從事與工作無關(guān)的活動，一經(jīng)查出或?qū)驹斐刹涣加绊懙?，將追?/p>

其責(zé)任。

3、員工有責(zé)任預(yù)防郵件病毒的傳播，員工的電腦必須安裝公司指定的殺毒軟件，并

啟用殺毒軟件的郵件防火墻功能。不允許在沒有防火墻的電腦上進(jìn)行收發(fā)郵件的操

作，如果員工本人無法確定郵件附件的用途，那么即使殺毒軟件沒有給出提示，也

不要輕易打開此類郵件。在使用電子郵件的過程中，有任何疑問都可以與綜合部網(wǎng)

絡(luò)管理員聯(lián)系。如果員工未按照上述要求執(zhí)行，導(dǎo)致電腦感染電腦病毒并在公司局

域網(wǎng)內(nèi)傳播電腦病毒，造成嚴(yán)重后果的，公司將追究該員工的責(zé)任。

4、由于辦公千臺服務(wù)器磁盤空間有限，公司通常情況下默認(rèn)分配給每個員工的空間

是200M,員工應(yīng)將在辦公平臺存儲超過一年的文件刪除，以節(jié)約磁盤空間，重要文

件請自行保存在個人電腦內(nèi)。

5.公司［P地址由綜合部網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃和分配使用，員工個人不得隨意變更個

人電腦的IP地址。

6、個人由于業(yè)務(wù)學(xué)習(xí)等而需用計算機(jī)以及計算機(jī)網(wǎng)絡(luò)的，可以利用休息時間進(jìn)行，

不可以占用工作時間。

7、不得利用計算機(jī)技術(shù)侵占用戶合法利益，不得制作、復(fù)制、和傳播妨害公司穩(wěn)定

的有關(guān)信息。

8、不得利用公司計算機(jī)網(wǎng)絡(luò)從事危害國家安全及其他法律明文禁止的活動；

9、不訪問不明網(wǎng)站的內(nèi)容，以避免惡意網(wǎng)絡(luò)攻擊和病毒的侵?jǐn)_。

10、員工個人QQ等其他網(wǎng)絡(luò)通訊工具，在個人信息資料中不得包含公司相關(guān)（如公

司、IP地址等）信息，在工作時間不使用QQ進(jìn)行與工作無關(guān)的事情。

五、病毒防護(hù)管理

1、公司為員工配備的電腦以及員工所負(fù)責(zé)的服務(wù)器必須安裝防病毒軟件，并且應(yīng)遵

循綜合部網(wǎng)絡(luò)管理員指定的計算機(jī)病毒防護(hù)標(biāo)準(zhǔn)，如：安裝并注意始終啟用網(wǎng)絡(luò)管

理員指定的防病毒軟件，并及時更新病毒庫代碼等。如因未及時升級防病毒軟件而

引起的系統(tǒng)問題和網(wǎng)絡(luò)問題，由個人承擔(dān)責(zé)任；

2、辦公平臺服務(wù)器的病毒防治由綜合部網(wǎng)絡(luò)管理員負(fù)責(zé)，各部門的工作站病毒的

防治由各部門負(fù)責(zé)周期性查毒和升級病毒庫，綜合部網(wǎng)絡(luò)管理員進(jìn)行指導(dǎo)和協(xié)助。

3、任何人不得在公司的網(wǎng)絡(luò)上制迨、傳播任何計算機(jī)病毒，不得故意引入病毒。網(wǎng)

絡(luò)使用者發(fā)現(xiàn)病毒應(yīng)立即向綜合部網(wǎng)絡(luò)管理報告以便獲得及時處理。

4、各部門定期對本部門計算機(jī)系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行備份以防發(fā)生故障時進(jìn)行恢復(fù)。

