计算机信息系统安全管理制度.docx
《计算机信息系统安全管理制度.docx》由会员分享,可在线阅读,更多相关《计算机信息系统安全管理制度.docx(15页珍藏版)》请在冰点文库上搜索。
计算机信息系统安全管理制度
计算机信息系统安全管理制度
总则
第一条为加强我院网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本我院实际情况,特制订本制度。
第二条计算机信息系统是指由计算机及其相关的和配套的设施、设备(含网络设施、设备)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条我院设立信息安全监督委员会,分别由分管信息化副院长各职能部门负责人员组成,信息安全监督委员会的职责为制定适应于配合我院信息化战略发展计划制订相应的安全策略,并对我院的信息系统运作环境的安全进行监控、检查和重要事项的审批。
第四条为加强信息安全监督工作的统一领导、综合部署。
成立信息安全监督委员会领导小组(以下简称“领导小组”)。
领导小组组长由院长担任,副组长由党委书记担任,成员为院领导班子其它成员。
领导小组是信息安全工作的最高决策机构,负责信息安全工作中重大事项的决策和审批。
第五条领导小组下设信息安全监督委员会工作小组(以下简称“工作小组”),工作小组组长由院分管信息化建设的副院长担任,副组长由安全管理主任担任,成员为院相关职能部门负责人等。
工作小组是信息安全监督工作的执行机构,具体负责信息安全监督工作的实施和管理。
工作小组下设专业小组。
第六条专业小组工作职责
(一)信拥有域管理员权限及各信息系统管理权限。
(二)负责信息系统故障排除工作,确保故障点在最短时间内得到恢复。
(三)我院信息系统安装、调试、培训工作。
(四)我院服务器病毒软件的安装及升级;服务器的维护工作。
(五)所有设备资料和介质管理。
(六)负责我院关键数据和信息的备份工作,并做好保密工作。
(七)做好相应的日志记录工作。
(八)负责网络流量的统计和分析(即统计用哪些用户使用网络、传输多少数据、访问什么资源以及各类资源的利用情况)工作。
(九)负责网络故障排除工作,确保故障点在最短时间内得到恢复。
(十)我院网站管理和上网安全管理。
(十一)网络布线设计工作、网络整改设计工作等
(十二)负责信息化建设各存档档案的整理、保存。
(十三)领导交办的其它工作。
第七条信息安全监督委员会岗位职责
(一)负责结合我院将来业务发展方向和实际需求,定期与我院保持沟通,根据我院信息化战略和中长期发展规划以及制定相应的安全方针、决策和预算。
(二)信息安全监督委员会负责进行沟通制定我院的信息化可持续发展安全方面的方案。
(三)信息安全监督委员会负责每三个月一次对各信息系统安全状况进行检查,包括我院信息数据备份,灾难演练,网络安全等,实际的记录和执行的情况。
(四)信息安全监督委员会负责对我院网络安全日志数据备份日志,服务器系统日志,财务软件等大型应用软件的服务日志进行定期检查。
(五)信息安全监督委员会负责对我院战略级的软硬件的采购或升级的审批。
(六)信息安全监督委员会负责大型应用软件的操作流程变更、模块更改的审批。
第一章 网络管理
第一条遵守国家有关法律、法规,严格执行安全保密制度。
由于工作的需要我院各部室的部分电脑开通了外网,上网时不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
禁止浏缆色情、反动的网页。
第二条各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、使用带U盘等介质时一定要先进行查杀毒处理。
