部門數據安全管理辦法
部門數據安全管理辦法
部門數據安全管理辦法有哪些?下文是部門數據安全管理辦法,歡迎閱讀!
部門數據安全管理辦法一
第一章網絡管理
第四條、遵守國家有關法律、法規(guī),嚴格執(zhí)行安全保密制度,不得利用網絡從事危害國家安全、泄露國家秘密等違法犯罪活動,不得制作、瀏覽、復制、傳播反動及色情信息,不得在網絡上發(fā)布反動、非法和虛假的消息,不得在網絡上漫罵攻擊他人,不得在網上泄露他人隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條、各終端計算機入網,須填寫《入網申請表》,經批準后由信息部統(tǒng)一辦理入網對接,未進行安全配置、未裝防火墻或殺毒軟件的計算機,不得入網。各計算機終端用戶應定期對計算機系統(tǒng)、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條、上班時間不得查閱娛樂性內容,不得玩網絡游戲和進行網絡聊天,不得觀看、下載大量消耗網絡帶寬的影視、音樂等多媒體信息。
第七條、禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源,禁止所有用戶使用迅雷、BT、電驢等占用大量帶寬的下載工具。
第八條、禁止所有員工私自下載、安裝與工作無關的軟件、程序,如因此而感染病毒造成故障者,按相關處罰條例嚴厲處罰。
第九條、任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統(tǒng)中的數據。
第十條、員工在受到病毒或木馬攻擊時,應及時記錄好中毒現象描述和備份好C盤資料及重要數據,并通知網絡管理員檢修,并做好檢修記錄。
第十一條、公司員工禁止利用掃描、監(jiān)聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法侵入他人網絡和服務器系統(tǒng),禁止利用計算機和網絡干擾他人正常工作的行為。
第十二條、IP地址為計算機網絡的重要資源,計算機各終端用戶應在信息部的規(guī)劃下使用這些資源,嚴禁擅自更改。另外,某些系統(tǒng)服務對網絡產生影響,計算機各終端用戶應在信息部的指導下使用,禁止隨意開啟計算機中的系統(tǒng)服務,保證計算機網絡暢通運行。
第二章設備管理
第十三條、公司員工因工作需要,確需購買IT設備或配件的,可向行政人事部申請并交由信息部具體辦理,若有符合需求的可調配設備,由申請人填寫《IT設備調配表》;若無可調配或有但不符合工作需要的設備,由申請人填寫《IT設備購買申請表》。交所在部門經理簽字并報公司分管領導審批后再行調配或采購。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十四條、所有新購IT設備,必須先到信息部辦理登記領用手續(xù)后方可到財務部報帳核銷,無此手續(xù)者,財務不予報銷。
第十五條、凡登記在案的IT設備,由信息部統(tǒng)一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等
第十六條、各部門負責人為該部門IT設備直接監(jiān)管人,對本部門的所有IT設備有實時實地監(jiān)管的義務。當部門負責人因特殊情況不能直接監(jiān)管時應指定本部門中另外一人承擔此義務,并報公司批準,信息部備案。
第十七條、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡分支機構或合作單位自行購買的設備,原則上由分支機構或合作單位指定專人登記和監(jiān)察,按公司要求保管好相關資料和信息,并報信息部備案歸檔,若有需要,信息部可協(xié)助處理。
第十八條、嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機,調整計算機一律由行政人事部安排,信息部具體辦理備案。
第十九條、設備硬件或重裝操作系統(tǒng)等問題由信息部進行處理,首先由該設備終端用戶填寫《IT設備維修申請表》,在收到《IT設備維修申請表》后,信息部應及時調集力量予以處理。未填寫或是不填寫《IT設備維修申請表》而要求維修,信息部可以不予辦理。
