信息系统密码安全管理制度
为了提高东乡区第二医院信息系统的安全性,保障信息系统的正常运行以及业务数据安全,根据计算机等级保护要求和国家相关规定,特制定本制度。
一、范围
1、非应用程序方式访问服务器、网络设备、数据库。
2、正常的业务应用系统进行信息系统登录。
二、定义
1、服务器访问:由于维护需要,进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。
2、网络设备访问:于维护需要,进入网络设备进行网络设备的设置修改、日志查询、机器运行状况查询等操作。
3、数据库访问:由于数据库维护需要,进入就据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。
4、信息系统登录:由于业务需要,进入相关信息系统软件模块,进行业务操作(挂号、收费、发药、门诊医生工作站、医嘱、医技等)。
三、密码等级
信息系统密码按权限分为三个等级:高、中、低。
1、高等级密码适用于影响全院业务的高安全等级操作。主要包括服务器、网络设备、数据库。
2、中等级密码适用于影响全院多个科室业务的中安全等级操作,主要包括信息科使用的各信息系统模块登录。
3、低等级密码适用于影响单独科室或个人的低安全等级的操作,包括信息系统软件模块的单纯登使用。
四、权责
1、密码使用:高等级密码、中等级密码为信息科人员使用;低等级密码为相应科室或个人使用。
2、安全监管:高等级、中等级密码根据东乡区第二医院相应岗位人员负责,低等级密码由科室或个人负责。
五、密码使用
1、高等级密码的使用需获得信息科长授权同意。
2、高等级、中等级密码密码必须由数字、字符和特殊学符组成。
3、高等级、中等级密码密码长度不能少于6个字符,密码需定期更换
4、依等级应定期更换。建议使用数字、字符和特殊字符组成的密码。
5、被授权人员一旦获知密码后,应有相当强的保密意识,不得以任何方式告知他人,若工作需要必须转告,应精示主管领导认可,如不慎泄露密码后,需立即告知信息科负责人,及时采取补救措施。
六、备注
本规定尚未涵盖的问题,应及时与信息科主任汇报,并由院信息化领导小组集体讨论处理方案,有必要的修订人本规程。
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
设备设施安全管理制度 1.目的 为了加强对公司设备设施的管理,防止和减少各类安全事故,保障职工的生命安全和健康及财产、环境不受损失。特制定本制度。 2.总纲 2.1所有设备设施应符合有关法律法规、标准规范要求。 2.2本制度所指的设备设施包括建筑设施、各种管路、线路、机电设备,各种仪表、仪器,生产、生活、办公用设施、器具。 2.3本制度适用于公司所有的从业人员。 2.4有关管理人员及操作人员必须选用热爱本职工作、爱惜设备、责任心强、自觉性高、工作认真扎实,经过培训,熟练掌握相关技术的人员。 3.使用前的注意事项 3.1 制定安全操作规程,做好员工使用前培训。 3.2 有关管理人员必须熟知水、电、热、气等的各种管路、线路、开关、阀门等基础设备的设置情况及作用,具备所操作设备的专业知识。 3.3 操作人员必须熟读设备的说明书,熟悉设备的性能、操作要求、注意事项、保养知识等,对其知识完全掌握后方可操作。 3.4 对设备的运输、装卸、安装要研究切实的防护方案,确保设备的完好无损。 3.5 设备使用前必须做好充分的准备工作,准备不充分不得使用。准备完毕后,操作前要向领导报告准备情况,不经领导批准,不得启动。 4.操作中的注意事项 4.1 使用大小车辆,必须注意运行中不得碰撞任何建筑设施及机械设备,不得挤压管路,挂扯线路。 4.2 操作人员使用设备,必须按规程操作,要精力集中,耳闻眼观,发现异常情况,应立即停止使用,认真进行检查,以免造成设备损坏。 4.3 凡有额定装载量或额定功率的设备,均不得超负荷使用,对于没有规定负荷的,使用时也应考虑其承受能力,合理使用。
4.4 设备损坏应立即修理或更换,绝不允许带病使用,特殊情况须报上级批准,完全确认不会对设备造成进一步的损坏,不会有安全事故发生后,方可使用。 4.5 设备运行中出现有可能导致生产中断或造成严重事故的故障时,必须一面采取应急措施,一面立即向上级汇报,尽量让损失降到最低限度。 4.6 使用器具不得摔磕、碰撞,严禁野蛮使用;非维修所需,不得拆卸各种机械、仪表,杜绝人为损坏。 4.7 下水道、排水沟入口必须设有过滤网,严禁垃圾等各种固体杂物入内。 4.8 设备损坏后应及时写出损坏报告,详细说明原因,并且必须当天上报。 5. 保养 5.1 凡教科书、有关使用规范以及使用说明书中有保养注意事项的,必须按保养要求按时保养,使用说明书没有说明的,使用单位应据其性能自行制定保养办法,以延长设备的使用寿命,严禁超期连续使用。