数字证书安全认证
解决解决方案方案
广东省数字证书认证中心
2008年
目 录
1 概述............................................................................................................3
2 需求............................................................................................................
3 3 系统架构....................................................................................................5 4
主要产品及需求实现................................................................................6 4.14.1 客户端....................................................................................................6 4.24.2 服务器端................................................................................................6 4.34.3 安全需求的实现 (7)
5 设备配置清单 (8)
随着计算机技术、通信技术以及互联网技术的飞速发展,人类进入了信息化社会。如何抢占信息化领域的制高点,大力发展信息化,是各国在制定本国发展战略时所重点考虑的内容之一。
中国政府高度重视发展信息产业,正在大力推进国民经济和社会信息化。党的十五届五中全会明确指出,信息化是我国产业优化升级和实现工业化、现代化的关键环节,要把推进国民经济和社会信息化放在优先位置。要以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展。但是信息安全问题已经成为制约信息化发展的瓶颈。
作为网络身份证的数字证书,在解决信息安全问题中起到关键的作用,数字证书将会给整个信息化发展带来的社会问题带来了像身份证一样的“秘密武器”。
2 需求
随着电子政务自身的不断发展,其安全需求也不断的出现了新的挑战,具体归纳为如下几个方面:
信息的安全保密性
信息的安全保密性
满足在信息存储、传输过程中的安全保密性需求。作为政府机关,在政务工作中涉及大量的国家秘密信息,在其处理过程中,特别是与各级单位信息交换过
程中,要进行数据加密传输和存储,要保证信息的保密性。
行为的不可抵赖性
满足系统用户行为和系统行为不可抵赖性的需求。用户每天都利用系统处理大量的事务,事务处理过程的可管理、效率的可审计、行为的可审计等,需要行为的不可抵赖性来保证,本工程建设中要保证在所有业务处理过程中,办公人员行为和系统行为的不可抵赖,以便审计和监督。
实体的可鉴别性
实体的可鉴别性
满足电子信息系统对用户及关键终端的可鉴别性需求。系统要实现监管及其他方面的需求,其必要条件是实现实体的可鉴别性,包括用户及关键终端具有可鉴别性等。
对象的可授权性性
对象的可授权
实现对资源的自主授权和访问控制的功能。针对政务工作的特点,要求安全认证平台具有对对象灵活授权的功能,包括用户对用户的授权、系统对用户的授权、系统对系统的授权等,以及授权过程的审计监督。
对象的可授权性是指解决“能做什么”的问题,这个问题的解决需要基于行为的不可抵赖性和实体的可鉴别性,采用灵活的、自主授权的授权机制。
信息的完整性
信息的完整性
满足在信息存储、传输过程中的完整性需求。在内部要保证信息存储和传输过程中不被篡改和破坏;在与各级单位信息传输的过程中,要保证信息不被篡改和破坏。
总之,基于数字证书的安全平台完全解决了电子政务自身发展所带来的安全
3 系统架构
数字证书安全认证系统采用安全应用支撑服务器和安全中间件为内网和外
网提供数字证书认证服务,并处理数据的签名/验签、加解密。
系统架构如下:
实现
主要产品及需求实现
4.1 客户端
客户端包括GDCA Key、客户端PKI安全服务中间件(含驱动)等产品。
客户端的Key载有用户的证书、私钥以及硬件算法,并对该实体进行唯一标识。在登录系统时,根据其数字证书、私钥签名,以实现对该用户的身份认证。在业务过程中,可用Key对具体数据进行数据签名,实现其防篡改,防抵赖性。
4.2 服务器端
服务器端包括互联网安全应用支撑服务器、政务外网安全应用支撑服务器、服务器端PKI安全服务中间件等产品。
安全应用支撑服务器
安全应用支撑服务器载有服务器的证书、私钥及硬件算法,以实现用户登录时对服务器身份的认证。在具体的业务过程中,安全应用支撑服务器实现对数据的签名/验签,数据加解密等功能。
