第一篇：信息安全管理篇

信息安全管理，我們責(zé)無旁貸

回首2011，短短幾日內(nèi)不斷升級的數(shù)據(jù)泄露事件，讓2011年的互聯(lián)網(wǎng)走向脆弱的高峰。絕大部分知名網(wǎng)站全部淪陷，無一幸免。而國內(nèi)公司在安全管理上的投入“囊中羞澀”，甚至無法跟上業(yè)務(wù)的發(fā)展步伐，讓2011 年的數(shù)據(jù)泄露無論是在事故發(fā)生的頻率還是在影響的范圍上，都有了大幅度的提升。面對此次大規(guī)模的數(shù)據(jù)泄露**，各種規(guī)模的企業(yè)和機構(gòu)都難以規(guī)避數(shù)據(jù)泄露帶來的危害，然而“脆弱”的它們根本無法抵抗此次“網(wǎng)絡(luò)地震”的來襲，甚至是無意識的“繳械投降”。

2011年的沉重打擊讓我們懂得：我們不能只等著看2012年的互聯(lián)網(wǎng)將給我們帶來什么，而應(yīng)該采取積極主動的態(tài)度來安全管理屬于自己的2012年。

其實提到信息安全管理，可謂家喻戶曉，但是，究竟該如何理解信息安全管理呢?作為一名內(nèi)網(wǎng)安全管理廠商，我們認為：如果沒有信息，安全就沒意義，如果單位沒有重要信息，安全管理意義就不大，大家可以想象，我們單位網(wǎng)絡(luò)沒有重要的文件和信息系統(tǒng)，即使我們讓把單位網(wǎng)絡(luò)敞開也無所謂，黑客進來對單位不會造成經(jīng)濟損失。但事實上每個單位，只要信息化，就會產(chǎn)生大量的電子信息資源，他們就會以電子文檔和數(shù)據(jù)庫存儲形式存在公司電腦上。因此不管是公共事業(yè)單位還是政府部門都應(yīng)加強企業(yè)內(nèi)網(wǎng)安全體系建設(shè)，事實上內(nèi)網(wǎng)安全建設(shè)就是要保護企業(yè)信息數(shù)據(jù)安全。在此我們借鑒國外CISO們的管理方法及結(jié)合自己在內(nèi)網(wǎng)安全領(lǐng)域近十年的安全管理經(jīng)驗，為大家在定制安全管理計劃時提供一個參考!其實提高企業(yè)信息安全管理最有效的辦法就是加強企業(yè)員工信息安全意識的同時強調(diào)員工要有安全的操作，更重要的是要做到內(nèi)外管理強強聯(lián)合。

1、外部管理：要通過防護墻、殺毒等技術(shù)，保護企業(yè)網(wǎng)站等的安全，防止黑客、木馬等攻擊進而盜取信息。

2、內(nèi)網(wǎng)管理：相對于外部攻擊而言，內(nèi)部竊取信息更容易，其也已成為泄密事件的頭號原因。對內(nèi)網(wǎng)的管理則需要強大的技術(shù)后盾并輔以嚴格規(guī)范的企業(yè)管理。

如果你不是技術(shù)專家，建議您能選擇一款真正適合您的安全需求的安全管理軟件來幫您暢想互聯(lián)網(wǎng)樂趣，而不是喪失自己的信息。作為內(nèi)網(wǎng)安全管理廠

商，在選擇內(nèi)網(wǎng)安全產(chǎn)品時我們也給出幾點小建議：

1.有句廣告詞說的很好“只選對的，不選貴的”，在眼花繚亂的類似產(chǎn)品面前，企業(yè)應(yīng)根據(jù)自身的網(wǎng)絡(luò)成本預(yù)算及需求，選擇性價比高的產(chǎn)品。如企業(yè)規(guī)模較小，局域網(wǎng)監(jiān)控僅限制在下載、流量管控等方面的話，就沒有必要花費“巨資”選擇功能“完美”的產(chǎn)品。

2.要重視前期部署、后期維護升級等問題。一般情況下，市場上的局域網(wǎng)監(jiān)控產(chǎn)品分為硬件和軟件兩類。其中硬件價格較昂貴，后期維護、升級問題較多及專業(yè)技術(shù)要求較高，但其由于其突出的管理性能及低故障率而深受資金雄厚的國有、大型企業(yè)的偏愛。而局域網(wǎng)監(jiān)控軟件成本適當,維護簡單、安裝容易、升級快速,一臺電腦即可監(jiān)控整個網(wǎng)絡(luò)，而成為中小型企業(yè)的首選。

3.簡單明了的操作系統(tǒng)。由于現(xiàn)在很多網(wǎng)絡(luò)管理人員是由行政或企業(yè)管理者擔任的。這就要求網(wǎng)絡(luò)系統(tǒng)應(yīng)是面向非專業(yè)人士的，對專業(yè)知識要求較少。因此在選擇時，操作界面的淺顯易懂，易上手設(shè)置應(yīng)成為網(wǎng)絡(luò)監(jiān)控軟件及硬件的重要組成部分

正所謂“3分技術(shù)，7分管理”, 要實現(xiàn)真正的信息安全管理，要將管理與技術(shù)相互結(jié)合。首先要對企業(yè)內(nèi)部的操作做到可視化，梳理清楚企業(yè)內(nèi)部的安全問題。然后進行統(tǒng)一的規(guī)劃，針對每個部門的具體情況以及涉密程度，在同一管理平臺內(nèi)，整合應(yīng)用審計、權(quán)限控制、加密等手段，按需部署，形成整體、全面的內(nèi)網(wǎng)安全管理體系。

第二篇：信息安全管理

國內(nèi)外網(wǎng)絡(luò)管理的信息政策法規(guī)差異

信息技術(shù)是一把“雙刃劍”,它給人們帶來各種便利的同時也帶來了災(zāi)難。網(wǎng)絡(luò)信息系統(tǒng)是由現(xiàn)實社會的人們創(chuàng)立的,是人類傳統(tǒng)信息交流、傳播方式的延伸和拓展它與現(xiàn)實社會的信息活動方式既有聯(lián)系又有區(qū)別。因此,對網(wǎng)絡(luò)信息活動實施社會控制,既是必要的也是可能的,既要借助于現(xiàn)實社會已有的各種規(guī)范,又要結(jié)自身的特點,依據(jù)網(wǎng)絡(luò)發(fā)展的不同階段,制訂符合其發(fā)展規(guī)律的控制體系,從而推動網(wǎng)絡(luò)虛擬世界快速健康的發(fā)展。信息政策、信息法律的內(nèi)涵