第三条任何员工不得制造或者故意传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
第四条我院员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。
第五条计算机各终端用户应保管好自己的用户帐号和密码。
严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录各个信息系统。
第六条我院采用硬件防火墙,对局域网用户只开启工作需要的网络服务,如HTTP/POP3/SMTP等,针对局域网内终端制订相应的防火墙策略和上网行为管理策略。
第七条服务器超级管理员账号、数据库连接账号、用友U9超级管理员账号、协同OA系统管理员账号由企业发展部统一设置,信息安全监督委员会监督,密码强度必须达到规定标准并定期更换密码。
第八条我院服务器超级管理员账号和密码必须告知企业发展部主任和信息安全监督委员会工作小组组长。
企业发展部主任和信息安全监督委员会工作小组组长不可用超级管理员权限行使信息系统管理工作,只对日常信息管理工作监督和日志监控负责。
如需变更超级管理员账号或密码必须系业发展部两人同时在场更改,并填写《信息系统超级管理员账号记录表》由两人同时签字认可。
《信息系统超级管理员账号记录表》必须一式两份,由两位超级用户管理员同时保存。
企业发展部主任或信息安全监督委员会主任如遇调离等特殊情况必须填写《工作联系函》,由另一位超级管理员变更密码,并签字认可后,交由人力资源处才可为其办理离职手续。
信息安全监督委员会必须在超级管理员离职后三天内及时指定新的企业发展部主任或者信息安全监督委员会主任行使职责。
第九条用友U9ERP系统的帐户和密码的管理由财务部门负责制定,并根据实际情况,由财务部门决定对帐户及密码进行更换和注销;用友U9ERP的帐户密码长度不得少于8位必须包含大小写和特殊符号,每一个月更改一次密码,由财务经理进行监督和检查,具体的设置要求见《附件:
财务制度》,企业发展部提供必要的支持和技术上的协助。
第十条协同OA系统的帐户和密码的管理由各实体部门指定协管人负责管理,并根据实际情况,由各实体协管员决定对帐户及密码进行更换或者注销(职能部门由企业发展部进行更换或者注销);协同OA系统的帐户密码长度不得少于6位,每一个月更改一次密码,由企业发展部和各实体协管员进行监督和检查,具体的设置要求和监督办法见《附件:
协同办公自动化系统管理办法》。
第二章 软硬件设备管理
第一条我院信息化战略发展需求的硬件采购(如服务器、核心交换机等大型设备)由企业发展部填写《设备购置审批单》提出申请,报批信息安全监督委员会确认通过后采购。
第二条司信息化战略发展需求的的大型应用软件的购买需求和升级需求由企业发展部填写《应用软件添置升级申请表》提出申请,报批信息安全监督委员会确认通过后采购。
第三条大型应用软件的使用流程变更或功能模块更改变更,由各使用部门向信息系统或大型软件的归口管理部门提出申请,由各分管职能部门鉴定可行性,报批信息安全监督委员会确认后执行,由企业发展部协助操作。
第四条信息设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到使用部门)。
各部门或实体单位自行购买的设备,原则上由各部门或实体自行负责,但若有需要,企业发展部可提供技术支持。
第五条严禁使用假冒伪劣产品;严禁擅自改动网络线路;严禁擅自移动和装拆各类网络设备及其他辅助设备,严禁擅自调整部门内部计算机信息系统的安排。
第三章 数据安全管理
