集团信息安全管理办法探究.docxVIP

Q/QT某集团有限公司发布2011-08-06实施2011-08-04发布信息安全管理办法Q/QTG 01-019-2011/A某 某集团有限公司管理文件B信息安全管理办法1 目的为了加强集团公司计算机信息系统的安全防护，保证集团公司计算机网络及生产业务应用服务系统的正常运作，使网络信息资源免遭窃取、篡改和破坏并依据《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》和《计算机信息系统国际联网保密管理规定》等相关法律、法规的要求，特制定本办法。2 适应范围本办法适用于使用集团公司计算机信息系统的所有职能部门、子公司（含连入企业网络或单机使用）。特车公司军品安全管理要求高于本规定的按军品安全规定执行。3 术语和定义3.1本管理办法中所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对企业信息进行采集、加工、存储、传输、检索、输出等处理的人机系统。3.2计算机信息系统安全是指计算机信息系统设施的完整存在，并且信息系统功能能够有效发挥，以及其中所载信息内容的准确、完整。4职责4.1保密委员会是某某集团有限公司信息安全管理的最高管理机构，其机构设置详见《保密管理规定》。4.2企业管理部信息管理处（以下简称信息管理处）负责对集团公司计算机信息系统保密和安全管理的指导、协调、监督和检查工作。4.3各涉密单位和个人按本规定做好计算机信息系统的安全防护。4.4所有使用部门、人员应有接收回执，并被视作已经阅读和遵守本办法所有条款。5工作程序和要求5.1信息系统安全和保密内容5.1.1计算机信息系统安全包括硬件设施、软件设施、供电系统、机房及网上信息等的安全。5.1.1.1硬件设施的安全包括PC、笔记本型计算机、各种类型工作站、服务器，各种网络联接设备（集线器、中继器、交换机、转换器），网络联线（光纤、电缆、双绞线）和路由设施的安全。a)计算机及相应配套设备实行专人专用、专人专管制度，使用人员承担所辖微机及配套设备的使用和保养责任。b)禁止在信息设备旁放置盛水容器、食品，禁止在设备旁抽烟。c)硬件设备的使用实行登记制度，经主管部门批准才能投入使用和更换，并进行备案。d)设备的拆卸与维修、硬件升级均需要授权专业人员进行或者在专业人员指导下进行，禁止使用者随意拆卸与更换。用于联网的网络接口和网线，禁止挪做他用。e)信息存储设备的报废应遵循相关的程序，有敏感信息的存储设备在报废之前应该物理销毁或安全地覆盖。5.1.1.2软件设施的安全包括操作系统软件、数据库管理系统、开发工具软件、应用系统、网络管理系统、WEB服务器软件、WEB浏览软件、安全管理软件、运行支持软件等。这些软件设施的执行代码、原代码、载体以及相应的配置参数、设计标准、数据格式都是安全保护对象。a)禁止在企业生产业务系统计算机上安装任何非正常生产经营、技术研发需要的系统和应用软件，确有特殊需求的应用软件，须经企业管理部批准后安装。b)禁止从互联网络上下载或通过邮件系统接受、安装使用盗版软件和任何未经安全检验证明的外来应用软件，包括各类操作系统、数据库系统及应用软件。c)生产业务系统的操作系统、应用软件升级需经企业管理部专业人员许可后进行，企业管理部将不定期地对生产业务系统服务器、工作站、PC的操作系统、应用软件进行升级、打补丁和安全配置。d)禁止任何部门和个人将集团公司内部使用的各类系统及应用软件对外传播使用，因此行为对企业造成的知识产权经济损失全部由相关责任人个人承担。e)禁止任何部门和个人卸载公司安装使用的加密软件和防毒软件等安全软件。f)禁止任何部门和个人安装使用未经信息管理处允许的任何网络管理软件。5.1.1.3供电系统禁止任何单位和个人对计算机系统进行断电，迫不得已需要断电时，应及时通知企业管理部和计算机用户。5.1.1.4机房禁止任何单位和个人未经允许进入机房；未经授权禁止任何人操作机房中的任何设备。5.1.1.5网上信息安全网上信息安全按5.2.3.1的要求进行管理。5.1.2计算机信息系统保密指涉密信息及其载体在网络上采集、加工、存储、传输、检索、输出中被使用者直接泄露或被非法入侵者窃取。主要包括涉密信息和涉密载体等。5.1.2.1涉密信息包括以电子文件或数据库形式分布在网络上的各种服务器和主机上的企业科技、经营和管理等方面的秘密信息。5.1.2.2涉密载体包括硬磁盘、软磁盘、磁卡、光盘、磁带、文件、资料、报表，以及各种服务器、主机、数据库和接触上述秘密信息载体的计算机操作人员(包括集团公司内所有使用计算机工作的人员)。5.1.3信息系统安全和保密责任5.1.3.1企业管理部信息管理处（以下简称信息管理处）a）负责在企业网络及数据中心建设、维护、管理中提供安全保密方面的