信息安全责任与追究制度
为进一步落实网络安全和信息安全管理责任,提高系统信息化建设水平,明确安全责任,强化责任追究,确保网络安全和信息系统安全、高效、稳定运行,提升业务工作水平,制定本办法。
一、总则
本制度所称信息系统,是指由计算机软硬件系统、网络设备及相关的配套设备构成的,按照一定的应用目标和规则对信息进行釆集、加工、存储、传输、检索等处理的人机系统。所有使用计算机信息系统的单位和个人,必须遵守国家有关计算机信息系统安全保护的法律、法规和本制度。
二、信息系统安全管理细则
1、本单位应成立计算机信息系统安全工作领导小组,负责本单位的计算机信息系统安全和维护工作。本单位计算机信息系统安全领导责任人对本单位信息系统安全工作负主要领导责任;计算机信息系统安全部门负责人对本单位信息系统工作负直接领导责任;网络管理员是本单位计算机信息系统安全工作直接责任人,负责信息系统曰常管理维护;各个电脑及信息系统操作人员为本机信息安全的直接责任人,负责本人使用的电脑的信息安全及日常维护管理。
2、任何单位和个人不得利用计算机信息系统从事危害国家利益和公民合法权益的活动,不得危害计算机信息系统的安全,不得利用计算机信息系统制作、存储、复制和传播下列信息:煽动抗拒、破坏我国宪法和法律、法规的;煽动颠覆国家政权、分裂国家、推翻社会主义制度的;捏造或歪曲事实、散布谣言、扰乱社会秩序的;宣扬封建迷信、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;侮辱
他人或者捏造事实诽谤他人的;含有法律、法规禁止的其他内容的。
3、机房服务器、路由器、防火墙、交换机等设备的口令应由专人掌握,定期更改,口令长度应在8位以上并且含有字符和数字。
4、随时关注信息系统运行状况,及时排除运行故障,做好维护记录,发现漏洞和攻击要及时报告有关部门,遇到重大问题时,及时上报相关领导。
5、加强对内部各类信息的网络安全防范工作,防篡改、防泄露。系统内部业务信息不得对外公布,需要对外公布的信息要按规定程序报批。
6、所有连入外网的计算机应当实行物理隔离,以防内部数据外泄和遭受恶意攻击。
7、任何单位和个人不得从事下列危害计算机信息系统安全的行为:
非法侵入其他计算机系统;窃取或擅自使用、复制他人计算机信息系统资源;故意干扰计算机信息系统功能,影响系统正常运行;其他危害计算机信息系统安全运行的行为。
8、任何单位和个人不得从事下列危害计算机网络秩序的活动:
冒用他人名义发送、接受信息;制作、传播有害信息或带有病毒的信息;盗用、泄露他人的账号信息;发送恶意文件;擅自在网上公开他人隐私;其他危害信息网络秩序的行为。
三、监督及责任追究
1、计算机信息系统安全工作领导小组应不定期对各部门计算机使用情况进行巡査或抽査:是否落实责任追究制度;计算机系统运行是否正常;操作人员是否定期对计算机进行杀毒操作;是否安装与工作无关的软件或游戏。对违反制度但并没有造成影响和后果的,应责令改正并在部门内通报。
2、对计算机信息安全事件实行层级责任追究制:
造成本人计算机无法工作的,为轻微事故,追究直接责任人责任;
造成本单位信息系统无法工作、网络异常、受到外部攻击等事件,但未造成严重后果的,为较大事故,追究部门负责人的责任;
造成本单位信息系统或网络瘫痪,或信息泄露等严重后果的,为重大事件,追究主要领导责任人的责任。
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
网络信息安全责任追究制度 一、信息中心作为办公网网上信息的日常管理机构,对信息网站的建立和信息发布具有管理权。网络中心负责办公网的规划、建设、应用开发、运行维护与用户管理。 二、办公网络信息安全管理实施工作责任制和责任追究制。成立办公网络信息安全领导小组,各级党政主要负责人为本单位的网络信息安全责任人,负责本单位内网络的信息安全管理工作。 三、实行信息发布责任追究制度,所报送的一切信息必须是符合中华人民共和国法规,真实有效的。凡因虚假、反动、色情等内容而引起的一切后果均由报送者承担,如属个人因素影响信息发布工作,将追究责任。 四、各部门应设立网络信息安全管理员,负责相应的网络安全和信息安全工作。各单位主管领导和负责人要认真履行职责,确保网络信息及时更新,做到安全、真实、可靠。 (一)网络管理员应定期更换管理员密码,及时注销无效用户;及时发现并处理网络安全问题。 (二)不允许单位以外人员单独接触计算机网络系统资源。 (三)各用户要加强安全保密意识,注意个人ID及密码的保密,不得与他人共用系统的账号。
