信息系統安全管理制度（五篇）

第1篇 信息系統安全管理制度

為進一步規范公司管理,防范企業涉密資料以及涉密數據外泄,經過公司研究決定,從即日起,規范相關關鍵信息、賬戶的管理。公司根據現在公司的管理需求,統一收回所有公司信息管理賬號,集中管理,專人保管。各個部門如要使用可填寫賬戶使用申請單。

具體管理辦法如下:

第一章 總 則

第一條 為加強公司用戶賬號管理,規范用戶賬號的使用,提高信息系統使用安全性,特制定本制度。

第二條 本制度中系統賬號是指應用層面及系統層面(平臺、操作系統、數據庫系統、信息管理系統、防火墻及其它網絡設備)的用戶賬號。

第三條 本規定所指賬號管理包括:

1、應用層面用戶賬號的申請、審批、分配、刪除/禁用等的管理

2、系統層面用戶賬號的申請、審批、分配、刪除/禁用等的管理

3、用戶賬號密碼的管理。

第四條 系統擁有部門負責建立《崗位權限對照表》(附件一),制定工作崗位與系統權限的對應關系和互斥原則,對具體崗位做出具體的權限管理規定。

第五條 信息管理中心根據系統擁有部門提交的《崗位權限對照表》增加系統崗位權限控制。

第六條 用戶賬號申請、審批及設置由不同人員負責。

第七條 各信息系統需設置超級管理員、系統管理員、系統管理監督員和普通用戶。超級管理員、系統管理員與系統管理監督員不能由同一人擔任,并不能是系統操作用戶。

1、超級管理員:負責按照領導審定的《信息系統權限申請表》(附件二)進入系統管理員的授權管理。

2、系統管理員:負責按照領導審定的授權進行錄入,并對系統運行狀況以及系統用戶數據錄入進行管理。系統管理員應對錄入的授權和系統運行狀態建立臺帳,定期向系統管理監督備案。

3、系統管理監督員:負責對錄入的數據和授權進行監督,并建立用戶權限臺帳,定期對系統管理員錄入的授權和系統運行狀態以及用戶錄入數據進行監督檢查。

4、普通用戶:負責對系統進行業務層面的操作。

第八條 信息管理中心將定期抽取系統崗位和用戶清單進行檢查,發現可疑授權、可疑使用將根據實際情況予以通報修正,并將檢查結果記入信息化年度考核中。

第二章 普通賬號管理

第九條 申請人使用統一規范的《信息系統權限申請表》(附件二)提出用戶賬號創建、修改、禁用、啟用等申請。

第十條 賬號申請人所屬部門負責人及系統擁有部門負責人根據《崗位權限對照表》審核申請人所申請的權限是否與其崗位一致,確保權限分配的合理性、必要性和符合職責分工的要求。

第十一條 在受理申請時,權限管理人員根據申請配置權限,在系統條件具備的情況下,給用戶分配獨有的用戶賬號或禁用用戶賬號權限,以使用戶對其行為負責。一旦分配好賬號,用戶不得使用他人賬號或者允許他人使用自己的賬號。

第十二條 新員工入職或員工崗位發生變化時,應主動申請所需系統的賬號及權限。

第十三條 人員離職的情況下,該員工的賬戶應當被及時的禁用。離職人員的離職手續辦理完畢后。員工所屬部門以書面方式通知系統管理部門,由系統管理部門實施用戶帳戶及權限的回收操作。

第十四條 賬號管理人員建立各種賬號的文檔記錄,記錄用戶賬號的相關信息,并在賬號變動時同時更新此記錄。

第三章 特權賬號和超級用戶賬號管理

第十五條 特權賬號指在系統中有專用權限的賬號,如備份賬號、權限管理賬號、系統維護賬號等。超級用戶賬號指系統中最高權限賬號,如administrator(或admin)、root等管理員賬號。

第十六條 只有經授權的用戶才可使用特權賬號和超級用戶賬號,嚴禁共享賬號。

第十七條 信息系統管理部門每季度查看系統日志,監督特權賬號和超級用戶賬號使用情況,并填寫《系統日志審閱表》(附件三)。

第十八條 盡量避免特權賬號和超級用戶賬號的臨時使用,確需使用時必須履行正規的申請及審批流程,并保留相應的文檔。

第十九條 臨時使用超級用戶賬號必須有監督人員在場記錄其工作內容。

第二十條 超級用戶帳戶必須由信息管理中心管理(如沒有超級管理員,信息管理中心必須掌握系統管理員權限)。系統管理員和系統管理監督員可通過信息管理中心與系統擁有部門協商管理(如系統管理員由系統擁有部門管理,《信息系統權限申請表》必須以郵件方式電子文檔交予信息管理中心備案便于監督審核)。

