信息系統(tǒng)使用管理規(guī)范

年4月19日信息系統(tǒng)使用管理規(guī)范文檔僅供參考，不當(dāng)之處，請(qǐng)聯(lián)系改正。****管理制度信息系統(tǒng)使用管理規(guī)范制度代碼版本實(shí)施日期主編單位批準(zhǔn)人年月日說明：目錄TOC\o"1-1"\h\z\u第一章總則 1第二章網(wǎng)絡(luò)系統(tǒng)管理員 1第三章帳號(hào)使用及安全管理 2第四章計(jì)算機(jī)使用及安全管理 3第五章網(wǎng)絡(luò)系統(tǒng)使用及安全管理 4第六章電子郵件和互聯(lián)網(wǎng)安全管理 4第七章攜出電腦安全管理 5第八章監(jiān)督和檢查機(jī)制 5第九章附則 5第一章總則第一條為加強(qiáng)集團(tuán)信息安全管理，降低失密、泄密風(fēng)險(xiǎn)，特制定本規(guī)定。第二條本規(guī)定適用于集團(tuán)各單位和全體員工，管理內(nèi)容包括：帳號(hào)、計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)使用過程的安全管理；互聯(lián)網(wǎng)瀏覽、電子郵件、MSN等即時(shí)通訊系統(tǒng)的使用安全管理；信息化項(xiàng)目建設(shè)的安全管理。第二章網(wǎng)絡(luò)系統(tǒng)管理員第四條系統(tǒng)管理員指負(fù)責(zé)管理和保障集團(tuán)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)安全運(yùn)營的管理人員。其主要職責(zé)是負(fù)責(zé)集團(tuán)計(jì)算機(jī)設(shè)備（服務(wù)器、存儲(chǔ)等）、網(wǎng)絡(luò)及應(yīng)用系統(tǒng)、數(shù)據(jù)庫的運(yùn)行維護(hù)；負(fù)責(zé)進(jìn)行安全評(píng)估、安全審計(jì)及各類賬號(hào)、用戶權(quán)限的管理。第五條系統(tǒng)管理員分為最高系統(tǒng)管理員及各崗位系統(tǒng)管理員，最高系統(tǒng)管理員擁有本單位所有服務(wù)器、網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全管理、審核權(quán)限。各崗位系統(tǒng)管理員負(fù)責(zé)自己所管理服務(wù)器、網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全管理。第六條系統(tǒng)管理員需具備如下任職條件：（一）各單位最高系統(tǒng)管理員須計(jì)算機(jī)專業(yè)及計(jì)算機(jī)相關(guān)專業(yè)畢業(yè),有相應(yīng)崗位的專業(yè)技術(shù)認(rèn)證且在集團(tuán)服務(wù)三年以上，無違規(guī)記錄，由各單位IT人員負(fù)責(zé)人提名報(bào)各單位負(fù)責(zé)人審批同意后方可聘任。（二）各崗位系統(tǒng)管理員由各單位IT人員負(fù)責(zé)人指定，需要計(jì)算機(jī)專業(yè)及計(jì)算機(jī)相關(guān)專業(yè)畢業(yè)，有相應(yīng)崗位的專業(yè)技術(shù)認(rèn)證及五年以上所屬崗位系統(tǒng)的管理、運(yùn)維經(jīng)驗(yàn)。（三）系統(tǒng)管理員必須保證對(duì)公司的忠誠度，其任職前必須與集團(tuán)簽署保密協(xié)議及不低于3年的長期任職協(xié)議。系統(tǒng)管理員必須嚴(yán)格遵守國家法律、法規(guī)和行業(yè)規(guī)章，嚴(yán)守公司及崗位秘密。