第一篇:网络和信息系统安全运行管理实施细则汇总
网络和信息系统安全运行管理实施细则
目录
第一章 总则..................................................................................2 第二章 职责与分工........................................................................2 第三章 运行值班管理....................................................................5 第四章 事件管理...........................................................................5 第五章 变更管理...........................................................................6 第六章 网络管理...........................................................................7 第七章 应用管理.........................................................................10 第八章 机房管理.........................................................................13 第九章 信息设备管理..................................................................14 第十章 账号管理.........................................................................18 第十一章 信息资料管理...............................................................19 第十二章 备份管理......................................................................21 第十三章 耗材管理:..................................................................21 第十四章 移动存储介质管理........................................................22 第十五章 补丁管理......................................................................25 第十六章 漏洞管理......................................................................26 第十七章 日志审计......................................................................27 第十八章 外包管理......................................................................28 第十九章 人员管理......................................................................30 第二十章 附则.............................................................................31
第一章 总则
第一条 为了保证XX有限公司(以下简称“XX公司”)网络和信息系统的安全运行,依据《天津市电力公司信息系统安全管理规定》等相关制度,结合XX公司实际,制定本实施细则。
第二条 门”)。本实施细则适用于公司所属各部门(以下简称“各部
第二章 职责与分工
第三条 XX公司党政领导一把手是信息系统的第一安全责任人;各部门的一把手是本部门信息系统安全的第一责任人。信息安全考核纳入安全生产考核和经济责任制考核。
第四条 XX公司信息系统为三级管理,XX公司建立信息化工作领导小组,运维检修部负责信息化工作的职能管理,是公司的归口管理部门,各部门是信息化工作的具体落实部门。
第五条 XX公司信息化工作领导小组是公司信息安全的领导组织。负责审定公司的信息安全管理有关规定,负责落实上级主管部门的安全管理防范的技术策略和信息安全管理有关规定。第六条 XX公司安全监察质量部负责监督和考核公司信息系统的运行状况。信息系统发生事故,按照《天津市电力公司信息系统事故调查及考核办法》,由安全监察质量部牵头组织事故分析,提出处理意见,运维检修部配合进行专业分析。
第七条 运维检修部是公司信息化管理的职能部门,设置信息化管理专责。主要工作:
1、组织实施公司各项信息管理制度,做好监督、检查、指导信息安全管理及信息运行维护工作,组织实施安全防范措施。当发生影响信息安全的重大事件时,发布告警并组织制定应对措施。
2、负责信息化相关指标、数据的汇总上报工作。
3、负责XX公司信息系统硬件的调配工作。
4、负责信息系统耗材计划编制、调整工作。
5、负责组织编制信息专业的大修、技改计划。
6、配合专业部门进行市电力公司统一管理和开发的项目和软件在XX公司的组织推广工作。参与有关信息工程项目的评定、审核和验收。
7、配合人力资源部做好XX公司信息专业知识的培训工作。第八条 信息通信运维班,是XX公司信息网络系统整体运行、维护部门。主要工作:
1、负责XX公司相关网络运行数据、运行硬件指标数据的统计,负责公司信息网络软、硬件系统的运行总结上报,负责配合信息系统验收、检查工作。
2、负责XX公司信息系统的正常运行,软件、硬件维护和故障处理工作。
3、负责XX公司信息系统中实物资产的统计管理。
4、负责XX公司信息系统硬件设备及耗材的计划起草工作。
5、负责提出XX公司信息系统年度大修、技改项目的申请。
6、负责XX公司信息网络的建设方案的实施工作。
7、负责为各部门提供信息专业的技术支持。
