信息安全技术信息系统安全工程管理要求
1 范围
本标准规定了信息安全工程(以下简称安全工程)的管理要求,就是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。
本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。
本标准适用于该系统的需求方与实施方的工程管理,其她有关各方也可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡就是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡就是不注明日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求
GB/T 20271-2006 信息安全等级保护信息系统安全管理要求
3 术语与定义
下列术语与定义适用于本标准。
3、1
安全工程security engineering
为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
3、2
安全工程的生存周期security engineering lifecycle
在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发与定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持与终止。
3、3
安全工程指南security engineering guide
由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
脆弱性vulnerability
能够被某种威胁利用的某个或某组资产的弱点。
3、5
风险risk
某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3、6
需求方owner
信息系统安全工程建设的拥有者或组织者。
3、7
实施方developer
信息系统安全工程的建设与服务的提供方。
3、8
第三方third party
独立于需求方、实施方,从事信息系统安全工程建设相关活动的中立组织或机构。
3、9
项目project
项目就是各种相关实施活动与资源的总与,这些实施活动与资源用于开发或维护信息安全工程。一个项目往往有相关的资金,成本账目与交付时间表。
3、10
过程process
把输入转化为输出的一组相关活动。
过程管理process management
一系列用于预见、评价与控制过程执行的活动与体系结构。
4 安全工程体系
4、1 概述
在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。通过这个体系从安全工程中分离出实施与保证的基本特征,立信息系统安全分级保护要求与工程管理的关系。
4、2 安全工程目标
理解需求方的安全风险,根据已标识的安全风险建立合理的安全要求,将安全要求转换成安全指南,这些安全指南指导项目实施的其它活动,在正确有效的安全机制下建立对信息安全的信心与保证;判断系统中与系统运行时残留的安全脆弱性,及其对运行的影响就是否可容忍(即可接受的风险),使安全工程成为一个可信的工程活动,能够满足相应等级信息系统设计的要求。
4、3 基本关系
安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与实施要求。其中保证就是由资格保证要求与组织保证要求构成,实施就是由工程实施要求与项目实施要求构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求;组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求;工程实施要求表示信息安全工程中对安全实施过程的要求;项目实施要求表示信息安全工程中对项目实施过程的要求。
5 资格保证要求
5、1 系统集成资质要求
国家主管部门认可的系统集成资质。
5、2 人员资质要求
国家主管部门认可的安全服务人员资质。
5、3 第三方服务要求
国家主管部门认可的服务单位资质。
5、4 安全产品要求
信息安全技术信息系统安全工程管理要求 1 范围 本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。 本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。 本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求 GB/T 20271-2006 信息安全等级保护信息系统安全管理要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全工程security engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。 3.2 安全工程的生存周期security engineering lifecycle 在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。 3.3 安全工程指南security engineering guide 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
