第一篇：4.1.6 網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號: A/0 編制人： XXX 審核人： XXX 批準人： XXX

20XX年X月X日發(fā)布 20XX年X月X日實施

1.0目的

計算機網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計算機信息及網(wǎng)絡(luò)能夠安全可靠的運行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運營提供服務(wù)，依據(jù)國家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實際情況制定本規(guī)定。2.0術(shù)語

本規(guī)范中的名詞術(shù)語（比如“計算機信息安全”等）符合國家以及行業(yè)的相關(guān)規(guī)定。2.1計算機信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、病毒防護、訪問權(quán)限控制、加密與鑒別等七個方面。

2.2狹義上的計算機信息安全，是指防止有害信息在計算機網(wǎng)絡(luò)上的傳播和擴散，防止計算機網(wǎng)絡(luò)上處理、傳輸、存儲的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計算機網(wǎng)絡(luò)制作、傳播有害信息和進行其他違法犯罪活動。

2.3網(wǎng)絡(luò)安全，是指保護計算機網(wǎng)絡(luò)的正常運行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對網(wǎng)絡(luò)資源的正常訪問和對網(wǎng)絡(luò)服務(wù)的正常使用。

2.4計算機及網(wǎng)絡(luò)安全員，是指從事的保障計算機信息及網(wǎng)絡(luò)安全工作的人員。2.5普通用戶，是指除了計算機及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問到互聯(lián)網(wǎng)、企業(yè)計算機網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

2.6主機系統(tǒng)，指包含服務(wù)器、工作站、個人計算機在內(nèi)的所有計算機系統(tǒng)。本規(guī)定所稱的重要主機系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運營管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機系統(tǒng)等。

2.7網(wǎng)絡(luò)服務(wù)，包含通過開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

2.8有害信息，參見國家現(xiàn)在法律法規(guī)的定義。

2.9重大計算機信息安全事件，是指公司對外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過Email及其他途徑大面積傳播或已造成較大社會影響；計算機病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊??；由安全問題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁面被非法替換或者修改；主機房及設(shè)備被人為破壞；重要計算機設(shè)備被盜竊等事件。3.0組織架構(gòu)及職責(zé)分工

3.1公司設(shè)立計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計算機信息安全工作的領(lǐng)導(dǎo)機

構(gòu)，統(tǒng)一歸口負責(zé)外部部門（政府和其他部門）有關(guān)計算機信息安全工作和特定事件的處理。

3.3計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強計算機信息安全工作的管理和指導(dǎo)，落實國家有關(guān)計算機信息安全的法律、法規(guī)和上級有關(guān)規(guī)定，保障公司的計算機信息的安全。

3.4計算機信息及網(wǎng)絡(luò)安全工作實行“誰主管，誰負責(zé)”的原則，各部門負責(zé)人對本部門計算機信息及網(wǎng)絡(luò)安全負直接責(zé)任。

3.5各部門必須配備由計算機技術(shù)人員擔(dān)任本部門的計算機及網(wǎng)絡(luò)安全員，并報公司計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計算機及網(wǎng)絡(luò)安全員負責(zé)本部門計算機信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實施和落實。3.6相關(guān)崗位信息安全職責(zé)： 3.6.1計算機及網(wǎng)絡(luò)安全員：

1）負責(zé)本部門計算機信息及網(wǎng)絡(luò)安全工作的具體實施，及時掌握和處理有關(guān)信息安全問題。

2）定期或不定期檢測本部門計算機信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時報告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計算機信息安全防護、數(shù)據(jù)保護及賬號、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計算機信息安全問題，及時處理，保護現(xiàn)場，追查原因，并報部門計算機信息安全領(lǐng)導(dǎo)小組。

5）定期分析計算機安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗證本部門重要數(shù)據(jù)保護對象的安全控制方法和措施的有效性，對于不符合安全控制要求的提出技術(shù)整改措施，對本部門的數(shù)據(jù)備份策略進行驗證并實施。

7）負責(zé)所管理的計算機主機系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。8）負責(zé)所管理計算機主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進程，在發(fā)現(xiàn)異常的系統(tǒng)進程或者系統(tǒng)進程數(shù)量的異常變化要及時進行處理。

10）負責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號口令和安全日志。

11）進行計算機信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補。

12）在正常的系統(tǒng)升級后，對系統(tǒng)重新進行安全設(shè)置，并對系統(tǒng)進行技術(shù)安全檢查。

13）根據(jù)上級和本級計算機信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進行系統(tǒng)升級或安全補丁程序的安裝。

14）管理本部門的計算機網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進行登記備案和實施技術(shù)安全管理。15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。3.6.2普通用戶職責(zé)：

1）自覺遵守計算機信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。2）負責(zé)所使用個人計算機設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號的安全。

3）發(fā)現(xiàn)本部門計算機網(wǎng)存在的安全隱患及安全事件，及時報告部門計算機管理部門。4）不得擅自安裝、維護公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

3.7各部門應(yīng)保持計算機及網(wǎng)絡(luò)安全員的相對穩(wěn)定，并加強對計算機及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計算機及網(wǎng)絡(luò)安全員調(diào)動、離職或者其他原因離開原崗位時，應(yīng)將其涉及的用戶賬號和權(quán)限及時進行變更或注銷。4.0 系統(tǒng)安全規(guī)定

4.1公司計算機機房由計算機管理部門負責(zé)管理，并建立出入登記和審批制度。攜帶計算機設(shè)備及磁盤等存儲介質(zhì)進、出主機房，應(yīng)經(jīng)主管部門同意，并由機房管理人員進行核查登記。

4.2各部門計算機管理部門應(yīng)指定專人負責(zé)本部門計算機設(shè)備的管理，做好計算機設(shè)備的增添、維修、調(diào)撥等的審核與管理。計算機設(shè)備維修特別是需離場維修或承包給企業(yè)外部人員維護、維修時，應(yīng)核實該設(shè)備中是否存儲有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。4.3使用、操作計算機設(shè)備時，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負責(zé)保管計算機設(shè)備的賬號、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號。

2）不安裝和使用來歷不明、沒有版權(quán)的軟件，對于外來的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測，確認無感染、攜帶病毒后方可使用。

3）不在個人使用的計算機上安裝與工作無關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓撲結(jié)構(gòu)及軟、硬件配置。5）在存儲有重要數(shù)據(jù)的計算機上，應(yīng)設(shè)置開機密碼、屏幕保護密碼。

6）在個人計算機上安裝防病毒軟件，并開啟實時病毒監(jiān)測功能，及時升級病毒庫和軟件。

7）非經(jīng)計算機管理部門的有效許可，不得對網(wǎng)絡(luò)進行安全（漏洞）掃描和對賬號、口令及數(shù)據(jù)包進行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機系統(tǒng)進行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。5.0 賬號管理安全

5.1賬號的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個賬號對應(yīng)一個用戶，不允許多人共同擁有同一賬號。必要性原則是指賬號的建立和分配應(yīng)根據(jù)工作的必要性進行分配，不能根據(jù)個人需要、職位進行分配，禁止與所管理主機系統(tǒng)無關(guān)的人員在系統(tǒng)上擁有用戶賬號，要根據(jù)工作變動及時關(guān)閉不需要的系統(tǒng)賬號。

最小授權(quán)原則是指對賬號的權(quán)限應(yīng)進行嚴格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

5.2系統(tǒng)中所有的用戶（包括超級權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。5.3嚴禁用戶將自己所擁有的用戶賬號轉(zhuǎn)借他人使用。

5.4員工發(fā)生工作變動，必須重新審核其賬號的必要性和權(quán)限，及時取消非必要的賬號和調(diào)整賬號權(quán)限；如員工離開本部門，須立即取消其賬號。

5.5在本部門每個應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗收后，應(yīng)立即刪除系統(tǒng)中所有的測試賬號和臨時賬號，對需要保留的賬號口令重新進行設(shè)置。

5.6系統(tǒng)管理員必須定期對系統(tǒng)上的賬號及使用情況進行審核，發(fā)現(xiàn)可疑用戶賬號時及時核實并作相應(yīng)的處理，對長期不用的用戶賬號進行鎖定。

5.7 一般情況下不允許外部人員直接進入主機系統(tǒng)進行操作。在特殊情況下（如系統(tǒng)維修、升級等）外部人員需要進入系統(tǒng)操作，必須由系統(tǒng)管理員進行登錄，并對操作過程進行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。6.0 口令安全管理

6.1口令的選取、組成、長度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符串作為口令，也不要使用單個單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標點等不同的字符組合，口令長度要求在8位以上。6.2重要的主機系統(tǒng)，要求至少每個月修改口令，對于管理用的工作站和個人計算機，要求至少每兩個月修改口令。