國家信息政策和信息法規(guī)在信息產(chǎn)業(yè)的發(fā)展、信息環(huán)境的調(diào)節(jié)和信息資源的控制中起著重要的作用。信息政策是國家機關(guān)或社會團體根據(jù)社會發(fā)展需要而制定的,指導(dǎo)、推動、調(diào)節(jié)、管理信息事業(yè)發(fā)展的方針、原則和辦法。它是依賴國家的各級行政機構(gòu)來對信息行為進行強制控制和宏觀管理的一種手段。信息法律法規(guī)對信息工作者和信息利用者具有最強的約束力,它是由國家制定或認可,并依靠國家強制推行的信息行為規(guī)范體系,對觸犯法律的信息個人或集體,國家將依法予以制裁和懲罰。信息法規(guī)的主要內(nèi)容包括:規(guī)定信息社會關(guān)系的基本問題;規(guī)定信息民主和信息基本人權(quán)問題;規(guī)定信息技術(shù)規(guī)則的問題;規(guī)定電子計算機軟件 使用問題;規(guī)定有關(guān)信息污染問題等等。信息政策和信息法規(guī)作為兩種社會規(guī)范、兩種社會調(diào)整手段和社會信息環(huán)境管理手段,均承擔著各自的職能,對國家信息事業(yè)的持續(xù)、快速和健康發(fā)展有著舉足輕重的作用,信息政策是信息法律制定的基礎(chǔ),信息法律的制定往往滯后于信息社會發(fā)展的實際情況,一項信息政策經(jīng)過實踐證明在現(xiàn)在和將來一段時間內(nèi)是正確和有效的,可能就會通過立法程序,以法律的形式被固定下來。信息政策是一種行政手段,它所調(diào)整的社會關(guān)系要比信息法律、法規(guī)廣泛得多,而信息法規(guī)是一種法律手段,它所調(diào)整的一般是在信息活動中,對國家、社會有較大影響的社會關(guān)系領(lǐng)域。因此,信息法規(guī)是信息政策的升華,科學(xué)而合理的信息政策應(yīng)當受到信息法規(guī)的制約。信息政策、法規(guī)在網(wǎng)絡(luò)信息控制中的地位與作用

網(wǎng)絡(luò)信息活動比傳統(tǒng)方式的信息傳播、交流具有更大的自由度,但是這種自由是相對的,絕對的自由是不存在的。只有那些掌握網(wǎng)絡(luò)技術(shù),具有相應(yīng)教育和文

化水平的人,使自身的信息行為符合網(wǎng)絡(luò)運行與發(fā)展的規(guī)律,符合社會的法律、道德規(guī)范與發(fā)展要求時,才能在網(wǎng)絡(luò)上獲得最大的真正的自由。對網(wǎng)絡(luò)技術(shù)不熟悉的人是不可能獲得較大的信息自由的,而利用自身的信息技術(shù)優(yōu)勢,進行非

法活動的人,他們追求的絕對的自由也是不存在的。網(wǎng)絡(luò)信息問題的控制是存在多種方式方法的,我們應(yīng)從多個層面上去理解和把握,具體而言可分為文化道德層 面的控制,法律層面的控制,信息組織管理層面的控制和信息技術(shù)層面的控制。信息評價是網(wǎng)絡(luò)信息控制的重要手段,通過信息評價,為人們選擇思想健康、內(nèi)容科學(xué)、質(zhì)量可靠的優(yōu)質(zhì)信息提供保障。技術(shù)因素在網(wǎng)絡(luò)信息控制的許多方面具有一定的可行性,并且與信息評價、道德規(guī)范和法律制度相比,具有一定的控制優(yōu)勢網(wǎng)絡(luò)技術(shù)掌握在不同的人手中,其所起的作用是存在很大差別的。但是,并非所有的問題都能用技術(shù)手段來解決。信息技術(shù)的使用更多地是從預(yù)防的角度考慮的,它的實施還要與網(wǎng)絡(luò)本身的信息規(guī)范和有關(guān)法律相結(jié)合,才能取得最佳的效果。網(wǎng) 絡(luò)倫理道德對人們的信息行為具有較強的約束力,它是網(wǎng)絡(luò)信息控制的有機組成部分,它是協(xié)調(diào)網(wǎng)絡(luò)法律不健全和信息技術(shù)不足的重要手段。與現(xiàn)實世界的法律相比,網(wǎng)絡(luò)道德規(guī)范涉及的面要更加廣泛,它能夠約束法律規(guī)范所不能、不好涉足或者來不及涉足的大量信息行為?；ヂ?lián)網(wǎng)作為人們交流情感,發(fā)布、傳播信息的場所,自身存在大多數(shù)人共同遵守的行為準則,這些行為準則具有自律的性質(zhì), 其作用和影響不可忽視。信息倫理道德往往向著法律規(guī)制的方向發(fā)展,是信息法規(guī)制定的基礎(chǔ)。信息社會也是法制社會,一切自由的信息行為必須在法律的保障下依法進行,才能使互聯(lián)網(wǎng)得到健康有序的發(fā)展。目前,利用法律的規(guī)范性功能來預(yù)防和抑制網(wǎng)絡(luò)信息問題,已成為當今世界的共識。法律規(guī)范是從外部,用強制的手段對網(wǎng)絡(luò)參與者的信息行為進行約束,而網(wǎng)絡(luò)道德規(guī)范主要是從網(wǎng)絡(luò)成員內(nèi)部約束人們的信息行為。互聯(lián)網(wǎng)是一個全球性的市民社會,這一社會有自己的組織形式、價值標準和規(guī)則,可以脫離于政府而擁有較大的自治權(quán)力。由于不同國家和團體的價值觀念存在差異,要形成關(guān)于網(wǎng)絡(luò)的國際公約并非易事。因此,我們只能通過建立和健全國際網(wǎng)絡(luò)執(zhí)法機構(gòu),建立專門的執(zhí)法隊伍,在各國信息法規(guī)的制定中,將地區(qū)性原則與國際性原則,一般立法原則與網(wǎng)絡(luò)社會的特殊性原則,網(wǎng)絡(luò)的現(xiàn)實性原則與發(fā)展性原則結(jié)合起來,才能為網(wǎng)絡(luò)空間的管理營造良好的法制氛圍。不同國家信息政策、法規(guī)存在的差異

最早的信息法誕生于18世紀的歐洲, 1776年瑞典的《出版自由法》是最早的傳統(tǒng)意義的信息法。現(xiàn)代意義的與電子化相聯(lián)的信息法則興起于20世紀,主要是歐美等發(fā)達國家為適應(yīng)網(wǎng)絡(luò)環(huán)境下信息活動的需要而制定的。但是,不同國家由于政治制度、法律基礎(chǔ),文化背景、教育水平不同,信息技術(shù)的發(fā)展狀況、網(wǎng)絡(luò)技術(shù)的應(yīng)用與普及程度存在差異,由此造成信息政策、信息法規(guī)和管理制度的差 異.德 國

它是歐洲信息技術(shù)最發(fā)達的國家,其電子信息和通信服務(wù)已涉及該國所有的經(jīng)濟和生活領(lǐng)域。1997年6月該國通過了《信息與通信服務(wù)法》,并于1997年8月1日,付諸實施,這是世界上第一部對網(wǎng)絡(luò)空間的行為實施法律規(guī)范的國家專門立法,它確立了一些在電子網(wǎng)絡(luò)空間最基本的原則,如“自由進入互聯(lián)網(wǎng)的原則”、“對傳播內(nèi)容分類負責(zé)的原則”、“保護公民個人數(shù)據(jù)的原則”等等。德國政府明確表示,不能讓互聯(lián)網(wǎng)成為傳播色情和宣揚新納粹思想的場所。

英 國

為了保護知識產(chǎn)權(quán),保障兒童身心健康,英國曾經(jīng)制定頒布過不少法律條例,如《黃色出版法》、《青少年保護法》、《數(shù)據(jù)庫保護法》、《禁止泛用電腦法》等,并根據(jù)網(wǎng)絡(luò)發(fā)展的需要修改制定了部分法規(guī),例如, 1994年通過制定《犯罪制裁和公共秩序法》,對1978年制定的《兒童保護法》針對信息時代的需要進行了延伸。1996年9月,英國頒布了第一個網(wǎng)絡(luò)監(jiān)管行業(yè)性法規(guī)《3R安全規(guī)則》。所

