第一篇：信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度

一、總則

1、為加強公司網(wǎng)絡(luò)管理，明確崗位職責(zé)，規(guī)范操作流程，維護(hù)網(wǎng)絡(luò)正常運行，確保計算機信息系統(tǒng)的安全，現(xiàn)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、等有關(guān)規(guī)定，結(jié)合本公司實際，特制訂本制度；

2、計算機信息系統(tǒng)是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)；

3、公司由微機科專門負(fù)責(zé)本公司范圍內(nèi)的計算機信息系統(tǒng)安全管理工作。

二、網(wǎng)絡(luò)管理

1、遵守國家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度及公司信息保密協(xié)議相關(guān)條款，不得利用網(wǎng)絡(luò)從事危害公司安全、泄露公司秘密等違法犯罪活動，嚴(yán)格控制和防范計算機病毒的侵入；

2、禁止未授權(quán)用戶或外來計算機接入公司計算機網(wǎng)絡(luò)及訪問、拷貝網(wǎng)絡(luò)中的資源；

3、任何員工不得故意輸入、傳播計算機病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)；

4、計算機各終端用戶應(yīng)保管好自己的用戶帳號和密碼。嚴(yán)禁隨意向他人泄露、借用自己的帳號和密碼；計算機使用者更應(yīng)以30天為周期更改密碼、密碼長度不少于8位。

三、設(shè)備管理

1、IT設(shè)備安全管理實行“誰使用誰負(fù)責(zé)”的原則（公用設(shè)備責(zé)任落實到部門）。嚴(yán)禁擅自移動和裝拆各類設(shè)備及其他輔助設(shè)備；嚴(yán)禁擅自請人維修；嚴(yán)禁擅自調(diào)整部門內(nèi)部計算機信息系統(tǒng)的安排；

2、設(shè)備硬件或重裝操作系統(tǒng)等問題由微機科統(tǒng)一管理。

四、數(shù)據(jù)管理

1、計算機終端用戶計算機內(nèi)的資料涉及公司秘密的，應(yīng)該為計算機設(shè)定開機密碼或?qū)⑽募用?；凡涉及公司機密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存；

2、工作范圍內(nèi)的重要數(shù)據(jù)（重要程度由各部門負(fù)責(zé)人核定）由計算機終端用戶定期更新、備份，并提交給所在部門負(fù)責(zé)人，由部門負(fù)責(zé)人負(fù)責(zé)保存；

3、計算機終端用戶務(wù)必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障，應(yīng)及時與微機科聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施；

4、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份，存放在不同的地點；光盤保存的數(shù)據(jù)，要定期進(jìn)行檢查，定期進(jìn)行復(fù)制，防止由于磁性介質(zhì)損壞，而使數(shù)據(jù)丟失；做好防磁、防火、防潮和防塵工作。

五、操作管理

1、凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負(fù)責(zé)。嚴(yán)禁利用計算機干與工作無關(guān)的事情；嚴(yán)禁除維修人員以外的外部人員操作各類設(shè)備；

2、微機科將有針對性地對員工的計算機應(yīng)用技能進(jìn)行定期或不定期的培訓(xùn)，培訓(xùn)成績將記入員工績效考核；由微機科收集計算機信息系統(tǒng)常見故障及排除方法并整理成冊，供公司員工學(xué)習(xí)參考。

3、計算機終端用戶在工作中遇到計算機信息系統(tǒng)問題，首先要學(xué)會自行處理或參照手冊處理；若遇到手冊中沒有此問題，或培訓(xùn)未曾講過的問題，再與微機科或軟件開發(fā)單位、硬件供應(yīng)商聯(lián)系，盡快解決問題。

六、網(wǎng)站管理

1、公司網(wǎng)站由微機科提供技術(shù)支持和后臺管理，由公司相關(guān)部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設(shè)資料。

七、處罰措施

1、計算機終端用戶擅自下載、安裝或存放與工作無關(guān)的文件經(jīng)查實后，根據(jù)文件大小第一次按10元/100M（四舍五入到百兆）進(jìn)行罰款，以后每次按倍數(shù)原則（第二次20元/100M，第三40元/100M，第四次80元/100M，以此類推）處罰。凡某一使用責(zé)任人此種情況出現(xiàn)三次以上（包括三次），將給予行政處罰。

2、有以下情況之一者，視情節(jié)嚴(yán)重程度處以50元以上500元以下罰款。構(gòu)成犯罪的，依法追究刑事責(zé)任。（1）制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的；

（2）非法復(fù)制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的；

（3）對網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊，侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，利用計算機和網(wǎng)絡(luò)干擾他人正常工作；

（4）訪問未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置；

（5）申請人在設(shè)備領(lǐng)用或報廢一周之內(nèi)未將所涉及到的表單交微機科；（6）擅自與他人更換使用計算機或相關(guān)設(shè)備；

（7）擅自調(diào)整部門內(nèi)部計算機的安排且未向行政部備案；

（8）日常抽查、崗位調(diào)動、離職時檢查到計算機配置與該計算機檔案不符、IT設(shè)備卡被撕毀、涂畫或遮蓋等；（9）工作時間外使用公司計算機做與工作無關(guān)的事務(wù)；（10）相同故障出現(xiàn)三次以上（包括三次）仍無法自行處理的；

（11）因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關(guān)閉；

3、計算機終端用戶因主觀操作不當(dāng)對設(shè)備造成破壞兩次以上或蓄意對設(shè)備造成破壞的，視情節(jié)嚴(yán)重，按所破壞設(shè)備市場價值的20%~80%賠償，并給予行政處罰。

