第一篇:信息安全管理
国内外网络管理的信息政策法规差异
信息技术是一把“双刃剑”,它给人们带来各种便利的同时也带来了灾难。网络信息系统是由现实社会的人们创立的,是人类传统信息交流、传播方式的延伸和拓展它与现实社会的信息活动方式既有联系又有区别。因此,对网络信息活动实施社会控制,既是必要的也是可能的,既要借助于现实社会已有的各种规范,又要结自身的特点,依据网络发展的不同阶段,制订符合其发展规律的控制体系,从而推动网络虚拟世界快速健康的发展。信息政策、信息法律的内涵
国家信息政策和信息法规在信息产业的发展、信息环境的调节和信息资源的控制中起着重要的作用。信息政策是国家机关或社会团体根据社会发展需要而制定的,指导、推动、调节、管理信息事业发展的方针、原则和办法。它是依赖国家的各级行政机构来对信息行为进行强制控制和宏观管理的一种手段。信息法律法规对信息工作者和信息利用者具有最强的约束力,它是由国家制定或认可,并依靠国家强制推行的信息行为规范体系,对触犯法律的信息个人或集体,国家将依法予以制裁和惩罚。信息法规的主要内容包括:规定信息社会关系的基本问题;规定信息民主和信息基本人权问题;规定信息技术规则的问题;规定电子计算机软件 使用问题;规定有关信息污染问题等等。信息政策和信息法规作为两种社会规范、两种社会调整手段和社会信息环境管理手段,均承担着各自的职能,对国家信息事业的持续、快速和健康发展有着举足轻重的作用,信息政策是信息法律制定的基础,信息法律的制定往往滞后于信息社会发展的实际情况,一项信息政策经过实践证明在现在和将来一段时间内是正确和有效的,可能就会通过立法程序,以法律的形式被固定下来。信息政策是一种行政手段,它所调整的社会关系要比信息法律、法规广泛得多,而信息法规是一种法律手段,它所调整的一般是在信息活动中,对国家、社会有较大影响的社会关系领域。因此,信息法规是信息政策的升华,科学而合理的信息政策应当受到信息法规的制约。信息政策、法规在网络信息控制中的地位与作用
网络信息活动比传统方式的信息传播、交流具有更大的自由度,但是这种自由是相对的,绝对的自由是不存在的。只有那些掌握网络技术,具有相应教育和文
化水平的人,使自身的信息行为符合网络运行与发展的规律,符合社会的法律、道德规范与发展要求时,才能在网络上获得最大的真正的自由。对网络技术不熟悉的人是不可能获得较大的信息自由的,而利用自身的信息技术优势,进行非
法活动的人,他们追求的绝对的自由也是不存在的。网络信息问题的控制是存在多种方式方法的,我们应从多个层面上去理解和把握,具体而言可分为文化道德层 面的控制,法律层面的控制,信息组织管理层面的控制和信息技术层面的控制。信息评价是网络信息控制的重要手段,通过信息评价,为人们选择思想健康、内容科学、质量可靠的优质信息提供保障。技术因素在网络信息控制的许多方面具有一定的可行性,并且与信息评价、道德规范和法律制度相比,具有一定的控制优势网络技术掌握在不同的人手中,其所起的作用是存在很大差别的。但是,并非所有的问题都能用技术手段来解决。信息技术的使用更多地是从预防的角度考虑的,它的实施还要与网络本身的信息规范和有关法律相结合,才能取得最佳的效果。网 络伦理道德对人们的信息行为具有较强的约束力,它是网络信息控制的有机组成部分,它是协调网络法律不健全和信息技术不足的重要手段。与现实世界的法律相比,网络道德规范涉及的面要更加广泛,它能够约束法律规范所不能、不好涉足或者来不及涉足的大量信息行为。互联网作为人们交流情感,发布、传播信息的场所,自身存在大多数人共同遵守的行为准则,这些行为准则具有自律的性质, 其作用和影响不可忽视。信息伦理道德往往向着法律规制的方向发展,是信息法规制定的基础。信息社会也是法制社会,一切自由的信息行为必须在法律的保障下依法进行,才能使互联网得到健康有序的发展。目前,利用法律的规范性功能来预防和抑制网络信息问题,已成为当今世界的共识。法律规范是从外部,用强制的手段对网络参与者的信息行为进行约束,而网络道德规范主要是从网络成员内部约束人们的信息行为。互联网是一个全球性的市民社会,这一社会有自己的组织形式、价值标准和规则,可以脱离于政府而拥有较大的自治权力。由于不同国家和团体的价值观念存在差异,要形成关于网络的国际公约并非易事。因此,我们只能通过建立和健全国际网络执法机构,建立专门的执法队伍,在各国信息法规的制定中,将地区性原则与国际性原则,一般立法原则与网络社会的特殊性原则,网络的现实性原则与发展性原则结合起来,才能为网络空间的管理营造良好的法制氛围。不同国家信息政策、法规存在的差异
最早的信息法诞生于18世纪的欧洲, 1776年瑞典的《出版自由法》是最早的传统意义的信息法。现代意义的与电子化相联的信息法则兴起于20世纪,主要是欧美等发达国家为适应网络环境下信息活动的需要而制定的。但是,不同国家由于政治制度、法律基础,文化背景、教育水平不同,信息技术的发展状况、网络技术的应用与普及程度存在差异,由此造成信息政策、信息法规和管理制度的差 异.德 国
它是欧洲信息技术最发达的国家,其电子信息和通信服务已涉及该国所有的经济和生活领域。1997年6月该国通过了《信息与通信服务法》,并于1997年8月1日,付诸实施,这是世界上第一部对网络空间的行为实施法律规范的国家专门立法,它确立了一些在电子网络空间最基本的原则,如“自由进入互联网的原则”、“对传播内容分类负责的原则”、“保护公民个人数据的原则”等等。德国政府明确表示,不能让互联网成为传播色情和宣扬新纳粹思想的场所。
英 国
