第一篇:4.1.6 网络数据和信息安全管理规范
XXXX有限公司
WHB-08
网络数据和信息安全管理规范
版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX
20XX年X月X日发布 20XX年X月X日实施
1.0目的
计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。2.0术语
本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。2.1计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
2.2狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。
2.3网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。
2.4计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。2.5普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。
2.6主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。
2.7网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。
2.8有害信息,参见国家现在法律法规的定义。
2.9重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。3.0组织架构及职责分工
3.1公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机
构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
3.3计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法规和上级有关规定,保障公司的计算机信息的安全。
3.4计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算机信息及网络安全负直接责任。
3.5各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。3.6相关岗位信息安全职责: 3.6.1计算机及网络安全员:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。3.6.2普通用户职责:
1)自觉遵守计算机信息及网络安全的法律、法规和规定。2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、网线),不得私自接入网络。
3.7各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和权限及时进行变更或注销。4.0 系统安全规定
4.1公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
4.2各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。4.3使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在网络设备及主机系统进行操作还应该遵循有关网络安全规定。5.0 账号管理安全
5.1账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。超出正常权限范围的,要经主管领导审批。
5.2系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。5.3严禁用户将自己所拥有的用户账号转借他人使用。
5.4员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号。
5.5在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
5.6系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
5.7 一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。禁止将系统用户及口令直接交给外部人员。6.0 口令安全管理
6.1口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。6.2重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
