信息安全事件管理程序【16篇】

发布时间：2023-12-16 22:00:13 查看人数：69

下载一键复制全文

信息安全事件管理程序

第1篇信息安全事件管理程序

1 目的

为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。

2 范围

本程序适用于xxx业务信息安全事件的管理。

3 职责

3.1 信息安全管理流程负责人

 确定信息安全目标和方针；

 确定信息安全管理组织架构、角色和职责划分；

 负责信息安全小组之间的协调，内部和外部的沟通；

 负责信息安全评审的相关事宜；

3.2 信息安全日常管理员

 负责制定组织中的安全策略；

 组织安全管理技术责任人进行风险评估；

 组织安全管理技术责任人制定信息安全改进建议和控制措施；

 编写风险改进计划；

3.3 信息安全管理技术责任人

 负责信息安全日常监控；

 信息安全风险评估；

 确定信息安全控制措施；

 响应并处理安全事件。

4 工作程序

4.1 信息安全事件定义与分类

信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。

造成下列影响（后果）之一的，均为一般信息安全事件。

a) xxx秘密泄露；

b) 导致业务中断两小时以上；

c) 造成信息资产损失的火灾；

d) 损失在一万元人民币（含）以上的故障/事件。

造成下列影响（后果）之一的，属于重大信息安全事件。

a) 组织机密泄露；

b) 导致业务中断十小时以上；

c) 造成机房设备毁灭的火灾；

d) 损失在十万元人民币（含）以上的故障/事件。

4.2 信息安全事件管理流程

 由信息安全管理负责人组织相关的运维技术人员根据xxx对信息安全的要求，确认代码管理相关信息系统的安全需求；

 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、风险发生的可能性、风险级别、潜在的业务影响，形成信息安全风险评估报告；

 由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求，提出现阶段的安全改进建议，并提交至信息安全管理负责人进行评估；若同意执行安全改进建议，则在变更管理的控制下实施安全建议；

 信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施，形成风险处置计划；

 根据风险处置计划，实施信息安全控制措施，尽可能的降低信息和业务风险；

 监视信息系统的活动并识别反常的活动和安全事件，并记录下来，做初步的响应和处理；评估安全漏洞和不符合安全要求的任何情况，并采取必要的纠正措施；

 对发现的或已发生的信息安全事件，按照信息安全事件响应程序进行处理；

 每年一次或在发生重大信息安全事件时进行信息安全评审，分析信息安全事件的显现趋势、信息安全管理的改进等信息，并形成风险改进计划，持续改进信息系统安全。

4.3 信息安全事件事后处理措施

对于一般信息安全事件，在故障排除或采取必要措施后，相关信息安全管理职能部门会同事件责任部门，对事件的原因、类型、损失、责任进行鉴定，形成《信息安全事件报告》，报信息安全管理者代表批准；对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。

对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。

处罚方式：

一般安全事故，根据所造成的经济损失，由xxx办公室通过邮件发出正式严重警告。

一年内累计出现三次或三次以上的一般安全事故，报xxx领导批准后进行相应惩罚，并在xxx进行通报批评。

造成重大安全事故的，xxx有权将责任人调离原工作岗并给予相应惩罚。

一年内累计出现二次或二次以上的重大安全事故，xxx有权解除劳动合同并依法追究法律责任。

如果属于故意行为导致信息安全事故，xxx有权解除劳动合同并依法追究法律责任。

对于信息安全事故责任人的处理结果由处理部门在xxx范围内予以通报。

负有信息安全事故处罚的各职能部门在确定实施处罚后，xxx室与被处罚部门沟通，确认责任者及处罚方式并上报xxx领导。

信息安全管理职能部门要求事件责任部门制定纠正措施并实施，实施结果记录在《信息安全事件报告》。

由信息安全管理职能部门对实施情况进行跟踪验证，验证结果记入《信息安全事件报告》。

4.4 报告信息安全薄弱点与预防措施

xxx与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。

对以下行为应给予奖励：

及时发现非责任区信息安全隐患，该隐患足以导致信息安全事故的；

及时发现非责任区信息安全重大隐患，该隐患足以导致信息安全重大事故的；

及时发现并制止系统操作问题以避免设备重大损失或人员死亡的；

及时制止或报告泄露商业机密的事件以避免xxx重大经济损失或及时中止正在进行中的商业泄密行为的；

在信息安全事故中采取积极有效措施，降低损失的程度。

奖励方式如下：

根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别，报请xxx批准后，给予相应表扬或奖励，并作为年底工作考核依据。

发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》，相关的代码管理中心及信息安全实验室进行调查后，确定是否采取预防措施，确认责任部门并实施。

5 相关文件

6 相关记录

第2篇管理信息系统概述安全信息管理系统

一、管理信息系统的概念

所谓系统就是指由若干互相联系、互相影响、互相制约的各个部分为了一定目标而组合在一起所形成的一个整体。构成整体的各个组成部分，称为子系统。假若以一个经济组织的会计作为一个系统，而有关结算中心、会计报表、成本核算、资产台帐和货币资金等则是它的子系统。至于有关供销、生产、人事等方面的信息则属于会计系统以外的环境系统。会计信息系统见图10-2。

过去，国外大多数企业和我国一些先行单位，为了适应不同职能组织的需要，除了设立会计信息系统以外，还有生产技术、供销、人事、后勤等科室也都分别设立适合于它们各自需要的信息系统。这样一个企业就有若干信息管理系统，易于发生重复劳动，同一原始资料要分别输入若干个信息管理系统。如有关材料的采购、耗用、转移、完工、职工的基本工资、出勤记录等都要同时输入若干个信息系统。这样不仅出现重复劳动，易于发生差错，而且更改也不方便，造成相互不协调，成本也就比较高。

近年来在信息管理中提出综合性管理系统。就是将一个经济组织作为一个系统，而其生产、技术、会计、供销、后勤、人事等职能业务则是这个系统下的各个子系统。实施综合信息系统需要具有三个条件：

（1）分散的信息活动必须通过组织的集中统一安排；

（2）这些活动必须是整体的组成部分；

（3）这些活动必须由一个集中、独立的信息中心加以处理。

这样就能把企业看作一个整体，使一个数据多用，提高效率和更有效地使用信息，成本也可随之降低。

二、综合管理信息系统的建立

设计一个新的或改进一个现有的管理信息系统，是一项既复杂又繁重的工作。首先要用系统分析的方法，对系统（包括子系统）的本身范围及其周围环境的关系进行分析，提出若干设计方案，决定不同类型，不同管理层次的系统，进行技术和经济的论证，层层提高设计质量，消除不必要的重复劳动，然后加以评估比较，最后从中决定统一的综合信息管理标准，包括经济信息分类、编码和文件统一化工作。经过试验证明切实可行后，再应用到实际工作中去。其中要注意以下几方面：

1.明确信息的需求

即对输出的要求，要通过充分的调查研究，特别是管理中现有的信息种类，它们流转的来龙去脉，由哪里产生，由谁传递，传到何处，经过怎样处理，以什么形式输出，供谁使用，是否可以“一数多用”，是否有别的来源替代，是否要保存等等。所以在建立过程中，专业人员与使用人员之间要经常交换意见，使提供的各项信息都能满足使用者的要求。

2.信息的收集和处理

这项工作的目的就是要改善信息总的质量，一般包括五项内容：

（1）检核。要确定各项信息的可靠性的程度，包括来源的可靠性，数据的准确性和有效性等。

（2）整理。将输入的信息和数据加以提炼整理，以符合规定的要求。

（3）编制索引。按规定编制索引，以供日后储存和检索。

（4）传输。将正确的信息及时提供给各级主管人员。

（5）存储。要保存必需的数据资料和文件档案，准备日后再次使用。

第3篇信息安全奖惩管理办法

1.目的

明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。

2.适用范围

本规范适用于深圳市**公司 (后续简称为公司)。

3.定义

序号

角色

职责

001

信息安全事件

指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。

002

信息安全活动

为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。

4.职责与权限

序号

角色

职责

001

员工

遵守公司信息安全管理制度,积极配合、参与信息安全活动。

002

各部门信息安全接口人

协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。

003

部门主管

是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。

004

部门经理

作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。

005

部门副总

对所负责部门的信息安全事件负相应的管理责任。

006

it部信息安全组

对信息安全事件进行跟踪处理,并确定事件责任人。

007

董事会秘书

审核信息安全事件处理报告。

008

总经理

最终审批信息安全事件处罚申请。

009

人力资源部

依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。

010

法务部

配合it部信息安全组进行信息安全事件处理,对违反法律法规的信息安全责任人依法追究法律责任。

5.内容

5.1奖励、违规行为处罚原则

5.1.1及时激励原则

对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。

5.1.2举报保密原则

对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。

5.1.3违规行为处罚原则

5.1.3.1法律追究原则

公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。

5.1.3.2违规分级原则

根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。

5.1.3.3主动从宽原则

产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。

5.1.3.4过度防卫处罚原则

对阻碍信息合理流动与共享的人员要给予处罚。

5.1.3.5及时处理原则

对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。

5.2 奖励等级与责任部门

5.2.1奖励等级与措施

奖励事迹

奖励等级

奖励措施

举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人

一级

根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。

制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体

二级

根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。

在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体

三级

根据具体情况给予3000元集体奖励或者1000元个人奖励。

5.2.2奖励责任部门

1)对于满足信息安全奖励标准的集体或者个人,it部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金;

