ISO27001认证-信息安全管理制度大全WORD58页

（很全面的体系文件，大公司审厂专用）

目录

一、 信息保密管理制度；5页 二、 信息安全惩戒管理制度；7页 三、 计算机及相关设备管理制度；4页 四、 计算机安全管理制度4页 五、 计算机帐号及密码管理制度4页 六、 计算机病毒防治管理制度5页 七、 供应商接待管理制度4页 八、 供应商信息安全管理自检表16页

信息保密管理制度

第一条 目的

为有效保护公司的设计成果等知识产权，防止公司的核心商业秘密泄露或被剽窃，防止不正当竞争，特制订本规定。

第二条 信息保密范围

公司所有的不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。

具体包括但不限于：公司所有的产品规划、创意、设计方案、设计文件（含图纸及文档资料）、讨论结果结论；所有的资质认证的资料；所有的开发项目和进度；所有的技术资料和程序代码；所有的技术文档资料；所有的供应商资料；所有的采购数据；所有的客户资料及联络方式；所有的销售报表；所有的人事资料；所有的财务资料等。其他所有与公司经营管理相关的商业、技术、管理资料等公司认为需要保密的信息。

信息保密规则

第三条 各部门人员使用的所有办公用电脑，必须设置开机密码，密码除了使用人应牢记外，应向各部门经理上报备案。电脑使用人员变更密码应及时向各部门经理报告。

第四条 未经总经理（包括其授权人）或各部门经理批准，公司任何人不得开启其他员工电脑，不得查阅和拷贝其他员工电脑中的资料和信息。

第五条 未经公司网管人员同意，公司任何人不得打开电脑机箱、拆卸、更换板（卡）。 第六条 未经总经理（包括其授权人）或各部门经理批准，各部门员工不得将上述属公司商业秘密范围的资料设置为共享文件的形式。

第七条 各部门日常联络工作文件通过内部邮件系统进行沟通传递，尽量避免打印及复印。各电脑使用人员必须每半天接收一次内部邮件，并按信息级别由相应主管审批后方可以发布或传递。邮件要定期进行备份。

第八条 如因工作需要，确需刻录公司信息资料，必须经部门经理和管理部主管共同批准，否则一律不得刻录。

第九条 办公电脑中的资料要定期整理、清理和备份。各电脑使用人员应每周将本周重要工作文件整理备份一次。

第十条 研发部与供应商的设计资料传递，由各设计小组长负责，普通设计人员不得使用外

部邮件传递。设计人员应将相关资料用内部邮件传给各设计小组长，由小组长审核后再转发相关供应商。

第十一条 营销部、产品部或市场部收到客户的设计信息，原则上只能把该信息发送给项目负责人。如确有需要，经部门经理发送给该项目的主要经办人。收到设计信息的人员，不得以任何方式将客户的设计信息对外泄露，也不得转发给无关的技术人员。

第十二条 新产品通过公司网站对外发布，应事先将该产品的功能、结构和技术性能等报总经理或其指定授权人批准，经批准后方可发布。应避免信息泄露过早，造成他人的模仿或拷贝。

第十三条 公司电脑网络管理人员可以使用各种办法（包括对公司服务器的搜索）对违反公司规定的行为进行监控。如发现员工私自使用个人电子信箱发送属于公司保密范围的任何资料，有权进行制止和举报。公司将根据奖惩管理办法对举报人给予奖励和表彰。

第十四条 公司外人员需要动用我司电脑或查阅相关信息，必须有我司员工陪同。凡涉及公司商业秘密的数据信息，一律不允许浏览。也不得拷贝、打印、复制，特殊情况下需由部门主管签字确认后方可提供相关部分的数据。对擅自提供信息者，一经发现，予以辞退并追究法律责任。

第十五条 存放财务资料的电脑原则上不予联网，并应采取相关的技术限制和控制措施。数据传递由专人使用U盘和专用信箱传递，避免信息不当扩散。 信息分级及传递规则

第十六条公司信息根据重要程度分为四级

绝密：指极为重要的公司核心商业秘密，如被泄露会使公司利益遭受特别严重的损失。主要指产品规划、创意、设计方案、产品设计文件（含图纸及文档资料）、客户资料及联络方式；销售报表；采购数据、产品数据；技术项目档案；重大项目资料、公司的核心技术程序、程序的源代码、外购的软件等；所有的人事资料；所有的财务资料；法律文件；股东会文件、董事会文件；公司各种规章制度等涉及公司运营的核心数据资料及档案。

