第一篇:计算机信息系统涉密管理办法
计算机信息系统涉密管理办法
第一章 总 则
第一条 为保护农村商业银行股份有限公司(以下简称“本行”)计算机网络系统的安全,根据《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》等法律、法规制订本办法。
第二条 本办法所称的计算机信息系统,是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的,按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 概念释义:
(一)计算机信息系统安全,是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护,不因自然的和人为的原因而遭到破坏、更改和丢失,以保证计算机信息系统能连续正常运行。
(二)计算机信息系统保密,是指对涉及本行商密的包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定。
(三)计算机信息系统的安全保密,是指保障计算机、数据信息网络及其相关的和配套的设备、设施的安全,保障运行环境(机房)的安全,保障信息的安全,保障计算机和网络功能的正常发挥,防止工作或政治因素造成的失密、泄密,防止人为或自然灾害等造成的破坏,以及防止利用计算机犯罪等。
第四条
本办法适用于支行(部)的业务网、办公网、互连网等三大计算机网络系统涉密工作的管理。
第二章 组织管理及职责
第五条 本行成立计算机网络系统保密领导小组,由行长任组长,分管副行长为副组长、各支行(部)负责人为小组成员,信息科技部负责保密领导小组的日常检查工作。
(一)保密领导领导小组定期向本行领导报告安全保密工作情况;
(二)保密领导领导小组督促本部门安全保密措施的贯彻执行;
(三)小组成员负责本部门安全保密检查;进行安全保密教育。第七条 对涉密信息需要经计算机系统采集、加工、存储、处理、输出的,由信息的生成、拥有、管理、提供部门向总行保密领导小组进行申报,经总行保密领导小组核定并签署意见后书面通知相关部门执行。
第八条
总行保密领导小组不定期组织开展本行涉密计算机信息安全检查,对检查中发现的问题将及时予以纠正,对严重违反涉密规定,造成后果的,要进行通报,并按有关规定,追究领导责任,严肃处理。
第三章 计算机及网络系统
第九条 设备选型、购置须经充分论证,做好验收,对密钥、密码、参数等信息应做好接交保管,网络设备要特别关注其保密性能。
第十条
建立常规硬件系统维护管理制度,保持维护计算机和网络设备、工具和资料处于良好状态。
第十一条 各级操作人员必须进行必要的安全保密培训,在职责范围内严格按相关操作规程进行操作。
第十二条 应用系统在设计上严格控制涉密文件信息查询、检索的人员范围,严格管理用户使用权限。系统软硬件一经安装、调试、正式运行,各支行(部)未经科技部门许可,不得自行对其更改配置。
第四章 介质、资料的管理
第十三条
应用系统使用、产生的介质(磁性存储介质、电子存储介质、光存储介质等)或资料(纸质文档、电子文档、程序等)要按其重要性进行分类,对存放有关键或重要数据的介质和资料,应复制必要的份数,并分别存放在不同的安全地方,建立严格的保密保管制度。
第十四条 保留在机房内的介质或资料,应为系统有效运行所必需的最少数量,除此之外,不应保留在机房内。
第十五条 存放介质、资料的库房,必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。
第十六条 介质(资料)库,应设专人负责登记保管,未经批准,不得向第三方提供。
第十七条 系统内有关人员在使用介质(资料)期间,应严格按国家相关保密规定进行控制,不得转借或复制,需要使用或复制的须经相关领导批准。
第十八条
库房保管人对所有介质(资料)应定期检查,根据介质的安全保存期限,及时更新复制。损坏、废弃或过期的介质(资料)应由专人负责处理,秘密级以上的介质(资料)在超过保密期或废弃不用时,要及时销毁。
第五章 安全保密管理
第十九条
计算机信息系统的建设和应用,应当遵守国家有关法律、行政法规和本行其它有关规定。
第二十条 计算机机房、办公、防雷、消防、通讯及供配电设施应当符合国家标准和国家有关规定。在上述设施附近施工,不得危害计算机网络系统的安全。
第二十一条 严禁任何涉及支行(部)机密的涉密计算机信息系统直接或间接地与国际互联网或其他公共信息网络相连接,必须实行内联网与互联网严格物理隔离。所有与互联网连接的计算机必须使用专用的上网计算机或采用隔离措施的计算机,上网计算机中不得有涉及本机构保密信息的内容。
第二十二条 凡接入互联网的单位,要实行保密领导责任制,各部门负责人是本部门保密工作的第一责任人,必须指定专人负责本部门上网信息的保密监督检查,确保涉密信息的安全。
第二十三条 要求接入国际互联网的计算机,由使用部门提出申请,经科技部门按规定审核后,报分管领导审批。互联网实行专网管理,由信息科技部统一出口管理,并向通信运营商提出申请安装,严格控制各支行(部)自行申请安装。互联网申请安装必须报市公安局网络监察大队备案。为控制源头,加强管理,支行(部)大楼实行单一互联网专线,由信息科技部负责安全措施落实,各部门不得自行通过电话或其他方式上互联网,以防止通过互联网发生泄密事件。
