第一篇:计算机信息安全管理办法
计算机信息安全管理办法
第一章总则
第一条
为加强公司计算机信息安全管理工作,规范操作流程,明确岗位职责,确保计算机信息系统的安全,根据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》 等法律法规,结合公司实际工作需要,制订本办法。
第二条
本办法所称的计算机系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统或者网络。计算机信息是指通过计算机系统产生的所有相关数据、文件及其它电子资料。
第三条
计算机系统规划、设计、建设和维护应当同步落实相应的信息安全措施,使用符合国家有关规定、满足计算机系统安全保护需求的信息技术产品。
第四条
对计算机系统中发生的案件和重大安全事故,当在二十四小时内上报上级公司,同时报告县级以上人民政府公安机关,并保留有关原始记录。
第五条
本办法适用于公司
第二章
机构与职责
第六条 公司计算机信息安全管理工作实行领导负责制,由分管保密工作和信息化工作领导负责统筹计算机信息安全管理工作。第七条 公司系统及网络管理员和安全管理员岗位,两者不可兼任,其中安全管理员相应工作职责如下:
1)网络及系统管理员负责计算机系统的信息安全系统建设与技术管理工作。
2)安全管理员负责信息安全审计工作。
第三章
物理安全管理
第九条
机房应选择在具有防震、防风和防雨等能力的建筑内。
第十条
机房应采取防电磁干扰措施,电源线和通信线缆应隔离,避免互相干扰,对重要设备和磁介质实施电磁屏蔽。
第十一条 机房应采取防静电、防水的相关措施。
第十二条 机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
第十三条 计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路,应建立备用供电系统,以备常用供电系统停电时启用。
第十四条 机房应配备 UPS 设备,以保证机房设备的电源能在发生断电的情况下维持机房所有设备的电源供应。
第十五条 定时检查机房环境温度、湿度情况,确保温度控制在 18℃~23℃的范围内,湿度控制在 35%~80%的范围内,以保证机房设备和系统的正常运行。
第十六条 重要服务器及相关设备必须放置在机房内,并固定在机柜的相应位置。
第十七条 应将通信线缆铺设在隐蔽处,不允许祼线部署。
第四章
网络安全管理
第一节
总体安全要求
第十八条 应对计算机网络进行安全区域划分,不同安全区域具有不同安全等级,并采取相应的安全防护措施。一般情况下,可划为如下几个区域:
(一)办公内网:由本单位局域网内的服务器、客户端及相关设备组成的网络区域;
(二)业务外网: 由供互联网访问的服务器及相关设备组成的网络区域;
(三)业务专网: 由集团公司及各级下属单位共同组成的通过专用 VPN 系统相连接的广域网络;
(四)公众外网: 由访问互联网的客户端及相关设备组成的网络区域。
第十九条 应在不同网络安全区域之间采取安全隔离措施。
(一)公众外网与其它区域物理隔离;
(二)业务外网使用单独的通信线路。业务外网和办公内网、业务专网之间通过数据安全交换平台方式进行物理隔离,不允许业务外网与公众外网之间通过内部网络线路互联;
(三)业务专网和办公内网之间逻辑隔离;
(四)业务外网和办公内网之间进行数据交换时必须采用符合国家安全要求的 CA数字证书。
第二十条 网络设计应充分考虑系统冗余。其中关键的网络设备和系统必须设立冗余备用设备或系统,使本单位网络故障对业务造成的影响降到最低。
第二十一条 未经许可,不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运行情况相符的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新。
第二十二条 公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求,并通过流量分配措施对网络的各种应用合理分配相应的带宽,以保证重要应用系统的正常访问。
第二十三条 所有网络设备管理员帐号设置应满足安全性要求。
(一)口令长度应设置在 8 位字符以上、复杂度为数字、字母、特殊字符的组合,并且定期更新;
(二)当登录失败超过三次时结束会话连接并锁定账号 30分钟以上,当网络登录连接超时自动退出。
第二十四条 应对网络设备的管理员用户登录地址进行限制。
第二十五条 对网络设备进行远程管理时,应保证鉴别信息通过加密协议(如 HTTPS 协议)传输。
第二十六条 应对所有网络设备进行日志审计。
(一)审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况;
(二)应使用日志审计工具设置特定事件报警及生成日志报表;
(三)应做好网络设备日志的保存工作,保存期大于30天,保存的日志不可修改。第二节
办公内网安全管理
第二十七条 应为服务器、财务客户端分别划分独立的子网,其它客户端应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素划分不同的子网。客户端的不同子网之间原则上不能互相访问。