2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。

5.3 违规等级与责任部门

5.3.1 违规等级与措施

违规事件

违规等级

处罚措施

盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险

一级

1. 直接开除,永不录用;

2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。

3. 全公司范围内通报处罚决定。

故意违反信息安全规定,性质严重;或者造成较大影响或较大风险

二级

1. 如给公司造成相关损失,须赔偿公司损失;

2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理;

3. 全公司范围内通报处罚决定。

过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险

三级

1. 记入关键事件考评结果减10分或罚款500元;

2. 12个月内2次三级违规升级为1次二级违规。

3.部门内部通报处罚决定。

过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险

四级

1.记入关键事件考评结果减5分或罚款300元;

2.12个月内2次四级违规升级为1次三级违规;

3.部门内部通报处罚决定。

说明:

1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度;

2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定。

5.3.2 责任判定

1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例v1.0》适用条款进行处罚;

2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:

员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;

员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;

若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。

5.3.3 处罚责任部门

处罚等级

处罚责任人

批准

申诉

一级

总经理

人力资源部

二级

总经理

人力资源部

三级

部门分管副总

it部信息安全组

人力资源部

四级

部门分管副总

it部信息安全组

人力资源部

说明:

1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,it部信息安全组有权要求对当事人加重或者减轻处罚;

2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;

3)在违规事件处理过程中,it部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,it部信息安全组可以行使否决权。

5.4.维护与解释

1)本规定发布之日起生效;

2)本规定由it部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;

3)本规定解释权归it部信息安全组。

6.相关文件

附件1:《常见违规行为及其适用处罚等级举例》

7.记录表格

无

第4篇安全风险信息平台工作管理办法

第一章总则

第一条为规范石家庄市轨道交通安全风险监控工作,规范地铁建设参建各方在安全风险监控管理上的工作责任、工作内容及工作流程,加强相关单位和部门在安全风险监控工作中的协同性,提升轨道交通建设安全风险管理的专业化和规范化水平,最大程度规避和减少轨道交通工程建设及周边环境的安全事故的发生,制定本办法。

第二条本办法根据住建部《城市轨道交通工程质量安全检查指南(试行)》,公司《石家庄市轨道交通工程建设安全风险管理体系》文件的相关规定,结合我市轨道交通工程建设实际制定。

第三条本办法适用于石家庄市轨道交通工程施工阶段的安全风险监控管理工作。

第四条相关参建单位应用安全风险监控与信息平台情况考核,分日常管理考核与双月度考核,由安全质量部牵头负责考核。

第五条安全风险监控工作考核坚持客观、公开、公平、公正的原则,自觉接受纪检监察部门和群众的监督。

第六条除本办法外,轨道交通工程建设相关单位还应遵守国家和地方有关法律、法规、规范、标准。

第二章考核内容

第七条投资承建单位

投资承建单位应成立信息化领导小组,总工程师任负责人,并设立专职信息员督促所辖施工标段落实安全风险信息化管理工作。

第八条标段施工单位

(一)各施工标段项目部安全总监牵头成立风险信息化小组,项目部安全总监和安质部长每天必须登录安全风险监控信息平台,主要任务有:

1.每日17:00前,将自查台账和抽查台账检查的问题、施工监测数据上传平台;

2.巡视闭合阅处:通过安全风险监控信息平台对各单位提出的问题、要求和发布的通知、文件、通报(包含业主公告、各类巡检通报、日常风险巡查推送的问题、轨道公司文件、预消警会议纪要、监控中心周报、预警处置等)进行落实、整改、回复。填写回复内容,并可上传相关附件。要求对所有的通报及整改通知的回复都以扫描件上传至相应内容的回复区域;

3.预警响应处置:及时处理平台发出的本标段预警,在预警处置中,要详细填写处置措施及现场处置照片、视频等。

(二)视频监控系统:提供现场信息化设备放置场地及视频会议室,配备网络设备和网络线路,保证各类信息能全面、及时、准确的上传平台(相关硬件参数见附件一):

1.按施工实际需要和轨道公司要求设置视频监控,施工单位负责采购本标段所需要的设备与硬件等,并负责进行安装、调试、移位、维护和管理工作,确保视频监控正常使用;

2.摄像头数量、位置要求:

车站明挖基坑至少设置2个摄像头,矿山法暗挖工程,要求每个掌子面设置1个摄像头,要清晰看到暗挖掌子面,并确保每掘进15米移动一次,盖挖车站参照矿山法施工要求设置;

附属结构明挖基坑、施工竖井至少安装1个前端监控设备;

施工竖井上各设置1个摄像头,重大风险源处根据评估情况设置;

安全文明施工管理:有出渣土行为的施工现场,渣土车辆进出的大门口在开工前必须安装摄像头,并接入安全风险监控信息系统。此项作为开工核查条件之一。

3.要保持视频监控 24小时正常运行,并确保监控视频的摄像角度和照明亮度,以满足视频监控的需要。不得随意挪动、故意遮挡、污损、用光照射摄像头,不得无故中断、关闭视频(特别是夜晚施工时)和人为破坏设备;

4.提供全天候的应急响应服务,须在监控中心发出平台故障通知后24小时内修复,保证平台正常运转。

(三)盾构监控

1.按照实现盾构实时数据监控要求配备电脑等设备,必要时施工单位需安排盾构厂家技术人员到现场配合数据解译;

2.每日上传出土量,同步注浆量;

(四)工程资料录入:工程开工前,施工单位要及时录入必要的工程资料,资料目录详见附件二。

第九条第三方监测单位

(一)项目部项目负责人牵头成立风险信息化小组,负责安全风险监控信息平台日常管理工作,并配备专职信息员;

(二)监测数据上传:每日17:00前上传当天监测数据;

(三)及时查看并通过安全风险监控信息平台对建设单位(含监控中心)提出的问题和要求进行落实、整改回复;

(四)每日浏览本标段工点风险情况,同时根据各自工点的安全评估状态,及时做出回复和处理。对数据异常和存在安全隐患的工点,应根据现场实际情况加密监测点增加监测频率,并及时上传监测数据。

第十条监理单位

(一)安全专监牵头成立风险信息化小组,负责安全风险监控信息平台日常管理工作,并配备专职信息员;

(二)每日将抽查台账检查问题和巡查报告上传安全风险监控信息平台。对有风险、监测数据异常以及重大安全隐患和危险征兆的工点,督促施工单位进行整改和回复,并及时向监控中心反馈;

(三)及时查看并安排相关人员通过信息平台对建设单位及风险监控中心提出的问题、要求和发布的通知、文件、通报(包含业主公告、各类巡检通报、轨道公司文件、预消警会议纪要、监控中心周报、预警处置等)进行落实、整改、回复;

(四)督促施工单位整改安全风险监控信息平台上发布的各类检查通报,并做好复查工作。督促施工单位对安全风险监控信息平台上各项事件进行闭合管理;

(五)预警响应处置:每日登录平台浏览各自工点风险情况,同时根据各自工点的安全评估状态,及时做出回复和处理。工点评估为“有风险”或“预警”状态,按预警流程处理,将处理结果在信息平台回复。

第三章奖惩

第十一条安全风险监控信息平台使用情况考核按单位性质分为标段施工单位、第三方监测单位、监理单位三个组,各组内不再按线路区分参建单位。安质部组织每两个月对各单位安全风险监控信息平台使用情况进行考核评分,各组分别排名,评分标准见附件三。投资承建单位信息平台使用情况纳入季度考核。

第十二条通过视频监控和巡视发现施工现场视频不按规定设置、违规挪动、故意遮挡、污损、用光照射镜头、无故中断、关闭视频,以及视频监控平台被人为破坏等问题,且拒绝整改、未按时整改、整改不到位的,每个问题给予10000元的处罚。有渣土车辆进出的施工现场大门口没有安装摄像头并接入监控信息系统的,罚款50万元。

第十三条对日常巡查推送的问题,拒绝整改、未按时整改、整改不到位、整改但未及时回复的,每个问题给予5000元的处罚。安质部对整改闭合情况进行抽查,发现弄虚作假的,每个问题给予20000元的处罚。

第十四条对监测数据和巡视报告上传不及时的,每次处罚5000元。

第十五条对履行《石家庄市轨道交通建设工程安全风险监控管理办法》工作职责不到位的,视情节轻重、整改态度、影响大小,每人次/问题给予5000元的处罚;对不配合或阻挠监控中心工作的单位,每次处罚10000元。

第十六条对在同一个考核周期内相同、类似问题多次重复发生的,从第三次开始,实施双倍处罚。

第十七条监控中心每双月月底汇总存在问题情况,安全质量部审核后,填写处罚单,并形成考核处罚通报上传信息平台(处罚单见附件四)。

第十八条双月考核排名考核结果将通过公司文件形式下发通报,对工作不积极,效率差,不配合工作的单位将约谈该单位主要领导。

第十九条对各组排名靠前的单位予以奖励,奖励总额为前两个月对被考核各单位处罚金额总和。标段施工单位组前1-5名分别奖励前两个月总处罚金额的20%、16%、12%、8%、8%,合计64%;第三方监测组第1名奖励前两个月总处罚金额的6%;监理单位组前1-3名分别奖励前两个月总处罚金额的12%、10%、8%,合计30%。所有奖励处罚款项一并纳入季度验工计价,在季度验工计价中扣除。

