****管 理 制 度

　信息 系統(tǒng)使用 管理范 規(guī)范

　制度代碼 版本 實施日期 主編單位 同意人

　 年

　月

　日

　說明：

　目 目

　錄 第一章

　總

　則 則 ............................................................................... 錯誤!未定義書簽。

　第二章

　網絡系統(tǒng)管理員 ............................................................. 錯誤!未定義書簽。

　第三章

　帳號使用及安全管理 ..................................................... 錯誤!未定義書簽。

　第四章

　計算機使用及安全管理 ................................................. 錯誤!未定義書簽。

　第五章

　網絡系統(tǒng)使用及安全管理 ............................................. 錯誤!未定義書簽。

　第六章

　電子郵件和互聯網安全管理 ......................................... 錯誤!未定義書簽。

　第七章

　攜出電腦安全管理 ......................................................... 錯誤!未定義書簽。

　第八章

　監(jiān)督和檢驗機制 ............................................................. 錯誤!未定義書簽。

　第九章

　附

　則 則 ............................................................................... 錯誤!未定義書簽。

　第一章

　總

　則

　第一條 為加強集團信息安全管理，降低失密、泄密風險，特制訂本要求。

　第二條 本要求適適用于集團各單位和全體職員，管理內容包含：帳號、計算機設備、網絡系統(tǒng)、業(yè)務系統(tǒng)、辦公系統(tǒng)使用過程安全管理；互聯網瀏覽、電子郵件、MSN 等即時通訊系統(tǒng)使用安全管理；信息化項目建設安全管理。

　第二章

　網絡系統(tǒng)管理員

　第四條 系統(tǒng)管理員指負責管理和保障集團計算機設備、網絡、應用系統(tǒng)安全運行管理人員。其關鍵職責是負責集團計算機設備（ 服務器、存放等）、網絡及應用系統(tǒng)、數據庫運行維護；負責進行安全評定、安全審計及各類賬號、用戶權限管理 。

　第五條

　系統(tǒng)管理員分為最高系統(tǒng)管理員及各崗位系統(tǒng)管理員，最高系統(tǒng)管理員擁有本單位全部服務器、網絡及應用系統(tǒng)安全管理、審核權限。各崗位系統(tǒng)管理員負責自己所管理服務器、網絡及應用系統(tǒng)安全管理 。

　第六條 系統(tǒng)管理員需含有以下任職條件：

�。ㄒ唬└鲉挝蛔罡呦到y(tǒng)管理員須計算機專業(yè)及計算機相關專業(yè)畢業(yè),有對應崗位專業(yè)技術認證且在集團服務三年以上，無違規(guī)統(tǒng)計，由各單位 IT 人員責任人提名報各單位責任人審批同意后方可聘用。

�。ǘ�）各崗位系統(tǒng)管理員由各單位 IT 人員責任人指定，需要計算機專業(yè)及計算機相關專業(yè)畢業(yè)，有對應崗位專業(yè)技術認證及五年以上所屬崗位系統(tǒng)管理、運維經驗。

　（三）系統(tǒng)管理員必需確保對企業(yè)忠誠度，其任職前必需和集團簽署保密協(xié)議及不低于 3 年長久任職協(xié)議。系統(tǒng)管理員必需嚴格遵守國家法律、法規(guī)和行業(yè)規(guī)章，嚴守企業(yè)及崗位秘密。若有泄露安全信息、濫用權限等違記行為，一經查實，即給開除處分，造成損失，依法追究責任。

　第七條

　最高系統(tǒng)管理員及關鍵崗位系統(tǒng)管理員須設定為兩人。前者職能是對系統(tǒng)管理員賬號授權并分配對應權限，后者職能為系統(tǒng)具體操作和配置管理，嚴格實施授權賬戶和操作管理賬戶分離標準。

　第八條 各網絡、服務器和應用系統(tǒng)等應開啟安全審計功效，對上述各對象和系統(tǒng)管理賬號操作等進行安全審計，進而掌握各對象運行情況，并對網絡使用合規(guī)性含有監(jiān)督和提議權。