6.3重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。6.4本地保存的用户口令应加密存放,防止用户口令泄密。6.5软件安全管理:
6.1不安装和使用来历不明、没有版权的软件。6.2不得在重要的主机系统上安装测试版的软件。
6.3开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
6.4操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
6.5个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。
6.6系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。6.7主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。6.8重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
7.0服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。8.0新建计算机网络、应用系统必须同时进行网络信息安全的设计。9.0 互联网信息安全
9.1公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息传播。
9.2各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有害信息。10.0数据安全
10.1需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。2)财会系统数据库。3)重要主机系统的系统数据。4)其他重要数据。
10.2各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数
据备份及恢复。
10.3对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员等信息。对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
10.4各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行试验,确保在发生安全问题时能够从数据备份中进行恢复。
10.5各部门计算机管理部门应对所管理系统上存储的数据进行登记备案,登记的内容主要包括:需要保护的数据、存储的位置、存储的形式、安全控制的方法和措施、负责安全管理和日常备份的人员、可以访问数据的用户、访问的方式以及权限。
10.6涉及企业秘密及具有高保密性要求(如口令文件)的数据在传输、存贮时应加密。10.7禁止在没有采用安全保护机制的计算机上存储重要数据,在存储重要数据的计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。禁止在个人计算机上存放重要数据。
10.8不得以软盘或者笔记本电脑等形式将重要数据带出系统。如确实必需,须将数据用安全可靠的加密手段加密存储,并将存储的软盘或笔记本电脑比照密级文件管理。11.0安全管理
11.1各部门必须对本部门的计算机信息及网络安全进行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次; 2)计算机病毒防治应每月至少全面检查一次; 3)数据备份应每月检查一次。
11.2检查发现计算机信息及网络安全隐患,应组织安全隐患整治,不能马上整治的,应采取有效措施预防网络信息安全事件和案件的发生。
11.3发生计算机信息及网络安全事件,应马上组织人员妥善处理,防止扩散影响。触犯刑律的,应保存证据,报告公安机关,并配合查处。
11.4发生重大计算机信息及网络安全事件须在24小时内上报。
11.5各部门应对用户及本部门员工进行网络信息安全宣传,宣传有关国家法律、法规和网络信息安全知识,加强用户的法律意识和安全意识,不得从事任何危害网络信息安全的行为。
12.0 顾客网络信息安全
12.1 维护人员不得将顾客系统的密码泄露给他人。
12.2 维护人员因工作原因进入顾客系统是,不得复制、删除、修改顾客信息。12.3 进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,以防将病毒传入顾客
系统。
12.4 维护人员的客户端应及时升级或更新,确保其与顾客系统的版本保持一致。
第二篇:网络数据和信息安全管理规范
网络数据和信息安全管理规范
XXXX有限公司
WHB-08
网络数据和信息安全管理规范
版本号:
A/0
编制人:
XXX
审核人:
XXX
批准人:
XXX
20XX年X月X日发布
20XX年X月X日实施
目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
术语
本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。
