第一篇:信息安全管理办法_百度
XX金融公司信息安全管理办法
第一章 总则
第一条 根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本管理办法。
第二条 信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。
(一)信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
(二)信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
(三)信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本公司的信息网络(内部信息平台)系统传播,避免对国家利益、公司利益以及个人利益造成损害。
第二章 职责权限
第三条 信息安全管理实施工作责任制和责任追究制,由XX金融公司(以下简称“公司”)成立信息安全领导小组,由CIO担任领导小组组长,负责本公司信息安全工作的策略,重点,制度和措施,对本单位的信息安全工作负领导责任;由信息技术部负责人担任信息安全实施小组组长,成员包括部门信息安全管理员,负责信息安全保护工作的具体实施,对本单位的信息安全负直接管理责任。
第四条 信息安全实施小组对本公司的服务器,网络,信息系统具有审核和管理权,负责本公司信息系统的规划,建设,应用开发,运行维护与用户管理。
第三章 主要风险
第五条 公司存在如下风险:
(一)来自公司外的风险
1.病毒和木马风险。互联网上不同类型的病毒和木马,在感染公司用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
2.不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,如果是信息技术部、结算部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能 2 造成重要数据被拷贝泄露、财务网银密码被窃取。还可能使服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
(二)来自公司内的风险
1.文件的传输风险。员工将公司重要文件以QQ、MSN发送出去,造成公司信息资源的外泄,危害公司生存发展。2.文件的打印风险。员工将公司技术资料或商业信息打印到纸张带出公司,公司信息资料外泄。
3.文件的传真风险。员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,造成公司信息外泄。
4.存储设备的风险。员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,或员工私自拆开电脑机箱,将硬盘偷偷带出公司,造成公司信息泄露。
5.上网行为风险。员工在电脑上访问不良网站,造成电脑及公司网络的破坏,导致电脑系统崩溃。
6.用户密码风险。主要包括用户密码和管理员密码。用户的开机密码、业务系统登陆密码被他人掌握,此用户权限内的信息资料和业务数据被窃取;管理员密码被不法分子窃取,破坏应用系统的正常运行。
7.机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自自然灾害导致的机房设施损坏及业务中断。
8.办公/区域风险。主要包括办公区域敏感信息的安全。员工在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容,可能会泄露部门工作机密,甚至是公司机密。
为了保证公司信息的安全保密,公司所有人员必须严格遵守公司信息安全管理办法,以此为基础,从各个层面杜绝信息安全隐患。
第四章 风险防范措施
第六条 信息安全防范措施
(一)计算机设备安全管理。
1.公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。3.发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。
4.下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。
(二)部门资料安全管理 1.外接存储设备安全管理
信息技术部使用技术手段禁止所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要经过加密机来进行拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱,将用户主机贴上封条标签,除信息技术部人员外,任何人不得私自拆开机箱,若信息技术部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。信息技术部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。
2.文件传真安全管理。
人员对外发送涉密传真,必须经上级核实后,统一在规定部门登记,由规定部门通过加密机发送,禁止个人在未经许可的情况下对外发送涉密传真文件,一经发现,所有后果将由个人承担。在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切 5 后果。
3.文件打印安全管理。
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
4.文件的存储安全管理。
所有部门人员应定时清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系信息技术部协助将此员工工作资料拷贝到部门U盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。5.办公区域的安全管理。
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好,被他人取走,造成的后果将由本人承担。
(三)帐号密码安全管理
使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。核心业务系统及OA帐户及密码由经营办管理员设置后通知员工,员工及时修改密码后牢记。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有8个字符长;密码必须包含以下任一部分:字母A-Z或a-z,数字0-9,特殊字符,例如 $,-等。
1.电脑密码管理:每个员工管理自己电脑的登录密码,周期性的及时更改自己的电脑登录密码。
2.应用系统密码管理:所有核心业务系统用户及OA用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在核心业务系统中将会非法编制篡改单据,在OA中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将核心业务系统帐号或OA帐号密码透露给他人,让他人代己做核心业务系统单据或办理OA流程;员工调离岗位或 7 离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。3.采用用户身份认证系统:
对核心业务系统采取USB KEY认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,USB KEY采用USB密钥,存储特定的加密算法,只有将USB钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。
(四)杀毒软件安全管理
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
(五)各类软件安全管理
