网络安全信息系统设备管理规定

信息系统设备管理规定

目的和范围

本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制，在保证设备安全的前提下最大限度发挥设备的效能，同时减少由于设备入网造成安全安全风险。

1. 引用文件

(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求

(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则

(4) 介质管理规定

(5) 笔记本电脑管理规定

(6) 机房管理规定

2. 职责

1) 技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。

3. 设备管理流程

(1)设备入网

1) 需按设备本身提供的“设备安全操作说明书”进行正确操作和使用，设备在日常使用过程中应注意安全；

2) 系统工程师应查找有关的风险评估报告，确定准备入网的设备是否已做过风险评估。

3) 如果没有类似的设备做过风险分析和处置计划，则应按风险评估的要求，通知信息安全管理小组进行。

4) 如果做过风险分析和处置计划，则应按照相关的处置计划和实施要求，制定设备入网计划。

5) 系统工程师对计划入网的设备在独立的测试环境中进行测试，测试通过后提交综合部审批。

6) 技术部批准入网申请后,由系统工程师组织设备入网。

7) 设备入网应按照处置计划和入网计划对设备进行安全加固。

8) 对入网系统进行一段时间的监控，以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后，设备担当组织人员进行验收，并通知信息安全管理小组对系统进行安全检测。

(2)设备安置与保护

(3)信息设备安装管理

1) 技术部对信息设备安全的安置与保护工作，包括对温度、湿度的监测和日常的巡检等，详见《机房管理规定》。

2) 信息安全设备的安置应按照设备制造商的说明，安置工作由专业人员进行。

3) 信息安全设备安置要选择能够避免或减少未授权访问的物理场所，应采取措施以减小潜在的物理威胁的风险。

4) 重要系统使用的信息设备安置在专用的机房内。

5) 安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。

6) 确保消防设备充足并随时可用，定期进行消防演练。

(4)支持性设施安置管理

1) 技术部负责信息安全设备支持性设施的管理工作，包括提供、维护、维修等。

2) 对支持关键业务操作的信息设备，使用不间断电源（UPS）。UPS设备要定期地检查，，详见《机房管理规定》。

3) 应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

4) 技术部要确保通风和空调系统等运行良好，对其运行情况可进行定期检查。

(5)线缆安全

1) 公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余

线路或留有可替换线路，以保障线路的可用性。

2) 电缆要避开公众区域,铺设电缆要有线槽保护，以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。

3) 要采取切实有效的措施防范鼠患，防止电缆被鼠噬。

4) 电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化，详见《机房管理规定》。

(6)设备移动

1) 在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。

2) 公司原则上禁止机房设备移出公司物理环境。如确因工作需要，如展会、维修等，需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用，需经研发主管批准后才能移出公司的物理环境。

3) 如需要供应商将设备移出公司物理环境进行维修时，在设备移出前，设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。

4) 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管，不允许无人值守，适当时，还要施加其它措施进行控制，例如上锁，以防止损坏、盗窃等事件发生。

5) 笔记本在公司办公场所以外使用，依《笔记本电脑管理规定》。

(7)维护、保养

1) 机器设备日常维护由设备使用者在日常使用时进行，维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。

2) 定期维护由技术部专业工程师或供应商进行，定期维护根据不同设备决定不同的维护周期，从一周一次到半年一次不等，定期维护项目包括软硬件更换、性能检查、性能调优等。

3) 定期维护和年底维护后，要将维护项目、维护过程、维护人员、维护结果等内容详细记录在《设备维护记录》中。

(8)设备处置

1) 设备的处置由设备使用部门提出，经经总经理批准后，对设备进行处理；

2) 信息设备在处置过程中须考虑信息安全。

3) 设备报废前设备管理责任人要负责删除所有信息，对包含敏感信息的设备要对其信息载体在物理上应予以销毁，或者采用使原始信息不可获取的技术将

其安全地重写，如消磁。

4) 信息设备的报废工作由综合部负责，需要填写《废弃介质处置记录》,经总经理批准后，才能进行报废。

5) 对于因闲置、人员离辞或设备换代等原因不再使用的信息设备，特别是个人电脑，在设备归仓前，要采用信息不可获取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时，重用者不会获得与其工作无关的内容。

