it信息安全管理制度
在生活中,很多地方都會使用到制度,制度是指在特定社會范圍內統(tǒng)一的、調節(jié)人與人之間社會關系的一系列習慣、道德、法律(包括憲法和各種具體法規(guī))、戒律、規(guī)章(包括政府制定的條例)等的總和它由社會認可的非正式約束、國家規(guī)定的正式約束和實施機制三個部分構成。到底應如何擬定制度呢?下面是小編為大家整理的it信息安全管理制度,歡迎大家分享。
it信息安全管理制度1
第一條總則
通過加強公司計算機系統(tǒng)、辦公網(wǎng)絡、服務器系統(tǒng)的管理。保證網(wǎng)絡系統(tǒng)安全運行,保證公司機密文件的安全,保障服務器、數(shù)據(jù)庫的安全運行。加強計算機辦公人員的安全意識和團隊合作精神,把各部門相關工作做好。
第二條范圍
1、計算機網(wǎng)絡系統(tǒng)由計算機硬件設備、軟件及客戶機的網(wǎng)絡系統(tǒng)配置組成。
2、軟件包括:服務器操作系統(tǒng)、數(shù)據(jù)庫及應用軟件、有關專業(yè)的網(wǎng)絡應用軟件等。
3、客戶機的網(wǎng)絡系統(tǒng)配置包括客戶機在網(wǎng)絡上的名稱,IP地址分配,用戶登陸名稱、用戶密碼、及Internet的配置等。
4、系統(tǒng)軟件是指:操作系統(tǒng)(如WINDOWSXP、WINDOWS20xx等)軟件。
5、平臺軟件是指:防偽防竄貨系統(tǒng)、辦公用軟件(如OFFICE20xx)等平臺軟件。
6、專業(yè)軟件是指:設計工作中使用的繪圖軟件(如Photoshop等)。
第三條職責
1、信息網(wǎng)絡部門為網(wǎng)絡安全運行的管理部門,負責公司計算機網(wǎng)絡系統(tǒng)、計算機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的日常維護和管理。
2、負責系統(tǒng)軟件的調研、采購、安裝、升級、保管工作。
3、網(wǎng)絡管理人員負責計算機網(wǎng)絡系統(tǒng)、辦公自動化系統(tǒng)、平臺系統(tǒng)的安全運行;服務器安全運行和數(shù)據(jù)備份;Internet對外接口安全以及計算機系統(tǒng)防病毒管理;各種軟件的用戶密碼及權限管理協(xié)助各部門進行數(shù)據(jù)備份和數(shù)據(jù)歸檔。
4、網(wǎng)絡管理人員執(zhí)行公司保密制度,嚴守公司商業(yè)機密。
5、員工執(zhí)行計算機安全管理制度,遵守公司保密制度。
6、系統(tǒng)管理員的密碼必須由網(wǎng)絡管理部門相關人員掌握。
第四條管理辦法
I、公司電腦使用管理制度
1、從事計算機網(wǎng)絡信息活動時,必須遵守《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》的規(guī)定,應遵守國家法律、法規(guī),加強信息安全教育。
2、電腦由公司統(tǒng)一配置并定位,任何部門和個人不得允許私自挪用調換、外借和移動電腦。
3、電腦硬件及其配件添置應列出清單報行政部,在征得公司領導同意后,由網(wǎng)絡信息管理員負責進行添置。
4、電腦操作應按規(guī)定的程序進行。
(1)電腦的開、關機應按按正常程序操作,因非法操作而使電腦不能正常使用的,修理費用由該部門負責;
(2)電腦軟件的安裝與刪除應在公司管理員的許可下進行,任何部門和個人不允許擅自增添或刪除電腦硬盤內的.數(shù)據(jù)程序;
(3)電腦操作員應在每周及時進行殺毒軟件的升級,每月打好系統(tǒng)補丁;
(4)不允許隨意使用外來U盤,確需使用的,應先進行病毒監(jiān)測;
(5)禁止工作時間內在電腦上做與工作無關的事,如玩游戲、聽音樂等。
5、任何人不得利用網(wǎng)絡制作、復制、查閱和傳播宣傳封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的內容
6、電腦發(fā)生故障應盡快通知IT管理員及時解決,不允許私自打開電腦主機箱操作。
7、電腦操作員要愛護電腦并注意保持電腦清潔衛(wèi)生,并在正確關機并完全關掉電源后,方可下班離開。
8、因操作人員疏忽或操作失誤給工作帶來影響但經(jīng)努力可以挽回的,對其批評教育;因操作人員故意違反上述規(guī)定并使工作或財產蒙受損失的,要追究當事人責任,并給予經(jīng)濟處罰。
9、為文件資料安全起見,勿將重要文件保存在系統(tǒng)活動分區(qū)內如:C盤、我的文檔、桌面等;請將本人的重要文件存放在硬盤其它非活動分區(qū)(如:D、E、F)。(保存前用殺毒軟件檢察無病毒警告后才可)。并定期清理本人相關文件目錄,及時把一些過期的、無用的文件刪除,以免占用硬盤空間。
10、所有電腦必須設置登陸密碼,一般不要使用默認的administrator作為登陸用戶名,密碼必須自身保管,嚴禁告訴他人,計算機名與登陸名不能一致,一般不要使用含有和個人、單位相關信息的名稱。
11、其他管理辦法請參看《IT終端用戶安全手冊》
II、網(wǎng)絡系統(tǒng)維護
1、系統(tǒng)管理員每周定時對托管的網(wǎng)絡服務器進行巡視,并對公司局域網(wǎng)內部服務器進行檢查,如:財務服務器。
2、對于系統(tǒng)和網(wǎng)絡出現(xiàn)的異常現(xiàn)象網(wǎng)絡管理部門應及時組織相關人員進行分析,制定處理方案,采取積極措施。針對當時沒有解決的問題或重要的問題應將問題描述、分析原因、處理方案、處理結果、及時制定出解決方案。
3、定時對服務器數(shù)據(jù)進行備份。
4、維護服務器,監(jiān)控外來訪問和對外訪問情況,如有安全問題,及時處理。
5、制定服務器的防病毒措施,及時下載最新的防病毒疫苗,防止服務器受病毒的侵害。
III、用戶帳號申請/注銷
1、新員工(或外借人員)需使用計算機向部門主管提出申請經(jīng)批準由網(wǎng)絡部門負責分配計算機、和登入公司網(wǎng)絡的用戶名及密碼。如需使用財務軟件需向財務主管申請,由網(wǎng)絡管理部門人員負責軟件客戶端的安裝調試。
2、員工離職應將本人所使用的計算機名、IP地址、用戶名、登錄密碼、平臺軟件信息以書面形式記錄,經(jīng)網(wǎng)絡管理人員將該記錄登記備案。網(wǎng)絡管理人員對離職人員計算機中的公司資料信息備份,方可對該離職人員保存在公司服務器中所有的資料刪除。
IV、數(shù)據(jù)備份管理
服務器數(shù)據(jù)備份,應對數(shù)據(jù)庫進行自動實時備份,并每周應至少做一次手工備份,并在備份服務器中進行邏輯備份的驗證工作,經(jīng)過驗證的邏輯備份存放在不同的物理設備中。個人電腦的備份統(tǒng)一由各部門自行負責,可申請移動硬盤、信息光盤等儲存介質進行安全備份。
第五條計算機/電腦維修
1、計算機出現(xiàn)重大故障,須填寫《計算機維修單》,并交IT管理員進行維修。
2、IT管理員對《計算機維修單》存檔,便于查詢各電腦使用情況。
3、須外出維修,須報分管領導審批。須采購配件,按采購管理流程執(zhí)行。
第六條公司信息系統(tǒng)管理(暫定)
1、新中大財務系統(tǒng)服務器(以下簡稱:服務器),放置地點暫放為財務室辦公室內,財務室現(xiàn)有辦公室已達到視頻監(jiān)控、防盜、溫度控制等條件。待條件成熟時重新搭建獨立機房,便以安全管理。
2、對于服務器數(shù)據(jù)(包括財務軟件系統(tǒng))由管理員每月定期異地備份一次,并設置服務器自動每周備份二次數(shù)據(jù)庫;異地備份數(shù)據(jù)由財務部安排存放在異地。
3、系統(tǒng)后臺數(shù)據(jù)只能由服務器系統(tǒng)管理員進行維護,若需外援時,必須在管理員的陪同下進行操作,其他終端用戶不得設置權限進入數(shù)據(jù)管理后臺。
4、終端用戶的開通及變更需以書面形式提交給相關部門領導簽字確認,其中包括用戶的權限變更、賬號密碼變更、終端軟件更新。
5、當遇到服務器需要變更時,管理員應該做好詳細的變更記錄。如:程序變更、緊急變更、配置/參數(shù)變更、基礎架構變更、數(shù)據(jù)庫修改等。
第七條違規(guī)操作賠償標準
1、違規(guī)操作者:沒有造成經(jīng)濟損失的,當事人和責任人賠償工作時間誤工費50-100元。
2、違規(guī)操作者:造成經(jīng)濟損失的,除造價賠償外,另外當事人與責任人賠償誤工費100元。
第八條附則
1、本制度由信息管理部門負責解釋,自公布之日起實施。
2、本制度有不妥之處在運行中修改并公布。
it信息安全管理制度2
醫(yī)院網(wǎng)絡信息安全管理制度需要制定具體的實施方案。下面分為四個方面,提出相應的實施方案。
一、信息管理
1、建立詳細的信息分類管理制度,明確信息的安全級別和保密措施。
2、規(guī)定信息的使用、復制、存儲等流程,定期進行信息備份。
3、提供遠程訪問和在線咨詢等技術支持工具,確保信息的'可用性。
二、網(wǎng)絡管理
1、定期更新網(wǎng)絡設備,加強內部網(wǎng)絡的安全性,建立外網(wǎng)和內網(wǎng)的防火墻。
2、對外部網(wǎng)絡攻擊進行監(jiān)控和應對,建立安全事件響應機制。
3、建立訪問控制機制和應用層防御機制,提高網(wǎng)絡安全性。
三、人員管理
1、建立標準化的權限管理制度,對醫(yī)院內部人員和外部人員進行權限管理。
2、建立日志管理機制,對訪問醫(yī)院網(wǎng)絡的人員進行日志記錄和監(jiān)控。
3、進行安全意識培訓,提高人員的信息安全意識和保護意識。
四、應急處理
1、建立安全事件響應機制,制定應急預案和危機處理預案。
2、定期進行安全演練和應急處理演習,提高應對能力和處理效率。
3、在安全事件發(fā)生時,進行事故調查和記錄,及時進行處理和申報。
以上是對醫(yī)院網(wǎng)絡信息安全管理制度實施方案的相關介紹,通過建立規(guī)范化的管理制度和科學化的實施方案,可以保障醫(yī)院網(wǎng)絡信息的安全性和完整性,降低信息泄露和黑客攻擊的風險。
it信息安全管理制度3
安全生產是企業(yè)的頭等大事,必須堅持“安全第一,預防為主”的方針和群防群治制度,認真貫徹落實安全管理制度,切實加強安全管理,保證職工在生產過程中的安全與健康。根據(jù)國家和省有關法規(guī)、規(guī)定和文件,制定本企業(yè)信息安全管理制度。
一、計算機設備安全管理制度
計算機不同于其他辦公設備,其實用性、嚴密性、操作技術性強,含量高、部件易受損;特別是聯(lián)網(wǎng)計算機,開放性程度比較高,電腦內部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網(wǎng)絡的正常使用,特制定本制度。
1、公司內所有計算機歸網(wǎng)絡部統(tǒng)一管理,配備計算機的員工只負責使用操作;
2、計算機管理涉及的范圍:
2.1所有硬件(包括外接設備)及網(wǎng)絡聯(lián)接線路;
2.2計算機及網(wǎng)絡故障的排除;
2.3計算機及網(wǎng)絡的維護與維修;
2.4操作系統(tǒng)的管理;
3、公司內所有計算機使用人員均為計算機操作員;
4、網(wǎng)絡維護部負責對公司內所有計算機進行定期檢查,一般每兩月進行一次;
5、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環(huán)境,禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
