AEO海關一般認證文信息安全管理制度.doc

公司LOGO，沒有則留空XXXXX有限公司版本：A/0版AEO-008AEO信息安全管理制度共1頁生效日期：2017-03-01注：要有備份系統(tǒng)，電腦裝殺毒軟件，設備密碼1 目的為確保公司計算機內文件安全及不受入侵，特制訂本程序。2 范圍本程序適用于本公司所有計算機的管制。3 執(zhí)行程序3.1 計算機的使用措施3.1.1 公司及各部門的計算機只能經(jīng)由公司授權的雇員操作使用，每臺電腦應設置進入密碼保護，以防止未經(jīng)授權的人員使用、篡改資料或從事其它不法活動,見授權使用電腦及上網(wǎng)人員名單;3.1.2 每位電腦使用者必須接受本程序和如何識別文件與資料詐騙方面的培訓，只有經(jīng)培訓合格的人員才可操作電腦；3.1.3 使用者應保持設備及其所在環(huán)境的清潔，下班時務必關機切斷電源；3.1.4 使用者的業(yè)務數(shù)據(jù)，應嚴格按照要求妥善存儲在相應的位置上；3.1.5 未經(jīng)許可，使用者不可增刪硬盤上的應用軟件、系統(tǒng)軟件和私自打開主機機箱；3.1.6 打印機墨盒經(jīng)專人確認后，方可使用，嚴禁私自更換和添加墨水；3.1.7 嚴禁使用電腦在上班時間內瀏覽非法網(wǎng)站、玩游戲、聽音樂等；3.1.8 公司所有電腦都設置電腦使用密碼和熒幕密碼并定期更改，以防他人盜取。如發(fā)現(xiàn)密碼已泄露，則立即更換。欲設的密碼及由別人提供的密碼應不予采用；3.1.9 操作員不可隨意讓不熟悉的人使用自己的電腦，如確有必要使用，必須在旁監(jiān)督；3.1.10 任何人未經(jīng)操作員本人同意,不得使用他人的電腦；3.1.11 嚴禁惡意刪除他人文件、破壞公司系統(tǒng)；3.1.12 先以加密技術保護敏感的數(shù)據(jù)文件,然后才通過公司網(wǎng)絡及互聯(lián)網(wǎng)進行傳送,在適當?shù)那闆r下,利用數(shù)字證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名；3.1.13 不隨便運行或刪除電腦上的文件或程序,不要隨意修改電腦參數(shù)等；3.1.14 不要隨便安裝或使用不明來源的軟件或程序.不要隨意開啟來歷不明的電子郵件或電子郵件附件；3.1.15 收到無意義的郵件后,應及時清除,不要蓄意或惡意地回寄或轉寄這些郵件；3.1.16 不要隨意將公司或個人的文件發(fā)送給他人,或打開給他人查看或使用；3.1.17 工作移交時，嚴禁惡意破壞、刪除、隱藏計算機中文件、數(shù)據(jù)。3.2 計算機的安全措施3.2.1 由網(wǎng)管負責所有電腦的檢測和清理工作。3.2.2 由各部門最高負責人對電腦的防護措施的落實情況進行監(jiān)督。3.2.3 網(wǎng)管根據(jù)需要，設置相應的網(wǎng)絡用戶，用于進入公司的網(wǎng)絡系統(tǒng)，不同的用戶有不同的登陸密碼和相應的權限，使每位人員可以而且只能使用到自己所需之資料。3.2.4 公司所有電腦都設置電腦使用密碼、熒幕密碼、防火墻和殺毒系統(tǒng)，并為所有電腦設置密碼保護，若三次輸入密碼錯誤，將自動對該電腦鎖定保護，以防止計算機系統(tǒng)遭非法進入。電腦一般不能超過10分鐘就會自動進入密碼保護.3.2.5 密碼必須定期一個月更換一次，使用者須妥善保管好自己的密碼，不向他人披露，防止他人接觸電腦系統(tǒng)造成意外。如發(fā)現(xiàn)密碼已泄露，應盡快更換。欲設的密碼及由別人提供的密碼應不予采用。