計算機信息安全管理制度

（可.以直接使用，可編輯實用優(yōu)秀文檔，歡迎卜.載）

計算機信息安全管理制度

1目的

加強計堂機網(wǎng)絡及計電機信息安全管理，保障公司網(wǎng)絡平臺、應用系統(tǒng)的正常運行及數(shù)據(jù)安午，

防止it密。

2范圍

適用r公司及各事業(yè)部、分公司、控股子公司（以下簡稱各經(jīng)營單元）所有計算機信息安全管理。

3術語

3.1辦公計算機：辦公用臺式機、筆記本電腦等屬于公司資產(chǎn)的計算機設備。

3.2計算機信息：是指存儲在計兌機上的軟件、數(shù)據(jù)、圖紙等含有一定意義的計算機信息資料。

3.3內(nèi)部網(wǎng)絡：公司長沙園區(qū)網(wǎng)絡及通過專線與長沙園區(qū)互聯(lián)的其他園區(qū)、駐外機構網(wǎng)絡（以下簡稱

內(nèi)網(wǎng)）。

3.4外部網(wǎng)絡：互聯(lián)網(wǎng)或除互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)之外的第三方專網(wǎng)（以卜簡稱外網(wǎng)）。

4職責

公司計衽機信息安全采用集中控制、分級管理原則。

4.1公司信息化管理部U：負責制定公司計算機信息安全戰(zhàn)略目標及信息安全策略、皙導公司日常計第

機信息安全管理，負責直屬部門計算機信息安全日常工作。負責協(xié)調(diào)公司內(nèi)外部資源，處理公司重大

計算機信息安全事件。

4.2經(jīng)營單元信息化管理部門：負責本經(jīng)營單元計算機信息安全日常工作，及時向公司信息化管理部

門、將察部門報告重大計算機信息安全隱患和計算機信息安全事件。

4.3計算機用戶：負責本人領用的辦公計免機H常保養(yǎng)、正常操作及安全管理，負貢所接觸信息的保密

性、可用性和完整性；及時向信息化管理部門報告計算機信息安全隱患和計算機信息安全事件。信息

的起草人須按《保箔制度》相關規(guī)定提出信息密級定級申請。

5內(nèi)容與要求

5.1賬號和密碼安全管理

5.1.1.信息化管理部門須統(tǒng)?生成信息系統(tǒng)用戶賬號，并確保身份賬號在此系統(tǒng)生命周期中的唯?

性：對賬號密碼信息進行加密處理,確保用賬號密碼不被非授權地訪問、修改和刪繪。

5.1.2.員工因工作崗位或職責變動需變更賬號權限時，須向信息化管理部門提出申請權限變更。信

息化管理部門應及時變更異動員工的權限，凍結離職員工的賬號。

5.1.3.員工使用公司計算機信息系統(tǒng)時，兔參照附件9.1&網(wǎng)絡與計算機外部設備訪問權限申請流

程》,向信息化管理部門提出申請，經(jīng)審批后方可取得賬號和初始密碼。員工使用初始密碼登錄信息

系統(tǒng)后，須立即更改密碼。

5.1.4.密碼須滿足以下要求：密碼長度至少8位，密碼必須由大寫字母（A到Z）、小寫字母（a到

z）、符號（@#$%八&*等）和數(shù)字（0~9）4組類型至少|(zhì)需取2種組合。批注億1]:是否考慮由2種改為3種，與域賬號密碼耍

求統(tǒng)一？

5.1.5.密碼更換周期不得長于兩個月，且變更前后的密碼不能相同。

批注[Z2]:寫至少2種組合是考慮到目前OA賬號的密

5.1.6.用戶登錄系統(tǒng)時，密碼連續(xù)輸錯5次，用戶賬號將變成鎖定狀態(tài)，用戶須向信息化管理部門眄強度,建議不改動.

申請解鎖。嚴禁以非法手段嘗試獲取他人賬號密碼信息，未經(jīng)授權不得使用他人賬號潛碼登錄系統(tǒng)。

5.1.7.用戶對自己賬號密碼的安全性負責，禁止泄確給他人。因個人賬號密碼管理不慎造成的信息

安全事件由賬號所有者負最終責任。

5.2辦公計算機安全管理

5.2.1.信息化管理部門在H常管理辦公計算機時，應進行如下安全設置：

a）須為所有辦公計算機設苴BIOS密碼，關閉未申請使用的接口并貼封條和配備機箱鎖；

b）須為所有辦公計算機部署相應的內(nèi)網(wǎng)安全管理系統(tǒng)及防病毒軟件：

c）主機設備需要帶離現(xiàn)場維修時，應由保密專員進行全程陪同，并拆除所有存儲介質(zhì)；

d）存儲介質(zhì)應到具TT涉密信息系統(tǒng)數(shù)據(jù)恢紀資質(zhì)的單位進行維修：

e）不再使用或無法使用的電備應按相關規(guī)定及時進行報廢處理。

5.2.2.計算機使用人在日常使用辦公計算機時應遵守如卜要求：

a）計算機用戶使用計算機在處理公司涉密信息及賬號信息時，應注意信息安全防范，防止被無

關人員觀視泄密：替時離開計算機時應啟用帶密碼保護的屏幕保護程序或直接鎖定計匏機。

b）定期檢查計算機設各標簽、封條、機箍鎖，如有破損及時通知信息化管理部門處理.

c）不得擅自掛接計算機輸入輸出設備以及故意損毀計算機設備標簽、封條和硬件鎖。不得將相

關設備挪作私用。

d）如需使用計算機以外的輸入輸出設備（如打印機、掃描儀、移動存儲類設備及刻錄光騎等）

及硬件接口時，須參照附件9.1《網(wǎng)絡與計算機外部設備訪問權限申請流程￥執(zhí)行。

e）禁止利用辦公計算機處理與工作無關內(nèi)容、破壞或影響其它員工正常工作。

f）嚴禁擅自卸載公司內(nèi)網(wǎng)管理系統(tǒng)及就病毒系統(tǒng)。

8）嚴禁使用辦公計算機發(fā)布不良信息、牟取私利、泄露公司機密和從事違法犯罪活動。

5.3計算機防病毒管埋

5.3.1計算機用戶在使用計算機過程中應注意采取以下防病毒安全措施：

a）禁止私自關閉、卸載或更換防病毒軟件，應及時更新病毒庫和操作系統(tǒng)補丁，保證計算機安

全運行。

b）發(fā)現(xiàn)或懷疑有辦公計算機被病毒感染，應立即斷開網(wǎng)絡并執(zhí)行全盤掃描病毒程序，如感染癥

狀未能解除須立即上報信息化管理部門。

c）對任何外來資料，須使用防病毒軟件進行掃描后方可使用，不要打開外來不明徒接。

d）嚴禁故意瞞報、制作、下載、運行及傳播計算機病毒。

5.3.2信息化管理部門須維護防病毒系統(tǒng)及補丁更新系統(tǒng)正常運行。在發(fā)生重大病毒發(fā)作事件時，應及

時發(fā)布病毒預警，及時采取有效的預防指尷防止病毒大面積擴散。

5.4網(wǎng)絡安全管理

5.4.1信息化管理部門在管理辦公計算機網(wǎng)絡安全時，應遵循以下要求：

a）必須嚴格隔斷允許訪問外網(wǎng)的計算機與內(nèi)網(wǎng)計算機之間的亢接通訊。

b）必須嚴格隔斷內(nèi)網(wǎng)中財務、研發(fā)與JI：它管理類計算機之間的直接通訊。

c）辦公計算機在使用公司網(wǎng)絡時，用戶身份、網(wǎng)卡物理地址必須與網(wǎng)絡訪問資源一對一綁定。

信息化管理部門在保護信息化應用系統(tǒng)網(wǎng)絡安全時，應遵循以下要求：

a）信息化應用系統(tǒng)的服務器及存儲設備只允許安裝在公司的網(wǎng)絡機房、數(shù)據(jù)中心機房內(nèi)，特殊

情況可申請托管在第三方機房內(nèi)，禁止安裝在普通辦公場所及其它不安全場所內(nèi).

