工业控制系统信息安全管理制度标准版

工业控制系统信息安全管理制

度标准版（标准版资料，可直接使用可编辑，推荐下载）2021年1月1日2021年1月1日工业控制系统信息安全管理制度1适用范围为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。本制度适用于DCS及DEH系统以及辅控网DCS。2计算机使用管理2.1工程师站严格按照权限进行操作，无关人员不准使用。2.2工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。2.3每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》，妥善保管。2.4计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。2.5使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。3软件保护3.1严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。3.2禁止向DCS网络中连接系统外接计算机、3.3在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。4软件的修改、保存及维护4.1更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。5软件和数据库备份5.1计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。5.2对系统软件（包括操作系统和应用软件）的任何修改，包括版本升级和安装补丁，都应及时进行备份。5.3备份结束后，在备份件上正确标明备份内容、对象，并做好记录，填写《DCS系统备份记录》。5.4DCS中各系统的备份必须由系统管理员定期手动进行，具体要求同上。附件一：各系统机器密码记录附件二：备份资料记录附件三：工程师站出入及机器使用记录附件四：软件故障处理和修改记录附件五：组态及参数修改记录附件一：各系统机器密码记录系统机器密码记录附件二：备份资料记录备份资料记录附件三：工程师站出入及机器使用登记记录工程师站出入及机器使用记录

附件四：软件故障处理和修改记录软件故障处理和修改记录软件维护起止时间 年月日一一 年月日工作负责人存在问题：处理过程：备注：附件五：组态及参数修改记录组态及参数修改记录

系统名称起止时间年月日一一 年月日工作负责人修改位置及原因：修改前组态及参数：修改后组态及参数：备注：解读《工业控制系统信息安全防护指南》制定《指南》的背景通知中明确"为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2021〕28号），保障工业企业工业控制系统信息安全，工业和信息化部制定《工业控制系统信息安全防护指南》。”可以看出，《工业控制系统信息安全防护指南》是根据《意见》制定的。《意见》中相关要求《意见》"七大任务”中专门有一条"提高工业信息系统安全水平”。工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划（2021-2年）》中进一步明确，在十三五期间，我国两化融合面临的机遇和挑战第四条就是"工业领域信息安全形势日益严峻，对两化融合发展提出新要求”，其"七大任务”中也提到要"逐步完善工业信息安全保障体系”，"六大重点工程”中之一就是"工业信息安全保障工程”。以上这些，就是政策层面的指导思想和要求。《指南》条款详细解读《指南》整体思路借鉴了等级保护的思想，具体提出了十一条三十款要求，贴近实际工业企业真实情况，务实可落地。我们从《指南》要求的主体、客体和方法将十一条分为三大类：a、针对主体目标（法人或人）的要求，包含第十条供应链管理、第十一条人员责任：1.10供应链管理（一） 在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务。解读：工业控制系统的全生产周期的安全管理过程中，采用适合于工业控制环境的管理和服务方式，要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点，且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读，保证相应法律法规的有效落实，并以合同的方式约定服务商在服务过程中应当承担的责任和义务。