下载文档原格式
网络与信息安全管理办法7篇网络与信息安全管理办法篇1为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。
一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。
二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。
(一)数据资源的安全保护。
网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。
数据资源安全保护的主要手段是数据备份,规定如下:1、办公室要做到数据必须每周一备份。
2、财务部要做到数据必须每日一备份3、一般用机部门要做到数据必须每周一备份。
4、系统软件和各种应用软件要采用光盘及时备份。
5、数据备份时必须登记以备检查,数据备份必须正确、可靠。
6、严格网络用户权限及用户名口令管理。
(二)硬件设备及机房的安全运行1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。
2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻≤2ω,零地电压≤2v),避免因接地安装不良损坏设备。
3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。
5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。
(三)网络病毒的防治1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。
2、定期对网络系统进行病毒检查及清理。
3、所有u盘须检查确认无病毒后,方能上机使用。
4、严格控制外来u盘的使用,各部门使用外来u盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
5、加强上网人员的职业道德教育,严禁在网上玩游戏,看于工作无关的网站,下载歌曲图片游戏等软件,一经发现将严肃处理。
公司网络信息安全管理办法一、总则随着信息技术的迅速发展,公司对网络的依赖程度日益加深。
为保障公司网络信息的安全、稳定和可靠运行,保护公司的商业秘密和知识产权,特制定本管理办法。
二、适用范围本办法适用于公司所有使用公司网络资源的员工、部门和合作伙伴。
三、管理原则1、安全第一原则:将网络信息安全置于首位,确保公司业务的正常开展和信息资产的保护。
2、合规性原则:遵守国家法律法规、行业规范和公司内部规定,确保网络信息安全管理的合法性和规范性。
3、全员参与原则:网络信息安全是全体员工的共同责任,需要每个人积极参与和配合。
四、组织与职责1、成立网络信息安全领导小组,负责制定公司网络信息安全策略和规划,审批重大网络信息安全事项。
2、设立网络信息安全管理部门,负责具体实施网络信息安全管理工作,包括制定安全制度、组织安全培训、监测安全状况、处理安全事件等。
3、各部门应指定专人负责本部门的网络信息安全工作,配合网络信息安全管理部门落实各项安全措施,对本部门员工进行安全教育和管理。
五、员工网络信息安全管理1、员工入职时应签订网络信息安全承诺书,明确遵守公司网络信息安全规定的责任和义务。
2、员工应妥善保管个人的账号和密码,不得泄露或转借他人使用。
定期修改密码,密码应具有一定的复杂性。
3、员工不得在公司网络上从事与工作无关的活动,如玩游戏、观看视频、下载非法软件等。
4、员工应遵守公司的信息保密制度,不得泄露公司的商业秘密、客户信息、技术文档等敏感信息。
对于工作中接触到的敏感信息,应采取必要的保密措施,如加密存储、限制访问等。
5、员工离职时,应及时清理个人在公司网络上的工作文件和数据,并交还相关的工作设备和资源。
六、网络设备与系统管理1、公司的网络设备和系统应定期进行维护和更新,确保其安全稳定运行。
2、对网络设备和系统的访问应进行严格的权限管理,只有经过授权的人员才能进行操作和管理。
3、定期对网络设备和系统进行安全扫描和漏洞检测,及时发现和修复安全漏洞。
学校网络与信息安全管理办法第一章总则第一条为加强学校网络与信息安全管理,充分发挥校园网的作用,促进信息资源的交流与共享,维护公共利益和学校稳定,根据《网络安全法》和其他法律、法规的规定,结合学校实际,制定本办法。
第二条学校网络与信息安全工作,是指对于由校内各单位建设或管理,服务学校教学科研管理工作的校园网络、校园网站、数据中心和应用系统的预防和防御工作。
其核心内容是防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等。
第二章管理体制与责任第三条学校网络与信息安全总体坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。
