信息安全管理制度[集合15篇]
在日新月異的現(xiàn)代社會中,制度起到的作用越來越大,制度具有使我們知道,應(yīng)該做什么,不應(yīng)該做什么,懲惡揚善、維護公平的作用。擬定制度的注意事項有許多,你確定會寫嗎?下面是小編為大家收集的信息安全管理制度,歡迎閱讀,希望大家能夠喜歡。
![信息安全管理制度[集合15篇]](https://p.9136.com/00/l/d6c6b6c803_6136d9e1da57e.jpg)
信息安全管理制度1
第一節(jié)總則
1、為加強醫(yī)院信息技術(shù)外包服務(wù)的安全管理,保證醫(yī)院信息系統(tǒng)運行環(huán)境的穩(wěn)定,特制定本制度。
2、本制度所稱信息技術(shù)外包服務(wù),是指醫(yī)院以簽訂合同的方式,托付擔(dān)當(dāng)信息技術(shù)服務(wù)且非本醫(yī)院所屬的專業(yè)機構(gòu)供應(yīng)的信息技術(shù)服務(wù),主要包括信息技術(shù)詢問服務(wù)、運行維護服務(wù)、技術(shù)培訓(xùn)及其它相關(guān)信息化建設(shè)服務(wù)等。
3、安全管理是以平安為目的,進行有關(guān)安全工作的方針、決策、安排、組織、指揮、協(xié)調(diào)、限制等職能,合理有效地運用人力、財力、物力、時間和信息,為達(dá)到預(yù)定的平安防范而進行的各種活動的總和,稱為安全管理。
4、外包服務(wù)安全管理遵循關(guān)于平安的全部商業(yè)準(zhǔn)則及適當(dāng)?shù)耐獠糠伞⒎ㄒ?guī)。
5、外包服務(wù)包括信息技術(shù)詢問服務(wù)、運行維護服務(wù)、技術(shù)培訓(xùn)等。
6、詢問服務(wù):
6.1依據(jù)醫(yī)院的信息化建設(shè)總體部署,幫助醫(yī)院制定切實可行的技術(shù)實施方案。
6.2對醫(yī)院現(xiàn)有的信息技術(shù)基礎(chǔ)架構(gòu)、設(shè)備運行狀態(tài)和應(yīng)用狀況進行診斷和評估,提出合理化的解決方案。
6.3依據(jù)醫(yī)院的實際狀況提出備份方案和應(yīng)急方案。
6.4其它信息技術(shù)詢問服務(wù)。
7、運行維護服務(wù):
7.1軟硬件設(shè)備安裝、升級服務(wù)。
7.2硬件設(shè)備的修理和保養(yǎng)。
7.3依據(jù)醫(yī)院業(yè)務(wù)改變,供應(yīng)應(yīng)用系統(tǒng)功能性的'需求解決方案及執(zhí)行服務(wù)。
7.4系統(tǒng)定期巡檢和整體性能評估。
7.5日常業(yè)務(wù)數(shù)據(jù)問題的處理服務(wù)。
7.6其它運行維護服務(wù)。
8、技術(shù)培訓(xùn):依據(jù)醫(yī)院的實際狀況,供應(yīng)相關(guān)的技術(shù)培訓(xùn)。
第二節(jié)外包服務(wù)安全管理
9、外包服務(wù)安全管理應(yīng)根據(jù)“平安第一、預(yù)防為主”的原則,實行科學(xué)有效的安全管理措施,應(yīng)用確保信息安全的技術(shù)手段,建立權(quán)責(zé)明確、覆蓋信息化全過程的崗位責(zé)任制,對信息化全過程實行嚴(yán)格監(jiān)督和管理,確保信息安全。
10、成立由分管領(lǐng)導(dǎo)同志信息化外包管理組織,明確信息化管理的部門、人員及其職責(zé)。
11、建立信息建設(shè)平安保密制度,與外包服務(wù)方簽訂平安保密協(xié)議或合同,明確符合安全管理及其它相關(guān)制度的要求。并對服務(wù)人員進行平安保密教化。
12、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質(zhì)管理等操作規(guī)程或規(guī)章制度。
13、外包服務(wù)方的人員素養(yǎng)、技術(shù)與管理水平能夠滿意擬擔(dān)當(dāng)項目的要求,進行相應(yīng)的平安資質(zhì)管理。