6、非本單位技術人員對我單位的設備、系統(tǒng)等進行維修、維護時,必須由本單位相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外維修,須經(jīng)有關部門負責人批準。
7、嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現(xiàn)故障時應及時向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
1、計算機原則上由專人負責操作維護,不得串用設備。下班后必須按程序關閉主機和其他設備,切斷電源。
2、為保證計算機信息安全,必須為計算機設置密碼。
3、計算機操作員除使用操作計算機外,不允許有以下行為:
3.1硬件設備出現(xiàn)故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥);如有向網(wǎng)絡管理員寫設備申請單審批。
3.3刪除計算機操作系統(tǒng)及公司指定的軟件;
3.4使用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術性操作;
4、不得使用來路不明或未經(jīng)殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發(fā)現(xiàn)計算機有病毒時,應及時清除,清除不了的病毒,要及時上報。
5、個人的公司重要文檔、資料和數(shù)據(jù)保存時必須將資料儲存在除操作系統(tǒng)外的.其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準上網(wǎng)與工作無關的聊天、玩電腦游戲、看影視、聽音樂,迅雷下載等,
7、電腦及網(wǎng)絡設備所在環(huán)境應保持清潔、衛(wèi)生、通風,注意防塵、防潮、防火。
8、公司所有計算機使用者,不得破壞網(wǎng)管員對計算機的安全設置。包括用戶使用權限。
9、除服務器外,其他所有計算機下班后必須關機并切斷電源;
10、計算機使用者離職時必須由網(wǎng)絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續(xù)。
11、如工作人員不按規(guī)定操作,造成不良后果的,將按有關規(guī)定,由操作者承擔相應責任,并追究科室負責人的有關責任。
12、操作員設置與管理
(1)網(wǎng)絡管理員管理操作權限必須經(jīng)過公司領導授權取得; 根據(jù)不同部門的要求及崗位職責而設置;
(2)網(wǎng)絡管理員負責故障恢復等管理及維護,必須有其上級授權; 不得使用他人操作代碼進行業(yè)務操作;
三、密碼與權限安全管理制度
1、密碼設置應具有安全性、保密性,不能使用簡單的代碼和標記。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼,也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時所設的密碼,操作密碼是進入各應用系統(tǒng)的操作員密碼。密碼設置不應是名字、生日,重復、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應立即修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經(jīng)過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時在“密碼管理登記簿”中登記。
4、系統(tǒng)維護用戶的密碼應至少由兩人共同設置、保管和使用管理制度。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數(shù)據(jù)安全管理制度
1、存放備份數(shù)據(jù)的介質必須具有明確的標識。備份數(shù)據(jù)必須異地存放。
2、注意計算機重要信息資料和數(shù)據(jù)存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全。
3、任何非應用性業(yè)務數(shù)據(jù)的使用及存放數(shù)據(jù)的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批,以保證備份數(shù)據(jù)安全完整。
4、數(shù)據(jù)恢復前,必須對原環(huán)境的數(shù)據(jù)進行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復過程中,出現(xiàn)問題時由技術部門進行現(xiàn)場技術支持。數(shù)據(jù)恢復后,必須進行驗證、確認,確保數(shù)據(jù)恢復的完整性和可用性。
5、數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要進行定期保存或永久保存,并確保可以隨時使用。數(shù)據(jù)清理的實施應避開業(yè)務高峰期,避免對聯(lián)機業(yè)務運行造成影響。
6、需要長期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關部門制定轉存,根據(jù)轉存和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。
7、非本單位技術人員對本公司的設備、系統(tǒng)等進行維修、維護時,必須由本公司相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外維修,須經(jīng)設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除,并進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測。
8、管理部門應對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后清除,并妥善處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,經(jīng)常進行計算機病毒檢查,發(fā)現(xiàn)病毒及時清除。
10、營業(yè)用計算機未經(jīng)有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網(wǎng)絡管理
1、網(wǎng)絡系統(tǒng)屬于公司無形資產,公司有權限制上網(wǎng)行為,根據(jù)工作需要限制各部門的上網(wǎng)行為。
2、公司網(wǎng)絡管理員對計算機IP地址統(tǒng)一分配、登記、管理,嚴禁私自更改IP地址。
3、公司員工必須自覺遵守企業(yè)的有關保密法規(guī),嚴禁利用網(wǎng)絡有意或無意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復制、轉移和破壞公司的文件、資料和數(shù)據(jù)。
4、實行“絕密”文件、涉秘件與計算機網(wǎng)絡絕對隔離,不得在計算機網(wǎng)絡中輸入、打印、復制“絕密”文件和有關涉秘件;
5、網(wǎng)絡維護部負責文字工作的計算操作人員必須遵守有關的保密制度,對保密的文件資料進行加密存放,不得上網(wǎng)共享。
六、附則
1、本制度由網(wǎng)絡部負責解釋。
2、本制度由總經(jīng)理批準后生效,自頒布之日起執(zhí)行。
it信息安全管理制度4
為維護互聯(lián)網(wǎng)環(huán)境安全、健康,根據(jù)《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等國家法律、法規(guī),特制定本制度。
總則
一、嚴格遵守國家有關涉及互聯(lián)網(wǎng)方面的法律法規(guī);
二、堅決封堵互聯(lián)網(wǎng)上不良和有害信息的侵入;
三、積極配合公安機關的網(wǎng)絡信息安全部門檢查;
四、按照備案要求,及時備案本單位在互聯(lián)網(wǎng)應用方面的變更信息;
五、在本單位建立網(wǎng)絡信息安全保護小組,并報公安機關的網(wǎng)絡安全部門備案;
六、根據(jù)本單位在互聯(lián)網(wǎng)應用的實際情況,在安全員、安全教育和培訓、機房管理、安全保護技術措施、巡視上報、帳號使用和操作權限管理等方面制定以下細則制度。
安全員制度
一、設立2人以上專職或兼職計算機信息網(wǎng)絡安全員(以下簡稱安全員);
二、安全員主要負責全校網(wǎng)絡(包含局域網(wǎng)、廣域網(wǎng))的系統(tǒng)安全性;
三、安全員負責全校網(wǎng)絡安全方面操作和知識的培訓;
四、安全員負責系統(tǒng)數(shù)據(jù)的冗災備份工作;
五、安全員確保系統(tǒng)日志保存完善并保留60天以上(日志包含校內部聯(lián)網(wǎng)和網(wǎng)站兩大塊);
六、對系統(tǒng)防病毒系統(tǒng)、防火墻和入侵檢測系統(tǒng)的定期升級。定期對系統(tǒng)作安全檢測,及時發(fā)現(xiàn)安全漏洞予以消除,對檢測結果和漏洞消除情況有記錄;
七、安全員應經(jīng)常保持對最新技術的掌握,實時了解網(wǎng)絡信息安全的動向,做到預防為主;
八、安全員承擔對不良、有害信息上報、處置工作職責;
九、另安全員承擔本單位制定的其他和公安機關交辦的相關網(wǎng)絡安全職責。
與公安聯(lián)系制度
一、建立與公安機關聯(lián)系的長效機制,對網(wǎng)絡安全方面出現(xiàn)的問題和情況及時溝通;
二、網(wǎng)絡安全管理員保持通訊暢通,確保24小時內有急事聯(lián)系到人;
三、對計算機信息系統(tǒng)中發(fā)生的案件,應當24小時內向當?shù)毓瞐il:XXX,并電話確認郵件送機關報告(電話:XXX轉XX或者em達)。
安全教育和培訓
一、安全員定期接受公安機關相關部門的安全培訓;
二、對員工和用戶在《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等關于網(wǎng)絡安全方面的國家法律、法規(guī)的學習、培訓,提高工作人員(特別是安全員)的.維護網(wǎng)絡安全的警惕性和自覺性;
三、實時了解網(wǎng)絡信息安全的動向,不定期地對本單位聯(lián)網(wǎng)用戶(包含單位其他聯(lián)網(wǎng)工作人員等)進行關于最新系統(tǒng)漏洞修復和最新病毒預防等安全防范方面的的培訓和學習。
四、適時對全校員工進行基本的網(wǎng)絡安全保護制度和具體方法進行介紹,切實維護計算機聯(lián)網(wǎng)安全。
五、網(wǎng)絡安全防范方面的的培訓和學習方面,暢通與公安機關有關人員的聯(lián)系渠道,加強對各類有害信息、特別是影射性有害信息的識別能力,提高安全防犯能力。
機房管理制度
一、對能夠進入機房人員的設定要求(如:非機房人員準入制度等等);
二、對任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品的禁止要求;
三、對運行設備及各種配置等等進行更改、增減的權限規(guī)定;
四、操作密碼定期更改要求,超級用戶權限設定、機房管理員權限等等的權限設定;