6.3重要的主機系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認證技術(shù)。6.4本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。6.5軟件安全管理：

6.1不安裝和使用來歷不明、沒有版權(quán)的軟件。6.2不得在重要的主機系統(tǒng)上安裝測試版的軟件。

6.3開發(fā)、修改應(yīng)用系統(tǒng)時，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問控制等方面進行論證，測試、驗收時也必須進行相應(yīng)的安全性能測試、驗收。

6.4操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時進行必須的安全設(shè)置、升級和打安全補丁。

6.5個人計算機上不得安裝與工作無關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。

6.6系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對可能的攻擊嘗試、非授權(quán)訪問提出警告。6.7主機系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進行登記。登記記錄上應(yīng)該標明廠家、操作系統(tǒng)版本、已安裝的補丁程序號、安裝和升級的時間等內(nèi)容，并進行存檔保存。6.8重要的主機系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級時應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問題時利用系統(tǒng)鏡像對系統(tǒng)進行完整性檢查。

7.0服務(wù)器、網(wǎng)絡(luò)設(shè)備、計算機安全系統(tǒng)（如防火墻、入侵檢測系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時采取安全措施進行保護，對網(wǎng)絡(luò)攻擊或者攻擊嘗試進行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報告。系統(tǒng)日志必須保存三個月以上。8.0新建計算機網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時進行網(wǎng)絡(luò)信息安全的設(shè)計。9.0 互聯(lián)網(wǎng)信息安全

9.1公司對外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

9.2各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過濾垃圾電子郵件及有害信息。10.0數(shù)據(jù)安全

10.1需要保護的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。2）財會系統(tǒng)數(shù)據(jù)庫。3）重要主機系統(tǒng)的系統(tǒng)數(shù)據(jù)。4）其他重要數(shù)據(jù)。

10.2各部門計算機管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計劃，及時做好數(shù)

據(jù)備份及恢復(fù)。

10.3對數(shù)據(jù)備份必須有明確的記錄，在記錄中標明備份內(nèi)容、備份時間，備份操作人員等信息。對于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

10.4各部門必須每年至少進行一次數(shù)據(jù)備份策略的有效性的驗證，對數(shù)據(jù)恢復(fù)過程進行試驗，確保在發(fā)生安全問題時能夠從數(shù)據(jù)備份中進行恢復(fù)。

10.5各部門計算機管理部門應(yīng)對所管理系統(tǒng)上存儲的數(shù)據(jù)進行登記備案，登記的內(nèi)容主要包括：需要保護的數(shù)據(jù)、存儲的位置、存儲的形式、安全控制的方法和措施、負責(zé)安全管理和日常備份的人員、可以訪問數(shù)據(jù)的用戶、訪問的方式以及權(quán)限。

10.6涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時應(yīng)加密。10.7禁止在沒有采用安全保護機制的計算機上存儲重要數(shù)據(jù)，在存儲重要數(shù)據(jù)的計算機至少應(yīng)該有開機口令、登錄口令、數(shù)據(jù)庫口令、屏幕保護等防護措施。禁止在個人計算機上存放重要數(shù)據(jù)。

10.8不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲，并將存儲的軟盤或筆記本電腦比照密級文件管理。11.0安全管理

11.1各部門必須對本部門的計算機信息及網(wǎng)絡(luò)安全進行經(jīng)常性的檢查、檢測：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測一次； 2）計算機病毒防治應(yīng)每月至少全面檢查一次； 3）數(shù)據(jù)備份應(yīng)每月檢查一次。

11.2檢查發(fā)現(xiàn)計算機信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

11.3發(fā)生計算機信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴散影響。觸犯刑律的，應(yīng)保存證據(jù)，報告公安機關(guān)，并配合查處。

11.4發(fā)生重大計算機信息及網(wǎng)絡(luò)安全事件須在24小時內(nèi)上報。

11.5各部門應(yīng)對用戶及本部門員工進行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識，加強用戶的法律意識和安全意識，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

12.0 顧客網(wǎng)絡(luò)信息安全

12.1 維護人員不得將顧客系統(tǒng)的密碼泄露給他人。

12.2 維護人員因工作原因進入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。12.3 進入顧客系統(tǒng)應(yīng)使用專用計算機，該計算機應(yīng)每周進行殺毒，以防將病毒傳入顧客

系統(tǒng)。

12.4 維護人員的客戶端應(yīng)及時升級或更新，確保其與顧客系統(tǒng)的版本保持一致。

第二篇：網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號:

A/0

編制人：

XXX

審核人：

XXX

批準人：

XXX

20XX年X月X日發(fā)布

20XX年X月X日實施

目的計算機網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計算機信息及網(wǎng)絡(luò)能夠安全可靠的運行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運營提供服務(wù)，依據(jù)國家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實際情況制定本規(guī)定。

術(shù)語

本規(guī)范中的名詞術(shù)語（比如“計算機信息安全”等）符合國家以及行業(yè)的相關(guān)規(guī)定。

計算機信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、病毒防護、訪問權(quán)限控制、加密與鑒別等七個方面。

狹義上的計算機信息安全，是指防止有害信息在計算機網(wǎng)絡(luò)上的傳播和擴散，防止計算機網(wǎng)絡(luò)上處理、傳輸、存儲的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計算機網(wǎng)絡(luò)制作、傳播有害信息和進行其他違法犯罪活動。

網(wǎng)絡(luò)安全，是指保護計算機網(wǎng)絡(luò)的正常運行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對網(wǎng)絡(luò)資源的正常訪問和對網(wǎng)絡(luò)服務(wù)的正常使用。

計算機及網(wǎng)絡(luò)安全員，是指從事的保障計算機信息及網(wǎng)絡(luò)安全工作的人員。

普通用戶，是指除了計算機及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問到互聯(lián)網(wǎng)、企業(yè)計算機網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

主機系統(tǒng)，指包含服務(wù)器、工作站、個人計算機在內(nèi)的所有計算機系統(tǒng)。本規(guī)定所稱的重要主機系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運營管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機系統(tǒng)等。

網(wǎng)絡(luò)服務(wù)，包含通過開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

有害信息，參見國家現(xiàn)在法律法規(guī)的定義。

重大計算機信息安全事件，是指公司對外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過Email及其他途徑大面積傳播或已造成較大社會影響；計算機病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊取；由安全問題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁面被非法替換或者修改；主機房及設(shè)備被人為破壞；重要計算機設(shè)備被盜竊等事件。

組織架構(gòu)及職責(zé)分工

公司設(shè)立計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計算機信息安全工作的領(lǐng)導(dǎo)機構(gòu)，統(tǒng)一歸口負責(zé)外部部門（政府和其他部門）有關(guān)計算機信息安全工作和特定事件的處理。

計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強計算機信息安全工作的管理和指導(dǎo)，落實國家有關(guān)計算機信息安全的法律、法規(guī)和上級有關(guān)規(guī)定，保障公司的計算機信息的安全。

計算機信息及網(wǎng)絡(luò)安全工作實行“誰主管，誰負責(zé)”的原則，各部門負責(zé)人對本部門計算機信息及網(wǎng)絡(luò)安全負直接責(zé)任。

各部門必須配備由計算機技術(shù)人員擔(dān)任本部門的計算機及網(wǎng)絡(luò)安全員，并報公司計算機信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計算機及網(wǎng)絡(luò)安全員負責(zé)本部門計算機信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實施和落實。

相關(guān)崗位信息安全職責(zé)：

1）負責(zé)本部門計算機信息及網(wǎng)絡(luò)安全工作的具體實施，及時掌握和處理有關(guān)信息安全問題。

2）定期或不定期檢測本部門計算機信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時報告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計算機信息安全防護、數(shù)據(jù)保護及賬號、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計算機信息安全問題，及時處理，保護現(xiàn)場，追查原因，并報部門計算機信息安全領(lǐng)導(dǎo)小組。

5）定期分析計算機安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗證本部門重要數(shù)據(jù)保護對象的安全控制方法和措施的有效性，對于不符合安全控制要求的提出技術(shù)整改措施，對本部門的數(shù)據(jù)備份策略進行驗證并實施。

7）負責(zé)所管理的計算機主機系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。

8）負責(zé)所管理計算機主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進程，在發(fā)現(xiàn)異常的系統(tǒng)進程或者系統(tǒng)進程數(shù)量的異常變化要及時進行處理。

10）負責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號口令和安全日志。

11）進行計算機信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補。

12）在正常的系統(tǒng)升級后，對系統(tǒng)重新進行安全設(shè)置，并對系統(tǒng)進行技術(shù)安全檢查。

13）根據(jù)上級和本級計算機信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進行系統(tǒng)升級或安全補丁程序的安裝。

14）管理本部門的計算機網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進行登記備案和實施技術(shù)安全管理。

