《热力公司网络信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《热力公司网络信息安全管理制度.docx(11页珍藏版)》请在第一文库网上搜索。
1、XXXX热力公司网络信息安全管理制度第一节 计算机基础设备管理第一条 各部门对该部门的每台计算机应指定保管 人,共享计算机则由部门指定人员保管,保管人对计算机软、 硬件有使用、保管责任。第二条公司计算机只有网络管理员进行维护时有权拆封,其他员工不得私自拆开封。第三条 计算机设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。第四条 计算机为公司生产设备,不得私用,转让借 出;除笔记本电脑外,其他设备严禁无故带出办公生产工作 场所。第五条 按正确方法清洁和保养设备上的污垢,保证 设备正常使用。第六条计算机设备老化、性能落后或故障严重,不能应用于实际工作的,备份数据后,删除数据,申请报废。
2、第七条 计算机设备出现故障或异常情况(包括气味、 冒烟与过热)时,应当立即关闭电源开关,拔掉电源插头, 并及时通知计算机管理人员检查或维修。第八条 公司计算机及周边设备,计算机操作系统和 所装软件均为公司财产,计算机使用者不得随意损坏或卸载。第二节 计算机系统应用管理第九条 公司电脑的 IP地址由网络管理员统一 规划分配,员工不得擅自更改其IP地址,更不得恶意占用 他人的地址。第十条 计算机保管人对计算机软硬件负保管之责, 使用者如有使用不当,造成毁损或遗失,应负赔偿责任。第十一条 计算机保管人和使用人应对计算机操作 系统和所安装软件口令严格保密。第十二条 重要资料、电子文档、重要数据等不得放
3、 在桌面、我的文档和系统盘以免系统崩溃导致数据丢失。与 工作相关的重要文件及数据保存两份以上的备份,以防丢失。 公司设立文件服务器,重要文件应及时上传备份,各部门专 用软件和数据由计算机保管人定期备份上传,需要信息主管 部门负责备份的应填写数据备份申请表,数据中心信息 系统数据应按备份管理备份。第十三条 正确开机和关机。开机时,先开外设(显 示器、打印机等),再开主机;关机时,应先退出应用程序 和操作系统,再关主机和外设,避免非正常关机。第十四条 公司邮箱账号必须由本账号职员使用,未 经公司网络管理员允许不得将账号让与他人使用,如造成公 司损失或名誉影响,公司将追究其个人责任,并保留法律追 究
4、途径。第十五条 未经允许,员工不得在网上下载软件、音 乐、电影或者电视剧等,员工在上网时,除非工作需要,不 允许使用聊天软件。员工不得利用公司电脑及网络资源玩游 戏,浏览与工作无关的网站。若发现,信息主管部门可收回 其使用电脑权限,并报相关领导处理。第十六条 不得随意安装工作不需要的软件。公司拥 有的授权软件须报公司分管领导审批通过后由信息主管部 门执行。第十七条 计算机出现重大故障,如硬盘损坏,计算 机保管人应立即向部门负责人报告,并填写设备故障登记 表。第十八条员工离职时,人力资源部应及时通知信息主管部门取消其所有的信息资源使用权限。第三节 计算机安全管理第十九条如需要私人计算机连接到公司
5、网络,需信息主管部门授权并进行登记。第二十条不得随意安装软件,软件安装按照软件管理实施。第二十一条所有计算机设备必须安装防病毒软件,所有计算机必须及时升级操作系统补丁和防病毒软件。第二十二条任何人不得在公司的局域网上制造传 播任何计算机病毒,不得故意引入病毒。第二十三条计算机使用者发现病毒后应立即停机并及时通知公司信息主管部门或本部门负责人,按计算机 病毒防治管理处理。第二十四条 因工作需要使用 QQ、MSN、微信等 信息平台,应当仔细辨别后再接收,对接收的文件应用安全 软件查杀后确认无毒再打开。第二十五条 使用电子邮件时,附件都应用安全软件 查杀后确认无毒再打开。对于陌生的电子邮件,请直接予
