信息安全管理制度(通用5篇)
在日新月異的現(xiàn)代社會中,制度起到的作用越來越大,制度是指在特定社會范圍內統(tǒng)一的、調節(jié)人與人之間社會關系的一系列習慣、道德、法律(包括憲法和各種具體法規(guī))、戒律、規(guī)章(包括政府制定的條例)等的總和它由社會認可的非正式約束、國家規(guī)定的正式約束和實施機制三個部分構成。我敢肯定,大部分人都對擬定制度很是頭疼的,以下是小編整理的信息安全管理制度(通用5篇),希望能夠幫助到大家。
信息安全管理制度1
一、人員方面
1.建立網(wǎng)絡與信息安全應急領導小組;落實具體的安全管理人員。以上人員要提供24小時有效、暢通的聯(lián)系方式。
2.對安全管理人員進行基本培訓,提高應急處理能力。
3.進行全員網(wǎng)絡安全知識宣傳教育,提高安全意識。
二、設備方面
1.對電腦采取有效的安全防護措施(及時更新系統(tǒng)補丁,安裝有效的防病毒軟件等)。
2.強化無線網(wǎng)絡設備的安全管理(設置有效的管理口令和連接口令,防止校園周邊人員入侵網(wǎng)絡;如果采用自動分配IP地址,可考慮進行Mac地址綁定)。
3.不用的信息系統(tǒng)及時關閉(如有些系統(tǒng)只是在開學、期末、某一階段使用幾天,寒暑假不使用的系統(tǒng)應當關閉);
4.注意有關密碼的保密工作并牢記密碼,定期更改相關密碼,注意密碼的復雜度,至少8位以上,建議使用字母加數(shù)字加特殊符號的組合方式;
5.修改默認密碼,不能使用默認的統(tǒng)一密碼;
6.在信息系統(tǒng)正常部署完成后,應該修改系統(tǒng)后臺調試期間的密碼,不應該繼續(xù)使用工程師調試系統(tǒng)時所使用的密碼;
7.正常工作日應該保證至少登錄、瀏覽一次系統(tǒng)相關頁面,及時發(fā)現(xiàn)有無被篡改等異,F(xiàn)象,特殊時間應增加檢查頻率;
8.服務器上安裝殺毒軟件(保持升級到最新版),至少每周對操作系統(tǒng)進行一次病毒掃描檢查、修補系統(tǒng)漏洞,檢查用戶數(shù)據(jù)是否有異常(例如增加了一些非管理員添加的用戶),檢查安裝的軟件是否有異常(例如出現(xiàn)了一些不是管理員安裝的未知用途的程序);
9.對上網(wǎng)信息(會發(fā)布在前臺的文字、圖片、音視頻等),應該由兩位以上工作人員仔細核對無誤后,再發(fā)布到網(wǎng)站、系統(tǒng)中;
10.對所有的上傳信息,應該有敏感字、關鍵字過濾、特征碼識別等檢測;
11.系統(tǒng)、網(wǎng)站的重要數(shù)據(jù)和數(shù)據(jù),每學期定期做好有關數(shù)據(jù)的備份工作,包括本地備份和異地備份;
12.有完善的運行日志和用戶操作日志,并能記錄源端口號;
13.保證頁面正常運行,不出現(xiàn)404錯誤等;
14.加強電腦的使用管理(專人專管,誰用誰負責;電腦設置固定IP地址,并登記備案)。
15.在變更系統(tǒng)管理員、信息員時,應該做好交接工作,避免影響系統(tǒng)的正常運行,管理員變更后,相關密碼也應該隨之變更;
16.對于所管理的系統(tǒng)中的子帳號,在相關人員離職等原因不再管理時,應該將有關帳號禁用或刪除,避免帶來安全隱患;
三、事故處置和匯報
1.發(fā)生網(wǎng)絡及信息安全事故,無法立即處理的,要及時斷網(wǎng)(值班人員要會進行斷網(wǎng)操作);并保護好相關現(xiàn)場(主要是電腦和網(wǎng)絡設備),以便有關部門處理。
2.發(fā)生網(wǎng)絡和信息安全事故要及時逐級匯報。
信息安全管理制度2
一、中小學校園網(wǎng)是學,F(xiàn)代化發(fā)展重要組成部份,是學校數(shù)字化教育資源中心、信息發(fā)布交流技術平臺,是全面實施素質教育和新課程改革的重要場所,務必高度重視、規(guī)范管理、發(fā)揮效益。
二、中小學校園網(wǎng)要按照教育部《中小學校園網(wǎng)建設指導意見》設計和建設,裝備調溫、調濕、穩(wěn)壓、接地、防雷、防火、防盜等設備。
三、中小學校園網(wǎng)涉及網(wǎng)絡技術設備管理與維護、網(wǎng)絡線路管理與維護,終端用戶管理與監(jiān)控,教育資源管理與開發(fā)、網(wǎng)絡信息管理與安全、教學管理與效益等技術性強、安全性要求高的具體業(yè)務工作,務必設置管理機構,校級領導主管,配置精通計算機及網(wǎng)絡技術、電子維修技術,具備教師職業(yè)道德、熱愛本職工作的專業(yè)技術人員從事管理工作。
四、中小學校園網(wǎng)是學校的公共基礎設施和固定資產,未經學校批準,任何部門和個人不得隨意拆卸或改動布線結構;不得移動或改動網(wǎng)絡設備位置;不得干擾、破壞網(wǎng)絡正常運行。所有設備、成套軟件納入固定資產規(guī)范管理。