此级别信息，只有得到涉秘信息部门或项目主管书面许可方可根据工作需要进行内部加密传递，且传递范围仅限于需求部门主管或项目的负责人，由部门主管或项目负责人根据业务需要进行分割、整理后传达给本部门的员工。部门主管或项目负责人对接收的资料信息的安全和合理使用负责，因本人或本部门人员原因造成资料外泄，由部门主管首先负管理责任，同时追究直接责任人责任。许可须采用邮件回复、签字审批（如果需要移交的资料比较多或比较重要，须填写《数据档案资料移交清册》，见附表一）等有文字记载的书面方式进行，未经批准不得向任何人泄露，未经批准擅自将此级别信息对外发布，按泄密处理，责任人和部门主管负连带责任。

机密：指重要的公司秘密，如被泄露会使公司利益遭受严重损失。主要指公司各种讨论、论证结论；资质认证资料；开发项目和进度等对公司经营有重大商业价值的信息；各个部门因工作关系，经部门经理审批可了解相关信息的内容，但严禁复制拷贝，需要复制拷贝须经总经理批准。

此级别信息经审批后可以在具有相关业务联系的经理层传递，不得发布给与业务无关的经理和普通职员，更不得对外泄露。

秘密：指公司一般商业秘密，泄露会使公司的利益遭受损失。主要指日常的部门内部讨论、论证结论；日常工作信息等。

此级别信息由部门经理决定发布范围，可以在具有相关业务联系的员工间传递，但不得发布给与业务无关的员工，更不得对外泄露。

普通非秘密类信息：指内部非保密信息。主要指各种管理公告、公示，对全体员工开放的各种信息。

此级别信息可以在公司范围内发布传递，但不得对外公布。

第十七条公司信息的传递统一用公司邮箱进行，在发送时应仔细核对收件人，需要审批的，得到批准方可发送。

上述涉密信息的存储、处理、传递、输出要遵守文件传递和档案管理制度，并标注相应的密级标识，受控传递、签阅。

第十八条 部门间的信息传递统一由部门主管负责，各个部门的主管是涉秘信息发布与接收的唯一通道，除部门主管外任何人未经批准不得跨跃部门、跨跃职权发布、存储、保留涉秘信息，否则根据本规定进行处罚。部门主管须按公司要求严格履行保密义务，严格按审批程序和谨慎原则处理涉秘资料，需要批准传递的涉秘文件资料，确因业务需要，可以观摩、演示，但得到批准前不得另外保存、复制、传播，否则按泄密处理。

第十九条 任何人发现受控以外传递的涉秘信息，须在第一时间报告部门主管乃至总经理，并采取措施彻底清除已经传递出去的涉秘信息，销毁或回收全部受控以外的文件资料。 数据信息保护保全管理规则

第二十条 宗旨：公司的技术信息、经营信息和管理信息等是公司赖以生存和发展的根本，所有员工必须树立信息时代科技优先、信息为本的思想，严格保护公司的商业秘密。

第二十一条 岗位责任：各部门主管是本部门数据信息保全的第一责任人，如发生数据信息遗失、毁损、灭失、使用不当、泄密等问题，部门主管负首要管理责任。网络管理员负责对公司电子数据信息进行备份，备份过程中不得查阅浏览与本职工作无关的信息内容，对于工作中知悉的相关商业秘密信息要严格保密。数据管理专员负责收集和保管公司数据信息，各部门须全力配合，不得拒绝；数据保管专员必须于数据采集的当天将数据资料存放到指定的存放地点，不得私自留存、复制，同时要按照公司的档案管理制度做好数据信息的登记和备案（即详细登记数据资料的内容、采集时间、版本信息等），分类存放，以便于查阅。 第二十二条 信息归档保存：公司数据信息以“谁形成，谁负责归档”为原则。各个部门根据本部门的业务情况建立全面的业务数据管理规范，部门主管对本部门的数据信息的归档及安全负全责。各部门的数据信息应及时归档，并自行设专柜妥善保存。密级为绝密的重要档案信息应在公司以外的专业保管场所由公司指定的专人负责存档及保管。密级为机密级以上的数据信息，应由部门主管亲自归档及保管，以确保数据信息的安全。其它密级的数据信息由部门主管根据数据的重要程度分级指派专人负责归档和保管，同时明确归档及保管人员的责任。

第二十三条 各部门数据信息档案管理：各部门须根据本部门特点，制定部门信息档案管理办法。各部门要严格执行公司信息管理规定及本部门的信息档案管理办法，确保公司的全部信息档案体系能记录、有记录、可查考，为公司的快速发展提供安全、持续、高效的支持。各部门应充分利用已有的信息档案体系提高决策的科学性，不断创新发展，积累越来越多的知识财富。

