用户信息安全管理制度【实用16篇】

用户信息安全管理制度旨在保护用户数据，确保信息存储、传输和处理过程中的安全性与合规性，如何实现有效管理？以下是网友为大家整理分享的“用户信息安全管理制度”相关范文，供您参考学习！

用户信息安全管理制度 篇1

1、成立信息安全工作领导小组，并由单位主要领导担任组长，由网络管理人员及公文接收人员等担任组员，全面负责本单位网络安全工作。

2、学校所有用户必须遵守国家、地方的有关法规，严格执行安全保密制度，并对所提供的信息负责。单位网络管理人员和公文接收人员必须在信息安全领导小组的领导下，严格监控本单位上网信息，随时对本单位网络系统及信息系统进行安全检查。

3、学校所有用户不得利用计算机网络从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机网络及信息系统的安全。单位文印室、财务室电脑加强安全管理，以免造成涉密信息泄露。

4、学校所有用户严禁在网络上发布虚假、淫秽、xxx等信息，不得使用网络进入未经授权使用的计算机，单位办公用计算机必须严格管理，制订管理制度，落实管理人员，未经管理人员允许不得以虚假身份使用网络资源。

5、加强对校园网新闻，信息上报、论坛言论的安全管理。对上网、上报、外传信息要坚持单位主要领导审查，严格把关，落实防范措施，明确责任制，本着“谁主管，谁负责”的`原则，凡涉及国家及学校秘密的信息严禁上网。

6、学校所有用户必须对提供的信息负责，不得利用网络从事危害国家安全、泄露国家机密等犯罪活动，不得制作、查阅、复制和传播有碍社会治安和不健康的、有封建迷信、色情等内容的信息。

7、严禁制造和输入计算机病毒以及其他有害数据危害计算机信息系统的安全。不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。

8、一经发现校园网或局域网内有违法犯罪行为和有害的、不健康的信息，必须立即上报信息安全领导小组，不得隐瞒。

用户信息安全管理制度 篇2

高压系统安全管理制度

1、为了加强高压供电管理，高压线路和设备均由院后勤办负责，

2、地面高压架空线路、高压配电装置都要统一编号，要注明规格、长度、容量等数据。院后勤办要有以下图纸。

⑴地面高压架空输电线路和位置图。

⑵高压供电系统图。

⑶高压设备安装位置图。

⑷高压供电设备牌板和台帐。

⑸高压电气设备预防性试验资料和检修记录。

3、高压供电设备，按规定检修周期和电气设备的检修标准进行检修。检修后，要进行验收并做好检修记录入档。

4、架空线路每年要进行不少于二次的登杆检查，每月不少于一次的定期巡视，每年雨季前进行一次全面检修，遇有大风暴雨和严重结冰等特殊情况要及时检查。

5、电器设备使用绝缘油，要进行定期试验。直接启动设备的操作开关半年一次，其它每年一次，因短路掉闸三次者，必须补加一次试验，对试验不合格者，要及时处理和更换。

6、高压线路和设备的安装必须有合理的设计并经有关单位审批后，方可进行。

7、防避雷保护要按照“高压保护规程”进行安装。

8、地面配电室，出线上要装设过流和选择性的检漏保护装置，上述保护要根据《安全规程》规定进行装设、整定、校验和调整，每年不少于一次，应在雨季前进行。遇有越级跳闸、保护失灵和仪表不准等要立即进行检修或更换。

9、配电室都要设置事故照明或报警信号，要设有不少于两只灭火器、0。3m3的灭火黄砂，并备有钎子、铁铣等灭火工具，上述灭火器材都要设置在机房的入口明显处，并妥善保管。

用户信息安全管理制度 篇3

一、信息系统安全包括:软件安全和硬件网络安全两部分。

二、计算机中心人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。

三、对系统用户的.访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由计算机中心人员给予配置并存档,以后变更必须报批后才能更改,计算机中心做好变更日志存档。

四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。

五、计算机中心人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。

六、网络系统所有设备的配置、安装、调试必须由计算机中心人负责,其他人员不得随意拆卸和移动。

七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。

八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。

九、所有进入网络的软盘、光盘、u盘等其他存贮介质,必须经过计算机中心负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。

十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

十一、内网用户所有文件传递,一律通过网上办公系统和ftp服务器专门的上载、下载区进行,不得利用软盘、光盘和u盘等存贮介质进行拷贝。

十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。

十三、计算机中心人员有权监督和制止一切违反安全管理的行为。

用户信息安全管理制度 篇4

为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。

具体管理办法如下:

第一章总则

第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。

第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。

第三条本规定所指账号管理包括:

1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理

2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理

3、用户账号密码的管理。

第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。

第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。

第六条用户账号申请、审批及设置由不同人员负责。

第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。

1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。

2、系统管理员:负责按照领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。

3、系统管理监督员:负责对录入的`数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。

4、普通用户:负责对系统进行业务层面的操作。

第八条信息管理中心将定期抽取系统岗位和用户清单进行检查,发现可疑授权、可疑使用将根据实际情况予以通报修正,并将检查结果记入信息化年度考核中。

第二章普通账号管理

第九条申请人使用统一规范的《信息系统权限申请表》(附件二)提出用户账号创建、修改、禁用、启用等申请。

第十条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和符合职责分工的要求。

第十一条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。

第十二条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。

第十三条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后。员工所属部门以书面方式通知系统管理部门,由系统管理部门实施用户帐户及权限的回收操作。

第十四条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。

第三章特权账号和超级用户账号管理

第十五条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator(或admin)、root等管理员账号。

第十六条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。

第十七条信息系统管理部门每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。

第十八条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。

第十九条临时使用超级用户账号必须有监督人员在场记录其工作内容。

第二十条超级用户帐户必须由信息管理中心管理(如没有超级管理员,信息管理中心必须掌握系统管理员权限)。系统管理员和系统管理监督员可通过信息管理中心与系统拥有部门协商管理(如系统管理员由系统拥有部门管理,《信息系统权限申请表》必须以邮件方式电子文档交予信息管理中心备案便于监督审核)。

第二十一条信息化各系统交使用单位验收合格后,必须由信息管理中心和系统拥有部门共同督促系统开发方删除临时测试帐户。

第四章用户账号及权限审阅

第二十二条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《信息系统权限清理清单》(附件四)。

第二十三条信息管理中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《信息系统权限清理清单》。

第二十四条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。

第五章用户账号口令管理

第二十五条用户账号口令发放要严格保密,用户必须及时更改初始口令。

第二十六条用户账号口令最小长度为6位(系统超级用户、管理员和监督员口令最小长度为8位),并具有一定复杂度。

第二十七条用户账号口令必须严格保密,并定期进行更改,密码更新周期不得超过90天。

第二十八条严禁共享个人用户账号口令。

第六章附则

第二十九条本制度与公司相关标准、规范相冲突时,应按照公司相关标准、规范执行。

第三十条本制度适用于由信息管理中心归口管理的所有系统。

第三十一条本制度由信息管理中心起草并解释。

第三十二条本制度从发布之日起施行。

用户信息安全管理制度 篇5

上网用户信息安全管理制度

一、用户隐私制度

尊重用户个人隐私是本网站的一项基本政策。本网站一定不会在未经合法用户授权时公开、编辑或透露其注册资料及保存在本网站中的非公开内容，除非有法律许可要求或本网站在诚信的基础上认为透露这些信件在以下三种情况是必要的：

（1）遵守有关法律规定，遵从本网站合法服务程序。

（2）在紧急情况下竭力维护用户个人和社会大众的隐私安全。

（3）符合其他相关的要求。

二、用户的账号，密码和安全性

用户一旦注册成功，成为本网站的合法用户，将得到一个密码和用户名。用户将对用户名和密码安全负全部责任。另外，每个用户都要对以其用户名进行的所有活动和事件负全责。您可随时根据指示改变您的密码。用户若发现任何非法使用用户账号或存在安全漏洞的情况，请立即通告本网站。

三、论坛注册

为更好地促进学术交流方便网友，促进论坛发展，对正式会员开放发表帖子。

（一）注册办法：

必填项包括用户名、密码、Email、正式成为论坛会员。

（二）信息保密：

1、论坛管理员作为唯一可以查看认证资料的管理者，保证用户信息的安全性。所有认证信息在认证以后均作保密处理。

2、正式用户将获准进入“论坛”发表帖子和非注册用户能浏览大部分内容。

3、用户必须保证认证信息的真实有效。已通过认证的会员应保管好自己的注册网名和密码。发现密码遗失应及时系统找回密码处理。

四、任何人不得在电子公告服务系统中发布含有下列内容之一的信息：

（一）反国家法律法规基本原则的；

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

（三）损害国家荣誉和利益的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）破坏国家宗教政策，宣扬邪教和封建迷信的；

（六）散布谣言，扰乱社会秩序，破坏社会稳定的；

（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

（八）侮辱他人，侵害他人合法权益的；

（九）含有法律、行政法规禁止的其他内容的。

五、有限责任

本网站对任何直接、间接、偶然、特殊及继起的损害不负责任，这些损害可能来自：不正当使用本论坛服务，非法使用网络服务或用户传送的信息有所变动。这些行为都有可能会导致本网站的形象受损，所以本网站事先提出这种损害的可能性。

六、用户管理

用户单独承担发布内容的责任。用户对服务的.使用是根据所有适用于本网站的国家法律法规、地方制度和行业管理标准的。用户必须遵循：

（1）从中国境内向外传输技术性资料时必须符合中国有关法规。

（2）使用网络服务不作非法用途。

（3）不干扰或混乱网络服务。

（4）遵守所有使用网络服务的网络协议、规定、程序和惯例。

用户须承诺不传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的、庸俗的，淫秽等信息资料。另外，用户也不能传输任何教唆他人构成犯罪行为的资料；不能传输助长国内不利条件和涉及国家安全的资料；不能传输任何不符合当地法规、国家法律和国际法律的资料。未经许可而非法进入其它电脑系统是禁止的。若用户的行为不符合以上提到的服务条款，本网站将做出独立判断立即取消用户服务账号。用户需对自己在网上的行为承担法律责任。用户若在本网站上散布和传播反动、色情或其他违反国家法律的信息，本网站的系统记录有可能作为用户违反法律的证据。

