【信息安全管理制度分类】
信息安全管理制度是企业运营的核心组成部分,旨在保护企业的关键信息资产免受各种威胁。它通常包括以下几个主要类别:
1. 数据保护政策:规定如何存储、处理和传输敏感数据,确保其机密性、完整性和可用性。
2. 访问控制制度:设定权限级别,限制只有授权人员才能访问特定信息资源。
3. 网络安全策略:涵盖防火墙设置、入侵检测系统和防病毒措施,防止非法网络入侵。
4. 安全审计与监控:定期进行安全审核,监控系统活动,及时发现潜在风险。
5. 应急响应计划:预先规划应对安全事件的步骤,降低损失。
6. 员工教育与培训:提升员工的信息安全意识和技能。
7. 合规性管理:确保业务操作符合相关法律法规和行业标准。
员工培训是信息安全管理制度的关键环节。培训内容应包括:
1. 信息安全基础知识:让员工了解常见的威胁,如钓鱼邮件、恶意软件等。
2. 保密协议:强调保密义务,明确违反协议的后果。
3. 密码管理:教导正确设置和保护密码的方法。
4. 社交工程防范:提高识别和避免社会工程攻击的能力。
5. 设备安全:教育员工正确使用和保护公司设备,如电脑和移动设备。
6. 安全行为规范:明确在工作场所应遵循的信息安全行为准则。
应急预案是信息安全管理体系的重要组成部分,应包括以下要素:
1. 事件识别与报告:定义事件的类型和报告流程。
2. 事件评估:快速评估事件的严重性,确定应对措施。
3. 指挥与协调:设立应急响应团队,明确角色和职责。
4. 控制与缓解:采取紧急措施,防止事件扩大。
5. 数据恢复与业务连续性:确保关键业务不受影响,尽快恢复正常运行。
6. 事后分析与改进:事件处理后,分析原因,改进安全措施。
信息安全管理制度的重要性不容忽视。一方面,它可以防止数据泄露,保护企业的核心竞争力;另一方面,遵守相关法规,避免法律纠纷,维护企业声誉。此外,良好的信息安全环境可以增强客户信任,提升业务伙伴合作关系,从而促进企业的长期稳定发展。因此,建立和完善信息安全管理制度,是每个企业都必须重视的战略任务。
第1篇 大同发电公司网络信息安全管理制度
第一条根据国电集团公司下达的国电集科[2004]83号文件《国电集团公司多媒体广域网络系统管理办法及信息技术规范的通知》的要求。制定网络安全管理制度,适合在大同发电有限公司内的管理信息网络中使用。
第二条安全管理制度须从以下几个方面进行规范:物理层、网络层、平台安全,物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。
机房安全管理
第三条 大同发电公司网络机房是网络系统的核心,除网络信息处管理人员外,其他人不经允许不得入内,网络信息处的管理人员不准在主机房内会客或带无关人员进入。未经许可,不得动用机房内设施
第四条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天下班前须检查设备电源情况,在确保安全的情况下,方可离开。
第五条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。
第六条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。
第七条机房温度要保持温度在18±5摄氏度,相对湿度在50%±5%。
第八条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。
第九条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。
第十条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。
第十一条机房电源不可以随意断开,对重要设备必须提供双套电源。并配备ups净化电源供电。公司办公楼如长时间停电须通知信息主管部门,制定相应的技术措施,并指明电源恢复时间。
设备安全管理
第十二条网络系统的主设备是连续运行的,网络信息处每天必须安排专职值班人员。
第十三条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向网络信息处领导报告,遇有紧急情况,须立即采取措施进行妥善处理。
第十四条 负责填写系统运行日志、操作日志,并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。
第十五条 负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。
第十六条 不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备,确需移动的要经网络信息处领导同意。
第十七条 在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电(可摸一下暖气管或接地线)。
网络层安全
第十八条公司网络与信息系统中,在网络边界和对外出口处必须配置网络防火墙。
第十九条未实施网络安全管理措施的计算机设备禁止与internet相连。
第二十条任何接入网络区域中的网络安全设备,必须使用经过国家有关安全部门认证的网络安全产品。
第二十一条在计算机联入企业信息网络之后,禁止一其他任何方式(如拨号上网、isdn、adsl等)与internet相连。
第二十二条对于公司企业内部网路应当根据应用功能不同的要求,必须进行网络分段管理,以防止通过局域网“包广播”方式恶意收集网络的信息。
系统安全管理
第二十三条 禁止下载互联网上任何未经确认其安全性的软件,严禁使用盗版软件及游戏软件。
第二十四条 密码管理:密码的编码必须采用尽可能长并不易猜测的字符串,不能通过电子邮件等明文方式传送传输,密码必须定期更新。
第二十五条 登陆策略:仅给经过授权的用户暴露账号,不得设置多人共用的账号,连续登陆三次失败,须暂时禁止此账号并通知该账号用户。
第二十六条 普通系统用户:未经相关部门许可,禁止与其他人员共享账号和密码;禁止运行网络监听工具或其他黑客工具;禁止查阅别人的文件。
第二十七条 系统管理员:不得随意在系统中增加账号,随意修改权限,未经管理部门的许可,严禁委托他人行使管理员权利。
第二十八条 外来软盘或光盘须在没联网的单机上检查病毒,确认无毒后方可上网使用。私自使用造成病毒侵害要追究当事人责任。
第二十九条 网络系统的所有软件均不准私自拷贝出来赠送其它单位或个人,违者将严肃处理。
系统应用安全管理
第三十条 实行专人负责检测病毒,定期进行检查,配备相应的实时病毒**。
第三十一 条 严禁随意使用软盘和u盘等存储介质,如工作需要,须经过病毒检测方可使用。
第三十二条 严禁以任何途径和媒体传播计算机病毒,对于传播和感染计算机病毒者,视情节轻重,给予适当的处分。制造病毒或修改病毒程序制成者,要给予严肃处理。
第三十三条 发现病毒,应及时对感染病毒的设备进行隔离,情况严重时报相关部门并及时妥善处理。
第三十四条 实时进行防病毒监控,做好防病毒软件和病毒代码的智能升级。
第三十五条应当注意保护网络数据信息的安全,对于存储在数据库中的关键数据,以及关键的应用系统应作数据备份,数据备份应当满足《国电电力大同发电公司数据备份管理制度》的要求。
附则
第三十六条 本办法从公布之日起实施。 本办法由总经部网络信息处负责解释
第2篇 电力公司网络信息安全管理制度
我公司现在所有的电脑都已接入到网络之中,随时随地受到公司管理部门的监控,为了加强计算机网络、软件管理,保证网络系统安全,保障系统、数据库安全运行特制定以下制度和操作详细步骤。
一、网络与信息安全管理制度
1 公司各部室的电脑管理,遵循谁使用,谁负责的原则进行管理。
2 各部室应经常检查本部门的电脑使用情况,负责电脑的安全使用、密码管理、电子邮件管理、防病毒管理等,发现问题及时纠正。
3 电脑的使用和保养
3.1 电脑操作规程:电脑开机时,应遵循先开电源插座、显示器、主机的顺序。每次的关、开机操作至少相隔一分钟。严禁连续进行多次的关机操作。电脑关机时,应遵循先关主机、显示器、电源插座的顺序。下班时,务必要将电源插座的开关全关上,节假日时,更应将插座拔下,彻底切断电源,以防止火灾隐患。
3.2 长时间不用的电脑,应有防尘罩盖着,并应每半个月通电运行半小时。
3.3 应对电脑及其设备进行保养清洁,使之不能有灰尘,电脑不能放在潮湿的地方,应放在通风的位置。
3.4 需保存的信息,除在硬盘保存外,还应进行软盘备份,以免电脑坏时所有的资料丢失。
4 打印机及外围设备的使用。打印机在使用时要注意电源线和打印线是否连接有效,当出现故障时注意检查有无卡纸。激光打印机注意硒鼓有无碳粉,喷黑水是否干涸,针打机看是否有断针。当打印机工作时,不要人工强行阻止,否则,更容易损坏打印机。
5 电脑防病毒的管理。外来的磁盘,或对外报送的磁盘以及从外界录入信息的磁盘,一律要进行电脑病毒检测,在确保没有病毒时方可进入本公司电脑读取信息。外来的信息光盘,非经允许,不准在本公司的电脑读取信息,以防止病毒的入侵。
6 每月各基层应维护oa服务器,及时组织清理邮箱,把不重要的文件删除,保证服务器有充足空间, oa系统能够正常运行。
7 用户要每季度至少一次修改自己的应用系统密码。
8 用户如有中毒、操作系统缓慢、死机等问题时,向系统管理人员提出口头请求,接到请求的系统管理人员应及时提供维护服务,并查明出现故障的原因,如因工作无关的东西所造成的,根据情节按下列规定进行处罚。
9 局域网ip地址由系统管理员负责管理,用户不得擅自改变或增加客户端的ip地址,未经许可私自修改电脑ip地址,导致局域网出现ip地址冲突,电脑掉线现象,严重影响了局域网的稳定和畅通。一经发现罚款100元。
10 用户不得将私人电脑带入公司,不得使用未检测的u盘、不能用电脑给手机充电,一经发现罚款100元。,
11 禁止在公司电脑安装有害系统运行的游戏与无关软件;禁止在各部室的电脑上玩游戏和进行与工作无关的各种活动。一经发现,罚款100元。
12 未经许可私自移动公司在各点分布的网络设备及布线,乱拉线等,一经发现罚款100元。
13 公司电脑系统以及应用平台等经系统管理员装好后一个月内,由于中病毒、自己装卸软件等人为因素导致电脑办公软件、平台无法正常运行的对电脑负责人罚款50元。
14 公司所有电脑上不准使用3g网卡,不准外网与内网共用一台电脑,一经发现由国网公司考核。
15 我公司电脑都有注册,不准使用未经市公司注册的移动储存介质。
16 共用电脑的,查不到责任人时,由部门责任人承担。
17 对于系统和网络出现的异常现象或设备出现故障,管理人员应在第一时间内向分公司系统管理人员汇报,及时处理相应问题。
18 凡是记载秘密信息的纸介质、磁介质、光介质等秘密载体,均要存放在保险柜内,与普通载体分开管理。
19 对涉密的会议文件、资料应进行编号登记,发放时履行签收手续;及时清理收回。
20 严禁通过互联网传输涉密信息。不得在没有相应保密措施的计算机信息系统中处理、存储和传输国家秘密、企业秘密, 具体按有关保密规定执行。
21 严禁在普通电话、无绳电话和手机中谈论涉密事项,发现他人违反保密规定时应予以制止。
22 不得在普通传真机上发送涉及企业秘密的文件。
23 涉密文件复制件视同原件管理,不得改变其密级、保密期限和知悉范围。销毁复制件,应按正式秘密载体的方式处理。复制绝密级秘密载体,需经公司领导批准。
24 处理废旧报纸、杂志及可对外公开的废旧资料时,要认真清理,防止夹带秘密载体。
第3篇 某企业信息安全管理制度
作为一家公司或企业,自然有许多信息方面的工作需要管理,换言之,信息安全管理工作非同小可。企业如何做好这方面的工作大家如对此持有疑惑,不妨参考以下这篇企业信息安全管理制度范本。
一、计算机安全管理制度
1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3. 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一). 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1. 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.it部门人员进入机房必须经领导许可,其他人员进入机房必须经it部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非it部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经it部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(ups)除了电池自动检测外,每年必须充放电一次到两次。
第4篇 镇学校信息安全管理制度
1、信息设施操作人员必须熟知所使用设备的基本性能,严格按照规程操作使用。
2、在使用过程中发现异常情况,应及时通知管理员,不准擅自动手拆修,情况紧急要立即关机,切断电源。
3、未经许可,任何人不得私自挪动设备的位置,更换设备的硬件和计算机的软件。
4、使用计算机和网络设备时禁止非正常开关机,不得随意插拔各种连接线,尽量延长设备的使用寿命。
5、设备管理人员要定时进行日常病毒检测,对防病毒软件及时更新,不得传播、复制病毒程序;装入计算机系统的所有程序、数据要经过病毒检查,同时做好重要数据备份工作;禁止安装与工作内容无关的软件。
