公司信息网络管理办法_信息网络安全管理办法

公司信息网络管理办法由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息网络安全管理办法”。

公司信息网络管理办法总则

为了加强公司信息网络的安全管理，保障网络的正常安全运行和信息交流的健康发展，更好地为公司广大领导和同事服务，结合公司的实际情况，特制定本管理办法。适用范围

公司计算机网络事宜均适用本管理办法。管理机构

公司信息安全管理的机构是公司信息化领导小组。网络管理员职责

公司网络管理设网络管理员兼职计算机管理员，负责公司的计算机及其附属设备和局域网络的使用管理；计算机设备的日常维护和故障报修；公司各类应用软件的使用指导和整理保存；公司计算机安全保密工作等。网络管理员的职责是：

4.1 负责公司的信息化管理工作。根据需要不定期组织相关软硬件培训，不断提高基础业务人员素质及工作效率；

4.2 建设并维护公司业务信息平台、公司外网，负责其软件环境建设、硬件环境建设、网络环境建设、平台管理制度建设、日常维护、信息安全等技术支持管理工作；

4.3 4.4 负责公司计算机设备及软件的购置、管理和维护；

负责公司网络建设和网络更新的组织工作和技术支持，制定和修订网络管理规章制度并监督执行，确定网络安全及资源共享策略；

4.5 4.6 4.7 负责公司服务器和员工计算机的软件的安装、维护、调整及更新； 负责公司网络资源管理、分配、数据安全和系统安全；

负责监视公司网络运行，调度网络资源，保持网络安全、稳定、畅通；

4.8 负责督促公司员工对其所使用计算机进行定期升级杀毒软件。5.1 个人安全管理规范

任何人不得利用企业和国际互联网制作、复制、查阅和传播下列信息：

5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 煽动抗拒、破坏宪法和法律、行政法规实施的； 煽动颠覆国家政权、推翻社会主义制度的； 煽动分裂国家、破坏国家统一的；

煽动民族仇恨、民族歧视，破坏民族团结的； 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

5.1.7 5.1.8 5.1.9 5.2 5.2.1 5.2.2 公然侮辱他人或者捏造事实诽谤他人的； 损害公司信誉的；

其他违反宪法和法律、行政法规的；

任何人不得从事下列危害公司信息网络安全的活动：

未经允许，对公司计算机信息网络功能进行删除、修改或者增加； 未经允许，对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

5.2.3 5.2.4 5.2.5 5.2.6 5.3 进入未经许可的计算机系统更改系统信息和用户数据； 发送邮件广告及邮件炸弹；

乱设IP地址，扰乱网络资源的正常分配和使用； 其他危害计算机信息网络安全的活动；

定期对各自的计算机系统和相关业务数据进行备份以防发生故障时进行恢复；

5.4 计算机和笔记本电脑都应设置开机密码，对个人使用的操作口令、登陆密码应定期或不定期更换，保证口令的安全有效；

5.5 计算机使用者在离开计算机时，应使计算机处于待机状态下，离开2小时以上时应退出系统并关机。6.1 个人安全防护

密码的设置与使用必须符合密码管理制度的要求；

6.2 计算机设备应设屏幕密码保护的用户界面，保证数据的机密性及安全；

6.3 定期对操作系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决；

6.4 定期对个人计算机进行配置检查，发现其中的缺陷和错误，及时进行加固；

6.5 6.6 安装个人防火墙及杀毒软件，定期升级病毒库；

定期审查计算机开启的进程和服务，发现不明对象，要及时向管理员回报。文档管理控制制度

电子资料应分为与信息系统有关的技术文件、图表、程序与数据，包括信息系统建设规划、技术数据及相关技术资料；

所有工作人员在职务活动中形成的电子文档一律归公司所有，任何人不得以任何借口据为己有；

外来人员不能借用并复制有关电子文档，特殊情况须由公司领导批准，办理有关手续后方可；

重要的电子资料应有副本并异地存放；电子文档应当有专用的存储器保存，文档管理人员应对其定期异地备份。设备管理控制制度

公司设备管理应严格按照《公司计算机设备管理规定》执行。

8.1 8.1.1 8.1.2 设备选型

公司设备的选型与采购由办公室（信息化管理部）统一归口管理； 设备选型的原则是在满足工作需要的前提下，保证所选产品的先进性和实用性，避免过早被淘汰，但也不要搞超前消费而造成资金的浪费；

8.1.3 选用或购置的涉密设备时，应符合有关规定，确保这些设备的可靠性；

8.2 设备购置与安装

8.2.1 采购的设备需填写《计算机设备购置申请单》，报公司总经理审批后，由办公室（信息化管理科）负责统一购置；

8.2.2 新购置的网络设备及网络安全产品应经过安全检测和实际检测，测试合格后方能投入使用；

8.3 8.3.1 设备登记与使用

登记《固定资产登记表》，记录每台设备的名称、规格、使用部门、使用人等相关信息；

8.3.2 个人领用的设备应实行个人负责制，每台设备有专人负责管理和使用，不得随意转借，更不得交给无关人员使用；

8.3.3 各部门间设备的调拨由调入单位《资产调拨确认单》，有调入部门、调出单位及相关部门领导签字同意后方可进行调拨；

8.4 8.4.1 设备维护

个人应建立定期维护检查制度，对关键设备的维护与维修要建立详细的维护档案，凡因疏于保养而造成的设备损坏或工作延误追究当事人的责任；

8.4.2 建立设备管理维护记录，实行维护记录制度。故障发生后需填写《公司计算机设备维护单》，对故障发生的时间、表现、采取的解决措施、结果及软硬件的升级情况等进行详细记录，应由管理员签字，以便今后解决故障；