行政部微機科

第二篇：信息系統(tǒng)安全管理制度

信 息 安 全 管 理 制 度

為維護(hù)公司信息安全，保證公司網(wǎng)絡(luò)環(huán)境的穩(wěn)定，特制定本制度。

一、互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理

1、禁止利用公司計算機信息網(wǎng)絡(luò)系統(tǒng)制作、復(fù)制、查閱和傳播危害國家安全、泄露公司秘密、非法網(wǎng)站及與工作無關(guān)的網(wǎng)頁等信息。行政部門建立網(wǎng)管監(jiān)控渠道對員工上網(wǎng)信息進(jìn)行監(jiān)督。一經(jīng)發(fā)現(xiàn)，視情節(jié)嚴(yán)重給予警告、通報批評、扣發(fā)工資500-1000元/次、辭退等處罰。

2、未經(jīng)允許，禁止進(jìn)入公司計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源、對公司計算機信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加的、對公司計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統(tǒng)和計算機網(wǎng)絡(luò)安全的。一經(jīng)發(fā)現(xiàn)，視情節(jié)嚴(yán)重給予警告、通報批評、扣發(fā)工資1000-2000元/次、辭退等處罰。

3、公司網(wǎng)絡(luò)采取分組開通域名方式，防止木馬蠕蟲病毒造成計算機運行速度降低、網(wǎng)絡(luò)堵塞、帳號密碼安全系數(shù)降低。

二、網(wǎng)站信息管理

1、公司網(wǎng)站發(fā)布、轉(zhuǎn)載信息依據(jù)國家有關(guān)規(guī)定執(zhí)行，不包含違反國家各項法律法規(guī)的內(nèi)容。

2、公司網(wǎng)站內(nèi)容定期進(jìn)行備份，由網(wǎng)管員保管，并對相應(yīng)操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全保護(hù)。

3、公司網(wǎng)管加強對上網(wǎng)設(shè)備及相關(guān)信息的安全檢查，對網(wǎng)站系統(tǒng)的安全進(jìn)行實時監(jiān)控。

4、嚴(yán)格執(zhí)行公司保密規(guī)定，凡涉及公司秘密內(nèi)容的科研資料及文件、內(nèi)部辦公信息或暫不宜公開的事項不得上網(wǎng)；

5、所有上網(wǎng)稿件須經(jīng)分管領(lǐng)導(dǎo)審批后，由企劃部門統(tǒng)一上傳。

三、軟件管理軟件管理軟件管理軟件管理

1、公司軟件產(chǎn)品的采購、軟件的使用分配及版權(quán)控制等由行政部門信息系統(tǒng)管理員統(tǒng)一進(jìn)行，任何部門和員工不得擅自采購。

2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經(jīng)許可，不得將公司購買或開發(fā)的軟件擅自提供給第三人。

3、操作系統(tǒng)由公司統(tǒng)一提供。禁止安裝使用其它來源的操作系統(tǒng)，特別是未經(jīng)授權(quán)的非法拷貝。擅自使用造成的一切后果由使用人自行承擔(dān)，對于造成損失的，將視情節(jié)及危害程度嚴(yán)重給予警告、通報批評、扣發(fā)工資100-200元/次等處罰。

4、一般應(yīng)用軟件統(tǒng)一在公司文件服務(wù)器上提供常用軟件安裝目錄，不提供安裝光盤（操作系統(tǒng)除外）。安裝非公司提供的軟件導(dǎo)致系統(tǒng)損害，信息丟失的，將視情節(jié)及危害程度嚴(yán)重給予警告、通報批評、扣發(fā)工資100-300元/次、辭退等處罰。

5、公司小范圍使用的專業(yè)版權(quán)軟件，使用人需在自行備份并由信息系統(tǒng)管理員驗證后才可進(jìn)行安裝。

6、禁止安裝使用非工作用軟件。其它工作所需的應(yīng)用軟件，可由使用部門申請，再由行政部門統(tǒng)一發(fā)布。

四、計算機病毒管理

1、集團(tuán)計算機病毒管理由集團(tuán)信息辦負(fù)責(zé)進(jìn)行規(guī)劃、實施和監(jiān)控。

2、員工應(yīng)樹立預(yù)防計算機病毒的意識和熟知預(yù)防計算機病毒的措施，及時更新系統(tǒng)漏洞和使用殺毒軟件。具體內(nèi)容包括：（1）及時更新微軟補丁，每周至少更新一次。當(dāng)屏幕右下角有自動更新的圖標(biāo)時，要及時安裝。（2）有些特殊的軟件（如SQL SERVER等），及時到相應(yīng)網(wǎng)站打補丁。（3）及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴(yán)禁因殺毒軟件影響性能，而把殺毒軟件卸載。每周至少更新一次，確保殺毒軟件為最新版本。（4）嚴(yán)禁

打開來歷不明的郵件。能判斷為病毒郵件的，立即刪除；不能判斷的聯(lián)系信息系統(tǒng)管理員解決。當(dāng)計算機感染病毒后，請及時斷開網(wǎng)線，使用殺毒軟件查殺和查看操作系統(tǒng)和應(yīng)用軟件的補丁是否及時更新；嚴(yán)重者請及時聯(lián)系信息辦信息系統(tǒng)管理員解決。（5）當(dāng)有新病毒通過某些軟件（如：QQ,MSN）傳播時，請立即關(guān)閉相應(yīng)軟件或拔掉網(wǎng)線。查殺問題解決后，方可繼續(xù)使用。

3、凡未按以上預(yù)防計算機病毒步驟執(zhí)行而造成機器感染病毒并傳播者，第一次給予警告、第二次給予通報批評，第三次及以上將給予通報批評并扣發(fā)工資50-100元/次。

五、網(wǎng)絡(luò)資源管理

1、集團(tuán)網(wǎng)絡(luò)資源和服務(wù)器由集團(tuán)信息辦信息系統(tǒng)管理員統(tǒng)一進(jìn)行規(guī)劃、管理和監(jiān)督。