第四条学校设立“网络安全与信息化领导小组”,学校书记、校长任组长,其他成员任副组长,各二级学院、部室(单位)负责人为组员,主要负责领导全校网络安全与信息化工作。
小组下设两个办公室,信息安全办公室设在办公室,负责信息安全和网络舆情管控;网络安全办公室设在网络中心,负责网络安全管理。
第五条办公室是信息安全监管部门,负责校园网站建设、信息发布、内容审核与安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第六条网络中心是网络安全技术支撑部门,负责学校整体网络安全防护体系的建设,负责为全校各单位网络安全工作提供技术指导与服务支持。
第七条学校各二级单位是本单位网络与信息安全责任主体,单位主要负责人为所属网络与信息安全的第一责任人,负责本单位网络与信息安全管理工作。
各二级单位应明确指定专人担任网络安全管理员与信息安全管理员,分别负责本单位网络与信息安全具体业务工作,人员变动时应及时调整并分别向管理部门(信息安全管理员报办公室,网络安全管理员报网络中心)报备,人员变动及权限变更应做好台账记录。
第三章校园网络安全管理第八条校园网络包括校园有线网络和无线网络,涉及光缆、网络机房、网络设备、域名管理、安全防护、认证计费、网络接入与运维等,由网络中心负责建设和运行维护管理。
学院网络与信息安全管理办法第一章总则第一条为加强学校网络与信息安全管理,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规,按照《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》等文件精神和具体要求,结合我校实际,制定本办法。
第二条学校按照同步规划、同步建设、同步运行的原则,建立健全网络与信息安全防护体系,全面实施信息系统安全等级保护制度。
第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入校内,不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人合法权益,不得从事违法犯罪活动。
第四条未经批准,任何数据业务运营商或代理商不得擅自进入校园进行工程施工,开展互联网业务。
第二章组织机构第五条学校网络安全与信息化领导小组是校党委领导下全面推进网络安全与信息化建设的决策与协调机构,负责统筹部署、指导学校网络安全工作,对网络安全相关的重大项目进行论证。
第六条信息中心是学校网络与信息安全的日常管理和推进部门,负责网络与信息安全防护体系的规划建设、运行维护和技术支持,组织、督促各二级学院(部、所)、校属部门开展网络与信息安全工作。
第七条各二级学院(部、所)、校属部门负责本单位网络与信息化安全工作,由一名领导班子成员作为网络与信息安全的责任人,并设立网络与信息安全员,负责具体工作。
第三章网络基础设施与安全管理第八条信息中心对校园网基础设施进行统筹规划和建设管理,根据国家有关规定和学校实际情况确定基础设施建设的内容及方式,确保电信运营商在校园内进行合理建设,避免电信基础设施与校园网基础设施产生资源冲突。
第九条信息机房按照“谁建设、谁管理、谁负责”的原则,建立责任明确、措施得力的安全体系。
第十条网络通信基础设施安全由信息中心负责。
第十一条接入校园网的设备必须用于我校的教学、科研和管理工作。
二级学院(部、所)、校属部门有设备需接入校园网时,应履行申请手续,经校领导批准后方可接入。
电力行业网络与信息安全管理办法第一章总则第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章监督管理职责第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。
国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;(七)组织开展电力行业网络与信息安全的技术研发工作;(八)电力行业网络与信息安全监督管理的其它事项。
第三章电力企业职责第六条电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
网络与信息安全管理办法第一章总则第一条【目的】为加强XXX公司(以下简称“公司”)网络与信息安全管理,明确网络与信息安全管理机构和岗位人员的职责,落实网络与信息安全管理责任,制定本办法。
第二条【适用范围】本办法适用于公司及所辖各分公司的网络与信息安全管理工作。
第二章机构与职责第三条【组织机构】(一)公司设立网络安全与信息化领导小组,组长为公司董事长,副组长为公司网络安全与信息化工作分管领导,成员为公司各部门、各分公司负责人。
(二)公司网络安全与信息化领导小组办公室设在信息化部,办公室主任由信息化部主任兼任。
(三)各分公司及下辖各工程管理部应设置网络与信息安全管理机构,配备专(兼)职网络与信息安全管理人员。