謂的“3R”分別代表分級認定、舉報告發(fā)、承擔責(zé)任。1999年,英國政府又公布了《電子通信法案》的征求意見稿。這一草案的主要目的是為了促進電子商務(wù)的發(fā)展,并為社會各界樹立對電子商務(wù)的信心提供法律保證。與此同時,英國廣播電視的主管機構(gòu)———獨立電視委員會,依照英國廣播法,它有權(quán)對互聯(lián)網(wǎng)上的電視節(jié)目以及包含靜止或活動圖像的廣告進行管理,但它沒有直接行使對互聯(lián)網(wǎng) 的管理權(quán)利,而是致力于指導(dǎo)和協(xié)助網(wǎng)絡(luò)行業(yè)建立一種自我管理的機制。加拿大

為了促進網(wǎng)絡(luò)產(chǎn)業(yè)的快速發(fā)展,加拿大出于國家整體發(fā)展戰(zhàn)略的需要,其廣播電信委員會認為網(wǎng)絡(luò)不在《國家廣播法案》的管理權(quán)限之內(nèi),由傳統(tǒng)的廣播公司制作的網(wǎng)絡(luò)廣播也同樣不在該法案的管理之內(nèi),網(wǎng)絡(luò)產(chǎn)業(yè)的發(fā)展主要依靠行業(yè)內(nèi)的自我調(diào)節(jié),防火墻、加密技術(shù)等信息技術(shù)的運用以及國家的犯罪條例的實施。美 國

在美國,互聯(lián)網(wǎng)的飛速發(fā)展使原有的諸多法律遠遠不能適應(yīng)現(xiàn)實的需要,國會已經(jīng)和即將制定修改的涉及到互聯(lián)網(wǎng)的法律達100多種。在美國,其電子媒體,如廣播電視和電影較多地受到法律的限制,尤其是不道德和有傷風(fēng)化的內(nèi)容是絕對不合法的,會受到有關(guān)法律的懲罰;而印刷媒體,如報紙、雜志的出版發(fā)行則受到言論自由的保護?，F(xiàn)在,對于電子報紙應(yīng)該定義為印刷媒體還是電子媒體,法律界尚無一致的意見。將“言論自由”及“憲法第一修正案”奉為至高無上的美國,將無線電波認為是公共財產(chǎn),它們只能承載有限的頻道,卻面對眾多的觀眾,因而政府

有權(quán)對這種有限的資源進行管理。1996年2月8日,美國總統(tǒng)克林頓簽署了《1996電信法》,其中的第五部分《傳播凈化法案》(Communication De-cency Act)是為了保護未成年兒童專門制定的。這項法案受到了父母和老師的歡迎。但大多數(shù)的學(xué)者和網(wǎng)絡(luò)從業(yè)人員認為這項法案是對憲法第一修正案所保障的言論自由權(quán) 的限制,于是向費城法院提出訴訟。1996年12月,費城法院的聯(lián)邦法官否決了《傳播凈化法案》。同時,美國眾院司法委員會要求,色情郵件須加標注,使用戶可以不打開郵件直接將其刪除。1998年《兒童網(wǎng)上保護法》經(jīng)國會批準,并在克林頓簽署后成為法律。該法要求商業(yè)網(wǎng)站的運營者在允許互聯(lián)網(wǎng)用戶瀏覽對未成年人有害的內(nèi)容之前,先使用電子年齡驗證系統(tǒng)對互聯(lián)網(wǎng)用戶的年齡進行鑒別。但是, 這條法律從未正式實施過。它一經(jīng)頒布,就遭到來自美國民權(quán)聯(lián)盟以及包括雜志出版商和書商在內(nèi)的17個組織和企業(yè)的強烈反對。很多商業(yè)網(wǎng)絡(luò)公司對這項法案不置可否,他們認為應(yīng)該由網(wǎng)絡(luò)公司保留刪除淫穢、仇恨以及任何冒犯性內(nèi)容的權(quán)利。但是,全國廣播公司(NBC)、《華爾街日報》、CNN等一些已上網(wǎng)的美國主流新聞媒體表示愿意接受內(nèi)容評級。在美國圖書館中,安裝因特網(wǎng)信息過濾軟件,使用戶能夠安全地利用網(wǎng)絡(luò)信息資源,尤其是保護少年兒童的身心健康是一個具有爭議性的問題。因為因特網(wǎng)信息過濾涉及到有害信息的消除與言論自由保護的雙重壓力。一種觀點認為:“……為了保護我們的家庭和納稅人的權(quán)利,我們

不應(yīng)該讓色情信息從電子后門中進入政府資助的圖書館中。”與此相反的觀點認為:因特網(wǎng)享有最高級別的憲法保護,在學(xué)?；驁D書館中安裝過濾軟件實際上是一種審查,是與憲法保護的言論自由相違背的。有關(guān)調(diào)查表明,在美國有16·8%的圖書館安裝了過濾軟件, 83·2%的圖書館沒有安裝過濾軟件。目前,反對圖書館安裝過濾軟件的力量已經(jīng)匯聚成一股強大的洪流,他們展開了多方面的工作試 圖取消圖書館的因特網(wǎng)過濾政策。

新加坡

1996年7月,新加坡廣播管理局頒布了有關(guān)管理條例,并宣布對互聯(lián)網(wǎng)實施分類許可證管理制度,要求提供互聯(lián)網(wǎng)服務(wù)的公司對進入網(wǎng)絡(luò)的信息內(nèi)容進行監(jiān)督,以防止色情和容易引發(fā)宗教和政治動蕩的信息傳播。目的是鼓勵人們正當使用互聯(lián)網(wǎng),促進互聯(lián)網(wǎng)的健康發(fā)展,確保青少年的成長免受不良信息的干擾。中 國

我國的信息化起步雖然比較晚,傳統(tǒng)的信息法律大約自20世紀70年代至90年代相繼頒布,如《專利法》、《商標法》、《著作權(quán)法》等。但是,我國互聯(lián)網(wǎng)的法制管理進展較好,目前已頒布了一系列相應(yīng)的法律、法規(guī),如1994年2月18日頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》, 1996年2月1日發(fā)布,并于1997年5月20日修正的《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》, 2002年8月1日頒布了《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)域名管理辦法》等。2000年9月20日公布的《中華人民共和國電信條例》第五章五十七條中規(guī)定任何組織或者個人不得利用電信網(wǎng)絡(luò)制作、復(fù)制、發(fā)布、傳播含有下列內(nèi)容的信息:

(1)反對憲法所確定的基本原則的;(2)危害國家安全,泄露國家秘密、顛覆國家政權(quán),破壞國家統(tǒng)一的;(3)損害國家榮譽和利益的;(4)煽動民族仇恨、民族歧視,破壞民族團結(jié)的;(5)破壞國家宗教政策,宣揚邪教和封建迷信的;(6)散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;(7)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;(8)侮辱或者誹謗他人,侵害他人合法權(quán)益的;(9)含有法律的、行政法規(guī)禁止的其他內(nèi)容的。

2000年11月7日,我國發(fā)布了《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》。該規(guī)定第十四條指出:互聯(lián)網(wǎng)站鏈接鏡外新聞網(wǎng)站,登載境外新聞媒體和互聯(lián)網(wǎng)站

