等级保护全套制度.docx

1、等级保护全套制度附件1：XXXXXXXXXX信息安全管理制度XXXXXXXXXX计算机网络信息安全保密制度XXXXXXXXXX用户密码安全保密管理规定XXXXXXXXXX电子文件保密管理规定XXXXXXXXXX涉密计算机系统病毒防治管理规定XXXXXXXXXX数字复印机多功能一体机保密管理规定XXXXXXXXXX计算机信息发布、传递保密管理制度XXXXXXXXXX互联网发布信息保密管理制度XXXXXXXXXX计算机维修、更换及报废保密管理规定XXXXXXXXXX移动存储介质管理制度XXXXXXXXXX计算机保密管理制度XXXXXXXXXX网络管理办法XXXXXXXXXX系统数据备份与恢复管理制

2、度XXXXXXXXXX网络信息安全应急预案XXXXXXXXXX机房安全管理制度XXXXXXXXXX信息化安全管理办法XXXXXXXXXX信息系统变更管理制度XXXXXXXXXX信息安全事件报告和处置管理制度XXXXXXXXXX信息安全系统安全建设工作计划信息安全管理制度近年来， 随着计算机技术和信息技术的飞速发展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设，如何进行信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。一、前言：企业

3、的信息及其安全隐患。在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面：A服务器信息。主要存在于信管部。B 密码信息。存在于各部门所有员工。针对以上涉及到安全的信息，在企业中存在如下风险：1 来自企业外的风险病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重

4、则泄露机密信息。不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这

5、些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。2、来自企业内的风险 文件的传输风险。若有员工将公司重要文件以QQ、MSN发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。2 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。3 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文件和重要资料带走，会造成企业信息的外泄。 存储设备的风险。若员工通过光盘或移动硬盘等

6、存储介质将文件资料拷贝出公司，可能会泄露企业机密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。 上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。6 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握，可能会窃取此用户权限内的信息资料和业务数据；若管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。7 机房设备风险。主要包括服务器、UPS电源、网络交换机、电

7、话交换机、光端机等。这些风险来自防盗、防雷、防火、防水。若这些自然灾害发生，可能会损坏机房设施，造成业务中断。8 办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到，可能会泄露部门工作机密，甚至是公司机密。为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基础，各部门具体细则为安全管理行为标准，从各个层面杜绝信息安全隐患。二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。1.计算机设备安全管理。1） 公司所有人员应保持清洁、安全、良

8、好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2） 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向信息管理部报告，不允许私自处理和维修。3）发现由以下等个人原因造成硬件的损坏或丢失的，其损失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进行处理。4）下班后所有不再使用的计算机，应关闭主机电源，以防止意外，对于

9、共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。2.部门资料安全管理。1） 外接存储设备安全管理。 严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示此行为，并以公司存储设备做文件拷贝。为确保硬盘的安全，严禁任何人私自拆开电脑机箱：将用户主机贴上封条标签，除信管部人员外，任何人不得私自拆开机箱，若信管部进行电脑硬件故障排查时，拆除封条标签后，在故障排查结束及时更换新的封条标签。信管部将定期检查，若发现有封条拆开痕迹，将查看视频监控记录，追查

10、相关人责任。给每台电脑主机配备锁柜，将所有用户主机存放在锁柜内，锁柜钥匙统一由信管部保管，若需要为用户处理电脑故障时，信管部在打开锁柜处理完电脑故障时，一定要锁好主机柜，确保主机内硬盘的安全。2） 文件传真安全管理。 所有人员对外发送传真，必须经上级核实后，统一在综合部登记，由综合部发送，严禁个人私自在未经许可的情况下对外发送任何类型的传真文件，一经发现，所有后果将由个人承担。在对内传真文件时，应即刻通知传真接收人接收并取走传真件，在传真结束时，应马上取走传真原件。若因传真时没有取走传真件，导致传真件丢失，造成本部门信息外泄，则由本人承担一切后果。3） 文件打印安全管理。 所有人员不得私自将公