软件原始盘片应交信息技术部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交信息技术部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。
(六)邮件安全管理
所有因公对外联系的电子邮件一律通过公司邮箱在自己的办公电脑上进行收发。
(七)日常工作信息安全
1.员工应对在自己公司电脑内公司机密信息的安全负责,当 8 需暂时离开座位时必须立即启动屏幕保护程序并带有密码。2.员工有责任正确地保护分配给本人的所有计算机帐户。3.各部门经理及人事部应及时向信息技术部提供本部门及公司员工的人事及职位变动信息。
4.每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息技术部可以提供最新杀毒软件。
5.不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
6.任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
第七条 信息技术部的安全措施如下:
(一)计算机网络设备安全管理
公司所有计算机及网络设备统一归信息技术部管理。本办法所涉及产品的界定:
1.计算机是指为公司内部员工使用的PC机(包括CPU、硬盘、内存、机箱、显示器、主板、网卡、显卡、显示器、光驱、键盘和鼠标。
2.网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
3.计算机其他配件是指公司备用的光驱、软驱等。
4.附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。5.包括计算机及耗材的采购计划、故障维修等项工作。在员工电脑各组件老化或损坏,严重影响工作效率时,所在部门可申请以旧换新或报废处理。若需要报废,按照规定办法执行,各部门不得擅自处理破旧的电脑或电子设备。报废的电脑硬盘必须消磁处理。
(二)公司所有输入输出设备统一归信息技术部管理 输入输出设备包括扫描仪,传真机,打印机。使用者在使用此相关设备遇到问题可寻信息技术部帮助。在使用设备过程中遇到故障要及时向信息技术部反映,以便信息技术部及时查找原因,解决故障。
(三)公司视频会议设备和视频监控设备统一由信息技术部管理
1.视频会议设备包括视频会议服务器、视频会议终端、SONY摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
2.视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。
(四)核心业务系统、OA帐户安全管理 系统管理帐号的设置与管理
1.核心业务系统、OA系统管理帐号必须经过主管领导授权 10 取得。
2.核心业务系统管理员负责核心业务系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护;OA系统由集团数据中心统一管理、流程的建设和优化。3.核心业务系统、OA系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权。4.核心业务系统、OA操作用户需要增加或修改权限需要填写核心业务系统/OA用户权限申请表,并经过本部门负责人签字后交由信息技术部作权限相关处理。
5.系统管理员不得使用他人帐号进行业务操作。
6.系统管理员调离岗位或离职,信息技术部负责人应及时注销其帐号并生成新的系统管理员帐号。
(五)密码安全管理
1.终端计算机密码安全管理:电脑终端密码由用户自行管理,在用户人员变动或电脑更换时,系统管理员及时收回并更换密码。2.应用服务器密码安全管理:包括核心业务系统服务器、OA服务器、域服务器、邮箱服务器。信息技术部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码。制成密码登记文件,并提交给部门负责人。
3.防火墙/路由器密码安全管理: 防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一 11 次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人。
4.核心业务系统/OA系统密码安全管理: 核心业务系统/OA系统密码分为管理员密码和操作用户密码。系统管理员登录密码由核心业务系统/OA管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。操作用户密码由核心业务系统/OA管理员在创建帐户时初始生成,信息技术部发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由核心业务系统/OA管理员帮其初始化密码。
信息技术部应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于信息技术部内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高。
(六)数据备份安全管理
定期备份核心业务系统服务器、OA服务器、邮箱服务器。数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开公司网络应用高峰,避免对各部门工作造成影响。
(七)信息资料安全管理,在条件允许的范围内要求使用如下系统管理
1.加密系统管理;使用的是文档加密系统,对常用办公软件office、pdf、AutoCAD文件加密,公司内部的此类文件被带出公司后,显示在其他的电脑上均为乱码,保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。
2.监控软件管理:监控软件在很大程度上起到威慑作用,监控软件能够记录所有用户在个人电脑上的一举一动,通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁公司信息安全的元凶。
3.打印控制软件管理:打印控制软件应用后,员工的打印需要在管理员审核通过后方能打印,若管理员审核到某员工的打印内容涉及本公司信息安全,拒绝员工的打印。在审核通过、打印完成后,管理员可随时调出以前的打印记录,保证了及时信息安全责任追究。
4.设备送外维修,须经设备管理部门负责人批准。送修前,需将设备存储介质内应用软件和数据备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
5.信息技术部对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。6.信息技术部负责计算机病毒的防治工作,建立公司的计算 13 机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
7.用户计算机未经信息技术部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
(八)机房安全管理
严格按照《计算机机房管理制度》执行。
第八条 构建信息安全,必须做到管理、技术两者双管齐下
(一)加强管理,综合防范。安全体系是一个整体的、系统的工程,不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统。
(二)完善制度,强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任。确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。
第五章 附则
第九条 本办法由公司信息技术部解释。第十条 本办法自发文之日起实施。
第二篇:信息安全管理办法
HYW3-111-XZ15
XXXXZDXXXXXXXX电厂管理制度
Net
信息安全管理办法
2015-9-10发布 2015-9-10实施
XXXXXXXX电厂 发 布 HYW3-111-XZ15
