2023年信息系统安全管理制度(6篇)

2023年信息系统安全管理制度(6篇)

书目

第1篇电子信息系统平安管理制度

第2篇人民医院信息系统平安管理制度

第3篇集团信息系统平安管理细则

第4篇信息系统平安管理制度

第5篇内部限制信息系统平安管理制度

第6篇计算机和信息系统平安保密管理方法

电子信息系统平安管理制度

为提高公司信息系统的牢靠性、稳定性、平安性,降低人为因素导致信息系统失效的可能性,形成良好的信息传递渠道,特制定本规范。

1.机房管理规范

1.1非工作人员不得进出机房。工作人员出入机房留意锁好房门,未经上级批准,禁止将机房相关钥匙、密码等物品或信息外露给其它人员,同时有责任对信息保密。

1.2机房工作人员必需熟知机房内设备的基本平安操作和规则。定期检查机房的防晒、防水、防潮;检查、整理硬件物理连接线路;定期检查硬件运作状态(如设备指示灯)。不得乱拉乱接电线,应选用平安、有保证的供电、用电器材,严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。

1.3机房内禁止吃食物、抽烟、随地吐痰,对于意外或工作过程中弄污地板和其它物品的,必需刚好实行措施清理干净;禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。

1.4机房工作人员必需定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份,做好硬件设备的维护保养工作。

1.5任何人均不得在服务器、交换设备等核心设备上进行与工作无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备。

2.计算机操作人员管理规范

2.1计算机操作员应具备计算机基础学问,娴熟运用windows、office、长安福特dms系统及常用软件,并对其所运用的计算机软、硬件负有维护保管责任。

2.2任何员工未经授权,不得修改计算机软硬件设置。严禁在工作机共享文件,员工所驾驭的工作数据、文件等均属公司全部,严禁拷贝、传播、修改、破坏。凡违反网络操作规程,影响网络运行者罚款100元。

2.3计算机操作人员离开工作区域时应保证重要文件、资料、设备、数据处于平安爱护状态;个人的工作文件应随时做好平安存放与备份,不得将个人工作文件存放于“c盘我的文档”。如有问题刚好联系系统管理员,与系统管理员一同维护好日常网络的平安运行。

2.4计算机操作人员每次开机确保病毒实时监测程序和黑客防火墙程序的正常运行;日常工作中留意保持计算机等相关设备的清洁,下班时务必关掉全部办公设备的电源。

3.计算机系统平安性维护

3.1计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、变更系统软件版本或更换系统软件,不得擅自变更软件系统环境配置。

3.2硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。

3.3在运用任何外来的光盘,u盘,移动硬盘等外来媒体的文件前,必需进行杀毒;严禁阅读任何非法网站、黑客网站及不健康的网站,严禁下载带有附件的不明邮件;

3.4系统管理人员负责长安福特dms系统工作权限的设置,员工只能运用自己的工作权限,严禁盗用他人用户名与密码,严格执行工作流程;长安福特dms系统上运用的密码一经启用,不得随意修改、公开,并需在行政部做备份,如需修改须事先告知行政部。

3.5各部门如有计算机操作员人员更替,必需刚好通知行政部,系统管理员注销或开设新用户。

3.6系统管理人员须严格管理公司无限网络的运用,接入密码要常常更新,以保证无线网络的平安;

人民医院信息系统平安管理制度

人民医院信息系统平安管理制度

一、信息系统平安包括:软件平安和硬件网络平安两部分。

二、计算机中心人员必需实行有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。

三、对系统用户的访问模块、访问权限由运用单位负责人提出,交信息化领导小组核准后,由计算机中心人员赐予配置并存档,以后变更必需报批后才能更改,计算机中心做好变更日志存档。

四、系统管理人员应熟识并严格监督数据库运用权限、用户密码运用状况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。

