信息系統(tǒng)使用管理規(guī)范

***制度代碼 版本 實施日期 主編單位 批準人年月日說明：......................................................................................................................................................................................................................................................................................................................................................................................為加強集團信息安全治理，降低失密、泄密風險，特制定本規(guī)定。本規(guī)定合用于集團各單位和全體員工，治理內(nèi)容包括：帳號、計算機設(shè)備、網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)使用過程的安全治理；互聯(lián)網(wǎng)掃瞄、電子郵件、MSN等即時通訊系統(tǒng)的使用安全治理；信息化工程建設(shè)的安全治理。系統(tǒng)治理員指負責治理和保障集團計算機設(shè)備、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)安全運營的治理人員。其主要職責是負責集團計算機設(shè)備(效勞器、存儲等)、系統(tǒng)治理員需具備如下任職條件：(一)各單位最高系統(tǒng)治理員須計算機專業(yè)及計算機相關(guān)專業(yè)畢業(yè),有相應(yīng)崗位的專業(yè)技術(shù)認證且在集團效勞三年以上，無違規(guī)記錄，由各單位IT人員負責人提名報各單位負責人審批允許前方可聘任。(二)各崗位系統(tǒng)治理員由各單位IT人員負責人指定，需要計算機專業(yè)及計、運維閱歷。協(xié)議及不低于3行業(yè)規(guī)章，嚴守公司及崗位隱秘。假設(shè)有泄露安全信息、濫用權(quán)限等違記行為，一經(jīng)查實，即給開除處分，造成損失的，依法追究責任。最高系統(tǒng)治理員及關(guān)鍵崗位系統(tǒng)治理員須設(shè)定為兩人。前者職能是對系統(tǒng)治理員賬號授權(quán)并安排相應(yīng)權(quán)限，后者職能為系統(tǒng)的具體操作和配置治理，嚴格實行授權(quán)賬戶與操作治理賬戶分別原則。各網(wǎng)絡(luò)、效勞器和應(yīng)用系統(tǒng)等應(yīng)啟動安全審計功能，對上述各對象用的合規(guī)性具有監(jiān)視和建議權(quán)。期滿經(jīng)其簽字允許后，方可履行正常離職手續(xù)。拒絕履行上述程序的，視為違反保密協(xié)議，依據(jù)保密協(xié)議有關(guān)規(guī)定處理。本規(guī)定所指的“帳號”包含計算機硬件設(shè)備、操作系統(tǒng)以及應(yīng)用系統(tǒng)的登錄和操作帳號。每一個帳號都必需明確“帳號責任人”。集團在冊員工帳號的“帳號責任人”為員工本人，僅限本人使用，并對帳號使用過程擔當全部安全責任。對用于單位處理專項工作的電子郵件系統(tǒng)帳號，各單位須指定特地的帳號IT人員備案。集團內(nèi)部員工每人只有一個賬號。帳號及權(quán)限的申請須經(jīng)帳號責任人所在公司人力資源部門審批后，報IT人員審核并開通。IT人員必需對用戶帳號進展權(quán)限配置，使得用戶能夠使用集團內(nèi)不同的系統(tǒng)或者同一系統(tǒng)的不同功能。IT人員開通用戶帳號時制止使用一樣的初始密碼，集團用戶首次登陸OA、ERP、郵件等應(yīng)用系統(tǒng)，必需更改初始密碼。一般用戶密碼長度不得少于6位(含)字符，并至少承受大寫字母、小寫字母、符號和數(shù)字其中的三種12位字符，并必需包含大寫字母、小寫字母、符號和數(shù)字的全部組合。