信息安全管理制度
在日新月異的現(xiàn)代社會(huì)中,制度使用的情況越來(lái)越多,制度一般指要求大家共同遵守的辦事規(guī)程或行動(dòng)準(zhǔn)則,也指在一定歷史條件下形成的法令、禮俗等規(guī)范或一定的規(guī)格。一般制度是怎么制定的呢?以下是小編為大家收集的信息安全管理制度,僅供參考,歡迎大家閱讀。
信息安全管理制度1
網(wǎng)絡(luò)與信息的安全不僅關(guān)系到公司正常業(yè)務(wù)的開展,還將影響到國(guó)家的安全、社會(huì)的穩(wěn)定。我公司將認(rèn)真開展網(wǎng)絡(luò)與信息安全工作,通過(guò)檢查進(jìn)一步明確安全責(zé)任,建立健全的管理制度,落實(shí)技術(shù)防范措施,保證必要的經(jīng)費(fèi)和條件,對(duì)有毒有害的信息進(jìn)行過(guò)濾、對(duì)用戶信息進(jìn)行保密,確保網(wǎng)絡(luò)與信息安全.
一、網(wǎng)站運(yùn)行安全保障措施
1、網(wǎng)站服務(wù)器和其他計(jì)算機(jī)之間設(shè)置經(jīng)公安部認(rèn)證的防火墻,做好安全策略,拒絕外來(lái)的惡意攻擊,保障網(wǎng)站正常運(yùn)行。
2、在網(wǎng)站的服務(wù)器及工作站上均安裝了正版的防病毒軟件,對(duì)計(jì)算機(jī)病毒、有害電子郵件有整套的防范措施,防止有害信息對(duì)網(wǎng)站系統(tǒng)的干擾和破壞.
3、做好日志的留存.網(wǎng)站具有保存60天以上的系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能,內(nèi)容包括IP地址及使用情況,主頁(yè)維護(hù)者、郵箱使用者和對(duì)應(yīng)的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識(shí)別確認(rèn)功能,對(duì)沒有合法手續(xù)和不具備條件的電子公告服務(wù)立即關(guān)閉。
5、網(wǎng)站信息服務(wù)系統(tǒng)建立雙機(jī)熱備份機(jī)制,一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運(yùn)行,保證備用系統(tǒng)能及時(shí)替換主系統(tǒng)提供服務(wù)。
6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能,及相關(guān)端口,并及時(shí)用補(bǔ)丁修復(fù)系統(tǒng)漏洞,定期查殺病毒。
7、服務(wù)器平時(shí)處于鎖定狀態(tài),并保管好登錄密碼;后臺(tái)管理界面設(shè)置超級(jí)用戶名及密碼,并綁定IP,以防他人登入。
8、網(wǎng)站提供集中式權(quán)限管理,針對(duì)不同的應(yīng)用系統(tǒng)、終端、操作人員,由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫(kù)信息的訪問權(quán)限,并設(shè)置相應(yīng)的密碼及口令.不同的操作人員設(shè)定不同的用戶名,且定期更換,嚴(yán)禁操作人員泄漏自己的口令.對(duì)操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定,并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。
9、公司機(jī)房按照電信機(jī)房標(biāo)準(zhǔn)建設(shè),內(nèi)有必備的獨(dú)立UPS不間斷電源、高靈敏度的煙霧探測(cè)系統(tǒng)和消防系統(tǒng),定期進(jìn)行電力、防火、防潮、防磁和防鼠檢查. 二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,實(shí)現(xiàn)信息安全保密責(zé)任制,切實(shí)負(fù)起確保網(wǎng)絡(luò)與信息安全保密的責(zé)任.嚴(yán)格按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”、“誰(shuí)主辦、誰(shuí)負(fù)責(zé)"的原則,落實(shí)責(zé)任制,明確責(zé)任人和職責(zé),細(xì)化工作措施和流程,建立完善管理制度和實(shí)施辦法,確保使用網(wǎng)絡(luò)和提供信息服務(wù)的安全。
2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成,工作人員素質(zhì)高、專業(yè)水平好,有強(qiáng)烈的責(zé)任心和責(zé)任感。網(wǎng)站所有信息發(fā)布之前都經(jīng)分管領(lǐng)導(dǎo)審核批準(zhǔn)。工作人員采集信息將嚴(yán)格遵守國(guó)家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴(yán)禁通過(guò)我公司網(wǎng)站及短信平臺(tái)散布《互聯(lián)網(wǎng)信息管理辦法》等相關(guān)法律法規(guī)明令禁止的信息(即“九不準(zhǔn)"),一經(jīng)發(fā)現(xiàn),立即刪除。
3、遵守對(duì)網(wǎng)站服務(wù)信息監(jiān)視,保存、清除和備份的制度.開展對(duì)網(wǎng)絡(luò)有害信息的清理整治工作,對(duì)違法犯罪案件,報(bào)告并協(xié)助公安機(jī)關(guān)查處.
4、所有信息都及時(shí)做備份。按照國(guó)家有關(guān)規(guī)定,網(wǎng)站將保存60天內(nèi)系統(tǒng)運(yùn)行日志和用戶使用日志記錄,短信服務(wù)系統(tǒng)將保存5個(gè)月以內(nèi)的系統(tǒng)及用戶收發(fā)短信記錄. 5、制定并遵守安全教育和培訓(xùn)制度.加大宣傳教育力度,增強(qiáng)用戶網(wǎng)絡(luò)安全意識(shí),自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī),不泄密、不制作和傳播有害信息,不鏈接有害信息或網(wǎng)頁(yè)。 三、用戶信息安全管理制度
1、我公司鄭重承諾尊重并保護(hù)用戶的個(gè)人隱私,除了在與用戶簽署的隱私政策和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下,未經(jīng)用戶授權(quán)我公司不會(huì)隨意公布與用戶個(gè)人身份有關(guān)的資料,除非有法律或程序要求.
2、所有用戶信息將得到本公司網(wǎng)站系統(tǒng)的安全保存,并在和用戶簽署的協(xié)議規(guī)定時(shí)間內(nèi)保證不會(huì)丟失;
3、嚴(yán)格遵守網(wǎng)站用戶帳號(hào)使用登記和操作權(quán)限管理制度,對(duì)用戶信息專人管理,嚴(yán)格保密,未經(jīng)允許不得向他人泄露.
公司定期對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)并進(jìn)行考核,使員工能夠充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性,嚴(yán)格遵守相應(yīng)規(guī)章制度.
(一)信息安全管理組織機(jī)構(gòu)設(shè)置及工作職責(zé)
一、組織機(jī)構(gòu)
1、公司成立信息安全領(lǐng)導(dǎo)小組,是信息安全的最高決策機(jī)構(gòu),下設(shè)辦公室,負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù).
2、信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)研究重大事件,落實(shí)方針政策和制定總體策略等.職責(zé)主要包括: (1)根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī),批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn);
(2)確定公司信息安全各有關(guān)部門工作職責(zé),指導(dǎo)、監(jiān)督信息安全工作。
(3)信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組:信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任.
。4)信息安全工作組的主要職責(zé)包括:
①貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;
②根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署,對(duì)信息安全工作進(jìn)行具體安排、落實(shí);
③組織對(duì)重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查,擬訂信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行;
④負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作,參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;
、萁M織信息安全工作檢查,分析信息安全總體狀況,提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策;
⑥負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告,組織進(jìn)行事件調(diào)查,分析原因、涉及范圍,并評(píng)估安全事件的嚴(yán)重程度,提出信息安全事件防范措施;
、呒皶r(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門、單位報(bào)告信息安全事件。
、喔櫹冗M(jìn)的信息安全技術(shù),組織信息安全知識(shí)的培訓(xùn)和宣傳工作. (5)應(yīng)急處理工作組的主要職責(zé)包括:
①審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案;
②決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng),負(fù)責(zé)現(xiàn)場(chǎng)指揮,并組織相關(guān)人員排除故障,恢復(fù)系統(tǒng);
、勖磕杲M織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測(cè)試和演練。
。6)公司應(yīng)指定分管信息的領(lǐng)導(dǎo)負(fù)責(zé)本單位信息安全管理,并配備信息安全技術(shù)人員,有條件的應(yīng)設(shè)置信息安全工作小組或辦公室,對(duì)公司信息安全領(lǐng)導(dǎo)小組和工作小組負(fù)責(zé),落實(shí)本單位信息安全工作和應(yīng)急處理工作。
二、工作職責(zé)
1、設(shè)置信息系統(tǒng)的關(guān)鍵崗位并加強(qiáng)管理,配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開發(fā)管理員、安全審計(jì)員、安全保密管理員,要求五人各自獨(dú)立。要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
2、系統(tǒng)管理員主要職責(zé)有:
。1)負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實(shí)施系統(tǒng)安全運(yùn)行細(xì)則;
。2)嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行;
。3)認(rèn)真記錄系統(tǒng)安全事項(xiàng),及時(shí)向信息安全人員報(bào)告安全事件;
。4)對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。
3、網(wǎng)絡(luò)管理員主要職責(zé)有:
。1)負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則;
(2)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行;
。3)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時(shí)向信息安全人員報(bào)告安全事件;
。4)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督.
4、應(yīng)用開發(fā)管理員主要職責(zé)有:
。1)負(fù)責(zé)在系統(tǒng)開發(fā)建設(shè)中,嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn);
。2)系統(tǒng)投產(chǎn)運(yùn)行前,完整移交系統(tǒng)相關(guān)的安全策略等資料;
。3)不得對(duì)系統(tǒng)設(shè)置“后門”;
。4)對(duì)系統(tǒng)核心技術(shù)保密等.
5、安全審計(jì)員負(fù)責(zé)對(duì)涉及系統(tǒng)安全的事件和各類操作人員的行為進(jìn)行審計(jì)和監(jiān)督,主要職能包括:
(1)按操作員證書號(hào)進(jìn)行審計(jì);
。2)按操作時(shí)間審計(jì);
(3)按操作類型審計(jì);
(4)事件類型進(jìn)行審計(jì);
。5)日志管理等.
6、安全保密管理員負(fù)責(zé)日常安全保密管理活動(dòng),主要職責(zé)有:
(1)監(jiān)視全網(wǎng)運(yùn)行和安全告警信息
。2) 網(wǎng)絡(luò)審計(jì)信息的常規(guī)分析
(3)安全設(shè)備的常規(guī)設(shè)置和維護(hù)
。4)執(zhí)行應(yīng)急中心制定的具體安全策略
(5)向應(yīng)急管理機(jī)構(gòu)和領(lǐng)導(dǎo)機(jī)構(gòu)報(bào)告重大的網(wǎng)絡(luò)安全事件。
7、公司指定法人代表為分管信息的領(lǐng)導(dǎo),負(fù)責(zé)本公司信息安全管理,并配備信息安全技術(shù)人員,設(shè)置信息安全工作小組或辦公室,對(duì)公司信息安全領(lǐng)導(dǎo)小組和工作小組負(fù)責(zé),落實(shí)本單位信息安全工作和應(yīng)急處理工作。
三、有害信息發(fā)現(xiàn)受理處置機(jī)制
公司有害信息處置機(jī)制是根據(jù)國(guó)家相關(guān)法律、法規(guī)的規(guī)定,結(jié)合我市實(shí)際制定的。主旨在于建立公司與工業(yè)和信息部以及通信管理局之間的快速反應(yīng)機(jī)制,規(guī)范移動(dòng)互聯(lián)網(wǎng)有害信息處置流程,在法律、法規(guī)的'保障下,及時(shí)、迅速的處置移動(dòng)互聯(lián)網(wǎng)有害信息。
本機(jī)制中“有害信息”包括:
(1)煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施的;
(2)煽動(dòng)顛覆國(guó)家政權(quán),推翻社會(huì)主義制度的;
。3)煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一的;
。4)煸動(dòng)民族仇恨、民族歧視,破壞民族團(tuán)結(jié)的;
。5)捏造或者歪曲事實(shí),散布謠言,擾亂社會(huì)秩序的;
。6)宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的; (7)公然侮辱他人或者捏造事實(shí)誹謗他人的;
。8)損害國(guó)家機(jī)關(guān)信譽(yù)的;
。9)其他違反憲法和法律、行政法規(guī)的。
本機(jī)制中“有害信息”指公司服務(wù)器上的網(wǎng)站W(wǎng)eb欄目提供安全管理制度和技術(shù)防范措施的落實(shí)情況,對(duì)預(yù)防有害信息出現(xiàn)提出建議,對(duì)用戶及員工上報(bào)的應(yīng)急處置聯(lián)系人員進(jìn)行抽查,保障本機(jī)制實(shí)施。
主動(dòng)發(fā)現(xiàn)手段:公司設(shè)置有害信息自動(dòng)過(guò)濾平臺(tái),發(fā)現(xiàn)及抵御有害信息的入侵。
信息安全小組負(fù)責(zé)對(duì)公司所有網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)監(jiān)控,做到及時(shí)發(fā)現(xiàn)、即時(shí)處理的原則辦理,對(duì)處理結(jié)果備案,對(duì)重大有害信息事件,應(yīng)在第一時(shí)間上報(bào)主管領(lǐng)導(dǎo)及相關(guān)部門。
信息安全小組負(fù)責(zé)界定、監(jiān)控、受理有害信息事件,要做到即接快辦;夜間、節(jié)假日值班期間接到、發(fā)現(xiàn)的,應(yīng)于次日或節(jié)假日后的第一個(gè)工作日辦理,對(duì)需緊急辦理的重大信息安全事件可先處理后登記(如遇緊急情況,可直接關(guān)閉服務(wù)器等設(shè)備,暫停網(wǎng)絡(luò)運(yùn)行)
負(fù)責(zé)查辦的相關(guān)人員接到交辦的事件后,應(yīng)及時(shí)安排辦理,要求在最短時(shí)限內(nèi)處理完畢,如遇特殊情況不能按時(shí)處理完畢的,應(yīng)報(bào)主管領(lǐng)導(dǎo)說(shuō)明情況,可適當(dāng)延長(zhǎng)處理時(shí)間,處理結(jié)果應(yīng)及時(shí)反饋給信息安全小組組長(zhǎng)。在處理有害信息事件時(shí),應(yīng)按照處理流程,及時(shí)填寫相應(yīng)表單,并隨處理結(jié)果報(bào)告一并存檔。
處置流程:公司接到投訴-上報(bào)主管領(lǐng)導(dǎo)/記錄相關(guān)信息—?jiǎng)h除信息—備份—判別有害信息級(jí)別—上報(bào)主管部門/報(bào)案到公安局處-配合調(diào)查
按照公安部要求,有害信息分為三級(jí),處理方法如下:
一類,20分鐘內(nèi)刪除
二類,30分鐘內(nèi)刪除
三類,60分鐘內(nèi)刪除
主動(dòng)發(fā)現(xiàn)手段:公司設(shè)置有害信息自動(dòng)過(guò)濾平臺(tái),發(fā)現(xiàn)及抵御有害信息的入侵。
公司要求要對(duì)刪除信息進(jìn)行備份,以便網(wǎng)監(jiān)局(公安局)查詢時(shí)提供相關(guān)證據(jù)。
處理人員應(yīng)對(duì)重大有害信息事件的舉報(bào)人、發(fā)現(xiàn)人要求保密著做到保密,有關(guān)重大的有害信息事件及處理過(guò)程不得泄密
四、重大信息安全事件應(yīng)急處置和報(bào)告制度
為確保發(fā)生網(wǎng)絡(luò)安全問題時(shí)各項(xiàng)應(yīng)急工作高效、有序地進(jìn)行,最大限度地減少損失,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)病毒防治管理辦法》等相關(guān)法律法規(guī),結(jié)合本公司信息網(wǎng)絡(luò)實(shí)際情況,制定本制度.
1、事件等級(jí):
根據(jù)信息安全事件的影響程度等因素將重大信息安全事件分為三個(gè)等級(jí):
第三等級(jí):特大信息安全事件,涉及國(guó)家安全和社會(huì)穩(wěn)定,造成惡劣影響和嚴(yán)重后果。
第二等級(jí):重大信息安全事件,涉及國(guó)家安全和社會(huì)穩(wěn)定,造成較大社會(huì)影響和較嚴(yán)重后果. 第一等級(jí):一般信息安全事件,造成一定社會(huì)影響的信息安全事件。
2、報(bào)告時(shí)限:
公司發(fā)生以上信息安全事件時(shí),根據(jù)等級(jí)的不同分別向上級(jí)主管部門報(bào)告,報(bào)告分為口頭報(bào)告、簡(jiǎn)要書面報(bào)告和專題書面報(bào)告:
發(fā)生特大信息安全事件時(shí),公司在2小時(shí)內(nèi)做出口頭報(bào)告,24小時(shí)內(nèi)做出簡(jiǎn)要書面報(bào)告,事件處理結(jié)束后3日內(nèi)做出專題書面報(bào)告.
發(fā)生重大信息安全事件時(shí),公司在4小時(shí)內(nèi)做出口頭報(bào)告,24小時(shí)內(nèi)做出簡(jiǎn)要書面報(bào)告,相關(guān)事件處理結(jié)束后3日內(nèi)做出專題書面報(bào)告。
發(fā)生一般信息安全事件時(shí),公司在48小時(shí)內(nèi)做出專題書面報(bào)告.
3、處置流程:
由于公司網(wǎng)絡(luò)環(huán)境安全事件(包括火災(zāi)、盜竊、破壞、供電等)、網(wǎng)絡(luò)運(yùn)行相關(guān)事件(包括線路中斷、路由障礙、流量異常、域名系統(tǒng)故障等)引發(fā)信息安全時(shí),緊急通知我公司信息主管負(fù)責(zé)人,及時(shí)消除非法信息,恢復(fù)系統(tǒng),無(wú)法迅速消除或恢復(fù)系統(tǒng)、影響較大時(shí)實(shí)施緊急關(guān)閉,并及時(shí)上報(bào)。
一般信息安全事件發(fā)生時(shí),向入侵者所在的網(wǎng)絡(luò)管理員投訴.
重大信息安全事件及特大信息安全事件發(fā)生時(shí)(如造成重大經(jīng)濟(jì)損失,破壞國(guó)家信息安全的反動(dòng)政治言論),及時(shí)清除、保留證據(jù),立即向網(wǎng)絡(luò)和信息安全事件應(yīng)急小組報(bào)告。網(wǎng)絡(luò)和信息安全事件應(yīng)急小組接到報(bào)告后,立即對(duì)發(fā)生的事件進(jìn)行調(diào)查核實(shí)、保留相關(guān)證據(jù),確定事件等級(jí),向上級(jí)主管部門上報(bào)相關(guān)材料。
五、信息安全管理政策和業(yè)務(wù)培訓(xùn)制度
根據(jù)我國(guó)《移動(dòng)互聯(lián)網(wǎng)信息服務(wù)管理辦法》的有關(guān)規(guī)定,本公司制定以下制度:
1、公司各級(jí)領(lǐng)導(dǎo)和信息安全管理人員定期(每年至少二次)學(xué)習(xí)《中華人民共和國(guó)治安管理處罰條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》等有關(guān)法律、行政法規(guī)的規(guī)定,提高員工維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。
2、在開展信息安全教育活動(dòng)中,必須結(jié)合先進(jìn)的典型事例進(jìn)行正面教育,以利取長(zhǎng)補(bǔ)短。信息安全教育要求體現(xiàn)“六性”,即全員性、全面性、針對(duì)性以及成效性、發(fā)展性、經(jīng)常性. 3、加強(qiáng)對(duì)我網(wǎng)站的信息發(fā)布審核管理工作,杜絕違犯《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》的內(nèi)容出現(xiàn)。
4、教育培訓(xùn)目標(biāo):
不斷提高公司人員信息安全意識(shí)、信息技術(shù)素質(zhì),提高信息安全政策業(yè)務(wù)水平。
5、培訓(xùn)制度:
1)業(yè)務(wù)學(xué)習(xí)培訓(xùn)計(jì)劃由技術(shù)部根據(jù)年度工作計(jì)劃作出安排.
