計算機安全管理制度.doc

計算機安全管理制度 第三章：計算機安全管理制度 本文涉及的電腦設(shè)備，包括電腦室電腦設(shè)備及由電腦室負責(zé)安裝在其它部門或單位的電腦設(shè)備。 一、要求 1、 一般工作部不安裝軟驅(qū)和光驅(qū)，如果有安裝軟驅(qū)和光驅(qū)的電腦，每次使用磁碟都要用殺毒軟件檢查； 2、 對于聯(lián)網(wǎng)的計算機，任何人在未經(jīng)批準(zhǔn)的情況下，不得向計算內(nèi)拷入軟件或文檔； 3、 數(shù)據(jù)的備份由相關(guān)專業(yè)負責(zé)人管理，備份用的軟件由專業(yè)人提供； 4、 軟盤光盤等在使用前，必須確保無病毒； 5、 計算機必須安裝防毒軟件，機密計算機必須安裝防火墻等防護軟件； 6、 計算機一經(jīng)發(fā)現(xiàn)病毒，應(yīng)立即通知電腦室專業(yè)人事處理； 7、 操作員在離開前應(yīng)退出系統(tǒng)并關(guān)機； 8、 任何人未經(jīng)操作員本人同意，不得使用他人的電腦。 二、守則 為了避免因操作失誤等人為因素導(dǎo)致計算機系統(tǒng)的損壞，維護本公司計算機系統(tǒng)的安全以保證其正常運作，進一步提高公司電腦辦公效率，有必要制定相應(yīng)的安全使用規(guī)范。 1、 不隨便濃度不明白或不熟悉的計算機操作步驟，遇到計算機發(fā)生異常而自己無法解決時，應(yīng)立即通知電腦室，請專業(yè)人員解決； 2、 不隨便運行或刪除電腦上的文件或程序，不要隨意修改計算參數(shù)等； 3、 不要隨便安裝或使用不明的軟件或程序，不要隨意開啟來歷不名的電子郵件或郵件附件； 4、 收到無意義的郵件后，應(yīng)及時清除，不要蓄意或惡意的回寄或轉(zhuǎn)寄這些郵件； 5、 不得向他人披露使用密碼，防止他人接觸計算機系統(tǒng)造成意外； 6、 定期更換密碼（每一個季度為一個更改周期），如發(fā)現(xiàn)密碼已泄露，應(yīng)盡快更換，欲設(shè)的密碼及由別人提供的密碼應(yīng)不予采用； 7、 定期用殺毒程序掃描計算機系統(tǒng)，對于新的軟件，檔案或電子郵件，應(yīng)選用殺毒軟件掃描，檢查是否帶有病毒、有危害的程序編碼，進行適當(dāng)?shù)奶幚砗蟛趴砷_啟使用； 8、 先以加密技術(shù)保護敏感的數(shù)據(jù)文件，然后才通過內(nèi)部網(wǎng)絡(luò)及互聯(lián)網(wǎng)進行傳遞，在適當(dāng)?shù)那闆r下，利用數(shù)字為信息進行數(shù)據(jù)加密或加上數(shù)字簽名； 9、 關(guān)閉電子郵件軟件所備有的自動處理郵件附件功能，關(guān)閉電子郵件應(yīng)用系統(tǒng)或其他應(yīng)用軟件中可自動處理的功能，以防電腦病毒入侵； 10、 11、 件； 對所有電腦人員定期進行培訓(xùn)，密切個人文件； 對公司辭職人員的電腦有電腦負責(zé)人立即改變電腦密碼，保護電腦內(nèi)文 三、監(jiān)管措施 1、 由專業(yè)人員負責(zé)所有微機的互檢測和清理工作； 2、 由電腦室的專業(yè)人員，根據(jù)上述作業(yè)計劃進行檢測； 3、 由經(jīng)理負責(zé)對防護措施的落實情況進行監(jiān)督； 4、 裝有軟驅(qū)的微機一律不得入網(wǎng)；對于尚未聯(lián)網(wǎng)的計算機，其軟件的安裝由電腦室 負責(zé)，任何微機需安裝軟件時，由相關(guān)專業(yè)負責(zé)人提出書面報告，經(jīng)經(jīng)理同意后，由電腦室負責(zé)安裝；軟件出現(xiàn)異常時，應(yīng)通知電腦室專業(yè)人員處理；所有微機不得安裝游戲軟件；數(shù)據(jù)的備份由相關(guān)專業(yè)負責(zé)人管理，備份用的軟盤由專業(yè)負責(zé)人提供； 