六、下載管理

1、不準(zhǔn)在任何時間利用公司網(wǎng)絡(luò)下載黑客工具、解密軟件，系統(tǒng)掃描工具，木馬程

序等威脅系統(tǒng)和網(wǎng)絡(luò)安全的軟件。

2、工作期間不允許下載和在線觀看與工作無關(guān)的軟件或其他內(nèi)容，如MP3、小說、

電影、電視和圖片等。

3、由于擅自進(jìn)行下載/上傳造成網(wǎng)絡(luò)堵塞甚至癱瘓或致使病毒傳播者，一經(jīng)核實,

公司依據(jù)相關(guān)規(guī)定將給予警告、通報批評。

七、機(jī)房管理

機(jī)房設(shè)備管理規(guī)定

1、機(jī)房管理人員應(yīng)使用電子表格對機(jī)房內(nèi)設(shè)備做好登記，記錄現(xiàn)有設(shè)備

的型號、配置、位置、狀態(tài)等信息，以便跟蹤設(shè)備變化。

2、計算機(jī)及網(wǎng)絡(luò)設(shè)備的搬運必須填寫《機(jī)房設(shè)備變更表》并通過信息技

術(shù)部負(fù)責(zé)人審批方可進(jìn)入或撤離計算機(jī)機(jī)房。

3、機(jī)房管理人員時機(jī)房設(shè)備的操作必須嚴(yán)格按照操作程序進(jìn)行，并在《機(jī)

房運行日志》做相應(yīng)記錄。

4、機(jī)房內(nèi)主機(jī)等設(shè)備的故障維修，必須于《機(jī)房運行日志》做好故障維

修登記，若涉及設(shè)備送修，須填寫《機(jī)房設(shè)備變更表》。

機(jī)房進(jìn)出規(guī)定

1、信息技術(shù)部應(yīng)根據(jù)公司實際情況，安排專人對機(jī)房進(jìn)行值班和巡檢。

2、機(jī)房鑰匙由信息技術(shù)部保存，其余鑰匙交公司行政部統(tǒng)一保管，如果

特殊情況需使用時須嚴(yán)格登記。

3、鑰匙保管人不允許私配機(jī)房鑰匙，無關(guān)人員不得借用機(jī)房鑰匙，機(jī)房

鑰匙一旦遺失必須立即向信息技術(shù)部負(fù)責(zé)人報備。

4、任何非機(jī)房管理人員需要進(jìn)入機(jī)房，需填寫《機(jī)房出入登記表》在機(jī)

房值班人員陪同下進(jìn)入機(jī)房。

5、進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、

流體物質(zhì)等對設(shè)備正常運行構(gòu)成威脅的物品，因工作需要使用時，必

須向信息技術(shù)部負(fù)責(zé)人申請并做詳細(xì)登記，嚴(yán)格執(zhí)行操作規(guī)程，用后

必須置于安全狀態(tài)，妥善保管。

6、進(jìn)入機(jī)房人員應(yīng)自覺遵守機(jī)房內(nèi)各項管理規(guī)定，服從機(jī)房值班人員的

管理，非經(jīng)機(jī)房管理人員允許，不得擅自對機(jī)房設(shè)備進(jìn)行操作。工作

完畢后應(yīng)及時離開，離開機(jī)房時應(yīng)主動接受機(jī)房值班人員的檢查。

7,條進(jìn)入機(jī)房人員在工作完畢后，自覺將所帶無關(guān)物品帶走。

機(jī)房衛(wèi)生規(guī)定

1、機(jī)房值班人員需要每天對機(jī)房進(jìn)行打掃，保證機(jī)房內(nèi)環(huán)境、設(shè)備的清

潔。

2、0任何人不得將食物或飲料帶入機(jī)房，任何人不得在機(jī)房內(nèi)吃東西、吸

煙、吐痰。

機(jī)房消防、安全管理規(guī)定

1、機(jī)房應(yīng)保持計算機(jī)設(shè)備正常運行所必須的溫度、濕度等環(huán)境要求，安

裝溫濕度報警設(shè)施，對運行環(huán)境可能出現(xiàn)的不利因素進(jìn)行監(jiān)測并預(yù)警。

這些要求至少包括以下內(nèi)容：

(1)安裝24小時不間斷空調(diào)系統(tǒng)，機(jī)房內(nèi)保持一定的溫度和濕度；

(2)安裝濕度和溫度顯示裝置；

(3)安裝煙霧感應(yīng)探測器和溫度感應(yīng)探測器；

(4)安裝火災(zāi)報警和自動滅火系統(tǒng)；

(5)配備手動滅火器；

(6)將機(jī)房地板抬高。

2、機(jī)房應(yīng)列為單位要害和重點防火部位，應(yīng)嚴(yán)格按照相關(guān)國家標(biāo)準(zhǔn)安裝

配備。足夠數(shù)量的消防報警設(shè)備以及消防器材，機(jī)房工作人員要熟悉

機(jī)房消防器材的存放位置及使用方法，定期檢查更換。

3、機(jī)房及其附近嚴(yán)禁吸咽、焚燒任何物品。

4、機(jī)房應(yīng)配備適當(dāng)?shù)牟婚g斷的電刀供應(yīng)(UPS),確保有足移的后備電力

支持正常的系統(tǒng)應(yīng)急操作；每半年對現(xiàn)有的不間斷的電力供應(yīng)設(shè)備進(jìn)

