客户信息安全管理制度（34篇）

客户信息安全管理制度（34篇）

客户信息安全管理制度（精选34篇）

客户信息安全管理制度篇1

第一章总则

第一条为加强邮政行业寄递服务用户个人信息安全管理，保护

用户合法权益，维护邮政通信与信息安全，促进邮政行业健康发展，

根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络

信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政

法规和有关规定，制定本规定。

第二条在中华人民共和国境内经营和使用寄递服务涉及用户个

人信息安全的活动以及相关监督管理工作，适用本规定。

第三条本规定所称寄递服务用户个人信息（以下简称寄递用户

信息），是指用户在使用寄递服务过程中的个人信息，包括寄（收）

件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄

递详情单号、时间、物品明细等内容。

第四条寄递用户信息安全监督管理坚持安全第一、预防为主、

综合治理的方针，保障用户个人信息安全。

第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安

全监督管理工作。

省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行

业寄递用户信息安全监督管理工作。

按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮

政行业寄递用户信息安全监督管理工作。

国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及

省级以下邮政管理机构，统称为邮政管理部门。

第六条邮政管理部门应当与有关部门相互配合，健全寄递用户

信息安全保障机制，维护寄递用户信息安全。

第七条邮政企业、快递企业及其从业人员应当遵守国家有关信

息安全管理的规定及本规定，防止寄递用户信息泄露、丢失。

第二章一般规定

第八条邮政企业、快递企业应当建立健全寄递用户信息安全保

障制度和措施，明确企业内部各部门、岗位的安全责任，加强寄递

用户信息安全管理和安全责任考核。

第九条以加盟方式经营快递业务企业应当在加盟协议中订立寄

递用户信息安全保障条款，明确被加盟人与加盟人的安全责任。加

盟人发生信息安全事故时，被加盟人应当依法承担相应安全管理责

任。

第十条邮政企业、快递企业应当与其从业人员签订寄递用户信

息保密协议，明确保密义务和违约责任。

第十一条邮政企业、快递企业应当组织从业人员进行寄递用户

信息安全保护相关知识、技能培训，加强职业道德教育，不断提高

从业人员的法制观念和责任意识。

第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉

处理机制，公布有效联系方式，接受并及时处理有关投诉。

第十三条邮政企业、快递企业受网络购物、电视购物和邮购等

经营者委托提供寄递服务的，在与委托方签订协议时，应当订立寄

递用户信息安全保障条款，明确信息使用范围和方式、信息交换安

全保护措施、信息泄露责任划分等内容。

第十四条邮政企业、快递企业委托第三方录入寄递用户信息的,

应当确认其具有信息安全保障能力，并订立信息安全保障条款，明

确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢

失的，邮政企业、快递企业应当依法承担相应责任。

第十五条未经法律明确授权或者用户书面同意，邮政企业、快

递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位

或者个人。

第十六条公安机关、国家安全机关或者检察机关的工作人员依

照法律规定程序调阅、检查寄递详情单实物及电子信息档案，邮政

企业、快递企业应当配合，并对有关情况予以保密。

第十七条邮政企业、快递企业应当建立寄递用户信息安全应急

处置机制。对于突发的寄递用户信息安全事故，应当立即采取补救

措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部

门的调查处理工作，不得迟报、漏报、谎报、瞒报。

第三章寄递详情单实物信息安全管理

确保档案完整无损，并做好查阅登记，不得私自携带离开存放地。

第二十六条寄递详情单实物档案应当按照国家相关标准规定的

期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严

禁丢弃或者贩卖。

第二十七条邮政企业、快递企业应当对实物信息安全保障情况

进行定期自查，记录自查情况，及时消除自查中发现的信息安全隐

患。

客户信息安全管理制度篇2

一、网络资源和服务器由信息系统管理员统一进行规划、管理

和监督。

二、服务器及个人用机的管理：

1、各部门及以上服务器必须指定专人负责管理，并在信息系统

管理员处备案，未经授权，非管理员不得对其进行操作。

2、各部门及以上的服务器管理员有责任对其负责的服务器进行

例行检查，包括：服务器的CPU、内存、硬盘等资源利用情况；服

务器上运行的服务使用情况；服务器上运行的杀毒软件的及时更新;

3、服务器管理员要做好服务器的备份工作，至少每季度有一份

完整备份，重要数据及时备份。信息系统管理员有责任监督、协调

其备份工作。

4、个人和各部门未经服务器管理员批准不得私自设立服务器。

5、服务器管理员每月定期对服务器做一次全面检查，并填写服

务器检查日志。

6、服务器管理员每季度需修改服务器密码一次。当服务器管理

员有变更时，管理员密码需及时更改。

7、各部门所有人员应自行维护电脑的正常使用，并按照要求进

行设置及及时进行补丁更新，不得擅自退出域、去除域管理员权限、

修改主机名、修改IP等。

三、IP地址的管理：

1、IP地址由服务器管理员统一规划管理。未经许可，不得擅

自更改任何设备的IP地址。

2、我项目部申请的公网IP任何人不得私用。

3、工作需要公网IP,需申请上级领导批准后，方可使用。

4、公司公网IP使用无工作需要时，立即停止使用，并通知服

务器管理员收回。

客户信息安全管理制度篇3

为加强计算机的安全监察工作，预防和控制计算机病毒，保障

计算机系统的正常运行，根据公司有关规定，结合实际情况，制定

本制度。

一、凡在本网站所辖计算机进行操作、运行、管理、维护、使

用计算机系统以及购置，维修计算机及其软件的部门，必须遵守本

办法。

二、本办法所称计算机病毒，是指编制或者在计算机程序中插

入的破坏计算机系统功能或者毁坏数据，影响计算机使用，并能自

我复制的一组计算机指令或者程序代码。

三、任何工作人员不得制作和传播计算机病毒。

四、任何工作人员不得有下列传播计算机病毒的行为：

1、故意输入计算机病毒，危害计算机信息系统安全。

2、向计算机应用部门提供含有计算机病毒的文件、软件、媒体。

3、购置和使用含有计算机病毒的媒体。

五、预防和控制计算机病毒的安全管理工作，由我部信息安全

协调科负责实施，其主要职责是：

1、制定计算机病毒防治管理制度和技术规程，并检查执行情况;

