网络信息安全管理制度Word格式文档下载.docx
《网络信息安全管理制度Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络信息安全管理制度Word格式文档下载.docx(13页珍藏版)》请在冰点文库上搜索。
职工不得利用单位电脑及网络资源玩游戏,浏览与工作无关的网站。
若被上级检查发现,将按要求严肃处理。
第十五条不得随意安装工作不需要的软件。
第十六条计算机出现重大故障,如硬盘损坏,计算机使用人应立即向办公室报告。
第三章计算机安全管理
第十七条如需要私人计算机连接到单位网络,需报办公室批准后方可操作。
严禁其他计算机私自连接金财网。
第十八条所有计算机设备必须统一安装防病毒软件,未经办公室同意,不得私自在计算机中安装非上级统一规定的任何防病毒软件及个人防火墙。
所有计算机必须及时升级操作系统补丁和防病毒软件。
第十九条任何人不得在单位的计算机上制造传播任何计算机病毒,不得故意引入病毒。
第二十条计算机使用者发现病毒后应立即停机、断网并及时通知网络管理员。
第二十一条因工作需要使用QQ、微信等通讯工具接收文件资料、软件时,应当仔细辨别后再进行接收,接收后应使用杀毒软件进行查杀,确认无毒后再打开。
第二十二条使用电子邮件时,附件都应使用杀毒软件进行查杀,确认无毒后再打开。
对于陌生的电子邮件,请直接予以删除。
第二十三条任何人不得进入计算机系统更改系统信息和用户数据,不得以任何形式攻击单位的其它电脑或者服务器。
第二十四条不得利用计算机技术侵占其他用户合法利益,不得非法侵入他人电脑,不得制作、复制、和传播妨害单位稳定的有关信息。
第二十五条不得利用单位的网络资源发布和传播迷信、淫秽、色情、赌博、暴力、凶杀、恐怖等信息,违者将移送公安机关处理。
第二十六条不得利用单位的网络资源进行入侵、破解他人的电脑、工作站或者服务器,进行数据备份、篡改和删除等网络犯罪行为,违者将移送公安机关处理。
第四章人员安全管理
第二十七条网络信息安全人员招聘、录用流程参考公务员和事业单位招聘、录用规定。
第二十八条网络信息安全人员签订《劳动合同》后,应当签订纪律、保密及其他方面的协议或承诺书。
第二十九条对网络信息安全人员进行入职培训时,应加强网络信息安全规章制度的教育培训。
加强保密意识教育,提高网络信息安全人员保密观念,增强保密意识,自觉执行保密规定。
第三十条网络信息安全人员在职期间,必须遵守网络信息安全相关管理规定,履行保密义务,确保敏感重要数据文件安全,不得与外界进行传输。
发现网络信息安全事件应及时向局领导和办公室负责人报告,并立即进行事件处理。
第三十一条为保证网络信息安全人员能够充分履行网络信息安全职责,应当每年组织开展考核工作,考核工作可以结合人员年度考核进行。
第三十二条对发现的违反违背网络安全规定的人员,视情节轻重,报局领导审批后,给予通报批评或相应的责任追究。
第三十三条外部人员来访严格遵守我局各项规章制度,不应在有信息系统敏感信息的办公区域接待外部来访人员,外部人员访问我局重要区域(如机房等)前须进行审批,后由专人全程陪同或监督,并登记备案。
第三十四条网络信息安全岗位的人员离岗离职后,不得向第三方泄露单位相关信息。
相关的系统、设备密码要做改动,即时取消离职人员对系统的访问权限。
第三十五条网络信息安全人员内部调动至其他岗位,在接到岗位调动通知后,应于规定的日期内办理好工作及资料的移交手续后才能去新岗位报到。
第三十六条网络信息安全人员离职时,与同事进行工作移交时,需填写《工作交接单》,所有移交工作须有详细的书面记录,确保资料移交全面、移交后的工作能顺利进行。
第五章系统运维管理
第三十七条运维管理的基本任务:
1.进行信息系统的日常运行和维护管理,实时监控系统运行状态,保障系统正常运行;
2.迅速准确定位和排除各类故障,保障信息系统正常运行;
3.进行系统安全管理,保障信息系统的运行安全和信息的完整、准确。
第三十八条办公室负责组织信息系统维护技术培训,组织维护人员参加技术培训,提高维护人员管理和技术水平。
第三十九条办公室负责组织落实各项技术安全措施,确保信息系统安全稳定运行。
第四十条对于系统的所有维护(包括日常操作、故障处理、系统维护升级、数据的备份与恢复等)都必须填写运维记录。