行檢查與維護(hù)，確保設(shè)備的正常運作。

5、機(jī)房管理人員要熟悉設(shè)備電源和照明用電以及其他電氣設(shè)備總開關(guān)位

置，掌握切斷電源的方法與步驟，發(fā)現(xiàn)火情及時報告，采取有效措施

及時滅火。

值班管理規(guī)定

1、信息技術(shù)部應(yīng)根據(jù)公司實際情況，安排專人對機(jī)房進(jìn)行值班和巡檢。

2、值班人員應(yīng)每日做好系統(tǒng)運行和機(jī)房安全工作，檢查空調(diào)、UPS、溫濕

17度、消防等設(shè)備的完好性，并將檢查結(jié)果記錄于《機(jī)房運行日志》，如

果發(fā)現(xiàn)問題及時匯報處理。

3、值班人員應(yīng)每日檢查各類系統(tǒng)談備的運行狀態(tài)，并在《機(jī)房運行日

志》中進(jìn)行記錄。若系統(tǒng)發(fā)生故障，應(yīng)及時報告相關(guān)管理人員，并協(xié)

助其進(jìn)行問題調(diào)查，做好工作記錄，將故障發(fā)生時間及修復(fù)時間等相

關(guān)信息進(jìn)行登記。

4、對機(jī)房內(nèi)所有人員的操作，值班人員應(yīng)該在《機(jī)房運行日志》中進(jìn)

行記錄。

5、時于進(jìn)入機(jī)房人員不遵守機(jī)房管理規(guī)定或從事與正常工作內(nèi)容不相

符的操作，必須及時加以制止，必要時可終止其操作。

6、信息技術(shù)部負(fù)責(zé)人應(yīng)每月審閱《機(jī)房運行日志》，確保所有機(jī)房操作

已通過適當(dāng)?shù)氖跈?quán)和審批。

翁傷及欣更

備份操作管理

1、備份工作應(yīng)由信息技術(shù)部門安排備份管理人員和備份數(shù)據(jù)保管人員。

備份管理人員負(fù)責(zé)實施備份、恢復(fù)操作和登記工作，備份保管人員負(fù)

責(zé)備份介質(zhì)的取放、更換。

2、數(shù)據(jù)被大規(guī)模更新前后，須對數(shù)據(jù)進(jìn)行備份，在操作系統(tǒng)和應(yīng)用程序

發(fā)生重大改變前后，須對系統(tǒng)和應(yīng)用程序進(jìn)行備份。

3、各部門專用軟件和數(shù)據(jù)由計箕機(jī)保管人定期備份，信息技術(shù)部對各份

情況進(jìn)行抽查，需要信息技術(shù)部備份的應(yīng)填寫《數(shù)據(jù)備份申請表》，提

出具體的備份要求，包括備份內(nèi)容、備份周期等，申請部門負(fù)責(zé)人審

批后由備份管理人員制定相應(yīng)策略，并由信息技術(shù)部門負(fù)賁人審批后

執(zhí)行。

4、備份操作人員每次備份填寫《各份工作匯總記錄》。

5、備份對象發(fā)生變更后，應(yīng)及時評估和調(diào)整備份策略。備份策略的變更

應(yīng)得到需求申請部門以及信息技術(shù)部負(fù)賁人審批。

6、《數(shù)據(jù)備份申請表》和《備份工作匯總記錄》必須由備份管理員妥善

保管，信息技術(shù)部負(fù)責(zé)人每三個月對備份工作進(jìn)行審核，核對系統(tǒng)中

的備份工作與備份申請是否吻合，以保證備份是按照要求進(jìn)行的，核對

系統(tǒng)中的備份日志與備份工作匯總記錄，以保證備份的有效性、完整

性以及出現(xiàn)的問題能得到適當(dāng)?shù)奶幚怼?/p>

7、信息技術(shù)部負(fù)責(zé)人應(yīng)制定相應(yīng)的備份恢焚計劃。

8,需要恢要備份數(shù)據(jù)時，應(yīng)由需求部門填寫《數(shù)據(jù)恢史申請表況內(nèi)容包

括數(shù)據(jù)內(nèi)容、恢復(fù)原因、恢復(fù)數(shù)據(jù)來源、計劃恢復(fù)時間、恢復(fù)方案等，

由需求部門以及信息技術(shù)部門相關(guān)負(fù)責(zé)人審批后由備份管理員負(fù)責(zé)實

施O

9、備份管理員應(yīng)時《數(shù)據(jù)恢復(fù)申請表》進(jìn)行保存和歸檔，信息技術(shù)部負(fù)

