信息安全管理制度Word格式文档下载.docx
《信息安全管理制度Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度Word格式文档下载.docx(17页珍藏版)》请在冰点文库上搜索。
(七)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第七条在信息安全工作管理中,网络管理员的职责包括:
(一)负责网络的运行管理,实施网络安全策略和安全运行细则(详见网络系统的管理规范)。
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件。
(四)对操作网络管理功能的其他人员进行安全监督。
第三章机房安全管理
第八条机房安全建设和改造方案应通过上级保卫部门的安全审批。
第九条机房安全建设应通过上级保卫部门组织的安全验收。
第一十条机房应按重要性进行分级管理,分级标准按有关规定执行。
第一十一条机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。
严禁与机房业务无关的人员进入机房。
第一十二条计算机机房实行分区管理原则。
核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第一十三条机房建设应当符合下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房(含屏蔽机房)应当埋设专用接地线,不得和其它接地线相连。
(三)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(四)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。
(五)机房应设专用的供电系统,配备必要的UPS和发电机。
第一十四条机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。
第一十五条监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第一十六条机房严禁无关人员进出,门禁系统的钥匙应严格发放,对于岗位变动的人员,及时收回原来门禁系统的钥匙。
第一十七条加强进出机房人员管理。
禁止未经批准的外部人员进入机房。
非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。
参观主机房,须经有关领导批准方可,参观时必须有机房管理员陪同。
第一十八条严禁将易燃易爆和强磁物品及其它与机房工作无关的物品带入机房。
第一十九条机房内保持肃静,严禁在机房内游艺或进行非业务活动。
进入机房的工作人员,都必须严格遵守机房的安全、防火制度,严禁烟火。
不准在机房内吸烟。
第二十条机房内所有设备、仪器、仪表等物品要妥善保管,向外移(带)设备及物品,需有主管领导的批示或经系统管理员批准,方可拿出机房。
第二十一条发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。
第四章设备维修保养管理
第二十二条只有得到授权的维护人员才能够对设备进行维修和保养。
第二十三条注意设备的保养和用电的安全,定期对设备进行检查,及时消除隐患。
第二十四条计算机信息网络系统的设备原则上由本单位的技术人员进行检修。
不能检修的,尽可能请维修人员上门维修。
第二十五条计算机信息网络系统的设备必须外出修理的,应当经领导批准,并清理设备内部存贮的涉密信息(如硬盘格式化等),方可外出进行修理。
第二十六条计算机设备的采购需满足国家以及行业的相关安全保密规定。
第五章网络安全管理
第二十七条网络建设方案应通过上级计算机安全主管部门的安全审批。
第二十八条网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。
第二十九条在网络的出口出应该配备有相应的安全设备。
第三十条网络建设中涉及网络安全的资料,应备案建档,统一管理。
相关的密码和帐号应由专人管理。
第三十一条网络建设应符合下列基本安全要求:
(一)网络规划应有完整的安全策略。
(二)能够保证网络传输信道的安全,信息在传输过程中不会被非法获取。
(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。
(四)应具备必要的网络监测、跟踪和审计的功能。
(五)应根据需要对网络采取必要的技术隔离措施。
(六)能有效防止计算机病毒对网络系统的侵扰和破坏。
(七)应具有应付突发情况的应急措施。
(八)对于建设竣工文档应由专人管理,并且以光盘介质和纸质两种方式进行存档。
第三十二条网络通信应符合下列基本安全要求:
(一)各部门之间进行VLAN划分。
(二)对重要服务器区、重要科室部门,实现严格的网络访问控制。
(三)对联网的计算机及其网络设备和通讯设备的安装、使用,应建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入和用户非法越权操作。
(四)存有重要数据的计算机,不得擅自与国际互联网联网。
(五)内部有权限上网的用户不能将内部资料通过网络进行外传。
(六)网络管理员在内部网络与外网直接的防火墙或路由器上设置安全访问策略,严格限制内外网之间的访问。
(七)接入国际互联网的计算机要有专人进行管理,对上网内容须进行必要的检查。
