某公司网络与信息安全管理制度 终版

网络与信息安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 第一章总则第一条为保障某有限公司（下称“公司”）网络与信息安全，切实加强网络与信息安全管控，提高网络与信息安全管理水平和防护能力，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国保守国家秘密法》等政策法规规定，结合公司实际，制定本 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 。第二条本制度适用于公司各部门、所有员工及使用公司网络的所有人员。第二章网络与信息安全管理机构第三条公司设立网络与信息安全领导小组，领导小组组长为公司总经理，副组长为主管信息化工作的公司领导，组员为各部门负责人、各部门信息化联络员、信息中心全体员工。网络与信息安全领导小组下设网络与信息安全执行小组，组长为信息中心负责人。第四条网络与信息安全领导小组主要职责如下：（一）根据国家和行业有关网络与信息安全的政策、法律和法规，制定公司网络与信息安全总体策略规划、管理规范和技术 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 等。（二）发挥集中统一领导作用，统筹领导公司网络与信息安全相关工作。（三）贯彻执行上级单位、相关管理机构下发的网络与信息安全文件要求及精神。（四）协调、督促公司各部门的网络与信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行。（五）统筹领导网络与信息安全事故，组织进行事件调查，评估安全事件的严重程度，提出网络与信息安全事件防范措施等。第五条信息中心职责为按照国家、集团及上级单位统一部署组织开展公司网络与信息安全工作，具体工作包括：（一）保障网络与信息系统安全运行。（二）开展网络与信息系统安全等级保护测评与备案工作。（三）网络与信息安全突发事件处置、应对、整改。（四）开展网络与信息安全宣传教育与培训。（五）开展网络与信息安全检查与自查工作。（六）负责公司网络与信息安全应急预案的编制并定期组织测试和演练。（七）开展其他网络与信息安全工作。第三章网络安全管理第六条网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。第七条信息中心负责对公司网络进行规划、搭建、统一管理、日常维护、安全保障等工作。第八条所有接入公司网络的用户必须提供真实身份信息，遵守国家有关法律、法规。第九条禁止未授权用户接入公司网络及访问网络中的资源，只有经过审批同意的用户方可接入公司网络。公司局域网内所有用户账户均由信息中心统一分配管理，严禁私自外借，不得私自组建网络或访问公司局域网。第十条使用公司局域网必须遵守相关法律法规，严禁通过公司局域网进行传播反动、暴力、淫秽内容等违法行为，严禁在公司局域网内运行或传播病毒、流氓软件及进行其他影响局域网正常运行或影响其他用户正常使用的行为。第十一条加入公司局域网内的计算机必须安装使用正版杀毒软件，每周定期杀毒且不得卸载。第十二条任何单位和个人使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。第十三条任何单位和个人不得利用国际联网制作、复制、发布、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的。（二）煽动颠覆国家政权，推翻社会主义制度的。（三）煽动分裂国家、破坏国家统一的。（四）煽动民族仇恨、民族歧视，破坏民族团结的。（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序，鼓励聚众滋事的。（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的。（七）公然侮辱他人或者捏造事实诽谤他人的。（八）损害国家机关信誉的。（九）计算机病毒。（十）其他违反宪法和法律、行政法规的。第四章信息系统安全管理第十四条公司信息化项目建设和网络安全严格遵循“三同步”原则进行同步规划、同步建设、同步运行。第十五条信息系统用户分为信息系统审计员、系统管理员和系统使用人员。信息系统审计员由信息中心主管信息安全主管人员兼职，职责为依据IT审计标准开展审计工作，利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造等。系统管理员负责信息系统运行平台维护管理，提供基础技术支持等。系统使用人员负责严格按系统运行要求处理业务，确保系统数据及时、准确、完整。