6) 对试用设备和测试设备（无论是自有的还是供应商的）中的信息在试用和测试后，由试用或测试人员立即清除，防止重要信息泄露。

7) 废弃介质处理方法参见《介质管理规定》

4. 实施策略

(1) 设备管理规定涉及到包括《设备维护记录》共1个表单。

(2) 对设备的定期维护等内容详细填写《设备维护记录》。

5. 相关记录

本程序发生的记录汇总表

表1-1 ISMS文件日常应用表格

目的和范围

6. 引用文件

(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求

(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则

(4) 介质管理规定

(5) 笔记本电脑管理规定

(6) 机房管理规定

7. 职责

8. 设备管理流程

(1)设备入网

1) 需按设备本身提供的“设备安全操作说明书”进行正确操作和使用，设备在日常使用过程中应注意安全；

2) 系统工程师应查找有关的风险评估报告，确定准备入网的设备是否已做过风险评估。

3) 如果没有类似的设备做过风险分析和处置计划，则应按风险评估的要求，通知信息安全管理小组进行。

4) 如果做过风险分析和处置计划，则应按照相关的处置计划和实施要求，制定设备入网计划。

5) 系统工程师对计划入网的设备在独立的测试环境中进行测试，测试通过后提交综合部审批。

6) 技术部批准入网申请后,由系统工程师组织设备入网。

7) 设备入网应按照处置计划和入网计划对设备进行安全加固。

(2)设备安置与保护

(3)信息设备安装管理

1) 技术部对信息设备安全的安置与保护工作，包括对温度、湿度的监测和

日常的巡检等，详见《机房管理规定》。

2) 信息安全设备的安置应按照设备制造商的说明，安置工作由专业人员进行。

3) 信息安全设备安置要选择能够避免或减少未授权访问的物理场所，应采取措施以减小潜在的物理威胁的风险。

4) 重要系统使用的信息设备安置在专用的机房内。

5) 安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。

6) 确保消防设备充足并随时可用，定期进行消防演练。

(4)支持性设施安置管理

1) 技术部负责信息安全设备支持性设施的管理工作，包括提供、维护、维修等。

2) 对支持关键业务操作的信息设备，使用不间断电源（UPS）。UPS设备要定期地检查，，详见《机房管理规定》。

3) 应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

4) 技术部要确保通风和空调系统等运行良好，对其运行情况可进行定期检查。

(5)线缆安全

1) 公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路，以保障线路的可用性。

2) 电缆要避开公众区域,铺设电缆要有线槽保护，以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。

3) 要采取切实有效的措施防范鼠患，防止电缆被鼠噬。

4) 电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化，详见《机房管理规定》。

(6)设备移动

1) 在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。

3) 如需要供应商将设备移出公司物理环境进行维修时，在设备移出前，设

备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。

5) 笔记本在公司办公场所以外使用，依《笔记本电脑管理规定》。

(7)维护、保养

1) 机器设备日常维护由设备使用者在日常使用时进行，维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。

3) 定期维护和年底维护后，要将维护项目、维护过程、维护人员、维护结果等内容详细记录在《设备维护记录》中。

(8)设备处置

1) 设备的处置由设备使用部门提出，经经总经理批准后，对设备进行处理；

2) 信息设备在处置过程中须考虑信息安全。

3) 设备报废前设备管理责任人要负责删除所有信息，对包含敏感信息的设备要对其信息载体在物理上应予以销毁，或者采用使原始信息不可获取的技术将其安全地重写，如消磁。

4) 信息设备的报废工作由综合部负责，需要填写《废弃介质处置记录》,经总经理批准后，才能进行报废。

6) 对试用设备和测试设备（无论是自有的还是供应商的）中的信息在试用和测试后，由试用或测试人员立即清除，防止重要信息泄露。

7) 废弃介质处理方法参见《介质管理规定》

9. 实施策略

(1) 设备管理规定涉及到包括《设备维护记录》共1个表单。

(2) 对设备的定期维护等内容详细填写《设备维护记录》。

10. 相关记录

本程序发生的记录汇总表

表1-2 ISMS文件日常应用表格

信息系统管理制度

信息系统运维管理制度为了规公司信息系统的管理维护，确保系统硬、软件稳定和安全运行，结合公司实际，制定本制度。制度包括信息机房管理、硬件管理、ERP系统应用管理、信息系统变更管理、信息系统应用控制。一、信息机房管理 1、硬件配备及巡检 1.1、格做好防鼠、防盗、UPS、恒温、恒湿等工作。 1.2、定期对机房硬件设备设施进行巡检，以保证其正常运行。 1.3、建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录，并认真填写。 2、出入管理 2.1、禁非机房工作人员进入机房，特殊情况需经人事总务部批准并进行登记后可进入。 2.2、进入机房人员应遵守机房管理制度，不乱动机房设备。 2.3、进入机房人员不得携带任易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。 3、安全管理 3.1、IT操作人员随时监控中心设备运行状况，发现异常情况应立即按照应急预案规程进行操作，并及时上报和详细记录。

3.2、未经批准，不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置。 3.3、软件系统的维护、增删、配置的更改，必须按规定详细记入相关记录，并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度，不得擅自泄露信息资料与数据。 3.5、机房禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。 3.6、禁在机房计算机设备上做与工作无关的事情（如聊天、玩游戏），对外来存储设备（如U盘、移动硬盘等），做到先杀病毒后使用。 3.7、机房禁乱拉接电源，应不定期对机房设置的报警、恒温设备进行检查，保障机房安全。 4、操作管理 4.1、从机房离开时，必须关闭显示器，关好门窗，关闭电灯，锁好机房门。 4.2、每对机房环境进行清洁，以保持机房整洁；每季度进行一次大清扫，对机器设备检查与除尘。 4.3、格做好各种数据、文件的备份工作。服务器数据库要定期进行双备份，并格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。 5、运行管理 5.1、机房的各类计算机设备，未经负责人批准，不得随意编写、修改、更换各类软件系统及更改设备参数配置。

