下载文档原格式
等保信息安全管理办法一、总则为加强信息系统的安全管理,提高信息系统的安全保护水平,确保信息系统稳定可靠运行,根据国家有关法律法规和等级保护相关标准要求,结合本单位实际情况,制定本办法。
二、适用范围本办法适用于本单位所有信息系统的规划、建设、运行、维护和管理。
三、管理目标确保信息系统的保密性、完整性和可用性,防止信息泄露、篡改和破坏,保障业务的连续性和稳定性。
四、管理职责(一)信息安全领导小组1. 负责制定信息安全方针政策和总体策略。
2. 审批信息安全管理办法和重大安全事件处理方案。
3. 监督检查信息安全管理工作的执行情况。
(二)信息安全管理部门1. 制定并完善信息安全管理制度和操作规程。
2. 组织开展信息安全风险评估和安全检查。
3. 负责信息系统的安全防护、监测和应急处置。
4. 组织信息安全培训和宣传教育。
(三)系统建设部门1. 在信息系统建设过程中,落实安全技术要求和安全管理措施。
2. 配合信息安全管理部门进行安全评估和验收。
(四)系统运维部门1. 负责信息系统的日常运行维护,确保系统安全稳定运行。
2. 及时处理安全事件,报告安全情况。
(五)各业务部门1. 遵守信息安全管理制度,保护本部门业务数据的安全。
2. 配合信息安全管理部门开展安全工作。
五、安全管理要求(一)安全规划与建设1. 信息系统建设前,应进行安全需求分析和风险评估,制定安全方案。
2. 信息系统的设计、开发、测试和验收应符合等级保护要求。
3. 选用安全可靠的技术和产品,确保系统的安全性。
(二)安全防护1. 部署防火墙、入侵检测、防病毒等安全防护设备和系统。
2. 对信息系统进行访问控制,设置用户权限和口令策略。
3. 对重要数据进行加密存储和传输。
4. 定期进行漏洞扫描和安全加固。
(三)安全监测1. 建立安全监测机制,实时监测信息系统的运行状态和安全事件。
2. 对安全事件进行及时响应和处理,记录事件过程和处理结果。
(四)安全应急处置1. 制定信息安全应急预案,定期进行演练。
(公通字[2022 ] 43 号)第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成伤害,但不伤害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重伤害,或者对社会秩序和公共利益造成伤害,但不伤害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重伤害,或者对国家安全造成伤害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特殊严重伤害,或者对国家安全造成严重伤害。
信息安全管理办法实施守则2022年2月11日目录1 总则 (4)1.1 目的依据 (4)1.2 管理内容 (4)1.3 管理目标 (4)2 信息安全体系管理 (5)2.1 安全体系内容 (5)2.2 制度建设 (5)2.3 人员安全 (5)2.4 数据安全 (5)2.5 外包安全 (5)2.6 合规管理 (6)3 数据安全管理 (7)3.1 数据安全管理要求 (7)3.2 数据平台维护管理要求 (7)4 运维安全管理 (9)4.1 运维流程管理 (9)4.2 用户认证管理 (9)4.3 用户权限管理 (9)4.4 风险信息管理 (9)4.5 安全漏洞管理 (9)4.6 安全监控管理 (10)4.7 设备安全管理 (10)4.8 用户登录管理 (10)5 监控安全管理 (12)5.1 监控管理 (12)5.2 账号与权限管理 (12)5.3 备份管理 (13)6 开发安全管理 (14)7 应急安全管理 (15)7.1 应急预案 (15)7.2 应急处置 (15)8 设备安全管理 (16)8.1 设备管理 (16)8.2 设备维修 (16)8.3 设备退出 (16)9 终端安全管理 (17)9.1 终端准入 (17)9.2 终端补丁管理 (17)9.3 终端防病毒 (17)9.4 移动存储介质管理 (17)10 网络安全管理 (18)10.1 内部网络 (18)10.2 外部网络 (18)11 系统安全管理 (20)1 总则1.1 目的依据为规范和加强******机房基础设施信息安全工作,切实提高信息安全管理水平和技术防护能力,有效控制信息安全风险,保障信息化基础设施和信息系统的安全、可靠、稳定运行,依据《********》制定本办法。