五、计算机中心人员要主动对网络系统实行监控、查询,刚好对故障进行有效隔离、解除和复原工作,以防灾难性网络风暴发生。

六、网络系统全部设备的配置、安装、调试必需由计算机中心人负责,其他人员不得随意拆卸和移动。

七、上网操作人员必需严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。

八、严禁自行安装软件,特殊是嬉戏软件,禁止在工作用电脑上打嬉戏。

九、全部进入网络的软盘、光盘、u盘等其他存贮介质,必需经过计算机中心负责人同意并查毒,未经查毒的存贮介质肯定禁止上网运用,对造成“病毒”扩散的有关人员,将比照《计算机信息系统惩罚条例》进行相应的经济和行政惩罚。

十、在医院还没有有效解决网络平安(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的状况下,内外网独立运行,全部终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

十一、内网用户全部文件传递,一律通过网上办公系统和ftp服务器特地的上载、下载区进行,不得利用软盘、光盘和u盘等存贮介质进行拷贝。

十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等平安工作。

十三、计算机中心人员有权监督和制止一切违反平安管理的行为。

集团信息系统平安管理细则

第一条目的

为了爱护集团计算机信息系统平安,规范信息系统管理,合理利用系统资源,推动集团信息化建设,促进计算机的应用和发展,保障集团信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为集团运营服务。依据《中华人民共和国国计算机信息系统平安爱护条例》及有关法律、法规,结合集团实际状况,制定本细则。

其次条术语与定义

(一)信息系统平安管理范围:业务软件系统信息平安、硬件网络信息平安。

(二)系统管理员:是集团信息化管理系统建设的主要执行者,负责系统的设备保障、运行监测、刚好维护、数据备份以及信息系统规划、安排、方案的起草工作;同时,负责集团信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作;

第三条适用范围

本细则适用于集团信息系统平安管理。

第四条系统服务器和网络设备管理方法:

(一)服务器和各网络设备的放置详见《机房管理细则》第五条的第三项;

(二)非集团指定系统管理员,未经批准不得对服务器和各网络设备进行硬件维护、软件安装卸载等操作;

(三)保证服务器和各网络设备24小时不间断正常工作,不得在服务器专用电路上加载其它用电设备;

(四)非工作须要,内网服务器严禁干脆接入因特网,并安装好杀毒软件,做好病毒防范,杜绝病毒感染。

第五条业务软件系统信息平安:

(一)帐户申请:对符合开通帐户的申请人,依据权责对软件所负责管理的职能归属部门进行申请,经该主责部门同意后,转信息管理部系统管理员处备案;

(二)帐户删除:对于离职人员,在办理工作交接时。由离职人员的主管通过办公允台向业务软件主责部门提交删除离职人员相关业务软件帐户的申请。经该主责部门同意后,转信息管理部系统管理员处备案;

(三)操作人员应当严格保密帐户信息,如因有意或过失造成信息泄漏的,将依据《员工奖惩管理细则》追究其相关责任;

(四)系统管理人员应熟识并严格监督数据库运用权限、用户密码运用状况,适时更换、更新用户帐号或密码。

第六条网络信息平安:

(一)系统管理员要主动对网络系统实行监控、查询,刚好对故障进行有效隔离、解除和复原工作,以防灾难性网络风暴发生;

(二)网络系统全部设备的配置、安装、调试必需由系统管理员负责,其它人员不得随意拆卸和移动;

(三)全部上网操作人员必需严格遵守计算机及其它相关设备的操作规程,禁止其它人员进行与系统操作无关的工作;

(四)在管理员还没有有效解决网络平安(未安装防火墙、杀毒软件)的状况下,内外网独立运行,全部终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

第七条资料备份工作方法:

(一)数据备份关系到整个集团信息化管理系统的正常运转,影响到集团正常的运营秩序,必需严格执行;

(二)数据库服务器每周日做一次数据备份;

(三)备份的数据存储于特地的硬盘内,备份必需以覆盖的形式存储,确保数据不会遗漏;

(四)全部重要数据、信息化管理系统源程序要刻录成光盘存盘;

(五)若遇重大程序更新、修改,必需在程序更新、修改前要做好数据的备份工作;

(六)上传到集团网站上供应给查询的数据必需每日定时更新,确保查询数据的精确性;

(七)系统管理员若遇重大程序更新、修改,必需填写工作日志;

