信息系统资产安全管理制度.pdfVIP

. 信息系统安全管理制度 第一章 总则 第一条 为保证公司计算机网络能够安全可靠的运行，防止系统及数据 被非法利用或破坏，充分发挥其在生产、经营、办公和信息服务方面 的重要作用，更好的为员工提供服务，特制定本办法。 第二条 本制度涉及的信息系统，是指由计算机及其相关的配套的设 备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的计算机系统；本制度所指的 计算机软件是指在我公司内部使用的计算机应用软件。适用于公司范 围内的计算机系统。 第二章 组织机构和职责 第三条 成立公司信息安全小组，由公司领导、办公室、各相关部门、 计算机维护人员组成，指定公司信息系统安全员和各系统管理员。（见 附件一） 第四条 公司主要领导是公司信息系统管理和网络安全的第一责任 人，信息安全小组负责公司计算机应用系统和网络安全的全面管理和 运行维护。 第五条 计算机系统管理员负责公司内部信息系统及计算机网络安全 的管理和维护工作，为公司内部网络的安全运行提供技术保障。 . . 第六条 信息安全员负责对公司信息化相关的各项申请记录进行复 核，审查用户帐号使用情况和权限分配是否合理，对公司重要信息进 行安全分级，定期复查系统管理员填制的各项检查记录。 第七条 公司的所有计算机及外围设备是公司的固定资产，按照谁使 用谁负责的原则，落实责任人，使用部门为责任部门，负责保管配备 的信息化资产的完好，保证良好的使用环境，并建立资产台账。 第三章 系统安全管理 3.1 账号管理 第八条 应用系统、操作系统、数据库（以下简称“各系统”）的用户名 均应该专人专用，用以识别不同的用户和账号，以确保可溯源和可追 踪性。 第九条 各系统的管理员账号需进行有效的保护，经公司信息安全小 组审核后，由信息系统安全员分配管理员访问权限给系统管理员。 第十条 各系统均需要设置充分的用户密码安全策略，包括： 1） 设定密码最小长度不得低于八位； 2 ） 密码一定由数字、字母和符号共同组成； 3 ） 设置密码过期期限，定期更改密码； 4 ） 设置密码锁定前登录失败次数等安全策略。 第十一条 各信息系统自带的默认账号和密码必须在系统初次使用时 进行修改，密码由系统管理员保管。 第十二条 公司信息系统的访问和应用只限于通过公司内网进行，如 . . 因特殊情况需要通过外网访问信息系统的，报信息安全小组批准并由 自动化所授权同意后方可进行。 第十三条 保全处每半年组织相关业务员部门对信息系统账号进行复 核,将信息系统的用户及其权限清单提交给业务部门负责人,确认并审 核权限的合理性。通过查看系统日志，检查不适当账号和权限的使用 情况，对违规使用情况进行通报并立即整改。 第十四条 需新增或调整账户权限的用户，由使用部门提出申请，并 填写相关岗位权限调整申请表，经信息安全小组审核批准后，由系统 管理员调整用户账号及相应权限。 3.2 防病毒管理 第十五条 公司信息安全小组负责防病毒软件的部署与配置，用户与 信息设备责任人负责所用计算机系统及数据的基本防护。 第十六条 所有接入公司网络的计算机都必须安装防病毒软件；外来 计算机要接入公司网络必须装有防病毒软件和最新的病毒库和查杀引 擎，报经信息安全小组负责人批准后，由系统管理员检查该计算机， 符合要求后由系统管理员为该计算机设置网络连接。 第十七条 公司计算机的防病毒软件的实时监控要默认打开，不得擅 自关闭。 第十八条 公司计算机的防病毒软件和病毒库要通过一定的技术手段 （例如给杀毒软件增加防护密码等）进行保护，防止用户误删或未经 授权强制删除或禁用防病毒程序。 第十九条 信息安全小组负责指导和培训用户的防病毒知识，提高用 . . 户的防病毒意识。 第二十条 系统管理员要定期检查并提醒用户升级最新的操作系统补 丁。 3.3 数据管理 第二十一条 各部门要对本部门重要信息进行安全分级，对不同的数 据文件采取不同的保密措施防止泄密。 第二十二条 系统管理员对新发布的系统补丁程序进行风险评估，判 断补丁程序可能会对各系统带来的影响，必要情况下应在测试环境下 进行测试，填写《补丁程序测试记录》，并集中汇报给信息安全小组进 行审核。经测试无误后方可在生产系统计算机中更新补丁程序。（见附 件二《补丁程序测试记录》） 第二十三条 信息安全员每周检查上一周由系统管理员检查的各项记 录，并对所检查项目进行复核，填写各类记录单。 第二十四条 DCS负责公司所属工业信息化设备软件和数据的备份， 每月对