第一条凡涉及我院机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
第二条对于我院的重要数据(如U9ERP数据),要求企业发展部每周对重要的信息系统数据进行备份。
在服务器系统上采取完全备份的方式备份数据于存储上;将数据资料刻录成两份光盘,一份存放于二郎中心机房,另一份根据异地灾备需要存放在上桥中心机房。
第三条对于我院信息系统的普通性数据(如DHCP服务器数据等),采取每月定期备份一次,备份的数据妥善存放于存储之上,具体操作由企业发展部根据工作情况自行制定。
第四条企业发展部负责整个内部网络系统进行维护。
对于网络运行
状况、网络稳定性、我院数据库安全进行每月一次清查并记录;对于各计算机本地操作系统稳定性以及安全性每隔六月进行一次检查并记录;并将记录登记于《信息系统检查维护记录表》,并定期将记录季度上报信息安全监督委员会。
审阅。
第四章 操作管理
第一条对计算机或网络的使用严格遵守《计算机信息网络管理办法》的规定。
第二条企业信息系统在出现突发故障情况下,保证最短时间内恢复信息系统正常运行严格遵循《企业信息系统的灾难可持续经营应急预案》见附件
第三条对各信息系统(如协同OA系统、U9ERP系统)的使用严格遵循各信息系统管理管理办法(如《协同办公自动化系统管理办法》、《U9ERP系统管理办法》)的要求。
第五章 网站管理
参照《网站管理办法》我院官方网站由企业发展部提供技术支持和后台管理,由我院相关部门负责本部门相关内容的收集、整理、审核、更新等功能。
第六章 灾难恢复
为了保证系统网络系统的安全、稳定运行,防止由于人为原因或者不可抗力造成的系统瘫痪或部分文件丢失情况的发生。
灾难恢复措施在整个网络安全策略中占有重要的地位。
它关系到系统在经历灾难后能否迅速恢复,关系到系统网络系统的正常运转问题,因此必须引起高度的重视。
第一条我院信息安全监督委员会负责制定《企业信息系统的灾难可持续经营应急预案》,信息管理中心负责提供相应的IT备份数据和必要的硬件和软件支持。
灾难发生后,信息中心经理必须在第一时间内向信息安全监督委员会汇报情况。
信息安全监督委员会必须在第一时间内召集相关部门。
针对具体情况来决定执行具体的应急预案,详见附件《企业信息系统的灾难可持续经营应急预案》。
第二条中心机房配备UPS不间断电源,至少能保持各服务器两小时的不间断电源供应。
对于我院各信息系统的重要数据采取双份完全备份(一份在服务器,一份在存储),以保障个信息系统在服务器损坏,以及天气或者自然灾害等人为或非人为的灾难事故后的重要数据的完整性,能及时快速的恢复数据。
第三条对于我院服务器以及数据存储单元,采用在文件服务器上外接存储系统进行备份,服务器上的数据通过系统自带的备份程序实行自动实行每天备份,以保证服务器甚至UPS同时出现故障后重要数据最大限度的保存完整性.实行定期的备份数据还原测试,验证备份数据的可靠性和完整性。
第四条对于中心机房安全采取多种保护措施,设立独立的降温和通风系统、设立七氟丙烷灭火装置、7*24小时监控、防鼠害防虫害等措施。
将机房舍设立在离地面5米以上的楼层,保证机房不受暴雨、洪灾、雪灾的影响。
按照房屋建设标准的抗震能力是在7度烈度地震(相当于里氏5.5级地震)以下机房不受损坏。
中心机房钥匙由企业发展部负责保管,进出机房由企业发展部审核批准,非企业发展部人员进出机房由企业发展部人员陪同进出,所有进出人员需在《机房进出登记表》上登记进出时间和事由等信息。
第七章 处罚措施
参见《计算机信息网络管理办法》、《网站管理办法》
第八章 附则
本制度由我院企业发展部负责解释.
本制度自发布之日起实施.
