1、企业公司信息系统安全及保密管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 第一章 总则第一条 为建设好公司信息化系统，保护公司信息资源，保证公司计算机网络信息系统安全，为公司安全顺利生产运行保驾护航，结合公司实际情况，特制定本制度。第二条 公司信息安全管理体系分为三级：运营改善部为信息安全管理中心，是第一级；各部门为分管单位，是第二级；各终端用户是第三级。第三条 本办法适用于公司各单位和接入公司局域网的相关单位和个人。第二章 职责分工第四条 公司运营改善部负责公司范围内的信息安全系统的统一管理，结合总公司的要求组织部署公司2、信息安全系统并承担日常管理工作。负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。（一）组织制定企业信息化建设规划中有关信息安全的内容。（二）组织落实公司信息系统安全等级保护和信息安全风险评估等工作。（三）负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。 （四）负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。（五）根据企业管理的要求，确定要害信息系统及相关设备；负责企业专网系统各项安全策略的制定及权限的审批。 （六）负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织，明确组织的负责3、人和管理的责任人。 （七）负责组织对公司企业专网范围内的信息系统安全情况进行检查，落实有关信息安全方面的法律法规，督促开展对于信息安全隐患的整改工作。 （八）处理违反公司信息系统安全管理有关规定的事件和行为，配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。（九）履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。 （十）配合上级单位的全局安全策略的实施工作；并结合公司的实际情况实施安全策略，审批相应的管理权限、制定相应的管理策略。第五条 公司各单位负责本单位信息化设备及系统的信息安全管理工作，职责为：（一）教育职工遵守内网信息系统安全制度的各项规定。（二）4、接入内网的信息化设备应服从公司统一实施的网络信息安全策略，在公司统一的安全策略下、上级信息化管理部门赋予的管理员权限范围内，在本单位或相应网段内实施安全策略及安全管理。（三）配合公司安全管理部门和安全运维单位处理终端设备及信息系统存在的不安全隐患。 （四）按照公司运营改善部对信息安全的要求，规范本单位职工及业务往来外部单位人员的上网行为。第六条 终端用户职责为：（一）计算机接入局域网前必须按照公司的管理制度安装公司统一部署的信息系统安全管理软件。（二）自觉服从信息系统安全管理员和本单位信息化专业员的管理和检查，自觉遵守公司关于信息系统的安全管理制度以及国家的法律法规。（三）及时更新和升级信息安5、全系统软件。第三章 密码使用管理第七条 用户密码管理的范围包括所有连接到公司内网的计算机、服务器、数据库和应用系统所使用的密码。第八条 如本管理制度与原系统有关密码的规定有冲突时，按照相对严格的规定执行。第九条 内网非涉密计算机、服务器、数据库和应用系统设置的密码长度不能少于8个字符，且至少同时包含数字、字母和特殊符号中的两种，符合密码复杂度要求，密码更换周期不得大于90天。第十条 涉密计算机的密码管理规定参照公司涉密计算机管理制度执行。第十一条 服务器应在本机设置相应的密码安全策略以保证密码设置符合等级保护要求。第十二条 各应用系统及数据库在部署实施以及升级完毕之后应及时更改密码，保证。第十6、三条 密码的管理和保存（一）个人计算机密码应由使用人管理；公用计算机密码由本部门指定负责人管理；服务器和应用系统密码应由各系统管理员设置并管理。（二） 密码不能保存在该计算机周围显著位置。第四章 企业内网接入管理第十四条 为保障公司内网安全可管理性，任何接入公司局域网内的设备都应符合公司信息安全管理策略的要求规定。第十五条 公司运营改善部负责公司企业网的管理，制定用户管理制度，制定公司企业网用户编码规则（附件一）。