第一篇:集团信息安全管理制度
刚泰集团信息安全管理制度
品牌信息部 2015.3.5
一、总则
通过加强集团计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证集团机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
二、范围
适用于集团所有员工。
三、职责
1、品牌信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。
2、系统管理员执行公司保密制度,严守公司商业机密。
3、员工执行计算机信息安全管理制度,遵守公司保密制度。
四、管理办法
I、计算机使用管理制度
1、计算机由集团品牌信息部统一配置并定位,未得允许任何部门和个人不得私自拆装、挪用、调换、外借和移动计算机。
2、计算机的开、关机应按按正常程序操作,严禁直接的人为非法关机;主机和键盘周边不要放置水杯等盛满液体的容器,以免损毁计算机。
3、所有计算机必须设置登陆密码,一般不要使用默认的administrator作为登陆用户名,密码必须自身保管,严禁告诉他人,密码需要定期更换以确保安全。
4、计算机软件的安装与删除应在系统管理员的许可下进行,任何部门和个人不得安装来历不明的软件,不得擅自修改、移动或删除计算机硬盘内的数据程序、防病毒软件、计算机文件和系统设置。
5、员工应采取措施做好电脑的防尘、防盗、防潮、防触电等工作。下雨打雷天气注意关闭电源总闸或切断电源开关。
6、员工在长时间离开计算机时,要求关闭计算机或退出Windows用户桌面。
7、为文件资料安全起见,勿将重要文件保存在系统活动分区内如:C盘、我的文档、桌面等;请将本人的重要文件存放在硬盘其它非活动分区(如:D、E、F);并定期清理本人相关文件目录,及时把一些过期的、无用的文件删除,以免占用硬盘空间。
8、计算机发生故障应尽快通知系统管理员及时解决,不允许私自打开计算机主机箱操作,以免触电造成危险或损毁计算机硬件设备。
9、计算机出现重大故障,需要采购配件或较长时间维修时,系统管理员应准备备用机器给员工使用,重要资料及时备份;如果硬盘未损坏,送修前应卸载硬盘妥善保管以确保数据安全。
10、禁止工作时间内在计算机上做与工作无关的事,如玩游戏、听音乐等。
11、员工不得利用公司邮件系统、微信、QQ等社交工具散播不利于公司言论或刻意泄漏公司机密。
12、员工离职时,系统管理员应及时核对计算机硬件配置信息,并对离职人员计算机中的公司资料信息备份刻盘。
II、计算机软件管理制度
1、办公类计算机软件由集团统一配置和采购,数量较大的软件项目采购应采取招标或议标方式,并经集团决策层批准。
2、软件购置完毕后,品牌信息部做好验收工作后,应及时做好软件相关信息的登记录入工作。
3、购置的软件技术资料应归档保管。
4、加强对计算机软件使用权限的管理。因业务需要开通使用权限,需经过相关的领导批准和审核,有系统管理员设置相应权限。
5、软件一经安装使用,未经系统管理员的同意,任何人不得将其卸载或者删除。III、计算机病毒防范管理制度
1、所有计算机都应安装防病毒软件,并定期每周升级和杀毒,定期每月更新系统补丁,紧急补丁及时更新。
2、员工在工作中发现计算机有被病毒感染的迹象或因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故时,应及时向系统管理员报告,并保护现场。
3、使用外来U盘等拷贝资料时,应先进行病毒检测。
4、远程传输的资料和程序,需经过杀毒检测确认无病毒后方可使用。
5、禁止在办公电脑安装游戏软件,上色情网站等容易感染病毒的非法操作。
6、对互联网上来历不明的电子邮件,下载附件后必须杀毒,不要直接打开附件,防止受到计算机病毒攻击感染。
7、对互联网上直接下载的资料,在使用之前都必须进行查毒杀毒,确保无破坏性病毒后才可以进行操作。
8、及时检测、清理计算机系统中的病毒,无法清除的,应当迅速采取隔离控制措施,保护好重要数据,并及时向系统管理员报告。
IV、服务器数据安全管理制度
1、服务器UPS不间断电源每季度都需要进行一次充放电检查,确保负荷安全可靠,电池等设备工作稳定正常。
2、系统管理员负责定期备份更新服务器系统数据,并定期杀毒和防毒,及时下载最新的防病毒库进行查杀病毒并做好杀毒记录。
3、服务器应用系统等正常使用后,应及时的备份系统并刻录光盘保存。
4、应用服务器,如OAERP等数据库,应每天下班后17:30备份一次数据库,在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中,每周五的数据进行加密刻盘,超过1年的刻盘数据应及时销毁处理。
