午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、交通運輸集團巴士企業信息安全管理制度編 制： 審 核： 批 準： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準： 版 本 號: 第一部分 信息安全管理體系（ISMS）1 ISMS產生的背景、特點和發展趨勢1.1 ISMS標準產生的背景目前，我們雖處于和平年代，但全球經濟一體化給世界各國帶來的經濟與挑戰不可小覷。來自敵對國家、恐怖分子、內部人員、經濟競爭者、黑客等方面的威脅，信息安全已上升為國家戰略。它事關國家政治穩定、軍事安全、社會安定、經濟有序運行的全局性問題。只有在人員、服務、硬件、軟件、數據與文件以及知識產權與專利這五大方面采取切實可行的控制措施，才能有效避免、控制、2、預防信息安全事件發聲，切實把信息安全風險控制在可以接受的水平。1.2 ISMS標準的由來1993年BS7799標準由英國貿易工業部立項BS7799-1:1999信息安全管理實施細則BS7799-2:2002信息安全管理實施規范ISO/IEC 27001:2005信息安全 安全技術 信息安全管理GB/T 22080-2008/ISO/IEC 27001:2005信息技術 安全技術 信息安全管理體系 要求1.3 ISMS標準的主要特點與質量、環境、能源、職業健康安全等管理體系高度兼容，即管理理念、管理模式、管理的預期結果基本一致。“向管理要效益”是該標準的精華。即并不需要組織投入大量的資源就能在信3、息安全事件的防范上起到“立竿見影”的效果。可借助質量管理的八項原則，PDCA，持續改進。有133種控制目標和控制措施（ISMS標準的附錄A）供組織選用。組織可因地制宜，在現有管理體系基礎上，有機嵌入ISMS，以達到事半功倍的效果。1.4 ISMS標準的發展趨勢ISMS標準既適用于新興產業，又適用于傳統產業；既適用于服務業，又適用于制造業。總之，只要有信息資產的組織，均可按GB/T22080-2008/ISO/IEC 27001:2005信息技術安全技術信息安全管理體系要求建立與保持ISMS。2 信息安全管理體系建立的意義和作用2.1 強化員工的信息安全意識，規范組織信息安全行為。2.2 確保組4、織的關鍵信息資產始終處于全面系統的受控保護狀態，以保持組織的競爭優勢。2.3 在信息系統受到侵襲時，確保業務持續開展，并將損失降到最低程度。2.4 有效規避法律風險，確保組織切實履行社會責任。2.5 如果通過ISMS認證，表明該管理體系運行有效，證明組織有能力保證信息安全，提高組織的知名度與信任度。3 GB/T 22080-2008/ISO/IEC 27001:2005標準3.1 術語與定義 資產對組織有價值的任何東西。信息對一個組織而言具有重要的價值，信息時可以通過多種媒體傳遞和存在。3.1.2 保密性信息不能被未被授權的個人、實體或者過程利用或知悉的特性。3.1.3 可用性根據授權實體的要5、求可訪問和利用的特性。3.1.4 完整性保護資產的正確和完整的特性。保密性、可用性和完整性是信息保護的核心，這三者缺一不可。3.1.5 信息安全保持信息的保密性、完整性、可用性；另外也可包括例如真實性、可核查行、不可否認性和可靠性等。3.1.6 信息安全事態系統、服務或網絡的一種可識別的狀態的發生。它可能對信息安全策略的違反或保護措施的失效，或是和安全關聯的一個先前未知的狀態。3.1.7 信息安全事件一個信息安全事件由單個的或一系列的有害或意外信息安全事態組成。它們具有損害業務運作和威脅信息安全的極大可能性。3.1.8 信息安全管理體系（ISMS）基本業務風險方法，建立、實施、運行、監視、評審6、保持和改進信息安全的體系，是一個組織整個管理體系的一部分。管理體系也包括組織結構、方針策略、規劃活動、職責、實踐、規程和資源。3.1.9 殘余風險經過風險處置后遺留的風險。3.1.10 風險接受接受風險的決定。