15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。

1）自覺遵守計算機信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。

2）負責(zé)所使用個人計算機設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號的安全。

3）發(fā)現(xiàn)本部門計算機網(wǎng)存在的安全隱患及安全事件，及時報告部門計算機管理部門。

4）不得擅自安裝、維護公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

各部門應(yīng)保持計算機及網(wǎng)絡(luò)安全員的相對穩(wěn)定，并加強對計算機及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計算機及網(wǎng)絡(luò)安全員調(diào)動、離職或者其他原因離開原崗位時，應(yīng)將其涉及的用戶賬號和權(quán)限及時進行變更或注銷。

系統(tǒng)安全規(guī)定

公司計算機機房由計算機管理部門負責(zé)管理，并建立出入登記和審批制度。攜帶計算機設(shè)備及磁盤等存儲介質(zhì)進、出主機房，應(yīng)經(jīng)主管部門同意，并由機房管理人員進行核查登記。

各部門計算機管理部門應(yīng)指定專人負責(zé)本部門計算機設(shè)備的管理，做好計算機設(shè)備的增添、維修、調(diào)撥等的審核與管理。計算機設(shè)備維修特別是需離場維修或承包給企業(yè)外部人員維護、維修時，應(yīng)核實該設(shè)備中是否存儲有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。

使用、操作計算機設(shè)備時，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負責(zé)保管計算機設(shè)備的賬號、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號。

2）不安裝和使用來歷不明、沒有版權(quán)的軟件，對于外來的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測，確認無感染、攜帶病毒后方可使用。

3）不在個人使用的計算機上安裝與工作無關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓撲結(jié)構(gòu)及軟、硬件配置。

5）在存儲有重要數(shù)據(jù)的計算機上，應(yīng)設(shè)置開機密碼、屏幕保護密碼。

6）在個人計算機上安裝防病毒軟件，并開啟實時病毒監(jiān)測功能，及時升級病毒庫和軟件。

7）非經(jīng)計算機管理部門的有效許可，不得對網(wǎng)絡(luò)進行安全（漏洞）掃描和對賬號、口令及數(shù)據(jù)包進行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機系統(tǒng)進行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。

賬號管理安全

賬號的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個賬號對應(yīng)一個用戶，不允許多人共同擁有同一賬號。

必要性原則是指賬號的建立和分配應(yīng)根據(jù)工作的必要性進行分配，不能根據(jù)個人需要、職位進行分配，禁止與所管理主機系統(tǒng)無關(guān)的人員在系統(tǒng)上擁有用戶賬號，要根據(jù)工作變動及時關(guān)閉不需要的系統(tǒng)賬號。

最小授權(quán)原則是指對賬號的權(quán)限應(yīng)進行嚴格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

系統(tǒng)中所有的用戶（包括超級權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。

嚴禁用戶將自己所擁有的用戶賬號轉(zhuǎn)借他人使用。

員工發(fā)生工作變動，必須重新審核其賬號的必要性和權(quán)限，及時取消非必要的賬號和調(diào)整賬號權(quán)限；如員工離開本部門，須立即取消其賬號。

在本部門每個應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗收后，應(yīng)立即刪除系統(tǒng)中所有的測試賬號和臨時賬號，對需要保留的賬號口令重新進行設(shè)置。

系統(tǒng)管理員必須定期對系統(tǒng)上的賬號及使用情況進行審核，發(fā)現(xiàn)可疑用戶賬號時及時核實并作相應(yīng)的處理，對長期不用的用戶賬號進行鎖定。

一般情況下不允許外部人員直接進入主機系統(tǒng)進行操作。在特殊情況下（如系統(tǒng)維修、升級等）外部人員需要進入系統(tǒng)操作，必須由系統(tǒng)管理員進行登錄，并對操作過程進行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。

口令安全管理

口令的選取、組成、長度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符串作為口令，也不要使用單個單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標點等不同的字符組合，口令長度要求在8位以上。

重要的主機系統(tǒng)，要求至少每個月修改口令，對于管理用的工作站和個人計算機，要求至少每兩個月修改口令。

重要的主機系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認證技術(shù)。

本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。

軟件安全管理：

不安裝和使用來歷不明、沒有版權(quán)的軟件。

不得在重要的主機系統(tǒng)上安裝測試版的軟件。

開發(fā)、修改應(yīng)用系統(tǒng)時，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問控制等方面進行論證，測試、驗收時也必須進行相應(yīng)的安全性能測試、驗收。

操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時進行必須的安全設(shè)置、升級和打安全補丁。

個人計算機上不得安裝與工作無關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。

系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對可能的攻擊嘗試、非授權(quán)訪問提出警告。

主機系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進行登記。登記記錄上應(yīng)該標明廠家、操作系統(tǒng)版本、已安裝的補丁程序號、安裝和升級的時間等內(nèi)容，并進行存檔保存。

重要的主機系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級時應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問題時利用系統(tǒng)鏡像對系統(tǒng)進行完整性檢查。

服務(wù)器、網(wǎng)絡(luò)設(shè)備、計算機安全系統(tǒng)（如防火墻、入侵檢測系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時采取安全措施進行保護，對網(wǎng)絡(luò)攻擊或者攻擊嘗試進行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報告。系統(tǒng)日志必須保存三個月以上。

新建計算機網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時進行網(wǎng)絡(luò)信息安全的設(shè)計。

互聯(lián)網(wǎng)信息安全

公司對外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過濾垃圾電子郵件及有害信息。

數(shù)據(jù)安全

需要保護的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。

2）財會系統(tǒng)數(shù)據(jù)庫。

3）重要主機系統(tǒng)的系統(tǒng)數(shù)據(jù)。

4）其他重要數(shù)據(jù)。

各部門計算機管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計劃，及時做好數(shù)據(jù)備份及恢復(fù)。

對數(shù)據(jù)備份必須有明確的記錄，在記錄中標明備份內(nèi)容、備份時間，備份操作人員等信息。對于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

各部門必須每年至少進行一次數(shù)據(jù)備份策略的有效性的驗證，對數(shù)據(jù)恢復(fù)過程進行試驗，確保在發(fā)生安全問題時能夠從數(shù)據(jù)備份中進行恢復(fù)。

各部門計算機管理部門應(yīng)對所管理系統(tǒng)上存儲的數(shù)據(jù)進行登記備案，登記的內(nèi)容主要包括：需要保護的數(shù)據(jù)、存儲的位置、存儲的形式、安全控制的方法和措施、負責(zé)安全管理和日常備份的人員、可以訪問數(shù)據(jù)的用戶、訪問的方式以及權(quán)限。

涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時應(yīng)加密。

禁止在沒有采用安全保護機制的計算機上存儲重要數(shù)據(jù)，在存儲重要數(shù)據(jù)的計算機至少應(yīng)該有開機口令、登錄口令、數(shù)據(jù)庫口令、屏幕保護等防護措施。禁止在個人計算機上存放重要數(shù)據(jù)。

不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲，并將存儲的軟盤或筆記本電腦比照密級文件管理。

安全管理

各部門必須對本部門的計算機信息及網(wǎng)絡(luò)安全進行經(jīng)常性的檢查、檢測：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測一次；

2）計算機病毒防治應(yīng)每月至少全面檢查一次；

3）數(shù)據(jù)備份應(yīng)每月檢查一次。

檢查發(fā)現(xiàn)計算機信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

發(fā)生計算機信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴散影響。觸犯刑律的，應(yīng)保存證據(jù)，報告公安機關(guān)，并配合查處。

發(fā)生重大計算機信息及網(wǎng)絡(luò)安全事件須在24小時內(nèi)上報。

各部門應(yīng)對用戶及本部門員工進行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識，加強用戶的法律意識和安全意識，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

顧客網(wǎng)絡(luò)信息安全

維護人員不得將顧客系統(tǒng)的密碼泄露給他人。

維護人員因工作原因進入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。

進入顧客系統(tǒng)應(yīng)使用專用計算機，該計算機應(yīng)每周進行殺毒，以防將病毒傳入顧客系統(tǒng)。

維護人員的客戶端應(yīng)及時升級或更新，確保其與顧客系統(tǒng)的版本保持一致。

文檔內(nèi)容僅供參考

第三篇：信息安全管理規(guī)范和保密制度

xxx集團互聯(lián)網(wǎng)事業(yè)部信息安全

管理規(guī)范和保密制度

第一章、總則

第1條為了明確崗位職責(zé)，規(guī)范操作流程，確保公司信息資產(chǎn)的安全，特制訂本制度。

第2條本制度適用于公司所有員工。

第二章、電子郵件管理制度

第1條 行政人力部必須在員工入職三天內(nèi)，向員工分配企業(yè)郵箱的個人用戶名和密碼。并告知使用方法。

第2條 公司郵箱賬戶限本人使用，禁止將本人賬戶轉(zhuǎn)借或借用他人賬戶。員工必須及時修改初始密碼，并且在使用中定期（最多3個月）修改郵箱的密碼，以防他人利用。密碼至少為8位，且需是字母、數(shù)字、特殊符號等至少兩個的組合。因郵箱密碼泄露造成的損失，由用戶自行承擔(dān)責(zé)任。

