下载文档原格式
信息安全管理办法信息安全管理办法第一章总则第一条目的和基本原则为了规范本单位信息安全管理活动,确保信息系统安全、可靠、稳定地运行,维护个人信息和重要信息的安全,特制定本办法。
本办法所涉及的信息包括但不限于本单位管理的各类电子数据和所有其他信息载体中的信息内容。
本办法的基本原则是:安全优先、防范为主、合法合规、持续改进。
第二条合用范围合用于本单位及其下属机构内所有信息系统和网络设备的管理和使用,包括硬件、软件、网络等所有方面。
第三条责任制1. 信息安全管理是公司全员责任,公司信息技术部门主管负责本办法实施的具体工作,各部门负责人应配合信息技术部门做好本部门信息安全管理相关工作。
2. 全员参预、分工负责。
具体员工应当按照工作岗位职责,认真履行信息安全管理职责,确保在其工作范围内实现信息安全目标。
第二章信息安全管理制度第四条信息安全政策1. 公司应定期审查并完善本单位的信息安全政策,整合国家相关法规、标准和规范等要求,制定符合公司情况的具体信息安全管理政策。
2. 具体信息安全政策包括:信息安全目标、信息安全组织机构、信息安全机构、信息安全活动、信息安全投入费用等各方面内容。
第五条信息系统安全等级保护制度1. 为了保证本单位信息资产安全,公司应实行信息系统安全等级保护制度。
制定信息系统安全等级保护制度的过程,应当遵循国家相关法规、标准和规范要求,同时结合本单位实际情况,综合考虑信息系统对重要信息资源的价值、影响和安全风险等因素加以评估,划定各信息系统的等级。
2. 制定信息系统安全等级保护制度后需经公司领导审批,实施与维护由信息技术部门执行。
第六条信息资源分类及保护制度1. 公司应制定信息资源分类及保护制度,将本单位管理的所有信息以保密程度、敏感程度、业务重要性等多个维度进行分类,制定相应的保护措施,确保关键信息、核心业务等在存储、传输、使用等方面的安全合规。
2. 信息资源分类及保护制度具体指导、程序及工具应予以明确并加以具体实施,保障其合理有效。
(公通字[2022 ] 43 号)第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成伤害,但不伤害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重伤害,或者对社会秩序和公共利益造成伤害,但不伤害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重伤害,或者对国家安全造成伤害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特殊严重伤害,或者对国家安全造成严重伤害。
网络与信息安全管理办法7篇网络与信息安全管理办法篇1第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归现代教育技术中心所管辖,其安装、维护等操作由现代教育技术中心工作人员进行。
其他任何人不得破坏或擅自维修。
第二条所有学校内计算机网络部分的扩展必须经过现代教育技术中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。
现代教育技术中心有权拆除用户私自接入的网络线路并进行处罚措施。
第三条各部门的联网工作必须事先报现代教育技术中心,由现代教育技术中心做网络实施方案。
第四条学校局域网的网络配置由现代教育技术中心统一规划管理,其他任何人不得私自更改网络配置。
第五条接入学校局域网的客户端计算机的网络配置由现代教育技术中心部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。
未经许可,任何人不得使用静态网络配置。
第六条任何接入学校局域网的客户端计算机不得安装配置DHCP服务。
一经发现,将给予通报并交有关部门严肃处理。
第七条网络安全:严格执行国家《网络安全管理制度》。
对在学校局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。
第八条教职工具有信息保密的义务。