XXXXXXXX电厂 信息安全管理办法
第一章 总 则
第一条 为了加强XXXXXXXX电厂(以下简称“电厂”)信息的安全管理,确保公司信息系统安全、稳定运行,特制定本办法。
第二条 本办法规定了信息安全管理的职责、内容和方法,本办法适用于电厂各部门。
第二章 人员与帐户
第三条 电厂的所有员工都必须接受信息安全培训,培训由电厂人力资源部组织,信息中心协助。
第四条 信息中心统一管理各应用系统中的帐户信息,包括用户基本信息、用户帐号、权限等。信息中心应在接到人力资源部门的员工职位变动或离职的通知后,根据具体情况及时调整相应的帐户信息。
第五条 员工离职时必须将其掌管的信息资产(如电脑、打印机等)移交信息中心,信息中心进行清点和核查。必要时,还需要检查此员工管理的信息系统,以确认系统安全、正常,没有遭受蓄意破坏。
第三章 口令策略
第六条 信息系统中所需要的所有口令应至少满足以下要求:
(一)长度:至少6位,建议在16位以下。
(二)复杂度:可以由大小写字母、数字和普通符号组成。
(三)有效期:口令应每季度更换。
(四)更换策略:新口令至少与前3次的口令不能相同。
第四章 特权帐号的控制
第七条 特权帐号是指具有特殊管理功能和权限的专用账号,如:具有应用系统管理权、数据库管理权、操作系统管理权的帐号,还包括网络设备特权帐号等。
第八条 特权帐号应由专人管理和使用,责任到人。特权帐号使用人在出差、请假期间,应将特权帐号转交给信息中心负责人指定的人员。特权帐号使用人长期离开时,应将特权帐号交给信息中心负责人。
第九条 使用特权帐号后,特权帐号使用人应将其操作情况记录在《操作日志》中。信息中心负责人每季度对《操作日志》进行审核。
第十条 特权帐号使用人在进行操作时,不得擅自离开;操作完成后,应立即退出登录,以防账号被窃用。
HYW3-111-XZ15
第五章 安全检查和审计
第十一条 信息中心安全管理员对防火墙进行管理,按照电厂有关技术规范的要求和本单位的实际情况配置相应的安全策略。防火墙必须保留完整的日志记录,安全管理员对其每月进行检查、分析和审计。
第十二条 应用系统、操作系统和数据库的自动日志记录应完整保留,以便对其使用情况进行检查和审计。
第六章 病毒防护
第十三条 电厂内部网络内所有采用windows操作系统的计算机(包括服务器、台式机和笔记本)都必须安装电厂统一的防病毒软件,防病毒软件的安装、升级、更新和策略设置由信息中心负责,电脑终端用户不得擅自卸载杀毒软件或更改其设置。
第七章 数据安全与保护
第十四条 重要数据的安全保护工作由电厂信息中心负责,按照数据重要性的分类应采用不同的备份和管理的策略。
第十五条 重要数据进行销毁或存储介质报废时,应确保对数据存储介质的物理销毁或清除。
第十六条 信息中心的技术资料、软件安装介质、软件授权以及设备保修卡等重要资料应指定专人分类妥善保管。上述资料应存放在防火、防潮并且上锁的资料柜中,借出时应登记,避免遗失。
第八章 安全应急处理
第十七条 信息系统受到恶意攻击或发生重大事故时,信息中心负责应急和恢复工作。信息中心应对主要事故和攻击的情况做出预案,以确保能迅速恢复系统的正常运行。
第十八条 信息系统受到非法攻击或发生重大事故后,信息中心应对系统的安全性重新进行全面的评估,制订相应的整改措施并落实执行。
第十九条 建立信息系统问题汇报机制,信息中心根据问题的性质、影响大小和发生频度对电厂的信息系统进行分类汇总,信息化领导小组每季度审阅相应的报告,对其中特别重大的事件(例如;重大安全事件〈黑客攻击〉、主要系统的设备损毁、病毒造成的电厂范围的网络瘫痪)应及时上报,同时向上级公司信息中心汇报。
第九章 附 则
第二十条 本办法由电厂行政部信息中心负责解释。
第二十一条
本办法自发布施行。
第三篇:重庆机床厂有限公司特种设备安全管理办法(百度)
重庆机床厂集团有限公司特种设备
安全管理办法(试行)
1、主要内容与适用范围
本办法明确了特种设备安全管理机构和职责、监督检查、人员资质、事故预防与调查处理等,适用于重庆机床厂集团有限公司特种设备管理、使用单位。
2、依据
2.1《特种设备安全监察条例》(国务院令第549号)2.2《重庆市特种设备安全监察条例》(重庆市人民代表大会常务委员会公告【2008】23号)
3、术语
特种设备是指涉及生命安全、危险性较大的锅炉、压力容器(气瓶)、压力管道、电梯、起重机械、客运索道、大型游乐设施和场内专用机动车辆等(民用机场专用设备除外)。
4、职责
4.1 特种设备安全领导小组职责
4.1.1分管安全的领导是特种设备安全管理的第一责任人 全面负责特种设备的安全和节能工作;
4.1.2严格执行国家和重庆市有关特种设备安全管理的有关法规、规范及标准的要求;
4.1.3审批、发布特种设备安全管理的各项制度; 4.1.4负责审核特种设备安全和节能资金投入; 4.1.5负责重大特种设备安全事故调查处理。
4.2特种设备安全领导小组办公室职责(设在安全质量部)4.2.1组织拟定各项特种设备安全管理制度;
4.2.2监督检查特种设备使用单位制度建设、人员资质、台账建设、检验检测等情况;
4.2.3负责特种设备事故的调查、处理、统计、上报等工作; 4.2.4负责特种设备安全措施的跟踪落实工作; 4.2.5负责特种设备安全管理其他工作。4.3人力资源部
4.3.1负责特种设备安全管理机构和岗位设置及资质管理; 4.3.2负责特种设备作业人员专业技术资格的管理。4.4财务部
4.4.1负责特种设备安全资金管理工作; 4.4.2负责特种设备资产管理工作; 4.4.3负责特种设备各类保险的办理工作; 4.5建设部
4.5.1负责特种设备招投标及采购工作。4.5.2负责特种设备生产厂商资格审查工作。4.6应急救援办公室
4.6.1负责编写特种设备应急救援预案,并组织演练; 4.6.2负责特种设备应急救援工作的监督管理工作。4.7特种设备使用单位
4.7.1使用单位负责人为本单位特种设备安全管理第一责任人,对本单位特种设备的安全和节能工作全面负责;
4.7.2负责建立本单位特种设备安全管理制度、操作规程和台账;
4.7.3负责特种设备使用登记和登记标志管理; 4.7.4负责特种设备日常维护保养和定期检查; 4.7.5负责特种设备定期检验检测; 4.7.6负责建立特种设备档案制度、台账;
4.7.7负责特种设备作业人员资质、证书、培训管理; 4.7.8负责本单位特种设备应急预案编写和演练; 4.7.9负责本单位特种设备隐患排查和整治工作;
4.7.10负责本单位特种设备报废申报工作。4.8特种设备安全管理员
4.8.1负责本单位特种设备操作规范的制定和培训工作; 4.8.2负责本单位特种设备日常维护、保养、检验检测的监督、检查;
4.8.3负责对特种设备购买、安装、改造、维修、停用、报废进行技术把关,确认特种设备的安全状态; 4.8.4负责本单位特种设备安全隐患排查工作;
4.8.5负责本单位特种设备故障、异常情况的报送工作; 4.8.6负责本单位特种设备档案管理工作。4.9特种设备作业人员
4.9.1持证上岗,严格按照特种设备操作规程操作有关设备,不违章作业;
4.9.2按规定做好特种设备的巡查、维护保养工作; 4.9.3准确分析、判断和处理特种设备的运行中的异常情况,3 出现紧急异常情况立即采取措施,启动应急预案并向上通报。
5、特种设备的购置、安装管理 5.1特种设备购置
5.1.1特种设备按照《采购管理规定》规定程序和要求进行购置,建设部组织特种设备采购的招投标,负责特种设备生产单位资质的审查,采购持有国家相应制造许可证的生产单位制造的符合安全技术规范、节能要求的特种设备。5.1.2特种设备采购时,应审查:安全技术规范要求的设计文件、产品质量合格证明、安装及使用维修说明、监督检验证明等文件。5.2特种设备安装
5.2.1特种设备安装前,特种设备使用单位先确定具有国家相应安装许可的单位负责安装工作,特种设备安装单位应在施工前将拟进行的特种设备安装情况书面告知特种设备安全监督管理部门,办理开工告知手续。