第二十八条 服务器与客户端之间应通过防火墙或 ACL列表进行访问控制,确保客户端不能任意访问服务器的所有端口。
第二十九条 应对重要子网采取防止 IP 地址欺骗措施。
第三节
业务专网安全管理
第三十条 业务专网采用统一的专用 VPN 系统组网。
(一)办公内网采用硬件 VPN 方式接入业务专网;
(二)移动办公用户采用 VPN 单机连接方式接入业务专网;
(三)VPN 连接必须采用安全的 VPN 连接协议,办公内网 VPN 互联必须采用硬件鉴权和口令双重认证。
第三十一条 办公内网 VPN 互联应配置双物理线路,以提高网络可靠性。
第四节
业务外网管理
第三十二条 在业务外网边界处应部署网络防火墙、入侵防御、防病毒网关等安全设备,并设置细致的安全访问策略,原则上禁止互联网自由访问业务外网。
第三十三条 入侵防御应能检测各种已知的入侵行为,记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。第三十四条 重要的 WEB 应用系统(如电子商务系统)应部署 WEB应用防火墙。
第五节
公众外网管理
第三十五条 公众外网出口必须配备防火墙等安全设备。
第三十六条 各单位应在公众外网部署上网行为管理设备,对公众外网进行有效管理与监控,其中包括:上网实时监控、互联网行为审计、上网情况统计分析、网络访问策略控制、带宽管理等。互联网行为审计记录保留 60 天,审计记录不可修改。
第五章
主机安全管理
第三十七条 主机包括服务器、终端计算机。
第三十八条 应在主机操作系统中安装防病毒系统,并定期对服务器主机进行恶意代码查杀,并实时更新病毒库。防病毒系统应具有全方位网络恶意代码防护能力、集中管理与监控功能和系统自动更新功能,而且系统必须具有较好的兼容性,不能影响各应用系统的正常运行。
第三十九条 所有主机应通过补丁服务器进行补丁统一自动分发。
第一节
主机接入与授权管理
第四十条 本章中的内部用户、外部用户、信息化运维人员定义如下:
(一)内部用户:公司内部的办公用户;
(二)外部用户:业务专网使用人员、外部来访人员及移动办公人员;
(三)信息化运维人员: 信息化维护人员及管理员。
第四十一条 各类用户接入服务器主机的方式如下:(一)内部用户应安装安全客户端(使用内网安全管理系统统一部署安装的安全代理软件)方式接入服务器主机;
(二)外部用户应采用 VPN 或安全客户端方式接入服务器主机;
(三)信息化运维人员应通过信息安全运维系统接入服务器主机。
第四十二条 所有用户接入服务器时应通过硬件 CA 数字证书和口令双重认证。
第四十三条 所有用户访问服务器资源时都应通过相对应的安全接入系统进行安全授权和管理,对所有终端计算机只开放所需的最小权限。
第二节
服务器主机管理
第四十四条
服务器操作系统的管理员账号应具有唯一性,不允许多个用户使用同一账号。
第四十五条
服务器操作系统的管理员帐号应满足安全性要求:
(一)口令设置为长度在 8 位字符以上、复杂性为数字、字母、特殊字符的组合,并且定期更新;
(二)当登录失败超过三次时结束会话连接并锁定账号30分钟以上。
第四十六条
对于服务器操作系统应有严格的资源访问控制策略,访问控制细粒度应达到文件级。
第四十七条
应严格限制服务器操作系统的默认用户访问权限,及时删除不必要的临时账号和测试账号等。
第四十八条
应对服务器操作系统的所有用户进行安全审计。
(一)审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况;
(二)应使用日志审计工具设置特定事件报警及生成日志报表;
(三)应做好服务器操作系统日志的保存工作,保存期大于 30 天,保存的日志不可修改。
第四十九条
应妥善保存服务器操作系统的用户鉴别信息。
第五十条 应定期扫描服务器安全漏洞。
第五十一条
应对服务器的单个用户的多重并发会话数和连接数进行限制,禁止同一账号在同一时间内并发登录。
第三节
终端主机管理
第五十二条
办公内网终端计算机应部署内网安全管理系统,该系统应具有如下功能:
(一)能够实现对终端计算机用户的口令及硬件 CA 数字证书双重身份认证;
(二)能够根据安全策略阻断未授权的终端计算机接入办公内网;
(三)能够对终端计算机访问办公内网服务器资源进行授权控制;
(四)能够控制用户对终端计算机操作系统的配置更改和软件安装;
(五)能够控制用户对终端计算机外部设备及接口的使用;
(六)能够对终端计算机用户操作行为进行详尽的安全审计,应包括对本地资源、网络资源、外部设备等的访问行为。
第五十三条
终端主机上使用的移动存储设备应由各单位统一购置、登记和发放,并对介质使用进行安全审计。非授权的移动存储禁止接入办公内网。
第六章
应用安全管理
第五十四条
本章所指的系统分为重要系统和一般系统,应对所有应用系统进行定级分类,其中含有敏感信息的应用系统应归为重要系统,其它应用系统归为一般系统。
第一节
应用系统建设安全管理
第五十五条
在系统设计阶段,系统开发单位应根据风险分析、风险管理以及充分调研的结果,对应用系统的基本安全功能和安全功能的强度进行需求确认,包括是否需要身
份验证、角色访问控制、数据加密、自动备份、日志审计等安全功能。只有通过系统安全需求论证后才能进行系统开发。
第五十六条
应用系统应考虑软件容错性。
(一)应对人机接口输入数据的规范性提供检验;