8、配合专业部门做好市电力公司统一管理和开发的项目和软件在公司的系统管理工作。
9、负责XX公司信息故障受理工作,并做好报修记录。第九条 各部门是信息化工作的具体落实部门,信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。专业信息系统由各部门指定的专业系统管理人员负责。主要工作:
1、负责本部门信息设备、信息系统的安全保密管理。
2、负责本部门计算机的趋势防病毒软件的病毒码的升级,趋势防病毒软件监控系统必须保证开启状态。负责计算机操作系统补丁的及时升级以及相关软件的补丁升级工作。
3、负责保证信息设备、信息系统的相关安全配置,并按照公司规定正确使用信息设备、信息系统。
4、负责本部门信息设备、信息系统的日常维护管理,负责维护更新本部门设备台帐。
第十条 为了保障网络和信息系统的安全、可靠、不间断运行,信息通信运维班的关键岗位实行主副岗备用制度,主岗不在或工作负担过重时,副岗要担当其职责,工作由主岗委托。
第三章 运行值班管理
第十一条 法定工作日的工作时间应安排具备相应专业技术水平的人员进行5 x 8小时现场值班。其余时间应安排非现场值班,以确保关键应用系统的正常运行。
第十二条 重要时期应实行7x24小时值班,根据实际情况采取电话值班或现场值班,以确保关键应用系统的正常运行。
第十三条 值班人员要按照要求做好重大事项汇报工作,并做好记录。
第四章 事件管理
第十四条 信息通信运维班信息专业人员在接到故障申告时,应对故障信息进行登记。
第十五条 信息通信运维班信息专业人员根据故障信息,对故障进行处理,并将处理情况填入记录中,并交由故障申告人签字确认。
第五章 变更管理
第十六条 信息设备的变更指对服务器、路由器、交换机(不含客户端设备)等设备上运行的操作系统、权限、各种服务、各种软件、数据库、IP地址、安全配置、投入或退出运行、重新启动、重新安装等所作的变更。
第十七条 运维检修部是以上各种信息设备变更的职能管理部门,负责审批变更并备案。
第十八条 所有信息设备的各种变更都要履行变更审批和备案手续,由各部门专业系统管理人员或信息运维人员提出变更申请填写变更操作单(见附件1),填写好相关信息后由部门负责人签字交运维检修部确认审批,通过后实施变更。变更涉及信息系统、网络系统影响的,申请人应于变更前1至2个工作日以电子邮件、门户公告、电话通知方式告知相关影响用户,变更结束后对于以上用户进行测试。
第十九条 设备、系统变更前对于原有的数据,应该采取备份、异地转移存储等安全措施。
第二十条 对于涉密设备的变更,如果需要外来人员协助,外来人员需填写保密承诺书,保证所存储的涉密信息不被泄露,进行变更工作过程中变更申请人必须在现场,对维修人员、维修对象、维修内容、维修前后状况进行监督。
第二十一条 设备、系统变更结束后应按照天津市电力公司信息安全加固的要求加固系统,恢复设备以及系统中的原有应用及运行环境,并尽快投入运行。
第二十二条 任何信息设备的各类变更未履行相关审批手续或者无记录追溯的,以及因信息设备的变更对系统及用户造成中断应用等影响的,追究变更实施人员相关责任。
第六章 网络管理
第二十三条 管理信息网络分为信息内网(以下简称内网)和信息外网(以下简称外网),实现“双机双网”。
第二十四条 XX公司内网与外网均不得私自接入无线设备,网络终端均实行IP地址与MAC地址绑定,禁止非授权接入。
第二十五条 XX公司外网设备与内网设备按照上级部门要求进行信息安全加固,设置访问控制,设置足够强度的用户和密码。
第二十六条 XX公司外网通过市公司统一出口接入INTERNET,XX公司所有部门和人员禁止以其他任何方式(ADSL、3G无线、CDMA、GPRS、96168拨号等)私自连接INTERNET网。第二十七条 XX公司内外网计算机终端、打印机、网络设备的IP地址和配置信息由运维检修部统一分配和管理,任何人不得擅自使用他人的地址和未分配的地址,不得擅自安装任何网络设备,不得擅自更改网络设备的配置信息。
第二十八条 未经计算机网络管理人员同意,任何人不得擅自操作、移动网络设备。
第二十九条 职能管理部门和公司领导可以依据实际工作需要申请接入外网。
第三十条 接入外网必须填写外网接入申请表(见附件2),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入外网,信息部门负责做好相应的登记备案工作,更新信息外网设备台帐。
第三十一条 公司提供公共上网计算机,公共上网计算机的维护及使用管理由信息通信运维班负责。员工因工作需要在公共上网区访问INTERNET,需进行上网登记。
第三十二条 不得在信息外网设备中保留任何信息内网资料。外网访问结束后,应立即清除与内网有关的文件。
第三十三条 接入内网必须填写内网接入申请表(见附件3),经XX公司主管领导批准后报科技信通部审批,审批通过后按照批准的地址进行IP/MAC绑定并接入内网,信息部门负责做好相应的登记备案工作,更新信息内网设备台帐。
第三十四条 信息内外网计算机IP地址变更按照内外网接入申请流程执行。
第三十五条 开发商如确因工作需要接入信息内网,应提前申请信息内网设备。
第三十六条 计算机接入信息内外网应由信息运维人员对计算机进行统一配置,设置规范的计算机名称(格式为公司名称-部门名称-流水编号),内网计算机应加入TEPCO域,并安装趋势防病毒软件、注册桌面终端标准化管理软件(安全移动存储介质软件),外网计算机应安装金山防病毒软件。
第三十七条 市公司科技信通部会定期对计算机进行安全检查,对存在安全隐患的计算机进行封网处理。被封网的计算机需经责任人进行认真整改后,填写情况说明及重新开通上网功能申请表(见附件4、5、6),经部门领导审批签字后报公司运维检修部。运维检修部确认已整改后报公司领导签字审批后上报市公司科技信通部申请开通网络。
第三十八条 信息通信运维班负责网络设备的运行管理,确保网络备品备件及应急设备处在良好状态,尽量在故障发生之前采取保护措施。
第三十九条 运维检修部负责建立详细的安全事件应急处理制度,制定并及时修订信息网络安全应急预案,定期演练,确保应急体系的完备性和可用性,做好应对突发信息安全事件的准备。
第四十条 发现网络与信息安全问题及时向运维检修部进行通报,遇重大问题由运维检修部及时向公司科技信通部报告。应在1小时内,将事件发生时间、原因过程、采取措施、影响范围、损失情况等,通过邮件和电话方式上报。