第3條 員工的對外往來的公務(wù)郵件，原則上必須使用公司統(tǒng)一后綴的郵箱；對外往來的私人郵件則不允許使用公司統(tǒng)一后綴的郵箱。禁止非工作用途將郵箱賬戶公布在外部INTERNET網(wǎng)上。公務(wù)用郵件時，必須使用含有以下字樣的個人簽名：

聲明：您有義務(wù)對本郵件內(nèi)容進行保密，未經(jīng)書面允許不可私自復(fù)制、轉(zhuǎn)發(fā)、散布。

第4條 收到危害社會安定的郵件，應(yīng)及時刪除，嚴禁轉(zhuǎn)發(fā)或點擊相應(yīng)鏈接，若因此造成不良影響或損失的，由用戶個人承擔(dān)責(zé)任，管理員發(fā)現(xiàn)類似現(xiàn)象的有權(quán)封鎖相關(guān)郵件賬戶。發(fā)現(xiàn)郵件感染病毒，立刻將計算機斷開公司網(wǎng)絡(luò)，并使用相應(yīng)軟件進行殺毒。

第5條 發(fā)送帶有公司涉密信息的郵件，發(fā)件人必須先經(jīng)部門領(lǐng)導(dǎo)同意，（若是絕密級別，需經(jīng)公司領(lǐng)導(dǎo)同意），并將涉密信息加密處理后方可發(fā)送；否則視情節(jié)嚴重程度予以處理。

第6條 員工離職時，根據(jù)需要交由部門專人監(jiān)管一個月，后由行政人力部注銷。

第7條 違反以上電子郵件管理規(guī)定，視情節(jié)輕重，最低經(jīng)濟處罰50元（由人力資源部門商定），并交行政人力部處理；情節(jié)特別嚴重的將移交國家司法機關(guān)，追究法律責(zé)任。

第三章 數(shù)據(jù)安全管理制度

第1條 為保證存儲商業(yè)機密的計算機、文件、光盤等不會輕易泄露，公司對涉及技術(shù)及商業(yè)機密的文件、光盤等實行專人管理、借閱登記的制度；同時儲存涉及技術(shù)及商業(yè)機密的計算機均應(yīng)進行CMOS加密及屏幕保護加密。此兩項密碼除使用者本人擁有外，應(yīng)向本部門經(jīng)理備份，不得泄密給其它部門或個人。離開原工作崗位的員工由所在部門負責(zé)人將其所有工作資料收回并保存。如有因密碼泄露而導(dǎo)致嚴重后果者，其行為等同于故意泄密，公司將按照人力資源獎懲制度

予以嚴肅查處。

第2條 計算機終端用戶務(wù)必將重要數(shù)據(jù)存放在計算機硬盤中除系統(tǒng)盤以外的的硬盤分區(qū)。計算機系統(tǒng)發(fā)生故障時，應(yīng)及時與管理員聯(lián)系并采取保護數(shù)據(jù)安全的措施。

第3條 計算機終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)，對重要的數(shù)據(jù)應(yīng)保存雙份，存放在不同位置，并進行定期檢查，防止數(shù)據(jù)丟失。

第4條 計算機、服務(wù)器或存儲設(shè)備，停止使用或使用前須進行低級格式化。

第5條 IT管理人員嚴禁利用自己的賬號權(quán)限，查看其它員工的郵箱內(nèi)容，盜取或傳播郵件內(nèi)容。造成嚴重后果的，由公司根據(jù)國家法律追究相關(guān)責(zé)任。

第6條服務(wù)器運維人員嚴禁利用職責(zé)便利，私自拷貝并傳播給公司外部人員或不相關(guān)人員。造成嚴重后果的，由公司根據(jù)國家法律追究相關(guān)責(zé)任。

第8條為了確保數(shù)據(jù)安全，防止數(shù)據(jù)丟失，要定期對關(guān)鍵數(shù)據(jù)進行備份。并進行恢復(fù)測試。

第9條美羅全球精品購B2C后臺管理賬號，根據(jù)申請人員崗位，分配指定的權(quán)限。拒絕分配多余賬號權(quán)限或直接分配管理員賬號。并且開通賬號必須走賬號開通申請流程。員工離職后，及時刪除或禁用賬戶。具體申請單見附件：

蘇州美羅全球精品購 B2C平臺權(quán)限申請表 部門 崗位 權(quán)限類別 □新增 □刪除 姓名 申請時間 賬戶類型 □長久 □臨時 新增或刪除權(quán)限列表（由權(quán)限分配人填寫）： 部門經(jīng)理 簽字 權(quán)限分配操作人 簽字

第四章 網(wǎng)絡(luò)安全管理

第1條 未進行安全配置、未裝防火墻或殺毒軟件的計算機終端，不得連接公司網(wǎng)絡(luò)和服務(wù)器。公司員工應(yīng)定期對所配備的計算機終端的操作系統(tǒng)、殺毒軟件進行升級、更新，并定期進行病毒查殺。

第2條 計算機終端用戶應(yīng)使用開機密碼，屏保密碼等。并定期更改。員工應(yīng)妥善保管所掌握的各類辦公賬號和密碼，嚴禁隨意向他人泄露、借用自己的賬號密碼。

第3條 IP地址為計算機網(wǎng)絡(luò)的重要資源，公司員工應(yīng)在管理員的規(guī)劃下使用這些資源，不得擅自更改。對于影響網(wǎng)絡(luò)安全的系統(tǒng)服務(wù)，員工應(yīng)在管理員的知道下使用，禁止隨意開啟關(guān)閉計算機中的系統(tǒng)服務(wù)，保證計算機的網(wǎng)絡(luò)暢通運行。

第4條 禁止未授權(quán)用戶接入公司網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)中的資源。第5條 經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢查無病毒后方可打開或運行。

第五章 計算機安全管理

第1條 辦公電腦硬盤機文件夾不得一直處于“共享”狀態(tài)，如果需要共享時，必須設(shè)置密碼，或設(shè)定用戶權(quán)限，以限制用戶；用畢，立即取消共享狀態(tài)。不得下載和使用未經(jīng)測試和來歷不明的軟件、未經(jīng)病毒查殺不得使用U盤等介質(zhì)。

第2條 計算機必須設(shè)置開機密碼、屏保密碼等，自動屏保開啟時

間要求為5分鐘；密碼長度至少為8位，且為字母、數(shù)字等的組合，不可過于簡單。

第3條 臺式機機箱需加鎖，防止設(shè)備丟失。計算機終端用戶不得挪用辦公電腦硬盤等，違反規(guī)定挪用者，視為故意違反安全規(guī)定，視情節(jié)嚴重程度，交由行政人力部處理。

第六章 公司保密制度

第4條 公司秘密分為三類：絕密、機密、秘密。

絕密：是指與公司生存、生產(chǎn)、科研、經(jīng)營、人事有重大利益關(guān)系，一旦泄露會使公司的安全和利益遭受特別嚴重損害的事項，主要包括以下內(nèi)容：

1.公司股份構(gòu)成，投資情況，新產(chǎn)品、新技術(shù)開發(fā)資料，客戶資料，商業(yè)計劃等。

2.公司總體發(fā)展規(guī)劃、經(jīng)營策略、營銷策略、商務(wù)談判內(nèi)容，正式合同和協(xié)議文書。

3.按《信息科技文件保密管理規(guī)定》屬于絕密級別的各種檔案。4.公司高層管理人員及其他對公司經(jīng)營管理產(chǎn)生重大影響的會議紀要。

機密：是指與本公司的生存、生產(chǎn)、科研、經(jīng)營、人事有重要利益關(guān)系，一旦泄露會使公司安全和利益遭受嚴重損害的事項，主要包括以下內(nèi)容：

1.尚未確定的公司重要人事調(diào)整及安排情況，人力資源部對管理

人員的考評材料。

2.公司與客戶、外部高層人士、科研人員的來往情況及其載體。3.公司薪金制度，財務(wù)專用印鑒、賬號，保險柜密碼，月度、季度、的財務(wù)預(yù)、決算報告及各類財務(wù)、統(tǒng)計報表，電腦開啟密碼，重要磁盤、磁帶的內(nèi)容及其存放位置。

