第一篇:信息安全管理制度
信息安全管理制度
一、信息安全管理责任制
1、我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我公司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、所有用户信息将得到本公司网站系统的安全保存,并在和用户签署的协议规定时间内保证不会丢失;
3、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守相应规章制度。
我公司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定两名安全负责人作为突发事件处理的联系人。
二、有害信息发现受理处置机制
第一条
一旦发现网络有害信息的,应立即启动预案,采取“及时处理、下载保存和24小时上报制度”。
第二条
网络有害信息处置前期工作程序:
一、发现有害信息的公司员工要立即报告公司信息部,由信息部协调处理网 上突发事件,摸清情况,采取措施,最大限度地遏制有害信息在网上传播和扩散,并在第一时间内向公司主管领导及有关部门报告。
二、信息部负责有害信息的界定及监控,一旦发现不良信息要马上删除(如 遇紧急情况,可直接关闭服务器,暂停网络运行)。
三、信息部及时对有害信息予以删除,取证留样,对有害信息的来源进行调 查;在最短时间内向网络有害信息处置办公室报告情况。
四、信息部要对网络安全设备的记录留存,监督检查有害信息报告、清除等情况。
五、信息安全员负责调查有害信息散布的原因、经过,收集相关证据,以有 利于事件处理时事实清楚,责任明确。
第三条
网络有害信息处置后期工作程序:
一、信息部要利用网络与信息安全技术平台,对网上有害信息和公共有害短 信及时进行封堵:对违规从事网上业务或传播有害信息的用户(包括论坛),依法采取责任令整顿,予以封禁用户等行政处罚措施。
二、在事实清楚、责任明确的情况下,公司网络安全管理领导小组要对事件 做出处理决定:影响较大、存在问题较多的网站,要集中力量研究和解决问题。对管理混乱、事故多发、造成不良影响的网站,要追究有关责任人责任。
三、有关事件的处置经过、结论等相关事宜,一律由信息部统一对外宣传。
四、做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费 投入,要在技术管理和软件开发利用上下工夫,提高网络信息安全管理技能。网站服务器必须安装必要的信息安全软件。
三、有害信息投诉受理处置机制
举报投诉中心设在公司信息部。举报投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设置举报箱。
受理的有害信息投诉事件主要指单位和个人利用我公司网络制作、复制、查阅和下载下列信息的事件:
1.煽动抗拒、破坏宪法和国家法律、行政法规实施;
2.煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;
3.捏造或者歪曲事实,散布谣言扰乱社会秩序;
4.侮辱他人或者捏造事实诽谤他人;
5.宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
6.公然侮辱他人或捏造事实诽谤他人的;
7.损害网站形象和网站利益的;
8.其他违反宪法和法律、行政法规的。
举报投诉受理中心对公众举报、投诉事件,按集中管理、登记的原则办理,由信息部带领网络安全小组集中处理,并将处理结果备案。对较重大有害信息事件,应立即上报主管领导。
举报投诉受理中心受理的事件,要做到即接快办;夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记。
负责查办的相关人员接到交办的投诉举报事件后应及时安排办理,要求在法定时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明理由,可适当延长处理时间;处理结果应及时反馈给举报投诉受理中心,由举报投诉受理中心反馈给举报人。
在处理有害信息投诉事件的记录、登记、交办工作流程时,应填写相应表单,并随结果报告一同存档。
处理人员应对重大有害信息事件举报人或要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。
四、重大信息安全事件应急处置和报告制度
为预防和及时处置网络突发事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案。
一、在公司领导的统一管理下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
二、信息网络安全事件定义
1、网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然侮辱他人或者捏造事实诽谤他人;宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖;发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。
2、网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
3、在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。
三、加大培训和宣传力度,加强和完善互联网安全管理,设置专门管理部门,采取统一管理体制,落实负责人。各部门要建立健全内部安全保障制度,按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络与信息安全。加强我公司互联网络信息安全管理,连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。
四、加强信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日志分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏目的专人管理,交互式栏目内容发布实行审核制度。对于非法网站要做到:发现一个,禁止一个,并及时向主管领导汇报,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、网络部对互联网实施24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录在案,并对其警告和批评教育,严重违法行为立即上报有关部门。
六、加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
(2)保护现场,立即与网络隔离,防止影响扩大。
(3)及时取证,分析、查找原因。
(4)消除有害信息,防止进一步传播,将事件的影响降到最低。
(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
(6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
七、及时整顿,加强防范。各部门要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现公司信息安全管理,创造良好的网络环境。
八、在重要、敏感时期,加大网络安全教育宣传力度,加强员工的法律意识和安全意识教育,提高其安全意识和防范能力;开展安全文明上网的教育引导工作,净化互联网网上环境,及时收集信息,排查不安定因素;坚持24小时值班制度,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系,积极做好预防工作,发现问题及时处理,防患于未然。
九、做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十、网络安全事件报告与处置。
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
五、信息安全管理政策和业务培训制度 第一章 信息安全政策
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.2.系统管理操作代码的设置与管理:
(1)、系统管理操作代码必须经过经营管理者授权取得;
(2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
(3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
(4)、系统管理员不得使用他人操作代码进行业务操作;
(5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
3.一般操作代码的设置与管理
(1)、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
(2)、操作员不得使用他人代码进行业务操作。
(3)、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和 操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和 字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入 密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密 码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场 技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可 以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失 效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构 负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检 测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.信息部人员进入机房必须经领导许可,其他人员进入机房必须经信息领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进 出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经信息部负责人批准同意后有关人员监督下进 行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内 的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统 的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及 时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