6、牢固树立安全意识,谨防电脑病毒侵入,拒绝使用来历不明的软件和光盘,已正常运转的软件不得随意修改程序或相关参数。
7、严禁利用终端站点的计算机系统上网制作、复制、查阅和传播下列信息:
▲煽动抗拒、破坏宪法和法律、行政法规实施的。
▲煽动颠覆国家政权、推翻社会主义制度的。
▲煽动民族仇恨、民族歧视,破坏民族团结的。
▲捏造或者歪曲事实,散布谣言,扰乱社会秩序的。
▲公然侮辱他人或者捏造歪曲事实,散布谣言,制造是非的。
▲宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐
怖,教唆犯罪的。
▲夸大其词,损害国家机关信誉的。
▲其他违反宪法和法律、行政法规的。
8、教学人员应于工作学习结束后检查设备是否已经全部安全关闭,并按要求填写运行情况记录。
第5篇 海成学校网络与信息安全管理应急预案
九中学校网络与信息安全管理应急预案
为确保网络正常使用,充分发挥网络在信息时代的作用,促进教育信息化健康发展,根据国务院《互联网信息服务管理办法》和有关规定,特制订本预案,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。
一、危害网络与信息安全突发事件的应急响应
1.如在局域网内发现病毒、木马、黑客入侵等网络管理中心应立即切断局域网与外部的网络连接。如有必要,断开局内各电脑的连接,防止外串和互串。
2.突发事件发生在校园网内或具有外部ip地址的服务器上的,学校应立即切断与外部的网络连接,如有必要,断开校内各节点的连接;突发事件发生在校外租用空间上的,立即与出租商联系,关闭租用空间。
3.如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改,要立即切断服务器的网络连接,使得外部不可访问。防止有害信息的扩散。
4.采取相应的措施,彻底清除。如发现有害信息,在保留有关记录后及时删除,(情况严重的)报告市教育局和公安部门。
5.在确保安全问题解决后,方可恢复网络(网站)的使用。
二、保障措施
1.加强领导,健全机构,落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组,并设立安全专管员。明确工作职责,落实安全责任制;bbs、聊天室等交互性栏目要设有防范措施和专人管理。
2.局内网络由网管中心统一管理维护,其他人不得私自拆修设备,擅接终端设备。
3.加强安全教育,增强安全意识,树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因,各校要加强对教师、学生的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力,引导他们正健康用网。
4.不得关闭或取消防火墙。保管好防火墙系统管理密码。每台电脑安装杀毒软件,并及时更新病毒代码。
第6篇 质量追溯信息安全管理制度
第一条 设备专人专用,并对使用质量追溯项目设备的单位和个人进行登记造册。其中特别是移动存储设备(u盘和移动硬盘),不能借给任何其他个人和单位使用,以防感染病毒、木马等。
第二条 电脑等各种设备,使用者不能私自拆开。要正确按照说明手册使用相关设备,对未按照规定使用造成设备损坏的,要追究使用者的责任。
第三条 信息中心管理员定期检查设备是否正常,并且对防火墙、杀毒软件、操作系统等升级。升级前一定要对操作系统和关键数据进行备份,以免导致升级后系统不能运行,影响日常工作。
第四条 追溯网络(包括数据采集点)中的任何电脑原则上不允许使用外单位或个人的移动存储设备,以免感染病毒、木马、蠕虫等。如果确有必要,可以在计算机技术人员指导下使用。
第五条 追溯网络内的计算机使用人员不允许上信息不良、不安全的网站,更不允许随意下载、安装程序,并且每台机器都要安装正版杀毒软件,网内电脑上的网络设置不允许随意修改,确有必要可交由专业技术人员修改。
第六条 追溯网络内的计算机使用人员要定期对操作系统、办公、杀毒以及其它各种应用软件及时打补丁和升级。
第七条 数据采集点和网络中心的计算机使用人员和管理人员要及时备份追溯数据,并且要做好数据保密工作,在追溯信息未发布之前,不能将数据发布到internet网络上。数据采集点在每次上报数据时,都要进行加密压缩,网络中心接收人员解密解压使用完毕后,要将解密解压的数据立即删除,以防数据泄漏。
第7篇 某医院信息安全管理制度
一、计算机安全管理
1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。
2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。
3、计算机的软件安装和卸载工作必须由信息科技术人员进行。
4、计算机的使用必须由其合法授权者使用,未经授权不得使用。
5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。
6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。
7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
网络使用人员行为规范
1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。
2、不得在医院网络中进行国家相关法律法规所禁止的活动。
3、未经允许,不得擅自修改计算机中与网络有关的设置。
4、未经允许,不得私自添加、删除与医院网络有关的软件。
5、未经允许,不得进入医院网络或者使用医院网络资源。
6、未经允许,不得对医院网络功能进行删除、修改或者增加。
7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
8、不得故意制作、传播计算机病毒等破坏性程序。
9、不得进行其他危害医院网络安全及正常运行的活动。
二、 网络硬件的管理网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。
2、不得破坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。
3、未经允许,不得中断网络设备及设施的供电线路。因生产原因必须停电的,应提前通知网络管理人员。
4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员,在得到允许后方可实施。
四软件及信息安全
1、计算机及外设所配软件及驱动程序交网络管理人员保管,以便统一维护和管理。
2、管理系统软件由网络管理人员按使用范围进行安装,其他任何人不得安装、复制、传播此类软件。
3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配,任何人不得擅自超越权限使用网络资源及网络信息。
4、网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。
5、任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。更不得利用医院数据信息获取不正当利益。
第8篇 数据中心信息安全管理及管控要求
随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(iso)也发布了iso17799、iso13335、iso15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准iso27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在bsi/disc的bdd/2信息安全管理委员会指导下制定完成。
iso27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版bs 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。iso27000-1与iso27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,iso27000-1:1999《信息安全管理实施细则》通过了国际标准化组织iso的认可,正式成为国际标准iso/iec17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,iso27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时iso27000-2:1999被废止。现在,iso27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(idc)应逐步建立并完善标准化的信息安全管理体系。
一、 数据中心信息安全管理总体要求
1、信息安全管理架构与人员能力要求
1.1信息安全管理架构
idc在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。
1.2人员能力
具备标准化 信息安全管理体系内部审核员、cisp(certified information security professional,国家注册信息安全专家)等相关资质人员。5星级idc至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化 主任审核员。4星级idc至少应至少具备一名合格的标准化信息安全管理内部审核员
2、信息安全管理体系文件要求,根据idc业务目标与当前实际情况,建立完善而分层次的idc信息安全管理体系及相应的文档,包含但不限于如下方面:
2.1信息安全管理体系方针文件
包括idc信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑idc业务需求、国家法律法规的要求、客户以及合同要求。
2.2风险评估
内容包括如下流程:识别idc业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对idc业务造成的影响;评估由主要威胁和脆弱点导致的idc业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。
2.3风险处理
内容包括:与idc管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。
2.4文件与记录控制
明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。
记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
2.5内部审核
idc按照计划的时间间隔进行内部isms审核,以确定idc的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级idc应至少每年1次对信息安全管理进行内部审核。四星级idc应至少每年1次对信息安全管理进行内部审核。
2.6纠正与预防措施
idc建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无
2.7控制措施有效性的测量
定义如何测量所选控制措施的有效性;规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估)。
2.8管理评审
idc管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合idc业务要求。
五星级idc管理层应至少每年1次对idc的信息安全管理体系进行评审四星级idc管理层应至少每年1次对idc的信息安全管理体系进行评审。
2.9适用性声明
适用性声明必须至少包括以下3项内容: idc所选择的控制目标和控制措施,及其选择的理由;当前idc实施的控制目标和控制措施;标准化附录a中任何控制目标和控制措施的删减,以及删减的正当性理由。
2.10业务连续性
过业务影响分析,确定idc业务中哪些是关键的业务进程,分出紧急先后次序; 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间; 进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(bcp)/灾难恢复计划(drp)。
2.11其它相关程序
另外,还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。
二、信息安全管控要求
1、安全方针
信息安全方针文件与评审建立idc信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。
至少每年一次或当重大变化发生时进行信息安全方针评审。
2、信息安全组织
2.1 内部组织
2.1.1信息安全协调、职责与授权
信息安全管理委员会包含idc相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施,要有管理授权过程。
2.1.2保密协议
idc所有员工须签署保密协议,保密内容涵盖idc内部敏感信息;保密协议条款每年至少评审一次。