第四十一条系统出现故障,信息系统维护人员首先进行处理,同时判断系统故障类型,故障处理应在要求的时限内完成。
第四十二条信息系统维护人员处理不成功或无法自行处理的,应向局领导进行报告,请求系统供应商提供相应技术支持。
第四十三条供应商技术人员现场处理故障时,维护人员应全程陪同并积极协助。
第四十四条信息安全应满足国家、行业和关于信息安全保密的各项规定及要求。
第四十五条若发生系统信息泄密事件,应及时向局领导和上级单位进行汇报,并按照关于信息安全相关管理制度要求开展补救工作。
第四十六条所有设备必须采取必要的安全措施,以保障设备和网络的安全及信息的安全。
在计算机上应安装防病毒软件,定期更新病毒库。
第四十七条设备管理和维护人员都应当熟悉并严格遵守和执行信息安全保密相关规定。
第六章软件使用者的权利和义务
第四十八条禁止职工使用会干扰或破坏网络上其它使用者的软、硬件系统。
第四十九条职工不得将单位授权软件私自拷贝、借于他人或私自将软、硬件带回家中。
第五十条软件使用人,对于使用软件不可盗卖、循私营利,若因此触犯著作权者或造成单位损失,则该职工应负刑事及民事之全部责任。
第五十一条尊重知识财产权,禁止下载XX的音乐、影片及软件。
第七章防病毒管理
第五十二条办公室负责全局病毒防治工作。
第五十三条病毒防治管理是计算机信息系统安全的一个重要组成部分,各股室(中心)应提高防范计算机病毒的安全意识,切实履行各项职责。
第五十四条网络管理员负责对计算机病毒防治工作进行部署、监管和指导。
第五十五条办公室负责建立《网络安全应急预案》和《安全事件报告和处置管理制度》,在重大病毒爆发时,负责组织和协调有技术资质的公司和县委网信办、公安局网安大队等研究应急方案并付诸实施,及时向上级部门反馈信息和处理结果。
第五十六条办公室负责组织计算机病毒防治培训和讲座,提高干部职工的病毒防治安全意识。
第八章防病毒软件的安装
第五十七条对新购进的计算机及设备,在安装完操作系统后,网络管理员要在第一时间内安装防病毒软件。
第五十八条没有安装防病毒软件的计算机不得接入到单位的网络中。
第五十九条防病毒软件的类型遵循单位统一原则,不得私自安装其他类型的防病毒软件。
第九章发现病毒后的措施
第六十条发现病毒后,应及时通知办公室或网络管理员,相关负责人应采取以下措施:
(一)隔离受感染主机:
当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,不应带"
毒"
继续运行;
对于重要服务器,要先确定被感染情况,不要盲目断网;
(二)确定病毒种类特征:
采用多种手段确定病毒的类型和传播途径,如查看防病毒软件的报警信息、搜索互联网相关信息、和防病毒厂商沟通等途径。
对于未知病毒,可以尽快提交给有关部门或厂商;
(三)防止扩散:
如果出现大面积传播的趋势,要根据病毒的传播形式,采取网络访问控制、内容过滤等手段控制病毒的扩散;
(四)查杀病毒:
尽量使用专杀工具对病毒进行查杀,完成后,重启计算机,再次用最新升级的防病毒软件检查系统中是否还存在该病毒,并确定被感染破坏的数据是否确实完全恢复。
(五)查找中毒原因,改进和完善防护措施。
第十章用户管理
第六十一条正确安装和使用本单位指定的计算机病毒防治产品,未经许可,不得随意卸载病毒防治产品。
第六十二条发生突发病毒事件应立即拔掉网线,应及时通知办公室或网络管理员。
第六十三条不得随意下载和运行未确定安全性的软件、程序和文档。
收到不明电子邮件,不得浏览和运行,以免感染计算机病毒。
杜绝病毒传播的各种途径。
光盘、U盘和移动硬盘等存储介质在使用前应进行病毒检测。
第十一章备份操作管理
第六十四条备份工作应由办公室安排备份管理人员和备份数据使用人员。
备份管理人员负责实施备份、恢复操作和登记工作,备份使用人员负责备份介质的取放、更换。
第六十五条数据被大规模更新前后,须对数据进行备份,在操作系统和应用程序发生重大改变前后,须对系统和应用程序进行备份。
第六十六条各股室专用软件和数据由计算机使用人定期备份。
第六十七条备份操作人员每次备份填写《数据库(数据)备份记录表》。
第六十八条备份对象发生变更后,应及时评估和调整备份策略。
第十二章备份介质的存放与管理
第六十九条备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠等要求。