第二章 业务培训制度
一、培训制度
1、业务学习培训计划由信息部根据年度工作计划作出安排。
2、成立业务学习小组,定期组织业务学习;
3、工作人员每年必须参加不少于15个课时的专业培训。
4、工作人员必须完成布置的学习计划安排,积极主动地参加信息部组织的业务学习活动。
5、有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。
6、支持、鼓励工作人员结合业务工作自学。
二、培训内容:
1.计算机安全法律教育
(1)、定期组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。
(2)、负责对企业的网络用户进行安全教育和培训。
(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。
2.计算机职业道德教育
(1)、工作人员要严格遵守工作规程和工作制度。
(2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。
(3)、不得利用计算机信息系统的漏洞偷窃客户资料,进行诈骗和转移资金。
(4)、不得制造和传播计算机病毒。
3.计算机技术教育
(1)、操作员必须在指定计算机或指定终端上进行操作。
(2)、机房管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。
(3)、不得越权运行程序,不得查阅无关参数。
(4)、发现操作异常,应立即向机房管理员报告。
三、培训方法:
1.结合专业实际情况,指派有关人员参加学习。
2.有计划有针对性,指派人员到外地或外单位进修学习。
3.举办专题讲座或培训班,聘请有关专家进行讲课。
4.所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗。
5.自订学习计划,参加专业函授学习成绩及时反馈有关部门,良好学业者给予奖励。
第二篇:信息安全管理制度
信息安全管理制度
第一章 总
则
第一条 为了保护XXX公司计算机网络系统的安全、促进计算机信息系统的应用和发展、保证网络和信息系统的正常运行,特制定本安全管理制度。
第二条 本管理制度所称的计算机网络系统,是指由XXX公司投资购买、建设的计算机网络主、辅节点设备、配套的网络线缆设施及服务器、工作站所构成的软件、硬件的集成环境。
第三条 本管理制度所称计算机信息系统:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条本办法适用于XXX公司。
第二章 组织机构和职责
第五条在信息安全工作管理中,安全管理员的职责包括:
(一)负责公司整个计算机、网络设备、安全设备安全管理 的日常工作。
(二)开展公司范围内安全知识的培训和宣传工作。
(三)监控公司安全总体状况,提出安全分析报告。
(四)了解行业动态,为改进和完善安全管理工作,提出安全防范建议。
(五)及时向上级领导、相关负责人报告计算机安全事件。
(六)安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
(七)安全人员应定期参加下列计算机安全知识和技能的培训:计算机安全法律法规及行业规章制度的培训;计算机安全基本知识的培训;计算机安全专门技能的培训等。
第六条
在信息安全工作管理中,系统管理员的职责包括:
(一)负责系统的运行管理,实施系统安全运行细则。
(二)严格用户权限管理,维护系统安全正常运行。
/ 12
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件。
(四)对进行系统操作的其他人员予以安全监督。
(五)负责系统维护,及时解除系统故障,确保系统正常运行。
(六)不得安装与系统无关的其他计算机程序。
(七)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第七条
在信息安全工作管理中,网络管理员的职责包括:
(一)负责网络的运行管理,实施网络安全策略和安全运行细则(详见网络系统的管理规范)。
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件。
(四)对操作网络管理功能的其他人员进行安全监督。
第三章
机房安全管理
第八条
机房安全建设和改造方案应通过上级保卫部门的安全审批。
第九条
机房安全建设应通过上级保卫部门组织的安全验收。
第十条
机房应按重要性进行分级管理,分级标准按有关规定执行。
第十一条
机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。严禁与机房业务无关的人员进入机房。
第十二条
计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第十三条
机房建设应当符合下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房(含屏蔽机房)应当埋设专用接地线,不得和其它接地线相连。
(三)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(四)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。
(五)机房应设专用的供电系统,配备必要的UPS和发电机。
第十四条
机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。
/ 12
第十五条
监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第十六条
机房严禁无关人员进出,门禁系统的钥匙应严格发放,对于岗位变动的人员,及时收回原来门禁系统的钥匙。
第十七条
加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。参观主机房,须经有关领导批准方可,参观时必须有机房管理员陪同。
第十八条
严禁将易燃易爆和强磁物品及其它与机房工作无关的物品带入机房。
第十九条
机房内保持肃静,严禁在机房内游艺或进行非业务活动。进入机房的工作人员,都必须严格遵守机房的安全、防火制度,严禁烟火。不准在机房内吸烟。
第二十条
机房内所有设备、仪器、仪表等物品要妥善保管,向外移(带)设备及物品,需有主管领导的批示或经系统管理员批准,方可拿出机房。
第二十一条
发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。
第四章
设备维修保养管理
第二十二条
只有得到授权的维护人员才能够对设备进行维修和保养。
第二十三条
注意设备的保养和用电的安全,定期对设备进行检查,及时消除隐患。
第二十四条
计算机信息网络系统的设备原则上由本单位的技术人员进行检修。不能检修的,尽可能请维修人员上门维修。
第二十五条
计算机信息网络系统的设备必须外出修理的,应当经领导批准,并清理设备内部存贮的涉密信息(如硬盘格式化等),方可外出进行修理。
第二十六条
计算机设备的采购需满足国家以及行业的相关安全保密规定。
第五章
网络安全管理
第二十七条
网络建设方案应通过上级计算机安全主管部门的安全审批。
第二十八条
网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。
第二十九条
在网络的出口出应该配备有相应的安全设备。
第三十条
网络建设中涉及网络安全的资料,应备案建档,统一管理。相关的密码和帐号应由专人管理。
第三十一条
网络建设应符合下列基本安全要求:
(一)网络规划应有完整的安全策略。
(二)能够保证网络传输信道的安全,信息在传输过程中不会被非法获取。
/ 12
(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。
(四)应具备必要的网络监测、跟踪和审计的功能。
(五)应根据需要对网络采取必要的技术隔离措施。
(六)能有效防止计算机病毒对网络系统的侵扰和破坏。
(七)应具有应付突发情况的应急措施。
(八)对于建设竣工文档应由专人管理,并且以光盘介质和纸质两种方式进行存档。
第三十二条
网络通信应符合下列基本安全要求:
(一)各部门之间进行VLAN划分。
(二)对重要服务器区、重要科室部门,实现严格的网络访问控制。
(三)对联网的计算机及其网络设备和通讯设备的安装、使用,应建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入和用户非法越权操作。
(四)存有重要数据的计算机,不得擅自与国际互联网联网。
(五)内部有权限上网的用户不能将内部资料通过网络进行外传。
(六)网络管理员在内部网络与外网直接的防火墙或路由器上设置安全访问策略,严格限制内外网之间的访问。
(七)接入国际互联网的计算机要有专人进行管理,对上网内容须进行必要的检查。
(八)任何用户不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯和危害公司的利益,不得从事违法犯罪活动。
第三十三条
访问互联网应符合下列基本安全要求:
(一)涉密系统不得与境外机构、外国驻华机构、国际计算机网络及国内公众计算机信息系统联网。
(二)不得浏览“色情”或传播非法内容(如法轮功,发动言论等)的网站。
(三)不得在网上传播非法内容。
(四)禁止下载非法的或有危害的软件。
(五)没有安装防病毒软件的计算机不得访问互联网。
第三十四条
重要网络设备应放置在中心机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。
第三十五条
网管设备属专管设备,必须严格控制其管理员密码。
第三十六条
重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。
第三十七条
改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。
/ 12
第三十八条
与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第三十九条
网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员。
第四十条
有权限的单位在使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。
第四十一条
网络扫描、监测结果和网络运行日志等重要信息应备份存储。
第四十二条
