資訊保安管理制度(15篇)
資訊保安管理制度(15篇)
在當下社會,大家逐漸認識到制度的重要性,制度具有使我們知道,應該做什麼,不應該做什麼,懲惡揚善、維護公平的作用。一般制度是怎麼制定的呢?以下是小編幫大家整理的資訊保安管理制度,希望對大家有所幫助。
資訊保安管理制度1
第一節 總則
1、為加強醫院資訊科技外包服務的安全管理,保證醫院資訊系統執行環境的穩定,特制定本制度。
2、本制度所稱資訊科技外包服務,是指醫院以簽訂合同的方式,委託承擔資訊科技服務且非本醫院所屬的專業機構提供的資訊科技服務,主要包括資訊科技諮詢服務、執行維護服務、技術培訓及其它相關資訊化建設服務等。
3、安全管理是以安全為目的,進行有關安全工作的方針、決策、計劃、組織、指揮、協調、控制等職能,合理有效地使用人力、財力、物力、時間和資訊,為達到預定的安全防範而進行的各種活動的總和,稱為安全管理。
4、外包服務安全管理遵循關於安全的所有商業準則及適當的外部法律、法規。
第二節 外包服務範圍
5、外包服務包括資訊科技諮詢服務、執行維護服務、技術培訓等。
6、諮詢服務:
6.1根據醫院的資訊化建設總體部署,協助醫院制定切實可行的技術實施方案。
6.2 對醫院現有的資訊科技基礎架構、裝置執行狀態和應用情況進行診斷和評估,提出合理化的解決方案。
6.3 根據醫院的實際情況提出備份方案和應急方案。
6.4 其它資訊科技諮詢服務。
7、執行維護服務:
7.1 軟硬體裝置安裝、升級服務。
7.2硬體裝置的維修和保養。
7.3 根據醫院業務變化,提供應用系統功能性的需求解決方案及執行服務。
7.4系統定期巡檢和整體效能評估。
7.5 日常業務資料問題的處理服務。
7.6 其它執行維護服務。
8、技術培訓:根據醫院的實際情況,提供相關的技術培訓。
第三節 外包服務安全管理
9、外包服務安全管理應按照“安全第一、預防為主”的原則,採取科學有效的安全管理措施,應用確保資訊保安的技術手段,建立權責明確、覆蓋資訊化全過程的崗位責任制,對資訊化全過程實行嚴格監督和管理,確保資訊保安。
10、 成立由分管領導同志資訊化外包管理組織,明確資訊化管理的部門、人員及其職責。
11、建立資訊建設安全保密制度,與外包服務方簽訂安全保密協議或合同,明確符合安全管理及其它相關制度的要求。並對服務人員進行安全保密教育。
12、制定資訊化加工過程管理、資訊化成果驗收與交接、儲存介質管理等操作規程或規章制度。
13、外包服務方的人員素質、技術與管理水平能夠滿足擬承擔專案的要求,進行相應的安全資質管理。
14、資訊中心配備專人負責安全保密工作,負責日常資訊保安監督、檢查、指導工作。對服務方提供的服務進行安全性監督與評估,採取安全措施對訪問實施控制,出現問題應遵照合同規定及時處理和報告,確保其提供的服務符合醫院的內部控制要求。
15、對外包服務的業務應用系統執行的安全狀況應定期進行評估,當出現重大安全問題或隱患時應進行重新評估,提出改進意見,直至停止外包服務。
16、使用外包服務方裝置的,對其進行必要的安全檢查。
17、在重要安全區域,對外部服務方的每次訪問進行風險控制;必要時應外部服務方的訪問進行限制。
第四節 附則
18、本制度由資訊中心負責解釋。
19、本制度自發布之日起生效執行。
資訊保安管理制度2
一、計算機裝置管理制度
1、計算機的使用部門要保持清潔、安全、良好的計算機裝置工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機裝置安全的物品。
2、非本單位技術人員對我單位的裝置、系統等進行維修、維護時,必須由公司相關技術人員現場全程監督。計算機裝置送外維修,須經有關部門負責人批准。
3、嚴格遵守計算機裝置使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插拔計算機外部裝置介面,計算機出現故障時應及時向IT部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
(一)操作程式碼是進入各類應用系統進行業務操作、分級對資料存取進行控制的程式碼。操作程式碼分為系統管理程式碼和一般操作程式碼。程式碼的設定根據不同應用系統的要求及崗位職責而設定;
(二)系統管理操作程式碼的設定與管理
1、系統管理操作程式碼必須經過經營管理者授權取得;
2、系統管理員負責各項應用系統的環境生成、維護,負責一般操作程式碼的生成和維護,負責故障恢復等管理及維護;
3、系統管理員對業務系統進行資料整理、故障恢復等操作,必須有其上級授權;
4、系統管理員不得使用他人操作程式碼進行業務操作;
5、系統管理員調離崗位,上級管理員(或相關負責人)應及時登出其程式碼並生成新的系統管理員程式碼;
(三)一般操作程式碼的設定與管理
1、一般操作碼由系統管理員根據各類應用系統操作要求生成,應按每操作使用者一碼設定。
2、操作員不得使用他人程式碼進行業務操作。
3、操作員調離崗位,系統管理員應及時登出其程式碼並生成新的操作員程式碼。
三、密碼與許可權管理制度
1、密碼設定應具有安全性、保密性,不能使用簡單的程式碼和標記。密碼是保護系統和資料安全的控制程式碼,也是保護使用者自身權益的控制程式碼。密碼分設為使用者密碼和操作密碼,使用者密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設定不應是名字、生日,重複、順序、規律數字等容易猜測的數字和字串;
2、密碼應定期修改,間隔時間不得超過一個月,如發現或懷疑密碼遺失或洩漏應立即修改,並在相應登記簿記錄使用者名稱、修改時間、修改人等內容。
3、伺服器、路由器等重要裝置的超級使用者密碼由執行機構負責人指定專人(不參與系統開發和維護的人員)設定和管理,並由密碼設定人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字後交給密碼管理人員存檔並登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢後,須立即更改並封存,同時在“密碼管理登記簿”中登記。
4、系統維護使用者的密碼應至少由兩人共同設定、保管和使用。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替並對密碼立即修改或使用者刪除,同時在“密碼管理登記簿”中登記。
四、資料安全管理制度
1、存放備份資料的介質必須具有明確的標識。備份資料必須異地存放,並明確落實異地備份資料的管理職責;
2、注意計算機重要資訊資料和資料儲存介質的存放、運輸安全和保密管理,保證儲存介質的物理安全。
3、任何非應用性業務資料的使用及存放資料的裝置或介質的調撥、轉讓、廢棄或銷燬必須嚴格按照程式進行逐級審批,以保證備份資料安全完整。
4、資料恢復前,必須對原環境的資料進行備份,防止有用資料的丟失。資料恢復過程中要嚴格按照資料恢復手冊執行,出現問題時由技術部門進行現場技術支援。資料恢復後,必須進行驗證、確認,確保資料恢復的完整性和可用性。
5、資料清理前必須對資料進行備份,在確認備份正確後方可進行清理操作。歷次清理前的備份資料要根據備份策略進行定期儲存或永久儲存,並確保可以隨時使用。資料清理的實施應避開業務高峰期,避免對聯機業務執行造成影響。
6、需要長期儲存的資料,資料管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止儲存介質過期失效,透過有效的查詢、使用方法保證資料的完整性和可用性。轉存的資料必須有詳細的文件記錄。
7、非本單位技術人員對本公司的裝置、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機裝置送外維修,須經裝置管理機構負責人批准。送修前,需將裝置儲存介質內應用軟體和資料等涉經營管理的資訊備份後刪除,並進行登記。對修復的裝置,裝置維修人員應對裝置進行驗收、病毒檢測和登記。
8、管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除,並妥善處理廢棄無用的資料和介質,防止洩密。
9、執行維護部門需指定專人負責計算機病毒的防範工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
10、營業用計算機未經有關部門允許不準安裝其它軟體、不準使用來歷不明的載體(包括軟盤、光碟、行動硬碟等)。
五、機房管理制度
1、進入主機房至少應當有兩人在場,並登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
2.IT部門人員進入機房必須經領導許可,其他人員進入機房必須經IT部門領導許可,並有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時,經IT部門負責人批准同意後有關人員監督下進行。對操作內容進行記錄,由操作人和監督人簽字後備查。
3、保持機房整齊清潔,各種機器裝置按維護計劃定期進行保養,保持清潔光亮。
4、工作人員進入機房必須更換乾淨的工作服和拖鞋。
5、機房內嚴禁吸菸、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6、機房工作人員嚴禁違章操作,嚴禁私自將外來軟體帶入機房使用。
7、嚴禁在通電的情況下拆卸,移動計算機等裝置和部件。
8、定期檢查機房消防裝置器材。
9、機房內不準隨意丟棄儲蓄介質和有關業務保密資料資料,對廢棄儲蓄介質和業務保密資料要及時銷燬(碎紙),不得作為普通垃圾處理。嚴禁機房內的裝置、儲蓄介質、資料、工具等私自出借或帶出。
10、主機裝置主要包括:伺服器和業務操作用PC機等。在計算機機房中要保持恆溫、恆溼、電壓穩定,做好靜電防護和防塵等項工作,保證主機系統的平穩執行。伺服器等所在的主機要實行嚴格的門禁管理制度,及時發現和排除主機故障,根據業務應用要求及執行操作規範,確保業務系統的正常工作。
11、定期對空調系統執行的各項效能指標(如風量、溫升、溼度、潔淨度、溫度上升率等)進行測試,並做好記錄,透過實際測量各項引數發現問題及時解決,保證機房空調的正常執行。
12、計算機機房後備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
資訊保安管理制度3
學校校園網是為教學及學校管理而建立的計算機資訊網路,目的在於利用先進實用的計算機技術和網路通訊技術,實現校園內計算機互聯、資源共享,併為師生提供豐富的網上資源。為了保護校園網路系統的安全、促進學校計算機網路的應用和發展,保證校園網路的正常執行和網路使用者的使用權益,更好的為教育教學服務,特制定如下管理條例。
第一章總則
1、本管理制度所稱的校園網路系統,是指由校園網路裝置、配套的網路線纜設施、網路伺服器、工作站、學校辦公及教師教學用計算機等所構成的,為校園網路應用而服務的硬體、軟體的整合系統。