任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
第九条任何人不得在局域网络和互联网上发布有损学校形象和教工声誉的信息。
第十条任何人不得扫描、攻击学校计算机网络。
第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。
第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入学校局域网的所有用户必须遵循以下规定:1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。
2.采取有效的计算机病毒安全技术防治措施。
建议客户端计算机安装使用现代教育技术中心部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。
信息安全管理办法第一条为加强公司信息安全管理工作,完善信息安全体系,保护信息资产,特制定本办法。
第二条信息安全管理包含数据安全管理、程序安全管理、密码权限管理、设备管理、网络安全管理及代码监督。
第三条数据安全管理的要求及规定1、所有系统的数据由数据安全员设置数据库系统统一存储,各部门不得在本地存储或公司设计的系统之外存储。
2、数据库由数据安全员分级设置权限密码,原则上不允许一个人掌握所有权限密码(密码权限员、董事长除外)。
3、数据库系统实行分库存储机制,原则上一个数据库表不得存储所有的信息。
4、数据库分为生产库、测试库及开发库,开发库由该库所属项目经理根据项目开发规范进行管理,测试库只能由程序测试员进行操作和管理,生产库只能由数据安全员操作和管理。
5、开发人员原则上根据项目模块分配表的操作权限实行分权限开发模式。
例如:用户模块开发人员,只能拥有用户相关表的操作权限。
6、数据库系统必须建立备份机制。
定期备份:每天进行一次完整备份;临时备份:在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对数据进行备份;按需备份:应用系统需要调整部分数据时,仅备份应用系统需要的部分数据。
7、公司提供的信息终端设备在外借或报废时,由设备管理员对系统和数据做相应处理,防止泄密。
存储设备报废前需进行重要数据的备份,备份后对报废设备中存储的信息进行彻底清除处理。
8、开发及过程文档使用git服务器统一存储及管理,新文档必须及时上传到服务器。
9、禁止将数据库结构、代码及相关文档私自拷贝或通过网络对外传输。
第四条代码安全管理的要求及规定1、禁止使用已公布的、有漏洞的第三方程序依赖包。
2、禁止在程序中植入木马病毒。
3、每月要进行一次依赖包漏洞检测,在特殊情况(如感染病毒)下,必须立即对依赖包进行漏洞检测。
已公布的高危漏洞,必须在依赖包提供更新版本后3天内升级到新版本。
4、代码使用git服务器统一存储及管理,开发人员要每日提交代码。
第1篇第一条为了加强信息安全管理工作,保障网络与信息安全,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我国实际情况,制定本办法。
第二条本办法所称信息安全,是指保护网络系统、网络设施、网络数据和信息系统免受非法侵入、攻击、破坏、泄露、篡改等危害,确保网络与信息系统安全稳定运行。
第三条信息安全管理工作应当遵循以下原则:(一)依法管理:严格遵守国家法律法规,确保信息安全管理的合法性和合规性。
(二)安全发展:坚持安全与发展并重,推动网络安全技术进步和产业创新。
(三)全民参与:提高全民信息安全意识,营造良好的网络安全环境。
(四)分类分级:根据信息安全风险等级,实施分类分级保护。
(五)动态监控:建立健全信息安全监测预警体系,实时监控网络安全状况。
第四条国家建立健全信息安全管理制度,明确信息安全责任,加强信息安全保障能力建设。
第二章信息安全管理制度第五条国家网络安全管理部门负责全国信息安全工作的统筹规划、组织协调和监督管理。
第六条信息系统运营、使用单位应当建立健全信息安全管理制度,明确信息安全责任,加强信息安全保障能力建设。