(二)应对人机接口操作提供回退功能;
(三)应具备状态监测能力,当故障发生时,能实时检测到故障状态并报警;
(四)应具备自动保护能力,当故障发生时,自动保护当前所有状态。
第五十七条
应制定应用系统代码编写安全规范,要求开发人员参照规范编写代码。
第五十八条
系统上线前应对应用系统代码进行安全漏洞检测,识别可能存在的恶意代码,存在安全漏洞的应用系统不得上线。
第二节
应用系统运行管理
第五十九条
必须保证应用系统的安全性和可靠性,因安全漏洞导致的应用系统故障和安全事故,应立即中断此应用系统服务,并及时向相关单位发布通知,限期整改。
第六十条 重要系统必须采用双机热备的方式运行。
第六十一条
应定期对应用系统进行穿透性测试,并及时修补漏洞。
第六十二条
一般情况下,部署在业务外网中的应用系统应通过安全发布服务器进行应用安全发布。
第六十三条
应对 WEB 应用系统采取防篡改措施,防止应用系统被非法篡改。
第六十四条
应用系统的管理员帐号应满足安全性要求。
(一)应用系统用户身份必须是唯一的,口令长度在 8位字符以上、复杂性为数字、字母、特殊字符的组合,并且定期更新;
(二)登录失败超过三次时自动结束会话连接并锁定账号 30分钟以上,当网络登录连接超时,自动退出。
第六十五条
所有用户接入重要系统时应进行双重身份验证(如口令结合 CA 数字证书认证)。
第六十六条
应对应用系统设置相关的安全访问策略,非授权的用户不能访问应用系统的相关资源,访问控制细粒度至少为模块级。
第六十七条
应对应用系统进行日志安全审计。
(一)审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况;
(二)应使用日志审计工具设置特定事件报警及生成日志报表;(三)应做好应用系统日志的保存工作,保存期大于30天,保存的日志不可修改。
第六十八条
应妥善保存应用系统的用户身份鉴别信 息。
第六十九条
应限制应用系统单个用户的最大并发会话和连接数。
第七十条 应用系统的管理与审计的权限应分配给不同的管理员。
第三节
数据库安全管理
第七十一条
数据库系统的管理员口令应设置为长度在 8 位字符以上、复杂性为数字、字母、特殊字符的组合,并且定期更新。
第七十二条
对于数据库系统应有严格的资源访问控制策略,访问控制细粒度应达到数据库表级。
第七十三条
应严格限制数据库系统的默认用户访问权限,及时删除不必要的临时账号和测试账号等。
第七十四条
应禁止使用数据库的超级管理员账号(如sql中的 sa账号)进行远程登录,并禁止使用数据库的超级管理员账号建立数据库实体、数据库表。
第七章
数据安全及保密管理
第七十五条
重要的数据存储应有可靠性保证,在线系统数据和业务数据应存储在冗余的介质中。
第七十六条
操作系统、应用系统程序和业务数据应分别放在不同的逻辑磁盘中。
第七十七条
制定重要数据的备份与恢复方案,并建立相应的备份与恢复系统,要求如下:(一)备份内容包括服务器操作系统、网络设备、数据库管理系统和应用系统的配置信息,应用系统的重要数据,服务器操作系统程序,应用系统程序;
(二)备份方式为网络集中备份方式,将备份信息统一集中存放在备份介质内,重要系统的数据应实现本地和异地双重备份;
(三)重要系统的数据每天最少备份一次,其余数据定期备份,备份数据的保存周期不得小于一周。
(四)备份信息应存放在安全、可靠、有效的位置。
第七十八条
当出现信息丢失、错误或出现系统故障时应及时进行信息和系统恢复工作。以保证各计算机信息和网络系统的正常运行。信息恢复过程中如果需要停止相关应用系统的运行,应提前通知相关使用人员做好应急准备。
第七十九条
应对敏感信息采取加密存储。
第八十条 不得在远程办公的相关终端设备上保存敏感信息。
第八章
用户行为安全管理
第八十一条
应对进出机房人员进行管理。禁止未经批准的人员进入机房,外来人员进出机房应办理登记手续,并由专业管理人员陪同。
第八十二条
未经许可,任何人不得擅自拆卸、搬移、更换主机及网络设备的部件;对于设备、电源、线路,不得随意开关、更改,不得随意改换、移动电源、插座和布线。
第八十三条
未经许可,任何人不得私自在主机设备上外接任何计算机外部设备。第八十四条
未经许可,办公内网中的终端计算机禁止使用光驱和软驱。
第八十五条
所有人员应对各自使用的主机及相关设备采取防盗措施,一旦被窃取,应及时告知网络及系统管理员。
第八十六条
未经许可,任何人不得私自将外带的主机及网络设备接入除公众外网的任何网络区域,办公内网的用户不得通过自带的相关设备接入互联网。
第八十七条
对新购置、外修后、借入借出的主机和网络设备接入办公内网、业务外网或业务专网前应进行安全检 查,合格后方可接入。
第八十八条
做好主机操作系统和应用系统的用户名、口令、证书、加密验证设备等安全验证信息的保管、管理和保密工作。终端计算机用户必须保护好自己的用户身份鉴别信息,不得向无关人员透露。网络及系统管理员负责各服务器、网络设备及系统软件的安全验证信息的管理与保密工作,未经用户许可,不得随意更改该用户的身份鉴别信息。
第八十九条
网络、主机或应用系统的身份鉴别信息被他人盗取,要及时进行修改,自己不能够修改的,要及时通知本单位网络及系统管理员;网络及系统管理员接到有关通知后,要及时对外泄的信息进行修改。对做过的修改过程、时间记录存档。
