第一篇:信息安全管理制度(本站推荐)
信息安全管理制度
目 录
1.安全管理制度要求
1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度;
e)新服务、新功能安全评估; f)用户投诉举报处理;
g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护;
i)安全事件的监测、报告和应急处置制度;
j)现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求
2.1 法律责任
2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。3.人员安全管理
3.1 安全岗位管理制度
建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2 关键岗位人员
3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查:
3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力
3.2.2 应与关键岗位人员签订保密协议。3.3 安全培训
建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
1.上岗前的培训;
2.安全制度及其修订后的培训;
3.法律、法规的发展保持同步的继续培训。应严格规范人员离岗过程:
a)及时终止离岗员工的所有访问权限;
b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。3.4 人员离岗
应严格规范人员离岗过程:
a)及时终止离岗员工的所有访问权限;
b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。4.访问控制管理
4.1访问管理制度
建立包括物理的和逻辑的系统访问权限管理制度。4.2 权限分配
按以下原则根据人员职责分配不同的访问权限 : a)角色分离,如访问请求、访问授权、访问管理; b)满足工作需要的最小权限 ; c)未经明确允许,则一律禁止。
4.3 特殊权限限制和控制特殊访问权限的分配和使用: a)标识出每个系统或程序的特殊权限; b)按照“按需使用”、“一事一议”的原则分配特殊权限; c)记录特殊权限的授权与使用过程;
d)特殊访问权限的分配需要管理层的批准。
注:特殊权限是系统超级用户、数据库管理等系统管理权限。4.4 权限的检查
定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。5网络与主机系统的安全
5.1 网络与主机系统的安全
应维护使用的网络与主机系统的安全,包括:
a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施; b)实施7×24h网络入侵行为的预防、检测与响应措施;
c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施; d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
5.2 备份 5.2.1 应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。
5.2.2 网络基础服务(登录、消息发布等)应具备容灾能力。5.3 安全审计
5.3.1 应记录用户活 动、异常情况、故障和安全事件的 日志。5.3.2 审计 日志内容应包括 : a)用户注册相关信息,包括 : 1)用户唯一标识 ;
2)用户名称及修改记录 ;
3)身份信息,如姓名、证件类型、证件号码等 ; 4)注册时间、IP 地址及端口号 ; 5)电子邮箱地址和于机号码 ; 6)用户备注信息 ; 7)用户其他信息。
b)群组、频道相关信息,包括 :
1)创建时间、创建人、创建人IP 地址及端口号 ; 2)删除时间、删除人、删除人IP 地址及端口号 ; 3)群组组织结构 ; 4)群组成员列表。
c)用户登录信息,包括 :
1)用户唯一标识 ; 2)登录时间 ; 3)退出时间 ; 4)IP 地址及端口号。
d)用户信息发布日志,包括 : 1)用户唯一标识 ; 2)信息标识 ; 3)信息发布时间 ; 4)IP 地址及端口号 ; 5)信息标题或摘要,包括图片摘要。
e)用户行为,包括 : 1)进出群组或频道 ; 2)修改、删除所发信息; 3)上传、下载文件。
5.3.3 应确保审计日志内容的可溯源性,即可追溯到真实的用户 ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施 ; 涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应 审计转换前后的地址与端口信息; 涉及短网址服务的,应审计原始 URL 与短 UR L 之间的映射关系。
5.3.4 应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。5.3.5 应能够根据公安机关要求留存具备指定信息访问日志的留存功能。审计日志保存周期
a)应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录 ;
b)系统维护日志信息保存 12 个月以上 ; c)应留存用户日志信息 12 个月以上 ;
d)对用户发布的信息内容保存 6 个月以上 ;
e)已下线的系统的 日志保存周期也应符合以上规定。6应用安全
6.1用户管理
6.1.1 向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的 法律责任。
6.1.2 建立用户管理制度,包括:
a)用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用 户登记的真实身份,如 : 1)身份证与姓名实名验证服务: 2)有效的银行卡: 3)合法、有效的数字证书: 4)已确认真实身份的网络服务的注册用户: 5)经电信运营商接入实名认证的用户。(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。)
b)应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:
c)建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。
6.1.3 当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行: a)核对行政许可文件: b)通过行政许可主管部门的公开信息: c)通过行政许可主管部门的验证电话、验证平台。
6.2违法有害信息防范和处置 6.2.1 公司采取管理与技术措施,及时发现和停止违法有害信息发布。6.2.2 公司采用人工或自动化方式,对发布的信息逐条审核。采取技术措施过滤违法有害信息,包括且不限于:a)基于关键词的文字信息屏蔽过滤; b)基于样本数据特征值的文件屏蔽过滤; c)基于URL的屏蔽过滤。
6.2.3 应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
6.2.4 公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。
6.2.5 建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括: a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告
b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作
6.2.6 与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内删除,相关的屏蔽过滤措施应在10min内生效。6.3破坏性程序防范
6.3.1实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。6.3.2对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。7个人电子信息保护
7.1.1 制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。在用户注册时,在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。
7.1.2 湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个人电子信息时,取得用户的明确授权同意;公司在姜个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;法律、行政法规另有规定的,从其规定。
7.1.3公司在修改个人电子信息处理时,应告知用户,并取得其同意。7.2 技术措施
公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:
a)采用加密方式保存用户密码等重要信息
b)审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露
c)审计个人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据 d)建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销
e)系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险
7.3 个人信息泄露事件的处理
a)当发现个人电子信息泄露时间后,应: b)立即采取补救措施,防止信息继续泄露
c)24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关 8安全事件管理
8.1安全时间管理制度
8.1.1建立安全事件的监测、报告和应急处置制度,确保快速有效和有序地响应安全事件.8.1.2安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。
8.2应急预案
制定安全事件应急处置预案,向属地公安机关宝贝,并定期开展应急演练。8.3突发公共事件处理
突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:
a)I级:应投入安全管理等部门80%甚至全部人力开展处置工作; b)II级:应投入安全管理等部门50%-80%的人力开展处置工作; c)III级:应投入安全管理等部门30%-50%的人力开展处置工作; d)IV级:应投入安全管理等部门30%的人力开展处置工作。8.4技术接口
公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口,能确保实时,有效地提供相关证据。
第二篇:信息安全管理制度
信息安全管理制度
为了防止信息和技术的泄密,导致严重灾难的发生,请各位严格遵守以下安全规定:
一、工厂秘密具体范围包括:
1.1 工厂董事会资料,会议记录、纪要,保密期限内的重要决定事项 1.2 工厂的工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表
1.3 工厂有关销售业务资料,货源情报和对供应商调研资料 1.4 工厂开发设计资料,技术资料和生产情况 1.5 客户提供的一切文件、样板等
1.6 工厂各部门人员编制.调整,未公布的计划,员工福利待遇资料.员工手册
1.7 工厂的安全防范状况及存在问题
1.8 工厂员工违法违纪的检举.投诉.调查材料,发生案件,事故的调查登记资料
