信息系统安全管理办法.docx
- 文档编号:6112656
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:6
- 大小:19.08KB
信息系统安全管理办法.docx
《信息系统安全管理办法.docx》由会员分享,可在线阅读,更多相关《信息系统安全管理办法.docx(6页珍藏版)》请在冰豆网上搜索。
信息系统安全管理办法
信息系统安全管理办法
第一章总则
第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。
第二条公司信息系统的安全与管理,由公司信息中心负责。
第三条本办法适用于公司各部门。
第四条
第二章信息中心安全职责
第五条信息中心负责公司信息系统及业务数据的安全管理.明确信息中心主要安全职责如下:
(一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行;
(二)负责公司收银机(POS)系统及收银网络的安全运行与维护;
(三)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用;
(四)保证业务软件进销调存数据的准确获取与运用;
(五)负责公司办公网络与通信的正常运行与安全维护;
(六)负责公司上网服务器的正常运行与上网行为的安全管理;
(七)负责公司杀毒软件的安装与应用维护;
(八)负责公司财务软件与协同办公系统的维护。
第六条及时向分管领导和股份公司总部信息中心汇报信息安全事件、事故。
第三章信息中心安全管理内容
第七条信息中心负责管理公司各服务器管理员用户名与密码,不得外泄。
第八条定期监测检查各服务器运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向主管领导与总部信息中心汇报,提出应急解决方案.如其他业务服务器出现异常,及时与合作方联系,协助处理。
第九条数据库是公司信息数据的核心部位,非经信息中心经理同意,不得擅自进入数据库访问或者查询数据,否则按严重违纪处理,造成数据破坏的,给予除名处理。
第十条信息中心在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。
第十一条业务软件系统服务器是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息中心必须做好设备的监测与记录工作,如遇异常及时汇报。
第十二条信息中心每天监测检查数据库备份系统,并认真做好日志记录,如遇异常及时向信息中心主管领导汇报。
第十三条机房重地,严禁入内。
中心机房环境要求严格,摆放设备异常重要,非经部门经理同意严禁入内。
外单位人员进入机房需由信息中心人员专人陪同进入。
如需要进行各项操作须经经理同意后方可进行操作。
第十四条信息中心负责收银机的安装与调试维护,收银网络的规划与实施。
第十五条POS机电源为专用电源(插销上贴有“专用电源"字样),任何部门、供应商及专柜均不得使用,确保后台主机正常运行。
第十六条任何部门、供应商及个人不得损坏POS机网线模块盒,确保POS机连网、传输数据等功能的正常使用。
第十七条如有违反上述规定的,一经发现给予500元-1000元的经济处罚。
第十八条信息中心负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。
包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。
个人不得擅自更改或者盗用IP地址.
第十九条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。
第二十条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息中心报告。
第二十一条信息中心负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备(交换机、网络模块).
第二十二条办公电脑安全操作管理
(一)各部门对自己使用的电脑负有管理责任,专人专机,谁使用、谁管理、谁负责。
(二)广播数据和文件时,必须先进行杀毒处理,如本机已确认带毒,不允许广播数据;
(三)经常检查计算机有无感染病毒,若发现计算机被病毒感染,应及时杀毒或报告信息中心人员;
(四)在长时间不使用时,需关闭电脑显示器、打印机等耗电设备;
(五)严格按操作程序正常开机、关机。
(六)不得在机桌、显示器的清洁,乱画、乱贴;
(七)不得将水杯放置在电源附近;
(八)不得接收来历不明的电子邮件,及时删除不明来历的电子邮件;
(九)不得擅自安装各种软件。
所有办公软件由信息中心人员统一负责安装调试;对网络共享设备要求在网管人员指导下操作。
(十)不得使用未经杀毒的软盘、光盘、U盘;
(十一)未经允许不得阅读他人文件、文档、电子邮件;
(十二)不得随意泄露自己的计算机登陆密码;
(十三)不得擅自转让用户账号,或将口令随意告诉他人;
(十四)不得冒用他人账号登录计算机(公用设备除外);
(十五)不得以任何形式泄露企业文档、数据等商业机密;
(十六)不得非法利用黑客程序进行密码破解。
第二十三条办公电脑安全使用管理
(一)利用计算机玩游戏、聊天、看电影;
(二)登入非法网站、浏览、接收非法信息.
(三)盗用未经合法申请的IP地址入网。
(四)对计算机硬盘格式化操作、改变机器配置.
(五)随意拆卸、搬动计算机设备、配件(键盘、鼠标等)。
(六)恶意访问和攻击网络服务器和他人计算机.
