等级保护全套制度

来源：华佗健康网

附件1：

《XXXXXXXXXX信息安全管理制度》

《XXXXXXXXXX计算机网络信息安全保密制度》《XXXXXXXXXX用户密码安全保密管理规定》《XXXXXXXXXX电子文件保密管理规定》

《XXXXXXXXXX涉密计算机系统病毒防治管理规定》《XXXXXXXXXX数字复印机多功能一体机保密管理规定》《XXXXXXXXXX计算机信息发布、传递保密管理制度》《XXXXXXXXXX互联网发布信息保密管理制度》《XXXXXXXXXX计算机维修、更换及报废保密管理规定》《XXXXXXXXXX移动存储介质管理制度》《XXXXXXXXXX计算机保密管理制度》《XXXXXXXXXX网络管理办法》

《XXXXXXXXXX系统数据备份与恢复管理制度》《XXXXXXXXXX网络信息安全应急预案》《XXXXXXXXXX机房安全管理制度》《XXXXXXXXXX信息化安全管理办法》《XXXXXXXXXX信息系统变更管理制度》

《XXXXXXXXXX信息安全事件报告和处置管理制度》《XXXXXXXXXX信息安全系统安全建设工作计划》

信息安全管理制度

近年来，随着计算机技术和信息技术的飞速发展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设，如何进行信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。一、前言：企业的信息及其安全隐患。

在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面： A服务器信息。主要存在于信管部。 B 密码信息。存在于各部门所有员工。

针对以上涉及到安全的信息，在企业中存在如下风险： 1 来自企业外的风险

①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。

②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。

2、来自企业内的风险

① 文件的传输风险。若有员工将公司重要文件以QQ、MSN发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。 ② 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。

③ 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文

件和重要资料带走，会造成企业信息的外泄。

④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出

公司，可能会泄露企业机

密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会

造成企业信息的泄露。

⑤ 上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。

⑥ 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握，

可能会窃取此用户权限内的信息资料和业务数据；若管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。 ⑦ 机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自防

盗、防雷、防火、防水。若这些自然灾害发生，可能会损坏机房设施，造成业务中断。

⑧ 办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本

部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到，可能会泄露部门工作机密，甚至是公司机密。

为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基础，各部门具体细则为安全管理行为标准，从各个层面

杜绝信息安全隐患。

二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。 1.计算机设备安全管理。

1）公司所有人员应保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2）严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向信息管理部报告，不允许私自处理和维修。

3）发现由以下等个人原因造成硬件的损坏或丢失的，其损失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进行处理。

4）下班后所有不再使用的计算机，应关闭主机电源，以防止意外，对于共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。 2.部门资料安全管理。 1）外接存储设备安全管理。

严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示此行为，并以公司存储设备做文件拷贝。为确保硬盘的安全，严禁任何人私自拆开电脑机箱：①将用户主机贴上封条标签，除信管部人员外，任何人不得私自拆开机箱，若信管部进行电脑硬件故障排查时，拆除封条标签后，在故障排查结束及时更换新的封条标签。信管部将定期检查，若发现有封条拆开痕迹，将查看视频监控记录，追查相关人责任。②给每台电脑主机配备锁柜，将所有用户主机存放在锁柜内，锁柜钥匙统一由信管部保管，若需要为用户处理电脑故障时，信管部在打开锁柜处理完电脑故障时，一定要锁好主机柜，确保主机内硬盘的安全。

2）文件传真安全管理。

所有人员对外发送传真，必须经上级核实后，统一在综合部登记，由综合部

发送，严禁个人私自在未经许可的情况下对外发送任何类型的传真文件，一经发现，所有后果将由个人承担。在对内传真文件时，应即刻通知传真接收人接收并取走传真件，在传真结束时，应马上取走传真原件。若因传真时没有取走传真件，导致传真件丢失，造成本部门信息外泄，则由本人承担一切后果。 3）文件打印安全管理。

所有人员不得私自将公司文件打印带出公司，一经发现，严肃处理。若在上班时间，打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，若因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为，一经发现，将对本人警告，若因打印后，文件丢失，造成信息资料外泄，则由本人承担相关责任。 4）文件的存储安全管理。

所有部门人员应每周清理计算机中的文件，清除不需要的垃圾文件，将重要的文件和工作资料保存在特定的文件夹里，每月末应将电脑中的文件资料做一次备份，将文件资料备份到部门专用U盘或移动硬盘上，确保个人工作资料的文件归档，在电脑突发性故障或硬盘损坏时，能够及时恢复最近的工作资料；电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份，造成数据资料丢失时，将由本人承担相关后果。若员工离职，在办完离职手续后，所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上，若没有执行此安全过程，离职员工损失的文件资料由该部门承担。 5）办公区域的安全管理。

所有部门人员每天下班时应保证办公桌的整洁，将部门重要文件资料存放在个人抽屉柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好，被他人取走，造成的后果将由本人承担。

3.帐号密码安全管理。

使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工，员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产，设置密

码时应注意：密码至少有8个字符长；密码必须包含以下任一部分：字母A-Z或a-z，数字0-9，特殊字符，例如 $ ，-等。

1）电脑密码管理：每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息，网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记，若更改密码后，未进行登记，一经信管部发现，将对该用户进行口头警告。同时，因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题，信管部不承担责任。

2）应用系统密码管理：所有ERP用户及OA用户都将分配到一个帐号密码，帐号是不变的，用户可以更改自己的系统密码，密码尽可能设置为高安全性的复杂密码，严禁用户将密码设置为如123456等傻瓜式密码，若密码设置过于简单，被其他用户非法登陆后，在ERP中将会非法编制篡改单据，在OA中非法冒用流程管理权限，若产生此情况，将会导致严重的后果；严禁将ERP帐号或OA帐号密码透露给他人，让他人代己做ERP单据或办理OA流程；员工调离岗位或离职，所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。

3）采用用户身份认证系统：目前我公司登陆服务器采取的是静态密码认证，这种密码保护技术是最低层次的。在企业内，容易被其他部门人员注意到服务器登陆密码，从而可能会被动机不良的员工登陆到服务器，破坏服务器数据；在企业外，容易遭到黑客字典扫描破解密码，从而攻击各应用服务器，破坏或盗取商业数据等。因此，我部门在未来的发展规划中，要将用户身份认证当作安全的一个重大隐患，想办法解决这个问题。

这里，我们可以采取动态口令牌或USB KEY认证技术，并选择其中一种技术与公司现有的静态密码技术相结合，动态口令牌随机生成动态密码，并于60秒内自动刷新密码，无法采用数据字典扫描破解密码，让黑客攻击行为束手无策；而USB KEY采用USB密钥，存储特定的加密算法，只有将USB钥匙接上电脑，与电脑中存储的认证软件验证通过后，才能进入。我们通过（动态+静态）混合身份认证，或（硬件+软件）混合身份认证，保证服务器的登陆基于网内的行为、网外的行为都是安全的。

4..杀毒软件安全管理。

用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级，每日定时杀毒，使用者也应经常手动扫描杀毒。 5.各类软件安全管理。

软件原始盘片应交综合部保管，软、硬件设备的原始资料（软盘、光盘、说明书及保修卡、许可证协议等）交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。 6.邮件安全管理。。（参考邮箱管理制度）

综上所述，使用者应该具有一定的安全防范意识，具体应做到：日常工作信息安全：

1）员工应对在自己公司电脑内公司机密信息的安全负责，当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。

2.）员工有责任正确地保护分配给本人的所有计算机帐户。

3.）各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。

4）每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。

5）不得安装有可能危及公司计算机网络的任何软件，若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。

6）任何对公司内部计算机网络的黑客行为是绝对禁止的，一经查实将按公司有关规定严肃处理。

假期时间办公室的安全：确保工作电脑的安全，在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码，其它信息管理部设备的电源也必须切断。

确保数据的安全：确保你的软盘，备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。

当你在外的时候：不要在任何地方谈司的机密信息。公司的竞争对手成员也

可能在休假，而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。

当你回来的时候：如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。

常规注意事项

1）任何外来盘片(包括CD、VCD碟片及软盘)，只有经过系统管理员确认不带病毒后，才可在公司计算机上使用.否则造成病毒感染或其他破坏的，公司将对其责任人进行罚款处理，每次金额50元～500元。

2）个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出，若需输出必须履行审批手续。申请人填写申请单，写明输出资料内容、份数、路径、用途、申请日期、申请人等项目，经部门领导和公司领导共同签字审批后，交由专人上机操作。