2、校園網路的安全管理,應當保障計算機網路裝置和配套設施的安全,保障資訊的安全和執行環境的安全,保障網路系統的正常執行,保障資訊系統的安全執行。
3、校園網路及資訊保安管理領導小組負責相應的網路安全和資訊保安工作,定期對相應的網路使用者進行有關資訊保安和網路安全教育並對上網資訊進行審查和監控。
4、所有上網使用者必須遵守國家有關法律、法規,嚴格執行安全保密制度,並對所提供的資訊負責。任何單位和個人不得利用聯網計算機從事危害校園網及本地區域網伺服器、工作站的活動。
5、進入校園網的全體學生、教職員工必須接受並配合國家有關部門及學校依法進行的監督檢查,必須接受學校校園網路及資訊保安管理領導小組進行的網路系統及資訊系統的安全檢查。
6、使用校園網的全體師生有義務向校園網路及資訊保安管理領導小組和有關部門報告違法行為和有害資訊。
第二章網路安全管理細則
1、網路管理中心機房及計算機網路教室要裝置調溫、調溼、穩壓、接地、防雷、防火、防盜等裝置,管理人員應每天檢查上述裝置是否正常,保證網路裝置的安全執行,要建立完整、規範的校園網裝置執行情況檔案及網路裝置賬目,認真做好各項資料(軟體)的記錄、分類和妥善儲存工作。
2、校園網由學校電教處統一管理及維護。連入校園網的各部門、處室、教室和個人使用者必須嚴格使用由電教處分配的IP地址,網路管理員對入網計算機和使用者進行及時、準確登記備案,由電教處負責對其進行監督和檢查。任何人不得更改IP及網路設定,不得盜用IP地址及使用者帳號。
3、與校園網相連的計算機使用者建設應當符合國家的有關標準和規定,校園內從事施工、建設,不得危害計算機網路系統的安全。
4、網路管理員負責全校網路及資訊的安全工作,建立網路事故報告並定期彙報,及時解決突發事件和問題。校園網各伺服器發生案件、以及遭到駭客攻擊後,電教處必須及時備案並向公安機關報告。
5、網路教室及相關設施未經校領導批准不準對社會開放。
6、校園網中對外發布資訊的Web伺服器中的內容必須經領導稽核,由負責人簽署意見後再由資訊員釋出。新聞公佈、公文釋出許可權要經過校領導的批准。
7、校園網各類伺服器中開設的帳戶和口令為個人使用者所擁有,電教部門對使用者口令保密,不得向任何單位和個人提供這些資訊。校園網及子網的系統軟體、應用軟體及資訊資料要實施保密措施。
8、電教部門統一在每臺計算機上安裝防病毒軟體,各部門、教研組、辦公室要切實做好防病毒措施,隨時注意防毒軟體是否開啟,及時線上升級防毒軟體,及時向電教部門報告陌生、可疑郵件和計算機非正常執行等情況。
9、未經電教部門及校園各子網網管的同意,不得將有關伺服器、工作站上的系統軟體、應用軟體轉錄、傳遞到校外。
10、切實保護校園網的裝置和線路,未經允許不準擅自改動計算機的連線線,不準開啟計算機主機的機箱,不準擅自移動計算機、線路裝置及附屬裝置,不準擅自把計算機裝置外借。
11、各處室部門和教研組備課組必須加強對計算機的上網行為和相關軟體應用的指導管理,指定專人負責管理,發現問題應及時報告電教處處理。
12、對校園網路實行管理員24小時巡查制度,雙休日、節假日,要有專人檢查網路及資訊保安執行情況。
13、伺服器系統及各類網路服務系統的系統日誌、網路執行日誌、使用者使用日誌等均應嚴格按照保留60天的要求設定,郵件伺服器系統嚴禁使用匿名轉發功能。
第三章網路使用者安全守則
1、使用校園網的全體師生必須對所提供的資訊負責。嚴禁制造和輸入計算機病毒,以及其他有害資料,危害計算機資訊系統的安全,不得利用計算機聯網從事危害家安全、洩露秘密等犯罪活動,不得製作、查閱、複製和傳播有礙社會治安,不得在校園網及其連網計算機上錄閱傳送有反政府政治問題和淫穢色情內容有傷風化的資訊。
2、除校園網負責人員外,其他單位或個人不得以任何方式試圖登陸進入校園網伺服器或計算機等裝置進行修改、設定、刪除等操作;任何單位和個人不得以任何藉口盜竊、破壞網路設施,這些行為被視為對校園網安全執行的破壞行為。
3、使用者要嚴格遵守校園網路管理規定和網路使用者行為規範,不隨意把戶頭借給他人使用,增強自我保護意識,經常更換口令,保護好戶頭和IP地址。嚴禁用各種手段破解他人口令、盜使用者頭和IP地址。
4、在校園網上的計算機網路使用者禁止刪除或解除安裝電教部門統一安裝的防毒軟體和其它應用軟體以及計算機的相關設定,不使用盜版軟體,不允許玩電子遊戲,不允許無關人員使用,也不允許進行與工作無關的操作。
5、使用校園網的全體師生髮現違法行為和有害的、不健康的資訊及時向校園網路及資訊保安管理領導小組報告。
6、需在校內交流和存檔的資料,按規定地址存放,不得存放在硬碟的C盤區,私人檔案不得儲存在工作電腦中,由此造成的檔案丟失損壞等後果自負。
7、嚴禁在校園網內使用來歷不明、引發病毒傳染的軟體或檔案;對於外來光碟、優盤、軟盤上的檔案應使用合格的防毒軟體進行查防毒。
8、專用的財務工作電腦和重要管理資料的電腦最好不要接入網路工作。
第四章處罰辦法
違反本制度規定,有下列行為之一者,學校可提出警告、停止其上網,情節嚴重者給予行政處分,或提交司法部門處理。
1、查閱、複製或傳播下列資訊者:
(1)煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;
(2)煽動抗拒、破壞憲法和國家法律、行政法規的實施;
(3)捏造或者歪曲事實,故意散佈謠言,擾亂社會秩序;
(4)公然侮辱他人或者捏造事實誹謗他人;
(5)宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2、破壞、盜用計算機網路中的資訊資源和進行危害計算機網路安全的活動。
3、盜用他人帳號或私自轉借、轉讓使用者帳號造成危害者。
4、故意製作、傳播計算機病毒等破壞性程式者。
5、上網資訊審查不嚴,造成嚴重後果者。
6、使用任何工具破壞網路正常執行或竊取他人資訊者。
7、有盜用IP地址、盜用帳號和口令、破解使用者口令等危及網路安全執行與管理的惡劣行徑者。
資訊保安管理制度4
為加強我委計算機資訊網路安全管理,確保資訊網路安全、高效、正常執行,根據《中華人民共和國計算機資訊系統安全保護條例》、《中華人民共和國計算機資訊網路國際聯網管理暫行規定》和柳保(20xx)9號《關於在全市開展保密計算機違規聯接網際網路監管工作的通知》和有關規定,制定本規定。
第一條全委幹部職工必須嚴格遵守國家保密法和計算機網路資訊保安管理法規及本規定。
第二條任何單位和個人不得利用本委計算機資訊網路從事危害國家安全、洩露國家秘密等非法活動,不得利用本委計算機資訊網路製作、查閱、複製和傳播妨礙社會治安和淫穢色情等有害資訊。
第三條涉密計算機資訊系統的研製、安裝和使用,必須符合保密要求,並採取有效的措施,配置合格的保密專用裝置,防洩密、防竊密。
第四條涉密計算機資訊系統必須與網際網路實行物理隔離,嚴禁用處理國家秘密資訊的計算機(包括行動式計算機)上網際網路。
第五條裝有國家秘密資訊的行動式計算機原則上只能在委機關內使用,確因工作需要攜帶外出,必須將涉密資訊全部轉出行動式儲存裝置存放在機關。
第六條上網際網路的計算機必須與處理涉密資訊的計算機嚴格區分,專機專用,不得既用於上網際網路又用於處理國家秘密資訊。
第七條計算機網路插頭和介面,必須標明字樣,嚴格區分,按規範安裝,其他人員不得擅自刪除或更改與網路系統有關的設定,嚴防由於誤操作造成洩密。
第八條涉密資訊和資料必須按照保密規定進行採集、儲存、處理、傳遞、使用和銷燬。使用計算機起草、儲存、處理、傳遞涉密檔案、材料,必須在涉密計算機上進行。
第九條建立上網資訊保密審查制度,堅持“誰上網誰負責'的原則,資訊上網必須經過嚴格審查和批准,確保國家秘密不上網,上網資訊不涉密。
第十條各科室,應當造冊登記,切實加強軟盤、磁帶、光碟、行動硬碟等資訊媒體管理。儲存有國家秘密資訊的資訊媒體,按所儲存資訊的最高密級標明密級,並按相應密級檔案的保密規定進行管理,不得降低密級使用。不再使用的資訊媒體應及時銷燬。
第十一條報廢、維修儲存過國家秘密資訊的計算機和資訊媒體,須交委辦公室按保密規定統一處理,保證所儲存的國家秘密資訊不被洩露。
第十二條做好計算機資訊系統資料備份。根據需要與存貯環境,重要資訊要定期(半年至二年)進行迴圈複製三份分處存放,並注意防止因靜電、電磁干擾等原因導致資訊丟失。
第十三條做好計算機日常維護工作,嚴格查毒防毒,發現病毒及時清除,確保資訊系統安全執行。
第十四條妥善保管和使用計算機ca認證系統金鑰,保守計算機資訊系統使用者口令秘密。金鑰被盜或遺失,應及時作廢,重新分配。
第十五條文印室計算機管理。文印室的計算機由打字員負責管理,任何人不得擅自使用文印室的計算機,如需用掃描器應自帶u盤在外網計算機上操作直接將檔案存入自帶盤中,嚴禁掃描、傳輸有密級的檔案。嚴禁外單位人員進入文印室。
第十六條本委計算機資訊網路安全工作由委資訊保安領導小組負責。委主要負責人擔任領導小組組長,成員由各科室負責人組成。領導小組職責是:
(一)根據國家有關計算機資訊網路安全的法規和政策,審定本委計算機資訊網路安全工作計劃和管理制度;
(二)指導和檢查本委計算機資訊網路安全工作;
(三)定期對計算機資訊系統的系統安全保密管理人員進行上崗前保密培訓,嚴格審查和考核。
(四)研究、解決本委計算機資訊網路安全重大問題。
第十七條委資訊保安領導小組下設辦公室,由委辦公室和相關人員組成,在領導小組領導下,負責本委計算機資訊網路安全管理的日常工作。
第十八條各科室負責人是本科室計算機資訊網路安全工作的第一責任人,對本科室資訊保安工作負責。
第十九條各科室切實加強對本科室的保密知識教育,提高工作人員資訊保安保密意識,自覺遵守保密紀律和有關保密規定,發現有違反規定的行為,立即糾正,發現國家秘密洩露或可能洩露情況時,應當立即報告委資訊保安領導小組。
第二十條違反本規定造成洩密的,將按有關法律和規定,追究當事人和責任人的責任,依法依紀進行處理。
第二十一條本規定自發布之日起執行。
資訊保安管理制度5
第一章 總 則
第一條 為加強郵政行業寄遞服務使用者個人資訊保安管理,保護使用者合法權益,維護郵政通訊與資訊保安,促進郵政行業健康發展,根據《中華人民共和國郵政法》、《全國人大常委會關於加強網路資訊保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定,制定本規定。
第二條 在中華人民共和國境內經營和使用寄遞服務涉及使用者個人資訊保安的活動以及相關監督管理工作,適用本規定。
第三條 本規定所稱寄遞服務使用者個人資訊(以下簡稱寄遞使用者資訊),是指使用者在使用寄遞服務過程中的個人資訊,包括寄(收)件人的姓名、地址、身份證件號碼、電話號碼、單位名稱,以及寄遞詳情單號、時間、物品明細等內容。
第四條 寄遞使用者資訊保安監督管理堅持安全第一、預防為主、綜合治理的方針,保障使用者個人資訊保安。