發(fā)布的新聞,必須另行報國務(wù)院新聞辦公室批準。由此表明,對互聯(lián)網(wǎng)信息的分類管理,在我國既是非常必要的,也是非常嚴格的。由此可見,由于不同國家的政治、文化背景不同,對網(wǎng)絡(luò)信息實現(xiàn)社會控制的認識是存在分歧的,具體的管理政策、法規(guī)也存在較大的差異,但是大部分國家已認識到對互聯(lián)網(wǎng)實現(xiàn)有效管理的重要性、必要性和可能性,已經(jīng)認識到網(wǎng)上不良信息給青少年成長造成的危害,并且不再將網(wǎng)絡(luò)空間視為一個特殊的無法控制的領(lǐng)域,現(xiàn)實生活中的許多法律只要經(jīng)過修改完善,同樣適用于網(wǎng)絡(luò)世界。

第三篇：信息安全管理

概述

1、信息安全定義：在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭至破壞、更改和泄露

2、分類：實體安全、運行安全、信息安全、管理安全

3、信息安全保障：人員、技術(shù)、管理

4、管理活動的五個基本要素：

誰來管：管理主體，回答由誰管的問題；

管什么：管理客體，回答管什么的問題；

怎么管：組織的目的要求，回答如何管的問題；

靠什么管：組織環(huán)境或條件，回答在什么情況下管的問題。

管得怎么樣：管理能力和效果，回答管理成效問題。

5、信息安全管理是通過維護信息的機密性、完整性和可用性等，來管理和保護信息資產(chǎn)的一項體制，是對信息安全保障進行指導(dǎo)、規(guī)范和管理的一系列活動和過程。

6、信息安全管理是信息安全保障體系建設(shè)的重要組成部分

7、信息安全管理的內(nèi)容：安全方針和策略；組織安全；資產(chǎn)分類與控制；人員安全；物理與環(huán)境安全；通信、運行與操作安全；訪問控制；

第四篇：信息安全管理規(guī)定

信息安全管理規(guī)定

目 錄

1.1.1信息安全管理規(guī)定...................................................2

一、總則........................................................2

二、適用范圍....................................................2

三、職責(zé)........................................................2

四、管理規(guī)定....................................................2

五、信息安全風(fēng)險評估............................................6

六、附則........................................................7 1.1.2.計算機病毒防范管理規(guī)定........................................8 1.1.3信息系統(tǒng)管理制度.................................................11

一、業(yè)務(wù)主管職責(zé)...............................................11

二、系統(tǒng)管理員具體職責(zé)：.......................................12

三、系統(tǒng)管理員操作管理制度.....................................12

四、系統(tǒng)管理員備份管理制度.....................................13

五、軟件管理制度...............................................13

六、數(shù)據(jù)管理制度...............................................14

七、系統(tǒng)維護管理制度...........................................15

八、檔案及數(shù)據(jù)管理制度.........................................16 1.1.4中心機房管理規(guī)定.................................................18

一、機房人員日常行為準則.......................................18

二、機房安全制度...............................................18

三、機房用電安全制度...........................................19

四、機房消防安全制度...........................................19

五、機房硬件設(shè)備安全使用制度...................................20

六、軟件安全使用制度...........................................21

七、機房資料、文檔和數(shù)據(jù)安全制度...............................22

八、機房財產(chǎn)登記和保護制度.....................................22

九、機房巡檢制度...............................................22

信息安全管理規(guī)定

1.1.1信息安全管理規(guī)定

一、總則

為加強公司管理處計算機信息體系資產(chǎn)安全的保護，保障公司信息化體系連續(xù)可靠正常地運行，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際網(wǎng)管理暫行規(guī)定》和相關(guān)行政法規(guī)，結(jié)合公司管理處實際狀況，特制訂本規(guī)定。

二、適用范圍

本規(guī)定適用于公司管理處所有員工，所有公司電子信息設(shè)備、版權(quán)軟件、電子信息系統(tǒng)、電子信息文件、客戶和廠商及兄弟單位提供給公司的所有電子信息資料的安全管理。

三、職責(zé)

3.1技術(shù)保障部負責(zé)本規(guī)定的制訂和修訂。3.2各級部門主管負責(zé)本規(guī)定在本部門的落實。

3.3技術(shù)保障部負責(zé)對本規(guī)定的執(zhí)行情況開展定期或不定期的檢查和指導(dǎo)。

四、管理規(guī)定 4.1電子產(chǎn)品資產(chǎn)管理

4.1.1公司所有辦公電腦（含筆記本電腦）與相關(guān)電子產(chǎn)品屬公司資產(chǎn)，任何部門及個人無權(quán)侵占、挪為私用。4.1.2公司所有辦公電腦及相關(guān)電子產(chǎn)品由技術(shù)保障部統(tǒng)一做資產(chǎn)編號、建立臺帳、調(diào)度分配，并發(fā)放給對應(yīng)的使用人員，資產(chǎn)掛靠人有該資產(chǎn)使用權(quán)，同時需承擔保管義務(wù)，任何遺失、人為破壞行為，需按照資產(chǎn)折舊值賠償。4.1.3公司所有辦公電腦及相關(guān)電子產(chǎn)品是公司配備給部門或個人的工作工具，任何人無權(quán)利用其做個人經(jīng)營或工作無關(guān)事宜，一經(jīng)發(fā)現(xiàn)提報人力資源部據(jù)公司相關(guān)規(guī)定處分。4.1.4未經(jīng)許可，不得擅自使用他人電腦，所有用戶需設(shè)置5分鐘密碼屏保，以確保離開后電腦不被他人使用。4.1.5人員離職、調(diào)崗時，請參照人事人員離職/換崗流程通知技術(shù)保障部協(xié)助所屬部門交接人員備份信息資料，接收、重新分配電腦。4.2賬號及密碼安全管理

4.2.1公司各自崗位管理員及用戶無條件對本人所負責(zé)的相關(guān)信息系統(tǒng)及軟硬件密碼負直接管理責(zé)任，未經(jīng)上級主管審批，不得將自己的賬號及密碼告訴其他人，造成損失者，對賬戶及密碼擁有人員酌情處分。

4.2.2機房設(shè)備及服務(wù)器、各信息系統(tǒng)管理員賬號統(tǒng)一由技術(shù)保障部對應(yīng)責(zé)任崗位負責(zé)，并定期修改密碼；密碼需統(tǒng)一登記在冊，并及時更新，由技術(shù)保障部經(jīng)理負責(zé)，出現(xiàn)重大泄露事件，對部門經(jīng)理及相關(guān)責(zé)任人處分。4.2.3公司官網(wǎng)、微信、微博等與公司宣傳有關(guān)的賬號、密碼，統(tǒng)一由市場營銷部門對應(yīng)崗位負責(zé)。

4.2.4因工作需要，在政府或第三方機構(gòu)等網(wǎng)站注冊的賬號、密碼，分別由各責(zé)任部門自行負責(zé)。

4.2.5具有信息系統(tǒng)權(quán)限的人員離職、調(diào)崗時，必須由技術(shù)保障部會簽離職、調(diào)崗相關(guān)單據(jù)，以及時處理相關(guān)權(quán)限。4.3計算機系統(tǒng)安全管理

4.3.1公司所有辦公電腦系統(tǒng)權(quán)限、安裝軟件、端口使用權(quán)限全部由技術(shù)保障部根據(jù)本規(guī)定統(tǒng)一設(shè)置、管控，特殊崗位因工作需要開通權(quán)限，需經(jīng)申請批準后由技術(shù)保障部執(zhí)行，任何未經(jīng)批準擅自更改者視情節(jié)嚴重性進行處分。4.3.2未經(jīng)技術(shù)保障部備案許可，嚴禁擅自安裝自帶軟件，私自安裝軟件造成的版權(quán)糾紛，將由個人承擔全部相關(guān)法律責(zé)任。