在互联网发布的多台应用服务器,例如一站式申报审批系统等,可同时共用安全应用支撑服务器1,该台密码设备为外网的应用系统提供了基于数字证书的密码运算等服务。
在政务网发布的多台应用服务器,例如OA应用系统等,也可同时共用安全
应用支撑服务器2,该密码设备专为内网应用提供基于数字证书的密码运算等服
务。
证书查询验证服务器
证书查询验证服务器实现的功能是进行数字证书的有效性验证,保证数字证书的合法性,这也是第三方认证的可信源所在。其数据的更新通过与GDCA的源证书查询验证服务器的数据交互而实现。
证书查询验证服务器所处的网络需要即允许各内外网用户访问验证,又允许内外网各应用服务器连接进行验证。
PKI安全服务中间件
内外网的应用服务器均通过调用PKI安全服务中间件以实现安全应用支撑服务器、证书查询与验证服务器的安全功能。
4.3 安全需求的实现
通过在应用环境中部署我公司上述服务器端和客户端的各类产品,将有效构建一个可信安全的计算环境。
应用系统在业务处理过程中,如登陆、加解密、签名验签等,会根据安全需要和我公司客户端及服务器端安全产品进行交互,业务过程中引入签名、验证签名、证书有效性验证以及身份匹配等认证流程,从而实现高强度身份认证、安全
登陆等功能,充分保证了敏感数据的完整性、保密性及用户行为的不可抵赖性。
5 设备配置清单
序号序号
名称名称
功能说明功能说明
主要技术指标主要技术指标
1
安全应用支撑服务器
提供身份认证、签名/验证、对称加
解密功能,支持RSA 算法,支持
3DES,RC4,SSF33算法
支持大于80次/秒的签名速度,以
及大于8Mbps 的对称加解密速度;并发用户50-500
2
证书查询与验证服务器
证书目录查询;用户证书下载;黑名单下载;证书有效性验证。
支持20000张证书的目录发布;支持500个并发用户的在线验证
3
数字证书载体
支持标准的API 接口;支持Windows
CSP 接口;证书格式标准化;支持
RSA,3DES,RC4,SSF33等密码算法;
支持Windows 2000/XP,以及Linux
操作系统。
RSA(1024bits)签名速度小于
260ms/次;RSA(1024bits)验证速度
小于80ms/次;大于8Mbps 的对称加解密速度 ;单用户
4
PKI 安全中间件
提供基于数字证书的身份认证、签
名/验证、对称加解密功能,支持标
准Windows CSP 应用,支持多种证书存储介质
支持Java、C/C++/C#;支持Windows
系列、UNIX、Linux 等主流操作系统;
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
资阳市第一人民医院医务人员服务规范 一、总则 医院在全院范围内推行“规范化”服务,旨在建立制度化、标准化的服务保障体系,给病人以更多的人文关怀,把“人性化”服务融于医疗服务的全过程。本《服务规范》是为此而制定的指导性文件。 (一)定位 医疗服务的对象是患者,他们来自社会各方,其生理表现、人文特征、希望需求等方面都存在明显不同。因此,医疗服务具有强烈的个性化特征。针对这种“生理一心理一社会”的差异性,在医疗服务中首先形成一个科学的构架,并以此为基础实施个性化服务。 (二)规范化与个性化 医疗服务的模式是规范化服务、个性化服务与感知化服务的有机结合,有利于信息沟通,满足个性需求,建立健康和谐的医患关系。是人文关怀、诚实守信的重要体现;是医院对各部门、各岗位的要求,也是各部门、各岗位对医院、对患者的承诺;是弱化医患纠纷、防止医疗事故的主要对策。 (三)局部与整体 医疗服务是一个环环紧扣的“服务链”,包括了医疗、护理、行政、后勤,主环节是医疗、护理,实施者是“服务链”上的医生、护士与行政后勤人员。“服务链”的每位职工、每个环节都做到规范化服务,才能产生总体优质的效果。因此,全院职工要形成共识,在工作中切实为病人提供规范化、个性化、感知化的医疗服务,不断提升服务水平,打造品牌医院。 二、服务行为规范 (一)共同行为 1、作风 (1)认真执行国家的法律法规、方针政策及卫生行政主管部门和本院的各项规定,廉洁奉公,遵纪守法,不以权谋私。 (2)发扬救死扶伤,实行社会主义人道主义精神,尽心尽力做好本职工作,不折不扣地执行医疗技术操作规程,全心全意为病人服务。