第四条【领导小组】公司网络安全与信息化领导小组负责公司网络与信息安全工作的组织、部署与落实情况的监督,具体职责包括:(一)根据国家和行业有关网络与信息安全的政策、法律、法规,审定公司网络与信息的安全管理策略和发展规划,确定网络与信息安全工作的目标、原则及工作部署;(二)在信息系统面临安全风险和更改事项时,监督控制可能发生的重大变化,并进行决策;(三)审查、协调网络与信息安全事件的处理,并督导改进措施的落实;第五条【信息化部】(一)负责公司网络与信息安全发展规划、工作要点及工作部署的具体落实;协调处理信息系统建设、管理和运行中的有关问题,并对具体落实情况进行总结和汇报;(二)贯彻执行上级单位下发的网络与信息安全策略和通告,组织制定公司网络与信息安全策略,对系统发生变更的情况组织评审,保障与安全策略的一致性;(三)组织制定信息系统安全建设、管理和运行相关的管理制度和规范,并对信息安全管理制度和规范落实情况进行监督、检查及指导;(四)负责内外部组织和机构的对接与协调工作;组织开展公司本部信息系统安全等级保护相关工作;(五)负责公司网络与信息系统安全事件应急保障和恢复工作;第六条【其他部门】(一)规范使用本部门的信息系统,对本部门员工及接待的第三方人员进行网络与信息安全管理;(二)负责本部门所承担运维的应用系统、基础设施或中间件等信息系统的安全管理;落实本部门所承担运维信息系统的应急预案,并负责具体应急处置工作;(三)负责向与本部门对接业务的人员或单位传达网络与信息安全要求,落实各自安全职责;发现并及时报告本部门网络与信息安全事件;第七条【网络与信息安全管理员】(一)负责信息设备的统计、故障处理、账号管理、策略配置、系统升级、日志管理和维护等工作;(二)负责网络与信息安全事件的监控及处理,负责突发事件的应急响应与处理;(三)负责制定信息安全设备、网络设备、操作系统和数据库等软硬件的安全策略,并定期检查分析信息安全策略的执行情况;(四)负责组织信息系统重大保障期间的信息安全检查与监控工作;负责信息系统用户及管理员的认证访问、权限和操作的安全审核;(五)负责网络拓扑、网络维护手册等相关资料的编写及更新;(六)负责保持网络设备的漏洞最小化,定期对系统进行安全加固;落实信息安全策略,审核网络可能发生的变更,并保证与安全策略的一致性;(七)负责网络接入安全管理,对接入网络的信息系统进行审核;(八)负责机房的日常管理和维护,对机房人员、设备进出进行登记管理;第三章授权和审批管理第八条【审批事项与审批权限】(一)系统漏洞扫描、风险评估和渗透测试工作由公司网络与信息安全领导小组组长进行审批。
公司网络与信息安全管理办法第一章总则第一条为加强公司网络与信息安全管理,保障公司信息系统的安全稳定运行,保护公司及客户的合法权益,根据国家有关法律法规和公司实际情况,制定本办法。
第二条本办法适用于公司及所属各单位的网络与信息安全管理工作。
第三条网络与信息安全管理工作应遵循“预防为主、综合治理、人员防范与技术防范相结合”的原则。
第二章管理职责第四条公司成立网络与信息安全领导小组,负责统筹规划、协调指导公司网络与信息安全工作。
第五条信息技术部门负责公司网络与信息系统的建设、运行维护和安全管理,制定并实施相关安全策略和管理制度。
第六条各部门应明确本部门网络与信息安全责任人,负责落实本部门的网络与信息安全工作。
第三章人员安全管理第七条公司员工应遵守公司网络与信息安全管理制度,妥善保管个人账号和密码,不得随意泄露。
第八条新员工入职时应接受网络与信息安全培训,了解公司相关规定和要求。
第九条对涉及重要信息系统操作的人员,应进行背景审查和定期审查。
第十条员工离职时,应及时收回其相关系统的访问权限。
第四章设备与环境安全管理第十一条公司应加强对网络设备、服务器、终端等硬件设备的管理,定期进行维护和保养。
第十二条对重要设备应采取冗余备份、防火、防水、防盗等措施,确保设备的安全运行。
第十三条机房等重要场所应具备完善的物理环境安全设施,如门禁系统、监控系统、消防系统等,并定期进行检查和维护。
第五章网络安全管理第十四条公司应建立完善的网络访问控制策略,对不同用户和网络区域进行访问权限划分。
第十五条定期对网络进行安全漏洞扫描和风险评估,及时发现并处理安全隐患。
第十六条加强对无线网络的安全管理,设置强密码,并定期更换。
第十七条严禁私自搭建未经批准的网络设备和网络服务。
第六章信息系统安全管理第十八条对公司各类信息系统进行分类管理,明确安全等级和保护要求。
第十九条信息系统开发过程中应遵循安全开发规范,进行安全测试和评估。
第二十条信息系统上线前应进行安全验收,运行过程中应定期进行安全检查和维护。
网络与信息安全工作管理办法随着互联网的快速发展,网络与信息安全工作变得尤为重要。
为了确保网络安全,保护信息的机密性、完整性和可用性,各个组织和机构都需制定网络与信息安全工作管理办法。
本文将就网络与信息安全工作的管理办法进行探讨。
1. 安全意识培养与教育网络与信息安全的管理办法首先需要建立良好的安全意识培养与教育制度。
所有员工都应该接受关于网络安全的培训,并了解网络威胁的类型和常见的安全漏洞。
针对不同岗位的员工,还应提供相应的专业培训,完善他们的网络安全知识。
