企业信息安全管理条例_第1页
企业信息安全管理条例_第2页
企业信息安全管理条例_第3页
企业信息安全管理条例_第4页
企业信息安全管理条例_第5页
已阅读5页,还剩34页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

欢迎阅读本文档,希望本文档能对您有所帮助!欢迎阅读本文档,希望本文档能对您有所帮助!感谢阅读本文档,希望本文档能对您有所帮助感谢阅读本文档,希望本文档能对您有所帮助欢迎阅读本文档,希望本文档能对您有所帮助!感谢阅读本文档,希望本文档能对您有所帮助企业信息安全管理条例第一章信息安全概述1.1、公司信息安全管理体系

信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。

信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。

改善信息安全水平的主要手段有:

1)安全方针:

为信息安全提供管理指导和支持;2)安全组织:在公司内管理信息安全;

3)资产分类与管理:对公司的信息资产采取适当的保护措施;4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险;

5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;

6)通讯与运作管理:确保信息处理设施正确和安全运行;7)访问控制:妥善管理对信息的访问权限;

8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期;

9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式;

10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故障或灾害的影响;

11)符合法律。避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。

1.2、信息安全建设的原则

1)领导重视,全员参与;

2)信息安全不仅仅是it部门的工作,它需要公司全体员工的共同参与;

3)技术不是绝对的;

4)信息安全管理遵循“七分管理,三分技术”的管理原则;5)信息安全事件符合“

二、八”原则;

6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部;

7)管理原则。管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。

1.3、信息安全管理体系建设的目的

1)保障erp系统的安全运行,控制公司信息泄密风险;2)提高企业员工对安全的认识和对安全管理的参与;3)提高企业用户及合作伙伴对企业的信心、信任、满意程度;4)提高企业信息安全管理的质量和水平;5)使企业更有效地管理和处理信息安全事件;6)遵守和通过相关法律法规的要求;

7)为将来企业充份利用电子商务打下重要的基础。

第二章员工信息安全规范2.1、适用范围

本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。

本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。

2.2、计算机安全要求

1)计算机信息登记与使用维护:

每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过it部的登记,严禁私自变更使用人和增减配置;

每位员工有责任保护公司的计算机资源和设备,以及包含的信息。每位员工必须把自己的计算机名字设置成固定的格式,一律采用ad域名_所属地区编号组成;

例如某台计算机名为ssss_100201,ssss为地区ad域名,100为地区编号,201代表该地区第201个账户。2)必须在所有个人计算机上激活下列安全控制:

所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。3)当员工离开办公室或工作区域时:

必须立即锁定计算机或者激活带密码保护的屏幕保护程序;如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域;

妥善保管所有包含公司涉密内容的文件,如锁进文件柜。4)防范计算机病毒和其他有害代码:

每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件;

员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新;

如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司it部门汇报。5)软件的使用:

员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:bt等p2p软件、sniffer等流量监控软件及黑客软件、p2p终结者、网络执法官之类的网络管理软件;

工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件;公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、office20

10、360浏览器、ie8.0升级包、winrar、固网打印服务;

如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需要承担全部责任。6)文件的共享:

员工在使用文件共享时,必须将其设置为受限共享;

禁止使用基于互联网的p2p软件和共享服务,如:bt、emule等;不得在计算机上配置匿名ftp、tftp、http,或其他无需验证的服务;

例如。员工不得在公司的计算机上私自架设匿名ftp;未经it部门许可,不得在使用erp系统的计算机上使用u盘或移动硬盘。如因业务需要,必须要访问其他人的硬盘。当定义共享权限时,员工必须设定用户权限、设定访问密码,并及时取消所定义的共享。

7)邮件的发送与接收:

禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件;禁止将涉及公司秘密的内部邮件转发到互联网上。8)公司涉密信息的保护:

公司涉密信息包括但不限于公司数据库中的秘密信息,与公司目前或未来产品、服务或研究有关的公司技术或科技信息,业务或营销计算、营销收益或其他财务资料、人事资料,以及软件等技术信息、经营信息等;

公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的情况下泄漏这些信息,并且必须遵守公司为保护此信息而制定的各项标准和流程;

每个员工只能接触使用与本岗位工作相关的涉密信息,禁止从非正常途径获取公司或部门的涉密信息;禁止非授权复制涉密信息;

对公司文档的保管、存档、发送、删除、销毁、复制等必须遵守公司相关的文档保密管理规定;

