计算机终端设备安全管理制度.docxVIP

计算机终端设备安全管理制度

一、适用范围与定义

本制度适用于单位内所有计算机终端设备的全生命周期安全管理，覆盖范围包括但不限于：

1.单位自有终端设备：台式计算机、便携式计算机（笔记本电脑）、平板终端、瘦客户机等具备数据处理与网络接入功能的设备；

2.临时接入单位内部网络的外部终端设备（如外单位人员携带设备、合作方调试设备等）；

3.搭载操作系统或存储介质的附属设备（如带有存储功能的打印机、扫描仪、智能办公设备等）。

本制度中“计算机终端设备”（以下简称“终端设备”）指通过有线或无线方式接入单位网络，用于信息处理、存储、传输的物理设备及配套存储介质（包括硬盘、固态盘、移动存储设备等）；“敏感数据”指涉及单位核心业务、客户信息、知识产权、财务数据等需严格保密的信息；“安全基线”指经单位信息安全领导小组审定的终端设备最低安全配置要求。

二、管理职责划分

2.1信息安全领导小组

负责终端设备安全管理策略的顶层设计与决策，具体职责包括：

-审批终端设备安全基线、采购标准、数据保护等级划分等核心制度；

-审议年度终端设备安全检查计划与整改方案；

-对重大安全事件（如批量数据泄露、终端设备大规模感染恶意软件）进行责任认定与处置决策。

2.2信息中心（技术管理部门）

作为终端设备安全管理的执行主体，承担以下职责：

-制定终端设备安全基线、操作规范、应急响应流程等技术性文件；

-实施终端设备入网认证、安全配置检查、补丁更新、防病毒监控等技术措施；

-建立终端设备电子台账，记录设备型号、IP地址、MAC地址、使用人、硬件配置、安全事件等信息，确保账实一致；

-组织终端设备安全培训与演练，每年不少于2次专题培训，每半年开展1次应急演练；

-对违规使用终端设备的行为进行技术核查，提供处理依据。

2.3使用部门（管理责任部门）

负责本部门终端设备的日常管理与监督，具体职责包括：

-落实“一人一机”责任制，明确终端设备使用人（原则上一台终端设备仅对应一名使用人）；

-审核本部门终端设备的领用、外借、维修、报废等申请，确保符合单位制度要求；

-每月对本部门终端设备进行自查，重点检查设备物理安全（是否存在人为损坏、私自改装）、使用合规性（是否接入非授权网络、存储敏感数据）；

-配合信息中心开展安全检查与事件调查，督促使用人完成整改。

2.4终端设备使用人

作为终端设备安全的直接责任人，需履行以下义务：

-严格遵守终端设备使用规范，不得擅自拆卸、改装设备，不得将设备外借或带离单位（因工作需要带离时需经部门负责人审批并备案）；

-定期检查设备物理安全（如笔记本电脑锁具是否完好、存储介质是否丢失），发现异常立即报告；

-按照安全基线要求配置设备（如启用系统防火墙、定期更新防病毒软件、设置符合复杂度要求的登录密码）；

-妥善保管设备内数据，禁止在非授权设备上存储敏感数据，禁止通过非加密渠道传输敏感信息；

-配合信息中心与使用部门的安全检查，如实提供设备使用记录与数据存储情况。

三、终端设备全生命周期安全管理

3.1采购与验收管理

-采购前审批：使用部门需提交《终端设备采购申请单》，注明设备用途、配置需求（需满足安全基线中“硬件安全功能”要求，如支持TPM2.0芯片、BIOS安全锁等），经信息中心审核（重点核查是否符合国产化替代要求、是否存在已知安全漏洞）、分管领导审批后执行采购。

-供应商管理：优先选择具备信息安全服务资质的供应商，采购合同中需明确“设备需预装正版操作系统与安全软件（如防病毒、桌面管理客户端）”“供应商需配合提供设备安全技术支持”等条款。

-验收流程：设备到货后，由信息中心联合使用部门、资产管理员共同验收，验收内容包括：

（1）硬件完整性：检查设备外观无损坏，接口、按键功能正常，随机配件（电源适配器、说明书等）齐全；

（2）软件合规性：验证操作系统、办公软件为正版授权，防病毒软件已激活并更新至最新版本；

（3）安全功能测试：测试TPM芯片启用状态、BIOS密码设置、硬盘加密功能（如BitLocker/LUKS）是否正常；

（4）资产登记：为设备分配唯一编号，录入电子台账，同步更新纸质资产清单。验收合格后，由三方签字确认《终端设备验收记录表》，留存至少5年。

3.2使用与运行管理

-领用与登记：新设备验收合格后，使用人需填写《终端设备领用单》，经部门负责人审批后，与信息中心办理交接手续。领用单需注明设备编号、使用人姓名、领用时间，由使用人签字确认设备状态正常。

-移动设备管理：