【正文】 員工傳達(dá)，明確相關(guān)人員應(yīng)承擔(dān)的義務(wù)和責(zé)任。 ? 信息系統(tǒng)運(yùn)行監(jiān)控 各種信息系統(tǒng)事件日志都應(yīng)該啟動(dòng)，并保證足夠的日志空間。能自己處理的問(wèn)題，立即處理，否則提交問(wèn)題處理人員。具體流程參見(jiàn) 《 操作手冊(cè)建立 /變更流程 》 。所有變更方案經(jīng)測(cè)試通過(guò)后，交信息部負(fù)責(zé)人審批。 數(shù)據(jù)導(dǎo)入 /修改流程中的申請(qǐng)、審批、操作工作需分別由不同人員承擔(dān)。 網(wǎng)絡(luò)管理人員對(duì)數(shù)據(jù)傳輸路徑的設(shè)置進(jìn)行規(guī)范記錄，并定期對(duì)網(wǎng)絡(luò)設(shè)置進(jìn)行評(píng)估，確保當(dāng)前的設(shè)置能夠滿足數(shù)據(jù)傳輸?shù)陌踩孕枨?。備份策略的變更?yīng)得到數(shù)據(jù)擁有部門以及信息部負(fù)責(zé)人審批。 ? 備份恢復(fù) 信息部管理層應(yīng)制定相應(yīng)的備份恢復(fù)計(jì)劃，包括業(yè)務(wù)需求的恢復(fù)和測(cè)試性的恢復(fù)計(jì)劃。 ? 計(jì)算機(jī)用戶管理 所有接入公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)用戶必須安裝公司信息部指定的計(jì)算機(jī)病毒防治產(chǎn)品，開(kāi)啟實(shí)時(shí)掃描和病毒特征碼自動(dòng)更新的功能，接受公司信息部集中管理。 防火墻管理人員必須嚴(yán)格遵守 《 系統(tǒng)帳號(hào)管理制度 》 中的規(guī)定，需要和后備防火墻管理人員交接工作時(shí)，認(rèn)真填寫 《 防火墻管理交接表 》 。 帳號(hào)申請(qǐng)人所屬部門負(fù)責(zé)人及系統(tǒng)擁有部門負(fù)責(zé)人根據(jù)《 崗位權(quán)限對(duì)照表 》 對(duì)應(yīng)用層面的普通用戶帳號(hào)申請(qǐng)進(jìn)行審批。 臨時(shí)帳號(hào)使用完畢后，申請(qǐng)人及時(shí)通知帳號(hào)管理人員注銷臨時(shí)帳號(hào)。 超級(jí)用戶帳號(hào)須通過(guò)保密形式由信息部負(fù)責(zé)人保存。 信息安全管理人員定期收集和分析各類操作系統(tǒng)、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備的補(bǔ)丁信息，并及時(shí)通知相應(yīng)的配置管理人員。 緊急變更過(guò)程中應(yīng)使用專設(shè)系統(tǒng)用戶帳號(hào)，由專責(zé)部門或人員啟動(dòng)緊急修改變更程序。 禁止系統(tǒng)維護(hù)人員共享操作系統(tǒng)級(jí)別的賬號(hào)。 信息部負(fù)責(zé)對(duì)系統(tǒng)變更過(guò)程的文檔進(jìn)行歸檔管理，所有文檔至少保存三年。安裝過(guò)后，由信息安全管理員核對(duì)實(shí)際配置是否符合基準(zhǔn)配置要求。 ? 用戶帳號(hào)口令管理 用戶帳號(hào)口令發(fā)放要嚴(yán)格保密，用戶必須及時(shí)更改初始口令。 ? 臨時(shí)帳號(hào)管理 使用臨時(shí)帳號(hào)時(shí)（如內(nèi)外部審計(jì)人員、臨時(shí)崗位調(diào)動(dòng)人員），須填寫統(tǒng)一的 《 帳號(hào) /權(quán)限申請(qǐng)表 》 。 信息系統(tǒng)帳號(hào)管理制度（試行） 系統(tǒng)帳號(hào)：是指應(yīng)用層面及系統(tǒng)層面（操作系統(tǒng)、數(shù)據(jù)庫(kù)、防火墻及其它網(wǎng)絡(luò)設(shè)備）的用戶帳號(hào)。 