4.3.3公司所有辦公電腦嚴禁安裝游戲、工作無關(guān)軟件，技術(shù)保障部不定期檢查，對并違規(guī)行為做通報。4.4網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全管理

4.4.1任何部門和個人，不得利用計算機信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)從事危害國家利益、集體利益和公民合法權(quán)益的活動，不得利用國際互聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播違法信息，任何利用公司網(wǎng)絡(luò)所作的違法行為屬個人行為，將全部由個人承擔相關(guān)法律責(zé)任，公司將配合相關(guān)部門嚴厲查處。4.4.1.1煽動抗拒、違法亂紀、顛覆國家政權(quán)、分裂國家、破壞民族團結(jié)的；

4.4.1.2捏造或者歪曲事實，散布謠言，擾亂社會秩序的； 4.4.1.3宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；

4.4.1.4公然侮辱他人或者捏造事實誹謗他人的。4.4.2任何部門和個人不得從事下列危害公司或公共計算機信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)安全的活動，違者全部由個人承擔相關(guān)法律責(zé)任，并視情節(jié)嚴重性請相關(guān)部門追究法律責(zé)任。4.4.2.1故意制作、傳播計算機病毒等破壞性程序的； 4.4.2.2故意攻擊公共網(wǎng)絡(luò)、公共服務(wù)器、公司網(wǎng)絡(luò)、公司服務(wù)器的；

4.4.2.3其他故意危害公共網(wǎng)絡(luò)、公司網(wǎng)絡(luò)安全的行為。4.4.3 電腦IP地址是公司網(wǎng)絡(luò)管理的最重要基礎(chǔ)，公司所有辦公電腦（含筆記本電腦）由技術(shù)保障部統(tǒng)一分配IP地址，任何部門或個人無權(quán)擅自修改IP地址。

4.4.4不得利用公司網(wǎng)絡(luò)打游戲、看電影、下載工作無關(guān)資料。

4.4.5不得在公司內(nèi)部安裝、使用網(wǎng)絡(luò)代理軟件，以擾亂網(wǎng)絡(luò)管理機制。

4.4.6技術(shù)保障部需定期檢查、通報公司網(wǎng)絡(luò)使用狀況，并對違規(guī)者申請?zhí)幏帧?.5信息資料安全管理

4.5.1公司所有信息資料屬公司資產(chǎn)，各部門與個人有義務(wù)承擔本部門或個人信息資料的保密責(zé)任，并對所轄機密資料的安全承擔連帶責(zé)任。

4.5.2各部門主管需逐級制訂本部門機密資料的內(nèi)容、受限范圍、發(fā)放審批機制，并定期檢查、更新。

4.5.3未經(jīng)批準，不得把本部門機密資料放置在公共網(wǎng)絡(luò)、內(nèi)部不受限共享夾、或以其他任何方式發(fā)送給受限范圍以外的人員；任何有意、無意的泄密行為都是公司嚴厲禁止的，直至追究法律責(zé)任。

4.5.4對于部分有備份安全需求的部門，可申請由技術(shù)保障部統(tǒng)一安排部署備份服務(wù)器及備份機制。4.6中心機房安全管理

詳見《公司管理處中心機房管理規(guī)定》。4.7計算機病毒防范

詳見《公司管理處計算機病毒防范管理規(guī)定》 4.8監(jiān)控資料安全管理

4.8.1監(jiān)控資料調(diào)閱管理部門為技術(shù)保障部，安防監(jiān)控錄像調(diào)閱請參照綜合管理部相關(guān)規(guī)定。

五、信息安全風(fēng)險評估 5.1隨著信息技術(shù)的不斷發(fā)展、重大信息系統(tǒng)環(huán)境的不斷改進和改變，每年至少要進行一次信息安全風(fēng)險評估，對相關(guān)的制度進行重新審核，并更新不適當?shù)膬?nèi)容。

六、附則

6.1本規(guī)定由技術(shù)保障部負責(zé)解釋。

1.1.2.計算機病毒防范管理規(guī)定

為加強計算機的安全監(jiān)察工作，預(yù)防和控制計算機病毒，保障計算機系統(tǒng)的正常運行，根據(jù)國家有關(guān)規(guī)定，結(jié)合實際情況，制定本制度。

一、凡在公司內(nèi)所轄計算機進行操作、運行、管理、維護、使用計算機系統(tǒng)以及購置、維修計算機及其軟件的部門，必須遵守本制度。

二、本辦法所稱計算機病毒，是指編制或者在計算機程序中插入的破壞計算機系統(tǒng)功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

三、任何工作人員不得制作和傳播計算機病毒。

四、任何工作人員不得有下列傳播計算機病毒的行為： 故意輸入計算機病毒，危害計算機信息系統(tǒng)安全。向計算機應(yīng)用部門提供含有計算機病毒的文件、軟件、媒體。購置和使用含有計算機病毒的媒體。

五、預(yù)防和控制計算機病毒的安全管理工作，由技術(shù)保障部負責(zé)實施管理。其主要職責(zé)是

制定計算機病毒防治管理制度和技術(shù)規(guī)程，并檢查執(zhí)行情況； 采取計算機病毒安全技術(shù)防治措施；

對計算機信息系統(tǒng)使用人員進行計算機病毒防治教育和培訓(xùn)； 及時檢測、清除計算機系統(tǒng)中的計算機病毒，并做好檢測、清除的記錄；

購置和使用具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品；

對因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴重破壞等重大事故及時做好記錄，評估事故損失，保護現(xiàn)場并向公安機關(guān)報告。

六、計算機安全管理部門應(yīng)加強對計算機操作人員的審查，并定期進行安全教育和培訓(xùn)。

七、計算機信息系統(tǒng)應(yīng)用部門應(yīng)建立計算機運行記錄制度，未經(jīng)審定的任何程序、指令或數(shù)據(jù)，不得輸入計算機系統(tǒng)運行。

八、計算機安全管理部門應(yīng)對引起的計算機及其軟件進行計算機病毒檢測，發(fā)現(xiàn)染有計算機病毒的，應(yīng)采取措施加以消除，在未消除病毒之前不準投入使用。

九、通過網(wǎng)絡(luò)進行電子郵件或文件傳輸，應(yīng)及時對傳輸媒體進行病毒檢測，接收到郵件時也要及時進行病毒檢測，以防止計算機病毒的傳播。

十、積極接受公安機關(guān)對計算機病毒防治管理工作的監(jiān)督、檢查和指導(dǎo)。

十一 現(xiàn)對日常使用計算機做出如下建議 及時安裝系統(tǒng)補丁。建議使用系統(tǒng)自帶的更新程序進行系統(tǒng)更新，不要使用諸如360安全衛(wèi)士或qq電腦管家進行更新 安裝殺毒軟件?？梢园惭b360等免費殺毒軟件。