5、 硬件維護人員在拆卸微機時，必須采用必要的防靜電措施；硬件維護人員在工作 完成后或準(zhǔn)備離開時，必須將所拆卸的設(shè)備復(fù)原；要求各專業(yè)負責(zé)人認真落實所轄微機及配套設(shè)備的使用的保養(yǎng)責(zé)任；要求各專業(yè)負責(zé)人采取必要的措施，確保所用的微機外設(shè)始終處于整潔和良好的狀態(tài)；所有帶鎖的微機，在使用完畢或離開前必須上鎖；對于關(guān)鍵的電腦設(shè)備應(yīng)配備必要的繼電保護電源； 6、 各單位所轄微機的使用清洗和保養(yǎng)工作，由相應(yīng)專業(yè)負責(zé)人負責(zé)；各專業(yè)負責(zé)人 必須經(jīng)常檢查所轄微機及外設(shè)的狀況，及時發(fā)現(xiàn)和解決問題； 7、 由于電腦設(shè)備已逐步成為我們工作中必不可少的重要工作。因此，電腦部決定將 電腦的管理納入對各專業(yè)負責(zé)人的考核范圍，并將嚴格實行； 8、 凡是發(fā)現(xiàn)以下情況的，電腦部根據(jù)實際情況追究當(dāng)事人及其直接領(lǐng)導(dǎo)的責(zé)任； A、 電腦感染病毒； B、 私自安裝和使用未經(jīng)許可的軟件（含游戲）； C、 微機具有密碼功能卻未使用； D、 離開微機卻未退出系統(tǒng)或關(guān)機； E、 擅自使用他人微機或外設(shè)造成不良影響或損失； F、 沒有及時檢查或清潔電腦及相關(guān)外設(shè)。 9、 凡發(fā)現(xiàn)由于以下作業(yè)而造成硬件的損壞或丟失的，其損失由當(dāng)事人負責(zé)； A、 違章操作 B、 保管不當(dāng) C、 擅自安裝使用硬件和電氣裝置 10、 員工的電子郵件可能會為企業(yè)網(wǎng)絡(luò)帶來好幾種安全漏網(wǎng)，例如收到不請自 來的郵件卻毫無警惕便直接打開其附件，或是未對附加文件掃描是否有病毒藏匿其中便直接開啟文件等等。此外企業(yè)若不主動將新的病毒庫派送到員工的電腦上，強制施行公司制定的政策，而是安全信任員工隨意更新自己電腦上的病毒庫，那么就算員工每次都很謹慎先掃描文件，確定沒有病毒后才打開文件，仍然有被病毒感染的風(fēng)險。更有甚者，若是放任不當(dāng)?shù)碾娮余]件，色情或其他具有攻擊性的內(nèi)容在辦公室到處流傳，企業(yè)更有可能會面臨法律上的種種問題； 11、 密碼是大部分企業(yè)的主要弱點，因為人們?yōu)榱斯?jié)省時間，常常會共享或選 擇簡單的密碼。密碼若不夠復(fù)雜，便很容易被別人猜測到并取得機密資料。其實 網(wǎng)絡(luò)安全的弱點還在于不是只有使用者有密碼而已，若態(tài)度不夠謹慎，只要稍微運用一下手腕便可讓他們吐露出來，例如通過電話或電子郵件假裝一下，通常就能把員工的密碼騙到手； 12、 完全不知道如何防范各式各樣的安全漏洞。例如通過社交手段套取等等， 便會使得企業(yè)門戶大開，容易受到各種攻擊。未受到正確訓(xùn)練或不滿意的員工，便可能把企業(yè)獨家或第三資料泄露給競爭對手等不應(yīng)該接觸到的這些資料的人； 13、 企業(yè)應(yīng)決定由誰負責(zé)主導(dǎo)政策的制定與執(zhí)行，人資部門則應(yīng)在員工的新進 訓(xùn)練時以局面告知公司的政策，待員工同意后要求其簽名確認已了解并愿意遵守公司相關(guān)規(guī)定之后必須嚴格執(zhí)行規(guī)定，絕對不能有例外。公司的政策內(nèi)，應(yīng)明確制定違反規(guī)定的處罰細則。一般而言，安全系統(tǒng)與網(wǎng)絡(luò)管理人員應(yīng)該建構(gòu)安全防護細則，成立緊急應(yīng)變小組以應(yīng)付可能發(fā)生的漏洞，并與人資部門密切合作，隨時報告可疑的狀況。 