1.0 【目的】为了保证公司信息网络系统的安全,根据中华人民共和国有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司信息网络系统建设的实际情况,特制定本规定。
2.0 【范围】 本规定适用于公司所属的网络系统、单机.
3.0 【定义】
3.1 信息网络系统:是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
3.2 信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
4.0 【职责】 无
5.0 【内容】
5.1 物理安全管理
5.1.1 物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。
5.1.2 为了保障信息网络系统的物理安全,对系统所在环境的安全保护,应遵守国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
5.1.3 网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
5.1.4 对重要网络设备配备专用电源或电源保护设备,保证其正常运行。
5.1.5 公司网络系统所使用的链路必须符合国家相关的技术标准和规定。
5.1.6 链路安全包括链路本身的物理安全和链路上所传输的信息的安全。物理安全指链路的物理介质符合国家的技术标准,安装架设符合国家相关建设规范,具有稳定、安全、可靠的使用性。传输信息的安全是指传输不同密级信息的链路采用相应级别的密码技术和设备或其他技术措施,保障所传输信息具有可靠的反截获、反破译和反篡改能力。
5.1.7 办公电脑使用制度
- 计算机设备开机顺序:先开UPS电源、打印机、扫描仪等、显示器等外设,再开主机;关机顺序相反,不得强行开/关机。
- 计算机连接有打印机、刻录机、扫描仪、光驱等外部设备时,应首先在关机状态(关掉所有设备电源)下将计算机及外设连接好,禁止带电连接或去掉计算机外部设备。
- 计算机外部设备不使用时,应关掉外部设备的电源。禁止长期打开不使用的外部设备电源,要求做到人走机关,下班时关机。
- 计算机系统的电源应与功率大的用电设备(电梯、空调等)分开。
- 公司办公人员严禁使用磁盘、光盘和移动磁盘等传输介质。(申请使用人员除外)
- 及时按正确方法清洁和保养设备上的污垢,保证设备正常使用。
- 打雷闪电时应暂时关闭电脑系统及周边设备,防止出现雷击现象。
- 不得私自拆卸机械、增加、减少或试用新配件。
- 公司办公电脑一律规定C盘做为系统盘,只做操作系统安装使用,不允许安装任何办公软件或者存放资料文件和私人文件。如因电脑软、硬件故障建成系统的重装修复,造成C盘资料遗失,IT人员一律不负责。
- 电脑出现故障和异常现象时,请及时联系IT专员反应情况。
5.1.8 紧急情况
- 火灾发生。切断电源,迅速报警,根据火情,选择正确的灭火方式灭火;
- 水灾发生。切断电源,迅速报告有关部门,尽可能地弄清水灾原因,采取关闭阀门、排水、堵漏、防洪等措施;
- 地震发生。切断电源,避免引发短路和火灾;
5.2 网络系统安全管理
5.2.1 网络系统安全的内涵包括五个方面:
- 机密性:确保信息不暴露给未授权的实体或进程;
- 完整性:未经授权的人不能修改数据,只有得到允许的人才能修改数据,并且能够分辨出被篡改的数据。
- 可用性:得到授权的实体在合法的范围内可以随时随地访问数据,网络的攻击者不能阻碍网络资源的合法使用。
- 可控性:可以控制授权范围内的信息流向和行为方式。
- 可审查性:一旦出现安全问题,网络系统可以提供调查的依据和手段。
5.2.2 根据有关规定以及我国目前的安全技术水平,内部信息网络系统与外部公共信息网络系统必须物理隔离。
5.2.3 接入INTERNET公共信息网的重要信息网络系统须安装防火墙或其他安全设备。
5.2.4 网络管理员应尽可能地改善网络系统的安全策略设置,尽量减少安全漏洞。关闭不使用的服务.具体见防火墙策略设置。
5.2.5 网络管理员应当做好系统记录,定期检查,发现问题,及时解决。
5.2.6 重要的信息网络系统自运行开始必须作好备份与恢复等应急措施,一旦系统出现问题能够及时恢复正常。网络管理员负责网络系统的备份与恢复的技术规划、实施和操作,并作好详细的记录。
5.2.7 重要大型数据库必须运行于专门的服务器或工作站上,并异地备份。
5.2.8 网络安全检测。为使网络长期保持较高的安全水平,网络管理员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安全漏洞。网络管理员在系统检测完成后,应每两个月编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。见<<网络日志检查登记表>>.