8.4.3 非主管部门制定的维护人员不得私自拆卸电子设备、不得维修设备或更换零件，凡因此而造成的设备损坏或配件丢失由当事人负责赔偿；

8.4.4 系统设备的扩容和升级应由主管部门考察必要性和可行性，经领导批准后，统一安排购买配件和实施升级。任何人不得自行联系设备升级；

8.5 8.5.1 设备回收及报废

调离公司的人员，应主动将计算机设备移交给办公室（信息化管理部），办公室（信息化管理部）按规定程序办理计算机设备回收手续；

8.5.2 长期闲置或不再使用的设备可向主管部门提出调拨或报废申请，由主管部门根据设备的完好率、使用年限等因数决定进行调拨或作废；

8.5.3 对确无使用价值的设备的报销申请，由主管部门核准后报领导批准，并由财务部门备案；

8.5.4 由于使用人员重大责任事故而造成的设备报废，必须追究当事人的责任，经领导批准后，再作报废处理，并由财务部备案；

8.5.5 设备报废依据相关的财务管理办法和有关规定执行，对报废设备上保存的存贮介质要进行清除，防止泄密。密码管理控制制度

采取安全的密码策略是防止非法访问系统的最重要的手段。密码设置需要遵循如下相关制度规范：

9.1 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 9.1.6 9.2 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 9.2.6 9.2.7 9.2.8 10 10.1 密码的内容

密码的设置要符合强密码规范和密码复杂性要求； 应将数字、大写字母、小写字母、非字母字符混合起来； 应易于记忆、易于输入； 长度至少为六个字符；

不包含用户名、真实姓名或公司名称、生日、车牌号、电话号码； 不是完整的字典中的词汇； 密码使用规范

不要将密码写下来，不要通过电子邮件传输； 不要使用缺省设置的密码； 不要将密码告诉别人；

如果泄露了密码，应立即更改； 不要共享超级用户的口令； 在输入密码时不能明码显示出来；

要指定密码的最短有效期、最长有效期、最短长度； 除管理员外，一般用户不能更改其他用户的密码。病毒的防治管理规定

任何人不得在公司的局域网上制造传播任何计算机病毒，不得故意引入病毒，传播病毒；

10.2 禁止使用来历不明、未经杀毒的软件；

10.3 10.4 应定期查毒（周期为一周或者10天），及时升级病毒库；

不得随意使用外来数据盘，如工作所需必须使用的，应在检测、清除病毒后方可使用。如遇杀毒软件无法清除的，应立即停止使用并及时通知管理员，以免病毒侵扰计算机及网络系统；

10.5 10.6 重要文件要定期进行备份；

不阅读和下载来历不明的电子邮件或文件，严格控制并阻断计算机病毒的来源；

10.7 严禁在机器上玩游戏和进行其他娱乐活动，以防止病毒侵入和损坏设备；

10.8 11 11.1 网络使用者发现病毒应立即向网络管理员报告以便获得及时处理。信息平台用户管理规定

公司员工要求办理信息平台账号，应向人力资源部提出申请，领导批准后，由网络管理员对用户进行逐个登记，建立账号，办理有关手续；

11.2 严禁窃用他人口令登录个人电脑和信息平台。不得在他人已登录信息平台的情况下使用系统，若需使用必须首先退出他人登录后，以自己的用户登录，工作完毕后，必须立即退出；

11.3 应定期对信息平台上的重要文档进行备份，以免造成重大损失；定期删除过期文档，以保证硬盘的使用空间；

11.4 在使用网络的过程中，因使用某些软件导致占用大量带宽，影响网络稳定的，网络管理员有权对该工具进行限制和查封，并对该用户的外网访问进行限速；

11.5 对大量下载网络资源、沉迷网络游戏、频繁在线视频的行为，网络管理员要及时进行劝阻、通报，并由相关部门进行协调和处理。12.1 应急管理制度

发生安全故障时，快速确定故障范围并启动相应程度的应急计划。在条件允许的情况下保护好现场以便进行事故鉴定；

12.2 处理事故必须有明确的应急响应流程，包括区分操作的优先次序、评估事故的损害、报告和报警过程等；

12.3 事故中恢复系统包含事后分析事故的类型、事故的起因和预防类似事故再次发生的步骤。正式报告应该有事件正确的时间顺序，连同进一步的安全措施的建议一起上交给管理层；

12.4 发生事故后认真总结经验教训，针对存在的安全薄弱环节进行限期整改。明确表述事故处理过程，方便万一出现下次同类事故的处理。

12.5 建立健全技术事故的防范对策，严格按本规范要求建设、管理信息系统的硬件设施和软件环境，针对薄弱环节不断改进完善。分公司

各分公司应严格按照本办法规定执行。在特殊情况下，可进行相关的修改。14.1 其他

公司任何员工违反本办法造成公司财产损失的，将视情节予以处理，必要时将通过法律途径解决。

14.2 14.3

本办法由公司办公室（信息化管理部）制定并负责解释。本办法自下发之日起执行。