2024年个人信息安全管理制度

2024年个人信息安全管理制度

个人信息安全管理制度1

1.总则

1.1目的：

为加强公司作风建设，宣传廉洁文化，预防利用职务及职权谋取不正当利益。同时做好公司

信息的安全和保密工作使公司所拥有的信息在经营活动中充分利用保护公司的利益不受侵害，

树立健康积极的企业文化形象，特制定本管理制度。

1.2适用范围：

本制度适用于公司所有在职员工。

1.3定义：

廉洁：清白高洁，不贪污，从不使用公家的钱来养活自己（不贪污），就是指人生光明磊落

的态度和诚信，正直的风气。

信息安全：信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不

受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行。

业务单位：与公司有一切业务（含但不限于供货、施工、促销合作等关系）往来或联系的单

位或个人。

L4职责权限

3.1总经办负责廉洁文化建设方向的指引，对公司的信息安全管理具有监督和最后裁决权。

3.2监察部负责监督和执行廉洁与信息安全管理规定，接受全体员工的举报和监督，对举报

和违规情况进行调查核实。

33行政部负责廉洁文化和信息安全意识的宣传和教育，接收和申报处理公司员工收受和外

部财物。

3.4信息部负责公司所有文件资料的分类存档和保存，对电子存档资料进行定期整理和备份，

并做好文件防盗和密码保护工作。

3.5各部门：具有共同维护公司廉洁文化建设和信息保密工作的权利，都有保守公司秘密的

义务，对公司廉洁和信息安全管理规定具有监督和举报权。

2.主要内容：

2.1廉洁自律规定

2.1.1不准收受任何业务单位的个人现金、购物卡券、有价证券和支付凭证。

2.1.2因各种原因未能拒收业务单位的，必须及时向公司行政部申报统一处理。具体需申报

的情况如下：

业务单位不回收的样品和商品赠品；

业务单位节假日馈赠的礼品、礼篮等；

业务单位赠送的其他具有实际价值实物、活动等。

业务单位组织的集体考察、学习、旅游黝卜出活动；

业务单位赠送的无法拒绝的各类现金、购物卡券、有价证券和支付凭证；

2.1.3不准向业务单位及其个人借贷钱物。

2.1.4不准在各业务单位报销应由个人支付的有关票据。

2.1.5不借业务办理之机，对各业务单位吃、卡、拿、要。

4.1.6禁止利用职权和职务上的便利和影响为亲友及身边工作人员谋取利益。

2.1.7工作中不弄虚作假，按规定收集整理好各类郸出资料，不做假帐或帐外账。

2.1.8不准用公款支付个人名义的宴请。公关或业务接待必须经总经办批准后在合理的范围

内进行。

2.1.9不准接受可能对商品和设备供应价格、工程施工价格的业务合作行为产生影响的钱、

物馈赠和宴请。

2.1.10不准为谋取不正当的利益，在经济往来中违反有关规定，以各种名义收取回扣、中

介费、手续费等归个人所有。

2.1.11不借出差、考察、学习之机利用公款进行旅游娱乐活动，或接受可能影响公正办理

业务的宴请、礼品馈赠或其他服务。

2.1.12严禁以虚报、谎报等手段获取荣誉；以虚报、谎报等手段获取的荣誉、职称及其他

利益予以取消或者纠正。

2.2信息安全

2.2.1公开信息：公司已对外公开发布的信息，如公司宣传册、产品或公司介绍视频等。

2.2.2保密信息：公司仅允许在一定范围内发布的信息，一旦泄露，将可能给公司或相关方

造成不良影响。比如公司投资计划等。

2.2.3根据信息价值、影响及发放范围的不同，公司将保密信息划分为绝密、机密、秘密、

内部公开四个级别。

绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性

影响的保密信息，如：公司订单,重大投资决议等。

机密信息：公司重要秘密，一旦泄露将使公司利益受到严重损害的保密信息如：未发布的.

