系统集成项目信息系统安全管理
17.1信息安全管理
17.1.1信息安全含义及目标
1.信息安全定义现代社会已经进入了信息社会,其突出的特点表现为信息的价值在很多方面超过其信息处理设施包括信息载体本身的价值,例如一台计算机上存储和处理的信息价值往往超过计算机本身的价值。另外,现代社会的各类组织,包括政府、企业,对信息以及信息处理设施的依赖也越来越大,一旦信息丢失或泄密、信息处理设施中断,很多政府及企事业单位的业务也就无法运营了。
现代信息社会对于信息的安全提出了更高的要求,对信息安全的内涵也不断进行延伸和拓展。国际标准ISO/IEC27001: 2005《信息技术.安全技术.信息安全管理体系.要求》
标准中给出目前国际上的一个公认的信息安全的定义:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
2.信息安全属性及目标
(1)保密性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。”
简单地说,就是确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能,例如,
信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来实现。
网绺安全协议。’
网络认证服务。
数据加密服务。
(2)完整性。是指“保护资产的正确和完整的特性。简单”地说,就是确保接收到的数据就是发送的数据。数据不应该被改变,这需要某种方法去进行验证。确保数据完整性的技术包括:消息源的不可抵赖。
防火墙系统。
通信安全。
入侵检测系统
(3)可用性。是指“需要时,授权实体可以访问和使用的特性。可用”性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴,但随着拒绝服务攻击的逐渐盛行,要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以下几个方面。
磁盘和系统的容错及备份。
可接受的登录及进程性能。可靠的功能性的安全进程和机制。保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。
(4)其他属性及目标。另外,信息安全也关注一些其他特性:真实性一般是指对信息的来源进行判
断,能
对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性。不可抵赖性是指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。而可靠性是指系统在规定的时间和给定的条件下,无故障完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure ,MTBF) 来度量。
信息安全己经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论部属于信息安全的研究领域。
17.1.2信息安全管理的内容
ISO/IEC27000 系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括ISO/IEC27001 《信息技术.安全技术.信息安全管理体系.要求》
ISO/IEC27002《信息技术一安全技术信息安全管理体系实践准则》等系列标准。ISO/IEC27000 系列标准是当前全球业界信息安全管理实践的最新总结,为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。
在ISO/IEC27000 系列标准中,它将信息安全管理的内容主要概括为如下11 个方面。
1.信息安全方针与策略
为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
2.组织信息安全
要建立管理框架.以启动和控制组织范围内的信息安全的实施。
管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。需要时,在组织范围内建立信息安全专家库,发展与外部安全专家或组织(包括相关政府机构)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并在处理信息安全事件时,提供合适的联络渠道,并鼓励多学科的信息安全方法。
同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。若业务上需要与外部各方一起工作从而要求访问组织的信息和信息处理设施,或从外部各方获得产品或服务或向外部各方提供产品和服务时,就需要进行风险评估,以确定安全隐患和控制要求。在与外部各方签订的合同中要定义和商定控制措施。
3.资产管理
要对组织资产实现并维持适当的保护。
所有资产均应有人负责,并有指定的所有者。对于所有资产均要识别所有者,并且要赋予维护相应控制的职责。具体控制的实施可以由所有者委派适当的人员承担,但所有者仍拥有对资产提供适当保护的责任。
要确保信息可以碍到适当程度的保护。
应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。信息的敏感度和关键度是可变的。某些信息可能需要额外的保护或特别的处理。应使用信息分类机制来定义适宜的保护水准和沟通特别处理措施的需求。