第二十一條 信息化各系統交使用單位驗收合格后,必須由信息管理中心和系統擁有部門共同督促系統開發方刪除臨時測試帳戶。

第四章 用戶賬號及權限審閱

第二十二條 系統擁有部門指定專人負責每季度對系統應用層面賬號及權限進行審閱,并填寫《信息系統權限清理清單》(附件四)。

第二十三條 信息管理中心指定專人負責每季度對系統層面賬號及權限進行審閱,并填寫《信息系統權限清理清單》。

第二十四條 員工離職后,賬號管理人員及時禁用或刪除離職人員所使用的賬號。如果離職人員是系統管理員,則及時更改特權賬號或超級用戶口令。

第五章 用戶賬號口令管理

第二十五條 用戶賬號口令發放要嚴格保密,用戶必須及時更改初始口令。

第二十六條 用戶賬號口令最小長度為6位(系統超級用戶、管理員和監督員口令最小長度為8位),并具有一定復雜度。

第二十七條 用戶賬號口令必須嚴格保密,并定期進行更改,密碼更新周期不得超過90天。

第二十八條 嚴禁共享個人用戶賬號口令。

第六章 附則

第二十九條 本制度與公司相關標準、規范相沖突時,應按照公司相關標準、規范執行。

第三十條 本制度適用于由信息管理中心歸口管理的所有系統。

第三十一條 本制度由信息管理中心起草并解釋。

第三十二條 本制度從發布之日起施行。

第2篇 信息化系統安全運行管理制度

第一章:總則

第一條 為確保公司信息化系統的正常運行,有效地保護信息資源,最大程度地防范風險,保障公司經營管理信息安全。根據《國家計算機信息系統安全保護條例》等有關法律、法規,結合公司實際,制訂本規定。

第二條 本規定所稱公司信息化系統,是指公司所使用的“集團管理軟件”所覆蓋的使用單位、使用人、以及計算機及其網絡設備所構成的網絡系統。具體有財務管理系統、物資供應管理系統、銷售管理系統、地磅系統、資產管理系統、人力資源管理系統、oa辦公自動化系統。

第三條 本規定適用于公司及所屬單位所有使用信息系統的操作員和系統管理員。

第二章 職責描述

第四條 公司企管信息部

1、根據國家和行業的發展制定公司信息化工作的發展規劃、年度計劃和有關規章制度;

2、負責組織實施公司信息化建設;

3、負責公司信息系統的維護及軟件管理;

4、負責對各單位信息系統工作的檢查、指導和監督。

第五條 公司信息化系統負責人

1、協調公司各種資源,及時處理對系統運行過程中的出現的各種異常情況及突發事件;

2、負責督促檢查本制度的執行;

第六條 公司系統管理員

1、負責應用系統及相關數據的正常使用和安全保障;

2、負責解答各所屬單位人員的問題咨詢,處理日常問題;

第七條 各單位系統管理員

1、熟悉掌握系統,能夠處理系統應用中的問題;

2、要及時建立問題處理情況匯總表,并定期上報給公司系統管理員,由公司系統管理員匯編成冊,定期下發給所有操作人員,以做到最大程度的知識共享;

3、負責本單位新進員工的信息系統技能培訓;監督本單位操作人員進行規范操作;

第八條 操作員

1、嚴格按照業務流程和系統運行規定進行操作、不越權操作、不做違規業務;

2、保證自己的密碼不泄密,定期更換密碼;

第三章 內部支持體系管理

第九條 為了確保操作人員能夠熟練掌握信息系統的運行,問題的提交與處理必須按照逐級處理方式,具體如下:

1、各單位操作人員發現問題填寫“日常操作問題記錄單”先提交給各自所屬單位的系統管理員歸集與處理;

2、在各單位系統管理員不能處理的情況下再提交到公司系統管理員處理;

