计算机信息安全管理制度

Q/ZLZK203021-2009A
计算机信息安全管理制度 1 目的 加强计算机网络及计算机信息安全管理，保障公司网络平台、应用系统的正常运行及数据安全，防止泄密。 2 范围 适用于公司及各事业部、分公司、控股子公司（以下简称各经营单元）所有计算机信息安全管理。 3 术语 3.1 办公计算机：办公用台式机、笔记本电脑等属于公司资产的计算机设备。 3.2 计算机信息：是指存储在计算机上的软件、数据、图纸等含有一定意义的计算机信息资料。 3.3 内部网络：公司长沙园区网络及通过专线与长沙园区互联的其他园区、驻外机构网络（以下简称内网）。 3.4 外部网络：互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。 4 职责 公司计算机信息安全采用集中控制、分级管理原则。 4.1 公司信息化管理部门：负责制定公司计算机信息安全战略目标及信息安全策略、督导公司日常计算机信息安全管理，负责直属部门计算机信息安全日常工作。负责协调公司内外部资源，处理公司重大计算机信息安全事件。 4.2 经营单元信息化管理部门：负责本经营单元计算机信息安全日常工作，及时向公司信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.3计算机用户：负责本人领用的办公计算机日常保养、正常操作及安全管理，负责所接触信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。信息的起草人须按《保密制度》相关规定提出信息密级定级申请。 5 内容与要求 5．1账号和密码安全管理 5.1.1. 信息化管理部门须统一生成信息系统用户账号，并确保身份账号在此系统生命周期中的唯一性；对账号密码信息进行加密处理，确保用户账号密码不被非授权地访问、修改和删除。 5.1.2. 员工因工作岗位或职责变动需变更账号权限时，须向信息化管理部门提出申请权限变更。信息化管理部门应及时变更异动员工的权限，冻结离职员工的账号。 5.1.3. 员工使用公司计算机信息系统时，须参照附件9.1《网络与计算机外部设备访问权限申请流
Q/ZLZK203021-2009A
程》，向信息化管理部门提出申请，经审批后方可取得账号和初始密码。员工使用初始密码登录信息系统后，须立即更改密码。 5.1.4. 密码须满足以下要求：密码长度至少8位，密码必须由大写字母（A到Z）、小写字母（a到z）、符号（!@#$%^&*等）和数字（0~9）4组类型至少需取2种组合。 5.1.5. 密码更换周期

不得长于两个月，且变更前后的密码不能相同。 5.1.6. 用户登录系统时，密码连续输错5次，用户账号将变成锁定状态，用户须向信息化管理部门申请解锁。严禁以非法手段尝试获取他人账号密码信息，未经授权不得使用他人账号密码登录系统。 5.1.7. 用户对自己账号密码的安全性负责，禁止泄露给他人。因个人账号密码管理不慎造成的信息安全事件由账号所有者负最终责任。 5．2 办公计算机安全管理 5.2.1. 信息化管理部门在日常管理办公计算机时，应进行如下安全设置： a) 须为所有办公计算机设置BIOS密码，关闭未申请使用的接口并贴封条和配备机箱锁； b) 须为所有办公计算机部署相应的内网安全管理系统及防病毒软件； c) 主机设备需要带离现场维修时，应由保密专员进行全程陪同，并拆除所有存储介质； d) 存储介质应到具有涉密信息系统数据恢复资质的单位进行维修； e) 不再使用或无法使用的设备应按相关规定及时进行报废处理。 5.2.2. 计算机使用人在日常使用办公计算机时应遵守如下要求： a) 计算机用户使用计算机在处理公司涉密信息及账号信息时，应注意信息安全防范，防止被无关人员窥视泄密；暂时离开计算机时应启用带密码保护的屏幕保护程序或直接锁定计算机。 b) 定期检查计算机设备标签、封条、机箱锁，如有破损及时通知信息化管理部门处理。 c) 不得擅自挂接计算机输入输出设备以及故意损毁计算机设备标签、封条和硬件锁。不得将相关设备挪作私用。 d) 如需使用计算机以外的输入输出设备（如打印机、扫描仪、移动存储类设备及刻录光驱等）及硬件接口时，须参照附件9.1《网络与计算机外部设备访问权限申请流程》执行。 e) 禁止利用办公计算机处理与工作无关内容、破坏或影响其它员工正常工作。 f) 严禁擅自卸载公司内网管理系统及防病毒系统。 g) 严禁使用办公计算机发布不良信息、牟取私利、泄露公司机密和从事违法犯罪活动。 5．3 计算机防病毒管理 5.3.1 计算机用户在使用计算机过程中应注意采取以下防病毒安全措施： a) 禁止私自关闭、卸载或更换防病毒软件，应及时更新病毒库和操作系统补丁，保证计算机安
Q/ZLZK203021-2009A
全运行。 b) 发现或怀疑有办公计算机被病毒感染，应立即断开网络并执行全盘扫描病毒程序，如感染症状未能解除须立即上报信息化管理部门。 c) 对任何外来资料，须使用防病毒软件进行扫描后方可使用，不要打开外来不明链接。 d) 严禁故意瞒报、制作、下载、运行及传播计算机病毒 。 5.3.2 信息化管理部门须维护防

