网络与信息安全管理办法（试行）

XXXXXXXXXXXXXXXXXXX公司

网络与信息安全管理办法（试行）

第一章总则

第一条前言

党的十八大以来，为实现中华民族伟大复兴的中国梦，把我国建

设成为网络强国，以习近平同志为核心的党中央领导高度重视网信事

业的发展，进行了一系列重要的顶层设计与战略布局。习近平总书记

指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广

大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信

息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台

建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业,

做到关口前移，防患于未然。

第二条目的

为进一步规范公司网络与信息安全管理，确保公司网络资源高

效、安全运行，加强对网络资源安全性保护，特制定本管理办法。

第三条适用范围

（一）本管理办法适用于本公司范围内的网络、软件、系统、信

息设备等；

（二）本管理办法适用于XXXXXXXXXXXXXXXX公司及下属子公司全

体员工。

第四条定义

（一）本管理办法所称的网络安全，是指公司所使用的广域网和

局域网提供各种应用和服务的所有硬件和软件等信息资产的安全；

（二）本管理办法所称的信息安全，是指包括由服务器、办公终

端及其附属设备上的，根据开发设计、技术文档、财务报表、培训资

料、人事管理等要求建立的信息系统、报表文档、数据库、图片以及

其它包含公司商业机密的相关文档、文件和资料的保密和安全；

（三）本管理办法所称的管理员，是指信息部工作人员；

（四）公司网络与信息的安全管理，应当保障计算机网络设备和

配套设施的安全、信息的安全、运行环境的安全。保障公司网络系统

的正常运行，保障信息系统的安全运行；

（五）信息部对网络中的信息进行有效的监督和审查，所有部门

成员必须接受并配合信息部依法进行的监督检查，凡是涉及到网络安

全和信息安全的所有事项，必须遵守本规定；

（六）公司内部人员有义务向信息部报告违反本管理办法的部门

和个人或对公司网络及信息安全正常运行有害行为，经核查后将对举

报人进行匿名处理并申请相应的奖励；

（七）密级描述：

绝密所属公司内部仅限于特定人员（一般为所属公司最高管理层

及信息特定经手人员）或外部特定人员在总裁或以上级别管理人员授

权可以获得的信息，该级别信息的泄露对于企业声誉、经营、财务会

直接造成重大损失，如：公司并购计划。此级别信息的访问控制遵行

最小可控原则，即访问权限设为特定身份明确的个人，权限设为特定

身份明确的个人专用；

机密部门或特定内部组织（如项目小组）内部人员，或其他部门

及所属公司外部特定人员在副总裁或以上级别管理人员授权后可以获

得的信息，该级别信息的泄露对于企业或该部门的声誉、经营、财务

会造成直接但不重大的损失，如：部门下一年经营目标。此级别信息

的访问控制遵行部门内部开放的原则，即默认为司门或特定内部组织

所有人员均可访问。部开放的默认原则，即默认为部门或特定内部组

织所有人员均可访问；

秘密所属公司内部人员，或所属公司外部特定人员在部门主管或

以上级人员授权后可以获得的信息，该级别信息泄露不直接造成企业

声誉、经营、财务上的损失或造成的损失较小，如：所属公司员工通

讯录。此级别信息的访问控制遵循公司内部开放的默认原则，即默认

为公司内部所有人员均可访问；

一般对任何所属公司内部、外部人员和组织均可以公开的信息。

如：公司Logo,公司已公开上市的产品目录，此级别信息的访问控制

一般不做限制。

第二章管理员职责

第一条管理员工作职责

（一）负责公司网络整体规划的管理，对网络设计提出优化建议,

为公司提供网络支持及网络监控，保障网络的正常运行;