2)成立業(yè)務(wù)學(xué)習(xí)小組,定期組織業(yè)務(wù)學(xué)習(xí);
3)工作人員每年必須參加不少于15個(gè)課時(shí)的專業(yè)培訓(xùn)。
4)工作人員必須完成布置的學(xué)習(xí)計(jì)劃安排,積極主動(dòng)地參加信息部組織的業(yè)務(wù)學(xué)習(xí)活動(dòng)。
5)有選擇地參加其它行業(yè)和部門舉辦的專業(yè)培訓(xùn),鼓勵(lì)參加其它業(yè)務(wù)交流和學(xué)習(xí)培訓(xùn). 6)支持、鼓勵(lì)工作人員結(jié)合業(yè)務(wù)工作自學(xué)。
6、培訓(xùn)內(nèi)容:
1)計(jì)算機(jī)安全法律教育
①定期組織本單位工作人員認(rèn)真學(xué)習(xí)《網(wǎng)絡(luò)安全制度》、《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)》等業(yè)務(wù)知識(shí),不斷提高工作人員的理論水平。
、谪(fù)責(zé)對(duì)企業(yè)的網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)。
、鄱ㄆ诘难(qǐng)上級(jí)有關(guān)部門和人員進(jìn)行信息安全方面的培訓(xùn),提高操作員的防范能力. 2)計(jì)算機(jī)職業(yè)道德教育
、俟ぷ魅藛T要嚴(yán)格遵守工作規(guī)程和工作制度。
、诓坏弥圃,發(fā)布虛假信息,向非業(yè)務(wù)人員提供有關(guān)數(shù)據(jù)資料。
、鄄坏美糜(jì)算機(jī)信息系統(tǒng)的漏洞偷竊客戶資料,進(jìn)行詐騙和轉(zhuǎn)移資金。
、懿坏弥圃旌蛡鞑ビ(jì)算機(jī)病毒。
3)計(jì)算機(jī)技術(shù)教育
、俨僮鲉T必須在指定計(jì)算機(jī)或指定終端上進(jìn)行操作。
、跈C(jī)房管理員,程序維護(hù)員,操作員必須實(shí)行崗位分離,不得串崗,越崗。
、鄄坏迷綑(quán)運(yùn)行程序,不得查閱無(wú)關(guān)參數(shù)。
、馨l(fā)現(xiàn)操作異常,應(yīng)立即向機(jī)房管理員報(bào)告.
7、培訓(xùn)方式:
、俳Y(jié)合專業(yè)實(shí)際情況,指派有關(guān)人員參加學(xué)習(xí).
、谟杏(jì)劃有針對(duì)性,指派人員到外地或外單位進(jìn)修學(xué)習(xí)。
、叟e辦專題講座或培訓(xùn)班,聘請(qǐng)有關(guān)專家進(jìn)行講課。
、芩猩蠉徆ぷ魅藛T或換崗工作人員應(yīng)經(jīng)過(guò)培訓(xùn)考核合格,方能上崗. ⑤自訂學(xué)習(xí)計(jì)劃,參加專業(yè)函授學(xué)習(xí)成績(jī)及時(shí)反饋有關(guān)部門,良好學(xué)業(yè)者給予獎(jiǎng)勵(lì)。
8、公司網(wǎng)站必須接受并配合通信管理局和公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo),如實(shí)向以上兩個(gè)部門提供有關(guān)安全保護(hù)的信息、資料和數(shù)據(jù)文件,協(xié)助公安機(jī)關(guān)查處通過(guò)國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為。
六、有害信息發(fā)現(xiàn)和過(guò)濾技術(shù)手段
有害信息安全發(fā)現(xiàn)工作小組成員及職責(zé)
主要職責(zé):
(1)承擔(dān)公司值守應(yīng)急工作;
。2)收集、分析工作信息,及時(shí)上報(bào)重要信息;
(3)負(fù)責(zé)公司網(wǎng)絡(luò)與信息安全的監(jiān)測(cè)預(yù)警和風(fēng)險(xiǎn)評(píng)估控制、隱患排查整改工作;
(4)負(fù)責(zé)網(wǎng)絡(luò)與信息安全突發(fā)事件新聞報(bào)道相關(guān)工作;
(5)組織制訂、修訂與公司職能相關(guān)的專項(xiàng)應(yīng)急預(yù)案,指導(dǎo)各分公司制定、修訂網(wǎng)絡(luò)與信息安全突發(fā)事件相關(guān)的應(yīng)急預(yù)案;
(6)負(fù)責(zé)組織協(xié)調(diào)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急演練;
(7)負(fù)責(zé)公司應(yīng)對(duì)網(wǎng)絡(luò)與信息安全突發(fā)事件的宣傳教育與培訓(xùn)。
我公司作為一家專業(yè)的電信增值服務(wù)商,在為用戶提供全面的健康信息時(shí),對(duì)有害信息的過(guò)濾采用“系統(tǒng)智能過(guò)濾+人工過(guò)濾"方案,以保證信息的安全.
公司的信息過(guò)濾系統(tǒng)是一款專業(yè)的服務(wù)器非法信息過(guò)濾軟件,實(shí)時(shí)攔截、替換服務(wù)器上各個(gè)網(wǎng)站的非法信息,并記錄詳細(xì)有償信息過(guò)濾系統(tǒng),具有高度的安全性和實(shí)用性. 我公司在使用信息過(guò)濾系統(tǒng)的同時(shí),還采用人工審核的方式,以多種形式確保為用戶發(fā)送信息的安全性及健康性,促進(jìn)我國(guó)增值電信業(yè)務(wù)市場(chǎng)的良性運(yùn)作,也為主管部門的監(jiān)督管理工作提供技術(shù)保障,積極推動(dòng)移動(dòng)互聯(lián)網(wǎng)信息行業(yè)的健康發(fā)展。
公司嚴(yán)格建立專人審核信息發(fā)布制度。公司各部門業(yè)務(wù)所有信息發(fā)布前,均需經(jīng)過(guò)專人審核,確保信息的合法,安全。
信息審核主要負(fù)責(zé)人職責(zé):
1、審核的廣度和深度:審核涉及的面較廣,要想真正起作用,不能只對(duì)信息系統(tǒng)的“皮毛”進(jìn)行審計(jì),否則就達(dá)不到真正保護(hù)系統(tǒng)安全的效力。
2、審核的環(huán)節(jié):從信息系統(tǒng)安全保障體系的各個(gè)層次著手,一環(huán)套一環(huán)地進(jìn)行審核。安全環(huán)節(jié)是很多系統(tǒng)平臺(tái)本身就提供的,如對(duì)建立的相關(guān)安全檔案進(jìn)行審核,分析信息安全工作組織與管理情況,對(duì)業(yè)務(wù)處理用機(jī)操作系統(tǒng)或者數(shù)據(jù)庫(kù)等進(jìn)行檢查,以分析系統(tǒng)的日志管理機(jī)制是否合理、有效.
3、關(guān)鍵字的設(shè)立、過(guò)濾與更新
公司保證采用的互聯(lián)網(wǎng)信息平臺(tái)具有信息內(nèi)容的過(guò)濾功能。信息過(guò)濾包括對(duì)發(fā)布的信息內(nèi)容、頁(yè)面內(nèi)容進(jìn)行有效過(guò)濾。關(guān)鍵字的過(guò)濾功能,具體包括關(guān)鍵字設(shè)定、修改、查詢功能,并提供相應(yīng)的測(cè)試端口,并具有嚴(yán)格的權(quán)限管理功能。在發(fā)現(xiàn)的有害內(nèi)容時(shí)按有關(guān)規(guī)定及時(shí)向有關(guān)部門匯報(bào),并從技術(shù)上予以保證,包括有害信息的內(nèi)容、發(fā)現(xiàn)時(shí)間、發(fā)現(xiàn)來(lái)源。
七、網(wǎng)絡(luò)安全管理責(zé)任制度
1、組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。
2、負(fù)責(zé)對(duì)我公司員工進(jìn)行安全教育和培訓(xùn),使員工自覺遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。
3、加強(qiáng)對(duì)我網(wǎng)站的信息發(fā)布審核管理工作,杜絕違犯《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》的內(nèi)容出現(xiàn)。
4、一旦發(fā)現(xiàn)從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng):
、傥唇(jīng)允許進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源;
、谖唇(jīng)允許對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加;
、畚唇(jīng)允許對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加;
、芄室庵谱、傳播計(jì)算機(jī)病毒等破壞性程序的;
、輳氖缕渌:τ(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng).做好記錄并立即向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告。
5、在信息發(fā)布的審核過(guò)程中,如發(fā)現(xiàn)有以下行為的:
、偕縿(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施;
、谏縿(dòng)顛覆國(guó)家政權(quán),推翻社會(huì)主義制度;
、凵縿(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一;
、苌縿(dòng)民族仇恨、民族歧視、破壞民族團(tuán)結(jié);
、菽笤旎蛘咄崆聦(shí)、散布謠言,擾亂社會(huì)秩序;
、扌麚P(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪;
、吖晃耆杷嘶蛘吣笤焓聦(shí)誹謗他人;
、鄵p害國(guó)家機(jī)關(guān)信譽(yù)。
都將接受并配合公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo),如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件,協(xié)助公安機(jī)關(guān)查處通過(guò)國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為.
信息安全管理制度2
企業(yè)會(huì)計(jì)信息分級(jí)分類安全管理制度
第一章總則
第一條為加強(qiáng)xx省xx公司,以下簡(jiǎn)稱“公司”會(huì)計(jì)信息化管理,確保會(huì)計(jì)信息的安全、準(zhǔn)確、及時(shí)和完整,根據(jù)財(cái)政部《企業(yè)會(huì)計(jì)信息化工作規(guī)范》的要求,結(jié)合公司的實(shí)際情況,制定本規(guī)定。
第二條本規(guī)定適用于公司本部及所屬權(quán)屬企業(yè),包括全資、控股子公司,以下簡(jiǎn)稱“各權(quán)屬單位”。
第三條會(huì)計(jì)信息化是指應(yīng)用會(huì)計(jì)信息化軟件及計(jì)算機(jī)等硬件設(shè)備輸入會(huì)計(jì)基礎(chǔ)數(shù)據(jù),由計(jì)算機(jī)對(duì)會(huì)計(jì)基礎(chǔ)數(shù)據(jù)進(jìn)行處理,并打印輸出會(huì)計(jì)憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表及相關(guān)會(huì)計(jì)信息資料。
會(huì)計(jì)信息化核算的范圍是:賬務(wù)處理、報(bào)表處理、固定資產(chǎn)核算、工資核算、往來(lái)款項(xiàng)核算以及預(yù)算管理等。
第四條使用的會(huì)計(jì)信息化軟件必須是通過(guò)財(cái)政部評(píng)審?fù)ㄟ^(guò)的商品化會(huì)計(jì)軟件。機(jī)房相關(guān)設(shè)備符合企業(yè)會(huì)計(jì)信息化標(biāo)準(zhǔn),滿足會(huì)計(jì)信息化管理要求。
第二章職責(zé)分工
第五條公司財(cái)務(wù)部門負(fù)責(zé)公司會(huì)計(jì)信息化系統(tǒng)管理工作,研究制定和組織實(shí)施公司會(huì)計(jì)信息化發(fā)展規(guī)劃,負(fù)責(zé)協(xié)調(diào)管理公司財(cái)務(wù)軟件系統(tǒng)的維護(hù)、升級(jí)和數(shù)據(jù)備份工作,組織和管理會(huì)計(jì)信息化人員的培訓(xùn)工作,對(duì)會(huì)計(jì)信息化工作及有關(guān)人員進(jìn)行指導(dǎo)、監(jiān)督、考評(píng)。
第六條人員、權(quán)限控制。
1、公司各權(quán)屬單位應(yīng)設(shè)立會(huì)計(jì)信息化管理崗位,按照會(huì)計(jì)崗位職責(zé)設(shè)置操作權(quán)限。公司各權(quán)屬單位財(cái)務(wù)部門負(fù)責(zé)人負(fù)責(zé)權(quán)限的授予,會(huì)計(jì)崗位之間權(quán)限明確且相互制約。
2、嚴(yán)格密碼管理,會(huì)計(jì)人員要注意保管自己的密碼或口令,并應(yīng)定期更換。
3、會(huì)計(jì)人員不得參與系統(tǒng)維護(hù)和數(shù)據(jù)管理工作。
4、會(huì)計(jì)人員因工作調(diào)整各級(jí)計(jì)財(cái)處負(fù)責(zé)人應(yīng)及時(shí)收回相關(guān)權(quán)限。
5、公司董事長(zhǎng)、總經(jīng)理、總會(huì)計(jì)師及財(cái)務(wù)負(fù)責(zé)人對(duì)公司及公司各權(quán)屬單位的賬務(wù)有瀏覽、查詢的權(quán)限。公司各權(quán)屬單位負(fù)責(zé)人、財(cái)務(wù)負(fù)責(zé)人、會(huì)計(jì)主管、財(cái)務(wù)總監(jiān)對(duì)本單位的賬務(wù)均有瀏覽、查詢的權(quán)限,但該權(quán)限僅限于其擔(dān)任負(fù)責(zé)人的'單位的賬務(wù)。
6、未經(jīng)授權(quán)的人員不得操作會(huì)計(jì)軟件,不得進(jìn)入、操作相應(yīng)的功能模塊。
7、公司及各權(quán)屬單位NC財(cái)務(wù)軟件權(quán)限的開立與變更需由公司財(cái)務(wù)部門負(fù)責(zé)人批準(zhǔn)。
第七條安全控制。
1、公司統(tǒng)一委托軟件開發(fā)商負(fù)責(zé)系統(tǒng)維護(hù)和程序數(shù)據(jù)維護(hù)工作。
2、會(huì)計(jì)信息化管理員負(fù)責(zé)定期對(duì)有關(guān)數(shù)據(jù)備份監(jiān)督設(shè)備、網(wǎng)絡(luò)、程序的正常運(yùn)行。
3、任何人未經(jīng)批準(zhǔn),不得擅自直接打開數(shù)據(jù)庫(kù)進(jìn)行操作。
4、會(huì)計(jì)信息化管理員應(yīng)對(duì)各類操作人員權(quán)限、密碼實(shí)行集中管理,做好保管、監(jiān)督工作。
第三章管理程序及要求
第一節(jié)計(jì)算機(jī)機(jī)房、設(shè)備維護(hù)與安全管理和病毒防治制度
第八條確保計(jì)算機(jī)機(jī)房等設(shè)備安全運(yùn)行。保持機(jī)房和設(shè)備的整潔
衛(wèi)生,并經(jīng)常對(duì)設(shè)備進(jìn)行維護(hù)和保養(yǎng)。配備不間斷電源、空調(diào)等設(shè)備,對(duì)發(fā)現(xiàn)問題的硬件及時(shí)修理或更換,以保證計(jì)算機(jī)機(jī)房的正常運(yùn)行環(huán)境。
第九條確保會(huì)計(jì)核算軟件和系統(tǒng)軟件的安全、保密。及時(shí)處理軟件運(yùn)行故障,并作出維護(hù)記錄。若軟件出現(xiàn)處理不了的故障,應(yīng)及時(shí)報(bào)告軟件維護(hù)人員及時(shí)維護(hù)。
第十條所有的機(jī)房設(shè)立防火墻,財(cái)務(wù)微機(jī)必須安裝殺毒軟件,進(jìn)行病毒實(shí)時(shí)監(jiān)控、殺除,并定期進(jìn)行殺毒軟件升級(jí)。如無(wú)特殊需求,不得打開未經(jīng)安全認(rèn)證或不熟悉的網(wǎng)頁(yè)。
第二節(jié)會(huì)計(jì)信息化軟件管理
第十一條會(huì)計(jì)信息化軟件的日常使用管理由會(huì)計(jì)信息管理員和.委托的軟件開發(fā)單位維護(hù)人員負(fù)責(zé)。會(huì)計(jì)信息化軟件的全套文檔資料以及程序必須妥善保管,不得出售、轉(zhuǎn)讓、轉(zhuǎn)借。
第十二條操作人員嚴(yán)格按照授予的功能權(quán)限、數(shù)據(jù)權(quán)限進(jìn)行操作,不得越權(quán)使用軟件。
第十三條操作人員應(yīng)按照軟件使用的要求,正確使用軟件。離開
工作現(xiàn)場(chǎng)必須退出會(huì)計(jì)軟件,嚴(yán)禁在使用過(guò)程中強(qiáng)行中斷程序,以免破壞相關(guān)數(shù)據(jù)。
第十四條嚴(yán)禁在財(cái)務(wù)微機(jī)上安裝游戲軟件等與工作無(wú)關(guān)的軟件。
第十五條不得在系統(tǒng)文件子目錄下存放任何非系統(tǒng)文件,否則,系統(tǒng)維護(hù)人員有權(quán)刪除文件,文件編輯者自負(fù)后果。
第三節(jié)會(huì)計(jì)信息化檔案管理
第十六條會(huì)計(jì)信息化管理崗位負(fù)責(zé)會(huì)計(jì)信息化檔案管理設(shè)專職檔案員除外。會(huì)計(jì)信息化檔案是指以磁性介質(zhì)等存儲(chǔ)的會(huì)計(jì)數(shù)據(jù)和計(jì)算機(jī)打印的書面形式的會(huì)計(jì)信息,包括記賬憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表包括報(bào)表格式和計(jì)算公式,以及信息化硬件設(shè)備攜帶的說(shuō)明書、保修單和會(huì)計(jì)信息化軟件攜帶的說(shuō)明書等。
壞相關(guān)數(shù)據(jù)。
第十四條嚴(yán)禁在財(cái)務(wù)微機(jī)上安裝游戲軟件等與工作無(wú)關(guān)的軟件。
第十五條不得在系統(tǒng)文件子目錄下存放任何非系統(tǒng)文件,否則,系統(tǒng)維護(hù)人員有權(quán)刪除文件,文件編輯者自負(fù)后果。
第三節(jié)會(huì)計(jì)信息化檔案管理
第十六條會(huì)計(jì)信息化管理崗位負(fù)責(zé)會(huì)計(jì)信息化檔案管理設(shè)專職檔案員除外。會(huì)計(jì)信息化檔案是指以磁性介質(zhì)等存儲(chǔ)的會(huì)計(jì)數(shù)據(jù)和計(jì)算機(jī)打印的書面形式的會(huì)計(jì)信息,包括記賬憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表包括報(bào)表格式和計(jì)算公式,以及信息化硬件設(shè)備攜帶的說(shuō)明書、保修單和會(huì)計(jì)信息化軟件攜帶的說(shuō)明書等。
第十七條會(huì)計(jì)信息化檔案要存放在專門的檔案室,具體按公司《會(huì)計(jì)檔案管理辦法》執(zhí)行。
第十八條記賬憑證、會(huì)計(jì)賬簿包括總賬、明細(xì)賬、日記賬、固定
資產(chǎn)卡片、固定資產(chǎn)臺(tái)賬、輔助賬簿、其他賬簿等、財(cái)務(wù)報(bào)告包括月度、季度、年度及定期會(huì)計(jì)報(bào)表、附表需定期打印。打印輸出的各種會(huì)計(jì)資料必須按公司《會(huì)計(jì)檔案管理辦法》規(guī)定及時(shí)歸檔保管。
第十九條嚴(yán)格執(zhí)行會(huì)計(jì)信息化檔案的借閱批準(zhǔn)制度。除檔案管理員外,任何人員查閱會(huì)計(jì)檔案都要經(jīng)過(guò)財(cái)務(wù)負(fù)責(zé)人批準(zhǔn),辦理借閱手續(xù),并保障數(shù)據(jù)的完整和安全。
第四章附則
第二十條會(huì)計(jì)人員及權(quán)限內(nèi)使用人員必須對(duì)所分配權(quán)限設(shè)置操作密碼或口令,并以妥當(dāng)方式保存,注意保密。如因密碼或口令泄漏而導(dǎo)致會(huì)計(jì)信息泄密的,將追究當(dāng)事人的責(zé)任。
第二十一條本規(guī)定由公司財(cái)務(wù)部門負(fù)責(zé)制定、解釋、修訂。
第二十二條本規(guī)定自發(fā)布之日起執(zhí)行。
信息安全管理制度3
1目標(biāo)
勝達(dá)集團(tuán)信息安全檢查工作的主要目標(biāo)是通過(guò)自評(píng)估工作,發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題,邊檢查邊整改,確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。