病毒系统及补丁更新系统正常运行。在发生重大病毒发作事件时，应及时发布病毒预警，及时采取有效的预防措施防止病毒大面积扩散。 5．4网络安全管理 5.4.1 信息化管理部门在管理办公计算机网络安全时，应遵循以下要求： a) 必须严格隔断允许访问外网的计算机与内网计算机之间的直接通讯。 b) 必须严格隔断内网中财务、研发与其它管理类计算机之间的直接通讯。 c) 办公计算机在使用公司网络时，用户身份、网卡物理地址必须与网络访问资源一对一绑定。 5.4.2 信息化管理部门在保护信息化应用系统网络安全时，应遵循以下要求： a) 信息化应用系统的服务器及存储设备只允许安装在公司的网络机房、数据中心机房内，特殊情况可申请托管在第三方机房内，禁止安装在普通办公场所及其它不安全场所内。 b) 信息化应用系统需要启动远程管理时，须使用加密的远程管理协议，并且实现专人、专机、专网管理，防止远程管理权限被非法窃用。 c) 必须在公司内外部网络交汇处设置必要的防火墙系统，并制定必需的防火墙策略；未经授权，不允许将任何内部IP地址和服务端口映射到外部网络。 d) 对外的信息化应用系统必须部署必要的安全手段以检测和减少被攻击行为，并采取必要措施便于对非法行为进行审计取证。 e) 定期检查内部网络运行情况，及时发现非法网络接入。 f) 需要变更网络安全相关管理策略时，按9.1《网络与计算机外部设备访问权限申请流程》办理。 5.4.3 用户在使用公司网络资源时，应遵循以下安全要求： a) 在默认情况下，所有办公用台式机和工作站只能访问公司内网；笔记本不允许接入公司内网。计算机用户需要申请网络权限时，须按附件9.1《网络与计算机外部设备访问权限申请流程》审批后开通。 b) 员工因岗位职责变化不再需要使用外网时，应及时通知信息化管理部门关闭外网权限。 c) 禁止员工私自修改办公计算机的IP地址、网卡地址等，禁止将办公计算机私自接入非指定网络环境。
Q/ZLZK203021-2009A
d) 当需进行信息提取时，按附件9.2《计算机信息提取(输入)流程》办理。 5．5 信息化应用系统开发安全管理 5.5.1 信息化应用系统开发安全需求 a) 必须有可靠的身份认证机制，不允许匿名访问，账号和密码须满足安全管理要求。 b) 必须有完整的权限管理系统，支持分层分级授权。 c) 账号密码必须加密存储在后台数据库中。 d) 必须基于职责分离原则定义不同业务模块的使用权限。 e) 信息化应用系统必须经过第三方安全测评机构测评合格后才能正式投入运行。