第九十条
禁止在主机上安装和使用与办公无关的软件,对于从互联网下载的或其他渠道获得的、与工作有关的各类软件安装前要进行安全性检查后方可在办公内网及业务外网的主机上安装。
第九十一条
未经许可,不得更改主机操作系统及应用系统的重要配置及数据。
第九十二条
网络及系统管理员应每天检查主机病毒防护系统的升级情况,发现异常应及时处 理。同时应监控本单位病毒感染与传播情况并进行统计分析,以防止病毒的大面积爆发。
第九十三条
如果发生计算机病毒大面积爆发,网络及系统管理员应及时对被病毒感染的主机实施物理隔离,尽快查找病毒源头并进行病毒查杀,同时通知相关负责人做好应急处理工作。如果重要应用系统服务器出现严重病毒感染,应及时停止应用系统使用并隔离该服务器,同时通知相关人员。如果出现计算机病毒大面积爆发,除做好前述应对工作外应及时将具体情况通知上级公司网络及系统管理员,以免出现更大范围内的病毒爆发。
第九十四条
不得在公司网站或互联网上从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得冒用他人名义发送信息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
第九十五条
禁止在工作时间进行浪费网络资源和威胁网络安全的操作。禁止向他人发送恶意的挑衅性的邮件和商业广告,禁止打开来路不明的电子邮件,一旦发现立即删除。
第九十六条
人员离岗时,应回收相关用户身份鉴别信息,并调整相应用户权限。
第九十七条
涉密介质的使用应符合 《中华人民共和国保密法》的相关规定。
第九十八条
任何单位和个人不得利用计算机系统非法传递或者交易涉及国家秘密的电子文件与信息,不得将涉及国家秘密的计算机系统与国际互联网、其它公共信息网络相联接,不得利用非涉密计算机系统处理涉及国家秘密的信息。
第九十九条
敏感信息使用者必须应妥善保存相关信息,若因保管不善造成信息外泄,使用者应负全责。
第一百条 敏感信息的共享等级和范围须经有关部门和主管领导批准,明确共享资源的使用人员和操作权限,严格按照使用人员、操作权限进行共享。禁止将秘密或机密的信息进行网络存放或共享。
第一百零一条
终端计算机应通过本单位的文件服务器进行个人文件的共享,不允许在两个或两个以上的终端计算机之间设置共享文件夹。
第一百零二条
必须保护好相关的主机及应用系统有保密要求的信息,不得擅自复制抄录和对外泄露。如因工作需要,向合作单位提供相关信息要做好信息外泄安全防范工作。
第一百零三条
禁止打听和窃取他人保密信息,假冒他 人名义对相关应用系统进行违法操作。未经许可不得以他人身份使用网络及主机资源。
第一百零四条
网络及系统管理员负责做好集中备份系统的备份策略制定、完善和修改工作及每天检查备份情况。第九章
安全意识教育和培训
第一百零五条
定期开展信息安全技术与管理培训,组织学习信息安全技术及相关法律、法规,提高各信息安全技术保障与管理水平。
第一百零六条
定期对内部办公人员进行信息安全普及教育,强化信息安全防范意识,普及信息安全及保密防护知识。
第一百零七条
相关人员应积极配合,自觉参加各种教育和培训活动。
第一百零八条
凡违反本办法造成集团经济损失或恶劣影响的,除对相关当事人进行严肃处理外,情节严重的将根据有关法律法规追究相关责任。
第二篇:国家电网公司办公计算机信息安全管理办法
规章制度编号:国网(信息/3)255-2014
国家电网公司办公计算机信息安全管理办法
第一章 总 则
第一条 为加强国家电网公司(以下简称“公司”)办公计算机信息安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。
第二条 本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。
(一)信息内外网办公计算机分别运行于信息内网和信息外网;
(二)信息内网定位为公司信息业务应用承载网络和内部办公网络;
(三)信息外网定位为对外业务应用网络和访问互联网用户终端网络;
(四)公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略。
第三条 本办法适用于公司总(分)部、各单位及所属各级单位(含全资、控股、代管单位)(以下简称“公司各级单位”)。
第四条 国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。
严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用。
第二章 职责分工
第五条 公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。
第六条 公司各级单位信息通信管理部门负责办公计算机的信息安全工作,按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。
第七条 办公计算机使用人员为办公计算机的第一安全责任人,未经本单位运行维护人员同意并授权,不允许私自卸载公司安装的安全防护与管理软件,确保本人办公计算机的信息安全和内容安全。
第八条 公司各级单位信息通信运行维护部门负责办公计
算机信息安全措施的落实、检查实施与日常维护工作。
