企業資訊保安管理制度
企業資訊保安管理制度
下面是CN人才網小編給大家整理的關於企業資訊保安管理制度,歡迎閱讀參考。
企業資訊保安管理制度1
一、計算機裝置管理制度
1. 計算機的使用部門要保持清潔、安全、良好的計算機裝置工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機裝置安全的物品。
2. 非本單位技術人員對我單位的裝置、系統等進行維修、維護時,必須由本單位相關技術人員現場全程監督。計算機裝置送外維修,須經有關部門負責人批准。
3. 嚴格遵守計算機裝置使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部裝置介面,計算機出現故障時應及時向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
(一). 操作程式碼是進入各類應用系統進行業務操作、分級對資料存取進行控制的程式碼。操作程式碼分為系統管理程式碼和一般操作程式碼。程式碼的設定根據不同應用系統的要求及崗位職責而設定;
(二).系統管理操作程式碼的設定與管理
1、系統管理操作程式碼必須經過經營管理者授權取得;
2、系統管理員負責各項應用系統的環境生成、維護,負責一般操作程式碼的生成和維護,負責故障恢復等管理及維護;
3、系統管理員對業務系統進行資料整理、故障恢復等操作,必須有其上級授權;
4、系統管理員不得使用他人操作程式碼進行業務操作;
5、系統管理員調離崗位,上級管理員(或相關負責人)應及時登出其程式碼並生成新的系統管理員程式碼;
(三).一般操作程式碼的設定與管理
1、一般操作碼由系統管理員根據各類應用系統操作要求生成,應按每操作使用者一碼設定。
2、操作員不得使用他人程式碼進行業務操作。
3、操作員調離崗位,系統管理員應及時登出其程式碼並生成新的操作員程式碼。
三、密碼與許可權管理制度
1. 密碼設定應具有安全性、保密性,不能使用簡單的程式碼和標記。密碼是保護系統和資料安全的控制程式碼,也是保護使用者自身權益的控制程式碼。密碼分設為使用者密碼和操作密碼,使用者密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設定不應是名字、生日,重複、順序、規律數字等容易猜測的數字和字串;
2.密碼應定期修改,間隔時間不得超過一個月,如發現或懷疑密碼遺失或洩漏應立即修改,並在相應登記簿記錄使用者名稱、修改時間、修改人等內容。
3.伺服器、路由器等重要裝置的超級使用者密碼由執行機構負責人指定專人(不參與系統開發和維護的人員)設定和管理,並由密碼設定人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字後交給密碼管理人員存檔並登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢後,須立即更改並封存,同時在“密碼管理登記簿”中登記。
4.系統維護使用者的密碼應至少由兩人共同設定、保管和使用。
5.有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替並對密碼立即修改或使用者刪除,同時在“密碼管理登記簿”中登記。
四、資料安全管理制度
1. 存放備份資料的介質必須具有明確的標識。備份資料必須異地存放,並明確落實異地備份資料的管理職責;
2. 注意計算機重要資訊資料和資料儲存介質的存放、運輸安全和保密管理,保證儲存介質的物理安全。
3. 任何非應用性業務資料的使用及存放資料的裝置或介質的`調撥、轉讓、廢棄或銷燬必須嚴格按照程式進行逐級審批,以保證備份資料安全完整。
4.資料恢復前,必須對原環境的資料進行備份,防止有用資料的丟失。資料恢復過程中要嚴格按照資料恢復手冊執行,出現問題時由技術部門進行現場技術支援。資料恢復後,必須進行驗證、確認,確保資料恢復的完整性和可用性。
