第1篇 信息安全事件管理程序范本
1 目的
为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2 范围
本程序适用于***业务信息安全事件的管理。
3 职责
3.1 信息安全管理流程负责人
确定信息安全目标和方针;
确定信息安全管理组织架构、角色和职责划分;
负责信息安全小组之间的协调,内部和外部的沟通;
负责信息安全评审的相关事宜;
3.2 信息安全日常管理员
负责制定组织中的安全策略;
组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施;
编写风险改进计划;
3.3 信息安全管理技术责任人
负责信息安全日常监控;
信息安全风险评估;
确定信息安全控制措施;
响应并处理安全事件。
4 工作程序
4.1 信息安全事件定义与分类
信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。
造成下列影响(后果)之一的,均为一般信息安全事件。
a) ***秘密泄露;
b) 导致业务中断两小时以上;
c) 造成信息资产损失的火灾;
d) 损失在一万元人民币(含)以上的故障/事件。
造成下列影响(后果)之一的,属于重大信息安全事件。
a) 组织机密泄露;
b) 导致业务中断十小时以上;
c) 造成机房设备毁灭的火灾;
d) 损失在十万元人民币(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理负责人组织相关的运维技术人员根据***对信息安全的要求,确认代码管理相关信息系统的安全需求;
对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;
由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;
信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;
根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;
监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的任何情况,并采取必要的纠正措施;
对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;
每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。
4.3 信息安全事件事后处理措施
对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。
对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。
处罚方式:
一般安全事故,根据所造成的经济损失,由***办公室通过邮件发出正式严重警告。
一年内累计出现三次或三次以上的一般安全事故,报***领导批准后进行相应惩罚,并在***进行通报批评。
造成重大安全事故的,***有权将责任人调离原工作岗并给予相应惩罚。
一年内累计出现二次或二次以上的重大安全事故,***有权解除劳动合同并依法追究法律责任。
如果属于故意行为导致信息安全事故,***有权解除劳动合同并依法追究法律责任。
对于信息安全事故责任人的处理结果由处理部门在***范围内予以通报。
负有信息安全事故处罚的各职能部门在确定实施处罚后,***室与被处罚部门沟通,确认责任者及处罚方式并上报***领导。
信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。
由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。
4.4 报告信息安全薄弱点与预防措施
***与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。
对以下行为应给予奖励:
及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;
及时制止或报告泄露商业机密的事件以避免***重大经济损失或及时中止正在进行中的商业泄密行为的;
在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式如下:
根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请***批准后,给予相应表扬或奖励,并作为年底工作考核依据。
发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。
5 相关文件
6 相关记录
第2篇 中学计算机信息安全管理职责
邺建中学计算机信息安全管理的职责
1、进行计算机信息安全使用与管理的宣传和教育
安全管理办公室要经常向各处、室、年级组和学科组及全体上网用户提供有关学习资料,以促进用户提高计算机安全意识,增强执行安全规章制度的自觉性。
2、制定并落实安全管理规章制度
安全管理办公室要根据互联网不断发展变化的实际情况,不断充实、完善安全管理制度。各处、室、年级组和学科组要明确一名责任人具体负责本部门的制度落实及安全管理工作。
3、进行计算机信息安全检查
各处、室、年级组和学科组及电脑室管理人员要经常组织对计算机使用、管理方面的安全检查, 及时发现问题,采取有效措施,堵塞隐患漏洞。领导小组及办公室成员对校园内计算机进行不定期检查。
第3篇 公司信息安全管理检查执行规定
1.检查原则
根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当,造成公司安全制度和措施难以落实,安全管理工作混乱的部门,部门负责人须承担领导责任。对违反信息安全管理规定者,如其直接领导有明显管理和指导不力的须承担连带责任。
2.检查方式
公司技术部门抽调网络管理人员,不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件,排查违规电脑,追究相关当事人。
3.检查结果
对于故意盗窃、泄露公司保密信息的,或故意违反信息安全管理规定,性质特别严重造成重大损失的,给予罚款、降薪、降职、辞退、直至开除的处理,并赔偿公司损失。对于触犯国家法律的,移交国家司法机关依法处理。对违反公司信息安全制度规定,性质较轻,在公司内部系统给予点名通报批评,并记录在案,责令限期改正。
第4篇 工业企业安全信息及归档管理办法
工业公司安全信息及归档管理办法
1、主题内容与使用范围
本办法规定了安全信息管理体系、信息管理机构的职责、信息内容、处理程序、填报要求、归档及检查与考核。
本办法适用于我公司安全生产信息及档案管理。
2、引用文件
qjl424《安全生产管理通用表格》
3、术语
安全信息:国家和上级有关安全生产管理要求中所涉及的各种数据、报表、原始资料、档案和文件。
4、安全信息管理体系
4.1经营部是我公司安全信息归口管理单位,负责安全信息的收集、传递、处理、反馈、分析、汇总、贮存及归档工作。
4.2各基层单位安全员负责本单位安全信息的收集、传递、处理、反馈等工作。
5、各级信息管理人员的职责
5.1公司安全第一负责人对本公司安全信息系统的正常运转负责。
5.2主管安全副总经理负责组织协调公司安全信息管理工作,审批、下达公司安全信息调查、建档、统计任务。
5.3各单位安全第一负责人负责组织协调本单位安全信息管理工作,保证所下达的信息工作的正常进行。
6、安全信息内容
6.1 qjl424中所规定的内容。
6.2国家和上级有关安全生产监察规程所要求的数据、资料。
6.3各级安全部门为贯彻国家和上级有关安全生产规定而提出的统计、建档资料。
6.4上级有关安全生产的文件、法令及公司内各项安全规章制度。
6.5各单垃安全生产管理的信息包括:
a.重大安全事故和重大安全问题及需要上级或有关部门协调、紧急处理的安全问题。
b.工伤事故分析报告、安委会会议执行情况、安全检查情况、隐患整改情况、技措计划的实施情况、安全活动、安全教育培训、安全组织机构变动情况。
c.单位年度安全工作计划、目标、工作总结及其它有关情况。
d.与安全工作有关的原始记录、档案。
7、安全信息传递与处理
7.1在生产管理过程中,公司内各单位发现安全问题需反馈到总公司的,由发出信息单位以文字形式上报经营部。
7.2经营部接受基层的信息后,按信息内容,及时进行调查核实,提出处理意见,明确责任单位、反馈时间要求等,立即反馈给责任单位执行。
7.3责任单位负责按信息内容及经营部处理意见组织处理,将处理情况填写清楚,并按要求反馈给经营部。
7.4经营部负责信息存档工作。
8、安全信息填报要求
8.1提供的信息必须备有相应完整可靠的原始记录,随时为查询服务。
8.2提供的信息必须符合规定的格式,便于统计和贮存,通用表格如下:
8.2.1安全生产管理通用表格隐患类表格 见qjl424.3―88
8.2.2安全生产管理通用表格技措类表格 见qjl424.4―88
8.2.3安全生产管理通用表格奖惩类表格 见qjl424.5―88
8.2.4安全生产管理通用表格管理类表格 见qjl424.6―88
8.2.5安全生产管理通用表格有害作业类表格 见qjl424.7―88
8.3提供的信息必须在规定时间内传递完毕。
8.4提供的信息必须有填报人和单位领导审查签字。
9、安全信息资料归挡要求
9.1经营部建立七种安全管理档案和八种安全管理图表,并归档。
9.2七种安全管理档案:
9.2.1工伤事故档案。
9.2.2安全教育档案。
9.2.3安全奖惩档案。
9.2.4安全技术措施项目档案。
9.2.5特种设备档案(主要指吊车、压力容器、空压机等)。
9.2.6隐患及整改记录。
9.2.7违章记录。
9.3八种图表:
9.3.1安全机构网络体系图。
9.3.2危险点和尘毒点分布图。
9.3.3公司内动力管线分布图。
9.3.4配电系统及接地线布置图;
9.3.5历年工伤事故频率图。
9.3.6工伤事故年度统计图。
9.3.7多发性事故及重大事故树形图。
9.3.8安全信息反馈图。
10、检查与考核
10.1本制度的执行情况列为公司安全工作经济承包任务考核内容,按年度进行检查与考核。
10.2经营部按制度检查与考核,综合评比各职能部门、分公司的安全信息管理工作。
劳保用品标准
第5篇 信息安全管理办法
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第6篇 it部信息和数据资产安全管理规定
第一章 总则
一、 目的:
依据《xx集团信息技术资源安全保护规定》和有关公司规定,为进一步加强xx集团计算机信息系统安全保密管理,并结合各系统、各子公司的实际情况,制定本制度。
二、 范围:
计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。
三、 原则:
涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保企业信息安全又有利于企业开展正常业务的方针。
涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。
涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。
第二章 系统管理人员的职责
一、 岗位设置:
用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由集团it部承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。
二、 岗位职责:
系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理; 应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。
安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理。
密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。
三、 工作监管:
对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。
新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
第三章 机房管理制度
一、 机房安全管理:
进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。
机房内不得使用无线通讯设备,禁止拍照和摄影。
机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。
二、 机房日常管理:
各类技术档案、资料由专人妥善保管并定期检查。
机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。
每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