(3)严谨求实,敬业乐业,积极进取,钻研业务,互学互助,精益求精,不断提高业务水平和医疗质量。 (4)尊重领导,服从领导的工作安排和调度,按时完成任务,不推脱、顶撞或拒绝领导的工作安排。 (5)忠于职守,按时上、下班,工作时间不得擅离职守,陪亲友、带孩子、看与工作无关的书籍等私事。 (6)工作高效,急病人所急,及时圆满地履行自己的承诺,让病人和同事满意。 (7)尽职尽责,务求实效。对疑难问题要及时反映,以求得到圆满解决。 (8)谦虚诚实,团结协作。科室之间、同事之间要团结协作,互相谦让,互相支持。不嫉贤妒能,不相互扯皮、推诿。 (9)工作严谨有序,工作环境安静,不在上班时间、上班地点聊天、嬉笑喧哗或从事娱乐活动。 (10)爱护医院一切工作器具,注意所有仪器设备的定期维护保养,节约用水、电和易耗品,不乱拿公物。 2、仪表 (1)佩戴胸牌。经常保持着装整齐清洁,上班时按规定穿着工作制服,裙边、袖口不得外露。 (2)身体、头、面、手部必须清洁、卫生,吃了异味食物要漱口。 (3)男职工头发以发脚不盖过耳部及后衣领为度,不留胡须。 (4)女职工头发梳理整齐,保持清洁,不披头散发,不染指(趾)甲、留长指甲。上班可化淡妆,除护理人员外可带耳钉、细项链饰物。 3、举止 (1)就坐端正大方,站立仪态高雅,行走稳健轻盈。不翘二郎腿,不抖脚,不坐桌面或椅子的扶手。 (2)尊称开口,“您好”当先,“谢谢”随后。来有迎声,走有送声,站立迎送。主动问侯,微笑服务,爱心相助。 (3)面对吵闹,宽容克制,态度冷静,耐心解释。 (4)真诚礼貌待人,授物微笑相递,接物真心致谢,医患迎面相遇,侧身礼让问“您好”。
管理信息系统复习围 一、选择 1分*15 1、信息的等级性 执行→策略→战略:①来源:→外②要求、寿命:低→高③加工方法:固定→灵活④频率、精度:高→低 2、管理信息系统的性质 ①不一定有计算机②是个社会—技术系统③主要容为信息④管理系统队伍建 造 管理信息系统属于社会系统,也属于社会系统。 3、计算机软件分类 ①系统软件②应用软件 4、 ERP:中游企业管理系统; SCM:上游供应链系统; CRM:下游顾客关系管理系统; MIS:管理信息系统; DSS:决策支持系统; DBMS:数据库管理系统 5、信息的属性 ①事实性②等级性③可压缩性④扩散性⑤传输性⑥分享性⑦增值性⑧ 转换性 6、决策信息系统的分类及分别支持何种问题 ①专家系统:结构化问题 ②传统决策支持系统:半结构化问题或非结构化问题 ③智能决策支持系统: 7、实体的联系 ①一对一联系(1:1): 如果对于实体集A中的每一个实体,实体集B中至多有一个(也 可以没有)实体与之联系,反之亦然,则称实体集A与实体集B 具有一对一联系,记为1:1 ②一对多联系(1:n): 如果对于实体集A中的每一个实体,实体集B中有n个实体 (n≥0)与之联系,记为1:n ③多对多联系(m:n): 如果对于实体集A中的每一个实体,实体集B中有n个实体 (n≥0)与之联系,反之,对于实体集B中的每一个实体,实 体集A中也有m个实体(m≥0)与之联系,则称实体集A与实 体B具有多对多联系,记为m:n ④单实体联系: ⑤多实体联系: 8、信息产品及性质 产品:书籍,软件,报纸,通信服务,订票服务,第三方物流 性质 df
9、U/C矩阵的正确性检验、作用 ①完备性检验②一致性检验③无冗余性检验 作用:可以指出我们前段工作的不足和疏漏,或是划分不合理的地方,及时地督促我们加以改正。 10、数据资源管理的容 文件组织、数据库及数据仓库、数据规划和数据管理。 11、信息系统的切换方式及优缺点、适用性 直接切换:简单,但风险大,万一新系统运行不起来,就会给工作造成混乱。这只在系统小,且不重要或者时间要求不高的情况下采用。 并行切换:这方法无论从工作安全上,还是从心理状态上均 o是较好的。缺点是费用大, 分段切换:又叫向导切换。是为克服第二种方式缺点的混合方式,因而在较大系统使用较适合。’ 12、虚拟组织结构 虚拟组织结构又称为动态联盟,它是由多个企业组成的临时性的组织。虚拟组织有利于很快滴重组社会的资源,快出产品,出好产品,适应市场的需要。 13、信息系统开发方法,各种方法的优缺点 ①生命周期法②原型法③面向对象开发法 14、程序调试步骤 模块调试、分调、联调 15、系统分析阶段的工作 系统调查、组织功能分析、业务流程分析、功能/数据分析、新系统方案提出 16、数据挖掘主要方式 A分类 b聚类 c关联规则发现 d时序模式发现 17、BPR涵 根本性的、彻底的和巨大的。 18、代码类型 ①顺序码②数字码③字符码④混合码 19、管理信息系统的结构 管理信息系统的结构是指各部件的构成框架,由于对部件的不同理解就构成了不同的结构方式,其中最重要的是概念结构、功能结构、软件结构和硬件结构。 20、通信协议 ①以太网和令牌环型网② FDDI ③ 802.11无线局域网 二、填空 1分*15 1、诺伊曼思想 ①存储程序:解算一个新题目时,先确定分解的算法,编制运算过程,选取能实现其操作的适当指令,组成所谓“程序”。 ②二进制:计算机指令和数据均以二进制编码的形式存储。 2、信息系统规划发展阶段 ①孤立规划阶段②顺序规划阶段③交互规划阶段④整体规划阶段 3、管理信息系统“老三论”、“新三论” 老三论:①系统论②信息论③控制论 新三论:①耗散结构论②突变论③协同论
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