4.按照《信息科技文件保密管理規(guī)定》屬于機密級別的各種檔案。5.獲得競爭對手情況的方法、渠道及公司相應(yīng)對策。6.外事活動中內(nèi)部掌握的原則及政策。7.公司高層管理人員的家庭住址。

8.公司總經(jīng)理召開的經(jīng)營管理工作會議的會議紀要。

秘密：是指與本公司的生存、生產(chǎn)、科研、經(jīng)營、人事有較大利益關(guān)系，一旦泄露會使公司的安全和利益遭受損害的事項，主要包括以下內(nèi)容：

1.市場調(diào)查預(yù)測情況，未來新產(chǎn)品的市場預(yù)測情況。2.公司內(nèi)部制度檢查，獎懲措施及執(zhí)行情況。3.生產(chǎn)、技術(shù)、財務(wù)部門的安全保衛(wèi)情況。4.公司內(nèi)部各類通知及郵件等。

5.按《信息科技文件保密管理規(guī)定》屬于秘密級別的各種檔案。6.公司部門例會會議紀要。第5條 各密級知曉范圍 絕密級

公司高層管理人員及與絕密內(nèi)容有直接關(guān)系的工作人員。

機密級

經(jīng)理級別以上管理人員以及與機密內(nèi)容有直接關(guān)系的工作人員。秘密級

項目經(jīng)理級別以上管理人員以及與秘密內(nèi)容有直接關(guān)系的工作人員。

第6條 保密守則

1.公司員工必須有保密意識，做到不該問的絕不問，不該說的絕不說，不該看的絕不看。

2.員工認知期間的工作成果歸公司所有，并按《企業(yè)員工保密合同》及本制度進行管理。

3.任何人不得以任何形式在互聯(lián)網(wǎng)上直接暴露公司研發(fā)項目的名稱，團隊交流盡可能采用拼音縮寫等形式。

4.未經(jīng)公司管理層同意，員工不得隨意將可能涉及公司技術(shù)及商業(yè)秘密的文件、數(shù)據(jù)等帶離公司（包括帶回家中或是其它地方）。經(jīng)管理層批準，可將涉及公司的技術(shù)及商業(yè)秘密的文件、數(shù)據(jù)帶離公司的員工，必須采取必要的安全防范措施，保證相關(guān)資料不被泄露。如因失竊等因素而導(dǎo)致公司的商業(yè)和技術(shù)機密泄露，公司將對相關(guān)責(zé)任人按“玩忽職守”予以經(jīng)濟或行政處罰。

5.禁止任何非本公司員工在任何時間內(nèi)非經(jīng)允許使用本公司的計算機等辦公設(shè)備，在確有需要使用本公司計算機等辦公設(shè)備，須由本公司正式員工向本部門經(jīng)理及綜合部相關(guān)負責(zé)人提出申請，取得同意后方可在指定區(qū)域內(nèi)使用，負責(zé)申請之員工須保證使用人不能訪問涉

及公司機密的任何內(nèi)容。

6.任何非本公司外來人員需要經(jīng)由領(lǐng)導(dǎo)同意，并登記備案后方可入內(nèi)，且不可出入機房要地。

7.所有員工不得隨意拷貝與自身業(yè)務(wù)無關(guān)的文件（文檔），復(fù)印或用其他方法取得公司商業(yè)秘密。如確有工作需要，須事先由本部門經(jīng)理向總經(jīng)理申請，獲得簽字同意后方可在相關(guān)部門經(jīng)理的指導(dǎo)下進行。

8.嚴禁在公共場合、私人交往、公用電話、傳真上交談、傳遞保密事項。

9.員工發(fā)現(xiàn)公司秘密已經(jīng)泄漏或可能泄漏時，應(yīng)立即采取補救措施，并及時報告公司高層。

10.掌握公司秘密的人員在工作變動時，應(yīng)及時辦理交接手續(xù)，并由主管領(lǐng)導(dǎo)簽字。

11.除本制度外，關(guān)鍵崗位人員還應(yīng)遵守《關(guān)鍵崗位信息安全規(guī)范及保密制度》。

第七章 其他

第1條 對于由于工作失誤或沒按照本制度執(zhí)行而導(dǎo)致公司商業(yè)秘密泄露者，公司將視情節(jié)輕重給以相應(yīng)的經(jīng)濟及行政處罰；對于有意泄露公司機密者，公司除將立即與其解除勞動合同、并對其處以經(jīng)濟及行政處分外，還將視其行為后果的嚴重性，保留追究其刑事責(zé)任的權(quán)利。

第2條 本制度由公司各部門進行實施，企業(yè)管理部進行監(jiān)督，修訂權(quán)歸公司所有。由發(fā)布之日起生效。

第四篇：數(shù)據(jù)備份和恢復(fù)管理規(guī)范

數(shù)據(jù)備份和恢復(fù)管理規(guī)范

第一章 總 則

第一條 為規(guī)范、統(tǒng)一全集團范圍內(nèi)重要系統(tǒng)的數(shù)據(jù)備份及管理工作，明確各系統(tǒng)數(shù)據(jù)備份及恢復(fù)的角色和職責(zé)，確保備份介質(zhì)的安全和按時、順利恢復(fù)系統(tǒng)和數(shù)據(jù)，并確保有關(guān)責(zé)任人員熟練掌握系統(tǒng)和數(shù)據(jù)的備份、歸檔和恢復(fù)流程，特制定本辦法。

第二條 備份和恢復(fù)管理的范圍包括：確定關(guān)鍵系統(tǒng)的備份和恢復(fù)方針及原則；系統(tǒng)、應(yīng)用等軟件及業(yè)務(wù)、配置等數(shù)據(jù)的備份和恢復(fù)；備份介質(zhì)的存放、歸檔管理；系統(tǒng)及數(shù)據(jù)恢復(fù)演練；備份和恢復(fù)流程的評估和維護；歸檔數(shù)據(jù)的查詢；備份和恢復(fù)所需存儲、磁帶庫等硬件工具/設(shè)備的監(jiān)控和管理。不包括：硬件、網(wǎng)絡(luò)的備份和恢復(fù)（屬于業(yè)務(wù)連續(xù)性管理）；業(yè)務(wù)系統(tǒng)的在線數(shù)據(jù)冗余（屬于業(yè)務(wù)可用性管理）。

第三條 關(guān)鍵系統(tǒng)定義： ERP、研發(fā)、SCM、CRM、財務(wù)、HR和其他多個單位通用的業(yè)務(wù)系統(tǒng)；MIP、郵件、公共網(wǎng)站等IT基礎(chǔ)應(yīng)用系統(tǒng)；單個單位使用的核心業(yè)務(wù)系統(tǒng)。

第四條 集團數(shù)據(jù)備份和恢復(fù)工作由集團備份管理員負責(zé)組織、協(xié)調(diào)，并按照既定計劃和策略督促相關(guān)人員執(zhí)行。

第二章 數(shù)據(jù)備份、歸檔和恢復(fù)原則

第五條 備份和恢復(fù)時間、性能應(yīng)符合各系統(tǒng)服務(wù)級別的規(guī)定，各系統(tǒng)服務(wù)級別由系統(tǒng)所在單位與系統(tǒng)主要使用部門商議。

第六條 應(yīng)考慮主機系統(tǒng)（操作系統(tǒng)、工具軟件、數(shù)據(jù)庫系統(tǒng)軟件、應(yīng)用等）變化的頻率，全備份的頻率應(yīng)與業(yè)務(wù)系統(tǒng)變化頻率成正比。

第七條 當(dāng)主機系統(tǒng)發(fā)生較大更改時，應(yīng)馬上對主機系統(tǒng)進行一次全備份。第八條 應(yīng)考慮全備份的容量，全備份的頻率應(yīng)與其備份容量成反比。第九條 系統(tǒng)全備份方式適用于使用小型機設(shè)備的系統(tǒng)，使用PC服務(wù)器的系統(tǒng)建議采用克隆系統(tǒng)應(yīng)急盤方式。

第十條 對應(yīng)用軟件等程序文件：當(dāng)系統(tǒng)配置數(shù)據(jù)發(fā)生變動時，應(yīng)馬上備份，備份介質(zhì)保留至下一次系統(tǒng)全備份。當(dāng)生產(chǎn)環(huán)境中的應(yīng)用軟件將發(fā)生變動時，應(yīng)對變動前的應(yīng)用軟件進行備份。該種情況下的備份一般情況下由各系統(tǒng)管理員自行準備資源完成。

第十一條 對Oracle等數(shù)據(jù)庫進行在線備份的系統(tǒng)，原則上要求周日為0級備份（冷備份）。對有數(shù)據(jù)長期保留需求的系統(tǒng)，只進行系統(tǒng)的0級備份的歸檔，以確保數(shù)據(jù)有效性和可恢復(fù)性。