第四章附则

第二十条本办法由石家庄市轨道交通有

第5篇中学网络信息安全管理规定

山天中学网络信息安全管理规定

为了加强校园网的管理，规范校园网的使用行为，保障校园网的信息安全，特制定本管理规定。

1.我校校园网用户必须遵守《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中国教育和科研计算机网暂行管理办法》及国家有关法律法规，严格执行安全保密制度，并对所提供的信息负责

2.用户必须严格遵守我校校园网管理的有关规定和制度。

3.校园网上的信息和资源属于该信息和资源的所有者。用户只有在取得了该信息和资源的所有者的允许后，才能使用该信息和资源，网络上软件的使用应遵守知识产权的有关法律法规。

4.用户必须接受并配合国家有关部门依法进行的监督检查，并有义务向学校主管部门报告违法犯罪行为和有害信息。

5.用户不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查阅、复制和传播有碍社会治安和有伤风化及损害学校形象和学校利益的信息。

6.在校园网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动，这些活动主要包括在网络发布不真实的信息、散布计算机病毒、进入未经授权使用的计算机、以不真实身份使用网络资源等等。

7.校园网的用户不允许发展授权范围以外的任何用户，也不能与其它校内外单位和用户私自联网。

8.对违反本规定的登录者，学校将追究责任，情节严重者将追究法律责任。

山天中学

第6篇公司信息安全管理检查执行规定

1.检查原则

根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当，造成公司安全制度和措施难以落实，安全管理工作混乱的部门，部门负责人须承担领导责任。对违反信息安全管理规定者，如其直接领导有明显管理和指导不力的须承担连带责任。

2.检查方式

公司技术部门抽调网络管理人员，不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件，排查违规电脑，追究相关当事人。

3.检查结果

对于故意盗窃、泄露公司保密信息的，或故意违反信息安全管理规定，性质特别严重造成重大损失的，给予罚款、降薪、降职、辞退、直至开除的处理，并赔偿公司损失。对于触犯国家法律的，移交国家司法机关依法处理。对违反公司信息安全制度规定，性质较轻，在公司内部系统给予点名通报批评，并记录在案，责令限期改正。

第7篇公共安全图像信息系统管理办法

第一条为了规范本市公共安全图像信息系统的建设和管理，提高预防和处置突发公共事件的能力，保障公共安全，保护公民的合法权益，制定本办法。

第二条本办法适用于本市行政区域内公共安全图像信息系统的建设和管理。

第三条本办法所称的公共安全图像信息系统，是指利用图像采集设备和其他相关设备对涉及公共安全的区域进行信息记录的视频系统。

第四条市人民政府有关部门和区、县人民政府负责本行业、本系统、本地区公共安全图像信息系统建设的组织实施，并协助做好公共安全图像信息系统使用、维护等方面的监督管理工作。

市和区、县公安机关负责公共安全图像信息系统建设、使用、维护的日常监督管理工作。

第五条下列单位和区域，应当安装公共安全图像信息系统：

(一)党政机关、国家机关所在地，广播电台、电视台，电信、邮政、金融、服务单位，博物馆、档案馆、重点文物保护单位，危险物品生产、销售、存放场所等重要单位；

(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所，举办体育赛事的场馆、场地，住宅区、停车场等人员聚集的公共场所；

(三)重点道路、路段和主要交通路口，地下通道、过街天桥，机场、火车站、地铁和城铁车站，公共电汽车的重要交通枢纽等；

(四)城市供排水、电力、燃气、热力设施，城市河湖及其他重要水务工程等重要城市基础设施；

(五)国家法律、法规规定的其他地点和区域。

公共安全图像信息系统建设的市级主管部门可以根据需要确定其他应当安装公共安全图像信息系统的区域，报市人民政府批准。

第六条单位按照本办法规定自建公共安全图像信息系统，应当符合政府的统一规划和要求，不得采集本单位范围以外的公共区域的图像信息。

第七条交通道路、广场等公共场所公共安全图像信息系统的建设由政府负责，其他任何单位和个人不得在该区域设置公共安全图像信息系统。

第八条公共安全图像信息系统的建设，应当符合国家和本市的技术规范和标准。

市质量技术监督、信息化主管部门和公安机关共同制定本市公共安全图像信息系统的技术规范和标准，公共图像信息系统应当具有采集、录像、传输等功能。

第九条设置公共安全图像信息系统，不得侵犯公民个人隐私；对涉及公民个人隐私的图像信息，应当采取保密措施。

涉及国家秘密、商业秘密的公共安全图像信息系统的建设，按照国家有关规定执行。

第十条新建、改建、扩建建设项目应当安装公共安全图像信息系统的，公共安全图像信息系统应当与项目主体工程同步规划、同步建设、同时投入使用。

第十一条公共安全图像信息系统的使用单位，应当自系统竣工验收合格之日起30日内，将公共安全图像信息系统的建设情况按照保卫隶属关系向市或者区、县公安机关备案；没有保卫隶属关系的，向本单位所在地的区、县公安机关备案。

本办法施行前已经建成的公共安全图像信息系统的使用单位应当自本办法施行之日起30日内，将公共安全图像信息系统的建设情况按照前款规定向公安机关备案。

第十二条公共安全图像信息系统的使用单位，应当采取下列措施，保证公共安全图像信息系统安全运行：

(一)对与公共安全图像信息系统密切接触的人员进行岗位技能和保密知识的培训；

(二)建立安全检查、运行维护、应急处理等制度；

(三)保持图像信息画面清晰，保证系统正常运行；

(四)不得擅自改变公共安全图像信息系统的用途和摄像设备的位置。

第8篇建业集团信息系统安全管理细则

第一条目的

为了保护集团计算机信息系统安全，规范信息系统管理,合理利用系统资源，推进集团信息化建设，促进计算机的应用和发展，保障集团信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为集团运营服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规，结合集团实际情况，制定本细则。

第二条术语与定义

（一）信息系统安全管理范围：业务软件系统信息安全、硬件网络信息安全。

（二）系统管理员：是集团信息化管理系统建设的主要执行者，负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作；同时，负责集团信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作；

第三条适用范围

本细则适用于集团信息系统安全管理。

第四条系统服务器和网络设备管理方法：

（一）服务器和各网络设备的放置详见《机房管理细则》第五条的第三项；

（二）非集团指定系统管理员，未经批准不得对服务器和各网络设备进行硬件维护、软件安装卸载等操作；

（三）保证服务器和各网络设备24小时不间断正常工作，不得在服务器专用电路上加载其它用电设备；

（四）非工作需要，内网服务器严禁直接接入因特网，并安装好杀毒软件，做好病毒防范，杜绝病毒感染。

第五条业务软件系统信息安全：

（一）帐户申请：对符合开通帐户的申请人，根据权责对软件所负责管理的职能归属部门进行申请，经该主责部门同意后，转信息管理部系统管理员处备案；

（二）帐户删除：对于离职人员，在办理工作交接时。由离职人员的主管通过办公平台向业务软件主责部门提交删除离职人员相关业务软件帐户的申请。经该主责部门同意后，转信息管理部系统管理员处备案；

（三）操作人员应该严格保密帐户信息，如因故意或过失造成信息泄漏的，将根据《员工奖惩管理细则》追究其相关责任；

（四）系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，适时更换、更新用户帐号或密码。

第六条网络信息安全：

（一）系统管理员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生；

（二）网络系统所有设备的配置、安装、调试必须由系统管理员负责，其它人员不得随意拆卸和移动；

（三）所有上网操作人员必须严格遵守计算机及其它相关设备的操作规程，禁止其它人员进行与系统操作无关的工作；

（四）在管理员还没有有效解决网络安全（未安装防火墙、杀毒软件）的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

第七条资料备份工作方法：

（一）数据备份关系到整个集团信息化管理系统的正常运转，影响到集团正常的运营秩序，必须严格执行；

（二）数据库服务器每周日做一次数据备份；

（三）备份的数据存储于专门的硬盘内，备份必需以覆盖的形式存储，确保数据不会遗漏；

（四）所有重要数据、信息化管理系统源程序要刻录成光盘存盘；

（五）若遇重大程序更新、修改，必须在程序更新、修改前要做好数据的备份工作；

（六）上传到集团网站上提供给查询的数据必须每日定时更新，确保查询数据的准确性；

（七）系统管理员若遇重大程序更新、修改，必须填写工作日志；

（八）非共享的文件不能设置成网络共享，提供共享使用的文档必须设置相应权限，由于没有安全设置相应权限而造成本单位数据丢失的情况，后果自负。

第八条管理员有权制止一切违反安全管理的行为。

第九条本细则的解释权属于运营管理中心信息管理部。

第十条本细则由运营管理中心信息管理部进行起草与修订，由总裁办公会审核，执行总裁批准后发布。

第十一条本细则自发布之日起生效，集团原有相关规定、通知、办法等同时废止。

第9篇网络与信息安全管理组织机构设置及工作职责

1：总则

1.1为规范北京爱迪通联科技有限公司（以下简称“公司”）信息安全管理工作，建立自上而下的信息安全工作管理体系，需建立健全相应的组织管理体系，以推动信息安全工作的开展。

2：范围

本管理办法适用于公司的信息安全组织机构和重要岗位的管理。

3：规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件，其随后的所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准

