第四章  大数据时代计算机信息处理安全问题研究




              户名等内容，禁止删除业务软件或随意安装非业务软件。
                  ④严禁非授权人拆装企业配备的计算机、硬件及相关办公电子设备。
                  ⑤因个人在非标准环境下违规操作所造成的一切损失由本人承担。
                  ⑥办公电子设备出现故障时，要及时按规定申报维修，不得擅自维修，凡违

              反本规定的，一切后果由个人承担。
                  ⑦员工要对负责的电子设备定期进行清洁，不可将烟灰等杂物掉入设备中，
              不得损害设备的密封条等。
                  ⑧员工的设备在不使用时，需要对设备进行密码保护，防止他人进行操作。

                  ⑨下班或者长时间离开的员工，需要对电子设备进行断电，保障计算机的
              安全。

                  五、增补更新各级计算机信息安全策略


                  参考国际通用的安全管理体系标准 ISO27001，在原有三级计算机信息安全
              策略体系的基础上，增加第四级计算机信息安全策略，其体系应由四级文档组成：
                  在第一级安全策略层级，明确策略适用的对象是公司全体员工，对该层级负
              责的人是公司的高管，并将原来有公司副总裁个人负责策略制定的模式改为由计

              算机信息安全决策组织来制定，从组织的角度进行长远计算机信息安全战略目标
              的制定和规划，并提出“计算机信息安全业务化，与业务紧密结合，构建符合时
              代的计算机信息安全管理体系”的整体计算机信息安全方针。
                  在第二级安全策略层级，明确策略的适用对象为公司全体员工，对层级负责

              的人是公司的中高层领导，完善 IT 项目及外包管理策略，终端安全管理策略，
              尤其是对云端计算机信息安全管理策略的制定。
                  在第三级安全策略层级，明确策略的适用对象为计算机信息安全部门操作人
              员，指派专职人员落实运维操作手册的更新，同时，指派专职监督人员进行监督

              整个操作过程。操作及监督人员对该层级策略进行负责。
                  新增第四级安全策略，明确策略的适用对象为计算机信息安全部门操作人员。
              该层级策略是细节化落地操作的详细步骤，对实际部署实施的细节进行记录和监
              督。操作人员和监督人员对该层级策略进行负责。

                  结合目前已有的计算机信息安全管理规范类文档，并参考 ISO27001 标准要
              求，对以下管理规范进行了增补：计算机信息安全方针、管理审计类规范、安全


                                                                                  ·153·