[推薦]信息安全管理制度15篇
在快速變化和不斷變革的今天,人們運(yùn)用到制度的場合不斷增多,制度是要求大家共同遵守的辦事規(guī)程或行動準(zhǔn)則。那么你真正懂得怎么制定制度嗎?以下是小編幫大家整理的信息安全管理制度,歡迎大家分享。
信息安全管理制度1
病案管理者因工作關(guān)系對每份病案都要進(jìn)行收集、整理、查、訂,對病人的隱私了解的較多,因此,尊重患者的隱私權(quán)和保密權(quán)就成為對管理人員的職業(yè)道德要求。工作中對病人的隱私要嚴(yán)格保密,守口如瓶,不得外泄,不得張揚(yáng),任意傳播。更不能利用工作之便索取非法利益。
防盜、防塵、防濕、防蛀、防高溫措施
1、在防塵工作方面,經(jīng)常性的除塵工作,堅持一天一小掃,一周一大掃,節(jié)假日全面大掃除;適時開、關(guān)閉檔案庫房門窗,防止塵灰、煙霧進(jìn)入檔案庫房及檔案櫥內(nèi)。定期擦拭檔案室地板、檔案櫥表面、櫥內(nèi)的灰塵,保持檔案櫥、檔案自身的干凈清潔。
2、在防火工作方面,檔案庫房門上掛有“嚴(yán)禁煙火”的警示牌,無關(guān)人員不得進(jìn)入檔案庫房,需進(jìn)入檔案庫房的人員一律嚴(yán)禁煙火、抽煙;下班時切斷電源;滅火器定點(diǎn)放置,不得隨意移動或拿作他用,定期檢查,對失效過期的滅火器適時更換,使其保持良好的滅火狀態(tài)。
3、在防盜工作方面,檔案庫房配備了防盜網(wǎng)、鐵窗鐵櫥,并保持良好的工作狀態(tài)。下班時關(guān)鎖好門窗,上班時檢查檔案庫房門窗、鐵網(wǎng)、鐵櫥、檔案是否完好。
4、在防潮工作方面,防止雨水進(jìn)入檔案庫房,每天掌握庫房內(nèi)的濕度變化情況,庫內(nèi)庫外設(shè)置溫濕度計,作為庫內(nèi)庫外濕度比較。當(dāng)庫內(nèi)濕度大于庫外時,采取抽風(fēng)、排氣、打開庫房門窗進(jìn)行通風(fēng)或關(guān)閉門窗啟動除濕機(jī);當(dāng)庫房濕度小于庫外濕度時采取關(guān)閉門窗等措施將庫房濕度控制在45%?60%范圍內(nèi)。
5、在防高溫工作方面,注意掌握高溫氣候條件下,庫房溫度的變化情況,當(dāng)庫房溫度大于或小于庫房溫度(標(biāo)準(zhǔn)為14℃--24℃)時采取排氣、抽風(fēng)、通風(fēng)或啟動空調(diào)機(jī)進(jìn)行降溫,使庫內(nèi)溫度控制在標(biāo)準(zhǔn)范圍內(nèi)。
6、在防光工作方面,給檔案庫房門窗裝上了防光布簾外,注意防止太陽日光直射檔案庫房,嚴(yán)禁檔案紙張材料搬到太陽下暴曬。做好除濕、降溫、防光工作,有效防止檔案紙張材料發(fā)生霉?fàn)、變質(zhì)、字跡褪色。
7、在防蛀工作方面,注重做好勤防勤治蟲害檔案的'工作。庫房內(nèi)嚴(yán)禁存放任何雜物。定期施放殺蟲驅(qū)蟲藥物,并根據(jù)藥效時限適時更換失效過期的殺蟲驅(qū)蟲藥物。定期做好庫內(nèi)庫外的防蟲滅蟲工作。每月翻動櫥內(nèi)檔案二次,查看蟲害檔案情況,一旦發(fā)現(xiàn)蟲害檔案,立即采取措施撲滅蟲害,防止蟲害檔案的漫延。
8、在防腐工作方面,檔案庫房內(nèi)經(jīng)常性的進(jìn)行抽風(fēng)、通風(fēng),保持室內(nèi)空氣清新,嚴(yán)禁有害氣體、物品進(jìn)入檔案庫房,定期施放、更換防腐藥物,凈化庫房周圍環(huán)境,保持庫房內(nèi)清潔。
信息安全管理制度2
為了規(guī)范我校各部門信息上報工作,進(jìn)一步做好各部門信息采編、上報和對外宣傳工作,及時準(zhǔn)確地反映我校各部門工作情況,形成宣傳工作的整體合力,內(nèi)強(qiáng)素質(zhì),外樹形象,推進(jìn)各項工作任務(wù)的落實,特制定本制度。
一、信息員具備的條件
1、思想政治素質(zhì)較高,熟悉本部門工作,文字能力較強(qiáng)。
2、工作認(rèn)真負(fù)責(zé),作風(fēng)扎實,勤于鉆研問題。
二、信息員的職責(zé)
1、采集報送本部門貫徹落實學(xué)校或上級部門教育教學(xué)工作任務(wù)情況。
2、采集報送本部門安排的教育教學(xué)工作落實情況,及時反映教育教學(xué)工作的最新動態(tài)。
3、采集報送包括調(diào)研報告、工作總結(jié)、匯報材料等在內(nèi)的調(diào)研性信息,反映最新經(jīng)驗成果。
三、信息員采編報送信息的原則
1、及時性原則。重要信息早發(fā)現(xiàn)、早收集、早報送;
2、準(zhǔn)確性原則。實事求是,尊重客觀,符合實際,文字表述準(zhǔn)確,用詞嚴(yán)謹(jǐn)、分析恰當(dāng)、數(shù)字精確;
3、實效性原則。以服務(wù)決策,推動落實,促進(jìn)工作為原則,及時提供真實、有用的情況,堅決克服形式主義。
四、信息員報送信息的任務(wù)
各部門信息員每月上報信息不得少于4篇(每周一篇),所上報信息質(zhì)量要高,不得敷衍了事。
五、信息員采集報送材料的要求
1、準(zhǔn)確把握部門工作的中心任務(wù)和階段性工作重點(diǎn),緊緊圍繞上級部門、學(xué)校和本部門確定的各項重點(diǎn)工作采集報送信息。
2、立足本部門實際,全面客觀地反映情況。要善于總結(jié)提煉本部門工作中的特色經(jīng)驗。
3、經(jīng)常進(jìn)行信息調(diào)研,掌握實情,采集報送信息。報送的信息材料必須真實準(zhǔn)確,時效性強(qiáng)。
4、報送文字信息的同時,要根據(jù)內(nèi)容報送相關(guān)圖片。
六、信息員的變動與補(bǔ)充
信息員因工作變動或其他原因不能繼續(xù)擔(dān)任該項工作的',部門應(yīng)及時向?qū)W校反饋并補(bǔ)充推薦合適人選。
七、信息員信息報送的方式
信息均以郵件形式報送。信息標(biāo)題后備注部門信息,以區(qū)別其他郵件。報送格式:信息正文統(tǒng)一用Word文檔A4格式排版,信息題目統(tǒng)一為宋體二號加粗,一級標(biāo)題為黑體三號,二級標(biāo)題為楷體GB三號加粗,三級標(biāo)題為仿宋GB三號加粗,正文用仿宋GB小三號,行距為單倍行距。文稿結(jié)束處以小括號形式注明部門名稱。報送的圖片放到文稿外,為jpeg格式。信息發(fā)送至郵箱:
八、信息員的量化和考核。
1、學(xué)校將信息員報送信息情況作為一項重要內(nèi)容列入信息員工作考核中,并按季度進(jìn)行通報。對連續(xù)兩周未報送信息的部門和信息員進(jìn)行通報,并要求部門更換信息員,考核從20xx年3月份開始。
2、學(xué)校對各部門信息員上報材料擇優(yōu)向上級部門報送,對各部門信息員上報信息實行量化計分。計分標(biāo)準(zhǔn):被國家級報刊或網(wǎng)站采用的綜合稿件計10分;省級報刊或網(wǎng)站采用的綜合稿件計6分;市級報刊或網(wǎng)站采用的綜合稿件計4分;縣級報刊或網(wǎng)站采用的綜合稿件計2分,學(xué)校綜合簡報或網(wǎng)站采用的綜合稿件計1分。以上計分不重復(fù),同時被多家報刊或網(wǎng)站采用的,以最高一級標(biāo)準(zhǔn)計分。部門信息員得分納入各部門學(xué)期考核得分中。
九、對信息員實行獎勵制度。
根據(jù)信息的數(shù)量和質(zhì)量,年終評選若干個信息工作先進(jìn)個人及先進(jìn)部門。對獲獎個人及部門均給予一定獎勵。
信息安全管理制度3
第一章 總則
第一條 為加強(qiáng)公司計算機(jī)和信息系統(tǒng)(包括涉密信息系統(tǒng)和非涉密信息系統(tǒng))
安全保密管理,確保國家秘密及商業(yè)秘密的安全,根據(jù)國家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中核集團(tuán)公司有關(guān)規(guī)定,制定本規(guī)定。
第二條 本規(guī)定所稱涉密信息系統(tǒng)是指由計算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò),包括機(jī)房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端等內(nèi)容。
第三條 涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負(fù)責(zé)、科學(xué)管理、保障安全”的方針,堅持“誰主管、誰負(fù)責(zé),誰使用、誰負(fù)責(zé)”和“控制源頭、歸口管理、加強(qiáng)檢查、落實制度”的原則,確保涉密信息系統(tǒng)和國家秘密信息安全。
第四條 涉密信息系統(tǒng)安全保密防護(hù)必須嚴(yán)格按照國家保密標(biāo)準(zhǔn)、規(guī)定和集團(tuán)公司文件要求進(jìn)行設(shè)計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統(tǒng),不得投入使用。
第五條 本規(guī)定適用于公司所有計算機(jī)和信息系統(tǒng)安全保密管理工作。
第二章 管理機(jī)構(gòu)與職責(zé)
第六條 公司法人代表是涉密信息系統(tǒng)安全保密第一責(zé)任人,確保涉密信息系統(tǒng)安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領(lǐng)導(dǎo)責(zé)任制落實。
第七條 公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機(jī)構(gòu),其主要職責(zé):
。ㄒ唬┙⒔∪踩C芄芾碇贫群头婪洞胧,并監(jiān)督檢查落實情況;
。ǘ﹨f(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題,對重大失泄密事件進(jìn)行查處。
第八條 成立公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛(wèi)部和相關(guān)業(yè)務(wù)部門、單位為成員單位,在公司黨政和保密委員會領(lǐng)導(dǎo)下,組織協(xié)調(diào)公司涉密信息系統(tǒng)安全保密管理工作。
第九條 保密辦主要職責(zé):
。ㄒ唬⿺M定涉密信息系統(tǒng)安全保密管理制度,并組織落實各項保密防范措施;
。ǘ⿲ο到y(tǒng)用戶和安全保密管理人員進(jìn)行資格審查和安全保密教育培訓(xùn),審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限,并備案;
。ㄈ┙M織對涉密信息系統(tǒng)進(jìn)行安全保密監(jiān)督檢查和風(fēng)險評估,提出涉密信息系統(tǒng)安全運(yùn)行的保密要求;
。ㄋ模⿻萍夹畔⒉繉ι婷苄畔⑾到y(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查,建立涉密信息系統(tǒng)安全評估制度,每年對涉密信息系統(tǒng)安全措施進(jìn)行一次評審;
。ㄎ澹⿲ι婷苄畔⑾到y(tǒng)設(shè)計、施工和集成單位進(jìn)行資質(zhì)審查,對進(jìn)入涉密信息系統(tǒng)的安全保密產(chǎn)品進(jìn)行準(zhǔn)入審查和規(guī)范管理,對涉密信息系統(tǒng)進(jìn)行安全保密性能檢測;
。⿲ι婷苄畔⑾到y(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行定密、變更密級和解密工作進(jìn)行審核;
。ㄆ撸┙M織查處涉密信息系統(tǒng)失泄密事件。
第十條
科技信息部、財會部主要職責(zé)是:
(一)組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè),制定安全保密防護(hù)方案;
。ǘ┞鋵嵣婷苄畔⑾到y(tǒng)安全保密策略、運(yùn)行安全控制、安全驗證等安全技術(shù)措施;每半年對涉密信息系統(tǒng)進(jìn)行風(fēng)險評估,提出整改措施,經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)
小組批準(zhǔn)后組織實施,確保安全技術(shù)措施有效、可靠;
。ㄈ┞鋵嵣婷苄畔⑾到y(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護(hù)等安全保密管理措施;
(四)配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員,并制定相應(yīng)的職責(zé); “三員”角色不得兼任,權(quán)限設(shè)置相互獨(dú)立、相互制約;“三員”應(yīng)通過安全保密培訓(xùn)持證上崗;
。ㄎ澹┞鋵嵱嬎銠C(jī)機(jī)房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理,負(fù)責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理;
(六)配合保密辦對涉密信息系統(tǒng)進(jìn)行安全檢查,對存在的隱患進(jìn)行及時整改;
。ㄆ撸┲贫☉(yīng)急預(yù)案并組織演練,落實應(yīng)急措施,處理信息安全突發(fā)事件。
第十一條 黨政辦公室主要職責(zé):
按照國家密碼管理的相關(guān)要求,落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。
第十二條 相關(guān)業(yè)務(wù)部門、單位主要職責(zé):涉密信息系統(tǒng)的使用部門、單位要嚴(yán)格遵守保密管理規(guī)定,教育員工提高安全保密意識,落實涉密信息系統(tǒng)各項安全防范措施;準(zhǔn)確確定應(yīng)用系統(tǒng)密級,制定并落實相應(yīng)的二級保密管理制度。
第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員,其職責(zé)是:
(一)系統(tǒng)管理員負(fù)責(zé)系統(tǒng)中軟硬件設(shè)備的運(yùn)行、管理與維護(hù)工作,確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運(yùn)行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員。
。ǘ┌踩C芄芾韱T負(fù)責(zé)安全技術(shù)設(shè)備、策略實施和管理工作,包括用戶帳號管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。
(三)安全審計員負(fù)責(zé)安全審計設(shè)備安裝調(diào)試,對各種系統(tǒng)操作行為進(jìn)行安全審計跟蹤分析和監(jiān)督檢查,以及時發(fā)現(xiàn)違規(guī)行為,并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報一次情況。
第三章 系統(tǒng)建設(shè)管理
第十四條 規(guī)劃和建設(shè)涉密信息系統(tǒng)時,按照涉密信息系統(tǒng)分級保護(hù)標(biāo)準(zhǔn)的規(guī)定,同步規(guī)劃和落實安全保密措施,系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同驗收。
第十五條 涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案,應(yīng)由具有“涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)編制或自行編制,安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。
第十六條 涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時,應(yīng)由具有“涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)實施或自行實施,并與實施方簽署保密協(xié)議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施,配備通過國家保密主管部門指定的測評機(jī)構(gòu)檢測的.安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。
第四章 信息管理
第一節(jié) 信息分類與控制
第十八條 涉密信息系統(tǒng)的密級,按系統(tǒng)中所處理信息的最高密級設(shè)定,嚴(yán)禁處理高于涉密信息系統(tǒng)密級的涉密信息。
第十九條 涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標(biāo)密,并按涉密文件進(jìn)行管理。電子文件密級標(biāo)識應(yīng)與信息主體不可分離,密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進(jìn)行一次分類統(tǒng)計、匯總,并在保密辦備案。
第二十條 涉密信息系統(tǒng)應(yīng)建立安全保密策略,并采取有效措施,防止涉密信息被非授權(quán)訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機(jī)。涉密信息遠(yuǎn)程傳輸必須采取密碼保護(hù)措施。
第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息,一般只提供紙質(zhì)文件,確需提供涉密電子文檔的,按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。
第二十二條 清除涉密計算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時,必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。