第二十四条 数据信息的备份与移交：绝密级信息，必须以可移动的存储方式进行数据备份。每月的第3个工作日由各个部门指定的数据管理人员或部门主管将备份数据信息移交给公司指定数据管理专员。存放于公司以外的安全场所，以确保公司数据资料的绝对安全，避免因火灾、盗抢及其他不可预料的以外给公司造成不可挽回的损失。

第二十五条 信息封存要求：部门主管须在封存的介质上加贴一次性封签，并在封签上签字同时签署封存日期。无总经理批准任何人不得拆封，如遇特殊情况确需拆封检查，须由数据管理专员亲自执行，并在查验完毕后1小时内重新封存完整并在封签上签字确认，同时注明日期。如需记载的事项较多，应以独立文本文件记录，并与数据信息一并归档保存。

第二十六条 封存人对数据信息的完整性和安全性负责。如果发现有重大的数据遗漏给与警告或1000元-10000以内罚款，并视情况减少，取消期权，股权。

第二十七条 借数据备份之名盗取公司数据或恶意伪造编造数据，一经发现立即开除，取消期权，股权。并保留追究一切责任和要求经济赔偿的权利。

第二十八条 数据保管专员的权利与责任：公司指定的数据保管专员，有权按公司规定搜集数据资料，各个部门主管须全力配合，不得以任何理由拒绝。数据保管专员必须于数据采集的当天将数据资料存放到制定外部存放地点，不得私自留存、复制和发生任何泄密，否则承担给公司造成的经济损失，并视情节予以5000-100000元的罚款。同时指定保管人员要按照公司的档案管理制度，做好数据资料的登记和记录，分类存放，详细登记数据资料的内容，采集时间，版本信息等以便于查阅。 责任与监管

第二十九条 主管责任

技术总监和技术项目负责人，负责技术文档、源程序、开发文档以及技术相关档案的组织编写和文件归档，负责外购的技术开发应用软件的保管和应用，确保软件没有应用于公司以外的任何用途，负责对全部技术文档进行监察与监督，对技术资料的完整与安全负责；

产品部主管对产品规划、创意、设计方案、产品设计文件（含图纸及文档资料）等全部的产品设计文档和资料负责，组织编写建立归档，进行监察与监督，对本部门的资料完整与安全负责；

人力资源主管对全部的人事资料和档案负责，负责人事制度的建立健全和发布实施，签阅存档；

综合管理部主管对公司全部财务数据档案、公司行政档案、公司资质证书、公司印鉴等的完整和安全负责，同时负责建立健全公司行政办公管理制度，签阅存档。

市场部主管负责公司全部营销企划方案、营销计划规划及策划资料组织编写和归档，对本部门的文件资料的完整和安全负责；

项目主管负责所辖区域的客户资料的整理建档，对客户资料的完整和安全负责； 第三十条 监管

对于公司的知识财产采取内部监督和外部监察双重手段进行监管，以确保公司的核心知识资产的安全。

首先，每个月部门主管要组织本部门进行自查，保证本月及以前月份备份数据的完整和准确；

第二，每个季度由综合管理部组织各个部门主管，由总经理统领进行交叉稽查； 第三，由总经理根据需要，聘请外部的顾问和专家进行外部独立稽查； 第三十一条 责任承担

1）对于重要资料没有备份、备份不全或备份错误的，根据给公司造成的损失追究相应的责任。

2）违反“信息保密规则”，对相关责任人员予以警告或罚款，行政记过、记大过直至开除。

3）违反“信息分级及传递规则规则”，对相关责任人员予处警告或罚款，行政记过、记大过直至开除。

4）违反“数据信息保护保全管理规则”，因过失导致数据信息遗失、泄露，对责任人处以警告或1000元以下罚款；窃取公司商业秘密范围的数据信息或恶意伪造篡改数据的，一经发现立即予以辞退，取消全部股权期权奖金红利，除按劳动合同和竞业禁止约定处罚外，构成犯罪的报司法机关追究刑事责任。

5）违反本“信息管理保密暂行规定”，除给予警告、罚款、记过、记大过、辞退等行政处分外，如给公司造成经济损失，同时承担民事赔偿责任，部门主管有过失的负连带赔偿责任。构成犯罪的，报送司法机关依法追究刑事责任。

5.3 计算机信息类违规处罚

5.3.1信息科技部职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造成轻微危害者，给当事人警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主管领导200元以上1000元以下罚款。