五、校園網(wǎng)所有用戶應以實名字注冊,對自己所發(fā)布信息負全責,接受上級部門與公安部門依法監(jiān)督檢查。不得盜用他人賬號,不得在校園網(wǎng)上發(fā)布不健康、非法信息,不得散布計算機病毒、傳播黑客程序、濫用網(wǎng)絡游戲。學生用戶要嚴格遵守《全國青少年網(wǎng)絡文明公約》。
六、網(wǎng)絡中心應全天24小時開機,設備和線路出現(xiàn)故障,應及時維修處理,確保網(wǎng)絡設備安全運轉。
七、嚴禁在辦公時間內上網(wǎng)聊天、玩游戲、觀看與工作無關的視頻信息。
八、非中心機房工作人員不得隨意進入中心機房,不得以任何方式試圖登陸校園網(wǎng)后臺管理端,不得對服務器等設備進行修改、設置、刪除等操作。
九、管理人員應監(jiān)視并記錄服務器系統(tǒng)運行情況,隨時屏蔽有害網(wǎng)頁,出現(xiàn)異常情況應根據(jù)需要立即關閉服務器系統(tǒng),及時處理。出現(xiàn)危急情況,應立即報告學校領導和相關主管部門。監(jiān)視電壓、電流、濕溫度等環(huán)境條件;監(jiān)視運行的作業(yè)和信息傳輸情況;填寫中心機房工作日志。
十、為了確保中心機房的安全,應逐步實現(xiàn)網(wǎng)管人員對服務器的遠程操作。定期更換服務器口令;工作人員不得隨意泄漏口令。不得將系統(tǒng)特權授予普通用戶,不得隨意轉給他人;對過期用戶應及時收回所授予的權力。
十一、學校重要數(shù)據(jù)不得外泄,重要數(shù)據(jù)的輸入及修改應按權限、由專人完成,并作加密處理。
十二、收集整理網(wǎng)管中心技術檔案。妥善保存?zhèn)浞葙Y源。打印涉密資料應按權限保存,廢棄資料應及時銷毀。
十三、網(wǎng)管人員在工作時,應嚴格遵守安全規(guī)程,實行安全巡查值班制度,嚴防漏電、著火、雷擊、被盜、磁化、系統(tǒng)崩潰、病毒攻擊、黑客入侵等不安全事故發(fā)生。危險品及可燃品不得帶入機房。
十四、中心機房不會客、不做與網(wǎng)絡安全運行與維護無關的事情。機房的設備與軟件不隨意外借。
信息安全管理制度3
一、總則
為了保護企業(yè)的信息安全,特訂立本制度,望全體員工遵照執(zhí)行。
二、計算機管理要求
1、IT管理員負責公司內所有計算機的管理,各部門應將計算機負責人名單報給IT管理員,IT管理員(填寫《計算機IP地址分配表》)進行備案管理。如有變更,應在變更計算機負責人一周內向IT管理員申請備案。
2、公司內所有的計算機應由各部門指定專人使用,每臺計算機的使用人員均定為計算機的負責人,如果其他人要求上機(不包括IT管理員),應取得計算機負責人的同意,嚴禁讓外來人員使用工作計算機,出現(xiàn)問題所帶來的一切責任應由計算機負責人承擔。
3、計算機設備未經IT管理員批準同意,任何人不得隨意拆卸更換;如果計算機出現(xiàn)故障,計算機負責人應及時向IT管理員報告,IT管理員查明故障原因,提出整改措施,如屬個人原因,對計算機負責人做出處罰。
4、日常保養(yǎng)內容
A、計算機表面保持清潔。
B、應經常對計算機硬盤進行整理,保持硬盤整潔性、完整性。
C、下班不用時,應關閉主機電源。
5、計算機IP地址和密碼由IT管理員指定發(fā)給各部門,不能擅自更換。計算機系統(tǒng)專用資料(軟件盤、系統(tǒng)盤、驅動盤)應由專人進行保管,不得隨意帶出公司或個人存放。
6、禁止將公司配發(fā)的計算機非工作原因私自帶走或轉借給他人,造成丟失或損壞的要做相應賠償,禁止計算機使用人員對硬盤格式化操作。
7、計算機的內部調用
A、IT管理員根據(jù)需要負責計算機在公司內的調用,并按要求組織計算機的遷移或調換。
B、計算機在公司內調用,IT管理員應做好調用記錄,《調用記錄單》經副總經理簽字認可后交IT管理員存檔。
8、計算機報廢
A、計算機報廢,由使用部門提出,IT管理員根據(jù)計算機的使用、升級情況,組織鑒定,同意報廢處理的,報部門經理批準后按《固定資產管理規(guī)定》到財務部辦理報廢手續(xù)。
B、報廢的計算機殘件由IT管理員回收,組織人員一次性處理。
C、計算機報廢的條件:
。1)主要部件嚴重損壞,無升級和維修價值。
。2)修理或改裝費用超過或接近同等效能價值的設備。
三、環(huán)境管理
1、計算機的使用環(huán)境應做到防塵、防潮、防干擾及安全接地。
2、應盡量保持計算機周圍環(huán)境的整潔,不要將影響使用或清潔的用品放在計算機周圍。
3、服務器機房內應做到干凈、整潔、物品擺放整齊;非主管維護人員不得擅自進入。
四、軟件管理和防護
1、職責:
A、IT管理員負責軟件的開發(fā)購買保管、安裝、維護、刪除及管理。