无论是存放在何处,须确保存放场所的安全,只有授权人员才可以访问;
第七十条备份介质的存取应由备份使用人员负责,其他人员未经批准不能操作。
第七十一条存放备份的介质必须具有明确的标识;
标识必须使用统一的命名规范。
第七十二条所有备份介质一律不准外借,不准流出单位,除备份管理员任何人员不得擅自取用,若要取用须经办公室负责人批准,并签字确认。
借用人员使用完介质后,应立即归还。
由备份管理员检查,确认介质物理和数据完好无误,签字确认介质归还。
第七十三条备份介质要每3个月进行检查,以确认介质能否继续使用、备份内容是否正确。
一旦发现介质损坏,应立即更换,并对损坏介质进行销毁处理;
对超出保存期的数据可以进行冲洗。
第十三章产品采购管理
第七十四条产品采购严格执行询议价程序:
物品采购,必须有三家以上供应商提供报价,在权衡质量、价格、交货时间、售后服务、资质等因素的基础上进行综合评估,并与供应商进一步议定最终价格,临时性应急购买的物品除外。
第七十五条物品采购,必须经各股室负责人签字确认后,报局领导审批。
第七十六条采购人采购的物品或服务必须与采购单所列要求规格、型号、数量相一致。
第七十七条廉洁制度:
1.自觉维护单位利益,努力提高采购质量,降低采购成本;
2.加强学习,提高认识,增强法治观念;
3.廉洁自律,不向供应商伸手;
4.严格按照采购制度和程序办事,自觉接受监督;
5.工作认真仔细,不出差错,不因自身工作失误给单位造成损失。
第七十八条付款时必须索要发票,核对发票内容是否和合同一致。
付款相关资料交给出纳办理付款手续。
第七十九条货物出现质量问题后,相关股室提出意见,报局领导审核后交到办公室,办公室将相关情况以书面报供应商,要求供应商换货或退货。
第十四章安全测试管理
第八十条在项目实施完成后,由项目使用股室和项目开发承担公司共同组织进行测试,应包括以下安全性测试和评估要求:
1.配置管理:
系统开发公司应提供配置管理文档;
2.安装、生成和启动程序:
应制定安装、生成和启动程序,并保证最终产生安全配置;
3.安全功能测试:
对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计及总体安全方案;
4.系统管理员指南和用户指南:
系统开发公司应提供系统管理员指南和用户指南;
5.安全功能强度评估:
功能强度分析应说明以概率或排列机制实现的系统安全功能;
6.脆弱性分析:
应分析所采取的安全对策的完备性以及安全对策之间的依赖关系。
第八十一条测试完成后,系统开发公司应提交《测试报告》,其中应包括安全性测试和评估的结果。
第十五章机房设备管理
第八十二条机房管理人员应使用电子表格对机房内设备做好登记,记录现有设备的型号、配置、位置、状态等信息,以便跟踪设备变化。
第八十三条机房管理人员对机房设备的操作必须严格按照操作程序进行,并在《运维工作记录》做相应记录。
第八十四条机房内主机等设备的故障维修,必须于《机房设备故障记录表》做好故障维修登记,若涉及设备送修,须经办公室负责人或局领导同意。
第十六章机房进出规定
第八十五条机房钥匙由办公室保管,如果特殊情况需使用时须报办公室负责人同意。
第八十六条钥匙使用人不允许私配机房钥匙,无关人员不得借用机房钥匙,机房钥匙一旦遗失必须立即向办公室负责人报备。
第八十七条任何非机房管理人员需要进入机房,需填写《机房等重要区域出入审批登记表》,在办公室人员陪同下进入机房。
第八十八条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品,因工作需要使用时,必须向办公室负责人申请并做详细登记,严格执行操作规程,用后必须置于安全状态,妥善保管。
第八十九条进入机房人员应自觉遵守机房内各项管理规定,服从机房值班人员的管理,非经机房管理人员允许,不得擅自对机房设备进行操作。
工作完毕后应及时离开,离开机房时应主动接受机房值班人员的检查。
第九十条进入机房人员在工作完毕后,请认真检查自身携带物品是否收拾完毕,避免造成个人物品遗落机房。
第十七章机房卫生规定
第九十一条机房管理人员需要定期对机房进行打扫,保证机房内环境、设备的清洁。
第九十二条任何人不得将食物或饮料带入机房,任何人不得在机房内吃东西、吸烟、吐痰。
第十八章机房消防、安全管理
