【原】福利分享:企業(yè)信息中心各種制度文檔大全

企業(yè)信息中心各崗位職責(zé)大全：

                                          企業(yè)信息中心管理職責(zé)

1.擬定和執(zhí)行集團公司的信息化戰(zhàn)略；

2.負責(zé)集團各板塊信息化建設(shè)的統(tǒng)籌規(guī)劃及網(wǎng)絡(luò)、信息安全基礎(chǔ)架構(gòu)的設(shè)計和升級；

3.根據(jù)集團的發(fā)展需求，適時引進信息化管理軟件，如ERP企業(yè)資源計劃管理系統(tǒng)、HR人力資源管理系統(tǒng)、檔案管理系統(tǒng)、等，以及對現(xiàn)行的各信息系統(tǒng)的運行管理和維護；

4.負責(zé)集團相關(guān)信息化管理軟件的開發(fā)；

5.負責(zé)開展集團信息化培訓(xùn)工作，提高集團員工信息化水平；

6.負責(zé)集團各板塊信息系統(tǒng)運行數(shù)據(jù)的監(jiān)控，出具數(shù)據(jù)分析報告，為集團考核提供依據(jù)；

7.負責(zé)集團各板塊網(wǎng)絡(luò)建設(shè)及信息安全的管理；

8.負責(zé)制定及控制集團信息化預(yù)算，合理調(diào)配信息化資源，公司相關(guān)信息化設(shè)備的選型、維護、驗收；

9.負責(zé)集團各板塊信息化系統(tǒng)相關(guān)標準管理和規(guī)章制度的制定、補充、修改、檢查并組織考核；

10.責(zé)集團及各分子公司信息機房的規(guī)劃、建設(shè)、管理、巡檢；負責(zé)集團各板塊各應(yīng)用系統(tǒng)相關(guān)軟件、硬件、數(shù)據(jù)庫的維護和升級等日常工作；

11.負責(zé)集團信息化技術(shù)團隊的建設(shè)與管理；

12.用信息化的手段收集、分析、整理集團各板塊運營數(shù)據(jù)，管理過程數(shù)據(jù)化監(jiān)控，以數(shù)據(jù)指導(dǎo)管理，設(shè)定企業(yè)內(nèi)部風(fēng)險預(yù)警機制，為集團高層提供決策信息支持；

13.推動集團數(shù)字化建設(shè)，實現(xiàn)管理全過程信息化、標準化、無紙化。

                               信息中心總監(jiān)崗位職責(zé)

1.擬定和執(zhí)行企業(yè)信息化戰(zhàn)略

      負責(zé)制訂集團信息化中長期戰(zhàn)略規(guī)劃、當年滾動實施計劃，制定集團信息化管理制度、制定信息化標準規(guī)范；負責(zé)集團信息網(wǎng)絡(luò)規(guī)劃、建設(shè)組織、制定IT基礎(chǔ)資源（硬、軟件）運行流程、制定網(wǎng)絡(luò)安全、信息安全措施并組織實施，實現(xiàn)IT資源集約管理；負責(zé)集團集成信息系統(tǒng)總體構(gòu)架，構(gòu)建集團信息化實施組織，結(jié)合業(yè)務(wù)流程重組、項目管理實施企業(yè)集成信息系統(tǒng)。

2.信息化系統(tǒng)開發(fā)與運行

      根據(jù)集團發(fā)展戰(zhàn)略和實際需要，組織實施集團信息化系統(tǒng)、網(wǎng)站的運行管理和維護與更新，協(xié)助信息披露工作；負責(zé)集團辦公自動化設(shè)備（計算機及其軟件、打印機）的維護、管理工作。

3.集團信息資源開發(fā)

     根據(jù)集團發(fā)展戰(zhàn)略和信息化戰(zhàn)略要求，負責(zé)企業(yè)內(nèi)外部信息資源開發(fā)利用。導(dǎo)入知識管理，牽頭組織建立集團產(chǎn)業(yè)政策信息資源、競爭對手信息資源、供應(yīng)商信息資源、企業(yè)客戶信息資源、企業(yè)基礎(chǔ)數(shù)據(jù)資源五大信息資源庫。

4.建立集團信息化執(zhí)行標準

      據(jù)集團信息化戰(zhàn)略和企業(yè)實情，建立集團信息化執(zhí)行標準、制定全員信息化培訓(xùn)計劃。

5.各信息化業(yè)務(wù)系統(tǒng)實施

      負責(zé)集團信息化項目的論證、引進（或開發(fā)）與實施，組織業(yè)務(wù)系統(tǒng)與企業(yè)狀況之間關(guān)系的分析，確保集團各信息化系統(tǒng)的順利運行。

6.日常管理

      主持本部門日常全面工作，編制本部門年、月工作計劃及資金計劃，總結(jié)年、月度工作；負責(zé)本部門員工考核。

7.其他

     完成領(lǐng)導(dǎo)交辦的其他工作。

                     系統(tǒng)工程師運維工程師崗位職責(zé)

1.負責(zé)集團服務(wù)器的搭建、維護等工作；

2.負責(zé)集團服務(wù)器的日常管理、維護、保養(yǎng)、檢查及日志的監(jiān)控與分析；

3.負責(zé)集團各項應(yīng)用系統(tǒng)運行部署、網(wǎng)絡(luò)設(shè)備調(diào)試、服務(wù)器管理等工作；

4.負責(zé)各類應(yīng)用系統(tǒng)的故障分析及錯誤排除，編制匯總故障、問題，定期提交匯總報告; 