5.2.9 网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不可测性,计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。
5.2.10 网络使用制度(针对公司员工)。
- 所有的电脑在上网及使用时均要打开病毒防火墙。一旦发现病毒报警,应立即保存相关文件,断开网络,并与网络管理员联系
- 员工应有相当强的保密意识,不允许将公司机密资料以任何形式发布到Internet网上。一经发现,立即开除。公司保留送交公安机关的权利。
- 不得利用黑客软件以任何形式攻击公司的其它电脑或服务器,违者将罚款100-300元,并保留送交公安机关处理的权力。
- 于安全和特殊的需要,网络管理员通过OA平台发布通知,随时关闭Internet网。如发现某人上网有异常现象,网络管理员有权关闭其上网权限,进行维护检查,视其原因再次开通其上网或给予相应处罚。
- 为了节省网络带宽和防止电脑病毒,未经允许,员工不得在网上下载软件、音乐、电影片断、电影或电视剧,不得使用BT或电驴等下载软件。违者网络管理员将关闭其上网权限.
- 员工在上网时,除非工作需要,否则不允许使用QQ、MSN等聊天软件。更不得通过其它途径或手段使用QQ、MSN等聊天软件。
- 不得利用公司电脑在网上填写、发布任何应聘信息。
- 不得利用他人电脑上网。
- 上班期间不得浏览与工作无关的网站。
- 公司分为连网工作站和不连网工作站PC机,连网工作站的机器不能配置软驱、光驱。未经允许严禁使用移动磁盘和移动硬盘。
- 电脑操作员使用应用系统(如用友U9系统)时,当有事要离开,要先退出应用软件或将桌面锁定。
- 电脑出现故障时,应立即关掉电脑电源,及时向网络管理员报告,禁止自行插拔设备,损坏设备照价赔偿。
- 严禁在网上传播非工作的内容(如在网络上散布、传播谣言及任何不利于公司的消息等)。
5.3 信息安全管理
5.3.1 信息安全是指通过各种计算机、网络和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。
- 信息处理和传输系统的安全:系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
- 信息内容的安全:侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
5.3.2 信息的内部管理
- 各单位在向部网络系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;
- 根据情况,采取网络病毒监测、查毒、杀毒等技术措施,提高网络的整体抗病毒能力;
- 各应用单位对本单位所负责的信息必须作好备份;
- 各单位应对本单位的信息进行审查,各网站和栏目信息的负责单位必须对所发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等做出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时报告办公厅和信息中心;
- 个人计算机中的涉密文件不可设置为共享,个人电子邮件的收发要实行病毒查杀。
5.3.3 信息加密
- 涉及企业秘密的信息(如财务数据)。须加密存储;
- 涉及企业利益的敏感信息的电子文档资料应当加密存储;
5.3.4 任何单位和个人不得从事以下活动:
- 利用信息网络系统制作、传播、复制有害信息;
- 入侵他人计算机;
- 未经允许使用他人在信息网络系统中未公开的信息;
- 未经授权对信息网络系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;
- 未经授权查阅他人邮件;
5.3.5 盗用他人名义发送电子邮件;
- 故意干扰网络的畅通运行;
- 从事其他危害信息网络系统安全的活动。
5.4 口令管理
5.4.1 具有口令功能的计算机、网络设备等系统处理企业机密信息,必须使用口令对用户的身份进行验证和确认。对于重要网络系统,使用单位要有专职或兼职系统保密员,负责日常的口令管理工作。
5.4.2 系统保密员负责给新增加的用户分配初始口令:指导用户正确使用口令;检查用户使用口令情况;帮助用户开启被锁定的口令,对非法操作及时查明原因;解决口令使用过程中出现的问题;定期向主管领导和单位保密机构汇报口令使用情况和需要解决的问题。用户的初始口令必须在第一次登录后进行更改,系统保密员将定期对用户的口令更换情况进行抽查。