5.資料清理前必須對資料進行備份,在確認備份正確後方可進行清理操作。歷次清理前的備份資料要根據備份策略進行定期儲存或永久儲存,並確保可以隨時使用。資料清理的實施應避開業務高峰期,避免對聯機業務執行造成影響。
6.需要長期儲存的資料,資料管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止儲存介質過期失效,透過有效的查詢、使用方法保證資料的完整性和可用性。轉存的資料必須有詳細的文件記錄。
7.非本單位技術人員對本公司的裝置、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機裝置送外維修,須經裝置管理機構負責人批准。送修前,需將裝置儲存介質內應用軟體和資料等涉經營管理的資訊備份後刪除,並進行登記。對修復的裝置,裝置維修人員應對裝置進行驗收、病毒檢測和登記。
8.管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除,並妥善處理廢棄無用的資料和介質,防止洩密。
9.執行維護部門需指定專人負責計算機病毒的防範工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
10. 營業用計算機未經有關部門允許不準安裝其它軟體、不準使用來歷不明的載體(包括軟盤、光碟、行動硬碟等)。
五、機房管理制度
1.進入主機房至少應當有兩人在場,並登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
2.IT部門人員進入機房必須經領導許可,其他人員進入機房必須經IT部門領導許可,並有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時,經IT部門負責人批准同意後有關人員監督下進行。對操作內容進行記錄,由操作人和監督人簽字後備查。
3.保持機房整齊清潔,各種機器裝置按維護計劃定期進行保養,保持清潔光亮。
4.工作人員進入機房必須更換乾淨的工作服和拖鞋。
5.機房內嚴禁吸菸、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6.機房工作人員嚴禁違章操作,嚴禁私自將外來軟體帶入機房使用。
7.嚴禁在通電的情況下拆卸,移動計算機等裝置和部件。
8.定期檢查機房消防裝置器材。
9.機房內不準隨意丟棄儲蓄介質和有關業務保密資料資料,對廢棄儲蓄介質和業務保密資料要及時銷燬(碎紙),不得作為普通垃圾處理。嚴禁機房內的裝置、儲蓄介質、資料、工具等私自出借或帶出。
10.主機裝置主要包括:伺服器和業務操作用PC機等。在計算機機房中要保持恆溫、恆溼、電壓穩定,做好靜電防護和防塵等項工作,保證主機系統的平穩執行。伺服器等所在的主機要實行嚴格的門禁管理制度,及時發現和排除主機故障,根據業務應用要求及執行操作規範,確保業務系統的正常工作。
11.定期對空調系統執行的各項效能指標(如風量、溫升、溼度、潔淨度、溫度上升率等)進行測試,並做好記錄,透過實際測量各項引數發現問題及時解決,保證機房空調的正常執行。
12.計算機機房後備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
企業資訊保安管理制度2
第一條 根據xx集團公司下達的xx集科[xxx]83號檔案《xx集團公司多媒體廣域網路系統管理辦法及資訊科技規範的通知》的要求。制定網路安全管理制度,適合在大同發電有限公司內的管理資訊網路中使用。
第二條 安全管理制度須從以下幾個方面進行規範:物理層、網路層、平臺安全,物理層包括環境安全和裝置安全、網路層安全包含網路邊界安全、平臺安全包括系統層安全和應用層安全。
機房安全管理
第三條 大同發電公司網路機房是網路系統的核心,除網路資訊處管理人員外,其他人不經允許不得入內,網路資訊處的管理人員不準在主機房內會客或帶無關人員進入。未經許可,不得動用機房內設施
第四條 機房工作人員進入機房必須遵守相關工作制度和條例,不得從事與本職工作無關的事宜,每天下班前須檢查裝置電源情況,在確保安全的情況下,方可離開。