(八)非共享的文件不能设置成网络共享,供应共享运用的文档必需设置相应权限,由于没有平安设置相应权限而造成本单位数据丢失的状况,后果自负。

第八条管理员有权制止一切违反平安管理的行为。

第九条本细则的说明权属于运营管理中心信息管理部。

第十条本细则由运营管理中心信息管理部进行起草与修订,由总裁办公会审核,执行总裁批准后发布。

第十一条本细则自发布之日起生效,集团原有相关规定、通知、方法等同时废止。

信息系统平安管理制度

为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司探讨确定,从即日起,规范相关关键信息、账户的管理。公司依据现在公司的管理需求,统一收回全部公司信息管理账号,集中管理,专人保管。各个部门如要运用可填写账户运用申请单。

详细管理方法如下:

第一章总则

第一条为加强公司用户账号管理,规范用户账号的运用,提高信息系统运用平安性,特制定本制度。

其次条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。

第三条本规定所指账号管理包括:

1、应用层面用户账号的申请、审批、安排、删除/禁用等的管理

2、系统层面用户账号的申请、审批、安排、删除/禁用等的管理

3、用户账号密码的管理。

第四条系统拥有部门负责建立《岗位权限比照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对详细岗位做出详细的权限管理规定。

第五条信息管理中心依据系统拥有部门提交的《岗位权限比照表》增加系统岗位权限限制。

第六条用户账号申请、审批及设置由不同人员负责。

第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和一般用户。超级管理员、系统管理员与系统管理监督员不能由同一人担当,并不能是系统操作用户。

1、超级管理员:负责根据领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。

2、系统管理员:负责根据领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。

3、系统管理监督员:负责对录入的数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。

4、一般用户:负责对系统进行业务层面的操作。

第八条信息管理中心将定期抽取系统岗位和用户清单进行检查,发觉可疑授权、可疑运用将依据实际状况予以通报修正,并将检查结果记入信息化年度考核中。

其次章一般账号管理

第九条申请人运用统一规范的《信息系统权限申请表》(附件二)提出用户账号创建、修改、禁用、启用等申请。

第十条账号申请人所属部门负责人及系统拥有部门负责人依据《岗位权限比照表》审核申请人所申请的权限是否与其岗位一样,确保权限安排的合理性、必要性和符合职责分工的要求。

第十一条在受理申请时,权限管理人员依据申请配置权限,在系统条件具备的状况下,给用户安排独有的用户账号或禁用用户账号权限,以运用户对其行为负责。一旦安排好账号,用户不得运用他人账号或者允许他人运用自己的账号。

第十二条新员工入职或员工岗位发生改变时,应主动申请所需系统的账号及权限。

第十三条人员离职的状况下,该员工的账户应当被刚好的禁用。离职人员的离职手续办理完毕后。员工所属部门以书面方式通知系统管理部门,由系统管理部门实施用户帐户及权限的回收操作。

第十四条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。

第三章特权账号和超级用户账号管理

第十五条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator(或admin)、root等管理员账号。

第十六条只有经授权的用户才可运用特权账号和超级用户账号,严禁共享账号。

第十七条信息系统管理部门每季度查看系统日志,监督特权账号和超级用户账号运用状况,并填写《系统日志批阅表》(附件三)。

第十八条尽量避开特权账号和超级用户账号的临时运用,确需运用时必需履行正规的申请及审批流程,并保留相应的文档。

第十九条临时运用超级用户账号必需有监督人员在场记录其工作内容。

其次十条超级用户帐户必需由信息管理中心管理(如没有超级管理员,信息管理中心必需驾驭系统管理员权限)。系统管理员和系统管理监督员可通过信息管理中心与系统拥有部门协商管理(如系统管理员由系统拥有部门管理,《信息系统权限申请表》必需以邮件方式电子文档交予信息管理中心备案便于监督审核)。

其次十一条信息化各系统交运用单位验收合格后,必需由信息管理中心和系统拥有部门共同督促系统开发方删除临时测试帐户。

第四章用户账号及权限批阅

其次十二条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行批阅,并填写《信息系统权限清理清单》(附件四)。