(完整版)公司内部网络安全和设备管理制度

公司内部网络安全和设备管理制度 1、网络安全管理制度 (1)计算机网络系统的建设和应用，应遵守国家有关计算机管理规定参照执行； (2)计算机网络系统实行安全等级保护和用户使用权限控制；安全等级和用户使用网络系统以及用户口令密码的分配、设置由系统管理员负责制定和实施； (3)计算机中心机房应当符合国家相关标准与规定； (4)在计算机网络系统设施附近实施的维修、改造及其他活动，必须提前通知技术部门做好有关数据备份，不得危害计算机网络系统的安全。 (5)计算机网络系统的使用科室和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。对计算机网络系统中发生的问题，有关使用科室负责人应立即向信息中心技术人员报告；(6)对计算机病毒和危害网络系统安全的其他有害数据信息的防范工作，由信息中心负责处理，其他人员不得擅自处理； (7)所有HIS系统工作站杜绝接入互联网或与院内其他局域网直接连接。 2、网络安全管理规则 (1)网络系统的安全管理包括系统数据安全管理和网络设备设施安全管理； (2)网络系统应有专人负责管理和维护，建立健全计算机网络系统各种管理制度和日常工作制度，如：值班制度、维护制度、数据库备份制度、工作移交制度、登记制度、设备管理制度等，以确保工作有序进行，网络运行安全稳定； (3)设立系统管理员，负责注册用户，设置口令，授予权限，对网络和系统进行监控。重点对系统软件进行调试，并协调实施。同时，负责对系统设备进行常规检测和维护，保证设备处于良好功能状态； (4)设立数据库管理员，负责用户的应用程序管理、数据库维护及日常数据备份。每三个月必须进行一次数据库备份，每天进行一次日志备份，数据和文档及时归档，备份光盘由专人负责登记、保管； (5)对服务器必须采取严格的保密防护措施，防止非法用户侵入。系统的保密设备及密码、密钥、技术资料等必须指定专人保管，服务器中任何数据严禁擅自拷贝或者借用； (6)系统应有切实可行的可靠性措施，关键设备需有备件，出现故障应能够及时恢复，确保系统不间断运行； (7)所有进入网络使用的U盘，必须经过严格杀毒处理，对造成 “病毒”蔓延的有关人员，应严格按照有关条款给予行政和经济处罚； (8)网络系统所有设备的配置、安装、调试必须指定专人负责，其他人员不得随意拆卸和移动； (9)所有上网操作人员必须严格遵守计算机及其相关设备的操作规程，禁止无关人员在工作站上进行系统操作；

网络安全管理制度(最新版)

网络安全管理制度(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0652

网络安全管理制度(最新版) 为维护我校校园网的安全使用，特制订《拾万小学网络安全管理制度》，请所有使用网络的教工、学生自觉严格遵守。 1、学校成立网络管理领导小组。领导小组由校长范定全同志担任，组员由学校行政人员、各办公室主任和网络管理人员组成。 2、学校成立网络安全维护小组。组长由网络管理员杨道元同志担任，组员为各办公室主任及班主任组成。负责在网络管理领导小组指导下进行日常维护和安全监测。 3、学校鼓励各教室、办公室、专用室和全体师生使用各类网络资源，不得在使用过程中散布病毒，发表不适当言论。 4、网络维护小组根据区信息中心要求为每个教室、办公室、专用室、学生机房统一分配IP地址，其他人不得随意更改，如有需要

报维护小组进行修改。 5、各教室、办公室、专用室在使用网络过程中必须遵守国家有关法律、法规和区信息中心的有关规定。 6、用户在使用网络时违反国家法律和行政法规的，学校将视情节轻重给予警告、通报批评，情节特别严重构成犯罪的，报有关部门依法追究刑事责任。 7、禁止各用户上不良网站。通过聊天、邮件而传播网络病毒的，维护小组要及时提醒，要求该用户改正，如果是故意行为，将报学校网络管理领导小组进行严肃处理。 8、网络的主干通信设备、路由器、光电转换器、主干网络线路、服务器、网络交换机及其它公共设备由维护小组负责管理维护。 9、维护小组对各用户计算机进行对入网设备、安装的软件实行规范管理，不定期进行检查。对安装不健康内容、危害网络安全和一些游戏软件进行及时清除 10、网络信息是指通过网络发布、传递及存储在网络设备中的信息。学校鼓励教师使用网络上有用资源。

信息系统帐号管理系统规章制度

信息系统帐号管理制度第一节总则第一条为加强用户帐号管理，规范公司信息系统用户帐号的使用，确保用户帐号的安全性，特制定本制度。第二条本制度中系统帐号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户帐号。第三条用户帐号申请、审批及设置由不同人员负责。第四条系统拥有部门负责建立《岗位权限对照表》（附件六）。第五条本制度适用于公司总部和各分、子公司（含郑州研究院）。第二节普通帐号管理第六条申请人使用统一而规范的《帐号/权限申请表》（附件七）提出用户帐号创建、修改、删除/禁用等申请。第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。第九条帐号管理人员建立各种帐号的文档记录，记录用户帐号的相关信息，并在帐号变动时同时更新此记录，具体内容见《用户帐号记录》（附件八）。具体流程参见《普通帐号管理流程》（附件一）。第三节特权帐号和超级用户帐号管理第十条特权帐号指在系统中有专用权限的帐号，如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号，如root 等管理员帐号。

号。第十二条信息部每季度查看系统日志，监督特权帐号和超级用户帐号使用情况。第十三条尽量避免特权帐号和超级用户帐号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。第十五条超级用户帐号临时使用完毕后，帐号管理人员立即更改帐号密码。具体流程参见《特权帐号和超级用户帐号管理流程》（附件二）。第四节临时帐号管理第十六条使用临时帐号时（如内外部审计人员、临时岗位调动人员），须填写统一的《帐号/权限申请表》（附件七）。第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。第十九条帐号管理人员负责临时帐号的建立和记录。第二十条临时帐号使用完毕后，申请人及时通知帐号管理人员注销临时帐号。具体流程参见《临时访问帐号管理流程》（附件三）。第五节紧急帐号管理第二十一条根据紧急事件的等级建立相应权限的紧急帐号，专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。第二十四条紧急帐号使用完毕后，紧急帐号使用人员及时通知帐号管理人员禁

