信息安全管理制度【实用】
在现实社会中,我们可以接触到制度的地方越来越多,制度是要求大家共同遵守的办事规程或行动准则。相信很多朋友都对拟定制度感到非常苦恼吧,以下是小编为大家收集的信息安全管理制度,希望对大家有所帮助。
信息安全管理制度1
第一章总则
第一条为了保护校园网网络系统的安全、促进学院校园网网络的应用和发展、保证校园网网络的正常运行和网络用户的使用权益,维护校园网公共秩序和稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,特制定本规定。
第二条任何单位和个人不得利用校园网及国际互联网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第三条任何单位和个人不得通过校园网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第四条任何单位和个人不得从事下列危害校园网安全的活动:
(一)未经允许,进入校园网信息网络或者使用校园网络资源的;
(二)未经允许,对校园网络功能进行删除、修改或者增加的;
(三)未经允许,对校园网中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害校园网络安全的。
第五条用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际互联网和校园网侵犯用户的通信自由和通信秘密。
第二章校园网络系统安全管理规定
第六条本管理规定所称的校园网网络系统,是指由信息中心负责维护和管理的校园网设备、配套的光纤、网络线缆设施及网络服务器等所构成的、为校园网提供应用及服务的硬件和软件的集成系统。
第七条校园网系统的安全运行和系统设备管理维护工作由信息中心负责。任何单位和个人,未经信息中心同意,不得擅自安装、拆卸或改变网络设备。
第八条任何单位和个人、不得利用联网计算机从事危害校园网的活动。
第九条除信息中心外,其他单位或个人不得以任何方式试图登陆进入校园网服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为一律视为对校园网安全运行的破坏行为。
第十条校园网各类服务器中开设的账户和口令为个人用户所拥有,信息中心对用户口令保密,不得向任何单位和个人提供这些信息。
第十一条网络使用者不得利用各种网络设备或软件技术从事用户账户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。
第十二条校园内从事施工、建设,不得危害计算机网络系统的安全。
第十三条校园网设备及服务器等发生案件、以及遭到黑客攻击后,信息中心必须在24小时内向学院分管领导、主要领导或公安机关报告。
第十四条严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的、可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。
第十五条任何单位和个人不得在校园网及其联网计算机上传播危害国家安全的信息(包括多媒体信息),制作或传播淫秽、色情资料等违法或不健康信息。
第十六条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:
(1)可向Internet公开的;
(2)可向院内公开的;
(3)可向本单位部门公开的;
(4)可向有关单位或个人公开的;
(5)仅限于本单位内使用的;
(6)仅限于个人使用的。
第十七条信息中心要对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的单位(部门)必须对上网计算机的使用进行严格管理,部门负责人即为该部门的网络安全负责人。学院公共机房一律不准对社会开放,上网人员必须出示学生证、教师证等身份证件,机房工作人员记录上网人员身份和上下网的时间、机号、机器IP地址。
第十八条信息中心必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用信息中心分配的IP地址和电子邮件服务器。
第十九条任何单位和个人不得私拉乱接网络线路,尤其禁止用双绞线等无屏蔽线路跨越室外联接其它节点。
第二十条所有网络用户均有责任严格遵守国家和教育与科研计算机网络的有关规定。
第三章校园网信息管理和保密规定
第二十一条严禁任何用户擅自连入校园网,入网用户要办理入网登记手续,并签署相应的安全协议,自觉遵守相关规定。
第二十二条全院师生员工及用户在网络上发现有碍社会治安和不健康的信息,有义务及时上报信息中心或宣传部,并自觉立即销毁。
第二十三条校园网的所有工作人员和用户必须遵守国家有关法律、法规和本院相关规定,严格执行安全保密制度,并对所提供的信息负责,严禁涉及国家机密的信息上网。
第二十四条任何个人不得利用计算机网络从事危害国家安全、泄露国家秘密的.活动;不得查阅、复制和传播有碍社会治安和伤风败俗的信息。
第二十五条按《计算机病毒防治管理办法》(中华人民共和国公安部第51号令),切实做好计算机病毒的防治管理工作。
第二十六条校园网的所有工作人员和用户必须接受学院治安部门依法进行监督检查,治安部门为确保网络信息安全可以采取必要措施。
第二十七条信息发布按以下程序进行:
(一)信息中心协助党委宣传部对学院主页发布的信息进行全面规划,由信息中心指导各单位、各部门对部门所属点发布的信息进行全面规划。
(二)各单位、各部门在所属站点对外发布信息,需各单位、部门的主要领导审核、签署意见后,由信息中心从技术上开通其对外的信息服务。各单位、部门需在学院主页对外发布信息,须学院分管领导或主要领导签署意见后,由党委宣传部负责核实上传。
第二十八条有下列行为之一者,党委宣传部、信息中心可提出警告,并终止其使用网络,情节严重者提交学院处理或交由司法机关处理。
(一)复制或传播下列信息:
1、煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;
2、煽动抗拒、破坏宪法和国家法律、行政法规的实施;
3、捏造或者歪曲事实,故意散布谣言,扰乱社会铁序;
4、公然侮辱他人或者捏造事实诽谤他人;
5、宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等;
6、破坏,盗用计算机网络中的信息资源和危害计算机网络安全活动;
7、盗用他人账号;
8、私自转借、转让用户帐号造成危害;
9、故意制作、传播计算机病毒等破坏程序;
10、不按国家和学院有关规定擅自接纳网络用户;
11、上网信息审查不严,造成严重后果;
第二十九条凡在网上开设电子公告系统、聊天室、网络新闻组的部门或用户,必须经过院党委宣传部批准。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。
第四章校园网安全管理责任制
第三十条对校园网统一管理,实行三级管理责任制,分层负责。第一级是学院党政主要领导,分管宣传思想工作的院领导、分管信息中心的院领导、分管安全稳定的院领导分别对学院党政领导负责。第二级是党委宣传部和信息中心,党委宣传部是校园网上传信息的审核机关,在分管院领导的直接领导下,负责对校园网上传信息的审核,并对各单位、各部门信息工作进行指导;信息中心是管理校园网网络的业务机构,在分管院领导的直接领导下,负责做好校园网的日常业务工作,并对各单位、各部门进行业务指导。第三级是各单位、各部门,网络管理员和信息员在本部门主要领导的直接领导下开展工作,并接受党委宣传部、信息中心的业务指导。
第三十一条信息中心必须指定网络安全管理员,其主要职责是:
(一)做好校园网网络的的安全运行;沟通学院校园网与国家网络管理部门的安全联系;负责校园网的信息安全。
(二)与党委宣传部信息员一起负责对学院主页页面布局进行设计、创意等。
(三)根据规划,广泛组织和收集信息(包括文字、图片等),并录到计算机内或磁盘内。
(四)熟悉计算机的构造、性能及正常使用方法;不断学习计算机方面的有关知识,努力提高自身的计算机水平;做好防火、防盗、保密工作。
第三十二条学院各单位、各部门必须确定一名熟悉计算机基本操作(至少要懂得使用中文字处理软件word)的工作人员兼任安全管理员,其主要职责如下:
(一)必须遵循学院校园网管理相关制度,沟通本单位站点与学院校园主网的安全联系;负责各单位网络的信息安全。
(二)必须时刻监视网络信息,防止有害信息的传播,发现有害信息的应立即向学院党委宣传部、信息中心汇报,由学院党委宣传部、信息中心根据情况确定上报学院领导或公安机关。
(三)在信息中心的指导下负责对本单位上网信息的内容进行规划,以及对本单位主页页面布局进行设计、创意等。必须定期更新本网站内容,提供详细的网站更新资料。
(四)负责对信息进行更新。根据规划,广泛组织和收集信息(包括文字、图片等),并录到计算机内或磁盘内。
(五)负责本单位、本部门所有上网发布信息的撰写、制作、搜集、整理等,本部门领导签字同意后送信息中心上传部门网站,或经学院领导签字同意后送党委宣传部上传校园网首页。
(六)熟悉计算机的构造、性能及正常使用方法;不断学习计算机方面的有关知识,努力提高自身的计算机水平;做好防火、防盗、保密工作。
第五章违约责任与处罚
第三十三条违反第九条及第十五条规定的行为一经查实,将向学校校园网领导小组报告,视情节给予相应的行政纪律处分;造成重大影响和数据损失的将向市公安部门报告,由个人依法承担相关责任。
第三十四条违反第十一条规定的侦听、盗用行为一经查实,将提请学院给予行政处分,并在校园网上公布;对他人造成经济损失的,由本人加倍赔偿受害人损失,关闭其拥有的各类服务账号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。
第三十五条故意传播或制造计算机病毒,造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
第三十六条违反第七、二十条规定,破坏网络设施或形成网络系统安全隐患的,将予以行政和经济重罚。对于造成网络系统毁坏的,必须承担全部经济损失,情节严重者将诉诸法律追究其刑事责任。
第三十七条各单位、各部门要加强对入网计算机的管理,严格执行有关规章制度,及时发现问题和隐患,堵塞隐患漏洞,做到防患于未然。对违反安全管理的,检查监督部门要根据情况下达隐患整改通知,或根据情节轻重按校纪进行处理,对问题严重的要采取强制性措施。对违反安全规定并已触犯《刑法》、《国家安全法》、《保密法》及《治安管理处罚条例》的,按有关法律、法规进行理。
第三十八条本制度由党委宣传部负责解释,自发布之日起执行。
信息安全管理制度2
为保障病案科在自然灾难、事故灾难、公共卫生等突发事务发生后,各项救援工作快速、高效、有序进行,最大限度地削减人员伤亡和病案损失和对社会的不良影响,切实提高病案科工作人员预防和处置突发事务的实力,特制定本预案。