2.1.3权威部门与利益相关团体的联系
与相关权威部门(包括,公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。
2.1.4独立评审
参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求,进行独立的评审。
审核员不能审核评审自己的工作;评审结果交管理层审阅。
2.2 外方管理
2.2.1外部第三方的相关风险的识别
将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对idc信息处理设施或信息纳入风险评估过程,考虑内容应包括:需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。
建立外部第三方信息安全管理相关管理制度与流程。
2.2.2客户有关的安全问题
针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。
2.2.3处理第三方协议中的安全问题
涉及访问、处理、交流(或管理)idc及idc客户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。
3、信息资产管理
3.1 资产管理职责
3.1.1资产清单与责任人
idc对所有信息资产度进行识别,将所有重要资产都进行登记、建立清单文件并加以维护。
idc中所有信息和信息处理设施相关重要资产需指定责任人。
3.1.2资产使用
指定信息与信息处理设施使用相关规则,形成了文件并加以实施。
3.2 信息资产分类
3.2.1资产分类管理
根据信息资产对idc业务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。
信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。
3.2.2信息的标记和处理
按照idc所采纳的分类指南建立和实施一组合适的信息标记和处理程序。
4、人力资源安全
这里的人员包括idc雇员、承包方人员和第三方等相关人员。
4.1信息安全角色与职责
人员职责说明体现信息安全相关角色和要求。
4.2背景调查
人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。
4.3雇用的条款和条件
人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全相关要求。
4.4信息安全意识、教育和培训
入职新员工培训应包含idc信息安全相关内容。
至少每年一次对人员进行信息安全意识培训。
4.5安全违纪处理
针对安全违规的人员,建立正式的纪律处理程序。
4.6雇佣的终止与变更
idc应清晰规定和分配雇用终止或雇用变更的职责;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。
5、物理与环境安全
5.1 安全区域
5.1.1边界安全与出入口控制
根据边界内资产的安全要求和风险评估的结果对idc物理区域进行分区、分级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。
入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。
机房大楼应有7×24小时的专业保安人员,出入大楼需登记或持有通行卡。
机房安全出口不少于两个,且要保持畅通,不可放置杂物。
5星级idc:出入记录至少保存6个月,视频监控至少保存1个月。
4星级idc:出入记录至少保存6个月,视频监控至少保存1个月。
5.1.2 idc机房环境安全
记录访问者进入和离开idc的日期和时间,所有的访问者要需要经过授权。
建立访客控制程序,对服务商等外部人员实现有效管控。
所有员工、服务商人员和第三方人员以及所有访问者进入idc要佩带某种形式的可视标识,已实现明显的区分。外部人员进入idc后,需全程监控。
5.1.3防范外部威胁和环境威胁
idc对火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏建立足够的防范控制措施;危险或易燃材料应在远离idc存放;备份设备和备份介质的存放地点应与idc超过10公里的距离。
机房内应严格执行消防安全规定,所有门窗、地板、窗帘、饰物、桌椅、柜子等材料、设施都应采用防火材料。
5.1.4公共访问区和交接区
为了避免未授权访问,访问点(如交接区和未授权人员可以进入的其它地点)需进行适当的安全控制,设备货物交接区要与信息处理设施隔开。
5.2 设备安全
5.2.1设备安全
设备尽量安置在可减少未授权访问的适当地点;对于处理敏感数据的信息处理设施,尽量安置在可限制观测的位置;对于需要特殊保护的设备,要进行适当隔离;对信息处理设施的运行有负面影响的环境条件(包括温度和湿度),要进行实时进行监视。
5.2.2支持性设备安全
支持性设施(例如电、供水、排污、加热/通风和空调等)应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。
实现多路供电,以避免供电的单一故障点。
5.2.3线缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
电源电缆要与通信电缆分开;各种线缆能通过标识加以区分,并对线缆的访问加以必要的访问控制。
线缆标签必须采用防水标签纸和标签打印机进行正反面打印(或者打印两张进行粘贴),标签长度应保证至少能够缠绕电缆一圈或一圈半,打印字符必须清晰可见,打印内容应简洁明了,容易理解。标签的标示必须清晰、简洁、准确、统一,标签打印应当前后和上下排对齐。
5.2.4设备维护
设备需按照供应商推荐的服务时间间隔和说明书,进行正确维护;设备维护由已授权人员执行,并保存维护记录1年。
5.2.5组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。
5.2.6设备的安全处置或再利用
包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。
5.2.7资产的移动
设备、信息或软件在授权之前不应带出组织场所,设置设备移动的时间限制,并在返还时执行符合性检查;对设备做出移出记录,当返回时,要做出送回记录。
6、通信和操作管理
6.1 运行程序和职责
6.1.1运行操作程序文件化
运行操作程序文件化并加以保持,并方便相关使用人员的访问。
6.1.2变更管理
对信息处理设施和系统的变更是否受控,并考虑:重大变更的标识和记录;变更的策划和测试;对这种变更的潜在影响的评估,包括安全影响;对建议变更的正式批准程序;向所有有关人员传达变更细节;返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。
6.1.3职责分离
各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。
6.1.4开发设施、测试设施和运行设施的分离
开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
6.2 第三方服务交付管理
6.2.1服务交付
应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。
idc应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难后继续得以保持。
6.2.2第三方服务的监视和评审
应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行,并留下记录。
6.2.3第三方服务的变更管理
应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估
6.3系统规划和验收
6.3.1容量管理
idc各系统资源的使用应加以监视、调整,并做出对于未来容量要求的预测,以确保拥有所需的系统性能。
系统硬件系统环境的功能、性能和容量要满足idc业务处理的和存贮设备的平均使用率宜控制在75%以内。
网络设备的处理器和内存的平均使用率应控制在75%以内。
6.3.2系统验收
建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。
6.4防范恶意代码和移动代码
6.4.1对恶意代码的控制措施
实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序
6.4.2对移动代码的控制措施
当授权使用移动代码时,其配置确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。
6.5 备份
6.5.1备份
应按照客户的要求以及已设的备份策略,定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。
应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。
6.6 网络安全管理
6.6.1网络控制
为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络要充分受控;网络的运行职责与计算机系统的运行职责实现分离;敏感信息在公用网络上传输时,考虑足够的加密和访问控制措施。
6.6.2网络服务的安全
网络服务(包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案,例如防火墙和入侵检测系统等)应根据安全需求,考虑如下安全控制措施:为网络服务应用的安全技术,例如认证、加密和网络连接控制;按照安全和网络连接规则,网络服务的安全连接需要的技术参数;若需要,网络服务使用程序,以限制对网络服务或应用的访问。
6.7 介质管理
6.7 .1可移动介质的管理
建立适当的可移动介质的管理程序,规范可移动介质的管理。
可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、cd、dvd和打印的介质
6.7 .2介质的处置
不再需要的介质,应使用正式的程序可靠并安全地处置。保持审计踪迹,保留敏感信息的处置记录。
6.7 .3信息处理程序
建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。
包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。
6.8 信息交换
6.8.1信息交换策略和程序
为了保护通过使用各种类型的通信设施进行信息交换,是否有正式的信息交换方针、程序和控制措施。
6.8.2外方信息交换协议
在组织和外方之间进行信息/软件交换时,是否有交换协议。
6.8.3电子邮件、应用系统的信息交换与共享
建立适当的控制措施,保护电子邮件的安全;为了保护相互连接的业务信息系统的信息,开发与实施相关的方针和程序。
6.9 监控
6.9.1审计日志
审计日志需记录用户活动、异常事件和信息安全事件;为了帮助未来的调查和访问控制监视,审计日志至少应保存1年。
6.9.2监视系统的使用
应建立必要的信息处理设施的监视使用程序,监视活动的结果应定期评审。
6.9.3日志信息的保护
记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。
6.9.4管理员和操作员日志
系统管理员和系统操作员活动应记入日志。系统管理员与系统操作员无权更改或删除日志。
6.9.5故障日志
与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录、分析,并采取适当的措施。
6.9.6时钟同步
一个安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。
5星级idc各计算机系统的时钟与标准时间的误差不超过10秒。
4星级idc各计算机系统的时钟与标准时间的误差不超过25秒。
7、访问控制
7.1用户访问管理
应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。
应限制和控制特殊权限的分配及使用;应通过正式的管理过程控制口令的分配,确保口令安全;管理层应定期使用正式过程对用户的访问权进行复查。
7.2用户职责
建立指导用户选择和使用口令的指南规定,使用户在选择及使用口令时,遵循良好的安全习惯。
用户应确保无人值守的用户设备有适当的保护,防止未授权的访问。
建立清空桌面和屏幕策略,采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略,idc并定期组织检查效果。
7.3网络访问控制
建立访问控制策略,确保用户应仅能访问已获专门授权使用的服务。
应使用安全地鉴别方法以控制远程用户的访问,例如口令+证书。
对于诊断和配置端口的物理和逻辑访问应加以控制,防止未授权访问。
根据安全要求,应在网络中划分安全域,以隔离信息服务、用户及信息系统;对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制,并建立适当的路由控制措施。