第五條 國務院郵政管理部門負責全國郵政行業寄遞使用者資訊保安監督管理工作。
省、自治區、直轄市郵政管理機構負責本行政區域內的郵政行業寄遞使用者資訊保安監督管理工作。
按照國務院規定設立的省級以下郵政管理機構負責本轄區的郵政行業寄遞使用者資訊保安監督管理工作。
國務院郵政管理部門和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構,統稱為郵政管理部門。
第六條 郵政管理部門應當與有關部門相互配合,健全寄遞使用者資訊保安保障機制,維護寄遞使用者資訊保安。
第七條 郵政企業、快遞企業及其從業人員應當遵守國家有關資訊保安管理的規定及本規定,防止寄遞使用者資訊洩露、丟失。
第二章 一般規定
第八條 郵政企業、快遞企業應當建立健全寄遞使用者資訊保安保障制度和措施,明確企業內部各部門、崗位的安全責任,加強寄遞使用者資訊保安管理和安全責任考核。
第九條 以加盟方式經營快遞業務企業應當在加盟協議中訂立寄遞使用者資訊保安保障條款,明確被加盟人與加盟人的安全責任。加盟人發生資訊保安事故時,被加盟人應當依法承擔相應安全管理責任。
第十條 郵政企業、快遞企業應當與其從業人員簽訂寄遞使用者資訊保密協議,明確保密義務和違約責任。
第十一條 郵政企業、快遞企業應當組織從業人員進行寄遞使用者資訊保安保護相關知識、技能培訓,加強職業道德教育,不斷提高從業人員的法制觀念和責任意識。
第十二條 郵政企業、快遞企業應當建立寄遞使用者資訊保安投訴處理機制,公佈有效聯絡方式,接受並及時處理有關投訴。
第十三條 郵政企業、快遞企業受網路購物、電視購物和郵購等經營者委託提供寄遞服務的,在與委託方簽訂協議時,應當訂立寄遞使用者資訊保安保障條款,明確資訊使用範圍和方式、資訊交換安全保護措施、資訊洩露責任劃分等內容。
第十四條 郵政企業、快遞企業委託第三方錄入寄遞使用者資訊的,應當確認其具有資訊保安保障能力,並訂立資訊保安保障條款,明確責任劃分。第三方發生資訊保安事故導致寄遞使用者資訊洩露、丟失的,郵政企業、快遞企業應當依法承擔相應責任。
第十五條 未經法律明確授權或者使用者書面同意,郵政企業、快遞企業及其從業人員不得將其掌握的寄遞使用者資訊提供給任何單位或者個人。
第十六條 公安機關、國家安全機關或者檢察機關的工作人員依照法律規定程式調閱、檢查寄遞詳情單實物及電子資訊檔案,郵政企業、快遞企業應當配合,並對有關情況予以保密。
第十七條 郵政企業、快遞企業應當建立寄遞使用者資訊保安應急處置機制。對於突發的寄遞使用者資訊保安事故,應當立即採取補救措施,按照規定報告郵政管理部門,並配合郵政管理部門和相關部門的調查處理工作,不得遲報、漏報、謊報、瞞報。
第三章 寄遞詳情單實物資訊保安管理
第十八條 郵政企業、快遞企業應當加強寄遞詳情單管理,對空白寄遞詳情單發放情況進行登記,對號段進行全程跟蹤,形成跟蹤記錄。
第十九條 郵政企業、快遞企業應當加強營業場所、處理場所管理,嚴禁無關人員進出郵件(快件)處理、存放場地,嚴禁無關人員接觸、翻閱郵件(快件),防止寄遞詳情單實物資訊(以下簡稱實物資訊)在處理過程中洩露。
第二十條 郵政企業、快遞企業應當最佳化寄遞處理流程,減少接觸實物資訊的處理環節和操作人員。
第二十一條 郵政企業、快遞企業應當採用有效技術手段,防止實物資訊在寄遞過程中洩露。
第二十二條 郵政企業、快遞企業應當配備符合國家標準的安全監控裝置,安排具有專門技術和技能的人員,對收寄、分揀、運輸、投遞等環節的實物資訊處理進行安全監控。
第二十三條 郵政企業、快遞企業應當建立健全寄遞詳情單實物檔案管理制度,實行集中封閉管理,確定集中存放地,及時回收寄遞詳情單妥善保管。設立、變更集中存放地,應當及時報告所在地郵政管理部門。
第二十四條 郵政企業、快遞企業應當對寄遞詳情單實物檔案集中存放地設專人管理,採取必要的安全防護措施,確保儲存安全。
第二十五條 郵政企業、快遞企業應當建立並嚴格執行寄遞詳情單實物檔案查詢管理制度。內部人員因工作需要查閱檔案時,應當確保檔案完整無損,並做好查閱登記,不得私自攜帶離開存放地。
第二十六條 寄遞詳情單實物檔案應當按照國家相關標準規定的期限儲存。儲存期滿後,由企業進行集中銷燬,做好銷燬記錄,嚴禁丟棄或者販賣。
第二十七條 郵政企業、快遞企業應當對實物資訊保安保障情況進行定期自查,記錄自查情況,及時消除自查中發現的資訊保安隱患。
第四章 寄遞詳情單電子資訊保安管理
第二十八條 郵政企業、快遞企業應當按照國家規定,加強寄遞服務使用者資訊相關資訊系統和網路設施的安全管理。
第二十九條 郵政企業、快遞企業資訊系統的網路架構應當符合國家資訊保安管理規定,合理劃分安全區域,實現各安全區域之間有效隔離,並具有防範、監控和阻斷來自內部和外部網路攻擊破壞的能力。
第三十條 郵政企業、快遞企業應當配備必要的防病毒軟體、硬體,確保資訊系統和網路具有防範計算機病毒的能力,防止惡意程式碼破壞資訊系統和網路,避免資訊洩露或者被篡改。
第三十一條 郵政企業、快遞企業構建資訊系統和網路,應當避免使用資訊系統和網路供應商提供的預設密碼、安全引數,並對透過開放公共網路傳輸的寄遞使用者資訊採取加密措施,嚴格審查並監控對資訊系統、網路裝置的遠端訪問。
第三十二條 郵政企業、快遞企業在採購計算機軟體、硬體產品或者技術服務時,應當與供應商簽訂保密協議,明確其安全責任,以及在發生資訊保安事件時配合郵政管理部門和相關部門調查的義務。
第三十三條 郵政企業、快遞企業應當建立資訊系統安全內部審計制度,定期開展內部審計,對發現的問題及時整改。
第三十四條 郵政企業、快遞企業應當加強資訊系統及網路的許可權管理,基於許可權最小化和許可權分離原則,向從業人員分配滿足工作需要的最小操作許可權和可訪問的最小資訊範圍。
郵政企業、快遞企業應當加強對資訊系統和資料庫的管理,使網路管理人員僅具有進行資訊系統、資料庫、網路執行維護和最佳化的許可權。網路管理人員的維護操作須經安全管理員授權,並受到安全審計員的監控和審計。
第三十五條 郵政企業、快遞企業應當加強資訊系統密碼管理,使用高安全級別密碼策略,定期更換密碼,禁止將密碼透露給無關人員。
第三十六條 郵政企業、快遞企業應當加強寄遞使用者電子資訊的儲存安全管理,包括:
(一)使用獨立物理區域儲存寄遞使用者資訊,禁止非授權人員進出該區域;
(二)採用加密方式儲存寄遞使用者資訊;
(三)確保安全使用、保管和處置存有寄遞使用者資訊的計算機、移動裝置和移動儲存介質。明確管理資料儲存裝置、介質的負責人,建立裝置、介質使用和借用登記制度,限制裝置輸出介面的使用。儲存裝置和介質報廢的,應當及時刪除其中的寄遞使用者資訊資料,並銷燬硬體。
第三十七條 郵政企業、快遞企業應當加強寄遞使用者資訊的應用安全管理,對所有批次匯出、複製、銷燬使用者個人資訊的操作進行審查,並採取防洩密措施,同時記錄進行操作的人員、時間、地點和事項,留作資訊保安審計依據。
第三十八條 郵政企業、快遞企業應當加強對離崗人員的資訊保安審計,及時刪除或者禁用離崗人員系統賬戶。
第三十九條 郵政企業、快遞企業應當制定本企業與市場相關主體的資訊系統安全互聯技術規則,對儲存寄遞服務資訊的資訊系統實行接入審查,定期進行安全風險評估。
第五章 監督管理
第四十條 郵政管理部門依法履行下列職責:
(一)制定保障寄遞使用者資訊保安的政策、制度和相關標準,並監督實施;
(二)監督、指導郵政企業、快遞企業落實資訊保安責任制,督促企業加強寄遞使用者資訊保安管理;
(三)對寄遞使用者資訊保安進行監測、預警和應急管理;
(四)監督、指導郵政企業、快遞企業開展寄遞使用者資訊保安宣傳教育和培訓;
(五)依法對郵政企業、快遞企業實施寄遞使用者資訊保安監督檢查;
(六)組織調查或者參與調查寄遞使用者資訊保安事故,依法查處違反寄遞使用者資訊保安管理規定的行為;
(七)法律、行政法規和規章規定的其他職責。
第四十一條 郵政管理部門應當加強郵政行業寄遞使用者資訊保安管理制度和知識的宣傳,強化郵政企業、快遞企業及其從業人員的資訊保安管理意識,提高使用者對個人資訊保安保護的認識。
第四十二條 郵政管理部門應當加強郵政行業寄遞使用者資訊保安執行的監測預警,建立資訊管理體系,收集、分析與資訊保安有關的各類資訊。
下級郵政管理部門應當及時向上一級郵政管理部門報告郵政行業寄遞使用者資訊保安情況,並根據需要通報工業和資訊化、通訊管理、公安、國家安全、商務和工商行政管理等相關部門。
第四十三條 郵政管理部門應當對郵政企業、快遞企業建立和執行寄遞使用者資訊保安管理制度,規範從業人員資訊保安保護行為,防範資訊保安風險等情況進行檢查。
第四十四條 郵政管理部門發現郵政企業、快遞企業存在違反寄遞使用者資訊保安管理規定,妨害或者可能妨害寄遞使用者資訊保安的,應當依法進行調查處理。違法行為涉及其他部門管理職權的,郵政管理部門應當會同有關部門對涉案郵政企業、快遞企業進行調查處理。
第四十五條 郵政管理部門應當加強對郵政企業、快遞企業及其從業人員遵守本規定情況的監督檢查。
第四十六條 郵政企業、快遞企業拒不配合寄遞使用者資訊保安監督檢查的,依照《中華人民共和國郵政法》第七十七條的規定予以處罰。
第四十七條 郵政企業、快遞企業及其從業人員因洩露寄遞使用者資訊對使用者造成損失的,應當依法予以賠償。
第四十八條 郵政企業、快遞企業及其從業人員違法提供寄遞使用者資訊,尚未構成犯罪的,依照《中華人民共和國郵政法》第七十六條的規定予以處罰。構成犯罪的,移送司法機關追究刑事責任。
第四十九條 任何單位和個人有權向郵政管理部門舉報違反本規定的行為。郵政管理部門接到舉報後,應當依法及時處理。
第五十條 郵政管理部門可以在行業內通報郵政企業、快遞企業違反寄遞使用者資訊保安管理規定行為、資訊保安事件,以及對有關責任人員進行處理的情況。必要時可以向社會公佈上述資訊,但涉及國家秘密、商業秘密和個人隱私的除外。
第五十一條 郵政管理部門及其工作人員對在履行職責過程中知悉的寄遞使用者資訊應當保密,不得洩露、篡改或者損毀,不得出售或者非法向他人提供。
第五十二條 郵政管理部門工作人員在寄遞使用者資訊保安監督管理工作中濫用、翫忽職守,依照《郵政行業安全監督管理辦法》第五十五條的規定予以處理。
第六章 附 則
第五十三條 本規定自發布之日起施行。
資訊保安管理制度6
為了規範網咖管理中對網咖人員的管理,於是網咖制定了網咖人員管理制度,而為了網咖資訊保安,所以網咖則制定了網咖資訊保安管理制度,以下則是相關網咖制定的網咖資訊保安管理制度的內容。