（二） 以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄。解读：与工业控制系统安全服务方签定保密协议，要求服务商及其服务人员严格做好保密工作，尤其对工业控制系统内部的敏感信息（如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等）进行重点保护，防范敏感信息外泄。1.11落实责任通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。解读：设立工业控制系统安全管理工作的职能部门，负责工业控制系统全生命周期的安全防护体系建设和管理，明确安全管理机构的工作范围、责任及工作人员的职责，制定工业控制系统安全管理方针，持续实施和改进工业控制系统的安全防护能力，不断提升工业控制系统防攻击和抗干扰的水平。b、针对客体目标（被保护的资产或数据）的安全要求，包含第八条资产安全、第九条数据安全：1.8资产安全（一） 建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置原则。解读：为实现和保持对组织机构资产的适当保护，确保所有资产可查，应建设工业控制系统资产清单，并明确资产使用及处置原则，配置资产清单，定期更新清单库，并对资产进行分类。所有资产应指定责任人，并且明确责任人的职责，明确资产使用权。制定资产在生产、调试、运行、维护、报废等过程中的处置原则。（二） 对关键主机设备、网络设备、控制组件等进行冗余配置。解读：在系统运行过程中，可能出现的宕机、中断、死机、病毒攻击、自然灾害等资产被侵害的事件发生，导致系统无法正常工作，给企业和社会带来损失，甚至威胁到员工生命和财产安全。对关键主机设备、网络设备、控制组件等进行冗余配置，防止重大安全事件的发生。1.9数据安全（一）对静态存储数据和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理。解读：在数据创建、使用、分发、共享、销毁的整个生命周期中，对重要数据如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等应进行保护，如加密技术、安全存储介质等。数据遭受破坏时及时采取必要的恢复措施。风险评估对数据的分类分级原则应包含对企业经济影响、生产稳定性影响、人身安全、法律风险、名誉度损失等角度开展，根据数据的重要程度在信息存储、信息传输、信息交换、信息使用等过程中采取相应的防护措施。（二） 定期备份关键业务数据。解读：为保证系统在灾难发生时，数据能够尽量还原真实数据，应对历史数据库服务器、实时数据服务器、先进控制系统、优化控制系统等重要系统设备进行硬件冗余，启用实时数据备份功能，保证当主设备出现故障时冗余设备可以无扰动的切换并恢复数据，对于关键的业务数据，应定期进行软备份。（三） 对测试数据进行保护。解读：测试数据一般来源于真实的现场设备实时数据，有必要对测试数据进行安全防护，防止发生数据泄露、篡改、破坏，保护企业资产。c、针对保护方法措施的要求，根据工业控制网络由内而外的结构包括:终端（第一条软件选择与管理、第四条物理环境安全）；配置（第二条配置安全）；网络（第五条身份认证、第三条边界防护、第六条远程安全）；例外（第七条监测应急）。1.1安全软件选择与管理（一）在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。解读：工业控制系统对可用性和实时性要求非常高，任何未经验证测试的软件都可能影响控制系的稳定性，应对防病毒软件或应用程序白名单软件进行离线测试，测试无风险后，方可在工业主机上部署。目前工业主机有效防护机制有"黑名单机制”和"白名单机制”，相比之下工控网络则更加注重防护的"高可用性”和"高可靠性”，鉴于工业应用的特殊性，"黑名单机制”无法应对多元化的风险及威胁。利用"白名单机制”可以建立工控行业应用程序信誉库，为工控应用程序提供可信认证、授权和评估，同时辅助沙箱检测技术和杀毒软件进行应用程序软件的安全性测试，从根本上保证了工控主机安全。（二）建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。