【正文】 員工傳達，明確相關人員應承擔的義務和責任。 ? 信息系統(tǒng)運行監(jiān)控 各種信息系統(tǒng)事件日志都應該啟動，并保證足夠的日志空間。能自己處理的問題，立即處理，否則提交問題處理人員。具體流程參見 《 操作手冊建立 /變更流程 》 。所有變更方案經(jīng)測試通過后，交信息部負責人審批。 數(shù)據(jù)導入 /修改流程中的申請、審批、操作工作需分別由不同人員承擔。 網(wǎng)絡管理人員對數(shù)據(jù)傳輸路徑的設置進行規(guī)范記錄，并定期對網(wǎng)絡設置進行評估，確保當前的設置能夠滿足數(shù)據(jù)傳輸?shù)陌踩孕枨蟆浞莶呗缘淖兏鼞玫綌?shù)據(jù)擁有部門以及信息部負責人審批。 ? 備份恢復 信息部管理層應制定相應的備份恢復計劃，包括業(yè)務需求的恢復和測試性的恢復計劃。 ? 計算機用戶管理 所有接入公司內(nèi)部網(wǎng)絡的計算機用戶必須安裝公司信息部指定的計算機病毒防治產(chǎn)品，開啟實時掃描和病毒特征碼自動更新的功能，接受公司信息部集中管理。 防火墻管理人員必須嚴格遵守 《 系統(tǒng)帳號管理制度 》 中的規(guī)定，需要和后備防火墻管理人員交接工作時，認真填寫 《 防火墻管理交接表 》 。 帳號申請人所屬部門負責人及系統(tǒng)擁有部門負責人根據(jù)《 崗位權限對照表 》 對應用層面的普通用戶帳號申請進行審批。 臨時帳號使用完畢后，申請人及時通知帳號管理人員注銷臨時帳號。 超級用戶帳號須通過保密形式由信息部負責人保存。 信息安全管理人員定期收集和分析各類操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡設備的補丁信息，并及時通知相應的配置管理人員。 緊急變更過程中應使用專設系統(tǒng)用戶帳號，由專責部門或人員啟動緊急修改變更程序。 禁止系統(tǒng)維護人員共享操作系統(tǒng)級別的賬號。 信息部負責對系統(tǒng)變更過程的文檔進行歸檔管理，所有文檔至少保存三年。安裝過后，由信息安全管理員核對實際配置是否符合基準配置要求。 ? 用戶帳號口令管理 用戶帳號口令發(fā)放要嚴格保密，用戶必須及時更改初始口令。 ? 臨時帳號管理 使用臨時帳號時（如內(nèi)外部審計人員、臨時崗位調(diào)動人員），須填寫統(tǒng)一的 《 帳號 /權限申請表 》 。 信息系統(tǒng)帳號管理制度（試行） 系統(tǒng)帳號：是指應用層面及系統(tǒng)層面（操作系統(tǒng)、數(shù)據(jù)庫、防火墻及其它網(wǎng)絡設備）的用戶帳號。 防火墻管理制度（試行） ? 防火墻管理 公司內(nèi)部網(wǎng)絡和外部網(wǎng)絡連接時必須安裝防火墻，確保內(nèi)部網(wǎng)絡及連接的安全，并通過防火墻的設置對內(nèi)外雙向的網(wǎng)絡訪問按照策略和權限進行控制。 公司信息部防病毒管理人員負責制定防病毒產(chǎn)品的實時防護、文件防護、定時掃描、病毒日志和隔離區(qū)等參數(shù)的設置標準，用戶嚴格按照此標準執(zhí)行。借用人員使用完介質(zhì)后，應立即歸還。 備份策略制定后應制訂或修改相應的備份操作手冊（包含備份周期、備份失敗的處理辦法等），指導備份工作。對存放數(shù)據(jù)的介質(zhì)，確保只有授權人員能夠訪問。 數(shù)據(jù)修改指信息部應數(shù)據(jù)擁有部門要求，對公司信息系統(tǒng)中的數(shù)據(jù)在后臺數(shù)據(jù)庫中進行的修改。 信息部應該建立批處理操作手冊作為批處理的操作指導。 相關人員必須嚴格按照操作手冊執(zhí)行日常的重要操作，同時保存完整的操作記錄。 問題處理管理制度（試行） “問題”是指信息系統(tǒng)運行過程中出現(xiàn)的各類問題。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務活動符合公司規(guī)定的信息安全制度、標準及其相關規(guī)定。 ? 信息安全工作小組在信息安全工作方面的主要職責(略 ) ? 分子公司信息安全管理員的主要職責 落實上級部門各項制度和要求，負責分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問題，提出安全分析報告和安全防范建議，上報信息安全事件并提出初步處理意見。 禁止使用公司提供的電子郵件帳號在互聯(lián)網(wǎng)上進行注冊。 使用公司電子郵件傳遞敏感數(shù)據(jù)時，必須對數(shù)據(jù)進行加密。 ? 信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強信息安全管理工作，所有員工都必須遵守與其相關的信息安全規(guī)章制度。 信息安全管理員獲取并審閱所有與信息安全相關的內(nèi)部和外部審計報告，并根據(jù)報告結(jié)果改進信息安全管理工作。對業(yè)務產(chǎn)生重大影響，需要短時間內(nèi)解決的問題稱為緊急問題，其余的稱為一般問題。 信息部每月根據(jù)相應的操作記錄檢查操作手冊的執(zhí)行情況，并進行記錄，檢查和審閱人員簽字存檔。批處理操作手冊應該包括批處理任務清單、批處理工作的實現(xiàn)方式、執(zhí)行批處理的權限設置、批處理任務的檢查等內(nèi)容。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫結(jié)構(gòu)的變更。 ? 數(shù)據(jù)傳輸管理 應對數(shù)據(jù)傳輸進行控制： 一、數(shù)據(jù)傳輸須有身份認證； 二、敏感數(shù)據(jù)傳輸需要保留相關記錄。 備份操作人員須檢查每次的備份工作是否成功，并填寫備份工作匯總記錄，對失敗的備份操作處理需進行記錄、匯報及跟進。由介質(zhì)保管人員負責檢查，確認介質(zhì)完好。 公司信息部防病毒管理人員須及時獲取防病毒產(chǎn)品補丁和最新病毒特征碼，并對防病毒服務器進行及時更新。 公司信息部指定專人負責防火墻的管理工作。 用戶帳號申請、審批及設置由不同人員負責。 帳號申請人所屬部門負責人及系統(tǒng)擁有部門負責人根據(jù) 《 崗位權限對照表 》 對應用層面的臨時用戶帳號申請進行審批。 用戶帳號口令最小長度為 6位，并具有一定復雜度。 在對系統(tǒng)或網(wǎng)絡設備配置變更時，配置變更必須遵照統(tǒng)一的變更申請流程。詳細流程參見 《 系統(tǒng)變更流程 》 。 。 信息部按照事先明確的緊急變更定義做出判斷，確定其優(yōu)先級和影響程度，并進行相應的處理。 ? 基礎架構(gòu)的變更 信息部建立基礎架構(gòu)的相關文檔，包括網(wǎng)絡拓撲圖、設備分布圖、機架分布圖、跳線表、地址表等，當基礎架構(gòu)發(fā)生變更時及時更新此類文檔。嚴禁共享個人用戶帳號口令。 帳號管理人員負責臨時帳號的建立和記錄。 ? 普通帳號管理 申請人使用統(tǒng)一而規(guī)范的 《 帳號 /權限申請表 》 提出用戶帳號創(chuàng)建、修改、刪除 /禁用等申請。 公司信息部要配備后備防火墻管理人員，并收集后備防火墻管理人員的聯(lián)系方式，以確保緊急時刻能夠立即取得聯(lián)系。 公司信息部信息安全管理員建立突發(fā)病毒事件應急處理預案，及時響應用戶的病毒事件報告，協(xié)調(diào)有關方面制定處理方案并組織實施，同時跟蹤相關反饋信息和處理結(jié)果，按 《 信息安全監(jiān)控和安全事件報告管理制度 》 規(guī)定逐級上報有關部門。 信息部負責人須每半年指定專人對備份介質(zhì)在本地和異地的存放情況進行檢查，審閱 《 備份介質(zhì)登記表 》 ，對備份介質(zhì)進行盤點，確保備份介質(zhì)的完整性和標識的規(guī)范性，并做好記錄。 備份對象發(fā)生變更后，需調(diào)整備份策略和備份操作手冊。 應通過對防火墻、路由器等網(wǎng)絡設備的設置，限制訪問權限及控制數(shù)據(jù)傳輸路徑。任何人不得