第一篇:全省系统安全管理培训心得体会
全省系统安全管理培训心得体会
5月20日,本人参加了全省系统安全管理培训。通过此次培训,我更加深入认识到安全的重要性。平安无事的时候似乎不起眼,看上去好像与生产、效益没什么关系,无关紧要,甚至可有可无。但在公司发展战略上来看,安全工作可是与效益紧密相连的,甚至影响到公司未的来发展,不能以利用事、做表面文章。
目前,生产安全与个人联系越来越密切,与公司保持稳定发展和实现价值最大化的关系越来越密切。我们要切实加强安全工作管理,从细微入手,强化安全生产监管,加强安全专项整治,落实安全防范措施,健全安全责任制,坚决查处各类安全事故隐患。建立健全各种突发事件应急机制,提高应急处理的能力。把事故预防措施做到位,不让事故再牵着走,才是我们安全工作的本质,才能实现公司发展战略目标。
谈认识。安全无处不在,在生活中无时无刻都关系安全问题,现在整个社会都为了安全建立健全法律法规,如果连一个安全的生活环境都没有,就更谈不上怎么发展和壮大,谈何社会的进步、人们的美好生活。作为烟草行业,我们要在思想上由“要我安全”转变为“我要安全”的思想意识:一是人员安全,就是要不断加强对员工的安全教育培训工作,尽一切办法提高员工的安全意识,只有从人员上养成良好的安全行为,就能够控制和避免安全事故的发生,才能真正实现行业的安全运行;二是实现环境安全,就是通过员工在日常工作中要留意观察,发现危害安全的行为及时给予制止,;三是实现管理安全,就是作为管理人员在安全管理上要以身作则,要有高度的责任心,对违反安全规定的人绝不能讲情面,必须按规章制度严格处理,绝不手软,要有在安全管理上“严就是爱,松就是害”的思想;只有这样才能会实现本质上的安全运行。
增认识。安全工作要求全员参与,“安全就是效益”,这种观点应根植于每个人(包括我自己)的心中。首先武装好自己,熟知熟会各项操作规程安全制度,认真学习安全有关法律法规;其次养成良好的安全操作习惯;第三是勤于检查,及时发现整改事故隐患。如果每位员工在每日的工作中相互监督、相互提醒、相互检查,查找漏洞和薄弱环节,防止不安全的因素存在,杜绝事故隐患,从小事做起,就能筑起安全大堤。无危则安,无损则全。安全就是人们在生活和生产过程中,生命得到保证,身体免于伤害,财产免于损失。
安全无小事,细节决定成败,我们要从小事做起,从细节出发,坚持安全学习培训,不断提高员工安全意识,要安全、知安全、懂安全、会安全,自觉遵守安全法规,从“要我安全”的被动局面转化为“我要安全、我会安全”的自觉行动。时刻绷紧安全这根弦,未雨绸缪,树立“如履薄冰,如临深渊”的忧患意识,才能实现以人为本,企业社会和谐发展的目标。
第二篇:电力系统安全管理和安全教育(推荐)
电力系统安全管理和安全教育
一、安全管理
1、重视培训教育,提高员工安全素质
重视培训教育,使职工掌握必备的技能和防范事故的基本知识,做到在自身工作范围内不出事、少出事或者即使出了事也不致造成重大的损失和社会影响。
(1)举办多种安全知识宣传活动。如安全教育室、讲座、图书展览、广告板报、播放录相片和电影、安全知识竞赛、家属座谈会等活动,向职工进行生动丰富的安全教育。举办大型学习班,都要讲授安全知识。如省电力工业局举办的多期处级干部工商管理学习班、班组长学习班,都安排了安全知识讲座。
(2)重视对职工的法制教育。领导者要树立法制意识,正确处理安全与发展、安全与效益、安全与进度的关系,依法管理安全生产,禁止违章指挥和强令工人冒险作业。职工要牢固树立规章制度观念,自觉地、严格地执行电业生产(建设)的各项规程制度,按规程规定的程序、工序、工艺要求做好本职工作。省电力工业局经常组织安全工作规程、事故调查规程、调度规程和“两票三制”的学习考试。在重要的事故和事件中,强调引用和对照规程制度的条款进行分析,以推动职工学习和执行规程的自觉性。
(3)加强专业培训。专业的理论和实践的培训教育主要在电力院校和基层单位完成,省电力工业局只对关系全系统的“专业”组织专业人员进行培训,达到推动和提高的目的。省电力工业局成立以来,在继电保护和自动装置、焊接、输电和带电作业、变电运行的培训和开展考工定级等工作中都取得了良好的效果。通过长期坚持对职工的教育与培训,逐步提高全系统员工的安全意识,加强了责任,提高了专业技术,总体安全素质得到提高,为系统的安全生产奠定了基础。
2、突出重点抓安全
安全目标确定之后,突出安全工作的重点内容、重点对象、重点单位、重点设备、重点问题和重点措施。
重点对象是人,强调以人为本,强调人的责任心、安全意识和安全技能,注重教育与培训。重点单位是依据他们在系统中的地位和影响而决定的。如大型水、火电厂和供电局、变电站。重点设备是依其在发供电生产过程和基建施工中所起的作用而决定,如火电厂的锅炉、汽轮机、发电机,供电系统中的主变、主线路、主开关和主保护,施工企业的大型施工机具。
重点问题是指影响安全生产诸多因素的难点、弱点。如锅炉四管爆漏、恶性误操作、继电保护中的“三误”,高压输电线路的树枝碰线。
重点措施是解决安全生产的特别对策,有思想的、行政的、组织的、技术的和经济的措施,有的时候需要同时采用。
二、安全教育
新入厂(局、公司)的生产人员(含实习、代培人员),必须经厂(局、公司)、车间和班组三级安全教育,经《电业安全工作规程》考试合格后方可进入生产现场工作。