3）未经系统管理员许可，不得从因特网上下载任何软件安装，系统管理员将不定期检查，发现有违反本条规定的，将给予50元～500元的罚款。

4）严禁在工作时间利用计算机网络从事与本职工作无关的活动，发现有违反本条规定的，将给予50元～200元的罚款。

技术部组织架构及岗位职责

为实现公司信息化目标，规范公司信息化建设，建立和完善公司信息化管理体系，明确管理职责，保障公司信息系统安全、高效、稳定运行，为公司提供准确、有效的财务、生产、技术及其它相关信息，为公司高层科学决策提供依据，从而进一步增强企业的核心竞争力组织架构总经理维护主管系统安全网络安全项目组组长信息管理员软件开发员资料管理员三、公司信息部部门及岗位职责

1.信息部部门职责

（1）负责公司信息化建设的总体规划及网络体系结构的设计，负责公司信息

化系统选型工作，并负责编制公司信息化总体规划与选型报告，并报公司领导审批。

（2）负责公司信息化系统的推进与执行，负责公司信息化项目实施工作的日

常管理，并协调解决项目实施过程中碰到的问题。

（3）负责组织调研公司各部门信息化需求并汇总，负责组织公司财务、生产、

技术、办公自动化系统软件的开发，使公司信息化系统形成一个无缝连

接的整体。负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。

（4）负责公司所有信息化项目的持续改进与日常维护，负责公司计算机网络

及信息管理系统的安全管理、技术支持和维护工作，在保证公司的计算机网络安全运行的前提下，树立服务意识，为公司领导、各业务职能部门提供最优质服务。

（5）负责公司人员计算机应用方面的培训，提高公司计算机应用的整体水平

和办公效率。

（6）负责公司计算机及相关设备的采购及维修计划编制。 2.岗位职责 1.总经理

（1）负责主持信息部的全面日常工作，负责制定本部门的管理制度及组织建

设，并监督本部人员全面完成部门职责范围内的各项工作任务；负责本部门员工的工作检查、考核及评价。

（2）贯彻落实本部岗位责任制和工作标准，密切各部门工作关系，加强

与集团各部门的协作配合，做好衔接协调工作；

（3）负责公司信息化系统总体构架，构建公司信息化实施组织，结合业务

流程、项目管理，实施公司集成信息化系统。

（4）负责控制信息化项目预算。负责控制本部门信息化预算，降低费用成本。（5）负责公司信息化项目关键控制点的监督、控制和风险评价；（5）负责组织公司的信息安全工作，持续加强公司的信息安全管理。（6）组织对公司计算机及周边设备、网络设备和办公自动化设备的维护、添

置、验收以及发放登记归档；

（7）负责组织对计算机网络及信息系统的维护，保证网络及信息系统的正常

运行。

（8）负责主持信息化新系统、新项目的开发，并对信息项目系统开发全过程

负责。

（9）负责组织公司信息化项目的持续改进与日常维护。（10）完成领导指派的其它工作； 2. 维护主管

（1）负责IT维护方面的日常管理工作。负责安排及监督系统管理员及系统

维护员的工作。

（2）负责主持计算机及网络系统的设计及改良工作。

（3）负责主持对计算机网络及硬件系统的维护，保证网络及硬件系统的正常

运行。

（4）负责检测并实施适当措施保障网络及硬件系统应用安全。

（5）负责对公司计算机及周边设备、网络设备和办公自动化设备的维护、添

置、验收以及发放登记归档；

（6）负责公司上权限控制（7）主管指派的其它工作； 3. 项目组组长

（1）进行项目可行性论证；（2）按照计划执行项目的实施；（3）协调项目组内的工作；（4）主管指派的其它工作； 4. 信息管理员

（1）依据新信息系统项目的开发计划展开开发工作；

（2）负责公司有关信息系统的持续改进与日常维护，负责公司信息系统的

安全管理、技术支持和维护工作，树立服务意识，为公司领导、各业务职能部门提供最优质服务。

（3）负责公司的信息系统安全工作，持续加强公司的信息安全管理。（4）主管指派的其它工作； 5. 软件开发员

（1）负责新系统、新程序的技术调研工作；

（2）依据公司自主开发软件项目的计划进行软件开发设计，并进行推广。（3）负责调研公司各部门信息化需求并汇总，负责公司外购软件（财务、生

产、技术、办公自动化系统软件、人事管理系统）的二次开发，负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。

（4）主管指派的其它工作；

6. 信息安全

（1）负责主持计算机及网络系统的设计及改良工作。（2）负责检测并实施适当措施保障网络及硬件系统应用安全。（3）负责维持运行于网络平台上的各种服务稳定运行。（4）主管指派的其它工作； 7. 网络安全

（1）负责排除计算机及网络系统（包括软件）的故障。（2）维修或更换损坏的计算机及网络设备或部件；（3）协助维护计算机网络的稳定运行与安全；（4）主管指派的其它工作；

XXXXXXXXXX计算机网络信息安全保密制度

为保证我公司计算机网络信息安全，防止计算机网络失密泄密事件发生，特制定本制度。

一、为防止病毒造成严重后果，对外来存储介质（硬盘、光盘、软盘、移动硬盘或U盘）、软件要严格管理，严格禁止外来存储介质、软件在单位涉密计算机上使用。

二、为防止黑客攻击和网络病毒的侵袭，接入网络的计算机一律安装杀毒软件，并要定时对杀毒软件进行升级。

三、各部门在各项重大事项保密期间，将有关涉密材料保存到不联网的计算机上。

四、我公司所有办公计算机的联网均通过公司进行，各部门禁止将计算机擅自接入其他互联网运营商。

五、保密级别在秘密以下的材料可通过网络传递和报送，严禁保密级别在秘密以上的材料通过网络传递和报送。

XXXXXXXXXX用户密码安全保密管理规定

一、用户密码管理的范围是指办公室内所有涉密计算机所使用的密码。

二、机密级涉密计算机的密码管理由涉密部门负责人负责，秘密级涉密计算机的密码管理由使用人负责。

三、用户密码使用规定

（1）密码必须由数字、字符和特殊字符组成；

（2）秘密级计算机设置的密码长度不能少于8个字符，密码更换周期不得多于30天；

（3）机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过7天；

（4）涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。

四、密码的保存

（1）秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示主管领导认可。

（2）机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由部门主任管理。

XXXXXXXXXX电子文件保密管理规定

一、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。

二、电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。

三、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录，将系统中的电子文件分别存储在相应的目录中。

四、电子文件要有密级标识，电子文件的密级标识不能与文件的正文分离，一般标注于正文前面。

五、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。

六、各涉密部门自用信息资料要定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。

七、各部门要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。

八、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。

九、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。

XXXXXXXXXX计算机系统病毒防治管理规定

一、涉密计算机必须安装经过保密部门许可的查、杀病毒软件。

二、每周升级和查、杀计算机病毒软件的病毒样本，确保病毒样本始终处于最新版本。

三、绝对禁止涉密计算机在线升级防病毒软件病毒库，同时对离线升级包的来源进行登记。

四、涉密计算机应信息入口，如软盘、光盘、U盘、移动硬盘等的使用。

五、对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用。

六、对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员的责任。

数字复印机多功能一体机保密管理规定

一、用于专门处理涉密信息的数字复印机、多功能一体机按所接入设备的最高定密等级定密。

二、严禁将用于处理国家秘密信息的具有打印、复印、传真等多功能的一体机与普通电话线连接。

三、严禁维修人员擅自读取和拷贝数字复印机、多功能一体机等涉密设备存储的国家秘密信息。涉密电子设备出现故障送外维修前，必须将涉密存储部件拆除并妥善保管；涉密存储部件出现故障，如不能保证安全保密，必须按照涉密载体销毁要求予以销毁；如需恢复其存储信息，必须由保密工作部门指定的具有数据恢复资质的单位进行。

XXXXXXXXXX计算机保密管理制度

为进一步加强我公司涉密计算机信息保密管理工作，杜绝泄密隐患，确保国家秘密的安全，维护公司稳定与安全，根据《中华人民共和国保守国家秘密法》，结合我公司实际，制定本制度。

第一条公司保密委员会负责全校涉密计算机保密管理工作的指导、协调和监督工作。保密技术防范和管理工作由公司网络中心负责。

第二条凡涉及国家秘密、公司各单位内部不宜公开的办公事项严禁进入公司和国际互联网，与国际互联网相连的计算机系统严禁处理、存储、传输国家秘密和单位内部不宜公开办公事项。