为了保护知识产权,保障儿童身心健康,英国曾经制定颁布过不少法律条例,如《黄色出版法》、《青少年保护法》、《数据库保护法》、《禁止泛用电脑法》等,并根据网络发展的需要修改制定了部分法规,例如, 1994年通过制定《犯罪制裁和公共秩序法》,对1978年制定的《儿童保护法》针对信息时代的需要进行了延伸。1996年9月,英国颁布了第一个网络监管行业性法规《3R安全规则》。所
谓的“3R”分别代表分级认定、举报告发、承担责任。1999年,英国政府又公布了《电子通信法案》的征求意见稿。这一草案的主要目的是为了促进电子商务的发展,并为社会各界树立对电子商务的信心提供法律保证。与此同时,英国广播电视的主管机构———独立电视委员会,依照英国广播法,它有权对互联网上的电视节目以及包含静止或活动图像的广告进行管理,但它没有直接行使对互联网 的管理权利,而是致力于指导和协助网络行业建立一种自我管理的机制。加拿大
为了促进网络产业的快速发展,加拿大出于国家整体发展战略的需要,其广播电信委员会认为网络不在《国家广播法案》的管理权限之内,由传统的广播公司制作的网络广播也同样不在该法案的管理之内,网络产业的发展主要依靠行业内的自我调节,防火墙、加密技术等信息技术的运用以及国家的犯罪条例的实施。美 国
在美国,互联网的飞速发展使原有的诸多法律远远不能适应现实的需要,国会已经和即将制定修改的涉及到互联网的法律达100多种。在美国,其电子媒体,如广播电视和电影较多地受到法律的限制,尤其是不道德和有伤风化的内容是绝对不合法的,会受到有关法律的惩罚;而印刷媒体,如报纸、杂志的出版发行则受到言论自由的保护。现在,对于电子报纸应该定义为印刷媒体还是电子媒体,法律界尚无一致的意见。将“言论自由”及“宪法第一修正案”奉为至高无上的美国,将无线电波认为是公共财产,它们只能承载有限的频道,却面对众多的观众,因而政府
有权对这种有限的资源进行管理。1996年2月8日,美国总统克林顿签署了《1996电信法》,其中的第五部分《传播净化法案》(Communication De-cency Act)是为了保护未成年儿童专门制定的。这项法案受到了父母和老师的欢迎。但大多数的学者和网络从业人员认为这项法案是对宪法第一修正案所保障的言论自由权 的限制,于是向费城法院提出诉讼。1996年12月,费城法院的联邦法官否决了《传播净化法案》。同时,美国众院司法委员会要求,色情邮件须加标注,使用户可以不打开邮件直接将其删除。1998年《儿童网上保护法》经国会批准,并在克林顿签署后成为法律。该法要求商业网站的运营者在允许互联网用户浏览对未成年人有害的内容之前,先使用电子年龄验证系统对互联网用户的年龄进行鉴别。但是, 这条法律从未正式实施过。它一经颁布,就遭到来自美国民权联盟以及包括杂志出版商和书商在内的17个组织和企业的强烈反对。很多商业网络公司对这项法案不置可否,他们认为应该由网络公司保留删除淫秽、仇恨以及任何冒犯性内容的权利。但是,全国广播公司(NBC)、《华尔街日报》、CNN等一些已上网的美国主流新闻媒体表示愿意接受内容评级。在美国图书馆中,安装因特网信息过滤软件,使用户能够安全地利用网络信息资源,尤其是保护少年儿童的身心健康是一个具有争议性的问题。因为因特网信息过滤涉及到有害信息的消除与言论自由保护的双重压力。一种观点认为:“……为了保护我们的家庭和纳税人的权利,我们
不应该让色情信息从电子后门中进入政府资助的图书馆中。”与此相反的观点认为:因特网享有最高级别的宪法保护,在学校或图书馆中安装过滤软件实际上是一种审查,是与宪法保护的言论自由相违背的。有关调查表明,在美国有16·8%的图书馆安装了过滤软件, 83·2%的图书馆没有安装过滤软件。目前,反对图书馆安装过滤软件的力量已经汇聚成一股强大的洪流,他们展开了多方面的工作试 图取消图书馆的因特网过滤政策。
新加坡
1996年7月,新加坡广播管理局颁布了有关管理条例,并宣布对互联网实施分类许可证管理制度,要求提供互联网服务的公司对进入网络的信息内容进行监督,以防止色情和容易引发宗教和政治动荡的信息传播。目的是鼓励人们正当使用互联网,促进互联网的健康发展,确保青少年的成长免受不良信息的干扰。中 国
我国的信息化起步虽然比较晚,传统的信息法律大约自20世纪70年代至90年代相继颁布,如《专利法》、《商标法》、《著作权法》等。但是,我国互联网的法制管理进展较好,目前已颁布了一系列相应的法律、法规,如1994年2月18日颁布的《中华人民共和国计算机信息系统安全保护条例》, 1996年2月1日发布,并于1997年5月20日修正的《中华人民共和国计算机信息网络国际联网管理暂行规定》, 2002年8月1日颁布了《中国互联网网络域名管理办法》等。2000年9月20日公布的《中华人民共和国电信条例》第五章五十七条中规定任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息:
(1)反对宪法所确定的基本原则的;(2)危害国家安全,泄露国家秘密、颠覆国家政权,破坏国家统一的;(3)损害国家荣誉和利益的;(4)煽动民族仇恨、民族歧视,破坏民族团结的;(5)破坏国家宗教政策,宣扬邪教和封建迷信的;(6)散布谣言,扰乱社会秩序,破坏社会稳定的;(7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(8)侮辱或者诽谤他人,侵害他人合法权益的;(9)含有法律的、行政法规禁止的其他内容的。
2000年11月7日,我国发布了《互联网站从事登载新闻业务管理暂行规定》。该规定第十四条指出:互联网站链接镜外新闻网站,登载境外新闻媒体和互联网站