安全工程学习心得(精选3篇) 安全工程学习心得一:安全工程导论学习学习心得经过半个学期的学习,使我对安全工程这门专业的特色,成立的历史和现在的状况,以及未来的发展有了一定的了解。也让我认识到将来在安全专业这方面的领域的所应具备的素质和能力以及应当担当的责任有了一定的认识。 安全工程是以人类生产,生活活动中发生的各种事故为主要研究对象,通过对事物的研究分析,运用安全理论,安全技术和安全管理等方面的知识,识别和预测生产,生活动中潜在的不安全因素,并采取有效地措施防止事故的科学技术和知识体系。其中安全管理是运用安全心理学,经济学,管理学,和法律等方面的知识,对生产和建设过程监督管理的一个知识体系。 一直以来,人类一直面对各种各样的自然灾害诸如地震,海啸,火山喷发,泥石流。从工业革命后,人类的工业生产活动不断地频繁起来,伴随而来的是各种各样的安全隐患和安全事故。在我国每年的都有因为矿难而死去的矿工,在各其他行业中也存在着许多不安全施工而带来人员伤亡。而在石油行业中,一旦事故发生,带来的不仅仅仅是经济损失和人员伤亡,还会严重的波及到环境污染和生态和环境的破坏,带来的这种持久性的灾害是远远不可估量的。因此安全问题不旦是个人人身安全问题,还关乎企业发展,社会和谐,国家安定等关键因素。 作为一个安全工程本科毕业生。我们又该怎样学还这门专业呢, 将来又如何为社会和企业做出奉献呢?在我看来,我们首先要学好本专业的基础课程和专业知识,并努力将所学的知识运用到实践中去。另外,除了丰富我们的专业知识外,还要掌握和了解各方面,各领域的知识,这不仅开阔了我们的大脑,也能使我们在处理安全问题,分析安全隐患时能够做到更加的周到,从而做到防范于未然。 安全工程在我国做为一门新兴的行业。这些年来一直迅猛的发展着。然而在实际的生活,生产活动中并没有受到足够的重视。在些时候甚至是处于可有可无的状态,这不仅仅是因为安全工程本身并没又带来直接的经济利益而不被领导者看重,还涉及到国家的法律法规不够完善,人们没有形成良好的思想观念,和安全技术没能够及时更新,安全管理不合理的综合因素。在这种情况下,可见我们面临的挑战是多么的巨大与艰辛。 作为一名安全专业的本科生的我对未来的安全发展以及中国的安全行业如入做到全球第一有以下关于几方面的看法和建议: 首先在教育上,在这里我有一个构想,这个构想就是构建一个超级学习网络。让安全教育网络化,精英化。这个网络科将全世界的安全人才都聚集在一起分享他们的学习经验,并将生活中出现的安全问题都可以放到这个网站中供大家一起分享解决。靠集体的智慧来解决生活,
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
高校名称院系名称学位层次 中国矿业大学安全工程学院本科、硕士、博士【国家重点学科】 中国矿业大学(北京)资源与安全工程学院本科、硕士、博士【国家重点学科】 中南大学资源与安全工程学院本科、硕士、博士【国家重点学科】 北京科技大学土木与环境工程学院本科、硕士、博士【国家重点学科】 西安科技大学能源学院本科、硕士、博士【国家重点学科】 中国科学技术大学工程科学学院本科、硕士、博士【国家重点(培育)学科】辽宁工程技术大学安全科学与工程学院本科、硕士、博士【国家重点(培育)学科】东北大学资源与土木工程学院本科、硕士、博士 重庆大学资源环境科学学院本科、硕士、博士 山东科技大学资源与环境学院本科、硕士、博士 安徽理工大学能源与安全学院本科、硕士、博士 河南理工大学安全学院本科、硕士、博士 北京理工大学机电工程学院本科、硕士、博士 中国地质大学(武汉)工程学院本科、硕士、博士 中国地质大学(北京)工程技术学院本科、硕士、博士 太原理工大学矿业工程学院本科、硕士、博士 北京理工大学机电学院本科、硕士、博士 中国石油大学(华东)机电工程学院本科、硕士、博士 南京工业大学城市与安全学院本科、硕士 中国民航大学安全科学与工程学院本科、硕士 沈阳航空航天大学安全工程学院本科、硕士 首都经济贸易大学安全与环境工程学院本科、硕士 常州大学环境与安全工程学院本科、硕士 江苏大学环境学院本科、硕士 湖南科技大学能源与安全工程学院本科、硕士 昆明理工大学国土资源工程学院本科、硕士 华南理工大学机械与汽车工程学院本科、硕士 南京理工大学化工学院本科、硕士 天津理工大学环境科学与安全工程学院本科、硕士 福州大学环境与资源学院本科、硕士 中北大学[太原]化工与环境学院本科、硕士 江西理工大学[赣州]资源与环境工程学院本科、硕士 广西大学材料科学与工程学院本科、硕士 西南交通大学交通运输与物流学院本科、硕士 西南科技大学[绵阳]环境与资源学院本科、硕士 西安建筑科技大学材料与矿资学院本科、硕士 武汉科技大学资源与环境工程学院本科、硕士 长安大学地质工程与测绘学院本科、硕士 南开大学环境科学与工程学院本科、硕士 北京交通大学交通运输学院本科、硕士 哈尔滨理工大学测控技术与通讯工程学院本科、硕士 贵州大学矿业学院本科、硕士 大连交通大学交通运输工程分院本科、硕士 兰州理工大学石油化工学院本科、硕士