第三条凡是涉密计算机不得直接或间接接入公司公共网和国际互联网，必须进行物理隔离。禁止任何单位和个人将网络安全隔离与交换器用于涉密计算机和网络之间。

第四条凡经公司保密委员会审查登记备案的涉密计算机，必须指定专人负责管理，实行专机专用，凡涉密计算机一机多人共用的必须采取保密技术措施，加强保密工作，严格按规定规范操作。

第五条各单位对上息要建立健全严格的保密审查制度。公司主页由公司领导负责保密审查，各单位上息由单位主要领导负责保密审查，坚持“谁上网，谁负责”的原则，未经保密审查的信息不得入网。

第六条凡违反保密规定，利用涉密计算机、公司、国际互联网

从事危害和利益，泄露国家秘密和公司业务工作秘密的活动，一经查出，将追究单位主要领导和当事人的责任。

第七条涉密的计算机信息在打印输出时，打印出的文件应当按照相应密级文件管理，打印过程中产生的残、次、废页应当及时销毁。

第凡涉及国家秘密信息的计算机设备的维修，应保证储存的国家秘密信息不被泄露。到保密工作部门指定的维修点进行维修，并派技术人员在现场负责监督。

第九条各单位报废涉密计算机，必须经校保密委员会派专人将涉密内容作技术处理（消除），公司保密委员会备案后，方能作出处理。否则，作违规论处，将追究单位主管领导和当事人的责任。

第十条各单位增加涉密计算机，必须先到公司保密委员会备案后使用。

第十一条本制度由公司保密委员会办公室负责解释。第十二条本制度自下发之日起执行。

XXXXXXXXXX移动存储介质管理制度

为加强我公司移动存储介质管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》，结合我公司实际，制定本制度。

第一条校保密委员会办公室负有建立健全使用复制、转送、携带、移交、保管、销毁等制度以及对单位所执行本制度的监督、检查职责。保密工作领导小组界定涉密与非涉密移动存储介质（包括硬盘、移动硬盘、软盘、U盘、光盘、磁带及各种存储卡），并由保密委员会办公室登记造册。

第二条各单位必须指定专人负责涉密移动存储介质的日常管理工作。涉密移动存储介质必须妥善保存。日常使用由使用人员保管，暂停使用的交由指定的专人保管。

第三条涉密移动存储介质严禁在互联网上使用。确因工作需要携带涉密移动存储介质外出，须报分管领导批准，履行相关手续和采取严格的保密措施。严禁将涉密移动存储介质借给外单位使用。

第四条涉密移动存储介质需要送外部维修时，必须到国家保密工作部门指定的具有保密资质的单位进行维修，并将废旧的存储介质收回。涉密移动存储介质在报废前，应进行信息清除处理。

第五条涉密移动存储介质的销毁，经分管领导批准后，到自治区国家保密局指定的销毁点销毁或送交自治区国家保密局统一销毁，不得擅自销毁。禁止将涉密移动存储介质作为废品出售。

第六条工作人员不按规定管理和使用涉密移动存储介质造成泄密事件的，将依法依规追究责任，构成犯罪的将移送司法机关处理。

第七条本制度由校保密委员会办公室负责解释。第本制度从下发之日起执行。

XXXXXXXXXX计算机维修、更换

及报废保密管理规定

第一条涉密计算机进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，安全保密人员和涉密单位计算机系统维护人员必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。

第二条凡需外送修理的涉密设备及涉密介质，必须经校保密委员会和分管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。

第三条网络管理中心负责对涉密计算机软件的安装和设备的维护维修工作，严禁使用者私自安装涉密计算机软件和擅自拆卸计算机设备。

第四条涉密计算机报废由保密领导小组专人负责，交由自治区国家保密局定点销毁。

第五条本制度由校保密委员会办公室负责解释。第六条本制度从下发之日起执行。

XXXXXXXXXX互联网发布信息保密管理制度

为加强互联网发布信息的保密管理，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》等有关要求，结合我公司实际，制定本制度。

第一条在互联网上发布的信息是指经公司主要领导或分管领导审核批准，提供给国际互联网站或其他公众信息网站，向社会公开、让公众了解和使用的信息。

第二条互联网发布信息保密管理坚持“谁发布谁负责”的原则。凡向国际互联网站提供或者发布信息，必须经公司主要领导或分管领导审查批准，并应该按照一定的工作程序，完善和落实信息登记、审批责任制。

第三条除新闻媒体已公开发表的信息外，各部门及院（系）提供的上息应确保不涉及国家秘密。

第四条单位内部工作秘密、内部资料等，虽不属于国家秘密，但应作为内部事项进行管理，未经公司主要领导或分管领导批准不得擅自发布。

第五条禁止网上发布信息的基本范围：（一）标有密级的国家秘密。

（二）未经相关部门批准的，涉及、社会政治稳定等敏感信息。

（三）未经制文单位批准，标注有“内部文件（资料）”和“注意保存”（保管、保密）等警示字样的信息。

（四）公司认定为不宜公开的内部办公事项。第六条保密工作分管领导应履行的职责：

（一）定期对网络管理人员进行保密法规、保密纪律、保密常识教育，增强信息保密观念和防范意识，自觉遵守并执行有关保密规定。

（二）建立健全上息保密管理制度，落实各项安全保密防范措施。

（三）发现国家秘密网上发布的，立即采取补救措施，并及时向有关部门报告。

（四）定期或不定期向自治区国家保密局通报网上发布信息保密管理情况。

第七条校保密委员会办公室主任应履行的职责：（一）指导、监督各部门网上发布信息的保密管理工作。（二）协助参与涉及几个部门拟发布信息的保密审查。（三）向自治区国家保密局报告网上发布信息保密审查中的重要情况。

（四）负责对网上发布信息进行经常性保密监督检查，发现问题，立即采取补救措施，查明原因，并及时向自治区国家保密局报告。

（五）协助有关部门对违反规定造成网上泄密的事件依法进行查处。

第提供信息发布的部门应履行的职责：

（一）对拟发布信息是否涉及国家秘密进行审查。

（二）对已发布信息进行定期保密检查，发现涉密信息的，立即采取补救措施，查清泄密渠道和原因，并及时向公司分管领导或保密委员会报告。

（三）接受上级机关和自治区国家保密局的监督检查。第九条违反本制度，对网上发布信息保密审查把关不严，导致严重后果或安全隐患的，按照规定严肃查处。

第十条本制度由校保密委员会办公室负责解释。第十一条本制度从下发之日起执行。

XXXXXXXXXX计算机

信息发布、传递保密管理制度

为了加强和规范公司非涉密计算机信息系统信息发布、传递的保密管理工作，确保国家秘密和公司工作秘密的安全，根据《计算机信息系统国际联网保密管理规定》（国保发[1999]10号）等国家相关法规有关要求，结合公司实际，制定本制度。

第一条本制度所称非涉密计算机信息系统是指公司内部直接或间接接入国际互联网的计算机网络和单机。信息发布是指在各类网站、网页、网上论坛等信息发布平台上公开发布信息的行为；信息传递是指通过电子邮件、即时通信等方式传送信息的行为。

第二条公司非涉密计算机信息系统禁止以任何形式发布、传递国家秘密和工作秘密信息。

第三条公司非涉密计算机信息系统信息发布、传递的保密管理工作遵循“业务谁主管，保密谁负责”的基本原则，确保所发布、传递的信息均经过保密审查、审批，绝对不涉及国家秘密和工作秘密。

第四条公司对非涉密计算机信息系统信息发布、传递实行保密审查、审批制度。

一、发布、传递一般性的信息由非涉密计算机信息系统使用管理单位自行进行保密审查。

二、发布、传递公司党、政文件或其它可能涉及国家秘密和公司工作秘密的信息，须送办公室、校长办公室及相关领导进行保密

审查。

三、发布、传递的信息中可能涉及国家秘密、工作秘密而相关业务主管部门又无法明确界定的，须送公司保密委员会进行保密审查，并报公司主管领导审批。

第五条非涉密计算机信息系统发布、传递信息保密审查、审批程序：在学生社团或学生个人制作的网站上发布的信息，由学生部（处）、团委审核；各单位（部门）在本单位（部门）网站上发布的信息或在公司主页上发布的信息由该单位（部门）负责信息发布的领导审核。审核合格后，签字盖章，留档备案，再进行信息发布。