5、重要的服务器系统备份以及数据库备份,应充分考虑到火宅地震等严重自然灾害,做好相关备份的同时,应每月异地备份数据一份。
6、维护服务器日志以及网络访问日志,监控外来访问和对外访问情况,如有安全问题,应及时处理。
7、应用服务器密码安全管理:包括ERP服务器、OA服务器、域服务器、邮箱服务器、视频会议系统等。品牌信息部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码,并做好相关的密码更新记录工作。
8、系统后台数据只能由服务器系统管理员进行维护,若需外援时,必须在管理员的陪同下进行操作,其他终端用户不得设置权限进入数据管理后台。
9、当遇到服务器需要变更时,管理员应该做好详细的变更记录。如:程序变更、紧急变更、配置/ 参数变更、基础架构变更、数据库修改等。
10、个人计算机的备份统一由各部门自行负责,可使用移动硬盘、信息光盘等储存介质进行安全备份。
V、网络安全管理制度
1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
2、员工因公需要者除外,于公司内任何时间均不得浏览非法网站,包括色情网站、聊天室、BBS站、购物网站、游戏网站等等。
3、员工上班时间内除紧急情况之外,不得使用P2P等下载软件下载与工作无关的视频资料,以免造成网络瘫痪。
4、禁止安装一切与无关公司业务的软件,如股票软件等,严禁上班期间涉及私人事务,如炒股、网购等等。
5、请员工对自己账号严格保密,系统管理员不负责因账号泄漏而造成的与之相关的一切责任。
6、对于系统和网络出现的异常现象,系统管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、及时制定出解决方案。
7、公司的无线WIFI等设备,应做好相关的权限设置和密码设定,防止越权访问以及信息泄露。
VI、手机信息安全管理制度
1、员工需配合系统管理员,在手机操作系统中装入工作相关的APP软件,例如OA、微信公共账号、邮件等手机客户端软件。
2、为确保手机数据的安全,手机开机必须设定开机密码,并定期进行修改以确保安全。
3、手机客户端软件中的账户和密码,禁止勾选记住密码以及自动登录,防止手机遭到不法分子窃取后,非法诈骗和盗取重要资料信息。
4、手机被盗或者遗失后,应第一时间通知公司所有员工,并让系统管理员更新账号密码,以确保数据安全。
5、微信企业号等与工作相关联的社交工具,不发与工作无关的信息,不散播不利于公司言论或刻意泄漏公司机密。
五、违规操作赔偿标准
1、违规操作者:没有造成经济损失的,给当事人和责任人口头批评。
2、违规操作者:造成经济损失的,需赔偿相关的经济损失,造成严重后果的,由人力资源中心根据公司其他相关制度进行处理。
六、附则
1、本制度由自公布之日起实施。
2、本制度有不妥之处在运行中修改并公布。
第二篇:集团信息安全管理
关于加强集团信息安全管理的重要通知
长期以来,外部网络信息环境复杂,木马病毒及各类恶意软件泛滥,严重威胁信息平台的安全和健康运行,用户误入沟通陷阱、机密材料被篡改窃取、网上财务损失等事件层出不穷。随着集团及各子公司信息化和办公自动化进程的推进,各类沟通渠道中所含信息的安全管理成为集团安全管理工作的重要内容。为确保集团各类信息的安全运行,保障集团各项利益不受损害,依据集团保密制度的相关规定,现将有关事项通知如下:
一、会议信息安全管理
1、会议须按集团会议级别分类,将会议记录资料交由会议主办部门(单位)指定专人进行归档存储;
2、重要涉密会议,应事先制定保密计划或预案,并做到有领导分管、有专门机构和人员负责保密工作。
3、涉密会议应当选择有利于保密的场所进行,事前应对会议场所进行安全保密技术检查。
4、涉密会议必须明确规定参加人员的范围,并对有关工作人员进行保密教育,规定保密纪律,严禁无关人员进入会议场所。
5、涉及企业绝密的会议禁止使用无线话筒,参加会议人员不得将移动电话带入涉密会议的会场,因特殊原因带入会场的移动电话应关闭手机并取出电池,统一放置于座位左手上方。会议期间严禁使用手机接打电话或录音录像。重大涉密会议应使用保密会议移动通信干扰器。/ 6
6、涉密会议期间的秘密文件、资料,要有专人负责管理;要在载体上标明密级、保密期限和份数序号;分发要履行登记、签收手续,并按照涉密文件资料管理。未经批准不得提供给新闻记者。
7、领导在会议上的讲话未经本人同意,不得整理散发。参加会议的人员和工作人员不得以任何形式对外泄露会议内容。
8、秘密会议的传达,应当按会议主办部门(单位)确定的内容和范围进行;确需扩大知悉范围的,应当经主办部门(单位)批准。
