1、软件公司信息系统管理制度（数据、安全等）编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目 录1信息技术人员管理制度12设备管理制度13弃用介质管理制度34系统网络管理制度45软件管理制度56数据管理制度67机房安全管理制度61值班制度62网络管理制度78计算机病毒防护管理制度119技术资料管理制度1210移动存储介质安全管理制度1311软/硬件故障报告制度1512操作安全管理制度1613网络安全管理制度171信息技术人员管理制度1信息中心通过制定一系列规章制度保证本部门的正常、安全运行，保证业务人员使用IT资源。2信息中心人员负2、责设备和机房日常维护和提高设备的利用率。对本部门设备的正常、安全运转负有直接责任。设备的使用及安全直接由信息中心技术人员负责，并对其他操作人员的设备操作规范和上机时间安排负有直接责任。3各部门要建立健全的内部管理规章制度。所有工作人员及用户必须认真阅读并严格执行各项规章制度。2设备管理制度1为推进“工程”建设，确保机房设备管理有序，操作规范、运行安全，特制定本制度。2机房设备由信息中心负责管理，实行处室责任制和主管领导负责制，信息中心指定机房管理员具体负责机房设备的日常管理工作。3严禁将机房专用消防器材挪作他用，爱护机房消防器材，保证消防器材处于良好状态。经常检查火警警铃装置按钮是否处于正常工3、作状态。所有工作人员必须熟悉、掌握机房消防设施的位置、性能和使用方法，一旦发生火警迅速报警，同时采取积极有效措施及时灭火。4严禁擅自改动、拆卸、装接和移动机房内的供电线路、网络设备及相关设施。5管理员要对所有设备及其附件、配件登记建帐，逐台建立设备技术档案，详细记录设备来源、规格型号、生产厂商、机内配置和随机附件等情况，并且要定期盘点清查，做到帐物相符及与使用人员相符。6各类设备及其附件、配件原则上不外借其他单位或个人使用。凡处室机关单位借用的，必须上报请示主管领导许可并要输借用手续，由设备管理员登记在案，并限期收回。7爱护使用计算机设备，做到按键用力适中，屏幕亮度适宜。设备的启动和关闭要遵守4、操作规程，按规定程序进行，不得频繁开关计算机及其外部设备。8管理员必须熟悉各类设备随机技术资料，掌握各类设备一般维修技术，做到设备一般故障能迅速准确排除，保证设备处于良好的运行状态。严禁带电作业，不得在通电情况下进行设备零部件和配件的焊接及拆换工作，不得在通电情况下对设备内部进行清洗和除尘作业。9管理员不准在设备开机状态并要求人工监督的情况下擅自离开。在离开之前，必须将计算机锁定。10管理员要随时巡视设备运行情况，检查插接线路是否牢靠。发现设备或线路有异味、异响和其他异常情况，应及时报告主管人员，查明原因，及时处理，防止故障扩散，并在处理完毕后认真填写维护记录。11设备的一般日常维护工作实行包5、机责任制，谁使用谁负责。设备维护时必须按维修手册或维修说明中的操作规程进行，不得擅自进行无把握、不顾后果的操作。对较大的故障，必须及时报告处理。电脑设备需外送维修时，须经主管领导批准，登记设备维修登记簿，同时，必须拆除硬盘或者对硬盘中重要的信息进行加密处理。若是硬盘故障，应有专人陪同修复，防止硬盘中的各种信息和数据被非法窃取、更改和破坏。除非排除故障，不得对外提供系统数据库。12对违反上述规定而造成业务处理中断、设备损坏等不良后果的，根据相关法规追究当事人责任。3弃用介质管理制度为进一步加强计算机信息管理工作，确保数据安全，根据，结合实际，制定本制度。1弃用介质指放弃使用计算机存储介质，介质指6、用于存储、转存计算机信息的设备。2弃用介质由信息中心统一管理，统一回收，统一存放，不得随便丢弃。3对包含数据的弃用介质，将信息进行不可恢复性删除处理后存放。4确信需要丢弃的弃用介质，应有相关负责人签了确认后，并进行销毁处理，不得另作他用。