第二十條、原購IT設備原則上在規(guī)定使用年限內不再重復購買,達到規(guī)定使用年限后,由信息部會同相關部門對其審核后處理。在規(guī)定使用年限期間,計算機終端用戶因工作需要發(fā)生調動或離職,需要繼續(xù)使用該計算機的應在信息部作變更備案;不繼續(xù)使用該計算機的,部門領導需監(jiān)督責任人將計算機及相關設備及時退回信息部,由信息部再行調配。
第二十一條、設備出現故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經理簽字后報信息部。經信息部對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息部對報廢設備登記備案、存檔。
第三章數據管理
第二十二條、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。
第二十三條、為保證數據安全,凡涉及保密資料的電腦一概封閉光驅、軟驅、USB接口;嚴禁拆除機箱及解除封閉,私自使用USB接口,一經發(fā)現嚴肅警告并處以50元以下罰款。
第二十四條、有軟驅和光驅的電腦,嚴格控制軟驅和光驅的使用,禁止隨意安裝或卸載軟件。
第二十五條、工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份,并提交給所在部門經理,由部門經理負責保存。各部門經理在一個季度開始后10天之內將本部門上一季度的工作數據交信息部匯集后統(tǒng)一采用磁性介質或光盤保存。
第二十六條、計算機終端用戶務必將有價值的數據存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū),一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障,應及時與信息部聯(lián)系并采取保護數據安全的措施。
第二十七條、終端用戶未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
部門數據安全管理辦法二
1.前言
1.1.目的
制定本制度的目的是保證公司IT系統(tǒng)有效、安全的運行,保證系統(tǒng)數據安全。
1.2.范圍
本制度適用于中電電氣(南京)光伏有限公司數據中心的日常運行。
2.控制點
2.1.日常運轉
1)各系統(tǒng)負責人(職責分工見【SODmatrix】),隨時處理網絡故障、解決網絡問題、保持網絡暢通、提高網絡的可用性和可靠性。
2)每周兩次檢查機房服務器、交換機、路由器、光纖收發(fā)器等設備運行情況,每周需填寫【資源檢查記錄表】;晚上或節(jié)假日期間,視網絡應用情況,設置現場值班或呼叫值班。
3)保持設備表面干凈整潔,操作設備時佩戴防靜電手環(huán)等。
4)機房管理員注意機房的溫度和濕度,機房溫度:18~30攝氏度,相對濕度:40%~60%。
5)公司員工不得私自安裝未經授權或非法的軟件,授權軟件詳見【授權軟件記錄表】,信息管理部系統(tǒng)管理人員每半年通過SMS對用戶安裝軟件進行檢查,對非法軟件進行刪除,并填寫【用戶軟件檢查記錄表】,記錄用戶安裝的異常信息及處理結果,并報IT經理審核。
2.2.病毒黑客預防管理
1)網絡管理員每周監(jiān)控企業(yè)防病毒服務器的升級情況,監(jiān)控機房中服務器殺毒軟件的更新情況,在服務器上設置自動更新、定期掃描策略(配置見公司殺毒服務器配置),并填寫【資源更新記錄表】,每月報IT經理審核。
2)每周信息管理部網絡管理員通過現場或通過SMS管理軟件檢查客戶端計算機防毒軟件的升級情況和實時監(jiān)控狀態(tài),并填寫【資源檢查記錄表】,每月報IT經理審核。
3)信息管理部網絡管理人員隨時注意Internet上病毒流行和爆發(fā)動態(tài),并及時向客戶端計算機發(fā)出病毒預警。
4)要有病毒爆發(fā)后的緊急處理預案,以便快速恢復系統(tǒng),保證系統(tǒng)及時相應服務。
5)利用ISA服務器或Netscreen防火墻屏蔽黑客或病毒常用的端口,提高密碼復雜度等。每周三WSUS服務器及時下推補丁給信息管理部,如補丁安裝完后沒有問題,每周四WSUS服務器及時下推補丁給網絡中所有的計算機。
6)信息部網絡管理員每天監(jiān)控網絡的健康狀態(tài),觀測網絡流量。
2.3.帳戶安全管理
1)用戶開戶和權限變更,需填寫【賬戶變更申請單】,經部門經理IT經理審批后,最后由信息管理部各系統(tǒng)管理員進行各應用系統(tǒng)的帳戶的開戶工作、變更工作。帳戶注銷,直接由各系統(tǒng)管理員在人力資源部的員工離職交接單中簽字后,在系統(tǒng)中執(zhí)行相關操作。