2、服務(wù)器及個人用機的管理：（1）部門級及以上服務(wù)器必須指定專人負(fù)責(zé)管理，并在行政部門備案，未經(jīng)授權(quán)，非管理員不得對其進(jìn)行操作。（2）部門級及以上的服務(wù)器管理員有責(zé)任對其負(fù)責(zé)的服務(wù)器進(jìn)行例行檢查，包括：服務(wù)器的CPU、內(nèi)存、硬盤等資源利用情況；服務(wù)器上運行的服務(wù)使用情況；服務(wù)器上運行的OS及時升級；服務(wù)器上運行的殺毒軟件的及時更新；（3）服務(wù)器管理員要做好服務(wù)器的備份工作，至少每季度有一份完整異地（異機）備份，重要數(shù)據(jù)及時備份。信息系統(tǒng)管理員有責(zé)任監(jiān)督、協(xié)調(diào)其備份工作。（4）個人和部門未經(jīng)行政部門批準(zhǔn)不得私自設(shè)立服務(wù)器。（5）服務(wù)器管理員每月定期對服務(wù)器做一次全面檢查，并填寫服務(wù)器檢查日志。（6）服務(wù)器管理員每季度需修改服務(wù)器密碼一次。當(dāng)服務(wù)器管理員有變更時，管理員密碼需及時更改。（7）員工應(yīng)避免隨意共享工作相關(guān)資料，若需共享，應(yīng)指定合理權(quán)限，并在完成后及時取消；嚴(yán)禁未經(jīng)信息系統(tǒng)管理部門批準(zhǔn)，擅自共享給局域網(wǎng)內(nèi)所有用戶。（8）員工應(yīng)自行維護(hù)電腦的正常使用，并按照網(wǎng)管的要求進(jìn)行設(shè)置及及時進(jìn)行補丁更新，不得擅自退出域、去除域管理員權(quán)限、修改主機名、修改ip等。

3、IP地址的管理：（1）IP地址由行政部門統(tǒng)一規(guī)劃管理。未經(jīng)許可，不得擅自更改任何設(shè)備的IP地址。（2）公司申請的公網(wǎng)IP任何人不得私用。（3）工作需要公網(wǎng)IP，需申請信息部批準(zhǔn)后，方可使用。（4）公司公網(wǎng)IP使用無工作需要時，立即停止使用，并通知行政部門收回。（5）FTP等特殊服務(wù)器的使用須經(jīng)行政部門批準(zhǔn)，且不得擅自更改使用用途。

六、機房管理

1、人員管理：相關(guān)維護(hù)人員憑門禁卡或密碼進(jìn)出機房，其它人員不得擅入。如確需進(jìn)入機房的其它工作人員，應(yīng)向相關(guān)部門提出申請，并做相應(yīng)的登記備案后，在相關(guān)人員的陪同下入內(nèi)。信息系統(tǒng)管理員有權(quán)在場監(jiān)控及記錄入內(nèi)者的工作情況。

2、機房設(shè)備管理：參照公司固定資產(chǎn)管理制度進(jìn)行管理。非電源性電子設(shè)備（如路由器，服務(wù)器等）必須接不間斷電源，保證數(shù)據(jù)在突然斷電時不致丟失；機房溫度應(yīng)保持在22±2℃。工作時間，非工作時間公司保安應(yīng)定時巡視機房，確保機房環(huán)境、供電及溫度正常；如出現(xiàn)機房溫度超過30攝氏度警戒線、停電等異常情況，應(yīng)與管理員聯(lián)絡(luò)，立刻采取必要措施保障機房設(shè)備的安全。

3、信息管理：任何人員（包括管理員）在機房信息設(shè)備上進(jìn)行更改操作，都需記錄備案。未經(jīng)管理員許可在機房內(nèi)擅自進(jìn)行操作者，可視情節(jié)給予通報批評、扣發(fā)工資200-500元；情節(jié)嚴(yán)重的，可予以辭退。

4、施工管理：公司機房建設(shè)應(yīng)符合機房建設(shè)的有關(guān)標(biāo)準(zhǔn)和規(guī)定；在公司機房內(nèi)施工，須由信息安全部經(jīng)理批準(zhǔn),并有網(wǎng)絡(luò)管理員或授權(quán)的公司保安監(jiān)督施工現(xiàn)場。

七、電子設(shè)備使用管理

1、電子設(shè)備的新增購買申請先采用調(diào)配方式，若無法調(diào)配同等配置的，才予購買。使用管理參照公司固定資產(chǎn)管理制度。

2、計算機及其輔助設(shè)備一經(jīng)領(lǐng)用，使用人員需嚴(yán)格按照設(shè)備使用說明書和管理員制定的相關(guān)使用規(guī)定操作。對丟失、擅自轉(zhuǎn)讓、人為毀損造成無法修復(fù)等損失，可視情節(jié)給予警告、通報批評、按價賠償。(1)臺式計算機：非經(jīng)信息管理員工同意不得擅自打開機箱。(2)筆記本電腦設(shè)備：a、不同品牌型號的零配件不可互換使用。b、用于移動辦公，絕對不允許作為服務(wù)器共享操作。c、應(yīng)保持出廠預(yù)裝的正版操作系統(tǒng)，保留硬盤中的隱藏分區(qū)。如確因工作需要重新安裝其它操作系統(tǒng)（如WIN2000等），需由系統(tǒng)管理員進(jìn)行。不允許私自重新分區(qū)格式化，將原出廠隱藏區(qū)格式化刪除。

3、非經(jīng)許可，不得將個人臺式電腦及相關(guān)設(shè)備帶入公司，特殊情況，需辦理相關(guān)登記手續(xù)。

4、員工不得隨意增減配件，不得在未經(jīng)管理員許可的情況下對硬盤做低級格式化。未經(jīng)行政部門批準(zhǔn)，嚴(yán)禁將臺式電腦及其它電子設(shè)備帶出公司。私自調(diào)配電子設(shè)備（含配件），可視情節(jié)給予警告、通報批評、扣發(fā)工資200-500元/次。

