第一章 總則

第一條

為了保護(hù)有限公司計算機(jī)信息系統(tǒng)安全，規(guī)范信息系統(tǒng)管理,合理利用系統(tǒng)資源，推進(jìn)公司信息化建設(shè)，促進(jìn)計算機(jī)的應(yīng)用和發(fā)展，保障公司信息系統(tǒng)的正常運(yùn)行，充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用，更好地為公司生產(chǎn)經(jīng)營服務(wù)。依據(jù)相關(guān)監(jiān)管機(jī)構(gòu)的監(jiān)管規(guī)定以及自律機(jī)構(gòu)的自律指引，結(jié)合公司實(shí)際，制定本辦法。

第二條

本制度所稱的信息系統(tǒng)，包括計算機(jī)硬件、軟件、打印機(jī)、電子郵件、辦公應(yīng)用系統(tǒng)、局域網(wǎng)和廣域網(wǎng)的訪問等，及按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。

第三條

信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，保障應(yīng)用系統(tǒng)的正常運(yùn)行，以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行。

第四條

信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過各種計算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，在實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上，保護(hù)信息在傳輸、交換和存儲過程中的機(jī)密性、完整性和真實(shí)性。

第五條

本制度適用于公司員工及實(shí)習(xí)生使用的信息系統(tǒng)。

第二章 計算機(jī)使用管理

第六條

按照誰使用誰負(fù)責(zé)的原則，落實(shí)責(zé)任人，負(fù)責(zé)保管所用的計算機(jī)，打印機(jī)等設(shè)備的完好。做到誰使用誰領(lǐng)用，且由部門經(jīng)理進(jìn)行確認(rèn)。

第七條

公司員工應(yīng)服從公司對計算機(jī)分配，不得私自調(diào)換計算機(jī)及外圍設(shè)備。

第八條

計算機(jī)領(lǐng)用人嚴(yán)禁使用公司計算機(jī)玩游戲、看影碟及進(jìn)行其他與工作無關(guān)的操作。

第九條

計算機(jī)領(lǐng)用人應(yīng)對外來軟盤，光盤，優(yōu)盤，移動硬盤及其他便攜式存儲設(shè)備進(jìn)行嚴(yán)格的病毒監(jiān)測，方可使用。

第十條

計算機(jī)領(lǐng)用人不得擅自修改計算機(jī)設(shè)置，杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生。

第十一條

計算機(jī)產(chǎn)生異常情況，計算機(jī)領(lǐng)用人應(yīng)暫停計算機(jī)的使用，并將計算機(jī)出現(xiàn)的異常情況及時告知公司網(wǎng)絡(luò)管理人員。

第十二條

計算機(jī)領(lǐng)用人對于計算機(jī)的系統(tǒng)登陸必須設(shè)置帳號密碼，且不得將密碼告訴其他人員，嚴(yán)格控制非使用人員使用計算機(jī)。

第十三條

計算機(jī)領(lǐng)用人對自己的計算機(jī)應(yīng)經(jīng)常進(jìn)行病毒檢測與殺毒。嚴(yán)禁外單位人員操作信息系統(tǒng)，嚴(yán)禁使用外來盤片，以防泄密和病毒侵入。

第十四條

計算機(jī)領(lǐng)用人操作計算機(jī)時不得使用一些危險性的命令, 嚴(yán)禁擅自使用分區(qū)及格式化硬盤等操作。

第十五條

計算機(jī)操作人員不得隨意在各終端及局域網(wǎng)上安裝任何與工作無關(guān)的軟件程序。各單位所使用的計算機(jī)和軟件系統(tǒng)，除審批通過的管理軟件外。

第三章 網(wǎng)絡(luò)系統(tǒng)安全管理

第十六條

網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括五個方面：

機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。

完整性：未經(jīng)授權(quán)的人不能修改數(shù)據(jù)，只有得到允許的人才能修改數(shù)據(jù)，并且能夠分辨出被篡改的數(shù)據(jù)。

可用性：得到授權(quán)的實(shí)體在合法的范圍內(nèi)可以隨時隨地訪問數(shù)據(jù)，網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用。

可控性：可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。可審查性：一旦出現(xiàn)安全問題，網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段。

第十七條

網(wǎng)絡(luò)管理員應(yīng)盡可能地改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞。關(guān)閉不使用的服務(wù)，對不同級別的網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的資源訪問權(quán)限。

第十八條

網(wǎng)絡(luò)管理員應(yīng)當(dāng)做好系統(tǒng)記錄，定期檢查，發(fā)現(xiàn)問題，及時解決。

第十九條

重要的信息網(wǎng)絡(luò)系統(tǒng)自運(yùn)行開始必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問題能夠及時恢復(fù)正常。網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)的技術(shù)規(guī)劃、實(shí)施和操作，并作好詳細(xì)的記錄。