第二十四条 对计算机信息系统中发生的案件,按规定及时向本行相关部门报告。
第二十五条 上网信息的保密管理坚持“谁上网,谁负责”的原则。凡向互联网发布涉密信息,必须经过总行保密领导小组授权总行办公室审查批准。第二十六条
本行员工必须接受保密安全教育,严格遵守保密纪律。在开展技能培训的同时,必须把保密教育作为技能培训的重要内容之一。
第二十七条 本行与外单位因业务关系进行网络互联时,必须在双方设置硬件防火墙,并通过中间服务器访问我行数据,与关联单位签定的协议中,必须含有保密条款。关联单位必须遵守我行有关保密规定,不得泄露我行重要的保密信息。
第二十八条 总行保密领导小组不定期组织开展本行涉密计算机信息安全检查,对检查中发现的问题将及时予以纠正,对严重违反涉密规定,造成后果的,要进行通报,并按有关规定,追究领导责任,严肃处理。
第六章 人员内控管理
第二十九条 人员管理。
本行员工一旦发现涉密信息泄露或可能发生泄露的情况时,应立即向保密领导小组报告,并采取相应的保护措施。
第三十条 任何人不得擅自处理或破坏发生事故的涉密计算机信息系统现场,必须及时通知总行保密领导小组,经保密领导小组授权,信息科技部进行技术分析、取证,并及时做好相应的登记备案工作。
第三十一条 泄密事故相关人员应根据责任和损失大小承担相关事故责任,给本行造成重大损失的将被依法追究责任,情节严重的将送交司法机关处理。
第三十二条
人员审查。
人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员,必须按机要人员的条件进行审查。
第三十三条
关键岗位人选。
对计算机信息系统的关键岗位人选,如安全负责人、系统管理员等,不仅需要进行严格的政审,还要考核其业务能力,以保证这部分人员可信可靠,能胜任本职工作。关键岗位人员要实行定期强制休假制度。
第三十四条
人员培训。
计算机信息系统上岗的所有工作人员,均需由有关部门组织上岗培训,包括计算机及网络操作、维护培训、应用软件操作培训、计算机网络系统安全课程及保密教育培训,经培训合格的人员持证上岗。
第三十五条 人员考核。
人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的应追究其法律责任。
第三十六条
签订保密协议。
对于所有进入计算机网络系统工作的人员,均应签订保密契约,承诺其对系统应尽的安全保密义务,保证在岗工作期间和离岗后均不得违反保密契约,泄漏系统秘密。对违反保密契约的,应有惩处条款。对接触机密信息的人员,应规定在离岗后的一段时期内不得离境。
第三十七条 人员调离。
对调离人员,特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续。进行调离谈话,承诺其调离后的保密义务,交还所有钥匙及证件,退还全部技术手册、软件及有关资料。更换系统口令和用户名。自调离决定通知之日起,必须立即进行上述工作,不得拖延。
第七章 操作安全管理
第三十八条 系统操作安全管理目标。
系统操作是指对计算机信息系统开发、操作、维护、系统管理等人员的行为或活动。计算机信息系统操作安全管理的目标是:
(一)对系统管理及系统操作均应进行有效的监督或监控;
(二)所有接触系统的人员均应承担与其工作性质相应的安全责任。
第三十九条 计算机操作人员分类。
对计算机信息系统的操作人员,应根据计算机信息系统有限职责、有限使用授权原则进行分类。
(一)营业网点操作员、管理人员。
(二)事后监督系统操作员、管理人员。
(三)办公自动化系统操作、管理人员。
(四)网络及硬件维护人员。
(五)系统运行维护人员。
(六)中心系统管理人员。
(七)安全管理人员。
第四十条 系统操作控制管理。
(一)应按照分工负责、互相制约的原则制定各类系统操作人员的职责,职责不允许交叉覆盖。
(二)各类人员在履行职责时要按规定行事,不得从事超越自己职责以外的任何操作。
(三)在对生产系统和监督系统进行系统维护、恢复、强行更改数据时,至少应有两名操作人员在场、并进行详细的登记及签名。
(四)系统检查人员、安全管理人员有权对生产系统进行监督与核查,但该过程必须履行必要的手续和按照一定的程序进行。
第八章 安全保密监督
第四十一条 科技部门对计算机信息系统安全保密工作,行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保密工作;
(二)检查危害计算机信息系统安全的违规事件;
(三)履行计算机信息系统安全保密工作的其它监督职责。
第四十二条 科技部门发现影响计算机信息系统安全保密的隐患时,应当及时通知本行保密领导小组采取保密保护措施,在紧急情况下,有权直接先采取必要的措施,然后再向领导报告,遇有重大问题,可以要求召集计算机保密领导小组成员会议商议对策。
第九章 泄密处理
第四十三条 如发生涉密计算机信息泄密事故,不得隐瞒,应立即向保密领导小组报告,并请求信息科技部给予技术支持;信息科技部将根据保密领导小组的要求,采取有效的技术措施,避免泄密进一步扩大。