一、应急救援工作的原则
(一)统一领导、分级负责、自救与团结救助相结合;
(二)明确职责、落实责任、依靠科学、反应刚好、措施坚决;
(三)救助中,要坚持先主后次、先急后缓、先重后轻的`原则。重点爱护病案。
(四)病案科全部工作人员都有责任和义务参与或协作应急救援工作,并听从统一指挥。
二、报告程序
工作时间内,自然灾难、事故灾难、公共卫生等突发事务发生后,发觉人员要在第一时间向科室领导、分管院长和相关部门报警,同时主橹跃取=诩偃铡8小时外,自然灾难、事故灾难、公共卫生等突发事务发生后,值班人员要在第一时间向科室领导和相关报警部门报告,同时组织保安人员自救。
三、组织领导
(一)成立医院病案管理应急救灾小组,组长由分管院长担当,副组长由医务部主任、病案科主任,成员由病案科全体成员及医务部成员和后勤部相关成员组成。
(二)职责:医务部、病案科负责病案平安爱护、抢救工作,后勤部负责消防、搬运等环节的组织实施和后勤保障工作。
四、突发事务应急措施:
(一)火灾
1、办公场所发生火灾时,应主动自救,扑灭火灾,同时马上拨打“119”报警。报警时要说明单位、地点、物质燃烧种类、是否有人员被围困、火势状况,恳求灭火,报告人姓名,并记录报警时间。
2、报警后要支配人员到指定地点迎接消防车,引导消防车辆人员到达指定位置。
3、消防人员到达现场后,现场指挥员要向消防负责同志报告状况,移交指挥权,协同公安消防做好灭火工作。
4、要根据现场指挥的要求边救火边负责内外警戒,维护公共秩序,严禁无关人员进入,保证人员通道畅通。
5、火灾扑灭后,要组织人员负责爱护好火灾现场,协作消防人员调查火灾发生的缘由,检查病案和统计资料损毁程度。并组织修理人员快速检修、复原各系统设备的正常运行;保洁人员负责清洗打扫现场卫生。
(二)突发洪灾或漏水
1、发生洪涝灾难或工作人员发觉漏水事务后,应刚好报告科室领导,并通知后勤修理人员要第一时间赶赴现场处置。
2、后勤修理人员到达现场后,视漏水状况,妥当实行紧急应对措施。若水势过大漏水严峻,应切断电源,防止漏水漏电伤人。在条件充许的状况下,尽量将漏水点限制住(如关闭水阀、用水桶接住漏水点等)。
3、要在第一时间内组织工作人员爱护和转移现场病案和重要统计资料、电脑信息系统,并指定人员看管,防止丢失。
(三)盗窃案件
1、在工作中遇到或发觉有盗窃案件时,为爱护医院病案平安,发觉人要马上向科室领导和医院保卫处报告,同时封锁办公楼的各个出口,重大案件要马上拨打“110”电话报警。
2、要爱护好案发觉场,任何人不得擅自触摸和移动任何东西,待公安部门人员勘察现场或勘察完毕后,方可复原原状。
3、要记录好被盗病案和物品的名称、价值等状况。
(四)停电
1、工作中出现停电现象刚好打电话通知后勤处修理。
2、拔掉复印机、电脑等电器电源插头,防止供电复原时损坏机器。
(五)灾情消退后,马上整理、补救、修复病案信息资料,将损失降到最低,统计并做好相关登记、记录,查找缘由,总结阅历教训。
信息安全管理制度3
1.计算机设备安全管理
1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的.安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储
重要的文件和工作资料不允许保存在c盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器p盘的资料进行审核与安全管理;若因个人原因造成数据泄密、丢失的,将由其本人承担相关后果。
2.2文件加密
涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动
严禁任何人员以个人介质光盘、u盘、移动硬盘等外接设备将公司的文件资料带离公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示批准,并以公司存储设备做文件拷贝。
2.4文件转移
若员工离职,在办完移交手续时,所在部门负责人将此员工工作资料拷贝至部门保存(可联系信息技术部进行技术支持),若没有执行此操作流程,离职员工损失的任何资料由该部门自行承担。
信息安全管理制度4
学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理条例。
第一章总则
1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。
2、校园网络的安全管理,应当保障计算机网络设备和配套设施的.安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。
3、校园网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。
4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。
5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。
6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。
第二章网络安全管理细则
1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。
2、校园网由学校电教处统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由电教处分配的IP地址,网络管理员对入网计算机和使用者进行及时、准确登记备案,由电教处负责对其进行监督和检查。任何人不得更改IP及网络设置,不得盗用IP地址及用户帐号。
3、与校园网相连的计算机用户建设应当符合国家的有关标准和规定,校园内从事施工、建设,不得危害计算机网络系统的安全。
4、网络管理员负责全校网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后,电教处必须及时备案并向公安机关报告。
5、网络教室及相关设施未经校领导批准不准对社会开放。
6、校园网中对外发布信息的Web服务器中的内容必须经领导审核,由负责人签署意见后再由信息员发布。新闻公布、公文发布权限要经过校领导的批准。
7、校园网各类服务器中开设的帐户和口令为个人用户所拥有,电教部门对用户口令保密,不得向任何单位和个人提供这些信息。校园网及子网的系统软件、应用软件及信息数据要实施保密措施。
8、电教部门统一在每台计算机上安装防病毒软件,各部门、教研组、办公室要切实做好防病毒措施,随时注意杀毒软件是否开启,及时在线升级杀毒软件,及时向电教部门报告陌生、可疑邮件和计算机非正常运行等情况。
9、未经电教部门及校园各子网网管的同意,不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。
10、切实保护校园网的设备和线路,未经允许不准擅自改动计算机的连接线,不准打开计算机主机的机箱,不准擅自移动计算机、线路设备及附属设备,不准擅自把计算机设备外借。
11、各处室部门和教研组备课组必须加强对计算机的上网行为和相关软件应用的指导管理,指定专人负责管理,发现问题应及时报告电教处处理。
12、对校园网络实行管理员24小时巡查制度,双休日、节假日,要有专人检查网络及信息安全运行情况。
13、服务器系统及各类网络服务系统的系统日志、网络运行日志、用户使用日志等均应严格按照保留60天的要求设置,邮件服务器系统严禁使用匿名转发功能。
第三章网络用户安全守则
1、使用校园网的全体师生必须对所提供的信息负责。严禁制造和输入计算机病毒,以及其他有害数据,危害计算机信息系统的安全,不得利用计算机联网从事危害家安全、泄露秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安,不得在校园网及其连网计算机上录阅传送有反政府政治问题和淫秽色情内容有伤风化的信息。
2、除校园网负责人员外,其他单位或个人不得以任何方式试图登陆进入校园网服务器或计算机等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。
3、用户要严格遵守校园网络管理规定和网络用户行为规范,不随意把户头借给他人使用,增强自我保护意识,经常更换口令,保护好户头和IP地址。严禁用各种手段破解他人口令、盗用户头和IP地址。
4、在校园网上的计算机网络用户禁止删除或卸载电教部门统一安装的杀毒软件和其它应用软件以及计算机的相关设置,不使用盗版软件,不允许玩电子游戏,不允许无关人员使用,也不允许进行与工作无关的操作。
5、使用校园网的全体师生发现违法行为和有害的、不健康的信息及时向校园网络及信息安全管理领导小组报告。
6、需在校内交流和存档的数据,按规定地址存放,不得存放在硬盘的C盘区,私人文件不得保存在工作电脑中,由此造成的文件丢失损坏等后果自负。
7、严禁在校园网内使用来历不明、引发病毒传染的软件或文件;对于外来光盘、优盘、软盘上的文件应使用合格的杀毒软件进行查杀毒。
8、专用的财务工作电脑和重要管理数据的电脑最好不要接入网络工作。
第四章处罚办法
违反本制度规定,有下列行为之一者,学校可提出警告、停止其上网,情节严重者给予行政处分,或提交司法部门处理。
1、查阅、复制或传播下列信息者:
(1)煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;
(2)煽动抗拒、破坏宪法和国家法律、行政法规的实施;
(3)捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;
(4)公然侮辱他人或者捏造事实诽谤他人;
(5)宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
2、破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。
3、盗用他人帐号或私自转借、转让用户帐号造成危害者。
4、故意制作、传播计算机病毒等破坏性程序者。
5、上网信息审查不严,造成严重后果者。
6、使用任何工具破坏网络正常运行或窃取他人信息者。
7、有盗用IP地址、盗用帐号和口令、破解用户口令等危及网络安全运行与管理的恶劣行径者。
信息安全管理制度5
第一章 总 则
第一条 为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。
第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作,适用本规定。
第三条 本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容。