网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。
计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。
主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。
网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。
有害信息,参见国家现在法律法规的定义。
重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。
组织架构及职责分工
公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法规和上级有关规定,保障公司的计算机信息的安全。
计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算机信息及网络安全负直接责任。
各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。
相关岗位信息安全职责:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、网线),不得私自接入网络。
各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和权限及时进行变更或注销。
系统安全规定
公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
账号管理安全
账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。超出正常权限范围的,要经主管领导审批。
系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
严禁用户将自己所拥有的用户账号转借他人使用。
员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号。
在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。禁止将系统用户及口令直接交给外部人员。
口令安全管理
口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。
重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
本地保存的用户口令应加密存放,防止用户口令泄密。
软件安全管理:
不安装和使用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。
系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。
新建计算机网络、应用系统必须同时进行网络信息安全的设计。
互联网信息安全
公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息传播。
各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有害信息。
数据安全
需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数据备份及恢复。
对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员等信息。对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行试验,确保在发生安全问题时能够从数据备份中进行恢复。
各部门计算机管理部门应对所管理系统上存储的数据进行登记备案,登记的内容主要包括:需要保护的数据、存储的位置、存储的形式、安全控制的方法和措施、负责安全管理和日常备份的人员、可以访问数据的用户、访问的方式以及权限。
涉及企业秘密及具有高保密性要求(如口令文件)的数据在传输、存贮时应加密。
禁止在没有采用安全保护机制的计算机上存储重要数据,在存储重要数据的计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。禁止在个人计算机上存放重要数据。
不得以软盘或者笔记本电脑等形式将重要数据带出系统。如确实必需,须将数据用安全可靠的加密手段加密存储,并将存储的软盘或笔记本电脑比照密级文件管理。
安全管理
各部门必须对本部门的计算机信息及网络安全进行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次;
2)计算机病毒防治应每月至少全面检查一次;
3)数据备份应每月检查一次。
检查发现计算机信息及网络安全隐患,应组织安全隐患整治,不能马上整治的,应采取有效措施预防网络信息安全事件和案件的发生。