《信息安全技术信息系统安全保障评估框架》（gb/t 20274.1-2006）

《信息安全技术信息系统安全管理要求》（gb/t 20269-2006）

《信息安全技术信息系统安全等级保护基本要求》（gb/t 22239-2008）

4：组织机构

4.1 公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。

4.2 信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括：

根据国家和行业有关信息安全的策略、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；

确定公司信息安全各有关部门工作职责，知道、监督信息安全工作。

4．3 信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。

4.4信息安全工作组的主要职责包括：

4.4.1 贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；

4.4.2 根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；

4.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查，拟定信息安全总体策略规划，并监督执行；

4.4.4 负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；

4.4.5 组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；

4.4.6 负责接收各单位的紧急信息安全事件报告，组织进行时间调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全时间防范措施；

4.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全时间。

4.4.8 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

4.5应急处理工作组的主要职责包括：

4.5.1 审定公司网络与信息系统的安全应急策略及应急预案；

4.5.2 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；

4.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。

4.6 公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。

5：关键岗位

5.1 设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员要求无人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全的管理规定。

5.2 系统管理员主要职责有：

5.2.1负责系统的运行管理，实施系统安全运行细则；

5.2.2严格用户权限管理，维护系统安全正常运行；

5.2.3认真记录系统安全事项，及时向信息安全人员报告安全事件；

5.2.4对进行系统操作的其他人员予以安全监督。

5.3网络管理员的主要职责有：

5.3.1负责网络的运行管理，实施网络安全策略和安全云心细则；

5.3.2安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；

5．3.3监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；

5.3.4对操作网络管理功能的其他人员进行安全监督。

5.4应用开发管理员主要职责有：

5．4.1负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；

5.4.2系统投产运行前，完整移交系统相关的安全策略等资料；

5.4.3不得对系统设置“后门”；

5.4.4对系统核心技术保密等。

5.5安全审计员负责对设计系统安全的事件和各类操作人员的行为进行审计和监督，主要职能包括：

5.5.1按操作员证书号进行审计；

5.5.2按操作时间审计；

5.5.3按操作类型审计；

5.5.4事件类型进行审计；

5.5.5日志管理等。

5.6安全保密管理员负责日常安全保密管理活动，主要职责有：

5.6.1监视全网运行和安全告警信息

5.6.2网络审计信息的常规分析

5.6.3安全设备的常规设置和维护

5.6.4执行应急中心指定的具体安全策略

5.6.5向应急管理机构和领导机构报告重大的网络安全时间等。

6 附则

6.1本办法由公司科技部负责解释。

6.2本办法自发布之日起实施。

第10篇信息部:职业健康安全管理职责

(1)负责组织对本单位的危险源、环境因素进行辨识、评价、更新和学习,并制定措施或管理方案加以控制。

(2)负责对本部门员工进行环境职业健康安全知识的教育和培训,不断提高本部门员工的环保和安全意识。

(3)确保公司信息管理系统安全稳定运行,为公司各单位/部门在环境职业健康安全管理方面提供所需的信息,确保信息安全和财产安全。

(4)负责公司信息管理系统相关硬件设备的管理,硬件设备废弃要按公司废物处理的相关规定进行。

(5)认真履行环境职业健康安全管理体系文件内规定的本部门的各项具体工作。

第11篇南方医院信息与网络安全保护管理规定

大学附属医院信息与网络安全保护管理规定

第一章总则

第一条为了加强对医院信息网络系统的安全保护,促进医院信息网络的应用和发展,保障医院信息网络系统有序运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《广东省计算机信息系统安全保护管理规定》、《广东省计算机信息系统安全保护管理规定实施细则(试行)》和有关法律、法规,结合医院实际,制定本规定。

第二条本规定所指的信息网络系统,是指在医院信息系统中,由计算机及其相关配套的设备、设施构成,按照系统应用目标和规定对医院信息进行采集、存储、传输、检索、汇总、加工等处理的人机系统。

第三条医院信息网络系统管理及安全保护,是为了保障医院信息管理系统功能的正常发挥,保障运行环境和信息的安全,以维护信息网络系统的安全运行。

第四条本规定适用于医院全部上网运行的计算机。

第五条本规定适用于全院应用“zz一院信息系统”的所有科室和个人。

第六条任何科室或者个人不得利用上网计算机从事危害医院利益的活动,不得危害医院信息网络系统的安全。

第二章安全监督

第七条医院信息网络系统的组织管理机构是医院信息网络管理领导小组(简称领导小组)。

㈠领导小组由下列人员组成:

组长:院长或主管副院长

副组长:业务副院长或职能机关领导

成员:院长办公室主任、医务处处长、护理部主任、药学部主任、信息网络科科长、医务处主管医疗工作人员和护理部主管护理工作人员各1名、计算机工程技术人员若干名。

㈡领导小组的主要职能和任务:

1、制定医院信息系统建设和应用总体规划及阶段实施计划,审查和制定系统应用中的工作流程、技术规范、性能指标、有关人员职责和规章制度。

2、协调解决工程实施和系统应用中的重大问题。

3、组织安排系统建设和应用中的重要活动,如网络管理、系统配置、人员培训等。

4、紧急情况下,领导小组可以采取特别措施以维护医院信息网络系统安全。

第八条信息网络科是系统建设、应用组织的主要负责部门,是系统运行的保障者,应对所属人员实行分工负责。信息网络科应对医院信息网络系统的安全策略和解决方案作出规划并组织实施。信息网络科对信息网络系统安全保护工作行使下列职责:

1、监督、检查、指导信息网络系统安全维护工作;

2、查处危害信息网络系统安全的违章行为;

3、履行信息网络系统安全工作的其他监督职责。

第九条计算机工程技术人员全面负责信息网络系统的规划、设计、配置,负责系统的调试、维护、安全管理、人员培训等具体实施工作。

计算机工程技术人员发现影响信息网络系统安全的隐患时,可立即采取各种有效措施予以制止。

计算机工程技术人员在紧急情况下,可以就涉及信息网络系统安全的特定事项采取特殊措施进行防范。

第三章安全保护管理

第十条任何科室和个人不得利用医院信息网络系统制作、复制、传播和查阅以下信息:

㈠煽动抗拒、破坏宪法和法律、法规的实施的;

㈡煽动颠覆国家政权,推翻社会主义制度的;

㈢煽动分裂国家、破坏国家统一的;

㈣煽动民族仇恨、民族歧视,破坏民族团结的;

㈤捏造或者歪曲事实,散布谣言,扰乱社会秩序的;

㈥宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;

㈦公然侮辱他人或者捏造事实诽谤他人的;

㈧损害国家机关信誉的;

㈨其他违反宪法和法律、行政法规的。

第十一条任何科室和个人不得从事下列危害医院信息网络系统安全的活动:

㈠未经允许,进入医院信息网络系统或者使用信息网络系统资源的;

㈡未经允许,对信息网络系统功能进行删除、修改或者增加的;

㈢未经允许,对信息网络系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

㈣未经允许,擅自盗取医院相关数据或程序代码的;

㈤故意制作、传播计算机病毒等破坏性程序的;

㈥其他危害信息网络系统安全的。

第十二条信息网络系统的安全保护

㈠信息网络系统的建设和应用,应遵守上级主管机关颁发的行政法规、用户手册和其他有关规定。

㈡信息网络系统实行安全等级保护和用户使用权限划分,所有访问信息网络系统的人员必须按程序报审。

㈢信息网络系统中心机房应符合国家标准和国家规定,由信息网络科作好日常清洁及防干扰工作。

㈣在信息网络系统设施附近进行房屋维修、改造及其他活动,不得危害信息网络系统的安全。如无法避免而影响信息网络系统设施安全的作业,须事先通知信息网络科,经负责人同意并采取保护措施后,方可实施作业。

㈤信息网络系统的使用科室和个人都必须遵守计算机安全使用规定,以及有关的操作规程和规章制度。

㈥对信息网络系统中发生的问题,使用科室应立即上报信息网络科。

对计算机病毒和其他危害信息网络系统安全的数据信息的防治工作,由信息网络科负责处理。

㈧对信息网络系统软件、设备、设施的安装、调试以及故障排除等项操作由计算机工程技术人员负责。其他任何科室或个人不得自行拆卸、安装任何软、硬件设施。

㈨在医院信息网络系统未与外网连接之前,所有连接医院信息系统的计算机绝对禁止连接internet网或其他公共网络。

所有科室及个人不得使用非医院指定计算机连接医院信息网络。

(十一)任何科室和个人不得私自架设无线网络设备和基站。

第十三条网络的技术管理

㈠计算机工程技术人员是信息网络系统技术管理的直接责任者,应以实现系统功能为目的,以满足用户需求为宗旨,对网络系统的操作和维护进行管理。

㈡网络内各类设备的配置,由系统负责人提出配置规划和计划,报有关领导审批后实施。

㈢每一子系统或挂接的可执行程序在上网运行前,计算机工程技术人员必须严格按照功能要求在备用服务器上进行全面调试,达到功能要求且排除一切可能的数据冲突后交用户实际上网使用。

计算机

工程技术人员实行分工负责制。信息网络系统的各种设备由信息网络科负责人管理或指定专人负责。

㈤系统管理员或机房值班人员负责网络服务器的数据备份和日常工作。

㈥系统负责人全面负责技术支持和运行保障工作,出现技术问题或故障时,应组织技术力量在最短时间内处理。

第十四条工作站管理

㈠网络工作站作为信息网络系统专用设备,使用科室、个人不得擅自在终端机上装载其他软件和移动存储设备如3.5”软盘或优盘等。

㈡各工作站所有使用人员必须严格遵守《新his系统工作站用户手册》所规范的各项操作规程以及有关计算机管理制度,严格按照计算机操作使用规程进行操作。

㈢各工作站配置的计算机、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格办理交接手续。使用人必须保持各种网络设备、设施整洁干净,并认真做好网络设备的日清月检,使网络设备始终处于良好的工作状态。