第三章 办公计算机管理要求
第九条 办公计算机要按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级,实施必要的安全防护措施。信息内网办公计算机部署于信息内网桌面终端安全域,信息外网办公计算机部署于信息外网桌面终端安全域,桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。
第十条 加强办公计算机信息安全管理:
(一)办公计算机、外设及软件安装情况要登记备案并定期进行核查,信息内外网办公计算机要明显标识;
(二)严禁办公计算机“一机两用”(同一台计算机既上信息内网,又上信息外网或互联网);
(三)办公计算机不得安装、运行、使用与工作无关的软件,不得安装盗版软件;
(四)办公计算机要妥善保管,严禁将办公计算机带到与工作无关的场所;
(五)禁止开展移动协同办公业务;
(六)信息内网办公计算机不能配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线等各种方式与信息外网和互联
网络互联,应对信息内网办公计算机违规外连情况进行监控;
(七)公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网;严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点,为其它网络设备提供接入互联网服务,如通过随身Wifi等为手机等移动设备提供接入互联网服务;
(八)接入信息内外网的办公计算机 IP 地址由运行维护部门统一分配,并与办公计算机的MAC地址进行绑定;
(九)定期对办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查,不得随意卸载统一安装的防病毒(木马)软件;
(十)定期对办公计算机补丁更新情况进行检查,确保补丁更新及时;
(十一)定期检查办公计算机是否安装盗版办公软件;
(十二)定期对办公计算机及应用系统口令设置情况进行检查,避免空口令,弱口令;
(十三)采取措施对信息外网办公计算机的互联网访问情况进行记录,记录要可追溯,并保存六个月以上;
(十四)采取数据保护与监管措施对存储于信息内网办公计算机的企业秘密信息、敏感信息进行加解密保护、水印保护、文件权限控制和外发控制,同时对文件的生成、存储、操作、传输、外发等各环节进行监管;
(十五)加强对公司云终端安全防护,做好云终端用户数据信息访问控制,访问权限应由运行维护部门统一管理,避免信息泄露;
(十六)采用保密检查工具定期对办公计算机和邮件收发中的信息是否涉及国家秘密和企业秘密的情况进行检查;
(十七)加强对办公计算机桌面终端安全运行状态和数据级联状态的监管,确保运行状态正常和数据级联贯通,按照公司相关要求及时上报运行指标数据;
(十八)加强数据接口规范,严禁修改、替换或阻拦防病毒(木马)、桌面终端管理等报送监控数据接口程序。
第十一条 公司各级单位要使用公司统一推广的计算机桌面终端管理系统,加强对办公计算机的安全准入、补丁管理、运行异常、违规接入安全防护等的管理,部署安全管理策略,进行安全信息采集和统计分析。
第四章 外设管理要求
第十二条 严禁扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用;严禁采用非公司安全移动存储介质拷贝信息内网信息。
第十三条 计算机外设要统一管理,统一登记和配置属性参数。第十四条 严禁私自修改计算机外设的配置属性参数。如需修改,必须报知运行维护部门,按照相关流程进行维护。
第十五条 计算机外设的存储部件要定期进行检查和清除。第十六条 加强安全移动存储介质管理
(一)公司安全移动存储介质主要用于涉及公司企业秘密信息的存储和内部传递,也可用于信息内网非涉密信息与外部计算机的交互,不得用于涉及国家秘密信息的存储和传递;
(二)安全移动存储介质的申请、注册及策略变更应由人员所在部门负责人进行审核后交由本单位运行维护部门办理相关手续;
(三)应严格控制安全移动存储介质的发放范围及安全控制策略,并指定专人负责管理;
(四)安全移动存储介质应当用于存储工作信息,不得用于其它用途。涉及公司企业秘密的信息必须存放在安全移动存储介质的保密区,不得使用普通存储介质存储涉及公司企业秘密的信息;
(五)禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到信息外网或外部存储设备;
(六)应定期对安全移动存储介质进行清理、核对;
(七)安全移动存储介质的维护和变更应遵循本办法的第五章相关条款执行。
第十七条 涉及国家秘密安全移动存储介质的安全管理按照公司有关保密规定执行。
第五章 维护和变更要求
第十八条 办公计算机及外设需进行维护时,应由本单位对办公计算机和外设中存储的信息进行审核,通过本单位负责人的审批后报送运行维护部门进行维护。
第十九条 办公计算机及外设在变更用途,或不再用于处理信息内网信息,或不再使用,或需要数据恢复时,要报运行维护部门,由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息,原则上禁止通过外部单位进行数据恢复、销毁和擦除工作。
第六章 人员管理要求
