健全的网络与信息安全保障措施

健全的网络与信息安全保障措施健全的网络与信息安全保障措施网络与信息的安全不仅关系到单位正常工作的开展，还将影响到国家的安全、社会的稳定。我单位坚持”安全第一，预防为主”的方针，在网络与信息安全上建立健全管理机制，将此项工作真正落到实处。一、网站情况说明网站主要功能是我公司建立在网络上的窗口，让需要了解我公司信息的用户通过互联网访问我公司网站；为了保障网站安全，我公司将网站服务器托管在专业的IDC机房，24小时安全保护，该机房拥有安全措施与防火墙，让我公司的服务器处于安全状态。我公司设有信息部，专门负责对机房内电脑的养护及网络安全，负责协助我公司的信息部更好的维护公司网络安全。机房内全封闭式管理，电子24小时监控，专人负责，全天候恒温控制，对服务器的硬件保障，服务器的安全都有较大的保护。我公司网站服务器硬盘空间是250G，4核CPU，内存是4G，5兆独享二、机房及计算机管理制度为科学、有效地管理机房及计算机，促进网络系统安全的应用、高效运行，特制定本规章制度，请遵照执行。2.1机房管理2.1.1机房日常管理（一）服务器、路由器、交换机以及防火墙是网络的关键设备，须放置计算机机房内，不得自行配置或更换，更不能挪作它用。（二）计算机房要保持清洁、卫生，并由专人负责管理和维护（包括温度、湿度、电力系统、网络设备等)，无关人员未经批准严禁进入机房。（三）严禁易燃、易爆和强磁物品以及其它与机房工作无关的物品进入机房。机房严禁乱拉接电源，以防造成短路或失火。健全的网络与信息安全保障措施全文共15页，当前为第1页。（四）建立机房登记制度，对本地局域网络、广域网的运行，严格管理。未发全故障或故障隐患时当班人员不可对光纤、网线及各种设备进行任何调试，对所发生的故障、处理过程和结果等做好详细登记。健全的网络与信息安全保障措施全文共15页，当前为第1页。（五）做好操作系统的补丁修正工作。（六）网管人员统一管理服务器、交换机、完整保存上述设备驱动程序，防火墙等相关设备，保修卡及重要随机文件交档案室统一保管。（七）上述设备的报废需经过网络信息部门鉴定，确认不符合使用要求后方可申请报废，批准后报办公室备案。（八）网管人员应做好网络安全工作，服务器的各种账号严格保密。监控网络上的数据流，从中检测出攻击的行为并给予响应和处理。2.1.2（一）机房应安装坚固门锁系统，防止设备被盗。工作人员进出机房应随手锁门，确保安全。（二）严禁非机房工作人员进入机房，特殊情况需经网络信息部批准后方可进入。进入机房人员应遵守机房管理制度。（三）进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。2.1.3安全管理（一）网管人员随时监控设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。（二）非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。（三）严格执行密码管理规定，对操作密码定期更改，超级用户密码由系统管理员掌握。（四）网管人员应恪守保密制度，不得擅自泄露各种信息资料与数据。（五）机房内严禁吸烟、饮用饮料/食物，进行其他有害、污损电脑的行为；应保持机房安静。健全的网络与信息安全保障措施全文共15页，当前为第2页。（六）不定期对机房内设置的消防器材、空调、管道、监控设备等进行检查及定期养护，以保证其有效性。健全的网络与信息安全保障措施全文共15页，当前为第2页。2.1.4操作管理（一）机房的数据实行专门作业制度；网管人员应自学遵守作息制度，不得擅自脱岗。（二）网管人员应严格按照规定进行操作，因特殊情况需要变更流程的应事先进行报网络信息部门批准后方可执行；所有操作变更必须有存档记录。（三）网管人员必须密切监视设备运行状况以及各网点运行情况，确保安全、高效运行。（四）每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。