第二節(jié) 用戶管理與授權(quán)
第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權(quán)的依據(jù)。
第二十四條 用戶清單管理
。ㄒ唬┛萍夹畔⒉抗芾怼把芯吭囼灦讶剂显䲠(shù)字化信息系統(tǒng)”和“中核集團(tuán)涉密廣域網(wǎng)”用戶清單;財會部管理“財務(wù)會計核算網(wǎng)”用戶清單;
。ǘ┬略鲇脩魰r,由用戶本人提出書面申請,經(jīng)本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統(tǒng)一建立用戶;“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立;
。ㄈ﹦h除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準(zhǔn)后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止;“財務(wù)會計核算網(wǎng)”密辦審核,公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯(lián)網(wǎng)計算機(jī)實行專人負(fù)責(zé)、專機(jī)上網(wǎng)管理,嚴(yán)禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機(jī)須建立使用登記制度。
第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則,信息上網(wǎng)必須經(jīng)過嚴(yán)格審查和批準(zhǔn),堅決做到“涉密不上網(wǎng),上網(wǎng)不涉密”。對上網(wǎng)信息進(jìn)行擴(kuò)充或更新,應(yīng)重新進(jìn)行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)、傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息。
第六十七條 從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng),經(jīng)科技信息部審批后,按照信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。
第九章 便攜式計算機(jī)管理
第六十八條 便攜式計算機(jī)(包括涉密便攜式計算機(jī)和非涉密便攜式計算機(jī))實行 “誰擁有,誰使用,誰負(fù)責(zé)”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機(jī)根據(jù)工作需要確定密級,粘貼密級標(biāo)識,按照涉密設(shè)備進(jìn)行管理,保密辦備案后方可使用。
第七十條 便攜式計算機(jī)應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證(設(shè)置開機(jī)密碼口令)等安全保密防護(hù)措施。
第七十一條 禁止使用涉密便攜式計算機(jī)上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò);嚴(yán)禁涉密便攜式計算機(jī)與涉密信息系統(tǒng)互聯(lián)。
第七十二條 涉密便攜式計算機(jī)不得處理絕密級信息。未經(jīng)保密辦審批,嚴(yán)禁在涉密便攜式計算機(jī)中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進(jìn)行,并與涉密便攜式計算機(jī)分離保管。
第七十三條 禁止使用私有便攜式計算機(jī)處理辦公信息;嚴(yán)禁非涉密便攜式計算機(jī)存儲、處理涉密信息;嚴(yán)禁將涉密存儲介質(zhì)接入非涉密便攜式計算機(jī)使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機(jī)和涉密存儲介質(zhì),按照 “集中管理、審批借用”的原則進(jìn)行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機(jī)須經(jīng)保密辦檢查后方可帶出公司,返回時須進(jìn)行技術(shù)檢查。
第七十五條 因工作需要外單位攜帶便攜式計算機(jī)進(jìn)入公司辦公區(qū)域,需辦理保密審批手續(xù)。
第十章 應(yīng)急響應(yīng)管理
第七十六條 為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件,及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響,保障涉密信息系統(tǒng)的安全穩(wěn)定運(yùn)行,科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案,經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實施。
第七十七條 應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運(yùn)行安全事件和泄密事件,根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。
(一)災(zāi)害事件:根據(jù)實際情況,在保障人身安全前提下,保障數(shù)據(jù)安全和設(shè)備安
。ǘ┕收匣蚬羰录号袛喙收匣蚬舻膩碓磁c性質(zhì),關(guān)閉影響安全與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備,斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息,修復(fù)被破壞的信息,恢復(fù)信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案:1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失,保護(hù)計算機(jī),必要時可關(guān)閉相應(yīng)的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關(guān)閉入侵的端口,限制入侵的IP地址的訪問。對于已經(jīng)造成危害的,應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方法,避免造成更大損失和帶來的影響;
3、內(nèi)部入侵:查清入侵來源,如IP地址、所在區(qū)域、所處辦公室等信息,同時斷開對應(yīng)的交換機(jī)端口,針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點(diǎn)入侵和造成損害的,應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備;
4、網(wǎng)絡(luò)故障:判斷故障發(fā)生點(diǎn)和故障原因,能夠迅速解決的盡快排除故障,并優(yōu)先保證主要應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn);
5、其它未列出的不確定因素造成的事件,結(jié)合具體的情況,做出相應(yīng)的處理。不能處理的及時咨詢,上報公司信息安全領(lǐng)導(dǎo)小組。
第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失,將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置,及時向公司信息安全領(lǐng)導(dǎo)小組報告并提請協(xié)調(diào)處置;
。ㄈ┲卮笫录䥺討(yīng)急響應(yīng)預(yù)案,對突發(fā)事件進(jìn)行處置,及時向公司黨政報告并提請協(xié)調(diào)處置;
。ㄋ模┨貏e重大事件由公司報請中核集團(tuán)公司對信息安全突發(fā)事件進(jìn)行處置。
第七十九條 發(fā)生突發(fā)事件(如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等)應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進(jìn)行處理:
(一)上報科技信息部和保密辦;
。ǘ╆P(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失;
。ㄈ┣袛嗑W(wǎng)絡(luò),隔離事件區(qū)域;
。ㄋ模┎殚唽徲嬘涗泴ふ沂录搭^;
(五)評估系統(tǒng)受損程度;
。⿲σ鹗录┒催M(jìn)行整改;
。ㄆ撸⿲ο到y(tǒng)重新進(jìn)行風(fēng)險評估;
(八)由保密辦根據(jù)風(fēng)險評估結(jié)果并書面確認(rèn)安全后,系統(tǒng)方能重新運(yùn)行;
。ň牛⿲κ录愋汀㈨憫(yīng)、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)的記錄;
。ㄊ┮勒辗ㄒ(guī)制度對責(zé)任人進(jìn)行處理。
第八十條 科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練,檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效,并對其效果進(jìn)行評估,以使用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容,并記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識技能教育與培訓(xùn),并記錄備案。
第八十二條
涉密人員離崗、離職,應(yīng)及時調(diào)整或取消其訪問授權(quán),并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。
第八十三條 承擔(dān)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應(yīng)按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應(yīng)對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進(jìn)行一次自查,并接受國家和上級單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結(jié)果存檔備查。
第八十五條 檢查涉密計算機(jī)和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查(取證)軟件等,應(yīng)覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應(yīng)及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應(yīng)將員工遵守涉密計算機(jī)及信息系統(tǒng)安全保密管理制度的情況,納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人,按公司保密責(zé)任考核及獎懲規(guī)定執(zhí)行。
第十三章 附 則
第八十七條 本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。
第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機(jī)磁(光)介質(zhì)保密管理規(guī)定)[制度編號:(廠1908號)]、《涉密計算機(jī)信息系統(tǒng)保密管理規(guī)定》[制度編號:(20xx)廠1911號]、《涉密計算機(jī)采購、維修、變更、報廢保密管理規(guī)定》[制度編號:(20xx)廠1925號]、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》[制度編號:(20xx)廠1926號]、《涉密信息系統(tǒng)信息保密管理規(guī)定》[制度通告:(20xx)0934號]、《涉密信息系統(tǒng)安全保密管理規(guī)定》[制度通告:(20xx)0935號]同時廢止。
信息安全管理制度4
一、總則
為了加強(qiáng)公司內(nèi)所有信息安全的管理,讓大家充分運(yùn)用計算機(jī)來提高工作效率,特制定本制度。
二、計算機(jī)管理要求
1、IT管理員負(fù)責(zé)公司內(nèi)所有計算機(jī)的管理,各部門應(yīng)將計算機(jī)負(fù)責(zé)人名單報給IT管理員,IT管理員(填寫《計算機(jī)IP地址分配表》)進(jìn)行備案管理。如有變更,應(yīng)在變更計算機(jī)負(fù)責(zé)人一周內(nèi)向IT管理員申請備案。
2、公司內(nèi)所有的計算機(jī)應(yīng)由各部門指定專人使用,每臺計算機(jī)的使用人員均定為計算機(jī)的負(fù)責(zé)人,如果其他人要求上機(jī)(不包括IT管理員),應(yīng)取得計算機(jī)負(fù)責(zé)人的同意,嚴(yán)禁讓外來人員使用工作計算機(jī),出現(xiàn)問題所帶來的一切責(zé)任應(yīng)由計算機(jī)負(fù)責(zé)人承擔(dān)。
3、計算機(jī)設(shè)備未經(jīng)IT管理員批準(zhǔn)同意,任何人不得隨意拆卸更換;如果計算機(jī)出現(xiàn)故障,計算機(jī)負(fù)責(zé)人應(yīng)及時向IT管理員報告,IT管理員查明故障原因,提出整改措施,如屬個人原因,對計算機(jī)負(fù)責(zé)人做出處罰。
4、日常保養(yǎng)內(nèi)容:
A、計算機(jī)表面保持清潔
B、應(yīng)經(jīng)常對計算機(jī)硬盤進(jìn)行整理,保持硬盤整潔性、完整性;
C、下班不用時,應(yīng)關(guān)閉主機(jī)電源。
5、計算機(jī)IP地址和密碼由IT管理員指定發(fā)給各部門,不能擅自更換。計算機(jī)系統(tǒng)專用資料(軟件盤、系統(tǒng)盤、驅(qū)動盤)應(yīng)由專人進(jìn)行保管,不得隨意帶出公司或個人存放。
6、禁止將公司配發(fā)的計算機(jī)非工作原因私自帶走或轉(zhuǎn)借給他人,造成丟失或損壞的要做相應(yīng)賠償,禁止計算機(jī)使用人員對硬盤格式化操作。
7、計算機(jī)的內(nèi)部調(diào)用:
A、IT管理員根據(jù)需要負(fù)責(zé)計算機(jī)在公司內(nèi)的調(diào)用,并按要求組織計算機(jī)的遷移或調(diào)換。
B、計算機(jī)在公司內(nèi)調(diào)用,IT管理員應(yīng)做好調(diào)用記錄,《調(diào)用記錄單》經(jīng)副總經(jīng)理簽字認(rèn)可后交IT管理員存檔。
8、計算機(jī)報廢:
A、計算機(jī)報廢,由使用部門提出,IT管理員根據(jù)計算機(jī)的使用、升級情況,組織鑒定,同意報廢處理的,報部門經(jīng)理批準(zhǔn)后按《固定資產(chǎn)管理規(guī)定》到財務(wù)部辦理報廢手續(xù)。
B、報廢的計算機(jī)殘件由IT管理員回收,組織人員一次性處理。
C、計算機(jī)報廢的條件:
1)主要部件嚴(yán)重?fù)p壞,無升級和維修價值;
2)修理或改裝費(fèi)用超過或接近同等效能價值的設(shè)備。
三、環(huán)境管理
1、計算機(jī)的使用環(huán)境應(yīng)做到防塵、防潮、防干擾及安全接地。
2、應(yīng)盡量保持計算機(jī)周圍環(huán)境的整潔,不要將影響使用或清潔的用品放在計算機(jī)周圍。
3、服務(wù)器機(jī)房內(nèi)應(yīng)做到干凈、整潔、物品擺放整齊;非主管維護(hù)人員不得擅自進(jìn)入。
四、軟件管理和防護(hù)
1、職責(zé):
A、IT管理員負(fù)責(zé)軟件的開發(fā)購買保管、安裝、維護(hù)、刪除及管理。
B、計算機(jī)負(fù)責(zé)人負(fù)責(zé)軟件的使用及日常維護(hù)。
2、使用管理:
A、計算機(jī)系統(tǒng)軟件:要求IT管理員統(tǒng)一配裝正版Windows專業(yè)版,辦公常用辦公軟件安裝正版office專業(yè)版套裝、正版ERP管理系統(tǒng),制圖軟件安裝正版CAD專業(yè)版,殺毒軟件安裝安全殺毒套裝,郵件軟件安裝閃電郵,及自主開發(fā)等各種正版及綠色軟件。
B、禁止私自下載或安裝軟件、游戲、電影等,如工作需要安裝或刪除軟件時,向IT管理員提出申請,經(jīng)檢查符合要求的軟件由IT管理部員或在IT管理員的監(jiān)督下進(jìn)行安裝或刪除。
C、計算機(jī)負(fù)責(zé)人應(yīng)管理好計算機(jī)的操作系統(tǒng)或軟件的用戶名、工號、密碼。若調(diào)整工作崗位,應(yīng)及時通知IT管理部員更改相關(guān)權(quán)限。不得盜用他人用戶名和密碼登錄計算機(jī),或更改、破壞他人的文件資料,做好局域網(wǎng)上共享文件夾的密碼保護(hù)工作。
D、計算機(jī)負(fù)責(zé)人應(yīng)及時做好業(yè)務(wù)相關(guān)軟件的'應(yīng)用程序數(shù)據(jù)備份(刻錄光盤),防止因機(jī)器故障或被誤刪除而引起文件丟失。
E、計算機(jī)軟件在使用過程中如發(fā)現(xiàn)異;虺霈F(xiàn)錯誤代碼時,計算機(jī)負(fù)責(zé)人應(yīng)及時上報IT管理員進(jìn)行處理。
3、升級、防護(hù):
A、如操作系統(tǒng)、軟件需要更新及版本升級,則由IT管理員負(fù)責(zé)升級安裝、購買等。