1.2 管理内容本办法所称信息安全管理是指通过策略、流程和技术,对信息资产进行管理和控制,确保信息的机密性、完整性和可用性。
1.3 管理目标①有效保护信息资产,支持信息系统持续运维;②充分利用新技术,提高应对新型信息安全威胁的能力,支持技术创新;③保护信息和资产安全,维护公司信誉;④提高合规管理能力,满足我司内外监管要求。
信息安全等级保护管理方法〔公通字[2007]43号〕作者 : 来源 : 公安部、国家保密局、国家密码管理局、字体:大中小国务院信息工作办公室时间:2007-06-22第一章总则第一条为标准信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国电脑信息系统安全保护条例》等有关法律法规,制定本方法。
第二条国家通过制定统一的信息安全等级保护管理标准和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本方法及相关标准标准,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本方法及其相关标准标准,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
安全信息管理办法引言安全信息管理办法是一套用于保护信息系统和数据安全的措施和规程。
随着信息技术的飞速发展,企业面临的信息安全威胁日益增加。
为了保护企业的核心资源,制定一套科学合理的安全信息管理办法显得尤为重要。
本文将详细介绍安全信息管理办法的制定和实施。
制定安全信息管理办法的目的制定安全信息管理办法的主要目的是为了保护企业的信息系统和数据免受未经授权的访问、使用、披露、修改、破坏和丢失。
通过建立一系列的规则和流程,可以有效地预防和应对安全威胁,降低信息安全风险,确保企业的信息资产安全。
安全信息管理办法的基本原则在制定和实施安全信息管理办法时,应遵循以下基本原则:1. 风险评估和管理在制定安全信息管理办法之前,应对企业信息系统进行风险评估,确定潜在的威胁和漏洞。
通过制定相应的管理措施来降低风险,并建立风险管理的机制,定期评估和监控风险水平。
2. 保护措施的分级和层次化将信息系统和数据分为不同的级别,根据不同级别的风险和敏感程度制定相应的保护措施。
通过层次化的安全管理,可以更加针对性地进行安全防护,确保关键信息的安全性。
3. 权责分明建立明确的安全管理责任制,明确各级管理人员的安全职责和权限,并加强对员工的安全教育和培训,提高员工的安全意识和能力。
4. 安全监控和响应建立完善的安全监控机制,对信息系统进行实时监测和安全事件的追踪,及时发现和应对安全威胁。
同时建立应急响应机制,对安全事件进行处理和调查,并采取相应的纠正措施,以防止类似事件再次发生。
5. 审计和评估定期进行安全审计和评估,检查安全体系的有效性和合规性,及时发现和修复安全漏洞,提升安全管理水平。
安全信息管理办法的具体制定步骤步骤一:明确制定范围和目标确定需要制定安全信息管理办法的范围和目标,明确要保护的信息系统和数据的类型和级别。
步骤二:风险评估和安全需求分析通过风险评估和安全需求分析,确定潜在的威胁和漏洞,明确安全需求和保护措施。
步骤三:制定制度和规程根据风险评估和安全需求分析的结果,制定相应的制度和规程,包括用户权限管理、密码策略、访问控制、网络隔离等。
信息系统安全管理办法信息系统安全管理办法是指为了保护信息系统的安全性和完整性,确保信息的保密性、完整性和可用性,制定的一系列管理规定和措施。
信息系统安全管理办法旨在规范信息系统的运行和管理,预防和应对各类安全威胁和风险,保障信息系统的正常运行和信息资源的安全。
一、信息系统安全管理的基本原则信息系统安全管理应遵循以下基本原则:1. 安全性优先原则:安全性是信息系统运行的首要目标,所有管理和控制措施都应以保障信息系统的安全为前提。
2. 风险管理原则:信息系统安全管理应基于风险评估和风险管理,通过识别、评估和应对各类威胁和风险,确保信息系统的安全。
3. 合规性原则:信息系统安全管理应符合相关法律法规、政策规定和标准要求,确保信息系统的合规性。
4. 综合治理原则:信息系统安全管理需要全面、综合地治理各个环节和方面,包括技术、人员、制度、物理环境等。