第二十四条各部门工作中如有违反上述各项规定,在信息中心维护工作中一经发现,有权向主管领导反映并提出处罚建议;给企业造成恶劣影响或后果的,视情况给与相应的经济或行政处罚。
第二十五条信息中心将期对各部门非工作相关的软件、文档、电影、歌曲、游戏、图片等进行清理,相关部门须积极配合,不得阻挠。
第二十六条信息中心负责公司各网络及办公电脑的病毒防护管理。
负责统一安装总部指定的卡巴斯基网络版杀毒软件,未经信息中心同意,各部门或个人不得擅自卸载或关闭。
第二十七条信息中心负责杀毒软件的安装、升级与日常维护.定期监测检查网络病毒异常情况,及时与总部信息中心联系,做好防护工作。
第二十八条信息中心定期对办公电脑和收银机进行防病毒维护.确保网络环境干净整洁。
第二十九条网站浏览安全
(一)在公司范围内禁止访问黄色网站、反动网站。
(二)禁止通过网络进行与工作无关的聊天.
(三)不得在上班时间访问与工作无关的网站.
(四)在浏览器中禁止让系统记住密码而实现自动登录。
(五)发现被感染病毒或被安装不明软件,要及时向向信息中心汇报
第三十条电子邮件安全
电子邮件是公司内以及对外交流的重要途径之一,其优点在于速度、信息结构、信息详细程度,弱点在于抵抗非法使用的脆弱性。
(一)账号维护:
1、电子邮件用户的使用者必须具有更改邮件账号密码的权限与技能。
2、对于电子邮件账号的维护应符合“账号、口令和权限管理”的要求。
(二)接收邮件:
1、收到电子邮件时,要确认邮件内容可识别,并给回复发件人,或电话通知发件人邮件已收到。
2、对于垃圾邮件,应将邮件发送地址列入拒收列表,并删除邮件。
3、一般不打开不明来源的电子邮件的附件,如果要打开就下载到本地计算机上进行杀毒后再打开。
4、因病毒感染了计算机,应关闭计算机或者拔掉网线,并立即通知管理员。
(三)发送邮件:
1、发送邮件时要确保收件地址正确,防止将邮件发送到错误地址造成泄密。
2、不得明文发送密级属于绝密或机密性质的信息,可通过信息加密后再传送的方法实现此类信息的传送,注意明文密码不可在邮件中传送。
3、不可采用匿名方式发送电子邮件。
4、对于紧急邮件,可表明急件.
5、不得发送诽谤电子邮件、进行骚扰或非法采购,不得发送国家法律禁止的信息。
第四章附则
第三十一条本办法自发布之日起执行。
第三十二条本办法执行过程中遇有问题,由公司信息中心负责解释.
附件:
业务软件应用信息系统用户账户与角色权限管理办法
附件:
业务软件应用信息系统用户账户与角色权限管理办法
一、目的
为加强公司业务软件应用信息系统用户账号和权限管理的规范化,确保应用信息系统安全、有序、稳定的运行,特制定本管理办法。
二、适用范围
适用于公司管理的业务软件应用信息系统。
三、术语和定义
用户:
被授权使用或负责维护应用信息系统的人员。
用户账号:
在应用信息系统中设置与保存、用于授权用户合法登录和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。
权限:
允许用户操作应用信息系统中某功能点或功能点集合的权利范围。
角色:
应用信息系统中用于描述用户权限特征的权限类别名称。
四、用户管理
(一)系统管理用户(super用户):
Super用户主要负责应用信息系统中的系统参数配置,用户账号开通与维护管理、设定角色与权限关系,系统日志管理以及数据管理等系统运行维护工作。
(二)普通用户
指由系统管理员在应用信息系统中创建并授权的非系统管理员用户,拥有在被授权范围内登录和使用应用信息系统的权限。
三、用户角色与权限关系:
业务软件应用信息系统通过建立一套角色与权限对应关系,控制用户操作权限。
四、用户账号实名制注册管理:
为保证公司应用信息系统的运行安全和对用户提供跟踪服务,用户账号的申请注册实行“实名制”管理方式,即在用户账号申请注册时必须由人事行政部向信息中心提供用户职工号,作为用户登录账号。
五、用户账号申请与审批
账号申请一般由本部门提出,人事行政部开通帐号,由信息中心负责开通账号权限。
六、安全管理
凡需要使用应用信息系统的用户,每人均须按照“实名制”方式申请一个仅限本人使用的用户账号。
不同用户的用户账号彼此之间不得随意借用,因借用账号操作而造成应用信息系统中数据信息或任何系统功能等方面的改变或后果,均由拥有该用户的账号的用户负责.
因工作调动或其他原因而不允许继续使用应用信息系统时,人事行政部应督促和确保该用户离职前及时申请注销相关用户账号;不论原用户是否知晓或同意,均禁止将其原账号转交其他人员继续使用。
七、附则
(一)本制度自发布之日起执行。
(二)本制度执行过程中遇到问题,由公司信息中心负责解释.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 管理办法