B、U盤、軟盤在使用前,必須先采用殺毒軟件進(jìn)行掃描殺毒,無病毒后再使用。
C、由IT管理員協(xié)助計算機(jī)負(fù)責(zé)人對計算機(jī)進(jìn)行病毒、木馬程序檢測和清理工作,要求定期更新殺毒軟件。
五、硬件維護(hù)
1、要求:
A、IT管理部員負(fù)責(zé)計算機(jī)或相關(guān)電腦設(shè)備的維護(hù)。
B、對硬件進(jìn)行維護(hù)的人員在拆卸計算機(jī)時,必須采取必要的防靜電措施。
C、對硬件進(jìn)行維護(hù)的人員在作業(yè)完成后或準(zhǔn)備離去時,必須將所拆卸的設(shè)備復(fù)原。
D、對于關(guān)鍵的計算機(jī)設(shè)備應(yīng)配備必要的斷電、繼電保護(hù)電源。
E、IT管理部員應(yīng)按設(shè)備說明書進(jìn)行日常維護(hù),每月一次。
2、維護(hù):
A、計算機(jī)的使用、清潔和保養(yǎng)工作,由計算機(jī)負(fù)責(zé)人負(fù)責(zé);
B、IT管理員必須經(jīng)常檢查計算機(jī)及外設(shè)的狀況,及時發(fā)現(xiàn)和解決問題。
六、網(wǎng)絡(luò)管理
A、禁止瀏覽或登入反動、色情、邪教等不明非法網(wǎng)站、瀏覽非法信息以及利用電子信箱收發(fā)有關(guān)上述內(nèi)容的郵件;不得通過互聯(lián)網(wǎng)或光盤下載安裝傳播病毒以及黑客程序。
B、禁止私自將公司的受控文件及數(shù)據(jù)上傳網(wǎng)絡(luò)與拷貝傳播。
七、維修流程
當(dāng)計算機(jī)出現(xiàn)故障時,應(yīng)立即停止操作,上報公司IT管理員,填寫《公司電腦維修記錄表》;由IT管理員負(fù)責(zé)維修。
八、獎懲辦法
由于計算機(jī)設(shè)備是我們工作中的重要工具。因此,IT管理員將計算機(jī)的管理納入對各計算機(jī)負(fù)責(zé)人的績效考核范圍,并將嚴(yán)格實行。
從本制度公布之日起:
1、凡是發(fā)現(xiàn)以下行為,IT管理員有權(quán)根據(jù)實際情況處罰并追究當(dāng)事人及其直接領(lǐng)導(dǎo)的責(zé)任,嚴(yán)重的則交由上級部門領(lǐng)導(dǎo)對其處理。
A、私自安裝和使用未經(jīng)許可的軟件(含游戲、電影),每個軟件罰50元。
B、計算機(jī)具有密碼功能卻未使用,每次罰10元。
C、下班后,計算機(jī)未退出系統(tǒng)或關(guān)閉顯示器的,每次罰10元。
D、擅自使用他人計算機(jī)或外設(shè)造成不良影響的,每次罰50元。
E、瀏覽登入反動、色情、邪教等不明非法網(wǎng)站,傳播非法郵件的,每次罰100元。
F、如有私自或沒有經(jīng)過IT管理部審核更換計算機(jī)IP地址的,每次罰10元。
G、如有拷貝受控文件及數(shù)據(jù),故意刪除共享資料軟件及計算機(jī)數(shù)據(jù)的,按損失酌情進(jìn)行處罰。
2、凡發(fā)現(xiàn)由于:違章作業(yè),保管不當(dāng),擅自安裝、使用硬件和電氣裝置,而造成硬件的損壞或丟失的,其損失由責(zé)任人賠償硬件價值的全部費(fèi)用。
九、附則
1、本制度為公司計算機(jī)管理制度,要求每一位計算機(jī)負(fù)責(zé)人必須遵守該制度。
2、本制度由IT管理員負(fù)責(zé)編制與修改。
3、本制度由公司總經(jīng)理批準(zhǔn)后執(zhí)行。
編制/日期:IT管理員
審核/日期:20xx年xx月xx日
批準(zhǔn)/日期:20xx年xx月xx日
信息安全管理制度5
一、人員方面
1. 建立網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組;落實具體的安全管理人員。以上人員要提供24小時有效、暢通的聯(lián)系方式。
2. 對安全管理人員進(jìn)行基本培訓(xùn),提高應(yīng)急處理能力。
3. 進(jìn)行全員網(wǎng)絡(luò)安全知識宣傳教育,提高安全意識。
二、設(shè)備方面
1. 對電腦采取有效的安全防護(hù)措施(及時更新系統(tǒng)補(bǔ)丁,安裝有效的防病毒軟件等)。
2. 強(qiáng)化無線網(wǎng)絡(luò)設(shè)備的安全管理(設(shè)置有效的管理口令和連接口令,防止校園周邊人員入侵網(wǎng)絡(luò);如果采用自動分配IP地址,可考慮進(jìn)行Mac地址綁定)。
3. 不用的信息系統(tǒng)及時關(guān)閉(如有些系統(tǒng)只是在開學(xué)、期末、某一階段使用幾天,寒暑假不使用的系統(tǒng)應(yīng)當(dāng)關(guān)閉);
4. 注意有關(guān)密碼的保密工作并牢記密碼,定期更改相關(guān)密碼,注意密碼的`復(fù)雜度,至少8位以上,建議使用字母加數(shù)字加特殊符號的組合方式;
5. 修改默認(rèn)密碼,不能使用默認(rèn)的統(tǒng)一密碼;
6. 在信息系統(tǒng)正常部署完成后,應(yīng)該修改系統(tǒng)后臺調(diào)試期間的密碼,不應(yīng)該繼續(xù)使用工程師調(diào)試系統(tǒng)時所使用的密碼;
7. 正常工作日應(yīng)該保證至少登錄、瀏覽一次系統(tǒng)相關(guān)頁面,及時發(fā)現(xiàn)有無被篡改等異,F(xiàn)象,特殊時間應(yīng)增加檢查頻率;
8. 服務(wù)器上安裝殺毒軟件(保持升級到最新版),至少每周對操作系統(tǒng)進(jìn)行一次病毒掃描檢查、修補(bǔ)系統(tǒng)漏洞,檢查用戶數(shù)據(jù)是否有異常(例如增加了一些非管理員添加的用戶),檢查安裝的軟件是否有異常(例如出現(xiàn)了一些不是管理員安裝的未知用途的程序);
9. 對上網(wǎng)信息(會發(fā)布在前臺的文字、圖片、音視頻等),應(yīng)該由兩位以上工作人員仔細(xì)核對無誤后,再發(fā)布到網(wǎng)站、系統(tǒng)中;
10. 對所有的上傳信息,應(yīng)該有敏感字、關(guān)鍵字過濾、特征碼識別等檢測;
11. 系統(tǒng)、網(wǎng)站的重要數(shù)據(jù)和數(shù)據(jù),每學(xué)期定期做好有關(guān)數(shù)據(jù)的備份工作,包括本地備份和異地備份;
12. 有完善的運(yùn)行日志和用戶操作日志,并能記錄源端口號;
13. 保證頁面正常運(yùn)行,不出現(xiàn)404錯誤等;
14. 加強(qiáng)電腦的使用管理(專人專管,誰用誰負(fù)責(zé);電腦設(shè)置固定IP地址,并登記備案)。
15. 在變更系統(tǒng)管理員、信息員時,應(yīng)該做好交接工作,避免影響系統(tǒng)的正常運(yùn)行,管理員變更后,相關(guān)密碼也應(yīng)該隨之變更;
16. 對于所管理的系統(tǒng)中的子帳號,在相關(guān)人員離職等原因不再管理時,應(yīng)該將有關(guān)帳號禁用或刪除,避免帶來安全隱患;
三、事故處置和匯報
1.發(fā)生網(wǎng)絡(luò)及信息安全事故,無法立即處理的,要及時斷網(wǎng)(值班人員要會進(jìn)行斷網(wǎng)操作);并保護(hù)好相關(guān)現(xiàn)場(主要是電腦和網(wǎng)絡(luò)設(shè)備),以便有關(guān)部門處理。
2.發(fā)生網(wǎng)絡(luò)和信息安全事故要及時逐級匯報。
信息安全管理制度6
1、目標(biāo)
勝達(dá)集團(tuán)信息安全檢查工作的主要目標(biāo)是通過自評估工作,發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題,邊檢查邊整改,確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。
2、評估依據(jù)、范圍和方法
2.1 評估依據(jù)
根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》(信安通[20xx]15號)、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[20xx]48號)以及集團(tuán)公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點(diǎn)是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等,管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜,在檢查工作中強(qiáng)調(diào)對基礎(chǔ)信息系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行安全性評估,具體包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評估。
2.3 評估方法
采用自評估方法。
3、重要資產(chǎn)識別
對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識別,將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的`服務(wù)器進(jìn)行登記匯總,形成重要資產(chǎn)清單。
4、安全事件
對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5、安全檢查項目評估
5.1 規(guī)章制度與組織管理評估
5.1.1組織機(jī)構(gòu)
評估標(biāo)準(zhǔn)
信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。
現(xiàn)狀描述
本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu),但尚未成立信息安全工作機(jī)構(gòu)。
評估結(jié)論
完善信息安全組織機(jī)構(gòu),成立信息安全工作機(jī)構(gòu)。
5.1.2崗位職責(zé)
估標(biāo)準(zhǔn)
崗位要求應(yīng)包括:專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定;崗位實行主、副崗備用制度。
現(xiàn)狀描述
我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員,都是兼責(zé);專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定,崗位沒有實行主、副崗備用制度。
評估結(jié)論
本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員,在條件許可下,配置專職管理人員;專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定,根據(jù)實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
評估標(biāo)準(zhǔn)
病毒管理包括計算機(jī)病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機(jī)制、病毒掃描策略(1周內(nèi)至少進(jìn)行一次掃描)。
現(xiàn)狀描述
本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù),定期從省公司病毒庫服務(wù)器下載、升級安全策略;病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源,每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進(jìn)行二次自動病毒掃描;沒有制定計算機(jī)病毒防治管理制度。
評估結(jié)論
完善病毒預(yù)警和報告機(jī)制,制定計算機(jī)病毒防治管理制度。
5.1.4運(yùn)行管理
評估標(biāo)準(zhǔn)
運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度并實行工作票制度;制定機(jī)房出入管理制度并上墻,對進(jìn)出機(jī)房情況記錄。
現(xiàn)狀描述
沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度,沒有實行工作票制度;機(jī)房出入管理制度上墻,但沒有機(jī)房進(jìn)出情況記錄。
評估結(jié)論
結(jié)合本局具體情況,制訂信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度,實行工作票制度;機(jī)房出入管理制度上墻,記錄機(jī)房進(jìn)出情況。
5.1.5賬號與口令管理
評估標(biāo)準(zhǔn)
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件,半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進(jìn)行變更或注銷。
現(xiàn)狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內(nèi)賬戶密碼、口令有過變更,但沒有變更相關(guān)記錄、通知、文件;半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進(jìn)行變更或注銷。
評估結(jié)論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關(guān)記錄;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進(jìn)行變更或注銷。
5.2 網(wǎng)絡(luò)與系統(tǒng)安全評估
5.2.1網(wǎng)絡(luò)架構(gòu)
評估標(biāo)準(zhǔn)
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,不允許外聯(lián)鏈路繞過防火墻,具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
現(xiàn)狀描述
局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備,城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余;沒有不經(jīng)過防火墻的外聯(lián)鏈路,有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
評估結(jié)論
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,外聯(lián)鏈路沒有繞過防火墻,完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.2網(wǎng)絡(luò)分區(qū)
評估標(biāo)準(zhǔn)
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū),VLAN間的訪問控制設(shè)置合理。
現(xiàn)狀描述
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進(jìn)行分區(qū),VLAN間的訪問控制設(shè)置合理。
評估結(jié)論
對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.3 網(wǎng)絡(luò)設(shè)備
評估標(biāo)準(zhǔn)
網(wǎng)絡(luò)設(shè)備配置有備份,網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用雙電源,關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令強(qiáng)。>8字符,數(shù)字、字母混雜)。
現(xiàn)狀描述
網(wǎng)絡(luò)設(shè)備配置沒有進(jìn)行備份,網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是雙電源,網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。
評估結(jié)論
對網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份,完善SNMP社區(qū)串、本地用戶口令強(qiáng)。>8字符,數(shù)字、字母混雜)。
5.2.4 IP管理
評估標(biāo)準(zhǔn)
有IP地址管理系統(tǒng),IP地址管理有規(guī)劃方案和分配策略,IP地址分配有記錄。
現(xiàn)狀描述
沒有IP地址管理系統(tǒng),正在進(jìn)行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
評估結(jié)論
建立IP地址管理系統(tǒng),加快進(jìn)行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.5補(bǔ)丁管理
評估標(biāo)準(zhǔn)
有補(bǔ)丁管理的手段或補(bǔ)丁管理制度,Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全,有補(bǔ)丁安裝的測試記錄。
現(xiàn)狀描述
通過手工補(bǔ)丁管理手段,沒有制訂相應(yīng)管理制度;Windows系統(tǒng)主機(jī)補(bǔ)丁安裝基本齊全,沒有補(bǔ)丁安裝的測試記錄。
評估結(jié)論
