1.目的为规范公司的电脑设置、IT权限，保护公司和客户机密资料，特制订此管理规范。

2.适用范围适用于公司电脑、网络、人员、客户机密信息资料。

3.职责3.1.IT部：负责制定公司的信息安全策略，并定期对信息安全策略进行评价，以确保其适宜性；4.策略的制定4.1.信息安全策略的制定、评审：4.1.1.IT部根据公司内部网络资讯规划的要求、国家信息安全法律法规要求及客户信息安全要求定期制定信息安全策略；并确保信息安全策略的有效实施；4.1.2.IT部每年需对信息安全策略进行评价，并填写《信息安全策略适用性评审列表》以确保策略的适宜性，并将评价的结果纳入年度部门管理评审报告输入中；4.2.信息安全策略集信息安全策略是在信息安全现状调研的基础上，公司领导的认可，遵守国家的法律法规、政策和相关标准建立的通用行之有效的安全机制。

公司信息安全策略包括如下：a)病毒防范策略b)网络服务访问策略c)备份策略d)访问控制策略e)密码策略f)钥管理策略g)账号管理策略h)清洁桌面和锁屏策略i)移动设备和远程工作策略j)服务器加强策略k)时间同步策略l)电子邮件策略m)日志和监视策略n)网络与信息传输安全策略o)设备安全策略p)介质处理策略q)第三方访问策略s)计算机管理策略t)打印、复印机管理策略4.3.病毒防范策略4.3.1.IT部负责统一部署防病毒工具的安装和升级工作，时发布计算机病毒疫情公告及防范措施，处理网点和个人上报的病毒入侵事件，定期检查和督促网点的病毒防治工作；将重大的病毒入侵事件及时向上级部门和安全机关报告。

4.3.2.IT部人员负责定期对自己管理的计算机系统进行升级、杀毒；对因计算机病毒引起的信息系统故障，及时向人事部报告。

4.3.3.病毒防范基本要求：a)任何部门和个人不得制作计算机病毒。

b)任何部门和个人不得有下列传播计算机病毒的行为：c)故意输入计算机病毒，危害计算机信息系统安全；d)向他人提供含有计算机病毒的文件、软件、媒体；e)销售、出租、附赠含有计算机病毒的媒体；f)其他传播计算机病毒的行为。

g)任何部门和个人不得发布虚假的计算机病毒疫情。

h)所有计算机设备应经办公室同意后接入相应的内部工作网或互联网，严禁私自接入。

i)内部工作网与互联网应进行物理隔绝。

j)所有工作用机必须由IT部统一管理，部署安装指定的防病毒软件，及时更新病毒库，对于未安装防病毒软件或安装其他防病毒软件而造成不良后果的，追究相关人员的责任。

k)所有员工在使用介质交换信息时，应认真进行病毒预检测。

l)未经IT部同意，严禁擅自在工作用机上从互联网下载、安装、使用各类文件或程序，对由此引起的计算机病毒感染，追究相关人员的责任。

经同意下载的软件，使用前需认真进行杀毒。

m)禁止将与工作无关的数据存放在工作用机上，禁止在工作用机上进行与工作无关的计算机操作。

n)计算机使用人员应做好重要数据、文档的备份，防止因病毒或其他因素造成系统无法恢复而导致重要数据、文档的丢失。

o)对因计算机病毒引起的信息系统瘫痪、程序和数据严重破坏等重大事故，应及时向人事部报告、并保护现场，以便采取相应的措施。

4.3.4.IT部人员需定期查看防病毒系统中的扫描日志和病毒历史以及入侵监测日志，检查病毒的感染和清除情况;根据查看到的防病毒监控日志和入侵监测日志制定安全策略；统一部署防病毒软件客户端；负责受理网点计算机病毒上报工作；负责跟踪计算机病毒防治信息，及时发布计算机病毒疫情公告及防范措施。

4.3.5.病毒查杀：a)各计算机使用单位发现病毒必须及时向IT部报告，并做好必要的协助工作，防止病毒疫情进一步扩大。

b)发现的病毒包括计算机使用单位报告的病毒和防病毒系统监控发现的病毒。

c)当因病毒入侵导致无法正常运行或数据损失时，及时采取措施挽回损失；当防病毒系统本身受到病毒入侵而不能正常工作时，负责恢复防病毒系统的正常运行；对于未能清除的病毒，应根据病毒的种类采取相应措施，尽快查找专杀工具，确保病毒不会发作和传播；对于防病毒软件不能查杀的病毒，应及时向上级汇报更新防病毒系统；定期整理病毒感染情况报告，并及时清理过期的日志信息。

4.4.网络服务访问策略4.4.1.此策略为保障及加强公司运作时在使用互联网传输、处理信息时的安全。

确保用户应只能访问经过明确授权使用的服务，从而降低未授权和不安全连接对组织的影响。

用于公司办公场所内能使用互联网的区域及人员，同时也适用于公司员工使用公司移动计算机在公司以外的地方使用互联网的范围。

4.4.2.基础要求：a)对互联网资源的使用原则上采取明确规定的连接财务网、涉密计算机和部分指定用于处理商业秘密、从事软件开发的计算机或虚拟机等设备不得上网的原则。

b)因工作需要而使用互联网的部门及个人应认识到，对互联网资源的使用取决于工作需要，公司应根据岗位情况来限制对该资源的使用与否。

c)在使用互联网资源时使用者应有意识地保护公司信息资产，不能通过互联网从事任何有损公司利益或违反法律法规的事宜，包括发布任何有损公司利益的信息。

4.4.3.惩处要求：违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员等继续工作的机会；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。