1.9 工厂、法人代表的印章、营业执照、财务印章、合同协议。
二、工厂的保密制度
2.1 文件、传真邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理
2.2 凡涉及公司内部秘密的文件资料的报废处理,必须首先碎纸,不准未经2.3 碎纸丢弃处理
工厂员工本人工作所持有的各种文件、资料、电子文档(磁碟,光盘等),当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出
未经工厂领导批准,不得向外界提供公司的任何保密资料 未经工厂领导批准,不得向外界提供客户的任何资料 妥善保管好各种财务账册、公司证照、印章 2.4 2.5 2.6
三、电脑保密措施
3.1 不要将机密文件及可能是受保护文件随意存放,文件的存放在分类分目录存放于指定位置。3.2 未经领导及他人许可,不要打开或尝试打开他人文件,以避免泄密或文件的损坏。
3.3 对不明来历的邮件或文件不要查看或尝试打开,以避免计算机中病毒,并尽快请电脑室人员来检查。
3.4 邮件的附件中,如果有出现一些附加名是:EXE,COM等可执行的附件或其它可疑附件时,请先用杀毒软件详细查杀后再使用,或请OA中心人员处理。3.5 不要随便尝试不明的或不熟悉的计算机操作步骤。遇到计算机发生异常而自己无法解决时,就立即通知OA中心外,请专业人员解决。3.6 不要随便安装或使用不明来源的软件或程序。不要随便删除电脑上的文件或程序及修改计算机参数等。
3.7 收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄这些邮件。3.8 不向他人披露微机密码,防止他人接触计算机系统造成意外。
3.9 公司电脑不允许随便使用移动存储器(U盘、MP3、MP4、光盘、移动硬盘等),确需使用的,应先向OA中心提出书面申请,由电脑管理人员登记使用。
3.10 定期更换密码,如发现密码已泄漏,应尽快更换。或请电脑专业人员处理。
3.11 定期用杀毒程序扫描计算机系统。对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒、有害的程序编码,进行适当的处理后才可开启使用。
3.12 先以加密技术保护敏感的数据文件,然后才通过工厂网络及互联网进行传送。在适当的情况下,利用数定证书为信息及数据加密或加上数字签名关闭电子邮件所备有自动处理电子邮件附件功能,关闭电子邮件应用系统或其它应用软件中可自动处理的功能,以防电脑病毒入侵。
3.13 对于不熟的人员,请不要让其随意使用你的计算机,如非要使用,应有人在其身旁监督。
3.14 不要随意将工厂或个人的文件发送给他人,或打开给他人查看或使用。3.15 在计算机使用或管理上如有任何疑问,请询问电脑室人员。
四、工厂的保密措施
4.1 工厂中层以上领导,要自觉带头遵守保密制度。
4.2 工厂各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念。
4.3 全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、资料、电子文档)。
4.4.对员工依照工厂本规定,保守工厂秘密,发现他人泄密,立即采取补救措施,避免或减轻损害后果的;对泄密或者非法获取工厂秘密的行为及时检举投诉的,按照有关规定给予奖励。
4.5.对员工因不遵守工厂规定,造成泄密事件,依照有关法规及工厂的奖惩规定, 给予纪律制裁.解雇,直至追究刑事责任。
第三篇:信息安全管理制度
信息安全管理组织机构和人员职责管理
办法
[日期:2010-12-18]作者:浏览:1812
第一章 总则
第一条 为加强海南电网公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第二条 本办法适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位的信息安全组织机构和人员职责的管理。其他联网单位参照执行。
第二章 信息安全领导小组
第三条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司信息中心,负责信息安全领导小组的日常事务。
第四条 信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第五条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第六条 信息安全工作组组长由公司信息中心的负责人担任。
第七条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第八条 应急处理工作组组长由公司信息中心的主要负责人担任。
第九条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章 各分公司及直属单位信息安全工作常设机构及人员
第十条 各分公司及直属单位应指定分管信息的单位领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对海南电网公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
第六章 信息安全人员基本要求
第十一条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第十二条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第十三条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第七章 信息安全人员管理
第十四条 信息安全人员的配备和变更情况,应向上一级单位报告、备案。第十五条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及海南电网业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第八章 信息安全人员职责范围