第七条信息安全管理制度应当包括以下内容:(一)信息安全组织架构:明确信息安全管理部门、责任人和职责。
(二)信息安全风险评估:定期对信息系统进行风险评估,制定风险应对措施。
(三)信息安全技术措施:采取必要的技术措施,保障信息系统安全。
(四)信息安全教育培训:加强信息安全教育培训,提高员工信息安全意识。
(五)信息安全事件处理:建立健全信息安全事件处理机制,及时应对和处理信息安全事件。
第八条信息系统运营、使用单位应当对信息系统进行定期安全检查,发现问题及时整改。
第三章信息安全风险评估第九条信息安全风险评估应当遵循以下原则:(一)全面性:对信息系统进行全面风险评估,不留死角。
(二)客观性:以客观事实为依据,确保风险评估的准确性。
《信息安全等级保护管理办法》全文信息安全等级保护管理办法第一章总则第一条为了加强我国信息安全等级保护工作,保障国家安全和社会稳定,维护正常经济秩序和公共利益,依据《网络安全法》(国家法律),制定本规定。
第二条本规定适用于从事或依据法律、行政法规设立的信息系统、网络和互联网信息服务的单位、个人(以下简称信息系统的所有者和经营者),以及从事信息安全等级评定和认证服务的机构(以下简称信息安全评定机构)。
第三条信息系统的所有者和经营者应当根据本规定的要求,采取有效措施加强其信息系统的安全管理,提升信息安全等级保护水平。
第四条信息安全等级保护应当坚持“风险评估、等级确定、分类保护、动态管理”的原则,根据信息系统的重要性和脆弱程度、所涉领域的影响范围和风险程度等因素,确定信息安全等级,采取相应保护措施,并实施动态管理。
第二章信息安全等级评估第五条为了确定信息系统的信息安全等级,信息系统的所有者和经营者可以选择权威的信息安全评定机构,进行信息安全等级评估。
第六条信息安全等级评估应当遵循公正、客观、科学、独立的原则,评估结果应当真实、准确、完整。
第七条信息安全等级评估应当考虑信息系统的架构、技术、设备、运营和管理等方面,分析其信息资产价值和重要性,确定其信息安全等级。
第八条信息安全等级评估结果应当包括评估报告、评估结论和实施方案等,评估报告应当详细说明评估对象信息系统的安全状态和安全风险,评估结论应当明确标明信息系统的安全等级,实施方案应当包含相应的保护措施和管理措施。
第九条信息系统的所有者和经营者应当根据评估结果,采取相应的保护措施和管理措施,加强信息系统的安全管理,提升信息安全等级保护水平。
第三章信息安全等级保护管理第十条信息系统的所有者和经营者应当制定信息安全等级保护管理制度,并将其落实到实际管理中。
第十一条信息安全等级保护管理制度应当明确信息系统的安全等级、保护措施和管理措施的具体内容,以及相应的责任人、操作流程、风险评估和应急预案等。
网络信息安全管理办法网络信息安全管理办法第一章总则第一条为了加强网络信息安全管理,维护网络环境的安全和稳定,保护网络信息的完整性、可用性和保密性,依据相关法律法规制定本办法。
第二章网络安全责任第二条网络信息系统的责任主体应对其使用的网络信息系统承担安全保障责任。
第三条网络信息系统管理者应建立网络安全管理制度,明确安全责任和安全目标,制定安全应对措施。
第四条网络信息系统的使用者应按照管理者要求使用系统,采取安全措施,维护系统安全。
第五条网络信息系统服务提供者应依法提供网络信息服务,确保服务的安全可靠。
第三章网络安全风险评估第六条网络信息系统管理者应定期开展网络安全风险评估,发现安全隐患并采取相应措施。
第七条网络信息系统管理者应建立漏洞管理制度,对系统中发现的漏洞进行记录、评估和修复。
第八条网络信息系统管理者应建立网络攻击事件应急处置机制,及时响应和处理网络安全事件。
第四章网络安全技术措施第九条网络信息系统管理者应加强网络安全防护,使用安全技术措施,防止网络攻击和恶意程序入侵。
第十条网络信息系统管理者应对网络通信进行加密和安全传输,确保信息传输的安全性。
第十一条网络信息系统管理者应备份和保护重要数据,避免数据丢失或泄露。
第十二条网络信息系统管理者应采取用户名和密码等身份认证措施,控制用户的访问权限。
第五章法律责任第十三条违反本办法规定,未履行网络信息安全管理义务的,依法承担相应的法律责任。