医务人员基本行为规范 为进一步规范我院医务人员的诊疗行为,提升医疗服务水平,更好地为广大人民群众服务,根据《医疗机构从业人员行为规范》要求,特制定本行为规范。 一、以人为本,践行宗旨。坚持救死扶伤、防病治病的宗旨,发扬大医精诚理念和人道主义精神,以病人为中心,全心全意为人民健康服务。 二、遵纪守法,依法执业。自觉遵守国家法律法规,遵守医疗卫生行业规章和纪律,严格执行医院各项制度规定。 三、尊重患者,关爱生命。遵守医学伦理道德,尊重患者的知情同意权和隐私权,为患者保守医疗秘密和健康隐私,维护患者合法权益;尊重患者被救治的权利,不因种族、宗教、地域、贫富、地位、残疾、疾病等歧视患者。 四、优质服务,医患和谐。言语文明,举止端庄,认真践行医疗服务承诺,加强与患者的交流与沟通,积极带头控烟,自觉维护行业形象。 五、廉洁自律,恪守医德。弘扬高尚医德,严格自律,不索取和非法收受患者财物,不利用执业之便谋取不正当利益;不收受医疗器械、药品、试剂等生产、经营企业或人员以各种名义、形式给予的回扣、提成,不参加其安排、组织或支付费用的营业性娱乐活动;不骗取、套取基本医疗保障
资金或为他人骗取、套取提供便利;不违规参与医疗广告宣传和医药产品、食品、保健品等商品推销活动,不违规泄漏患者或者其他个人的信息。 六、严谨求实,精益求精。热爱学习,钻研业务,努力提高专业素养,诚实守信,抵制学术不端行为。 七、爱岗敬业,团结协作。忠诚职业,尽职尽责,正确处理同行同事间关系,互相尊重,互相配合,和谐共事。 八、乐于奉献,热心公益。积极参加医院安排的医疗任务和社会公益性的扶贫、义诊、助残、支农、援外等活动,主动开展公众健康教育。
《ISMS方针、手册、程序文件模板》 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3.04预防措施控制程序 3.05信息安全沟通协调管理程序 3.06管理评审程序 3.07相关方信息安全管理程序 3.08信息安全风险管理程序 3.09信息处理设施安装使用管理程序 3.10计算机管理程序 3.11电子邮件管理程序 3.12信息分类管理程序 3.13商业秘密管理程序 3.14员工聘用管理程序 3.15员工培训管理程序 3.16信息安全奖惩管理程序 3.17员工离职管理程序 3.18物理访问管理程序 3.19信息处理设施维护管理程序 3.20信息系统变更管理程序 3.21第三方服务管理程序 3.22信息系统接收管理程序 3.23恶意软件管理程序 3.24数据备份管理程序 3.25网络设备安全配置管理程序 3.26可移动介质管理程序 3.27介质处置管理程序 3.28信息系统监控管理程序 3.29用户访问管理程序 3.30远程工作管理程序 3.31信息系统开发管理程序 3.32数据加密管理程序 3.33信息安全事件管理程序 3.34业务持续性管理程序 3.35信息安全法律法规管理程序 3.36内部审核管理程序 4 信息安全管理体系作业文件 4.01员工保密守则 4.02员工保密协议管理制度 4.03Token管理规定 4.04产品运输保密管理规定 4.05介质销毁办法 4.06信息中心机房管理制度 4.07信息中心信息安全处罚规定 4.08信息中心密码管理规定 4.09档案室信息销毁制度 4.10电子数据归档管理规定 4.11生产系统机房管理规定 4.12机房安全管理规定 4.13计算机应用管理岗位工作标准 4.14信息开发岗位工作标准 4.15系统分析员岗位工作标准 4.16各部门微机专责人工作标准 4.17网络通信岗位工作标准 4.18监视系统管理规定 4.19数据加密管理规定 4.20涉密计算机管理规定 4.21电子邮件使用准则 4.22互联网使用准则 4.23档案室信息安全职责 4.24市场部信息安全岗位职责规定 4.25复印室管理规定 4.26机房技术资料管理制度 4.27市场部计算机机房管理规定 4.28信息安全记录的分类和保存期限 4.29信息安全事件分类规定 4.30保安业务管理规定 4.31计算机硬件管理维护规定 4.32网站信息发布管理规定 4.33工具及备品备件管理制度 4.34财务管理系统访问权限说明 4.35信息安全管理程序文件编写格式 5 信息安全策略文件 5.01信息资源保密策略 5.02信息资源使用策略 5.03安全培训策略 5.04第三方访问策略 5.05物理访问策略 5.06变更管理安全策略 5.07病毒防范策略 5.08可移动代码防范策略 5.09备份安全策略 5.10信息交换策略 5.11信息安全监控策略 5.12访问控制策略 5.13帐号管理策略 5.14特权访问管理策略 5.15口令策略 5.16清洁桌面和清屏策略 5.17网络访问策略 5.18便携式计算机安全策略 5.19远程工作策略 5.20网络配置安全策略 5.21服务器加强策略 5.22互联网使用策略 5.23系统开发策略 5.24入侵检测策略 5.25软件注册策略 5.26事件管理策略 5.27电子邮件策略 5.28加密控制策略 6 信息安全管理体系记 录 6.01信息安全风险评估计划 6.02信息安全风险评估报告 6.03信息安全风险处理计划 6.04信息安全内部专家名单 