其次十三条信息管理中心指定专人负责每季度对系统层面账号及权限进行批阅,并填写《信息系统权限清理清单》。

其次十四条员工离职后,账号管理人员刚好禁用或删除离职人员所运用的账号。假如离职人员是系统管理员,则刚好更改特权账号或超级用户口令。

第五章用户账号口令管理

其次十五条用户账号口令发放要严格保密,用户必需刚好更改初始口令。

其次十六条用户账号口令最小长度为6位(系统超级用户、管理员和监督员口令最小长度为8位),并具有肯定困难度。

其次十七条用户账号口令必需严格保密,并定期进行更改,密码更新周期不得超过90天。

其次十八条严禁共享个人用户账号口令。

第六章附则

其次十九条本制度与公司相关标准、规范相冲突时,应根据公司相关标准、规范执行。

第三十条本制度适用于由信息管理中心归口管理的全部系统。

第三十一条本制度由信息管理中心起草并说明。

第三十二条本制度从发布之日起施行。

内部限制信息系统平安管理制度

第一章总则3

其次章系统管理人员的职责3

第三章机房管理制度4

第四章系统管理员工作细则4

第五章平安保密管理员工作细则7

第六章密钥管理员工作细则9

第七章计算机信息系统应急预案10

第八章附则10

第一章总则

第1条依据《中华人民共和国国保守国家隐私法》和有关保密规定,为进一步加强中船信息公司计算机信息系统平安保密管理,并结合用户单位的实际状况,制定本制度。

第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,根据肯定的应用目标和规则构成的处理涉密信息的人机系统。

第3条涉密计算机信息系统的保密工作坚持主动防范、突出重点,既确保国家隐私平安又有利于信息化发展的方针。

第4条涉密计算机信息系统的平安保密工作实行分级爱护与分类管理相结合、行政管理与技术防范相结合、防范外部与限制内部相结合的原则。

第5条涉密计算机信息系统的平安保密管理,坚持“谁运用,谁负责”的原则,同时实行主要领导负责制。

其次章系统管理人员的职责

第6条用户单位的涉密计算机信息系统的管理由用户保密单位负责,详细技术工作由中船信息担当,设置以下平安管理岗位:系统管理员、平安保密管理员、密钥管理员。

第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。

第8条平安保密管理员负责网络信息系统的平安保密技术管理,主要职责是:网络信息平安策略管理;网络信息系统平安检查;涉密计算机的平安管理;网络信息系统的平安审计管理;违规外联的监控。

第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。

第10条对涉密计算机信息系统平安管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。

第11条新调入或任用涉密岗位的系统管理人员,必需先接受保密教化和网络平安保密学问培训后方可上岗工作。

第12条保密单位负责定期组织系统管理人员进行保密法规学问的宣扬教化和培训工作。

第三章机房管理制度

第13条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪伴。

第14条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威逼的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。

第15条机房内不得运用无线通讯设备,禁止拍照和摄影。

第16条各类技术档案、资料由专人妥当保管并定期检查。

第17条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火平安学问教化,做到会运用消防器材。加强电源管理,严禁乱接电线和违章用电。发觉火险隐患,刚好报告,并实行平安措施。

第18条机房应保持整齐有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。

第19条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。

第20条机房大门必需随时关闭上锁。机房钥匙由集团公司保密办管理。

第21条机房门禁磁卡(以下简称门禁卡)由信息中心管理。

第22条门禁卡的发放范围是:系统管理员、平安保密管理员和密钥管理员。

第23条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由平安保密管理员陪伴进入机房工作。

第24条门禁卡应妥当保管,不得遗失和相互借用。

第25条门禁卡遗失后,应马上上报信息中心,同时写出书面说明。

第四章系统管理员工作细则

第一节系统主机维护管理方法

第26条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。

第27条依据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并依据平安风险最小化原则及运行效率最大化原则配置系统主机。

第28条建立系统设备档案(见表二)、包括系统主机具体的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥当保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行刚好更新。

第29条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。

第30条每周通过系统性能分析软件对系统主机进行运行性能分析,并做具体记录(见表四),依据分析状况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。