5需要进行数据销毁的数据，应有销毁人申请相关负责领导签字后，由信息中心统一销毁，销毁数据要做到不可恢复性删除。4系统网络管理制度为加强信息中心网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。1网络系统的安全运行，是厅安全生产的一个重要内容，中心安排专人负责全厅网络系统的安全运行工作。2网络系统的重要数据及时备7、份，一般做到每周一备份，严格网络用户权限及入网用户及口令管理。3网络设备的检修或维护、操作必须严格按要求办理，杜绝因人为因素破坏硬件设备。4保证网络运行环境的清洁，避免因集灰影响设备正常运行。5各单位服务器必须安装防病毒软件，上网网络保证每台网络有防病毒软件，信息中心定期对网络系统进行病毒检查及清理。6上网信息安全及电子邮件。7要严格执行国有相关法律规定，防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意，任何人不得私自让外来人员使用厅内部网络系统。8各部门要加强对各网络安全的管理、检查、监督，一旦发现问题及时上报厅领导，由领导负责分析并指导有关部门作好善后处理，对造成事故的责任人要依据8、情节给予必要的经济及行政处罚。9未经相关负责人批准，厅内网网络用户，严禁通过其他入口上互联网或外单位网络。5软件管理制度1信息中心的工作人员必须严格遵守我国的著作权法禁止用盗版软件，非法软件，淫秽软件，并富有对网络用户的监督职责。一经发现上述违法行为，立即销毁软件，并追究行为人的责任。2严防使用信息中心的软件从事商业牟利活动。严防软件病毒的传播。一旦发现病毒，立即采取有效的措施清除病毒。3凡我单位购买的正版软件，随计算机设备所带的软件，由自行开发的应用软件，属于重要软件，应至少制作两套备份。源软件光盘作为原始盘封存，第一套备份后配存档，第二套备份为日常使用的用户盘。当用户盘损坏时，使用后胚盘重9、新分配用户盘。只有后备盘损坏时，方可动用原始盘。4凡免费赠送的软件，信息中心计算机外部设备驱动程序为一般软件，只要制作一套备份，原光盘为原始盘封存。备份磁盘为用户磁盘。只有用户盘损坏时，方可使用原始盘。5凡在网络文件服务器上登载的软件必须是公开软件，只需要制作一套备份封存。当文件服务器的软件损坏时，使用备份盘重新上载。6信息中心保留的重要软件不得借阅本部门以外的用户，特殊情况需要中心负责人同意和签字。7用户借用信息中心允许外借的软件时，必须履行借用程序，不得损坏借用的软件，一旦用户借用的软件被损坏，由借用照价赔偿。6数据管理制度1根据国家安全保密有关规定，结合我单位实际，制定本制度。2本制度所10、指的计算机数据，是指由计算机及其相关的和配套的设备、网络进行采集，加工储存、传输和检测等处理得到的信息。3各处室计算机数据管理实行负责人责任制，各部门指定专人负责本部门计算机数据管理工作，其职责是：（1） 保障本部门计算机数据的安全运行时间（2） 对本部门的计算机数据及时进行分类登记、备份；（3） 对外来介质，软件进行检测；（4） 随时检测、清除计算机病毒和有害数据；4计算机数据中小涉及国家和商业秘密的信息应采取技术加密、保密措施，并编制操作密码，任何人不准泄露操作密码。操作密码要定期更改。如发现失、泄密现象应及时向相关领导报告。5传递应予以保密的数据，应通过符合保密要求的邮件等方式进行。6在11、数据采集、传递、加工和发布中违反规定，给国家和社会造成危害的，对直接责任人要给予行政处分，情节严重的，要追究刑事责任。7机房安全管理制度1值班制度（1） 技术值班人员，随时处理网络故障、解决网络问题，保持网络畅通、提高网络的可用性和可靠性水平。（2） 网络值班可分为现场值班和呼叫（手机、小灵通等）值班两种形式：法定工作时间应实行现场值班，定时检查机房服务器、交换机、路由器、光纤收发器等设备运行情况和存在问题；晚上或节假日期间，视网络应用情况，设置现场值班或呼叫值班。（3） 值班人员应认真填写值班记录。