发布的新闻,必须另行报国务院新闻办公室批准。由此表明,对互联网信息的分类管理,在我国既是非常必要的,也是非常严格的。由此可见,由于不同国家的政治、文化背景不同,对网络信息实现社会控制的认识是存在分歧的,具体的管理政策、法规也存在较大的差异,但是大部分国家已认识到对互联网实现有效管理的重要性、必要性和可能性,已经认识到网上不良信息给青少年成长造成的危害,并且不再将网络空间视为一个特殊的无法控制的领域,现实生活中的许多法律只要经过修改完善,同样适用于网络世界。
第二篇:信息安全管理
概述
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露
2、分类:实体安全、运行安全、信息安全、管理安全
3、信息安全保障:人员、技术、管理
4、管理活动的五个基本要素:
谁来管:管理主体,回答由谁管的问题;
管什么:管理客体,回答管什么的问题;
怎么管:组织的目的要求,回答如何管的问题;
靠什么管:组织环境或条件,回答在什么情况下管的问题。
管得怎么样:管理能力和效果,回答管理成效问题。
5、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
6、信息安全管理是信息安全保障体系建设的重要组成部分
7、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;
第三篇:信息安全管理规定
信息安全管理规定
目 录
1.1.1信息安全管理规定...................................................2
一、总则........................................................2
二、适用范围....................................................2
三、职责........................................................2
四、管理规定....................................................2
五、信息安全风险评估............................................6
六、附则........................................................7 1.1.2.计算机病毒防范管理规定........................................8 1.1.3信息系统管理制度.................................................11
一、业务主管职责...............................................11
二、系统管理员具体职责:.......................................12
三、系统管理员操作管理制度.....................................12
四、系统管理员备份管理制度.....................................13
五、软件管理制度...............................................13
六、数据管理制度...............................................14
七、系统维护管理制度...........................................15
八、档案及数据管理制度.........................................16 1.1.4中心机房管理规定.................................................18
一、机房人员日常行为准则.......................................18
二、机房安全制度...............................................18
三、机房用电安全制度...........................................19
四、机房消防安全制度...........................................19
五、机房硬件设备安全使用制度...................................20
六、软件安全使用制度...........................................21
七、机房资料、文档和数据安全制度...............................22
八、机房财产登记和保护制度.....................................22
九、机房巡检制度...............................................22
信息安全管理规定
1.1.1信息安全管理规定
一、总则
为加强公司管理处计算机信息体系资产安全的保护,保障公司信息化体系连续可靠正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际网管理暂行规定》和相关行政法规,结合公司管理处实际状况,特制订本规定。
二、适用范围