八、信息系統(tǒng)管理員

1、管理權(quán)限和責(zé)任（1）負(fù)責(zé)公司各信息系統(tǒng)的信息安全、日常維護(hù)、系統(tǒng)管理等。（2）嚴(yán)格遵守公司制定的相關(guān)信息安全管理制度，履行工作職責(zé)。（3）制定各信息系統(tǒng)的管理維護(hù)標(biāo)準(zhǔn)，包含用戶及權(quán)限建立與變更標(biāo)準(zhǔn)及流程、定期檢查制度、違約處罰條款等，送交信息安全主管部門審核備案，并嚴(yán)格執(zhí)行。（4）信息系統(tǒng)管理員必須簽訂《關(guān)鍵職位員工之保密承諾書》。

2、職責(zé)規(guī)范（1）推動員工樹立信息系統(tǒng)安全防范意識，完善公司信息安全保障機制，逐步建立以預(yù)防、發(fā)現(xiàn)、響應(yīng)、恢復(fù)為基礎(chǔ)的信息安全管理機制。（2）遵守職業(yè)道德，嚴(yán)守保密制度，不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團(tuán)任何資料；不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團(tuán)商業(yè)秘密（包括技術(shù)秘密和經(jīng)營秘密）；未經(jīng)公司書面同意，不擅自使用已接觸到、了解到、知悉或被告之的商業(yè)秘密；不利用已知的公司資源（如公司信息系統(tǒng)缺陷、口令等），做違反國家法規(guī)、竊取公司商業(yè)秘密、攻擊公司服務(wù)器等行為。（3）端正服務(wù)態(tài)度，對員工的需求積極快速響應(yīng)，并提供迅速、周到的技術(shù)服務(wù)支持。

九、附則：

1、本制度解釋權(quán)歸集團(tuán)信息辦。

2、本制度自頒布之日起施行。

第三篇：信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度

第一章

總則

第一條

為保證本單位信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》，結(jié)合本單位系統(tǒng)建設(shè)實際情況，特制定本制度。第二條

本制度適用于本單位XX部門及所有系統(tǒng)使用部門和人員。

第三條

XX部門是本單位系統(tǒng)管理的責(zé)任主體，負(fù)責(zé)組織單位系統(tǒng)的維護(hù)和管理。

第二章

系統(tǒng)安全策略

第四條

XX部門負(fù)責(zé)單位人員的權(quán)限分配，權(quán)限設(shè)定遵循最小授權(quán)原則。

1)管理員權(quán)限：維護(hù)系統(tǒng)，對數(shù)據(jù)庫與服務(wù)器進(jìn)行維護(hù)。系統(tǒng)管理員、數(shù)據(jù)庫管理員應(yīng)權(quán)限分離，不能由同一人擔(dān)任。

2)普通操作權(quán)限：對于各個系統(tǒng)的使用人員，針對其工作范圍給予操作權(quán)限。3)查詢權(quán)限：對于單位管理人員可以以此權(quán)限查詢數(shù)據(jù)，但不能輸入、修改數(shù)據(jù)。4)特殊操作權(quán)限：嚴(yán)格控制單位管理方面的特殊操作，只將權(quán)限賦予相關(guān)科室負(fù)責(zé)人，例如退費操作等。

第五條 加強密碼策略，使得普通用戶進(jìn)行鑒別時，如果輸入三次錯誤口令將被鎖定，需要系統(tǒng)管理員對其確認(rèn)并解鎖，此帳號才能夠再使用。用戶使用的口令應(yīng)滿足以下要求：-8個字符以上；

-使用以下字符的組合：a-z、A-Z、0-9，以及!@#$%^&*()-+；-口令每三個月至少修改一次。

第六條 定期安裝系統(tǒng)的最新補丁程序，在安裝前進(jìn)行安全測試，并對重要文件進(jìn)行備份。第七條 每月對操作系統(tǒng)進(jìn)行安全漏洞掃描，及時發(fā)現(xiàn)最新安全問題，通過升級、打補丁或加固等方式解決。第八條 關(guān)閉信息系統(tǒng)不必要的服務(wù)。

第九條

做好備份策略，保障系統(tǒng)故障時能快速的恢復(fù)系統(tǒng)正常并避免數(shù)據(jù)的丟失。

第三章

系統(tǒng)日志管理

第十一條

對于系統(tǒng)重要數(shù)據(jù)和服務(wù)器配值參數(shù)的修改，必須征得XX領(lǐng)導(dǎo)批準(zhǔn)，并做好相應(yīng)記錄。

第十二條

對各項操作均應(yīng)進(jìn)行日志管理，記錄應(yīng)包括操作人員、操作時間和操作內(nèi)容等詳細(xì)信息。

第十三條

審計日志應(yīng)包括但不局限于以下內(nèi)容：包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全事件。

第十四條

安全審計員應(yīng)每日對審計日志進(jìn)行審查，對異常事件及時跟進(jìn)解決，并定期形成日志分析報告。

第十五條

系統(tǒng)審計日志應(yīng)定期做好備份工作。

第四章

個人操作管理

第十六條 單位工作人員申請賬戶權(quán)限需填寫《系統(tǒng)權(quán)限申請表》，經(jīng)系統(tǒng)管理員批準(zhǔn)后方可開通。賬號申請表上應(yīng)詳細(xì)記錄賬號信息。

第十七條 人員離職或調(diào)職時需交回相關(guān)系統(tǒng)賬號及密碼，經(jīng)系統(tǒng)管理員刪除或變更賬號后方能離職或調(diào)職。