任命文件，公司财务分析报告等文件。

秘密信息:公司一般性信息，但一旦泄露会使公司利益受到损害的保密信息，如：人事档案，

供应商选择评估标准等文件。

内部公开：仅在公司内部公开或仅在公司某一个部门内公开，对外泄露可能会使公司利益造

成损害的保密信息的保密信息，如：年度培训计划，员工手册，各种规章制度等。

2.2.4公司保密信息包括但不限于以下内容：

大经济损失且情节严重的，将移交公安机关进行立案处理。

2.3.2除公司公开的信息外，任何人将公司的保密信息以任何形式（口头传达、电子邮件、

上传网络、存储拷贝、拍照影印、复印资料）对外泄露或散布出去的，公司将从源头上追究信息

泄密者经查实后立即根据情节轻重进行追责处理。因信息泄密造成公司经济损失或形象受损时,

将依法移交司法机关进行处理。

3.附则

3.1本制度最终解释权归xx有限公司所有。

3.2本制度自20xx年8月9E起实行，暂定实施1年。

个人信息安全管理制度2

为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》

和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保

密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。

本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案。

网络安全管理制度

第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，

保障运行环境的安全。

第二条任何单位和个人不得从事下列危害公司网络安全的活动：

1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。

2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。

3、未经允许，对信息网络功能进行删除、修改或增加。

4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行

删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有"黄、赌、毒"、反动言论内容的网站。

7、向其它非本单位用户透露公司网络登录用户名和密码。

8、其他危害信息网络安全的行为。

第三条各单位信息管理部门负责本单位网络的安全和信息安全工作对本单位单位所属计算

机网络的运行进行巡检,发现问题及时上报信息中心。

第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病

毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全

之后方予开通。

第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用

权。

第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心而其提供指导，必要时可

以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息系统安全保密制度

第一条、"信息系统安全保密”是一项常抓不懈的工作，每名系统管理员都必须提高信息安

全保密意识，充分认识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息

系统安全保密培训。

第二条、实行信息、发布责任追究制度，所有信息的发布必须按规定办理审核、审签手续，必

须真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必须与内部网和互联网

实施物理隔离，严格执行上网信息的审查制度和涉及国家秘'密的信息不得在企业内网发布的规定,

杜绝泄密事件的‘发生。凡发布虚假、反动、色情、泄密等内容，追究信息报送和审核者责任，

对公司造成重大经济损失，将追究责任人相应的法律责任。

第三条、信息系统管理权限从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管

理员、系统管理员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器（包

括系统服务器、应用服务器和控制服务器）、工作终端、用户终端；从设定内容上分为完全控制、

权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。

第四条、所有信息系统的使用者和不同安全等级信息之间必须存在授权关系，并在新建信息

系统开发建设阶段形成方案并加以设计，在软件系统中预留对应关系设置的功能，根据使用者岗

位职务的变迁进行调整。

第五条、利用IT技术手段，对信息系统的硬件配置调整、软彳牛参数修改严加控制。利用操

作系统、数据库系统、应用系统所提供的安全机制，设置相应的安全参数，保证系统访问的安全；

对于重要的计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配

置，并定期对以上情况进行检查。

第六条、信息系统如需要委托专业机构进行系统运行和维护管理时应严格审查其资质条件、

市场剩余和信用状况等，并且与其签订正式的服务合同和保密协议。

第七条、所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件，对未安装防

病毒软件的终端用户有权拒绝为其提供网络接入服务。

第八条、利用防火墙、路由器、入侵检测等网络设备，加强网络安全，严密防范来自互联网

的黑客攻击和非法侵入。

第九条、对于通过互联网传输的涉密或关键业务数据，要采取必要的技术手段确保信息传递

的保密性、准确性、完整性。

第十条、对于停止运行的废旧系统，应当做好系统中有价值及涉密信息的销毁、转移等善后

工作。

第十一条、系统管理人员要遵守信息系统的各项管理制度，防止利用计算机舞弊和犯罪。

第十二条、对重要业务系统的访问建立用户管理制度，对于不同类别不同级别的各类管理及

使用人员采取密码分级管理，设定密码有效期限，对密码存储采用非明文二次加密技术防止各类

密码泄露事故的发生。

信息安全风险应急预案

一、总则

为加强公司信息安全风险源的预防管理,提高应急防范能力，保障何络系统、信息系统及信

息机房的整体安全，促进公司安全生产稳步健康发展，制定本预案。

二、编制目的

依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络

国际联网安全保护管理办法》等有关法规文件精神。确保公司信息网络系统安全运行，为公司整

体安全形势稳步发展提供保障。

三、适用范围

本预案适用于各单位信息安全突发风险应急管理。

四、主要风险源

1、火灾

2、意外断电

3、重要数据丢失

4、网络系统大面积瘫痪

五、风险源辨识及评估

各单位应组织员工对风险源进行全面、系统的辨识和风险评估，并确保：危险源辨识前要进

行相关知识的培训；辨识范围覆盖本单位的所有活动及区域；对危险源辨识和风险评估资料进行

统计、分析、整理、归档；

5.1.火灾辨识及评估

5.1.1火灾辨识

(1)自然灾害引起的火灾

(2)强电线路短路引起的火灾

(3)杂物堆积引起的火灾

(4)温度过高引起的火灾。

(5)老鼠咬线引起的火灾。

5.1.2火灾风险评估

机房发生火灾可能导致工作人员人身受到伤害；信息网络设备受到损坏；网络系统大面积瘫

痪；国家、集体财产受到损失。

5.2、意外断电辨识及评估

5.2.1意外断电辨识

(1)自然灾害引起的意外断电。

(2)短路跳闸引起的意外断电。

522意外断电风险评估

L意外断电可能导致机房核心交换机、防火墙、汇聚交换机、数据库服务器、软件服务器、

恒温设备等重要设备损坏或数据丢失；

2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的间接财

产损失。

5.3、重要数据丢失辨识及评估

5.3.1重要数据丢失辨识