5.負責(zé)集團信息化項目建設(shè)，包括需求調(diào)研、產(chǎn)品選型、實施、培訓(xùn)和技術(shù)支持工作；

6.負責(zé)各信息化系統(tǒng)數(shù)據(jù)庫的備份、恢復(fù)及數(shù)據(jù)庫的監(jiān)控等； 

7.協(xié)同部門同事解決系統(tǒng)故障問題及用戶日常問題；

8.其他：領(lǐng)導(dǎo)交辦的任務(wù)。

                          IT工程師崗位職責(zé)

1.負責(zé)集團公司計算機、網(wǎng)絡(luò)、打印機及相關(guān)弱電設(shè)備的安裝、調(diào)試、維修、維護工作； 

2.負責(zé)常用辦公軟件的安裝調(diào)試及故障維護；  

3.負責(zé)集團公司電話相關(guān)技術(shù)調(diào)試工作；  

4.執(zhí)行公司信息安全策略、日常操作規(guī)范和制度；  

5.會議室相關(guān)系統(tǒng)、設(shè)備的維護； 

6.日常IT操作規(guī)范及技術(shù)文檔撰寫；  

7.負責(zé)集團公司中心機房建設(shè)及相關(guān)設(shè)備安裝調(diào)試工作； 

8.在保證集團總部計算機、網(wǎng)絡(luò)及相關(guān)設(shè)備正常運行的前提下，樹立服務(wù)意識，為分子公司提供及時、優(yōu)質(zhì)的服務(wù)；

 9.其他：領(lǐng)導(dǎo)交辦的任務(wù)。

                            網(wǎng)絡(luò)工程師崗位職責(zé)

    1.負責(zé)集團中心機房網(wǎng)絡(luò)設(shè)備、環(huán)境、運作狀況的維護、保養(yǎng)、檢查；視頻、電話會議系統(tǒng)管理與維護；

     2.防火墻、路由器、數(shù)據(jù)交換機、光端機、UPS的狀態(tài)監(jiān)控，以及性能優(yōu)化，配置修改，保證集團內(nèi)部辦公網(wǎng)絡(luò)的正常；

    3.維護集團網(wǎng)絡(luò)線路，保證通訊及各大應(yīng)用系統(tǒng)的正常訪問；

    4.集團互聯(lián)網(wǎng)專線、VPN線路的監(jiān)控、測試、故障申報及解決；

    5.集團Internet域名、二級郵件域名、DNS指向等互聯(lián)網(wǎng)業(yè)務(wù)申請、分理和維護；

    6.利用網(wǎng)絡(luò)測試分析工具，定期對現(xiàn)有的網(wǎng)絡(luò)進行優(yōu)化工作。

    7.負責(zé)集團網(wǎng)絡(luò)工程的規(guī)劃、項目實施及技術(shù)支持；　　

    8.解決集團總部與各分子公司之間網(wǎng)絡(luò)連接的相關(guān)問題；

    9.集團網(wǎng)絡(luò)安全維護；

    10.其他：領(lǐng)導(dǎo)交辦的任務(wù)。

                                  開發(fā)經(jīng)理崗位職責(zé)

    1.組織具體項目的實施，編列項目實施計劃，資源清單，協(xié)調(diào)各方資源，協(xié)助，管理所負責(zé)項目的開發(fā)團隊。

    2.參與系統(tǒng)集成方案的評審，組織后期系統(tǒng)上線前的技術(shù)準備和資源準備，協(xié)調(diào)相關(guān)資源參與項目的功能評審和上線推廣。

    3.對所負責(zé)項目進行日常管理，定期收集項目信息，評估項目風(fēng)險，向主管領(lǐng)導(dǎo)匯報。

    4.對項目進行里程碑管理，配合對項目開展質(zhì)量控制、配置管理，組織開發(fā)和測試工作；組織相應(yīng)的技術(shù)評審和階段性評審。

    5.組織項目的驗收交付，組織相應(yīng)的部署上線和應(yīng)用推廣。

    6.組織項目中的技術(shù)攻關(guān)，發(fā)起項目中的需求變更和技術(shù)變更。

    7.對項目組成員進行績效考核。

    8.根據(jù)開發(fā)規(guī)范與流程完成模塊的設(shè)計、編碼、測試以及編寫相關(guān)文檔。

    9.領(lǐng)導(dǎo)交辦的其他工作

                                       信息中心機房運行管理制度

一、機房工作人員日常行為準則

1.1、環(huán)境衛(wèi)生：禁止在機房內(nèi)吃食物、抽煙、隨地吐痰；對于意外或工作過程中弄污機房地板和其它物品的，必須及時采取措施清理干凈，保持機房無塵潔凈環(huán)境。

1.2、機房用品要各歸其位，不能隨意亂放。

1.3、機房應(yīng)安排人員值日，負責(zé)機房的日常整理和行為督導(dǎo)。

1.4、進出機房按要求必須換鞋或戴鞋套，雨具、鞋具等物品要按位擺放整齊。

1.5、注意檢查機房的防曬、防水、防潮，維持機房環(huán)境通爽，注意天氣對機房的影響，下雨天時應(yīng)及時主動檢查和關(guān)閉窗戶、檢查去水通風(fēng)等設(shè)施。

1.6、機房內(nèi)部不應(yīng)大聲喧嘩、注意噪音/音響音量控制、保持安靜的工作環(huán)境。

1.7、任何將要發(fā)生的給其他人員工作和安排產(chǎn)生影響的事情，或需要與其他工作人員互相協(xié)調(diào)的事情，應(yīng)先提出和協(xié)調(diào)一致，禁止個人獨斷獨行的作風(fēng)。

