数据安全管理规定.pdfVIP

数据安全管理规定 一、 目的 明确规定公司使用信息系统的各部门对数据安全管理的工作职责与范围， 监督其日常与长期 工作质量，并使其符合 ISO质量管理体系要求。 二、 范围 公司使用信息系统的各部门 三、适用文件 无 四、内容 （一）总则 1. 加强对公司计算机信息系统数据安全保护工作的目的是：确保公司业务计算机信息系统正 常运行，维护数据信息应用工作的正常开展，提高公司计算机信息系统数据整体安全水平，净 化网络信息环境。 2. 本规定中所指计算机信息系统数据是指各常规工作中所建立和存储在电子设备和计算机内 的业务、财务、人事等电子数据。 3. 公司系统内计算机信息系统数据安全保护工作应按照“谁主管、谁负责，预防为主、综合 治理，制度防范与技术防范相结合”的原则，逐步实现数据安全管理的科学化、规范化。各部 门计算机数据管理实行负责人责任制，各部门指定专人负责本部门计算机数据管理工作，其职 责是： （1）保障本部门计算机数据的安全运行； （2 ）对本部门的计算机数据及时进行分类登记、备份； （3 ）对外来介质、软件进行检测； （4 ）随时检测、清除计算机病毒和有害数据； （二）计算机信息系统安全管理 4. 计算机信息系统应及时进行系统升级或更新补丁； 计算机信息系统必须装有防毒杀毒软件， 并定期进行病毒检验；与互联网相联的计算机信息系统要有防止非法入侵措施。 5. 计算机信息系统应有全面、规范、严格的用户管理策略或办法。重要的计算机信息系统必 须有双人互备做为系统管理员，系统管理员必须对计算机信息系统的各种服务器加设口令，严 第 1 页/ 共 5 页 禁采用系统默认超级管理员用户命或口令；由系统管理员对用户实行集中管理，对用户按职能 分组管理，设定用户访问权限，严禁跨岗位越权操作；严防非法用户或非授权用户对非授权服 务、数据及文件的访问、使用和修改等。对计算机信息系统的用户身份、主机身份、事件类型 等应进行安全审计，并留存审计日志，审计日志应进行妥善保存。 6. 计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段，并具有 在要求时间内恢复系统功能以及重要数据的能力。对重要计算机信息系统及设备要有应急处理 预案，并定期举行数据安全应急演习。 7. 计算机信息系统与数据库主机必须建立在正规机房，机房要在场地面积、用电环境、使用 环境、消防防雷等方面符合国家有关规定。 8. 计算机信息系统主机或存储设备发生故障时， 要尽量现场维修，系统管理员要在现场监督； 确需要送出维修时，注意去掉存储部件或删除数据。 9. 严格计算机信息系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计 算机才能接入计算机信息系统，严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。 接入计算机信息系统的客户机要满足以下要求： 1、装有杀毒防毒软件； 2、与互联网或外网物 理隔离； 3、只装指定的业务软件； 4 、未经允许，不得接入移动存储设备； 5、除有特殊用途外， 应锁定所有业务经办计算机的ＵＳＢ接口，拆除或禁用软驱、光驱。 10. 各类计算机信息系统的安装、 升级、调试和维护由系统管理员负责。 未经系统管理员许可， 不得随意在计算机信息系统的客户机上安装新软件。 （三）互联网安全管理 11. 坚持“涉密计算机不上互联网，非涉密计算机不处理涉密信息”的原则。涉及公司秘密的 计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，也不得与业务内 网相联接，必须实行物理隔离。笔记本电脑不允许启用无线网卡，以避免泄密。 12. 对重要或涉密数据的存储和传输应进行加密处理。 对重要或涉密数据的存储介质， 应采取 必要的安全保护措施，并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意，涉 密计算机不得使用Ｕ盘、移动硬盘、刻录机等相关设备。 13. 对废弃的涉密数据要严格按照保密要求进行清零