单位信息安全管理制度规定.doc

《单位信息安全管理制度规定.doc》由会员分享，可在线阅读，更多相关《单位信息安全管理制度规定.doc（25页珍藏版）》请在三一办公上搜索。

1、单位信息安全管理制度规定 单位信息安全管理制度规定篇1信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。1.计算机设备安全管理1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放

2、置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。1.4因工作需要借用公司公共笔记本的，实行 “谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。2.电子资料文件安全管理。2.1文件存储重要的文件和工作资料不允许保存在C盘（含桌

3、面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。2.2文件加密涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。2.3文件移动严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示批准，并以公司存

4、储设备做文件拷贝。2.4文件转移若员工离职，在办完移交手续时，所在部门负责人将此员工工作资料拷贝至部门保存（可联系信息技术部进行技术支持），若没有执行此操作流程，离职员工损失的任何资料由该部门自行承担。3.软件安全管理3.1软(软件原始盘片)、硬件设备的原始资料（光盘、说明书、保修卡、许可证协议、合同正本等）应交总裁办保管,保管应做到防水、防磁、防火、防盗。3.2服务器、PC机须安装杀毒软件，定期病毒库更新及病毒查杀；任何人不得安装危害公司计算机及网络的任何软件。3.3信息技术部对各信息系统软件、数据库软件、常用办公软件等进行备份存储，做好版本控制及相关更新。3.4员工须严格遵守公司计算机使用

5、管理规定中软件管理的相关规范。4.信息系统的安全管理各信息系统（MAIL、ERP、CRM、WMS、WEB等）的安全管理要求，参考相应的信息系统管理规定。5.数据库安全管理信息技术部须采用循环的完全备份和增量备份等备份策略，完成对各信息系统数据的定期备份，以便在信息系统发生故障时将数据恢复到最佳状态。对备份的数据文件应妥善保管，防止被非法拷贝或毁坏，严禁未经授权将数据库拷贝出系统，转给任何单位或人员。6.密码安全管理6.1初始密码须及时更改，新密码须包含无规则的字母、数字、符号组合并至少10位以上，禁止直接使用常用单词、人名、电话号码等安全系数低的字符作为密码。6.2各用户需对所使用电脑、信息系

6、统等密码进行定期（如3个月）更改，如出现密码泄露或异常时，须立马更改并告知信息技术部。6.3各服务器、信息系统的超级或管理员级密码由分管系统管理员及信息技术部经理双重管理，信息技术部经理掌握全部设备、全部系统的超级或管理员级密码，分管管理员拥有分管系统的管理员级密码（部分视情况授予超级密码）；正常情况下，此类管理级密码每1个月系统管理员必须更改一次并将新密码报备，在有信息技术部人员变动、密码外露或其它异常情况下，必须第一时间更换并将新密码报备。此类管理级账号与密码原则上不对其它任何人员提供，特殊需求须报上级领导批准方可授予。7.信息安全禁止行为：7.1利用公司信息系统平台、网络制作、传播、复制

7、危害公司及员工的有关任何信息；7.2攻击、入侵他人计算机，未经允许使用他人计算机设备、信息系统等；7.3未经授权对信息平台ERP、CRM、WMS、网站、企业邮件系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、移动、复制和删除等；7.4未经授权查阅他人邮件，盗用他人名义进行发送任何电子邮件；7.5故意干扰、破坏公司信息平台ERP、CRM、WMS、网站、企业邮件等系统的安全、稳定畅通运行；从事其他危害公司计算机、网络设备、信息平台的安全活动；7.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息；7.7 其它危害公司信息安全或违反国家相关

8、法律法规、信息安全条例的行为。8.信息安全响应机制8.1信息技术部负责公司信息安全的整体指导与管理工作，并对数据中心机房软硬件及信息系统、数据库的维护、备份等安全进行日常管理。各分支机构、部门涉及公司（或商业)机密的信息安全由分支或部门本身自行负责管理和控制。8.2为保障各信息系统安全稳定运行，信息技术部在工作日时间由分管管理员负责维护，节假日根据需要，安排相关人员负责值班支持。使用人如发现问题应及时通知信息技术部，管理员应及时处理并做好系统事件记录。8.3信息系统的权限管理部门为信息技术部，负责各信息系统的权限管理，并指定专人为系统管理员完成各系统账号、权限的设立、注销及变更。8.4如出现特

