信息系统安全管理办法

信息系统安全管理办法第一章总则第一条为保证公司信息系统的安全性、可靠性，确保数据的完整性和准确性，防止计算机网络失密、泄密时间发生，制定本办法第二条公司信息系统的安全与管理，由公司信息中心负责第三条本办法适用于公司各部门第四条第二章信息中心安全职责第五条信息中心负责公司信息系统及业务数据的安全管理明确信息中心主要安全职责如下

（一）负责业务软件系统数据库的正常运行与业务软件软件的安全运行；

（二）负责公司收银机（）系统及收银网络的安全运行与POS维护；

（三）负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用；

（四）保证业务软件进销调存数据的准确获取与运用；

（五）负责公司办公网络与通信的正常运行与安全维护；

（六）负责公司上网服务器的正常运行与上网行为的安全管理；

（七）负责公司杀毒软件的安装与应用维护;因工作调动或其他原因而不允许继续使用应用信息系统时，人事行政部应督促和确保该用户离职前及时申请注销相关用户账号；不论原用户是否知晓或同意，均禁止将其原账号转交其他人员继续使用

七、附则

（一）本制度自发布之日起执行

（八）负责公司财务软件与协同办公系统的维护第六条及时向分管领导和股份公司总部信息中心汇报信息安全事件、事故第三章信息中心安全管理内容第七条信息中心负责管理公司各服务器管理员用户名与密码，不得外泄第八条定期监测检查各服务器运行情况，如业务软件系统数据库出现异常情况，首先做好系统日志，并及时向主管领导与总部信息中心汇报，提出应急解决方案如其他业务服务器出现异常，及时与合作方联系，协助处理第九条数据库是公司信息数据的核心部位，非经信息中心经理同意，不得擅自进入数据库访问或者查询数据，否则按严重违纪处理，造成数据破坏的，给予除名处理第十条信息中心在做系统需求更新测试时，需先进入备份数据库中测试成功后，方可对正式系统进行更新操作第十一条业务软件系统服务器是公司数据信息的核心部位，也是各项数据的最原始存储位置，信息中心必须做好设备的监测与记录工作，如遇异常及时汇报第十二条信息中心每天监测检查数据库备份系统，并认真做好日志记录，如遇异常及时向信息中心主管领导汇报第十三条机房重地，严禁入内中心机房环境要求严格，摆放设备异常重要，非经部门经理同意严禁入内外单位人员进入机房需由信息中心人员专人陪同进入如需要进行各项操作须经经理同意后方可进行操作第十四条信息中心负责收银机的安装与调试维护，收银网络的规划与实施第十五条机电源为专用电源插销上贴有“专用电源”字样，POS任何部门、供应商及专柜均不得使用，确保后台主机正常运行第十六条任何部门、供应商及个人不得损坏机网线模块盒，POS确保机连网、传输数据等功能的正常使用POS第十七条如有违反上述规定的，一经发现给予元元的500T000经济处罚第十八条信息中心负责公司办公网络与收银机地址的规POS IP划、分配和管理工作包括地址的规划、备案、分配、地址和网IP IP卡地址的绑定、地址的监管和网络故障监测等个人不得擅自更改IP或者盗用地址IP第十九条公司地址的设置均采用固定分配方式，外来人员IP IP的电脑需要在信息中心主管领导的批准下分配进行办公IP第二十条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址，应及时向信息中心报告第二十一条信息中心负责公司办公网络与通信网络的规划与实施，任何个人或部门不得擅自挪动或关闭部门内存放的信息设备（交换机、网络模块）第二十二条办公电脑安全操作管理