本规定适用于公司管理处所有员工,所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。
三、职责
3.1技术保障部负责本规定的制订和修订。3.2各级部门主管负责本规定在本部门的落实。
3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。
四、管理规定 4.1电子产品资产管理
4.1.1公司所有办公电脑(含笔记本电脑)与相关电子产品属公司资产,任何部门及个人无权侵占、挪为私用。4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配,并发放给对应的使用人员,资产挂靠人有该资产使用权,同时需承担保管义务,任何遗失、人为破坏行为,需按照资产折旧值赔偿。4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具,任何人无权利用其做个人经营或工作无关事宜,一经发现提报人力资源部据公司相关规定处分。4.1.4未经许可,不得擅自使用他人电脑,所有用户需设置5分钟密码屏保,以确保离开后电脑不被他人使用。4.1.5人员离职、调岗时,请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料,接收、重新分配电脑。4.2账号及密码安全管理
4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任,未经上级主管审批,不得将自己的账号及密码告诉其他人,造成损失者,对账户及密码拥有人员酌情处分。
4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责,并定期修改密码;密码需统一登记在册,并及时更新,由技术保障部经理负责,出现重大泄露事件,对部门经理及相关责任人处分。4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码,统一由市场营销部门对应岗位负责。
4.2.4因工作需要,在政府或第三方机构等网站注册的账号、密码,分别由各责任部门自行负责。
4.2.5具有信息系统权限的人员离职、调岗时,必须由技术保障部会签离职、调岗相关单据,以及时处理相关权限。4.3计算机系统安全管理
4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控,特殊岗位因工作需要开通权限,需经申请批准后由技术保障部执行,任何未经批准擅自更改者视情节严重性进行处分。4.3.2未经技术保障部备案许可,严禁擅自安装自带软件,私自安装软件造成的版权纠纷,将由个人承担全部相关法律责任。
4.3.3公司所有办公电脑严禁安装游戏、工作无关软件,技术保障部不定期检查,对并违规行为做通报。4.4网络及应用系统安全管理
4.4.1任何部门和个人,不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动,不得利用国际互联网制作、复制、查阅和传播违法信息,任何利用公司网络所作的违法行为属个人行为,将全部由个人承担相关法律责任,公司将配合相关部门严厉查处。4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的;
4.4.1.2捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动,违者全部由个人承担相关法律责任,并视情节严重性请相关部门追究法律责任。4.4.2.1故意制作、传播计算机病毒等破坏性程序的; 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的;
4.4.2.3其他故意危害公共网络、公司网络安全的行为。4.4.3 电脑IP地址是公司网络管理的最重要基础,公司所有办公电脑(含笔记本电脑)由技术保障部统一分配IP地址,任何部门或个人无权擅自修改IP地址。
4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。
4.4.5不得在公司内部安装、使用网络代理软件,以扰乱网络管理机制。
4.4.6技术保障部需定期检查、通报公司网络使用状况,并对违规者申请处分。4.5信息资料安全管理
4.5.1公司所有信息资料属公司资产,各部门与个人有义务承担本部门或个人信息资料的保密责任,并对所辖机密资料的安全承担连带责任。
4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制,并定期检查、更新。
4.5.3未经批准,不得把本部门机密资料放置在公共网络、内部不受限共享夹、或以其他任何方式发送给受限范围以外的人员;任何有意、无意的泄密行为都是公司严厉禁止的,直至追究法律责任。
4.5.4对于部分有备份安全需求的部门,可申请由技术保障部统一安排部署备份服务器及备份机制。4.6中心机房安全管理
详见《公司管理处中心机房管理规定》。4.7计算机病毒防范
详见《公司管理处计算机病毒防范管理规定》 4.8监控资料安全管理
4.8.1监控资料调阅管理部门为技术保障部,安防监控录像调阅请参照综合管理部相关规定。
五、信息安全风险评估 5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当的内容。
六、附则
6.1本规定由技术保障部负责解释。
1.1.2.计算机病毒防范管理规定