9、殊情况，分管管理员应及时处理及解决，同时第一时间向部门经理报告，如确定异常情况为灾难、重大影响的还须上报公司高层。9 如其它信息管理制度涉及信息安全的条款与本制度有冲突，则以本制度为准。本管理规定由信息技术部负责制定、解释，自颁布之日开始暂行。单位信息安全管理制度规定篇2一、计算机安全管理1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。2、未经许可，不得擅自拆装计算机硬件系统，若须拆装，则通知信息科技术人员进行。3、计算机的软件安装和卸载工作必须由信息科技术人员进行。4、计算机的使用必须由其合法授权者使用，未经授权不得使用。5、医院计

10、算机仅限于医院内部工作使用，原则上不许接入互联网。因工作需要接入互联网的，需书面向医务科提出申请，经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。6、医院任何科室如发现或怀疑有计算机病毒侵入，应立即断开网络，同时通知信息科技术人员负责处理。信息科应采取措施清除，并向主管院领导报告备案。7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件，尽量不在院内计算机上使用来历不明的移动存储工具。二、网络使用人员行为规范1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。2、不得在医院网络中进行国家相关法律法规所禁止的活动。3、未经

11、允许，不得擅自修改计算机中与网络有关的设置。4、未经允许，不得私自添加、删除与医院网络有关的软件。5、未经允许，不得进入医院网络或者使用医院网络资源。6、未经允许，不得对医院网络功能进行删除、修改或者增加。7、未经允许，不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。8、不得故意制作、传播计算机病毒等破坏性程序。9、不得进行其他危害医院网络安全及正常运行的活动。三、网络硬件的管理网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。2、不得破

12、坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的，应根据其情节轻重予以处罚或赔偿。3、未经允许，不得中断网络设备及设施的供电线路。因生产原因必须停电的，应提前通知网络管理人员。4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员，在得到允许后方可实施。四、软件及信息安全1、计算机及外设所配软件及驱动程序交网络管理人员保管，以便统一维护和管理。2、管理系统软件由网络管理人员按使用范围进行安装，其他任何人不得安装、复制、传播此类软件。3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配，任何人不得擅自超越权限使用网络资源及网络信息。4

13、、网络的使用人员应妥善保管各自的密码及身份认证文件，不得将密码及身份认证文件交与他人使用。5、任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。更不得利用医院数据信息获取不正当利益。单位信息安全管理制度规定篇3一、人员方面1.建立网络与信息安全应急领导小组；落实具体的安全管理人员。以上人员要提供24小时有效、畅通的联系方式。2.对安全管理人员进行基本培训，提高应急处理能力。3.进行全员网络安全知识宣传教育，提高安全意识。二、设备方面1.对电脑采取有效的安全防护措施（及时更新系统补丁，安装有效的防病毒软件等）。2.强化无线网络设备的安全管理（设置有效的管理口令和连接口令，防止校园周边人

14、员入侵网络；如果采用自动分配IP地址，可考虑进行Mac地址绑定）。3.不用的信息系统及时关闭（如有些系统只是在开学、期末、某一阶段使用几天，寒暑假不使用的系统应当关闭）；4.注意有关密码的_工作并牢记密码，定期更改相关密码，注意密码的复杂度，至少8位以上，建议使用字母加数字加特殊符号的组合方式；5.修改默认密码，不能使用默认的统一密码；6.在信息系统正常部署完成后，应该修改系统后台调试期间的密码，不应该继续使用工程师调试系统时所使用的密码；7.正常工作日应该保证至少登录、浏览一次系统相关页面，及时发现有无被篡改等异常现象，特殊时间应增加检查频率；8.服务器上安装杀毒软件（保持升级到最新版），至

15、少每周对操作系统进行一次病毒扫描检查、修补系统漏洞，检查用户数据是否有异常（例如增加了一些非管理员添加的用户），检查安装的软件是否有异常（例如出现了一些不是管理员安装的未知用途的程序）；9.对上网信息（会发布在前台的文字、图片、音视频等），应该由两位以上工作人员仔细核对无误后，再发布到网站、系统中；10.对所有的上传信息，应该有敏感字、关键字过滤、特征码识别等检测；11.系统、网站的重要数据和数据，每学期定期做好有关数据的备份工作，包括本地备份和异地备份；12.有完善的运行日志和用户操作日志，并能记录源端口号；13.保证页面正常运行，不出现404错误等；14.加强电脑的使用管理（专人专管，谁用