4.人力资源安全
要确保员工、合同方和第三方用户了解他们的责任并适合于其岗位,从而减少盗窃、滥用或设施误用的风险。应在雇佣前就在岗位描述、雇用条款和条件中明确安全职责。
所有的应聘人员,包括员工、合同方和第三方用户,特别是敏感岗位的人员,应进行充分的筛查。员工、合同方和信息处理设施的第三方用户均应就其安全角色和职责签署协议。
应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并在他们的日常工作中能够支持组织的信息安全方针,减少人为错误的风险。应确定管理职责来确保安全应用于组织内个人的整个雇佣期。为尽可能减小安全风险,应对所有雇员、合同方和第三方用户提供关于安全程序以及正确使用信息处理设旌的意识、教育和培训。并针对信息安全违规事件建立正式的处罚过程。
最后,要确保员工、合同方和第三方用户以一种有序的方式离开组织或工作变更。应建立职责确保员工、合网方和第三方用户的离开组织是受控的,并确保他们已归还所有设备并删除所有的访问权限。对于组织内的职责或工作变更也应参照上述做法实行类似管理。
5.物理和环境安全
应舫止对组织办公场所和信息的非授权物理访问、破坏和干扰。关键或敏感的信息处理设施要放置在安全区域内,并受到确定的安全边界的保护,包括采用适当的安全屏障和入口控制。这些设施要在物理上避免未授权的访问、损坏和干扰。所提供的保护耍与所识别的风险相匹配。
应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断。应保护设备免受物理和环境的威胁。要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备安置和处置。可能错耍专门的控制措施来防止物理威胁以及保护支持性设施,诸如电源供应和电缆基础设施。
6.通信和操作安全
确保信息处理设施的正确和安全操作。应建立所有信息处理设施的管理和操作的职责与程序,包括建立适宜的操作程序。适宜时,应实施职责分离,以减少疏忽或故意误用系统的风险。
应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
应最小化系统失效的风险。为确保足够能力和资源的可用性以提烘所需的系统性能,需要预先的策划和准备。应做出对于未来容量需求的规划,以减少系统过载的风腧。在新系统验收和使用之前,要建立该新系统的运行要求,并形成文件,进行测试。
应保护软件和信息的完整性。要求有预防措施,以防范和探测恶意代码和未授权的移动代码的引入。软件和信息处理设施容易受到恶意代码(例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹)的攻击。要让用户意识到恶意代码的危险。适用时,管理者要引入控制,以防范、探测井删除恶意代码,并控制移动代码。
应保持信息和信息处理设施的完整性和可用性。应建立例行程序来执行商定的针对数据备份以及及时恢复演练的备份策略和战略。
应确保网络中的信息和支持性基础设施得到保护。网络安全管理可能会跨越组织边界,需要仔细考虑数据流动、法律要求、监视和保护。在数据通过公共网络进行传输时要提供额外的保护。
应防止对资产的未授权泄漏、修改、移动或损坏,及对业务活动的中断。应控制介质,并对其实施物理保护。应建立适当的操作程序以保护文件、计算机介质(如磁带、磁盘)、输入输出数据和系统文档免遭未授权的泄露、修改、删除或破坏。
应维持组织内部或组织与外部组织之间交换信息和软件的安全。组织间佶息和软件的交换应基于一个正式的交换策略,按照交换协议执行,还应服从任何相关的法律。应建立程序和标准,以保护传输中的信息和包含信息的物理介质。
应确保电子商务的安全及其安全使用。应考虑与使用电子商务服务包括在线交易相关的安全要求和控制措施要求。还应考虑通过公开可用系统以电子方式发布的信息的完整性和可用性。
应探测未经授权的信息处理活动。应监视系统并记录信息安全事件。应使用操作员日志和故障日志以确保识别出信息系统的问题。一个组织的监视和日志记录活动应遵守所有相关法律的要求。应通过监视系统来检查所采用控制措施的有效性,并验证与访问策略模型的一致性。
7.访问控制应控制对信息的访问。对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
应确保授权用户对信息系统的访问,并防止非授权访问。应有正式的程序来控制对信息系统和服务的访问权限的分配。这些程序应覆盖用户访问生命周期内的所有阶段,从新用户注册到不再要求访问信息系统和服务的用户的最终注销。适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限允许用户超越系统控制。
应防止未授权的用户访问,以及信息和信息处理设施的破坏或被盗。授权用户的合作是有效安全的基础。用户应清楚其对维护有效的访问控制的职责,特别是关于口令使用和用户设备安全的职责。应实施桌面清空和屏幕清空策略以减步对纸质文件、介质和信息处理设施的未授权访问或破坏的风险。
防止对网络服务未经授权的访问。对内部和外部网络服务的访问均应加以控制。访问网络和网络服务的用户不应损害网络服务的安全,应确保:
①在本组织的网络和其他组织拥有的网络或公共网络之间有合适的分界。
②对用户和设备采用合适的认证机制。
③对用户访问信息服务的控制。
应防止对操作系统的未授权访问。应采用安全设施来限制授权用户访问操作系统。这些设施应能:
(1)按照确定的访问控制策略认证授权用户。
(2)记录成功和失败的系统认证尝试。
(3)记录专用系统特权的使用。
(4)当违背系统安全策略时发布警报。
(5)提供合适的认证手段。
(6)适宜时可限制用户的连接时间。
应防止对应用系统中信息的未授权访问。应采用安全设施限制对应用系统的访问以及应用系统内部的访问。对应用软件和信息的逻辑访问应只限于授权的用户。应用系统应限于:
(1)按照定义的访问控制策略,控制用户访问信息和应用系统功能。
(2)防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问。
(3)不损坏与其共享信息资源的其他系统的安全。应确保在使用移动计算和远程工作设施时信息的安全。所要求的保护应与那些特定工作方法引起的风险相匹配。当使用移动计算时,应考虑不受保护的环境中的工作风险,并且要应用合适的保护。在远程工作的情况下,组织要把保护应用于远程工作场地,并且对这种工作方式提供合适的安排。
8.信息系统的获取、开发和保持应确保安全成为信息系统的一部分。信息系统包括操作系统、基础设施、业务应用、非定制的产品、服务和用户开发的应用软件。支持业务过程的信息系统的设计和实施对安全来说是至关重要的。在信息系统开发或实旆之前应识别并商定安全要求。所有安全需求应在项目的需求阶段予以识别,证实其合理性,达成一致,并形成文档,作为信息系统整个业务案例的一部分。
应防止应用系统中信息的错误、丢失、未授权的修改或误用。应用系统(包括用户开发的应用)内应设计合适的控制以确保处理的正确性。这些控制应包括输入数据、内部处理和输入数据的确认。对于处理敏感的、有价值的或关键的信息的系统或对上述信息有影响的系统可以要求附加控制。应基于安全需求和风险评估来确定这些拉制措施。
应通过加密手段来保护信息的保密性、真实性或完整性。应该制定使用密码的策略。应有密钥管理以支持密码技术的使用。
应确保系统文档的安全。要控制对系统文档和程序源代码的访问,并且IT 项目和支持活动应以安全的方式进行。应注意不能泄露测试环境中的敏感数据。
应维护应用系统软件和信息的安全。应严格控制项目和支持环境。负责应用系统的管理人员也应负责项目和支持环境的安全。他们应确保评审所有提出的系统变更,以检验这些变更既不损坏该系统也不损害操作环境的安全。
应减少由利用已发布的技术漏洞带来的风险。应该以一种有效的、系统的、可重复的方式进行技术漏洞管理,同时采取测量以确定其有效性。这些考虑应包括在用的操作系统和应用系统。
9.信息安全事件管理确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通。应具有正式的事件报告和升级程序,所有的员工、合同方和第三方用户都应该知道这套报告不同类别的事件和弱点的程序,而这些事件和弱点对组织的赉产安全可能具有影响。应要求他们尽可能快地将信息安全事件和弱点报告给指定的联系点。
应确保使用一致、有效的方法管理信息安全事件。应建立职责和程序以有效地处理报告韵信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续的改进。需要证据时,证据的
收集应符合法律的要求。
10.业务持续性管理
应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。应实施业务持续性管理过程以减少对组织的影响,并通过预防和恢复控制措施的结合将信息资产的损失(例如,它们可能是灾难、事故、设备故障和故意行动的结果)恢复到可接受的程度。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。灾难、安全失效服务丢失和服务可用性的后果应取决于业务影响分析。应建立和实施业务持续性计划,以确保基本运营能及时恢复。信息安全应该是整体业务持续性过程和组织内其他管理过程的一个不可或缺的一个部分。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、限制有害事件的影响以及确保业务过程需要的信息能够随时得到。
11.符合性应避免违反法律、法规、规章、合同要求和其他的安全要求。信息系统的设计、运
行、使用和管理都要受到法律法规要求的限制,以及合同安全要求的限制。应从组织的法律顾问或者合格的法律从业人员处获得关于特定的法律要求方面的建议。法雒要求因国家而异,而且对于在一个国家所产生的信息发送到另一国家(即越境的数据流)的法
律要求也不相同。
确保系统符合组织安全策略和标准。应定期评审信息系统的安全。这种评审应根据相应的安全策略和技术平台进行,而对信息系统也应进行审核,看其是否符合安全实施标准和形成文件的安全控制要求。
应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。在审核过程中应有控制措施作用于操作系统和审核工具。也要保护审计工具的完整性并防止其被误用。
上面1 1 个方面是ISO/IEC27000 系列标准中提出的信息安全管理的主要内容,当然,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行的。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
17.2信息系统安全
17.2.1 信息系统安全概念