二、办公自动化及通信设备安全管理
1、涉密办公自动化设备,应安置在安全保密的场所,并按照保密要害部门、部位的要求,配备保密安全设施。
2、不得使用移动电话谈及企业秘密信息,确需交谈的,应使用有线电话。
3、不得将移动电话带入谈论涉及秘密事项的场所,因特殊原因带入的移动电话应取出电池或采取屏蔽功能。
4、单位打印机、复印机、扫描仪,应统一由法务文印部专人管理,严禁擅自打印、复印、扫描涉密文件、资料、图表等。
5、涉密部门的领导和重要涉密岗位的工作人员不得使用他人赠送的移动电话。
6、未经允许严禁私自使用手机或其它电子设备进行重要文件、要害部门设施设备的拍摄、图片视频上传及发送等。
7、不得随意另存、复制、打印、发送、截屏、拍摄集团内部文件及公文流转系统中文件(包括但不限于审批件、呈报件等)。/ 6
8、使用涉密计算机的人员,必须妥善保管好自己账号、密码,严禁外泄。
9、不得以集团企业邮箱以外的电子邮箱传递企业秘密文件、信息,电子邮件讨论、部署、汇报涉密内容应加密;不得在网上发布秘密文件、信息。
10、严禁使用计算机端或手机端的QQ、飞信、微信、易信等网络沟通联络软件进行传送、发布、散布企业秘密文件。
11、不得将集团内部文件和资料提供给与工作无关的任何单位和个人,严禁将集团内部审批件提供给集团以外的任何单位和个人。
12、不得利用办公网络系统从事损害集团信息安全、泄露信息机密的活动。
13、不得查阅、下载、复制、传播、使用与工作内容无关的电子信息,不得利用网络聊天。上班期间,不得浏览与工作无关的网站。
14、严禁未经批准擅自接入集团信息网络,网络及计算机使用人要增强安全防范意识,不得擅自修改IP地址、网络端口、用户账号、密码,并将信息化系统中的信息、数据传播给他人。
15、办公计算机使用人不得私接网线,不得私自安装与工作无关的软件,不得私自删除网络客户端软件、杀毒软件和操作系统文件。
16、办公网络严禁私自使用无线WIFI路由设备,严禁私接无线网卡,一经发现,没收该设备并将直接追究该使用人责任。
17、非网络管理人员,严禁私自登录网络设备、服务器并进行非法设置,一经发现,将直接追究该私设人员责任并除名。/ 6
18、所有外来信息数据,包括邮箱、QQ客户端、网站下载等来源的数据,在导入计算机使用时必须首先进行杀毒处理,未经处理导致病毒感染、网络系统使用不正常或出现网络瘫痪的,一经发现,将直接追究该使用人责任。
19、严禁恶意使用非法网络软件进行网络端口的扫描、地址获取、密码探测等干扰网络正常运行的行为,一经发现,将直接追究该使用人责任并除名。
20、严禁外来人员在办公场所内利用手机或其它电子设备拍摄照片视频资料,集团任何部门及人员均有权应予以制止,并令其删除拍摄内容。
21、集团电信号码所开通的微信号码,自本通知下达后持卡人应立即停止使用。
22、集团内部严禁私自架设微信群、QQ群等讨论群并在群内传播、散发集团重要信息。一经发现,将直接追究该使用人责任并除名。
23、集团闭路监控视频、电话录音、车辆GPS信息、网络操作记录等重要信息,应由专门部门(单位)负责,信息的调阅、查询均要按规定进行登记,并做好信息的备份和保密工作。
三、秘密载体的安全管理
1、承载秘密的纸介质、光介质、电磁介质等秘密载体,如纸张、光盘、硬盘、U盘、磁带、录音笔等,应当做出秘密标志,应当根据有关保密规定确定密级和保密期限。/ 6
2、秘密载体必须由集团机要(保密)部门统一管理,密件收发、交换、借阅应履行登记签字手续。相关载体借出时,应确保载体内信息不泄露。
3、集团文件只允许发放于部门(单位),一般不得发给个人。
4、传递密件应使用安全可靠的交通工具,不得通过普通邮政进行。绝密件的传递,应单独密封,专人护送,不得使用普通传真机、电话、短信、微信等任何通讯手段和工具。
5、密件传阅应专夹专人直传,不得横传,并做到当天阅读当天退还,不得在无保密条件的场所存放。
6、销毁秘密载体,必须认真登记,经集团分管领导和总经理审批后,统一送公文销毁机构销毁。个人不得擅自销毁密件。
7、因工作需要随身携带秘密载体外出的,必须经集团分管领导及总经理批准,并采取可靠的安全措施。
8、集团领导参加会议带回的密件应及时交集团信息资料部登记管理,个人不得留存。
自此通知下发之日起各部门(单位)负责人应严格按照上述要求执行,具体做好以下工作:
1、综合部做好会议保密级别的划分及重要会议的设备使用管理、移动通信设备检查及干扰器设置工作;
2、信息资料部做好有关网络及文件信息安全的监督检查和管理工作。
3、人资部做好有关企业职工的保密安全教育和引导工作。/ 6
4、法务文印部做好有关企业秘密的遗失、泄露等事件的应对及应急处理方案。
