“IT信息安全管理制度”指的是一种管理制度,主要用于保障信息系统(包括网络、计算机、通信等)的安全,防止未经授权的访问、篡改或破坏,以确保信息的保密性、完整性和可用性。这个制度通常包括安全策略、安全操作规程、安全培训、安全监控和应急计划等。以下是有关于it信息安全管理制度的有关内容,欢迎大家阅读!
it信息安全管理制度1
第一章总则
第一条为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。
第二条在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作,适用本规定。
第三条本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容。
第四条寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全。
第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。
省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。
按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。
国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。
第六条邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。
第七条邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,防止寄递用户信息泄露、丢失。
第二章一般规定
第八条邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,明确企业内部各部门、岗位的安全责任,加强寄递用户信息安全管理和安全责任考核。
第九条以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时,被加盟人应当依法承担相应安全管理责任。
第十条邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议,明确保密义务和违约责任。
第十一条邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。
第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,接受并及时处理有关投诉。
第十三条邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当订立寄递用户信息安全保障条款,明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。
第十四条邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并订立信息安全保障条款,明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的,邮政企业、快递企业应当依法承担相应责任。
第十五条未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。
第十六条公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案,邮政企业、快递企业应当配合,并对有关情况予以保密。
第十七条邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应当立即采取补救措施,按照规定报告邮政管理部门,并配合邮政管理部门和相关部门的.调查处理工作,不得迟报、漏报、谎报、瞒报。
第三章寄递详情单实物信息安全管理
第十八条邮政企业、快递企业应当加强寄递详情单管理,对空白寄递详情单发放情况进行登记,对号段进行全程跟踪,形成跟踪记录。
第十九条邮政企业、快递企业应当加强营业场所、处理场所管理,严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止寄递详情单实物信息(以下简称实物信息)在处理过程中泄露。
第二十条邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。
第二十一条邮政企业、快递企业应当采用有效技术手段,防止实物信息在寄递过程中泄露。
第二十二条邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具有专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。
第二十三条邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中封闭管理,确定集中存放地,及时回收寄递详情单妥善保管。设立、变更集中存放地,应当及时报告所在地邮政管理部门。
第二十四条邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理,采取必要的安全防护措施,确保存储安全。
第二十五条邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时,应当确保档案完整无损,并做好查阅登记,不得私自携带离开存放地。
第二十六条寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后,由企业进行集中销毁,做好销毁记录,严禁丢弃或者贩卖。
第二十七条邮政企业、快递企业应当对实物信息安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全隐患。
第四章寄递详情单电子信息安全管理
第二十八条邮政企业、快递企业应当按照国家规定,加强寄递服务用户信息相关信息系统和网络设施的安全管理。
第二十九条邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定,合理划分安全区域,实现各安全区域之间有效隔离,并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。
第三十条邮政企业、快递企业应当配备必要的防病毒软件、硬件,确保信息系统和网络具有防范计算机病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。
第三十一条邮政企业、快递企业构建信息系统和网络,应当避免使用信息系统和网络供应商提供的默认密码、安全参数,并对通过开放公共网络传输的寄递用户信息采取加密措施,严格审查并监控对信息系统、网络设备的远程访问。
第三十二条邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任,以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。
第三十三条邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。
第三十四条邮政企业、快递企业应当加强信息系统及网络的权限管理,基于权限最小化和权限分离原则,向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。
邮政企业、快递企业应当加强对信息系统和数据库的管理,使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权,并受到安全审计员的监控和审计。
第三十五条邮政企业、快递企业应当加强信息系统密码管理,使用高安全级别密码策略,定期更换密码,禁止将密码透露给无关人员。
第三十六条邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理,包括:
(一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域;
(二)采用加密方式存储寄递用户信息;
(三)确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当及时删除其中的寄递用户信息数据,并销毁硬件。
第三十七条邮政企业、快递企业应当加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点和事项,留作信息安全审计依据。
第三十八条邮政企业、快递企业应当加强对离岗人员的信息安全审计,及时删除或者禁用离岗人员系统账户。
第三十九条邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,定期进行安全风险评估。
第五章监督管理
第四十条邮政管理部门依法履行下列职责:
(一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施;
(二)监督、指导邮政企业、快递企业落实信息安全责任制,督促企业加强寄递用户信息安全管理;
(三)对寄递用户信息安全进行监测、预警和应急管理;
(四)监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训;
(五)依法对邮政企业、快递企业实施寄递用户信息安全监督检查;
(六)组织调查或者参与调查寄递用户信息安全事故,依法查处违反寄递用户信息安全管理规定的行为;
(七)法律、行政法规和规章规定的其他职责。
第四十一条邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传,强化邮政企业、快递企业及其从业人员的信息安全管理意识,提高用户对个人信息安全保护的认识。
第四十二条邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。
下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。
第四十三条邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度,规范从业人员信息安全保护行为,防范信息安全风险等情况进行检查。
第四十四条邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当依法进行调查处理。违法行为涉及其他部门管理职权的,邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。
第四十五条邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。
第四十六条邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依照《中华人民共和国邮政法》第七十七条的规定予以处罚。
第四十七条邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。
第四十八条邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的,移送司法机关追究刑事责任。
第四十九条任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。
第五十条邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件,以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息,但涉及国家秘密、商业秘密和个人隐私的除外。
第五十一条邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密,不得泄露、篡改或者损毁,不得出售或者非法向他人提供。
第五十二条邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用、玩忽职守,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。
第六章附则
第五十三条本规定自发布之日起施行。
it信息安全管理制度2
第一章总则
第一条为进一步规范安全信息管理,畅通安全信息渠道,及时掌握现场安全生产动态,准确处理各类安全信息和资料,切实提高对安全信息的分析、统计、处理能力,更好地发挥用安全信息指导安全生产和预防安全隐患的作用,逐步建立、完善公司安全信息管理网络,制定本制度。
第二条本制度规定的安全信息系指在公司生产过程中发生的运输行车事故、人身伤亡事故、特种设备事故、生产安全隐患、设备隐患、治安事件、管理问题、职工违章违纪及其它影响安全生产的信息。
第三条安全信息管理必须遵循的原则
1、真实性原则。凡反馈的安全信息,必须做到件件真实、来源可靠、实事求是,具有可追踪性,杜绝虚假信息、失效信息、重复信息,保证安全信息的真实性。