b）信息化應用系統(tǒng)需要啟動遠程管理時，須使用加密的遠程管理協(xié)議，并旦實現(xiàn)專人、專機、

專網(wǎng)管理，防止遠程管理權限被非法竊用。

c）必須在公司內(nèi)外部網(wǎng)絡交匯處設置必要的防火增系統(tǒng),并制定必需的防火墻策略：未經(jīng)授權，

不允許將任何內(nèi)部IP地址和服務端口映射到外部網(wǎng)絡。

d）對外的信息化應用系統(tǒng)必須部署必要的安仝手段以檢測和減少被攻擊行為,并采取必要措施

便于對非法行為進行審計取證。

e）定期檢查內(nèi)部網(wǎng)絡運行情況，及時發(fā)現(xiàn)非法網(wǎng)絡接入。

f）需要變更網(wǎng)絡安全相關管理策略時，按9.14網(wǎng)絡與計算機外部設備訪問權限申請流程》辦理。

5.4.3用戶在使用公司網(wǎng)絡資源時，應遵循以下安全要求：

a）在默認情況下，所有辦公用臺式機和工作站只能訪問公司內(nèi)網(wǎng)：筆記本不允許接入公司內(nèi)網(wǎng)。

計算機用戶需要申請網(wǎng)絡權限時，須按附件9.1《網(wǎng)絡與計算機外部設備訪問權限申請流程》

審批后開通。

h）員，因崗位職貢變化不再需要使用外網(wǎng)時，應及時通知信息化首埋部門關閉外網(wǎng)權限.

c）禁止員工私自修改辦公計兌機的IP地址、網(wǎng)卡地址等，禁止將辦公計算機私自接入非指定網(wǎng)

絡環(huán)境.

d）當需進行信息提取時，按附件9.2《計算:機信息提?。ㄝ斎耄┝鞒獭忿k理。

5.5信息化應用系統(tǒng)開發(fā)安全管理

5.5.1信息化應用系統(tǒng)開發(fā)安全需求

a）必須有可靠的身份認證機制，不允許匿名訪問，賬號和密碼須滿足安全管理要求。

b）必須有完整的權限管理系統(tǒng)，支持分層分級授權。

c）賬號密碼必須加密存儲在后臺數(shù)據(jù)庫中。

d）必須基于職責分離原則定義不同業(yè)務模塊的使用權限。

e）信息化應用系統(tǒng)必須經(jīng)過第三方安全測評機構測評合格后才能正式投入運行，

f）信息化應用系統(tǒng)開發(fā)各階段產(chǎn)生的源代碼程序、編譯程序及文檔資料嚴格按用戶授權集中管

理。

5.5.2信息化應用系統(tǒng)運營安全管理

a）必須定期審計信息化應用系統(tǒng)用戶行為。

h）必須定期備份信息化應用系統(tǒng)數(shù)據(jù)。

c）嚴禁獲改信息化應用系統(tǒng)數(shù)據(jù)及更改正式系統(tǒng)環(huán)境下信息化應用系統(tǒng)程序文件。

d）必須嚴格權限控制，按業(yè)務職費對用戶合理授權，信息化應用系統(tǒng)權限的變更須經(jīng)信息化管

理部門審批。

e）需定期進行風險檢測與評估,確保信息化應用系統(tǒng)運行安全。

5.6網(wǎng)絡設缶安仝配?

5.6.1所有網(wǎng)絡設備必須由信息化管理部門指定專員、專機管理。需要使用遠程管理時，優(yōu)先使用

統(tǒng)一的加密的遠程管理協(xié)議實現(xiàn)功能，并確保專人、專機、專網(wǎng)管理，嚴防遠程管理權限被非法竊用。

5.6.2管理網(wǎng)絡設備時需要用到的密碼信息必須以密文形式保存。

5.6.3未經(jīng)授權，網(wǎng)絡管理匚程帥不得私自更改網(wǎng)絡設備的配包文件。

5.6.4網(wǎng)絡管理一匚程帥更改重要網(wǎng)絡設備配置前，必須先備份現(xiàn)有配置文件，更改網(wǎng)絡設品時，需

填寫K配置變更登記表》并嚴格按照表內(nèi)容進行。

5.6.5網(wǎng)絡管理工程師必須周期性備份管轄范圍內(nèi)所有網(wǎng)絡設備的配置文件。

5.6.6網(wǎng)絡設備故障時，盡可能搶救現(xiàn)畬配西文件，開用最用備份版本的配置文件快速配置首換設

備。

5.6.7定期審計網(wǎng)絡配芭。

5.6.8需定期進行風險檢測與評估，確保網(wǎng)絡設備運行在可接受安全.

5.7數(shù)據(jù)備份與恢復管理

5.7.1信息化管理部門必須為所有信息化應用系統(tǒng)制定相應的數(shù)據(jù)備份與恢復策略，填寫6數(shù)據(jù)備

份記錄表》，參照《信息備份與數(shù)據(jù)恢發(fā)管理辦法》執(zhí)行。

5.7.2信息化管理部門須定期檢查備份策略的有效性和執(zhí)行情況，進行備份恢愛測試,確保備份介質(zhì)