若有泄露安全信息、濫用權(quán)限等違記行為，一經(jīng)查實(shí)，即給開除處分，造成損失的，依法追究責(zé)任。第七條最高系統(tǒng)管理員及關(guān)鍵崗位系統(tǒng)管理員須設(shè)定為兩人。前者職能是對(duì)系統(tǒng)管理員賬號(hào)授權(quán)并分配相應(yīng)權(quán)限，后者職能為系統(tǒng)的具體操作和配置管理，嚴(yán)格實(shí)行授權(quán)賬戶與操作管理賬戶分離原則。第八條各網(wǎng)絡(luò)、服務(wù)器和應(yīng)用系統(tǒng)等應(yīng)啟動(dòng)安全審計(jì)功能，對(duì)上述各對(duì)象和系統(tǒng)管理賬號(hào)操作等進(jìn)行安全審計(jì)，進(jìn)而掌握各對(duì)象的運(yùn)行狀況，并對(duì)網(wǎng)絡(luò)使用的合規(guī)性具有監(jiān)督和建議權(quán)。第九條系統(tǒng)管理員離職，須提前一個(gè)月提出申請(qǐng)，與繼任者做好工作交接，期滿經(jīng)其簽字同意后，方可履行正常離職手續(xù)。拒絕履行上述程序的，視為違反保密協(xié)議，按照保密協(xié)議有關(guān)規(guī)定處理。第三章帳號(hào)使用及安全管理第十條本規(guī)定所指的“帳號(hào)”包含計(jì)算機(jī)硬件設(shè)備、操作系統(tǒng)以及應(yīng)用系統(tǒng)的登錄和操作帳號(hào)。第十一條每個(gè)帳號(hào)都必須明確“帳號(hào)責(zé)任人”。集團(tuán)在冊(cè)員工帳號(hào)的“帳號(hào)責(zé)任人”為員工本人，僅限本人使用，并對(duì)帳號(hào)使用過程承擔(dān)全部安全責(zé)任。對(duì)用于單位處理專項(xiàng)工作的電子郵件系統(tǒng)帳號(hào)，各單位須指定專門的帳號(hào)安全責(zé)任人，并報(bào)IT人員備案。第十二條集團(tuán)內(nèi)部員工每人只有一個(gè)賬號(hào)。帳號(hào)及權(quán)限的申請(qǐng)須經(jīng)帳號(hào)責(zé)任人所在公司人力資源部門審批后，報(bào)IT人員審核并開通。第十三條IT人員必須對(duì)用戶帳號(hào)進(jìn)行權(quán)限配置，使得用戶能夠使用集團(tuán)內(nèi)不同的系統(tǒng)或同一系統(tǒng)的不同功能。第十四條IT人員開通用戶帳號(hào)時(shí)禁止使用相同的初始密碼，集團(tuán)用戶首次登陸OA、ERP、郵件等應(yīng)用系統(tǒng)，必須更改初始密碼。普通用戶密碼長度不得少于6位（含）字符，并至少采用大寫字母、小寫字母、符號(hào)和數(shù)字其中的三種組合；系統(tǒng)管理員口令密碼長度不得少于12位字符，并必須包含大寫字母、小寫字母、符號(hào)和數(shù)字的全部組合。第十五條集團(tuán)用戶每三個(gè)月內(nèi)應(yīng)當(dāng)更改一次密碼，且更改后的新密碼不應(yīng)與最近前三次密碼重復(fù)。具備密碼強(qiáng)制更改措施的業(yè)務(wù)系統(tǒng)，IT人員應(yīng)啟用該功能模塊，定期強(qiáng)制用戶更改業(yè)務(wù)系統(tǒng)密碼；不具備該功能的系統(tǒng)，系統(tǒng)管理員最多每三個(gè)月通知用戶更改一次密碼。第十六條禁止將用戶名和密碼保存在公用計(jì)算機(jī)的自動(dòng)登陸程序中。禁止將帳號(hào)及密碼打印成紙制文件，禁止經(jīng)過非集團(tuán)內(nèi)電子郵件系統(tǒng)或者即時(shí)通訊系統(tǒng)傳輸用戶帳號(hào)和密碼。