五、各種主要數(shù)據(jù)的冗災備份要求;
六、《機房日志》及軟件維護、增刪、配置的更改,各類硬件設備的添加、更換等登記要求;
七、對機房內設置的消防器材等不定期進行檢查的要求,以保證其有效性;
八、機房環(huán)境(如整潔、溫度等等)的要求;
九、其他。
安全保護技術措施制度
一、系統(tǒng)日志保存完善。根據(jù)不同互聯(lián)網(wǎng)服務性質保存相應的日志項目(具體項目參照《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》,項目應達到的標準參照《中華人民共和國公共安全行業(yè)標準》GA610-20xx、GA611-20xx、GA612-20xx),做到保存項目完整、保存時間在60天以上;
二、對系統(tǒng)安全防范系統(tǒng)定期檢測、升級、漏洞修補,確保系統(tǒng)安全;
三、系統(tǒng)數(shù)據(jù)冗災備份;
四、定期巡視,確保信息安全、合法。
巡視上報制度
一、對于論壇BBS、社區(qū)、留言板、聊天室、游戲,建立信息發(fā)布前的關鍵字或敏感詞匯的過濾機制(關鍵字內容包含邪教術語、淫穢術語等等,密切關注社會動態(tài),對關鍵字或敏感詞匯作及時調整等等方面的具體規(guī)定);
二、對于電子郵件服務,建立垃圾郵件的自動過濾功能;
三、上述欄目屬于新聞時事、時政類的欄目,必須建立信息發(fā)布前的先審后發(fā)制度;
四、日常化巡視(可以由管理員、版主等等輪流或分塊負責,如何分工實現(xiàn)日常化巡視、巡視時職責是及時發(fā)現(xiàn)有害信息并及時處置等等都應明確);
五、上述四條,系統(tǒng)自動過濾、審核、巡視出的有害信息應留存,并定期向公安機關網(wǎng)絡安全部門上報;
帳號使用登記和操作權限管理制度
一、聯(lián)網(wǎng)單位應用系統(tǒng)中的用戶權限設置;
二、對于論壇BBS、社區(qū)等欄目中用戶分級管理(如:游客、注冊用戶、版主、管理員等之間的權限設置,新聞時政類欄目與普通欄目版主、管理員之間的權限設置);
三、后臺管理員的權限設置;
四、其他。
附則
本制度自即日起實施。制度一式二份,一份報公安機關的網(wǎng)絡安全部門備案,一份和《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)單位備案表》同檔保存在本單位備查。
it信息安全管理制度5
一、計算機設備管理系統(tǒng)
1、計算機的用戶部門應保持清潔、安全、計算機設備的良好工作環(huán)境。禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等危害計算機設備安全的物品。
2、當本單位非技術人員對本單位設備進行維護時、系統(tǒng)等。、維護,本單位相關技術人員必須在現(xiàn)場監(jiān)督全過程。
計算機設備在送去修理之前必須得到有關部門負責人的批準。
3、嚴格遵守安全操作規(guī)程和正確的使用方法,如計算機設備使用、啟動、關機。
任何人不得用電插撥計算機外部設備的接口。如果計算機出現(xiàn)故障,應及時向計算機責任部門報告。未經(jīng)許可不得擅自處理或從其他單位找技術人員進行維護和操作。
二 、操作員安全管理系統(tǒng)
(1)操作代碼是進入各種業(yè)務操作應用系統(tǒng)的.代碼、數(shù)據(jù)訪問的分級控制。
操作代碼分為系統(tǒng)管理代碼和一般操作代碼。
代碼是根據(jù)不同應用系統(tǒng)和工作職責的要求設置的。
(2)系統(tǒng)管理操作代碼的設置和管理
1、系統(tǒng)管理操作代碼必須由管理層授權。
2、系統(tǒng)管理員負責各種應用系統(tǒng)的環(huán)境生成、維護、通用操作代碼的生成和維護、故障恢復的管理和維護等。
3、系統(tǒng)管理員必須獲得其上級對業(yè)務系統(tǒng)數(shù)據(jù)整理的授權、故障恢復和其他操作;
4、系統(tǒng)管理員不得使用他人的操作碼進行業(yè)務操作;
5、系統(tǒng)管理員調離崗位。上級管理員(或相關責任人)應及時取消其代碼并生成新的系統(tǒng)管理員代碼。
(3)通用操作代碼的設置和管理
1、一般操作代碼由系統(tǒng)管理員根據(jù)各種應用系統(tǒng)的操作要求生成,每個用戶設置一個代碼。
2、經(jīng)營者不得將他人代碼用于經(jīng)營活動。
3、操作員調離崗位。系統(tǒng)管理員應取消他的代碼,并及時生成新的操作員代碼。
三、密碼和權限管理系統(tǒng)
1、密碼設置應該具有安全性、保密性,并且不能使用簡單的代碼和標簽。
密碼是保護系統(tǒng)和數(shù)據(jù)安全以及保護用戶自身權益的控制代碼。
密碼分為用戶密碼和操作密碼,用戶密碼是登錄系統(tǒng)時設置的密碼,操作密碼是進入各應用系統(tǒng)的操作員密碼。
密碼設置不應是容易猜到的數(shù)字和字符串,如名稱、生日,重復、序列、常規(guī)數(shù)字;
2、密碼應每隔不超過一個月定期修改一次。如果發(fā)現(xiàn)或懷疑密碼丟失或泄露,應立即修改,并將用戶名、修改時間、修改等內容記錄在相應的寄存器中。
3、服務器、路由器等重要設備超級用戶的密碼被/操作機構否定
it信息安全管理制度6
一、總則
1.1目的
為了規(guī)范和加強本單位的信息網(wǎng)絡安全管理工作,保護本單位的信息安全,確保信息系統(tǒng)正常運行和信息數(shù)據(jù)的完整、可靠、可用,制定本制度。
1.2適用范圍
本制度適用于本單位內所有與信息網(wǎng)絡相關的人員、設備和相關系統(tǒng),包括但不限于計算機、服務器、路由器、交換機及其他網(wǎng)絡設備。
二、安全策略及責任分工
2.1安全策略
2.1.1信息網(wǎng)絡安全的目標
確保信息系統(tǒng)安全,包括信息的保密性、完整性和可用性,并維護用戶信息的隱私和合法權益。
2.1.2安全管理原則
●安全性原則:信息安全應得到重視,安全風險應得到合理的評估和管理。
●權限控制原則:用戶在信息系統(tǒng)的訪問和操作應有相應權限控制,并嚴格按照權限進行操作。
●安全審計與監(jiān)控原則:建立日志審計和監(jiān)控機制,及時發(fā)現(xiàn)和處理安全事件。
●響應與恢復原則:建立應急響應和災備機制,能夠有效應對安全事件和恢復環(huán)境。
2.2責任分工
2.2.1安全管理部門
負責制定安全管理政策和制度,監(jiān)督、管理和評估網(wǎng)絡安全工作,并負責應急響應和安全事件處置。
2.2.2信息網(wǎng)絡管理員
負責本單位信息網(wǎng)絡的運維和安全管理工作,包括但不限于設備安裝及配置、漏洞修復、日志審計和監(jiān)控等。
2.2.3用戶
負責保護自己的`賬戶和密碼安全,不得隨意泄漏個人信息,合法合規(guī)使用信息網(wǎng)絡。
三、安全規(guī)范和技術要求
3.1密碼安全
3.1.1密碼強度要求
●密碼長度不少于8位。
●包含大小寫字母、數(shù)字和特殊字符。 ●禁止使用常用密碼和個人信息作為密碼。 3.1.2密碼定期更換
用戶密碼應定期更換,建議每90天更換一次。 3.2防安全
3.2.1安裝有效的殺毒軟件
所有終端設備應安裝依托互聯(lián)網(wǎng)進行實時更新的殺毒軟件,確保設備的安全。
3.2.2定期掃描
定期對計算機和服務器進行掃描,及時清除并進行修復。 3.3訪問控制
3.3.1用戶權限管理
對不同角色的用戶設置相應的訪問權限,保證合理的訪問控制。
3.3.2賬號鎖定
設置連續(xù)登錄失敗次數(shù)達到一定次數(shù)后,用戶賬號自動鎖定一段時間。
3.4安全審計與監(jiān)控
3.4.1建立日志審計機制
建立日志審計系統(tǒng),記錄用戶的操作日志,以便對安全事件進行追溯和分析。
3.4.2實施網(wǎng)絡流量監(jiān)控
對網(wǎng)絡流量進行實時監(jiān)控,及時發(fā)現(xiàn)異常流量和攻擊行為,并采取相應的防護措施。
it信息安全管理制度7
一、嚴格執(zhí)行《食品衛(wèi)生法》,食堂工作人員應樹立良好的衛(wèi)生意識,養(yǎng)成良好的衛(wèi)生習慣。
二、膳食工作要堅持為我院職工及患者生活服務的宗旨,以“管理育人”、“服務育人”為目的,開展各種形式的經(jīng)營服務活動,堅持優(yōu)質服務,講究職業(yè)道德。
三、食堂工作人員必須持有效的健康證和衛(wèi)生知識培訓合格證方可上崗。上班時間要穿工作服,戴帽、口罩、號碼、胸卡等;出售直接入口食品時,必須使用售貨工具。
四、采購驗收食品應當無毒、無害,符合食品衛(wèi)生標準和營養(yǎng)要求,且有良好的感官形狀。
、加工烹飪食品的營養(yǎng)要搭配合理,要符合職工及患者的健康需
六、注意內外環(huán)境衛(wèi)生,做到窗明幾凈、地面清潔、桌椅擺放整齊且清潔,后堂大廳的衛(wèi)生要隨時打掃,定期消毒,不留死角。
七、餐具和盛放直接入口食品、容器,使用前必須洗凈消毒;炊具用具用后清洗干凈,保持清潔。
八、食品的洗切、加工必須采取“一洗、二浸、三燙、四炒”的烹飪程序,加工好的食品要徹底符合衛(wèi)生要求,保證不受污染。
九、物資進倉要保持清潔衛(wèi)生,存放要生熟分開,包裝食品要離地存放,散裝食品應用容器加蓋存放,注意保質、保鮮。
十、加強思想政治工作,做好食堂工作人員的.職業(yè)道德教育,防止食物中毒等方面知識的教育,杜絕食物中毒。
十一、對出現(xiàn)違反安全、衛(wèi)生規(guī)定,出現(xiàn)火災或食物中毒的食堂,視情節(jié)輕重,追究當事人和領導者的責任,處以罰款,情節(jié)嚴重的追究法律責任。
it信息安全管理制度8
1、為了加強學校的教育網(wǎng)絡和信息安全保障工作,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》和其它有關法律、法規(guī)的規(guī)定,制定本制度。
2、本制度適用于學校內網(wǎng)絡機房、各計算機網(wǎng)絡用戶。
3、任何部門和個人不得利用校園網(wǎng)絡或國際互聯(lián)網(wǎng)危害國家安全、泄露國家和學校秘密,不得侵犯國家的、社會的、學校的利益和公民的合法權益,不得從事犯罪活動。
4、任何部門和個人不得利用校園網(wǎng)絡或國際互聯(lián)網(wǎng)制作、復制、查閱和傳播下列有害信息:
⑴煽動顛覆國家政權、破壞國家統(tǒng)一,破壞民族團結、宗教極端勢力和境外敵對勢力的反動言論;
⑵捏造或者歪曲事實、散布謠言、擾亂校園秩序和社會秩序;
⑶宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪。
5、任何部門和個人不得從事下列危害校園網(wǎng)絡和計算機信息網(wǎng)絡安全的活動:
⑴未經(jīng)允許不得對校園網(wǎng)絡功能和學校網(wǎng)站進行刪除、修改或者增加。
⑵未經(jīng)允許不得對校園網(wǎng)絡中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加。
⑶不得在校園網(wǎng)絡和互聯(lián)網(wǎng)中故意制作、傳播計算機病毒等破壞性程序。
6、在校園網(wǎng)絡、學校網(wǎng)站、電子信箱中發(fā)現(xiàn)有反動、迷信、淫穢內容的信息應及時報告學校領導或電教網(wǎng)絡中心。