（五）网管人员应严格按规章制度要求做好各种数据、文件的备份工作。服务器数据库要定期进行双备份，并严格执行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。2.2计算机管理制度2.2.1计算机的使用管理（一）网络信息部门为计算机管理的责任部门，负责计算机管理的相关工作。未经许可，不得随便支用计算机及相关设备。（二）任何人不得更换计算机硬件和软件，拒绝使用来历不明的软件和光盘。（三）严格按规定程序开启和关闭的电脑系统。按显示菜单提示，键入规定口令或密码：在权限内内对工作任务操作。（四）公司鼓励员工熟练使用计算机。在不影响正常工作的情况下，员工应自觉学习计算机技术，熟练操作WORD/Excel等应用软件。（五）对公司机房、使用网络、工作站等高级计算机设备，需由网管人员进行上机操作，并登记使用情况。（六）公司禁止使用、传播、编制、复制电脑游戏，严禁上班时间随意玩耍游戏或观看影视。健全的网络与信息安全保障措施全文共15页，当前为第3页。2.2.2计算机的日常维护健全的网络与信息安全保障措施全文共15页，当前为第3页。（一）公司确立专职网管等技术人员负责计算机系统的维护。（二）计算机发生故障时，使用者作简易处理仍不能排除的，应立即报告网管人员处理。电脑维修维护过程中，首先确保对公司信息进行拷贝，并不遗失。（三）电脑软硬件更换需经网络信息部门主管同意；如涉及金额较大的维修，应报公司领导批准。（四）UPS只作停电保护之用，在无失电情况下，迅速作紧急存盘操作；严禁将UPS作正常电源使用。（五）对重大电脑软件、硬功夫件损失事故，公司列入专案调查处理。外请人员对电脑进行维修时，公司应有人自始至终地陪同。（六）凡因个人使用不当所造成的电脑维护费用和损失，酌情由使用者赔偿。（七）外来人员参观机房，须经公司批准并指定人员陪同。处理秘密事务时，不得接待参观人员或靠近观看。（八）操作人员按公司陪同人员要求可以在电脑演示、咨询；对参观人员不合理要求，陪同人员应婉拒，无关人员不得擅自操作。（九）经同意，参观人员可以实地操作电脑，但须有公司人员的认可，不得调阅公司机密文件。（十）参观人员不得拥挤、喧哗，应听从陪同人员安排。参观结束后，操作人员应整理如常。2.2.3计算机保密管理（一）依据公司保密管理办法，公司计算机管理应建立相应的保密制度。计算机保密方法有：(l)不同密级文件存放于不同电脑中；(2)设置进入电脑的密码；(3)设置进入电脑文件的密码或口令；(4)设置进入电脑文件的权限表；(5)对电脑文件、数据进行加密处理。健全的网络与信息安全保障措施全文共15页，当前为第4页。（二）为保密需要，应定期或不定期地更换不同保密方法或密码口令。健全的网络与信息安全保障措施全文共15页，当前为第4页。（三）经特殊申报批准，才能查询、打印有关电脑保密资料。（四）电脑操作员对保密信息严加看管，不得遗失、私自传播。2.2.4计算机病毒的防治（一）公司提供公安部颁布批准的正版电脑杀毒产品，安装于服务器主机。各客户端电脑应设置每天定期升级及病毒扫描，随时检测并杀毒。（二）未经许可证，任何人不得携入软件使用，防止病毒传染。凡需引入使用的软件，均须首先进行病毒例行检测，防止病毒传染。（三）电脑出现病毒，操作人员不能杀除的，须及时报电脑主管处理。在各种杀毒办法无效后，须重新对电脑格式化，装入正规渠道获得的无毒系统软件。（四）建立双备份制度，对重要资料除在电脑贮存外，还应拷贝到移动硬盘或刻录制成光盘，以防计算机遭受病毒破坏而遗失。移动硬盘及光盘应按规定移送档案管理员留存。（五）及时关注电脑界病毒防治情况和提示，根据要求调节电脑参数，避免电脑病毒侵袭。（六）经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。三、网络安全管理员等人事管理制度为明确网络安全管理及相关人员的职责，促进网络系统安全的应用、高效运行，特制定本规章制度，请遵照执行。