XXXX院网络及信息系统安全管理办法
第一章总则
第一条为加强和规范我院网络及信息系统安全管理,依据国家相关法律法规,特制定本办法。
第二条本办法所指网络及信息系统包括:院及各部门建设、维护和使用的网络、信息系统、终端及介质。
第三条网络及信息系统安全管理方针是:遵循国家政策法规、保障业务平稳运行。
第四条网络及信息系统安全管理策略是:管技并重,适度安全;职责明确,分工协作;纵深防御,保障重点;全面监控,积极反制。
第五条本办法适用于非涉密的网络及信息系统。
第二章职责分工
第六条网络及信息系统安全管理责任主体划分为:院长和党委书记、信息安全领导协调组、安全专家顾问组、信息管理中心、部门信息安全主管领导、部门信息安全管理员、系统安全管理员。
第七条院长和党委书记,对院网络及信息系统安全管理负
1 / 7
全面领导责任,职责如下:
(一)贯彻党和国家方针政策和法律法规,并督促落实;
(二)研究决定网络及信息系统安全管理重大问题;
(三)提供人力、财力、物力保障。
第八条信息安全领导协调组由院信息化主管领导、业务部门信息安全主管领导、相关职能部门信息安全主管领导组成,职责如下:
(一)确定网络及信息系统安全管理方针、策略;
(二)审定网络及信息系统安全管理制度;
(三)审定网络及信息系统安全规划及方案;
(四)审议网络及信息系统安全责任追究和奖惩。
第九条安全专家顾问组是我院网络及信息系统安全管理的咨询顾问机构,由院内、外相关专家组成,职责如下:
(一)参与网络及信息系统等保定级评审;
(二)参与关键信息基础设施评审;
(三)参与网络及信息系统安全建设方案评审;
(四)提供安全管理建议和咨询服务。
第十条信息管理中心是我院网络及信息系统安全归口管理部门,职责如下:
(一)组织落实网络及信息系统安全的工作部署;
2 / 7
内外网安全等级保护建设项目初步设计方案 编制单位:
编制时间:二〇一五年三月
目录 1.信息安全概述 (77) 什么是信息安全? (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系-以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)
3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
一、信息网络安全管理制度 1.局域网由市公司信息中心统一管理。 2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。 3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位,必须是字母数字混合。 4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。 5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。 6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。 7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。 8.入网用户不得从事下列危害公司网络安全的活动: (1)未经允许,对公司网络及其功能进行删除、修改或增加; (2)未经允许,对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加; (3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。 9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信
《信息网络安全管理制度》计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由信息部负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归信息部所管辖,其安装、维护等操作由信息部工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须经过信息部实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报经信息部,由信息部做网络实施方案。 第四条集团局域网的网络配置由信息部统一规划管理,其他任何人不得私自更改网络配置。 第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管 理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条任何接入集团局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 第七条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第八条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第十条任何人不得扫描、攻击集团计算机网络。 第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用信息部部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容: 1. 从中国境内向外传输技术性资料时必须符合中国有关法规。 2. 遵守所有使用互联网的网络协议、规定和程序。
校园网络与信息安全管理办法 桑梓镇辛撞中心小学 2018.9
校园网络与信息安全管理办法 学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理办法。 第一章总则 1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。 3、按照“合法合规,遵从标准”的原则开展网络与信息安全管理工作,网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。