5、财务部做好财务报表、往来凭证等重要经济数据的保密和管理工作。
6、集团其他各部门做好各自部门业务范畴内的重要信息的保密工作。
7、各子公司做好各自公司内部业务范畴内的重要信息的保密工作。
8、集团各部门及子公司负责人应严格按照各自签订的《2014年目标责任书》和《保密协议书》之要求,做好涉及商业秘密及工作秘密的内容审查工作。
信息部
2014年10月30日 / 6
第三篇:信息安全管理制度
信息安全管理制度
为了防止信息和技术的泄密,导致严重灾难的发生,请各位严格遵守以下安全规定:
一、工厂秘密具体范围包括:
1.1 工厂董事会资料,会议记录、纪要,保密期限内的重要决定事项 1.2 工厂的工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表
1.3 工厂有关销售业务资料,货源情报和对供应商调研资料 1.4 工厂开发设计资料,技术资料和生产情况 1.5 客户提供的一切文件、样板等
1.6 工厂各部门人员编制.调整,未公布的计划,员工福利待遇资料.员工手册
1.7 工厂的安全防范状况及存在问题
1.8 工厂员工违法违纪的检举.投诉.调查材料,发生案件,事故的调查登记资料
1.9 工厂、法人代表的印章、营业执照、财务印章、合同协议。
二、工厂的保密制度
2.1 文件、传真邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理
2.2 凡涉及公司内部秘密的文件资料的报废处理,必须首先碎纸,不准未经2.3 碎纸丢弃处理
工厂员工本人工作所持有的各种文件、资料、电子文档(磁碟,光盘等),当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出
未经工厂领导批准,不得向外界提供公司的任何保密资料 未经工厂领导批准,不得向外界提供客户的任何资料 妥善保管好各种财务账册、公司证照、印章 2.4 2.5 2.6
三、电脑保密措施
3.1 不要将机密文件及可能是受保护文件随意存放,文件的存放在分类分目录存放于指定位置。3.2 未经领导及他人许可,不要打开或尝试打开他人文件,以避免泄密或文件的损坏。
3.3 对不明来历的邮件或文件不要查看或尝试打开,以避免计算机中病毒,并尽快请电脑室人员来检查。
3.4 邮件的附件中,如果有出现一些附加名是:EXE,COM等可执行的附件或其它可疑附件时,请先用杀毒软件详细查杀后再使用,或请OA中心人员处理。3.5 不要随便尝试不明的或不熟悉的计算机操作步骤。遇到计算机发生异常而自己无法解决时,就立即通知OA中心外,请专业人员解决。3.6 不要随便安装或使用不明来源的软件或程序。不要随便删除电脑上的文件或程序及修改计算机参数等。
3.7 收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄这些邮件。3.8 不向他人披露微机密码,防止他人接触计算机系统造成意外。
3.9 公司电脑不允许随便使用移动存储器(U盘、MP3、MP4、光盘、移动硬盘等),确需使用的,应先向OA中心提出书面申请,由电脑管理人员登记使用。
3.10 定期更换密码,如发现密码已泄漏,应尽快更换。或请电脑专业人员处理。
3.11 定期用杀毒程序扫描计算机系统。对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒、有害的程序编码,进行适当的处理后才可开启使用。
3.12 先以加密技术保护敏感的数据文件,然后才通过工厂网络及互联网进行传送。在适当的情况下,利用数定证书为信息及数据加密或加上数字签名关闭电子邮件所备有自动处理电子邮件附件功能,关闭电子邮件应用系统或其它应用软件中可自动处理的功能,以防电脑病毒入侵。
3.13 对于不熟的人员,请不要让其随意使用你的计算机,如非要使用,应有人在其身旁监督。
3.14 不要随意将工厂或个人的文件发送给他人,或打开给他人查看或使用。3.15 在计算机使用或管理上如有任何疑问,请询问电脑室人员。
四、工厂的保密措施
4.1 工厂中层以上领导,要自觉带头遵守保密制度。
4.2 工厂各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念。
4.3 全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、资料、电子文档)。
4.4.对员工依照工厂本规定,保守工厂秘密,发现他人泄密,立即采取补救措施,避免或减轻损害后果的;对泄密或者非法获取工厂秘密的行为及时检举投诉的,按照有关规定给予奖励。