信息系统信息设备和保密设施设备管理制度

信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理，防止和杜绝失泄密事件的发生，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定，结合公司实际，特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统，保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序，经过申报、登记、审定，并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成，按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理，对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员，按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作，具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定，并在公司保密

办公网络安全管理制度

网络信息安全管理制度第一章计算机基础设备管理第1条各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员保管，保管人对计算机软、硬件有使用、保管责任。第2条公司计算机只有网络管理员进行维护时有权拆封，其它员工不得私自拆开封。第3条计算机设备不使用时，应关掉设备的电源。人员暂离岗时，应锁定计算机。第4条计算机为公司生产设备，不得私用，转让借出；除笔记本电脑外，其它设备严禁无故带出办公生产工作场所。第5条按正确方法清洁和保养设备上的污垢，保证设备正常使用。第6条计算机设备老化、性能落后或故障严重，不能应用于实际工作的，应报技术部处理。第7条计算机设备出现故障或异常情况（包括气味、冒烟与过热）时，应当立即关闭电源开关，拔掉电源插头，并及时通知计算机管理人员检查或维修。

第8条公司计算机及周边设备，计算机操作系统和所装软件均为公司财产，计算机使用者不得随意损坏或卸载。

第二章计算机系统应用管理第9条公司电脑的IP地址由网络管理员统一规划分配，员工不得擅自更改，更不得恶意占用他人的地址。第10条计算机保管人对计算机软硬负保管之责，使用者如有使用不当，造成毁损或遗失，应负赔偿责任。第11条计算机保管人和使用人应对计算机操作系统和所安装软件口令严格保密，并至少每180天更改一次密码，密码应满足复杂性原则，长度应不低于8位，并由大写字母、小写字母、数字和标点符号中至少3 类混合组成；对于因为软件自身原因无法达到要求的，应按照软件允许的最高密码安全策略处理。第12条重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘〔一般为C：盘）以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份，以防丢失。公司设立文件服务器，重要文件应及时上传备份，各部门专用软件和数据由计算机保管人定期备份上传，需要信息技术部负责备份的应填写《数据备份申请表》，数据中心信息系统数据应按备份管理相关要求备份。

网络安全管理制度

网络安全管理制度公司网络安全管理制度第一条目的为维护公司网络安全，保障信息安全，保证公司网络系统的畅通，有效防止病毒入侵，特制定本制度。第二条适用范围本制度适用于公司网络系统管理。第三条职责 1、集团业务处负责公司网络系统的安全管理和日常系统维护，制定相关制度并参加检查。 2、集团办公室会同相关部门不定期抽查网络内设备安全状态，发现隐患及时予以纠正。 3、各部门负责落实网络安全的各项规定。第四条网络安全管理范围网络安全管理须从以下几个方面进行规范：物理层、网络层、平台安全，物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。第五条机房安全 1、公司网络机房是网络系统的核心。除管理人员外，其他人员未经允许不得入内。 2、管理人员不准在主机房内会客或带无关人员进入。 3、未经许可，不得动用机房内设施。第六条机房工作人员进入机房必须遵守相关工作制度和条例，不得从事与本职工作无关的事宜，每天上、下班前须检查设备电源情况，在确保安全的情况下，方可离开。第七条为防止磁化记录的破坏，机房内不准使用磁化杯、收音机等产生磁场的物体。第八条机房工作人员要严格按照设备操作规程进行操作，保证设备处于良好的运行状态。

第九条机房温度要保持温度在20±5摄氏度，相对湿度在70%±5%。第十条做好机房和设备的卫生清扫工作，定期对设备进行除尘，保证机房和设备卫生、整洁。第十一条机房设备必须符合防雷、防静电规定的措施，每年进行一次全面检查处理，计算机及辅助设备的电源须是接地的电源。第十二条工作人员必须遵守劳动纪律，坚守岗位，认真履行机房值班制度，做好防火、防水、防盗等工作。第十三条机房电源不可以随意断开，对重要设备必须提供双套电源，并配备UPS电源供电。公司办公楼如长时间停电须通知各部门，制定相应的技术措施，并指明电源恢复时间。设备安全管理第十四条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况，发现问题及时向领导报告，遇有紧急情况，须立即采取措施进行妥善处理。第十五条负责保持机房的卫生及对温度、湿度的调整，负责监视并制止违章操作及无关人员的操作。第十六条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备，确需移动的要经技术部领导同意。第十七条在维护与检修计算机及设备时，打开机箱外壳前须先关闭电源并释放掉自身所带静电。网络层安全第十八条公司网络与信息系统中，在网络边界和对外出口处配置网络防火墙。第十九条未实施网络安全管理措施的计算机设备禁止与

