信息系统安全管理制度(6篇)

第1篇 电子信息系统安全管理制度

为提高公司信息系统的可靠性、稳定性、安全性,降低人为因素导致信息系统失效的可能性,形成良好的信息传递渠道,特制定本规范。

1. 机房管理规范

1.1非工作人员不得进出机房。工作人员出入机房注意锁好房门,未经上级批准,禁止将机房相关钥匙、密码等物品或信息外露给其它人员,同时有责任对信息保密。

1.2机房工作人员必须熟知机房内设备的基本安全操作和规则。定期检查机房的防晒、防水、防潮;检查、整理硬件物理连接线路;定期检查硬件运作状态(如设备指示灯)。不得乱拉乱接电线,应选用安全、有保证的供电、用电器材,严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。

1.3机房内禁止吃食物、抽烟、随地吐痰,对于意外或工作过程中弄污地板和其它物品的,必须及时采取措施清理干净;禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。

1.4机房工作人员必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份,做好硬件设备的维护保养工作。

1.5任何人均不得在服务器、交换设备等核心设备上进行与工作无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备。

2. 计算机操作人员管理规范

2.1计算机操作员应具备计算机基础知识,熟练使用windows、office、长安福特dms系统及常用软件,并对其所使用的计算机软、硬件负有维护保管责任。

2.2任何员工未经授权,不得修改计算机软硬件设置。严禁在工作机共享文件,员工所掌握的工作数据、文件等均属公司所有,严禁拷贝、传播、修改、破坏。凡违反网络操作规程,影响网络运行者罚款100元。

2.3计算机操作人员离开工作区域时应保证重要文件、资料、设备、数据处于安全保护状态;个人的工作文件应随时做好安全存放与备份,不得将个人工作文件存放于“c盘我的文档”。如有问题及时联系系统管理员,与系统管理员一同维护好日常网络的安全运行。

2.4计算机操作人员每次开机确保病毒实时监测程序和黑客防火墙程序的正常运行;日常工作中注意保持计算机等相关设备的清洁,下班时务必关掉所有办公设备的电源。

3. 计算机系统安全性维护

3.1计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置。

3.2硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。

3.3在使用任何外来的光盘,u盘,移动硬盘等外来媒体的文件前,必须进行杀毒;严禁浏览任何非法网站、黑客网站及不健康的网站,严禁下载带有附件的不明邮件;

3.4系统管理人员负责长安福特dms系统工作权限的设置,员工只能使用自己的工作权限,严禁盗用他人用户名与密码,严格执行工作流程;长安福特dms系统上使用的密码一经启用,不得随意修改、公开,并需在行政部做备份,如需修改须事先告知行政部。

3.5各部门如有计算机操作员人员更替,必须及时通知行政部,系统管理员注销或开设新用户。

3.6系统管理人员须严格管理公司无限网络的使用,接入密码要经常更新,以保证无线网络的安全;

第2篇 人民医院信息系统安全管理制度

人民医院信息系统安全管理制度

一、信息系统安全包括:软件安全和硬件网络安全两部分。

二、计算机中心人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。

三、对系统用户的访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由计算机中心人员给予配置并存档,以后变更必须报批后才能更改,计算机中心做好变更日志存档。

四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。

五、计算机中心人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。

六、网络系统所有设备的配置、安装、调试必须由计算机中心人负责,其他人员不得随意拆卸和移动。

七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。

八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。

九、所有进入网络的软盘、光盘、u盘等其他存贮介质,必须经过计算机中心负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。

十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

十一、内网用户所有文件传递,一律通过网上办公系统和ftp服务器专门的上载、下载区进行,不得利用软盘、光盘和u盘等存贮介质进行拷贝。

十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。

十三、计算机中心人员有权监督和制止一切违反安全管理的行为。

第3篇 集团信息系统安全管理细则

第一条 目的

为了保护集团计算机信息系统安全,规范信息系统管理,合理利用系统资源,推进集团信息化建设,促进计算机的应用和发展,保障集团信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为集团运营服务。根据《中华人民共和国国计算机信息系统安全保护条例》及有关法律、法规,结合集团实际情况,制定本细则。

第二条 术语与定义

(一) 信息系统安全管理范围:业务软件系统信息安全、硬件网络信息安全。

(二) 系统管理员:是集团信息化管理系统建设的主要执行者,负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作;同时,负责集团信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作;

第三条 适用范围

本细则适用于集团信息系统安全管理。

第四条 系统服务器和网络设备管理方法:

(一) 服务器和各网络设备的放置详见《机房管理细则》第五条的第三项;

(二) 非集团指定系统管理员,未经批准不得对服务器和各网络设备进行硬件维护、软件安装卸载等操作;

(三) 保证服务器和各网络设备24小时不间断正常工作,不得在服务器专用电路上加载其它用电设备;

(四) 非工作需要,内网服务器严禁直接接入因特网,并安装好杀毒软件,做好病毒防范,杜绝病毒感染。

第五条 业务软件系统信息安全:

(一) 帐户申请:对符合开通帐户的申请人,根据权责对软件所负责管理的职能归属部门进行申请,经该主责部门同意后,转信息管理部系统管理员处备案;

(二) 帐户删除:对于离职人员,在办理工作交接时。由离职人员的主管通过办公平台向业务软件主责部门提交删除离职人员相关业务软件帐户的申请。经该主责部门同意后,转信息管理部系统管理员处备案;

(三) 操作人员应该严格保密帐户信息,如因故意或过失造成信息泄漏的,将根据《员工奖惩管理细则》追究其相关责任;

(四) 系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,适时更换、更新用户帐号或密码。

第六条 网络信息安全:

(一) 系统管理员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生;

(二) 网络系统所有设备的配置、安装、调试必须由系统管理员负责,其它人员不得随意拆卸和移动;

(三) 所有上网操作人员必须严格遵守计算机及其它相关设备的操作规程,禁止其它人员进行与系统操作无关的工作;

(四) 在管理员还没有有效解决网络安全(未安装防火墙、杀毒软件)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

第七条 资料备份工作方法:

(一) 数据备份关系到整个集团信息化管理系统的正常运转,影响到集团正常的运营秩序,必须严格执行;

(二) 数据库服务器每周日做一次数据备份;

(三) 备份的数据存储于专门的硬盘内,备份必需以覆盖的形式存储,确保数据不会遗漏;

(四) 所有重要数据、信息化管理系统源程序要刻录成光盘存盘;

(五) 若遇重大程序更新、修改,必须在程序更新、修改前要做好数据的备份工作;

(六) 上传到集团网站上提供给查询的数据必须每日定时更新,确保查询数据的准确性;

(七) 系统管理员若遇重大程序更新、修改,必须填写工作日志;

(八) 非共享的文件不能设置成网络共享,提供共享使用的文档必须设置相应权限,由于没有安全设置相应权限而造成本单位数据丢失的情况,后果自负。

第八条 管理员有权制止一切违反安全管理的行为。

第九条 本细则的解释权属于运营管理中心信息管理部。

第十条 本细则由运营管理中心信息管理部进行起草与修订,由总裁办公会审核,执行总裁批准后发布。

第十一条 本细则自发布之日起生效,集团原有相关规定、通知、办法等同时废止。

第4篇 信息系统安全管理制度

为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。

具体管理办法如下:

第一章 总 则

第一条 为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。

第二条 本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。

第三条 本规定所指账号管理包括:

1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理

2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理

3、用户账号密码的管理。

第四条 系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。

第五条 信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。

第六条 用户账号申请、审批及设置由不同人员负责。

第七条 各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。

1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。

2、系统管理员:负责按照领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。

3、系统管理监督员:负责对录入的数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。

4、普通用户:负责对系统进行业务层面的操作。

第八条 信息管理中心将定期抽取系统岗位和用户清单进行检查,发现可疑授权、可疑使用将根据实际情况予以通报修正,并将检查结果记入信息化年度考核中。

第二章 普通账号管理

第九条 申请人使用统一规范的《信息系统权限申请表》(附件二)提出用户账号创建、修改、禁用、启用等申请。

第十条 账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和符合职责分工的要求。

第十一条 在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。

第十二条 新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。

第十三条 人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后。员工所属部门以书面方式通知系统管理部门,由系统管理部门实施用户帐户及权限的回收操作。

第十四条 账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。

第三章 特权账号和超级用户账号管理

第十五条 特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator(或admin)、root等管理员账号。

第十六条 只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。

第十七条 信息系统管理部门每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。

第十八条 尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。

第十九条 临时使用超级用户账号必须有监督人员在场记录其工作内容。

第二十条 超级用户帐户必须由信息管理中心管理(如没有超级管理员,信息管理中心必须掌握系统管理员权限)。系统管理员和系统管理监督员可通过信息管理中心与系统拥有部门协商管理(如系统管理员由系统拥有部门管理,《信息系统权限申请表》必须以邮件方式电子文档交予信息管理中心备案便于监督审核)。