防火墻管理制度（試行） ? 防火墻管理 公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接時(shí)必須安裝防火墻，確保內(nèi)部網(wǎng)絡(luò)及連接的安全，并通過(guò)防火墻的設(shè)置對(duì)內(nèi)外雙向的網(wǎng)絡(luò)訪問(wèn)按照策略和權(quán)限進(jìn)行控制。 公司信息部防病毒管理人員負(fù)責(zé)制定防病毒產(chǎn)品的實(shí)時(shí)防護(hù)、文件防護(hù)、定時(shí)掃描、病毒日志和隔離區(qū)等參數(shù)的設(shè)置標(biāo)準(zhǔn)，用戶嚴(yán)格按照此標(biāo)準(zhǔn)執(zhí)行。借用人員使用完介質(zhì)后，應(yīng)立即歸還。 備份策略制定后應(yīng)制訂或修改相應(yīng)的備份操作手冊(cè)（包含備份周期、備份失敗的處理辦法等），指導(dǎo)備份工作。對(duì)存放數(shù)據(jù)的介質(zhì)，確保只有授權(quán)人員能夠訪問(wèn)。 數(shù)據(jù)修改指信息部應(yīng)數(shù)據(jù)擁有部門要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)在后臺(tái)數(shù)據(jù)庫(kù)中進(jìn)行的修改。 信息部應(yīng)該建立批處理操作手冊(cè)作為批處理的操作指導(dǎo)。 相關(guān)人員必須嚴(yán)格按照操作手冊(cè)執(zhí)行日常的重要操作，同時(shí)保存完整的操作記錄。 問(wèn)題處理管理制度（試行） “問(wèn)題”是指信息系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)的各類問(wèn)題。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務(wù)活動(dòng)符合公司規(guī)定的信息安全制度、標(biāo)準(zhǔn)及其相關(guān)規(guī)定。 ? 信息安全工作小組在信息安全工作方面的主要職責(zé)(略 ) ? 分子公司信息安全管理員的主要職責(zé) 落實(shí)上級(jí)部門各項(xiàng)制度和要求，負(fù)責(zé)分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問(wèn)題，提出安全分析報(bào)告和安全防范建議，上報(bào)信息安全事件并提出初步處理意見(jiàn)。 禁止使用公司提供的電子郵件帳號(hào)在互聯(lián)網(wǎng)上進(jìn)行注冊(cè)。 使用公司電子郵件傳遞敏感數(shù)據(jù)時(shí)，必須對(duì)數(shù)據(jù)進(jìn)行加密。 ? 信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強(qiáng)信息安全管理工作，所有員工都必須遵守與其相關(guān)的信息安全規(guī)章制度。 信息安全管理員獲取并審閱所有與信息安全相關(guān)的內(nèi)部和外部審計(jì)報(bào)告，并根據(jù)報(bào)告結(jié)果改進(jìn)信息安全管理工作。對(duì)業(yè)務(wù)產(chǎn)生重大影響，需要短時(shí)間內(nèi)解決的問(wèn)題稱為緊急問(wèn)題，其余的稱為一般問(wèn)題。 信息部每月根據(jù)相應(yīng)的操作記錄檢查操作手冊(cè)的執(zhí)行情況，并進(jìn)行記錄，檢查和審閱人員簽字存檔。批處理操作手冊(cè)應(yīng)該包括批處理任務(wù)清單、批處理工作的實(shí)現(xiàn)方式、執(zhí)行批處理的權(quán)限設(shè)置、批處理任務(wù)的檢查等內(nèi)容。