第一條應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,為上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網咖製作、下載、複製、查閱、釋出、傳播或者以其他方式使用含有下列內容的資訊:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)洩露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散佈謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第三條上網消費者不得進行下列危害資訊網路安全的活動:
(一)故意製作或者傳播計算機病毒以及其他破壞性程式的;
(二)非法侵入計算機資訊系統或者破壞計算機資訊系統功能、資料和應用程式的;
(三)進行法律、行政法規禁止的其他活動的。
第四條應當透過依法取得經營許可證的網際網路接入服務提供者接入網際網路,不得采取其他方式接入網際網路。
網咖內所有計算機必須透過區域網的方式接入網際網路,不得直接接入網際網路。
第五條上網消費者不得利用網路遊戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止並在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網路文化經營許可證》和營業執照。
第九條未成年人不得進入本網咖。在網咖入口處的顯著位置懸掛未成年人禁入標誌。
第十條每日營業時間限於10時至2時。
第十一條對上網消費者的身份證等有效證件進行核對、登記,並記錄有關上網資訊。登記內容和記錄備份儲存時間不得少於60日,並在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在儲存期內不得修改或者刪除。
第十二條依法履行資訊網路安全、治安和消防安全職責,並遵守下列規定:
(一)禁止明火照明和吸菸並懸掛禁止吸菸標誌;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
為了加強對網咖的管理,規範網咖的經營,維護公眾和網咖的合法權益,保障網咖活動健康發展,促進社會主義精神文明建設,根據《網際網路上網服務營業場所管理條例》制定了以上的網咖資訊保安管理制度。
資訊保安管理制度7
為加強公司各資訊系統管理,保證資訊系統安全,根據《中華人民共和國保守國家秘密法》和國家保密局《計算機資訊系統保密管理暫行規定》、國家保密局《計算機資訊系統國際聯網保密管理規定》,及上級資訊管理部門的相關規定和要求,結合公司實際,制定本制度。
本制度包括網路安全管理、資訊系統安全保密制度、資訊保安風險應急預案。
網路安全管理制度
第一條公司網路的安全管理,應當保障網路系統裝置和配套設施的安全,保障資訊的安全,保障執行環境的安全。
第二條任何單位和個人不得從事下列危害公司網路安全的活動:
1、任何單位或者個人利用公司網路從事危害公司計算機網路及資訊系統的安全。
2、對於公司網路主結點裝置、光纜、網線佈線設施,以任何理由破壞、挪用、改動。
3、未經允許,對資訊網路功能進行刪除、修改或增加。
4、未經允許,對計算機資訊網路中的共享檔案和儲存、處理或傳輸的資料和應用程式進行刪除、修改或增加。
5、故意製作、傳播計算機病毒等破壞性程式。
6、利用公司網路,訪問帶有“黃、賭、毒”、反動言論內容的網站。
7、向其它非本單位使用者透露公司網路登入使用者名稱和密碼。
8、其他危害資訊網路安全的行為。
第三條各單位資訊管理部門負責本單位網路的安全和資訊保安工作,對本單位單位所屬計算機網路的執行進行巡檢,發現問題及時上報資訊中心。
第四條連入公司網路的使用者必須在其本機上安裝防病毒軟體,一經發現個人計算機由感染病毒等原因影響到整體網路安全,資訊中心將立即停止該使用者使用公司網路,待其計算機系統安全之後方予開通。
第五條嚴禁利用公司網路私自對外提供網際網路絡接入服務,一經發現立即停止該使用者的使用權。
第六條對網路病毒或其他原因影響整體網路安全的子網,資訊中心對其提供指導,必要時可以中斷其與骨幹網的連線,待子網恢復正常後再恢復連線。
資訊系統安全保密制度
第一條、“資訊系統安全保密”是一項常抓不懈的工作,每名系統管理員都必須提高資訊保安保密意識,充分認識到資訊保安保密的重要性及必要性。對重要系統的系統崗位員工進行資訊系統安全保密培訓。
第二條、實行資訊釋出責任追究制度,所有資訊的釋出必須按規定辦理稽核、審籤手續,必須真實有效且符合中華人民共和國法規。涉及國家及公司機密的資訊系統必須與內部網和網際網路實施物理隔離,嚴格執行上網資訊的審查制度和涉及國家秘密的資訊不得在企業內網釋出的規定,杜絕洩密事件的發生。凡釋出虛假、反動、色情、洩密等內容,追究資訊報送和稽核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、資訊系統管理許可權從安全級別上分為絕密、機密、秘密;從適用物件上分為高階管理員、系統管理員、高階使用者、中級使用者、一般使用者、特殊使用者;從操作承載體上分為伺服器(包括系統伺服器、應用伺服器和控制伺服器)、工作終端、使用者終端;從設定內容上分為完全控制、許可權設定變更廢止、建立、刪除、新增、編輯、更新、執行、讀取、複製、其他操作等。
第四條、所有資訊系統的使用者和不同安全等級資訊之間必須存在授權關係,並在新建資訊系統開發建設階段形成方案並加以設計,在軟體系統中預留對應關係設定的功能,根據使用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對資訊系統的硬體配置調整、軟體引數修改嚴加控制。利用作業系統、資料庫系統、應用系統所提供的安全機制,設定相應的安全引數,保證系統訪問的安全;對於重要的計算機裝置,要利用軟體技術等手段防止員工擅自安裝、解除安裝軟體或改變軟體系統配置,並定期對以上情況進行檢查。
第六條、資訊系統如需要委託專業機構進行系統執行和維護管理時,應嚴格審查其資質條件、市場剩餘和信用狀況等,並且與其簽訂正式的服務合同和保密協議。
第七條、所有資訊系統伺服器、工作終端、使用者終端必須安裝安全防病毒軟體,對未安裝防病毒軟體的終端使用者有權拒絕為其提供網路接入服務。
第八條、利用防火牆、路由器、入侵檢測等網路裝置,加強網路安全,嚴密防範來自網際網路的駭客攻擊和非法侵入。
第九條、對於透過網際網路傳輸的涉密或關鍵業務資料,要採取必要的技術手段確保資訊傳遞的保密性、準確性、完整性。
第十條、對於停止執行的廢舊系統,應當做好系統中有價值及涉密資訊的銷燬、轉移等善後工作。
第十一條、系統管理人員要遵守資訊系統的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業務系統的訪問建立使用者管理制度,對於不同類別不同級別的各類管理及使用人員採取密碼分級管理,設定密碼有效期限,對密碼儲存採用非明文二次加密技術防止各類密碼洩露事故的發生。
資訊保安風險應急預案
一、總則
為加強公司資訊保安風險源的預防管理,提高應急防範能力,保障網路系統、資訊系統及資訊機房的整體安全,促進公司安全生產穩步健康發展,制定本預案。
二、編制目的
依據《中華人民共和國計算機資訊系統安全保護條例》、《中華人民共和國計算機資訊網路國際聯網安全保護管理辦法》等有關法規檔案精神。確保公司資訊網路系統安全執行,為公司整體安全形勢穩步發展提供保障。
三、適用範圍
本預案適用於各單位資訊保安突發風險應急管理。
四、主要風險源
1、火災
2、意外斷電
3、重要資料丟失
4、網路系統大面積癱瘓
五、風險源辨識及評估
各單位應組織員工對風險源進行全面、系統的辨識和風險評估,並確保:危險源辨識前要進行相關知識的培訓;辨識範圍覆蓋本單位的所有活動及區域;對危險源辨識和風險評估資料進行統計、分析、整理、歸檔;
5.1、火災辨識及評估
5.1.1火災辨識
(1)自然災害引起的火災
(2)強電線路短路引起的火災
(3)雜物堆積引起的火災
(4)溫度過高引起的火災。
(5)老鼠咬線引起的火災。
5.1.2火災風險評估
機房發生火災可能導致工作人員人身受到傷害;資訊網路裝置受到損壞;網路系統大面積癱瘓;國家、集體財產受到損失。
5.2、意外斷電辨識及評估
5.2.1意外斷電辨識
(1)自然災害引起的意外斷電。
(2)短路跳閘引起的意外斷電。
5.2.2意外斷電風險評估
1、意外斷電可能導致機房核心交換機、防火牆、匯聚交換機、資料庫伺服器、軟體伺服器、恆溫裝置等重要裝置損壞或資料丟失;
2、意外斷電可能導致煙霧報警系統、溫度報警和斷市電系統無法正常工作而帶來的間接財產損失。
5.3、重要資料丟失辨識及評估
5.3.1重要資料丟失辨識
(1)意外斷電引起的資料丟失。
(2)伺服器故障引起的資料丟失。
(3)資料庫損壞引起的資料丟失。
5.3.2重要資料丟失風險評估
1、安全軟體系統資料丟失可能導致安全生產監控類系統資料無法正常採集於傳輸,影響到礦井安全生產的正常進行。
2、資料庫系統資料丟失可能導致經營管理類系統無法正常使用,影響公司相關部門經營管理工作和日常辦公無法正常進行。
5.4、網路系統大面積癱瘓
5.4.1 網路系統大面積癱瘓辨識
(1)意外斷電引起的核心交換機、防火牆損壞或故障導致網路系統大面積癱瘓。
(2)通訊線路中斷引起的網路系統大面積癱瘓
(3)伺服器損壞或故障引起的大面積無法登入網際網路。
5.4.2 網路系統大面積癱瘓風險評估
1、網路系統大面積癱瘓可能導致公司與生產礦井之間的資訊傳輸中斷,管理部門失去對礦井生產的安全監管,安全生產無法正常進行。
2、網路系統大面積癱瘓可能導致公司日常辦公無法正常進行。
5.5、高空作業辨識及評估
5.5.1高空作業辨識
(1)日常高空維修可能造成人身傷害。
(2)工程高空施工可能造成人身傷害。
5.5.2高空作業風險評估
日常高空維修網路裝置、打掃衛生和高空施工可能造成工作人員人身傷害和精神傷害,影響公司安全生產穩步發展。
六、安全風險應急預案及措施
根據各單位存在的主要風險源和風險評估,保障安全生產工作有序進行,制定本預案及措施。
6.1火災應急預案及處置措施
6.1.1應急預案
(1)發生特大火災時(包括機房、UPS、庫房),值班人員應立即逃離火災範圍,啟動對應的火災應急預案和響應級別,拉響警報,向公司總排程室、本單位負責人、單位安監部門彙報,在確保人身安全的情況下,組織人員利用滅火器進行滅火;
如果火勢過大,人員無法靠近時,應立即撥打火警119,求助消防部門進行滅火。
(2)發生重大火災時(包括機房區域性、UPS控制器、庫房區域性),值班人員應立即逃離火災範圍,啟動對應的火災應急預案,拉響警報,向公司排程室和本單位安監部門彙報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,力爭將財產損失降到最低。
(3)發生較大火災時(包括消防通道、辦公室)值班人員應啟動對應的火災應急預案,向公司總排程室及本單位安監部門彙報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免或降低財產損失。