禁止使用提供翻译服务的互联网站来翻译公司的涉密信息;公司涉密信息尽量避免通过互联网传送,但由于工作需要,需要通过电子邮件等方式发送公司涉密信息时,可以采用winrar加密压缩的方式把涉密内容作为附件发送,然后通过其他渠道告知对方加密密码。

9)公司信箱的帐户及密码

所有的密码必须符合如下条件:

至少8个字符长,并且包含英文、数字及特殊字符;禁止把用户名用作密码或其一部分;

旧密码中任何三个连续的字符尽量不要连续出现在新密码中;公司要求员工至少每30天更换一次密码。10)内部网络使用规则

禁止在网络上伪装为他人身份;

不得私自安装网络管理软件,监控网络流量或者妨碍他人使用网络资源;

不得对公司网络或服务器以及网络中他人电脑运行安全扫描程序或者恶意攻击;

未经it部允许,不得增加网络设备到公司的网络中,严禁私自购买路由器、交换机接入公司网络等行为;宿舍区电脑大部分属于员工私人计算机,禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中;

第三章公司信息安全管理检查执行规定

3.1.检查原则

根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当,造成公司安全制度和措施难以落实,安全管理工作混乱的部门,部门负责人须承担领导责任。对违反信息安全管理规定者,如其直接领导有明显管理和指导不力的须承担连带责任。

3.2.检查方式

公司技术部门抽调网络管理人员,不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件,排查违规电脑,追究相关当事人。

3.3.检查结果

对于故意盗窃、泄露公司保密信息的,或故意违反信息安全管理规定,性质特别严重造成重大损失的,给予罚款、降薪、降职、辞退、直至开除的处理,并赔偿公司损失。对于触犯国家法律的,移交国家司法机关依法处理。。对违反公司信息安全制度规定,性质较轻,在公司内部系统给予点名通报批评,并记录在案,责令限期改正。

第二篇:(施工企业)安全生产管理条例第一章总则

第一条为了加强建设工程安全生产监督管理,保障人民群众生命和财产安全,根据《中华人民共和国建筑法》、《中华人民共和国安全生产法》,制定本条例。

第二条在中华人民共和国境内从事建设工程的新建、扩建、改建和拆除等有关活动及实施对建设工程安全生产的监督管理,必须遵守本条例。

本条例所称建设工程,是指土木工程、建筑工程、线路管道和设备安装工程及装修工程。

第三条建设工程安全生产管理,坚持安全第

一、预防为主的方针。

第四条建设单位、勘察单位、设计单位、施工单位、工程监理单位及其他与建设工程安全生产有关的单位,必须遵守安全生产法律、法规的规定,保证建设工程安全生产,依法承担建设工程安全生产责任。

第五条国家鼓励建设工程安全生产的科学技术研究和先进技术的推广应用,推进建设工程安全生产的科学管理。

第二章建设单位的安全责任

第六条建设单位应当向施工单位提供施工现场及毗邻区域内供水、排水、供电、供气、供热、通信、广播电视等地下管线资料,气象和水文观测资料,相邻建筑物和构筑物、地下工程的有关资料,并保证资料的真实、准确、完整。

建设单位因建设工程需要,向有关部门或者单位查询前款规定的资料时,有关部门或者单位应当及时提供。

第七条建设单位不得对勘察、设计、施工、工程监理等单位提出不符合建设工程安全生产法律、法规和强制性标准规定的要求,不得压缩合同约定的工期。

第八条建设单位在编制工程概算时,应当确定建设工程安全作业环境及安全施工措施所需费用。

第九条建设单位不得明示或者暗示施工单位购买、租赁、使用不符合安全施工要求的安全防护用具、机械设备、施工机具及配件、消防设施和器材。

第十条建设单位在申请领取施工许可证时,应当提供建设工程有关安全施工措施的资料。

依法批准开工报告的建设工程,建设单位应当自开工报告批准之日起15日内,将保证安全施工的措施报送建设工程所在地的县级以上地方人民政府建设行政主管部门或者其他有关部门备案。

第十一条建设单位应当将拆除工程发包给具有相应资质等级的施工单位。

建设单位应当在拆除工程施工15日前,将下列资料报送建设工程所在地的县级以上地方人民政府建设行政主管部门或者其他有关部门备案:

(一)施工单位资质等级证明;

(二)拟拆除建筑物、构筑物及可能危及毗邻建筑的说明;

(三)拆除施工组织方案;