5.2.2特种设备安装施工过程中,安装单位应当遵守施工现场的安全生产要求,落实现场安全防护措施。特种设备使用单位负责施工现场的安全监督。特种设备使用单位应与安装方签订安全协议,明确各自的安全责任。
5.2.3安装完成后,特种设备使用单位(或者应督促安装单位)向有关特种设备检验检测机构申报验收检验。
6、特种设备使用登记管理
6.1特种设备在投入使用前或者投入使用后30日内,由特种 4 设备使用单位负责向重庆市或者渝北区质量技术监督管理部门办理注册登记。登记标志以及检验合格标志应当置于或者附着于该特种设备的显著位置。
6.2特种设备使用单位安全管理员应明确所有设备的安装位置、使用情况、操作人员、管理人员及安全状况,并负责制定相关的设备管理制度和安全技术操作规程。
7、特种设备档案管理
7.1特种设备使用单位安全管理员负责特种设备安全技术档案的建立。
7.2特种设备档案(按台建立特种设备档案),包括: 7.2.1《特种设备登记卡》; 7.2.2《特种设备使用登记证》;
7.2.3安全技术规范要求的涉及制造文件; 7.2.4安装技术文件和资料; 7.2.5安装监检证书; 7.2.6定期检验报告; 7.2.7定期自查记录; 7.2.8日常使用状况记录;
7.2.9安全附件、安全保护装置、测温调控装置及有关仪表日常维护保养记录;
7.2.10各种设备修理、改造记录及相应检定证书; 7.2.11运行故障和事故记录;
7.2.12其他如停用、延期检验申报批准等资料。
7.3特种设备使用单位指定专人负责特种设备安全技术档案 5 的建立及日常管理工作,做好档案的编目、整理,及时更新档案内容。
8、特种设备使用管理 8.1特种设备管理要求
特种设备使用部门的各级管理人员,应具有安全生产意识和特种设备使用管理相关知识,加强特种设备使用环节的安全管理工作。8.2特种设备场所要求
特种设备使用地点、场所(如:锅炉房、电梯等)应设置安全注意事项和警示标志于易于乘客、工作人员注意的显著位置。特种设备作业场所严禁闲杂人员进出。8.3特种设备作业人员
8.3.1特种设备的作业人员和安全管理人员应经特种设备安全监察部门考核合格后,方可从事相应特种设备的作业或管理工作。
8.3.2特种设备使用部门应当对特种设备作业人员进行条件审核,保证作业人员的文化程度、身体条件等符合有关安全技术规范的要求;
8.3.3特种设备使用单位要进行特种设备安全教育和培训,保证特种设备作业人员具备必要的特种设备安全作业知识,并建立培训台账记录。
8.3.4特种设备作业人员的资格证书到期前三个月,应提出复审申请,复审不合格人员不得继续从事特种设备的作业。8.3.5特种设备操作人员在作业过程中发现设备事故隐患或 6 者其他不安全因素,应当立即向本单位安全管理人员和安全负责人报告。
8.3.6特种设备作业人员应当严格执行特种设备的操作规程(操作规程可根据法规、规范、标准要求,以及设备使用说明书、运行工作原理、安全操作要求、注意事项等内容制定。8.4特种设备日常维护、检查
8.4.1特种设备使用单位对设备进行经常性日常维护保养,并建立台账记录;
8.4.2特种设备使用单位对特种设备的安全附件、安全保护装置、测量调控装置及相关仪器仪表进行定期检修,并建立台账记录;
8.4.3特种设备使用单位对在用特种设备应当至少每月进行一次自行检查,并建立台账记录;
8.4.4特种设备安全管理部门应当至少每季度进行一次特种设备检查,并建立台账记录;
8.4.5特种设备在对在用特种设备进行检查和日常维护保养时发现异常情况的,应当及时处理。8.5特种设备检验
8.5.1特种设备使用单位应按照特种设备安全技术规范的定期检验要求,在安全检验合格有效期满前1个月,向特种设备检验检测机构提出定期检验要求;
8.5.2特种设备使用单位根据特种设备检验结论,通知各相关单位做好设备及安全附件的维修、维护工作,以保证特种设备的安全状况等级和使用要求;
8.5.3特种设备使用单位对设备进行的安全检验检测报告以及整改记录,应建立台账记录;
8.5.4重新启用封存的特种设备应当经法定程序检验,检验合格后持检验报告向原登记机关申请启用;停用一年以内重新启用的,仍按原检验周期申请检验。8.6特种设备修理改造和报废管理
8.6.1特种设备使用单位应委托具有相应资质的单位进行改造、维修;
8.6.2特种设备在达不到安全技术规范要求(或超过安全技术规范规定的使用期限的),存在严重事故隐患,无改造、维修价值的,特种设备使用单位报财务部进行报废处理,并要向原登记机关办理注销手续。
9、特种设备应急救援管理
9.1公司层面特种设备应急救援管理工作由应急救援办公室归口管理,负责特种设备应急救援预案的制定和组织应急救援演练;负责监督检查特种设备使用单位应急救援预案的编制和演练情况。
9.2特种设备使用单位应制定本单位特种设备救援预案,每年至少组织一次应急救援演练,并建立台账记录;
10、特种设备事故信息报告管理
10.1特种设备发生事故时,特种设备使用单位按照《安全信息管理制度》进行上报
10.2事故报告应包括以下内容:
10.2.1 事故发生单位、联系人、联系电话。
10.2.2事故发生地点、时间。10.2.3事故发生原因分析。10.2.4 事故设备名称。10.2.5事故类别。
10.2.6人员伤亡、经济损失以及事故概况。
10.3发生特种设备事故后,严格保护事故现场,并按《特种设备事故应急救援预案》开展救援,采取措施抢救伤员和防止事故扩大。
11、特种设备隐患排查整治管理
11.1特种设备使用单位负责本单位特种设备定期自查管理工作,定期检查包括单位每月检查和操作人员每日检查,要层层落实到位,并建立台账记录;
11.2对检查中发现的特种设备安全隐患要列入风险管理库,进行风险评估,并制定整改措施,并落实整改时间、整改责任人。
11.3对检查中发现的重大安全隐患应及时报安全质量部,立即制定整改措施,在规定期限内完成事故隐患的整改,并将整改情况报告安全质量部。安全质量部对整改情况进行跟踪、复查、验收。
12、特种设备安全奖惩管理
特种设备安全管理工作纳入公司绩效考核,特种设备安全管理领导小组办公室负责对特种设备使用单位进行考核,并按照《安全管理奖惩办法》实施奖惩。
13、接受监督制度
13.1特种设备使用单位应接受上级主管部门的监督,对投诉、举报的事故隐患进行处理;
13.2特种设备使用单位应接受各级特种设备安全监督管理部门的安全监察,对安全监察提出的问题及时进行整改; 13.3特种设备使用单位应对特种设备检验检测机构提出的事故隐患进行整改;
13.4特种设备使用单位应对各类监督所提出的事故隐患整改情况按时回复和报告。
13、附则
13.1本办法自下发之日起执行。
13.2安全质量部负责本办法的解释工作。
第四篇:商业银行信息安全管理办法
XX银行
信息安全管理办法
第一章 总 则
第一条 为加强XX银行(下称 “本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据 《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。
第二条 本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条 本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用 谁负责”的原则,逐级落实部门与个人信息安全责任。
第四条 本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。
第二章 组织保障
第五条 常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。
第六条 各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安
—1— 全领导小组颁布的相关管理制度及要求在本部室的落实。
第七条 本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。
第八条 本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。