第31条每周对系统日志、系统策略、系统数据进行备份,做具体记录(见表四)。

第32条每天检查系统主机各硬件设备是否正常运行,并做具体记录(见表五)。

第33条每天检查系统主机各应用服务系统是否运行正常,并做具体记录(见表五)。

第34条每周下载安装最新版的系统补丁,对系统主机进行升级,做具体记录(见表四)。

第35条每天记录系统主机运行维护日记,对系统主机运行状况进行总结。

第36条在系统主机发生故障时应刚好通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障状况做具体记录(见表六)。

第37条每月对系统主机运行状况进行总结、并写出系统主机运行维护月报,上报保密办。

其次节信息系统运行维护管理方法

第38条信息系统(办公自动化系统和档案管理系统)的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。

第39条依据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位,。

第40条对信息系统的基本配置信息做具体记录,包括系统配置信息、用户帐户名称,系统安装书目、数据文件存贮书目,在信息系统配置信息发生变更时刚好更新记录(见表三)。

第41条每周对信息系统系统数据、用户id文件、系统日志进行备份,并做具体记录(见表四),备份介质交保密办存档。

第42条当信息系统用户发生增加、削减、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做具体记录。

第43条依据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。

第44条每天检查信息系统各项应用功能是否运行正常,并做具体记录(见表五)。

第45条在信息系统发生故障时,应刚好通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障状况做具体记录(见表六)。

第46条每天记录信息系统运行维护日志,对信息系统运行状况进行总结。

第47条每月对信息系统运行维护状况进行总结,并写出信息系统维护月报,并上报保密办。

第三节网络系统运行维护管理方法

第48条网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。

第49条依据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭全部远程管理端口。

第50条建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,具体记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,vlan划分表,并在系统配置发生变更时刚好对设备档案进行更新。

第51条每天检查网络系统设备(交换机、路由器)是否正常运行。

第52条每周对网络系统设备(交换机、路由器)进行清洁。

第53条每周修改网络系统管理员密码。

第54条每周检测网络系统性能,包括数据传输的稳定性、牢靠性、传输速率。

第55条网络变更后进行网络系统配置资料备份。

第56条当网络系统发生故障时,应刚好通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障状况作具体记录(见表六)。

第57条每月对网络系统运行维护状况进行总结,并作出网络系统运行维护月报。

第四节终端电脑运行维护管理方法

第58条终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。

第59条依据用户应用需求和平安要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件、技防软件,。

第60条建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行刚好更新。

第61条在电脑主机发生故障时应刚好进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障状况做具体记录(见表六),涉及存储介质损坏,干脆送交保密办处理。

第五节网络病毒入侵防范管理方法

第62条网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。

第63条依据网络系统平安设计要求安装、配置瑞星网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。

第64条每日监测防病毒系统的系统日志,检测是否有病毒入侵、平安隐患等,对所发觉的问题进行刚好处理,并做具体记录(见表八)。

第65条每周登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作具体记录(见表九)。

第66条每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做具体记录(见表十)。

第67条每日阅读国家计算机病毒应急处理中心网站,了解最新病毒信息发布状况,刚好向用户发布病毒预警和预防措施。

第五章平安保密管理员工作细则

第一节网络信息平安策略管理方法

第68条网络平安策略管理由平安保密管理员专职负责,未经允许任何人不得进行此项操作。

第69条依据网络信息系统的平安设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。

第70条依据网络信息系统的平安设计要求制定、配置、修改、删除网络平安评估分析系统的各项管理策略,并做记录(见表十一)。

第71条依据网络信息系统的平安设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。

第72条依据网络信息系统的平安设计要求制定、配置、修改、删除、内网主机平安监控与审计系统的各项管理策略,并做记录(见表十一)。

第73条每周对网络信息系统平安管理策略进行数据备份,并作具体记录(见表十二)。

第74条网络信息平安技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机平安监控与审计系统)由网络平安保密管理员统一负责安装和卸载。

其次节网络信息系统平安检查管理方法

第75条网络信息系统平安检查由平安保密管理员专职负责执行,未经允许任何人不得进行此项操作。

第76条每天依据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异样操作、不正常数据流量等,对异样状况做刚好处理,遇有重大平安问题上报保密办,并做具体记录(见表十三)。