一、利用非涉密计算机信息系统发布、传递信息时，承办人、拟稿人须填写发布申请表，由所在单位负责人审查；

二、根据发布、传递信息的性质选择送公司相应业务主管部门审查、无法明确界定的送保密处审查，并报公司主管领导、保密委员会审批；

三、将审查、审批后的发布申请表及所要发布、传递的信息内容，一同送交发布、传递承办单位或人员；

四、信息发布、传递承办单位或人员确认所要发布、传递的信息经保密审查、审批合格后，方可在非涉密计算机信息系统上公开发布、传递信息。

第六条公司公司信息发布、传递的保密审查、审批办法：一、公司主页信息发布的保密审查、审批。

公司办公室、校长办公室及网络中心明确专人负责信息的采

集和发布，并对一般性的信息进行保密审查；

公司党、政文件、涉及公司安全稳定的信息以及其它可能涉及国家秘密、工作秘密的信息，经保密审查、审批，确认无密后，方可公开发布。

二、公司下设的部门网站（包括各院（系）、部、处、中心的自办网站以及主页等）信息发布的保密审查、审批。

各主管单位要明确专人负责信息的采集和发布。发布本单位业务、专业内的信息，由本单位主管领导、负责人进行保密审查，审查情况要有文字记载。发布本单位业务、专业以外的信息，按照本规定第四、五条执行。

三、公司各级各类论坛、聊天室等交互式网站信息发布的保密审查、审批。

主办单位要明确专人负责监管，并在论坛、聊天室等明显位置注明保密要求。论坛、聊天室等网络管理员要对所发布的信息进行实时审查、监控，对敏感信息要及时采取有效的控制措施，确保所发布的信息不涉及国家秘密、工作秘密。

四、公司内或通过公司向外传递信息的保密审查、审批。公司各单位利用公司传递本单位业务、专业内的信息，由本单位主管领导、负责人进行保密审查，审查情况要有文字记载。传递本单位业务、专业以外的信息，按照本制度第四、五条执行。

第七条对违反本制度，未进行保密审查、审批，擅自在公司及国际互联网上发布、传递，造成或可能造成泄密问题的，依据有关规

定给予处罚。情节严重，构成重大泄密事件的，送司法机关追究责任。

第本制度由公司保密委员会办公室负责解释。第九条本制度自发布之日起施行。

XXXXXXXXXX公司管理办法

第一章总则

第一条为加强XXXXXXXXXX公司网络的运行和使用管理，确保网络安全、可靠、稳定地运行,促进我公司网络工作的健康、持续发展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《中国教育和科研计算机网管理办法（试行）》和国家有关规定，特制定本管理办法。

第二条公司是为全校教学、科研和行政管理建立的计算机信息网络，其目的是利用先进实用的计算机技术和网络通信技术，实现校内计算机互联、计算机局域网互联，并通过中国教育和科研计算机网（CERNET）与国际互联网络（INTERNET）互联，实现信息的快捷沟通和资源共享。其服务对象主要是全校各单位及部门的办公、教学用户、学生、教职工个人用户。

第三条凡是使用公司络资源的单位和个人用户必须按本管理办法执行。

第二章组织与管理机构

第四条公司成立信息化工作领导小组，负责审定公司建设规划、网络运行经费预算及讨论、决定公司管理中的其它重要问题。

第五条计算机网络管理中心（以下简称网管中心）是公司公司管理的职能部门，负责公司的基础建设、技术管理、日常运行管理和

网络发展工作。其主要职责是：

1、执行公司审定通过的网络建设和管理的计划和方案。 2、负责统一协调公司的主页建设工作，制定加强公司信息化和公司站建设的方案、措施。

3、负责相应的网络安全和信息安全工作。

4、负责保存网络运行有关记录并接受上一级网络和机关的监督和检查。

5、指导和监督子网建设并使其接入主干网运行，负责二级接入单位和用户的监管、技术咨询等工作。

6、负责拟订《公司运行收费管理办法》。

第六条公司的建设、管理由公司统一规划、统一领导，实行分级管理、分层负责制。网管中心对公司网络资源（包括硬件资源和软件信息资源）进行管理，各院、系、部、处等部门应指定一人为计算机网络信息管理员,负责对自己内部的资源进行管理。

第七条各接入单位的自建局域网络，由各单位自行负责建设、运行和管理，并接受网管中心的监管。

第三章主干网与接入子网

第网管中心负责主干网的运行管理、设备管理和发展规划，保证主干网的畅通。

第九条需要建设子网的单位应向网管中心提交申请和子网规划，由网管中心审批。未经批准，任何单位和个人不得私自扩充子网

和与校外单位连网。否则，网管中心有权加以制止并拒绝其加入公司络

第十条子网接入单位职责：

1、在网管中心的统一规划和指导下，负责按有关要求和规定对子网进行建设、运行和管理。

2、指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进行管理。

3、负责和承担下一级接入单位和用户的管理和技术咨询工作。 4、负责本级网络相应的网络安全和信息安全工作。

5、负责保存本级网络运行的有关记录并接受上一级网络的监督和检查。

第四章 IP地址管理及用户入网申请

第十一条全公司网络用户使用公司均需进行实名认证并使用真实IP。IP地址由网管中心负责统一管理和分配。入网单位和个人应严格使用由网管中心及本单位网络管理员分配的IP地址，不得使用NAT(地址转换)，严禁盗用他人IP地址或私自乱设IP地址。网管中心有权切断经过NAT转换的子网及其它乱设的IP地址入网，并对盗用他人IP地址者予以处罚，以保证公司络的正常运行。

第十二条计算机无论以何种方式接入公司，均须办理入网手续。未办理入网手续，任何单位和个人不得私自将计算机接入公司。

第十三条用户入网须按下列程序办理入网手续

单位集体用户（如公共机房）入网，应向网管中心提出申请，由网管中心审核通过并签署《公司入网安全协议》，方可入网运行。

各系部办公用户、家属院及单身教工用户、学生宿舍用户入网，均需填写公司络用户上网申请表，由网管中心审核并办理相关手续后，方可入网运行。

用户要求销户时，须提交书面申请并到网管中心办理销户手续，不允许用户将网络资源私自转让他人使用，否则，由此引发的所有事故责任由原申请注册人承担。

网络用户必须遵守《XXXXXXXXXX公司管理办法》和《XXXXXXXXXX公司用户守则》

第五章网络运行、维护

第十四条公司主干网的日常运行与维护由网管中心负责。各子网接入单位网络的日常运行与维护由接入单位自行负责。

第十五条各接入单位应对接入网的网络设备进行管理。如发现与主干网连接不畅，或有异常现象，单位管理人员应马上通知网管中心，协助网管中心查明原因，排除故障。

第十六条网管中心应特别注意监视主干网运行情况，实行7×24小时值班制，制定《值班人员岗位职责》，填写公司运行维护值班日志，一旦发现故障，应及时通报有关情况，并尽快解决。

第六章网络信息发布

第十七条上息实行审核登记制度和巡查制度。所有在公司主页上发布的信息必须经过公司党政及宣传部门的审核。

第十各部门上息管理实行“谁上网、谁负责”。上息不得有违反国家法律、法规或侵犯他人知识产权的内容。

第十九条需要设立Web服务器、邮件服务器、FTP服务器等公开站点的部门，必须由部门网络管理员向网管中心提出申请，填写相应的申请备案表格，由单位领导签字同意，经主管校领导审核批准后方可设立，同时应指定专人（教职工）负责管理。上述站点要接受网管中心的监督。

第二十条网管中心负责公司公共信息的建设，承担DNS、、等服务器的建设、维护和管理，保证公共信息服务器的正常运行。

第二十一条在公司上发布的公共信息主要包括行政宣传信息、教学信息、科研信息。公司公共信息的监控由保卫处、宣传部、网管中心共同负责，有害信息的删除由网管中心负责。

第七章安全管理

第二十二条网管中心和各连入单位必须采取技术和行政手段，确保公司络安全。公司络的安全管理由网管中心具体负责。各接入单位子网由部门网络管理员具体负责。

第二十三条入网单位必须指定一名负责人，对本单位网络进行严格管理。同时安排一名网络管理员具体负责网络的安全和信息的安全工作。入网单位和用户必须严格管理分配的网络 IP 地址和用户帐

号。

第二十四条公司各级网络信息管理员，负责相应的网络安全和信息安全工作，并定期对网络用户进行有关信息安全和网络安全教育。

第二十五条公司工作人员和用户在网络上发现有碍社会治安和不健康的信息有义务及时上报各部门网络管理人员或网管中心。

第二十六条各用户不得在公司上进行干扰其他网络用户、破坏网络服务和破坏网络设备的活动。

第二十七条各用户在使用网络的过程中要严格遵守《知识产权法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际互联网安全保护管理办法》和其它有关法律、法规的规定。