7.4操作系统访问控制
建立一个操作系统安全登录程序,防止未授权访问;所有用户应有唯一的、专供其个人使用的标识符(用户id),应选择一种适当的鉴别技术证实用户所宣称的身份。
可能超越系统和应用程序控制的管理工具的使用应加以限制并严格控制。
不活动会话应在一个设定的休止期后关闭;使用联机时间的限制,为高风险应用程序提供额外的安全。
7.5应用和信息访问控制
用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。
敏感系统应考虑系统隔离,使用专用的(或孤立的)计算机环境。
7.6移动计算和远程工作
应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。
通过网络远程访问idc,需在通过授权的情况下对用户进行认证并对通信内容进行加密。
8、信息系统获取、开发和维护
8.1安全需求分析和说明
在新的信息系统或增强已有信息系统的业务需求陈述中,应规定对安全控制措施的要求。
8.2信息处理控制
输入应用系统的数据应加以验证,以确保数据是正确且恰当的。
验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。
通过控制措施,确保信息在处理过程中的完整性,并对处理结果进行验证。
8.3密码控制
应开发和实施使用密码控制措施来保护信息的策略,并保证密钥的安全使用。
8.4系统文件的安全
应有程序来控制在运行系统上安装软件;试数据应认真地加以选择、保护和控制;应限制访问程序源代码。
8.5开发过程和支持过程中的安全
建立变更控制程序控制变更的实施;当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
idc应管理和监视外包软件的开发。
8.6技术脆弱性管理
应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。
9、信息安全事件管理
9.1报告信息安全事态和弱点
建立正式的idc信息安全事件报告程序,并形成文件。
建立适当的程序,保证信息安全事态应该尽可能快地通过适当的管理渠道进行报告,要求员工、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。
9.2职责和程序
应建立管理职责和架构,以确保能对信息安全事件做出快速、有效和有序的响应。
9.3对信息安全事件的总结和证据的收集
建立一套机制量化和监视信息安全事件的类型、数量和代价,并且当一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。
10、业务连续性管理
10.1业务连续性计划
建立和维持一个用于整个组织的业务连续性计划,通过使用预防和恢复控制措施,将对组织的影响减少到最低,并从信息资产的损失中恢复到可接受的程度。
10.2业务连续性和风险评估
通过恰当的程序,识别能引起idc业务过程中断的事态(例如,设备故障、人为错误、盗窃、火灾、自然灾害和恐怖行为等),这种中断发生的概率和影响,以及它们对信息安全所造成的后果。
业务资源与过程责任人参与业务连续性风险评估。
10.3制定和实施包括信息安全的连续性计划
建立业务运行恢复计划,以使关键业务过程在中断或发生故障后,能在规定的水准与规定的时间范围恢复运行
10.4测试、维护和再评估业务连续性计划
业务连续性计划应定期测试和更新,以确保其及时性和有效性。
定期测试及更新业务连续性计划(bcp)/灾难恢复计划(drp),并对员工进行培训;定期对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。
5星级idc:至少每年一次测试及更新;bcp/drp,并对员工进行培训; 至少每年一次对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。
4星级idc:至少每年一次测试及更新;bcp/drp,并对员工进行培训;至少每年一次对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。
11、符合性
11.1可用法律、法规的识别
idc所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、收集和跟踪,并形成文件并保持更新。
11.2知识产权
应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。
11.3保护组织的记录
应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。
11.4技术符合性检查
定期地对信息系统进行安全实施标准符合检查,由具有胜任能力的已授权的人员执行,或在他们的监督下执行。
11.5数据保护和个人信息的隐私
应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。
第9篇 人员离岗离职信息安全管理规定
为规范本单位计算机信息安全工作,更好的服务于本单位信息化建设需要,特制定本规定:
第一条为保证本单位的计算机与网络信息安全,适应信息安全等方面的需要,防止计算机网络失密泄密事件发生,特制定本制度;
第二条工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。
第三条离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归本单位所有,而无论这些秘密信息有无商业上的价值。
第四条离职人员应当于离职时,或者于本单位提出请求时,返还全部属于本单位的财物,包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,本单位应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由本单位将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,本单位也无须给予离职人员经济补偿。
第五条离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员,不得在离职后以任何形式带走相关信息。
___________
年月日
第10篇 学校网络信息安全管理应急预案
为确保网络正常使用,充分发挥网络在信息时代的作用,促进教育信息化健康发展,根据国务院《互联网信息服务管理办法》和有关规定,特制订本预案,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。
一、危害网络与信息安全突发事件的应急响应
1.如在局域网内发现病毒、木马、黑客入侵等
网络管理中心应立即切断局域网与外部的网络连接。如有必要,断开局内各电脑的连接,防止外串和互串。
2.突发事件发生在校园网内或具有外部ip地址的服务器上的,学校应立即切断与外部的网络连接,如有必要,断开校内各节点的连接;突发事件发生在校外租用空间上的,立即与出租商联系,关闭租用空间。
3.如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改,要立即切断服务器的网络连接,使得外部不可访问。防止有害信息的扩散。
4.采取相应的措施,彻底清除。如发现有害信息,在保留有关记录后及时删除,(情况严重的)报告市教育局和公安部门。
5.在确保安全问题解决后,方可恢复网络(网站)的使用。
二、保障措施
1.加强领导,健全机构,落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组,并设立安全专管员。明确工作职责,落实安全责任制;bbs、聊天室等交互性栏目要设有防范措施和专人管理。
2.局内网络由网管中心统一管理维护,其他人不得私自拆修设备,擅接终端设备。
3.加强安全教育,增强安全意识,树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因,各校要加强对教师、学生的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力,引导他们正健康用网。
4.不得关闭或取消防火墙。保管好防火墙系统管理密码。每台电脑安装杀毒软件,并及时更新病毒代码。
第11篇 企业信息安全管理制度
近年来, 随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代--信息化时代。随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面:
a. 技术图纸。主要存在于技术部、项目部、质管部。
.b. 商务信息。主要存在于采购部、客服部。
c. 财务信息。主要存在于财务部。
d 服务器信息。主要存在于信管部。
e 密码信息。存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:
1 来自企业外的风险
①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及ddos分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
2、来自企业内的风险
① 文件的传输风险。若有员工将公司重要文件以qq、msn发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。
②文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。
③文件的传真风险。若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文
件和重要资料带走,会造成企业信息的外泄。
④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机
密信息。若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。
⑤ 上网行为风险。员工可能会在电脑_问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。
⑥用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握,
可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。
⑦机房设备风险。主要包括服务器、ups电源、网络交换机、电话交换机、光端机等。这些风险来自防
盗、防雷、防火、防水。若这些自然灾害发生,可能会损坏机房设施,造成业务中断。
⑧办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识,在办公区域随意堆放本
部门的重要文件或是在办公区域毫不避嫌谈论工作内容,若不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。
为了保证企业信息的安全保密,公司所有人员必须严格遵守企业信息安全管理总则,以安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。
二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。
1.计算机设备安全管理。
1) 公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2) 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
3)发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。
4)下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。
2.部门资料安全管理。
1) 外接存储设备安全管理。
严禁所有人员以个人介质光盘、u盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱:①将用户主机贴上封条标签,除信管部人员外,任何人不得私自拆开机箱,若信管部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。信管部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。②给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由信管部保管,若需要为用户处理电脑故障时,信管部在打开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机内硬盘的安全。
2) 文件传真安全管理。
所有人员对外发送传真,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。
3) 文件打印安全管理。
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
