機房管理制度范本

1、CMT-OP-IT002共16頁 第 頁 生效日期：2008-04-05標(biāo)題：信息安全制度版本：A 版.IT室信息安全制度1、目的為了對信息安全工作進行有效地管理，防止由于各種原因造成泄密行為的發(fā)生，維護公司利益，保證公司生產(chǎn)經(jīng)營的順利進行，特制定本規(guī)定。2、適用X圍本規(guī)定適應(yīng)于操作部IT室所有員工，提供服務(wù)的外包商、承包商、供應(yīng)商以及其它被公司授權(quán)使用軟件系統(tǒng)、計算機和網(wǎng)絡(luò)系統(tǒng)的其它單位。3、職責(zé)3.1.IT經(jīng)理3.1.1對信息安全提出制定、實施要求，并監(jiān)督制定、實施全過程，定期審計信息安全實施管理進度、效果。3.1.2 對提報的電子信息是否涉密和涉密級別的初步方案進行最終確定。3.2.維管

2、組3.2.1負責(zé)制定計算機信息安全管理要求。3.2.2對內(nèi)部的員工進行安全教育，定期對內(nèi)部的人員的安全工作進行考核。3.2.3對提報的電子信息是否涉密和涉密級別的初步方案進行初步確定。3.3.IT室員工3.3.1.項目實施方案、流程、數(shù)據(jù)等涉密電子信息的實施者、使用者、管理者為該電子信息的XX直接責(zé)任人。3.3.2.IT室全體成員均有保守企業(yè)秘密和發(fā)現(xiàn)有泄密隱患進行報告的義務(wù)。3.3.3.有接受企業(yè)提供的安全培訓(xùn)，簽訂安全承諾協(xié)議并承諾保守XX的義務(wù)。4、定義企業(yè)秘密是指企業(yè)在生產(chǎn)、經(jīng)營、科研活動中所產(chǎn)生的，不為公眾知悉，能為企業(yè)帶來經(jīng)濟效益，一旦泄露會給企業(yè)帶來損害，并且具有實用性，已經(jīng)企業(yè)

3、采取XX措施的工作部署、技術(shù)工藝、產(chǎn)品開發(fā)和研制、營銷策略的情況、企業(yè)管理體制、生產(chǎn)動向和計劃、經(jīng)濟統(tǒng)計和財會數(shù)據(jù)等信息及其記錄的載體。5、 信息密級劃分 5.1.參考國家XX條例，將IT室的數(shù)據(jù)/文檔信息劃分為絕密、XX、秘密和非密四個類別四個類別。5.2.所有的文檔/文件在制作之前都必須區(qū)分密級，信息數(shù)據(jù)根據(jù)密級確定專人專管，察看翻閱密級為"秘密"以上數(shù)據(jù)信息的需經(jīng)IT經(jīng)理許可。6、辦公室信息安全要求6.1.不得在顯示器和辦公桌等明顯處粘貼寫了重要口令的便簽。6.2.辦公室電腦都應(yīng)設(shè)置復(fù)雜口令，特別要注意具有管理員權(quán)限的用戶。密碼不得隨意泄露，離開微機后必須鎖定系統(tǒng)。6

4、.3.一般情況不得共享文件夾，如因工作需要信息共享，必須采取加復(fù)雜的口令，使用完成要取消共享。6.4.在接收時要建立良好的安全習(xí)慣，具有一定的警惕性，對一些來歷不明的不要打開其，要立即刪除。6.5.所有單獨在房間的員工，在離開辦公室時必須鎖門。6.6.員工離開座位較長時間或下班后，辦公桌不能留有密級為秘密以上的文件。6.7.在員工調(diào)離或離職時，所有的訪問權(quán)限必須交還（包括但不限于員工卡、辦公室鑰匙、公司提供的辦公設(shè)備和介質(zhì)等）。6.8.任何文件材料都必須妥善處理,廢棄文件一律采取粉碎處理,不得隨意丟棄。7、接待管理在未經(jīng)IT經(jīng)理許可的情況下，不允許有以下活動：7.1.未獲得許可，不允許私自帶領(lǐng)