第二十各用户应严格遵守《公司入网安全协议》的相关内容。

第八章网络运行经费

第二十九条所有接入单位和个人都应自觉按时交纳网络使用费。

第三十条《公司络运行经费收费办法》由网管中心依照有关规定拟定，经公司信息化工作领导小组讨论通过后执行。

第三十一条公司络建设和运行经费的使用和管理接受公司领导和财务处的指导与监督。

第九章奖励与惩罚

第三十二条公司每年评定公司建设和管理先进单位和个人，依照相关办法给予精神和物质奖励，并与部门年终考核挂钩。

第三十三条对于盗用IP地址、盗用他人口令、入侵及破坏网络和计算机系统、违反网络用户行为规范的行为，网管中心将会同公司有关部门共同查处；处罚分为警告、停止帐号、停止单机上网、停止子网上网、交由公司有关部门处理；同时视情节轻重予以罚款。触犯国家有关法律者，上报机关依法追究责任。

第三十四条各级网络设备及所有的信息点属于公司公共财产，任何人不得以任何理由予以拆除和破坏。公司家属楼、单身宿舍及学生宿舍内信息点应作为公司公共财产统一纳入公司后勤办房产管理及学生处宿舍管理的相关制度中。

第十章设备管理

第三十五条网络中心负责公司内所有网络设备、服务器设备、主干光缆（除各单位自建子网）的管理和维护，建立设备档案，及时备份核心、汇聚层网络设备和服务器设备的配置文档。

第三十六条网络中心每天对核心、汇聚层网络设备和服务器设备的使用情况进行监控，定期对楼宇内接入层网络设备进行电路、链路及除尘的常规检查和保养，确保网络设备的正常使用寿命。

第三十七条加强网络设备、备品备件、文档资料、分设备间及

各级网络机柜钥匙的出入库管理，作好出入库的登记手续。

附则

第三十本规定适用于公司内所有入网部门和个人。第三十九条本规定由网管中心负责解释。第四十条本规定自公布之日起开始实行。

系统数据备份与恢复管理制度

第一条为了确保系统计算机系统的数据安全，使得在计算机系统失效或数据丢失时，能依靠备份尽快地恢复系统和数据，保护关键应用数据的安全，保证数据不丢失，特制定本制度。

第二条拥有重要系统或重要数据的处室应该及时对数据进行备份，防止系统、数据的丢失；涉及数据备份和恢复的处室要由专人负责数据备份工作，并认真填写备份日志。

第三条网络服务器数据备份工作，由技术部负责，增量备份每日做，系统备份每周做一次。系统管理员在每周最后一个工作日，将应用服务器的数据库文件做一次异机备份，数据保存一个季度。

第四条备份数据应该严格管理，妥善保存；备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

第五条数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进行数据恢复或转入操作。

第六条一旦发生数据丢失或数据破坏等情况，要由系统管理员进行备份数据恢复，以免造成不必要的麻烦或更大的损失。

（1）全盘恢复一般应用在服务器发生意外灾难导致数据丢失、系统崩溃或是有计划的系统升级、系统重组等。

（2）个别文件数据恢复一般用于恢复受损的个别文件，或者在全盘恢复之后追加增量备份的恢复，以得到最新的备份。

第七条办公室必须定期1个月检查一次保存备份数据能否正常使用，需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后，方可刻录光盘。

网络信息安全应急预案

为保证我公司信息系统安全，加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，确保信息系统和网络的通畅运行，结合实际，特制定本应急预案。一、总则（一）工作目标

保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全，其中重点维护网络系统、国土资源业务系统、基础数据库服务器及国土资源网站的安全。（二）编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《互联息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神，制定本预案。

（三）基本原则

1、预防为主。根据《计算机信息安全管理规定》的要求，建立、健全国土资源计算机信息安全管理制度，有效预防网络与信息安全事故的发生。

2、分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制。各部门应积极支持和协助应急处置工作。

3、果断处置。一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。（四）适用范围

本预案只适用于XXXXXXXXXX卫星导航信息服务有限公司。

二、组织体系

成立网络与信息安全领导组，为我公司网络与信息安全应急处置的组织协调机构。

1．局网络与信息安全应急领导组组长由总经理同志担任，成员由部门负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。

2．网络与信息安全应急领导组下设办公室。办公室主任由副总经理焦多瑞同志担任。

职责：

（1）负责和处理局应急领导小组的日常工作，检查督促局应急领导组决定事项的落实。

（2）负责局网络与信息安全应急预案的管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

（3）指导全局应对网络与信息安全突发公共事件的预案演习、宣传培训、督促应急保障体系建设。三、预防预警

1. 信息监测与报告。

（1）按照“早发现、早报告、早处置”的原则，加强对各部门有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向应急领导小组报告，初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

（2）建立网络与信息安全报告制度。发现下列情况时应及时向应急领导小组报告：利用网络从事违法犯罪活动的情况；

网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；

网络恐怖活动的嫌疑情况和预警信息；其他影响网络与信息安全的信息。 2. 预警处理与发布。

（1）对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。

（2）应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进行汇报。四、应急预案

（一）网站、网页出现非法言论时的应急预案

1、网站、网页由负责网站维护的管理员随时监控信息内容。

2、发现在网上出现非法信息时，网站管理员立即向信息安全领导小组通报情况，并作好记录。清理非法信息，采取必要的安全防范措施，将网站、网页重新投入使用；情况紧急的，应先及时采取删除等处理措施，再按程序报告。

3、网站管理员应妥善保存有关记录、日志或审计记录，将有关情况向安全领导小组汇报，并及时追查非法信息来源。

4、事态严重的，立即向信息安全领导组组长报告，并向相关部门进行汇报。

（二）黑客攻击或软件系统遭破坏性攻击时的应急预案

1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

2、当管理员通过入侵监测系统发现有黑客正在进行攻击时，应立即向信息安全领导小组日常应急办公室报告。软件遭破坏性攻击（包括严重病毒）时要将系统停止运行。

3、管理员首先要将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组报告情况。

4、日常应急办公室负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。

5、事态严重的，立即向信息安全领导组组长报告，并向相关部门进行汇报。（三）数据库发生故障时的应急预案 1、主要数据库系统应定时进行数据库备份。

2、一旦数据库崩溃，管理员应立即进行数据及系统修复，修复困难的，可向相关部门汇报情况，以取得相应的技术支持。

3、在此情况下无法修复的，应向信息安全领导组报告，在征得许可的情况下，可立即向软硬件提供商请求支援。

4、在取得相应技术支援也无法修复的，应及时向信息安全领导小组组长报告，在征得许可、并可在业务操作弥补的情况下，由日常应急办公室信息安全岗人员利用最近备份的数据进行恢复。（四）设备安全发生故障时的应急预案

1、小型机、服务器等关键设备损坏后，管理员应立即向日常应急办公室报告。 2、日常应急办公室网络安全岗负责人员立即查明原因。

3、如果能够自行恢复，应立即用备件替换受损部件。

4、如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。 5、如果设备一时不能修复，应向信息安全领导小组汇报，并告知各股室，暂缓上传上报数据，直到故障排除设备恢复正常使用。（五）内部局域网故障中断时的应急预案

1、局办公室平时应准备好网络备用设备，存放在指定的位置。

2、局域网中断后，网络安全岗负责人员应立即判断故障节点，查明故障原因，并向日常应急办公室汇报。

3、如属线路故障，应重新安装线路。

4、如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

5、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。 6、如有必要，应向信息安全领导组汇报。（六）广域网外部线路中断时的应急预案

1、广域网线路中断后，管理员应向信息安全领导组日常应急办公室报告。 2、日常应急办公室网络安全岗负责人员接到报告后，应迅速判断故障节点，查明故障原因。

3、如属可即时恢复范围，由网络安全组人员立即予以恢复。

4、如属电信运营商管辖范围，应立即与电信运营商的维护部门联系，要求尽快修复。

5、如果恢复时间预计超过两小时, 应立即向信息安全领导小组汇报。经领导小组同意后，应通知各部门暂缓上传上报数据。（七）外部电中断后的应急预案

1、外部电中断后，值班室应立即向管理员汇报情况。 2、如因局内线路故障，由办公室通知维修人员迅速恢复。

3、如果是局外部的原因，由办公室立即与供电局联系，请供电局迅速恢复供电；如果供电局告知需长时间停电，应做如下安排：（1）预计停电2小时以内，由UPS供电；

（2）预计停电2-4小时，关掉非关键设备，确保各主机、路由器、交换机供电；（3）预计停电超过4小时，白天工作时间关键设备运行，晚上所有设备停机。（八）机房发生火灾时的应急预案