第二十条 加强对办公计算机使用人员的管理,开展经常性的信息安全教育培训,提高办公计算机使用人员的信息安全意识与技能。
第二十一条 加强外来人员和第三方人员对办公计算机使用的管理,对外来人员和第三方人员使用办公计算机进行审批,加强外来人员和第三方人员使用办公计算机的监督与审计。
第二十二条 办公计算机及外设使用人员离岗离职,人员所在原部门不得对其办公计算机及外设擅自进行处理,要及时报运行维护部门对存储的企业秘密信息、敏感信息进行清理后清退至固定资产管理部门,并取消离岗离职人员办公计算机及应用系统的访问权限。
第七章 检查考核
第二十三条 应建立常态检查机制,同时辅以不定期抽查,及时发现问题并督促整改。
第二十四条 违反本办法情节较轻的由本单位予以批评教育,情节严重的按公司相关规定进行处理。
第八章 附 则
第二十五条 本办法由国网信通部负责解释并监督执行。第二十六条 本办法自2014年6月1日起施行。原《国家电网公司办公计算机信息安全和保密管理规定》(国家电网信息[2009]434号)同时废止。
第三篇:福建海事局计算机及网络信息安全管理办法
福建海事局计算机及网络信息安全管理办法
一、本规定适用于福建海事局各单位采集、加工、存储、处理、传输信息的计算机及网络系统的保密管理。
二、福建海事局信息办负责全局计算机及网络系统信息安全管理工作及局机关计算机及网络的日常管理和检查工作,局属各单位信息化职能部门负责本单位计算机及网络系统信息安全管理和日常检查工作。
三、福建海事内网为非涉密网络,是办理海事业务、处理日常公文的专用网络,严禁处理涉密信息,并应与国际互联网完全物理隔离。
四、福建海事外网联接互联网,是为工作人员提供查找信息、浏览新闻的网络,外网计算机严禁处理、存放与工作相关的文档,严禁处理涉密信息或敏感信息。
五、涉密信息、敏感信息的存储、处理、传递、输出的必须在专用系统及专用单机中操作,专用单机必须拆除无线联网和网络接口卡模块,不得连接互联网或其他网络,所接外设(如传真机、打印机、电话机等)不得与普通电话线连接。
六、涉密计算机应专人专用,用户须定期修改操作系统登录密码。涉密信息要有相应的密级标识,密级标识不能与正文分离,必须采用访问控制策略,对访问事件要进行审计并记录。
七、涉密计算机须采取计算机病毒和恶意代码防护措施,并及时更新计算机病毒库与恶意代码样本库。
八、中心机房、重要设备间和其它保密要害部门应根据涉密程度和有关规定设立控制区,未经管理机关批准无关人员不得进入。
九、严禁在机关各部门连接互联网的计算机上安装、使用摄像头、耳麦等视、音频输入设备。在涉密场所谈论国家秘密事项时,应对具有音频输入功能并与互联网连接的计算机采取关机断电措施。
十、加强对打印机、传真机、复印机等输出设备的保密控
制,应取相应措施(不面对门窗摆放),防止输出结果被非授权查看和获取。严禁连接互联网的计算机和接连海事内网的计算机共享打印机、传真机、复印机等输出设备。
十一、对内网系统中的服务器、计算机等硬件设备的网口、并口、串口、USB接口、软驱、光驱等设备采取安全控制措施,禁止使用无线网卡、无线键盘、无线鼠标等无线设备,防止被非授权利用。
十二、严禁通过移动硬盘、软盘、光盘、磁带、优盘等普通信息存储介质处理秘级文件。严禁将个人的存储介质带入重要涉密场所。内网网络需要使用移动介质前(光盘、移动硬盘等),应先检查移动介质是否存在病毒、木马等恶意程序。
十三、涉密信息专用存储介质不得在非涉密的信息系统内或单机上使用,严禁在与国际网络联网的计算机信息系统中存储、处理、传递涉密信息。
十四、计算机等设备的维修、更换、报废按有关保密规定处理。涉密计算机报废后存储介质(硬盘)应物理销毁,不得移到非涉密计算机上使用。如需修理,必须由国家保密工作部门指定具有保密资质的单位进行修理。
十五、上网信息的保密管理坚持“谁上网谁负责”的原则。凡向互联网发布信息,须经保密审查批准后才可上网发布。不得利用电子函件传递、转发或抄送国家秘密信息,不得在电子公告、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。
十六、涉密人员员应经过严格审查,上岗前进行保密培训,定期进行保密教育及考核检查。涉密人员因工作变化、调动等原因停止使用涉密计算机的,需及时予以收回。
十七、发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告或当地公安机关报告。
第四篇:信息安全管理办法
HYW3-111-XZ15
XXXXZDXXXXXXXX电厂管理制度
Net
信息安全管理办法
2015-9-10发布 2015-9-10实施
XXXXXXXX电厂 发 布 HYW3-111-XZ15
XXXXXXXX电厂 信息安全管理办法
第一章 总 则
第一条 为了加强XXXXXXXX电厂(以下简称“电厂”)信息的安全管理,确保公司信息系统安全、稳定运行,特制定本办法。
第二条 本办法规定了信息安全管理的职责、内容和方法,本办法适用于电厂各部门。
第二章 人员与帐户
第三条 电厂的所有员工都必须接受信息安全培训,培训由电厂人力资源部组织,信息中心协助。
第四条 信息中心统一管理各应用系统中的帐户信息,包括用户基本信息、用户帐号、权限等。信息中心应在接到人力资源部门的员工职位变动或离职的通知后,根据具体情况及时调整相应的帐户信息。