四、網(wǎng)絡(luò)的維護 1、 設(shè)立網(wǎng)際網(wǎng)絡(luò)使用規(guī)范，讓員工了解公司對員工個人使用電子郵件與計算機的規(guī) 定。此外，明確的網(wǎng)絡(luò)的使用規(guī)范更可能提高IT人員設(shè)定與監(jiān)視網(wǎng)絡(luò)安全方案的效率。 2、 采用能夠掃描郵件是否含有不適當(dāng)內(nèi)容的技術(shù)，并記錄違反公司管制規(guī)定的網(wǎng)絡(luò) 行為； 3、 法律專家認為，監(jiān)視員工的電子郵件與網(wǎng)絡(luò)行為在公司對法律訴訟時，有利用保 護公司本身，因此企業(yè)應(yīng)當(dāng)設(shè)立使用規(guī)范，并彩內(nèi)容監(jiān)視機制，保護員工不受任何騷擾； 4、 訓(xùn)練員工了解如何應(yīng)該及時下載最新的防毒更新資料，如何辯認電腦是否有可能 中毒，并教導(dǎo)員工如何開啟檔案之前掃描檔案是否有病毒； 5、 修補軟件的漏洞，降低病毒透過網(wǎng)頁或電子郵件滲入企業(yè)網(wǎng)絡(luò)的機會； 求他們無論如何都不可以交出密碼； 7、 查每個員工是否需要接觸機密資料，并嚴格限制機密資料只用于工作上絕對要求 的員工使用； 8、 警告員工下載軟件等程序可能引起的危險。 計算機信息系統(tǒng)安全管理制度 總則 第二條 計算機信息系統(tǒng)是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 第三條 公司由企業(yè)管理策劃部專門負責(zé)本公司范圍內(nèi)的計算機信息系統(tǒng)安全管理工作。 第一章 網(wǎng)絡(luò)管理 第四條 遵守國家有關(guān)法律、法規(guī)，嚴格執(zhí)行安全保密制度及公司信息保密協(xié)議相關(guān)條款，不得利用網(wǎng)絡(luò)從事危害公司安全、泄露公司秘密等違法犯罪活動，嚴格控制和防范計算機病毒的侵入。 第六條 禁止未授權(quán)用戶或外來計算機接入公司計算機網(wǎng)絡(luò)及訪問、拷貝網(wǎng)絡(luò)中的資源， 第七條 任何員工不得故意輸入、傳播計算機病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)。 第九條 計算機各終端用戶應(yīng)保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼；計算機使用者更應(yīng)以30天為周期更改密碼、密碼長度不少于8位。 第二章 設(shè)備管理 第十三條 IT設(shè)備安全管理實行“誰使用誰負責(zé)”的原則（公用設(shè)備責(zé)任落實到部門）。嚴禁擅自移動和裝拆各類設(shè)備及其他輔助設(shè)備；嚴禁擅自請人維修；嚴禁擅自調(diào)整部門內(nèi)部計算機信息系統(tǒng)的安排。 第十五條 設(shè)備硬件或重裝操作系統(tǒng)等問題由企業(yè)管理策劃部統(tǒng)一管理。 第三章 數(shù)據(jù)管理 第十八條 計算機終端用戶計算機內(nèi)的資料涉及公司秘密的，應(yīng)該為計算機設(shè)定開機密碼或?qū)⑽募用埽环采婕肮緳C密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負責(zé)將其所有工作資料收回并保存。 第十九條 工作范圍內(nèi)的重要數(shù)據(jù)（重要程度由各部門負責(zé)人核定）由計算機終端用戶定期更新、備份，并提交給所在部門負責(zé)人，由部門負責(zé)人負責(zé)保存。 第二十條 計算機終端用戶務(wù)必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的盤上。計 算機信息系統(tǒng)發(fā)生故障，應(yīng)及時與企業(yè)管理策劃部聯(lián)系并采取保護數(shù)據(jù)安全的措施。 