2、准确性原则。各类安全信息的数据统计和综合分析,要做到全面、客观、准确,避免错、漏信息的发生。
3、时效性原则。安全信息的反馈要及时、快捷,严格按照规定时间、周期提报,不得人为拖延,影响信息畅通。
第四条充分利用办公信息系统网络资源,通过信息交换中心,传真电话等方式,及时传递安全信息,逐步实现安全信息网络化管理。
第五条公司各部门要完善安全信息管理办法,对安全信息的报道、反馈、处理等环节应作出具体规定,形成安全信息工作管理的闭环。
第二章管理职责
第六条公司领导职责:掌握安全生产动态,超前预测、超前防范,及时处置安全生产重要信息,组织解决危及安全生产的重大问题;公司安委会等监督检查发现的突出问题,及时通报有关单位、主管部门和贵州铁路实业集团公司,并对整改落实情况进行督促、检查;处理突发安全生产重大事件,审核或直接向贵州铁路实业集团公司(地方政府主管部门)报告或通报发生的安全重要信息。
分管领导:负责监督指导分管部门安全信息管理工作,督促分管部门及时掌握现场安全生产动态,确保信息渠道畅通;审核分管部门日常向贵州铁路实业集团公司(地方政府主管部门)报告或通报安全重要信息;按规定参加分管部门安全生产分析会议,对分管部门安全信息进行分析,查找倾向性、关键性问题,指导分管部门制订整改措施,掌握整改措施实施进度,督促危及安全的倾向性、关键性问题得到及时解决和整改。
第七条安委会职责:公司安委会是公司安全信息管理的监督部门。负责公司安全信息的收集、统计、综合分析,跟踪处理领导督办的信息,及时向公司领导汇报安全情况及重要信息,按规定向集团公司安监部和地方政府主管部门报送、反馈安全信息,按规定对公司各部门安全信息管理工作进行监督检查及考核。
第八条部门职责:公司各部门是安全信息的主体单位,负责本单位安全信息的收集,按规定时限和要求向公司安委会报送、反映、通报安全生产信息。
第九条信息主要来源:
1、安全事故信息;
2、领导干部监督检查信息;
3、公司安委会监督检查信息;
4、公司各部门检查发现、反馈的信息;
5、上级通报的`信息;
6、其他信息(群众举报,新闻媒体等)。
第十条信息分类:安全信息分为生产安全事故信息和其他安全信息。
事故信息包括:行车安全事故,人身伤亡事故,特种设备事故,火灾、爆炸、中毒、治安、交通事故信息。
其他安全信息包括:严重威胁行车安全,劳动安全和特种设备安全的重大隐患;未构成事故,但对于行车安全有影响,对人身安全构成威胁的信息;特种设备发生故障影响正常使用,运输不畅,装卸车多,卸车困难;公司布置的安全工作重点落实情况;安全监督检查情况;上级通报的信息;各种安全报表资料;明确要求上报的材料(活动安排工作小结,整改结果等)和其它有关影响安全生产的信息。其中:事故信息为重要信息。
第十一条事故信息传递要求
1、行车安全事故信息
凡施工装卸作业、调车作业、轨道车辆故障中断行车的信息,货场部发生或收到后,要认真做好记录,立即报告公司安委会,公司安委会在事发12小时内将事故发生地点、事故概况、初步影响范围、事故损失及人员伤亡情况报集团公司安监部,详细情况24小时内书面上报。
2、人身伤亡事故信息
在生产过程中,生产区域内发生的人身伤亡事故,不论原因、责任、伤亡人员归属情况是否属于工伤事故,相关部门都应认真做好记录并立即通知公司安委会,安委会电话速报集团公司安全部、人力资源部和党群工作部(工会)。
3、特种设备事故信息
发生严重以上的特种设备事故(有人员伤亡或者直接经济损失50万元(含50万元)以上的设备、事故或有人员伤亡的设备爆炸事故)。货场部立即报告公司安委会,公司安委会立即报告集团公司安全部、质量技术部及当地质量技术监督行政部门,并同时报告设备使用注册登记的质量技术监督行政部门。
4、火灾、爆炸、中毒、治安、交通事故信息
1)火灾、爆炸一般以上事故,治安事件、交通(涉及人员轻伤)、中毒事故,公司安委会事发2小时内电话报集团公司安监部。
2)发生较大治安事件、交通安全事故(重伤及以上严重事故苗子和造成经济损失5万元以下的交通事故),公司安委会电话速报集团公司安监部,并于2日内书面上报。
3)发生急性中毒事故、火灾大事故、重大治安事件、重大交通事故及造成经济损失5万元(含5万元)以上50万元以下的特种设备事故,公司安委会电话速报集团公司安监部并于20小时之内书面上报。
4)发现或收到事故信息,除立即报告主管上级部门外,应向驻站民警通报和报案。
第十二条其它信息传递要求
1、发生或收到未构成安全事故,但对行车安全有影响,对人身安全构成威胁的信息,公司安委会要认真做好记录,必要时,应形成专题报告上报并在公司交班会上通报。
2、集团公司布置的安全重点落实情况、安全监督检查情况、安全通报信息,公司安委会在规定时间内反馈;上报信息处理情况。
3、集团公司明确要求上报的材料(活动安排、工作小结、整改结果等),公司安委会必须按规定时期上报。
第三章综合分析处理
第十三条信息的综合分析
1、公司安委会定期对本系统安全信息进行综合分析,按照等级管理和时效管理要求,纳入本系统安全问题库。
2、公司安委会结合公司的安全信息、监督检查信息和上级通报的信息定期进行综合分析。
3、公司安委会每月定期对安全信息进行综合分析并形成月度安全分析报告(纪要)。
4、公司把安全生产信息纳入日交班、周大交班等会议及时进行分析。
第十四条信息处理
1、公司各部要充分利用安全信息的预测功能、许价功能、导向功能,把信息作为安全决策的重要依据,运用信息正确指导安全工作。
2、对安全信息做到三不放过的原则:不弄清责任不放过;不分析管理原因不放过;不制定措施不放过。
3、针对安全信息反映的倾向性问题采取加强管理、加大投入、强化控制等多种措施,及时消除安全隐患。
4、对上级主管部门及公司各部门反馈的安全信息及时调查、处理、反馈。
5、建立安全问题库,从信息的收集、分析到处理形成动态的闭环管理,保证安全信息畅通和有效利用,对上级通报、反馈的安全信息,公司各部要按要求及时上报调查处理及整改结果。
第四章附则
第十五条公司安委会是公司安全生产信息中心,任何部门、个人不得以任何借口对安全生产信息进行隐瞒、迟报、越级上报,一经发现,将追究责任人责任。
未按规定上报的信息分为漏报、迟报、错报。凡未上报视为漏报;凡超过规定时限上报,视为迟报;不符合完整、准确、质量要求者,视为错报。
第十六条公司安委会对各部门安全生产信息管理情况进行抽查检查,并将抽查检查情况纳入季度考核、奖惩。
第十七条安全生产信息管理工作的考核,由公司安委会按公司安全管理考核办法有关规定进行。
第十八条本制度由公司安委会负责解释。
it信息安全管理制度3
一、计算机设备管理制度
1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三)一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的’密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4、系统维护用户的密码应至少由两人共同设置、保管和使用。
5、有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1、存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2、注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4、数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7、非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9、运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1、进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2、IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3、保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4、工作人员进入机房必须更换干净的工作服和拖鞋。
5、机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6、机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7、严禁在通电的情况下拆卸,移动计算机等设备和部件。
8、定期检查机房消防设备器材。
9、机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10、主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11、定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12、计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
it信息安全管理制度4
1.客观的
防止信息系统安全,满足C-TPAT的相关要求。
2.适用范围
涉及的计算机设备,包括机房内的计算机设备和安装在机房内其他部门或单位的计算机设备。
3.释义没有什么
4.责任:
4.1专业人员负责检测和清洁所有微型计算机。
4.2由计算机室的专业人员,根据上述操作计划进行测试。
4.3经理负责监督预防措施的实施。
5.工作程序
5.1信息系统安全管理要求:
5.1.1一般工作部不安装软驱和光驱,如有安装软驱和光驱的计算机,每次使用时都要用防病毒软件检查磁盘。
5.1.2对于联网的计算器,任何人在未经批准的情况下,不要将软件或文档复制到计算器中。
5.1.3数据备份由相关专业负责人管理,备份用的软盘由专业负责人提供。
5.1.4使用前的软盘、CD等,必须确保没有什么病毒。
5.1.5计算器一经发现病毒,立即通知机房专业人员。
5.1.6操作员应退出系统并在离开前关闭。
5.1.7未经操作员同意的任何人,不得使用他人的计算机。
5.2装有软驱的微机一律不得入网;对于尚未联网计算机,其软件的安装由计算机室负责、任何微机需安装软件时,由相关人员负责人提出书面报告,经经理同意后,由计算机室负责安装;软件出现异常时,应通知计算机室专业人员处理;所有微机不得安装游戏软件;数据备份由相关专业负责人负责管理,备份用的软盘由专业负责人提供。
5.3硬件维护人员在拆卸微机时,必须采取必要的防静电措施;硬件维护人员在作业完成后或准备离去时,必须将所拆卸的设备复原;要求各专业负责人认真履行其管辖范围内计算机及配套设备使用的维护责任;要求各专业负责人采取必要措施,确保所用的微机及外设始终处于整洁和良好的状态;所有带锁的微机,在使用完毕或离去前必须上锁;对于关键的计算机设备应配备必要的断电保护电源。
5.4各单位所辖微机的使用、清洗和保养工作,由相应专业负责人负责;各专业负责人必须定期检查其管辖范围内的计算机和外围设备的状态,及时发现和解决问题。
5.5由于计算机设备已逐步成为我们工作中必不可少的重要工作。因此,计算机系决定将计算机管理纳入各专业负责人的考核范围,并将严格实行。
5.5.1凡是发现以下情况的,计算机部根据实际情况,追究当事人及其直接领导的责任。
A.计算机感染病毒
B.未经许可安装和使用未经许可的软件(含游戏)
C.微型计算机具有密码功能,但未使用;
D.在不退出系统或关闭的情况下离开微机;
E.未经授权使用他人电脑或外部原因造成不利影响或损失;
F.未及时检查或清洁电脑及相关外围设备。
5.5.2发现以下操作导致的任何硬件损坏或损失,其损失由当事人负责。
A.非法操作
B.存储不当和未经授权的安装、使用硬件、和电气装置。
5.6员工的电子邮件可能会为企业网络带来好几种漏洞,例如收到不请自来的邮件却毫没有什么警惕便直接打开其附件,或者直接打开文件而不扫描附加文件以查看其中是否隐藏有病毒等。此外,企业若不主动将新的病毒库派送到员工的计算机上,强制施行公司制定的政策,而是安全信任员工随意更新自己计算机上的病毒库,那么就算员工每次都很谨慎扫描文件,确定没有病毒后才打开文件,仍然有被病毒感染的风险。更有甚者,若是放任不当的电子邮件、色情或其它具有攻击性的内容在办公室到处流窜,企业更有可能会面临法律上的种种问题。
5.7密码是大部份企业的主要弱点,因为人们了节省时间,常常会共享或选择简单的’密码。密码若不够复杂,它很容易被他人猜测并用于获取机密信息。其实网络安全的弱点在于用户不是唯一拥有密码的人,若态度不够谨慎,只要稍微运用一下手碗便可让他们吐露出来,例如通过电话或电子邮件假装一下,通常就能把员工的密码骗到手。
5.8完全不知道如何防范各式各样的安全漏洞。例如通过社交手段套取等等,便会使得企业门户大开,容易受到各种攻击。未受到正确训练或不满意工作的员工,它更有可能将企业的独家或敏感信息披露给竞争对手和其他不应获得此类信息的人。
