1、XXXXXX有限公司IT管理制度版本號：為了規(guī)范集團（公司）IT各項工作，提高IT系統(tǒng)的可靠性，提高IT系統(tǒng)與設備的總體服務水 平，并使得相關工作具有持續(xù)改善性及相互協作性，特制定統(tǒng)一的IT規(guī)范及標準，包括建立統(tǒng) 一的硬件設備管理規(guī)范，統(tǒng)一的IT網絡、軟件安全標準，統(tǒng)一的系統(tǒng)管理維護流程以及信息安 全管理的目的與責任等。根據公司質量管理體系，以及計算機應用的需要，由IT部制定本管理 制度，并負責本管理制度的具體執(zhí)行。一、計算機硬件管理1、公司的所有計算機及外圍設備是公司的固定資產，根據實際工作需要配備給各部門人員使用， 各部門使用人員必須加以愛護、保持整潔，并保證良好的使用環(huán)境。若用戶使用的設

2、備發(fā)生人 為損壞、設備遺失等，需要按具體規(guī)章制度執(zhí)行賠償。2、由IT部對公司所有計算機設備進行統(tǒng)一編號，建立計算機硬件明細臺帳，并定期對硬件進 行維護、檢查各部門使用情況。3、設備添置、更換、升級：由各部門根據實際工作需要提申請，IT部確定具體配置，書面申 請經總經理、財務副總批準后由IT部進行采購（按公司實際采購流程執(zhí)行）。4、硬件故障：各部門使用人員發(fā)現硬件故障時，應及時向IT部說明情況，由IT部進行確定并 及時處理，各部門人員不得擅自拆裝更換硬件設備。5、部門如需領取耗材，需到IT部（行政部）填寫耗材申請單。申請單須清晰注明耗材申請原 因。申請經財務副總經理批準后，由IT部（行政部）進行

3、發(fā)放。6、計算機的使用人即為該設備的責任人，使用部門為責任部門。未經責任部門經理批準，任何 人不得使用其他部門或他人計算機。7、原則上非公司電腦設備不得接入公司網絡，公司員工的個人私有電腦（非公司資產）如有特殊 原因，必須經使用部門提出申請，由公司最高主管（如公司總經理）或部門主管同意后，由亶 部門工程師檢查系統(tǒng)安全性后并統(tǒng)一安裝公司防毒軟件和補丁升級等系統(tǒng)安全程序方可加入公 司網絡。8、IT部負責對公司所有電腦硬件使用情況的督查和監(jiān)控。備注：在硬件條件允許的情況下，IT將逐步在各分公司實施安全認證，采用技術手段防止外來 設備未經允許的接入情況發(fā)生。同時要求各分公司新購網絡設備符合的標準。在各

4、廠實施條件 未成熟的情況下，可先使用電腦MAC地址與IP綁定的辦法，防止外來電腦隨意接入。二、計算機軟件管理1、軟件的使用：各部門及人員所使用的軟件，由各部門會同IT部共同確定，由IT部進行登記。2、公司需用的軟件，由IT部統(tǒng)一購買、保管，并登記造冊。各部門的專用軟件，由部門經理 安排使用，IT部保管備案。3、軟件的安裝、刪除和升級：由各部門根據工作需要，提出書面需求申請，經總經理批準后， 由IT部進行安裝、刪除和升級。未經IT部批準，各部門和人員不得自行進行上述操作。4、軟件故障：各部門使用人員發(fā)現軟件故障時，應及時向IT部說明情況，由IT部進行確定并 及時處理，各部門人員不得擅自處理。5、

5、員工不得私自在工作機上安裝與工作無關的程序，mp3、影音文件播放程序、聊天工具、游 戲等。6、工作時間（包括加班時間）公司員工不得使用工作用機玩游戲，聽音樂觀看電影。7、移動存儲設備使用管理：為了防止公司資料非法外流以及病毒入侵公司內部網絡，嚴格限制 員工使用外來軟盤、光盤、移動硬盤等移動存儲設備。8、網絡下載管理：為了防止病毒侵入公司內部網絡，保障網絡資源的合理使用，不得隨意下載 文件、信件。9、使用外網郵件：員工在打開外網郵件時必須激活防火墻或“XX郵件監(jiān)控”程序（視具體殺 毒軟件而定）。10、軟件安裝和使用過程中病毒的預防：員工不得在工作機上安裝來歷不明的軟件；安裝軟件 前，應對該安裝盤