第二十條

管理員應(yīng)對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)中進(jìn)行系統(tǒng)運(yùn)行記錄（Log）和數(shù)據(jù)庫運(yùn)行記錄（Data Base Log）的轉(zhuǎn)儲保存以備查。

第二十一條

重要大型數(shù)據(jù)庫必須運(yùn)行于專門的服務(wù)器或工作站上，并異地備份。

第二十二條

網(wǎng)絡(luò)安全檢測。為使網(wǎng)絡(luò)長期保持較高的安全水平，網(wǎng)絡(luò)管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測工具對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)管理員在系統(tǒng)檢測完成后，應(yīng)編寫檢測報告，需詳細(xì)記敘檢測的對象、手段、結(jié)果、建議和實(shí)施的補(bǔ)救措施與安全策略。檢測報告存入系統(tǒng)檔案。

第二十三條

網(wǎng)絡(luò)反病毒。病毒的危害性巨大，對系統(tǒng)和信息的破壞程度具有不可測性，計算機(jī)用戶和系統(tǒng)管理員應(yīng)針對具體情況采取預(yù)防病毒技術(shù)、檢測病毒技術(shù)和殺毒技術(shù)。

第四章 信息安全管理

第二十四條

信息安全是指通過各種計算機(jī)、網(wǎng)絡(luò)和密碼技術(shù)，保護(hù)信息在傳輸、交換和存儲過程中的機(jī)密性、完整性和真實(shí)性。具體包括以下幾個方面：

（一）信息處理和傳輸系統(tǒng)的安全

系統(tǒng)管理員應(yīng)對處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù)，避免因?yàn)橄到y(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。

（二）信息內(nèi)容的安全

側(cè)重于保護(hù)信息的機(jī)密性、完整性和真實(shí)性。系統(tǒng)管理員應(yīng)對所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評測，采取技術(shù)措施對所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救，防止竊取、冒充信息等。

（三）信息傳播安全

要加強(qiáng)對信息的審查，防止和控制非法、有害的信息通過我部的信息網(wǎng)絡(luò)系統(tǒng)傳播，避免對國家利益、公共利益以及個人利益造成損害。

第二十五條

信息的內(nèi)部管理

（一）各部門在向網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒、殺毒工作，確保信息文件無毒上載；

（二）根據(jù)情況，采取網(wǎng)絡(luò)病毒監(jiān)測、查毒、殺毒等技術(shù)措施，提高網(wǎng)絡(luò)的整體抗病毒能力；

（三）各部門應(yīng)對本單位的信息進(jìn)行審查，各網(wǎng)站和欄目信息的負(fù)責(zé)單位必須對所發(fā)布信息制定審查制度，對信息來源的合法性，發(fā)布范圍，信息欄目維護(hù)的負(fù)責(zé)人等作出明確的規(guī)定。信息發(fā)布后還要隨時檢查信息的完整性、合法性；如發(fā)現(xiàn)被刪改，應(yīng)及時報告公司相關(guān)部門；

（四）涉及公司機(jī)密的信息的存儲、傳輸?shù)葢?yīng)指定專人負(fù)責(zé)，并嚴(yán)格按照國家有關(guān)保密的法律、法規(guī)執(zhí)行；

（五）個人計算機(jī)中的涉密文件不可設(shè)置為共享，個人電子郵件的收發(fā)要實(shí)行病毒查殺。

第二十六條

涉及公司機(jī)密的信息，其電子文檔資料須加密存儲；在傳輸過程中視情況及公司的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。

第二十七條

任何單位和個人不得從事以下活動：

（一）利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息；

（二）入侵他人計算機(jī)；

（三）未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息；

（四）未經(jīng)授權(quán)對信息網(wǎng)絡(luò)系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序）進(jìn)行增加、修改、復(fù)制和刪除等；

（五）未經(jīng)授權(quán)查閱他人郵件；

（六）盜用他人名義發(fā)送電子郵件；

（七）故意干擾網(wǎng)絡(luò)的暢通運(yùn)行；

（八）從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動。

第五章 口令管理

第二十八條

具有口令功能的計算機(jī)、網(wǎng)絡(luò)設(shè)備等，必須使用口令對用戶的身份進(jìn)行驗(yàn)證和確認(rèn)。對于網(wǎng)絡(luò)系統(tǒng)，公司設(shè)專職或兼職系統(tǒng)保密員，負(fù)責(zé)日常的口令管理工作。