（4） 值班人员还应该注意机房的温度和湿度，使夏季温度在20度左右，冬季温度20度左右，相对湿12、度45%-65%。（5） 值班人员应每天清理机房卫生，保证机房整洁，严禁在机房内吃食物或存放食物，以防止鼠害。2网络管理制度2.1网络管理员职责网络管理员的职责如下：（1） 网络设备管理。为主机房网络设备编号、配置、调试及故障维护。（2） 网络服务器运行管理。为主机房服务器编号、安装系统、检查网络服务器运行日志，做好故障维护记录、更新服务器安全补丁，升级计算机杀毒软件，并进行杀毒，安装服务器应用软件，做好网络中心机房的安全工作。（3） 网站开发及维护。主页建设、维护及版面更新，负责组织网上信息资源的开发，协助负责各部门主页建设等。（4） 负责网络安全和保密工答。检查网络服务器安全日志，定期检查13、中心设备安全。（5） 参加现代教育技术中心的日常和假期值班。（6） 完成领导交办的其他工作。2.2机房操作规定网管员对机房、网络进行操作时必须经过研究发展部门主管领导批准，严禁随意操作，更改机房和网络配置。重大网络操作（如系统升级、系统更换、数据转储等）应事先书面提出报告，采取妥善措施系统和数据保护性备份后，经研究部门领导批准，方可实施操作，并填写操作记录。2.3网络检修制度网络检修由网络管理员进行，网络检修分为定期检修和临时检修两种。检修的项目涉及服务器、交换机、集线器、中继器、路由器、防火墙、配线架、网线、UPS电源等公用网络实体。在网络出现异常征兆或故障情况下可进行网络的临时检修。网络的14、临时检修包括检查、分析、确定故障设备或故障部位，并进行应急维修。2.4账号管理制度网络账号采用分组管理。并详细登记：用户姓名、部门名称、账号名及口令、存取权限、开通时间、网络资源分配情况等。用户账号下的数据属各个用户的私人数据，网络管理员具有管理及备份权限，其他人员均无权访问（账号当事人授权访问情况除外）。网络管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息，个人隐私等资料泄露出去。2.5服务器管理制度在安装服务器（或修改服务器配置）时，网管员应提出申请，并对新安装的或修改的服务器硬件、软件情况进行登记，填写“服务器配置登记（更新）表”。“服务器配置登记表”的内容包括：服15、务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP地址、支撑软件的配置、应用软件的配置、硬件及软件配置的变更情况等。2.6日志文件管理制度每周要检查各个服务器的日志文件，良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后，网络信息管理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做善意阻击并向主管领导汇报。保留所有用户访问站点的日志文件，每两个月要对日志文件进行异地备份，备份日志不得更改，刻录光盘保留。2.16、7保密制度（1）人员选择就对网络工作人员进行综合考查，将技术过硬，责任心强，职业道德好的技术人员安排到网络管理工作岗位。调离人员应立即办理网络工作交接手续，并承担保密义务。（2）责任分散网络安全关键岗位宜实行轮岗制，时间期限视情况而定；操作系统管理、数据库系统管理、网络程序设计、网络数据备份等与系统安全和数据安全相关的工作宜由多人承担；涉及网络安全的重要网络操作或实体检修工作应有两人（或多人）参与，并通过注册、记录、签字等方式予以证明。（3）出入管理网站机房实行出入控制，工作人员进入网站机房要佩戴工作卡，外来检修人员、外来公务人员等进入网站机房必须由专人陪同。并填写好相应的外来人员检修卡，外来17、人员参观卡。进入网站机房禁止携带与网络操作无关的物品。2.8系统安全未经领导批准，任何人不得改变网络拓扑结构、网络设备布置、服务器配置和网络参数。