16、谁负责；电脑设置固定IP地址，并登记备案）。15.在变更系统管理员、信息员时，应该做好交接工作，避免影响系统的正常运行，管理员变更后，相关密码也应该随之变更；16.对于所管理的系统中的子帐号，在相关人员离职等原因不再管理时，应该将有关帐号禁用或删除，避免带来安全隐患；三、事故处置和汇报1、发生网络及信息安全事故，无法立即处理的，要及时断网（值班人员要会进行断网操作）；并保护好相关现场（主要是电脑和网络设备），以便有关部门处理。2、发生网络和信息安全事故要及时逐级汇报。单位信息安全管理制度规定篇4一、为了处理工作中涉及的办公秘密和业务秘密信息，特制定计算机信息系统安全保密制度。二、信息科、机要科

17、负责指导市政府办公室涉密人员的保密技术培训，落实技术防范措施。三、涉密信息不得在与国际网络的计算机系统中存储，处理和传输。四、凡上网的信息，上网前必须进行审查，进行登记，“谁上网，谁负责”，确保国家机密不上网。五、如在网上发现反动、黄色的宣传和出版物，要保护好现场，及时报向市委保密局汇报，依据有关规定处理；如发现泄露国家机密的情况，要及时采取措施，对违反规定造成后果的，依据有关规定进行处理。六、加强个人主页管理，对于在个人主页中张贴，传播有害信息的责任人要依法处理，并删除个人主页。七、发生重大突发事件期间，各涉密科室要加强网络监控，及时、果断地处理网上突发事件。单位信息安全管理制度规定篇5一、

18、中小学校园网是学校现代化发展重要组成部份，是学校数字化教育资源中心、信息发布交流技术平台，是全面实施素质教育和新课程改革的重要场所，务必高度重视、规范管理、发挥效益。二、中小学校园网要按照教育部中小学校园网建设指导意见设计和建设，装备调温、调湿、稳压、接地、防雷、防火、防盗等设备。三、中小学校园网涉及网络技术设备管理与维护、网络线路管理与维护，终端用户管理与监控，教育资源管理与开发、网络信息管理与安全、教学管理与效益等技术性强、安全性要求高的具体业务工作，务必设置管理机构，校级领导主管，配置精通计算机及网络技术、电子维修技术，具备教师职业道德、热爱本职工作的专业技术人员从事管理工作。四、中小学

19、校园网是学校的公共基础设施和固定资产，未经学校批准，任何部门和个人不得随意拆卸或改动布线结构；不得移动或改动网络设备位置；不得干扰、破坏网络正常运行。所有设备、成套软件纳入固定资产规范管理。五、校园网所有用户应以实名字注册，对自己所发布信息负全责，接受上级部门与公安部门依法监督检查。不得盗用他人账号，不得在校园网上发布不健康、非法信息，不得散布计算机病毒、传播黑客程序、滥用网络游戏。学生用户要严格遵守全国青少年网络文明公约。六、网络中心应全天24小时开机，设备和线路出现故障，应及时维修处理，确保网络设备安全运转。七、严禁在办公时间内上网聊天、玩游戏、观看与工作无关的视频信息。八、非中心机房工作

20、人员不得随意进入中心机房，不得以任何方式试图登陆校园网后台管理端，不得对服务器等设备进行修改、设置、删除等操作。九、管理人员应监视并记录服务器系统运行情况，随时屏蔽有害网页，出现异常情况应根据需要立即关闭服务器系统，及时处理。出现危急情况，应立即报告学校领导和相关主管部门。监视电压、电流、湿温度等环境条件；监视运行的作业和信息传输情况；填写中心机房工作日志。十、为了确保中心机房的安全，应逐步实现网管人员对服务器的远程操作。定期更换服务器口令；工作人员不得随意泄漏口令。不得将系统特权授予普通用户，不得随意转给他人；对过期用户应及时收回所授予的权力。十一、学校重要数据不得外泄，重要数据的输入及修改

21、应按权限、由专人完成，并作加密处理。十二、收集整理网管中心技术档案。妥善保存备份资源。打印涉密资料应按权限保存，废弃资料应及时销毁。十三、网管人员在工作时，应严格遵守安全规程，实行安全巡查值班制度，严防漏电、着火、雷击、被盗、磁化、系统崩溃、病毒攻击、黑客入侵等不安全事故发生。危险品及可燃品不得带入机房。十四、中心机房不会客、不做与网络安全运行与维护无关的事情。机房的设备与软件不随意外借。单位信息安全管理制度规定篇6一、总则为了加强公司内所有信息安全的管理，让大家充分运用计算机来提高工作效率，特制定本制度。二、计算机管理要求1、IT管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报