五、设立相应的管理员和管理制度,相关制度包括: (一)安全保护技术措施; (二)信息发布审核登记制度; (三)信息监视、保存、清除和备份制度; (四)不良信息报告和协助查处制度; (五)管理人员岗位责任制。 六、各单位应结合保密要求,制订计算机安全保密管理的具体措施,坚持“谁主管、谁主办、谁负责”的原则,各单位属于业务工作范围的信息,在发布前必须由本单位主管领导审核,签署同意意见并存档备案,然后由各单位信息管理员在办公网上发布。主办单位应对信息的合法性和相关问题负责。 七、在办公网络上严禁下列行为: (一)查阅、复制或传播下列信息: 1.煽动抗拒、破坏宪法和国家法律、行政法规实施; 2.煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度; 3.捏造或者歪曲事实,散布谣言扰乱社会秩序; 4.侮辱他人或者捏造事实诽谤他人; 5.宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
网络安全岗位责任制度 一、网络安全管理人员岗位日常管理职责 1、网络安全管理人员应当保障计算机网络设备和配套的设施的安全,保障信息的安全,运行环境的安全。保障网络系统的正常运行,保障信息系统的安全运行; 2、网络安全管理人员必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》; 3、网络安全管理人员必须接受并配合国家有关部门对本网依法进行的监督检查;必须接受上级网络中心对其进行的网络系统及信息系统的安全检查; 4、网络安全管理人员必须对网络接入的用户,用防火墙技术屏蔽非法站点并保留日志文件,并进行定期检查; 5、网络安全管理人员负责网络安全和网上信息安全。如对网络安全和网上信息安全提出技术措施,须经上级领导批准后再实施; 6、机房管理员每周末对机房的安全情况进行例行检查并记录检查情况; 7、所有工作人员要树立安全第一的观念,遵纪守法认真贯彻执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和《计算机信息网络国际联网安全保护管理办法》,保护国家机密,净化网络环境; 8、未经网络管理中心批准,任何人不得随意更改网络或机房的
相关配置。 二、网络安全管理人员岗位日常维护职责 1、每日检查各种设备,确保网络畅通和系统正常运行; 2、定期备份系统数据,仔细阅读记录文件,关注任何异常现象; 3、规划、管理好各用户组,设定适当用户权限; 4、管理员密码和安全策略属网络中心核心机密,不得泄露; 5、按照正常开、关机顺序启动或关闭设备,非紧急情况不得直接关闭电源,以保证系统的完整性; 6、定期对服务器进行查毒、杀毒,禁用未经消毒的存储介质;收集重大病毒“疫情”,提前采取措施; 7、定期维护、保养网络中心网络设备。
网络安全管理制度落实情况 第一篇_网络安全责任追究制度 网络安全责任追究制度 为进一步落实网络安全和信息安全管理责任,确保学校网络安全和信息安全,切实加强系统管理,明确责任: 一、本部门行政一把手为网络安全和信息安全第一责任人,负责建立和完善本单位网络安全和信息安全组织,建立健全相关管理制度,制定网络安全事故处置措施和应急预案,配备兼职信息安全管理员,具体负责本单位网络安全和信息安全工作。 二、坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责教育本部门所属人员(教工及学生)不利用网络制作、传播、查阅和复制下列信息内容:损害国家及学校荣誉、利益、形象的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;含有法律、法规禁止的其他内容的。 三、坚持“谁主管,谁负责;谁主办,谁负责”的原则,负责加强对本部门上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。 四、对本部门人员利用网络平台建立的内部交流qq群、飞信群等实时监控;教学单位要摸清学生群体建立的内部交流群,学生管理人员应参与学生交流群加强监控与引导,对交流群中出现的不当言论及时制止、教育,对可能引发严重后果的情况及时上报。 五、严格实行网络安全和信息安全责任追究制度。如因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。 六、在责任期内,责任书各条款不因负责人变化而变更或解除,接任负责人应相应履行职责。 网络安全管理制度落实情况第二篇_建立健全信息安全管理制度并严格落实 二、建立健全信息安全管理制度并严格落实 各地、各单位要建立健全完善的信息安全保障体系,制定和完善安全管理制度、操作规程和技术规范。要定期开展安全风险评估和隐患排查,深入分析疾病预防控制(含免疫规划等)、妇幼健康等重要信息系统以及人口健康信息平台(含居