㈣加强设备定位定人管理,未经信息网络科允许,不得随意挪动、拆卸和外借所有网络设备、设施。

不得擅自装载、卸载和变更计算机网络设置。

各工作站周围严禁存放易燃、易爆、易腐蚀及强磁性物品,做好放火、防盗措施。

各工作站使用科室必须按程序报审本科室的操作人员名单,如操作人员有变动应及时上网调整,或上报信息网络科予以变更。

操作人员应严格保密个人密码,严禁泄漏、外借密码;个人秘密必须在第一次使用时进行修改,经信息科检查发现超过三个月未修改的,将暂时取消相应的操作权限,操作人员凭个人身份证明到信息科修改后方可继续使用。

严禁无关人员上机操作或进行其他影响系统正常运行的工作。

严格交接班制度,工作中遇到问题要及时报告。

(十一)使用时如发现运行故障,要及时上报信息网络科。

第四章罚则

第十五条任何科室或个人利用网络从事危害国家安全的活动,违反刑法的,依法交相关国家机关,依照有关法律法规予以处罚。

第十六条违反本规定,有以下行为之一的,由计算机工程技术人员以口头或书面形式进行警告:

㈠违反信息网络系统安全保护制度,危害网络系统安全的;

㈡接到计算机工程技术人员要求改进安全状况的通知后,拒不改进的;

擅自安装、拆卸软、硬件设备的;

㈣擅自更改网络设置的;

㈤发现信息网络系统出现问题不立即报告的;

㈥有危害信息网络系统安全的其他行为。

第十七条违反本规定,有下列行为之一的,全院通报批评并处予扣发酬金100-500元:

㈠在工作站进行与医院信息网络系统无关操作而造成危害的;

㈡私自拆卸、更改网络设备而造成危害的;

㈢向他人泄露帐号密码而造成不良后果的。

第十八条利用终端设备进行与信息系统无关的操作,导致病毒侵袭而造成下列损害之一的,全院通报批评并处以以下经济处罚:

㈠造成设备损害的,原价赔偿;

㈡造成工作站系统破坏的,扣发酬金1-3个月,并赔偿全部修复费用;

㈢造成网络部分或全部瘫痪的,处予严厉的行政处分,造成的经济损失由个人承担40%,科室承担60%。

第十九条因以下行为对医院信息系统的运行造成下列后果之一的,由医院给予以下处罚:

㈠下发的计算机、打印机等设备由所属科室负责管理,对由于责任心不强而造成计算机、打印机被盗或损坏者,原价赔偿。

㈡由于操作者违章操作,造成计算机软、硬件故障,而影响医院信息网络系统的正常运行者,扣发酬金1-3个月,情节特别严重的追究科室负责人的领导责任。

㈢对因违章操作造成系统数据丢失、核算错误,给医院造成重大经济损失的,个人承担损失费用的40%,科室承担60%。

㈣私自添加、删除计算机保存内容;私自更改计算机的各种文件配置;私自更改本信息网络系统应用程序以及参数设置,未造成重大技术事故和经济损失者,扣发酬金1-3个月。造成重大技术事故和经济损失者,造成的经济损失由个人承担40%,科室承担60%。

第二十条在网络系统设备、设施附近作业而危害网络系统安全,影响网络正常运行造成经济损失的,由作业科室赔偿;造成医院财产严重损失的,追究其民事责任。

第二十一条对于其它违反本规定的行为,由医院信息网络管理领导小组按有关管理办法进行处罚。

第五章附则

第二十二条本规定由信息网络科负责解释。

第12篇涉密计算机及信息系统安全和保密管理办法

第一条为加强公司涉密计算机及涉密计算机信息系统的安全保密管理，根据国家有关保密法规和铁道部的有关规定，结合哈佳铁路客运专线有限责任公司（以下简称“公司”）实际，制定本办法。

第二条本办法所称的涉密计算机，是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机；涉密计算机信息系统，是指专门用于处理国家秘密信息的计算机信息系统。

第三条为确保国家秘密、公司工程项目相关技术资料的安全，公司各部门或个人不得使用便携式计算机处理国家秘密信息。

第四条公司设保密领导小组，具体负责公司内部的涉密计算机及信息系统的安全保密管理工作，日常保密管理、监督职责如下：

（一）审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员，要求职责清晰，分工明确。

（二）定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查，及时消除隐患。

（三）加强对有关人员的安全保密教育，建立健全保密规章制度，完善各项保密防范措施。

第五条涉密计算机日常管理人员是涉密计算机安全保密的责任人，其日常保密管理监督职责如下：

（一）对计算机及软件安装情况进行登记备案，定期核查。

（二）设置开机口令，长度在8个字符以上，并定期更换，防止他人盗用和破译。

（三）不得安装、运行、使用与工作无关的软件。

（四）应在涉密计算机的显著位置进行标识，不得让其他无关人员使用涉密计算机。

（五）未安装隔离卡的涉密计算机单机，管理人员应拆除网卡，严禁涉密计算机上网；已安装隔离卡的涉密计算机应严格按照正确方法使用，严禁他人在外网上处理（即打开、查看、拷贝、传递涉密文件）和存储任何涉密信息；严禁他人在外网上使用涉密移动存储介质。

（六）定期做好涉密计算机的病毒查杀、防治和系统升级工作，及时进行数据备份，防止涉密信息的意外丢失。

第六条涉密计算机信息系统的管理人员由系统管理员、安全保密管理员和密钥口令管理员组成，具体职责如下：

（一）系统管理员负责涉密计算机信息系统的登录权限分配、访问控制和日常维护及修理，保证系统和单机的正常运行。定期开展涉密计算机信息系统重要数据的备份工作，防止因系统的损坏或意外造成的数据丢失。

（二）安全保密管理员负责涉密计算机信息系统的病毒防治、安全审计等工作，并负责对系统的运行进行安全保密监视。

（三）密钥口令管理员负责定期更换并管理系统登录口令、开机密码及部分重要程序和文件的密钥，保证口令和密钥的安全。对集中产生的涉密计算机信息系统口令，应定期分发并更改，不得由用户自行产生。处理秘密级信息的系统，口令长度不得少于8个字符，口令更换周期不得超过一个月；处理机密级信息的系统，口令长度不得少于10个字符，口令更改周期不得超过一周。口令必须加密存储，口令在网络中必须加密传输，口令的存放载体必须保证物理安全。

第七条涉密计算机信息系统实行“同步建设、严格审批、注重防范、规范管理”的保密管理原则。

第八条涉密计算机及信息系统所在的场所，必须采取必要的安全防护措施，安装防盗门窗和报警器，并指定专人进行日常管理，严禁无关人员进入该场所。

第九条涉密计算机及信息系统不得直接或间接与国际互联网连接，必须实行严格的物理隔离，并采取相应的防电磁信息泄漏的保密措施。

第十条涉密计算机按所存储和处理的涉密信息的最高密级进行标识；对涉密计算机信息系统的服务器，应按本系统所存储和处理的涉密信息的最高级别进行标识。

第十一条涉密计算机中的涉密信息应有相应的密级标识，密级标识不能与正文分离。对图形、程序等首页无法标注的，应标注在文件名后。打印输出的涉密文件、资料，应按相应的密级文件进行管理。

第十二条涉密计算机的维修或销毁一般应由公司人员在本公司内部进行，并应确保秘密信息在维修、销毁过程中不被泄露。公司不具备自行维修、销毁条件的，应报公司主管领导批准，委托保密部门认定的定点单位进行维修或销毁。销毁涉密存储介质，应采用物理或化学的方法彻底销毁。

第十三条对于违反本办法的有关人员，应给予批评教育，责令其限期整改；造成泄密的，公司将根据有关保密法规进行查处，追究有关人员泄密责任。

第十四条本办法由公司保密委员会负责解释。

第十五条本办法自发布之日起执行。

第13篇数字化矿山安全信息管理系统

数字化矿山安全监控系统为集团公司领导及安全管理部门提供了高效、稳定、快捷的瓦斯实时监测数据，公司领导在办公室、会议室可以随时查询各矿井瓦斯、通风、井下风速、风量的实时数据，各相关领导随时根据所掌握的情况，制定可行的安全生产对策，系统同时还可以查询矿井瓦斯综合报表、瓦斯变化分析曲线、井下传感器动态示意图、矿山地质图形、地质储量三维立体图形查、井下巷道公布图，并实现了风机视频监控等各项功能，做到了矿井安全监控纵向到底、横向到边、信息准确、反应灵敏。七煤集团数字化矿山安全监测系统，公开了井下瓦斯变化的全过程，为安全生产的科学决策，提供了信息支持，实现了矿井瓦斯重点排查跟踪、重大安全隐患排查跟踪，系统功能包括：

1、数字化矿山瓦斯监测监控管理信息系统

2、矿井风机监控管理信息系统

3、井下巷道风流、风速、风量实时监测管理系统

4、gis网络数字煤矿安监管信息系统、

5、gis网站煤炭安全隐患排查信息系统、

6、矿山地质图形管理信息系统

系统地提供了完备的安全监测与信息管理，建立了煤矿信息基本数据库，对通风系统图、采掘工程平面图、井下运输系统图等实现了动态网络监测，实现了矿井通风安全多级监管、统一监测的目的，使集团公司安全管理更加科学化、规范化、系统化。