6.05信息安全外部顾问名单 6.06信息安全法律、法规清单 6.07信息安全法律法规符合性评估表 6.08信息安全法律法规要求清单 6.09信息安全法律法规实施控制一览表 6.10相关方一览表 6.11信息安全薄弱点报告 6.12信息安全文件审批表 6.13信息安全文件一览表 6.14文件修改通知单 6.15文件借阅登记表 6.16文件发放回收登记表 6.17文件销毁记录表 6.18信息安全记录一览表 6.19记录借阅登记表 6.20记录销毁记录表 6.21信息安全重要岗位一览表 6.22信息安全重要岗位员工一览表 6.23信息安全重要岗位评定表 6.24员工年度培训计划 6.25信息安全培训计划 6.26员工离职审批表 6.27第三方服务提供商清单 6.28第三方服务风险评估表 6.29第三方保护能力核查计划 6.30第三方保护能力核查表 6.31信息设备转移单 6.32信息设备转交使用记录 6.33信息资产识别表 6.34计算机设备配置说明书 6.35计算机配备一览表 6.36涉密计算机设备审批表 6.37涉密计算机安全保密责任书 6.38信息设备(设施)软件采购申请 6.39信息处理设施使用情况检查表 6.40应用软件测试报告 6.41外部网络访问授权登记表 6.42软件一览表 6.43应用软件开发任务书 6.44敏感重要信息媒体处置申请表 6.45涉密文件复印登记表 6.46文章保密审查单 6.47对外提交涉密信息审批表 6.48机房值班日志 6.49机房人员出入登记表 6.50机房物品出入登记表 6.51时钟校准记录 6.52用户设备使用申请单 6.53用户访问授权登记表a 6.54用户访问授权登记表 b 6.55用户访问权限评审记录 6.56远程工作申请表 6.57远程工作登记表 6.58电子邮箱申请表 6.59电子邮箱一览表 6.60电子邮箱使用情况检查表 6.61生产经营持续性管理战略计划 6.62生产经营持续性管理计划 6.63生产经营持续性计划测试报告 6.64生产经营持续性计划评审报告 6.65私人信息设备使用申请单 6.66计算机信息网络系统容量规划 6.67软件安装升级申请表 6.68监控活动评审报告 6.69信息安全故障处理记录 6.70系统测试计划 6.71网络打印机清单 6.72设备处置再利用记录 6.73设施系统更改报告 6.74软件设计开发方案 6.75软件设计开发计划 6.76软件验收报告 6.77重要信息备份周期一览表 6.78操作系统更改技术评审报告 6.79事故调查分析及处理报告 6.80上级单位领导来访登记表 6.81第三方物理访问申请授权表 6.82第三方逻辑访问申请授权表 6.83重要安全区域访问审批表 6.84重要安全区域控制一览表 6.85重要安全区域检查表 6.86人工查杀病毒记录表 1 / 1
资阳市第一人民医院医务人员服务规范 —、总则 医院在全院范围内推行规范化”服务,旨在建立制度化、标准化的服务保障体系,给病人以更多的人文关怀,把人性化”服务融于医疗服务的全过程。本《服务规范》是为此而制定的指导性文件。 (一)定位 医疗服务的对象是患者,他们来自社会各方,其生理表现、人文特征、希望需求等方面都存在明显不同。因此,医疗服务具有强烈的个性化特征。针对这种生理一心理一社会”的差异性,在医疗服务中首先形成一个科学的构架,并以此为基础实施个性化服务。 (二规范化与个性化 医疗服务的模式是规范化服务、个性化服务与感知化服务的有机结合, 有利于信息沟通,满足个性需求,建立健康和谐的医患关系。是人文关怀、诚实守信的重要体现;是医院对各部门、各岗位的要求,也是各部门、各岗位对医院、对患者的承诺;是弱化医患纠纷、防止医疗事故的主要对策。 (三)局部与整体 医疗服务是一个环环紧扣的服务链”包括了医疗、护理、行政、后勤, 主环节是医疗、护理,实施者是服务链”上的医生、护士与行政后勤人员。 服务链”的每位职工、每个环节都做到规范化服务,才能产生总体优质的效果。因此,全院职工要形成共识,在工作中切实为病人提供规范化、个性化、感知化的医疗服务,不断提升服务水平,打造品牌医院。 二、服务行为规范 (一)共同为 1、作风 1)认真执行国家的法律法规、方针政策及卫生行政主管部门和本院的各项规定,廉洁奉公,遵纪守法,不以权谋私。 2)发扬救死扶伤,实行社会主义人道主义精神,尽心尽力做好本职工作,不折不扣地执行医疗技术操作规程,全心全意为病人服务。 3)严谨求实,敬业乐业,积极进取,钻研业务,互学互助,精益求精, 不断提咼业务水平和医疗质量
