目??錄

1 目的

2 適用范圍

3 職責(zé)與分工

4 定義

5 管理職責(zé)

6 網(wǎng)絡(luò)接入管理

7 信息系統(tǒng)終端安全管理

8 辦公終端運(yùn)行管理

9 移動(dòng)設(shè)備安全管理

10 辦公軟件管理

11 信息安全管理

12 附則

?

終端安全管理規(guī)范

1?目的

為了規(guī)范XXXX股份有限公司（以下簡(jiǎn)稱“XXXX”）信息系統(tǒng)終端、辦公終端、移動(dòng)設(shè)備的使用，保障管理信息系統(tǒng)穩(wěn)定運(yùn)行，提升信息安全管理水平，特制定本規(guī)范。

2?適用范圍

本規(guī)范適用于XXXX及所屬企業(yè)使用信息系統(tǒng)終端、辦公終端、移動(dòng)設(shè)備的所有人員；

3?職責(zé)與分工

a)?信息化安全工作領(lǐng)導(dǎo)小組

信息化安全工作領(lǐng)導(dǎo)小組是XXXX信息安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)及信息安全監(jiān)管機(jī)構(gòu)，主要職責(zé)包括：

（1）?負(fù)責(zé)批準(zhǔn)本規(guī)范，檢查并監(jiān)督本規(guī)范執(zhí)行情況，協(xié)調(diào)解決相關(guān)問題；

（2）?指導(dǎo)、協(xié)調(diào)和檢查各單位信息安全工作。

b)?信息安全管理單位

信息安全管理單位為領(lǐng)導(dǎo)小組下設(shè)辦公室，日常辦事機(jī)構(gòu)，主要職責(zé)包括：

（1）?負(fù)責(zé)編制和維護(hù)本規(guī)范，監(jiān)督和檢查本規(guī)范執(zhí)行情況；

（2）?負(fù)責(zé)牽頭組織落實(shí)本規(guī)范。?

c)?信息安全保障單位

信息安全保障單位包括各信息系統(tǒng)建設(shè)部門、運(yùn)行維護(hù)及保障部門，主要職責(zé)包括：

（1）?負(fù)責(zé)執(zhí)行本規(guī)范，組織開展各信息系統(tǒng)的信息安全保障工作；

（2）?負(fù)責(zé)終端軟硬件安裝、終端安全策略制定、終端網(wǎng)絡(luò)接入審核、終端安全檢查及日常監(jiān)控、終端日常維護(hù)及技術(shù)支持等工作。

d)?信息通報(bào)工作聯(lián)系人

（1）?負(fù)責(zé)落實(shí)和執(zhí)行本規(guī)范；

（2）?負(fù)責(zé)部門終端的信息安全管理工作。

e)?資產(chǎn)管理員

（1）?負(fù)責(zé)落實(shí)和執(zhí)行本規(guī)范；

（2）?負(fù)責(zé)部門終端的資產(chǎn)管理工作。

f)?終端所屬部門

（1）?負(fù)責(zé)本部門終端的物理安全和信息安全；

（2）?負(fù)責(zé)本部門與終端安全有關(guān)的安全策略的落實(shí)與執(zhí)行。

4?定義

信息系統(tǒng)終端，是指包括：生產(chǎn)系統(tǒng)、辦公系統(tǒng)、門戶系統(tǒng)、財(cái)務(wù)系統(tǒng)、資產(chǎn)系統(tǒng)等，用于支撐XXXX日常管理的計(jì)算機(jī)信息系統(tǒng)設(shè)備；

辦公終端，是指包括：電腦、打印機(jī)、掃描儀等，用于日常辦公的信息通信等設(shè)備；

移動(dòng)設(shè)備，是指包括：智能手機(jī)、移動(dòng)電話、平板電腦等，用于日常辦公的信息通信等設(shè)備；

辦公軟件，是指包括：辦公自動(dòng)化、電子文檔閱讀和編輯等用于日常辦公的計(jì)算機(jī)軟件。

5?管理職責(zé)

a)?信息安全保障單位在信息安全管理單位的指導(dǎo)下，進(jìn)行終端信息安全管理的規(guī)則制定、實(shí)施指導(dǎo)、監(jiān)督檢查和技術(shù)支持服務(wù)等工作；