二、機房保安制度

2.1、出入機房應(yīng)注意鎖好防盜門。對于有客人進出機房，機房相關(guān)的工作人員應(yīng)負責(zé)該客人的安全防范工作。最后離開機房的人員必須檢查和關(guān)閉所有機房門窗、鎖定防盜裝置。主動拒絕陌生人進出機房。

2.2、工作人員、到訪人員出入應(yīng)登記。

2.3、外來人員進入必須有專門的工作人員全面負責(zé)其行為安全。

2.4、未經(jīng)領(lǐng)導(dǎo)批準，禁止將機房相關(guān)的鑰匙、密碼透露給其他人員，同時有責(zé)任對信息保密。對于遺失物品的情況要及時上報，并積極主動采取措施保證機房安全。

2.5、機房工作人員對機房安全制度上的漏洞和不完善的地方有責(zé)任及時提出改善建議。

2.6、禁止帶領(lǐng)與機房工作無關(guān)的人員進出機房。

2.7、絕不允許與機房工作無關(guān)的人員直接或間接操縱機房任何設(shè)備。

2.8、出現(xiàn)機房盜竊、破門、火警、水浸、110報警等嚴重事件時，機房工作人員有義務(wù)以最快的速度和最短的時間到達現(xiàn)場，協(xié)助處理相關(guān)的事件。

三、機房用電安全制度

3.1、機房工作人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作和知識，了解機房內(nèi)部的供電、用電設(shè)施的操作規(guī)程。

3.2、機房應(yīng)定期檢查供電、用電設(shè)備、設(shè)施。

3.3、不得亂拉亂接電線，應(yīng)選用安全、有保證的供電、用電器材。

3.4、在真正接通設(shè)備電源之前必須先檢查線路、接頭是否安全連接以及設(shè)備是否已經(jīng)就緒、人員是否已經(jīng)具備安全保護。

3.5、嚴禁隨意對設(shè)備斷電、更改設(shè)備供電線路，嚴禁隨意串接、并接、搭接各種供電線路。

3.6、如發(fā)現(xiàn)用電安全隱患，應(yīng)即時采取措施解決，不能解決的必須及時向相關(guān)負責(zé)人員提出解決。

3.7、機房工作人員對個人用電安全負責(zé)。外來人員需要用電的，必須得到機房管理人員允許，并使用安全和對機房設(shè)備影響最少的供電方式。

3.8、機房工作人員需要離開當前用電工作環(huán)境，應(yīng)檢查并保證工作環(huán)境的用電安全。

3.9、最后離開的機房工作人員，應(yīng)檢查所有用電設(shè)備，應(yīng)關(guān)閉長時間帶電運作可能會產(chǎn)生嚴重后果的用電設(shè)備。

3.10、禁止在無人看管下在機房中使用高溫、熾熱、產(chǎn)生火花的用電設(shè)備。

3.11、在使用功率超過特定瓦數(shù)的用電設(shè)備前，必須得到上級領(lǐng)導(dǎo)批準，并在保證線路保險的基礎(chǔ)上使用。

3.12、在危險性高的位置應(yīng)張貼相應(yīng)的安全操作方法、警示以及指引，實際操作時應(yīng)嚴格執(zhí)行。

3.13、在外部供電系統(tǒng)停電時，機房工作人員應(yīng)全力配合完成停電應(yīng)急工作。

3.14、應(yīng)注意節(jié)約用電。

四、機房消防安全制度

4.1、機房工作人員應(yīng)熟悉機房內(nèi)部消防安全操作和規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。

4.2、任何人不能隨意更改消防系統(tǒng)工作狀態(tài)、設(shè)備位置。需要變更消防系統(tǒng)工作狀態(tài)和設(shè)備位置的，必須取得上級領(lǐng)導(dǎo)批準。工作人員更應(yīng)保護消防設(shè)備不被破壞。

4.3、如發(fā)現(xiàn)消防安全隱患，應(yīng)即時采取措施解決，不能解決的應(yīng)及時向相關(guān)負責(zé)人員提出解決。

4.4、最后離開的機房工作人員，應(yīng)檢查消防設(shè)備的工作狀態(tài)，關(guān)閉將會帶來消防隱患的設(shè)備，采取措施保證無人狀態(tài)下的消防安全。

五、機房硬件設(shè)備安全使用制度

5.1、機房工作人員必須熟知機房內(nèi)設(shè)備的基本安全操作和規(guī)則。

5.2、定期檢查、整理硬件物理連接線路，檢查硬件運作狀態(tài)（如設(shè)備指示燈、儀表），調(diào)閱硬件運作自檢報告，從而及時了解硬件運作狀態(tài)，定期對機房設(shè)備進行維護。

5.3、禁止隨意搬動設(shè)備、隨意在設(shè)備上進行安裝、拆卸硬件、或隨意更改設(shè)備連線、禁止隨意進行硬件復(fù)位。

5.4、禁止在服務(wù)器上進行試驗性質(zhì)的配置操作，需要對服務(wù)器進行配置，應(yīng)在其它可進行試驗的機器上調(diào)試通過并確認可行后，才能對服務(wù)器進行準確的配置。

5.5、對會影響到全局的硬件設(shè)備的更改、調(diào)試等操作應(yīng)預(yù)先發(fā)布通知，并且應(yīng)有充分的時間、方案、人員準備，才能進行硬件設(shè)備的更改。

5.6、對重大設(shè)備配置的更改，必須首先形成方案文件，經(jīng)過討論確認可行后，由具備資格的技術(shù)人員進行更改和調(diào)整，并應(yīng)做好詳細的更改和操作記錄。對設(shè)備的更改、升級、配置等操作之前，應(yīng)對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先準備好后備配件和應(yīng)急措施。