3、公司系統管理員不能處理的情況下統一提交用友軟件公司,用友技術顧問將制定處理解決方案,和公司系統管理員一起處理;

4、問題解決后,將問題解決過程記錄清楚,并由公司系統管理員備案,形成全公司系統知識庫;

第四章 系統安全管理

第十條 系統維護及軟件安全管理

1、系統管理員,每天定時檢查系統運行環境,并將檢查結果進行記錄;

2、使用信息系統的計算機都應安裝統一殺毒軟件并及時更新病毒庫,在計算機需要讀取外來數據時應先查殺病毒;

3、制定信息系統的災難恢復計劃,并確定實施方案;

4、服務器及系統軟件涉及的各類用戶名稱及密碼由企管信息部系統管理員嚴格管理、定期更換和及時存檔;

5、服務器必須使用不間斷電源(ups),以避免意外斷電造成核算數據丟失或錯誤影響系統正常運行;

6、當信息系統數據紊亂或確需對信息系統數據庫進行修改或刪除時,必須由軟件供應商的技術人員評估后,提出切實可行的解決方案,經公司分管副總經理批準后,方可進行數據庫操作;

7、在系統運行過程中,應每天對系統及數據進行備份,每月刻錄一張數據光盤備份;

8、發生計算機系統安全事故和計算機違法犯罪案件時,立即向保衛部及公司企管信息部報告,并保護現場;

第十一條 計算機管理制度

1、使用人員如發現計算機系統運行異常,應及時與信息中心人員聯系,非專業管理人員不得擅自調換設備配件;

2、不得讓無關的人員使用自己的計算機,嚴禁非專業技術人員修改計算機系統的重要設置;

第十二條 操作規范

1、操作人員必須愛護電腦設備,保持辦公室和電腦設備的清潔衛生;

2、操作人員應加強計算機知識的學習,并能正確操作公司信息系統和熟練使用計算機;

3、工作時間禁止上網瀏覽任何與工作無關的信息,不得下載與安裝與工作無關的軟件,以防止計算機感染病毒和木馬,影響系統正常運行;

第五章 系統人員權限管理

第十三條 系統權限指應用信息系統時,不同角色所需的權限,分為財務核算系統權限、系統報表權限、人力資源系統權限、供應鏈系統權限、地磅系統權限、資產管理權限、協同辦公系統權限;

第十四條 信息系統中所有用戶及所屬角色的權限均由各單位系統管理員參照基礎角色權限表填寫并提交公司系統管理員,由公司系統管理員統一備案;

第十五條 權限變動

1、信息系統中用戶及權限的新增、變動、撤消均由各單位業務部門負責人發起,由各單位系統管理員負責具體實施;

2、信息系統中用戶權限新增、變動、撤銷由各單位系統管理員具體實施后,報公司系統管理員備案;

第六章 系統日常操作管理規范

1、財務系統操作手冊

2、人力系統操作手冊

3、供應鏈系統操作手冊

4、資產管理系統操作手冊

第七章 客戶端配置及網絡要求

電腦配置要求

項目

最小配置

建議配置

cpu

p4 1.5g

p4 2.0g以上

內存

1g

2g

網絡

100m

100m

硬盤

操作系統所在分區需要5g剩余空間

打印機

操作系統所能適配的打印機

顯示適配器

桌面分辨率能顯示1024*768即可

操作系統

windows2000、*p、vista

瀏覽器

ie6.0以上

網絡帶寬要求

需要安裝系統的電腦在5臺以內的接入2m以上穩定的帶寬,5-10臺接入3m以上的接入帶寬,10臺以上接入5m以上的帶寬。

第八章 附則

1、本制度解釋權歸公司企管信息部。

2、各單位可根據本制度制定實施細則,并報公司備案。

3、本制度自20 年 月 日起執行。

第3篇 人民醫院信息系統安全管理制度

人民醫院信息系統安全管理制度

一、信息系統安全包括:軟件安全和硬件網絡安全兩部分。

二、計算機中心人員必須采取有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞、失效等災難性故障。

三、對系統用戶的訪問模塊、訪問權限由使用單位負責人提出,交信息化領導小組核準后,由計算機中心人員給予配置并存檔,以后變更必須報批后才能更改,計算機中心做好變更日志存檔。

四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由班組長監督檢查更換新的密碼;廠方調試人員調試維護完成后一小時內,由系統管理員關閉或修改其所用帳號和密碼。