完善補(bǔ)丁管理的手段,制訂相應(yīng)管理制度;補(bǔ)缺Windows系統(tǒng)主機(jī)補(bǔ)丁安裝,補(bǔ)丁安裝前進(jìn)行測試記錄。
5.2.6系統(tǒng)安全配置
評估標(biāo)準(zhǔn)
信息安全管理制度7
一、總則為了保護(hù)企業(yè)的信息安全,特訂立本制度,望全體員工遵照執(zhí)行。
二、計算機(jī)管理要求
1、管理員負(fù)責(zé)公司內(nèi)所有計算機(jī)的管理,各部門應(yīng)將計算機(jī)負(fù)責(zé)人名單報給管理員,管理員(填寫《計算機(jī)地址分配表》)進(jìn)行備案管理。如有變更,應(yīng)在變更計算機(jī)負(fù)責(zé)人一周內(nèi)向管理員申請備案。
2、公司內(nèi)所有的計算機(jī)應(yīng)由各部門指定專人使用,每臺計算機(jī)的使用人員均定為計算機(jī)的負(fù)責(zé)人,如果其他人要求上機(jī)(不包括管理員),應(yīng)取得計算機(jī)負(fù)責(zé)人的同意,嚴(yán)禁讓外來人員使用工作計算機(jī),出現(xiàn)問題所帶來的一切責(zé)任應(yīng)由計算機(jī)負(fù)責(zé)人承擔(dān)。
3、計算機(jī)設(shè)備未經(jīng)管理員批準(zhǔn)同意,任何人不得隨意拆卸更換;如果計算機(jī)出現(xiàn)故障,計算機(jī)負(fù)責(zé)人應(yīng)及時向管理員報告,管理員查明故障原因,提出整改措施,如屬個人原因,對計算機(jī)負(fù)責(zé)人做出處罰。
4、日常保養(yǎng)內(nèi)容
A、計算機(jī)表面保持清潔。
B、應(yīng)經(jīng)常對計算機(jī)硬盤進(jìn)行整理,保持硬盤整潔性、完整性。
C、下班不用時,應(yīng)關(guān)閉主機(jī)電源。
5、計算機(jī)地址和密碼由管理員指定發(fā)給各部門,不能擅自更換。計算機(jī)系統(tǒng)專用資料(軟件盤、系統(tǒng)盤、驅(qū)動盤)應(yīng)由專人進(jìn)行保管,不得隨意帶出公司或個人存放。
6、禁止將公司配發(fā)的計算機(jī)非工作原因私自帶走或轉(zhuǎn)借給他人,造成丟失或損壞的要做相應(yīng)賠償,禁止計算機(jī)使用人員對硬盤格式化操作。
7、計算機(jī)的內(nèi)部調(diào)用
A、管理員根據(jù)需要負(fù)責(zé)計算機(jī)在公司內(nèi)的調(diào)用,并按要求組織計算機(jī)的遷移或調(diào)換。
B、計算機(jī)在公司內(nèi)調(diào)用,管理員應(yīng)做好調(diào)用記錄,《調(diào)用記錄單》經(jīng)副總經(jīng)理簽字認(rèn)可后交管理員存檔。
8、計算機(jī)報廢
A、計算機(jī)報廢,由使用部門提出,管理員根據(jù)計算機(jī)的使用、升級情況,組織鑒定,同意報廢處理的,報部門經(jīng)理批準(zhǔn)后按《固定資產(chǎn)管理規(guī)定》到財務(wù)部辦理報廢手續(xù)。
B、報廢的計算機(jī)殘件由管理員回收,組織人員一次性處理。
C、計算機(jī)報廢的條件:
(1)主要部件嚴(yán)重?fù)p壞,無升級和維修價值。
(2)修理或改裝費(fèi)用超過或接近同等效能價值的設(shè)備。
三、環(huán)境管理
1、計算機(jī)的使用環(huán)境應(yīng)做到防塵、防潮、防干擾及安全接地。
2、應(yīng)盡量保持計算機(jī)周圍環(huán)境的整潔,不要將影響使用或清潔的用品放在計算機(jī)周圍。
3、服務(wù)器機(jī)房內(nèi)應(yīng)做到干凈、整潔、物品擺放整齊;非主管維護(hù)人員不得擅自進(jìn)入。
四、軟件管理和防護(hù)
1、職責(zé):
A、管理員負(fù)責(zé)軟件的開發(fā)購買保管、安裝、維護(hù)、刪除及管理。
B、計算機(jī)負(fù)責(zé)人負(fù)責(zé)軟件的使用及日常維護(hù)。
2、使用管理:
A、計算機(jī)系統(tǒng)軟件:要求管理員統(tǒng)一配裝正版d專業(yè)版,辦公常用辦公軟件安裝正版ffce專業(yè)版套裝、正版E管理系統(tǒng),制圖軟件安裝正版CAD專業(yè)版,殺毒軟件安裝安全殺毒套裝,郵件軟件安裝閃電郵,及自主開發(fā)等各種正版及綠色軟件。
B、禁止私自或安裝軟件、游戲、電影等,如工作需要安裝或刪除軟件時,向管理員提出申請,經(jīng)檢查符合要求的軟件由管理部員或在管理員的監(jiān)督下進(jìn)行安裝或刪除。
C、計算機(jī)負(fù)責(zé)人應(yīng)管理好計算機(jī)的操作系統(tǒng)或軟件的用戶名、工號、密碼。若調(diào)整工作崗位,應(yīng)及時通知管理部員更改相關(guān)權(quán)限。不得盜用他人用戶名和密碼登錄計算機(jī),或更改、破壞他人的文件資料,做好局域網(wǎng)上共享文件夾的密碼保護(hù)工作。
D、計算機(jī)負(fù)責(zé)人應(yīng)及時做好業(yè)務(wù)相關(guān)軟件的應(yīng)用程序數(shù)據(jù)備份(刻錄光盤),防止因機(jī)器故障或被誤刪除而引起文件丟失。
E、計算機(jī)軟件在使用過程中如發(fā)現(xiàn)異;虺霈F(xiàn)錯誤代碼時,計算機(jī)負(fù)責(zé)人應(yīng)及時上報管理員進(jìn)行處理。
3、升級、防護(hù):
A、如操作系統(tǒng)、軟件需要更新及版本升級,則由管理員負(fù)責(zé)升級安裝、購買等。
B、盤、軟盤在使用前,必須先采用殺毒軟件進(jìn)行掃描殺毒,無病毒后再使用。
C、由管理員協(xié)助計算機(jī)負(fù)責(zé)人對計算機(jī)進(jìn)行病毒、木馬程序檢測和清理工作,要求定期更新殺毒軟件。
五、硬件維護(hù)
1、要求:
A、管理部員負(fù)責(zé)計算機(jī)或相關(guān)電腦設(shè)備的維護(hù)。
B、對硬件進(jìn)行維護(hù)的人員在拆卸計算機(jī)時,必須采取必要的防靜電措施。
C、對硬件進(jìn)行維護(hù)的人員在作業(yè)完成后或準(zhǔn)備離去時,必須將所拆卸的設(shè)備復(fù)原。
D、對于關(guān)鍵的計算機(jī)設(shè)備應(yīng)配備必要的斷電、繼電保護(hù)電源。
E、管理部員應(yīng)按設(shè)備說明書進(jìn)行日常維護(hù),每月一次。
2、維護(hù):
A、計算機(jī)的使用、清潔和保養(yǎng)工作,由計算機(jī)負(fù)責(zé)人負(fù)責(zé)。
B、管理員必須經(jīng)常檢查計算機(jī)及外設(shè)的'狀況,及時發(fā)現(xiàn)和解決問題。
六、網(wǎng)絡(luò)管理
1、禁止瀏覽或登入反動、色情、邪教等不明非法網(wǎng)站、瀏覽非法信息以及利用電子信箱收發(fā)有關(guān)上述內(nèi)容的郵件;不得通過互聯(lián)網(wǎng)或光盤安裝傳播病毒以及黑客程序。
2、禁止私自將公司的受控文件及數(shù)據(jù)上傳網(wǎng)絡(luò)與拷貝傳播。
七、維修流程當(dāng)計算機(jī)出現(xiàn)故障時,應(yīng)立即停止操作,上報公司管理員,填寫《公司電腦維修記錄表》;由管理員負(fù)責(zé)維修。
八、獎懲辦法由于計算機(jī)設(shè)備是我們工作中的重要工具。因此,管理員將計算機(jī)的管理納入對各計算機(jī)負(fù)責(zé)人的績效考核范圍,并將嚴(yán)格實行。從本制度公布之日起:
1、凡是發(fā)現(xiàn)以下行為,管理員有權(quán)根據(jù)實際情況處罰并追究當(dāng)事人及其直接領(lǐng)導(dǎo)的責(zé)任,嚴(yán)重的則交由上級部門領(lǐng)導(dǎo)對其處理。
A、私自安裝和使用未經(jīng)許可的軟件(含游戲、電影),每個軟件罰________元。
B、計算機(jī)具有密碼功能卻未使用,每次罰________元。
C、下班后,計算機(jī)未退出系統(tǒng)或關(guān)閉顯示器的,每次罰________元。
D、擅自使用他人計算機(jī)或外設(shè)造成不良影響的,每次罰________元。
E、瀏覽登入反動、色情、邪教等不明非法網(wǎng)站,傳播非法郵件的,每次罰________元。
F、如有私自或沒有經(jīng)過管理部審核更換計算機(jī)地址的,每次罰________元。
G、如有拷貝受控文件及數(shù)據(jù),故意刪除共享資料軟件及計算機(jī)數(shù)據(jù)的,按損失酌情進(jìn)行處罰。
2、凡發(fā)現(xiàn)由于:違章作業(yè),保管不當(dāng),擅自安裝、使用硬件和電氣裝置,而造成硬件的損壞或丟失的,其損失由責(zé)任人賠償硬件價值的全部費(fèi)用。
九、附則
1、本制度為公司計算機(jī)管理制度,要求每一位計算機(jī)負(fù)責(zé)人和員工都必須遵守該制度。
2、本制度由行政部負(fù)責(zé)編制與修改。
3、本制度由公司總經(jīng)理批準(zhǔn)后執(zhí)行。
企業(yè)規(guī)章制度也可以成為企業(yè)用工管理的證據(jù),是公司內(nèi)部的法律,但是并非制定的任何規(guī)章制度都具有法律效力,只有依法制定的規(guī)章制度才具有法律效力。
勞動爭議糾紛案件中,工資支付憑證、社保記錄、招工招聘登記表、報名表、考勤記錄、開除、除名、辭退、解除勞動合同、減少勞動報酬以及計算勞動者工作年限等都由企業(yè)舉證,所以企業(yè)制定和完善相關(guān)規(guī)章制度的時候,應(yīng)該注意收集和保留履行民主程序和公示程序的證據(jù),以免在仲裁和訴訟時候出現(xiàn)舉證不能的后果。
信息安全管理制度8
企業(yè)會計信息分級分類安全管理制度
第一章總則
第一條為加強(qiáng)xx省xx公司,以下簡稱“公司”會計信息化管理,確保會計信息的安全、準(zhǔn)確、及時和完整,根據(jù)財政部《企業(yè)會計信息化工作規(guī)范》的要求,結(jié)合公司的實際情況,制定本規(guī)定。
第二條本規(guī)定適用于公司本部及所屬權(quán)屬企業(yè),包括全資、控股子公司,以下簡稱“各權(quán)屬單位”。
第三條會計信息化是指應(yīng)用會計信息化軟件及計算機(jī)等硬件設(shè)備輸入會計基礎(chǔ)數(shù)據(jù),由計算機(jī)對會計基礎(chǔ)數(shù)據(jù)進(jìn)行處理,并打印輸出會計憑證、會計賬簿、會計報表及相關(guān)會計信息資料。
會計信息化核算的范圍是:賬務(wù)處理、報表處理、固定資產(chǎn)核算、工資核算、往來款項核算以及預(yù)算管理等。
第四條使用的會計信息化軟件必須是通過財政部評審?fù)ㄟ^的商品化會計軟件。機(jī)房相關(guān)設(shè)備符合企業(yè)會計信息化標(biāo)準(zhǔn),滿足會計信息化管理要求。
第二章職責(zé)分工
第五條公司財務(wù)部門負(fù)責(zé)公司會計信息化系統(tǒng)管理工作,研究制定和組織實施公司會計信息化發(fā)展規(guī)劃,負(fù)責(zé)協(xié)調(diào)管理公司財務(wù)軟件系統(tǒng)的維護(hù)、升級和數(shù)據(jù)備份工作,組織和管理會計信息化人員的培訓(xùn)工作,對會計信息化工作及有關(guān)人員進(jìn)行指導(dǎo)、監(jiān)督、考評。
第六條人員、權(quán)限控制。
1、公司各權(quán)屬單位應(yīng)設(shè)立會計信息化管理崗位,按照會計崗位職責(zé)設(shè)置操作權(quán)限。公司各權(quán)屬單位財務(wù)部門負(fù)責(zé)人負(fù)責(zé)權(quán)限的授予,會計崗位之間權(quán)限明確且相互制約。
2、嚴(yán)格密碼管理,會計人員要注意保管自己的密碼或口令,并應(yīng)定期更換。
3、會計人員不得參與系統(tǒng)維護(hù)和數(shù)據(jù)管理工作。
4、會計人員因工作調(diào)整各級計財處負(fù)責(zé)人應(yīng)及時收回相關(guān)權(quán)限。
5、公司董事長、總經(jīng)理、總會計師及財務(wù)負(fù)責(zé)人對公司及公司各權(quán)屬單位的賬務(wù)有瀏覽、查詢的權(quán)限。公司各權(quán)屬單位負(fù)責(zé)人、財務(wù)負(fù)責(zé)人、會計主管、財務(wù)總監(jiān)對本單位的賬務(wù)均有瀏覽、查詢的權(quán)限,但該權(quán)限僅限于其擔(dān)任負(fù)責(zé)人的單位的賬務(wù)。
6、未經(jīng)授權(quán)的人員不得操作會計軟件,不得進(jìn)入、操作相應(yīng)的功能模塊。
7、公司及各權(quán)屬單位NC財務(wù)軟件權(quán)限的開立與變更需由公司財務(wù)部門負(fù)責(zé)人批準(zhǔn)。
第七條安全控制。
1、公司統(tǒng)一委托軟件開發(fā)商負(fù)責(zé)系統(tǒng)維護(hù)和程序數(shù)據(jù)維護(hù)工作。
2、會計信息化管理員負(fù)責(zé)定期對有關(guān)數(shù)據(jù)備份監(jiān)督設(shè)備、網(wǎng)絡(luò)、程序的正常運(yùn)行。
3、任何人未經(jīng)批準(zhǔn),不得擅自直接打開數(shù)據(jù)庫進(jìn)行操作。
4、會計信息化管理員應(yīng)對各類操作人員權(quán)限、密碼實行集中管理,做好保管、監(jiān)督工作。
第三章管理程序及要求
第一節(jié)計算機(jī)機(jī)房、設(shè)備維護(hù)與安全管理和病毒防治制度
第八條確保計算機(jī)機(jī)房等設(shè)備安全運(yùn)行。保持機(jī)房和設(shè)備的整潔
衛(wèi)生,并經(jīng)常對設(shè)備進(jìn)行維護(hù)和保養(yǎng)。配備不間斷電源、空調(diào)等設(shè)備,對發(fā)現(xiàn)問題的硬件及時修理或更換,以保證計算機(jī)機(jī)房的正常運(yùn)行環(huán)境。
第九條確保會計核算軟件和系統(tǒng)軟件的安全、保密。及時處理軟件運(yùn)行故障,并作出維護(hù)記錄。若軟件出現(xiàn)處理不了的故障,應(yīng)及時報告軟件維護(hù)人員及時維護(hù)。
第十條所有的機(jī)房設(shè)立防火墻,財務(wù)微機(jī)必須安裝殺毒軟件,進(jìn)行病毒實時監(jiān)控、殺除,并定期進(jìn)行殺毒軟件升級。如無特殊需求,不得打開未經(jīng)安全認(rèn)證或不熟悉的網(wǎng)頁。
第二節(jié)會計信息化軟件管理
第十一條會計信息化軟件的日常使用管理由會計信息管理員和.委托的軟件開發(fā)單位維護(hù)人員負(fù)責(zé)。會計信息化軟件的.全套文檔資料以及程序必須妥善保管,不得出售、轉(zhuǎn)讓、轉(zhuǎn)借。
第十二條操作人員嚴(yán)格按照授予的功能權(quán)限、數(shù)據(jù)權(quán)限進(jìn)行操作,不得越權(quán)使用軟件。
第十三條操作人員應(yīng)按照軟件使用的要求,正確使用軟件。離開
工作現(xiàn)場必須退出會計軟件,嚴(yán)禁在使用過程中強(qiáng)行中斷程序,以免破壞相關(guān)數(shù)據(jù)。
第十四條嚴(yán)禁在財務(wù)微機(jī)上安裝游戲軟件等與工作無關(guān)的軟件。
第十五條不得在系統(tǒng)文件子目錄下存放任何非系統(tǒng)文件,否則,系統(tǒng)維護(hù)人員有權(quán)刪除文件,文件編輯者自負(fù)后果。
第三節(jié)會計信息化檔案管理
第十六條會計信息化管理崗位負(fù)責(zé)會計信息化檔案管理設(shè)專職檔案員除外。會計信息化檔案是指以磁性介質(zhì)等存儲的會計數(shù)據(jù)和計算機(jī)打印的書面形式的會計信息,包括記賬憑證、會計賬簿、會計報表包括報表格式和計算公式,以及信息化硬件設(shè)備攜帶的說明書、保修單和會計信息化軟件攜帶的說明書等。
壞相關(guān)數(shù)據(jù)。
第十四條嚴(yán)禁在財務(wù)微機(jī)上安裝游戲軟件等與工作無關(guān)的軟件。
第十五條不得在系統(tǒng)文件子目錄下存放任何非系統(tǒng)文件,否則,系統(tǒng)維護(hù)人員有權(quán)刪除文件,文件編輯者自負(fù)后果。
第三節(jié)會計信息化檔案管理
第十六條會計信息化管理崗位負(fù)責(zé)會計信息化檔案管理設(shè)專職檔案員除外。會計信息化檔案是指以磁性介質(zhì)等存儲的會計數(shù)據(jù)和計算機(jī)打印的書面形式的會計信息,包括記賬憑證、會計賬簿、會計報表包括報表格式和計算公式,以及信息化硬件設(shè)備攜帶的說明書、保修單和會計信息化軟件攜帶的說明書等。
第十七條會計信息化檔案要存放在專門的檔案室,具體按公司《會計檔案管理辦法》執(zhí)行。
第十八條記賬憑證、會計賬簿包括總賬、明細(xì)賬、日記賬、固定
資產(chǎn)卡片、固定資產(chǎn)臺賬、輔助賬簿、其他賬簿等、財務(wù)報告包括月度、季度、年度及定期會計報表、附表需定期打印。打印輸出的各種會計資料必須按公司《會計檔案管理辦法》規(guī)定及時歸檔保管。
第十九條嚴(yán)格執(zhí)行會計信息化檔案的借閱批準(zhǔn)制度。除檔案管理員外,任何人員查閱會計檔案都要經(jīng)過財務(wù)負(fù)責(zé)人批準(zhǔn),辦理借閱手續(xù),并保障數(shù)據(jù)的完整和安全。
第四章附則
第二十條會計人員及權(quán)限內(nèi)使用人員必須對所分配權(quán)限設(shè)置操作密碼或口令,并以妥當(dāng)方式保存,注意保密。如因密碼或口令泄漏而導(dǎo)致會計信息泄密的,將追究當(dāng)事人的責(zé)任。
第二十一條本規(guī)定由公司財務(wù)部門負(fù)責(zé)制定、解釋、修訂。
第二十二條本規(guī)定自發(fā)布之日起執(zhí)行。
信息安全管理制度9
一、信息系統(tǒng)安全包括:軟件安全和硬件網(wǎng)絡(luò)安全兩部分。
二、網(wǎng)絡(luò)信息辦公室人員必須采取有效的方法和技術(shù),防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密;硬件破壞及失效等災(zāi)難性故障。