22、给IT管理员，IT管理员（填写计算机IP地址分配表）进行备案管理。如有变更，应在变更计算机负责人一周内向IT管理员申请备案。2、公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机（不包括IT管理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由计算机负责人承担。3、计算机设备未经IT管理员批准同意，任何人不得随意拆卸更换；如果计算机出现故障，计算机负责人应及时向IT管理员报告，IT管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。4、日常保养内容：A、计算机表面保持清洁B、应经常对

23、计算机硬盘进行整理，保持硬盘整洁性、完整性；C、下班不用时，应关闭主机电源。5、计算机IP地址和密码由IT管理员指定发给各部门，不能擅自更换。计算机系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管，不得随意带出公司或个人存放。6、禁止将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。7、计算机的内部调用：A、IT管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移或调换。B、计算机在公司内调用，IT管理员应做好调用记录，调用记录单经副总经理签字认可后交IT管理员存档。8、计算机报废：A、计算机报废，由使用部门提

24、出，IT管理员根据计算机的使用、升级情况，组织鉴定，同意报废处理的，报部门经理批准后按固定资产管理规定到财务部办理报废手续。B、报废的计算机残件由IT管理员回收，组织人员一次性处理。C、计算机报废的条件：(1）主要部件严重损坏，无升级和维修价值；(2）修理或改装费用超过或接近同等效能价值的设备。三、环境管理1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。2、应尽量保持计算机周围环境的整洁，不要将影响使用或清洁的用品放在计算机周围。3、服务器机房内应做到干净、整洁、物品摆放整齐；非主管维护人员不得擅自进入。四、软件管理和防护1、职责：A、IT管理员负责软件的开发购买保管、安装、维护、删除

25、及管理。B、计算机负责人负责软件的使用及日常维护。2、使用管理：A、计算机系统软件：要求IT管理员统一配装正版Windows专业版，办公常用办公软件安装正版office专业版套装、正版ERP管理系统，制图软件安装正版CAD专业版，杀毒软件安装安全杀毒套装，邮件软件安装闪电邮，及自主开发等各种正版及绿色软件。B、禁止私自下载或安装软件、游戏、电影等，如工作需要安装或删除软件时，向IT管理员提出申请，经检查符合要求的软件由IT管理部员或在IT管理员的监督下进行安装或删除。C、计算机负责人应管理好计算机的操作系统或软件的用户名、工号、密码。若调整工作岗位，应及时通知IT管理部员更改相关权限。不得盗用

26、他人用户名和密码登录计算机，或更改、破坏他人的文件资料，做好局域网上共享文件夹的密码保护工作。D、计算机负责人应及时做好业务相关软件的应用程序数据备份（刻录光盘），防止因机器故障或被误删除而引起文件丢失。E、计算机软件在使用过程中如发现异常或出现错误代码时，计算机负责人应及时上报IT管理员进行处理。3、升级、防护：A、如操作系统、软件需要更新及版本升级，则由IT管理员负责升级安装、购买等。B、U盘、软盘在使用前，必须先采用杀毒软件进行扫描杀毒，无病毒后再使用。C、由IT管理员协助计算机负责人对计算机进行病毒、木马程序检测和清理工作，要求定期更新杀毒软件。五、硬件维护1、要求：A、IT管理部员负

27、责计算机或相关电脑设备的维护。B、对硬件进行维护的人员在拆卸计算机时，必须采取必要的防静电措施。C、对硬件进行维护的人员在作业完成后或准备离去时，必须将所拆卸的设备复原。D、对于关键的计算机设备应配备必要的断电、继电保护电源。E、IT管理部员应按设备说明书进行日常维护，每月一次。2、维护：A、计算机的使用、清洁和保养工作，由计算机负责人负责；B、IT管理员必须经常检查计算机及外设的状况，及时发现和解决问题。六、网络管理A、禁止浏览或登入反动、色情、邪教等不明非法网站、浏览非法信息以及利用电子信箱收发有关上述内容的邮件；不得通过互联网或光盘下载安装传播病毒以及黑客程序。B、禁止私自将公司的受控文