联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。
第四十三条
严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。
第四十四条
机房内交换机上的未被使用的空闲端口应设置为不启用状态。
第六章
人事安全管理
第四十五条
人员管理应符合下列基本安全要求:
(一)各部门遴选涉密系统的工作人员,应当按机要人员的标准,先审查后录用;并对其进行经常的保密教育,要求严格遵守国家工作人员保密守则。对不适宜在涉密系统工作的人员应及时调整。
(二)建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。定期组织对新进公司的职员进行安全管理培训。
(三)对关键岗位人员的进行安全制度和常识的定期考核、各部门人员职责的明确。
(四)网络管理员、安全管理员、普通操作员岗位分离。
(五)需要上外部互联网用户必须与信息中心办理上网申请,严格执行安全保密制度。
(六)内部用户对网络上有害信息应该及时控制并删除,不得传播。
(七)对安全事故、案件等应该及时上报安全管理办公室,并作日志记录。
(八)网络管理员应定期检测网络运行情况,安全管理员必须定期检查系统安全情况。
(九)有关信息安全条例及时上安排上网、并转发给用户学习。
(十)发现异常用户登录,应及时处理并上报安全管理办公室备案。
第四十六条
多人负责原则:
(一)每一项与安全有关的活动,都必须有两人或多人在场。一为互相监督,二为一旦出现擅自离职,可以保证系统的正常运行。而且应该签署工作情况记录,5 / 12
以证明安全工作已得到保障。
(二)以下各项是与安全有关的活动:
① 访问控制使用证件的发放与回收。
② 信息处理系统使用的媒介发放与回收。
③ 处理保密信息。
④ 硬件和软件的维护。
⑤ 系统软件的设计、实现和修改。
⑥ 重要程序和数据的删除和销毁等。
第四十七条
任期有限原则: 一般地讲,任何人最好不要长期担任与安全有关的职务,为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。工作人员在调离本岗位后,应对其所涉及到的权限及口令等进行重新设定。
第四十八条
职责分离原则:
(一)在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
(二)出于对安全的考虑,下面每组内的两项信息处理工作应当分开: ① 计算机操作与计算机编程。② 机密资料的接收和传送。
③ 安全管理员和网络管理员。
④ 应用程序和系统程序的编制。⑤ 访问证件的管理与其它工作。
⑥ 计算机操作与信息处理系统使用媒介的保管等。
第四十九条
人员调离时安全管理应符合下列基本安全要求:
(一)根据人员安全保密管理,对工作调动和离职人员要及时调整相应的授权。
(二)在宣布人员调离的同时,应马上收回调离人员的各项权限,包括取消帐号,收回相关房门钥匙,更换其原来管理的系统的访问口令,并向被调离人员申明其保密义务。
(三)涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。
(四)人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育。
第七章
系统及应用安全管理
第五十条
系统运行的基本要求:
(一)对于各个信息系统的使用应建立相应安全操作规程与规章制度。
(二)指定专人负责启动、关闭重要计算机系统和相关设备。
/ 12
(三)指定专人对系统运行状况进行监视,及时发现问题并报告上级。
(四)记录内部网络拓扑情况,记录各计算机系统的IP地址、网卡地址、系统配置,以在发生安全问题时,及时找到相关系统。
(五)各个信息系统的运行场所应满足相应的安全等级要求。
(六)各个信息系统应配备必要的计算机病毒防范工具。
(七)重要的信息系统应配备必要的备份设备和设施。
第五十一条
系统数据安全管理的要求:
(一)计算机信息系统应定期进行数据备份,并检查备份介质的有效性。
(二)应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号,并标明备份日期、密级及保密期限。
(三)应对备份介质妥善保管,特别重要的应异地存放,并定期进行检查,确保数据的完整性、可用性。
(四)应建立备份介质的销毁审批登记制度,并采取相应的安全销毁措施。
(五)未采取保密措施的涉密系统(含个人计算机),不得用于采集、处理、存贮、传输和检索涉及公司秘密的信息(以下简称涉密信息)。
(六)重要信息系统使用的计算机设备更换或报废时,应彻底清除相关业务信息,并拆除所有相关的涉密选配件,由使用部门登记封存。
第五十二条
服务器安全管理要求:
(一)系统中各服务器为应用系统、安全系统专用,不得用于其他用途。
(二)未经许可,服务器中不得安装与系统无关的软件。
(三)系统中各主要服务器不准开设文件共享服务,若需进行文件的传输与拷贝,可开通FTP服务。
(四)网络管理员应建立完整的计算机运行日志,操作记录及其它与安全有关的资料。
第五十三条
个人计算机安全管理要求:
(一)未采取保密措施的个人计算机(含便携机,下同),不得作为临时终端检索涉密系统的信息,不得与涉密系统联网。
(二)个人计算机存贮涉密信息应当采取保密措施,并标明密级,按密级文件进行管理,不得在公共场所存放。
(三)个人计算机不得安装和使用会影响网络性能的工具软件,如网络扫描器、黑客攻击工具等。
(四)个人计算机不得安装与工作无关的软件,如游戏、聊天、炒股软件等。
第五十四条
数据库安全管理要求:
(一)数据库的各个用户的默认密码应该被重新设置为新的密码,且密码由数字
/ 12
和字母共同组成,密码长度不小于8位。
(二)严格设置和限制数据库用户的访问权限,容许用户只访问被批准的数据,以及限制不同用户有不同的访问模式。
(三)开启数据库日志功能,数据库管理员定期查看日志,查找异常情况,并将数据库日志进行备份。
(四)若网络系统中采用了数据库审计系统,数据库审计系统的管理员应经常注意数据库审计系统的报警情况,以及时作出安全响应措施。
(五)数据库管理员应了解数据库安全漏洞情况及相应的解决方法,如及时为数据库升级或打好相应的补丁。
(六)对重要数据库定期进行备份。
第五十五条
系统运行平台的安全管理要求:
(七)系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(八)系统管理员应屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(九)涉密系统的操作系统应当建立用户身份验证、访问权限控制等保密防御机制和审计机制。
(十)重要的涉密系统,应当建立具有实时报警功能的监控系统。
(十一)传输重要信息,应当采用数字签名技术。
(十二)涉密系统各类数据库应当建立用户身份鉴别、访问权限控制和数据库审计等保密措施,重要的数据应当加密存放。
(十三)系统管理员应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。并负责应用软件和数据库系统的升级和打补丁。
(十四)系统管理员应启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
(十五)系统管理员不得泄露操作系统、数据库的系统管理员帐号、密码。
(十六)联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,不得随意修改。
(十七)安全管理员使用扫描工具或请外部专用人员定期对内部网络系统进行安全扫描。
(十八)对于已经发现的操作系统和应用软件漏洞和解决方法,安全管理员应及时告知系统管理员及内部职员,并及时进行解决。
第八章
数据安全管理
第五十六条
本制度所指的信息数据,包括存储在计算机硬盘、磁道机、磁盘阵
/ 12
列、光盘塔等电子信息数据,还包括以纸为信息载体的记录内部网络情况及信息系统等资源的文档。
第五十七条
公司各个部门必须建立完善的业务数据管理制度,对业务数据实施严格的安全保密管理。各个业务部数据信息应保存一年以上。
第五十八条
数据备份应符合下列基本安全要求:
(一)使用数据备份软件对需要长期保存的重要数据进行快速有效的数据备份工作。
(二)各部门重要数据的备份一般保证有多份(最少两份),并异地存放,保证系统发生故障时能够快速恢复。存放备份数据的介质必须具有明确的标识,并明确落实异地备份数据的管理职责。
(三)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
(四)建议第一次备份时作一次系统数据的全备份,以后每天作一次增量备份,每周作一次全备份。
(五)数据备份过程中,应确保备份数据源和备份目的介质之间数据传输安全。
(六)数据备份的存储介质应设有严格的访问策略限制。
(七)备份数据应仅用于明确规定的目的,未经批准不得它用。
(八)无正当理由和有关批准手续,不得查阅备份数据。经正式批件查阅数据时必须登记,并由查阅人签字。
(九)保密数据不得以明码形式存储和传输。
(十)根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。
(十一)注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
(十二)任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第五十九条
涉密介质应符合下列基本安全要求:
(一)涉密系统存贮涉密信息的介质(含磁盘、磁带和光盘,以下简称涉密介质),应当由专人负责保管,涉密介质应当与非密介质分开保管。
(二)涉密介质应当按密级文件进行管理,标明密级并造册登记,收发、传递和使用应当有审批手续和传递记录。
(三)涉密介质应当有防拷贝措施,拷贝涉密信息要经领导审批,拷贝的涉密介质按原涉密介质进行管理。
(四)涉密介质不得降低密级使用和记录非密信息,无保存价值的涉密介质应当报领导批准后销毁,并作好销毁记录。
/ 12
(五)涉密介质不得到境外修理。
第六十条
数据管理应符合下列基本安全要求:
(一)公司内部信息数据及网络应用情况要实施保密措施。信息数据资源保密等级可分为:
(1)可向Internet公开的;(2)可向内部公开的;
(3)可向特定服务器区公开的;(4)可向有关部门或个人公开的;(5)仅限于本部门内使用的;(6)仅限于个人使用的。
(二)公司内各部门计算机数据管理实行负责人责任制,各部门指定专人负责本部门计算机数据管理工作。保障本部门计算机数据的安全运行,对本部门的计算机数据及时进行分类登记、备份,随时检测、清除计算机病毒,使用病毒防护工具恢复被病毒感染的数据。
(三)计算机数据中涉及国家和商业秘密的信息应采取技术加密、保密措施,并编制操作密码,任何人不准泄露操作密码。操作密码要定期更改。如发现失、泄密现象应及时向有关部门报告。