三、對系統(tǒng)用戶的訪問模塊、訪問權(quán)限由使用單位負(fù)責(zé)人提出,交信息化領(lǐng)導(dǎo)小組核準(zhǔn)后,由網(wǎng)絡(luò)信息辦公室人員給予配置并存檔,以后變更必須報批后才能更改,網(wǎng)絡(luò)信息辦公室做好變更日志存檔。
四、系統(tǒng)管理人員應(yīng)熟悉并嚴(yán)格監(jiān)督數(shù)據(jù)庫使用權(quán)限、用戶密碼使用情況,定期更換用戶口令或密碼。網(wǎng)絡(luò)管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時內(nèi)由網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人監(jiān)督檢查更換新的密碼;廠方調(diào)試人員調(diào)試維護(hù)完成后一小時內(nèi),由系統(tǒng)管理員關(guān)閉或修改其所用帳號和密碼。
五、網(wǎng)絡(luò)信息辦公室人員要主動對網(wǎng)絡(luò)系統(tǒng)實行監(jiān)控、查詢,及時對故障進(jìn)行有效隔離、排除和恢復(fù)工作,以防災(zāi)難性網(wǎng)絡(luò)風(fēng)暴發(fā)生。
六、網(wǎng)絡(luò)系統(tǒng)所有設(shè)備的配置、安裝、調(diào)試必須由網(wǎng)絡(luò)信息辦公室人負(fù)責(zé),其他人員不得隨意拆卸和移動。
七、上網(wǎng)操作人員必須嚴(yán)格遵守計算機(jī)及其他相關(guān)設(shè)備的操作規(guī)程,禁止其他人員進(jìn)行與系統(tǒng)操作無關(guān)的工作。
八、嚴(yán)禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。
九、所有進(jìn)入網(wǎng)絡(luò)的軟盤、光盤、U盤等其他存貯介質(zhì),必須經(jīng)過網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人同意并查毒,未經(jīng)查毒的存貯介質(zhì)絕對禁止上網(wǎng)使用,對造成“病毒”蔓延的有關(guān)人員,將對照《計算機(jī)信息系統(tǒng)處罰條例》進(jìn)行相應(yīng)的經(jīng)濟(jì)和行政處罰。
十、在醫(yī)院還沒有有效解決網(wǎng)絡(luò)安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統(tǒng)和堡壘主機(jī))的情況下,內(nèi)外網(wǎng)獨(dú)立運(yùn)行,所有終端內(nèi)外網(wǎng)不能混接,嚴(yán)禁外網(wǎng)用戶通過U盤等存貯介質(zhì)拷貝文件到內(nèi)網(wǎng)終端。
十一、內(nèi)網(wǎng)用戶所有文件傳遞,不得利用軟盤、光盤和U盤等存貯介質(zhì)進(jìn)行拷貝。
十二、保持計算機(jī)硬件網(wǎng)絡(luò)設(shè)備清潔衛(wèi)生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網(wǎng)絡(luò)信息辦公室人員有權(quán)監(jiān)督和制止一切違反安全管理的行為。信息系統(tǒng)故障應(yīng)急預(yù)案
一、對網(wǎng)絡(luò)故障的判斷
當(dāng)網(wǎng)絡(luò)系統(tǒng)終端發(fā)現(xiàn)計算機(jī)訪問數(shù)據(jù)庫速度遲緩、不能進(jìn)入相應(yīng)程序、不能保存數(shù)據(jù)、不能訪問網(wǎng)絡(luò)、應(yīng)用程序非連續(xù)性工作時,要立即向網(wǎng)絡(luò)信息辦公室匯報,網(wǎng)絡(luò)信息辦公室工作人員對科室提出的上述問題必須重視,經(jīng)核實后給予科室反饋信息。網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人應(yīng)召集有關(guān)人員及時進(jìn)行討論,如果故障原因明確,可以立刻恢復(fù)工作的,應(yīng)立即恢復(fù)工作;如故障原因不明確、情況嚴(yán)重不能在短期內(nèi)排除的,應(yīng)立即報告醫(yī)務(wù)部和院領(lǐng)導(dǎo),在網(wǎng)絡(luò)不能運(yùn)轉(zhuǎn)的情況下由機(jī)關(guān)協(xié)調(diào)全院工作以保障醫(yī)療工作的正常運(yùn)轉(zhuǎn)。網(wǎng)絡(luò)故障分為三類:
一類故障:服務(wù)器不能工作;光纖損壞;主服務(wù)器數(shù)據(jù)丟失;備份盤損壞;服務(wù)器工作不穩(wěn)定;局部網(wǎng)絡(luò)不通;數(shù)據(jù)被人刪改;重點(diǎn)終端故障;規(guī)律性的整體、局部軟、硬件故障。
二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數(shù)據(jù)處理錯誤;某些科室違反工作流程要求。
三類故障:各終端由于不熟練或使用不當(dāng)造成的錯誤。針對上述故障分類等級,處理方案如下:
一類故障———由網(wǎng)絡(luò)信息辦公室主任上報醫(yī)務(wù)部和院領(lǐng)導(dǎo),由醫(yī)務(wù)部組織協(xié)調(diào)恢復(fù)工作。
二類故障———由技術(shù)工程師上報網(wǎng)絡(luò)信息辦公室主任,由網(wǎng)絡(luò)信息辦公室集中解決。
三類故障———由技術(shù)工程師單獨(dú)解決,并詳細(xì)登記情況。
二、網(wǎng)絡(luò)整體故障的首要工作
。ㄒ唬┊(dāng)網(wǎng)絡(luò)信息辦公室一旦確定為網(wǎng)絡(luò)整體故障,首先是立刻報告醫(yī)務(wù)部。醫(yī)務(wù)部應(yīng)立即按上報程序向院領(lǐng)導(dǎo)匯報。網(wǎng)絡(luò)信息辦公室需馬上組織恢復(fù)工作,并充分考慮到特殊情況如節(jié)假日、病員量大、人員外出及醫(yī)院的重大活動對故障恢復(fù)帶來的時間影響。
(二)當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)整體故障時,根據(jù)故障恢復(fù)時間的程度將轉(zhuǎn)入手工工作的'時限明確如下:
1、10分鐘內(nèi)不能恢復(fù)———門診掛號、住院登記、藥房轉(zhuǎn)入手工操作;門診收費(fèi)、住院核算、西藥房工作轉(zhuǎn)入老系統(tǒng)操作。
2、6小時內(nèi)不能恢復(fù)———原則上將醫(yī)師工作站、護(hù)士工作站、藥房、急診檢查、入院、手術(shù)室、醫(yī)技檢查轉(zhuǎn)入手工操作(具體實行時間及步驟由醫(yī)務(wù)部、護(hù)理部通知)。
3、24小時以上不能恢復(fù)———將出院核算轉(zhuǎn)入手工。
三、具體協(xié)調(diào)工作
。ㄒ唬┧惺止すぷ鞯慕y(tǒng)一時間須由醫(yī)務(wù)部或網(wǎng)絡(luò)信息辦公室通知,相關(guān)單位嚴(yán)格按照通知時間協(xié)調(diào)工作,在未接到新的指示前不準(zhǔn)私自操作計算機(jī)。
。ǘ╅T診掛號工作協(xié)調(diào)
1、門診掛號協(xié)調(diào)工作由門診部護(hù)士長負(fù)責(zé)協(xié)調(diào)請示,如手工掛號的轉(zhuǎn)入、轉(zhuǎn)出時間等;
2、當(dāng)網(wǎng)絡(luò)系統(tǒng)中斷時,改為手工掛號;
3、網(wǎng)絡(luò)恢復(fù)后,及時將中斷期間的患者信息輸入到計算機(jī);
4、在以后的工作中如發(fā)現(xiàn)某位患者的信息系統(tǒng)內(nèi)沒有記載,應(yīng)詳細(xì)詢問患者以前是否是在網(wǎng)絡(luò)故障時就診過。
(三)門診收費(fèi)系統(tǒng)工作協(xié)調(diào)
1、由收款處科主任負(fù)責(zé)總體協(xié)調(diào),并與網(wǎng)絡(luò)信息辦公室保持聯(lián)系,及時反饋溝通最新消息;
2、當(dāng)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中斷超過10分鐘時,應(yīng)通知收款處轉(zhuǎn)入手工收款工作;
3、門診收款負(fù)責(zé)同志應(yīng)建立手工發(fā)票使用登記本,對發(fā)票使用情況做詳細(xì)登記;
4、當(dāng)系統(tǒng)恢復(fù)正常時,由收款處負(fù)責(zé)同志負(fù)責(zé)對網(wǎng)絡(luò)運(yùn)行穩(wěn)定性進(jìn)行監(jiān)測,如不穩(wěn)定,及時向網(wǎng)絡(luò)信息辦公室反映情況。
5、在接到使用計算機(jī)的指令并重新啟動運(yùn)行后,門診收款負(fù)責(zé)人應(yīng)組織收款員逐步轉(zhuǎn)入到機(jī)器操作。
。ㄋ模┳≡嘿M(fèi)用核算系統(tǒng)工作協(xié)調(diào)
1、由住院處科主任總體負(fù)責(zé)協(xié)調(diào)工作;
2、當(dāng)系統(tǒng)停止運(yùn)行超過2天時,對普通出院患者,推遲出院結(jié)算時間;對急出院的患者應(yīng)根據(jù)病歷和臨床科室護(hù)士工作站記錄,進(jìn)行手工核算出院。
3、在網(wǎng)絡(luò)停止運(yùn)行期間,出院患者急需結(jié)算時,應(yīng)由該科護(hù)士工作站追查是否還有正在進(jìn)行的檢查,向結(jié)算室提供詳細(xì)費(fèi)用情況后,方可送交核算。
(五)臨床工作系統(tǒng)協(xié)調(diào)
1、臨床科工作由醫(yī)務(wù)部、護(hù)理部共同協(xié)調(diào);
2、網(wǎng)絡(luò)故障期間臨床科室詳細(xì)記錄患者的所有費(fèi)用執(zhí)行情況;
3、科室詳細(xì)填寫每個患者的藥品請領(lǐng)單(包括姓名、ID號、費(fèi)別、藥品名稱及用量),一式兩份,一份用于科室補(bǔ)錄醫(yī)囑,另一份送西藥房;
4、出院帶藥由經(jīng)管醫(yī)師負(fù)責(zé)掌握經(jīng)費(fèi)情況,如出現(xiàn)費(fèi)用超支情況由該醫(yī)師負(fù)責(zé);
5、根據(jù)醫(yī)務(wù)部通知恢復(fù)運(yùn)行時間,按要求補(bǔ)錄醫(yī)囑。
6、如患者急需出院,應(yīng)向核算室提供詳細(xì)費(fèi)用情況,對正在進(jìn)行的檢查應(yīng)予以說明。
(六)醫(yī)技檢查工作協(xié)調(diào)
1、在網(wǎng)絡(luò)停運(yùn)期間應(yīng)詳細(xì)留取、整理檢查申請單底聯(lián);
2、網(wǎng)絡(luò)恢復(fù)后根據(jù)檢查單底聯(lián)登記,通過手工記價補(bǔ)錄患者費(fèi)用;
3、對出院快或有出院傾向的患者各科在申請單上注明,檢查科室應(yīng)及時通知科室或出院處溝通費(fèi)用情況。
(七)藥房工作協(xié)調(diào)
1、中心擺藥應(yīng)嚴(yán)格按照網(wǎng)絡(luò)信息辦公室規(guī)定的時間及要求進(jìn)行計算機(jī)操作;
2、網(wǎng)絡(luò)故障時,根據(jù)臨床科提供的藥品請領(lǐng)單發(fā)藥;
3、網(wǎng)絡(luò)恢復(fù)時對臨床科室補(bǔ)錄的擺藥醫(yī)囑進(jìn)行發(fā)藥補(bǔ)充確認(rèn),同時與發(fā)藥時藥品請領(lǐng)單內(nèi)容詳細(xì)核對,如發(fā)現(xiàn)內(nèi)容不符,必須詳細(xì)追查;
4、網(wǎng)絡(luò)恢復(fù)后對出院帶藥處方及時進(jìn)行錄入;
5、數(shù)據(jù)補(bǔ)錄工作結(jié)束后應(yīng)查看系統(tǒng)內(nèi)庫存與實際庫存相符情況。
各信息點(diǎn)接到重新運(yùn)行通知時,需重新啟動計算機(jī),整體網(wǎng)絡(luò)故障的工程恢復(fù)工作,由網(wǎng)絡(luò)信息辦公室嚴(yán)格按照服務(wù)器數(shù)據(jù)管理要求進(jìn)行恢復(fù)工作。
四、網(wǎng)絡(luò)修復(fù)后的數(shù)據(jù)處理
(一)由各科組織核;颊哔M(fèi)用情況;
。ǘ┧幏啃2閹齑妫
。ㄈ┡R床科室補(bǔ)錄患者醫(yī)囑。
各科室要嚴(yán)格各項操作并及時反饋執(zhí)行中的有關(guān)情況。
信息安全管理制度10
1、校園網(wǎng)的所有工作人員和用戶必須遵守國家有關(guān)法律、法規(guī),嚴(yán)格執(zhí)行安全保密制度,并對所提供的信息負(fù)責(zé)。
2、任何個人不得利用計算機(jī)網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密的活動;不得查閱、復(fù)制和傳播有礙社會治安和傷風(fēng)敗俗的`信息。
3、校園網(wǎng)的所有工作人員和用戶必須接受并配合學(xué)校治安部門依法進(jìn)行的監(jiān)督檢查和采取的必要措施。
4、校園網(wǎng)實行統(tǒng)一管理、分層負(fù)責(zé)制。網(wǎng)絡(luò)中心對校級資源進(jìn)行管理,各處、室、部門管理人員負(fù)責(zé)對各處、室、部門級資源進(jìn)行管理,計算機(jī)系統(tǒng)管理員負(fù)責(zé)對各計算機(jī)系統(tǒng)的管理。
5、嚴(yán)禁任何用戶擅自連入校園網(wǎng),入網(wǎng)單位和個人要辦理入網(wǎng)登記手續(xù),并簽署相應(yīng)的信息安全協(xié)議。
6、各單位設(shè)專人負(fù)責(zé)審查上網(wǎng)信息,嚴(yán)禁涉及國家機(jī)密的信息上網(wǎng)。
7、校園網(wǎng)工作人員和用戶在網(wǎng)絡(luò)上發(fā)現(xiàn)有礙社會治安和不健康的信息時有義務(wù)及時上報網(wǎng)絡(luò)管理人員并自覺進(jìn)行銷毀。
8、校園網(wǎng)各級管理機(jī)構(gòu)設(shè)定網(wǎng)絡(luò)安全員,負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作,并定期對網(wǎng)絡(luò)用戶進(jìn)行有關(guān)信息安全和網(wǎng)絡(luò)安全教育。
9、室內(nèi)嚴(yán)禁吸煙,嚴(yán)禁將易燃、易爆物品帶入室內(nèi);嚴(yán)禁將飲料、開水放在機(jī)器旁。
10、中心內(nèi)的設(shè)備沒有負(fù)責(zé)人允許,不得私自折裝;有關(guān)軟硬件的添加、安裝必須有負(fù)責(zé)人或技術(shù)人員專門指導(dǎo),服務(wù)器嚴(yán)禁安裝任何軟件。
11、積極配合教師培訓(xùn),學(xué)生課外興趣小組活動和各競賽的輔導(dǎo)工作。
信息安全管理制度11
一、 定期組織管理員認(rèn)真學(xué)習(xí)《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保
護(hù)管理辦法》、《網(wǎng)絡(luò)安全管理制度》及《信息審核管理制度》提高網(wǎng)絡(luò)管理員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。
二、 負(fù)責(zé)對本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn),使用戶自覺遵守和維
護(hù)《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,使他們具備基本的網(wǎng)絡(luò)安全知識。
三、 對信息源接入單位進(jìn)行安全教育和培訓(xùn),使他們自覺遵守和維
護(hù)《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,杜絕發(fā)布違反《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》的信息內(nèi)容。
四、 不定期地邀請有關(guān)人員進(jìn)行信息安全方面的'培訓(xùn),加強(qiáng)對有害信息,特別是映射性有害信息的識別能力,提高防范能力。
五、 遇到安全問題是,及時匯報上級領(lǐng)導(dǎo),采取措施及時解決。
信息安全管理制度12
學(xué)校校園網(wǎng)是為教學(xué)及學(xué)校管理而建立的計算機(jī)信息網(wǎng)絡(luò),目的在于利用先進(jìn)實用的計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù),實現(xiàn)校園內(nèi)計算機(jī)互聯(lián)、資源共享,并為師生提供豐富的網(wǎng)上資源。為了保護(hù)校園網(wǎng)絡(luò)系統(tǒng)的安全、促進(jìn)學(xué)校計算機(jī)網(wǎng)絡(luò)的應(yīng)用和發(fā)展,保證校園網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)用戶的使用權(quán)益,更好的為教育教學(xué)服務(wù),特制定如下管理條例。
第一章總則
1、本管理制度所稱的校園網(wǎng)絡(luò)系統(tǒng),是指由校園網(wǎng)絡(luò)設(shè)備、配套的網(wǎng)絡(luò)線纜設(shè)施、網(wǎng)絡(luò)服務(wù)器、工作站、學(xué)校辦公及教師教學(xué)用計算機(jī)等所構(gòu)成的,為校園網(wǎng)絡(luò)應(yīng)用而服務(wù)的硬件、軟件的集成系統(tǒng)。