第十八條 單位工作人員嚴(yán)禁私自在辦公計算機上安裝軟件，以免造成病毒感染。嚴(yán)禁私自更改計算機的設(shè)置及安全策略。

第十九條 嚴(yán)格管理口令，包括口令的選擇、保管和更換，采取關(guān)閉guest和匿名用戶、增強管理員口令選擇要求等措施。第二十條 計算機設(shè)備應(yīng)設(shè)屏幕密碼保護(hù)的用戶界面，保證數(shù)據(jù)的機密性的安全。

第五章

懲處

第二十一條

違反本管理制度，將提請單位行政部視情節(jié)給予相應(yīng)的批評教育、通報批評、行政處分或處以警告、以及追究其他責(zé)任。觸犯國家法律、行政法規(guī)的，依照有關(guān)法律、行政法規(guī)的規(guī)定予以處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第四篇：計算機信息系統(tǒng)安全管理制度

計算機信息系統(tǒng)安全管理制度

總 則

第一條 為加強公司網(wǎng)絡(luò)管理，明確崗位職責(zé)，規(guī)范操作流程，維護(hù)網(wǎng)絡(luò)正常運行，確保計算機信息系統(tǒng)的安全，現(xiàn)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》等有關(guān)規(guī)定，結(jié)合本公司實際，特制訂本制度。

第二條 計算機信息系統(tǒng)是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

第三條信息中心的職責(zé)為專門負(fù)責(zé)本公司范圍內(nèi)的計算機信息系統(tǒng)安全管理工作。

第一章 網(wǎng)絡(luò)管理

第四條 遵守公司的規(guī)章制度，嚴(yán)格執(zhí)行安全保密制度，不得利用網(wǎng)絡(luò)從事危害公司安全、泄露公司秘密等活動，不得制作、瀏覽、復(fù)制、傳播反動及淫穢信息，不得在網(wǎng)絡(luò)上發(fā)布公司相關(guān)的非法和虛假消息，不得在網(wǎng)上泄露公司的任何隱私。嚴(yán)禁通過網(wǎng)絡(luò)進(jìn)行任何黑客活動和性質(zhì)類似的破壞活動，嚴(yán)格控制和防范計算機病毒的侵入。

第五條 各工作計算機未進(jìn)行安全配置、未裝防火墻或殺毒軟件的，不得入網(wǎng)。各計算機終端用戶應(yīng)定期對計算機系統(tǒng)、殺毒軟件等進(jìn)行升級和更新，并定期進(jìn)行病毒清查，不要下載和使用未經(jīng)測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質(zhì)。

第六條 禁止未授權(quán)用戶接入公司計算機網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)中的資源，禁止未授權(quán)用戶使用BT、電驢等占用大量帶寬的下載工具。

第七條 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)。

第八條 公司員工禁止利用掃描、監(jiān)聽、偽裝等工具對網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊，禁止非法侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，禁止利用計算機和網(wǎng)絡(luò)干擾他人正常工作的行為。

第九條 計算機各終端用戶應(yīng)保管好自己的用戶帳號和密碼。嚴(yán)禁隨意向他人泄露、借用自己的帳號和密碼；嚴(yán)禁不以真實身份登錄系統(tǒng)。計算機使用者更應(yīng)定期更改密碼、使用復(fù)雜密碼。

第十條 IP地址為計算機網(wǎng)絡(luò)的重要資源，計算機各終端用戶應(yīng)在信息中心的規(guī)劃下使用這些資源，不得擅自更改。另外，某些系統(tǒng)服務(wù)對網(wǎng)絡(luò)產(chǎn)生影響，計算機各終端用戶應(yīng)在信息中心的指導(dǎo)下使用，禁止隨意開啟計算機中的系統(tǒng)服務(wù)，保證計算機網(wǎng)絡(luò)暢通運行。

第二章 設(shè)備管理

第十一條 公司員工因工作需要，確需購買IT設(shè)備或配件的，可向信息中心提出申請，若有符合需求的可調(diào)配設(shè)備；若無可調(diào)配或有但不符合工作需要的設(shè)備，由申請人填寫《信息設(shè)備申請表》。若因工作需要對設(shè)備配置有特殊要求的，需在申請表中說明。

第十二條 凡登記在案的IT設(shè)備，由信息中心統(tǒng)一管理并張貼IT設(shè)備卡。IT設(shè)備卡作為相應(yīng)設(shè)備的標(biāo)識，各終端用戶有義務(wù)保證貼牌的整潔與完整，不得遮蓋、撕毀、涂畫等。

第十三條 IT設(shè)備安全管理實行“誰使用誰負(fù)責(zé)”的原則（公用設(shè)備責(zé)任落實到部門）。凡子公司或合作單位自行購買的設(shè)備，原則上由分公司或合作單位自行負(fù)責(zé)，但若有需要，信息中心可協(xié)助處理。

第十四條 嚴(yán)禁使用假冒偽劣產(chǎn)品；嚴(yán)禁擅自外接電源開關(guān)和插座；嚴(yán)禁擅自移動和裝拆各類設(shè)備及其他輔助設(shè)備；嚴(yán)禁擅自請人維修；嚴(yán)禁擅自調(diào)整部門內(nèi)部計算機信息系統(tǒng)的安排。

第十五條 設(shè)備硬件或重裝操作系統(tǒng)等問題由信息中心進(jìn)行處理。第十六條 原購IT設(shè)備原則上在規(guī)定使用年限內(nèi)不再重復(fù)購買，達(dá)到規(guī)定使用年限后，由信息中心會同相關(guān)部門對其審核后處理。在規(guī)定使用年限期間，計算機終端用戶因工作需要發(fā)生調(diào)動或離職，需要繼續(xù)使用該計算機的應(yīng)在信息中心作變更備案；不繼續(xù)使用該計算機的，部門領(lǐng)導(dǎo)需監(jiān)督責(zé)任人將計算機及相關(guān)設(shè)備及時退回信息中心，由信息中心再行支配。