(1)意外断电引起的数据丢失。

(2)服务器故障引起的数据丢失。

(3)数据库损坏引起的数据丢失。

5.3.2重要数据丢失风险评估

1、安全软件系统数据丢失可能导致安全生产监控类系统雌无法正常采集于传输，影响到

矿井安全生产的正常进行。

2、数据库系统数据丢失可能导致经营管理类系统无法正常使用，影响公司相关部门经营管

理工作和日常办公无法正常进行。

5.4、网络系统大面积瘫痪

5.4.1网络系统大面积瘫痪辨识

(1)意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。

(2)通信线路中断引起的网络系统大面积瘫痪

(3)服务器损坏或故障引起的大面积无法登录互联网。

5.4.2网络系统大面积瘫痪风险评估

1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断，管理部门失去对矿

并生产的安全监管，安全生产无法正常进行。

2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。

5.5、高空作业辨识及评估

5.5.1高空作业辨识

(1)日常高空维修可能造成人身伤害。

(2)工程高空施工可能造成人身伤害。

5.5.2高空作业风险评估

日常高空维修网络设备、打扫卫生和高空施工可能造成工作人员人身伤害和精神伤害，影响

公司安全生产稳步发展。

六、安全风险应急预案及措施

根据各单位存在的主要风险源和风险评估保障安全生产工作有序进行制定本预案及措施。

6.1火灾应急预案及处置措施

6.1.1应急预案

(1)发生特大火灾时(包括机房、UPS、库房)，值班人员应立即逃离火灾范围，启动对

应的火灾应急预案和响应级别，拉响警报，向公司总调度室、本单位负责人、单位安监部门汇报，

在确保人身安全的情况下，组织人员利用灭火器进行灭火；

如果火势过大，人员无法靠近时，应立即拨打火警119,求助消防部门进行灭火。

(2)发生重大火灾时(包括机房局部、UPS控制器、库房局部)，值班人员应立即逃离火

灾范围，启动对应的火灾应急预案，拉响警报，向公司调度室和本单位安监部门汇报，在确保人

身安全的情况下，组织人员利用灭火器进行灭火，力争将财产损失降到最低。

(3)发生较大火灾时(包括消防通道、办公室)值班人员应启动对应的火灾应急预案，向

公司总调度室及本单位安监部门汇报，在确保人身安全的情况下组织人员利用灭火器进行灭火，

避免或降(氐财产损失。

6.1.2措施

(1)火灾发生时，值班和工作人员应立即脱离火灾范围，确保人身安全。

(2)根据火灾大小确定火灾风险等级，并启动相应的响应等级。

(3)根据火灾风险等级向公司总调度室及本单位安监部门汇报火灾情况。

(4)火势过大无法控制时，应立即拨打火警119进行求助。

(5)在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免火灾扩大，降低财产

损失。

(6)尽最大可能搜集火灾发生的相关信息，做好记录，为事故处理是供依据。

(7)每月针对火灾诱发根源法行彻底检查(如易燃物品不能堆放、库房物品分类并整齐摆

放等)，预防火灾的发生。

6.2、意外断电应急预案及处置措施

6.2.1应急预案

发生自然灾害和短路引起的意外断电时，值班人员在确保人身安全的情况下，根据风险等级

启动相应的响应等级，向本单位安监部门进行汇报，邀请电力维修人员进行断电故障排查，并组

织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服

务器、软件系统、烟雾报警、UPS温度监控、机房温度监控系统进行隐患排直，发现设备故障

和数据丢失，应当进行及时处理和上报。

6.2.2处置措施

(1)发生意外断电时，在确保人身安全的情况下，值班人员应启动相应的响应等级。

(2)向本单位安监部门进行;匚报。

(3)必须请专业电力维修人员进行故障排杳与维修。

(4)搜集意外断电发生的信息并作好记录，为事故处理提供依据。

6.3、重要数据丢失应急预案及处置措施

6.3.1应急预案

(1)因意外断电引起重要数据丢失时，值班人员应根据风险等级启动相应的响应等级，向

公司总调度室和安监部门进行汇报，邀请专业电力维修人员进行故障排查，恢复供电正常，排查

机房设备及数据情况，发现设备故障和数据丢失，立即组织相关技术人员进行恢复。

(2)因服务器故障引起数据丢失时，值班人员应根据风险等级启动相应的响应等级,向公

司总调度室和案件部门进行汇报，并组织技术人员进行服务器维修和数据恢复，如果服务器和数

据无法维修和恢复时，应向本单位负责人汇报并外请专业人员进行维修，确保设备和数据安全。

(3)因数据库无法启动引起的数据丢失，值班人员应根据风险等级启动相应的响应等级，

向公司总调度室和案件部门进行汇报，并组织技术人员进行数据恢复，如果数据无法恢复，应向

本单位负责人汇报并外请专业人员进行数据恢复，确保设数据安全。

6.3.2处置措施

(1)发生数据丢失时，值班人员应根据风险等级启动相应相应等级。

(2)值班人员向本单位安监部门汇报。

(3)组织技术人员对数据进行恢复。

(4)本单位技术人员无法恢复丢失数据时，应向本单位负责人汇报并外请专业人员进行数

据恢复，确保数据安全。

(5)做好数据丢失与恢复过程的记录。

6.4、高空作业应急预案及处置措施

6.4.1应急预案

(1)在高空维修过程中发生人员坠落风险时，如果坠落人员处于清醒状态，应立即拨打120

送往医院进行急救；

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救(如将人平躺在地上,

进行按压胸部、掐人中、人工呼吸等)，同时拨打120急救电话送往医院进行抢救，并向公司

总调度室、本单位负责人及安监部门汇报。

(2)在高空施工过程中发生人员坠落风险时，如果坠落人员处于清醒状态，应立即拨打120

送往医院进行急救；

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救(如将人平躺在地上,

进行按压胸部、掐人中、人工呼吸等)，同时拨打120急救电话送往医院进行抢救，并向公司

总调度室、本单位负责人及安监部门汇报。

6.4.2处置措施

（1）日常高空维修必须在确保人身安全的情况下进行，否则不能进行维修作业。

（2）在日常工作中设计到高空维修，维修人员一定要2人或2人以上进行维修。否则，维

修人员可以拒绝维修工作。

（2）高空维修人员必须佩带安全绳索，并采用安全梯子进行高空作业。否则，不能进行高

空维修作业。

（3）事故发生后要对事故的经过进行详细记录，为事故处理提供礴。

个人信息安全管理制度3

为维护公司信息安全，保证公司网络环境的稳定，特制定本制度。

第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、

交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。

1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定

期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。

2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责

系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。

3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本公司的信息

网络（内部信息平台）系统传播，避免对公司利益、公共利益以及个人利益造成损害。

第二条信息的内部管理

1、各部门在向网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文

件无毒上载；

2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内

部信息平台）的整体搞病毒能力；

3、各信息应用部门对本部门所负责的信息必须作好备份;