第七章 应用管理
第四十一条 严格执行市公司应用系统开发与管理的有关规定,原则上不允许自行开发或引进管理软件,有特殊需要的,必须事先到信息管理部门申请、备案,并由信息管理部门向科技信通部申请,经批准后方可开发,经验收后方可接入。
第四十二条 对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试,并使用漏洞扫描工具进行安全检查,确认没有系统漏洞后,经运维检修部批准后方可正式上线运行。
第四十三条 应用系统上线前由运维检修部根据等级保护制度对系统定级,同时报市公司科技信通部审核备案。
第四十四条 在系统投入运行前,应用系统开发单位和运行管理部门应相互配合,确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质(系统软件应包括可供系统进行完全安装和紧急恢复的完整系统软件介质光盘或磁盘,软件功能说明书,软件使用说明书,程序清单,数据结构清单等)。
第四十五条 对投入运行的应用系统,各专业主管部门应建立运行台帐,明确系统管理人员,做好运行日志。
第四十六条 接入信息内网的各应用系统原则上不得以专线、拨号或任何其它方式与系统外网络及国际互联网相连,如确有必要,则应采取有效防范手段并经运维检修部上报科技信通部审核备案。
第四十七条 投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。应用系统的管理、维护、应用人员应严格按照各自的权限和业务流程使用系统。
第四十八条 进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更都应严格遵照相应的变更管理流程。第四十九条 用户账号建立、用户账号权限更改、用户节点增加等日常维护业务,应由专业系统管理人员及时记录并定期整理归档。
第五十条 应用系统变更前后都应按相应的备份管理规定进行备份。
第五十一条 运行人员应及时发现系统故障。接到故障申告后,由专业系统管理人员或信息运维人员负责对问题进行详细的记录,对简单故障可先处理后汇报,对较大故障要立即通知本部门负责人和信息管理部门。
第五十二条 对于故障的分析、处理过程应有记录。重大故障处理要有两人以上,一人操作,一人监督。
第五十三条 各应用信息系统必须有完善的系统维护制度和操作规程。重大事件处理时,应有安全管理人员在场,故障原因、操作内容和操作前后的情况必须详细记录并存档。专业系统管理人员应定期检查和记录本信息系统的安全运行状况。
第五十四条 用户帐号和口令管理按照《天津市电力公司信息系统帐号、口令管理规定》执行。
第五十五条 专业系统管理人员负责系统的日常运行维护,数据的保存、备份,系统口令的维护、设置和管理,系统程序的安装,向其他子系统及上级有关单位部门提供数据及报表。
第八章 机房管理
第五十六条 XX公司信息机房按照国网公司C类机房管理标准进行管理,部署不间断电源系统(UPS)及防水、防雷、防火和恒温恒湿设施。
第五十七条 运维检修部是XX公司信息系统运行机房的职能管理部门,信息通信运维班明确机房管理责任人员,具体负责机房的日常管理和维护。
第五十八条 信息通信运维班负责做好机房日常巡视,每天检查机房环境、网络设备、服务器的运行状况,并认真填写机房巡检记录。对于巡视中发现的问题,要详细记录并汇报相关领导及时解决问题。
第五十九条 信息通信运维班负责做好机房内设备的运维,每半年对UPS进行1次充放电,并做好记录。
第六十条 机房是网络和信息系统的重点保密场所,严禁无关人员随意出入;外来人员进出机房必须填写机房出入登记表,经批准同意后方可进入。外来人员进入机房应由相关负责人陪同和监督。
第六十一条 机房内严禁烟火,不准使用电炉、电水壶等电器。机房内必须配备专用气体灭火器,运行维护人员必须学会使用灭火器,一旦发现火情,立即投入灭火,并迅速报警。第六十二条 机房内应保持清洁,严禁堆放杂物,设备、线路标签应清晰、齐全,机柜布线应整齐。进入机房前,须对鞋子进行清洁或戴上鞋套。
第六十三条 出入机房应注意关好门,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。
第六十四条 工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。
第六十五条 未经主管领导批准,禁止将机房相关的钥匙、密码等物品和信息外借或透露给其它人员。对于遗失钥匙、泄露密码的情况要即时上报,并积极主动采取措施保证机房安全。
第九章 信息设备管理
第六十六条 信息设备根据设备的类型、用途、介质(特指软件)等因素,归为以下几类:
1、网络设备(路由器、交换机、防火墙、入侵检测、综合布线系统等)
2、服务器(含小型机、工作站、PC 服务器)
3、个人计算机(含便携式计算机)
4、外部设备(打印机、绘图仪等)
5、辅助设备(网络及服务器机柜、UPS 等)
6、工具(含网络工具、普通工具等)
7、软件
8、其他
第六十七条 运维检修部负责XX公司所属各单位信息设备管理、分配工作。运维检修部应根据应用系统对设备的要求,兼顾各部门岗位职能的需要,制定信息设备配置标准;在年末制定下一年度设备大修、设备升级改造、重要设备备品备件、设备维护等资金计划,上报主管领导及相关部门批准,列入下一年度信息系统专项资金计划。各部门应在计划编制前,及时上报信息设备需求。
第六十八条 新的设备到达后,由运维检修部负责组织相关人员验收,验收依据为签订的合同内容。验收人员应认真进行各种参数的测试,检查设备的性能指标是否能够达到技术要求。
第六十九条 新的信息设备投入使用前,需经信息通信运维班按照市电力公司相关规定进行安全加固;信息设备的使用部门应办理财务固定资产登记,并上报运维检修部备案。没有在运维检修部登记、违反规定自筹资金购买、不在财务固定资产台帐上的信息设备,运维检修部不负责维护及禁止接入信息网络。
第七十条 运维检修部归口负责XX公司信息设备台帐,台帐中应该包括设备的所属部门、型号、序列号、IP地址等。信息设备的使用部门负责信息设备的日常管理,包括清洁、杀毒软件及系统升级、一般性配置操作、一般性故障排除等,并对信息设备的非使用性损坏以及丢失负责,并按情节严重程度,依据有关规定追究当事人赔偿责任。各部应指定专人协助运维检修部做好所属范围内信息设备台帐管理,若有设备变动要及时上报运维检修部。运维检修部根据实际情况组织设备清查工作,进行设备台帐、实物核对,做到帐物相符。