五、計算機中心人員要主動對網絡系統實行監控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網絡風暴發生。

六、網絡系統所有設備的配置、安裝、調試必須由計算機中心人負責,其他人員不得隨意拆卸和移動。

七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。

八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。

九、所有進入網絡的軟盤、光盤、u盤等其他存貯介質,必須經過計算機中心負責人同意并查毒,未經查毒的存貯介質絕對禁止上網使用,對造成“病毒”蔓延的有關人員,將對照《計算機信息系統處罰條例》進行相應的經濟和行政處罰。

十、在醫院還沒有有效解決網絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的情況下,內外網獨立運行,所有終端內外網不能混接,嚴禁外網用戶通過u盤等存貯介質拷貝文件到內網終端。

十一、內網用戶所有文件傳遞,一律通過網上辦公系統和ftp服務器專門的上載、下載區進行,不得利用軟盤、光盤和u盤等存貯介質進行拷貝。

十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。

十三、計算機中心人員有權監督和制止一切違反安全管理的行為。

第4篇 內部控制信息系統安全管理制度

第一章 總則3

第二章 系統管理人員的職責3

第三章機房管理制度4

第四章 系統管理員工作細則4

第五章安全保密管理員工作細則7

第六章 密鑰管理員工作細則9

第七章 計算機信息系統應急預案10

第八章 附則10

第一章 總則

第1條依據《中華人民共和國保守國家秘密法》和有關保密規定,為進一步加強中船信息公司計算機信息系統安全保密管理,并結合用戶單位的實際情況,制定本制度。

第2條計算機信息系統包括:涉密計算機信息系統和非涉密計算機信息系統。其中,涉密計算機信息系統指以計算機或者計算機網絡為主體,按照一定的應用目標和規則構成的處理涉密信息的人機系統。

第3條涉密計算機信息系統的保密工作堅持積極防范、突出重點,既確保國家秘密安全又有利于信息化發展的方針。

第4條涉密計算機信息系統的安全保密工作實行分級保護與分類管理相結合、行政管理與技術防范相結合、防范外部與控制內部相結合的原則。

第5條涉密計算機信息系統的安全保密管理,堅持“誰使用,誰負責”的原則,同時實行主要領導負責制。

第二章 系統管理人員的職責

第6條用戶單位的涉密計算機信息系統的管理由用戶保密單位負責,具體技術工作由中船信息承擔,設置以下安全管理崗位:系統管理員、安全保密管理員、密鑰管理員。

第7條系統管理員負責信息系統和網絡系統的運行維護管理,主要職責是:信息系統主機的日常運行維護;信息系統的系統安裝、備份、維護;信息系統數據庫的備份管理; 應用系統訪問權限的管理;網絡設備的管理;網絡的線路保障;網絡服務器平臺的運行管理,網絡病毒入侵防范。

第8條安全保密管理員負責網絡信息系統的安全保密技術管理,主要職責是:網絡信息安全策略管理;網絡信息系統安全檢查;涉密計算機的安全管理;網絡信息系統的安全審計管理;違規外聯的監控。

第9條密鑰管理員負責密鑰的管理,主要職責是:身份認證系統的管理;密鑰的制作;密鑰的更換;密鑰的銷毀。

第10條對涉密計算機信息系統安全管理人員的管理要遵循“從不單獨原則”、“責任分散原則”和“最小權限原則”。

第11條新調入或任用涉密崗位的系統管理人員,必須先接受保密教育和網絡安全保密知識培訓后方可上崗工作。

第12條保密單位負責定期組織系統管理人員進行保密法規知識的宣傳教育和培訓工作。

第三章 機房管理制度

第13條出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經保密辦批準,并有專人陪同。

第14條進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質、食品等對設備正常運行構成威脅的物品。嚴禁在機房內吸煙。嚴禁在機房內堆放與工作無關的雜物。

第15條機房內不得使用無線通訊設備,禁止拍照和攝影。

第16條各類技術檔案、資料由專人妥善保管并定期檢查。

第17條機房內應按要求配置足夠量的消防器材,并做到三定(定位存放、定期檢查、定時更換)。加強防火安全知識教育,做到會使用消防器材。加強電源管理,嚴禁亂接電線和違章用電。發現火險隱患,及時報告,并采取安全措施。

