下载文档原格式
信息系统安全管理制度范文为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。
一、互联网使用管理互联网使用管理互联网使用管理互联网使用管理1、禁止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司____、非法网站及与工作无关的网页等信息。
行政部门建立网管监控渠道对员工上网信息进行监督。
一经发现,视情节严重给予警告、通报批评、扣发工资____元/次、辞退等处罚。
2、未经允许,禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。
一经发现,视情节严重给予警告、通报批评、扣发工资____元/次、辞退等处罚。
3、公司网络采取分组开通域名方式,防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号____安全系数降低。
二、网站信息管理1、公司____发布、转载信息依据国家有关规定执行,不包含违____各项法律法规的内容。
2、公司____内容定期进行备份,由网管员保管,并对相应操作系统和应用系统进行安全保护。
3、公司网管加强对上网设备及相关信息的安全检查,对网站系统的安全进行实时监控。
4、严格执行公司保密规定,凡涉及公司____内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网;5、所有上网稿件须经分管领导审批后,由企划部门统一上传。
三、软件管理软件管理软件管理软件管理1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行,任何部门和员工不得擅自采购。
2、公司提供的全部软件仅限于员工完成公司的工作使用。
未经许可,不得将公司购买或开发的软件擅自提供给第三人。
3、操作系统由公司统一提供。
禁止____使用其它来源的操作系统,特别是的非法拷贝。
信息化安全管理制度(三)煽动分裂国家、破坏国家统一:(四)煽动民族仇恨、民族歧视,____:(五)捏造或者歪曲事实,散布谣言.扰乱社会秩序:(六)宣扬封建____、____秽、____、____、____、凶杀、____,教唆犯罪:(七)公然悔辱他人或者捏造事实诽谤他人:(八)损害形象和利益:(九)其他违反宪法和法律、第十七条上网用户不得从事下列危害计算机信息网络安全的活动(一)未经允许,对自己或他人的计算机网络功能进行删除、修改或者增加;(二)未经允许,对自己或他人的计算机信息存储、处理或者传输的数据和应用程序进行删除、修改或增加;(三)浏览与工作无关的网站,上网下载或以其他方式带入任何未经批准使用的程序,故意制作、传播计算机病毒等破坏性程序;(四)其它危害计算机信息网络安全的行为。
第十九条计算机出现故障,需重新____操作系统时,应通知管理人员进行____,不得私自请电脑公司或外单位电脑人员进行____,不得私自将计算机搬到电脑公司进行维修。
第四章数据加密和备份第二十条对于密级文件殛数据(财务、人事)要建立双备份制度,对重要资料除在电脑贮存外,还应定期拷贝到服务器、u盘或光盘上,以及防遭病毒破坏或断电而丢失。
第二十一条服务器必须设置____,____组成应由英文字母和数字组成,长度应在____位以上并随时更换。
第二十二条网络管理人员须随时做好本单位各类重要数据的备份工作,发生灾难性事件时能及时恢复系统数据。
第二十三条用户必须按自己的帐号、____进入相应系统,不得盗用他人的帐号、____。
____不得外泄,如发现可能外泄,应及时重设或申请更换;造成损失和危害的,追究其责任。
网络____服务用户不得泄露有关软硬件、网络授术细节及管理____;所有人员必须保管好自己的____,确保____长度不少于____位、必须真有复杂性(含不重复的字母、数字及特殊符号)、不通用性、不易记性必须定期更新____;使用____时应确保旁人不能窥视;不要在软件使用时选自动记忆帐户____功能;不要在任何地方使用任何方式谈论或书式记忆任何____,未经批准不得将数据和软件拷贝带离本单位或从单位外带入数据输入到记算机中。