第十六条 有独立局域网或形成的专业系统网络用户的主管单位，负责对其网内用户的管理，制定本单位或本系统接入公司企业网用户管理办法，维护网络的安全。第十七条 所有接入公司企业网的用户都必7、须采用实名制，按照公司统一制定的公司企业网用户编码规则为计算机命名，计算机一经命名不得随意改动。第十八条 任何单位或网络用户不得擅自移动或改变交换机、集线器等网络设备的位置和接线方式、更改其设备配置。凡是由于更改网络设备配置，影响公司正常生产和网络瘫痪的，一经查实要进行严肃处理。第十九条 IP地址的申请根据公司信息化网络系统管理制度相关规定执行。第二十条 运营改善部根据外网带宽测算合理全天互联网权限用户总数，并根据各单位管理岗人员数量比例分配相应数量互联网权限。第二十一条 公司科级及科级以上人员分配互联网权限。第二十二条 各单位信息化专业员因工作原因，分配一个互联网权限，不计入各单位分配数量。8、第二十三条 各单位提报特殊需求到运营改善部审核，每季度一次统一报公司经理审批。第二十四条 外部常驻（三个月以上）单位按需申请，原则上开通互联网权限数量不超过管理人员数量的10%。第二十五条 临时来访人员或项目人员互联网需求由挂靠单位提报，人员撤离后应及时通知取消。第二十六条 公司各部室负责本部门挂靠单位外网权限的管理。第二十七条 生产现场，包括厂房内的办公区域，除科级和科级以上人员外，其他人员一律不开通互联网权限。第二十八条 用户在工作时间使用互联网做与工作无关的事，运营改善部有权取消其互联网权限。第五章 内网用户计算机使用安全管理第二十九条 为防止病毒在公司内部爆发及蔓延，内网用户计算机必须9、安装公司统一部署的正版杀毒软件。第三十条 病毒防护体系终端用户，其职责为：（一）自觉服从运营改善部防病毒系统管理员、各单位信息化专业员的管理和检查。普通用户发现病毒可疑现象时，应及时查杀病毒，不得擅自散发。（二）不得关闭或卸载防病毒软件的实时检测功能和统一管理功能。（三）不得利用网络散播病毒。（四）每天检查并保证自己客户端防病毒软件版本及病毒码的及时更新、升级，如有问题及时上报给本单位信息化专业员。（五）使用软盘、光盘、U盘或者移动硬盘时，必须先查杀病毒以确保不被带毒的存储介质传染。（六）有业务安全特殊要求的系统，必须服从安全规定，封闭U口、拆除不必要的软盘和光盘驱动器。第三十一条 病毒爆发时10、，运营改善部有权利终止病毒源终端的网络。第三十二条 对重点岗位的计算机系统必须设置使用权限及专人使用的机制，禁止来历不明的人和软件进入系统。必须做到专机、专人、专盘、专用，以保证封闭的使用环境而不产生计算机病毒。第三十三条 对于多人共用的一台计算机，应指定负责人，负责人应做到有病毒时尽早发现，及时上报运营改善部网络安全管理员。第三十四条 为加强内网终端计算机管理，公司统一部署终端桌面安全管理系统和内网补丁分发系统。系统客户端应遵守如下规定：（一）所有接入局域网内计算机终端必须注册统一部署的终端桌面管理软件，凡有特殊原因(包括非Windows操作系统)不能注册的设备，所在单位须向运营改善部申请，11、运营改善部审批通过后在系统中取消限制并备案（附件四）。（二）不得关闭、卸载或破坏终端桌面管理客户端服务进程，使客户端失去原有功能。（三）对补丁分发系统提示的系统漏洞补丁应及时下载并安装，以减少系统漏洞的威胁。第三十五条 计算机必须安装正版操作系统，实行实名制。安装统一的防病毒软件，注册安装统一的内网管理系统，服从统一的用户安全策略。第三十六条 内网安全系统的注册信息需准确无误，严禁随意填写。第三十七条 内网用户应保证计算机每天至少重启一次，并清理系统垃圾文件。第三十八条 企业专网内的信息系统必须安装使用正版软件，杜绝安装来历不明的软件产品，禁止安装与工作内容无关的软件。第三十九条 网络用户应严12、格执行公司制定的安全保密规定，不得利用企业网从事危害国家安全、泄露国家秘密等犯罪活动；不得制作、查阅、复制和传播有碍社会治安的信息。如发现上述行为运营改善部将立即中止传输，关闭用户。第四十条 接入公司企业网络的任何用户，不得在接通公司企业网的同时，使用代理等方式规避公司管理。第四十一条 不得利用公司网络环境下载或运行对内网用户或其他网络用户造成威胁的攻击程序和软件，发起攻击等类似行为。