发生计算机信息及网络安全事件,应马上组织人员妥善处理,防止扩散影响。触犯刑律的,应保存证据,报告公安机关,并配合查处。
发生重大计算机信息及网络安全事件须在24小时内上报。
各部门应对用户及本部门员工进行网络信息安全宣传,宣传有关国家法律、法规和网络信息安全知识,加强用户的法律意识和安全意识,不得从事任何危害网络信息安全的行为。
顾客网络信息安全
维护人员不得将顾客系统的密码泄露给他人。
维护人员因工作原因进入顾客系统是,不得复制、删除、修改顾客信息。
进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,以防将病毒传入顾客系统。
维护人员的客户端应及时升级或更新,确保其与顾客系统的版本保持一致。
文档内容仅供参考
第三篇:信息安全管理规范和保密制度
xxx集团互联网事业部信息安全
管理规范和保密制度
第一章、总则
第1条为了明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。
第2条本制度适用于公司所有员工。
第二章、电子邮件管理制度
第1条 行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。并告知使用方法。
第2条 公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。
第3条 员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名:
声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。
第4条 收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。
第5条 发送带有公司涉密信息的邮件,发件人必须先经部门领导同意,(若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。
第6条 员工离职时,根据需要交由部门专人监管一个月,后由行政人力部注销。
第7条 违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元(由人力资源部门商定),并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。
第三章 数据安全管理制度
第1条 为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度
予以严肃查处。
第2条 计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。
第3条 计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。
第4条 计算机、服务器或存储设备,停止使用或使用前须进行低级格式化。
第5条 IT管理人员严禁利用自己的账号权限,查看其它员工的邮箱内容,盗取或传播邮件内容。造成严重后果的,由公司根据国家法律追究相关责任。
第6条服务器运维人员严禁利用职责便利,私自拷贝并传播给公司外部人员或不相关人员。造成严重后果的,由公司根据国家法律追究相关责任。
第8条为了确保数据安全,防止数据丢失,要定期对关键数据进行备份。并进行恢复测试。
第9条美罗全球精品购B2C后台管理账号,根据申请人员岗位,分配指定的权限。拒绝分配多余账号权限或直接分配管理员账号。并且开通账号必须走账号开通申请流程。员工离职后,及时删除或禁用账户。具体申请单见附件:
苏州美罗全球精品购 B2C平台权限申请表 部门 岗位 权限类别 □新增 □删除 姓名 申请时间 账户类型 □长久 □临时 新增或删除权限列表(由权限分配人填写): 部门经理 签字 权限分配操作人 签字
第四章 网络安全管理
第1条 未进行安全配置、未装防火墙或杀毒软件的计算机终端,不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件进行升级、更新,并定期进行病毒查杀。
第2条 计算机终端用户应使用开机密码,屏保密码等。并定期更改。员工应妥善保管所掌握的各类办公账号和密码,严禁随意向他人泄露、借用自己的账号密码。
第3条 IP地址为计算机网络的重要资源,公司员工应在管理员的规划下使用这些资源,不得擅自更改。对于影响网络安全的系统服务,员工应在管理员的知道下使用,禁止随意开启关闭计算机中的系统服务,保证计算机的网络畅通运行。
第4条 禁止未授权用户接入公司网络及访问网络中的资源。第5条 经远程通信传送的程序或数据,必须经过检查无病毒后方可打开或运行。
第五章 计算机安全管理
第1条 办公电脑硬盘机文件夹不得一直处于“共享”状态,如果需要共享时,必须设置密码,或设定用户权限,以限制用户;用毕,立即取消共享状态。不得下载和使用未经测试和来历不明的软件、未经病毒查杀不得使用U盘等介质。
第2条 计算机必须设置开机密码、屏保密码等,自动屏保开启时