5. 持续改进原则:信息系统安全管理需要不断进行监测和评估,及时调整和改进管理措施,以适应不断变化的安全威胁和风险。
二、信息系统安全管理的主要内容信息系统安全管理包括以下主要内容:1. 安全策略和政策制定:制定信息系统安全策略和政策,明确安全目标、安全要求和安全责任,为信息系统安全提供指导和保障。
2. 风险评估和管理:通过风险评估和管理,识别和评估信息系统面临的各类安全威胁和风险,制定相应的控制措施和应对方案。
3. 安全意识培训和教育:组织开展信息系统安全意识培训和教育,提高员工对信息安全的认识和意识,增强信息安全防护能力。
4. 安全技术措施:采取各类安全技术措施,包括网络安全、系统安全、数据安全等方面的技术措施,确保信息系统的安全运行。
5. 安全事件监测和应对:建立安全事件监测和应对机制,及时发现和处理安全事件,减少安全事件对信息系统的影响。
6. 安全审计和评估:定期进行信息系统安全审计和评估,检查和评估信息系统的安全性和合规性,发现和纠正安全问题。
7. 应急响应和恢复:制定信息系统安全应急响应和恢复预案,应对各类安全事件和事故,减少损失和影响。
网络信息安全管理办法网络信息安全管理办法第一章总则第一条为了加强网络信息安全管理,维护网络环境的安全和稳定,保护网络信息的完整性、可用性和保密性,依据相关法律法规制定本办法。
第二章网络安全责任第二条网络信息系统的责任主体应对其使用的网络信息系统承担安全保障责任。
第三条网络信息系统管理者应建立网络安全管理制度,明确安全责任和安全目标,制定安全应对措施。
第四条网络信息系统的使用者应按照管理者要求使用系统,采取安全措施,维护系统安全。
第五条网络信息系统服务提供者应依法提供网络信息服务,确保服务的安全可靠。
第三章网络安全风险评估第六条网络信息系统管理者应定期开展网络安全风险评估,发现安全隐患并采取相应措施。
第七条网络信息系统管理者应建立漏洞管理制度,对系统中发现的漏洞进行记录、评估和修复。
第八条网络信息系统管理者应建立网络攻击事件应急处置机制,及时响应和处理网络安全事件。
第四章网络安全技术措施第九条网络信息系统管理者应加强网络安全防护,使用安全技术措施,防止网络攻击和恶意程序入侵。
第十条网络信息系统管理者应对网络通信进行加密和安全传输,确保信息传输的安全性。
第十一条网络信息系统管理者应备份和保护重要数据,避免数据丢失或泄露。
第十二条网络信息系统管理者应采取用户名和密码等身份认证措施,控制用户的访问权限。
第五章法律责任第十三条违反本办法规定,未履行网络信息安全管理义务的,依法承担相应的法律责任。
第十四条如网络信息安全事件涉及犯罪行为的,依法追究刑事责任。
第十五条有关机构和个人应积极配合执法机关的网络信息安全调查和取证工作。
附件:附件1:网络安全管理制度样本附件3:网络安全事件应急处置手册法律名词及注释:1、网络信息系统:指以计算机为核心,依靠通信设备及网络技术,用于收集、存储、传输、处理和应用信息的一种系统。
2、网络信息系统管理者:指网络信息系统的所有者、运营者或者管理者,具有安全责任和管理权限。
3、网络信息系统使用者:指具有使用网络信息系统权限的个人或者单位,承担一定的安全保障责任。
第一章总则第一条为加强我单位信息安全工作,保障信息系统安全稳定运行,保护国家秘密、商业秘密和个人隐私,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我单位实际情况,制定本办法。
第二条本办法适用于我单位所有信息系统、网络设施、数据资源以及涉及信息安全的相关活动。
第三条我单位信息安全工作遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 技术和管理并重;4. 法律法规为准绳。
第二章组织与管理第四条成立信息安全工作领导小组,负责统一领导和协调信息安全工作。
第五条信息安全工作领导小组下设信息安全办公室,负责信息安全工作的日常管理、监督和检查。
第六条各部门、各岗位应根据职责分工,落实信息安全责任,确保信息安全制度的有效实施。
第七条信息安全工作领导小组定期召开会议,研究解决信息安全工作中的重大问题。
第三章信息安全管理制度第八条信息安全管理制度包括但不限于以下内容:1. 信息系统安全管理制度:明确信息系统建设、运行、维护、报废等各环节的安全要求,确保信息系统安全可靠。