信息系统管理制度

信息系统管理制度第一章总则第一条为了保护公司计算机信息系统安全，规范信息系统管理，合理利用信息系统资源，推进公司信息化建设，促进计算机的应用和发展，保障公司信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为公司生产经营服务，根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规，结合公司实际情况，制定本制度。第二条本制度所称的信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，应当保障信息的安全，保障计算机功能的正常发挥，保障应用系统的正常运行，以维护计算机信息系统的安全运行。第二章硬件第四条按照谁使用谁负责的原则，落实责任人，负责保管所用的网络设备和线路的完好。两人以上的用户，必须明确一人负责。第五条计算机设备的日常维护由各业务部门、子公司、分支机构负责。计算机设备和软件发生故障或异常情况，由公司网管统一进行处理。第六条按照作息时间准时开关机，及时处理有关文件，严禁使用公司计算机玩游戏、听音乐、看影碟等。第七条计算机操作人员应保持计算机环境清洁，下班之前退出所有程序关闭计算机，切断插板电源后方可下班离开。第八条各负责人应对计算机定时杀毒，对外来不明存储设备，必须经过严格的病毒检测，方可使用。第三章软件及账号管理制度

第九条各业务部门、分公司配备的计算机及网络设备根据使用者落实到人，各责任人对于计算机系统必须设置账号密码，严格控制非使用人员使用计算机，使用软件系统必需经公司批准，使用分配的账号，并设置密码后方可使用，网络管理员根据企业制度的账号管理规则对用户账号实行管理，并对用户账号的安全和保密负责。第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作公司信息系统，严禁使用外来存储设备，以防泄密和病毒侵入。第十一条操作计算机时不得使用一些危险性的命令，严禁分区及格式化硬盘等操作。第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作无关的软件程序，但经审批通过的管理软件除外。第四章网络和互联网访问第十三条未经网管批准，任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数，外部电脑未经网管允许，常州千红生化制药股份有限公司信息系统管理制度不得接入公司网络。第十四条网络使用划分为五级安全保护等级，联接局域网内的任何一台计算机按照确定的等级进行使用，不得随意更改，用途须与工作有关，使用互联网必须遵守国家相关法律法规，否则其所带来的后果由用户责任人承担。第一级：办公电脑可以在网络监控下，使用互联网，访问外部网站，能够使用外部即时通信工具。第二级：办公电脑可以在网络监控下，使用互联网，访问外部网站，只能访问指定的网站，不能使用外部即时通信工具。第三级：办公电脑只能在公司局域网内联网，使用公司内部的网络资源，不能够联接互联网。第四级：办公电脑只能在本部门或分公司网段联网，可以使用公司统一资源，不能访问跨部门网络资源。

网络安全管理制度

和平中心网络安全管理制度第一条为切实加强中心网络安全管理工作，维护网络的正常运行，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》及其他有关法律法规的规定，特制定本规范。第二条网络管理员及各科室负责人负责中心网络安全管理的具体事务，对中心网络安全管理工作应履行下列职责：1．传达并执行上级有关网络安全的条例、法规，并制止有关违反网络安全条例、法规的行为。 2．确定安全管理责任人：网络安全负责人为办公室主任XX，网络安全员为网管XX。 3．购置和配备应用与网络安全管理的软、硬件（如防火墙、路由器、杀毒软件等）。 4．对中心网上发布的信息进行安全检查和审核。第三条中心网络管理员在办公室的领导下具体负责中心的网络安全和信息安全工作，包括网络安全的技术支持、信息发布的审核、重要信息的保存和备份以及不良信息的举报和协助查处工作。第四条中心网络管理员可对中心内所有计算机进行安全检查，相关部门或个人应积极配合，提供有关情况和资料。

第五条中心任何部门或个人通过网络存取、处理、传递属于机密的信息，必须采取相应的保密措施，确保机密安全。重要部门的计算机应重点加强安全管理和保卫工作。第六条中心所有计算机的网络配置（如IP地址等）应由网络管理员统一规划与配置，任何部门或个人不得擅自更改配置信息。第七条禁止职工浏览色情网站、利用网络散布反动言论等，如有违反，应按中心有关规定严肃处理。第八条中心应建立网站和个人主页的备案、定期审核制度。中心网站的建设应本着有利于对内对外的宣传、有利于工作生活、有利于节约网络资源的原则，严格履行备案和定期审核的手续。未经审核或审核不合格的网站或个人主页应予以取缔。第九条中心任何部门或个人在公网上建设网站、主页，要严格遵守有关法规，不得损害中心的声誉和利益。第十条中心任何部门和个人不得利用网络危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益，不得从事任何违法犯罪活动。第十一条中心任何部门和个人不得利用网络制作、复制、查阅和传播下列信息： 1．煽动抗拒、破坏宪法和法律、行政法规实施的； 2．煽动颠覆国家政权，推翻社会主义制度的； 3．煽动分裂国家、破坏国家统一的；

信息系统维护管理制度

信息系统运维管理制度为了规范公司信息系统的管理维护，确保系统硬、软件稳定、安全运行，结合公司实际，制定本制度。制度包括信息机房管理、服务器管理、信息系统应用管理、信息系统变更管理、信息系统应用控制。一、信息机房管理 1、硬件配备及巡检 1.1、各单位信息机房按规定配备防静电地板、UPS、恒温设备、温湿度感应器、消防设备、防鼠设施等相关基础设施。 1.2、各单位机房管理人员应定期（如每月或每季度）对机房硬件设备设施进行巡检，以保证其有效性。 1.3、各单位机房应建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录，并认真填写。 2、出入管理 2.1、严禁非机房工作人员进入机房，特殊情况需经信息中心批准，并认真填写登记表后方可进入。 2.2、进入机房人员应遵守机房管理制度，更换专用工作鞋。 2.3、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