5.3.2信息科技部职工违规操作导致系统发生问题，影响业务长时间正常运行，立即调离信息科技部，情节严重者，按照市行的有关规定处罚。

5.3.3支行系统员凡是不按要求管理，出现公网和内网混网现象，或其它安全问题，一经发现，除全行通报批评外，处以200元罚款，情节严重者，调离系统员岗位。

5.3.4市行机关和支行所有计算机使用用户，违规私自修改网络地址进入不该进入的业务网段、或使用内网主机进入internet网络者，若对系统和业务未造成影响，除全行通报批评外，处以当事人和相关责任人200元罚款，若对系统或业务造成影响着，视情节轻重，处以500以上10000元以下罚款。

5.3.5对全行所有营业网点每天晚间业务结束后，未做网点平账交易，除全行通报批评外，处以该网点200元罚款，该单位第二天必须向信息科技部出具事件说明报告。

5.3.6凡是利用非法手段窃取系统密钥，进入我行业务系统，盗取客户资料，向外界提供客户资料并造成客户损失或进入系统作案者，一经发现，立即开除行籍，情节严重者，送交司法机关处置。

5.4 奖惩记录

5.4.1 综合管理员根据阜新银行信息科技部奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》记录完毕后由综合管理员进行留存。

5.5 证据的收集

5.5.1 当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。 5.5.2 证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证据是否可在法庭上使用。

5.5.3 应保证证据的质量和完备性，防止未被授权的篡改和泄漏。

5.5.4 证据获得的保证：阜新银行信息科技部应确保收集证据其信息系统符合任何公布的标准或实用规则来产生被容许的证据。

5.6 证据的保存及提供

5.6.1 提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进行过程控制保证证据的质量和完备性。

5.6.2 纸面文档证据的提供：原物应被安全保存且带有下列信息的记录：谁发现了这个文档，文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原物没有被篡改；

5.6.3 对计算机介质上的信息：任何可移动介质的镜像或拷贝（依赖于适用的要求）、硬盘或内存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据证明该过程；原始的介质和日志（如果这一点不可能的话，那么至少有一个镜像或拷贝）应安全保存且不能改变

5.6.4 任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程，谁执行的拷贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。

6 记录

《奖惩记录单》

奖惩记录单

序号

区域/部门 奖惩人姓名 奖惩人 奖惩事项描述 签字确认 备注

计算机及相关设备安全管理制度

第一条 所有设备在入网前，需由信息中心对设备的涉密情况、基本配臵信息、用途、使用人、安装的软件、使用的端口和服务、MAC地址等登记备案并进行安全审核，合格后方可入网与处理重要信息。

第二条 所有设备需按照相关安全管理要求进行安全设臵，不能自行设臵的可咨询信息中心。

第三条 由信息中心的网络管理人员根据登记信息对计算机及相关设备进行网络配臵（包括网络跳线、MAC地址与IP地址的绑定、VLAN配臵等）。

第四条 系统安全管理

1、严格执行用户权限分类分级控制原则； 2、严格执行权限最小化原则；

3、相同的访问权限执行一致的安全策略； 4、各设备的系统用户及密码应按照相关安全管理规定设臵，并定期修改密码。

5、禁止一切没有限制的文件共享； 6、根据业务需要开启相应端口服务；

7、涉密计算机必须实行“专机专管、专机专用”；

8、严禁在连接财政内网的计算机上私自安装和使用MODEM、无线网卡、无线路由器等网络通讯设备。对于违反规定的人员，发生安全事件由其承担全部责任并追究分管领导责任；

9、计算机必须按照标准格式（房间号-姓名简拼）命名，以方便对计算机进行定位。

10、计算机BIOS应设臵口令，防止非法修改。

第五条 计算机上网安全管理

1、连接财政专网的计算机禁止以双网卡、修改IP地址、切换信息点及拨号等方式访问INETRNET；

2、计算机必须通过在网络边界统一设臵的方式访问INTERNET，严禁通过拨号等方式绕过代理服务器上网，严禁访问与工作无关的网站，坚决杜绝因访问不安全网站致使危险代码下载到计算机，危害系统和网络信息安全的现象发生； 3、涉密计算机及其网络系统必须与互联网实行严格的物理隔离，坚决杜绝“一机两用”现象。

第六条 计算机外设安全管理

1、计算机外设包括软驱、光驱、存储介质（名手软盘、光盘、优盘、移动硬盘、MP3、磁带、存储卡、数码相机存储棒等）、调制解调器、红外设备、蓝牙设备、串口设备等。计算机外设在未经安全审核的情况下一律禁止使用，