解读：病毒和恶意代码是工控系统主要威胁之一，应对工控系统设备（例如操作员站、工程师站、控制服务器等）部署病毒和恶意代码集中监控、防护管理措施，对工业控制系统及临时接入的设备进行病毒和恶意代码扫描检测，防止遭受病毒和恶意软件攻击。1.4物理和环境安全防护（一）对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。解读：重要的工程师站、数据库、服务器是工业控制系统的核心组件，为了防止来自人为的恶意破坏。应对核心工业控制软硬件所在的位置，按照物理位置和业务功能进行区域划分，区域之间设置物理隔离装置。在必要区域前设置交付或安装等过渡区域，特殊区域应配置电子门禁系统，7*24小时的视频监控。对核心工业控制软硬件所在区域，出入口应安排专人值守，控制、鉴别和记录进入的人员，来访人员应经过申请和审批流程，并限制和监控其活动范围。（二）拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用，通过主机外设安全管理技术手段实施严格访问控制。解读：工业主机越来越多采用通用计算机，USB、光驱、无线等接口的使用，为病毒、木马、蠕虫等恶意代码入侵提供了途径，拆除或封闭工业主机上不必要的USB、光驱、无线等接口可以从根本上切断非法数据、程序的传播途径。若确需使用，可以通过主机安全管理软件对外设的端口进行控制，记录文件的导入导出等操作痕迹，实现对端口的严格访问控制。1.2配置和补丁管理（一）做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。解读：安全配置是基础性的安全防护措施，安全配置能够增强工控网络、工业主机和工控设备安全性，应建立工控系统安全配置清单，包括工控网络设备、工业主机、工控设备的安全配置清单。在日常运维管理方面，指导管理人员对系统安全配置优化，避免存在安全隐患。根据工业控制系统配置清单，定期对工业控制网络、工业主机和工业控制设备开展配置审计，及时发现配置问题。（二）对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。解读：工控系统的日常维护管理经常涉及到配置变更，但未经严格安全测试的重大变更可能会对工控系统造成破坏。在工控系统重大配置变更之前，应制定变更计划，对变更可能出现的影响进行评估分析，并在工控系统离线环境中进行安全测试，保障配置变更的安全性和可靠性。（三）密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测试验证。解读：工控系统较传统的^系统更脆弱，在补丁升级方面要非常慎重，补丁升级可能会影响工控系统的稳定性，如果补丁升级失败，可能对工控系统造成破坏，导致工控系统运行中断。因此，工控系统在补丁升级之前必须进行严格验证测试，包括安全性、稳定性、兼容性和可靠性验证测试。1.5身份认证（一） 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。解读：面对工业控制主机和系统的登录、访问过程中常见身份冒用，越权访问等安全风险，给工业控制生产活动带来安全隐患。通过采取身份鉴别、角色判定、权限分配等安全措施实现工业主机登录、应用服务资源访问、工业云平台访问等过程的统一身份认证管理。对于关键设备、系统和平台应采取如口令、usbkey、智能卡、生物指纹等多种认证方式组合的多因素认证方式。一是避免他人盗用、误用，二是提高设备、系统和平台的攻击难度。（二） 合理分类设置账户权限，以最小特权原则分配账户权限。解读：应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、篡改等原因造成的损失最小化，对超级管理员账号未禁止、各账户权限未实现分立制约等常见问题应及时发现并改正。（三） 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认密码或弱密码,定期更新口令。解读：对登录账户和密码要及时更新，密码要以多位数含数字、字母、特殊符号的组合方式提高密码强度，建议采用验证码机制，提高被暴力破解的难度。避免使用默认密码、易猜测密码、空口令甚明文张贴密码的现象发生。（四）加强对身份认证证书信息保护力度，禁止在不同系统和网络环境下共享。解读：建议采用安全介质存储证书信息，对证书的申请、发放、使用、吊销等过程通过技术手段严格控制，并建立相关制度保障。建议采用国际通用的安全商密算法或国密算法。