定期掃描系統(tǒng)是否感染有病毒，3天左右一次，可以在下班前或中午吃飯的時候進行全盤病毒查殺。定期更新防病毒軟件。

不要亂點擊鏈接和下載軟件,目前許多下載網(wǎng)站都帶有推廣鏈接，很容易造成誤操作.如需要下載軟件,請到正規(guī)官方網(wǎng)站上下載.不要訪問無名和不熟悉的網(wǎng)站,防止受到惡意代碼攻擊或是惡意篡改注冊表和IE主頁.不要陌生人和不熟悉的網(wǎng)友聊天,特別是那些QQ病毒攜帶者,因為他們不時自動發(fā)送消息,這也是其中毒的明顯特征.關(guān)閉無用的應(yīng)用程序,因為那些程序?qū)ο到y(tǒng)往往會構(gòu)成威脅,同時還會占用內(nèi)存,降低系統(tǒng)運行速度.安裝軟件時,切記不要安裝其捆綁軟件,尤其是部分流氓軟件,一旦安裝，想要卸載十分麻煩,甚至于需要重裝系統(tǒng)才能清除.不要隨意執(zhí)行附件中的可執(zhí)行文件，一般以.com,.exe.bat作為后綴名 這些附件極有可能帶有計算機病毒或是黑客程序，輕易運行，很可能帶來不可預(yù)測的結(jié)果。對于這些可執(zhí)行程序附件都必須檢查，確定無異后才可使用。不要隨意打開附件中的文檔文件 對方發(fā)送過來的電子函件及相關(guān)附件的文檔，首先要用另存為命令(Save As)保存到本地硬盤，待用病毒查殺軟件檢查無毒后才可以打開使用。如果用鼠標直接點擊兩下DOC、XLS等附件文檔，會自動啟用Word或 Excel，如有附件中有病毒則會立刻傳染;如有是否啟用宏的提示，那絕對不要輕易打開，否則極有可能感染上郵件病毒。

不要直接運行附件 對于文件擴展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含這些附件的電子函件，以保證計算機系統(tǒng)不受計算機病毒的侵害，或經(jīng)過掃描之后打開。

郵件設(shè)置如果是使用Outlook作為收發(fā)電子郵件軟件的話，應(yīng)當進行一些必要的設(shè)置。選擇工具菜單中的選項命令，在安全中設(shè)置附件的安全性為高;在其他中按高級選項按鈕，按加載項管理器按鈕，不選中服務(wù)器腳本運行。最后按確定按鈕保存設(shè)置。

外來U盤、移動硬盤、光盤等最好在裝有殺毒軟件的電腦上查毒確認無病毒后再打開、執(zhí)行、拷貝。1.1.3信息系統(tǒng)管理制度

一、業(yè)務(wù)主管職責(zé)

財務(wù)、綜管、營銷、運營等重點業(yè)務(wù)主管，負責(zé)協(xié)調(diào)本業(yè)務(wù)范圍內(nèi)信息系統(tǒng)的總體運行工作。具體職責(zé)包括：

1、負責(zé)本部門信息化崗位的設(shè)定和分配，結(jié)合本部門情況確定每個崗位的職責(zé)；

2、分配每一崗位人員操作權(quán)限，以書面形式通知系統(tǒng)管理員；

3、根據(jù)本單位的實際情況，總結(jié)系統(tǒng)存在的問題，并提出改進的建議；

4、研究本單位的需求，對信息系統(tǒng)提出新需求或升級的請求；

二、系統(tǒng)管理員具體職責(zé)：

1、負責(zé)系統(tǒng)軟件、硬件及數(shù)據(jù)庫的安裝與升級；

2、負責(zé)系統(tǒng)軟件、硬件及數(shù)據(jù)庫所有技術(shù)問題，保障系統(tǒng)正常運行；

3、負責(zé)服務(wù)器的硬軟件資源分配，監(jiān)控網(wǎng)絡(luò)的運行；

4、負責(zé)數(shù)據(jù)的備份與備份的恢復(fù)工作；

5、負責(zé)公司用戶權(quán)限的分配管理工作，做好數(shù)據(jù)的保密工作；

6、負責(zé)組織信息系統(tǒng)的培訓(xùn)工作；

三、系統(tǒng)管理員操作管理制度

1、操作人員(包括專業(yè)維護人員)必須嚴格按照操作權(quán)限操作，不得越權(quán)操作。每次操作應(yīng)記錄相應(yīng)的操作日記，日記包括操作時間、執(zhí)行命令等。

2、操作人員離開系統(tǒng)時，應(yīng)退出系統(tǒng)或進行系統(tǒng)封鎖。

3、管理員每周應(yīng)檢查數(shù)據(jù)備份情況，每月應(yīng)將其刻錄成光盤。

4、系統(tǒng)管理員變動前必須辦理交接手續(xù)，經(jīng)接管人員或監(jiān)交人員與系統(tǒng)管理員雙方簽字確認，作為檔案存檔。

四、系統(tǒng)管理員備份管理制度 具體內(nèi)容包括：

（1）管轄范圍內(nèi)的服務(wù)器地址分布；

（2）網(wǎng)絡(luò)服務(wù)器口令、數(shù)據(jù)庫超級口令、公司信息系統(tǒng)管理員口令；

（3）每年的歷史數(shù)據(jù)備份，本年的所有的數(shù)據(jù)備份；（4）系統(tǒng)培訓(xùn)資料；（5）系統(tǒng)維護記錄本；

（6）所有版本的公司信息系統(tǒng)軟件；（7）所有版本的數(shù)據(jù)庫管理系統(tǒng)軟件；（8）其他應(yīng)交接的內(nèi)容。

（9）對交接內(nèi)容應(yīng)進行相應(yīng)的測試，以確保交接質(zhì)量。一旦交接，接替人員或監(jiān)交人員應(yīng)立即更換所有口令，并開始承擔系統(tǒng)管理員的所有工作。

五、軟件管理制度

1、信息系統(tǒng)功能改動時，應(yīng)對其功能改動部分進行認真測試研究，確定新增功能的用法，防止工作的盲目性。

2、公司在組織軟件的升級工作時，一般應(yīng)在同一個會計期間內(nèi)一次性更換所有在用軟件，升級前應(yīng)通知各用戶，并對功能更動部分加以說明。

3、要嚴格保護所有在用軟件的版權(quán)，包括網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、軟件等。嚴禁將軟件以任何形式出售、轉(zhuǎn)讓或贈送給該范圍以外的任何單位或個人。

4、各單位要制定具體的防病毒措施。所有來歷不明的媒體介質(zhì)在使用前必須經(jīng)過病毒檢測，對所有在用計算機尤其是 NT 服務(wù)器必須定期進行病毒檢測。使用網(wǎng)絡(luò)的單位要嚴防病毒通過網(wǎng)絡(luò)傳播，辦公用計算機不能裝入各種游戲軟件。

六、數(shù)據(jù)管理制度

1、信息系統(tǒng)的數(shù)據(jù)管理是指數(shù)據(jù)不丟失、不損毀、不向無關(guān)人員泄露、不被非法修改，保障數(shù)據(jù)的安全要從技術(shù)和管理兩個方面著手，做好安全保密工作。

2、要經(jīng)常對系統(tǒng)中的數(shù)據(jù)進行備份，以便在計算機發(fā)生故障時可將數(shù)據(jù)恢復(fù)到最近狀態(tài)。數(shù)據(jù)備份的目標是防止任何時間發(fā)生的硬、軟件故障以及人為失誤造成的數(shù)據(jù)損毀，因此原則上要求在發(fā)生業(yè)務(wù)的當天都進行備份。具體備份模式為：

（1）每天在服務(wù)器上作一數(shù)據(jù)備份，（2）每周作一個異地備份，每月制作一份數(shù)據(jù)光盤；（3）每年年末制作雙備份, 存儲于不同的地點。