数字化矿山安全监控系统为集团公司领导及安全管理部门提供了高效、稳定、快捷的矿井环境实时监测数据，公司各级领导及管理人员可随时查询各矿井瓦斯、温度、一氧、负压、粉尘、井下风速、风量的实时数据信息，根据所掌握的情况，制定可行的安全生产指挥策略，系统支持矿井瓦斯变化分析曲线、井下传感器动态示意图、矿山地质图形、地质储量三维立体图形查询、矿井图，做到了矿井环境安全监控纵向到底、横向到边、信息准确，为矿井安全生产提供了保障。

第14篇信息系统密码安全管理办法

1.1制定目的

(1) 规范公司信息系统密码管理。

(2) 确保网络安全运行,保护信息系统、服务器不受侵害。

1.2适用范围

凡隶属本公司信息系统用户,悉依照本办法所规范之体制管理。

1.3权责单位

(1) 信息科负责本办法制定、修改、废止之起草工作。

(2) 总经理负责本办法、修改、废止之核准。

2 信息系统密码安全管理办法

(1) 服务器、应用系统账号和密码要专人专管不得转借他人使用。为了避免账号被盗,密码不定期更换,建议密码长度不少于6位,建议数字与密码组合使用。

(2) 如果用户密码忘记,需用户本人亲自申请恢复密码。

(3) 拥有新账户的员工,需尽快修改初始密码,防止账号被盗用。

(4) 服务器和服务器数据库超级用户必须设置密码,系统管理员严格保管数据库和服务器的登录密码。

(5) 服务器和数据库的超级用户密码设置位数必须大于10位。除数据库的超级用户密码和服务器密码不定期更换,其他密码由信息中心工程师定期更换,操作时间为每月1号,并在信息总监处以电子形式留有备份,提交备份时间为每月1号。密码类型密码长度更换时间服务器超级用户密码大于10位两个月更换一次数据库超级用户密码大于10位设置好后不做更换系统管理员密码大于6位一个月更换一次 ftp及防火墙等管理员密码大于6位一个月更换一次

(6) 机房工作人员应严格执行密码管理规定,对操作密码定期更改,任何密码不得外泄,如有因密码外泄而造成各种损失的,由当事人负全部责任。

2022-2-1

第15篇数据中心信息安全管理及管控要求

随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(iso)也发布了iso17799、iso13335、iso15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准iso27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在bsi/disc的bdd/2信息安全管理委员会指导下制定完成。

iso27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版bs 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。iso27000-1与iso27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,iso27000-1:1999《信息安全管理实施细则》通过了国际标准化组织iso的认可,正式成为国际标准iso/iec17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,iso27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时iso27000-2:1999被废止。现在,iso27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(idc)应逐步建立并完善标准化的信息安全管理体系。

一、数据中心信息安全管理总体要求

1、信息安全管理架构与人员能力要求

1.1信息安全管理架构

idc在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。

1.2人员能力

具备标准化信息安全管理体系内部审核员、cisp(certified information security professional,国家注册信息安全专家)等相关资质人员。5星级idc至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级idc至少应至少具备一名合格的标准化信息安全管理内部审核员

2、信息安全管理体系文件要求,根据idc业务目标与当前实际情况,建立完善而分层次的idc信息安全管理体系及相应的文档,包含但不限于如下方面:

2.1信息安全管理体系方针文件

包括idc信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑idc业务需求、国家法律法规的要求、客户以及合同要求。

2.2风险评估

内容包括如下流程:识别idc业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对idc业务造成的影响;评估由主要威胁和脆弱点导致的idc业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。

2.3风险处理

内容包括:与idc管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。

2.4文件与记录控制

明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。

记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。

2.5内部审核

idc按照计划的时间间隔进行内部isms审核,以确定idc的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级idc应至少每年1次对信息安全管理进行内部审核。四星级idc应至少每年1次对信息安全管理进行内部审核。

2.6纠正与预防措施

idc建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无

2.7控制措施有效性的测量

定义如何测量所选控制措施的有效性;规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估)。

2.8管理评审

idc管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合idc业务要求。

五星级idc管理层应至少每年1次对idc的信息安全管理体系进行评审四星级idc管理层应至少每年1次对idc的信息安全管理体系进行评审。

2.9适用性声明

适用性声明必须至少包括以下3项内容: idc所选择的控制目标和控制措施,及其选择的理由;当前idc实施的控制目标和控制措施;标准化附录a中任何控制目标和控制措施的删减,以及删减的正当性理由。

2.10业务连续性

过业务影响分析,确定idc业务中哪些是关键的业务进程,分出紧急先后次序; 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间; 进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(bcp)/灾难恢复计划(drp)。

2.11其它相关程序

另外,还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。

二、信息安全管控要求

1、安全方针

信息安全方针文件与评审建立idc信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。

至少每年一次或当重大变化发生时进行信息安全方针评审。

2、信息安全组织

2.1 内部组织

2.1.1信息安全协调、职责与授权

信息安全管理委员会包含idc相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施,要有管理授权过程。

2.1.2保密协议

idc所有员工须签署保密协议,保密内容涵盖idc内部敏感信息;保密协议条款每年至少评审一次。

2.1.3权威部门与利益相关团体的联系

与相关权威部门(包括,公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。

2.1.4独立评审

参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求,进行独立的评审。

审核员不能审核评审自己的工作;评审结果交管理层审阅。

2.2 外方管理

2.2.1外部第三方的相关风险的识别

将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对idc信息处理设施或信息纳入风险评估过程,考虑内容应包括:需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。

建立外部第三方信息安全管理相关管理制度与流程。

2.2.2客户有关的安全问题

针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。

2.2.3处理第三方协议中的安全问题

涉及访问、处理、交流(或管理)idc及idc客户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。

3、信息资产管理

3.1 资产管理职责

3.1.1资产清单与责任人

idc对所有信息资产度进行识别,将所有重要资产都进行登记、建立清单文件并加以维护。

idc中所有信息和信息处理设施相关重要资产需指定责任人。

3.1.2资产使用

指定信息与信息处理设施使用相关规则,形成了文件并加以实施。

3.2 信息资产分类

3.2.1资产分类管理

根据信息资产对idc业务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。

信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。

3.2.2信息的标记和处理

按照idc所采纳的分类指南建立和实施一组合适的信息标记和处理程序。

4、人力资源安全

这里的人员包括idc雇员、承包方人员和第三方等相关人员。

4.1信息安全角色与职责

人员职责说明体现信息安全相关角色和要求。

4.2背景调查

人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。

4.3雇用的条款和条件

人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全相关要求。

4.4信息安全意识、教育和培训

入职新员工培训应包含idc信息安全相关内容。

至少每年一次对人员进行信息安全意识培训。

4.5安全违纪处理

针对安全违规的人员,建立正式的纪律处理程序。

4.6雇佣的终止与变更

idc应清晰规定和分配雇用终止或雇用变更的职责;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。

5、物理与环境安全

5.1 安全区域

5.1.1边界安全与出入口控制

根据边界内资产的安全要求和风险评估的结果对idc物理区域进行分区、分级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。

入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。

机房大楼应有7×24小时的专业保安人员,出入大楼需登记或持有通行卡。

机房安全出口不少于两个,且要保持畅通,不可放置杂物。

5星级idc:出入记录至少保存6个月,视频监控至少保存1个月。

4星级idc:出入记录至少保存6个月,视频监控至少保存1个月。

5.1.2 idc机房环境安全

记录访问者进入和离开idc的日期和时间,所有的访问者要需要经过授权。

建立访客控制程序,对服务商等外部人员实现有效管控。

所有员工、服务商人员和第三方人员以及所有访问者进入idc要佩带某种形式的可视标识,已实现明显的区分。外部人员进入idc后,需全程监控。

5.1.3防范外部威胁和环境威胁

idc对火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏建立足够的防范控制措施;危险或易燃材料应在远离idc存放;备份设备和备份介质的存放地点应与idc超过10公里的距离。

机房内应严格执行消防安全规定,所有门窗、地板、窗帘、饰物、桌椅、柜子等材料、设施都应采用防火材料。

5.1.4公共访问区和交接区

为了避免未授权访问,访问点(如交接区和未授权人员可以进入的其它地点)需进行适当的安全控制,设备货物交接区要与信息处理设施隔开。

5.2 设备安全

5.2.1设备安全

设备尽量安置在可减少未授权访问的适当地点;对于处理敏感数据的信息处理设施,尽量安置在可限制观测的位置;对于需要特殊保护的设备,要进行适当隔离;对信息处理设施的运行有负面影响的环境条件(包括温度和湿度),要进行实时进行监视。

5.2.2支持性设备安全

支持性设施(例如电、供水、排污、加热/通风和空调等)应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。

实现多路供电,以避免供电的单一故障点。

5.2.3线缆安全

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。

电源电缆要与通信电缆分开;各种线缆能通过标识加以区分,并对线缆的访问加以必要的访问控制。

线缆标签必须采用防水标签纸和标签打印机进行正反面打印(或者打印两张进行粘贴),标签长度应保证至少能够缠绕电缆一圈或一圈半,打印字符必须清晰可见,打印内容应简洁明了,容易理解。标签的标示必须清晰、简洁、准确、统一,标签打印应当前后和上下排对齐。