4) 文件的存储安全管理。
所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用u盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门u盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。
5) 办公区域的安全管理。
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好,被他人取走,造成的后果将由本人承担。
3.帐号密码安全管理。
使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工,员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有8个字符长;密码必须包含以下任一部分:字母a-z或a-z,数字0-9,特殊字符,例如 $ ,-等。
1)电脑密码管理:每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记,若更改密码后,未进行登记,一经信管部发现,将对该用户进行口头警告。同时,因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题,信管部不承担责任。
2)应用系统密码管理:所有erp用户及oa用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在erp中将会非法编制篡改单据,在oa中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将erp帐号或oa帐号密码透露给他人,让他人代己做erp单据或办理oa流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。
3)采用用户身份认证系统:目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用服务器,破坏或盗取商业数据等。因此,我部门在未来的发展规划中,要将用户身份认证当作安全的一个重大隐患,想办法解决这个问题。
这里,我们可以采取动态口令牌或usb key认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于60秒内自动刷新密码,无法采用数据字典扫描破解密码,让黑客攻击行为束手无策;而usb key采用usb密钥,存储特定的加密算法,只有将usb钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。
4..杀毒软件安全管理。
用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。
5.各类软件安全管理。
软件原始盘片应交综合部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。
6.邮件安全管理。
所有因公对外联系的电子邮件一律通过公司邮箱或 或在指定的电脑上进行收发。(参考邮箱管理制度)
综上所述,使用者应该具有一定的安全防范意识,具体应做到:
日常工作信息安全:
1)员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
2.)员工有责任正确地保护分配给本人的所有计算机帐户。
3.)各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。
4)每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。
5)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。
6)任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
假期时间办公室的安全: 确保工作电脑的安全,在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码,其它信息管理部设备的电源也必须切断。
确保数据的安全:确保你的软盘,备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。
当你在外的时候:不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假,而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。
当你回来的时候:如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。
常规注意事项
1)任何外来盘片(包括cd、vcd碟片及软盘),只有经过系统管理员确认不带病毒后,才可在公司计算机上使用.否则造成病毒感染或其他破坏的,公司将对其责任人进行罚款处理,每次金额50元~500元。
2)个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出,若需输出必须履行审批手续。申请人填写申请单,写明输出资料内容、份数、路径、用途、申请日期、申请人等项目,经部门领导和公司领导共同签字审批后,交由专人上机操作。
3)未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查,发现有违反本条规定的,将给予50元~500元的罚款。
4)严禁在工作时间利用计算机网络从事与本职工作无关的活动,发现有违反本条规定的,将给予50元~200元的罚款。
三、细则:从各部门级出发,针对这些信息隐患制订安全防范措施。
1.采购部的安全处理措施如下:
1)采购招标的安全管理。
由采购部门编写招标计划,经部门负责人签字后,上报总经理审批,总经理根据生产过程的物料需求及原有的物料采购价格决定是否需要寻找新的货源,若审批同意后,采购部才可以开展招标工作。采购部门制定招标邀请书,邀请众多有法人资格、供货条件的单位参与我公司的招标活动。在发标书的过程中。采购部应遵守下列原则:①招标的公开性:对于采购的招标信息应该公开;评标的标准和程序应该公开;中标的结果应该公开。②招标的公平与公正:对待各方投标者一视同仁,不得对任何投标方带有主观意见。③招标的保密性:采购部人员严禁以任何形式向投标方透露招标的意向。评标完成后提交评标报告给总经理,最后由总经理中标、授标。
2)采购价格及供应商的信息安全保密。
采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格,严禁向他人透露各种物料的供货来源。采购部门人员要随时检查个人办公区域的文件资料是否存放好,防止因打印的采购价格表和供应商联络单没有存放好,导致采购信息资料外泄。要求部门人员要严格保管好工作纸质文件,同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全。
2.客服部有如下工作存在安全隐患:
1)及时向甲方传递发货信息与到货信息。
2)甲方基地发货及库存统计:记录甲方发往各风场的数据,盘点甲方各基地库存数;
3)总经办工作安排。
以上存在的安全隐患及处理措施如下:
a)发货、到货、现场库存信息安全。
客服部人员在统计往风场发货及现场库存的时候,可能会因为客服部盘点疏忽,最终统计的库存结果不准确。这会造成公司的发货信息与现场到货数量不一致,从而得迅速查找整个发货到货流程的出错环节;甚至会因为库存统计的不准确,延迟发货到货时间,导致现场库不能及时向风场发货,从而影响客户的业务。客服部现场人员必须每日在oa中编写日记,以便部门领导能随时掌握此现场人员的工作动态,现场人员要认真盘点到货数量及现场库存信息,在现场与甲方进行每月、每季、每年度的数据核对,确保到货数量与发货数量一致,并随时向部门负责人汇报。
b)总经办的日程安排管理。
在实际的工作中,总经理因工作繁忙暂时不在公司,一些待办理的工作无法通过审核。客服部负责人要了解总经办的行程,并确保行程不被泄露,保证总经理的其他事务不会受到打扰,在总经理方便时,提醒总经理处理一些比较紧急的待办文件;若总经理不在公司,以先短信后电话的形式给总经理汇报待办理的文件类型,在总经理办理完成后,及时将文件下发给相应部门。
3.项目部的安全处理措施如下:
1)图纸的安全管理。
项目部的图纸只允许在部门内部传阅。在进行项目生产时,工艺员申请借阅项目图纸,经签字确认后,档案专员将图纸副本发放给工艺员,工艺员负责监督技术人员和操作人员严格按照图纸进行生产,确保生产过程符合iso9000体系要求。生产完成后,工艺员将图纸返还给档案专员,图纸副本重新归档。在借阅过程中,严禁借用人将图纸传阅给其他人员,一经发现,必将严肃处理。
2)工艺技术文件的安全管理。
项目生产的工艺技术文件由计划员归档保存,在组织生产人员进行操作培训时,指导操作人员学习质量文件和相关工艺规程,培训过程中,确保工艺技术文件只在培训过程中流转,培训完成后,收回所有的技术文件,禁止任何人以任何理由将文件带出公司。禁止任何人复印、传真此类文件。
3)人员的安全管理。
项目部保管着生产技术文件和图纸,公司的人员流动很容易造成技术的泄露。鉴于此,部门应严格控制工艺技术文件及图纸的传阅。文件将由专员保管。禁止部门人员在未经允许的情况下传真或复印此类文件;在部门员工调动或离职前,由部门档案专员收回该员工所有工作文件。若档案专员调动或离职,由部门经理亲自收回该岗位所有的工作资料,并清点所有书面文件和电子文件是否存在缺省或丢失的情况,最大程度避免人员的流动造成技术资料的外泄。
4.仓储部存在的安全隐患及处理措施如下:
a)物料库存安全。
物料采购入库后,仓储部做好物资的保管工作,如实登记仓库实物账,经常清查、盘点库存物资,确保系统帐、查存卡、实物一致;做好物资采购、存储、生产领用各环节平衡衔接工作,做到物料的先进先出,当保管物料的库存量不足时,及时通知采购部,由采购部制定新的计划进行物料采购,再入库存,确保生产有序进行。
b)物料信息安全。
仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。仓储部负责人应严格规范部门人员的安全防范意识,并严格存放好入库单和领料单等纸质单据,确保不会因为单据的存放不善而泄露物料供货信息。
c)仓库整体安全。
做好物资的存储工作,按品种、规格、体积、重量等特征决定存放的方式与位置,仓库物品堆放整齐、平稳,合理利用储物空间,减少地面负荷,便于盘存和领取,并有效做到先进先出;做好仓库的安全、防火、防盗、防爆、卫生工作,确保仓库和物资的安全;对危险品需进行单独存放与隔离、管制。
5.技术研发部的安全处理措施如下:
1)图纸的归档
a) 外来书面图纸:公司指定收件人收到后整理并编制归档,确认完整无误后,交由综合部档案管理员。图纸蓝图邮寄到北京,复印件登记,入库经总经理批示发放至相应部门。
b) 电子版图纸:外来电子版图纸,由公司指定专人负责接收。打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门;若外来电子版图纸已由对方传至我方项目人员处,项目人员应将图纸资料整理后报综合部存档,由综合部统一打印及按公司规定下发至相应的职能部门,若出现图纸变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。
c) 内部设计电子版图纸:在工程完工后一周内,技术人员应将最后定稿图纸交由综合部,由其在三天内加密统一刻录光盘。一式两份,公司领导及综合部档案管理员各保管一份。
2)外来工艺文件、技术规格书
技术人员在收到文件后1个工作日内整理无误,交综合部档案管理员登记、入库经总经理批示后方能发放。
3)内部拟定的工艺文件、技术规范文件
a) 公司自行编写的生产工艺文件,经总经理审批签署后交综合部档案管理员入库存档。
b) 移交文件时,移交人应备有档案实体和目录,经档案管理员对照验收无误后方能办理移交登记手续。
c) 档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者,有权拒绝接收,并限期改正补交。
d) 移交时,移交和 接收文件方均应建立书面移交记录。
4)技术图书、期刊、标准的管理
公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
5)技术,项目往来传真件
综合部收到技术文件后,下发到相应部门,相关责任人签收签字。同时保留复印件,按项目不同分类,待项目结束后,各负责人将其保存的传真复印件整理装订后归档。
6)技术,项目往来电子邮件
由公司指定接收人以及综合部邮箱管理员定期下载整理。每月将电子邮件交综合部统一刻制成光盘存档。
7)本行业其他公司宣传画册、样本、产品信息等文件,由综合部按《样本资料明细表》登记保管,使用人可查询使用,不得私自留存。
8)技术文件的复印
归档的技术文件确因工作原因需要复印时,须由使用人到综合部填写《资料复印申请表》经总经理批准后,综合部指定人员复印后发放至使用人。
9)技术文件的借阅
a)借阅手续:各部门有关工作人员因工作需要借阅归档技术文件,应办理调阅手续,经部门负责人签字,交公司领导批准后方可办理借阅手续。