1、一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

2、人员灭火和疏散的程序是：值班人员应首先切断所有电源，同时通过119电话报警。值班人员戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。五、应急响应

1. 先期处置。

（1）当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向局应急办公室报告。

（2）应急办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后，应立即向应急领导小组汇报，并加强与有关方面的联系，并做好启动本预案的各项准备工作。

2. 应急指挥。

预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。

3. 应急支援。

预案启动后，立即成立由应急领导小组领导带队的应急响应先遣小组，督促、指导和协调处置工作。应急领导小组根据事态的发展和处置工作需要，及时增派专家小组，调动必需的物资、设备，支援应急工作。

4. 信息处理。

（1）应对事件进行动态监测、评估，将事件的性质、危害程度和损失情况及处置工作等情况，及时报应急领导小组，不得隐瞒、缓报、谎报。

（2）应急领导小组要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。

5. 应急结束。

网络与信息安全突发公共事件经应急处置后，由事发单位向应急领导小组提出应急结束的建议，经批准后实施。

五、后期处置 1. 善后处理。

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。

2. 调查评估。

在应急处置工作结束后，应急领导小组办公室应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急领导小组，并根据问责制的有关规定，对有关责任人员作出处理。

六、保障措施

1. 数据保障。

重要信息系统均应建立备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。

2. 应急队伍保障。

按照一专多能的要求建立网络信息安全应急保障队伍。 3. 经费保障。

落实网络与信息系统突发公共事件应急处置资金。七、监督管理 1. 宣传教育。

要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。

要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

2.责任与奖惩。

网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。应急领导小组将不定期进行检查，对各项制度、计划、方案、人员等进行实地验证。

八、本预案信息化领导小组办公室制定。九、本预案信息化领导小组办公室负责解释。

十、本预案自印发之日起实施。

机房安全管理制度

一、值班制度

1．技术值班人员，随时处理网络故障、解决网络问题、保持网络畅通、提高网络的可用性和可靠性水平。

2．网络值班可分为现场值班和呼叫（手机、小灵通等）值班两种形式：法定工作时间应实行现场值班，定时检查机房服务器、交换机、路由器、光纤收发器等设备运行情况和存在问题；晚上或节假日期间，视网络应用情况，设置现场

值班或呼叫值班。

3．值班人员应认真填写值班记录。

4．值班人员还应注意机房的温度和湿度,使夏季温度在20±5℃，冬季温度20±5℃，相对湿度45%～65％。

5．值班人员应每天清理机房卫生，保证机房整洁；严禁在机房内吃食物或存放食物，以防止鼠害。二、网络管理制度 1. 网络管理员职责

网络管理员的职责如下：

(1) 网络设备管理。为主机房网络设备编号、配置、调试及故障维护。 (2) 网络服务器运行管理。为主机房服务器编号、安装系统、检查网络服务器运行日志，做好故障维护记录、更新服务器安全补丁，升级计算机杀毒软件，并进行杀毒，安装服务器应用软件，做好网络中心机房的安全工作。

(3) 网站开发及维护。主页建设、维护及版面更新，负责组织网上信息资源的开发，协助负责各部门主页建设等

(4) 负责网络安全和保密工作。检查网络服务器安全日志，定期检查中心设备安全

(5) 参加现代教育技术中心的日常和假期值班。 (6) 完成领导交办的其它工作 2. 机房操作规定网管员对机房、网络进行操作时必须经过研究发展部主管领导批准，严禁随意操作、更改机房和网络配置。重大网络操作（如系统升级、系统更换、数据转储等）应事先书面提出报告，采取妥善措施系统和数据保护性备份后，经研究发展部领导批准，方可实施操作，并填写操作记录。 3. 网络检修制度

网络检修由网络管理员进行。网络检修分为定期检修和临时检修两种。检修的项目涉及服务器、交换机、集线器、中继器、路由器、防火墙、配线架、网线、UPS电源等公用网络实体。在网络出现异常征兆或故障情况下可进行网络的临时检修。网络的临时检修包括检查、分析、确定故障设备或故障部位，并进行应急维修。

4. 账号管理制度

网络账号采用分组管理。并详细登记：用户姓名、部门名称、账号名及口令、存取权限、开通时间、网络资源分配情况等。用户账号下的数据属各个用户的私人数据，网络管理员具有管理及备份权限，其他人员均无权访问（账号当事人授权访问情况除外）。网络管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息、个人隐私等露出去。 5. 服务器管理制度

在安装服务器（或修改服务器配置）时，网管员应提出申请，并对新安装的或修改的服务器硬件、软件情况进行登记，填写“服务器配置登记（更新）表”。“服务器配置登记表”的内容包括：服务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP地址、支撑软件的配置、应用软件的配置、硬件及软件配置的变更情况等。

6.日志文件管理制度

每周要检查各个服务器的日志文件，良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后，网络信息管理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做善意阻击并向主管领导汇报。保留所有用户访问站点的日志文件，每两个月要对的日志文件进行异地备份, 备份日志不得更改，刻录光盘保留。 7. 保密制度 (1) 人员选择

应对网络工作人员进行综合考查，将技术过硬、责任心强、职业道德好的技术人员安排到网络管理工作岗位。调离人员应立即办理网络工作交接手续，并承担保密义务。

(2) 责任分散

网络安全关键岗位宜实行轮岗制，时间期限视企业情况而定；操作系统管理、数据库系统管理、网络程序设计、网络数据备份等与系统安全和数据安全相关的工作宜由多人承担；涉及网络安全的重要网络操作或实体检修工作应有两人（或多人）参与，并通过注册、记录、签字等方式予以证明。 (3) 出入管理

网站机房实行出入控制，工作人员进入网站机房要佩戴工作卡，外来检修人员、外来公务人员等进入网站机房必须由研究发展部工作人员始终陪同。并填写好相应的外来人员检修卡、外来人员参观卡。进入网站机房禁止携带与网络操作无关的物品。

8. 系统安全未经研究发展部领导批准，任何人不得改变网络拓扑结构、网络设备布置、服务器配置和网络参数。任何人不得擅自进入未经许可的网络系统，不得篡改系统信息和用户数据。

值班人员应及时监控网络运行状况，对不成功进入、不成功访问、越权存取尝试等进行记录、整理、分析，并提出针对性措施。任何人不得利用计算机技术侵犯用户合法权益；不得制作、复制和传播妨害单位稳定、淫秽色情等有害信息。 9. 病毒防治

任何人不得在网上制造、传播计算机病毒，不得故意输入计算机病毒及其有害数据危害网络安全。网络使用者发现病毒，应立即向网络管理员报告，以便获得及时处理。

网络服务器的病毒防治宜由网络管理员负责。网络工作站的病毒防治宜由用户负责，网络管理员可以进行指导和协助。 10．器材、配件、软件管理规定

机房器材、配件、软件、工具一律不得私自外借，确因工作需要外借时，必须征得研究发展部领导同意。 11．电器安全管理规定

严禁在机房内私自配接电器；严禁在电线、电缆上悬挂、堆放物品；严禁在UPS电源上私拉乱扯用电器；UPS应妥善保养，每3个月放电一次；严禁在机房内使用或存放易燃、易爆、腐蚀性、挥发性物品；机房门外严禁堆放杂物和易燃、易爆物；严禁在机房内吸烟和乱丢烟。

XXXXXXXXXX信息化安全管理办法

为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。

2.0 适用范围

本管理规范适用于XXXXXXXXXX所属系统及网络的信息安全管理及公司内部技术整体的控制。

3.0 信息安全组织机构及职责：

根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，众力北斗通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责：

负责公司与相关领导之间的联系，跟踪重大网络信息安全事件的处理过程，并负责与相关应急部门联络，汇报情况。 3.1.2网络与信息安全工作管理组副组长职责：

负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责：

省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 3.1.4信息安全技术管理职责：

技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施

应急处理，并定期对各类安全事件进行技术分析。

设置信息安全评估审计员，根据有限公司及省公司制定的安全审计技术规范和有关技术要求，制定实施细则。牵头对各类网络和系统实施安全技术审计工作，根据SOX要求定期对各类网络和系统帐号、口令设置，操作日志等进行审计及复核，生成审计报告。 3.1.5安全监控人员职责：