(四)传递应予保密的数据,应通过符合保密要求的邮件等方式进行。
(五)在数据采集、传递、加工和发布中违反报名规定,给国家和社会造成危害的,对直接责任人要给予行政处分,情节严重的,要追究刑事责任。
(六)记录有公司内部网络拓扑情况、网络地址、系统配置等的电子文档,应由网络管理员妥善保管,加密存储。相关的纸介质文档,也应妥善保管在安全处,未经上级批准不得借阅或复印。
(七)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,由信息部门技术人员进行现场技术支持。数据恢复后,必须进行验证,确保数据恢复的完整性和可用性。
(八)数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
(九)需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
(十)计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备
/ 12
存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
(十一)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第九章 病毒防治管理
第六十一条
网络中所有联网的服务器和客户端均应安装病毒防护系统软件,若病毒防护软件带有集中管理功能,则对网络用户实现病毒防护软件的统一设置,不容许用户私自卸载防病毒软件,不容许用户禁止实时病毒扫描功能。
第六十二条
安全管理员负责更新防病毒软件。
第六十三条
定期进行病毒扫描,发现病毒立即处理;设置病毒防护软件自动扫描为每周至少一次。
第六十四条
外面进来的信息介质必须经过病毒扫描、病毒清除后才能使用。
第六十五条
计算机使用人员在使用软盘时,应先对软盘进行病毒扫描。
第六十六条
计算机使用者在离开前应锁定计算机或退出系统。
第六十七条
任何人未经计算机所属使用人的同意,不得使用他人的计算机。
第六十八条
安全管理员负责公司内部计算机病毒的检测和清理工作。
第六十九条
安全管理负责人对防病毒措施的落实情况进行监督。
第七十条
安全管理员定期将防病毒软件的统计日志和公司内病毒发作情况向安全管理领导小组汇报。
第十章
帐号密码与权限管理
第七十一条
由网络管理员负责创建用户和删除用户,用户的密码口令修改由用户自己完成,未经用户同意,网络管理员无权修改用户的密码。
第七十二条
密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和管理员密码,用户密码是登陆系统时所设的密码,管理员密码是进入各应用系统的管理员密码。
第七十三条
编制密码应当选择有大小写英文字母与数字混合用的可拼读但无意义的字母组合,字长不得少于6个字符,机密系统口令长度不得少于10位。不得选择常用、易猜或有特殊意义的名字或单词,如:名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串。
第七十四条
密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
第七十五条
口令字(表)必须注意保密,不得记载或张贴在外。
第七十六条
用户注意对自己帐号和密码保密,帐号不得转借、转让他人使用,11 / 12
不得将帐号和密码告诉外部人员。
第七十七条
用户密码在失密后立即报告,及时更换新密码。
第七十八条
操作人员应有互不相同的用户名,用户对自己使用的帐号负责,不得与他人共享同一帐号,系统应定期提醒用户更改帐号密码。
第七十九条
对各用户权限统筹安排,各岗位操作权限要严格按岗位职责设置,应定期检查操作人员的权限。
第八十条
重要岗位的登录过程应增加必要的限制措施。
第八十一条
对于内部网络内使用的公用帐号和密码(如FTP服务器的登录帐号和密码)应定期更换,同时也不得将此帐号信息泄漏于外部人员。
第八十二条
在职人员离职时,应及时删除该用户的帐号。
第八十三条
创建用户、删除用户、修改密码等设计用户安全性的操作应该有详细的日志记录,并由安全管理员负责查看。
第八十四条
服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理。
第八十五条
有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除并进行登记。
第十一章
附
则
第八十六条
本办法由XXX信息部负责解释。
第八十七条
本办法经XXX信息化工作领导小组审议通过后生效,自发布之日起实施。
/ 12
第三篇:信息安全管理制度
信息工作管理制度
第一章 总 则
第一条 为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。
第二条 本制度适用范围为信息与监控中心,其他单位可参照执行。
第二章 岗位管理
第三条 业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。
第四条 机房运维人员根据运维合同规定由机房管理部门对其实行管理。
第五条 信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。
人员岗位及职责
(一)系统管理员
系统管理员是从事服务器及存储设备运行管理的人员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。
1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。
2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。
3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。
4、负责指定的服务器操作系统的管理口令修改。
5、负责制定、执行服务器及存储设备故障应急预案。
(二)业务管理员(业务联系人)
业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。
1、负责维护业务系统的运行及业务系统的安装环境。
2、负责制定、执行业务系统及其数据的备份计划。
3、负责业务数据的数据备份及数据恢复。
4、负责制定执行本业务系统的故障应急预案。
(三)网络管理员 网络管理员是网络及网络设备运行管理的管理人员,业务上应具备规划大型网络的能力,网络故障分析的能力。
1、负责日常监控网络运行,保持网络安全、稳定、畅通。
2、负责网络、安全设备的资料登记,软件保管及设备维修。
3、负责网络、安全设备的配置情况及针对相关业务配置参数设置,并备份各个设备的配置文件。
4、负责网络、安全设备的编号和调配。
5、负责网络资源规划和网络布线配线架的管理。
6、负责对网络的效能进行评价,提出网络结构、网络技术和网络管理的改进措施。
7、负责制定和执行网络故障应急预案。
(四)安全管理员
安全管理员是网络安全、系统安全进行风险评估的管理人员,业务上应具备文字处理的能力、划分系统保护定级及系统恢复定级的能力、协调沟通的能力。
1、负责定期对网络、操作系统等进行安全漏洞扫描,通知各相关技术人员并给予指导。
2、负责组织实施信息安全风险评估,报告。
3、负责组织人员进行安全培训。
4、负责确定系统保护定级和划分系统恢复等级。
5、负责配合省公安厅和经信委的信息安全检查。
(五)安全审计员
安全审计员是审计网络安全策略、安全防护、角色权限的管理人员。业务上应具备办公及应用软件安全分析的能力、系统安全风险策略及数据安全风险策略分析的能力、组织协调的能力。
1、负责办公软件和应用软件的安装和维护。
2、负责重要系统的用户角色权限的审计。网络安全、病毒防护的审计。
3、负责数据备份与灾难恢复的审计。
4、协助进行网络带宽分配、网络访问控制、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进行测试。
5、负责重要系统软硬件获取应用的审计。
6、负责应急预案的审计,并组织应急演练。第六条 信息工作人员与机房运维人员都必须遵守《山东省环境保护厅环境信息网络管理维护规范》,签订信息安全责任书。
第七条 对违反信息安全操作规范或严重疏忽,根据造成的后果的大小,可对信息工作人员的当年考核评定为不合格或职务晋升、评选先进等实行一票否决。人事关系隶属其他部门人员通知相关部门负责人,根据厅有关规定进行 处理。造成重大事故,构成犯罪的,将追究刑事责任。
第八条 信息工作人员离岗必须交接的内容:
1、将领用的办公电脑、U盘、移动硬盘等办公品办理退还手续。
2、本岗位所有的工作资料。
3、经办未了的事项。第九条 离岗交接要求
1、离岗人员必须认真填写离岗表格资料,填写资料字迹要清晰。
2、离岗表格资料由信息主管部门负责对离岗人员材料进行评审。
3、资料、文件、未完工作交接时,需由信息主管部门确定监交人,监督移交是否完整、准确,并帮助移交工作顺利完成。资料交接清单必须有移交人、交接人以及监交人三方的签字认可。
4、离岗交接未通过评审者,人事部门不得为其办理离职手续。
5、交接时可能会出现资料交接不完全,人员离岗后,信息主管部门保留对移交人的追索权力。
第十条 根据《信息安全等级保护检查工作规范》的规定,信息部门每年举办一次信息安全技术培训。
第三章 网络管理
第十一条 根据《山东省环境保护厅环境信息网络管理维护规范》标准,网络管理员每天检查网络设备的运行情况。
第十二条 网络管理员日常检查各网络运行状态,记录网络运行各项参数。
日常检查内网管理软件、网络与安全管理软件的运行情况。及时执行网络与安全管理软件升级维护,并记录网络安全日常维护表。
第十三条 网络管理员配合安全审计员定期对网络带宽分配、网络访问控制、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进行测试。
第十四条 网络资源及网络参数变更,必须有机房负责人进行审批。
第十五条 出现网络异常,网络管理员及时报告机房负责人,核实原因。如网络出现故障或事故,应按照《信息安全应急预案》处理,及时维修、更换备机。
第十六条 网络、安全设备接入网络,必须经过运维管理部门审批。发现私自接入网络行为的,给予警告、记过处分,造成不良后果的,可以撤职。
第十七条 利用网络从事非法活动的,将根据有关法 律法规,追究责任。
第四章 系统管理
第十八条 根据“谁应用,谁负责”的原则,确定每个业务系统的业务管理员,软件研发单位负责对业务管理员进行培训。
第十九条 业务管理员应每天检查所管理业务系统(包括所使用的硬件设备)的运行情况,检查业务系统备份情况,及时修补系统补丁。
第二十条 对业务系统进行升级与维护,必须录入系统日常维护表。
第二十一条 业务系统及其备份系统发生故障时,系统管理员及时通知软件开发商并报告机房负责人,核实原因。如系统不能恢复或数据丢失等重大事故发生,应按照《信息安全应急预案》处理。
