机房管理制度范本

1、CMT-OP-IT002共16页 第 页 生效日期：2008-04-05标题：信息安全制度版本：A 版.IT室信息安全制度1、目的为了对信息安全工作进行有效地管理，防止由于各种原因造成泄密行为的发生，维护公司利益，保证公司生产经营的顺利进行，特制定本规定。2、适用X围本规定适应于操作部IT室所有员工，提供服务的外包商、承包商、供应商以及其它被公司授权使用软件系统、计算机和网络系统的其它单位。3、职责3.1.IT经理3.1.1对信息安全提出制定、实施要求，并监督制定、实施全过程，定期审计信息安全实施管理进度、效果。3.1.2 对提报的电子信息是否涉密和涉密级别的初步方案进行最终确定。3.2.维管

2、组3.2.1负责制定计算机信息安全管理要求。3.2.2对内部的员工进行安全教育，定期对内部的人员的安全工作进行考核。3.2.3对提报的电子信息是否涉密和涉密级别的初步方案进行初步确定。3.3.IT室员工3.3.1.项目实施方案、流程、数据等涉密电子信息的实施者、使用者、管理者为该电子信息的XX直接责任人。3.3.2.IT室全体成员均有保守企业秘密和发现有泄密隐患进行报告的义务。3.3.3.有接受企业提供的安全培训，签订安全承诺协议并承诺保守XX的义务。4、定义企业秘密是指企业在生产、经营、科研活动中所产生的，不为公众知悉，能为企业带来经济效益，一旦泄露会给企业带来损害，并且具有实用性，已经企业

3、采取XX措施的工作部署、技术工艺、产品开发和研制、营销策略的情况、企业管理体制、生产动向和计划、经济统计和财会数据等信息及其记录的载体。5、 信息密级划分 5.1.参考国家XX条例，将IT室的数据/文档信息划分为绝密、XX、秘密和非密四个类别四个类别。5.2.所有的文档/文件在制作之前都必须区分密级，信息数据根据密级确定专人专管，察看翻阅密级为"秘密"以上数据信息的需经IT经理许可。6、办公室信息安全要求6.1.不得在显示器和办公桌等明显处粘贴写了重要口令的便签。6.2.办公室电脑都应设置复杂口令，特别要注意具有管理员权限的用户。密码不得随意泄露，离开微机后必须锁定系统。6

4、.3.一般情况不得共享文件夹，如因工作需要信息共享，必须采取加复杂的口令，使用完成要取消共享。6.4.在接收时要建立良好的安全习惯，具有一定的警惕性，对一些来历不明的不要打开其，要立即删除。6.5.所有单独在房间的员工，在离开办公室时必须锁门。6.6.员工离开座位较长时间或下班后，办公桌不能留有密级为秘密以上的文件。6.7.在员工调离或离职时，所有的访问权限必须交还（包括但不限于员工卡、办公室钥匙、公司提供的办公设备和介质等）。6.8.任何文件材料都必须妥善处理,废弃文件一律采取粉碎处理,不得随意丢弃。7、接待管理在未经IT经理许可的情况下，不允许有以下活动：7.1.未获得许可，不允许私自带领

5、企业之外，或者与本部门无关的人员参观IT办公室、机房、监控室、测试室、设备间等区域。7.2.未获得许可，不允许接受任何的外部的访谈、咨询或调查，书面的调查和咨询，以及类似的要求。7.3.未获得许可，不允许对外介绍企业现有的应用系统，应用的技术细节，操作流程等。7.4.未获得许可，不允许对外介绍应用的软件的名称、数量和分布等信息；7.5.未获得许可，不允许对外介绍我们使用的硬件的名称，数量和分布等信息；8、应用系统安全要求8.1.新用户申请企业内部员工使用系统前必须经过培训，并经考试合格才能申请，填写申请单，由所在部门主管和IT主管签字方可开户。客户、外包商申请用户需经.方可开户。8.2.权限申

6、请及变更用户岗位确定后方可申请或变更权限；需经所在部门主管和IT主管签字方可申请或变更权限。8.3.系统密码要求告知用户获得ID后必须修改密码。密码不能低于6位；应尽量包含字母、数字、标点等多种组合；不能将用户名、生日等作为密码的一部分。9、网络信息安全10、数据备份 为了实现确定的恢复功能，当发生地震、水灾、火灾等不可抗拒的自然灾害或由于人为原因造成系统灾难性故障时，能保障计算机信息系统继续正常运行，重要业务系统的系统管理员或者数据管理员，必须在系统正常运行时定期地或按照某种条件实施相应的数据的备份。根据不同的恢复要求，应有以下形式的备份：10.1.增量信息备份，由系统定时对新增信息进行备份

7、。10.2.局部系统备份，对某些重要的局部系统进行定期备份。10.3.热备份，对系统的重要设备进行冗余设置，并在必要时能立即投入使用。10.4.全系统备份，定期对全系统的运行现场进行备份。10.5.建立容灾机房，使备份数据保存的物理位置应该与业务系统服务器所在的物理位置有明显的区别，以保证以外发生的时候，已经备份的数据不会丢失。11、涉密电子信息泄密的处罚11.1.IT室全体成员均有保守企业秘密、和发现有泄密隐患进行报告的义务.11.2.对泄密的直接责任人和间接责任人，IT室上报公司并根据公司和国家有关法律、法规视情节轻重进行行政处分或经济处罚。情节严重的，移交国家政法部门追究刑事责任；12、

8、附：常见泄密途径及保护办法 12.1.常见泄密途径12.1.1.存放涉密电子信息的计算机安全防护不到位（比如密码简单、系统存在漏洞等）被黑客主动盗得。12.1.2.利用存放涉密电子信息的计算机上internet网，感染了木马病毒，信息被木马病毒传播出去。12.1.3.涉密电子信息通过互联网电子等形式传递过程中被截取。12.1.4.存放涉密电子信息的外部介质（磁盘、U盘等）存放和管理不得位，被其他人员（同事或外公司人员）获得。12.1.5.与外公司在项目洽谈、项目实施过程中被外公司人员获得。12.1.6.涉密电子信息的使用和管理人员离开公司将涉密电子信息带走。12.1.7.涉密电子信息的使用和管理人员故意泄密。二、保护方法：12.2.1.存放涉密电子信息的计算机要建立台帐重点控制，要求计算机维护人员定期检查其安全性，杜绝一起安全隐患。12.2.2.存放涉密电子信息的计算机禁止上internet网，以防止信息通过internet网泄漏，防止感染木马病毒。12.2.3.涉密电子信息禁止在没有加密的状态下通过互联网电子等形式传递。12.2.4.存放涉密电子信息的外部介质（磁盘、U盘等）的使用