第十四条如网络信息安全事件涉及犯罪行为的,依法追究刑事责任。
第十五条有关机构和个人应积极配合执法机关的网络信息安全调查和取证工作。
附件:附件1:网络安全管理制度样本附件3:网络安全事件应急处置手册法律名词及注释:1、网络信息系统:指以计算机为核心,依靠通信设备及网络技术,用于收集、存储、传输、处理和应用信息的一种系统。
2、网络信息系统管理者:指网络信息系统的所有者、运营者或者管理者,具有安全责任和管理权限。
3、网络信息系统使用者:指具有使用网络信息系统权限的个人或者单位,承担一定的安全保障责任。
第一章总则第一条为加强我单位信息安全工作,保障信息系统安全稳定运行,保护国家秘密、商业秘密和个人隐私,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我单位实际情况,制定本办法。
第二条本办法适用于我单位所有信息系统、网络设施、数据资源以及涉及信息安全的相关活动。
第三条我单位信息安全工作遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 技术和管理并重;4. 法律法规为准绳。
第二章组织与管理第四条成立信息安全工作领导小组,负责统一领导和协调信息安全工作。
第五条信息安全工作领导小组下设信息安全办公室,负责信息安全工作的日常管理、监督和检查。
第六条各部门、各岗位应根据职责分工,落实信息安全责任,确保信息安全制度的有效实施。
第七条信息安全工作领导小组定期召开会议,研究解决信息安全工作中的重大问题。
第三章信息安全管理制度第八条信息安全管理制度包括但不限于以下内容:1. 信息系统安全管理制度:明确信息系统建设、运行、维护、报废等各环节的安全要求,确保信息系统安全可靠。
2. 网络安全管理制度:规范网络接入、网络设备管理、网络安全监测等,保障网络安全。
3. 数据安全管理制度:明确数据分类、分级、存储、传输、处理、销毁等环节的安全要求,确保数据安全。
4. 密码管理制度:规范密码的使用、管理、更换等,确保密码安全。
5. 访问控制制度:明确用户权限、访问控制策略等,确保信息系统资源的安全访问。
6. 安全事件管理制度:规范安全事件的报告、调查、处理、总结等,提高应对安全事件的能力。
7. 安全培训制度:定期开展信息安全培训,提高员工信息安全意识。
第九条信息安全管理制度应定期修订,以适应信息安全形势的变化。
第四章信息安全保障措施第十条加强信息安全基础设施建设,包括防火墙、入侵检测系统、漏洞扫描系统等。
第十一条定期进行安全漏洞扫描和风险评估,及时修复安全漏洞。
第十二条建立信息安全应急响应机制,确保在发生信息安全事件时能够迅速响应。
网络互联网信息安全管理办法互联网的迅猛发展为人们的生活带来了诸多便利,然而,随之而来的是信息安全问题的日益突出。
为了保护用户隐私,维护网络环境的安全与稳定,制定和执行网络互联网信息安全管理办法成为当务之急。
第一章总则第一条为了规范网络互联网信息的收集、使用、存储、处理和传输活动,维护互联网的健康发展,保护用户个人隐私,制定本办法。
第二条凡在中华人民共和国境内提供网络互联网信息服务的单位和个人,适用本办法。
第三条任何单位和个人不得以任何形式侵犯用户的网络隐私权和信息安全,不得非法收集、使用、储存、公开、销售用户的个人信息。
...第二十八条主管部门应当加强网络互联网信息安全的监督和检查工作,对发现的违法违规行为及时处罚,维护网络信息安全的正常秩序。
第二十九条用户对违反本办法的行为有权投诉,并有权要求有关单位和个人承担法律责任。
第四章附则第三十条本办法自发布之日起施行,同时废止过去存在的关于互联网信息安全的其他规定。
第三十一条本办法解释权归主管部门所有,并对本办法享有最终解释权。
第三十二条本办法自发布之日起生效,有效期为五年,并可根据需要进行修订。
修订版本自修订发布之日起生效。
结语互联网的安全管理是一个十分重要且复杂的问题。
随着技术的不断进步和互联网的广泛应用,网络互联网信息安全管理办法也必须与时俱进,以应对日益增长的安全风险。
唯有加强信息安全意识的普及,改善技术手段的创新,加强监管和执法力度,才能够确保网络互联网信息的安全和用户隐私的保护。