不僅有效，而且能在恢豆操作步驟分配的時間內(nèi)完成。

5.7.3數(shù)據(jù)備份應保證及時、完整、真實、準確地轉(zhuǎn)儲到不可更改的介質(zhì)匕備份介質(zhì)須異地存放。

5.8機房安全管理

5.8.1信息化應用系統(tǒng)的硬件設備只允許放置在公司的網(wǎng)絡機房、數(shù)據(jù)中心機房內(nèi)，特殊情況可申請托

管第三方機房，嚴禁放置在普通辦公場所及其它不安全場所內(nèi)。

5.8.2機房配備溫濕度計和干冰滅火器，信息化管理部門須對機房人員進行消防安全指導，并做好機房

的防火、防盜、防水、防靜電、防雷擊措施，杜絕相關安全事故發(fā)生。

5.8.3信息化管理部門須指定專人負費對機房內(nèi)各類設備進行安全維護和管理，對機房進行定期巡檢，

遇到異常情況及時處理，并參照《計兌機機房管理規(guī)定》執(zhí)行。

5.9出圖管理

5.9.1信息化管理部門須指定專人負費對出圖設備進行安全管理和維護，為出圖申請部門提供相應的技

術支持。

5.9.2圖紙只能在出圖室出圖設備上打印。技術部門如配備有打印機，需指定專人管理,且打印機只能

打印文檔資料?，不得打印圖紙,違者按《保密制度》相關規(guī)定處理。

5.9.3出圖人員須在0A中發(fā)起《出國申請流程》經(jīng)審批后方能出圖，體參照附件9.3久AD出圖管理

流程》執(zhí)行。

5.9.4出圖人員未經(jīng)許可不得操作出圖室的打印服務器和出圖設備。

5.9.5出圖人員取圖時須出示本人員工卡，由信息化管理部門進行身份核實，并將其清點的圖紙與所填

寫的出圖申請表上內(nèi)容核對一致后方可取走圖紙，嚴禁代領和國領。

5.10信息安全培訓管理

5.10.1信息化管理部門應及做好信息安全培訓工作，減少因意識和操作失誤帶來安全風險。

5.10.2信息化管理部門必須根據(jù)國內(nèi)外及行業(yè)內(nèi)信息安全發(fā)展的現(xiàn)狀每年制定信息安全培訓計劃，培

訓計劃要求如卜：

a）保證培訓內(nèi)容能指導員工正常處理口常工作中可能遇到并應該引起注意的信總安全問題。

h）針對不同的培訓對象如一般新員工、一般老員工、信息化內(nèi)部員工、及關鍵涉密崗位需制定

不同的培訓內(nèi)容。

C）針對不同的培訓對象和內(nèi)容明確培訓形式及目標。

d）必須針對培訓效果進行考核。

6違紀與處罰

6.1對違反本制度的違紀行為，信息化管理部門填寫《信息安全違規(guī)記錄表》，并定期上報督察部門，

依據(jù)違紀類型進行相應處罰。

以下違紀行為，視其怙節(jié)最高可給予開除處分，并移交司法處理：

a）違反國家有關信息管理的法規(guī)，利用網(wǎng)絡從事違反中華人民共和國法律和法規(guī)的活動，發(fā)表

違反法律法規(guī)的言論（包括以任何理由），泄露國家機密，進行任何破壞國家安全的活動的：

b）利用網(wǎng)絡對他人進行侮辱、誹謗、騷擾的：侵害他人合法權益的；侵犯他人的名譽權、肖像

權、姓名權等人身權利的；侵犯他人的商譽、商標、版權、專利、專有技術等各種知識產(chǎn)權

的；

0利用網(wǎng)絡或電子郵件傳輸任何非法的、騷擾性的、中傷他人的、辱罵性的、恐嚇性的、傷害

性的、淫穢的信息數(shù)據(jù)；傳輸任何教唆他人構成犯罪.行為信息數(shù)據(jù)的；主動發(fā)送連鎖郵件或

垃圾批件以及生動散布計算機病毒或惡意代碼的：以任何形式、任何目的對電子郵件功能進

行濫用的；盜用他人任何系統(tǒng)帳號的；傳輸助長國家不利因素、涉及國家安全，以及任何不

符合國家法律、法規(guī)、規(guī)章信息數(shù)據(jù)的：

d）終端用戶使用破解、猜測和嗅探口令工具企圖侵入信息化應用系統(tǒng)的：或使用黑客工具攻擊

內(nèi)部網(wǎng)絡：或擅自修改和刪除信息系統(tǒng)信息的：

e）利用公司信息化資源中取私利的.

n有其他嚴重違反計算機信息安全規(guī)定的行為，造成嚴重后果或重大損失的。

以下違紀行為，視其情節(jié)最高可給予記大過處分：

a）擅自拆裝計算機設備，或自行插拔機內(nèi)部件或添加設備的；

b）由于保管不善而泄漏個人賬號和密碼，使公司重要信息泄漏或信息系統(tǒng)遭到攻擊，給公司造

成重大損失的：

0員工在所使用的計算機上搐自卸載公司統(tǒng)一安裝的內(nèi)網(wǎng)監(jiān)控軟件的；

d）有其他較嚴重違反計算機信息安全規(guī)定的行為，造成較嚴重后果或一定損失的。

以卜違紀仃為，視具情節(jié)最高可給予記過處分：

a）擅自刪除或修改計算機的標準軟件及系統(tǒng)配置,（如用戶名、用戶IP地址等）的：

b）員工在所使用的計算機上報自卸載公司統(tǒng)一安裝的防病毒軟件，或故意使防病毒軟件處于未

激活狀態(tài)的：

0工作時間長時間參與工作無關的網(wǎng)上聊天、瀏覽與業(yè)務無關的網(wǎng)站、玩電腦游戲的：

d）卜我互聯(lián)網(wǎng)上的非法軟件或拷貝外來的非法軟件進入公司網(wǎng)絡的：

e）大量卜載或傳輸與業(yè)務無關的數(shù)據(jù)以非法軟件，占用網(wǎng)絡帶寬的：

f）有其他一般違反計算機信息安全規(guī)定行為的。

以下違紀行為，視其情節(jié)最高可給予通報批評處分：

a）離開計算機時不及時進行鎖屏或不按規(guī)定設置自動啟用扉幕保護的：

b）員工隨意在自己的計算機內(nèi)設置共享目錄，未設置口令保護，并在共享完畢后未能立即取消

共享功能的：

c）有其他輕度違反計兌機信息安全規(guī)定行為的。

7相關文件

7.1&信息化應用系統(tǒng)管理規(guī)定》

7.2《保密制度》

7.3《計兌機機房管理規(guī)定》

7.4《信息備份與數(shù)據(jù)恢復管理制度》

7.5年計算機設備管理辦法》

8記錄

8.1《計算機信息提?。ㄝ斎耄┥暾垎巍?/p>

8.2《出圖申請單》

8.3?信息安仝違規(guī)記錄表》

8.44計算機安全檢查記錄表》

8.5g數(shù)據(jù)備份記錄表》

8.66配置變更登記表》

9附件

9.1網(wǎng)絡與計算機外部設備訪問權限申請流程

9.2汁算機信息提?。ㄝ斎耄┝鞒?/p>

9.3CAD出圖管理流程

9.4電子數(shù)據(jù)歸檔流程

附加說明：

本制度由信息化管理部門提出并解擇。

本制度主要起草人：愛藝曾箏

本制度審核人：張E慶

本制度批準人：王玉坤

記錄1:

計算機信息提?。ㄝ斎耄┥暾垎?/p>

干請人信息筆級提取時間

信息來源部門負信息提取部門

審批人

賁人負貨人

信息名稱介質(zhì)

信息來源及目

的地

計算機信息安

銷毀人證明人銷毀時間

全工程師

注：信息等級審批，絕密信息一一CEO;機密信息一一分管領導；秘密和一般僖息一一部門負費人。

記錄2：

出圖申請單

部門出圖人

項目用途

圖幅數(shù)量代號（編碼）名稱

A0

A1

A2

A3

A4

項目負責人審批

計算機信息安全日期

工程師

備注：⑴AO、A1必須填寫代號、名稱。⑵總圖、一級部件不論圖幅大小，必需填寫代號、名稱。

記錄3：

信息安全違規(guī)記錄表

基本信息

違規(guī)人姓名所屬部門

計算機名/IP賬號違規(guī)時間

違規(guī)行為描述

違紀定級

呈報單位呈報人呈報時間

記錄4：

計算機安全檢查記錄表

單位名稱：年季度

設備號機器IP使用者部門時間系統(tǒng)狀態(tài)描述

記錄人:審批人:

記錄5：

數(shù)據(jù)備份記錄表

信息化應用系統(tǒng)基本信息

應用名稱所在園區(qū)操作員

操作系統(tǒng)類型數(shù)據(jù)庫類型支撐平臺

備份內(nèi)容數(shù)據(jù)庫/程序備份類型（增備/全備份周期

備）

備份日標園區(qū)備份方式手動/自動備份介質(zhì)

備份操作記錄表

時間備份情況說明備份結果

記錄6：

配置變更登記表

編號：G+年月日+順序號

日期設備名設備編號記錄人

變更原因：

配置內(nèi)容

原內(nèi)容：變更內(nèi)容：

附件

9.1網(wǎng)絡與計算機外部設備訪問權限申請流程

適用范圍：本流程適用于公司計算機網(wǎng)絡（包括跨網(wǎng)段計算機、互聯(lián)網(wǎng)等網(wǎng)絡）及計算機外部設備（包

括光軀、USB外設、移動存儲等設備）的訪問權限申請管理.