以消除由此可能带来的安全隐患；

2、制作、收发、传递、使用、复制、保存和销毁涉密存储介质要按照相关保密管理规定进行，严禁自行处理； 3、涉密移动存储介质要统一购臵、统一标识、严格登记、严格管理，不得在涉密信息系统和非涉密信息系统之间交叉使用，以免造成信息泄漏。

4、涉密存储介质携带外出须经本部门主管领导批准，并采取相应的保密措施。携带涉密存储介质出国（境）要按照国家保密局、海关总署的相关管理办法办理。

5、办公用复印机严禁与互联网、普通电话线连接；办公计算机、笔记本电脑、移动硬盘等设备严禁与具有打印、复印、传真等功能并与普通电话线相连接的多功能一体机互联。

第七条 其它管理要求

1、所有涉密计算机必须粘贴统一格式的标签； 2、使用完毕或者暂时离开计算机时应及时锁屏； 3、对用于非24小时监控用途的计算机，要求下班后必须关闭机器；

4、明确各计算机及相关设备的负责人，负责该设备的日常维护及资产管理。管理人员需定期检查安全情况并对

资产进行清查。

第八条 由信息中心的安全管理人员负责对安全措施的落实情况进行监督。

计算机安全管理制度

第一章 个人计算机安全

第一条 加入安全密匙。每个新员工在领到机器，开机登录前要与系统管理员联系确认自己的机器安装了安全密匙客户端。

第二条 验证安全密匙。员工开机登录时，选择登录公司 “sunshine”。 第三条 更改口令。首次登录用户必须修改自己的本地管理员（administrator）用户的口令，口令的长度不得少于6个字符，要大小写及数字混合使用。

第四条 访问安全。每位员工不得将自己的用户口令告诉他人；在离开工位前必须锁定本人的机器。每位业务系统操作人员要牢记自己的用户名和密码，并作为保密信息，保证自己的操作员信息不被盗用。严格按照业务部门有关业务操作流程及权限管理办法设臵、管理权限，业务操作人员的授权须由所属业务经理批准，信息系统管理人员依照批准的《权限申请表》负责设臵和核对。

第五条 共享文件安全。所有共享文件和目录不能给予修改或所有权限。 第六条 杀毒软件病毒库的定期更新。目前每位员工的机器均设定了杀毒软件病毒库的定期自动更新。每位员工上午上班前要核查自动更新是否成功。

第七条 系统升级。目前每位员工的机器均设定了系统的定期自动升级。每位员工下午上班前要核查自动更新是否成功。

第八条 网络及邮件安全。每位员工必须做到对网络资源的有效利用，不要随意下载安装与工作无关的文件，文件保存到本地后要先进行病毒扫描再打开。对于邮件中可疑的附件不要随意打开，保存后先查毒后打开。一旦发现自己的机器染上了病毒，要先拔掉网线，将病毒查杀干净后再接入网络。

第九条 每位员工在下班离开公司前要将主机电源、显示器电源及插座电源的开关均关闭。对于需要夜间不间断工作的个人机器，请在本人离开前做一警示。 第十条 公司员工应遵守系统安全个人义务.

? 如果技术上可行，每一位使用者都应该通过一个唯一的使用者身份号码

来识别，该号码设有密码，并不得与任何人共享。

? 使用者的身份号码意味着不允许存在公共使用。然而，支持网关和服务

器的设备是一个例外，例如：互联网服务器等。只有得到信息技术部的批准，才能使用这些公共使用身份号码。

? 使用者不得与他人共享密码。如果已经告知了他人，那么使用者将对他

人利用密码所做的任何行为的后果负责。

? 若使用者怀疑他的密码已经被泄露了，那么他应该尽快更换密码。并应

该在第一时间向IT系统管理员汇报。

? 使用者不应该书面记录下密码，并放在别人可以轻易看到的地方。密码

不得设臵成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。 ? 使用者不得向他人泄漏密码。如果IT技术支持人员要求运用使用者的号

码访问，则必须当着使用者的面登录。如果使用者泄漏了密码，则必须尽快更改密码。如果他们因诱骗而泄漏了密码，则必须尽快向IT系统管理员汇报。

? 如果使用者怀疑我们信息系统的安全性受到威胁，则必须尽快向IT系统

管理员汇报。

? 使用者对他们自己输入系统的数据的精确性负责，同时也对他们指示系

统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如果发现错误，并且自己能够修改的话，则应该将其改正。如果自己改正不了，则应该向他们的主管汇报。如果是在源文件发现数据错误，则应该尽快改正这些错误，而不是故意将这些错误输入我们的电脑系统。

