網絡安全管理制度
1.0 目的
為加強XX公司以下簡稱"公司")網絡管理,規範員工上網行為,防止濫用互聯網資源,提高工作效率,保障公司信息安全,防範網絡風險,結合我公司實際情況,特制定本制度。
2.0 範圍
本制度適用於公司網絡安全日常管理。
3.0 職責
3.1行政人中心:
3.1.1組織宣傳計算機信息網絡安全管理方面的法律、法規和有關政策
3.1.2定期組織檢査計算機信息網絡系統安全運行情況,及時排除各種信息安全隱患
3.1.3負責組織本單位計算機使用人員的安全教育和培訓
3.1.4發生安全信息事故或計算機違法犯罪案件時,應立即向公安機關網監部門或網絡安全信息部門報告並採取妥善措施,保護現場,避免危害的擴散;
3.1.5加強對本部門上網人員教育,培養員工樹立保密意識、法制意識、責任意識、自律意識,文明上網。
3.2監察部:負責本制度執行情況的監督檢查。
4.0 網絡安全管理細則
4.1網絡硬件管理
4.1.1電腦周邊設備編碼管理
4.1.1.1以公司為單位,對所有電腦設備及其周邊設備進行編號管理,實行一對一責任制。申請IP地址,每個設備均配置一個唯一編號,該編號不因設備的使用、調整等情況而改變; 4.1.1.2登記清理工作完成後,所有硬件實行責任管理制,任何人不得私自調整所登記領用的設備;
4.1.1.3新購設備由網絡安全主管驗貨、行政人事部編碼後,方可由使用部門(使用人)登記領用。
4.1.1.4設備維修、淘汰、調換等情況,需要行政人事部處進行登記 ,並由網絡安全主管進行確認過後進行更換。
4.1.1.5當網絡安全主管偵測出有電腦出現病毒等異樣,需要更換系統或硬件時,網絡安全主管提前30分鐘通知使用人做好數據備份進行電腦維護。任何人不得以任何理由拒絕。(特殊情況需延遲時間除外)。
4.1.2網絡設備定位管理
4.1.2.1對各類上網設備(包括但不限於MODEN、路由器等設備)由集團網絡安全主管牽頭進行全面清理, 對每個設備的型號、線路及位置進行編號定位管理。
4.1.2.2登記工作完成後,任何人不得在已登記定位的網絡設備之外,自行或另行安裝其他上網設備。
4.1.2.3因工作需要或特殊情況對上網設備進行調整,由集團辦規劃確定後,由網絡安全主管負責調整。
4.1.2.4如上網設備損壞,應立即報網絡安全主管處理,不得私自維修、更換。
4.2賬號密碼管理
4.2.1網絡賬號採用分組管理,並詳細登記以下信息:員工賬號名、科室名稱、相應軟件賬號名及口令、存取權限、開通時間、網絡資源分配情況等,系統包括0A系統等;
4.2.2績效考核、日新體檢系統、各科室的網絡上報系統等,辦公室或各科長鬚記錄掌握初始分配賬號口令情況,以備上級部門校驗;
4.2.3辦公室或者科長為初始賬戶設置初始口令,用戶必須進行修改強口令密碼,不能設置簡單密碼如123456等易破解密碼;
4.2.4每位員工應保管好所用設備及信息系統的賬號和密碼,員工之間不能私自交互使用各自的權限;
4.2.5凡網絡工作賬號、上報系統等對公賬號使用者應當對口令嚴格保密,並至少每180天更改一次密碼,密碼應滿足複雜性原則,長度應不低於8位,並由大、小寫字母、字和標點符號中至少3類混合組成。因軟件自身原因無法達到要求的,應按照軟件允許的最高密碼安全策略處理;
4.2.6涉密或敏感信息要妥善保管,辦公桌面不得放置包含敏感信息的紙檔文件等資料。不能因為方便而將相關密碼信息貼在屏幕上或辦辦公桌上;
4.2.7一人一口令,嚴協管理操作密碼,並定期更換密碼,嚴禁將自己的口令洩露給他人。操作人員離機應退出操相關作軟件,杜絕未經授權的人員操作。
4.3員工電腦使用制度
4.3.1所有聯網用戶不得自行連接使用路由器、交換機、集線器等網絡設備;
4.3.2辦公室將給每臺計算機指派一個固定IP,指派後不得隨便更改IP,以免造成IP地址衝突而導致管理不便;如有特殊需要必須通過網絡安全主管同意後,由網絡安全主管負責修改;
4.3.3所有聯網用戶不得私自使用網絡管理軟件(或硬件)影響網絡的正常運行;
4.3.4網絡佈線未經辦公室同意,任何人員不得隨意改動;
4.3.5對重點崗位指定專人負責接入網絡的安全管理,並對上網信息進行保密檢查,切實做好信息安全工作; 4.3.6重點崗位工作人員要加強網絡監控,若發現計算機或網絡遭到異常攻擊,要及時向單位領導彙報,並依據有關規定處理。如發現信息洩露的情況,在採取應急措施的同時,應及時將情況上報網絡信息部門和公安網監部門;
4.3.7所有員工應牢固樹立安全意識和保密意識,保管好個人賬號,對於操作服務器的用戶必須嚴格保密賬號口令,嚴禁在網上共享和洩露公司戰略計劃、經營數據、業務資料、技術資料等公司機密。並做好重要業務資料好備份,防止資外遺失、損毀;
4.3.8重點崗位工作人員要遵守單位信息儲存、清除和備份的制度,定期開展信息安全檢查,及時更新系統漏洞補丁升級殺毒軟件;