第七十一条 每台信息设备都要明确设备负责人(负责人须是正式职工)。信息设备由设备具体使用人负责,如无具体使用人,则由计算机帐号所有人负责。信息设备随机资料、软件等应由设备负责人保存。信息设备正常工作环境由设备所属部门负责。各部门之间及部门成员之间不得随意互换计算机、或其他相关设备。对因人员、岗位变动闲置的信息设备应及时上报运维检修部,由运维检修部统一处理。
第七十二条 信息设备运维管理
1、严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。
2、设备负责人负责所属信息设备的日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向运维部门进行故障申告,信息运维人员应记录故障设备信息及故障处理情况,并在处理完毕后交由故障申告人签字确认。
3、属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过信息运维人员确认后,由设备负责部门填写信息设备及配件申请(附件 7),经运维检修部请示主管领导批准后方可更换。
4、信息设备出现非一般性故障未经信息运维人员同意自行处理(含拆装)造成故障扩大,由自行处理(含拆装)的操作人承担修复责任。
5、为保证信息设备的正常维护,及时排除故障,XX公司每年列支一定的信息设运行备维护资金,保证本年度设备的安全稳定。运维检修部应视具体情况提出必要的仪器、仪表、工具和备品备件采购申请。
6、各部门应保证信息设备的相关安全配置,并按照公司规定正确使用信息设备,同时根据实际情况定期对所属信息设备组织自查,发现问题及时整改。运维检修部通过网上和不定期到现场方式进行检查,核查信息设备软硬件使用、维护情况。并依据有关规定对违反信息设备使用规定的部门进行考核。
第七十三条 信息设备报废工作由生产技术可根据市电力公司的相关规定定期进行。信息设备一般正常使用满5年以上,并且已不能满足应用系统正常使用要求的,或设备严重损坏(非人为造成)无修复可能的,可以申请报废,报废设备上交运维检修部,由运维检修部统一处理,其他任何单位不得擅自处理。对报废或淘汰设备的可用部分或零配件,运维检修部可根据需要再利用。对报废设备的存储硬件,须送交市公司科信部进行消磁处理,严禁随意外带。
第七十四条 防火墙、漏洞扫描等信息安全设备的采购和使用必须经市公司科技信通部批准后方可实施。
第十章 账号管理
第七十五条 运维检修部设域账号管理员,对XX公司范围内的域账号及相应权限进行统一管理,并负责将域账号及权限的变更信息及时准确上报市公司科技信通部。
第七十六条 各部门应设专人对本部门的域账号及相应权限进行统一管理,主要负责域账号申请表的填写,根据实际需要认真核实其申请权限,负责将本部门的域账号及权限的变更信息及时准确上报公司域账号管理员,并认真做好记录。
第七十七条 TEPCO域账号的开放范围:有工作需求的企业内部员工可以申请TEPCO域账号,对于非正式员工,原则上不开放TEPCO域账号。如确有需要,必须由所在部门指明一名公司正式员工为其责任人,代其申请,责任人对该非正式员工使用域账号的所有行为负有安全监督责任。
第七十八条 域账号的申请
1、各部门账号管理人员根据工作需要向公司域账号管理员提出申请,填写域账号使用申请表(见附件8),同时监督申请人签定安全使用责任书(见附件9)。
2、各部门账号管理人员根据申请人资料填写申请表后报部门领导审批签字,并上报运维检修部域账号管理员。运维检修部域账号管理员对申请表进行审核,并定期按审批流程向市公司科技信通部提出账号申请。
第七十九条 员工域账号权限的分配必须严格按照权限最小化的原则进行,即分配仅能满足工作要求的最小权限。
第八十条 帐号和密码是员工在网络信息系统中的唯一身份标识,仅供员工自己使用,不得借用或泄露,禁止越权操作。
第八十一条 员工域账号口令要求每3个月更换一次,口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字。
第八十二条 当员工岗位变动时,运维检修部以人事部门人员变动通知单为准,结合岗位变动的实际情况,调整或关闭域账号。
第十一章 信息资料管理
第八十三条 信息资料是指在信息网络建设和运行过程中所遵循的标准、制度、规划与总结(含计划)、日志、项目管理文档、设备台帐(卡片)、技术类文档和信息系统建设或系统运行过程中收集的文档(含硬件和软件)等,是与系统建设和系统运行紧密关联,记录系统运行参数、技术指标、安全模式、设备配置、方案设计、项目建设合同等重要信息的文档。
第八十四条 运维检修部是信息资料的职能管理部门,信息通信运维班及各专业系统管理部门应明确资料管理人员,具体负责各种资料的日常管理工作。
第八十五条 资料管理要求包括:
1、做好资料的收集、整理、登记、造册、保管、鉴定、利用等工作。设备技术资料应齐全、正确、统一、清晰。对于重要及核心设备,应将资料复制并多种方式、不同地点保存。
2、设备技术资料应由专人负责管理,并负责资料安全,强化信息内容的安全管理,严防机密资料外泄。
3、资料管理人员应具备档案管理人员基本素质,并掌握一定的专业技术知识和较强的计算机应用水平,对所管理的文档能够做到分类清楚、归档准确。
4、在进行项目建设时,由该项目负责人或指定专人负责收集和整理整个工程过程中产生的文档,进行分类,标注必要的说明,在工程验收后将全部项目文档资料提交资料管理人员保存。
第八十六条 使用资料时,任何人不得抽取、涂改、勾抹或污损。
第十二章 备份管理
第八十七条 应用系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段,是信息安全工作的重中之重,必须高度重视。
第八十八条 各应用系统的备份由各部门专业系统管理人员制定策略、组织落实,信息运维人员配合实施。备份文件由专业系统管理人员负责保管。
第八十九条 客户端计算机及网上的办公文件由文件所有人自行备份。重要文件须至少在不同的设备上保存两分。
第九十条 数据备份介质可选择硬盘、光盘、磁带等存储介质,由各部门专业系统管理人员保存。要确保备份数据的可恢复性。存储介质应存放在远离磁性、辐射性的安全环境。
第九十一条 当系统或者数据确实无法抢救时,需估算可能的损失,将恢复计划和方案报请本部门领导同意后才能对系统进行恢复操作,恢复操作不应影响对故障原因的追查和故障的处理。
第十三章 耗材管理:
第九十二条 运维检修部为计算机耗材的管理部门,信息通信运维班设置专人负责耗材分发工作。计算机耗材包括:打印机硒鼓、色带、墨盒、软盘、光盘、网线等配件。
第九十三条 各部门设备责任人负责设备耗材的需用申请以及领用。耗材领用须保留记录并由领用人签字确认。可回收性耗材(如硒鼓、墨盒等)实行轮换制,以旧换新。
第九十四条 耗材发放人员定期统计各部门耗材使用情况,提报运维检修部。运维检修部耗材管理人员根据信息设备台帐和具体使用情况分析各部门耗材用量,发现超出预期的用量将组织调查。在耗材库存不足时,及时提报采购计划。
第十四章 移动存储介质管理
第九十五条 移动存储介质的范围包括:U盘、移动硬盘、各种存储卡(照相机、摄像机)、MP3、MP4、智能手机等带有存储功能的产品。
第九十六条 所有连入信息内网的计算机必须安装市电力公司统一部署的移动存储介质管理系统客户端程序。
第九十七条 XX供电有限公司范围内可以使用的移动存储设备只包括市电力公司统一配发的国家电网公司专用U盘(简称专用U盘)。其他非专用U盘禁止在XX公司内网计算机中使用。
第九十八条 运维检修部负责XX供电有限公司范围内移动存储设备的管理,向市公司申请专用U盘等移动存储设备,履行领用审批、登记备案、监督检查、维护维修等职责。
第九十九条 专用U盘的申请
1、原则上每部门最多只能申请一个专用U盘。
2、任何部门不得擅自购买、发放移动存储设备,如确有工作需要,可向运维检修部提出申请,填写专用U盘使用申请表(见附件10)。
3、申请人填写申请表后报部门领导审批签字,注明申请原因,指定责任人,明确其责任,待责任人签字认可后,上报运维检修部。
4、运维检修部对申请表进行审核,并交公司主管领导审批签字后,定期向天津市电力公司科技信通部提出申请。
5、专用U盘由各部门专用U盘负责人负责领取,领取时要在专用U盘领取、变更记录表(见附件11)中签字。
第一百条 专用U盘的使用
1、专用U盘第一次使用需对其默认密码进行修改。
2、用户在使用国网公司专用U盘前,需要经过趋势防病毒墙的扫描杀毒,扫描正常后方可使用。
3、使用专用U盘时要遵守津电科信[2008]13号“关于印发《天津市电力公司电子商密信息保密管理规定(试行)》的通知”中对于商密信息的要求。
4、严禁双击进入移动存储设备,应先在盘符上单击右键,选择菜单项中的打开命令进入。
5、文件复制完成应将移动存储设备与计算机分离;
6、专用U盘分为保密区和交换区,涉及到公司电子商密的信息在离开信息内网或商密计算机进行信息交换时,必须将电子商密信息存放在保密区。
7、使用者对专用U盘的密码要严格保密,不得告知他人;专用U盘不得进行私用。
第一百零一条 专用U盘的维修
专用U盘的维修需由各部门专用U盘负责人将U盘交送到运维检修部。如专用U盘无维修价值,由运维检修部信息管理人员将损坏专用U盘送市公司科信部申请更换,并将相关信息填入U盘领取、变更记录表中,由该U盘负责人签字。
第一百零二条 专用U盘的销毁需由信息管理人员将相关信息填入专用U盘领取、变更记录表中,并注明销毁原因。
第一百零三条 非国家电网公司专用U盘(简称非专用U盘)的使用
1、非专用U盘原则上不得连入XX公司信息内网的计算机中使用。
2、如确因工作需要使用非专用U盘,需填写《非国家电网公司专用U盘使用记录》(见附件12),注明使用原因、使用人,并经部门负责人确认签字。部门负责人应审核所拷贝内容,如涉及公司商密文件,应不予批准。使用记录应报运维检修部备案。
3、应在脱网机器中对U盘进行杀毒,确认无病毒后,将文件拷入专用U盘,进行相应工作。
第一百零四条 任何用户不得卸载移动存储介质客户端软件,一经发现收回统一配置的移动存储设备,并禁止申请使用专用U盘;
第一百零五条 因使用移动存储设备未进行病毒木马查杀造成内网、外网计算机感染病毒,造成系统损坏或数据丢失的,一经查实收回统一配置的移动存储设备,并禁止申请使用专用U盘;
第一百零六条 在使用过程中造成公司涉密信息泄漏的按照《天津市电力公司电子商密信息保密管理规定(试行)》相关条款执行。
第一百零七条 任何部门或个人未经审批擅自购买、发放移动存储设备,一经查实收回自行购置的移动存储设备。
第一百零八条 不得复制、传播任何与工作无关的软件、游戏、文件至内网机器。
第十五章 补丁管理
第一百零九条 所有信息内网和信息外网的终端及服务器都要及时进行补丁升级。
第一百一十条 终端补丁升级
1、信息内网终端必须加入TEPCO域,在每次开机时必须以管理员身份登陆TEPCO域,执行TEPCO域安全策略,以便及时下载系统补丁。终端使用者在发现有新的系统补丁时,应及时点击安装。
2、信息外网终端必须安装公司统一的金山防病毒软件,定期执行漏洞检测,并在发现漏洞时及时打补丁。
第一百一十一条 服务器补丁升级
1、对服务器中数据库、WEB软件以及其它系统应用软件应及时进行补丁升级。
2、对服务器所有项目进行补丁升级时,要仔细阅读升级文档,分析确定升级补丁对现有的操作系统及应用的影响,确保在补丁升级后服务器软硬件能够正常运行。
3、应用软件补丁升级,对天津市电力公司统一运维的应用系统,由天津市电力公司统一执行,对自行开发的应用软件系统,由专业系统管理人员主动与开发商联系对有危害系统安全的补丁及时升级。
4、升级补丁之前,做好系统、数据备份,以免升级失败后及时恢复。
第十六章 漏洞管理
第一百一十二条 对接入信息网络运行的应用系统,在系统投入运行前,检查应用系统自身是否存在安全漏洞和隐患,确认没有漏洞后方可正式上线运行。
第一百一十三条 系统上线前要严格按天津市电力公司《信息系统安全配置基本规范》要求做好配置和系统加固。
第一百一十四条 应使用天津市电力公司统一指定的的相关工具进行安全检查,定期或不定期对网络与服务器主机进行安全扫描和检测,对扫描结果及时进行分析,采取相应补救措施。
第一百一十五条 应及时对所采集到的有关系统、网络、数据及用户活动的状态和行为等特征信息进行分析。如遇异常网络行为活动,应及时阻断事件点,查明原因及时消除,确认无安全隐患后再接入系统。
第十七章 日志审计
第一百一十六条 日志是对用户行为和系统行为进行记录的形式,日志审计是保障应用系统信息安全的重要手段。
第一百一十七条 在信息设备、业务应用系统上线运行前,应按市电力公司《信息系统安全配置基本规范》中的各项规定开启相应的日志审计功能。
第一百一十八条 应制定恰当的日志策略,确定记录日志的设备或系统范围、记录日志的事件类别、记录日志的最大时间范围、日志备份策略、审计日志的处理方式等。