第十七條 設(shè)備出現(xiàn)故障無法維修或維修成本過高，且符合報廢條件的，由IT設(shè)備終端用戶提出申請，并填寫《IT設(shè)備報廢申請表》，由相應(yīng)部門經(jīng)理簽字后報信息中心。經(jīng)信息中心對設(shè)備使用年限、維修情況等進(jìn)行鑒定，將報廢設(shè)備交有關(guān)部門處理，如報廢設(shè)備能出售，將收回的資金交公司財務(wù)入賬。同時，由信息中心對報廢設(shè)備登記備案、存檔。

第三章 數(shù)據(jù)管理

第十八條 計算機終端用戶計算機內(nèi)的資料涉及公司秘密的，應(yīng)該為計算機設(shè)定開機密碼或?qū)⑽募用?；凡涉及公司機密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存。

第十九條 工作范圍內(nèi)的重要數(shù)據(jù)（重要程度由各部門經(jīng)理核定）由計算機終端用戶定期更新、備份，并提交給所在部門部長，由部門部長負(fù)責(zé)保存。各部門經(jīng)理在一個季度開始后10天之內(nèi)將本部門上一季度的工作數(shù)據(jù)交行政人事部匯集后統(tǒng)一采用磁性介質(zhì)或光盤保存。

第二十條 計算機終端用戶務(wù)必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障，應(yīng)及時與信息中心聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施。

第二十一條 對重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份，存放在不同的地點；對采用磁性介質(zhì)或光盤保存的數(shù)據(jù)，要定期進(jìn)行檢查，定期進(jìn)行復(fù)制，防止由于磁性介質(zhì)損壞，而使數(shù)據(jù)丟失；做好防磁、防火、防潮和防塵工作。

第四章 操作管理

第二十二條 凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負(fù)責(zé)。嚴(yán)禁利用計算機干與工作無關(guān)的事情；嚴(yán)禁除維修人員以外的外部人員操作各類設(shè)備；嚴(yán)禁非信息中心人員隨意更改設(shè)備配置。

第二十三條 信息中心將有針對性地對員工的計算機應(yīng)用技能進(jìn)行定期或不定期的培訓(xùn)，培訓(xùn)成績將記入員工績效考核；由信息中心收集計算機信息系統(tǒng)常見故障及排除方法并整理成冊，供公司員工學(xué)習(xí)參考。

第二十四條 計算機終端用戶在工作中遇到計算機信息系統(tǒng)問題，首先要學(xué)會自行處理或參照手冊處理；若遇到手冊中沒有此問題，或培訓(xùn)未曾講過的問題，再與信息中心或軟件開發(fā)單位、硬件供應(yīng)商聯(lián)系，盡快解決問題。

第五章 網(wǎng)站管理

第二十五條 公司網(wǎng)站由信息中心提供技術(shù)支持和后臺管理，由公司相關(guān)部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設(shè)資料。

（一）網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論時的緊急處置措施

1、網(wǎng)站、網(wǎng)頁由信息中心人員隨時密切監(jiān)視信息內(nèi)容。

2、發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時，負(fù)責(zé)人員應(yīng)立即向部門領(lǐng)導(dǎo)通報情況，情況緊急的應(yīng)先采取刪除等處理措施，再按流程辦理。

3、網(wǎng)站負(fù)責(zé)人員在接到通知后立即清理非法信息，強化安全防范措施，并將網(wǎng)站網(wǎng)頁重新投入使用。

4、網(wǎng)站負(fù)責(zé)人員應(yīng)妥善保存有關(guān)記錄及日志或檢查記錄。

（二）黑客攻擊時的緊急處置措施

1、當(dāng)有網(wǎng)頁內(nèi)容被篡改，或通過公司網(wǎng)絡(luò)防火墻發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時, 首先應(yīng)將被攻擊的服務(wù)器等設(shè)備斷開網(wǎng)絡(luò)，同時向上級領(lǐng)導(dǎo)匯報情況。

2、網(wǎng)站負(fù)責(zé)人員立即進(jìn)行將被破壞系統(tǒng)進(jìn)行恢復(fù)和重建。

（三）病毒安全緊急處置措施

1、當(dāng)發(fā)現(xiàn)計算機感染病毒后，應(yīng)立即將該機從網(wǎng)絡(luò)上隔離出來。

2、對存放數(shù)據(jù)的計算機的硬盤進(jìn)行數(shù)據(jù)備份。

3、啟用反病毒軟件對該機進(jìn)行殺毒，同時用殺毒軟件對其他聯(lián)網(wǎng)機器進(jìn)行病毒掃描和清除。

4、如發(fā)現(xiàn)殺毒軟件無法清除該病毒，應(yīng)立即向上級領(lǐng)導(dǎo)報告。

5、經(jīng)網(wǎng)站負(fù)責(zé)人員確認(rèn)確實無法查殺該病毒后，應(yīng)作好相關(guān)記錄，同時立即聯(lián)系相關(guān)技術(shù)人員迅速研究并解決問題。

6、如果感染病毒的設(shè)備是服務(wù)器或者主機系統(tǒng)，經(jīng)上級領(lǐng)導(dǎo)同意，應(yīng)立即切斷服務(wù)器并告知客戶端人員進(jìn)行客戶端機器的殺毒工作。

（四）軟件系統(tǒng)遭受破壞性攻擊的緊急處置措施

1、OA等重要的軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于不同的機器上。

2、如發(fā)現(xiàn)軟件遭到破壞或運行不正常，應(yīng)立即向信息中心人員報告。

3、信息中心人員立即進(jìn)行軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)。

（五）數(shù)據(jù)庫安全緊急處置措施

1、各數(shù)據(jù)庫系統(tǒng)要至少準(zhǔn)備兩個以上數(shù)據(jù)庫備份。

2、一旦數(shù)據(jù)庫崩潰，應(yīng)立即上級領(lǐng)導(dǎo)報告，同時通知各部門使用人員暫緩上傳上報數(shù)據(jù)。

3、信息中心人員應(yīng)對主機系統(tǒng)進(jìn)行維護(hù)，如遇無法解決的問題，立即向上級領(lǐng)導(dǎo)匯報并及時通知專業(yè)技術(shù)人員進(jìn)行處理。