6.1.2處置措施
(1)火災發生時,值班和工作人員應立即脫離火災範圍,確保人身安全。
(2)根據火災大小確定火災風險等級,並啟動相應的響應等級。
(3)根據火災風險等級向公司總排程室及本單位安監部門彙報火災情況。
(4)火勢過大無法控制時,應立即撥打火警119進行求助。
(5)在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免火災擴大,降低財產損失。
(6)盡最大可能蒐集火災發生的相關資訊,做好記錄,為事故處理提供依據。
(7)每月針對火災誘發根源進行徹底檢查(如易燃物品不能堆放、庫房物品分類並整齊擺放等),預防火災的發生。
6.2、意外斷電應急預案及處置措施
6.2.1應急預案
發生自然災害和短路引起的意外斷電時,值班人員在確保人身安全的情況下,根據風險等級啟動相應的響應等級,向本單位安監部門進行彙報,邀請電力維修人員進行斷電故障排查,並組織技術人員對機房核心交換機、防火牆、匯聚交換機、資料庫伺服器、資料備份伺服器、軟體伺服器、軟體系統、煙霧報警、UPS溫度監控、機房溫度監控系統進行隱患排查,發現裝置故障和資料丟失,應當進行及時處理和上報。
6.2.2處置措施
(1)發生意外斷電時,在確保人身安全的情況下,值班人員應啟動相應的響應等級。
(2)向本單位安監部門進行彙報。
(3)必須請專業電力維修人員進行故障排查與維修。
(4)蒐集意外斷電發生的資訊並作好記錄,為事故處理提供依據。
6.3、重要資料丟失應急預案及處置措施
6.3.1應急預案
(1)因意外斷電引起重要資料丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總排程室和安監部門進行彙報,邀請專業電力維修人員進行故障排查,恢復供電正常,排查機房裝置及資料情況,發現裝置故障和資料丟失,立即組織相關技術人員進行恢復。
(2)因伺服器故障引起資料丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總排程室和案件部門進行彙報,並組織技術人員進行伺服器維修和資料恢復,如果伺服器和資料無法維修和恢復時,應向本單位負責人彙報並外請專業人員進行維修,確保裝置和資料安全。
(3)因資料庫無法啟動引起的資料丟失,值班人員應根據風險等級啟動相應的響應等級,向公司總排程室和案件部門進行彙報,並組織技術人員進行資料恢復,如果資料無法恢復,應向本單位負責人彙報並外請專業人員進行資料恢復,確保設資料安全。
6.3.2處置措施
(1)發生資料丟失時,值班人員應根據風險等級啟動相應相應等級。
(2)值班人員向本單位安監部門彙報。
(3)組織技術人員對資料進行恢復。
(4)本單位技術人員無法恢復丟失資料時,應向本單位負責人彙報並外請專業人員進行資料恢復,確保資料安全。
(5)做好資料丟失與恢復過程的記錄。
6.4、高空作業應急預案及處置措施
6.4.1應急預案
(1)在高空維修過程中發生人員墜落風險時,如果墜落人員處於清醒狀態,應立即撥打120送往醫院進行急救;
如果墜落人員處於昏迷狀態,其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,並向公司總排程室、本單位負責人及安監部門彙報。
(2)在高空施工過程中發生人員墜落風險時,如果墜落人員處於清醒狀態,應立即撥打120送往醫院進行急救;
如果墜落人員處於昏迷狀態,其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,並向公司總排程室、本單位負責人及安監部門彙報。
6.4.2處置措施
(1)日常高空維修必須在確保人身安全的情況下進行,否則不能進行維修作業。
(2)在日常工作中設計到高空維修,維修人員一定要2人或2人以上進行維修。否則,維修人員可以拒絕維修工作。
(2)高空維修人員必須佩帶安全繩索,並採用安全梯子進行高空作業。否則,不能進行高空維修作業。
(3)事故發生後要對事故的經過進行詳細記錄,為事故處理提供依據。
資訊保安管理制度8
目錄
資訊保安管理制度...................................................................................................... 2
第一項計算機管理制度............................................................................................ 4
第二項機房管理制度................................................................................................ 5
第三項網路安全管理制度........................................................................................ 8
第四項計算機病毒防治管理制度..........................................................................10
第五項密碼安全保密制度......................................................................................12
第六項病毒檢測和網路安全漏洞檢測制度..........................................................13
第七項違法使用網路..............................................................................................14
第八項網路資源管理..............................................................................................15
資訊保安管理制度
為維護公司資訊保安,保證公司網路環境的穩定,特制定本制度。
第一條資訊保安是指透過各種計算機、網路(內部資訊平臺)和密碼技術,保護資訊在傳輸、交換和儲存過程中的機密性、完整性和真實性。具體包括以下幾個方面。
1、資訊處理和傳輸系統的安全。系統管理員應對處理資訊的系統進行詳細的安全檢查和定期維護,避免因為系統崩潰和損壞而對系統記憶體儲、處理和傳輸的資訊造成破壞和損失。
2、資訊內容的安全。側重於保護資訊的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測,採取技術措施對所發現的漏洞進行補救,防止竊取、冒充資訊等。
3、資訊傳播安全。要加強對資訊的審查,防止和控制非法、有害的資訊透過本公司的資訊網路(內部資訊平臺)系統傳播,避免對公司利益、公共利益以及個人利益造成損害。
第二條資訊的內部管理
1、各部門在向網路(內部資訊平臺)系統提交資訊前要作好查毒、防毒工作,確保資訊檔案無毒上載;
2、根據情況,採取網路(內部資訊平臺)病毒監測、查毒、防毒等技術措施,提高網路(內部資訊平臺)的整體搞病毒能力;
3、各資訊應用部門對本部門所負責的資訊必須作好備份;
4、各部門應對本部門的資訊進行審查,網站各欄目資訊的負責部門必須對釋出資訊制定審查制度,對資訊來源的合法性,釋出範圍,資訊欄目維護的負責人等作出明確的規定。資訊釋出後還要隨時檢查資訊的完整性、合法性;如發現被刪改,應及時向資訊保安部門報告;
5、涉密檔案不可放置個人計算機中,非涉密電子郵件的收發也要實行病毒查殺。
第四條資訊加密
1、涉及公司秘密的資訊,其電子文件資料應當在涉密介質中加密單獨儲存;
2、涉及公司和部門利益的敏感資訊的電子文件資料應當在涉密介質中加密單獨儲存;
第五條任何部門和個人不得從事以下活動:
1、利用資訊網路系統製作、傳播、複製有害資訊;
2、入侵他人計算機;
3、未經允許使用他人在資訊網路系統中未公開的資訊;
4、未經授權對網路(內部資訊平臺)系統中儲存、處理或傳輸的資訊(包括系統檔案和應用程式)進行增加、修改、複製和刪除等;
5、未經授權查閱他人郵件;
6、盜用他人名義傳送電子郵件;
7、故意干擾網路(內部資訊平臺)的暢通執行;
8、從事其他危害資訊網路(內部資訊平臺)系統安全的活動。
第六條本制度自發布之日起施行,凡與本制度有衝突的均以本制度為準。
第一項計算機管理制度
為保證計算機的正常執行,確保計算機安全執行,制定本制度。
一、管理範圍劃分
本公司計算機分為涉密和非涉密兩部分,涉密計算機指主要用於儲存或傳輸有關人事、財務、經濟執行、資訊保安等涉及企業經營管理資訊的計算機。非涉密計算機指用於儲存或傳輸日常辦公資料資訊計算機。資訊科技部、關務部、財務部計算機按照涉密要求進行管理。
二、非涉密計算機日常管理
1、各部門的計算機,操作人為管理第一責任人,承擔公司計算機操作的管理、保密和安全,以防止誤操作造成系統紊亂、檔案丟失等故障。
2、計算機主要是用於業務資料的處理及資訊傳輸,提高工作效率。嚴禁上班時間用計算機玩遊戲及執行一切與工作無關的軟體。
3、新購的計算機、初次使用的軟體、資料載體應經我部計算機管理員檢測,確認無病毒和有害資料後,方可投入使用。
4、計算機操作人員發現本部門的計算機感染病毒,應立即中斷執行,並與計算機管理員聯絡及時消除。
5、愛護機關計算機裝置,保持計算機裝置的乾淨整潔。
三、涉密計算機日常管理
1、涉密的計算機內的重要檔案由專人集中加密儲存,不得隨意複製和解密,未經加密的重要檔案不能存放在與國際聯網的計算機上。
2、對需要儲存的涉密資訊,可到資訊保安科轉存到光碟或其他可移動的介質上。儲存涉密資訊的介質應當按照所儲存資訊的最高密級標明密級,並按相應密級的檔案管理。
3、對資訊載體(軟盤、光碟等)及計算機處理的業務報表、技術資料、圖紙要有專人負責儲存,按規定使用、借閱、移交、銷燬。
四、其他
對違反以上規定的行為視情節輕重,由公司行政部進行處罰,並追究有關人員的責任。
資訊保安管理制度9
第一章總則
第一條為加強資訊管理,加快資訊化建設步伐,提高資訊資源的運作成就,結合本班組具體情況,特制訂本制度。
第二條本管理制度中關於資訊的定義:
(1)行政資訊:公司系統內部目的為行政傳達的一切文字資料、電子郵件、檔案、傳真。具體資訊管理表現為上傳下達、平級傳送的行文管理、資料管理、檔案管理。歸屬於日常行政管理。
(2)市場資訊:與公司發生業務關係的客服檔案、來往傳真、電話、客戶檔案;公司業務應用的電話記錄、報價、合同、方案設計、投標書等原始資料、電子資料、檔案、報告等。具體資訊管理表現為客戶溝通、文字記錄、資料蒐集分析、業務檔案編寫等。歸屬於業務經營管理。