间要求为5分钟;密码长度至少为8位,且为字母、数字等的组合,不可过于简单。
第3条 台式机机箱需加锁,防止设备丢失。计算机终端用户不得挪用办公电脑硬盘等,违反规定挪用者,视为故意违反安全规定,视情节严重程度,交由行政人力部处理。
第六章 公司保密制度
第4条 公司秘密分为三类:绝密、机密、秘密。
绝密:是指与公司生存、生产、科研、经营、人事有重大利益关系,一旦泄露会使公司的安全和利益遭受特别严重损害的事项,主要包括以下内容:
1.公司股份构成,投资情况,新产品、新技术开发资料,客户资料,商业计划等。
2.公司总体发展规划、经营策略、营销策略、商务谈判内容,正式合同和协议文书。
3.按《信息科技文件保密管理规定》属于绝密级别的各种档案。4.公司高层管理人员及其他对公司经营管理产生重大影响的会议纪要。
机密:是指与本公司的生存、生产、科研、经营、人事有重要利益关系,一旦泄露会使公司安全和利益遭受严重损害的事项,主要包括以下内容:
1.尚未确定的公司重要人事调整及安排情况,人力资源部对管理
人员的考评材料。
2.公司与客户、外部高层人士、科研人员的来往情况及其载体。3.公司薪金制度,财务专用印鉴、账号,保险柜密码,月度、季度、的财务预、决算报告及各类财务、统计报表,电脑开启密码,重要磁盘、磁带的内容及其存放位置。
4.按照《信息科技文件保密管理规定》属于机密级别的各种档案。5.获得竞争对手情况的方法、渠道及公司相应对策。6.外事活动中内部掌握的原则及政策。7.公司高层管理人员的家庭住址。
8.公司总经理召开的经营管理工作会议的会议纪要。
秘密:是指与本公司的生存、生产、科研、经营、人事有较大利益关系,一旦泄露会使公司的安全和利益遭受损害的事项,主要包括以下内容:
1.市场调查预测情况,未来新产品的市场预测情况。2.公司内部制度检查,奖惩措施及执行情况。3.生产、技术、财务部门的安全保卫情况。4.公司内部各类通知及邮件等。
5.按《信息科技文件保密管理规定》属于秘密级别的各种档案。6.公司部门例会会议纪要。第5条 各密级知晓范围 绝密级
公司高层管理人员及与绝密内容有直接关系的工作人员。
机密级
经理级别以上管理人员以及与机密内容有直接关系的工作人员。秘密级
项目经理级别以上管理人员以及与秘密内容有直接关系的工作人员。
第6条 保密守则
1.公司员工必须有保密意识,做到不该问的绝不问,不该说的绝不说,不该看的绝不看。
2.员工认知期间的工作成果归公司所有,并按《企业员工保密合同》及本制度进行管理。
3.任何人不得以任何形式在互联网上直接暴露公司研发项目的名称,团队交流尽可能采用拼音缩写等形式。
4.未经公司管理层同意,员工不得随意将可能涉及公司技术及商业秘密的文件、数据等带离公司(包括带回家中或是其它地方)。经管理层批准,可将涉及公司的技术及商业秘密的文件、数据带离公司的员工,必须采取必要的安全防范措施,保证相关资料不被泄露。如因失窃等因素而导致公司的商业和技术机密泄露,公司将对相关责任人按“玩忽职守”予以经济或行政处罚。
5.禁止任何非本公司员工在任何时间内非经允许使用本公司的计算机等办公设备,在确有需要使用本公司计算机等办公设备,须由本公司正式员工向本部门经理及综合部相关负责人提出申请,取得同意后方可在指定区域内使用,负责申请之员工须保证使用人不能访问涉
及公司机密的任何内容。
6.任何非本公司外来人员需要经由领导同意,并登记备案后方可入内,且不可出入机房要地。
7.所有员工不得随意拷贝与自身业务无关的文件(文档),复印或用其他方法取得公司商业秘密。如确有工作需要,须事先由本部门经理向总经理申请,获得签字同意后方可在相关部门经理的指导下进行。
8.严禁在公共场合、私人交往、公用电话、传真上交谈、传递保密事项。
9.员工发现公司秘密已经泄漏或可能泄漏时,应立即采取补救措施,并及时报告公司高层。
10.掌握公司秘密的人员在工作变动时,应及时办理交接手续,并由主管领导签字。
11.除本制度外,关键岗位人员还应遵守《关键岗位信息安全规范及保密制度》。
第七章 其他
第1条 对于由于工作失误或没按照本制度执行而导致公司商业秘密泄露者,公司将视情节轻重给以相应的经济及行政处罚;对于有意泄露公司机密者,公司除将立即与其解除劳动合同、并对其处以经济及行政处分外,还将视其行为后果的严重性,保留追究其刑事责任的权利。
第2条 本制度由公司各部门进行实施,企业管理部进行监督,修订权归公司所有。由发布之日起生效。
第四篇:数据备份和恢复管理规范
数据备份和恢复管理规范
第一章 总 则
第一条 为规范、统一全集团范围内重要系统的数据备份及管理工作,明确各系统数据备份及恢复的角色和职责,确保备份介质的安全和按时、顺利恢复系统和数据,并确保有关责任人员熟练掌握系统和数据的备份、归档和恢复流程,特制定本办法。
第二条 备份和恢复管理的范围包括:确定关键系统的备份和恢复方针及原则;系统、应用等软件及业务、配置等数据的备份和恢复;备份介质的存放、归档管理;系统及数据恢复演练;备份和恢复流程的评估和维护;归档数据的查询;备份和恢复所需存储、磁带库等硬件工具/设备的监控和管理。不包括:硬件、网络的备份和恢复(属于业务连续性管理);业务系统的在线数据冗余(属于业务可用性管理)。
