信息系统安全管理制度.--管理制度.docVIP

信息系统安全管理制度 第一章 总则 第一条 为保证公司计算机网络能够安全可靠的运行， 防止 系统及数据被非法利用或破坏，充分发挥其在生产、经营、 办公和信息服务方面的重要作用，更好的为员工提供服务， 特制定本办法。 第二条 本制度涉及的信息系统，是指由计算机及其相关的 配套的设备、设施（含网络）构成的，按照一定的应用目标 和规则对信息进行采集、加工、存储、传输、检索等处理的 计算机系统；本制度所指的计算机软件是指在我公司内部使 用的计算机应用软件。适用于公司范围内的计算机系统。 第二章 组织机构和职责 第三条 成立公司信息安全小组，由公司领导、办公室、各 相关部门、计算机维护人员组成，指定公司信息系统安全员 和各系统管理员。 （见附件一） 第四条 公司主要领导是公司信息系统管理和网络安全的第 一责任人，信息安全小组负责公司计算机应用系统和网络安 全的全面管理和运行维护。 第五条 计算机系统管理员负责公司内部信息系统及计算机 网络安全的管理和维护工作，为公司内部网络的安全运行提 供技术保障。 第六条 信息安全员负责对公司信息化相关的各项申请记录 进行复核，审查用户帐号使用情况和权限分配是否合理，对 公司重要信息进行安全分级，定期复查系统管理员填制的各 项检查记录。 第七条 公司的所有计算机及外围设备是公司的固定资产， 按照谁使用谁负责的原则，落实责任人，使用部门为责任部 门，负责保管配备的信息化资产的完好，保证良好的使用环 境，并建立资产台账。 第三章 系统安全管理 一、账号管理 第八条 应用系统、操作系统、数据库（以下简称“各系统” ） 的用户名均应该专人专用，用以识别不同的用户和账号，以 确保可溯源和可追踪性。 第九条 各系统的管理员账号需进行有效的保护，经公司信 息安全小组审核后，由信息系统安全员分配管理员访问权限 给系统管理员。 第十条 各系统均需要设置充分的用户密码安全策略， 包括： 1、设定密码最小长度不得低于八位； 2、密码一定由数字、字母和符号共同组成； 3、设置密码过期期限，定期更改密码； 4、设置密码锁定前登录失败次数等安全策略。 第十一条 各信息系统自带的默认账号和密码必须在系统初 次使用时进行修改，密码由系统管理员保管。 第十二条 公司信息系统的访问和应用只限于通过公司内网进行，如因特殊情况需要通过外网访问信息系统的，报信息安全小组批准并由自动化所授权同意后方可进行。 第十三条 保全处每半年组织相关业务员部门对信息系统账号进行复核 , 将信息系统的用户及其权限清单提交给业务部门负责人 ,确认并审核权限的合理性。通过查看系统日志，检查不适当账号和权限的使用情况，对违规使用情况进行通报并立即整改。 第十四条 需新增或调整账户权限的用户， 由使用部门提出申请，并填写相关岗位权限调整申请表，经信息安全小组审核批准后，由系统管理员调整用户账号及相应权限。 二、防病毒管理 第十五条 公司信息安全小组负责防病毒软件的部署与配置， 用户与信息设备责任人负责所用计算机系统及数据的基本防 护。 第十六条 所有接入公司网络的计算机都必须安装防病毒软 件；外来计算机要接入公司网络必须装有防病毒软件和最新 的病毒库和查杀引擎，报经信息安全小组负责人批准后，由 系统管理员检查该计算机，符合要求后由系统管理员为该计 算机设置网络连接。 第十七条 公司计算机的防病毒软件的实时监控要默认打开， 不得擅自关闭。 第十八条 公司计算机的防病毒软件和病毒库要通过一定的技术手段（例如给杀毒软件增加防护密码等）进行保护，防止用户误删或未经授权强制删除或禁用防病毒程序。 第十九条 信息安全小组负责指导和培训用户的防病毒知识，提高用户的防病毒意识。 第二十条 系统管理员要定期检查并提醒用户升级最新的操作系统补丁。 三、数据管理 第二十一条 各部门要对本部门重要信息进行安全分级， 对不 同的数据文件采取不同的保密措施防止泄密。 第二十二条 系统管理员对新发布的系统补丁程序进行风险 评估，判断补丁程序可能会对各系统带来的影响，必要情况 下应在测试环境下进行测试，填写《补丁程序测试记录》 ，并 集中汇报给信息安全小组进行审核。经测试无误后方可在生产系统计算机中更新补丁程序。 （见附件二 《补丁程序测试记录》） 第二十三条 信息安全员每周检查上一周由系统管理员检查的各项记录，并对所检查项目进行复核，填写各类记录单。第二十四条 DCS 负责公司所属工业信息化设备软件和数据的备份，每月对控制系统软件及数据进行一次异地备份，每月对水泥磨工业信息化设备软件及数据进行一次异地备份， 负责对设备配套工业信息化设备软件及数据进行备份，所有 备份应刻录成光盘，由信息安全员保管。 第四章 网络与设备管理 第二十五条 系统管理员定期检查防火墙、服务器及各网络 设备监控日志，若