3、安全管理 3.1、操作人员随时监控中心设备运行状况，发现异常情况应立即按照应急预案规程进行操作，并及时上报和详细记录。 3.2、未经批准，不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置； 3.3、软件系统的维护、增删、配置的更改，必须按规定详细记入相关记录，并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度，不得擅自泄露信息资料与数据。 3.5、机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。 3.6、严禁在机房计算机设备上做与工作无关的事情（如聊天、玩游戏），对外来存储设备（如U盘、移动硬盘等），做到先杀病毒后使用。 3.7、机房严禁乱拉接电源，应不定期对机房内设置的消防器材、烟雾报警、恒温设备进行检查，保障机房安全。 4、操作管理 4.1、机房的工作人员不得擅自脱岗，遇特殊情况离开时，需经机房负责人同意方可离开。 4.2、机房工作人员在有公务离开岗位时，必须关闭显示器；离开岗位1小时以上，必须关闭主机及供电电源。 4.3、每周对机房环境进行清洁，以保持机房整洁；每季度进行一次大清扫，对机器设备检查与除尘。

设备信息系统运行管理办法

神华乌海能源公司机电设备管理信息系统运行管理办法 1 总则 1.1为进一步提高机电设备管理水平，公司统一部署实施了机电设备管理信息系统，为了保证机电设备管理信息系统的正常运行，特制定本办法。 1.2本办法适用范围：乌海能源公司实施机电设备管理信息系统的使用单位和相关业务管理单位。 1.3本办法为原则性纲领文件，项目实施过程中已制定的具体技术管理制度为本办法的附件，各单位应严格按照相关附件规定进行工作。 2 目的 2.1公司各单位所有的机电设备台帐，要按照规则要求全部录入本系统中管理，机电设备相关的图纸、技术文档也应制作成电子版本，关联至系统本设备台帐项下。机电设备台帐和图纸资料应定期维护、更新，确保信息真实、完整。 2.2公司各单位机电设备维修、管理人员的简历，要按照规则要求全部录入本系统中管理，员工信息应定期维护、更新，确保信息真实、完整。 2.3公司各单位应改变过去的事后维修为以预防为主的维修策略，机电设备应按照规则编制建立预防性维护体系，定期工作、点巡检、润滑等作业程序应严格按照相关法律法规、厂家要求、实际使用经验编制，合理制定作业计划，确保作业人员按要求执行。 2.4公司各单位机电设备的隐患管理到维修处理应形成一个完整的闭环管理模式。发现隐患应及时登录本系统中，需要处理的隐患应及时开出工单，按照设定的流程审核批准后，维修人员凭批准工单开始维修工作。维修结束后应由点检人员验收合格后关闭工单，工单关闭后隐患才可认为已消除。 3 职责 3.1 机电动力部职责： 3.1.1机电动力部是公司机电设备管理信息系统的业务主管部门，应设专人负责监控和维护机电设备管理信息系统的日常运行。

公司网络安全管理守则流程.doc

公司网络安全管理制度流程1 精心整理页脚内容公司网络安全管理制度?为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。? 一、网络系统的安全运行，是公司网络安全的一个重要内容，有司专人负责网络系统的安全运行工作。二、网络系统的安全运行包括四个方面：一是网络系统数据资源的安全保护，二是网络硬件设备及机房的安全运行，三是网络病毒的防治管理，四是上网信息的安全。? （一）?数据资源的安全保护。网络系统中存贮的各种数据信息，是生产和管理所必须的重要数据，数据资源的破坏将严重? 1 21? 123、要加强对各网络安全的管理、检查、监督，一旦发现

问题及时上报公司负责人。 4、禁止利用计算机玩游戏、聊天、看电影、视频；禁止浏览进入反动、色情??邪教等非法网站、浏览非法信息以及电子信息收发有关上述内容的邮件；不得通过互联网或光盘下载安装传播病毒以及黑客程序。? 5、?严禁任何人员利用公司网络及电子邮件传播反动、黄色、不健康及有损企业形象的信息。 6、?使用QQ 、MSN 等聊天工具做与工作无关的事情。??? 7、?过量下载或上传，使用迅雷、网际快车、BT 、电驴等占用网络资源的软件进行下载。??? 8、?对于公司内部的一些共享资源使用，任何人禁止随意访问未经授权的网络资源，禁止随意进入他人的主机及其共享文件夹。用户应当对其共享资源进行加密。公司网络安全管理制度3篇1 公司网络安全管理制度3篇1

为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。一、网络系统的安全运行，是公司网络安全的一个重要内容，有司专人负责网络系统的安全运行工作。二、网络系统的安全运行包括四个方面：一是网络系统数据资源的安全保护，二是网络硬件设备及机房的安全运行，三是网络病毒的防治管理，四是上网信息的安全。 (一) 数据资源的安全保护。网络系统中存贮的各种数据信息，是生产和管理所必须的重要数据，数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份，规定如下： 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份 3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查，数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量，一般应

