X-XX公信息安全管理办法【2011.7】.doc

信息安全管理办法 版本 1.0 修订历史记录 编号 章节 修订说明 修订日期 修订前版本号 修订后版本号 修改人 审批人 1 2 目 录 1. 总则 4 1.1 目的 4 1.2 范围 4 2. 信息安全管理相关角色职责 4 3. 病毒防范 4 4. 域用户管理 4 5. 网络应用管理 4 6. 网络监控 5 7. 处罚条例 5 信息安全管理办法 总则 目的 为规范公司网络和软件使用规范，加强公司信息安全，提高工作效率，特制定本办法。 范围 本管理办法中所指的软件应用特指员工工作所需的软件工具，以及无形的信息流管理，本管理办法是对IT设备所承载的数据信息的管理，主要内容包括病毒防范、黑客防范、防止内部信息被盗用或权限失控，防止工作外的信息干扰等等。 信息安全管理相关角色职责 IT主管/IT工程师 负责制定信息安全管理办法并实施管理； 负责监控网络数据流通，并根据监控情况对不符合规定的行为进行阻止，对严重事件通报各级领导。 公司总经办 定义信息管理策略，批准IT制定的信息安全管理办法； 批准信息安全方面的投资。 公司所有员工 在公司允许范围内合理使用信息； 保护公司信息安全。 病毒防范 公司局域网上的每台计算机安装网络版杀毒软件Symantec8.0客户端，客户端杀毒程序会自动与服务器进行同步病毒库，员工不必关心杀毒软件升级问题。 避免在一台计算机上安装多套杀毒软件程序，这可能导致系统缓慢或其他系统问题。 IT工程师将及时关注操作系统补丁发布，提醒每位员工及时对操作系统打补丁程序。员工应及时进行补丁升级。 域用户管理 在公司局域网上建立公司域环境管理，员工使用域用户进行操作系统的登录。只有以域用户才能访问公司的公共文档，例如VSS系统、服务器上的公共文件夹。外来计算机设备即使连接到公司局域网上也不能访问公司的文档。 员工域用户账号和密码是登录系统和访问公司公共信息的钥匙，必须牢记账户密码，并注意不要泄漏给其他人。公司也将不定期使用域内组策略强制用户更改域账号密码，并限定密码复杂程度。 在局域网内不建议员工开设共享文件夹，如需工作需要开设，必须要进行权限限定。 在域环境中，用户安装软件将受到限制，避免因安装不必要的软件造成操作系统问题，影响员工工作。 在域环境中，员工的账号将由管理员集中管理，即使员工忘记密码，管理员可以及时恢复。 为了公司信息安全，IT工程师将及时清理过期的各类系统账号，主要包括域用户账号、邮箱账号、Notes账号。 网络应用管理 为了能够合理应用公司网络出口带宽，提高员工工作效率，在公司局域网网络出口进行网络监控。 公司将屏蔽大部分端口，将阻止部分与工作无关的网络应用软件的运行，这其中包括网络即时通讯如QQ、ICQ等（MSN通讯除外），网络游戏，网络P2P下载如BT等等。在工作时间员工尽量不要下载过大的文件，占用过多的网络带宽，对于此种情况，IT工程师将对此台计算机进行流量限制，超出流量限制范围，此台计算机将会禁止网络功能。 因为工作需要使用某些网络工具（使用被屏蔽的端口），在公司领导同意下，IT工程师将对指定电脑开放指定端口。 网络监控 IT工程师将不定期检查每台电脑的网络流量，记录网络流量的具体内容。 对于网络监控情况IT工程师将每周做周报汇报给公司高层领导。 具体监控措施有流量统计分布、网站访问统计、每日流量统计、每台计算机流量统计。 处罚条例 参考《IT设备管理办法》中“处罚条例”一节。 leading role, strengthening the capacity of regional radiation. Urban and rural is an inevitable trend, also required from a broader construction of the rapid transit system. Entering the 21st century, the city has maintained fast development momentum, are feature-rich and enhanced. Inherent of city space tends to saturated, in more fast of development speed Xia, city population scale also constantly expansion, city function too concentrated by brings of problem increasingly seri