新上岗生产人员必须经过下列培训,并经考试合格后上岗:运行、调度人员(含技术人员),必须经过现场规程制度的学习、现场见习和跟班实习,200MW及以上机组的主要岗位运行人员,还应经仿真机培训; 检修、试验人员(含技术人员),必须经过检修、试验规程的学习和跟班实习;特种作业人员,必须经过国家规定的专业培训,持证上岗。
在岗生产人员应定期进行有针对性的现场考问、反事故演习、技术问答、事故预想等现场培训活动;离开运行岗位3个月及以上的值班人员,必须经过熟悉设备系统、熟悉运行方式的跟班实习,并经《电业安全工作规程》考试合格后,方可再上岗工作;生产人员调换岗位、所操作设备或技术条件发生变化,必须进行适应新岗位、新操作方法的安全技术教育和实际操作训练,经考试合格后,方可上岗;200MW及以上机组主要岗位运行人员、地区(市)及以上供电企业调度部门的调度人员和220kV及以上变电站的值班人员,应创造条件进行仿真系统的培训;所有生产人员必须熟练掌握触电现场急救方法,所有职工必须掌握消防器材的使用方法。
新任命的各级生产领导人员,应经有关安全生产的方针、法规、规程制度和岗位安全职责的学习,由上级管理部门安排或组织考试。各级领导人员参加的生产培训,应有安全方面的课程内容。
除了培训,还有安全生产法规、规程制度的定期考试:国家电网公司对国家电网公司分公司、集团公司、省电力公司总经理、副总经理、正副总工程师、安全监督部门负责人一般每三年进行一次有关安全生产法规的考试;国家电网公司分公司、集团公司、省电力公司对本企业生产、建设等部门的负责人和专业技术人员,对所属生产性企业和调度部门的正副职领导、正副总工程师、安监部门负责人,一般每两年进行一次有关安全生产法规和规程制度的考试;生产性企业和调度部门对车间负责人、生产科室负责人及专业技术人员,每年进行一次有关安全生产规程制度的考试;生产性企业和调度部门对车间的运行、检修、试验人员以及特种作业人员,每年进行安全生产规程制度的考试。
国家电网公司分公司、集团公司、省电力公司及所属生产性企业和调度部门应根据情况对一线人员的安全考试进行抽考,如抽考成绩与定期考试成绩差距较大,应重新进行考试,并通报批评。
生产性企业和调度部门每年应对工作票签发人、工作负责人、工作许可人进行培训,经考试合格后,以正式文件公布有资格担任工作票签发人、工作负责人、工作许可人的人员名单。
生产性企业应将安全生产规程制度的考试成绩记入个人教育培训档案,考试不及格的应限期补考,合格后方可上岗。
对违反规程制度造成事故、一类障碍和严重未遂事故的责任者,除按有关规定处理外,还应责成其学习有关规程制度,并经考试合格后,方可上岗。
生产性企业应将企业内部及外部的典型事故案例编成教材,及时对有关人员进行教育。
生产性企业可运用安全录像、幻灯、电视、计算机多媒体、广播、板报、实物、图片展览,以及安全知识考试、演讲、竞赛等多种形式宣传、普及安全技术知识,进行有针对性、形象化的培训教育,提高职工的安全意识和自我防护能力。
生产性企业应设置安全教育室,用音像、实物等对职工进行安全教育。公司系统职业培训应设安全技术专业课程。
第三篇:信息系统安全管理方案
信息系统安全管理方案
信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全
硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标
准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:
1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;
2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;
3、软件管理制度;
4、机房设备(包括电源、空调)管理制度;
5、网络运行管理制度;
6、硬件维护制度;
7、软件维护制度;
8、定期安全检查与教育制度;
9、下属单位入网行为规范和安全协议。
三、网络安全
按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:
1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。主要采用划分 VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通
讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
明确网络资源。事实上我们不能确定谁会来攻击网络系统,所以作为网络管理员在制定安全策略之初应充分了解网络结构,了解保护什么,需要什么样的访问以及如何协调所有的网络资源和访问。
第四篇:系统安全管理规定
全国国土资源信息网络 系统安全管理规定(试行)
国土资源部信息中心
二〇〇二年
目录
第一章 第二章 第三章 第四章 第五章 第六章 第七章
总则……………………………………………………3 物理安全管理…………………………………………3 网络系统安全管理……………………………………5 信息安全管理…………………………………………7 口令管理………………………………………………9 人员组织管理………………………………10 附则…………………………………………12 1 全国国土资源信息网络系统
