信息系统使用管理规范

 ****管 理 制 度

 信息 系统使用 管理范 规范

 制度代码 版本 实施日期 主编单位 同意人

  年

 月

 日

 说明:

 目 目

 录 第一章

 总

 则 则 ............................................................................... 错误!未定义书签。

 第二章

 网络系统管理员 ............................................................. 错误!未定义书签。

 第三章

 帐号使用及安全管理 ..................................................... 错误!未定义书签。

 第四章

 计算机使用及安全管理 ................................................. 错误!未定义书签。

 第五章

 网络系统使用及安全管理 ............................................. 错误!未定义书签。

 第六章

 电子邮件和互联网安全管理 ......................................... 错误!未定义书签。

 第七章

 携出电脑安全管理 ......................................................... 错误!未定义书签。

 第八章

 监督和检验机制 ............................................................. 错误!未定义书签。

 第九章

 附

 则 则 ............................................................................... 错误!未定义书签。

 第一章

 总

 则

 第一条 为加强集团信息安全管理,降低失密、泄密风险,特制订本要求。

 第二条 本要求适适用于集团各单位和全体职员,管理内容包含:帐号、计算机设备、网络系统、业务系统、办公系统使用过程安全管理;互联网浏览、电子邮件、MSN 等即时通讯系统使用安全管理;信息化项目建设安全管理。

 第二章

 网络系统管理员

 第四条 系统管理员指负责管理和保障集团计算机设备、网络、应用系统安全运行管理人员。其关键职责是负责集团计算机设备( 服务器、存放等)、网络及应用系统、数据库运行维护;负责进行安全评定、安全审计及各类账号、用户权限管理 。

 第五条

 系统管理员分为最高系统管理员及各岗位系统管理员,最高系统管理员拥有本单位全部服务器、网络及应用系统安全管理、审核权限。各岗位系统管理员负责自己所管理服务器、网络及应用系统安全管理 。

 第六条 系统管理员需含有以下任职条件:

 (一)各单位最高系统管理员须计算机专业及计算机相关专业毕业,有对应岗位专业技术认证且在集团服务三年以上,无违规统计,由各单位 IT 人员责任人提名报各单位责任人审批同意后方可聘用。

 (二)各岗位系统管理员由各单位 IT 人员责任人指定,需要计算机专业及计算机相关专业毕业,有对应岗位专业技术认证及五年以上所属岗位系统管理、运维经验。

 (三)系统管理员必需确保对企业忠诚度,其任职前必需和集团签署保密协议及不低于 3 年长久任职协议。系统管理员必需严格遵守国家法律、法规和行业规章,严守企业及岗位秘密。若有泄露安全信息、滥用权限等违记行为,一经查实,即给开除处分,造成损失,依法追究责任。

 第七条

 最高系统管理员及关键岗位系统管理员须设定为两人。前者职能是对系统管理员账号授权并分配对应权限,后者职能为系统具体操作和配置管理,严格实施授权账户和操作管理账户分离标准。

 第八条 各网络、服务器和应用系统等应开启安全审计功效,对上述各对象和系统管理账号操作等进行安全审计,进而掌握各对象运行情况,并对网络使用合规性含有监督和提议权。

 第九条

 系统管理员离职,须提前 30 天提出申请,和继任者做好工作交接,期满经其签字同意后,方可推行正常离职手续。拒绝推行上述程序,视为违反保密协议,根据保密协议相关要求处理。

 第三章

 帐号使用及安全管理

 第十条 本要求所指“帐号”包含计算机硬件设备、操作系统和应用系统登录和操作帐号。

 第十一条 每个帐号全部必需明确“帐号责任人”。集团在册职员帐号“帐号责任人”为职员本人,仅限本人使用,并对帐号使用过程负担全部安全责任。

 对用于单位处理专题工作电子邮件系统帐号,各单位须指定专门帐号安全责任人,并报 IT 人员立案。

 第十二条

 集团内部职员每人只有一个账号。帐号及权限申请须经帐号责任人所在企业人力资源部门审批后,报 IT 人员审核并开通。

 第十三条

 IT 人员必需对用户帐号进行权限配置,使得用户能够使用集团内不一样系统或同一系统不一样功效。

 第十四条

 IT 人员开通用户帐号时严禁使用相同初始密码,集团用户首次登陆 OA、ERP、邮件等应用系统,必需更改初始密码。一般用户密码长度不得少于6 位(含)字符,并最少采取大写字母、小写字母、符号和数字其中三种组合;系统管理员口令密码长度不得少于 12 位字符,并必需包含大写字母、小写字母、符号和数字全部组合。

 第十五条

 集团用户每三个月内应该更改一次密码,且更改后新密码不应和最近前三次密码反复。含有密码强制更改方法业务系统,IT 人员应启用该功效模块,定时强制用户更改业务系统密码;不含有该功效系统,系统管理员最多每三个月通知用户更改一次密码。