6、以 删除。第二十六条 任何人不得进入未经许可的计算机系 统更改系统信息和用户数据,不得以任何形式攻击公司的其 他电脑或者服务器。第二十七条 不得利用计算机技术侵占其他用户合 法利益,不得非法侵入他人电脑,不得制作、复制、和传播 妨害公司稳定的有关信息。第二十八条 不得利用公司的网络资源发布,传播迷 信、不实信息、谣言、淫秽、色情、赌博、暴力、凶杀、恐 怖等信息,违者将送公安机关处理。第二十九条 不得利用公司的网络资源进行入侵、破 解、篡改其他工作站或者服务器等网络犯罪行为,若发现立 即终止其权限,并上报公司领导保留送公安机关处理的权力。第三十条禁止员工使用会干扰或破坏网络上其他使用者或节点的软
7、、硬件系统。第三十一条 员工不得将公司授权软件私自拷贝、借 于他人或私自将 软、硬件带回家中。第三十二条 软件保管人或使用人,对于保管或使用 软件不可盗卖、循私营利或其他不法情事,违者依公司规定 惩处外,如因此触犯著作权者或造成公司损失,则该员工应 负刑事及民事全部责任。第三十三条 信息主管部门应指定网络管理员负责 防火墙和安全网关的管理工作,网络管理员必须熟悉网络理 论、网络设计和防火墙管理,接受防火墙应用和网络安全方 面的培训。第三十四条 网络管理员对防火墙和安全网关所做 的一切配置和修改工作都必须先在安全设备配置及修改总 汇登记,由信息主管部门负责人审查批准后实施。第三十五条 公司和外部
8、网络连接时均安装防火墙 或安全网关以确保网络及连接的安全,通过防火墙或安全网 关的设置对内外网络访问按照权限进行控制。第三十六条 厂商工程师只能在管理员的陪同下进 行调试,调试完毕后应立即更改管理口令。第三十七条 防火墙或安全网关需要增加或删除访 问控制策略时,应严格按照配置变更流程进行。第三十八条在配置和访问控制策略更改时,网络管 理员应及时导出防火墙或安全网关的配置文件,做好备份并 标明改动内容。第三十九条 网络管理员应每月进行一次防火墙访 问控制策略审查工作,对过期和权限过大的策略进行优化, 优化工作应严格按照配置变更流程进行。第四十条 网络管理员应该及时了解厂商发布的软 硬件升级包,防
9、火墙和安全网关的升级应严格按照配置变更 流程进行。第四节计算机病毒防治第四十一条信息技术系统管理员负责公司病毒防治工作。第四十二条 病毒防治管理是计算机信息系统安全 的一个重要组成部分,各部门应提高防范计算机病毒的安全 意识,切实履行各项职责。第四十三条信息技术人员负责对计算机病毒防治工作进行部署、监管和指导。第四十四条 信息技术人员负责建立突发病毒事件 应急响应机制,在重大病毒暴发时,负责组织和协调相关部 门研究应急方案、付诸实施,并跟踪有关反馈信息和处理结 果。第四十五条信息技术人员负责组织计算机病毒防 治培训讲座,提高员工的病毒防治安全意识。第四十六条 信息技术人员及时发布“新病毒预告”
10、, 提供特定病毒专杀工具、相关安全补丁等提供本公司用户选 择使用。第四十七条 信息技术人员负责在全网范围内建立 多层次的防病毒体系,要使用国家规定的、具有计算机使用 系统安全专用产品销售许可证的防病毒产品。应安装防病毒 软件、防火墙以及安全卫士等恶意软件防治工具。第四十八条 对新购进的计算机及设备,在安装完操 作系统后,系统管理员要在第一时间内安装防病毒软件。第四十九条 未安装防病毒软件的计算机不得接入 到公司网络。第五十条 信息技术人员负责公司数据中心防病毒 软件的升级,病毒特征库至少要做到每天自动升级检查,自 动部署,值班人员检查情况并写入机房运行日志。各部 门病毒防治工作负责人负责所辖范