第四十四条 本行员工一旦发现涉密信息泄露或可能发生泄露的情况时,应立即向保密领导小组报告,并采取相应的保护措施。
第四十五条 任何人不得擅自处理或破坏发生事故的涉密计算机信息系统现场,必须及时通知总行保密领导小组,经保密领导小组授权,信息科技部进行技术分析、取证,并及时做好相应的登记备案工作。
第四十六条 泄密事故相关人员应根据责任和损失大小承担相关事故责任,给本行造成重大损失的将被依法追究责任,情节严重的将送交司法机关处理。
第四十七条 第四十八条
第十章 附则
本办法由农村商业银行股份有限公司负责解释。本办法自发布之日起执行。
第二篇:涉密计算机及信息系统安全策略
涉密计算机及信息系统安全策略文件 概述
涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
本策略文件主要内容包括:物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。2 适用范围
2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。3 目标
制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。4 组织 4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; 审查、批准信息安全策略和岗位职责; 审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
4.2信息安全管理部门具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等; 提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
主动采取部门内的信息安全措施,如安全意识培训及教育等; 配合执行新系统或服务的特殊信息安全措施; 审查对信息安全策略的遵循性; 配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。分层管理与控制
5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
5.2 涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
5.3 内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。
5.4 互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理 2 措施,同样在信息安全防护上进行安全考虑。
5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
物理安全策略
6.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
使用信息系统资源故意从事影响他人工作和生活的行为。
工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
工作人员使用信息系统服务来参与任何政治或宗教活动。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。6.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
6.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订计算机及信息系统保密协议。6.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
7.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
7.2设备安全
对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括:
设备应该放置在合适的位置或加强保护,将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。
对涉密信息或关键业务过程的设备应该进行保护,以免受电源故障或其他电力异常的损害。
对计算机和设备环境应该进行监控,必要的话要检查环境的影响因素,如温度和湿度是否超过正常界限。
对设备应该按照生产商的说明进行有序地维护。 安全规程和控制措施应该覆盖该设备的安全性要求。 设备包括存储介质在废弃使用之前,应该删除其上面的数据。7.3物理访问控制
信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 4 公场所、布线室、机房和计算基础设施。
7.4建筑和环境的安全管理
为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
7.5保密室、计算机房访问记录管理
保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