5.7、不允許任何人在服務(wù)器、交換設(shè)備等核心設(shè)備上進行與工作范圍無關(guān)的任何操作。未經(jīng)上級允許，更不允許他人操作機房內(nèi)部的設(shè)備，對于核心服務(wù)器和設(shè)備的調(diào)整配置，更需要小組人員的共同同意后才能進行。

六、軟件安全使用制度

6.1、必須定期檢查軟件的運行狀況、定期調(diào)閱軟件運行日志記錄，進行數(shù)據(jù)和軟件日志備份。

6.2、禁止在服務(wù)器上進行試驗性質(zhì)的軟件調(diào)試，禁止在服務(wù)器隨意安裝軟件。需要對服務(wù)器進行配置，必須在其它可進行試驗的機器上調(diào)試通過并確認可行后，才能對服務(wù)器進行準確的配置。

6.3、對會影響到全局的軟件更改、調(diào)試等操作應(yīng)先發(fā)布通知，并且應(yīng)有充分的時間、方案、人員準備，才能進行軟件配置的更改。

6.4、對重大軟件配置的更改，應(yīng)先形成方案文件，經(jīng)過討論確認可行后，由具備資格的技術(shù)人員進行更改，并應(yīng)做好詳細的更改和操作記錄。對軟件的更改、升級、配置等操作之前，應(yīng)對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先備份原有軟件系統(tǒng)和落實好應(yīng)急措施。

6.5、不允許任何人員在服務(wù)器等核心設(shè)備上進行與工作范圍無關(guān)的軟件調(diào)試和操作。未經(jīng)上級允許，不允許帶領(lǐng)、指示他人進入機房、對網(wǎng)絡(luò)及軟件環(huán)境進行更改和操作。

6.6、應(yīng)嚴格遵守張貼于相應(yīng)位置的安全操作、警示以及安全指引。

七、機房資料、文檔和數(shù)據(jù)安全制度

7.1、資料、文檔、數(shù)據(jù)等必須有效組織、整理和歸檔備案。

7.2、禁止任何人員將機房內(nèi)的資料、文檔、數(shù)據(jù)、配置參數(shù)等信息擅自以任何形式提供給其它無關(guān)人員或向外隨意傳播。

7.3、對于牽涉到網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的，應(yīng)向上級領(lǐng)導(dǎo)請示，同意后由機房相關(guān)負責(zé)人代為查閱，并只能向其提供與其當前工作內(nèi)容相關(guān)的數(shù)據(jù)或資料。

7.4、重要資料、文檔、數(shù)據(jù)應(yīng)采取對應(yīng)的技術(shù)手段進行加密、存儲和備份。對于加密的數(shù)據(jù)應(yīng)保證其可還原性，防止遺失重要數(shù)據(jù)。

八、機房財產(chǎn)登記和保護制度

8.1、機房的日常物品、設(shè)備、消耗品等必須有清晰的數(shù)量、型號登記記錄，對于公共使用的物品和重要設(shè)備，必須建立一套較為完善的借取和歸還制度進行管理。

8.2、機房工作人員應(yīng)有義務(wù)安全和小心使用機房的任何設(shè)備、儀器等物品，在使用完畢后，應(yīng)將物品歸還并存放于原處，不應(yīng)隨意擺放。

8.3、對于使用過程中損壞、消耗、遺失的物品應(yīng)匯報登記，并對責(zé)任人追究相關(guān)責(zé)任。

8.4、未經(jīng)領(lǐng)導(dǎo)同意，不允許向他人外借或提供機房設(shè)備和物品。

九、制度由信息中心負責(zé)解釋和修訂，自發(fā)布之日起施行。

                                   網(wǎng)絡(luò)安全組織策略

第一章總 則

第一條目的

(一)為了保障公司網(wǎng)絡(luò)安全組織穩(wěn)定發(fā)展，順利開展各項網(wǎng)絡(luò)安全工作，明確網(wǎng)絡(luò)安全職責(zé)，強化網(wǎng)絡(luò)安全的專業(yè)化管理，實現(xiàn)對安全風(fēng)險的有效控制，依據(jù)GB/T 22080（ISO/IEC 27001）標準要求，結(jié)合公司實際情況，特制訂本文件。

第二條適用范圍

(一)本文件適用于公司網(wǎng)絡(luò)安全管理范圍內(nèi)所有部門和所有員工。

第二章網(wǎng)絡(luò)安全的管理承諾

第三條網(wǎng)絡(luò)安全管理機構(gòu)

(一)集團網(wǎng)絡(luò)化工作委員會全面負責(zé)公司的網(wǎng)絡(luò)安全戰(zhàn)略和網(wǎng)絡(luò)安全工作，制定公司的網(wǎng)絡(luò)安全方針和目標，是公司網(wǎng)絡(luò)安全工作的最高管理機構(gòu)。網(wǎng)絡(luò)安全管理機構(gòu)整體人員情況見《網(wǎng)絡(luò)安全管理機構(gòu)人員清單》。

(二)網(wǎng)絡(luò)化工作委員會辦公室負責(zé)網(wǎng)絡(luò)安全工作的總體規(guī)劃，網(wǎng)絡(luò)安全管理體系的建立、實施、運行、監(jiān)視、評審、保持和改進，是公司網(wǎng)絡(luò)安全管理體系的維護機構(gòu)。

(三)網(wǎng)絡(luò)安全工作小組負責(zé)具體安全工作的開展、安全制度的編制，以及公司數(shù)據(jù)、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、日常操作、安全意識等網(wǎng)絡(luò)安全管理工作的組織、開展和落實。