安全管理规定
本规定由国土资源部信息中心提出。本规定由国土资源部归口。
本规定起草单位:国土资源部信息中心。
本规定主要起草人:周俊杰、李晓波、刘志刚、叶兴茂、祝孔强、咸容禹
本规范于2002年3月1日首次发布。本规范由国土资源部信息中心负责解释。
第一章
总
则
第一条
为了保证全国国土资源信息网络系统的安全,根据中华人民共和国有关计算机、网络和信息安全的相关法律、法规和安全规定,结合全国国土资源信息网络系统建设的实际情况,特制定本规定。
第二条
各单位应据此制订具体的安全管理规定。
第三条
本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
第四条
本规定适用于国土资源部所属的网络系统、单机,以及下属单位通过其他方式接入到国土资源部网络系统的单机和局域网系统。
第五条
接入范围。可以接入国土资源信息网络系统的单位包括:国土资源部公务员办公系统、部所属在京直属单位、各省、自治区、直辖市、计划单列市的国土资源政府管理机构和国土资源部批准的其他单位。
第六条
信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
第二章
物理安全管理
第七条
物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。
第八条
为了保障信息网络系统的物理安全,对系统所在环境的安全保护,应遵守国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
第九条
网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
第十条
对重要网络设备配备专用电源或电源保护设备,保证其正常运行。
第十一条
全国国土资源信息网络系统所使用的链路必须符合国家相关的技术标准和规定。
第十二条
链路安全包括链路本身的物理安全和链路上所传输的信息的安全。物理安全指链路的物理介质符合国家的技术标准,安装架设符合国家相关建设规范,具有稳定、安全、可靠的使用性。传输信息的安全是指传输不同密级信息的链路采用相应级别的密码技术和设备或其他技术措施,保障所传输信息具有可靠的反截获、反破译和反篡改能力。
第十三条
链路安全主要采取密码技术,用于传输涉及国家秘密的链路必须使用中办机要局认可的密码技术和设备。
第十四条
链路加密措施的申请遵照国家《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》执行。
第十五条
涉密系统单位须依据国家的有关规定和法律法规建立保密管理制度。
第十六条
客户机的物理安全管理
(一)客户机指所有连接到国土资源部信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备;
(二)使用人员应爱护客户机及与之相关的网络连接设备(包括网卡、网线、集线器、调制解调器等),按规操作,不得对其实施 4 人为损坏;
(三)客户机使用人员不得擅自更改网络设置,杜绝一切影响网络正常运行的行为发生;
(四)网络中的终端计算机在使用完毕后应及时关闭计算机和电源;
(五)客户机使用人员不得利用客户机进行违法活动。第十七条
紧急情况
(一)火灾发生。切断电源,迅速报警,根据火情,选择正确的灭火方式灭火;
(二)水灾发生。切断电源,迅速报告有关部门,尽可能地弄清水灾原因,采取关闭阀门、排水、堵漏、防洪等措施;
(三)地震发生。切断电源,避免引发短路和火灾;
(四)密码设备丢失。根据中办的有关规定处理。
第三章
网络系统安全管理
第十八条
网络系统安全的内涵包括五个方面: 机密性:确保信息不暴露给未授权的实体或进程;
完整性:未经授权的人不能修改数据,只有得到允许的人才能修改数据,并且能够分辨出被篡改的数据。
可用性:得到授权的实体在合法的范围内可以随时随地访问数据,网络的攻击者不能阻碍网络资源的合法使用。
可控性:可以控制授权范围内的信息流向和行为方式。可审查性:一旦出现安全问题,网络系统可以提供调查的依据和手段。
第十九条
涉及国家机密、部门敏感信息的局域网的安全标准不得低于中华人民共和国国家标准《计算机信息系统安全保护等级划分 5 准则》(GB 17859-1999)中规定的第二级-系统审计保护级。
第二十条
根据有关规定以及我国目前的安全技术水平,内部信息网络系统与外部公共信息网络系统必须物理隔离。
第二十一条
接入INTERNET公共信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质,并符合国家的相关规定。
第二十二条
网络管理员应尽可能地改善网络系统的安全策略设置,尽量减少安全漏洞。关闭不使用的服务,对不同级别的网络用户设置相应的资源访问权限。重要网络系统的安全配置应达到中华人民共和国国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中规定的第二级-系统审计保护级以上。
第二十三条
网络管理员应当做好系统记录,定期检查,发现问题,及时解决。
第二十四条
重要的信息网络系统自运行开始必须作好备份与恢复等应急措施,一旦系统出现问题能够及时恢复正常。网络管理员负责网络系统的备份与恢复的技术规划、实施和操作,并作好详细的记录。