b)借阅记录:档案管理员应有清楚、准确的借阅记录,包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。
c)借阅时间:一般最长不超过8个工作时,超过8个小时需在办理调档申请时特别说明。如员工因工作原因经批准需要带出资料时,则其返回后一个工作日内归还。
d)归还要求:借阅的资料交还时,必须由经办人当面点交清楚,如发现遗失或损坏,应立即报告领导,同时应追究使用人的责任。
公司所有技术文件均应先由综合部专人登记入库后,经总经理批示后分发至相应部门负责人处,由其向部门员工下发。各部门负责人应做好本部门技术资料的保密工作,若保管技术资料人员离职时应向综合部交回相关的技术资料。综合部下发技术文件时,须由签收人签字确认。
6.质管部的安全处理措施如下:
1)工艺文件的安全管理。
部门档案专员保管本部门的工艺文件。此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况,若要进行生产过程检验,在部门负责人授权下,部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员,质量工程师或其他管理人员根据工艺文件的标准,对生产现场各道工序施工工艺、方法、操作规程进行检查监督,提出生产过程中的不合项,对不合格项进行跟踪验证。生产过程检验完毕后,质量工程师将工艺文件副本返还给部门档案专员,最后由档案专员进行文件归档。工艺文件仅允许部门内部管理人员传阅,不得借阅给其他任何部门及工人。若部门管理人员借阅工艺文件后,造成的文件丢失,则借阅者承担相关责任。
2)验收图纸的安全管理。
验收图纸用于检验生产完工后的产品是否合格,由部门档案专员保管。质量工程师借阅验收图纸后,以此为标准对完工产品进行鉴定,若合格,则调入成品库;若不合格,则对不合格项进行跟踪验证,直到产品合格为止。验收图纸借阅分为以下几种情况:①内部管理人员借阅。验收图纸只允许本部门内管理人员的互相传阅,借阅人在档案专员处登记,确定归还时间后,档案专员对其分发验收图纸副本,借阅完后,及时归还给档案专员,禁止传阅给部门非管理人员。②技术研发部人员借阅。只有技术研发部人员才能借阅本部门验收图纸。在借阅时,要遵守借阅流程,在技术研发部经理签字后,上报总经理审批,总经理审核通过后,质管部方可将验收图纸副本借阅给相关人员,并要求在8个小时内归还图纸。图纸借阅过程中,严禁将图纸传阅给其他人员,或私自将图纸进行复印或扫描,一经发现,必将严肃处理。③验收图纸不得传阅给其他部门人员,也不得传阅给本部门非管理人员。一经发现,追究档案专员相关责任。
7.财务部的安全处理措施如下:
1)财务部为公司重要数据信息部门,除本部门在内工作外,其他无关人员不得入内。
2)财务人员去银行取现金、支票等,应两人以上同行,禁止途中办理任何与此项工作无关事宜。
3)妥善存放支票,支票与有效密码及专用印鉴要分别存放。
4)出纳人员不得私配保险柜钥匙,不得将保险柜密码外传,过节或放假时,要与综合部配合,对保险柜加贴封条。 若因密码钥匙保管不善,导致现金及其他财产损失,将由本人承担一切损失。
5)会计人员应妥善保管好各类凭证及发票,不得在凭证发票随意摆放在办公桌的情况下离开办公区域。凭证发票录入核对完毕,应立即整理存放到财务凭证专柜中,同时确保上锁,并妥善保管好钥匙,若因以上原因造成财务数据丢失,将由本人承担一切后果。
6)财务人员应保管好电子银行或其他一切与财务有关的加密锁,在使用时,使用人不得离开电脑,确保所做的一切操作均出自本人之手。若使用完毕,一定要将加密锁存放于财务专柜中妥善保管。
7)财务部门因为数据的重要性,因此对安全的要求很高。在使用电脑时,要求财务部门人员一定要每天升级杀毒软件,若电脑出现异常,应联系信管部查明原因,是否能安全操作。
8)财务部是企业工资的发放部门,掌管着企业全体人员的工资详情。由于工资向来是公司的敏感信息,因此,财务的工作要求财务所有人员应严格遵守职业素养,严禁财务部人员以任何形式向任何人透露工资或奖金信息。
8.综合部的安全处理措施如下:
1)技术类文件、图纸和图书的安全管理。
综合部指定收件人收到外来书面图纸后整理并编制归档,确认完整无误后,交由档案管理员。图纸蓝图邮寄到北京,将复印件登记,再经总经理批示后发放至相应部门。综合部指定收件人接收到外来电子版图纸,打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门,若图纸出现变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。
2)涉外合同的安全管理。
综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后,由综合部将其分类归档到指定的档案盒中,并将档案盒编号题名存放于指定的档案柜中,将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料,需要向综合部提出申请,经综合部负责人审批通过后,档案管理员方可开启档案盒调出文件发放给相关部门;原则上不允许各部门向综合部借阅其他部门的合同资料,若确因工作原因需要借阅,则应提交总经理审批,综合部在看到总经理的签字后方可指派档案管理员借出资料,并规定借阅时间不得超过8个小时,由借阅人签字,在借阅过程中造成的合同资料丢失,将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒;严禁档案管理员将档案柜钥匙借给任何人,若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。
3)工资编制的安全管理。
综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的,综合部在核算员工工资的时候,应该谨慎处理,如在电子表的发送之前,可以设置相应的密码,防止不小心发送到其他人电脑上,在打印工资表的时候,应单独设置非监控直接打印,并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算,不得擅自更改原始依据。工资核算完成后,上报公司领导审批。
严禁工资核算人向他人透露公司工资及奖金信息,严禁在任何场合与他人讨论工资话题,一经发现,将追究其相关责任。
9.信管部的安全处理措施如下:
1)计算机网络设备安全管理。
公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定:
a) 计算机是指为公司内部员工使用的pc机(包括cpu、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供,如非特殊需要不配备光驱和软驱。)
b)网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
c)计算机其他配件是指公司备用的光驱、软驱等。
d) 附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
e) 包括计算机及耗材的采购计划、故障维修等项工作。
在员工电脑各组件老化或损坏,严重影响工作效率时,信管部可申请以旧换新或报废处理。若需要报废,则填写报废申请单经部门负责人确认后上报总经理审批,审批通过后才能作报废处理,信管部不得擅自处理破旧的电脑或电子设备。
2)公司所有输入输出设备统一归信息管理部管理。
输入输出设备包括扫描仪,传真机,打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映,以便信息管理部及时查找原因,解决故障。
3)公司视频会议设备和视频监控设备统一由信息管理部管理。
a)视频会议设备包括视频会议服务器、视频会议终端、sony摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。
b)视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。
4)信息化系统erp、oa帐户安全管理
系统管理帐号的设置与管理
a)erp、oa系统管理帐号必须经过总经理授权取得。
b)erp系统管理员负责erp系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护;oa系统管理员负责oa系统自定义表单的生成、流程的建设和优化。
c)erp、oa系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权。
d)erp、oa操作用户需要增加或修改权限需要填写erp/oa用户权限申请表,并经过本部门负责人签字后交由总经理审核,通过后,再由信息管理部作权限相关处理。
e)系统管理员不得使用他人帐号进行业务操作。
f)系统管理员调离岗位或离职,信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。
一般操作帐号的设置与管理
a)一般操作帐号由系统管理员根据各类应用系统操作要求生成,应按每用户一帐号对应设置。
b)操作员调离岗位,系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。
5)密码安全管理
a)终端计算机密码安全管理:系统管理员及时登记公司所有用户电脑密码,制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时,系统管理员及时登记相应的新密码。
b)应用服务器密码安全管理:包括erp服务器、oa服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码。制成《服务器密码登记》文件,并提交给部门负责人。
c)防火墙/路由器密码安全管理: 防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人。
d)erp/oa系统密码安全管理: erp/oa系统密码分为管理员密码和操作用户密码。系统管理员登录密码由erp/oa管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。操作用户密码由erp/oa管理员在创建帐户时初始生成,信息管理部发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由erp/oa管理员帮其初始化密码。
信管部应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于信管部内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高。
6)数据备份安全管理
定期备份erp服务器、oa服务器、邮箱服务器。具体备份方法如下:
a)erp服务器备份:每天早上自动备份e3帐套和5000帐套。
b)oa服务器备份:每天早上9:00备份oa数据库,并于每周五早上9:00备份oa系统文件夹。
c)邮箱服务器备份:每周五早上9:00在邮箱控制台执行备份操作,并于每月28日备份邮箱目录文件夹。备份完成后,将备份文件转存到其他电脑上或移动硬盘上做异地归档,以防本地硬盘发生故障时能随时做灾难恢复。
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开企业网络应用高峰,避免对各部门工作造成影响。数据的清理包括:
a)erp系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。
b)oa系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。
c)邮箱系统中垃圾邮件的清理、人员变动记录的清理。
d)用户电脑中系统垃圾文件的清理、ie缓存的清理。
7)信息资料安全管理
a)加密系统管理;目前我公司使用的是天盾文档加密系统,对常用办公软件office、pdf、autocad文件加密,公司内部的此类文件被带出公司后,显示在其他的电脑上均为乱码,保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。然而,我公司因为之前的需求,加密软件使用的是单机版与网络版混合使用的,网络版可以根据策略的下发,实现文件在企业网的加密、反截图、禁usb等功能,但脱离局域网后,电脑无法打开文件,若有出差人员在外地使用电脑,就无法使用网络版;而单机版就解决了出差人员电脑加密的问题,可以正常打开公司的文件,但这里存在一个安全风险,若出差人员的电脑被盗,将会造成企业信息资料的外泄。针对以上情况,我们需要寻找一种更加适合的加密软件,确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能:能够通过控制台在公司网内加密指定类型的文件,同时可以设置不同的加密权限对应于不同的用户组;能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等;能够加密原加密软件不支持的文件类型;能够荧荧于所有的windows平台上;能够禁用usb存储设备,不禁用usb外设;能禁止用户屏幕截图;能审计打印等。