三、 机房门禁管理:
出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经集团it部批准,并有专人陪同。
机房大门必须随时关闭上锁。机房钥匙由集团公司集团it部管理。
机房门禁卡(以下简称门禁卡)由xx集团it部管理。门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
门禁卡应妥善保管,不得遗失和互相借用。门禁卡遗失后,应立即上报门禁卡管理单位,同时写出书面说明。
第四章 系统管理员工作细则
第一节 系统主机维护管理办法
一、 工作职责:
系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。
根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
二、 日常维护及例行检查:
每月: 每月修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报基础架构管理负责人。
每周: 通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。
每天: 检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。每天记录系统主机运行维护日记,对系统主机运行情况进行总结。在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第二节 信息系统运行维护管理办法
一、 工作职责:
根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。管理员密码至少每月修改一次。
信息系统的开发和上线必须严格将开发环境和生产环境分开。不允许两个环境使用同一个服务器、或同一个操作系统、或同一个数据库实例。
对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
二、 日常维护及例行检查:
每月:对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报信息系统的技术负责人和业务负责人。
每周: 对信息系统系统数据、用户id文件、系统日志进行备份,并做详细记录(见表四),备份介质并存档。
每天: 检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。每天记录信息系统运行维护日志,定期对信息系统运行情况进行总结。
三、 问题处理:
在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
根据用户需求设置信息系统各功能模块访问权限,并提交信息系统的业务主管审批。
第三节 网络系统运行维护管理办法
一、 工作职责:
网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,vlan划分表,并在系统配置发生变更时及时对设备档案进行更新。
二、 日常维护及例行检查:
每月: 对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
每周: 对网络系统设备(交换机、路由器)进行清洁。每周修改网络系统管理员密码。每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。
每天: 检查网络系统设备(交换机、路由器)是否正常运行。
三、 问题处理:
网络变更后进行网络系统配置资料备份。
当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。
第四节 终端电脑运行维护管理办法
一、 工作职责:
终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。
根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件等等。
建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行及时更新。
二、 问题处理:
在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交集团it部处理。
第五节 网络病毒入侵防范管理办法
一、 工作职责:
网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。
根据网络系统安全设计要求安装、配置瑞星、金山、avast等网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。
所有xx集团(包括各子公司、分公司、分区)的服务器和个人电脑,禁止安装360安全卫士的全系列产品。
二、 日常维护及例行检查:
每周: 登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。
每日: 监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。
第五章 安全保密管理员工作细则
第一节 网络信息安全策略管理办法
一、 工作职责:
网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。
网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
二、 日常维护及例行检查:
每周: 对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。
第二节 网络信息系统安全检查管理办法
一、 工作职责:
网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
二、 日常维护及例行检查:
每月: 通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报集团it部。
每周: 登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。
每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。
每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。
每天: 根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报集团it部,并做详细记录(见表十三)。
第三节 涉密计算机安全管理办法
一、 工作职责:
涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
二、 日常维护及例行检查:
每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
三、 问题处理:
涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。
新增涉密计算机联入涉密网络,需经集团it部审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第四节 安全审计管理办法
一、 工作职责:
网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。
根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。
二、 日常维护及例行检查:
每月:对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。
每周:备份设备安全审计系统审计信息,并做详细记录(见表二十)。
每日:查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。
第五章 密钥管理员工作细则
一、 工作职责:
身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。
负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。
负责为每台计算机安装主机登录系统。
负责主机登录系统、身份认证系统的系统维护。
根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。
二、 日常维护及例行检查:
每日:检查身份认证系统是否正常运行。
第六章 数据资产管理规定
一、 范围:
xx集团的内部各信息系统均为涉密计算机信息系统,所有信息系统内的数据资源均为xx集团的财产,任何人不得以任何方式私自复制、修改、保留。
二、 职责:
信息系统的运行维护由系统管理员和信息系统的业务单位指定的管理员共同负责,未经系统管理员和信息系统的业务主管领导同意,任何人不得在系统后台对信息系统进行任何操作。
系统管理员只对信息系统的技术平台拥有相应的管理权限,任何对信息系统数据的使用均需要信息系统的业务主管领导同意;未经许可系统管理员不得以任何方式向第三方透漏信息系统内的任何信息。
三、 所有权:
信息系统(集团财务系统、媒介系统等)的数据直接管理权归相应的业务单位所有(例如,媒介系统的业务所有人为媒介管理部。信息系统的技术维护工作由xx集团it部或相应的授权技术服务团队负责。
所有有权直接接触信息系统的生产环境的技术团队成员,均需签署保密协议。技术团队成员有责任和义务为相关系统的信息或代码保密。
第七章 计算机信息系统应急预案
一、 工作职责:
系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。
二、 系统应急场景:
(一) 遇到火灾应根据火情采取以下措施:
1. 如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。
2. 如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。
(二) 如遇机房突发性停电,应迅速通知用户,同时检查后备电源使用情况;如有需要,可以关闭设备电源;来电后,及时通知用户,并检测设备是否正常运行。
(三) 系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。
三、 问题处理:
遇紧急情况,值班员应立即通知集团it部和系统管理员,保持24小时通讯畅通,随时处理紧急事件。
线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。
第7篇 信息科技部-安全管理中心-安全规划岗工作职责与职位要求
职位描述:
1、负责信息安全策略(制度、流程、运行机制)的建设和维护,并组织落实
2、负责信息科技风险的识别与评估,制定风险控制方案,针对信息系统开展风险评估
3、配合监管及内外部安全审计,了解常见安全漏洞、熟悉安全评估、熟悉各类安全控制手段,完善运维环境安全系统建设和管理
4、负责全行信息科技安全检查的各项工作,跟进并落实相关问题的整改
5、定期组织信息安全培训,及全员的安全意识教育
职位要求:
1、全日制本科及以上学历
2、5年及以上相关工作经验,了解iso27001、iso20000,对信息安全以及it服务管理体系有深入理解;
掌握信息安全、it开发、运维等专业知识,
3、熟悉银行业信息科技监管要求和标准
4、熟悉计算机软硬件系统的产品设计、开发、可行性研究及软件开发、测试、评估、操作管理;熟悉linux系统;熟悉oracle数据库应用开发。
第8篇 火力发电厂安全性评价管理信息系统的设计
1. 引言
现代社会中,电力工业的安全生产对国民经济和人民生活有着举足轻重的影响,做好安全生产工作始终是发电企业的永恒主题。然而,由于我国电力工业的特点及人员、设备、管理以及环境等诸多方面的原因,目前在发电企业中普遍存在着许多不安全的因素,因此,为了提高反事故工作的可预见性和安全投资效益,达到对可能发生事故的超前控制、将各种事故消灭在隐患之中,用一种科学的方法分析、预测电力生产设备系统中可能发生的事故及其概率的高低,具有重要的意义。
安全性评价是一项目前国际上比较流行的一种对安全工作系统化、规范化、可操作性强的管理模式,它是对一个系统(大到一个企业,小到一个车间、一个班组、一项工程设计、一个工艺流程、一个装置或设备等)的安全性进行识别,并给出定性或定量的评价的工作,使用这种方法可以预见到系统客观上存在但尚未引发事故的各种危险因素,并对系统的安全性作出大致的评价。因此,搞好安全性评价对提高发电企业的安全生产工作水平,降低安全事故的发生率具有重要的意义。
现代社会是一个科学技术飞速发展的时代,特别是计算机科学的兴起,使我们的社会生活发生了巨大的变化,计算机以快速、高效的性能,改变了我们工作和生活的方方面面,把我们从繁重复杂的工作中解放出来,将安全性评价工作与计算机结合起来,将会给我们的安全性评价工作带来质的飞跃。
2. 系统目标
通过对用户需求和安全性评价管理业务的调查和分析,研究管理实施所需要的功能,系统应达到以下目标.