B、計算機負責人負責軟件的使用及日常維護。
2、使用管理:
A、計算機系統(tǒng)軟件:要求IT管理員統(tǒng)一配裝正版Windows專業(yè)版,辦公常用辦公軟件安裝正版office專業(yè)版套裝、正版ERP管理系統(tǒng),制圖軟件安裝正版CAD專業(yè)版,殺毒軟件安裝安全殺毒套裝,郵件軟件安裝閃電郵,及自主開發(fā)等各種正版及綠色軟件。
B、禁止私自下載或安裝軟件、游戲、電影等,如工作需要安裝或刪除軟件時,向IT管理員提出申請,經檢查符合要求的軟件由IT管理部員或在IT管理員的監(jiān)督下進行安裝或刪除。
C、計算機負責人應管理好計算機的操作系統(tǒng)或軟件的用戶名、工號、密碼。若調整工作崗位,應及時通知IT管理部員更改相關權限。不得盜用他人用戶名和密碼登錄計算機,或更改、破壞他人的文件資料,做好局域網(wǎng)上共享文件夾的密碼保護工作。
D、計算機負責人應及時做好業(yè)務相關軟件的應用程序數(shù)據(jù)備份(刻錄光盤),防止因機器故障或被誤刪除而引起文件丟失。
E、計算機軟件在使用過程中如發(fā)現(xiàn)異;虺霈F(xiàn)錯誤代碼時,計算機負責人應及時上報IT管理員進行處理。
3、升級、防護:
A、如操作系統(tǒng)、軟件需要更新及版本升級,則由IT管理員負責升級安裝、購買等。
B、U盤、軟盤在使用前,必須先采用殺毒軟件進行掃描殺毒,無病毒后再使用。
C、由IT管理員協(xié)助計算機負責人對計算機進行病毒、木馬程序檢測和清理工作,要求定期更新殺毒軟件。
五、硬件維護
1、要求:
A、IT管理部員負責計算機或相關電腦設備的維護。
B、對硬件進行維護的人員在拆卸計算機時,必須采取必要的防靜電措施。
C、對硬件進行維護的人員在作業(yè)完成后或準備離去時,必須將所拆卸的設備復原。
D、對于關鍵的計算機設備應配備必要的斷電、繼電保護電源。
E、IT管理部員應按設備說明書進行日常維護,每月一次。
2、維護:
A、計算機的使用、清潔和保養(yǎng)工作,由計算機負責人負責。
B、IT管理員必須經常檢查計算機及外設的狀況,及時發(fā)現(xiàn)和解決問題。
六、網(wǎng)絡管理
1、禁止瀏覽或登入反動、色情、邪教等不明非法網(wǎng)站、瀏覽非法信息以及利用電子信箱收發(fā)有關上述內容的郵件;不得通過互聯(lián)網(wǎng)或光盤下載安裝傳播病毒以及黑客程序。
2、禁止私自將公司的受控文件及數(shù)據(jù)上傳網(wǎng)絡與拷貝傳播。
七、維修流程
當計算機出現(xiàn)故障時,應立即停止操作,上報公司IT管理員,填寫《公司電腦維修記錄表》;由IT管理員負責維修。
八、獎懲辦法
由于計算機設備是我們工作中的重要工具。因此,IT管理員將計算機的管理納入對各計算機負責人的績效考核范圍,并將嚴格實行。從本制度公布之日起:
1、凡是發(fā)現(xiàn)以下行為,IT管理員有權根據(jù)實際情況處罰并追究當事人及其直接領導的責任,嚴重的則交由上級部門領導對其處理。
A、私自安裝和使用未經許可的軟件(含游戲、電影),每個軟件罰________元。
B、計算機具有密碼功能卻未使用,每次罰________元。
C、下班后,計算機未退出系統(tǒng)或關閉顯示器的,每次罰________元。
D、擅自使用他人計算機或外設造成不良影響的,每次罰________元。
E、瀏覽登入反動、色情、邪教等不明非法網(wǎng)站,傳播非法郵件的,每次罰________元。
F、如有私自或沒有經過IT管理部審核更換計算機IP地址的,每次罰________元。
G、如有拷貝受控文件及數(shù)據(jù),故意刪除共享資料軟件及計算機數(shù)據(jù)的,按損失酌情進行處罰。
2、凡發(fā)現(xiàn)由于:違章作業(yè),保管不當,擅自安裝、使用硬件和電氣裝置,而造成硬件的損壞或丟失的,其損失由責任人賠償硬件價值的全部費用。
九、附則
1、本制度為公司計算機管理制度,要求每一位計算機負責人和員工都必須遵守該制度。
2、本制度由行政部負責編制與修改。
3、本制度由公司總經理批準后執(zhí)行。
信息安全管理制度4
一、計算機設備管理制度
1、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環(huán)境,禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
2、非本單位技術人員對我單位的設備、系統(tǒng)等進行維修、維護時,必須由公司相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外維修,須經有關部門負責人批準。