第四十二条 对于违反上述条款规定的单位，运营改善部将对其执行专业考核；对于违反上述条款规定的个人，相关单位应按照本单位的有关规章制度条款，视情节严重进行考核。第六章 内网安全技术设施管理第四十三条 在局域网与互联13、网的接口上统一部署硬件防火墙设备，并按照安全规则进行设置。第四十四条 在局域网与互联网的接口上布置防病毒网关，对来自互联网的病毒进行阻拦和封杀。管理要求如下：（一）确保防病毒网关设备病毒库正常运行和更新，对互联网入口病毒进行有效拦截。（二）根据公司实际情况制定防病毒网关过滤策略，并根据运行过程中出现的问题进行调整。第四十五条 为对互联网无用信息资源进行过滤拦截，在局域网与互联网的接口上布置互联网内容过滤系统。管理要求如下：（一）根据实际需求，细化访问控制策略，屏蔽与工作无关的互联网内容信息。（二）及时放行各安全系统误拦截的网站。第四十六条 为对内网上网计算机进行审核限制和流量控制，在局域网与互14、联网的接口上布置计费网关。管理要求如下：（一）对各单位申请开通互联网访问权限人员严格审核，并根据实际需求开通互联网访问权限。（二）对网络流量情况监控，分析流量组成，并优化管理策略。第四十七条 通过互联网访问公司局域网的用户采用虚拟专用网（VPN）的方式进行连接，以达到安全访问的目的。第四十八条 公司VPN帐号是为了方便公司员工外出时办公而设置的。如果有使用需求时，由各单位信息化专业员进行申请，经本单位主管领导批准后，由运营改善部专业人员负责开通（附件五）。第四十九条 凡拥有VPN帐号的人员有对个人账号进行保密的义务。如发现泄露账号和密码的行为，运营改善部有权立即冻结相关帐号，并按照专业管理制度15、落实考核。第五十条 连续三个月以上未使用的VPN账号，运营改善部将停用该账号。第五十一条 安全系统负责人对所负责安全系统必须做到每个工作日对系统进行一次巡检，保证各安全设备正常运行。第七章 移动存储介质使用管理第五十二条 工作配备的移动介质（包括软盘、光盘、移动硬盘、U盘、CF卡、SD卡、MMC卡、记忆棒、XD卡及手机、相机等移动存储介质）只能在企业内部使用，不允许外借、存储私人资料或带离企业使用。移动介质要定期杀毒，在每次读取移动介质上的数据之前，必须先进行病毒检查。第五十三条 对外单位的计算机、存储设备、移动介质的因工作需要接入内网系统的，此前必须进行病毒检测，查杀病毒后方可使用。第五十四16、条 外部人员的存储设备需要接入到内部计算机上进行电子文件拷贝时，必须由该计算机所有人或负责人操作，在涉密计算机上操作必须经过本单位领导的审批同意。第五十五条 各单位应根据本制度制定适合本单位相关要求的移动存储设备管理规定，严格管理电子信息的外发拷贝传输。第五十六条 企业专网内用于生产岗位等重要的计算机终端设备要严格控制移动介质的接入使用，必要时封闭外接端口。因特殊原因需临时开启接口的用户，应由其所在单位严格控制。第五十七条 重要岗位的计算机系统要对移动介质采取加密技术进行控制，防止泄密。第八章 数据备份管理第五十八条 除生产系统外公司级各应用系统，由各单位系统管理员制定备份策略并定期备份，以保17、证出现事故和灾难时其数据信息能够及时、完整地进行恢复。第五十九条 各单位自建的管理信息系统其数据和信息备份，由该单位系统管理人员根据本单位的存储设备资源等具体情况制定备份策略并定期进行备份。 第六十条 数据备份介质的保管地点应有防火、防热、防潮、防尘、防磁、防盗等措施，并进行异地备份。第六十一条 个人终端计算机内与公司工作相关的重要数据应定时备份，并与计算机异地存放。第九章 数据泄露防护系统管理第六十二条 为防止企业机密信息被企业员工有意识或无意识的泄露给外部人员（与机密信息无关人员或非注册人员），公司在重要关键部门要部署安装数据泄露防护系统，对重要数据和文档进行加密。第六十三条 公司所使用的18、数据泄露防护系统可生成三种文件：普通加密文件，用于本系统内部用户之间交互文件形式；权限文件，本系统内部不同用户之间区分阅读修改权限文件；外发文件，对需要控制的发给对本系统外用户的电子文档的形式。第六十四条 数据泄露防护系统管理员职责如下：（一）审批各单位提出的增加用户需求，核实需求情况，在系统中及时增加用户，不影响用户正常工作使用。（二）根据各单位实际应用需求，以不产生明文为底线原则，进行策略配置。