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本制度。
二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
三、任何工作人员不得制作和传播计算机病毒。
四、任何工作人员不得有下列传播计算机病毒的行为: 故意输入计算机病毒,危害计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。
五、预防和控制计算机病毒的安全管理工作,由技术保障部负责实施管理。其主要职责是
制定计算机病毒防治管理制度和技术规程,并检查执行情况; 采取计算机病毒安全技术防治措施;
对计算机信息系统使用人员进行计算机病毒防治教育和培训; 及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录,评估事故损失,保护现场并向公安机关报告。
六、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。
七、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。
八、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
九、通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
十、积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。
十一 现对日常使用计算机做出如下建议 及时安装系统补丁。建议使用系统自带的更新程序进行系统更新,不要使用诸如360安全卫士或qq电脑管家进行更新 安装杀毒软件。可以安装360等免费杀毒软件。
定期扫描系统是否感染有病毒,3天左右一次,可以在下班前或中午吃饭的时候进行全盘病毒查杀。定期更新防病毒软件。
不要乱点击链接和下载软件,目前许多下载网站都带有推广链接,很容易造成误操作.如需要下载软件,请到正规官方网站上下载.不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页.不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征.关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度.安装软件时,切记不要安装其捆绑软件,尤其是部分流氓软件,一旦安装,想要卸载十分麻烦,甚至于需要重装系统才能清除.不要随意执行附件中的可执行文件,一般以.com,.exe.bat作为后缀名 这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于这些可执行程序附件都必须检查,确定无异后才可使用。不要随意打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档,首先要用另存为命令(Save As)保存到本地硬盘,待用病毒查杀软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或 Excel,如有附件中有病毒则会立刻传染;如有是否启用宏的提示,那绝对不要轻易打开,否则极有可能感染上邮件病毒。
不要直接运行附件 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害,或经过扫描之后打开。
邮件设置如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择工具菜单中的选项命令,在安全中设置附件的安全性为高;在其他中按高级选项按钮,按加载项管理器按钮,不选中服务器脚本运行。最后按确定按钮保存设置。
外来U盘、移动硬盘、光盘等最好在装有杀毒软件的电脑上查毒确认无病毒后再打开、执行、拷贝。1.1.3信息系统管理制度
一、业务主管职责
财务、综管、营销、运营等重点业务主管,负责协调本业务范围内信息系统的总体运行工作。具体职责包括:
1、负责本部门信息化岗位的设定和分配,结合本部门情况确定每个岗位的职责;
2、分配每一岗位人员操作权限,以书面形式通知系统管理员;
3、根据本单位的实际情况,总结系统存在的问题,并提出改进的建议;
4、研究本单位的需求,对信息系统提出新需求或升级的请求;
二、系统管理员具体职责:
1、负责系统软件、硬件及数据库的安装与升级;
2、负责系统软件、硬件及数据库所有技术问题,保障系统正常运行;
3、负责服务器的硬软件资源分配,监控网络的运行;
4、负责数据的备份与备份的恢复工作;
5、负责公司用户权限的分配管理工作,做好数据的保密工作;
6、负责组织信息系统的培训工作;
三、系统管理员操作管理制度
1、操作人员(包括专业维护人员)必须严格按照操作权限操作,不得越权操作。每次操作应记录相应的操作日记,日记包括操作时间、执行命令等。
2、操作人员离开系统时,应退出系统或进行系统封锁。
3、管理员每周应检查数据备份情况,每月应将其刻录成光盘。
4、系统管理员变动前必须办理交接手续,经接管人员或监交人员与系统管理员双方签字确认,作为档案存档。
四、系统管理员备份管理制度 具体内容包括:
(1)管辖范围内的服务器地址分布;
(2)网络服务器口令、数据库超级口令、公司信息系统管理员口令;
(3)每年的历史数据备份,本年的所有的数据备份;(4)系统培训资料;(5)系统维护记录本;
