计算机安全工作管理办法

1、计算机安全工作管理办法计算机安全管理办法为加强辽东实业集团计算机系统安全工作，保障计算 机信息系统安全，制定本办法。本规定适用于辽东实业集 团及其分支机构。辽东实业集团计算机安全工作的指导方针是：“预防为 主，安全第一，严格管理，杜绝隐患”。辽东实业集团计算 机安全工作实行统一领导、分级管理原则。一、组织机构及其职责辽东实业集团办公室为计算机安全工作管理部门，设兼职计算机安全管理员，负责组织指导和监督检查各单位、 各部门有关计算机安全规定和制度的执行情况。主要职责 是：负责计算机安全管理的日常工作；组织计算机安全检 查，研究分析计算机安全现状和问题，提出安全分析报告 和安全防范建议；组织计算机

2、安全知识的培训和宣传工作, 贯彻落实保密制度，监督检查计算机保密工作，及时提岀 计算机保密工作存在的问题及解决办法。二、安全管理基本准则（一）计算机安全工作制度体系的重点是规范内部人 员行为和健全内部制约机制，要根据不断变化的情况，及 时对计算机安全制度进行补充和完善，逐步形成完整的、科学的计算机安全工作制度体系。（二）要害岗位人员管理规定1. 基于信息系统网络管理任务的强化以及安全的动态特性，要求计算机信息系统加强对要害岗位人员在安全方 面的管理，实行责权分配。2. 要害岗位人员是指与重要计算机信息系统直接相关 的系统管理员、业务岗位操作员等岗位人员。3. 要害岗位人员上岗前必须进行审查和业

3、务技能考核, 并进行必要的安全教育和培训，合格者方能上岗。4要害岗位人员上岗必须实行“权限分散，不得交叉覆盖”的原则。系统管理人员和软件维护人员不得兼任业 务操作员，系统管理人员不得兼任柜面及事后稽核工作。5要害岗位人员离开岗位，必须严格办理离岗手续， 承诺其离岗后的保密义务。涉及集团业务保密信息的要害 岗位人员调离单位，必须进行离岗审计，在规定的脱密期 后方可调离。6要害岗位人员离岗后，必须即刻更换操作密码或注销用户。7要害岗位人员必须严格遵守保密法规和有关计算机 安全管理规定，承担相应岗位安全责任。8. 系统安全员的职责是对整个所辖范围的信息系统安全问题负责，在安全方面，系统管理员、操作员

4、要服从系 统安全员的指导、监督。9. 系统管理员的安全职责是对所辖范围的计算机系统 问题负责，接受信息系统安全员的指导和监督，参与计算 机系统安全策略、计划和事件处理程序的制定，参与计算 机安全建设和运营方案的制定，负责系统的运行管理、实 施系统安全细则，严格用户权限管理，记录系统安全事项, 对进行系统操作的其他人员予以安全监督。10系统维护人员的安全职责是负责系统维护，及时解 除系统故障，不得擅自改变系统功能，不得安装与系统无 关的其它程序，发现漏洞及时报告系统安全员。11.操作人员的安全职责是接受系统安全员的指导和监 督，及时向系统管理员报告系统各种异常事件，严格执行 系统操作规程和运行安

5、全管理制度。（三）计算机机房安全管理规定1. 计算机机房、场地与设施应满足相应的安全等级要 求，并进行分级安全管理。2机房安全建设和改造方案应通过上级安全管理机构 的安全审批和验收。3机房主管部门应建立健全严格的机房管理制度，并4发生机房重大事件或案件，机房主管部门应立即向有关单位报告，并保护现场。（四）网络安全管理规定1. 重要网络设备应放在主机房内，其他人员不得对网 络设备进行任何操作。2. 与其他业务相关机构的网络连接，应采取必要的技 术隔离保卫措施，对联网使用的用户，必须采取一人一帐 户的访问控制。3. 内部网络的所有计算机设备，不得直接与国际互联 网相联接，必须实行物理隔离。4凡要求

6、接入国际互联网的计算机，须由使用部门提 出申请，报集团办公会审批、备案。5使用国际互联网的部门应自觉接受集团办公室的监（五）运行安全管理规定1重要计算机信息系统所用计算机设备维修、更换或 报废时，应彻底清除相关业务信息，拆除所有相关涉密选 配件，由使用部门登记封存。计算机信息系统使用部门应 按规定进行数据备份，对备份介质保管、销毁采取相应的 安全措施，保证数据信息的完整性和安全性。2. 密钥必须作为绝密数据由专人保管，并定期更换。3. 网络参数配置、重要计算机信息系统详细开发资料 及其源程序等核心技术文档，由办公室严格管理，不得外 借。4 安全人员要按规定进行系统的安全监测，业务操作人员应审查

7、业务处理结果,除尘滤布对计算机信息系统安全运行的监测记录及其分析结果应严格管理，不得对外发 布。5.确认计算机信息系统出现重大安全事件，必须果断 采取控制措施，注意保护现场，并立即报告集团办公室。三、技术防范（一）实体安全1. 机房和营业室应设立监控系统，应有对系统运行的 外围环境、操作环境实施监控的设施。2 机房和营业室应具有火灾报警系统，有适用于机房 的灭火器材、应急计划及相关制度；无渗水、漏水现象， 如果机房上层有用水设施，应加防水层。3. 机房和营业室应具有环境测控（温度、湿度、洁净 度）措施；机房内应有空调设施，机房环境温度应保持在 18-24摄氏度，相对湿度保持在40%60%,机房

8、和设备应 保持清洁、卫生。4. 计算机系统应具有防雷措施（防雷装置和接地）， 机房设备应有接地设施。5. 机房和营业室应装备备用电源（ups或发电机）。6机房和营业室应采取防鼠害措施，地板下应采取金属管布线。（二）网络通信安全与公共网相联的计算机系统应采取相应的加密机制、 防火墙技术和防范措施，内部网络与国际互联网、外部网 应采取物理隔离技术。（三）主机设备安全主机设备包括主机、终端、存储设备。1.主机设备的安装使用环境，包括电源、温度、湿度、 洁净度等，应达到规定的要求并定期检测。2压滤机滤布厂家主机设备应按相关技术规程安装、 调试并验收。3. 应定期进行主机设备的例行保养和预防性检修，制

9、定主机设备故障维修规程并严格执行，重大故障应注意保 卫现场，进行应急处理关立即报告。4. 备份设备应按要求维护保养，保证能及时替换使用。5. 应经常收集设备使用情况及性能表现。（四）操作运行安全1. 必须按技术规程进行系统和用户数据备份；系统和 用户数据必须双备份，异地存放。关键系统应有灾难数据 备份。2. 计算机系统管理人员、操作人员应慎重选择计算机 系统的口令，口令长度不得低于8个字符。涉及资金及帐 户管理的应用系统、保密的信息系统，其密码口令使用期 限不得超过一个月，一般应用系统的密码口令不得超过三 个月。3应建立业务系统正常调帐规程，并严格按规程操 作，确保资金安全。（五）安全技术措施1.关键计算机系统应具有灾难恢复的技术措施。2计算机系统应有系统操作日志，每天开、关机、设备运行状况等应有文字记录。3 计算机系统应有备份措施。4. 必须有计算机病毒防范措施，有计算机预防和清除 病毒和软件或硬件产品。四、安全检查和评审集团办公室要组织计算机安全检查，发现安全隐患,限期整改。安全检查内容包括：安全管理工作落实情况、制度建设及执行情况、安全技术防范措施等。安全检查可采取常 规例行检查、抽查和年度检