第一篇:如何加强基层行信息安全管理
如何加强基层行信息安全管理
随着信息化建设不断提高,计算机在业务范围内的广泛应用,我行已普遍采用了网络化集中处理模式,如我行在近几年推广上线的*******系统在处理业务上,功能越来越强,效率越来越高,产生的经济效益越来越显著,从而对计算机的依赖性越来越大,同时促使我行对计算机安全意识不断提高。作为农发行旗县支行处于业务活动第一线,既是农发行组织体系的终端,也是开展形势下计算机安全的前沿阵地和薄弱环节。因此,如何加强行信息安全对基层行尤为重要,为了我行资金安全,降低金融风险,保障计算机系统自身安全和稳定运行,严防利用计算机犯罪,已成为我行计算机应用管理、安全管理亟待研究解决的课题。
一、基层行信息安全存在的主要问题:
(一)、领导对信息安全工作缺乏足够的认识
由于大多数基层行领导对计算机知识掌握不够充分,银行信息安全危害性没有引起领导的高度重视和认真对待。虽然成立了计算机领导小组,但并没有正确履行职责,没有真正发挥计算机安全领导小组的作用。
(二)、信息技术人员队伍建设存在问题
基层行目前只配备一名信息技术人员并兼多个岗位,县支行技术人员调换频繁,多数为非计算机专业毕业,工作经验不足,缺乏专业知识,大多只从事一般性的技术维护工作,没有机会参加专业的培训班,科技知识更新缓慢,缺乏实践锻炼机会,对信息安全问题不够了解。
(三)基础设施建设薄弱
1、机房基础设施建设环境较差,安全设施不到位,网线、电线散乱,线路老化严重。
2、计算机及附属设备更新不及时。旗县支行大多依赖于上级行配发设备,自身购臵很少,计算机及附属设备老化。
3、灾难备份系统不完善,应急措施不得力,大多数行没有系统备机或备机改作他用的现象,一旦系统崩溃,需要启动备机时,不能及时调回投入使用,造成故障恢复困难,业务中断。
(四)信息安全的观念
信息安全大部分安全效果并不取决于技术,而是取决于基本规范的落实与常见的安全手段,如:密码修改的周期性、密码设臵简单、(有的甚者为了防止自己忘记密码将密码粘贴到明显位臵)。随意在本机内共享文件、安装与业务无关的各种软件、互联网下载的资料拷贝到业务用机上使用、下班后不关闭计算机,这样不但使用计算机降低了使用寿命及浪费电量,而且还存在安全隐患。另外,一些分支行会计人员仍然存在“一人多卡”、“一卡多用”、“顶岗带卡”、“人卡分离”等问题。因为这是最简单的安全问题,但员工执行起来嫌麻烦,执行的不好,所以信息安全观念缺乏也是我行安全意识淡薄的重要原因。
二、做好基层行信息安全工作的几点想法
(一)、坚持落实“一把手”负责的原则,提高领导对信息安全的认识。要求基层领导要从思想上提高对信息安全严峻形势的认识,增强紧迫感、危机感和责任感。要以科学的态度认真对待计算机信息安全问题,信息安全不仅是信息技术部门的事情,财务会计 部门、信贷等部门每个员工都必须树立安全意识,首先计算机领导小组切实发挥作用。经常分析本行计算机信息安全中存在的问题。领导小组人员变动要及时调整。
(二)加强对计算机专兼职人员的管理,按技术过硬、业务素质高、遵纪守法等要求来挑选人员。信息技术人员要不断学习新知识、新技术、自觉、主动地紧跟时代发展,努力掌握更多先进的计算机技术。只有具备广泛的知识,高超的技术才可能防范我行信息安全风险的发生,做到防患于未然。
(三)机房布线方面,应尽量做到尽善尽美。因为旗县支行办公环境境比较差,造成了网线、电线、插排满地混乱不清现象,既不利于防火、防水,也不利于网络安全。所以应本着电线和网线分离的原则,通过PVC线槽走线,合理设计线路走向,达到防火、防水、防雷等目的。
1、在供电系统上,机房电源应设臵三相五线,形成以市电为主,以发电为附、以UPS为依托、以稳压电源作为安全保证的供电系统,电源线应做到一机一插排,防止因插头松动或接触不良导致突然断电给业务带来中断及设备带来不良影响。
2、网线应通过固定在墙上,标记每条网线的去向,缕顺到网络机柜里的网络设备上,并做好标记,便于问题出现后的查找。
3、为防止水灾发生对设备带来的灾难影响,坚持做到地面上无线、无插排的原则,将电线与网线、插排固定在距地面5公分以上高度的墙面上。
4、机房应安装防雷系统,要确保计算机及附属设备接地,并且每年进行检测。
(四)、保证必要的资金投入,是做好信息安全工作的物质基础。一是要加强基础设施的资金投入,应配备防火、防水、防盗、防雷设备,安装监控报警系统。逐步完善机房基础设施安全措施。
(五)、在系统后备方面应对重要数据库、网络配臵、机房服务器和业务用机操作系统进按期进行镜像备份,每当系统升级一次就镜像备份一次,确保系统备份为最新版本,一旦系统发生故障或崩溃,可以马上启动应急措施。这样对系统运行安全具有可行性。