第二十五条
管理员应对操作系统和数据库管理系统中进行系统运行记录(Log)和数据库运行记录(Data Base Log)的转储保存以备查。
第二十六条
重要大型数据库必须运行于专门的服务器或工作站上,并异地备份。
第二十七条
网络安全检测。为使网络长期保持较高的安全水平,网络管理员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安全漏洞。网络管理员在系统检测完成后,应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施 6 的补救措施与安全策略。检测报告存入系统档案。
第二十八条
网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不可测性,计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。
第四章
信息安全管理
第二十九条
信息安全是指通过各种计算机、网络和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。
(一)信息处理和传输系统的安全
系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
(二)信息内容的安全
侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
(三)信息传播安全
要加强对信息的审查,防止和控制非法、有害的信息通过我部的信息网络系统传播,避免对国家利益、公共利益以及个人利益造成损害。
第三十条
国土资源部涉及国家秘密信息的安全工作实行首长负责制。国土资源部所属单位涉及国家秘密信息的安全工作实行单位一把手负责制。
第三十一条
信息的内部管理
(一)各单位在向部网络系统提交信息前要作好查毒、杀毒工 7 作,确保信息文件无毒上载;
(二)根据情况,采取网络病毒监测、查毒、杀毒等技术措施,提高网络的整体抗病毒能力;
(三)各应用单位对本单位所负责的信息必须作好备份;
(四)各单位应对本单位的信息进行审查,各网站和栏目信息的负责单位必须对所发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时报告办公厅和信息中心;
(五)涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行;
(六)涉及国家秘密的土地、矿产资源、海洋、测绘等信息,未经所属单位安全主管负责人的批准不得在网络上发布和明码传输;
(七)个人计算机中的涉密文件不可设置为共享,个人电子邮件的收发要实行病毒查杀。
第三十二条
信息加密
(一)涉及国家秘密的信息,其电子文档资料须加密存储;
(二)涉及国家和部门利益的敏感信息的电子文档资料应当加密存储;
(三)涉及社会安定的敏感信息的电子文档资料应当加密存储;
(四)涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。
第三十三条
任何单位和个人不得从事以下活动:
(一)利用信息网络系统制作、传播、复制有害信息;
(二)入侵他人计算机;
(三)未经允许使用他人在信息网络系统中未公开的信息;
(四)未经授权对信息网络系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;
(五)未经授权查阅他人邮件;
(六)盗用他人名义发送电子邮件;
(七)故意干扰网络的畅通运行;
(八)从事其他危害信息网络系统安全的活动。
第五章
口令管理
第三十四条
具有口令功能的计算机、网络设备等系统处理国家秘密信息,必须使用口令对用户的身份进行验证和确认。对于重要网络系统,使用单位要有专职或兼职系统保密员,负责日常的口令管理工作。
第三十五条
系统保密员负责给新增加的用户分配初始口令;指导用户正确使用口令;检查用户使用口令情况;帮助用户开启被锁定的口令,对非法操作及时查明原因;解决口令使用过程中出现的问题;协助用户保护国家秘密不受侵害;定期向主管领导和单位保密机构汇报口令使用情况和需要解决的问题。
第三十六条
定期更换口令。口令的最长使用时间不能超过半年,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短口令的使用时间。当口令使用期满时,应更换新的口令。
第三十七条
系统保密员必须有能力更改口令。当口令使用期满、被其他人知悉或认为口令不保密时,系统保密员可按照口令更改程序变换口令。口令更换操作应在保密条件下进行。
第三十八条
对口令数据库的访问和存取必须加以控制,以防止口令被非法修改或泄露。
当系统提供的访问和存取控制机制不够完善时或机制虽然完善,9 但可能出现系统转储等情况时,应对存储的口令加密。
第三十九条
口令的密级与系统处理国家秘密信息的密级相同。根据《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》第十七条的规定,涉密系统的身份认证应当符合以下要求:
(一)口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生;