2. 网络安全管理制度:规范网络接入、网络设备管理、网络安全监测等,保障网络安全。
3. 数据安全管理制度:明确数据分类、分级、存储、传输、处理、销毁等环节的安全要求,确保数据安全。
4. 密码管理制度:规范密码的使用、管理、更换等,确保密码安全。
5. 访问控制制度:明确用户权限、访问控制策略等,确保信息系统资源的安全访问。
6. 安全事件管理制度:规范安全事件的报告、调查、处理、总结等,提高应对安全事件的能力。
7. 安全培训制度:定期开展信息安全培训,提高员工信息安全意识。
第九条信息安全管理制度应定期修订,以适应信息安全形势的变化。
第四章信息安全保障措施第十条加强信息安全基础设施建设,包括防火墙、入侵检测系统、漏洞扫描系统等。
第十一条定期进行安全漏洞扫描和风险评估,及时修复安全漏洞。
第十二条建立信息安全应急响应机制,确保在发生信息安全事件时能够迅速响应。
规章制度编号:国网(信息/3)255-2014 国家电网公司办公计算机信息安全管理办法第一章总则第一条为加强国家电网公司(以下简称“公司”)办公计算机信息安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。
第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。
(一)信息内外网办公计算机分别运行于信息内网和信息外网;(二)信息内网定位为公司信息业务应用承载网络和内部办公网络;(三)信息外网定位为对外业务应用网络和访问互联网用户终端网络;(四)公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略。
1 / 8第三条本办法适用于公司总(分)部、各单位及所属各级单位(含全资、控股、代管单位)(以下简称“公司各级单位”)。
第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。
严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用。
第二章职责分工第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。
第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作,按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。
第七条办公计算机使用人员为办公计算机的第一安全责任人,未经本单位运行维护人员同意并授权,不允许私自卸载公司安装的安全防护与管理软件,确保本人办公计算机的信息安全和内容安全。
信息安全管理办法1目的和范围1.1为加强和规范中国xx集团有限公司信息系统安全防护实施工作,确保信息系统的安全实施,提高信息系统整体安全防护水平,实现信息系统的可控、能控、在控。
现参照《中华人民共和国计算机信息网络国际联网安全保护管理制度》、《互联网信息服务管理规定》,特制定本管理制度。
1.2本办法属于公司管理体系三层次文件中的第二级,其上级管理文件为《信息化管理程序》。
此文件不需二级单位编制实施细则。
1.3本办法适用于全部职能部门、二级单位(含分(子)公司、事业部)及项目部。
2相关术语本办法所指的信息系统是指信息基础设施(包括软、硬件)。
3管理原则3.1 信息系统安全防护实施工作应统一组织,坚持与信息化建设同时规划、同时建设、同时投入运行的“三同步”原则。
3.2 信息系统安全防护工作按照“统一领导,分级负责”的原则,统一组织安全防护体系的实施工作。
4管理风险4.1公司网络被攻击、破坏风险。
4.2上网实名制风险。
5管理职责5.1集团网络安全和信息化领导小组是信息安全防护工作的管理主责机构,各分子公司在集团网络安全和信息化领导小组的指导下,具体负责组织本公司信息系统安全防护实施工作。
5.1信息系统安全防护工作主要职责:负责落实相关的标准、规范和管理要求;负责建立信息系统安全防护策略、制度、标准、规范体系;负责指导、协调、检查、监督各单位的信息系统安全防护实施工作;组织落实信息系统等级保护制度。
6管理内容、程序6.1内容与要求6.1.1本办法对信息系统安全防护策略、安全防护措施建设与对信息系统维护、安全检查等管理工作做出具体规定。
