计算机信息安全管理制度.docxVIP

计算机信息安全管理制度 目的 加强计算机网络及计算机信息安全管理，保障公司网络平台、应用系统的正常运行及数据安全， 防止泄密。 范围 适用于公司及各事业部、分公司、控股子公司（以下简称各经营单元）所有计算机信息安全管理。 术语 办公计算机：办公用台式机、笔记本电脑等属于公司资产的计算机设备。 计算机信息：是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。 内部网络：公司长沙园区网络及通过专线与长沙园区互联的其他园区、驻外机构网络（以下简称 内网） 。 外部网络：互联网或除互联网和公司内网之外的第三方专网（以下简称外网） 。 职责 公司计算机信息安全采用集中控制、分级管理原则。 公司信息化管理部门：负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计 算机信息安全管理，负责直属部门计算机信息安全日常工作。负责协调公司内外部资源，处理公司重 大计算机信息安全事件。 经营单元信息化管理部门：负责本经营单元计算机信息安全日常工作，及时向公司信息化管理部 门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 计算机用户：负责本人领用的办公计算机日常保养、正常操作及安全管理， 负责所接触信息的保密 性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。信息 的起草人须按《保密制度》相关规定提出信息密级定级申请。 内容与要求 ． 1 账号和密码安全管理 信息化管理部门须统一生成信息系统用户账号，并确保身份账号在此系统生命周期中的唯一 性；对账号密码信息进行加密处理，确保用户账号密码不被非授权地访问、修改和删除。 员工因工作岗位或职责变动需变更账号权限时，须向信息化管理部门提出申请权限变更。信 息化管理部门应及时变更异动员工的权限，冻结离职员工的账号。 员工使用公司计算机信息系统时，须参照附件 9.1《网络与计算机外部设备访问权限申请流 程》，向信息化管理部门提出申请，经审批后方可取得账号和初始密码。员工使用初始密码登录信息 系统后，须立即更改密码。 密码须满足以下要求：密码长度至少 8位，密码必须由大写字母(A到Z)、小写字母(a到 z)、符号(！@#$%人*等)和数字(0~9) 4组类型至少需取 2种组合。 密码更换周期不得长于两个月，且变更前后的密码不能相同。 用户登录系统时，密码连续输错 5 次，用户账号将变成锁定状态，用户须向信息化管理部门 申请解锁。严禁以非法手段尝试获取他人账号密码信息，未经授权不得使用他人账号密码登录系统。 用户对自己账号密码的安全性负责，禁止泄露给他人。因个人账号密码管理不慎造成的信息 安全事件由账号所有者负最终责任。 2 办公计算机安全管理 信息化管理部门在日常管理办公计算机时，应进行如下安全设置： a)须为所有办公at算机设置 BIOS密码，关闭未申请使用的接口并贴封条和配备机箱锁； 须为所有办公计算机部署相应的内网安全管理系统及防病毒软件； 主机设备需要带离现场维修时，应由保密专员进行全程陪同，并拆除所有存储介质； 存储介质应到具有涉密信息系统数据恢复资质的单位进行维修； 不再使用或无法使用的设备应按相关规定及时进行报废处理。 计算机使用人在日常使用办公计算机时应遵守如下要求： 计算机用户使用计算机在处理公司涉密信息及账号信息时，应注意信息安全防范，防止被无 关人员窥视泄密；暂时离开计算机时应启用带密码保护的屏幕保护程序或直接锁定计算机。 定期检查计算机设备标签、封条、机箱锁，如有破损及时通知信息化管理部门处理。 不得擅自挂接计算机输入输出设备以及故意损毁计算机设备标签、封条和硬件锁。不得将相 关设备挪作私用。 如需使用计算机以外的输入输出设备(如打印机、扫描仪、移动存储类设备及刻录光驱等) 及硬件接口时，须参照附件 9.1 《网络与计算机外部设备访问权限申请流程》执行。 禁止利用办公计算机处理与工作无关内容、破坏或影响其它员工正常工作。 严禁擅自卸载公司内网管理系统及防病毒系统。 严禁使用办公计算机发布不良信息、牟取私利、泄露公司机密和从事违法犯罪活动。 3 计算机防病毒管理 计算机用户在使用计算机过程中应注意采取以下防病毒安全措施： 禁止私自关闭、卸载或更换防病毒软件，应及时更新病毒库和操作系统补丁，保证计算机安 全运行。 发现或怀疑有办公计算机被病毒感染，应立即断开网络并执行全盘扫描病毒程序，如感染症 状未能解除须立即上报信息化管理部门。 对任何外来资料，须使用防病毒软件进行扫描后方可使用，不要打开外来不明链接。 严禁故意瞒报、制作、下载、运行及传播计算机病毒 。 信息化管理部门须维护防病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时， 应及时发布病毒预警，及时采取有效的预防措施防止病毒大面积扩散。 4 网络安全管理 信息