七、论坛系统维护与技术开发由专人负责，信息安全、合法性有专人监督。其他任何人不得擅自修改或调试论坛系统。

八、实行版主责任制

版主负责监管该栏目的信息内容，除采取必要的技术手段外，有权对登载的信息负有人工过滤、筛选和监控的责任。一旦发现论坛的栏目中有违规内容，则追究版主的责任并予以处理。

本规定自发布之日起执行。

用户信息安全管理制度 篇6

1.目的

为提高企业信息化水平，规范办公系统的使用管理，进一步整合办公资源、提高工作效率、优化办公质量，制定本标准；

为了规范企业局域网内计算机操作，确保计算机使用的安全性、可靠性，制定本标准；

企业范围内的网络服务器、交换机等设备系为工作需要而配置，其配置对企业的各项工作起到应有的促进作用，并得到日常系统的维护，制定本标准；

对计算机的配置、使用、安全、维护保养等进行有效的管理，确保公司质量环境管理体系的有效运行，制定本标准；

对软件的购置、发放、使用、保密、防毒、数据备份等进行安全有效的管理，确保生产及管理工作的正常进行，制定本标准；2范围

本标准分七大部分：办公自动化、ERP管理、计算机信息安全管理、网络机房与网络设备管理、计算机设备管理、网络与网络安全管理、电话和虚拟网管理；

企业信息文档的上传、发布与协作（信息文档特指企业或部门之间交流与发布的各项规章制度、通知、请示、报告、文件、工作联系、通报、简报、会议纪要、计划、信息传递、报表等）；

管理

企业计算机信息安全管理；

网络机房与网络设备管理；

企业计算机设备的购置、管理与操作；

网络与网络安全管理；

企业电话和虚拟网管理；

3.职责

信息中心负责计算机及计算机软件的配置、购置、使用的统一管理工作；

信息中心网络管理员负责计算机网络机房与外围设备的日常管理与维护；

信息中心网络管理员负责计算机网络设备的采购计划的编制；信息中心主任负责各部门计算机配置的批准；中心主任负责各部门计算机软件购置的批准；

各计算机配置部门负责计算机的正确使用及做好维护保养工作；各计算机配置部门负责计算机信息的安全与保密工作；

4.办公自动化

企业办公自动化的主要运行单位

各部门、生产车间等相关有电脑的部门；

企业办公自动化的主要载体

企业OA系统办公，办公系统主要用于信息文档的传递、交流与协作、企业内部邮件的收发；

办公自动化系统的操作要求

系统账号由各部门负责人将姓名及职务告知信息中心，信息

中心统一建立账号和分配权限；

办公系统由各部门使用人操作，每天上班后保持办公OA系统处于在线状态；

个人密码由自己掌握，信息中心分配给用户的初始密码，第一次登录后，应将初始密码修改，如有不改密码者或把密码告诉他人造成的后果自负；

各部门在接受、处理下必的通知、工作联系及文件时，重要的文件和通知应及时保存到本机，以便使用；

部门按要求进行信息浏览，对公司发布的制度、通知、公文协同等，应及时进行处理或回复，以便于公文发起者和办公室及时了解各相关部门的处理情况；

在拟定公文时，应按相关要求填写，再提交相关部门传阅和领导核批，并且一定要注明主送部门和抄送部门，最后由送部门签发文件；

各部门上传的附件资料、信息用word文档和Excel电子表格的格式传送（文案类一律用word文档，表格类一律用Excel电子表格），不得采用wps、cced等格式；

严禁在系统中发布非法言论或图片，违者将追究相关人员的责任；

办公自动化系统的使用程序

公告通知、新闻、工作流、待办事宜、内部邮件、便签、常用网址、文件柜等在办公网首页中发布，部门负责人以个人密码进入，

对发布的信息点击【发表评论】进行阅办和处理，或下载学习；

办公自动化系统内部文件共享在“信息交流模块”，里面的“公共文件柜”里面，各个部门、各个人员都只能有权访问自己部门或自己有权限访问的数据；

企业信息中心负责办公自动化系统的技术保障和培训工作；

管理

主要运行单位

各部门、生产车间等使用ERP系统的相关单位；

各部门负责人对所在部门ERP管理负全责；

系统所涉及到的人员权限分配、密码分配、密码变更由信息中心掌控，并由信息中心备案，员工初始密码由信息中心统一设置、第一次登录后员工必须修改ERP系统密码，如不修改初始密码产生的后果由使用者负责；

6.计算机信息安全管理

各部门负责人对所在部门信息安全管理负全责；

信息安全管理所涉及到的人员权限分配、密码分配、密码变更由信息中心掌控，并由信息中心备案，员工可设置、修改计算机操作系统密码（不包括管理员密码），系统设两个账号，一个是管理员账号，密码只有网络管理员知道，一个普通用户账号，密码由使用电脑人员自己设定。

严禁员工在公司局域网内擅自共享文档，并严厉禁止使用完全访问权限，确需共享的文档一律采用只读访问；特殊情况确实需要全访

问，设置完成访问密码，该密码只能告知访问人员；

营销、财务、外贸等部门所涉及到的商业数据，禁止共享；特殊情况下应设置访问密码后共享；

使用win20xx和winxp操作系统的计算机，操作人员必须设置系统登录密码，密码由操作人员本人设置，但应通知部门负责人；一般情况下，网络管理员可修改本密码，但必须通知操作人员本人；

员工不得向未经授权的第三人提供密码，一旦发现密码泄露，应当立即报告部门负责人以更新密码；

员工发现计算机有异常情况，比如文件丢失、文件被删除、密码失效、数据被指定以外的其他人员加密、修改等，应立即通知信息中心；

严禁员工私自连接互联网，员工在连接互联网时不得从事与公司生产经营无关的事情，比如看电影、游戏等，违反本规定将进行考核；

严禁在未得到授权的情况下私自传输公司文件到第三人；传送至分公司或办事处含商业机密信息的文档必须使用密码进行加密，密码由部门负责人指定；任何人员未经公司许可，严禁泄露公司数据资料；因操作不当或失职造成损失的，按公司经济赔偿管理制度执行赔偿；

严禁员工利用计算机从事违法犯罪活动；严禁员工对公司局域网进行攻击和破坏，擅自更改公司局域网网络设置的行为视为对公司局域网的破坏和为；管理员在不影响其他部门工作的前提下，有权对局域网设置进行修改，但必须保证不会造成设备和软件故障；影响其他部门工作的大范围的网络维护工作，需报信息中心负责人审批；

用户信息安全管理制度 篇7

第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。

第二条任何单位和个人不得从事下列危害公司网络安全的活动：

1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。

2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。

3、未经允许，对信息网络功能进行删除、修改或增加。

4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。

7、向其它非本单位用户透露公司网络登录用户名和密码。

8、其他危害信息网络安全的行为。

第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。

第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。

第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。

第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

用户信息安全管理制度 篇8

第一条遵守国家有关法律、法规、严格执行安全保密制度，不得利用网络从事危害国家安全，泄密国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及黄色信息，不得在网络上发布反动、非法和虚假的消息，不得在网络上漫骂攻击他人，不得在网上泄露他人隐私，严禁通过网络进行任何黑客运动和性质类似的在破坏活动，严格控制和防范计算机病毒侵入。

第二条网络安全管理员主要负责全单位网络的系统稳定性和安全性。

第三条良好周密的日志审计以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。应定期对网络设备运行状况、网络流量、用户行为等进行日志审计，审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等内容，对络设备日志须保存三个月。

第四条网络管理员察觉到网络外于被攻击状态后，应确定其身份，并对其发发警告，提前制止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做善意阻击并向主管领导汇报。

第五条每月安全管理人员应向主管人员提交当月值班事件记录，并对系统记录文件保存收档，以备查阅。

第六条网络设备策略配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；更改前需经过技术验证，必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。

第七条定期对网络设备进行漏洞扫描进行分析、修复、网络设备软件存在的安全漏洞可能被利用，所以定期根据厂家提供的升级版本进行升级。

第八条对于需要将服务器托管接入申请表。

第九条对关键网络设备和关键网络链路需进行冗余，以保证高峰时的业务需求，以消除设备和链路出现单点故障。

第十条IP地址为计算机网络的重要资源，计算机终端用户应在信息科的规划下使用这些资源，不得擅自更改，另外，某些系统服务对网络产生影响，计算机各终端用户应在信息科指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行。

用户信息安全管理制度 篇9

一、总则

为加强公司信息安全风险源的预防管理，提高应急防范能力，保障网络系统、信息系统及信息机房的整体安全，促进公司安全生产稳步健康发展，制定本预案。

二、编制目的

依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神。确保公司信息网络系统安全运行，为公司整体安全形势稳步发展提供保障。

三、适用范围

本预案适用于各单位信息安全突发风险应急管理。

四、主要风险源

1、火灾

2、意外断电

3、重要数据丢失

4、网络系统大面积瘫痪

五、风险源辨识及评估

各单位应组织员工对风险源进行全面、系统的辨识和风险评估，并确保：危险源辨识前要进行相关知识的培训；辨识范围覆盖本单位的所有活动及区域；对危险源辨识和风险评估资料进行统计、分析、整理、归档；

、火灾辨识及评估

火灾辨识

（1）自然灾害引起的火灾

（2）强电线路短路引起的火灾

（3）杂物堆积引起的火灾

（4）温度过高引起的火灾。

（5）老鼠咬线引起的火灾。

火灾风险评估

机房发生火灾可能导致工作人员人身受到伤害；信息网络设备受到损坏；网络系统大面积瘫痪；国家、集体财产受到损失。

、意外断电辨识及评估

意外断电辨识

（1）自然灾害引起的意外断电。

（2）短路跳闸引起的意外断电。

意外断电风险评估

1、意外断电可能导致机房核心交换机、防火墙、汇聚交换机、数据库服务器、软件服务器、恒温设备等重要设备损坏或数据丢失；

2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的间接财产损失。

、重要数据丢失辨识及评估

重要数据丢失辨识

（1）意外断电引起的数据丢失。

（2）服务器故障引起的数据丢失。

（3）数据库损坏引起的数据丢失。

重要数据丢失风险评估

1、安全软件系统数据丢失可能导致安全生产监控类系统数据无法正常采集于传输，影响到矿井安全生产的正常进行。

2、数据库系统数据丢失可能导致经营管理类系统无法正常使用，影响公司相关部门经营管理工作和日常办公无法正常进行。

、网络系统大面积瘫痪

网络系统大面积瘫痪辨识

（1）意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。

（2）通信线路中断引起的网络系统大面积瘫痪

（3）服务器损坏或故障引起的大面积无法登录互联网。

网络系统大面积瘫痪风险评估

1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断，管理部门失去对矿井生产的安全监管，安全生产无法正常进行。