第二十一条 信息化各系统交使用单位验收合格后,必须由信息管理中心和系统拥有部门共同督促系统开发方删除临时测试帐户。

第四章 用户账号及权限审阅

第二十二条 系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《信息系统权限清理清单》(附件四)。

第二十三条 信息管理中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《信息系统权限清理清单》。

第二十四条 员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。

第五章 用户账号口令管理

第二十五条 用户账号口令发放要严格保密,用户必须及时更改初始口令。

第二十六条 用户账号口令最小长度为6位(系统超级用户、管理员和监督员口令最小长度为8位),并具有一定复杂度。

第二十七条 用户账号口令必须严格保密,并定期进行更改,密码更新周期不得超过90天。

第二十八条 严禁共享个人用户账号口令。

第六章 附则

第二十九条 本制度与公司相关标准、规范相冲突时,应按照公司相关标准、规范执行。

第三十条 本制度适用于由信息管理中心归口管理的所有系统。

第三十一条 本制度由信息管理中心起草并解释。

第三十二条 本制度从发布之日起施行。

第5篇 内部控制信息系统安全管理制度

第一章 总则3

第二章 系统管理人员的职责3

第三章 机房管理制度4

第四章 系统管理员工作细则4

第五章 安全保密管理员工作细则7

第六章 密钥管理员工作细则9

第七章 计算机信息系统应急预案10

第八章 附则10

第一章 总则

第1条依据《中华人民共和国国保守国家秘密法》和有关保密规定,为进一步加强中船信息公司计算机信息系统安全保密管理,并结合用户单位的实际情况,制定本制度。

第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。

第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。

第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。

第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。

第二章 系统管理人员的职责

第6条用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由中船信息承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。

第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理; 应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。

第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。

第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。

第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。

第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。

第12条保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。

第三章 机房管理制度

第13条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。

第14条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。

第15条机房内不得使用无线通讯设备,禁止拍照和摄影。

第16条各类技术档案、资料由专人妥善保管并定期检查。

第17条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。

第18条机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。

第19条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。

第20条机房大门必须随时关闭上锁。机房钥匙由集团公司保密办管理。

第21条机房门禁磁卡(以下简称门禁卡)由信息中心管理。

第22条门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。

第23条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。

第24条门禁卡应妥善保管,不得遗失和互相借用。

第25条门禁卡遗失后,应立即上报信息中心,同时写出书面说明。

第四章 系统管理员工作细则

第一节 系统主机维护管理办法

第26条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。

第27条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。

第28条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。

第29条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。

第30条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。

第31条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。

第32条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。

第33条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。

第34条每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。

第35条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。

第36条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。

第37条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。

第二节 信息系统运行维护管理办法

第38条信息系统(办公自动化系统和档案管理系统)的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。

第39条根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位,。

第40条对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。

第41条每周对信息系统系统数据、用户id文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。

第42条当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。

第43条根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。

第44条每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。

第45条在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。

第46条每天记录信息系统运行维护日志,对信息系统运行情况进行总结。

第47条每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。

第三节 网络系统运行维护管理办法

第48条网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。

第49条根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。

第50条建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,vlan划分表,并在系统配置发生变更时及时对设备档案进行更新。