2、培训计算机病毒防治管理人员外；

3、采取计算机病毒安全技术防治措施；

4、对网站计算机信息系统应用和使用人员进行计算机病毒防治

教育和培训；

5、及时检测、清除计算机系统中的计算机病毒，并做好检测、

清除的记录；

6、购置和使用具有计算机信息系统安全专用产品销售许可证的

计算机病毒防治产品；

7、向公安机关报告发现的计算机病毒，并协助公安机关追查计

算机病毒的来源。

8、对因计算机病毒引起的计算机信息系统瘫痪，程序和数据严

重破坏等重大事故及时向公安机关报告人，并保护现场。

9、计算机安全管理部门应加强对计算机操作人员的审查，并

定期进行安全教育和培训。

10、计算机信息系统应用部门应建立计算机运行记录制度，未

经审定的任何程序，指令或数据，不得输入计算机系统运行。

11、计算机安全管理部门应对引起的计算机及其软件进行计算

机病毒检测，发现染有计算机病毒的，应采取措施加以消除，在未

消除病毒之前不准投入使用。

12、通过网络进行电子邮件或文件传输，应及时对传输媒体进

行病毒检测，接收到邮件时也要及时进行病毒检测，以防止计算机

病毒的传播。

13、任何部门和个人不得从事下列活动：

⑴收集、研究有害数据；

(2)出版、刊登、讲解、出租有害数据原理，源程序的书籍，资

料或文章；

⑶复制有害数据的检测，清除工具

六、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒

并传播者，第一次给予警告、第二次给予通报批评，第三次及以上

将给予通报批评并进行100-200元/次的处罚。

七、积极接受公安机关对计算机病毒防治管理工作的监督，检

查和指导。

客户信息安全管理制度篇4

第一章总则

第一条为加强邮政行业寄递服务用户个人信息安全管理，保护

用户合法权益，维护邮政通信与信息安全，促进邮政行业健康发展,

根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络

信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政

法规和有关规定，制定本规定。

第二条在中华人民共和国境内经营和使用寄递服务涉及用户个

人信息安全的活动以及相关监督管理工作，适用本规定。

第三条本规定所称寄递服务用户个人信息（以下简称寄递用户

信息），是指用户在使用寄递服务过程中的个人信息，包括寄（收）

件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄

递详情单号、时间、物品明细等内容。

第四条寄递用户信息安全监督管理坚持安全第一、预防为主、

综合治理的方针，保障用户个人信息安全。

第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安

全监督管理工作。

省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行

业寄递用户信息安全监督管理工作。

按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮

政行业寄递用户信息安全监督管理工作。

国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及

省级以下邮政管理机构，统称为邮政管理部门。

第六条邮政管理部门应当与有关部门相互配合，健全寄递用户

信息安全保障机制，维护寄递用户信息安全。

第七条邮政企业、快递企业及其从业人员应当遵守国家有关信

息安全管理的规定及本规定，防止寄递用户信息泄露、丢失。

第二章一般规定

第八条邮政企业、快递企业应当建立健全寄递用户信息安全保

障制度和措施，明确企业内部各部门、岗位的安全责任，加强寄递

用户信息安全管理和安全责任考核。

第九条以加盟方式经营快递业务企业应当在加盟协议中订立寄

递用户信息安全保障条款，明确被加盟人与加盟人的安全责任。加

盟人发生信息安全事故时，被加盟人应当依法承担相应安全管理责

任。

第十条邮政企业、快递企业应当与其从业人员签订寄递用户信

息保密协议，明确保密义务和违约责任。

第十一条邮政企业、快递企业应当组织从业人员进行寄递用户

信息安全保护相关知识、技能培训，加强职业道德教育，不断提高

从业人员的法制观念和责任意识。

第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉

处理机制，公布有效联系方式，接受并及时处理有关投诉。

第十三条邮政企业、快递企业受网络购物、电视购物和邮购等

经营者委托提供寄递服务的，在与委托方签订协议时，应当订立寄

递用户信息安全保障条款，明确信息使用范围和方式、信息交换安

全保护措施、信息泄露责任划分等内容。

第十四条邮政企业、快递企业委托第三方录入寄递用户信息的,

应当确认其具有信息安全保障能力，并订立信息安全保障条款，明

确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢

失的，邮政企业、快递企业应当依法承担相应责任。

第十五条未经法律明确授权或者用户书面同意，邮政企业、快

递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位

或者个人。

第十六条公安机关、国家安全机关或者检察机关的工作人员依

照法律规定程序调阅、检查寄递详情单实物及电子信息档案，邮政

企业、快递企业应当配合，并对有关情况予以保密。

第十七条邮政企业、快递企业应当建立寄递用户信息安全应急

处置机制。对于突发的寄递用户信息安全事故，应当立即采取补救

措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部

门的调查处理工作，不得迟报、漏报、谎报、瞒报。

第三章寄递详情单实物信息安全管理

第十八条邮政企业、快递企业应当加强寄递详情单管理，对空

白寄递详情单发放情况进行登记，对号段进行全程跟踪，形成跟踪

记录。

第十九条邮政企业、快递企业应当加强营业场所、处理场所管

理，严禁无关人员进出邮件（快件）处理、存放场地，严禁无关人

员接触、翻阅邮件（快件），防止寄递详情单实物信息（以下简称

实物信息）在处理过程中泄露。

第二十条邮政企业、快递企业应当优化寄递处理流程，减少接

触实物信息的处理环节和操作人员。

第二十一条邮政企业、快递企业应当采用有效技术手段，防止

实物信息在寄递过程中泄露。

第二十二条邮政企业、快递企业应当配备符合国家标准的安全

监控设备，安排具有专门技术和技能的人员，对收寄、分拣、运输、

投递等环节的实物信息处理进行安全监控。

第二十三条邮政企业、快递企业应当建立健全寄递详情单实物

档案管理制度，实行集中封闭管理，确定集中存放地，及时回收寄

递详情单妥善保管。设立、变更集中存放地，应当及时报告所在地

邮政管理部门。

第二十四条邮政企业、快递企业应当对寄递详情单实物档案集

中存放地设专人管理，采取必要的安全防护措施，确保存储安全。

第二十五条邮政企业、快递企业应当建立并严格执行寄递详情

单实物档案查询管理制度。内部人员因工作需要查阅档案时，应当

确保档案完整无损，并做好查阅登记，不得私自携带离开存放地。

第二十六条寄递详情单实物档案应当按照国家相关标准规定的

期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严

禁丢弃或者贩卖。