3.1网络安全管理员的职责（一）网络安全管理员主要负责全公司网络（包含局域网、广域网)的系统安全性。（二）负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。（三）在做好本职工作的同时，应协助机房管理人员进行机房管理，严格按照机房制度执行日常维护。（四）罗络安全管理员的直接上级是网络信息部门负责人。3.2网站管理员权限健全的网络与信息安全保障措施全文共15页，当前为第5页。（一）在公司及网站授权下参与网站站务和信息监督管理的权限。健全的网络与信息安全保障措施全文共15页，当前为第5页。（二）拥有登陆管理员、管理防火墙及其他公司授予的权限。3.3网络安全管理的主要工作要求（一）网络安全管理员应经常保持对最新技术的掌握，实时了解INTERNET的动向，做到预防为主。（二）良好周密的日志记录以及细致的分析经常是预测攻击、定位攻击、以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后，网络安全管理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪。若对方不听劝告，在保护系统安全的情况下可做善意阻击并向上级主管领导汇报。（三）网络安全管理员应按规定在新购置的计算机安装正版杀毒软件客户端，并指导使用人员进行定期升级及扫描的设置。（四）网络安全管理员收到计算机病毒侵扰信息后，应立即采取相应硬件杀毒及文件备份措施，保护公司信息完整有效。（五）网络安全管理员每月应向上级主管人员提交当月安全工作及事件处理记录，并对系统记录文件保存收档，以备查阅。3.4对网站管理员的基本要求（一）热情认真地为同事及网站用户提供优质服务。（二）具有充足的上网时间以确保网站管理的追溯性。（三）具有良好的个人素养，具有认真负责的工作态度。（四）具备一定的网站及计算机信息系统管理经验。（五）具有一定的沟通协调能力和良好的团队合作精神。（六）自愿接受公司及同事的督查，接受公司的统一考核。3.5网站安全管理员的工作职责与纪律（一）遵守公司各项规章制度，遵守国家法律法规，自觉维护公司及网站形象，服从公司安排及管理。健全的网络与信息安全保障措施全文共15页，当前为第6页。（二）实时检查网站及系统安全状况，一旦发现违反安全管理的言论或行为，迅速报告上级主管并处理；与网站数据管理/技术维护等相关人员的保特良好的沟通。健全的网络与信息安全保障措施全文共15页，当前为第6页。（三）及时维护网站正常秩序，积极参与处理网站纠纷，保证网站持续健康的发展。（四）善待网站用户及信息系统用户，认真对待提问，虚心接受批评与建议，严禁使用任何攻击、谩骂性词汇。（五）疏导为主，慎用权力，耐心解答同事及网络用户对于管理工作的质疑，严禁滥用职权打击报复。（六）遵守纪律，严禁泄露管理讨论内容及管理界面。不得将拥有管理权限的ID转借他人使用。（七）注意保护个人隐私，未经网管允许，严禁泄露他人IP、注册邮箱等隐私。四、网络运行安全管理条例为明确网络及信息系统安全、有效地运行，创造一个良好的网络信息环境，保障互联网药品信息发布的正常进行以及网络用户的使用权益，特制定本规章制度。（一）使用本网站的所有人员和用户均应遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》、《互联网药品信息暂行管理办法》等国家有关法律法规，严格执行安全保密制度。所有信息必须遵守《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统阶互联网保密管理规定》。（二）严禁在本网站服务器及客户端电脑上使用来历不明、引发病毒传染的软件；对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。（三）严禁利用本网站进行赌博、炒股、玩网络游戏等与工作无关的活动。（四）本网站的所有工作人员和用户必须对所提供的、使用的信息负责。