3.1.11 風險分析系統地使用信息來識別風險來源和估計風險。3.1.12 風險評估風險分析和風險評價的整個過程。3.1.13 風險評價將估計的風險與給定的風險準則加以比較，以確定風險嚴重性的過程。3.1.14 風險管理指導和控制一個組織相關風險的協調活動。3.1.15 風險處置選擇并且執行措施來更改風險的過程。在ISMS標準中，術語“控制措施”被用作“措施”的同義詞。3.1.16 適7、用性聲明（SOA）描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文件。控制目標和控制措施是基于風險評估和風險處置過程的結果和結論、法律法規的要求、合同義務以及組織對于信息安全的業務要求。3.2 適用性聲明（SOA）簡介信息安全涉及的主要方面提供組織擬考慮控制目標和措施1.安全方針2個2.信息安全組織11個3.資產管理5個4.人力資源安全9個5.物理和環境安全13個6.通信和操作管理32個7.訪問控制25個8.信息系統獲取、開發和維護6個9.信息安全事件管理5個10.業務連續性管理5個11.符合性10個共計133個 3.3 組織需加強管理的信息資產 硬件服務器、周邊設備、PC計算8、機、訪問控制終端、Hub、程控交換機、調制解調器、電話交換系統、UPS、傳真機、復印機、電話機/移動電話、移動介質（包括U盤、硬盤、磁盤、光盤、錄音機、錄像設備）。 軟件通用軟件（正版/盜版（備份）應用軟件（源代碼保管） 數據與文件（紙質/電子）組織中長期發展戰略董事會會議紀要員工（骨干人員）數據庫薪資（骨干人員）數據庫公共關系數據庫訂單數據庫投標書產品（工程）技術圖紙供貨商數據產品內控標準工藝技術文件客戶數據庫產品營銷策略書產品生產計劃書產品質量/成本文件銷售發票/匯票/現金 人員.1 組織的高管.2 有機會解除關鍵信息資產人員董事會秘書以及在領導身邊的工作人員，如小車班司機，重要部門中層干9、部與技術、業務人員、IT網管。.3 外包服務人員保安、保潔、綠化、維修等人員以及方可（特別是競爭對手）.4 外來實習人員 知識產權與專利包括著作權（版權）和工業產權具體指組織的實用、新型產品發明與計算機軟件開發和（或）應用以及組織自身商標實用這兩大部分。3.4 標準要求簡介 ISMS標準發布與實施GB/T 22080-2008/ISO/IEC 27001:2005信息技術 安全技術 信息安全管理體系 要求于2008年6月19日由中華人民共和國國家質量監督檢驗檢疫總局和中國國家標準化管理委員會發布，并于2008年11月1日實施。 ISMS標準的適用范圍ISMS標準適用于所有類型的組織，包括商業企10、業、政府機構、非營利組織。 ISMS標準的目次前言引言1范圍2規范性引用文件3術語和定義4信息安全管理體系（ISMS）5管理職責6ISMS內部審核7ISMS的管理評審8ISMS改進附錄A（規范性附錄）控制目標和控制措施附錄B（資料性附錄）OECD原則和本標準附錄C（資料性附錄）GB/T1901-2000，GB/T2401-2004和本標準之間的對照參考文獻 應用于ISMS過程的PDCA模型輸出輸入質量管理體系持續改進管理職責產品實現資源管理測量、分析和改進產品顧客（和其他相關方）滿意顧客（和其他相關方）要求 PDCA方法論規劃（P）建立與管理風險和改進信息安全有關的ISMS方針、目標、過程和規11、程，以提供與組織總方針和總目標相一致的結果。實施（D）實施和運行ISMS方針、控制措施、過程和規程。檢查（C）對照ISMS方針、目標和實踐經驗，評估并在適當時測量過程的執行情況，并將結果報告管理者以供評審。處置（A）基于ISMS內部審核和管理評審的結果或者其他相關信息，采取糾正和預防措施，以持續改進ISMS。 ISMS標準要求簡介a) 識別資產b) 識別威脅、脆弱性c) 風險評估d) 風險管理（控制與檢查）e) 持續改進 何謂威脅？何謂脆弱點（薄弱點）？威脅可能對資產或組織造成損害的事件的潛在原因。