第四条 寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全。
第五条 国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。
省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。
按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。
国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。
第六条 邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。
第七条 邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,防止寄递用户信息泄露、丢失。
第二章 一般规定
第八条 邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,明确企业内部各部门、岗位的安全责任,加强寄递用户信息安全管理和安全责任考核。
第九条 以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时,被加盟人应当依法承担相应安全管理责任。
第十条 邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议,明确保密义务和违约责任。
第十一条 邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。
第十二条 邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,接受并及时处理有关投诉。
第十三条 邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当订立寄递用户信息安全保障条款,明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。
第十四条 邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并订立信息安全保障条款,明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的,邮政企业、快递企业应当依法承担相应责任。
第十五条 未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。
第十六条 公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案,邮政企业、快递企业应当配合,并对有关情况予以保密。
第十七条 邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应当立即采取补救措施,按照规定报告邮政管理部门,并配合邮政管理部门和相关部门的调查处理工作,不得迟报、漏报、谎报、瞒报。
第三章 寄递详情单实物信息安全管理
第十八条 邮政企业、快递企业应当加强寄递详情单管理,对空白寄递详情单发放情况进行登记,对号段进行全程跟踪,形成跟踪记录。
第十九条 邮政企业、快递企业应当加强营业场所、处理场所管理,严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止寄递详情单实物信息(以下简称实物信息)在处理过程中泄露。
第二十条 邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。
第二十一条 邮政企业、快递企业应当采用有效技术手段,防止实物信息在寄递过程中泄露。
第二十二条 邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具有专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。
第二十三条 邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中封闭管理,确定集中存放地,及时回收寄递详情单妥善保管。设立、变更集中存放地,应当及时报告所在地邮政管理部门。
第二十四条 邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理,采取必要的安全防护措施,确保存储安全。
第二十五条 邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时,应当确保档案完整无损,并做好查阅登记,不得私自携带离开存放地。
第二十六条 寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后,由企业进行集中销毁,做好销毁记录,严禁丢弃或者贩卖。
第二十七条 邮政企业、快递企业应当对实物信息安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全隐患。
第四章 寄递详情单电子信息安全管理
第二十八条 邮政企业、快递企业应当按照国家规定,加强寄递服务用户信息相关信息系统和网络设施的安全管理。
第二十九条 邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定,合理划分安全区域,实现各安全区域之间有效隔离,并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。
第三十条 邮政企业、快递企业应当配备必要的防病毒软件、硬件,确保信息系统和网络具有防范计算机病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。
第三十一条 邮政企业、快递企业构建信息系统和网络,应当避免使用信息系统和网络供应商提供的默认密码、安全参数,并对通过开放公共网络传输的寄递用户信息采取加密措施,严格审查并监控对信息系统、网络设备的远程访问。
第三十二条 邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任,以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。
第三十三条 邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。
第三十四条 邮政企业、快递企业应当加强信息系统及网络的权限管理,基于权限最小化和权限分离原则,向从业人员分配满足工作需要的最小操作权限和可访问的`最小信息范围。
邮政企业、快递企业应当加强对信息系统和数据库的管理,使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权,并受到安全审计员的监控和审计。
第三十五条 邮政企业、快递企业应当加强信息系统密码管理,使用高安全级别密码策略,定期更换密码,禁止将密码透露给无关人员。
第三十六条 邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理,包括:
(一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域;
(二)采用加密方式存储寄递用户信息;
(三)确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当及时删除其中的寄递用户信息数据,并销毁硬件。
第三十七条 邮政企业、快递企业应当加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点和事项,留作信息安全审计依据。
第三十八条 邮政企业、快递企业应当加强对离岗人员的信息安全审计,及时删除或者禁用离岗人员系统账户。
第三十九条 邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,定期进行安全风险评估。
第五章 监督管理
第四十条 邮政管理部门依法履行下列职责:
(一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施;
(二)监督、指导邮政企业、快递企业落实信息安全责任制,督促企业加强寄递用户信息安全管理;
(三)对寄递用户信息安全进行监测、预警和应急管理;
(四)监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训;
(五)依法对邮政企业、快递企业实施寄递用户信息安全监督检查;
(六)组织调查或者参与调查寄递用户信息安全事故,依法查处违反寄递用户信息安全管理规定的行为;
(七)法律、行政法规和规章规定的其他职责。
第四十一条 邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传,强化邮政企业、快递企业及其从业人员的信息安全管理意识,提高用户对个人信息安全保护的认识。
第四十二条 邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。
下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。
第四十三条 邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度,规范从业人员信息安全保护行为,防范信息安全风险等情况进行检查。
第四十四条 邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当依法进行调查处理。违法行为涉及其他部门管理职权的,邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。
第四十五条 邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。
第四十六条 邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依照《中华人民共和国邮政法》第七十七条的规定予以处罚。
第四十七条 邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。
第四十八条 邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的,移送司法机关追究刑事责任。
第四十九条 任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。