第十六条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第十七条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及电力生产、经营与管理有关的信息系统的机密信息。
第十八条 信息安全人员发现本单位重大信息安全隐患,有权向上级机构信息安全主管部门报告。
第十九条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。
第二十条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第九章 要害岗位人员管理
第二十一条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第二十二条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第二十三条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第二十四条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第二十五条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第二十六条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第二十七条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第二十八条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第十章 要害岗位安全责任
第二十九条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第三十条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第三十一条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第三十二条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第三十三条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第三十四条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十一章 第三方人员管理
第三十五条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第三十六条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第三十七条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第三十八条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第三十九条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第四十条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。第十二章 培训与教育
第四十一条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
第四十二条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第四十三条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十三章 附则
第四十四条 本办法由海南电网公司信息中心负责解释。
第四十五条 本办法自发布之日起施行。
第四篇:安全信息管理制度
安全信息管理制度
为发挥承包商在安全管理中的作用,倾听承包商对安全管理的建议和要求,形成群策群力的安全监督网络,进一步加强现场安全管理,及时整改生产过程中的各类隐患,超前预防重大事故。根据安全生产的实际,特制定本制度。
一、项目部是信息收集、整理、传递和报送的中心,是信息管理部门和信息报送单位。
二、项目经理分管信息工作,各承包商、供应商兼信息员,加强信息的上报工作。
三、健全安全信息反馈体系,拓宽安全信息反馈渠道和增加安全信息源,及时、准确地掌握生产一线作业现场的安全状况,为安全工作决策提供可靠的依据。
四、建立安全信息的直通快车,使各承包商有渠道快捷地向项目部反映对安全工作的合理化建议和要求,迅速有效地解决生产过程中出现的安全生产问题。
五、形成安全管理的互补、激励和约束机制,促进安全管理制度的不断完善和有效实施。
六、安全信息员的条件及范围
(1)“安全第一”思想牢固,对安全生产有较高认识,能够积极参与各项安全活动。
(2)具备一定的安全、技术业务素质,现场经验丰富。
(3)有一定语言或书面表达能力,不怕得罪人,敢说真话不徇私情,不畏各种压力,勇于为生产工作奉献。
七、安全信息员的义务与职责
(1)认真学习安全技术业务知识,了解和掌握国家安全生产法律、法规及企业安全生产规章制度。
(2)积极参与本项目的各项安全活动,宣传上级单位和项目的安全生产指示、指令和安全生产各项规定,应邀列席相关安全工作会议。参加“信息反馈”、“安全座谈”或现场安全监察活动。
(3)收集和反映一线员工对安全管理的建议和要求。
(4)对各自的工作岗位和涉及到得所有施工现场、各级干部安全责任制的落实,实施安全监督,随时项目部汇报发现的情况。
(5)及时发现和真实地放映生产作业现场安全上存在的不安全隐患、质量、管理问题和有一定价值的建议,随时发现随时反映,每月不少于两条。
八、安全信息员的权利
