文档介绍：公司信息安全管理制度第一节总则第一条保障信息安全,切实推行安全管理,积极预防风险,完善控制措施。本办法适用于公司所有在职员工。第二节术语解释第一条信息化设备:通指公司配发给每一位员工的,用于从事信息化工作的硬件设备,以及支撑公司正常运作的网络和服务器设备等,主要包括:台式计算机、笔记本电脑、服务器、网络交换机、防火墙、路由器以及各类软件应用平台和软件开发环境等。第二条信息化工作处:由公司委托对公司所有信息化系统、信息安全、信息化设备实施和管理的部门。第三节账号及密码管理制度第一条任何办公用计算机、网络设备和信息系统必须设置符合本制度的账号和密码。第二条对于网络设备、服务器和信息系统的管理密码长度设置至少为6位,密码必须由字符(a-z,A-Z)、数字(0-9)两种进行组合设置。安全专责员应对账号和密码以及变更情况进行加密登记并妥善保存,获得账号和密码的工作人员不得散发和与他人共享。第三条对于应用系统用户的个人账号和密码,系统管理员必须按照本制度要求设置初始密码,用户必须在开始使用时更改密码并妥善保管,不得散发和与他人共享。第四条普通用户的账号密码长度不得少于六个字符,管理员账号密码长度不得少于八个字符,机密级信息的密码长度不得少于十个字符。第五条密码更换周期不得长于三个月;机密级信息的密码更换周期不得长于一月;绝密级信息不得上网。第六条密码必须加密存储,并且保证密码存放载体的物理安全。第七条动态密码验证系统必须严格按照保密级系统进行管理。第八条若用户连续六次登录系统不成功,将锁定该用户ID。第九条所有信息系统或设备的默认密码应及时按规定修改,同时应明确默认帐号的使用者和管理者,禁用或删除系统中不必要的默认帐号。第十条服务器密码应每月定期修改,如发现或怀疑密码遗失或泄漏应立即修改,并在在设置在机房的《密码管理登记薄》(见附件一)上记录用户名、修改时间、修改人等内容。第十一条有关密码授权工作人员调离岗位,信息化工作处负责人须指定专人接替并对密码立即修改或用户删除同时在“密码管理登记薄”中登记。第四节账号及权限管理制度第一条对所有用户通过一一对应的认证权限控制系统(如用户ID和密码),以阻止非法侵入,确保各级用户只能进入其授权使用的系统。第二条执行系统权限授予的职能限定为信息化工作处成员,且只有系统管理员才能在实际操作中进行角色和用户的分配。第三条对于新入职员工的系统权限开通,由申请人员填写用户权限申请单,注明用户岗位及所需权限,由部门负责人审批,经系统管理员审核确认权责分配无误后进行操作。第四条对于员工系统权限的变更,由申请人员填写用户权限申请单,注明用户岗位及所需权限,由部门负责人审批,经系统管理员审核确认权责分配无误后进行操作。第五条用户因转岗、合同终止或其它原因需改变或取消其原先的权限,用户部门应同样遵守权限申请规定,以书面形式通知信息化工作处更改或取消其设定。第六条所有网络资源的登录和使用须有权限设置,所有登录或配置更改行为须有记录。调查非法登录尝试,采取相应措施防止类似事件再次发生。第七条用户部门批准权限申请的负责人应定期,至少一年一次审核并调整用户登录各系统的权限范围,对于重要的关键系统应至少每半年审核一次。第五节安全补丁及防病毒管理制度第一条各系统服务器需采用国家许可的正版防病毒软件并及时更新软件版本及病毒定义库。第二条定期评估各系统安全补丁的必要性,及时安装必要的系统安全补丁。第三条安全补丁的安装过程需等同于系统变更流程,安装前需进行测试满足系统变更流程的管控要求。第六节网络安全管理制度第一条公司的计算机网络,如局域网、广域网等,是计算机系统运作及数据传递的基础,信息化工作处必须采取足够的,有效的措施保证网络的安全,确保公司内外信息沟通的正常进行。第二条信息化工作处应保证公司网络设备(如路由器、交换机、光纤终端)的物理安全,实时监控设备运行情况,定期维护保养并做好记录和故障汇报工作。第三条关键的网络设备和线路,如生产网主干部分,采用冗余的网络设备备份。第四条所有网络资源的登录和使用须有权限设置,所有登录或配置更改行为须有记录。调查非法登录尝试,采取相应措施防止类似事件再次发生。第五条对于通过调制解调器或其它远程登录技术登录公司的网络系统应有严格的权限控制,以减少非法入侵的可能。第六条根据公司信息技术管理标准,对外的网络连接上采用防火墙、加密等措施实现权限控制。第七条至少每半年审核一次设定的防火墙规则,以确保防火墙规则的合理性和安全性。第八条采取合理的预防措施确保网络上传送的数据不会被截取或篡改。第九条制定并定期执行网络和系统的模拟攻击和监测计划,记录分析结果并提出相应改进建议,以减小网络漏洞和潜在的风险。第十条网络技术部应提供准确的、详尽的公司网络结构拓扑图及完整的说明文档,并及时更新。文档必须包括,但不仅限于:公司