第51条每天检查网络系统设备(交换机、路由器)是否正常运行。

第52条每周对网络系统设备(交换机、路由器)进行清洁。

第53条每周修改网络系统管理员密码。

第54条每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。

第55条网络变更后进行网络系统配置资料备份。

第56条当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。

第57条每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。

第四节 终端电脑运行维护管理办法

第58条终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。

第59条根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件、技防软件,。

第60条建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行及时更新。

第61条在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交保密办处理。

第五节 网络病毒入侵防范管理办法

第62条网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。

第63条根据网络系统安全设计要求安装、配置瑞星网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。

第64条每日监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。

第65条每周登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。

第66条每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。

第67条每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。

第五章 安全保密管理员工作细则

第一节 网络信息安全策略管理办法

第68条网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。

第69条根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。

第70条根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。

第71条根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。

第72条根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。

第73条每周对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。

第74条网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。

第二节 网络信息系统安全检查管理办法

第75条网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。

第76条每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密办,并做详细记录(见表十三)。

第77条每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。

第78条每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报保密办。

第79条每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。

第80条每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。

第三节 涉密计算机安全管理办法

第81条涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。

第82条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。

第83条每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。

第84条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。

第85条新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。

第四节 安全审计管理办法

第86条网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。

第87条根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。

第88条每日查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。

第89条每周备份设备安全审计系统审计信息,并做详细记录(见表二十)。

第90条每月对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。

第五节 违规联接管理办法

第91条违规外联管理系统(北信源安全补丁管理软件)由安全保密管理员负责,未经允许任何人不得进行此项操作。

第92条根据网络信息系统安全管理要求安装、配置违规外联管理系统策略,包括联网涉密电脑,单机涉密电脑,便携式涉密电脑。

第93条每日检查违规外联系统审计信息,查看联网涉密电脑是否有违规外联操作。

第94条每月检查单机涉密电脑、便携式电脑是否有违规外联操作。

第95条每三个月协助保密办进行所有涉密电脑巡检,检查是否存在违规外联操作,并做详细记录。

第96条每日通过违规外联系统检查网络系统是否有非法主机联入,并做详细记录。

第六章 密钥管理员工作细则

第97条身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。

第98条每日检查身份认证系统是否正常运行。

第99条负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。

第100条根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。

第101条负责为每台计算机安装主机登录系统。

第102条负责主机登录系统、身份认证系统的系统维护。

第七章 计算机信息系统应急预案

第103条系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。

第104条遇到火灾应根据火情采取以下措施:

1.如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。

2.如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。

第105条如遇机房突发性停电,应迅速通知用户,同时关闭设备电源,来电后,及时通知用户,并检测设备是否正常运行。

第106条系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。

第107条遇紧急情况,值班员应立即通知保密办和系统管理员,保持24小时通讯畅通,随时处理紧急事件。

第108条线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。

第八章 附则

第109条本管理制度自发布之日起执行,未尽事宜以用户单位的《保密工作管理实施办法》为准。

第110条本制度每年度审订一次,本制度所有表格请见附录。

第6篇 计算机和信息系统安全保密管理办法

第一章 总 则

第一条 为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。

第二条 公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。

第二章 组织机构与职责

第三条 计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。

第四条 保密委员会全面负责计算机和信息系统安全保密工作的组织领导。主要职责是:

(一)审订计算机和信息系统安全保密建设规划、方案;

(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;

(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。

第五条 保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。主要职责是:

(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;

(二)监督计算机和信息系统安全保密管理制度、措施的落实;

(三)组织开展计算机和信息系统安全保密专项检查和技术培训;

(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。

第六条 信息化管理部门负责计算机和信息系统的安全保密管理工作。主要职责是:

(一)负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施;

(二)负责计算机和信息系统安全保密技术措施的落实及运行维护管理;

(三)负责建立、管理信息设备台帐;

(四)负责计算机和信息系统安全保密策略的制定、调整、更新和实施;

(五)定期组织开展风险评估、风险分析,提出相应的安全措施建议,并编制安全保密评估报告;

(六)开展计算机和信息系统安全保密技术检查工作;

(七)涉及计算机和信息系统有关事项的审查、审批;

(八)计算机和信息系统安全保密的日常管理工作。

第七条 公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员,分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。“三员”的权限设置应当相互独立、相互制约,安全保密管理员与安全审计员不得由一人兼任。

没有涉密信息系统,只使用单台涉密计算机的单位,应当配备安全保密管理员。

第八条 涉密计算机和信息系统管理人员应当符合以下要求:

(一)符合国家及集团公司对涉密人员的要求;

(二)熟悉计算机和信息系统各项安全保密法律、法规和标准;

(三)熟练掌握有关专业知识和业务技能;

(四)通过国家有关部门的上岗培训,并获得上岗资格。

第三章 涉密信息系统的建设管理

第九条 建设涉密信息系统必须依照国家有关规定、标准和规范进行,安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。

第十条 建设涉密信息系统,应当在方案设计前,由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。

第十一条 涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位承担,建设方案按照建设系统的对应密级进行定密和管理。建设方案完成后,由保密办报请上级保密管理部门组织评审并备案。

第十二条 涉密信息系统建设过程中,必须采取严格的安全保密管理措施。系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等,应当选择具有相应资质的单位承担,并明确提出保密要求,签订保密协议。涉及国家秘密的工程资料应当根据需要控制发放,并做出登记。工程完工后,应当按登记如数收回。施工现场应当采取措施,禁止无关人员进入。