在不用系统和网络环境下禁止传递证书信息。1.3边界安全防护（一） 分离工业控制系统的开发、测试和生产环境。解读：工业控制系统的开发、测试和生产环境承载的功能不同，为了避免由开发、测试环境引入的安全威胁给生产环境带来作业风险，需要将开发、测试和生产环境分离。将开发、测试和生产环境分别置于不同的区域，进行逻辑或物理隔离。（二） 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。解读：工业控制网络与企业网或互联网之间互联互通，为工业控制系统带来巨大创造力和生产力的同时，也会引入更加复杂、严峻的安全问题。一是深度网络化和多层面互联互通增加了攻击路径；二是传统IT产品的引入带来了更多安全漏洞；三是新兴信息技术在工业控制领域的防护体系尚不成熟。因此，需要在不同网络边界之间，部署边界安全防护设备实现安全访问控制，阻断非法网络访问，严格禁止没有防护的工业控制网络与互联网连接。（三）通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。解读：为了降低工业控制网络安全区域之间连接风险，减少攻击平面，需要在区域之间部署逻辑隔离设备，如工业防火墙、网闸。在区域间有双向访问需求的网络，可采用工业防火墙进行逻辑隔离，深度检测并过滤主流工控协议（如：OPC、Modbus、S7、Ethernet/IP等）带来的安全风险；在区域间只需要单向访问的情况下，可采用网闸进行隔离防护。1.6远程访问安全（一）原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。解读：基于明文传输的HTTP、FTP.Telnet等网络服务协议容易遭到非法窃听、数据篡改、敏感信息泄露等高安全风险。因此，在工业控制系统中，需要严格禁止HTTP、FTP、Telnet等高风险通用网络服务面向互联网开通。（二） 确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。解读：远程访问工业控制系统网络，意味着为黑客开辟了一条攻击工业控制网络的通路，存在极大隐患。但在确需远程访问的情况下，需要采用数据单向访问控制等策略进行安全加固，并对访问时间进行控制，还可以采用加标锁定来限制对机器、设备、工艺和电路的操作行为。（三） 确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式进行。解读：确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式连接，相当于在公用网络上为用户建立了一条专用通道，这条专用通道上的所有通讯数据会被加密处理，并通过对数据包的加密和数据包目标地址转换实现安全的远程访问。（四）保留工业控制系统的相关访问日志，并对操作过程进行安全审计。解读：保留工业控制系统相关访问日志，可以在发生非授权的远程登录后进行日志分析。通过日志中记录到的登入登出、人员账号、访问时间等信息对非授权登录行为进行追踪、定位，做到有源可溯，并对操作过程进行安全审计，记录所有操作行为，做到有据可查。1.7安全监测和应急预案演练（一） 在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。解读：工控系统网络组成元素繁多，非法入侵、恶意代码、维修接入甚至是误操作都可能导致生产运行的瘫痪或功能丧失，通过部署工控安全监测设备，采用工控协议深度包解析等多种技术，对工业控制网络可能存在的病毒、蠕虫、木马及针对工控网络的攻击行为和误操作进行实时检测并告警。（二） 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。解读：重要工业控制设备是工业企业生产核心控制单元，包含PLC、DCS控制器等，核心控制设备的异常将危及生产安全、公众健康甚至社会稳定。在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，对Modbus、S7、Ethernet/IP等主流工控协议进行深度分析，采用"白名单”机制对发送至重要工控设备的指令进行过滤，杜绝违法操作，并抑制恶意代码及未知攻击行为，保障重要工业控制设备运行安全。（三） 制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。