2)臨時開設的帳戶也需要填寫【賬戶變更申請單】,一定要控制好帳戶過期時間和權限。系統(tǒng)缺省的管理員帳號必須禁用或修改初始密碼,系統(tǒng)管理員賬號需填寫【權限授權表】,經IT經理審核后,方可執(zhí)行,系統(tǒng)管理員帳號的密碼在移交后的第一次登錄時必須重新設置密碼。
3)用戶帳戶僅限于本人使用,不得以任何方式將賬戶和密碼轉借他人,不得窺視或盜用他人的賬戶和密碼。同時,用戶有妥善保管自己賬戶和密碼的責任和義務,不得泄露。
4)各系統(tǒng)管理員每半年檢查一次帳戶信息,導出各系統(tǒng)賬戶及權限清單,與各部門經理確認系統(tǒng)帳戶和權限是否與申請人實際使用情況相符,由部門經理簽字確認,填寫【資源檢查記錄表】,報IT經理審核。
5)現涉及到的帳戶類型如下:域賬戶、電子郵件賬戶、SAP賬戶、無線網帳戶。
6)如果系統(tǒng)策略允許,使用帳戶10次登錄失敗后帳戶立即鎖定。
7)如果系統(tǒng)策略允許,帳戶鎖定60分鐘后自動解鎖。
2.4.密碼安全策略
如果系統(tǒng)支持密碼復雜度管理,則啟用密碼復雜度規(guī)則,滿足如下條款。
1)密碼長度最短為八個字符。
2)必須同時包含以下四個類別字符中的三類字符:英文大寫字母(從A到Z),英文小寫字母(從a到z),數字(從0到9),非字母字符(例如,!、$、#、%)。
3)密碼的最長使用時間60天。
4)最近三次歷史密碼不能重復使用。
5)對各操作系統(tǒng)內置帳戶集中到IT經理處管理,并遵循以上規(guī)則。
6)其他不支持此密碼安全策略的應用系統(tǒng),系統(tǒng)負責人要根據以上策略手工設置。如SQL20XX、防火墻Netscreen
2.5.網絡安全管理
1)伴隨網絡的不斷擴展,如果網絡中有增減設備的情況,及時更新網絡拓撲圖,及時調整防火墻、核心交換機等設備配置,并填寫【資源變更申請單】。
2)內部網絡不接受任何外部訪問(防火墻DMZ區(qū)、除外),所有的外部訪問都在防火墻的DMZ區(qū),并且防火墻上策略限制只開放需要的端口,如郵件服務器所需要的443端口等,其余端口全部禁用。防火墻DMZ區(qū)主機需要訪問內網DC服務器,此訪問安全控制由ISA網關服務器完成。
3)內網訪問Internet或訪問DMZ主機的訪問權限和所能通過的服務均由ISA網關服務器控制,ISA策略根據網絡系統(tǒng)安全和公司具體應用確定(具體應用見ISA服務器配置),此服務器有專人管理。
4)信息管理部設專人每月度檢查核心交換機、防火墻、無線網控制器的配置,確認是否與公司的服務器配置策略相符,并填寫【資源檢查記錄表】,提交給IT部門經理審批簽字。
5)信息管理部設專人至少每周檢查一次防火墻的日志,確保網絡不受可疑對象攻擊,保證網絡的安全性、穩(wěn)定性,并填寫【日志檢查記錄表】,每月提交給IT部門經理審批簽字。
6)每周進行一次網絡數據包分析,及時發(fā)現類似ARP等病毒攻擊,及早預防。
7)每年對防火墻、核心交換機的日常維護記錄整理存檔一次。
2.6.數據安全管理
1)合理使用計算機分區(qū),不得將重要數據存放在系統(tǒng)分區(qū)。
2)公司數據庫系統(tǒng)、人事檔案、技術資料、圖紙、統(tǒng)計資料、營銷計劃、財務報表等重要資料要每日進行自動備份,每月進行一次完全備份;重要部門、重要系統(tǒng)不僅要做硬盤備份,還要定刻成成光盤,存放在異地長期保存。
3)含有重要資訊的資料(卡片、稿紙等)廢棄時,應確定銷毀,以免被誤用。
4)對不同用戶應用不同的系統(tǒng)策略,避免造成整個系統(tǒng)癱瘓。嚴格限制對應用系統(tǒng)數據庫的更改權利;嚴格限制重組數據庫或壓縮數據庫大小的權力;嚴格限制修改系統(tǒng)架構的權利等,操作系統(tǒng)日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
5)安全管理員每周至少查看一次數據庫日志文件,并填寫【日志檢查記錄表】,每月報IT經理審核。以盡早發(fā)現異常情況,確保數據庫的存取安全。
it信息安全管理制度范文二
第一條總則