第十三条 涉密信息系统所采用的安全保密产品,必须选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。

第十四条 涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中心实施。

第十五条 涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家秘密的信息系统投入使用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家秘密的信息系统使用许可证》。

第十六条 新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得《涉及国家秘密的信息系统使用许可证》前,不得投入使用。在正式运行之前,不得存储和处理国家秘密信息。

第十七条 涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄露导致涉密信息系统防护措施失效、削弱的,属于建设单位责任的,由建设单位承担;属于其他环节责任的,由相关环节负责人负责。

第四章 信息设备台帐与标识管理

第十八条 信息化管理部门应当根据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类:

(一)计算机,包括服务器、用户终端;

(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、vpn设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;

(三)安全保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品;

(四)移动存储介质。

第十九条 各类台帐应当包括以下内容:

(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、ip地址、mac地址、使用情况等;

(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、使用情况等;

(三)安全保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等;

(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、使用情况等。

第二十条 信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、准确的反映信息设备的客观情况。

第二十一条 公司应对信息设备进行标识管理。设备标识由公司统一制作。

标识内容应与台帐信息的主要内容相符,并保持完好。不得故意损毁、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、外部设备、存储介质、安全保密产品等,应当根据其处理和存储信息的最高密级或主要用途进行标识。标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。

移动存储介质如无法粘贴标识的,可以采取不可擦除的方式标注。

第五章 计算机和信息系统的保密管理

第二十二条 计算机和信息系统的使用管理必须遵守如下规定:

(一)严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络;

(二)严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;

(三)严禁将涉密计算机接入内部非涉密网络。

第二十三条 涉密信息系统经安全保密技术测评,并正式投入运行后,如发生下列变更事项时,应当及时报告上级保密管理部门和负责审批的保密行政管理部门:

(一)涉密等级;

(二)连接范围;

(三)环境设施;

(四)主要应用;

(五)安全保密责任管理单位。

由保密行政管理部门决定是否需要重新进行测评和审批。

第二十四条 外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。使用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格按照相关标准的规定程序进行操作。

第二十五条 涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格控制,规范使用。

第二十六条 禁止在涉密计算机和信息系统中使用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。

第二十七条 涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。

第二十八条 涉密计算机和信息系统服务器、用户终端应当设置相关安全策略,设置原则是:关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。

第二十九条 涉密计算机和信息系统应当采取计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并及时更新计算机病毒与恶意代码样本库。更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。

第三十条 各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内及时安装,保证系统的安全性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。

第三十一条 下列事项必须报经信息化管理部门批准后由相关管理人员实施:

(一)因系统崩溃、操作系统损坏等原因需重新安装操作系统的;

(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;

(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;

(四)因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。

第三十二条 需经常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装使用。

第三十三条 公司要加强对连接国际互联网计算机的管理和使用,应遵循以下原则:

(一)未经批准,不得擅自以任何方式连接国际互联网;

(二)公司集中使用的国际互联网计算机应当指定专人负责管理,分散使用的国际互联网计算机应当明确责任人,做好上网记录;

(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;

(四)公司应采取有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。

第三十四条 密码设备的使用和管理按照公司有关规定执行。

第六章 便携式计算机和存储介质保密管理

第三十五条 建立健全便携式计算机和移动存储介质的管理制度和措施,根据工作实际,采取集中管理,指定专人负责。

第三十六条 涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机使用。

第三十七条 携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出使用情况进行技术检查。

第三十八条 外出携带涉密便携式计算机和移动存储介质要确保安全,全程有效控制。同时携带涉密便携式计算机和移动存储介质时,二者应分开保管。

第三十九条 不得使用低密级便携式计算机和移动存储介质存储、处理高密级信息;不得在低密级计算机上使用高密级移动存储介质。

第四十条 在涉密计算机和信息系统内使用的存储介质应当采取有效的技术控制措施,确保未经授权的移动存储介质不能在涉密计算机和信息系统中使用。

第四十一条 在使用便携式计算机和移动存储介质时不得有下列行为:

(一)在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的;

(二)涉密移动存储介质在非涉密计算机和信息系统中使用的;

(三)将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的;

(四)私自携带涉密便携式计算机和移动存储介质外出的;

(五)移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交叉使用的。

第四十二条 涉密移动存储介质不得降为非涉密移动存储介质使用。

第七章 信息安全保密管理

第四十三条 涉密计算机和信息系统中的涉密信息应当标明密级,密级标识不得与正文分离。标注方式应当遵行以下原则:

(一)处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等,只要内容涉及国家秘密,在首页应当标明密级;