第二十二条 每年7月,业务管理员配合安全管理员对业务系统进行风险评估,根据风险评估报告(符合GB/T20984标准),进行系统修订。
第二十三条 每年7月,业务管理员配合安全管理员核定信息系统等保定级、系统恢复定级,按照信息安全检查内容进行自查。
第二十四条 业务系统服务器不得开放与工作无关 的服务端口。如需开通其他服务端口,必须备案,并自行保证信息安全。
第五章 软硬件资产管理
第二十五条 进入机房的软件、服务器、存储、网络与安全设备进行统一的编号和调配,如在财务管理所规定的固定资产价值范围内(含软件和其它信息设备),应统一登记,计入固定资产台账。
第二十六条 由行政管理部门和使用部门对软件和信息设备共同进行资产管理。
1、设置固定资产实物台帐,建立固定资产卡片。
2、对固定资产进行统一分类资产编号。
3、对固定资产的使用落实到具体负责人。
第二十七条 资产编号规则应按财政厅规定的资产编号规则实施。
第二十八条
信息管理部门定期组织人员,进行软件资产清查盘点,对清查盘点中发现的问题,应当查明原因,说明情况,软件资产清查盘点工作应当符合信息安全和保密的要求,防止信息外泄。
第二十九条
符合下列条件之一的软件资产可以申请报废
(一)闲置一年以上及版本陈旧已不再使用的
(二)达不到业务要求需要淘汰、报废、删除的;
(三)已超过授权期限,无法使用的;
(四)其他特殊情况需要处置的。
第三十条 根据设备新旧程度,信息管理部门应组织系统管理员和网络设备管理员及业务管理员,定期修订设备保养计划,设备进行保养及清洗,需按照保养计划执行。
第三十一条 信息设备发生故障时,应及时报告机房负责人并通知相关负责人,核实原因。如设备故障可能会导致系统或数据丢失时,应按照《信息安全应急预案》处理。
第三十二条 网络设备、安全设备、服务器设备其它机房设备维修,必须经过运维管理部门审批,填写维修单。
第三十三条 未经运维管理部门审批,不得拆换信息设备零件、配件、外设,不得改变网络设备、安全设备、服务器设备、存储设备安装位置及系统设置,更不准挪作它用。
第三十四条 符合下列条件之一的信息设备可以申请报废
(一)超过使用年限、自然损耗造成性能降低、主要部件损坏,无法修复的。
(二)多次修理,费用超过设备原值50%以上的。
(三)设备属淘汰产品,不能满足正常工作的。
(四)其他特殊情况需要处置的。
第六章 信息安全管理 第三十五条 按照《关于加强党政机关计算机信息系统安全和保密管理的若干规定》,重要数据应参照执行。
第三十六条 拥有重要数据的部门应该及时对数据进行备份,防止数据的丢失;涉及数据备份和恢复的部门要指定业务管理员负责数据备份工作,并认真填写备份日志。
第三十七条 数据备份应根据不同业务制定不同的备份周期和备份策略,存放备份数据的介质必须具有明确的标识。备份数据应定期测试,以确保备份数据的可恢复性。
第三十八条 备份介质必须归档。备份介质要有业务管理员负责保管工作,保存地点应有防火,防热,防潮,防尘,防磁,防盗设施。
第三十九条 数据清理前业务管理员必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第四十条 数据恢复前,业务管理员必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第四十一条 数据的备份、恢复、转出、转入的权限 都应严格控制。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。当存储过重要数据的介质(如光盘、软盘、磁带等)报废时应由专业技术人员进行物理性销毁。
第七章 密码管理
第四十二条 网络设备、服务器设备及其应用系统等系统密码和管理密码,应统一管理、专人使用。
第四十三条 密码更新应由各设备及系统管理员编制新密码,实施更新,并送机房负责人备查。
第四十四条 交换机、路由器、防火墙、服务器的系统密码和管理密码每月更新一次,在每月5日前负责完成。网站和视频会议系统服务器指定负责人将密码更新后,并及时通知机房负责人备案。
第四十五条 特殊情况机房负责人可根据工作的实际需要更新密码。
第八章 附则
第四十六条 结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,本制度适时修订。
第四十七条 本制度由信息与监控中心制定并解释。第四十八条 本制度于 2011年 月 日批准实施。
网络安全事故应急预案
第一章 总则
为了正确、迅速和有效地处置网络系统可能发生的重大计算机网络安全事故,提高处理突发计算机网络安全事故的控制和排障能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机网络系统安全、数据安全,最大限度地减少计算机网络信息安全事故的危害和影响,保护各项工作顺利进行,特制定本预案。
第二章 适用范围
该预案适用于办公楼在日常工作过程中计算机网络发生的各类突发事件,包括通信网络故障、病毒防范、服务器软件系统故障、核心设备硬件故障、业务数据损坏等计算机网络安全事件。
第三章 组织机构职责
信息安全应急工作组组长由信息与监控中心主任任担任,副组长由信息监控中心副主任担任,技术总负责人由运维管理负责人担任,组员由系统管理员、业务管理员、网络管理员、安全管理员、安全审计员组成。主要职责是:(1)承担本单位的值守应急工作;
(2)收集、分析工作信息,及时上报重要信息;(3)负责网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(4)组织制订、修订与本部门职能相关的专项应急预案(5)负责组织协调网络与信息安全突发事件应急演练(6)负责应对网络与信息安全突发事件的宣传教育与培训。
网络与信息安全技术服务团队
技术服务团队有厅机房运维单位的相关技术专家组成,人员构成有网络专家、服务器专家、系统专家、数据恢复专家。
(1)在网络与信息安全突发事件预防与应急处置时,提供咨询与建议;
(2)在制定网络与信息安全有关规定、预案、制度和项目建设的过程中提供参考意见;
(3)及时反映网络与信息安全应急工作中存在的问题与不足,并提出改进建议;
(4)对网络与信息安全突发事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
第四章 预案启动 第一条:突发计算机网络事故
1、关键设备和系统故障。
2、自然灾害(水,火,电等)电脑病毒等恶意代码危害。
3、人为的恶意攻击等。第二条:应急准备
各运维人员应明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
第三条:具体措施
实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;
第五章 有关应急预案
第四条:自然灾害(水,火,电等)导致网络故障应急预案
(一)发生自然(水,火,电等)灾害时,第一目击者应立即通知机房负责人,并及时报告运维主管部门领导。
(二)机房维护人员应在确保自身安全的情况,抢出重要的设备和文件,并做登记,方便后期管理。
第五条:通信网络故障应急预案
(一)发生通信线路中断、路由故障、流量异常、域名系统故障后,网络管理员应及时通知机房负责人。
(二)经初步判断后,网络管理员应及时查清通信网络故障位置,隔离故障区域,通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
(三)事态或后果严重的,机房负责人应及时报告应急领导小组。
(四)应急处置结束后,机房负责人应将故障分析报告,在调查结束后一日内书面报告应急领导小组。
第六条:不良信息和网络病毒事件应急预案
(一)发现不良信息或网络病毒时,安全管理员应通知网络管理员立即断开网线,终止不良信息或网络病毒传播,并报告机房负责人。
(二)安全管理员根据机房负责人指令,采取隔离网络等措施,各单位应安装杀毒软件,并及时更新,立刻杀除杀毒或清除不良信息,并追查不良信息来源。
(三)事态或后果严重的,机房负责人应及时报告应急领导小组。
(四)处置结束后, 机房负责人应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告应急领导小组。第七条:服务器软件系统故障应急预案
(一)发生服务器软件系统故障后,系统管理员应立即报告机房负责人和业务管理员,组织启动备份服务器系统,由备份服务器接管业务应用,同时将故障服务器脱离网络,保存系统状态不变,保持原始数据。
(二)系统管理员与业务管理员应根据机房负责人指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商和运维单位,请求技术团队支援,作好技术处理。
(三)事态或后果严重的,及时上报应急领导小组和相关业务部门领导。
(四)处置结束后, 机房负责人应将事发经过、处置结果等在调查工作结束后一日内书面报告应急领导小组。
第八条:黑客攻击事件应急预案
(一)当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告机房负责人。
(二)接报告后,机房负责人应立即指令系统管理员和网络管理员核实情况,并通知业务管理员,及时关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻 破的登陆帐号,查看计算机中存在的危险端口并予以关闭,阻断可疑用户进入网络的通道。
(三)业务管理员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应上报厅应急领导小组,并请求应急团队技术支援。
(四)处置结束后, 机房负责人应将事发经过、处置结果等在调查工作结束后一日内报告应急领导小组。
第九条:核心设备硬件故障应急预案
(一)发生核心设备硬件故障后,机房负责人应及时备案,并组织查找、确定故障设备及故障原因,进行先期处置。
(二)若故障设备在短时间内无法修复,系统管理员根据机房负责人指令,应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(三)在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(四)事态或后果严重的,及时报告应急领导小组。第十条:业务数据损坏应急预案
(一)重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。发生业务数据损坏时,业务管理员应及时报告机房负责人,并组织人员检查、备份业务系统当前数据。
(二)业务数据损坏事件超过2小时后,业务管理员应及时报告机房负责人,并以手工方式开展业务。
(三)业务管理员应待业务数据系统恢复后,检查历史数据和当前数据的差别,并补录数据;重新备份数据,并写出故障分析报告,会同机房负责人,在调查工作结束后一日内报告应急领导小组。
第六章 应急处置
第十一条 应急处置工作规范