第五十条 邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件,以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息,但涉及国家秘密、商业秘密和个人隐私的除外。
第五十一条 邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密,不得泄露、篡改或者损毁,不得出售或者非法向他人提供。
第五十二条 邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用、玩忽职守,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。
第六章 附 则
第五十三条 本规定自发布之日起施行。
信息安全管理制度6
第一章 总则
第一条 为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章 管理机构与职责
第六条 公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条 公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:
(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条 成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条 保密办主要职责:
(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;
(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;
(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;
(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;
(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
小组批准后组织实施,确保安全技术措施有效、可靠;
(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;
(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责; “三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;
(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条 党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条 相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章 系统建设管理
第十四条 规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条 涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条 涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条 对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第四章 信息管理
第一节 信息分类与控制
第十八条 涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条 涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条 向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节 用户管理与授权
第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条 用户清单管理
(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;
(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条 国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条 上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章 便携式计算机管理
第六十八条 便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行 “谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条 涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条 便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条 禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照 “集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章 应急响应管理
第七十六条 为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安
(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;
2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;
3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的.交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;
4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条 按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(二)较大事件由科技信息部(或财会部)、保密办依据应急响应预案进行处置,及时向公司信息安全领导小组报告并提请协调处置;
(三)重大事件启动应急响应预案,对突发事件进行处置,及时向公司党政报告并提请协调处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条 发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条 科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章 人员管理
第八十一条 各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条 承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章 督查与奖惩
第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章 附 则
第八十七条 本规定由保密办负责解释与修订。
第八十八条 本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(20xx)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(20xx)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(20xx)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(20xx)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(20xx)0935号]同时废止。
信息安全管理制度7
安全生产是企业的头等大事,必须坚持“安全第一,预防为主”的方针和群防群治制度,认真贯彻落实安全管理制度,切实加强安全管理,保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文件,制定本企业信息安全管理制度。
一、计算机设备安全管理制度
计算机不同于其他办公设备,其实用性、严密性、操作技术性强,含量高、部件易受损;特别是联网计算机,开放性程度比较高,电脑内部易受外界的偷窥、攻击和病毒感染。为确保计算机软、硬件及网络的正常使用,特制定本制度。
1、公司内所有计算机归网络部统一管理,配备计算机的员工只负责使用操作;
2、计算机管理涉及的范围:
2.1所有硬件(包括外接设备)及网络联接线路;
2.2计算机及网络故障的排除;
2.3计算机及网络的维护与维修;
2.4操作系统的管理;
3、公司内所有计算机使用人员均为计算机操作员;
4、网络维护部负责对公司内所有计算机进行定期检查,一般每两月进行一次;
5、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
6、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
7、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
1、计算机原则上由专人负责操作维护,不得串用设备。下班后必须按程序关闭主机和其他设备,切断电源。
2、为保证计算机信息安全,必须为计算机设置密码。
3、计算机操作员除使用操作计算机外,不允许有以下行为:
3.1硬件设备出现故障擅自拆开主机机箱盖板;
3.2更换计算机配件(如鼠标、键盘、耳麦);如有向网络管理员写设备申请单审批。
3.3删除计算机操作系统及公司指定的软件;
3.4使用带病毒的计算机软件;
3.5让外来人员进行有损于计算机的技术性操作;
4、不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算机进行杀毒。如发现计算机有病毒时,应及时清除,清除不了的病毒,要及时上报。
5、个人的公司重要文档、资料和数据保存时必须将资料储存在除操作系统外的其它磁盘空间,严禁将重要文件存放于桌面或C盘下。