2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。

、高空作业辨识及评估

高空作业辨识

（1）日常高空维修可能造成人身伤害。

（2）工程高空施工可能造成人身伤害。

高空作业风险评估

日常高空维修网络设备、打扫卫生和高空施工可能造成工作人员人身伤害和精神伤害，影响公司安全生产稳步发展。

六、安全风险应急预案及措施

根据各单位存在的主要风险源和风险评估，保障安全生产工作有序进行，制定本预案及措施。

火灾应急预案及处置措施

应急预案

（1）发生特大火灾时（包括机房、UPS、库房），值班人员应立即逃离火灾范围，启动对应的火灾应急预案和响应级别，拉响警报，向公司总调度室、本单位负责人、单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火；

如果火势过大，人员无法靠近时，应立即拨打火警119，求助消防部门进行灭火。

（2）发生重大火灾时（包括机房局部、UPS控制器、库房局部），值班人员应立即逃离火灾范围，启动对应的火灾应急预案，拉响警报，向公司调度室和本单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火，力争将财产损失降到最低。

（3）发生较大火灾时（包括消防通道、办公室）值班人员应启动对应的火灾应急预案，向公司总调度室及本单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免或降低财产损失。

处置措施

（1）火灾发生时，值班和工作人员应立即脱离火灾范围，确保人身安全。

（2）根据火灾大小确定火灾风险等级，并启动相应的响应等级。

（3）根据火灾风险等级向公司总调度室及本单位安监部门汇报火灾情况。

（4）火势过大无法控制时，应立即拨打火警119进行求助。

（5）在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免火灾扩大，降低财产损失。

（6）尽最大可能搜集火灾发生的相关信息，做好记录，为事故处理提供依据。

（7）每月针对火灾诱发根源进行彻底检查（如易燃物品不能堆放、库房物品分类并整齐摆放等），预防火灾的发生。

、意外断电应急预案及处置措施

应急预案

发生自然灾害和短路引起的意外断电时，值班人员在确保人身安全的情况下，根据风险等级启动相应的响应等级，向本单位安监部门进行汇报，邀请电力维修人员进行断电故障排查，并组织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服务器、软件系统、烟雾报警、UPS温度监控、机房温度监控系统进行隐患排查，发现设备故障和数据丢失，应当进行及时处理和上报。

处置措施

（1）发生意外断电时，在确保人身安全的情况下，值班人员应启动相应的响应等级。

（2）向本单位安监部门进行汇报。

（3）必须请专业电力维修人员进行故障排查与维修。

（4）搜集意外断电发生的信息并作好记录，为事故处理提供依据。

、重要数据丢失应急预案及处置措施

应急预案

（1）因意外断电引起重要数据丢失时，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和安监部门进行汇报，邀请专业电力维修人员进行故障排查，恢复供电正常，排查机房设备及数据情况，发现设备故障和数据丢失，立即组织相关技术人员进行恢复。

（2）因服务器故障引起数据丢失时，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行服务器维修和数据恢复，如果服务器和数据无法维修和恢复时，应向本单位负责人汇报并外请专业人员进行维修，确保设备和数据安全。

（3）因数据库无法启动引起的数据丢失，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行数据恢复，如果数据无法恢复，应向本单位负责人汇报并外请专业人员进行数据恢复，确保设数据安全。

处置措施

（1）发生数据丢失时，值班人员应根据风险等级启动相应相应等级。

（2）值班人员向本单位安监部门汇报。

（3）组织技术人员对数据进行恢复。

（4）本单位技术人员无法恢复丢失数据时，应向本单位负责人汇报并外请专业人员进行数据恢复，确保数据安全。

（5）做好数据丢失与恢复过程的记录。

、高空作业应急预案及处置措施

应急预案

（1）在高空维修过程中发生人员坠落风险时，如果坠落人员处于清醒状态，应立即拨打120送往医院进行急救；

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救电话送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

（2）在高空施工过程中发生人员坠落风险时，如果坠落人员处于清醒状态，应立即拨打120送往医院进行急救；

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救电话送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

处置措施

（1）日常高空维修必须在确保人身安全的情况下进行，否则不能进行维修作业。

（2）在日常工作中设计到高空维修，维修人员一定要2人或2人以上进行维修。否则，维修人员可以拒绝维修工作。

（2）高空维修人员必须佩带安全绳索，并采用安全梯子进行高空作业。否则，不能进行高空维修作业。

（3）事故发生后要对事故的经过进行详细记录，为事故处理提供依据。

用户信息安全管理制度 篇10

第一章总则

第一条为加强信息管理,加快信息化建设步伐,提高信息资源的运作成就,结合本班组具体情况,特制订本制度。

第二条本管理制度中关于信息的定义:

(1)行政信息:公司系统内部目的为行政传达的一切文字资料、电子邮件、文件、传真。具体信息管理表现为上传下达、平级传送的行文管理、资料管理、档案管理。归属于日常行政管理。

(2)市场信息:与公司发生业务关系的客服文件、来往传真、电话、客户档案;公司业务应用的电话记录、报价、合同、方案设计、投标书等原始资料、电子资料、文件、报告等。具体信息管理表现为客户沟通、文字记录、资料搜集分析、业务文件编写等。归属于业务经营管理。

第三条信息管理工作必须在加强宏观控制和微观执行的基础上。严格执行保密记录,以提高班组效益和管理效益,服务于班组总体的经营管理为宗旨。

第四条信息管理工作要贯彻“提高效益就是增加企业效益”的方针,细致到位,准确快速,在经营管理中的降低信息传达的失误、失真、延迟,有力辅助细致管理和经营决策的执行。

第二章信息管理机构与相关人员

第五条设立信息机构,负责相关行政信息的日常管理,信息管理根据业务工作需要,配备必要的电脑技术人员、文员。

第六条设信息专员,主要负责市场信息的系统化、专业化管理。

第七条各级领导必须切实保障信息管理人员依照本办法行使职权和履行职责。

第八条信息管理人员在工作中。必须坚持原则,照章办事。对于违反保密制度和其他行政制度的事项,要及时向上级领导报告,接受指示后执行具体处理。

第九条班组支持信息管理人员坚持原则,按信息制度办事,严禁任何人对敢于坚持原则的信息管理人员进行打击报复,公司对敢于坚持原则的信息管理人员予以表扬或奖励。

第十条信息管理人员力求稳定,不随便调动。调动工作或因故离职,必须与接替人员办理交接手续,没有办理交接手续的,不得离职,亦不得中断有关工作。

第三章行政信息管理

第十一条按照行政信息的定义,行政信息主要产生、传递、应用于公司行政活动中。

第十二条行政信息管理按下列规定进行:

(1)文件收发规定;

(2)文件、档案、资料的’管理规定;

(3)信息管理中心管理规定;

(4)集团公司印章、介绍信管理规定;

(5)集团公司值班管理制度;

(6)保密制度。

第四章市场信息管理

第十三条依照市场信息的定义,市场信息主要产生、传达、应用在市场业务经营管理中。

第十四条市场信息来源分类:业务信息、非业务市场信息。

(1)业务信息:与班组发生业务关系的客户的电话、传真、函件、电子邮件;班组、客户之间业务沟通电话、传真、函件、电子邮件。

(2)非业务市场信息:网络、报刊、杂志和各种信息渠道收集的行业性文章、资料;竞争对手资料、文件、报告;公开的技术性资料;外围媒体、机构传送的集团公司的电子邮件、函件、资料;公司内部业务分析文件、报告;其他与市场业务经营和管理有关的资料。

第十五条信息专员在各级行政负责人的指挥下、主要负责以下非业务信息工作:

(1)负责日常打印、复印等文字文件电脑处理工作和负责电脑、传真机、复印机等设备的使用、管理和维护;

(2)负责公司非市场事物的管理、日常信息交流;

(3)接收、整理、呈报、发送非直接业务单位的信息文件资料;

(4)各种与行政管理有关的信息资料工作;

(5)上级交办的其他工作。

第五章其他

第十六条信息人员必须认识到,没有脱离具体行政活动、业务活动而独立的信息工作,所以信息管理的最终目的,检验信息管理工作的成效标准,是业务工作、行政工作的效果和执行效率。

第十七条本信息管理办法由生技部负责执行。

用户信息安全管理制度 篇11

为进一步促进我局的安全生产监督管理工作的针对性、及时性和工作效能，切实解决监管工作中的情况不掌握、监管不及时、重点不明确、措施不到位、整改不全面等问题，根据我局工作分工，制定本制度。

一、工作信息有关内容

1、安全生产监管工作计划（包括周、月计划、阶段、年度计划）、措施及工作职责分工。

2、职责内监管工作具体落实情况。

3、安全生产监督检查情况报告（包括周、月计划、阶段、年度）。

4、分管领域安全生产工作情况。

5、重要工作情况（包括重点检查、督查，会议，工作部署，事故隐患查处，事故调查处理等）。

6、领导交办事项的具体落实情况。

二、工作信息上报程序

信息上报一般应按照逐级上报的程序进行，紧急情况或特殊情况下可以越级直接上报。

1、科室人员向科室负责人报告工作信息。

2、科室负责人向主管局长报告工作信息。

3、主管局长向局长报告工作信息。

4、办公室负责对工作信息定期汇总。

三、工作信息上报方法及要求

1、除正在进行中的一般性工作信息或临时性工作信息可以口头上报外，其它均应当采取书面形式上报。

2、上报情况要及时。注重时限性，对安全生产监管工作计划、措施、工作职责分工和职责内监管工作落实情况，应按照局领导要求，及时上报；对安全生产监督检查情况及分管领域安全生产工作情况，按照周、月、阶段、年度时间要求，进行汇总上报；对重要工作情况，必须要随时上报；对领导交办事项的具体落实情况，要按领导要求搞好上报。