7、服務器、路由器和交換機的.口令由專人負責保管,不得隨意外泄。口令的修改及設定需做好專門記錄和備案。
8、校園網(wǎng)上網(wǎng)帳戶的建立、E-Mail帳戶的申請、變更等需填寫申請單,由網(wǎng)絡中心完成設置并記入運行日志。
9、教師給家長發(fā)布的信息必須經(jīng)兩位教師商量決定,信息發(fā)布人應當對所發(fā)布的信息備案記錄,以加強管理;網(wǎng)絡中心對所收到的經(jīng)過審核后的信息在確認審核意見后,應及時在網(wǎng)上發(fā)布,并確保發(fā)布信息的準確性;做好數(shù)據(jù)備份工作,確保系統(tǒng)遭破壞后能及時恢復。
10、未經(jīng)本中心批準,不得在校園網(wǎng)內建立自己的WEB站點、BBS站點、討論組及其它類似的信息站點。學校網(wǎng)站的策劃,內容的增刪由中心負責。信息發(fā)布的內容須經(jīng)校辦公室審核。
11、指定專人負責本學校的計算機網(wǎng)絡管理和信息管理。
12、對于違反上述制度的有關人員,將采取教育、經(jīng)濟處罰和行政處罰等措施,觸犯法律的將移送公安司法機關依法追究刑事責任。
13、本制度自發(fā)布之日起實施。
it信息安全管理制度9
第一條為加強我局信息安全建設,提高全體稅務干部的信息安全意識和技能,保障我局信息系統(tǒng)安全穩(wěn)定的運行,特制定本制度。
第二條信息安全培訓旨在強化我局全體稅務干部的信息安全意識,使之明確信息安全是每個人的責任,并掌握其崗位所要求的信息安全操作技能。
第三條針對不同的培訓對象進行分層次的培訓,信息安全培訓分為管理層培訓、技術層培訓和普通用戶層培訓三個層面,分層培訓內容的參考范圍和需達到的'標準如下:
一、管理層信息安全培訓
(一)對象:市局、各區(qū)縣局的各級領導。
(二)內容:宏觀信息安全管理理念及高級信息安全管理知識。
(三)標準:使管理層人員能夠了解其信息安全職責,具備其工作所需的信息安全管理知識和信息安全管理能力。
二、技術層信息安全培訓
(一)對象:各級信息化管理部門的各類技術管理人員。
(二)內容:系統(tǒng)安全策略;內部和外部攻擊的檢測;常用計算機及網(wǎng)絡安全保護手段、日常工作中需要注意的信息安全方面的事項; 《北京市地方稅務局信息系統(tǒng)安全管理框架》下包括的所有制度內容。
(三)標準:使技術層人員能夠了解其所從事崗位的信息安全職責,熟悉與其工作相關的各項信息安全制度,具備工作所需的信息安全知識和技能。
三、普通用戶層信息安全培訓
(一)對象:全局的普通計算機用戶。
(二)內容:所在崗位的信息安全職責;計算機病毒預防和查殺的基本技能;計算機設備物理安全知識和網(wǎng)絡安全常識; 《北京市地方稅務局信息系統(tǒng)安全管理框架》下的所有普通用戶應掌握和了解的制度內容。
(三)標準:使普通用戶了解其信息安全職責,熟悉與工作相關的各項信息安全制度,具備工作所需的信息安全知識和技能。
第四條各單位信息安全管理部門和人事教育部門負責每年制定管理層和普通用戶層的信息安全培訓計劃
it信息安全管理制度10
根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例(國務院)》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定(國務院)》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法(公安部)》等規(guī)定,常武醫(yī)院將認真開展網(wǎng)絡與信息安全工作,明確安全責任,建立健全的管理制度,落實技術防范措施,保證必要的經(jīng)費和條件,對一切不良、有毒、違法等信息進行過濾、對用戶信息進行保密,確保網(wǎng)絡信息和用戶信息的安全。
一、網(wǎng)站安全保障措施
1、網(wǎng)站服務器和其他計算機之間設置防火墻,拒絕外來惡意程序的攻擊,保障網(wǎng)站正常運行。
2、在網(wǎng)站的服務器及工作站上安裝相應的防病毒軟件,對計算機病毒、有害電子郵件有效防范,防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。
3、做好訪問日志的留存。網(wǎng)站具有保存三個月以上的系統(tǒng)運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況,主頁維護者、對應的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識別確認功能,對非法貼子或留言能做到及時刪除并根據(jù)需要將重要信息向相關部門匯報。
5、網(wǎng)站信息服務系統(tǒng)建立多種備份機制,一旦主系統(tǒng)遇到故障或受到攻擊導致不能正常運行,可以在最短的時間內替換主系統(tǒng)提供服務。
6、關閉網(wǎng)站系統(tǒng)中暫不使用的服務功能及相關端口,并及時修復系統(tǒng)漏洞,定期查殺病毒。
7、服務器平時處于鎖定狀態(tài),并保管好登錄密碼;后臺管理界面設置超級用戶名、密碼和驗證碼并綁定IP,以防他人非法登陸。
8、網(wǎng)站提供集中管理、多級審核的管理模式,針對不同的應用系統(tǒng)、終端、操作人員,由網(wǎng)站系統(tǒng)管理員設置共享數(shù)據(jù)庫信息的訪問權限,并設置相應的密碼及口令。
9、不同的操作人員設定不同的用戶名和操作口令,且定期更換操作口令,嚴禁操作人員泄漏自己的口令;對操作人員的權限嚴格按照崗位職責設定,并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員的操作記錄。
二、信息安全保密管理制度
1、充分發(fā)揮和有效利用常武醫(yī)院醫(yī)療信息資源,保障常武醫(yī)院門戶網(wǎng)站的正常運行,對網(wǎng)絡信息進行及時、有效、規(guī)范的管理。
2、在常武醫(yī)院門戶網(wǎng)站服務器上提供的信息,不得危害國家安全、泄露國家秘密;不得有害社會穩(wěn)定、治安和有傷風化。
3、本院各部門及信息采集人員對所提供信息的真實性、合法性負責并承擔發(fā)布信息引起的任何法律責任;
4、各部門指定專人擔任信息管理員,負責本網(wǎng)站信息發(fā)布工作,不允許用戶將其帳號、密碼轉讓或借予他人使用;因密碼泄密給本網(wǎng)站以及本院帶來的不利影響由泄密人承擔全部責任,并追究該部門負責人的管理責任;
5、不得將任何內部資料、機密資料、涉及他人隱私資料或侵犯任何人的專利、商標、著作權、商業(yè)秘密或其他專屬權利之內容加以上載、張貼。
6、所有信息及時備份,并按規(guī)定將系統(tǒng)運行日志和用戶使用日志記錄保存3月以上且未經(jīng)審核不得刪除;網(wǎng)站管理員不得隨意篡改后臺操作記錄;
7、嚴格遵循部門負責制的原則,明確責任人的職責,細化工作流程,網(wǎng)站相關信息按照編輯上傳→初審→終審通過的審核程序發(fā)布,切實保障網(wǎng)絡信息的有效性、真實性、合法性;
8、遵守對網(wǎng)站服務信息監(jiān)視、保存、清除和備份的.制度,經(jīng)常開展網(wǎng)絡有害信息的排查清理工作,對涉嫌違法犯罪的信息及時報告并協(xié)助公安機關查處。
三、用戶信息安全管理制度
常武醫(yī)院門戶網(wǎng)站為充分保護用戶的個人隱私、保障用戶信息安全,特制訂用戶信息安全管理制度。
1、定期對相關人員進行網(wǎng)絡信息安全培訓并進行考核,使網(wǎng)站相關管理人員充分認識到網(wǎng)絡安全的重要性,嚴格遵守相應規(guī)章制度。
2、尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私保護協(xié)議和網(wǎng)站服務條款以及其他公布的準則規(guī)定的情況下,未經(jīng)用戶授權不隨意公布和泄露用戶個人身份信息。
3、對用戶的個人信息嚴格保密,并承諾未經(jīng)用戶授權,不得編輯或透露其個人信息及保存在本網(wǎng)站中的非公開內容,但下列情況除外:
① 違反相關法律法規(guī)或本網(wǎng)站服務協(xié)議規(guī)定;
② 按照主管部門的要求,有必要向相關法律部門提供備案的內容;
③ 因維護社會個體和公眾的權利、財產或人身安全的需要;
④ 被侵害的第三人提出合法的權利主張;
⑤ 為維護用戶及社會公共利益、本網(wǎng)站的合法權益的需要;
⑥ 事先獲得用戶的明確授權或其它符合需要公開的相關要求。
4、用戶應當嚴格遵守網(wǎng)站用戶帳號使用登記和操作權限管理制度,并對自己的用戶賬號、密碼妥善保管,定期或不定期修改登錄密碼,嚴格保密,嚴禁向他人泄露。
5、每個用戶都要對其帳號中的所有活動和事件負全責。用戶可隨時改變用戶的密碼和圖標,也可以結束舊的帳號而重新申請注冊一個新帳號。用戶同意若發(fā)現(xiàn)任何非法使用用戶帳號或安全漏洞的情況,有義務立即通告本網(wǎng)站。
6、如用戶不慎泄露登陸賬號和密碼,應當及時與網(wǎng)站管理員聯(lián)系,請求管理員及時鎖定用戶的操作權限,防止他人非法操作;在用戶提供有效身份證明和有效憑據(jù)并審查核實后,重新設定密碼恢復正常使用。
常武醫(yī)院將嚴格執(zhí)行本規(guī)章制度,并形成規(guī)范化管理,并成立由單位負責人、其他部門負責人、信息管理主要技術人員組成的網(wǎng)絡信息安全小組,并確定至少兩名安全負責人作為突發(fā)事件處理的直接責任人。
it信息安全管理制度11
一、人員方面
1. 建立網(wǎng)絡與信息安全應急領導小組;落實具體的安全管理人員。以上人員要提供24小時有效、暢通的聯(lián)系方式。
2. 對安全管理人員進行基本培訓,提高應急處理能力。
3. 進行全員網(wǎng)絡安全知識宣傳教育,提高安全意識。
二、設備方面
1. 對電腦采取有效的安全防護措施(及時更新系統(tǒng)補丁,安裝有效的防病毒軟件等)。
2. 強化無線網(wǎng)絡設備的安全管理(設置有效的管理口令和連接口令,防止校園周邊人員入侵網(wǎng)絡;如果采用自動分配IP地址,可考慮進行Mac地址綁定)。
3. 不用的信息系統(tǒng)及時關閉(如有些系統(tǒng)只是在開學、期末、某一階段使用幾天,寒暑假不使用的系統(tǒng)應當關閉);
4. 注意有關密碼的保密工作并牢記密碼,定期更改相關密碼,注意密碼的復雜度,至少8位以上,建議使用字母加數(shù)字加特殊符號的組合方式;
5. 修改默認密碼,不能使用默認的統(tǒng)一密碼;
6. 在信息系統(tǒng)正常部署完成后,應該修改系統(tǒng)后臺調試期間的密碼,不應該繼續(xù)使用工程師調試系統(tǒng)時所使用的密碼;
7. 正常工作日應該保證至少登錄、瀏覽一次系統(tǒng)相關頁面,及時發(fā)現(xiàn)有無被篡改等異常現(xiàn)象,特殊時間應增加檢查頻率;
8. 服務器上安裝殺毒軟件(保持升級到最新版),至少每周對操作系統(tǒng)進行一次病毒掃描檢查、修補系統(tǒng)漏洞,檢查用戶數(shù)據(jù)是否有異常(例如增加了一些非管理員添加的用戶),檢查安裝的軟件是否有異常(例如出現(xiàn)了一些不是管理員安裝的未知用途的程序);
9. 對上網(wǎng)信息(會發(fā)布在前臺的文字、圖片、音視頻等),應該由兩位以上工作人員仔細核對無誤后,再發(fā)布到網(wǎng)站、系統(tǒng)中;
10. 對所有的上傳信息,應該有敏感字、關鍵字過濾、特征碼識別等檢測;