第三條資訊管理工作必須在加強宏觀控制和微觀執行的基礎上。嚴格執行保密記錄,以提高班組效益和管理效益,服務於班組總體的經營管理為宗旨。
第四條資訊管理工作要貫徹“提高效益就是增加企業效益”的方針,細緻到位,準確快速,在經營管理中的降低資訊傳達的失誤、失真、延遲,有力輔助細緻管理和經營決策的執行。
第二章資訊管理機構與相關人員
第五條設立資訊機構,負責相關行政資訊的日常管理,資訊管理根據業務工作需要,配備必要的電腦技術人員、文員。
第六條設資訊專員,主要負責市場資訊的系統化、專業化管理。
第七條各級領導必須切實保障資訊管理人員依照本辦法行使職權和履行職責。
第八條資訊管理人員在工作中。必須堅持原則,照章辦事。對於違反保密制度和其他行政制度的事項,要及時向上級領導報告,接受指示後執行具體處理。
第九條班組支援資訊管理人員堅持原則,按資訊制度辦事,嚴禁任何人對敢於堅持原則的資訊管理人員進行打擊報復,公司對敢於堅持原則的資訊管理人員予以表揚或獎勵。
第十條資訊管理人員力求穩定,不隨便調動。調動工作或因故離職,必須與接替人員辦理交接手續,沒有辦理交接手續的,不得離職,亦不得中斷有關工作。
第三章行政資訊管理
第十一條按照行政資訊的定義,行政資訊主要產生、傳遞、應用於公司行政活動中。
第十二條行政資訊管理按下列規定進行:
(1)檔案收發規定;
(2)檔案、檔案、資料的管理規定;
(3)資訊管理中心管理規定;
(4)集團公司印章、介紹信管理規定;
(5)集團公司值班管理制度;
(6)保密制度。
第四章市場資訊管理
第十三條依照市場資訊的定義,市場資訊主要產生、傳達、應用在市場業務經營管理中。
第十四條市場資訊來源分類:業務資訊、非業務市場資訊。
(1)業務資訊:與班組發生業務關係的客戶的電話、傳真、函件、電子郵件;班組、客戶之間業務溝通電話、傳真、函件、電子郵件。
(2)非業務市場資訊:網路、報刊、雜誌和各種資訊渠道收集的行業性文章、資料;競爭對手資料、檔案、報告;公開的技術性資料;外圍媒體、機構傳送的集團公司的電子郵件、函件、資料;公司內部業務分析檔案、報告;其他與市場業務經營和管理有關的資料。
第十五條資訊專員在各級行政負責人的指揮下、主要負責以下非業務資訊工作:
(1)負責日常列印、影印等文字檔案電腦處理工作和負責電腦、傳真機、影印機等裝置的使用、管理和維護;
(2)負責公司非市場事物的管理、日常資訊交流;
(3)接收、整理、呈報、傳送非直接業務單位的資訊檔案資料;
(4)各種與行政管理有關的資訊資料工作;
(5)上級交辦的其他工作。
第五章其他
第十六條資訊人員必須認識到,沒有脫離具體行政活動、業務活動而獨立的資訊工作,所以資訊管理的最終目的,檢驗資訊管理工作的成效標準,是業務工作、行政工作的效果和執行效率。
第十七條本資訊管理辦法由生技部負責執行。
資訊保安管理制度10
1、成立資訊保安工作領導小組,並由單位主要領導擔任組長,由網路管理人員及公文接收人員等擔任組員,全面負責本單位網路安全工作。
2、學校所有使用者必須遵守國家、地方的有關法規,嚴格執行安全保密制度,並對所提供的資訊負責。單位網路管理人員和公文接收人員必須在資訊保安領導小組的領導下,嚴格監控本單位上網資訊,隨時對本單位網路系統及資訊系統進行安全檢查。
3、學校所有使用者不得利用計算機網路從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機網路及資訊系統的安全。單位文印室、財務室電腦加強安全管理,以免造成涉密資訊洩露。
4、學校所有使用者嚴禁在網路上釋出虛假、淫穢、xxx等資訊,不得使用網路進入未經授權使用的計算機,單位辦公用計算機必須嚴格管理,制訂管理制度,落實管理人員,未經管理人員允許不得以虛假身份使用網路資源。
5、加強對校園網新聞,資訊上報、論壇言論的安全管理。對上網、上報、外傳資訊要堅持單位主要領導審查,嚴格把關,落實防範措施,明確責任制,本著“誰主管,誰負責”的原則,凡涉及國家及學校秘密的資訊嚴禁上網。
6、學校所有使用者必須對提供的資訊負責,不得利用網路從事危害國家安全、洩露國家機密等犯罪活動,不得製作、查閱、複製和傳播有礙社會治安和不健康的、有封建迷信、色情等內容的資訊。
7、嚴禁制造和輸入計算機病毒以及其他有害資料危害計算機資訊系統的安全。 不允許進行任何干擾網路使用者、破壞網路服務和破壞網路裝置的活動。
8、一經發現校園網或區域網內有違法犯罪行為和有害的、不健康的資訊,必須立即上報資訊保安領導小組,不得隱瞞。
資訊保安管理制度11
校園網資訊釋出實行統一管理、分層負責制。網路中心對學校主頁資訊進行管理,各處室的主要負責人負責對本部門的上網資源和計算機系統進行管理。
一、網管中心負責全校的網路資訊和保密工作,定期對網路使用者進行有關保密和網路安全教育。
二、對外資訊釋出。各處室可以申請網路域名和ftp站點(見附件7),自行管理各部門網站資訊釋出。需要在學校首頁上釋出的資訊,需要填寫“網上資訊釋出申請表”,審查後交由網管中心上網釋出。(網上資訊釋出申請表見附件8)
三、資訊的閱覽與查詢。不得查閱、複製和傳播有礙社會治安和傷風敗俗的資訊。校園網工作人員和使用者如在網路上發現有礙社會治安和不健康的資訊,有義務及時上報網路管理人員,做好備份並自覺銷燬。
四、違反本條例規定,有下列行為之一者,校網路中心可提出警告直至停止其使用網路,情節嚴重者,提交學校行政部門或有關部門處理。
1.查閱、複製或傳播下列資訊者:.煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實、故意散佈謠言,擾亂社會秩序公然侮辱他人或者捏造事實誹謗他人宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2.破壞、盜用計算機網路中的資訊資源和危害計算機網路安全活動。
3.盜用他人帳號者。
4.私自轉借、轉讓使用者帳號造成危害者。
5.故意製作、傳播計算機病毒等破壞性程式者。
6.不按國家和學院有關規定擅自接納網路使用者者。
7.網路中心,屬我校園網路重地,未經許可不得進入。
資訊保安管理制度12
一、一般規定
1、未經網管批准,任何人不得改變網路(內部資訊平臺)拓撲結構、網路(內部資訊平臺)裝置佈置、伺服器、路由器配置和網路(內部資訊平臺)引數。
2、任何人不得進入未經許可的計算機系統更改系統資訊和使用者資料。
3、機關區域網上任何人不得利用計算機技術侵佔使用者合法利益,不得製作、複製和傳播妨害單位穩定的有關資訊。
4、各部門應定期對本科室計算機系統和相關業務資料進行備份以防發生故障時進行恢復。
二、帳號管理
1、網路(內部資訊平臺)帳號採用分組管理。並詳細登記:使用者姓名、部門名稱、口令,存取許可權,開通時間,網路(內部資訊平臺)資源分配情況等。
2、網路(內部資訊平臺)管理員為使用者設定明碼口令,使用者可以根據自己的保密情況進行修改口令,使用者應對工作站設定開機密碼和屏保密碼。
3、使用者帳號下的資料屬於使用者私有資料,當事人具有存入許可權,管理員具有管理和備份存取許可權。
4、網路(內部資訊平臺)管理員根據有關帳號管理規則對使用者帳號執行管理,並對使用者帳號及資料的安全和保密負責。
5、網路(內部資訊平臺)管理員必須嚴守職業道德和職業紀律,不得將任何使用者的密碼、帳號等保密資訊等資料的洩露出去。
三、網路管理員職責
1、協助制定網路(內部資訊平臺)建設方案,確定網路(內部資訊平臺)安全及資源共享策略。
2、負責公用網路(內部資訊平臺)實體,如伺服器、交換機、集線器、防火牆、網線、接外掛等的維護和管理。
3、負責伺服器和系統軟體的安裝、維護、調整及更新。
4、負責網路(內部資訊平臺)賬號管理,資源分配,資料安全和系統安全。
5、監視網路(內部資訊平臺)執行,調整引數,排程資源,保持網路(內部資訊平臺)安全、穩定、暢通。
6、負責系統備份和網路(內部資訊平臺)資料備份,負責各部門電子資料資料的整理和歸檔。
7、保管網路(內部資訊平臺)拓撲圖接線表,裝置規格及配置單,管理記錄,執行記錄,檢修記錄等網路(內部資訊平臺)資料。
8、每年對本單位網路(內部資訊平臺)的效能和各電腦效能進行評價,提出網路(內部資訊平臺)結構、技術和網路、管理的改進措施。
四、安全管理職責
1、保障網路(內部資訊平臺)暢通和資訊保安。
2、嚴格遵守公司、省、市制定的相關法律、行政法規,嚴格執行《網路安全工作制度》,以人為本,依法管理,確保網路(內部資訊平臺)安全有序。
3、在發生網路(內部資訊平臺)重大突發事件時,應立即報告,採取應急措施,儘快恢復網路(內部資訊平臺)正常執行。
4、充分利用現有的安全裝置設施、軟體,最大限度地防止計算機病毒入侵和駭客攻擊。
5、加強資訊審查工作,儲存,備份至少90天之內網路資訊日誌,及時加以分析,排查不安定因素,防止黃色,反動資訊的傳播。
6、經常檢查網路(內部資訊平臺)工作環境的防火、防盜工作。五、電腦操作人員培訓制度
五、病毒的防治管理制度
1、任何人不得在機關的區域網上製造傳播任何計算機病毒,不得故意引入病毒。網路(內部資訊平臺)使用者發現病毒應立即向網路管理員報告。網路管理員及時指導和協助處理病毒。
2、各部門應定期查毒,(週期為一週或者10天)管理員應及時升級病毒庫,並提示各部門對防毒軟體進行線上升級。
資訊保安管理制度13
第一章 總則
第一條 為加強公司計算機和資訊系統(包括涉密資訊系統和非涉密資訊系統)
安全保密管理,確保國家秘密及商業秘密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密資訊系統是指由計算機及其相關的配套裝置、設施構成的,按照一定的應用目標和規定儲存、處理、傳輸涉密資訊的系統或網路,包括機房、網路裝置、軟體、網路線路、使用者終端等內容。
第三條 涉密資訊系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密資訊系統和國家秘密資訊保安。
第四條 涉密資訊系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司檔案要求進行設計、實施、測評審查與審批和驗收;未透過國家審批的涉密資訊系統,不得投入使用。
第五條 本規定適用於公司所有計算機和資訊系統安全保密管理工作。
第二章 管理機構與職責
第六條 公司法人代表是涉密資訊系統安全保密第一責任人,確保涉密資訊系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條 公司保密委員會是涉密資訊系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防範措施,並監督檢查落實情況;
(二)協調處理有關涉密資訊系統安全保密管理的重大問題,對重大失洩密事件進行查處。
