计算机安全管理制度

XXXXXX有限公司 C-TPAT体系程序文件 此文件适用于XXXXXX有限公司 文件名称：计算机安全管理制度 制定部门： 文件编号： 生效日期: XXXX年XXA1 月XX日 第 1 页，共 3 页 版本：制定人： 批准人： 郑重声明： 未经批准，不得复制！ 日期： 发 日期： 行 章 涉及的计算机设备，包括计算机室计算机设备及计算机负责安装在其他部门或单位的计算机设备。 1． 要求：

1.1 一般工作部不安装软驱和光驱，如有安装软驱和光驱的计算机，每次使用磁盘都要用杀毒软件检查；

1.2 对于联网的计算机，任何人在未经批准的情况下，不得向计算器内拷入软件或文档； 1.3 数据的备份由相关专门电脑负责人员管理，定期每月进行备份一次,备份时必须采用硬盘进行备份,然后进行异地存放,防止意外发生而导致数据无法恢复； 1.4 软盘光盘等在使用前，必须确保无病毒；

1.5 计算机一经发现病毒，应立即通知计算机室专业人员处理； 1.6 操作员在离开前应退出系统并关机；

1.7 任何人未经操作员本人同意，不得使用他人的计算机。 2． 监督措施：

2.1 由专业人员负责所有计算机的检测和清理工作； 2.2 由计算机室的专业人员，根据上诉作业计划进行检测； 2.3 由经理负责对防范措施的落实情况进行监督。 3． 装有软驱的计算机一律不得入网：

对于尚未联网计算机，其全件的安装由计算机室负责，任何计算机需要安装软件时，由相关人员负责提出书面报告，经人事经理同意后，由计算机室负责安装；软件出现异常时，应通知计算机室专业人员处理；所有计算机不得安装游戏软件；数据的备份由相关专业负责人管理，备份用的软盘由专业负责人提供。

4． 硬件维护人员在拆卸计算机时，必须采取必要的防静电措施；硬件维护人员在作业

XXXXXX有限公司 C-TPAT体系程序文件 此文件适用于XXXXXX有限公司 文件名称：计算机安全管理制度 制定部门： 文件编号： 生效日期: XXXX年XXA1 月XX日 第 2 页，共 3 页 版本：完成后或准备离去时，必须将所拆卸的设备复原；要求各专业负责人认真落实所辖计算机及配套设备的使用的保养责任；要求各专业负责人采取必要措施，确保所用的计算机及外设始终处于整洁和良好的状态；所有带锁的计算机。在使用完毕或离去前必须上锁；对于关键的计算机设备应配备必要的断电保护电源。

5． 各单位所辖计算机的使用、清洗和保养工作，由相应专业负责人负责；各专业负责人必须经常检查所辖计算机及外设的状况，及时发现和解决问题。

6． 由于计算机设备已逐步成为我们工作中必不可少的重要工作。因此，计算机部决定将计算机的管理纳入对各专业负责人的考核范围，并将严格实行。

6.1 凡是发现以下情况的，计算机部根据实际情况追究当事人及其直接领导的责任： 6.1.1 计算机感染病毒；

6.1.2 私自安装和使用未经许可的软件（含游戏）； 6.1.3 计算机具有密码功能却未使用； 6.1.4 离开计算机却未退出系统或关机；

6.1.5 擅自使用他人计算机或对外造成不良影响或损失； 6.1.6 没有及时检查或清洁计算机及相关外设。

6.2 凡发现由于以下作业而造成硬件的损坏或丢失的，其损失由当事人负责： 6.2.1 违章作业；

6.2.2 保管不当擅自安装、使用硬件和电气装置。

7． 员工的电子邮件可能会为企业网络带来好几种漏洞，例如收不到请自来的邮件却毫无警惕便直接打开其附件，或是未对附件文件扫描是否有病毒藏匿其中便直接开启文件等等。此外，企业若不主动将新的病毒库派送到员工的计算机上，强制实行工厂制定的政策，而是安全信任员工随意更新自己计算机上的病毒库，那么就算员工每次都很谨慎扫描文件，确定没有病毒后才打开文件，仍然有被病毒感染的风险。更有甚者，若是放任不当的电子邮件、色情或其他具有攻击性的内容在办公室到处流窜，企业更有可能会面临法律上的种种问题。

8． 密码是大部门企业的主要弱点，因为人们为了节省时间，常常会共享或选择简单的密码。密码若不够负责，便很容易被被人猜测到并用来取得机密资料。其实网络安全的弱点

XXXXXX有限公司 C-TPAT体系程序文件 此文件适用于XXXXXX有限公司 文件名称：计算机安全管理制度 制定部门： 文件编号： 生效日期: XXXX年XXA1 月XX日 第 3 页，共 3 页 版本：还在于不是只有使用者有密码而已，若态度不够谨慎，只要稍微运用一下手腕便可让他们吐露出来，例如通过电话或电子邮件假装一下，通常就能把员工的密码骗到手。

9． 完全不知道如何防范各式各样的安全漏洞。例如通过社交手段套取等等，便会使得企业门户大开，容易受到各种攻击。未受到正确训练或不满意工作的员工，更可能把企业独家或敏感资料泄露给竞争对手等不应该接触这些资料的人。

10． 企业应决定由谁负责主导政策的制定和执行，人力资源部门则应在员工的新进训练时以书面告知工厂的政策，待员工同意后要求其签名确认已了解并愿意遵守工厂相关规定，之后必须严格执行规定，绝对不能有例外。工厂的政策应明确制定违反规定的处罚细则。一般而言，安全系统与网络管理人员应该建构安全防护机制，成立紧急处理小组以应对可能发生的漏洞，并于人力资源部门密切合作，随时报告可疑的状况。 11． 网络维护：

11.1 设立网际网络使用规范，让员工了解工厂对员工个人使用电子邮件与计算机的规定。此外，明确网络的使用规范可提高IT人员设定与监视网络安全方案的效率；

11.2 采集能够扫描邮件是否含有不使用内容的技术，并记录违反工厂管制规定的网络行为；

11.3 法律专家认为，监视员工的电子邮件与网络行为在工厂面对法律诉讼时，有利于保护工厂本身，因此企业应当设立使用规范，并采用内容监视机制，保护员工不受任何骚扰； 11.4 训练员工了解如何应该及时下载最新的防毒更新资料，如何辨认电脑是否有可能中毒，并教导员工如何开启档案之前扫描档案是否有病毒；

11.5 修补软件的漏洞，降低病毒透过网络或电子邮件渗入企业网络的机会；

11.6 制定密码使用规范，要求员工经常更换密码，并教育员工防范社交欺骗手段，要求他们无论如何都不可以交出密码；

11.7 审查每个员工是否须接触机密资料，并严格限制机密资料只用于工作上绝对需要的员工使用；

11.8 警告员工下载免费软件等各种程序可能引起的危险。