8计算机和网络运行管理策略
计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。
8.1操作规程和职责
应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:
数据文件处理规程,包括验证网络传输的数据;
对所有计划好的系统开发、维护和测试工作的变更管理规程; 为意外事件准备的错误处理和意外事件处理规程;
问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); 事故管理规程; 为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持合同。8.2操作变更控制
对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
8.3介质的处理和安全性
应该对计算机介质进行控制,如果必要的话需要进行物理保护: 可移动的计算机介质应该受控;
应该制定并遵守处理包含机密或关键数据的介质的规程; 与计算相关的介质应该在不再需要时被妥善废弃。8.4鉴别和网络安全
鉴别和网络安全包括以下方面:
网络访问控制应包括对人员的识别和鉴定;
用户连接到网络的能力应受控,以支持业务应用的访问策略需求; 专门的测试和监控设备应被安全保存,使用时要进行严格控制; 通过网络监控设备访问网络应受到限制并进行适当授权; 应配备专门设备自动检查所有网络数据传输是否完整和正确; 应评估和说明使用外部网络服务所带来的安全风险; 根据不同的用户和不同的网络服务进行网络访问控制; 对IP地址进行合理的分配; 关闭或屏蔽所有不需要的网络服务; 隐藏真实的网络拓扑结构;
采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则或采用动态口令等方式,保障用户登录和口令的安全;
应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录 6 节点,并且进行完整的访问审计;
严格设置对重要服务器、网络设备的访问权限; 严格控制可以对重要服务器、网络设备进行访问的人员;
保证重要设备的物理安全性,严格控制可以物理接触重要设备的人员,并且进行登记;
对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后,必须手工锁屏;
严格限制进行远程访问的方式、用户和可以使用的网络资源; 接受远程访问的服务器应该划分在一个独立的网络安全区域; 安全隔离措施必须满足国家、行业的相关政策法规。
个人终端用户(包括个人计算机)的鉴别,以及连接到所有办公自动化网络和服务的控制职责,由信息安全管理部门决定。
8.5操作人员日志
操作人员应保留日志记录。根据需要,日志记录应包括: 系统及应用启动和结束时间; 系统及应用错误和采取的纠正措施; 所处理的数据文件和计算机输出; 操作日志建立和维护的人员名单。8.6错误日志记录
对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。
8.7网络安全管理策略
网络安全管理的目标是保证网络信息安全,确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全,保障连接的服务的有效性,避免非法访问。应该注意以下内容:
应将网络的操作职责和计算机的操作职责分离;
制定远程设备(包括用户区域的设备)的管理职责和程序;
应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性,并保护连接的系统,采取控制措施维护网络服务和所连接的计算机的可用性;
信息安全管理活动应与技术控制措施协调一致,优化业务服务能力; 使用远程维护协议时,要充分考虑安全性。8.8电子邮件安全策略
计算机和信息系统应制定有关使用电子邮件的策略,包括: 对电子邮件的攻击,例如病毒、拦截;
必要时,使用相关技术保护电子邮件的机密性、完整性和不可抵赖。8.9病毒防范策略
病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:
控制病毒入侵途径; 安装可靠的防病毒软件; 对系统进行实时监测和过滤; 定期杀毒; 及时更新病毒库; 及时上报; 详细记录。
防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。
内部工作人员因为上不安全的网站下载文件或其他方式导致中毒,造成的后果由其本人负责。
8.10备份与恢复策略
定义计算机及信息系统备份与恢复应该采用的基本措施: 建立有效的备份与恢复机制; 定期检测自动备份系统是否正常工作;
明确备份的操作人员职责、工作流程和工作审批制度;
建立完善的备份工作操作技术文档;
明确恢复的操作人员职责、工作流程和工作审批制度; 建立完善的恢复工作操作技术文档; 针对建立的备份与恢复机制进行演习; 对备份的类型和恢复的方式进行明确的定义; 妥善保管备份介质。8.11加密策略