第二十七条邮政企业、快递企业应当对实物信息安全保障情况

进行定期自查，记录自查情况，及时消除自查中发现的信息安全隐

患。

第四章寄递详情单电子信息安全管理

第二十八条邮政企业、快递企业应当按照国家规定，加强寄递

服务用户信息相关信息系统和网络设施的安全管理。

第二十九条邮政企业、快递企业信息系统的网络架构应当符合

国家信息安全管理规定，合理划分安全区域，实现各安全区域之间

有效隔离，并具有防范、监控和阻断来自内部和外部网络攻击破坏

的能力。

第三十条邮政企业、快递企业应当配备必要的防病毒软件、硬

件，确保信息系统和网络具有防范计算机病毒的能力，防止恶意代

码破坏信息系统和网络，避免信息泄露或者被篡改。

第三十一条邮政企业、快递企业构建信息系统和网络，应当避

免使用信息系统和网络供应商提供的默认密码、安全参数，并对通

过开放公共网络传输的寄递用户信息采取加密措施，严格审查并监

控对信息系统、网络设备的远程访问。

第三十二条邮政企业、快递企业在采购计算机软件、硬件产品

或者技术服务时，应当与供应商签订保密协议，明确其安全责任，

以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义

务。

第三十三条邮政企业、快递企业应当建立信息系统安全内部审

计制度，定期开展内部审计，对发现的问题及时整改。

第三十四条邮政企业、快递企业应当加强信息系统及网络的权

限管理，基于权限最小化和权限分离原则，向从业人员分配满足工

作需要的最小操作权限和可访问的最小信息范围。

邮政企业、快递企业应当加强对信息系统和数据库的管理，使

网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化

的权限。网络管理人员的维护操作须经安全管理员授权，并受到安

全审计员的监控和审计。

第三十五条邮政企业、快递企业应当加强信息系统密码管理，

使用高安全级别密码策略，定期更换密码，禁止将密码透露给无关

人员。

第三十六条邮政企业、快递企业应当加强寄递用户电子信息的

存储安全管理，包括：

（一）使用独立物理区域存储寄递用户信息，禁止非授权人员

进出该区域；

（二）采用加密方式存储寄递用户信息；

（三）确保安全使用、保管和处置存有寄递用户信息的计算机、

移动设备和移动存储介质。明确管理数据存储设备、介质的负责人,

建立设备、介质使用和借用登记制度，限制设备输出接口的使用。

存储设备和介质报废的，应当及时删除其中的寄递用户信息数据，

并销毁硬件。

第三十七条邮政企业、快递企业应当加强寄递用户信息的应用

安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行

审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点

和事项，留作信息安全审计依据。

第三十八条邮政企业、快递企业应当加强对离岗人员的信息安

全审计，及时删除或者禁用离岗人员系统账户。

第三十九条邮政企业、快递企业应当制定本企业与市场相关主

体的信息系统安全互联技术规则，对存储寄递服务信息的信息系统

实行接入审查，定期进行安全风险评估。

第五章监督管理

第四十条邮政管理部门依法履行下列职责：

（一）制定保障寄递用户信息安全的政策、制度和相关标准，

并监督实施；

（二）监督、指导邮政企业、快递企业落实信息安全责任制，

督促企业加强寄递用户信息安全管理；

（三）对寄递用户信息安全进行监测、预警和应急管理；

（四）监督、指导邮政企业、快递企业开展寄递用户信息安全

宣传教育和培训；

（五）依法对邮政企业、快递企业实施寄递用户信息安全监督

检查；

（六）组织调查或者参与调查寄递用户信息安全事故，依法查

处违反寄递用户信息安全管理规定的行为；

（七）法律、行政法规和规章规定的其他职责。

第四十一条邮政管理部门应当加强邮政行业寄递用户信息安全

管理制度和知识的宣传，强化邮政企业、快递企业及其从业人员的

信息安全管理意识，提高用户对个人信息安全保护的认识。

第四十二条邮政管理部门应当加强邮政行业寄递用户信息安全

运行的监测预警，建立信息管理体系，收集、分析与信息安全有关

的各类信息。

下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行

业寄递用户信息安全情况，并根据需要通报工业和信息化、通信管

理、公安、国家安全、商务和工商行政管理等相关部门。

第四十三条邮政管理部门应当对邮政企业、快递企业建立和执

行寄递用户信息安全管理制度，规范从业人员信息安全保护行为，

防范信息安全风险等情况进行检查。

第四十四条邮政管理部门发现邮政企业、快递企业存在违反寄

递用户信息安全管理规定，妨害或者可能妨害寄递用户信息安全的,

应当依法进行调查处理。违法行为涉及其他部门管理职权的，邮政

管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处

理。

第四十五条邮政管理部门应当加强对邮政企业、快递企业及其

从业人员遵守本规定情况的监督检查。

第四十六条邮政企业、快递企业拒不配合寄递用户信息安全监

督检查的，依照《中华人民共和国邮政法》第七十七条的规定予以

处罚。

第四十七条邮政企业、快递企业及其从业人员因泄露寄递用户

信息对用户造成损失的，应当依法予以赔偿。

第四十八条邮政企业、快递企业及其从业人员违法提供寄递用

户信息，尚未构成犯罪的，依照《中华人民共和国邮政法》第七十

六条的规定予以处罚。构成犯罪的，移送司法机关追究刑事责任。

第四十九条任何单位和个人有权向邮政管理部门举报违反本规

定的行为。邮政管理部门接到举报后，应当依法及时处理。

第五十条邮政管理部门可以在行业内通报邮政企业、快递企业

违反寄递用户信息安全管理规定行为、信息安全事件，以及对有关

责任人员进行处理的情况。必要时可以向社会公布上述信息，但涉

及国家秘密、商业秘密和个人隐私的除外。

第五十一条邮政管理部门及其工作人员对在履行职责过程中知

悉的寄递用户信息应当保密，不得泄露、篡改或者损毁，不得出售

或者非法向他人提供。

第五十二条邮政管理部门工作人员在寄递用户信息安全监督管

理工作中滥用、玩忽职守，依照《邮政行业安全监督管理办法》第

五十五条的规定予以处理。

第六章附则

第五十三条本规定自发布之日起施行。

客户信息安全管理制度篇5

第一章总则

第一条为加强公司计算机和信息系统（包括涉密信息系统和非

涉密信息系统）安全保密管理，确保国家秘密及商业秘密的安全，

根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

第二条本规定所称涉密信息系统是指由计算机及其相关的配套

设备、设施构成的，按照一定的应用目标和规定存储、处理、传输

涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、

用户终端等内容。

第三条涉密信息系统的建设和应用要本着“预防为主、分级负

责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使

用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的

原则，确保涉密信息系统和国家秘密信息安全。

第四条涉密信息系统安全保密防护必须严格按照国家保密标准、

规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;