第八條 成立公司涉密資訊系統安全保密領導小組,保密辦、科技資訊部(資訊化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密資訊系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密資訊系統安全保密管理制度,並組織落實各項保密防範措施;
(二)對系統使用者和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密資訊系統使用者的職責和許可權,並備案;
(三)組織對涉密資訊系統進行安全保密監督檢查和風險評估,提出涉密資訊系統安全執行的保密要求;
(四)會同科技資訊部對涉密資訊系統中介質、裝置、設施的授權使用的審查,建立涉密資訊系統安全評估制度,每年對涉密資訊系統安全措施進行一次評審;
(五)對涉密資訊系統設計、施工和整合單位進行資質審查,對進入涉密資訊系統的安全保密產品進行准入審查和規範管理,對涉密資訊系統進行安全保密效能檢測;
(六)對涉密資訊系統中各應用系統進行定密、變更密級和解密工作進行稽核;
(七)組織查處涉密資訊系統失洩密事件。
第十條
科技資訊部、財會部主要職責是:
(一)組織、實施涉密資訊系統的'規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密資訊系統安全保密策略、執行安全控制、安全驗證等安全技術措施;每半年對涉密資訊系統進行風險評估,提出整改措施,經涉密資訊系統安全保密領導
小組批准後組織實施,確保安全技術措施有效、可靠;
(三)落實涉密資訊系統中各應用系統進行使用者許可權設定及介質、裝置、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密資訊系統管理員、安全保密管理員和安全審計員,並制定相應的職責; “三員”角色不得兼任,許可權設定相互獨立、相互制約;“三員”應透過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防範措施及網路的安全管理,負責日常業務資料及其他重要資料的備份管理;
(六)配合保密辦對涉密資訊系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案並組織演練,落實應急措施,處理資訊保安突發事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密資訊系統中普密裝置的管理措施。
第十二條 相關業務部門、單位主要職責:涉密資訊系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密資訊系統各項安全防範措施;準確確定應用系統密級,制定並落實相應的二級保密管理制度。
第十三條 涉密資訊系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬體裝置的執行、管理與維護工作,確保資訊系統的安全、穩定、連續執行。系統管理員包括網路管理員、資料庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術裝置、策略實施和管理工作,包括使用者帳號管理以及安全保密裝置和系統所產生日誌的審查分析。
(三)安全審計員負責安全審計裝置安裝除錯,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,並每月向涉密資訊系統安全保密領導小組辦公室彙報一次情況。
第三章 系統建設管理
第十四條 規劃和建設涉密資訊系統時,按照涉密資訊系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密資訊系統規劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機資訊系統整合資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批後方可實施。
第十六條 涉密資訊系統規劃和建設實施時,應由具有“涉及國家秘密的計算機資訊系統整合資質”的機構實施或自行實施,並與實施方簽署保密協議,專案竣工後必須由保密辦和科技資訊部共同組織驗收。
第十七條 對涉密資訊系統要採取與密級相適應的保密措施,配備透過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密資訊系統使用的軟體產品必須是正版軟體。
第四章 資訊管理
第一節 資訊分類與控制
第十八條 涉密資訊系統的密級,按系統中所處理資訊的最高密級設定,嚴禁處理高於涉密資訊系統密級的涉密資訊。
第十九條 涉密資訊系統中產生、儲存、處理、傳輸、歸檔和輸出的檔案、資料、圖紙等資訊及其儲存介質應按要求及時定密、標密,並按涉密檔案進行管理。電子檔案密級標識應與資訊主體不可分離,密級標識不得篡改。涉密資訊系統中的涉密資訊總量每半年進行一次分類統計、彙總,並在保密辦備案。
第二十條 涉密資訊系統應建立安全保密策略,並採取有效措施,防止涉密資訊被非授權訪問、篡改,刪除和丟失;防止高密級資訊流向低密級計算機。涉密資訊遠端傳輸必須採取密碼保護措施。
第二十一條 向涉密資訊系統以外的單位傳遞涉密資訊,一般只提供紙質檔案,確需提供涉密電子文件的,按資訊交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、伺服器等網路裝置、儲存介質中的涉密資訊時,必須使用符合保密標準、要求的工具或軟體。
第二節 使用者管理與授權
第二十三條 根據本部門、單位使用涉密資訊系統的密級和實際工作需要,確定人員知悉範圍,以此作為使用者授權的依據。
第二十四條 使用者清單管理
(一)科技資訊部管理“研究試驗堆燃料元件數字化資訊系統”和“中核集團涉密廣域網”使用者清單;財會部管理“財務會計核算網”使用者清單;
(二)新增使用者時,由使用者本人提出書面申請,經本部門、單位稽核,科技資訊部、保密辦審批後,由科技資訊部備案並統一建立使用者;“財務會計核算網”的使用者由財會部統一建立;
(三)刪除使用者時,由使用者本人所在部門、單位書面通知科技資訊部,核准後由安全保密管理員即時將使用者在涉密資訊系統內的所有帳號、許可權廢止;“財務會計核算網”密辦稽核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際網際網路計算機實行專人負責、專機上網管理,嚴禁儲存、處理、傳遞涉密資訊和內部敏感資訊。接入網際網路的計算機須建立使用登記制度。
第六十五條 上網資訊實行“誰上網誰負責”的保密管理原則,資訊上網必須經過嚴格審查和批准,堅決做到“涉密不上網,上網不涉密”。對上網資訊進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網路新聞組、部落格等上釋出、談論、傳遞、轉發或抄送國家秘密資訊。
第六十七條 從國際網際網路或其它公眾資訊網下載程式和軟體工具等轉入涉密系統,經科技資訊部審批後,按照資訊交換及中間轉換機管理規定執行。
第九章 行動式計算機管理
第六十八條 行動式計算機(包括涉密行動式計算機和非涉密行動式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密行動式計算機根據工作需要確定密級,貼上密級標識,按照涉密裝置進行管理,保密辦備案後方可使用。
第七十條 行動式計算機應具備防病毒、防非法外聯和身份認證(設定開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密行動式計算機上國際網際網路和非涉密網路;嚴禁涉密行動式計算機與涉密資訊系統互聯。
第七十二條 涉密行動式計算機不得處理絕密級資訊。未經保密辦審批,嚴禁在涉密行動式計算機中儲存涉密資訊。處理、儲存涉密資訊應在涉密移動儲存介質上進行,並與涉密行動式計算機分離保管。
第七十三條 禁止使用私有行動式計算機處理辦公資訊;嚴禁非涉密行動式計算機儲存、處理涉密資訊;嚴禁將涉密儲存介質接入非涉密行動式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密行動式計算機和涉密儲存介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密行動式計算機須經保密辦檢查後方可帶出公司,返回時須進行技術檢查。
第七十五條 因工作需要外單位攜帶行動式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條 為有效預防和處置涉密資訊系統安全突發事件,及時控制和消除涉密資訊系統安全突發事件的危害和影響,保障涉密資訊系統的安全穩定執行,科技資訊部和財會部應分別制定相應應急響應預案,經公司涉密資訊系統安全保密領導小組審批後實施。
第七十七條 應急響應預案用於涉密資訊系統安全突發事件。突發事件分為系統執行安全事件和洩密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障資料安全和裝置安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網路裝置和伺服器裝置,斷開資訊系統與攻擊來源的網路物理連線,跟蹤並鎖定攻擊來源的IP地址或其它網路使用者資訊,修復被破壞的資訊,恢復資訊系統。按照事件發生的性質分別採用以下方案:1、病毒傳播:及時尋找並斷開傳播源,判斷病毒的型別、性質、可能的危害範圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的埠,尋找並公佈病毒攻擊資訊,以及防毒、防禦方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的埠,限制入侵的IP地址的訪問。對於已經造成危害的,應立即採用斷開網路連線的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等資訊,同時斷開對應的交換機埠,針對入侵方法調整或更新入侵檢測裝置。對於無法制止的多點入侵和造成損害的,應及時關閉被入侵的伺服器或相應裝置;
4、網路故障:判斷故障發生點和故障原因,能夠迅速解決的儘快排除故障,並優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時諮詢,上報公司資訊保安領導小組。