4.3.9人員離崗離職,單位應即時取消其計算機涉密信息系統訪問授權,收回計算機、移動存儲設備等相關物品;離職人員不得私自備份辦公電腦中的文件、軟件、數據、信息等資料,並且應主動接受公司對其電腦內相關資料的備份和清理;
4.3.10禁止在工作時問內利用電脂做與工作無關的事情,如網上聊天、瀏覽與工作內容無關的網站、玩電腦遊戲等,禁止在電腦上安裝任何遊戲軟件;嚴禁瀏覽色情、賭博、暴力等非法網站;
4.3.11外來存儲介質在本單位內計算機上使用時,必須進行殺毒處理後方可使用;
4.3.12為防止惡意代碼植入電腦系統,預防計算機病毒感染,在收到不明來歷的電子郵件或鏈接時,應注意不要隨意打開。用戶在外發郵件或上傳文件時,應提前查殺病毒;
14.3.13嚴禁在網絡上發表損害黨和政府形象、損害國家安全和社會穩定的任何言論;
4.3.14嚴禁將未經許可的計算機接入局域網,嚴禁擅自允許非公司人員、非本部門人員使用計算機;
4.3.15每臺計算機都應安裝殺毒軟件並定期升級、查殺計算機病毒,發現無法清除的計第機病毒,應及時聯繫網絡管理人員;
4.3.16計算機出現故障需重新安裝操作系統時,應通知管理人員進行維護或安裝,為了安全不得私自安裝電腦機箱,不得私自將計算機搬到電腦公司進行維修,下班電腦必須關機切斷電源。
4.4防火牆安全網關防病毒管理
4.4.1服務器主機配套網絡交換機、路由器等連接時均安裝防火牆、安全網關、上網行為管理器等以確保網絡及連接安全,通過防火牆或安全網關的設置對內外網絡訪問按照權限進行控制,在配置和訪問控制策略更改時,及時導出防火牆或安全網關的配置文件、作好備價並標明改動內容;
4.4.2網絡管理員應該及時瞭解廠商發佈的軟硬件升級包,防火牆和安全網關的升級應嚴格按照配置變更流程進行;
4.4.3網絡安全小組負責建立突發病毒事件應急相應機制,在重大病毒爆發時,負責組織和協調相關部門研究應急方案、付諸實施,並跟蹤有關反饋信息和處理結果;
4.4.4網絡安全小組負責在全網範國內建立多層次的防病毒體系,要使用國家規定的、具有計算機使用系統安全專用產品銷售許可證的防病毒產品。應安裝防病毒軟件、防火牆以及安全衛士等惡意軟件防治工具;
4.4.5對病毒特徵庫的升級以及系統補丁情況進行手工檢查,將當前版本與軟件產商在網站公佈的版本進行對比;
4.4.6當出現計算機病毒傳染跡象時,應當立即隔離受傳染主機,立即隔離被感染的系統和網絡並進行處理,不應帶"毒"繼續運行;
4.4.7如出現大面積病毒傳播的趨勢,要根據病毒的傳播形式,採取網絡訪問控制,內容過濾等手段控制病毒的擴散;
4.4.8儘量使用專殺工具對病毒進行查殺,完成後重啟計算機,再次用最新升級的防病毒軟件檢查系統中是否還存在該病毒,並確定被感染破壞的數據是否確實完全恢復;
4.4.9查找中毒原因,改進和完善防護措施,並將系統和網絡感染病毒情況上報上級網絡監管部門及網絡信息安全部。
4.5網絡安全管理措施
4.5.1出現私自改動帳號和密碼、刪除安全防護軟件的,責任人扣罰50元/次。 4.5.2互換、互用帳號(包括但不限於OA、網站等信息系統)的情況,互換雙方扣罰50元/次; 4.5.3讓非本公司人員使用辦公電腦,該辦公電腦的使用責任人扣罰50元/次。 4.5.4員工利用辦公電腦處理非工作事務(包括但不限於玩電腦遊戲、觀看和下載小說、與公司無關視
頻、瀏覽與工作無關的網頁,進行與工作無關的網絡聊天等行為),扣罰50元/次。 以上違規行為,如由集團辦檢查發現,則當事人所在部門負責人應同時等額扣罰。 4.5.5私自修改個人IP地址及網關等設備的情況,責任人扣罰100元/次;如因此給公司重大網絡安全隱
患,一經核實,責任人扣罰200元/次,部門負責人按500元/次進行扣罰;如因此導致公司出現網絡癱瘓等重大安全事故時,責任人按500元/次進行扣罰,其部門負責人按100元/次進行扣罰。
4.5.6在網絡上共享公司機密信息或在網絡上發佈虛假信息、惡意抵毀言論的,一經核實,責任人扣罰不低於500元/次,其部門負責人扣罰800元/次。
4.5.7責 任
4.5.7.1網絡安全中心將不定期通過IP流量分析和實地檢查的方式對網絡的使用情況進行巡檢,規範和管理用戶的上網行為。對於出現違規現象的用戶,給予警告;情節嚴重者,將停止其計算機的網絡連接出口;對不遵守以上規定,造成公司較大損失的,將視情節輕重追究當事人及部門主管領導的責任;造成違法犯罪的,移送公安機關處理。
5.0其 他
5.1本制度最終解釋權歸行政人資中心。
5.2本制度自2X年XX月X日起試行二個月,試行結束後如無修訂版頒佈,則自動形成正式版。
5.3本制度試行之日起,公司與《網絡安全管理制度》相關的原有條款自動失效。
閱讀更多 讓管理回簡單 的文章