11、围计算机防病毒软件的 升级。第五十一条 对病毒特征库的升级情况应该进行手 工检查,将当前版本与软件厂商在网站上公布的版本进行比 较。第五十二条 一旦出现传播速度快,威胁大的新病毒, 应该立即进行手工升级。第五十三条 信息技术人员防病毒管理人员每个月 第一周对服务器进行病毒扫描,并且对病毒疫情进行统计分 析,包括计算机病毒种类,文件感染率、计算机病毒处理结 果(删除、清除、隔离和不操作)等内容,填写报告分析结 果及时上报安全主管。扫描结果保留 3个月以上。第五十四条 信息技术人员防病毒管理人员负责定 期对各部门病毒防治管理工作进行监管,包括病毒防治产品 运行、功能的正确使用、合理设置参数、及时升
12、级病毒特征 码等。第五十五条 发现病毒后,应及时通知公司信息技术 人员和本部门病毒防治工作负责人,相关负责人应采取以下 措施:1、隔离受感染主机:当出现计算机病毒传染迹象时, 立即隔离被感染的系统和网络,并进行处理,不应带“毒” 继续运行;对于重要服务器,要先确定被感染情况,不要盲 目断网;2、确定病毒种类特征:采用多种手段确定病毒的类型 和传播途径,如查看防病毒软件的报警信息、搜索互联网相 关信息、和防病毒厂商沟通等途径。对于未知病毒,可以尽 快提交给有关部门或厂商;3、防止扩散:如果出现大面积传播的趋势,要根据病 毒的传播形式,采取网络访问控制、内容过滤等手段控制病 毒的扩散;4、查杀病毒
13、:尽量使用专杀工具对病毒进行查杀,完 成后,重启计算机,再次用最新升级的防病毒软件检查系统 中是否还存在该病毒,并确定被感染破坏的数据是否确实完 全恢复。5、查找中毒原因,改进和完善防护措施,对造成严重 影响的应填写病毒查杀分析报告交信息技术部存档。第五十六条正确安装和使用本公司指定的计算机病毒防治产品,未经许可,不得随意卸载病毒防治产品。第五十七条发生突发病毒事件应立即拔掉网线,应及时通知公司信息技术人员或本部门病毒防治工作负责人。第五十八条 不得随意下载和运行未确定安全性的 软件、程序和文档。收到不明电子邮件,不得浏览和运行, 以免感染计算机病毒。第五十九条 杜绝病毒传播的各种途径。光盘、
14、V盘 和移动硬盘等存储介质在使用前应进行病毒检测。第五节备份与恢复第六十条 备份工作应由信息技术人员安排备份管 理人员和备份数据保管人员。备份管理人员负责实施备份、 恢复操作和登记工作,备份保管人员负责备份介质的取放、 更换。第六十一条 数据被大规模更新前后,须对数据进行 备份,在操作系统和应用程序发生重大改变前后,须对系统 和应用程序进行备份。第六十二条 各部门专用软件和数据由计算机保管 人定期备份,信息主管部门对备份情况进行抽查,需要信息 主管部门备份的应填写数据备份申请表,提出具体的备 份要求,包括备份内容、备份周期等,申请部门负责人审批 后由备份管理人员制定相应策略,并由信息主管部门负
15、责人 审批后执行。第六十三条备份操作人员每次备份需填写备份工作汇总记录。第六十四条 备份对象发生变更后,应及时评估和调 整备份策略。备份策略的变更应得到需求申请部门以及信息 主管部门负责人审批。第六十五条 数据备份申请表和备份工作汇总 记录必须由备份管理员妥善保管,信息技术人员每三个月 对备份工作进行审核,核对系统中的备份工作与备份申请是 否吻合,以保证备份是按照要求进行的,核对系统中的备份 日志与备份工作汇总记录,以保证备份的有效性、完整性以 及出现的问题能得到适当的处理。第六十六条信息技术人员应制定相应的备份恢复计划。第六十七条需要恢复备份数据时,应由需求部门填 写数据恢复申请表,内容包括数据内容、恢复原因、恢 复数据来源、计划恢复时间、恢复方案等,由需求部门以及 信息技术部门相关负责人审批后由备份管理员负责实施。第六十八条 备份管理员应对数据恢复申请表进 行保存和归档,信息技术部负责人应每三个月对上述文档进 行审阅,确保备份恢复工作的合规性。第六节 备份介质的存放与管理第六十九条 对数据、操作系统以及程序的备份,须 保存在两份介质中,一份本地存放,另一份异地存放;本地 和异地的备份介质均需填写备份介质登记表。第七十条 备份介质存放场所必须满足防火、防水、 防潮、防磁、防盗、防鼠等要求。无论是存