第十六条未经授权任何人不得操作信息系统，已授权用户必须在授权范围内使用信息系统，不得使用其他员工的权限操作系统，更不得恶意使用系统。第十七条系统管理员及系统使用人员实行一人一帐号，用户密码严格保密并定期更改，因帐号和密码被他人盗用造成的后果由帐号持有人负责。第五章工业控制系统安全管理第十八条在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。第十九条临时接入工业控制系统的设备接入前必须进行病毒查杀。第二十条信息中心建立公司工业控制系统配置清单，定期进行配置审计。第二十一条对重大配置变更制定变更 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 并进行影响分析，配置变更实施前进行严格安全测试。第二十二条工业控制系统主管技术人员密切关注重大工控安全漏洞及其补丁发布，发现漏洞及时上报信息中心，由信息中心统一制定补丁升级措施。第二十三条工业控制系统严禁直接接入互联网。第二十四条对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取视频监控或门禁等安全防护措施。第二十五条禁止使用现场操作主机或工程师站电脑USB口进行数据传输。第二十六条禁止使用默认口令或弱口令登录工业控制设备、SCADA软件、工业通信设备等，定期更新口令。第二十七条禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务，确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式进行。第二十八条信息中心负责制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。第二十九条定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。第三十条定期备份关键业务数据，对关键程序、软件进行多重备份。第六章信息设备安全管理第三十一条信息设备是指具有获取信息、传递信息、存储信息、处理信息、显示信息等功能的电子设备，包括信息化相关设备，计算机硬件及外设、网络设备、无线电通讯设备、监控设备、调度系统设备、电话、会议系统设备、数码产品以及相关配套设备、设施与材料等。第三十二条在使用信息设备时应保持清洁、安全、良好的工作环境，禁止在信息设备应用环境中放置易燃、易爆、强腐蚀、强磁性等损害信息设备的物品。第三十三条所有信息设备未经信息中心授权同意，严禁擅自拆/换任何零件、配件、外设。第三十四条各部门负责人对本部门信息设备安全管理负责。第七章计算机及存储设备保密管理第三十五条计算机及存储设备保密管理工作坚持“积极防范，突出重点，确保安全，便于工作”的原则，实行“统一领导、分级负责、归口管理”，落实“涉密不上网、上网不涉密，电脑不混用，U盘不乱插”的工作要求。第三十六条涉密计算机是指由公司统一配置、安装，用于存储、处理国家秘密信息和公司商业秘密信息的计算机。（一）信息中心负责配置涉密计算机，并做好技术防护措施。（二）涉密计算机必须与非涉密计算机信息系统实行物理隔离，严禁将涉密计算机接入互联网及其他公共信息网络。（三）涉密信息必须在涉密计算机上进行存储、处理，禁止在非涉密计算机存储和处理涉密信息。（四）涉密计算机应设置用户名和屏幕保护口令，口令长度不得少于8个字符，且采用数字、符号、字母大小写组合方式，口令更换周期不得长于一个月。（五）涉密计算机应由专人管理，未经使用部门领导批准，非涉密人员不得使用。涉密便携式计算机不使用时应锁入密码柜中。（六）信息中心负责定期对涉密计算机进行病毒和恶意代码查杀，及时升级系统补丁；禁止涉密计算机使用具有无线功能的设备；严禁使用者擅自卸载、修改涉密计算机的安全技术程序、管理程序。（七）涉密计算机不得接入非涉密移动存储介质。（八）严格限制从非涉密计算机将数据拷入到涉密计算机中，确因工作需要，应通过 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 光盘的方式实现，并且要进行恶意代码查杀，严防被植入恶意代码程序。（九）禁止私自携带涉密计算机外出；确因工作需要必须携带的，需所在单位保密工作负责人批准；携带外出期间，应妥善保管好涉密计算机，防止丢失。（十）涉密计算机应当在公司内部维修，现场有专门人员监督，严禁维修人员读取或复制涉密信息；确需送外维修的，应当拆除涉密信息存储部件，并由信息中心协助公司保密办送国家保密局指定的具有保密资质的单位进行维修。第三十七条非涉密计算机和信息系统（包括互联网、社会公用网、公司内网等）禁止存储和处理涉密信息。（一）严禁使用E-mail信箱发送、传递和存储涉密信息，当使用者发现E-mail信箱有（被动收到）涉密信息时，应将有关情况做好记录，并及时报告信息中心和保密办进行处理。