第十二條 歸檔數(shù)據(jù)一般包括程序文件、數(shù)據(jù)文件，一般不包括數(shù)據(jù)庫歸檔日志、邏輯備份數(shù)據(jù)（如在線備份）。

第十三條 歸檔數(shù)據(jù)完整性的基本原則：進行數(shù)據(jù)恢復(fù)后，系統(tǒng)在簡單配置后可直接使用。

第十四條 對業(yè)務(wù)數(shù)據(jù)備份：在網(wǎng)絡(luò)帶寬和存儲設(shè)備允許的前提下，可以采用集中備份和恢復(fù)管理的方式，否則采用分布備份和恢復(fù)管理方式。在數(shù)據(jù)庫故障時能夠快速恢復(fù)數(shù)據(jù)是選擇備份方式的一個重要因素。應(yīng)該采用多種備份方式（如采用塊方式和文本方式等），以保證除了使用備份系統(tǒng)進行恢復(fù)外，還可以在本地備份機上直接恢復(fù)應(yīng)用，如特別關(guān)鍵應(yīng)用，建議考慮增加異地的恢復(fù)方式。除了用于恢復(fù)外，備份介質(zhì)還應(yīng)該方便存檔數(shù)據(jù)查詢、恢復(fù)演練、新系統(tǒng)測試、審計檢查等使用。重點保留月末、季末、年末、結(jié)息日、新系統(tǒng)切換等重點時間的數(shù)據(jù)。

第十五條 對Oracle數(shù)據(jù)庫備份：為了保護最近產(chǎn)生的數(shù)據(jù)，必須連續(xù)備份數(shù)據(jù)庫邏輯日志。在業(yè)務(wù)數(shù)據(jù)的兩次連續(xù)0級備份之間，應(yīng)該進行業(yè)務(wù)數(shù)據(jù)邏輯日志的備份。

第十六條 應(yīng)該根據(jù)數(shù)據(jù)容量/備份持續(xù)時間來決定采用每日0級備份，或定期0級備份+每日增量備份方式（增量備份分為對上次0級備份的增量、對上次增量的增量兩種）。如果每日0級備份的備份和恢復(fù)時間符合要求，建議采用每日0級備份方式；否則采用每周0級備份+每日增量備份方式。備份介質(zhì)保留一個備份周期。

第十七條 區(qū)別維持關(guān)鍵業(yè)務(wù)運行的數(shù)據(jù)（如，僅僅包含賬戶數(shù)據(jù)、客戶信息、交易數(shù)據(jù)，不含歷史數(shù)據(jù)），并每日單獨備份，剩余數(shù)據(jù)同樣單獨備份?？紤]到是快速恢復(fù)數(shù)據(jù)，故該類數(shù)據(jù)不宜過大。另外考慮到其使用目標是僅僅是應(yīng)急，故其備份介質(zhì)都是短期保留。

第十八條 要使用腳本來進行備份和恢復(fù)，盡量避免手工操作；盡量安排在非工作時間備份。

第十九條 在備份和恢復(fù)操作流程發(fā)生變動時，應(yīng)該對操作人員進行培訓(xùn)；進行恢復(fù)演練的頻率與流程變化的頻率成正比；進行實際恢復(fù)演練的頻率與恢復(fù)失敗的頻率（考核指標之一）成正比。

第二十條 所有對生產(chǎn)系統(tǒng)和數(shù)據(jù)的恢復(fù)都要預(yù)先得到批準；對存檔備份介質(zhì)的調(diào)閱需要登記，并且只能拷貝不能外借。

第二十一條 所有的備份介質(zhì)都要貼上清晰的標簽，標簽應(yīng)包含介質(zhì)編號（或序號）、備份內(nèi)容、備份日期時間、備份人員等內(nèi)容；數(shù)據(jù)備份在制作、傳遞、轉(zhuǎn)移過程中，必須填寫《數(shù)據(jù)備份登記表》或《數(shù)據(jù)轉(zhuǎn)移保存登記表》，詳細記錄備份數(shù)據(jù)制作、傳遞、轉(zhuǎn)移的全部過程與責(zé)任人；數(shù)據(jù)備份的存放處必須符合防火、防水、防磁的安全要求；保存期在一年以上的備份磁帶應(yīng)半年進行重寫或重繞處理；長期保存的磁帶應(yīng)記錄使用次數(shù)，保證介質(zhì)在規(guī)定的次數(shù)內(nèi)使用；歸檔數(shù)據(jù)備份介質(zhì)應(yīng)該實施異地存放，建議存放至銀行保險箱或檔案室（必須和主機房不在同一建筑物內(nèi)，如分支機構(gòu)辦公場所）。

第三章 存儲、備份設(shè)備及相關(guān)設(shè)備管理

第二十二條 存儲設(shè)備：集團中央數(shù)據(jù)存儲系統(tǒng)、集團中央備份存儲系統(tǒng)；備份管理員負責(zé)：每天檢查存儲設(shè)備控制器產(chǎn)生的信息，每周至少一次現(xiàn)場檢查存儲設(shè)備及相關(guān)部件運行狀況，并將檢查記錄包含在周報中；存儲設(shè)備Lun的調(diào)整和新Lun的分配，磁盤Raid策略調(diào)整等資源使用管理；

第二十三條 備份設(shè)備：STK SL500磁帶庫、LTO3數(shù)據(jù)磁帶、LTO3清洗帶；磁帶庫設(shè)備要求制定驅(qū)動器自動清洗策略，備份管理員負責(zé)：定期檢查策略執(zhí)行執(zhí)行是否正常，每周至少一次現(xiàn)場檢查磁帶庫及相關(guān)部件運行狀況，并將檢查記錄包含在周報中；根據(jù)備份策略或用戶需求調(diào)整，及時調(diào)整磁帶庫設(shè)備的資源分配。

第二十四條 相關(guān)設(shè)備：光纖通道交換機及光纖通道接口等部件、主機HBA卡；備份管理員負責(zé)：每周至少一次現(xiàn)場檢查光纖通道交換機及相關(guān)部件運行情況，并將檢查記錄包含在周報中；每月協(xié)助系統(tǒng)管理員對主機HBA卡運行情況進行檢查，包括雙通道、負載均衡功能是否正常以及操作系統(tǒng)是否出現(xiàn)類似光纖通道報警信息；交換機Zooning調(diào)整、劃分及相關(guān)資源調(diào)配。

第二十五條 備份管理員負責(zé)以上設(shè)備的日常維護和故障報修。維護和報修流程見本規(guī)范第二十九條第2款。

第四章 備份和恢復(fù)相關(guān)人員職責(zé)

第二十六條 集團備份管理員由集團IT管理部任命和管理；二級備份管理員由二級管理平臺IT部門任命和管理，在備份業(yè)務(wù)上配合集團備份管理員。增加二級備份管理員的調(diào)整須提前知會集團IT管理部。系統(tǒng)管理責(zé)任人由系統(tǒng)所在平臺的IT部門確定，業(yè)務(wù)管理責(zé)任人由系統(tǒng)所在平臺的關(guān)鍵業(yè)務(wù)部門確定。

第二十七條 集團備份管理員職責(zé)：作為集團數(shù)據(jù)備份和恢復(fù)工作的總體計劃制

定和工作協(xié)調(diào)者，負責(zé)備份系統(tǒng)管理和日常維護；負責(zé)備份數(shù)據(jù)在磁帶、光盤等可移動存儲介質(zhì)上克隆、遷移和本地存放；參與備份系統(tǒng)建設(shè)、改造項目；協(xié)助二級備份管理員和各系統(tǒng)管理員進行數(shù)據(jù)覆蓋和災(zāi)難恢復(fù)工作；定期組織二級備份管理員及相關(guān)人員進行備份數(shù)據(jù)有效性驗證；負責(zé)組織集團本部相關(guān)系統(tǒng)管理員進行備份數(shù)據(jù)的有效性驗證工作；負責(zé)備份系統(tǒng)客戶端程序的異常處理，但不含客戶端程序的管理；有義務(wù)和責(zé)任對系統(tǒng)管理員制定的備份策略提出合理建議；根據(jù)各系統(tǒng)恢復(fù)演練要求，制定總體恢復(fù)演練工作計劃。

第二十八條 二級備份管理員職責(zé)：作為二級平臺及下屬單位數(shù)據(jù)備份和恢復(fù)工作詳細計劃的制定和協(xié)調(diào)者，協(xié)助備份管理員維護工作；組織相關(guān)系統(tǒng)管理員進行備份系統(tǒng)客戶端的日常維護；協(xié)助備份管理員定期組織相關(guān)人員進行備份數(shù)據(jù)的有效性驗證；參與備份系統(tǒng)建設(shè)、改造項目；負責(zé)平臺管理范圍內(nèi)系統(tǒng)進行數(shù)據(jù)覆蓋和協(xié)助集團備份管理員完成災(zāi)難恢復(fù)工作；負責(zé)制定該平臺及下屬單位的系統(tǒng)恢復(fù)演練詳細計劃，并負責(zé)該平臺及下屬單位數(shù)據(jù)從備份系統(tǒng)的導(dǎo)出。