(四)審計監(jiān)察室網(wǎng)絡(luò)安全內(nèi)審組負責(zé)對公司網(wǎng)絡(luò)安全管理體系內(nèi)工作開展情況的監(jiān)督、巡檢和審計。

(五)網(wǎng)絡(luò)安全IT團隊全員負責(zé)遵守公司網(wǎng)絡(luò)安全管理體系要求，以及具體安全工作的落地執(zhí)行。

第四條網(wǎng)絡(luò)安全管理職責(zé)

(一)集團網(wǎng)絡(luò)化工作委員會制定、評審、批準公司的網(wǎng)絡(luò)安全方針，并定期評審方式實施的有效性，還要確保網(wǎng)絡(luò)安全目標得以識別，滿足公司要求，并已被整合到相關(guān)過程中。

(二)集團網(wǎng)絡(luò)化工作委員會的組長為集團領(lǐng)導(dǎo)，副組長為集團IT分管領(lǐng)導(dǎo)，成員為CIO和業(yè)務(wù)領(lǐng)導(dǎo)。集團網(wǎng)絡(luò)化工作委員會組長應(yīng)確保整個公司和集團內(nèi)網(wǎng)絡(luò)安全工作的協(xié)調(diào)性、一致性和有效性。

(三)為順利實施網(wǎng)絡(luò)安全管理體系，集團網(wǎng)絡(luò)化工作委員會組長應(yīng)規(guī)劃提供適當?shù)馁Y源，包括體系運行所需的人、財、物等；賦予公司各崗位網(wǎng)絡(luò)安全方面對應(yīng)的權(quán)利和責(zé)任。

(四)網(wǎng)絡(luò)化工作委員會辦公室負責(zé)制定整個公司范圍內(nèi)網(wǎng)絡(luò)安全專門的角色和職責(zé)的分配，確保所有員工具備適當?shù)木W(wǎng)絡(luò)安全意識和安全技能。

(五)網(wǎng)絡(luò)化工作委員會辦公室根據(jù)工作計劃，組織網(wǎng)絡(luò)安全工作小組開展網(wǎng)絡(luò)安全管理的制度編寫、修訂、發(fā)布、審核等工作，并將成果上報集團網(wǎng)絡(luò)化工作委員會組長進行審批。

(六)審計監(jiān)察室網(wǎng)絡(luò)安全內(nèi)審組負責(zé)開展網(wǎng)絡(luò)安全管理體系內(nèi)部審核、有效性測量、執(zhí)行情況巡檢等工作，并會同網(wǎng)絡(luò)化工作委員會辦公室和集團網(wǎng)絡(luò)化工作委員會開展網(wǎng)絡(luò)安全管理體系管理評審工作。

第二章各部門及員工網(wǎng)絡(luò)安全職責(zé)

第五條各部門網(wǎng)絡(luò)安全職責(zé)

(一)組織建立和維護本部門網(wǎng)絡(luò)資產(chǎn)清單并指定安全員。

(二)負責(zé)落實網(wǎng)絡(luò)化工作委員會辦公室安排的各項工作。

(三)負責(zé)各項網(wǎng)絡(luò)安全管理文件在本部門內(nèi)的貫徹執(zhí)行。

(四)部門內(nèi)的網(wǎng)絡(luò)安全意識教育。

(五)報告網(wǎng)絡(luò)安全事件。

第六條公司IT技術(shù)部門/崗位網(wǎng)絡(luò)安全職責(zé)

(一)負責(zé)公司網(wǎng)絡(luò)系統(tǒng)的安全運行和維護。

(二)負責(zé)公司網(wǎng)絡(luò)處理設(shè)施的維修、維護和安全保障。

第七條各部門網(wǎng)絡(luò)安全員職責(zé)

(一)負責(zé)本部門網(wǎng)絡(luò)資產(chǎn)識別與維護。

(二)負責(zé)公司網(wǎng)絡(luò)安全制度要求在本部門傳達和落實。

(三)負責(zé)本部門人員網(wǎng)絡(luò)安全操作行為的監(jiān)督。

第八條所有員工網(wǎng)絡(luò)安全職責(zé)

(一)熟悉網(wǎng)絡(luò)安全管理體系方針、網(wǎng)絡(luò)安全目標。

(二)執(zhí)行發(fā)布的網(wǎng)絡(luò)安全制度要求。

第三章與政府部門和特定利益團體的聯(lián)系

(一)網(wǎng)絡(luò)化工作委員會辦公室應(yīng)組織建立《網(wǎng)絡(luò)安全相關(guān)部門聯(lián)絡(luò)表》，與公安、消防局、保密局等政府單位以及安全專家組或?qū)I(yè)協(xié)會等確定聯(lián)絡(luò)途徑，在發(fā)生特定網(wǎng)絡(luò)安全事件后，可以迅速聯(lián)系相關(guān)部門，解決事件，并及時了解最新的網(wǎng)絡(luò)安全動態(tài)、網(wǎng)絡(luò)安全知識和技術(shù)。

(二)定期評審《網(wǎng)絡(luò)安全相關(guān)部門聯(lián)絡(luò)表》，如情況發(fā)生變動，應(yīng)加以更新。如果外部相關(guān)部門聯(lián)絡(luò)方式變更，也應(yīng)及時更新。

第四章網(wǎng)絡(luò)安全的獨立評審

(一)審計監(jiān)察室網(wǎng)絡(luò)安全內(nèi)審組應(yīng)定期（一年一次）會同網(wǎng)絡(luò)化工作委員會辦公室和集團網(wǎng)絡(luò)化工作委員會組織實施控制措施有效性測量、內(nèi)部審核和管理評審，其流程和要求詳見《網(wǎng)絡(luò)安全控制措施測量辦法》、《網(wǎng)絡(luò)安全管理體系內(nèi)部審核辦法》和《管理評審辦法》。