本办法的颁布和执行将在一定程度上促进网络安全管理规范化和规范发展,为用户提供更加安全、便捷的网络环境。
相信通过各方共同努力,网络互联网的信息安全将不断完善,为人们提供更加优质的网络体验。
信息安全管理办法
1. 制定信息安全政策:明确和规范信息安全管理的原则、目标和责任。
2. 进行安全风险评估:评估系统和数据的安全风险,确定安全控制措施的优先级。
3. 实施访问控制:采用用户认证、授权和审计等控制措施,限制未授权人员对系统和数据的访问。
4. 加强数据防泄漏控制:采用数据加密、备份和存储控制等技术手段,防止数据泄漏和丢失。
5. 设立安全管理组织和岗位:明确安全管理部门和岗位职责,建立信息安全管理体系。
6. 进行安全培训和意识教育:对员工进行信息安全培训,提高他们的安全意识和防范能力。
7. 建立事件响应和恢复机制:制定应急预案和响应程序,及时处理安全事件并恢复服务。
8. 加强供应链管理:对与信息系统和数据相关的供应商和合作伙伴进行安全评估和监督。
9. 定期进行安全审计和评估:对信息系统和数据进行定期的安全审计和评估,发现和解决安全问题。
,信息安全管理办法是一系列规定和措施的集合,旨在保护信息系统和数据的安全,确保业务的可靠性和稳定性。
*********有限责任公司信息安全管理办法第一章总则第一条为了加强************有限责任公司(以下简称:我行)计算机信息系统安全保护工作,确保我行计算机信息系统安全、稳定、高效运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规,结合自身实际制定本办法。
第二条************有限责任公司计算机信息系统安全管理工作的指导方针是“预防为主,安全第一,依法办事,综合治理”。
其中“预防为主”是计算机安全管理工作的基本方针。
第三条************有限责任公司计算机信息系统安全工作实行统一领导和分级管理。
按照“谁主管谁负责、谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条成立计算机信息安全管理工作领导小组,由科技、财会、保卫、稽核、办公室、电子银行等部门组成,实行一把手负责制,计算机信息安全管理工作领导小组负责组织、协调、监督和检查我行计算机安全管理工作。
第五条权限说明:************有限责任公司作为吉林省农村信用联合社(以下简称:省联社)信息系统平台的终端使用者,享有使用其系统、数据库、网络等其他IT资源的权利,吉林省农村信用联合社享有开发、管理、控制其系统、数据库的权利,当出现各种事故时由************向吉林省农村信用联合社进行通知报告,系统、数据库、网络等故障根据事故级别情况由吉林省农村信用联合社进行处理解决。
本办法适用于************计算机设备、系统的使用部门和各分支机构。
本办法与相关制度对应关系如下第四章对应《************有限责任公司系统运行维护实施细则》须结合上述制度开展工作。
第五章对应《************有限责任公司网络运行维护实施细则》须结合上述制度开展工作。
第六章对应《************有限责任公司办公设备日常操作管理办法》、《************计算机物品管理指导意见(试行)》须结合上述制度开展工作。
第八章对应《************数据备份管理规定》结合该制度开展工作。
第二章人员与岗位管理第一节人员基本要求与安全教育第六条本办法所称计算机安全人员,是指各级机构专(兼)职计算机安全管理人员。
第七条计算机安全人员应当遵纪守法、政治过硬、业务精通、恪尽职守。
违反国家法律、法规和受到行政处分的人员,不得从事计算机安全管理工作。
第八条计算机安全人员变动,应向上级科技管理部门备案。
第九条营业机构对全体员工应进行计算机安全法律法规及相关规章制度的培训。
第十条计算机安全人员应定期接受政治思想教育、职业道德教育、安全保密教育。
第十一条计算机安全教育由科技信息部负责实施。