第18條機房應保持整潔有序,地面清潔。設備要排列整齊,布線要正規,儀表要齊備,工具要到位,資料要齊全。機房的門窗不得隨意打開。

第19條每天上班前和下班后對機房做日常巡檢,檢查機房環境、電源、設備等并做好相應記錄(見表一)。

第20條機房大門必須隨時關閉上鎖。機房鑰匙由集團公司保密辦管理。

第21條機房門禁磁卡(以下簡稱門禁卡)由信息中心管理。

第22條門禁卡的發放范圍是:系統管理員、安全保密管理員和密鑰管理員。

第23條對臨時進入機房工作的人員,不再發放門禁卡,在向用戶單位保密部門提出申請得到批準后,由安全保密管理員陪同進入機房工作。

第24條門禁卡應妥善保管,不得遺失和互相借用。

第25條門禁卡遺失后,應立即上報信息中心,同時寫出書面說明。

第四章 系統管理員工作細則

第一節 系統主機維護管理辦法

第26條系統主機由系統管理員負責維護,未經允許任何人不得對系統主機進行操作。

第27條根據系統設計方案和應用系統運行要求進行主機系統安裝、調試,建立系統管理員賬戶,設置管理員密碼,建立用戶賬戶,設置系統策略、用戶訪問權利和資源訪問權限,并根據安全風險最小化原則及運行效率最大化原則配置系統主機。

第28條建立系統設備檔案(見表二)、包括系統主機詳細的技術參數,如:品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網絡配置信息、系統配置信息,妥善保管系統主機保修卡,在系統主機軟硬件信息發生變更時對設備檔案進行及時更新。

第29條每周修改系統主機管理員密碼,密碼長度不得低于八位,要求有數字、字母并區分大小寫。

第30條每周通過系統性能分析軟件對系統主機進行運行性能分析,并做詳細記錄(見表四),根據分析情況對系統主機進行系統優化,包括磁盤碎片整理、系統日志文件清理,系統升級等。

第31條每周對系統日志、系統策略、系統數據進行備份,做詳細記錄(見表四)。

第32條每天檢查系統主機各硬件設備是否正常運行,并做詳細記錄(見表五)。

第33條每天檢查系統主機各應用服務系統是否運行正常,并做詳細記錄(見表五)。

第34條每周下載安裝最新版的系統補丁,對系統主機進行升級,做詳細記錄(見表四)。

第35條每天記錄系統主機運行維護日記,對系統主機運行情況進行總結。

第36條在系統主機發生故障時應及時通知用戶,用最短的時間解決故障,保證系統主機盡快正常運行,并對系統故障情況做詳細記錄(見表六)。

第37條每月對系統主機運行情況進行總結、并寫出系統主機運行維護月報,上報保密辦。

第二節 信息系統運行維護管理辦法

第38條信息系統(辦公自動化系統和檔案管理系統)的運行維護由系統管理員負責維護,未經允許任何人不得對信息系統進行任何操作。

第39條根據信息系統的設計要求及實施細則安裝、調試、配置信息系統,建立信息系統管理員賬號,設置管理員密碼,密碼要求由數字和字母組成,區分大小寫,密碼長度不得低于8位,。

第40條對信息系統的基本配置信息做詳細記錄,包括系統配置信息、用戶帳戶名稱,系統安裝目錄、數據文件存貯目錄,在信息系統配置信息發生改變時及時更新記錄(見表三)。

第41條每周對信息系統系統數據、用戶id文件、系統日志進行備份,并做詳細記錄(見表四),備份介質交保密辦存檔。

第42條當信息系統用戶發生增加、減少、變更時,新建用戶帳戶,新建用戶郵箱,需經保密單位審批,并填寫系統用戶申請單或系統用戶變更申請單(見表七),審批通過后,由系統管理員進行操作,并做詳細記錄。