对于应用系统安全需求分析中要求采用加密措施,或相关法规中要求采用加密措施的处理,一定要满足要求。
采用加密技术或选用加密产品,要求符合国家有关政策或行业规范的要求。选用的加密机制与密码算法应符合国家密码政策,密钥强度符合国家规定。对于敏感或重要信息,要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。
要求采用高强度的密钥管理系统,保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。
对敏感或重要密钥,要求分人制衡管理。
对敏感或重要密钥,要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。
密钥失密或怀疑失密时,必须及时向安全主管部门报告,更新密钥。并采取有效措施,防止再次发生类似情况。9访问控制策略
为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。
计算机系统控制访问包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。
9.1计算机访问控制
应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: 计算机活动应可以被追踪到人;
访问所有多用户计算机系统应有正式的用户登记和注销规程; 应使用有效的访问系统来鉴别用户;
应通过安全登录进程访问多用户计算机系统; 特殊权限的分配应被安全地控制;
用户选择和使用密码时应慎重参考良好的安全惯例; 用户应确保无人看管的设备受到了适当的安全保护; 应根据系统的重要性制定监控系统的使用规程。 必须维护监控系统安全事件的审计跟踪记录; 为准确记录安全事件,计算机时钟应被同步。10风险管理及安全审计策略
信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前,必须进行风险评估工作。
信息安全审计应当3个月进行一次,并形成文档化的信息安全审计报告。信息安全风险评估应当至少1年一次,可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
11信息系统应急计划和响应策略
11.1信息应急计划和响应的必要性
应该制定和实施应急计划和响应管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。
11.2应急计划和响应管理程序
应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下 主要内容:
考虑突发事件的可能性和影响。
了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。
适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。
适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序。
12遵循性
计算机及信息系统必须遵守国家法律和法规的要求。
公司所有工作人员都有责任学习、理解并遵守安全策略,以确保公司敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释,由公司保密委员会审批发布。
公司已存在的但内容与本安全策略文件不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
第三篇:计算机信息系统管理办法
济南xxxxxxx有限公司
文 件
编号:受控号:
计算机信息系统管理办法
为保障公司各部门计算机及信息网络的安全高效使用,规范管理与维护,特制定以下管理办法:
一、计算机及配套设备的购置、管理
1.购置:各部门根据工作需要提出申请,经公司批准后,由综合部负责统一采购。
2.采购以“性价比最佳”为原则,同时需确保售后服务的质量,兼顾外形的和谐统一。
3.各使用部门需在综合部办理计算机的登记手续,驱动盘、使用说明、保修卡及配置清单等原始资料由综合部负责保管,同时登记固定资产台帐。
4.将计算机管理纳入部门经理职责范围,指定日常使用人为专管人员,负责计算机的日常维护清洁、查毒清毒等工作。
5.计算机发生故障时,专管人员应及时向综合部报告,需外联技术员检查、维修的,由综合部负责联系接洽。未经综合部许可任何人不得随意拆装硬件。
6.为保证计算机性能正常,各部门应定期清洁与维护计算机(每周至少一次),具体流程由综合部负责制订并培训。
二、计算机安全规定
1.任何人不得利用计算机进行侵害国家、公司和个人利益与合法权益的活动。
2.需保密的部门应设置开机密码、屏保密码以及重要文件的读取密码。密码由专人负责保管,并视需要及时更改。
3.定期做好重要文件、数据的备份工作,防止文件丢失,确保数据安全。(详见
六、数据保密和备份)
4.为防止计算机病毒传播,使用任何外来文件需首先进行病毒清查,安装有杀毒软件的计算机须定期查毒(每周一次)。
三、计算机使用规定
1.按照“使用部门负责”原则,各部门所属计算机的日常使用及清洁维护、查毒清毒、数据备份、磁盘整理等工作需落实到专管员。本管理办法下发一周内,各部门