任何人不得擅自进入未经许可的网络系统，不得篡改系统信息和用户数据。值班人员应及时监控网络运行状况，对不成功进入、不成功访问、越权存取尝试等进行记录、整理、分析、并提出针对性措施。任何人不得利用计算机技术侵犯用户合法权益；不得制作、复制和传播妨害单位稳定、淫秽色情等有害信息。2.9病毒防治任何人不得在网上制造、传播计算机病毒，不得故意输入计算机病毒及其有害数据危害网络安全。网络使用者发现病毒，应立即向网络管理员报告，以便获得及时处理。网络服务器的病毒防18、治宜由网络管理员负责。网络工作站的病毒防治宜有用户负责，网络管理员可以进行指导和协助。2.10器材、配件、软件管理规定机房器材、配件、软件、工具一律不得私自外借，确因工作需要外借时间，必须征得研究房展部领导同意。2.11电器安全管理规定严禁在机房内私自配接电器；严禁在电线、电缆上悬挂、堆放物品；严禁在UPS电源上私拉乱扯用电器；UPS应妥善保养，每三个月放电一次；严禁在机房内使用或存放易燃、易爆、腐蚀性、挥发性物品；机房门外严禁堆放杂物和易燃、易爆物；严禁在机房内吸烟和乱丢烟。8计算机病毒防护管理制度1网络管理人员应有较强的病毒防范意识，定期进行病毒检测，及时更新软件版本，发现问题及时解决。负19、责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。2对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。3未经许可，不得在服务器上安装新软件，若确为需要安装，安装前必须进行病毒例行检测。4经远程信传送的程序或数据，必须经过检测确认无病毒后方可使用。5定期进行数据备份并异地存放，确保系统一旦发生故障时能够快速恢复。6备份数据不得更改并设专人负责保管。注意防火、防热、防潮、防尘、防磁、防盗。9技术资料管理制度为规范技术资料的使用、保管，减少由于技术资料管理不善而造成的生活或质量事故，特制定本规定：1技术资料是指图纸、相关的文字说明、照片、音响20、关盘、碟片、传真等生产、质量、技术方面的资料。2技术资料的管理包括：保存、领用、回收、修改、使用、保密、交换、报废等方面的内容。3技术资料由专人保管，保管时为方便查找必须编制目录，并确保所保管的技术资料不受潮、不腐烂、不受损、不丢失。4产品投入生产时，技术科应及时提供相应的图纸、料单及相关的文字说明并确保无误。操作时，如发现有不妥的方面及时与负责人沟通解决。5建立技术资料的领用台账，确保发出的每份技术资料不丢失。6领用图纸时，应签字办理领用手续。7因各种原因对原有技术资料进行修改，应出具书面修改通知书，并由相关负责任人签字领用。8使用技术资料时应妥善保管，防止丢失。9使用、保管技术资料的部门21、或个人，应注意保密，严禁将技术资料带出。10技术资料报废，有负责人收回，加盖“报废”章，并专项保管。11各部门应严格遵守上述规定，因不遵守上述规定导致发生生产、质量事故的，将追究有关部门或个人的责任，技术泄密，造成重大损失的交由司法机关处理。10移动存储介质安全管理制度1本规定所称移动存储介质，是指移动硬盘、软盘、优盘、光盘、磁带、存储卡及其它具有存储功能的各类介质。2涉密移动存储介质的管理，遵循“统一购置、统一编号、统一备案、跟踪管理、集中报废”的原则，严格控制发放范围。3信息中心安全负责人负责加强对涉密移动存储介质的统一管理和非涉密移动存储介质的指导、监督、检查。4涉密移动存储介质统一购置22、，并指定专人负责配发和保管。5涉密移动存储介质只能在涉密计算机和涉密信息系统内使用，严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。非涉密移动存储介质严禁介入涉密计算机或涉密网络，严禁直接或间接接入政务内网。6一般信息应用非涉密移动存储介质存储、携带、使用。涉密移动存储介质应当存储与之相对应密级的信息。