解读：工控安全应急响应预案可提高工业控制系统应对突发事件的应急响应能力，最大限度减少工控系统的损失及影响，做到"第一时间发现问题，第一时间解决问题”。应急预案框架应包括应急计划的策略和规程、应急处理流程、系统恢复流程、事后教育和培训、系统备份、系统恢复重建等内容。同时预案需从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。在发生安全事件时，应根据应急预案流程采取安全防护措施，并按照应急预案规程逐级上报至安全主管部门。同时，应对事故现场进行保护，便于事后调查取证。（四） 定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。解读：通过开展应急演练工作，使各工控企业熟悉应急响应机制、熟练应急响应流程、提高应急响应的处置能力，同时检验应急响应预案的可行性、相关部门的协调与配合能力、相关工作的落实情况以及应急响应所需备用设备的完备情况等，同时应根据应急演练中遇到的问题，对应急演练方案进行及时修订。小结《指南》从十一条三十款具体要求宏观描述了工业控制系统信息安全防护的轮廓，面向工控网络真实环境及特殊性提出了多项针对性要求，为工业控制安全防护标准制定、技术研究、评估内容等方面提供了具体依据，尤其对工业控制安全供需双方指明了具体方向和思路，便于开展工控安全规划，落地实施。同时参考《网络安全法》和其他相关法律法规中对监管部门责任、网络攻击组织或个人的处罚规定，相关行业对生产安全的要求，以及新修订等级保护标准中对工控安全的相关要求，企业将对如何实施工业控制系统整体安全防护有更完整的思路。网络信息安全管理制度大全一、 电脑设备管理26二、 软件管理29三、 数据安全管理32四、 网络信息安全管理32五、 病毒防护管理34六、 下载管理34七、 机房管理35八、 备份及恢复38电脑设备管理1、 计算机基础设备管理2、 各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员保管，保管人对计算机软、硬件有使用、保管责任。3、 公司计算机只有网络管理员进行维护时有权拆封，其它员工不得私自拆开封。4、 计算机设备不使用时，应关掉设备的电源。人员暂离岗时，应锁定计算机。5、 计算机为公司生产设备，不得私用，转让借出；除笔记本电脑外，其它设备严禁无故带出办公生产工作场所。6、 按正确方法清洁和保养设备上的污垢，保证设备正常使用。7、 计算机设备老化、性能落后或故障严重，不能应用于实际工作的，应报信息技术部处理。8、 计算机设备出现故障或异常情况（包括气味、冒烟与过热）时，应当立即关闭电源开关，拔掉电源插头，并及时通知计算机管理人员检查或维修。9、 公司计算机及周边设备，计算机操作系统和所装软件均为公司财产，计算机使用者不得随意损坏或卸载。10、 公司电脑的IP地址由网络管理员统一规划分配，员工不得擅自更改其IP地址，更不得恶意占用他人的地址。计算机保管人对计算机软硬负保管之责，使用者如有使用不当，造成毁损或遗失，应负赔偿责任。11、保管人和使用人应对计算机操作系统和所安装软件口令严格保密，并至少每180天更改一次密码，密码应满足复杂性原则，长度应不低于8位，并由大写字母、小写字母、数字和标点符号中至少3类混合组成；对于因为软件自身原因无法达到要求的，应按照软件允3许的最高密码安全策略处理。12、 重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘（一般为C盘）以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份，以防丢失。公司设立文件服务器，重要文件应及时上传备份，各部门专用软件和数据由计算机保管人定期备份上传，需要信息技术部负责备份的应填写《数据备份申请表》，数据中心信息系统数据应按《备份管理》备份。13、 正确开机和关机。开机时，先开外设（显示器、打印机等），再开主机；关机时，应先退出应用程序和操作系统，再关主机和外设，避免非正常关机。14、 公司邮箱帐号必须由本帐号职员使用，未经公司网络管理员允许不得将帐号让与他人使用，如造成公司损失或名誉影响，公司将追究其个人责任，并保留法律追究途径。15、 未经允许，员工不得在网上下载软件、音乐、电影或者电视剧等，不得使用BT、电驴、POCO等严重占用带宽的P2P下载软件。员工在上网时，除非工作需要，不允许使用QQ、MSN等聊天软件。