网络信息安全管理制度 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等. 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保
岗位网络安全责任制度 为加强我校信息化岗位管理,保证校计算机信息系统安全,制定本制度。 第一条校信息化岗位管理遵循“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,实行安全和保密管理工作责任制。岗位所在部门负责人作为第一责任人,负责其职责范围内的计算机信息系统安全和保密管理。 第二条本规定中的信息化岗位指承载校计算机信息系统 建设、管理和维护的岗位,主要包括校办公室和校信息工作人员,以及负有信息安全和保密责任的信息安全员和兼职保密员。 第三条校信息化岗位安全和保密管理按照国家保密法和 国家信息安全等级保护的要求进行。 第四条信息化岗位实行岗位职责分离制度,岗位操作权限严格受岗位职责限制。除非主管领导批准,信息化岗位人员不得打听、了解或参与职责以外的任何涉及岗位安全和保密的内容。 第五条信息化岗位人员应保管好自己的信息系统操作口令,不定期予以更换。严禁向他人泄露自己的信息系统操作口令。因工作需要必须告知他人的,应在使用完毕后即时更换口令。 第六条信息化岗位人员使用的台式和便携式计算机必须有密 码保护措施,工作中离开岗位时计算机应置于屏幕保护状态。计算机无人使用时不得置于上网状态。 第七条非经主管领导批准,信息化岗位工作人员不得携带存有工作信息的便携式计算机外出。经主管领导批准携带便携式计算机外出的,应采取措施保证机内信息安全。携带外出的便携式计算机禁止留存涉及国家秘密和工作秘密的内容。 第八条重要的信息化岗位休息日和节假日安排人员值班,重大事件期间应组织安排24小时值班。值班期间,重点监控提供公共服务的信息子系统(如网站)运行状况,发现异常按局信息安全应急预案处理,并即时向主管领导报告。 第九条办公室应组织开展经常性的保密教育培训,提高校机关工作人员,尤其是信息化岗位工作人员的计算机信息安全保密意识与技能。 第十条校办公室负责校计算机信息系统安全和保密管理 情况的监督。为此,应不定期地组织专业技术人员对信息化岗位人员使用的台式和便携式计算机应进行安全检查,发现并排除病毒、木马等安全隐患。
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
网络信息安全责任制度 一、领导机构 按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的原则,成立网络信息安全领导小组。由同志担任组长,同志为副组长,成员为主要负责人,负责网站有关信息发布的组织、审查、监督和检查。 二、工作职责 (一)办公室负责有关信息发布的组织、监督和检查,对信息工作实行目标管理考核。 (二)校网络中心对信息的发布、平台的管理、维护以及技术支持。同时管理、维护以及信息采编、上传、发布和更新。 (三)各教研室负责承办网站相应栏目:在网站上设立教研室相应栏目;维护栏目,并确定专人负责;开展信息的收集、整理和发布上传工作。 (四)各教研室负责相应栏目的内容更新,并积极主动向网站提供本单位和本地区有关信息。 三、保密安全 要严格执行信息安全“五禁止”规定。 (一)禁止将涉密信息系统接入国际互联网等公共信息网络。 (二)禁止在涉密计算机之间交叉使用U盘等移动存储设备。 (三)禁止在没有防护措施的情况下将公共信息网络上的数据拷贝到涉密信息系统。 (四)禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用。 (五)禁止使用具有无线互联功能的设备处理涉密信息。 四、信息审核
信息发布坚持谁发布谁负责的原则,要求准确、严肃、讲究时效,确保所发布信息内容的准确性和真实性,严禁发布危害国家安全、影响社会稳定和涉及党和国家秘密的信息。 各单位、各部门信息经本单位、本部门负责人审核后发布。重大信息、敏感信息须报分管领导审核,上报主要领导审定后才能发布。 五、责任追究 凡有以下情况的,给予通报批评或追究相应责任: 一是发布虚假信息。 二是违反规定出现失密、泄密现象。 三是未经审核擅自发布信息。 四是其它违反政策、法规规定,造成不良影响的事项。
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