2評(píng)估依據(jù)、范圍和方法
2.1 評(píng)估依據(jù)
根據(jù)國(guó)務(wù)院信息化工作辦公室《關(guān)于對(duì)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》(信安通[20xx]15號(hào))、國(guó)家電力監(jiān)管委員會(huì)《關(guān)于對(duì)電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[20xx]48號(hào))以及集團(tuán)公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評(píng)估。
2.2 評(píng)估范圍
本次信息安全評(píng)估工作重點(diǎn)是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等,
管理信息系統(tǒng)中業(yè)務(wù)種類相對(duì)較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜,在檢查工作中強(qiáng)調(diào)對(duì)基礎(chǔ)信息系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行安全性評(píng)估,具體包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評(píng)估。
2.3 評(píng)估方法
采用自評(píng)估方法。
3重要資產(chǎn)識(shí)別
對(duì)本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識(shí)別,將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總,形成重要資產(chǎn)清單。
資產(chǎn)清單見附表1。
4安全事件
對(duì)本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5安全檢查項(xiàng)目評(píng)估
5.1 規(guī)章制度與組織管理評(píng)估
5.1.1組織機(jī)構(gòu)
5.1.1.1評(píng)估標(biāo)準(zhǔn)
信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。
5.1.1.2現(xiàn)狀描述
本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu),但尚未成立信息安全工作機(jī)構(gòu)。
5.1.1.3 評(píng)估結(jié)論
完善信息安全組織機(jī)構(gòu),成立信息安全工作機(jī)構(gòu)。
5.1.2崗位職責(zé)
5.1.2.1估標(biāo)準(zhǔn)
崗位要求應(yīng)包括:專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責(zé)的.工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定;崗位實(shí)行主、副崗備用制度。
5.1.2.2現(xiàn)狀描述
我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員,都是兼責(zé);專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定,崗位沒有實(shí)行主、副崗備用制度。
5.1.2.3 評(píng)估結(jié)論
本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員,在條件許可下,配置專職管理人員;專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定,根據(jù)實(shí)際情況制定管理制度;崗位沒有實(shí)行主、副崗備用制度,在條件許可下,落實(shí)主、副崗備用制度。
5.1.3病毒管理
5.1.3.1 評(píng)估標(biāo)準(zhǔn)
病毒管理包括計(jì)算機(jī)病毒防治管理制度、定期升級(jí)的安全策略、病毒預(yù)警和報(bào)告機(jī)制、病毒掃描策略(1周內(nèi)至少進(jìn)行一次掃描)。
5.1.3.2 現(xiàn)狀描述
本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù),定期從省公司病毒庫(kù)服務(wù)器下載、升級(jí)安全策略;病毒預(yù)警是通過(guò)第三方和網(wǎng)上提供信息來(lái)源,每月統(tǒng)計(jì)、匯總病毒感染情況并提交局生技部和省公司生技部;每周進(jìn)行二次自動(dòng)病毒掃描;沒有制定計(jì)算機(jī)病毒防治管理制度。
5.1.3.3 評(píng)估結(jié)論
完善病毒預(yù)警和報(bào)告機(jī)制,制定計(jì)算機(jī)病毒防治管理制度。
5.1.4運(yùn)行管理
5.1.4.1 評(píng)估標(biāo)準(zhǔn)
運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度并實(shí)行工作票制度;制定機(jī)房出入管理制度并上墻,對(duì)進(jìn)出機(jī)房情況記錄。
5.1.4.2 現(xiàn)狀描述
沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度,沒有實(shí)行工作票制度;機(jī)房出入管理制度上墻,但沒有機(jī)房進(jìn)出情況記錄。
5.1.4.3評(píng)估結(jié)論
結(jié)合本局具體情況,制訂信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維
流程、值班制度,實(shí)行工作票制度;機(jī)房出入管理制度上墻,記錄機(jī)房進(jìn)出情況。
5.1.5賬號(hào)與口令管理
5.1.5.1 評(píng)估標(biāo)準(zhǔn)
制訂了賬號(hào)與口令管理制度;普通用戶賬戶密碼、口令長(zhǎng)度要求符合大于6字符,管理員賬戶密碼、口令長(zhǎng)度大于8字符;半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件,半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時(shí)對(duì)其賬戶進(jìn)行變更或注銷。
5.1.5.2 現(xiàn)狀描述
沒有制訂賬號(hào)與口令管理制度,普通用戶賬戶密碼、口令長(zhǎng)度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長(zhǎng)度大于8字符,半年內(nèi)賬戶密碼、口令有過(guò)變更,但沒有變更相關(guān)記錄、通知、文件;半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時(shí)對(duì)其賬戶進(jìn)行變更或注銷。
5.1.5.3 評(píng)估結(jié)論
制訂賬號(hào)與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長(zhǎng)度要求;對(duì)賬戶密碼、口令變更作相關(guān)記錄;及時(shí)對(duì)系統(tǒng)用戶身份發(fā)生變化后對(duì)其賬戶進(jìn)行變更或注銷。
5.2 網(wǎng)絡(luò)與系統(tǒng)安全評(píng)估
5.2.1網(wǎng)絡(luò)架構(gòu)
5.2.1.1 評(píng)估標(biāo)準(zhǔn)
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,不允許外聯(lián)鏈路繞過(guò)防火墻,具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.1.2 現(xiàn)狀描述
局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備,城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余;沒有不經(jīng)過(guò)防火墻的外聯(lián)鏈路,有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.1.3 評(píng)估結(jié)論
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,外聯(lián)鏈路沒有繞過(guò)防火墻,完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.2網(wǎng)絡(luò)分區(qū)
5.2.2.1 評(píng)估標(biāo)準(zhǔn)
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.2.2 現(xiàn)狀描述
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進(jìn)行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.2.3評(píng)估結(jié)論
對(duì)生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.3 網(wǎng)絡(luò)設(shè)備
5.2.3.1 評(píng)估標(biāo)準(zhǔn)
網(wǎng)絡(luò)設(shè)備配置有備份,網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用雙電源,關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令強(qiáng)。>8字符,數(shù)字、字母混雜)。
5.2.3.2 現(xiàn)狀描述
網(wǎng)絡(luò)設(shè)備配置沒有進(jìn)行備份,網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是雙電源,網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。
5.2.3.3 評(píng)估結(jié)論
對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份,完善SNMP社區(qū)串、本地用戶口令強(qiáng)健(>8字符,數(shù)字、字母混雜)。
5.2.4 IP管理
5.2.4.1 評(píng)估標(biāo)準(zhǔn)
有IP地址管理系統(tǒng),IP地址管理有規(guī)劃方案和分配策略,IP地址分配有記錄。
5.2.4.2 現(xiàn)狀描述
沒有IP地址管理系統(tǒng),正在進(jìn)行對(duì)IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.4.3 評(píng)估結(jié)論
建立IP地址管理系統(tǒng),加快進(jìn)行對(duì)IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.5補(bǔ)丁管理
5.2.5.1 評(píng)估標(biāo)準(zhǔn)
有補(bǔ)丁管理的手段或補(bǔ)丁管理制度,Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全,有補(bǔ)丁安裝的測(cè)試記錄。
5.2.5.2現(xiàn)狀描述
通過(guò)手工補(bǔ)丁管理手段,沒有制訂相應(yīng)管理制度;Windows系統(tǒng)主機(jī)補(bǔ)丁安裝基本齊全,沒有補(bǔ)丁安裝的測(cè)試記錄。
5.2.5.3 評(píng)估結(jié)論
完善補(bǔ)丁管理的手段,制訂相應(yīng)管理制度;補(bǔ)缺Windows系統(tǒng)主機(jī)補(bǔ)丁安裝,補(bǔ)丁安裝前進(jìn)行測(cè)試記錄。
5.2.6系統(tǒng)安全配置
5.2.6.1 評(píng)估標(biāo)準(zhǔn)
信息安全管理制度4
一般操作代碼的設(shè)置與管理
1、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成,應(yīng)按每操作用戶一碼設(shè)置。
2、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。
3、操作員調(diào)離崗位,應(yīng)及時(shí)報(bào)告系統(tǒng)管理員注銷或者更改其代碼權(quán)限。
4、操作員不得在不同電腦上同時(shí)登陸醫(yī)院操作系統(tǒng)(特殊情況除外)。在不使用醫(yī)院系統(tǒng)的時(shí)候務(wù)必及時(shí)退出(下線)。
二、密碼與權(quán)限管理制度
1、密碼設(shè)置應(yīng)具有安全性、保密性,不能使用簡(jiǎn)單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼,也是保護(hù)用戶自身權(quán)益的控制代碼。密碼包括用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼,操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼(醫(yī)院信息系統(tǒng)的密碼是沒有分別設(shè)置的)。密碼設(shè)置不應(yīng)是名字、生日,重復(fù)、順序、規(guī)律數(shù)字等容易猜測(cè)的數(shù)字和字符串。
2、密碼應(yīng)定期修改,間隔時(shí)間不得超過(guò)一個(gè)月,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改,并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。
3、有關(guān)密碼授權(quán)工作人員調(diào)離崗位,有關(guān)部門負(fù)責(zé)人須指定等人接替并對(duì)密碼立即進(jìn)行修改或刪除用戶,同時(shí)在“密碼管理登記簿”中登記。
4、運(yùn)行維護(hù)部門需指定專人(68681)負(fù)責(zé)計(jì)算機(jī)病毒的防范工作,建立本單位的`計(jì)算機(jī)病毒防治管理制度,經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查,發(fā)現(xiàn)病毒及時(shí)清除。
5、營(yíng)業(yè)用計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來(lái)歷不明的載體(包括軟盤、光盤、移動(dòng)硬盤等)。
6、機(jī)房與工作站區(qū)嚴(yán)禁吸煙、吃東西(特別是液體食物)、會(huì)客、聊天等。不得進(jìn)行與業(yè)務(wù)無(wú)關(guān)的一切活動(dòng)。嚴(yán)禁攜帶液體和食品進(jìn)入機(jī)房,嚴(yán)禁攜帶與上機(jī)無(wú)關(guān)的物品,特別是易燃、易曝、有腐蝕等危險(xiǎn)品進(jìn)入機(jī)房。
7、機(jī)房工作人員嚴(yán)禁違章操作,嚴(yán)禁私自將外來(lái)軟件帶入機(jī)房使用。
8、嚴(yán)禁在通電的情況下拆卸,移動(dòng)計(jì)算機(jī)等設(shè)備和部件。
9、定期檢查機(jī)房消防設(shè)備器材。
10、機(jī)房?jī)?nèi)不準(zhǔn)隨意丟棄儲(chǔ)蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料,對(duì)廢棄儲(chǔ)蓄介質(zhì)和業(yè)務(wù)保密資料要及時(shí)銷毀(碎紙),不得作為普通垃圾處理。嚴(yán)禁機(jī)房?jī)?nèi)的設(shè)備、儲(chǔ)蓄介質(zhì)、資料、工具等私自出借或帶出。
11、主機(jī)設(shè)備主要包括:服務(wù)器、路由器、交往機(jī)和業(yè)務(wù)操作用PC機(jī)等。在計(jì)算機(jī)機(jī)房中要保持恒溫、恒濕、電壓穩(wěn)定,做好靜電防護(hù)和防塵等項(xiàng)工作,保證主機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。服務(wù)器等所在的主機(jī)要實(shí)行嚴(yán)格的門禁管理制度,及時(shí)發(fā)現(xiàn)和排除主機(jī)故障,根據(jù)業(yè)務(wù)應(yīng)用要求及運(yùn)行操作規(guī)范,確保業(yè)務(wù)系統(tǒng)的正常工作。
12、定期對(duì)空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo)(如風(fēng)量、溫升、濕度、潔凈度、溫度上升率等)進(jìn)行測(cè)試,并做好記錄,通過(guò)實(shí)際測(cè)量各項(xiàng)參數(shù)發(fā)現(xiàn)問題及時(shí)解決,保證機(jī)房空調(diào)的正常運(yùn)行
13、訓(xùn)算機(jī)后備電源(UPS)除了電池自動(dòng)檢測(cè)外,每年必須充放電一次到兩次。
14、計(jì)算機(jī)及系統(tǒng)運(yùn)行中發(fā)現(xiàn)問題請(qǐng)及時(shí)向管理員報(bào)告,及時(shí)處理并登記。管理員處理時(shí)過(guò)長(zhǎng)或者無(wú)信息回饋,影響正常操作請(qǐng)向分管領(lǐng)導(dǎo)投訴。
信息安全管理制度5
為確保計(jì)算機(jī)網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))系統(tǒng)安全、高效運(yùn)行和各類設(shè)備運(yùn)行處于良好狀態(tài),正確使用和維護(hù)各種設(shè)備、管理有章、職責(zé)明確,特制定本制度。
一、一般規(guī)定
1、嚴(yán)禁在網(wǎng)絡(luò)服務(wù)器上安裝一切與工作無(wú)關(guān)的軟件。嚴(yán)禁將外來(lái)不明的磁盤、光盤、軟件在網(wǎng)絡(luò)服務(wù)器上使用。嚴(yán)禁在網(wǎng)絡(luò)上運(yùn)行或傳播一切法律法規(guī)禁止、有損公司機(jī)關(guān)形象以及涉及公司秘密、危害公司安全的軟件或圖文信息。
2、無(wú)關(guān)人員不準(zhǔn)進(jìn)入機(jī)房,不準(zhǔn)違規(guī)操作和使用機(jī)房設(shè)備,不準(zhǔn)私自將機(jī)房設(shè)備帶離機(jī)房。需借用機(jī)房設(shè)備的,機(jī)房工作人員必須上報(bào),經(jīng)分管領(lǐng)導(dǎo)同意,并辦理有關(guān)登記手續(xù)后方可借出。
3、做好機(jī)房設(shè)備的日常維護(hù)工作,嚴(yán)禁在機(jī)房?jī)?nèi)吸煙,不準(zhǔn)在機(jī)房堆放雜物和垃圾,保持機(jī)房室內(nèi)整潔。下班時(shí),必須關(guān)閉不用的設(shè)備及電源,鎖好機(jī)房門窗,方可離開。
二、值班巡視規(guī)定
1、值班由委門衛(wèi)一并負(fù)責(zé),遵照委值班規(guī)定。
2、巡視由網(wǎng)絡(luò)管理員負(fù)責(zé),巡視人員要遵守以下職責(zé):
。1)要在第一時(shí)間發(fā)現(xiàn)隱患,并及時(shí)報(bào)告,使相關(guān)管理人員能及時(shí)趕到現(xiàn)場(chǎng)盡最大可能縮短故障恢復(fù)時(shí)間。
。2)履行機(jī)房的各項(xiàng)規(guī)定,不得作與工作、業(yè)務(wù)無(wú)關(guān)的任何私事,不得擅自離開崗位。督促進(jìn)入機(jī)房人員嚴(yán)格遵守。
。3)負(fù)責(zé)機(jī)房的環(huán)境設(shè)備與網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))系統(tǒng)的安全運(yùn)行;
負(fù)責(zé)完成規(guī)定的日常操作和故障監(jiān)測(cè)記錄,簡(jiǎn)單故障的排除,負(fù)責(zé)環(huán)境設(shè)備的日常巡視。
3、巡視內(nèi)容包括:
(1)網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))運(yùn)行設(shè)備的巡視:各服務(wù)器的CPU和內(nèi)存的工作狀況;
防火墻的工作狀況;網(wǎng)站的工作狀況;交換機(jī)的工作狀況;客戶端的網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))運(yùn)行速度;認(rèn)真做好記錄。
。2)機(jī)房環(huán)境的巡視:機(jī)房門的關(guān)閉情況,機(jī)房的衛(wèi)生狀況,機(jī)房的燈光狀況,機(jī)房的溫度、濕度及空氣狀況,認(rèn)真做好記錄。