11、司文件打印带出公司，一经发现，严肃处理。若在上班时间，打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，若因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为，一经发现，将对本人警告，若因打印后，文件丢失，造成信息资料外泄，则由本人承担相关责任。4） 文件的存储安全管理。 所有部门人员应每周清理计算机中的文件，清除不需要的垃圾文件，将重要的文件和工作资料保存在特定的文件夹里，每月末应将电脑中的文件资料做一次备份，将文件资料备份到部门专用U盘或移动硬盘上，确保个人工作资料的文件归档，在电脑突发性故障或硬盘损坏时，能够及时恢

12、复最近的工作资料；电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份，造成数据资料丢失时，将由本人承担相关后果。若员工离职，在办完离职手续后，所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上，若没有执行此安全过程，离职员工损失的文件资料由该部门承担。5） 办公区域的安全管理。 所有部门人员每天下班时应保证办公桌的整洁，将部门重要文件资料存放在个人抽屉柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好，被他人取走，造成的后果将由本人承担。3.帐号密码安全管理。 使用者须妥善保

13、管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工，员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产，设置密码时应注意：密码至少有8个字符长；密码必须包含以下任一部分：字母A-Z或a-z，数字0-9，特殊字符，例如 $ ，-等。1） 电脑密码管理：每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息，网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记，若更改密码后，未进行登记，一经

14、信管部发现，将对该用户进行口头警告。同时，因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题，信管部不承担责任。2） 应用系统密码管理：所有ERP用户及OA用户都将分配到一个帐号密码，帐号是不变的，用户可以更改自己的系统密码，密码尽可能设置为高安全性的复杂密码，严禁用户将密码设置为如123456等傻瓜式密码，若密码设置过于简单，被其他用户非法登陆后，在ERP中将会非法编制篡改单据，在OA中非法冒用流程管理权限，若产生此情况，将会导致严重的后果；严禁将ERP帐号或OA帐号密码透露给他人，让他人代己做ERP单据或办理OA流程；员工调离岗位或离职，所在部门负责人应及时通知信管部注销该员工的应用

15、系统帐户。若因以上原因造成的信息安全后果将由本人承担。3） 采用用户身份认证系统：目前我公司登陆服务器采取的是静态密码认证，这种密码保护技术是最低层次的。在企业内，容易被其他部门人员注意到服务器登陆密码，从而可能会被动机不良的员工登陆到服务器，破坏服务器数据；在企业外，容易遭到黑客字典扫描破解密码，从而攻击各应用服务器，破坏或盗取商业数据等。因此，我部门在未来的发展规划中，要将用户身份认证当作安全的一个重大隐患，想办法解决这个问题。这里，我们可以采取动态口令牌或USB KEY认证技术，并选择其中一种技术与公司现有的静态密码技术相结合，动态口令牌随机生成动态密码，并于60秒内自动刷新密码，无法采

16、用数据字典扫描破解密码，让黑客攻击行为束手无策；而USB KEY采用USB密钥，存储特定的加密算法，只有将USB钥匙接上电脑，与电脑中存储的认证软件验证通过后，才能进入。我们通过（动态+静态）混合身份认证，或（硬件+软件）混合身份认证，保证服务器的登陆基于网内的行为、网外的行为都是安全的。4.杀毒软件安全管理。用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级，每日定时杀毒，使用者也应经常手动扫描杀毒。5.各类软件安全管理。软件原始盘片应交综合部保管，软、硬件设备的原始资料（软盘、光盘、说明书及保修卡、许可证协议等）交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册

17、由使用者长借、保管。6.邮件安全管理。所有因公对外联系的电子邮件一律通过公司邮箱info在指定的电脑上进行收发。（参考邮箱管理制度）综上所述，使用者应该具有一定的安全防范意识，具体应做到：日常工作信息安全：1）员工应对在自己公司电脑内公司机密信息的安全负责，当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。2.）员工有责任正确地保护分配给本人的所有计算机帐户。3.）各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。4）每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。5）不得安装有可能危及公司计算机网络的任何软件，若实在有需要进

18、行软件测试的必须将计算机脱离公司计算机网络进行单机操作。6）任何对公司内部计算机网络的黑客行为是绝对禁止的，一经查实将按公司有关规定严肃处理。假期时间办公室的安全： 确保工作电脑的安全，在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码，其它信息管理部设备的电源也必须切断。确保数据的安全：确保你的软盘，备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。当你在外的时候：不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假，而且总在探听我们公司的消息。任