员工不得利用公司电脑及网络资源玩游戏，浏览与工作无关的网站。若发现信息技术部可暂停其Internet使用权限，并报相关领导处理。不得随意安装工作不需要的软件。公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。16、 计算机出现重大故障，如硬盘损坏，计算机保管人应立即向部门负责人和信息技术部报告，并填写《设备故障登记表》17、 员工离职时，人力资源应及时通知信息技术部取消其所有的IT资源使用权限，回收其电脑并保留一个星期，若一个星期之内人事部没有招到新员工顶替，电脑将备份数据后入库。18、 如需要私人计算机连接到公司网络，需信息技术部授权并进行登记。19、 不得随意安装软件，软件安装按照《软件管理》实施。20、 所有计算机设备必须统一安装防病毒软件，未经信息技术部同意，不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升级操作系统补丁和防病毒软件。21、 任何人不得在公司的局域网上制造传播任何计算机病毒不得故意引入病毒。22、 计算机使用者发现病毒后应立即停机并及时通知公司信息技术部或本部门病毒防治工作负责人，按《计算机病毒防治管理》处理。23、 因工作需要使用QQ、MSN等通讯工作，应当仔细辨别后再接收，对接收的文件应用安全软件查杀后确认无毒再打开。24、 使用电子邮件时，附件都应用安全软件查杀后确认无毒再打开。对于陌生的电子邮件，请直接予以删除。25、 任何人不得进入未经许可的计算机系统更改系统信息和用户数据，不得以任何形式攻击公司的其它电脑或者服务器。26、不得利用计算机技术侵占其他用户合法利益，不得非法侵入他人电脑，不得制作、复制、和传播妨害公司稳定的有关信息。27、 不得利用公司的网络资源发布，传播迷信、淫秽、色情、赌博、暴力、凶杀、恐怖等信息，违者将送公安机关处理。28、 不得利用公司的网络资源进行入侵、破解、篡改其它Internet工作站或者服务器等网络犯罪行为，若发现立即终止其Internet权限，并、上报公司最高领导保留送公安机关处理的权力。二、软件管理部门权责1、 此处软件指公司所有操作系统、系统安全软件、办公软件软件、专用软件，数据中心信息系统等。公司所有业务所需的软件由公司综合部网络管理员统一管理和安装。员工无权要求综合部网络管理提供软件介质和软件授权号码给其他人。更不允许将某某产权的软件安装在非某某产权的电脑上。2、 信息技术部负责全公司所使用软件的管理。为确保公司计算机软件之适当使用，各部门对该部门的每台计算机应指定保管人，共享计算机则由部门指定人员保管，保管人对计算机软、硬件具使用、保管之责。3、 各部门专用软件和数据由计算机保管人定期备份，信息技术部对备份情况进行抽查，需要信息技术部备份的应填写《数据备份申请表》，数据中心信息系统数据应按《备份管理制度》备份。4、 信息技术部负责管理监督公司软件使用情况，并负责软件预算编列及软件异动等事项。5、信息技术部负责公司数据中心信息系统的选型、变更、安装、设置、测试、维护管理。6、 针对新的信息系统上线，需由信息技术部会同需求部门对软件系统进行评估，并做出上线计划，上前后进行测试，并记录各项测试数据、参数配置及测试结果。在测试中发现的问题需及时向供应商反馈并进行书面记录进行整改。当由新系统替换旧系统时，业务部门需对旧系统下线前的期末数据与新系统上线后的期初数据进行核实，确认无误后方可投入使用。供应商完成系统测试后，需获取测试验收确认函，确保软件系统满足业务需求，并及时对系统用户进行培训指导。软件采购7、 各部门对该部门使用的软件，应视需要查核实际使用状况，以作为软件增置与编列预算的参考。软件采购时应考量软件用途、授权形式及价格以评估软件需求，由信息技术部统一提出采购计划。计算机软件安装及保管8、 公司之各类授权计算机软件，统一由信息技术部负责保管，并每年至6少进行一次盘点。各单位因业务需要需使用时可提出申请，由信息技术部依该软件之授权使用范围进行安装。9、 公司拥有的授权计算机软件，由信息技术部门统一部署安装；计算机使用人堆个别软件有安装变动需求，必须先填写《软件安装申请单》，信息系统软件申请须经部门经理和相关部门副总同意后，信息技术部则依据软件实施申请单，安装或授权安装至各计算机之内。10、 计算机保管人对软件负保管之责，软件使用者如有使用不当，造成毁损或遗失，应负赔偿责任。