(四)堆放、清除废弃物的措施。

实施爆破作业的,应当遵守国家有关民用爆炸物品管理的规定。

第三章勘察、设计、工程监理及其他有关单位的安全责任

第十二条勘察单位应当按照法律、法规和工程建设强制性标准进行勘察,提供的勘察文件应当真实、准确,满足建设工程安全生产的需要。

勘察单位在勘察作业时,应当严格执行操作规程,采取措施保证各类管线、设施和周边建筑物、构筑物的安全。

第十三条设计单位应当按照法律、法规和工程建设强制性标准进行设计,防止因设计不合理导致生产安全事故的发生。

设计单位应当考虑施工安全操作和防护的需要,对涉及施工安全的重点部位和环节在设计文件中注明,并对防范生产安全事故提出指导意见。

采用新结构、新材料、新工艺的建设工程和特殊结构的建设工程,设计单位应当在设计中提出保障施工作业人员安全和预防生产安全事故的措施建议。

设计单位和注册建筑师等注册执业人员应当对其设计负责。

第十四条工程监理单位应当审查施工组织设计中的安全技术措施或者专项施工方案是否符合工程建设强制性标准。

工程监理单位在实施监理过程中,发现存在安全事故隐患的,应当要求施工单位整改;情况严重的,应当要求施工单位暂时停止施工,并及时报告建设单位。施工单位拒不整改或者不停止施工的,工程监理单位应当及时向有关主管部门报告。

工程监理单位和监理工程师应当按照法律、法规和工程建设强制性标准实施监理,并对建设工程安全生产承担监理责任。

第十五条为建设工程提供机械设备和配件的单位,应当按照安全施工的要求配备齐全有效的保险、限位等安全设施和装置。

第十六条出租的机械设备和施工机具及配件,应当具有生产(制造)许可证、产品合格证。

出租单位应当对出租的机械设备和施工机具及配件的安全性能进行检测,在签订租赁协议时,应当出具检测合格证明。

禁止出租检测不合格的机械设备和施工机具及配件。

第十七条在施工现场安装、拆卸施工起重机械和整体提升脚手架、模板等自升式架设设施,必须由具有相应资质的单位承担。

安装、拆卸施工起重机械和整体提升脚手架、模板等自升式架设设施,应当编制拆装方案、制定安全施工措施,并由专业技术人员现场监督。

施工起重机械和整体提升脚手架、模板等自升式架设设施安装完毕后,安装单位应当自检,出具自检合格证明,并向施工单位进行安全使用说明,办理验收手续并签字。

第十八条施工起重机械和整体提升脚手架、模板等自升式(本文权属文秘之音所有,更多文章请登陆查看)架设设施的使用达到国家规定的检验检测期限的,必须经具有专业资质的检验检测机构检测。经检测不合格的,不得继续使用。

第十九条检验检测机构对检测合格的施工起重机械和整体提升脚手架、模板等自升式架设设施,应当出具安全合格证明文件,并对检测结果负责。

第四章施工单位的安全责任

第二十条施工单位从事建设工程的新建、扩建、改建和拆除等活动,应当具备国家规定的注册资本、专业技术人员、技术装备和安全生产等条件,依法取得相应等级的资质证书,并在其资质等级许可的范围内承揽工程。

第三篇:企业信息安全管理制度企业信息安全管理制度

关键字:密码数据机房iso27001作者:亚远景科技有限公司转载请注明出处

一、计算机设备管理制度

1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。

3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。

二、操作员安全管理制度

(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;

(二).系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得;

2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;

3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;

4、系统管理员不得使用他人操作代码进行业务操作;

5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;

(三).一般操作代码的设置与管理

1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。

2、操作员不得使用他人代码进行业务操作。

3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。

三、密码与权限管理制度

1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;

2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。

3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。

4.系统维护用户的密码应至少由两人共同设置、保管和使用。

5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。

四、数据安全管理制度

1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;

2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。

3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。

4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。

5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。

6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。

8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。

9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。

10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。

五、机房管理制度

1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。

2.it部门人员进入机房必须经领导许可,其他人员进入机房必须经it部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非it部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经it部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。