2.1 面向多用户
安全性评价是以各部门、各班组为基本单位进行的以群众性自查为主的工作,其管理和应用是面向多部门、多用户、同步性协作式方向发展,安全性评价的数据库结构复杂,数据量较大,同一数据用户比较多,如:在进行安全性评价登记的时候,全厂任何人都可以进行评价登记,因此建立具有数据共享机制的系统体系结构具有重要的意义。
2.2 业务功能完善
根据<<火力发电厂安全性评价>;>;(中国华北电力集团公司安全监察部 编著)一书中的规定,在安全性评价管理软件的业务流程中需要系统具有能够填写该书中附录1-----附录5中的内容,并且应具有条件查询、结果分析、评价项目维护与注销、用户系统权限维护、填写记录自动生成、评价结果自动生成、报表输出等功能。
2.3 软件具有很强的适应性、可以满足不同电厂的需要
对于不同的电厂或电力企业,本系统应能适应其安全性评价工作的要求。
3.系统设计
3.1 client/server数据库运行模式
client/server体系结构是新型的计算机网络构造方法。在
client/server结构下,应用系统被分为前端(客户机部分)和后端(服务器部分)两个部分,client/server模式是指一个复杂的计算机应用任务被合理的分解为多个子任务,由服务器和客户机分别承担。合理有效的利用了客户机和服务器的资源:大大减少网络通信的负担,改善了系统运行的总体性能。客户机和服务器之间体现为服务请求/服务响应关系,即用数据库服务器完成数据处理的功能,而客户机完成应用事务的组织和人机界面的实现。
在client/server体系结构中,客户机的功能主要有管理用户接口、从用户接受数据、处理应用逻辑、产生数据库请求,向服务器发送数据请求、从服务器接受结果和格式化结果;服务器的功能是从客户机接受数据库请求、处理数据库请求、格式化结果并传送给客户机、执行完整性检查、提供并行访问控制、执行恢复、优化查寻和更新处理。
在面向多用户的系统环境中,数据库系统运行模式对数据的共享、并发性和一致性起着决定性作用,对系统的性能起着关键作用,而client/server体系结构在这方面有着明显的优势。所以,安全性评价管理信息系统采用client/server数据库运行模式。
3.2 数据库及开发工具
本系统采用powerdesigner来建立数据库模型,powerdesigner是sybase 公司的case工具集,使用它可以方便的对信息系统进行分析与设计,这个工具集包含了四个模块,覆盖了软件开发生命周期的各个阶段。采用powerdesigner可以方便的画出数据流图、实体关系图,得到系统完整的逻辑模型,并且利用它自身提供的接口可以实现由实体关系图向物理模型的自动转换,使设计人员可以在物理模型的基础上进行数据库的后台设计。如下所示的是利用powerdesigner为本系统建立的部分实体关系图,可以看出,通过使用 powerdesigner,可以形象的描述出本系统中需要处理的信息。图一
除了使用powerdesigner进行数据建模以外,系统采用powerbuilder7.0作为主要开发工具,powerbuilder7.0是一个面向对象的client/server开发工具,开发出的代码具有很强的可重用性,它提供了众多的描绘器用于创建和管理不同的对象,提供了丰富的对象、控件和函数,开发效率高,成本低,对数据库的应用开发有着特殊的支持,具有强大的数据库操作功能,用在开发客户应用程序时,这个程序首先建立一个与数据库的通信通道,然后将用户的需求以某种方式传送给数据库服务器,在应用程序接收到数据库服务器返回的数据后,它分析返回的数据并呈现给用户。而数据库服务器是一个存取数据和管理数据的软件,它针对客户的请求为客户提供数据服务,这些服务包括数据插入、修改和查询等。系统可选用oracle、sysbase、informix、sqlserver等目前流行的各种关系数据库,在蒲山发电运营中心安全性评价管理实例中我们采用oracle8i作为后台数据库服务器系统,oracle8i是一个功能极其强大和灵活的关系型数据库系统,适应于client/server数据库体系结构。
3.3 网络结构设计
数据库
服务器安全性评价管理信息系统是在局域网基础上建立的client/server体系结构,图二是以蒲山发电运营中心的局域网为例的网络示意图:
中心交换机
边缘交换机
边缘交换机
光纤
客户端
客户端图二
主干网采用100m光纤进行连接,各部门、班组和控制室等通过hub(集线器)与主干网相连,网络协议采用tcp/ip协议。
4.系统开发
4.1 面向对象的开发方法
面向对象的程序设计在当今的应用程序开发中具有重要的地位,它相对于传统的开发方法而言,提高了程序开发的质量和速度,是一种建立在现实世界基础上的新的软件开发思维,代表了一种全新的程序设计思路和观察、表述、处理问题的方法,它力求符合人们日常自然的思维习惯,降低,分解问题的难度和复杂性,提高整个求解过程的可控制性、可监测性和可维护性,从而达到以较小的代价和较高的效率获得较满意效果的目的,在开发过程中,它强调的是系统开发的关键是来自对前端概念的理解而不是对后端方法的实现。只有当应用领域的固有的概念被识别、理解并构造清楚了,才能有效地设计系统的数据结构以及实现的功能。powerbuilder7.0是一个面向对象的开发工具,利用它可以开发出面向对象的windows应用程序,powerbuilder7.0在系统中具有封装性、继承性和多态性的特征。利用面向对象的方法可实现系统和人机交互界面的设计,数据管理的设计。powerbuilder7.0采用面向对象的方法开发应用程序的用户界面,充分利用windows的窗口资源,从而不仅使用户界面更加美观、简洁、易操作,而且提高了窗口的可重复利用性。
4.2 功能实现
根据对安全性评价需求的调查和对整个评价业务的研究,以及对整个安全评价管理信息系统操作流程的分析,系统应具有以下功能,如图三所示:
系统功能
查询功能
维护功能
填写与审核
辅助分析
自动生成
输出功能
图三
其中维护及填写与审核应能实现如图四、图五所示的功能:
系统维护
系统权限维护
系统数据维护
检查项目
评价结果项目
评价项目
操作权限
人员项目对应关系
图四
发现安全问题
填写安全评价发现问题及整改措施
利用历次的记录生成
上报
进行审核
审查合格
不合格,退回重新填写
记录可以进行自动生成
可以查看评价标准
利用填写的发现问题及整改措施生成查评扣分记录
直接填写
终结,打印最终结果
利用查评扣分记录自动生成或手动填写
填写查评扣分记录
可以查看评价标准填写评价结果明细总分自动生成
利用查评扣分记录自动生成或手动填写
填写安全评价总表
图五
4.2.1 维护功能
维护功能是安全性评价管理信息系统的一个特色,利用它可以维护所有在填写、查询等功能中用到的数据,这样就保证了整个系统在使用时候的可适应性以及灵活性。维护分为对系统数据的维护和对系统权限的维护。利用系统权限的维护,可以控制用户在整个系统中的访问权限,从而保证整个系统的安全性,利用系统数据的维护,可以对在整个系统中使用到的一些基本数据(比如:安全评价项目的维护)进行维护操作,包括填加、删除、注销等功能。如图六、图七所示:其中图六表示的是系统权限的维护,图七表示的是对系统数据的维护。
图六 图七
4.2.2填写与审核功能
填写与审核在整个安全性评价系统中占有重要的地位,用户利用这个功能进行评价结果的填写与审核,最终生成最后的评价结果。在填写的时候,每个项目任何人都可以对其安全性进行评价,在评价的时候可以实时利用局域网的连接在数据库中查询别人已经填写过历次有关该项目的记录,对于某条或几条记录如果认为可以使用或在上面进行修改的话,可以利用生成按钮将这些记录直接生成过来。而在审核的时候,只能有特定的几个被赋予审核权限的人才可以进行操作。通过审核,生成最终的评价结果。在审核和评价的时候,为了对项目填写和审核的方便,把握评价的尺度,当点击某项目的时候,可以在这些窗口中随时查看到该项目评价的标准。如图八所示:该图表示的是填写时的情况
图八
4.2.3 查询功能
查询是安全性评价管理信息系统的一项重要的功能,也是作用最为显著的功能,根据用户的需求,它包括简单数据的查询和对评价结果综合分析的查询,按照查询手段的不同,它包括按照时间查询和包括时间查询在内的条件查询,各类查询还可以交叉进行,这是目前在安全性评价系统中作用发挥的最突出的部分,通过查询,用户可以对整个安全评价过程进行了解。如可以对整个安全评价最终结果进行查询,如图九所示:
图九
4.2.4 辅助分析功能
系统的辅助分析功能主要是对评价的最终结果进行分析,包括本次评分情况分析以及历次得分情况分析等,通过这个功能,可以使用户对全厂的整个安全情况有一个总体的认识,可以把握全厂的安全性情况走势。如图十所示:图十
4.2.5 数据的自动生成功能
由于安全性评价是一项群众性的安全自查活动,因此,为了服务于多用户的使用,提高进行评价登记时的效率,减轻登记人员的工作量,设计了数据的自动生成功能,利用这项功能,用户可以将历次评价中自己或别人所填写的内容生成到自己的填写表格中去。见4.2.3填写与审核中图。
4.2.6 输出功能
输出功能也是系统的一项重要功能,利用它,系统可以进行在安全评价中各种报表的输出,根据用户不同的要求,系统具有不同的输出形式,用户只需简单的操作,就可得到需要的输出结果。图十一所示的是附录四在打印时的情况:图十一