5.4.3 定期更换口令:口令的最长使用时间不能超过半年,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短口令的使用时间。当口令使用期满时,应更换新的口令。
5.4.4 系统保密员必须有能力更改口令:当口令使用期满、被其他人知悉或认为口令不保密时,系统保密员可按照口令更改程序变换口令。口令更换操作应在保密条件下进行。
5.4.5 对口令数据库的访问和存取必须加以控制,以防止口令被非法修改或泄露。当系统提供的访问和存取控制机制不够完善时或机制虽然完善,但可能出现系统转储等情况时,应对存储的口令加密,涉密系统的身份认证应当符合以下要求:
- 口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生;
- 普通用户系统口令长度不得少于六个字符,口令更换周期不得长于六个月;处理机密级信息的系统,口令长度不得少于八个字符,口令构成必须以字母开始,包括大小写字母和数字,口令更换周期不得长于三个月;
- 口令必须加密存储,并且保证口令存放载体的物理安全;
- 口令在网络中必须加密传输。
5.4.6 用户应记住自己的口令,不应把它记载在不保密的媒介物上,严禁将口令贴在终端上。输入的口令不应显示在显示终端上。
5.5 人员组织管理
5.5.1 安全的人员组织管理原则:网络信息系统的安全管理的最根本核心是人员管理,提高安全意识,行于具体的安全技术工作中。为此,安全的人事组织管理主要基于以下三个原则。
- 多人负责:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,工作认真可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
负责的安全活动范围包括:
(1)访问控制使用证件的发放与回收;
(2)信息处理系统使用的媒介发放与回收;
(3)处理保密信息;
(4)硬件和软件的维护;
(5)系统软件的设计、实现和修改;
(6)重要程序和数据的删除和销毁等。 - 任期有限:任何人最好不要长期担任与安全有关的职务,遵循任期有限原则,工作人员应不定期地循环任职,并规定对工作人员行轮流培训,以使任期有限制度切实可行。
- 职责明确:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
出于对安全的考虑,下面每组内的两项信息处理工作应当尽可能分开。
(1)系统管理与计算机编程;
(2)机密资料的接收和传送;
(3)安全管理和系统管理;
(4)访问证件的管理与其它工作;
(5)计算机操作与信息处理系统使用媒介的保管等。
5.5.2 安全的人事组织管理的实现
- 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
(1)根据工作的重要程度,确定该系统的安全等级;
(2)根据确定的安全等级,确定安全管理的范围;
(3)制订相应的机房出入管理制度;
(4)对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记和管理。
(5)制订严格的操作规程;
(6)操作规程要根据职责明确和多人负责的原则,各负其责,不能超越自己的管辖范围;对工作调动和离职人员要及时调整相应的授权。
(7)制订完备的系统维护制度; - 对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
5.5.3 制订应急措施:要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。
5.6 软件许可证管理
5.6.1 对经过管理层批准购买软件许可证进行造册登记,掌握软件许可证各版本名称、数量,并在使用中保持更新,以便切实掌握软件许可证剩余数量。
5.6.2 新系统安装前,从现有的软件许可登记中申请使用许可证,并将装机编号与软件许可证对应记录在案。
5.7 风险评估:信息中心应对所辖IT系统进行定期(每年)安全风险评估。
6.0【相关文件及运行记录】
6.1 本程序涉及的相关文件:无
6.2 本程序涉及的运行记录:无
暂无评论内容