5.9企业应决定由谁负责主导政策的制定与执行,人事部门则应在员工的新进训练时以书面告知公司的政策,员工同意后,需签字确认其理解并愿意遵守公司的相关规定,之后必须严格执行规定,绝对不能有例外。公司颂的政策内,应明确制定违反规定的处罚细则。一般而言,安全系统与网络管理人员应该建构安全防护机制,成立紧急应变小姐以应会可能发生的漏洞,并与人事部门密切合作,随时报告可疑的状况。
5.10网络维护
5.10.1设立网际网络使用规范,让员工了解公司关于员工个人使用电子邮件和计算机的规定。此外,明确的网络的使用规范可提高IT人员设定与监视网络安全方案的效率。
5.10.2采用可以扫描电子邮件中不适当内容的技术,并记录违反公司管制规定的网络行为。
5.10.3法律专家认为,监控员工在公司和法律程序中的电子邮件和网络行为,有利于保护公司本身,因此企业应当设立使用规范,并采用内容监视机制,保护员工不受任何骚扰。
5.10.4培训员工了解如何及时下载最新的防病毒更新,如何辨认电脑是否有可能中毒,并教导员工如何开启档案之前扫描档案是否有病毒。
5.10.5修补软件的漏洞,减少病毒通过互联网或电子邮件渗透企业网络的机会。
制定密码使用规范,要求员工经常更换密码,并教育员工防范社交欺骗手段,要求他们在任何情况下都不要交出密码。
5.10.6审查每个员工是否须接触机密资料,并严格限制机密资料,并严格限制仅对工作中绝对需要的员工使用机密信息。
5.10.7警告员工下载免费软件和其他程序可能造成的危险。
6.相关文件
没有什么
7、相关记录没有什么
it信息安全管理制度5
一、为保障局内计算机信息系统安全,防止计算机网络失密泄密事件发生,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律法规,结合本局实际制定本局的安全保密制度。
二、为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在局内局域网计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
三、严格限制接入网络的计算机设定为网络共享或网络共享文件,确因工作需要,要在做好安全防范措施的前提下设置,确保信息安全保密。
四、为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,及时更新系统补丁和定时对杀毒软件进行升级,并安装必要的局域网ARP拦截防火墙。
五、本局酝酿或规划重大事项的材料,在保密期间,将有关涉密材料保存到非上网计算机上。
六、各科室禁止将涉密办公计算机擅自联接国际互联网。
七、保密级别在秘密以下的材料可通过电子信箱、QQ或MSN传递和报送,严禁保密级别在秘密以上(含秘密)的材料通过电子信箱、QQ或MSN传递和报送。
一、岗位管理制度:
(一)计算机上网安全保密管理规定
1、未经批准涉密计算机一律不许上互联网,如有特殊需求,必须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
2、要坚持“谁上网,谁负责”的原则,各科室科长负责严格审查上网机器资格工作,并报主管领导批准。
3、国际互联网必须与涉密计算机系统实行物理隔离。
4、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
5、加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(二)涉密存储介质保密管理规定
1、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。
2、有涉密存储介质的科室需妥善保管,且需填写“涉密存储介质登记表”。
3、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
4、各科室负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
5、涉密存储介质的`维修应保证信息不被泄露,需外送维修的要经主管领导批准,维修时要有涉密科室科长在场。
6、不再使用的涉密存储介质应由使用者提出报告,由单位领导批准后,交主管领导监督专人负责定点销毁。
二、人员管理制度及操作规程:
(一)计算机维修维护管理规定
1、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,涉密科室科长必须在维修现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
2、各涉密科室应将本科室设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。
3、凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
4、高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。
5、由办公室指定专人负责各涉密科室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
6、涉密计算机的报废交主管领导监督专人负责定点销毁。
(二)用户密码安全保密管理规定
1、用户密码管理的范围是指本局所有涉密计算机所使用的密码。
2、机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。
3、用户密码使用规定。
(1)密码必须由数字、字符和特殊字符组成;
(2)秘密级计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
(3)机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4、密码的保存。
(1)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示主管领导认可。
(2)机密级计算机设置的用户密码须登记造册,并将密码本存放于保密柜内,由科室主任、科长管理。
(三)涉密电子文件保密管理规定
1、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
2、电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
3、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
4、电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
5、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
6、各涉密科室自用信息资料要定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
7、各科室要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
8、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
9、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
(四)涉密计算机系统病毒防治管理规定
1、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。
2、每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本。
3、绝对禁止涉密计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
4、每周对涉密计算机病毒进行一次查杀检查。
5、涉密计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
6、对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
7、对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
(五)上网发布信息保密规定
1、上网信息的保密管理坚持“谁发布谁负责”的原则。凡向国际联网或本单位的网站提供或发布信息,必须经过保密审查批准,报主管领导审批。提供信息的单位应当按照一定的工作程序,健全信息保密审批制度。
2、凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
3、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。
4、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
it信息安全管理制度6
1.总则
1.1目的:
为加强公司作风建设,宣传廉洁文化,预防利用职务及职权谋取不正当利益。同时做好公司信息的安全和保密工作,使公司所拥有的信息在经营活动中充分利用,保护公司的利益不受侵害,树立健康积极的企业文化形象,特制定本管理制度。
1.2适用范围:
本制度适用于公司所有在职员工。
1.3定义:
廉洁:清白高洁,不贪污,从不使用公家的钱来养活自己(不贪污),就是指人生光明磊落的态度和诚信,正直的风气。
信息安全:信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。
业务单位:与公司有一切业务(含但不限于供货、施工、促销合作等关系)往来或联系的单位或个人。
1.4职责权限
3.1总经办负责廉洁文化建设方向的指引,对公司的信息安全管理具有监督和最后裁决权。
3.2监察部负责监督和执行廉洁与信息安全管理规定,接受全体员工的举报和监督,对举报和违规情况进行调查核实。
3.3行政部负责廉洁文化和信息安全意识的宣传和教育,接收和申报处理公司员工收受和外部财物。
3.4信息部负责公司所有文件资料的分类存档和保存,对电子存档资料进行定期整理和备份,并做好文件防盗和密码保护工作。
3.5各部门:具有共同维护公司廉洁文化建设和信息保密工作的权利,都有保守公司秘密的义务,对公司廉洁和信息安全管理规定具有监督和举报权。
2.主要内容:
2.1廉洁自律规定
2.1.1不准收受任何业务单位的个人现金、购物卡券、有价证券和支付凭证。
2.1.2因各种原因未能拒收业务单位的,必须及时向公司行政部申报统一处理。具体需申报的情况如下:
业务单位不回收的样品和商品赠品;
业务单位节假日馈赠的礼品、礼篮等;
业务单位赠送的其他具有实际价值实物、活动等。
业务单位组织的集体考察、学习、旅游等外出活动;
业务单位赠送的无法拒绝的各类现金、购物卡券、有价证券和支付凭证;
2.1.3不准向业务单位及其个人借贷钱物。
2.1.4不准在各业务单位报销应由个人支付的有关票据。
2.1.5不借业务办理之机,对各业务单位吃、卡、拿、要。
4.1.6禁止利用职权和职务上的便利和影响为亲友及身边工作人员谋取利益。
2.1.7工作中不弄虚作假,按规定收集整理好各类基础资料,不做假帐或帐外账。
2.1.8不准用公款支付个人名义的宴请。公关或业务接待必须经总经办批准后在合理的’范围内进行。
2.1.9不准接受可能对商品和设备供应价格、工程施工价格的业务合作行为产生影响的钱、物馈赠和宴请。
2.1.10不准为谋取不正当的利益,在经济往来中违反有关规定,以各种名义收取回扣、中介费、手续费等归个人所有。
2.1.11不借出差、考察、学习之机利用公款进行旅游娱乐活动,或接受可能影响公正办理业务的宴请、礼品馈赠或其他服务。
2.1.12严禁以虚报、谎报等手段获取荣誉;以虚报、谎报等手段获取的荣誉、职称及其他利益予以取消或者纠正。
2.2信息安全
2.2.1公开信息:公司已对外公开发布的信息,如公司宣传册、产品或公司介绍视频等。
2.2.2保密信息:公司仅允许在一定范围内发布的信息,一旦泄露,将可能给公司或相关方造成不良影响。比如公司投资计划等。
2.2.3根据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。
绝密信息:关系公司前途和命运的公司最重要、最敏感的信息,对公司根本利益有着决定性影响的保密信息,如:公司订单,重大投资决议等。
机密信息:公司重要秘密,一旦泄露将使公司利益受到严重损害的保密信息如:未发布的任命文件,公司财务分析报告等文件。
秘密信息:公司一般性信息,但一旦泄露会使公司利益受到损害的保密信息,如:人事档案,供应商选择评估标准等文件。
内部公开:仅在公司内部公开或仅在公司某一个部门内公开,对外泄露可能会使公司利益造成损害的保密信息的保密信息,如:年度培训计划,员工手册,各种规章制度等。
2.2.4公司保密信息包括但不限于以下内容:
公司经营发展决策中的秘密事项;
专有技术,专利技术、技术图纸;
生产细则、工程BOM、SOP及治具资料;
人事决策中的秘密事项;
重要的合同、客户和合作渠道;
招标项目的标底、合作条件、贸易条件;
财务信息,公司非向公众公开的财务情况、银行账户账号;
董事会或总经理确定应当保守的公司其他秘密事项。
2.2.5除公司已经正式对外公开发布的信息外,任何单位和个人不得从事以下活动:
利用信息网络系统制作、传播、复制有害信息;
未经允许使用他人在信息网络系统中未公开的信息;
未经授权对网络(内部信息平台)系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;
未经授权查阅他人邮件;
盗用他人名义发送电子邮件;
故意干扰网络(内部信息平台)的畅通运行;
从事其他危害信息网络(内部信息平台)系统安全的活动。
2.2.6公司保密信息应根据需要,限于一定范围的员工接触。接触公司秘密的员工,未经批准不准向他人泄露。非接触公司秘密的员工,不准打听公司秘密。
2.3违规追责处理
2.3.1公司所有员工一经任何人发现或内外部举报有违廉洁自律的行为,公司将组织相关部门进行调查核实,一经查证,将追究责任人所造成的责任损失,并进行违规处罚,对造成公司重大经济损失且情节严重的,将移交公安机关进行立案处理。
2.3.2除公司公开的信息外,任何人将公司的保密信息以任何形式(口头传达、电子邮件、上传网络、存储拷贝、拍照影印、复印资料)对外泄露或散布出去的,公司将从源头上追究信息泄密者,经查实后立即根据情节轻重进行追责处理。因信息泄密造成公司经济损失或形象受损时,将依法移交司法机关进行处理。
3.附则
3.1本制度最终解释权归xx有限公司所有。
3.2本制度自20xx年8月9日起实行,暂定实施1年。
it信息安全管理制度7
一、一般规定
1、未经网管批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。
2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。
3、机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息。
4、各部门应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。
二、帐号管理
1、网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。
2、网络(内部信息平台)管理员为用户设置明码口令,用户可以根据自己的保密情况进行修改口令,用户应对工作站设置开机密码和屏保密码。
3、用户帐号下的数据属于用户私有数据,当事人具有存入权限,管理员具有管理和备份存取权限。
4、网络(内部信息平台)管理员根据有关帐号管理规则对用户帐号执行管理,并对用户帐号及数据的安全和保密负责。
5、网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息等资料的泄露出去。
三、网络管理员职责
1、协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略。
2、负责公用网络(内部信息平台)实体,如服务器、交换机、集线器、防火墙、网线、接插件等的维护和管理。
3、负责服务器和系统软件的’安装、维护、调整及更新。
4、负责网络(内部信息平台)账号管理,资源分配,数据安全和系统安全。
5、监视网络(内部信息平台)运行,调整参数,调度资源,保持网络(内部信息平台)安全、稳定、畅通。
6、负责系统备份和网络(内部信息平台)数据备份,负责各部门电子数据资料的整理和归档。
7、保管网络(内部信息平台)拓扑图接线表,设备规格及配置单,管理记录,运行记录,检修记录等网络(内部信息平台)资料。
8、每年对本单位网络(内部信息平台)的效能和各电脑性能进行评价,提出网络(内部信息平台)结构、技术和网络、管理的改进措施。
四、安全管理职责
1、保障网络(内部信息平台)畅通和信息安全。
2、严格遵守公司、省、市制定的相关法律、行政法规,严格执行《网络安全工作制度》,以人为本,依法管理,确保网络(内部信息平台)安全有序。
3、在发生网络(内部信息平台)重大突发事件时,应立即报告,采取应急措施,尽快恢复网络(内部信息平台)正常运行。
4、充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。
5、加强信息审查工作,保存,备份至少90天之内网络信息日志,及时加以分析,排查不安定因素,防止黄色,反动信息的传播。
6、经常检查网络(内部信息平台)工作环境的防火、防盗工作。五、电脑操作人员培训制度
五、病毒的防治管理制度
1、任何人不得在机关的局域网上制造传播任何计算机病毒,不得故意引入病毒。网络(内部信息平台)使用者发现病毒应立即向网络管理员报告。网络管理员及时指导和协助处理病毒。
2、各部门应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
it信息安全管理制度8
校园网信息发布实行统一管理、分层负责制。网络中心对学校主页信息进行管理,各处室的主要负责人负责对本部门的上网资源和计算机系统进行管理。
一、网管中心负责全校的网络信息和保密工作,定期对网络用户进行有关保密和网络安全教育。
二、对外信息发布。各处室可以申请网络域名和ftp站点(见附件7),自行管理各部门网站信息发布。需要在学校首页上发布的’信息,需要填写“网上信息发布申请表”,审查后交由网管中心上网发布。(网上信息发布申请表见附件8)
三、信息的阅览与查询。不得查阅、复制和传播有碍社会治安和伤风败俗的信息。校园网工作人员和用户如在网络上发现有碍社会治安和不健康的信息,有义务及时上报网络管理人员,做好备份并自觉销毁。
四、违反本条例规定,有下列行为之一者,校网络中心可提出警告直至停止其使用网络,情节严重者,提交学校行政部门或有关部门处理。
1.查阅、复制或传播下列信息者:.煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实、故意散布谣言,扰乱社会秩序公然侮辱他人或者捏造事实诽谤他人宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
2.破坏、盗用计算机网络中的信息资源和危害计算机网络安全活动。
3.盗用他人帐号者。
4.私自转借、转让用户帐号造成危害者。
5.故意制作、传播计算机病毒等破坏性程序者。
6.不按国家和学院有关规定擅自接纳网络用户者。
7.网络中心,属我校园网络重地,未经许可不得进入。
it信息安全管理制度9
一、公司计算机使用管理制度
1、从事计算机网络信息活动时,必须遵守《计算机信息网络和国际联网安全保护管理办法》的规定。我们应该遵守国家法律,加强信息安全教育。
2、电脑由公司统一配置和定位,未经许可,任何部门和个人不得盗用和交换、出借和移动电脑。
3、计算机硬件及附件应列出并上报行政部,网络信息管理员在征得公司领导同意后负责添加。
4、计算机操作应按照规定的程序进行。
(1)计算机应按照正常程序打开、并关闭。如果电脑因非法操作而无法正常使用,维修费用由部门承担。
(2)计算机软件的安装和删除应在公司管理员的许可下进行。未经授权,任何部门和个人不得在计算机硬盘上添加或删除数据程序。
(3)电脑操作人员应每周及时升级杀毒软件,每月对系统进行补丁安装。
(4)不允许随意使用外来的u盘。如果真的有必要,应该先进行病毒监测。
(5)禁止在工作时间在电脑上做与工作无关的事情,如玩游戏、听音乐等。
5、不允许任何人使用网络制作、复制、咨询和传播封建迷信、淫秽、色情、赌博、暴力、谋杀、恐怖、教唆犯罪内容
6、应尽快通知信息技术管理员及时解决计算机故障,不允许擅自打开计算机主机箱进行操作。
7、电脑操作人员应爱护电脑,注意保持电脑清洁卫生。他们不能离开办公室,除非他们正确地完全切断电源。
8、对疏忽或操作错误影响了工作但可以通过努力恢复的操作员进行批评和教育;经营者故意违反上述规定,造成工作或者财产损失的,应当追究当事人的责任,并给予经济处罚。
9、为了文件安全,不要将重要文件保存在系统的活动分区中,如磁盘C、我的文档、桌面等。请将您的重要文件存储在硬盘的其他非活动分区中(例如,D、E、F)。
(保存前使用防病毒软件检查是否没有病毒警告)。
并定期清理我的相关文件目录,及时删除一些过期的、无用的文件,以免占用硬盘空间。
10、所有计算机都必须有登录密码。通常,不要使用默认管理员作为登录用户名。密码必须自己保存。严禁告诉他人。计算机名不能与登录名一致。通常,不要使用包含个人、单位相关信息的名称。
11、请参阅《信息技术最终用户安全手册》了解其他管理方法
二、网络系统维护
1、系统管理员每周定期检查托管网络服务器,并检查公司局域网的内部服务器,如财务服务器。
2、网管部门应及时组织相关人员对系统和网络中出现的异常现象进行分析,制定处理方案并采取积极措施。
对于当时未解决的问题或重要问题,问题描述、分析原因、处理方案、处理结果、及时制定解决方案。
3、定期备份服务器数据。
4、维护服务器,监控外部访问和外部访问,并及时处理任何安全问题。
5、为服务器制定防病毒措施,及时下载最新的防病毒疫苗,防止服务器被病毒侵害。
三、用户账户申请/取消
1、新员工(或租借者)需要使用电脑向部门主管申请。批准后,网络部门负责分配计算机、和用户名和密码,以便登录公司网络。
如需使用财务软件,需向财务主管提出申请,网络管理部人员负责软件客户端的安装和调试。
2、离职时,员工应以书面形式记录计算机名、IP地址、用户名、登录密码、平台软件信息,网络经理将记录进行登记备案。
只有当网络管理员备份了存储在辞职人员的计算机中的公司信息时,存储在辞职人员的公司服务器中的’所有信息才能被删除。
IV、数据备份管理服务器数据备份,数据库应自动实时备份,手动备份应至少每周进行一次,逻辑备份的验证应在备份服务器中进行,验证后的逻辑备份应存储在不同的物理设备中。
所有部门均负责个人电脑的备份,并可申请在可移动硬盘、信息光盘等存储介质上进行安全备份。
第四条计算机/计算机维护
1、如果计算机出现重大故障,必须填写计算机修复列表并提交给信息技术管理员进行修复。
2、信息技术管理员归档电脑维修清单,方便查询每台电脑的使用情况。
必须外出修理的,必须报主管领导审批。
需采购的零部件应按照采购管理流程执行。
第五条公司信息系统管理(暂行)
1、新建中大金融系统服务器(以下简称服务器),临时放置在金融室办公室,现有金融室办公室已达到视频监控、防盗、温控等条件。
当重建独立机房的条件成熟时,将采用安全管理。
2、对于服务器数据(包括财务软件系统),管理员将每月定期备份数据库一次,并将服务器设置为每周自动备份数据库两次。财务部门应安排远程备份数据存储在远程位置。
3、系统后台数据只能由服务器系统管理员维护。如果需要外援,手术必须由管理员陪同。不允许其他终端用户设置进入数据管理后台的权限。
4、最终用户的开通和变更应以书面形式提交相关部门领导签字确认,包括用户权限变更、账号密码变更、终端软件更新。
5、当服务器需要更改时,管理员应制作详细的更改记录。
例如,程序变更、紧急变更、配置/参数变更、基础设施变更、数据库修改等。
6、计划在每月25日检查和管理公司的服务器账号。
7、相关记录表如下:8、a、**信息中心机房巡视记录表9、b、**信息中心用户账户登记表10、c、数据库备份记录表11、d、外来人员工作记录e、最终用户系统变更申请第6条违规操作赔偿标准
1、如果非法经营者未造成任何经济损失,当事人和责任人应赔偿损失的工作时间50-100元。
2、如果非法经营者造成经济损失,除赔偿费用外,另一方和责任人应赔偿100元的工作损失。
第六条补充规定
1、本制度由信息管理部负责解释,自发布之日起实施。
2、如果系统有问题,系统会在运行中进行修改和发布。
it信息安全管理制度10
一、总则为了保护企业的信息安全,特订立本制度,望全体员工遵照执行。
二、计算机管理要求
1、管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给管理员,管理员(填写《计算机地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向管理员申请备案。
2、公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由计算机负责人承担。
3、计算机设备未经管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向管理员报告,管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。
4、日常保养内容
A、计算机表面保持清洁。
B、应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性。
C、下班不用时,应关闭主机电源。
5、计算机地址和密码由管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司或个人存放。
6、禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7、计算机的内部调用
A、管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移或调换。
B、计算机在公司内调用,管理员应做好调用记录,《调用记录单》经副总经理签字认可后交管理员存档。