第五条 员工离职时必须将其掌管的信息资产(如电脑、打印机等)移交信息中心,信息中心进行清点和核查。必要时,还需要检查此员工管理的信息系统,以确认系统安全、正常,没有遭受蓄意破坏。
第三章 口令策略
第六条 信息系统中所需要的所有口令应至少满足以下要求:
(一)长度:至少6位,建议在16位以下。
(二)复杂度:可以由大小写字母、数字和普通符号组成。
(三)有效期:口令应每季度更换。
(四)更换策略:新口令至少与前3次的口令不能相同。
第四章 特权帐号的控制
第七条 特权帐号是指具有特殊管理功能和权限的专用账号,如:具有应用系统管理权、数据库管理权、操作系统管理权的帐号,还包括网络设备特权帐号等。
第八条 特权帐号应由专人管理和使用,责任到人。特权帐号使用人在出差、请假期间,应将特权帐号转交给信息中心负责人指定的人员。特权帐号使用人长期离开时,应将特权帐号交给信息中心负责人。
第九条 使用特权帐号后,特权帐号使用人应将其操作情况记录在《操作日志》中。信息中心负责人每季度对《操作日志》进行审核。
第十条 特权帐号使用人在进行操作时,不得擅自离开;操作完成后,应立即退出登录,以防账号被窃用。
HYW3-111-XZ15
第五章 安全检查和审计
第十一条 信息中心安全管理员对防火墙进行管理,按照电厂有关技术规范的要求和本单位的实际情况配置相应的安全策略。防火墙必须保留完整的日志记录,安全管理员对其每月进行检查、分析和审计。
第十二条 应用系统、操作系统和数据库的自动日志记录应完整保留,以便对其使用情况进行检查和审计。
第六章 病毒防护
第十三条 电厂内部网络内所有采用windows操作系统的计算机(包括服务器、台式机和笔记本)都必须安装电厂统一的防病毒软件,防病毒软件的安装、升级、更新和策略设置由信息中心负责,电脑终端用户不得擅自卸载杀毒软件或更改其设置。
第七章 数据安全与保护
第十四条 重要数据的安全保护工作由电厂信息中心负责,按照数据重要性的分类应采用不同的备份和管理的策略。
第十五条 重要数据进行销毁或存储介质报废时,应确保对数据存储介质的物理销毁或清除。
第十六条 信息中心的技术资料、软件安装介质、软件授权以及设备保修卡等重要资料应指定专人分类妥善保管。上述资料应存放在防火、防潮并且上锁的资料柜中,借出时应登记,避免遗失。
第八章 安全应急处理
第十七条 信息系统受到恶意攻击或发生重大事故时,信息中心负责应急和恢复工作。信息中心应对主要事故和攻击的情况做出预案,以确保能迅速恢复系统的正常运行。
第十八条 信息系统受到非法攻击或发生重大事故后,信息中心应对系统的安全性重新进行全面的评估,制订相应的整改措施并落实执行。
第十九条 建立信息系统问题汇报机制,信息中心根据问题的性质、影响大小和发生频度对电厂的信息系统进行分类汇总,信息化领导小组每季度审阅相应的报告,对其中特别重大的事件(例如;重大安全事件〈黑客攻击〉、主要系统的设备损毁、病毒造成的电厂范围的网络瘫痪)应及时上报,同时向上级公司信息中心汇报。
第九章 附 则
第二十条 本办法由电厂行政部信息中心负责解释。
第二十一条
本办法自发布施行。
第五篇:计算机信息安全管理制度
计算机信息安全管理制度
第一条 总则通过加强公司计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
第二条 范围
1、计算机网络系统由计算机硬件设备、软件及计算机的网络系统配置组成。
2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。
3、计算机的网络系统配置包括计算机在网络上的名称,IP地址分配,域用户登陆名称、域用户密码、及Internet的配置等。
4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS 7等)软件。
5、平台软件是指:K3系统、RTX、PDF、办公用软件(如OFFICE 2007)、金山毒霸等平台软件,按部门需求安装大恒加密软件。
6、专业软件是指:设计工作中使用的绘图软件(如CAD、SolidWorks等)、安装及调试仪器软件(如P3000Serial、CXTH-3000、SpectraSuite等)。
7、其他部门使用软件是指:
(1)人力资源部:住房公积金管理系统、北京市社会保险系统企业管理子系统、证书管理工具等。
(2)财务部:全国税收调查系统、中兴通抵扣联信息采集系统、北京地税企业所得税离线申报系统、担保申报软件、生产企业出口退税申报系统、北京国税网上纳税申报系统、软件成品及电子出版物信息采集软件、月报采集软件、证书管理工具等。
第三条 职责
1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。
2、负责系统软件的调研、采购、安装、升级、保管工作。
3、网络管理员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。
4、网络管理员执行公司保密制度,严守公司商业机密。
5、员工执行计算机信息安全管理制度,遵守公司保密制度。
6、计算机系统管理员的密码必须由信息部相关人员掌握。
第三条 管理办法
I、公司电脑使用管理制度