（二）在互联网上发布信息，应严格遵守保密规定，涉及国家秘密和公司商业秘密的信息，未经批准，不得擅自发布。第三十八条涉密存储设备是指用于存储国家秘密和公司商业秘密信息的电子设备，包括各类电磁存储介质以及打印机、传真机、复印机、打描仪、照相机、摄像机等具有信息存储功能的设备等。（一）非涉密存储设备禁止存储和处理涉密信息；禁止将涉密存储设备接入互联网及其他公共信息网络。（二）移动存储介质（包括但不限于U盘、移动硬盘、软盘、光盘）分为涉密存储介质、非涉密存储介质和中间介质，应严格区分和控制各自的使用范围。（三）涉密存储介质只能在涉密计算机中使用，不得接入非涉密计算机；非涉密存储介质禁止存储涉密信息，严禁连接涉密计算机使用；中间介质（一次性不可擦写光盘）是从非涉密计算机将数据拷入到涉密计算机中时使用，应进行恶意代码查杀，严防被植入恶意代码程序。第三十九条禁止将未经安全技术处理的退出使用的涉密计算机和涉密存储设备赠送、出售、丢弃或者改作其他用途。第四十条涉密计算机和涉密存储设备由信息中心负责进行安装、调试、维修。任何人不得擅自卸载、修改安全技术程序、管理程序等。第四十一条任何人如发现泄密计算机及涉密存储设备泄密后，应立即采取补救措施，同时上报公司保密办和信息中心。第八章网络与信息安全事故管理第四十二条信息中心负责公司网络与信息安全事故应急预案的编制，并定期组织演练。第四十三条网络与信息安全事件事故范围：（一）网络与信息系统发生严重故障和瘫痪（二）信息系统重要数据丢失和信息泄密（三）信息系统受到较大面积病毒感染和渗透、攻击（四）有害信息在公司网站较大面积传播（五）其他较严重的安全事件第四十四条出现第四十三条提到的网络与信息安全事件时，发现者需逐级上报，做到及时、全面、准确报送，不得瞒报、缓报、谎报网络与信息安全情况。第四十五条出现第四十三条提到的网络与信息安全事件时，上报流程如下：是 否 第九章网络与信息安全教育与管理第四十六条员工入职后应参加信息中心组织的网络与信息安全培训，以提升其网络与信息安全意识及技术水平。第四十七条员工需签订《网络与信息安全承诺书》，一式两份，信息中心存档一份，签订部门存档一份。第四十八条员工离职时，需由人力资源部向信息中心出具员工离职通知函，进而终止离职员工对信息系统的所有访问权限。第四十九条员工离职时应返还属于公司的全部信息设备，以及记载着公司资料及秘密信息的一切载体，且不得在离职时以任何形式带走相关信息。第十章法律责任第五十条对于违反本管理制度的单位及个人，造成损害的，公司将视情节严重程度给予处理；造成财产损失的，依法承担赔偿责任；构成犯罪的，依法追究刑事责任，移送司法机关处理。第十一章附则第五十一条本制度由信息中心负责解释，自印发之日起执行。第一条 附：网络与信息安全承诺书为了提高某有限公司（简称“公司”）员工的网络与信息安全和保密意识，落实网络与信息安全和保密责任，规范系统信息录入行为，符合公司信息化相关管理制度，为信息化建设工作提供强有力的安全保障，特签订此承诺书。本承诺书用于规范公司各个信息管理系统包括但不限于公司内网、外网、协同办公系统、管控一体化系统、EAM系统、综合ITV系统、客户菜单提报系统、邮件系统、客户服务平台、综合信息办公系统（短信群发系统）等信息发布平台的使用人员。使用人员承诺遵守以下条款：1.严格遵守《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》等有关法律法规。2.严格遵守国投集团、国投交通控股有限公司及我公司的信息化标准和管理制度。3.不在任何形式的媒体中从事危害国家安全、泄露国家机密等违法犯罪活动。不制作、查阅、复制和传播违反法律、妨碍社会治安、破坏国家统一、破坏民族团结、色情、暴力等信息。不捏造或者歪曲事实，散布谣言，扰乱社会秩序。不公然侮辱他人或者捏造事实诽谤他人。4.未经批准，不擅自发布公司内部信息及员工个人信息。5.保证所提供的信息遵守国家有关知识产权的法律、政策规定。6.对职责范围内的信息负有安全和保密责任。在未经许可的情况下不使用他人的信息设备，不将自己使用的信息设备转借他人。7.定期对本人使用的信息设备进行数据备份，定期更新病毒库和进行病毒扫描。如需使用外部存储设备，先执行病毒扫描再打开使用。8.有责任管理好各种用于身份认证的账号和口令等信息，并定期更换口令。9.不发送或协助发送垃圾短信和垃圾邮件。公司将保留对信息系统使用人员进行监控的权利，任何人如经查实违反上述条款，将按照相关制度予以惩罚，系统管理员有权停止或取消使用人员的使用权限。情节特别严重，触犯相关法律法规的，由公安机关处理。特此承诺。承诺人：部门负责人签字（章）年月日此承诺书一式两份，信息中心存档一份，签订部门存档一份。