第三章 人员管理
第九条 本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。
第一节 信息安全管理人员
第十条 本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。
第十一条 应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十二条 信息安全管理人员每年至少参加一次信息安全相关培训。
第十三条 安全工作小组在如下职责范围内开展信息安全管理工作:
(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。
—2 —
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。
(三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
(四)统计分析和协调处臵信息安全事件。
(五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十四条 信息安全领导小组成员在如下职责范围内开展工作:
(一)负责本行信息安全管理体系的落实。
(二)负责提出本行信息安全保障需求。
(三)负责组织开展本行信息安全检查工作。
第二节 技术支持人员
第十五条 本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十六条 本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄漏或引用工作中触及的任何敏感信息。
(二)严格权限访问,未经业务主管部室授权 不得擅自改变系统设臵或修改系统生成的任何数据。
(三)主动检查和监控生产系统安全运行状况,发现安全
—3— 隐患或故障及时报告本部室主管领导,并及时响应、处臵。
(四)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度,做好数据备份工作。
第十七条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺,签署保密协议。提供技术服务期间,严格遵守本行相关安全规定与操作规程。不得拷贝或带走任何配臵参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第三节 一般计算机用户
第十八条 本规定所称一般计算机用户是指使用计算机设备的所有人员。
第十九条 一般计算机用户应承担如下安全义务:
(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部室信息安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配臵以屏蔽信息安全防护。
(三)不得在办公用计算机上安装任何盗版或非授权软件。
(四)未经信息安全管理人员检测和授权,不得将内部网络的计算机转接入国际互联网;不得将个人计算机接入内部网络或私自拷贝任何信息。
第四章 资产管理
第二十条 本行对所有信息资产进行识别、评估相对价值及重要性,建立资产清单并说明使用规则,明确定义信息资产责任—4 — 人及其职责。细则参见《XX银行信息资产分类分级管理规定》。
第二十一条 按照信息资产的价值、法律要求及敏感程度和对业务关键程度,分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级,并建立相应的标识和处理制度。
第二十二条 依照信息资产的分类分级采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权的使用。
第二十三条 依据《XX银行介质管理规范》加强介质管理与销毁操作管理,确保本行数据的可用性、保密性、完整性。
第五章 物理环境安全管理 第一节 机房安全管理
第二十四条 本规定所称机房是指信息系统主要设备放臵、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十五条 本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。
第二十六条 建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第二十七条 建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。机房管理员负责保管机房建设或改造的所有文
—5— 档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第二十八条 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二十九条 依据《浙江省农村合作金融机构机房管理指引》进一步规范机房建设、改造和验收过程,落实机房管理。
第三十条 信息安全领导小组负责定期审核机房安全管理落实情况,并保留相应的审核记录和审核结果。
第二节 重要区域安全管理
第三十一条 本章节所指重要区域为:本行信息中心主备机房和运维监控室等区域。本行信息中心负责制定和执行运维监控方面的安全管理制度。
第三十二条 重要区域应严格出入安全管理,安装门禁、视频监视录像系统,实行定时录像监控,并适当配臵自动监控报警功能。
第三十三条 所有门禁、视频监视录像系统的信息资料至少保存三个月。
第三节 办公环境安全管理
第三十四条 在本行大楼入口应设臵门卫或接待员,负责出入或公共访问区域的物理安全管理和外来人员的出入登记。
第三十五条 本行信息中心楼层设立门禁,加强人员进出管理。
第三十六条 本行信息中心员工应在公共接待区接待外来人—6 — 员,未经允许,不得私自将外来人员带入办公区域内。
第三十七条 未经允许,严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。
第六章 网络安全管理
第一节 网络规划、建设中的安全管理
第三十八条 本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配臵和网络资源(网络设备、通讯线路、IP 地址和域名等)分配。
第三十九条 按照统一规划和总体部署原则,由信息科技部组织实施网络建设、改造工程,工程投产前应通过安全测试与评估。
第四十条 本行网络建设和改造应符合如下基本安全要求:
(一)网络规划应有完整的安全策略,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪和审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
(四)能有效防止计算机病毒对网络系统的侵扰和破坏。
第二节 网络运行安全管理
第四十一条 信息科技部应建立健全网络安全运行方面的制度,配备专职网络管理员。网络管理员负责日常监测和检查网络 安全运行状况,管理网络资源及其配臵信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
—7— 第四十二条 网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。
第四十三条 严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过网络管理人员的审核与检测,审 核(检测)通过后方可接入并分配相应的网络资源。
第四十四条 严格网络变更管理。网络管理员调整网络重要参数配臵和服务端口时,应严格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更,应提前通知相关业务部门并安排在非交易时间或交易较少时间进行,同时做好配臵参数的备份和应急恢复准备。