(1)有权制止任何人违章作业;有权拒绝任何人的违章指挥。
(2)对于单位或领导忽视职工安全健康的错误决定和错误行为,有权提出批评或越级控告。
(3)发现生产作业存在“三违”或威胁安全生产的隐患和问题,有权直接向本单位主要领导报告或直接向安监人员汇报,有权提出处理意见。
(4)兼职安全信息员在行使职权中,各单位和各级负责人要给与大力的支持和帮助,给与一定的活动时间;任何单位和个人不允许干涉和阻止,更不允许对其进行任何形式的打击报复。否则,将严肃追究单位和相关领导的责任,维护安全信息员的正当权益。
第五篇:信息安全管理制度
信息安全管理制度
为了切实有效的保证总公司信息系统安全,提高信息系统为总公司生产经营的服务能力,特制定信息系统相关安全管理制度,设定信息管理部门及系统管理人员对总公司整体信息系统进行管理,以保证总公司信息系统的正常运行。
1、相关介绍
1.1 计算机网络系统由基础线路,网络硬件设备、软件,终端设备的网络系统及各应用系统配置组成。
1.2 基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。
1.3 网络硬件设备是指:服务器、防火墙、交换机、光纤接入器及各终端设备;软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。
1.4 终端设备的网络系统配置包括终端设备在网络上的名称,IP地址分配,用户登录名称、用户密码、用户权限及Internet的配置等。
1.5 应用系统是指:办公平台、门户网站以及财务管理软件和各类生产经营管理软件。
2、信息管理人员职责
2.1 负责系统软件的调研、采购、安装、升级、保管工作。
2.2 负责公司网络系统基础线路的实施、安全及维护。
2.3 负责软件有效版本的管理。
2.4 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。
2.5 信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档。
2.6 信息管理人员执行企业保密制度,严守企业商业机密。
2.7 系统管理员的密码必须由信息管理部门相关人员掌握。
3、用户的职责和义务
3.1 用户有权以自己合法的身份登录网络及使用指定应用系统。
3.2 用户不得盗用其他人的身份登陆网络或进入应用系统,确因工作需要需取得他人受权或征得他人同意。
3.3 用户应保管好自己的密码,并三个月更换一次密码,以保证数据安全。
3.4 用户执行计算机安全管理制度,遵守企业保密制度。
4、基础线路建设管理
4.1 在进行网络系统基础线路新建或增加时,系统管理部门应会同相关部门及专业公司尽可能的从整体性、先进性、可拓展性等方面规划建设,有公司网络系统的可持续发展打下良好的基础。
4.2 基础建设完成后,将基础建设所涉及的图纸、标识等竣工资料保管整齐,以备后续的增添及维护。
4.3 在日常维护中,如有增加或改变走线方向等,需在原有资料上作好相应更改。
4.4 在重要线路或容易遭受破坏部位,应设立警示牌或其它警示标志,以保护基础线路。
5、软件有效版本管理
5.1 信息管理员应建立系统、平台、专业、管理软件的有效版本清单,并定期发布。
6、数据备份管理
6.1 服务器数据备份
6.1.1 每周应至少做一次账务管理软件数据的备份,并在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中,至少同时保留两个完整的数据备份。
6.1.2 每月至少对数据服务器、应用服务器和文件服务器做一次数据备份。
6.1.3 数据库进行自动实时备份。
6.1.4 自动或手工备份的数据应在数据库故障时能够准确恢复。
6.2 管理信息的备份
6.2.1 各部门应定时对管理数据进行备份。
6.2.2 每年的1或2月份,计算机人员应协助职能科室对上一的管理数据进行备份、标识并归档。
7、计算机病毒防治
7.1 在服务器和客户端微机上安装病毒自动检测程序和防病毒软件,信息管理人员应及时下载防病毒疫苗,用户应及时下载疫苗并检测、杀毒。
7.2 在向微机及服务器拷贝或安装软件前,首先要进行病毒检测。如用户经管理代表批准安装外来软件,应经过计算机人员对安装软件进行防病毒检测。
7.3 对于外来的图纸和文件,在使用前要进行病毒监测。
7.4 送外维修和欲联网的计算机必须经过病毒检测后,方可联入网络。
7.5 为了防止病毒侵蚀,员工和信息管理人员不得从internet网下载游戏及与工作无关的软件,不得在服务器或关键客户端微机上安装、运行游戏软件。
8、文件服务器的管理
8.1 文件服务器中为用户预留了一定的存储空间,存放重要文件、设计图纸和阶段成果,以避免在本地硬盘遭到损坏时丢失文件。
9、系统管理员安全责任
9.1 系统管理员应对所管理系统的用户权限的安全负责。
9.2 系统管理员不得擅自泄露其他用户的用户名及密码,不得为员工检索其他人员信息和企业保密信息。
9.3 因工作需要,经主管领导批准,系统管理员可以为用户检索、打印企业信息,但应妥善保管打印件,并对作废内容及时销毁。
9.4 系统管理员不得随意修改合法用户的身份,确因工作需要应得到主管领导的批准。
9.5 系统管理员应遵守保密制度,不泄漏企业信息。
9.6 对于新上岗信息管理人员,系统管理员应对其进行岗位培训,培训岗位标准、计算机管理制度、操作规程,落实安全职责。
10、重大操作事项审批制度
10.1 涉及到服务器系统、网络、数据库安全的操作应填写《重大操作事项审批表》,任何人不得擅自更改运行系统的相关配置。
10.2 部门负责人应组织相关人员及专家讨论操作的必要性和可行性,制定安全措施和操作步骤。
10.3 经批准的重大操作需做充分的实验和准备,并验证其可行和安全后,由两人以上共同操作。
10.4 对管理软件的重大操作和维护应执行重大操作审批制度,不允许对运行的软件进行直接调试和试运行。
10.5 在重大操作实施之前,应做好系统的备份。在实施过程中,应详细记录操作过程,以保证实施过程发生意外时能将系统恢复到实施前的运行状况。
点击咨询 