4、各部门应对本部门的信息遂行审查，网站各栏目信息的负责部门必须对发布信息制定审

查制度，对信息来源的合法性，发右范围，信息栏目维护的负责人等作出明确的规定。信息发布

后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全部门报告；

5、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。

第四条信息加密

1、涉及公司秘'密的信息，其电子文档资料应当在涉密介质中加密单独存储；

2、涉及公司和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储；

第五条任何部门和个人不得从事以下活动：

1、利用信息网络系统制作、传播、复制有害信息；

2、入侵他人计算机；

3、未经允许使用他人在信息网络系统中未公开的信息；

4、未经授权对网络（内部信息平台）系统中存储、处理或传输的信息（包括系统文件和应

用程序）进行增加、修改、复制和删除等；

5、未经授权杳阅他人邮件；

6、盗用他人名义发送电子邮件；

7、故意干扰网络（内部信息平台）的畅通运行；

8、从事其他危害信息网络（内部信息平台）系统安全的活动。

第六条本制度自发布之日起施行，凡与本制度有冲突的均以本制度为准。

第一项计算机管理制度

为保证计算机的正常运行，确保计算机安全运行，制定本制度。

一、管理范围划分

本公司计算机分为涉密和非涉密两部分，涉密计算机指主要用于储存或传输有关人事、财务、

经济运行、信息安全等涉及企业经营管理信息的计算机。非涉密计算机指用于储存或传输日常办

公资料信息计算机。信息技术部、关务部、财务部计算机按照涉密要求进行管理。

二、非涉密计算机日常管理

1、各部门的计算机，操作人为管理第一责任人，承担公司计算机操作的管理、保密和安全，

以防止误操作造成系统紊乱、文件丢失等故障。

2、计算机主要是用于业务数据的‘处理及信息传输，提高工作效率。严禁上班时间用计算机

玩游戏及运行一切与工作无关的软件。

3、新购的计算机、初次使用的软件、数据载体应经我部计算机管理员检测，确认无病毒和

有害数据后，方可投入使用。

4、计算机操作人员发现本部门的计算机感染病毒，应立即中断运行，并与计算机管理员联

系及时消除。

5、爱护机关计算机设备，保持计算机设备的干净整洁。

三、涉密计算机日常管理

1、涉密的计算机内的重要文件由专人集中加密保存，不得随意复制和解密,未经加密的重

要文件不能存放在与国际联网的计算机上。

2、对需要保存的涉密信息，可到信息安全科转存到光盘或其他可移动的介质上。存储涉密

信息的介质应当按照所存储信息的最高密级标明密级，并按相应密级的文件管理。

3、对信息载体（软盘、光盘等）及计算机处理的业务报表、技术数据、图纸要有专人负责保

存，按规定使用、借阅、移交、销毁。

四、其他

对违反以上规定的行为视情节轻重，由公司行政部进行处罚，并追究有关人员的责任。

个人信息安全管理制度4

一、一般规定

1、未经网管批准，任何人不得改变网络（内部信息平台）拓扑结构、网络（内部信息平台）

设备布置、服务器、路由器配置和网络（内部信息平台）参数。

2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。

3、机关局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨

害单位稳定的有关信息。

4、各部门应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。

二、帐号管理

1、网络（内部信息平台）帐号采用分组管理。并详细登记：用户姓名、部门名称、口令,

存取权限，开通时间，网络（内部信息平台）资源分配情况等。

2、网络（内部信息平台）管理员为用户设置明码口令，用户可以根据自己的保密情况进行

修改口令，用户应对工作站设置开机密码和屏保密码。