2. 指定安全责任人为了确保网络与信息安全工作的顺利进行,每个组织都应指定专门的安全责任人。
这个责任人应具备相关的网络安全知识和技能,并能够制定和执行网络安全政策。
安全责任人还应负责监测网络安全状态,定期进行漏洞扫描和风险评估。
3. 制定网络安全政策网络安全政策是网络与信息安全管理的基础。
网络安全政策应明确规定组织内部的安全要求和规定,包括密码策略、网络访问控制、数据备份与恢复等方面的内容。
此外,网络安全政策还应囊括对外部合作伙伴的安全要求,以确保信息的安全传输。
4. 强化网络访问控制网络访问控制是防御网络攻击的重要手段。
网络与信息安全工作管理办法中,应加强对网络访问的控制,包括加密通信、防火墙配置、入侵检测等措施。
同时,也要对不同级别的用户进行权限管理,确保只有授权用户才能访问相关信息。
5. 加强密码管理密码是保护信息安全的一种重要方式。
网络与信息安全工作管理办法中,应明确规定密码的使用要求,包括密码长度、复杂度、定期更换等。
此外,还应推广多因素认证的使用,增加密码的安全性。
6. 建立安全审计与监控机制安全审计与监控是保障网络安全的重要措施。
网络与信息安全工作管理办法中,应规定安全审计的频率和内容,对系统进行定期检查和评估。
同时,也要部署安全监控系统,对网络流量、日志记录等进行实时监控,并及时发现和应对安全事件。
7. 实施紧急响应预案网络与信息安全工作管理办法中,应建立完善的紧急响应预案。
《学院网络与信息安全管理办法》(1)总则第一条本办法依据国家教育部和国家信息安全相关标准和规范结合财政信息安全实际制定。
第二条本办法由学院网络与网络安全与信息化领导小组(简称领导小组)负责撰写、修改和发布。
(2)工作职责第三条信息安全人员按照领导小组制定的全院系统信息安全总体目标开展工作,并具体负责落实各项与信息安全相关的工作。
其职责主要为:(一)负责学院建设实施的教务系统安全保障体系的运维管理工作;(二)负责全院范围内各项信息安全系统的规划建设、项目实施、日常管理运维、监督和检查工作;(三)负责制定系统网络与信息安全总体策略和规章制度;(四)为全院提供信息安全方面的协助、沟通和解释等服务工作;(五)负责与外单位(部门)和人员针对信息安全方面的工作进行协调、沟通和实施;(六)负责全院信息安全人员的培训工作;(七)为学院网络与网络安全与信息化领导小组提供涉密系统信息安全方面的协助工作;第四条学院信息安全人员可参照上述条款,对领导小组负责。
(3)日常运行维护和管理要求第五条教务系统网络及信息系统均为非涉密系统。
严禁在学院系统网络、信息系统和内网计算机终端上处理、存储和传输各类涉密文档。
第六条做好全院信息系统网络边界的安全防护工作。
全院网络防保边界安全由领导小组授权实施;学院若需内网与互联网、外单位(部门)网络进行联网时,必须上报学院领导小组审批,未经审批一律不得实施。
第七条未经学院领导小组批准,任意内网节点严禁使用无线网络。
第八条未经本级领导小组批准,严禁在内网随意接入其它单位或个人的计算机终端。
学院领导小组批准后,由信息安全管理员负责接入并登记。
第九条做好内网计算机终端安全。
所有内网计算机终端必须安装学院统一下发的安全软件,严禁安装与学院下发的安全软件有冲突的软件。
各院系可以制定本单位范围内的安全策略,但不得违反全市统一的安全策略。
第十条除信息安全检查工作外,严禁内网计算机终端安全安装各类网络扫描和系统嗅探类的软件。
网络与信息安全工作管理办法世茂房地产控股有限公司资讯科技部内部资料,未经同意,请勿翻印目录第一节安全组织原则......................................................第二节安全组织结构......................................................第一节概述............................................................第二节安全规划与建设....................................................第三节物理安全管理......................................................第四节人员安全管理......................................................第五节安全培训..........................................................第六节信息资产安全管理..................................................第七节安全运维管理......................................................第八节安全事件处理......................................................