　第九條

　系統(tǒng)管理員離職，須提前 30 天提出申請，和繼任者做好工作交接，期滿經其簽字同意后，方可推行正常離職手續(xù)。拒絕推行上述程序，視為違反保密協(xié)議，根據保密協(xié)議相關要求處理。

　第三章

　帳號使用及安全管理

　第十條 本要求所指“帳號”包含計算機硬件設備、操作系統(tǒng)和應用系統(tǒng)登錄和操作帳號。

　第十一條 每個帳號全部必需明確“帳號責任人”。集團在冊職員帳號“帳號責任人”為職員本人，僅限本人使用，并對帳號使用過程負擔全部安全責任。

　對用于單位處理專題工作電子郵件系統(tǒng)帳號，各單位須指定專門帳號安全責任人，并報 IT 人員立案。

　第十二條

　集團內部職員每人只有一個賬號。帳號及權限申請須經帳號責任人所在企業(yè)人力資源部門審批后，報 IT 人員審核并開通。

　第十三條

　IT 人員必需對用戶帳號進行權限配置，使得用戶能夠使用集團內不一樣系統(tǒng)或同一系統(tǒng)不一樣功效。

　第十四條

　IT 人員開通用戶帳號時嚴禁使用相同初始密碼，集團用戶首次登陸 OA、ERP、郵件等應用系統(tǒng)，必需更改初始密碼。一般用戶密碼長度不得少于6 位（含）字符，并最少采取大寫字母、小寫字母、符號和數字其中三種組合；系統(tǒng)管理員口令密碼長度不得少于 12 位字符，并必需包含大寫字母、小寫字母、符號和數字全部組合。

　第十五條

　集團用戶每三個月內應該更改一次密碼，且更改后新密碼不應和最近前三次密碼反復。含有密碼強制更改方法業(yè)務系統(tǒng)，IT 人員應啟用該功效模塊，定時強制用戶更改業(yè)務系統(tǒng)密碼；不含有該功效系統(tǒng)，系統(tǒng)管理員最多每三個月通知用戶更改一次密碼。

　第十六條 嚴禁將用戶名和密碼保留在公用計算機自動登陸程序中。嚴禁將帳號及密碼打印成紙制文件，嚴禁經過非集團內電子郵件系統(tǒng)或即時通訊系統(tǒng)傳輸用戶帳號和密碼。

　第十七條 職員離職，人力資源部門應該通知 IT 人員立即關閉職員帳號及權限。

　第四章

　計算機使用及安全管理

　第十八條

　本要求所指計算機包含集團統(tǒng)一購置辦公計算機（包含臺式機、筆記本、移動上網本等）和服務器，和集團各下屬單位購置并接入集團局域網處理集團內部業(yè)務計算機。

　第十九條 分配給個人使用計算機，其使用人為設備責任人，公累計算機由資產所屬單位明確設備責任人。計算機設備責任人對該計算機使用過程負擔全部安全責任。

　第二十條

　計算機上嚴禁安裝和使用非辦公軟件，對于因職員自行安裝多種軟件而發(fā)生信息安全事件或侵犯版權等法律、民事問題，由計算機設備責任人自行負擔全部責任。

　第二十一 條

　嚴禁私自拆裝計算機或更改操作系統(tǒng)安全配置，包含但不限于系統(tǒng)補丁更新、病毒庫更新、網絡連接、IE 安全等級、代理服務器設置等。

　第二十 二 條 U 盤、移動硬盤等移動存放設備在打開前必需使用防病毒軟件清查病毒，如存在無法清除病毒則停止使用；在懷疑或確定計算機感染病毒時，必需立即斷開網絡，并通知 IT 人員進行處理，經確定已無安全隱患后再接入網絡。

　第二十 三 條

　職員離開計算機時，必需關閉計算機或啟用計算機安全密碼鎖定程序。

　第二十 四 條

　便攜式計算機（筆記本電腦）必需設置開機密碼和登陸操作系統(tǒng)密碼。有硬盤加密功效，應該啟用該安全防護功效。

　第二十 五 條

　嚴禁在公用計算機（包含非個人專用筆記本、臺式機）上保留涉密信息。

　第二十 六 條

　計算機在送修前，計算機設備責任人必需將涉密信息轉出。計算機無法開啟或計算機設備責任人無法完成轉出操作，應該向 IT 人員請求技術支持。涉密文件所在計算機送修前，須送交 IT 人員進行痕跡擦除處理。