3、用户帐号下的雌属于用户私有数据，当事人具有存入权限，管理员具有管理和备份存

取权限。

4、网络（内部信息平台）管理员根据有关帐号管理规则对用户帐号执行管理，并对用户帐

号及数据的安全和保密负责。

5、网络（内部信息平台）管理员必须严守职业道德和职业纪律，不得将任何用户的密码、

帐号等保密信息等资料的泄露出去。

三、网络管理员职责

1、协助制定网络（内部信息平台）建设方案，确定网络（内部信息平台）安全及资源共享

策略。

2、负责公用网络（内部信息平台）实体，如服务器、交换机、集线器、防火墙、网线、接

插件等的维护和管理。

3、负责服务器和系统软件的.安装、维护、调整及更新。

4、负责网络（内部信息平台）账号管理，资源分配，数据安全和条充安全。

5、监视网络（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安

全、稳定、畅通。

6、负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料的整理和归

档。

7、保管网络（内部信息平台）拓扑图接线表，设备规格及配置单，管理记录,运行记录,

检修记录等网络（内部信息平台）资料。

8、每年对本单位网络（内部信息平台）的效能和各电脑性能进行评价，提出网络（内部信

息平台）结构、技术和网络、管理的改进措施。

四、安全管理职责

1、保障网络（内部信息平台）畅通和信息安全。

2、严格遵守公司、省、市制定的相关法律、行政法规，严格执行《网络安全工作制度》，

以人为本，依法管理，确保网络（内部信息平台）安全有序。

3、在发生网络（内部信息平台）重大突发事件时，应立即报告，采取应急措施，尽快恢复

网络（内部信息平台）正常运行。

4、充分利用现有的安全设备设施、软件，最大限度地防止计算机病毒入侵和黑客攻击。

5、加强信息审查工作，保存，备份至少90天之内网络信息日志，及时加以分析，排查不

安定因素，防止黄色，反动信息的传播。

6、经常检查网络（内部信息平台）工作环境的防火、防盗工作。五、电脑操作人员培训制

度

五、病毒的防治管理制度

1、任何人不得在机关的局域网上制造传播任何计算机病毒，不得故意引入病毒。网络（内

部信息平台）使用者发现病毒应立即向网络管理员报告。网络管理员及时指导和协助处理病毒。

2、各部门应定期查毒，（周期为一周或者10天）管理员应及时升级病毒库，并提示各部

门对杀毒软件进行在线升级。

个人信息安全管理制度5

为确保计算机网络（内部信息平台）系统安全、高效运行和各类设备运行处于良好状态，正

确使用和维护各种设备、管理有章、职责明确，特制定本制度。

一、一般规定

1、严禁在网络服务器上安装一切与工作无关的软件。严禁将外来不明的磁盘、光盘、软件

在网络服务器上使用。严禁在网络上运行或传播一切法律法规禁止、有损公司机关形象以及涉及

公司秘密、危害公司安全的软件或图文信息。

2、无关人员不准进入机房，不准违规操作和使用机房设备，不准私自将机房设备带离机房。

需借用机房设备的机房工作人员必须上报经分管领导同意并办理有关登记手续后方可借出。

3、做好机房设备的日常维护工作，严禁在机房内吸烟，不准在机房堆放杂物和垃圾，保持

机房室内整洁。下班时，必须关闭不用的设备及电源，锁好机房门窗，方可离开。

二、值班巡视规定

1、值班由委门卫一并负责，遵照委值班规定。

2、巡视由网络管理员负责，巡视人员要遵守以下职责：

（1）要在第一时间发现隐患，并及时报告，使相关管理人员能及时赶到现场尽最大可能缩

短故障恢复时间。

(2)履行机房的各项规定，不得作与工作、业务无关的任何私事，不得擅自离开岗位。督

促进入机房人员严格遵守。

(3)负责机房的环境设备与网络(内部信息平台)系统的安全运行；

负责完成规定的日常操作和故障监测记录，简单故障的排除，负责环境设备的日常巡视。

3、巡视内容包括：

(1)网络(内部信息平台)运行设备的巡视：各服务器的CPU和内存的工作状况；

防火墙的工作状况；网站的工作状况；交换机的工作状况；客户端的网络(内部信息平台)

