信息安全管理体系制度汇编（技术方案）

信息安全管理体系汇编（第一版）网络运营中心监制2015年3月目录网络运营中心监制

目录信息安全工作指导方针 PAGE30附件4：办公设备维修报废流程附件5：办公设备领用单办公设备领用单日期物品名称数量领用人部门领用人签字附件6：办公设备调拨申请表办公设备调拨申请表申请日期申请调出部门申请调入部门申请调拨人员姓名工作证号码手机号码是否对设备内信息进行处理□是□否处理人调拨原因：调出部门意见：签字：时间：调入部门意见：签字：时间：资产管理部意见：签字：时间：附件7：办公设备送外维修申请表办公设备送外维修申请表申请人申请部门申请日期维修设备是否对敏感信息进行处理□是□否处理人送外维修事由：资产管理部意见：签字：时间：桌面终端安全管理制度

桌面终端安全管理制度总则为加强集团桌面终端的管理，规范集团桌面终端的安全配置和使用，降低由于个人对桌面终端的使用不当而给集团造成的风险，提高集团桌面终端的安全标准化程度，特制定本制度。本制度所涉及的桌面终端包括办公终端、生产终端、外部移动终端，适用于所有使用终端设备的员工。员工桌面终端安全要求员工对所使用的桌面终端负有责任，必须保证正确的使用或操作，同时需采取适当措施防止桌面终端设备遭受各种损害。员工有责任参加相应培训以掌握集团桌面终端的使用技能和了解相关管理规范。不得在未经许可的情况下使用他人或其他未经授权的桌面终端设备，也无权将自己使用的桌面终端任意地转借他人；在工作需要的情况下，员工可以允许他人在其监控下操作自己的电脑，但由员工本人承担使用过程中的安全责任。员工对所使用的桌面终端中安装的软件负有保护责任，集团的任何员工不得在未授权的情况下擅自将集团的电脑软件进行复制、存储、传送或删除。员工在电脑使用过程中有责任及时上报所遇见的故障、错误等各类安全事件以保证网络运营中心能够及时采取相应措施，并应当在事件的处理过程中协助相关人员开展工作。集团拥有对桌面终端进行管理、审核的权利，保留在未经员工允许的情况下访问和检查业务终端的权利。任何用户、员工或临时人员，不遵从本规范的可以采取警告、批评或终止访问权限等措施；情节严重的，追究主管领导和责任人的责任；对违反有关法律、法规的，将依法追究其法律责任。集团放在办公区和机房内的各种桌面终端设备由网络运营中心网络管理员负责管理和维护，其它部门员工不能私自改变设备的硬件配置、位置及其相关的资产编号。桌面终端初始配置新申请的桌面终端,将由网络运营中心技术人员负责安装操作系统以及设置系统环境。配置完毕后，交由员工使用，并进行登记。员工不得擅自更改桌面终端的关键配置，改变桌面终端硬件配置，拆装桌面终端均由网络运营中心技术人员负责处理。（关键配置：计算机名称，TCP/IP网络设置，计算机所属域，安全策略等）初始安装的软件有：操作系统硬件驱动程序、多功能打印机驱动、系统补丁、MSoffice、多媒体播放软件、即时通讯软件等必要办公软件。其余软件会放在文件服务器上，有需要请自行下载安装。为保证数据的安全和完整，关键数据存放在非系统分区上（通常为非C盘分区）。集团桌面终端若没有特殊需要不允许安装第二个操作系统、不允许自己重装操作系统、杀毒软件，更不能私自设立服务系统(如DHCP、DNC、PROXY、E-MailServer等)。桌面终端接入网络桌面终端设备接入内部网络必须安装统一的防病毒软件，并能够定期更新病毒库，由网络运营中心技术人员检测是否符合要求。桌面终端接入内部网络必须进行补丁升级，由网络运营中心技术人员检测是否升级到最新补丁。桌面终端设备接入内部网络需要在网络运营中心登记，记录桌面终端的所属部门、使用人、MAC地址、防病毒安装情况、补丁安装情况等信息。并由网络运营中心技术人员分配IP地址，并与MAC绑定。禁止员工将个人台式机或笔记本等相关电脑设备私自接入集团内部网络，如果工作需要的话，需要经过网络运营中心技术人员的安全检测，在不存在安全问题并符合接入集团内部网络相应规定的情况下方可使用。对部分员工私自将电脑接入集团内部网使用，造成集团其他电脑故障或集团内部网络瘫痪的问题，一切后果由个人承担，并按照相关规定给予相应的处罚。