第九节应急计划..........................................................第十节系统开发与维护....................................................第十一节符合性..........................................................第十二节管理审计与评估..................................................第十三节奖惩............................................................第一节概述............................................................第二节访问控制..........................................................第三节身份认证..........................................................第四节冗余恢复..........................................................第五节日志审计与响应....................................................第六节内容安全..........................................................第一章总则第一条随着上海世茂投资管理有限公司(以下简称:上海世茂)信息系统规模越来越大,随之带来的安全问题也不断增多,为及时快速处理各种故障和安全事件,防范与化解安全风险,保障网络连续性以及高质量的服务水平,特制定《上海世茂网络与信息安全工作管理办法》,以下简称“本办法”。
第二条本办法依据《中华人民共和国计算机信息系统安全保护条例》,参考《ISO27001信息安全管理体系规范》而制定。
第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题,包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。
第四条上海世茂网络与信息安全工作的管理原则1.整体规划,分步实施:需要对网络与信息安全工作进行整体规划,分步实施,逐渐建立完善的网络与信息安全体系。
2.三同步原则:安全系统应与业务系统及网络同步规划、同步建设、同步运行。
3.适度安全:安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性之间做好平衡工作。
第五条本办法中的安全是指信息系统的安全。
第二章安全组织管理第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来制定。
第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组,全面负责上海世茂网络与信息安全各项工作。
第八条领导小组下设IT总监,贯彻“信息化领导小组”的安全管理决策,作为执行管理机构。
资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作,IT总监下属包括应用和运维两个专业工作组。
第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安全管理工作,明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了IT系统的整个生命周期,对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。
第十条上海世茂安全策略由资讯科技部、各部门提出需求,由资讯科技部组织制定。
第十一条上海世茂的安全策略由上海世茂信息安全领导小组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落实。
第十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施,并建立安全策略违反报告制度。
第十三条资讯科技部建立安全策略定期审核更新的制度和机制,定期对安全策略的有效性进行审核,并根据情况进行更新。
第四章安全管理制度第一节概述第十四条为做好上海世茂网络与信息安全管理,必须做好安全规划和建设,完善物理环境安全,加强工作人员安全管理和教育,建立信息资产安全管理制度。
完善安全运维、事件处理、应急响应等安全工作。
第二节安全规划与建设第十五条上海世茂安全规划明确安全建设原则,为网络与信息安全建设明确建设方向和蓝图。
第十六条安全规划小组要根据上海世茂现有情况做好安全规划工作,制定近期(1~2年)总体安全规划和中长期(3~5年)安全建设目标,制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。