4.5.对员工因不遵守工厂规定,造成泄密事件,依照有关法规及工厂的奖惩规定, 给予纪律制裁.解雇,直至追究刑事责任。
第四篇:信息安全管理制度
信息安全管理组织机构和人员职责管理
办法
[日期:2010-12-18]作者:浏览:1812
第一章 总则
第一条 为加强海南电网公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第二条 本办法适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位的信息安全组织机构和人员职责的管理。其他联网单位参照执行。
第二章 信息安全领导小组
第三条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司信息中心,负责信息安全领导小组的日常事务。
第四条 信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第五条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第六条 信息安全工作组组长由公司信息中心的负责人担任。
第七条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第八条 应急处理工作组组长由公司信息中心的主要负责人担任。
第九条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章 各分公司及直属单位信息安全工作常设机构及人员
第十条 各分公司及直属单位应指定分管信息的单位领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对海南电网公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
第六章 信息安全人员基本要求
第十一条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第十二条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第十三条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第七章 信息安全人员管理
第十四条 信息安全人员的配备和变更情况,应向上一级单位报告、备案。第十五条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及海南电网业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第八章 信息安全人员职责范围
第十六条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第十七条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及电力生产、经营与管理有关的信息系统的机密信息。
第十八条 信息安全人员发现本单位重大信息安全隐患,有权向上级机构信息安全主管部门报告。
第十九条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。
第二十条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第九章 要害岗位人员管理
第二十一条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第二十二条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第二十三条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第二十四条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第二十五条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第二十六条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第二十七条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第二十八条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第十章 要害岗位安全责任