运维中心设置安全监控人员，对全网安全设备进行集中监控；及时发现全息安全事件，根据故障管理相关规定进行派单和督促处理；进行安全事件上报。

3.1.6各系统维护员职责：

各单位分生产系统设置兼职系统安全维护员，负责本系统网络信息安全的技术工作及相关协调工作，贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件，根据相关安全技术规范和技术要求，对本系统进行包括安全在内的日常维护。处理本系统网络安全事件，协助分析、处理复杂和重大安全事件。提升系统安全级别，降低安全隐患，减少信息安全事件的发生，保障其安全运行。

3.1.7信息安全关键岗位说明：

信息安全关键岗位说明：对以下情况的工作岗位，属于信息安全关键岗位 1、掌握业务及支撑系统超级用户权限的岗位（各系统超级用户管理员，根

据SOX要求，由各单位分管领导进行授权）

2、掌握查看客户信息（手机终端客户的HLR信息、位置信息、通话纪录、

短信、彩信内容等等）权限的岗位。

3、可能造成严重影响客户感知的岗位（具有进行用户群发，业务定制等权

限的岗位）

4、掌握各类安全管理系统，如集中账号管理、网络认证接入、日志审计系

统情操作行为权限的岗位（安全管理员）

为加强信息安全关键岗位的管理，对以上岗位的情况要进行梳理备案，对1-3类岗位，由安全审计评估人员定期进行操作审计和确认。对第4类人员，由省网络部定期进行审查和考核。审计要求见《安全审计管理细则》。

4.0 管理规范 4.1 管理系统

本管理规范适用于众力北斗各业务生产、支撑系统，包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、音乐平台、网管系统等。

4.2网络与信息安全基本要求

4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。

4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养，建立完善的定时定人负责制，有效明确责任，提高维护管理效率。 4.2.3 网络信息安全管理流程网络信息安全管理包含以下主要流程  用户帐号口令管理  信息安全监控流程  设备入网安全管理流程  终端接入管理流程  信息安全预警流程  安全审计流程  网络安全域管理流程  网络互联安全管理流程  远程接入安全管理流程

 网络与信息安全风险评估管理流程  客户信息保密管理流程

 网络信息安全资源策略维护管理流程  安全维护作业计划

4.2.4 各岗位人员职责对应说明：

信息安全职能管理信息安全技术管理信息安全审计安全监控系统维护员信息安全关键岗位备注 5.1用户帐号口令管理 5.2信息制定相关管理办法，组织考核制定相关管织考核进行账号管理系统维护，技术支持进行监控系统维护，技术支持对设备入网进行评估确认，和整改建议。进行账号情况审计按照要求按照要求使按照要求分配、使用、管理账号使用账号用账号进行安全监控安全监控理办法，组5.3设备入网安全管理 5.4终端制定相关管理办法，组提交入网设备安全情况，根据建议进行整改织评定考核提出存在风险制定相关管进行终端安全管理系统技术按照要求进行终端接入和使用安全管理理办法，组织评定考核管理和维护 5.5信息安全预警管理制定相关管理办法，组进行预警信息发布，支持配固。 5.6安全制定相关管理办法，组审计管理织评定考核。对审计情况进行抽查和再审计。 5.7网络安全域管理 5.8网络互联安全管理 5.9网络与信息安全风险评估管理 5.10远程接入安全管理 5.11客户信息保密管理 5.12网络信息安全制定相关管理办法，组织评定考核制定相关管理办法，组制定相关管理办法，组对客户信息安全系统进行管维护资源策略安全系统运审计客户信息操作是否符合要求审计资源策略情况监控系统安全运行情况按要求进行资源更新进行远程接入审核和接入管理制定相关管理办法，组制定相关管理办法，组制定相关管理办法，组提出安全域技术方案，进行确认互联风险和实施要求，组织进行系统评估，提交报进行网络安全域划分割接和实施进行互联实施配合进行操作进行定期分析和审计根据预警信息进行系统加固织评定考核合系统完成加织评定考核技术支持。织评定考核进行支持。织评定考核告按要求进行执行按要求进行资源更织评定考核理维护资源策略织评定考行，进行技术支持。执行相关安全作业计划执行相关安执行相关计划执行相关安全作业计划新维护管理核。 5.13安全维护作业计划制定相关管理办法，组织评定考核。执行相关安全作业计划全作业计划安全作业 5.0 安全管理流程 5.1用户帐号口令管理

为了预防和遏制公司网络各类信息安全事件的发生，及时处理因账号使用上出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本流程。 5.2 信息安全监控

密切关注用户投诉情况，对所有短信息进行监控。杜绝、色情等有害信息。防止发现黑客攻击。 5.3 设备安全入网管理流程

按照公司网络与信息安全“同步规划、同步建设、同步运行”的三同步要求，规范公司各类网络、及系统的入网安全工作，保障网络和系统安全运行，

5.4终端安全及移动存储介质管理流程

为了加强公司各系统局域网终端接入认证管理，确保只有通过认证的终端设备才可对公司内部局域网资源进行使用，保障移动通信网络畅通与信息安全，所有接入公司内部局域网终端，需按管理要求接入。

为规范中国移动四川公司移动存储介质管理，防止通过移动存储介质泄露公司秘密，以及传播病毒、蠕虫等恶意软件，对移动存储介质进行加强管理。

5.5 信息安全预警管理

信息安全的预警工作实行预防为主、信息收集发布与及时处理相结合的原则，逐级建立安全预警责任制。各级网络维护部门应加强对系统管理人员安全

意识的培养，明确责任，提高维护管理效果。 5.6 安全审计管理

为检测非法活动，应该对系统进行审计，检测与访问控制策略不符的情况，将可以监控的事件记录下来，在出现安全事故时作为证据使用。利用系统审计，可以检查所采用的控制措施是否有效，是否与访问策略相符。 5.7网络安全域管理流程

规范安全域建设及安全域日常维护工作，提高全网安全防护水平，按照国家等级

变更管理制度

第一节总则

第一条

为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。

第二条

第三条

第四条

第五条

第六条

第七条

第

第九条

第十条

本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。

第二节变更流程

系统变更工作可分为下面三类类型：功能完善维护、系统缺陷修改、统计报表生成。功能完善维护指根据业务部门的需求，对系统进行的功能完善性或适应性维护；系统缺陷修改指对一些系统功能或使用上的问题所进行的修复，这些问题是由于系统设计和实现上的缺陷而引发的；统计报表生成指为了满足业务部门统计报表数据生成的需要，而进行的不包含在应用系统功能之内的数据处理工作。

系统变更工作以任务形式由需求方（一般为业务部门）和维护方（一般为信息部门的应用维护组织和软件开发组织，还包括合作厂商）协作完成。系统变更过程类似软件开发，大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。

因问题处理引发的系统变更处理，具体流程参见《问题处理管理制度》。

需求部门提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件一），由部门负责人审批后提交给系统管理员。

系统管理员负责接受需求并上报给IT主管。IT主管分析需求，并提出系统变更建议。IT经理根据变更建议审批《系统变更申请表》。

系统管理员根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，将需求提交至内部开发人员、合作开发商或外包开发商，产生供发布的程序。

实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能下发和上线。

系统管理员组织业务部门的系统最终用户对系统程序变更进行测试，并撰写《用户测试报告》（附件二），提交业务部门负责人和

第十一条

第十二条

第十三条

第十四条

第十五条

第十六条

第十七条

IT主管领导签字确认通过。

在系统变更完成后，系统管理员和业务部门的最终用户共同撰写《程序变更验收报告》（附件三），经业务部门负责人签字验收后，报送IT经理审批。

培训管理员负责对系统变更过程的文档进行归档管理，变更过程中涉及的所有文档应至少保存两年。

第三节紧急变更流程

对于紧急变更，需求部门可以通过电子邮件或传真等书面形式提出申请。

信息技术部根据重要性和紧迫性做判断，确定其优先级和影响程度，并进行相应处理。

紧急变更过程中应使用专设的系统用户账号，由专责部门或人员启动紧急修改变更程序。信息技术部应对紧急变更的处理进行规范的文档记录。

在紧急事件处理完成后，必须在一周内补办正式、完整的文档，其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、需求部门/信息技术部测试记录（包括签字确认测试结果）。