5.结束语
安全性评价是一门正在新兴的软科学,它使我们的安全管理工作从传统的经验管理走向了科学管理,使定量评价成为我们今后进行安全工作的一项重要的方法和手段,将计算机科学与其结合在一起,将使我们的安全性评价管理工作迈上一个台阶,大大提高我们的现代化安全管理水平。
第9篇 数字化矿山安全信息管理系统
数字化矿山安全监控系统为集团公司领导及安全管理部门提供了高效、稳定、快捷的瓦斯实时监测数据,公司领导在办公室、会议室可以随时查询各矿井瓦斯、通风、井下风速、风量的实时数据,各相关领导随时根据所掌握的情况,制定可行的安全生产对策,系统同时还可以查询矿井瓦斯综合报表、瓦斯变化分析曲线、井下传感器动态示意图、矿山地质图形、地质储量三维立体图形查、井下巷道公布图,并实现了风机视频监控等各项功能,做到了矿井安全监控纵向到底、横向到边、信息准确、反应灵敏。七煤集团数字化矿山安全监测系统,公开了井下瓦斯变化的全过程,为安全生产的科学决策,提供了信息支持,实现了矿井瓦斯重点排查跟踪、重大安全隐患排查跟踪,系统功能包括:
1、数字化矿山瓦斯监测监控管理信息系统
2、矿井风机监控管理信息系统
3、井下巷道风流、风速、风量实时监测管理系统
4、gis网络数字煤矿安监管信息系统、
5、gis网站煤炭安全隐患排查信息系统、
6、矿山地质图形管理信息系统
系统地提供了完备的安全监测与信息管理,建立了煤矿信息基本数据库,对通风系统图、采掘工程平面图、井下运输系统图等实现了动态网络监测,实现了矿井通风安全多级监管、统一监测的目的,使集团公司安全管理更加科学化、规范化、系统化。
数字化矿山安全监控系统为集团公司领导及安全管理部门提供了高效、稳定、快捷的矿井环境实时监测数据,公司各级领导及管理人员可随时查询各矿井瓦斯、温度、一氧、负压、粉尘、井下风速、风量的实时数据信息,根据所掌握的情况,制定可行的安全生产指挥策略,系统支持矿井瓦斯变化分析曲线、井下传感器动态示意图、矿山地质图形、地质储量三维立体图形查询、矿井图,做到了矿井环境安全监控纵向到底、横向到边、信息准确,为矿井安全生产提供了保障。
第10篇 现有信息管理状况安全评价
安全管理是一个仍在继续发展的领域,除了cc中的系统和产品标准、sse-cmm中涉及到的系统运行安全管理和bs7799中的如风险管理和涉及安全方面的人员管理等外,企业还应该更加自己的需要制定了相应的安全政策并对此有效的执行。安全管理措施对于企业来说是安全生产的一个重要组成部分。如果企业安全管理措施不完善或实施不力必然会导致企业人员的违章现象,从而产生事故隐患。这种现象不能及时改正、消除,就极易发生事故,酿成大祸。有资料表明,我国工伤事故中70 %以上是由于人的因素和管理问题引起的。所以对企业的安全管理措施评价势在必行。
安全管理的前提是制订保证安全目标的政策。安全政策包括物理方面的政策如关键计算设备的安全政策、逻辑方面的政策如数据访问、安全政策和行政制约方面的安全政策如人员安全管理政策。安全管理的一个重要组成部分是对安全政策实施过程与结果的审计并根据审计结论采取必要的行动,目前虽然对安全管理力度的级别定义在国内的信息系统的等级保护中有了要求,但具体的实施细则还没有正式执行,目前还无法进行参照。不过有一个原则是在高密级要求环境下应采取比低密级更强的安全管理。
另外也可以参考北京市委办公厅、北京市人民政府办公厅2001发布的《北京市党政机关计算机网络与信息信息安全管理办法》中对信息安全管理的要求,该办法对组织领导和责任制、安全方案审查、安全服务单位、产品资质准入、保密要求和管理制度、监控和应急处理、信息内容、人员上岗培训、宣传、教育、监督检查、法律责任、实施时间等方面都作了不同的要求,应该说涉及面还是很广的。
在进行自评估时,除了可以参照bs7799的控制项进行自我检查外,还可以考虑采用外部的风险评估服务,其目的是通过系统的风险评估识别企业信息系统中的风险点,并区分出高低,例如哪些威胁才是需要关注的,定位出特地的安全需求。并且在一定条件下,指导企业进行最有效的降低总体风险和特定风险,监控不断变化的安全状况,最终指导进行安全风险管理,为企业的安全管理体系的建立提供原始信息。
如何针对安全管理的内容进行管理
首先,需要根据企业的现实情况,明确大概的安全方针并制定相应的安全策略。在制定策略时需要注意不能脱离实际,很多安全策略和标准实际上是为 一种理想状态下写的,包括一些信息安全顾问偶然也会犯这种错误,并没有真正了解到当前企业的安全需求和现状的情况下制定的安全策略在企业的实际实施过程中必然会出现问题,管理层或使用者会发现策略的定制者们并未理解他们真正的需要。如果这些安全策略过于理论化或限制性太强,那么企业组织就会漠视这这些策略。因此在安全策略定制必须遵循以下原则:越符合现状越容易推行,越简单越容易操作,改动越小越容易接受.同时,在制定信息安全管理制度时要注意考虑企业现有的文化。许多信息安全方面的规章制度都是参考制度模板或者以其他组织的规章制度为模板而制定出来的。与企业文化和业务活动不相适应的信息安全管理制度往往会导致发生大范围的不遵守现象。另外,规章制度还必须包括适当的监督机制。
其次,要对现有信息系统进行安全评估。信息系统安全评估是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以完成企业的安全目标,同时树立风险管理意识并遵循这个进行相关的安全体系建立。
再次,要充分认识到信息安全管理是一个过程。信息安全是一个动态的过程,必须分阶段的对安全策略进行调整,同时安全攻击和防范技术都在高速的发展,而这一切是一个没有终点的过程,必须建立在一套好的信息安全管理机制的基础上。
总的来说,安全管理不是一种即买即用的东西。一购买就能提供足够安全水平的安全管理体系是不存在的。建立一个有效的信息安全管理首先需要要在信息安全评估的基础上,制定出相关的管理策略和规章制度后,才能通过配套选用相应的安全产品搭建起整个信息安全架构。现在有些企业通过安装部分的安全产品或者制定了一些安全制度但没有得到良好的执行,我们也不能认为这个企业就有了信息安全管理体系,因为安全管理体系的建立是一个管理系统的验证规范, 需依循“pdca”循环进行,包括持续改善,订定政策、管理审查、文件管制、内部稽核等。而且信息安全管理与一般管理的不同在于信息安全管理着重在风险评
估及管理,并选择适当控制措施,将组织损失降到最低。风险评估的过程不是一段时间的工作,而是需要随着技术的发展及企业自身的变化持续改善的过程。企业实施了一套信息安全管理体系并不表示其自身信息安全受到绝对的保护,而是确保其本身的信息安全价值、风险等已确实评估,同时为当前信息系统的安全状态提供了一个快照,并在此基础上进行不断的控制与管理。
需要说明的是,要遵循以上要求即使对最有安全意识和执行能力的企业来说也不是一件简单的事,但总体来说提高信息安全管理水平已是一股不可违逆的潮流,所有的机构或企业已不是“做”与“不做”的问题,而是必须尽早实施的问题。企业应权衡自身承受安全的风险与成本,订定出一套符合本身需求的安全政策,改善自身的营运体制,以符合国际安全标准与世界潮流。
如何建设一个安全监控中心(soc)
虽然信息安全管理问题主要是个从上而下的问题,不能指望通过某一种工具来解决,但良好的安全技术基础架构能有效的推动和保障信息安全管理。随着国内行业it应用度和信息安全管理水平的不断提高,企业对于安全管理的配套设施如安全监控中心(soc)的要求也将有大幅度需求,这将会是一个较明显的发展趋势。
推行soc的另外一个明显的好处是考虑到在国内企业目前的信息化程度下直接实施信息管理变革的困难性,如果尝试先从技术角度入手建立soc相对来说阻力更小,然后通过soc再推动相应的管理流程制定和实施,这也未尝不是值得推荐的并且符合国情的建设方式,而且目前已经有些it应用成熟度较高的大型企业开始进行这方面工作的试点和探索了,因为这些组织已经认识到仅依赖于某些安全产品,不可能有效地保护自己的整体网络安全,信息安全作为一个整体,需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,才能有效地保障企业的网络安全和保护原有投资,信息安全管理水平的高低不是单一的安全产品的比较,也不是应用安全产品的多少和时间的比较,而是组织的整体的安全管理平台效率间的比较。下面我们就来谈谈建立一个soc应该从那些方面考虑。
首先,一个较完善的soc应该具有以下功能模块:
(一)安全设备的集中管理
统一日志管理(集中监控):包括各安全设备的安全日志的统一监控;安全日志的统一存储、查询、分析、过滤和报表生成等功能、安全日志的统一告警平台和统一的自动通知等;
模块分析:大型网络中的不同节点处往往都部署了许多安全产品,起到不同的作用。首先要达到的目标是全面获取网络安全实时状态信息,解决网络安全管理中的透明性问题。解决网络安全的可管理控制性问题。从安全管理员的角度来说,最直接的需求就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况,并对他们产生的日志和报警信息进行统一分析和汇总。