3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。

4.工作人员进入机房必须更换干净的工作服和拖鞋。

5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。

6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。

7.严禁在通电的情况下拆卸,移动计算机等设备和部件。

8.定期检查机房消防设备器材。

9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。

10.主机设备主要包括。服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。

11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。

12.计算机机房后备电源(ups)除了电池自动检测外,每年必须充放电一次到两次。

一、机房管理制度

1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。

2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。

3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。

4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。

5、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。

6、做好操作系统的补丁修正工作。

7、网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。

8、计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。

9、制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。

二、计算机病毒防范制度

1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。

2、采用国家许可的正版防病毒软件并及时更新软件版本。

3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。

4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。

三、数据保密及数据备份制度

1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。

2、禁止泄露、外借和转移专业数据信息。

3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据。

4、每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。

5、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。

6、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。

8、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

网络安全管理员的职责

一、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。

二、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。

三、网络安全管理员应经常保持对最新技术的掌握,实时了解internet的动向,做到预防为主。

四、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。

五、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。

六、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法如下:在nt中是使用administrativetools菜单中eventviewer查看系统的system、security、application日志文件。对netware而言,错误日志是sys$log.err文件,通过syscon菜单中supervisoroptions下viewfileservererrorlog观察记录,另外文卷错误日志文件是各文卷中的vol$log.log以及事务跟踪处理系统错误日志文件sys:文卷中的tts$log.err文件。unix中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(xenix系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab-l与corntab-r命令对用户的corntab文件进行列出与删除管理;使用ls-lr生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。

一、机房管理制度

服务器机房由网络维护员专门负责管理。其它人员不得入内。机房钥匙不得转借他人。

网络维护员负责局域网的防毒和杀毒工作。并经常为服务器及其计算机设备进行病毒检查。

网络维护员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向部门经理报告。

机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。

在原有设备的基础上,为了更好的利有现有打印机的资源。使用上实现分片共享。

服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接ups保护电池,以防止突然停电对设备造成损坏和资料丢失。

二、局域网管理制度

1、局域网管理工作由网络维护员负责。

2、出现问题、故障或发现病毒,及时通知网络维护员。由网络维护员及时处理和排除,并做记录。

3、网络客户如果确实要进行如上操作,可向网络维护员说明,获得同意后方可操作。

4、严禁在计算机有未杀的情况下发送电子邮件和拷贝文件到其它客户机上。

5、除网络维护员外,其它人员不得在服务器上任意安装和删除软件,不得随意更改服务器和交换机上的各项系统设置。

6、网络客户机上的操作人员不得更改计算机上的各系统设置。网络客户机不得使用盗版的软件和计算机游戏软件。

7、需要对局域网做大的改动时,须向部门经理请示,征得批准后方可进行。

8、上班期间不准上网聊天或玩游戏。网上客户机不得装载任何游戏软件或下载软件。下载软件须经信息资源部批准方可下载。

一、服务器机房由机房主管人员和管理人员专门负责管理。其它人员未经允许不得入内。机房钥匙不得转借他人。

二、机房管理人员负责校园网的防毒和杀毒工作。并经常为服务器及其微机设备进行病毒检查。

三、机房管理人员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向主管和部门负责人报告。

四、机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。

五、服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接ups保护电池,以防止突然停电对设备造成损坏和资料丢失。

六、机房应做好防潮、防尘、防水、防热、防火、防盗等工作。下班人员离开前应切断电源,关好门窗,以确保安全。

七、机房主管人员对所管机房的微机及设备负全部责任。未经机房主管人员同意,任何人不准自行使用,移动和调换。

八、机房管理人员要坚守值班岗位,密切监视校园网网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗,并做好交接班记录。

九、机房管理人员要注意保密工作,不得随意泄露学校秘密信息。

十、健全机房设备固定资产台帐和低值易耗品台帐,建立设备使用记录本,记录使用、维修等变化情况。

第四篇:企业信息安全管理办法信息安全管理办法

第一章总则

第一条

为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。

第二条

本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。

第三条

公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。

第四条

信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。

第五条

本办法适用于公司总部、各企事业单位及其全体员工。

第二章信息安全管理组织与职责

第六条

公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。

第七条

公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。

第八条

信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。

第九条

公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。

第十条

企事业单位信息部门负责本单位信息安全的管理,具体职责包括:在本单位宣传和贯彻执行信息安全政

策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。

第十一条

技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。

第十二条

各级信息管理部门设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位可设置两个员工互为备份。

第十三条

信息安全岗位的设立应遵循职责分离的要求,包括。制度监督者与执行者分离,信息系统授权者与操作者分离,应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。

第十四条

公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求,承担相关安全义务和责任,并及时报告信息安全事件。

第三章信息安全目标与工作原则

第十五条

信息安全工作的总体目标是。实施信息系统安全等级保护,建立和健全先进实用、完整可靠的信息安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。

第十六条

信息安全体系建设必须坚持以下原则。坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。

保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。

符合法规。信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技术和专业安全服务。

综合防范。管理与技术并重,相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合防范。

集中共享。建立集中、统一的信息安全技术服务平台和

集中专业化的信息安全队伍。

第四章信息安全工作基本要求

第十七条

根据公司信息安全专项规划和总体方案,分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,并保持三个体系稳定、均衡发展。