6.1.2应建立健全安全防护策略,落实各项安全防护措施,通过对信息系统进行信息安全检查,不断改善信息系统安全防护工作。
6.2安全防护建设6.2.1信息系统安全防护建设要与信息化建设同步规划、同步建设、同步投入运行,要按照信息系统等级保护要求,采取相应安全策略,实现相应安全功能。
信息安全管理办法
第一章 总则
第一条 为保障公司信息安全,切实推行安全管理,积极
预防风险,完善控制措施,制定本办法。
第二条 本办法适用于公司各职能部门、分公司信息安
全管理。
第二章 主要内容及工作职责
第三条信息安全管理的主要工作内容包括机房安全管
理、网络安全管理、主机安全管理、应用安全管理、数据安
全管理和管理安全工作。
第四条 IT中心工作职责
1、IT中心为公司信息安全管理主管部门。
2、负责公司信息安全管理策略制订与落实。
3、负责起草信息安全规章制度,承担信息安全保障建
设、信息安全日常管理职能,提供信息安全技术保障。
4、负责各中心、分公司、专(兼)职信息管理员信息
安全指导、培训。
第五条 各中心、分公司
1、指定专人担任专职或兼职信息管理员,负责协助IT
中心开展信息安全实施工作,并提供部门内部技术支持和
网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。
3、负责业务操作层的相关信息安全保障。
4、负责做好本部门人员的信息安全教育工作,提高人
员的信息安全意识和技能水平。
第三章 机房安全管理
第六条 机房人员出入、巡检、操作和设备管理请参照
《机房安全管理规定》。
第四章 网络安全管理
第七条 公司内部网络与互联网实行安全隔离,在网络
边界处应部署防火墙或其他安全访问控制设备,制定访问控
制规则。
第八条 新增网络设备入网时,网络管理员应按照《网
络设备安全配置检查表》 进行检查(见附录A),经信息安
全管理员确认所有检查项检查结果全部为“是”后允许网
络设备进入网络运行。
第九条网络新建或改造,在投入使用前,网络管理员须
进行网络连通性、冗余性和传输速度等测试,信息安全管理
员全程参与,确保网络系统安全。
第十条当网络设备配置发生变更时,须及时对网络设备
配置文件进行备份;网络设备配置每三个月进行全备份,网
络设备配置文件由网络管理员保管。
第十一条网络管理员应建立网络技术档案,技术文档包
括拓扑结构(含分支网络)、网络设备配置等相关文档,网
络技术文档由网络管理员保管。
第五章 主机安全管理
第十二条主机系统原则上仅开启必要的系统服务和功
能,开启系统日志、安全日志。
第十三条新增主机设备入网时,主机运行维护人员应按
照《主机设备安全配置检查表》进行检查(见附录B),经信
息安全管理员确认所有检查项检查结果全部为“是”后允
许主机设备进入网络运行。
第十四条主机运行维护人员应及时更新软件版本和病
毒库;信息安全管理员负责制订统一的病毒管理策略。
第十五条主机运行维护人员每个月通过防病毒管理软
件查看所有主机的防病毒软件运行状态,如有异常情况,主
机运行维护人员需及时反馈给信息安全管理员进行处置。
第六章 应用安全管理
第十六条重要信息系统应用开发应建立开发测试环境,
开发测试的环境必须与实际运行环境分开,信息系统开发、
测试、修改工作不得在生产环境中进行。
第十七条新建信息系统入网前,系统管理员须进行由信
息安全管理员参加的系统测试,并出具包含身份鉴别、访问
控制、安全审计等内容的系统测试报告。
第七章 数据安全管理
第十八条公司每一位员工都有保守公司信息安全防止
泄密的责任,任何人不得向公司以外的任何单位或个人泄露
公司技术和商业机密,如因学术交流或论文发表涉及公司技
术或商业机密,应提前向公司汇报,并在获得批准同意后,
方能以认可的形式对外发布。
第十九条定期对公司重要信息包括软件代码进行备份,
备份完成后,做好登记工作。
第二十条数据库管理员负责对重要信息系统的数据库
每周进行全备份,并对备份数据的有效性进行检查。
第二十一条存放备份数据的介质包括U盘、移动硬盘、
光盘和纸质,所有备份介质必须明确标识备份内容和时间,
并实行异地存放。
第二十二条数据恢复前,必须对原环境的数据进行备份,
防止有用数据的丢失。数据恢复后,必须进行验证、确认,
确保数据恢复的完整性和可用性。
第二十三条数据清理前必须对数据进行备份,在确认备