3、上报情况要真实。上报情况中说明或反映的内容一定要符合实际，必须是上报人确实了解或亲自掌握的；尤其上报重要情况、重大问题，必须经过上报人调查、核实，真实有据。杜绝使用听说、可能、或许、好象、差不多等词语。

4、上报情况要全面。应按照各种上报的具体要求将工作或问题概况、时间、过程、进度、分析、结果或结论等一一详细说明，涉及数字或能够用数字的尽可能用数字说明，必要时应举出典型事例进行说明。

5、因上报不及时或不真实、不完整造成不良影响和后果的，由上报人负责。

用户信息安全管理制度 篇12

第一条所有接入网络的用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及校园网防火墙、路由器、交换机、服务器等网络设备的活动。不得在网络上制作、发布、传播下列有害内容：

（一）泄露国家秘密，危害国家安全的；

（二）违反国家民族、宗教与教育政策的；

（三）煽动暴力，宣扬封建迷信、邪教、黄色淫秽，违反社会公德，以及赌博、诈骗和教唆犯罪的’；

（四）公然侮辱他人或者捏造事实诽谤他人的，暴露个人隐私和攻击他人与损害他人合法权益的；

（五）散布谣言，扰乱社会秩序，鼓励聚众滋事的；

（六）损害社会公共利益的；

（七）计算机病毒；

（八）法律和法规禁止的其他有害信息。

第二条在网站上发现大量有害信息，以及遭到黑客攻击后，必须在12小时内向三门县教育局现代教育中心及公安机关报告，并协助查处。在保留有关上网信息和日志记录的前题下，及时删除有关信息。问题严重、情况紧急时，应关闭交换机或相关服务器。

第三条任何单位和个人不得在校园网及其连网的计算机上收阅下载传递有政治问题和淫秽色情内容的信息。

第四条所有接入网络的用户必须对提供的信息负责，网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。对于运行无合法版权的网络软件而引起的版权纠纷由使用部门（个人）承担全部责任。

第五条严禁在网络上使用来历不明、引发病毒传染的软件，对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。

第六条认真执行各项管理制度和技术规范，监控、封堵、清除网上有害信息。为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。重要网络设备必须保持日志记录，时间不少于180天。

第七条上网信息管理坚持“谁上网谁负责、谁发布谁负责”的原则。对外发布信息，必须经局机关或各单位负责人审核批准后，才可发布（具体操作方法可参考“网络信息发布管理制度”）。

第八条各单位要确定一名行政人员为本单位网络安全责任人，领导网管员（网管机构）做好本单位的网络和信息安全工作。建立岗位责任制和机房管理制度。网络管理人员应加强责任心，保证现有各种网络设备良好运行，充分发挥效率。

第九条单位信息终端用户必须受网络管理员监督管理。整个单位要统一出口、统一用户管理。建立帐号登记管理制度，用户帐号只能专人专用，方便日后的检查和监督工作。

第十条与城域网及单位网络相连的机房建设，应当符合国家的有关标准和规定，在电源防护、防盗、防火、防水、防尘、防雷等方面，采取规范的技术保护措施。

第十一条城域网的系统软件、应用软件及信息数据要实施保密措施。接入互联网网的计算机必须与本部门的涉密计算机信息系统实行物理隔离。涉密信息不得在上网设备上操作或存储。信息资源保密等级可分为：

（一）可向Internet公开的；

（二）可向本城域网公开的；

（三）可向有关单位或个人公开的；

（四）可向本单位公开的；

（五）仅限于个人使用的。

第十二条任何单位和个人不得利用联网计算机从事下列活动：

（一）未经允许，非法访问教育城域网上网络服务器、工作站、交换机、路由器及其它相关设备；对教育城域网上所具有的功能、程序、数据进行删除、修改和增加；

（二）故意制作、传播计算机病毒与破坏性程序；

第十三条违反本管理制度，将提请有关部门视情节给予相应的批评教育、通报批评或行政处分、处以警告或停机整顿。触犯国家有关法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。

第十四条故意输入计算机病毒，造成危害城域网及子网站网络安全的，按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。

用户信息安全管理制度 篇13

第一章总则

第一条为加强邮政行业寄递服务用户个人信息安全管理，保护用户合法权益，维护邮政通信与信息安全，促进邮政行业健康发展，根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定，制定本规定。

第二条在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作，适用本规定。

第三条本规定所称寄递服务用户个人信息（以下简称寄递用户信息），是指用户在使用寄递服务过程中的个人信息，包括寄（收）件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄递详情单号、时间、物品明细等内容。

第四条寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针，保障用户个人信息安全。

第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。

省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。

按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。

国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构，统称为邮政管理部门。

第六条邮政管理部门应当与有关部门相互配合，健全寄递用户信息安全保障机制，维护寄递用户信息安全。

第七条邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定，防止寄递用户信息泄露、丢失。

第二章一般规定

第八条邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施，明确企业内部各部门、岗位的安全责任，加强寄递用户信息安全管理和安全责任考核。

第九条以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款，明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时，被加盟人应当依法承担相应安全管理责任。

第十条邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议，明确保密义务和违约责任。

第十一条邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训，加强职业道德教育，不断提高从业人员的法制观念和责任意识。

第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制，公布有效联系方式，接受并及时处理有关投诉。

第十三条邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的，在与委托方签订协议时，应当订立寄递用户信息安全保障条款，明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。

第十四条邮政企业、快递企业委托第三方录入寄递用户信息的，应当确认其具有信息安全保障能力，并订立信息安全保障条款，明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的，邮政企业、快递企业应当依法承担相应责任。

第十五条未经法律明确授权或者用户书面同意，邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。

第十六条公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案，邮政企业、快递企业应当配合，并对有关情况予以保密。

第十七条邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故，应当立即采取补救措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部门的调查处理工作，不得迟报、漏报、谎报、瞒报。

第三章寄递详情单实物信息安全管理

第十八条邮政企业、快递企业应当加强寄递详情单管理，对空白寄递详情单发放情况进行登记，对号段进行全程跟踪，形成跟踪记录。

第十九条邮政企业、快递企业应当加强营业场所、处理场所管理，严禁无关人员进出邮件（快件）处理、存放场地，严禁无关人员接触、翻阅邮件（快件），防止寄递详情单实物信息（以下简称实物信息）在处理过程中泄露。

第二十条邮政企业、快递企业应当优化寄递处理流程，减少接触实物信息的处理环节和操作人员。

第二十一条邮政企业、快递企业应当采用有效技术手段，防止实物信息在寄递过程中泄露。

第二十二条邮政企业、快递企业应当配备符合国家标准的安全监控设备，安排具有专门技术和技能的人员，对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。

第二十三条邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度，实行集中封闭管理，确定集中存放地，及时回收寄递详情单妥善保管。设立、变更集中存放地，应当及时报告所在地邮政管理部门。

第二十四条邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理，采取必要的安全防护措施，确保存储安全。

第二十五条邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时，应当确保档案完整无损，并做好查阅登记，不得私自携带离开存放地。

第二十六条寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严禁丢弃或者贩卖。

第二十七条邮政企业、快递企业应当对实物信息安全保障情况进行定期自查，记录自查情况，及时消除自查中发现的信息安全隐患。

第四章寄递详情单电子信息安全管理

第二十八条邮政企业、快递企业应当按照国家规定，加强寄递服务用户信息相关信息系统和网络设施的安全管理。

第二十九条邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定，合理划分安全区域，实现各安全区域之间有效隔离，并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。

第三十条邮政企业、快递企业应当配备必要的防病毒软件、硬件，确保信息系统和网络具有防范计算机病毒的能力，防止恶意代码破坏信息系统和网络，避免信息泄露或者被篡改。

第三十一条邮政企业、快递企业构建信息系统和网络，应当避免使用信息系统和网络供应商提供的默认密码、安全参数，并对通过开放公共网络传输的寄递用户信息采取加密措施，严格审查并监控对信息系统、网络设备的远程访问。

第三十二条邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时，应当与供应商签订保密协议，明确其安全责任，以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。

第三十三条邮政企业、快递企业应当建立信息系统安全内部审计制度，定期开展内部审计，对发现的问题及时整改。

第三十四条邮政企业、快递企业应当加强信息系统及网络的权限管理，基于权限最小化和权限分离原则，向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。

邮政企业、快递企业应当加强对信息系统和数据库的管理，使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权，并受到安全审计员的监控和审计。

第三十五条邮政企业、快递企业应当加强信息系统密码管理，使用高安全级别密码策略，定期更换密码，禁止将密码透露给无关人员。

第三十六条邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理，包括：

（一）使用独立物理区域存储寄递用户信息，禁止非授权人员进出该区域；

（二）采用加密方式存储寄递用户信息；

（三）确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人，建立设备、介质使用和借用登记制度，限制设备输出接口的使用。存储设备和介质报废的，应当及时删除其中的寄递用户信息数据，并销毁硬件。

第三十七条邮政企业、快递企业应当加强寄递用户信息的应用安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点和事项，留作信息安全审计依据。

第三十八条邮政企业、快递企业应当加强对离岗人员的信息安全审计，及时删除或者禁用离岗人员系统账户。

第三十九条邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则，对存储寄递服务信息的信息系统实行接入审查，定期进行安全风险评估。

第五章监督管理

第四十条邮政管理部门依法履行下列职责：

（一）制定保障寄递用户信息安全的政策、制度和相关标准，并监督实施；

（二）监督、指导邮政企业、快递企业落实信息安全责任制，督促企业加强寄递用户信息安全管理；

（三）对寄递用户信息安全进行监测、预警和应急管理；

（四）监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训；

（五）依法对邮政企业、快递企业实施寄递用户信息安全监督检查；

（六）组织调查或者参与调查寄递用户信息安全事故，依法查处违反寄递用户信息安全管理规定的行为；

（七）法律、行政法规和规章规定的其他职责。

第四十一条邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传，强化邮政企业、快递企业及其从业人员的信息安全管理意识，提高用户对个人信息安全保护的认识。