不得利用计算机互联网从事危害国家安全、泄露国家机密的犯罪活动。不得利用本网站制作、复制、查阅和传播下列信息：(1)煽动抗拒、破坏宪法和法律、行政法规实施的；(2)煽动颠覆国家政权，推翻社会主义制度的信息；健全的网络与信息安全保障措施全文共15页，当前为第7页。(3)煽动分裂国家、破坏国家统一的信息；健全的网络与信息安全保障措施全文共15页，当前为第7页。(4)煽动民族仇恨、民族歧视、破坏民族团结的信息；(5)捏造或者歪曲事实、散布谣言，扰乱社会秩序的信息；(6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的信息；(7)公然侮辱他人或者捏造事实诽谤他人的信息；(8)损害国家机关信誉及其他违反宪法和法律法规的信息。（五）未经网络信息管理部门负责人的同意，任何人不得擅自增加、删除或修改网站的项目。数据管理员应在指定区域维护内容。（六）网站数据管理人员对网站上的项目和内容负责，所有网页上的图片和文字应符合有关法律和行政法规的要求，在发布之前必须认真审阅，确保内容和文字的正确性，必须遵守知识产权的有关法律法规，引用他人文献资料应注明出处。（七）网络信息部门应落实各项管理制度和技术规范，监控、封堵、清除网上有害信息。遇有计算机网络故障应及时排除；做好操作系统的维护工作，及时为系统安装升级包或者打补丁；做好防病毒防攻击的安全策略措施，随时防范病毒或黑客攻击，保证网络安全。（八）网络管理员应做好资料及数据的备份保存及、保管及保密工作。（九）本网站上所有用户有义务向网络安全管理员和有关部门报告违法犯罪行为和有害信息。本网站的有关工作人员和用户必须接受并配合国家有关部门依法进行的监督检查。（十）各级代理服务器除专门维护人员外，其他人不得随意改动或作为客户机使用。所有客户端用户，不得私自互换、修改网络信息部门分配的寻IP地址，不得擅自改变线路。（十一）设有交换机、集线器的部门，不得擅自拔、插和关闭该设备电源。不得擅自改变或破坏内部局域网的光缆和绞线等。健全的网络与信息安全保障措施全文共15页，当前为第8页。（十二）除网络管理员外，任何人不得以任何方式登录任何功能服务器进行修改、设置、删除等操作；任何人不得以任何借口移动、更换、破坏、盗窃网络设施。主/辅节点设备及服务器等设备发生案件或遭到黑客攻击，必须即时向公司领导及公安机关报告。健全的网络与信息安全保障措施全文共15页，当前为第8页。（十三）每位用户在使用本网站浏览网页时必须使用由分配的用户名登录，严禁使用他人用户名登录。网络管理员应指导员工与用户正确、安全、健康地使用网络进行查阅、收集、利用资料并进行履行职位规定的数据查阅与录入等活动。（十四）各岗位操作人员及本网站FTP服务器的用户均应对本人的资料负责，对本人权限的使用安全负责，严格保密自己登录密码，未经批准，不得将登录名及密码泄露给任何他人。服务器存放公司经营的数据、资料、软件等，与此无关的内容不得放在FTP服务器里。五、核心信息和资产访问制度网络核心信息和网络相关资产是企业极其重要的资产，核心信息和资产的安全保障直接关系到企业的健康运营。为了明确核心信息和资产安全管理的职责，保障其安全性和有效性，特制定本制度，请遵照执行。5.1核心信息和资产定义5.1.1本规定所述核心信息包括（但不局限于)：（一）数据：软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等；（二）软件：源代码、应用程序、软件工具、分析测试软件、操作系统等；（三）文档：软件程序、硬件设备、系统状态、本地管理过程的资料等。5.1.2本规定所述资产包括（但不局限于)：（一）硬件：服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端设备、打印机等整件设备；也包括CPU、硬盘、显示器等散件设备。（二）人员：所有用户、网络管理员、技术维护人员等。