b)大蓝监控软件管理:监控软件在很大程度上起到威慑作用,监控软件能够记录所有用户在个人电脑上的一举一动,通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。
c)打印控制软件管理:打印控制软件应用后,员工的打印需要在管理员审核通过后方能打印,若管理员审核到某员工的打印内容涉及本公司信息安全,拒绝员工的打印。在审核通过、打印完成后,管理员可随时调出以前的打印记录,保证了及时信息安全责任追究。
d)设备送外维修,须经设备管理部门负责人批准。送修前,需将设备存储介质内应用软件和数据备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
e)信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
f)信息管理部负责计算机病毒的防治工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
g)用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
8)机房安全管理
①非信息管理部人员不得进入机房,信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时,完成相关操作后,一定要关好机房大门,并保管好机房钥匙。
②保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
③确保机房防水,定期检查机房天花板、四壁有无漏水现象,保证机房内的服务器和其他电器设备的安全。
a)发生机房漏水时,信管部应立即通知综合部联系大厦物业,同时,信管部第一时间保护好服务器及其他设备,避免设备浸水后损坏。
b)若为墙体或窗户渗漏水,应急领导小组应立即采取有效措施确保机房安全,同时安排通知综合部协助及时清除积水,维修墙体或窗户,消除渗漏水隐患。
④确保机房防火,定期检查机房内灭火器状态完好无损。
a)完善机房环境,确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房。
b)一旦发生火灾,迅速切断机房电源,避免灾情的扩散,并迅速拨打物业管理和119火警电话。
c)等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。
d)配合消防部门调查事故原因,对造成的损失和起火原因做好记录,以便进行灾后总结。
⑤确保机房防雷,遇到暴风雨恶劣天气,应作防范性处理。
a)遇雷暴天气,信管部在下班后应及时关闭所有服务器,切断电源,暂停内部计算机网络工作。
b)雷暴天气结束后,信管部应及时开通服务器,恢复内部计算机网络工作,对设备和数据进行检查。出现故障的,事发部门应将故障情况及时报告应急领导小组。
c)因雷击造成损失的,信管部应会同综合部进行核实、报损,并在调查工作结束后一日内书面报告领导。
应急领导小组每日查看、清点设备并锁好机房大门。
⑥确保在停电后,业务应用的安全管理。
信管部在接到停电通知时,应设置便签提醒自己具体要停电的时间,若停电时间在上班时间,则提前发出通知给北京和常州所有人员,避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间,则在下班时通知所有人关闭电源,同时信管部及时关闭服务器,以免停电损坏主机电源。
停电结束后,打开各应用服务器,并谨记要打开视频监控服务器,恢复闭路监控系统正常工作。
⑦确保机房防盗,针对此环节,作相关防范处理。
a)信息管理部每日查看、清点设备并锁好机房大门。
b)信息管理部每日检查录像监控服务器状态,确保监控画面正常,并检查每日录像正常性、完整性。
c)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息管理部,同时保护好现场。
d)信管部接报后,即刻调出监控录像,搜查可疑行迹,若无法解决,可联系公安部门处理。
提高行业信息化管理水平,信息安全是关键。而信息安全构建必须管理、技术两者双管齐下:
1)加强管理,综合防范。 安全体系是一个整体的、系统的工程,不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统。
2)完善制度,强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任。确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。
第12篇 信息安全等级保护管理办法
第一章 总则
第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条
信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(gb17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(gb/t20271-2006)、《信息安全技术 网络基础安全技术要求》(gb/t20270-2006)、《信息安全技术 操作系统安全技术要求》(gb/t20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(gb/t20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(ga/t671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(gb/t20269-2006)、《信息安全技术 信息系统安全工程管理要求》(gb/t20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;
(二) 运营、使用单位安全管理制度、措施的落实情况;
(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四) 系统安全等级测评是否符合要求;
(五) 信息安全产品使用是否符合要求;
(六) 信息系统安全整改情况;
(七) 备案材料与运营、使用单位、信息系统的符合情况;
(八) 其他应当进行监督检查的事项。
第十九条
信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一) 信息系统备案事项变更情况;
(二) 安全组织、人员的变动情况;
(三) 信息安全管理制度、措施变更情况;
(四) 信息系统运行状况记录;
(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六) 对信息系统开展等级测评的技术测评报告;
(七) 信息安全产品使用的变更情况;
(八) 信息安全事件应急预案,信息安全事件应急处置结果报告;
(九) 信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一) 在中华人民共和国国境内注册成立(港澳台地区除外);
(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三) 从事相关检测评估工作两年以上,无违法记录;
(四) 工作人员仅限于中国公民;
(五) 法人及主要业务、技术人员无犯罪记录;
(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八) 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准bmb17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准bmb22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条
涉密信息系统建设使用单位应当依据国家保密标准bmb20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一) 未按本办法规定备案、审批的;
(二) 未按本办法规定落实安全管理制度、措施的;
(三) 未按本办法规定开展系统安全状况检查的;
(四) 未按本办法规定开展系统安全技术测评的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本办法规定选择使用信息安全产品和测评机构的;
(七) 未按本办法规定如实提供有关文件和证明材料的;
(八) 违反保密管理规定的;
(九) 违反密码管理规定的;
(十) 违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条
本办法所称“以上”包含本数(级)。
第四十四条
本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
第13篇 信息安全管理政策业务培训制度
第一章信息安全政策
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非我司技术人员对我司的设备、系统等进行维修、维护时,必须由我司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非我司技术人员进行维修及操作。
二、操作员安全管理制度
1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.
2.系统管理操作代码的设置与管理:
(1)、系统管理操作代码必须经过经营管理者授权取得;
(2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
(3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
(4)、系统管理员不得使用他人操作代码进行业务操作;
(5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
3.一般操作代码的设置与管理
(1)、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
(2)、操作员不得使用他人代码进行业务操作。
(3)、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非我司技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立我司的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.信息部人员进入机房必须经领导许可,其他人员进入机房必须经信息领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经信息部负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(ups)除了电池自动检测外,每年必须充放电一次到两次。
第二章业务培训制度
一、培训制度
1、业务学习培训计划由信息部根据年度工作计划作出安排。
2、成立业务学习小组,定期组织业务学习;
3、工作人员每年必须参加不少于15个课时的专业培训。
4、工作人员必须完成布置的学习计划安排,积极主动地参加信息部组织的业务学习活动。
5、有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。
6、支持、鼓励工作人员结合业务工作自学。
二、培训内容:
1.计算机安全法律教育
(1)、定期组织我司工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。
(2)、负责对企业的网络用户进行安全教育和培训。
(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。
2.计算机职业道德教育
(1)、工作人员要严格遵守工作规程和工作制度。
(2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。
(3)、不得利用计算机信息系统的漏洞偷窃客户资料,进行诈骗和转移资金。
(4)、不得制造和传播计算机病毒。
3.计算机技术教育
(1)、操作员必须在指定计算机或指定终端上进行操作。
(2)、机房管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。
(3)、不得越权运行程序,不得查阅无关参数。
(4)、发现操作异常,应立即向机房管理员报告。
三、培训方法:
1.结合专业实际情况,指派有关人员参加学习。
2.有计划有针对性,指派人员到外地或外单位进修学习。
3.举办专题讲座或培训班,聘请有关专家进行讲课。
4.所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗。
5.自订学习计划,参加专业函授学习成绩及时反馈有关部门,良好学业者给予奖励。
第14篇 数据资料信息安全管理制度
第一条 机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。
第二条 各单位要建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。