第二节计算机关键岗位人员安全管理第十二条本办法所称计算机信息系统关键岗位人员(简称关键岗位人员),是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、操作运营等岗位人员。
第十三条关键岗位人员上岗前,必须经过人事部门的政治素质审查,科技信息部的信息安全教育、业务操作技能考核,合格者方可上岗。
第十四条关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。
系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务;系统开发人员不得兼任系统管理员。
第十五条岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
涉及基层业务保密信息的关键岗位人员调离单位时,必须进行离岗稽核,关键岗位人员在调离后应继续履行保密义务。
第十六条关键岗位人员离岗后,必须及时注销其用户,并更换相关密码。
第三节计算机岗位人员的安全责任第十七条系统管理员安全责任1.负责系统的运行管理,实施系统安全运行细则。
2.严格用户权限管理,维护系统安全正常运行。
3.认真记录系统安全事项,及时向科技信息部负责人报告安全事件。
4.对进行系统操作的其他人员予以安全监督。
第十八条网络管理员安全责任1.负责网络的运行管理,检测网络运行状况,实施网络安全策略和安全运行细则。
2.合理配置网络应用,严格控制网络用户访问权限,维护网络安全正常运行。
3.监控网络关键设备、网络端口、网络物理链路,防范黑客入侵,及时向部门负责人报告安全事件。
4.对操作网络管理功能的其他人员进行安全监督。
第十九条开发人员安全责任1.系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现。
2.系统投产运行前,应完整移交系统源代码和相关涉密资料。
3.不得对系统设置“后门”。
4.对系统核心技术保密。
第二十条应用系统、操作系统维护员安全责任1.负责系统维护,及时解除系统故障,确保系统正常运行。
2.不得擅自改变系统功能及相关参数。
3.不得安装与系统无关的其它计算机程序。
4.维护过程中,发现安全漏洞应及时报告部门负责人。
第二十一条业务操作员安全责任1.严格执行系统操作规程和运行安全管理制度。
2.不得向他人提供自己的操作密码,柜员卡不得借给他人。
3.及时向科技信息部报告系统各种异常事件。
第二十二条各部门、营业机构计算机管理员责任1.各部门、营业机构应指派素质好、较熟悉计算机知识的人员担任本单位的计算机管理员或科技协管员,并报科技信息部备案。
如有变更应做好交接工作,并及时通知科技信息部。
2.各部门、营业机构计算机管理员或科技协管员要配合科技人员工作,并参加各项信息安全技能培训。
3.各部门、营业机构计算机管理员或科技协管员负责本部门、本网点计算机病毒防治工作,监督检查本部门客户端安全管理情况;负责提出本部门信息安全保障需求,及时与科技信息部沟通信息安全监测情况;协助科技信息部完成对本部门的信息安全检查工作。
第四节一般计算机用户的安全管理责任第二十三条本办法所称一般计算机用户是指使用计算机设备的我行所有工作人员。
第二十四条一般计算机用户应承担如下安全义务:1.不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。
2.未经科技信息部检测和授权,不得将接入系统内部网络所用计算机转接国际互联网,不得将便携式计算机接入总行内部网络,不得随意将私人计算机带入机房或私自拷贝任何信息。
所造成的后果和相关经济损失由本人承担。
第五节外来人员的安全管理第二十五条各单位要针对不同的外来人员,制定相应的安全策略,严格控制外来人员对我行信息系统、网络设备、安全设备、办公主机、主机服务器的访问,外来人员对敏感的信息资产进行访问时,应与其签订安全保密协议,明确安全责任和义务。
第二十六条各单位必须做好外来人员的出入管理和陪同工作。
第二十七条严禁外来人员在未经科技信息部允许的情况情况下通过办公用户网访问生产网络。
第二十八条对需要长期进入各级单位工作的外公司人员,必须报外来人员管理部门审批,做好其工作区域的隔离和访问控制,并对访问过程进行全程监控、详细记录和及时审计。
