信息系统资产安全管理制度.pdf

.

信息系统安全管理制度

第一章总则

第一条为保证企业计算机网络可以安全靠谱的运转，防备系统及数据

被非法利用或损坏，充散发挥其在生产、经营、办公和信息服务方面

的重要作用，更好的为职工供给服务，特拟订本方法。

第二条本制度波及的信息系统，是指由计算机及其有关的配套的设

备、设备（含网络）构成的，依据必定的应用目标和规则对信息进行

收集、加工、储存、传输、检索等办理的计算机系统；本制度所指的

计算机软件是指在我企业内部使用的计算机应用软件。合用于企业范

围内的计算机系统。

第二章组织机构和职责

第三条成立企业信息安全小组，由企业领导、办公室、各有关部门、

计算机保护人员构成，指定企业信息系统安全员和各系统管理员。（见

附件一）

第四条企业主要领导是企业信息系统管理和网络安全的第一责任

人，信息安全小组负责企业计算机应用系统和网络安全的全面管理和

运转保护。

第五条计算机系统管理员负责企业内部信息系统及计算机网络安全

的管理和保护工作，为企业内部网络的安全运转供给技术保障。

1/17

.

2/17

.

第六条信息安全员负责对企业信息化有关的各项申请记录进行复

核，审察用户帐号使用状况和权限分派能否合理，对企业重要信息进

行安全分级，按期复查系统管理员填制的各项检查记录。

第七条企业的全部计算机及外头设备是企业的固定财产，依据谁使

用谁负责的原则，落实责任人，使用部门为责任部门，负责保存装备

的信息化财产的完满，保证优秀的使用环境，并成立财产台账。

第三章系统安全管理

3.1账号管理

第八条应用系统、操作系统、数据库（以下简称“各系统”）的用户名

均应当专人专用，用以辨别不一样的用户和账号，以保证可溯源和可追

踪性。

第九条各系统的管理员账号需进行有效的保护，经企业信息安全小

组审察后，由信息系统安全员分派管理员接见权限给系统管理员。

第十条各系统均需要设置充分的用户密码安全策略，包含：

1）设定密码最小长度不得低于八位；

2）密码必定由数字、字母和符号共同构成；

3）设置密码过期限期，按期改正密码；

4）设置密码锁定前登录失败次数等安全策略。

第十一条各信息系统自带的默认账号和密码一定在系统首次使用时

进行改正，密码由系统管理员保存。

第十二条企业信息系统的接见和应用只限于经过企业内网进行，如

.

3/17

.

因特别状况需要经过外网接见信息系统的，报信息安全小组赞同并由

自动化所受权赞同后方可进行。

第十三条保全处每半年组织有关业务员部门对信息系统账号进行复

核,将信息系统的用户及其权限清单提交给业务部门负责人,确认并审察

权限的合理性。经过查察系统日记，检查不适合账号和权限的使用状况，

对违规使用状况进行通告并立刻整顿。

第十四条需新增或调整账户权限的用户，由使用部门提出申请，并

填写有关岗位权限调整申请表，经信息安全小组审察赞同后，由系统

管理员调整用户账号及相应权限。

3.2防病毒管理

第十五条企业信息安全小组负责防病毒软件的部署与配置，用户与

信息设备责任人负责所用计算机系统及数据的基本防备。

第十六条全部接入企业网络的计算机都一定安装防病毒软件；外来

计算机要接入企业网络一定装有防病毒软件和最新的病毒库和查杀引

擎，报经信息安全小组负责人赞同后，由系统管理员检查该计算机，

切合要求后由系统管理员为该计算机设置网络连结。

第十七条企业计算机的防病毒软件的及时监控要默认翻开，不得私

自封闭。

第十八条企业计算机的防病毒软件和病毒库要经过必定的技术手段

（比如给杀毒软件增添防备密码等）进行保护，防备用户误删或未经

受权强迫删除或禁用防病毒程序。

第十九条信息安全小组负责指导和培训用户的防病毒知识，提升用

.

4