一、信息网络安全管理制度 1.局域网由市公司信息中心统一管理。 2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。 3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位,必须是字母数字混合。 4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。 5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。 6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。 7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。 8.入网用户不得从事下列危害公司网络安全的活动: (1)未经允许,对公司网络及其功能进行删除、修改或增加; (2)未经允许,对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加; (3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。 9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信
编号:SM-ZD-81847 重要岗位信息安全和保密 责任制度 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
重要岗位信息安全和保密责任制度 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一条实施工作责任制和责任追究制。成立专门的信息安全领导小组,负责本单位信息安全工作的策略、重点、制度和措施,对本单位的信息安全工作负领导责任;各科室主要负责人为信息安全责任人,负责本科室内的信息安全管理工作。 第二条信息安全领导小组作为本单位的日常信息管理机构,对本单位的办公系统、业务系统、网站系统等的建立和信息发布具有审核和管理权,负责本单位政府信息系统的规划、建设、应用开发、运行维护与用户管理。 第三条实行信息发布责任追究制度,所报送的一切信息必须真实有效且符合中华人民共和国法规。凡因虚假、反动、色情等内容而引起的一切后果均由报送者承担,如属个人因素影响信息发布工作,将追究责任。 第四条信息安全领导小组设立信息安全管理员,负责相应的网络安全和信息安全工作。信息安全管理员要认真履
xxxx 信息化人员安全管理制度
第一章总则 第一条为规范xxxx的人员信息安全管理,提高人员信息安全意识,承担并切实履行各岗位相应的信息安全职责,特制定本规定。 第二条本制度适用于xxxx人员信息安全管理的相关活动。 第三条本制度中所指“内部人员”包括编制内的正式人员,借调、轮岗、派遣的内部人员,以及从事常设岗位的非编制人员。“外部人员”是为指xxxx提供服务的供应商或合作方的临时人员,以及其他临时使用的非编制人员。 第二章职责与权限 第四条 xxxx信息科为信息化人员安全管理主管部门,xxxx信息科为本单位信息化人员安全管理主管部门。并应负责以下工作: (一)负责本规定的制订和修订更新。 (二)负责组织开展本单位的人员信息安全培训。 (三)在日常工作中对各部门人员信息安全管理要求的执行情况进行监督检查。 (四)负责所有人员信息系统的准入离岗审批管理。 第五条 xxxx为xxxx人员主管部门,xxxx人事科为本单位人员管理部门。 (一)负责参与本规定的制定和更新,并协助信息科做好
信息系统人员安全管理。 (二)协助信息科在人员管理的全过程中应落实对信息安全管理的各项要求,包括对人员的背景调查、签订保密协议、技术考核、离职审核、年度考核等。 第六条各部门负责人为本部门人员信息安全管理的责任人。 (一)落实人员信息安全管理制度的各项要求。 (二)确保本部门人员参加各项信息安全培训。 (三)负责本部门人员信息系统准入和离岗的审核。 第三章人员准入 第七条人员上岗前,信息科应会同人事部门根据信息安全的要求负责对其人员身份、背景和专业资格等进行审查,签订保密协议。对于重要关键岗位信息科应对其所具有的技术能力进行考核。 第八条上岗人员明确其承担信息安全责任。内部人员上岗前应安排参加信息安全培训,包括信息安全制度的学习、信息安全意识教育等相关内容。外部人员上岗前可根据工作需要,接受信息安全教育或培训。 第九条人员上岗前应填写《xxxx信息系统人员调整申请表》,外部人员由其所在的部门责任人填写,填写包括工作内容、岗位、权限等内容。信息科审核通过后发放信息化设备,开通网络、账号、权限、邮箱等。
