信息安全管理制度

信息安全管理制度为了保障组织的信息安全，在信息技术快速发展的今天，制定一份完善的信息安全管理制度，可以有力地促进组织的信息安全工作，下面就是一份信息安全管理制度的详细内容。一、制定目的本制度是为了规范组织用户使用信息系统、网络资源，确保信息系统、网络资源的安全、稳定运行，防范包括人为在内的各种恶意攻击，保障组织信息资源安全，保护个人隐私，维护用户利益，促进组织信息化建设的和谐发展。二、适用范围本制度适用于组织内各类信息系统、网络资源的管理和使用，包括但不限于计算机、服务器、数据库、计算机网络、存储设备、通信设备等。三、制度内容1.信息系统、网络资源的安全管理1.1准入管理：用户准入是指用户使用信息系统、网络资源的授权过程。用户准入应当遵循“最小权限原则”。1.1.1用户准入管理制度：（1）所有用户使用信息系统、网络资源前必须进行身份认证，并使用合法身份证明。（2）用户身份验证成功后须取得相应权限。（3）对于重要的数据、系统等，应实行双重认证。1.1.2用户权限管理制度：（1）用户权限分级制度（2）系统管理员分级管理制度1.1.3用户密码和口令管理制度：（1）密码复杂度限制和密码强度：长度、大小写、字符类型限制。（2）密码定期更换。（3）口令长度要求。（4）口令复杂度要求。1.1.4用户行为规范制度：用户禁止进行以下行为：（1）未经许可存储、拷贝或使用含有未经许可的版权内容。（2）使用P2P或BT下载非法文件或病毒。（3）未经许可使用其他用户的帐号或者帐号密码。（4）在组织信息网络中传播不实、诽谤、侮辱、攻击、敲诈、淫秽等信息。2.信息安全事件管理2.1信息安全事件的定义：在信息系统日常运行过程中所发生的，导致信息系统数据泄露、服务中断和与信息系统安全相关的事件。2.2信息安全事件等级（1）严重等级事件(1小时内上报)。（2）重要等级事件(2小时内上报)。（3）一般等级事件(24小时内上报)。2.3事件管理流程（1）发现异常事件。（2）组织安全人员调查分析。（3）初步判断事件等级。（4）确认事件范围。（5）制定事件处理方案。（6）实施事件处置。（7）事件解决。（8）事件分析总结。3.备份管理3.1文件备份3.1.1全局范围内进行自动备份。3.1.2对于重要文件定期手动备份。3.1.3定期测试恢复备份数据。3.1.4定期更换备份介质。3.2数据库备份3.2.1全局范围内进行定期自动备份。3.2.2对于重要数据库全天候监控。3.2.3定时对数据进行统计和分析，并进行调整优化。3.2.4定期测试恢复备份数据。3.3关键系统备份3.3.1对于关键系统进行全天候监控。3.3.2定期记录系统运行状态。3.3.3定期备份系统文件。3.3.4定期测试恢复备份数据。4.物理安全4.1环境设置4.1.1物理安全区域。4.1.2防火、防水、防震、防雷、防盗等措施。4.2电源管理4.2.1手动切断电源。4.2.2按计划关机。4.2.3启用UPS。4.3权限分配4.3.1安装非法软件。4.3.2改变系统配置。4.3.3更改系统安全策略。5.系统安全5.1系统安全审计5.1.1对系统操作记录进行审计。5.1.2对系统安全事件进行审计。5.2代码准入审批5.2.1对新增加、修订的软件代码进行审批。5.2.2进行软件源代码安全扫描。5.3系统漏洞扫描5.3.1定期检测系统漏洞。5.3.2定期测试系统安全级别。6.违规处理6.1违规事件类型6.1.1未经允许的外联。6.1.2未经允许的越权操作。6.1.3非法入侵。6.1.4信息泄露。）6.1.5病毒攻击。6.2违规数据统计：6.2.1统计违规行为的数量和类型。6.2.2对违规行为的发现和处理进行记录。6.3违规事件处理：6.3.1协助组织制定违规行为预防计划和纪律处分制度，实行预防、预警、防护的综合治理。6.3.2责令停口、暂停操作，限制使用权限。6.3.3紧急处理违规操作，保证系统稳定运行。6.3.4积极配合公安、通信行政部门的调查工作，协助善后处理。7.附则7.1本制度由信息化安全管理人员主持制定，经组织领导批准后实施。7.2具体操作事宜由信息化安