信息安全保密管理制度.docx

1、信息安全保密管理制度第一章总则第一条信息安全保密工作是公司运营与发展的基础，是保障客户利益的基础，为给信息安全工作提供清晰的指导方向，加强安全管理工作，保障各类系统的安全运行，特制定本管理制度。第二条本制度适用于分、支公司的信息安全管理。第二章计算机机房安全管理第三条计算机机房的建设应符合相应的国家标准。第四条为杜绝火灾隐患，任何人不许在机房内吸烟。严禁在机房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火装置的性能、特点，熟练使用机房配备的灭火器材。机房消防系统白天置手动，下班后置自动状态。一旦发生火灾应及时报警并采取应急措施。第五条为防止水患，应对上下水道、暖气设施定期检查，及时发

2、现并排除隐患。第六条机房无人值班时，必须做到人走门锁；机房值班人员应对进入机房的人员进行登记，未经各级领导同意批准的人员不得擅自进入机房。第七条为杜绝啮齿动物等对机房的破坏，机房内应采取必要的防范措施，任何人不许在机房内吃东西，不得将食品带入机房。第八条系统管-理-员必须与业务系统的操作员分离，系统管理-员不得操作业务系统。应用系统运行人员必须与应用系统开发人员分离，运行人员不得修改应用系统源代码。第三章计算机网络安全保密管理第九条采用入侵检测、访问控制、密钥管理、安全控制等手段，保证网络的安全。第十条对涉及到安全性的网络操作事件进行记录，以进行安全追查等事后分析，并建立和维护“安全日志”，其

3、内容包括：1、记录所有访问控制定义的变更情况。2、记录网络设备或设施的启动、关闭和重新启动情况。3、记录所有对资源的物理毁坏和威胁事件。4、在安全措施不完善的情况下，严禁公司业务网与互联网联接。第十一条不得随意改变例如IP地址、主机名等一切系统信息。第四章应用软件安全保密管理第十二条各级运行管理部门必须建立科学的、严格的软件运行管理制度。第十三条建立软件复制及领用登记簿，建立健全相应的监督管理制度，防止软件的非法复制、流失及越权使用，保证计算机信息系统的安全；第十四条定期更换系统和用户密码，前台（各应用部门）用户要进行动态管理，并定期更换密码。第十五条定期对业务及办公用PC的操作系统及时进行系

4、统补丁升级，堵塞安全漏洞。第十六条不得擅自安装、拆卸或替换任何计算机软、硬件，严禁安装任何非法或盗版软件。第十七条不得下载与工作无关的任何电子文件，严禁浏览黄色、反动或高风险等非法网站。第十八条注意防范计算机病毒，业务或办公用PC要每天更新病毒库。第五章数据安全保密管理第十九条所有数据必须经过合法的手续和规定的渠道采集、加工、处理和传播，数据应只用于明确规定的目的，未经批准不得它用，采用的数据范围应与规定用途相符，不得超越。第二十条根据数据使用者的权限合理分配数据存取授权，保障数据使用者的合法存取。第二十一条设置数据库用户口令，并监督用户定期更改；数据库用户在操作数据过程中，不得使用他人口令或

5、者把自己的口令提供给他人使用。第二十二条未经领导允许，不得将存储介质（含磁带、光盘、软盘、技术资料等）带出机房，不得随意通报数据内容，不得泄露数据给内部或外部无关人员。第二十三条严禁直接对数据库进行操作修改数据。如遇特殊情况进行此操作时，必须由申请人提出申请，填写数据变更申请表，经申请人所属部门领导确认后提交至信息管理部，信息管理部相关领导确认后，方可由数据库管理人员进行修改，并对操作内容作好记录，长期保存。修改前应做好数据备份工作。第二十四条应按照分工负责、互相制约的原则制定各类系统操作人员的数据读写权限，读写权限不允许交叉覆盖。第二十五条一线生产系统和二线监督系统进行系统维护、复原、强行更

6、改数据时，至少应有两名操作人员在场，并进行详细的登记及签名。第二十六条对业务系统操作员权限实行动态管理，确保操作员岗位调整后及时修改相应权限，保证业务数据安全。附件：数据变更申请表信息安全保密管理制度 篇2 第1条为了加强知识产权保护，防止信息数据丢失和外泄，保持信息系统库正常运行，特制定安全保密制度。第2条安全保障对象包括办公场所安全，设备安全，软件安全，系统库安全，计算机及通信安全；保密对象包括档案资料，医疗数据资料，信息系统库资料。第3条信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度，认真管理档案、医疗数据资料、数据库系统。第4条信息中心的所有工作人员必须严格遵守院里的规