6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。 第二章网络安全管理细则 1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。 2、校园网由学校信息中心统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由信息中心分配的IP地址,网络管理员对入网计算机和使用者进行及时、准确登记备案,由信息中心负责对其进行监督和检查。任何人不得更改IP及网络设置,不得盗用IP地址及用户帐号。 3、与校园网相连的计算机用户建设应当符合国家的有关标准和规定,校园内从事施工、建设,不得危害计算机网络系统的安全。 4、网络管理员负责全校网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后,信息中心必须及时备案并向公安机关报告。 5、网络教室及相关设施未经校领导批准不准对社会开放。 6、按照信息安全等级保护工作规定,完成定级、备案等工作,留存安全审核日志。校园网中对外发布信息的Web服务器中的内容必须经领导审核,由负责人签署意见后再由专人(信息员)发布。新闻公布、公文发布权限要经过校领导的批准。门户网站不得链接企业网站,不得发布商业广告,不得在网页中设置或植入商品、商业服务的二维码。
医院信息安全管理制度1 一、信息系统安全包括:软件安全和硬件网络安全两部分。 二、网络信息办公室人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏及失效等灾难性故障。 三、对系统用户的访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由网络信息办公室人员给予配置并存档,以后变更必须报批后才能更改,网络信息办公室做好变更日志存档。 四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室负责人监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。 五、网络信息办公室人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。 六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责,其他人员不得随意拆卸和移动。 七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。 八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。 九、所有进入网络的软盘、光盘、U盘等其他存贮介质,必须经过网络信息办公室负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。 十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过U盘等存贮介质拷贝文件到内网终端。 十一、内网用户所有文件传递,不得利用软盘、光盘和U盘等存贮介质进行拷贝。
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
信息系统安全管理规定 1 信息系统安全管理的基本要求 1.1 信息系统安全管理原则 信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。 1.2 信息系统安全的管控方式 信息系统安全管理工作由公司信息化委员会统一领导,信息系统管理部归口管理,信息管理部门负责,相关业务部门密切配合。 2 各级管理部门职责 2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理,负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查;负责公司层面信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;指导企业信息系统安全工作。 2.2 公司信息管理部门负责公司信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;接受信息系统管理部信息安全管理。 2.3 业务部门负责本部门相关业务信息系统应用和数据安全,配合信息管理部门做好日常信息系统安全工作。 3 信息系统安全管理内容与方法 3.1组织和人员安全管理 3.1.1 公司信息化委员会下设信息系统安全工作组,由信息系统管理部牵头,负责各部门间的信息系统安全协调工作和紧急事件的应急指挥,为信息化委员会提供信息系统安全管理方面的建
议。 3.1.2 设备工程部设立信息系统安全管理岗位,对公司信息系统安全实施统一管理。依据不相容原则,信息系统设置安全管理员,负责落实信息系统安全管理制度的有关要求,检查信息系统安全管理日常工作,负责对系统管理员、应用管理员等人员操作的审查,检查信息安全设备和软件配置情况,协助处理安全威胁、违例行为和其他信息安全突发事件。 3.1.3 建立信息系统关键岗位制度。对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理,关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。 3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理,并报人事部门备案。设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。 3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查,签署信息安全协议书,并对执行情况进行检查。 3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训,将信息系统安全培训纳入公司年度培训计划。 3.2 信息系统安全等级保护 3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上,结合公司实际情况,定为五个级别,分为Ⅰ级、Ⅱ级(A、B)、Ⅲ级(A、B)、Ⅳ级、Ⅴ级:
信息网络安全与保密管理制度 为了确保**局信息网络的安全运行,防止泄密和不合理使用,规范全局系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息化网络、计算机设备安全、有效运行,特制定本制度。 一、组织机构及职责 成立信息安全和保密管理工作领导小组,负责局内信息安全和保密管理工作。组长由局长担任,副组长由副局长、纪检组长、总**师及分局局长担任。成员由各相关处室人员组成。 领导小组下设信息安全和保密办公室,设在局办公室,由**同志任主任,**任副主任。**为信息安全和保密办公室成员,负责信息安全和保密工作日常运作与联络。 二、人员管理 (一)重要岗位信息安全和保密责任 1.对重要岗位指定专人负责接入网络的安全管理,并对上网信息进行保密检查,切实做好保密防范工作。 2.重要岗位中的涉密信息不得在与国际网络联网的计算机系统中存储,处理和传输,严格做到“涉密不上网、上网不涉密”。 3.重要岗位工作人员要加强网络监控,若发现计算机或网络遭到大规模的攻击,要及时向局领导汇报,并依据有关规定处理。如发现资料泄露的情况,在采取应急措施的同时,应及时将情况