(六)、基层行计算机操作人员安全防范意识淡簿,有章不循现象时有发生,所以要加强计算机安全教育,首先教会全行计算机操作人员学会修改密码的步骤,并定期修改密码,不得将密码公布在明显之处。信息技术人员将定期在网上或现场检查是否有共享文件及与业务无关的软件,发现以上问题对其说服教育,让他了解后果的严重性。基层行会计部门是风险防范的重要场所,而监控制约是风险防范的重点。内控管理要求各级工作人员必须严格履行职责,各岗位操作员要有严格的分工,不允许相互替代、交叉作业、随意将自己的密码、口令、权限让于他人,以及超越职责范围的行为。认真执行郭行长讲话精神,“严格IC卡管理权限分离制度和“谁使用、谁保管、谁负责”的原则,坚决杜绝“一人多卡”、“混岗”、“代岗”和“一手清”的现象;操作人员必须坚持按月或不定期的更换IC卡密钥”。
建议领导将以上问题作为全行考核各部室的一项工作内容。
三、加强系统运行安全管理
基层行是我行业务的前沿阵地,是和客户直接发生联系的窗口,也是不法分子用来作案的重要场所。支行中心机房由服务器、通信设备及其他设备组成,是整个综合网络的数据处理和存放中心,它的安全性和可靠性对网络至关重要。加强支行中心机房和基层行计算机网络系统运行安全管理,对保障计算机网络系统安全、可靠、稳定运行非常重要。
1、落实微机员岗位AB角制度,解决因微机员休假、学习、公出等原因空岗出现的科技工作停滞问题,使计算机系统安全性得到保证。必须规范系统维护操作和权限管理,系统管理员对各系统操作平时应该授予最低权限,重大维护操作在相应文档中列有详细步骤,操作人员必须严格按操作要求、步骤和动作方式进行工作,非本岗位操作人员不得随意上机操作。
2、要制定计算机管理员日常维护责任。要时刻监视系统,要每天按时查看网络运行状态。充分利用我行机房环境监控系统,实现机房智能化管理,并且定期做好各种预防性维护,做好系统资源的性能管理与优化。
3、要有健全的维护操作登记制度。做好系统维护修改情况记录。故障发生时做好跟踪记录,对系统修改前要做好备份。
4、保存完整的历史记录、系统日志文件、及各种原始资料。
5、做好运行工作日志,包括系统运行情况、环境状况、故障维护情况、值班人员交接班登记等。
6、做好系统软件、应用软件及技术资料管理,要有专人负责保管登记。做好数据备份与数据介质的保管工作,保证备份数据的有效性和完整性。
7、加强对病毒防护管理,保证在内网计算机全部安装我行的赛门铁克防病毒软件,并保证病毒定义文件及时更新,防止计算机 病毒的入侵。市分行信息技术人员定期查看防病毒服务器,连入服务器客户端数量与各支行、各部室实际在网计算机是否一致,病毒定义文件是否与服务器同步。
8、目前我行配发的计算机设备都配带了一张操作系统恢复盘,在操作系统出现问题需要重新安装时尽量使用源盘进行安装。防止使用盗版。完善各操作系统的补丁程序,及时在微软官方网站下载最新的操作系统补丁程序。
四、加强计算机设备管理
由于计算机设备物理实体安全属硬件安全,它是保障计算机系统安全运行的物质基础。所以,必须加强计算机设备的安全管理工作。
1、计算机设备投入使用前必须检验。检测项目主要有质量、性能和参数设臵等。
2、加强计算机设备档案管理,建立设备卡片及设备帐登记,内容包括型号、购机日期、使用日期、使用情况及维修情况等,指定专人负责管理。
3、加强计算机设备使用管理,制定行之有效的规章制度,做到有章可循、各负其责、规范操作。
4、积极做好计算机设备维护与维修管理工作。计算机设备应进行分类,定期进行维护、保养及对计算机设备使用情况进行检修,并认真做好记录。
5、加强计算机设备安装环境管理。要保持环境整洁、干净,符合计算机设备用机环境标准,为计算机设备正常运行提供一个良好的运行环境。
五、加强信息技术人员培训
1、要加强系统运行管理和安全控制,人是关键的因素。在旗县支行,一是专业技术人员数量不足,技术力量不强,一旦系统出现故障,一般要请教市分行信息技术人员帮助处理,给业务的正常开展带来不便。二是复合型人才缺少既懂计算机技术又懂银行业务的人员;三是大多数技术骨干缺少定期培训和深造的机会,随着计算机技术突飞猛进的发展,知识更新不及时,很难适应形势发展的需要。
2、要加强人员素质的培训,一是技术人员水平再提高培训;二是业务操作人员提高操作技能培训,通过强化学习和培训,尽快提高人员的整体素质,尤其是要多培养既懂计算机又懂银行业务的复合型人才。从业人员要相对稳定,由于人员的素质高低及人员的稳定程度直接影响计算机系统运行的稳定程度和计算机的使用寿命。要加强工作人员的政治和职业道德教育,防止工作人员利用计算机技术手段作案。
3、加强技术培训与学习,使员工不断了解和掌握信息安全技术和信息安全的重要性。从事业务人员与计算机管理员应具备相适应的计算机知识与信息安全的意识。市分行信息技术部应通过网站等方式开辟信息安全专栏。提高全体员工的安全意识,计算机信息安全涉及多部门,多业务,只有重在预防才能得到有效控制,来确保全行计算机信息系统的安全稳定运行。
随着我行信息化建设迅速发展,安全管理的重要性将日趋突出。我们不但要从基层行抓起,更重要的是管理方面堵塞漏洞,将不安全因素减至最低,防患于未然。
第二篇:信息安全管理
概述
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露