凡超期使用的,设备损坏定为人为损坏。 5.2 防锈蚀。各种金属设备、器具必须做好防锈工作,经常擦拭,防止生锈。动力车间、维修车间、配电室应注意创造通风、干燥的条件。湿度大的环境应强化对设备的防护。设备使用后应采取有效措施,该清洁的清洁,该干燥的干燥,长期不用的器具应涂防锈漆及采取防尘防潮的措施进行保管。可以刷油漆的各种易生锈器具应定期进行油漆,刷油漆前应彻底去锈。 5.3 防止机件松动。应经常检查设备部件有无异常现象,螺丝、螺母有无松动。新使用和经过维修拆装后的设备应特别注意。 5.4 需定期添加润化剂、抗氧化剂、密封填料或需定期更换易损件(如:轴承、垫圈)的设备,应做好使用记录,按时进行添加或更换。 5.5 暂时不用的机械设备,也需清理干净,注意防尘、防潮,并定期进行检查。 5.6 各使用单位在使用设备中发生的故障应做好记录,以备查用。 6. 修理 6.1 维修人员应树立高标准,严要求的质量意识,本着安全、适用、美观、经济的原则。坚决反对图省事,怕麻烦,粗心大意应付了事的作风。
信息系统口令、密码和密钥管理 1范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1994国务院中华人民共和国计算机信息系统安全保护条例 国务院273号令商用密钥管理条例 1998国家保密局中华人民共和国计算机信息系统保密管理暂行规定 2000国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003公司网络与信息安全管理办法(试行) 2006公司信息网防病毒运行统计管理规范(试行) 2006公司信息网用户行为规范(试行) 3术语与定义 以下术语和定义适用于本标准。 3.1 信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。 3.2 密钥 密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。 4职责 4.1信息中心职责 4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。 4.2信息中心各专职职责 4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。 4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。 4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。 4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。 5管理内容与要求 5.1主机与网络设备(含安全防护系统)口令、密码管理
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统得安全性,保障信息系统得正常运行以及业务 数据安全,防止黑客攻击与用户越权访问,防止 公司重要信息得丢失、泄漏与破坏,建立科学、规 范得信息系统密码管理规范,特制定本规定。 第二条本制度所指信息系统密码,包括以下几种类型: 1.公司所有业务系统普通用户密码(包括NC、即时通 讯、上网行为、邮箱、视频会议等业务登录密码); 2.公司所有业务系统权限管理员与系统运维管理员密 码(包括业务系统、网站系统、邮箱系统、安全审计 系统、备份系统、虚拟化系统、防病毒安全系统、 视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、 网站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安全 系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其她网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整得多级权限管理体系。这些系统得最高权限 分配得其她权限得密码,也需遵守本规定; 第四条公司业务系统普通用户得密码设置规范要求如下:
1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A—Z)、数字(0-9)、 特殊字符(!#$%^&*)中得两种; 3.密码必须6个月更换一次,并且新密码不得与原密 码相同; 第五条对以下密码: 1.司所有业务系统权限管理员与系统运维管理员密 码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其她网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原 密码相同; 第六条信息系统密码设置规范得系统控制: 1.应用系统应控制密码得有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用得可能性; 2.用户密码唱得与编码规则限制。强行要求用户密码 符合长度与复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数.再密码错误输入三次 后,系统锁定登录用户。用火狐必须通知信息化部
安全设施、设备管理制度 为确保安全生产,保证安全设施、装置,各种设备能随时发挥作用,根据国家有关安全生产法律法规,结合永恒公司安全生产管理工作实际需要,特订立本制度。 第一章 安全设施管理制度 一、范围 生产中的工艺指标超限报警装置、安全联锁装置、事故停车装置、安全阀、电器设备的过载保护装置、机械运转部分的防护装置、灭火装置以及事故照明疏散设施、静电和避雷防护装置、环保设备等均属于安全装置和安全设施。 生产过程中佩带和使用的保护人体安全的器具如安全帽、防尘口罩、防毒面具、绝缘棒、绝缘手套、绝缘鞋等均属于防护器具。 二、管理分工 1.由安环部分工管理各种安全装置、设施和防护器具;
2.分工原则: 2.1凡机械、设备上的安全装置如受压容器上的安全阀、压力表等由设备管理员管理; 2.2凡属电器方面的安全保护装置如各种继电保护装置、仪器仪表均由电工负责管理; 2.3凡生产区内的火警报警装置、灭火装置和其他固定装置均由消防专管员管理。 2.4由专职安全员随时巡查,确保安全设施具有完好性能。 三、维修与检验 3.1各种安全装置要有专人负责,经常巡回检查,维护管理; 3.2 安全装置要建立档案,编入设备检修计划,定期检修; 3.3 安全装置不得随意拆除,挪用或废置不用,若确有必要申请拆除须经安全技术部门同意; 3.4 除安全装置专责维修人员外,其他人一律不得乱动。 四、防护器材的选用和保管 4.1 根据作业性质、条件,劳动强读度和防护器材性能及其防护性质,正确选用防护器材种类和型号,不得超出防护范围进行代用;4.2绝缘手套、胶靴、绝缘棒、绝缘垫台等常用的电气绝缘工具要指定专人保管; 4.3 常用电气绝缘工具按照电气安全工作规程规定定期进行耐压试验,严禁使用不合格的绝缘工具从事电气工作。 安全装置和安全设施必须进行定期维护,随时检查保证具有充分
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
设备和设施安全管理制度 设备设施安全管理工作必须坚持“安全第一,预防为主”的方针;必须坚持设备与生产全过程的系统管理方式;必须坚持不断更新改造;提新安全技术水平的原则;能及时有效地消除设备运行过程中的不安全因素,确保公司财产和人身安全。 一.设备设施选购 1.必须坚持“安全高于一切”的设备设施选购原则,要求做到设备 运行中,在保证自身安全的同时,确保操作工的安全。 2.设备管理人员应根据本企业生产特点,工艺要求广泛搜集信息 (包括:国际、国内本行业的生产技术水平,设备安全可靠程度。 价格、售后服务等);经过论证提出初步意见报总经理批准实施。 二.设备设施使用前的管理工作 1.制定安全操作规程 2.制定设备维护保养责任制 3.安装安全防护装臵 4.员工培训,内容包括设备原理、操作方法、安全注意事项、维护 保养知识等,经考验合格后,方可持证上岗。 三.设备设施使用中的管理工作 1.严格执行<<设备安全管理制度>>,由公司主管领导和设备管理人 员共同落定。 2.设备操作工人须每天对自己所使用机器做好日常保养工作,生产 过程中设备发生故障应及时给予排除。
3.为了便于操作工日常维护保养,有设备管理人员、工程技术人员 共同按照技术要求,由部门经理和设备管理人员负责检查实施。 4.预检预修,是确保设备正常运转,避免发生事故的有效措施,设备 管理人员根据设备状况和使用寿命,预先制定出安全检修周期和检修内容,落实专人负责实施,将设备质量保持在最好状态,确保设备从本质上的安全性。 四.设备设施维护保养制度 1.设备运行与维护坚持“实行专人负责,共同管理”的原则,精心 养护,保证设备安全,负责人调离,立即配备新人。 2.操作人员要做好以下工作: 1)自觉爱护设备,严格遵守操作规程,不得违规操作 2)管线,阀门做到不渗不漏 3)做好设备班前、班中、班后按照要求经常性的加注润滑油。防 止过度磨损 4)设备要定期更换、强制保养、保持技术状况良好 5)建立设备保养卡片,做好设备的运行、维护、养护记录 6)保持设备设施清洁,场所窗明地净,环境卫生好。 五.设备设施检查制度 1.生产部设备维修人员,每两周对生产设备进行检查一次。 2.每半年由使用部门会同维修人员,根据生产需要和设备实际运转 状况,制定设备大修计划,设备大修前必须制定修理工时,停歇时间,材料消耗,清洗用油及维修费用。