信息系统安全管理规定 1 信息系统安全管理的基本要求 1.1 信息系统安全管理原则 信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。 1.2 信息系统安全的管控方式 信息系统安全管理工作由公司信息化委员会统一领导,信息系统管理部归口管理,信息管理部门负责,相关业务部门密切配合。 2 各级管理部门职责 2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理,负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查;负责公司层面信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;指导企业信息系统安全工作。 2.2 公司信息管理部门负责公司信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;接受信息系统管理部信息安全管理。 2.3 业务部门负责本部门相关业务信息系统应用和数据安全,配合信息管理部门做好日常信息系统安全工作。 3 信息系统安全管理内容与方法 3.1组织和人员安全管理 3.1.1 公司信息化委员会下设信息系统安全工作组,由信息系统管理部牵头,负责各部门间的信息系统安全协调工作和紧急事件的应急指挥,为信息化委员会提供信息系统安全管理方面的建
议。 3.1.2 设备工程部设立信息系统安全管理岗位,对公司信息系统安全实施统一管理。依据不相容原则,信息系统设置安全管理员,负责落实信息系统安全管理制度的有关要求,检查信息系统安全管理日常工作,负责对系统管理员、应用管理员等人员操作的审查,检查信息安全设备和软件配置情况,协助处理安全威胁、违例行为和其他信息安全突发事件。 3.1.3 建立信息系统关键岗位制度。对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理,关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。 3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理,并报人事部门备案。设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。 3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查,签署信息安全协议书,并对执行情况进行检查。 3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训,将信息系统安全培训纳入公司年度培训计划。 3.2 信息系统安全等级保护 3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上,结合公司实际情况,定为五个级别,分为Ⅰ级、Ⅱ级(A、B)、Ⅲ级(A、B)、Ⅳ级、Ⅴ级:
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全 管理制度 2008年8月 目录 第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。 其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管 理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防 范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
系统安全管理规范 一、系统安全管理 1.信息系统的安全管理包括:数据库安全管理和网络设备设施 安全管理。 2.系统负责人和信息科技术人员必须采取有效的方法和技术, 防止网络系统数据或信息的丢失、破坏和失密。 3.利用用户名对其它用户进行使用模块的访问控制,以加强用 户访问网上资源权限的管理和维护。 4.用户的访问权限由系统负责人提出,领导小组核准。 5.系统管理人员应熟悉并严格监督数据库使用权限、用户密码 使用情况,定期更换用户口令密码。 6.信息科技术人员要主动对网络系统实行查询、监控,及时对 故障进行有效的隔离、排除和恢复工作。 7.所有进入网络使用的光盘、移动介质,必须经过中心负责人 的同意和检毒,未经检毒杀毒的软盘,绝对禁止上网使用。 对造成“病毒”漫延的有关人员,应给予经济和行政处罚。 8.对信息系统的软件、设备、设施的安装、调试、排除故障等 由信息科技术人员负责。其他单位和个人不得自行拆卸、安装任何软、硬件设施。 9.所有内网计算机绝对禁止进行国际联网或与院外其他公共网 络联接。