未通过国家审批的涉密信息系统，不得投入使用。

第五条本规定适用于公司所有计算机和信息系统安全保密管理

工作。

第二章管理机构与职责

第六条公司法人代表是涉密信息系统安全保密第一责任人，确

保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条

件保障，督促检查领导责任制落实。

第七条公司保密委员会是涉密信息系统安全保密管理决策机构,

其主要职责：

（一）建立健全安全保密管理制度和防范措施，并监督检查落

实情况；

（二）协调处理有关涉密信息系统安全保密管理的重大问题，

对重大失泄密事件进行查处。

第八条成立公司涉密信息系统安全保密领导小组，保密办、科

技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、

武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密

委员会领导下，组织协调公司涉密信息系统安全保密管理工作。

第九条保密办主要职责：

（一）拟定涉密信息系统安全保密管理制度，并组织落实各项

保密防范措施；

（二）对系统用户和安全保密管理人员进行资格审查和安全保

密教育培训，审查涉密信息系统用户的职责和权限，并备案；

（三）组织对涉密信息系统进行安全保密监督检查和风险评估,

提出涉密信息系统安全运行的保密要求；

（四）会同科技信息部对涉密信息系统中介质、设备、设施的

授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信

息系统安全措施进行一次评审；

（五）对涉密信息系统设计、施工和集成单位进行资质审查，

对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对

涉密信息系统进行安全保密性能检测；

（六）对涉密信息系统中各应用系统进行定密、变更密级和解

密工作进行审核；

（七）组织查处涉密信息系统失泄密事件。

第十条科技信息部、财会部主要职责是：

（一）组织、实施涉密信息系统的规划、设计、建设，制定安

全保密防护方案；

（二）落实涉密信息系统安全保密策略、运行安全控制、安全

验证等安全技术措施；每半年对涉密信息系统进行风险评估，提出

整改措施，经涉密信息系统安全保密领导小组批准后组织实施，确

保安全技术措施有效、可靠；

（三）落实涉密信息系统中各应用系统进行用户权限设置及介

质、设备、设施的授权使用、保管以及维护等安全保密管理措施；

（四）配备涉密信息系统管理员、安全保密管理员和安全审计

员，并制定相应的职责；“三员”角色不得兼任，权限设置相互独

立、相互制约；“三员”应通过安全保密培训持证上岗；

（五）落实计算机机房、配线间等重要部位的安全保密防范措

施及网络的安全管理，负责日常业务数据及其他重要数据的备份管

理；

（六）配合保密办对涉密信息系统进行安全检查，对存在的隐

患进行及时整改；

（七）制定应急预案并组织演练，落实应急措施，处理信息安

全突发事件。

第十一条党政办公室主要职责：

按照国家密码管理的相关要求，落实涉密信息系统中普密设备

的管理措施。

第十二条相关业务部门、单位主要职责：涉密信息系统的使用

部门、单位要严格遵守保密管理规定，教育员工提高安全保密意识,

落实涉密信息系统各项安全防范措施；准确确定应用系统密级，制

定并落实相应的二级保密管理制度。

第十三条涉密信息系统配备系统管理员、安全保密管理员、安

全审计员，其职责是：

（一）系统管理员负责系统中软硬件设备的运行、管理与维护

工作，确保信息系统的安全、稳定、连续运行。系统管理员包括网

络管理员、数据库管理员、应用系统管理员。

（二）安全保密管理员负责安全技术设备、策略实施和管理工

作，包括用户帐号管理以及安全保密设备和系统所产生日志的审查

分析。

（三）安全审计员负责安全审计设备安装调试，对各种系统操

作行为进行安全审计跟踪分析和监督检查，以及时发现违规行为，

并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。

第三章系统建设管理

第十四条规划和建设涉密信息系统时，按照涉密信息系统分级

保护标准的规定，同步规划和落实安全保密措施，系统建设与安全

保密措施同计划、同预算、同建设、同验收。

第十五条涉密信息系统规划和建设的安全保密方案，应由具有

“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编

制，安全保密方案必须经上级保密主管部门审批后方可实施。

第十六条涉密信息系统规划和建设实施时，应由具有“涉及国

家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与

实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同

组织验收。

第十七条对涉密信息系统要采取与密级相适应的保密措施，配

备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉

密信息系统使用的软件产品必须是正版软件。

客户信息安全管理制度篇6

一、总则

为了加强公司内所有信息安全的管理，让大家充分运用计算机

来提高工作效率，特制定本制度。

二、计算机管理要求

1、IT管理员负责公司内所有计算机的管理，各部门应将计算

机负责人名单报给IT管理员，IT管理员（填写《计算机IP地址分

配表》）进行备案管理。如有变更，应在变更计算机负责人一周内

向IT管理员申请备案。

2、公司内所有的计算机应由各部门指定专人使用，每台计算机

的使用人员均定为计算机的负责人，如果其他人要求上机（不包括

IT管理员），应取得计算机负责人的同意，严禁让外来人员使用工

作计算机，出现问题所带来的一切责任应由计算机负责人承担。

3、计算机设备未经IT管理员批准同意，任何人不得随意拆卸

更换；如果计算机出现故障，计算机负责人应及时向IT管理员报告,

IT管理员查明故障原因，提出整改措施，如属个人原因，对计算机

负责人做出处罚。

4、日常保养内容：

A、计算机表面保持清洁

B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性；

C、下班不用时，应关闭主机电源。

5、计算机IP地址和密码由IT管理员指定发给各部门，不能擅

自更换。计算机系统专用资料（软件盘、系统盘、驱动盘）应由专

人进行保管，不得随意带出公司或个人存放。

6、禁止将公司配发的计算机非工作原因私自带走或转借给他人,

造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式

化操作。

7、计算机的内部调用：

A、IT管理员根据需要负责计算机在公司内的调用，并按要求

组织计算机的迁移或调换。

B、计算机在公司内调用，IT管理员应做好调用记录，《调用

记录单》经副总经理签字认可后交IT管理员存档。

8、计算机报废：

A、计算机报废，由使用部门提出，IT管理员根据计算机的使

用、升级情况，组织鉴定，同意报废处理的，报部门经理批准后按

《固定资产管理规定》到财务部办理报废手续。

B、报废的计算机残件由IT管理员回收，组织人员一次性处理。

C、计算机报废的条件：

1）主要部件严重损坏，无升级和维修价值；