b)?終端的資產(chǎn)管理和信息安全管理工作由所屬部門負(fù)責(zé)，所屬部門的資產(chǎn)管理員和信息通報(bào)工作聯(lián)系人負(fù)責(zé)落實(shí)和執(zhí)行有關(guān)規(guī)定；

c)?終端所屬部門應(yīng)確定終端的資產(chǎn)所有者、資產(chǎn)管理責(zé)任人、信息安全管理責(zé)任人及使用人；

d)?分配給員工個(gè)人使用的終端，其資產(chǎn)所有者、資產(chǎn)管理責(zé)任人、使用者及系統(tǒng)管理員為此員工；其信息安全管理責(zé)任人為此員工。員工在領(lǐng)用辦公終端時(shí)，須閱讀本規(guī)范；

e)?各部門配備的公用終端和外部人員領(lǐng)用的終端，其資產(chǎn)所有者、資產(chǎn)管理責(zé)任人及系統(tǒng)管理員為此部門的資產(chǎn)管理員；其信息安全管理責(zé)任人為此資產(chǎn)管理員；

f)?外部人員自帶的終端設(shè)備，其資產(chǎn)所有者、資產(chǎn)管理責(zé)任人、使用者及系統(tǒng)管理員為外部人員本人，其信息安全管理責(zé)任人為信息通報(bào)工作聯(lián)系人。

6?網(wǎng)絡(luò)接入管理

a)?XXXX的生產(chǎn)網(wǎng)、辦公網(wǎng)需要進(jìn)行網(wǎng)絡(luò)隔離。對(duì)終端設(shè)備需要采取接入控制措施，以限制系統(tǒng)風(fēng)險(xiǎn)在網(wǎng)內(nèi)的任意擴(kuò)散，從而有效控制安全事件和安全風(fēng)險(xiǎn)的傳播；

b)?各單位采購終端設(shè)備應(yīng)是當(dāng)前主流配置，應(yīng)配備正版操作系統(tǒng)；

c)?終端設(shè)備接入XXXX網(wǎng)絡(luò)，應(yīng)向信息安全保障單位申請(qǐng)，審核通過后，由信息安全保障單位負(fù)責(zé)終端設(shè)備統(tǒng)一接入；

d)?各類終端設(shè)備的網(wǎng)絡(luò)接入和物理安全必須符合下列要求：

（一）?信息安全保障單位為每臺(tái)終端設(shè)備分配唯一的網(wǎng)絡(luò)接入端口和IP地址，終端設(shè)備不得以各種方式接入未分配給該電腦的網(wǎng)絡(luò)接入端口和IP地址；

（二）?終端設(shè)備網(wǎng)絡(luò)設(shè)置由信息安全保障單位負(fù)責(zé)，用戶不得擅自改變終端設(shè)備的機(jī)器名、工作組名、IP地址網(wǎng)絡(luò)設(shè)置；

（三）?對(duì)于除生產(chǎn)網(wǎng)以外的終端設(shè)備，通過接入認(rèn)證控制措施，對(duì)終端設(shè)備網(wǎng)絡(luò)接入的合法性進(jìn)行控制；

（四）?終端設(shè)備必須粘貼相應(yīng)的明顯的信息資產(chǎn)標(biāo)識(shí)后，才被允許接入XXXX網(wǎng)絡(luò)；

（五）?對(duì)于專門加工處理保密類數(shù)據(jù)的專用業(yè)務(wù)操作終端需粘貼相應(yīng)的信息資產(chǎn)標(biāo)識(shí)。

e)?外來人員自帶終端設(shè)備的安全管理，應(yīng)依據(jù)《外部合作伙伴信息安全管理規(guī)范》執(zhí)行；

f)?生產(chǎn)系統(tǒng)終端設(shè)備安裝位置調(diào)整時(shí)，應(yīng)及時(shí)向信息安全保障單位提出變更申請(qǐng)。用戶擅自調(diào)整電腦安裝位置，一經(jīng)發(fā)現(xiàn)將斷開網(wǎng)絡(luò)連接，提交變更申請(qǐng)后恢復(fù)接入。