统一配置管理(集中管理):包括各安全设备的安全配置文件的集中管理,提高各管理工具的维护管理水平,提高安全管理工作效率;有条件的情况下实现各安全产品的配置文件(安全策略)的统一分发,修正和更新;配置文件的统一在(离)线管理,定期进行采集和审核,对安全产品的各种属性和安全策略进行集中的存储、查询。
模块分析:目前企业中主要的安全产品如防火墙、入侵检测和病毒防护等往往是各自为政,有自己独立的体系和控制端。通常管理员需要同时运行多个控制端,这就直接导致了对安全设备统一管理的要求。不过从目前国内的情况来说,各不同厂商的安全产品统一管理的难度较大,统一监控更容易实现,在目前现状中也更为重要。
目前国内现状是各个安全公司都从开发管理自己设备的管理软件入手,先做到以自己设备为中心,把自己设备先管理起来,同时提出自己的协议接口,使产品能够有开放性和兼容性。这些安全设备管理软件和网络管理软件类似,对安全设备的发现和信息读取主要建立在snmp协议基础上,对特定的信息辅助其他网络协议。获取得内容大部分也和网络设备管理相同,如cpu使用情况,内存使用情况,系统状态,网络流量等。
各安全产品和系统的统一协调和处理(协同处理):协调处理是安全技术的目标,同时也符合我国对信息安全保障的要求即实现多层次的防御体系。整体安全技术体系也应该有多层次的控制体系。不仅仅包含各种安全产品,而且涉及到各主机操作系统、应用软件、路由交换设备等等。
模块分析:目前国内有部分提法是ids和防火墙的联动就是基于这种思路的,但是实际的使用情况中基本上没有客户认同这点,原因当然有很多,但实际上要实现这点还需要较长的技术积累。
设备的自动发现:网络拓扑变化后能自动发现设备的调整并进行基本的探测和给出信息。
模块分析:大部分企业内部的网络的拓扑都是在变化的,如果不支持设备的自动发现,就需要人工方式解决,给管理员造成较大的工作压力,也不能掌握网络的实际拓扑,这样不便于排错和发现安全故障。可以采用自动搜寻拓扑的机制。如ibm tivoli netview可以自动发现大多数网络设备的类型,或通过更改mib库,来随时添加系统能识别的新的设备。
(二)安全服务的集中管理
实现安全相关软件/补丁安装情况的管理功能,建立安全相关软件/补丁信息库,提供查询、统计、分析功能,提供初步的分发功能。
模块分析:微软在对自己的操作系统的全网补丁分发上走的比较前,成功的产品有sus和sns等,国际上也有部分的单一产品是作这个工作的,但目前还没有看到那个soc集成了这个模块。
安全培训管理:建立安全情报中心和知识库(侧重安全预警平台),包括:最新安全知识的收集和共享;最新的漏洞信息和安全技术,;实现安全技术的交流和培训。持续更新发展的知识和信息是维持高水平安全运行的保证。
模块分析:虽然这个模块的技术含量较低,但要为安全管理体系提供有效的支持,这个模块是非常重要的,有效的安全培训和知识共享是提示企业的整体安全管理执行能力的基础工作,也有助于形成组织内部统一有效的安全信息传输通道,建立安全问题上报、安全公告下发、处理和解决反馈的沟通平台。
风险分析自动化:自动的搜集系统漏洞信息、对信息系统进行入侵检测和预警,分析安全风险,并通过系统安全软件统一完成信息系统的补丁加载,病毒代码更新等工作,有效的提高安全工作效率,减小网络安全的'时间窗口',大大提高系统的防护能力。
模块分析:安全管理软件实施的前提是已经部署了较完善的安全产品,如防火墙,防病毒,入侵检测等。有了安全产品才能够管理和监视,安全管理平台的作用在于在现有各种产品的基础上进行一定的数据分析和部分事件关联工作,例如设置扫描器定期对网络进行扫描,配合该时间段的入侵检测系统监控日志和补丁更新日志,就可以对整网的技术脆弱性有个初步的了解。
(三)业务流程的安全管理
初步的资产管理(资产、人员):统一管理信息资产,汇总安全评估结果,建立风险管理模型。提供重要资产所面临的风险值、相应的威胁、脆弱性的查询、统计、分析功能。
模块分析:国内外安全厂商中资产管理功能都很简单,和现有的财务、运营软件相差非常大,基本上是照般了bs7799中的对资产的分析和管理模块。
安全管理系统与网管系统的联动(协调处理):安全管理系统和网络管理平台已经组织常用的运营支持系统结合起来,更有效的利用系统和人力资源,提高整体的运营和管理水平。
模块分析:如果可能的话,由于各产品的作用体现在网络中的不同方面,统一的安全管理平台必然要求对网络中部署的安全设备和部分运营设备的安全模块进行协同管理,这也是安全管理平台追求的最高目标。但这并非是一个单纯的技术问题,还涉及到行业内的标准和联盟。目前在这方面作的一些工作如 check point公司提出的opsec开放平台标准,即入侵检测产品发现攻击和check point防火墙之间的协调,现在流行的ips概念,自动封锁攻击来源等,都在这方面作了较好的尝试,在和整体的网络管理平台的结合方面,目前国内外作的工作都较少,相对来说一些大型的it厂商如ibm/cisco/ca由于本身就具备多条产品线(网络、安全、应用产品),其自身产品的融合工作可能已经作了一些,但总体来说成熟度不高。
与其它信息系统的高度融合:实现与oa、erp等其他信息系统的有机融合,有效的利用维护、管理、财务等各方面信息提高安全管理水平。安全管理的决策分析和知识经验将成为公司管理的重要组成部分。
(四)组织的安全管理
组织构成:根据企业的不同情况建立专职或兼职的安全队伍,从事具体的安全工作。由于信息安全工作往往需要多个业务部门的共同参与,为迅速解决业务中出现的问题,提高工作效率,公司必须建立跨部门的协调机制。具体协调机构应由专门的安全组织负责,并明确牵头责任部门或人员。有条件的企业或者组织应成立独立的安全工作组织。
组织责任:
a) 建立健全相关的安全岗位及职责;
b) 制定并发布相关安全管理体系,定期进行修正;
c) 对信息系统进行安全评估和实施,处理信息安全事故;
d) 部门间的协调和分派并落实信息安全工作中各部门的职责;
以上是soc必须具备的一些模块,现阶段国内外也有一些厂商推出了安全管理平台软件,从推动整个行业发展来看当然是好现象,但萝卜快了不洗泥,其中也存在一些发展中的问题,比如作为一个soc必然要求具备统一的安全日志审计功能,但单一安全设备审计软件不能等同于安全管理平台,究其原因为国内现有安全厂商中安全设备厂商占多数,优势项目是在已有安全设备上添加统一日志管理和分析功能,由于是单个厂商的行为缺乏整体的行业标准,导致目前的安全审计软件普遍缺乏联动性,不支持异构设备,就算是对java的支持各个厂商的实现力度也不同,普遍只具备信息统计功能和分析报告的功能。。
在目前的安全管理平台提供商中,能提供完整的产品体系厂商非常少。而号称专业的安全产品厂商,因为安全产业起步很晚,这些厂商只能在某个领域做深,还无法提供整套的安全产品线,这也是一个现实。作为用户应该认清需求,把各种安全产品在自己网络中结合起来,深入了解安全管理平台提供商的实力,才能够达到安全目的,满足自己的安全需求。
最后,从投入产出比的角度来说,因为soc往往只是一个软件平台的开发工作,大多数情况下不需要或者较少需要新的硬件投入,总投入往往不是很大,如果上了soc后即使不能完善和推荐安全管理体系,也可以起到减轻管理员的工作负担,增强管理员的控制力度,并对整个网络内的安全状况进行统一监控和管理的作用,这样总体来说安全管理平台soc的投入产出就非常值得。
第11篇 安全信息管理规定范文
1 总则:
1.1 为加强公司的安全监督管理,使安全信息管理工作制度化和规范化,保证安全信息的及时性、准确性和完整性,根据国家有关法律、法规、规程和南方电网公司《电业生产安全信息管理暂行规定》、云南电网公司《电业安全信息管理规定》,特制定本管理办法。
1.2 本办法所指的安全信息是指公司安全生产、交通和消防安全状况,包括安全事件、事故、障碍等涉及事故定性报表内容以及工作动态方面的信息,还包括安全会议、活动要求的相关信息。
1.3 本办法适用于本公司
1.4 安全信息应当本着分级报送、归口管理、资源共享的原则,在收集、统计、报告过程中要切实做到实事求是,报告内容准确、完整,为公司持续改进安全生产管理工作提供科学依据,严禁漏报、虚报、瞒报。
1.5 本规定所涉及的事故(障碍)的定义、等级划分、责任归属和事故调查的组织、程序等,严格按照南方电网公司颁发的《电力生产事故调查规程》的规定及其条文解释执行。
1.6 公司安全管理部门是公司安全信息的归口管理部门,负责审核、汇总、分析和公布各类安全信息,综合分析和预测公司的安全形势,编写公司安全情况报告(通报、快报、简报)。
1.7 公司各单位安全管理部门是所在单位的安全信息归口管理部门,负责收集、汇总、分析各类安全信息,并经分管领导审核后上报。
1.8 公司各单位应结合实际情况配备兼职安全信息管理人员,并为安全信息管理人员收集、编辑、报送信息提供必要条件。
1.9 各单位应对安全信息管理制度进行细化,针对各单位的实际情况制定相关规定,逐步理顺并优化信息收集、筛选、整理、编辑、报送等环节的关系,加强对信息工作管理。
2 安全信息报告、报送管理:
2.1 各职能部门的安全信息由各单位以书面、电子邮件、办公自动化等形式上报公司安全管理部门。
2.2 各项目部安全信息由承担施工任务的单位收集、汇总、整理后报送安全管理处,对于安全管理处直接要求项目部上报的信息,则由项目部直接报送安全管理部门。