份正确后方可进行清理操作。数据清理的实施应避开业务高
峰期避免对联机业务运行造成影响。
第二十四条管理部门应对报废设备中存有的程序、数据资
料进行备份后清除,并妥善处理废弃无用的资料和介质,防
止泄密。
第二十五条因审计、查询等管理需要拷贝系统原始数据的,
需要经IT中心主管部门和业务主管部门同意后,并双方在
场后,由系统管理员导出数据。
第八章 密码与权限管理
第二十六条信息系统的用户密码不少于8位,密码应至
少在字母、数字、特殊字符这三类字符中任选两种或两种以
上混合使用,不得使用缺省口令、空口令、弱口令;根据管
理需要开设用户,及时删除系统多余和过期的账户。
第二十八条员工离职后,员工所属部门或人力资源部应
在当天通知总部IT中心,及时关闭离职员工的OA账号和邮
箱账号,并对员工的出入卡进行停卡处理。
第九章 管理安全
第二十九条 信息化设备安全管理
1、严禁将公司配发给员工用于办公的计算机转借给非
公司员工使用,严禁利用公司信息化设备资源为第三方从
事兼职工作。
2、员工须保管好个人帐户口令,未经许可员工之间不
得私下互相转让、借用公司IT系统账号;员工完成信息
系统的操作或离开工位时,须及时退出信息系统。
3、员工个人终端必须设置系统登陆密码和屏幕保护密
码。
4、员工个人终端必须安装公司统一采购的防病毒软件,
不得私自卸载和停用,及时更新重要系统补丁及病毒库,
并定期查杀病毒。
5、员工发现计算机或信息受到安全威胁或者已经发生
安全攻击事件,应立即通知信息安全管理员。
第三十条 专业安全人员管理
1、总部及各分公司IT中心应指定专人负责信息安全
管理工作。
2、总部IT中心的信息安全管理员负责协调信息安全
管理工作,各分公司信息安全管理人员负责各自信息安全
建设工作的实施,推动各自信息安全各项工作开展。
3、信息安全管理人员在离岗时,应由IT中心负责人
指派专人接任信息安全管理工作;接任信息安全管理人员
应及时终止离岗人员的访问权限,并在交接后三个工作日
内修改相关安全系统口令密码。
第三十一条 系统运维安全管理,参照《荷马有限公司
信息系统运维管理办法》。
第三十二条 信息安全事件预防和处理
1、公司IT中心应制定信息系统应急预案和演练计划,
并组织进行演练。
2、总部及各分公司IT中心负责信息安全事件预防和
处理工作。
3、非重要信息系统整体瘫痪,系统管理员应及时组织
人员进行系统恢复;重要信息系统整体瘫痪,系统管理员
立即报IT中心负责人,并及时组织人员进行恢复,24小
时内无法恢复的,需要通知各相关部门并报分管领导。
4、系统恢复后,系统管理员应查明故障原因,制定改
进措施并加以验证,向IT中心负责人提交事件书面报告。
第十章 考核及其他
第三十三条对违反信息安全管理规定,导致信息安全事件
的,或发生信息安全事件后未及时如实上报的,应当根据
事件影响程度,追究相关部门领导责任并可对相关责任人
员处以警告、记过、记大过处分,情节严重者将解除劳动
合同并送公安机关处理。
第三十四条本办法自公布之日起实施。
附录A
网络设备安全配置检查表
设备编号 设备名称
网络管理员 信息安全管理员 检查时间
序号 检查项 检查结果 备注
1 使用监控系统监控关键网络设备的运行状态; 是否
2 设置网络设备的登录口令; 是否
3 根据管理需要开设用户,无缺省口令、空口令、弱口令; 是否
4 设置非法登录次数和登录连接超时时间; 是否
5 仅采用ssh、https等加密协议方式对设备进行交互式管理; 是否
6 对网络设备的远程管理的登录地址进行了限制; 是否
7 网络设备本地时间配置时间同步; 是否
8 启用网络设备系统日志功能; 是否
附录B
主机设备安全配置检查表
设备编号 设备名称
主机运行维护
人员
信息安全管理员 检查时间
序号 检查项 检查结果 备注
1 更改缺省管理员账号名称 是否 本项仅适用于windows操作系统
2 停用不必要的帐号 是否
3 设置帐号口令认证,口令6位及以上且为字母、数字、特殊字符里的两种以上组合的复杂密码 是否
4 操作系统设置登录失败锁定策略 是否
5 操作系统设置远程登录超时 是否
6 操作系统本地时间配置时间同步 是否
7 没有安装与应用业务系统无关的系统软件 是否
8 启用系统日志功能 是否
9 安装公司统一的防病毒软件,并及时更新到最新版本 是否 本项仅适用于windows操作系统