2）修理或改装费用超过或接近同等效能价值的设备。

三、环境管理

1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。

2、应尽量保持计算机周围环境的整洁，不要将影响使用或清洁

的用品放在计算机周围。

3、服务器机房内应做到干净、整洁、物品摆放整齐；非主管维

护人员不得擅自进入。

客户信息安全管理制度篇7

第一章总则

第一条信息安全保密工作是公司运营与发展的基础，是保障客

户利益的基础，为给信息安全工作提供清晰的指导方向，加强安全

管理工作，保障各类系统的安全运行，特制定本管理制度。

第二条本制度适用于分、支公司的信息安全管理。

第二章计算机机房安全管理

第三条计算机机房的建设应符合相应的国家标准。

第四条为杜绝火灾隐患，任何人不许在机房内吸烟。严禁在机

房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火

装置的性能、特点，熟练使用机房配备的灭火器材。机房消防系统

白天置手动，下班后置自动状态。一旦发生火灾应及时报警并采取

应急措施。

第五条为防止水患，应对上下水道、暖气设施定期检查，及时

发现并排除隐患。

第六条机房无人值班时，必须做到人走门锁;机房值班人员应对

进入机房的人员进行登记，未经各级领导同意批准的人员不得擅自

进入机房。

第七条为杜绝啮齿动物等对机房的破坏，机房内应采取必要的

防范措施，任何人不许在机房内吃东西，不得将食品带入机房。

第八条系统管理员必须与业务系统的操作员分离，系统管理员

不得操作业务系统。应用系统运行人员必须与应用系统开发人员分

离，运行人员不得修改应用系统源代码。

第三章计算机网络安全保密管理

第九条采用入侵检测、访问控制、密钥管理、安全控制等手段,

保证网络的安全。

第十条对涉及到安全性的网络操作事件进行记录，以进行安全

追查等事后分析，并建立和维护“安全日志”，其内容包括：

1、记录所有访问控制定义的变更情况。

2、记录网络设备或设施的启动、关闭和重新启动情况。

3、记录所有对资源的物理毁坏和威胁事件。

4、在安全措施不完善的情况下，严禁公司业务网与互联网联接。

第十一条不得随意改变例如ip地址、主机名等一切系统信息。

第四章应用软件安全保密管理

第十二条各级运行管理部门必须建立科学的、严格的软件运行

管理制度。

第十三条建立软件复制及领用登记簿，建立健全相应的监督管

理制度，防止软件的非法复制、流失及越权使用，保证计算机信息

系统的安全；

第十四条定期更换系统和用户密码，前台（各应用部门）用户要

进行动态管理，并定期更换密码。

第十五条定期对业务及办公用pc的操作系统及时进行系统补丁

升级，堵塞安全漏洞。

第十六条不得擅自安装、拆卸或替换任何计算机软、硬件，严

禁安装任何非法或盗版软件。

第十七条不得下载与工作无关的任何电子文件，严禁浏览黄色

或高风险等非法网站。

第十八条注意防范计算机病毒，业务或办公用PC要每天更新病

毒库。

客户信息安全管理制度篇8

一、提高安全认识，禁止非工作人员操纵系统主机，不使用系

统主机时，应注意锁屏。

二、每周检查主机登录日志，及时发现不合法的登录情况。

三、对网络（内部信息平台）管理员，系统管理员和系统操作

员所用口令每十五天更换一次，口令要无规则，重要口令要多于八

位。

四、加强口令管理，对文件用隐性密码方式保存，确认所有帐

号都有口令，当系统中的帐号不再被使用时，应立即从相应的数据

库中清除。

五、网络（内部信息平台）管理员、系统管理员调离岗位后一

小时内由接任人员监督检查更换新的密码。

第六项病毒检测和网络安全漏洞检测制度

一、网络（内部信息平台）的服务器，具有合法权限的用户才

能进行相应权限范围内的操作，任何其他非法操作都属于入侵行为。

二、所有用户，不准扫描端口，不准猜测和扫描其他用户的密

码，不准猜测和扫描网络（内部信息平台）的服务器和交换设备的

口令。

三、系统管理员应定期检查服务器的系统日志，如发现有入侵

情况，应用时采取措施，保留原始数据，以便进行调查取证，并向

委领导汇报，做好入侵情况登记。

四、服务器如果发现漏洞要及时修补漏洞或进行系统升级。

五、要定期对网站进行网络（内部信息平台）数据包的监控，

及时发现和网络（内部信息平台）运行情况，全面监视对公开服务

器的访问，及时发现和拒绝不安全的操作和黑客攻击行为，阻止网

络（内部信息平台）内外的入侵。

六、网络（内部信息平台）信息安全员履行对所有上网信息进

行审查的职责，根据需要采取措施，监视、记录、检测、制止、查

处、防范针对其所管辖网络（内部信息平台）或入网计算机的人或

事。

七、所有用户有责任对所发现或发生的违反有关法律，法规和

规章制度的人或事予以制止或向我部信息安全协调科反映、举报，

协助有关部门或管理人员对上述人或事进行调查、取证、处理，应

该向调查人员如实提供所需证据。

八、网络（内部信息平台）管理员应根据实际情况和需要采用

新技术调整网络（内部信息平台）结构，系统功能，变更系统参数

和使用方法，及时排除系统隐患。

客户信息安全管理制度篇9

1、管理员负责公司内所有计算机的管理，各部门应将计算机负

责人名单报给管理员，管理员（填写《计算机地址分配表》）进行备

案管理。如有变更，应在变更计算机负责人一周内向管理员申请备

案。

2、公司内所有的计算机应由各部门指定专人使用，每台计算机

的使用人员均定为计算机的负责人，如果其他人要求上机（不包括管

理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算

机，出现问题所带来的一切责任应由计算机负责人承担。

3、计算机设备未经管理员批准同意，任何人不得随意拆卸更换;

如果计算机出现故障，计算机负责人应及时向管理员报告，管理员

查明故障原因，提出整改措施，如属个人原因，对计算机负责人做

出处罚。

4、日常保养内容

A、计算机表面保持清洁。

B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性。

C、下班不用时，应关闭主机电源。

5、计算机地址和密码由管理员指定发给各部门，不能擅自更换。

计算机系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管,

不得随意带出公司或个人存放。

6、禁止将公司配发的计算机非工作原因私自带走或转借给他人,

造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式

化操作。

7、计算机的内部调用

A、管理员根据需要负责计算机在公司内的调用，并按要求组织

计算机的迁移或调换。

B、计算机在公司内调用，管理员应做好调用记录，《调用记录

单》经副总经理签字认可后交管理员存档。

8、计算机报废

A、计算机报废，由使用部门提出，管理员根据计算机的使用、

升级情况，组织鉴定，同意报废处理的，报部门经理批准后按《固

定资产管理规定》到财务部办理报废手续。

B、报废的计算机残件由管理员回收，组织人员一次性处理。

C、计算机报废的条件：

(1)主要部件严重损坏，无升级和维修价值。

(2)修理或改装费用超过或接近同等效能价值的设备。

客户信息安全管理制度篇10

为维护公司信息安全，保证公司网络环境的稳定，特制定本制

度。

第一条信息安全是指通过各种计算机、网络(内部信息平台)