第四十二条邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警，建立信息管理体系，收集、分析与信息安全有关的各类信息。

下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况，并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。

第四十三条邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度，规范从业人员信息安全保护行为，防范信息安全风险等情况进行检查。

第四十四条邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定，妨害或者可能妨害寄递用户信息安全的，应当依法进行调查处理。违法行为涉及其他部门管理职权的，邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。

第四十五条邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。

第四十六条邮政企业、快递企业拒不配合寄递用户信息安全监督检查的，依照《中华人民共和国邮政法》第七十七条的规定予以处罚。

第四十七条邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的，应当依法予以赔偿。

第四十八条邮政企业、快递企业及其从业人员违法提供寄递用户信息，尚未构成犯罪的，依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的，移送司法机关追究刑事责任。

第四十九条任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后，应当依法及时处理。

第五十条邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件，以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息，但涉及国家秘密、商业秘密和个人隐私的除外。

第五十一条邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密，不得泄露、篡改或者损毁，不得出售或者非法向他人提供。

第五十二条邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用、玩忽职守，依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。

第六章附则

第五十三条本规定自发布之日起施行。

用户信息安全管理制度 篇14

近年来，随着计算机技术和信息技术的飞速发展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设，如何进行信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。

一、前言：企业的信息及其安全隐患。

在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面：

A.技术图纸。主要存在于技术部、项目部、质管部。

.B.商务信息。主要存在于采购部、客服部。

C.财务信息。主要存在于财务部。

D服务器信息。主要存在于信管部。

E密码信息。存在于各部门所有员工。

针对以上涉及到安全的信息，在企业中存在如下风险：

1来自企业外的风险

①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率;有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。

②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。

2、来自企业内的风险

①文件的传输风险。若有员工将公司重要文件以QQ、MSN发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。

②文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。③文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文件和重要资料带走，会造成企业信息的外泄。

④存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司，可能会泄露企业机密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。⑤上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。

⑥用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握，可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。

⑦机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自防盗、防雷、防火、防水。若这些自然灾害发生，可能会损坏机房设施，造成业务中断。

⑧办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到，可能会泄露部门工作机密，甚至是公司机密。

为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基础，各部门具体细则为安全管理行为标准，从各个层面杜绝信息安全隐患。

二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。

1.计算机设备安全管理。

1)公司所有人员应保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

2)严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向信息管理部报告，不允许私自处理和维修。

3)发现由以下等个人原因造成硬件的损坏或丢失的，其损失由当事人如数赔偿：违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进行处理。

4)下班后所有不再使用的计算机，应关闭主机电源，以防止意外，对于共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。

2.部门资料安全管理。

1)外接存储设备安全管理。

严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示此行为，并以公司存储设备做文件拷贝。为确保硬盘的安全，严禁任何人私自拆开电脑机箱：①将用户主机贴上封条标签，除信管部人员外，任何人不得私自拆开机箱，若信管部进行电脑硬件故障排查时，拆除封条标签后，在故障排查结束及时更换新的封条标签。信管部将定期检查，若发现有封条拆开痕迹，将查看视频监控记录，追查相关人责任。②给每台电脑主机配备锁柜，将所有用户主机存放在锁柜内，锁柜钥匙统一由信管部保管，若需要为用户处理电脑故障时，信管部在打开锁柜处理完电脑故障时，一定要锁好主机柜，确保主机内硬盘的安全。

2)文件传真安全管理。

所有人员对外发送传真，必须经上级核实后，统一在综合部登记，由综合部发送，严禁个人私自在未经许可的情况下对外发送任何类型的传真文件，一经发现，所有后果将由个人承担。在对内传真文件时，应即刻通知传真接收人接收并取走传真件，在传真结束时，应马上取走传真原件。若因传真时没有取走传真件，导致传真件丢失，造成本部门信息外泄，则由本人承担一切后果。

3)文件打印安全管理。

所有人员不得私自将公司文件打印带出公司，一经发现，严肃处理。若在上班时间，打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，若因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为，一经发现，将对本人警告，若因打印后，文件丢失，造成信息资料外泄，则由本人承担相关责任。

4)文件的存储安全管理。

所有部门人员应每周清理计算机中的文件，清除不需要的垃圾文件，将重要的文件和工作资料保存在特定的文件夹里，每月末应将电脑中的文件资料做一次备份，将文件资料备份到部门专用U盘或移动硬盘上，确保个人工作资料的文件归档，在电脑突发性故障或硬盘损坏时，能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份，造成数据资料丢失时，将由本人承担相关后果。若员工离职，在办完离职手续后，所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上，若没有执行此安全过程，离职员工损失的文件资料由该部门承担。

5)办公区域的安全管理。

所有部门人员每天下班时应保证办公桌的整洁，将部门重要文件资料存放在个人抽屉柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好，被他人取走，

造成的后果将由本人承担。

3.帐号密码安全管理。

使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工，员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产，设置密码时应注意：密码至少有8个字符长;密码必须包含以下任一部分：字母A-Z或a-z，数字0-9，特殊字符，例如$，-等。

1)电脑密码管理：每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息，网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记，若更改密码后，未进行登记，一经信管部发现，将对该用户进行口头警告。同时，因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题，信管部不承担责任。

2)应用系统密码管理：所有ERP用户及OA用户都将分配到一个帐号密码，帐号是不变的，用户可以更改自己的系统密码，密码尽可能设置为高安全性的复杂密码，严禁用户将密码设置为如123456等傻瓜式密码，若密码设置过于简单，被其他用户非法登陆后，在ERP中将会非法编制篡改单据，在OA中非法冒用流程管理权限，若产生此情况，将会导致严重的后果;严禁将ERP帐号或OA帐号密码透露给他人，让他人代己做ERP单据或办理OA流程;员工调离岗位或离职，所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。

3)采用用户身份认证系统：目前我公司登陆服务器采取的是静态密码认证，这种密码保护技术是最低层次的。在企业内，容易被其他部门人员注意到服务器登陆密码，从而可能会被动机不良的员工登陆到服务器，破坏服务器数据;在企业外，容易遭到黑客字典扫描破解密码，从而攻击各应用服务器，破坏或盗取商业数据等。因此，我部门在未来的发展规划中，要将用户身份认证当作安全的一个重大隐患，想办法解决这个问题。

这里，我们可以采取动态口令牌或USBKEY认证技术，并选择其中一种技术与公司现有的静态密码技术相结合，动态口令牌随机生成动态密码，并于60秒内自动刷新密码，无法采用数据字典扫描破解密码，让黑客攻击行为束手无策;而USBKEY采用USB密钥，存储特定的加密算法，只有将USB钥匙接上电脑，与电脑中存储的认证软件验证通过后，才能进入。我们通过(动态+静态)混合身份认证，或(硬件+软件)混合身份认证，保证服务器的登陆基于网内的行为、网外的行为都是安全的。

4..杀毒软件安全管理。

用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级，每日定时杀毒，使用者也应经常手动扫描杀毒。

5.各类软件安全管理。

软件原始盘片应交综合部保管，软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。

6.邮件安全管理。

所有因公对外联系的电子邮件一律通过公司邮箱info@或tech@或info@在指定的电脑上进行收发。(参考邮箱管理制度)

综上所述，使用者应该具有一定的安全防范意识，具体应做到：

日常工作信息安全：

1)员工应对在自己公司电脑内公司机密信息的安全负责，当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。

2.)员工有责任正确地保护分配给本人的所有计算机帐户。

3.)各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。

4)每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。

5)不得安装有可能危及公司计算机网络的任何软件，若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。

6)任何对公司内部计算机网络的黑客行为是绝对禁止的，一经查实将按公司有关规定严肃处理。

假期时间办公室的安全：确保工作电脑的安全，在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码，其它信息管理部设备的电源也必须切断。

确保数据的安全：确保你的软盘，备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。当你在外的时候：不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假，而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。

当你回来的时候：如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。

常规注意事项

1)任何外来盘片(包括CD、VCD碟片及软盘)，只有经过系统管理员确认不带病毒后，才可在公司计算机上使用.否则造成病毒感染或其他破坏的，公司将对其责任人进行罚款处理，每次金额50元～500元。

2)个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出，若需输出必须履行审批手续。申请人填写申请单，写明输出资料内容、份数、路径、用途、申请日期、申请人等项目，经部门领导和公司领导共同签字审批后，交由专人上机操作。

3)未经系统管理员许可，不得从因特网上下载任何软件安装，系统管理员将不定期检查，发现有违反本条规定的，将给予50元～500元的罚款。

4)严禁在工作时间利用计算机网络从事与本职工作无关的活动，发现有违反本条规定的，将给予50元～200元的罚款。

三、细则：从各部门级出发，针对这些信息隐患制订安全防范措施。

1.采购部的安全处理措施如下：

1)采购招标的安全管理。

由采购部门编写招标计划，经部门负责人签字后，上报总经理审批，总经理根据生产过程的物料需求及原有的物料采购价格决定是否需要寻找新的货源，若审批同意后，采购部才可以开展招标工作。采购部门制定招标邀请书，邀请众多有法人资格、供货条件的单位参与我公司的招标活动。在发标书的过程中。采购部应遵守下列原则：①招标的公开性：对于采购的招标信息应该公开;评标的标准和程序应该公开;中标的结果应该公开。②招标的公平与公正：对待各方投标者一视同仁，不得对任何投标方带有主观意见。③招标的保密性：采购部人员严禁以任何形式向投标方透露招标的意向。评标完成后提交评标报告给总经理，最后由总经理中标、授标。

2)采购价格及供应商的信息安全保密。

采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格，严禁向他人透露各种物料的供货来源。采购部门人员要随时检查个人办公区域的文件资料是否存放好，防止因打印的采购价格表和供应商联络单没有存放好，导致采购信息资料外泄。要求部门人员要严格保管好工作纸质文件，同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全。

2.客服部有如下工作存在安全隐患：

1)及时向甲方传递发货信息与到货信息。

2)甲方基地发货及库存统计：记录甲方发往各风场的数据，盘点甲方各基地库存数;