EN71玩具安全认证规范标准 第1部分:物理和机械性能 该部分主要包括跌落测试、小零件测试、锐利边缘测试、拉力测试、压力测试、线缝测试、耳鼻眼拉力、扭力测试等。 EN71-2:2006玩具安全认证-第2部分:阻燃性能 该部分规定了所有玩具禁止使用的易燃材料种类及对某些小型火源的玩具的燃烧性能要求。要求被测试材料的燃烧速度不得超过标准规定的限值。涉及到戴在头上的玩具、玩具化装服饰和供儿童在玩耍中穿戴的玩具、供儿童进入的玩具、含毛绒或纺织面料的软填充玩具。 EN71-3:2001/AC:2002玩具安全认证-第3部分:某些元素的转移 该部分规定了玩具的可触及部件或材料中可迁移元素(锑、砷、钡、镉、铬、铅、汞、锡)的最大限值。其测试原理是:可溶性元素是模拟材料在吞咽后与胃酸持续接触一段时间的条件下,从玩具材料中提取出的溶出物。采用检出限适当的方法定量测定可溶性元素的含量。 EN71-4:1990+A1:1998玩具安全认证-第4部分:化学和有关活动用的试验装置 EN71-4规定了在化学试验装置及相关活动设备中使用的化学物质的限值,也包括化学、生物学、物理学、微生物和环境科学等领域中的试验玩具,同时也规定了标签、化学物质使用清单及使用说明书的相关要求。 EN71-5:1993玩具安全认证-第5部分:化学玩具(试验装置除外) EN71-5规定了化学玩具中有害物质使用的限制及要求,主要应用于模制和浇铸装置中的石膏、灰泥;微型台装置中的陶瓷和玻璃制品上色材料;造型粘土装置中的烤箱可塑PVC料;塑胶浇铸装置;嵌入装置;照相洗印装置;模具中使用的粘合剂、油漆、清漆、稀释剂和清洁剂。 EN71-6:1994玩具安全认证-第6部分:年龄标志的图形表示 该部分指出了对不适合3岁以下儿童使用但可能对3岁以下儿童有危险的玩具应加贴年龄警告标识。警告标识可用文字说明或图示符号,如果使用警告说明,它必须符合EN71 Part 1的要求,无论是用英文或是用其他国家的语言文字都必须清晰地显示警示语。 EN71-7:指画颜料的要求
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
医院医务人员文明礼仪服务规范 —、服务仪表 1、严格按照医院规定穿着指定工作服,不能穿破损得工作服上岗,不能身着工作服走出医院。 2、衣帽整洁,衣扣齐全,不敞胸露怀, 3、必须佩戴工牌上岗,并注意保持工牌得完好无损,便于就医者监督检查。 4、医疗工作时间不穿拖鞋(除特殊科室外),不穿响底鞋,护士统一穿工作鞋,戴护士帽。不穿工作服去食堂与外出。 5、精神饱满、自然大方,随时准备为就医者提供服务。 &全院上岗工作人员要佩戴胸卡,胸卡不能反戴与插在衣兜里。 7、为就医者服务或与就医者交谈时,手势、动作正确、自然,大方。使就医者易于理解,不引起就医者反感或误会。 8、因工作需要携带得手机,应始终保持正常、有效。在为就医者服务或工作状态中不接、打私人电话。参加会议时一律开至〃震动〃档。 9、上班时同事见面应相互打招呼,工作台不能摆放与工作无关得物品,离岗时要留言告知去向,下班时相互打招呼后离开医院。 二服务礼仪 (—)上岗礼仪
1、对待就医者谦虚有礼,朴实大方,表情自然,面带微笑,态度诚恳。 2、当班或与就医者交谈需要坐下时,坐姿平稳、端庄、自然、面带微笑。在就医者面前要讲礼貌,不做不雅观得动作。 3、导诊护士上岗要站在服务。医生定岗定位,对步行就诊者,首先让患者就位,对住院病人每天首次见面要问候。对来院客人微笑示意表示欢迎。同事之间相互问候。 4、尊重就医者得风俗习惯与宗教信仰,对就医者得服装、形貌、不同习惯与动作,不品头论足,并能按照就医者得要求与习惯提供服务。 5、对就医者提出得问题,应及时答复。不能立即答复得,应主动为就医者查询,并及时告知就医者。 6、提供预约服务时严格遵守约定时间,做到不误时,不失约。 (二)谈话礼仪 与人交谈时,语气要亲切与气,表情自然大方,保持一米左右得距离。谈话过程中要认真倾听,时常点头,表示尊敬。别人谈话时不要主动趋前彳旁听别人主动与自己谈话,应乐于交谈,谈话时不要只顾自己讲话,不要轻易打断别人谈话,不要只与一两个人说话而冷落了在场得其她人,与人谈话时不要左顾右盼、溅起唾液飞沫、翻动报纸、摆弄羽旨等。 (三)握手礼仪 与别人握手时,要有右手,手臂不能过直与左右摆晃,握力适中,时间一3 0为宜。遇与领导、年长者、女性相遇,视对方有握手意向时迅
操作规程编号:LX-FS-A96683 食品安全管理体系认证基本要求标 准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写:_________________________ 审批:_________________________ 时间:________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑
食品安全管理体系认证基本要求标 准范本 使用说明:本操作规程资料适用于日常工作环境中对既定操作标准、规范进行约束,并要求相关人员共同遵守对应的办事规程与行动准则,使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整,套用时请仔细阅读。 1. 组织应建立符合标准要求的文件化食品安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证管理体系的有效、充分运行三个月以上; 2. 组织应向WIT提供基于食品安全管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,WIT将以抽样的方式对多现场进行审核; 3. 组织自建立食品安全管理体系始,应保持对法律法规符合性的自我评价,在不符合相关法律法规要求时应及时采取必要的纠正措施;