10.所有上网操作人员必须严格遵守计算机以及其他相关设 备的操作规程,禁止其他人员在工作进行与系统操作无关的工作。 11.对计算机病毒和危害网络系统安全的其他有害数据信息 的防治工作,由信息科负责处理。 二、系统安全监督 1.信息管理部门对信息系统安全保护工作行使下列监督职权。 2.监督、检查、指导信息系统安全维护工作; 3.查处危害信息系统安全的违章行为; 4.履行信息系统安全工作的其他监督职责; 5.信息科技术人员发现影响信息安全系统的隐患时,可立即采 取各种有效措施予以制止。 6.信息科技术人员在紧急情况下,可以就涉及信息安全的特定 事项采取特殊措施进行防范。 三、责任 违反本规则的规定,有下列行为之一的,由信息工程技术人员以口头形式警告、撤消当事人上网使用资格或停机。 1)违反信息系统安全保护制度,危害网络系统安全的。 2)接到信息科技术人员要求改进安全状况的通知后,拒不 改进的。 3)不按照规定擅自安装软、硬件设备。 4)私自拆卸更改上网设备。
安全工程专业学什么附学习科目和课程安全工程专业学什么附学习科目和课程 安全工程专业介绍安全学科是理、工、文、法、管、医等学科的新兴、综合、交叉学科,在教育部高校专业专业目录中,安全工程专业与环境工程专业同属环境与安全类一级学科。 安全工程专业就业前景城市面貌的巨大变化与建筑业及其相关行业的蓬勃发展休戚相关,特别是随着专业人员执业资格制度的推行、现代企业制度的建立和我国加入WTO,全国建筑业及其相关行业对各类专业人员的学历水平和素质要求越来越高,尤其是对工程管理高级人才(项目管理工程师、造价工程师、监理工程师等)将有不断增长的需求。 安全工程专业学习课程燃烧与爆炸学、安全工程学、通风空调与净化、安全监测与监控、职业卫生学、流体力学与流体机械、工程热力学与传热学、分析化学与物理化学等。 安全工程专业培养目标与要求培养能从事安全技术及工程、安全科学与研究、安全监察与管理、安全健康环境检测与监测、安
全设计与生产、安全教育与培训等方面复合型的高级工程技术人才。 本专业学生主要学习矿山与地下建筑、交通、航空航天、工厂、物业、商厦与地面建筑的灾害防治技术及工程和通风、净化与空气调节、安全监测与监控、安全原理、安全系统工程、安全监察和管理等专业知识和实践。 安全工程专业必备能力1.具有较扎实的自然科学基础,较好的人文社会科学基础和外语语言综合能力; 2.掌握流体力学、工程热力学与传热学、工程力学、分析化学与物理化学、燃烧学与爆炸学; 3.掌握安全原理、安全人机工程和安全系统工程等基础知识; 4.掌握电子学、电工学及安全检测与监测仪表与技术; 5.掌握安全工程、通风与空气调节工程设计、施工、监察和管理的知识与能力; 6.掌握应用计算机进行安全工程与通风工程设计、模拟、计算机管理等方面的能力。
******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。(3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。(4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程
本文从网络收集而来,上传到平台为了帮到更多的人,如果您需要使用本文档,请点击下载,另外祝您生活愉快,工作顺利,万事如意! 网络安全信息系统管理制度 计算机信息网络单位应当在根河市网络安全主管部门监督指导下,建立和完善计算机网络安全组织,成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人(由主管领导担任),应当履行下列职责: (一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; (二)拟定并组织实施本单位计算机信息网络安全管理的各项规章制度; (三)定期组织检查计算机信息网络系统安全运行情况,及时排除各种安全隐患; (四)负责组织本单位信息安全审查; (五)负责组织本单位计算机从业人员的安全教育和培训; (六)发生安全事故或计算机违法犯罪案件时,立即向公安机关网监部门报告并采取妥善措施,保护现场,避免危害的扩散,畅通与公安机关网监部门联系渠道。
2、配备1至2名计算机安全员(由技术负责人和技术操作人员组成),应当履行下列职责: (一)执行本单位计算机信息网络安全管理的各项规章制度; (二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患; (三)根据法律法规要求,对经本网络或网站发布的信息实行24小时审核巡查,发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告; (四)发生安全事故或计算机违法犯罪案件时,应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告,并采取妥善措施,保护现场,避免危害的扩大; (五)在发生网络重大突发性事件时,计算机安全员应随时响应,接受公安机关网监部门调遣,承担处置任务; (六)我市计算机安全技术人员必须经过市公安机关网监部门认可的安全技术培训,考核合格后持证上岗。合格证有效期两年。 3、单位安全组织应保持与公安机关联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实,积极接受公安机关网监部门业务监督检查。 4、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责,对不依法履行职责,造成安全事故和重大损害的,由公安机关予以警告,并建议其所在单位给予纪律或经济处理;情节严重的,依法追究刑事责任。