(6)所有版本的公司信息系统软件;(7)所有版本的数据库管理系统软件;(8)其他应交接的内容。
(9)对交接内容应进行相应的测试,以确保交接质量。一旦交接,接替人员或监交人员应立即更换所有口令,并开始承担系统管理员的所有工作。
五、软件管理制度
1、信息系统功能改动时,应对其功能改动部分进行认真测试研究,确定新增功能的用法,防止工作的盲目性。
2、公司在组织软件的升级工作时,一般应在同一个会计期间内一次性更换所有在用软件,升级前应通知各用户,并对功能更动部分加以说明。
3、要严格保护所有在用软件的版权,包括网络、数据库、操作系统、软件等。严禁将软件以任何形式出售、转让或赠送给该范围以外的任何单位或个人。
4、各单位要制定具体的防病毒措施。所有来历不明的媒体介质在使用前必须经过病毒检测,对所有在用计算机尤其是 NT 服务器必须定期进行病毒检测。使用网络的单位要严防病毒通过网络传播,办公用计算机不能装入各种游戏软件。
六、数据管理制度
1、信息系统的数据管理是指数据不丢失、不损毁、不向无关人员泄露、不被非法修改,保障数据的安全要从技术和管理两个方面着手,做好安全保密工作。
2、要经常对系统中的数据进行备份,以便在计算机发生故障时可将数据恢复到最近状态。数据备份的目标是防止任何时间发生的硬、软件故障以及人为失误造成的数据损毁,因此原则上要求在发生业务的当天都进行备份。具体备份模式为:
(1)每天在服务器上作一数据备份,(2)每周作一个异地备份,每月制作一份数据光盘;(3)每年年末制作双备份, 存储于不同的地点。
3、对备份的数据应加强管理,防止被非法拷贝或毁坏。
4、采取各种措施来保障上网数据的安全性。要严密控制好数据库及其服务器的口令,控制好各用户的口令。
七、系统维护管理制度
1、系统维护管理是指为保障系统正常运行而进行的对硬件、网络、数据库、操作系统、软件及相关办公自动化软件进行的安装、修正、更新版本、扩展、备份等操作以及对软件应用模式的设计及实施工作。系统的维护管理工作由系统管理员或由系统管理员授权的专业维护人员负责进行。未经系统管理员授权的人员不得进行系统维护操作。
2、未经系统管理员许可,不得在公司信息系统服务器上安装其它硬、软件,不得改变系统的运行环境。
3、系统运行时,应获得充分的维护保障。系统发生影响正常运行的故障时,系统理员应及时给予处理。属于系统优化或不影响正常业务流程的问题,系统管理员应进行合理的预计,提前规划,制定实施方案以确保系统的平稳运行。
4、系统运行中出现故障或出现不明意义的提示时,操作人员应保护现场,及时与系统管理员联系。由于操作人员擅自处理故障而引起的后果由操作人员自己负责。
5、系统管理员在不能直接排除故障并且没有替代解决方案,应请求上一级部门系统管理员或专业维护人员的技术支持。
6、要建立系统管理维护记录本实行系统维护记录制度。对故障的发生时间、表现、解决办法及结果等进行详细的记录,并由维护人员或系统管理员签字。系统管理维护记录本的登记要条理清楚、时间准确,字迹工整。
7、对于两个以上的系统维护管理人员应进行合理的分工,充分发挥系统管理员的作用,不断加强系统维护的技术保障,逐步形成一套有效的系统维护管理体制。
八、档案及数据管理制度
1、公司信息系统档案包括:(1)数据库备份资料 ;(2)软件升级前的数据库备份;
(3)打印输出的经过盖章签字的会计资料;
(4)每年一次的经系统管理员签字的系统管理维护记录本存档;
(5)所有版本的系统、网络、数据库、软件;(6)软件的开发文档、源程序;(7)其他应该存档的资料或数据。
2、打印输出的凭证、报表、帐簿等各种会计资料的保存按财政部《会计档案管理办法》 执行。数据库的备份要永久保留。以胶片、磁、光等介质保存的数据的档案应按照有关规定保存在温湿度适宜、阳光不直射,并且不能被损害的场所。
3、以磁介质存储的数据应定期更换新的介质进行再拷贝。
4、本章未及内容按照财政部《会计档案管理办法》 执行。附件:补丁更新记录台帐、数据备份登记台帐、服务器等设备维护登记表、档案移交登记表的样本。
1.1.4中心机房管理规定
为进一步做好公司信息化管理工作,提高精细化管理水平,降低办公费用消耗,确保公司网络通讯系统的畅通,按照公司《信息安全管理规定》,特制订中心机房管理规定。
本规定适用于中心机房的管理,机房工作人员要认真遵守,并作为日常行为规范。
一、机房人员日常行为准则
1.1必须注意环境卫生。禁止在机房内抽烟、吃食物、随地吐痰,保持机房无尘洁净环境。
1.2机房用品要各归其位,不能随意乱放,不许堆放杂物。注意检查机房的防晒、防水、防潮,维持机房环境通爽,保证机房的适当温度和适度。
1.3中心机房每周清扫一次,物品要摆放整齐,保持安静清洁的工作环境。
二、机房安全制度
2.1禁止带领与机房工作无关的人员进出机房,建立机房准入制度,凡进入机房人员必须得到技术保障部经理允许,并进行登记(格式见《公司管理处机房出入登记表》),由技术保障部人员全程陪同。
2.2未经主管领导批准,禁止将密码、信息外借透露给其它人员,同时有责任对信息保密。对于泄露信息的情况要及时上报,并积极主动采取措施保证机房安全。2.3重点做好机房防火、防水、防潮湿、防干燥、防短路、防断路、防老鼠、防盗、防高温,出现机房盗窃、破门、火警、水浸、110报警等严重事件时,网络信息工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
2.4工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护的状态。