7使用涉密移动存储介质应当在符合保密要求的办公场所，确因工作需要带出办公场所的，需经使用处室主要负责人批准，机密级以上的需经分管领导批准，报办公室备案并采取严格的保密措施。严禁将涉密移动存储介质借给外单位或转借他人使用。8携带涉密移动存储介质外出，应使涉密移动存储介质始终处于携带人23、的有效控制之下；携带绝密级信息的涉密移动存储介质外出的，应保证二人以上同行。禁止携带存储绝密级信息的涉密移动存储介质参加涉外活动或出国（境）；确因工作需要携带机密级、秘密级移动存储介质出国（境）的，应当按照有关保密规定办理批准携带出国（境）手续。9涉密移动存储介质严格按照保密管理要求，必须存放在指定部门。领取涉密移动存储介质时，要办理签字手续。工作人员离开办公场所时，必须将涉密移动存储介质存入保密设备。10每半年要对涉密和非涉密移动存储介质进行一次清查、核对。若有混用的涉密移动存储介质丢失的，应及时查处。11涉密移动存储介质在报废前，应由使用人员进行信息清除处理。因介质损坏无法进行信息清除时，24、由处室领导签署意见后，交相关部门销毁。12涉密移动存储介质的销毁，应统一登记造册，并填写涉密移动存储介质销毁登记表，报经分管领导批准后，由二人负责销毁，任何人不得擅自销毁。13涉密和非涉密移动存储介质使用、管理人员违反本规定，情节较轻的，由保密工作领导小组给予批评教育；情节严重、造成重大泄密隐患的，交相关职能部门依法处理。11软/硬件故障报告制度1为规范和加强财政部软、硬件设备管理，及时了解掌握和评估分析软、硬件使用情况，协调组织相关力量进行软、硬件故障的应急响应处理，从而降低软、硬件故障带来的损失和影响。结合实际情况，指定本制度。2信息中心负责财政软、硬件所出现的故障的报告工作。各区、县财政25、机关管理人员负责本区、县财政所出现的信息安全事件的报告工作。3发生软、硬件故障的单位应当按照本制度的规定，在发生重大软、硬件故障事件后，首先以书面方式立即向相应的上级管理部门报告。4发生软、硬件后应当立即对发生的时间进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料上报至相关主管部门。5对于软、硬件故障，信息中心应紧急成立协调小组，对信息安全事件进行调查和处理。6发生软、硬件故障的应当按照规定及时如实地报告事件的相关信息，不得瞒报、缓报或者授意他人瞒报、缓报。7发生软、硬件故障在处理完毕后5个工作日内将处理结果进行记录，并上报上级管理部门。8发生软、硬件故障，有关责任26、单位、责任人有瞒报、缓报和漏报等失职情况，予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任。12操作安全管理制度1操作安全包括对软件安全和硬件网络安全两大部分。2系统管理人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密；硬件破坏、失效等灾难性故障。3系统管理猿人应熟悉并严格监督数据库的使用权限、用户密码使用情况，适时更换、更新用户账号或密码。4系统管理人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。5网络系统所有设备的配置、安装、调试必须由系统管理人员负责，其它人员不得随意拆卸和移动。627、所有上网操作人员必须严格遵守计算机及其它相关设备的操作规程，禁止其它人员进行与系统操作无关的工作。7严禁个工作站主机自动安装软件，特别是游戏软件，机制在工作用主机上打游戏或其它与工作无关的操作。8所有进入网络的软盘、光盘、U盘等其它存储介质，必须经过系统管理人员同意并查毒，未经查毒的存储介质绝对禁止上机使用。9在系统管理人员还没有有效解决网络安全（未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机）的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过U盘等存储介质拷贝文件到网终端。