第77条每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做具体记录(见表十四)。

第78条每月通过漏洞扫描系统对网络系统终端进行平安评估分析,并对扫描结果进行分析,刚好对终端系统漏洞及平安隐患进行处理,作具体记录(见表十五),并将平安评估分析报告上报保密办。

第79条每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作具体记录(见表十六)。

第80条每周备份入侵检测系统和漏洞扫描系统的审计信息,并作具体记录(见表十七)。

第三节涉密计算机平安管理方法

第81条涉密计算机平安管理由平安保密管理员专人负责,未经允许任何人不得进行此项操作。

第82条依据网络系统平安设计要求制定、修改、删除涉密计算机平安审计策略,包括打印限制策略、外设输入输出限制策略、应用程序限制策略,并做记录。

第83条每日对涉密计算机进行平安审计,刚好处理平安问题,并做具体记录(见表十八),遇有重大问题上报保密部门。

第84条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由平安保密管理员统一进行操作,并做具体记录(见表十八)。

第85条新增涉密计算机联入涉密网络,需经保密办审批,由平安保密管理员统一进行操作,并做具体记录(见表十八)。

第四节平安审计管理方法

第86条网络信息平安审计系统由平安保密管理员负责,未经允许任何人不得进行此项操作。

第87条依据网络系统主机平安设计要求安装、配置、管理主机平安审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。

第88条每日查看平安审计系统信息,对审计结果进行分析整理,刚好处理所发生的设备平安问题,并做具体记录(见表十九)。

第89条每周备份设备平安审计系统审计信息,并做具体记录(见表二十)。

第90条每月对主机平安审计系统记录信息进行分析总结,并向保密部门提交分析报告。

第五节违规联接管理方法

第91条违规外联管理系统(北信源平安补丁管理软件)由平安保密管理员负责,未经允许任何人不得进行此项操作。

第92条依据网络信息系统平安管理要求安装、配置违规外联管理系统策略,包括联网涉密电脑,单机涉密电脑,便携式涉密电脑。

第93条每日检查违规外联系统审计信息,查看联网涉密电脑是否有违规外联操作。

第94条每月检查单机涉密电脑、便携式电脑是否有违规外联操作。

第95条每三个月帮助保密办进行全部涉密电脑巡检,检查是否存在违规外联操作,并做具体记录。

第96条每日通过违规外联系统检查网络系统是否有非法主机联入,并做具体记录。

第六章密钥管理员工作细则

第97条身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。

第98条每日检查身份认证系统是否正常运行。

第99条负责向用户单位派发平安钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。

第100条依据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。

第101条负责为每台计算机安装主机登录系统。

第102条负责主机登录系统、身份认证系统的系统维护。

第七章计算机信息系统应急预案

第103条系统管理人员参加制定各种意外事务处置预案,并详细执行,包括火灾、停电、设备故障等,每年进行预案演练。

第104条遇到火灾应依据火情实行以下措施:

1.如火情较轻时,应马上切断机房总电源,并快速用消防器材,力争把火扑灭、限制在初期阶段,同时上报集团保卫部门。

2.如火情严峻应快速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,帮助处理有关事项。

第105条如遇机房突发性停电,应快速通知用户,同时关闭设备电源,来电后,刚好通知用户,并检测设备是否正常运行。

第106条系统出现灾难性故障时,系统管理员应立即通知部门主管,制定具体的系统复原方案。

第107条遇紧急状况,值班员应马上通知保密办和系统管理员,保持24小时通讯畅通,随时处理紧急事务。

第108条线路故障应马上拨打线路故障电话“112”,同时上报部门主管,帮助电信部门查找故障缘由,尽快使线路复原正常。

第八章附则

第109条本管理制度自发布之日起执行,未尽事宜以用户单位的《保密工作管理实施方法》为准。

第110条本制度每年度审订一次,本制度全部表格请见附录。

计算机和信息系统平安保密管理方法

第一章总则

第一条为确保公司计算机和信息系统的运行平安,确保国家隐私平安,依据国家有关规定和要求,结合工作实际状况,制定本方法。

其次条公司计算机和信息系统平安保密工作遵循“主动防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息平安保障实力和水平。

其次章组织机构与职责

第三条计算机和信息系统平安保密管理工作贯彻“谁主管,谁负责”、“谁运用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。