6、工作时间内严禁工作人员在计算机上进行与工作无关的操作,不准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐,迅雷下载等,
7、电脑及网络设备所在环境应保持清洁、卫生、通风,注意防尘、防潮、防火。
8、公司所有计算机使用者,不得破坏网管员对计算机的安全设置。包括用户使用权限。
9、除服务器外,其他所有计算机下班后必须关机并切断电源;
10、计算机使用者离职时必须由网络管理员确认其计算机硬件设备完好、移动存储设备归还、信息系统管理帐户密码和资料未破坏、个人帐户密码清除后方可办理离职手续。
11、如工作人员不按规定操作,造成不良后果的,将按有关规定,由操作者承担相应责任,并追究科室负责人的有关责任。
12、操作员设置与管理
(1)网络管理员管理操作权限必须经过公司领导授权取得; 根据不同部门的要求及岗位职责而设置;
(2)网络管理员负责故障恢复等管理及维护,必须有其上级授权; 不得使用他人操作代码进行业务操作;
三、密码与权限安全管理制度
1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4、系统维护用户的密码应至少由两人共同设置、保管和使用管理制度。
5、有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1、存放备份数据的介质必须具有明确的标识。备份数据必须异地存放。
2、注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4、数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的.完整性和可用性。
5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6、需要长期保存的数据,数据管理部门需与相关部门制定转存,根据转存和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。
7、非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测。
8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9、运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、网络管理
1、网络系统属于公司无形资产,公司有权限制上网行为,根据工作需要限制各部门的上网行为。
2、公司网络管理员对计算机IP地址统一分配、登记、管理,严禁私自更改IP地址。
3、公司员工必须自觉遵守企业的有关保密法规,严禁利用网络有意或无意泄漏公司的涉密文件、资料和数据。不得非法复制、转移和破坏公司的文件、资料和数据。
4、实行“绝密”文件、涉秘件与计算机网络绝对隔离,不得在计算机网络中输入、打印、复制“绝密”文件和有关涉秘件;
5、网络维护部负责文字工作的计算操作人员必须遵守有关的保密制度,对保密的文件资料进行加密存放,不得上网共享。
六、附则
1、本制度由网络部负责解释。
2、本制度由总经理批准后生效,自颁布之日起执行。
信息安全管理制度8
一、违法案件报告和协查制度
1、落实网络安全岗位责任制,实行领导责任制和网络安全员负责制,网络安全事件实行谁主管,谁负责。
2、加强值班和值班日志的管理,建立定期,不定期的日志分析制度,及时发现网络(内部信息平台)安全事件和隐患。
3、一旦发现网络(内部信息平台)违法案件,应详细、如实记录事件经过,保存相关日志,及时通知有关人员,并与公安部门取得联系。
4、进行网络违法案件及其他网络安全检查时,网络安全员和其他有关人员必须积极配合。
二、以下行为属于违法使用网络(内部信息平台):
1、破坏网络(内部信息平台)通讯设施,包括室内网络布线,室内信息插座,配线间网络设备等。
2、随意改变网络接入位置。
3、盗用他人的IP地址,更改网卡地址、盗用他人帐号(包括上网帐号、电子邮件帐号、信息发布帐号等);
4、通过电子邮件、网络(内部信息平台)、存储介质等途径故意传播计算机病毒。
5、对网络进行恶意侦听和信息截获,在网络上发送干扰正常通信的数据。
6、对网络各攻击,包括利用已知的'系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击,以后、以及利用IP欺骗手段实施的拒绝服务攻击;
7、访问和传播色情、反动、邪教、谣言等不良信息的。
信息安全管理制度9
一、一般规定
1、未经网管批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。
2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。
3、机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息。
4、各科室应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。
二、帐号管理
1、网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。
2、网络(内部信息平台)管理员为用户设置明码口令,用户可以根据自己的保密情况进行修改口令,用户应对工作站设置开机密码和屏保密码。
3、用户帐号下的数据属于用户私有数据,当事人具有存入权限,管理员具有管理和备份存取权限。
4、网络(内部信息平台)管理员根据有关帐号管理规则对用户帐号执行管理,并对用户帐号及数据的安全和保密负责。
5、网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息等泄露出去。
三、网络管理员职责
1、协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略。
2、负责公用网络(内部信息平台)实体,如服务器、交换机、集线器、防火墙、网线、接插件等的维护和管理。
3、负责服务器和系统软件的安装、维护、调整及更新。
4、负责网络(内部信息平台)账号管理,资源分配,数据安全和系统安全。
5、监视网络(内部信息平台)运行,调整参数,调度资源,保持网络(内部信息平台)安全、稳定、畅通。
6、负责系统备份和网络(内部信息平台)数据备份,负责各部门电子数据资料的整理和归档。
7、保管网络(内部信息平台)拓扑图接线表,设备规格及配置单,管理记录,运行记录,检修记录等网络(内部信息平台)资料。
8、每年对本单位网络(内部信息平台)的效能和各电脑性能进行评价,提出网络(内部信息平台)结构、技术和网络、管理的改进措施。
四、安全管理职责
1、保障网络(内部信息平台)畅通和信息安全。
2、严格遵守国家、省、市制定的相关法律、行政法规,严格执行《网络安全工作制度》,以人为本,依法管理,确保网络(内部信息平台)安全有序。
3、在发生网络(内部信息平台)重大突发事件时,应立即报告,采取应急措施,尽快恢复网络(内部信息平台)正常运行。
4、充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。
5、加强信息审查工作,保存,备份至少90天之内网络信息日志,及时加以分析,排查不安定因素,防止黄色,反动信息的传播。
6、经常检查网络(内部信息平台)工作环境的防火、防盗工作。五、电脑操作人员培训制度
五、病毒的'防治管理制度
1、任何人不得在机关的局域网上制造传播任何计算机病毒,不得故意引入病毒。网络(内部信息平台)使用者发现病毒应立即向网络管理员报告。网络管理员及时指导和协助处理病毒。
2、各部门应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
计算机病毒防治管理制度
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
一、凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置,维修计算机及其软件的部门,必须遵守本办法。
二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
三、任何工作人员不得制作和传播计算机病毒。
四、任何工作人员不得有下列传播计算机病毒的行为:
1、故意输入计算机病毒,危害计算机信息系统安全。
2、向计算机应用部门提供含有计算机病毒的文件、软件、媒体。
3、购置和使用含有计算机病毒的媒体。
五、预防和控制计算机病毒的安全管理工作,由我部信息安全协调科负责实施,其主要职责是:
1、制定计算机病毒防治管理制度和技术规程,并检查执行情况;
2、培训计算机病毒防治管理人员外;
3、采取计算机病毒安全技术防治措施;
4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;
5、及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
7、向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源。
8、对因计算机病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故及时向公安机关报告人,并保护现场。
9、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。
10、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序,指令或数据,不得输入计算机系统运行。
11、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
12、通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
13、任何部门和个人不得从事下列活动:
⑴收集、研究有害数据;
⑵出版、刊登、讲解、出租有害数据原理,源程序的书籍,资料或文章;
⑶复制有害数据的检测,清除工具
六、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,第一次给予警告、第二次给予通报批评,第三次及以上将给予通报批评并进行100-200元/次的处罚。
七、积极接受公安机关对计算机病毒防治管理工作的监督,检查和指导。
信息安全管理制度10
第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司的信息安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