第四十五条 严格远程访问控制。确因工作需要进行远程访问的人员应向信息简科技部提出书面申请,并采取相应的安全防护措施。
第四十六条 信息安全管理人员负责定期对网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外 界提供。未经授权,任何外部单位与人员不得检测、扫描本行网络。
第三节 接入国际互联网管理
第四十七条 信息科技部负责制定本行互联网方面管理制度,对互联网接入进行严格的控制,防范来自互联网的威胁。
第四十八条 本行内部业务网、办公网与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
—8 — 第四十九条 内部网络计算机严禁接入国际互联网,确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批,确保安装有指定的防病毒软件和最新补丁程序。经审批后连接国际互联网 的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。
第五十条 曾接入国际互联网的计算机严禁接入内部网络,确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批,经安全检测后方能接入。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
第五十一条 使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定,不得从事任何违法违规活动。
第七章 访问控制
第五十二条 本行负责建立访问控制制度,对信息资产和服务的访问和权限分配进行控制。
第五十三条 信息资产的责任人负责确定信息资产和服务的访问权限,运行维护科根据授权进行相关设定操作。
第五十四条 信息系统用户设臵本人的用户和密码,并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。
第五十五条 凡是能够执行录入、复核制度的信息系统,操作人员不得一人兼录入、复核两职。未经主管领导批准,不得代
—9— 岗、兼岗。
第五十六条 应启用安全措施限制授权用户对操作系统的访问,包括但不限于:
(一)按照已定义的访问控制策略鉴别授权用户;
(二)记录成功和失败的系统访问企图;
(三)记录专用系统特殊权限的使用情况;
(四)当违反系统安全策略时发布警报;
(五)提供合适的身份鉴别手段;
(六)限制用户的连接时间。
第五十七条 对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于:
(一)按照定义的访问控制策略,控制用户访问信息和应用系统的特定功能;
(二)防止能够绕过系统控制或应用控制的任 何实用程序、系统软件和恶意软件对系统进行未授权访问;
(三)为重要的敏感系统设立隔离的运行环境。
第五十八条 访问控制实施细则详见《XX银行信息系统访问控制管理规定》。
第八章 信息系统安全管理
第五十九条 本规定所指的信息系统是本行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
— —10
第六十条 信息系统安全管理实施细则详见《XX银行计算机信息系统安全管理规定》。
第一节 信息系统规划与立项
第六十一条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容:
(一)业务需求部室提出的安全需求。
(二)安全需求分析和实现。
(三)运行平台的安全策略与设计。
第六十二条 信息安全领导小组负责派遣相关部室安全员对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第六十三条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整实现。
第六十四条 信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。
第六十五条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人 员,不得在程序代码中植入后门和恶意代码程序。
第六十六条 信息系统开发、测试、修改工作不得在生产环
—11— 境中进行。
第六十七条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第六十八条 系统上线前应开展代码审计过程检查源代码中的缺点和错误信息,避免引发安全漏洞。
第三节 信息系统运行
第六十九条 信息系统上线运行实行安全审查机制,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下:
(一)项目承建单位(部室)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报信息科技部审查。
(二)信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定,报信息科技部门。
(三)信息科技部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
第七十条 信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度,以防止各类安全事故的发生。
第七十一条 系统管理员负责信息系统的日常运行管理,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。
第七十二条 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的,应征得业务系统归口责任
— —12业务处室同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第七十三条 严格用户和密码(口令)的管理,严格控制各级用户对数据的访问权限。
第七十四条 在信息系统运行维护过程中,系统管理人员应遵守但不限于以下要求:
(一)合理配臵操作系统、数据库管理系统所 提供的安全审计功能,以达到相应安全等级标准;
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入;
(三)及时、合理安装正式发布的系统补丁,修补系统存在的安全漏洞;
(四)启用系统提供的审计功能,或使用第三方手段实现审计功能,监测系统运行日志,掌握系统运行状况;
(五)按照网络管理规范及其业务应用范围设臵设备的 IP 地址及网络参数,非系统管理人员不得修改。
第四节 信息系统废止
第七十五条 废止信息系统及其存储介质在报废或重用前,应根据其安全级别,进行消磁或安全格式化,以避免信息泄露。
第七十六条 对已经废止的信息系统软件和数据备份介质,按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在信息安全领导小组监督下予以不可恢复性销毁。
—13—
第九章 客户端安全管理
第七十七条 本办法所称客户端是指本行计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面 终端、单机运行(哑)终端、远程接入终端、便携式计算机设备等。
第七十八条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。
第七十九条 客户端应统一安装病毒防治软件,设臵用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
第八十条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八十一条 规范存储本单位商密信息的计算机设备的安全管理,包括:开发用终端、生产主机及其他计算机设备。