第九十三条机房应保持计算机设备正常运行所必须的温度、湿度等环境要求,安装温湿度检测监测,对运行环境可能出现的不利因素进行预警。
这些要求至少包括以下内容:
(一)安装24小时不间断空调系统,机房内保持一定的温度和湿度;
(二)安装湿度和温度显示装置;
(三)安装烟雾感应探测器和温度感应探测器;
(四)安装火灾报警和自动灭火系统;
(五)配备手动灭火器。
第九十四条机房应列为单位要害和重点防火部位,应严格按照相关国家标准安装配备。
足够数量的消防报警设备以及消防器材,机房工作人员要熟悉机房消防器材的存放位置及使用方法,定期检查更换。
第九十五条机房及其附近严禁吸咽、焚烧任何物品。
第九十六条机房应配备适当的不间断的电力供应,确保有足够的后备电力支持正常的系统应急操作;
每年对现有的不间断的电力供应设备进行检查与维护,确保设备的正常运作。
第九十七条机房管理人员要熟悉设备电源和照明用电以及其他电气设备总开关位置,掌握切断电源的方法与步骤,发现火情及时报告,采取有效措施及时灭火。
第十九章办公室环境管理
第九十八条办公室内保持干净整洁,办公区域不可接待外来人员,如工作需要,相关人员负责陪同。
第九十九条计算机使用者应当对口令严格保密,并至少每半年更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和特殊符号中至少3类混合组成。
第一百条计算机使用者离开座位时,要退出系统登陆或密码锁定终端,防止他人进入。
第一百零一条涉密或敏感信息要妥善保管,办公桌面不得放置包含敏感信息的纸档文件等资料。
不能因为方便而将相关密码信息贴在屏幕上或办公台上。
第一百零二条严禁私自使用他人的计算机,如工作需要,必须告知计算机使用人具体使用情况或由计算机使用人陪同使用。
第二十章服务外包管理
第一百零三条服务范围:
1.机房设备类:
服务器、交换机、路由器、存储系统、防火墙、UPS电源、防雷系统、制冷系统(空调)等;
2.视频系统:
视频会议系统、安防监控系统(保安室)的设备;
3.网络类:
综合布线。
4.办公设备类:
台式电脑、笔记本电脑、打印机、复印机、扫描仪、碎纸机;
5.会标系统:
办公楼三楼会议室、办公楼七楼大会议室;
6.其它。
第一百零四条职责与分工:
1.办公室负责人提交外包服务采购请求,需明确服务标准和质量要求,在外包服务结束前按要求对外包服务进行要收;
2.办公室负责人负责外包管理涉及的成本、人力资源、质量等项内容,并进行各阶段验收等工作,确保外包服务顺利完成;
3.财务人员按照惯例要求进行合同签署审核及付款审核。
第一百零五条外包管理流程:
外包管理应按照选择供应商、签订合同、过程监控、验收及服务与维护管理等规定程序办理。
第一百零六条外包管理审批流程:
1.外包供应商采用多家报价,择优选择的方式来确定供应商;
2.在外包管理过程中,相关负责人需定期对外包项目的进展和质量检查,督促外包供应商纠正工作偏差。
如果需要更改合同、产品需求,则按照相关变更控制规程处理;
3.办公室应组织对外包供应商交付的产品或服务进行验收,验收可邀请使用部门参与。
第二十一章网络安全事件监测和处置
第一百零七条网络安全事件定义:
1.网络突然发生中断,如停电、线路故障、网络通信设备损坏等;
2.网络受到黑客攻击;
3.服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
第一百零八条事件监测与处置
按照“谁主管谁负责、谁使用谁负责”的要求,组织对本单位建设运行的网络和信息系统开展监测工作。
1.及时发现、及时报告,在发现事件后第一时间向领导汇报;
2.保护现场,立即断网隔离,防止事态扩大;
3.及时取证分析、查找原因;
4.消除有害信息,防止进一步传播,将事件的影响降到最低;
5.在处置过程中,任何单位和个人不得保留、存储、散布、传播所发现的有害信息;
6.追究相关责任:
根据实际情况提出口头警告、书面警告。
停止使用网络,情节严重和后果影响较大者,提交国家司法机关处理,追究股室负责人和直接责任人的行政或法律责任。
第一百零九条事件报告与处置
事件发生并确认后,有关人员应立即将情况报告有关领导,由领导指挥处置网络安全事件。
应及时向网信办、公安网安大队报案。
阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
升级会员 