19、何小小的信息都可能是他们所需要的。当你回来的时候：如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。常规注意事项1）任何外来盘片(包括CD、VCD碟片及软盘)，只有经过系统管理员确认不带病毒后，才可在公司计算机上使用.否则造成病毒感染或其他破坏的，公司将对其责任人进行罚款处理，每次金额50元500元。2）个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出，若需输出必须履行审批手续。申请人填写申请单，写明输出资料内容、份数、路径、用途、申请日期、申请人等项目，经部门领导和公司领导共同签字审批后，交由专人上机操

20、作。3）未经系统管理员许可，不得从因特网上下载任何软件安装，系统管理员将不定期检查，发现有违反本条规定的，将给予50元500元的罚款。4）严禁在工作时间利用计算机网络从事与本职工作无关的活动，发现有违反本条规定的，将给予50元200元的罚款。技术部组织架构及岗位职责为实现公司信息化目标，规范公司信息化建设，建立和完善公司信息化管理体系，明确管理职责，保障公司信息系统安全、高效、稳定运行，为公司提供准确、有效的财务、生产、技术及其它相关信息，为公司高层科学决策提供依据，从而进一步增强企业的核心竞争力组织架构三、公司信息部部门及岗位职责1.信息部部门职责（1） 负责公司信息化建设的总体规划及网络体

21、系结构的设计，负责公司信息化系统选型工作，并负责编制公司信息化总体规划与选型报告，并报公司领导审批。（2） 负责公司信息化系统的推进与执行，负责公司信息化项目实施工作的日常管理，并协调解决项目实施过程中碰到的问题。（3） 负责组织调研公司各部门信息化需求并汇总，负责组织公司财务、生产、技术、办公自动化系统软件的开发，使公司信息化系统形成一个无缝连接的整体。负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。（4） 负责公司所有信息化项目的持续改进与日常维护，负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作，在保证公司的计算机网络

22、安全运行的前提下，树立服务意识，为公司领导、各业务职能部门提供最优质服务。 （5） 负责公司人员计算机应用方面的培训，提高公司计算机应用的整体水平和办公效率。 （6） 负责公司计算机及相关设备的采购及维修计划编制。2.岗位职责1.总经理 （1）负责主持信息部的全面日常工作，负责制定本部门的管理制度及组织建设，并监督本部人员全面完成部门职责范围内的各项工作任务；负责本部门员工的工作检查、考核及评价。 （2）贯彻落实本部岗位责任制和工作标准，密切各部门工作关系，加强与集 团各部门的协作配合，做好衔接协调工作；（3）负责公司信息化系统总体构架，构建公司信息化实施组织，结合业务流程、项目管理，实施公司

23、集成信息化系统。 （4）负责控制信息化项目预算。负责控制本部门信息化预算，降低费用成本。 （5）负责公司信息化项目关键控制点的监督、控制和风险评价； （5）负责组织公司的信息安全工作，持续加强公司的信息安全管理。 （6）组织对公司计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档； （7）负责组织对计算机网络及信息系统的维护，保证网络及信息系统的正常运行。 （8）负责主持信息化新系统、新项目的开发，并对信息项目系统开发全过程负责。 （9）负责组织公司信息化项目的持续改进与日常维护。 （10）完成领导指派的其它工作；2. 维护主管 （1）负责IT维护方面的日常管理工作。

24、负责安排及监督系统管理员及系统维护员的工作。 （2）负责主持计算机及网络系统的设计及改良工作。 （3）负责主持对计算机网络及硬件系统的维护，保证网络及硬件系统的正常运行。 （4）负责检测并实施适当措施保障网络及硬件系统应用安全。 （5）负责对公司计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档； （6）负责公司上外网权限控制 （7）主管指派的其它工作；3. 项目组组长 （1） 进行项目可行性论证； （2） 按照计划执行项目的实施； （3） 协调项目组内的工作； （4） 主管指派的其它工作；4. 信息管理员 （1） 依据新信息系统项目的开发计划展开开发工作； （2）