运行速度；认真做好记录。

(2)机房环境的巡视：机房门的关闭情况,机房的卫生状况，机房的灯光状况，机房的温

度、湿度及空气状况，认真做好记录。

(3)机房设备的巡视：对机房空调系统的.运行情况进行经常性巡视，密切注意工作负荷、

电池容量、室内温湿度等数值，以保证网络(内部信息平台)安全、正常的运行；

电柜的供电电压、电流；空调的工作状况；认真做好巡视记录。

三、日常管理规定

1、到机房工作的人员不得在机房内吃食品，饮水，吸烟或其他与工作无关的事宜。

2、到机房工作的人员严禁携带与工作无关的物品，特别是易燃、易曝、强磁、腐蚀性物体

等危险物品进入机房。

3、到机房工作的人员应严格遵守岗位责任制，不能乱动与自己工作无关的设备，严禁在机

房大声喧哗、玩电子游戏、聊天等。

4、机房内不能存放田可食品，严禁在机房内存放杂物，严禁在机房内使用其他用电器。

四、运行维护规定

1、配电柜一年进行至少两次维护检查。内容包括：清扫灰尘检杳各接点、触电的温升，松

2、机房专用空调每年进行两次巡检，维护内容：清扫及更换各过滤网、清洗或更换加湿罐、

清扫室外机、测量工作压力、测量工作电压、电流、检查下水管道是否畅通及漏水报警是否正常、

进行软化水更换。

3、机房防雷设施每年检查一次，维护内容：检测个防雷器的可靠性、检查接地状况。

4、机房每年进行两次专业保洁，维护内容：对机房的地板进行调整和清洁、对底板下、天

棚板上进行清洁。

五、安全保密规定

1、做好防雷、防火、防水、防盗、防虫害。

防雷：按公司的规定对机房的设备进行接地。每年要按公司的规定对防雷设施及设备接地进

行检测。

防火：需按公司的规定在计算机机房进行设置消防设施。设施每年要按公司规定进行检测。

防水：要经常检直机房的防漏水情况，空调、门窗及屋顶。

防盗：严格机房进出管理，门禁要24小时工作，严格执行进出机房的登记制度、严格执行

进出机房不得携带其他物品的规定。

防虫害：经常检查机房的顶棚上和地板下的封闭情况，和目在机房内在放食品，不得在机房

内堆放杂物。

2、网络(内部信息平台)运行安全管理

(1)对INTERNET网的进口要加装防火墙。防火墙的设置要经常根据需要进行调整以防入

侵。

(2)对所有服务器要安装病毒软件，要经常对防病毒软件进行升级。经常对计算机病毒进

行检测。

3、系统设备安全管理

(1)进入机房不得带拷贝工具和便携机；

(2)机房内所有服务器应设有开机密码、系统登陆密码；

(3)机房内所有服务器都应设有带密码的屏幕保护；

(4)网管人员操作后应将服务器处于锁定状态；

(5)非网管人员不得私自操作任何服务器；

(6)认真遵守公司的各项保密制度；

(7)严格遵守党和公司的保密制度。有关打印结果、存储介质及原始数据必须有本人保管。

带有密级的媒体应用时锁入保险柜中，收、发要登记。定期集中销毁废弃的涉密纸、物；

(8)需要于正常工作时之夕限用机房加班的人员，应得到主管领导的批准，并向运行值班

人员办理登记手续。机房的值班人员必须同时在场陪同；

(9)严禁与机房工作无关的人员进入机房；

(10)非机房工作人员在机房工作是必须有机房值班人员陪同；

(11)机房内各类服务器应由专人分类管理

(12)建立设备、资料责任制。

个人信息安全管理制度6

1.安全管理制度要求

1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，

特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理,

以确保网络与信息安全。

L1.1建立文件化的安全管理制度，安全管理制度文件应包括:

a）安全岗位管理制度；

b）系统操作权限管理;

c）安全培训制度；

d）用户管理制度；

e）新服务、新功能安全评估；

f）用户投诉举报处理；

g）信息发布审核、合法资质直验和公共信息巡有；

h）个人电子信息安全保护;

i）安全事件的监测、报告和应急处置制度；

j）现行法律、法规、规章、标准和行政审批文件。

1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯

2.机构要求

2.1法律责任

2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。

2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。3.人员安全

3.1安全岗位管理制度

建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包

括保密管理。

3.2关键岗位人员

3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要

求来执行，包括：

L个人身份核查：

2.个人履历的核查：

3.学历、学位、专业资质证明：

4.从事关键岗位所必须的能力

3.2.2应与关键岗位人员签订保密协议。

3.3安全培训

建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包

括：

1.上岗前的培训；

2.安全制度及其修订后的培训；

3.法律、法规的发展保持同步的继续培训。

应严格规范人员离岗过程：

a）及时终止离岗员工的所有访问权限；

b）关键岗位人员须承诺调离后的保密义务后方可离开；

c）配合公安机关工作的人员变动应通报公安机关。3.4人员离岗

应严格规范人员离岗过程：

a）及时终止离岗员工的所有访问权限；

b）关键岗位人员须承诺调离后的保密义务后方可离开；

c）配合公安机关工作的人员变动应通报公安机关。

4.访问控制管理

4.1访问管理制度

建立包括物理的和逻辑的系统访问权限管理制度。

4.2权限分配

按以下原则根据人员职责分配不同的访问权限：

a）角色分离，如访问请求、访问授权、访问管理；

b）满足工作需要的最小权限；

c）未经明确允许，则一律禁止。

4.3特殊权限限制和控制特殊访问权限的分配和使用：

a）标识出每个系统或程序的特殊权限;

