信息系统使用处理规范设计.doc

|*管 理 制 度信 息 系 统 使 用 管 理 规 范制度代码 版本 实施日期 主编单位 批准人年 月 日说明：|目 录第一章 总 则.1第二章 网络系统管理员.1第三章 帐号使用及安全管理.2第四章 计算机使用及安全管理.3第五章 网络系统使用及安全管理.4第六章 电子邮件和互联网安全管理.4第七章 携出电脑安全管理.5第八章 监督和检查机制.5第九章 附 则.5|第一章 总 则第一条 为加强集团信息安全管理，降低失密、泄密风险，特制定本规定。第二条 本规定适用于集团各单位和全体员工，管理内容包括：帐号、计算机设备、网络系统、业务系统、办公系统使用过程的安全管理；互联网浏览、电子邮件、MSN 等即时通讯系统的使用安全管理；信息化项目建设的安全管理。第二章 网络系统管理员第四条 系统管理员指负责管理和保障集团计算机设备、网络、应用系统安全运营的管理人员。其主要职责是负责集团计算机设备（ 服务器、存储等）、网络及应用系统、数据库的运行维护；负责进行安全评估、安全审计及各类账号、用户权限的管理 。第五条 系统管理员分为最高系统管理员及各岗位系统管理员，最高系统管理员拥有本单位所有服务器、网络及应用系统的安全管理、审核权限。各岗位系统管理员负责自己所管理服务器、网络及应用系统的安全管理 。第六条 系统管理员需具备如下任职条件：（一）各单位最高系统管理员须计算机专业及计算机相关专业毕业,有相应岗位的专业技术认证且在集团服务三年以上，无违规记录，由各单位 IT 人员负责人提名报各单位负责人审批同意后方可聘任。（二）各岗位系统管理员由各单位 IT 人员负责人指定，需要计算机专业及计算机相关专业毕业，有相应岗位的专业技术认证及五年以上所属岗位系统的管理、运维经验。（三）系统管理员必须保证对公司的忠诚度，其任职前必须与集团签署保密协议及不低于 3 年的长期任职协议。系统管理员必须严格遵守国家法律、法规和行业规章，严守公司及岗位秘密。若有泄露安全信息、滥用权限等违记行为，一经查实，即给开除处分，造成损失的，依法追究责任。第七条 最高系统管理员及关键岗位系统管理员须设定为两人。前者职能是对系统管理员账号授权并分配相应权限，后者职能为系统的具体操作和配置管|理，严格实行授权账户与操作管理账户分离原则。第八条 各网络、服务器和应用系统等应启动安全审计功能，对上述各对象和系统管理账号操作等进行安全审计，进而掌握各对象的运行状况，并对网络使用的合规性具有监督和建议权。第九条 系统管理员离职，须提前一个月提出申请，与继任者做好工作交接，期满经其签字同意后，方可履行正常离职手续。拒绝履行上述程序的，视为违反保密协议，按照保密协议有关规定处理。第三章 帐号使用及安全管理第十条 本规定所指的“帐号”包含计算机硬件设备、操作系统以及应用系统的登录和操作帐号。第十一条 每个帐号都必须明确“帐号责任人”。集团在册员工帐号的“帐号责任人”为员工本人，仅限本人使用，并对帐号使用过程承担全部安全责任。对用于单位处理专项工作的电子邮件系统帐号，各单位须指定专门的帐号安全责任人，并报 IT 人员备案。第十二条 集团内部员工每人只有一个账号。帐号及权限的申请须经帐号责任人所在公司人力资源部门审批后，报 IT 人员审核并开通。 第十三条 IT 人员必须对用户帐号进行权限配置，使得用户能够使用集团内不同的系统或同一系统的不同功能。第十四条 IT 人员开通用户帐号时禁止使用相同的初始密码，集团用户首次登陆 OA、ERP、邮件等应用系统，必须更改初始密码。普通用户密码长度不得少于 6 位（含）字符，并至少采用大写字母、小写字母、符号和数字其中的三种组合；系统管理员口令密码长度不得少于 12 位字符，并必须包含大写字母、小写字母、符号和数字的全部组合。第十五条 集团用户每三个月内应当更改一次密码，且更改后的新密码不应与最近前三次密码重复。具备密码强制更改措施的业务系统，IT 人员应启用该功能模块，定期强制用户更改业务系统密码；不具备该功能的系统，系统管理员最多每三个月通知用户更改一次密码。第十六条 禁止将用户名和密码保存在公用计算机的自动登陆程序中。禁止|将帐号及密码打印成纸制文件，禁止通过非集团内电子邮件系统或者即时通讯系统传输用户帐号和密码。第十七条 员工离职，人力资源部门应当通知 IT 人员及时关闭员工帐号及权限。