4、系統(tǒng)修復(fù)完畢后，按照要求恢復(fù)數(shù)據(jù)。

5、如果備份數(shù)據(jù)也出現(xiàn)問題，及時匯報領(lǐng)導(dǎo)并且聯(lián)系軟件開發(fā)商解決。

（六）設(shè)備安全緊急處置措施

1、計算機、服務(wù)器等關(guān)鍵設(shè)備損壞后，應(yīng)立即通知信息中心人員。

2、信息中心人員應(yīng)立即查明原因。

3、如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。

4、如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派專業(yè)維修人員進(jìn)行維修。

5、如果設(shè)備一時不能修復(fù)，應(yīng)向上級領(lǐng)導(dǎo)匯報。

（七）關(guān)鍵人員不在崗的緊急處置措施

1、對于關(guān)鍵崗位平時應(yīng)做好人員儲備，確保一項工作有兩人能操作。

2、一旦發(fā)生關(guān)鍵人員不在崗的情況，首先應(yīng)向上級領(lǐng)導(dǎo)匯報。

3、經(jīng)上級領(lǐng)導(dǎo)批準(zhǔn)后由信息中心其他人員進(jìn)行操作。

第六章 處罰措施

第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關(guān)的文件,經(jīng)查實后，根據(jù)文件大小第一次按10元/100M（四舍五入到百兆）進(jìn)行罰款，以后每次按倍數(shù)原則（第二次20元/100M，第三40元/100M，第四次80元/100M，以此類推）處罰。凡某一使用責(zé)任人此種情況出現(xiàn)三次以上（包括三次），將給予行政處罰。

第二十七條 有以下情況之一者，視情節(jié)嚴(yán)重程度處以50元以上500元以下罰款。

（一）制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的；

（二）非法復(fù)制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的；

（三）對網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊，侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，利用計算機和網(wǎng)絡(luò)干擾他人正常工作；

（四）訪問未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置；

（五）申請人在設(shè)備領(lǐng)用或報廢一周之內(nèi)未將第二章所涉及到的表單交會信息中心；

（六）擅自與他人更換使用計算機或相關(guān)設(shè)備；

（七）擅自調(diào)整部門內(nèi)部計算機的安排且未向信息中心備案；

（八）日常抽查、崗位調(diào)動、離職時檢查到計算機配置與該計算機檔案不符、IT設(shè)備卡被撕毀、涂畫或遮蓋等。

（九）工作時間外使用公司計算機做與工作無關(guān)的事務(wù)；

（十）相同故障多次出現(xiàn)且經(jīng)判斷故障原因為個人原因所導(dǎo)致的；

（十一）因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關(guān)閉；

第二十八條 計算機終端用戶因主觀操作不當(dāng)對設(shè)備造成破壞兩次以上或蓄意對設(shè)備造成破壞的，視情節(jié)嚴(yán)重，按所破壞設(shè)備市場價值的20%~80%賠償，并給予行政處罰。

第七章 附 則

第二十九條 本制度下列用語的含義：

設(shè)備：指為完成工作而購買的筆記本電腦、臺式電腦、打印機、復(fù)印機、傳真機、掃描儀等IT設(shè)備。

有害數(shù)據(jù):指與計算機信息系統(tǒng)相關(guān)的，含有危害計算機信息系統(tǒng)安全運行的程序，或者對國家和社會公共安全構(gòu)成危害或潛在威脅的數(shù)據(jù)。

合法用戶：經(jīng)信息中心授權(quán)使用本公司網(wǎng)絡(luò)資源的本公司員工，其余均為非法用戶。

第三十條 計算機終端用戶應(yīng)積極配合信息中心共同做好計算機信息系統(tǒng)安全管理工作。

第三十一條 本制度適用于全公司范圍，由總裁辦信息中心負(fù)責(zé)解釋、修訂。

第三十二條 本制度自發(fā)布之日起實施，凡原制度與本制度不相符的，照本制度執(zhí)行。

第五篇：信息系統(tǒng)安全審計管理制度

信息系統(tǒng)安全審計管理制度

第一章 工作職責(zé)安排

第一條 安全審計員的職責(zé)是： 1.制定信息安全審計的范圍和日程； 2.管理具體的審計過程；

3.分析審計結(jié)果并提出對信息安全管理體系的改進(jìn)意見；

4.召開審計啟動會議和審計總結(jié)會議； 5.向主管領(lǐng)導(dǎo)匯報審計的結(jié)果及建議； 6.為相關(guān)人員提供審計培訓(xùn)。

第二條 評審員由審計負(fù)責(zé)人指派，協(xié)助主評審員進(jìn)行評審，其職責(zé)是：

1.準(zhǔn)備審計清單； 2.實施審計過程； 3.完成審計報告；

4.提交糾正和預(yù)防措施建議； 5.審查糾正和預(yù)防措施的執(zhí)行情況。第三條 受審員來自相關(guān)部門，其職責(zé)是： 1.配合評審員的審計工作； 2.落實糾正和預(yù)防措施； 3.提交糾正和預(yù)防措施的實施報告。

第二章 審計計劃的制訂

第四條 審計計劃應(yīng)包括以下內(nèi)容： 1.審計的目的； 2.審計的范圍； 3.審計的準(zhǔn)則； 4.審計的時間；

5.主要參與人員及分工情況。第五條 制定審計計劃應(yīng)考慮以下因素： 1.每年應(yīng)進(jìn)行至少一次涵蓋所有部門的審計； 2.當(dāng)進(jìn)行重大變更后（如架構(gòu)、業(yè)務(wù)方向等），需要進(jìn)行一次涵蓋所有部門的審計。