f) 信息化应用系统开发各阶段产生的源代码程序、编译程序及文档资料严格按用户授权集中管理。 5.5.2 信息化应用系统运营安全管理 a) 必须定期审计信息化应用系统用户行为。 b) 必须定期备份信息化应用系统数据。 c) 严禁篡改信息化应用系统数据及更改正式系统环境下信息化应用系统程序文件。 d) 必须严格权限控制，按业务职责对用户合理授权，信息化应用系统权限的变更须经信息化管理部门审批。 e) 需定期进行风险检测与评估，确保信息化应用系统运行安全。 5．6 网络设备安全配置 5.6.1 所有网络设备必须由信息化管理部门指定专员、专机管理。需要使用远程管理时，优先使用统一的加密的远程管理协议实现功能，并确保专人、专机、专网管理，严防远程管理权限被非法窃用。 5.6.2 管理网络设备时需要用到的密码信息必须以密文形式保存。 5.6.3 未经授权，网络管理工程师不得私自更改网络设备的配置文件。 5.6.4 网络管理工程师 更改重要网络设备配置前，必须先备份现有配置文件，更改网络设备时，需填写《配置变更登记表》并严格按照表内容进行。 5.6.5 网络管理工程师必须周期性备份管辖范围内所有网络设备的配置文件。 5.6.6 网络设备故障时，尽可能抢救现有配置文件，并用最后备份版本的配置文件快速配置替换设备。 5.6.7 定期审计网络配置。
Q/ZLZK203021-2009A
5.6.8 需定期进行风险检测与评估，确保网络设备运行在可接受安全。 5.7 数据备份与恢复管理 5.7.1 信息化管理部门必须为所有信息化应用系统制定相应的数据备份与恢复策略，填写《数据备份记录表》，参照《信息备份与数据恢复管理办法》执行。 5.7.2 信息化管理部门须定期检查备份策略的有效性和执行情况，进行备份恢复测试，确保备份介质不仅有效，而且能在恢复操作步骤分配的时间内完成。 5.7.3 数据备份应保证及时、完整、真实、准确地转储到不可更改的介质上，备份介质须异地存放。 5.8 机房安全管理 5.8.1 信息化应用系统的硬件设备只允许放置在公司的网络机房、数据中心机房内，特殊情况可申请托管第三方机房，严禁放置在普通办公场所及其它不安全场所内。 5.8.2 机房配备温湿度计和干冰灭火器，信息化管理部门须对机房人员进行消防安全指导，并做好机房的防火、防盗、防水、防静电、防雷击措施，杜绝相关安全事故发生。 5.8.3 信息化管理部门须指定专人负责对机房内各类设备进行安全维护和管理，对机房进行定期巡检，遇到异常情况及时处理，并参照《计算机机房管理规定》执

行。 5．9 出图管理 5.9.1 信息化管理部门须指定专人负责对出图设备进行安全管理和维护，为出图申请部门提供相应的技术支持。 5.9.2 图纸只能在出图室出图设备上打印。技术部门如配备有打印机，需指定专人管理，且打印机只能打印文档资料，不得打印图纸，违者按《保密制度》相关规定处理。 5.9.3 出图人员须在OA中发起《出图申请流程》经审批后方能出图，具体参照附件9.3《CAD出图管理流程》执行。 5.9.4 出图人员未经许可不得操作出图室的打印服务器和出图设备。 5.9.5 出图人员取图时须出示本人员工卡，由信息化管理部门进行身份核实，并将其清点的图纸与所填写的出图申请表上内容核对一致后方可取走图纸，严禁代领和冒领。 5.10 信息安全培训管理 5.10.1 信息化管理部门应及做好信息安全培训工作，减少因意识和操作失误带来安全风险。 5.10.2 信息化管理部门必须根据国内外及行业内信息安全发展的现状每年制定信息安全培训计划，培训计划要求如下： a) 保证培训内容能指导员工正常处理日常工作中可能遇到并应该引起注意的信息安全问题。 b) 针对不同的培训对象如一般新员工、一般老员工、信息化内部员工、及关键涉密岗位需制定
Q/ZLZK203021-2009A
不同的培训内容。 c) 针对不同的培训对象和内容明确培训形式及目标。 d) 必须针对培训效果进行考核。 6 违纪与处罚 6.1 对违反本制度的违纪行为，信息化管理部门填写《信息安全违规记录表》，并定期上报督察部门，依据违纪类型进行相应处罚。 6.1.1以下违纪行为，视其情节最高可给予开除处分，并移交司法处理： a) 违反国家有关信息管理的法规，利用网络从事违反中华人民共和国法律和法规的活动，发表违反法律法规的言论（包括以任何理由），泄露国家机密，进行任何破坏国家安全的活动的； b) 利用网络对他人进行侮辱、诽谤、骚扰的；侵害他人合法权益的；侵犯他人的名誉权、肖像权、姓名权等人身权利的；侵犯他人的商誉、商标、版权、专利、专有技术等各种知识产权的； c) 利用网络或电子邮件传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的、淫秽的信息数据；传输任何教唆他人构成犯罪行为信息数据的；主动发送连锁邮件或垃圾邮件以及主动散布计算机病毒或恶意代码的；以任何形式、任何目的对电子邮件功能进行滥用的；盗用他人任何系统帐号的；传输助长国家不利因素、涉及国家安全，以及任何不符合国家法律、法规、规章信息数据的； d) 终端用户使用破解、猜测和

