信息安全管理制度

信息安全管理制度(试行)

第一章 总 则

第一条 为加强总公司网络和信息的安全管理，提高信息资源的运作成效，防

范各种来自内部和外部的网络安全隐患，杜绝各类网络安全事故的发生，现根据《中华人民共和国计算机信息系统安全保护条例》等国家相关法律法规，结合总公司具体情况，制订本制度。

第二条 本制度适用于总公司及分子公司。本制度具有框架性、纲领性，各下

属分子公司如需制订管理办法，须报总公司批准实施。

第三条 制度所指的信息设备和信息系统，是指总公司内由各种网络设备、运

用服务器、办公电脑、终端设备和各种数据库、程序、图表等电子文档及必要的系统软件、应用软件构成。

第四条 总公司设信息及品牌管理部，负责统筹管理、协调总公司及各分子公

司的信息设备及信息系统安全管理工作；对各分子公司的IT管理业务有条线管理及指导的职能。

第二章 设备管理

第五条 信息设备实行“谁使用谁负责”的原则（公用设备责任落实到部门）。

使用部门要保持清洁、安全、良好的设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

第六条 严禁擅自移动和装拆各类设备及其他辅助设备；严禁擅自请人维修；

严禁使用假冒伪劣产品；严禁擅自调整部门内部信息设备的安排；严禁

A级-保密文件

2

在私人电脑上处理与工作相关的数据。

第七条 凡登记在案的信息设备，由信息管理部统一管理并张贴设备卡。设备

卡作为相应设备的标识，各使用人有义务保证贴牌的整洁与完整，不得遮盖、撕毁、涂画。

第八条 员工因工作需要发生调动，需要继续使用该计算机的应在信息管理部

作变更备案；因离职等原因不继续使用该计算机的，部门领导需监督责任人将计算机及相关设备及时退回信息管理部，由信息管理部另行调配。

第九条 公司员工因工作需要，确需购买信息设备或配件的，可向信息管理部

提出申请，若有符合需求的可调配设备，由申请人填写《信息设备转移单》；若无可调配或有但不符合工作需要的设备，由申请人填写《信息设备请购单》，经所在部门经理签字并报公司主管领导审批后由信息管理部统一配置。若因工作需要对设备配置有特殊要求的，需在请购单中说明。

第十条 设备硬件或操作系统等故障报信息管理部进行处理，由使用人填写《设

备维修申请表》，在收到《设备维修申请表》后，信息管理部应及时调集力量予以处理。未填写《设备维修申请表》而要求维修的，信息管理部可以不予处理。

第十一条 非本总公司人员对我单位的设备、系统等进行维修、维护时，必须由

本公司相关人员现场全程监督。信息设备送外维修的，须经总公司信息管理部批准。

第十二条 设备出现故障无法维修或维修成本过高，且符合报废条件的，由使用

人提出申请，并填写《设备报废申请单》，经部门经理签字后报信息管理部。由信息管理部对设备使用年限、维修情况等进行鉴定处理，如报废设备能出售，将收回的资金交公司财务入账。信息管理部对报废设备登

A级-保密文件

3

记备案、存档。

第十三条 在规定使用年限内的信息设备原则上不予重复购买，达到规定使用年

限后，由信息管理部会同使用部门对其审核后处理。（台式电脑整机的使用年限原则上为五年，其余设备：如笔记本、打印、网络设备等，原则上以无法维修或无维修价值为年限界定依据。）

第三章 用户管理

第十四条 用户分为管理员与普通用户两种。管理员分为网络管理员、系统管理

员、子系统管理员、分模块管理员等级别，不同级别的用户拥有不同的使用权限。

第十五条 系统管理员账号由信息管理部管理和使用，普通账号由用户自行保

管。用户应保管好自己的登录帐号和密码，严禁随意向他人泄露、借用自己的帐号和密码；严禁使用他人账号登录系统。用户应定期更改密码、使用安全性较高的密码。

第十六条 新员工入职或岗位变更，由各分子公司综合管理部向信息管理部报送

员工基础信息，信息管理部根据人员岗位，分配相应的系统账号和登录密码、设置对应的使用权限。

第十七条 员工离职，由各分子公司综合管理部向信息管理部报送员工信息，由

信息管理部删除其相应系统的账号和使用权限。

第十八条 网络管理员、系统管理员、操作员调离岗位后一小时内由接任人员监

督检查更换新的密码；厂方设备调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。

A级-保密文件

4

第四章 操作管理

第十九条 严禁利用公司网络和计算机从事与工作无关的事情；严禁非信息管理

部人员随意更改各种信息设备配置。

第二十条 营销用计算机未经允许不准安装其它软件、不准使用来历不明的载体

（包括软盘、光盘、U盘、移动硬盘等）。

第二十一条 凡涉及业务类的专业软件，具体业务操作和人员培训由使用部门

和个人自行负责；信息管理部负责用户账号分配、使用权限设置以及系统的日常运维。

第二十二条 信息管理部将有针对性地对员工的计算机应用技能进行定期或不

定期的培训，由信息管理部收集计算机信息系统常见故障及排除方法并整理成册，供公司员工学习参考。

第二十三条 用户在工作中遇到计算机信息系统问题，首先要学会自行处理或

参照手册处理；若遇到手册中没有此问题，或培训未曾涉及的问题，再报信息管理部解决处理。

第二十四条 信息管理部指定专人负责计算机病毒的防范工作，建立总公司的

计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

第五章 数据管理

第二十五条 用户计算机内的资料涉及公司秘密的，应该为计算机设定开机密

码或将文件加密；凡涉及总公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离职员工由所在部门经理负责将其所有工作资料收回并保存。