第十八条

建立全面的信息安全管理体系:

制定并实施统一的信息安全策略、管理制度和技术标准。

实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。

建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程,实现对信息系统全生命周期的安全管理。

实现对信息系统的安全风险管理,及时发现和防范安全隐患。

第十九条

建立有效的信息安全技术体系:

强化网络、桌面和应用系统安全防护体系,按照自主定级、自主保护的原则,评估确定各信息系统保护等级并实施

相应的保护措施。

建立统一的网络安全信任体系,加强网络实体身份管理与认证,为网络和信息系统安全运行提供信任基础。

建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统,及时发现安全隐患。

建立全面有效的应急响应体系,制定并落实完整、规范的应急处理和响应流程,完善信息安全报告、处理机制。

建立包括同城和异地容灾备份中心的信息系统灾难恢复体系,定期进行灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。

第五章信息安全监控

第二十条

信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。

第二十一条

信息系统的运行和维护单位,在国家法律和公司有关规定许可的范围内,具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受

必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。

第二十二条

各级信息部门负责制定和实施信息安全监控计划,包括日常监控、应急处理和定期汇报。

第二十三条

日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。

第二十四条

各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行,并至少每年组织一次相关岗位人员进行应急预案演练。

第二十五条

各级信息部门编制、上报信息安全月报和年报,及时向主管领导和上级部门汇报重大信息安全风险和事件。

第六章信息安全风险评估

第二十六条

信息管理部负责组织建立风险评估规范及实施团队,定期或在重大、特殊事件发生时进行风险评估。

第二十七条

风险评估包括范围确定、风险识别、风险分析和控制措施,确保信息安全,满足应用和业务需要。

评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。

风险识别包括识别风险类型和风险事件,形成风险列表,更新信息风险数据库。

风险分析包括信息资产分类、风险发生概率和影响程度分析,并确定风险等级,形成风险评估报告。

控制措施包括安全管理策略和风险控制措施,形成风险控制报告。

第二十八条

信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见,落实控制措施。

第七章信息安全培训

第二十九条

信息管理部负责制定公司信息安全培训计划,组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训,培训计划报信息管理部备案。

第三十条

信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训,提高信息安全管理和维护水平。

第三十一条

信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训,包括针对业务和技术管理人员进行管理层面的信息安全管理培训,针对从事日常业务处理人员进行操作层面基本安全知识培训。

第三十二条

员工上岗前,应进行岗位信息安全培训,并签署信息安全保密协议。在岗位发生变动时,及时调整信息系统操作权限。

第三十三条

信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息安全权限和责任的变化。

第八章信息安全检查与考核

第三十四条

信息管理部定期进行信息安全检查与考核,包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。

第三十五条

各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核,信息管理部进行综合评价,形成年度考核报告,报信息主管领导。

第三十六条

对于不执行本办法造成严重后果的,应追究相关部门和个人责任。

第九章附则

第三十七条

各企事业单位可参照本管理办法制定相应的实施细则。

第三十八条第三十九条

本办法由公司信息管理部负责解释。本办法自印发之日起施行。

第五篇:企业信息安全保密管理办法企业信息安全保密管理办法

1.目的作用

企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。

2.管理职责

由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。

3.公司文件资料的形成过程保密规定拟稿过程

拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理:

初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。草稿纸及废纸不得乱丢,如无保留价值应及时销毁。

文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。印制过程

秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:

要严格按照主管领导审定的份数印制,不得擅自多印多留。要严格控制印制工程中的接触人员。

打印过程形成的底稿、清样、废页要妥善处理,即使监销。复制过程

复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:

复制秘密文件、资料要建立严格的审批、登记制度。复制件与正本文件、资料同等密级对待和管理。严禁复制国家各种秘密文稿和国家领导人的内部讲话。

1绝密文件、资料、未经原发文机关批准不得自行复制。

4.公司文件资料传递、阅办过程保密规定

收发过程

收进文件时要核对收件单位或收件人,检查信件封口是否被开启。

收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。

收发文件、资料都要建立登记制度和严格实行签收手续。递送过程

企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。递送外地文件、资料,要通过机要交通或派专人递送。

凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。

递送的秘密文件、资料,一律要包装密封,并标明密级。阅办过程

呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。

绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。

秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。要控制文件、资料阅读范围,无关人员不能看文件、资料。

5.公司文件资料归档、保管过程中的保密规定

归档过程

秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。

有密级的档案,要按保密文件、资料管理办法进行管理。保密

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论