14、信息中心配備專人負(fù)責(zé)平安保密工作,負(fù)責(zé)日常信息安全監(jiān)督、檢查、指導(dǎo)工作。對服務(wù)方供應(yīng)的服務(wù)進行平安性監(jiān)督與評估,實行平安措施對訪問實施限制,出現(xiàn)問題應(yīng)遵照合同規(guī)定剛好處理和報告,確保其供應(yīng)的服務(wù)符合醫(yī)院的內(nèi)部限制要求。
15、對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運行的平安狀況應(yīng)定期進行評估,當(dāng)出現(xiàn)重大平安問題或隱患時應(yīng)進行重新評估,提出改進看法,直至停止外包服務(wù)。
16、運用外包服務(wù)方設(shè)備的,對其進行必要的平安檢查。
17、在重要平安區(qū)域,對外部服務(wù)方的每次訪問進行風(fēng)險限制;必要時應(yīng)外部服務(wù)方的訪問進行限制。
第三節(jié)附則
18、本制度由信息中心負(fù)責(zé)說明。
19、本制度自發(fā)布之日起生效執(zhí)行。
信息安全管理制度2
信息安全管理制度
總則
為加強我院計算機和網(wǎng)絡(luò)的穩(wěn)定,充分發(fā)揮醫(yī)院計算機設(shè)備及網(wǎng)絡(luò)的工作效率,保障醫(yī)院計算機和網(wǎng)絡(luò)的安全運行,特制定本管理規(guī)定。具體內(nèi)容如下:
第一章 計算機安全管理
1、醫(yī)院計算機操作人員必須按照計算機正確的使用方法操作計算機系統(tǒng).嚴(yán)禁暴力使用計算機或蓄意破壞計算機軟硬件. 2、未經(jīng)許可,不得擅自拆裝計算機硬件系統(tǒng),若須拆裝,則通知網(wǎng)絡(luò)管理技術(shù)人員進行.
3、計算機的軟件安裝和卸載工作必須由網(wǎng)絡(luò)管理員進行。
4、計算機的使用必須由其合法授權(quán)者使用,未經(jīng)授權(quán)不得使用. 5、醫(yī)院計算機僅限于醫(yī)院內(nèi)部工作使用,原則上不許接入互聯(lián)網(wǎng)。因工作需要接入互聯(lián)網(wǎng)的,需書面向醫(yī)務(wù)科提出申請,經(jīng)簽字批準(zhǔn)后交網(wǎng)絡(luò)管理員負(fù)責(zé)接入。接入互聯(lián)網(wǎng)的計算機必須安裝正版的反病毒軟件。并保證反病毒軟件實時升級。
6、醫(yī)院任何科室如發(fā)現(xiàn)或懷疑有計算機病毒侵入,應(yīng)立即斷開網(wǎng)絡(luò),同時通知網(wǎng)絡(luò)管理員負(fù)責(zé)處理。網(wǎng)絡(luò)管理員應(yīng)采取措施清除,并向主管院領(lǐng)導(dǎo)報告?zhèn)浒浮?/p>
7、醫(yī)院計算機內(nèi)不得安裝游戲、即時通訊等與工作無關(guān)的軟件,盡量不在院內(nèi)計算機上使用來歷不明的`移動存儲工具。
8、未經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn),任何人不得改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),網(wǎng)絡(luò)設(shè)備的布置和參數(shù)的配置。
網(wǎng)絡(luò)使用人員行為規(guī)范
1、不得在醫(yī)院網(wǎng)絡(luò)中制作、復(fù)制、查閱和傳播國家法律、法規(guī)所禁止的信息。
2、不得在醫(yī)院網(wǎng)絡(luò)中進行國家相關(guān)法律法規(guī)所禁止的活動。 3、未經(jīng)允許,不得擅自修改計算機中與網(wǎng)絡(luò)有關(guān)的設(shè)置。 4、未經(jīng)允許,不得私自添加、刪除與醫(yī)院網(wǎng)絡(luò)有關(guān)的軟件。 5、未經(jīng)允許,不得進入醫(yī)院網(wǎng)絡(luò)或者使用醫(yī)院網(wǎng)絡(luò)資源。 6、未經(jīng)允許,不得對醫(yī)院網(wǎng)絡(luò)功能進行刪除、修改或者增加. 7、未經(jīng)允許,不得對醫(yī)院網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加.