2、分类:实体安全、运行安全、信息安全、管理安全
3、信息安全保障:人员、技术、管理
4、管理活动的五个基本要素:
谁来管:管理主体,回答由谁管的问题;
管什么:管理客体,回答管什么的问题;
怎么管:组织的目的要求,回答如何管的问题;
靠什么管:组织环境或条件,回答在什么情况下管的问题。
管得怎么样:管理能力和效果,回答管理成效问题。
5、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
6、信息安全管理是信息安全保障体系建设的重要组成部分
7、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;
第三篇:信息安全高校行活动致词
信息安全高校行活动致词
经验与激情
同学们、老师们,下午好。
我们这个世界,一直有一项缺憾:有经验的人缺少激情,有激情的人没有经验。而今天呢,有经验的教授和有激情的学生走到了一起,组织了这样一个“信息安全高校行”,从北邮开始,依次走向人大、北理工、清华和北大。然后还要推向全国。这么好的一个活动,我这个当校长的当然应该来祝贺。
大学的特点可以说就是经验与激情的融合。融合在一间间教室,融合在一组组实验,融合在一个个专利,融合在一篇篇论文。经验与激情之所以能在大学里融合,从而弥补这世界的缺憾,是因为大学校园里崇尚学术的自由和平等。
科学和技术的发展需要经验。经验是财富,不仅属于个人,而且属于社会。这也就是人们尊敬师长的缘故。一个大学、一个社会成熟的必要标志是尊重经验,善待学者。
逐年增长的经验,一不留心往往会掩埋激情,让暮气滋生。因此呢,在科学技术前沿冲锋陷阵的总是充满激情,开始积累经验的青年。一个大学、一个社会成功的必要条是爱护激情,关怀青年。
激情的青年人人渴望拥有经验。然而,经验是真才实学,经验靠工作积累,应该懂得,学术态度的浮躁是取得经验最大的障碍。
上个月召开的第六届全国计算机应用联合会议,来稿60篇,录用37篇,这本来应该是很象样的会议,参会者应该大有收获,可惜注册参会人数只有147名,而最后到会宣读论文的仅仅剩下78人。
会议程序委员会主席还告诉我,他甚至接到两个电话,让人哭笑不得。一个要求更改第一作者名字,原因是自己已有职称,拟定的新作者为了提职称需要一篇论文。第二个是说不会来开会,要求会议出具证明,说明论文已被录用并在第几页刊载。
学术界的浮躁,由此可见一斑。如果这样的浮躁学风蔓延,那么还谈什么建设一流大学?还谈什么建设科技强国。要说这学风浮躁根源,有历史的,官本位意识几千年;有社会的,按学历、身份支付薪酬的劳动分配制度;有管理的,把论文数目当作衡量人的标准;有文化的,狭隘的个人功利价值观。当然,我们的教育,也应该承担不可推卸的责任。
我想,一个大学真正的、非自我吹嘘的校风和学风,从她的学生教师参加学术活动、学术会议的表现就可以一目了然。因为在这里,没有应付上级检查的事先布置,没有班主任点名,没有任教师提醒的目光,也没有成绩、考试和学分,这里反映的是真实的校风和学风,是对于科学和技术发展真正起作用的精神、态度和能力。
我今天很高兴,你们学生的协会自发组织参与了这次“信息安全高校行”,有这么多学生、这么多有名教授专家参加,而且还是在周末。你们的协会没有沾染上一点狭隘功利主义的色彩。你们组织的活动纯粹是为了学术、为了技术、为了社会的信息安全。我衷心祝愿“信息安全高校行”成功。也祝愿北邮“团结、勤奋、严谨、创新”的校训精神在你们的协会和你们组织的学术活动的推动下,蔚然成风。
谢谢大家。
第四篇:信息安全管理规定
信息安全管理规定
目 录
1.1.1信息安全管理规定...................................................2
一、总则........................................................2
二、适用范围....................................................2
三、职责........................................................2
四、管理规定....................................................2
五、信息安全风险评估............................................6
六、附则........................................................7 1.1.2.计算机病毒防范管理规定........................................8 1.1.3信息系统管理制度.................................................11
一、业务主管职责...............................................11
