信息安全管理制度

信息安全管理制度加强安全教育管理，提高所有工作人员安全保密意识从事计算机网络信息活动时，必须遵守《中华人民共和国计算机信息系统安全保护条例》的规定，应严格遵守国家法律、法规，加强信息安全教育，增强个人安全意识。通过正式的信息安全培训，以及网站、简报、会议、讲座等各种形式的信息安全教育活动，不断加强工作人员的信息安全意识，提高信息安全技能。每年组织2次全员信息安全管理制度宣传，安全制度张贴在办公场所明显位置。建立安全保密工作规则，保证所有存在安全风险和涉密的工作尊章进行建立电脑设备及系统权限管理台账，明确记录电脑使用者及系统用户权限。按照“仅知”原则，通过功能和技术配置，对重要信息系统、数据等实施访问控制。所有涉及保密或隐私数据的工作人员都要签订保密协议，根据工作人员工作职责，确定数据信息查看和使用范围，规定数据信息使用规范，明确泄密风险内容及所负法律责任。通过操作记录、数据审计日志、工作痕迹保留等技术手段，建立责任倒查追究机制，对于非工作原因进行的数据查询、超出权限职责的业务办理及不合规的业务办理进行数据核查。以上各项记录专项保存、备份，设置为最高等级访问权限，并定期由专人进行历史记录审计，发现问题及时追究。加强信息安全日常管理，形成符合安全制度要求的工作行为习惯工作人员须执行密码管理规定，密码应同时包含大小写字母、数字和符号，并对相关密码进行定期更改。任何密码不得外泄，如有因密码外泄而造成的损失，由当事人全部责任。工作电脑不允许交叉连接工作内网与互联网,离开工位须锁定计算机，下班须退出信息系统并关闭个人电脑。工作人员对所用电脑应在每周进行一次进行杀毒以及杀毒软件的升级,每月进行一次系统安全补丁安装。不允许随意使用外来U盘，不得不使用的情况下，应先进行病毒扫描。敏感信息和相关文件不得通过微信、QQ等互联网即时通讯软件传递，不得通过互联网邮箱发送。设立信息系统代码安全质检员，对各信息系统从代码层级进行安全检查，最大程度避免系统漏洞带来的安全风险。严格数据修改工作流程，所有数据修改都需要根据数据修改任务单进行。加强运维工作管理，做好信息系统安全运维保障每日定时进行系统巡检，对人工巡检维护记录和系统管理工具监测记录进行汇总记录，包括运行情况、报警情况、故障情况、故障处理等。对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录，填写《系统维护和应急处理记录》。严格病毒防护，对防病毒产品上截获的信息进行分析处理，包括恶意代码的特征、危害方式、危害后果和处理措施。定期按照数据备份策略，分别采用自动和人工方式对数据库进行备份。在软件系统中维护过程中严格遵守信息安全保密制度。细化系统权限管理，确保工作职责与系统权限严格匹配业务办理权限：主要是所有业务办理人员，账号的开通和权限的分配由各业务科室负责人申请，信息科进行账号添加与权限配置。工作人员转岗或离职，业务科室负责人应及时申请账号注销。后台管理权限：各系统的后台管理由信息科负责，信息科可以根据工作需要指定多名工作人员分别进行权限管理。从业单位权限：主要是指各业务信息终端使用人员的权限管理，该权限由终端接入单位申请，业务责任科室审核，信息科进行账号添加与权限配置。数据维护权限：严格数据库访问控制，确因工作需要，工作人员可以根据工作内容临时申请操作数据库。数据库访问权限由数据操作人员申请，所在部门负责人审批通过后，由信息科专人进行授权操作。工作任务完成后，及时进行账号注销或锁定。数据库权限从表名和操作类型两个角度细化配置，确保将权限限制在最小范围。服务器管理权限：因服务器维护和系统更新，配置一到两名工作人员可以日常直接对服务器进行操作，其他人一律不准访问正式服务器。服务器密码只能由具体维护人员及其直接负责人知晓，不得向其他任何人传播。建立应急工作机制，提高信息系统应急保障能力建立信息安全应急工作机制，提高应对信息安全事件的能力，预防和减少信息安全事件造成的损失和危害。每年对信息安全事件应急预案评估四次，并根据实际情况进行修订。每半年组织一定应急预案的宣传