1、信息技术公司技术保障措施及安全责任落实管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 一、系统硬件设备管理制度：1、防火墙、服务器、网络、交换机等设备，未经同意不得拆装、移动；2、为保证服务器良好运行，充分发挥效率，除指定的人员外，其它人不得随便拆开机 器或调换各种设备配件，否则造成机器损坏将追究责任；3、计算机和辅助设备需检修，应报告专业工作人员，由有关人员检修；4、安全人员必须爱护机器及各种设备，不准随便破坏，有意破坏者和对于不按操作规 范使用设备、仪器，造成损坏考，照价赔偿或酌情赔偿损失。二、系统硬件环境（机房）管理2、制度：1、严格执行机房进出管理制度，无关人员未经安全责任人批准严禁进岀机房（系统硬 件环境）；2、办事人员和来访者必须经有关领导批准后，应持有临时出入证，履行严格的登记手 续，填写进出记录。并由工作人员带领才能允许进入机房（系统硬件环境）；3、禁危险品、易燃易爆和强磁物品及其它与机房工作无关的物品进入机房（系统硬件 环境）；4、携带用于维护设备或施工使用等物品进出机房（系统硬件环境）时，应妥当保管处 置，并持有携物证；5、进入机房（系统硬件环境），严格遵守机房管理制度，操作制度和有关电气安全操作 规程，不允许在机房（系统硬件环境）内从事与工作无关的事情，以防止损坏系统、数据和 机器设备等；6、3、在机房（系统硬件环境）内严禁抽烟，不得随地吐痰、乱扔纸屑垃圾，不准在机房 内吃食物；7、未经有关领导批准，不得在机房（系统硬件环境）内照像、录像；8、随时对机房进行巡视，注意发现产生危险、故障的征兆及其原因，检查防灾防范设 备的功能等。（1）计算机系统发生故障；（2）误操作；（3）外部攻击；（4）发生火灾、水灾、地震等自然灾害；（5）计算机病毒的侵蚀；（6）意外停电；（7）其它。三、信息安全保密制度：1、在职人员须与公司签订保密协议，严格保守公司内部技术秘密，不得泄露公司的任 何商业和技术机密，其中包括：（1）系统构成技术指标保密，包括：系统操作平台、版本信息，应用软件的源代码及 相关信息。（4、2）网络整体构架保密，包括：网络整体的拓普结构，交换机及防火墙的选型和内部 关键服务的IP等。（3）口令保密，包括：系统口令和数据库口令，不得以任何手段和方式破解和泄露用 户口令。（4）技术资料保密：技术资料的使用和保管必须严格按照技术资料管理制度执行。（5）客户数据保密，包括：客户在网站的注册资料和私人设置资料以及客户的交易数 据。（6）其他关系到公司和客户利益的资料和数据保密。（7）其他国家规定的资料和数据保密。（8）保密资料不得以明码方式保存和传输。（9）不得任意修改和销毁电脑资料。（10）对于废弃的保密资料，必须彻底销毁。2、对于违反上述规定者，一经发现，将追究其责任，给予降职、停职等5、处罚，直至开 除。四、人员配备和组织管理网络信息系统的安全管理的最根本核心是人员管理，提髙安全意识，行于具体的安全技 术工作中。为此，安全的人事组织管理主要基于以下三个原则：（1）多人负责每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统安全主管领导指 派的，工作认真可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到 保障。负责的安全活动范I韦I包括：1. 访问控制使用证件的发放与回收；2. 信息处理系统使用的媒介发放与回收；3. 处理保密信息；4. 硬件和软件的维护；5. 系统的设计、实现和修改；6. 重要程序和数据的备份、删除和销毁等。(2) 任期有限任何人最好6、不要反期担任与安全有关的职务，遵循任期有限原则，工作人员应不定期地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3) 职责明确在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情, 除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当尽可能分开。1. 系统管理与计算机编程；2. 机密资料的接收和传送；3. 安全管理和系统管理；4. 访问证件的管理与其它工作；5. 计算机操作与信息处理系统使用媒介的保管等。五、系统安全漏洞检测：1、定期用漏洞扫描软件扫描系统漏洞，对服务器进行安全漏洞检测，关闭不必要的端 口；2、每天升级服务器系统，7、安装服务器补丁，预防可能存在的网络系统安全漏洞；3、安全人员在漏洞扫描检测完成后，应编写检测报告，需详细记叙是否检测到漏洞， 结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。六、系统的病毒防治：1、采用经过国家许可的正版防病毒软件并及时更新软件版本；2、对系统进行更改的文件，上传至服务器前要进行完整的病毒扫描，确保在最新病毒 库检测下没有发现病毒感染后方可上传；3、对服务器的杀毒软件要做到每天都升级病毒库，确保病毒库始终都处于最新状态, 防止服务器的病毒入侵、感染和传播；4、严禁外來人员未经部门主管同意上机操作，以免发生病毒感染和其他损失；5、电脑出现病毒，操作人员不能杀除的，须及8、时报电脑主管处理；6、在各种杀毒办法无效后，须重新对电脑格式化，装入正规渠道获得的无毒系统软件；7、安全人员在病毒检测完成后，应编写检测报告，需详细记叙检测的时间、结果、建 议和实施的补救措施与安全策略。检测报告存入系统档案。七、严格的口令管理：1、不定期的经常性更改管理员口令，口令的最长使用吋I可不能超过一个月，口令的选 择应该选择较、同时大小写字母和数字、符号混和的，以防止口令被暴力破解；2、严禁泄漏系统口令和管理员口令；3、系统保密员必须有能力更改口令。当口令使用期满、被其他人知悉或认为口令不保 密时，系统保密员可按照口令更改程序变换口令。口令更换操作应在保密条件下进行；4、对口令数据库的访问和存取必须加以控制，以防止口令被非法修改或泄露；5、系统提供的访问和存取控制机制不够完善时或机制虽然完善，但可能出现系统转储 等情况时，应对存储的口令加密。