28、件及数据上传网络与拷贝传播。七、维修流程当计算机出现故障时，应立即停止操作，上报公司IT管理员，填写公司电脑维修记录表；由IT管理员负责维修。八、奖惩办法由于计算机设备是我们工作中的重要工具。因此，IT管理员将计算机的管理纳入对各计算机负责人的绩效考核范围，并将严格实行。从本制度公布之日起：1、凡是发现以下行为，IT管理员有权根据实际情况处罚并追究当事人及其直接领导的责任，严重的则交由上级部门领导对其处理。A、私自安装和使用未经许可的软件（含游戏、电影），每个软件罚50元。B、计算机具有密码功能却未使用，每次罚10元。C、下班后，计算机未退出系统或关闭显示器的，每次罚10元。D、擅自使用他人计

29、算机或外设造成不良影响的，每次罚50元。E、浏览登入反动、色情、邪教等不明非法网站，传播非法邮件的，每次罚100元。F、如有私自或没有经过IT管理部审核更换计算机IP地址的，每次罚10元。G、如有拷贝受控文件及数据，故意删除共享资料软件及计算机数据的，按损失酌情进行处罚。2、凡发现由于：违章作业，保管不当，擅自安装、使用硬件和电气装置，而造成硬件的损坏或丢失的，其损失由责任人赔偿硬件价值的全部费用。九、附则1、本制度为公司计算机管理制度，要求每一位计算机负责人必须遵守该制度。2、本制度由IT管理员负责编制与修改。3、本制度由公司总经理批准后执行。编制/日期：IT管理员审核/日期：_月_日批准/

30、日期：_月_日单位信息安全管理制度规定篇7第一章总则第一条为加强邮政行业寄递服务用户个人信息安全管理，保护用户合法权益，维护邮政通信与信息安全，促进邮政行业健康发展，根据中华人民共和国邮政法、全国人大常委会关于加强网络信息保护的规定、邮政行业安全监督管理办法等法律、行政法规和有关规定，制定本规定。第二条在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作，适用本规定。第三条本规定所称寄递服务用户个人信息（以下简称寄递用户信息），是指用户在使用寄递服务过程中的个人信息，包括寄（收）件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄递详情单号、时间、物品明细

31、等内容。第四条寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针，保障用户个人信息安全。第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构，统称为邮政管理部门。第六条邮政管理部门应当与有关部门相互配合，健全寄递用户信息安全保障机制，维护寄递用户信息安全。第七条邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理

32、的规定及本规定，防止寄递用户信息泄露、丢失。第二章一般规定第八条邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施，明确企业内部各部门、岗位的.安全责任，加强寄递用户信息安全管理和安全责任考核。第九条以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款，明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时，被加盟人应当依法承担相应安全管理责任。第十条邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议，明确保密义务和违约责任。第十一条邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训，加强职业道德教育，不断提高从业人员的法制观念和

33、责任意识。第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制，公布有效联系方式，接受并及时处理有关投诉。第十三条邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的，在与委托方签订协议时，应当订立寄递用户信息安全保障条款，明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。第十四条邮政企业、快递企业委托第三方录入寄递用户信息的，应当确认其具有信息安全保障能力，并订立信息安全保障条款，明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的，邮政企业、快递企业应当依法承担相应责任。第十五条未经法律明确授权或者用户书面同意，邮政企业、快递企业

34、及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。第十六条公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案，邮政企业、快递企业应当配合，并对有关情况予以保密。第十七条邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故，应当立即采取补救措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部门的调查处理工作，不得迟报、漏报、谎报、瞒报。第三章寄递详情单实物信息安全管理第十八条邮政企业、快递企业应当加强寄递详情单管理，对空白寄递详情单发放情况进行登记，对号段进行全程跟踪，形成跟踪记录。第十九条邮政企

35、业、快递企业应当加强营业场所、处理场所管理，严禁无关人员进出邮件（快件）处理、存放场地，严禁无关人员接触、翻阅邮件（快件），防止寄递详情单实物信息（以下简称实物信息）在处理过程中泄露。第二十条邮政企业、快递企业应当优化寄递处理流程，减少接触实物信息的处理环节和操作人员。第二十一条邮政企业、快递企业应当采用有效技术手段，防止实物信息在寄递过程中泄露。第二十二条邮政企业、快递企业应当配备符合国家标准的安全监控设备，安排具有专门技术和技能的人员，对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。第二十三条邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度，实行集中封闭管理，确定集中存放

36、地，及时回收寄递详情单妥善保管。设立、变更集中存放地，应当及时报告所在地邮政管理部门。第二十四条邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理，采取必要的安全防护措施，确保存储安全。第二十五条邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时，应当确保档案完整无损，并做好查阅登记，不得私自携带离开存放地。第二十六条寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严禁丢弃或者贩卖。第二十七条邮政企业、快递企业应当对实物信息安全保障情况进行定期自查，记录自查情况，及时消除自查中发现的信

