公司信息系统安全及保密管理制度_Microsoft_Office_Word_文档.docx

公司信息系统安全及保密管理制度
第一章总则
为建设好公司信息化系统,保护公司信息资源,保证公司计算机网络信息系统安全,为公司安全顺利生产运行保驾护航,结合公司实际情况,特制定本制度。
公司信息安全管理体系分为三级:运营改善部为信息安全管理中心,是第一级;各部门为分管单位,是第二级;各终端用户是第三级。
本办法适用于公司各单位和接入公司局域网的相关单位和个人。
第二章职责分工
公司运营改善部负责公司范围内的信息安全系统的统一管理,结合总公司的要求组织部署公司信息安全系统并承担日常管理工作。负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。
(一)组织制定企业信息化建设规划中有关信息安全的内容。
(二)组织落实公司信息系统安全等级保护和信息安全风险评估等工作。
(三)负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。
(四)负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。
(五)根据企业管理的要求,确定要害信息系统及相关设备;负责企业专网系统各项安全策略的制定及权限的审批。
(六)负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织,明确组织的负责人和管理的责任人。
(七)负责组织对公司企业专网范围内的信息系统安全情况进行检查,落实有关信息安全方面的法律法规,督促开展对于信息安全隐患的整改工作。
(八)处理违反公司信息系统安全管理有关规定的事件和行为,配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。
(九)履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。
(十)配合上级单位的全局安全策略的实施工作;并结合公司的实际情况实施安全策略,审批相应的管理权限、制定相应的管理策略。
公司各单位负责本单位信息化设备及系统的信息安全管理工作,职责为:
(一) 教育职工遵守内网信息系统安全制度的各项规定。
(二) 接入内网的信息化设备应服从公司统一实施的网络信息安全策略,在公司统一的安全策略下、上级信息化管理部门赋予的管理员权限范围内,在本单位或相应网段内实施安全策略及安全管理。
(三) 配合公司安全管理部门和安全运维单位处理终端设备及信息系统存在的不安全隐患。
(四) 按照公司运营改善部对信息安全的要求,规范本单位职工及业务往来外部单位人员的上网行为。
终端用户职责为:
(一)计算机接入局域网前必须按照公司的管理制度安装公司统一部署的信息系统安全管理软件。
(二)自觉服从信息系统安全管理员和本单位信息化专业员的管理和检查,自觉遵守公司关于信息系统的安全管理制度以及国家的法律法规。
(三)及时更新和升级信息安全系统软件。
第三章密码使用管理
用户密码管理的范围包括所有连接到公司内网的计算机、服务器、数据库和应用系统所使用的密码。
如本管理制度与原系统有关密码的规定有冲突时,按照相对严格的规定执行。
内网非涉密计算机、服务器、数据库和应用系统设置的密码长度不能少于8个字符,且至少同时包含数字、字母和特殊符号中的两种,符合密码复杂度要求,密码更换周期不得大于90天。
涉密计算机的密码管理规定参照《公司涉密计算机管理制度》执行。
服务器应在本机设置相应的密码安全策略以保证密码设置符合等级保护要求。
各应用系统及数据库在部署实施以及升级完毕之后应及时更改密码,保证。
密码的管理和保存
(一)个人计算机密码应由使用人管理;公用计算机密码由本部门指定负责人管理;服务器和应用系统密码应由各系统管理员设置并管理。
(二) 密码不能保存在该计算机周围显著位置。
第四章企业内网接入管理
为保障公司内网安全可管理性,任何接入公司局域网内的设备都应符合公司信息安全管理策略的要求规定。
公司运营改善部负责公司企业网的管理,制定用户管理制度,制定公司企业网用户编码规则(附件一)。
有独立局域网或形成的专业系统网络用户的主管单位,负责对其网内用户的管理,制定本单位或本系统接入公司企业网用户管理办法,维护网络的安全。
所有接入公司企业网的用户都必须采用实名制,按照公司统一制定的公司企业网用户编码规则为计算机命名,计算机一经命名不得随意改动。
任何单位或网络用户不得擅自移动或改变交换机、集线器等网络设备的位置和接线方式、更改其设备配置。凡是由于更改网络设备配置,影响公司正常生产和网络瘫痪的,一经查实要进行严肃处理。
IP地址的申请根据《公司信息化网络系统管理制度》相关规定执行。
运营改善部根据外网带宽测算合理全天互联网权限用户总数,并根据各单位管理岗人员数量比例分配相应数量互联网权限。
公司科级及科级以上人员分配互联网权限。
各单位信息化专业