第十章 信息安全专用产品、服务管理
第一节 资质审查与选型购臵
第八十二条 本规定所称信息安全专用产品,是指本行安装使用的专用安全软件、硬件产品。本规定所称信息安全服 务,是指本行向社会购买的专业化安全服务。
第八十三条 本行负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由采购科室按照采购程序选购。
第八十四条 安全专用产品在准入审核时,供应商应提出申 — —14请并提供下列资料:
(一)公安部颁发的安全专用产品销售许可证和其他必须的证明材料;
(二)产品型号、产地、功能及报价;
(三)产品采用的技术标准,产品功能及性能的说明书;
(四)生产企业概况(包括人员、设备、生产条件、隶属关系等);
(五)供应商的质量保证体系、售后服务措施等情况的说明。
第八十五条 安全专用产品有下列情形之一的,取消其准入资格:
(一)安全专用产品的功能已发生变化,但未通过检测的;
(二)经使用发现有严重问题的;
(三)不能提供良好售后服务的;
(四)国家有关部门取消其销售资格的。
第二节 使用管理
第八十六条 扫描、检测类信息安全专用产品仅限于信息安全管理人员使用。
第八十七条 信息科技部定期检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。
第八十八条 信息科技部应及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,应报信息安全领导小组批准后,按照固定资产报废审批程序处
—15— 理。
第十一章 文档、数据与密码应用安全管理
第一节 技术文档
第八十九条 本规定所称技术文档是指本行网络、信息系统和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
第九十条 各部室负责将技术文档统一归档。未经本行领导批准,任何人不得将技术文档转借、复制和对外公布。
第二节 存储介质
第九十一条 建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。
第九十二条 做好存储介质在物理传输过程中的安全控制,选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。
第九十三条 加强对移动存储设备(U盘、软盘、移动硬盘等)的使用管理。对系统升级专用的移动存储设备应按照相关规定由专人负责管理。
第九十四条 建立存储介质销毁机制,对载有敏感信息的存储介质应按照其安全等级,采用安全格式化、消磁等不可复原的方式进行处臵并做好记录。
— —16 第九十五条 介质管理实施细则详见《XX银行介质管理规范》。
第三节 数据安全
第九十六条 本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第九十七条 数据的所有者(部室)负责提出数据在输入、处理、输出等不同状态下的安全需求,信息科技部负责审核安全需求并提供一定的技术实现手段。
第九十八条 严格管理业务数据的增加、修改、删除等变更操作,进行业务数据有效性检查,按照既定备份策略执行数据备 份任务,并定期测试备份数据的有效性。
第九十九条 系统管理员负责定期导出网络和重要信息系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。
第一百条 本行信息科技部负责建立备份数据销毁方面的管理制度,根据数据重要性级别分类采取相应的备份数据的保 存时限和密级,并根据介质处臵相关要求进行销毁处理。
第一百零一条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百零二条 生产数据的调用提取应遵守《XX银行计算机系统生产数据调用及维护操作规程》。
—17—
第四节 口令密码
第一百零三条 信息科技部负责制定和维护密码管理方面的制度,严格执行密码安全管理策略。
第一百零四条 系统管理员、数据库管理员、网络管理员、业务操作人员的用户均须设臵口令密码,至少每三个月更换一次。口令密码的强度应满足必要的安全性要求。
第一百零五条 敏感信息系统和设备的口令密码设臵应在安全的环境下进行,必要时应将口令密码笔录,密封交相关部室保管。未经本行分管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。
第一百零六条 应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百零七条 本行涉密网络和信息系统应严格 按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息 系统应依据本行实际需求和统一安全策略,合理选择加密措施。
第一百零八条 密码产品和加密算法的选择应符合国家 相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合本行的相关安全要求。
第一百零九条 本行信息科技部负责建立和执行密钥管理方面的制度,选择密码管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
— —18 第一百一十条 应在安全环境中进行关键密钥的备份工作,并设臵遇紧急情况下密钥报废、销毁机制。
第一百一十一条 各类密钥应定期更换,对已泄漏或怀疑泄漏的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十二章 第三方访问和外包服务安全管理
第一节 第三方访问控制
第一百一十二条 本规定所称第三方访问是指本行之外的单位和个人物理访问本行计算机房,或者通过网络连 接逻辑访问本行数据库和信息系统等活动。
第一百一十三条 信息科技部负责在第三方与本行合作前对其资质进行调查。本行内部信息系统和相关网络的第三方访问授权需经本行领导的审批授权。未经授权的任何第三方访问均视为非法入侵行为。
第一百一十四条 允许被第三方访问的本行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
第一百一十五条 获得第三方访问授权的所有单位和个人应与本行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄漏本行任何信息。
第一百一十六条 第三方访问控制实施细则详见《XX银行第三方安全管理规定》。
第二节 外包服务管理
—19— 第一百一十七条 本规定所称外包服务,是指由本行之外的其他社会厂商为本行信息系统、网络或桌面环境提 供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
第一百一十八条 外包服务提供商提供上门维护服务的,经信息科技部批准后,由本行内部人员现场陪同实施。外包服务提供商不得查看、复制本行内部信息或将内部介质带离。
第一百一十九条 计算机设备确需送外单位维修时,本行应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第一百二十条 外包服务管理详见《XX银行IT外包管理暂行办法》。
第十三章 事件报告、灾难备份与应急管理
第一节 事件报告
第一百二十一条 信息安全事件按照信息安全事件报告流程进行报告,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息安全事件,应上报告计算机安全领导小组。
第一百二十二条 重大信息安全事件发生后,相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时 — —20报告主管领导及计算机安全领导小组。必要时启动相关应急预案。
第二节 灾难备份管理
第一百二十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战 争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。