(二)处理秘密级信息的系统口令长度不得少于六个字符,口令更换周期不得长于一个月;处理机密级信息的系统,口令长度不得少于八个字符,口令更换周期不得长于一周;处理绝密级信息的系统,应当采用一次性口令或生理特征等强认证措施;
(三)口令必须加密存储,并且保证口令存放载体的物理安全;
(四)口令在网络中必须加密传输。
第四十条
用户应记住自己的口令,不应把它记载在不保密的媒介物上,严禁将口令贴在终端上。输入的口令不应显示在显示终端上。
第六章
人员组织管理
第四十一条
安全的人员组织管理原则
网络信息系统的安全管理的最根本核心是人员管理,提高安全意识,行于具体的安全技术工作中。为此,安全的人事组织管理主要基于以下三个原则。
(一)多人负责
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,工作认真可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
负责的安全活动范围包括:
1.访问控制使用证件的发放与回收;
2.信息处理系统使用的媒介发放与回收; 3.处理保密信息; 4.硬件和软件的维护;
5.系统软件的设计、实现和修改; 6.重要程序和数据的删除和销毁等。
(二)任期有限
任何人最好不要长期担任与安全有关的职务,遵循任期有限原则,工作人员应不定期地循环任职,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
(三)职责明确
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
出于对安全的考虑,下面每组内的两项信息处理工作应当尽可能分开。
1.系统管理与计算机编程; 2.机密资料的接收和传送; 3.安全管理和系统管理; 4.访问证件的管理与其它工作;
5.计算机操作与信息处理系统使用媒介的保管等。第四十二条 安全的人事组织管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
(一)根据工作的重要程度,确定该系统的安全等级 ;
(二)根据确定的安全等级,确定安全管理的范围;
(三)制订相应的机房出入管理制度;
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记 11 系统,采用磁卡、身份卡等手段,对人员进行识别、登记和管理。
(四)制订严格的操作规程;
操作规程要根据职责明确和多人负责的原则,各负其责,不能超越自己的管辖范围;对工作调动和离职人员要及时调整相应的授权。
(五)制订完备的系统维护制度;
对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(六)制订应急措施。
要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。
第七章
附
则
第四十三条
本规定自正式颁布之日起实施。第四十四条
本规定由国土资源部信息中心负责解释。第四十五条
本规定与国家有关法律、法规不一致的以国家法律、法规为准。
第五篇:信息系统安全管理规范
信息系统安全管理规范
1、目标
此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:
确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。对用户权限进行合理规划,使系统在安全状态下满足工作的需求。
2、机房访问控制
机房做为设备的集中地,对于进入有严格的要求。只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。严格遵守机房管理制度。
3、操作系统访问控制
保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的 用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施: 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员 保密。在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商; 调试一结束系统 管理员马上更改口令。对口令设定必需满足以下规范: 最多允许尝试次数 口令最长有效期 口令的最大长度 口令的最小长度 5 30 天 不受限 6 口令的唯一性要求。
4、系统的安全控制
最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现。
5、数据库访问控制
为有效的保障业务数据的安全,采取以下措施:
数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定,由办公室审核。不能向其他人开放。口令必须 1 个月做一次修改。
对口令设定必需满足以下规范:
口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开