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。
而信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和
可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,以维护信息系统的安全运行。
信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化。个人用户最为关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。这些个人数据或企业的信息在传输过程中要保证其受到保密性、完整性和可用性的保护,如何避免其他人,特别是竞争对手利用窃听、冒充、篡改和抵赖等手段,对其利益和隐私造成损害和侵犯,同时用户也希望其保存在某个网络信息系统中的数据,不会受其他非授权用户的访问和破坏。
从网络运行和管理者角度说,撮为关心的信息系统安全问题是如何保护和控制其他人对本地网络信息的访问、读写等操作。例如,避免出现漏洞陷阱、病毒、非法存取、拒绝服务及网络资源被非法占用和非法控制等现象,制止和防御网络黑客的攻击。
对安全保密部门和国家行政部门来说,最为关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。机密敏感的信息被池密后将会对社会的安定产生危害,给国家造成巨大的经济损失和政治损失。
从社会教育和意识形态角度来说,最为关心的信息系统安全问题则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
信息安全技术信息系统安全工程管理要求 1 范围 本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。 本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。 本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求 GB/T 20271-2006 信息安全等级保护信息系统安全管理要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全工程security engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。 3.2 安全工程的生存周期security engineering lifecycle 在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。 3.3 安全工程指南security engineering guide 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
集团安全管理信息化系统平台项目建设会议纪 要 集团公司文件内部编码:(TTT-UUTT-MMYB-URTTY-ITTLTY-
中平会纪〔2014〕4号 集团安全管理信息化系统平台项目建设 会议纪要 2014年1月3日上午,受集团安监局局长杜波委托集团副总工程师李永生在集团信息楼二楼会议室主持召开了集团安全管理信息化系统平台项目建设会议。会议对项目课题组进行了专业分组、明确了各专业组职责,听取了项目合作方北京恒科天地矿业测控技术有限公司的项目研发进展工作汇报,并就做好项目下一步的研发工作提出了要求。现纪要如下: 一、会议指出 安全信息系统平台建设是集团2013年重大安全科技攻关项目,也是落实“三基三抓一追究”管理模式、实施科技兴安的具体体现;是利用现有信息技术,结合集团自身的局域网资源,建立相应的安全信息管理系统,为集团安全管理工作的现代化、信息化、系统化、规范化提供科学可行的管理手段;是主要服务于集团决策层、领导管理层、业务战线层、煤矿管理层和基层区队安全管理信息化运行的平台。项目的实施将增加安全管理过程中人、机、环、管的协调性,加快安全管理信息的传递和处理,提升集团安全管理和超前防范水平。 二、会议决定 按照集团领导指示,成立集团安全信息系统平台项目课题组。课题组设在集团安监局。 组长:杜波
副组长:李永生向阳王新义康国锋陈林清 王和平 课题组分为6个专业组,各专业组成员部门及主要职责为: (一)生产调度专业组 组长:陈林清 成员部门:总调度室、平煤股份生产处,许平煤业生产技术处 主要职责: 1.总调度室 提供生产调度、调度专业安全质量标准化检查情况、应急管理情况等方面的安全管理信息。 2.平煤股份生产处、许平煤业生产技术处 提供采煤工作面生产管理方面的动态安全管理信息,如初采初放、安装、回收、过地质构造带等特殊情况下的进度、存在的重大安全隐患及采取的措施等方面的安全管理信息。 (二)开拓掘进专业组 组长:王和平 成员部门:规划发展部、建工集团、平煤股份开拓处、 许平煤业工程计划处 主要职责: 1.规划发展部 提供建设项目安全生产“三同时”等方面的安全管理信息。 2.建工集团
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等; 5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:
信息系统安全管理方案措施1 信息系统安全管理方案措施 为保证医院信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本方案。信息中心安全职责 信息中心负责医院信息系统及业务数据的安全管理。明确信息中心主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件的安全运行;(二)保证业务软件调存数据的准确获取与运用; (三)负责医院办公网络与通信的正常运行与安全维护; (四)负责医院服务器的正常运行与上网行为的安全管理; (五)负责公司杀毒软件的安装与应用维护; (六)信息中心负责管理医院各服务器管理员用户名与密码,不得外泄。 (七)定期监测检查各服务器运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向信息室负责人及主管领导汇报,提出应急解决方案。如其他业务服务器出现异常,及时与合作方联系,协助处理。 (八)数据库是公司信息数据的核心部位,非经信息中心负责人同意,不得擅自进入数据库访问或者查询数据,否则按严重违纪处理。(九)信息中心在做系统需求更新测试时,需先进入
备份数据库中测试成功后,方可对正式系统进行更新操作。 (十)业务软件系统服务器是公司数据信息的核心部位,也是各项数 据的最原始存储位置,信息中心必须做好设备的监测与记录工作,如遇异常及时汇报。 (十一)信息中心每天监测检查数据库备份系统,并认真做好日志记录,如遇异常及时向信息中心主管领导汇报。 (十二)机房重地,严禁入内。中心机房环境要求严格,摆放设备异常重要,非经信息中心负责人同意严禁入内。外单位人员进入机房需由信息中心人员专人陪同进入。如需要进行各项操作须经信息中心负责人同意后方可进行操作。 (十三)信息中心负责医院网络与各终端机IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 (十四)医院IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。 (十五)用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息中心报告。 (十六)信息中心负责医院办公网络与通信网络的规划与实施,任何个人或科室不得擅自挪动或关闭科室内存放的信息设备(交换机、网络模块)。
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
湖南有线鼎城网络有限公司 信息系统安全管理制度 第一章总则 第一条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强公司计算机信息系统安全保密管理,并结合公司的实际情况制定本制度。 第二条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第三条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。 第四条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第五条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第一条公司的涉密计算机信息系统的管理由使用部门制定专人负责日常管理,具体技术工作由总工办承担,设
置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第二条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络服务器平台的运行管理;网络病毒入侵防范。 第三条安全保密管理员负责网络信息系统的安全保密技术管理;主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第四条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理,密钥的制作,密钥的更换,密钥的销毁。 第五条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第六条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。 第七条公司负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
信息系统安全管理规定 1 信息系统安全管理的基本要求 1.1 信息系统安全管理原则 信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。 1.2 信息系统安全的管控方式 信息系统安全管理工作由公司信息化委员会统一领导,信息系统管理部归口管理,信息管理部门负责,相关业务部门密切配合。 2 各级管理部门职责 2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理,负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查;负责公司层面信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;指导企业信息系统安全工作。 2.2 公司信息管理部门负责公司信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;接受信息系统管理部信息安全管理。 2.3 业务部门负责本部门相关业务信息系统应用和数据安全,配合信息管理部门做好日常信息系统安全工作。 3 信息系统安全管理内容与方法 3.1组织和人员安全管理 3.1.1 公司信息化委员会下设信息系统安全工作组,由信息系统管理部牵头,负责各部门间的信息系统安全协调工作和紧急事件的应急指挥,为信息化委员会提供信息系统安全管理方面的建