3)总经办工作安排。

以上存在的安全隐患及处理措施如下：

A)发货、到货、现场库存信息安全。

客服部人员在统计往风场发货及现场库存的时候，可能会因为客服部盘点疏忽，最终统计的库存结果不准确。这会造成公司的发货信息与现场到货数量不一致，从而得迅速查找整个发货到货流程的出错环节;甚至会因为库存统计的不准确，延迟发货到货时间，导致现场库不能及时向风场发货，从而影响客户的业务。客服部现场人员必须每日在OA中编写日记，以便部门领导能随时掌握此现场人员的工作动态，现场人员要认真盘点到货数量及现场库存信息，在现场与甲方进行每月、每季、每年度的数据核对，确保到货数量与

发货数量一致，并随时向部门负责人汇报。

B)总经办的日程安排管理。

在实际的工作中，总经理因工作繁忙暂时不在公司，一些待办理的工作无法通过审核。客服部负责人要了解总经办的行程，并确保行程不被泄露，保证总经理的其他事务不会受到打扰，在总经理方便时，提醒总经理处理一些比较紧急的待办文件;若总经理不在公司，以先短信后电话的形式给总经理汇报待办理的文件类型，在总经理办理完成后，及时将文件下发给相应部门。

3.项目部的安全处理措施如下：

1)图纸的安全管理。

项目部的图纸只允许在部门内部传阅。在进行项目生产时，工艺员申请借阅项目图纸，经签字确认后，档案专员将图纸副本发放给工艺员，工艺员负责监督技术人员和操作人员严格按照图纸进行生产，确保生产过程符合ISO9000体系要求。生产完成后，工艺员将图纸返还给档案专员，图纸副本重新归档。在借阅过程中，严禁借用人将图纸传阅给其他人员，一经发现，必将严肃处理。

2)工艺技术文件的安全管理。

项目生产的工艺技术文件由计划员归档保存，在组织生产人员进行操作培训时，指导操作人员学习质量文件和相关工艺规程，培训过程中，确保工艺技术文件只在培训过程中流转，培训完成后，收回所有的技术文件，禁止任何人以任何理由将文件带出公司。禁止任何人复印、传真此类文件。

3)人员的安全管理。

项目部保管着生产技术文件和图纸，公司的人员流动很容易造成技术的泄露。鉴于此，部门应严格控制工艺技术文件及图纸的传阅。文件将由专员保管。禁止部门人员在未经允许的情况下传真或复印此类文件;在部门员工调动或离职前，由部门档案专员收回该员工所有工作文件。若档案专员调动或离职，由部门经理亲自收回该岗位所有的工作资料，并清点所有书面文件和电子文件是否存在缺省或丢失的情况，最大程度避免人员的流动造成技术资料的外泄。

4.仓储部存在的安全隐患及处理措施如下：

A)物料库存安全。

物料采购入库后，仓储部做好物资的保管工作，如实登记仓库实物账，经常清查、盘点库存物资，确保系统帐、查存卡、实物一致;做好物资采购、存储、生产领用各环节平衡衔接工作，做到物料的先进先出，当保管物料的库存量不足时，及时通知采购部，由采购部制定新的计划进行物料采购，再入库存，确保生产有序进行。

B)物料信息安全。

仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。仓储部负责人应严格规范

部门人员的安全防范意识，并严格存放好入库单和领料单等纸质单据，确保不会因为单据的存放不善而泄露物料供货信息。

C)仓库整体安全。

做好物资的存储工作，按品种、规格、体积、重量等特征决定存放的方式与位置，仓库物品堆放整齐、平稳，合理利用储物空间，减少地面负荷，便于盘存和领取，并有效做到先进先出;做好仓库的安全、防火、防盗、防爆、卫生工作，确保仓库和物资的安全;对危险品需进行单独存放与隔离、管制。

5.技术研发部的安全处理措施如下：

1)图纸的归档

A)外来书面图纸：公司指定收件人收到后整理并编制归档，确认完整无误后，交由综合部档案管理员。图纸蓝图邮寄到北京，复印件登记，入库经总经理批示发放至相应部门。

B)电子版图纸：外来电子版图纸，由公司指定专人负责接收。打印一份，并同时将电子文件交档案管理员登记入库，经总经理批示发放至相应部门;若外来电子版图纸已由对方传至我方项目人员处，项目人员应将图纸资料整理后报综合部存档，由综合部统一打印及按公司规定下发至相应的职能部门，若出现图纸变更时，综合部应及时替换旧版电子图，并回收已发放的旧版图纸。

C)内部设计电子版图纸：在工程完工后一周内，技术人员应将最后定稿图纸交由综合部，由其在三天内加密统一刻录光盘。一式两份，公司领导及综合部档案管理员各保管一份。

2)外来工艺文件、技术规格书

技术人员在收到文件后1个工作日内整理无误，交综合部档案管理员登记、入库经总经理批示后方能发放。

3)内部拟定的工艺文件、技术规范文件

A)公司自行编写的生产工艺文件，经总经理审批签署后交综合部档案管理员入库存档。

B)移交文件时，移交人应备有档案实体和目录，经档案管理员对照验收无误后方能办理移交登记手续。

C)档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者，有权拒绝接收，并限期改正补交。

D)移交时，移交和接收文件方均应建立书面移交记录。

4)技术图书、期刊、标准的管理

公司购入的技术图书、期刊和标准，均属公司固定资产，应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。

5)技术，项目往来传真件

综合部收到技术文件后，下发到相应部门，相关责任人签收签字。同时保留复印件，按项目不同分类，待项目结束后，各负责人将其保存的传真复印件整理装订后归档。

6)技术，项目往来电子邮件

由公司指定接收人以及综合部邮箱管理员定期下载整理。每月将电子邮件交综合部统一刻制成光盘存档。

7)本行业其他公司宣传画册、样本、产品信息等文件，由综合部按《样本资料明细表》登记保管，使用人可查询使用，不得私自留存。

8)技术文件的复印

归档的技术文件确因工作原因需要复印时，须由使用人到综合部填写《资料复印申请表》经总经理批准后，综合部指定人员复印后发放至使用人。

9)技术文件的借阅

A)借阅手续：各部门有关工作人员因工作需要借阅归档技术文件，应办理调阅手续，经部门负责人签字，交公司领导批准后方可办理借阅手续。

B)借阅记录：档案管理员应有清楚、准确的借阅记录，包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。

C)借阅时间：一般最长不超过8个工作时，超过8个小时需在办理调档申请时特别说明。如员工因工作原因经批准需要带出资料时，则其返回后一个工作日内归还。

D)归还要求：借阅的资料交还时，必须由经办人当面点交清楚，如发现遗失或损坏，应立即报告领导，同时应追究使用人的责任。

公司所有技术文件均应先由综合部专人登记入库后，经总经理批示后分发至相应部门负责人处，由其向部门员工下发。各部门负责人应做好本部门技术资料的__，若保管技术资料人员离职时应向综合部交回相关的技术资料。综合部下发技术文件时，须由签收人签字确认。

6.质管部的安全处理措施如下：

1)工艺文件的安全管理。

部门档案专员保管本部门的工艺文件。此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况，若要进行生产过程检验，在部门负责人授权下，部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员，质量工程师或其他管理人员根据工艺文件的标准，对生产现场各道工序施工工艺、方法、操作规程进行检查监督，提出生产过程中的不合项，对不合格项进行跟踪验证。生产过程检验完毕后，质量工程师将工艺文件副本返还给部门档案专员，最后由档案专员进行文件归档。工艺文件仅允许部门内部管理人员传阅，不得借阅给其他任何部门及工人。若部门管理人员借阅工艺文件后，造成的文件丢失，则借阅者承担相关责任。

2)验收图纸的安全管理。

验收图纸用于检验生产完工后的产品是否合格，由部门档案专员保管。质量工程师借阅验收图纸后，以此为标准对完工产品进行鉴定，若合格，则调入成品库;若不合格，则对不合格项进行跟踪验证，直到产品合格为止。验收图纸借阅分为以下几种情况：①内部管理人员借阅。验收图纸只允许本部门内管理人员的互相传阅，借阅人在档案专员处登记，确定归还时间后，档案专员对其分发验收图纸副本，借阅完后，及时归还给档案专员，禁止传阅给部门非管理人员。②技术研发部人员借阅。只有技术研发部人员才能借阅本部门验收图纸。在借阅时，要遵守借阅流程，在技术研发部经理签字后，上报总经理审批，总经理审核通过后，质管部方可将验收图纸副本借阅给相关人员，并要求在8个小时内归还图纸。图纸借阅过程中，严禁将图纸传阅给其他人员，或私自将图纸进行复印或扫描，一经发现，必将严肃处理。③验收图纸不得传阅给其他部门人员，也不得传阅给本部门非管理人员。一经发现，追究档案专员相关责任。

7.财务部的安全处理措施如下：

1)财务部为公司重要数据信息部门，除本部门在内工作外，其他无关人员不得入内。

2)财务人员去银行取现金、支票等，应两人以上同行，禁止途中办理任何与此项工作无关事宜。

3)妥善存放支票，支票与有效密码及专用印鉴要分别存放。

4)出纳人员不得私配保险柜钥匙，不得将保险柜密码外传，过节或放假时，要与综合部配合，对保险柜加贴封条。若因密码钥匙保管不善，导致现金及其他财产损失，将由本人承担一切损失。

5)会计人员应妥善保管好各类凭证及发票，不得在凭证发票随意摆放在办公桌的情况下离开办公区域。凭证发票录入核对完毕，应立即整理存放到财务凭证专柜中，同时确保上锁，并妥善保管好钥匙，若因以上原因造成财务数据丢失，将由本人承担一切后果。

6)财务人员应保管好电子银行或其他一切与财务有关的加密锁，在使用时，使用人不得离开电脑，确保所做的一切操作均出自本人之手。若使用完毕，一定要将加密锁存放于财务专柜中妥善保管。

7)财务部门因为数据的重要性，因此对安全的要求很高。在使用电脑时，要求财务部门人员一定要每天升级杀毒软件，若电脑出现异常，应联系信管部查明原因，是否能安全操作。

8)财务部是企业工资的发放部门，掌管着企业全体人员的工资详情。由于工资向来是公司的敏感信息，因此，财务的工作要求财务所有人员应严格遵守职业素养，严禁财务部人员以任何形式向任何人透露工资或奖金信息。

