搜索
中国兴业太阳能技术控股有限公司 计算机信息系统安全管理制度 (2010版)总则 第一条为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本公司实际,特制订本制度。第二条计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条公司设立信息监督委员会,分别由各部门管理层核心人员组成,信息监督委员会的职责为制定适应于公司的中长期业务发展的IT战略计划,并对公司的信息系统运作实施、监控、检查和重要事项的审批。第一章 网络管理 第四条遵守国家有关法律、法规,严格执行安全保密制度。由于工作的需要公司各部室的部分电脑开通了外网,上网时不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。禁止浏缆色情、反动的网页。浏缆信息时,不要随便下载网页的信息,特别是不要随便打开不明来历的邮件及附件,以免网上病毒入侵.第五条各工作计算机未进行安全配置、未装杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、以及不要随意使用带毒U盘等介质。第六条公司采用网络防火墙,对公司用户只开启工作需要的网络服务,如HTTP/POP3/SMTP等,使用防火墙策略禁止公司内部用户使用迅雷、BT、电驴等占用大量带宽的下载工具,给外来客户IP开通部分网络服务,但不开通访问内网的权限。第七条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。第八条公司员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。第九条计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。第十条服务器超级管理员账号、数据库SA账号、用友U8超级管理员账号、客户机超级管理员账号由信息中心经理统一设置,信息监督委员会主任监督,密码强度必须达到8位以上,由数字和字母组成。第十一条公司服务器超级管理员账号和密码必须同时分配给信息中心经理账号与信息监督委员会主任。信息监督委员会主任不可用超级管理员权限行使信息中心管理工作,只对日常信息管理工作监督和日志监控负责。任何一位超级管理员如需变更超级管理员账号或密码必须两人同时在场更改,并填写《信息系统超级管理员账号记录表》由两人同时签字认可。《信息系统超级管理员账号记录表》必须一式两份,由两位超级用户管理员同时保存。信息监督委员会主任或信息中心经理如遇离职等特殊情况必须填写《工作联系函》,由另一位超级管理员变更密码,并签字认可后,交由人力资源处才可为其办理离职手续。信息监督委员会必须在超级管理员离职后三天内及时指定新的超级管理员行使职责。第十二条使用者帐户管理,公司员工需要添加或删除账号、帐户及权限变更,需填写《网域账号申请单》,由部门经理和信息中心经理签字确认后,由信息管理员分配网域账号、制定密码,密码长度最少不能少于5位的字母和数字。第十三条用友U8财务软件的帐户和密码的管理由财务经理负责制定,并根据实际情况,由财务经理决定对帐户及密码进行更换和注销;用友使用用户的帐户密码长度不得少于6位,每三个月更改一次密码,由财务经理进行监督和检查,具体的设置要求见《附件五:财务电算化管理制度》,信息中心提供必要的支持和技术上的协助。第十四条为避免发生机器名称与地址冲突,IP地址和帐户由信息中心统一配备管理,每台计算机只允许有权限的用户使用,使用者不得将密码告知他人,不得将写有密码的纸条贴在电脑显示屏上,如有遗失密码需立即向信息中心报告,及时更改新的密码,员工出差和离职时应到信息中心进行登记,管理员针对相应情况对账号进行暂停和注销处理。第十五条电脑防病毒的管理。信息中心将全面封锁电脑的USB接口和光驱以及软驱,如工作需要、需填写《工作联系函》向部门经理申请,提交分管副总经理审批后,信息中心才开放以上数据端口。外来的磁盘,或对外报送的磁盘以及从外界录入信息的磁盘,一律要经过信息中心进行病毒检测,由信息中心拷贝进入文件服务器。外来的信息磁盘禁止非授权用户在本公司的电脑读取信息,以防止病毒的入侵。 第二章 软硬件设备管理 第十六条公司员工因工作需要,确需购买IT设备的,可向信息中心提出申请,若有符合需求的可调配设备,若无可调配或有但不符合工作需要的设备,由申请人填写《IT设备添置更换申请表》。交所在部门经理和信息中心签字并报公司分管副总经理审批后再行调配或采购。若因工作需要对设备配置有特殊要求的,需在申请表中说明。第十七条公司各个部门的打印耗材和IT设备零配件由各个部门填写《IT设备耗材配件采购申请表》,经信息中心技术鉴定、部门经理、信息中心经理和分管副总签字确认后再进行采购。第十八条公司各个部门的小型软件和常用办公软件由信息中心填写《应用软件添置升级申请表》申请,经信息中心经理和分管副总签字确认后再进行采购。第十九条公司战略型需求的硬件采购(如服务器)由信息中心填写《IT设备添置更换申请表》提出申请,报批信息监督委员会确认通过后采购。第二十条公司战略型的大型应用软件的购买需求和升级需求(如windowsserver)由信息中心填写《应用软件添置升级申请表》提出申请,报批信息监督委员会确认通过后采购。第二十一条大型应用软件的使用流程变更或模块更改变更,由各使用部门填写《系统流程变更表》提出申请,由信息中心经理鉴定可行性,报批信息监督委员会确认后执行,由信息中心协助操作。