会计师事务所信息安全管理制度规定

1、XX会计师事务所信息化建设与安全管理制度第一章 总则第一条 为使公司在管理上跟上时代发展步伐，借助计算机及其网络等现代化手段，提高工作效率，加强公司内部管理，参照关于加强党政机关计算机信息系统安全和保密管理的若干规定行业相关信息化建设规定，制定本制度。第二条 信息化工程是一个长期的系统管理工程，必须做好系统测试、运行及维护工作。第二章 信息化工作管理第三条 严格按公司发展规划及年度信息化发展计划开展工作。第四条 办公室要做好企业信息化宣传材料的准备工作， 针对不同层次做到由浅入深。第五条 搞好办公信息化发展的外部环境，与行业主管部门保 持良好关系，争取支持。第六条 做好公司各应用系统的选型、采

2、购工作。软件的选型要从公司实际需求出发，注重软件开发商的技术实力与发展软件产品的适应性，追求软件的性价比。实际工作中，要与软件厂商、供应商保持密切联系；发挥各业务部门的主观能动性，树立服务思想，硬件采购追求性价比、实用性、安全性及扩充性等，并做好验收等把关工作。第七条 系统的软硬件维护、管理及调配由办公室组织实施，归 口管理。维护工作做到系统正常运行，管理工作做到账物一致，调配工作做到按需分配，充分发挥系统软、硬件的效率。第八条 努力办好公司网站，及时维护更新公司网页，确保网络信息安全。第九条 严禁拆换计算机及相关设备的零部件。报废计算机应拆除存储设备，交公司办公室编号保管。第十条 搞好网络管

3、理工作，公司内部网必须把好用户及密码 关，合理分配IP地址，搞好内网划分及管理工作。第十一条 各部门对硬件设备的使用，必须按相关设备操作规 程进行；软件使用严格按操作指南进行，不得任意删改系统文件和公司员工的电脑文件。第十二条 计算机信息系统的保密管理实行领导负责制，指定 专人管理，制订相应的管理制度，对涉密的计算机要严格审查。第十三条 网络及其他单元系统用机的软件安装及维护必须由办公室相关人员确认后进行。第十四条 信息系统要尽量减少信息孤岛，开发的平台应结合 网络系统实际来定，避免孤立行事，将开发纳入信息化发展正常渠道。第十五条 办公室负责和协助搞好公司计算机及相关设备的调研、选型、采购、实

4、施、管理、维护、调配等工作。第十六条 办公室负责和协助处理各部门在使用网络及计算机过程中遇到的困难。第十七条 办公室要严格按需求或计划采购计算机及相关设备，验收时严格按合同设备配置清单执行，认真作好验收记录，对不合格品负责退换。第十八条 办公室配合财务部做好设备的入库或转固定资产工作。第三章 计算机及其网络安全防范管理第十九条 建立健全必要的安全防范管理制度，认真落实安全防范措施，适时对员工进行计算机的使用与信息安全教育。第二十条 计算机使用人员必须严格执行各项管理制度，完善计算机台帐，计算机软件未经批准，不得擅自带出和外借，自觉做好保密，防盗和防病毒工作，严禁将计算机从事违法活动。第二十一条

5、 加强计算机室内火种、电源管理，不得擅自动明火，禁止存放易燃易爆物品，使用电源必须保证安全。第二十二条 强化办公室安全防护措施，下班做务必做到关窗锁门。第二十三条 外来人员未经主管领导同意不得擅自进入档案室。第二十四条 各部室重点检查安全管理制度是否健全，管理人员是否落实，防范措施是否完善，对存在的隐患要立即进行整改。第四章 信息保密管理第二十五条 依据公司保密管理办法，公司计算机管理应建立相应的保密制度：1.同密级文件存放于不同计算机中；2.设置进入计算机的密码；3.设置进入计算机文件的密码或口令；4.对计算机文件、数据进行加密处理。5.为保密需要，定期或不定期地更换不同保密方法或密码口令。

6、6.经申请并获得批准，才能查询、打印有关计算机内的文件资料。第五章 信息安全管理第二十六条 计算机及网络安全管理由办公室负责。第二十七条 公司全体员工在工作中，要加强自身修养， 遵守职业道德和工作纪律。第二十八条 公司全体员工要熟练掌握紧急情况下采取应急措施的方法和步骤。第二十九条 公司全体员工应经常进行计算机病毒检测。第三十条 发现病毒应立即采取措施进行病毒清理， 新发现的病毒类型和重大安全事故应及时上报。第三十一条 严禁利用计算机技术超越权限访问或私自修改他人信息。第三十二条 严禁利用计算机技术制造和传播病毒，严禁攻击 和非法访问服务器。第三十三条 在网络通讯和系统内部互相传递媒体介质时，

7、进 行病毒检测后方可传递， 对于外来的、未经检测的软件和数据一律不准上机和上网，在网络传输相关数据信息不得泄露客户和公室信息。第三十四条 在工作中使用计算机，要坚持原则，遵守国家保密法和信息工作纪律，认真履行工作职责，确保不泄密。第三十五条 对需要长期保存的工作底稿数据，应做双重备份，以防止数据丢失。第三十六条 数据备份应根据不同业务制定不同的备份周期和备份策略，存放备份数据的介质必须具有明确的标识。备份数据应定期测试，以确保备份数据的可恢复性。第三十七条备份介质必须归档。备份介质要有业务管理员负责保管工作，保存地点应有防火、防热、防潮、防尘、防磁、防盗设施。第三十八条数据清理前业务管理员必须

8、对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。第三十九条数据恢复前，业务管理员必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。第四十条数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进行数据恢复或转入操作。当存储过重要数据的介质（如光盘、软盘、磁带等）报废时应由专业技术人员进行物理性销毁。第四十一条 审计数据保存符合国家保密规定以及被审计单位的信息保密要求。第四十二条 审计工作底稿保存符合国家保密规定；审计底稿出境按照国家涉密规定进行筛查后，报经董事长签字批准，方可带出，严防泄密。第六章 密码管理第四十三条 网络设备、服务器设备及其应用系统等系统密码和管理密码，应统一管理、专人使用。第四十四条 密码更新应由各设备及系统管理员编制新密码，实时更新，登记备查。第四十五条 交换机、路由器、防火墙、服务器的系统密码和管理密码每月更新一次，在每月5日前负责完成。网站和视频会议系统服务器指定负责人将密码更新后，并及时通知负责人备案。