软件使用者应当对口令严格保密，并至少每180天更改一次密码，密码应满足复杂性原则，长度应不低于8位，并由大写字母、小写字母、数字和标点符号中至少3类混合组成。对于因为软件自身原因无法达到要求的，应按照软件允许的最高密码安全策略处理。11、 各部门软件分配使用后，保管人或使用人职务变动或离职时，应按照人事部门流程移交其保管或使用之软硬件，并办理交接，由信息技术部对其软件使用权限进行调整。12、 信息技术部在实施系统变更，如变更操作系统、软件安装、升级时都必须做《计算机设备软硬件变更清单》。13、 信息技术部每半年会同需求部门对计算机系统和数据中心信息系统用户情况进行一次复查。第四节软件使用者的权利和义务14、 禁止员工使用会干扰或破坏网络上其它使用者或节点的软、硬件系统。15、 员工不得将公司授权软件私自拷贝、借于他人或私自将软、硬件带回家中。16、 软件保管人或使用人，对于保管或使用软件不可盗卖、循私营利或其它不法情事，违者除提报主管及依公司规定惩处外，如因此触犯著作权者或造成公司损失，则该员应负刑事及民事之全部责任。17、尊重知识财产权,禁止下载未经授权的音乐、影片及软件。三、 数据安全管理1、 工作所需的资料、数据，不得带出办公区。因外派等业务需带出的情况除外，但需始终注意做好相关资料的保密工作。夕卜派等业务活动结束后，必须将相关资料数据及时带回，并清除保留在公司以外设备上的资料。2、 当使用公司的网络打印机时，打印的资料必须在30分钟内取回，保密资料的打印不得使用公用的网络打印机。3、 保密的资料应设置密码并妥善保管，不得随意置于桌面。4、 在执行资产转移时，要对那些存储保密资料或数据的载体（如计算机或软、硬盘）使用＜cipher＞命令对整个磁盘进行彻底清除，以防泄密。具体使用方法请向综合部网络管理员咨询，对于需要保存的资料或数据应加强保密措施并进行保护。5、 个人资料，工作资料应定期做好备份工作（重要资料应随时双重备份在其他电脑和其他介质上），以防病毒侵袭、硬件损坏等造成数据丢失。四、 网络信息安全管理1、 新员工入职，在得到自己的办公平台的帐户名和密码后，应立即更改自己的密码，如果因为没有更改密码而造成办公平台或公共管理系统帐户被他人盗用的情况，后果将由员工本人负责。2、 公司办公平台是为全体员工从事生产活动以及业务沟通提供服务的。不得利用公司的办公平台从事与工作无关的活动，一经查出或对公司造成不良影响的，将追究其责任。3、 员工有责任预防邮件病毒的传播，员工的电脑必须安装公司指定的杀毒软件，并启用杀毒软件的邮件防火墙功能。不允许在没有防火墙的电脑上进行收发邮件的操作，如果员工本人无法确定邮件附件的用途，那么即使杀毒软件没有给出提示，也不要轻易打开此类邮件。在使用电子邮件的过程中，有任何疑问都可以与综合部网络管理员联系。如果员工未按照上述要求执行，导致电脑感染电脑病毒并在公司局域网内传播电脑病毒，造成严重后果的，公司将追究该员工的责任。4、 由于办公平台服务器磁盘空间有限，公司通常情况下默认分配给每个员工的空间是200M，员工应将在办公平台存储超过一年的文件删除，以节约磁盘空间，重要文件请自行保存在个人电脑内。5、 公司IP地址由综合部网络管理员统一规划和分配使用，员工个人不得随意变更个人电脑的IP地址。6、 个人由于业务学习等而需用计算机以及计算机网络的，可以利用休息时间进行，不可以占用工作时间。7、 不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害公司稳定的有关信息。8、 不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动；9、 不访问不明网站的内容，以避免恶意网络攻击和病毒的侵扰。10、 员工个人QQ等其他网络通讯工具，在个人信息资料中不得包含公司相关（如公司、IP地址等）信息，在工作时间不使用QQ进行与工作无关的事'情。五、病毒防护管理1、公司为员工配备的电脑以及员工所负责的服务器必须安装防病毒软件，并且应遵循综合部网络管理员指定的计算机病毒防护标准，如：安装并注意始终启用网络管理员指定的防病毒软件，并及时更新病毒库代码等。如因未及时升级防病毒软件而引起的系统问题和网络问题，由个人承担责任；2、办公平台服务器的病毒防治由综合部网络管理员负责，各部门的工作站病毒的防治由各部门负责周期性查毒和升级病毒库，综合部网络管理员进行指导和协助。3、 任何人不得在公司的网络上制造、传播任何计算机病毒，不得故意引入病毒。网络使用者发现病毒应立即向综合部网络管理报告以便获得及时处理。