第三章网络安全管理

第一条网络安全管理

（一）公司信息部对网络架构进行统一规划、建设并负责运行、

监督、管理和维护，包括设置路由器、交换机、防火墙、台式电脑、

笔记本电脑及与网络安全相关的软硬件；

（二）公司网络的IP地址、子网规划以及涉及网络安全的各种系

统登录帐户和默认密码的软硬件设备等均由信息的集中部署管理，登

记后分配至个人，并不定期进行监督和检查。任何人必须严格使用由

信息部分配的“IP地址”、“机器名”、“系统登录帐户”以及个人

电脑等软硬件配置等，严禁私自更改IP地址以及盗用他人的软硬件配

置；

（三）严禁利用公司信息类资产包括电脑，打印机、传真机或RTX、

QQ、微信、MSN等软硬件以及网络资源进行与工作无关或无益的私人活

动；

（四）严禁以空密码登录公司内部各种涉及网络安全的信息系统

或软硬件设备。个人在获得由信息部分配的各种系统登录默认密码后,

应及时更改密码，各类密码的设置应遵循不易被双译的原则，密码的

位数应在八位以上，必须包含大小写字母和数字，不得把自己的密码

告诉他人，也不得把密码写在纸上，密码应经常更换；

（五）严禁以任何手段窃取或试图窃取未授权使用的各种涉及网

络安全的软硬件设备的系统登录密码，也不得以他人帐号、IP地址等

任何形式登录或试图登录未授权使用的各种涉及网络安全的软硬件设

备。严禁以任何手段、任何形式查询、访问、修改和删除或试图查询、

访问、修改和删除未授权的网络资源；

（六）严禁以任何方式、任何理由对影响公司网络系统正常运行

的服务和软硬件设备实施攻击、干扰和破坏。员工在公司内的办公电

脑不能随意连接手机热点或连接不明来历的的WIFI信号源。员工在日

常办公时不能通过共享WIFI软件及硬件为他人提供网络服务；

（七）公司重要涉密岗位严禁使用属于个人的或未授权的各类存

储介质或可移动的信息设备，如软盘、光盘、移动硬盘、U盘、笔记本

电脑等。未经允许不得私自将上述设备带入公司使用，如确因工作需

要使用，应报本部门负责人审批；

（A）禁止撕毁硬件设备上的标签、二维码、出厂编码等，禁止

私自更换各种硬件设备的零件；

（九）各部门的计算机信息安全保密管理由各部门负责人或分管

领导负责，并指定有关人员具体承办，信息部负责检查、监督。公司

员工应积级主动地按照信息部指定的文件服务器或其他存储设备定期

做好涉及公司重要信息数据的备份，且做好自己本地电脑和服务器双

重备份的要求，禁止将工作文件放在系统桌面上，若因硬件故障造成

公司重要数据丢失且没有及时备份的，将由个人承担相应责任；

（十）信息部对开通互联网权限的计算机使用人实行严格的审批

登记管理办法。除了日常办公软件外，个人电脑不能安装任何软件，

如遇特殊情况需安装其他软件的，需本人提出申请，经部门负责人审

核、信息部审批后方可安装软件。信息部将不定期对公司内的个人电

脑进行抽查，如安装非办公软件和未经审批安装的软件，将上报相关

部门进行考核和处罚；

（十一）公司员工必须对自己在互联网发布的信息负责，不得进

入非法的网站或利用公司网络资源进行与工作无关，危害公司、国家

安全利益的犯罪活动。严禁利用公司网络对内或对外制作、查阅、复

制和传播反动、封建迷信、淫秽色情等言论、图片以及其它有碍社会

治安的信息，更不得在网上公开发布、宣传、谈论涉及公司商业秘密

或与工作无关和无益的言论。由于工作原因需向公司内部或外部发布

信息的，必须经分管领导审查批准后方可发布或上传；

第四章信息安全管理

第一条信息安全管理

（一）禁止在个人电脑上共享公司有商业价值的重要文件或在部

门共享盘上存放有商业价值的重要文件。确因特殊情况需要共享的，

应报本部门负责人审批通过后，由信息部进行信息安全方面的处理后,

方可共享使用；

（二）公司员工必须把公共区域的打印资料和相关资料及时带走

或销毁，书写板必须及时擦拭干净，工作区域内的标签禁止书写涉密

信息，离开自己的工作区域时必须对电脑进行锁屏处理。涉密文件或

具有敏感信息的资料需要进行废弃的，不能直接丢弃在垃圾筒中，需

通过碎纸机粉碎处理。非工作时间或长期无人看管下，所有涉及到公

司重要信息的纸质资料必须存放在带有锁的抽屉或档案柜中;

