中國(guó)石化桌面系統(tǒng)安全管理規(guī)范
1 目的
為保證中國(guó)石化桌面系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行,減少或降低因病毒、蠕蟲(chóng)、黑客等因素對(duì)桌面系統(tǒng)產(chǎn)生的破壞,特制定本安全管理規(guī)范。
2 范圍
本規(guī)范適用范圍為中國(guó)石化所有桌面系統(tǒng)。
3 術(shù)語(yǔ)
桌面工程師:是指提供桌面系統(tǒng)檢測(cè)、維修、故障處理等服務(wù)的工程技術(shù)人員。
4 安全要求
第一條 公司所有桌面系統(tǒng)必須安裝正版軟件,不得私自安裝盜版軟件;
第二條 公司所有桌面系統(tǒng)的命名應(yīng)符合公司的計(jì)算機(jī)命名規(guī)范;
第三條 公司所有桌面系統(tǒng)的用戶(hù)密碼設(shè)置必須符合公司密碼規(guī)范的要求;
第四條 公司所有桌面系統(tǒng)必須設(shè)置屏幕保護(hù)程序密碼;
第五條 公司所有桌面系統(tǒng)應(yīng)加入公司的域管理模式,正確使用公司的各項(xiàng)資源。
第六條 公司所有桌面系統(tǒng)應(yīng)正確安裝防病毒系統(tǒng),必須及時(shí)更新病毒特征庫(kù)和進(jìn)行定期的病毒掃描(一周一次);
第七條 公司所有桌面系統(tǒng)應(yīng)及時(shí)安裝和升級(jí)系統(tǒng)及應(yīng)用軟件補(bǔ)丁,并與公司發(fā)布的安全補(bǔ)丁保持一致。
第八條 公司所有桌面系統(tǒng)不得私自裝配并使用可讀寫(xiě)光驅(qū)、磁帶機(jī)、磁光盤(pán)機(jī)和usb硬盤(pán)等外置存儲(chǔ)設(shè)備。
第九條 公司所有桌面系統(tǒng)不得私自轉(zhuǎn)借給他人使用。
第十條 公司的移動(dòng)桌面系統(tǒng)必須設(shè)置bios開(kāi)機(jī)密碼,如有硬盤(pán)密碼設(shè)置功能,則必須使用;
第十一條 公司員工的移動(dòng)桌面系統(tǒng)在員工外出辦公攜帶時(shí),不得使其處于無(wú)人看管狀態(tài);
第十二條 公司桌面系統(tǒng)系統(tǒng)不得私自安裝與工作無(wú)關(guān)的軟件,掃描軟件或黑客攻擊工具。
第十三條 公司桌面系統(tǒng)應(yīng)關(guān)閉并刪除iis,telnet以及ftp等服務(wù);
第十四條 未經(jīng)公司it服務(wù)部門(mén)批準(zhǔn),員工不得在公司使用調(diào)制解調(diào)器撥號(hào)、上網(wǎng);
第十五條 公司員工不得向外發(fā)送涉及公司秘密、機(jī)密和絕密的信息;確需傳送的,在經(jīng)批準(zhǔn)后需采用加密手段對(duì)信息進(jìn)行加密后方可對(duì)外發(fā)送;
第十六條 公司員工不得進(jìn)行大規(guī)模的群發(fā)郵件,如確實(shí)有群發(fā)的需求,必須在非辦公時(shí)間進(jìn)行郵件大規(guī)模群發(fā);
第十七條 公司員工不得利用公司網(wǎng)絡(luò)資源訪問(wèn)與公司業(yè)務(wù)無(wú)關(guān)的網(wǎng)站,下載與工作無(wú)關(guān)的文件;
第十八條 公司員工不得使用即時(shí)通信軟件如msn,qq等發(fā)送涉及公司秘密、機(jī)密和絕密的信息。
5 報(bào)告和處理
第十九條 在使用桌面系統(tǒng)的過(guò)程中,如果發(fā)現(xiàn)設(shè)備具有可疑情況,或發(fā)生病毒和安全事件,應(yīng)及時(shí)向公司it服務(wù)部門(mén)進(jìn)行匯報(bào);
第二十條 公司it服務(wù)部門(mén)在接到桌面系統(tǒng)問(wèn)題報(bào)告后,應(yīng)根據(jù)公司的響應(yīng)時(shí)間要求,安排桌面工程師進(jìn)行及時(shí)地處理,并對(duì)處理的問(wèn)題、過(guò)程以及辦法進(jìn)行記錄。
6 監(jiān)督和檢查
第二十一條 各部門(mén)在使用桌面系統(tǒng)的安全管理方面應(yīng)接受公司it服務(wù)部門(mén)的監(jiān)督和檢查,對(duì)在檢查中提出的問(wèn)題要及時(shí)改進(jìn)。
第二十二條 公司it服務(wù)部門(mén)應(yīng)組織人員定期對(duì)公司桌面系統(tǒng)的使用情況進(jìn)行有效監(jiān)督和管理,對(duì)違反管理規(guī)定的行為要及時(shí)指正,違反嚴(yán)重者要及時(shí)上報(bào),并協(xié)調(diào)相應(yīng)部門(mén)予以處罰。
第二十三條 公司it服務(wù)部門(mén)需定期對(duì)檢查情況進(jìn)行通告,促進(jìn)公司桌面系統(tǒng)的使用安全。
7 附則
7.1 文檔信息
第二十四條 本策略由公司信息安全辦公室制定,并負(fù)責(zé)解釋和修訂。由公司信息安全工作組討論通過(guò),發(fā)布執(zhí)行。
第二十五條 本策略自發(fā)布之日起執(zhí)行。
7.2 其他信息