议。 3.1.2 设备工程部设立信息系统安全管理岗位,对公司信息系统安全实施统一管理。依据不相容原则,信息系统设置安全管理员,负责落实信息系统安全管理制度的有关要求,检查信息系统安全管理日常工作,负责对系统管理员、应用管理员等人员操作的审查,检查信息安全设备和软件配置情况,协助处理安全威胁、违例行为和其他信息安全突发事件。 3.1.3 建立信息系统关键岗位制度。对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理,关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。 3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理,并报人事部门备案。设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。 3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查,签署信息安全协议书,并对执行情况进行检查。 3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训,将信息系统安全培训纳入公司年度培训计划。 3.2 信息系统安全等级保护 3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上,结合公司实际情况,定为五个级别,分为Ⅰ级、Ⅱ级(A、B)、Ⅲ级(A、B)、Ⅳ级、Ⅴ级:
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全 管理制度 2008年8月 目录 第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。 其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管 理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防 范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
论大型信息系统的安全管理策略 摘要: 2010年3月到7月,本人参与了某省级电信运营商“NGCC 系统中投诉一体化子系统”的项目建设,担任承建方项目经理一职。投诉一体化系统包括支撑投诉、建议、咨询、报障工单流转、处理及监控,同时,基于投诉一体化的工作流平台,支撑审批单流转、处理,一级经理与其他渠道的联动。新系统要改变过去的被动服务的模式,实现以主动服务、精确营销、客户关怀为主的要求。 信息安全是大型系统的重要保证,在制定安全管理策略时,本人科学的运用信息安全管理的理论知识,结合我司信息安全管理体系的具体要求和系统的具体情况;从信息安全的制度、流程、岗位、职责、人员为出发点,制定了科学合理的信息安全制度体系。按照系统实际情况从应用服务、数据库、服务器、网络等方面进行信息安全的管理。保障了系统的安全、高效、可靠。 --310字 正文: 一、项目概述 2009--2011年本人参与了某省级电信运营商的NGCC系统项目建设,此项目共分四期进行建设,运营商省公司为项目的发起人,本公司为项目的唯一承建方。运营商原系统是
本公司在2004年建设的,主要面向2G网络,为用户提供被动服务为主;2008年后3G网络的全面应用,使得原有系统已经无法适应客户的业务发展需要,因此必须重新建立一套以3G网络为主,面向4G网络,对业务流程进行重新梳理改造,以适应主动服务、精确营销、客户关怀为主要服务模式的发展要求。 由于NGCC项目过于庞大,因此分为多个子项目来进行建设,本文以2010年第二期的子项目‘投诉一体化子系统’为主来对项目实施中的方法、流程、问题等加以分析。 现有投诉一体化系统只能满足地市级围的需要,以被动服务为主,而3G时代要满足全省的业务合并需要,兼顾外省流动用户业务需要,满足客户提出的集团---省级---市级统一的业务需求。业务模式和流转规则发生重大变化。需要支持省、省外、集团的工单流转,同第三方系统进行交互,实现主动服务、客户关怀、客户能力挖掘等功能。为此系统设计采用以下架构‘终端(华为桌面云)+ 集群应用服务器+ 集群中间件+ 集群数据库’,其中集群应用软件以J2EE轻量级架构‘Struct2 + Spring + DAS ’为主;服务器采用IBM小型机、华为刀片服务器;操作系统为IBM的AIX,Suse Linux;数据库为Oracle 11g RAC。 在系统的安全管理策略中,本人以建立合理的信息安全管理制度为前提,设置完整的安全管理岗位和人员;并分别从
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