第二十九條 系統(tǒng)技術(shù)管理責(zé)任人職責(zé)：簡稱系統(tǒng)管理員。是系統(tǒng)管理責(zé)任部門指定的系統(tǒng)日常維護人員，作為數(shù)據(jù)備份策略的制定者和恢復(fù)工作的實際執(zhí)行者，按照《備份系統(tǒng)維護指引》要求，負責(zé)對備份系統(tǒng)客戶端的維護；根據(jù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全需求，負責(zé)制定合理、有效的備份策略(系統(tǒng)管理員只能負責(zé)提出策略和有效性審核，策略的合理性應(yīng)由集團備份管理員完成)；在集團備份管理員或二級備份管理員的協(xié)助下，負責(zé)進行責(zé)任系統(tǒng)的備份數(shù)據(jù)有效性驗證；根據(jù)災(zāi)難演練計劃，建立系統(tǒng)詳細恢復(fù)操作文檔，并負責(zé)具體系統(tǒng)的搭建、恢復(fù)工作，同時負責(zé)組織相關(guān)人員對恢復(fù)系統(tǒng)的有效性進行測試并提交相關(guān)報告。（各個應(yīng)用系統(tǒng)需要確定主要維護責(zé)任部門，由責(zé)任部門提出對系統(tǒng)的維護要求和指標）

第三十條 系統(tǒng)業(yè)務(wù)管理責(zé)任人職責(zé)：作為數(shù)據(jù)備份和恢復(fù)工作的用戶方或負責(zé)業(yè)務(wù)維護的項目組，負責(zé)確認系統(tǒng)數(shù)據(jù)備份和恢復(fù)的時間、性能等指標。ERP、SCM、CRM等類系統(tǒng)業(yè)務(wù)責(zé)任部門為系統(tǒng)所在單位財務(wù)部門，研發(fā)類系統(tǒng)業(yè)務(wù)責(zé)任部門為系統(tǒng)所在單位研發(fā)部門，集團HR系統(tǒng)業(yè)務(wù)責(zé)任部門為集團人力資源部，MIP、郵件等基礎(chǔ)應(yīng)用系統(tǒng)業(yè)務(wù)責(zé)任部門為集團IT部。其他系統(tǒng)由系統(tǒng)管理的責(zé)任單位IT部門確定系統(tǒng)業(yè)務(wù)責(zé)任部門。

第五章 運維管理流程

第三十一條 數(shù)據(jù)備份異常的預(yù)警機制：對于連續(xù)兩次備份失敗的系統(tǒng)，集團備份管理員應(yīng)以郵件、短信或電話方式知會二級備份管理員或相關(guān)系統(tǒng)管理員及該管理平臺IT部門負責(zé)人，系統(tǒng)管理員應(yīng)積極采取相關(guān)措施，二級備份管理員及集團備份管理員應(yīng)配合，確保當(dāng)天晚上數(shù)據(jù)備份成功，連續(xù)三次備份失敗，集團備份管理員應(yīng)將該信息抄送至系統(tǒng)責(zé)任單位財務(wù)負責(zé)人、集團IT總監(jiān)。

第三十二條 系統(tǒng)日常維護流程：備份系統(tǒng)的服務(wù)器端操作，由備份管理員負責(zé)，客戶端操作由相關(guān)責(zé)任人負責(zé)，備份管理員協(xié)助完成。

1.備份情況通報流程：集團備份管理員每天上午10點前將前一天晚上數(shù)據(jù)備份情況在MIP上公布（周六備份情況在周一通報），每周備份管理員將一周備份情況進行總結(jié)并發(fā)布至MIP，內(nèi)容包括但不限于：本周備份數(shù)據(jù)量、備份有效性總結(jié)、故障處理情況；每月進行一次系統(tǒng)運行情況總結(jié)，上報至基礎(chǔ)管理中心高級經(jīng)理，內(nèi)容包括但不限于：本月備份有效性情況、故障處理匯總及分析、系統(tǒng)運行趨勢分析及系統(tǒng)改進合理化建議等。對于備份失敗的系統(tǒng)，以郵件、短信或電話方式通知二級備份管理員及其上級領(lǐng)導(dǎo)并給出初步診斷結(jié)果和建議操作；二級備份管理員應(yīng)立即聯(lián)系相關(guān)系統(tǒng)管理員，系統(tǒng)管理員應(yīng)在當(dāng)天配合備份管理員查找問題。若數(shù)據(jù)連續(xù)兩天沒有備份成功，第三天需要系統(tǒng)管理員與備份管理員一起確定系統(tǒng)的備份方式，若為數(shù)據(jù)庫的在線備份失敗，應(yīng)采取冷備份，若因數(shù)據(jù)庫沒有正確啟停，需系統(tǒng)管理員在策略中約定的時間手工啟停數(shù)據(jù)庫，保證當(dāng)晚數(shù)據(jù)備份成功。如二級備份管理員及系統(tǒng)管理員對備份失敗問題一天內(nèi)查不出原因，集團備份管理員應(yīng)協(xié)調(diào)相關(guān)資源協(xié)助處理。

2.備份系統(tǒng)日程運維管理流程：包括備份系統(tǒng)及相關(guān)設(shè)備日常檢查及故障處理。備份管理員每天對備份系統(tǒng)軟件日志進行查看，如系統(tǒng)出現(xiàn)的報警或故障信息，當(dāng)天反饋至技術(shù)后臺支持經(jīng)理，如超過2天不能解決，應(yīng)上報至基礎(chǔ)運維管理中心高級經(jīng)理，并聯(lián)系相關(guān)外部技術(shù)支持人員。如超過4天不能解決，應(yīng)上報至集團IT總監(jiān)。3.備份和恢復(fù)策略初次申請流程：由系統(tǒng)管理員提出備份和恢復(fù)策略并填寫《備份和恢復(fù)需求》、《系統(tǒng)備份信息表》、《備份和恢復(fù)策略和原則》，系統(tǒng)業(yè)務(wù)責(zé)任人對《備份和恢復(fù)需求》進行確認，二級平臺備份管理員審查，集團備份管理員審核，并在備份系統(tǒng)中實施，備份管理員直屬領(lǐng)導(dǎo)及基礎(chǔ)運維管理中心負責(zé)人備案。

4.備份和恢復(fù)策略變更流程：由系統(tǒng)管理員提出變更后的備份和恢復(fù)策略并填寫《備份和恢復(fù)需求》、《系統(tǒng)備份信息表》、《備份和恢復(fù)策略和原則》，系統(tǒng)業(yè)務(wù)責(zé)任人對《備份和恢復(fù)需求》進行確認，二級平臺備份管理員審查，集團備份管理員審核，并在備份系統(tǒng)中實施，備份管理員直屬領(lǐng)導(dǎo)及基礎(chǔ)運維管理中心負責(zé)人備案。5.備份數(shù)據(jù)常規(guī)恢復(fù)流程：常規(guī)恢復(fù)指數(shù)據(jù)的測試環(huán)境覆蓋、恢復(fù)演練等要求下進行數(shù)據(jù)恢復(fù)。不允許在凌晨進行數(shù)據(jù)恢復(fù)，如需進行數(shù)據(jù)，需要以郵件方式發(fā)送請求至集團備份管理員，由備份管理員安排恢復(fù)時間和協(xié)助恢復(fù)。如系統(tǒng)管理員自行恢復(fù)，導(dǎo)致正常備份工作受到影響，將追究相關(guān)管理員責(zé)任。

6.系統(tǒng)和數(shù)據(jù)災(zāi)難恢復(fù)流程：系統(tǒng)管理員提交系統(tǒng)和數(shù)據(jù)恢復(fù)申請，系統(tǒng)管理員直屬領(lǐng)導(dǎo)進行審核，系統(tǒng)業(yè)務(wù)責(zé)任部門審批，根據(jù)系統(tǒng)故障類型，二級備份管理員或集團備份管理員準備恢復(fù)的介質(zhì)，系統(tǒng)管理員進行系統(tǒng)和數(shù)據(jù)恢復(fù)，系統(tǒng)業(yè)務(wù)責(zé)任人對恢復(fù)數(shù)據(jù)正確性進行驗證，確認恢復(fù)成功后，由系統(tǒng)管理部門對外發(fā)出《系統(tǒng)恢復(fù)通知》。