第二条范围
1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。
2、软件包括。服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。
3、客户机的网络系统配置包括客户机在网络上的名称,ip地址分配,用户登陆名称、用户密码、及inter的配置等。
4、系统软件是指。操作系统(如windowsxp、windows7等)软件。
5、平台软件是指。鼎捷erp、办公用软件(如officexx)等平台软件。
6、专业软件是指。设计工作中使用的绘图软件(如photoshop等)。
第三条职责
1、信息中心部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。
2、负责系统软件的调研、采购、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;inter对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。
4、网络管理人员执行公司保密制度,严守公司商业机密。
5、员工执行计算机安全管理制度,遵守公司保密制度。
6、系统管理员的密码必须由网络管理部门相关人员掌握。
第三条管理办法
i、公司电脑使用管理制度
1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
2、电脑由公司统一配置并定位,任何部门和个人不得允许私自挪用调换、外借和移动电脑。
3、电脑硬件及其配件添置应列出清单报行政部,在征得公司领导同意后,由网络信息管理员负责进行添置。
(1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
(2)电脑软件的安装与删除应在公司管理员的许可下进行,任何部门和个人不允许擅自增添或删除电脑硬盘内的数据程序;
(3)电脑操作员应在每周及时进行杀毒软件的升级,每月打好系统补丁;
(4)不允许随意使用外来u盘,确需使用的,应先进行病毒监测;
(5)禁止工作时间内在电脑上做与工作无关的事,如玩游戏、听音乐等。
5、任何人不得利用网络制作、复制、查阅和传播宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的内容
6、电脑发生故障应尽快通知it管理员及时解决,不允许私自打开电脑主机箱操作。
7、电脑操作员要爱护电脑并注意保持电脑清洁卫生,并在正确关机并完全关掉电源后,方可下班离开。
8、因操作人员疏忽或操作失误给工作带来影响但经努力可以挽回的,对其批评教育;因操作人员故意违反上述规定并使工作或财产蒙受损失的,要追究当事人责任,并给予经济处罚。
9、为文件资料安全起见,勿将重要文件保存在系统活动分区内如:c盘、我的文档、桌面等;请将本人的重要文件存放在硬盘其它非活动分区(如:d、e、f)。(保存前用杀毒软件检察无病毒警告后才可)。并定期清理本人相关文件目录,及时把一些过期的、无用的文件删除,以免占用硬盘空间。
10、所有电脑必须设置登陆密码,一般不要使用默认的administrator作为登陆用户名,密码必须自身保管,严禁告诉他人,计算机名与登陆名不能一致,一般不要使用含有和个人、单位相关信息的名称。
ii、网络系统维护
1、系统管理员每周定时对托管的网络服务器进行巡视,并对公司局域网内部服务器进行检查,如:财务服务器。
2、对于系统和网络出现的异常现象网络管理部门应及时组织相关人员进行分析,制定处理方案,采取积极措施。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、及时制定出解决方案。
3、定时对服务器数据进行备份。
4、维护服务器,监控外来访问和对外访问情况,如有安全问题,及时处理。
5、制定服务器的防病毒措施,及时下载最新的'防病毒疫苗,防止服务器受病毒的侵害。
iii、用户帐号申请/注销
1、新员工(或外借人员)需使用计算机向部门主管提出申请经批准由网络部门负责分配计算机、和登入公司网络的用户名及密码。如需使用财务软件需向财务主管申请,由网络管理部门人员负责软件客
2、员工离职应将本人所使用的计算机名、ip地址、用户名、登录密码、平台软件信息以书面形式记录,经网络管理人员将该记录登记备案。网络管理人员对离职人员计算机中的公司资料信息备份,方可对该离职人员保存在公司服务器中所有的资料删除。
iv、数据备份管理
服务器数据备份,应对数据库进行自动实时备份,并每周应至少做一次手工备份,并在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中。个人电脑的备份统一由各部门自行负责,可申请移动硬盘、信息光盘等储存介质进行安全备份。
第四条计算机/电脑维修
1、计算机出现重大故障,须填写《计算机维修单》并交it管理员进行维修。
2、it管理员对《计算机维修单》存档,便于查询各电脑使用情况。
3、须外出维修,须报分管领导审批。须采购配件,按采购管理流程执行。
第五条
公司信息安全管理(暂定)
1、公司(由信息中心定义)外发第三方时,需经由上级主管审批通过后,方可外发,并登记备案备查;
2、员工外带笔记本电脑时,须报请主管同意,并登记备案,以便保护笔记本中数据的安全。
3、控制usb存储拷贝,工作需要拷贝时通知信息中心开放端口。
第六条违规操作赔偿标准
1、违规操作者。没有造成经济损失的,当事人和责任人赔偿工作时间误工费50-100元。
2、违规操作者。造成经济损失的,追塑当事人和责任人相应经
济赔偿。第六条附则
1、本制度由信息管理部门负责解释,自公布之日起实施。
2、本制度有不妥之处在运行中修改并公布。
信息安全管理制度11
为了加强对酒店计算机网络的安全保护,维护计算机网络的正常运作,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规制定本制度。任何使用酒店计算机网络的人员必须遵循此制度。
安全员制度
一、 设立专职或兼职计算机信息网络安全员(以下简称安全员)。
二、 安全员主要负责酒店网络(包含局域网、信息系统远程接入网)的系统安全性。
三、 安全员负责酒店网络安全方面操作和知识的培训。
四、 安全员负责系统数据的冗灾备份工作。
五、 安全员确保系统日志保存完善并保留60天。
六、 对系统防病毒系统、防火墙和入侵检测系统的定期升级。定期
对系统作安全检测,及时发现安全漏洞予以消除,对检测结果和漏洞消除情况有记录。
七、 安全员应经常保持对最新技术的掌握,实时了解网络信息安全
的'动向,做到预防为主。
八、 安全员承担对不良、有害信息上报、处置工作职责。
九、 安全员承担本酒店制定的其他和公安机关交办的相关网络安全职责。
信息安全管理制度12
为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。
本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案。
网络安全管理制度
第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。
第二条任何单位和个人不得从事下列危害公司网络安全的活动:
1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。
2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。
3、未经允许,对信息网络功能进行删除、修改或增加。
4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。
5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。
7、向其它非本单位用户透露公司网络登录用户名和密码。
8、其他危害信息网络安全的行为。
第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。
第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。
第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。
第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息系统安全保密制度
第一条、“信息系统安全保密”是一项常抓不懈的工作,每名系统管理员都必须提高信息安全保密意识,充分认识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统安全保密培训。
第二条、实行信息发布责任追究制度,所有信息的发布必须按规定办理审核、审签手续,必须真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必须与内部网和互联网实施物理隔离,严格执行上网信息的审查制度和涉及国家秘密的信息不得在企业内网发布的规定,杜绝泄密事件的发生。凡发布虚假、反动、色情、泄密等内容,追究信息报送和审核者责任,对公司造成重大经济损失,将追究责任人相应的法律责任。
第三条、信息系统管理权限从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、应用服务器和控制服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。
第四条、所有信息系统的使用者和不同安全等级信息之间必须存在授权关系,并在新建信息系统开发建设阶段形成方案并加以设计,在软件系统中预留对应关系设置的功能,根据使用者岗位职务的变迁进行调整。
第五条、利用IT技术手段,对信息系统的'硬件配置调整、软件参数修改严加控制。利用操作系统、数据库系统、应用系统所提供的安全机制,设置相应的安全参数,保证系统访问的安全;对于重要的计算机设备,要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配置,并定期对以上情况进行检查。
第六条、信息系统如需要委托专业机构进行系统运行和维护管理时,应严格审查其资质条件、市场剩余和信用状况等,并且与其签订正式的服务合同和保密协议。
第七条、所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件,对未安装防病毒软件的终端用户有权拒绝为其提供网络接入服务。
第八条、利用防火墙、路由器、入侵检测等网络设备,加强网络安全,严密防范来自互联网的黑客攻击和非法侵入。
第九条、对于通过互联网传输的涉密或关键业务数据,要采取必要的技术手段确保信息传递的保密性、准确性、完整性。