《安全工程学试题》 一、名词解释(每题2分,共10分) 1、安全科学:安全科学是运用人类已经掌握的科学理论、方法以及相关的知识体系和实践经验,研究、分析、预知人类在社会、经济活动、生产、科研过程中以及人类其他探索、物化等领域的危险、危害和威胁;限制、控制或消除这种危险、危害和威胁,以过程安全和环境无害为研究方向的理论体系。 2、应激源:应激源是指能引起全身性适应综合症或局限性适应综合症的各种因素的总称。 3、安全效益:指安全水平的实现,对社会、对国家、对集体、对个人所产生的效果利益。 4、爆炸危险度:可燃气体和液体蒸气与它们的爆炸下限成反比例与爆炸范围成正比例关系的物理量称之为爆炸危险度。 5、风险率:指事件发生风险的可能性大小。 二、回答题(每题10分,共50分) 1、从安全心理学角度,如何控制和预防人的不安全行为? 答:(1)要正确运用激励机制。每个人都是有自尊心和荣誉感的,要激发和鼓励他们的上进心,必须要有一定的激励机制,才能让职工全身心地做好本职工作。如何正确选用激励方式,做到对症下药、有的放矢是至关重要的。首先要掌握信息,了解情况,才能做到心中有数。其次要正确选择激励手段,一般来说,正面表扬或奖励容易调动积极性。而在一定的条件下,惩罚、批评也能起到一定的效果,但应以教育说理为主,在提高思想认识的同时,要为被激励者排忧解难,改善不良的心理反映,诱导高尚的动机,引导他们产生积极的行为。 (2)正确运用自我调节机制。自我调节就是要自我控制,从而做到自觉遵守安全操作规程和劳动纪律,保证安全生产。从心理学的角度来分析,人的精神状态与工作效率成正比。但是,精神状态与安全状态不一定是正比的关系。精神状态的高潮期或低潮期属情绪不稳定时期,最容易发生差错或失误,属事故多发期。精神状态的组中值是精神稳定期,这时能力发挥稳定,工作起来有条不紊,不易发生事故。据此,要努力提高职工的个人修养,学会自我调节精神状态,要有自制力。人逢喜事精神爽,这时最容易冲动,要告诫自己保持冷静、淡然的心态,记取乐极生悲的教训。而遇到困难和挫折时不要气馁,要有广阔的胸怀,要想得开,宠辱不惊,努力摆脱激情的不利影响。在工作压力大或精神状态欠佳的时候,要合理安排工作,劳逸结合,业余时间多参加文娱、体育健身活动,忘却烦恼,或找知心朋友、同事、领导倾诉,沟通思想释放压力,自我调节紧张状态,一张一弛乃文武之道。
信息系统安全管理规范 1、目标 此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下: 确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。 对用户权限进行合理规划,使系统在安全状态下满足工作的需求。 2、机房访问控制 机房做为设备的集中地,对于进入有严格的要求。 只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。 系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。 严格遵守机房管理制度。 3、操作系统访问控制 保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施: 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员保密。 在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商;调试一结束系统管理员马上更改口令。 对口令设定必需满足以下规范: 5、数据库访问控制 为有效的保障业务数据的安全,采取以下措施:
数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。 业务系统后台数据库对象创建用户的口令由数据库管理员设定,由技术研发部审核。不能向其他人开放。口令必须1个月做一次修改。 对口令设定必需满足以下规范: 根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用户。 除技术研发部的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理,必须由技术研发部人员执行。 6、应用系统访问控制 应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范: 所有应用级的操作用户及初始口令统一由技术研发部设定,以个人邮件的形式分别发给各部门的操作人员。 各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。 对于口令设定必需满足以下规范: 操作人员不能将自己的用户及口令随意告诉他人。 所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由技术研发部批准。 当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和技术研发部的共同批准。之后,IT系统管理员会帮助应用系统的使用者开通账户,并建立相应的访问等级和权限。