流程圖說明責任人（參與人）

［接收申請）

?接收直屬部門或經(jīng)營單元相關負賁入審批公司信息化部信息安全工程師、經(jīng)

通過后的申請營電元信息安全工程師

、、、No

批；1?按權限分級審批申請：

①直屬部門及沒有派駐信息化主管的經(jīng)營單公司信息化部部長

Yes

元申請

②有派駐信息化主管的經(jīng)營單元申請派駐經(jīng)營單元信息化主管

開通權限?按權限分級開通計算乩安全權限，并將結果反

饋給申請人：

①直屬部門申請及跨網(wǎng)段計算機訪問公司信息化部信息安全工程師

②經(jīng)營單元申請（不包含跨網(wǎng)段計算機訪問）經(jīng)營單元信息安全工程師

（歸檔I?存檔匯總公司信息化部信息安全工程師

9.2計算機信息提?。ㄝ斎耄┝鞒?/p>

適用范圍：本流程適用于公司所有計算機信息提取（輸入）管理。

流程圖說明貨任人（參與人）

?接收按計算機信息涉密等級分級審批通過公司信息安全室主任、經(jīng)營單

后的申請：元信息化相關室主任

①“一般”和“秘密”級信息的申請信息輸入或輸出部門負貢人

②“機密/級信息的申請申請部門分管領導

③“絕密”級信息的申請經(jīng)營單元總經(jīng)理或CEO

?派發(fā)信息提?。ㄝ斎搿等蝿展拘畔踩抑魅?、經(jīng)營單

元信息化相關室主任

?提?。ㄝ斎耄┬畔⒐拘畔⒒啃畔踩こ?/p>

師、經(jīng)首單元信息安全工程師

?確認信息提?。?俞入）是否完成公司信息化部信息安全工程

師、經(jīng)營單元信息安全工程師

（申請人）

?存檔匯總公司信息化部信息安全工程師

9.3CAD出圖管理流程

適用范圍：本流程適用了?公司所有CAD圖紙輸出管理。

流程圖說明責任人（參與人）

?接收申請部門負責人審批通過后的申請公司信息化部信息安全工程

1劇攵申請)