8、计算机报废
A、计算机报废,由使用部门提出,管理员根据计算机的使用、升级情况,组织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。
B、报废的计算机残件由管理员回收,组织人员一次性处理。
C、计算机报废的条件:
(1)主要部件严重损坏,无升级和维修价值。
(2)修理或改装费用超过或接近同等效能价值的设备。
三、环境管理
1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。
2、应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机周围。
3、服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进入。
四、软件管理和防护
1、职责:
A、管理员负责软件的开发购买保管、安装、维护、删除及管理。
B、计算机负责人负责软件的’使用及日常维护。
2、使用管理:
A、计算机系统软件:要求管理员统一配装正版d专业版,办公常用办公软件安装正版ffce专业版套装、正版E管理系统,制图软件安装正版CAD专业版,杀毒软件安装安全杀毒套装,邮件软件安装闪电邮,及自主开发等各种正版及绿色软件。
B、禁止私自或安装软件、游戏、电影等,如工作需要安装或删除软件时,向管理员提出申请,经检查符合要求的软件由管理部员或在管理员的监督下进行安装或删除。
C、计算机负责人应管理好计算机的操作系统或软件的用户名、工号、密码。若调整工作岗位,应及时通知管理部员更改相关权限。不得盗用他人用户名和密码登录计算机,或更改、破坏他人的文件资料,做好局域网上共享文件夹的密码保护工作。
D、计算机负责人应及时做好业务相关软件的应用程序数据备份(刻录光盘),防止因机器故障或被误删除而引起文件丢失。
E、计算机软件在使用过程中如发现异常或出现错误代码时,计算机负责人应及时上报管理员进行处理。
3、升级、防护:
A、如操作系统、软件需要更新及版本升级,则由管理员负责升级安装、购买等。
B、盘、软盘在使用前,必须先采用杀毒软件进行扫描杀毒,无病毒后再使用。
C、由管理员协助计算机负责人对计算机进行病毒、木马程序检测和清理工作,要求定期更新杀毒软件。
五、硬件维护
1、要求:
A、管理部员负责计算机或相关电脑设备的维护。
B、对硬件进行维护的人员在拆卸计算机时,必须采取必要的防静电措施。
C、对硬件进行维护的人员在作业完成后或准备离去时,必须将所拆卸的设备复原。
D、对于关键的计算机设备应配备必要的断电、继电保护电源。
E、管理部员应按设备说明书进行日常维护,每月一次。
2、维护:
A、计算机的使用、清洁和保养工作,由计算机负责人负责。
B、管理员必须经常检查计算机及外设的状况,及时发现和解决问题。
六、网络管理
1、禁止浏览或登入反动、色情、邪教等不明非法网站、浏览非法信息以及利用电子信箱收发有关上述内容的邮件;不得通过互联网或光盘安装传播病毒以及黑客程序。
2、禁止私自将公司的受控文件及数据上传网络与拷贝传播。
七、维修流程当计算机出现故障时,应立即停止操作,上报公司管理员,填写《公司电脑维修记录表》;由管理员负责维修。
八、奖惩办法由于计算机设备是我们工作中的重要工具。因此,管理员将计算机的管理纳入对各计算机负责人的绩效考核范围,并将严格实行。从本制度公布之日起:
1、凡是发现以下行为,管理员有权根据实际情况处罚并追究当事人及其直接领导的责任,严重的则交由上级部门领导对其处理。
A、私自安装和使用未经许可的软件(含游戏、电影),每个软件罚________元。
B、计算机具有密码功能却未使用,每次罚________元。
C、下班后,计算机未退出系统或关闭显示器的,每次罚________元。
D、擅自使用他人计算机或外设造成不良影响的,每次罚________元。
E、浏览登入反动、色情、邪教等不明非法网站,传播非法邮件的,每次罚________元。
F、如有私自或没有经过管理部审核更换计算机地址的,每次罚________元。
G、如有拷贝受控文件及数据,故意删除共享资料软件及计算机数据的,按损失酌情进行处罚。
2、凡发现由于:违章作业,保管不当,擅自安装、使用硬件和电气装置,而造成硬件的损坏或丢失的,其损失由责任人赔偿硬件价值的全部费用。
九、附则
1、本制度为公司计算机管理制度,要求每一位计算机负责人和员工都必须遵守该制度。
2、本制度由行政部负责编制与修改。
3、本制度由公司总经理批准后执行。
企业规章制度也可以成为企业用工管理的证据,是公司内部的法律,但是并非制定的任何规章制度都具有法律效力,只有依法制定的规章制度才具有法律效力。
劳动争议纠纷案件中,工资支付凭证、社保记录、招工招聘登记表、报名表、考勤记录、开除、除名、辞退、解除劳动合同、减少劳动报酬以及计算劳动者工作年限等都由企业举证,所以企业制定和完善相关规章制度的时候,应该注意收集和保留履行民主程序和公示程序的证据,以免在仲裁和诉讼时候出现举证不能的后果。
it信息安全管理制度11
为加强计算机信息系统安全和保密管理,保障计算机信息系统和国家秘密的安全,规范计算机及信息系统的使用和管理,确保网络安全和信息保密,根据国家、省有关信息系统管理和保密的规定,现依据国家有关法律法规和政策,结合实际,制定本制度。
一、本制度适用于州政府办公室所有接入政务内、外网的计算机及辅助设备、网络和信息系统。
二、按照”谁主管谁负责、谁运行谁负责”的原则,各科室、各单位主要负责人是计算机信息系统安全和保密工作的第一责任人,负责本科室、本单位计算机信息系统的安全和保密管理,具体操作人员是管理员,负责本机信息系统安全和保密和管理。
三、计算机信息系统应当按照国家信息安全等级保护的要求实行分类分级管理。
四、涉及国家秘密的信息系统(以下简称涉密信息系统)应当按照国家保密法规和标准管理。涉密信息系统的建设,应当与保密设施的建设同步进行,经保密工作部门审批后,才能投入使用。
五、涉及国家秘密的信息(以下简称涉密信息)应当在涉密信息系统中处理。非涉密信息系统不得处理涉密信息。涉密信息系统必须与互联网实行物理隔离。
六、要加强对与互联网联接的信息网络的管理,采取有效措施,防止违规接入,防范外部进攻,并留存互联网访问日志。
七、计算机的使用管理应当符合下列要求:
1、对计算机及软件安装情况进行登记备案,定期核查;
2、设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
3、安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;
4、不得安装、运行、使用与工作无关的软件;
5、严禁同一计算机既上互联网又处理涉密信息;
6、严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息
7、严禁将涉密计算机带到与工作无关的场所。
八、移动存储设备的使用管理应当符合下列要求:
1、实行登记管理;
2、移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;
3、移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;
4、鼓励采用密码技术等对移动存储设备中的信息进行保护;
5、严禁将涉密存储设备带到与工作无关的场所。
九、数据复制操作管理应当符合下列要求:
1、将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
2、严格限制从互联网向涉密信息系统复制数据。确需复制的,应当严格按照国家有关保密标准执行;
3、系统管理员应每天做好数据库、电子邮件及各部门的文件、数据备份工作,最大限度地保证各部门的文件因停电或其他意外造成损坏时能够恢复到最近的备份;
4、不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的,应当采取严格的保密措施,防止泄密;
5、复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
十、严禁外单位人员或无关人员操作涉密计算机。
十一、涉密计算机应与国际互联网实行物理隔离,禁止与其它非涉密计算机进行单机对联。
十二、未经许可,无关人员不得进入涉密计算机控制区。
十三、涉密计算机中的资料应实行安全备份,以防止病毒的感染或硬件的受损造成资料丢失。备份磁盘(含软盘、优盘、光盘、移动硬盘、磁带等)应标明密级进行登记,存放在密码文件柜中,按照《国家秘密载体保密管理的规定》进行管理。
十四、涉密计算机及相关设备维修,应当在本单位内部现场进行,并指定专人全过程监督,严禁维修人员读取和复制涉密信息。确需送修的,应当拆除涉密信息存储部件。
十五、涉密计算机及相关设备存储数据的.恢复,必须由保密工作部门指定的具有涉密数据恢复资质的单位进行。
十六、处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息。
十七、涉密计算机及相关设备不再用于处理涉密信息或不再使用时,应当将涉密信息存储部件拆除或及时销毁。涉密信息存储部件的销毁必须按照涉密载体销毁要求进行。
十八、加强对计算机使用人员的管理,开展经常性的保密教育培训,提高计算机使用人员的安全和保密意识与技能。
十九、各科室、各单位应当与重点岗位的计算机使用人员签订安全保密责任书,明确安全和保密要求与责任。
二十、计算机使用人员离岗离职,有关部门应当即时取消其计算机信息系统访问授权,收回计算机、移动存储设备等相关物品。
二十一、各科室、各单位要加强对本单位计算机信息系统安全和保密管理情况的监督,定期开展检查,发现问题及时纠正。
二十二、计算机信息系统使用管理人员违反本规定,情节较轻的,由本单位予以批评教育;情节严重,造成安全和泄密隐患的,按有关规定处理。
二十三、违反本规定泄露国家秘密的,按照有关规定给予直接责任人和有关领导处分;构成犯罪的,依法追究刑事责任。
二十四、各科室、各单位要根据本规定,结合实际,制定完善本科室、本单位计算机信息系统安全和保密管理的具体办法。
二十五、本制度自下发之日起执行。
it信息安全管理制度12
第一章总则
第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章管理机构与职责
第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:
(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:
(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;
(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;
(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;
(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;
(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导小组批准后组织实施,确保安全技术措施有效、可靠;
(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;
(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责;“三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;
(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理
第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第四章信息管理
第一节信息分类与控制
第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权
第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理
(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;
(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的’计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第五章便携式计算机管理
第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第六章应急响应管理
第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安
(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:
1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;
2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;
3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;
4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(二)较大事件由科技信息部(或财会部)、保密办依据应急响应预案进行处置,及时向公司信息安全领导小组报告并提请协调处置;
(三)重大事件启动应急响应预案,对突发事件进行处置,及时向公司党政报告并提请协调处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第七章人员管理
第八十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第八章督查与奖惩
第八十四条公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第九章附则
第八十七条本规定由保密办负责解释与修订。
第八十八条本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(20xx)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(20xx)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(20xx)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(20xx)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(20xx)0935号]同时废止。
it信息安全管理制度13
第一章总则
第一条目的
为了确保公司信息系统的数据安全,使得在信息系统使用和维护过程中不会造成数据丢失和泄密,特制定本制度。
第二条适用范围
本制度适用于公司技术管理部及相关业务部门。
第三条管理对象
本制度管理的对象为公司各个信息系统系统管理员、数据库管理员和各个信息系统使用人员。
第二章数据安全管理
第四条数据备份要求
存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责。
第五条数据物理安全
注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
第六条数据介质管理
任何非应用性业务数据的.使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第七条数据恢复要求
数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第八条数据清理规则
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第九条数据转存
需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
第十条涉密数据设备管理
非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
第八条报废设备数据管理
管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第九条计算机病毒管理
运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
第十条专用计算机管理
营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
第三章附则
第十一条本制度自20xx年6月1日起执行。
第十二条本制度由技术管理部负责制定、解释和修改。
it信息安全管理制度14
第一章总则
第一条为确保公司信息管理系统正常运行,有效地建设、保护和利用信息系统资源,防范系统运行风险,提高信息使用和过程管理效率,特制定本制度。
第二条本制度适用于公司内部使用的信息管理系统的相关人员,也包括信息管理系统软件以及支撑信息管理系统运行的资源和设备。
第三条信息系统的日常运行与维护,由办公室安排具体人员统一负责管理。负责与信息系统供应商的联系沟通,根据公司业务发展情况进行必要的升级等。
第二章信息系统操作管理制度
第四条信息系统管理范围包括:业务部门、人员信息管理、系统用户权限管理。
第五条信息系统设置管理员,由系统管理员负责管理,负责公司部门机构变化、人员信息变化而对系统进行维护;负责系统用户设置和权限分配工作。
第六条系统管理员应根据公司人员对应的聘任岗位和岗位职责来设置用户权限。
第七条用户权限需要改变时,所在部门提出申请,经过相关领导同意后通知系统管理员在系统中进行调整,系统管理员不得越权调整用户功能权限的设置。
第八条用户离职时,系统管理员根据《离职通知单》,停用此用户在系统中的用户名或停用此用户名的所有权限,并记录有关情况。
第九条系统管理员使用系统中的管理员账号进行管理工作后,应记录有关操作情况。
第三章基础数据采集管理
第十条信息系统中的基础数据包括:专业类别维护、所属专业维护、业务类别维护、区域信息维护、审批部门维护、管理类别分管、业务来源维护、咨询评价师维护、归档资料维护、咨询评价目的维护、业务类别分管、难度系数维护、合同分类维护、质量评价标准维护、客户评价项目维护、客户评价分值定义及公司人力资源管理信息的维护。
第十一条信息系统中基础数据审批部门和业务来源由分管副总负责维护,人力资源管理信息的维护由办公室负责;其他基础数据由系统管理员负责维护,系统管理员维护的基础数据需要增加或者修改时必须得到公司分管副总的认可后方可增加和修改,同时做好维护记录。
第四章信息备案完整性规定
第十二条信息备案是对潜在的市场信息进行记录在案,备案的信息属于可培育的服务机会。公司每位员工均有义务将得到的市场信息及时备案在系统,对备案的信息原则上由备案人所在部门安排项目经理进行初步接洽或洽谈。
第十三条信息备案表数据录入要求:
1.项目名称能够反映项目的基本情况:采用“建设单位+规模+产品名称”。如:“***公司年产***吨***产品项目”。
2.业务类别:考虑备案阶段,一个备案名称下可能有几个类别,建议按照主要类别区分即可,如:一个项目有可研报告和节能报告两个报告,则业务类别只要选择“可研报告”即可。通常的选择次序为项目建议书、可行性研究报告、项目申请报告、节能评估报告等。
3.委托单位需要填写单位的完整名字。
4.联系人情况中:电话和手机必选一个来填写。
5.业务来源:按照来源填写。
6.项目概况描述:需要体现项目单位、投资额、建设规模、建设地点等基本信息,同时说明提供咨询的目的,便于进一步开展跟踪和服务工作。
第五章项目洽谈信息管理
项目经理根据部门(或公司)统一的安排,根据项目备案的信息,开展项目的洽谈工作。
第十四条项目洽谈的含义:经过同业主进行沟通后的信息录入,是报价的基础,是合同流程的前置条件。只要不“提交”,可以分多次洽谈,通过“记录”来记录每次洽谈的内容。
第十五条项目洽谈表数据录入要求:
1.对备案阶段的信息进行更新,包括客户名称、客户洽谈人、咨询评价目的、审批部门、项目性质和建设内容等。
2.洽谈内容:记录洽谈的具体内容、结果,双方达成的初步意向,需要进一步洽谈或协商的问题等。是项目报价依据和合同条款的重要依据。
3.若项目委托单位不能确定,则需要继续跟踪,直至确定委托单位,尚具备申请办公系统对项目进行业务评审的条件。
4.洽谈记录表明细栏中,确定项目名称:采用“建设单位+规模+产品名称+类型”。如:“***公司年产***吨***产品项目可行性研究报告”。
第六章项目执行过程信息管理
第十六条实施计划(项目工作大纲)数据录入:
项目的合同签定以后,进入项目实施计划阶段;项目经理必须根据签定的服务合同,制定详细的工作计划;尚未签订合同的项目,因为服务目标和内容不能确定,原则上不具备制定工作计划的条件;特殊情况比如政府委托项目,公司沟通比较通畅的优质客户,在服务内容、时间等要素,洽谈充分的情况下,可以申请特批工作计划(工作大纲)。工作计划包括:
1.明确委托咨询任务的目的或产品用途;
2.明确委托任务的工作重点、难点,按照合同要求安排时间;
3.委托方对咨询产品有特殊要求是,应列出报告的章节大纲;
4.明确是否需要成立项目组,项目组人员构成方案,拟承担工作分工情况等;
5.明确是否需要聘用专家,聘用专家的数量及专家的作用;
6.明确项目的`执行是否需要外委,提出外委方案,确定外委的范围、费用和进度,对外委工作质量控制方案等。
第十七条校验统稿数据录入。由项目负责人对项目组成员工作量进行汇总,并对项目组成员的工作质量进行打分。
第十八条业务交流记录:
由项目经理负责在合同约定范围内,与客户进行项目执行层面的沟通。
1.沟通记录包括,客户参与人及其姓名和电话,是否为我们合同约定的委托方联系人或授权人。
2.交流内容:沟通内容,达到什么效果;以附件上传对方的意见或需求或我方提出的问题沟通等。
3.对超过合同约定的对方要求,除在系统中及时上报主管副总外,主管副总还要及时根据对方要求确定是否需要进行合同的变更。
第十九条成果录入:
1.成果录入,分造价和咨询两种形式,区别在于:造价需要填写送审金额、审定金额、审减金额和实际收入;
2.附件上传:报告、附图、附件和实地考察照片,原则上咨询项目必须进行现场调研或考察,系统中上传的文件必须包括不少于两张的厂址实况图片。鼓励项目经理工作过程中收集与项目相关的设计或效果图片,并上传系统存档。
3.附件中文档名称:电子文档名皆采用“建设单位+规模+产品名称”;附表名称同报告名称一致;附图名称要同报告中附图名称一致。
第二十条成果修改申请。修改内容:需要说明修改原因、修改工作量、修改完成时间、是否需要增加费用等;修改文件上传审批后,方能印刷、装订提供给客户。
第二十一条成果加印申请。加印原因:需要说明报告加印的原因,合同约定等;加印的版本必须由办公室从系统下载印刷,保证与已发行版本的一致性。
第二十二条项目档案管理
(一)项目完成后,项目经理应及时完成项目档案的整理及归档工作,归档文件应按办公信息系统要求准确完整,需要纸质文件存档时,应及时与办公室档案管理员联系。
(二)归档文件的完整性及标题和内容的一致性审核由办公室档案管理人员完成,对于不满足要求的归档材料,应及时将审核结果反馈给项目经理。
(三)项目经理根据档案完整性审核反馈结果,及时完善归档材料,对于项目完成时间较长,无正当理由不能及时完成归档工作的项目经理,将影响新咨询任务的工作安排。
第七章财务信息管理
第二十三条财务信息管理的内容包括:合同回款、到账确认和开票管理。
第二十四条财务管理数据录入要求:
1.合同回款由项目负责人负责跟踪和催缴,办公室财务人员根据咨询费用回款进度负责系统录入,项目的回款录入需对应到项目合同下的各子项目。
2.项目在有回款的情况下,根据合同的付款条款由财务负责人核实是否具备盖章条件。满足条件的可以进行盖章确认,不满足合同约定条件的项目,需要出版报告则由项目经理提出盖章的特批申请。
3.开票管理由项目负责人负责录入发票开具信息,若开票类型选择为开具专用增值税发票时,则必须录入客户的纳税人识别号、银行帐号、开户行、地址及联系电话,并上传客户的税务登记证附本复印件或扫描件。
第八章附则
第二十五条本管理规定自发布之日起实施,由公司办公室负责解释。
it信息安全管理制度15
1.目的
规范公司的信息系统的管理。
2.适用范围
信息系统使用人员。
3.信息系统管理员职责
3.1系统管理员负责信息系统服务器程序每日的启动和退出,并对每日的备份数据进行检查和测试。
3.2系统管理员应密切注意系统的运行状态,如出现报错、无法登录等异常情况,应及时记录并解决,若不能解决应及时联系软件开发商的技术工程师。
3.3系统管理员对杀毒软件的更新工作每天都要进行,每周至少进行一次全面病毒查杀工作,以确保数据的安全性和稳定性。
3.4服务器必须使用UPS,应避免服务器突然断电事故的发生,以确保数据的完整性。
3.5系统管理员对信息系统进行升级、重装、测试前务必对账套进行备份,以防出现意外致使数据受损。
3.6各部门若增加操作员或扩展操作权限,必须写申请经信息系统相关项目负责人审批,然后由系统管理员进行相应操作。
3.7违反上述情况者过给与3级惩罚,见8.0奖惩规定。
3.8系统管理员负责处罚依据的收集。
4.信息内容的录入
4.1所有进入信息系统的操作员必须使用自己的.用户名,并在自己的权限范围内进行操作。
4.2操作员根据公司的工作权限安排,每天及时、正确的输入数据。具于查询与审批权限的操作员应根据工作实际情况及时、定时的审批。保障信息系统数据流程畅通和准确。
4.3不及时的定义
4.3.1超过6小时的情况—–1级。
4.3.2超过12小时的情况—2级。
4.3.3超过24小时的情况—3级。
4.3.4超过48小时的情况—4级。
4.4不正确输入数据的定义。
违反公司规章制度-2级
违反公司各部门管理程序、操作流程、手册和供应链管理中心下发的通知-2级.
