信息系统使用管理规范
****管 理 制 度 信息系统使用管理规范信息系统使用管理规范 制度代码 说明: 版本实施日期 年月日 主编单位批准人 目目录录 第一章第一章 总总 则则 1 1 第二章第二章 网络系统管理员网络系统管理员 1 1 第三章第三章 帐号使用及安全管理帐号使用及安全管理 2 2 第四章第四章 计算机使用及安全管理计算机使用及安全管理 3 3 第五章第五章 网络系统使用及安全管理网络系统使用及安全管理 4 4 第六章第六章 电子邮件和互联网安全管理电子邮件和互联网安全管理 4 4 第七章第七章 携出电脑安全管理携出电脑安全管理 5 5 第八章第八章 监督和检查机制监督和检查机制 5 5 第九章第九章 附附 则则 5 5 第一章第一章 总总 则则 第一条第一条 为加强集团信息安全管理,降低失密、泄密风险,特制定本规定。 第二条第二条 本规定适用于集团各单位和全体员工,管理内容包括:帐号、计算 机设备、网络系统、业务系统、办公系统使用过程的安全管理;互联网浏览、电 子邮件、MSN 等即时通讯系统的使用安全管理;信息化项目建设的安全管理。 第二章第二章 网络系统管理员网络系统管理员 第四条第四条 系统管理员指负责管理和保障集团计算机设备、网络、应用系统安 全运营的管理人员。其主要职责是负责集团计算机设备( 服务器、存储等)、 网络及应用系统、 数据库的运行维护; 负责进行安全评估、 安全审计及各类账号、 用户权限的管理 。 第五条第五条系统管理员分为最高系统管理员及各岗位系统管理员, 最高系统管 理员拥有本单位所有服务器、网络及应用系统的安全管理、审核权限。各岗位系 统管理员负责自己所管理服务器、网络及应用系统的安全管理 。 第六条第六条 系统管理员需具备如下任职条件: (一)各单位最高系统管理员须计算机专业及计算机相关专业毕业,有相应 岗位的专业技术认证且在集团服务三年以上,无违规记录,由各单位 IT 人员负 责人提名报各单位负责人审批同意后方可聘任。 (二)各岗位系统管理员由各单位 IT 人员负责人指定,需要计算机专业及 计算机相关专业毕业, 有相应岗位的专业技术认证及五年以上所属岗位系统的管 理、运维经验。 (三) 系统管理员必须保证对公司的忠诚度,其任职前必须与集团签署保密 协议及不低于 3 年的长期任职协议。 系统管理员必须严格遵守国家法律、法规和 行业规章,严守公司及岗位秘密。若有泄露安全信息、滥用权限等违记行为,一 经查实,即给开除处分,造成损失的,依法追究责任。 第七条第七条 最高系统管理员及关键岗位系统管理员须设定为两人。前者职能是 对系统管理员账号授权并分配相应权限, 后者职能为系统的具体操作和配置管理, 严格实行授权账户与操作管理账户分离原则。 第八条第八条 各网络、服务器和应用系统等应启动安全审计功能,对上述各对象 和系统管理账号操作等进行安全审计,进而掌握各对象的运行状况,并对网络使 用的合规性具有监督和建议权。 第九条第九条 系统管理员离职, 须提前一个月提出申请, 与继任者做好工作交接, 期满经其签字同意后,方可履行正常离职手续。拒绝履行上述程序的,视为违反 保密协议,按照保密协议有关规定处理。 第三章第三章 帐号使用及安全管理帐号使用及安全管理 第十条第十条 本规定所指的“帐号”包含计算机硬件设备、操作系统以及应用系 统的登录和操作帐号。 第十一条第十一条 每个帐号都必须明确“帐号责任人”。集团在册员工帐号的“帐 号责任人”为员工本人,仅限本人使用,并对帐号使用过程承担全部安全责任。 