二、系统管理员具体职责:.......................................12
三、系统管理员操作管理制度.....................................12
四、系统管理员备份管理制度.....................................13
五、软件管理制度...............................................13
六、数据管理制度...............................................14
七、系统维护管理制度...........................................15
八、档案及数据管理制度.........................................16 1.1.4中心机房管理规定.................................................18
一、机房人员日常行为准则.......................................18
二、机房安全制度...............................................18
三、机房用电安全制度...........................................19
四、机房消防安全制度...........................................19
五、机房硬件设备安全使用制度...................................20
六、软件安全使用制度...........................................21
七、机房资料、文档和数据安全制度...............................22
八、机房财产登记和保护制度.....................................22
九、机房巡检制度...............................................22
信息安全管理规定
1.1.1信息安全管理规定
一、总则
为加强公司管理处计算机信息体系资产安全的保护,保障公司信息化体系连续可靠正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际网管理暂行规定》和相关行政法规,结合公司管理处实际状况,特制订本规定。
二、适用范围
本规定适用于公司管理处所有员工,所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。
三、职责
3.1技术保障部负责本规定的制订和修订。3.2各级部门主管负责本规定在本部门的落实。
3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。
四、管理规定 4.1电子产品资产管理
4.1.1公司所有办公电脑(含笔记本电脑)与相关电子产品属公司资产,任何部门及个人无权侵占、挪为私用。4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配,并发放给对应的使用人员,资产挂靠人有该资产使用权,同时需承担保管义务,任何遗失、人为破坏行为,需按照资产折旧值赔偿。4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具,任何人无权利用其做个人经营或工作无关事宜,一经发现提报人力资源部据公司相关规定处分。4.1.4未经许可,不得擅自使用他人电脑,所有用户需设置5分钟密码屏保,以确保离开后电脑不被他人使用。4.1.5人员离职、调岗时,请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料,接收、重新分配电脑。4.2账号及密码安全管理
4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任,未经上级主管审批,不得将自己的账号及密码告诉其他人,造成损失者,对账户及密码拥有人员酌情处分。
4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责,并定期修改密码;密码需统一登记在册,并及时更新,由技术保障部经理负责,出现重大泄露事件,对部门经理及相关责任人处分。4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码,统一由市场营销部门对应岗位负责。
4.2.4因工作需要,在政府或第三方机构等网站注册的账号、密码,分别由各责任部门自行负责。
4.2.5具有信息系统权限的人员离职、调岗时,必须由技术保障部会签离职、调岗相关单据,以及时处理相关权限。4.3计算机系统安全管理