? 使用者在离开终端机器或电脑以前必须下线，这一点应该强制执行。如

果是在使用不带下线功能的单机个人电脑，则必须在离开电脑前终止程序。只有当执行批处理任务时是例外。

? 当使用者的工作职责有变动时，他的访问权也应该作相应的变更。部门

经理应该及时递交“权限申请表”以通知IT系统管理员。特别是在员工辞职的情况下，其部门经理以及人事部经理应该及时通知IT系统管理员，以保证在最短的时间内撤销其系统访问权。

? 计算机工作人员调离时,按规定移交全部技术资料和有关数据,设有口令

和密钥的及时进行更换。涉及开发及其他重要业务的技术人员调离时,确认对业务不会造成危害后方可调离。

第二章 系统信息安全管理

第十一条 计算机操作系统要建立操作人员访问控制制度。要明确各类人员的权限和操作范围,并用软、硬件技术控制各类用户的访问权限。

? 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户

口令只能由IT部系统管理员设定并经IT部门经理审核，１个月做一次修改，口令要向其他人员保密。普通计算机用户只有对操作系统的受限权限。

? 在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调

试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。 ? 对口令设定必需满足以下规范： 最多允许尝试次数 5 口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 系统的安全控制

90天 不受限 6位 最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现

第十二条 要建立严格的数据库访问控制制度。

? 数据库内具有较高权限的管理用户口令由IT部数据库管理员设定，并由

IT部门经理审核，不能向其他人开放。口令必须１个月做一次修改。 ? 业务系统后台数据库对象创建用户的口令由IT部数据库管理员设定，由

IT部门经理审核。不能向其他人开放。 ? 对口令设定必需满足以下规范： 口令最长有效期 90 天 口令的最大长度 不受限 口令的最小长度 6 口令的唯一性要求 最近三次所更改的口令不能相同

? 根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用户。 ? 除IT部门的人员外，其他部门的任何人员均没有权限从后台数据库直接

进行数据的“增、删、改”操作。

? 对于业务必须的后台job或批处理，必须由IT部门人员执行。 第十三条 应用系统和业务系统的访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：

? 所有应用级的操作用户及初始口令统一由IT部门设定，以个人邮件的形

式分别发给各部门的操作人员。

? 各部门操作人员在首次登录时必须修改口令。 ? 对于口令设定必需满足以下规范： 口令最长有效期 90 天 口令的最大长度 不受限 口令的最小长度 6 口令的唯一性要求 最近三次所更改的口令不能相同 ? 操作人员不能将自己的用户及口令随意告诉他人 ? 所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访

问权认可的申请表，然后由IT部门经理批准。 ? 应用系统或业务系统中需要加入新的使用者时，首先使用者需要填写“权

限申请表”。该申请表应该得到部门经理和IT部门经理的共同批准。之后，IT系统管理员会帮助应用系统的使用者开通账户，并建立相应的访问等级和权限。

? 应用系统或业务系统需要关闭某位使用者的账户时，首先该部门应该填

写“权限申请表”，并得到部门经理和IT部门经理的共同批准。之后，IT系统管理员会帮助应用系统使用者关闭该账户。

? 大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及

时间将写入日志，以备今后查询之用。

第十四条 重要数据要建立数据备份制度,并做到异地保存。

第十五条 发生重要数据的设备故障,需外单位人员修理时,本单位必须有人在场监督。

第三章 网络通信安全管理

第十六条 对联网的计算机及其网络设备和通讯设备的安装、使用,建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入。要积极采取预防计算机病毒的相关措施,防止计算机病毒及其他有害数据破坏计算机的正常工作。 第十七条 存有重要数据和机密信息的计算机,不得与互联网联网。接入互联网的计算机要由信息技术部统一对上网内容进行必要的检查。 第十八条 局域网和广域网安全。