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫(kù)結(jié)構(gòu)的變更。 ? 數(shù)據(jù)傳輸管理 應(yīng)對(duì)數(shù)據(jù)傳輸進(jìn)行控制： 一、數(shù)據(jù)傳輸須有身份認(rèn)證； 二、敏感數(shù)據(jù)傳輸需要保留相關(guān)記錄。 備份操作人員須檢查每次的備份工作是否成功，并填寫備份工作匯總記錄，對(duì)失敗的備份操作處理需進(jìn)行記錄、匯報(bào)及跟進(jìn)。由介質(zhì)保管人員負(fù)責(zé)檢查，確認(rèn)介質(zhì)完好。 公司信息部防病毒管理人員須及時(shí)獲取防病毒產(chǎn)品補(bǔ)丁和最新病毒特征碼，并對(duì)防病毒服務(wù)器進(jìn)行及時(shí)更新。 公司信息部指定專人負(fù)責(zé)防火墻的管理工作。 用戶帳號(hào)申請(qǐng)、審批及設(shè)置由不同人員負(fù)責(zé)。 帳號(hào)申請(qǐng)人所屬部門負(fù)責(zé)人及系統(tǒng)擁有部門負(fù)責(zé)人根據(jù) 《 崗位權(quán)限對(duì)照表 》 對(duì)應(yīng)用層面的臨時(shí)用戶帳號(hào)申請(qǐng)進(jìn)行審批。 用戶帳號(hào)口令最小長(zhǎng)度為 6位，并具有一定復(fù)雜度。 在對(duì)系統(tǒng)或網(wǎng)絡(luò)設(shè)備配置變更時(shí)，配置變更必須遵照統(tǒng)一的變更申請(qǐng)流程。詳細(xì)流程參見(jiàn) 《 系統(tǒng)變更流程 》 。 。 信息部按照事先明確的緊急變更定義做出判斷，確定其優(yōu)先級(jí)和影響程度，并進(jìn)行相應(yīng)的處理。 ? 基礎(chǔ)架構(gòu)的變更 信息部建立基礎(chǔ)架構(gòu)的相關(guān)文檔，包括網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備分布圖、機(jī)架分布圖、跳線表、地址表等，當(dāng)基礎(chǔ)架構(gòu)發(fā)生變更時(shí)及時(shí)更新此類文檔。嚴(yán)禁共享個(gè)人用戶帳號(hào)口令。 帳號(hào)管理人員負(fù)責(zé)臨時(shí)帳號(hào)的建立和記錄。 ? 普通帳號(hào)管理 申請(qǐng)人使用統(tǒng)一而規(guī)范的 《 帳號(hào) /權(quán)限申請(qǐng)表 》 提出用戶帳號(hào)創(chuàng)建、修改、刪除 /禁用等申請(qǐng)。 公司信息部要配備后備防火墻管理人員，并收集后備防火墻管理人員的聯(lián)系方式，以確保緊急時(shí)刻能夠立即取得聯(lián)系。 公司信息部信息安全管理員建立突發(fā)病毒事件應(yīng)急處理預(yù)案，及時(shí)響應(yīng)用戶的病毒事件報(bào)告，協(xié)調(diào)有關(guān)方面制定處理方案并組織實(shí)施，同時(shí)跟蹤相關(guān)反饋信息和處理結(jié)果，按 《 信息安全監(jiān)控和安全事件報(bào)告管理制度 》 規(guī)定逐級(jí)上報(bào)有關(guān)部門。 信息部負(fù)責(zé)人須每半年指定專人對(duì)備份介質(zhì)在本地和異地的存放情況進(jìn)行檢查，審閱 《 備份介質(zhì)登記表 》 ，對(duì)備份介質(zhì)進(jìn)行盤點(diǎn)，確保備份介質(zhì)的完整性和標(biāo)識(shí)的規(guī)范性，并做好記錄。 備份對(duì)象發(fā)生變更后，需調(diào)整備份策略和備份操作手冊(cè)。 應(yīng)通過(guò)對(duì)防火墻、路由器等網(wǎng)絡(luò)設(shè)備的設(shè)置，限制訪問(wèn)權(quán)限及控制數(shù)據(jù)傳輸路徑。任何人不得