第三条 关键系统定义: ERP、研发、SCM、CRM、财务、HR和其他多个单位通用的业务系统;MIP、邮件、公共网站等IT基础应用系统;单个单位使用的核心业务系统。
第四条 集团数据备份和恢复工作由集团备份管理员负责组织、协调,并按照既定计划和策略督促相关人员执行。
第二章 数据备份、归档和恢复原则
第五条 备份和恢复时间、性能应符合各系统服务级别的规定,各系统服务级别由系统所在单位与系统主要使用部门商议。
第六条 应考虑主机系统(操作系统、工具软件、数据库系统软件、应用等)变化的频率,全备份的频率应与业务系统变化频率成正比。
第七条 当主机系统发生较大更改时,应马上对主机系统进行一次全备份。第八条 应考虑全备份的容量,全备份的频率应与其备份容量成反比。第九条 系统全备份方式适用于使用小型机设备的系统,使用PC服务器的系统建议采用克隆系统应急盘方式。
第十条 对应用软件等程序文件:当系统配置数据发生变动时,应马上备份,备份介质保留至下一次系统全备份。当生产环境中的应用软件将发生变动时,应对变动前的应用软件进行备份。该种情况下的备份一般情况下由各系统管理员自行准备资源完成。
第十一条 对Oracle等数据库进行在线备份的系统,原则上要求周日为0级备份(冷备份)。对有数据长期保留需求的系统,只进行系统的0级备份的归档,以确保数据有效性和可恢复性。
第十二条 归档数据一般包括程序文件、数据文件,一般不包括数据库归档日志、逻辑备份数据(如在线备份)。
第十三条 归档数据完整性的基本原则:进行数据恢复后,系统在简单配置后可直接使用。
第十四条 对业务数据备份:在网络带宽和存储设备允许的前提下,可以采用集中备份和恢复管理的方式,否则采用分布备份和恢复管理方式。在数据库故障时能够快速恢复数据是选择备份方式的一个重要因素。应该采用多种备份方式(如采用块方式和文本方式等),以保证除了使用备份系统进行恢复外,还可以在本地备份机上直接恢复应用,如特别关键应用,建议考虑增加异地的恢复方式。除了用于恢复外,备份介质还应该方便存档数据查询、恢复演练、新系统测试、审计检查等使用。重点保留月末、季末、年末、结息日、新系统切换等重点时间的数据。
第十五条 对Oracle数据库备份:为了保护最近产生的数据,必须连续备份数据库逻辑日志。在业务数据的两次连续0级备份之间,应该进行业务数据逻辑日志的备份。
第十六条 应该根据数据容量/备份持续时间来决定采用每日0级备份,或定期0级备份+每日增量备份方式(增量备份分为对上次0级备份的增量、对上次增量的增量两种)。如果每日0级备份的备份和恢复时间符合要求,建议采用每日0级备份方式;否则采用每周0级备份+每日增量备份方式。备份介质保留一个备份周期。
第十七条 区别维持关键业务运行的数据(如,仅仅包含账户数据、客户信息、交易数据,不含历史数据),并每日单独备份,剩余数据同样单独备份。考虑到是快速恢复数据,故该类数据不宜过大。另外考虑到其使用目标是仅仅是应急,故其备份介质都是短期保留。
第十八条 要使用脚本来进行备份和恢复,尽量避免手工操作;尽量安排在非工作时间备份。
第十九条 在备份和恢复操作流程发生变动时,应该对操作人员进行培训;进行恢复演练的频率与流程变化的频率成正比;进行实际恢复演练的频率与恢复失败的频率(考核指标之一)成正比。
第二十条 所有对生产系统和数据的恢复都要预先得到批准;对存档备份介质的调阅需要登记,并且只能拷贝不能外借。
第二十一条 所有的备份介质都要贴上清晰的标签,标签应包含介质编号(或序号)、备份内容、备份日期时间、备份人员等内容;数据备份在制作、传递、转移过程中,必须填写《数据备份登记表》或《数据转移保存登记表》,详细记录备份数据制作、传递、转移的全部过程与责任人;数据备份的存放处必须符合防火、防水、防磁的安全要求;保存期在一年以上的备份磁带应半年进行重写或重绕处理;长期保存的磁带应记录使用次数,保证介质在规定的次数内使用;归档数据备份介质应该实施异地存放,建议存放至银行保险箱或档案室(必须和主机房不在同一建筑物内,如分支机构办公场所)。
第三章 存储、备份设备及相关设备管理
第二十二条 存储设备:集团中央数据存储系统、集团中央备份存储系统;备份管理员负责:每天检查存储设备控制器产生的信息,每周至少一次现场检查存储设备及相关部件运行状况,并将检查记录包含在周报中;存储设备Lun的调整和新Lun的分配,磁盘Raid策略调整等资源使用管理;
第二十三条 备份设备:STK SL500磁带库、LTO3数据磁带、LTO3清洗带;磁带库设备要求制定驱动器自动清洗策略,备份管理员负责:定期检查策略执行执行是否正常,每周至少一次现场检查磁带库及相关部件运行状况,并将检查记录包含在周报中;根据备份策略或用户需求调整,及时调整磁带库设备的资源分配。
第二十四条 相关设备:光纤通道交换机及光纤通道接口等部件、主机HBA卡;备份管理员负责:每周至少一次现场检查光纤通道交换机及相关部件运行情况,并将检查记录包含在周报中;每月协助系统管理员对主机HBA卡运行情况进行检查,包括双通道、负载均衡功能是否正常以及操作系统是否出现类似光纤通道报警信息;交换机Zooning调整、划分及相关资源调配。