三、机房用电安全制度
3.1机房工作人员应学习常规的用电安全操作知识,了解机房内部的供电、用电设施的操作规程。掌握机房用电应急处理步骤、措施、要领。定期检查供电、用电设备、设施。
3.2机房不得乱拉乱接电线及用电设备。如发现用电安全隐患,应及时采取措施解决,不能解决的必须及时向主管领导汇报。
3.3在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
3.4在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作,启动应急设备,或及时关闭计算机系统。
四、机房消防安全制度
4.1机房管理人员应熟悉机房内部消防安全操作规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。4.2工作人员要保护消防设备不被破坏。如发现消防安全隐患,应及时采取措施解决,不能解决的应及时向相关负责人员提出解决。
4.3最后离开机房的工作人员,应检查消防设备的工作状态消防器材的完好,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房硬件设备安全使用制度
5.1机房人员必须熟知机房内设备的基本安全操作规则。应定期检查、整理硬件物理连接线路,定期检查硬件运作状态。
5.2禁止随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5.3对影响到全公司的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。对重大设备设置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
5.4不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,需要主管领导同意后才能进行。
5.5要注意和落实硬件设备的维护保养措施。
六、软件安全使用制度
6.1必须定期检查软件的运行状况、定期进行数据和软件日志备份。
6.2禁止在工作服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
6.3对会影响到全局的软件更改、调试等操作应发布通知,并且应有充分时间、方案、人员准备,才能进行软件配置的更改。对重大软件配置的更改,应先形成方案文件,经过讨论确定可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
七、机房资料、文档和数据安全制度
7.1资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其他无关人员或向外随意传播。
7.2对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房工作人员代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
7.3重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
八、机房财产登记和保护制度
8.1机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须履行借取和归还登记手续。
8.2机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
8.3未经主管领导同意,不允许向他人外借提供机房设备和物品。
九、机房巡检制度 9.1机房工作人员每日对中心机房按照《机房巡检标准》进行巡检
第四篇:信息安全管理协议书
信息安全管理协议书
甲 方 :
乙 方 :中国电信股份有限公司金华分公司
甲乙双方就乙方为甲方提供网站接入服务经友好协商达成如下协议:
甲方为乙方用户,IP,甲方在乙方接入的网站所从事的业务严格遵守法律、法规、规章及政府部门、行业协会、行业组织的相关规定(包括但不限于:信部电[2005]501号《互联网站管理工作细则》、国务院292号令《互联网信息服务管理办法》),不从事任何违反法规的行为,不在互联网上散布谣言、发布扰乱社会秩序的信息、不发布组织或实施过激行为的信息、对所属的网站加强监管,发现违法的相关内容及时进行制止和清理。
甲方严格按照依据《非经营性互联网备案管理办法》等法律法规履行网站备案手续。承诺提交的所有备案信息真实有效,当备案信息发生变化时会及时提交更新信息。如因未及时更新而导致备案信息不准确,乙方有权依法对接入网站进行关闭处理,如备案信息不真实,将关闭网站并注销备案。
甲方网站内容如涉及新闻、出版、教育、医疗保健、药品和医疗器械、广播电视节目、音频在线视频、电子公告服务、游戏或其他需要相关部门进行专项审批的网站必须到相关部门通过前置审批后再到乙方进行网站报备工作。
乙方妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议,保证信息不泄露,承担对网站主办者提交材料的信息安全保密管理责任。
乙方有权对甲方的网站备案和信息内容进行监管,有权在发现甲方的网站上存在备案问题或非法信息问题时,关停网站或服务器;若因甲方监管不力,未及时进行网站备案或由于服务器上存在非法网站、非法信息导致的一切后果(包括但不限于经济责任、行政责任、法律责任等)由甲方自行承担,与乙方无关。
甲方代表签字:乙方代表签字:
