雅戈尔集团－计算机信息系统安全管理

雅戈尔集团－计算机信息系统安全管理内容摘要：

1、计算机信息系统安全管理（草稿）第一章 总则第一条 为加强对雅戈尔集团(下称:集团)计算机信息系统的安全保护，维护及保障集团各信息系统软硬件平台高可用性及高稳定性的安全运行，根据中华人民共和国计算机信息系统安全保护条例 、 中华人民共和国计算机信息网络国际联网管理暂行规定等规定，结合集团实际，制定计算机信息系统安全管理制度。 第二条 本制度所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含有线、无线等网络，下同）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括:集团各种业务的软件应用系统(如:)、系统软件(8/2000/003、S 等) 2、、服务器、网络交换机、路由器、局域网、互联网等。 第三条 雅戈尔集团及下属全资子公司、控股公司范围内计算机信息系统的安全保护管理，适用本制度。 第四条 雅戈尔集团信息中心(下称:信息中心)主管全集团计算机信息系统安全保护管理工作。 信息中心具体负责服装范围内（雅戈尔服饰公司除外）及纺织城部分企业计算机信息系统安全保护管理工作。 雅戈尔服饰公司电脑部负责服饰公司范围内计算机信息系统安全保护管理工作。 日中纺电脑部负责日中纺范围内计算机信息系统安全保护管理工作。 其余各企业由其相关职能部门，在各自职责范围内负责计算机信息系统安全保护管理的有关工作,如缺少相关职能部门可由信息中心负责管理。 第五条 信息中心作为信 3、息化行政主管部门，应当与其集团所属各企业有关职能部门建立协调合作管理机制，共同做好计算机信息系统安全保护管理工作。 第六条 信息中心及集团所属各企业有关职能部门在履行管理职责过程中，应当保护计算机信息系统使用部门和个人的应有权益，保守其秘密。 计算机信息系统使用部门和个人应当协助有关职能部门做好计算机信息系统的安全保护管理工作。 在有关职能部门依制度履行管理职责时，使用部门和个人应当如实提供本部门计算机信息系统的技术资料。 第七条 计算机信息系统的安全保护工作，重点维护下列涉及集团商业机密、业务数据、财务信息、设计图纸、专利技术等重要领域和部门（以下简称重点安全保护部门）的计算机信息系统的安全：（一） 4、各企业财务部门；（二）各企业内外销售部门；（三）设计中心、负责技术保密及专利的部门；（四）有关企业共公关系部门；（五）办公室、证券部等涉及集团行政机密信息管理部门； （六）信息中心、各电脑部等负责计算机信息安全、保障及管理互联网和局域网出口的 门。 第二章 计算机信息系统使的安全管理第八条 计算机信息系统使用企业应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度，健全计算机信息系统安全保障体系，保障本企业计算机信息系统安全。 第九条 计算机信息系统使用企业应当确定本企业的计算机信息系统安全管理责任人。 安全管理责任人应履行下列职责：（一）组织宣传计算机 5、信息系统安全保护管理方面的法律、法规、规章和有关政策；（二）组织实施本企业计算机信息系统安全保护管理制度和安全保护技术措施；（三）组织本企业计算机从业人员的安全教育和培训；（四）定期组织检查计算机信息系统的安全运行情况，及时排除安全隐患。 第十条 计算机信息系统使用企业如未配备本企业的计算机信息系统安全技术人员应交由信息中心管理。 安全技术人员应履行下列职责：（一）严格执行集团计算机信息系统安全保护技术措施；（二）对计算机信息系统安全运行情况进行检查测试，及时排除安全隐患；（三）计算机信息系统发生安全事故或违法犯罪案件时，应立即向主管领导报告，并采取妥善措施保护现场，避免危害的扩大；（四）负责收集 6、本企业的网络拓扑结构图及信息系统的其他相关技术资料。 第十一条 重点安全保护部门应当建立并执行以下安全保护管理制度：（一）计算机机房安全管理制度；（二）安全管理责任人、安全技术人员的安全责任制度；（三）网络安全漏洞检测和系统升级管理制度；（四）操作权限管理制度；（五）用户登记制度；（六）信息发布审查、登记、保存、清除和备份制度；（七）信息保密制度；（八）信息系统安全应急处置制度；（九）其他相关安全保护管理制度。 第十二条 重点安全保护部门应当落实以下安全保护技术措施：（一）系统重要部分的冗余措施；（二）重要信息的异地备份措施和保密措施；（三）计算机病毒和有害数据防治措施；（四）网络攻击防范和追踪措 7、施；（五）安全审计和预警措施；（六）信息群发限制措施；（七）其他相关安全保护技术措施。 第十三条 重点安全保护部门的安全管理责任人和安全技术人员，应当经过计算机信息系统安全知识培训。 第十四条 重点安全保护部门应当对其主服务器输入输出数据进行 24 小时监控，发现异常数据应注意保护现场，并同时报告有关职能部门。 第十五条 计算机信息系统使用企业发现计算机信息系统中发生安全事故和违法犯罪案件时，应在 24 小时内向主部管门及主管领导报告，并做好运行日志等原始记录的现场保留工作。 