11. 系統(tǒng)、網(wǎng)站的重要數(shù)據(jù)和數(shù)據(jù),每學期定期做好有關數(shù)據(jù)的.備份工作,包括本地備份和異地備份;
12. 有完善的運行日志和用戶操作日志,并能記錄源端口號;
13. 保證頁面正常運行,不出現(xiàn)404錯誤等;
14. 加強電腦的使用管理(專人專管,誰用誰負責;電腦設置固定IP地址,并登記備案)。
15. 在變更系統(tǒng)管理員、信息員時,應該做好交接工作,避免影響系統(tǒng)的正常運行,管理員變更后,相關密碼也應該隨之變更;
16. 對于所管理的系統(tǒng)中的子帳號,在相關人員離職等原因不再管理時,應該將有關帳號禁用或刪除,避免帶來安全隱患;
三、事故處置和匯報
1.發(fā)生網(wǎng)絡及信息安全事故,無法立即處理的,要及時斷網(wǎng)(值班人員要會進行斷網(wǎng)操作);并保護好相關現(xiàn)場(主要是電腦和網(wǎng)絡設備),以便有關部門處理。
2.發(fā)生網(wǎng)絡和信息安全事故要及時逐級匯報。
it信息安全管理制度12
1.前言
1.1.目的
制定本制度的目的是保證公司IT系統(tǒng)有效、安全的運行,保證系統(tǒng)數(shù)據(jù)安全。
1.2.范圍
本制度適用于中電電氣(南京)光伏有限公司數(shù)據(jù)中心的日常運行。
2.控制點
2.1.日常運轉
1)各系統(tǒng)負責人(職責分工見【SODmatrix】),隨時處理網(wǎng)絡故障、解決網(wǎng)絡問題、保持網(wǎng)絡暢通、提高網(wǎng)絡的可用性和可靠性。
2)每周兩次檢查機房服務器、交換機、路由器、光纖收發(fā)器等設備運行情況,每周需填寫【資源檢查記錄表】;晚上或節(jié)假日期間,視網(wǎng)絡應用情況,設置現(xiàn)場值班或呼叫值班。
3)保持設備表面干凈整潔,操作設備時佩戴防靜電手環(huán)等。
4)機房管理員注意機房的溫度和濕度,機房溫度:18~30攝氏度,相對濕度:40%~60%。
5)公司員工不得私自安裝未經(jīng)授權或非法的軟件,授權軟件詳見【授權軟件記錄表】,信息管理部系統(tǒng)管理人員每半年通過SMS對用戶安裝軟件進行檢查,對非法軟件進行刪除,并填寫【用戶軟件檢查記錄表】,記錄用戶安裝的異常信息及處理結果,并報IT經(jīng)理審核。
2.2.病毒黑客預防管理
1)網(wǎng)絡管理員每周監(jiān)控企業(yè)防病毒服務器的升級情況,監(jiān)控機房中服務器殺毒軟件的更新情況,在服務器上設置自動更新、定期掃描策略(配置見公司殺毒服務器配置),并填寫【資源更新記錄表】,每月報IT經(jīng)理審核。
2)每周信息管理部網(wǎng)絡管理員通過現(xiàn)場或通過SMS管理軟件檢查客戶端計算機防毒軟件的升級情況和實時監(jiān)控狀態(tài),并填寫【資源檢查記錄表】,每月報IT經(jīng)理審核。
3)信息管理部網(wǎng)絡管理人員隨時注意Internet上病毒流行和爆發(fā)動態(tài),并及時向客戶端計算機發(fā)出病毒預警。
4)要有病毒爆發(fā)后的緊急處理預案,以便快速恢復系統(tǒng),保證系統(tǒng)及時相應服務。
5)利用ISA服務器或Netscreen防火墻屏蔽黑客或病毒常用的端口,提高密碼復雜度等。每周三WSUS服務器及時下推補丁給信息管理部,如補丁安裝完后沒有問題,每周四WSUS服務器及時下推補丁給網(wǎng)絡中所有的計算機。
6)信息部網(wǎng)絡管理員每天監(jiān)控網(wǎng)絡的健康狀態(tài),觀測網(wǎng)絡流量。
2.3.帳戶安全管理
1)用戶開戶和權限變更,需填寫【賬戶變更申請單】,經(jīng)部門經(jīng)理IT經(jīng)理審批后,最后由信息管理部各系統(tǒng)管理員進行各應用系統(tǒng)的帳戶的開戶工作、變更工作。帳戶注銷,直接由各系統(tǒng)管理員在人力資源部的員工離職交接單中簽字后,在系統(tǒng)中執(zhí)行相關操作。
2)臨時開設的帳戶也需要填寫【賬戶變更申請單】,一定要控制好帳戶過期時間和權限。系統(tǒng)缺省的管理員帳號必須禁用或修改初始密碼,系統(tǒng)管理員賬號需填寫【權限授權表】,經(jīng)IT經(jīng)理審核后,方可執(zhí)行,系統(tǒng)管理員帳號的密碼在移交后的第一次登錄時必須重新設置密碼。
3)用戶帳戶僅限于本人使用,不得以任何方式將賬戶和密碼轉借他人,不得窺視或盜用他人的賬戶和密碼。同時,用戶有妥善保管自己賬戶和密碼的責任和義務,不得泄露。
4)各系統(tǒng)管理員每半年檢查一次帳戶信息,導出各系統(tǒng)賬戶及權限清單,與各部門經(jīng)理確認系統(tǒng)帳戶和權限是否與申請人實際使用情況相符,由部門經(jīng)理簽字確認,填寫【資源檢查記錄表】,報IT經(jīng)理審核。
5)現(xiàn)涉及到的帳戶類型如下:域賬戶、電子郵件賬戶、SAP賬戶、無線網(wǎng)帳戶。
6)如果系統(tǒng)策略允許,使用帳戶10次登錄失敗后帳戶立即鎖定。
7)如果系統(tǒng)策略允許,帳戶鎖定60分鐘后自動解鎖。
2.4.密碼安全策略
如果系統(tǒng)支持密碼復雜度管理,則啟用密碼復雜度規(guī)則,滿足如下條款。
1)密碼長度最短為八個字符。
2)必須同時包含以下四個類別字符中的三類字符:英文大寫字母(從A到Z),英文小寫字母(從a到z),數(shù)字(從0到9),非字母字符(例如,!、$、#、%)。
3)密碼的最長使用時間60天。
4)最近三次歷史密碼不能重復使用。
5)對各操作系統(tǒng)內置帳戶集中到IT經(jīng)理處管理,并遵循以上規(guī)則。
6)其他不支持此密碼安全策略的應用系統(tǒng),系統(tǒng)負責人要根據(jù)以上策略手工設置。如SQL20xx、防火墻Netscreen
2.5.網(wǎng)絡安全管理
1)伴隨網(wǎng)絡的不斷擴展,如果網(wǎng)絡中有增減設備的情況,及時更新網(wǎng)絡拓撲圖,及時調整防火墻、核心交換機等設備配置,并填寫【資源變更申請單】。
2)內部網(wǎng)絡不接受任何外部訪問(防火墻DMZ區(qū)、除外),所有的外部訪問都在防火墻的DMZ區(qū),并且防火墻上策略限制只開放需要的端口,如郵件服務器所需要的`443端口等,其余端口全部禁用。防火墻DMZ區(qū)主機需要訪問內網(wǎng)DC服務器,此訪問安全控制由ISA網(wǎng)關服務器完成。
3)內網(wǎng)訪問Internet或訪問DMZ主機的訪問權限和所能通過的服務均由ISA網(wǎng)關服務器控制,ISA策略根據(jù)網(wǎng)絡系統(tǒng)安全和公司具體應用確定(具體應用見ISA服務器配置),此服務器有專人管理。
4)信息管理部設專人每月度檢查核心交換機、防火墻、無線網(wǎng)控制器的配置,確認是否與公司的服務器配置策略相符,并填寫【資源檢查記錄表】,提交給IT部門經(jīng)理審批簽字。
5)信息管理部設專人至少每周檢查一次防火墻的日志,確保網(wǎng)絡不受可疑對象攻擊,保證網(wǎng)絡的安全性、穩(wěn)定性,并填寫【日志檢查記錄表】,每月提交給IT部門經(jīng)理審批簽字。
6)每周進行一次網(wǎng)絡數(shù)據(jù)包分析,及時發(fā)現(xiàn)類似ARP等病毒攻擊,及早預防。
7)每年對防火墻、核心交換機的日常維護記錄整理存檔一次。
2.6.數(shù)據(jù)安全管理
1)合理使用計算機分區(qū),不得將重要數(shù)據(jù)存放在系統(tǒng)分區(qū)。
2)公司數(shù)據(jù)庫系統(tǒng)、人事檔案、技術資料、圖紙、統(tǒng)計資料、營銷計劃、財務報表等重要資料要每日進行自動備份,每月進行一次完全備份;重要部門、重要系統(tǒng)不僅要做硬盤備份,還要定刻成成光盤,存放在異地長期保存。
3)含有重要資訊的資料(卡片、稿紙等)廢棄時,應確定銷毀,以免被誤用。
4)對不同用戶應用不同的系統(tǒng)策略,避免造成整個系統(tǒng)癱瘓。嚴格限制對應用系統(tǒng)數(shù)據(jù)庫的更改權利;嚴格限制重組數(shù)據(jù)庫或壓縮數(shù)據(jù)庫大小的權力;嚴格限制修改系統(tǒng)架構的權利等,操作系統(tǒng)日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經(jīng)理審核。
5)安全管理員每周至少查看一次數(shù)據(jù)庫日志文件,并填寫【日志檢查記錄表】,每月報IT經(jīng)理審核。以盡早發(fā)現(xiàn)異常情況,確保數(shù)據(jù)庫的存取安全。
6)郵件系統(tǒng)管理員對公司外發(fā)資料做每周進行一次檢查,對往來郵件每周做一次監(jiān)控分析,防止重要資料外泄,并填寫【日志檢查記錄表】。
7)原則上不能在后臺數(shù)據(jù)庫中直接修改數(shù)據(jù),如有需要,業(yè)務部門需填寫數(shù)據(jù)更改【變更申請單】,經(jīng)業(yè)務部門經(jīng)理、IT經(jīng)理審核批準后,授權給DBA執(zhí)行操作,DBA在執(zhí)行操作之前必須做好數(shù)據(jù)備份工作,操作完成后再在申請單上簽字,并提交給最終用戶確認。
8)關鍵應用系統(tǒng)SAP的上機日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經(jīng)理審核。
9)掌握重要數(shù)據(jù)的網(wǎng)絡管理人員要注意保密,請參照“公司保密制度”。
3.附件
3.1.CSUN-RE-IN0016《資源檢查記錄表》
3.2.CSUN-RE-IN0018《資源更新記錄表》
3.3.CSUN-RE-IN0017《資源變更申請單》
3.4.CSUN-RE-IN0007《帳戶變更申請單》
3.5.CSUN-RE-IN0019《日志檢查記錄表》
3.6.CSUN-RE-IN0005《權限授權表》
3.7.CSUN-RE-IN0001《變更申請單》
it信息安全管理制度13
1、目標
勝達集團信息安全檢查工作的主要目標是通過自評估工作,發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題,邊檢查邊整改,確保信息網(wǎng)絡和重要信息系統(tǒng)的安全。
2、評估依據(jù)、范圍和方法
2.1 評估依據(jù)
根據(jù)國務院信息化工作辦公室《關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知》(信安通[20xx]15號)、國家電力監(jiān)管委員會《關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)等,管理信息系統(tǒng)中業(yè)務種類相對較多、網(wǎng)絡和業(yè)務結構較為復雜,在檢查工作中強調對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估,具體包括:基礎網(wǎng)絡與服務器、關鍵業(yè)務系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。
2.3 評估方法
采用自評估方法。
3、重要資產識別
對本局范圍內的重要系統(tǒng)、重要網(wǎng)絡設備、重要服務器及其安全屬性受破壞后的'影響進行識別,將一旦停止運行影響面大的系統(tǒng)、關鍵網(wǎng)絡節(jié)點設備和安全設備、承載敏感數(shù)據(jù)和業(yè)務的服務器進行登記匯總,形成重要資產清單。
