信息安全管理制度.pdf

网络信息安全管理制度 一、信息安全管理责任制 1. 总则 1.1 通过加强本公司办公设备、网站、公众号、 OA 办公系统等管理， 保证网络信息安 全正常运行， 保证公司机密文件的信息安全， 保障服务器和数据库的安全运行， 加强本公司 员工的网络信息安全意识，把相关工作做好。 2. 设备管理 2.1 本公司电脑设备仅用于本公司办公使用，不得用于工作无关的内容。 2.2 为保护办公电脑资料的安全，办公电脑必须设置密码，并且不能设置过于简单的 密码，并应依据一定规则定期更新。 2.3 电脑配置采购由上级部门统一进行，电脑软硬件更换需上级管理人同意，未经许 可任何个人不得随意拆卸更换电脑设备， 私自拆卸、 更换电脑设备， 否则按公司相关规定赔 偿并处理。 3. 数据安全管理 3.1 本公司工作所需的资料、数据，不得带出办公区。因外派等业务需带出的除外， 但需始终注意做好相关资料的保密工作。 外派等工作结束后， 必须将相关资料数据及时带回， 并清除保留在外面设备上的资料。 3.2 个人资料及工作资料应定期做好备份工作（重要资料应随时双重备份在其他电脑 和其他介质上），以防病毒侵袭、硬件损坏等造成数据丢失。 4. 网络信息安全管理 4.1 新员工入职，在得到自己的账户名和密码后，应立即更改自己的密码。 4.2 不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害公司稳定 的有关信息； 不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动； 不访 问不明网站的内容，以避免恶意网络攻击和病毒的侵扰。 4.3 员工个人 QQ、微信等其他网络通讯工具，在个人信息资料中不得包含公司相关 （如公司电话、 IP 地址等）信息，在工作时间不使用 QQ 、微信进行与工作无关的事情。 5. 病毒防护管理 5.1 配备的办公电脑必须安装防毒软件。 5.2 任何人不得在公司的网络上制造、传播任何计算机病毒，不得故意引入病毒。网 络使用者发现病毒应立即向上级部门报告以便获得及时处理。 6. 下载管理 6.1 不准在任何时间利用公司网络下载黑客工具、解密软件，系统扫描工具，木马程 序等威胁系统和网络安全的软件。 6.2 本公司办公电脑不允许下载和在线观看与工作无关的软件或其他内容，如 MP3 、 小说、电影、电视和图片等。 6.3 由于擅自进行下载 / 上传造成网络堵塞甚至瘫痪或致病毒传播者， 一经核实， 公司 依据相关规定处理。 二、信息安全评估 1.信息安全风险评估（ information security risk assessment ）是依据有关信息安全技术与 管理标准， 对信息系统及由其处理、 传输和存储的信息的机密性、 完整性和可用性等安全属 性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性， 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 2.信息安全风险评估分为自评估、 检查评估两种形式。 自评估是指网络与信息系统拥有、 运营或使用单位发起的对本单位信息系统进行的风险评估。 检查评估是指信息系统上级管理 部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主， 自评估和检查评估相互结合、 互为补充。 自评估和检查评估可依托自身技术力量进行， 也可 委托第三方机构提供技术支持。 3.信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋 值、已有安全措施确认、风险分析、风险评估记录等。 三、用户信息安全管理 1.相关内部人员不