4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控,特殊岗位因工作需要开通权限,需经申请批准后由技术保障部执行,任何未经批准擅自更改者视情节严重性进行处分。4.3.2未经技术保障部备案许可,严禁擅自安装自带软件,私自安装软件造成的版权纠纷,将由个人承担全部相关法律责任。
4.3.3公司所有办公电脑严禁安装游戏、工作无关软件,技术保障部不定期检查,对并违规行为做通报。4.4网络及应用系统安全管理
4.4.1任何部门和个人,不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动,不得利用国际互联网制作、复制、查阅和传播违法信息,任何利用公司网络所作的违法行为属个人行为,将全部由个人承担相关法律责任,公司将配合相关部门严厉查处。4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的;
4.4.1.2捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动,违者全部由个人承担相关法律责任,并视情节严重性请相关部门追究法律责任。4.4.2.1故意制作、传播计算机病毒等破坏性程序的; 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的;
4.4.2.3其他故意危害公共网络、公司网络安全的行为。4.4.3 电脑IP地址是公司网络管理的最重要基础,公司所有办公电脑(含笔记本电脑)由技术保障部统一分配IP地址,任何部门或个人无权擅自修改IP地址。
4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。
4.4.5不得在公司内部安装、使用网络代理软件,以扰乱网络管理机制。
4.4.6技术保障部需定期检查、通报公司网络使用状况,并对违规者申请处分。4.5信息资料安全管理
4.5.1公司所有信息资料属公司资产,各部门与个人有义务承担本部门或个人信息资料的保密责任,并对所辖机密资料的安全承担连带责任。
4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制,并定期检查、更新。
4.5.3未经批准,不得把本部门机密资料放置在公共网络、内部不受限共享夹、或以其他任何方式发送给受限范围以外的人员;任何有意、无意的泄密行为都是公司严厉禁止的,直至追究法律责任。
4.5.4对于部分有备份安全需求的部门,可申请由技术保障部统一安排部署备份服务器及备份机制。4.6中心机房安全管理
详见《公司管理处中心机房管理规定》。4.7计算机病毒防范
详见《公司管理处计算机病毒防范管理规定》 4.8监控资料安全管理
4.8.1监控资料调阅管理部门为技术保障部,安防监控录像调阅请参照综合管理部相关规定。
五、信息安全风险评估 5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当的内容。
六、附则
6.1本规定由技术保障部负责解释。
1.1.2.计算机病毒防范管理规定
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本制度。
二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
三、任何工作人员不得制作和传播计算机病毒。
四、任何工作人员不得有下列传播计算机病毒的行为: 故意输入计算机病毒,危害计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。
五、预防和控制计算机病毒的安全管理工作,由技术保障部负责实施管理。其主要职责是
制定计算机病毒防治管理制度和技术规程,并检查执行情况; 采取计算机病毒安全技术防治措施;
对计算机信息系统使用人员进行计算机病毒防治教育和培训; 及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录,评估事故损失,保护现场并向公安机关报告。
六、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。
七、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。
八、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
九、通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
十、积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。