8.综合部的安全处理措施如下：

1)技术类文件、图纸和图书的安全管理。

综合部指定收件人收到外来书面图纸后整理并编制归档，确认完整无误后，交由档案管理员。图纸蓝图邮寄到北京，将复印件登记，再经总经理批示后发放至相应部门。综合部指定收件人接收到外来电子版图纸，打印一份，并同时将电子文件交档案管理员登记入库，经总经理批示发放至相应部门，若图纸出现变更时，综合部应及时替换旧版电子图，并回收已发放的旧版图纸。公司购入的技术图书、期刊和标准，均属公司固定资产，应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。

2)涉外合同的安全管理。

综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后，由综合部将其分类归档到指定的档案盒中，并将档案盒编号题名存放于指定的档案柜中，将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料，需要向综合部提出申请，经综合部负责人审批通过后，档案管理员方可开启档案盒调出文件发放给相关部门;原则上不允许各部门向综合部借阅其他部门的合同资料，若确因工作原因需要借阅，则应提交总经理审批，综合部在看到总经理的签字后方可指派档案管理员借出资料，并规定借阅时间不得超过8个小时，由借阅人签字，在借阅过程中造成的合同资料丢失，将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒;严禁档案管理员将档案柜钥匙借给任何人，若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。

3)工资编制的安全管理。

综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的，综合部在核算员工工资的时候，应该谨慎处理，如在电子表的发送之前，可以设置相应的密码，防止不小心发送到其他人电脑上，在打印工资表的时候，应单独设置非监控直接打印，并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算，不得擅自更改原始依据。工资核算完成后，上报公司领导审批。严禁工资核算人向他人透露公司工资及奖金信息，严禁在任何场合与他人讨论工资话题，一经发现，将追究其相关责任。

9.信管部的安全处理措施如下：

1)计算机网络设备安全管理。

公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定：

A)计算机是指为公司内部员工使用的PC机(包括CPU、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供，如非特殊需要不配备光驱和软驱。)

B)网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。

C)计算机其他配件是指公司备用的光驱、软驱等。

D)附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。

E)包括计算机及耗材的采购计划、故障维修等项工作。

在员工电脑各组件老化或损坏，严重影响工作效率时，信管部可申请以旧换新或报废处理。若需要报废，则填写报废申请单经部门负责人确认后上报总经理审批，审批通过后才能作报废处理，信管部不得擅自处理破旧的电脑或电子设备。

2)公司所有输入输出设备统一归信息管理部管理。

输入输出设备包括扫描仪，传真机，打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映，以便信息管理部及时查找原因，解决故障。

3)公司视频会议设备和视频监控设备统一由信息管理部管理。

A)视频会议设备包括视频会议服务器、视频会议终端、SONY摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。

B)视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。

4)信息化系统ERP、OA帐户安全管理

系统管理帐号的设置与管理

A)ERP、OA系统管理帐号必须经过总经理授权取得。

B)ERP系统管理员负责ERP系统帐套环境生成、维护，负责一般操作帐号的生成和维护，负责故障恢复等管理及维护;OA系统管理员负责OA系统自定义表单的生成、流程的建设和优化。

C)ERP、OA系统管理员对业务系统进行数据整理、故障恢复等操作，必须有相关部门的签字和领导的审批授权。

D)ERP、OA操作用户需要增加或修改权限需要填写ERP/OA用户权限申请表，并经过本部门负责人签字后交由总经理审核，通过后，再由信息管理部作权限相关处理。

E)系统管理员不得使用他人帐号进行业务操作。

F)系统管理员调离岗位或离职，信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。一般操作帐号的设置与管理

A)一般操作帐号由系统管理员根据各类应用系统操作要求生成，应按每用户一帐号对应设置。

B)操作员调离岗位，系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。

5)密码安全管理

A)终端计算机密码安全管理：系统管理员及时登记公司所有用户电脑密码，制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时，系统管理员及时登记相应的新密码。

B)应用服务器密码安全管理：包括ERP服务器、OA服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全，针对每个服务器创建一个复杂的、不同的密码，并每年更换一次新密码。制成《服务器密码登记》文件，并提交给部门负责人。

C)防火墙/路由器密码安全管理:防火墙和路由器的密码和服务器管理方法一样，设置成不同的、复杂的密码，并每年更换一次，将密码登记到《网络设备密码登记文件》中，并提交给部门负责人。

D)ERP/OA系统密码安全管理:ERP/OA系统密码分为管理员密码和操作用户密码。系统管理员登录密码由ERP/OA管理员掌管，为保证系统安全需要定期更改时，及时上报部门负责人。操作用户密码由ERP/OA管理员在创建帐户时初始生成，信息管理部发放帐号密码后，由用户本人修改密码，并自行保管好自己的密码，如特殊原因忘记密码时，由ERP/OA管理员帮其初始化密码。

信管部应将所有的服务器和网络设备设置不同的密码，所有的密码仅限于信管部内部人员掌握，不得向其他部门人员透露，在特殊情况下，需要供应商做远程调试时，方可透漏相关设备密码，在调试结束后，应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上，容易受到不法分子攻击，因此，需要定期更改密码，且密码复杂性尽可能设置高。

6)数据备份安全管理

定期备份ERP服务器、OA服务器、邮箱服务器。具体备份方法如下：

A)ERP服务器备份：每天早上自动备份E3帐套和5000帐套。

B)OA服务器备份：每天早上9：00备份OA数据库，并于每周五早上9：00备份OA系统文件夹。

C)邮箱服务器备份：每周五早上9：00在邮箱控制台执行备份操作，并于每月28日备份邮箱目录文件夹。备份完成后，将备份文件转存到其他电脑上或移动硬盘上做异地归档，以防本地硬盘发生故障时能随时做灾难恢复。

数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开企业网络应用高峰，避免对各部门工作造成影响。数据的清理包括：

A)ERP系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。

B)OA系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。

C)邮箱系统中垃圾邮件的清理、人员变动记录的清理。

D)用户电脑中系统垃圾文件的清理、IE缓存的清理。

7)信息资料安全管理

A)加密系统管理;目前我公司使用的是天盾文档加密系统，对常用办公软件office、pdf、AutoCAD文件加密，公司内部的此类文件被带出公司后，显示在其他的电脑上均为乱码，保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。然而，我公司因为之前的需求，加密软件使用的是单机版与网络版混合使用的，网络版可以根据策略的下发，实现文件在企业网的加密、反截图、禁USB等功能，但脱离局域网后，电脑无法打开文件，若有出差人员在外地使用电脑，就无法使用网络版;而单机版就解决了出差人员电脑加密的问题，可以正常打开公司的文件，但这里存在一个安全风险，若出差人员的电脑被盗，将会造成企业信息资料的外泄。针对以上情况，我们需要寻找一种更加适合的加密软件，确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能：能够通过控制台在公司网内加密指定类型的文件，同时可以设置不同的加密权限对应于不同的用户组;能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等;能够加密原加密软件不支持的文件类型;能够荧荧于所有的windows平台上;能够禁用USB存储设备，不禁用USB外设;能禁止用户屏幕截图;能审计打印等。

B)大蓝监控软件管理：监控软件在很大程度上起到威慑作用，监控软件能够记录所有用户在个人电脑上的一举一动，通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。

C)打印控制软件管理：打印控制软件应用后，员工的打印需要在管理员审核通过后方能打印，若管理员审核到某员工的打印内容涉及本公司信息安全，拒绝员工的打印。在审核通过、打印完成后，管理员可随时调出以前的打印记录，保证了及时信息安全责任追究。

D)设备送外维修，须经设备管理部门负责人批准。送修前，需将设备存储介质内应用软件和数据备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。

E)信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。

F)信息管理部负责计算机病毒的防治工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

G)用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。

8)机房安全管理

①非信息管理部人员不得进入机房，信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时，完成相关操作后，一定要关好机房大门，并保管好机房钥匙。

②保持机房整齐清洁，各种机器设备按维护计划定期进行保养，保持清洁光亮。

③确保机房防水，定期检查机房天花板、四壁有无漏水现象，保证机房内的服务器和其他电器设备的安全。

A)发生机房漏水时，信管部应立即通知综合部联系大厦物业，同时，信管部第一时间保护好服务器及其他设备，避免设备浸水后损坏。

B)若为墙体或窗户渗漏水，应急领导小组应立即采取有效措施确保机房安全，同时安排通知综合部协助及时清除积水，维修墙体或窗户，消除渗漏水隐患。

④确保机房防火，定期检查机房内灭火器状态完好无损。

A)完善机房环境，确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房。

B)一旦发生火灾，迅速切断机房电源，避免灾情的扩散，并迅速拨打物业管理和119火警电话。

C)等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。

D)配合消防部门调查事故原因，对造成的损失和起火原因做好记录，以便进行灾后总结。

⑤确保机房防雷，遇到暴风雨恶劣天气，应作防范性处理。

A)遇雷暴天气，信管部在下班后应及时关闭所有服务器，切断电源，暂停内部计算机网络工作。

B)雷暴天气结束后，信管部应及时开通服务器，恢复内部计算机网络工作，对设备和数据进行检查。出现故障的，事发部门应将故障情况及时报告应急领导小组。

C)因雷击造成损失的，信管部应会同综合部进行核实、报损，并在调查工作结束后一日内书面报告领导。应急领导小组每日查看、清点设备并锁好机房大门。

⑥确保在停电后，业务应用的安全管理。

信管部在接到停电通知时，应设置便签提醒自己具体要停电的时间，若停电时间在上班时间，则提前发出通知给北京和常州所有人员，避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间，则在下班时通知所有人关闭电源，同时信管部及时关闭服务器，以免停电损坏主机电源。停电结束后，打开各应用服务器，并谨记要打开视频监控服务器，恢复闭路监控系统正常工作。⑦确保机房防盗，针对此环节，作相关防范处理。

A)信息管理部每日查看、清点设备并锁好机房大门。

B)信息管理部每日检查录像监控服务器状态，确保监控画面正常，并检查每日录像正常性、完整性。

C)发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告信息管理部，同时保护好现场。

D)信管部接报后，即刻调出监控录像，搜查可疑行迹，若无法解决，可联系公安部门处理。

提高行业信息化管理水平，信息安全是关键。而信息安全构建必须管理、技术两者双管齐下：

1)加强管理，综合防范。安全体系是一个整体的、系统的工程，不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合，逐级建立多层次的安全防护体系，综全防范实现分级阻止违规行为，实现一体化的安全系统。