(二)电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的,可将密级标识作为文件名称的一部分进行标注;

(三)涉及国家秘密的程序、数据库文件、数据文件、视频文件等,在软件运行首页、数据视图首页和影像播映首页应当标注密级。

第四十四条 涉密计算机和信息系统应当采取有效的技术控制措施,禁止涉密信息非授权输出。涉密信息系统中涉密信息输出点要按照最小化原则设置。指定专人负责。

第四十五条 涉密信息远程传输应当按照国家有关规定采取密码保护措施,存储与传输、使用的加密措施应当与涉密信息的密级相适应,并得到国家主管部门批准。

第四十六条 密钥的管理和使用应符合国家有关安全保密规定,并接受国家相关主管部门的指导和监督。

第四十七条 公司应当制定完善的涉密信息备份制度,并采取有效的防盗、防灾措施,保证备份的安全。

第四十八条 涉密计算机软硬件配置情况及本身有涉密内容的各种应用软件等信息,不得进行公开学术交流,不得公开发表。

第八章 维修、报废与销毁

第四十九条 涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故障时,使用部门应当向信息管理部门提出维修申请,经批准后维修。涉密计算机和信息系统、存储介质维修应当遵循以下原则:

(一)现场维修时,一般应当由公司内部维修人员实施;需外部人员到现场维修时,维修过程中应当由有关人员旁站陪同;禁止维修人员恢复、读取和复制被维修设备中的涉密信息;禁止通过远程连接,对涉密计算机和信息系统进行维修和维护工作;

(二)需要带离现场进行维修的,应当拆除所有可能存储过涉密信息的硬件和固件。维修地点在公司内部的,应在符合保密要求的维修场所进行;维修地点在外部的,应与维修单位和维修人员签订保密协议;

(三)设备中存储过涉密信息的硬件和固件不能拆除或发生故障时,如不能保证安全的,应当按照涉密载体销毁要求予以销毁;确需维修时,送至具有涉密信息系统数据恢复资质的单位进行维修,并由专人负责取送;

(四)信息化管理部门应当建立维修日志和档案,并将所有涉密设备维修情况记录在案,记录内容应包括维修单位、维修人、故障现象、保密措施、维修内容、维修结果、监督检查等。

第五十条 禁止将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。如将退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途时,应当经信息化管理部门审批,拆除涉密存储部件和固件上交保密办进行销毁处理。

第五十一条 保密管理部门应建立报废、销毁涉密设备和存储介质台帐。报废、销毁涉密设备和存储介质应当履行清点、登记、审批手续,并将涉密设备和存储介质的密级、型号规格、经办人、采取的方法措施以及最终去向等情况记录在案并归档。

第九章 场所的安全保密

第五十二条 安装、使用涉密计算机信息系统的场所,应与境外机构驻地和人员住所保持相应的安全距离,并根据所处理信息的涉密程度设立必要的控制区域,未经批准无关人员不得进入。

第五十三条 安装、使用涉密计算机信息系统的场所应当每半年或根据需要,由公司保密管理部门组织安全保密技术检查。

第五十四条 安装、使用涉密计算机和信息系统的场所采取的电磁泄漏发射防护措施应当满足bmb5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》,有关设备或技术措施应得到国家保密行政管理部门或国家安全部门的认可。

第五十五条 安装、使用涉密计算机信息系统场所的其它物理安全要求,应符合国家有关安全保密管理要求,保密级别按系统中的最高密级设定。

第五十六条 涉密计算机信息系统的中心机房和密码机房应列为保密要害部位进行管理,建立健全相应安全保密制度和采取有效的出入控制措施。

第十章 监督管理

第五十七条 对违反本办法使用涉密信息系统的部门和个人,保密办责令其限期整改。对拒不整改的,停止使用,由单位给予处罚。

第五十八条 保密管理部门和信息化管理部门要经常对涉密计算机和信息系统、存储介质的使用、管理情况进行检查。对违反保密管理规定的,及时做出处理。造成失泄密的,要给予相关责任人行政处分和经济处罚,情节严重的,应依据国家有关法律追究有关领导和直接责任人的法律责任。

第五十九条 发现涉密信息设备、移动存储介质遗失、被盗,在全力查找、追缴的同时,报告上级保密管理部门和当地保密行政管理部门,并采取积极有效的措施减少失泄密隐患。

第十一章 附 则

第六十条 本办法由公司保密办负责解释。

第六十一条 本办法自_____年__月___日起执行。