第三章 安全審計實施

第六條 審計的準(zhǔn)備：

1.評審員需事先了解審計范圍相關(guān)的安全策略、標(biāo)準(zhǔn)和程序；

2.準(zhǔn)備審計清單，其內(nèi)容主要包括： 1)需要訪問的人員和調(diào)查的問題； 2)需要查看的文檔和記錄（包括日志）； 3)需要現(xiàn)場查看的安全控制措施。

第七條 在進(jìn)行實際審計前，召開啟動會議，其內(nèi)容主要包括：

1.評審員與受審員一起確認(rèn)審計計劃和所采用的審計方式，如在審計的內(nèi)容上有異議，受審員應(yīng)提出聲明（例如：限制可訪問的人員、可調(diào)查的系統(tǒng)等）； 2.向受審員說明審計通過抽查的方式來進(jìn)行。第八條 審計方式包括面談、現(xiàn)場檢查、文檔的審查、記錄（包括日志）的審查。

第九條 評審員應(yīng)詳細(xì)記錄審計過程的所有相關(guān)信息。在審計記錄中應(yīng)包含下列信息：

1.審計的時間；

2.被審計的部門和人員； 3.審計的主題 ； 4.觀察到的違規(guī)現(xiàn)象；

5.相關(guān)的文檔和記錄，比如操作手冊、備份記錄、操作員日志、軟件許可證、培訓(xùn)記錄等； 6.審計參考的文檔，比如策略、標(biāo)準(zhǔn)和程序等； 7.參考所涉及的標(biāo)準(zhǔn)條款； 8.審計結(jié)果的初步總結(jié)。

第十條 如懷疑與相關(guān)安全標(biāo)準(zhǔn)有不符合項的情況，審計員應(yīng)記錄所觀察到的詳細(xì)信息(如在何處、何時，所涉及的人員、事項，和具體的情況等)并描述其為什么不符合。關(guān)于不符合的情況應(yīng)與受審員達(dá)成共識。

第十一條 在每項審計結(jié)束時應(yīng)準(zhǔn)備審計報告，審計報告應(yīng)包括：

1.審計的范圍；

2.審計所覆蓋的安全領(lǐng)域； 3.審計結(jié)果的總結(jié)；

4.不符合項，不符合項的具體描述和相關(guān)證據(jù)； 5.糾正和預(yù)防措施的建議。

第十二條 不符合項是指與等級保護(hù)基本要求不一致的情況。產(chǎn)生不符合項可能是由于與相關(guān)的規(guī)定不一致，包括：

1.等級保護(hù)基本要求； 2.信息安全策略； 3.相關(guān)標(biāo)準(zhǔn)和程序； 4.相關(guān)法律條款； 5.本單位的相關(guān)規(guī)定；

6.任何其它在客戶合同中規(guī)定的要求。

第十三條 不符合項可以細(xì)分為“主要”或“次要”。如果所發(fā)現(xiàn)的不符合項屬于下列任何一種情況，此不符合項應(yīng)被分類為 “主要”的：

1.會導(dǎo)致系統(tǒng)、程序或控制措施整體失效； 2.操作過程沒有形成標(biāo)準(zhǔn)的文檔；

3.累計多個同一類型的“次要”不符合項； 4.對信息安全管理體系的未授權(quán)變更。

如果所發(fā)現(xiàn)的不符合項屬于個別事件，此不符合項將被分類為 “次要”的，例如：

1.未標(biāo)識信息安全分類的文檔； 2.沒有被管理層審閱的事故報告； 3.不完整的變更記錄； 4.不完整的機房進(jìn)出記錄。

第十四條 造成不符合項的原因可以分為以下幾種： 1.其文檔化的標(biāo)準(zhǔn)和程序與信息安全策略不一致； 2.實際的操作與文檔化的標(biāo)準(zhǔn)和程序要求不一致； 3.實際的操作沒有達(dá)到預(yù)期效果。

第四章 安全審計匯報

第十五條 召開審計總結(jié)會議。應(yīng)總結(jié)匯報以下內(nèi)容： 1.審計的目標(biāo)和范圍； 2.審計的時間； 3.參與審計的人員；

4.審計報告（包括糾正和預(yù)防措施的建議）； 5.提交審計報告的副本供受審員參考。第十六條 在總結(jié)會議上，受審員應(yīng)闡述任何疑問。

第五章 糾正和預(yù)防措施

第十七條 糾正和預(yù)防措施應(yīng)該包括問題描述、根本原因、應(yīng)急措施（可選）、糾正措施以及預(yù)防措施。

第十八條 受審員必須制定糾正和預(yù)防措施的實施計劃。

第十九條 受審員應(yīng)在規(guī)定時間內(nèi)向評審員提交糾正和預(yù)防措施的實施報告。

第六章 審計糾正和預(yù)防措施的實施狀況

第二十條 評審員應(yīng)在受審員提交報告的3個月內(nèi)，審計糾正和預(yù)防措施的實施狀況。

第二十一條 審計糾正和預(yù)防措施應(yīng)包括：面談、現(xiàn)場檢查、文檔的審查以及記錄（包括日志）的審查。

第二十二條 評審員根據(jù)受審員提交的糾正和預(yù)防措施實施報告，收集、記錄和審查相關(guān)證據(jù)。

第七章 審計結(jié)果的審閱

第二十三條 安全審計員應(yīng)審閱和分析所有審計結(jié)果。第二十四條 受審員的領(lǐng)導(dǎo)在審閱審計結(jié)果時，應(yīng)分析的事件包括審計計劃、此次審計結(jié)果和上次審計結(jié)果的比較、糾正和預(yù)防措施。

第八章 附 則

第二十五條 本制度由某某單位負(fù)責(zé)解釋。第二十六條 本制度自發(fā)布之日起生效執(zhí)行。