脆弱點（薄弱點）資產或資產組中能被威脅利用的弱點。 風險評估應關注的問題資產威脅脆弱點（薄弱點）12、人員硬件軟件數據與文件知識產權與專利等未經授權的訪問和應用惡意軟件（有意或無意）軟件故障信息發送路徑重定向（第三方惡意進行）信息未經授權修改火災盜竊非預期結果（誤操作或故意所為）等物理保護措施的缺乏或不適當密碼的錯誤選擇和應用與外部網絡的連接未被保護文件儲存未被保護缺乏安全培訓等3.4.9 制定控制目標，采取控制措施，防止信息安全事件的發生物理環境的安全性（物理層安全）如：門禁系統遭到破壞，非授權人員盜取組織核心機密信息。操作系統的安全性（系統層安全）如：病毒、黑客入侵，未安裝正版防病毒軟件或采取其他有效措施，造成計算機、系統效率降低、死機、癱瘓等。3.4.10 風險評估程序按照組織業務運作流13、程進行資產識別，并根據評估原則對資產進行評價，建立風險測量的方法及風險等級評價原則，確定風險的大小和等級。3.4.11 主要的風險控制目標和控制措施3.4.11.1 物理環境的安全措施.1.1 設置安全區域物理安全邊界（門禁系統、人工接待臺）；物理進入控制、確保只有授權人員才可進入；辦公室、房間和設施的安全；具有針對火災、水災、地震、爆炸、暴亂和其他形式的自燃或認為災難的物理保護措施；設有安全工作指南；設置公共訪問和裝卸區域。.1.2 設備安全對設備進行選址安置或保護；設有UPS保護免受電力中斷影響；保護電纜免受破壞；存儲介質銷毀或數據重寫設備。.1.3 操作系統、網絡、應用的安全措施編制并保14、護文件化的操作程序；控制信息處理設施及系統的變更；設置職責分離；應分離開發、測試和運營設施，以降低不授權訪問或對操作系統變更的風險。.1.4 第三方服務交付管理目標：實施和保持符合第三方服務交付協議的信息安全和服務交付的適當水準。措施：策劃管理要求，并監督、評審在第三方服務中的履約狀況，定期評價與及時變更管理。.1.5 網絡安全管理目標：確保網絡中信息的安全性并保護支持性的基礎設施。措施：網絡控制應充分管理和控制網絡，以防止威脅的發生，維護使用網絡的系統和應用程序的安全，包括傳輸中的信息。網絡服務安全應把信息安全性、服務級別以及所有網絡服務的管理要求予以確定并包括在所有網絡服務協議中，無論這些15、服務是有內部提供的還是外包的。.1.6 介質處置控制目標：防止資產遭受未授權泄露、修改、移動或銷毀以及業務活動的中斷。控制措施：可移動介質的管理，應有適當的可移動介質的管理規程。介質的處置，不再需要的介質，應使用正式的規程可靠并安全地處置。信息處理規程，應建立信息的處理及存儲規程，以防止信息的未授權的泄露或不當使用。系統文件安全，應保護系統文件以防止未授權的訪問。4 信息安全管理體系認證步驟決策準備宣貫培訓制定計劃確定信息安全方針和范圍現狀調查與風險評估明確信息安全結構及職責確定風險處理計劃、準備控制概要制定業務可持續發展計劃體系文件編寫體系運行內部審核外部審核初訪外部正式審核頒發證書體系持續16、運行老師總結，注意問題：向質量管理體系、方向、發展在資產、威脅、脆弱性、評估、識別中下功夫ISMS嵌入到管理體系中去建立實施、運行改進，與其它體系一脈相承第二部分 信息安全管理規定1 信息安全管理的組織、人員和制度1.1 組織管理信息安全管理組織主要包括：綜合信息處、企業發展處、營銷宣傳中心、人力資源處、市場開發處、計劃財務處、安全技術處和稽查管理處，信息安全問題由單位內部的各處控制和管理。組織根據自身業務特點和具體情況所制定的信息安全管理辦法和規范，必須符合國家信息安全相關法律、法規的規定。從單位自身微觀的層次上體現了信息安全管理與國家的宏觀的信息安全管理的一致和配合。1.2 人員管理 管理17、目標人員的素質是提高信息安全性致關重要的因素。信息安全的人員管理中，人員因素是信息安全管理環節中最重要的一環，全面提高人員的技術水平、道德品質、政治覺悟和安全意識是信息安全的重要保障。