5.2信息和资产安全保障工作的目标与基本原则（一）核心信息和资产访问管理的最终目的是保障信息及资产的安全，即确保信息系统与资产的完整性、保密性、可用性、时效性、可审查性和可控性，切实保护市场参与各方的合法权益，促进经营持续、稳定、健康地发展。（二）信息和资产安全保障工作的具体目标是：健全的网络与信息安全保障措施全文共15页，当前为第9页。(1)保护信息系统的物理环境、设备设施和运行环境，保证信息系统的环境安全；健全的网络与信息安全保障措施全文共15页，当前为第9页。(2)确保信息内容的合法性，保护信息在采集、传输、使用和存储过程中的保密性、完整性、可用性、时效性、可审查性和可控性，保证信息的安全；(3)提高信息安全意识、安全专业素质以及安全管理与服务水平；(4)提高信息系统的可用率和灾难恢复能力，为业务的可持续性运行提供保障。（三）信息安全保障工作应遵循以下基本原则：(1)责任制原则：安全管理应做到”谁主管，谁负责”、“谁运营，谁负责”，注重以法律手段明确与他方的责任关系，通过契约、协调等方式与他方进行责任划分，明确进行风险转移，通过责任主体制约他方。(2)规范化原则：遵循国内、国际的信息安全标准及行业规范，对信息系统实行等级保护。(3)全面统筹原则：信息安全保障工作应贯穿于信息化全过程，坚持统筹规划、突出重点，安全与发展并进，管理与技术并重，应急防御与长效机制相结合。(4)实用性原则：在确保信息系统性能和安全的前提下，充分利用资源，讲究实效，避免重复和盲目投资，积极采用国家法律法规允许的、成熟的先进技术和专业安全服务，运用科学的经营管理方法，降低成本，保障安全运行。5.3信息安全保障的管理机构（一）本公司计算机信息网络的管理机构为网络信息部门，该部门在公司的领导下，负责制定网络发展规划和各项管理办法，审议有关网络建设运行和网络信息安全等重大问题等，并负责处理日常事务。（二）本公司计算机信息网络实行统一管理，分级负责制；网络信息部对机房、服务器及主干网络进行管理，各部（室)对本部门接入网络进行管理，系统管理员对其负责的网络系统和上网资源进行管理。健全的网络与信息安全保障措施全文共15页，当前为第10页。（三）各部门应明确专人与网络信息部联系，负责实施落实网络和信息安全保障工作，保存本部门网络运行的有关记录及档案资料，并接受网络信息部门及审计部门的检查。健全的网络与信息安全保障措施全文共15页，当前为第10页。5.4网络接入的管理（一）本公司计算机信息网络的接入网络必须符合《中华人民共和国计算机信息系统国际联网管理暂行规定》的条件，符合国际信息产业部门规章所规定的入网条件。（二）申请入网的公司内部个人用户，须提出书面申请，按要求提供所需资料，所在部门主管及网络信息部门审核，公司主管领导批准，方可分配IP地址进入网络，所有用户资料应报由网络信息部门归档保存。（三）员工个人申请装载信息管理系统、开设个人电子信箱，或开通IP地址等上网服务，须先如实填写申请表，提供所需资料，经所在部门主管及网络信息部门审核管领导或总经理批准，方可开通。5.5核心信息和资产的安全管理（一）公司网络信息部门及各部必须采取各种技术手段和行政手段，建立健全并切实执行安全保护各项规章制度，落实安全技术设备设施，防止有害侵入，确保保证网络信息和资产的安全。（二）所有用户必须对所发布的信息负责，不得利用计算机联网从事危害国家安全，泄漏国家机密等犯罪活动，不允许进行干扰其他网络用户，破坏网络信息和破坏网络设备的活动，这些活动包括（但不局限于)在网络上发布不真实的信息，散布计算机病毒，从事广告推销等商业行为，使用未经授权使用的计算机，不以真实身份使用网络资源等，不得制作，查园，复制和传播有碍社会治安和有伤风化的信息。（三）由网络信息部门指定专人负责对已经批准入网的部与员工个人分配IP地址和域名，并对所有IP地址进行监控管理.如发现有利用计算机联网从事危害国家安全，泄漏国家机密等犯罪活动或其他不良活动时，及时报告公司主管网络信皂领导，关闭其IP地址，并追究相关责任。（四）其他网络信息和资产管理规定，执行公司相关管理制度。网络信息部及各有关部门应根据具体需要，制订管理细则。