師、經(jīng)營單元信息安全工程師

?圖紙輸出：公司信息化部信息安全工程和

出圖,①根據(jù)圖紙輸出類型（白圖、描圖）安排繪、經(jīng)營單元信息安全工程師

圖儀

②及時更換紙張，定期檢查墨盒容量，保障

繪圖儀正常運行

^No?圖紙輸出后進行清點：

有收

①清點領取圖紙,如有誤，重新出圖申請人

②對申請人清點后的圖紙進行圖紙代號和公司信息億部信息安全工程

Yes

名稱的核對，記錄實際出圖數(shù)量帥、經(jīng)營單元信息安全工程加

（歸檔）?存檔匯總：公司信息化部信息安全工程

①每季度將流程匯總，統(tǒng)計出圖數(shù)量師、經(jīng)營單元信息安全工程師

②計算各部門出引費用，交申請部門分管領

導簽字后匯總給財務部門

9.4電子數(shù)據(jù)備份及歸檔流程

適用范圍：本流程適用r公司所有電子數(shù)據(jù)歸檔、應用系統(tǒng)備份管理。

流程圖說明責任人（參與人）

?接收申請部門和信息化部負責人審批逋過后

1接收申請］

的申請：

①電子數(shù)據(jù)歸檔信息安全室主任

②應用系統(tǒng)備份信息系統(tǒng)運營室土任

番份方案<----?按照《信息備份與數(shù)據(jù)恢復管理辦法》的要

求根據(jù)備份的類型設計信息備份方案：

①電子數(shù)據(jù)歸檔信息化部信息安全工程師

②應用系統(tǒng)備份信息化部信息系統(tǒng)運營工程師

1

、No

<市獨：二?方案審批信息化部部長

Yes

?根據(jù)《信息備份與數(shù)據(jù)恢紀管理辦法》執(zhí)行

執(zhí)行備份<----

數(shù)據(jù)備份：

①電子數(shù)據(jù)歸檔信息化部信息安全工程抑

（督察部、書請人）

②應用系統(tǒng)備份信息化部信息系統(tǒng)運營工程師

（信息化部系統(tǒng)管理員）

*No?確認信息備份是否成功

<

①電子數(shù)據(jù)歸檔信息化部信息安全工程師

（申請人）

Yes

②應用系統(tǒng)備份信息化部信息系統(tǒng)運營工程加

（信息化部系統(tǒng)管理員）

（歸檔）

?存檔匯總：

①將電子數(shù)據(jù)備份介質(zhì)密封提交給公司檔案信息化部信息安全工程師

室保管（督察部、公司檔案管理員）

②刪除相關臨時文件，以防止泄密信息化部信息安全工程師

（督察部）

③記錄應用系統(tǒng)備份日志信息化部信息系統(tǒng)運營T：程師

（信息化部系統(tǒng)管理員）

網(wǎng)絡信息安全管理制度大全

一、電腦設備管理19

二、軟件管理21

三、數(shù)據(jù)安全管理22

四、網(wǎng)絡信息安全管理23

五、病毒防護管理23

六、下載管理23

七、機房管理24

八、備份及恢復25

一、電腦設冬管理

1、計算機基礎設備管理

2、各部門對該部門的每臺計算機應指定保管人，共享計算機則由部門指定人員

保管，保管人對計算機軟、硬件有使用、保管責任。

3、公司計算機只有網(wǎng)絡管理員進行維護時有權拆封，其它員工不得私自拆開封。

4、計算機設備不使用時，應關掉設備的電源。人員暫離崗時，應鎖定計算機。

5、計算機為公司生產(chǎn)設備，不得私用，轉(zhuǎn)讓借出；除筆記本電腦外，其它設備

嚴禁無故帶出辦公生產(chǎn)工作場所。

6、按正確方法清潔和保養(yǎng)設備上的污垢，保證設備正常使用。

7、計算機設備老化、性能落后或故障嚴重，不能應用于實際工作的，應報信息

技術部處理。

8、計算機設備出現(xiàn)故障或異常情況（包括氣味、冒煙與過熱）時，應當立即關

閉電源開關，拔掉電源插頭，并及時通知計算機管理人員檢查或維修。

9、公司計算機及周邊設備，計算機操作系統(tǒng)和所裝軟件均為公司財產(chǎn)，計算機

使用者不得隨意損壞或卸載。

10、公司電腦的IP地址由網(wǎng)絡管理員統(tǒng)一規(guī)劃分配，員工不得擅自更改其IP

地址，更不得惡意占用他人的地址。計算機保管人對計算機軟硬負保管之

責，使用者如有使用不當，造成毀損或遺失，應負賠償責任。

11、保管人和使用人應對計算機操作系統(tǒng)和所安裝軟件口令嚴格保密，并至少每

180天更改一次密碼，密碼應滿足復雜性原則，長度應不低于8位，并由大

寫字母、小寫字母、數(shù)字和標點符號中至少3類混合組成；對于因為軟件自

身原因無法達到要求的，應按照軟件允3許的最高密碼安全策略處理。

12、重要資料、電子文檔、重要數(shù)據(jù)等不得放在桌面、我的文檔和系統(tǒng)盤（一般

為C盤）以免系統(tǒng)解潰導致數(shù)據(jù)丟失。與工作相關的重要文件及數(shù)據(jù)保存兩

份以上的備份，以防丟失。公司設立文件服務器，重要文件應及時上傳備份，

各部門專用軟件和數(shù)據(jù)由計算機保管人定期備份上傳，需要信息技術部負責

備份的應填寫《數(shù)據(jù)備份申請表》，數(shù)據(jù)中心信息系統(tǒng)數(shù)據(jù)應按《備份管理》

備份。

13、正確開機和關機。開機時，先開外設（顯示器、打印機等），再開主機；關

機時，應先退出應用程序和操作系統(tǒng)，再關主機和外設，避免非正常關機。

14、公司郵箱帳號必須由本帳號職員使用，未經(jīng)公司網(wǎng)絡管理員允許不得將帳號

讓與他人使用，如造成公司損失或名譽影響，公司將追究其個人責任，并保

留法律追究途徑。

15、未經(jīng)允許，員工不得在網(wǎng)上下載軟件、音樂、電影或者電視劇等，不得使用

BT,電驢、P0C0等嚴重占用帶寬的P2P下載軟件。員工在上網(wǎng)時，除非工作

需要，不允許使用QQ、MSN等聊天軟件。員工不得利用公司電腦及網(wǎng)絡資源

玩游戲,瀏覽與工作無關的網(wǎng)站。若發(fā)現(xiàn)信息技術部可暫停其Internet使用

權限，并報相關領導處理。不得隨意安裝工作不需要的軟件。公司擁有的授

權軟件軟件須報公司副總審批通過后由信息技術部或授權相關部門執(zhí)行。

16、計算機出現(xiàn)重大故障，如硬盤損壞，計算機保管人應立即向部門負責人和信

息技術部報告，并填寫《設備故障登記表》。

17、員工離職時，人力資源應及時通知信息技術部取消其所有的IT資源使用權

限，回收其電腦并保留一個星期，若一個星期之內(nèi)人事部沒有招到新員工頂

替，電腦將備份數(shù)據(jù)后入庫。

18、如需要私人計算機連接到公司網(wǎng)絡，需信息技術部授權并進行登記。

19、不得隨意安裝軟件，軟件安裝按照《軟件管理》實施。

20、所有計算機設備必須統(tǒng)一安.裝防病毒軟件，未經(jīng)信息技術部同意，不得私自

在計算機中安裝非公司統(tǒng)一規(guī)定的任何防病毒軟件及個人防火墻。所有計算

機必須及時升級操作系統(tǒng)補丁和防病毒軟件。

21、任何人不得在公司的局域網(wǎng)上制造傳播任何計算機病毒，不得故意引入病

毒。

22、計算機使用者發(fā)現(xiàn)病毒后應立即停機并及時通知公司信息技術部或本部門

病毒防治工作負責人，按《計算機病毒防治管理》處理。

23、因工作需要使用QQ、MSN等通訊工作，應當仔細辨別后再接收，對接收的文

件應用安全軟件查殺后確認無毒再打開。

24、使用電子郵件時，附件都應用安全軟件查殺后確認無毒再打開。對于陌生的

電子郵件，請直接予以刪除。

25、任何人不得進入未經(jīng)許可的計算機系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)，不得以任

何形式攻擊公司的其它電腦或者股務器。

26、不得利用計算機技術侵占其他用戶合法利益，不得非法侵入他人電腦，不得

制作、復制、和傳播妨害公司穩(wěn)定的有關信息。

27、不得利用公司的網(wǎng)絡資源發(fā)布，傳播迷信、淫穢、色情、賭博、暴力、兇殺、

恐怖等信息，違者將送公安機關處理。

28、不得利用公司的網(wǎng)絡資源進行入侵、破解、篡改其它Intemet工作站或者

服務器等網(wǎng)絡犯罪行為，若發(fā)現(xiàn)立即終止其Internet權限，并、上報公司最

高領導保留送公安機關處理的權力。

二、軟件管理

部門權責

1、此處軟件指公司所有操作系統(tǒng)、系統(tǒng)安全軟件、辦公軟件軟件、專用

軟件，數(shù)據(jù)中心信息系統(tǒng)等。公司所有業(yè)務所需的軟件由公司綜合部網(wǎng)絡管理員統(tǒng)

一管理和安裝。員工無權要求綜合部網(wǎng)絡管理提供軟件介質(zhì)和軟件授權號碼給其他

人。更不允許將某某產(chǎn)權的軟件安裝在非某某產(chǎn)權的電腦上。

2,信息技術部負責全公司所使用軟件的管理。為確保公司計算機軟件之

適當使用，各部門對該部門的每臺計算機應指定保管人.共享計算機

則由部門指定人員保管，保管人對計算機軟、硬件具使用、保管之責。

3、各部門專用軟件和數(shù)據(jù)由計算機保管人定期備份，信息技術部對備份

情況進行抽查，需要信息技術部備份的應填寫《數(shù)據(jù)備份申請表》，數(shù)