3、對備份的數(shù)據(jù)應(yīng)加強管理，防止被非法拷貝或毀壞。

4、采取各種措施來保障上網(wǎng)數(shù)據(jù)的安全性。要嚴密控制好數(shù)據(jù)庫及其服務(wù)器的口令，控制好各用戶的口令。

七、系統(tǒng)維護管理制度

1、系統(tǒng)維護管理是指為保障系統(tǒng)正常運行而進行的對硬件、網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、軟件及相關(guān)辦公自動化軟件進行的安裝、修正、更新版本、擴展、備份等操作以及對軟件應(yīng)用模式的設(shè)計及實施工作。系統(tǒng)的維護管理工作由系統(tǒng)管理員或由系統(tǒng)管理員授權(quán)的專業(yè)維護人員負責(zé)進行。未經(jīng)系統(tǒng)管理員授權(quán)的人員不得進行系統(tǒng)維護操作。

2、未經(jīng)系統(tǒng)管理員許可，不得在公司信息系統(tǒng)服務(wù)器上安裝其它硬、軟件，不得改變系統(tǒng)的運行環(huán)境。

3、系統(tǒng)運行時，應(yīng)獲得充分的維護保障。系統(tǒng)發(fā)生影響正常運行的故障時，系統(tǒng)理員應(yīng)及時給予處理。屬于系統(tǒng)優(yōu)化或不影響正常業(yè)務(wù)流程的問題，系統(tǒng)管理員應(yīng)進行合理的預(yù)計，提前規(guī)劃，制定實施方案以確保系統(tǒng)的平穩(wěn)運行。

4、系統(tǒng)運行中出現(xiàn)故障或出現(xiàn)不明意義的提示時，操作人員應(yīng)保護現(xiàn)場，及時與系統(tǒng)管理員聯(lián)系。由于操作人員擅自處理故障而引起的后果由操作人員自己負責(zé)。

5、系統(tǒng)管理員在不能直接排除故障并且沒有替代解決方案，應(yīng)請求上一級部門系統(tǒng)管理員或?qū)I(yè)維護人員的技術(shù)支持。

6、要建立系統(tǒng)管理維護記錄本實行系統(tǒng)維護記錄制度。對故障的發(fā)生時間、表現(xiàn)、解決辦法及結(jié)果等進行詳細的記錄，并由維護人員或系統(tǒng)管理員簽字。系統(tǒng)管理維護記錄本的登記要條理清楚、時間準確，字跡工整。

7、對于兩個以上的系統(tǒng)維護管理人員應(yīng)進行合理的分工，充分發(fā)揮系統(tǒng)管理員的作用，不斷加強系統(tǒng)維護的技術(shù)保障，逐步形成一套有效的系統(tǒng)維護管理體制。

八、檔案及數(shù)據(jù)管理制度

1、公司信息系統(tǒng)檔案包括：（1）數(shù)據(jù)庫備份資料 ；（2）軟件升級前的數(shù)據(jù)庫備份；

（3）打印輸出的經(jīng)過蓋章簽字的會計資料；

（4）每年一次的經(jīng)系統(tǒng)管理員簽字的系統(tǒng)管理維護記錄本存檔；

（5）所有版本的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫、軟件；（6）軟件的開發(fā)文檔、源程序；（7）其他應(yīng)該存檔的資料或數(shù)據(jù)。

2、打印輸出的憑證、報表、帳簿等各種會計資料的保存按財政部《會計檔案管理辦法》 執(zhí)行。數(shù)據(jù)庫的備份要永久保留。以膠片、磁、光等介質(zhì)保存的數(shù)據(jù)的檔案應(yīng)按照有關(guān)規(guī)定保存在溫濕度適宜、陽光不直射，并且不能被損害的場所。

3、以磁介質(zhì)存儲的數(shù)據(jù)應(yīng)定期更換新的介質(zhì)進行再拷貝。

4、本章未及內(nèi)容按照財政部《會計檔案管理辦法》 執(zhí)行。附件：補丁更新記錄臺帳、數(shù)據(jù)備份登記臺帳、服務(wù)器等設(shè)備維護登記表、檔案移交登記表的樣本。

1.1.4中心機房管理規(guī)定

為進一步做好公司信息化管理工作，提高精細化管理水平，降低辦公費用消耗，確保公司網(wǎng)絡(luò)通訊系統(tǒng)的暢通，按照公司《信息安全管理規(guī)定》，特制訂中心機房管理規(guī)定。

本規(guī)定適用于中心機房的管理，機房工作人員要認真遵守，并作為日常行為規(guī)范。

一、機房人員日常行為準則

1.1必須注意環(huán)境衛(wèi)生。禁止在機房內(nèi)抽煙、吃食物、隨地吐痰，保持機房無塵潔凈環(huán)境。

1.2機房用品要各歸其位，不能隨意亂放,不許堆放雜物。注意檢查機房的防曬、防水、防潮，維持機房環(huán)境通爽，保證機房的適當溫度和適度。

1.3中心機房每周清掃一次，物品要擺放整齊，保持安靜清潔的工作環(huán)境。

二、機房安全制度

2.1禁止帶領(lǐng)與機房工作無關(guān)的人員進出機房，建立機房準入制度，凡進入機房人員必須得到技術(shù)保障部經(jīng)理允許，并進行登記（格式見《公司管理處機房出入登記表》），由技術(shù)保障部人員全程陪同。

2.2未經(jīng)主管領(lǐng)導(dǎo)批準，禁止將密碼、信息外借透露給其它人員，同時有責(zé)任對信息保密。對于泄露信息的情況要及時上報，并積極主動采取措施保證機房安全。2.3重點做好機房防火、防水、防潮濕、防干燥、防短路、防斷路、防老鼠、防盜、防高溫，出現(xiàn)機房盜竊、破門、火警、水浸、110報警等嚴重事件時，網(wǎng)絡(luò)信息工作人員有義務(wù)以最快的速度和最短的時間到達現(xiàn)場，協(xié)助處理相關(guān)的事件。

2.4工作人員離開工作區(qū)域前，應(yīng)保證工作區(qū)域內(nèi)保存的重要文件、資料、設(shè)備、數(shù)據(jù)處于安全保護的狀態(tài)。

三、機房用電安全制度

3.1機房工作人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作知識，了解機房內(nèi)部的供電、用電設(shè)施的操作規(guī)程。掌握機房用電應(yīng)急處理步驟、措施、要領(lǐng)。定期檢查供電、用電設(shè)備、設(shè)施。

3.2機房不得亂拉亂接電線及用電設(shè)備。如發(fā)現(xiàn)用電安全隱患，應(yīng)及時采取措施解決，不能解決的必須及時向主管領(lǐng)導(dǎo)匯報。

3.3在危險性高的位置應(yīng)張貼相應(yīng)的安全操作方法、警示以及指引，實際操作時應(yīng)嚴格執(zhí)行。

3.4在外部供電系統(tǒng)停電時，機房工作人員應(yīng)全力配合完成停電應(yīng)急工作，啟動應(yīng)急設(shè)備，或及時關(guān)閉計算機系統(tǒng)。

四、機房消防安全制度

4.1機房管理人員應(yīng)熟悉機房內(nèi)部消防安全操作規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。4.2工作人員要保護消防設(shè)備不被破壞。如發(fā)現(xiàn)消防安全隱患，應(yīng)及時采取措施解決，不能解決的應(yīng)及時向相關(guān)負責(zé)人員提出解決。

