计算机安全管理办法

北京xx销售有限公司 计算机安全管理办法

北京xx销售有限公司

信息技术部 2018.04

第 1 页 共 7 页

北京xx销售有限公司 计算机安全管理办法

标题: 当前版本: 发布日期:

版本控制记录 版本 1.0

变更描述 创建文档 日期 2018-04 变更人 审阅 计算机安全管理办法 1.0 2018-04 第 2 页 共 7 页

北京xx销售有限公司 计算机安全管理办法

第一章 用户密码与权限管理

第一条 各级操作员与用户密码及权限管理是计算机系统安全管理的基础工作。公司各业务部门应严格执行信息技术部制订的有关用户密码与访问权限管理规定。公司在密码管理与权限管理上根据用户身份不同划分三个角色：安全管理员、数据库管理员、普通用户。

第二条 安全管理员 (Security Officer)

(一) 信息技术部由系统运维岗担任安全管理员。 (二)

安全管理员负责所有与安全相关的信息系统技术设置，包括一般用户访问权限的分配、修改和取消，可以同时登录的管理员用户数量等。

(三) (四)

安全管理员应由经验丰富的资深信息技术人员担任。

安全管理员每月定时变更系统与数据库登陆密码，督促各级操作员定期变更用户密码，且向信息安全部提交报告报备。

第三条 数据库管理员 (DB Administrator)

(一) 信息技术部由信息技术岗担任数据库管理员。

(二) 数据库管理员维护自己的登陆密码，且定期（每月）变更，同时向信

息技术部提交报告报备。

(三) 数据库管理员的登录可以在公司机房内或选择安全管理员认可的远程

登录方式登陆系统，不得在未获得公司许可的其他机器登陆。

第四条 普通用户 (User)

(一) 信息技术部应根据不同的系统定义不同级别的普通用户，以

便于分类管理。 (二)

一般网络用户账号的建立或注销应由各部门主管根据本身业

务的需要，在审核、批准后向信息技术部提出申请。公司安全管理员审核上述申请并建立或注销该等用户账号。 (三)

除安全管理员之外，严禁任何人开设、注销公司系统的用户

账号或修改用户权限。

第 3 页 共 7 页

北京xx销售有限公司 计算机安全管理办法

(四) (五)

信息技术部应及时清理、注销过期的用户账号。

在通常情况下，不允许同一账号多点登陆。在同一时间段内，

一个用户账号只允许登录同一系统一次。 (六)

信息技术部应根据公司业务特点定义重要用户。信息技术部

可视实际情况对重要用户的登录过程增加必要的性措施。重要用户需登录使用的关键站点及信息资源，信息技术部应采取特别措施该等站点可同时登录的用户数，以保证信息传输的高效性。

第五条 密码管理

(一) 公司每一用户账号必须设置密码。 (二)

密码长度必须满足信息安全部制订的指引，一般情况下不小

于6位，由字符、数字、特殊字符组成。密码通常应由不代表任何含义的字母和数字以及特殊字符混合组成。 (三)

密码必须定期强制性更改。在密码临近到期时，信息技术部

应通过系统提醒用户更换密码。若密码逾期而未更改，则该用户将被锁定。 (四)

密码错误的可重试次数不得大于信息技术领导小组不时规定

的上限，超过重试次数账号将被锁定。 (五)

第六条 新用户权限的设定或老用户权限的修改或注销应由各部门主管根据本身业务的需要，在审核、批准后向信息技术部提出申请。公司安全管理员审核上述申请后，尽快设置、更改或注销该用户权限。