公司信息化管理制度一、计算机设备管理制度1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、____、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。
计算机设备送外维修,须经信息中心负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向公司信息中心报告,不允许私自处理或找非本单位技术人员进行维修及操作。
4、为加强公司计算机及网络的管理,保障计算机网络正常运行,特制定本制度。
5、禁止上班时间在内部局域网或inter____网上聊天、游戏、娱乐、购物、证券、收发非工作邮件、浏览与工作无关的信息,禁止从inter____网上下载游戏或与工作无关的软件,工作软件的下载需经it 室系统管理员同意。
公司将定期检查每台计算机使用日志,若发现以上情况,将提交公司进行严肃处理。
6、每个部门都应遵守公司的保密制度,严禁在____中涉及与泄露公司商业信息,若发现,将提交公司进行严肃处理。
7、设计部应对cad图纸资料进行严格管理,若因客户需求而将其带出公司须经设计部部长和公司领导批准并填写相关记录表格,再由cad图纸管理员统一出图或拷贝方可。
8、在通过inter____收发____时,为防止外界病毒的侵袭,不打开、____和阅读来历不明的____,若接到可疑邮件,请自行删除或与it室联系解决。
9、不得任意删除、修改与____计算机的应用软件与系统文件。
10、对外来的软盘、光盘要先请it室系统管理员进行病毒检测,方可在公司计算机或网络中使用。
11、各部门应定期备份重要的数据与文件,以防因病毒或其它原因而丢失。
备份好的文件请存放在it室,it室将对该文件保存一年,逾期将其文件转将档案室管理,管理期限为____年,逾期销毁。
第一章总则第一条为加强公司信息化安全管理,确保公司信息系统的安全稳定运行,保障公司信息安全,特制定本制度。
第二条本制度适用于公司所有员工,包括正式员工、临时员工和实习生。
第三条本制度遵循以下原则:1. 预防为主、防治结合;2. 安全与效率并重;3. 明确责任、奖惩分明。
第二章职责与权限第四条信息安全管理部门负责:1. 制定信息化安全管理制度,组织实施信息化安全培训;2. 监督检查信息化安全措施落实情况;3. 处理信息化安全事故;4. 向公司领导汇报信息化安全工作。
第五条员工职责:1. 遵守国家法律法规和公司信息化安全管理制度;2. 接受信息安全培训,提高安全意识;3. 保护个人信息和公司信息,不得泄露;4. 发现信息化安全隐患,及时报告。
第三章信息安全培训第六条公司应定期组织信息化安全培训,提高员工安全意识。
第七条培训内容包括:1. 信息安全法律法规;2. 公司信息化安全管理制度;3. 信息安全防护技能;4. 常见信息安全事件及应对措施。
第四章信息安全措施第八条严格用户权限管理:1. 根据员工岗位职责分配权限,避免越权操作;2. 定期审核用户权限,及时调整;3. 离职员工权限及时收回。
第九条网络安全:1. 加强网络设备安全管理,定期检查、维护;2. 严格限制外部访问,禁止未经授权的外部设备接入;3. 定期检查网络漏洞,及时修复。
第十条数据安全:1. 严格执行数据分类分级保护制度,确保敏感数据安全;2. 对重要数据进行备份,确保数据不丢失;3. 定期检查数据安全,发现异常及时处理。
第五章信息安全事件处理第十一条发生信息安全事件时,应立即启动应急预案,采取措施:1. 封锁相关账户,防止信息泄露;2. 查明事件原因,采取措施防止类似事件再次发生;3. 向公司领导汇报,按程序报告相关部门。
第十二条信息安全事件处理完毕后,信息安全管理部门应总结经验教训,完善信息化安全管理制度。
第六章奖惩第十三条对遵守信息化安全管理制度,为公司信息安全做出突出贡献的员工,给予表彰和奖励。
信息化安全管理制度范文第一章总则第一条根据公司业务特点和信息化安全需求,制定本制度,以保障公司信息系统和信息资产的安全性,规范员工的信息化行为,确保公司业务的稳定运行。