和密码技术，保护信息在传输、交换和存储过程中的机密性、完整

性和真实性。具体包括以下几个方面。

1、信息处理和传输系统的安全。系统管理员应对处理信息的系

统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对

系统内存储、处理和传输的信息造成破坏和损失。

2、信息内容的安全。侧重于保护信息的机密性、完整性和真实

性。系统管理员应对所负责系统的安全性进行评测，采取技术措施

对所发现的漏洞进行补救，防止窃取、冒充信息等。

3、信息传播安全。要加强对信息的审查，防止和控制非法、有

害的信息通过本公司的信息网络（内部信息平台）系统传播，避免

对公司利益、公共利益以及个人利益造成损害。

第二条信息的内部管理

1、各部门在向网络（内部信息平台）系统提交信息前要作好查

毒、杀毒工作，确保信息文件无毒上载；

2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀

毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；

3、各信息应用部门对本部门所负责的信息必须作好备份；

4、各部门应对本部门的信息进行审查，网站各栏目信息的负责

部门必须对发布信息制定审查制度，对信息来源的合法性，发布范

围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随

时检查信息的完整性、合法性；如发现被删改，应及时向信息安全

部门报告；

5、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也

要实行病毒查杀。

第四条信息加密

1、涉及公司秘密的信息，其电子文档资料应当在涉密介质中加

密单独存储；

2、涉及公司和部门利益的敏感信息的电子文档资料应当在涉密

介质中加密单独存储；

第五条任何部门和个人不得从事以下活动：

1、利用信息网络系统制作、传播、复制有害信息；

2、入侵他人计算机；

3、未经允许使用他人在信息网络系统中未公开的信息；

4、未经授权对网络（内部信息平台）系统中存储、处理或传输

的信息（包括系统文件和应用程序）进行增加、修改、复制和删除

等；

5、未经授权查阅他人邮件；

6、盗用他人名义发送电子邮件；

7、故意干扰网络（内部信息平台）的畅通运行；

8、从事其他危害信息网络（内部信息平台）系统安全的.活动。

客户信息安全管理制度篇11

一、计算机设备管理制度

1、计算机的使用部门要保持清洁、安全、良好的计算机设备工

作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁

性等有害计算机设备安全的物品。

2、非本单位技术人员对我单位的设备、系统等进行维修、维护

时，必须由公司相关技术人员现场全程监督。计算机设备送外维修,

须经有关部门负责人批准。

3、严格遵守计算机设备使用、开机、关机等安全操作规程和正

确的使用方法。任何人不允许带电插拔计算机外部设备接口，计算

机出现故障时应及时向IT部门报告，不允许私自处理或找非本单位

技术人员进行维修及操作。

二、操作员安全管理制度

（一）操作代码是进入各类应用系统进行业务操作、分级对数

据存取进行控制的代码。操作代码分为系统管理代码和一般操作代

码。代码的设置根据不同应用系统的要求及岗位职责而设置；

（二）系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得；

2、系统管理员负责各项应用系统的环境生成、维护，负责一般

操作代码的生成和维护，负责故障恢复等管理及维护；

3、系统管理员对业务系统进行数据整理、故障恢复等操作，必

须有其上级授权；

4、系统管理员不得使用他人操作代码进行业务操作；

5、系统管理员调离岗位，上级管理员（或相关负责人）应及时

注销其代码并生成新的系统管理员代码；

（三）一般操作代码的设置与管理

1、一般操作码由系统管理员根据各类应用系统操作要求生成,

应按每操作用户一码设置。

2、操作员不得使用他人代码进行业务操作。

3、操作员调离岗位，系统管理员应及时注销其代码并生成新的

操作员代码。

三、密码与权限管理制度

1、密码设置应具有安全性、保密性，不能使用简单的代码和标

记。密码是保护系统和数据安全的控制代码，也是保护用户自身权

益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆

系统时所设的密码，操作密码是进入各应用系统的操作员密码。密

码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数

字和字符串；

2、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑

密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时

间、修改人等内容。

3、服务器、路由器等重要设备的超级用户密码由运行机构负责

人指定专人（不参与系统开发和维护的人员）设置和管理，并由密

码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后

交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,

必须经过相关部门负责人同意，由密码使用人员向密码管理人员索

取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”

中登记。

4、系统维护用户的密码应至少由两人共同设置、保管和使用。

5、有关密码授权工作人员调离岗位，有关部门负责人须指定专

人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”