十一 现对日常使用计算机做出如下建议 及时安装系统补丁。建议使用系统自带的更新程序进行系统更新,不要使用诸如360安全卫士或qq电脑管家进行更新 安装杀毒软件。可以安装360等免费杀毒软件。
定期扫描系统是否感染有病毒,3天左右一次,可以在下班前或中午吃饭的时候进行全盘病毒查杀。定期更新防病毒软件。
不要乱点击链接和下载软件,目前许多下载网站都带有推广链接,很容易造成误操作.如需要下载软件,请到正规官方网站上下载.不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页.不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征.关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度.安装软件时,切记不要安装其捆绑软件,尤其是部分流氓软件,一旦安装,想要卸载十分麻烦,甚至于需要重装系统才能清除.不要随意执行附件中的可执行文件,一般以.com,.exe.bat作为后缀名 这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于这些可执行程序附件都必须检查,确定无异后才可使用。不要随意打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档,首先要用另存为命令(Save As)保存到本地硬盘,待用病毒查杀软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或 Excel,如有附件中有病毒则会立刻传染;如有是否启用宏的提示,那绝对不要轻易打开,否则极有可能感染上邮件病毒。
不要直接运行附件 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害,或经过扫描之后打开。
邮件设置如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择工具菜单中的选项命令,在安全中设置附件的安全性为高;在其他中按高级选项按钮,按加载项管理器按钮,不选中服务器脚本运行。最后按确定按钮保存设置。
外来U盘、移动硬盘、光盘等最好在装有杀毒软件的电脑上查毒确认无病毒后再打开、执行、拷贝。1.1.3信息系统管理制度
一、业务主管职责
财务、综管、营销、运营等重点业务主管,负责协调本业务范围内信息系统的总体运行工作。具体职责包括:
1、负责本部门信息化岗位的设定和分配,结合本部门情况确定每个岗位的职责;
2、分配每一岗位人员操作权限,以书面形式通知系统管理员;
3、根据本单位的实际情况,总结系统存在的问题,并提出改进的建议;
4、研究本单位的需求,对信息系统提出新需求或升级的请求;
二、系统管理员具体职责:
1、负责系统软件、硬件及数据库的安装与升级;
2、负责系统软件、硬件及数据库所有技术问题,保障系统正常运行;
3、负责服务器的硬软件资源分配,监控网络的运行;
4、负责数据的备份与备份的恢复工作;
5、负责公司用户权限的分配管理工作,做好数据的保密工作;
6、负责组织信息系统的培训工作;
三、系统管理员操作管理制度
1、操作人员(包括专业维护人员)必须严格按照操作权限操作,不得越权操作。每次操作应记录相应的操作日记,日记包括操作时间、执行命令等。
2、操作人员离开系统时,应退出系统或进行系统封锁。
3、管理员每周应检查数据备份情况,每月应将其刻录成光盘。
4、系统管理员变动前必须办理交接手续,经接管人员或监交人员与系统管理员双方签字确认,作为档案存档。
四、系统管理员备份管理制度 具体内容包括:
(1)管辖范围内的服务器地址分布;
(2)网络服务器口令、数据库超级口令、公司信息系统管理员口令;
(3)每年的历史数据备份,本年的所有的数据备份;(4)系统培训资料;(5)系统维护记录本;
(6)所有版本的公司信息系统软件;(7)所有版本的数据库管理系统软件;(8)其他应交接的内容。
(9)对交接内容应进行相应的测试,以确保交接质量。一旦交接,接替人员或监交人员应立即更换所有口令,并开始承担系统管理员的所有工作。
五、软件管理制度
1、信息系统功能改动时,应对其功能改动部分进行认真测试研究,确定新增功能的用法,防止工作的盲目性。
2、公司在组织软件的升级工作时,一般应在同一个会计期间内一次性更换所有在用软件,升级前应通知各用户,并对功能更动部分加以说明。
3、要严格保护所有在用软件的版权,包括网络、数据库、操作系统、软件等。严禁将软件以任何形式出售、转让或赠送给该范围以外的任何单位或个人。
4、各单位要制定具体的防病毒措施。所有来历不明的媒体介质在使用前必须经过病毒检测,对所有在用计算机尤其是 NT 服务器必须定期进行病毒检测。使用网络的单位要严防病毒通过网络传播,办公用计算机不能装入各种游戏软件。
六、数据管理制度
1、信息系统的数据管理是指数据不丢失、不损毁、不向无关人员泄露、不被非法修改,保障数据的安全要从技术和管理两个方面着手,做好安全保密工作。