2、校園網(wǎng)絡(luò)的安全管理,應(yīng)當(dāng)保障計算機(jī)網(wǎng)絡(luò)設(shè)備和配套設(shè)施的安全,保障信息的安全和運(yùn)行環(huán)境的安全,保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,保障信息系統(tǒng)的安全運(yùn)行。
3、校園網(wǎng)絡(luò)及信息安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作,定期對相應(yīng)的網(wǎng)絡(luò)用戶進(jìn)行有關(guān)信息安全和網(wǎng)絡(luò)安全教育并對上網(wǎng)信息進(jìn)行審查和監(jiān)控。
4、所有上網(wǎng)用戶必須遵守國家有關(guān)法律、法規(guī),嚴(yán)格執(zhí)行安全保密制度,并對所提供的信息負(fù)責(zé)。任何單位和個人不得利用聯(lián)網(wǎng)計算機(jī)從事危害校園網(wǎng)及本地局域網(wǎng)服務(wù)器、工作站的活動。
5、進(jìn)入校園網(wǎng)的全體學(xué)生、教職員工必須接受并配合國家有關(guān)部門及學(xué)校依法進(jìn)行的監(jiān)督檢查,必須接受學(xué)校校園網(wǎng)絡(luò)及信息安全管理領(lǐng)導(dǎo)小組進(jìn)行的網(wǎng)絡(luò)系統(tǒng)及信息系統(tǒng)的安全檢查。
6、使用校園網(wǎng)的全體師生有義務(wù)向校園網(wǎng)絡(luò)及信息安全管理領(lǐng)導(dǎo)小組和有關(guān)部門報告違法行為和有害信息。
第二章網(wǎng)絡(luò)安全管理細(xì)則
1、網(wǎng)絡(luò)管理中心機(jī)房及計算機(jī)網(wǎng)絡(luò)教室要裝置調(diào)溫、調(diào)濕、穩(wěn)壓、接地、防雷、防火、防盜等設(shè)備,管理人員應(yīng)每天檢查上述設(shè)備是否正常,保證網(wǎng)絡(luò)設(shè)備的安全運(yùn)行,要建立完整、規(guī)范的校園網(wǎng)設(shè)備運(yùn)行情況檔案及網(wǎng)絡(luò)設(shè)備賬目,認(rèn)真做好各項資料(軟件)的記錄、分類和妥善保存工作。
2、校園網(wǎng)由學(xué)校電教處統(tǒng)一管理及維護(hù)。連入校園網(wǎng)的各部門、處室、教室和個人使用者必須嚴(yán)格使用由電教處分配的IP地址,網(wǎng)絡(luò)管理員對入網(wǎng)計算機(jī)和使用者進(jìn)行及時、準(zhǔn)確登記備案,由電教處負(fù)責(zé)對其進(jìn)行監(jiān)督和檢查。任何人不得更改IP及網(wǎng)絡(luò)設(shè)置,不得盜用IP地址及用戶帳號。
3、與校園網(wǎng)相連的計算機(jī)用戶建設(shè)應(yīng)當(dāng)符合國家的有關(guān)標(biāo)準(zhǔn)和規(guī)定,校園內(nèi)從事施工、建設(shè),不得危害計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。
4、網(wǎng)絡(luò)管理員負(fù)責(zé)全校網(wǎng)絡(luò)及信息的安全工作,建立網(wǎng)絡(luò)事故報告并定期匯報,及時解決突發(fā)事件和問題。校園網(wǎng)各服務(wù)器發(fā)生案件、以及遭到黑客攻擊后,電教處必須及時備案并向公安機(jī)關(guān)報告。
5、網(wǎng)絡(luò)教室及相關(guān)設(shè)施未經(jīng)校領(lǐng)導(dǎo)批準(zhǔn)不準(zhǔn)對社會開放。
6、校園網(wǎng)中對外發(fā)布信息的Web服務(wù)器中的內(nèi)容必須經(jīng)領(lǐng)導(dǎo)審核,由負(fù)責(zé)人簽署意見后再由信息員發(fā)布。新聞公布、公文發(fā)布權(quán)限要經(jīng)過校領(lǐng)導(dǎo)的'批準(zhǔn)。
7、校園網(wǎng)各類服務(wù)器中開設(shè)的帳戶和口令為個人用戶所擁有,電教部門對用戶口令保密,不得向任何單位和個人提供這些信息。校園網(wǎng)及子網(wǎng)的系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實施保密措施。
8、電教部門統(tǒng)一在每臺計算機(jī)上安裝防病毒軟件,各部門、教研組、辦公室要切實做好防病毒措施,隨時注意殺毒軟件是否開啟,及時在線升級殺毒軟件,及時向電教部門報告陌生、可疑郵件和計算機(jī)非正常運(yùn)行等情況。
9、未經(jīng)電教部門及校園各子網(wǎng)網(wǎng)管的同意,不得將有關(guān)服務(wù)器、工作站上的系統(tǒng)軟件、應(yīng)用軟件轉(zhuǎn)錄、傳遞到校外。
10、切實保護(hù)校園網(wǎng)的設(shè)備和線路,未經(jīng)允許不準(zhǔn)擅自改動計算機(jī)的連接線,不準(zhǔn)打開計算機(jī)主機(jī)的機(jī)箱,不準(zhǔn)擅自移動計算機(jī)、線路設(shè)備及附屬設(shè)備,不準(zhǔn)擅自把計算機(jī)設(shè)備外借。
11、各處室部門和教研組備課組必須加強(qiáng)對計算機(jī)的上網(wǎng)行為和相關(guān)軟件應(yīng)用的指導(dǎo)管理,指定專人負(fù)責(zé)管理,發(fā)現(xiàn)問題應(yīng)及時報告電教處處理。
12、對校園網(wǎng)絡(luò)實行管理員24小時巡查制度,雙休日、節(jié)假日,要有專人檢查網(wǎng)絡(luò)及信息安全運(yùn)行情況。
13、服務(wù)器系統(tǒng)及各類網(wǎng)絡(luò)服務(wù)系統(tǒng)的系統(tǒng)日志、網(wǎng)絡(luò)運(yùn)行日志、用戶使用日志等均應(yīng)嚴(yán)格按照保留60天的要求設(shè)置,郵件服務(wù)器系統(tǒng)嚴(yán)禁使用匿名轉(zhuǎn)發(fā)功能。
第三章網(wǎng)絡(luò)用戶安全守則
1、使用校園網(wǎng)的全體師生必須對所提供的信息負(fù)責(zé)。嚴(yán)禁制造和輸入計算機(jī)病毒,以及其他有害數(shù)據(jù),危害計算機(jī)信息系統(tǒng)的安全,不得利用計算機(jī)聯(lián)網(wǎng)從事危害家安全、泄露秘密等犯罪活動,不得制作、查閱、復(fù)制和傳播有礙社會治安,不得在校園網(wǎng)及其連網(wǎng)計算機(jī)上錄閱傳送有反政府政治問題和淫穢色情內(nèi)容有傷風(fēng)化的信息。
2、除校園網(wǎng)負(fù)責(zé)人員外,其他單位或個人不得以任何方式試圖登陸進(jìn)入校園網(wǎng)服務(wù)器或計算機(jī)等設(shè)備進(jìn)行修改、設(shè)置、刪除等操作;任何單位和個人不得以任何借口盜竊、破壞網(wǎng)絡(luò)設(shè)施,這些行為被視為對校園網(wǎng)安全運(yùn)行的破壞行為。
3、用戶要嚴(yán)格遵守校園網(wǎng)絡(luò)管理規(guī)定和網(wǎng)絡(luò)用戶行為規(guī)范,不隨意把戶頭借給他人使用,增強(qiáng)自我保護(hù)意識,經(jīng)常更換口令,保護(hù)好戶頭和IP地址。嚴(yán)禁用各種手段破解他人口令、盜用戶頭和IP地址。
4、在校園網(wǎng)上的計算機(jī)網(wǎng)絡(luò)用戶禁止刪除或卸載電教部門統(tǒng)一安裝的殺毒軟件和其它應(yīng)用軟件以及計算機(jī)的相關(guān)設(shè)置,不使用盜版軟件,不允許玩電子游戲,不允許無關(guān)人員使用,也不允許進(jìn)行與工作無關(guān)的操作。
5、使用校園網(wǎng)的全體師生發(fā)現(xiàn)違法行為和有害的、不健康的信息及時向校園網(wǎng)絡(luò)及信息安全管理領(lǐng)導(dǎo)小組報告。
6、需在校內(nèi)交流和存檔的數(shù)據(jù),按規(guī)定地址存放,不得存放在硬盤的C盤區(qū),私人文件不得保存在工作電腦中,由此造成的文件丟失損壞等后果自負(fù)。
7、嚴(yán)禁在校園網(wǎng)內(nèi)使用來歷不明、引發(fā)病毒傳染的軟件或文件;對于外來光盤、優(yōu)盤、軟盤上的文件應(yīng)使用合格的殺毒軟件進(jìn)行查殺毒。
8、專用的財務(wù)工作電腦和重要管理數(shù)據(jù)的電腦最好不要接入網(wǎng)絡(luò)工作。
第四章處罰辦法
違反本制度規(guī)定,有下列行為之一者,學(xué)?商岢鼍妗⑼V蛊渖暇W(wǎng),情節(jié)嚴(yán)重者給予行政處分,或提交司法部門處理。
1、查閱、復(fù)制或傳播下列信息者:
(1)煽動分裂國家、破壞國家統(tǒng)一和民族團(tuán)結(jié)、推翻社會主義制度;
(2)煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施;
。3)捏造或者歪曲事實,故意散布謠言,擾亂社會秩序;
。4)公然侮辱他人或者捏造事實誹謗他人;
。5)宣揚(yáng)封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2、破壞、盜用計算機(jī)網(wǎng)絡(luò)中的信息資源和進(jìn)行危害計算機(jī)網(wǎng)絡(luò)安全的活動。
3、盜用他人帳號或私自轉(zhuǎn)借、轉(zhuǎn)讓用戶帳號造成危害者。
4、故意制作、傳播計算機(jī)病毒等破壞性程序者。
5、上網(wǎng)信息審查不嚴(yán),造成嚴(yán)重后果者。
6、使用任何工具破壞網(wǎng)絡(luò)正常運(yùn)行或竊取他人信息者。
7、有盜用IP地址、盜用帳號和口令、破解用戶口令等危及網(wǎng)絡(luò)安全運(yùn)行與管理的惡劣行徑者。
信息安全管理制度13
為維護(hù)互聯(lián)網(wǎng)環(huán)境安全、健康,根據(jù)《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等國家法律、法規(guī),特制定本制度。
總則
一、嚴(yán)格遵守國家有關(guān)涉及互聯(lián)網(wǎng)方面的法律法規(guī);
二、堅決封堵互聯(lián)網(wǎng)上不良和有害信息的侵入;
三、積極配合公安機(jī)關(guān)的網(wǎng)絡(luò)信息安全部門檢查;
四、按照備案要求,及時備案本單位在互聯(lián)網(wǎng)應(yīng)用方面的變更信息;
五、在本單位建立網(wǎng)絡(luò)信息安全保護(hù)小組,并報公安機(jī)關(guān)的網(wǎng)絡(luò)安全部門備案;
六、根據(jù)本單位在互聯(lián)網(wǎng)應(yīng)用的實際情況,在安全員、安全教育和培訓(xùn)、機(jī)房管理、安全保護(hù)技術(shù)措施、巡視上報、帳號使用和操作權(quán)限管理等方面制定以下細(xì)則制度。
安全員制度
一、設(shè)立2人以上專職或兼職計算機(jī)信息網(wǎng)絡(luò)安全員(以下簡稱安全員);
二、安全員主要負(fù)責(zé)全校網(wǎng)絡(luò)(包含局域網(wǎng)、廣域網(wǎng))的系統(tǒng)安全性;
三、安全員負(fù)責(zé)全校網(wǎng)絡(luò)安全方面操作和知識的培訓(xùn);
四、安全員負(fù)責(zé)系統(tǒng)數(shù)據(jù)的冗災(zāi)備份工作;
五、安全員確保系統(tǒng)日志保存完善并保留60天以上(日志包含校內(nèi)部聯(lián)網(wǎng)和網(wǎng)站兩大塊);
六、對系統(tǒng)防病毒系統(tǒng)、防火墻和入侵檢測系統(tǒng)的定期升級。定期對系統(tǒng)作安全檢測,及時發(fā)現(xiàn)安全漏洞予以消除,對檢測結(jié)果和漏洞消除情況有記錄;
七、安全員應(yīng)經(jīng)常保持對最新技術(shù)的掌握,實時了解網(wǎng)絡(luò)信息安全的動向,做到預(yù)防為主;
八、安全員承擔(dān)對不良、有害信息上報、處置工作職責(zé);
九、另安全員承擔(dān)本單位制定的其他和公安機(jī)關(guān)交辦的相關(guān)網(wǎng)絡(luò)安全職責(zé)。
與公安聯(lián)系制度
一、建立與公安機(jī)關(guān)聯(lián)系的長效機(jī)制,對網(wǎng)絡(luò)安全方面出現(xiàn)的問題和情況及時溝通;
二、網(wǎng)絡(luò)安全管理員保持通訊暢通,確保24小時內(nèi)有急事聯(lián)系到人;
三、對計算機(jī)信息系統(tǒng)中發(fā)生的案件,應(yīng)當(dāng)24小時內(nèi)向當(dāng)?shù)毓瞐il:XXX,并電話確認(rèn)郵件送機(jī)關(guān)報告(電話:XXX轉(zhuǎn)XX或者em達(dá))。
安全教育和培訓(xùn)
一、安全員定期接受公安機(jī)關(guān)相關(guān)部門的安全培訓(xùn);
二、對員工和用戶在《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等關(guān)于網(wǎng)絡(luò)安全方面的國家法律、法規(guī)的學(xué)習(xí)、培訓(xùn),提高工作人員(特別是安全員)的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性;
三、實時了解網(wǎng)絡(luò)信息安全的動向,不定期地對本單位聯(lián)網(wǎng)用戶(包含單位其他聯(lián)網(wǎng)工作人員等)進(jìn)行關(guān)于最新系統(tǒng)漏洞修復(fù)和最新病毒預(yù)防等安全防范方面的的培訓(xùn)和學(xué)習(xí)。
四、適時對全校員工進(jìn)行基本的網(wǎng)絡(luò)安全保護(hù)制度和具體方法進(jìn)行介紹,切實維護(hù)計算機(jī)聯(lián)網(wǎng)安全。
五、網(wǎng)絡(luò)安全防范方面的的`培訓(xùn)和學(xué)習(xí)方面,暢通與公安機(jī)關(guān)有關(guān)人員的聯(lián)系渠道,加強(qiáng)對各類有害信息、特別是影射性有害信息的識別能力,提高安全防犯能力。
機(jī)房管理制度
一、對能夠進(jìn)入機(jī)房人員的設(shè)定要求(如:非機(jī)房人員準(zhǔn)入制度等等);
二、對任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對設(shè)備正常運(yùn)行構(gòu)成威脅的物品的禁止要求;
三、對運(yùn)行設(shè)備及各種配置等等進(jìn)行更改、增減的權(quán)限規(guī)定;
四、操作密碼定期更改要求,超級用戶權(quán)限設(shè)定、機(jī)房管理員權(quán)限等等的權(quán)限設(shè)定;
五、各種主要數(shù)據(jù)的冗災(zāi)備份要求;
六、《機(jī)房日志》及軟件維護(hù)、增刪、配置的更改,各類硬件設(shè)備的添加、更換等登記要求;
七、對機(jī)房內(nèi)設(shè)置的消防器材等不定期進(jìn)行檢查的要求,以保證其有效性;
八、機(jī)房環(huán)境(如整潔、溫度等等)的要求;
九、其他。
安全保護(hù)技術(shù)措施制度
一、系統(tǒng)日志保存完善。根據(jù)不同互聯(lián)網(wǎng)服務(wù)性質(zhì)保存相應(yīng)的日志項目(具體項目參照《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》,項目應(yīng)達(dá)到的標(biāo)準(zhǔn)參照《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》GA610-20xx、GA611-20xx、GA612-20xx),做到保存項目完整、保存時間在60天以上;
二、對系統(tǒng)安全防范系統(tǒng)定期檢測、升級、漏洞修補(bǔ),確保系統(tǒng)安全;
三、系統(tǒng)數(shù)據(jù)冗災(zāi)備份;
四、定期巡視,確保信息安全、合法。
巡視上報制度
一、對于論壇BBS、社區(qū)、留言板、聊天室、游戲,建立信息發(fā)布前的關(guān)鍵字或敏感詞匯的過濾機(jī)制(關(guān)鍵字內(nèi)容包含邪教術(shù)語、淫穢術(shù)語等等,密切關(guān)注社會動態(tài),對關(guān)鍵字或敏感詞匯作及時調(diào)整等等方面的具體規(guī)定);
二、對于電子郵件服務(wù),建立垃圾郵件的自動過濾功能;
三、上述欄目屬于新聞時事、時政類的欄目,必須建立信息發(fā)布前的先審后發(fā)制度;
四、日常化巡視(可以由管理員、版主等等輪流或分塊負(fù)責(zé),如何分工實現(xiàn)日;惨、巡視時職責(zé)是及時發(fā)現(xiàn)有害信息并及時處置等等都應(yīng)明確);
五、上述四條,系統(tǒng)自動過濾、審核、巡視出的有害信息應(yīng)留存,并定期向公安機(jī)關(guān)網(wǎng)絡(luò)安全部門上報;
帳號使用登記和操作權(quán)限管理制度
一、聯(lián)網(wǎng)單位應(yīng)用系統(tǒng)中的用戶權(quán)限設(shè)置;
二、對于論壇BBS、社區(qū)等欄目中用戶分級管理(如:游客、注冊用戶、版主、管理員等之間的權(quán)限設(shè)置,新聞時政類欄目與普通欄目版主、管理員之間的權(quán)限設(shè)置);
三、后臺管理員的權(quán)限設(shè)置;
四、其他。
附則
本制度自即日起實施。制度一式二份,一份報公安機(jī)關(guān)的網(wǎng)絡(luò)安全部門備案,一份和《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)單位備案表》同檔保存在本單位備查。