第二十九條

系統(tǒng)保密員負(fù)責(zé)給新增加的用戶分配初始口令；指導(dǎo)用戶正確使用口令；檢查用戶使用口令情況；幫助用戶開啟被鎖定的口令，對非法操作及時查明原因；解決口令使用過程中出現(xiàn)的問題；協(xié)助用戶保護(hù)公司機(jī)密不受侵害；定期向主管領(lǐng)導(dǎo)匯報口令使用情況和需要解決的問題。

第三十條

定期更換口令。口令的最長使用時間不能超過四十五天，長度不小于八位。當(dāng)口令使用期滿時，應(yīng)更換新的口令。

第三十一條

系統(tǒng)保密員必須有能力更改口令。當(dāng)口令使用期滿、被其他人知悉或認(rèn)為口令不保密時，系統(tǒng)保密員可按照口令更改程序變換口令。口令更換操作應(yīng)在保密條件下進(jìn)行。

第三十二條

對口令數(shù)據(jù)庫的訪問和存取必須加以控制，以防止口令被非法修改或泄露。

第三十三條

當(dāng)系統(tǒng)提供的訪問和存取控制機(jī)制不夠完善時或機(jī)制雖然完善，但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲等情況時，應(yīng)對存儲的口令加密。

第三十四條

公司提供員工使用的系統(tǒng)，如有保密要求，將系統(tǒng)定義為涉密系統(tǒng)。根據(jù)涉密程度分為秘密級，機(jī)密級，絕密級系統(tǒng)。涉密系統(tǒng)的身份認(rèn)證應(yīng)當(dāng)符合以下要求：

（一）口令應(yīng)當(dāng)由系統(tǒng)安全保密管理人員集中產(chǎn)生供用戶選用，并有口令更換記錄；

（二）處理秘密級信息的系統(tǒng)口令長度不得少于六個字符，口令更換周期不得長于一個月；處理機(jī)密級信息的系統(tǒng)，口令長度不得少于八個字符，口令更換周期不得長于一周；處理絕密級信息的系統(tǒng)，應(yīng)當(dāng)采用一次性口令或生理特征等強(qiáng)認(rèn)證措施；

（三）口令必須加密存儲，并且保證口令存放載體的物理安全；

（四）口令在網(wǎng)絡(luò)中必須加密傳輸。

第三十五條

用戶應(yīng)記住自己的口令，不應(yīng)把它記載在不保密的媒介物上，嚴(yán)禁將口令貼在終端上。輸入的口令不應(yīng)顯示在顯示終端上。

第六章人員管理

第三十六條

安全的人員管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理的最根本核心是人員管理，提高安全意識，行于具體的安全技術(shù)工作中。

為此，安全的人事組織管理主要基于以下三個原則：

（一）每一項(xiàng)與安全有關(guān)的活動，都必須有兩人或多人在場；

（二）參與安全管理活動的人員由系統(tǒng)主管領(lǐng)導(dǎo)指派，要求工作認(rèn)真可靠，能勝任此項(xiàng)工作；

（三）相關(guān)人員應(yīng)簽署工作情況記錄以證明安全工作已得到保障。

負(fù)責(zé)的安全活動范圍包括：

（一）訪問控制使用證件的發(fā)放與回收；

（二）信息處理系統(tǒng)使用的媒介發(fā)放與回收；

（三）處理保密信息；

（四）硬件和軟件的維護(hù)；

（五）系統(tǒng)軟件的設(shè)計、實(shí)現(xiàn)和修改；

（六）重要程序和數(shù)據(jù)的刪除和銷毀等。

第三十七條

在信息處理系統(tǒng)工作的人員不得打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。

第三十八條

安全的人事管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。包括：

（一）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級 ；

（二）根據(jù)確定的安全等級，確定安全管理的范圍；

（三）制訂相應(yīng)的機(jī)房出入管理制度；

對于安全等級要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別、登記和管理。

（四）制訂嚴(yán)格的操作規(guī)程；

操作規(guī)程根據(jù)職責(zé)明確和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不超越自己的管轄范圍；對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。

（五）制訂完備的系統(tǒng)維護(hù)制度；對系統(tǒng)進(jìn)行維護(hù)時，采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。

（六）制訂應(yīng)急措施。

制訂系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。

第三十九條

系統(tǒng)管理員有權(quán)對局域網(wǎng)絡(luò)以及各單位計算機(jī)進(jìn)行定期檢查或不定期抽查，凡有違反本制度的單位、部門或個人，應(yīng)及時報告公司領(lǐng)導(dǎo)，視情節(jié)對部門或個人給予適當(dāng)?shù)慕?jīng)濟(jì)處罰和行政處分。

第七章附則

第四十條

本制度由內(nèi)控制度委員會通過后生效，并由其負(fù)責(zé)修改和解釋。