7?信息系統(tǒng)終端安全管理

a)?生產(chǎn)網(wǎng)終端設(shè)備原則上不允許使用移動(dòng)介質(zhì)；

b)?信息安全保障單位應(yīng)記錄和管理終端設(shè)備的IP地址使用情況；

c)?接受來自外部的軟件或資料時(shí)，應(yīng)首先進(jìn)行防病毒處理；

d)?禁止在沒有采用安全保護(hù)機(jī)制的系統(tǒng)終端上存儲(chǔ)重要數(shù)據(jù)，在存儲(chǔ)重要數(shù)據(jù)的系統(tǒng)終端至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫口令、屏幕保護(hù)等防護(hù)措施；

e)?員工完成應(yīng)用系統(tǒng)的操作時(shí)，應(yīng)及時(shí)退出系統(tǒng)，并將屏幕鎖定；

f)?不得進(jìn)行計(jì)算機(jī)病毒的制作和傳播。

8?辦公終端運(yùn)行管理

a)?信息安全保障單位為辦公終端提供統(tǒng)一維護(hù)，信息安全保障單位應(yīng)設(shè)立故障受理電話，安排專人為用戶提供及時(shí)、高效的維護(hù)服務(wù)；

b)?任何人不得利用辦公終端從事任何與工作無關(guān)的事情，亦不得在辦公終端中安裝與辦公無關(guān)的軟件；

c)?禁止通過郵件、微信、QQ等通訊工具或U盤等移動(dòng)介質(zhì)對(duì)外傳播XXXX涉密文件；

d)?用戶禁止瀏覽任何不健康的網(wǎng)站和下載不健康的網(wǎng)上信息。對(duì)于來路不明的郵件，不得隨意打開，應(yīng)當(dāng)予以刪除處理；

e)?用戶禁止在辦公終端上進(jìn)行WIFI共享，禁止擅自增加網(wǎng)絡(luò)設(shè)備，禁止將辦公電腦接入生產(chǎn)網(wǎng)，不應(yīng)在辦公電腦上設(shè)置文件共享；

f)?用戶應(yīng)定期對(duì)終端中的文件、郵件、數(shù)據(jù)等進(jìn)行整理和備份，并及時(shí)清理過期資料，釋放系統(tǒng)存儲(chǔ)空間，使終端處于良好的運(yùn)行狀態(tài)；

g)?用戶下班后或長(zhǎng)時(shí)間離開電腦，應(yīng)關(guān)閉電腦電源和插線排；

h)?辦公終端使用中發(fā)生故障或其他異?，F(xiàn)象，用戶應(yīng)及時(shí)通知信息安全保障單位，由信息安全保障單位統(tǒng)一安排維修。不得私自聯(lián)系他人處理，由此造成的一切后果將由當(dāng)事人承擔(dān)；

i)?辦公終端原包裝中的配件、光盤、軟件使用許可證書、保修卡等隨機(jī)附帶資料，使用者應(yīng)妥善保管，以備維修時(shí)使用。

9?移動(dòng)設(shè)備安全管理

a)?移動(dòng)設(shè)備的管理責(zé)任人必須將其置于有物理保護(hù)的場(chǎng)所或容器里，特別是在出差時(shí)放置在飯店房間、會(huì)議中心、汽車或其它交通工具等情況下，以防止丟失、損壞和被盜；

b)?生產(chǎn)網(wǎng)上使用的移動(dòng)設(shè)備不得帶出XXXX使用；

c)?如需攜帶移動(dòng)設(shè)備進(jìn)入機(jī)房，需遵守《機(jī)房安全管理規(guī)范》里的相關(guān)規(guī)定。

10?辦公軟件管理

a)?信息安全保障單位負(fù)責(zé)統(tǒng)籌管理各類軟件的使用需求，并負(fù)責(zé)軟件的統(tǒng)一采購、管理及維護(hù)；

b)?用戶應(yīng)加強(qiáng)版權(quán)意識(shí)，不得安裝有法律風(fēng)險(xiǎn)的軟件或具有以下行為：

（一）復(fù)制或者部分復(fù)制著作權(quán)人的軟件的；

（二）向公眾發(fā)行、出租、通過信息網(wǎng)絡(luò)傳播著作權(quán)人的軟件的；

（三）故意避開或者破壞著作權(quán)人為保護(hù)其軟件著作權(quán)而采取的技術(shù)措施的；

（四）故意刪除或者改變軟件權(quán)利管理電子信息的；

（五）轉(zhuǎn)讓或者許可他人行使著作權(quán)人的軟件著作權(quán)的。

c)?用戶不得向任何外部單位或個(gè)人提供XXXX購買的正版軟件。因向其他單位或個(gè)人提供XXXX購買的正版軟件而造成版權(quán)糾紛的，應(yīng)追究當(dāng)事人的相關(guān)責(zé)任。