中登记。

客户信息安全管理制度篇12

为保证计算机的正常运行，确保计算机安全运行，制定本制度。

一、管理范围划分

本公司计算机分为涉密和非涉密两部分，涉密计算机指主要用

于储存或传输有关人事、财务、经济运行、信息安全等涉及企业经

营管理信息的计算机。非涉密计算机指用于储存或传输日常办公资

料信息计算机。信息技术部、关务部、财务部计算机按照涉密要求

进行管理。

二、非涉密计算机日常管理

1、各部门的计算机，操作人为管理第一责任人，承担公司计算

机操作的管理、保密和安全，以防止误操作造成系统紊乱、文件丢失

等故障。

2、计算机主要是用于业务数据的处理及信息传输，提高工作效

率。严禁上班时间用计算机玩游戏及运行一切与工作无关的软件。

3、新购的计算机、初次使用的软件、数据载体应经我部计算机

管理员检测，确认无病毒和有害数据后，方可投入使用。

4、计算机操作人员发现本部门的计算机感染病毒，应立即中断

运行，并与计算机管理员联系及时消除。

5、爱护机关计算机设备，保持计算机设备的干净整洁。

三、涉密计算机日常管理

1、涉密的计算机内的重要文件由专人集中加密保存，不得随意

复制和解密，未经加密的重要文件不能存放在与国际联网的计算机上。

2、对需要保存的涉密信息，可到信息安全科转存到光盘或其他

可移动的介质上。存储涉密信息的介质应当按照所存储信息的最高

密级标明密级，并按相应密级的文件管理。

3、对信息载体（软盘、光盘等）及计算机处理的业务报表、技术

数据、图纸要有专人负责保存，按规定使用、借阅、移交、销毁。

客户信息安全管理制度篇13

1、存放备份数据的介质必须具有明确的标识。备份数据必须异

地存放，并明确落实异地备份数据的管理职责；

2、注意计算机重要信息资料和数据存储介质的存放、运输安全

和保密管理，保证存储介质的物理安全。

3、任何非应用性业务数据的使用及存放数据的设备或介质的调

拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备

份数据安全完整。

4、数据恢复前，必须对原环境的数据进行备份，防止有用数据

的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题

时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确

认，确保数据恢复的完整性和可用性。

5、数据清理前必须对数据进行备份，在确认备份正确后方可进

行清理操作。历次清理前的备份数据要根据备份策略进行定期保存

或永久保存，并确保可以随时使用。数据清理的实施应避开业务高

峰期，避免对联机业务运行造成影响。

6、需要长期保存的数据，数据管理部门需与相关部门制定转存

方案，根据转存方案和查询使用方法要在介质有效期内进行转存，

防止存储介质过期失效，通过有效的查询、使用方法保证数据的完

整性和可用性。转存的数据必须有详细的文档记录。

7、非本单位技术人员对本公司的设备、系统等进行维修、维护

时，必须由本公司相关技术人员现场全程监督。计算机设备送外维

修，须经设备管理机构负责人批准。送修前，需将设备存储介质内

应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对

修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。

8、管理部门应对报废设备中存有的程序、数据资料进行备份后

清除，并妥善处理废弃无用的资料和介质，防止泄密。

9、运行维护部门需指定专人负责计算机病毒的防范工作，建立

本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发

现病毒及时清除。

10、营业用计算机未经有关部门允许不准安装其它软件、不准

使用来历不明的载体（包括软盘、光盘、移动硬盘等）。

客户信息安全管理制度篇14

1、进入主机房至少应当有两人在场，并登记“机房出入管理登

记簿”，记录出入机房时间、人员和操作内容。

2.IT部门人员进入机房必须经领导许可，其他人员进入机房必

须经IT部门领导许可，并有有关人员陪同。值班人员必须如实记录

来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原

则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经

IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记

录，由操作人和监督人签字后备查。

3、保持机房整齐清洁，各种机器设备按维护计划定期进行保养,

保持清洁光亮。

4、工作人员进入机房必须更换干净的工作服和拖鞋。

5、机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务

无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关

的物品，特别是易燃、易爆、有腐蚀等危险品进入机房。

6、机房工作人员严禁违章操作，严禁私自将外来软件带入机房

使用。

7、严禁在通电的情况下拆卸，移动计算机等设备和部件。

8、定期检查机房消防设备器材。

9、机房内不准随意丢弃储蓄介质和有关业务保密数据资料，对

废弃储蓄介质和业务保密资料要及时销毁（碎纸），不得作为普通

垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借

或带出。

10、主机设备主要包括：服务器和业务操作用PC机等。在计算

机机房中要保持恒温、恒湿、电压稳定，做好静电防护和防尘等项

工作，保证主机系统的平稳运行。服务器等所在的主机要实行严格

的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及

运行操作规范，确保业务系统的正常工作。

11、定期对空调系统运行的各项性能指标（如风量、温升、湿

度、洁净度、温度上升率等）进行测试，并做好记录，通过实际测

量各项参数发现问题及时解决，保证机房空调的正常运行。

12、计算机机房后备电源（UPS）除了电池自动检测外，每年必

须充放电一次到两次。

客户信息安全管理制度篇15

为维护公司信息安全，保证公司网络环境的稳定，特制定本制

度。

第一条信息安全是指通过各种计算机、网络（内部信息平台）

和密码技术，保护信息在传输、交换和存储过程中的机密性、完整

性和真实性。具体包括以下几个方面。

1、信息处理和传输系统的安全。系统管理员应对处理信息的系

统进行详细的安全检查和定期维护，避免因为系统蔚溃和损坏而对

系统内存储、处理和传输的信息造成破坏和损失。

2、信息内容的安全。侧重于保护信息的机密性、完整性和真实

性。系统管理员应对所负责系统的安全性进行评测，采取技术措施

对所发现的漏洞进行补救，防止窃取、冒充信息等。

3、信息传播安全。要加强对信息的审查，防止和控制非法、有

害的信息通过本公司的信息网络（内部信息平台）系统传播，避免

对公司利益、公共利益以及个人利益造成损害。

第二条信息的内部管理

1、各部门在向网络（内部信息平台）系统提交信息前要作好查

毒、杀毒工作，确保信息文件无毒上载；

2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀

毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；

3、各信息应用部门对本部门所负责的信息必须作好备份；

4、各部门应对本部门的信息进行审查，网站各栏目信息的负责

部门必须对发布信息制定审查制度，对信息来源的合法性，发布范

围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随

时检查信息的完整性、合法性；如发现被删改，应及时向信息安全

部门报告；

5、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也

要实行病毒查杀。

第四条信息加密

1、涉及公司秘密的信息，其电子文档资料应当在涉密介质中加

密单独存储；

2、涉及公司和部门利益的敏感信息的电子文档资料应当在涉密

介质中加密单独存储；

第五条任何部门和个人不得从事以下活动：

1、利用信息网络系统制作、传播、复制有害信息；

2、入侵他人计算机；

3、未经允许使用他人在信息网络系统中未公开的信息；

4、未经授权对网络（内部信息平台）系统中存储、处理或传输