37、息安全隐患。第四章寄递详情单电子信息安全管理第二十八条邮政企业、快递企业应当按照国家规定，加强寄递服务用户信息相关信息系统和网络设施的安全管理。第二十九条邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定，合理划分安全区域，实现各安全区域之间有效隔离，并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。第三十条邮政企业、快递企业应当配备必要的防病毒软件、硬件，确保信息系统和网络具有防范计算机病毒的能力，防止恶意代码破坏信息系统和网络，避免信息泄露或者被篡改。第三十一条邮政企业、快递企业构建信息系统和网络，应当避免使用信息系统和网络供应商提供的默认密码、安全参数，并对通过开放公

38、共网络传输的寄递用户信息采取加密措施，严格审查并监控对信息系统、网络设备的远程访问。第三十二条邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时，应当与供应商签订保密协议，明确其安全责任，以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。第三十三条邮政企业、快递企业应当建立信息系统安全内部审计制度，定期开展内部审计，对发现的问题及时整改。第三十四条邮政企业、快递企业应当加强信息系统及网络的权限管理，基于权限最小化和权限分离原则，向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。邮政企业、快递企业应当加强对信息系统和数据库的管理，使网络管理人员仅具有进行信息系统

39、、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权，并受到安全审计员的监控和审计。第三十五条邮政企业、快递企业应当加强信息系统密码管理，使用高安全级别密码策略，定期更换密码，禁止将密码透露给无关人员。第三十六条邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理，包括：（一）使用独立物理区域存储寄递用户信息，禁止非授权人员进出该区域；（二）采用加密方式存储寄递用户信息；（三）确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人，建立设备、介质使用和借用登记制度，限制设备输出接口的使用。存储设备和介质报废的，应

40、当及时删除其中的寄递用户信息数据，并销毁硬件。第三十七条邮政企业、快递企业应当加强寄递用户信息的应用安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点和事项，留作信息安全审计依据。第三十八条邮政企业、快递企业应当加强对离岗人员的信息安全审计，及时删除或者禁用离岗人员系统账户。第三十九条邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则，对存储寄递服务信息的信息系统实行接入审查，定期进行安全风险评估。第五章监督管理第四十条邮政管理部门依法履行下列职责：（一）制定保障寄递用户信息安全的政策、制度和相关标准，并监

41、督实施；（二）监督、指导邮政企业、快递企业落实信息安全责任制，督促企业加强寄递用户信息安全管理；（三）对寄递用户信息安全进行监测、预警和应急管理；（四）监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训；（五）依法对邮政企业、快递企业实施寄递用户信息安全监督检查；（六）组织调查或者参与调查寄递用户信息安全事故，依法查处违反寄递用户信息安全管理规定的行为；（七）法律、行政法规和规章规定的其他职责。第四十一条邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传，强化邮政企业、快递企业及其从业人员的信息安全管理意识，提高用户对个人信息安全保护的认识。第四十二条邮政管理部门应当

42、加强邮政行业寄递用户信息安全运行的监测预警，建立信息管理体系，收集、分析与信息安全有关的各类信息。下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况，并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。第四十三条邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度，规范从业人员信息安全保护行为，防范信息安全风险等情况进行检查。第四十四条邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定，妨害或者可能妨害寄递用户信息安全的，应当依法进行调查处理。违法行为涉及其他部门管理职权的，邮政管理部门应当会同有关部门

43、对涉案邮政企业、快递企业进行调查处理。第四十五条邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。第四十六条邮政企业、快递企业拒不配合寄递用户信息安全监督检查的，依照中华人民共和国邮政法第七十七条的规定予以处罚。第四十七条邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的，应当依法予以赔偿。第四十八条邮政企业、快递企业及其从业人员违法提供寄递用户信息，尚未构成犯罪的，依照中华人民共和国邮政法第七十六条的规定予以处罚。构成犯罪的，移送司法机关追究刑事责任。第四十九条任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后，应当依法及时处理。第五十条邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件，以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息，但涉及国家秘密、商业秘密和个人隐私的除外。第五十一条邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密，不得泄露、篡改或者损毁，不得出售或者非法向他人提供。第五十二条邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用、玩忽职守，依照邮政行业安全监督管理办法第五十五条的规定予以处理。第六章附则第五十三条本规定自发布之日起施行。