第十条、对于停止运行的废旧系统,应当做好系统中有价值及涉密信息的销毁、转移等善后工作。
第十一条、系统管理人员要遵守信息系统的各项管理制度,防止利用计算机舞弊和犯罪。
第十二条、对重要业务系统的访问建立用户管理制度,对于不同类别不同级别的各类管理及使用人员采取密码分级管理,设定密码有效期限,对密码存储采用非明文二次加密技术防止各类密码泄露事故的发生。
信息安全风险应急预案
一、总则
为加强公司信息安全风险源的预防管理,提高应急防范能力,保障网络系统、信息系统及信息机房的整体安全,促进公司安全生产稳步健康发展,制定本预案。
二、编制目的
依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神。确保公司信息网络系统安全运行,为公司整体安全形势稳步发展提供保障。
三、适用范围
本预案适用于各单位信息安全突发风险应急管理。
四、主要风险源
1、火灾
2、意外断电
3、重要数据丢失
4、网络系统大面积瘫痪
五、风险源辨识及评估
各单位应组织员工对风险源进行全面、系统的辨识和风险评估,并确保:危险源辨识前要进行相关知识的培训;辨识范围覆盖本单位的所有活动及区域;对危险源辨识和风险评估资料进行统计、分析、整理、归档;
5.1、火灾辨识及评估
5.1.1火灾辨识
(1)自然灾害引起的火灾
(2)强电线路短路引起的火灾
(3)杂物堆积引起的火灾
(4)温度过高引起的火灾。
(5)老鼠咬线引起的火灾。
5.1.2火灾风险评估
机房发生火灾可能导致工作人员人身受到伤害;信息网络设备受到损坏;网络系统大面积瘫痪;国家、集体财产受到损失。
5.2、意外断电辨识及评估
5.2.1意外断电辨识
(1)自然灾害引起的意外断电。
(2)短路跳闸引起的意外断电。
5.2.2意外断电风险评估
1、意外断电可能导致机房核心交换机、防火墙、汇聚交换机、数据库服务器、软件服务器、恒温设备等重要设备损坏或数据丢失;
2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的间接财产损失。
5.3、重要数据丢失辨识及评估
5.3.1重要数据丢失辨识
(1)意外断电引起的数据丢失。
(2)服务器故障引起的数据丢失。
(3)数据库损坏引起的数据丢失。
5.3.2重要数据丢失风险评估
1、安全软件系统数据丢失可能导致安全生产监控类系统数据无法正常采集于传输,影响到矿井安全生产的正常进行。
2、数据库系统数据丢失可能导致经营管理类系统无法正常使用,影响公司相关部门经营管理工作和日常办公无法正常进行。
5.4、网络系统大面积瘫痪
5.4.1 网络系统大面积瘫痪辨识
(1)意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。
(2)通信线路中断引起的网络系统大面积瘫痪
(3)服务器损坏或故障引起的大面积无法登录互联网。
5.4.2 网络系统大面积瘫痪风险评估
1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断,管理部门失去对矿井生产的安全监管,安全生产无法正常进行。
2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。
5.5、高空作业辨识及评估
5.5.1高空作业辨识
(1)日常高空维修可能造成人身伤害。
(2)工程高空施工可能造成人身伤害。
5.5.2高空作业风险评估
日常高空维修网络设备、打扫卫生和高空施工可能造成工作人员人身伤害和精神伤害,影响公司安全生产稳步发展。
六、安全风险应急预案及措施
根据各单位存在的主要风险源和风险评估,保障安全生产工作有序进行,制定本预案及措施。
6.1火灾应急预案及处置措施
6.1.1应急预案
(1)发生特大火灾时(包括机房、UPS、库房),值班人员应立即逃离火灾范围,启动对应的火灾应急预案和响应级别,拉响警报,向公司总调度室、本单位负责人、单位安监部门汇报,在确保人身安全的情况下,组织人员利用灭火器进行灭火;
如果火势过大,人员无法靠近时,应立即拨打火警119,求助消防部门进行灭火。
(2)发生重大火灾时(包括机房局部、UPS控制器、库房局部),值班人员应立即逃离火灾范围,启动对应的火灾应急预案,拉响警报,向公司调度室和本单位安监部门汇报,在确保人身安全的情况下,组织人员利用灭火器进行灭火,力争将财产损失降到最低。
(3)发生较大火灾时(包括消防通道、办公室)值班人员应启动对应的火灾应急预案,向公司总调度室及本单位安监部门汇报,在确保人身安全的情况下,组织人员利用灭火器进行灭火,避免或降低财产损失。
6.1.2处置措施
(1)火灾发生时,值班和工作人员应立即脱离火灾范围,确保人身安全。
(2)根据火灾大小确定火灾风险等级,并启动相应的响应等级。
(3)根据火灾风险等级向公司总调度室及本单位安监部门汇报火灾情况。
(4)火势过大无法控制时,应立即拨打火警119进行求助。
(5)在确保人身安全的情况下,组织人员利用灭火器进行灭火,避免火灾扩大,降低财产损失。
(6)尽最大可能搜集火灾发生的相关信息,做好记录,为事故处理提供依据。
(7)每月针对火灾诱发根源进行彻底检查(如易燃物品不能堆放、库房物品分类并整齐摆放等),预防火灾的发生。
6.2、意外断电应急预案及处置措施
6.2.1应急预案
发生自然灾害和短路引起的意外断电时,值班人员在确保人身安全的情况下,根据风险等级启动相应的响应等级,向本单位安监部门进行汇报,邀请电力维修人员进行断电故障排查,并组织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服务器、软件系统、烟雾报警、UPS温度监控、机房温度监控系统进行隐患排查,发现设备故障和数据丢失,应当进行及时处理和上报。
6.2.2处置措施
(1)发生意外断电时,在确保人身安全的情况下,值班人员应启动相应的响应等级。
(2)向本单位安监部门进行汇报。
(3)必须请专业电力维修人员进行故障排查与维修。
(4)搜集意外断电发生的信息并作好记录,为事故处理提供依据。
6.3、重要数据丢失应急预案及处置措施
6.3.1应急预案
(1)因意外断电引起重要数据丢失时,值班人员应根据风险等级启动相应的响应等级,向公司总调度室和安监部门进行汇报,邀请专业电力维修人员进行故障排查,恢复供电正常,排查机房设备及数据情况,发现设备故障和数据丢失,立即组织相关技术人员进行恢复。
(2)因服务器故障引起数据丢失时,值班人员应根据风险等级启动相应的响应等级,向公司总调度室和案件部门进行汇报,并组织技术人员进行服务器维修和数据恢复,如果服务器和数据无法维修和恢复时,应向本单位负责人汇报并外请专业人员进行维修,确保设备和数据安全。
(3)因数据库无法启动引起的数据丢失,值班人员应根据风险等级启动相应的响应等级,向公司总调度室和案件部门进行汇报,并组织技术人员进行数据恢复,如果数据无法恢复,应向本单位负责人汇报并外请专业人员进行数据恢复,确保设数据安全。
6.3.2处置措施
(1)发生数据丢失时,值班人员应根据风险等级启动相应相应等级。
(2)值班人员向本单位安监部门汇报。
(3)组织技术人员对数据进行恢复。
(4)本单位技术人员无法恢复丢失数据时,应向本单位负责人汇报并外请专业人员进行数据恢复,确保数据安全。
(5)做好数据丢失与恢复过程的记录。
6.4、高空作业应急预案及处置措施
6.4.1应急预案
(1)在高空维修过程中发生人员坠落风险时,如果坠落人员处于清醒状态,应立即拨打120送往医院进行急救;
如果坠落人员处于昏迷状态,其他维修人员应当立即进行简单的急救(如将人平躺在地上,进行按压胸部、掐人中、人工呼吸等),同时拨打120急救电话送往医院进行抢救,并向公司总调度室、本单位负责人及安监部门汇报。
(2)在高空施工过程中发生人员坠落风险时,如果坠落人员处于清醒状态,应立即拨打120送往医院进行急救;
如果坠落人员处于昏迷状态,其他维修人员应当立即进行简单的急救(如将人平躺在地上,进行按压胸部、掐人中、人工呼吸等),同时拨打120急救电话送往医院进行抢救,并向公司总调度室、本单位负责人及安监部门汇报。
6.4.2处置措施
(1)日常高空维修必须在确保人身安全的情况下进行,否则不能进行维修作业。
(2)在日常工作中设计到高空维修,维修人员一定要2人或2人以上进行维修。否则,维修人员可以拒绝维修工作。
(2)高空维修人员必须佩带安全绳索,并采用安全梯子进行高空作业。否则,不能进行高空维修作业。
(3)事故发生后要对事故的经过进行详细记录,为事故处理提供依据。
信息安全管理制度13
为了加强学生管理,进一步做好学生平安信息登记工作,特制定以下制度。
1、学校对学生的家长姓名、家庭住址、联系方式等各方面状况逐一进行具体登记,做到学生家庭状况熟,底子说得清。
2、学校对患有先天性疾病和重大疾患的学生,建立档案,照实记载,并在教学活动和社会实践中进行重点监护,防止学生因参与不相宜的活动而造成意外损害。
3、做好学生出勤信息状况登记,对学生因事因病不能到校,学生家长应刚好填写书面假条交班主任处,由班主任刚好上报学校,学校作出统计。
4、学校将学生到校和放学时间、非正常缺课或擅自离校、以及身体和心理异样状况等关系学生平安的信息,刚好登记,并将处理信息做好记录。
5、学生在校发生食物中毒、传染病流行、安全事故后,学校应刚好做好详实记录,做好事故现场及有关证据的.保存工作。
6、做好学生平安信息登记工作的分析、总结、存档工作。
信息安全管理制度14
为维护互联网环境安全、健康,根据《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规,特制定本制度。
总则
一、严格遵守国家有关涉及互联网方面的法律法规;
二、坚决封堵互联网上不良和有害信息的侵入;
三、积极配合公安机关的网络信息安全部门检查;
四、按照备案要求,及时备案本单位在互联网应用方面的变更信息;
五、在本单位建立网络信息安全保护小组,并报公安机关的网络安全部门备案;
六、根据本单位在互联网应用的实际情况,在安全员、安全教育和培训、机房管理、安全保护技术措施、巡视上报、帐号使用和操作权限管理等方面制定以下细则制度。
安全员制度
一、设立2人以上专职或兼职计算机信息网络安全员(以下简称安全员);
二、安全员主要负责全校网络(包含局域网、广域网)的系统安全性;
三、安全员负责全校网络安全方面操作和知识的培训;
四、安全员负责系统数据的冗灾备份工作;
五、安全员确保系统日志保存完善并保留60天以上(日志包含校内部联网和网站两大块);
六、对系统防病毒系统、防火墙和入侵检测系统的定期升级。定期对系统作安全检测,及时发现安全漏洞予以消除,对检测结果和漏洞消除情况有记录;
七、安全员应经常保持对最新技术的掌握,实时了解网络信息安全的动向,做到预防为主;
八、安全员承担对不良、有害信息上报、处置工作职责;