放不同权限的用 户。除办公室门的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作 对于业务必须的后台 job 或批处理,必须由办公室门人员执行。
6、应用系统访问控制
应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:
所有应用级的操作用户及初始口令统一由办公室门设定,以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。
对于口令设定必需满足以下规范:
口令最长有效期 口令的最大长度口令的最小长度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由办公室批准。当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助 应用系统的使用者开通账户,并建立相应的访问等级和权限。当应用系统需要关闭某位使用者的账户时,首先该部门应该填写“权限申请 表”,并得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助应用系 统使用者关闭该账户。大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间 将写入日志,以备今后查询之用。
7、个人义务
如果技术上可行,每一位使用者都应该通过一个唯一的使用者身份号码来识别,该号码设有密码,并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而,支持网关和服务器的设备是一个例外,例如:互联网服务器等。只有得到 IT 经理的批准,才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人,那么使用者将对他人利 用密码所做的任何行为的后果负责。若使用者怀疑他的密码已经被泄露了,那么他应该尽快更换密码。并应该在 第一时间向 IT 系统管理员汇报。3使用者不应该书面记录下密码,并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。使用者不得向他人泄漏密码。如果 IT 技术支持人员要求运用使用
者的号码 访问,则必须当着使用者的面登录。如果使用者泄漏了密码,则必须尽快更改密 码。如果他们因诱骗而泄漏了密码,则必须尽快向 IT 系统管理员汇报。如果使用者怀疑我们信息系统的安全性受到威胁,则必须尽快向 IT 系统管 理员汇报。使用者对他们自己输入系统的数据的精确性负责,同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如 果发现错误,并且自己能够修改的话,则应该将其改正。如果自己改正不了,则应该向他们的主管汇报。如果是在源文件发现数据错误,则应该尽快改正这些错误,而不是故意将这些错误输入我们的电脑系统。使用者在离开终端机器或电脑以前必须下线,这一点应该强制执行。如果是 在使用不带下线功能的单机个人电脑,则必须在离开电脑前终止程序。只有当执 行批处理任务时是例外。当使用者的工作职责有变动时,他的访问权也应该作相应的变更。部门经 理应该及时递交“权限申请表”以通知 IT 系统管理员。特别是在员工辞职的情 况下,他/她的部门经理以及人事部经理应该及时通知 IT 系统管理员,以保证在 最短的时间内撤销他/她的系统访问权。
8、局域网和广域网安全
在可能的情况下,我们都应将端口转换到使用者的个人电脑。如果没有足够的转换,已转换的端口将根据以下优先等级来分配:
需要带宽的使用者可以访问机密数据的使用者职务等级,例如:公司领导优先于管理员,管理员优先于经理,依此类推。所有的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以 开通。因此,在公共区域(例如:会议室)的访问端口只能在使用时开通。4 交换机位于数据中心,对该中心的物理访问应该控制。除了授权的 IT 支持人员以外,任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口或地址扫描功能的软件。IP 地址只能由经授权的 IT 支持人员来分配。使用者不得自行分配他们的 IP 地址。所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码,此密码 不得为原厂密码。交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记 录在案。IT 经理应该保留一个备份。所有服务器的管理员密码和主管密码都应该记录在案。IT 经理应该保留一 个备份。对于交换机、路由器、网络集线器以及服务器的结构等级的访问应该只限授 权的 IT 支持人员。关于安全的信息以及通往网络的网关的保护机制应该只有授权的 IT 支持人 员知道。所有的交换机和路由器都应该由非间断电原提供至少 60 分钟的电源供应。如可能,非间断电源供应机应该轮流由一台备用的发电机来充电。只有经授权的使用者才允许安装和使用
网络发明和监控工具。
![下载全省系统安全管理培训心得体会[范文大全]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 