将专管员报给综合部,由综合部统一安排培训。
2.专管人员应经常检查所属计算机及外设状况,如发现异常应立即报告,禁止因不规范操作等原因造成硬件损坏。
3.日常工作涉及计算机使用的员工应注意相关知识的学习与积累,必要时综合部组织专项培训。
4.使用中应注意随时存盘;为消除安全隐患,下班后应关闭计算机及附属设备并切断电源。
5.任何部门或个人不得私自安装、使用包括游戏软件等一切与工作无关的软件,不可利用计算机进行与工作无关的活动,不可在计算机存储与工作无关的文件,否则按第七条进行处罚。
四、硬件设备管理
1.路由器、交换机和服务器是公司信息系统的关键设备,须放置在指定地点,由专职管理人员统一管理,其他人不得自行配置或更换。
2.每台计算机外观要保持清洁、卫生,并由使用人负责管理和维护,无关人员未经批准严禁动用他人计算机。
3.严禁易燃易爆和强磁物品靠近计算机放置。
4.计算机及相关设备的报废需经过专职人员鉴定,确认不能使用后方可申请报废。
5.使用人员如发现计算机系统运行异常,及时与系统管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
五、计算机网络管理
1.按照公司管理模式,在保证各部门内部工作管理的同时,有关部门设立局域网(内网),系统管理员统一分配局域系统IP地址和DNS域名服务,相关部门配合组织实施。
2.各部门应严格遵守公司内网保密制度,不随意通过网络获取或对外泄露文件、报表等,否则按第七条规定处罚。
3.可以登陆互联网的计算机由专人负责管理,定期上网升级杀毒软件并查清本部门局域网内连接的全部计算机。
4.公司使用企业邮箱以“保密性佳、满足需要、费用最低”为原则,密码由专人负责保管,并视情况更新,并做到“及时下载、定期清理”,谨慎对待不明邮件,避免病毒的传播。
5.严格遵守《中华人民共和国计算机信息网络国际联网暂行规定》,严禁利用计算
机非法入侵他人或其他组织的计算机信息系统。
六、数据保密和备份
1.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2.禁止泄露、外借和转移专业数据信息。
3.涉密部门指定专管员对计算机内的重要数据应定期(两周一次)制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复。
4.备份数据不得更改。
5.操作人员必须注意保护自己的计算机信息系统,对部门登录的口令要注意保密。
6.不得让任何无关的人员使用自己的计算机,不要擅自或让其他非专业技术人员修改自己计算机系统的重要设备。
七、罚则
有下列行为之一且不限于以下行为的,公司将视情节轻重给予处罚,部门经理负管理不善责任:
1.擅自拷贝或外串公司数据的,给予当事人最低200元/次的经济处罚;所拷贝或外串数据属公司重要机密的,公司有权报警立案处理。
2.因违反本规定或进行不当操作造成计算机损坏的,公司可根据情况,要求当事人/部门负担不低于30%或全部维修费用。
3.因不备份文件或数据导致丢失影响工作的,给予责任人警告并处以200元/次的经济处罚。
4.计算机出现问题不及时报告导致工作延误的,给予责任人警告处分或最低50元/次的经济处罚。
5.因疏忽导致计算机病毒及其他危害计算机网络安全的,给予当事人警告处分或最低50元/次的经济处罚。
6.利用公司计算机或网络进行与工作无关活动的(如玩游戏、聊天等),给予当事人警告处分并最低50元/次的经济处罚。
7.违规行为给公司造成损失情节严重的,公司将另行议处。特别严重的公司保留向责任人追究法律责任的权利。
xxxx年xx月
起草:审批:共印份共3页
第四篇:非涉密计算机管理办法v1.0
河南省电力公司
非涉密终端安全管理办法
第一章 总则
第一条 为加强河南省电力公司计算机终端的保密管理工作,防止
泄密事件发生,维护网络正常运行,确保计算机信息系统的安全,制定本管理办法。
第二条 管理制度的制定依据:
《中华人民共和国保守国家秘密法》
《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》
《中华人民共和国计算机信息网络国际联网管理暂行规定》 《国家保密局计算机信息系统保密管理暂行规定》
第三条 本规定所称的非涉密计算机终端是指不用于采集、存储、处理、传递、输出国家秘密信息和企业内部秘密信息的计算机终端,包括台式计算机、笔记本计算机和掌上电脑等计算机终端设备。
第四条 国家秘密信息的范围按照《中华人民共和国保守国家秘密
法》的规定进行界定;企业内部秘密信息是指河南省电力公司内部的秘密信息,其范围由河南省电力公司保密委员会根据河南省电力公司经营管理情况进行界定(在《涉密终端安全管理办法》中进行详细说明)。
第五条 本办法适用于河南省电力公司本部日常办公的非涉密计算
机终端的管理。
第六条 非涉密计算机的用户必须严格遵循本管理制度的有关规定
管理和使用非涉密计算机终端。
第七条 河南省电力公司保密委员会下设IT安全管理小组,专门负
责本公司范围内的计算机信息系统安全管理工作。计算机终端用户应积极配合IT安全管理小组共同做好计算机信息系统安全管理工作。