对用于单位处理专项工作的电子邮件系统帐号, 各单位须指定专门的帐号安全责 任人,并报 IT 人员备案。 第十二条第十二条 集团内部员工每人只有一个账号。帐号及权限的申请须经帐号责 任人所在公司人力资源部门审批后,报 IT 人员审核并开通。 第十三条第十三条 IT 人员必须对用户帐号进行权限配置,使得用户能够使用集团内 不同的系统或同一系统的不同功能。 第十四条第十四条 IT 人员开通用户帐号时禁止使用相同的初始密码,集团用户首次 登陆 OA、ERP、邮件等应用系统,必须更改初始密码。普通用户密码长度不得少 于 6 位(含)字符,并至少采用大写字母、小写字母、符号和数字其中的三种组 合;系统管理员口令密码长度不得少于 12 位字符,并必须包含大写字母、小写 字母、符号和数字的全部组合。 第十五条第十五条 集团用户每三个月内应当更改一次密码,且更改后的新密码不应 与最近前三次密码重复。具备密码强制更改措施的业务系统,IT 人员应启用该 功能模块,定期强制用户更改业务系统密码;不具备该功能的系统,系统管理员 最多每三个月通知用户更改一次密码。 第十六条第十六条 禁止将用户名和密码保存在公用计算机的自动登陆程序中。禁止 将帐号及密码打印成纸制文件, 禁止通过非集团内电子邮件系统或者即时通讯系 统传输用户帐号和密码。 第十七条第十七条 员工离职, 人力资源部门应当通知 IT 人员及时关闭员工帐号及权 限。 第四章第四章 计算机使用及安全管理计算机使用及安全管理 第十八条第十八条 本规定所指的计算机包含集团统一购置的办公计算机(包括台式 机、笔记本、移动上网本等)和服务器,以及集团各下属单位购置并接入集团局 域网处理集团内部业务的计算机。 第十九条第十九条 分配给个人使用的计算机,其使用人为设备责任人,公共计算机 由资产所属单位明确设备责任人。 计算机设备责任人对该计算机使用过程承担全 部安全责任。 第二十条第二十条 计算机上禁止安装和使用非办公软件,对于因员工自行安装的各 种软件而发生信息安全事件或侵犯版权等法律、民事问题,由计算机设备责任人 自行承担全部责任。 第二十一条第二十一条 禁止私自拆装计算机或更改操作系统的安全配置,包括但不限 于系统补丁更新、病毒库更新、网络连接、IE 安全级别、代理服务器设置等。 第二十二条第二十二条 U 盘、移动硬盘等移动存储设备在打开前必须使用防病毒软件 清查病毒,如存在无法清除病毒则停止使用;在怀疑或确认计算机感染病毒时, 必须立即断开网络,并通知 IT 人员进行处理,经确认已无安全隐患后再接入网 络。 第二十三条第二十三条 员工离开计算机时,必须关闭计算机或启用计算机安全密码锁 定程序。 第二十四条第二十四条 便携式计算机(笔记本电脑)必须设置开机密码和登陆操作系 统密码。有硬盘加密功能的,应当启用该安全防护功能。 第二十五条第二十五条 禁止在公用计算机(包括非个人专用笔记本、台式机)上保存 涉密信息。 第二十六条第二十六条 计算机在送修前,计算机设备责任人必须将涉密信息转出。计 算机无法启动或计算机设备责任人无法完成转出操作的,应当向 IT 人员请求技 术支持。涉密文件所在计算机送修前,须送交 IT 人员进行痕迹擦除处理。 第二十七条第二十七条 计算机在退出当前工作用途 (更新、 转让、 报废或员工辞职等) 前,需在 IT 人员指导下,卸载计算机中已装载的公司业务系统并删除所有与工 作相关的数据。 第五章第五章 网络系统使用及安全管理网络系统使用及安全管理 第二十八条第二十八条 已接入集团网络的计算机,禁止同时使用电话拨号、ADSL、私 设无线网络、运营
蚂蚁文库