2)完善制度，强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限，对员工按其职责划定必要的最小授权范围，明确安全责任。确保安全措施落实、有效，加强员工的信息安全教育和培训，强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。

用户信息安全管理制度 篇15

为保证计算机的正常运行，确保计算机安全运行，制定本制度。

一、管理范围划分

本公司计算机分为涉密和非涉密两部分，涉密计算机指主要用于储存或传输有关人事、财务、经济运行、信息安全等涉及企业经营管理信息的计算机。非涉密计算机指用于储存或传输日常办公资料信息计算机。信息技术部、关务部、财务部计算机按照涉密要求进行管理。

二、非涉密计算机日常管理

1、各部门的计算机，操作人为管理第一责任人，承担公司计算机操作的管理、保密和安全,以防止误操作造成系统紊乱、文件丢失等故障。

2、计算机主要是用于业务数据的处理及信息传输,提高工作效率。严禁上班时间用计算机玩游戏及运行一切与工作无关的软件。

3、新购的计算机、初次使用的软件、数据载体应经我部计算机管理员检测,确认无病毒和有害数据后,方可投入使用。

4、计算机操作人员发现本部门的计算机感染病毒,应立即中断运行,并与计算机管理员联系及时消除。

5、爱护机关计算机设备，保持计算机设备的干净整洁。

三、涉密计算机日常管理

1、涉密的计算机内的重要文件由专人集中加密保存,不得随意复制和解密,未经加密的重要文件不能存放在与国际联网的计算机上。

2、对需要保存的涉密信息,可到信息安全科转存到光盘或其他可移动的介质上。存储涉密信息的介质应当按照所存储信息的最高密级标明密级,并按相应密级的文件管理。

3、对信息载体(软盘、光盘等)及计算机处理的业务报表、技术数据、图纸要有专人负责保存,按规定使用、借阅、移交、销毁。

用户信息安全管理制度 篇16

第一章养老保险中心物理和环境安全管理制度说明

为了加强养老保险管理中心内部管理与监督，增强自我约束能力，规范社会保险管理服务工作，确保社会保险基金完整安全，根据《中华人民共和国劳动法》、《中华人民共和国会计法》、《社会保险费征缴暂行条例》、《社会保险稽核办法》、《社会保险审计暂行规定》、《某某省社会保险经办机构内部控制暂行办法》等法律法规和行政规定，制订信息安全责任制。本责任制为防范社会保险经办风险，保证法律法规和行政规章的贯彻执行，业务活动的规范有序、基金的安全完整等目标的实现而对内部职能部门和其工作人员完成社会保险管理服务工作及业务行为进行规范、监控和评价。

1、本责任制的目标：在中心内建立一个依法办事、运作规范、管理科学、监控有效、考评严格的内部控制体系。对本中心内各职能科（部）、各项业务、各个环节进行全过程的监督控制，准确地贯彻落实社会保险政策法规和各项规章制度，保证社会保险基金完整安全，全面完成各项社会保险目标任务。

2、中心坚持依法行政和依法经办。建立科学民主、公开透明的决策程序，高效严谨的业务规程，健全有效的监督体系，切实维护参保单位和参保人员的合法权益。

3、建立完善的组织决策控制制度和科学的人事管理制度。中心实行主任负责制，主任领导全面工作，副主任按照分工协助主任负责分管的工作，日常工作按职责处理，在职权范围内各司其职，各负其职，定期向主任报告，重大事项及时请示、汇报；各科（部）科长（部主任）对各科（部）实行科长（部主任）负责制度，并向主任、分管主任负责。中心对内部机构、岗位设置与职责、决策程序、法人授权、授权范围、权力监督、人员调配与使用、干部培训、定期轮岗、离任审计、考核与奖惩等作出有关规定。

4、中心对社会保险基金管理是承担第一责任，主任是第一责任人。对各项社保基金的管理的审批，主任对副主任实行授权审批，副主任对授权审批权限内的基金承担全部责任。

5、印鉴的管理。中心必须经中心领导同意方可使用，各业务科（部）的业务用章，一律不得以中心的名义对外使用。

6、严格划分中心内部的各个不相容岗位，确保不相容岗位人员相互分离。不相容岗位包括：授权与批准、批准与执行、执行与监督、审核与记录、记录与检查。

7、建立有效的内控考评制度，加强经办能力建设。对业务风险控制情况的评价、违反内控规定的处罚等内容作出规定，同时提高政策执行能力、管理服务能力和风险管理能力以及工作人员的政治、业务素质。

8、强化风险意识，实行政务公开。树立风险管理理念，落实风险管理责任，制定风险应急预案，建立社会保险披露信息制度，接受公民、法人和其他社会组织的监督。

第二章信息安全责任制及信息安全情况报告制度

社保登记管理包括参保登记、变更登记、注销登记和登记证件管理。按照属地管理原则，中心为依法申报参加社会保险的单位办理参加社会保险登记手续。并如实填写《社会保险登记表》；申报参加社会保险的单位按规定出具的证件、资料的完缺及真伪由稽核科业务经办人员验证并签署姓名，待无误后再填写《社会保险登记表》，并在经办人一栏署名，送科长（副科长）审核后办理。

办理社保变更登记的单位按规定出具的证件和资料的完缺及真伪由稽核科业务经办人员验证，待无误后填写《社会保险变更登记表》，并在经办人一栏署名，送交科长（副科长）审核后办理。

办理社保注销登记的单位按规定出具的证件和资料，中心财务科出具的应缴纳的保险费、滞纳金和罚款缴讫发票以及完缺或真伪由稽核科业务经办人员验证，待无误后署名送科长（副科长）审核。

稽核科对已核发的社会保险登记证件，实行定期验证和换证制度，按规定为参保单位办理验证或换证手续。办理社会保险登记验证的单位按规定出具的证件和资料由稽核科业务经办人员审核，待无误后署名送科长（副科长）签署意见后存档。

根据工作安排，稽核科对需要进行稽核的对象提出意见，报主任（分管副主任）审批同意后进行。稽核时应有两名以上稽核人员共同进行，向被稽核对象说明身份并出示执行公务的证明；对稽核情况应做好笔录，笔录应当由稽核人员和被稽核单位法定代表人（或法定代表人委托的代理人）签名或盖章，被稽核单位法定代表人拒不签名或盖章的。每一单位稽核结束后，应将稽核结果报告主任（分管副主任），需要进行整改的，稽核业务经办人员要在《社会保险稽核整改意见书》上署名，送科长（副科长）审核报主任（分管副主任）审批后送达整改单位。

对发现骗取养老保险待遇的.，稽核科和养老待遇支付科具体业务经办人员都应在调查取证的材料上署名，科长（副科长）签署意见后，报主任（分管副主任）批准后执行。

稽核科根据工作计划和有关规定，将内部审计内容报告主任（分管副主任）批准后实施，实施过程中要有2名以上人员共同参加并做好内审笔录，笔录由稽核人员和检查部门负责人签字。内部审计检查中出现的问题要写出内部审计报告，提出明确的处理意见和整改措施，送主任（分管副主任）审批后实施。

业务经办人员根据上月发放基数和当月增减变动情况，编制当月养老金发放计划并签署名送科长审核、主任（分管副主任）审批后转养老待遇支付科。业务经办人员对死亡退休人员的待遇进行初审，签署意见后送科长审核、主任（分管副主任）审批后予以支付。

第三章养老保险管理中心数据安全管理制度

办理机关事业单位养老、医疗、工伤和生育保险费征缴业务的经办人员，只能办理本险种业务，生活待遇办理其他险种业务。业务经办人员必须严格按照有关规定审核参保单位申报的资料（含苞欲放增、减变动资料），签署审核意见送科长稞后，分别编制养老、医疗、工伤、生育保险征缴计划。完成征缴计划送科长审核报主任（分管副主任）审批后执行。

每月末10个工作日内，各险种业务经办人员必须和财务科对口业务经办会计对帐，确认当期基金应收计划（含补收）执行情况和上帐情况，结转欠费记录并向欠费单位催收欠费。上述计划及执行情况均接受稽核的稽核和内部审计，并同时向主任（分管副主任）汇报。

养老、医疗保险业务经办人员对转移资料是否齐全、印章和个人基础信息完整进行初审并签注意见后，经科长审核，由经办谷为转入人员建立接续帐户。

业务经办人对转移申请提交的资料初核后，送科长复核后办理帐户转出手续。办理基金转出的须主任委员（分管副主任）审批，同时封存个人帐户。

养老、医疗保险业务经办人员对死亡参保人的资料的真实合法性和完整性进行初审、复审后，经主任委员（分管副主任委员）审批，同时注销个人帐户。

业务经办谷对缴费人员终止缴费前退费填报的申请表和有关材料进行初审，送科长审核报主任（分管副主任）审批，同时注销个人帐户。

第四章养老保险待遇审核支付及安全操作管理制度

养老保险待遇审核支付实行初审、复审和审批制度。

一、正常退休人员审批：参保人员符合正常退休条件时，业务经办人对参保职工提供的退休档案进行初审，送科长（副科长）复审报分管副主任审批。

二、离退休（职）人员待遇计算：养老保险待遇支付科业务经办人员按规定录入相关数据计算基本养老待遇，并打印、核对送科长（副科长）复核（同时需经过计算机系统复核通过），分管副主任审批。

三、离退休（职）人员待遇调整：由计算机程序管理员按国家调整养老待遇的规定编制程序由计算机系统统一调整，养老待遇业务经办人员核对、科长（副科长）复核后送分管副主任审批。

因各种原因需要对离退休（职）人员的基本养老金进行增减变动时，经业务经办人员初审，送科长（副科长）复核报分管副主任审批。

养老保险支付科业务经办人员对死亡人员资料审核并计算待遇，送科长（副科长）复核报分管副主任审批。养老待遇支付科业务经办人员对当月发放的支付计划（含代发）进行编制并复核，经科长（副科长）审核报主任、副主任审批。