第一百一十九条 日志记录应包括事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容。
第一百二十条 信息通信运维班应对主机系统、网络设备、应用系统、数据库和中间件等的日志定期进行安全审计。分析运行日志时,若发现正在、可能或已经危害到系统安全运行的行为时,应及时处理。
第十八章 外包管理
第一百二十一条 XX公司坚决贯彻信息运维主业化原则,原则上涉及信息系统核心业务的运维,包括桌面终端的运维不允许服务外包。
第一百二十二条 对于自行维护、实施有困难,确需进行信息服务业务外包的非核心信息服务业务,填写XX公司非核心信息服务业务外包申请审批表(见附件13),报XX公司运维检修部,由运维检修部汇总后报主管领导审批,并报上级主管部门审批备案后方可实施。
第一百二十三条 对于通过审批后实施外包的业务,承包商由XX公司按照国家、行业有关法律法规要求进行资质审查,综合考虑其安全管理、专业技术水平等因素,按规定的程序择优确定。第一百二十四条 必须与外包服务承包商签定相关外包服务协议,协议必须严格限定外包服务承包商的工作范围,明确承包商可以接触的设备、系统及可以进行的操作,明确指定专门的管理部门、专门的人员对承包商进行的服务行为进行有效监管。
第一百二十五条 提供外包服务的承包商及其工作人员,必需签署《安全保密责任书》(见附件14)和《保密补充条款》(见附件15)。必须按照XX公司相关保密规定和要求,在XX公司有关人员的监督下进行信息业务服务,不得擅自复制、转让或者转借XX公司相关基础数据。
第一百二十六条 应对承包商工作及调试人员进行安全教育,并指定专门的人员,记录承包商服务行为的开始时间、具体的工作人员、操作的设备、涉及的系统、操作结束时间、操作的结果,并负责在操作之后审核确认操作结果,对承包商的服务行为进行全程监管和记录(见附件16)。
第一百二十七条 XX公司禁止使用远程方式操作、调试系统,所有操作必须在有效监管下本地进行,原则上禁止承包商自带的终端设备接入XX公司内网,承包商如果需要接入XX公司内网进行测试、调试,终端设备由XX公司提供。
第一百二十八条 信息服务承包商服务期满后,由XX公司信息管理部门及该项信息服务管理部门对承包商整体服务行为进行信息安全评定和审核(见附件17)。
第十九章 人员管理
第一百二十九条 新员工在上岗前应进行信息安全教育,由公司保密办组织签订《天津市电力公司员工保密承诺书》(见附件18),考试合格后方可上岗进行工作。
第一百三十条 重点敏感岗位人员管理
1、重点敏感岗位包括:网络管理、应用管理、主机管理、安全管理。
2、重点敏感岗位的工作直接影响着网络及信息系统的安全,必须加强管理。
3、信息管理和运维部门要对以上岗位人员加强内控、教育,提高敏感岗位人员信息安全保密意识。
4、重点敏感岗位人员离岗时,填写《信息重点敏感岗位人员离岗移交纪录》(见附件19),经信息管理部门审核确认后,完成移交工作。运维部门及时核对并修改相关人员权限和设备安全配置相关内容。
第一百三十一条 外来人员为XX公司提供信息业务服务时,必须遵守相关保密规定和要求,签署《安全保密责任书》(见附件14)和《保密补充条款》(见附件15)。XX公司指定专门的人员,对外来人员的行为进行全程监管和记录(见附件16)。
第一百三十二条 制度作废。
第一百三十三条
第二十章 附则
本规定自发布之日起试行。以前颁布的相关本规定由XX有限公司运维检修部负责解释。
第二篇:医院网络信息系统安全制度
医院网络信息系统安全制度
一、信息系统安全管理措施
(一)硬件方面
为保证系统数据安全,医院网络信息系统核心设备均采用双机、并行架构,在保证系统稳定性的同时提高主机利用效率。网络设备采用双核心,并行方式;网络链路双冗余,安装有IDS入侵检测系统、防火墙检测和过滤网络信息。同时建有灾备机房,在主机房发生火灾及其他灾害时快速接管医院主要业务系统。
(二)软件方面
数据方面,定期对HIS、PACS等系统数据进行全备份。客户端配备桌面管理软件,管理外接存储设备和监控。客户端配备网络防病毒软件,定期升级病毒库、查杀全网病毒。
(三)管理方面
计算机中心设24小时专人值班,监控网络运行,每天检查主机硬件及附属设备运行情况,及时排除各种安全隐患。一旦发现问题,及时处理并迅速向科室领导报告。故障排除后,完成相关记录。信息系统、数据库、服务器、网络设备密码由专人进行管理,不得外泄。新人院职工必须经过系统培训、考试合格后方可上机操作。
二、信息系统安全管理制度
(一)敏感数据(指涉及医院药品、财务运营、消耗材料的数据)统计
1.申请人或部门(包括院外单位)提出书面申请,科室负责人签字并盖章确认,提交医务部。2.医务部审核无误,签字并盖章,提交纪检部门。3.纪检部门审核无误,签字并盖章,提交计算机中心。4.计算机中心审核无误,签字确认,安排相关人员进行数据统计,统计人员要做到对统计结果不扩散、不泄密、不修改。
5.计算机中心将申请归档保存。
(二)普通数据统计
1.申请人或科室(包括院外单位)提出书面申请,科室负责人盖章并签字后,提交医务部。
2.医务部审核无误,签字盖章,提交计算机中心。
3.计算机中心负责人审核无误,签字确认,安排相关人员进行数据统计,统计人员要做到对统计结果不扩散、不泄密、不修改。
4.计算机中心将申请归档保存。
(三)系统用户账户管理
1.用户注册流程。开通信息系统账户,由个人或部门提出书面申请(需提供人员信息:姓名、工资号、性别、出生年月、职称、人员类型等),经科室负责人签字,医务部、护理部、财务科、人力资源部等主管部门审核盖章后,交由计算机中心完成信息注册。
2.用户转科流程。转科流程参照注册流程,送交的信息中需注明原科室和更换科室的名称。科室内部调整,经科室负责人签字并盖章后,报送医务部。
3.退休流程。干部科、人劳办以书面形式通知医务部,注销或变更退休人员在信息系统中的权限。
(四)信息系统权限管理 1.用户账号管理。登录系统须有用户账号,相当于身份标识。进修人员由医务部统一编号。
2.用户密码管理。第一次登录信息系统时,由管理员分配用户初始密码。登录信息系统后,由使用人员自行设定,系统每三个月强制用户修改一次密码。用户密码遗失,须持工作证、胸牌或科室证明文件由本人到计算机中心重置密码。
3.用户权限管理。按照操作功能与访问数据的限制,授予不同用户、不同角色一定级别的应用功能,保证信息系统安全运行。