據(jù)中心信息系統(tǒng)數(shù)據(jù)應按《備份管理制度》備份。

4、信息技術部負責管理監(jiān)督公司軟件使用情況，并負責軟件預算編列及

軟件異動等事項。

5、信息技術部負責公司數(shù)據(jù)中心信息系統(tǒng)的選型、變更、安裝、設置、

測試、維護管理。

6,針對新的信息系統(tǒng)上線，需由信息技術部會同需求部門對軟件系統(tǒng)進

行評估，并做出上線計劃，上前后進行測試，并記錄各項測試數(shù)據(jù)、

參數(shù)配置及測試結果。在測試中發(fā)現(xiàn)的問題需及時向供應商反饋并進

行書面記錄進行整改。當由新系統(tǒng)替換舊系統(tǒng)時，業(yè)務部門需對舊系

統(tǒng)下線前的期末數(shù)據(jù)與新系統(tǒng)上線后的期初數(shù)據(jù)進行核實，確認無誤

后方可投入使用。供應商完成系統(tǒng)測試后，需獲取測試驗收確認函，

確保軟件系統(tǒng)滿足業(yè)務需求，并及時對系統(tǒng)用戶進行培訓指導。

軟件采購

7,各部門對該部門使用的軟件，應視需要查核實際使用狀況，以作為軟

件增置與編列預算的參考。軟件采購時應考量軟件用途、授權形式及

價格以評估軟件需求，由信息技術部統(tǒng)一提出采購計劃。

計算機軟件安裝及保管

8,公司之各類授權計算機軟件，統(tǒng)-由信息技術部負責保管，并每上至

6少進行一次盤點。各單位因業(yè)務需要需使用時可提出申請，由信息友

術部依該軟件之授權使用范圍進行安裝。

9、公司擁有的授權計算機軟件，曰信息技術部門統(tǒng)一部署安裝；計算機

使用人堆個別軟件有安裝變動需求，必須先填寫《軟件安裝申請單》，

信息系統(tǒng)軟件申請須經(jīng)部門經(jīng)理和相關部門副總同意后，信息技術部

則依據(jù)軟件實施申請單，安裝或授權安裝至各計算機之內(nèi)。

10、計算機保管人對軟件負保管之責，軟件使用者如有使用不當，造成

毀損或遺失，應負賠償責任。軟件使用者應當為口令嚴格保密，并至

少每180天更改一次密碼，密碼應滿足復雜性原則，長度應不低于8

位，并由大寫字母、小寫字母、數(shù)字和標點符號中至少3類混合組成。

對于因為軟件自身原因無法達到要求的，應按照軟件允許的最高密碼

安全策略處理。

11、各部門軟件分配使用后，保管人或使用人職務變動或離職時，應按

照人事部門流程移交其保管或使用之軟硬件，并辦理交接，由信息技

術部對其軟件使用權限進行調(diào)整。

12、信息技術部在實施系統(tǒng)變更，如變更操作系統(tǒng)、軟件安裝、升級時

都必須做《計算機設備軟硬件變更清單》。

13、信息技術部每半年會同需求部門對計算機系統(tǒng)和數(shù)據(jù)中心信息系統(tǒng)

用戶情況進行一次復查。

第四節(jié)軟件使用者的權利和義務

14、禁止員工使用會干擾或破壞網(wǎng)絡上其它使用者或節(jié)點的軟、硬件系

統(tǒng)。

15、員工不得將公司授權軟件私自考貝、借于他人或私自將軟、硬件帶

回家中。

16、軟件保管人或使用人，對于保管或使用軟件不可盜賣、循私營利或

其它不法情事，違者除提報主管及依公司規(guī)定懲處外,如因此觸犯著

作權者或造成公司損失，則該員應負刑事及民事之全部責任。

17、尊重知識財產(chǎn)權,禁止下載未經(jīng)授權的音樂、影片及軟件。

三；數(shù)據(jù)安全管理

1、工作所需的資料、數(shù)據(jù)，不得帶出辦公區(qū)。因外派等業(yè)務需帶出的情況除外，但

需始終注意做好相關資料的保密工作。外派等業(yè)務活動結束后，必須將相關資料數(shù)

據(jù)及時帶回，并清除保留在公司以外設備上的資料。

2、當使用公司的網(wǎng)絡打印機時，打印的資料必須在30分鐘內(nèi)取回，保密資料的打

印不得使用公用的網(wǎng)絡打印機。

3、保密的資料應設置密碼并妥善保管，不得隨意置于桌面。

4、在執(zhí)行資產(chǎn)轉(zhuǎn)移時，要對那些存儲保密資料或數(shù)據(jù)的載體（如計算機或軟、硬盤）

使用＜cipher》命令對整個磁盤進行徹底清除，以防泄密。具體使用方法請向綜合

部網(wǎng)絡管理員咨詢，對于需要保存的資料或數(shù)據(jù)應加強保密措施并進行保護。

5、個人資料，工作資料應定期做好備份工作（重要資料應隨時雙重備份在其他電腦

和其他介質(zhì)上），以防病毒侵襲、硬件損壞等造成數(shù)據(jù)丟失。

四、網(wǎng)絡信息安全管理

1、新員工入職，在得到自己的辦公平臺的帳戶名和密碼后，應立即更改自己的密碼，

如果因為沒有更改密碼而造成辦公平臺或公共管理系統(tǒng)帳戶被他人盜用的情況，后

果將由員工本人負責。

2、公司辦公平臺是為全體員工從事生產(chǎn)活動以及業(yè)務溝通提供服務的。不得利用公

司的辦公平臺從事與工作無關的活動，一經(jīng)查出或?qū)驹斐刹涣加绊懙?，將追?/p>

其責任。

3、員工有責任預防郵件病毒的傳播，員工的電腦必須安裝公司指定的殺毒軟件，并

啟用殺毒軟件的郵件防火墻功能。不允許在沒有防火墻的電腦上進行收發(fā)郵件的操

作，如果員工本人無法確定郵件附件的用途，那么即使殺毒軟件沒有給出提示，也

不要輕易打開此類郵件。在使用電子郵件的過程中，有任何疑問都可以與綜合部網(wǎng)

絡管理員聯(lián)系。如果員工未按照上述要求執(zhí)行，導致電腦感染電腦病毒并在公司局

域網(wǎng)內(nèi)傳播電腦病毒，造成嚴重后果的，公司將追究該員工的責任。

4、由于辦公千臺服務器磁盤空間有限，公司通常情況下默認分配給每個員工的空間

是200M,員工應將在辦公平臺存儲超過一年的文件刪除，以節(jié)約磁盤空間，重要文

件請自行保存在個人電腦內(nèi)。

5.公司［P地址由綜合部網(wǎng)絡管理員統(tǒng)一規(guī)劃和分配使用，員工個人不得隨意變更個

人電腦的IP地址。

6、個人由于業(yè)務學習等而需用計算機以及計算機網(wǎng)絡的，可以利用休息時間進行，

不可以占用工作時間。

7、不得利用計算機技術侵占用戶合法利益，不得制作、復制、和傳播妨害公司穩(wěn)定

的有關信息。

8、不得利用公司計算機網(wǎng)絡從事危害國家安全及其他法律明文禁止的活動；

9、不訪問不明網(wǎng)站的內(nèi)容，以避免惡意網(wǎng)絡攻擊和病毒的侵擾。

10、員工個人QQ等其他網(wǎng)絡通訊工具，在個人信息資料中不得包含公司相關（如公

司、IP地址等）信息，在工作時間不使用QQ進行與工作無關的事情。

五、病毒防護管理

1、公司為員工配備的電腦以及員工所負責的服務器必須安裝防病毒軟件，并且應遵

循綜合部網(wǎng)絡管理員指定的計算機病毒防護標準，如：安裝并注意始終啟用網(wǎng)絡管

理員指定的防病毒軟件，并及時更新病毒庫代碼等。如因未及時升級防病毒軟件而

引起的系統(tǒng)問題和網(wǎng)絡問題，由個人承擔責任；

2、辦公平臺服務器的病毒防治由綜合部網(wǎng)絡管理員負責，各部門的工作站病毒的

防治由各部門負責周期性查毒和升級病毒庫，綜合部網(wǎng)絡管理員進行指導和協(xié)助。

3、任何人不得在公司的網(wǎng)絡上制迨、傳播任何計算機病毒，不得故意引入病毒。網(wǎng)