(3)機(jī)房設(shè)備的`巡視:對(duì)機(jī)房空調(diào)系統(tǒng)的運(yùn)行情況進(jìn)行經(jīng)常性巡視,密切注意工作負(fù)荷、電池容量、室內(nèi)溫濕度等數(shù)值,以保證網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))安全、正常的運(yùn)行;
主配深圳前海潤(rùn)林供應(yīng)鏈實(shí)業(yè)有限公司
電柜的供電電壓、電流;空調(diào)的工作狀況;認(rèn)真做好巡視記錄。
三、日常管理規(guī)定
1、到機(jī)房工作的人員不得在機(jī)房?jī)?nèi)吃食品,飲水,吸煙或其他與工作無(wú)關(guān)的事宜。
2、到機(jī)房工作的人員嚴(yán)禁攜帶與工作無(wú)關(guān)的物品,特別是易燃、易爆、強(qiáng)磁、腐蝕性物體等危險(xiǎn)物品進(jìn)入機(jī)房。
3、到機(jī)房工作的人員應(yīng)嚴(yán)格遵守崗位責(zé)任制,不能亂動(dòng)與自己工作無(wú)關(guān)的設(shè)備,嚴(yán)禁在機(jī)房大聲喧嘩、玩電子游戲、聊天等。
4、機(jī)房?jī)?nèi)不能存放任何食品,嚴(yán)禁在機(jī)房?jī)?nèi)存放雜物,嚴(yán)禁在機(jī)房?jī)?nèi)使用其他用電器。
四、運(yùn)行維護(hù)規(guī)定
1、配電柜一年進(jìn)行至少兩次維護(hù)檢查。內(nèi)容包括:清掃灰塵檢查各接點(diǎn)、觸電的溫升,松緊。
2、機(jī)房專用空調(diào)每年進(jìn)行兩次巡檢,維護(hù)內(nèi)容:清掃及更換各過(guò)濾網(wǎng)、清洗或更換加濕罐、清掃室外機(jī)、測(cè)量工作壓力、測(cè)量工作電壓、電流、檢查下水管道是否暢通及漏水報(bào)警是否正常、進(jìn)行軟化水更換。
3、機(jī)房防雷設(shè)施每年檢查一次,維護(hù)內(nèi)容:檢測(cè)個(gè)防雷器的可靠性、檢查接地狀況。
4、機(jī)房每年進(jìn)行兩次專業(yè)保潔,維護(hù)內(nèi)容:對(duì)機(jī)房的地板進(jìn)行調(diào)整和清潔、對(duì)底板下、天棚板上進(jìn)行清潔。
五、安全保密規(guī)定
1、做好防雷、防火、防水、防盜、防蟲害。
防雷:按公司的規(guī)定對(duì)機(jī)房的設(shè)備進(jìn)行接地。每年要按公司的規(guī)定對(duì)防雷設(shè)施及設(shè)備接地進(jìn)行檢測(cè)。
防火:需按公司的規(guī)定在計(jì)算機(jī)機(jī)房進(jìn)行設(shè)置消防設(shè)施。設(shè)施每年要按公司規(guī)定進(jìn)行檢測(cè)。
防水:要經(jīng)常檢查機(jī)房的防漏水情況,空調(diào)、門窗及屋頂。
防盜:嚴(yán)格機(jī)房進(jìn)出管理,門禁要24小時(shí)工作,嚴(yán)格執(zhí)行進(jìn)出機(jī)房的登記制度、嚴(yán)格執(zhí)行進(jìn)出機(jī)房不得攜帶其他物品的規(guī)定。
防蟲害:經(jīng)常檢查機(jī)房的頂棚上和地板下的封閉情況,不得在機(jī)房?jī)?nèi)在放食品,不得在機(jī)房?jī)?nèi)堆放雜物。
2、網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))運(yùn)行安全管理
(1)對(duì)INTERNET網(wǎng)的進(jìn)口要加裝防火墻。防火墻的設(shè)置要經(jīng)常根據(jù)需要進(jìn)行調(diào)整以防入侵。
。2)對(duì)所有服務(wù)器要安裝病毒軟件,要經(jīng)常對(duì)防病毒軟件進(jìn)行升級(jí)。經(jīng)常對(duì)計(jì)算機(jī)病毒進(jìn)行檢測(cè)。
3、系統(tǒng)設(shè)備安全管理
。1)進(jìn)入機(jī)房不得帶拷貝工具和便攜機(jī);
。2)機(jī)房?jī)?nèi)所有服務(wù)器應(yīng)設(shè)有開機(jī)密碼、系統(tǒng)登陸密碼;
。3)機(jī)房?jī)?nèi)所有服務(wù)器都應(yīng)設(shè)有帶密碼的屏幕保護(hù);
。4)網(wǎng)管人員操作后應(yīng)將服務(wù)器處于鎖定狀態(tài);
。5)非網(wǎng)管人員不得私自操作任何服務(wù)器;
。6)認(rèn)真遵守公司的各項(xiàng)保密制度;
(7)嚴(yán)格遵守黨和公司的保密制度。有關(guān)打印結(jié)果、存儲(chǔ)介質(zhì)及原始數(shù)據(jù)必須有本人保管。帶有密級(jí)的媒體應(yīng)用時(shí)鎖入保險(xiǎn)柜中,收、發(fā)要登記。定期集中銷毀廢棄的涉密紙、物;
。8)需要于正常工作時(shí)之外使用機(jī)房加班的人員,應(yīng)得到主管領(lǐng)導(dǎo)的批準(zhǔn),并向運(yùn)行值班人員辦理登記手續(xù)。機(jī)房的值班人員必須同時(shí)在場(chǎng)陪同;
(9)嚴(yán)禁與機(jī)房工作無(wú)關(guān)的人員進(jìn)入機(jī)房;
。10)非機(jī)房工作人員在機(jī)房工作是必須有機(jī)房值班人員陪同;
。11)機(jī)房?jī)?nèi)各類服務(wù)器應(yīng)由專人分類管理
。12)建立設(shè)備、資料責(zé)任制。
信息安全管理制度6
為加強(qiáng)公司各信息系統(tǒng)管理,保證信息系統(tǒng)安全,根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》和國(guó)家保密局《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》、國(guó)家保密局《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》,及上級(jí)信息管理部門的相關(guān)規(guī)定和要求,結(jié)合公司實(shí)際,制定本制度。
本制度包括網(wǎng)絡(luò)安全管理、信息系統(tǒng)安全保密制度、信息安全風(fēng)險(xiǎn)應(yīng)急預(yù)案。
網(wǎng)絡(luò)安全管理制度
第一條公司網(wǎng)絡(luò)的安全管理,應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)設(shè)備和配套設(shè)施的安全,保障信息的安全,保障運(yùn)行環(huán)境的安全。
第二條任何單位和個(gè)人不得從事下列危害公司網(wǎng)絡(luò)安全的活動(dòng):
1、任何單位或者個(gè)人利用公司網(wǎng)絡(luò)從事危害公司計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全。
2、對(duì)于公司網(wǎng)絡(luò)主結(jié)點(diǎn)設(shè)備、光纜、網(wǎng)線布線設(shè)施,以任何理由破壞、挪用、改動(dòng)。
3、未經(jīng)允許,對(duì)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或增加。
4、未經(jīng)允許,對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中的共享文件和存儲(chǔ)、處理或傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或增加。
5、故意制作、傳播計(jì)算機(jī)病毒等破壞性程序。
6、利用公司網(wǎng)絡(luò),訪問帶有“黃、賭、毒”、反動(dòng)言論內(nèi)容的網(wǎng)站。
7、向其它非本單位用戶透露公司網(wǎng)絡(luò)登錄用戶名和密碼。
8、其他危害信息網(wǎng)絡(luò)安全的行為。
第三條各單位信息管理部門負(fù)責(zé)本單位網(wǎng)絡(luò)的安全和信息安全工作,對(duì)本單位單位所屬計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行進(jìn)行巡檢,發(fā)現(xiàn)問題及時(shí)上報(bào)信息中心。
第四條連入公司網(wǎng)絡(luò)的用戶必須在其本機(jī)上安裝防病毒軟件,一經(jīng)發(fā)現(xiàn)個(gè)人計(jì)算機(jī)由感染病毒等原因影響到整體網(wǎng)絡(luò)安全,信息中心將立即停止該用戶使用公司網(wǎng)絡(luò),待其計(jì)算機(jī)系統(tǒng)安全之后方予開通。
第五條嚴(yán)禁利用公司網(wǎng)絡(luò)私自對(duì)外提供互聯(lián)網(wǎng)絡(luò)接入服務(wù),一經(jīng)發(fā)現(xiàn)立即停止該用戶的使用權(quán)。
第六條對(duì)網(wǎng)絡(luò)病毒或其他原因影響整體網(wǎng)絡(luò)安全的子網(wǎng),信息中心對(duì)其提供指導(dǎo),必要時(shí)可以中斷其與骨干網(wǎng)的連接,待子網(wǎng)恢復(fù)正常后再恢復(fù)連接。
信息系統(tǒng)安全保密制度
第一條、“信息系統(tǒng)安全保密”是一項(xiàng)常抓不懈的工作,每名系統(tǒng)管理員都必須提高信息安全保密意識(shí),充分認(rèn)識(shí)到信息安全保密的重要性及必要性。對(duì)重要系統(tǒng)的系統(tǒng)崗位員工進(jìn)行信息系統(tǒng)安全保密培訓(xùn)。
第二條、實(shí)行信息發(fā)布責(zé)任追究制度,所有信息的發(fā)布必須按規(guī)定辦理審核、審簽手續(xù),必須真實(shí)有效且符合中華人民共和國(guó)法規(guī)。涉及國(guó)家及公司機(jī)密的信息系統(tǒng)必須與內(nèi)部網(wǎng)和互聯(lián)網(wǎng)實(shí)施物理隔離,嚴(yán)格執(zhí)行上網(wǎng)信息的審查制度和涉及國(guó)家秘密的信息不得在企業(yè)內(nèi)網(wǎng)發(fā)布的規(guī)定,杜絕泄密事件的發(fā)生。凡發(fā)布虛假、反動(dòng)、色情、泄密等內(nèi)容,追究信息報(bào)送和審核者責(zé)任,對(duì)公司造成重大經(jīng)濟(jì)損失,將追究責(zé)任人相應(yīng)的法律責(zé)任。
第三條、信息系統(tǒng)管理權(quán)限從安全級(jí)別上分為絕密、機(jī)密、秘密;從適用對(duì)象上分為高級(jí)管理員、系統(tǒng)管理員、高級(jí)用戶、中級(jí)用戶、一般用戶、特殊用戶;從操作承載體上分為服務(wù)器(包括系統(tǒng)服務(wù)器、應(yīng)用服務(wù)器和控制服務(wù)器)、工作終端、用戶終端;從設(shè)定內(nèi)容上分為完全控制、權(quán)限設(shè)置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運(yùn)行、讀取、拷貝、其他操作等。
第四條、所有信息系統(tǒng)的使用者和不同安全等級(jí)信息之間必須存在授權(quán)關(guān)系,并在新建信息系統(tǒng)開發(fā)建設(shè)階段形成方案并加以設(shè)計(jì),在軟件系統(tǒng)中預(yù)留對(duì)應(yīng)關(guān)系設(shè)置的功能,根據(jù)使用者崗位職務(wù)的變遷進(jìn)行調(diào)整。
第五條、利用IT技術(shù)手段,對(duì)信息系統(tǒng)的硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制。利用操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)所提供的安全機(jī)制,設(shè)置相應(yīng)的安全參數(shù),保證系統(tǒng)訪問的安全;對(duì)于重要的計(jì)算機(jī)設(shè)備,要利用軟件技術(shù)等手段防止員工擅自安裝、卸載軟件或改變軟件系統(tǒng)配置,并定期對(duì)以上情況進(jìn)行檢查。
第六條、信息系統(tǒng)如需要委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行和維護(hù)管理時(shí),應(yīng)嚴(yán)格審查其資質(zhì)條件、市場(chǎng)剩余和信用狀況等,并且與其簽訂正式的服務(wù)合同和保密協(xié)議。
第七條、所有信息系統(tǒng)服務(wù)器、工作終端、用戶終端必須安裝安全防病毒軟件,對(duì)未安裝防病毒軟件的終端用戶有權(quán)拒絕為其提供網(wǎng)絡(luò)接入服務(wù)。
第八條、利用防火墻、路由器、入侵檢測(cè)等網(wǎng)絡(luò)設(shè)備,加強(qiáng)網(wǎng)絡(luò)安全,嚴(yán)密防范來(lái)自互聯(lián)網(wǎng)的黑客攻擊和非法侵入。
第九條、對(duì)于通過(guò)互聯(lián)網(wǎng)傳輸?shù)纳婷芑蜿P(guān)鍵業(yè)務(wù)數(shù)據(jù),要采取必要的技術(shù)手段確保信息傳遞的保密性、準(zhǔn)確性、完整性。
第十條、對(duì)于停止運(yùn)行的廢舊系統(tǒng),應(yīng)當(dāng)做好系統(tǒng)中有價(jià)值及涉密信息的銷毀、轉(zhuǎn)移等善后工作。
第十一條、系統(tǒng)管理人員要遵守信息系統(tǒng)的各項(xiàng)管理制度,防止利用計(jì)算機(jī)舞弊和犯罪。
第十二條、對(duì)重要業(yè)務(wù)系統(tǒng)的訪問建立用戶管理制度,對(duì)于不同類別不同級(jí)別的各類管理及使用人員采取密碼分級(jí)管理,設(shè)定密碼有效期限,對(duì)密碼存儲(chǔ)采用非明文二次加密技術(shù)防止各類密碼泄露事故的發(fā)生。
信息安全風(fēng)險(xiǎn)應(yīng)急預(yù)案
一、總則
為加強(qiáng)公司信息安全風(fēng)險(xiǎn)源的預(yù)防管理,提高應(yīng)急防范能力,保障網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)及信息機(jī)房的整體安全,促進(jìn)公司安全生產(chǎn)穩(wěn)步健康發(fā)展,制定本預(yù)案。
二、編制目的`
依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等有關(guān)法規(guī)文件精神。確保公司信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行,為公司整體安全形勢(shì)穩(wěn)步發(fā)展提供保障。
三、適用范圍
本預(yù)案適用于各單位信息安全突發(fā)風(fēng)險(xiǎn)應(yīng)急管理。
四、主要風(fēng)險(xiǎn)源
1、火災(zāi)
2、意外斷電
3、重要數(shù)據(jù)丟失
4、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓
五、風(fēng)險(xiǎn)源辨識(shí)及評(píng)估
各單位應(yīng)組織員工對(duì)風(fēng)險(xiǎn)源進(jìn)行全面、系統(tǒng)的辨識(shí)和風(fēng)險(xiǎn)評(píng)估,并確保:危險(xiǎn)源辨識(shí)前要進(jìn)行相關(guān)知識(shí)的培訓(xùn);辨識(shí)范圍覆蓋本單位的所有活動(dòng)及區(qū)域;對(duì)危險(xiǎn)源辨識(shí)和風(fēng)險(xiǎn)評(píng)估資料進(jìn)行統(tǒng)計(jì)、分析、整理、歸檔;
5.1、火災(zāi)辨識(shí)及評(píng)估
5.1.1火災(zāi)辨識(shí)
。1)自然災(zāi)害引起的火災(zāi)
。2)強(qiáng)電線路短路引起的火災(zāi)
。3)雜物堆積引起的火災(zāi)
。4)溫度過(guò)高引起的火災(zāi)。
(5)老鼠咬線引起的火災(zāi)。
5.1.2火災(zāi)風(fēng)險(xiǎn)評(píng)估
機(jī)房發(fā)生火災(zāi)可能導(dǎo)致工作人員人身受到傷害;信息網(wǎng)絡(luò)設(shè)備受到損壞;網(wǎng)絡(luò)系統(tǒng)大面積癱瘓;國(guó)家、集體財(cái)產(chǎn)受到損失。
5.2、意外斷電辨識(shí)及評(píng)估
5.2.1意外斷電辨識(shí)
。1)自然災(zāi)害引起的意外斷電。
。2)短路跳閘引起的意外斷電。
5.2.2意外斷電風(fēng)險(xiǎn)評(píng)估
1、意外斷電可能導(dǎo)致機(jī)房核心交換機(jī)、防火墻、匯聚交換機(jī)、數(shù)據(jù)庫(kù)服務(wù)器、軟件服務(wù)器、恒溫設(shè)備等重要設(shè)備損壞或數(shù)據(jù)丟失;
2、意外斷電可能導(dǎo)致煙霧報(bào)警系統(tǒng)、溫度報(bào)警和斷市電系統(tǒng)無(wú)法正常工作而帶來(lái)的間接財(cái)產(chǎn)損失。
5.3、重要數(shù)據(jù)丟失辨識(shí)及評(píng)估
5.3.1重要數(shù)據(jù)丟失辨識(shí)
。1)意外斷電引起的數(shù)據(jù)丟失。
。2)服務(wù)器故障引起的數(shù)據(jù)丟失。
(3)數(shù)據(jù)庫(kù)損壞引起的數(shù)據(jù)丟失。
5.3.2重要數(shù)據(jù)丟失風(fēng)險(xiǎn)評(píng)估
1、安全軟件系統(tǒng)數(shù)據(jù)丟失可能導(dǎo)致安全生產(chǎn)監(jiān)控類系統(tǒng)數(shù)據(jù)無(wú)法正常采集于傳輸,影響到礦井安全生產(chǎn)的正常進(jìn)行。
2、數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)丟失可能導(dǎo)致經(jīng)營(yíng)管理類系統(tǒng)無(wú)法正常使用,影響公司相關(guān)部門經(jīng)營(yíng)管理工作和日常辦公無(wú)法正常進(jìn)行。
5.4、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓
5.4.1 網(wǎng)絡(luò)系統(tǒng)大面積癱瘓辨識(shí)
。1)意外斷電引起的核心交換機(jī)、防火墻損壞或故障導(dǎo)致網(wǎng)絡(luò)系統(tǒng)大面積癱瘓。
。2)通信線路中斷引起的網(wǎng)絡(luò)系統(tǒng)大面積癱瘓
。3)服務(wù)器損壞或故障引起的大面積無(wú)法登錄互聯(lián)網(wǎng)。
5.4.2 網(wǎng)絡(luò)系統(tǒng)大面積癱瘓風(fēng)險(xiǎn)評(píng)估
1、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓可能導(dǎo)致公司與生產(chǎn)礦井之間的信息傳輸中斷,管理部門失去對(duì)礦井生產(chǎn)的安全監(jiān)管,安全生產(chǎn)無(wú)法正常進(jìn)行。
2、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓可能導(dǎo)致公司日常辦公無(wú)法正常進(jìn)行。
5.5、高空作業(yè)辨識(shí)及評(píng)估
5.5.1高空作業(yè)辨識(shí)
(1)日常高空維修可能造成人身傷害。
。2)工程高空施工可能造成人身傷害。
5.5.2高空作業(yè)風(fēng)險(xiǎn)評(píng)估
日常高空維修網(wǎng)絡(luò)設(shè)備、打掃衛(wèi)生和高空施工可能造成工作人員人身傷害和精神傷害,影響公司安全生產(chǎn)穩(wěn)步發(fā)展。
六、安全風(fēng)險(xiǎn)應(yīng)急預(yù)案及措施
根據(jù)各單位存在的主要風(fēng)險(xiǎn)源和風(fēng)險(xiǎn)評(píng)估,保障安全生產(chǎn)工作有序進(jìn)行,制定本預(yù)案及措施。
6.1火災(zāi)應(yīng)急預(yù)案及處置措施
6.1.1應(yīng)急預(yù)案
。1)發(fā)生特大火災(zāi)時(shí)(包括機(jī)房、UPS、庫(kù)房),值班人員應(yīng)立即逃離火災(zāi)范圍,啟動(dòng)對(duì)應(yīng)的火災(zāi)應(yīng)急預(yù)案和響應(yīng)級(jí)別,拉響警報(bào),向公司總調(diào)度室、本單位負(fù)責(zé)人、單位安監(jiān)部門匯報(bào),在確保人身安全的情況下,組織人員利用滅火器進(jìn)行滅火;
如果火勢(shì)過(guò)大,人員無(wú)法靠近時(shí),應(yīng)立即撥打火警119,求助消防部門進(jìn)行滅火。
(2)發(fā)生重大火災(zāi)時(shí)(包括機(jī)房局部、UPS控制器、庫(kù)房局部),值班人員應(yīng)立即逃離火災(zāi)范圍,啟動(dòng)對(duì)應(yīng)的火災(zāi)應(yīng)急預(yù)案,拉響警報(bào),向公司調(diào)度室和本單位安監(jiān)部門匯報(bào),在確保人身安全的情況下,組織人員利用滅火器進(jìn)行滅火,力爭(zhēng)將財(cái)產(chǎn)損失降到最低。
。3)發(fā)生較大火災(zāi)時(shí)(包括消防通道、辦公室)值班人員應(yīng)啟動(dòng)對(duì)應(yīng)的火災(zāi)應(yīng)急預(yù)案,向公司總調(diào)度室及本單位安監(jiān)部門匯報(bào),在確保人身安全的情況下,組織人員利用滅火器進(jìn)行滅火,避免或降低財(cái)產(chǎn)損失。