4.5.备份策略4.5.1.根据公司业务需求，识别需要备份的数据信息。

备份的信息应当包含但不限于操作系统、数据库系统、系统软件、设备配置、网站内容等。

此策略为保护信息资产可用性和恢复性，确保公司数据信息安全可靠。

适用于ISMS所覆盖的所有部门。

4.5.2.根据不同重要程度的数据信息，确定采取的备份手段，包括但不限于硬盘备份、冗余主机备份、冗余网络设备和冗余链路。

4.5.3.确定数据的备份周期，根据数据的备份需要，确定增量备份、全备份的周期。

4.5.4.应按照计划实施备份，并确保备份实施成功，应保留备份记录以备审查。

4.5.5.每个月对服务器中用户存储的数据进行检查，确保与工作无关之数据不被存入服务器；对于存放违规数据情况，行成报告并上报公司予以相应的处理。

每三个月对存入于服务器上的用户数据进行一次完全备份，每天进行一次差异备份，并在服务器上保留前一次三个月的完整备份数据。

数据库备份及数据存档保存期限所有数据库的备份每天进行一次完整备份，并保留近三个月的备份。

邮件系统数据的存档保存期限为两年。

ERP系统数据的存档永久保存，采取异地备份策略，每季度进行一次备份。

4.5.6.应对备份的数据定期进行数据恢复测试，以保证备份数据的可用性等。

4.6.访问控制策略为了对公司资产范围内所有的操作系统、数据库系统、应用系统、开发测试系统及网络系统所提供的服务的访问进行合理控制，确保信息被合法使用，禁止非法使用，特制定本管理策略。

a)对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统，要对系统设置，保证在进入系统前必须执行登录操作，并且记录登录成功与失败的日志。

b)对于具有身份验证功能的系统程序，程序所属部门，应建立登录程序的用户，并对有权限的人授权；对于没有用户验证功能的程序，要通过系统的访问权限控制对程序的访问。

c)研发网和测试网要实现物理隔离，核心设备要设置特别的物理访问控制，并建立访问日志。

d)对于信息资源的访问以目录或具体文件设置用户可用的最低权限，并通过属性权限与安全权限控制用的户权限。

e)访问控制权限设置的基本规则是除明确允许执行情况外一般必须禁止。

f)访问控制的规则和权限应该符合公司业务要求，并记录在案。

g)对网络系统访问时，通过为用户注册唯一的ID来实现对用户的控制。

h)系统管理员必须确保用户的权限被限定在许可的范围内，同时能够访问到有权访问的信息。

i)用户必须使用符合安全要求的口令，并对口令做到保密。

j)系统管理员必须对分配的权限和口令做定期检查，防止权限被滥用。

检查频率为每季度一次。

k)明确用户访问的权限与所担负的责任。

l)系统管理员必须保证网络服务可用，保证使用网络服务的权限得到合理的分配与控制。

m)系统管理员制定操作系统访问的规则，用户必须按相关规则访问操作系统。

n)对各部门使用的应用系统或测试系统，由该部门制定访问规定并按规定执行。

o)对信息处理设施的使用情况进行监控，及时发现问题并采取必要的安全措施。

4.7.密码策略此策略为了更好的加强信息安全，防止网络、主机和系统的非授权访问，特制定密码管理策略，适用于的公司网络、计算机和系统的密码管理。

IT部负责信息中心网络、主机和系统的密码管理。

a)IT部根据业务安全需要，可强制用户在登录时更改密码，当出现提示密码过期时，用户需自行完成密码的修改，否则将无法登陆系统。

b)如业务需求对密码期限进行限制，防止密码过期，保证密码永久有效，或设定一定的期限，在一定的期限内有效。

c)根据需要，可使某一账号暂时禁用。

d)设定规定登录次数，超过5次数，账号禁用。

以防用户猜测密码，从技术上进行一定预防。

e)密码必须八位或以上字符，包含大小写、符号、数字三个或以上的组合，禁止使用易被猜测的密码。

每三个月对相关密码必须重新设定。

f)密码仅限于使用者掌握，未经许可不得将密码告知他人，否则由此产生的问题，由使用者负全部责任。

g)禁止任何员工通过任何方式偷取和破解密码。

h)前后两次的密码不能相同或相似。

4.8.密钥管理策略4.8.1.该策略的为是通过适当和有效使用加密，以保护信息的机密性、真实性和完整性，适用于需要进行密码控制的信息系统以及使用密钥访问任何信息资源的所有人。

4.8.2.本策略要求贯穿密钥的整个生命周期，包括密钥的生成、存储、归档、检索、分发、回收和销毁。

组织间使用密码控制的管理方法，包括保护业务信息的一般原则。

4.8.3.所有密钥需免遭修改、丢失和毁坏。

秘密和私有密钥需要防范非授权的泄露。

用来生成、存储和归档密钥的设备宜进行物理保护。

4.8.4.密钥管理系统宜基于已商定的标准、规程和安全方法，以便：a)生成用于不同密码系统和不同应用的密钥；b)生成和获得公开密钥证书；c)分发密钥给预期用户，包括在收到密钥时要如何激活；d)存储密钥，包括已授权用户如何访问密钥；e)变更或更新密钥，包括要何时变更密钥和如何变更密钥的规则；f)处理已损害的密钥；g)撤销密钥，包括要如何撤消或解除激活的密钥，例如，当密钥已损害时或当用户离开组织时（在这种情况下，密钥也要归档）；h)恢复已丢失或损坏的密钥；i)备份或归档密钥；j)销毁密钥；k)记录和审核与密钥管理相关的活动。

4.8.5.为了减少不恰当使用的可能性，宜规定密钥的激活日期和解除激活日期，以使它们只能用于相关密钥管理策略定义的时间段。

4.8.6.除了安全地管理秘密和私有密钥外，还宜考虑公开密钥的真实性。