? 局域网交换机位于中心机房，对该中心机房的物理访问通过机房管理制

度来控制。

? 除了授权的IT支持人员以外，任何使用者都不得在公司办公地点的个人

电脑上安装任何带有数据包监听、端口扫描、地址扫描或其他黑客功能的软件。

? IP地址只能由经授权的IT支持人员来分配。使用者不得自行分配他们

的IP地址。

? 所有的交换机、路由器、互联网服务器以及防火墙都应该设臵密码，此

密码不得为原厂密码。

? 交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应

该记录在案。信息技术部应该一直保留一个最新的备份。

? 对于交换机、路由器、防火墙以及互联网服务器的结构等级的访问应该

只限授权的IT支持人员。

? 关于安全的信息以及通往网络的网关的保护机制应该只有授权的IT支

持人员知道。

? 所有的网络通信设备都应该由非间断电源提供至少60分钟的电源供应。

如可能，非间断电源供应机应该轮流由一台备用的发电机来充电。 ? 只有经授权的使用者才允许安装和使用网络管理工具。

第四章 数据安全管理

第十九条 数据是公司的重要资源，数据的储存、销毁必须严格执行公司的内控制度和保密制度。

第二十条 业务部门对使用计算机信息系统打印的各种业务数据及文字资料，要指定专人妥善保管，并按日期顺序进行登记。打印作废的业务资料，要及时销毁。

第二十一条 数据处理中心和业务处理主机上的磁记录档案，由信息技术部定期永久备份，异地保存一套副本，并按照文书档案归档的要求，放入钢柜妥善保管。保存期限按档案管理要求处理。

第二十二条 业务数据修改处理，原则上都应由业务部门的操作人员用程序处理。

用户账号和密码安全管理规范

V 1.0

目 录

概述 ................................................................................................................................................ 24 适用范围......................................................................................................................................... 25 用户帐号的分类 ............................................................................................. 错误！未定义书签。 用户帐号的创建 ............................................................................................. 错误！未定义书签。

用户帐号创建流程 ................................................................................. 错误！未定义书签。 用户帐号创建的安全事宜 ..................................................................... 错误！未定义书签。 密码设置标准和最小强度规定 ..................................................................... 错误！未定义书签。

密码设置标准 ......................................................................................... 错误！未定义书签。 密码最小强度规定 ............................................................................... 错误！未定义书签。 用户帐号和密码的保护 ................................................................................. 错误！未定义书签。 用户帐号和密码的管理 ................................................................................. 错误！未定义书签。

用户密码的变更 ..................................................................................... 错误！未定义书签。 用户帐号的禁止 ..................................................................................... 错误！未定义书签。 用户帐号的删除 ..................................................................................... 错误！未定义书签。 用户帐号和密码管理制度的实施 ................................................................. 错误！未定义书签。

实施工作流程 ......................................................................................... 错误！未定义书签。 更新维护要求 ......................................................................................... 错误！未定义书签。 奖励和处罚 ............................................................................................. 错误！未定义书签。 参考文献......................................................................................................... 错误！未定义书签。

概述

用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。因此，缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。

本管理制度的主要作用在于对**用户帐号按照其重要性进行分类，并从用户帐号和密码的创建、保护、变更和废除等方面，对用户帐号和密码的相关管理作出详细的规定。

本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述： ? 用户帐号的分类

根据用户帐号的权限不同，对不同的用户帐号进行归纳分类。 ? 用户帐号的创建

规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。 密码的设置标准和最小强度要求

规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。 ? 用户帐号和密码保护

规定了用户在使用帐号和密码时，所必须遵守的安全规章制度，从而最大限度地确保帐号和密码的安全性。 ? 用户帐号和密码的管理

规定了更改、废除用户帐号（权限）和密码的流程和相关安全事宜。 ? 用户帐号和密码管理制度的实施

规定了本管理制度的具体实施细则，包括工作流程、更新要求和奖惩措施等。

适用范围

本管理制度适用于**所有用户帐号和密码，以及能访问相关计算机信息的员工，包括管理、支持、维护用户帐号和密码的IT人员。

病毒防治管理规定

一、目的

计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，病毒存在有其必然性，由于病毒对系统造成的危害（如破坏系统数据区、破坏攻击文件、破坏攻击内存、破坏系统运行），当它们进一步传染时会引起无法预料的和灾难性的破坏，所以有必要对病毒进行防治。

为加强本公司对计算机信息系统安全保护，预防和控制计算机病毒的感染和扩散，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国公安部第51号令》及一些相关的管理规定，结合本公司实际情况，制定本规定。 二、范围

本规定涉及范围包括公司的IT服务器、各办公地点个人办公用计算机及其它计算机设备。

三、主管部门

管理工程部作为公司计算机使用的规划、设计、建设和管理部门，有权对公司计算机使用过程中的病毒防治情况进行监管和控制。 知识产权部有权对公司计算机的病毒防治情况进行审计。

四、概念定义

本规定所称的计算机病毒，是指“编制程序或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。该定义与 《中华人民共和国计算机信息系统安全保护条例》中的计算机病毒定义保持一致。