（一）各部门对自己使用的电脑负有管理责任，专人专机，谁使用、谁管理、谁负责

（二）广播数据和文件时，必须先进行杀毒处理，如本机已确认带毒，不允许广播数据；

（三）经常检查计算机有无感染病毒，若发现计算机被病毒感染，应及时杀毒或报告信息中心人员；

（四）在长时间不使用时，需关闭电脑显示器、打印机等耗电设备；

（五）严格按操作程序正常开机、关机

（六）不得在机桌、显示器的清洁，乱画、舌贴；L

（七）不得将水杯放置在电源附近；

（八）不得接收来历不明的电子邮件，及时删除不明来历的电子邮件；

（九）不得擅自安装各种软件所有办公软件由信息中心人员统一负责安装调试；对网络共享设备要求在网管人员指导下操作

（十）不得使用未经杀毒的软盘、光盘、盘；u

（十一）未经允许不得阅读他人文件、文档、电子邮件；

（十二）不得随意泄露自己的计算机登陆密码；

（十三）不得擅自转让用户账号，或将口令随意告诉他人；

（十四）不得冒用他人账号登录计算机（公用设备除外）；

（十五）不得以任何形式泄露企业文档、数据等商业机密；

（十六）不得非法利用黑客程序进行密码破解第二十三条办公电脑安全使用管理

（一）利用计算机玩游戏、聊天、看电影；

（二）登入非法网站、浏览、接收非法信息

（三）盗用未经合法申请的地址入网IP

（四）对计算机硬盘格式化操作、改变机器配置

（五）随意拆卸、搬动计算机设备、配件（键盘、鼠标等）

（六）恶意访问和攻击网络服务器和他人计算机第二十四条各部门工作中如有违反上述各项规定，在信息中心维护工作中一经发现，有权向主管领导反映并提出处罚建议；给企业造成恶劣影响或后果的，视情况给与相应的经济或行政处罚第二十五条信息中心将期对各部门非工作相关的软件、文档、电影、歌曲、游戏、图片等进行清理，相关部门须积极配合,不得阻挠第二十六条信息中心负责公司各网络及办公电脑的病毒防护管理负责统一安装总部指定的卡巴斯基网络版杀毒软件，未经信息中心同意，各部门或个人不得擅自卸载或关闭第二十七条信息中心负责杀毒软件的安装、升级与日常维护定期监测检查网络病毒异常情况，及时与总部信息中心联系,做好防护工作第二十八条信息中心定期对办公电脑和收银机进行防病毒维护确保网络环境干净整洁第二十九条网站浏览安全

（一）在公司范围内禁止访问黄色网站、反动网站

（二）禁止通过网络进行与工作无关的聊天

（三）不得在上班时间访问与工作无关的网站

（四）在浏览器中禁止让系统记住密码而实现自动登录

（五）发现被感染病毒或被安装不明软件，要及时向向信息中心汇报第三十条电子邮件安全电子邮件是公司内以及对外交流的重要途径之一，其优点在于速度、信息结构、信息详细程度，弱点在于抵抗非法使用的脆弱性

（一）账号维护、电子邮件用户的使用者必须具有更改邮件账号密码的权限与1技能、对于电子邮件账号的维护应符合“账号、口令和权限管理”2的要求

（二）接收邮件、收到电子邮件时，要确认邮件内容可识别，并给回复发1件人，或电话通知发件人邮件已收到、对于垃圾邮件，应将邮件发送地址列入拒收列表，并删2除邮件、一般不打开不明来源的电子邮件的附件，如果要打开就下载3到本地计算机上进行杀毒后再打开、因病毒感染了计算机，应关闭计算机或者拔掉网线，并立即4通知管理员

（三）发送邮件、发送邮件时要确保收件地址正确，防止将邮件发送到错误地1址造成泄密、不得明文发送密级属于绝密或机密性质的信息，可通过信息2加密后再传送的方法实现此类信息的传送，注意明文密码不可在邮件中传送、不可采用匿名方式发送电子邮件

3、对于紧急邮件，可表明急件

4、不得发送诽谤电子邮件、进行骚扰或非法采购，不得发送国5家法律禁止的信息第四章附则第三十一条本办法自发布之日起执行第三十二条本办法执行过程中遇有问题，由公司信息中心负责解释附件业务软件应用信息系统用户账户与角色权限管理办法附件:业务软件应用信息系统用户账户与角色权限管理办法

一、目的为加强公司业务软件应用信息系统用户账号和权限管理的规范化，确保应用信息系统安全、有序、稳定的运行，特制定本管理办法

二、适用范围适用于公司管理的业务软件应用信息系统

三、术语和定义用户被授权使用或负责维护应用信息系统的人员用户账号在应用信息系统中设置与保存、用于授权用户合法登录和使用应用信息系统等权限的用户信息，包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容权限允许用户操作应用信息系统中某功能点或功能点集合的权利范围角色应用信息系统中用于描述用户权限特征的权限类别名称

四、用户管理

（一）系统管理用户（用户）super用户主要负责应用信息系统中的系统参数配置，用户账号Super开通与维护管理、设定角色与权限关系，系统日志管理以及数据管理等系统运行维护工作

（二）普通用户指由系统管理员在应用信息系统中创建并授权的非系统管理员用户，拥有在被授权范围内登录和使用应用信息系统的权限

三、用户角色与权限关系业务软件应用信息系统通过建立一套角色与权限对应关系，控制用户操作权限

四、用户账号实名制注册管理为保证公司应用信息系统的运行安全和对用户提供跟踪服务，用户账号的申请注册实行“实名制”管理方式，即在用户账号申请注册时必须由人事行政部向信息中心提供用户职工号，作为用户登录账号

五、用户账号申请与审批账号申请一般由本部门提出，人事行政部开通帐号，由信息中心负责开通账号权限

六、安全管理凡需要使用应用信息系统的用户，每人均须按照“实名制”方式申请一个仅限本人使用的用户账号不同用户的用户账号彼此之间不得随意借用，因借用账号操作而造成应用信息系统中数据信息或任何系统功能等方面的改变或后果，均由拥有该用户的账号的用户负责。