4、安全事件
對本局半年內發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5、安全檢查項目評估
5.1 規(guī)章制度與組織管理評估
5.1.1組織機構
評估標準
信息安全組織機構包括領導機構、工作機構。
現(xiàn)狀描述
本局已成立了信息安全領導機構,但尚未成立信息安全工作機構。
評估結論
完善信息安全組織機構,成立信息安全工作機構。
5.1.2崗位職責
估標準
崗位要求應包括:專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責的工作職責與工作范圍應有制度明確進行界定;崗位實行主、副崗備用制度。
現(xiàn)狀描述
我局沒有配置專職網(wǎng)絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員,都是兼責;專責的工作職責與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
評估結論
本局已有兼職網(wǎng)絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員,在條件許可下,配置專職管理人員;專責的工作職責與工作范圍沒有明確制度進行界定,根據(jù)實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
評估標準
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略(1周內至少進行一次掃描)。
現(xiàn)狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務器下載、升級安全策略;病毒預警是通過第三方和網(wǎng)上提供信息來源,每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
評估結論
完善病毒預警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
評估標準
運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
現(xiàn)狀描述
沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
評估結論
結合本局具體情況,制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
評估標準
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件,半年內系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷。
現(xiàn)狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內賬戶密碼、口令有過變更,但沒有變更相關記錄、通知、文件;半年內系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。
評估結論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關記錄;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。
5.2 網(wǎng)絡與系統(tǒng)安全評估
5.2.1網(wǎng)絡架構
評估標準
局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備應采取設備冗余或準備備用設備,不允許外聯(lián)鏈路繞過防火墻,具有當前準確的網(wǎng)絡拓撲結構圖。
現(xiàn)狀描述
局域網(wǎng)核心交換設備準備了備用設備,城域網(wǎng)核心路由設備采取了設備冗余;沒有不經(jīng)過防火墻的外聯(lián)鏈路,有當前網(wǎng)絡拓撲結構圖。
評估結論
局域網(wǎng)核心交換設備、城域網(wǎng)核心路由設備按要求采取設備冗余或準備備用設備,外聯(lián)鏈路沒有繞過防火墻,完善網(wǎng)絡拓撲結構圖。
5.2.2網(wǎng)絡分區(qū)
評估標準
生產控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設置合理。
現(xiàn)狀描述
生產控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū),VLAN間的訪問控制設置合理。
評估結論
對生產控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設置合理。
5.2.3 網(wǎng)絡設備
評估標準
網(wǎng)絡設備配置有備份,網(wǎng)絡關鍵點設備采用雙電源,關閉網(wǎng)絡設備HTTP、FTP、TFTP等服務,SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
現(xiàn)狀描述
網(wǎng)絡設備配置沒有進行備份,網(wǎng)絡關鍵點設備是雙電源,網(wǎng)絡設備關閉了HTTP、FTP、TFTP等服務,SNMP社區(qū)串、本地用戶口令沒達到要求。
評估結論
對網(wǎng)絡設備配置進行備份,完善SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
5.2.4 IP管理
評估標準
有IP地址管理系統(tǒng),IP地址管理有規(guī)劃方案和分配策略,IP地址分配有記錄。
現(xiàn)狀描述
沒有IP地址管理系統(tǒng),正在進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
評估結論
建立IP地址管理系統(tǒng),加快進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.5補丁管理
評估標準
有補丁管理的手段或補丁管理制度,Windows系統(tǒng)主機補丁安裝齊全,有補丁安裝的測試記錄。
現(xiàn)狀描述
通過手工補丁管理手段,沒有制訂相應管理制度;Windows系統(tǒng)主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
評估結論
完善補丁管理的手段,制訂相應管理制度;補缺Windows系統(tǒng)主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統(tǒng)安全配置
評估標準
it信息安全管理制度14
總則
第一條、為加強公司網(wǎng)絡管理,明確崗位職責,規(guī)范操作流程,維護網(wǎng)絡正常運行,確保計算機信息系統(tǒng)的安全,現(xiàn)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《廣東省計算機信息系統(tǒng)安全保護管理辦法》等有關規(guī)定,結合本公司實際,特制訂本制度。
第二條、IT信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。
第三條、公司設立信息部,專門負責本公司范圍內的IT信息系統(tǒng)安全管理工作。
第一章網(wǎng)絡管理
第四條、遵守國家有關法律、法規(guī),嚴格執(zhí)行安全保密制度,不得利用網(wǎng)絡從事危害國家安全、泄露國家秘密等違法犯罪活動,不得制作、瀏覽、復制、傳播反動及色情信息,不得在網(wǎng)絡上發(fā)布反動、非法和虛假的消息,不得在網(wǎng)絡上漫罵攻擊他人,不得在網(wǎng)上泄露他人隱私。嚴禁通過網(wǎng)絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條、各終端計算機入網(wǎng),須填寫《入網(wǎng)申請表》,經(jīng)批準后由信息部統(tǒng)一辦理入網(wǎng)對接,未進行安全配置、未裝防火墻或殺毒軟件的計算機,不得入網(wǎng)。各計算機終端用戶應定期對計算機系統(tǒng)、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經(jīng)測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條、上班時間不得查閱娛樂性內容,不得玩網(wǎng)絡游戲和進行網(wǎng)絡聊天,不得觀看、下載大量消耗網(wǎng)絡帶寬的影視、音樂等多媒體信息。
第七條、禁止未授權用戶接入公司計算機網(wǎng)絡及訪問網(wǎng)絡中的資源,禁止所有用戶使用迅雷、BT、電驢等占用大量帶寬的下載工具。
第八條、禁止所有員工私自下載、安裝與工作無關的軟件、程序,如因此而感染病毒造成故障者,按相關處罰條例嚴厲處罰。
第九條、任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數(shù)據(jù),不得利用非法手段復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)。
第十條、員工在受到病毒或木馬攻擊時,應及時記錄好中毒現(xiàn)象描述和備份好C盤資料及重要數(shù)據(jù),并通知網(wǎng)絡管理員檢修,并做好檢修記錄。
第十一條、公司員工禁止利用掃描、監(jiān)聽、偽裝等工具對網(wǎng)絡和服務器進行惡意攻擊,禁止非法侵入他人網(wǎng)絡和服務器系統(tǒng),禁止利用計算機和網(wǎng)絡干擾他人正常工作的行為。
第十二條、IP地址為計算機網(wǎng)絡的重要資源,計算機各終端用戶應在信息部的規(guī)劃下使用這些資源,嚴禁擅自更改。另外,某些系統(tǒng)服務對網(wǎng)絡產生影響,計算機各終端用戶應在信息部的指導下使用,禁止隨意開啟計算機中的系統(tǒng)服務,保證計算機網(wǎng)絡暢通運行。
第二章設備管理
第十三條、公司員工因工作需要,確需購買IT設備或配件的,可向行政人事部申請并交由信息部具體辦理,若有符合需求的可調配設備,由申請人填寫《IT設備調配表》;若無可調配或有但不符合工作需要的設備,由申請人填寫《IT設備購買申請表》。交所在部門經(jīng)理簽字并報公司分管領導審批后再行調配或采購。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十四條、所有新購IT設備,必須先到信息部辦理登記領用手續(xù)后方可到財務部報帳核銷,無此手續(xù)者,財務不予報銷。
第十五條、凡登記在案的IT設備,由信息部統(tǒng)一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等
第十六條、各部門負責人為該部門IT設備直接監(jiān)管人,對本部門的所有IT設備有實時實地監(jiān)管的義務。當部門負責人因特殊情況不能直接監(jiān)管時應指定本部門中另外一人承擔此義務,并報公司批準,信息部備案。
第十七條、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡分支機構或合作單位自行購買的設備,原則上由分支機構或合作單位指定專人登記和監(jiān)察,按公司要求保管好相關資料和信息,并報信息部備案歸檔,若有需要,信息部可協(xié)助處理。