6、進行殺毒。安裝軟件時應打開防火墻，防止病毒入侵。11、軟件的版本管理和控制：為了防止公司內的軟件版本混亂和文件格式不兼容，由IT部控制 公司內工作用軟件的版本升級。做到統(tǒng)一版本、統(tǒng)一升級。由于員工個人升級軟件版本造成的 文件格式不兼容問題一律由該員工負責。12、IT部負責對公司所有電腦軟件使用情況的督查和監(jiān)控。三、公司局域網管理：1、部門新進員工在服務器文件目錄下個人專用目錄的創(chuàng)建，應由員工所在部門經理簽字或主管 副總到IT部簽寫局域網員工權限變更登記表，并簽字生效，IT部憑單設定用戶名、密碼，創(chuàng) 建目錄及分配訪問權限。2、由于員工工作的調動等情況需更改目錄訪問權限者，應由員工所在部門經理簽字

7、或主管副總 到IT部簽寫局域網員工權限變更登記表，并簽字生效（特殊情況須總經理審批簽字）IT部憑 單重置用戶密碼、目錄及訪問權限。3、對于離職人員目錄訪問權限的刪除及相關數據的備份，應由員工所在部門經理簽字或主管副 總到IT部簽寫局域網員工權限變更登記表，并簽字生效，IT部憑單刪除目錄訪問權限并對相 關數據進行備份。4、每位使用公司文件服務器的員工，其對應個人專用目錄下均有如下目錄：“部門”、“領導”、 “公有”。目錄的操作權限分別如下：公有：a、本人有完全控制的讀寫權限b、公司其他人員均僅有讀取權限部門：a、本人有完全控制的讀寫權限b、所在部門內所有其他人員均僅有讀取權限c、所在部門以外所有

8、人員均無任何訪問權限領導：a、本人有完全控制的讀寫權限b、僅公司領導有讀取權限c、除以上人員外公司其他人員均無任何訪問權限說明：b、如部門內部員工間進行數據交換，可在本人專用目錄下的“部門”中進行；b、如部門以外員工間進行數據交換，可在本人專用目錄下的“公有”中進行；c、數據交換執(zhí)行完畢請務必及時清理。5、各部門使用人員，必須將本地計算機和文件服務器相關目錄中的工作數據定期進行備份，以 防止因硬、軟故障造成數據資料損失，備份由IT部執(zhí)行，備份資料統(tǒng)一存入公司資料室。6、為推進公司無紙化辦公、提高工作效率、降低辦公成本。IT部使用NOTES軟件，設置內部 局域網郵箱，并為每人設置內部電子郵件地址

9、，各部門使用人必須定時進行查看、回復、整理， 所有郵件數量不得超過10條。7、禁止將與工作無關的圖片、音頻、視頻等文件存放于工作所用電腦或公司文件服務器，絕對 禁止將含有淫穢、色情、暴力的文字、圖片、音頻、視頻等文件存放于工作所用電腦或公司文 件服務器。如違反上述規(guī)定，公司將追究責任并嚴肅處理，因此導致的電腦故障或損壞，則由 本人承擔一切責任。四、Internet （互聯網）使用管理：1、公司注冊域名為：公司郵箱域名為：凡有訪問Internet的權限的用戶電腦，IE默認主頁地址必須設為兩者之一，公司員工有責任 熟記公司域名及郵箱域名。2、任何時間公司員工不得使用公司的電腦瀏覽淫穢、色情、暴力、

10、違反國家安全的網站。3、工作時間（包括加班時間）公司員工不得瀏覽與工作無關的網站，不得下載與工作無關的文 件，包括mp3、Flash、影音文件、游戲等。4、公司員工不得使用BT等可給公司網絡造成嚴重帶寬壓力的軟件進行下載，一經發(fā)現，IT 部即刻查封IP,截止時間以總經理批示可重新接入公司網絡為準，其間造成的不能正常訪問公 司局域網及互聯網等故障及損失，由本人承擔一切責任。5、工作時間（包括加班時間）公司員工不得通過網絡玩在線游戲，聽音樂觀看電影。6、工作時間（包括加班時間）公司員工不得使用任何網絡聊天工具，包括QICQ、ICQ、MSN、 網易泡泡等，不得進入聊天室聊天。7、公司員工上網時必須激