单位盖章:单位盖章:
年月日年月日
第五篇:信息安全管理协议书
信息安全管理协议书
根据中华人民共和国工业和信息化部、公安部等部委关于加强在公共信息服务中传播信息管理的有关规定及国家有关部门的相关精神,用户应自觉遵守《计算机信息网络国际联网安全保护管理办法》、《非经营性互联网信息备案管理办法》、《关于切实开展互联网站清理整顿工作的通知》(信部电〔2005〕92号)、《关于加强互联网站备案管理的工作方案》(工信部电管【2009】188号)、《中华人民共和国电信条例》、工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行){工信部电管[2010]64号}文件及其它有关法律、法规,不得从事任何违法违规行为,应严格履行国家行业管理和信息安全管理部门的各项规定,做到证照齐全、手续完备、服从监管。
一、为了保证信息安全,所有互联网用户必须遵守国家公共信息服务的有关规定:
1.不得利用国际联网制作、复制和传播下列信息:
1)
煽动抗拒、破坏宪法和法律、行政法规实施的;
2)
煽动颠覆国家主权,推翻社会主义制度的;
3)
煽动分裂国家、破坏国家统一的;
4)
煽动民族仇恨、民族歧视,破坏民族团结的;
5)
捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
6)
宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖犯罪的;
7)
公然侮辱他人或者捏造事实诽谤他人的;
8)
损害国家机关信誉的;
9)
其它违反宪法和法律、行政法规的。
2.根据不得有悖社会公德、损害青少年身心健康的标准,集中对以下十三个方面的低俗内容在本公司网站内进行核查清理:
1)
表现或隐晦表现性行为、令人产生性联想、具有挑逗性或者污辱性的内容;
2)
对人体性部位的直接暴露和描写;
3)
对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的语言;
4)
对性部位描述、暴露,或者只用很小遮盖物的内容;
5)
全身或者隐私部位未着衣物,仅用肢体掩盖隐私部位的内容;
6)
带有侵犯个人隐私性质的走光、偷拍、漏点等内容;
7)
以挑逗性标题吸引点击的;
8)
相关部门禁止传播的色情、低俗小说,音视频内容,包括一些电影的删节片断;
9)
一夜情、换妻、SM等不正当交友信息;
10)
情色动漫;
11)
宣扬血腥暴力、恶意谩骂、侮辱他人等内容;
12)
非法性用品广告和性病治疗广告;
13)
未经他人允许或利用“人肉搜索”恶意传播他人隐私信息。
3.根据国务院令292号《互联网信息服务管理办法》的规定,国家对经营性互联网信息服务实行许可制度(即电信增值业务经营许可证,可简称ICP证);未取得许可或者未履行备案手续的,不得从事互联网信息服务。
1)所有从事网站服务的单位,必须遵守“先备案,后开通网站”。根据国家相关文件要求,所有互联网网站必须在工信部备案网站上(www.xiexiebang.com)取得备案编号。用户应保证所有托管域名已备案。未备案网站不得接入互联网。
2)从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,按照国家有关规定提出专项申请或者专项备案,未得到相关部门批复,不得擅自开启电子公告服务。
3)拟从事新闻、出版、教育、医疗保健、药品和医疗器械、文化、广播电影电视节目等互联网信息服务,根据法律、行政法规以及国家有关规定应经有关主管部门审核同意的,在履行备案手续时,还应向其住所所在地省通信管理局提交相关主管部门审核同意的文件。
4.用户应当加强日常管理,通过技术手段和人工相结合的方法,检查本单位是否存在网站未备案现象,并及时报光环新网进行备案处理。
5.根据工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行){工信部电管[2010]64号}文件,网站主办者承诺:协助接入服务单位建立网站主办者资料档案,妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议。上述资料至少留存5年以上,以备通信行业主管部门依法进行检查,网站主办者应提交真实信息并对其真实性负责。
6.除上述法律法规外,网站主办者还承诺将遵守各项相关法律法规,配合相关机构与部门做好互联网管理工作.二、根据中华人民共和国工业和信息化部令第5号《电信业务经营许可管理办法》,互联网用户必须遵守以下规定:
1.对于由光环新网分配的IP地址,各互联网单位未经光环新网许可,不得将IP转租给其他单位或个人使用。同时,IP使用单位必须按照网安部门工信部的相关要求做好ICP/IP登记及备案手续,并确保使用的IP地址的落地使用人基本信息,否则光环新网可单方面终止与此客户的合同且不构成违约。
2.严禁盗用未分配给用户的IP地址。
3.除提供正常服务外,严禁使用一切手段从事危害网络运行和侵犯其他用户利益的黑客行为。
三、本协议书构成北京光环新网科技股份有限公司与互联网接入用户所定协议的不可分割之组成部分,具有同等法律效力。
四、对于违反上述规定的用户,将接受相关部门规定处罚;同时,北京光环新网科技股份有限公司有权启动相应的处罚机制,并暂停直至终止提供网络服务,且不构成违约责任。
五、我作为互联网接入用户,已认真阅读了责任书的全部内容,并同意遵守其所有规定
网站负责人签字:
单
位
盖
章
:
日期:
****年**月**日
点击咨询 