系统安全管理规范 一、系统安全管理 1.信息系统的安全管理包括:数据库安全管理和网络设备设施 安全管理。 2.系统负责人和信息科技术人员必须采取有效的方法和技术, 防止网络系统数据或信息的丢失、破坏和失密。 3.利用用户名对其它用户进行使用模块的访问控制,以加强用 户访问网上资源权限的管理和维护。 4.用户的访问权限由系统负责人提出,领导小组核准。 5.系统管理人员应熟悉并严格监督数据库使用权限、用户密码 使用情况,定期更换用户口令密码。 6.信息科技术人员要主动对网络系统实行查询、监控,及时对 故障进行有效的隔离、排除和恢复工作。 7.所有进入网络使用的光盘、移动介质,必须经过中心负责人 的同意和检毒,未经检毒杀毒的软盘,绝对禁止上网使用。 对造成“病毒”漫延的有关人员,应给予经济和行政处罚。 8.对信息系统的软件、设备、设施的安装、调试、排除故障等 由信息科技术人员负责。其他单位和个人不得自行拆卸、安装任何软、硬件设施。 9.所有内网计算机绝对禁止进行国际联网或与院外其他公共网 络联接。
10.所有上网操作人员必须严格遵守计算机以及其他相关设 备的操作规程,禁止其他人员在工作进行与系统操作无关的工作。 11.对计算机病毒和危害网络系统安全的其他有害数据信息 的防治工作,由信息科负责处理。 二、系统安全监督 1.信息管理部门对信息系统安全保护工作行使下列监督职权。 2.监督、检查、指导信息系统安全维护工作; 3.查处危害信息系统安全的违章行为; 4.履行信息系统安全工作的其他监督职责; 5.信息科技术人员发现影响信息安全系统的隐患时,可立即采 取各种有效措施予以制止。 6.信息科技术人员在紧急情况下,可以就涉及信息安全的特定 事项采取特殊措施进行防范。 三、责任 违反本规则的规定,有下列行为之一的,由信息工程技术人员以口头形式警告、撤消当事人上网使用资格或停机。 1)违反信息系统安全保护制度,危害网络系统安全的。 2)接到信息科技术人员要求改进安全状况的通知后,拒不 改进的。 3)不按照规定擅自安装软、硬件设备。 4)私自拆卸更改上网设备。
项目信息管理制度 1、总则 第一条为了更好地贯彻厦深铁路有限责任公司和集团公司的有关条例、规定、规则和办法,根据厦深铁路有限责任公司《厦深铁路工程信息系统建设管理办法》和集团公司信息化建设的有关要求,结合本标段工程施工的实际,特制定本办法。 第二条本办法所指信息化系统包括对厦深铁路有限责任公司的视频系统、项目管理系统、现场安全监控量测等和对集团公司的视频系统、项目管理系统等,是实现本标段铁路工程建设和集团公司项目管理科学化、信息化管理的重要手段。 第三条本办法适用于集团公司厦深铁路工程指挥部和各项目部。 2、组织机构和职责 1)集团公司厦深铁路信息化按照归口管理、分工负责、统一领导的管理原则,实行集团公司工程指挥部、项目部两级管理。 2)集团公司工程指挥部设立信息化中心,主要负责集团公司工程指挥部信息化建设和对各项目部信息化建设的指导、监督工作。 3)信息中心是集团公司厦深铁路工程指挥部信息化的归口管理部门。其主要职能是: (一)、贯彻落实集团公司工程指挥部主管领导及厦深铁路公司综合部交办的各项信息化工作,制定信息化有关制度和办法。 (二)、负责集团公司工程指挥部信息化系统的建设、日常管理和
维护工作。 (三)、负责对各项目部信息化的实施建设和管理工作进行指导。 (四)、负责对各项目部的系统建设及运用管理制定奖惩措施,组织检查,并进行考核。 (五)、负责信息化建设、管理及运用的培训工作。 (六)、承办其他相关的信息化管理工作。 4)各项目部成立信息化组织机构,至少配备1-2名信息化专员,其主要职责是: (一)、认真贯彻落实集团公司工程指挥部信息化管理的各种规章制度、办法,制定实施细则。 (二)、负责本项目部信息化的实施建设、日常维护和设备保管工作。 (三)、承办其它信息化管理工作。 各项目部须经指挥部考核合格后才能正式上岗, 3 、RCPMIS项目管理系统数据录入和维护分工
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
本文从网络收集而来,上传到平台为了帮到更多的人,如果您需要使用本文档,请点击下载,另外祝您生活愉快,工作顺利,万事如意! 网络安全信息系统管理制度 计算机信息网络单位应当在根河市网络安全主管部门监督指导下,建立和完善计算机网络安全组织,成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人(由主管领导担任),应当履行下列职责: (一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; (二)拟定并组织实施本单位计算机信息网络安全管理的各项规章制度; (三)定期组织检查计算机信息网络系统安全运行情况,及时排除各种安全隐患; (四)负责组织本单位信息安全审查; (五)负责组织本单位计算机从业人员的安全教育和培训; (六)发生安全事故或计算机违法犯罪案件时,立即向公安机关网监部门报告并采取妥善措施,保护现场,避免危害的扩散,畅通与公安机关网监部门联系渠道。