絡使用者發(fā)現(xiàn)病毒應立即向綜合部網(wǎng)絡管理報告以便獲得及時處理。

4、各部門定期對本部門計算機系統(tǒng)和網(wǎng)絡數(shù)據(jù)進行備份以防發(fā)生故障時進行恢復。

六、下載管理

1、不準在任何時間利用公司網(wǎng)絡下載黑客工具、解密軟件，系統(tǒng)掃描工具，木馬程

序等威脅系統(tǒng)和網(wǎng)絡安全的軟件。

2、工作期間不允許下載和在線觀看與工作無關的軟件或其他內(nèi)容，如MP3、小說、

電影、電視和圖片等。

3、由于擅自進行下載/上傳造成網(wǎng)絡堵塞甚至癱瘓或致使病毒傳播者，一經(jīng)核實,

公司依據(jù)相關規(guī)定將給予警告、通報批評。

七、機房管理

機房設備管理規(guī)定

1、機房管理人員應使用電子表格對機房內(nèi)設備做好登記，記錄現(xiàn)有設備

的型號、配置、位置、狀態(tài)等信息，以便跟蹤設備變化。

2、計算機及網(wǎng)絡設備的搬運必須填寫《機房設備變更表》并通過信息技

術部負責人審批方可進入或撤離計算機機房。

3、機房管理人員時機房設備的操作必須嚴格按照操作程序進行，并在《機

房運行日志》做相應記錄。

4、機房內(nèi)主機等設備的故障維修，必須于《機房運行日志》做好故障維

修登記，若涉及設備送修，須填寫《機房設備變更表》。

機房進出規(guī)定

1、信息技術部應根據(jù)公司實際情況，安排專人對機房進行值班和巡檢。

2、機房鑰匙由信息技術部保存，其余鑰匙交公司行政部統(tǒng)一保管，如果

特殊情況需使用時須嚴格登記。

3、鑰匙保管人不允許私配機房鑰匙，無關人員不得借用機房鑰匙，機房

鑰匙一旦遺失必須立即向信息技術部負責人報備。

4、任何非機房管理人員需要進入機房，需填寫《機房出入登記表》在機

房值班人員陪同下進入機房。

5、進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、

流體物質(zhì)等對設備正常運行構成威脅的物品，因工作需要使用時，必

須向信息技術部負責人申請并做詳細登記，嚴格執(zhí)行操作規(guī)程，用后

必須置于安全狀態(tài)，妥善保管。

6、進入機房人員應自覺遵守機房內(nèi)各項管理規(guī)定，服從機房值班人員的

管理，非經(jīng)機房管理人員允許，不得擅自對機房設備進行操作。工作

完畢后應及時離開，離開機房時應主動接受機房值班人員的檢查。

7,條進入機房人員在工作完畢后，自覺將所帶無關物品帶走。

機房衛(wèi)生規(guī)定

1、機房值班人員需要每天對機房進行打掃，保證機房內(nèi)環(huán)境、設備的清

潔。

2、0任何人不得將食物或飲料帶入機房，任何人不得在機房內(nèi)吃東西、吸

煙、吐痰。

機房消防、安全管理規(guī)定

1、機房應保持計算機設備正常運行所必須的溫度、濕度等環(huán)境要求，安

裝溫濕度報警設施，對運行環(huán)境可能出現(xiàn)的不利因素進行監(jiān)測并預警。

這些要求至少包括以下內(nèi)容：

(1)安裝24小時不間斷空調(diào)系統(tǒng)，機房內(nèi)保持一定的溫度和濕度；

(2)安裝濕度和溫度顯示裝置；

(3)安裝煙霧感應探測器和溫度感應探測器；

(4)安裝火災報警和自動滅火系統(tǒng)；

(5)配備手動滅火器；

(6)將機房地板抬高。

2、機房應列為單位要害和重點防火部位，應嚴格按照相關國家標準安裝

配備。足夠數(shù)量的消防報警設備以及消防器材，機房工作人員要熟悉

機房消防器材的存放位置及使用方法，定期檢查更換。

3、機房及其附近嚴禁吸咽、焚燒任何物品。

4、機房應配備適當?shù)牟婚g斷的電刀供應(UPS),確保有足移的后備電力

支持正常的系統(tǒng)應急操作；每半年對現(xiàn)有的不間斷的電力供應設備進

行檢查與維護，確保設備的正常運作。

5、機房管理人員要熟悉設備電源和照明用電以及其他電氣設備總開關位

置，掌握切斷電源的方法與步驟，發(fā)現(xiàn)火情及時報告，采取有效措施

及時滅火。

值班管理規(guī)定

1、信息技術部應根據(jù)公司實際情況，安排專人對機房進行值班和巡檢。

2、值班人員應每日做好系統(tǒng)運行和機房安全工作，檢查空調(diào)、UPS、溫濕

17度、消防等設備的完好性，并將檢查結果記錄于《機房運行日志》，如

果發(fā)現(xiàn)問題及時匯報處理。

3、值班人員應每日檢查各類系統(tǒng)談備的運行狀態(tài)，并在《機房運行日

志》中進行記錄。若系統(tǒng)發(fā)生故障，應及時報告相關管理人員，并協(xié)

助其進行問題調(diào)查，做好工作記錄，將故障發(fā)生時間及修復時間等相

關信息進行登記。

4、對機房內(nèi)所有人員的操作，值班人員應該在《機房運行日志》中進

行記錄。

5、時于進入機房人員不遵守機房管理規(guī)定或從事與正常工作內(nèi)容不相

符的操作，必須及時加以制止，必要時可終止其操作。

6、信息技術部負責人應每月審閱《機房運行日志》，確保所有機房操作

已通過適當?shù)氖跈嗪蛯徟?/p>

翁傷及欣更

備份操作管理

1、備份工作應由信息技術部門安排備份管理人員和備份數(shù)據(jù)保管人員。

備份管理人員負責實施備份、恢復操作和登記工作，備份保管人員負

責備份介質(zhì)的取放、更換。

2、數(shù)據(jù)被大規(guī)模更新前后，須對數(shù)據(jù)進行備份，在操作系統(tǒng)和應用程序

發(fā)生重大改變前后，須對系統(tǒng)和應用程序進行備份。

3、各部門專用軟件和數(shù)據(jù)由計箕機保管人定期備份，信息技術部對各份

情況進行抽查，需要信息技術部備份的應填寫《數(shù)據(jù)備份申請表》，提

出具體的備份要求，包括備份內(nèi)容、備份周期等，申請部門負責人審

批后由備份管理人員制定相應策略，并由信息技術部門負賁人審批后

執(zhí)行。

4、備份操作人員每次備份填寫《各份工作匯總記錄》。

5、備份對象發(fā)生變更后，應及時評估和調(diào)整備份策略。備份策略的變更

應得到需求申請部門以及信息技術部負賁人審批。

6、《數(shù)據(jù)備份申請表》和《備份工作匯總記錄》必須由備份管理員妥善

保管，信息技術部負責人每三個月對備份工作進行審核，核對系統(tǒng)中

的備份工作與備份申請是否吻合，以保證備份是按照要求進行的，核對

系統(tǒng)中的備份日志與備份工作匯總記錄，以保證備份的有效性、完整

性以及出現(xiàn)的問題能得到適當?shù)奶幚怼?/p>

7、信息技術部負責人應制定相應的備份恢焚計劃。

8,需要恢要備份數(shù)據(jù)時，應由需求部門填寫《數(shù)據(jù)恢史申請表況內(nèi)容包

括數(shù)據(jù)內(nèi)容、恢復原因、恢復數(shù)據(jù)來源、計劃恢復時間、恢復方案等，

由需求部門以及信息技術部門相關負責人審批后由備份管理員負責實

施O

9、備份管理員應時《數(shù)據(jù)恢復申請表》進行保存和歸檔，信息技術部負

責人應每三個月對上述文檔進行審閱，確保備份恢復工作的合規(guī)性。

第三節(jié)備份介質(zhì)的存放與管理

10、對數(shù)據(jù)、操作系統(tǒng)以及程序的備份，須保存在兩份介質(zhì)中，一份本地

存放，另一份異地存放；本地和異地的備份介質(zhì)均需填寫《備份介質(zhì)