4.部门所属权限。财务科拥有财务部分系统权限;护理部拥有病区护士管理系统权限;医务部拥有医生工作站管理系统权限;药学部拥有药师工作站管理系统权限;系统管理员拥有系统用户新增、变更、注销等系统维护权限。
5.责任承担。账号所有者应对该账号在系统中所做的操作及结果负全部责任。
(五)终端安全管理
1.安装到位的网络工作站作为医院统一专用内网终端设备,使用者不得擅自安装软件或外接硬件,如需安装必须由计算机中心监督安装或授权使用科室安装使用硬件。
2.新入网的工作站必须由计算机中心统一安装医院正版HIS系统和网络安全管理软件、杀毒软件后按人医院内网。
3.网络工作站外接硬件,须由计算机中心统一管理驱动程序。4.连接医用仪器设备的网络工作站必须由计算机中心监督安装,统一管理。5.严禁在医院内网网络终端使用U盘和外接存储设备,或使用其他用途私人外接设备。
6.严禁人为破坏网络终端设备。
7.网络终端设备报修,应及时联系仪器维修室。
8.使用网络终端前,由计算机中心统一组织培训,合格后方能上岗。
9.操作人员要熟练掌握用户入网口令,并注意严格保密。10.每次使用时需记录用机时间、工作内容和机器运转情况,机器运行期间操作人员不得擅自离开。
11.使用时如发现运行故障,应及时向计算机中心值班人员报告并做好记录。
12.工作站配置的电脑、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格交接,并报请计算机中心批准备案。
13.操作人员要保证工作站电脑正常运行、数据及时录入和提取。14.操作人员须严格遵守操作规程,工作完毕时,必须切断电源,盖好机罩,锁盘。
三、信息安全问题处置措施
一旦网络出现安全问题,计算机中心值班人员或发现人应立即向计算机中心信息安全负责人报告,检查信息系统的日志等资料,确定问题来源,并迅速采取适当措施,保证信息系统尽可能不影响终端和数措安全。若事态严重,应立即向主管领导报告,组织院内相关部门处理。
四、设备安全处理措施
(一)交换机等关键设备损坏后,应立即查明原因.并向有关部门 或单位报修。
(二)如果能够白行恢复,应立即用备件替换受损部件。
(三)如果不能自行恢复,应立即与设备提供商联系,请求派遣维护人员前来维修。
(四)如果设备不能立即修复,应向科室负责人报告,如有需要,向院领导报告。
五、设备密码安全紧急处置措施
交换机等设备密码保存在计算机中心,紧急情况下值班人员经计算机中心主任授权方可使用,不得随意更改密码。
第三篇:信息系统安全管理方案
信息系统安全管理方案
信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全
硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标
准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:
1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;
2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;
3、软件管理制度;
4、机房设备(包括电源、空调)管理制度;
5、网络运行管理制度;
6、硬件维护制度;
7、软件维护制度;
8、定期安全检查与教育制度;
9、下属单位入网行为规范和安全协议。
三、网络安全
按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:
1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。主要采用划分 VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通
讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
明确网络资源。事实上我们不能确定谁会来攻击网络系统,所以作为网络管理员在制定安全策略之初应充分了解网络结构,了解保护什么,需要什么样的访问以及如何协调所有的网络资源和访问。
第四篇:信息系统安全管理规范
信息系统安全管理规范
1、目标
此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:
确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。对用户权限进行合理规划,使系统在安全状态下满足工作的需求。
2、机房访问控制
机房做为设备的集中地,对于进入有严格的要求。只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。严格遵守机房管理制度。
3、操作系统访问控制
保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的 用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施: 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员 保密。在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商; 调试一结束系统 管理员马上更改口令。对口令设定必需满足以下规范: 最多允许尝试次数 口令最长有效期 口令的最大长度 口令的最小长度 5 30 天 不受限 6 口令的唯一性要求。
4、系统的安全控制
最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现。
5、数据库访问控制
为有效的保障业务数据的安全,采取以下措施:
数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定,由办公室审核。不能向其他人开放。口令必须 1 个月做一次修改。
对口令设定必需满足以下规范:
口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开
放不同权限的用 户。除办公室门的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作 对于业务必须的后台 job 或批处理,必须由办公室门人员执行。