11、活病毒防火墻，不得隨意下載文件、信件，防止病毒侵入公司內部網 絡，如違反該規(guī)定，一切后果由本人承擔。8、各部門上報的因工作需要的上網名單，經公司領導批準后，由IT部統(tǒng)一調配公司員工上網 權限。對于私自盜用他人上網權限的用戶，按有關規(guī)定處理。9、公司為工作需要員工統(tǒng)一分配Email地址，各使用人員必須定時進行查看、回復、整理。10、公司員工不得私自更改本機IP、DNS、網關地址。對于因私自更改造成的一切后果由本人 承擔。11、公司員工不得使用他人電腦上網，不得將外人帶入公司使用公司電腦和通過公司內網上網。12、無上網權限的員工因工作需要，可以申請訪問INTERNET，經部門經理批準后，由IT部分

12、 配其上網權限，公司有權對用戶的上網行為作記錄，IT將保留最近2個月的上網日志，以供相 關部門主管查詢。五、信息安全管理：入、目的制定信息安全制度的目的是：確保XX公司的網絡系統(tǒng)運行在一種合理的安全狀態(tài)下，同時不影響公司員工使用網絡。具體目標包括：保障數據安全和系統(tǒng)安全。1、數據安全防止未經授權修改數據；防止未經發(fā)覺的遺漏或重復數據；防止未經授權泄露數據；確保數據發(fā)送者的身份正確無誤；確保數據接收者的身份正確無誤；數據的發(fā)送者、接收者以及數據的交換僅對發(fā)送者與接收者是可見的；在取得明確的可訪問系統(tǒng)的授權后，才能與該系統(tǒng)通信。2、系統(tǒng)安全防止未經授權或越權使用系統(tǒng)；控制網絡流量，防止過量的訪問使

13、系統(tǒng)資源過載導致的系統(tǒng)崩潰。內部網絡流量超負荷，保障 外網服務（Internet）、內網郵件服務（Notes）的安全。B、適用范圍信息安全制度適用于：1、任何與XX公司網絡設備相連的IP網絡，所有連接到上述網絡上的設備；2、任何XX公司所屬數據傳輸經過的網絡，所有上述網絡上傳輸的數據；3、對數據進行管理的人員，如果要將新的設備增加到XX公司的網絡中，適 用于該項目的負責人；4、所有連接到XX網絡中的設備，以及XX公司職員在該網絡中使用的任何設備；C、責任在信息安全制度的涉及范圍內，每個部門的信息安全由部門負責人或由其指定專人來負責。D、內容1、內部人員的攻擊，包括有意和無意兩種。主要表現為：保

14、密觀念不強，或不懂遵守保密守則，隨便泄漏機密；打印復制機密文件；隨便打印出系統(tǒng)保密字或向無關人員泄露有關機密信息；由于業(yè)務不熟練、操作失誤，導致文件丟失或者誤發(fā)，或因未遵守操作規(guī)則而造成泄密；因規(guī)章制度不健全造成人為泄露事故，如對機密文件管理不善，各種文件存放混亂，違章操作 等造成不良后果；素質差，缺乏責任心，沒有良好的工作態(tài)度，明知故犯，或有意破壞網絡系統(tǒng)和設備；利用竊取系統(tǒng)的磁盤、磁帶或紙帶等記錄載體或利用被廢棄的打印文件、復寫紙來竊取系統(tǒng)用 戶信息；通過非法竊取他人的用戶名和口令來進入他人的計算機，拷貝文件或進行破壞；使用帶有病毒的外來介質，帶毒的磁盤、存儲設備；瀏覽具有惡意代碼的互聯網

15、網頁。2、外部人員的攻擊或非法訪問外來設備企圖聯入本企業(yè)的局域網；通過物理連接試圖竊取管理員身份、或竊取重要文件；通過發(fā)送病毒郵件、蠕蟲攻擊；外部人員非法在本企業(yè)局域網中安裝、使用木馬、嗅探器等程序。3、技術故障所帶來的威脅。通常指突發(fā)事故由于硬件原因造成系統(tǒng)的故障；人為刪除系統(tǒng)重要文件：、C:WINNT或C:WINDOWS目錄及其中的文件等；新軟件、硬件的不當安裝引起系統(tǒng)無法正常使用；內部人員擅自使用其他軟件或更改網絡配置（如IP地址）導致服務器不能正常工作；由于不可抗拒的因素導致硬件損壞。4、數據的意外丟失由于硬件的損壞導致數據丟失；由于系統(tǒng)的不穩(wěn)定導致數據丟失；電力系統(tǒng)故障造成的數據丟失