第十八條、嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機,調整計算機一律由行政人事部安排,信息部具體辦理備案。
第十九條、設備硬件或重裝操作系統(tǒng)等問題由信息部進行處理,首先由該設備終端用戶填寫《IT設備維修申請表》,在收到《IT設備維修申請表》后,信息部應及時調集力量予以處理。未填寫或是不填寫《IT設備維修申請表》而要求維修,信息部可以不予辦理。
第二十條、原購IT設備原則上在規(guī)定使用年限內不再重復購買,達到規(guī)定使用年限后,由信息部會同相關部門對其審核后處理。在規(guī)定使用年限期間,計算機終端用戶因工作需要發(fā)生調動或離職,需要繼續(xù)使用該計算機的應在信息部作變更備案;不繼續(xù)使用該計算機的,部門領導需監(jiān)督責任人將計算機及相關設備及時退回信息部,由信息部再行調配。
第二十一條、設備出現(xiàn)故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經(jīng)理簽字后報信息部。經(jīng)信息部對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息部對報廢設備登記備案、存檔。
第三章數(shù)據(jù)管理
第二十二條、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數(shù)據(jù)或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負責將其所有工作資料收回并保存。
第二十三條、為保證數(shù)據(jù)安全,凡涉及保密資料的電腦一概封閉光驅、軟驅、USB接口;嚴禁拆除機箱及解除封閉,私自使用USB接口,一經(jīng)發(fā)現(xiàn)嚴肅警告并處以50元以下罰款。
第二十四條、有軟驅和光驅的電腦,嚴格控制軟驅和光驅的使用,禁止隨意安裝或卸載軟件。
第二十五條、工作范圍內的重要數(shù)據(jù)(重要程度由各部門經(jīng)理核定)由計算機終端用戶定期更新、備份,并提交給所在部門經(jīng)理,由部門經(jīng)理負責保存。各部門經(jīng)理在一個季度開始后10天之內將本部門上一季度的`工作數(shù)據(jù)交信息部匯集后統(tǒng)一采用磁性介質或光盤保存。
第二十六條、計算機終端用戶務必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū),一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障,應及時與信息部聯(lián)系并采取保護數(shù)據(jù)安全的措施。
第二十七條、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數(shù)據(jù),要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數(shù)據(jù)丟失;做好防磁、防火、防潮和防塵工作。
第四章操作管理
第二十八條、凡涉及業(yè)務的專業(yè)軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外="http://www.com/yangsheng/kesou/" target="_blank">咳嗽輩僮鞲骼嗌璞?嚴禁非信息部人員隨意更改設備配置。
第五章網(wǎng)站管理
第二十九條、公司網(wǎng)站由信息部提供技術支持和后臺管理,由公司相關部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設資料。
第三十條、有以下情況之一者,視情節(jié)嚴重程度處以50元以上500元以下罰款。構成犯罪的,依法追究刑事責任。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的;
(二)非法復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的;
(三)對網(wǎng)絡和服務器進行惡意攻擊,侵入他人網(wǎng)絡和服務器系統(tǒng),利用計算機和網(wǎng)絡干擾他人正常工作;
(四)訪問未經(jīng)授權的文件、系統(tǒng)或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息部;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向行政部備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障出現(xiàn)三次以上(包括三次)仍無法自行處理的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
(十二)擅自更改IP,造成網(wǎng)絡故障者;
(十三)私拉亂接網(wǎng)線,擅自亂動網(wǎng)絡設備,造成網(wǎng)絡故障者;
第三十一條、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節(jié)嚴重,按所破壞設備市場價值的20%~100%賠償,并給予行政和經(jīng)濟處罰。
第三十二條、計算機系統(tǒng)和殺毒軟件由公司統(tǒng)一安裝,設置好計算機信息(我的電腦-屬性)。具體格式為計算機名:UPTONXX-YYY,XX是公司計算機的編號,YYY是計算機使用者名字偷字母,計算機描述:XX部門XXX。
第七章附則
第三十三條本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、移動硬盤、U盤、錄音筆、照相機、攝像機、打印機、復印機、傳真機、掃描儀等公司所有IT設備。
有害數(shù)據(jù):指與計算機信息系統(tǒng)相關的,含有危害計算機信息系統(tǒng)安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數(shù)據(jù)。
合法用戶:經(jīng)信息部授權使用本公司網(wǎng)絡資源的本公司員工,其余均為非法用戶。
第三十四條、計算機終端用戶應積極配合信息部共同做好計算機信息系統(tǒng)安全管理工作。
第三十五條、本制度適用于全公司范圍,由行政人事部負責解釋、修訂。
第三十六條、本制度自發(fā)布之日起實施,凡原制度與本制度不相符的,照本制度執(zhí)行。
it信息安全管理制度15
第一章 總則
第一條 為加強公司計算機和信息系統(tǒng)(包括涉密信息系統(tǒng)和非涉密信息系統(tǒng))
安全保密管理,確保國家秘密及商業(yè)秘密的安全,根據(jù)國家有關保密法規(guī)標準和中核集團公司有關規(guī)定,制定本規(guī)定。
第二條 本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡,包括機房、網(wǎng)絡設備、軟件、網(wǎng)絡線路、用戶終端等內容。
第三條 涉密信息系統(tǒng)的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統(tǒng)和國家秘密信息安全。
第四條 涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統(tǒng),不得投入使用。
第五條 本規(guī)定適用于公司所有計算機和信息系統(tǒng)安全保密管理工作。
第二章 管理機構與職責
第六條 公司法人代表是涉密信息系統(tǒng)安全保密第一責任人,確保涉密信息系統(tǒng)安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條 公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防范措施,并監(jiān)督檢查落實情況;
(二)協(xié)調處理有關涉密信息系統(tǒng)安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條 成立公司涉密信息系統(tǒng)安全保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛(wèi)部和相關業(yè)務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協(xié)調公司涉密信息系統(tǒng)安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密信息系統(tǒng)安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統(tǒng)用戶的職責和權限,并備案;
(三)組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風險評估,提出涉密信息系統(tǒng)安全運行的保密要求;
(四)會同科技信息部對涉密信息系統(tǒng)中介質、設備、設施的授權使用的審查,建立涉密信息系統(tǒng)安全評估制度,每年對涉密信息系統(tǒng)安全措施進行一次評審;
(五)對涉密信息系統(tǒng)設計、施工和集成單位進行資質審查,對進入涉密信息系統(tǒng)的安全保密產品進行準入審查和規(guī)范管理,對涉密信息系統(tǒng)進行安全保密性能檢測;
(六)對涉密信息系統(tǒng)中各應用系統(tǒng)進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統(tǒng)失泄密事件。
第十條
科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統(tǒng)的規(guī)劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統(tǒng)進行風險評估,提出整改措施,經(jīng)涉密信息系統(tǒng)安全保密領導
小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統(tǒng)中各應用系統(tǒng)進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員,并制定相應的職責; “三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網(wǎng)絡的安全管理,負責日常業(yè)務數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理;
(六)配合保密辦對涉密信息系統(tǒng)進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發(fā)事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密信息系統(tǒng)中普密設備的管理措施。
第十二條 相關業(yè)務部門、單位主要職責:涉密信息系統(tǒng)的使用部門、單位要嚴格遵守保密管理規(guī)定,教育員工提高安全保密意識,落實涉密信息系統(tǒng)各項安全防范措施;準確確定應用系統(tǒng)密級,制定并落實相應的二級保密管理制度。