人員的安全審查應該從安全意識、法律意識、安全技能等幾方面進行，應試具有政治可靠、思想進步、作風正派、技術合格等基本素質，關鍵崗位人員的審查標準。 管理措施1.2.2.1 離崗離職人員的管理第一條 工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務的秘密信息，承擔如同任職期間一樣的保密義務和不擅自使用的義務，直至該秘密信息成為公開信息，而無論離職人員因何種原因離職。第二18、條 離職人員因職務上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其它任何形式的載體，均歸本單位所有，而無論這些秘密信息有無商業上的價值。第三條 離職人員應當于離職時，或者于本單位提出請求時，返還全部屬于本單位的財務，包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的，則視為離職人員已同意將這些載體物的所有權轉讓給本單位，本單位應該在離職人員返還這些載體時，給予離職人員相當于載體本身價值的經濟補償；但秘密信息可以從載體上消除或復制出來時，可以由本單位將秘密信息復制到本單位享有所有權的其他載體上，并把原載體上19、的秘密信息消除，此種情況下的離職人員無需將載體返還，本單位也無須給予離職人員經濟補償。第四條 離職人員離職時，應將工作時使用的電腦、U盤及其他一切存儲設備中關于工作相關或與本單位有利益關系的信息、文件等內容交接給本單位相關人員，不得在離職后以任何形式帶走相關信息。第五條 員工離職（包括崗位變動、解除勞動關系等）相關規定中應包括信息安全審查的相關內容，審查應包括以下方面：當員工發生崗位變動時，應按有關規定辦理離職手續。離職員工原崗位使用的各類信息系統用戶是否已完成交接或被關閉。離職員工是否簽署保密協議，若已簽署保密協議應檢查保密協議中的相關內容，向其重申權益及其應承擔的保密義務。離職員工保管的工20、作資料、信息資產是否已經交回。離職員工使用的各類計算機及其他設備是否已全部交回。信息科技員工及關鍵崗位員工，應立即取消其原崗位的系統權限，及時更改相應系統的相關用戶密碼，確保密碼、設備、資料及相關敏感信息等的移交。1.2.2.2 在崗在職人員的管理第一條 禁止利用計算機資源制造、傳播違反國家法律法規的信息。第二條 掌握所在崗位需要的計算機信息安全知識；妥善保管計算機系統中的重要文件和數據；妥善保管身份認證憑據（如用戶賬號、密碼、數字證書等）。第三條 嚴禁自行更改所使用計算機系統的硬件配置；嚴禁在計算機設備上安裝、使用非工作需要的軟件或非授權的數據介質（如軟盤、光盤、U盤和移動硬盤燈）。第四條 21、所有員工有義務和責任愛護并正確使用計算機；計算機必須安裝防病毒軟件，及時更新補丁，并定期檢查更新情況；未經審批，計算機不得與外單位網絡連接；禁止在非授權的情況下將計算機同時接入互聯網和內部網絡。第五條 離開工作座位時，必須將辦公電腦啟動屏幕保護程序或保持注銷狀態，并采用口令進行保護；非必要時，不能將計算機設備提供給他人使用（特別是非本單位人員）；未經設備保管員同意，不能擅自使用他人計算機設備，禁止與他人的設備互換使用。第六條 發現可以與計算機安全相關的事件時，有責任和義務及時報告；有責任和義務自覺接受信息中心部門在信息安全防范方面的管理、監督和檢查。第七條 有義務參加信息安全教育和培訓。1.222、.2.3 員工招聘管理第一條 員工招聘過程中，與新員工簽訂的勞動合同或其他協議中應明確員工的信息安全責任，并應包括與信息安全相關的保密條款，如有需要，合同中應明確該責任在結束合同關系一段特定的時間內仍然有效。第二條 信息科技關鍵崗位人員的招聘，應明確該崗位在信息安全方面的要求，并對應聘人員的相關背景進行嚴格審查；相關崗位人員應簽署專門的保密協議，如有需要，保密協議中應明確該責任在結束合同關系一段特定的時間內仍然有效。