第二章 购置管理
第八条 河南省电力公司本部所有的非涉密计算机终端设备由科技
信息部负责统一购置和管理。
第九条 各部门根据工作需要添置非涉密计算机终端设备的,根据
《河南省电力公司计算机管理办法》的规定流程进行申请,批准后由科技信息部统一购置。
第十条 科技信息部负责对购入的非涉密计算机设备进行检测,安
装系统、应用软件和防病毒软件,并进行计算机名、IP地址和网络设置等的相应配置。保证进入公司的非涉密计算机终端设备符合相关安全保密的规定。
第三章 使用管理
第十一条 计算机终端的使用部门为计算机日常管理的责任部门,使
用人是计算机日常管理的第一责任人,对非涉密计算机终端设备出现的泄密和安全事故负首要责任。
第十二条 非涉密计算机终端配备到使用人后,使用人不得擅自更改
计算机名、IP地址和网络设置等配置信息,不得私自接入其它线路访问国际互联网,否则管理部门有权收回设备并根据相关规定对使用人进行处理。
第十三条 非涉密计算机终端的使用人,必须妥善保管好计算机系统
登陆的用户名和密码。密码原则上3个月必需变更一次,密码长度不能小于8位。用户名和密码等信息不得告诉他人,否则由此造成的事故由使用人本人承担全部责任。
第十四条 非涉密计算机设备中严禁处理涉密信息,包括涉密信息的临时性或长期性采集、存储、处理、传递、输出等。
第十五条 防病毒系统和防火墙
a)非涉密计算机终端配备前已安装防病毒系统,并开启防火墙功能。任何部门或个人不得以任何理由或手段卸载或更换已安装的防病毒系统,不得关闭防火墙。
b)防病毒系统必须保证病毒代码的实时更新,并定期对系统进行全面查杀。发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前,计算机终端不得投入使用。
c)在通过OA系统发送电子邮件和计算机终端间进行文件拷贝操作前,必须对附件文件和拷贝文件进行查杀。
d)任何单位或个人严禁故意制造、修改和传播计算机病毒及木马
程序。
第十六条 非涉密计算机终端必须开启操作系统自动更新功能,及时
进行操作系统补丁升级,减少计算机终端安全漏洞。
第十七条 访问国际互联网
a)非涉密计算机原则上不允许访问国际互联网,确因工作需要的开通国际互联网访问服务的,必须严格遵守国家有关法律、行政法规,并严格执行安全保密制度。
b)非涉密计算机不得访问与工作无关的互联网站点,非因工作需要不允许使用QQ、SKYPE、MSN等聊天软件。
c)严禁将涉及敏感信息的公司内部资料通过网络或其他各种途径向外传播。
d)禁止在上网过程中下载安装不明程序和ActiveX控件。
第十八条 非涉密计算机终端不得开启文件夹共享功能,关闭不必要的服务和端口,禁用多余的帐号。
第十九条 非涉密计算机终端上禁止安装未经信息主管部门和使用部
门共同审查通过的外来软件、与工作无关的游戏等软件。第二十条 非涉密计算机终端不得外借公司本部之外的任何其它单位
和个人。
第二十一条 非涉密计算机终端中,工作人员因工作需要外出携带笔
记本计算机的,须由信息安全主管部门和工作人员所在部门对设备共同进行保密审查,确保其中不存在涉密信息后,设备方可外出。
第二十二条 在非涉密计算机终端上使用移动存储介质应按照《河南
省电力公司移动存储介质管理办法》执行。
第四章 维护管理
第二十三条 非涉密计算机终端的维修由科技信息部负责统一管理。
使用人员如发现计算机系统运行异常,应及时与科技信息部联系。未经科技信息部同意或授权,任何部门或个人不得擅自对计算机进行维修操作,包括调换设备、安装私有或外来的零配件和设备等。
第二十四条 科技信息部对修复后的计算机终端,在检查确认无木马
程序和病毒后,交付使用部门。
第二十五条 维修过程中出现的硬盘、内存等损坏的存储介质,由科
技信息部统一收回,并按照相关规定进行处理。
第五章 报废管理
第二十六条 各部门报废的计算机终端设备必须统一缴回科技信息
部处理。
第二十七条 科技信息部负责对报废的计算机终端设备进行检测,对
经检测确不存在涉密信息的计算机按照管理规定进行处理。
第二十八条 报废的非涉密计算机终端设备中的存储介质按照相关
规定统一处理。
第六章 应急处理
第二十九条 如在非涉密计算机设备的使用和维修过程中发现其中
存有涉密信息,需立即报河南省电力公司保密委员会,并按照《涉密计算机终端安全管理办法》进行预先处理。
第七章 其它
第三十条 本办法由河南省电力公司科技信息部制定,自发布之日起
执行。
第三十一条 本办法解释权归河南省电力公司科技信息部。
第五篇:非涉密计算机管理办法v1.0
河南省电力公司
非涉密终端安全管理办法
第一章 总则
第一条 为加强河南省电力公司计算机终端的保密管理工作,防止泄密事件发生,维护网络正常运行,确保计算机信息系统的安全,制定本管理办法。
第二条 管理制度的制定依据:
《中华人民共和国保守国家秘密法》
《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》
《中华人民共和国计算机信息网络国际联网管理暂行规定》 《国家保密局计算机信息系统保密管理暂行规定》
第三条 本规定所称的非涉密计算机终端是指不用于采集、存储、处理、传递、输出国家秘密信息和企业内部秘密信息的计算机终端,包括台式计算机、笔记本计算机和掌上电脑等计算机终端设备。