上报信息安全和保密办公室和信息安全和保密管理工作领导小组。 4.重要岗位的重要资料要做好备份,以防止资料遗失、损毁。 5重要岗位工作人员要遵守局信息储存、清除和备份的制度,定期开展信息安全检查,及时更新系统漏洞补丁,升级杀毒软件。 6.信息安全和保密办公室要加强重要岗位的信息安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件处置能力,共同做好信息安全和保密工作。 (二)人员离岗离职时信息安全管理规定 机关工作人员离岗离职,有关处室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。 三、信息安全、保密管理 (一)计算机及软件备案管理制度 1.购买计算机及相关设备由局信息中心统一组织购买,并由信息安全和保密办公室对计算机及相关设备的有关信息参数登记备案后统一发放。 2.信息安全和保密办公室要建立完整的计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查。 3.计算机要安装正版信息安全防护软件,及时升级更新操作系统漏洞补丁与信息安全软件。 4.拒绝使用来历不明的软件和光盘。凡需引入使用的软件,
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
医院信息系统网络安全措施 和应急处理预案 为确保医院信息系统的安全可靠运行,为医院提供一个安全的网络运行环境,特制定医院信息系统网络安全措施和应急处理工作预案。 一、停电事故突发时的应急处理预案 1、管理员要迅速采取紧急措施,检查停电的原因是电力停电还是UPS电源故障所致。 2、如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 3、如果是电源开关故障,及时与医院后勤部门联系修理或更换,并向部门领导报告故障处理情况。 4、如果是UPS电源故障,第一时间与维修公司的技术人员联系维修。 二、软硬件故障突发时的应急处理预案 1、如果信息系统网络内出现大规模机器不能正常运行或电力过载造成线路、机器毁损,应第一时间通知信息科,信息科接到故障通知后,应根据不同情况,及时处理,并向主管院长汇报。 2、个别机器因各种原因造成的硬件故障,应告知科室
负责人通知信息科现场查看,组织维修。经确认报废,不能再利用的,汇报给主管院长,由器械科统一采购。事后查找故障原因,追究相关人员责任。
3、因计算机软件故障引起的机器运行不正常或反应迟缓,由使用人及时汇报给科室负责人,通知信息科查看,确因人为原因,追究相关人员责任。 4、因各种原因发生的数据意外丢失,应及时通知信息科处理。 三、网络安全、信息安全突发事件的应急处理预案 1、局域网内如发现病毒和淫秽图片或视频,应及时采取删除等处理措施,然后了解其传播情况,查找病毒文件或淫秽文件来源,确定传播责任人,造成严重后果或恶劣影响的,追究相关人员责任,并予以处罚。 2、黑客攻击事件应急处置措施:发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。信息安全负责人在接到通知后首先将被攻击的服务器等设备从网络中隔离出来,清除木马、系统漏洞、后门,检查及更改系统所有密码,关闭不必要的端口。对现场进行分析,及时恢复与重建被攻击或破坏的系统,并向主管院长汇报。 3、软件系统遭破坏性攻击的应急处置措施:重要的应用软件平时必须存有备份,重要的数据必须同时进行本机备份和异地备份,并将备份介质保存于安全处。一旦遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统停止运行。检查信息系统的日志等资料,确定攻击来源,再恢复软件系统和数据。若事态严重,应立即向主管领导汇报。
****计算机信息网络安全管理制度 第一章总则 第一条为规范****系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息化网络、计算机设备安全、有效运行,特制定本制度。 第二条 ****信息化及计算机网络管理工作在本队队长的统一领导下,由****计算机信息网络安全管理领导小组所有成员负责具体组织实施。 第三条本单位计算机信息网络安全管理工作实行“一把手”负责制。 第四条本制度所称计算机信息安全网络管理工作包括信息化网络及设备管理、安全保密管理、计算机病毒防治、资料管理、培训等内容。 第二章信息化网络及设备管理 第五条信息化网络及设备按个人分配使用。分配到个人的设备由单位的工作人员负责,单位应指定一名熟悉计算机技术的人员负责日常管理和维护工作。 第六条凡使用信息化网络及设备的工作人员应自觉遵守相关法律法规和制度规定。对违反规定使信息化网络及设备不能正常工作和造成重大事故者,追究其相应责任,后果严重的,依法追究法律责任。
第七条严禁在信息化设备上安装与工作无关的、未经广泛验证为安全的软件程序。严禁带电拔插计算机内部配件。移动非便携式信息网络设备应断电后进行。离开工作场所前,须关闭计算机,切断电源。如有特殊情况不能关闭的,须征得本部门负责人同意。 第八条非指定的技术人员不得擅自打开信息化网络设备外壳,进行任何配臵和检测。不得擅自将信息网络设备(包括报废设备)的配件私自拆卸,移植到其它设备。 第九条未经单位负责人批准,任何人不得随意更换信息化网络设备,不得随意外借、处臵信息网络设备。外部人员如需使用本单位的信息网络设备,需经本单位主管领导同意,并在现场监督的情况下进行。 第十条对计算机进行硬盘格式化和删除操作系统文件,须事先做好数据备份工作,并由本单位信息化管理员进行操作。 第十一条各单位信息化网络设备的使用人、保管人、责任人等情况的变更,应及时报办公室和财务部门登记备案。 第十二条重要的信息化网络设备,由本单位办公室集中统一管理。如需要使用时,应办理相关借用手续。 第十三条为防止计算机病毒造成严重后果,对外来移动存储介质(软盘、光盘、优盘、移动硬盘等)要严格管理,
网络信息安全管理制度大全 一、电脑设备管理 (2) 二、软件管理 (4) 三、数据安全管理 (6) 四、网络信息安全管理 (7) 五、病毒防护管理 (8) 六、下载管理 (8) 七、机房管理 (8) 八、备份及恢复 (11)