6.1.2處置措施
。1)火災(zāi)發(fā)生時(shí),值班和工作人員應(yīng)立即脫離火災(zāi)范圍,確保人身安全。
。2)根據(jù)火災(zāi)大小確定火災(zāi)風(fēng)險(xiǎn)等級(jí),并啟動(dòng)相應(yīng)的響應(yīng)等級(jí)。
。3)根據(jù)火災(zāi)風(fēng)險(xiǎn)等級(jí)向公司總調(diào)度室及本單位安監(jiān)部門匯報(bào)火災(zāi)情況。
。4)火勢(shì)過(guò)大無(wú)法控制時(shí),應(yīng)立即撥打火警119進(jìn)行求助。
。5)在確保人身安全的情況下,組織人員利用滅火器進(jìn)行滅火,避免火災(zāi)擴(kuò)大,降低財(cái)產(chǎn)損失。
。6)盡最大可能搜集火災(zāi)發(fā)生的相關(guān)信息,做好記錄,為事故處理提供依據(jù)。
。7)每月針對(duì)火災(zāi)誘發(fā)根源進(jìn)行徹底檢查(如易燃物品不能堆放、庫(kù)房物品分類并整齊擺放等),預(yù)防火災(zāi)的發(fā)生。
6.2、意外斷電應(yīng)急預(yù)案及處置措施
6.2.1應(yīng)急預(yù)案
發(fā)生自然災(zāi)害和短路引起的意外斷電時(shí),值班人員在確保人身安全的情況下,根據(jù)風(fēng)險(xiǎn)等級(jí)啟動(dòng)相應(yīng)的響應(yīng)等級(jí),向本單位安監(jiān)部門進(jìn)行匯報(bào),邀請(qǐng)電力維修人員進(jìn)行斷電故障排查,并組織技術(shù)人員對(duì)機(jī)房核心交換機(jī)、防火墻、匯聚交換機(jī)、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)備份服務(wù)器、軟件服務(wù)器、軟件系統(tǒng)、煙霧報(bào)警、UPS溫度監(jiān)控、機(jī)房溫度監(jiān)控系統(tǒng)進(jìn)行隱患排查,發(fā)現(xiàn)設(shè)備故障和數(shù)據(jù)丟失,應(yīng)當(dāng)進(jìn)行及時(shí)處理和上報(bào)。
6.2.2處置措施
。1)發(fā)生意外斷電時(shí),在確保人身安全的情況下,值班人員應(yīng)啟動(dòng)相應(yīng)的響應(yīng)等級(jí)。
。2)向本單位安監(jiān)部門進(jìn)行匯報(bào)。
。3)必須請(qǐng)專業(yè)電力維修人員進(jìn)行故障排查與維修。
。4)搜集意外斷電發(fā)生的信息并作好記錄,為事故處理提供依據(jù)。
6.3、重要數(shù)據(jù)丟失應(yīng)急預(yù)案及處置措施
6.3.1應(yīng)急預(yù)案
。1)因意外斷電引起重要數(shù)據(jù)丟失時(shí),值班人員應(yīng)根據(jù)風(fēng)險(xiǎn)等級(jí)啟動(dòng)相應(yīng)的響應(yīng)等級(jí),向公司總調(diào)度室和安監(jiān)部門進(jìn)行匯報(bào),邀請(qǐng)專業(yè)電力維修人員進(jìn)行故障排查,恢復(fù)供電正常,排查機(jī)房設(shè)備及數(shù)據(jù)情況,發(fā)現(xiàn)設(shè)備故障和數(shù)據(jù)丟失,立即組織相關(guān)技術(shù)人員進(jìn)行恢復(fù)。
。2)因服務(wù)器故障引起數(shù)據(jù)丟失時(shí),值班人員應(yīng)根據(jù)風(fēng)險(xiǎn)等級(jí)啟動(dòng)相應(yīng)的響應(yīng)等級(jí),向公司總調(diào)度室和案件部門進(jìn)行匯報(bào),并組織技術(shù)人員進(jìn)行服務(wù)器維修和數(shù)據(jù)恢復(fù),如果服務(wù)器和數(shù)據(jù)無(wú)法維修和恢復(fù)時(shí),應(yīng)向本單位負(fù)責(zé)人匯報(bào)并外請(qǐng)專業(yè)人員進(jìn)行維修,確保設(shè)備和數(shù)據(jù)安全。
。3)因數(shù)據(jù)庫(kù)無(wú)法啟動(dòng)引起的數(shù)據(jù)丟失,值班人員應(yīng)根據(jù)風(fēng)險(xiǎn)等級(jí)啟動(dòng)相應(yīng)的響應(yīng)等級(jí),向公司總調(diào)度室和案件部門進(jìn)行匯報(bào),并組織技術(shù)人員進(jìn)行數(shù)據(jù)恢復(fù),如果數(shù)據(jù)無(wú)法恢復(fù),應(yīng)向本單位負(fù)責(zé)人匯報(bào)并外請(qǐng)專業(yè)人員進(jìn)行數(shù)據(jù)恢復(fù),確保設(shè)數(shù)據(jù)安全。
6.3.2處置措施
。1)發(fā)生數(shù)據(jù)丟失時(shí),值班人員應(yīng)根據(jù)風(fēng)險(xiǎn)等級(jí)啟動(dòng)相應(yīng)相應(yīng)等級(jí)。
。2)值班人員向本單位安監(jiān)部門匯報(bào)。
。3)組織技術(shù)人員對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。
(4)本單位技術(shù)人員無(wú)法恢復(fù)丟失數(shù)據(jù)時(shí),應(yīng)向本單位負(fù)責(zé)人匯報(bào)并外請(qǐng)專業(yè)人員進(jìn)行數(shù)據(jù)恢復(fù),確保數(shù)據(jù)安全。
。5)做好數(shù)據(jù)丟失與恢復(fù)過(guò)程的記錄。
6.4、高空作業(yè)應(yīng)急預(yù)案及處置措施
6.4.1應(yīng)急預(yù)案
。1)在高空維修過(guò)程中發(fā)生人員墜落風(fēng)險(xiǎn)時(shí),如果墜落人員處于清醒狀態(tài),應(yīng)立即撥打120送往醫(yī)院進(jìn)行急救;
如果墜落人員處于昏迷狀態(tài),其他維修人員應(yīng)當(dāng)立即進(jìn)行簡(jiǎn)單的急救(如將人平躺在地上,進(jìn)行按壓胸部、掐人中、人工呼吸等),同時(shí)撥打120急救電話送往醫(yī)院進(jìn)行搶救,并向公司總調(diào)度室、本單位負(fù)責(zé)人及安監(jiān)部門匯報(bào)。
。2)在高空施工過(guò)程中發(fā)生人員墜落風(fēng)險(xiǎn)時(shí),如果墜落人員處于清醒狀態(tài),應(yīng)立即撥打120送往醫(yī)院進(jìn)行急救;
如果墜落人員處于昏迷狀態(tài),其他維修人員應(yīng)當(dāng)立即進(jìn)行簡(jiǎn)單的急救(如將人平躺在地上,進(jìn)行按壓胸部、掐人中、人工呼吸等),同時(shí)撥打120急救電話送往醫(yī)院進(jìn)行搶救,并向公司總調(diào)度室、本單位負(fù)責(zé)人及安監(jiān)部門匯報(bào)。
6.4.2處置措施
。1)日常高空維修必須在確保人身安全的情況下進(jìn)行,否則不能進(jìn)行維修作業(yè)。
。2)在日常工作中設(shè)計(jì)到高空維修,維修人員一定要2人或2人以上進(jìn)行維修。否則,維修人員可以拒絕維修工作。
。2)高空維修人員必須佩帶安全繩索,并采用安全梯子進(jìn)行高空作業(yè)。否則,不能進(jìn)行高空維修作業(yè)。
。3)事故發(fā)生后要對(duì)事故的經(jīng)過(guò)進(jìn)行詳細(xì)記錄,為事故處理提供依據(jù)。
信息安全管理制度7
第一節(jié)總則
1、為加強(qiáng)醫(yī)院信息技術(shù)外包服務(wù)的安全管理,保證醫(yī)院信息系統(tǒng)運(yùn)行環(huán)境的穩(wěn)定,特制定本制度。
2、本制度所稱信息技術(shù)外包服務(wù),是指醫(yī)院以簽訂合同的方式,委托承擔(dān)信息技術(shù)服務(wù)且非本醫(yī)院所屬的專業(yè)機(jī)構(gòu)提供的信息技術(shù)服務(wù),主要包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)及其它相關(guān)信息化建設(shè)服務(wù)等。
3、安全管理是以安全為目的,進(jìn)行有關(guān)安全工作的方針、決策、計(jì)劃、組織、指揮、協(xié)調(diào)、控制等職能,合理有效地使用人力、財(cái)力、物力、時(shí)間和信息,為達(dá)到預(yù)定的安全防范而進(jìn)行的各種活動(dòng)的總和,稱為安全管理。
4、外包服務(wù)安全管理遵循關(guān)于安全的所有商業(yè)準(zhǔn)則及適當(dāng)?shù)耐獠糠、法?guī)。
第二節(jié)外包服務(wù)范圍
1、外包服務(wù)包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)等。
2、咨詢服務(wù):
。1)根據(jù)醫(yī)院的信息化建設(shè)總體部署,協(xié)助醫(yī)院制定切實(shí)可行的技術(shù)實(shí)施方案。
。2)對(duì)醫(yī)院現(xiàn)有的信息技術(shù)基礎(chǔ)架構(gòu)、設(shè)備運(yùn)行狀態(tài)和應(yīng)用情況進(jìn)行診斷和評(píng)估,提出合理化的解決方案。
。3)根據(jù)醫(yī)院的實(shí)際情況提出備份方案和應(yīng)急方案。
。4)其它信息技術(shù)咨詢服務(wù)。
3、運(yùn)行維護(hù)服務(wù):
。1)軟硬件設(shè)備安裝、升級(jí)服務(wù)。
(2)硬件設(shè)備的維修和保養(yǎng)。
(3)根據(jù)醫(yī)院業(yè)務(wù)變化,提供應(yīng)用系統(tǒng)功能性的需求解決方案及執(zhí)行服務(wù)。
。4)系統(tǒng)定期巡檢和整體性能評(píng)估。
。6)日常業(yè)務(wù)數(shù)據(jù)問題的'處理服務(wù)。
。7)其它運(yùn)行維護(hù)服務(wù)。
4、技術(shù)培訓(xùn):根據(jù)醫(yī)院的實(shí)際情況,提供相關(guān)的技術(shù)培訓(xùn)。
第三節(jié)外包服務(wù)安全管理
1、外包服務(wù)安全管理應(yīng)按照“安全第一、預(yù)防為主”的原則,采取科學(xué)有效的安全管理措施,應(yīng)用確保信息安全的技術(shù)手段,建立權(quán)責(zé)明確、覆蓋信息化全過(guò)程的崗位責(zé)任制,對(duì)信息化全過(guò)程實(shí)行嚴(yán)格監(jiān)督和管理,確保信息安全。
2、成立由分管領(lǐng)導(dǎo)同志信息化外包管理組織,明確信息化管理的部門、人員及其職責(zé)。
3、建立信息建設(shè)安全保密制度,與外包服務(wù)方簽訂安全保密協(xié)議或合同,明確符合安全管理及其它相關(guān)制度的要求。并對(duì)服務(wù)人員進(jìn)行安全保密教育。
4、制定信息化加工過(guò)程管理、信息化成果驗(yàn)收與交接、存儲(chǔ)介質(zhì)管理等操作規(guī)程或規(guī)章制度。
5、外包服務(wù)方的人員素質(zhì)、技術(shù)與管理水平能夠滿足擬承擔(dān)項(xiàng)目的要求,進(jìn)行相應(yīng)的安全資質(zhì)管理。
6、信息中心配備專人負(fù)責(zé)安全保密工作,負(fù)責(zé)日常信息安全監(jiān)督、檢查、指導(dǎo)工作。對(duì)服務(wù)方提供的服務(wù)進(jìn)行安全性監(jiān)督與評(píng)估,采取安全措施對(duì)訪問實(shí)施控制,出現(xiàn)問題應(yīng)遵照合同規(guī)定及時(shí)處理和報(bào)告,確保其提供的服務(wù)符合醫(yī)院的內(nèi)部控制要求。
7、對(duì)外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的安全狀況應(yīng)定期進(jìn)行評(píng)估,當(dāng)出現(xiàn)重大安全問題或隱患時(shí)應(yīng)進(jìn)行重新評(píng)估,提出改進(jìn)意見,直至停止外包服務(wù)。
8、使用外包服務(wù)方設(shè)備的,對(duì)其進(jìn)行必要的安全檢查。
9、在重要安全區(qū)域,對(duì)外部服務(wù)方的每次訪問進(jìn)行風(fēng)險(xiǎn)控制;必要時(shí)應(yīng)外部服務(wù)方的訪問進(jìn)行限制。
第四節(jié)附則
1、本制度由信息中心負(fù)責(zé)解釋。
2、本制度自發(fā)布之日起生效執(zhí)行。
信息安全管理制度8
基本要求
1.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息保護(hù)制度,使用患者診療信息應(yīng)當(dāng)遵循合法、依規(guī)、正當(dāng)、必要的原則,不得出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息。
2.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度,明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)為員工使用患者診療信息提供便利和安全保障,因個(gè)人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)。
3.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護(hù)水平,防止信息泄露、毀損、丟失。定期開展患者診療信息安全自查工作,建立患者診療信息系統(tǒng)安全事故責(zé)任管理、追溯機(jī)制。在發(fā)生或者可能發(fā)生患者診療信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定向有關(guān)部門報(bào)告。
實(shí)施細(xì)則
1. 醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息保護(hù)制度:
。1)患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過(guò)程中產(chǎn)生的,以一定形式記錄、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息,包括患者的個(gè)人基本信息、掛號(hào)信息、就診信息、住院醫(yī)囑信息、費(fèi)用信息、影像資料和檢驗(yàn)結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集。
(2)診療信息保護(hù)制度應(yīng)包括獲取制度、修改制度和安全保障制度。
、佾@取制度原則包括獲取行為的界定,例如:報(bào)銷、外院就診、案件審理、臨床研究等;個(gè)人獲取流程和必需材料;政府或社會(huì)組織獲取流程和依據(jù)材料。
、谛薷闹贫仍瓌t包括患者個(gè)人信息修改流程和醫(yī)務(wù)人員醫(yī)囑、診斷等敏感信息修改流程。
③安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理,不得轉(zhuǎn)出;患者資料通過(guò)分級(jí)權(quán)限管理保護(hù)及診治;未經(jīng)患者本人的許可,不得將其疾病及相關(guān)隱私信息傳播給他人。
2.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度,明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。
(1)員工授權(quán)管理制度應(yīng)包括內(nèi)部人員授權(quán)管理制度、外包人員授權(quán)管理制度和授權(quán)變更管理制度。
。2)醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項(xiàng)的制度,必須明確各授權(quán)和審批的部門和責(zé)任人。信息安全管理各環(huán)節(jié)的流程中授權(quán)
和審批部分均需按照本授權(quán)和審批事項(xiàng)的制度執(zhí)行。
。3)內(nèi)部人員授權(quán)管理由醫(yī)療機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并起始,實(shí)施按層級(jí)分級(jí)授權(quán)和負(fù)責(zé)制度。
(4)外包人員授權(quán)管理應(yīng)由醫(yī)療機(jī)構(gòu)信息安全工作小組組長(zhǎng)授權(quán),并按層級(jí)和部門崗位予以授權(quán),并向授權(quán)方負(fù)責(zé)。沒有經(jīng)過(guò)正式授權(quán)的臨時(shí)信息系統(tǒng)維護(hù)需求,可由信息安全工作小組組長(zhǎng)臨時(shí)授權(quán)同意后補(bǔ)充授權(quán)記錄。
(5)重點(diǎn)加強(qiáng)對(duì)被授權(quán)者及其訪問權(quán)限操作行為的合規(guī)性進(jìn)行監(jiān)管,評(píng)估與記錄在案:
、俳⑴c完善記錄操作日志,記錄一定周期內(nèi)的行為日志,通過(guò)軟件系統(tǒng)逐一識(shí)別,確定操作行為的合規(guī)性;
、诮⒉僮飨到y(tǒng)識(shí)別庫(kù),對(duì)于不屬于識(shí)別庫(kù)行為,系統(tǒng)要給予報(bào)警,直至下調(diào)授權(quán)等次或中止授權(quán)。
3. 醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護(hù)水平,防止信息泄露、毀損、丟失。
。1)醫(yī)療機(jī)構(gòu)應(yīng)按照信息安全等級(jí)要求,建立嚴(yán)格的信息分級(jí)安全管理系統(tǒng)和配套工作制度。
(2)應(yīng)建立嚴(yán)格的信息分級(jí)授權(quán)制度體系并常態(tài)化運(yùn)行。
(3)授權(quán)審批應(yīng)嚴(yán)格根據(jù)工作崗位和工作內(nèi)容而定。
(4)建立主數(shù)據(jù)雙備份制度。對(duì)醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表,并保持良好的兼容互通。
4.發(fā)生或可能發(fā)生患者診療信息泄露事件時(shí),應(yīng)急處置基本原則
要求以下幾點(diǎn):
。1)泄密發(fā)現(xiàn)人員在第一時(shí)間先就泄密事件本身保密;
。2)如已掌握涉密情況,則選擇具有相應(yīng)涉密級(jí)別的人員進(jìn)行報(bào)告或直接報(bào)告醫(yī)院信息安全領(lǐng)導(dǎo)小組組長(zhǎng);
(3)如未掌握涉密情況,應(yīng)向上一級(jí)信息安全主管報(bào)告;
。4)處置過(guò)程保密。
5.醫(yī)療機(jī)構(gòu)要建立患者診療信息安全事故責(zé)任追溯機(jī)制。
(1)根據(jù)信息安全分級(jí)授權(quán)和信息分級(jí)保護(hù)要求,信息安全事故責(zé)任須進(jìn)行逐級(jí)追溯。
(2)根據(jù)隱私泄露溯源應(yīng)從最終數(shù)據(jù)應(yīng)用者向個(gè)人數(shù)據(jù)源頭搜尋的.原則,建立溯源技術(shù)標(biāo)準(zhǔn)體系、患者診療數(shù)據(jù)使用登記制度、溯源監(jiān)管制度和溯源獎(jiǎng)懲制度。
。3)溯源技術(shù)標(biāo)準(zhǔn)體系主要為實(shí)現(xiàn)技術(shù)可行性;颊咴\療數(shù)據(jù)使用登記制度為實(shí)現(xiàn)數(shù)據(jù)跟蹤和溯源有跡可循。溯源監(jiān)管和獎(jiǎng)懲制度主要是強(qiáng)化溯源機(jī)制的威懾與強(qiáng)制作用。
6.醫(yī)療機(jī)構(gòu)實(shí)施軟件安全管理,應(yīng)從以下四個(gè)方面進(jìn)行管理,但不限于此:
(1)醫(yī)療機(jī)構(gòu)臨床信息系統(tǒng)軟件的管理和維護(hù),應(yīng)由本機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)的專職管理員負(fù)責(zé)實(shí)施日常的管理和維護(hù)。
。2)若由開發(fā)該軟件的公司負(fù)責(zé)維護(hù)的醫(yī)療機(jī)構(gòu),各科室應(yīng)向計(jì)算機(jī)信息系統(tǒng)專職管理員書面報(bào)告每次維護(hù)的情況并備案。
。3)由各科室自行開發(fā)或應(yīng)用新的軟件、上級(jí)或政府職能部門 指定統(tǒng)一使用的,均必須按照規(guī)定的程序申報(bào),經(jīng)醫(yī)院信息安全管理組織討論批準(zhǔn)后方可應(yīng)用。
。4)為了防止計(jì)算機(jī)信息系統(tǒng)被病毒感染或者擴(kuò)散病毒,任何個(gè)人及部門科室均不得自行使用殺毒的軟盤、光盤、U盤等儲(chǔ)存介質(zhì)。
信息安全管理制度9