A级-保密文件

5

第二十六条 工作范围内的重要数据（重要程度由各部门经理核定）由计算机

终端用户定期更新、备份，并提交给所在部门经理，由部门经理负责保存。各部门经理在一个季度开始后10天之内，将本部门上一季度的工作数据交综合管理部，统一汇集后采用磁性介质或光盘保存，并归档造册。数据的查阅和复制必须严格按照程序进行逐级审批，做好详细登记，严禁擅自复制外传。

第二十七条 终端用户务必将有价值的数据存放在除系统盘（电脑C盘）以外

的盘上。计算机系统发生故障，应及时与信息管理部联系并采取保护数据安全的措施。

第二十八条 终端用户未做好备份前不得删除任何硬盘数据。对特别重要的数

据应备份双份，存放在不同的地点；对采用磁性介质或光盘保存的数据，要定期进行检查，定期进行复制，防止由于磁性介质损坏，而使数据丢失；做好防磁、防火、防潮和防尘工作。

第二十九条 任何业务数据的使用及存放数据的设备或介质的调拨、转让、废

弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

第三十条 数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。

数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

第三十一条 数据清理前必须对数据进行备份，在确认备份正确后方可进行清

理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。

第六章 网络管理

A级-保密文件

6

第三十二条 遵守国家有关法律、法规，严格执行安全保密制度，不得利用网

络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网络上发布反动、非法及有损企业形象的信息。严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的侵入。

第三十三条 各工作计算机未进行安全配置、未装防火墙或杀毒软件的，不得

入网。各计算机用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。

第三十四条 禁止未授权用户接入公司计算机网络及访问网络中的资源，禁止

未授权用户使用BT、电驴、迅雷等占用大量带宽的下载工具。

第三十五条 任何员工不得制造或者故意输入、传播计算机病毒和其他有害数

据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。

第三十六条 公司员工禁止利用扫描、监听、伪装等工具对网络和服务器进行

恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。

第三十七条 做好内部资料的传阅保密措施，责任落实到人，部门负责人应起

到监管的作用；员工未经许可，不得将公司内部资料对外传阅或发布到互联网上。

第三十八条 企业邮箱是公司对外联络的工具，凡涉及公司业务的邮件应统一

使用企业邮箱发送和接收，严禁以私人邮箱对外办理涉及公司业务的邮件行为。

第三十九条 总公司和各分子公司网站由信息管理部提供技术支持和后台管

A级-保密文件

7

理，网页日常新闻动态的更新发布由总公司信息及品牌管理部操作完成。凡涉及网页内容、网站架构需修改和变更的，由公司相关部门提供经审核后的书面资料报信息管理部统一调整。

第四十条 IP地址为计算机网络的重要资源，计算机终端用户应在信息管理部的

规划下使用这些资源，不得擅自更改。另外，某些系统服务对网络产生影响，计算机各终端用户应在信息管理部的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行。

第七章 检查和监督

第四十一条 总公司信息管理部作为信息安全管理部门，有权对总公司和下属

分子公司的所有信息设备及系统的使用情况进行检查和监督。各终端用户应积极配合信息管理部共同做好计算机信息系统安全管理工作。

第四十二条 信息管理部不定期检查各种信息设备的使用情况，并通报相关用

户的使用情况，对使用管理不规范的部门和个人发出整改通知书，限期整改。

第八章 处罚措施

第四十三条 有以下情况之一者，视情节严重程度给予相应的经济处罚。触犯

国家法律的，移交司法机关处理。

（一） 制造或者故意输入、传播计算机病毒以及其他有害数据的； （二） 非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的；

（三） 对网络和服务器进行恶意攻击，侵入他人网络和服务器系统，利用

A级-保密文件

8

计算机和网络干扰他人正常工作；

（四） 访问未经授权的文件、系统或更改设备设置； （五） 擅自与他人更换使用计算机或相关设备；

（六） 简易故障出现三次以上（包括三次）仍无法自行处理的； （七） 擅自调整部门内部计算机的安排且未向信息管理部备案； （八） 日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、设备卡被撕毁、涂画或遮盖等；

（九） 擅自下载、安装或存放与工作无关的文件；

（十） 未经许可擅自将公司内部资料对外传阅或发布到互联网上，情节严重的；

（十一） 工作时间利用公司网络和计算机做与工作无关的事情如：炒股、聊天、网购、打游戏、看电影等;

（十二） 因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭；

第四十四条 计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意

对设备造成破坏的，视情节严重，按所破坏设备市场价值的50%-80% 赔偿，并给予行政处罚。

第九章 附则

第四十五条 本制度由总公司信息及品牌管理部负责解释、修订。 第四十六条 本制度自发布之日起实施。

A级-保密文件

9

附表：

信息设备转移单

年 月 日

转出部门 设备名称 型号配置 接收部门 数量 转移原因 接收人

设备管理员

A级-保密文件

10

信息设备请购单

申请人： 年 月 日 申请部门 资产名称 购置用途 部门负责人 审 批 分管领导 意 见 总经理 型号及主要参数 预算金额 单位 数量 单价 金额 综合管理部 董事长

A级-保密文件 11

设备维修申请表

申请部门： 申请人： 维修项目： 申请日期： 故障现象： 维修确认：

设备报废申请单

申请人： 申请日期： 设备名称 使用部门 使用年限 设备型号 设备购价 估计残值 设备编号 购置日期 报废 原因 鉴定人 部门负责人 综合管理部 总经理 鉴定日期 审批 意见

A级-保密文件 12