3、嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插拔計算機外部設備接口,計算機出現(xiàn)故障時應及時向IT部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
。ㄒ唬┎僮鞔a是進入各類應用系統(tǒng)進行業(yè)務操作、分級對數(shù)據(jù)存取進行控制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設置根據(jù)不同應用系統(tǒng)的要求及崗位職責而設置;
(二)系統(tǒng)管理操作代碼的設置與管理
1、系統(tǒng)管理操作代碼必須經過經營管理者授權取得;
2、系統(tǒng)管理員負責各項應用系統(tǒng)的環(huán)境生成、維護,負責一般操作代碼的生成和維護,負責故障恢復等管理及維護;
3、系統(tǒng)管理員對業(yè)務系統(tǒng)進行數(shù)據(jù)整理、故障恢復等操作,必須有其上級授權;
4、系統(tǒng)管理員不得使用他人操作代碼進行業(yè)務操作;
5、系統(tǒng)管理員調離崗位,上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統(tǒng)管理員代碼;
。ㄈ┮话悴僮鞔a的設置與管理
1、一般操作碼由系統(tǒng)管理員根據(jù)各類應用系統(tǒng)操作要求生成,應按每操作用戶一碼設置。
2、操作員不得使用他人代碼進行業(yè)務操作。
3、操作員調離崗位,系統(tǒng)管理員應及時注銷其代碼并生成新的操作員代碼。
三、密碼與權限管理制度
1、密碼設置應具有安全性、保密性,不能使用簡單的代碼和標記。密碼是保護系統(tǒng)和數(shù)據(jù)安全的`控制代碼,也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時所設的密碼,操作密碼是進入各應用系統(tǒng)的操作員密碼。密碼設置不應是名字、生日,重復、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應立即修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時在“密碼管理登記簿”中登記。
4、系統(tǒng)維護用戶的密碼應至少由兩人共同設置、保管和使用。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數(shù)據(jù)安全管理制度
1、存放備份數(shù)據(jù)的介質必須具有明確的標識。備份數(shù)據(jù)必須異地存放,并明確落實異地備份數(shù)據(jù)的管理職責;
2、注意計算機重要信息資料和數(shù)據(jù)存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全。
3、任何非應用性業(yè)務數(shù)據(jù)的使用及存放數(shù)據(jù)的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批,以保證備份數(shù)據(jù)安全完整。
4、數(shù)據(jù)恢復前,必須對原環(huán)境的數(shù)據(jù)進行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復過程中要嚴格按照數(shù)據(jù)恢復手冊執(zhí)行,出現(xiàn)問題時由技術部門進行現(xiàn)場技術支持。數(shù)據(jù)恢復后,必須進行驗證、確認,確保數(shù)據(jù)恢復的完整性和可用性。
5、數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存,并確?梢噪S時使用。數(shù)據(jù)清理的實施應避開業(yè)務高峰期,避免對聯(lián)機業(yè)務運行造成影響。
6、需要長期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關部門制定轉存方案,根據(jù)轉存方案和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉存的數(shù)據(jù)必須有詳細的文檔記錄。
7、非本單位技術人員對本公司的設備、系統(tǒng)等進行維修、維護時,必須由本公司相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外維修,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數(shù)據(jù)等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記。