1.2.2.4 員工信息安全教育與培訓1.2.2.4.1 教育與培訓的主要內容教育與培訓的內容主要有三個方面：第一，基本安全教育及基本概念可能存在的威脅和風險、理解相關方針和規章制23、度、提高安全意識、掌握基本安全操作概念。第二，專業安全方面的培訓及職業道德教育與崗位相關安全技術理論培訓、崗位職能和操作技能培訓。第三，安全的高級培訓及國家和行業相關法律法規、全面的安全技術理論和知識、全面的安全管理理論、安全工程理論、關鍵崗位職能與責任的培訓。1.2.2.4.2 教育與培訓的主要措施第一條 為保障信息安全保障體系的完整、有效，應建立信息安全教育和培訓制度，信息安全教育和培訓應貫穿員工在工作的全過程，包括：新員工入行教育和培訓、崗前教育與培訓和在崗教育和培訓。對員工的信息安全教育與培訓應保存相關記錄。第二條 信息安全教育和培訓應作為新員工入行教育和培訓的重要內容，培訓內容應包含24、但不限于：信息安全及保密管理的基本知識；員工信息安全管理的相關規定和要求；辦公自動化系統、郵件系統、內部網絡和桌面辦公設備等計算機資源的正確使用和信息安全保護的基本要求；最新的信息安全總體策略；信息安全事件的報告流程。第三條 員工上崗前所在機構或部門的管理人員應向其申明本機構或部門的信息安全管理要求和責任。員工的崗前教育與培訓應包括與本崗位密切相關的計算機安全管理要求培訓，對本崗位中信息安全的關鍵控制點應著重向員工申明。信息科技員工的崗前教育和培訓中，還應包括職業道德、行為規范、獎懲措施、信息安全管理制度和規范等方面的教育和培訓內容。第四條 在崗員工應定期接受信息安全教育，主動學習、掌握最新的25、信息安全管理制度和規范。在信息安全總體策略、相關管理制度和規范發生變化后，應及時向在崗員工發布；對在崗員工的信息安全基本要求、獎懲措施、信息安全事件報告流程等，應納入員工守則或另行編制成冊，及時向在崗員工發布。第五條 信息科技各相關部門應定期組織對部門內所有員工的信息安全教育和培訓，教育和培訓內容包括但不限于：及時向員工發布最新的信息安全管理策略、制度和規范，每年至少組織一次部門內的信息安全專題培訓，及時向員工通報典型的信息安全事件及處理情況等。1.3 制度管理 物理環境安全管理規范包括安全域、門禁控制、監控與報警、電源和電纜管理、環境管理與維護、設備常規管理、變更管理、事故處理等。 終端計算26、機安全使用規范包括安裝防病毒軟件、操作系統定期自動升級、密碼保護、IE安全級別設置、郵件管理、重要文件備份等。 防火墻系統管理規范包括明確崗位職責、防火墻的規劃部署、配置測試；狀態監控、日志分析、安全事件的響應處理等。2 數據與文件、以及知識產權與專利2.1 文件的處理程序 簽收與啟封文件的收發由專人履行簽收手續，其他人員不得隨意簽收和啟封。如果標有具體人員親收、親拆的公文、信函，除本人委托外，任何人不得啟封，應原封不動交給親收人或指定人員。辦公室收到的各類公文及重要資料、刊物須及時交送有關領導和相關科（室），按有關程序和規定及時處理，防止耽擱、延誤。2.1.2 登記登記文件必須將收發文時間、27、來文單位（發往單位）、文件字號、密級、標題、緩急程序、份數及處理時間、處理情況逐項登記清楚。登記文件應按來文單位類型分別登記，登記簿應裝訂成冊，易于保存、查詢，妥善保存5年后銷毀。2.1.3 辦理經辦人員必須根據文件的內容和閱知的范圍，及時、迅速傳閱、辦理，不得拖延，事后必須在辦文單上簽字或寫明辦理經過及結果，需向領導反饋情況的必須及時反饋。領導批示后的文件，應按領導批示意見進行辦理。 傳閱傳閱文件應突出一個“快”，隨時掌握文件的去向，避免文件漏傳、誤傳和延誤、遺失。a) 嚴格登記手續，文件傳閱時應做好登記手續或請傳閱者做好傳閱簽收。b) 文件傳閱時，應設立必要的文件傳閱夾和辦文單，以便區別于28、其他材料和領導閱后簽字、批示。要提醒傳閱者不要隨意抽取文件夾里的文件，以避免文件漏傳。c) 文件傳閱應在部內的辦公室進行，不得將文件帶到住所或公共場所閱處。d) 文件傳閱必須根據規定的文件閱讀范圍進行傳閱，應由專人按各領導的排序或主次先后遞送。