还剩4页未读,继续阅读
文本内容:
公司计算机终端安全管理规定公司计算机终端安全管理规定总则
11.1为贯彻落实《公司信息安全管理办法》的要求,规范公司(以下简称公XXXX XXXX司)计算机终端的使用,进一步加强计算机终端的安全管理,特制定本规定
1.2本规定适用于公司本部及直属各单位规范性引用文件2XXXX公司《XXXX公司信息安全管理办法》术语和定义
33.1信息安全信息安全是指信息系统及网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断
3.2综合数据网指承载公司管理信息业务的数据网络,包括省广域骨干综合数据网、地市城域网、用户局域网
3.3计算机终端指接入公司综合数据网的计算机终端设备,包括台式电脑、笔记本电脑、打印机、扫描仪等设备
3.4配件包括主板、中央处理器、硬盘、内存、显示卡、声卡、光驱、软驱、电源等配件以及相关连接线
3.5移动存储介质指移动硬盘、U盘、光盘、软盘等
3.6应用系统客户端指与财务、生产、办公等各类应用服务系统对应的客户端软件
3.7常用办公软件指与工作相关的文档和报表编辑软件、PDF阅读软件和压缩软件等
3.8防护软件指防病毒软件、网络准入与终端安全防护系统、桌面管理系统等
3.9计算机域公司统一建设的计算机AD域管理系统
3.10桌面管理系统公司统一规范建设的桌面管理系统软件,如SMS、LandDesk等
3.11信息运维部门指公司本部及各直属单位负责信息系统运维的单位、部门
3.12计算机终端第三方使用人员指经批准可使用公司计算机终端的外来人员
3.13第三方计算机终端及相关设备:指经批准的外来施工单位人员自带的计算机终端及相关设备
3.14信息联络员指信息用户单位或部门设定的,负责就本部门或本单位信息系统运维工作与信息运维部门对口工作联系的人员4职责
4.1公司信息部
4.
1.1根据公司信息安全管理要求,编制、发布、修订公司计算机终端的信息安全管理制度对本规定的执行落实情况进行指导、评价、考核
4.
1.3对违反本规定、造成信息安全事件的用户和单位进行处理
4.2信息运维部门依据本规定,制定和落实计算机终端安全管理制度
4.
2.2制定本单位计算机终端软、硬件标准配置,建立计算机终端台帐
4.
2.3对计算机终端制定并部署统一的安全防护策略和网络准入策略
4.
2.4负责对维护范围内的用户进行信息安全培训
4.3计算机终端使用人员
4.
3.1对本人使用(负责)的计算机终端妥善保管
4.
3.2按规定使用计算机终端,不得用于与工作无关的活动,不得安装非授权的软件,不得更改安全设置
4.
3.3对本人使用(负责)的计算机终端所处理的信息负有安全与保密责任5管理内容与方法
5.1总体要求严禁利用计算机终端进行侵害国家、公司和他人利益与合法权益的活动
5.
1.2严禁使用计算机终端制作、发布、传播计算机病毒、木马、蠕虫程序等恶意代码
5.
1.3接入公司综合数据网的计算机终端必须符合公司综合数据网准入控制和终端安全管理策略,未经信息运维部门批准不得接入公司综合数据网
5.
1.4计算机终端使用人员对本人使用(负责)的计算机终端或配件安全负责,发现计算机终端或配件丢失,立即通知保安归口管理部门及信息运维部门
5.
1.5计算机终端使用人员应确保计算机终端处理信息的安全性以及计算机终端存储的电子文档的保密性发现信息泄露或其他可疑现象,应及时报信息运维部门对于人为直接或间接将公司内部信息泄露的,将追究信息泄露计算机终端使用(负责)人的安全责任
5.2软件管理
5.
2.1信息运维部门制定和维护统一的计算机终端软件配置标准
5.
2.2原则上不允许安装配置标准以外的应用软件,有特殊应用需求,并不在配置标准软件之列的,应由需求部门提出申请,经信息运维部门审核通过后,由信息运维部门负责安装
5.
2.3严禁计算机终端使用人员私自卸载统一安装的安全防护软件
5.3硬件管理
5.
3.1计算机终端必须安放在远离易发生火灾危险程度高的区域;远离有害气体来源以及存放腐蚀、易燃、易爆物品的地方;远离强振动源和强噪音源、高温、高湿度及空气混浊的地方
5.
3.2严禁计算机终端使用人员私自变更已固定位置的计算机终端存放位置
5.
3.3严禁计算机终端使用人员用户不得擅自拆开机箱,私自变更计算机终端硬件配置
5.
3.4严禁接入公司综合数据网的计算机终端同时直接连其他网络,不得利用接入公司综合数据网的计算机终端私自架设无线访问节点
5.4安全防护管理
5.
4.1AD域管理和桌面管理
5.所有接入公司综合数据网的计算机终端必须纳入公司AD域进行统一管理,并通过桌面管理系统进行规范
5.
4.
1.2信息运维部门统一分配计算机终端名称、计算机终端帐号、用户权限
5.
4.