1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
2、电脑由公司统一配置并定位,任何部门和个人不得允许私自挪用调换、外借和移动电脑。
3、电脑硬件及其配件添置应列出清单报信息部,在征得公司领导同意后,由网络管理员负责进行添置。
4、电脑操作应按规定的程序进行。
(1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
(2)电脑软件的安装与删除应在公司管理员的许可下进行,任何部门和个人不允许擅自增添或删除电脑硬盘内的数据程序;
(3)电脑操作员应在每周及时进行杀毒软件的升级, 每月打好系统补丁;
(4)不允许随意使用外来U盘,确需使用的,应先进行病毒监测;
(5)禁止工作时间内在电脑上做与工作无关的事,如玩游戏、听音乐等。
5、任何人不得利用网络制作、复制、查阅和传播宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆等犯罪内容。
6、电脑发生故障应尽快通知IT管理员及时解决,不允许私自打开电脑主机箱操作。
7、电脑操作员要爱护电脑并注意保持电脑清洁卫生,并在正确关机并完全关掉电源后,方可下班离开。
8、因操作人员疏忽或操作失误给工作带来影响但经努力可以挽回的,对其批评
教育;因操作人员故意违反上述规定并使工作或财产蒙受损失的,要追究当事人责任,并给予经济处罚。
9、为文件资料安全起见,勿将重要文件保存在系统活动分区内如:C盘、我的文档、桌面等;请将本人的重要文件存放在硬盘其它非活动分区(如:D、E、F)。(保存前用杀毒软件检察无病毒警告后才可)。并定期清理本人相关文件目录,及时把一些过期的、无用的文件删除,以免占用硬盘空间。
10、所有电脑必须设置登陆密码,一般不要使用默认的administrator作为登陆用户名,密码必须自身保管,严禁告诉他人,计算机名与登陆名不能一致,一般不要使用含有和个人、单位相关信息的名称。
11、其他管理办法请参看《IT终端用户安全手册》
II、网络系统维护
1、系统管理员每周定时对托管的网络服务器进行巡视,并对公司局域网内部服务器进行检查,如:财务服务器。
2、对于系统和网络出现的异常现象网络管理部门应及时组织相关人员进行分析,制定处理方案,采取积极措施。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、及时制定出解决方案。
3、定时对服务器数据进行备份。
4、维护服务器,监控外来访问和对外访问情况,如有安全问题,及时处理。
5、制定服务器的防病毒措施,及时下载最新的防病毒疫苗,防止服务器受病毒的侵害。
III、用户帐号申请/注销
1、新员工(或外借人员)需使用计算机向部门主管提出申请经批准由网络部门负责分配计算机、和登入公司网络的用户名及密码。如需使用财务软件需向财务主管申请,由网络管理部门人员负责软件客户端的安装调试。
2、员工离职应将本人所使用的计算机名、IP地址、用户名、登录密码、平台软件信息以书面形式记录,经网络管理人员将该记录登记备案。网络管理人员对离职人员计算机中的公司资料信息备份,方可对该离职人员保存在公司服务器中所有的资料删除。
IV、数据备份管理
服务器数据备份,应对数据库进行自动实时备份,并每周应至少做一次手工备份,并在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中。个人电脑的备份统一由各部门自行负责,可申请移动硬盘、信息光盘等储存介质进行安全备份。
第四条 计算机/电脑维修
1、计算机出现重大故障,须填写《计算机维修单》,并交IT管理员进行维修。
2、IT管理员对《计算机维修单》存档,便于查询各电脑使用情况。
3、须外出维修,须报分管领导审批。须采购配件,按采购管理流程执行。
第五条公司信息系统管理(暂定)
1、新中大财务系统服务器(以下简称:服务器),放置地点暂放为财务室办公室内,财务室现有办公室已达到视频监控、防盗、温度控制等条件。待条件成熟时重新搭建独立机房,便以安全管理。
2、对于服务器数据(包括财务软件系统)由管理员每月定期异地备份一次,并设置服务器自动每周备份二次数据库;异地备份数据由财务部安排存放在异地。
3、系统后台数据只能由服务器系统管理员进行维护,若需外援时,必须在管理员的陪同下进行操作,其他终端用户不得设置权限进入数据管理后台。
4、终端用户的开通及变更需以书面形式提交给相关部门领导签字确认,其中包括用户的权限变更、账号密码变更、终端软件更新。
5、当遇到服务器需要变更时,管理员应该做好详细的变更记录。如:程序变更、紧急变更、配置/ 参数变更、基础架构变更、数据库修改等。
6、定于每月25号对公司服务器账号进行核查及管理。
7、相关记录表格如下:
a、**信息中心机房巡查记录表
b、**信息中心用户账号登记表
c、数据库备份记录表
d、外来人员工作记录
e、终端用户系统变更申请
第六条违规操作赔偿标准
1、违规操作者:没有造成经济损失的,当事人和责任人赔偿工作时间误工费50-100元。
2、违规操作者:造成经济损失的,除造价赔偿外,另外当事人与责任人赔偿误工费100元。
第六条附则
1、本制度由信息管理部门负责解释,自公布之日起实施。
2、本制度有不妥之处在运行中修改并公布。
点击咨询 