（三）对用户提出的重置密码需求，系统管理员应首先确认用户的身份，核实后进行密码初始化。（四）根据各单位的提报的需求设置审批人员。（五）定时备份数据库并遵守数据备份的相关管规定。第六十五条 电子文件解19、密审批人应对解密文件内容进行严格审查。第六十六条 电子文件解密执行“谁解密谁负责”原则，由解密人和解密审批人承担解密后的责任。第六十七条 数据泄露防护系统相关的各单位负责人应对本单位需要安装数据泄露防护系统客户端的人员进行统计并保存台账记录，负责指导用户的安装使用。第六十八条 数据泄露防护系统客户端用户应遵守如下规定：（一）禁止终端用户自行卸载或破坏程序文件，使客户端软件失去原有加密功能。（二）客户端如需更改权限，应先向所在单位信息化负责人申请，经所在单位领导复审同意后报运营改善部更改权限。（三）数据泄露防护系统电子文件解密采取审批和自主解密两种形式，拥有解密审批权限的用户处理解密申请时应严格20、审查解密文件内容，由于审查不到位而发生的泄密事件与解密申请人同负主要责任。（四）个人账户密码尤其是具有解密和审批权限账户密码应严格保密。第六十九条 各单位如需更改加密策略，应由本单位信息化专业员提出申请，并填写防泄密系统策略更改申请表（附件六），并由本部门领导确认改变后的策略在可承担风险范围内，最后报运营改善部备案并进行策略调整（附件七）。第十章 网络信息发布管理第七十条 任何人不得利用企业内部网制作、复制、发布、传播含有下列内容的信息：（一）、反对宪法所确定的基本原则的；（二）、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）、损害国家荣誉和利益的；（四）、煽动民族仇恨、民族21、歧视，破坏民族团结的；（五）、破坏国家宗教政策，宣扬邪教和封建迷信的； （六）、散步谣言，编造和传播假新闻，扰乱社会秩序，破坏社会稳定的；（七）、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）、侮辱或者诽谤他人，侵害他人合法权益的；（九）、含有法律、行政法规禁止的其它内容。第七十一条 不得在互联网上散布或谣传对公司有不利影响的信息。第七十二条 不得在互联网上泄露公司机密。第七十三条 对于不遵守公司规定，在互联网上擅自发表不当言论的单位和个人，公司保留对其依法起诉的权利。对触犯国家法律的单位和个人，公司将依法配合公安机关提供证据和调查。第十一章 信息系统账号调整与注销管理第七十四条22、 人员岗位发生变动，应及时会知运营改善部调整其信息系统中权限信息。第七十五条 人员离职及岗位人员变动后不再使用原有信息系统的情况，相关单位应会知运营改善部删除其账号。第十二章 附则第七十六条 本制度由公司运营改善部负责解释。第七十七条 各单位应根据本制度制定符合本部门的详细规定。第七十八条 对违反本制度的行为根据公司专业考核办法有关规定进行处理。第七十九条 本制度附件：附件一：公司企业网用户编码规则附件二：互联网权限申请（变更）审批表附件三：公司特殊终端接入处理流程图附件四：公司VPN帐号申请流程图附件五：防泄密系统策略更改申请表附件六：防泄密系统策略更改流程图第八十条 本制度自下发之日起执行23、。 公司 XX年 月 日附件一： 公司企业网用户编码规则 公司企业网用户的计算机编码规则为：单位编码-名称全拼。例如：运营改善部张三：计算机名字的编码为单位名称单位编码单位名称单位编码单位名称单位编码办公室bg生产部sc安全部aq设备部jd计财部jc能源部ny后勤部hq保卫武装部bw党群工作部dq技术质量部jz人力资源部rz运营改善部yg技改工程部gc炼铁作业部lt炼钢作业部lg热轧作业部zg硅钢事业部gg动力作业部dl电力作业部fd制氧作业部zy质量检查站zj供应管理部wz设备维检中心wj钢材加工作业部gj线材作业部xcjx附件二：XX（作业）部互联网使用人员申请单位公章：编码：序号姓名作业区(科室)岗位办公地点IP地址详细事由备注说明工作性质及需求理由 提报人： 主管领导：附件三：公司VPN帐号申请流程图 附件四：防泄密系统策略更改申请表申请单位策略更改要求说明申请人(信息化专业员) 签字： 年 月 日单位主管领导意见 签字： 年 月 日运营改善部领导意见 签字： 年 月 日 编码：