(一)发生信息网络突发事件后,相关人员应在5分钟内向运维主管领导报告,机房负责人及时组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
(二)发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,保护好事故(事件)现场,并立即向应急领导小组报告。
(三)应急处置工作结束后,机房负责人组织有关人员和应急技术团队组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
第七章 附则
第十二条 预案更新 结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,每三年修订一次本预案。
第十三条 制定和解释
本预案由信息与监控中心制定并解释。第十四条 预案施行
本预案于2011年 月
批准实施。日
第四篇:信息安全管理制度
北京新宁物流有限公司
北京新宁物流有限公司
信息管理制度合集
北京新宁物流有限公司
信息安全管理制度
1.信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。1.1 信息处理和传输系统的安全
网络管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失; 1.2 信息内容的安全
侧重于保护信息的机密性、完整性和真实性。网络管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等; 1.3 信息传播安全
要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害;
2.信息的内部管理
2.1 各部门在向网络系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;
2.2 根据情况,采取网络病毒监测、查毒、杀毒等技术措施,提高网络的整体防病毒能力;
北京新宁物流有限公司
2.3 信息部门对本单位所负责的信息必须作好备份;
2.4 涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀;
3.信息加密
3.1 涉及公司秘密的信息,其电子文档资料应当在涉密介质中加密单独存储;
4.任何部门和个人不得从事以下活动:
4.1 利用信息网络系统制作、传播、复制有害信息; 4.2 入侵他人计算机;
4.3 未经允许使用他人在信息网络系统中未公开的信息; 4.4 未经授权对网络系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等; 4.5 未经授权查阅他人邮件; 4.6 盗用他人名义发送电子邮件;
4.7 故意干扰网络(内部信息平台)的畅通运行;
4.8 从事其他危害信息网络(内部信息平台)系统安全的活动。
北京新宁物流有限公司
计算机管理制度
一. 内容和适用范围
1.为了加强公司计算机软、硬件及网络的管理,确保计算机软、硬件及网络正常使用,特制定本制度,公司各级员工使用计算机软、硬件及网络,均应遵守本制度涉及的各项规定。
2.本文所称的计算机硬件主要指:主机、显示器、键盘、鼠标、打印机、U盘、网络设备及附属设备。
3.本文所称的计算机软件是指各类系统软件、应用软件等。
4.本文所称的网络包括互联网、公司内部局域网。二. 总则
1.公司计算机软、硬件及网络管理的归口部门为行政部。2.行政部配备网络管理员对公司所有计算机软、硬件及信息实行统一管理,负责对公司计算机及网络设备进行登记、造册、维护和维修。
3.公司计算机软、硬件及低值易耗品由网络管理员负责统一申购、保管、分发和管理。
4.公司各部门的计算机硬件,遵循谁使用,谁负责的原则进行管理。三. 计算机硬件管理
1.计算机硬件由公司统一配置并定位,任何部门和个人不得允许私自挪用、调换、外借和移动。
2.公司计算机主要硬件设备均应设置台账进行登记,注明设备编
北京新宁物流有限公司
号、名称、型号、规格、配置、生产厂家、供货单位、使用部门及使用人等信息。
3.计算机主要硬件设备应粘贴设备标签,设备标签不得随意撕毁,如发现标签脱落应及时告知网络管理员重新补贴。
4.计算机主要硬件设备的附属资料(包括但不限于产品说明书、保修卡、附送软件等)由网络管理员负责统一保管。
5.严禁私自拆卸计算机硬件外壳,严禁未经许可移动、拆卸、调试、更换硬件设备。
6.严禁在服务器上使用优盘、移动硬盘等一切USB设备。四. 计算机软件管理
1.公司个人如果安装一款软件时发现有可疑的选项或要求安装插件,请叫网络管理员查看一下,防止软件中携带木马文件或恶意插件。
2.公司购买的商品软件由网络管理员统一保管并做好备份,其密钥、序列号、加密狗等由使用部门在网络管理员处登记领用,禁止在公司外使用。如特殊需要,须经部门经理同意后并在网络管理员处备案登记。
3.如发现打印文件无反应的情况,请联系网络管理员查看。五. 网络管理
1.公司网络管理员对台式计算机IP地址统一分配、登记、管理,严禁修改IP地址。
北京新宁物流有限公司
2.公司内部局域网由网络管理员负责管理,扫描文件之后请在服务器上放入E盘各自的文件夹内,然后回到个人电脑上进行网络拷贝,公司服务器上的文件夹请各部门按需求通知网络管理员修改权限。
六. 计算机信息管理
1.公司员工必须自觉遵守企业的有关保密法规,严禁利用网络有意或无意泄漏公司的涉密文件、资料和数据;不得非法复制、转移和破坏公司的文件、资料和数据。
2.公司重要电子文档、资料和数据应上传至文件服务器妥善保存,由网络管理员定期备份至光盘;本机保存务必将资料存储在除操作系统外的硬盘空间,不要将重要文件存放在桌面上。七. 计算机安全防护管理
1.公司内部使用移动存储设备,使用前需先对该存储设备进行病毒检测,确保无病毒后方可使用。防止内部局域网病毒扩散。2.上网时禁止浏览色情、反动的网站;浏览信息时,尽量不要随便下载页面信息和安装网站插件。
3.进入邮箱,不要随便打开来历不明的邮件及附件,同时开启杀毒软件邮件监控程序以免被计算机病毒入侵。
4.公司网络管理员负责定期发布杀毒软件更新补丁,计算机使用者应定期对自己使用的计算机查杀病毒,更新杀毒软件病毒库,以确保计算机系统安全、无病毒。
北京新宁物流有限公司
5.禁止计算机使用者删除、更换或关闭杀毒软件。
6.所有公司网络系统用户的计算机必须设置操作系统登陆密码,密码长度不得少于6个字符且不能采用简单的弱口令,最好是由数字、字母、和其他有效字符组成;员工应不定期修改密码,由网络管理员不定期抽查,修改后上报网络管理员。
7.计算机使用者离职时必须由网络管理员确认其计算机硬件设备完好、移动存储设备归还、系统密码清除后方可离职。八. 计算机操作规范管理
1.计算机开机:遵循先开电源插座、显示器、打印机、外设、主机的顺序;每次的关、开机操作至少间隔1分钟,严禁连续进行多次的开关机操作。
2.计算机关机:遵循先关主机、显示器、外设、电源插座的顺序;下班时,务必要将电源插座的开关关上。
3.打印机及外围设备的使用:打印机在使用时要注意电源线和打印线是否连接有效,当出现故障时注意检查有无卡纸;激光打印机注意硒鼓有无碳粉,喷墨水是否干涸,针式打印机看是否有断针;当打印机工作时,不要强行阻止,否则更容易损坏打印机。4.停电时,应尽快关闭电源插座或将插座拔下,以免引起短路和火灾。
5.来电时,应等待5~10分钟待电路稳定后方可开机,开机时应遵循开机流程操作。
北京新宁物流有限公司
6.计算机发生故障应尽快通知网络管理员,不允许私自维修。7.计算机操作人员必须爱护计算机设备,保持计算机设备的清洁卫生。
8.禁止在开机状态下使用湿物(湿毛巾、溶剂等)擦拭显示屏幕。9.禁止在使用计算机设备时,关闭、删除公司杀毒软件。10.严禁利用计算机系统发布、浏览、下载、传送反动、色情及暴力的信息。11.严格遵守《中华人民共和国计算机信息网络国际互联网管理暂办公室网络管理制度行规定》,严禁利用计算机非法入侵他人或其他组织的计算机信息系统。九. 附则
1.本制度由行政部网络管理员负责解释。2.本制度自2016年1月13日起执行。
行 政 部
2016-1-13
北京新宁物流有限公司
机房管理制度
为确保计算机网络(内部信息平台)系统安全、高效运行和各类设备运行处于良好状态,正确使用和维护各种设备、管理有章、职责明确,特制定本制度。1.一般规定
1.1 机房属重要涉密岗位,必须严格执行集团和公司保守秘密和密码工作的规定;
1.2 严禁在网络服务器上安装一切与工作无关的软件。严禁将外来不明的磁盘、光盘、软件在网络服务器上使用。严禁在网络上运行或传播一切法律法规禁止、有损国家、公司形象以及涉及国家秘密、危害国家安全的软件或图文信息; 1.3 无关人员原则上不准进入机房,不准违规操作和使用机房设备,不准私自将机房设备带离机关。部门需借用机房设备的,机房工作人员必须报经分管领导同意,并办理有关登记手续后方可借出;
1.4 做好机房设备的日常维护工作,严禁在机房内吸烟,不准在机房堆放杂物和垃圾,保持机房室内整洁。下班时,必须关闭不用的设备及电源,锁好机房门窗,方可离开。
2.巡视规定
2.1 巡视由网络管理员负责,巡视人员要遵守以下职责: 2.1.1 要在第一时间发现隐患,并及时报告,使相关管理人员能
北京新宁物流有限公司
及时赶到现场尽最大可能缩短故障恢复时间;
2.1.2 履行机房的各项规定,不得作与工作、业务无关的任何私事,不得擅自离开岗位。督促进入机房人员严格遵守; 2.1.3 负责机房的环境设备与网络(内部信息平台)系统的安全运行;负责完成规定的日常操作和故障监测记录,简单故障的排除,负责环境设备的日常巡视。
2.2 巡视内容包括:
2.2.1 网络(内部信息平台)运行设备的巡视:各服务器的CPU和内存的工作状况;防火墙的工作状况;网站的工作状况;交换机的工作状况;客户端的网络(内部信息平台)运行速度;认真做好记录;
2.2.2 机房环境的巡视:机房门的关闭情况,机房的卫生状况,机房的灯光状况,机房的温度、湿度及空气状况,认真做好记录;
2.2.3 机房设备的巡视:对机房的UPS、空调等系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证网络(内部信息平台)安全、正常的运行;主配电柜的供电电压、电流;UPS的输出电压、电流和负载功率;UPS电池的状况;空调的工作状况;认真做好巡视记录;
3.日常管理规定
北京新宁物流有限公司
3.1 到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜;
3.2 到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房;
3.3 到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备,严禁在机房大声喧哗、玩电子游戏、聊天等;
3.4 机房内不能存放任何食品,严禁在机房内存放杂物,严禁在机房内使用其他用电器;