第二十五条 备份管理员负责以上设备的日常维护和故障报修。维护和报修流程见本规范第二十九条第2款。
第四章 备份和恢复相关人员职责
第二十六条 集团备份管理员由集团IT管理部任命和管理;二级备份管理员由二级管理平台IT部门任命和管理,在备份业务上配合集团备份管理员。增加二级备份管理员的调整须提前知会集团IT管理部。系统管理责任人由系统所在平台的IT部门确定,业务管理责任人由系统所在平台的关键业务部门确定。
第二十七条 集团备份管理员职责:作为集团数据备份和恢复工作的总体计划制
定和工作协调者,负责备份系统管理和日常维护;负责备份数据在磁带、光盘等可移动存储介质上克隆、迁移和本地存放;参与备份系统建设、改造项目;协助二级备份管理员和各系统管理员进行数据覆盖和灾难恢复工作;定期组织二级备份管理员及相关人员进行备份数据有效性验证;负责组织集团本部相关系统管理员进行备份数据的有效性验证工作;负责备份系统客户端程序的异常处理,但不含客户端程序的管理;有义务和责任对系统管理员制定的备份策略提出合理建议;根据各系统恢复演练要求,制定总体恢复演练工作计划。
第二十八条 二级备份管理员职责:作为二级平台及下属单位数据备份和恢复工作详细计划的制定和协调者,协助备份管理员维护工作;组织相关系统管理员进行备份系统客户端的日常维护;协助备份管理员定期组织相关人员进行备份数据的有效性验证;参与备份系统建设、改造项目;负责平台管理范围内系统进行数据覆盖和协助集团备份管理员完成灾难恢复工作;负责制定该平台及下属单位的系统恢复演练详细计划,并负责该平台及下属单位数据从备份系统的导出。
第二十九条 系统技术管理责任人职责:简称系统管理员。是系统管理责任部门指定的系统日常维护人员,作为数据备份策略的制定者和恢复工作的实际执行者,按照《备份系统维护指引》要求,负责对备份系统客户端的维护;根据业务系统数据安全需求,负责制定合理、有效的备份策略(系统管理员只能负责提出策略和有效性审核,策略的合理性应由集团备份管理员完成);在集团备份管理员或二级备份管理员的协助下,负责进行责任系统的备份数据有效性验证;根据灾难演练计划,建立系统详细恢复操作文档,并负责具体系统的搭建、恢复工作,同时负责组织相关人员对恢复系统的有效性进行测试并提交相关报告。(各个应用系统需要确定主要维护责任部门,由责任部门提出对系统的维护要求和指标)
第三十条 系统业务管理责任人职责:作为数据备份和恢复工作的用户方或负责业务维护的项目组,负责确认系统数据备份和恢复的时间、性能等指标。ERP、SCM、CRM等类系统业务责任部门为系统所在单位财务部门,研发类系统业务责任部门为系统所在单位研发部门,集团HR系统业务责任部门为集团人力资源部,MIP、邮件等基础应用系统业务责任部门为集团IT部。其他系统由系统管理的责任单位IT部门确定系统业务责任部门。
第五章 运维管理流程
第三十一条 数据备份异常的预警机制:对于连续两次备份失败的系统,集团备份管理员应以邮件、短信或电话方式知会二级备份管理员或相关系统管理员及该管理平台IT部门负责人,系统管理员应积极采取相关措施,二级备份管理员及集团备份管理员应配合,确保当天晚上数据备份成功,连续三次备份失败,集团备份管理员应将该信息抄送至系统责任单位财务负责人、集团IT总监。
第三十二条 系统日常维护流程:备份系统的服务器端操作,由备份管理员负责,客户端操作由相关责任人负责,备份管理员协助完成。
1.备份情况通报流程:集团备份管理员每天上午10点前将前一天晚上数据备份情况在MIP上公布(周六备份情况在周一通报),每周备份管理员将一周备份情况进行总结并发布至MIP,内容包括但不限于:本周备份数据量、备份有效性总结、故障处理情况;每月进行一次系统运行情况总结,上报至基础管理中心高级经理,内容包括但不限于:本月备份有效性情况、故障处理汇总及分析、系统运行趋势分析及系统改进合理化建议等。对于备份失败的系统,以邮件、短信或电话方式通知二级备份管理员及其上级领导并给出初步诊断结果和建议操作;二级备份管理员应立即联系相关系统管理员,系统管理员应在当天配合备份管理员查找问题。若数据连续两天没有备份成功,第三天需要系统管理员与备份管理员一起确定系统的备份方式,若为数据库的在线备份失败,应采取冷备份,若因数据库没有正确启停,需系统管理员在策略中约定的时间手工启停数据库,保证当晚数据备份成功。如二级备份管理员及系统管理员对备份失败问题一天内查不出原因,集团备份管理员应协调相关资源协助处理。
2.备份系统日程运维管理流程:包括备份系统及相关设备日常检查及故障处理。备份管理员每天对备份系统软件日志进行查看,如系统出现的报警或故障信息,当天反馈至技术后台支持经理,如超过2天不能解决,应上报至基础运维管理中心高级经理,并联系相关外部技术支持人员。如超过4天不能解决,应上报至集团IT总监。3.备份和恢复策略初次申请流程:由系统管理员提出备份和恢复策略并填写《备份和恢复需求》、《系统备份信息表》、《备份和恢复策略和原则》,系统业务责任人对《备份和恢复需求》进行确认,二级平台备份管理员审查,集团备份管理员审核,并在备份系统中实施,备份管理员直属领导及基础运维管理中心负责人备案。