11?信息安全管理

a)?駐場(chǎng)外包服務(wù)商或外部協(xié)作單位接入辦公網(wǎng)的，應(yīng)簽訂相關(guān)保密協(xié)議方可接入；

b)?終端由信息安全保障單位統(tǒng)一安裝防病毒軟件，不得隨意卸載網(wǎng)絡(luò)殺毒軟件和其他系統(tǒng)安全管理軟件。操作系統(tǒng)應(yīng)及時(shí)更新最新的補(bǔ)丁；

c)?用戶應(yīng)對(duì)操作系統(tǒng)、各管理信息系統(tǒng)的用戶賬號(hào)設(shè)置強(qiáng)口令，嚴(yán)禁設(shè)置弱口令，口令應(yīng)包含：字母、數(shù)字或特殊字符，不得少于8位?？诹钣捎脩糇孕斜９?、定期更換；

d)?終端在日常使用中，用戶應(yīng)設(shè)置屏幕保護(hù)密碼，暫時(shí)離開辦公位置，應(yīng)立即退出已登錄的、正在使用的管理信息系統(tǒng)。任何人未經(jīng)授權(quán)，不得使用他人的終端設(shè)備；

e)?終端設(shè)備上發(fā)現(xiàn)病毒、木馬軟件等惡意軟件，或出現(xiàn)疑似網(wǎng)絡(luò)安全事件時(shí)，需立即斷開網(wǎng)絡(luò)連接，必要時(shí)可關(guān)機(jī)處理；或與本部門信息通報(bào)工作聯(lián)系人聯(lián)系，由其進(jìn)行評(píng)估與處理，也可直接與信息安全保障單位聯(lián)系；

f)?用戶使用不當(dāng)導(dǎo)致的病毒感染及傳播，信息安全管理單位將視情節(jié)的嚴(yán)重性，追究相關(guān)當(dāng)事人的責(zé)任；

g)?接入終端設(shè)備使用者不得制作、復(fù)制、發(fā)布、傳播含有下列內(nèi)容的信息：

（一）反對(duì)憲法所確定的基本原則的；

（二）危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的；

（三）損害國家榮譽(yù)和利益的；

（四）煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；

（五）破壞國家宗教政策，宣揚(yáng)邪教和封建迷信的；

（六）散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；

（七）散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；

（八）侮辱或者誹謗他人，侵害他人合法權(quán)益的；

（九）含有法律、行政法規(guī)禁止的其他內(nèi)容的；

（十）含有其他違反XXXX規(guī)定的內(nèi)容。

h)?對(duì)于接入生產(chǎn)網(wǎng)終端設(shè)備，需采取有效措施，以保護(hù)終端設(shè)備中敏感數(shù)據(jù)的安全，使敏感信息不被泄露、竊取、篡改和破壞；

i)?辦公終端不得啟用任何未經(jīng)許可的網(wǎng)絡(luò)協(xié)議，不得隨意更改辦公終端的IP地址，不得在XXXX辦公場(chǎng)所內(nèi)私自撥號(hào)上網(wǎng)；

j)?終端設(shè)備必須啟用安全策略，進(jìn)行安全設(shè)置,關(guān)閉不必要的應(yīng)用服務(wù)，禁用或刪除不必要的帳戶，及時(shí)更新安全補(bǔ)丁，及時(shí)升級(jí)防病毒軟件，及時(shí)更新防病毒庫，強(qiáng)化網(wǎng)絡(luò)瀏覽器的安全配置等操作；

k)?各單位的公用終端只限本單位的員工使用，其他人員（特別是外部人員）未經(jīng)允許不得使用；內(nèi)部人員不得在公用終端上處理敏感信息。通過公用網(wǎng)絡(luò)打印機(jī)打印的資料，應(yīng)立即從打印機(jī)上取走；

l)?與終端設(shè)備有關(guān)的移動(dòng)介質(zhì)的管理規(guī)定，可參見《移動(dòng)介質(zhì)管理規(guī)范》。

12?附則

a)?各單位可根據(jù)本規(guī)范制定實(shí)施細(xì)則，并報(bào)XXXX信息安全管理單位備案；

b)?本規(guī)范由XXXX信息安全管理單位負(fù)責(zé)解釋，自下發(fā)之日起執(zhí)行。

?