涉及重大安全事故和违法犯罪案件的，经主部管门及主管领导批示后向公安机关报案。 第十七条 计算机信息系统发生突发性事件或存在安全隐 8、患，可能危及计算机信息系统安全或损害集团利益时，有关职能部门应当及时通知计算机信息系统使用企业、部门采取安全保护措施，并有权对使用企业、部门采取暂停联网、停机检查、备份数据等应急措施，计算机信息系统使用企业、部门应当予以配合。 突发性事件或安全隐患消除之后，相关职能部门应立即解除暂停联网或停机检查措施，恢复计算机信息系统的正常工作。 第三章 计算机信息系统安全检测第十八条 重点安全保护部门的计算机信息系统进行新建、改建、扩建的，其安全保护设计方案应报信息中心审批及备案。 系统建成后，重点安全保护部门应进行 1 至 6 个月的试运行,由信息中心进行安全体系检测，检测合格的，系统方能投入正式运行。 检测合 9、格报告书信息中心备案。 涉密计算机信息系统的建设、检测等按照信息中心有关规定执行。 第十九条 计算机信息系统安全保障体系检测包括以下内容：（一）安全保护管理制度和安全保护技术措施的制定和执行情况；（二）计算机硬件性能和机房环境；（三）计算机系统软件和应用软件的可靠性；（四）技术测试情况和其他相关情况。 信息中心根据计算机信息系统安全保护的各企业特点，会同有关部门制定并公布重点部门计算机信息系统安全保障体系的安全要求规范。 第二十条 重点安全保护部门对计算机信息系统进行设备更新或改造时，对安全保障体系产生直接影响的，应当由信息中心对受影响的部分进行检测，确保其符合该行业计算机信息系统安全保障体系的安全要 10、求规范。 第二十一条 重点安全保护部门应加强对计算机信息系统的安全保护，定期由信息中心或各企业相关职能部门对计算机信息系统进行安全保障体系检测，并将检测合格报告书报俭息中心备案。 对检测不合格的，重点安全保护部门应当按照该部门计算机信息系统安全保障体系的安全要求规范进行整改，整改后达到要求的，系统方能继续运行。 第二十二条 信息中心会同有关部门，按照集团制定安全要求规范，对重点安全保护部门的计算机信息系统安全保障体系进行检查。 检查内容包括：（一）安全保护管理制度和安全保护技术措施的落实情况；（二）计算机信息系统实体的安全；（三）计算机网络通讯和数据传输的安全；（四）计算机软件和数据库的安全；（五）计 11、算机信息系统安全审计状况和安全事故应急措施的执行情况；（六）其他计算机信息系统的安全情况。 第二十三条 信息中心等有关职能部门发现重点安全保护部门的计算机信息系统存在安全隐患，必需对其安全保障体系进行检测。 经检测发现存在安全问题的，重点安全保护部门应当立即予以整改。 第二十四条 信息中心等有关职能部门进行计算机信息系统安全检测时，应保障被检测部门各种活动的正常进行，并不得泄露其秘密。 第四章 计算机信息网络公共秩序管理第二十五条 接入集团局域网部门及个人必须使用固定的 址联网，并按规定落实安全保护技术措施。 第二十六条 任何部门和个人不得从事下列危害计算机信息网络安全的活动：（一）未经授权查阅他人电 12、子邮箱，或者以赢利和非正常使用为目的，未经允许向第三方公开他人电子邮箱地址；（二）故意向他人发送垃圾邮件，或者冒用他人名义发送电子邮件；（三）利用计算机信息网络传播有害手机短信；（四）侵犯他人隐私、窃取他人帐号、进行网上诈骗活动；（五）未经信息中心同意，扫描集团局域网络信息漏洞；（六）利用计算机信息网络鼓动公众恶意评论他人或公开发布他人隐私，或者暗示、影射对他人进行人身攻击；（七）其他危害计算机信息网络安全的行为。 第二十七条 发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的，信息网络的使用部门和个人应当采取技术措施予以防护和制止，并在 24 小时内向信息中心报告。 对不 13、采取技术措施予以防护和制止的信息网络使用部门和个人，信息中心有权责令其采取技术措施，或主动采取有关技术措施予以防护和制止。 第二十八条 信息中心对计算机信息网络的安全状况、公共秩序状况进行经常性监测，发现危害信息安全和危害共公秩序的事件应及时进行处理，并及时通知有关部门和个人予以整改。 第五章 处罚办法第二十九条 违反本条例规定，有下列行为之一的，给予警告，责令限期改正，并可处以罚款,罚款数额跟据各企业有关规定；情节严重的，可以给予停机整顿的或行政处罚：（一）计算机信息系统使用企业、部门未建立安全保护管理制度或未落实安全保护技术措施，危害计算机信息系统安全的；（二）计算机信息系统使用企业、部门不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件，造成危害的；（三）重点安全保护神门的计算机信息系统未经检测或检测不合格即投入正式运行的。 第三十条 计算机信息系统使用全业部门的安全管理责任人和安全技术人员不履行本办法规定的职责，造成安全事故或重大损害的，给予警告，并可建议其所在企业按照相关规定给予其行政处分。 第三十一条 对违反本条例规定的行为，涉及其触犯有关法律法规的,构成犯罪的，可由各企业依法追究刑事责任。 起草人：集团信息中心 江 其2005。