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
编号:SM-ZD-59063 设备设施安全管理规定Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
设备设施安全管理规定 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1 范围 本部分规定了汕尾市烟草专卖局(公司)设备设施安全管理的要求。 本部分适用于汕尾市烟草专卖局(公司)管辖范围内设备设施的管理工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 28001-2011 职业健康安全管理体系要求 YC/T 384.1-2011 烟草企业安全生产标准化规范第1部分基础管理规范 YC/T 384.2-2011 烟草企业安全生产标准化规范第2部分安全技术和现场规范
GB 10060-2011 电梯安装验收规范 TS/ GT 5001-2009 电梯使用管理与维护保养规则 GB/T 3787-2006 手持电动工具的管理使用检查和维修安全技术规程 GB/T 18831-2010 机械安全带防护装置的联锁装置设计和选择原则 GB 16754-2008 机械安全急停设计原则 3 术语和定义 GB/T 28001、AQ/T 9006、YC/T 384.1、YC/T 384.2界定的及下列术语和定义适用于本部分。了便于使用,以下重复列出了某些术语和定义。 3.1 安全生产标准化 通过建立安全生产责任制,制定安全管理制度和操作规程,排查治理隐患和监控重大危险源,建立预防机制,规范生产行为,使各生产环节符合有关安全生产法律法规和标准规范的要求,人、机、物、环处于良好的生产状态,不断加强企业安全生产规范化建设。
信 息系统密码管 理规定 为了加强风险管理,强化保密工作,提高公司信息系统的安全性, 保障信息系统的正常运行以及业务数据安全,防止黑客攻击和用户 越权访问,防止公司重要信息的丢失、泄漏和破坏,建立科学、规 范的信息系统密码管理规范,特制定本规定。 员密码; 应用系统服务器、数据库、网络系统,自身包含有完整的多级权限 管理体系。这些系统的最高权限分配的其他权限的密码,也需遵守 本规定; 密码必须包含字母(a-z,A-Z ))数字(0-9 )、特殊字符(!@#$%八& 中 的两种; 第一条 第二条 本制度所指信息系统密码,包括以下几种类型: 1. 公司所有业务系统普通用户密码(包括 NG 即时通讯、上网行为、邮 箱、视频会议等业务登录密码) 2. 公司所有业务系统权限管理员和系统运维管理员密码(包括业务系统、 网站系统、邮箱系统、安全审计系统、备份系统、虚拟化系统、防病毒 安全系统、视频会议系统、存储系统等后台管理密码) 3. 应用服务器管理密码(包括运行业务系统服务器、网站服务器、邮件服 务器、安全审计系统服务器、备份系统服务器、虚拟化系统服务器、防 病毒安全系统服务器、存储设备等登录密码) 4.系统数据库管理员密码; 5. 其他网络应用及网络系统(路由器、交换机、上网行为、 VPN 等)管理 第三条 第四条 公司业务系统普通用户的密码设置规范要求如下: 1. 密码长度不得低于6位; 2.
3.密码必须6个月更换一次,并且新密码不得与原密码相同; 第五条对以下密码: 1. 司所有业务系统权限管理员和系统运维管理员密码; 2. 应用服务器管理密码; 3. 系统数据库管理员密码; 4. 其他网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原密码相同; 第六条信息系统密码设置规范的系统控制: 1.应用系统应控制密码的有效期,通过设置,强行要求用户定期进行密码 修改,减少密码被盗用的可能性; 2.用户密码唱的和编码规则限制。强行要求用户密码符合长度和复杂性要 求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数。再密码错误输入三次后,系统锁定登录用 户。用火狐必须通知信息化部门解除锁定。 第七条公司引进、购买或者自主幵发的所有业务系统,均按照本办法第六条的要求,完善密码管理功能模块。 第八条所有业务系统各类用户可自行修改密码。密码应妥善保管,不得公幵或告知他人。如果遗忘,应及时联系信息化相关管理人员重新设 置。 第九条信息系统服务器操作系统管理员、系统数据库管理员和公司网络服务器管理员密码应由不同人员分别掌控。