输入的内容和真实内容有差异的-2级.
4.5信息内容的录入之奖惩见8.0.
5.信息录入的监督
5.1信息系统录入的监督职责系该工作团队负责人。
5.2信息系统监督不力情况.
明知故犯者的—3级。
该团队操作人员出现下岗的—3级。
因为监督不力造成公司损失金额超过20xx元以上的—4级。
6.信息查询
6.1在日常工作中,固定登陆端口使用者,在日常工作中若2个小时内不需要使用信息系统,必须退出信息系统。
6.2活动端口登陆信息系统的使用者,不论你是第几个登陆者,若5分钟内不需要使用,必须退出信息系统。
6.3违反上述情况者过给与1级惩罚
7.信息系统保密
7.1操作员必须保密信息系统数据信息,不得向外界和无关公司员工泄露。
7.2操作员应为自己的账户名设置口令并定期更改,不得向其他人透露自己命的口令。
7.3违反6.1和6.2规定者将以4级直接惩罚,构成泄露公司机密罪的,依据中华人民共和国刑法条例,公司将依法追究刑事责任。
8.信息系统问题的反馈
8.1操作员在日常操作中,若出现异常、数据错误等问题,必须及时记录并报给相关领导,经领导批准后,方可排除异常和修改错误数据,自己不能自行解决,应及时报给系统管理员进行解决。
8.2违反7.1规定的将以1级惩罚。
9.奖惩
9.1.1级惩罚—100元罚金/次。累计3次,直接上到2级惩罚。
9.22级惩罚—300元罚金/次。累计2次,直接上到3级惩罚。
9.33级惩罚—500元罚金/次。累计1次,直接上到4级惩罚。
9.44级惩罚—下岗惩罚。
9.5对系统操作无错误(每三个月)者,给与20xx元/次的奖金(有效期20xx年12月30日)。
9.6自20xx年10月1日起,信息系统管理员将违规记录每周送至人力资源做奖惩备份,同时抄送至各信息系统项目负责人和总经理办公室。
10.附件
《IT系统申请表》
《信息系统稽查表》
it信息安全管理制度16
一、信息系统安全包括:软件安全和硬件网络安全两部分。
二、计算机中心人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。
三、对系统用户的访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由计算机中心人员给予配置并存档,以后变更必须报批后才能更改,计算机中心做好变更日志存档。
四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。
五、计算机中心人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。
六、网络系统所有设备的配置、安装、调试必须由计算机中心人负责,其他人员不得随意拆卸和移动。
七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。
八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。
九、所有进入网络的软盘、光盘、u盘等其他存贮介质,必须经过计算机中心负责人同意并查毒,未经查毒的’存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。
十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。
十一、内网用户所有文件传递,一律通过网上办公系统和ftp服务器专门的上载、下载区进行,不得利用软盘、光盘和u盘等存贮介质进行拷贝。
十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。
十三、计算机中心人员有权监督和制止一切违反安全管理的行为。
it信息安全管理制度17
第一条为防止数据的非法生成、变更、泄漏、丢失与被破坏,确保数据的有据性、准确性、完整性、及时性、保密性,特制订本制度。
第二条数据管理范围包括所有利用计算机进行输入、存储、处理、再加工及输出的数据,它包括文字材料、报表、各类原始凭证、图形、图像等输入处理对象,又包括存储于计算机内部及传输的各类数据,还包括计算机输出的磁存储、光存储、电存储及各类打印数据。
第三条数据必须是有据的,能够辨认数据的内容、用途和使用方法;必须经过合法的手续和规定的渠道采集、加工、处理和传播数据;数据应只用于明确规定的目的,未经批准不得它用;采用的数据范围应与规定用途相符。
第四条数据管理者应承担保存或处理数据的保护职责,防止数据的丢失、误用或破坏;特殊或重要数据,应采用多种记录手段异地保存,免遭意外风险。
第五条数据使用者有权查阅被授权的数据,索取数据记录复制件,更正有关自身的任何不准确数据;享受有限次数规定的有问必答权利。
第六条根据使用的不同系统制订相应的数据存取细则,采取措施防止数据被非法修改,堵塞管理操作的疏忽或蓄谋窃取数据的漏洞。
第七条无正当理由和有关批准手续,不得通报数据内容,不得泄漏数据给内部或外部的无关人员,不得篡改数据库数据内容,必要修改时,应经由部门主管及公司分管领导审批,提交数据管理部门,经管理部门领导审批同意后由数据管理员进行修改。
第八条不应造成可从发布的统计数据中推断出保密或敏感的信息。
第九条不同数据用途建立适当的监督、管理机制,保证与数据有关的个体和数据管理者的合法权益不被侵犯。
第十条有新系统上线或升级时,数据管理部门应当切实做好上线或升级前的各项准备工作,应查验设备厂商或软件开发商或开发人员提交的有关运行维护资料,并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训。制定科学的上线计划和新旧系统数据切换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应由设备厂商或软件开发商制定详细的数据迁移计划并经由数据管理部门及分管领导审批同意后执行。
第十一条信息系统中的信息应该根据其重要性、密级、应用需求等分别实施相应的加密措施,未经流程及领导许可,保密信息不得以明文形式存储和传送。由信息所有者根据信息的`重要性、密级规定及用途,决定操作人员的存取权限和存取方式。所有的统计信息应根据其重要程度进行密级划分,并制订相应的管理办法,确定允许对外发布和交流的信息指标、报批权限和手续。
(1)备份的数据、打印出的数据应在指定的数据保管室或指定的场所保管,并指定专人负责保管
(2)数据保管员必须用文件管理等方法,对数据进行登记管理。
(3)未经流程及领导许可,禁止数据的外借,内部无权查阅和无正式批文的人员不得查阅。对于经正式批文借出的数据必须登记,并由经手人签字,便于发生数据泄漏时分清责任人。
(4)未经流程及领导许可,数据保管员不得修改所保管的任何数据。
(5)电脑操作人员要定期清理服务器中的数据,将过期的、作废的数据全部清除,每天作废的打印数据必须销毁。
(6)数据是公司的重要资料,必须按严格地制度进行数据备份。
(7)每天将所有数据备份到专门用于备份的工作站硬盘上和备份服务器上。
(8)每周,将备份在工作站上的所有历史数据刻录在只读光碟上保存,备份数据一式三份,并用统一格式的标签和目录清单。并必须异地存放。
(9)公司总部及其分支机构必须进行交易数据的多重备份。备份数据应异地存放并送交一份至公司财务部门保管。送交至公司财务部门保管的备份必须采用只读介质。
(10)数据备份及历史数据的存放应保证防火、防热、防尘、防潮及防磁。磁记录介质应存放于距钢筋房柱或类似结构物十厘米以外处,以防雷电经钢筋传播时产生的磁场破坏所存数据。
(11)未经流程及领导许可,严禁修改历史数据。
(12)当软件更换或版本大的升级后,应做好原系统完整的程序和数据的备份,并写出详细的文档资料,记载超级管理员的操作号以及密码。
it信息安全管理制度18
第一章总则
第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。
第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:
1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则;
2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;
3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;
4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;
5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。
第三条规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。
第四条术语和定义
本规范引用GB/T5271.8-2001中的术语和定义,还采用了以下术语和定义:
1)信息安全infosec
信息的机密性、完整性和可用性的保护。
注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。
2)计算机系统安全工程ISSE(InformationSystemsSecurityEngineering)
计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。
3)风险分析riskanalysis
对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。
4)安全目标securityobjective
本规范中特指公司项目建设信息安全管理中需要达成到的目标。
5)安全测试securitytesting
用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测试、渗透测试和验证。
第五条本规范遵照国家相关政策法规和条例,结合各种信息化项目建设的具体情况,依据各种标准、规范以及安全管理规定而制定。
第二章项目建设安全管理的总体要求
第六条项目建设安全管理目标
一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。
项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。
计算机系统安全工程(ISSE)并不意味着存在一个单独独立的过程。它支持项目管理和建设过程,而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程要求。
第七条项目建设安全管理原则
信息系统项目建设安全管理应遵循如下原则:
1)等级
2)全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命周期;
3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;
4)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;
5)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;
6)科学制衡:进行适当的职责分离,保证没有人可以单独完成一项业务活动,以避免出现相应的安全问题;
7)最小特权:人员对项目资产的访问权限制到最低限度,即仅赋予其执行授权任务所必需的权限。
第八条项目建设安全管理要求
项目安全管理工作应强化责任机制、规范管理程序,在项目的申报、审批、立项、实施、验收等关键环节中,必须依照规定的职能行使职权,并在规定的时限内完成各个环节的安全管理行为,否则应承担相应的行政责任。
第三章项目申报
第九条项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。
第十条应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》,并提交《业务需求书》和《信息系统项目可行性研究报告》。
第十二条系统定级
1)依据国家信息系统安全等级保护定级指南(GBT22240-2008)对项目中的系统进行定级,明确信息系统的边界和安全保护等级;
2)以书面的形式说明确定信息系统为某个安全保护等级的方法和理由,形成信息系统定级报告;
3)组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,上报上级主管单位和安全监控单位进行审定;
4)信息系统的定级结果向本地公安机关进行备案。
第十三条挖掘安全需求
在《业务需求书》中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应至少包括以下信息安全方面的内容:
1)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;
2)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;3)影响分析报告:描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的,例如资金的损失或收益的’减少,或可能是无形的,例如声誉和信誉的损失;
4)风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析,应提供风险清单以及风险优先级列表;
5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受的安全风险,都至少有一个安全需求与其对应。
第十四条安全可行性
在可行性报告的以下条目中应增加相应的信息安全方面的内容:
1)项目目标、主要内容与关键技术:增加信息化项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度应根据相应资产的重要性来选择;
2)项目采用的技术路线或者技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策,并形成安全方案;
3)项目的承担单位及人员情况介绍:增加项目各承担单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;
4)项目安全管理:增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;
5)成本效益分析:对安全方案进行成本-效益分析。
第十五条对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出和实现相应安全对策。
第四章安全方案设计
第十六条本阶段主要是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时可以聘请外单位的专家参与论证工作。
第十七条安全标准的确定
1)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;
2)指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件
4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
5)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