信息网络安全管理制度

一、信息网络安全管理制度 1.局域网由市公司信息中心统一管理。 2.计算机用户加入局域网，必须由系统管理员安排接入网络，分配计算机名、IP地址、帐号和使用权限，并记录归档。 3.入网用户必须对所分配的帐号和密码负责，严格按要求做好密码或口令的保密和更换工作，不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位，必须是字母数字混合。 4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时，应及时重新设置该岗帐号和工作口令。 5.凡需联接互联网的用户，必需填写《计算机入网申请表》，经单位分管领导或部门负责人同意后，由信息中心安排和监控、检查，已接入互联网的用户应妥善保管其计算机所分配帐号和密码，并对其安全负责。不得利用互联网做任何与其工作无关的事情，若因此造成病毒感染，其本人应付全部责任。 6.入网计算机必须有防病毒和安全保密措施，确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换，必须进行病毒检查。因违反规定造成电子数据失密或病毒感染，由违反人承担相应责任，同时应追究其所在部门负责人的领导责任。 7.所有办公电脑都应安装全省统一指定的趋势防病毒系统，并定期升级病毒码及杀毒引擎，按时查杀病毒。未经信息中心同意，不得以任何理由删除或换用其他杀毒软件（防火墙），发现病毒应及时向信息中心汇报，由系统管理员统一清除病毒。 8.入网用户不得从事下列危害公司网络安全的活动：（1）未经允许，对公司网络及其功能进行删除、修改或增加；（2）未经允许，对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加；（3）使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准，不得擅自拷贝提供给外单位或个人，如因非法拷贝而引起的问题，由拷贝人承担全部责任。 9.入网用户必须遵守国家的有关法律法规和公司的有关规定，如有违反，信

信息系统账号管理制度最新版

信息系统账号管理制度第一节总则第一条为加强用户账号管理，规范用户账号的使用，提高用户账号的安全性，特制定本制度。第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户账号。第三条本规定所指账号管理包括： 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。第四条系统拥有部门负责建立《岗位权限对照表》（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。第五条信息中心根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。第六条用户账号申请、审批及设置由不同人员负责。第二节普通账号管理第七条申请人使用统一而规范的《账号/权限申请表》（附件二）提出用户账号创建、修改、删除/禁用等申请。第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。第九条在受理申请时，权限管理人员根据申请配置权限，在系统条件具备的情况下，给用户分配独有的用户账号或禁用用户账号权限，以使用户对其行为负责。一旦分配好账号，用户不得使用他人账号或者允许他人使用自己的账号。第十条新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。第十一条人员离职的情况下，该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后，人力资源部需通过邮件或书面的方式通知员工所属部门主

管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请删除离职人员账号及权限。第十二条账号管理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记录。第三节特权账号和超级用户账号管理第十三条特权账号指在系统中有专用权限的账号，如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如administrator （或admin）、root等管理员账号。第十四条只有经授权的用户才可使用特权账号和超级用户账号，严禁共享账号。第十五条信息中心每季度查看系统日志，监督特权账号和超级用户账号使用情况，并填写《系统日志审阅表》（附件三）。第十六条尽量避免特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。第十八条超级用户账号临时使用完毕后，账号管理人员立即更改账号密码。第四节用户账号及权限审阅第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅，并填写《账号/权限清理清单》（附件四）。第二十条信息中心指定专人负责每季度对系统层面账号及权限进行审阅，并填写《账号/权限清理清单》。第二十一条员工离职后，账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员，则及时更改特权账号或超级用户口令。

公司网络安全管理规定定稿版

公司网络安全管理规定 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】

关于公司网络安全管理制度的规定一、目的为进一步加强公司网络管理，规范上网行为，提高工作效率，保障公司信息安全，有效防范网络风险和计算机病毒，结合我公司实际情况，经研究决定，特制定本管理办法。二、适用范围适用于所有办公计算机及使用人。三、上网行为规范 1、上网权限： 1)岗位工作特性需要上网的可直接开通上网（如：企划、信息等）； 2)副经理(含)及以上级别员工(包括总监秘书，助理等职位)可直接开通上网权限；副经理级以下级别员工因工作需要，需申请开通上网权限者，须由所在部门领导提出申请，经批准后方可开通； 3)人力资源部门负责招聘的岗位需要上互联网发布和查看简历，可申请批准开通上网权限； 4)财务部门网上报税岗位可申请批准开通上网权限； 5)采购部门需要利用互联网查询产品信息，可申请批准开通上网权限；

6)各部门主管应根据部门内各岗位职责，严格控制互联网访问权限，工作内容与互联网无关的，不予开通上网权限。 2、普通违规行为 1)除浏览了解时事新闻外等静态网页外，访问其他工作无关网页、娱乐网站及 BBS、BLOG等。 2)上班时间使用QQ、MSN等聊天工具聊与工作无关事情。 3)利用公司电脑玩游戏，观看和下载音乐、电影、电视剧、体育比赛等视频节目。 4)访问流媒体网站：如土豆网、优酷网等。 5)下载及安装无关公司业务的软件，如：股票软件，娱乐软件，利用公司电脑和网络进行私人业务活动，如炒股，网上购物等。 3、严重违规行为 1)使用迅雷、BT电驴等P2P下载工具，造成公司整体网络速度变慢，影响其他同事正常使用网络的。 2)在网络上制作和传播不健康和有伤风化的信息，浏览色情、赌博等非法网站。 3)在网上发表、传播反党反社会言论，一经发现，除按本安全管理第五条处罚规定处罚外，即刻开除，并报送公安机关。