信息安全身份认证需技术创新 在2016年第三届“4.29首都网络安全日”网络与信息博览会上,作为中国信息安全的创业公司代表,上海众人网络安全技术有限公司首席战略官周强表示,中国互联网信息安全一直被关注至今,网络安全公司必须从互联网的幕后走到台前,用自主研发的安全技术来维护互联网安全。 安全技术需自主研发 网络信息安全行业不是普通行业,是关系到国家安全的特殊行业,中国国产企业在从事信息安全行业时,需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。 周强表示,中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天,金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。 记者了解到,“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统,该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书,相关的专用安全芯片也获得了国内产品型号证书。
去介质下的认证技术 最新数据显示,截止2015年底,全国网民数规模已达到6.88亿人,手机网民数达到6.2亿人,占网民总数的90.1%,其中网购用户规模达到4.13亿,比例高达六成;截至2015年12月,网上支付用户规模达4.16亿人,手机网上支付用户规模达3.58亿人,增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。 庞大的网民逐渐使用起网上支付这种便捷移动的方式,但背后却有着巨大的网络安全隐患。就中国而言,每年造成805亿资金损失,人均124元。其中约4500万网民近一年遭受经济损失在1000元以上,全球范围内的网络犯罪掘金已高达3万亿美金。 周强推测,随着支付、存款、转账、理财、信贷等金融服务的线上化,未来金融服务不再依赖于实体的银行卡,银行物理网点也将转型并逐渐消失,未来银行的介质是可以多元化的,比如虹膜、指纹等,甚至银行卡实体会“消失”或者虚拟化。 基于这些实际情况,上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术――SOTP,即“多因素动态可重构的确定真实性认证技术”,实现了密钥和算法的融合,在无需增加硬件的前提下,采用软件方式解决移动设备中存储密钥的关键性问题。周强表示:“该项技
AEO海关一般认证文件008-信息安全管理制度_New
AEO海关一般认证文件008-信息安全管理制度
注:要有备份系统,电脑装杀毒软件,设备密码 1目的 为确保公司计算机内文件安全及不受入侵,特制订本程序。 2范围 本程序适用于本公司所有计算机的管制。 3执行程序 3.1计算机的使用措施 3.1.1公司及各部门的计算机只能经由公司授权的 雇员操作使用,每台电脑应设置进入密码保 护,以防止未经授权的人员使用、篡改资料或 从事其它不法活动,见《授权使用电脑及上网人 员名单》; 3.1.2每位电脑使用者必须接受本程序和如何识别 文件与资料诈骗方面的培训,只有经培训合格 的人员才可操作电脑; 3.1.3使用者应保持设备及其所在环境的清洁,下 班时务必关机切断电源; 3.1.4使用者的业务数据,应严格按照要求妥善存 储在相应的位置上; 3.1.5未经许可,使用者不可增删硬盘上的应用软 件、系统软件和私自打开主机机箱; 3.1.6打印机墨盒经专人确认后,方可使用,严禁 私自更换和添加墨水; 3.1.7严禁使用电脑在上班时间内浏览非法网站、 玩游戏、听音乐等; 3.1.8公司所有电脑都设置电脑使用密码和荧幕密 码并定期更改,以防他人盗取。如发现密码已 泄露,则立即更换。欲设的密码及由别人提供 的密码应不予采用; 3.1.9操作员不可随意让不熟悉的人使用自己的电 脑,如确有必要使用,必须在旁监督; 3.1.10任何人未经操作员本人同意,不得使用他人 的电脑; 3.1.11严禁恶意删除他人文件、破坏公司系统; 3.1.12先以加密技术保护敏感的数据文件,然后才 通过公司网络及互联网进行传送,在适当的情况 下,利用数字证书为信息及数据加密或加上数字 签名;