(八)任何用户不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯和危害公司的利益,不得从事违法犯罪活动。
第三十三条访问互联网应符合下列基本安全要求:
(一)涉密系统不得与境外机构、外国驻华机构、国际计算机网络及国内公众计算机信息系统联网。
(二)不得浏览“色情”或传播非法内容(如法轮功,发动言论等)的网站。
(三)不得在网上传播非法内容。
(四)禁止下载非法的或有危害的软件。
(五)没有安装防病毒软件的计算机不得访问互联网。
第三十四条重要网络设备应放置在中心机房内,由网络管理员负责管理。
其他人员不得对网络设备进行任何操作。
第三十五条网管设备属专管设备,必须严格控制其管理员密码。
第三十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。
第三十七条改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。
第三十八条与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第三十九条网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员。
第四十条有权限的单位在使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。
第四十一条网络扫描、监测结果和网络运行日志等重要信息应备份存储。
第四十二条联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。
第四十三条严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。
第四十四条机房内交换机上的未被使用的空闲端口应设置为不启用状态。
第六章人事安全管理
第四十五条人员管理应符合下列基本安全要求:
(一)各部门遴选涉密系统的工作人员,应当按机要人员的标准,先审查后录用;
并对其进行经常的保密教育,要求严格遵守国家工作人员保密守则。
对不适宜在涉密系统工作的人员应及时调整。
(二)建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机安全技术教育。
对关键岗位的人员进行定期考核。
定期组织对新进公司的职员进行安全管理培训。
(三)对关键岗位人员的进行安全制度和常识的定期考核、各部门人员职责的明确。
(四)网络管理员、安全管理员、普通操作员岗位分离。
(五)需要上外部互联网用户必须与信息中心办理上网申请,严格执行安全保密制度。
(六)内部用户对网络上有害信息应该及时控制并删除,不得传播。
(七)对安全事故、案件等应该及时上报安全管理办公室,并作日志记录。
(八)网络管理员应定期检测网络运行情况,安全管理员必须定期检查系统安全情况。
(九)有关信息安全条例及时上安排上网、并转发给用户学习。
(一十)发现异常用户登录,应及时处理并上报安全管理办公室备案。
第四十六条多人负责原则:
(一)每一项与安全有关的活动,都必须有两人或多人在场。
一为互相监督,二为一旦出现擅自离职,可以保证系统的正常运行。
而且应该签署工作情况记录,以证明安全工作已得到保障。
(二)以下各项是与安全有关的活动:
①访问控制使用证件的发放与回收。
②信息处理系统使用的媒介发放与回收。
③处理保密信息。
④硬件和软件的维护。
⑤系统软件的设计、实现和修改。
⑥重要程序和数据的删除和销毁等。
第四十七条任期有限原则:
一般地讲,任何人最好不要长期担任与安全有关的职务,为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
工作人员在调离本岗位后,应对其所涉及到的权限及口令等进行重新设定。
第四十八条职责分离原则:
(一)在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
(二)出于对安全的考虑,下面每组内的两项信息处理工作应当分开:
①计算机操作与计算机编程。
②机密资料的接收和传送。
③安全管理员和网络管理员。
④应用程序和系统程序的编制。
⑤访问证件的管理与其它工作。
⑥计算机操作与信息处理系统使用媒介的保管等。
第四十九条人员调离时安全管理应符合下列基本安全要求:
(一)根据人员安全保密管理,对工作调动和离职人员要及时调整相应的授权。
(二)在宣布人员调离的同时,应马上收回调离人员的各项权限,包括取消帐号,收回相关房门钥匙,更换其原来管理的系统的访问口令,并向被调离人员申明其保密义务。
(三)涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。
(四)人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育。
第七章系统及应用安全管理
第五十条系统运行的基本要求:
(一)对于各个信息系统的使用应建立相应安全操作规程与规章制度。
(二)指定专人负责启动、关闭重要计算机系统和相关设备。
(三)指定专人对系统运行状况进行监视,及时发现问题并报告上级。
(四)记录内部网络拓扑情况,记录各计算机系统的IP地址、网卡地址、系统配置,以在发生安全问题时,及时找到相关系统。
(五)各个信息系统的运行场所应满足相应的安全等级要求。
(六)各个信息系统应配备必要的计算机病毒防范工具。
(七)重要的信息系统应配备必要的备份设备和设施。
第五十一条系统数据安全管理的要求:
(一)计算机信息系统应定期进行数据备份,并检查备份介质的有效性。
(二)应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号,并标明备份日期、密级及保密期限。
(三)应对备份介质妥善保管,特别重要的应异地存放,并定期进行检查,确保数据的完整性、可用性。
(四)应建立备份介质的销毁审批登记制度,并采取相应的安全销毁措施。
(五)未采取保密措施的涉密系统(含个人计算机),不得用于采集、处理、存贮、传输和检索涉及公司秘密的信息(以下简称涉密信息)。
(六)重要信息系统使用的计算机设备更换或报废时,应彻底清除相关业务信息,并拆除所有相关的涉密选配件,由使用部门登记封存。
第五十二条服务器安全管理要求:
(一)系统中各服务器为应用系统、安全系统专用,不得用于其他用途。
(二)未经许可,服务器中不得安装与系统无关的软件。
(三)系统中各主要服务器不准开设文件共享服务,若需进行文件的传输与拷贝,可开通FTP服务。
(四)网络管理员应建立完整的计算机运行日志,操作记录及其它与安全有关的资料。
第五十三条个人计算机安全管理要求:
(一)未采取保密措施的个人计算机(含便携机,下同),不得作为临时终端检索涉密系统的信息,不得与涉密系统联网。
(二)个人计算机存贮涉密信息应当采取保密措施,并标明密级,按密级文件进行管理,不得在公共场所存放。
(三)个人计算机不得安装和使用会影响网络性能的工具软件,如网络扫描器、黑客攻击工具等。
(四)个人计算机不得安装与工作无关的软件,如游戏、聊天、炒股软件等。
第五十四条数据库安全管理要求:
(一)数据库的各个用户的默认密码应该被重新设置为新的密码,且密码由数字和字母共同组成,密码长度不小于8位。
(二)严格设置和限制数据库用户的访问权限,容许用户只访问被批准的数据,以及限制不同用户有不同的访问模式。
(三)开启数据库日志功能,数据库管理员定期查看日志,查找异常情况,并将数据库日志进行备份。
(四)若网络系统中采用了数据库审计系统,数据库审计系统的管理员应经常注意数据库审计系统的报警情况,以及时作出安全响应措施。
(五)数据库管理员应了解数据库安全漏洞情况及相应的解决方法,如及时为数据库升级或打好相应的补丁。
(六)对重要数据库定期进行备份。
第五十五条系统运行平台的安全管理要求:
(七)系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(八)系统管理员应屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(九)涉密系统的操作系统应当建立用户身份验证、访问权限控制等保密防御机制和审计机制。
(一十)重要的涉密系统,应当建立具有实时报警功能的监控系统。
(一十一)传输重要信息,应当采用数字签名技术。
(一十二)涉密系统各类数据库应当建立用户身份鉴别、访问权限控制和数据库审计等保密措施,重要的数据应当加密存放。
(一十三)系统管理员应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
并负责应用软件和数据库系统的升级和打补丁。
(一十四)系统管理员应启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
(一十五)系统管理员不得泄露操作系统、数据库的系统管理员帐号、密码。
(一十六)联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,不得随意修改。
(一十七)安全管理员使用扫描工具或请外部专用人员定期对内部网络系统进行安全扫描。
(一十八)对于已经发现的操作系统和应用软件漏洞和解决方法,安全管理员应及时告知系统管理员及内部职员,并及时进行解决。
第九章数据安全管理
第五十六条本制度所指的信息数据,包括存储在计算机硬盘、磁道机、磁盘阵列、光盘塔等电子信息数据,还包括以纸为信息载体的记录内部网络情况及信息系统等资源的文档。
第五十七条公司各个部门必须建立完善的业务数据管理制度,对业务数据实施严格的安全保密管理。
各个业务部数据信息应保存一年以上。
第五十八条数据备份应符合下列基本安全要求:
(一)使用数据备份软件对需要长期保存的重要数据进行快速有效的数据备份工作。
(二)各部门重要数据的备份一般保证有多份(最少两份),并异地存放,保证系统发生故障时能够快速恢复。
存放备份数据的介质必须具有明确的标识,并明确落实异地备份数据的管理职责。
(三)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
(四)建议第一次备份时作一次系统数据的全备份,以后每天作一次增量备份,每周作一次全备份。
(五)数据备份过程中,应确保备份数据源和备份目的介质之间数据传输安全。
(六)数据备份的存储介质应设有严格的访问策略限制。
(七)备份数据应仅用于明确规定的目的,未经批准不得它用。
(八)无正当理由和有关批准手续,不得查阅备份数据。
经正式批件查阅数据时必须登记,并由查阅人签字。
(九)保密数据不得以明码形式存储和传输。
(一十)根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。
(一十一)注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
(一十二)任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第五十九条涉密介质应符合下列基本安全要求:
(一)涉密系统存贮涉密信息的介质(含磁盘、磁带和光盘,以下简称涉密介质),应当由专人负责保管,涉密介质应当与非密介质分开保管。
(二)涉密介质应当按密级文件进行管理,标明密级并造册登记,收发、传递和使用应当有审批手续和传递记录。
(三)涉密介质应当有防拷贝措施,拷贝涉密信息要经领导审批,拷贝的涉密介质按原涉密介质进行管理。
(四)涉密介质不得降低密级使用和记录非密信息,无保存价值的涉密介质应当报领导批准后销毁,并作好销毁记录。
(五)涉密介质不得到境外修理。
第六十条数据管理应符合下列基本安全要求:
(一)公司内部信息数据及网络应用情况要实施保密措施。
信息数据资源保密等级可分为:
(1)可向Internet公开的;
(2)可向内部公开的;
(3)可向特定服务器区公开的;
(4)可向有关部门或个人公开的;
(5)仅限于本部门内使用的;
(6)仅限于个人使用的。
(二)公司内各部门计算机数据管理实行负责人责任制,各部门指定专人负责本部门计算机数据管理工作。
保障本部门计算机数据的安全运行,对本部门的计算机数据及时进行分类登记、备份,随时检测、清除计算机病毒,使用病毒防护工具恢复被病毒感染的数据。
(三)计算机数据中涉及国家和商业秘密的信息应采取技术加密、保密措施,并编制操作密码,任何人不准泄露操作密码。
操作密码要定期更改。
如发现失、泄密现象应及时向有关部门报告。
(四)传递应予保密的数据,应通过符合保密要求的邮件等方式进行。
(五)在数据采集、传递、加工和发布中违反报名规定,给国家和社会造成危害的,对直接责任人要给予行政处分,情节严重的,要追究刑事责任。
(六)记录有公司内部网络拓扑情况、网络地址、系统配置等的电子文档,应由网络管理员妥善保管,加密存储。
相关的纸介质文档,也应妥善保管在安全处,未经上级批准不得借阅或复印。
(七)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复过程中要严格按照数据恢复手册执行,由信息部门技术人员进行现场技术支持。
数据恢复后,必须进行验证,确保数据恢复的完整性和可用性。
(八)数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。
历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。
数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
(九)需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。
转存的数据必须有详细的文档记录。
(一十)计算机设备送外维修,须经设备管理机构负责人批准。
送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。
对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
(一十一)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第十章病毒防治管理
第六十一条网络中所有联网的服务器和客户端均应安装病毒防护系统软件,若病毒防护软件带有集中管理功能,则对网络用户实现病毒防护软件的统一设置,不容许用户私自卸载防病毒软件,不容许用户禁止实时病毒扫描功能。
第六十二条安全管理员负责更新防病毒软件。
第六十三条定期进行病毒扫描,发现病毒立即处理;
设置病毒防护软件自动扫描为每周至少一次。
第六十四条外面进来的信息介质必须经过病毒扫描、病毒清除后才能使用。
第六十五条计算机使用人员在使用软盘时,应先对软盘进行病毒扫描。
第六十六条计算机使用者在离开前应锁定计算机或退出系统。
第六十七条任何人未经计算机所属使用人的同意,不得使用他人的计算机。
第六十八条安全管理员负责公司内部计算机病毒的检测和清理工作。
第六十九条安全管理负责人对防病毒措施的落实情况进行监督。
第七十条安全管理员定期将防病毒软件的统计日志和公司内病毒发作情况向安全管理领导小组汇报。
第十一章帐号密码与权限管理
第七十一条由网络管理员负责创建用户和删除用户,用户的密码口令修改由用户自己完成,未经用户同意,网络管理员无权修改用户的密码。
第七十二条密码设置应具有安全性、保密性,不能使用简单的代码和标记。
密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。
密码分设为用户密码和管理员密码,用户密码是登陆系统时所设的密码,管理员密码是进入各应用系统的管理员密码。
第七十三条编制密码应当选择有大小写英文字母与数字混合用的可拼读但无意义的字母组合,字长不得少于6个字符,机密系统口令长度不得少于10位。
不得选择常用、易猜或有特殊意义的名字或单词,如:
名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串。
第七十四条密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
第七十五条口令字(表)必须注意保密,不得记载或张贴在外。
第七十六条用户注意对自己帐号和密码保密,帐号不得转借、转让他人使用,不得将帐号和密码告诉外部人员。
第七十七条用户密码在失密后立即报告,及时更换新密码。
第七十八条操作人员应有互不相同的用户名,用户对自
升级会员 