2.3 安全生产突发事件(主要是指一些已危及或影响人身、设备安全的事件:如地震、洪水、泥石流等自然灾害和其他不可预见的事件,以下简称“突发事件”)及安全生产事故(施工生产人身重伤及以上、重大及以上电网和设备事故、重大及以上交通事故、重大及以上火灾事故、误操作事故等)的报告,应在对事故情况有所了解的前提下立即报告。
2.4 快速报告:发生突发事件及安全生产事故时,事故单位在立即组织事故处理或施救的同时,应及时向公司有关领导和部门进行快速报告。
2.4.1发生严重的突发事件,导致人身伤亡、设备损坏或其他情况的,应立即向安全管理部门报告,有人员死亡的还应向当地公安部门报告。
2.4.2发生施工生产人身死亡事故、电网或设备事故、有人员伤亡的重大及以上交通事故、重大及以上火灾事故,事故单位应立即向安全管理部门报告,涉及人员死亡的还应向当地公安部门报告。
2.4.3发生生产性人身重伤及以上人身伤亡事故、重大及以上电网或设备事故、重大及以上交通事故或火灾事故,以及下列一般事故和事件后,应以最快的速度,最迟不得超过2小时,以电话、电传或电子邮件方式向公司安全管理部门报告。
(1)其他可能造成重大不良社会影响的事故(事件);
(2)发生突发事件而对正常生产秩序造成影响的。
2.4.4快速报告应包括以下的基本信息:
(1)事故发生的时间、地点、单位;
(2)事故发生、扩大和应急救援处理过程的简要情况、初步原因判断;
(3)事故后果(伤亡情况、设备损坏、可能造成的电网事故或不良社会影响等)的初步估计。
2.4.5发生上述突发事件或事故的单位,应在24小时内向公司安全管理部门提交书面的报告。
2.5 安全信息定期报告:
2.5.1安全信息定期报告包括月度报告、年度报告及日常安全管理资料等。公司各单位须按要求将相关资料以书面、电子邮件及办公自动化等形式上报公司安全管理部门。
2.5.2每月5日前,上报上月的事故报告和《施工生产安全月报表》(见附表一)、《交通与特种设备安全月报表》(见附表二)。上报内容要求:各基层单位汇总各在建项目(部门)的安全生产情况,包括:学习上级安全管理文件、开展安全检查、进行安全教育培训、考试、安全交底、应急演习、各施工工序的安全管理及当前存在的安全问题等方面的内容。
2.5.3 每年11月30日前,上报本年度安全监督管理工作总结和年度安全生产形势分析报告,下一年度的工作思路和打算。
2.5.4 每年“五一”、“十一”、春节长假结束后,分别于收假前一天上午10点前上报节日安全生产情况及值班、车辆安排情况等。
2.5.5 公司组织的季度安全大检查、安全专项检查结束后,需要整改的单位,须按整改要求在整改期限内上报安全问题整改情况。
3 安全信息监督管理:
3.1公司建立安全生产举报制度,设立邮件信箱和安全监督电话,多途径收集、传递安全信息。
3.2 公司安全管理部门负责对各单位的安全信息报告情况进行年度考评。各单位不按要求或不按时上报的,安全管理部门将于年终进行考核评比,并做出奖惩。
3.3对于瞒报事故和弄虚作假行为,公司将严肃查处,并根据奖惩规定对有关责任者予以严肃处理。
4 附则:
4.1 安全管理部门要求上报的其他安全信息、汇报材料或征集稿件应于规定期限内上报,对逾期报送或不报的单位公司将进行统计考核,记入年度考核中。
4.2 本规定由公司安全管理部门负责解释。
4.3 本规定自发布之日起实行。
5 相关文件:
5.1《中华人民共和国安全生产法》
5.2南方电网公司《电网建设安全健康与环境管理办法实施细则》
5.3南方电网公司《电业生产安全信息管理暂行规定》
5.4云南电网公司《电业安全信息管理规定》
6 附表:
附表一:施工生产( )月安全报表
填报单位(公章):填报时间:年月日
施工生产安全管理和安全活动情况(包括合同工)及安全规程执行情况
若发生了安全事故、事件,按(四不放过)原则采取的安全措施
安全情况
存在问题
单位负责人:填报人:
附表二:交通与特种设备( )月安全报表
填报单位(公章):填报时间:年月日
交通安全管理和安全活动情况(包括合同工)及安全规程执行情况
施工车辆安全检查情况(包括分包单位)
若发生了交通安全事故、事件,按(四不放过)原则采取的安全措施
安全情况
存在问题
单位负责人:填报人:
第12篇 安全管理信息系统的基本构成和设计原则
安全管理信息靠安全管理信息系统收集、加工和提供,因此,研究安全管理信息,必然要研究安全管理信息系统。
一、安全管理信息系统的构成
管理信息系统,国外简称mis,是专指以电子计算机网络为基础的自动化数据处理系统。但是从一般意义上来说,所谓管理信息系统实际是指那些专门为管理系统生产和提供有用信息以便使其正确地发挥管理职能,达到管理目的的系统。
根据以上对管理信息系统概念的理解,一个完整的企业安全管理信息系统主要由以下部分构成。
1.信息源
即根据安全管理系统的需要,解决应从哪里收集安全信息的问题。区分信息源可以有两个标准。一是根据地点不同,可分为内源和外源。内源是指安全管理系统内部的信息,外源则是指安全管理系统以外但与之有关的安全管理环境的信息;二是根据时间不同,
可分为一次信息源和二次信息源。一次信息源是指从内源和外源收集的原始安全信息,二次信息源是指安全管理信息系统储存待用的安全信息。选择适当的信息源是安全管理信息系统及时、准确地为管理用户提供有用安全信息,进行有效服务的重要前提。
2.信息接收系统
即根据企业安全管理的需要和可能,解决以什么方式收集安全信息的问题。随着科学技术的发展,人们收集安全信息的方式多种多样,其中有直接的人工收集方式,也有采用无线电传感技术进行安全信息收集的方式。及时、真实、完整地收集原始安全信息,是保证安全管理信息系统其他环节工作质量的重要基础。因此,根据企业安全管理的需要,考虑技术和经济上的可能,选择适当的安全信息收集方式和相应的安全信息接收装置是设计安全管理信息系统的重要环节。
3.信息处理系统
是指包括信息加工、存储和输出装置,解决如何根据安全管理的需要,对安全信息进行加工、存储和输出到安全管理用户的系统。根据技术条件的不同,信息处理可采用多种方式。目前,安全信息加工和存储越来越多地运用电子计算机,特别是微型电脑。与此相适应,信息传输也越来越多采用现代化通信设备,如卫星通信和光纤通信等。
4.信息控制系统
为了保证安全管理信息系统不断为安全管理系统提供及时、准确、可靠的安全信息,安全管理信息系统要建立灵敏的信息控制系统,以不断取得反馈信息,纠正工作中的偏差,控制整个安全管理信息系统按照安全管理用户的需要提供有效的服务。根据安全管理信息系统规模的大小,安全信息控制系统可以设专门机构,也可由专人负责。
5.信息工作者
信息工作者是安全管理信息系统最重要的构成要素。在安全管理信息系统中,信息工作者的主要任务是负责对安全管理信息系统的设计和管理。在安全管理信息系统的每一个工作环节编制程序、操作设备,形成有效的人—机系统,对安全信息进行收集、加工、存储和输出。所以,在现代化安全管理信息系统中,信息管理者既要有懂安全管理的人员,也要有懂计算机和现代化通信技术的人员。应当指出,安全管理信息系统在技术上愈是现代化,信息管理者的作用就愈重要。为此,不断提高信息管理者的素质,是保证安全信息管理系统有效运转的关键。
综合上述各要素,安全管理信息系统的构成和运转情况,如图6—2所示。
在实际安全生产中,安全管理信息系统主要是指那些专门为各种安全管理活动收集、加工、储存、提供信息的部门和机构。如统计部门、情报部门、咨询部门、预测部门、图书资料部门、计算中心等。上述各种部门其躯干雄居于大中城市,四肢伸向各个单位、各个企业,上下结合,纵横交错,共同形成一个国家或地区范围内的庞大的安全管理信息系统。
二、安全管理信息系统的设计原则
任何有效的安全管理都必须由安全管理信息系统提供及时、准确、适量、经济的信息。为了达到这一目的,安全管理信息系统的设计必须遵循以下原则。
1.要有明确的目的性
安全管理信息系统是为安全管理系统提供信息服务的。因此它的设计必须要首先明确服务对象的性质、范围及其所需安全信息在数量、质量、时间等方面的要求。做到这一点,在安全管理系统设计前,就要详细调查安全管理用户的情况,标清所服务的对象经常需要哪些安全信息,这些信息应从哪里获取,以什么方式收集和传递,摸清这些情况,系统设计才能有明确的目的。
2.要坚持系统的完整性和统一性
所谓完整性,就是根据信息加工需要,必须具备的环节不能缺少,同时要保证各环节的相互联系和正常运转;所谓统一性,就是要求整个信息系统的工作要统一,要制度化。整个系统各个工作环节所加工和输送的信息在语法、语意和格式上要标准化、规范化。坚持安全管理信息系统设计的统一性,主要是为了各个环节工作的协调,同时便于与别的管理信息系统联系、合作,所加工的信息也便于各个管理系统使用。
3.要保证一定的可靠性
安全管理信息系统的可靠性,集中表现在所提供的信息的准确性、适用性和及时性。只有这样,才能赢得用户的信任并乐于采用。可靠性是安全管理信息系统的生命所在,为了保证安全管理信息系统的可靠性,必须要使整个系统有良好的素质,其中包括设备、人员、服务态度、工作作风等素质。同时还有必要在整个系统中配备一定的控制装置和监督人员。
4.要允许一定的相对独立性
允许安全管理信息系统一定的相对独立性,主要目的是要保证信息的真实性和可靠性。为此,一些主要的安全管理信息系统应在组织上与安全管理系统分设,即使对于从属于安全管理系统的信息机构,也要从纪律、制度上,甚至通过立法来保证其行使职能的相对独立性,避免某些长官意志和过多的行政干预。