（三）涉密信息的传输、查询、修改、删除等处理只限在与之相

关或被授权的人员内进行，授权必须走审批流程报领导审批，也可以

通过内部系统授权。上网用户只能根据自己的权限查询涉密信息，不

得越权查询或下载。与涉密信息相关的工作人员离开计算机时，必须

立即关闭相关界面，如长时间离开，需锁定或关闭计算机，否则须对

造成的泄密事件负责；

（四）未经部门负责人允许，任何人严禁将涉及公司保密信息的

存储设备、笔记本电脑或相关资料带离公司，对药门内含有涉密信息

的各类存储介质或可移动的信息设备，如软盘、光盘、移动硬盘、U盘、

笔记本电脑等均须列入保密管理范畴，经部门负责人允许后方可使用。

各类数据备份介质，需由各部门负责人指派专人保管，并做好记录，

若数据丢失或泄密，部门负责人须承担连带责任；

（五）公司信息系统商业数据及商业资料是公司经营决策的重要

商业秘密，各部门员工须树立严格的保密观念，遵守保密规定；涉密

的公司信息系统存储介质及信息系统资料，由各督门指定专人管理，

在其本人离职时必须交回部门负责人处；

（六）当本部门员工出现工作岗位变动或离职等情况时，部门负

责人或分管领导应根据情况以相应方式通知信息部相关工作人员取消

其相应的权限、密码，并对其使用的电脑进行格式化处理；

（七）各部门负责人或分管领导应认真、严格地对待和审批下属

员工提交的涉及互联网权限的申请，须对其进行有效的监督和管理，

并对其上网后的行为和发布的信息严格审查和把关。若因下属员工触

犯本管理办法的，部门负责人须承担连带责任；

（A）被标为报废的信息资产必须被物理销毁或安全处理。存储

介质包括磁盘和硬盘必须在报废或重新使用之前格式化以确保其机密

和重要的信息被完全删除，所有被报废或分配再使用的信息资产必须

在安全处理之后报送至资产保管人；

（九）当发生泄密事件后，要立即向分管领导和信息部报告，信

息部要立即进行情况核实，对泄密的内容做好密级等级的定义，在初

步核实下，对一般涉密事件须二十四小时内向上一级保密组织报告，

对于重大泄密事件必须立即向上级保密组织报告；

（十）公司所有员工必须自觉遵守本管理办法，提高信息安全防

范意识，防止泄密事件的发生。各部门及个人如发现有单位或个人违

反上述规定、或计算机信息系统正在泄密或已经泄密的情况，均有权

利与义务及时采取补救措施并向信息部或运管部举报，公司将对举报

人进行匿名处理并给予相应奖励。

第五章信息设备管理

第一条信息设备管理

（一）公司各部门的信息设备由各部门的部门负责人指定专人保

管和维护，并定期向信息部报备，设备应定时清理（包括鼠标、键盘、

显示器、机箱、写字台等）；

（二）公司员工不得随意打开计算机机箱，若因工作需求要打开

机箱的，应报部门负责人审批后并告知信息部，由管理员打开机箱；

（三）信息设备发生故障时各部门需发起《IT协作单》报备信息

部，由管理员进行排查处理，若1个工作日内不能处理完毕，管理员

须暂调其他备用设备以确保该员工能正常办公。若该设备无法修复，

管理员应调配其他备用配件或采购新设备进行更换；

（四）损坏责任的承担：

1.自然损坏：凡属于计算机原有的质量问题、超过使用年限等非

人为因素造成的损坏；

2.个人原因损坏：凡属于人为因素，例如摔打、撞击等造成的损

坏；

3.凡属自然损坏的，维修费用由公司承担。属个人原因损坏的，

维修费用由个人承担；

（五）机型过于陈旧无维修价值的，由信息部申请核销，经总经

理批准后报财务部备案，并将该设备其他完好的部件作为配件使用。

第六章网络与信息安全培训

第一条培训内容可分为业务知识培训和新员工培训两个方面：

（一）业务知识的培训主要为ERP、0A和财务等应用系统的培训;

（二）新员工的培训是管理员对新入职员工进行入职培训，包括

网络安全、信息安全、信息系统的规范操作等相关内容。

第二条各部门负责人必须在其部门设置一名关键用户，关键用户

负责接受信息部的培训并对本部门员工传达相关的培训内容。

第三条由于培训内容涉及到公司的网络安全、信息安全和信息系

统的规范操作，其目的是为了提高员工网络与信息安全的防护意识，

防止出现网络攻击和信息泄露等事件的发生，因此每次培训结束后管

理员将会对培训人员进行考核。

第七章奖惩办法

第一条对违反公司网络系统工作规定的人员，将按以下公司制定

的网络与信息安全工作违规处理办法进行处罚。

项目具体事项奖惩细则

设备

机箱、显示器、键

若不定期清理，报送人事部进行考核。

清洁盘、打印机设备

带电拔插、开机箱、1.未造成设备损坏的，对当事人进行警示教育。

擅自拆装设备内部2.造成设备损坏的，报送人事部进行考核并赔

模块、撕毁设备标偿损失。

签3.对举报人进行相应奖励。

L一旦造成公司办公设备瘫痪或网络故障，报

未经允许使用其他

送人事部进行考核并处以罚款。

设备硬件和软件

2.对举报人进行相应奖励。

打游戏、看视频、

使用一经举报或查实，报送人事部进行考核并对举

下载与工作无关的

报人进行相应奖励。

内容

下班离岗后未关闭

第一次警告，第二次报送人事部进行考核。

设备电源

利用WIFI设备进一经举报或查实，报送人事部进行考核并对举

行共享报人进行相应奖励。

登陆非法网站，散1.未造成大规模影响的，报送人事部进行考核

与信播舆情、谣言等并处以罚款。