第四节系统变更的权责分离

系统变更过程中，应采取各种措施保证维护环境程序代码访问权限受到良好控制。这些措施包括：

1、通过系统用户的授权管理，确保只有特定人员能进行系统维护工作；

2、如果使用专用程序开发工具，只有授权人员才能使用程序开发工具（通过只有特定开发人员拥有程序开发工具）； 3、通过对源代码的访问控制，只有授权人员才能获得

源代码以进行系统维护；

4、在进行自有系统的程序变更时，应建立版本控制制度确保每次在最新的代码基础上进行更改，当多名程序员同时进行更改工作时，能够进行适当协调；

5、通过对系统日志的审阅，监督系统维护人员在系统中的操作，确认维护工作的授权；

6、在进行自有系统的程序变更时，应防止源代码在完成测试到正式上线之间的非授权修改。

第十

系统变更过程中，采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措施包括：

1、通过生产环境的访问控制，对生产环境的访问； 2、通过物理隔离的手段，对生产环境的访问； 3、通过逻辑隔离的手段，对生产环境的访问； 4、对授权访问生产环境的人员进行详细记录，使用该记录对生产环境访问权限的检查，确保只有经授权人员才能访问生产环境；

5、普通用户只能通过前台登录系统，不能通过后台（如使用生产环境操作系统的命令行）进行操作；

6、信息技术人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；

7、从技术角度开发人员对生产环境中应用程序文件夹的访问权限，只有经过授权的人员对程序拥有读、写和执行的权限；

8、禁止信息技术人员共享操作系统级别的账号。

第五节附则

第十九条

本制度由公司总部信息技术部负责解释和修订。

本制度自发布之日起开始执行。

附件一系统变更申请表系统变更申请表

编号：变更请求类型 □用户方变更 □开发方变更 □需求增加 □需求修改 □需求缩减 □其它：请说明：变更申请人实施人员原需求内容描述变更内容描述变更的影响申请日期验证人业务部门负责人意见： IT人员意见：备注：签字：签字：

附件二用户测试报告 1. 基本信息测试依据例如：参照标准、客户需求、需求规格说明书、测试用例等测试范围测试验收标准测试环境描述测试驱动程序描述测试人员测试时间须注明每次回归测试的时间测试工具 2. 实况记录

模块测试用例编期望结果号测试结果缺陷密度是否执行了回归测试提示：可以把测试驱动程序当作附件 3. 测试总评价

根据对测试结果提出一个关于软件能力的全面分析，需标明遗留的主要缺陷、局限性和软件的约束等，并提出软件测试过程中程序中的不足。

根据测试标准及测试结果，综合评价软件的开发是否已达到预定目标。 4. 缺陷修改记录

提示：如果采用了缺陷管理工具，能自动产生缺陷报表的话，则无需本表。

缺陷名称缺陷类型 … 严重程度模块原因驻留时间解决方案测试人员签字/日期：

附件三程序变更验收报告

验收报告书需求部门系统名称系统名称英文缩写系统版本任务完成情况栏 *由信息技术部根据任务完成实际情况填写* 任务名称实际开始时间实际完成时间实际工作量人天，合人月本次任务实际*注明小写金额和大写金额* 税前开发费用￥元，（大写）（含报酬）【任务完成情况】：*由信息技术部简要概述任务完成情况* 【提交文档清单】：*由信息技术部提交相关文档清单* 业务部门接受人签字：信息技术部提交人签字：日期：日期：验收过程信息栏 *由信息技术部根据验收过程填写* 验收开始时间验收地点需求部门验收人员验收完成时间角色/职责信息部门协助人员角色/职责任务验收情况栏 *由业务部门根据验收情况出具* 【验收意见】：*由业务部门项目负责人出具对实际验收结果的意见* 业务部门项目负责人签字：日期：任务管理处室项目负责人签字：日期：任务管理处室负责人签字：日期：任务验收结论栏 *由业务部门出具，双方负责人签字确认* 【验收结论】：*由业务部门根据验收意见出具任务验收结论* 【下发意见】：*由业务部门根据验收结论出具程序下发意见* 业务部门负责人签字：信息技术部负责人签字：日期：日期：注：该表格一式两份，业务部门、信息技术部双方各执一份。

安全事件报告和处置管理制度

文号：版本号：

编制：审核：批

准：一、目的

提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。二、适用范围

本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。

本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。三、职责

本预案由技术部制订，报领导批准后实施。有关部门应根据本预案，制定部门网络与信息安全应急预案，并报局信息中心备案。

结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。

本预案自印发之日起实施。四、要求 1. 工作原则

预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。

分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。

常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责

发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组(以下简称局协调小组)，为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室)，负责日常工作和综合协调，并与网监部门进行联系。 3 先期处置

（1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。

（2）网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。

（3）局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件，要为局协调小组处置工作提出建议方案，并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥

本预案启动后，根据局协调小组会议的部署，担任总指挥的领导和参与指挥

的领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。

需要成立现场指挥部的，事发部门立即在现场开设指挥部，并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。现场指挥部在局协调小组的领导下全权负责现场的应急援救工作。局级主管部门负责对发生网络与信息安全突发公共事件的网络与信息系统的现场应急处置工作。 4.2 应急支援

本预案启动后，局协调小组的应急响应先遣小组，赶赴事发地，督促、指导和协调处置工作。局协调小组办公室根据事态的发展和处置工作需要，及时增派专家小组和应急支援单位，调动必需的物资、设备，支援应急工作。

参加现场处置工作的局级各有关部门和单位要在现场指挥部统一指挥下，协助开展处置行动。 4.3 信息处理

（1）现场信息收集、分析和上报。事发部门应对事件进行动态监测，评估，及时将事件的性质、危害程度和损失情况及处置工作等情况按局委、局紧急信息报送的有关规定，及时报局协调小组办公室，不得隐瞒、缓报、谎报。（2）局级信息处理。局协调小组办公室要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。

（3）信息发布和咨询。当网络与信息安全突发公共事件发生时，局协调小组办公室要及时做好信息发布工作，通过局级新闻单位发布网络与信息安全突发公共事件预警及应急处置的相关信息，通知社会各界做好应急准备及预防措施，增强公众的信心。信息发布与新闻报道要按国家的有关规定及时进行。 4.4 应急结束

网络与信息安全突发公共事件经应急处置后，得到有效控制，经各监测统计数据上报局协调小组办公室，由局协调小组办公室向局协调小组提出应急结束的建议，经批准后实施。 5 后期处置 5.1 善后处置

在应急处置工作结束后，事发单位要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作，统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等的支持，并将善后处置的有关情况报局协调小组办公室。 5.2 调查和评估

在应急处置工作结束后，局级主管部门应立即组织有关人员和专家组成事件调查组，在当地及其有关部门的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失状况和总结经验教训，并根据问责制的有关规定，对有关责任人员做出处理。五相关资源

根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《江苏省突发公共事件总体应急预案》，制定本预案。

安全系统安全建设工作计划

以安全、服务为宗旨，进一步明确目标，落实责任，加强信息安全工作，为信息化建设上水平打好基础。

一、

加强考核，落实责任

结合质量管理体系建设，建立健全信息化管理和考核制度，进一步优化流程，明确责任，与各部门重点涉密岗位签订《信息安全及保密责任书》。加大考核力度，将计算机应用及运维情况列入年度考核中，通过考核寻找信息安全工作存在的问题和不足，认真分析原因，制定切实可行的预防和纠正措施，严格落实各项措施，持续改进信息安全工作。

二、

做好信息安全保障体系建设

进一步完善信息安全管理制度，重点加强用户管理、变更管理、网络安全检查等运行控制制度和数据安全管理、病责防护管理等日常网络应用制度；加强入侵检测系统应用，通过桌管系统、瑞星控制台密切关注各移动存储介质（移动硬盘、U盘、CD光驱）等设备运行情况；在业务分析需求的基础上，合理设置安全策略，充分利用局域网优势，进一步发挥技术防范措施的作用，从源头上杜绝木马、病毒的感染和传播，提高信息网络安全管理实效；进一步完善应急预案，通过应急预案演练检验预案的科学性、有效性，提高应对突发事件的应变能力。

三、

加强各应用系统管理

进一步作好专卖系统、营销平台、OA等业务系统应用管理。加强

与各部门勾通，收集使用过程中存在的问题，定期检查系统内各模块使用情况及时反馈给相关部门，充分发挥系统功能；完善系统基础资料，加大操作人员指导力度，确保系统有效运行，切实提高信息安全水平。

四、

加强信息安全宣传教育培训

利用局域网、OA系统，通过宣传栏等形式，加大信息安全宣传力度，不断提高员工对信息安全重要性的认识，努力形成“广泛宣传动员、人人积极参与”的良好气氛；着力加强信息化工作人员的责任意识，切实增强做好信息化工作的责任感和使命感，不断提高服务的有效性和服务效率。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文