5.2.4设备维护

设备需按照供应商推荐的服务时间间隔和说明书,进行正确维护;设备维护由已授权人员执行,并保存维护记录1年。

5.2.5组织场所外的设备安全

应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。

5.2.6设备的安全处置或再利用

包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。

5.2.7资产的移动

设备、信息或软件在授权之前不应带出组织场所,设置设备移动的时间限制,并在返还时执行符合性检查;对设备做出移出记录,当返回时,要做出送回记录。

6、通信和操作管理

6.1 运行程序和职责

6.1.1运行操作程序文件化

运行操作程序文件化并加以保持,并方便相关使用人员的访问。

6.1.2变更管理

对信息处理设施和系统的变更是否受控,并考虑:重大变更的标识和记录;变更的策划和测试;对这种变更的潜在影响的评估,包括安全影响;对建议变更的正式批准程序;向所有有关人员传达变更细节;返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。

6.1.3职责分离

各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。

6.1.4开发设施、测试设施和运行设施的分离

开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。

6.2 第三方服务交付管理

6.2.1服务交付

应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。

idc应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难后继续得以保持。

6.2.2第三方服务的监视和评审

应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行,并留下记录。

6.2.3第三方服务的变更管理

应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估

6.3系统规划和验收

6.3.1容量管理

idc各系统资源的使用应加以监视、调整,并做出对于未来容量要求的预测,以确保拥有所需的系统性能。

系统硬件系统环境的功能、性能和容量要满足idc业务处理的和存贮设备的平均使用率宜控制在75%以内。

网络设备的处理器和内存的平均使用率应控制在75%以内。

6.3.2系统验收

建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。

6.4防范恶意代码和移动代码

6.4.1对恶意代码的控制措施

实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序

6.4.2对移动代码的控制措施

当授权使用移动代码时,其配置确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。

6.5 备份

6.5.1备份

应按照客户的要求以及已设的备份策略,定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。

应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

6.6 网络安全管理

6.6.1网络控制

为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络要充分受控;网络的运行职责与计算机系统的运行职责实现分离;敏感信息在公用网络上传输时,考虑足够的加密和访问控制措施。

6.6.2网络服务的安全

网络服务(包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案,例如防火墙和入侵检测系统等)应根据安全需求,考虑如下安全控制措施:为网络服务应用的安全技术,例如认证、加密和网络连接控制;按照安全和网络连接规则,网络服务的安全连接需要的技术参数;若需要,网络服务使用程序,以限制对网络服务或应用的访问。

6.7 介质管理

6.7 .1可移动介质的管理

建立适当的可移动介质的管理程序,规范可移动介质的管理。

可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、cd、dvd和打印的介质

6.7 .2介质的处置

不再需要的介质,应使用正式的程序可靠并安全地处置。保持审计踪迹,保留敏感信息的处置记录。

6.7 .3信息处理程序

建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。

包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。

6.8 信息交换

6.8.1信息交换策略和程序

为了保护通过使用各种类型的通信设施进行信息交换,是否有正式的信息交换方针、程序和控制措施。

6.8.2外方信息交换协议

在组织和外方之间进行信息/软件交换时,是否有交换协议。

6.8.3电子邮件、应用系统的信息交换与共享

建立适当的控制措施,保护电子邮件的安全;为了保护相互连接的业务信息系统的信息,开发与实施相关的方针和程序。

6.9 监控

6.9.1审计日志

审计日志需记录用户活动、异常事件和信息安全事件;为了帮助未来的调查和访问控制监视,审计日志至少应保存1年。

6.9.2监视系统的使用

应建立必要的信息处理设施的监视使用程序,监视活动的结果应定期评审。

6.9.3日志信息的保护

记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。

6.9.4管理员和操作员日志

系统管理员和系统操作员活动应记入日志。系统管理员与系统操作员无权更改或删除日志。

6.9.5故障日志

与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录、分析,并采取适当的措施。

6.9.6时钟同步

一个安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。

5星级idc各计算机系统的时钟与标准时间的误差不超过10秒。

4星级idc各计算机系统的时钟与标准时间的误差不超过25秒。

7、访问控制

7.1用户访问管理

应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。

应限制和控制特殊权限的分配及使用;应通过正式的管理过程控制口令的分配,确保口令安全;管理层应定期使用正式过程对用户的访问权进行复查。

7.2用户职责

建立指导用户选择和使用口令的指南规定,使用户在选择及使用口令时,遵循良好的安全习惯。

用户应确保无人值守的用户设备有适当的保护,防止未授权的访问。

建立清空桌面和屏幕策略,采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略,idc并定期组织检查效果。

7.3网络访问控制

建立访问控制策略,确保用户应仅能访问已获专门授权使用的服务。

应使用安全地鉴别方法以控制远程用户的访问,例如口令+证书。

对于诊断和配置端口的物理和逻辑访问应加以控制,防止未授权访问。

根据安全要求,应在网络中划分安全域,以隔离信息服务、用户及信息系统;对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制,并建立适当的路由控制措施。

7.4操作系统访问控制

建立一个操作系统安全登录程序,防止未授权访问;所有用户应有唯一的、专供其个人使用的标识符(用户id),应选择一种适当的鉴别技术证实用户所宣称的身份。

可能超越系统和应用程序控制的管理工具的使用应加以限制并严格控制。

不活动会话应在一个设定的休止期后关闭;使用联机时间的限制,为高风险应用程序提供额外的安全。

7.5应用和信息访问控制

用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。

敏感系统应考虑系统隔离,使用专用的(或孤立的)计算机环境。

7.6移动计算和远程工作

应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。

通过网络远程访问idc,需在通过授权的情况下对用户进行认证并对通信内容进行加密。

8、信息系统获取、开发和维护

8.1安全需求分析和说明

在新的信息系统或增强已有信息系统的业务需求陈述中,应规定对安全控制措施的要求。

8.2信息处理控制

输入应用系统的数据应加以验证,以确保数据是正确且恰当的。

验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。

通过控制措施,确保信息在处理过程中的完整性,并对处理结果进行验证。

8.3密码控制

应开发和实施使用密码控制措施来保护信息的策略,并保证密钥的安全使用。

8.4系统文件的安全

应有程序来控制在运行系统上安装软件;试数据应认真地加以选择、保护和控制;应限制访问程序源代码。

8.5开发过程和支持过程中的安全

建立变更控制程序控制变更的实施;当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。

idc应管理和监视外包软件的开发。

8.6技术脆弱性管理

应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。

9、信息安全事件管理

9.1报告信息安全事态和弱点

建立正式的idc信息安全事件报告程序,并形成文件。

建立适当的程序,保证信息安全事态应该尽可能快地通过适当的管理渠道进行报告,要求员工、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。

9.2职责和程序

应建立管理职责和架构,以确保能对信息安全事件做出快速、有效和有序的响应。

9.3对信息安全事件的总结和证据的收集

建立一套机制量化和监视信息安全事件的类型、数量和代价,并且当一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。

10、业务连续性管理

10.1业务连续性计划

建立和维持一个用于整个组织的业务连续性计划,通过使用预防和恢复控制措施,将对组织的影响减少到最低,并从信息资产的损失中恢复到可接受的程度。

10.2业务连续性和风险评估

通过恰当的程序,识别能引起idc业务过程中断的事态(例如,设备故障、人为错误、盗窃、火灾、自然灾害和恐怖行为等),这种中断发生的概率和影响,以及它们对信息安全所造成的后果。

业务资源与过程责任人参与业务连续性风险评估。

10.3制定和实施包括信息安全的连续性计划

建立业务运行恢复计划,以使关键业务过程在中断或发生故障后,能在规定的水准与规定的时间范围恢复运行

10.4测试、维护和再评估业务连续性计划

业务连续性计划应定期测试和更新,以确保其及时性和有效性。

定期测试及更新业务连续性计划(bcp)/灾难恢复计划(drp),并对员工进行培训;定期对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

5星级idc:至少每年一次测试及更新;bcp/drp,并对员工进行培训; 至少每年一次对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

4星级idc:至少每年一次测试及更新;bcp/drp,并对员工进行培训;至少每年一次对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

11、符合性

11.1可用法律、法规的识别

idc所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、收集和跟踪,并形成文件并保持更新。

11.2知识产权

应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。

11.3保护组织的记录

应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。

11.4技术符合性检查

定期地对信息系统进行安全实施标准符合检查,由具有胜任能力的已授权的人员执行,或在他们的监督下执行。

11.5数据保护和个人信息的隐私

应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。

第16篇煤矿安全信息闭环管理系统体系暂行办法

林场煤矿安全信息运行闭环管理是全矿安全隐患管理的关键，其运行质量如何直接影响着矿井安全隐患管理水平得高低。为进一步规范和完善我矿的安全信息运行管理系统，夯实我矿安全管理基础，提高我矿安全管理水平，保证我矿安全生产长治久安，特制定本管理制度。

一、运行程序：

安全信息运行必须遵守以下五个程序，即：检查→填卡→筛选处理和通知→整改反馈→复查

二、具体要求：

（一）、检查：

1、矿属各级安全管理、检查人员到现场后，要对现场的安全隐患进行全面的检查、识别、评价。

2、对发现的“三违”要立即制止并按有关规定处罚。

3、对查出的、可对现场施工人员直接构成威胁的安全隐患：

（1）、能现场处理的，必须立即采取措施组织现场人员处理解决。

（2）、不能现场处理而又不能保证现场施工安全的，必须立即责令其停止作业并汇报调度室，由调度员及时汇报矿分管领导采取措施组织处理。在隐患没有得到解决之前，不准进入作业。