16、；E、解決方案1、軟件資源的安全和管理方案主要規(guī)范軟盤、光盤、移動存儲設備使用、網絡下載、使用外網郵件、軟件安裝和使用過程中 病毒的預防及使用控制。2、數據資源的安全和管理方案數據存儲的安全管理存放有業(yè)務數據或程序的磁盤、磁帶或光盤，應視同文字記錄妥善保管。必須注意防磁、防潮、 防火、防盜，必須垂直放置；對硬盤上的數據，要根據安全分級建立有效的權限，并嚴格管理，對于內部訪問級和機密級的 數據要進行嚴格的NTFS權限設置和必要的加密，以確保硬盤數據的安全；存放有業(yè)務數據或程序的磁盤、磁帶或光盤，管理必須落實到人，并分類建立登記薄，記錄編 號、名稱、用途、規(guī)格、制作日期、有效期、使用者、批準者等；

17、對存放有重要數據的磁盤、磁帶、光盤，至少要備份兩份并分兩處妥善保管；日常工作數據不存放于引導分區(qū)及操作系統(tǒng)所在的磁盤分區(qū)（如：我的文檔、桌面、C盤）； 打印有業(yè)務數據的打印紙，要視同檔案進行管理；凡超過數據保存期磁盤、磁帶、光盤，必須經過特殊的數據清除處理，否則不能視同空白磁盤、 磁帶、光盤；凡不能正常記錄數據的磁盤、磁帶、光盤，須經測試確認后由IT部進行毀，并做好登記； 對需要長期保存的有效數據，應在磁盤、磁帶、光盤的質量保證期內進行轉儲，轉儲時應確保 內容正確。數據的使用管理數據必須嚴格保密，未經上級主管部門同意，一律不準對外提供任何數據和程序； 數據按規(guī)定進行拷貝以外，任何人不得以任何借

18、口和形式進行拷貝。F、密碼安全和管理方案1、培養(yǎng)良好的安全操作習慣，在指定的計算機或終端上操作，不要把密碼寫在記事本或電腦上， 有事離開計算機時應將其鎖定；2、防止電腦緩存、Cookies記錄重要密碼，特別是辦公室的電腦里；3、做到口令專管專用，定期更改并在失密后立即報告；4、人員調離時，應采取相應的安全管理措施。例如：人員調離的同時馬上移交工作、更換口令、 取消帳號。六、網絡機房管理：A、機房管理1、要有安全防范意識。早進入、晚離開時要檢查設備情況；離開時察看燈、門、窗、鎖是否關 閉好。2、路由器、交換機和服務器以及通信設備是網絡的關鍵設備，不得自行配置或更換，更不能挪 作它用。3、非工作人

19、員進入機房，要事先征得同意；未經許可一律不準觸碰開關和設備。4、機房工作人員要掌握防火技能，定期檢查消防設施是否正常。出現異常情況應立即報警，切 斷電源，用滅火設備撲救。5、計算機房要保持清潔、衛(wèi)生，并由專人負責管理和維護（包括溫度、濕度、電力系統(tǒng)、網絡 設備等），無關人員未經管理人員批準嚴禁進入機房。6、嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房。不能明火作業(yè)。機房一律 禁止吸煙，凡不聽勸告者，一律逐出機房。7、建立機房登記制度，對本地局域網絡、廣域網的運行，建立檔案。未發(fā)生故障或故障隱患時 當班人員不可對中繼、網線及各種設備進行任何調試，對所發(fā)生的故障、處理過程和結果等做 好詳細登記。8、網管人員應做好網絡安全工作，服務器的各種帳號嚴格保密。監(jiān)控網絡上的數據流，從中檢 測出攻擊的行為并給予響應和處理。9、做好操作系統(tǒng)的補丁修正工作。10、網管人員統(tǒng)一管理計算機及其相關設備，完整保存計算機及其相關設備的驅動程序、保修 卡及重要隨機文件。11、計算機及其相關設備的報廢需經過管理部門或專職人員鑒定，確認不符合使用