信息安全管理制度14
第一章總則
第一條為加強(qiáng)公司計算機(jī)和信息系統(tǒng)(包括涉密信息系統(tǒng)和非涉密信息系統(tǒng))平安保密管理,確保國家隱私及商業(yè)隱私的平安,依據(jù)國家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中核集團(tuán)公司有關(guān)規(guī)定,制定本規(guī)定。
第二條本規(guī)定所稱涉密信息系統(tǒng)是指由計算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的,根據(jù)肯定的應(yīng)用目標(biāo)和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò),包括機(jī)房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端等內(nèi)容。
第三條涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負(fù)責(zé)、科學(xué)管理、保障平安”的方針,堅持“誰主管、誰負(fù)責(zé),誰運(yùn)用、誰負(fù)責(zé)”和“限制源頭、歸口管理、加強(qiáng)檢查、落實制度”的原則,確保涉密信息系統(tǒng)和國家隱私信息安全。
第四條涉密信息系統(tǒng)平安保密防護(hù)必需嚴(yán)格根據(jù)國家保密標(biāo)準(zhǔn)、規(guī)定和集團(tuán)公司文件要求進(jìn)行設(shè)計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統(tǒng),不得投入運(yùn)用。
第五條本規(guī)定適用于公司全部計算機(jī)和信息系統(tǒng)平安保密管理工作。
第二章管理機(jī)構(gòu)與職責(zé)
第六條公司法人代表是涉密信息系統(tǒng)平安保密第一責(zé)任人,確保涉密信息系統(tǒng)平安保密措施的落實,供應(yīng)人力、物力、財力等條件保障,督促檢查領(lǐng)導(dǎo)責(zé)任制落實。
第七條公司保密委員會是涉密信息系統(tǒng)平安保密管理決策機(jī)構(gòu),其主要職責(zé):
。ㄒ唬┙⒔∪桨脖C芄芾碇贫群头婪洞胧,并監(jiān)督檢查落實狀況;
(二)協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)平安保密管理的重大問題,對重大失泄密事務(wù)進(jìn)行查處。
第八條成立公司涉密信息系統(tǒng)平安保密領(lǐng)導(dǎo)小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛(wèi)部和相關(guān)業(yè)務(wù)部門、單位為成員單位,在公司黨政和保密委員會領(lǐng)導(dǎo)下,組織協(xié)調(diào)公司涉密信息系統(tǒng)平安保密管理工作。
第九條保密辦主要職責(zé):
。ㄒ唬⿺M定涉密信息系統(tǒng)平安保密管理制度,并組織落實各項保密防范措施;
。ǘ⿲ο到y(tǒng)用戶和平安保密管理人員進(jìn)行資格審查和平安保密教化培訓(xùn),審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限,并備案;
。ㄈ┙M織對涉密信息系統(tǒng)進(jìn)行平安保密監(jiān)督檢查和風(fēng)險評估,提出涉密信息系統(tǒng)平安運(yùn)行的保密要求;
(四)會同科技信息部對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)運(yùn)用的審查,建立涉密信息系統(tǒng)平安評估制度,每年對涉密信息系統(tǒng)平安措施進(jìn)行一次評審;
(五)對涉密信息系統(tǒng)設(shè)計、施工和集成單位進(jìn)行資質(zhì)審查,對進(jìn)入涉密信息系統(tǒng)的平安保密產(chǎn)品進(jìn)行準(zhǔn)入審查和規(guī)范管理,對涉密信息系統(tǒng)進(jìn)行平安保密性能檢測;
。⿲ι婷苄畔⑾到y(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行定密、變更密級和解密工作進(jìn)行審核;
。ㄆ撸┙M織查處涉密信息系統(tǒng)失泄密事務(wù)。
第十條科技信息部、財會部主要職責(zé)是:
(一)組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè),制定平安保密防護(hù)方案;
。ǘ┞鋵嵣婷苄畔⑾到y(tǒng)平安保密策略、運(yùn)行平安限制、平安驗證等平安技術(shù)措施;每半年對涉密信息系統(tǒng)進(jìn)行風(fēng)險評估,提出整改措施,經(jīng)涉密信息系統(tǒng)平安保密領(lǐng)導(dǎo)小組批準(zhǔn)后組織實施,確保平安技術(shù)措施有效、牢靠;
。ㄈ┞鋵嵣婷苄畔⑾到y(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)運(yùn)用、保管以及維護(hù)等平安保密管理措施;
(四)配備涉密信息系統(tǒng)管理員、平安保密管理員和平安審計員,并制定相應(yīng)的職責(zé);“三員”角色不得兼任,權(quán)限設(shè)置相互獨(dú)立、相互制約;“三員”應(yīng)通過平安保密培訓(xùn)持證上崗;
。ㄎ澹┞鋵嵱嬎銠C(jī)機(jī)房、配線間等重要部位的平安保密防范措施及網(wǎng)絡(luò)的安全管理,負(fù)責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理;
(六)協(xié)作保密辦對涉密信息系統(tǒng)進(jìn)行平安檢查,對存在的隱患進(jìn)行剛好整改;
。ㄆ撸┲贫☉(yīng)急預(yù)案并組織演練,落實應(yīng)急措施,處理信息安全突發(fā)事務(wù)。
第十一條黨政辦公室主要職責(zé):
根據(jù)國家密碼管理的相關(guān)要求,落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。
第十二條相關(guān)業(yè)務(wù)部門、單位主要職責(zé):涉密信息系統(tǒng)的運(yùn)用部門、單位要嚴(yán)格遵守保密管理規(guī)定,教化員工提高平安保密意識,落實涉密信息系統(tǒng)各項平安防范措施;精確確定應(yīng)用系統(tǒng)密級,制定并落實相應(yīng)的二級保密管理制度。
第十三條涉密信息系統(tǒng)配備系統(tǒng)管理員、平安保密管理員、平安審計員,其職責(zé)是:
。ㄒ唬┫到y(tǒng)管理員負(fù)責(zé)系統(tǒng)中軟硬件設(shè)備的運(yùn)行、管理與維護(hù)工作,確保信息系統(tǒng)的平安、穩(wěn)定、連續(xù)運(yùn)行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員。
。ǘ┢桨脖C芄芾韱T負(fù)責(zé)平安技術(shù)設(shè)備、策略實施和管理工作,包括用戶帳號管理以及平安保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。
。ㄈ┢桨矊徲媶T負(fù)責(zé)平安審計設(shè)備安裝調(diào)試,對各種系統(tǒng)操作行為進(jìn)行平安審計跟蹤分析和監(jiān)督檢查,以剛好發(fā)覺違規(guī)行為,并每月向涉密信息系統(tǒng)平安保密領(lǐng)導(dǎo)小組辦公室匯報一次狀況。
第三章系統(tǒng)建設(shè)管理
第十四條規(guī)劃和建設(shè)涉密信息系統(tǒng)時,根據(jù)涉密信息系統(tǒng)分級愛護(hù)標(biāo)準(zhǔn)的規(guī)定,同步規(guī)劃和落實平安保密措施,系統(tǒng)建設(shè)與平安保密措施同安排、同預(yù)算、同建設(shè)、同驗收。
第十五條涉密信息系統(tǒng)規(guī)劃和建設(shè)的平安保密方案,應(yīng)由具有“涉及國家隱私的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)編制或自行編制,平安保密方案必需經(jīng)上級保密主管部門審批后方可實施。
第十六條涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時,應(yīng)由具有“涉及國家隱私的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)實施或自行實施,并與實施方簽署保密協(xié)議,項目竣工后必需由保密辦和科技信息部共同組織驗收。
第十七條對涉密信息系統(tǒng)要實行與密級相適應(yīng)的保密措施,配備通過國家保密主管部門指定的測評機(jī)構(gòu)檢測的平安保密產(chǎn)品。涉密信息系統(tǒng)運(yùn)用的軟件產(chǎn)品必需是正版軟件。
第四章信息管理
第一節(jié)信息分類與限制
第十八條涉密信息系統(tǒng)的密級,按系統(tǒng)中所處理信息的最高密級設(shè)定,嚴(yán)禁處理高于涉密信息系統(tǒng)密級的涉密信息。
第十九條涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求剛好定密、標(biāo)密,并按涉密文件進(jìn)行管理。電子文件密級標(biāo)識應(yīng)與信息主體不行分別,密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進(jìn)行一次分類統(tǒng)計、匯總,并在保密辦備案。
第二十條涉密信息系統(tǒng)應(yīng)建立平安保密策略,并實行有效措施,防止涉密信息被非授權(quán)訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機(jī)。涉密信息遠(yuǎn)程傳輸必需實行密碼愛護(hù)措施。
第二十一條向涉密信息系統(tǒng)以外的單位傳遞涉密信息,一般只供應(yīng)紙質(zhì)文件,確需供應(yīng)涉密電子文檔的,按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。
第二十二條清除涉密計算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時,必需運(yùn)用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。
第二節(jié)用戶管理與授權(quán)
第二十三條依據(jù)本部門、單位運(yùn)用涉密信息系統(tǒng)的密級和實際工作須要,確定人員知悉范圍,以此作為用戶授權(quán)的依據(jù)。
第二十四條用戶清單管理
。ㄒ唬┛萍夹畔⒉抗芾怼疤接懺囼灦讶剂显䲠(shù)字化信息系統(tǒng)”和“中核集團(tuán)涉密廣域網(wǎng)”用戶清單;財會部管理“財務(wù)會計核算網(wǎng)”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經(jīng)本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統(tǒng)一建立用戶;“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準(zhǔn)后由平安保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的全部帳號、權(quán)限廢止;“財務(wù)會計核算網(wǎng)”密辦審核,公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必需”的原則。
第二十五條國際互聯(lián)網(wǎng)計算機(jī)實行專人負(fù)責(zé)、專機(jī)上網(wǎng)管理,嚴(yán)禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機(jī)須建立運(yùn)用登記制度。
第二十六條上網(wǎng)信息實行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則,信息上網(wǎng)必需經(jīng)過嚴(yán)格審查和批準(zhǔn),堅決做到“涉密不上網(wǎng),上網(wǎng)不涉密”。對上網(wǎng)信息進(jìn)行擴(kuò)充或更新,應(yīng)重新進(jìn)行保密審查。
第二十七條任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、閑聊室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)、傳遞、轉(zhuǎn)發(fā)或抄送國家隱私信息。
第二十八條從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng),經(jīng)科技信息部審批后,根據(jù)信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。
第五章便攜式計算機(jī)管理
第二十九條便攜式計算機(jī)(包括涉密便攜式計算機(jī)和非涉密便攜式計算機(jī))實行“誰擁有,誰運(yùn)用,誰負(fù)責(zé)”的保密管理原則,運(yùn)用者須與公司簽定保密承諾書。
第三十條涉密便攜式計算機(jī)依據(jù)工作須要確定密級,粘貼密級標(biāo)識,根據(jù)涉密設(shè)備進(jìn)行管理,保密辦備案后方可運(yùn)用。
第三十一條便攜式計算機(jī)應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證(設(shè)置開機(jī)密碼口令)等平安保密防護(hù)措施。
第三十一條禁止運(yùn)用涉密便攜式計算機(jī)上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò);嚴(yán)禁涉密便攜式計算機(jī)與涉密信息系統(tǒng)互聯(lián)。
第三十二條涉密便攜式計算機(jī)不得處理絕密級信息。未經(jīng)保密辦審批,嚴(yán)禁在涉密便攜式計算機(jī)中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進(jìn)行,并與涉密便攜式計算機(jī)分別保管。
第三十三條禁止運(yùn)用私有便攜式計算機(jī)處理辦公信息;嚴(yán)禁非涉密便攜式計算機(jī)存儲、處理涉密信息;嚴(yán)禁將涉密存儲介質(zhì)接入非涉密便攜式計算機(jī)運(yùn)用。
第三十四條公司配備專供外出攜帶的涉密便攜式計算機(jī)和涉密存儲介質(zhì),根據(jù)“集中管理、審批借用”的原則進(jìn)行管理,建立運(yùn)用登記制度。外出攜帶的涉密便攜式計算機(jī)須經(jīng)保密辦檢查后方可帶出公司,返回時須進(jìn)行技術(shù)檢查。
第三十五條因工作須要外單位攜帶便攜式計算機(jī)進(jìn)入公司辦公區(qū)域,需辦理保密審批手續(xù)。
第六章應(yīng)急響應(yīng)管理
第三十六條為有效預(yù)防和處置涉密信息系統(tǒng)平安突發(fā)事務(wù),剛好限制和消退涉密信息系統(tǒng)平安突發(fā)事務(wù)的'危害和影響,保障涉密信息系統(tǒng)的平安穩(wěn)定運(yùn)行,科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案,經(jīng)公司涉密信息系統(tǒng)平安保密領(lǐng)導(dǎo)小組審批后實施。
第三十七條應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)平安突發(fā)事務(wù)。突發(fā)事務(wù)分為系統(tǒng)運(yùn)行平安事務(wù)和泄密事務(wù),依據(jù)事務(wù)引發(fā)緣由分為災(zāi)難類、故障類或攻擊類三種狀況。
。ㄒ唬(zāi)難事務(wù):依據(jù)實際狀況,在保障人身平安前提下,保障數(shù)據(jù)安全和設(shè)備安全;
(二)故障或攻擊事務(wù):推斷故障或攻擊的來源與性質(zhì),關(guān)閉影響平安與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備,斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息,修復(fù)被破壞的信息,復(fù)原信息系統(tǒng)。根據(jù)事務(wù)發(fā)生的性質(zhì)分別采納以下方案:
1、病毒傳播:剛好找尋并斷開傳播源,推斷病毒的類型、性質(zhì)、可能的危害范圍。為避開產(chǎn)生更大的損失,愛護(hù)計算機(jī),必要時可關(guān)閉相應(yīng)的端口,找尋并公布病毒攻擊信息,以及殺毒、防衛(wèi)方法;
2、外部入侵:推斷入侵的來源,評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的,且評價威逼很小的外部入侵,定位入侵的IP地址,剛好關(guān)閉入侵的端口,限制入侵的IP地址的訪問。對于已經(jīng)造成危害的,應(yīng)馬上采納斷開網(wǎng)絡(luò)連接的方法,避開造成更大損失和帶來的影響;
3、內(nèi)部入侵:查清入侵來源,如IP地址、所在區(qū)域、所處辦公室等信息,同時斷開對應(yīng)的交換機(jī)端口,針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點(diǎn)入侵和造成損害的,應(yīng)剛好關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備;