健全的网络与信息安全保障措施全文共15页，当前为第11页。5.6核心信息和资产的访问健全的网络与信息安全保障措施全文共15页，当前为第11页。（一）核心信息和资产的造册管理：网络信息部门应建立核心信息和资产清单一包括软件、计算机设备、数据库及文件/文档及其位置、安全等级及内部责任人等档案，并且规定每类资产的管理责任，落实日常维护措施，以保证落实资产择护的职责。（二）核心信息和资产的维护：对照核心信息和资产档案，针对不同类型分别采取不同的保护措施，实行严格的安全维护制度。（三）关键人员的筛选：防范内部安全威胁与避免受到外部攻击同样重要。预防性措施包括对访问敏感文件的员工进行背景调查，制定相关政策避免员工有意或无意破坏关键系统及数据。（四）实行有效的网络管理：正确制定计算机系统操作制度，明确IT人员更换时，关键信息和资产的正常交接。保证系统正常运维，避免成系统故障、数据丢失或破坏保密性。（五）严格的访问控制规定：禁止员工擅自在自己的计算机上安装第三方软件；实行员工访问内部信息的授权级别管理，对授予员工的用户及客户会员注册许可做出严格规定，以避免未经授权访问机密数据，保证计算资源的完整性，避免出现安装非授权软件的责任事故。（六）新系统与应用软件的安全措施：若因工作需要安装新系统与软件，必须保证与现有系统兼容，以免发生故障；同时配置相应的安全级别和防火墙安全策略，从而不留下新的被攻击隐患，有效保护网络信息。（七）落实系统恢复及业务连续性措施：严格执行数据备份及（灾难性)恢复制度，制定业务连续性流程或连续性计划，保证企业在发生灾难时具有相应预案，将业务中断降至最小程度，并迅速恢复运营所需的必要应用。（八）遵守既定规则与规定：各部门应加强相关管理制度执行落实情况的检查，一旦发现违反管理制度的行为，立即予以纠正。健全的网络与信息安全保障措施全文共15页，当前为第12页。（九）各部门及个人用户的网络地址（防火墙和路由器的规划必须严格按网络信息部统一规划制定）不得以任何理由更改，以便直接接受在线监控；并且不得自行修改或回复操作，如确因工作需要，须报网络信息部审核及总经理批准，并将修改记录备份记录。健全的网络与信息安全保障措施全文共15页，当前为第12页。（十）各部门必须严格按照监管要求，确保监管系统与业务系统的隔离，内部网络与Internet的隔离。一旦发生系统安全隐患或病毒侵害时需要及时报告网络信息部门，并尽快采取措施保证系统安全。（十一）对因提供虚假数据或认为因素导致信息系统无法正常运行、或因相关操作人员违反计算机操作及网络安全管理及访问制度而导致数据损失的，将依照国家有关规定及公司制度严肃处理。5.7信息安全组织体系的建立：（一）建立决策层、管理层和执行层三层工作关系，明确信息安全主管领导，落实信息安全管理部门，指定信息安全执行岗位；（二）设立专职的网络安全管理员和安全审计员岗位，分别负责信息安全工作的实施和审计；通过多种安全培训方式加强信息安全人才队伍的建设，提高信息安全工作人员的技能水平，提高员工安全意识。（三）应建立健全全面的信息安全管理体系：(1)制定统一的信息安全策略和全面、可操作的信息安全管理操作规程（SOP)，规范信息系统的安全规划与建设，确保策略和制度得到恰当的理解并得到有效的遵循和执行。(2)加强信息系统资产安全管理，保护信息系统设备、软件、数据和技术文档的安全，实行信息系统资产管理责任制，实现等级管理、密级管理，重点保护核心信息系统资产的安全；(3)强化信息系统的物理安全保护，执行严格的机房安全管理、环境安全管理和有效的物理控制措施；(4)建立信息系统网络、系统、应用等各层面的安全管理流程，实现对信息系统规划、建设、运行、维护各个阶段的安全管理，开发与运营独立管理，严格执行日常的实时管理和定期管理工作；健全的网络与信息安全保障措施全文共15页，当前为第13页。(5)实现对信息系统的安全风险管理，对信息资产、威胁和脆弱性的状况进行定期评估，及时发现安全隐患并进行预防性的保护，选择适用、有效的安全措