4.运行维护规定
4.1 UPS一年进行两次巡检,维护内容:清扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况,检查电池组机每节电池的状况并对电池进行放电; 4.2
4.3 机房专用空调每年进行两次巡检,维护内容:清扫及更换各过滤网、清扫室外机、测量工作压力、检查下水管道是否畅通;
4.4 机房每年进行两次专业保洁,维护内容:对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。
5.安全保密规定
5.1 做好防雷、防火、防水、防盗、防虫害。
北京新宁物流有限公司
5.1.1 防雷:按国家的规定对机房的设备进行接地。每年要按国家的规定对防雷设施及设备接地进行检测;
5.1.2 防火:需按国家的规定在计算机机房进行设置消防设施。设施每年要按国家规定进行检测;
5.1.3 防水:要经常检查机房的防漏水情况,空调、门窗及屋顶; 5.1.4 防盗:严格机房进出管理,门禁要24*7小时工作,严格执行进出机房的登记制度、严格执行进出机房不得携带其他物品的规定;
5.1.5 防虫害:经常检查机房的顶棚上和地板下的封闭情况,不得在机房内在放食品,不得在机房内堆放杂物;
5.2 网络(内部信息平台)运行安全管理
5.2.1 对INTERNET网的进口要加装防火墙。防火墙的设置要经常根据需要进行调整以防入侵;
5.2.2 对所有服务器要安装病毒软件,要经常对防病毒软件进行升级。经常对计算机病毒进行检测;
5.3 系统设备安全管理
5.3.1 进入机房不得带拷贝工具和便携机;
5.3.2 机房内所有服务器应设有开机密码、系统登陆密码; 5.3.3 机房内所有服务器都应设有带密码的屏幕保护; 5.3.4 网管人员操作后应将服务器处于锁定状态; 5.3.5 非网管人员不得私自操作任何服务器;
北京新宁物流有限公司
5.3.6 认真遵守公司的各项保密制度;
5.3.7 有关打印结果、存储介质及原始数据必须有本人保管。带有密级的媒体应用时锁入保险柜中,收、发要登记。定期集中销毁废弃的涉密纸、物;
5.3.8 需要于正常工作时之外使用机房加班的人员,应得到主管领导的批准,并向运行值班人员办理登记手续。机房的值班人员必须同时在场陪同;
5.3.9 严禁与机房工作无关的人员进入机房; 5.3.10 非机房工作人员在机房工作是必须有机房值班人员陪同; 5.3.11 5.3.12 机房内各类服务器应由专人分类管理; 建立设备、资料责任制;
北京新宁物流有限公司
网络安全管理制度
1.一般规定
1.1 未经网管批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数;
1.2 任何人不得进入未经许可的计算机系统更改系统信息和用户数据;
1.3 公司局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息; 1.4 行政部应定期对本部门计算机系统和相关业务数据进行备份以防发生故障时进行恢复;
2.帐号管理
2.1 网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等;
2.2 网络(内部信息平台)管理员为用户设置明码口令,用户可以根据自己的保密情况进行修改口令,用户应对工作站设置开机密码和屏保密码;
2.3 用户帐号下的数据属于用户私有数据,当事人具有存入权限,管理员具有管理和备份存取权限;
2.4 网络(内部信息平台)管理员根据有关帐号管理规则对用户
北京新宁物流有限公司
帐号执行管理,并对用户帐号及数据的安全和保密负责; 2.5 网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息等资料泄露出去;
3.网络管理员职责
3.1 协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略;
3.2 负责公用网络(内部信息平台)实体,如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理;
3.3 负责服务器和系统软件的安装、维护、调整及更新; 3.4 负责网络(内部信息平台)账号管理,资源分配,数据安全和系统安全;
3.5 监视网络(内部信息平台)运行,调整参数,调度资源,保持网络(内部信息平台)安全、稳定、畅通;
3.6 负责系统备份和网络(内部信息平台)数据备份,负责各部门电子数据资料的整理和归档;
3.7 保管网络(内部信息平台)拓扑图接线表,设备规格及配置单,管理记录,运行记录,检修记录等网络(内部信息平台)资料;
3.8 每年对本单位网络(内部信息平台)的效能和各电脑性能进行评价,提出网络(内部信息平台)结构、技术和网络、管
北京新宁物流有限公司
理的改进措施;
4.安全管理职责
4.1 保障网络(内部信息平台)畅通和信息安全;
4.2 严格遵守国家、省、市制定的相关法律、行政法规,严格执行本制度,以人为本,依法管理,确保网络(内部信息平台)安全有序;
4.3 在发生网络(内部信息平台)重大突发事件时,应立即报告,采取应急措施,尽快恢复网络(内部信息平台)正常运行; 4.4 充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击;
4.5 加强信息审查工作,保存,备份至少90天之内网络信息日志,及时加以分析,排查不安定因素,防止黄色,反动信息的传播;
4.6 经常检查网络(内部信息平台)工作环境的防火、防盗工作; 5.病毒的防治管理制度
5.1 任何人不得在机关的局域网上制造传播任何计算机病毒,不得故意引入病毒。网络(内部信息平台)使用者发现病毒应立即向网络管理员报告。网络管理员及时指导和协助处理病毒;
5.2 行政部应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
北京新宁物流有限公司
计算机病毒防治管理制度
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
1.凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置,维修计算机及其软件的部门,必须遵守本办法。2.本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.任何工作人员不得制作和传播计算机病毒。4.任何工作人员不得有下列传播计算机病毒的行为:
4.1 故意输入计算机病毒,危害计算机信息系统安全;
4.2 向计算机应用部门提供含有计算机病毒的文件、软件、媒体; 4.3 购置和使用含有计算机病毒的媒体;
5.预防和控制计算机病毒的安全管理工作,由网络管理员负责实施,其主要职责是:
5.1 制定计算机病毒防治管理制度和技术规程,并检查执行情况; 5.2 培训计算机病毒防治管理人员外; 5.3 采取计算机病毒安全技术防治措施;
5.4 对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;
北京新宁物流有限公司
5.5 及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
5.6 购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
5.7 向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源;
5.8 对因计算机病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故及时向公安机关报告人,并保护现场; 5.9 网络管理员应加强对计算机操作人员的审查,并定期进行安全教育和培训;
5.10 网络管理员应建立计算机运行记录制度,未经审定的任何程序,指令或数据,不得输入计算机系统运行;
5.11 网络管理员应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用;
5.12 通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播;
5.13 任何部门和个人不得从事下列活动:
5.13.1 5.13.2 收集、研究有害数据;
出版、刊登、讲解、出租有害数据原理,源程序的书
北京新宁物流有限公司
籍,资料或文章; 5.13.3 复制有害数据的检测,清除工具。
6.积极接受公安机关对计算机病毒防治管理工作的监督,检查和指导。
北京新宁物流有限公司
密码安全保密制度
1.提高安全认识,禁止非工作人员操纵系统主机,不使用系统主机时,应注意锁屏。
2.每周检查主机登录日志,及时发现不合法的登录情况。
3.对网络(内部信息平台)管理员,网络管理员和系统操作员所用口令每十五天更换一次,口令要无规则,重要口令要多于八位。4.加强口令管理,对PASSWORD文件用隐性密码方式保存,每半月检查本地的PASSWORD文件,确认所有帐号都有口令,当系统中的帐号不再被使用时,应立即从相应PASSWORD数据库中清除。5.ROOT口令只被网络管理员掌握,尽量不直接ROOT口令登录系统主机。
6.系统目录应属ROOT所有,应完全禁止其他用户有写权限。7.对TELNET、FTP到主机的用户进行权限限制,或完全禁止。8.网络(内部信息平台)管理员、网络管理员调离岗位后一小时内由接任人员监督检查更换新的密码。
北京新宁物流有限公司
涉密和非涉密移动存储介质管理制度
1.涉密和非涉密移动存储介质由办公室建立台帐,信息安全人员负责涉密和非涉密移动存储介质的日常管理和维护维修。2.涉密移动存储介质不得在非涉密计算机上使用。
3.涉密移动存储介质未经批准不得擅自带离本单位,确因工作需要携带外出的,须履行登记备案手续,并经领导批准。4.严禁将涉密移动存储介质借给外单位或他人使用。
5.涉密移动存储介质需维修的,由单位技术人员送至有保密资质的单位现场监修,严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复,必须按涉密载体予以销毁。6.非涉密移动存储介质不得存储任何涉密信息。7.非涉密移动存储介质不得连接涉密计算机。
8.不再使用或不能使用的涉密和非涉密移动存储介质要及时上交行政部,由技术人员对要报废的涉密和非涉密移动存储介质进行进一步确认,并与领取时的类型,电子(产品)序列号,编号等进行核对,填写销毁登记表,经领导批准后,送有保密资质的单位进行销毁。
9.任何部门和个人不得擅自销毁涉密和非涉密移动存储介质。
第五篇:信息安全管理制度(本站推荐)
信息安全管理制度
目 录
1.安全管理制度要求
1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度;
e)新服务、新功能安全评估; f)用户投诉举报处理;