桌面终端日常使用桌面终端账号密码设置：员工应及时更改出库桌面终端的初始密码，不得将桌面终端的密码设置为空；尽量避免使用与个人有关数据（如生日、电话号码等）和常用的英文单词当作密码；员工桌面终端的密码复杂度应满足一定要求，至少保证最小长度8位以上，数字、字母或特殊字符组合；员工应根据所使用的桌面终端访问业务系统的安全与敏感程度定期修改密码；不要把口令保留在任何自动登录过程中。如不要启用在IE（Microsoft浏览器）中“自动记住密码”的功能。所有桌面终端必须设置屏保和锁屏，设置员工无操作5分钟后自动启动屏保，恢复时需要输入用户密码，员工离开座位应确保终端处于退出登录状态。禁止员工在桌面终端上安装与生产工作无关的软件，如游戏、视频等。如因业务需求安装从互联网上下载的程序必须经过防病毒软件的扫描，在确认无病毒后才可安装使用，对于不能确定的文件或程序应及时通报网络运营中心的技术人员；员工下载、安装和使用第三方的程序必须不违反集团的安全规定和软件版权规定。通过互联网、局域网获得的文件以及通过任何可移动的存储介质进行文件拷贝时，必须要使用杀毒软件检查后才能使用。员工有责任经常检查和整理自己的桌面终端设备，不得干预和取消相关补丁包的更新、病毒扫描、病毒更新，如发现技术问题及时联系网络运营中心技术人员。员工下班时应关闭电脑主机、显示屏。为保证操作系统补丁正常生效，关机时选择“安装更新后关闭计算机”来关闭桌面终端。员工使用桌面终端收发邮件，应遵守以下规定：员工应遵照邮件管理员的要求安装和配置客户端系统，并按集团要求配置邮件客户端的安全选项；员工在自己的邮箱账号开通后应及时修改密码，定期更改邮箱账号密码以防止他人盗用，不得试图猜测和打开其他任何未经许可的用户邮箱；员工应对自己的邮箱账号和密码的安全负责，不得将邮箱账号借与他人。一旦发现邮箱账号密码泄露，应及时更换密码。若发现邮箱存在任何安全漏洞的情况，应及时通知集团邮件系统管理人员。使用桌面操作系统的员工的邮件客户端必须使用OUTLOOKEXPRESS或MICROSOFTOUTLOOK进行对邮件定期及时的收取，不允许在服务器端保留备份，并及时删除过时和无保留价值的邮件，从而避免占用集团大量网络资源的现象，如果有保留备份的需要须向网络运营中心技术人员提出申请，并经同意后方可使用，若没有按照以上规定造成个人的各类邮件故障，一切后果由个人承担。发现邮箱中出现不明来源的邮件不要随便打开，如有疑问应及时向网络运营中心相关技术人员报告，尤其是带有可执行附件的邮件，如.EXE、.VBS、.JS等，同时一定要保证客户诺顿杀毒软件的电子邮件扫描功能和自动防护功能处于开启的状态；如非必要，尽量关闭邮件“预览”特性，很多嵌入在HTML格式邮件中的病毒代码将会在预览的时候执行，含有重要信息的邮件传输应加密并采用安全传输方式。发送带有附件的邮件不要以.EXE、.ZIP、.BAT的格式发送，如有需要尽量采取.RAR压缩的格式发送，同时附件的发送容量最大不要超过20M。对违反上述规定者，在经过网络运营中心技术人员警告后，依然违反以上规定的员工，邮件系统管理员有权停止或取消该员工邮箱使用权限。由集团购买的商业软件的版权属于集团所有，对于该软件的安装和使用必须遵从与软件供应商签署的合同和国家相关的法律，任何个人未经许可不得将该软件复制或安装、使用于个人或其他非集团业务需要的领域。离职员工须退还全部桌面终端及使用权限，交接完成后删除硬盘上的工作文档。该员工使用的相关账户必须做出相应处理(如更换该账号的密码)。离职员工要配合网络运营中心技术人员做好桌面终端设备的入库检测。桌面终端连接互连网员工不得利用集团网络资源、终端设备访问和工作无关或有害的网站。禁止使用需要消耗大量带宽并和业务无关的应用，如P2P协议的下载软件：BT、迅雷等软件。