8、管理部門應對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后清除,并妥善處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發(fā)現(xiàn)病毒及時清除。
10、營業(yè)用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、機房管理制度
1、進入主機房至少應當有兩人在場,并登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
2.IT部門人員進入機房必須經領導許可,其他人員進入機房必須經IT部門領導許可,并有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統(tǒng)進行操作。如遇特殊情況必須操作時,經IT部門負責人批準同意后有關人員監(jiān)督下進行。對操作內容進行記錄,由操作人和監(jiān)督人簽字后備查。
3、保持機房整齊清潔,各種機器設備按維護計劃定期進行保養(yǎng),保持清潔光亮。
4、工作人員進入機房必須更換干凈的工作服和拖鞋。
5、機房內嚴禁吸煙、吃東西、會客、聊天等。不得進行與業(yè)務無關的活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6、機房工作人員嚴禁違章操作,嚴禁私自將外來軟件帶入機房使用。
7、嚴禁在通電的情況下拆卸,移動計算機等設備和部件。
8、定期檢查機房消防設備器材。
9、機房內不準隨意丟棄儲蓄介質和有關業(yè)務保密數(shù)據(jù)資料,對廢棄儲蓄介質和業(yè)務保密資料要及時銷毀(碎紙),不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。
10、主機設備主要包括:服務器和業(yè)務操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩(wěn)定,做好靜電防護和防塵等項工作,保證主機系統(tǒng)的平穩(wěn)運行。服務器等所在的主機要實行嚴格的門禁管理制度,及時發(fā)現(xiàn)和排除主機故障,根據(jù)業(yè)務應用要求及運行操作規(guī)范,確保業(yè)務系統(tǒng)的正常工作。
11、定期對空調系統(tǒng)運行的各項性能指標(如風量、溫升、濕度、潔凈度、溫度上升率等)進行測試,并做好記錄,通過實際測量各項參數(shù)發(fā)現(xiàn)問題及時解決,保證機房空調的正常運行。
12、計算機機房后備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
信息安全管理制度5
第一章總則
第一條為加強公司計算機和信息系統(tǒng)(包括涉密信息系統(tǒng)和非涉密信息系統(tǒng))
安全保密管理,確保國家秘密及商業(yè)秘密的安全,根據(jù)國家有關保密法規(guī)標準和中核集團公司有關規(guī)定,制定本規(guī)定。
第二條本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡,包括機房、網(wǎng)絡設備、軟件、網(wǎng)絡線路、用戶終端等內容。
第三條涉密信息系統(tǒng)的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統(tǒng)和國家秘密信息安全。
第四條涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統(tǒng),不得投入使用。
第五條本規(guī)定適用于公司所有計算機和信息系統(tǒng)安全保密管理工作。
第二章管理機構與職責
第六條公司法人代表是涉密信息系統(tǒng)安全保密第一責任人,確保涉密信息系統(tǒng)安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機構,其主要職責:
。ㄒ唬┙⒔∪踩C芄芾碇贫群头婪洞胧⒈O(jiān)督檢查落實情況;
。ǘ﹨f(xié)調處理有關涉密信息系統(tǒng)安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條成立公司涉密信息系統(tǒng)安全保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛(wèi)部和相關業(yè)務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協(xié)調公司涉密信息系統(tǒng)安全保密管理工作。