嗅探口令工具企图侵入信息化应用系统的；或使用黑客工具攻击内部网络；或擅自修改和删除信息系统信息的； e) 利用公司信息化资源牟取私利的。 f) 有其他严重违反计算机信息安全规定的行为，造成严重后果或重大损失的。 6.1.2 以下违纪行为，视其情节最高可给予记大过处分： a) 擅自拆装计算机设备，或自行插拔机内部件或添加设备的； b) 由于保管不善而泄漏个人账号和密码，使公司重要信息泄漏或信息系统遭到攻击，给公司造成重大损失的； c) 员工在所使用的计算机上擅自卸载公司统一安装的内网监控软件的； d) 有其他较严重违反计算机信息安全规定的行为，造成较严重后果或一定损失的。 6.1.3 以下违纪行为，视其情节最高可给予记过处分： a) 擅自删除或修改计算机的标准软件及系统配置（如用户名、用户IP地址等）的； b) 员工在所使用的计算机上擅自卸载公司统一安装的防病毒软件，或故意使防病毒软件处于未
Q/ZLZK203021-2009A
激活状态的； c) 工作时间长时间参与工作无关的网上聊天、浏览与业务无关的网站、玩电脑游戏的； d) 下载互联网上的非法软件或拷贝外来的非法软件进入公司网络的； e) 大量下载或传输与业务无关的数据或非法软件，占用网络带宽的； f) 有其他一般违反计算机信息安全规定行为的。 6.1.4 以下违纪行为，视其情节最高可给予通报批评处分： a) 离开计算机时不及时进行锁屏或不按规定设置自动启用屏幕保护的； b) 员工随意在自己的计算机内设置共享目录，未设置口令保护，并在共享完毕后未能立即取消共享功能的； c) 有其他轻度违反计算机信息安全规定行为的。 7相关文件 7．1 《信息化应用系统管理规定》 7．2 《保密制度》 7．3 《计算机机房管理规定》 7．4 《信息备份与数据恢复管理制度》 7．5 《计算机设备管理办法》 8记录 8．1《计算机信息提取（输入）申请单》 8．2《出图申请单》 8．3《信息安全违规记录表》 8．4《计算机安全检查记录表》 8．5《数据备份记录表》 8. 6《配置变更登记表》 9 附件 9．1网络与计算机外部设备访问权限申请流程 9．2计算机信息提取（输入）流程 9．3 CAD出图管理流程 9．4 电子数据归档流程 附加说明： 本制度由信息化管理部门提出并解释。
Q/ZLZK203021-2009A
本制度主要起草人：翟艺 曾筝 本制度审核人： 张飞庆 本制度批准人：王玉坤
Q/ZLZK203021-2009A
记录1： 计算机信息

提取（输入）申请单 申请人 信息等级 提取时间 信息来源部门负责人 信息提取部门负责人 审批人 信息名称 介质 信息来源及目的地 计算机信息安全工程师 销毁人 证明人 销毁时间 注：信息等级审批，绝密信息——CEO； 机密信息——分管领导； 秘密和一般信息——部门负责人。 记录2： 出 图 申 请 单 部门 出图人 项目 用 途 图幅 数量 代 号（编 码） 名 称 A0 A1 A2 A3 A4 项目负责人 审批 计算机信息安全工程师 日期 备注：⑴A0、A1必须填写代号、名称。 ⑵总图、一级部件不论图幅大小，必需填写代号、名称。
Q/ZLZK203021-2009A
记录3： 信息安全违规记录表 基本信息 违规人姓名 所属部门 计算机名/IP 账号 违规时间 违规行为描述 违纪定级 呈报单位 呈报人 呈报时间
Q/ZLZK203021-2009A
记录4： 计算机安全检查记录表 单位名称： 年 季度 设备号 机器IP 使用者 部门 时间 系统状态描述 记录人： 审批人：
Q/ZLZK203021-2009A
记录5： 数据备份记录表 信息化应用系统基本信息 应用名称 所在园区 操作员 操作系统类型 数据库类型 支撑平台 备份内容 数据库/程序 备份类型 （增备/全备） 备份周期 备份目标园区 备份方式 手动/自动 备份介质 备份操作记录表 时间 备份情况说明 备份结果
Q/ZLZK203021-2009A
记录6： 配置变更登记表 编号： G+年月日+顺序号 日 期 设备名 设备编号 记录人 变更原因： 配 置 内 容 原内容： 变更内容： 审核：_________
Q/ZLZK203021-2009A
附件 9.1 网络与计算机外部设备访问权限申请流程 适用范围：本流程适用于公司计算机网络（包括跨网段计算机、互联网等网络）及计算机外部设备（包括光驱、USB外设、移动存储等设备）的访问权限申请管理。 流程图 说明 责任人（参与人） 接收直属部门或经营单元相关负责人审批通过后的申请 按权限分级审批申请： ①