第二条本制度适用于所有公司员工和外聘人员,包括全职员工、兼职员工、实习生、临时工等,并适用于公司所有的信息系统和信息资产。
第三条信息化安全管理制度是公司信息安全管理体系的基本组成部分,依据国家相关法律法规,以及公司的信息技术管理体系实施规范。
第四条公司信息化安全管理制度主要包括:信息安全策略、组织结构、责任分工、安全培训、安全控制、安全风险评估、事件应急等内容,各项内容相互关联,相互配合。
第五条本制度由公司信息技术部门负责起草和维护,经公司董事会批准后正式实施。
第六条公司各部门负责人要根据本制度制定相应的实施细则,并负责本部门员工的信息化安全教育和培训,确保本部门的信息安全工作得以落实。
第七条为了保护公司信息系统及信息资产的安全性,员工应按照本制度的规定进行信息化安全操作,严禁实施任何危害公司信息系统及信息资产安全的行为。
第二章组织结构第八条公司设立信息安全委员会,由公司高层领导和部门负责人组成,负责制定信息安全策略和计划,并监督各部门的信息安全工作。
第九条信息安全委员会设立信息安全办公室,由信息技术部门负责维护和管理,负责制定信息安全政策和规程,协调各部门的信息安全工作。
第十条各部门要成立信息安全小组,由各部门负责人担任组长,负责本部门的信息安全工作,包括信息资产的分类和保护措施的制定。
第十一条信息技术部门负责公司信息系统的运维和安全管理,包括系统的建设、维护和应急响应等工作。
第十二条公司培训部门负责信息化安全培训工作,包括员工入职培训、定期培训和安全意识教育等。
第十三条公司内部审计部门负责对信息化安全管理制度的执行情况进行监督和检查,并向董事会汇报。
第三章安全控制第十四条公司要建立健全的网络安全防护体系,包括网络防火墙、入侵检测系统、反病毒系统等,保障网络的安全性。
信息系统安全管理制度--____联华中安制定为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,____联华中安信息技术有限公司特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
信息化系统安全运行管理制度一、制度目的和依据信息化系统安全运行管理制度的制定旨在确保信息化系统的安全运行,保护信息系统的数据和运行环境,防止未经授权的访问、使用、改动或披露。
本制度依据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等相关法律法规,以及公司内部安全管理制度等文件的要求。
二、适用范围本制度适用于公司的所有信息化系统,包括但不限于计算机硬件、软件、网络设备、数据库等。
三、制度内容1. 信息化系统安全管理责任a. 公司设立信息化系统安全管理责任人,负责制定、执行和监督信息化系统安全管理制度。
b. 部门负责人对本部门的信息化系统安全负有直接责任,要确保本部门信息化系统的安全运行。
c. 所有员工要严格遵守信息化系统安全管理制度,不得从事危害信息系统安全的行为。
2. 信息系统权限管理a. 各部门负责人要根据岗位职责,合理分配员工的信息系统权限,权限的分配和撤销必须经过授权。
b. 员工不得向他人泄露或轻易透露个人账号、密码等登录信息。
c. 离职员工要及时销毁其账号和密码等登录信息,并将系统权限交由上级负责人进行管理。
3. 信息系统安全保护措施a. 信息系统要定期进行安全漏洞扫描和风险评估,并及时修补漏洞和脆弱点。
b. 信息系统要设置合理的防火墙、入侵检测系统、反病毒系统等安全设备。
c. 对重要数据要进行加密存储和传输,数据备份要及时进行,备份数据要存放在安全可靠的地方。
4. 外部网络访问管理a. 员工不得擅自连接或使用未经授权的外部网络设备。
b. 公司要建立合规的外部网络访问管理机制,限制外部网络访问的权限和方式。
c. 对外部网络访问要进行监控和审计,记录访问日志和操作日志。
五、员工安全意识培训a. 公司要定期开展信息安全知识培训,提高员工的安全意识和防范能力。
b. 新员工入职时要进行信息安全培训,并签署保密承诺和责任书。
六、制度执行和监督a. 信息化系统安全管理责任人负责制度的执行和监督,对违规行为进行处罚。