25、负责公司有关信息系统的持续改进与日常维护，负责公司信息系统的安全管理、技术支持和维护工作，树立服务意识，为公司领导、各业务职能部门提供最优质服务。 （3） 负责公司的信息系统安全工作，持续加强公司的信息安全管理。 （4） 主管指派的其它工作；5. 软件开发员 （1）负责新系统、新程序的技术调研工作； （2）依据公司自主开发软件项目的计划进行软件开发设计，并进行推广。 （3）负责调研公司各部门信息化需求并汇总，负责公司外购软件（财务、生产、技术、办公自动化系统软件、人事管理系统）的二次开发，负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。

26、（4）主管指派的其它工作；6. 信息安全 （1）负责主持计算机及网络系统的设计及改良工作。 （2）负责检测并实施适当措施保障网络及硬件系统应用安全。 （3）负责维持运行于网络平台上的各种服务稳定运行。 （4）主管指派的其它工作；7. 网络安全 （1）负责排除计算机及网络系统（包括软件）的故障。 （2）维修或更换损坏的计算机及网络设备或部件； （3）协助维护计算机网络的稳定运行与安全； （4）主管指派的其它工作；XXXXXXXXXX计算机网络信息安全保密制度为保证我公司计算机网络信息安全，防止计算机网络失密泄密事件发生，特制定本制度。一、为防止病毒造成严重后果，对外来存储介质（硬盘、光盘、软盘、

27、移动硬盘或U盘）、软件要严格管理，严格禁止外来存储介质、软件在单位涉密计算机上使用。二、为防止黑客攻击和网络病毒的侵袭，接入网络的计算机一律安装杀毒软件，并要定时对杀毒软件进行升级。三、各部门在各项重大事项保密期间，将有关涉密材料保存到不联网的计算机上。四、我公司所有办公计算机的联网均通过公司进行，各部门禁止将计算机擅自接入其他互联网运营商。五、保密级别在秘密以下的材料可通过网络传递和报送，严禁保密级别在秘密以上的材料通过网络传递和报送。XXXXXXXXXX用户密码安全保密管理规定一、用户密码管理的范围是指办公室内所有涉密计算机所使用的密码。二、机密级涉密计算机的密码管理由涉密部门负责人负责，

28、秘密级涉密计算机的密码管理由使用人负责。三、用户密码使用规定（1）密码必须由数字、字符和特殊字符组成；（2）秘密级计算机设置的密码长度不能少于8个字符，密码更换周期不得多于30天；（3）机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过7天；（4）涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。四、密码的保存（1）秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示主管领导认可。（2）机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由部门主任管理。XXXXXXXXXX电子文件保密管理规定一、涉密电子文

29、件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。二、电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。三、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录，将系统中的电子文件分别存储在相应的目录中。四、电子文件要有密级标识，电子文件的密级标识不能与文件的正文分离，一般标注于正文前面。五、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。六、各涉密部门自用信息资料要定期做好备份，备份介质必须标明备份日期、备份内容以及

30、相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。七、各部门要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。八、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。九、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。XXXXXXXXXX计算机系统病毒防治管理规定一、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。二、每周升级和查、杀计算机病毒软件的病毒样本，确保病毒样本始终

31、处于最新版本。三、绝对禁止涉密计算机在线升级防病毒软件病毒库，同时对离线升级包的来源进行登记。四、涉密计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。五、对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用。六、对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员的责任。数字复印机多功能一体机保密管理规定一、用于专门处理涉密信息的数字复印机、多功能一体机按所接入设备的最高定密等级定密。二、严禁将用于处理国家秘密信息的具有打印、复印、传真等多功能的一体机与普通电话线连接。三、严禁维修人员擅自读取和拷贝数字复印机、多功能一体机等涉密设备存储的国家秘密信息。涉密电子设备出现故障送外维修前，必须将涉密存储部件拆除并妥善保管；涉密存储部件出现故障，如不能保证安全保密，必须按照涉密载体销毁要求予以销毁；如需恢复其存储信息，必须由保密工作部门指定的具有数据恢复资质的单位进行。XXXXXXXXXX计算机保密管理制度为进一步加强我公司涉密计算机信息保密管理工作，杜绝泄密隐患，确保国家秘密的安全，维护公司稳定与安全，根据中华人民共和国保守国家秘密法，结合我公司实际，制定本制度。第一条公司