第二十一條 終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份，存放在不同的地點；光盤保存的數(shù)據(jù)，要定期進行檢查，定期進行復(fù)制，防止由于磁性介質(zhì)損壞，而使數(shù)據(jù)丟失；做好防磁、防火、防潮和防塵工作。 第四章 操作管理 第二十二條 凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負責(zé)。嚴禁利用計算機干與工作無關(guān)的事情；嚴禁除維修人員以外的外部人員操作各類設(shè)備。 第二十三條 IT安全管理小組將有針對性地對員工的計算機應(yīng)用技能進行定期或不定期的培訓(xùn)，培訓(xùn)成績將記入員工績效考核；由IT安全管理小組收集計算機信息系統(tǒng)常見故障及排除方法并成冊，供公司員工學(xué)習(xí)參考。 第二十四條 計算機終端用戶在工作中遇到計算機信息系統(tǒng)問題，首先要學(xué)會自行處理或參照手冊處理；若遇到手冊中沒有此問題，或培訓(xùn)未曾講過的問題，再與IT安全管理小組或軟件開發(fā)單位、硬件供應(yīng)商聯(lián)系，盡快解決問題。 第五章 網(wǎng)站管理 第二十五條 公司網(wǎng)站由IT安全管理小組提供技術(shù)支持和后臺管理，由公司相關(guān)部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設(shè)資料。 第六章 處罰措施 第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關(guān)的文件,經(jīng)查實后，根據(jù)文件大小第一次按10元/100M（四舍五入到百兆）進行罰款，以后每次按倍數(shù)原則（第二次20元/100M，第三40元/100M，第四次80元/100M，以此類推）處罰。凡某一使用責(zé)任人此種情況出現(xiàn)三次以上（包括三次），將給予行政處罰。 第二十七條 有以下情況之一者，視情節(jié)嚴重程度處以50元以上500元以下罰款。構(gòu)成犯罪的，依法追究刑事責(zé)任。 （一） 制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的； （二） 非法復(fù)制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的； （三） 對網(wǎng)絡(luò)和服務(wù)器進行惡意攻擊，侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，利用計算機和網(wǎng)絡(luò)干擾他人正常工作； （四） 訪問未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置； （五） 申請人在設(shè)備領(lǐng)用或報廢一周之內(nèi)未將第二章所涉及到的表單交會IT安全管理小組； （六） 擅自與他人更換使用計算機或相關(guān)設(shè)備； （七） 擅自調(diào)整部門內(nèi)部計算機的安排且未向行管部備案； （八） 日常抽查、崗位調(diào)動、離職時檢查到計算機配置與該計算機檔案不符、IT設(shè)備卡被撕毀、涂畫或遮蓋等。 （九） 工作時間外使用公司計算機做與工作無關(guān)的事務(wù)； （十） 相同故障出現(xiàn)三次以上（包括三次）仍無法自行處理的； （十一） 因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關(guān)閉； 第二十八條 計算機終端用戶因主觀操作不當(dāng)對設(shè)備造成破壞兩次以上或蓄意對設(shè)備造成破壞的，視