5、企業(yè)之外，或者與本部門無關(guān)的人員參觀IT辦公室、機房、監(jiān)控室、測試室、設(shè)備間等區(qū)域。7.2.未獲得許可，不允許接受任何的外部的訪談、咨詢或調(diào)查，書面的調(diào)查和咨詢，以及類似的要求。7.3.未獲得許可，不允許對外介紹企業(yè)現(xiàn)有的應(yīng)用系統(tǒng)，應(yīng)用的技術(shù)細節(jié)，操作流程等。7.4.未獲得許可，不允許對外介紹應(yīng)用的軟件的名稱、數(shù)量和分布等信息；7.5.未獲得許可，不允許對外介紹我們使用的硬件的名稱，數(shù)量和分布等信息；8、應(yīng)用系統(tǒng)安全要求8.1.新用戶申請企業(yè)內(nèi)部員工使用系統(tǒng)前必須經(jīng)過培訓(xùn)，并經(jīng)考試合格才能申請，填寫申請單，由所在部門主管和IT主管簽字方可開戶。客戶、外包商申請用戶需經(jīng).方可開戶。8.2.權(quán)限申

6、請及變更用戶崗位確定后方可申請或變更權(quán)限；需經(jīng)所在部門主管和IT主管簽字方可申請或變更權(quán)限。8.3.系統(tǒng)密碼要求告知用戶獲得ID后必須修改密碼。密碼不能低于6位；應(yīng)盡量包含字母、數(shù)字、標(biāo)點等多種組合；不能將用戶名、生日等作為密碼的一部分。9、網(wǎng)絡(luò)信息安全10、數(shù)據(jù)備份 為了實現(xiàn)確定的恢復(fù)功能，當(dāng)發(fā)生地震、水災(zāi)、火災(zāi)等不可抗拒的自然災(zāi)害或由于人為原因造成系統(tǒng)災(zāi)難性故障時，能保障計算機信息系統(tǒng)繼續(xù)正常運行，重要業(yè)務(wù)系統(tǒng)的系統(tǒng)管理員或者數(shù)據(jù)管理員，必須在系統(tǒng)正常運行時定期地或按照某種條件實施相應(yīng)的數(shù)據(jù)的備份。根據(jù)不同的恢復(fù)要求，應(yīng)有以下形式的備份：10.1.增量信息備份，由系統(tǒng)定時對新增信息進行備份

7、。10.2.局部系統(tǒng)備份，對某些重要的局部系統(tǒng)進行定期備份。10.3.熱備份，對系統(tǒng)的重要設(shè)備進行冗余設(shè)置，并在必要時能立即投入使用。10.4.全系統(tǒng)備份，定期對全系統(tǒng)的運行現(xiàn)場進行備份。10.5.建立容災(zāi)機房，使備份數(shù)據(jù)保存的物理位置應(yīng)該與業(yè)務(wù)系統(tǒng)服務(wù)器所在的物理位置有明顯的區(qū)別，以保證以外發(fā)生的時候，已經(jīng)備份的數(shù)據(jù)不會丟失。11、涉密電子信息泄密的處罰11.1.IT室全體成員均有保守企業(yè)秘密、和發(fā)現(xiàn)有泄密隱患進行報告的義務(wù).11.2.對泄密的直接責(zé)任人和間接責(zé)任人，IT室上報公司并根據(jù)公司和國家有關(guān)法律、法規(guī)視情節(jié)輕重進行行政處分或經(jīng)濟處罰。情節(jié)嚴(yán)重的，移交國家政法部門追究刑事責(zé)任；12、

8、附：常見泄密途徑及保護辦法 12.1.常見泄密途徑12.1.1.存放涉密電子信息的計算機安全防護不到位（比如密碼簡單、系統(tǒng)存在漏洞等）被黑客主動盜得。12.1.2.利用存放涉密電子信息的計算機上internet網(wǎng)，感染了木馬病毒，信息被木馬病毒傳播出去。12.1.3.涉密電子信息通過互聯(lián)網(wǎng)電子等形式傳遞過程中被截取。12.1.4.存放涉密電子信息的外部介質(zhì)（磁盤、U盤等）存放和管理不得位，被其他人員（同事或外公司人員）獲得。12.1.5.與外公司在項目洽談、項目實施過程中被外公司人員獲得。12.1.6.涉密電子信息的使用和管理人員離開公司將涉密電子信息帶走。12.1.7.涉密電子信息的使用和管理人員故意泄密。二、保護方法：12.2.1.存放涉密電子信息的計算機要建立臺帳重點控制，要求計算機維護人員定期檢查其安全性，杜絕一起安全隱患。12.2.2.存放涉密電子信息的計算機禁止上internet網(wǎng)，以防止信息通過internet網(wǎng)泄漏，防止感染木馬病毒。12.2.3.涉密電子信息禁止在沒有加密的狀態(tài)下通過互聯(lián)網(wǎng)電子等形式傳遞。12.2.4.存放涉密電子信息的外部介質(zhì)（磁盤、U盤等）的使用