4、網(wǎng)絡(luò)故障:推斷故障發(fā)生點(diǎn)和故障緣由,能夠快速解決的盡快解除故障,并優(yōu)先保證主要應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn);
5、其它未列出的不確定因素造成的事務(wù),結(jié)合詳細(xì)的狀況,做出相應(yīng)的處理。不能處理的剛好詢問,上報公司信息安全領(lǐng)導(dǎo)小組。
第三十八條根據(jù)信息安全突發(fā)事務(wù)的性質(zhì)、影響范圍和造成的損失,將涉密信息系統(tǒng)平安突發(fā)事務(wù)分為特殊重大事務(wù)(I級)、重大事務(wù)(II級)、較大事務(wù)(III級)和一般事務(wù)(IV級)四個等級。
(一)一般事務(wù)由科技信息部(或財會部)依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置;
(二)較大事務(wù)由科技信息部(或財會部)、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置,剛好向公司信息安全領(lǐng)導(dǎo)小組報告并提請協(xié)調(diào)處置;
。ㄈ┲卮笫聞(wù)啟動應(yīng)急響應(yīng)預(yù)案,對突發(fā)事務(wù)進(jìn)行處置,剛好向公司黨政報告并提請協(xié)調(diào)處置;
。ㄋ模┨厥庵卮笫聞(wù)由公司報請中核集團(tuán)公司對信息安全突發(fā)事務(wù)進(jìn)行處置。
第三十九條發(fā)生突發(fā)事務(wù)(如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等)應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理方法和流程進(jìn)行處理:
。ㄒ唬┥蠄罂萍夹畔⒉亢捅C苻k;
(二)關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失;
(三)切斷網(wǎng)絡(luò),隔離事務(wù)區(qū)域;
。ㄋ模┎殚唽徲嬘涗浾覍な聞(wù)源頭;
。ㄎ澹┰u估系統(tǒng)受損程度;
(六)對引起事務(wù)漏洞進(jìn)行整改;
(七)對系統(tǒng)重新進(jìn)行風(fēng)險評估;
(八)由保密辦依據(jù)風(fēng)險評估結(jié)果并書面確認(rèn)平安后,系統(tǒng)方能重新運(yùn)行;
。ň牛⿲κ聞(wù)類型、響應(yīng)、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行具體的記錄;
。ㄊ┮勒辗ㄒ(guī)制度對責(zé)任人進(jìn)行處理。
第四十條科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練,檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效,并對其效果進(jìn)行評估,以運(yùn)用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)學(xué)問、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容,并記錄備案。
第七章人員管理
第四十一條各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密學(xué)問技能教化與培訓(xùn),并記錄備案。
第四十二條涉密人員離崗、離職,應(yīng)剛好調(diào)整或取消其訪問授權(quán),并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。
第四十三條擔(dān)當(dāng)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、平安保密管理員、平安審計管理員應(yīng)按重要涉密人員管理。
第八章督查與獎懲
第四十四條公司每年應(yīng)對涉密信息系統(tǒng)平安保密狀況、平安保密制度和措施的落實狀況進(jìn)行一次自查,并接受國家和上級單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的平安保密測評或保密檢查,檢查結(jié)果存檔備查。
第四十五條檢查涉密計算機(jī)和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所運(yùn)用的平安保密、漏洞檢查(取證)軟件等,應(yīng)覆蓋保密檢查的項目,并通過國家保密局的檢測。平安保密檢查工具應(yīng)剛好升級或更新,確保檢查時運(yùn)用最新版本。
第四十六條各部門、單位應(yīng)將員工遵守涉密計算機(jī)及信息系統(tǒng)平安保密管理制度的狀況,納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人,按公司保密責(zé)任考核及獎懲規(guī)定執(zhí)行。
第九章附則
第四十七條本規(guī)定由保密辦負(fù)責(zé)說明與修訂。
第四十八條本規(guī)定自發(fā)布之日起實施。
信息安全管理制度15
1. 總則
1.1 為保障XX公司(以下簡稱“XX”或“XX”)網(wǎng)絡(luò)與信息安全,切實加強(qiáng)網(wǎng)絡(luò)與信息安全管控,提高網(wǎng)絡(luò)與信息安全管理水平和防護(hù)能力,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國保守國家秘密法》等政策法規(guī)規(guī)定,結(jié)合XX實際,制定本制度。
2.適用范圍
本制度適用于XX部門、科室所有職工及使用單位網(wǎng)絡(luò)的所有人員。
3.職責(zé)范圍
3.1 領(lǐng)導(dǎo)小組
3.1.1 公司設(shè)立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組,小組組長為XX,副組長為黨支部書記XX,組員為各科室負(fù)責(zé)人;
3.1.2 網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下:
。1)根據(jù)國家和衛(wèi)健委有關(guān)網(wǎng)絡(luò)與信息安全的政策、法律和法規(guī),制定XX網(wǎng)絡(luò)與信息安全總體規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)等;
(2)發(fā)揮集中統(tǒng)一領(lǐng)導(dǎo)作用,統(tǒng)籌領(lǐng)導(dǎo)XX網(wǎng)絡(luò)與信息安全相關(guān)工作;
。3)貫徹執(zhí)行上級單位、相關(guān)單位下發(fā)的網(wǎng)絡(luò)與信息安全文件要求及精神;
。4)協(xié)調(diào)、督促各科室、部門的網(wǎng)絡(luò)與信息安全工作,處理網(wǎng)絡(luò)與信息安全隱患,參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;
。5)統(tǒng)籌領(lǐng)導(dǎo)處理網(wǎng)絡(luò)與信息安全事故,組織進(jìn)行事件調(diào)查,評估安全事件的嚴(yán)重程度,負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故的后續(xù)處理及防范措施等。
3.2 辦公室
3.2.1 網(wǎng)絡(luò)及信息安全辦公室設(shè)在辦公室;
3.2.2 辦公室職責(zé)為按照國家及上級單位統(tǒng)一部署組織開展的網(wǎng)絡(luò)與信息安全工作,具體工作包括:
。1)保障網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行;
(2)按照網(wǎng)絡(luò)與信息安全等級保護(hù)制度對XX網(wǎng)絡(luò)進(jìn)行建設(shè)和整改工作;
。3)網(wǎng)絡(luò)與信息安全突發(fā)事件處置、應(yīng)對、整改;
(4)開展網(wǎng)絡(luò)與信息安全宣傳教育與培訓(xùn);
。5)開展網(wǎng)絡(luò)與信息安全檢查與自查工作;
(6)負(fù)責(zé)XX網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的編制并組織測試和演練;
。7)開展其他網(wǎng)絡(luò)與信息安全工作。 4. 網(wǎng)絡(luò)與信息安全管理
4.1 網(wǎng)絡(luò)與信息安全是指通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。
4.2 辦公室負(fù)責(zé)對XX外網(wǎng)、內(nèi)網(wǎng)、專用網(wǎng)絡(luò)(以下統(tǒng)稱“網(wǎng)絡(luò)”)及設(shè)備和系統(tǒng)進(jìn)行規(guī)劃、建設(shè)、統(tǒng)一管理、日常維護(hù)、安全保障等工作。
4.3 接入并利用XX網(wǎng)絡(luò)進(jìn)行工作的人員,應(yīng)自覺遵守相關(guān)規(guī)章制度,建立良好的使用習(xí)慣,杜絕潛在的網(wǎng)絡(luò)與信息安全隱患和漏洞。
4.4 使用XX網(wǎng)絡(luò)必須遵守相關(guān)法律法規(guī),遵守公共秩序,尊重社會公德,不得利用網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密,不得侵犯國家、社會、集體的利益和公民的合法權(quán)益,不得從事違法犯罪活動。
4.5 嚴(yán)禁通過XX網(wǎng)絡(luò)進(jìn)行傳播反動、暴力、淫穢內(nèi)容等違法行為,嚴(yán)禁利用XX網(wǎng)絡(luò)制作、復(fù)制、發(fā)布、傳播病毒、流氓軟件及進(jìn)行其他影響網(wǎng)絡(luò)正常運(yùn)行或影響其他用戶正常使用的行為。
4.6 在使用網(wǎng)絡(luò)與信息設(shè)備時應(yīng)保持清潔、安全、良好的工作環(huán)境,禁止在信息設(shè)備應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等損害設(shè)備的物品。
4.7 所有網(wǎng)絡(luò)和信息設(shè)備未經(jīng)XX辦公室授權(quán)同意,嚴(yán)禁擅自拆、換任何零件、配件、外設(shè)。
4.8 各科室負(fù)責(zé)人對本部門信息設(shè)備安全管理負(fù)責(zé)。 5.內(nèi)網(wǎng)安全管理
5.1 接入內(nèi)網(wǎng)的設(shè)備和軟件,應(yīng)進(jìn)行充分的安全評估和殺毒掃描,只允許經(jīng)過授權(quán)軟件運(yùn)行。
5.2 臨時接入內(nèi)網(wǎng)的.設(shè)備在接入前須進(jìn)行病毒查殺,并由負(fù)責(zé)信息安全的工作人員輔助執(zhí)行。
5.3 內(nèi)網(wǎng)接入設(shè)備實行白名單制度,所有接入內(nèi)網(wǎng)的設(shè)備應(yīng)由辦公室進(jìn)行授權(quán)備案。
5.4 辦公室建立內(nèi)網(wǎng)系統(tǒng)配置清單,并進(jìn)行配置審計。 5.5 對重大配置變更應(yīng)制定變更計劃并進(jìn)行影響分析,配置變更實施前進(jìn)行嚴(yán)格安全測試。
5.6 負(fù)責(zé)信息安全的工作人員密切關(guān)注重大安全漏洞及其補(bǔ)丁發(fā)布,發(fā)現(xiàn)漏洞及時上報辦公室,由辦公室統(tǒng)一指定和進(jìn)行升級措施。
5.7 接入內(nèi)部網(wǎng)絡(luò)的設(shè)備嚴(yán)禁使用橋接、雙網(wǎng)卡等方式直接接入互聯(lián)網(wǎng)。
5.8 對重要的業(yè)務(wù)數(shù)據(jù)、關(guān)鍵程序建立健全的本地和異地、自動和手動相配合的多重備份機(jī)制。定期檢查備份數(shù)據(jù)的完整性。
5.9 接入內(nèi)部網(wǎng)絡(luò)的設(shè)備嚴(yán)禁使用各類型的移動存儲設(shè)備,包括但不限于U盤、移動硬盤、軟盤、光盤等。因業(yè)務(wù)拓展需要時,應(yīng)由XX 進(jìn)行統(tǒng)一推送部署。
5.10 在使用內(nèi)部系統(tǒng)中,嚴(yán)格遵循一人一賬號的原則。個人賬號不得相互借用。
5.11 個人賬號在使用時嚴(yán)禁使用空密碼或弱密碼,做好賬號密碼的保護(hù)工作,防止密碼泄露。
5.12 在使用內(nèi)網(wǎng)資源時做好安全工作,人員離機(jī)時及時注銷或退出登錄。專人專用電腦應(yīng)設(shè)立訪問密碼。
6.行政系統(tǒng)及外網(wǎng)安全管理
6.1 新增設(shè)備接入外網(wǎng),應(yīng)報辦公室進(jìn)行備案。
6.2 工作人員在使用接入外網(wǎng)的設(shè)備時,應(yīng)做好基礎(chǔ)的安全防護(hù)工作。安裝防火墻和殺毒軟件并定期查殺病毒和修補(bǔ)漏洞。
6.3 禁止安裝與工作無關(guān)的軟件,禁止運(yùn)行來源不明的軟件和程序。
6.4 禁止未經(jīng)授權(quán)私自通過外接路由器、USB網(wǎng)卡等方式建立無線網(wǎng)絡(luò)環(huán)境。
6.5 因工作需要連接各類外來移動存儲設(shè)備時,應(yīng)進(jìn)行病毒掃描等基礎(chǔ)安全防護(hù)工作。
7. 網(wǎng)絡(luò)與信息安全事故管理
7.1 辦公室負(fù)責(zé)制定安全事件應(yīng)急響應(yīng)預(yù)案,當(dāng)遭受安全事故導(dǎo)致系統(tǒng)出現(xiàn)異;蚬收蠒r,應(yīng)立即采取緊急防護(hù)措施,防止事態(tài)擴(kuò)大,并上報信息化主管部門,同時注意保護(hù)現(xiàn)場,以便進(jìn)行調(diào)查取證。
7.2 辦公室負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故應(yīng)急預(yù)案的編制,并組織演練。
7.3 網(wǎng)絡(luò)與信息安全事故概念:
7.3.1 普通網(wǎng)絡(luò)與信息安全事故
。1)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生24小時內(nèi)故障癱瘓;
。2)安全事故影響范圍僅限部分科室和部分設(shè)備;
。3)安全事故得到及時遏制和處理,未發(fā)生蔓延;
。4)安全事故沒有造成數(shù)據(jù)丟失和泄密,沒有造成經(jīng)濟(jì)損失;
。5)安全事故沒有對生產(chǎn)活動造成明顯影響。 7.3.2 嚴(yán)重網(wǎng)絡(luò)與信息安全事故
。1)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生24小時以上48小時以內(nèi)故障和癱瘓;
。2)安全事故影響范圍包含單位大部分科室和設(shè)備;
(3)安全事故沒有及時遏制和處理,但未蔓延;
。4)安全事故沒有造成數(shù)據(jù)丟失和泄密,沒有造成經(jīng)濟(jì)損失;
。5)發(fā)生不利于單位的輿情信息。
7.3.3 重大網(wǎng)絡(luò)與信息安全事故
。1)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生48小時以上的故障和癱瘓;
(2)信息系統(tǒng)受到較大面積病毒感染和滲透、攻擊;
。3)安全事故沒有及時遏制和處理,發(fā)生蔓延;
。4)安全事故造成數(shù)據(jù)丟失和泄密,造成經(jīng)濟(jì)損失;
(5)縣級以上新聞媒體進(jìn)行報道,發(fā)生了負(fù)面輿情。 7.4 出現(xiàn)網(wǎng)絡(luò)與信息安全事件時,發(fā)現(xiàn)者及時上報科室負(fù)責(zé)人和辦公室,做到及時、全面、準(zhǔn)確報送,不得瞞報、緩報、謊報網(wǎng)絡(luò)與信息安全情況。
7.5 出現(xiàn)嚴(yán)重或重大網(wǎng)絡(luò)與信息安全事故時,辦公室應(yīng)及時上報信息系統(tǒng)負(fù)責(zé)人員。
7.6 發(fā)生網(wǎng)絡(luò)與信息安全事故時,網(wǎng)絡(luò)與信息安全小組應(yīng)及時對故障進(jìn)行排查、處理,第一時間阻止事故發(fā)生蔓延。若無法處理,應(yīng)立即聯(lián)系軟件服務(wù)商或聯(lián)系信息系統(tǒng)負(fù)責(zé)人員尋求協(xié)助處理。
8.網(wǎng)絡(luò)與信息安全教育與管理
8.1 員工入職后應(yīng)參加辦公室組織的網(wǎng)絡(luò)與信息安全培訓(xùn),以提升其網(wǎng)絡(luò)與信息安全意識及技術(shù)水平。
8.2 辦公室不定期對各科室和員工的網(wǎng)絡(luò)與信息安全防護(hù)行為進(jìn)行考核評估,對發(fā)現(xiàn)具有安全隱患的行為,應(yīng)限期監(jiān)督整改。
8.3 員工離職時應(yīng)返還屬于XX的全部信息設(shè)備,不得在離職時以任何形式帶走任何信息。
9.附則
9.1 本制度由董事會制定并發(fā)布。
9.2 本制度由辦公室負(fù)責(zé)解釋,自印發(fā)之日起執(zhí)行。
【信息安全管理制度】相關(guān)文章:
信息安全管理制度07-01
醫(yī)院信息安全管理制度11-08
公司信息安全管理制度11-04
中學(xué)信息安全管理制度08-04
信息安全管理制度匯編08-31
公司信息安全管理制度優(yōu)秀10-29
市政辦信息安全管理制度11-28
企業(yè)信息安全管理制度07-09
用戶信息安全管理制度(精選11篇)06-13