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
信息安全组织及岗位职责管理制度 二零一八年八月 版本控制
第一章总则 第一条为加强公司等级保护保障工作的组织协调,建立健全等级保护管理制度和运行机制,切实提高公司等级保护保障工作水平,全面提高信息系统信息安全管理能力,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T22239-2008信息安全等级保护基本要求》等政策要求,特制定本制度。 第二条本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制,具体原则为: (一)主要领导负责原则:确保公司主要领导参与并确立组织统一的信息系统信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效; (二)全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统的安全; (三)依法管理原则:信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法; (四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(五)体系化管理原则:信息系统应符合信息安全相关政策的体系化管理目标和要求。 第三条本规定适用于公司。 第二章组织目标 第四条本制度旨在实现信息安全管理组织的以下目标: (一)管理组织内的信息系统安全保护工作; (二)管理外部组织访问组织内信息处理设施和信息资产的安 全。 第三章安全管理组织架构 第五条为加强对公司信息安全管理工作的领导,贯彻落实监管部门的信息安全保护要求,经研究决定成立公司信息安全管理委员会。 第六条信息安全管理委员会为公司信息安全工作的最高管理机构。 第七条由公司副总经理担任信息安全管理委员会主席,成员包括: (一)生产技术部主管领导; (二)各部门主管领导。 第八条生产技术部是信息安全管理工作的执行机构,负责执行信息安全管理委员会交办的各项工作,由生产技术部总经理担任负责人,成员包括:
学校网络信息安全责任 制度 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
广州市第一一七中学网络信息安全维护制度一、指导思想: 为了确保校园网络及信息安全,经学校研究,成立了校园网安全小组,负责校园网的信息安全。学校校园网用户必须严格遵守有关法律和法规,为进一步细化责任,现制定学校校园网安全制度,违反本制度,将按本制度进行处罚,严重的移交公安机关。 二、用户责任: 1、维护校园网接入设备的安全问题。 人为损坏校园网设备,除照价赔偿之外,还要接受行政处罚。 2、遵从学校网络规划,避免妨碍校园网管理。 所有用户必须使用学校信息中心分配的固定IP上网。私自改动IP,造成冲突的,学校给予通报批评,限期改回原配置。 3、禁止登陆不健康和反动的网站。 学校信息中心依法登记校园网用户的登陆日志,检查使用记录,发现登陆反动站点和不良站点的,将给予关停线路的处分,给予行政处罚的同时通报公安机关追究法律责任。 4、禁止发布反动、色情等违法信息。 学校信息中心重点检查信息对外发布情况,校园网用户严禁在校园网、互联网站点发布反党、反社会的言论,禁止发布不健康信息。学校信息中心有权记录用户访问互联网的情况,有义务配合公安机关查处违规用户。
在互联网传递、发布反动信息的用户,学校信息中心将拆除该用户的上网设备,移交公安机关处理。 5、任何人不得在办公室、计算机室聊天、玩游戏以及做其他与工作学习无关的事情。 三、管理责任 1、信息中心必须严格执行管理,避免出现信息安全事故,及时协助用户防治病毒,维护校园网的信息畅通,出现问题,首先要追究用户责任,然后对管理人员进行行政处分。 2、信息中心经常召开网络安全会议,通报网络安全状况,解决网络安全问题。 3、信息中心应不定期举行网络安全培训班,学习网络法律、法规,强化网络安全意识,增强守法观念,提高网络安全水平。 4、对接入校园网的计算机应定期对其进行病毒检查及升级,不使用不明来源的软盘、光盘;网管人员每月应随机抽查上网机器,若发现问题应令其整改。 广州市第一一七中学 2010年9月 广州市第一一七中学校园网日常管理制度学校信息中心重点做好以下几个方面的工作,确保校园网的正常运行。 (一)加强档案管理和制度建设工作,学校信息化建设的文档要分类管理,要建立健全网络管理制度和教师应用管理制度。