第九條保密辦主要職責:
。ㄒ唬⿺M定涉密信息系統(tǒng)安全保密管理制度,并組織落實各項保密防范措施;
。ǘ⿲ο到y(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統(tǒng)用戶的職責和權限,并備案;
。ㄈ┙M織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風險評估,提出涉密信息系統(tǒng)安全運行的保密要求;
。ㄋ模⿻萍夹畔⒉繉ι婷苄畔⑾到y(tǒng)中介質、設備、設施的授權使用的審查,建立涉密信息系統(tǒng)安全評估制度,每年對涉密信息系統(tǒng)安全措施進行一次評審;
。ㄎ澹⿲ι婷苄畔⑾到y(tǒng)設計、施工和集成單位進行資質審查,對進入涉密信息系統(tǒng)的安全保密產品進行準入審查和規(guī)范管理,對涉密信息系統(tǒng)進行安全保密性能檢測;
(六)對涉密信息系統(tǒng)中各應用系統(tǒng)進行定密、變更密級和解密工作進行審核;
。ㄆ撸┙M織查處涉密信息系統(tǒng)失泄密事件。
第十條
科技信息部、財會部主要職責是:
。ㄒ唬┙M織、實施涉密信息系統(tǒng)的規(guī)劃、設計、建設,制定安全保密防護方案;
。ǘ┞鋵嵣婷苄畔⑾到y(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統(tǒng)進行風險評估,提出整改措施,經涉密信息系統(tǒng)安全保密領導
小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統(tǒng)中各應用系統(tǒng)進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
。ㄋ模┡鋫渖婷苄畔⑾到y(tǒng)管理員、安全保密管理員和安全審計員,并制定相應的職責;“三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
。ㄎ澹┞鋵嵱嬎銠C機房、配線間等重要部位的安全保密防范措施及網(wǎng)絡的安全管理,負責日常業(yè)務數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理;
(六)配合保密辦對涉密信息系統(tǒng)進行安全檢查,對存在的隱患進行及時整改;
。ㄆ撸┲贫☉鳖A案并組織演練,落實應急措施,處理信息安全突發(fā)事件。
第十一條黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密信息系統(tǒng)中普密設備的管理措施。
第十二條相關業(yè)務部門、單位主要職責:涉密信息系統(tǒng)的使用部門、單位要嚴格遵守保密管理規(guī)定,教育員工提高安全保密意識,落實涉密信息系統(tǒng)各項安全防范措施;準確確定應用系統(tǒng)密級,制定并落實相應的二級保密管理制度。
第十三條涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員,其職責是:
。ㄒ唬┫到y(tǒng)管理員負責系統(tǒng)中軟硬件設備的運行、管理與維護工作,確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網(wǎng)絡管理員、數(shù)據(jù)庫管理員、應用系統(tǒng)管理員。
。ǘ┌踩C芄芾韱T負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統(tǒng)所產生日志的審查分析。
。ㄈ┌踩珜徲媶T負責安全審計設備安裝調試,對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查,以及時發(fā)現(xiàn)違規(guī)行為,并每月向涉密信息系統(tǒng)安全保密領導小組辦公室匯報一次情況。
第三章系統(tǒng)建設管理
第十四條規(guī)劃和建設涉密信息系統(tǒng)時,按照涉密信息系統(tǒng)分級保護標準的規(guī)定,同步規(guī)劃和落實安全保密措施,系統(tǒng)建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條涉密信息系統(tǒng)規(guī)劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批后方可實施。