平安生產(chǎn)是企業(yè)的頭等大事,必需堅(jiān)持“平安第一,預(yù)防為主”的方針和群防群治制度,仔細(xì)實(shí)行安全管理制度,切實(shí)加強(qiáng)安全管理,保證職工在生產(chǎn)過(guò)程中的平安與健康。依據(jù)國(guó)家和省有關(guān)法規(guī)、規(guī)定和文件,制定本企業(yè)信息安全管理制度。
一、計(jì)算機(jī)設(shè)備安全管理制度
計(jì)算機(jī)不同于其他辦公設(shè)備,其好用性、嚴(yán)密性、操作技術(shù)性強(qiáng),含量高、部件易受損;特殊是聯(lián)網(wǎng)計(jì)算機(jī),開放性程度比較高,電腦內(nèi)部易受外界的偷窺、攻擊和病毒感染。為確保計(jì)算機(jī)軟、硬件及網(wǎng)絡(luò)的正常運(yùn)用,特制定本制度。
1、公司內(nèi)全部計(jì)算機(jī)歸網(wǎng)絡(luò)部統(tǒng)一管理,配備計(jì)算機(jī)的員工只負(fù)責(zé)運(yùn)用操作;
2、計(jì)算機(jī)管理涉及的范圍:
2.1全部硬件(包括外接設(shè)備)及網(wǎng)絡(luò)聯(lián)接線路;
2.2計(jì)算機(jī)及網(wǎng)絡(luò)故障的解除;
2.3計(jì)算機(jī)及網(wǎng)絡(luò)的維護(hù)與修理;
2.4操作系統(tǒng)的管理;
3、公司內(nèi)全部計(jì)算機(jī)運(yùn)用人員均為計(jì)算機(jī)操作員;
4、網(wǎng)絡(luò)維護(hù)部負(fù)責(zé)對(duì)公司內(nèi)全部計(jì)算機(jī)進(jìn)行定期檢查,一般每?jī)稍逻M(jìn)行一次;
5、計(jì)算機(jī)的運(yùn)用部門要保持清潔、平安、良好的計(jì)算機(jī)設(shè)備工作環(huán)境,禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備平安的物品。
6、非本單位技術(shù)人員對(duì)我單位的設(shè)備、系統(tǒng)等進(jìn)行修理、維護(hù)時(shí),必需由本單位相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外修理,須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。
7、嚴(yán)格遵守計(jì)算機(jī)設(shè)備運(yùn)用、開機(jī)、關(guān)機(jī)等平安操作規(guī)程和正確的運(yùn)用方法。任何人不允許帶電插撥計(jì)算機(jī)外部設(shè)備接口,計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)剛好向電腦負(fù)責(zé)部門報(bào)告,不允許私自處理或找非本單位技術(shù)人員進(jìn)行修理及操作。
二、操作員安全管理制度
1、計(jì)算機(jī)原則上由專人負(fù)責(zé)操作維護(hù),不得串用設(shè)備。下班后必需按程序關(guān)閉主機(jī)和其他設(shè)備,切斷電源。
2、為保證計(jì)算機(jī)信息安全,必需為計(jì)算機(jī)設(shè)置密碼。
3、計(jì)算機(jī)操作員除運(yùn)用操作計(jì)算機(jī)外,不允許有以下行為:
3.1硬件設(shè)備出現(xiàn)故障擅自拆開主機(jī)機(jī)箱蓋板;
3.2更換計(jì)算機(jī)配件(如鼠標(biāo)、鍵盤、耳麥);如有向網(wǎng)絡(luò)管理員寫設(shè)備申請(qǐng)單審批。
3.3刪除計(jì)算機(jī)操作系統(tǒng)及公司指定的軟件;
3.4運(yùn)用帶病毒的計(jì)算機(jī)軟件;
3.5讓外來(lái)人員進(jìn)行有損于計(jì)算機(jī)的技術(shù)性操作;
4、不得運(yùn)用來(lái)路不明或未經(jīng)殺毒的盤片。計(jì)算機(jī)操作員定期對(duì)計(jì)算機(jī)進(jìn)行殺毒。如發(fā)覺計(jì)算機(jī)有病毒時(shí),應(yīng)剛好清除,清除不了的病毒,要?jiǎng)偤蒙蠄?bào)。
5、個(gè)人的公司重要文檔、資料和數(shù)據(jù)保存時(shí)必需將資料儲(chǔ)存在除操作系統(tǒng)外的其它磁盤空間,嚴(yán)禁將重要文件存放于桌面或C盤下。
6、工作時(shí)間內(nèi)嚴(yán)禁工作人員在計(jì)算機(jī)上進(jìn)行與工作無(wú)關(guān)的操作,不準(zhǔn)上網(wǎng)與工作無(wú)關(guān)的閑聊、玩電腦嬉戲、看影視、聽音樂,迅雷下載等。
7、電腦及網(wǎng)絡(luò)設(shè)備所在環(huán)境應(yīng)保持清潔、衛(wèi)生、通風(fēng),留意防塵、防潮、防火。
8、公司全部計(jì)算機(jī)運(yùn)用者,不得破壞網(wǎng)管員對(duì)計(jì)算機(jī)的平安設(shè)置。包括用戶運(yùn)用權(quán)限。
9、除服務(wù)器外,其他全部計(jì)算機(jī)下班后必需關(guān)機(jī)并切斷電源;
10、計(jì)算機(jī)運(yùn)用者離職時(shí)必需由網(wǎng)絡(luò)管理員確認(rèn)其計(jì)算機(jī)硬件設(shè)備完好、移動(dòng)存儲(chǔ)設(shè)備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個(gè)人帳戶密碼清除后方可辦理離職手續(xù)。
11、如工作人員不按規(guī)定操作,造成不良后果的,將按有關(guān)規(guī)定,由操作者擔(dān)當(dāng)相應(yīng)責(zé)任,并追究科室負(fù)責(zé)人的有關(guān)責(zé)任。
12、操作員設(shè)置與管理
(1)網(wǎng)絡(luò)管理員管理操作權(quán)限必需經(jīng)過(guò)公司領(lǐng)導(dǎo)授權(quán)取得;依據(jù)不同部門的要求及崗位職責(zé)而設(shè)置;
。2)網(wǎng)絡(luò)管理員負(fù)責(zé)故障復(fù)原等管理及維護(hù),必需有其上級(jí)授權(quán);不得運(yùn)用他人操作代碼進(jìn)行業(yè)務(wù)操作;
三、密碼與權(quán)限安全管理制度
1、密碼設(shè)置應(yīng)具有平安性、保密性,不能運(yùn)用簡(jiǎn)潔的代碼和標(biāo)記。密碼是愛護(hù)系統(tǒng)和數(shù)據(jù)平安的限制代碼,也是愛護(hù)用戶自身權(quán)益的限制代碼。密碼分設(shè)為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼,操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日,重復(fù)、依次、規(guī)律數(shù)字等簡(jiǎn)單揣測(cè)的數(shù)字和字符串;
2、密碼應(yīng)定期修改,間隔時(shí)間不得超過(guò)一個(gè)月,如發(fā)覺或懷疑密碼遺失或泄漏應(yīng)馬上修改,并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。
3、服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人(不參加系統(tǒng)開發(fā)和維護(hù)的人員)設(shè)置和管理,并由密碼設(shè)置人員將密碼裝入密碼信封,在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特別狀況須要啟用封存的密碼,必需經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人同意,由密碼運(yùn)用人員向密碼管理人員索取,運(yùn)用完畢后,須馬上更改并封存,同時(shí)在“密碼管理登記簿”中登記。
4、系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和運(yùn)用管理制度。
5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位,有關(guān)部門負(fù)責(zé)人須指定專人接替并對(duì)密碼馬上修改或用戶刪除,同時(shí)在“密碼管理登記簿”中登記。
四、數(shù)據(jù)安全管理制度
1、存放備份數(shù)據(jù)的介質(zhì)必需具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必需異地存放。
2、留意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸平安和保密管理,保證存儲(chǔ)介質(zhì)的物理平安。
3、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的運(yùn)用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必需嚴(yán)格根據(jù)程序進(jìn)行逐級(jí)審批,以保證備份數(shù)據(jù)平安完整。
4、數(shù)據(jù)復(fù)原前,必需對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)復(fù)原過(guò)程中,出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)復(fù)原后,必需進(jìn)行驗(yàn)證、確認(rèn),確保數(shù)據(jù)復(fù)原的完整性和可用性。
5、數(shù)據(jù)清理前必需對(duì)數(shù)據(jù)進(jìn)行備份,在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的'備份數(shù)據(jù)要進(jìn)行定期保存或永久保存,并確?梢噪S時(shí)運(yùn)用。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期,避開對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。
6、須要長(zhǎng)期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存,依據(jù)轉(zhuǎn)存和查詢運(yùn)用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存,防止存儲(chǔ)介質(zhì)過(guò)期失效,通過(guò)有效的查詢、運(yùn)用方法保證數(shù)據(jù)的完整性和可用性。
7、非本單位技術(shù)人員對(duì)本公司的設(shè)備、系統(tǒng)等進(jìn)行修理、維護(hù)時(shí),必需由本公司相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外修理,須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前,需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)管理的信息備份后刪除,并進(jìn)行登記。對(duì)修復(fù)的設(shè)備,設(shè)備修理人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)。
8、管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除,并妥當(dāng)處理廢棄無(wú)用的資料和介質(zhì),防止泄密。
9、運(yùn)行維護(hù)部門需指定專人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作,建立本單位的計(jì)算機(jī)病毒防治管理制度,常常進(jìn)行計(jì)算機(jī)病毒檢查,發(fā)覺病毒剛好清除。
10、營(yíng)業(yè)用計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)運(yùn)用來(lái)歷不明的載體(包括軟盤、光盤、移動(dòng)硬盤等)。
五、網(wǎng)絡(luò)管理
1、網(wǎng)絡(luò)系統(tǒng)屬于公司無(wú)形資產(chǎn),公司有權(quán)限制上網(wǎng)行為,依據(jù)工作須要限制各部門的上網(wǎng)行為。
2、公司網(wǎng)絡(luò)管理員對(duì)計(jì)算機(jī)IP地址統(tǒng)一安排、登記、管理,嚴(yán)禁私自更改IP地址。
3、公司員工必需自覺遵守企業(yè)的有關(guān)保密法規(guī),嚴(yán)禁利用網(wǎng)絡(luò)有意或無(wú)意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復(fù)制、轉(zhuǎn)移和破壞公司的文件、資料和數(shù)據(jù)。
4、實(shí)行“絕密”文件、涉秘件與計(jì)算機(jī)網(wǎng)絡(luò)肯定隔離,不得在計(jì)算機(jī)網(wǎng)絡(luò)中輸入、打印、復(fù)制“絕密”文件和有關(guān)涉秘件。
5、網(wǎng)絡(luò)維護(hù)部負(fù)責(zé)文字工作的計(jì)算操作人員必需遵守有關(guān)的保密制度,對(duì)保密的文件資料進(jìn)行加密存放,不得上網(wǎng)共享。
六、附則
1、本制度由網(wǎng)絡(luò)部負(fù)責(zé)說(shuō)明。
2、本制度由總經(jīng)理批準(zhǔn)后生效,自頒布之日起執(zhí)行。
信息安全管理制度10
根據(jù)《中小學(xué)幼兒園安全管理辦法》規(guī)定,建立學(xué)生安全信息管理制度如下:
一、將學(xué)校規(guī)定的學(xué)生到校和放學(xué)時(shí)間、學(xué)生非正常缺席或者擅自離校情況,以及學(xué)生身體和心理的異常狀況等關(guān)系學(xué)生安全的信息,及時(shí)告知其監(jiān)護(hù)人。
1、教務(wù)處要根據(jù)學(xué)校不同時(shí)期的作息時(shí)間變動(dòng),將學(xué)校規(guī)定的學(xué)生到校和放學(xué)時(shí)間通過(guò)家長(zhǎng)會(huì)或信息平臺(tái)等形式及時(shí)告知其監(jiān)護(hù)人。
2、班主任要嚴(yán)格考勤制度,衛(wèi)生室要嚴(yán)格執(zhí)行晨檢制度,若發(fā)生學(xué)生非正常缺席或者擅自離校情況,班主任要盡快和其監(jiān)護(hù)人取得聯(lián)系,如果聯(lián)系不上其監(jiān)護(hù)人,或事態(tài)嚴(yán)重,必須向德育處報(bào)告。
二、對(duì)有特殊體質(zhì)、特定疾病或者其他生理、心理狀況異常以及有其他不良行為的學(xué)生,學(xué)校應(yīng)當(dāng)做好安全信息記錄,妥善保管學(xué)生的健康與安全信息資料,依法保護(hù)學(xué)生的個(gè)人隱私。學(xué)校對(duì)已知的有特異體質(zhì)、特定疾病或者異常心理狀況的'學(xué)生,應(yīng)當(dāng)給予適當(dāng)關(guān)注和照顧。
1、班主任在平時(shí)的工作中,如果發(fā)現(xiàn)學(xué)生身體和心理出現(xiàn)異常狀況等關(guān)系學(xué)生安全的信息,在及時(shí)告知其監(jiān)護(hù)人的同時(shí),必須上報(bào)德育處。
2、班主任要排查班級(jí)中是否有特殊體質(zhì)、特定疾病或者其他生理、心理狀況異常的學(xué)生,如果有,要及時(shí)告知衛(wèi)生室、體育組和校長(zhǎng)室,衛(wèi)生室做好這些學(xué)生的安全信息記錄,并和其監(jiān)護(hù)人取得聯(lián)系,妥善保管學(xué)生的健康與安全信息資料。對(duì)這些已知的有特異體質(zhì)、特定疾病或者異常心理狀況的學(xué)生,一些不適合這些學(xué)生參加的活動(dòng),班主任和體育老師要應(yīng)當(dāng)給予適當(dāng)關(guān)注和照顧,可私下告知他們可以不參加,依法保護(hù)學(xué)生的個(gè)人隱私。
三、學(xué)校建立安全工作檔案,記錄日常安全工作、安全責(zé)任落實(shí)、安全檢查、安全隱患消除等情況,并作為實(shí)施安全工作目標(biāo)考核、責(zé)任追究和事故處理的重要依據(jù)。
四、在校學(xué)生發(fā)生安全事故,應(yīng)及時(shí)通知家長(zhǎng)或監(jiān)護(hù)人。
五、學(xué)生在校期間離開校園,必須有班主任寫的出門條,將出門條交門衛(wèi)并告知家長(zhǎng)。
六、班級(jí)如果發(fā)生了學(xué)生安全事故,要迅速向德育處和校長(zhǎng)室報(bào)告,不得隱瞞、謊報(bào)、漏報(bào),以保證學(xué)校在第一時(shí)間內(nèi),集中力量進(jìn)行救助,學(xué)校同時(shí)向上級(jí)有關(guān)部門報(bào)告。
信息安全管理制度11
1.數(shù)據(jù)庫(kù)安全管理
信息技術(shù)部須采用循環(huán)的完全備份和增量備份等備份策略,完成對(duì)各信息系統(tǒng)數(shù)據(jù)的定期備份,以便在信息系統(tǒng)發(fā)生故障時(shí)將數(shù)據(jù)恢復(fù)到最佳狀態(tài)。對(duì)備份的數(shù)據(jù)文件應(yīng)妥善保管,防止被非法拷貝或毀壞,嚴(yán)禁未經(jīng)授權(quán)將數(shù)據(jù)庫(kù)拷貝出系統(tǒng),轉(zhuǎn)給任何單位或人員。
2.密碼安全管理
2.1初始密碼須及時(shí)更改,新密碼須包含無(wú)規(guī)則的'字母、數(shù)字、符號(hào)組合并至少10位以上,禁止直接使用常用單詞、人名、電話號(hào)碼等安全系數(shù)低的字符作為密碼。
2.2各用戶需對(duì)所使用電腦、信息系統(tǒng)等密碼進(jìn)行定期(如3個(gè)月)更改,如出現(xiàn)密碼泄露或異常時(shí),須立馬更改并告知信息技術(shù)部。
2.3各服務(wù)器、信息系統(tǒng)的超級(jí)或管理員級(jí)密碼由分管系統(tǒng)管理員及信息技術(shù)部經(jīng)理雙重管理,信息技術(shù)部經(jīng)理掌握全部設(shè)備、全部系統(tǒng)的超級(jí)或管理員級(jí)密碼,分管管理員擁有分管系統(tǒng)的管理員級(jí)密碼(部分視情況授予超級(jí)密碼);正常情況下,此類管理級(jí)密碼每1個(gè)月系統(tǒng)管理員必須更改一次并將新密碼報(bào)備,在有信息技術(shù)部人員變動(dòng)、密碼外露或其它異常情況下,必須第一時(shí)間更換并將新密碼報(bào)備。此類管理級(jí)賬號(hào)與密碼原則上不對(duì)其它任何人員提供,特殊需求須報(bào)上級(jí)領(lǐng)導(dǎo)批準(zhǔn)方可授予。
信息安全管理制度12
1、安全管理制度要求
1.1總則:為了切實(shí)有效的保證公司信息安全,提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營(yíng)的服務(wù)實(shí)力,特制定交互式信息安全管理制度,設(shè)定管理部門及專業(yè)管理人員對(duì)公司整體信息安全進(jìn)行管理,以確保網(wǎng)絡(luò)與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應(yīng)包括:
a)平安崗位管理制度;
b)系統(tǒng)操作權(quán)限管理;
c)平安培訓(xùn)制度;
d)用戶管理制度;
e)新服務(wù)、新功能平安評(píng)估;
f)用戶投訴舉報(bào)處理;
g)信息發(fā)布審核、合法資質(zhì)查驗(yàn)和公共信息巡查;
h)個(gè)人電子信息安全愛護(hù);
i)平安事務(wù)的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度;
j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。
1.1.2安全管理制度應(yīng)經(jīng)過(guò)管理層批準(zhǔn),并向全部員工宣貫。
2、機(jī)構(gòu)要求
2.1法律責(zé)任
2.1.1互聯(lián)網(wǎng)交互式服務(wù)供應(yīng)者應(yīng)是一個(gè)能夠擔(dān)當(dāng)法律責(zé)任的組織或個(gè)人。
2.1.2互聯(lián)網(wǎng)交互式服務(wù)供應(yīng)者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。
3、人員安全管理
3.1平安崗位管理制度
建立平安崗位管理制度,明確主辦人、主要負(fù)責(zé)人、平安責(zé)任人的職責(zé):崗位管理制度應(yīng)包括保密管理。
3.2關(guān)鍵崗位人員
3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)根據(jù)相關(guān)法律、法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求來(lái)執(zhí)行,包括:
、賯(gè)人身份核查;
、趥(gè)人履歷的核查;