《企业信息系统的灾难可持续经营应急预案》
[2012]85号:
《计算机信息网络管理办法》
[2012]85号:
《协同办公自动化系统管理办法》
[2012]85号:
《网站管理办法》
附件:
中煤科工集团重庆研究院有限我院
企业信息系统的灾难可持续经营应急预案
一、设立企业信息系统的灾难可持续经营应急预案的意义
企业信息系统的灾难可持续经营应急预案是保障企业信息系统在出现突发故障情况下,保证最短时间内恢复信息系统正常运行,避免企业出现长时间通信障碍的重要方案。
制定企业信息系统灾难可持续经营应急预案可使信息管理人员在遇到突发故障时,做到心里有数、手上有据可查,有规律,按步骤的解决问题。
同时可提高设备、端口、线路等资源的利用效率,优化调整网络线路和网络资源的比例关系。
日常工作中,加强应急抢修预案的管理和使用,并根据实际情况进行调整和修改,可以促进维护工作的规范化和有序化。
二、应急抢修中应该遵守的基本原则
1、现有网络资源要保障企业信息系统应急线路调度需要,应急方案中涉及的备用线路、端口一般情况不允许占用。
2、当需要对应急方案进行更改或临时应急使用时,应提前将变更的具体情况、原因报信息安全监督委员会,批准后方可使用。
3、日常工作中,必须加强对企业信息系统所属网络设备及线路的监控和维护工作,排除故障隐患,确保用户线路安全可靠的运行。
4、在企业信息系统发生障碍时,各相关部门都应积极主动、全力配合信息安全监督委员会工作部署,检修故障,准确分清故障段落,迅速调度备用线路(设备),把故障时间缩短到最低。
5、严格执行维护规程有关障碍处理规定,进行障碍处理,直至完全排除故障。
6、严格执行故障上报制度。
企业信息系统因设备、技术等原因短时间无法排除障碍的,需立即上报。
7、在灾难事故后一切按照信息中心调度指挥。
各部门要密切协作配合,必要时提供备件、人员支持。
故障处理过程中,凡抢修小组成员必须服从组长和抢修领导小组的指挥调度,不得以任何理由推诿和延误。
三、灾害可持续经营应急小组成员及职责
1、企业信息系统应急抢修小组成员
执行小组监管机构:
信息安全监督委员会
执行小组组长:
XXX
执行小组组员:
XXX
2、企业信息系统应急抢修小组成员职责
信息安全监督委员会职责:
负责与管理层沟通,就灾害损失情况,应急处理方案,以及灾害恢复的时间进行汇报,并领导信息抢修小组工作。
信息系统应急抢修执行小组组长职责:
负责企业信息系统故障处理的全过程管理,并对处理结果负责。
执行小组组长有权根据抢修实际需要,指挥各小组成员的抢修工作。
凡执行小组成员必须服从组长的调度安排。
负责调度备件、人员支持,协作和配合处理故障,不得以任何理由推诿和延误故障处理。
信息系统应急抢修执行小组组员职责:
根据执行小组组长和副组长的安排,负责故障受理、故障原因判断和故障排除工作,并向执行小组组长或副组长及时汇报故障处理情况。
四、灾害前企业信息系统网络结构图
五、企业信息系统应急故障处理必备软硬件设备。
硬件:
笔记本电脑、测线仪、UPS电源、五金工具、备用网线、水晶头等。
软件:
各种信息系统光盘,软件检测工具盘、硬件检测工具盘等
六、企业信息系统应急故障处理预案启动条件
灾害等级A:
定义:
硬件无损坏,系统临时因不明原因暂时停止工作。
例如:
1、内网因不明原因中断30分钟以上.
2、节点设备阻断
3、机房中心因故障中断工作等
灾害等级B:
定义:
信息系统因已知原因造成较大范围的软硬件损坏,并在短时间工作恢复困难。
例如:
1、文件服务器出现重大故障
2、域服务器系统严重报错,
3、光纤通信阻断
4、自然灾害或电源中断等原因引起的通信阻断等
灾害等级C
例如:
信息系统因不可抗拒灾害造成绝大部分的系统或核心服务器的损坏并瘫痪,无法继续正常使用信息系统的状况。
例如:
1、机房由于电路短路等原因,引起机房起火导致服务器受损。
2.地震,战争造成信息中心极大硬件破坏。
不同灾害等级启动不同的可持续经营应急流程:
灾害等级A启动可持续应急流程A
灾害等级B启动可持续应急流程B、
灾害等级C启动可持续应急流程C
七、企业信息系统应急故障处理流程:
灾害等级A启动可持续应急流程A
1:
发生灾难等级A事故后,企业发展部应该立即组织相关人员到达现场
2:
应及时定位发生故障的位置,对本地故障,查明故障原因。
3:
企业发展部带领抢修小组人员确定维修方案并估算维修时间。
并提出应急我院信息使用方案。
并将方案评估结果提交信息安全监督委员会。
4:
组织抢修人员应立即采取措施加以解决;如果是外网的设备故障应立即向服务商通告,并配合解决;如果是传输故障,立即对线路进行排查,尽快解决。
5:
故障排除后,信息中心经理记录故障原因,时间,解决结果记录于灾难应急故障处理记录表,上报信息安全监督委员会备案。
6:
企业发展部需对故障原因做出总结分析,并在必要情况下,提交信息管理建议避免类似事件再次发生。
灾害等级B启动可持续应急流程B
1:
当发生灾难等级B事故后,企业发展部应立即向信息安全监督委员会报告,信息安全监督委员会应该立即组织相关人员第一时间赶到现场。
2:
由信息安全监督委员会牵头指挥灾难抢修,企业发展部应立即诊断事故原因,判定事故故障是软件还是硬件,并向信息安全监督委员会汇报结果。
3:
信息安全监督委员会根据结果决策故障排除处理意见,并将结果书面通知我院董事会。
4:
信息安全监督委员会有权根据灾难情况,批驳人民币5万元以下经费进行我院信息系统抢修。
5:
信息安全监督委员会在企业发展部的建议下决定是否启动备用服务器,是否还原数据到备用服务器。
是否重新更换核心硬件设备。
6:
企业发展部负责如实汇报现场情况,并做出处理意见,执行信息安全监督委员会做出的处理决定,并且上报处理的结果。
7:
故障排除后,企业发展部记录故障原因,时间,解决结果记录于灾难应急故障处理记录表,上报信息安全监督委员会备案。
8:
企业发展部需对故障原因做出总结分析,并在必要情况下,提交信息安全监督委员会建议避免类似事件再次发生。
9:
信息安全监督委员会有义务将整个事件出具报告提交我院董事会并存档保留。
灾害等级C启动可持续应急流程C:
1:
当发生灾难等级C事故后,信息中心经理应立即向信息安全监督委员会报告,信息安全监督委员会应该立即汇报分管副院长并立即组织相关人员第一时间赶到现场。
2:
当发生灾难等级C事故后,分管副院长应立即向董事会汇报灾难的具体情况。
3:
企业发展部汇报灾难情况,以及数据恢复可行性。
信息安全监督委员会制定抢修数据方案,在分管副院长的授权下,执行相应的数据抢修处理方案,
4:
企业发展部将数据抢修结果以及故障原因向副总经理以及信息安全监督委员会做出汇报。
如果是出现企业因电路原因或辖区大面积的停电,导致机房服务器故障停止服务,信息中心应立即通知后勤部,组织相关人员进行处理,及时恢复对机房的电力供应,保证服务器的正常运作。
5:
对于抢修后的重要数据交由信息安全监督委员会妥善保管。
6:
分管副院长有权限现场批驳10万元以下的抢救资金进行抢修处理费用。
7:
由分管副院长和信息安全监督委员会一同向董事会出具灾难处理报告,并制定灾后重建计划。
现欠缺表单
《信息系统超级管理员账号记录表》
信息系统超级管理员账号记录表
序号
系统名称
管理员账户
密码
责任人
联系电话
备注
1
2
3
4
5
《工作联系函》
工作联系函
姓名
职务
离职时间
手机:
固话:
曾管理系统
序号
管理时间
系统名称
用户名
密码
备注
1
2
3
4
5
《信息系统检查维护记录表》
信息系统检查维护记录表
年月
序号
时间
巡检系统名称
服务器情况
巡检情况
巡检人
备注
1
2
3
4
《机房进出登记表》
二郎中心机房进出登记表
年月
序号
时间
进入原因
外来人员
联系电话
陪同人
备注
1
2
3
4
上桥中心机房进出登记表
年月
序号
时间
进入原因
外来人员
联系电话
陪同人
备注
1
2
3
4
5
升级会员 