5.要注意一定的适应性和灵活性
在科学技术日新月异,社会和经济形势千变万化的情况下,现代安全管理要求有很强的适应性和灵活性。安全管理上的这种适应性和灵活性,主要靠及时获取安全信息来达到,这就要求安全管理信息系统也应具有一定的适应性和灵活性。只有这样才能在条件一旦变化时仍能及时提供可靠的、具有现实意义的安全信息,以便安全管理系统的决策、计划等能随时适应新的情况。忽视安全管理信息系统设计的适应性与灵活性的原则,实际上是对资源的浪费,有时还可能导致安全管理决策的失误。当然重视适应性、灵活性原则,并不排斥相对的稳定性,这就要在设备采用、人员配备、机构设置等方面正确处理好需要与可能、稳定与灵活、长远与眼前的关系。
6.要讲究经济性
在安全信息系统设计中,所谓经济性原则,就是不但要考虑所提供安全信息的准确性、适用性、及时性,而且要考虑获取、加工和输送这些安全信息的费用或成本。实际上就是要讲究安全管理信息系统的工作效率和经济效益。影响安全管理信息系统经济效益的因素是多方面的。为此,进行安全管理信息系统设计必须要进行经济技术分析,综合考虑各种影响因素,使设备上的先进性、技术上的可行性和经济上的合算性达到满意的结合。
安全管理信息系统设计的以上原则是一个矛盾统一体。从总的方面说,安全管理信息系统的设计过程就是要从如何满足各安全管理用户需要出发,不断使上述原则达到统一的过程。在这个过程中,根据需要与可能有所侧重,但完全忽略某一方面则是不行的。
三、安全管理信息系统现代化的技术策略
安全管理信息现代化是安全管理现代化的客观要求,也是时代发展的客观要求。安全管理信息系统现代化是一个综合性概念,它包括指导思想现代化、组织结构现代化、人员素质现代化和技术手段现代化。根据当代科学技术水平和安全管理水平,所谓安全管理信息系统技术手段现代化,主要是指建立以电子计算机和现代通信技术为基础的网络化、 自动化的信息收集、加工、储存、传递系统。要达到这一目标,必须要从实际出发,采取正确的技术策略。
1.要有正确的指导思想和明确目标
一个企业的安全管理信息系统现代化水平,在何时要达到什么程度,这是制定技术策略首先要解决的问题。总结国内外经验,制定安全管理信息系统现代化技术策略的指导思想应该是:既不能脱离一个企业的实际,急于求成、全面引进,在一切方面都要“迎头赶上”,也不能亦步亦趋照抄别人所走过的路子,要立足自己的情况,充分利用有利时机和一切可能条件,全面规划,逐步实施。在目标的制定上,总的说要与本国的经济和科学技术发展目标相适应,要和安全管理现代化的水平相适应。具备了一定条件,个别方面和某些领域也可首先突破。
2.要全面规划、配套进行
安全管理信息系统技术手段现代化是一项复杂的系统工程。必须全面规划、配套进行。安全管理信息系统向安全管理系统提供安全信息,包括要综合发挥信息收集、加工、储存、传递等一系列的功能,这就要求信息收集、加工、储存、传递等技术手段要相互协调和配套。具体说,没有电子计算机,信息就不能高速度、高质量地加工、处理;而没有先进的传感技术和通信技术,信息就不能迅速、大量、有效地获得和传递,电子计算机也无展其技。特别是要做到安全管理信息系统的网络化、自动化,更要求传感、通信和计算机技术相互配套,同步发展。因为计算机和传感技术只能形成离散的信息收集和加工点,只有通信技术才能把这些离散的点连成线、结成网。同时还要想到,在实现安全管理信息系统技术手段现代化的过程中,不但要大力发展信息技术,而且还要大力发展与其有关的各种支持技术和为之提供新材料,新能源的基础技术,这样又要考虑一批批技术群和产业群的协调、配套发展。
3.加快人才培养,适应技术现代化的需要
先进的技术手段要靠高素质的人才操作使用。因此,安全管理信息系统技术手段的现代化水平要与现有人才的素质相适应,高素质人才的培养也要与不断发展的信息业和不断提高的信息获取、加工和传递的技术水平相适应。当代,随着信息业的不断发展,对于从事信息业人才的需求量不断增加。为此,应该运用多种形式加快培养。其中主要包括对预测专家、情报专家、咨询专家、计算机专家、通信专家和信息管理专家的培养。此外,为了加快安全管理信息系统技术手段现代化的步伐,还要注意提高广大安全管理者和劳动者的科学文化素质,如果广大安全管理者和劳动者的科学文化水平不高,吸收和运用安全信息的能力不强,同样也影响安全管理信息系统技术手段现代化水平的提高。
第13篇 药品安全信息化管理暂行规定
推进药品经营企业信息化建设,运用信息化手段实现药品安全监管是贯彻落实科学监管理念的重要举措,也是药品经营企业提高管理水平和工作效率的重要途径。为进一步提升药品经营企业质量管理水平,促进信息技术在药品流通领域的应用,实施实时监控,根据国家食品药品监督管理局等上级部门规定,结合本县实际,现就全县药品经营企业实行信息化管理作如下规定,请遵照执行。
一、药品经营企业计算机管理系统建设
全县所有药品经营企业均应配置专用计算机,实现药品购销存信息化管理,保证药品质量可控可追溯。计算机设施和管理系统应符合以下要求:
1、具有独立的计算机管理信息系统,能覆盖企业内药品的购进、储存、销售以及经营和质量控制的全过程,保证药品购、销、存数量保持一致;能全面记录企业经营管理及实施《药品经营质量管理规范》方面的信息;符合《药品经营质量管理规范》对药品经营各环节的要求。
2、应配备能通过计算机自动开具载明药品名称、生产厂商、批号、数量、价格等内容的销售凭证设备,药店在销售药品时均应向购药者出具销售凭证。同时,应在店堂醒目处告示消费者有权索取药品销售凭证,使广大群众知道药品销售凭证开具有效凭证的规定,保障群众用药安全。
3、保证计算机系统的安全性。
(1)计算机系统自身安全,主要包括利用防毒、防火等软、硬件设备保障系统本身不易受破坏和干扰,保证其正常运行;同时,定期做好备份。
(2)计算机系统使用安全,主要包括系统操作人员权限的设定、分配应符合要求,能按照法律法规和岗位职责进行权限的分配,不会出现非本岗位的操作功能。
4、计算机系统数据信息能随时接受药品监管部门检查、查询、复制。
二、药品经营企业在线远程监管系统建设
1、应在营业场所内指定一台固定电话,报药品监管部门备案,确保通讯畅通,并保证在岗人员能随时接听来电。
2、以企业身份申请注册qq帐号,加入药品监管部门统一指定的qq群(群号202038542),由企业负责人负责管理,可委托药店从业人员操作,确保不因从业人员变动而影响正常登录使用;qq设置为自动登陆,在营业期间保持处于正常在线状态,指定专人负责接收发qq群内发布的各项通知、公告等信息。
3、配备网络视频设施,确保药品监管部门在巡查药师是否在岗等情况时能正常启用。
4、所有购进品种应及时上传至浙江省药品信用信息系统,并保证品种信息完整、准确、真实,为药品监管部门实行购进品种在线监管提供条件。
5、具备能与药品监管部门开展实时监控的数据接口,为药品监管部门对购销品种和温湿度在线监管提供条件。
三、其它规定事项
1、药品经营企业驻店药师需要请假或调整在岗排班表的,应提前以电子文档格式报送至药品监管部门指定的电子邮箱。
2、药品经营企业在实施药品安全信息化体系建设的表现情况与将企业信用等级评定挂钩。对于本规定的各事项履行不到位,尤其是药品购销存记录不及时输入电脑台帐、经营品种不及时上传至省局信用系统、不同步开具销售凭证的,将加大日常监督检查深度和频次,强化监督抽样的力度,降低信用等级,构成违法的,依法予以从重处理,并予以实名通报。
第14篇 应用信息技术提升企业安全管理水平
信息技术在电力企业安全生产管理中的应用空间广泛,对企业规范管理行为、改善管理方式、夯实管理基础、提高工作效率,有着极其重要的作用。电力企业应以安全生产为己任,积极推行信息技术的应用,探索电力安全生产的新思路,持续改进,不断提高。
1以信息化规范员工作业行为
人的不安全行为是导致事故发生的主要因素,电力企业在注重员工的安全教育与培训的同时,必须依靠技术进步,借助信息化手段,规范员工作业行为,以期逐步培养良好的工作习惯。
(1)实行变电倒闸操作全程录音。变电运行人员在倒闸操作过程中,使用录音笔进行全过程录音,工区、监督部门定期检查录音文件并予以通报,从而规范倒闸操作的全过程监督和管理,促进“六要”、“八步”在现场的落实。
(2)推行
变电巡检系统。该系统通过在每个设备单元间隔安装的信息钮记录值班员的到位信息,确保巡视人员的到位,做到路径最优,项目齐全,痕迹保全,提高设备巡视到位率。
(3)应用输电线路巡检系统,跟踪巡线全过程,同时辅以数码相机记录设备缺陷,保证了巡视到位和准确掌握缺陷信息。
(4)运用powerpoint工具软件,编辑系列违章现象专题图片,在职工中开展找错竞赛,以身边的违章现象教育身边人。
(5)开展网上培训。使用规程学习与考核软件,随时进行网上学习、练习和模拟测试,试题随机生成,逐步取代常规的安全知识考试形式,使培训和考试工作科学化、规范化。
2以信息化强化基础管理
强化安全生产基础管理,以信息技术为平台,减轻劳动强度,提高工作效率,保证基础管理工作的适宜性、完整性、有效性。
(1)利用全文检索系统,为工作提供方便。建立有效的技术标准体系,跟踪技术标准发布动态,及时进行补充与完善,使其覆盖率达到100%。
(2)利用网络平台加强制度管理,在健全和完善安全生产管理制度的基础上,实现网络化,方便查询与学习。