2、要经常对系统中的数据进行备份,以便在计算机发生故障时可将数据恢复到最近状态。数据备份的目标是防止任何时间发生的硬、软件故障以及人为失误造成的数据损毁,因此原则上要求在发生业务的当天都进行备份。具体备份模式为:
(1)每天在服务器上作一数据备份,(2)每周作一个异地备份,每月制作一份数据光盘;(3)每年年末制作双备份, 存储于不同的地点。
3、对备份的数据应加强管理,防止被非法拷贝或毁坏。
4、采取各种措施来保障上网数据的安全性。要严密控制好数据库及其服务器的口令,控制好各用户的口令。
七、系统维护管理制度
1、系统维护管理是指为保障系统正常运行而进行的对硬件、网络、数据库、操作系统、软件及相关办公自动化软件进行的安装、修正、更新版本、扩展、备份等操作以及对软件应用模式的设计及实施工作。系统的维护管理工作由系统管理员或由系统管理员授权的专业维护人员负责进行。未经系统管理员授权的人员不得进行系统维护操作。
2、未经系统管理员许可,不得在公司信息系统服务器上安装其它硬、软件,不得改变系统的运行环境。
3、系统运行时,应获得充分的维护保障。系统发生影响正常运行的故障时,系统理员应及时给予处理。属于系统优化或不影响正常业务流程的问题,系统管理员应进行合理的预计,提前规划,制定实施方案以确保系统的平稳运行。
4、系统运行中出现故障或出现不明意义的提示时,操作人员应保护现场,及时与系统管理员联系。由于操作人员擅自处理故障而引起的后果由操作人员自己负责。
5、系统管理员在不能直接排除故障并且没有替代解决方案,应请求上一级部门系统管理员或专业维护人员的技术支持。
6、要建立系统管理维护记录本实行系统维护记录制度。对故障的发生时间、表现、解决办法及结果等进行详细的记录,并由维护人员或系统管理员签字。系统管理维护记录本的登记要条理清楚、时间准确,字迹工整。
7、对于两个以上的系统维护管理人员应进行合理的分工,充分发挥系统管理员的作用,不断加强系统维护的技术保障,逐步形成一套有效的系统维护管理体制。
八、档案及数据管理制度
1、公司信息系统档案包括:(1)数据库备份资料 ;(2)软件升级前的数据库备份;
(3)打印输出的经过盖章签字的会计资料;
(4)每年一次的经系统管理员签字的系统管理维护记录本存档;
(5)所有版本的系统、网络、数据库、软件;(6)软件的开发文档、源程序;(7)其他应该存档的资料或数据。
2、打印输出的凭证、报表、帐簿等各种会计资料的保存按财政部《会计档案管理办法》 执行。数据库的备份要永久保留。以胶片、磁、光等介质保存的数据的档案应按照有关规定保存在温湿度适宜、阳光不直射,并且不能被损害的场所。
3、以磁介质存储的数据应定期更换新的介质进行再拷贝。
4、本章未及内容按照财政部《会计档案管理办法》 执行。附件:补丁更新记录台帐、数据备份登记台帐、服务器等设备维护登记表、档案移交登记表的样本。
1.1.4中心机房管理规定
为进一步做好公司信息化管理工作,提高精细化管理水平,降低办公费用消耗,确保公司网络通讯系统的畅通,按照公司《信息安全管理规定》,特制订中心机房管理规定。
本规定适用于中心机房的管理,机房工作人员要认真遵守,并作为日常行为规范。
一、机房人员日常行为准则
1.1必须注意环境卫生。禁止在机房内抽烟、吃食物、随地吐痰,保持机房无尘洁净环境。
1.2机房用品要各归其位,不能随意乱放,不许堆放杂物。注意检查机房的防晒、防水、防潮,维持机房环境通爽,保证机房的适当温度和适度。
1.3中心机房每周清扫一次,物品要摆放整齐,保持安静清洁的工作环境。
二、机房安全制度
2.1禁止带领与机房工作无关的人员进出机房,建立机房准入制度,凡进入机房人员必须得到技术保障部经理允许,并进行登记(格式见《公司管理处机房出入登记表》),由技术保障部人员全程陪同。
2.2未经主管领导批准,禁止将密码、信息外借透露给其它人员,同时有责任对信息保密。对于泄露信息的情况要及时上报,并积极主动采取措施保证机房安全。2.3重点做好机房防火、防水、防潮湿、防干燥、防短路、防断路、防老鼠、防盗、防高温,出现机房盗窃、破门、火警、水浸、110报警等严重事件时,网络信息工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
2.4工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护的状态。
三、机房用电安全制度
3.1机房工作人员应学习常规的用电安全操作知识,了解机房内部的供电、用电设施的操作规程。掌握机房用电应急处理步骤、措施、要领。定期检查供电、用电设备、设施。
3.2机房不得乱拉乱接电线及用电设备。如发现用电安全隐患,应及时采取措施解决,不能解决的必须及时向主管领导汇报。
3.3在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
3.4在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作,启动应急设备,或及时关闭计算机系统。