一、电脑设备管理 1、计算机基础设备管理 2、各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员 保管,保管人对计算机软、硬件有使用、保管责任。 3、公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。 4、计算机设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。 5、计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其它设备 严禁无故带出办公生产工作场所。 6、按正确方法清洁和保养设备上的污垢,保证设备正常使用。 7、计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应报信息 技术部处理。 8、计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关 闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。 9、公司计算机及周边设备,计算机操作系统和所装软件均为公司财产,计算机 使用者不得随意损坏或卸载。 10、公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改其IP 地址,更不得恶意占用他人的地址。计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。
11、保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每 180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允3许的最高密码安全策略处理。 12、重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘(一般 为C盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按《备份管理》备份。 13、正确开机和关机。开机时,先开外设(显示器、打印机等),再开主机;关 机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。 14、公司邮箱帐号必须由本帐号职员使用,未经公司网络管理员允许不得将帐号 让与他人使用,如造成公司损失或名誉影响,公司将追究其个人责任,并保留法律追究途径。 15、未经允许,员工不得在网上下载软件、音乐、电影或者电视剧等,不得使用 BT、电驴、POCO等严重占用带宽的P2P下载软件。员工在上网时,除非工作需要,不允许使用QQ、MSN等聊天软件。员工不得利用公司电脑及网络资源玩游戏,浏览与工作无关的网站。若发现信息技术部可暂停其Internet使用权限,并报相关领导处理。不得随意安装工作不需要的软件。公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。 16、计算机出现重大故障,如硬盘损坏,计算机保管人应立即向部门负责人和信 息技术部报告,并填写《设备故障登记表》。 17、员工离职时,人力资源应及时通知信息技术部取消其所有的IT资源使用权 限,回收其电脑并保留一个星期,若一个星期之内人事部没有招到新员工顶替,电脑将备份数据后入库。 18、如需要私人计算机连接到公司网络,需信息技术部授权并进行登记。 19、不得随意安装软件,软件安装按照《软件管理》实施。 20、所有计算机设备必须统一安装防病毒软件,未经信息技术部同意,不得私自 在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升级操作系统补丁和防病毒软件。 21、任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病 毒。
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
网络信息安全管理制度1 网络信息安全管理制度大全 一、电脑设备管理(2) 二、软件管理(4) 三、数据安全管理(6) 四、网络信息安全管理(7) 五、病毒防护管理(8) 六、下载管理(8) 七、机房管理(8) 八、备份及恢复(11) 一、电脑设备管理 1、计算机基础设备管理 2、各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员 保管,保管人对计算机软、硬件有使用、保管责任。 3、公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。 4、计算机设备不使用时,应关掉设备的电源。人员暂离岗
时,应锁定计算机。 5、计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其它设备 严禁无故带出办公生产工作场所。 6、按正确方法清洁和保养设备上的污垢,保证设备正常使用。 7、计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应报信息 技术部处理。 8、计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关 闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。 9、公司计算机及周边设备,计算机操作系统和所装软件均为公司财产,计算机 使用者不得随意损坏或卸载。 10、公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改其IP 地址,更不得恶意占用他人的地址。计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负
赔偿责任。 11、保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每 180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允3许的最高密码安全策略处理。 12、重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘(一般 为C盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按《备份管理》备份。 13、正确开机和关机。开机时,先开外设(显示器、打印机等),再开主机;关 机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。 14、公司邮箱帐号必须由本帐号职员使用,未经公司网络管理员允许不得将帐号 让与他人使用,如造成公司损失或名誉影响,公司将追究其个人责任,并保留法律追究途径。
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;