第四条保密委员会全面负责计算机和信息系统平安保密工作的组织领导。主要职责是:

(一)审订计算机和信息系统平安保密建设规划、方案;

(二)探讨解决计算机和信息系统平安保密工作中的重大事项和问题;

(三)对发生计算机和信息系统泄密事务及严峻违规、违纪行为做出处理确定。

第五条保密管理部门负责计算机和信息系统的平安保密指导、监督和检查。主要职责是:

(一)指导计算机和信息系统平安保密建设规划、方案的编制及实施工作;

(二)监督计算机和信息系统平安保密管理制度、措施的落实;

(三)组织开展计算机和信息系统平安保密专项检查和技术培训;

(四)参加计算机和信息系统平安保密的风险评估、分析及平安保密策略的制定工作。

第六条信息化管理部门负责计算机和信息系统的平安保密管理工作。主要职责是:

(一)负责计算机和信息系统平安保密建设规划、方案、制度的制订和实施;

(二)负责计算机和信息系统平安保密技术措施的落实及运行维护管理;

(三)负责建立、管理信息设备台帐;

(四)负责计算机和信息系统平安保密策略的制定、调整、更新和实施;

(五)定期组织开展风险评估、风险分析,提出相应的平安措施建议,并编制平安保密评估报告;

(六)开展计算机和信息系统平安保密技术检查工作;

(七)涉及计算机和信息系统有关事项的审查、审批;

(八)计算机和信息系统平安保密的日常管理工作。

第七条公司应结合工作实际设定涉密计算机和信息系统的系统管理员、平安保密管理员、平安审计员,分别负责涉密计算机和信息系统的运行、平安保密和平安审计工作。“三员”的权限设置应当相互独立、相互制约,平安保密管理员与平安审计员不得由一人兼任。

没有涉密信息系统,只运用单台涉密计算机的单位,应当配备平安保密管理员。

第八条涉密计算机和信息系统管理人员应当符合以下要求:

(一)符合国家及集团公司对涉密人员的要求;

(二)熟识计算机和信息系统各项平安保密法律、法规和标准;

(三)娴熟驾驭有关专业学问和业务技能;

(四)通过国家有关部门的上岗培训,并获得上岗资格。

第三章涉密信息系统的建设管理

第九条建设涉密信息系统必需依照国家有关规定、标准和规范进行,平安保密设施必需与涉密信息系统同步规划、同步建设、同步运行。

第十条建设涉密信息系统,应当在方案设计前,由保密委员会依据所建系统拟涉及国家隐私的最高密级确定爱护等级。

第十一条涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位担当,建设方案根据建设系统的对应密级进行定密和管理。建设方案完成后,由保密办报请上级保密管理部门组织评审并备案。

第十二条涉密信息系统建设过程中,必需实行严格的平安保密管理措施。系统集成、综合布线、系统服务、系统询问、软件开发、工程监理等,应当选择具有相应资质的单位担当,并明确提出保密要求,签订保密协议。涉及国家隐私的工程资料应当依据须要限制发放,并做出登记。工程完工后,应当按登记如数收回。施工现场应当实行措施,禁止无关人员进入。

第十三条涉密信息系统所采纳的平安保密产品,必需选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。

第十四条涉密信息系统的测评工作统一由集团公司保密办托付国家涉密信息系统测评中心兵器分中心实施。

第十五条涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家隐私的信息系统投入运用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家隐私的信息系统运用许可证》。

第十六条新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得《涉及国家隐私的信息系统运用许可证》前,不得投入运用。在正式运行之前,不得存储和处理国家隐私信息。

第十七条涉密信息系统在设计、评审、施工及验收过程中发生失泄密事务或因有关工程信息资料泄露导致涉密信息系统防护措施失效、减弱的,属于建设单位责任的,由建设单位担当;属于其他环节责任的,由相关环节负责人负责。

第四章信息设备台帐与标识管理

第十八条信息化管理部门应当依据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类:

(一)计算机,包括服务器、用户终端;

(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、vpn设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;

(三)平安保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问限制、平安审计、入侵检测、边界防护和电磁泄漏放射防护等产品;