4、 各部门定期对本部门计算机系统和网络数据进行备份以防发生故障时进行恢复。六、下载管理1、 不准在任何时间利用公司网络下载黑客工具、解密软件，系统扫描工具，木马程序等威胁系统和网络安全的软件。2、 工作期间不允许下载和在线观看与工作无关的软件或其他内容，如MP3、小说、电影、电视和图片等。3、 由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致使病毒传播者，一经核实，公司依据相关规定将给予警告、通报批评。七、机房管理机房设备管理规定1、 机房管理人员应使用电子表格对机房内设备做好登记，记录现有设备的型号、配置、位置、状态等信息，以便跟踪设备变化。2、 计算机及网络设备的搬运必须填写《机房设备变更表》并通过信息技术部负责人审批方可进入或搬离计算机机房。3、 机房管理人员对机房设备的操作必须严格按照操作程序进行，并在《机房运行日志》做相应记录。4、 机房内主机等设备的故障维修，必须于《机房运行日志》做好故障维修登记，若涉及设备送修，须填写《机房设备变更表》。机房进出规定1、 信息技术部应根据公司实际情况，安排专人对机房进行值班和巡检。2、 机房钥匙由信息技术部保存，其余钥匙交公司行政部统一保管，如果特殊情况需使用时须严格登记。3、 钥匙保管人不允许私配机房钥匙，无关人员不得借用机房钥匙，机房钥匙一旦遗失必须立即向信息技术部负责人报备。4、 任何非机房管理人员需要进入机房，需填写《机房出入登记表》在机房值班人员陪同下进入机房。5、 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品，因工作需要使用时，必须向信息技术部负责人申请并做详细登记，严格执行操作规程，用后必须置于安全状态，妥善保管。6、 进入机房人员应自觉遵守机房内各项管理规定，服从机房值班人员的管理，非经机房管理人员允许，不得擅自对机房设备进行操作。工作完毕后应及时离开，离开机房时应主动接受机房值班人员的检查。7、 条进入机房人员在工作完毕后，自觉将所带无关物品带走。机房卫生规定1、 机房值班人员需要每天对机房进行打扫，保证机房内环境、设备的清j洁。2、 任何人不得将食物或饮料带入机房，任何人不得在机房内吃东西、吸烟、吐痰。机房消防、安全管理规定1、 机房应保持计算机设备正常运行所必须的温度、湿度等环境要求，安装温湿度报警设施，对运行环境可能出现的不利因素进行监测并预警。这些要求至少包括以下内容：(1)安装24小时不间断空调系统，机房内保持一定的温度和湿度;安装湿度和温度显示装置；安装烟雾感应探测器和温度感应探测器；安装火灾报警和自动灭火系统；配备手动灭火器；将机房地板抬高。2、 机房应列为单位要害和重点防火部位，应严格按照相关国家标准安装配备。足够数量的消防报警设备以及消防器材，机房工作人员要熟悉机房消防器材的存放位置及使用方法，定期检查更换。3、 机房及其附近严禁吸咽、焚烧任何物品。4、 机房应配备适当的不间断的电力供应（UPS）,确保有足够的后备电力支持正常的系统应急操作；每半年对现有的不间断的电力供应设备进行检查与维护，确保设备的正常运作。5、 机房管理人员要熟悉设备电源和照明用电以及其他电气设备总开关位置，掌握切断电源的方法与步骤，发现火情及时报告，采取有效措施及时灭火。值班管理规定1、 信息技术部应根据公司实际情况，安排专人对机房进行值班和巡检。2、 值班人员应每日做好系统运行和机房安全工作，检查空调、UPS、温湿17度、消防等设备的完好性，并将检查结果记录于《机房运行日志》，如果发现问题及时汇报处理。3、 值班人员应每日检查各类系统设备的运行状态，并在《机房运行日志》中进行记录。若系统发生故障，应及时报告相关管理人员，并协助其进行问题调查，做好工作记录，将故障发生时间及修复时间等相关信息进行登记。4、 对机房内所有人员的操作，值班人员应该在《机房运行日志》中进行记录。5、 对于进入机房人员不遵守机房管理规定或从事与正常工作内容不相符的操作，必须及时加以制止，必要时可终止其操作。6、信息技术部负责人应每月审阅《机房运行日志》，确保所有机房操作已通过适当的授权和审批。八、备份及恢复备份操作管理1、 备份工作应由信息技术部门安排备份管理人员和备份数据保管人员。备份管理人员负责实施备份、恢复操作和登记工作，备份保管人员负责备份介质的取放、更换。2、 数据被大规模更新前后，须对数据进行备份，在操作系统和应用程序发生重大改变前后，须对系统