的信息（包括系统文件和应用程序）进行增加、修改、复制和删除

等；

5、未经授权查阅他人邮件；

6、盗用他人名义发送电子邮件；

7、故意干扰网络（内部信息平台）的畅通运行；

8、从事其他危害信息网络（内部信息平台）系统安全的活动。

第六条本制度自发布之日起施行，凡与本制度有冲突的均以本

制度为准。

第一项计算机管理制度

为保证计算机的正常运行，确保计算机安全运行，制定本制度。

一、管理范围划分

本公司计算机分为涉密和非涉密两部分，涉密计算机指主要用

于储存或传输有关人事、财务、经济运行、信息安全等涉及企业经

营管理信息的计算机。非涉密计算机指用于储存或传输日常办公资

料信息计算机。信息技术部、关务部、财务部计算机按照涉密要求

进行管理。

二、非涉密计算机日常管理

1、各部门的计算机，操作人为管理第一责任人，承担公司计算

机操作的管理、保密和安全，以防止误操作造成系统紊乱、文件丢

失等故障。

2、计算机主要是用于业务数据的处理及信息传输，提高工作效

率。严禁上班时间用计算机玩游戏及运行一切与工作无关的软件。

3、新购的计算机、初次使用的软件、数据载体应经我部计算机

管理员检测，确认无病毒和有害数据后，方可投入使用。

4、计算机操作人员发现本部门的计算机感染病毒，应立即中断

运行，并与计算机管理员联系及时消除。

5、爱护机关计算机设备，保持计算机设备的干净整洁。

三、涉密计算机日常管理

1、涉密的.计算机内的重要文件由专人集中加密保存，不得随

意复制和解密，未经加密的重要文件不能存放在与国际联网的计算

机上。

2、对需要保存的涉密信息，可到信息安全科转存到光盘或其他

可移动的介质上。存储涉密信息的介质应当按照所存储信息的最高

密级标明密级，并按相应密级的文件管理。

3、对信息载体（软盘、光盘等）及计算机处理的业务报表、技术

数据、图纸要有专人负责保存，按规定使用、借阅、移交、销毁。

四、其他

对违反以上规定的行为视情节轻重，由公司行政部进行处罚，

并追究有关人员的责任。

客户信息安全管理制度篇16

1目标

胜达集团信息安全检查工作的主要目标是通过自评估工作，发

现本局信息系统当前面临的主要安全问题，边检查边整改，确保信

息络和重要信息系统的安全。

2评估依据、范围和方法

2.1评估依据

根据国务院信息化工作办公室《关于对国家基础信息络和重要

信息系统开展安全检查的通知》（信安通口15号）、国家电力监

管委员会《关于对电力行业有关单位重要信息系统开展安全检查的

通知》（办信息48号）以及集团公司和省公司公司的文件、检查要

求，开展—单位的信息安全评估。

2.2评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和络系

统等，

管理信息系统中业务种类相对较多、络和业务结构较为复杂，

在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,

具体包括：基础络与服务器、关键业务系统、现有安全防护措施、

信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

2.3评估方法

采用自评估方法。

3重要资产识别

对本局范围内的重要系统、重要络设备、重要服务器及其安全

属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、

关键络节点设备和安全设备、承载敏感数据和业务的服务器进行登

记汇总，形成重要资产清单。

资产清单见附表lo

4安全事件

对本局半年内发生的较大的、或者发生次数较多的信息安全事

件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附

表2O

5安全检查项目评估

5.1规章制度与组织管理评估

5.1.1组织机构

5.1.1.1评估标准

信息安全组织机构包括机构、工作机构。

5.LL2现状描述

本局已成立了信息安全机构，但尚未成立信息安全工作机构。

5.1.1.3评估结论

完善信息安全组织机构，成立信息安全工作机构。

5.1.2岗位职责

5.1.2.1估标准

岗位要求应包括：专职络管理人员、专职应用系统管理人员和

专职系统管理人员；专责的工作职责与工作范围应有制度明确进行

界定；岗位实行主、副岗备用制度。

5.1.2.2现状描述

我局没有配置专职络管理人员、专职应用系统管理人员和专职

系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制

度进行界定，岗位没有实行主、副岗备用制度。

5.1.2.3评估结论

本局已有兼职络管理员、应用系统管理员和系统管理员，在条

件许可下，配置专职管理人员；专责的工作职责与工作范围没有明

确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、

副岗备用制度，在条件许可下，落实主、副岗备用制度。

5.1.3病毒管理

5.1.3.1评估标准

病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、

病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。

5.1.3.2现状描述

本局使用Symantec防病毒软件进行病毒防护，定期从省公司病

毒库服务器下载、升级安全策略；病毒预警是通过第三方和上信息

来源，每月统计、汇总病毒感染情况并提交局生技部和省公司生技

部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制

度。

5.1.3.3评估结论

完善病毒预警和报告机制，制定计算机病毒防治管理制度。

5.1.4运行管理

5.1.4.1评估标准

运行管理应制定信息系统运行管理规程、缺陷管理制度、统计

汇报制度、运维流程、值班制度并实行工作票制度；制定机房出入

管理制度并上墙，对进出机房情况记录。

5.1.4.2现状描述

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇

报制度、运维流程、值班制度，没有实行工作票制度；机房出入管

理制度上墙，但没有机房进出情况记录。

5.1.4.3评估结论

结合本局具体情况，制订信息系统运行管理规程、缺陷管理制

度、统计汇报制度、运维

流程、值班制度，实行工作票制度；机房出入管理制度上墙，

记录机房进出情况。

5.L5账号与口令管理

5.1.5.1评估标准

制订了账号与口令管理制度；普通用户账户密码、口令长度要

求符合大于6字符，管理员账户密码、口令长度大于8字符；半年

内账户密码、口令应变更并保存变更相关记录、通知、文件，半年

内系统用户身份发生变化后应及时对其账户进行变更或注销。

5.1.5.2现状描述

没有制订账号与口令管理制度，普通用户账户密码、口令长度

要求大部分都不符合大于6字符；管理员账户密码、口令长度大于

8字符，半年内账户密码、口令有过变更，但没有变更相关记录、

通知、文件；半年内系统用户身份发生变化后能及时对其账户进行

变更或注销。

5.1.5.3评估结论

制订账号与口令管理制度，完善普通用户账户与管理员账户密

码、口令长度要求；对账户密码、口令变更作相关记录；及时对系

统用户身份发生变化后对其账户进行变更或注销。

5.2络与系统安全评估

5.2.1络架构

5.2.1.1评估标准

局域核心交换设备、城域核心路由设备应采取设备冗余或准备

备用设备，不允许外联链路绕过防火墙，具有当前准确的络拓扑结

构图。

5.2.L2现状描述

局域核心交换设备准备了备用设备，城域核心路由设备采取了

设备冗余；没有不经过防火墙的外联链路，有当前络拓扑结构图。

5.2.1.3评估结论

局域核心交换设备、城域核心路由设备按要求采取设备冗余或

准备备用设备，外联链路没有绕过防火墙，完善络拓扑结构图。

5.2.2络分区

5.2.2.1评估标准

生产控制系统和管理信息系统之间进行分区，VLAN间的访问控

制设置合理。

5.2.2.2现状描述

生产控制系统和管理信息系统之间没有进行分区，VLAN间的访

问控制设置合理。

5.2.2.3评估结论

对生产控制系统和管理信息系统之间进行分区，VLAN间的访问

控制设置合理。

5.2.3络设备

5.2.3.1评估标准

络设备配置有备份，络关键点设备采用双电源，关闭络设备

HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令强健