1. 總則

(1)為了保證公司信息網絡系統的安全，根據有關計算機、網絡和信息安全的相關法律、法規和安全規定，結合公司信息網絡系統建設的實際情況，特制定本規定。

(2)本規定所指的信息網絡系統，是指由計算機（包括相關和配套設備）為終端設備，利用計算機、通信、網絡等技術進行信息采集、處理、存儲和傳輸的設備、技術、管理的組合。

(3)本規定適用于公司接入到公司網絡系統的單機和局域網系統。

信息網絡系統安全的含義是通過各種計算機、網絡、密碼技術和信息安全技術，在實現網絡系統安全的基礎上，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。

2. 物理安全

(1)物理安全是指保護計算機網絡設施以及其他媒體免遭地震、水災、火災等環境事故與人為操作失誤或錯誤，以及計算機犯罪行為而導致的破壞。

網絡設備、設施應配備相應的安全保障措施，包括防盜、防毀、防電磁干擾等，并定期或不定期地進行檢查。

(2)對重要網絡設備配備專用電源或電源保護設備，保證其正常運行。

3. 計算機的物理安全管理

(1)計算機指所有連接到公司信息網絡系統的個人計算機、工作站、服務器、網絡打印機及各種終端設備；

(2)使用人員應愛護計算機及與之相關的網絡連接設備（包括網卡、網線、集線器、路由器等），按規定操作，不得對其實施人為損壞；

(3)計算機使用人員不得擅自更改網絡設置，杜絕一切影響網絡正常運行的行為發生；

(4)網絡中的終端計算機在使用完畢后應及時關閉計算機和電源；

(5)客戶機使用人員不得利用計算機進行違法活動。

4. 緊急情況

(1).火災發生：切斷電源，迅速報警，根據火情，選擇正確的滅火方式滅火；

(2)水災發生：切斷電源，迅速報告有關部門，盡可能地弄清水災原因，采取關閉閥門、排水、堵漏、防洪等措施；

(3)地震發生：切斷電源，避免引發短路和火災；

5. 網絡系統安全管理

(1)網絡系統安全的內涵包括四個方面：

1)機密性：確保信息不暴露給未授權的實體或進程；

2)完整性：未經授權的人不能修改數據，只有得到允許的人才能修改數據，并且能夠分辨出被篡改的數據。

3)可用性：得到授權的實體在合法的范圍內可以隨時隨地訪問數據，網絡的攻擊者不能阻礙網絡資源的合法使用。

4)可控性：可以控制授權范圍內的信息流向和行為方式?？蓪彶樾裕阂坏┏霈F安全問題，網絡系統可以提供調查的依據和手段。接入Internet公共信息網的重要信息網絡系統須安裝防火墻或其他安全設備。入網的安全設備必須具有國家保密局、公安部、中國國家信息安全測評認證中心的技術鑒定、銷售許可和產品評測等資質，并符合國家的相關規定。

6. 網絡安全檢測。

(1)為使網絡長期保持較高的安全水平，網絡管理員應當用網絡安全檢測工具對網絡系統進行安全性分析，及時發現并修正存在的安全漏洞。網絡管理員在系統檢測完成后，應編寫檢測報告，需詳細記敘檢測的對象、手段、結果、建議和實施的補救措施與安全策略。檢測報告存入系統檔案。

網絡反病毒。病毒的危害性巨大，對系統和信息的破壞程度具有不可測性，計算機用戶和系統管理員應針對具體情況采取預防病毒技術、檢測病毒技術和殺毒技術。

7. 信息系統安全管理

(1)信息安全是指通過各種計算機、網絡和密碼技術，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。

1)信息處理和傳輸系統的安全

系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護，避免因為系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。

2)信息內容的安全

側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測，采取技術措施對所發現的漏洞進行補救，防止竊取、冒充信息等。

3)信息傳播安全

要加強對信息的審查，防止和控制非法、有害的信息通過我司的信息網絡系統傳播，避免對國家利益、公共利益以及個人利益造成損害。

涉及商業機密文件必須采用RMS權限管理服務進行文件保護，以免外泄。

8. 信息系統的內部管理

(1)各部門向網絡系統提交信息前要作好查毒、殺毒工作，確保信息文件無毒上載；

(2)根據情況，采取網絡病毒監測、查毒、殺毒等技術措施，提高網絡的整體抗病毒能力；部門負責的重要信息必須作好備份；

（3）網站和欄目信息的負責部門必須對所發布信息制定審查制度，對信息來源的合法性，發布范圍，信息欄目維護的負責人等做出明確的規定。信息發布后還要隨時檢查信息的完整性、合法性；如發現被刪改，應及時報告綜合部；

(4)涉及商業秘密的信息的存儲、傳輸等應指定專人負責，并嚴格按照國家有關保密的法律、法規執行；

(5)涉及商業機密的項目招標、投標標注等信息，未經所屬單位安全主管負責人的批準不得在網絡上發布和明碼傳輸；

(6)個人計算機中的涉密文件不可設置為共享，個人電子郵件的收發要實行病毒查殺。

(7)信息加密

1).涉及商業秘密的信息，其電子文檔資料須加密存儲；

2).涉及公司和部門利益的敏感信息的電子文檔資料應當加密存儲；

3）.涉及社會安定的敏感信息的電子文檔資料應當加密存儲；

4）.涉及公司秘密、與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關規定采用文件加密傳輸或鏈路傳輸加密。