此外，员工不得通过网络进行以下行为：通过互联网窃取、泄露集团未公布的机密信息；故意制作、传播计算机病毒等破坏性程序，攻击桌面终端及通信网络；利用互联网侵犯他人知识产权；在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片；利用互联网侮辱他人或者捏造事实诽谤他人；利用互联网进行盗窃、诈骗、敲诈勒索；非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；利用互联网煽动民族仇恨、民族歧视，破坏民族团结；利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。员工访问互联网应遵守《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《维护互联网安全的决定》等有关法律法规，如有违反应独立承担一切责任。集团将保留对员工使用互联网进行监控的权利，任何人如经查实违反上述规定，将予以相应的惩罚，网络运营中心技术人员有权停止或取消该员工使用互联网权限。桌面终端维修报废员工申报维护时，有义务向网络运营中心技术人员简单描述故障特征，以便快速解决问题，提高工作效率。在桌面终端设备被维修、回收、出售或转给其他人之前，由网络运营中心技术人员确保所有包含集团保密的、受限、敏感信息必须使用不可恢复方式删除。桌面终端设备报废需要经过网络运营中心技术人员确认无法维修后，方可进行报废处理。具体的维修报废流程详见《办公设备安全管理制度》中的办公设备维修报废流程。附则本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管理委员会批准之日起生效。本制度解释权属架构与安全委员会。介质安全管理制度介质安全管理制度总则为加强介质保管、使用、维修和销毁的全过程管理，保障介质安全，特制定本制度。本制度中所指的介质主要包括与信息系统相关的存储介质（磁盘、阵列、磁带库等）及存储重要数据的移动介质（移动硬盘、U盘等）。介质保管网络运营中心负责介质的安全及资产管理，介质在购置后由网络运营中心网络管理员统一进行资产编号，并对介质进行登记备案，填写《介质目录清单》，详见附件1。介质登记时应按照用途对其重要程度进行分类和标识，重要介质中的数据和软件应采用加密存储。网络管理员定期对清单中的介质进行盘点，如介质发生变更应及时更新表单。介质在长期保管时，其保管的地点必须满足防火、防水、防震、防潮、防静电等方面的安全要求，介质的保管要符合介质生产商对介质保管的要求。对介质进行异地运输保存时，需保证有专人负责监督整个运输过程。备份数据介质异地存储时应遵循本制度。介质使用与维护集团员工需使用介质时，应填写《介质申请表》，详见附件2，经所在部门经理审批同意后提交给网络运营中心审核，审核通过后由网络管理员发放介质，并对介质清单进行更新。介质在第一次使用前必须由网络运营中心进行恶意代码检测，防止恶意代码入侵和感染信息系统。介质在转交他人使用时，应对敏感信息进行加密或清除，并在交予他人时予以告知，介质转交给他人应通知网络管理员进行清单更新。移动介质不慎遗失时，当事人应立即上报所在部门经理，由部门经理向网络运营中心备案，及时采取有效措施，防止信息泄密。如有必要，需上报架构与安全委员会。各部门工作人员在离岗前，应将领用的移动介质退还给网络运营中心，介质中保存的数据应进行转存或清除。介质维修与销毁介质的维修工作由网络运营中心专业技术人员统一负责。如网络运营中心无法对介质进行维修，需送外部维修时，应由网络运营中心审核同意后，清除介质中敏感数据，再到具有相关资质的单位进行维修，并填写《介质送外维修申请表》（详见附件3），必要时应与维修单位签署保密协议。介质维修前应对介质中的数据进行备份，无法备份的应采取其他手段防止数据丢失。维修的介质如果存有涉密数据或重要数据，应备份并清除介质中的数据后方可进行维修，应保证清除的数据无法被还原。各部门不再使用或需要报废的介质应及时移交网络运营中心统一管理，在移交前各部门自行对介质进行信息清除处理工作，移交完成后网络运营中心将不再对其内保存的数据负责，介质移交单详见附件4。网络运营中心对需要报废的介质提出报废申请，由财务部物资科进行报废审批，审批通过后网络运营中心按规定进行销毁处理。销毁前填写《介质销毁清单》(详见附件5)。销毁