第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員,其職責是:
(一)系統(tǒng)管理員負責系統(tǒng)中軟硬件設備的運行、管理與維護工作,確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網(wǎng)絡管理員、數(shù)據(jù)庫管理員、應用系統(tǒng)管理員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統(tǒng)所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查,以及時發(fā)現(xiàn)違規(guī)行為,并每月向涉密信息系統(tǒng)安全保密領導小組辦公室匯報一次情況。
第三章 系統(tǒng)建設管理
第十四條 規(guī)劃和建設涉密信息系統(tǒng)時,按照涉密信息系統(tǒng)分級保護標準的規(guī)定,同步規(guī)劃和落實安全保密措施,系統(tǒng)建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密信息系統(tǒng)規(guī)劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構編制或自行編制,安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。
第十六條 涉密信息系統(tǒng)規(guī)劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構實施或自行實施,并與實施方簽署保密協(xié)議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統(tǒng)要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統(tǒng)使用的軟件產品必須是正版軟件。
第四章 信息管理
第一節(jié) 信息分類與控制
第十八條 涉密信息系統(tǒng)的密級,按系統(tǒng)中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統(tǒng)密級的涉密信息。
第十九條 涉密信息系統(tǒng)中產生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總,并在保密辦備案。
第二十條 涉密信息系統(tǒng)應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規(guī)定執(zhí)行。
第二十二條 清除涉密計算機、服務器等網(wǎng)絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節(jié) 用戶管理與授權
第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據(jù)。
第二十四條 用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網(wǎng)”用戶清單;財會部管理“財務會計核算網(wǎng)”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經(jīng)本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統(tǒng)一建立用戶;“財務會計核算網(wǎng)”的'用戶由財會部統(tǒng)一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內的所有帳號、權限廢止;“財務會計核算網(wǎng)”密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯(lián)網(wǎng)計算機實行專人負責、專機上網(wǎng)管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯(lián)網(wǎng)的計算機須建立使用登記制度。
第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負責”的保密管理原則,信息上網(wǎng)必須經(jīng)過嚴格審查和批準,堅決做到“涉密不上網(wǎng),上網(wǎng)不涉密”。對上網(wǎng)信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡新聞組、博客等上發(fā)布、談論、傳遞、轉發(fā)或抄送國家秘密信息。
第六十七條 從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉入涉密系統(tǒng),經(jīng)科技信息部審批后,按照信息交換及中間轉換機管理規(guī)定執(zhí)行。
第九章 便攜式計算機管理
第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據(jù)工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條 便攜式計算機應具備防病毒、防非法外聯(lián)和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡;嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。
第七十二條 涉密便攜式計算機不得處理絕密級信息。未經(jīng)保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經(jīng)保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域,需辦理保密審批手續(xù)。
第十章 應急響應管理
第七十六條 為有效預防和處置涉密信息系統(tǒng)安全突發(fā)事件,及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響,保障涉密信息系統(tǒng)的安全穩(wěn)定運行,科技信息部和財會部應分別制定相應應急響應預案,經(jīng)公司涉密信息系統(tǒng)安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件,根據(jù)事件引發(fā)原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據(jù)實際情況,在保障人身安全前提下,保障數(shù)據(jù)安全和設備安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩(wěn)定的網(wǎng)絡設備和服務器設備,斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡用戶信息,修復被破壞的信息,恢復信息系統(tǒng)。按照事件發(fā)生的性質分別采用以下方案:1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經(jīng)造成危害的,應立即采用斷開網(wǎng)絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區(qū)域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網(wǎng)絡故障:判斷故障發(fā)生點和故障原因,能夠迅速解決的盡快排除故障,并優(yōu)先保證主要應用系統(tǒng)的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發(fā)事件的性質、影響范圍和造成的損失,將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據(jù)應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據(jù)應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協(xié)調處置;
(三)重大事件啟動應急響應預案,對突發(fā)事件進行處置,及時向公司黨政報告并提請協(xié)調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。
第七十九條 發(fā)生突發(fā)事件(如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統(tǒng)以防止造成數(shù)據(jù)損失;
(三)切斷網(wǎng)絡,隔離事件區(qū)域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統(tǒng)受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統(tǒng)重新進行風險評估;
(八)由保密辦根據(jù)風險評估結果并書面確認安全后,系統(tǒng)方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規(guī)制度對責任人進行處理。
第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續(xù)。
第八十三條 承擔涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規(guī)定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規(guī)定執(zhí)行。
第十三章 附 則
第八十七條 本規(guī)定由保密辦負責解釋與修訂。
第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機磁(光)介質保密管理規(guī)定)[制度編號:(廠1908號)]、《涉密計算機信息系統(tǒng)保密管理規(guī)定》[制度編號:(20xx)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規(guī)定》[制度編號:(20xx)廠1925號]、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》[制度編號:(20xx)廠1926號]、《涉密信息系統(tǒng)信息保密管理規(guī)定》[制度通告:(20xx)0934號]、《涉密信息系統(tǒng)安全保密管理規(guī)定》[制度通告:(20xx)0935號]同時廢止。
【it信息安全管理制度】相關文章:
信息安全管理制度07-25
信息安全管理制度06-20
信息安全培訓管理制度05-24
信息安全管理制度匯編04-05
中學信息安全管理制度09-19
信息安全事件管理制度06-18
信息數(shù)據(jù)安全管理制度03-21
學生信息安全管理制度03-24
醫(yī)院信息安全管理制度10-16
網(wǎng)絡信息安全管理制度02-03