第四章 计算机使用及安全管理第十八条 本规定所指的计算机包含集团统一购置的办公计算机（包括台式机、笔记本、移动上网本等）和服务器，以及集团各下属单位购置并接入集团局域网处理集团内部业务的计算机。第十九条 分配给个人使用的计算机，其使用人为设备责任人，公共计算机由资产所属单位明确设备责任人。计算机设备责任人对该计算机使用过程承担全部安全责任。第二十条 计算机上禁止安装和使用非办公软件，对于因员工自行安装的各种软件而发生信息安全事件或侵犯版权等法律、民事问题，由计算机设备责任人自行承担全部责任。第二十一条 禁止私自拆装计算机或更改操作系统的安全配置，包括但不限于系统补丁更新、病毒库更新、网络连接、IE 安全级别、代理服务器设置等。第二十二条 U 盘、移动硬盘等移动存储设备在打开前必须使用防病毒软件清查病毒，如存在无法清除病毒则停止使用；在怀疑或确认计算机感染病毒时，必须立即断开网络，并通知 IT 人员进行处理，经确认已无安全隐患后再接入网络。第二十三条 员工离开计算机时，必须关闭计算机或启用计算机安全密码锁定程序。第二十四条 便携式计算机（笔记本电脑）必须设置开机密码和登陆操作系统密码。有硬盘加密功能的，应当启用该安全防护功能。第二十五条 禁止在公用计算机（包括非个人专用笔记本、台式机）上保存涉密信息。第二十六条 计算机在送修前，计算机设备责任人必须将涉密信息转出。计算机无法启动或计算机设备责任人无法完成转出操作的，应当向 IT 人员请求技|术支持。涉密文件所在计算机送修前，须送交 IT 人员进行痕迹擦除处理。第二十七条 计算机在退出当前工作用途（更新、转让、报废或员工辞职等）前，需在 IT 人员指导下，卸载计算机中已装载的公司业务系统并删除所有与工作相关的数据。第五章 网络系统使用及安全管理第二十八条 已接入集团网络的计算机，禁止同时使用电话拨号、ADSL、私设无线网络、运营商 3G 上网卡、VPN、数据专线等方式接入互联网或第三方网络系统。第二十九条 禁止员工私自在局域网内安装配置各种网络设备（特别是无线网络设备），确因工作需要临时安装的，必须报行政部审批后，由内部 IT 专业人员进行安全配置。第三十条 重要会议、活动等的原始会议纪要、录音影像等保密性质的原始文件资料，在必须传递时，应以物理存储方式（U 盘、移动硬盘等）进行离线传递，严格禁止以设置网络共享、邮件或即时通讯等方式进行发布和传递。一般性会议、活动的资料必须经行政部门领导审核批准后，方可进行发布。第三十一条 禁止以任何理由对网络系统进行扫描。第三十二条 禁止访问包含色情、反动等不良内容的网站。第六章 电子邮件和互联网安全管理第三十三条 “帐号责任人”对使用电子邮箱中的所有活动和事件承担全部责任。公共电子邮箱的使用仅限于申请邮箱时指定的业务工作。第三十四条 “帐号责任人”应当谨慎防止公众互联网垃圾邮件或垃圾信息通过邮件系统流入集团内部局域网络。禁止使用“*.com”集团工作邮箱作为个人在公众互联网上注册个人信息时的邮箱。第三十五条 员工开通访问互联网权限时，应当仅开通 www、pop3、smtp和 http 通用协议。确因工作需要开通其它端口协议的，应报行政部审批。第三十六条 禁止员工本人使用或允许他人使用集团网络资源制作、复制、|发布、传播违反国家法律规定和违背集团企业文化的信息。第七章 携出电脑安全管理第三十七条 携出电脑内的重要文件必须设置密码或加密处理。第三十八条 员工使用电脑在公司外部上网时，应启用防病毒软件和个人防火墙对笔记本电脑进行保护。第三十九条 携出电脑禁止外借他人使用。第四十条 员工应对携出电脑的资产、系统和信息安全负全责。第八章 监督和检查机制第四十一条 全体员工有责任和义务对违反信息安全管理规定的人员和事件进行纠正，并可通过信箱和电话等方式向相关领导和信息、安全管理部门进行举报。第四十二条 安全管理人员有权对本单位使用网络资源（计算机、网络、邮箱、即时通讯等）访问互联网的行为进行监控和检查。第四十三条 行政部作为信息安全检查的负责单位，针对本规定中的各项信息安全事项，可以组织进行常规监控，或者报集团相关领导审批同意后，进行不定期抽查。第四十四条 行政部对监控或检查中发现的信息安全违规情况，报人力资源部进行相应处罚。对于性质严重或影响广泛、恶劣的信息安全违规事件肇事人，报法务部依法追究法律责任。第九章 附 则第四十五条 本规定由研发中心行政部负责制定、解释和修改。第四十六条 本规定由研发中心分管领导审核，经*批准。第四十七条 本规定自下发之日起执行。