責(zé)人應(yīng)每三個月對上述文檔進(jìn)行審閱，確保備份恢復(fù)工作的合規(guī)性。

第三節(jié)備份介質(zhì)的存放與管理

10、對數(shù)據(jù)、操作系統(tǒng)以及程序的備份，須保存在兩份介質(zhì)中，一份本地

存放，另一份異地存放；本地和異地的備份介質(zhì)均需填寫《備份介質(zhì)

登記表》。

11、備份介質(zhì)存放場所必須滿足防火、防水、防潮、防磁、防盜、防鼠

等要求。無論是存放在本地還是異地，須確保存放場所的安全，經(jīng)信

息部門負(fù)責(zé)人批準(zhǔn)后實施，只有授權(quán)人員才可以訪問；

12、備份介質(zhì)的存取應(yīng)由備份保管人員負(fù)責(zé)，其他人員未經(jīng)批準(zhǔn)不能操

作。

13,存放備份的介質(zhì)必須具有明確的標(biāo)識；標(biāo)識必須使用統(tǒng)一的命名規(guī)

范。

介質(zhì)標(biāo)識號命名規(guī)則：BACKUP+三位數(shù)編號：如BACKUP002o

14、在本地和異地建立《備份目錄清單》，用以記錄備份數(shù)據(jù)的名稱、內(nèi)

容、存放位置、數(shù)據(jù)錄入時間和數(shù)據(jù)保留期限等，由備份管理人員負(fù)

責(zé)每次填寫，備份保管人員核對并保管。數(shù)據(jù)存放應(yīng)以壓縮包的形式。

備份數(shù)據(jù)命名規(guī)則：

(1)操作系統(tǒng):SYST操作系統(tǒng)名稱+日期。

如SYST郵件服務(wù)器操作系統(tǒng)20211230。

(2)應(yīng)用系統(tǒng)軟件:SOFT應(yīng)用系疣軟件名稱+日期。

如SOFT用友ERP服務(wù)器端20211230c

(3)數(shù)據(jù)庫：DATE數(shù)據(jù)庫名稱+應(yīng)用系統(tǒng)軟件名稱+日期。

(4)其他文件:FILE+文件名稱+日期。

15、所有備份介質(zhì)一律不準(zhǔn)外借，不準(zhǔn)流出公司，除備份管理員任何人

員不得擅自取用，若要取用須經(jīng)信息技術(shù)部門負(fù)責(zé)人批準(zhǔn)，并填《備

份介質(zhì)登記表》。借用人員使用完介質(zhì)后，應(yīng)立即歸還。由備份管理員

檢查，確認(rèn)介質(zhì)物理和數(shù)據(jù)完好無誤。備份管理人員及借用人員須分

別在《備份介質(zhì)借用登記表》上簽字確認(rèn)介質(zhì)歸還。

16、備份介質(zhì)要每3個月進(jìn)行檢查，以確認(rèn)介質(zhì)能否繼續(xù)使用、備份內(nèi)

容是否正確。一旦發(fā)現(xiàn)介質(zhì)損壞，應(yīng)立即更換，并對損壞介質(zhì)進(jìn)行銷

毀處理；對超出保存期的數(shù)據(jù)可以進(jìn)行沖洗。存放介質(zhì)需要沖洗或銷

毀時，應(yīng)填寫《備份介質(zhì)沖洗/銷毀登記表》，由需求部門負(fù)責(zé)人和信

息技術(shù)部負(fù)責(zé)人審批后，備份管理人員與備份保管人員辦理交接手續(xù)