3.2.6 公司及各部門的業(yè)務數(shù)據(jù)，由公司網(wǎng)絡管理員至少每月備份一次；重要數(shù)據(jù)由使用者本人向網(wǎng)絡管理員申請做立即備份。3.2.7 定期用殺毒程序掃描電腦系統(tǒng).以防止系統(tǒng)出現(xiàn)故障時能進行數(shù)據(jù)恢復，對于新的軟件,檔案或電子郵件,應選用殺毒軟件掃描,檢查是否帶有病毒/有害的的程序編碼,進行適當?shù)奶幚砗蟛趴砷_啟使用. 電腦一經(jīng)發(fā)現(xiàn)病毒,應立即通知網(wǎng)管專業(yè)人員處理。3.2.8 公司電腦系統(tǒng)的數(shù)據(jù)資料列入保密范圍.未經(jīng)許可，嚴禁非相關人員私自復制。未經(jīng)許可,任何私人的光盤、軟盤不得在公司的電腦設備上使用。3.2.9 根據(jù)公司的規(guī)定和工作的實際需要，控制Internet的使用，非許可用戶不需上網(wǎng)，再通過開放需要使用的網(wǎng)站、設置Internet密碼等措施使許可人員能使用Internet資料，同時避免因未授權用戶的非法使用而帶來的安全隱患。建立網(wǎng)絡系統(tǒng)防止非法闖入的警報系統(tǒng)。3.2.10 根據(jù)各崗位工作的實際需要，設置公司郵箱。公司所有郵件都應通過公司郵箱收發(fā),不得使用私人郵箱。公司服務器對所有許可用戶進入的網(wǎng)站都有備份,一旦發(fā)現(xiàn)有將公司文件通過郵箱或復印帶出者,將根據(jù)嚴重程度,實行懲罰. 通過電子郵件發(fā)來的文件必須電話聯(lián)絡發(fā)文單位進行確認，以防詐騙。3.2.11 裝有軟驅的電腦不得入網(wǎng),對于尚未聯(lián)網(wǎng)的電腦,其軟件的安裝由網(wǎng)管負責,任何電腦需安裝軟件時,由電腦室負責安裝;軟件出現(xiàn)異常時,應通知電腦室專業(yè)人員處理。3.2.12 計算機使用者必須接受入職前和定期的背景調查，如有犯罪記錄或不良的習慣者不予錄用。3.2.13 對員工進行計算機保安培訓，包括入職培訓和在職培訓，讓員工知道如何安全使用電腦，以確保公司信息技術安全。3.2.14 對公司辭職人員的電腦由網(wǎng)管負責人立即更改電腦密碼,保密電腦內文件。3.2.15 網(wǎng)管人員經(jīng)常巡查，檢查每部電腦終端的使用情況，發(fā)現(xiàn)不安全使用者，及時予以糾正。3.3 計算機的購置、維護和維修3.3.1 公司指定專人負責統(tǒng)一制定公司計算機系統(tǒng)的各種軟、硬件標準，只有符合這種標準的設備方可使用；3.3.2 公司軟、硬件及相關服務的供貨商由公司指定專人進行挑選（包括設備的采購），公司及各部門軟、硬件及相關通訊線路的安裝和連接有公司指定的專人監(jiān)督；3.3.3 軟、硬設備的原始數(shù)據(jù)（軟盤、光盤、說明書及保修卡、許可證協(xié)議等）根據(jù)檔案保管要求保管，使用者必需的操作守冊由使用者長借、保管；3.3.4 公司及各部門計算機的維護、維修由公司指定的專人負責。3.4 識辨和濫用信息技術的懲罰3.4.1 系統(tǒng)服務器被儲存在一個防火、上了鎖的房間，并且進入受到限制和可以被追蹤；3.4.2 公司應限制可以進入互聯(lián)網(wǎng)的雇員人數(shù)，并要求他們簽署有關系統(tǒng)安全要求的協(xié)議，當他們使用互聯(lián)網(wǎng)時會受到約束，所有電腦應標明使用人員的權限，以便于識別非授權人員進入；3.4.3 任何雇員對如有違反公司電腦使用和安全方面政策，按公司有關規(guī)章制度嚴肅處理，情節(jié)嚴重送公安機關處理。