第十七条安全规划应考虑信息安全管理体系和安全技术架构的建设,根据网络发展规划适度超前建设,并考虑统一安全管理要求和统一安全技术基础设施。
第十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。
第十九条在特殊情况下,应预先明确风险,并指出应采取的控制措施。
第二十条应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。
第三节物理安全管理第二十一条物理安全管理的目标是通过加强工作环境安全,防止对上海世茂工作场所和信息资源的非法访问、破坏和干扰。
第二十二条相关部门应按照上海世茂关于机房建设及管理等标准,对机房场地与设施进行安全建设,并进行分级、分区安全管理。
机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度。
第二十三条信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在安全的区域,并使用适当的物理防护设备和访问控制手段。
第二十四条应加强办公区的物理访问控制。
第四节人员安全管理第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第二十六条应建立相应制度以及相应技术手段加强对第三方人员的安全管理。
第二十七条违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理工作。
第二十八条信息安全管理人员调离岗位,必须办理调离手续,承诺其调离后的保密义务。
第二十九条信息安全岗位人员必须具备相应的资质并签定保密协议。
信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三十条信息安全管理人员职责:(1) 负责计算机安全管理的日常工作;(2) 开展计算机安全检查工作,对要害岗位人员安全工作进行指导;(3) 开展计算机安全知识的培训和宣传工作;(4) 监控计算机安全总体状况,提出安全分析报告;了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;(5) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第三十一条信息安全管理人员发现本单位所使用信息系统中的重大安全隐患,有权向上级报告。
第三十二条信息安全管理人员发现系统操作人员使用不当,应及时建议有关单位、部门进行调整。
第三十三条信息安全管理人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
第三十四条信息安全管理人员应定期参加下列计算机安全知识和技能的培训:(1) 计算机安全法律法规及行业规章制度的培训;(2) 计算机安全基本知识的培训;(3) 计算机安全专项技能的培训。
第五节安全培训第三十五条工作人员安全意识是安全管理工作开展的基础和前提,安全管理工作组应建立安全意识教育计划,通过持续的安全教育,提高人员安全意识。
第三十六条建立安全技术培训计划,通过各种培训方式,提高各级管理人员和专业人员安全技能,降低安全操作风险。
第六节信息资产安全管理(一)资产管理第三十七条上海世茂信息资产包括所拥有各种信息及其载体,存在有形资产和无形资产,包括计算机设备、系统软件、应用软件、数据、文档等。
第三十八条严格执行上海世茂设备管理部门有关设备管理的各项规章制度,对资讯科技部管理的设备进行编号、登记、建立完善、准确的台帐。
第三十九条每半年,对全局计算机网络设备进行一次全面检查和维护。
每年末,资讯科技部对固定资产清查一次。
第四十条各级信息资产责任者必须严格遵守相关制度,保证信息资产的机密性、完整性和可用性。
第四十一条信息系统资产管理具体办法参见《上海世茂信息资产安全管理办法》。
(二)版权要求第四十二条上海世茂与计算机信息系统承建商签订建设合同时,承建商应当保证产品无侵犯他人版权要求。
第四十三条承建商在计算机信息系统建设中使用第三方产品时,必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授权。
(三)安全专用产品第四十四条本规定所称安全专用产品,是指用于保护计算机信息系统安全的专用软件、硬件产品。
第四十五条安全专用产品准入、选型、采购部署工作由资讯科技部统一组织实施。
安全专用产品有下列情形之一的,取消其准入资格:(1) 安全专用产品的功能已发生变化,但未通过检测的;(2) 经使用发现有严重问题的;(3) 能提供良好售后服务的;(4) 国家有关部门取消其销售资格的。
第四十六条安全专用产品在使用中,系统管理员应监测生成的信息,对生成的信息应及时分析并作出分析报告;在监测中如发现重大问题,应立即采取相应控制措施并将有关情况逐级上报;安全专用产品使用中产生的重要报告应备份存档,并按密级资料管理方式履行有关手续。