g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护;
i)安全事件的监测、报告和应急处置制度;
j)现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求
2.1 法律责任
2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。3.人员安全管理
3.1 安全岗位管理制度
建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2 关键岗位人员
3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查:
3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力
3.2.2 应与关键岗位人员签订保密协议。3.3 安全培训
建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
1.上岗前的培训;
2.安全制度及其修订后的培训;
3.法律、法规的发展保持同步的继续培训。应严格规范人员离岗过程:
a)及时终止离岗员工的所有访问权限;
b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。3.4 人员离岗
应严格规范人员离岗过程:
a)及时终止离岗员工的所有访问权限;
b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。4.访问控制管理
4.1访问管理制度
建立包括物理的和逻辑的系统访问权限管理制度。4.2 权限分配
按以下原则根据人员职责分配不同的访问权限 : a)角色分离,如访问请求、访问授权、访问管理; b)满足工作需要的最小权限 ; c)未经明确允许,则一律禁止。
4.3 特殊权限限制和控制特殊访问权限的分配和使用: a)标识出每个系统或程序的特殊权限; b)按照“按需使用”、“一事一议”的原则分配特殊权限; c)记录特殊权限的授权与使用过程;
d)特殊访问权限的分配需要管理层的批准。
注:特殊权限是系统超级用户、数据库管理等系统管理权限。4.4 权限的检查
定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。5网络与主机系统的安全
5.1 网络与主机系统的安全
应维护使用的网络与主机系统的安全,包括:
a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施; b)实施7×24h网络入侵行为的预防、检测与响应措施;
c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施; d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
5.2 备份 5.2.1 应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。
5.2.2 网络基础服务(登录、消息发布等)应具备容灾能力。5.3 安全审计
5.3.1 应记录用户活 动、异常情况、故障和安全事件的 日志。5.3.2 审计 日志内容应包括 : a)用户注册相关信息,包括 : 1)用户唯一标识 ;
2)用户名称及修改记录 ;
3)身份信息,如姓名、证件类型、证件号码等 ; 4)注册时间、IP 地址及端口号 ; 5)电子邮箱地址和于机号码 ; 6)用户备注信息 ; 7)用户其他信息。
b)群组、频道相关信息,包括 :
1)创建时间、创建人、创建人IP 地址及端口号 ; 2)删除时间、删除人、删除人IP 地址及端口号 ; 3)群组组织结构 ; 4)群组成员列表。
c)用户登录信息,包括 :
1)用户唯一标识 ; 2)登录时间 ; 3)退出时间 ; 4)IP 地址及端口号。
d)用户信息发布日志,包括 : 1)用户唯一标识 ; 2)信息标识 ; 3)信息发布时间 ; 4)IP 地址及端口号 ; 5)信息标题或摘要,包括图片摘要。
e)用户行为,包括 : 1)进出群组或频道 ; 2)修改、删除所发信息; 3)上传、下载文件。
5.3.3 应确保审计日志内容的可溯源性,即可追溯到真实的用户 ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施 ; 涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应 审计转换前后的地址与端口信息; 涉及短网址服务的,应审计原始 URL 与短 UR L 之间的映射关系。
5.3.4 应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。5.3.5 应能够根据公安机关要求留存具备指定信息访问日志的留存功能。审计日志保存周期
a)应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录 ;
b)系统维护日志信息保存 12 个月以上 ; c)应留存用户日志信息 12 个月以上 ;
d)对用户发布的信息内容保存 6 个月以上 ;
e)已下线的系统的 日志保存周期也应符合以上规定。6应用安全
6.1用户管理
6.1.1 向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的 法律责任。
6.1.2 建立用户管理制度,包括:
a)用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用 户登记的真实身份,如 : 1)身份证与姓名实名验证服务: 2)有效的银行卡: 3)合法、有效的数字证书: 4)已确认真实身份的网络服务的注册用户: 5)经电信运营商接入实名认证的用户。(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。)
b)应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:
c)建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。
6.1.3 当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行: a)核对行政许可文件: b)通过行政许可主管部门的公开信息: c)通过行政许可主管部门的验证电话、验证平台。
6.2违法有害信息防范和处置 6.2.1 公司采取管理与技术措施,及时发现和停止违法有害信息发布。6.2.2 公司采用人工或自动化方式,对发布的信息逐条审核。采取技术措施过滤违法有害信息,包括且不限于:a)基于关键词的文字信息屏蔽过滤; b)基于样本数据特征值的文件屏蔽过滤; c)基于URL的屏蔽过滤。
6.2.3 应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
6.2.4 公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。
6.2.5 建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括: a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告
b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作
6.2.6 与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内删除,相关的屏蔽过滤措施应在10min内生效。6.3破坏性程序防范
6.3.1实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。6.3.2对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。7个人电子信息保护
7.1.1 制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。在用户注册时,在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。
7.1.2 湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个人电子信息时,取得用户的明确授权同意;公司在姜个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;法律、行政法规另有规定的,从其规定。
7.1.3公司在修改个人电子信息处理时,应告知用户,并取得其同意。7.2 技术措施
公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:
a)采用加密方式保存用户密码等重要信息
b)审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露
c)审计个人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据 d)建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销
e)系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险
7.3 个人信息泄露事件的处理
a)当发现个人电子信息泄露时间后,应: b)立即采取补救措施,防止信息继续泄露
c)24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关 8安全事件管理
8.1安全时间管理制度
8.1.1建立安全事件的监测、报告和应急处置制度,确保快速有效和有序地响应安全事件.8.1.2安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。
8.2应急预案
制定安全事件应急处置预案,向属地公安机关宝贝,并定期开展应急演练。8.3突发公共事件处理
突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:
a)I级:应投入安全管理等部门80%甚至全部人力开展处置工作; b)II级:应投入安全管理等部门50%-80%的人力开展处置工作; c)III级:应投入安全管理等部门30%-50%的人力开展处置工作; d)IV级:应投入安全管理等部门30%的人力开展处置工作。8.4技术接口
公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口,能确保实时,有效地提供相关证据。