、蹖W(xué)歷、學(xué)位、專業(yè)資質(zhì)證明;
、軓氖玛P(guān)鍵崗位所必需的實(shí)力;
3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。
3.3平安培訓(xùn)
建立平安培訓(xùn)制度,定期對(duì)全部工作人員進(jìn)行信息安全培訓(xùn),提高全員的信息安全意識(shí),包括:
、偕蠉徢暗呐嘤(xùn);
②平安制度及其修訂后的培訓(xùn);
③法律、法規(guī)的發(fā)展保持同步的接著培訓(xùn)。應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程:
a)剛好終止離崗員工的全部訪問權(quán)限;
b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開;
c)協(xié)作公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。
3.4人員離崗
應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程:
a)剛好終止離崗員工的全部訪問權(quán)限;
b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開;
c)協(xié)作公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。
4、訪問限制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。
4.2權(quán)限安排
按以下原則依據(jù)人員職責(zé)安排不同的訪問權(quán)限:
a)角色分別,如訪問懇求、訪問授權(quán)、訪問管理;
b)滿意工作須要的最小權(quán)限;
c)未經(jīng)明確允許,則一律禁止。
4.3特別權(quán)限限制和限制特別訪問權(quán)限的安排和運(yùn)用:
a)標(biāo)識(shí)出每個(gè)系統(tǒng)或程序的特別權(quán)限;
b)根據(jù)“按需運(yùn)用”、“一事一議”的原則安排特別權(quán)限;
c)記錄特別權(quán)限的授權(quán)與運(yùn)用過(guò)程;
d)特別訪問權(quán)限的安排須要管理層的批準(zhǔn)。
注:特別權(quán)限是系統(tǒng)超級(jí)用戶、數(shù)據(jù)庫(kù)管理等系統(tǒng)管理權(quán)限。
4.4權(quán)限的檢查
定期對(duì)訪問權(quán)限進(jìn)行檢查,對(duì)特別訪問權(quán)限的授權(quán)狀況應(yīng)在更常見的時(shí)間間隔內(nèi)進(jìn)行檢查,如發(fā)覺不恰當(dāng)?shù)臋?quán)限設(shè)置,應(yīng)剛好予以調(diào)整。
5、網(wǎng)絡(luò)與主機(jī)系統(tǒng)的平安
5.1 網(wǎng)絡(luò)與主機(jī)系統(tǒng)的平安
應(yīng)維護(hù)運(yùn)用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的平安,包括:
a)實(shí)施計(jì)算機(jī)病毒等惡意代碼的預(yù)防、檢測(cè)和系統(tǒng)被破壞后的復(fù)原措施;
b)實(shí)施7×24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測(cè)與響應(yīng)措施;
c)適用時(shí),對(duì)重要文件的完整性進(jìn)行檢測(cè),并具備文件完整性受到破壞后的復(fù)原措施;
d)對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估,并實(shí)行適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險(xiǎn)。注:系統(tǒng)脆弱性評(píng)估包括采納平安掃描、滲透測(cè)試等多種方式。
5.2備份
5.2.1應(yīng)建立備份策略,有足夠的備份設(shè)施,確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時(shí)可以復(fù)原。
5.2.2 網(wǎng)絡(luò)基礎(chǔ)服務(wù)(登錄、消息發(fā)布等)應(yīng)具備容災(zāi)實(shí)力。
5.3平安審計(jì)
5.3.1應(yīng)記錄用戶活動(dòng)、異樣狀況、故障和平安事務(wù)的日志。
5.3.2審計(jì)日志內(nèi)容應(yīng)包括:
a)用戶注冊(cè)相關(guān)信息,包括:
1)用戶唯一標(biāo)識(shí);
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號(hào)碼等;
4)注冊(cè)時(shí)間、IP地址及端口號(hào);
5)電子郵箱地址和于機(jī)號(hào)碼;
6)用戶備注信息;
7)用戶其他信息。
b)群組、頻道相關(guān)信息,包括:
1)創(chuàng)建時(shí)間、創(chuàng)建人、創(chuàng)建人IP地址及端口號(hào);
2)刪除時(shí)間、刪除人、刪除人IP地址及端口號(hào);
3)群組組織結(jié)構(gòu);
4)群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標(biāo)識(shí);
2)登錄時(shí)間;
3)退出時(shí)間;
4)IP地址及端口號(hào)。
d)用戶信息發(fā)布日志,包括:
1)用戶唯一標(biāo)識(shí);
2)信息標(biāo)識(shí);
3)信息發(fā)布時(shí)間;
4)IP地址及端口號(hào);
5)信息標(biāo)題或摘要,包括圖片摘要 。
e)用戶行為,包括:
1)進(jìn)出群組或頻道;
2)修改、刪除所發(fā)信息;
3)上傳、下載文件。
5.3.3應(yīng)確保審計(jì)日志內(nèi)容的可溯源性,即可追溯到真實(shí)的用戶ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件、短信息、網(wǎng)絡(luò)電話、即時(shí)消息、網(wǎng)絡(luò)閑聊等網(wǎng)絡(luò)消息服務(wù)供應(yīng)者應(yīng)能防范偽造、隱匿發(fā)送者真實(shí)標(biāo)記的消息的措施;涉及地址轉(zhuǎn)換技術(shù)的服務(wù),如移動(dòng)上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)審計(jì)轉(zhuǎn)換前后的地址與端口信息;涉及短網(wǎng)址服務(wù)的,應(yīng)審計(jì)原始URL與短UR L之間的'映射關(guān)系。
5.3.4應(yīng)愛護(hù)審計(jì)日志,保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程,防止刪除、修改或覆蓋審計(jì)日志。
5.3.5應(yīng)能夠依據(jù)公安機(jī)關(guān)要求留存具備指定信息訪問日志的留存功能。
5.3.6審計(jì)日志保存周期
a)應(yīng)永久保留用戶注冊(cè)信息、好友列表及歷史變更記錄,永久記錄閑聊室(頻道、群組)注冊(cè)信息、成員列表以及歷史變更記錄;
b)系統(tǒng)維護(hù)日志信息保存12個(gè)月以上;
c)應(yīng)留存用戶日志信息12個(gè)月以上;
d)對(duì)用戶發(fā)布的信息內(nèi)容保存6個(gè)月以上;
e)已下線的系統(tǒng)的日志保存周期也應(yīng)符合以上規(guī)定。
6、應(yīng)用平安
6.1用戶管理
6.1.1向用戶宣揚(yáng)法律法規(guī),應(yīng)在用戶注冊(cè)時(shí),與用戶簽訂服務(wù)協(xié)議,告知相關(guān)權(quán)利義務(wù)及需擔(dān)當(dāng)?shù)姆韶?zé)任。
6.1.2建立用戶管理制度,包括:
a)用戶實(shí)名登記真實(shí)身份信息,并對(duì)用戶真實(shí)身份信息進(jìn)行有效核驗(yàn),有校核驗(yàn)方法可追溯到用戶登記的真實(shí)身份,如:
1)身份證與姓名實(shí)名驗(yàn)證服務(wù);
2)有效的銀行卡;
3)合法、有效的數(shù)字證書;
4)已確仔細(xì)實(shí)身份的網(wǎng)絡(luò)服務(wù)的注冊(cè)用戶;
5)經(jīng)電信運(yùn)營(yíng)商接入實(shí)名認(rèn)證的用戶。(如某網(wǎng)站采納已經(jīng)實(shí)名認(rèn)證的第三方賬號(hào)登陸,可認(rèn)為該網(wǎng)站的用戶已進(jìn)行有效核驗(yàn)。)
b)應(yīng)對(duì)用戶注冊(cè)的賬號(hào)、頭像和備注等信息進(jìn)行審核,禁止運(yùn)用違反法律法規(guī)和社會(huì)道德的內(nèi)容;
c)建立用戶黑名單制度,對(duì)網(wǎng)站自行發(fā)覺以及公安機(jī)關(guān)通報(bào)的多次、大量發(fā)送傳播違法有害信息的用戶納應(yīng)入黑名單管理。
6.1.3當(dāng)用戶利用互聯(lián)網(wǎng)從事的服務(wù)須要行政許可時(shí),應(yīng)查驗(yàn)其合法資質(zhì),查驗(yàn)可以通過(guò)以下方法進(jìn)行:
a)核對(duì)行政許可文件;
b)通過(guò)行政許可主管部門的公開信息;
c)通過(guò)行政許可主管部門的驗(yàn)證電話、驗(yàn)證平臺(tái)。
6.2違法有害信息防范和處置
6.2.1公司實(shí)行管理與技術(shù)措施,剛好發(fā)覺和停止違法有害信息發(fā)布。
6.2.2公司采納人工或自動(dòng)化方式,對(duì)發(fā)布的信息逐條審核。
實(shí)行技術(shù)措施過(guò)濾違法有害信息,包括且不限于:
a)基于關(guān)鍵詞的文字信息屏蔽過(guò)濾;
b)基于樣本數(shù)據(jù)特征值的文件屏蔽過(guò)濾;
c)基于URL的屏蔽過(guò)濾。
6.2.3應(yīng)實(shí)行技術(shù)措施對(duì)違法有害信息的來(lái)源實(shí)施限制,防止接著傳播。
注:違法有害信息來(lái)源限制技術(shù)措施包括但不限于:封禁特定帳號(hào)、禁止新建帳號(hào)、禁止共享、禁止留言及回復(fù)、限制特定發(fā)布來(lái)源、限制特定地區(qū)或指定IP帳號(hào)登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。
6.2.4公司建立7*24h信息巡查制度,剛好發(fā)覺并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異樣狀況報(bào)告、平安提示和案件調(diào)差協(xié)作制度,包括:
a)對(duì)發(fā)覺的違法有害信息,馬上停止發(fā)布傳輸,保留相關(guān)證據(jù)(包括用戶注冊(cè)信息、用戶登錄信息、用戶發(fā)布信息等記錄),并向?qū)俚毓矙C(jī)關(guān)報(bào)告;
b)對(duì)于煽動(dòng)非法聚集、策劃恐怖活動(dòng)、揚(yáng)言實(shí)施個(gè)人極端暴力行為等重要狀況或重大緊急事務(wù)馬上向?qū)俚毓矙C(jī)關(guān)報(bào)告,同時(shí)協(xié)作公安機(jī)關(guān)做好調(diào)查取證工作。
6.2.6與公安機(jī)關(guān)建立7*24h違法有害信息快速處置工作機(jī)制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及共享中的任何一個(gè)環(huán)節(jié)應(yīng)能再5min之內(nèi)刪除,相關(guān)的屏蔽過(guò)濾措施應(yīng)在10min內(nèi)生效。
6.3破壞性程序防范
6.3.1實(shí)施破壞性程序的發(fā)覺和停止發(fā)布措施、并保留發(fā)覺的破壞性程序的相關(guān)證據(jù)。
6.3.2對(duì)軟件下載服務(wù)供應(yīng)者(包括應(yīng)用軟件商店),檢查用戶發(fā)布的軟件是否是計(jì)算機(jī)病毒等惡意代碼。
7、個(gè)人電子信息愛護(hù)
7.1.1制定明確、清晰的個(gè)人電子信息處置規(guī)則,并且在顯著位置予以公示。在用戶注冊(cè)時(shí),在與用戶簽訂服務(wù)協(xié)議中明示收集與運(yùn)用個(gè)人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實(shí)現(xiàn)正值商業(yè)目的和供應(yīng)網(wǎng)絡(luò)服務(wù)所必需的個(gè)人信息;收集個(gè)人電子信息時(shí),取得用戶的明確授權(quán)同意;公司在姜個(gè)人電子信息交給第三方處理時(shí),處理方符合本制度標(biāo)準(zhǔn)的要求,并取得用戶明確授權(quán)同意;法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。
7.1.3公司在修改個(gè)人電子信息處理時(shí),應(yīng)告知用戶,并取得其同意。
7.2技術(shù)措施
公司建立覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)的平安愛護(hù)制度和技術(shù)措施,防止個(gè)人電子信息泄露、損毀、丟失,包括:
a)采納加密方式保存用戶密碼等重要信息;
b)審計(jì)內(nèi)部員工對(duì)涉及個(gè)人電子信息的全部操作,并對(duì)審計(jì)進(jìn)行分析,預(yù)防內(nèi)部員工有意泄露;
c)審計(jì)個(gè)人電子信息上載、存儲(chǔ)或傳輸,作為信息泄露,毀損,丟失的查詢依據(jù);
d)建立程序來(lái)限制對(duì)涉及個(gè)人電子信息的系統(tǒng)和服務(wù)的訪問權(quán)的安排。這些程序涵蓋用戶訪問生存周期內(nèi)的各個(gè)階段,從新用戶初始注冊(cè)到不再須要訪問信息系統(tǒng)和服務(wù)的用戶的最終撤銷;
e)系統(tǒng)的平安保障技術(shù)措施覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié),防止網(wǎng)絡(luò)違法犯罪活動(dòng)竊取信息,降低個(gè)人電子信息泄露的風(fēng)險(xiǎn)。
7.3個(gè)人信息泄露事務(wù)的處理
a)當(dāng)發(fā)覺個(gè)人電子信息泄露時(shí)間后,應(yīng)馬上實(shí)行補(bǔ)救措施,防止信息接著泄露;
b)24小時(shí)內(nèi)告知用戶,依據(jù)用戶初始注冊(cè)信息重新激活賬戶,避開造成更大的損失馬上告屬地公安機(jī)關(guān)。
8、平安事務(wù)管理
8.1平安時(shí)間管理制度
8.1.1建立平安事務(wù)的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度,確保快速有效和有序地響應(yīng)平安事務(wù)。
8.1.2平安事務(wù)包括違法有害信息、危害計(jì)算機(jī)信息系統(tǒng)平安的異樣狀況及突發(fā)公共事務(wù)。
8.2應(yīng)急預(yù)案
制定平安事務(wù)應(yīng)急處置預(yù)案,向?qū)俚毓矙C(jī)關(guān)珍寶,并定期開展應(yīng)急演練。
8.3突發(fā)公共事務(wù)處理
突發(fā)公共事務(wù)分為四級(jí):I級(jí)(特殊重大)、II級(jí)(重大)、III級(jí)(較大)、IV級(jí)(一般),互聯(lián)網(wǎng)交互式服務(wù)供應(yīng)者應(yīng)建立相應(yīng)處置機(jī)制,當(dāng)突發(fā)公共事務(wù)發(fā)生后,投入相應(yīng)的人力與技術(shù)措施開展處置工作:
a)I級(jí):應(yīng)投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級(jí):應(yīng)投入安全管理等部門50% —80%的人力開展處置工作;
c)III級(jí):應(yīng)投入安全管理等部門30%—50%的人力開展處置工作;
d)IV級(jí):應(yīng)投入安全管理等部門30%的人力開展處置工作。
8.4技術(shù)接口
公司網(wǎng)站所設(shè)技術(shù)接口為公安機(jī)關(guān)供應(yīng)的符合國(guó)家及公共平安行業(yè)標(biāo)準(zhǔn)的技術(shù)接口,能確保實(shí)時(shí),有效地供應(yīng)相關(guān)證據(jù)。
信息安全管理制度13
醫(yī)院信息安全管理制度:
一、信息系統(tǒng)安全包括:軟件安全和硬件網(wǎng)絡(luò)安全兩部分。
二、網(wǎng)絡(luò)信息辦公室人員必須采取有效的方法和技術(shù),防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密;硬件破壞及失效等災(zāi)難性故障。
三、對(duì)HIS系統(tǒng)用戶的訪問模塊、訪問權(quán)限由院長(zhǎng)提出后,由網(wǎng)絡(luò)信息辦公室人員給予配置,以后變更必須報(bào)批后才能更改,網(wǎng)絡(luò)信息辦公室做好變更日志存檔。
四、系統(tǒng)管理人員應(yīng)熟悉并嚴(yán)格監(jiān)督數(shù)據(jù)庫(kù)使用權(quán)限、用戶密碼使用情況,定期更換用戶口令或密碼。網(wǎng)絡(luò)管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時(shí)內(nèi)由網(wǎng)絡(luò)信息辦公室人員監(jiān)督檢查更換新的密碼。
五、網(wǎng)絡(luò)信息辦公室人員要主動(dòng)對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)行監(jiān)控、查詢,及時(shí)對(duì)故障進(jìn)行有效隔離、排除和恢復(fù)工作,以防災(zāi)難性網(wǎng)絡(luò)風(fēng)暴發(fā)生。
六、網(wǎng)絡(luò)系統(tǒng)所有設(shè)備的配置、安裝、調(diào)試必須由網(wǎng)絡(luò)信息辦公室人負(fù)責(zé),其他人員不得隨意拆卸和移動(dòng)。
七、上網(wǎng)操作人員必須嚴(yán)格遵守計(jì)算機(jī)及其他相關(guān)設(shè)備的操作規(guī)程,禁止其他人員進(jìn)行與系統(tǒng)操作無(wú)關(guān)的工作。
八、嚴(yán)禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。 九、所有進(jìn)入網(wǎng)絡(luò)的光盤、U 盤等其他存貯介質(zhì),必須經(jīng)過(guò)網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人同意并查毒,未經(jīng)查毒的存貯介質(zhì)絕對(duì)禁止上網(wǎng)使用,對(duì)造成“病毒"蔓延的有關(guān)人員,將對(duì)照《計(jì)算機(jī)信息系統(tǒng)處罰條例》進(jìn)行相應(yīng)的經(jīng)濟(jì)和行政處罰。
十、在醫(yī)院還沒有有效解決網(wǎng)絡(luò)安全(未安裝防火墻、高端殺毒軟件、入侵檢測(cè)系統(tǒng)和堡壘主機(jī))的`情況下,內(nèi)外網(wǎng)獨(dú)立運(yùn)行,所有終端內(nèi)外網(wǎng)不能混接。
十一、內(nèi)網(wǎng)用戶所有文件傳遞,不得利用光盤和U 盤等存貯介質(zhì)進(jìn)行拷貝。 十二、保持計(jì)算機(jī)硬件網(wǎng)絡(luò)設(shè)備清潔衛(wèi)生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網(wǎng)絡(luò)信息辦公室人員有權(quán)監(jiān)督和制止一切違反安全管理的行為。
十四、 信息系統(tǒng)故障應(yīng)急預(yù)案:
1、對(duì)網(wǎng)絡(luò)故障的判斷:當(dāng)網(wǎng)絡(luò)系統(tǒng)終端發(fā)現(xiàn)計(jì)算機(jī)訪問數(shù)據(jù)庫(kù)速度遲緩、不能進(jìn)入相應(yīng)程序、不能保存數(shù)據(jù)、不能訪問網(wǎng)絡(luò)、應(yīng)用程序非連續(xù)性工作時(shí),要立即向網(wǎng)絡(luò)信息辦公室匯報(bào),網(wǎng)絡(luò)信息辦公室工作人員對(duì)科室提出的上述問題必須重視,經(jīng)核實(shí)后給予科室反饋信息。網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人應(yīng)召集有關(guān)人員及時(shí)進(jìn)行討論,如果故障原因明確,可以立刻恢復(fù)工作的,應(yīng)立即恢復(fù)工作;如故障原因不明確、情況嚴(yán)重不能在短期內(nèi)排除的,應(yīng)立即報(bào)告院領(lǐng)導(dǎo),在網(wǎng)絡(luò)不能運(yùn)轉(zhuǎn)的情況下由機(jī)關(guān)協(xié)調(diào)全院工作以保障醫(yī)療工作的正常運(yùn)轉(zhuǎn)。