第七十八條 按照資訊保安突發事件的性質、影響範圍和造成的損失,將涉密資訊系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技資訊部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技資訊部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司資訊保安領導小組報告並提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告並提請協調處置;
(四)特別重大事件由公司報請中核集團公司對資訊保安突發事件進行處置。
第七十九條 發生突發事件(如涉密資料被竊取或資訊系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技資訊部和保密辦;
(二)關閉系統以防止造成資料損失;
(三)切斷網路,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果並書面確認安全後,系統方能重新執行;
(九)對事件型別、響應、影響範圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技資訊部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通訊、協調、指揮等是否快速、高效,並對其效果進行評估,以使使用者明確自己的角色和責任。應急響應相關知識、技術、技能應納入資訊保安保密培訓內容,並記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少於1次的全員資訊保安保密知識技能教育與培訓,並記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,並將其保管的涉密裝置、儲存介質全部清退並辦理移交手續。
第八十三條 承擔涉密資訊系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應對涉密資訊系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,並接受國家和上級單位的指導和監督。涉密資訊系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和資訊系統的保密檢查工具和涉密資訊系統所使用的安全保密、漏洞檢查(取證)軟體等,應覆蓋保密檢查的專案,並透過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及資訊系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失洩密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機資訊系統保密管理規定》[制度編號:(20xx)廠1911號]、《涉密計算機採購、維修、變更、報廢保密管理規定》[制度編號:(20xx)廠1925號]、《國際網際網路資訊釋出保密管理規定》[制度編號:(20xx)廠1926號]、《涉密資訊系統資訊保密管理規定》[制度通告:(20xx)0934號]、《涉密資訊系統安全保密管理規定》[制度通告:(20xx)0935號]同時廢止。
資訊保安管理制度14
一、計算機安全管理
1、醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統。嚴禁暴力使用計算機或蓄意破壞計算機軟硬體。
2、未經許可,不得擅自拆裝計算機硬體系統,若須拆裝,則通知資訊科技術人員進行。
3、計算機的軟體安裝和解除安裝工作必須由資訊科技術人員進行。
4、計算機的使用必須由其合法授權者使用,未經授權不得使用。
5、醫院計算機僅限於醫院內部工作使用,原則上不許接入網際網路。因工作需要接入網際網路的,需書面向醫務科提出申請,經簽字批准後交資訊科負責接入。接入網際網路的計算機必須安裝正版的反病毒軟體。並保證反病毒軟體實時升級。
6、醫院任何科室如發現或懷疑有計算機病毒侵入,應立即斷開網路,同時通知資訊科技術人員負責處理。資訊科應採取措施清除,並向主管院領導報告備案。
7、醫院計算機內不得安裝遊戲、即時通訊等與工作無關的軟體,儘量不在院內計算機上使用來歷不明的移動儲存工具。
二、網路使用人員行為規範
1、不得在醫院網路中製作、複製、查閱和傳播國家法律、法規所禁止的資訊。
2、不得在醫院網路中進行國家相關法律法規所禁止的活動。
3、未經允許,不得擅自修改計算機中與網路有關的設定。
4、未經允許,不得私自新增、刪除與醫院網路有關的軟體。
5、未經允許,不得進入醫院網路或者使用醫院網路資源。
6、未經允許,不得對醫院網路功能進行刪除、修改或者增加。
7、未經允許,不得對醫院網路中儲存、處理或者傳輸的資料和應用程式進行刪除、修改或者增加。
8、不得故意製作、傳播計算機病毒等破壞性程式。
9、不得進行其他危害醫院網路安全及正常執行的活動。
三、 網路硬體的管理網路硬體包括伺服器、路由器、交換機、通訊線路、不間斷供電裝置、機櫃、配線架、資訊點模組等提供網路服務的設施及裝置。
1、各職能部門、各科室應妥善保管安置在本部門的網路裝置、設施及通訊。
2、不得破壞網路裝置、設施及通訊線路。由於事故原因造成的網路連線中斷的,應根據其情節輕重予以處罰或賠償。
3、未經允許,不得中斷網路裝置及設施的供電線路。因生產原因必須停電的,應提前通知網路管理人員。
4、不得擅自挪動、轉移、增加、安裝、拆卸網路設施及裝置。特殊情況應提前通知網路管理人員,在得到允許後方可實施。
四、軟體及資訊保安
1、計算機及外設所配軟體及驅動程式交網路管理人員保管,以便統一維護和管理。
2、管理系統軟體由網路管理人員按使用範圍進行安裝,其他任何人不得安裝、複製、傳播此類軟體。
3、網路資源及網路資訊的使用許可權由網路管理人員按醫院的有關規定予以分配,任何人不得擅自超越許可權使用網路資源及網路資訊。
4、網路的使用人員應妥善保管各自的密碼及身份認證檔案,不得將密碼及身份認證檔案交與他人使用。
5、任何人不得將含有醫院資訊的計算機或各種儲存介質交與無關人員。更不得利用醫院資料資訊獲取不正當利益。
資訊保安管理制度15
(1)嚴格執行檢驗操作規程,認真負責,杜絕弄虛作假,出現問題追究責任,並按經濟責任制相關內容處理。
(2)化驗資料要求實事求是,準確無誤,杜絕虛報謊報,要對檢驗報告結果、資料及結論負責,檢驗報告要加蓋化驗專用章及化驗員章後,及時上報各部室。
(3)負責對原輔料、成品、半成品的化驗及檢驗工作。取樣及時,要按取樣原則取樣,要有代表性,及時向有關部門及有關領導報送檢驗報告單。
(4)嚴格遵守儀器使用記錄,掌握本崗位所用計量器具校驗週期,及時和主管溝通,保證計量器具的準確性和可靠性。
(5)對工作失誤造成損失負全部責任,對以上四項標準規定中所出現問題負全面責任,對本崗位安全操作負全責。
(6)遵守和執行公司制定的規章制度。
(7)有提合理化建議並享有權利,有拒絕將不合格檢驗報告單開成合格檢驗報告單的權利,有維護自身合法利益的權利。
2.實驗員交接班制度
(1)化驗人本班取樣,爭取本班化驗完畢,如因特殊原因本班不能完成,在交接班時,應交待清楚,並在交接班記錄中說明,同時應在檢驗原始記錄中已做完專案後簽字。
(2)在交接班時,應在所用各種玻璃儀器及化驗、檢驗裝置完好情況進行交接,玻璃儀器破損,不潔淨、數量不符不接,檢驗裝置損壞不接。當以上問題被確認後說明原因方可交接,並在交接班記錄中說明,雙方簽字,交接中發現問題,化驗負責人以書面形式上報至主管領導。
(3)本班取樣未做,需下班化驗,應在交接班記錄中說明原因,並口頭交待清楚。
(4)下班化驗員因特殊原因而未按時接班,上班人員不得下班,導致空崗。
(5)交接班時,應認真填寫交接班記錄,主要內容有本班檢驗專案情況,儀器完好情況、試藥剩餘情況及本班所存在問題。
3.實驗室衛生管理制度
(1)化驗室取樣工具應清潔,無汙染,防止原輔料、半成品及成品在取樣過程中受到汙染,取樣工具應定期進行滅菌、消毒處理。
(2)化驗員所穿白大褂應定期洗滌,特別是無菌服,要隨時保持清潔,並定期滅菌,絕不可將無菌副穿出無菌室外。
(3)無菌室應定時消毒滅菌,保證無菌室是衛生級別,化驗室每班隨時清掃,不留死角,保證整潔。
(4)玻璃儀器應保持清潔,保證待用狀態,檢測儀器更應物見本色,不可有試藥痕跡、藥品痕跡等出現。
(5)化驗室各室操作檯,地面不得有試紙、濾紙、試藥滴、散落樣品等雜物出現。
4.化學藥品使用保管制度
(1)化學試劑必須保持標籤完整。
(2)一般藥品可按元素週期分類或按氧化物、酸、鹼、鹽分類存放於陰涼通風處,理想溫度在30℃以下。
(3)有些藥品要低溫存放,以免發生事故,如石油醚、乙醚等。存放溫度要求在20℃以下。
(4)貴重的試劑和一般藥品分開,妥善保管。
(5)易燃、易爆的藥品要遠離火源。
(6)劇毒藥品必須有兩人以上保管,並有專櫃儲存,使用時做好記錄。
(7)使用危險藥品一定要注意安全。
(8)領用化學藥品必須填寫“化學品領用登記表。
5.安全管理規定
(1)實驗人員進入化驗室,應穿著實驗服、鞋、帽。
(2)嚴格遵守勞動紀律、堅守崗位、精心操作。
(3)實驗人員必須學習安全防護及事故處理知識。
(4)實驗人員必須熟悉化驗儀器裝置的效能和使用方法,並按要求進行實驗操作。
(5)凡進行有危險性的實驗,工作人員應先檢查防護措施,確認防護妥當後,才可開始進行實驗。在實驗進行中,實驗人員不得擅自離開,實驗完成後應立即做好清理善後工作,以防事故發生。
(6)凡有毒或有刺激性氣體發生的實驗,應在通風櫃內進行,並要求加強個人防護。實驗中不得把頭部伸進通風櫃內。
(7)酸、鹼類等腐蝕性物質,不得放置在高處或實驗試劑架的頂層。開啟腐蝕性和刺激性物品的瓶子時,應佩帶護目鏡;並禁止用裸手直接拿取上述物品。
(8)不使用無標籤(或標誌)容器盛放的試劑、試樣。
(9)實驗中產生的廢液、廢渣和其他廢物,應集中處理,不得任意排放。酸、鹼或有毒物品濺落時,應及時清理、除毒。
(10)嚴格遵守安全用電規程。不使用絕緣損壞或絕緣不良的電器裝置。不準擅自拆修電器。
(11)實驗完畢,實驗人員必須洗手後方可進食。並不得把食物、食具帶進化驗室。化驗室內禁止吸菸。
(12)化驗室內應配備足夠的消防器材,實驗人員必須熟悉其使用方法,並掌握有關的滅火知識和技能。
(13)實驗結束,人員離室前應檢查水、電、燃氣和門窗,以確保安全。
(14)禁止無關人員進入化驗室。
6.資訊保安管理規定
(1)對接觸的公司商業秘密要採取恰當的安全措施對涉秘檔案必須妥善保管。
(2)不得將檢化驗結果透露給無關人員。
(3)在化驗單的傳遞過程中保證親自交到接收的相關人員手中,不得隨意委託他人代交。
(4)不得在公共場合談論公司的機密。
(5)發現洩密及時報告,採取相應的補救措施,避免或減輕對公司(單位)的損害。
(6)客戶問及公司(單位)的秘密時,應予以婉言謝絕。