第三条 各项技术资料应集中统一保管,严格借阅制度。
第四条 应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份,并报送有关部门存放。
第五条 存放税收业务应用系统及重要信息的磁带光盘严禁外借,确因工作需要,须报请有关领导批准。
第六条 对需要长期保存的数据磁带、磁盘,应在一年内进行转储,以防止数据失效造成损失。
第七条 对有关电脑文件、数据进行加密处理。为保密需要,应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息,须经有关领导批准,才能查询、打印有关保密资料。对保密信息应严加看管,不得遗失、私自传播。
第八条 及时关注电脑界病毒防治情况和提示,根据要求调整计算机参数或安装防毒软件,避免电脑病毒侵袭。
第九条 对于联入局域网的计算机,任何人在未经批准的情况下,不得向局域网内拷入软件或文档。
第十条 任何微机需安装软件时,由各单位提出申请,经同意后,由计算机管理人员负责安装。
第15篇 网络信息安全系统配套设施建设管理规范
1适用范围
某某油田各单位通用。
2规范解释权
某某油田管理局信息安全管理中心队本规定拥有解释权。
3概述
本标准规定了某某油田通用计算机系统在使用中的实体(场地、设备)的安全管理与技术要求。
4术语定义
计算站场地: 计算机系统的安置地点,计算机供电、空调以及该系统维修和工作人员的工作场所。 计算机机房: 计算站场地最主要的房间,放置计算机系统主要设备的地点。 非燃烧材料:是指材料在受燃烧或高温作用时,不起火,不微燃、不碳化、只软化的材料。 难燃烧材料:是指材料受到燃烧或高温作用时,难起火、难微燃、难碳化的材料。 活动地板:是指计算机机房内安装的、可灵活装、拆的地板。 干式变压器:冷却介质非油浸式的变压器。 温感探测器:指在物质燃烧时,使周围空气温度升高致使发生报警信号的装置。 烟感探测器:指物质因燃烧或发热而分解生成的烟雾致使发出报警信号的装置。 应急断电装置: 计算机机房发生意外事件时,能立刻切断计算机系统供电电源的装置。 接地:指计算机系统的直流地、交流工作地、安全保护地和防雷保护地与大地之 间的连接。 二次破坏: 由于为了消灭火灾而采取的灭火方法不当,造成对设备、信息等的再次破坏。 安全区:采取安全措施能达到的区域。
5计算机机房的安全分类:
1) a类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。2) b类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。3) c类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。4) 计算机机房的安全要求详见表1。表1 计算机机房安全要求
安全项目
指标
安全类别
c类安全机房
b类安全机房
a类安全机房
场地选择
/
+
+
防火
+
—
—
内部装修
/
+
—
供配电系统
+
+
—
空调系统
+
+
—
火灾报警及消防设施
+
+
—
防水
/
+
—
防静电
/
+
—
防雷电
/
+
—
防鼠害
/
+
—
电磁波的防护
/
+
+
说明 : / 无需要求;— 必须要求; + 有要求或可增加要求
6场地的选择
1) b类机房的选址要求:应避开发生火灾危险程度高的区域。应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。应避开低洼、潮湿、落雷区域和地震频繁的地方。应避开强振动源和强噪音源。应避开强电磁场的干扰。应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。应避开重盐害地区。2) c类安全机房参照b类各条执行。3) a类安全机房除第1)条规范要求外,还应将其置于建筑物安全区内4) 以上各条如无法避免,应采取相应的措施。
7结构防火
1) c类安全机房和一般的已记录媒体存放间,其建筑物的耐火等级应符合tj16 《建筑设计防火规范》中规定的二级耐火等级。2) 与c类安全机房相关的其余基本工作房间及辅助房间,其建筑物的耐火等 级不应低于tj16中规定的三级耐火等级。3) b类安全机房和重要的已记录媒体存放间,其建筑物的耐火等级必须符合gbj45 《高层民用建筑设计防火规范》中规定的二级耐火等级。4) a类安全机房和非常重要的已记录媒体存放间,其建筑物的耐火等级必须符合gb45规定的一级耐火等级。5) 与a、b类安全机房相关的其余基本工作房间及辅助房间,其建筑物的耐火等级不应低于tj16中规定的二级耐火等级。8计算机机房内部选择1) a、b类安全机房应符合如下要求:计算机机房装修材料应符合tj16中规定的难燃材料和非燃材料,应能防潮、吸音、不起尘、抗静电等。计算机机房的活动地板应是难燃材料或非燃材料。活动地板应有稳定的抗静电性能和承载能力,同时耐油、耐腐蚀、柔 光、不起尘等。具体要求应符合gb6650《计算机机房用活动地板技术条件》。异型活动地板提供的各种规格的电线、电缆、进出口应做得光滑、防止损伤电线、电缆。活动地板下的建筑地面应平整、光洁、防潮、防尘。 在安装活动地板时,应采取相应措施,防止地板支脚倾斜、移位、横 梁坠落。2) c类安全机房参照14条执行
9计算机机房环境及技术条件
1) 计算机机房的使用面积计算方法如下:s=~σsb (1)式中:s----计算机机房的面积,平方米;sb----指与计算机系统有关的并在机房平面布置图中占有位置的设备的面积,平方米;σsb----指计算机机房内所有设备占地面积的总和,平方米。第二种方法为:s=ka (2)式中:s----计算机机房的面积,平方米;a----计算机机房内所有设备台(架)的总数;k----系数,取值(4.5~5.5)平方米/台(架)。2) 计算机机房最小使用面积不得小于20平方米。3) 根据计算机系统对湿、湿度的要求,可将温、湿度分为a、b、c三级,机房可按照某一级执行,也可按某些级综合执行(综合执行指的是一个机房可按某些级执行,而不必强求一律,如某机房按机器要求可选:开机时a级温、湿度,停机时b级的温、湿度)。4) 开机时机房内的温、湿度,见表1。5) 停机时机房内的温、湿度,见表2。
等级
项目
指标
a级
b级
c级
温度,℃
22±2 夏20±2 冬
15~30
10~35
相对湿度,%
45~65
40~70
30~80
温度变化率,℃/h
<5
<10
<15
要不凝露
要不凝露
要不凝露
表1开机时机房内的温、湿度
等级
项目
指标
a级
b级
c级
温度,℃
5~35
5~35
5~35
相对湿度,%
40~70
20~80
8~80
温度变化率,℃/h
<5
<10
<15
要不凝露
要不凝露
要不凝露
]表2停机时机房内的温、湿度6) 照明 :计算机机房内在离地面0.8m处,照度不应低于200l_。数据录入室、上机准备间、维修室内的照度参照。 其它房间的照明应符合tj34的规定。7) 事故照明:计算机机房、终端室、已记录的媒体存放间,应设事故照明,其照度在距地面0.8m处不应低于5l_。主要通道及有关房间依据需要应设事故照明,其照度在距地面0.8m处 不应低于1l_。8) 噪声 :开机时机房内的噪声,在中央控制台处测量应小于70db(a)。9) 电磁场干扰
无线电干扰环境场强 机房内无线电干扰场强,在频率范围为0.15~1 000mhz时不大于120db。磁场干扰环境场强 机房内磁场干扰场强不大于800a/m(相当于10oe)。10) 接地:计算站一般具有以下几种地: a. 计算机系统的直流地。 b. 交流工作地。 c. 安全保护地。 d. 防雷保护地(处在有防雷设施的建筑群中可不设此地)。计算机系统直流地电阻的大小、接法以及诸地之间的关系,应依不同计算机系统的要求而定。交流工作地的接地电阻不大于4ω。安全保护地的接地电阻不应大于4ω。防雷保护地的接地电阻不应大于10ω。11) 供电频率:50hz; 电压:380v/220v; 相数:三相五线制或三相四线制/单相三线制。据计算机的用途其供电方式可分为三类:一类供电:需建立不间断供电系统;二类供电:需建立带备用的供电系统。 三类供电:按一般用户供电考虑。依据各等级计算机的性能允许的变动范围见表3:
等级
项目
指标
a级
b级
c级
电压变动,%
5~+5
10~+7
5~+10
频率变化,hz
0.2~+0.2
0.5~+0.5
1~+1
波形失真率,%
≤±5
≤±7
≤±10
表3 供电性能参数12) 尘埃:机房内的尘埃依机器的要求而定,一般分为ab两极。见下表
等级
指标
a级
b级
粒度,μm
≥0.5
≥0.5
个数,粒dm
≤10 000
≤18 000
注:a级相当于少于30万粒/ft3,b级相当于少于50万粒/ft3
表4 尘埃参数13) 媒体存放条件:见下表5
介质
项目
指标
纸
磁 带
磁 盘
温度,℃
5~50
5~50
4~51.5
相对湿度,%
40~70
20~80
8~80
磁场强度,a/m_
< 3200
<4000
表5 媒体存放条件
10计算机机房专用设备
1) 配电设备2) a、b类安全机房应符合如下要求:计算站应设专用可靠的供电线路。计算机系统的电源设备应提供稳定可靠的电源。供电电源设备的容量应具有一定的余量。计算机系统的供电电源技术指标应按第26条执行。计算机系统独立配电时,宜采用干式变压器。安装油浸式变压器时应符合gbj232《电气装置安装工程规范》中的规定。从电源室到计算机电源系统的分电盘使用的电缆,除应符合gbj232中 配线工程中的规定外,载流量应减少50%。计算机系统用的分电盘应设置在计算机机房内,并应采取防触电措施。从分电盘到计算机系统的各种设备的电缆应为耐燃铜芯屏蔽的电缆。计算机系统的各设备走线不得与空调设备、电源设备的无电磁屏蔽的 走线平行。交叉时,应尽量以接近于垂直的角度交叉,并采取防延燃措施。计算机系统应选用铜芯电缆,严禁铜、铝混用,若不能避免时,应采用铜铝过渡头连接。计算机电源系统的所有接点均应镀铅锡处理,冷压连接。在计算机机房出入口处或值班室,应设置应急电话和应急断电装置。计算站场地宜采用封闭式蓄电池。使用半封闭式或开启式蓄电池时,应设专用房间。房间墙壁、地板 表面应做反腐蚀处理,并设置防爆灯、防爆开关和排风装置。计算机系统接地应采用专用地线。专用地线的引线应和大楼的钢筋网及各种金属管道绝缘。计算机系统的几种接地技术要求及诸地之间的相互关系应符合gb2887 中的规定。计算机机房应设置应急照明和安全口的指示灯。3) c类安全机房应满足gb2887中规定的三类供电要求。4) 空调设备5) a、b类计算机机房应符合下列要求:计算机机房应采用专用空调设备,若与其他系统共用时,应保证空调 效果和采取防火措施。空调系统的主要设备应有备份,空调设备在能量上应有一定的余量。应尽量采用风冷式空调设备,空调设备的室外部分应安装在便于维修 和安全的地方。空调设备中安装的电加热器和电加湿器应有防火护衬,并尽可能使电 加热器远离用易燃材料制成的空气过滤器。空调设备的管道、消声器、防火阀接头、衬垫以及管道和配管用的隔 热材料应采用难燃材料或非燃材料。安装在活动地板上及吊顶上的送、回风口应采用难燃材料或非燃材料。新风系统应安装空气过滤器,新风设备主体部分应采用难燃材料或非 燃材料。采用水冷式空调设备时,应设置漏水报警装置,并设置防水小堤,还 应注意冷却塔、泵、水箱等供水设备的防冻、防火措施。6) c类安全机房的环境条件应满足计算机厂家关于安装环境中的对空调系 统的技术要求。7) 其它设备和辅助材料:计算机机房使用的磁盘柜、磁带柜、终端点等辅助设备应是难燃材料和 非燃材料,应采取防火、防潮、防磁、防静电措施。计算机机房不能使用地毯。计算机机房内所使用的纸,磁带和胶卷等易燃物品。要放置于金属制的 防火柜内。8) 门禁系统 :在重要的机房或者场所,安装门禁系统。保安人员进行24小时监护。
11火灾报警及消防设施
1) a、b类安全机房应设置火灾报警装置。在机房内、基本工作房间内、活动 地板下、吊顶里、主要空调管道中及易燃物附近部位应设置烟、温感探测器。2) a类安全机房应设置卤代烷1211、1301自动消防系统,并备有卤代烷1211、 1301灭火器。3) b类安全机房在条件许可的情况下,应设置卤代烷1211、1301自动消防系统,并备有卤代烷1211、1301灭火器。4) c类安全机房内应设置卤代烷1211或1301灭火器。5) a、b、c类计算机机房除纸介质等易燃物质外,禁止使用水,干粉或泡沫 等易产生二次破坏的灭火剂。
12其它防护和安全管理
1) 防水:有暖气装置的计算机机房,沿机房地面周围应设排水沟,应注意对暖气 管道定期检查和维修。位于用水设备下层的计算机机房,应在吊顶上设防水层,并设漏水检查装置。2) 防静电: 计算机机房的安全接地应符合第7.10条规范。 注:接地是防静电采取的最基本措施。 计算机机房的相对湿度应符合第7.4、7.5条规定。 在易产生静电的地方,可采用静电消除剂和静电消除器。3) 防雷击 计算机机房应符合gb157《建筑防雷设计规范》中的防雷措施。 在雷电频繁区域,应装设浪涌电压吸收装置。4) 防鼠害 在易受鼠害的场所,机房内的电缆和电线上应涂敷驱鼠药剂。计算机机房内应设置捕鼠或驱鼠装置。
57位用户关注
65位用户关注
82位用户关注
24位用户关注
68位用户关注
10位用户关注
12位用户关注
73位用户关注
19位用户关注
31位用户关注