安全生产技术信息化管理制度范文一、总则1. 为加强公司安全生产工作,提高安全生产管理水平,减少事故发生概率和事故损失,制定本制度。
2. 本制度适用于公司所有部门,旨在规范安全生产技术信息化管理工作,确保安全生产工作的顺利进行。
3. 公司高层应高度重视安全生产技术信息化管理工作,为其提供充足的资源和支持,确保其有效执行。
4. 本制度的遵守与执行是每位员工的责任,违反本制度的行为将受到相应的纪律处分。
二、安全生产技术信息化管理责任1. 公司领导层应明确安全生产技术信息化管理的责任人,由公司高层指派专人负责统筹和协调管理工作。
2. 安全生产技术信息化管理责任人应对安全生产管理工作全面负责,并与相关部门密切合作,确保工作的顺利开展。
3. 安全生产技术信息化管理责任人应指定专人负责日常的安全生产技术信息化管理工作,确保实施各项措施和制度。
三、安全生产技术信息化管理措施1. 建立安全生产技术信息化管理系统,用于收集、分析、汇总和报送安全生产数据,实现对安全生产过程的全面监控。
2. 制定安全生产技术信息化管理工作流程,明确安全生产数据的收集、分析、处理和报告的程序和要求。
3. 安全生产技术信息化管理系统应具备数据采集、传输、处理、存储和展示的功能,并保证数据的安全性和可靠性。
4. 定期开展安全生产技术信息化管理培训,提高员工对安全生产技术信息化管理的认识和操作能力。
四、安全生产技术信息化管理制度1. 确保安全生产技术信息化管理制度的有效实施,才能保证安全生产工作的顺利进行。
2. 安全生产技术信息化管理制度应涵盖数据采集、分析、处理、报告和应急措施等方面,并明确各部门的职责和义务。
3. 各部门应按照安全生产技术信息化管理制度的要求和流程履行相应的职责,确保安全生产数据的准确性和及时性。
五、监督与考核1. 公司将建立严格的监督与考核机制,对安全生产技术信息化管理工作进行日常巡查和定期检查。
2. 监督人员应严格执行监督和检查程序,发现问题及时通报并要求整改。
信息化管理制度范文第一章总则第一条为了规范本单位的信息化管理,提高信息化工作的效率和质量,维护公司的信息安全,特制定本制度。
第二条本制度适用于本单位的所有信息技术资源的管理和使用。
第三条本单位的信息化管理工作应遵循以下原则:(一)科学规划,统筹协调。
根据单位的发展战略和信息化需求,制定科学合理的规划和方案,统筹协调各项信息化工作。
(二)依法合规,规范管理。
遵守国家相关法律法规和政策,确保信息化工作的合法合规,规范信息技术资源的管理和使用。
(三)科学决策,理性投入。
科学决策,合理安排资金投入,确保信息化工作的可持续发展。
(四)多方合作,共同发展。
积极开展合作与交流,加强与相关单位和部门的沟通与协作,共同推动信息化工作的发展。
(五)持续改进,严格监督。
不断完善信息化管理制度,加强对信息化工作的监督和评估,推动信息化工作的持续改进和优化。
第四条本单位的信息化管理工作由信息化管理部门负责,具体职责如下:(一)制定信息化管理制度和相关规范,推动信息化工作的规范化和标准化。
(二)负责信息化规划和方案的制定,协调推进信息化工作的实施。
(三)组织开展信息技术资源的采购、配置、维护和更新工作。
(四)负责信息化系统的运维管理和安全保障工作。
(五)协助相关部门开展信息化培训和技术支持工作。
(六)定期组织对信息化工作的评估和验收,提出改进意见和建议。
第二章信息化资源管理第五条本单位的信息技术资源包括硬件设备、软件应用、网络设施和数据资料等。
第六条信息技术资源的采购和更新工作应按照规定的程序进行,确保采购的技术设备符合本单位的需要,并具备可靠性、稳定性和可扩展性。
第七条信息技术资源的配置和使用应按照合理的原则进行,合理安排和分配资源,提高资源利用效率。
第八条信息技术资源的维护和更新工作应及时有效地进行,确保设备和系统的正常运行,减少故障和事故的发生。
第九条信息技术资源的保密工作应严格执行,确保机密信息的安全和保密,防止信息泄露和被盗用。
信息化安全管理制度范文一、总则1.1 为规范和管理企业的信息化安全工作,保护企业的信息资产,提升信息化安全管理水平,制定本信息化安全管理制度。