（8）公司內任何組織和個人不得從事以下活動：

1）.利用信息網絡系統制作、傳播、復制有害信息；

2）.入侵他人計算機；

3）.未經允許使用他人在信息網絡系統中未公開的信息；

4).未經授權對信息網絡系統中存儲、處理或傳輸的信息（包括系統文件和應用程序）進行增加、修改、復制和刪除等；

5).未經授權查閱他人郵件；

6).盜用他人名義發送電子郵件；

7).故意干擾網絡的暢通運行；

8).從事其他危害信息網絡系統安全的活動。

9. 密碼管理

(1).具有密碼功能的計算機、網絡設備等系統處理公司秘密信息，必須使用密碼對用戶的身份進行驗證和確認。對于重要網絡系統，各部門要有一個負責人，負責日常的密碼管理工作。

(2).負責人負責給新增加的員工分配初始密碼；指導員工正確使用密碼；檢查員工使用密碼情況；幫助員工開啟被鎖定的密碼，對非法操作及時查明原因；解決密碼使用過程中出現的問題；協助員工保護公司秘密不受侵害；定期向主管領導匯報密碼使用情況和需要解決的問題。

(3).定期更換密碼。密碼的最長使用時間不能超過三個月，在涉密較多、人員復雜、保密條件較差的地方應盡可能縮短密碼的使用時間。當密碼使用期滿時，應更換新的密碼。

(4)負責人必須有能力更改密碼。當密碼使用期滿、被其他人知悉或認為密碼不安全或失效時，最終員工可使用公司郵箱給系統管理員提交密碼重置申請，非公司郵箱提交的申請不予進行處理。

(5).系統管理員重置密碼后，最終員工首次登陸必須要進行修改密碼，不得使用前三次使用過的密碼。

(6).對密碼數據庫的訪問和存取必須加以控制，以防止密碼被非法修改或泄露。

(7).當系統提供的訪問和存取控制機制不夠完善時或機制雖然完善，但可能出現系統轉儲等情況時，應對存儲的密碼加密。

密碼的等級應當符合以下要求：

1).初始密碼應當由系統管理員集中產生供用戶使用，并有密碼更換記錄，不得由員工產生；

2).密碼的復雜性要求密碼長度不得小于8個字符，要包含大寫、小寫、特殊字符、阿拉伯數字中的任意三種，密碼更換周期不得長于三個月；

3).密碼必須加密存儲，并且保證密碼存放載體的物理安全；

員工應記住自己的密碼，不應把它記載在不保密的媒介物上，嚴禁張貼密碼。

惡意軟件管理

4).公司所有聯網計算機必須安裝防病毒軟件，安裝后不得自行關閉和卸載，對擅自卸載或不按規定使用防病毒軟件的人員，如造成損失，應承擔相應的責任；

5).由于特殊原因不能安裝防病毒客戶端軟件的電腦，須記錄相關原因。

技術部負責對所有客戶端的殺毒軟件進行管理和監控，全體人員必須服從和配合。在正常運行過程中，不得隨意關閉或退出。若因特殊情況需臨時暫?？蛻舳诉\行者，應經技術部同意方可執行；

6).如發現病毒，相關使用人應立即上報，及時聯系技術部人員對感染機器進行有效的隔離，清除病毒的后檢查其最近使用過的軟盤、光盤和移動存儲設備，以免漏殺，未清除病毒的計算機不得入網；

7).對因病毒引起的計算機信息系統癱瘓，程序和數據嚴重破壞等重大事故應及時采取隔離措施，并及時公司技術部報告；

8).不得向他人提供含有計算機病毒的文件、軟件、媒體。禁止在計算機上裝載與工作無關的軟件，特別是游戲軟件、盜版軟件等；

9).禁止從Internet網絡隨意上下載程序、數據，以及外來程序和文檔。如確實需要，應當先進行病毒檢測后使用。在網上發布的文件文檔，發件人應主動用查病毒軟件檢查并確認安全后方可發出，收件人發現病毒，應立即殺毒，并通知發件人；

10).不得打開可疑的或陌生人發送來的郵件及附件，必要時直接刪除；對認定為清除不了含有病毒的文件，技術部有權直接刪除，以防病毒擴散、蔓延。

外來的軟盤、光盤和移動存儲設備等應先進行殺毒檢查后使用。當在光盤、U盤、移動存設備上發現病毒后應立即報告技術部，并及時加以標識，不得在其他計算機上再使用，避免病毒的傳播；

11).除打印機可以共享外，服務器與工作站的硬盤盡量不設置為共享，文件目錄一般不進行網絡共享。特殊情況需進行目錄共享的必須設定密碼，一旦使用完畢后必須立即關閉共享，或加強對該機器的病毒檢查；

12).對購置、維修、借入的計算機及其他網絡存儲設備，應當及時進行病毒檢測；

13).對于關鍵部門的關鍵數據要經常進行備份，且異地存放，以備數據破壞后恢復。