7、章制度和信息中心的有关规定，认真做好档案、医疗数据资料、数据库系统的管理和维护工作。第5条未经院领导和信息中心负责人同意，非管理人员不得进入控制机房，不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。第6条未经院领导和信息中心负责人同意，严禁任何人以任何形式向外提供数据。实行严格的安全准入制度，档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。第7条档案资料安全保密管理，遵循档案库房管理制度、保密守册、档案室职责、档案资料利用管理规定、档案安全消防措施执行。第8条医疗数据资料、信息系统库资料，除参照执行第7条相关规定外，还应遵

8、循：第1款资料建档和资料派发要履行交接手续。第2款原始数据、中间数据、成果数据等，应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠；办公文员要对数据进行校验，注意作业流程把关、资料完整性检查、数据杀毒处理；数据处理员要严格按照“基础地理信息系统建库技术规范”要求作业；专检员要严格按照“资料成果专检”规定把关；系统入库员、系统管-理-员、网络管-理-员要保证入库、出库数据质量和数据安全保密。第3款定期对数据库进行检查、维护，发现问题及时解决和备案，保证数据库系统的正常运行。第4款未经许可数据库内的数据信息不得随意修改或删除，更不能对外提供。第5款除授权管理人员外，未经许可，任何人

9、不能动用他人设备，不得通过网络（局域网、VPN虚拟专网、内部网等）联机调阅数据。第6款医疗数据资料按规定要求进行计算机建档和处理，数据入库后要及时删除工作终端中的原有数据。第7款严格遵守信息中心工作流程，不得做任何违反工作流程的操作。第8款定期对数据库的信息数据进行备份，要求每增加或更新批次，数据备份一次，包括异地热机备份和刻盘备份两种方式；每月定期刻盘两套，异地保存。第9条软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好，建库技术标准规范、应用服务体系完善。第10条信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施

10、。消除安全隐患，杜绝安全事故。第11条权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。第12条权限管理从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管-理-员、系统管-理-员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器（包括系统服务器、镜像服务器、应用服务器和控制服务器）、工作终端、用户终端；从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。第1款安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料；第2款设定内容中，完全控制是指对VPN虚拟专

11、网中服务器（包括系统服务器、镜像服务器、应用服务器和控制服务器）、终端（包括工作终端和用户终端）有绝对控制权，包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等；第3款高级管-理-员为最高权限人，设定权限为完全控制，即拥有对所有用户名及密钥管理，查看系统运行日志，拥有对服务器、终端的所有权限管理，即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权；系统管 -理-员权限包括对工作终端用户名及密钥管理，拥有对服务器（不包括控制服务器）和终端所有权限管理，即对机密、秘密资料拥有权限、创建、删除、添

12、加、编辑、更新、运行、读取、拷贝及其他操作权；高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权；中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权；特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。第13条控制服务器中建立运行日志，以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录；信息系统库运行情况记录；各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间

13、。运行日志中内容记录方式以时间为序。第14条强化信息安全保密管理，加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故，追究当事人责任；触犯法律的，依法追究。信息中心 2019.12信息安全保密管理制度 篇3一、为了处理工作中涉及的办公秘密和业务秘密信息，特制定计算机信息系统安全保密规定。二、信息中心负责指导公司各部门入网人员的保密技术培训，落实技术防范措施。三、各部门要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查，落实好保密防范措施，对本单位上网人员进行保密教育和管理。四、涉密信息不得在与国际网络的计算机系统中存储，处理和传输。五、凡上网的信息，上网前必须进行审查，进行登记，“谁上网，谁负责”，确保公司机密不上网。六、不得利用公司互联网从事危害国-家-安-全，泄露国-家-机密的活动。七、如在网上发现反动、黄色的宣传和出版物，要保护好现场，及时报向公司信息部门汇报，依据有关规定处理，如发现泄露国-家机-密的情况，要及时报信息中心采取措施，同时向领导报告，对违反规定建设造成后果的，依据有关规定进行处理，并追究部门领导的责任。八、未经批准，任何人不得以公司或部门名义发布相关评论、文章、用户回复等信息。九、发生重大突发事件期间，信息中心及各部门领导要加强网络监控，及时，果断地处理网上突发事件，维护公司形象及网络稳定。