b）按照“按需使用"、"一事一议”的原则分配特殊权限；

c）记录特殊权限的授权与使用过程；

d）特殊访问权限的分配需要管理层的批准。

注：特殊权限是系统超级用户、数据库管理等系统管理权限。

4.4权限的检查

定期对访问权限进行检查，对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,

如发现不恰当的权限设置,应及时予以调整。

5网络与主机系统的安全

5.1网络与主机系统的安全

应维护使用的网络与主机系统的安全，包括：

a）实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施；

b）实施7x24h网络入侵行为的预防、检测与响应措施；

c）适用时，对重要文件的完整性进行检测，并具备文件完整性受到破坏后的恢复措施；

d）对系统的脆弱性进行评估，并采取适当的措施处理相关的风险。注：系统脆弱性评估包括

采用安全扫描、渗透测试等多种方式。

5.2备份5.2.1

应建立备份策略，有足够的备份设施确保必要的信息和软件在灾难或介质故障时可以恢复。

5.2.2网络郸出服务（登录、消息发布等）应具备容灾能力。

5.3安全审计

5.3.1应记录用户活动、异常情况、故障和安全事件的日志。

5.3.2审计日志内容应包括：

a）用户注册相关信息，包括：

1）用户唯一标识；

2）用户名称及修改记录；

3）身份信息，如姓名、证件类型、证件号码等；

4）注册时间、IP地址及端口号；

5）电子邮箱地址和于机号码；

6）用户备注信息；7）用户其他信息。

b）群组、频道相关信息，包括：

1）创建时间、创建人、创建人!P地址及端口号；

2）删除时间、删除人、删除人IP地址及端口号；

3）群组组织结构；

4）群组成员列表。

c）用户登录信息，包括：

1）用户唯一标识；

2）登录时间；

3）退出时间；

4）IP地址及端口号。

d）用户信息发布日志，包括：

1）用户唯一标识；

2）信息标识；

3）信息发布时间；

4）IP地址及端口号；

5）信息标题或摘要，包括图片摘要。

e）用户行为，包括：

1）进出群组或频道；

2）修改、删除所发信息；

3）上传、下载文件。

53.3应确保审计日志内容的可溯源性，即可追溯到真实的用户ID、网络地址和协议。电子

邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送

者真实标记的消息的措施；涉及地址转换技术的服务，如移动上网、网络代理、内容分发等应审

计转换前后的地址与端口信息；涉及短网址服务的，应审计原始URL与屈URL之间的映射关

系。

5.3.4应保护审计日志，保证无法单独中断审计进程，防止删除、修改或覆盖审计日志。

5.3.5应能够根据公安机关要求留存具备指定信息访问日志的留存功能。

审计日志保存周期

a）应永久保留用户注册信息、好友列表及历史变更记录，永久记录聊天室（频道、群组）

注册信息、成员列表以及历史变更记录；

b）系统维护日志信息保存12个月以上；

c）应留存用户日志信息12个月以上;

d）对用户发布的信息内容保存6个月以上；

e）已下线的系统的日志保存周期也应符合以上规定。

6应用安全

6.1用户管理

6.1.1向用户宣传法雷去规，应在用户注册时，与用户签订服务协议，告知相关权利义务及

需承担的法律责任。

6.1.2建立用户管理制度，包括：

a）用户实名登记真实身份信息，并对用户真实身份信息进行有效核捡，有校核验方法可追

溯到用户登记的真实身份，如：

1）身份证与姓名实名验证服务：

2）有效的银彳亍卡:

3）合法、有效的数字证书：

4）已确认真实身份的网络服务的注册用户：

5）经电信运营商接入实名认证E勺用户。（如某网站采用已经实名认证的第三方账号登陆，可

认为该网站的用户已进行有效核验。）

b）应对用户注册的账号、头像和备注等信息进行审核，禁止使用违反法律法规和社会道德

的内容：

c）建立用户黑名单制度，对网站自行发现以及公安机关通报的多次、大量发送传播违法有

害信息的用户纳应入黑名单管理。

6.1.3当用户利用互联网从事的服务需要行政许可时，应查验其合法资质，查验可以通过以

下方法进行：

a）核对行政许可文件：

b）通过行政许可主管部门的公开信息：

c）通过行政许可主管部门的验证电话、验证平台。

6.2违法有害信息防范和处置

6.2.1公司采取管理与技术措施，及时发现和停止违法有害信息发布。

6.2.2公司采用人工或自动化方式，对发布的信息逐条审核。

采取技术措施过滤违法有害信息，包括且不限于：

a）基于关键词的文字信息屏蔽过滤；

b）基于样本数据特征值的文件屏蔽过滤；

c）基于URL的屏蔽过滤。

623应采取技术措施对违法有害信息的来源实施控制，防止继续传播。

注：违法有害信息、来源控制技术措施包括但不限于：封禁特定帐号、禁止新建帐号、禁止分

享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、

切断与第三方应用的互联互通等。

6.2.4公司建立7x24h信息巡有制度，及时发现并处置违法有害信息。

625建立涉嫌违法3巳罪线索、异常情况报告、安全提示和案件调差配合制度，包括：

a）对发现的.违法有害信息，立即停止发布传输，保留相关证据（包括用户注册信息、用户

登录信息、用户发布信息等记录），并向属地公安机关报告

b）对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事

件立即向属地公安机关报告，同时配合公安机关做好调查取证工作

6.2.6与公安机关建立7x24h违法有害信息快速处置工作机制，有明确URL的单条违法有

害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内

删除，相关的屏蔽过滤措施应在lCmin内生效。6.3破坏性程序防范

6.3.1实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。

6.3.2对软件下载服务提供者（包括应用软件商店），检查用户发布的软件是否是计算机病

毒等恶意代码。

7个人电子信息保护

7.1.1制定明确、清楚的个人电子信息处置规则，并且在显著位置予以公示。在用户注册时,

在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。

7.1.2湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息；收

集个人电子信息时，取得用户的明确授权同意；公司在姜个人电子信息交给第三方处理时，处理

方符合本制度标准的要求，并取得用户明确授权同意；法律、行政法规另有规定的，从其规定。

7.1.3公司在修改个人电子信息处理时，应告知用户，并取得其同意。

7.2技术措施

公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施防止个人电子信息

泄露、损毁、丢失，包括：

a）采用加密方式保存用户密码等重要信息

b）审计内部员工对涉及个人电子信息的所有操作，并对审计进行分析，预防内部员工故意

泄露

c）审计个人电子信息上载、存睹或传输，作为信息泄露，毁损，丢失的查询依据

d）建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户

访问生存周期内的各个阶段从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤

销

e）系统的安全保障技术措施覆盖个人电子信息处理的各个环节，防止网络违法犯罪活动窃

取信息，降低个人电子信息泄露的风险

7.3个人信息泄露事件的处理

a）当发现个人电子信息泄露时间后，应：

b）立即采取补救措施，防止信息继续泄露

c）24小时内告知用户，根据用户初始注册信息重新激活账户，避免造成更大的损失立即告

属地公安机关

8安全事件管理

8.1安全时间管理制度

8.1.1建立安全事件的监测、报告和应急处置制度，确保快速有效和有序地响应安全事件.