第三章设备的安全管理第二十九条设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。
第三十条生产环境、测试环境、开发环境的相关设备相互之间必须有明确的物理安全边界,物理安全区必须有明确的标志。
第三十一条设备所在的物理安全区应具备符合国家相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等基本环境条件。
第三十二条对路由器、交换机、防火墙和主机服务器等设备必须采取严格的管理措施,未经批准不得随意移动和接入。
第三十三条设备安装时,应由相关技术人员制定详细可行的操作步骤,其中关键设备的安装必须请供货厂商(代理商)技术人员现场支持。
第三十四条主机和网络通信关键设备必须有备份,并处于实时备用状态。
第三十五条重要设备使用单位应做好设备日常运行维护工作:1.做好设备的日常检测、检查、记录,及时掌握设备的运行状况。
2.设备发生故障时应及时维修,必要时,通知设备维护商的技术人员到场解决。
3.制定设备维护计划,为维护的项目、步骤、周期、责任人等做出明确规定,并严格按照设备维护计划定期进行设备的保养和维护,做好设备维护记录。
第四章系统的安全管理第三十六条本办法所指的计算机系统是指************业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第三十七条系统规划与立项要充分考虑系统的安全需求,系统建设要充分考虑实现安全功能,计算机安全管理部门应对重要系统的立项进行安全性专项审查。
第三十八条系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。
第三十九条系统投入运行前,必须进行系统的安全评估与审批;对已投入运行的系统需跟踪进行评估并根据评估结果不断改进和提高系统安全性。
第四十条系统运行安全管理1.严禁在生产系统上安装编译工具、应用系统源程序及其他与系统业务无关的软件。
2.备份系统与生产系统的系统构成与配置应保持一致,以保证生产系统出现故障时能顺利切换。
3.严禁擅自修改系统参数,确需修改应严格履行审批手续,由维护岗位人员实施,实施时应有监督,修改后的参数应记录在案。
4.严禁擅自对业务数据库的数据进行修改或恢复操作,确需操作时应严格履行审批手续,由相关岗位人员实施,并由有关人员监督执行。
5.对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大事件操作,按《************有限责任公司系统升级管理办法》由科技信息部从安全角度出发与业务部门密切配合,共同制定详细的计划和方案。
第四十一条做好系统的日常安全运行维护工作,不断完善系统运行制度、日志管理制度、密码密钥管理制度、操作规程的安全管理制度等。
定期对系统进行备份,并对备份媒体按有关规定指定专人妥善保管,重要业务系统的备份媒体必须异地保存。
重要业务系统应由业务部门制定计算机安全保护的应急计划,保证业务的不间断运行,并不断完善应急计划。
对涉密的应用系统,应严格执行保密管理的有关规定。
第四十二条各级运行机构必须做好对系统的安全监测工作。
非营业机构接入生产网,须向科技信息部申请,连接单独设立的服务器。
第四十三条严格执行系统废止和销毁的有关安全管理规定。
第五章网络安全管理第一节网络管理第四十四条科技信息部应持续建立健全网络安全运行制度,不断健全《************网络运行维护实施细则》、《************系统运行维护实施细则》、《************计算机系统应急预案》等涉及到网络方面的制度,并按制度开展日常工作。
第四十五条应配备专职网络管理员。
重要网络设备应放置在机房内,由网络管理员负责管理。
其他人员不得对网络设备进行任何操作。
网管设备属专管设备,必须严格控制其管理员密码。
第四十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份,按《************数据备份管理规定》执行备份有关工作。