3.5.防毒監(jiān)管措施3.5.1.由計算機中心負責所有電腦的檢測和清理工作。3.5.2.由電腦管理員，根據(jù)上述作業(yè)計劃進行檢測。3.5.3.由經(jīng)理負責對電腦防護措施的落實情況進行監(jiān)督。3.5.4.對于尚未聯(lián)網(wǎng)電腦，其軟件的安裝由電腦管理員負責、任何電腦需安裝軟件時，由相關電腦管理員提出書面報告，經(jīng)審批同意后，由電腦管理員負責安裝；軟件出現(xiàn)異常時，應通知電腦管理員處理；所有電腦不得安裝游戲軟件；數(shù)據(jù)的備份由電腦管理員負責人管理，備份用的優(yōu)盤由電腦管理員提供。 3.5.5.各單位所轄電腦的使用、清洗和保養(yǎng)工作，由相應電腦管理員負責；各負責人必須經(jīng)常檢查所轄電腦及外設的狀況，及時發(fā)現(xiàn)和解決問題。3.5.6.凡是發(fā)現(xiàn)以下情況的予以處罰。 根據(jù)實際情況追究當事人及其直接領導的責任，情節(jié)輕微的給予 當事人口頭警告，情節(jié)嚴重的給予責任人開出并送交當?shù)貓?zhí)法部門嚴格按照法律程序進行處理：3.5.6.1.未按照規(guī)定使用電腦造成電腦感染病毒；3.5.6.2.私自安裝和使用未經(jīng)許可的軟件（含游戲）；3.5.6.3.電腦具有密碼功能卻未使用，離開電腦未進行鎖定的，私自發(fā)送郵件。；3.5.6.4.下班電腦卻未退出系統(tǒng)或關機；3.5.6.5.擅自使用他人電腦或造成不良影響或損失；3.5.6.6.沒有及時檢查或清潔電腦及相關外設，擅自復制或者拷貝相關文件的；3.5.6.7.凡發(fā)現(xiàn)由于違章作業(yè).保管不當.擅自安裝、使用硬件和電氣裝置而造成硬件的損壞或丟失的，其損失由當事人負責.3.6.網(wǎng)絡的維護3.6.1.設立網(wǎng)絡使用規(guī)范，讓員工了解公司對員工個人使用電子郵件與電腦的具體規(guī)定，此外，明確網(wǎng)絡使用規(guī)范更可提高IT人員設定與監(jiān)視網(wǎng)絡安全方案的效率。3.6.2.采用能夠掃描郵件是否含有不適當內容的技術，并記錄違反公司管制規(guī)定的網(wǎng)絡行為。3.6.3電腦管理員要培訓員工了解如何應該及時下載最新的防毒資料，如何辨認電腦是否可能中毒、并教導員工如何開啟檔案之前掃描檔案是否有病毒。3.6.4電腦管理員要及時修補軟件的漏洞，隨時更新防毒軟件降低病毒透過網(wǎng)面或電子郵件滲入公司網(wǎng)絡的機會。3.6.5電腦管理員要制定密碼使用規(guī)范，電腦中心要定期更換密碼，并教育員工防范社交欺騙手段，要求他們無論如何都不可以交出密碼。3.6.6確定每個員工是否需要接觸機密資料，并嚴格限制機密資料只用于工作上絕對需要的員工使用。3.6.7告知員工下載免費軟件等各種程序可能引起的危險。3.7.電腦安全及防止詐騙文件為了預防公司電腦上的機密文件的泄密，從而導致其它嚴重災難的發(fā)生，電腦操作人員應嚴格遵守以下安全規(guī)定：3.7.1.不要將公司或個人機密及可能是受保護文件隨意存放，文件存放要分類分目錄存放于指定位置。37.2.未經(jīng)領導及他人許可，不要打開或嘗試打開他人文件，以避免泄密或文件的損壞。3.7.3.對不明來歷的郵件或文件不要查看或嘗試打開，以避免電腦中病毒或木馬，并盡快請電腦管理員人員來檢查。3.7.4.在一些郵件中的附件中，如果有出現(xiàn)一些附加名是：EXE、COM等可執(zhí)行的附件或其它