第一百二十四条 本行在本行计算机信息系统应急领导小组统一领导下,组织开展重要信息系统灾难备份的统一规划、实施和管理。
第一百二十五条 本行业务部室负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。本行据此确定灾难备份等级和备份方案。
第一百二十六条 本行业务部室和本行协同建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,每年进行一次重要信息系统的灾难恢复演练。
第三节 应急管理
第一百二十七条 本行信息科技部负责制定和持续完善网络、信息系统和机房环境等应急预案。应急预案应包括以下基本内容:
(一)总则(目标、原则、适用范围、预案调用关系等)。
(二)应急组织机构。
—21—
(三)预警响应机制(报告、评估、预案启动等)。
(四)各类危机处臵流程。
(五)应急资源保障。
(六)事后处理流程。
(七)预案管理与维护(生效、演练、维护等)。
第一百二十八条 本行计算机信息系统应急领导小组统一负责各业务系统的应急协调与指挥,决策重大事宜(决定应急预案的启 动、灾难宣告、预警相关单位等)和调动应急资源。
第一百二十九条 本行定期组织应急预案演练,指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及 演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
第一百三十条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。
第一百三十一条 应急管理实施细则详见《XX银行计算机信息系统应急管理制度》。
第十四章 安全监测、检查、评估与审计
第一百三十二条 本行信息科技部负责每年至少进行一次本行范围内的内部信息安全相关的检查或评估工作。
第一百三十三条 本行负责每年组织对各部室、各分支机构的计算机安全运行情况进行检查(以下简称“对下安全检查”)。
第一节 安全监测
第一百三十四条 本行信息中心负责整合和利用现有网络管 — —22理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。
第一百三十五条 本行各部室要及时预警、响应和处臵运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级相关部门。
第二节 安全检查
第一百三十六条 本行安全检查包括对本行本级的安全检查和对下安全检查。安全检查方式可以是自查、检查、抽查或上级检查多种方式。
第一百三十七条 开展安全检查前,应以已经发布的相关安全管理制度为依据,制定详细的检查方案、提纲和计划等,确保检查工作的可操作性和规范性。
第一百三十八条 安全检查完成后应及时形成检查报告,经主管领导批准后将检查整改报告尽快送达被检查部门。要求限期整改的,需要对相关整改情况进行后续跟踪。
第一百三十九条 参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为本行内部材料妥善保管,不得向外界泄漏。
第三节 安全评估
第一百四十条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报主管领导。
第一百四十一条 如聘请第三方机构进行安全评估,应报本
—23— 行主管部门批准,并与第三方评估机构签订安全保密协议 后方可进行。本行信息安全管理人员全程参与评估过程并实施监督。
第一百四十二条 应妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第四节 安全审计
第一百四十三条 适时开展信息系统日常运行管理和信息安全事件的技术审计,发现问题按照相关规定及时上报主管领导。
第一百四十四条 应做好操作系统、数据库管理系统等审计功能配臵管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
第一百四十五条 本行各部室及人员应积极支持与配合上级审计部门或外部审计机构开展的信息安全审计。
第十五章 附 则
第一百四十六条 本行之前发布的其他信息安全管理办法如与本办法不一致的,按本办法执行。
第一百四十七条 本办法由本行负责制定,解释。
第一百四十八条 本办法自发布之日起执行。
— —24
第五篇:项目信息安全管理办法
关于**项目信息安全管理办法
为了规范及加强**项目的信息安全管理工作,特制定<<**项目信息安全管理办法>>,并严格按要求执行,具体如下:
一、硬件设备及软件信息安全管理
1、按照**客服供应商硬件及软件设备要求标准进行配置,确保符合标准。并定期维护。
要求:技术员定期维护,对于损坏、无法修复、多次修复仍然存在问题的电脑及时进行更换。
对象:**项目组座席、管理使用的电脑 实施时间:随时检查,每月排查登记一次
违规处罚:未按规定时间完成的考核技术负责人500元/次。
2、招募第三方安全公司,按**客服供应商对第三方安全公司的安全测评要求来进行招标,定期上报安全测评报告,并对存在的信息安全、网络安全等隐患或漏洞进行排查整改。对象:**项目组所使用设备、软件等 实施时间:每季度测评一次
违规处罚:未按规定时间完成的考核技术负责人500元/次。
3、外网访问、系统更新补丁、防火墙检查、机房电脑USB端口的禁用等检查工作
要求:对海口职场电脑外网访问进行严格审查,无关于工作的外网一律禁止访问,对于网盘、视频、音乐、非工作用的在线聊天软
件等进行屏蔽。每周定期打系统更新补丁,每周定期对防火墙进行检查、打补丁,每周定期对机房电脑USB端口禁用进行检查
对像:机房座席电脑、管理人员使用的电脑、服务器。
实施时间:每周定期检查,并做好技术维护日志登记工作。以便可追溯。
违规处罚:未按规定时间完成的考核技术负责人500元/次。如有出现擅自开通外网、解禁USB端口等出现危害信息安全等行为的,一律按500元/次进行考核,严重的做辞退处理。并承担由此造成的经济损失。
4、硬件设备、软件等信息安全检查要求
要求:
1、对**项目所有电脑按区域进行划分,共5个区域。
2、专人负责,每个区域由团队长进行管理。
3、每周各区域负责人对管辖区域信息安全进行检查及检查。
4、检查完毕后团队长填写《信息安全检查表》,并签名。
5、中心经理每日对团队长信息安全工作及签名进行检查,一旦出现未按要求完成工作则纳入考核。
实施时间:每周日前完成
违规处罚:不按时完成工作及签名者,考核200元/次。
二、座席入职及职场信息安全管理
1、座席信息安全保密工作
要求:座席上岗前100%签订保密协议,并通过信息安全制度考试后
方可上岗。对信息安全相关考核及连带责任条例进行签字确认认同并无异议。每月业务考试中加入信息安全考核内容,定期考核。在岗期间不得将工作资料、客户信息等纸质文件、电子文档等在未经项目经理允许的情况下带离公司,不得将涉及公司及客户信息安全的资料发到自己的社交媒体如QQ群、QQ空间、微信群、微信朋友圈、电子邮箱等。在岗期间不得在非工作群内谈论客户信息、发布客户信息等行为。
实施时间:新员工入岗前完成,岗中每月业务考试中进行考核,项目主管、团队长不定期检查座席的空间、朋友圈等。
违规处罚:如有违例扣罚当事人500元/次,并承担由此造成的经济损失,如涉及法律相关问题,应配合公司应诉并承担相应法律责任。
2、机房现场信息安全防范工作
要求:非**项目组员工不得进入**机房内,进出机房需使用门禁系统,进入机房不得携带手机、数码相机、U盘、笔记本电脑、录音笔等非工作设备。
实施时间:每日班前会进行检查,每日执行
违规处罚:如有违例扣罚当事人500元/次,并承担由此造成的经济损失,如涉及法律相关问题,应配合公司应诉并承担相应法律责任。
**项目组信息安全条例根据**总部相关条例及时进行调整。员工保密协议、信息安全考试、技术维护日志等均纳入运营管理绩效考核中。如未按要求执行则承担相应考核。
点击咨询 