(3)建立违章类型管理库,利用信息技术实现违章的分类管理。在开展管理性违章、行为性违章、装置性违章的排查基础上,按违章分值、性质、等级进行编号,实现信息化数据积累,为逐步降低违章的重复率提供技术手段,促进反违章工作的深化。
(4)开发危险点和控制措施库管理信息系统,实行危险点预控措施卡的编制、审核、批准的网上流转,实现危险点的动态管理。
(5)研发安全用具管理系统,实现对安全工器具的全过程管理,该系统应涵盖工区和班组,包含安全用具在役、退役、报废等档案管理,试验报告管理,试验周期管理等功能,加强安全用具的管理工作。
(6)运用信息技术,规范会议管理。开发安全生产会议管理系统,提高会议质量和效率,做到会前准备充分,提前在网上发布会议材料;会中议题明确,主题突出;会后纪要分发迅速,实施情况分类标示,统计分析、考核有据,会议时间大大缩短。
3
以信息化提升安全管理水平
充分利用网络技术,为安全生产提供更为快捷、方便、安全的信息平台,达到过程控制、资源共享。
(1)应用微机两票管理系统,实现两票网上流转,提高工作效率和两票合格率,为两票的统计分析提供便利条件,规范两票管理。
(2)应用生产管理信息系统(mis),保证生产与检修计划可控、在控。按照“五结合”原则进行计划统筹,合理调配资源,提高工作的安全性,优化缺陷管理流程,加强闭环控制。mis系统提供完整的缺陷报告、等级核定、任务下达、消缺情况、投运结论等闭环控制流程,通过网络实现实时检查监督,提高设备消缺质量。
(3)开发调度mis、变电mis,使电网运行管理水平再上新台阶,运行工作实现网络化。调度指令票实现网上传递和过程监督,该系统中的危险点预控模块,实现拟票、审票、操作全过程监护控制与提示,初步实现调度危险点预控智能化,防止调度误操作事故的发生;变电mis系统涵盖运行日志、日常运行、安全管理等各项运行工作,实现运行工作透明化。
(4)应用scada/pas系统,实现电网运行数据分析和安全性静态评价;应用调度模拟操作,防止调度误操作的发生,解合环操作前利用潮流分析软件、模拟操作进行潮流分析,为电网的安全、优质、经济运行
提供有力的保障。
(5)应用继电保护在线信息管理系统,实现继电保护定值单、试验报告和保护动作月报的录入、继电保护图纸的电子化和上传工作;应用继电保护及安全自动装置核对软件,进行季度安全自动装置状态核对;应用继电保护整定计算软件进行继电保护整定计算,防止人为因素造成的误整定并提高工作效率。
(6)建立企业安全网页和安全文化网站,营造企业安全文化氛围。通过安全信息发布、通报事故分析报告、违章照片曝光和录相片播放等形式,借以形成安全教育的氛围,从培养“我要安全”理念、培训“我会安全”技能、强化“我懂安全”素质三方面入手,逐步实现从“要我安全”到“我要安全”、“我会安全”、“我懂安全”的转变,对保证安全生产具有潜意识的推动作用。
第15篇 学校网络信息安全管理应急预案
为确保网络正常使用,充分发挥网络在信息时代的作用,促进教育信息化健康发展,根据国务院《互联网信息服务管理办法》和有关规定,特制订本预案,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。
一、危害网络与信息安全突发事件的应急响应
1.如在局域网内发现病毒、木马、黑客入侵等
网络管理中心应立即切断局域网与外部的网络连接。如有必要,断开局内各电脑的连接,防止外串和互串。
2.突发事件发生在校园网内或具有外部ip地址的服务器上的,学校应立即切断与外部的网络连接,如有必要,断开校内各节点的连接;突发事件发生在校外租用空间上的,立即与出租商联系,关闭租用空间。
3.如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改,要立即切断服务器的网络连接,使得外部不可访问。防止有害信息的扩散。
4.采取相应的措施,彻底清除。如发现有害信息,在保留有关记录后及时删除,(情况严重的)报告市教育局和公安部门。
5.在确保安全问题解决后,方可恢复网络(网站)的使用。
二、保障措施
1.加强领导,健全机构,落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组,并设立安全专管员。明确工作职责,落实安全责任制;bbs、聊天室等交互性栏目要设有防范措施和专人管理。
2.局内网络由网管中心统一管理维护,其他人不得私自拆修设备,擅接终端设备。
3.加强安全教育,增强安全意识,树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因,各校要加强对教师、学生的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力,引导他们正健康用网。
4.不得关闭或取消防火墙。保管好防火墙系统管理密码。每台电脑安装杀毒软件,并及时更新病毒代码。
第16篇 搞好安全信息管理提高安全管理水平
安全信息管理是电力企业安全管理的重要组成部分, 是指导安全生产和做出安全决策的重要依据,搞好企业内部安全信息管理对提高企业安全管理水平,预防、控制事故的发生,有着极其重要的作用。
1 安全信息的分类
安全信息包括安全情报、资料、台帐、指令以及发生在生产现场的事故、障碍、异常、未遂、差错的具体行为等,它应反映出企业整个生产过程的基本安全情况,企业内部安全信息的获得可来自企业内部和外部,一般以企业内部的安全信息为主,采取内外结合的原则。
全信息分类的目的是为了便于具体认识与运用安全信息去指导安全生产,提高安全管理水平,从而有效地预防和控制事故的发生。安全信息分类主要是根据安全信息的产生和作用来进行的,安全信息大体可分为3类:
(1) 安全指令信息。是指上级领导及管理部门发出的各种安全工作的指令、要求、事故通报、安全生产简报、兄弟单位安全管理经验以及事故教训等信息。
(2) 安全动态信息。是指生产过程中的安全运行情况、安全规章制度的制定和落实情况;易燃易爆等危险品及现场设施防护完善状况;生产中出现的异常现象;现场作业工人的情绪以及工器具、设备的异常状态等多方面的安全动态信息。
(3) 安全反馈信息。是指能将在执行安全指令过程中发生的人的不安全行为、物的不安全状态以及环境的不安全因素等信息及时反馈到安全监督人员和相应决策部门,通过闭环控制、偏差管理,及时作出新的决策,制定新的防范措施。
2 安全信息管理
安全信息管理要采用现代科学管理的理论和方法,应体现“及时、准确、适用”3个特性:
(1)及时性——收集、传递、反馈、运用、处理安全信息要及时,错过收集和使用的时间,安全信息就失去应有的作用。如:对于在装设三相短路接地线时,没有用验电器在停电设备上验明确无电压,就直接在停电设备上装设接地线的违规行为,如果在生产中能及时发现并纠正,就能有效地控制、预防事故的发生,否则,就可能导致事故。
(2)准确性——收集到的安全信息要真实、准确、完整,实事求是,不弄虚作假,否则就会影响安全信息的使用效果,甚至可能做出不符合实际的决策,贻误了安全管理工作。如:在电气倒闸操作过程中,没有使用操作票,原因是领导允许无票操作。在收集此信息时,如果只收集到无票进行电气倒闸操作的违章作业行为,而没有收集到领导违章指挥的事实,就不能使决策部门提出全面的整改措施,其结果是只解决了无票操作的违章作业问题,而没有解决领导的违章指挥问题。
(3)适用性——安全信息的使用价值因人们的需求和使用的时间、方式、对象、地点不同而不同。只有适用的安全信息,才能促进安全管理工作,才能充分发挥安全信息的作用。如:在学习兄弟单位安全管理经验时,不结合本企业的安全生产实际情况,生搬硬套,就不可能充分发挥安全信息的作用。
一个企业安全工作的好坏,在一定程度上取决于企业对安全信息的收集、处理和利用的状况。企业的安全信息管理应该通过收集 、分析、管理、处理、传递等环节形成一个自上而下、自下而上的高效、流通的闭环反馈系统。只有这样,才能够使领导全面准确地掌握安全信息,作出符合实际的决策,然后,再下达给基层,指导生产一线的安全管理。
3 安全信息管理的基本环节
(1)建立安全信息管理制度 。从制度上保证安全信息在企业中的流通,把安全信息管理工作纳入议事日程中,在讨论研究安全工作时,应讨论研究安全信息的应用管理工作,解决安全工作中存在的问题,保证安全信息所具有的作用在安全管理中得到充分发挥。
(2)建立安全信息管理网。 通过安全信息管理网及时传达有关安全生产的法规和方针政策,了解兄弟单位及本企业的安全生产动态,并将重要的安全信息及时、准确地传送到信息管理网,实现资源共享,提高工作效率。
(3)落实安全信息管理责任制 。安全信息要分级管理,分工明确,责任到人,提高安全信息的利用率,保证安全信息正常运转,保证安全信息管理得力、有效。
(4)加强班组安全信息收集。班组是企业最小的基层单位,又是安全信息的重要来源。加强班组信息管理是搞好信息收集和反馈的重要环节。
(5)加强信息档案工作。安全信息建档资料是企业宝贵的财富,它可以帮助人们了解企业安全生产的状况,及时作出正确决策,掌握安全生产主动权,对提高安全管理水平,预防、控制事故的发生有着重要的作用。
(俞福成)
69位用户关注
10位用户关注
42位用户关注
96位用户关注
16位用户关注
99位用户关注
17位用户关注
47位用户关注
81位用户关注