四、机房消防安全制度
4.1机房管理人员应熟悉机房内部消防安全操作规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。4.2工作人员要保护消防设备不被破坏。如发现消防安全隐患,应及时采取措施解决,不能解决的应及时向相关负责人员提出解决。
4.3最后离开机房的工作人员,应检查消防设备的工作状态消防器材的完好,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房硬件设备安全使用制度
5.1机房人员必须熟知机房内设备的基本安全操作规则。应定期检查、整理硬件物理连接线路,定期检查硬件运作状态。
5.2禁止随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5.3对影响到全公司的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。对重大设备设置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
5.4不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,需要主管领导同意后才能进行。
5.5要注意和落实硬件设备的维护保养措施。
六、软件安全使用制度
6.1必须定期检查软件的运行状况、定期进行数据和软件日志备份。
6.2禁止在工作服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
6.3对会影响到全局的软件更改、调试等操作应发布通知,并且应有充分时间、方案、人员准备,才能进行软件配置的更改。对重大软件配置的更改,应先形成方案文件,经过讨论确定可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
七、机房资料、文档和数据安全制度
7.1资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其他无关人员或向外随意传播。
7.2对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房工作人员代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
7.3重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
八、机房财产登记和保护制度
8.1机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须履行借取和归还登记手续。
8.2机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
8.3未经主管领导同意,不允许向他人外借提供机房设备和物品。
九、机房巡检制度 9.1机房工作人员每日对中心机房按照《机房巡检标准》进行巡检
第五篇:信息安全管理协议书
信息安全管理协议书
甲 方 :
乙 方 :中国电信股份有限公司金华分公司
甲乙双方就乙方为甲方提供网站接入服务经友好协商达成如下协议:
甲方为乙方用户,IP,甲方在乙方接入的网站所从事的业务严格遵守法律、法规、规章及政府部门、行业协会、行业组织的相关规定(包括但不限于:信部电[2005]501号《互联网站管理工作细则》、国务院292号令《互联网信息服务管理办法》),不从事任何违反法规的行为,不在互联网上散布谣言、发布扰乱社会秩序的信息、不发布组织或实施过激行为的信息、对所属的网站加强监管,发现违法的相关内容及时进行制止和清理。
甲方严格按照依据《非经营性互联网备案管理办法》等法律法规履行网站备案手续。承诺提交的所有备案信息真实有效,当备案信息发生变化时会及时提交更新信息。如因未及时更新而导致备案信息不准确,乙方有权依法对接入网站进行关闭处理,如备案信息不真实,将关闭网站并注销备案。
甲方网站内容如涉及新闻、出版、教育、医疗保健、药品和医疗器械、广播电视节目、音频在线视频、电子公告服务、游戏或其他需要相关部门进行专项审批的网站必须到相关部门通过前置审批后再到乙方进行网站报备工作。
乙方妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议,保证信息不泄露,承担对网站主办者提交材料的信息安全保密管理责任。
乙方有权对甲方的网站备案和信息内容进行监管,有权在发现甲方的网站上存在备案问题或非法信息问题时,关停网站或服务器;若因甲方监管不力,未及时进行网站备案或由于服务器上存在非法网站、非法信息导致的一切后果(包括但不限于经济责任、行政责任、法律责任等)由甲方自行承担,与乙方无关。
甲方代表签字:乙方代表签字:
单位盖章:单位盖章:
年月日年月日
点击咨询 