　第二 十 七 條

　計算機在退出目前工作用途（更新、轉讓、報廢或職員辭職等）前，需在 IT 人員指導下，卸載計算機中已裝載企業(yè)業(yè)務系統(tǒng)并刪除全部和工作相關數據。

　第五章

　網絡系統(tǒng)使用及安全管理

　第 二 十 八 條

　已接入集團網絡計算機，嚴禁同時使用電話撥號、ADSL、私設無線網絡、運行商 3G 上網卡、VPN、數據專線等方法接入互聯網或第三方網絡系統(tǒng)。

　第 二 十 九 條

　嚴禁職員私自在局域網內安裝配置多種網絡設備（尤其是無線網絡設備），確因工作需要臨時安裝，必需報行政部審批后，由內部 IT 專業(yè)人員進行安全配置。

　第三十條 關鍵會議、活動等原始會議紀要、錄音影像等保密性質原始文件資料，在必需傳輸時，應以物理存放方法（U 盤、移動硬盤等）進行離線傳輸，嚴格嚴禁以設置網絡共享、郵件或即時通訊等方法進行公布和傳輸。通常性會議、活動資料必需經行政部門領導審核同意后，方可進行公布。

　第 三十 一 條 嚴禁以任何理由對網絡系統(tǒng)進行掃描。

　第三十 二 條 嚴禁訪問包含色情、反動等不良內容網站。

　 第六章

　電子郵件和互聯網安全管理

　第三十 三 條 “帳號責任人”對使用電子郵箱中全部活動和事件負擔全部責任。公共電子郵箱使用僅限于申請郵箱時指定業(yè)務工作。

　第三十 四 條

　“帳號責任人”應該謹慎預防公眾互聯網垃圾郵件或垃圾信息經過郵件系統(tǒng)流入集團內部局域網絡。嚴禁使用“@*****.com”集團工作郵箱作為個人在公眾互聯網上注冊個人信息時郵箱。

　第三十 五 條 職員開通訪問互聯網權限時，應該僅開通 www、pop3、smtp 和http 通用協(xié)議。確因工作需要開通其它端口協(xié)議，應報行政部審批。

　第 三 十 六 條 嚴禁職員本人使用或許可她人使用集團網絡資源制作、復制、公布、傳輸違反國家法律要求和違反集團企業(yè)文化信息。

　第七章

　攜出電腦安全管理

　第 三 十 七 條

　攜出電腦內關鍵文件必需設置密碼或加密處理。

　第 三十八 條 職員使用電腦在企業(yè)外部上網時，應啟用防病毒軟件和個人防火墻對筆記本電腦進行保護。

　第三十九 條

　攜出電腦嚴禁外借她人使用。

　第四十條

　職員應對攜出電腦資產、系統(tǒng)和信息安全負全責。

　第八章

　監(jiān)督和檢驗機制

　第四十 一 條 全體職員有責任和義務對違反信息安全管理要求人員和事件進行糾正，并可經過信箱和電話等方法向相關領導和信息、安全管理部門進行舉報。

　第四十 二 條 安全管理人員有權對本單位使用網絡資源（計算機、網絡、郵箱、即時通訊等）訪問互聯網行為進行監(jiān)控和檢驗。

　第四十 三 條

　行政部作為信息安全檢驗負責單位，針對本要求中各項信息安全事項，能夠組織進行常規(guī)監(jiān)控，或報集團相關領導審批同意后，進行不定時抽查。

　第四十四 條 行政部對監(jiān)控或檢驗中發(fā)覺信息安全違規(guī)情況，報人力資源部進行對應處罰。對于性質嚴重或影響廣泛、惡劣信息安全違規(guī)事件肇事人，報法務部依法追究法律責任。

　第九章

　附

　則

　第四十 五條 條 本要求由研發(fā)中心行政部負責制訂、解釋和修改。

　第四 十 六條 條 本要求由研發(fā)中心分管領導審核，經****同意。

　第四十七條 條 本要求自下發(fā)之日起實施。

相關熱詞搜索：信息系統(tǒng) 管理規(guī)范