4.备份和恢复策略变更流程:由系统管理员提出变更后的备份和恢复策略并填写《备份和恢复需求》、《系统备份信息表》、《备份和恢复策略和原则》,系统业务责任人对《备份和恢复需求》进行确认,二级平台备份管理员审查,集团备份管理员审核,并在备份系统中实施,备份管理员直属领导及基础运维管理中心负责人备案。5.备份数据常规恢复流程:常规恢复指数据的测试环境覆盖、恢复演练等要求下进行数据恢复。不允许在凌晨进行数据恢复,如需进行数据,需要以邮件方式发送请求至集团备份管理员,由备份管理员安排恢复时间和协助恢复。如系统管理员自行恢复,导致正常备份工作受到影响,将追究相关管理员责任。
6.系统和数据灾难恢复流程:系统管理员提交系统和数据恢复申请,系统管理员直属领导进行审核,系统业务责任部门审批,根据系统故障类型,二级备份管理员或集团备份管理员准备恢复的介质,系统管理员进行系统和数据恢复,系统业务责任人对恢复数据正确性进行验证,确认恢复成功后,由系统管理部门对外发出《系统恢复通知》。
7.日常备份和归档管理流程:集团备份管理员进行日常备份和归档,提交《备份介质存放登记表》,并在MIP上发布当日备份信息,备份管理员直属领导对归档进行审核和数据抽查,基础运维管理中心负责人备案。
8.备份介质存放管理流程:集团备份管理员对归档的备份介质(目前为磁带)进行异地存放,并填写《数据转移保存登记表》,备份管理员直属领导审查,基础运维管理中心负责人备案。
第三十三条 系统和数据恢复演练流程:包括所有非灾难恢复性质的数据恢复流程。集团或二级平台备份管理员提交《系统和数据恢复演练计划》,同时准备好演练的环境和介质,系统管理员将系统和数据恢复至预定位置,并进行系统和数据恢复结果进行验证,并填写《系统和数据恢复演练反馈表》。
第三十四条 存档数据查询流程:由存档数据查询人提交《存档数据查询申请表》,系统业务责任人审核,系统管理员准备恢复所需硬件、软件等资源,二级备份管理员或集团备份管理员准备恢复环境和备份介质,系统管理员进行数据恢复对恢复系统和数据进行可用性确认,系统业务责任人对恢复系统和数据进行正确性验证,并通知查询人进行数据查询。
第六章 惩罚措施
第三十五条 如集团备份管理员已通知相关系统管理员备份失败信息,而系统管理员没有及时处理,导致两次以上的数据备份失败情况发生,系统管理员应承担数据安全管理不善责任,并在MIP上通报批评,如造成数据丢失等严重后果,按照相关单位规定进行处罚。
第三十六条 因集团备份管理员维护不到位,出现同一套系统数据备份失败情况,且没有及时知会相关系统管理员进行应急处理,导致系统备份失败情况连续发生三天以上(含三天),集团备份管理员将承担系统管理不善责任,并在MIP上通报批评,如由此造成的数据丢失或其他严重后果,按照集团相关规定进行处罚。连续三个月未出现因备份管理员维护不力而出现备份异常情况,由集团IT管理部给予××奖励。
第三十七条 因相关系统管理员未及时处理,而导致连续三天以上备份失败(含三天),系统管理员承担系统维护不善的责任,并在MIP上通报批评,如因此造成的数据丢失或其他严重后果,按系统管理员所在单位相关规定进行处罚。
第三十八条 如无特殊原因,连续三个月内都未组织二级备份管理员及相关系统管理员进行系统灾难恢复演练工作,集团备份管理员应承担系统维护不力责任,并在MIP上通报批评。
第三十九条 二级备份管理员不配合集团备份管理员组织系统灾难恢复演练工作,导致演练工作无法开展,将追究相关责任人责任并在MIP上通报批评。
第四十条 相关系统管理员不服从备份管理员组织,连续三个月内都未进行系统灾难恢复演练工作,将追究相关责任人责任并在MIP上通报批评,因此出现备份数据恢复无效而导致数据丢失情况,由系统管理员及所在部门责任人承担数据安全的全部责任。
第四十一条 本《规范》由集团IT管理部负责修改和解释。第四十二条 此规范自下发之日起执行。
2006年4月9日
第五篇:加强网络和信息安全管理工作方案(推荐)
各单位:
根据**、**和**、**有关要求,为进一步加强网络和信息安全管理工作,经**领导同意,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站信息发布审查监管
各单位通过门户网站在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
五、组织开展网络和信息安全清理检查
各单位要在近期集中开展一次网络安全清理自查工作。对办公网络和门户网站的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,存在严重问题的单位要认真整改。
各单位要从维护国家安全和利益的战略高度,充分认识信息化条件下网络和信息安全的严峻形势,切实增强风险意识、责任意识、安全意识,进一步加强教育、强化措施、落实责任,坚决防止网络和信息安全事件发生,为**召开营造良好环境。