第十六條涉密信息系統(tǒng)規(guī)劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構實施或自行實施,并與實施方簽署保密協(xié)議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條對涉密信息系統(tǒng)要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統(tǒng)使用的軟件產品必須是正版軟件。
第四章信息管理
第一節(jié)信息分類與控制
第十八條涉密信息系統(tǒng)的密級,按系統(tǒng)中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統(tǒng)密級的涉密信息。
第十九條涉密信息系統(tǒng)中產生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總,并在保密辦備案。
第二十條涉密信息系統(tǒng)應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條向涉密信息系統(tǒng)以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規(guī)定執(zhí)行。
第二十二條清除涉密計算機、服務器等網(wǎng)絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節(jié)用戶管理與授權
第二十三條根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據(jù)。
第二十四條用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網(wǎng)”用戶清單;財會部管理“財務會計核算網(wǎng)”用戶清單;
。ǘ┬略鲇脩魰r,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統(tǒng)一建立用戶;“財務會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內的所有帳號、權限廢止;“財務會計核算網(wǎng)”密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條國際互聯(lián)網(wǎng)計算機實行專人負責、專機上網(wǎng)管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯(lián)網(wǎng)的計算機須建立使用登記制度。
第六十五條上網(wǎng)信息實行“誰上網(wǎng)誰負責”的保密管理原則,信息上網(wǎng)必須經過嚴格審查和批準,堅決做到“涉密不上網(wǎng),上網(wǎng)不涉密”。對上網(wǎng)信息進行擴充或更新,應重新進行保密審查。
第六十六條任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡新聞組、博客等上發(fā)布、談論、傳遞、轉發(fā)或抄送國家秘密信息。
第六十七條從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉入涉密系統(tǒng),經科技信息部審批后,按照信息交換及中間轉換機管理規(guī)定執(zhí)行。
第九章便攜式計算機管理
第六十八條便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行“誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條涉密便攜式計算機根據(jù)工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條便攜式計算機應具備防病毒、防非法外聯(lián)和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡;嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。
第七十二條涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照“集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第七十五條因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域,需辦理保密審批手續(xù)。
第十章應急響應管理