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
设备设施安全管理制度 第一章总则 第一条为加强公司设备设施的管理,保证设备设施的安全运行,避免发生设备设施事故,根据国家、天津市的相关规定,并结合公司的实际情况,特制定本管理制度。 第二条本管理制度适用于公司内与生产有关的设备设施。 公司设备设施的采购、验收、使用、检维保、变更和报废拆除的管理过程适用于本管理制度。 交通车辆、办公家具、装配制造出成品设备设施不适用本管理制度。 第三条设备设施的安全管理就是要在设备设施寿命周期内的采购、验收、检维保、变更和报废拆除的整个过程中,采取各种安全技术措施,消除一切使设备设施遭受损坏和人身安全受到威胁的隐患,有效降低风险,避免发生事故。 第四条管理职责 (设备管理部门)是生产设备设施的主管部门,负责生产设备设施的综合管理,对使用部门有监督管理职责,对相关方有监督管理职责。 (生产部门)是生产设备设施的使用部门,也是生产设备设施的直接责任部门和直接管理部门,负责生产设备设施的日常管理。 (安全管理部门)是对生产设备设施实施安全管理的主管部门,参与综合管理工作,对使用部门有安全管理职责,提供有效的安全技术支持。 (物资采购部门)是生产设备设施采购的主管部门。 第五条设备设施管理以“谁使用、谁负责”,“谁检维保、谁负责”,“谁监管、谁负责”为管理原则。 第六条设备管理部门应组织生产部门、安全管理部门对设备设施的验收、
检维保和报废拆除分别制定有针对性的管理制度。 第七条设备管理部门应组织安全管理部门、生产管理部门对特种设备和安全设施分别制定有针对性的管理制度。 第八条设备管理部门应统计和建立《设备设施运行台账》,并定期更新。 设备设施运行台账应至少包括名称、安装使用地点、内部编号、使用部门、使用人、运行状态、主要技术参数、是否年检等相关信息。 第九条设备管理部门应单独建立《特种设备台账》和《安全设施台账》,并定期更新。 第十条设备设施的使用人、修理人员应严格按照国家、行业标准,设备设施说明书,以及公司安全操作规程执行,履行检查、维护、保养的职责,爱护爱惜设备设施,确保设备设施的正常运行。 第十一条设备管理部门和安全管理部门应对设备设施的情况进行检查,制止和纠正违章使用和破坏的行为,确保设备设施的正常运行。 第二章设备设施采购 第十二条生产部门应根据生产经营情况制定设备设施的需求和采购计划,同时征求(设备管理部门)和(安全管理部门)的意见。 第十三条需求和采购计划应逐级上报至主要负责人审核审批。 第十四条需求和采购计划应当至少包括工程或作业项目、设备设施名称以及具体的技术参数、采购的时限、效果评估等内容。 第十五条(安全管理部门)和(设备管理部门)应对计划提供安全技术和厂务方面的支持。 第十六条(采购供应部门)应按照计划进行采购工作。 第十七条采购的设备设施应当符合国家、天津市相关标准的要求。供应商
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
工作行为规范系列 设备设施安全管理规定(标准、完整、实用、可修改)
编号:FS-QG-62930设备设施安全管理规定 Model of equipment and facilities safety management regulations 说明:为规范化、制度化和统一化作业行为,使人员管理工作有章可循,提高工作效率和责任感、归属感,特此编写。 1范围 本部分规定了汕尾市烟草专卖局(公司)设备设施安全管理的要求。 本部分适用于汕尾市烟草专卖局(公司)管辖范围内设备设施的管理工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T28001-2011职业健康安全管理体系要求 YC/T384.1-2011烟草企业安全生产标准化规范第1部分基础管理规范 YC/T384.2-2011烟草企业安全生产标准化规范第2部
分安全技术和现场规范 GB10060-2011电梯安装验收规范 TS/GT5001-2009电梯使用管理与维护保养规则 GB/T3787-2006手持电动工具的管理使用检查和维修安全技术规程 GB/T18831-2010机械安全带防护装置的联锁装置设计和选择原则 GB16754-2008机械安全急停设计原则 3术语和定义 GB/T28001、AQ/T9006、YC/T384.1、YC/T384.2界定的及下列术语和定义适用于本部分。了便于使用,以下重复列出了某些术语和定义。 3.1 安全生产标准化 通过建立安全生产责任制,制定安全管理制度和操作规程,排查治理隐患和监控重大危险源,建立预防机制,规范生产行为,使各生产环节符合有关安全生产法律法规和标准规范的要求,人、机、物、环处于良好的生产状态,不断加