编订:__________________ 单位:__________________ 时间:__________________ 信息系统安全管理制度 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8222-40 信息系统安全管理制度(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。 具体管理办法如下: 第一章总则 第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除
/禁用等的管理 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。 第六条用户账号申请、审批及设置由不同人员负责。 第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。 1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。 2、系统管理员:负责按照领导审定的授权进行录
安全工程专业本科培养方案 (专业代码:082901) 一、专业介绍 简介:本专业为江苏省“十二五”重点专业、教育部综合改革试点专业、教育部工程教育认证专业。本专业培养具备安全工程方面的基本理论和基本知识,接受安全检测实验、工程实践、科学研究与工程设计方法等方面的基本训练,具备安全评价与分析、安全设计、安全管理等基本能力的安全工程技术与管理人才。 办学定位:根据学校总体办学定位、石油石化行业发展对安全工程专业人才的特殊需求,培养具有“安全系统思维、安全工程应用能力和安全职业人格品质”的石油石化安全人才。 二、培养要求 1.培养目标 本专业立足地方,培养符合石油石化行业发展和区域社会经济建设需求,培养具有良好的“关爱生命、关注安全、和谐发展”的生命价值意识,较深的文化素养、良好职业道德与团队精神;具有扎实的数理化知识、安全科学与工程专业知识;具备解决工程安全问题的系统性思维与创新性潜质,能够以国际化视野胜任安全工程技术与管理等相关岗位的工程应用型人才。 2.毕业要求 要求1:具有良好的生命价值意识、人文素养、社会责任感和安全工程职业道德; 要求2:具有运用安全工程技术与管理工作所需的相关数学、自然科学知识以及一定的经济和管理知识的能力; 要求3:具有运用工程基础和安全专业理论知识的能力,具有系统的安全工程实践学习经历,了解本专业的前沿发展现状和趋势; 要求4:具备设计和实施安全工程实验的能力,并能够对实验结果进行分析; 要求5:具有创新意识与系统安全思维,掌握基本的创新方法,具备综合运用所学的安全工程专业理论知识和技术手段进行安全系统设计和解决安全问题的能力,并能综合考虑经济、环境、法律、安全、健康、伦理等制约因素; 要求6:掌握文献检索、资料查询及运用现代信息技术获取相关信息的基本方法; 要求7:了解跟踪与安全生产相关的法律、法规和标准,熟悉安全发展、环境保护等方面的方针、政策,能正确认识安全工程对经济社会发展的促进和影响; 要求8:具有一定的组织管理、协调、表达、交流及在团队中发挥作用的能力; 要求9:对终身学习有正确认识,具有不断学习和适应发展的能力; 要求10:具有安全工程及相关领域的国际视野和国际交流、竞争与合作的能力。 三、课程体系 (一)通识课程 通识课程必修课(应修62.5 学分)72410061 思想道德修养与法律基础(3.0)72330061 马克思主义基本原理(3.0)72360123 毛泽东思想和中国特色社会主 义理论体系概论(6.0)72500041 中国近现代史纲要(2.0))72451-2# 形势与政策(2.0) 53021-2# 高等数学(二)(7.5)50030041 线性代数(2.0) 51010061 概率论与数理统计(2.5)53051-2# 大学物理(6.0) 53061-2# 大学物理实验(2.5) 40171-2# 大学计算机基础及VB程序设计 (5.0) 76021-4# 大学英语(12.0) 99011-4# 体育(4.0) 99021-6# 课外体育锻炼(3.0) 99511-2# 军事理论(2.0) 通识课程选修课(应修6.0学分)72430043 大学生心理健康教育(2.0必选)公共选修课(任选4.0学分) (二)专业基础课 专业基础必修课(应修44.5学分)20020041 工程制图(2.0)