第十七條員工離職，人力資源部門應(yīng)當(dāng)通知IT人員及時(shí)關(guān)閉員工帳號(hào)及權(quán)限。第四章計(jì)算機(jī)使用及安全管理第十八條本規(guī)定所指的計(jì)算機(jī)包含集團(tuán)統(tǒng)一購置的辦公計(jì)算機(jī)（包括臺(tái)式機(jī)、筆記本、移動(dòng)上網(wǎng)本等）和服務(wù)器，以及集團(tuán)各下屬單位購置并接入集團(tuán)局域網(wǎng)處理集團(tuán)內(nèi)部業(yè)務(wù)的計(jì)算機(jī)。第十九條分配給個(gè)人使用的計(jì)算機(jī)，其使用人為設(shè)備責(zé)任人，公共計(jì)算機(jī)由資產(chǎn)所屬單位明確設(shè)備責(zé)任人。計(jì)算機(jī)設(shè)備責(zé)任人對(duì)該計(jì)算機(jī)使用過程承擔(dān)全部安全責(zé)任。第二十條計(jì)算機(jī)上禁止安裝和使用非辦公軟件，對(duì)于因員工自行安裝的各種軟件而發(fā)生信息安全事件或侵犯版權(quán)等法律、民事問題，由計(jì)算機(jī)設(shè)備責(zé)任人自行承擔(dān)全部責(zé)任。第二十一條禁止私自拆裝計(jì)算機(jī)或更改操作系統(tǒng)的安全配置，包括但不限于系統(tǒng)補(bǔ)丁更新、病毒庫更新、網(wǎng)絡(luò)連接、IE安全級(jí)別、代理服務(wù)器設(shè)置等。第二十二條U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備在打開前必須使用防病毒軟件清查病毒，如存在無法清除病毒則停止使用；在懷疑或確認(rèn)計(jì)算機(jī)感染病毒時(shí)，必須立即斷開網(wǎng)絡(luò)，并通知IT人員進(jìn)行處理，經(jīng)確認(rèn)已無安全隱患后再接入網(wǎng)絡(luò)。第二十三條員工離開計(jì)算機(jī)時(shí)，必須關(guān)閉計(jì)算機(jī)或啟用計(jì)算機(jī)安全密碼鎖定程序。第二十四條便攜式計(jì)算機(jī)（筆記本電腦）必須設(shè)置開機(jī)密碼和登陸操作系統(tǒng)密碼。有硬盤加密功能的，應(yīng)當(dāng)啟用該安全防護(hù)功能。第二十五條禁止在公用計(jì)算機(jī)（包括非個(gè)人專用筆記本、臺(tái)式機(jī)）上保存涉密信息。第二十六條計(jì)算機(jī)在送修前，計(jì)算機(jī)設(shè)備責(zé)任人必須將涉密信息轉(zhuǎn)出。計(jì)算機(jī)無法啟動(dòng)或計(jì)算機(jī)設(shè)備責(zé)任人無法完成轉(zhuǎn)出操作的，應(yīng)當(dāng)向IT人員請(qǐng)求技術(shù)支持。涉密文件所在計(jì)算機(jī)送修前，須送交IT人員進(jìn)行痕跡擦除處理。第二十七條計(jì)算機(jī)在退出當(dāng)前工作用途（更新、轉(zhuǎn)讓、報(bào)廢或員工辭職等）前，需在IT人員指導(dǎo)下，卸載計(jì)算機(jī)中已裝載的公司業(yè)務(wù)系統(tǒng)并刪除所有與工作相關(guān)的數(shù)據(jù)。第五章網(wǎng)絡(luò)系統(tǒng)使用及安全管理第二十八條已接入集團(tuán)網(wǎng)絡(luò)的計(jì)算機(jī)，禁止同時(shí)使用電話撥號(hào)、ADSL、私設(shè)無線網(wǎng)絡(luò)、運(yùn)營商3G上網(wǎng)卡、VPN、數(shù)據(jù)專線等方式接入互聯(lián)網(wǎng)或第三方網(wǎng)絡(luò)系統(tǒng)。