2、網(wǎng)絡(luò)故障分為三類:
。1)一類故障:服務(wù)器不能工作;光纖損壞;主服務(wù)器數(shù)據(jù)丟失;備份盤損壞;服務(wù)器工作不穩(wěn)定;局部網(wǎng)絡(luò)不通;數(shù)據(jù)被人刪改;重點(diǎn)終端故障;規(guī)律性的整體、局部軟、硬件故障。
。2)二類故障:?jiǎn)我唤K端軟、硬件故障;單一患者信息丟失;偶然性的數(shù)據(jù)處理錯(cuò)誤;某些科室違反工作流程要求。
。3)三類故障:各終端由于不熟練或使用不當(dāng)造成的錯(cuò)誤。
信息安全管理制度14
為維護(hù)公司信息安全,保證公司網(wǎng)絡(luò)環(huán)境的穩(wěn)定,特制定本制度。
第一條信息安全是指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))和密碼技術(shù),愛護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。詳細(xì)包括以下幾個(gè)方面。
1、信息處理和傳輸系統(tǒng)的平安。系統(tǒng)管理員應(yīng)對(duì)處理信息的系統(tǒng)進(jìn)行具體的平安檢查和定期維護(hù),避開因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
2、信息內(nèi)容的平安。側(cè)重于愛護(hù)信息的機(jī)密性、完整性和真實(shí)性。系統(tǒng)管理員應(yīng)對(duì)所負(fù)責(zé)系統(tǒng)的平安性進(jìn)行評(píng)測(cè),實(shí)行技術(shù)措施對(duì)所發(fā)覺的漏洞進(jìn)行補(bǔ)救,防止竊取、冒充信息等。
3、信息傳播平安。要加強(qiáng)對(duì)信息的審查,防止和限制非法、有害的信息通過(guò)本公司的信息網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))系統(tǒng)傳播,避開對(duì)公司利益、公共利益以及個(gè)人利益造成損害。
第二條信息的內(nèi)部管理
1、各部門在向網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))系統(tǒng)提交信息前要作好查毒、殺毒工作,確保信息文件無(wú)毒上載;
2、依據(jù)狀況,實(shí)行網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))病毒監(jiān)測(cè)、查毒、殺毒等技術(shù)措施,提高網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))的整體搞病毒實(shí)力;
3、各信息應(yīng)用部門對(duì)本部門所負(fù)責(zé)的信息必需作好備份;
4、各部門應(yīng)對(duì)本部門的信息進(jìn)行審查,網(wǎng)站各欄目信息的負(fù)責(zé)部門必需對(duì)發(fā)布信息制定審查制度,對(duì)信息來(lái)源的合法性,發(fā)布范圍,信息欄目維護(hù)的負(fù)責(zé)人等作出明確的規(guī)定。信息發(fā)布后還要隨時(shí)檢查信息的完整性、合法性;如發(fā)覺被刪改,應(yīng)剛好向信息安全部門報(bào)告;
5、涉密文件不行放置個(gè)人計(jì)算機(jī)中,非涉密電子郵件的收發(fā)也要實(shí)行病毒查殺。
第三條信息加密
1、涉及公司隱私的.信息,其電子文檔資料應(yīng)當(dāng)在涉密介質(zhì)中加密單獨(dú)存儲(chǔ);
2、涉及公司和部門利益的敏感信息的電子文檔資料應(yīng)當(dāng)在涉密介質(zhì)中加密單獨(dú)存儲(chǔ);
第四條任何部門和個(gè)人不得從事以下活動(dòng):
1、利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息;
2、入侵他人計(jì)算機(jī);
3、未經(jīng)允許運(yùn)用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息;
4、未經(jīng)授權(quán)對(duì)網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序)進(jìn)行增加、修改、復(fù)制和刪除等;
5、未經(jīng)授權(quán)查閱他人郵件;
6、盜用他人名義發(fā)送電子郵件;
7、有意干擾網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))的暢通運(yùn)行;
8、從事其他危害信息網(wǎng)絡(luò)(內(nèi)部信息平臺(tái))系統(tǒng)平安的活動(dòng)。
第五條本制度自發(fā)布之日起施行,凡與本制度有沖突的均以本制度為準(zhǔn)。
信息安全管理制度15
總則
第一條、為加強(qiáng)公司網(wǎng)絡(luò)管理,明確崗位職責(zé),規(guī)范操作流程,維護(hù)網(wǎng)絡(luò)正常運(yùn)行,確保計(jì)算機(jī)信息系統(tǒng)的安全,現(xiàn)根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理辦法》等有關(guān)規(guī)定,結(jié)合本公司實(shí)際,特制訂本制度。
第二條、IT信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。
第三條、公司設(shè)立信息部,專門負(fù)責(zé)本公司范圍內(nèi)的IT信息系統(tǒng)安全管理工作。
第一章網(wǎng)絡(luò)管理
第四條、遵守國(guó)家有關(guān)法律、法規(guī),嚴(yán)格執(zhí)行安全保密制度,不得利用網(wǎng)絡(luò)從事危害國(guó)家安全、泄露國(guó)家秘密等違法犯罪活動(dòng),不得制作、瀏覽、復(fù)制、傳播反動(dòng)及色情信息,不得在網(wǎng)絡(luò)上發(fā)布反動(dòng)、非法和虛假的消息,不得在網(wǎng)絡(luò)上漫罵攻擊他人,不得在網(wǎng)上泄露他人隱私。嚴(yán)禁通過(guò)網(wǎng)絡(luò)進(jìn)行任何黑客活動(dòng)和性質(zhì)類似的破壞活動(dòng),嚴(yán)格控制和防范計(jì)算機(jī)病毒的侵入。
第五條、各終端計(jì)算機(jī)入網(wǎng),須填寫《入網(wǎng)申請(qǐng)表》,經(jīng)批準(zhǔn)后由信息部統(tǒng)一辦理入網(wǎng)對(duì)接,未進(jìn)行安全配置、未裝防火墻或殺毒軟件的計(jì)算機(jī),不得入網(wǎng)。各計(jì)算機(jī)終端用戶應(yīng)定期對(duì)計(jì)算機(jī)系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新,并定期進(jìn)行病毒清查,不要下載和使用未經(jīng)測(cè)試和來(lái)歷不明的軟件、不要打開來(lái)歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質(zhì)。
第六條、上班時(shí)間不得查閱娛樂性內(nèi)容,不得玩網(wǎng)絡(luò)游戲和進(jìn)行網(wǎng)絡(luò)聊天,不得觀看、下載大量消耗網(wǎng)絡(luò)帶寬的影視、音樂等多媒體信息。
第七條、禁止未授權(quán)用戶接入公司計(jì)算機(jī)網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)中的資源,禁止所有用戶使用迅雷、BT、電驢等占用大量帶寬的下載工具。
第八條、禁止所有員工私自下載、安裝與工作無(wú)關(guān)的軟件、程序,如因此而感染病毒造成故障者,按相關(guān)處罰條例嚴(yán)厲處罰。
第九條、任何員工不得制造或者故意輸入、傳播計(jì)算機(jī)病毒和其他有害數(shù)據(jù),不得利用非法手段復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)。
第十條、員工在受到病毒或木馬攻擊時(shí),應(yīng)及時(shí)記錄好中毒現(xiàn)象描述和備份好C盤資料及重要數(shù)據(jù),并通知網(wǎng)絡(luò)管理員檢修,并做好檢修記錄。
第十一條、公司員工禁止利用掃描、監(jiān)聽、偽裝等工具對(duì)網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊,禁止非法侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng),禁止利用計(jì)算機(jī)和網(wǎng)絡(luò)干擾他人正常工作的行為。
第十二條、IP地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源,計(jì)算機(jī)各終端用戶應(yīng)在信息部的規(guī)劃下使用這些資源,嚴(yán)禁擅自更改。另外,某些系統(tǒng)服務(wù)對(duì)網(wǎng)絡(luò)產(chǎn)生影響,計(jì)算機(jī)各終端用戶應(yīng)在信息部的指導(dǎo)下使用,禁止隨意開啟計(jì)算機(jī)中的系統(tǒng)服務(wù),保證計(jì)算機(jī)網(wǎng)絡(luò)暢通運(yùn)行。
第二章設(shè)備管理
第十三條、公司員工因工作需要,確需購(gòu)買IT設(shè)備或配件的,可向行政人事部申請(qǐng)并交由信息部具體辦理,若有符合需求的可調(diào)配設(shè)備,由申請(qǐng)人填寫《IT設(shè)備調(diào)配表》;若無(wú)可調(diào)配或有但不符合工作需要的設(shè)備,由申請(qǐng)人填寫《IT設(shè)備購(gòu)買申請(qǐng)表》。交所在部門經(jīng)理簽字并報(bào)公司分管領(lǐng)導(dǎo)審批后再行調(diào)配或采購(gòu)。若因工作需要對(duì)設(shè)備配置有特殊要求的,需在申請(qǐng)表中說(shuō)明。
第十四條、所有新購(gòu)IT設(shè)備,必須先到信息部辦理登記領(lǐng)用手續(xù)后方可到財(cái)務(wù)部報(bào)帳核銷,無(wú)此手續(xù)者,財(cái)務(wù)不予報(bào)銷。
第十五條、凡登記在案的IT設(shè)備,由信息部統(tǒng)一管理并張貼IT設(shè)備卡。IT設(shè)備卡作為相應(yīng)設(shè)備的標(biāo)識(shí),各終端用戶有義務(wù)保證貼牌的.整潔與完整,不得遮蓋、撕毀、涂畫等
第十六條、各部門負(fù)責(zé)人為該部門IT設(shè)備直接監(jiān)管人,對(duì)本部門的所有IT設(shè)備有實(shí)時(shí)實(shí)地監(jiān)管的義務(wù)。當(dāng)部門負(fù)責(zé)人因特殊情況不能直接監(jiān)管時(shí)應(yīng)指定本部門中另外一人承擔(dān)此義務(wù),并報(bào)公司批準(zhǔn),信息部備案。
第十七條、IT設(shè)備安全管理實(shí)行“誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則(公用設(shè)備責(zé)任落實(shí)到部門)。凡分支機(jī)構(gòu)或合作單位自行購(gòu)買的設(shè)備,原則上由分支機(jī)構(gòu)或合作單位指定專人登記和監(jiān)察,按公司要求保管好相關(guān)資料和信息,并報(bào)信息部備案歸檔,若有需要,信息部可協(xié)助處理。
第十八條、嚴(yán)禁擅自移動(dòng)和裝拆各類設(shè)備及其他輔助設(shè)備;嚴(yán)禁擅自請(qǐng)人維修;嚴(yán)禁擅自調(diào)整部門內(nèi)部計(jì)算機(jī),調(diào)整計(jì)算機(jī)一律由行政人事部安排,信息部具體辦理備案。
第十九條、設(shè)備硬件或重裝操作系統(tǒng)等問題由信息部進(jìn)行處理,首先由該設(shè)備終端用戶填寫《IT設(shè)備維修申請(qǐng)表》,在收到《IT設(shè)備維修申請(qǐng)表》后,信息部應(yīng)及時(shí)調(diào)集力量予以處理。未填寫或是不填寫《IT設(shè)備維修申請(qǐng)表》而要求維修,信息部可以不予辦理。
第二十條、原購(gòu)IT設(shè)備原則上在規(guī)定使用年限內(nèi)不再重復(fù)購(gòu)買,達(dá)到規(guī)定使用年限后,由信息部會(huì)同相關(guān)部門對(duì)其審核后處理。在規(guī)定使用年限期間,計(jì)算機(jī)終端用戶因工作需要發(fā)生調(diào)動(dòng)或離職,需要繼續(xù)使用該計(jì)算機(jī)的應(yīng)在信息部作變更備案;不繼續(xù)使用該計(jì)算機(jī)的,部門領(lǐng)導(dǎo)需監(jiān)督責(zé)任人將計(jì)算機(jī)及相關(guān)設(shè)備及時(shí)退回信息部,由信息部再行調(diào)配。
第二十一條、設(shè)備出現(xiàn)故障無(wú)法維修或維修成本過(guò)高,且符合報(bào)廢條件的,由IT設(shè)備終端用戶提出申請(qǐng),并填寫《IT設(shè)備報(bào)廢申請(qǐng)表》,由相應(yīng)部門經(jīng)理簽字后報(bào)信息部。經(jīng)信息部對(duì)設(shè)備使用年限、維修情況等進(jìn)行鑒定,將報(bào)廢設(shè)備交有關(guān)部門處理,如報(bào)廢設(shè)備能出售,將收回的資金交公司財(cái)務(wù)入賬。同時(shí),由信息部對(duì)報(bào)廢設(shè)備登記備案、存檔。
第三章數(shù)據(jù)管理
第二十二條、計(jì)算機(jī)終端用戶計(jì)算機(jī)內(nèi)的資料涉及公司秘密的,應(yīng)該為計(jì)算機(jī)設(shè)定開機(jī)密碼或?qū)⑽募用?凡涉及公司機(jī)密的數(shù)據(jù)或文件,非工作需要不得以任何形式轉(zhuǎn)移,更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存。
第二十三條、為保證數(shù)據(jù)安全,凡涉及保密資料的電腦一概封閉光驅(qū)、軟驅(qū)、USB接口;嚴(yán)禁拆除機(jī)箱及解除封閉,私自使用USB接口,一經(jīng)發(fā)現(xiàn)嚴(yán)肅警告并處以50元以下罰款。
第二十四條、有軟驅(qū)和光驅(qū)的電腦,嚴(yán)格控制軟驅(qū)和光驅(qū)的使用,禁止隨意安裝或卸載軟件。
第二十五條、工作范圍內(nèi)的重要數(shù)據(jù)(重要程度由各部門經(jīng)理核定)由計(jì)算機(jī)終端用戶定期更新、備份,并提交給所在部門經(jīng)理,由部門經(jīng)理負(fù)責(zé)保存。各部門經(jīng)理在一個(gè)季度開始后10天之內(nèi)將本部門上一季度的工作數(shù)據(jù)交信息部匯集后統(tǒng)一采用磁性介質(zhì)或光盤保存。
第二十六條、計(jì)算機(jī)終端用戶務(wù)必將有價(jià)值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū),一般是C盤)外的盤上。計(jì)算機(jī)信息系統(tǒng)發(fā)生故障,應(yīng)及時(shí)與信息部聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施。
第二十七條、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對(duì)重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份,存放在不同的地點(diǎn);對(duì)采用磁性介質(zhì)或光盤保存的數(shù)據(jù),要定期進(jìn)行檢查,定期進(jìn)行復(fù)制,防止由于磁性介質(zhì)損壞,而使數(shù)據(jù)丟失;做好防磁、防火、防潮和防塵工作。
第四章操作管理
第二十八條、凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負(fù)責(zé)。嚴(yán)禁利用計(jì)算機(jī)干與工作無(wú)關(guān)的事情;嚴(yán)禁除維修人員以外的外="http://www.com/yangsheng/kesou/" target="_blank">咳嗽輩僮鞲骼嗌璞?嚴(yán)禁非信息部人員隨意更改設(shè)備配置。
第五章網(wǎng)站管理
第二十九條、公司網(wǎng)站由信息部提供技術(shù)支持和后臺(tái)管理,由公司相關(guān)部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設(shè)資料。
第三十條、有以下情況之一者,視情節(jié)嚴(yán)重程度處以50元以上500元以下罰款。構(gòu)成犯罪的,依法追究刑事責(zé)任。
(一)制造或者故意輸入、傳播計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)的;
(二)非法復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)安全的;
(三)對(duì)網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊,侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng),利用計(jì)算機(jī)和網(wǎng)絡(luò)干擾他人正常工作;
(四)訪問未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置;
(五)申請(qǐng)人在設(shè)備領(lǐng)用或報(bào)廢一周之內(nèi)未將第二章所涉及到的表單交會(huì)信息部;
(六)擅自與他人更換使用計(jì)算機(jī)或相關(guān)設(shè)備;
(七)擅自調(diào)整部門內(nèi)部計(jì)算機(jī)的安排且未向行政部備案;
(八)日常抽查、崗位調(diào)動(dòng)、離職時(shí)檢查到計(jì)算機(jī)配置與該計(jì)算機(jī)檔案不符、IT設(shè)備卡被撕毀、涂畫或遮蓋等。
(九)工作時(shí)間外使用公司計(jì)算機(jī)做與工作無(wú)關(guān)的事務(wù);
(十)相同故障出現(xiàn)三次以上(包括三次)仍無(wú)法自行處理的;
(十一)因工作需要長(zhǎng)時(shí)間(五個(gè)小時(shí)以上)離開辦公位置或下班后無(wú)故未將計(jì)算機(jī)關(guān)閉;
(十二)擅自更改IP,造成網(wǎng)絡(luò)故障者;
(十三)私拉亂接網(wǎng)線,擅自亂動(dòng)網(wǎng)絡(luò)設(shè)備,造成網(wǎng)絡(luò)故障者;
第三十一條、計(jì)算機(jī)終端用戶因主觀操作不當(dāng)對(duì)設(shè)備造成破壞兩次以上或蓄意對(duì)設(shè)備造成破壞的,視情節(jié)嚴(yán)重,按所破壞設(shè)備市場(chǎng)價(jià)值的20%~100%賠償,并給予行政和經(jīng)濟(jì)處罰。
第三十二條、計(jì)算機(jī)系統(tǒng)和殺毒軟件由公司統(tǒng)一安裝,設(shè)置好計(jì)算機(jī)信息(我的電腦-屬性)。具體格式為計(jì)算機(jī)名:UPTONXX-YYY,XX是公司計(jì)算機(jī)的編號(hào),YYY是計(jì)算機(jī)使用者名字偷字母,計(jì)算機(jī)描述:XX部門XXX。
第七章附則
第三十三條本制度下列用語(yǔ)的含義:
設(shè)備:指為完成工作而購(gòu)買的筆記本電腦、臺(tái)式電腦、移動(dòng)硬盤、U盤、錄音筆、照相機(jī)、攝像機(jī)、打印機(jī)、復(fù)印機(jī)、傳真機(jī)、掃描儀等公司所有IT設(shè)備。
有害數(shù)據(jù):指與計(jì)算機(jī)信息系統(tǒng)相關(guān)的,含有危害計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行的程序,或者對(duì)國(guó)家和社會(huì)公共安全構(gòu)成危害或潛在威脅的數(shù)據(jù)。
合法用戶:經(jīng)信息部授權(quán)使用本公司網(wǎng)絡(luò)資源的本公司員工,其余均為非法用戶。
第三十四條、計(jì)算機(jī)終端用戶應(yīng)積極配合信息部共同做好計(jì)算機(jī)信息系統(tǒng)安全管理工作。
第三十五條、本制度適用于全公司范圍,由行政人事部負(fù)責(zé)解釋、修訂。
第三十六條、本制度自發(fā)布之日起實(shí)施,凡原制度與本制度不相符的,照本制度執(zhí)行。
【信息安全管理制度】相關(guān)文章:
信息安全管理制度09-10
信息安全管理制度08-13
信息安全的管理制度01-31
公司信息安全管理制度11-04
信息安全管理制度匯編09-20
醫(yī)院信息安全管理制度01-31
企業(yè)信息安全管理制度04-04
信息安全保密管理制度(精選10篇)03-12