第五章方案论证和审批
第十八条本阶段主要是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作。
第十九条安全性论证和审批
安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息化项目立项审批表》上给出明确的结论:
1)适当
2)不合适(否决)
3)需作复议
对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。
第二十条项目安全立项
审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:
1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;
2)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;
3)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;
4)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;
5)项目验收考核指标:增加安全性测试和考核指标。
第二十一条立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议。
第六章项目实施方案和实施过程安全管理标准
第二十二条信息化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目开发承担单位来完成,项目审批单位负责监督工作。
第二十三条概要设计子阶段的安全要求
在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此,《概要设计说明书》中至少应达到以下安全要求:
1)应当按子系统来描述系统的安全体系结构;
2)应当描述每一个子系统所提供的安全功能;
3)应当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;
4)应当标识子系统的所有接口,并说明哪些接口是外部可见的;
5)描述子系统所有接口的用途与使用方法,并适当提供影响、例外情况和错误消息的细节;
6)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。
第二十四条详细设计子阶段的安全要求
无论是新开发一个系统,或是对一个系统进行修改,本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案,最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能,因此在这一阶段的《详细设计说明书》中至少要包括以下信息安全内容:
1)详细设计中应提出相应的具体安全方案,标明实现的安全功能,并应检查其技术原理;
2)对系统层面上的和模块层面上的安全设计进行审查;
3)完成安全测试和评估要求(通常包括完整的系统的、软件的、硬件的安全测试方案,至少是相关测试程序的一个草案);
4)确认各模块的设计,以及模块间的接口设计能满足系统层面的安全要求。
第二十五条项目实施子阶段的安全要求
无论是新开发一个系统或是进行系统修改,本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。本阶段中,应完成以下具体信息安全工作:
1)更新系统安全威胁评估,预测系统的使用寿命;
2)找出并描述实现安全方案后系统和模块的安全要求和限制,以及相关的系统验证机制及检查方法;
3)完善系统的运行程序和全生命期支持的安全计划,如密钥的分发等;
4)在《系统集成操作手册》中,应制定安全集成的操作程序;
5)在《系统修改操作手册》中,应制定系统修改的安全操作程序;
6)对项目参与人员进行信息安全意识培训;
7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。
第二十六条在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购,并确保采购的设备至少符合下面的要求:
1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。
2)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
3)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
第二十七条在软件的开发被外包的地方,应当考虑如下几点:
1)检查代码的所有权和知识产权情况;
2)质量合格证和所进行的工作的精确度;
3)在第三方发生故障的情况下,有第三方备份保存;
4)进行质量审核;
5)在合同上有代码质量方面的要求;
6)在安装之前进行测试以检测特洛伊代码;
7)提供源代码以及相关设计、实施文档;
8)重要的项目建设中还要要对源代码进行审核。
第二十八条计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:
1)对项目实施所需的计算机及配套设备、网络设备、重要机具(如ATM)、
计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;
2)安全产品的采购必须由公司进行统一采购;
3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证;
4)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;
5)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;
6)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准。
7)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
8)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
第二十九条产品和服务供应商应达到以下要求:
1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;
2)工商要求:
①产品、系统或服务提供单位的营业执照和税务登记在合法期限内;
②产品、系统或服务提供商的产品、系统或服务的提供资格;
③连续赢利期限要求;
④连续无相关法律诉讼年限要求;
⑤没有发生重大管理、技术人员变化和流动的期限要求;
⑥没有发生主业变化期限要求。
3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》
4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;
5)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证;
6)其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板;
7)服务供应商的选择还要参阅《安全服务外包管理制度》。
第七章项目验收与投产
第三十条系统建设完成后,项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容至少包括:
1)制定的系统交付清单,对交付的设备、软件和文档进行清点;2)对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护;
3)提供系统建设的过程文档,包括实施方案、实施记录等;
4)提供系统运行维护的帮助和操作手册
第三十一条系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。
第三十二条系统交付由项目应用系统主管部门负责,必须安照系统交付的要求完成交付工作。
第三十三条应制定投产与验收测试大纲,在项目实施完成后,由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求:
1)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
2)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
3)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
4)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;
5)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
6)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
7)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
第三十四条测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。
第三十五条测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:
1)监测系统的安全性能,包括事故报告;
2)进行用户安全培训,并对培训进行总结;
3)监视与安全有关的部件的拆除处理;
4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
5)监测安全部件的备份支持,支持与系统安全有关的维护培训;
6)评估大大小小的系统改动对安全造成的影响;
7)监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
第三十六条系统安全试运行半年后,项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:
1)项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能;
2)采用技术是否符合国家、电力行业有关安全技术标准及规范;
3)是否实现验收测评的安全技术指标;
4)项目建设过程中的各种文档资料是否规范、齐全;
5)在验收报告中也应在以下条目中反映对系统安全性验收的情况:
6)项目设计总体安全目标及主要内容;
7)项目采用的关键安全技术;
8)验收专家组中的安全专家及安全验收评价意见。
第三十七条系统备案
1)系统建设完成后,要向相应的公安机关进行备案,系统的备案,备案的相关材料有由公司进行统一管理,相应的系统应用、管理部门可以借阅;
2)系统等级及相关材料报系统主管部门进行备案;
3)系统待级及其它要求的备案材料报相应的公安机关备案。
第四十条设备管理
1)设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。
2)设备的口令不得少于10位,须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循省电网公司统一的帐号口令管理办法。
3)设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息管理部门备案。
4)设备的安全策略应进行统一管理,安全策略固化后的变更应经过安全管理人员审核批准,并及时更新策略配置库。
5)设备须有备机备件,由公司统一进行保管、分发和替换。
6)加强设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。
7)工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。
8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:
①因工作原因需使用外来介质,应首先进行病毒检查。
②存储介质上粘贴统一标识,注明编号、部门、责任人。
③存储介质如有损坏或其他原因更换下来的,需交回处理。
9)安全设备的使用管理:
①安全设备每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理;
②关键安全设备媒体必需进行日常巡检;
③当设备的配置更改时,应做好配置的备份工作;
④安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,应填写操作记录和技术文档。
10)设备相应责任人负责:
①建立详细的运行日志记录、备份制度;
②负责设备的使用登记,登记内容应包括运行起止时间、累计运行时数及运行状况等。
③负责进行设备的日常清洗及定期保养维护,做好维护记录,保障设备处于最佳状况;
④一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员处理;
⑤设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作;
11)及时关注下发的各类信息安全通告,关注最新的病毒防治信息和提示,根据要求调节相应设备参数配置;
12)安全管理员应界定重要设备,对重要设备的配置技术文档应考虑双份以上的备份,并存放一份于异地。
第四十一条投产后的监控与跟踪
项目投产后还应进行一段时间的监控和跟踪,具体包括以下要求:
1)应对系统关键安全性能的变化情况进行监控,了解其变化的原因;
2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪,并编写详细的记录;
3)监控新增的安全部件对系统安全的影响;
4)跟踪安全有关部件的拆除处理情况,并监控随后系统安全性的变化;
5)对新发现的对系统安全的攻击进行监控,记录其发生的频率以及对系统的影响;
6)监控系统所受威胁的变化,评估其发生的可能性以及可能造成的影响;
7)监控并跟踪安全部件的备份情况;
8)监控运行程序的变化,并记录这些变化对系统安全的影响;
9)监控系统物理环境的变化情况,并记录这些变化对系统安全的影响;
10)监控安全配置的变化情况,并记录这些变化对系统安全的影响;
11)对于上述所有监控和跟踪内容,如果对系统安全有不良影响处,都应在系统设计、配置、运行管理上做相应改进,以保证系统安全、正常运行。
第四十二条等级测评
1)系统进入运行过程后,三级的系统每年聘请第三方测评机构对系统进行一次等级测评,二级的系统由自已每年测评一次,发现不符合相应等级保护标准要求的及时整改;
2)系统发生变更时,及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
3)测评机构要选择具有国家相关技术资质和安全资质的单位;
4)系统的等级测评由信息部负责管理。
第八章附则
第四十三条本制度由公司XX部门负责解释。
第四十四条本制度自颁布之日起实行。
本内容由xiaojie收集整理,不代表本站观点,如果侵犯您的权利,请联系删除(点这里联系),如若转载,请注明出处:https://wenku.puchedu.cn/263077.html
