遵义市烟草公司
网络安全管理规范
第一章 总则
第一条 为进一步筑牢遵义市烟草公司企业信息网络基础平台,提高网络管理效率、故障响应及排除速度,确保网络稳定、安全、快速运营,现依据《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》等相关法律、法规,制定本管理规范。
第二条 本规范所称“企业信息网络基础平台”,包括了遵义市烟草公司[以下简称“市公司”]机关 及各分公司办公局域网络,是市公司“两烟”生产经营管理、专卖行政管理及综合管理的重要基础。
第三条 本规范适用于市公司企业网络覆盖区域以及所有网络用户。
第四条 本规范严格实施统一领导、分级负责的二级管理制度,即:市公司对全市网络安全实施统一领导、规划、指导和运维监督,县级分公司按照属地管理原则,负责本单位信息网络安全的监控与维护管理工作。
第二章 组织机构及职责
第五条 市公司成立网络与信息安全领导小组,由市公司主
要负责人担任组长,分管领导担任副组长,发展计划科、安全保卫科、办公室、纪审监察科等相关科室为成员。县级分公司也应成立相应的网络与信息安全领导小组,主要负责人为本单位网络信息安全工作第一责任人。
第六条 网络与信息安全领导小组的主要职责是,在上级网络与信息安全领导小组指导下,做好本单位网络信息安全的领导、组织、协调和应急。具体负责公司网络与信息安全的灾害应急的统一领导工作,负责处理公司网络(或网站)可能出现的各种突发事件,协调解决灾害处置工作中的重大问题。
第七条 网络与信息安全领导小组下设办公室(设在信息归口管理部门),具体负责公司网络信息安全工作的日常联络和事务处理。其主要职责为:
(一) 负责拟定网络信息安全管理制度、规范和标准文件,并组织实施;
(二) 负责拟定网络信息安全应急预案和整改措施,并组织实施;
(三) 负责本单位信息中心机房及网络设施设备的管理、维护;
(四) 负责所有信息系统软件、硬件的维护和管理,落实各单位信息安全管理责任。
(五) 负责数据安全系统(数据备份系统)的维护管理以及业务系统数据库的备份工作。
(六) 负责机关本部网络、企业网络主干线路(包括核心节点和到各节点线路)的运维和管理。
第八条 县级分公司局域网(以下简称:分支节点)网络管理员负责本单位分支节点(包括分支节点接入点和内部子接点线路)的运维和管理,是所辖分支节点网络安全的直接责任人。
第九条 市公司、县级分公司应指定专人负责本单位网络与信息安全管理工作,在本级信息归口管理部门指导下负责做好本本单位所有信息设备的管理工作,包括信息资产管理、运行维护、故障排除等;
第十条 市公司各业务信息系统管理员是所辖系统信息安全的直接责任人;数据安全管理员为系统信息安全的间接责任人。
第十一条各单位网络管理员是本单位网络运行安全的直接责任人;各业务系统操作员是网络安全运行的间接责任人。
第三章 系统安全管理
第十二条 未经本辖区网络管理员批准,任何人不得更改网络拓扑结构,网络设备布置,非业务系统服务器、路由器及交换机的配置和参数等;造成的不良后果自行承担。
第十三条 各部门信息化设备(含台式电脑、笔记本、打印机、传真机等)应由部门信息管理员负责全盘管理,专人使用,未经责任人许可,严禁他人使用。
第十四条 任何人不得利用网络技术手段进入未经许可的
计算机系统更改系统信息和用户数据;不得利用网络技术手段侵占用户合法利益。
第十五条 部门信息管理员定期对本部门计算机系统进行备份以防发生故障时进行恢复。
第十六条 业务系统数据由数据安全管理员及各业务系统管理员定期完成备份,确保发生意外情况时能及时恢复系统运行。
第十七条 公司办公楼用户应正确使用UPS电源。市公司机关UPS电源(面板为红色)仅供计算机设备使用,不得使用其他重载设备(饮水机、空调、暖风机、电炉等),避免因电压不稳损坏计算机、网络设备。
第四章 账号管理
第十八条 用户入网填写“用户入网申请登记表”,申请表应经部门领导签字后送交信息归口管理部门,获准后由网络管理员负责分配相应资源;注销用户时需要通知网络管理员。
第十九条 网络管理员负责本部所有网络设备的运行管理、资源分配、用户账户和安全管理,管理员口令严格保密。根据用户需求严格控制、合理分配用户权限。
第二十条 业务信息系统管理员负责所辖系统的资源分配,用户帐户口令、数据库口令、管理员口令等酌情分配,严格禁止将管理员口令给外单位或个人获知。
第二十一条 PC用户账号下的数据属于用户私有数据,当事人具有全部存取权限,管理员具有管理和备份存取权限。
第二十二条 网络管理员根据用户管理规则对用户账号执行管理,并对用户账号及数据的安全和保密负责。
第五章 人员培训
第二十三条 企业中所有操作电脑的人员,都要经过电脑的上岗培训,只有培训合格的人员,才有操作电脑的权限,要求设置屏保密码,避免别人的不合理侵入;
第二十四条 企业购买新的软件产品或自己开发的软件产品,安装使用前一定要生产厂家的专家技术人员来厂进行培训,只有经过培训合格者,方能取得此软件的操作权限。
第二十五条 市公司发展计划科、县级分公司信息归口管理部门分别负责组织开展对本单位各部门信息系统管理人员的培训工作。
第六章 病毒的防治管理
第二十六条 任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。
第二十七条 网络服务器的病毒防治由网络管理员负责,各部门的PC的病毒防治由本部门信息管理员(可兼职)负责。
第二十八条 网络用户发现杀毒软件无法清除的病毒、木马应
立即拔除网线、并向本部门信息管理员报告以便获得及时处理。 各部门应定期查毒,周期为每周5下午。网络管理员及时升级病毒服务器病毒库,并提示各部门信息管理员组织本部门用户对杀毒软件进行在线升级。