第43條根據用戶需求設置信息系統各功能模塊訪問權限,并提交保密辦審批。

第44條每天檢查信息系統各項應用功能是否運行正常,并做詳細記錄(見表五)。

第45條在信息系統發生故障時,應及時通知用戶,并用最短的時間解決故障,保證信息系統盡快正常運行,并對系統故障情況做詳細記錄(見表六)。

第46條每天記錄信息系統運行維護日志,對信息系統運行情況進行總結。

第47條每月對信息系統運行維護情況進行總結,并寫出信息系統維護月報,并上報保密辦。

第三節 網絡系統運行維護管理辦法

第48條網絡系統運行維護由系統管理員專人負責,未經允許任何人不得對網絡系統進行操作。

第49條根據網絡系統設計方案和實施細則安裝、調試、配置網絡系統,包括交換機配置、路由器配置,建立管理員賬號,設置管理員密碼,并關閉所有遠程管理端口。

第50條建立系統設備檔案(見表二),包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息,詳細記錄綜合布線系統信息配置表,交換機系統配置,路由器系統配置,網絡拓撲機構圖,vlan劃分表,并在系統配置發生變更時及時對設備檔案進行更新。

第51條每天檢查網絡系統設備(交換機、路由器)是否正常運行。

第52條每周對網絡系統設備(交換機、路由器)進行清潔。

第53條每周修改網絡系統管理員密碼。

第54條每周檢測網絡系統性能,包括數據傳輸的穩定性、可靠性、傳輸速率。

第55條網絡變更后進行網絡系統配置資料備份。

第56條當網絡系統發生故障時,應及時通知用戶,并在最短的時間內解決問題,保證網絡系統盡快正常運行,并對系統故障情況作詳細記錄(見表六)。

第57條每月對網絡系統運行維護情況進行總結,并作出網絡系統運行維護月報。

第四節 終端電腦運行維護管理辦法

第58條終端電腦的維護由系統管理員負責,未經允許任何人不得對終端電腦進行維護操作。

第59條根據用戶應用需求和安全要求安裝、調試電腦主機,安裝操作系統、應用軟件、殺毒軟件、技防軟件,。

第60條建立系統設備檔案(見表二)、包括電腦的品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網絡配置信息、系統配置信息,在電腦主機軟硬件信息發生變更時對設備檔案進行及時更新。

第61條在電腦主機發生故障時應及時進行處理,備份用戶文件,用最短的時間解決故障,保證電腦主機盡快能夠正常運行,并對電腦主機故障情況做詳細記錄(見表六),涉及存儲介質損壞,直接送交保密辦處理。

第五節 網絡病毒入侵防范管理辦法

第62條網絡病毒入侵防護系統由系統管理員專人負責,任何人未經允許不得進行此項操作。

第63條根據網絡系統安全設計要求安裝、配置瑞星網絡病毒防護系統,包括服務器端系統配置和客戶機端系統配置,開啟客戶端防病毒系統的實時監控。

第64條每日監測防病毒系統的系統日志,檢測是否有病毒入侵、安全隱患等,對所發現的問題進行及時處理,并做詳細記錄(見表八)。

第65條每周登陸防病毒公司網站,下載最新的升級文件,對系統進行升級,并作詳細記錄(見表九)。

第66條每周對網絡系統進行全面的病毒查殺,對病毒查殺結果做系統分析,并做詳細記錄(見表十)。

第67條每日瀏覽國家計算機病毒應急處理中心網站,了解最新病毒信息發布情況,及時向用戶發布病毒預警和預防措施。

第五章 安全保密管理員工作細則

第一節 網絡信息安全策略管理辦法

第68條網絡安全策略管理由安全保密管理員專職負責,未經允許任何人不得進行此項操作。

第69條根據網絡信息系統的安全設計要求及主機審計系統數據的分析結果,制定、配置、修改、刪除主機審計系統的各項管理策略,并做記錄(見表十一)。

第70條根據網絡信息系統的安全設計要求制定、配置、修改、刪除網絡安全評估分析系統的各項管理策略,并做記錄(見表十一)。

第71條根據網絡信息系統的安全設計要求制定、配置、修改、刪除入侵檢測系統的各項管理策略,并做記錄(見表十一)。

第72條根據網絡信息系統的安全設計要求制定、配置、修改、刪除、內網主機安全監控與審計系統的各項管理策略,并做記錄(見表十一)。

第73條每周對網絡信息系統安全管理策略進行數據備份,并作詳細記錄(見表十二)。

第74條網絡信息安全技術防護系統(主機審計系統、漏洞掃描系統、防病毒系統、內網主機安全監控與審計系統)由網絡安全保密管理員統一負責安裝和卸載。

第二節 網絡信息系統安全檢查管理辦法

第75條網絡信息系統安全檢查由安全保密管理員專職負責執行,未經允許任何人不得進行此項操作。

第76條每天根據入侵檢測系統的系統策略檢測、審計系統日志,檢查是否有網絡攻擊、異常操作、不正常數據流量等,對異常情況做及時處理,遇有重大安全問題上報保密辦,并做詳細記錄(見表十三)。