1.3原则上仅分配计算机终端使用人员User权限,因工作需要分配特殊权限的,需经信息运维部门审批通过后,由信息运维部门统一分配权限并记录
5.
4.
1.4计算机终端使用人员必须使用PKI证书进行身份认证,并通过实名方式登录计算机终端,不允许使用他人账号
5.
4.
1.5计算机终端使用人员必须妥善保管登录密码,严禁将密码泄露他人
5.
4.
1.6计算机终端使用人员必须定期更改用户登录密码,在离开作业环境时,须把屏幕锁定
5.
4.2防病毒管理
5.
4.
2.1不得发布虚假的计算机病毒疫情
5.
4.
2.3不得向他人故意提供含有计算机病毒的文件、软件、媒体、程序等
5.
4.
2.4接入公司综合数据网的计算机终端须安装由信息运维部门确定的防病毒软件,对计算机的病毒码、扫描引擎与程序文件进行监测,并定期进行更新
5.
4.
2.5维修返回、借入或临时接入网络的计算机终端需由信息运维部门进行计算机病毒检测
5.
4.
2.6发生因计算机病毒引起的计算机信息系统瘫痪、应用软件和数据被严重破坏等重大事故,计算机终端使用人员必须立即采取关机、断开网络连接等隔离措施,并及时通知信息运维部门处理
5.
4.
2.7发生规模性的计算机病毒爆发事件,信息运维部门立即启动应急预案,并隔离被感染病毒的计算机终端,防止计算机病毒扩散
5.
4.3安全防护策略管理
5.
4.
3.1信息运维部门根据本单位实际情况,统一设置计算机终端的安全防护策略
5.
4.
3.2计算机终端安全防护策略至少包括帐号安全策略、登录次数、密码策略、屏幕保护策略、审核策略以及禁止默认共享目录、禁止从软盘和光驱启动等策略
5.
4.
3.3信息运维部门应定期检查、审核计算机终端安全防护策略,确保安全策略有效性
5.
4.
3.4信息运维部门应定期检查、清理计算机终端用户和用户组,及时注销和停止停用的帐号
5.5移动介质管理
5.
5.1严禁使用非加密的移动介质存储涉密信息
5.
5.2外来移动存储介质使用前,须通过进行计算机病毒检测
5.6互联网访问管理
5.
6.1访问互联网的计算机终端必须经过信息运维部门的审批,并采用实名制进行用户认证
5.
6.2信息运维部门须通过设置黑名单和白名单的方式,规范用户访问互联网的行为计算机终端使用人员不得利用公司计算机终端从互联网随意上载和下载程序、数据、文件等确因工作需要的,须通过计算机病毒检测
5.
6.3计算机终端使用人员进行网上信息交流时,须遵守国家、公司有关保密规定
5.
6.4计算机终端使用人员不得浏览与工作无关的网站、使用与工作无关的软件、打开来历不明的邮件
5.
6.5计算机终端使用人员严禁利用公司计算机终端从事违法活动,群发邮件仅限于工作目的
5.7第三方计算机终端管理
5.
7.1原则上第三方人员不得使用公司计算机终端确因工作需要的,须经第三方人员使用部门许可,报信息运维部门备案登记,在专人陪同或监督下使用
5.
7.3第三方计算机终端未经批准不得连接公司综合数据网,不得加入公司计算机域确因工作需要的,须经第三方人员使用部门许可,报信息运维部门审批
5.
7.4接入公司综合数据网的第三方计算机终端,须经过严格的安全检测,并在指定的区域、指定的端口、按指定的方式接入,其操作过程应受到审计
5.
7.5不满足公司防病毒、补丁等相关安全策略的计算机终端不得接入公司综合数据网
5.
7.6对第三方人员使用的计算机终端应划分独立的临时区域,提供专门的安全工作区域,根据其完成工作的时间、性质、范围、内容等方面的需要给予最低授权,其操作过程应受到监控和审计
5.
7.7严禁第三方计算机终端接入公司核心数据网和重要信息系统
5.
7.8工作结束后,应及时停用第三方人员使用的计算机终端中的有关账户、相关数据等,并报信息运维部门记录
5.
7.9信息运维部门须对第三方人员使用的计算机终端接入公司综合数据网的情况进行监控审计,并定时统计
5.8安全培训管理
5.
8.1计算机终端使用人员必须参加信息安全培训,提高信息安全意识和防护技能
5.
8.2信息运维部门定期对计算机终端使用人员进行安全使用培训I,包括终端安全操作、安全上网教育等,可采用讲座、培训班、员工信息安全手册、EIP门户专栏等各种形式开展
5.
8.3计算机终端使用人员安全培训纳入本单位年度培训计划中,并按计划实施培训,对教育和培训的情况和结果进行记录和归档保存
5.9安全管理的落实检查
5.
9.1计算机终端使用人员必须严格遵守本规定
5.
9.2信息运维部门需对本规定的执行落实情况进行检查对于严重违反本规定的用户、部门和单位,信息运维部门定期公告
5.
9.4对于违反本规定、造成信息安全事件的用户、部门和单位,按公司有关规定进行处理6附则
6.1本规定由XXXX公司信息部负责解释
6.2本规定自颁布之日起生效。