登記表》。

11、備份介質(zhì)存放場所必須滿足防火、防水、防潮、防磁、防盜、防鼠

等要求。無論是存放在本地還是異地，須確保存放場所的安全，經(jīng)信

息部門負責人批準后實施，只有授權人員才可以訪問；

12、備份介質(zhì)的存取應由備份保管人員負責，其他人員未經(jīng)批準不能操

作。

13,存放備份的介質(zhì)必須具有明確的標識；標識必須使用統(tǒng)一的命名規(guī)

范。

介質(zhì)標識號命名規(guī)則：BACKUP+三位數(shù)編號：如BACKUP002o

14、在本地和異地建立《備份目錄清單》，用以記錄備份數(shù)據(jù)的名稱、內(nèi)

容、存放位置、數(shù)據(jù)錄入時間和數(shù)據(jù)保留期限等，由備份管理人員負

責每次填寫，備份保管人員核對并保管。數(shù)據(jù)存放應以壓縮包的形式。

備份數(shù)據(jù)命名規(guī)則：

(1)操作系統(tǒng):SYST操作系統(tǒng)名稱+日期。

如SYST郵件服務器操作系統(tǒng)20211230。

(2)應用系統(tǒng)軟件:SOFT應用系疣軟件名稱+日期。

如SOFT用友ERP服務器端20211230c

(3)數(shù)據(jù)庫：DATE數(shù)據(jù)庫名稱+應用系統(tǒng)軟件名稱+日期。

(4)其他文件:FILE+文件名稱+日期。

15、所有備份介質(zhì)一律不準外借，不準流出公司，除備份管理員任何人

員不得擅自取用，若要取用須經(jīng)信息技術部門負責人批準，并填《備

份介質(zhì)登記表》。借用人員使用完介質(zhì)后，應立即歸還。由備份管理員

檢查，確認介質(zhì)物理和數(shù)據(jù)完好無誤。備份管理人員及借用人員須分

別在《備份介質(zhì)借用登記表》上簽字確認介質(zhì)歸還。

16、備份介質(zhì)要每3個月進行檢查，以確認介質(zhì)能否繼續(xù)使用、備份內(nèi)

容是否正確。一旦發(fā)現(xiàn)介質(zhì)損壞，應立即更換，并對損壞介質(zhì)進行銷

毀處理；對超出保存期的數(shù)據(jù)可以進行沖洗。存放介質(zhì)需要沖洗或銷

毀時，應填寫《備份介質(zhì)沖洗/銷毀登記表》，由需求部門負責人和信

息技術部負責人審批后，備份管理人員與備份保管人員辦理交接手續(xù)

后由備份管理人員銷毀，必須使備份介質(zhì)中的數(shù)據(jù)永久不可讀取，備

份數(shù)據(jù)介質(zhì)銷毀后，在《備份介質(zhì)登記表》中注明沖洗或銷毀。銷毀

時須備份管理人員和備份保管人員雙人以上在場，防止數(shù)據(jù)的泄漏。

《備份介質(zhì)沖洗/銷毀登記表》由備份保管人員保管。

17.長期保存的備份介質(zhì)，必須按照制造廠商確定的存儲壽命定期轉(zhuǎn)儲,

磁盤、磁帶、光盤等介質(zhì)使用有效期規(guī)定為三年，三年后更換新介質(zhì)

進行備份。需要長期保存的數(shù)據(jù)，應在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存，防止

存儲介質(zhì)過期失效。以上操作由備份管理員提出申請，信息部門負責

人審批后執(zhí)行并在《備份介質(zhì)登記表》和《備份介質(zhì)沖洗/銷毀登記表》

中登記，備份保管員負責核對。

一、1單項選擇題（1-605）

1、ChineseWall模型的設計宗旨是：（A

A、用戶只能訪問哪些與已經(jīng)擁有的信息不沖突的信息B、用戶可以訪問所有信息C、

用戶可以訪問所有已經(jīng)選擇的信息D、用戶不可以訪問哪些沒有選擇的信息

2、安全責任分配的基木原則是：（C）。

A、“三分鴕技術，七分靠管理“B、?七分林技術,三分毒管理”

C、“誰主管，誰負責"D、防火墻扳術

3、保證計算機信息運行的安全是計算機安全領域中最重要的環(huán)節(jié)之?,以下（B）不屬F

信息運行安全技術的范暄。

A、風險分析B、審計跟蹤技術C、應急技術D、防火墻技術

4、從風險的觀點來看，一個具有任務軟急性，核心功能性的計兌機應用程序系統(tǒng)的開發(fā)和

維護項目應該（A）.

A、內(nèi)部實現(xiàn)B、外部采購實現(xiàn)C、合作實現(xiàn)D、多來源合作實現(xiàn)

5、從風險分析的觀點來看，計算機系統(tǒng)的最主要弱點是（B）。

A、內(nèi)部計算機處理B、系統(tǒng)輸入輸出C、通訊和網(wǎng)絡D、外茄計算機處理

6、從風險管理的角度，以下哪種方法不可??？（D>

A、接受風險B、分散風險C、轉(zhuǎn)移風險D、拖延風險

7、當今IT的發(fā)展與安全投入，安全意識和安全手段之間形成（B）.

A、安全風險醉障B、安全風險缺UC、管埋方式的變革D、管埋方式的缺

□

8、當為計算機資產(chǎn)定義保險也蓋率時，下列哪一項應該特別考慮？（D）。

A、已買的軟件B、定做的軟件C、硬件D、數(shù)據(jù)

9、當一個應用系統(tǒng)被攻擊并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應用系統(tǒng)，在

該系統(tǒng)重新上線前管理員不需查看：（C）

A、訪問控制列表B、系統(tǒng)服務配置情況

C、審計記錄D、用尸賬戶和權限的設置

10,根據(jù)《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定3,涉及國家秘密的計算機信息系統(tǒng)，不

得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相聯(lián)接，必須實行（B）。

A、邏輯隔離B、物理隔離C、安裝防火墻D、VLAN劃分

II、根據(jù)《信息系統(tǒng)安全等級保護定級指南及信息系統(tǒng)的安全保護等級由哪兩個定級要素

決定？（D）

A、威脅、脆弱性B、系統(tǒng)價值、風險

C、佶息安全、系統(tǒng)服務安全D、受侵古的客體、對客體造成侵害的程度業(yè)務

12、公司應明確員工的雇傭條件和考察評價的方法與程序,減少因雇傭不當而產(chǎn)生的安全風

險。人員考察的內(nèi)容不包括（B）。

A、身份考驗、來自組織和個人的品格鑒定B、家