對傳閱的文件應及時收回，重要文件應當天送達，當天收回。要避免文件在傳閱對象之間發生相互傳遞的“橫傳”現象，以免傳閱的文件失去控制，造成文件積壓、丟失和下落不明等情況。要加快文件傳閱的速度，要盡量減少文件傳閱時的停留時間，縮短文件傳閱周期。2.2 文件的保管文件的保管、存放必須明確專人負責，并建立健全管理制度。第一條 對傳閱好的文件、辦理好的文件，應及時核29、對清點，并分門別類保管存放。第二條 文件借閱時，必須符合規定的文件閱知范圍，辦理借閱文件的登記手續，在規定的場所閱讀。如遇特殊情況需要攜帶文件外出時，必須經研發中心負責人批準，并采取必要的保密措施。涉及密級的公文和內部重要資料，要注意保密。凡是有密級的文件，不得隨意復印，確因工作需要必須經分管領導同意才可復印，其復印件按正式文件管理。第三條 文件的存放場所應安全、保密，不得將文件隨意放在辦公桌面上或存放在玻璃櫥和敞開式的櫥柜中。關于文件的清退、銷毀要建立定期的文件清理制度，定期做好文件的清退和銷毀工作。清退和銷毀文件，必須嚴格履行登記手續。文件銷毀時需經分管領導批準同意。個人不得擅自銷毀文件。30、2.3 文件的清退、銷毀公司下發的文件清退單，認真核對應清退的文件，按時、如數將清退的文件送綜合信息處并辦理清退、注銷手續。第一條 綜合信息處的文件根據有關歸檔要求，要定期清理歸檔，并做好歸檔手續。第二條 對不需要歸檔的其他文件、資料及內部刊物，應按公司的規定進行清退、銷毀。第三條 文件管理人員在工作調動、離職時，應先辦理文件的移交手續，清退所持的全部文件，方可辦理調動、離職手續。任何個人不得私自帶走文件或私自銷毀文件。關于文件管理職責2.4 文件管理職責第一條 公司綜合信息處是文件管理的職能部門，應加強對文件，特別是公司文件的管控嚴格執行有關規定和保密紀律，做到既充分發揮每份文件的作用，又嚴31、防失密、泄密現象的發生。第二條 綜合信息處負責人應定期檢查文件的收發、登記、傳閱、保管和清退、銷毀情況，加強文件管理和保密教育。第三條 綜合信息處負責文件處理、保管的人員要增強責任性和保密意識，忠于職守，嚴格遵守有關規章制度和保密紀律，勤懇工作，確保文件正常運轉，防止遺失。3 計算機硬件設備管理3.1 定義信息安全硬件設備的管理包括：服務器、周邊設備、PC計算機、訪問控制終端、Hub、程控交換機、調制解調器、電話交換系統、UPS、傳真機、復印機、電話機/移動電話、移動介質（包括U盤、硬盤、磁盤、光盤、錄音機、錄像設備）。3.2 管理規定 計算機設備信息安全管理第一條 嚴禁私自打開機箱；嚴禁私自32、更換外設。如需更換外設及意見，需向戰略管理處提出申請，由負責人員更換。非人為引起的硬件損壞，由公司戰略管理處更換新的配件，如果是因人為引起的損壞，或丟失硬件及外設，需由使用人照價賠償。第二條 禁止使用私人移動存儲設備（如：U盤、存儲卡、讀卡器、移動硬盤、私人光盤、手機存儲等一切存儲設備），避免病毒的入侵及公司資料泄露。第三條 禁止私自安裝與工作無關的軟件，殺毒軟件不得隨意更換，由網絡管理者統一安裝，并必須處于開機啟動狀態。第四條 計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品，保證計算機的散熱風扇無阻。33、第五條 非本單位技術人員對我單位的設備、系統等進行維修時，必須由本單位相關技術人員現場全程監督。計算機設備送外維修，須經有關部門負責人批準。第六條 嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。計算機出現故障時應及時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行維修及操作。 第七條 嚴禁除本單位技術人員以外的人隨意進入機房，非本單位技術人員進入機房需填寫進出記錄，并由本單位技術人員現場全程監督（特殊情況除外）。第八條 本單位技術人員要做到定期養護工作，保證計算機的日常運作，并做好設備的登記臺帳、登記卡片、使用情況記錄、故障情況記錄及故障處理情況記錄。