6、应用系统访问控制
应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:
所有应用级的操作用户及初始口令统一由办公室门设定,以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。
对于口令设定必需满足以下规范:
口令最长有效期 口令的最大长度口令的最小长度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由办公室批准。当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助 应用系统的使用者开通账户,并建立相应的访问等级和权限。当应用系统需要关闭某位使用者的账户时,首先该部门应该填写“权限申请 表”,并得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助应用系 统使用者关闭该账户。大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间 将写入日志,以备今后查询之用。
7、个人义务
如果技术上可行,每一位使用者都应该通过一个唯一的使用者身份号码来识别,该号码设有密码,并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而,支持网关和服务器的设备是一个例外,例如:互联网服务器等。只有得到 IT 经理的批准,才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人,那么使用者将对他人利 用密码所做的任何行为的后果负责。若使用者怀疑他的密码已经被泄露了,那么他应该尽快更换密码。并应该在 第一时间向 IT 系统管理员汇报。3使用者不应该书面记录下密码,并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。使用者不得向他人泄漏密码。如果 IT 技术支持人员要求运用使用
者的号码 访问,则必须当着使用者的面登录。如果使用者泄漏了密码,则必须尽快更改密 码。如果他们因诱骗而泄漏了密码,则必须尽快向 IT 系统管理员汇报。如果使用者怀疑我们信息系统的安全性受到威胁,则必须尽快向 IT 系统管 理员汇报。使用者对他们自己输入系统的数据的精确性负责,同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如 果发现错误,并且自己能够修改的话,则应该将其改正。如果自己改正不了,则应该向他们的主管汇报。如果是在源文件发现数据错误,则应该尽快改正这些错误,而不是故意将这些错误输入我们的电脑系统。使用者在离开终端机器或电脑以前必须下线,这一点应该强制执行。如果是 在使用不带下线功能的单机个人电脑,则必须在离开电脑前终止程序。只有当执 行批处理任务时是例外。当使用者的工作职责有变动时,他的访问权也应该作相应的变更。部门经 理应该及时递交“权限申请表”以通知 IT 系统管理员。特别是在员工辞职的情 况下,他/她的部门经理以及人事部经理应该及时通知 IT 系统管理员,以保证在 最短的时间内撤销他/她的系统访问权。
8、局域网和广域网安全
在可能的情况下,我们都应将端口转换到使用者的个人电脑。如果没有足够的转换,已转换的端口将根据以下优先等级来分配:
需要带宽的使用者可以访问机密数据的使用者职务等级,例如:公司领导优先于管理员,管理员优先于经理,依此类推。所有的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以 开通。因此,在公共区域(例如:会议室)的访问端口只能在使用时开通。4 交换机位于数据中心,对该中心的物理访问应该控制。除了授权的 IT 支持人员以外,任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口或地址扫描功能的软件。IP 地址只能由经授权的 IT 支持人员来分配。使用者不得自行分配他们的 IP 地址。所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码,此密码 不得为原厂密码。交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记 录在案。IT 经理应该保留一个备份。所有服务器的管理员密码和主管密码都应该记录在案。IT 经理应该保留一 个备份。对于交换机、路由器、网络集线器以及服务器的结构等级的访问应该只限授 权的 IT 支持人员。关于安全的信息以及通往网络的网关的保护机制应该只有授权的 IT 支持人 员知道。所有的交换机和路由器都应该由非间断电原提供至少 60 分钟的电源供应。如可能,非间断电源供应机应该轮流由一台备用的发电机来充电。只有经授权的使用者才允许安装和使用
网络发明和监控工具。
第五篇:关于规范公司网络信息系统安全管理的会议纪要
保定天威集团特变电气有限公司
关于规范公司网络信息系统安全管理的会议纪要
时 间:2011年7月13日14:00—14:30
地 点:三层会议室
会议主持:赵峰
参加人员:李娜张恩芳马云峰周佳戴麟高新亮
主要内容:为了贯彻落实《保定天威集团特变电气有限公司信息系统安全
管理办法》,规范特变公司信息系统安全管理,保障信息系统的安全可
靠运行,经与会协商,形成以下意见:
1、对公司现有计算机操作者及其用户名进行统计和整理,按照一个操
作者使用一个用户名的原则,将用户名与操作者计算机绑定,避免用户名
公用和滥用造成技术数据、图纸资料外流和个人邮件信息泄露的情况发生。
2、对所有用户名的网络使用权限进行重新审批,审批流程严格按照公
司《电子办公设备及网络使用管理规定》进行,仅对工作职责中有切实需
要的开放互联网使用权限。减少病毒、网络入侵等对服务器的恶意攻击。
3、记录并留存用户登录和退出时间、主叫号码、账号、域名、系统维
护日志等信息。此次用户名统计整理完毕后,对滥用和盗用他人用户名的行为将按情节轻重对部门负责人及责任人从严考核。
4、企管策划部负责此次网络信息安全改革的用户名统计与网络使用权
限的审批;科技质量管理办公室负责网络软件、数据库、服务器的执行与
维护;设备能源部负责用户名的调整及设备硬件的维护。
特变公司企管策划部
2011年7月13日
点击咨询 