1.2 本制度适用于企业所有涉及信息化系统和信息资产的管理活动。
1.3 企业应建立信息化安全管理委员会,并设立信息化安全管理办公室,负责制定、实施和监督本制度的执行情况。
二、信息资产管理2.1 企业应对信息资产进行分类和标识,并制定相应的保护措施。
2.2 企业应建立信息资产管理制度,包括信息资产的申请、获取、使用、存储、备份、报废等方面的规定。
2.3 企业应定期对信息资产进行风险评估和安全审计,及时修复系统漏洞和弱点。
三、系统运维管理3.1 企业应建立信息化系统运维管理制度,包括系统的安装、配置、维护和升级等方面的规定。
3.2 企业应对系统进行定期维护和巡检,确保系统的稳定性和安全性。
3.3 企业应建立系统运维人员的权限管理制度,明确各级人员的职责和权限。
3.4 企业应建立系统备份和恢复制度,定期备份重要数据,并测试备份恢复的有效性。
四、网络安全管理4.1 企业应建立网络安全管理制度,包括网络设备的配置、防火墙的设置、网络流量的监测等方面的规定。
4.2 企业应对网络进行定期安全检查和漏洞扫描,及时发现并修复网络安全漏洞。
4.3 企业应建立网络访问控制制度,限制非授权人员的访问权限。
4.4 企业应对网络数据进行加密和传输安全管理,确保数据的机密性和完整性。
五、员工安全意识和培训管理5.1 企业应加强员工的信息安全意识培训,使其具备信息安全防护的基本知识和技能。
5.2 企业应定期组织信息安全培训,提高员工对信息安全工作的敏感性和责任感。
5.3 企业应建立员工违反信息安全管理制度的处罚制度,并进行相应的纪律处分。
六、应急管理6.1 企业应建立信息安全事故应急预案,指定应急响应小组,并定期进行演练和评估。
6.2 企业应建立信息安全事件的快速报告和通知机制,及时处置和恢复信息安全事件。
信息化安全管理制度第一章总则第一条为规范信息化安全管理工作,确保盘锦市烟草专卖局(公司)【以下简称市(局)公司】信息系统与网络资源在可控范围内安全稳定的运行,保护现有的网络、数据信息的安全,特制定制定本制度。
第二条通过制定本制度形成一个动态以预防为主的信息安全管理方式,通过实时的监控和分析及时发现系统潜在的安全问题和风险,及时采取相应的措施以避免问题的发生,最大限度地减少安全事件带来的风险和损失,保证信息系统的使用安全。
第三条通过安全管理不但能够保障己有的安全系统得到正确、有效的使用,而且能够实际检验安全策略的使用情况,及时提出新的安全需求,以便及时进行升级改进或实行新的安全保护措施。
第四条广泛开展信息安全教育,进行信息、安全检查,保证系统安全运行。
第二章适用范围第五条本制定适用于对组成烟草信息网络的各种软、硬件设备的综合安全管理,对安全管理中的各项具体工作进行指导。
第六条管理对象:1.硬件设备:包括计算机主机及外设、网络设备、存储设备以及其它辅助设备。
2.物理环境:包括机房场地环境、设备维修、存储环境等3.通信线路:包括专用的通讯线路、网络布线、用于数据通讯的电话线等。
4.软件系统:包括网络设备的配置、操作系统、应用软件以及其它各相关的应用系统等。
5.文档资料:包括设备及系统的使用说明及操作指南、参数配置表、运行操作记录、故障维护处理记录、电子数据及文档等。
第三章工作职责第七条信息中心负责市(局)公司信息系统运行情况进行监督检查。
第九条保障市(局)公司信息系统安全运行,负责业务数据及其它重要数据的备份管理,向省局信息中心上报信息、系统运行安全报告。
第十条负责安全产品的使用、维护、升级,所有安全产品的使用,必须符合省局信息中心的审批和授权,不得擅自采购和私自试用,负责本单位的安全教育和安全管理培训。
第四章工作程序第十一条软件系统安全:软件系统包括系统软件及应用软件。
1.系统软件指操作系统软件和数据库系统软件:(1)系统软件应使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性和健壮性,并报上一级主管部门备案。
(2)系统软件必须具备身份验证功能、访问控制功能、故障恢复功能、安全保护功能、安全审计功能、分权制约的权限控制功能及加密功能。