竭诚为您提供优质文档/双击可除 信息安全岗位责任书 篇一:信息网络安全责任书 网络与信息安全责任书 为明确互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织的信息网络安全管理责任,确保互联网信息与网络安全,营造安全和谐的网络环境,根据《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法规规定,计算机信息网络国际联网单位单位应认真落实以下责任: 一、自觉遵守法律、行政法规和其他有关规定,接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。如有违反上述法律法规的行为,公安机关将依法给予责任单位警告、罚款、停止联网、停机整顿等行政处罚。 二、不利用国际联网危害国家安全、泄漏国家秘密,不侵犯国家的、社会的、集体的利益和公民的合法权益,不从
事犯罪活动。 三、不利用国际联网制作、复制、查阅和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权,推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事实诽谤他人的; (八)损害国家机关信誉的; (九)其他违反宪法和法律、行政法规的。 四、不从事下列危害计算机信息网络安全的活动: (一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的; (二)未经允许,对计算机信息网络功能进行删除、修改或者增加的; (三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的; (四)故意制作、传播计算机病毒等破坏性程序的; (五)其他危害计算机信息网络安全的。 五、建立安全保护管理制度、落实各项安全保护技术措
网络信息安全责任追究制度 第一条为了提升我局员工安全操作和安全维护意识,加强我局各业务系统的安全管理工作,同时深入贯彻执行我局的各类安全管理办法、安 全操作流程以及安全运行维护作业计划等安全相关内容,特制定本 制度。 第二条本办法适用于使用我局信息资产的所有员工,在日常维护运行管理中的各管理员。 第三条应严格遵守我局的各项管理规定和办法,对于因违反相关规定造成以下安全事件的相关责任人,我局将给予处罚: 1)局内大面积断网事故; 2)重要数据泄露事故; 3)大面积病毒爆发事故; 4)系统服务器登陆密码泄密事故; 5)数据库服务器登陆密码泄密事故; 6)业务系统通讯故障; 7)重大火灾事故; 8)其他重大安全事故。 第四条各系统支撑部门的安全管理员要根据《各业务系统安全运行维护作业计划》的内容严格进行操作,对于没有按照计划中的要求进行操 作,而带来了安全损害的人员,我局将给予处罚。 第五条各系统支撑部门的安全管理员没有根据《信息安全补丁管理办法》的内容对系统补丁进行测试和加载,并造成业务系统安全损害的情 况下,我局将给予处罚。
第六条各管理员没有根据《XXX信息系统应急预案》中的内容,在规定的时限内恢复系统正常运行,而给我局造成安全损害的情况,我局将 给予处罚。 第七条各部门没有根据《信息安全第三方安全管理规定》中的内容,严格控制和约束第三方的行为,而给我局系统造成安全损害的情况下, 我局在追究第三方责任的同时,会给予部门相关责任人处罚。 第八条各部门在开展安全项目建设的过程中,没有根据《XXX信息系统变更管理规定》中的相关要求和流程进行建设,局信息中心会根据违 规的严重程度,给予相关责任人不同程度的处罚。 第九条为了确保本制度的时效性、可用性,必须根据相关审核规定进行评审和修订,修订后重新发布。 第十条本细则由局信息中心负责制定、解释和修改。自发布之日起执行。
等保测评之-信息安全管理制度
信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
信息安全岗位职责 1、信息安全工程师岗位职责 1、负责信息安全管理,制定信息安全标准及相关指引和流程; 2、负责网络安全防御系统的建设、维护与管理; 3、负责信息系统安全风险评估并持续跟踪管理; 4、负责安全事件的实时响应、处理及调查取证; 5、负责自动化安全工具的开发、测试和规则模型优化等工作; 6、跟踪分析国内外安全动态,研究安全攻击、防御及测试技术。 2、网络信息安全管理员岗位职责 1.负责制定和实施网络信息安全管理制度,以技术手段隔离不良信息,及时发布预知通告,发布计算机病毒、网络病毒的危害程度、防杀措施、及补救办法。教育计算机用户和网络用户树立安全意识,主动防范病毒、黑客的侵扰,抵制不良信息;建立网络信息安全监管日志。 2.负责校园门户网站管理系统用户及密码的管理、提供包括开户、修改、暂停、注销等服务,做好各部门网站信息管理员备案,协助做好上网用户的备案工作,接受用户的咨询和服务请求。 3.依据信息安全管理规定,定期检查各单位主页内容,预防不良信息发布。