10内网服务器和各种工作站主机的数据文件，非经核准，个人不得利用软盘、光盘、和U盘等存储介质进行拷贝28、。系统管理人员有权监督和制止一切违反安全管理的操作行为。13网络安全管理制度1为了保护计算机网络信息系统的安全，防止计算机网络信息的泄露，根据中华人民共和国计算机信息系统安全保护、例等法规的规定，制定本制度。2使用同一台计算机连接内外网络的，必须安装网络安全隔离卡系统，确保内网与外网的物理隔离。严禁计算机在内外网络中交叉使用，严禁擅自使用外来计算机接入内部网络。3各处室单位要爱护并保护好计算机设备，不准在计算机设备旁边堆放易燃、易爆、强磁、腐蚀性物品及其它可能危及设备安全的物品，不准随意修改计算机配置、改动、调整电缆连接线和所有网络设备，各种设备必须由管理员按操作规程正确操作使用。4凡各处室单29、位更换网络中计算机或新增计算机接入网络的，必须经信息中心进行安全审查，由信息中心安排专业技术人员处理并网事宜。各处室单位不得私自接入网络，不得私自连接集线器、交换机及三通等网络设备，不得擅自修改计算机的网络配置和IP地址。5外单位计算机因工作需要接入我局内网的，由对口业务管理处室单位报信息中心进行安全审查，并指派专业技术人员协同上门处理接入事宜。各对口处室单位要负责监督接入单位遵守我局网络信息安全管理规定。6信息中心指定专人负责计算机设备管理、操作系统维护和防病毒工作。各处室单位要指定专人负责本处室单位计算机的管理使用，安排专人参加相关知识的培训，学习计算机及其辅助设备的维护、保养及安全知识，30、并协助信息中心搞好系统维护和防病毒工作。7各处室单位计算机和接入内网的外单位计算机应安装正版软件，其中杀毒软件必须定期升级，不得随意在接入内网的计算机上安装应用软件。因业务需要确定要装的，应先报信息中心进行安装测试后再进行安装。8计算机和如发生感染病毒、木马或其他原因不明的故障，必须马上拔掉网线，切断本机与网络的链接，及时通知信息中心进行安全维护。9对于移动存储设备中的重要资料，要妥善保管，定期清理，以防文件外泄。利用移动存储设备向接入内网的计算机拷贝数据的，必须先进行查杀病毒处理，确认安全后才能向内网传输数据。10各处室单位在当天工作结束后都对计算机中所有重要文件和数据进行备份，每年要定期对31、有价值的历史数据进行备份，确保数据安全保存。其中信息中心在每天下班前要将数据库一式两份备份，一份保存于本机硬盘，一份拷贝至移动硬盘或笔记本电脑中。11所有计算机及网络设备、光盘、软盘等资料不许外借其它单位或个人使用，内部相互借用后应迅速归还，不得私自复制或对外提供。12每日工作完毕后，必须关闭计算机及电源开关。严格管理计算机的用户名和密码，并定期更换，不得告知和自己业务无关的人员。涉密计算机操作人员在短时间离开时，要将计算机关闭或采取其它安全措施（如进行屏保加密）才能离开。原则上不得将办公用计算机交由外单位人员操作。13各处室单位未经批准不得允许外单位人员将重要资料、数据复制下载。内网涉密电子32、文档必须进行加密或采取其它相应安全措施，不得公开或随意处理，防止泄密。14各处室单位对计算机设备不得擅自进行无把握、不顾后果的操作。凡出现较大故障的，必须及时报告处理，不得擅自将计算机设备外送维修。凡需要外送维修的，必须报告信息中心统一安排维修事宜，并进行设备维修登记，然后拆除硬盘或对硬盘中重要的信息进行加密处理。若是硬盘故障，应有专人陪同修复，防止硬盘中的各种信息和数据被非法窃取、更改和破坏。15信息中心要通过网络管理系统实时监控网络运行情况。凡发现违反规定造成感染病毒、木马，损坏程序或系统，造成网络阻塞、瘫痪，数据库出现故障等后果的，将视情节轻重，依照中华人民共和国计算机信息系统安全保护、例等法规，追究当事人责任。