8.1.2安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。

8.2应急预案

制定安全事件应急处置预案，向属地公安机关宝贝，并定期开展应急演练。

8.3突发公共事件处理

突发公共事件分为四级：i级（特别重大）、n级（重大）、m级（较大）、iv级（一般）,

互联网交互式服务提供者应建立相应处置机制，当突发公共事件发生后，投入相应的人力与技术

措施开展处置工作：

a）I级：应投入安全管理等部门80%甚至全部人力开展处置工作；

b）II级：应投入安全管理等部门50%-80%的人力开展处置工作；

c）III级：应投入安全管理等部门30%-50%的人力开展处置工作；

d）IV级：应投入安全管理等部130%的人力开展处置工作。

8.4技术接口

公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口，能确保

实时，有效地提供相关证据。

个人信息安全管理制度7

1目标

胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主

要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

2评估依据、范围和方法

2.1评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通

知》（信安通[2006]15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统

开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要

求，开展xx单位的信息安全评估。

2.2评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务

种类相对较多、网络和业务结构较为复杂，在检杳工作中强调对基础信息系统和重点业务系统进

行安全性评估,具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管

理的组织与策略、信息系统安全运行和维护情况评估。

2.3评估方法

采用自评估方法。

3重要资产识别

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识

别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感罐和业务的服

务器进行登记汇总，形成重要资产清单。

资产清单见附表1。

4安全事件

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行;□甘、记录，形成本单位

的‘安全事件列表。安全事件列表见附表2。

5安全检查项目评估

5.1规章制度与组织管理评估

5.1.1组织懈

评估标准

信息安全组织机构包括领导机沟、工作机构。

5.1.L2现状描述

本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。

5.1.1.3评估结论

完善信息安全组织机构,成立信息安全工作机构。

5.1.2岗位职责

5.121间示准

岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的

工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。

5.122现雌述

我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；

专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。

5.1.23评估结论

本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人

员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有

实行主、副岗备用制度,在条件许可下，落实主、副岗备用制度。

5.1.3病毒管理

5.1.3.1评估标准

病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒

扫描策略（1周内至少进行一次扫描）O

5.13.2现状描述

本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下载、升级安

全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况并提交局生

技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。

5.1.3.3评估结论

完善病毒预警和报告机制，制定计算机病毒防治管理制度。

5.1.4运行管理

准

运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制

度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。

5.1.4.2现状描述

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，

没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。

5.1.43评估结论

结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维

流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。

5.1.5账号与口令管理

评估标准

制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员

账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、

文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。

现WS述

没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6

字符；管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更，但没有变更

相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。

评估结论

制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密

码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。

5.2网络与系统安全评估

5.2.1网络架构

示准

局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备售用设备，不允许勺卜联链

路绕过防火墙，具有当前准确的网络拓扑结构图。

现状描述

局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗余；没有不经过防

火墙的外联链路，有当前网络拓扑结构图。

评估结论

局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备，外联链路

没有绕过防火墙，完善网络拓扑结构图。

5.2.2网络分区

评估标准

生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。

现雌述

生产控制系统和管理信息系统之间没有进行分区，VLAN间的访问控制设置合理。

522.3i锚结论

对生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。

5.2.3网络设备

5.2.3.1评估标准

网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备HTTP、FTP、TFTP等

服务，SNMP社区串、本地用户口令强健（＞8字符，数字、字母混杂）。

5.23.2现WS述

网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了HTTP.FTP.TFTP

等服务，SNMP社区串、本地用户口令没达到要求。

5.2.33评估结论

对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健（＞8字符，数字、字

母混杂）。

5.2.4IP管理

评估标准

有IP地址管理系统，IP地址管理有规划方案和分配策略，IP地址分配有记录。

现状描述

没有IP地址管理系统，正在进行对IP地址的规划和分配，IP地址分配有记录。

5.2.43评估结论

建立IP地址管理系统，加快进行对IP地址的规划和分配JP地址分配有记录。

5.2.5补丁管理

评估标准

有补丁管理的手段拗卜丁管理制度，Windows系统主机补丁安装齐全，有补丁安装的测试

记录。

5.25.2现状描述

通过手工补丁管理手段，没有制订相应管理制度；Windows系统主机补丁安装基本齐全，

没有补丁安装的测试记录。

5.2.53评估结论

完善补丁管理的手段，制订相应管理制度；补缺Windows系统主机补丁安装，补丁安装前

进行测试记录。

5.2.6系统安全配置

示准

个人信息安全管理制度8

1、校园网的所有工作人员和用户必须遵守国家有关法律、法规，严格执行安全保密制度，

并对所提供的信息负责。

2、任何个人不得利用计算机网络从事危害国家安全、泄露国家秘密的活动;不得查阅、复

制和传播有碍社会治安和伤风败俗的信息。

3、校园网的'所有工作人员和用户必须接受并配合学校治安部门依法进行的监督检查和采取

的必要措施。

4、校园网实行统一管理、分层负责制。网络中心对校级资源进行管理，各处、室、部门管

理人员负责对各处、室、部门级资源进行管理，计算机系统管理员负责对各计算机系统的管理。

5、严禁任何用户擅自连入校园网，入网单位和个人要办理入网登记手续，并签署相应的信

息安全协议。

6、各单位设专人负责审查上网信息，严禁涉及国家机密的信息上网。

7、校园网工作人员和用户在网络上发现有碍社会治安和不健康的信息时有义务及时上报网

络管理人员并自觉进行销毁。

8、校园网各级管理机构设定网络安全员，负责相应的网络安全和