集團用戶每三個月內(nèi)應(yīng)當更改一次密碼，且更改后的密碼不應(yīng)與最近前三次密碼重復。具備密碼強制更改措施的業(yè)務(wù)系統(tǒng)，IT人員應(yīng)啟用該功多每三個月通知用戶更改一次密碼。制止將用戶名和密碼保存在公用計算機的自動登陸程序中。制止統(tǒng)傳輸用戶帳號和密碼。員工離職，人力資源部門應(yīng)當通知IT人員準時關(guān)閉員工帳號及權(quán)限。機、筆記本、移動上網(wǎng)本等)和效勞器，以及集團各下屬單位購置并接入集團局域網(wǎng)處理集團內(nèi)部業(yè)務(wù)的計算機。安排給個人使用的計算機，其使用人為設(shè)備責任人，公共計算機由資產(chǎn)所屬單位明確設(shè)備責任人。計算機設(shè)備責任人對該計算機使用過程擔當全部安全責任。計算機上制止安裝和使用非辦公軟件，對于因員工自行安裝的各制止私自拆裝計算機或者更改操作系統(tǒng)的安全配置，包括但不限于系統(tǒng)補丁更、病毒庫更、網(wǎng)絡(luò)連接、IE安全級別、代理效勞器設(shè)置等。U盤、移動硬盤等移動存儲設(shè)備在翻開前必需使用防病毒軟件清查病毒，如存在無法去除病毒則住手使用；在疑心或者確認計算機感染病毒時，必需馬上斷開網(wǎng)絡(luò)，并通知IT人員進展處理，經(jīng)確認已無安全隱患后再接入網(wǎng)絡(luò)。員工離開計算機時，必需關(guān)閉計算機或者啟用計算機安全密碼鎖定程序。便攜式計算機(筆記本電腦)必需設(shè)置開機密碼和登陸操作系統(tǒng)密碼。有硬盤加密功能的，應(yīng)當啟用該安全防護功能。涉密信息。計算機在送修前，計算機設(shè)備責任人必需將涉密信息轉(zhuǎn)出。計算機無法啟動或者計算機設(shè)備責任人無法完成轉(zhuǎn)出操作的，應(yīng)當向IT人員懇求技術(shù)支持。涉密文件所在計算機送修前，須送交IT人員進展痕跡擦除處理。前，需在IT人員指導下，卸載計算機中已裝載的公司業(yè)務(wù)系統(tǒng)并刪除全部與工作相關(guān)的數(shù)據(jù)。ADSL、私3G上網(wǎng)卡、VPN、數(shù)據(jù)專線等方式接入互聯(lián)網(wǎng)或者第三方網(wǎng)絡(luò)系統(tǒng)。制止員工私拘束局域網(wǎng)內(nèi)安裝配置各種網(wǎng)絡(luò)設(shè)備(特別是無線網(wǎng)絡(luò)設(shè)備)，確因工作需要臨時安裝的，必需報行政部審批后，由內(nèi)部IT專業(yè)人員進展安全配置。重要會議、活動等的原始會議記要、錄音影像等保密性質(zhì)的原始文件資料，在必需傳遞時，應(yīng)以物理存儲方式(U盤、移動硬盤等)進展離線傳制止以任何理由對網(wǎng)絡(luò)系統(tǒng)進展掃描。制止訪問包含色情、反動等不良內(nèi)容的網(wǎng)站?！皫ぬ栘熑稳恕睂κ褂秒娮余]箱中的全部活動和大事?lián)斎控熑巍９搽娮余]箱的使用僅限于申請郵箱時指定的業(yè)務(wù)工作。“帳號責任人”應(yīng)當慎重防止公眾互聯(lián)網(wǎng)垃圾郵件或者垃圾信www、pop3、smtp通用協(xié)議。確因工作需要開通其它端口協(xié)議的，應(yīng)報行政部審批。制止員工本人使用或者允許他人使用集團網(wǎng)絡(luò)資源制作、復制、公布、傳播違反國家法律規(guī)定和違反集團企業(yè)文化的信息。攜出電腦內(nèi)的重要文件必需設(shè)置密碼或者加密處理。員工使用電腦在公司外部上網(wǎng)時，應(yīng)啟用防病毒軟件和個人防火墻對筆記本電腦進展保護。攜出電腦制止外借他人使用。員工應(yīng)對攜出電腦的資產(chǎn)、系統(tǒng)和信息安全負全責。全體員工有責任和義務(wù)對違反信息安全治理規(guī)定的人員和大事報。安全治理人員有權(quán)對本單位使用網(wǎng)絡(luò)資源(計算機、網(wǎng)絡(luò)、郵箱、即時通訊等)訪問互聯(lián)網(wǎng)的行為進展監(jiān)