直属部门及没有派驻信息化主管的经营单元申请 ② 有派驻信息化主管的经营单元申请 按权限分级开通计算机安全权限，并将结果反馈给申请人： ① 直属部门申请及跨网段计算机访问 ② 经营单元申请（不包含跨网段计算机访问） 存档汇总 公司信息化部信息安全工程师、经营单元信息安全工程师 公司信息化部部长 派驻经营单元信息化主管 公司信息化部信息安全工程师 经营单元信息安全工程师 公司信息化部信息安全工程师 接收申请 审批 No Yes 开通权限 归档
Q/ZLZK203021-2009A
9.2计算机信息提取(输入)流程 适用范围：本流程适用于公司所有计算机信息提取（输入）管理。 流程图 说明 责任人（参与人） 接收按计算机信息涉密等级分级审批通过后的申请： ① “一般”和“秘密”级信息的申请 ② “机密”级信息的申请 ③ “绝密”级信息的申请 派发信息提取（输入）任务 提取（输入）信息 确认信息提取（输入）是否完成 存档汇总 公司信息安全室主任、经营单元信息化相关室主任 信息输入或输出部门负责人 申请部门分管领导 经营单元总经理或CEO 公司信息安全室主任、经营单元信息化相关室主任 公司信息化部信息安全工程师、经营单元信息安全工程师 公司信息化部信息安全工程师、经营单元信息安全工程师 (申请人) 公司信息化部信息安全工程师 归档 验收 提取信息 接收申请 No Yes 派发任务
Q/ZLZK203021-2009A
9.3 CAD出图管理流程 适用范围：本流程适用于公司所有CAD图纸输出管理。 流程图 说明 责任人（参与人） 接收申请部门负责人审批通过后的申请 图纸输出： ① 根据图纸输出类型（白图、描图）安排绘图仪 ② 及时更换纸张，定期检查墨盒容量，保障绘图仪正常运行 图纸输出后进行清点： ① 清点领取图纸，如有误，重新出图 ② 对申请人清点后的图纸进行图纸代号和名称的核对，记录实际出图数量 存档汇总： ① 每季度将流程汇总，统计出图数量 ② 计算各部门出图费用，交申请部门分管领导签字后汇总给财务部门 公司信息化部信息安全工程师、经营单元信息安全工程师 公司信息化部信息安全工程师 、经营单元信息安全工程师 申请人 公司信息化部信息安全工程师、经营单元信息安全工程师 公司信息化部信息安全工程师、经营单元信息安全工程师 归档 图纸清收 出图 接收申请 No Yes
Q/ZLZK2030

21-2009A
9.4电子数据备份及归档流程 适用范围：本流程适用于公司所有电子数据归档、应用系统备份管理。 流程图 说明 责任人（参与人） 接收申请部门和信息化部负责人审批通过后的申请： ① 电子数据归档 ② 应用系统备份 按照《信息备份与数据恢复管理办法》的要求根据备份的类型设计信息备份方案： ① 电子数据归档 ② 应用系统备份 方案审批 根据《信息备份与数据恢复管理办法》执行数据备份： ① 电子数据归档 ② 应用系统备份 确认信息备份是否成功 ① 电子数据归档 ② 应用系统备份 存档汇总： ① 将电子数据备份介质密封提交给公司档案室保管 ② 删除相关临时文件，以防止泄密 ③ 记录应用系统备份日志 信息安全室主任 信息系统运营室主任 信息化部信息安全工程师 信息化部信息系统运营工程师 信息化部部长 信息化部信息安全工程师 (督察部、申请人) 信息化部信息系统运营工程师 (信息化部系统管理员) 信息化部信息安全工程师 (申请人） 信息化部信息系统运营工程师 (信息化部系统管理员) 信息化部信息安全工程师 (督察部、公司档案管理员) 信息化部信息安全工程师 (督察部) 信息化部信息系统运营工程师 (信息化部系统管理员) 接收申请 执行备份 归档 Yes 备份方案 校验 No 方案审批 No Yes