第五條 為防止磁化記錄的破壞,機房內不準使用磁化杯、收音機等產生磁場的物體。
第六條 機房工作人員要嚴格按照裝置操作規程進行操作,保證裝置處於良好的執行狀態。
第七條 機房溫度要保持溫度在18±5攝氏度,相對溼度在50%±5%。
第八條 做好機房和裝置的衛生清掃工作,定期對裝置進行除塵,保證機房和裝置衛生、整潔。
第九條 機房裝置必須符合防雷、防靜電規定的措施,每年進行一次全面檢查處理,計算機及輔助裝置的電源須是接地的電源。
第十條 工作人員必須遵守勞動紀律,堅守崗位,認真履行機房值班制度,做好防火、防水、防盜等工作。
第十一條 機房電源不可以隨意斷開,對重要裝置必須提供雙套電源。並配備UPS淨化電源供電。公司辦公樓如長時間停電須通知資訊主管部門,制定相應的技術措施,並指明電源恢復時間。
裝置安全管理
第十二條 網路系統的主裝置是連續執行的,網路資訊處每天必須安排專職值班人員。
第十三條 負責監視、檢查網路系統執行裝置及其附屬裝置(如電源、空調等)的工作狀況,發現問題及時向網路資訊處領導報告,遇有緊急情況,須立即採取措施進行妥善處理。
第十四條 負責填寫系統執行日誌、操作日誌,並將當日發生的重大事件填寫在相關的記錄本上。負責對必要的資料進行備份操作。
第十五條 負責保持機房的衛生及對溫度、溼度的調整,負責監視並制止違章操作及無關人員的操作。
第十六條 不準帶電拔插計算機及各種裝置的訊號連線。不準帶電拔插計算機及各種裝置。不準隨意移動各種網路裝置,確需移動的要經網路資訊處領導同意。
第十七條 在維護與檢修計算機及裝置時,開啟機箱外殼前須先關閉電源並釋放掉自身所帶靜電(可摸一下暖氣管或接地線)。
網路層安全
第十八條 公司網路與資訊系統中,在網路邊界和對外出口處必須配置網路防火牆。
第十九條 未實施網路安全管理措施的計算機裝置禁止與internet相連。
第二十條 任何接入網路區域中的網路安全裝置,必須使用經過國家有關安全部門認證的網路安全產品。
第二十一條 在計算機聯入企業資訊網路之後,禁止一其他任何方式(如撥號上網、ISDN、ADSL等)與internet相連。
第二十二條 對於公司企業內部網路應當根據應用功能不同的要求,必須進行網路分段管理,以防止透過區域網“包廣播”方式惡意收集網路的資訊。
系統安全管理
第二十三條 禁止下載網際網路上任何未經確認其安全性的軟體,嚴禁使用盜版軟體及遊戲軟體。
第二十四條 密碼管理:密碼的編碼必須採用儘可能長並不易猜測的字串,不能透過電子郵件等明文方式傳送傳輸,密碼必須定期更新。
第二十五條 登陸策略:僅給經過授權的使用者暴露賬號,不得設定多人共用的賬號,連續登陸三次失敗,須暫時禁止此賬號並通知該賬號使用者。
第二十六條 普通系統使用者:未經相關部門許可,禁止與其他人員共享賬號和密碼;禁止執行網路監聽工具或其他駭客工具;禁止查閱別人的檔案。
第二十七條 系統管理員:不得隨意在系統中增加賬號,隨意修改許可權,未經管理部門的許可,嚴禁委託他人行使管理員權利。
第二十八條 外來軟盤或光碟須在沒聯網的單機上檢查病毒,確認無毒後方可上網使用。私自使用造成病毒侵害要追究當事人責任。
第二十九條 網路系統的所有軟體均不準私自複製出來贈送其它單位或個人,違者將嚴肅處理。
系統應用安全管理
第三十條 實行專人負責檢測病毒,定期進行檢查,配備相應的實時病毒檢測工具。
第三十一 條 嚴禁隨意使用軟盤和隨身碟等儲存介質,如工作需要,須經過病毒檢測方可使用。
第三十二條 嚴禁以任何途徑和媒體傳播計算機病毒,對於傳播和感染計算機病毒者,視情節輕重,給予適當的處分。製造病毒或修改病毒程式製成者,要給予嚴肅處理。
第三十三條 發現病毒,應及時對感染病毒的裝置進行隔離,情況嚴重時報相關部門並及時妥善處理。
第三十四條 實時進行防病毒監控,做好防病毒軟體和病毒程式碼的智慧升級。
第三十五條 應當注意保護網路資料資訊的安全,對於儲存在資料庫中的關鍵資料,以及關鍵的應用系統應作資料備份,資料備份應當滿足《xx電力大同發電公司資料備份管理制度》的要求。
附則
第三十六條 本辦法從公佈之日起實施。 本辦法由總經部網路資訊處負責解釋