九、另安全员承担本单位制定的其他和公安机关交办的相关网络安全职责。
与公安联系制度
一、建立与公安机关联系的长效机制,对网络安全方面出现的问题和情况及时沟通;
二、网络安全管理员保持通讯畅通,确保24小时内有急事联系到人;
三、对计算机信息系统中发生的案件,应当24小时内向当地公安ail:XXX,并电话确认邮件送机关报告(电话:XXX转XX或者em达)。
安全教育和培训
一、安全员定期接受公安机关相关部门的安全培训;
二、对员工和用户在《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等关于网络安全方面的国家法律、法规的学习、培训,提高工作人员(特别是安全员)的维护网络安全的警惕性和自觉性;
三、实时了解网络信息安全的动向,不定期地对本单位联网用户(包含单位其他联网工作人员等)进行关于最新系统漏洞修复和最新病毒预防等安全防范方面的的培训和学习。
四、适时对全校员工进行基本的网络安全保护制度和具体方法进行介绍,切实维护计算机联网安全。
五、网络安全防范方面的的培训和学习方面,畅通与公安机关有关人员的联系渠道,加强对各类有害信息、特别是影射性有害信息的识别能力,提高安全防犯能力。
机房管理制度
一、对能够进入机房人员的.设定要求(如:非机房人员准入制度等等);
二、对任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品的禁止要求;
三、对运行设备及各种配置等等进行更改、增减的权限规定;
四、操作密码定期更改要求,超级用户权限设定、机房管理员权限等等的权限设定;
五、各种主要数据的冗灾备份要求;
六、《机房日志》及软件维护、增删、配置的更改,各类硬件设备的添加、更换等登记要求;
七、对机房内设置的消防器材等不定期进行检查的要求,以保证其有效性;
八、机房环境(如整洁、温度等等)的要求;
九、其他。
安全保护技术措施制度
一、系统日志保存完善。根据不同互联网服务性质保存相应的日志项目(具体项目参照《互联网安全保护技术措施规定》,项目应达到的标准参照《中华人民共和国公共安全行业标准》GA610-20xx、GA611-20xx、GA612-20xx),做到保存项目完整、保存时间在60天以上;
二、对系统安全防范系统定期检测、升级、漏洞修补,确保系统安全;
三、系统数据冗灾备份;
四、定期巡视,确保信息安全、合法。
巡视上报制度
一、对于论坛BBS、社区、留言板、聊天室、游戏,建立信息发布前的关键字或敏感词汇的过滤机制(关键字内容包含邪教术语、淫秽术语等等,密切关注社会动态,对关键字或敏感词汇作及时调整等等方面的具体规定);
二、对于电子邮件服务,建立垃圾邮件的自动过滤功能;
三、上述栏目属于新闻时事、时政类的栏目,必须建立信息发布前的先审后发制度;
四、日常化巡视(可以由管理员、版主等等轮流或分块负责,如何分工实现日常化巡视、巡视时职责是及时发现有害信息并及时处置等等都应明确);
五、上述四条,系统自动过滤、审核、巡视出的有害信息应留存,并定期向公安机关网络安全部门上报;
帐号使用登记和操作权限管理制度
一、联网单位应用系统中的用户权限设置;
二、对于论坛BBS、社区等栏目中用户分级管理(如:游客、注册用户、版主、管理员等之间的权限设置,新闻时政类栏目与普通栏目版主、管理员之间的权限设置);
三、后台管理员的权限设置;
四、其他。
附则
本制度自即日起实施。制度一式二份,一份报公安机关的网络安全部门备案,一份和《中华人民共和国计算机信息网络国际联网单位备案表》同档保存在本单位备查。
信息安全管理制度15
一、企业信息安全管理体系
1 、计算机设备管理体系1.使用计算机的部门应保持清洁、安全、良好的计算机设备工作环境,严禁在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等危害计算机设备安全的物品。
2.当本单位非技术人员对本单位设备进行维护时、系统、维护,本单位相关技术人员必须现场监督全过程。计算机设备在送去修理之前必须得到有关部门负责人的批准。
3.严格遵守安全操作规程和正确的使用方法,如计算机设备使用、启动、关机。任何人不得用电插拨计算机外部设备的接口。如果计算机出现故障,应及时向计算机责任部门报告。未经许可不得擅自处理或从其他单位找技术人员进行维护和操作。
二 、操作员安全管理系统
(1) .操作代码是进入各种业务操作应用系统的代码、数据访问的分级控制。
操作代码分为系统管理代码和一般操作代码。代码是根据不同应用系统和工作职责的要求设置的。
(2) .系统管理操作代码设置和管理
1、系统管理操作代码必须由管理层授权。
2、系统管理员负责各种应用系统的环境生成、维护、通用操作代码的生成和维护、故障恢复的管理和维护等。
3、系统管理员必须获得其上级对业务系统数据整理的授权、故障恢复和其他操作;
4、系统管理员不得使用他人的操作码进行业务操作;
5、系统管理员调离岗位。上级管理员(或相关责任人)应及时取消其代码并生成新的系统管理员代码。
(3) .通用操作代码设置和管理
1、一般操作代码由系统管理员根据各种应用系统的操作要求生成,并根据每次操作的用户代码进行设置。
2、经营者不得将他人代码用于经营活动。
3、操作员调离岗位。系统管理员应取消他的代码,并及时生成新的操作员代码。
三、密码和权限管理系统
1.密码设置应该具有安全性、保密性,并且不能使用简单的代码和标签。
密码是保护系统和数据安全以及保护用户自身权益的控制代码。
密码分为用户密码和操作密码,用户密码是登录系统时设置的密码,操作密码是进入各应用系统的操作员密码。
密码设置不应是容易猜到的数字和字符串,如名称、生日,重复、序列、常规数字;
2.密码应定期修改,修改间隔不超过一个月。如果发现或怀疑密码丢失或泄露,应立即修改,并将用户名、修改时间、修改等内容记录在相应的寄存器中。
3. server 、路由器等重要设备的超级用户密码应由运营机构负责人指定的专门人员(不参与系统开发和维护的人员)设置和管理,密码设置人员应将密码放入密码信封内,贴上个人姓名徽章或在接缝处签名,然后提交密码管理人员备案登记。
特殊情况下,需要封存的密码必须经相关部门负责人批准,并由密码用户向密码管理人员索取。使用后,密码必须立即更改并密封,并在“密码管理登记簿”中登记。
4.系统维护用户的密码应由至少两个人一起设置、以供保管和使用。
5.相关密码授权员工调离岗位。相关部门负责人必须指定专人接管,并立即修改或删除密码。同时,应在“密码管理登记簿”中进行登记。
四、数据安全管理系统
1.存储备份数据的介质必须有清晰的标识。
备份数据必须存放在不同的地方,并明确落实不同地方备份数据的管理职责;2.重视重要计算机信息和数据存储介质的存储、运输安全和安保管理确保存储介质的物理安全。
3.任何非应用业务数据的使用和存储数据的设备或介质的转移、转移、放弃或销毁必须严格按照程序逐步批准,以确保备份数据的安全性和完整性。
4.在数据恢复之前,必须备份原始环境中的数据,以防止有用数据的丢失。
在数据恢复过程中,应严格遵守数据恢复手册,如有问题,技术部门应提供现场技术支持。
数据恢复后,必须执行验证、确认,以确保数据恢复的完整性和可用性。
5.数据清理前必须备份数据,清理操作必须在确认备份正确后才能进行。
所有以前清理之前的备份数据应根据备份政策定期或永久保存,并应随时可用。
数据清理的`实施应避免高峰营业时间,并避免影响在线业务运营。
6.对于需要长期保存的数据,数据管理部门应与相关部门共同制定展期计划。根据展期计划和查询使用方法,展期应在介质有效期内进行,以防止存储介质过期失效。应通过有效查询、使用方法确保数据的完整性和可用性。
传输的数据必须有详细的文档。
7.当公司非技术人员对公司设备进行维护时、系统、维护,公司相关技术人员必须现场监督全过程。
计算机设备必须经设备管理机构负责人批准后,方可送去维修。
在发送维修之前,应备份、删除和注册设备存储介质中的应用软件、数据和其他管理相关信息。
对于修复后的设备,设备维护人员应检查并接受设备、病毒的检测和登记。
8.管理部门应对报废设备中存储的程序、数据进行备份和清理,并妥善处理报废的无用数据和介质,防止泄漏。
9.运行维护部应指定专人负责计算机病毒的防范,建立本单位的计算机病毒防控管理体系,定期进行计算机病毒检查,发现病毒及时清除。
10.未经相关部门许可,商业计算机不允许安装其他软件、不允许使用来历不明的载体(包括软盘、光盘、移动硬盘等。)。
五、机房管理系统
1.进入主机房时应至少有两人在场,并应登记”机房门禁管理登记簿”,记录门禁时间、人员和操作内容。
2 .信息技术部门人员必须获得领导的许可才能进入机房,其他人员必须获得信息技术部门领导的许可并由相关人员陪同。
值班人员必须如实记录访客名单、进出机房时间、来访内容等。
原则上,非信息技术部门人员不得进入中心操作系统。
特殊情况下需要操作时,应经信息技术部门负责人批准后,在相关人员的监督下进行。
操作内容应由操作人员和监督人员记录并签字,以备日后参考。
3.保持机房整洁。各种机械设备应按维修计划定期维修,保持清洁明亮。
4.员工进入机房时必须更换干净的工作服和拖鞋。
5.禁止在机房吸烟、吃饭、接待访客、聊天等。
不允许任何与业务相关的活动。
严禁将液体和食物带入机房,严禁携带与机房无关的物品,尤其是易燃易爆腐蚀性等危险品。
6.严禁机房工作人员违章操作,严禁未经许可将外来软件带入机房使用。
7.通电时,严禁拆卸和移动计算机等设备和部件。
8.定期检查机房内的消防设备。
9.不允许在计算机房内随意丢弃存款介质和相关机密业务数据。丢弃的存款介质和商业机密资料应及时销毁(碎纸),不得作为普通垃圾处理。
严禁私自出借或取出机房内的设备、存储介质、数据、工具。
10.主机设备主要包括用于业务运营的服务器和电脑。
在机房内,应保持恒温、恒湿、电压稳定,并做好静电防护和防尘工作,以保证主机系统的稳定运行。
服务器所在的主机应执行严格的访问控制管理系统,及时发现和排除主机故障,并根据业务应用要求和操作规范,保证业务系统的正常运行。
11.定期测试空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温升率等)。),并做好记录,及时解决通过实际测量发现的各种参数问题,确保房间空调器的正常运行。
12.除自动电池检测外,计算机房中的不间断电源必须每年充电和放电一次或两次。
【信息安全管理制度】相关文章:
信息安全管理制度11-28
【精华】信息安全管理制度12-03
网络与信息安全管理制度11-29
(热门)网络与信息安全管理制度15篇11-29
网络与信息安全管理制度(优秀15篇)11-30
网络与信息安全管理制度汇总【15篇】11-30
网络与信息安全09-06
信息安全检查09-06
网络与信息安全【优选】09-06
信息安全策略03-13