4.监督检查各网络接口计算机病毒的防治工作。 5.负责中心日常办公工作,部门通知、文件、信函等的传达工作,做好部门办公电话接听和电话记录; 6.负责我院的信息化建设相关文件资料的收集、归类与整理,做好资料收集、编目、建档工作。 7.负责网络中心负责网络中心设备、材料、软件介质等的建档、编号与借用管理。 8.参与我院网络信息资源的系统开发、设计、建设和维护。 9.开展信息安全基础培训工作,提供信息系统安全应用的技术支持。 10.及时完成主任交办的其它任务,积极主动配合、协助中心其他岗位的工作。 3、网络信息安全工程师岗位职责 1.网络信息安全工程师的工作主要是为企业量身定做合理且经济的信息网络安全解决方案,维护日常网络安全管理,预防网络安全隐患等; 2.通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等,进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等。 4、网络信息安全工程师岗位职责
网络与信息安全保障措施用户信息安全管理制度…1.4.4 武汉九千年中医门诊部网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安武汉九千年中医门诊部门户全的重要性,严格遵守相应规章制度。 2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。 3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其 个人信息及保存在本网站中的非公开内容,但下列情况除外: ①违反相关法律法规或本网站服务协议规定; ②按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③因维护社会个体和公众的权利、财产或人身安全的需要; ④被侵害的第三人提出合法的权利主张; ⑤为维护用户及社会公共利益、本网站的合法权益的需要; ⑥事先获得用户的明确授权或其它符合需要公开的相关要求。 4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。 5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。 6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。 武汉九千年中医门诊部将严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。 单位(章): 年月日
网络信息安全管理制度 颁布日期:2013年4 月10 日
执行日期:2013年4 月10日执行部门:信息部信息资源中心目录 目录 (2) 前言及修订记录 (3) 1目的 (4) 2范围 (4) 3 定义与术语 (4) 4 角色与职责 (5) 4.1 流程说明 (6) 4.2 管理内容 (7) 4.2.1 Internet账号申请 (7) 4.2.2 Internet账号使用注销 (7) 4.2.3 Internet使用规范 (7) 4.2.4 网络信息安全管理 (7) 4.2.5 监督与违规处理 (9) 4.3 附表清单 (10)
本制度由华纺股份有限公司信息部提出并归口管理。 前言及修订记录
1目的 为加强全公司网络与信息安全的日常管理,使网络安全管理工作制度化、规范化、流程化,保障各信息系统安全、稳定运行,特制订本制度。 2范围 适用于公司所有电脑用户和服务器等网络系统和设备。 3 定义与术语 网络与信息安全,它主要是指网络系统的硬件、软件及
其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 4角色与职责 (1)部门负责人 该负责人应由部门主管亲自单人或由主管指定专人负责,该负责人有权对本部门的所有计算机进行操作并查看。同时其负有对所有计算机信息保密的义务。若发现该部门或责任人泄漏计算机内信息秘密,将视情节轻重对该部门或责任人处以200-5000元的经济处罚。 (2)IT部 全公司计算机及外设与网络管理的责任部门为信息资源中心,并由其指定使用部门责任人负责计算机与网络管理的各项工作。