信息安全管理规范和操作指南 1.总则 (1)为了保证公司信息网络系统的安全，依据有关计算机、网络和信 息安全的相关法律、法规和安全规定，结合公司信息网络系统建立的实际 状况，特制定本规定。 (2)本规定所指的信息网络系统，是指由计算机（包括相关和配套设 备）为终端设备，利用计算机、通信、网络等技术进展信息采集、处理、 存储和传输的设备、技术、治理的组合。 (3)本规定适用于公司接入到公司网络系统的单机和局域网系统。 信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息 安全技术，在实现网络系统安全的根底上，爱护信息在传输、交换和存储 过程中的机密性、完整性和真实性。 2.物理安全 (1)物理安全是指爱护计算机网络设施以及其他媒体免遭地震、水灾、 火灾等环境事故与人为操作失误或错误，以及计算机犯罪行为而导致的破 坏。 网络设备、设施应配备相应的安全保障措施，包括防盗、防毁、防电 磁干扰等，并定期或不定期地进展检查。 (2)对重要网络设备配备专用电源或电源爱护设备，保证其正常运行。 3.计算机的物理安全治理 (1)计算机指全部连接到公司信息网络系统的个人计算机、工作站、 效劳器、网络打印机及各种终端设备； (2)使用人员应爱惜计算机及与之相关的网络连接设备（包括网卡、 网线、集线器、路由器等），按规定操作，不得对其实施人为损坏； (3)计算机使用人员不得擅自更改网络设置，杜绝一切影响网络正常 运行的行为发生； (4)网络中的终端计算机在使用完毕后应准时关闭计算机和电源； (5)客户机使用人员不得利用计算机进展违法活动。 4.紧急状况 (1).火灾发生：切断电源，快速报警，依据火情，选择正确的灭火方 式灭火； (2)水灾发生：切断电源，快速报告有关部门，尽可能地弄清水灾缘 由，实行关闭阀门、排水、堵漏、防洪等措施； (3)地震发生：切断电源，避开引发短路和火灾； 5.网络系统安全治理 (1)网络系统安全的内涵包括四个方面： 1)机密性：确保信息不暴露给未授权的实体或进程； 2)完整性：未经授权的人不能修改数据，只有得到允许的人才能修改 数据，并且能够辨别出被篡改的数据。 3)可用性：得到授权的实体在合法的范围内可以随时随地访问数据， 网络的攻击者不能阻碍网络资源的合法使用。 4)可控性：可以掌握授权范围内的信息流向和行为方式。可审查性： 一旦消失安全问题，网络系统可以供应调查的依据和手段。接入Internet 公共信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安 全设备必需具有国家保密局、公安部、中国国家信息安全测评认证中心的 技术鉴定、销售许可和产品评测等资质，并符合国家的相关规定。 6.网络安全检测。 (1)为使网络长期保持较高的安全水平，网络治理员应当用网络安全 检测工具对网络系统进展安全性分析，准时发觉并修正存在的安全漏洞。 网络治理员在系统检测完成后，应编写检测报告，需具体记叙检测的对象、 手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。 网络反病毒。病毒的危害性巨大，对系统和信息的破坏程度具有不行 测性，计算机用户和系统治理员应针对详细状况实行预防病毒技术、检测 病毒技术和杀毒技术。 7.信息系统安全治理 (1)信息安全是指通过各种计算机、网络和密码技术，爱护信息在传 输、交换和存储过程中的机密性、完整性和真实性。详细包括以下几个方 面。 1)信息处理和传输系统的安全 系统治理员应对处理信息的系统进展具体的安全检查和定期维护，避 开由于系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损 失。 2)信息内容的安全 侧重于爱护信息的机密性、完整性和真实性。系统治理员应对所负责 系统的安全性进展评测，实行技术措施对所发觉的漏洞进展补救，防止窃 取、冒充信息等。 3)信息传播安全 要加强对信息的审查，防止和掌握非法、有害的信息通过我司的信息 网络系统传播，避开对国家利益、公共利益以及个人利益造成损害。 涉及商业机密文件必需采纳RMS权限治理效劳进展文件爱护，以免外 泄。 8.信息系统的内部治理 (1)各部门向网络系统提交信息前要作好查毒、杀毒工作，确保信息 文件无毒上载； (2)依据状况，实行网络病毒监测、查毒、杀毒等技术措施，提高网 络的整体抗病毒力量；部门负责的重要信息必需作好备份； （3）网站和栏目信息的负责部门必需对所公布信息制定审查制度， 对信息来源的合法性，公布范围，信息栏目维护的负责人等做出明确的规 定。信息公布后还要随时检查信息的完整性、合法性；如发觉被删改，应 准时报告综合