(四)移动存储介质。

第十九条各类台帐应当包括以下内容:

(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、ip地址、mac地址、运用状况等;

(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、运用状况等;

(三)平安保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、运用状况等;

(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、运用状况等。

其次十条信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、精确的反映信息设备的客观状况。

其次十一条公司应对信息设备进行标识管理。设备标识由公司统一制作。

标识内容应与台帐信息的主要内容相符,并保持完好。不得有意损毁、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、外部设备、存储介质、平安保密产品等,应当依据其处理和存储信息的最高密级或主要用途进行标识。标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。

移动存储介质如无法粘贴标识的,可以实行不行擦除的方式标注。

第五章计算机和信息系统的保密管理

其次十二条计算机和信息系统的运用管理必需遵守如下规定:

(一)严禁运用涉密计算机和信息系统连接国际互联网或公共信息网络;

(二)严禁运用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;

(三)严禁将涉密计算机接入内部非涉密网络。

其次十三条涉密信息系统经平安保密技术测评,并正式投入运行后,如发生下列变更事项时,应当刚好报告上级保密管理部门和负责审批的保密行政管理部门:

(一)涉密等级;

(二)连接范围;

(三)环境设施;

(四)主要应用;

(五)平安保密责任管理单位。

由保密行政管理部门确定是否须要重新进行测评和审批。

其次十四条外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的平安牢靠的信息交换措施进行。运用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格根据相关标准的规定程序进行操作。

其次十五条涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格限制,规范运用。

其次十六条禁止在涉密计算机和信息系统中运用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。

其次十七条涉密计算机和信息系统应当依据其相应密级实行对应的身份鉴别、数字签名、访问限制、平安审计、信息加密、数据爱护、介质管理、防违规外联等技术措施。

其次十八条涉密计算机和信息系统服务器、用户终端应当设置相关平安策略,设置原则是:关闭全部共享、与应用无关的全部端口、服务、链接和系统授权。

其次十九条涉密计算机和信息系统应当实行计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并刚好更新计算机病毒与恶意代码样本库。更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。

第三十条各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内刚好安装,保证系统的平安性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。

第三十一条下列事项必需报经信息化管理部门批准后由相关管理人员实施:

(一)因系统崩溃、操作系统损坏等缘由需重新安装操作系统的;

(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、运用等日志记录的;

(三)因工作须要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;

(四)因工作须要卸载、修改涉密信息系统的平安技术程序、管理程序的。

第三十二条需常常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装运用。

第三十三条公司要加强对连接国际互联网计算机的管理和运用,应遵循以下原则:

(一)未经批准,不得擅自以任何方式连接国际互联网;

(二)公司集中运用的国际互联网计算机应当指定专人负责管理,分散运用的国际互联网计算机应当明确责任人,做好上网记录;

(三)应制定国际互联网信息发布管理制度,明确须要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;

(四)公司应实行有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。

第三十四条密码设备的运用和管理根据公司有关规定执行。

第六章便携式计算机和存储介质保密管理

第三十五条建立健全便携式计算机和移动存储介质的管理制度和措施,依据工作实际,实行集中管理,指定专人负责。

第三十六条涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机运用。

第三十七条携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出访用状况进行技术检查。

第三十八条外出携带涉密便携式计算机和移动存储介质要确保平安,全程有效限制。同时携带涉密便携式计算机和移动存储介质时,二者应分开保管。

第三十九条不得运用低密级便携式计算机和移动存储介质存储、处理高密级信息;不得在低密级计算机上运用高密级移动存储介质。

第四十条在涉密计算机和信息系统内运用的存储介质应当实行有效的技术限制措施,确保未经授权的移动存储介质不能在涉密计算机和信息系统中运用。

第四十一条在运用便携式计算机和移动存储介质时不得有下列行为:

(一)在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的;

(二)涉密移动存储介质在非涉密计算机和信息系统中运用的;

(三)将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的;

(四)私自携带涉密便携式计算机和移动存储介质外出的;

(五)移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交叉运用的。

第四十二条涉密移动存储介质不得降为非涉密移动存储介质运用。

第七章信息平安保密管理

第四十三条涉密计算机和信息系