(二)審計監(jiān)察室網(wǎng)絡(luò)安全內(nèi)審組應(yīng)合理選擇測量、審核和評審人員，確保評審由獨立于被評審范圍的人員執(zhí)行，從事這些評審的人員宜具備適當?shù)募寄芎徒?jīng)驗。

                                       網(wǎng)絡(luò)安全應(yīng)急預(yù)案

   為提高應(yīng)對突發(fā)網(wǎng)絡(luò)安全能力，維護網(wǎng)絡(luò)安全和社會穩(wěn)定，保障世博展覽館各項工作正常開展，特制定本預(yù)案。  

一、根據(jù)網(wǎng)絡(luò)安全的發(fā)生原因、性質(zhì)和機理，網(wǎng)絡(luò)安全主要分為以下三類:      

（1）攻擊類事件：指網(wǎng)絡(luò)系統(tǒng)因計算機病毒感染、非法入侵等導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。    

（2）故障類事件：指網(wǎng)絡(luò)系統(tǒng)因計算機軟硬件故障、人為誤操作等導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。   

（3）災(zāi)害類事件：指因爆炸、火災(zāi)、雷擊、地震、臺風(fēng)等外力因素導(dǎo)致網(wǎng)絡(luò)系統(tǒng)損毀，造成業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。   

二、建立應(yīng)急網(wǎng)絡(luò)聯(lián)動機制         

成立網(wǎng)絡(luò)安全應(yīng)急工作小組，按照“誰主管誰負責(zé)”原則，對于較大和一般突發(fā)公共事件進行先期處置等工作，并及時報領(lǐng)導(dǎo)處理并備案。 發(fā)生一般互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件，事發(fā)半小時內(nèi)向單位主管領(lǐng)導(dǎo)口頭報告，在1小時內(nèi)向出具書面報告；較大以上網(wǎng)絡(luò)安全事件或特殊情況，立即報告。  

三、應(yīng)急處理流程    

  出現(xiàn)災(zāi)情后值班人員要及時通過電話、傳真、郵件、短信等方式通知單位領(lǐng)導(dǎo)及相關(guān)技術(shù)負責(zé)人。值班人員根據(jù)災(zāi)情信息，初步判定災(zāi)情程度。能夠自身解決，要及時加以解決；如果不能自行解決故障，由領(lǐng)導(dǎo)現(xiàn)場指揮，協(xié)調(diào)各部門力量，按照分工負責(zé)的原則，組織相關(guān)技術(shù)人員進入搶險程序。

四、單位自行應(yīng)急處理措施指南

1、黑客攻擊事件緊急處置措施   

  （1）當有關(guān)值班人員發(fā)現(xiàn)發(fā)現(xiàn)有黑客正在進行攻擊時，應(yīng)立即向網(wǎng)絡(luò)安全應(yīng)急負責(zé)人通報情況。  

    (2) 網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場，并首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護現(xiàn)場，并將有關(guān)情況向本單位領(lǐng)導(dǎo)匯報。 

    (3)對現(xiàn)場進行分析，并寫出分析報告存檔，必要時上報主管部門。 

    (4)恢復(fù)與重建被攻擊或破壞系統(tǒng)   

    (5) 網(wǎng)絡(luò)安全應(yīng)急小組組長召開小組會議，如認為事態(tài)嚴重，則立即向主管部門和公安部門報警。 

2、病毒事件緊急處置措施   

    (1) 當發(fā)現(xiàn)有計算機被感染上病毒后，應(yīng)立即向網(wǎng)絡(luò)安全應(yīng)急負責(zé)人報告，將該機從網(wǎng)絡(luò)上隔離開來。  

    (2) 網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人員在接到通報后立即趕到現(xiàn)場。 

    (3) 對該設(shè)備的硬盤進行數(shù)據(jù)備份。  

    (4) 啟用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。  

    (5) 如果現(xiàn)行反病毒軟件無法清除該病毒，應(yīng)立即向本單位領(lǐng)導(dǎo)報告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。  

    (6) 網(wǎng)絡(luò)安全應(yīng)急小組經(jīng)會商，認為情況嚴重的，應(yīng)立即向主管部門和公安部門報警。 (7)如果感染病毒的設(shè)備是主服務(wù)器，經(jīng)本單位領(lǐng)導(dǎo)同意，應(yīng)立即告知各部門做好相應(yīng)的清查工作。  

3、軟件系統(tǒng)遭破壞性攻擊的緊急處置措施   

    (1) 重要的軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須按本單位容災(zāi)備份規(guī)

    (2) 一旦軟件遭到破壞性攻擊，應(yīng)立即向網(wǎng)絡(luò)安全應(yīng)急負責(zé)人報告，并將該系統(tǒng)停止運行。 

    (3) 檢查信息系統(tǒng)的日志等資料，確定攻擊來源，并將有關(guān)情況向領(lǐng)導(dǎo)匯報，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。 

     (4) 網(wǎng)絡(luò)安全應(yīng)急小組組長召開小組會議，如認為事態(tài)嚴重，則立即向主管部門和公安部門報警。  

4、數(shù)據(jù)庫安全緊急處置措施  

    (1) 在有條件的地區(qū)，主要數(shù)據(jù)庫系統(tǒng)應(yīng)按雙機熱備設(shè)置，并至少要準備兩個以上數(shù)據(jù)庫備份，平時一個備份放在機房，另一個備份放在另一安全的建筑物中。  