中国玩具安全CCC认证及技术标准 一、中国与玩具有关法律法规介绍 中国与玩具产品安全有关的法律法规包括了《质量监督法》、《进出口商品检验法》、《强 制性认证产品管理规定》和《玩具产品强制性认证实施规则(六项)》等。我国目前对六大类 玩具产品实行强制认证的市场准入制度。其余玩具视情况逐步推进。 二、我国对玩具实行的强制性产品认证(CCC认证) 1.什么是CCC认证 CCC认证的名称为“中国强制认证”,英文名称是“China Compulsory Certification”,英文缩写为“CCC”。C(无上认证是中国政府为保护消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。 2.玩具CCC认证简介 根据国家质检总局、国家认监委2005年第198号联合公告,国家已明确对在国内销售的童车、电玩具、塑胶玩具、金属玩具、娃娃玩具、弹射玩具六类产品实施强制性认证,从2006年3月1日起受理申请,2007年6月1日强制实施。国家认监委在其网站(www.cnca.gov.cn)上发布了2006年第6号和第8号公告,分别公布了六类玩具产品强制性认证的实施规则和其指定的认证机构和检测机构。 被纳入首批玩具CCC认证范围的玩具产品只有上述六类,而承载儿童体重的玩具、软体填充玩具、竹木玩具、口动玩具、纸及纸板玩具、类似文具玩具、软性造型玩具等七类玩具产品没有被纳入首批玩具CCC认证范围,国家认监委拟对没被纳入范围的这七类玩具产品推行自愿认证制度,待时机成熟后再纳入CCC范围。 3.认证单元的概念 根据认监委公布的玩具产品强制性认证实施规则的规定,同一委托人申请、同一工厂生 产且符合实施规则中规定的单元划分原则的产品视为同一认证单元。 实施规则中的单元划分原则,用于指导认证和检测机构将满足一定条件(如
题库 一、选择 1. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是(D)。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序,删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括(A)。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用(C)。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10.AH协议和ESP协议有(A)种工作模式。 A. 二 B. 三 C. 四 D. 五 11. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于(C)进行分析的技术。
注:要有备份系统,电脑装杀毒软件,设备密码 1目的 2为确保公司计算机内文件安全及不受入侵,特制订本程序。 3范围 4本程序适用于本公司所有计算机的管制。 5执行程序 5.1计算机的使用措施 5.1.1公司及各部门的计算机只能经由公司授权的雇员操作使用,每台电脑应设置进入密码保 护,以防止未经授权的人员使用、篡改资料或从事其它不法活动,见《授权使用电脑及 上网人员名单》; 5.1.2每位电脑使用者必须接受本程序和如何识别文件与资料诈骗方面的培训,只有经培训合 格的人员才可操作电脑; 5.1.3使用者应保持设备及其所在环境的清洁,下班时务必关机切断电源; 5.1.4使用者的业务数据,应严格按照要求妥善存储在相应的位置上; 5.1.5未经许可,使用者不可增删硬盘上的应用软件、系统软件和私自打开主机机箱; 5.1.6打印机墨盒经专人确认后,方可使用,严禁私自更换和添加墨水; 5.1.7严禁使用电脑在上班时间内浏览非法网站、玩游戏、听音乐等; 5.1.8公司所有电脑都设置电脑使用密码和荧幕密码并定期更改,以防他人盗取。如发现密码 已泄露,则立即更换。欲设的密码及由别人提供的密码应不予采用; 5.1.9操作员不可随意让不熟悉的人使用自己的电脑,如确有必要使用,必须在旁监督; 5.1.10任何人未经操作员本人同意,不得使用他人的电脑; 5.1.11严禁恶意删除他人文件、破坏公司系统; 5.1.12先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送,在适当 的情况下,利用数字证书为信息及数据加密或加上数字签名; 5.1.13不随便运行或删除电脑上的文件或程序,不要随意修改电脑参数等; 5.1.14不要随便安装或使用不明来源的软件或程序.不要随意开启来历不明的电子邮件或 电子邮件附件; 5.1.15收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄或转寄这些邮件; 5.1.16不要随意将公司或个人的文件发送给他人,或打开给他人查看或使用; 5.1.17工作移交时,严禁恶意破坏、删除、隐藏计算机中文件、数据。 5.2计算机的安全措施 5.2.1由网管负责所有电脑的检测和清理工作。 5.2.2由各部门最高负责人对电脑的防护措施的落实情况进行监督。 5.2.3网管根据需要,设置相应的网络用户,用于进入公司的网络系统,不同的用户有不同的 登陆密码和相应的权限,使每位人员可以而且只能使用到自己所需之资料。