第二十二条所有采购回来的软硬件由仓库按各部门的申请表接收,由各个部门凭相应的申请表到仓库领取,凡是购买的新电脑主机、显示器、打印机由信息中心统一进行备案登记,大型的软硬件由信息中心统一安装调试,采购的新电脑必须统一使用,不得将新旧的电脑主机和显示器搭配使用,要保持完整性。第二十三条凡登记在案的IT设备,由信息中心统一管理并张贴IT设备卡,注明该设备的详细参数(配套电脑的IT设备卡张贴在电脑主机上,并包括该主机配套的显示器)。IT设备卡作为相应设备的标识,各终端用户有义务保证贴牌的整洁与完整,不得遮盖、撕毁、涂画等。第二十四条IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。凡分公司或合作单位自行购买的设备,原则上由分公司或合作单位自行负责,但若有需要,信息中心可协助处理。第二十五条严禁使用假冒伪劣产品;严禁擅自外接电源开关和插座;严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排。第二十六条设备硬件或重装操作系统等问题由信息中心进行处理,首先由该设备终端用户填写《IT设备维修申请表》,在收到《IT设备维修申请表》后,信息中心应及时调集力量予以处理。未填写或是不填写《IT设备维修申请表》而要求维修,信息中心可以不予处理。第二十七条针对个人购买的IT设备原则上在规定使用年限内不再重复购买,达到规定使用年限后,由信息中心会同相关部门对其审核后处理。在规定使用年限期间,计算机终端用户因工作需要发生调动或离职,需要继续使用该计算机的应在信息中心作变更备案;不继续使用该计算机的,部门领导需监督责任人将计算机及相关设备及时退回信息中心,由信息中心再行支配。第二十八条设备出现故障无法维修或维修成本过高,且符合报废条件的,由IT设备终端用户提出申请,并填写《IT设备报废申请表》。经信息中心对设备使用年限、维修情况等进行鉴定,将报废设备交有关部门处理,如报废设备能出售,将收回的资金交公司财务入账。同时,由信息中心对报废设备登记备案、存档。第二十九条电脑的使用和保养(一)应对电脑及其设备进行保养清洁,使之不能有灰尘,做到上班前后对计算机设备进行一次清洁,电脑不能放在潮湿的地方,应放在通风的位置。(二)需保存的信息,除了硬盘保存外,还应进行光盘和在服务器上的备份,以免电脑坏时所有的资料丢失第三十条打印机使用和保养。打印机在使用时要注意电源线和打印线是否连接有效,当出现故障时注意检查有无卡纸。激光打印机注意硒鼓有无碳粉,喷黑水是否干凅,针打机看是否有断针。当打印机工作时,不要人工强行阻止,否则,更容易损坏打印机。第三十一条公司禁止使用盗版软件,禁止在计算机上安装盗版软件;有发现使用盗版软件的一律要卸载。公司员工不得拥有安装软件权限,凡涉及业务的软件安装需求由信息中心统一安装。禁止在公司电脑上安装与工作无关的软件;(如QQ等)。第三章 数据安全管理 第三十二条凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。第三十三条工作范围内的重要数据(重要程度由各部门经理核定),要求计算机终端用户每天更新、备份(双份,一份存放在本机,另一份存放在服务器)。对于已经完成的工程项目数据资料由各部门填写《工作联系函》到信息中心,由信息中心刻盘(光盘)并且在《光盘存档资料》文件上记录,由信息系统管理员负责整理归档。第三十四条计算机终端用户务必将有价值的数据存放在非系统盘(系统盘所在的硬盘分区,一般是C盘)的盘上。计算机信息系统发生故障,应及时与信息中心联系并采取保护数据安全的措施。各终端用户必须每天备份重要数据到文件服务器。终端用户未做好备份前不得删除任何硬盘数据。第三十五条信息中心管理人员要定期对整个网络系统进行维护。对于网络运行状况、网络稳定性、公司数据库安全进行每月一次清查并记录;对于各计算机本地操作系统稳定性以及安全性每隔六月进行一次检查并记录;并将记录登记于《信息系统检查维护记录表》和《服务器系统日志检查记录表》,并定期将记录每三个月上报信息监督委员会审阅。第三十六条公司所有人员不得私自将公司数据文件通过任何方式带出公司,各终端计算机全部禁用USB,光驱,如有工作需要要求拷贝公司资料,统一由各部门填写《工作联系函》,经部门经理和信息中心经理签名后由信息管理员进行拷贝,并登记于《光盘存档资料》,注明拷贝资料名称和时间、部门等信息。第四章 操作管理 第三十七条严禁利用计算机做与工作无关的事情;严禁非信息中心人员修理各类设备;严禁非信息中心人员随意更改设备配置。第三十八条信息中心将有针对性地对员工的计算机应用技能进行定期或不定期的培训,并记录在培训表,以确保员工能正确使用计算机。第三十九条计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理;若是自己不能解决的或是遇到培训未曾讲过的问题,再与信息中心或软件开发单位、硬件供应商联系,尽快解决问题。第四十条《企业信息系统的灾难可持续经营应急预案》见附件一,《信息管理员系统维护指南》见附件二,《员工计算机操作指南》见附件三《网络拓扑图》见附件四 第五章 网站管理 第四十一条公司网站由信息中心提供技术支持和后台管理,由公司相关部门提供经审核后的书面和电子版网站建设资料。第六章 灾难恢复 为了保证系统网络系统的安全、稳定运行,防止由于人为原因或者不可抗力造成的系统瘫痪或部分文件丢失情况的发生。灾难恢复措施在整个网络安全策略中占有重要的地位。它关系到系统在经历灾难后能否迅速恢复,关系到系统网络系统的正常运转问题,因此必须引起高度的重视。第四十二条公司信息监督委员会负责制定《企业信息系统的灾难可持续经营应急预案》,信息管理中心负责提供相应的IT备份数据和必要的硬件和软件支持。灾难发生后,信息