    (2)一旦數(shù)據(jù)庫崩潰，值班人員應(yīng)立即啟動備用系統(tǒng)，并向網(wǎng)絡(luò)安全應(yīng)急負責(zé)人報告。 (3)在備用系統(tǒng)運行期間；信息安全工作人員應(yīng)對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復(fù)。 (4)如果兩套系統(tǒng)均崩潰而無法恢復(fù)，應(yīng)立即向有關(guān)廠商請求緊急支援。

5、廣域網(wǎng)外部線路中斷緊急處置措施   

    (1) 廣域網(wǎng)主、備用線路中斷一條后，值班人員應(yīng)立即啟動備用線路接續(xù)工作，同時向網(wǎng)絡(luò)安全應(yīng)急負責(zé)人報告。 

    (2) 網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人員接到報告后，應(yīng)迅速判斷故障節(jié)點，查明故障原因。

    (3) 如屬我方管轄范圍，由工作人員立即予以恢復(fù)。  

    (4) 如屬電信部門管轄范圍，立即與電信維護部門聯(lián)系，要求修復(fù)。  

    (5)如果主、備用線路同時中斷，網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人應(yīng)在判斷故障節(jié)點，查明故障原因后，盡快研究恢復(fù)措施，并立即向本單位領(lǐng)導(dǎo)匯報。

6、局域網(wǎng)中斷緊急處置措施   

    (1) 設(shè)備管理部門平時應(yīng)準備好網(wǎng)絡(luò)備用設(shè)備，存放在指定的位置。 

    (2) 局域網(wǎng)中斷后，網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人員應(yīng)立即判斷故節(jié)點，查明故障原因，并向網(wǎng)絡(luò)安全應(yīng)急組組長匯報。 

    (3) 如屬線路故障，應(yīng)重新安裝線路。  

    (4) 如屬路由器、交換機等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備取出接上，并調(diào)試通暢。  

    (5) 如屬路由器、交換機配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)測通暢。

     (6)如有必要，應(yīng)向主管部門領(lǐng)導(dǎo)匯報。

7、設(shè)備安全緊急處置措施  

    (1) 服務(wù)器等關(guān)鍵設(shè)備損壞后，值班人員應(yīng)立即向網(wǎng)絡(luò)安全應(yīng)急負責(zé)人報告。 

    (2) 網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人員立即查明原因。 

    (3) 如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。  

    (4) 如屬不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派維護人員前來維修。

     (5)如果設(shè)備一時不能修復(fù)，應(yīng)向本單位領(lǐng)導(dǎo)匯報。

8、停電緊急處置措施      

    （1）定期檢查機房供電設(shè)備的運行狀況和電路線纜器材情況，當發(fā)生下列突發(fā)事件時，按照以下方案進行處置：    

    （2）當機房發(fā)生市電供電突然停電或是電源異常時。首先應(yīng)和館內(nèi)強電部門聯(lián)系確認正常停電以及預(yù)計停電時間。檢查不間斷電源的電池可供電時間，確保設(shè)備正常運行，如遇到突然斷電，應(yīng)及時將空調(diào)等不在UPS電源供電范圍內(nèi)的設(shè)備及時斷電，預(yù)防突然來電時瞬間電流過大導(dǎo)致設(shè)備損壞等現(xiàn)象。    

    （3）當確定停電時間超出機房UPS承載范圍后，首先確定停電的范圍以及受影響的設(shè)備范圍。并及時通知各部門和網(wǎng)絡(luò)安全應(yīng)急小組做好停電應(yīng)急準備。然后通知機房電源維護人和設(shè)備的負責(zé)人到達現(xiàn)場，做好各設(shè)備的電源停電準備。在UPS供電電量僅剩10%之后，嚴格按操作手冊停掉各服務(wù)器的電源，最后停核心交換機和路由器，等待電力恢復(fù)。   

    （4）當確定停電原因是在本身供電系統(tǒng)范圍內(nèi)，立即匯報給負責(zé)領(lǐng)導(dǎo)，并及時聯(lián)系相關(guān)維護人員達到現(xiàn)場檢修。對于恢復(fù)時間無法預(yù)計的，要通知各部門做好停電應(yīng)急準備。  （5）恢復(fù)供電后，嚴格按照操作程序逐步恢復(fù)機房設(shè)備和UPS的供電，以防瞬間電流過大造成設(shè)備損壞。

9、火災(zāi)緊急處置措施     

    （1）上班工作時間發(fā)生火警，還在機房工作的人員應(yīng)及時緊急撤離，并立刻撥打119報警并立刻通知網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人和相關(guān)部門領(lǐng)導(dǎo)。在確保自身安全的情況下，應(yīng)盡量使用滅火器進行滅火，減少電子設(shè)備的損壞。同時采取關(guān)閉電源總閘等措施，盡量減少可能造成的損失和破壞。   

    （2）非工作時間或節(jié)假日休息時間值班人員發(fā)現(xiàn)火情后，要立刻撥打119報警，并立刻通知網(wǎng)絡(luò)安全應(yīng)急相關(guān)負責(zé)人和相關(guān)部門領(lǐng)導(dǎo)，做好火災(zāi)的處置工作。   

    （3）火情結(jié)束之后，機房相關(guān)人員應(yīng)全體趕赴現(xiàn)場，并向相關(guān)部門匯報。同時立即聯(lián)系電信、聯(lián)通、移動等相關(guān)網(wǎng)絡(luò)公司和設(shè)備相關(guān)廠家，及時評估事故損失情況，研討恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運行的最佳解決方案。