五、管理细则 1、普通用户职责

使用计算机的单位和个人，应当遵守下列规定：

（一）、禁止任何个人以任何名义制造、传播、复制计算机病毒。 （二）、每个用户应配置按最新版《华为公司IT技术和产品标准》中规定的防病毒软件，在使用计算机的任何时间内必须运行防病毒软件，进行经常性的病毒检测和清除。 未经许可，用户不得随意下载标准规定之外的防病毒软件或病毒监控程序。

（三）、部门秘书为本部门计算机病毒预防和控制管理人员。应及时关注公司发布的防病毒软件更新通知及防范措施，并及时的向本部门员工发布，保证本部门员工及时更新防病毒软件。

（四）、新购置的、借入的或维修返回的计算机，在使用前应当对硬盘认真进行病毒检查，确保无病毒之后才能投入正式使用。 （五）、软盘、光盘以及其它移动存储介质在使用前应进行病毒检测，严禁使用任何未经防病毒软件检测过的存储介质。

（六）、计算机软件以及从其它渠道获得的电脑文件，在安装或使用前应进行病毒检测，禁止安装或使用未经检测过的软件或带毒软

件。

（七）、任何单位和个人向外发布文件或软件时，应该用公司规定的防病毒软件检查这些该文件或软件，有病毒应及时清除，之后才能向外发布。

（八）、对邮件中的附件在使用之前应该进行病毒检测，收到来历不明的邮件不要打开并及时通知管理工程部处理。

（九）、如果发现本机感染了病毒，不管病毒从何处传播而来，都应该向管理工程部IT热线汇报，如果从别的机器传播而来的，还应该及时通知该机器的使用者，以便采取相应的防治措施。任何个人不得发布虚假的计算机病毒疫情。

（十）、如果发现防病毒软件不能清除的病毒，除应及时上报管理工程部IT热线的同时，在问题处理之前，还应禁止使用感染该病毒的文件，同时将这些文件隔离。

（十一）、用户有义务接受有关部门组织的病毒防治的教育和培训。

2、主管部门职责

以下是各主管部门的共同职责：

（一）、共同努力，确保公司病毒防治工作的成功开展。 （二）、及时、准确的发现和清除公司IT服务器可能存在的病毒，公司IT服务器包括文件服务器、应用服务器、邮件服务器、数据库服务器、备份服务器、网关等。

（三）、对公司员工进行的病毒防治的教育和培训。 以下是各部门的主要职责： IT规划控制部

（一）、负责本规定的解释和修改；

（二）、负责防病毒软件选型标准的制定和维护。 IT系统管理部

（一）、及时对用户反映的病毒问题进行反应，及时解决用户的问题。

（二）、及时跟踪防病毒软件的升级情况，并及时将升级的版本及相关措施向全公司公布。

（三）、配合知识产权部对用户上报的病毒追踪其根源，查找病毒传播者。

（四）、对病毒的发作时间、发作现象、清除等信息的进行维护、备案，并定期制作案例。 IT应用管理部

（一）、负责防病毒软件的选型，防病毒软件选型工作的具体操作参照相关的软件选用标准和流程进行。 知识产权部

（一）、对公司计算机的病毒防治情况进行审计。

（二）、对用户上报的病毒应追踪其根源，查找病毒传播者。

六、罚 则

1、有以下情形之一，一经查到，第一次知会本人，第二次通报批评并书面知会其直接行政主管，第三次及以后每次对直接责任人处以通报批评、罚款，并接受公司规定的IT安全封闭学习（不带薪）：

（一）、未安装公司规定可以使用的防病毒软件的。 （二）、没有及时对防病毒软件进行更新的。 （三）、发现病毒不及时上报的。

（四）、擅自打开来历不明的邮件或附件而导致感染病毒的。 （五）、没有及时对外来的计算机软件和文档进行使用前的病毒检测而导致感染病毒的。

2、有以下情形，一经查到，第一次通报批评并书面知会其直接行政主管，第二次对直接责任人处以通报批评、罚款，情节严重者报人力资源部做辞退处理：

故意制造、传播、复制计算机病毒的。 七、附 则

1. 以上罚则的处理对象为违反规定的直接责任人，对违反以上两项或多项规定者，按严重者进行处罚；

2. 对违反以上规定造成公司重大损失者，将根据情节给予降薪或建议人力资源部做辞退处理；

3. 对违反以上规定者，如其主管明显指导不力须负连带责任。原则上对主管处罚不超过对直接责任人的处罚；

4. 在罚款有范围时，对初犯者一般按下限处理，多次违规者按

本文来源：https://www.bwwdw.com/article/odlv.html