第77條每周登陸入侵檢測系統產品網站,下載最新升級文件包,對系統進行更新,并做詳細記錄(見表十四)。

第78條每月通過漏洞掃描系統對網絡系統終端進行安全評估分析,并對掃描結果進行分析,及時對終端系統漏洞及安全隱患進行處理,作詳細記錄(見表十五),并將安全評估分析報告上報保密辦。

第79條每周登錄全評估產品網站,下載最新升級文件包,對系統進行更新,并作詳細記錄(見表十六)。

第80條每周備份入侵檢測系統和漏洞掃描系統的審計信息,并作詳細記錄(見表十七)。

第三節 涉密計算機安全管理辦法

第81條涉密計算機安全管理由安全保密管理員專人負責,未經允許任何人不得進行此項操作。

第82條根據網絡系統安全設計要求制定、修改、刪除涉密計算機安全審計策略,包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略,并做記錄。

第83條每日對涉密計算機進行安全審計,及時處理安全問題,并做詳細記錄(見表十八),遇有重大問題上報保密部門。

第84條涉密計算機的新增、變更、淘汰需經保密部門審批,審批通過后由安全保密管理員統一進行操作,并做詳細記錄(見表十八)。

第85條新增涉密計算機聯入涉密網絡,需經保密辦審批,由安全保密管理員統一進行操作,并做詳細記錄(見表十八)。

第四節 安全審計管理辦法

第86條網絡信息安全審計系統由安全保密管理員負責,未經允許任何人不得進行此項操作。

第87條根據網絡系統主機安全設計要求安裝、配置、管理主機安全審計系統,制定審計規則,包括系統運行狀態、用戶登錄信息,網絡文件共享操作等。

第88條每日查看安全審計系統信息,對審計結果進行分析整理,及時處理所發生的設備安全問題,并做詳細記錄(見表十九)。

第89條每周備份設備安全審計系統審計信息,并做詳細記錄(見表二十)。

第90條每月對主機安全審計系統記錄信息進行分析總結,并向保密部門提交分析報告。

第五節 違規聯接管理辦法

第91條違規外聯管理系統(北信源安全補丁管理軟件)由安全保密管理員負責,未經允許任何人不得進行此項操作。

第92條根據網絡信息系統安全管理要求安裝、配置違規外聯管理系統策略,包括聯網涉密電腦,單機涉密電腦,便攜式涉密電腦。

第93條每日檢查違規外聯系統審計信息,查看聯網涉密電腦是否有違規外聯操作。

第94條每月檢查單機涉密電腦、便攜式電腦是否有違規外聯操作。

第95條每三個月協助保密辦進行所有涉密電腦巡檢,檢查是否存在違規外聯操作,并做詳細記錄。

第96條每日通過違規外聯系統檢查網絡系統是否有非法主機聯入,并做詳細記錄。

第六章 密鑰管理員工作細則

第97條身份認證系統由密鑰管理員專人負責,未經允許任何人不得進行此項操作。

第98條每日檢查身份認證系統是否正常運行。

第99條負責向用戶單位派發安全鑰匙,用戶需填寫審批表,并提交保密部門審批(見表二十一)。

第100條根據用戶需求,見保密部門審批單要求,制作、修改、注銷證書(見表七)。

第101條負責為每臺計算機安裝主機登錄系統。

第102條負責主機登錄系統、身份認證系統的系統維護。

第七章 計算機信息系統應急預案

第103條系統管理人員參與制定各種意外事件處置預案,并具體執行,包括火災、停電、設備故障等,每年進行預案演練。

第104條遇到火災應根據火情采取以下措施:

1.如火情較輕時,應立即切斷機房總電源,并迅速用消防器材,力爭把火撲滅、控制在初期階段,同時上報集團保衛部門。

2.如火情嚴重應迅速撥打報警電話“119”,同時通知集團保衛部門,聽從消防工作人員的現場指揮,協助處理有關事項。

第105條如遇機房突發性停電,應迅速通知用戶,同時關閉設備電源,來電后,及時通知用戶,并檢測設備是否正常運行。

第106條系統出現災難性故障時,系統管理員應立刻通知部門主管,制定詳細的系統恢復方案。

第107條遇緊急情況,值班員應立即通知保密辦和系統管理員,保持24小時通訊暢通,隨時處理緊急事件。

第108條線路故障應立即撥打線路故障電話“112”,同時上報部門主管,協助電信部門查找故障原因,盡快使線路恢復正常。

第八章 附則

第109條本管理制度自發布之日起執行,未盡事宜以用戶單位的《保密工作管理實施辦法》為準。

第110條本制度每年度審訂一次,本制度所有表格請見附錄。

第5篇 電子信息系統安全管理制度

為提高公司信息系統的可靠性、穩定性、安全性,降低人為因素導致信息系統失效的可能性,形成良好的信息傳遞渠道,特制定本規范。

1.機房管理規范

1.1非工作人員不得進出機房。工作人員出入機房注意鎖好房門,未經上級批準,禁止將機房相關鑰匙、密碼等物品或信息外露給其它人員,同時有責任對信息保密。

1.2機房工作人員必須熟知機房內設備的基本安全操作和規則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線路;定期檢查硬件運作狀態(如設備指示燈)。不得亂拉亂接電線,應選用安全、有保證的供電、用電器材,嚴禁隨意對設備斷電、更改設備供電線路,嚴禁隨意串接、并接、搭接各種供電線路。

1.3機房內禁止吃食物、抽煙、隨地吐痰,對于意外或工作過程中弄污地板和其它物品的,必須及時采取措施清理干凈;禁止在服務器上進行試驗性質的軟件調試,禁止在服務器隨意安裝軟件。

1.4機房工作人員必須定期檢查軟件的運行狀況、定期調閱軟件運行日志記錄,進行數據和軟件日志備份,做好硬件設備的維護保養工作。

1.5任何人均不得在服務器、交換設備等核心設備上進行與工作無關的任何操作。未經上級允許,更不允許他人操作機房內部的設備。

2. 計算機操作人員管理規范

2.1計算機操作員應具備計算機基礎知識,熟練使用windows、office、長安福特dms系統及常用軟件,并對其所使用的計算機軟、硬件負有維護保管責任。

2.2任何員工未經授權,不得修改計算機軟硬件設置。嚴禁在工作機共享文件,員工所掌握的工作數據、文件等均屬公司所有,嚴禁拷貝、傳播、修改、破壞。凡違反網絡操作規程,影響網絡運行者罰款100元。

2.3計算機操作人員離開工作區域時應保證重要文件、資料、設備、數據處于安全保護狀態;個人的工作文件應隨時做好安全存放與備份,不得將個人工作文件存放于“c盤我的文檔”。如有問題及時聯系系統管理員,與系統管理員一同維護好日常網絡的安全運行。

2.4計算機操作人員每次開機確保病毒實時監測程序和黑客防火墻程序的正常運行;日常工作中注意保持計算機等相關設備的清潔,下班時務必關掉所有辦公設備的電源。

3. 計算機系統安全性維護

3.1計算機信息系統操作人員不得擅自進行系統軟件的刪除、拷貝、修改等操作,不得擅自升級、改變系統軟件版本或更換系統軟件,不得擅自改變軟件系統環境配置。

3.2硬件設備的更新、擴充、修復等工作應當由相關人員提出申請,報上級主管負責人審批。未經允許,不得擅自拆裝硬件設備。

3.3在使用任何外來的光盤,u盤,移動硬盤等外來媒體的文件前,必須進行殺毒;嚴禁瀏覽任何非法網站、黑客網站及不健康的網站,嚴禁下載帶有附件的不明郵件;

3.4系統管理人員負責長安福特dms系統工作權限的設置,員工只能使用自己的工作權限,嚴禁盜用他人用戶名與密碼,嚴格執行工作流程;長安福特dms系統上使用的密碼一經啟用,不得隨意修改、公開,并需在行政部做備份,如需修改須事先告知行政部。

3.5各部門如有計算機操作員人員更替,必須及時通知行政部,系統管理員注銷或開設新用戶。

3.6系統管理人員須嚴格管理公司無限網絡的使用,接入密碼要經常更新,以保證無線網絡的安全;