网络安全管理管理制度

网络安全管理制度为确保单位网络安全、高效运行和网络设备运行处于良好状态，正确使用和维护网络设备安全，特制定本制度。 1、未经相关部门批准，任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。任何人不得进入未经许可的计算机系统更改系统信息和用户数据。 3、机关局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害单位稳定的有关信息。 4、网络(内部信息平台)帐号采用分组管理。并详细登记：用户姓名、部门名称、口令，存取权限，开通时间，网络(内部信息平台)资源分配情况等。 5、网络(内部信息平台)管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息等资料泄露出去。网络管理员协助制定网络(内部信息平台)建设方案，确定网络(内部信息平台)安全及资源共享策略。 6、严格遵守国家、自治区、自治州制定的相关法律、行政法规，严格执行《网络安全工作制度》，以人为本，依法管理，确保网络(内部信息平台)安全有序。

& 7、所有用户有责任对所发现或发生的违反有关法律，法规和规章制度的人或事予以制止或向我部信息安全协调科反映、举报，协助有关部门或管理人员对上述人或事进行调查、取证、处理，应该向调查人员如实提供所需证据。 8、在发生网络(内部信息平台)重大突发事件时，应立即报告，采取应急措施，尽快恢复网络(内部信息平台)正常运行。 9、充分利用现有的安全设备设施、软件，最大限度地防止计算机病毒入侵和黑客攻击。14、经常检查网络(内部信息平台)工作环境的防火、防盗工作。 10、单位应定期查毒，(周期为一周或者10天)管理员应及时升级病毒库，并提示各部门对杀毒软件进行在线升级。密码安全保密制度 11、涉密移动存储介质未经批准不得擅自带离本单位，确因工作需要携带外出的，须履行登记备案手续，并经领导批准。严禁将涉密移动存储介质借给外单位或他人使用。 12、涉密移动存储介质需维修的，由单位技术人员送至有保密资质的单位现场监修，严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复，必

信息系统帐户密码管理规定

信息系统帐户密码管理规定 This model paper was revised by the Standardization Office on December 10, 2020

信息账户、密码管理规定 1.目的：为进一步加强与规范公司信息系统帐户、密码的管理，提高信息系统的安全性，避免信息系统权限的滥用以及机密信息的泄漏，特制定本规定。 2.范围：适用范围：本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应用系统（包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等）以及各类网络设备必须遵守本条例的规定。发布范围：国美电器总部各中心、各大区所有人员。 3.名词解释：信息系统帐户、密码：特指国美电器有限公司信息系统中所使用的各类用于系统身份识别的账户及密码。 4.职责：总部信息中心及分部IT部门：总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。

总部信息中心信息安全部负责的制度的执行情况进行检查与监督。其他部门及全体员工：负责员工个人的系统帐户、密码的使用及管理，并对该帐户的所有行为负责。 5. 管理制度：帐户、密码的管理：信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置；信息管理中心信息安全部将负责对执行情况进行监督与复核。总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作，但必须遵守本条例的规定；总部信息管理中心信息安全部将进行不定期审计。账户、密码的使用及维护：网络设备、服务器设备以及应用系统的管理员账户（超级用户）由信息管理中心统一制定与分发，并授权相应的系统管理人员使用与维护，但必须遵守本条例的相关规定以及其他相关安全制度的要求，确保其安全性。系统管理员账户（超级用户）的使用范围授权严格受限，所有系统中必须开启超级用户的使用日志审计功能。

信息系统信息设备和保密设施设备管理制度守则

精心整理信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理，防止和杜绝失泄密事件的发生，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、《保密本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。

4)公司各涉密部门需设系统管理员、安全保密员，按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作，具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘，经环境，按照涉密计算机申报登记程序，报公司保密办公室。 6)公司保密办公室对申请变更为非涉密计算机进行检查，收回硬盘，到具有处理资质的单位进行集中销毁，确认计算机内不包含任何形式的国家秘密信息后，批准变更，并注销涉密计算机编号。 4.管理制度

公司涉密信息系统、信息设备的保密管理遵循“业务谁主管、保密谁负责”、“谁使用、谁负责”的原则，明确制度、分清职责、分级管理、逐级落实。各部门主管领导负责本部门涉密计算机的保密管理工作，并负有领导责任。同时，要指定人员具体负责涉密计算机的保密管理工作。公司保密办公室对全公司涉密计算机的保密工作进行指导、协调、监督和检查。并负责培训涉密计算机安全保密管理人员，查 ●数字证书机制； ●密码口令。密码口令长度不得少于十个字符，定期更换，采用大小写英文字母、数字和特殊字符等两者以上的组合。密码(钥)应与计算机分离，妥善保管。

公司网络安全管理制度

公司网络安全管理制度为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。一、网络系统的安全运行，是公司网络安全的一个重要内容，有司专人负责网络系统的安全运行工作。二、网络系统的安全运行包括四个方面：一是网络系统数据资源的安全保护，二是网络硬件设备及机房的安全运行，三是网络病毒的防治管理，四是上网信息的安全。（一）数据资源的安全保护。网络系统中存贮的各种数据信息，是生产和管理所必须的重要数据，数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份，规定如下： 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份

3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查，数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。（二）硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量，一般应同时配有不间断供电电源，避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线，必须保证接地电阻符合技术要求（接地电阻 2 ，零地电压 2V），避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理，杜绝因人为因素破坏硬件设备。

4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁，避免因集灰影响设备正常运行。（三）网络病毒的防治 1、各服务器必须安装防病毒软件，上网电脑必须保证每台电脑要安装防病毒软件。 2、定期对网络系统进行病毒检查及清理。 3、所有U盘须检查确认无病毒后，方能上机使用。 4、严格控制外来U盘的使用，各部门使用外来U盘须经检验认可，私自使用造成病毒侵害要追究当事人责任。