通過加強公司計算機系統(tǒng)、辦公網絡、服務器系統(tǒng)的管理。保證網絡系統(tǒng)安全運行,保證公司機密文件的安全,保障服務器、數據庫的安全運行。加強計算機辦公人員的安全意識和團隊合作精神,把各部門相關工作做好。
第二條范圍
1、計算機網絡系統(tǒng)由計算機硬件設備、軟件及客戶機的網絡系統(tǒng)配置組成。
2、軟件包括:服務器操作系統(tǒng)、數據庫及應用軟件、有關專業(yè)的網絡應用軟件等。
3、客戶機的網絡系統(tǒng)配置包括客戶機在網絡上的名稱,IP地址分配,用戶登陸名稱、用戶密碼、及Internet的配置等。
4、系統(tǒng)軟件是指:操作系統(tǒng)(如WINDOWSXP、WINDOWS20XX等)軟件。
5、平臺軟件是指:防偽防竄貨系統(tǒng)、辦公用軟件(如OFFICE20XX)等平臺軟件。
6、專業(yè)軟件是指:設計工作中使用的繪圖軟件(如Photoshop等)。
第三條職責
1、信息網絡部門為網絡安全運行的管理部門,負責公司計算機網絡系統(tǒng)、計算機系統(tǒng)、數據庫系統(tǒng)的日常維護和管理。
2、負責系統(tǒng)軟件的調研、采購、安裝、升級、保管工作。
3、網絡管理人員負責計算機網絡系統(tǒng)、辦公自動化系統(tǒng)、平臺系統(tǒng)的安全運行;服務器安全運行和數據備份;Internet對外接口安全以及計算機系統(tǒng)防病毒管理;各種軟件的用戶密碼及權限管理協(xié)助各部門進行數據備份和數據歸檔。
4、網絡管理人員執(zhí)行公司保密制度,嚴守公司商業(yè)機密。
5、員工執(zhí)行計算機安全管理制度,遵守公司保密制度。
6、系統(tǒng)管理員的密碼必須由網絡管理部門相關人員掌握。
第三條管理辦法
I、公司電腦使用管理制度
1、從事計算機網絡信息活動時,必須遵守《計算機信息網絡國際聯(lián)網安全保護管理辦法》的規(guī)定,應遵守國家法律、法規(guī),加強信息安全教育。
2、電腦由公司統(tǒng)一配置并定位,任何部門和個人不得允許私自挪用調換、外借和移動電腦。
3、電腦硬件及其配件添置應列出清單報行政部,在征得公司領導同意后,由網絡信息管理員負責進行添置。
4、電腦操作應按規(guī)定的程序進行。
(1)電腦的開、關機應按按正常程序操作,因非法操作而使電腦不能正常使用的,修理費用由該部門負責;
(2)電腦軟件的安裝與刪除應在公司管理員的許可下進行,任何部門和個人不允許擅自增添或刪除電腦硬盤內的數據程序;
(3)電腦操作員應在每周及時進行殺毒軟件的升級,每月打好系統(tǒng)補丁;
(4)不允許隨意使用外來U盤,確需使用的,應先進行病毒監(jiān)測;
(5)禁止工作時間內在電腦上做與工作無關的事,如玩游戲、聽音樂等。
5、任何人不得利用網絡制作、復制、查閱和傳播宣傳封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的內容
6、電腦發(fā)生故障應盡快通知IT管理員及時解決,不允許私自打開電腦主機箱操作。
7、電腦操作員要愛護電腦并注意保持電腦清潔衛(wèi)生,并在正確關機并完全關掉電源后,方可下班離開。
8、因操作人員疏忽或操作失誤給工作帶來影響但經努力可以挽回的,對其批評教育;因操作人員故意違反上述規(guī)定并使工作或財產蒙受損失的,要追究當事人責任,并給予經濟處罰。
9、為文件資料安全起見,勿將重要文件保存在系統(tǒng)活動分區(qū)內如:C盤、我的文檔、桌面等;請將本人的重要文件存放在硬盤其它非活動分區(qū)(如:D、E、F)。(保存前用殺毒軟件檢察無病毒警告后才可)。并定期清理本人相關文件目錄,及時把一些過期的、無用的文件刪除,以免占用硬盤空間。
10、所有電腦必須設置登陸密碼,一般不要使用默認的administrator作為登陸用戶名,密碼必須自身保管,嚴禁告訴他人,計算機名與登陸名不能一致,一般不要使用含有和個人、單位相關信息的名稱。
11、其他管理辦法請參看《IT終端用戶安全手冊》
II、網絡系統(tǒng)維護
1、系統(tǒng)管理員每周定時對托管的網絡服務器進行巡視,并對公司局域網內部服務器進行檢查,如:財務服務器。
2、對于系統(tǒng)和網絡出現的異?,F象網絡管理部門應及時組織相關人員進行分析,制定處理方案,采取積極措施。針對當時沒有解決的問題或重要的問題應將問題描述、分析原因、處理方案、處理結果、及時制定出解決方案。
3、定時對服務器數據進行備份。
猜您感興趣:
3.網絡安全管理辦法