（3）、不能现场解决，暂时又不会对现场人员造成伤害的，要提出整改意见并作好准确记录，由现场负责人签字，上井后按要求到矿安全信息中心填写信息卡，限期解决。

（4）、对现场检查不认真，该查出的隐患没查出，该制止的“三违”不制止，一经发现，将给予20至50元罚款。若在其检查过的路线内24小时内发生事故，经分析认定检查人员有责任的，将给予严肃处理。

（二）填卡：凡进行安全检查的矿属各级干部和各类安全监察人员，必须到矿调度室即安全信息中心平台，按照要求填写记录簿。填写时要详细填写：

1、检查人的单位、姓名、同行人、年、月、日、班次、详细经过路线。

2、所查隐患的单位、地点或工程名称、隐患的具体内容、整改意见、是否整改、接受指令人的姓名等，内容不得少于两条。

3、大检查和陪同上级领导的检查同行人员可填写同一张卡上，正常检查一律要求一人一卡。填写要符合有关质量标准化要求。对填卡不认真，经信息中心平台信息员筛选不合格的填卡人将给予每条10元罚款、通知重新填卡并通报批评。

（三）筛选处理和通知：

安全信息中心平台信息员对安全信息卡要进行认真筛选处理：

1、检查鉴定信息卡是否合格并做好标记，对填写不认真、字迹潦草、内容不清楚的不合格卡进行处罚并通知其本人重填。

2、对筛选出的安全隐患要登记做好台帐，同时一式三份填写隐患整改通知单，于当班将通知单通知到责任单位值班人员，并按照贯彻要求让被通知单位的人员在通知单第一联上签字。

3、对确需矿领导平衡处理的，另行填写安监人员意见书，报矿分管领导，由矿领导在意见书上签署意见后，将意见书下达到有关责任单位整改。

4、筛选出的不危机现场安全的问题，用电话通知有关单位的人员加强注意和改正，并在卡上记录通知人、接收人及时间。

（四）整改和反馈：

1、责任单位值班人员接到隐患整改通知后，除由兼职信息员将隐患登记做好台帐外，要根据整改意见采取措施，安排人员负责处理。对重要隐患，要立即交单位负责人根据整改意见，制定专门措施，安排专人负责处理。

2、在解决过程中要严格按章作业，保证人员安全。

3、整改单位在接到整改通知单的第二天，要在现场隐患反馈单上认真填写：接到整改指令人、整改人、整改时间、填表人、由单位负责人签字后，及时传递反馈到安全信息中心。

4、反馈单的填写要符合所有体系贯标的要求。

5、对不能在限期内整改完的，要在反馈单上详细说明原因，必要时应有业务科室及分管矿领导签字认可。

6、对电话通知的问题应详细记录接整改指令人、整改人、整改时间和结果。

7、对不按要求整改、签字、将给予50元的罚款。

（五）复查

由安全科组织安全小分队或小班安检员进行复查并记录。对经复查，发现有签字已整改而现场未整改的弄虚作假现象，对整改负责人和单位负责人分别给予每条罚款100元，对单位每条加罚100元，并通报批评、责令立即整改，重新下达隐患整改通知单，纳入新的信息运行系统。

同时，对电话通知，信息反馈已整改的问题，要实行抽查制度，具体每天由信息主任筛选确定安排复查。

三、统计、通报、处罚：

信息主任（1）每天对信息员执行制度的质量情况进行检查，重点检查是否有该通知而未通知，该下卡而未下卡的情况，一经发现应视其情节给予批评教育、罚款20--50元，督促指导信息员做好信息运行工作。

（2）每周对信息运行情况进行统计，形成统计报表。由安全科在周一安全办公会上通报各单位隐患整改情况；对未按要求整改的责任单位和责任人给予通报批评、处罚和考核扣分。

四、信息沟通、反馈及争议处理：

为及时发现和纠正信息的失实和不足，有效解决安全生产过程中存在的各类问题，消除事故隐患，消除误解和争议，消除错罚和误法给安全工作带来的负面影响，安全科将罚款通知、意见反馈及争议处理过程作修改补充后规定如下：

1、安全科信息中心三班信息员每班将罚款的事由和罚款金额，用电话通知道有关单位，并作好记录。

2、信息中心每日下达一份各类问题及书面通知单，由信息员按早、中、夜三班顺序将一个圆班的各类问题和罚款金额，分单位填写在书面通知单上。由区队信息员每日上午9：00前将通知单领回本单位。区队信息员在领取通知单时，要在通知单领取登记簿上签字。

3、单位值班人员和主要领导在接到书面通知单后，对存有异议的罚款，应首先通过安全信息中心查询检查人员，在全面调查和了解的基础上，应及时办好书面说明，检查当事人及单位主要领导签字后由单位信息员在当天下午17：00前，报到安全科信息中心。由安全矿长安排有关科室和有关人员进行调查分析、再次核实，由安全矿长根据调查结果研究相应的处理意见。

4、有关单位接到电话通知后，值班人员要做好记录，并安排信息员到信息中心及时领回通知，对有争议的罚款问题，要及时调查并以书面的形式报安全科。否则，因自身原因未能及时将问题反映到安全科，造成无法调查的，后果由单位自己承担。

5、各单位主要领导要高度重视此项工作，对偏听当事人一面之词，不作全面详细了解或明知当事人有错，不做思想工作，而把矛盾上交，放任当事人胡搅蛮缠，扰乱正常工作的，对当事人加倍处罚并升级考核处理，同时对其单位党政领导给予通报批评和罚款。

五、评价与提高

安全科严格安全信息运行闭合管理系统进行检查评价，不断总结、学习、创新、完善和提高，使安全信息闭合管理系统保持严密、科学、适用。

职工业余安全学习培训考试制度

为认真贯彻执行《安全生产法》，加强对我矿职工安全生产教育和培训，提高职工安全生产意识，保证职工具备必要的安全生产知识，熟悉相应的安全生产规章制度和安全操作规程，真正掌握安全操作技能和预防事故的实际能力，逐步向“本质安全型”员工转变，从而最大限度地防止和减少生产安全事故的发生，保障职工群众生命和财产安全，促进矿井经济正常发展。特制定本制度，具体如下：

矿成立业余安全学习培训考试领导小组：

组长：李建国

副组长：沈远东、陈万峰、朱学金、赵书东、王永涛、司继江、孙立民

成员：各科室、工区负责人及各分管负责人

领导小组下设办公室，办公室设在安全科，孙立民任办公室主任，具体负责制定林场煤矿安全学习培训计划及业务考核工作。

一、学习培训人员范围：

全矿各科室、区队的各级管理人员和职工。

二、学习内容：

《煤矿安全规程》、各单位对应的《煤矿作业规程》、各工种对应的《煤矿操作规程》、《安全生产法》、《林场煤矿岗位安全生产责任制》、安全管理制度、隐患识别的方法、事故案例等。

三、学习组织的形式：

1、各单位根据矿的需要，结合本单位实际，制定出本单位每月、每周的详细安全学习计划，于每月5号前书面报到安全科。

2、利用班前班后会、周五安全活动等时间组织业余培训，由单位主要管理人员主持，技术人员讲课。采取每日一题的形式每周不少于5题，5天学习，1天复习，1天考试。对部分综合安全素质差的职工，单位应安排人员进行重点指导、帮助，单位应做好备课教案，职工要认真做好学习记录，以备检查。

四、考试形式：

（一）、单位自考：各单位在学习培训的基础上，每周组织自考，考试应以书面为主，对个别确实不会书写的也可采用口头考试形式，但必须记录真实。单位要保存好试卷和考试成绩备查。

（二）、矿抽查、考试：

1、每周由安全科牵头，有关部门参加，根据规定进行抽查各单位制度执行情况。

2、每月矿安全科根据各单位报送的学习计划内容，组织对有关单位进行抽查考试，重点对班组长、安全不放心人员（素质差、技能低、违章人员）等进行考试，对考试不合格的，一律不得安排上岗作业，由安全科书面通知其单位组织待岗培训，直至合格方可返岗工作。

3、对各单位、各部门的管理人员采用不定期书面或口头抽查考试的方法。

4、对各科室、区队单位职工的考试：

（1）、井下区队单位采用每月组织集中书面考试和井上下现场动态口头抽查相结合的方式。

（2）、地面单位根据各工种分类情况，由安全科具体组织书面抽查或现场口头抽查的方式。

五、考核奖罚办法：

根据工作性质结合专业特点，将井上下单位分成若干类后分别比较考核奖罚，具体为：

1、每季度将各区队单位职工的考试成绩分别实行奖罚制度，奖罚资金平均三级落实三大员。每月公布考核兑现结果。

2、对单位管理人员的考试成绩，以平均分为标准，超奖少罚，每分10元。

全矿各单位，各部门要根据矿上的统一安排和部署，结合本单位的实际情况，制定出详细严密的年度业余安全学习培训计划，充分利用班前班后会、周五安全活动等时间，组织本单位的职工系统学习、培训考试，真正达到提高本单位职工的安全生产意识，养成遵章作业、按章操作的严谨作风，掌握安全操作技能和预防事故实际能力的目的，为提高我矿全员的综合安全素质打下坚实的基础。