7.日常備份和歸檔管理流程：集團備份管理員進行日常備份和歸檔，提交《備份介質(zhì)存放登記表》，并在MIP上發(fā)布當(dāng)日備份信息，備份管理員直屬領(lǐng)導(dǎo)對歸檔進行審核和數(shù)據(jù)抽查，基礎(chǔ)運維管理中心負責(zé)人備案。

8.備份介質(zhì)存放管理流程：集團備份管理員對歸檔的備份介質(zhì)（目前為磁帶）進行異地存放，并填寫《數(shù)據(jù)轉(zhuǎn)移保存登記表》，備份管理員直屬領(lǐng)導(dǎo)審查，基礎(chǔ)運維管理中心負責(zé)人備案。

第三十三條 系統(tǒng)和數(shù)據(jù)恢復(fù)演練流程：包括所有非災(zāi)難恢復(fù)性質(zhì)的數(shù)據(jù)恢復(fù)流程。集團或二級平臺備份管理員提交《系統(tǒng)和數(shù)據(jù)恢復(fù)演練計劃》，同時準備好演練的環(huán)境和介質(zhì)，系統(tǒng)管理員將系統(tǒng)和數(shù)據(jù)恢復(fù)至預(yù)定位置，并進行系統(tǒng)和數(shù)據(jù)恢復(fù)結(jié)果進行驗證，并填寫《系統(tǒng)和數(shù)據(jù)恢復(fù)演練反饋表》。

第三十四條 存檔數(shù)據(jù)查詢流程：由存檔數(shù)據(jù)查詢?nèi)颂峤弧洞鏅n數(shù)據(jù)查詢申請表》，系統(tǒng)業(yè)務(wù)責(zé)任人審核，系統(tǒng)管理員準備恢復(fù)所需硬件、軟件等資源，二級備份管理員或集團備份管理員準備恢復(fù)環(huán)境和備份介質(zhì)，系統(tǒng)管理員進行數(shù)據(jù)恢復(fù)對恢復(fù)系統(tǒng)和數(shù)據(jù)進行可用性確認，系統(tǒng)業(yè)務(wù)責(zé)任人對恢復(fù)系統(tǒng)和數(shù)據(jù)進行正確性驗證，并通知查詢?nèi)诉M行數(shù)據(jù)查詢。

第六章 懲罰措施

第三十五條 如集團備份管理員已通知相關(guān)系統(tǒng)管理員備份失敗信息，而系統(tǒng)管理員沒有及時處理，導(dǎo)致兩次以上的數(shù)據(jù)備份失敗情況發(fā)生，系統(tǒng)管理員應(yīng)承擔(dān)數(shù)據(jù)安全管理不善責(zé)任，并在MIP上通報批評，如造成數(shù)據(jù)丟失等嚴重后果，按照相關(guān)單位規(guī)定進行處罰。

第三十六條 因集團備份管理員維護不到位，出現(xiàn)同一套系統(tǒng)數(shù)據(jù)備份失敗情況，且沒有及時知會相關(guān)系統(tǒng)管理員進行應(yīng)急處理，導(dǎo)致系統(tǒng)備份失敗情況連續(xù)發(fā)生三天以上（含三天），集團備份管理員將承擔(dān)系統(tǒng)管理不善責(zé)任，并在MIP上通報批評，如由此造成的數(shù)據(jù)丟失或其他嚴重后果，按照集團相關(guān)規(guī)定進行處罰。連續(xù)三個月未出現(xiàn)因備份管理員維護不力而出現(xiàn)備份異常情況，由集團IT管理部給予××獎勵。

第三十七條 因相關(guān)系統(tǒng)管理員未及時處理，而導(dǎo)致連續(xù)三天以上備份失敗（含三天），系統(tǒng)管理員承擔(dān)系統(tǒng)維護不善的責(zé)任，并在MIP上通報批評，如因此造成的數(shù)據(jù)丟失或其他嚴重后果，按系統(tǒng)管理員所在單位相關(guān)規(guī)定進行處罰。

第三十八條 如無特殊原因，連續(xù)三個月內(nèi)都未組織二級備份管理員及相關(guān)系統(tǒng)管理員進行系統(tǒng)災(zāi)難恢復(fù)演練工作，集團備份管理員應(yīng)承擔(dān)系統(tǒng)維護不力責(zé)任，并在MIP上通報批評。

第三十九條 二級備份管理員不配合集團備份管理員組織系統(tǒng)災(zāi)難恢復(fù)演練工作，導(dǎo)致演練工作無法開展，將追究相關(guān)責(zé)任人責(zé)任并在MIP上通報批評。

第四十條 相關(guān)系統(tǒng)管理員不服從備份管理員組織，連續(xù)三個月內(nèi)都未進行系統(tǒng)災(zāi)難恢復(fù)演練工作，將追究相關(guān)責(zé)任人責(zé)任并在MIP上通報批評，因此出現(xiàn)備份數(shù)據(jù)恢復(fù)無效而導(dǎo)致數(shù)據(jù)丟失情況，由系統(tǒng)管理員及所在部門責(zé)任人承擔(dān)數(shù)據(jù)安全的全部責(zé)任。

第四十一條 本《規(guī)范》由集團IT管理部負責(zé)修改和解釋。第四十二條 此規(guī)范自下發(fā)之日起執(zhí)行。

2006年4月9日

第五篇：加強網(wǎng)絡(luò)和信息安全管理工作方案（推薦）

各單位：

根據(jù)**、**和**、**有關(guān)要求，為進一步加強網(wǎng)絡(luò)和信息安全管理工作，經(jīng)**領(lǐng)導(dǎo)同意，現(xiàn)就有關(guān)事項通知如下。

一、建立健全網(wǎng)絡(luò)和信息安全管理制度

各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求，制定并組織實施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任，規(guī)范計算機信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度，切實做好本單位網(wǎng)絡(luò)與信息安全保障工作。

二、切實加強網(wǎng)絡(luò)和信息安全管理

各單位要設(shè)立計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組，負責(zé)對計算機信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護等工作進行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制，明確主管領(lǐng)導(dǎo)，落實責(zé)任部門，各盡其職，常抓不懈，并按照“誰主管誰負責(zé)，誰運行誰負責(zé)，誰使用誰負責(zé)”的原則，切實履行好信息安全保障職責(zé)。

三、嚴格執(zhí)行計算機網(wǎng)絡(luò)使用管理規(guī)定

各單位要提高計算機網(wǎng)絡(luò)使用安全意識，嚴禁涉密計算機連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，嚴禁在非涉密計算機上存儲、處理涉密信息，嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實行物理隔離，并強化身份鑒別、訪問控制、安全審計等技術(shù)防護措施，有效監(jiān)控違規(guī)操作，嚴防違規(guī)下載涉密和敏感信息。嚴禁通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。

四、加強網(wǎng)站信息發(fā)布審查監(jiān)管

各單位通過門戶網(wǎng)站在互聯(lián)網(wǎng)上公開發(fā)布信息，要遵循涉密不公開、公開不涉密的原則，按照信息公開條例和有關(guān)規(guī)定，建立嚴格的審查制度。要對網(wǎng)站上發(fā)布的信息進行審核把關(guān)，審核內(nèi)容包括：上網(wǎng)信息有無涉密問題；上網(wǎng)信息目前對外發(fā)布是否適宜；信息中的文字、數(shù)據(jù)、圖表、圖像是否準確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴禁以單位的名義在網(wǎng)上發(fā)布信息，嚴禁交流傳播涉密信息。堅持先審查、后公開，一事一審、全面審查。各單位網(wǎng)絡(luò)信息發(fā)布審查工作要有領(lǐng)導(dǎo)分管、部門負責(zé)、專人實施。

五、組織開展網(wǎng)絡(luò)和信息安全清理檢查

各單位要在近期集中開展一次網(wǎng)絡(luò)安全清理自查工作。對辦公網(wǎng)絡(luò)和門戶網(wǎng)站的安全威脅和風(fēng)險進行認真分析，制定并組織實施本單位各種網(wǎng)絡(luò)與信息安全工作計劃、工作方案，及時按照要求消除信息安全隱患。各單位要加大網(wǎng)絡(luò)和信息安全監(jiān)管檢查力度，及時發(fā)現(xiàn)問題、堵塞漏洞、消除隱患；要全面清查，嚴格把關(guān)，對自查中發(fā)現(xiàn)的問題要立即糾正，存在嚴重問題的單位要認真整改。

各單位要從維護國家安全和利益的戰(zhàn)略高度，充分認識信息化條件下網(wǎng)絡(luò)和信息安全的嚴峻形勢，切實增強風(fēng)險意識、責(zé)任意識、安全意識，進一步加強教育、強化措施、落實責(zé)任，堅決防止網(wǎng)絡(luò)和信息安全事件發(fā)生，為**召開營造良好環(huán)境。