第二十九条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第三十条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第三十一条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第三十二条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第三十三条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第三十四条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十一章 第三方人员管理
第三十五条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第三十六条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第三十七条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第三十八条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第三十九条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第四十条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。第十二章 培训与教育
第四十一条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
第四十二条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第四十三条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十三章 附则
第四十四条 本办法由海南电网公司信息中心负责解释。
第四十五条 本办法自发布之日起施行。
第五篇:安全信息管理制度
安全信息管理制度
为发挥承包商在安全管理中的作用,倾听承包商对安全管理的建议和要求,形成群策群力的安全监督网络,进一步加强现场安全管理,及时整改生产过程中的各类隐患,超前预防重大事故。根据安全生产的实际,特制定本制度。
一、项目部是信息收集、整理、传递和报送的中心,是信息管理部门和信息报送单位。
二、项目经理分管信息工作,各承包商、供应商兼信息员,加强信息的上报工作。
三、健全安全信息反馈体系,拓宽安全信息反馈渠道和增加安全信息源,及时、准确地掌握生产一线作业现场的安全状况,为安全工作决策提供可靠的依据。
四、建立安全信息的直通快车,使各承包商有渠道快捷地向项目部反映对安全工作的合理化建议和要求,迅速有效地解决生产过程中出现的安全生产问题。
五、形成安全管理的互补、激励和约束机制,促进安全管理制度的不断完善和有效实施。
六、安全信息员的条件及范围
(1)“安全第一”思想牢固,对安全生产有较高认识,能够积极参与各项安全活动。
(2)具备一定的安全、技术业务素质,现场经验丰富。
(3)有一定语言或书面表达能力,不怕得罪人,敢说真话不徇私情,不畏各种压力,勇于为生产工作奉献。
七、安全信息员的义务与职责
(1)认真学习安全技术业务知识,了解和掌握国家安全生产法律、法规及企业安全生产规章制度。
(2)积极参与本项目的各项安全活动,宣传上级单位和项目的安全生产指示、指令和安全生产各项规定,应邀列席相关安全工作会议。参加“信息反馈”、“安全座谈”或现场安全监察活动。
(3)收集和反映一线员工对安全管理的建议和要求。
(4)对各自的工作岗位和涉及到得所有施工现场、各级干部安全责任制的落实,实施安全监督,随时项目部汇报发现的情况。
(5)及时发现和真实地放映生产作业现场安全上存在的不安全隐患、质量、管理问题和有一定价值的建议,随时发现随时反映,每月不少于两条。
八、安全信息员的权利
(1)有权制止任何人违章作业;有权拒绝任何人的违章指挥。
(2)对于单位或领导忽视职工安全健康的错误决定和错误行为,有权提出批评或越级控告。
(3)发现生产作业存在“三违”或威胁安全生产的隐患和问题,有权直接向本单位主要领导报告或直接向安监人员汇报,有权提出处理意见。
(4)兼职安全信息员在行使职权中,各单位和各级负责人要给与大力的支持和帮助,给与一定的活动时间;任何单位和个人不允许干涉和阻止,更不允许对其进行任何形式的打击报复。否则,将严肃追究单位和相关领导的责任,维护安全信息员的正当权益。
点击咨询 