第四条 国家秘密信息的范围按照《中华人民共和国保守国家秘密法》的规定进行界定;企业内部秘密信息是指河南省电力公司内部的秘密信息,其范围由河南省电力公司保密委员会根据河南省电力公司经营管理情况进行界定(在《涉密终端安全管理办法》中进行详细说明)。第五条 本办法适用于河南省电力公司本部日常办公的非涉密计算机终端的管理。
第六条 非涉密计算机的用户必须严格遵循本管理制度的有关规定管理和使用非涉密计算机终端。
第七条 河南省电力公司保密委员会下设IT安全管理小组,专门负责本公司范围内的计算机信息系统安全管理工作。计算机终端用户应积极配合IT安全管理小组共同做好计算机信息系统安全管理工作。
第二章 购置管理
第八条 河南省电力公司本部所有的非涉密计算机终端设备由科技信息部负责统一购置和管理。
第九条 各部门根据工作需要添置非涉密计算机终端设备的,根据《河南省电力公司计算机管理办法》的规定流程进行申请,批准后由科技信息部统一购置。
第十条 科技信息部负责对购入的非涉密计算机设备进行检测,安装系统、应用软件和防病毒软件,并进行计算机名、IP地址和网络设置等的相应配置。保证进入公司的非涉密计算机终端设备符合相关安全保密的规定。
第三章 使用管理
第十一条 计算机终端的使用部门为计算机日常管理的责任部门,使用人是计算机日常管理的第一责任人,对非涉密计算机终端设备出现的泄密和安全事故负首要责任。
第十二条 非涉密计算机终端配备到使用人后,使用人不得擅自更改计算机名、IP地址和网络设置等配置信息,不得私自接入其它线路访问国际互联网,否则管理部门有权收回设备并根据相关规定对使用人进行处理。
第十三条 非涉密计算机终端的使用人,必须妥善保管好计算机系统登陆的用户名和密码。密码原则上3个月必需变更一次,密码长度不能小于8位。用户名和密码等信息不得告诉他人,否则由此造成的事故由使用人本人承担全部责任。
第十四条 非涉密计算机设备中严禁处理涉密信息,包括涉密信息的临时性或长期性采集、存储、处理、传递、输出等。
第十五条 防病毒系统和防火墙
a)非涉密计算机终端配备前已安装防病毒系统,并开启防火墙功能。任何部门或个人不得以任何理由或手段卸载或更换已安装的防病毒系统,不得关闭防火墙。
b)防病毒系统必须保证病毒代码的实时更新,并定期对系统进行全面查杀。发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前,计算机终端不得投入使用。
c)在通过OA系统发送电子邮件和计算机终端间进行文件拷贝操作前,必须对附件文件和拷贝文件进行查杀。
d)任何单位或个人严禁故意制造、修改和传播计算机病毒及木马程序。
第十六条 非涉密计算机终端必须开启操作系统自动更新功能,及时进行操作系统补丁升级,减少计算机终端安全漏洞。
第十七条 访问国际互联网
a)非涉密计算机原则上不允许访问国际互联网,确因工作需要的开通国际互联网访问服务的,必须严格遵守国家有关法律、行政法规,并严格执行安全保密制度。
b)非涉密计算机不得访问与工作无关的互联网站点,非因工作需要不允许使用QQ、SKYPE、MSN等聊天软件。
c)严禁将涉及敏感信息的公司内部资料通过网络或其他各种途径向外传播。
d)禁止在上网过程中下载安装不明程序和ActiveX控件。第十八条 非涉密计算机终端不得开启文件夹共享功能,关闭不必要的服务和端口,禁用多余的帐号。
第十九条 非涉密计算机终端上禁止安装未经信息主管部门和使用部门共同审查通过的外来软件、与工作无关的游戏等软件。
第二十条 非涉密计算机终端不得外借公司本部之外的任何其它单位和个人。
第二十一条 非涉密计算机终端中,工作人员因工作需要外出携带笔记本计算机的,须由信息安全主管部门和工作人员所在部门对设备共同进行保密审查,确保其中不存在涉密信息后,设备方可外出。第二十二条 在非涉密计算机终端上使用移动存储介质应按照《河南省电力公司移动存储介质管理办法》执行。
第四章 维护管理
第二十三条 非涉密计算机终端的维修由科技信息部负责统一管理。使用人员如发现计算机系统运行异常,应及时与科技信息部联系。未经科技信息部同意或授权,任何部门或个人不得擅自对计算机进行维修操作,包括调换设备、安装私有或外来的零配件和设备等。
第二十四条 科技信息部对修复后的计算机终端,在检查确认无木马程序和病毒后,交付使用部门。
第二十五条 维修过程中出现的硬盘、内存等损坏的存储介质,由科技信息部统一收回,并按照相关规定进行处理。
第五章 报废管理
第二十六条 各部门报废的计算机终端设备必须统一缴回科技信息部处理。
第二十七条 科技信息部负责对报废的计算机终端设备进行检测,对经检测确不存在涉密信息的计算机按照管理规定进行处理。
第二十八条 报废的非涉密计算机终端设备中的存储介质按照相关规定统一处理。第六章 应急处理
第二十九条 如在非涉密计算机设备的使用和维修过程中发现其中存有涉密信息,需立即报河南省电力公司保密委员会,并按照《涉密计算机终端安全管理办法》进行预先处理。
第七章 其它
第三十条 本办法由河南省电力公司科技信息部制定,自发布之日起执行。
第三十一条 本办法解释权归河南省电力公司科技信息部。
点击咨询 