第二十九條禁止員工私自在局域網(wǎng)內(nèi)安裝配置各種網(wǎng)絡(luò)設(shè)備（特別是無線網(wǎng)絡(luò)設(shè)備），確因工作需要臨時(shí)安裝的，必須報(bào)行政部審批后，由內(nèi)部IT專業(yè)人員進(jìn)行安全配置。第三十條重要會(huì)議、活動(dòng)等的原始會(huì)議紀(jì)要、錄音影像等保密性質(zhì)的原始文件資料，在必須傳遞時(shí)，應(yīng)以物理存儲(chǔ)方式（U盤、移動(dòng)硬盤等）進(jìn)行離線傳遞，嚴(yán)格禁止以設(shè)置網(wǎng)絡(luò)共享、郵件或即時(shí)通訊等方式進(jìn)行發(fā)布和傳遞。一般性會(huì)議、活動(dòng)的資料必須經(jīng)行政部門領(lǐng)導(dǎo)審核批準(zhǔn)后，方可進(jìn)行發(fā)布。第三十一條禁止以任何理由對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描。第三十二條禁止訪問包含色情、反動(dòng)等不良內(nèi)容的網(wǎng)站。第六章電子郵件和互聯(lián)網(wǎng)安全管理第三十三條“帳號(hào)責(zé)任人”對(duì)使用電子郵箱中的所有活動(dòng)和事件承擔(dān)全部責(zé)任。公共電子郵箱的使用僅限于申請(qǐng)郵箱時(shí)指定的業(yè)務(wù)工作。第三十四條“帳號(hào)責(zé)任人”應(yīng)當(dāng)謹(jǐn)慎防止公眾互聯(lián)網(wǎng)垃圾郵件或垃圾信息經(jīng)過郵件系統(tǒng)流入集團(tuán)內(nèi)部局域網(wǎng)絡(luò)。禁止使用“@*****.com”集團(tuán)工作郵箱作為個(gè)人在公眾互聯(lián)網(wǎng)上注冊(cè)個(gè)人信息時(shí)的郵箱。第三十五條員工開通訪問互聯(lián)網(wǎng)權(quán)限時(shí)，應(yīng)當(dāng)僅開通www、pop3、smtp和http通用協(xié)議。確因工作需要開通其它端口協(xié)議的，應(yīng)報(bào)行政部審批。第三十六條禁止員工本人使用或允許她人使用集團(tuán)網(wǎng)絡(luò)資源制作、復(fù)制、發(fā)布、傳播違反國家法律規(guī)定和違背集團(tuán)企業(yè)文化的信息。第七章攜出電腦安全管理第三十七條攜出電腦內(nèi)的重要文件必須設(shè)置密碼或加密處理。第三十八條員工使用電腦在公司外部上網(wǎng)時(shí)，應(yīng)啟用防病毒軟件和個(gè)人防火墻對(duì)筆記本電腦進(jìn)行保護(hù)。第三十九條攜出電腦禁止外借她人使用。第四十條員工應(yīng)對(duì)攜出電腦的資產(chǎn)、系統(tǒng)和信息安全負(fù)全責(zé)。第八章監(jiān)督和檢查機(jī)制第四十一條全體員工有責(zé)任和義務(wù)對(duì)違反信息安全管理規(guī)定的人員和事件進(jìn)行糾正，并可經(jīng)過信箱和電話等方式向相關(guān)領(lǐng)導(dǎo)和信息、安全管理部門進(jìn)行舉報(bào)。第四十二條安全管理人員有權(quán)對(duì)本單位使用網(wǎng)絡(luò)資源（計(jì)算機(jī)、網(wǎng)絡(luò)、郵箱、即時(shí)通訊等）訪問互聯(lián)網(wǎng)的行為進(jìn)行監(jiān)控和檢查。第四十三條行政部作為信息安全檢查的負(fù)責(zé)單位，針對(duì)本規(guī)定中的各項(xiàng)信