2.应用软件指各业务管理信息、系统、决策支持系统、电子商务系统、办公自动化系统及其他软件应用系统等,应用软件系统必须满足软件规范的有关要求。
第十二条各级信息中心、部门在软件系统的安全管理中的作为:1.系统运行前严格审查实施计划的安全性,审查实施计划流程是否符合整体安全策略,是否制订相应应急措施等;2.检查系统运行过程中相关部门安全管理规定的执行情况;3.系统运行结束后,组织对照实施计划评价实施效果,对整体安全体系的影响进行相应评估。
4.由相关技术部门提供系统运行的安全报告。
5.当系统调试完毕,应建立系统维护档案。
如果系统出现变更,应该重新对该系统作安全评估,调整安全配置,并更新相应的系统档案,必要的时候修正整体的安全策略。
第十三条环境安全1.机房建设必须符合国家行业建设标准和规范。
2.建立并严格执行机房管理制度,无关人员未经安全责任人批准严禁进入机房。
依据有关机房管理办法的要求,各级安全管理部门对其机房环境、机房进出、机房设施、机房物品的管理定期进行安全检查。
3.机房工作人员必须严格遵守各项操作规程,定期检查安全保障设备,确保系统安全运行及设备的安全。
4.对主机房进行开机、关机等日常的操作,建立操作程序,并建立完整的设备运行日志、操作记录及其它与安全有关的资料。
第十四条硬件设备安全1.对主要的信息财产按安全等级进行适当的分类和标志,并采取相应的安全保护措施,实行安全等级保护。
对于处理与敏感、有价值或重要的组织财产相关的系统应基于安全需求和风险评估进行附加的控制。
2.对系统的相关计算机和数据通信设备及其连接关系,要编制与实际相符的拓扑图,并归档保存。
3.业务系统和网络的关键设备应有备份策略。
对业务系统设备和通信线路进行定期的检测和维护,确保随时处于可用状态。
4.已开通运行的卫星通信端站,未经上级管理部门批准,不得关机,不得进行中断性测试,严禁擅自改变设备参数。
5.对路由器、交换机等通讯设备必须采取严格的管理措施,设专人管理,未经批准不得随意移动和接入。
6.对信息系统的计算机实体资源和定位状况要进行逐项编号登记和建档,未经批准不得随意改变。
7.定期对硬件设备进行专业维护保养,如有故障,应组织专业人员进行处理。
8.应确定用户对无人值守的设备进行适当的保护。
安装在用户区域的设备,如工作站或文件服务器,需要特别的保护,以防在无人看守时遭受未授权的访问。
第十五条软件应用安全1.应用软件必须经过功能测试、试运行,确认达到设计要求后,方可正式投入使用,测试及试运行有关文档纳入文档管理。
2.市局(公司)各部门必须使用合法的软件,未经信息中心批准的软件,不得在业务系统中使用.3.必须明确软件的使用范围和使用权限,采取有效措施,防止对应用软件的非法修改;4.应用软件应根据岗位情况、人员配置等情况进行不同级别的权限控制;5.应用软件本身必须具备操作日志和管理日志功能,以利于事后跟踪查询人员使用情况;6.软件使用人员应经过适当的操作培训和安全教育;7.建立应用软件文档管理制度、版本管理制度及软件分发制度,防止软件的盗用、误用、流失及越权使用;8.市局(公司)各部门必须根据信息中心统一部署,安装防病毒、网络入侵检测软件等监测、检查类安全产品。
第十六条系统操作与运行安全1.市局(公司)各部门必须按照有关操作管理的要求,规范操作流程:进行访问控制,采取严密的安全措施防止无关用户进入系统,确保应用系统的安全、稳定、持续运行。
2.企业内部所有的机器应该提供口令保护功能;用户在设置和使用口令时,应遵循好的安全习惯和口令管理的要求。
操作人员应有互不相同的用户名,定期更换操作口令。
严禁操作人员泄露本人的操作口令。
3.数据库管理系统和关键网络设备(如路由器、防火墙等)的口令必须由专人掌管,并要求定期更换。
按分级管理、共同负责的原则,由不同人员掌管服务器操作系统口令、数据库管理系统口令和网络管理口令。
如果用户需要访问多种服务或平台,需要多个口令,应建议他们使用单一的有质量的口令,并对储存口令提供合理的保护。
4.严格按岗位职责设置各岗位操作权限,各类操作系统的系统操作权限设置应经信息部门负责人批准并备案。
重要岗位的登录过程应增加必要的限制措施。
敏感信息、访问必须通过身份授权认证。