第九條 設備34、發生故障時，在購置合同的保修期內要做好修換處理，保修期外的設備，技術人員要及時做好設備的修理工作。第十條 設備到報廢期，由使用單位提出報廢申請報告并附設備故障記錄報公司戰略管理處，經公司戰略處根據帳卡清點、核實、鑒定、審批后，報廢計算機調回公司辦公室，由公司辦公室負責處理，并登記報廢臺帳。4 信息安全軟件管理4.1 計算機軟件信息安全管理第一條 計算機開機密碼設置應具有安全性、保密性，不能使用簡單的數字和符號。開機密碼應定期修改，如發現或懷疑密碼遺失或泄漏應立即修改。密碼遺失，應及時與技術人員聯系。第二條 外接存儲設備（移動硬盤、U盤等）時，應先進行查毒檢查，防止感染木馬病毒，資料泄露。第三條35、 嚴禁隨意共享計算機內的信息資料，如有需求，要及時聯系專業技術人員進行共享調配。第四條 計算機進行交接工作時，要做好詳細的計算機資料交接工作，個人信息或非工作信息要在交接前進行拷貝或刪除。第五條 禁止下載和安裝與工作業務無關的軟件和工具，禁止隨意更換殺毒軟件，禁止修改計算機內的相關配置（桌面、屏保、殺毒軟件、Office等）。第六條 嚴禁使用公司電腦打開危險性網站，或下載危險性軟件程序等。第七條 禁止下載使用非裝機時的視頻軟件及下載工具（優酷、土豆、快播、迅雷、電驢、QQ旋風等）。第八條 服務器、路由器等重要設備的用戶密碼由本單位技術人員設置和管理。并定期報送公司戰略管理處備案。第九條 系統重36、置工作需得到使用人的同意，方可進行。系統重置需將所有辦公軟件安裝齊全。4.2 OA辦公平臺信息安全管理第一條 公司各處室、個人的平臺賬戶密碼要定期更換，同時做好記錄和備案工作，防止他人冒用本單位合法用戶身份盜取、篡改、銷毀企業涉密信息。第二條 新注冊的平臺賬戶必須更換其初始密碼，密碼設置應具有安全性、保密性，不應是名字、生日，重復、順序、規律數字等容易猜測的數字和字符串。第三條 公司有離崗離職人員調離崗位前一小時內，由其所在單位/部門負責人更改其單位/部門的平臺用戶密碼，并將其個人賬戶收回并修改其密碼，然后提報給戰略管理處，上報給集團進行處理。如有重要文件信息，要及時進行備份。第四條 公司網管37、員調離崗位前一小時內由本單位/部門信息化負責人和接任人員監督檢查并更換新的口令或建立新系統管理員賬戶，并注銷原系統管理員的賬戶；廠方設備調試人員調試維護完成后一小時內，由系統管理員關閉或修改其所用賬戶和密碼。第五條 平臺賬戶密碼應定期修改，間隔時間不得超過一個月，如發現或懷疑密碼遺失或泄漏應立即修改，并在網管員處登記用戶名、修改時間、修改人等內容。第六條 普通用戶調離崗位，系統管理員應及時將調離人員信息上報給集團，將其用戶注銷或修改到新崗位。5 信息安全管理服務5.1 定義信息安全服務是指適應整個安全管理的需要，為企業、政府提供全面或部分信息安全解決方案的服務。信息安全服務提供包含從高端的全面38、安全體系到細節的技術解決措施。 管理要求信息安全要求建立一個24小時不間斷反應。能夠建立一個針對不同攻擊的正確行動方案。能夠保證及時、快速反應系統。能夠提供規范和詳細的對自身和對客戶培訓體系。貼近被服務體系和對客戶零干擾目標。 技術要求擁有一定的監控技術，能夠方便、簡單、易操作地安裝到所有接入設備和系統中。監控設備不會影響和干擾已有的安全設備和軟件的正常使用性能，并且不會引入新的安全隱患。監控設備應當具有升級能力，并且能夠進行方便的升級。具有監控數據分析與處理技術。具有知識庫或專家庫支持應急事件決策技術。具有系統容災與恢復的技術。 高級要求先進原則：全面掌握和緊跟國際先進的信息安全管理和技術并有一套體系貫徹到服務系統中。全面原則：掌握了全國的國內信息安全的標準和政策并有足夠力度體現到服務體系中。高手原則：有掌握最新的信息安全實踐技術和防范技術，遇到特發情況能夠解決問題的高手或專家存在。團隊原則：團隊有明確分工和側重點，基本人員全部掌握一般的服務方法和解決普遍性問題。