4.3最后離開機房的工作人員，應(yīng)檢查消防設(shè)備的工作狀態(tài)消防器材的完好，關(guān)閉將會帶來消防隱患的設(shè)備，采取措施保證無人狀態(tài)下的消防安全。

五、機房硬件設(shè)備安全使用制度

5.1機房人員必須熟知機房內(nèi)設(shè)備的基本安全操作規(guī)則。應(yīng)定期檢查、整理硬件物理連接線路，定期檢查硬件運作狀態(tài)。

5.2禁止隨意在設(shè)備上進行安裝、拆卸硬件、或隨意更改設(shè)備連線、禁止隨意進行硬件復(fù)位。禁止在服務(wù)器上進行試驗性質(zhì)的配置操作，需要對服務(wù)器進行配置，應(yīng)在其它可進行試驗的機器上調(diào)試通過并確認可行后，才能對服務(wù)器進行準確的配置。

5.3對影響到全公司的硬件設(shè)備的更改、調(diào)試等操作應(yīng)預(yù)先發(fā)布通知，并且應(yīng)有充分的時間、方案、人員準備，才能進行硬件設(shè)備的更改。對重大設(shè)備設(shè)置的更改，必須首先形成方案文件，經(jīng)過討論確認可行后，由具備資格的技術(shù)人員進行更改和調(diào)整，并應(yīng)做好詳細的更改和操作記錄。對設(shè)備的更改、升級、配置等操作之前，應(yīng)對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先準備好后備配件和應(yīng)急措施。

5.4不允許任何人在服務(wù)器、交換設(shè)備等核心設(shè)備上進行與工作范圍無關(guān)的任何操作。不允許他人操作機房內(nèi)部的設(shè)備，對于核心服務(wù)器和設(shè)備的調(diào)整配置，需要主管領(lǐng)導(dǎo)同意后才能進行。

5.5要注意和落實硬件設(shè)備的維護保養(yǎng)措施。

六、軟件安全使用制度

6.1必須定期檢查軟件的運行狀況、定期進行數(shù)據(jù)和軟件日志備份。

6.2禁止在工作服務(wù)器上進行試驗性質(zhì)的軟件調(diào)試，禁止在服務(wù)器隨意安裝軟件。需要對服務(wù)器進行配置，必須在其它可行試驗的機器上調(diào)試通過并確認可行后，才能對服務(wù)器進行準確的配置。

6.3對會影響到全局的軟件更改、調(diào)試等操作應(yīng)發(fā)布通知，并且應(yīng)有充分時間、方案、人員準備，才能進行軟件配置的更改。對重大軟件配置的更改，應(yīng)先形成方案文件，經(jīng)過討論確定可行后，由具備資格的技術(shù)人員進行更改，并應(yīng)做好詳細的更改和操作記錄。對軟件的更改、升級、配置等操作之前，應(yīng)對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先備份原有軟件系統(tǒng)和落實好應(yīng)急措施。

七、機房資料、文檔和數(shù)據(jù)安全制度

7.1資料、文檔、數(shù)據(jù)等必須有效組織、整理和歸檔備案。禁止任何人員將機房內(nèi)的資料、文檔、數(shù)據(jù)、配置參數(shù)等信息擅自以任何形式提供給其他無關(guān)人員或向外隨意傳播。

7.2對于牽涉到網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的，應(yīng)由機房工作人員代為查閱，并只能向其提供與其當前工作內(nèi)容相關(guān)的數(shù)據(jù)或資料。

7.3重要資料、文檔、數(shù)據(jù)應(yīng)采取對應(yīng)的技術(shù)手段進行加密、存儲和備份。對于加密的數(shù)據(jù)應(yīng)保證其可還原性，防止遺失重要數(shù)據(jù)。

八、機房財產(chǎn)登記和保護制度

8.1機房的日常物品、設(shè)備、消耗品等必須有清晰的數(shù)量、型號登記記錄，對于公共使用的物品和重要設(shè)備，必須履行借取和歸還登記手續(xù)。

8.2機房工作人員應(yīng)有義務(wù)安全和小心使用機房的任何設(shè)備、儀器等物品，對于使用過程中損壞、消耗、遺失的物品應(yīng)匯報登記，并對責(zé)任人追究相關(guān)責(zé)任。

8.3未經(jīng)主管領(lǐng)導(dǎo)同意，不允許向他人外借提供機房設(shè)備和物品。

九、機房巡檢制度 9.1機房工作人員每日對中心機房按照《機房巡檢標準》進行巡檢

第五篇：信息安全管理協(xié)議書

信息安全管理協(xié)議書

甲 方 ：

乙 方 ：中國電信股份有限公司金華分公司

甲乙雙方就乙方為甲方提供網(wǎng)站接入服務(wù)經(jīng)友好協(xié)商達成如下協(xié)議：

甲方為乙方用戶，IP，甲方在乙方接入的網(wǎng)站所從事的業(yè)務(wù)嚴格遵守法律、法規(guī)、規(guī)章及政府部門、行業(yè)協(xié)會、行業(yè)組織的相關(guān)規(guī)定（包括但不限于：信部電[2005]501號《互聯(lián)網(wǎng)站管理工作細則》、國務(wù)院292號令《互聯(lián)網(wǎng)信息服務(wù)管理辦法》)，不從事任何違反法規(guī)的行為，不在互聯(lián)網(wǎng)上散布謠言、發(fā)布擾亂社會秩序的信息、不發(fā)布組織或?qū)嵤┻^激行為的信息、對所屬的網(wǎng)站加強監(jiān)管，發(fā)現(xiàn)違法的相關(guān)內(nèi)容及時進行制止和清理。

甲方嚴格按照依據(jù)《非經(jīng)營性互聯(lián)網(wǎng)備案管理辦法》等法律法規(guī)履行網(wǎng)站備案手續(xù)。承諾提交的所有備案信息真實有效，當備案信息發(fā)生變化時會及時提交更新信息。如因未及時更新而導(dǎo)致備案信息不準確，乙方有權(quán)依法對接入網(wǎng)站進行關(guān)閉處理，如備案信息不真實，將關(guān)閉網(wǎng)站并注銷備案。

甲方網(wǎng)站內(nèi)容如涉及新聞、出版、教育、醫(yī)療保健、藥品和醫(yī)療器械、廣播電視節(jié)目、音頻在線視頻、電子公告服務(wù)、游戲或其他需要相關(guān)部門進行專項審批的網(wǎng)站必須到相關(guān)部門通過前置審批后再到乙方進行網(wǎng)站報備工作。

乙方妥善保管核驗過程中獲取的網(wǎng)站主辦者證件信息、照片信息、《網(wǎng)站備案信息真實性核驗單》、與網(wǎng)站主辦者簽署的各項協(xié)議，保證信息不泄露，承擔對網(wǎng)站主辦者提交材料的信息安全保密管理責(zé)任。

乙方有權(quán)對甲方的網(wǎng)站備案和信息內(nèi)容進行監(jiān)管，有權(quán)在發(fā)現(xiàn)甲方的網(wǎng)站上存在備案問題或非法信息問題時，關(guān)停網(wǎng)站或服務(wù)器；若因甲方監(jiān)管不力，未及時進行網(wǎng)站備案或由于服務(wù)器上存在非法網(wǎng)站、非法信息導(dǎo)致的一切后果（包括但不限于經(jīng)濟責(zé)任、行政責(zé)任、法律責(zé)任等）由甲方自行承擔，與乙方無關(guān)。

甲方代表簽字：乙方代表簽字：

單位蓋章：單位蓋章：

年月日年月日