被锁用户的解锁申请提交书面报告且说明理由。

第 4 页 共 7 页

北京xx销售有限公司 计算机安全管理办法

第七条 信息技术部应负责做好用户名称、权限、网点等参数的数据备份和相关文档的保管工作。如有更新应及时修改相应文档资料和备份数据。

第二章 网络安全管理

第 公司网络布线系统必须符合国家有关法律、法规，中国的有关规定所要求的网络硬件标准。

第九条 公司建立多层防火墙，实现公司内络系统的隔离，阻止非授权人员从外部非法入侵公司内部网。

第十条 公司重要的网络设备集中于公司机房实行统一管理。

第十一条 公司信息技术部应严格对网络服务器的直接操作。网络服务器运行时必须处于安全保护状态，并应开启审计功能。在得到公司信息技术领导小组的有关授权后，方可以在服务器上安装、启用远程控制服务。

第十二条 公司信息技术经理应审核、批准对服务器、工作站配置及其用途的更改、新增申请，以及外来的计算机设备(包括台式电脑、手提电脑、软盘、磁盘)接入公司网络系统的申请，并进行书面登记。

第十三条 公司与证券交易所之间或其他需要与公司联网的外部机构之间必须建立安全、可靠的通信线路连接。重要的通信线路在成本允许的条件下，应建立后备线路。在此等通信线路上传输的信息应该加密。

第十四条 公司信息技术部应划分不同内部网系统功能模块。对于公司内部网的用户，信息技术部应确保每一用户只能进入本岗位允许的系统模块，不得进入非本岗位范围的其它系统。

第十五条 公司信息技术部制订公司内部网和互联网使用规则，规定网络浏览只能用于业务用途，员工不得浏览与业务无关或不健康的网页，不得自行下载任何与工作无关的软件。所有需要的应用软件应由信息技术部进行统一管理。

第十六条 对于需要远程访问公司内部信息资源的员工，应由部门主管审核、批准后向公司信息技术部提出申请。在得到信息技术部授权后，才安

第 5 页 共 7 页

北京xx销售有限公司 计算机安全管理办法

排该名员工的远程访问，并设置相关的有效期限。

第三章 业务计算机操作安全管理

第十七条 业务计算机包括公司各业务部门所使用的全部台式计算机以及手提式笔记本电脑。

第十 每台业务计算机一般指定唯一的使用人。使用人不得拆卸、更改机器配件，不得安装员工私人的软件。

第十九条 公司实行信息技术管理与业务操作人员岗位分离。信息技术部人员的主要任务是维护信息系统的正常运作，实现系统的功能，不涉及系统应用数据；业务操作人员利用现有系统，维护系统的数据。两类人员的任务相互，严格实行岗位分离，以防止信息技术人员修改系统的应用数据，防止操作人员修改系统程序，造成系统的错误和混乱，保证系统的安全性、可靠性和稳定性。

第二十条 业务部门在使用系统的过程中如发现在用的系统需要添加或修改功能，应及时向信息技术部报告。未经信息技术部的允许，任何人不得安装、更改业务计算机上运行的软件及其相关配置。

第二十一条 使用人应规范操作业务计算机，设置并定时更改机器的开启密码以及屏幕保护密码，保证业务计算机安全、稳定地运行。

第二十二条 使用人不得向他人泄露自己的计算机密码或使用他人密码进入计算机系统。在进行业务操作和查询时，使用人亦需对所知的客户和公司资料承担保密责任。

第二十三条 业务计算机出现故障时，使用人应详细记录当时进行的操作以及故障的表现状况，并立即通报信息技术部。信息技术部在接到业务部门的故障报告后，应立即安排给予解决。如果一时不能解决的，应提供功能相近的业务计算机供业务人员临时使用。故障解决后，信息技术人员应与业务人员一起查清故障发生的原因，并将故障发生时的状态、故障的处理方法和处理结果存档备查，并在以后的工作中注意防范。

第四章 安全管理报告

第 6 页 共 7 页

北京xx销售有限公司 计算机安全管理办法

第二十四条 各级管理员、操作员定期向信息技术部和监察稽核部门提交

日常操作与安全报告。

第二十五条 安全报告以文字和电子文档形式分别归档保存，文字纸张的

报告必须存放至指定的地点备查。

本办法由信息技术部负责解释和修订。

本办法自下发之日起执行

第 7 页 共 7 页