10、其他自然災(zāi)害緊急處置措施  

發(fā)生自然災(zāi)害后，首先應(yīng)該組織人員撤離現(xiàn)場。當確認災(zāi)害不會造成人生傷害后，在回到機房檢查設(shè)備，評估災(zāi)害受損范圍，立刻向網(wǎng)絡(luò)安全應(yīng)急小組組長和公司領(lǐng)導(dǎo)匯報，并聯(lián)系相關(guān)網(wǎng)絡(luò)和設(shè)備廠家，積極做好災(zāi)后恢復(fù)工作，確保在最短時間內(nèi)恢復(fù)機房正常運行。

11、發(fā)生盜搶事件緊急處置措施 

發(fā)生盜搶事件后，要保護好現(xiàn)場然后報警，并向網(wǎng)絡(luò)安全應(yīng)急小組組長和省公司領(lǐng)導(dǎo)匯報情況。待現(xiàn)場處理完畢后，要組織相關(guān)人員估計損毀情況，并聯(lián)系相關(guān)網(wǎng)絡(luò)和設(shè)備廠家，積極做好恢復(fù)工作。

                 集團網(wǎng)絡(luò)行為管理辦法

第一章總則

    為規(guī)范員工網(wǎng)上行為，保障集團信息安全，防范網(wǎng)絡(luò)風(fēng)險，營造積極健康和諧的工作氛圍，特制定本管理辦法。

    第一條、集團計算機、相關(guān)設(shè)施及網(wǎng)絡(luò)資源維護由信息中心統(tǒng)一管理。

    第二條、本規(guī)定涉及的網(wǎng)絡(luò)范圍包括集團各辦公地點（含分子公司、項目部）的局域網(wǎng)、VPN連接、Ineternet出口以及網(wǎng)絡(luò)上提供的各類服務(wù)等。

    第三條、集團信息中心有權(quán)對網(wǎng)絡(luò)資源、計算機設(shè)備的使用及權(quán)限做出限制和規(guī)定。

    第四條、集團員工因網(wǎng)上言論、行為不當造成集團名譽、財產(chǎn)損失，集團保留法律訴訟的權(quán)利。

第二章 網(wǎng)絡(luò)的使用與管理

    第五條、集團各公司、部門對員工網(wǎng)上行為規(guī)范管理工作要高度重視，加強教育，培養(yǎng)員工樹立保密意識、法制意識、責(zé)任意識、自律意識，文明上網(wǎng)。

    第六條、在集團網(wǎng)絡(luò)環(huán)境下，嚴禁在上班時間做一切與工作無關(guān)的上網(wǎng)行為，如：上班時間玩各類游戲；在上班時間觀看和下載電影、電視劇、體育比賽等娛樂節(jié)目；在上班時間進行與工作無關(guān)的網(wǎng)絡(luò)聊天；集團網(wǎng)絡(luò)內(nèi)全天禁止利用迅雷、BT 等 P2P 協(xié)議的下載工具進行高速下載影響集團網(wǎng)絡(luò)穩(wěn)定；一經(jīng)發(fā)現(xiàn)有上述行為，信息中心有權(quán)在不進行通知的情況下對違法電腦終端IP進行斷網(wǎng)處理，違法電腦終端用戶需在信息中心登記備案后方可開通上網(wǎng)權(quán)限；處理方式如下：第一次口頭警告，第二次集團通報并處以200元罰款，第三次集團通報并處以500元罰款，并取消年終評優(yōu)資格。

    第七條、養(yǎng)成良好的上網(wǎng)習(xí)慣，及時升級病毒庫查殺病毒，不隨意打開來歷不明的電子郵件，不打開與工作無關(guān)的網(wǎng)頁，防止病毒入侵。

    第八條、所有員工應(yīng)牢固樹立安全意識和保密意識，保管好個人賬號，嚴禁在網(wǎng)上共享和泄露集團戰(zhàn)略計劃、經(jīng)營生產(chǎn)數(shù)據(jù)、財務(wù)資產(chǎn)數(shù)據(jù)、業(yè)務(wù)資料、技術(shù)資料等集團涉密資料。

    第九條、集團信息中心、審計中心為輿情監(jiān)管部門，有權(quán)對計算機和網(wǎng)絡(luò)使用情況進行監(jiān)管，并對違規(guī)違紀人員，提出處理意見。

    第十條、嚴禁在網(wǎng)絡(luò)上發(fā)表沒有事實依據(jù)的言論。嚴禁對沒有事實依據(jù)的言論進行回復(fù)。

    第十一條、發(fā)現(xiàn)網(wǎng)絡(luò)上有關(guān)集團及人員不良言論的，應(yīng)在第一時間報集團相關(guān)業(yè)務(wù)管理部門，以便及時處理。

    第十二條、所有員工應(yīng)以對自己負責(zé)和對集團負責(zé)的態(tài)度，對待個人在網(wǎng)上出現(xiàn)的言論及行為，不建議以發(fā)貼、群聊等形式發(fā)表個人意見、建議，應(yīng)通過分集團公布的舉報電話、舉報郵箱舉報信箱進行投訴或建議。

    第十三條、嚴禁在集團網(wǎng)絡(luò)內(nèi)瀏覽色情、賭博等非法網(wǎng)站，以及其它國家法律明令禁止的網(wǎng)站。

    第十四條、嚴禁在集團網(wǎng)絡(luò)內(nèi)發(fā)布、傳播淫穢錄像、圖片、資料等。

    第十五條、嚴禁網(wǎng)上傳播不符合事實、反動、危害社會穩(wěn)定、國家安全的信息。

本辦法自發(fā)布之日起執(zhí)行。