2、配备1至2名计算机安全员(由技术负责人和技术操作人员组成),应当履行下列职责: (一)执行本单位计算机信息网络安全管理的各项规章制度; (二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患; (三)根据法律法规要求,对经本网络或网站发布的信息实行24小时审核巡查,发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告; (四)发生安全事故或计算机违法犯罪案件时,应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告,并采取妥善措施,保护现场,避免危害的扩大; (五)在发生网络重大突发性事件时,计算机安全员应随时响应,接受公安机关网监部门调遣,承担处置任务; (六)我市计算机安全技术人员必须经过市公安机关网监部门认可的安全技术培训,考核合格后持证上岗。合格证有效期两年。 3、单位安全组织应保持与公安机关联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实,积极接受公安机关网监部门业务监督检查。 4、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责,对不依法履行职责,造成安全事故和重大损害的,由公安机关予以警告,并建议其所在单位给予纪律或经济处理;情节严重的,依法追究刑事责任。
计算机信息系统安全管理制度 总则 第一条为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本公司实际,特制订本制度。 第二条计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条信息中心的职责为专门负责本公司范围内的计算机信息系统安全管理工作。 第一章网络管理 第四条遵守公司的规章制度,严格执行安全保密制度,不得利用网络从事危害公司安全、泄露公司秘密等活动,不得制作、浏览、复制、传播反动及淫秽信息,不得在网络上发布公司相关的非法和虚假消息,不得在网上泄露公司的任何隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。 第五条各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。 第六条禁止未授权用户接入公司计算机网络及访问网络中的资源,禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。 第七条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。 第八条公司员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。 第九条计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算
编订:__________________ 单位:__________________ 时间:__________________ 信息系统安全管理制度 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8222-40 信息系统安全管理制度(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。 具体管理办法如下: 第一章总则 第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除
/禁用等的管理 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。 第六条用户账号申请、审批及设置由不同人员负责。 第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。 1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。 2、系统管理员:负责按照领导审定的授权进行录
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
信息系统安全管理方案 Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8
信息系统安全管理方案 信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。 一、机房设备的物理安全 硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。 因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。 二、管理制度 在制定安全策略的同时,要制定相关的信息与网络安全的技术标准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机
制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。 要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容: 1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责; 2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理; 3、软件管理制度; 4、机房设备(包括电源、空调)管理制度; 5、网络运行管理制度; 6、硬件维护制度; 7、软件维护制度; 8、定期安全检查与教育制度;