5.在正常的系统运行中,所有对业务系统的实质性操作必须由操作员按权限控制要求执行,其他人员不得直接对系统或应用进行实质性操作。
第十七条操作系统、数据库系统安全管理1.系统选用:烟草信息系统工程所选用的操作系统、数据库管理系统必须具备与其用途相适应的安全性能;2.口令使用管理:要严格加强口令保密制度的执行,杜绝使用公开或缺省的口令和用户名称,对关键用户的口令要采用双人监护、异地保存等方式进行管理,严防个人独自以关键用户进入系统;3.系统运行监控管理:要加强系统日常的巡查,及时监控用户使用系统资源情况,对陌生用户要及时查清来源,并加以相应处理,对越权用户要查明越权原因,并根据实际情况限制其使用权限;4.系统备份管理:及时做好系统动、静态数据的备份工作,以备系统出现意想不到的故障。
第十八条计算机病毒防范必须建立计算机病毒防范制度,系统管理员应有较强的病毒防范意识,定期进行病毒检测,及时更新软件版本和漏洞补丁,发现问题及时解决。
具体措施如下:1.要求所有工作站全部安装防病毒软件;2.为防止原始设备计算机病毒的侵害对新购进的计算机及设备,要组织专业人员检查后方可安装运行;3.软盘、光盘等移动存储媒体,以及外来的软件等,要先进行计算机病毒检查,确认无计算机病毒后才可以使用;严禁使用未经清查的、来历不明的软盘、光盘等;4.重要计算机要定期进行计算机病毒检查,系统中的程序要定期进行比较测试和分析;5.在接入Internet 网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开邮件附件;6.关键服务器要尽量做到专机专用,特别是具有读写权限、身份确认功能的认证服务器一定要专用;对共享的网络文件服务器,应特别加以维护,控制读写权限,尽量不在服务器上运行无关软件程序;7.系统的重要数据资源要采取措施加以保护;8.跟踪计算机病毒发展的最新动态,及时了解计算机病毒,特别是有严重破坏力的计算机病毒的爆发日期或爆发条件,及时通知各部门进行防范;9.随时注意计算机的各种异常现象,一旦发现,应立即用查毒软件仔细检查;10.经常更新与升级防杀计算机病毒软件的版本;11.对重点岗位的计算机要定点、定时、定人作查毒杀毒巡检;12.当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行,并同时上报信息中心,由信息中心派人处理。
13.接受省经济信息中心采用定期常规检查与特别日期专项检查、集中检查与分散检查相结合方式,对计算机病毒防范管理制度的实施情况进行检查。
第十九条网络安全1.新建网络、网络改造、网络变更或新系统在投入使用前,必须按照规范的规定制订相对应的网络安全防范措施,并对新建网络或改造后网络实施安全检验,未经检验的新建网络或改造后网络不允许投入使用。
2.为了保证全省行业网络的安全,全省行业计算机网络要严格控制Internet 出口数量,各单位和个人不得擅自利用行业网络联入Internet 。
市局公司可以根据需要建设Internet 出口,但必须符合以下要求:3.4.5点3.Internet出口必须实行与行业内联网的逻辑隔离,其安全方案由省局信息中心统一制定和审批;4.有Internet出口的单位必须采取严格的安全保护措施,至少配置放火墙和入侵检测措施,对Internet 提供公共服务的服务器(如WEB 服务等)应采取与行业内联网逻辑隔离的设置,不得允许来自Internet 的用户访问行业网络;5.不得采用一台路由器同时与Internet 和行业内联网进行互联。
6.禁止建立面向行业外的电子公告系统;建立面向行业内的电子公告系统,须报省局信息中心批准和备案,并建立用户登一记和信息、管理制度;7.禁止联入行业网络的计算机通过调制解调器拨号等方式登录到其他网络,如业务确实需要,需经同级保密委员会及信息、网络主管部门批准。
8.存放和处理涉及国家秘密信息、的系统和网络要与行业计算机网络和互联网实行严格的物理隔离,涉密系统的建设要符合国家保密局颁布的相关标准和要求。
9.不得将行业网络与其他网络直接连通,行业网络在与外部网络进行连接时,在外联网的交界处(和各级政府机构,如银行、税务等互联的接口处),必须提供相应的安全保护措施,并制定严密的访问权限。