第七十六條為有效預防和處置涉密信息系統(tǒng)安全突發(fā)事件,及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響,保障涉密信息系統(tǒng)的安全穩(wěn)定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統(tǒng)安全保密領導小組審批后實施。
第七十七條應急響應預案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件,根據(jù)事件引發(fā)原因分為災害類、故障類或攻擊類三種情況。
。ㄒ唬暮κ录焊鶕(jù)實際情況,在保障人身安全前提下,保障數(shù)據(jù)安全和設備安
。ǘ┕收匣蚬羰录号袛喙收匣蚬舻膩碓磁c性質,關閉影響安全與穩(wěn)定的網(wǎng)絡設備和服務器設備,斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡用戶信息,修復被破壞的信息,恢復信息系統(tǒng)。按照事件發(fā)生的性質分別采用以下方案:1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應立即采用斷開網(wǎng)絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區(qū)域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網(wǎng)絡故障:判斷故障發(fā)生點和故障原因,能夠迅速解決的盡快排除故障,并優(yōu)先保證主要應用系統(tǒng)的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條按照信息安全突發(fā)事件的性質、影響范圍和造成的損失,將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據(jù)應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據(jù)應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協(xié)調處置;
。ㄈ┲卮笫录䥺討表憫A案,對突發(fā)事件進行處置,及時向公司黨政報告并提請協(xié)調處置;
。ㄋ模┨貏e重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。
第七十九條發(fā)生突發(fā)事件(如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
。ㄒ唬┥蠄罂萍夹畔⒉亢捅C苻k;
。ǘ╆P閉系統(tǒng)以防止造成數(shù)據(jù)損失;
(三)切斷網(wǎng)絡,隔離事件區(qū)域;
。ㄋ模┎殚唽徲嬘涗泴ふ沂录搭^;
。ㄎ澹┰u估系統(tǒng)受損程度;
(六)對引起事件漏洞進行整改;
。ㄆ撸⿲ο到y(tǒng)重新進行風險評估;
。ò耍┯杀C苻k根據(jù)風險評估結果并書面確認安全后,系統(tǒng)方能重新運行;
。ň牛⿲κ录愋、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
。ㄊ┮勒辗ㄒ(guī)制度對責任人進行處理。
第八十條科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第十一章人員管理
第八十一條各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續(xù)。
第八十三條承擔涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章督查與獎懲
第八十四條公司每年應對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條各部門、單位應將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規(guī)定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規(guī)定執(zhí)行。
第十三章附則
第八十七條本規(guī)定由保密辦負責解釋與修訂。
【信息安全管理制度(通用5篇)】相關文章:
學生信息安全管理制度(通用8篇)12-27
信息公司安全管理制度06-16
信息安全管理中信息安全態(tài)勢分析11-07
車間安全管理制度(通用5篇)12-22
信息安全峰會論文06-22
光學信息安全論文09-23
課間活動安全管理制度(通用5篇)12-27
食堂安全管理制度范本(通用6篇)12-14