后由備份管理人員銷毀，必須使備份介質(zhì)中的數(shù)據(jù)永久不可讀取，備

份數(shù)據(jù)介質(zhì)銷毀后，在《備份介質(zhì)登記表》中注明沖洗或銷毀。銷毀

時須備份管理人員和備份保管人員雙人以上在場，防止數(shù)據(jù)的泄漏。

《備份介質(zhì)沖洗/銷毀登記表》由備份保管人員保管。

17.長期保存的備份介質(zhì)，必須按照制造廠商確定的存儲壽命定期轉(zhuǎn)儲,

磁盤、磁帶、光盤等介質(zhì)使用有效期規(guī)定為三年，三年后更換新介質(zhì)

進(jìn)行備份。需要長期保存的數(shù)據(jù)，應(yīng)在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止

存儲介質(zhì)過期失效。以上操作由備份管理員提出申請，信息部門負(fù)責(zé)

人審批后執(zhí)行并在《備份介質(zhì)登記表》和《備份介質(zhì)沖洗/銷毀登記表》

中登記，備份保管員負(fù)責(zé)核對。

一、1單項選擇題（1-605）

1、ChineseWall模型的設(shè)計宗旨是：（A

A、用戶只能訪問哪些與已經(jīng)擁有的信息不沖突的信息B、用戶可以訪問所有信息C、

用戶可以訪問所有已經(jīng)選擇的信息D、用戶不可以訪問哪些沒有選擇的信息

2、安全責(zé)任分配的基木原則是：（C）。

A、“三分鴕技術(shù)，七分靠管理“B、?七分林技術(shù),三分毒管理”

C、“誰主管，誰負(fù)責(zé)"D、防火墻扳術(shù)

3、保證計算機(jī)信息運行的安全是計算機(jī)安全領(lǐng)域中最重要的環(huán)節(jié)之?,以下（B）不屬F

信息運行安全技術(shù)的范暄。

A、風(fēng)險分析B、審計跟蹤技術(shù)C、應(yīng)急技術(shù)D、防火墻技術(shù)

4、從風(fēng)險的觀點來看，一個具有任務(wù)軟急性，核心功能性的計兌機(jī)應(yīng)用程序系統(tǒng)的開發(fā)和

維護(hù)項目應(yīng)該（A）.

A、內(nèi)部實現(xiàn)B、外部采購實現(xiàn)C、合作實現(xiàn)D、多來源合作實現(xiàn)

5、從風(fēng)險分析的觀點來看，計算機(jī)系統(tǒng)的最主要弱點是（B）。

A、內(nèi)部計算機(jī)處理B、系統(tǒng)輸入輸出C、通訊和網(wǎng)絡(luò)D、外茄計算機(jī)處理

6、從風(fēng)險管理的角度，以下哪種方法不可??？（D>

A、接受風(fēng)險B、分散風(fēng)險C、轉(zhuǎn)移風(fēng)險D、拖延風(fēng)險

7、當(dāng)今IT的發(fā)展與安全投入，安全意識和安全手段之間形成（B）.

A、安全風(fēng)險醉障B、安全風(fēng)險缺UC、管埋方式的變革D、管埋方式的缺

□

8、當(dāng)為計算機(jī)資產(chǎn)定義保險也蓋率時，下列哪一項應(yīng)該特別考慮？（D）。

A、已買的軟件B、定做的軟件C、硬件D、數(shù)據(jù)

9、當(dāng)一個應(yīng)用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應(yīng)用系統(tǒng)，在

該系統(tǒng)重新上線前管理員不需查看：（C）

A、訪問控制列表B、系統(tǒng)服務(wù)配置情況

C、審計記錄D、用尸賬戶和權(quán)限的設(shè)置

10,根據(jù)《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定3,涉及國家秘密的計算機(jī)信息系統(tǒng)，不

得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行（B）。

A、邏輯隔離B、物理隔離C、安裝防火墻D、VLAN劃分

II、根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南及信息系統(tǒng)的安全保護(hù)等級由哪兩個定級要素

決定？（D）

A、威脅、脆弱性B、系統(tǒng)價值、風(fēng)險

C、佶息安全、系統(tǒng)服務(wù)安全D、受侵古的客體、對客體造成侵害的程度業(yè)務(wù)

12、公司應(yīng)明確員工的雇傭條件和考察評價的方法與程序,減少因雇傭不當(dāng)而產(chǎn)生的安全風(fēng)

險。人員考察的內(nèi)容不包括（B）。

A、身份考驗、來自組織和個人的品格鑒定B、家