 第十六条 严禁将用户名和密码保留在公用计算机自动登陆程序中。严禁将帐号及密码打印成纸制文件,严禁经过非集团内电子邮件系统或即时通讯系统传输用户帐号和密码。

 第十七条 职员离职,人力资源部门应该通知 IT 人员立即关闭职员帐号及权限。

 第四章

 计算机使用及安全管理

 第十八条

 本要求所指计算机包含集团统一购置办公计算机(包含台式机、笔记本、移动上网本等)和服务器,和集团各下属单位购置并接入集团局域网处理集团内部业务计算机。

 第十九条 分配给个人使用计算机,其使用人为设备责任人,公累计算机由资产所属单位明确设备责任人。计算机设备责任人对该计算机使用过程负担全部安全责任。

 第二十条

 计算机上严禁安装和使用非办公软件,对于因职员自行安装多种软件而发生信息安全事件或侵犯版权等法律、民事问题,由计算机设备责任人自行负担全部责任。

 第二十一 条

 严禁私自拆装计算机或更改操作系统安全配置,包含但不限于系统补丁更新、病毒库更新、网络连接、IE 安全等级、代理服务器设置等。

 第二十 二 条 U 盘、移动硬盘等移动存放设备在打开前必需使用防病毒软件清查病毒,如存在无法清除病毒则停止使用;在怀疑或确定计算机感染病毒时,必需立即断开网络,并通知 IT 人员进行处理,经确定已无安全隐患后再接入网络。

 第二十 三 条

 职员离开计算机时,必需关闭计算机或启用计算机安全密码锁定程序。

 第二十 四 条

 便携式计算机(笔记本电脑)必需设置开机密码和登陆操作系统密码。有硬盘加密功效,应该启用该安全防护功效。

 第二十 五 条

 严禁在公用计算机(包含非个人专用笔记本、台式机)上保留涉密信息。

 第二十 六 条

 计算机在送修前,计算机设备责任人必需将涉密信息转出。计算机无法开启或计算机设备责任人无法完成转出操作,应该向 IT 人员请求技术支持。涉密文件所在计算机送修前,须送交 IT 人员进行痕迹擦除处理。

 第二 十 七 条

 计算机在退出目前工作用途(更新、转让、报废或职员辞职等)前,需在 IT 人员指导下,卸载计算机中已装载企业业务系统并删除全部和工作相关数据。

 第五章

 网络系统使用及安全管理

 第 二 十 八 条

 已接入集团网络计算机,严禁同时使用电话拨号、ADSL、私设无线网络、运行商 3G 上网卡、VPN、数据专线等方法接入互联网或第三方网络系统。

 第 二 十 九 条

 严禁职员私自在局域网内安装配置多种网络设备(尤其是无线网络设备),确因工作需要临时安装,必需报行政部审批后,由内部 IT 专业人员进行安全配置。

 第三十条 关键会议、活动等原始会议纪要、录音影像等保密性质原始文件资料,在必需传输时,应以物理存放方法(U 盘、移动硬盘等)进行离线传输,严格严禁以设置网络共享、邮件或即时通讯等方法进行公布和传输。通常性会议、活动资料必需经行政部门领导审核同意后,方可进行公布。

 第 三十 一 条 严禁以任何理由对网络系统进行扫描。

 第三十 二 条 严禁访问包含色情、反动等不良内容网站。

  第六章

 电子邮件和互联网安全管理

 第三十 三 条 “帐号责任人”对使用电子邮箱中全部活动和事件负担全部责任。公共电子邮箱使用仅限于申请邮箱时指定业务工作。

 第三十 四 条

 “帐号责任人”应该谨慎预防公众互联网垃圾邮件或垃圾信息经过邮件系统流入集团内部局域网络。严禁使用“@*****.com”集团工作邮箱作为个人在公众互联网上注册个人信息时邮箱。

 第三十 五 条 职员开通访问互联网权限时,应该仅开通 www、pop3、smtp 和http 通用协议。确因工作需要开通其它端口协议,应报行政部审批。

 第 三 十 六 条 严禁职员本人使用或许可她人使用集团网络资源制作、复制、公布、传输违反国家法律要求和违反集团企业文化信息。

 第七章

 携出电脑安全管理

 第 三 十 七 条

 携出电脑内关键文件必需设置密码或加密处理。

 第 三十八 条 职员使用电脑在企业外部上网时,应启用防病毒软件和个人防火墙对笔记本电脑进行保护。

 第三十九 条

 携出电脑严禁外借她人使用。

 第四十条

 职员应对携出电脑资产、系统和信息安全负全责。

 第八章

 监督和检验机制

 第四十 一 条 全体职员有责任和义务对违反信息安全管理要求人员和事件进行纠正,并可经过信箱和电话等方法向相关领导和信息、安全管理部门进行举报。

 第四十 二 条 安全管理人员有权对本单位使用网络资源(计算机、网络、邮箱、即时通讯等)访问互联网行为进行监控和检验。

 第四十 三 条

 行政部作为信息安全检验负责单位,针对本要求中各项信息安全事项,能够组织进行常规监控,或报集团相关领导审批同意后,进行不定时抽查。

 第四十四 条 行政部对监控或检验中发觉信息安全违规情况,报人力资源部进行对应处罚。对于性质严重或影响广泛、恶劣信息安全违规事件肇事人,报法务部依法追究法律责任。

 第九章

 附

 则

 第四十 五条 条 本要求由研发中心行政部负责制订、解释和修改。

 第四 十 六条 条 本要求由研发中心分管领导审核,经****同意。

 第四十七条 条 本要求自下发之日起实施。