8、不得故意制作、傳播計算機病毒等破壞性程序。 9、不得進行其他危害醫(yī)院網(wǎng)絡(luò)安全及正常運行的活動。
第二章網(wǎng)絡(luò)硬件的管理
網(wǎng)絡(luò)硬件包括服務(wù)器、路由器、交換機、通信線路、不間斷供電設(shè)備、機柜、配線架、信息點模塊等提供網(wǎng)絡(luò)服務(wù)的設(shè)施及設(shè)備。 1、各職能部門、各科室應(yīng)妥善保管安置在本部門的網(wǎng)絡(luò)設(shè)備、設(shè)施及通信。
2、 不得破壞網(wǎng)絡(luò)設(shè)備、設(shè)施及通信線路。由于事故原因造成的網(wǎng)絡(luò)
連接中斷的,應(yīng)根據(jù)其情節(jié)輕重予以處罰或賠償。
3、 未經(jīng)允許,不得中斷網(wǎng)絡(luò)設(shè)備及設(shè)施的供電線路。因生產(chǎn)原因必
須停電的,應(yīng)提前通知網(wǎng)絡(luò)管理人員。
4、 不得擅自挪動、轉(zhuǎn)移、增加、安裝、拆卸網(wǎng)絡(luò)設(shè)施及設(shè)備。特殊
情況應(yīng)提前通知網(wǎng)絡(luò)管理員,在得到允許后方可實施。 5、 各科主任指定本科室工作站的計算機由專人管理,并把管理人員的名字連同管理機的機器號報到信息中心,由計算機中心做統(tǒng)一登記。
6、 各科室交換機、路由器設(shè)備由科主任、護士長監(jiān)督管理,不得讓
其它電腦任意接入院內(nèi)網(wǎng)絡(luò)。
7、 在各科工作站計算機上,除了醫(yī)院指定用系統(tǒng)外上不得安裝運行
任何程序及游戲,不得私自卸載任何軟件,不得私自存儲任何文件,不得任意外接任何設(shè)備(如U盤、移動硬盤、移動光驅(qū)、藍(lán)牙等),不得私自更換計算機及網(wǎng)絡(luò)設(shè)備,必須保證各工作站的單一工作姿態(tài),計算機中心將不定期檢查,如果發(fā)現(xiàn)將追究管理計算機指定人員的責(zé)任并上報醫(yī)院給予行政和經(jīng)濟處罰或回收電腦使用權(quán).
8、各科室計算機禁止無關(guān)人員在工作站上進行系統(tǒng)操作,實習(xí)生須在代教醫(yī)生的指導(dǎo)下才可以使用計算機,代教醫(yī)生不得為自己方便私自讓實習(xí)生單獨為病人做開醫(yī)囑等的系統(tǒng)操作,實習(xí)生不可單獨使用計算機。任何操作員離開計算機后必須先退出系統(tǒng), 下班后必須關(guān)閉計算機,或做好交班工作。
9、計算機操作員(醫(yī)生、護士)不得將其本人系統(tǒng)操作密碼任意告訴其它人,包括實習(xí)生。
10、當(dāng)計算機出現(xiàn)故障時,操作員應(yīng)該積極主動的配合維修人員,盡快的恢復(fù)工作狀態(tài)。
11、計算機出現(xiàn)故障后,當(dāng)維修人員檢查出是人為破壞或操作失誤等情況后,維修人員需把情況向計算機所屬部門的科主任匯報,并要求科主任提出處理意見。
12、各科室必須嚴(yán)格保證計算機周圍衛(wèi)生、通風(fēng)情況,不得亂放雜物
在計算機周圍,愛護計算機,讓水、強磁性物品、零食等遠(yuǎn)離計算機。
13、電腦或網(wǎng)絡(luò)出現(xiàn)故障后應(yīng)及時報告網(wǎng)絡(luò)管理辦公室安排處理,不得擅自拆卸機箱和插拔網(wǎng)線。
14、各科室負(fù)責(zé)人要加強對本科室計算機的使用管理,如操作人員違反制度,造成不良后果的,除追究當(dāng)事人責(zé)任外,還要追究科室負(fù)責(zé)人的責(zé)任。
15、在接入電腦的電路上不得任意接入其它任何電器,以防止以外發(fā)生。
第三章 軟件及信息安全
1、未經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn),任何人不得改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),網(wǎng)絡(luò)設(shè)備的布置和參數(shù)的配置。
2、不得在醫(yī)院局域網(wǎng)上利用計算機技術(shù)侵占其它用戶的合法利益,不得制作、復(fù)制和傳播妨害醫(yī)院穩(wěn)定的有關(guān)信息。
3、禁止在醫(yī)院局域網(wǎng)上制造傳播計算機病毒木馬,不得故意引入計算機病毒木馬。
4、在工作時間內(nèi),不得在計算機上打游戲、聽歌、看電視、下載、偷菜、隨意安裝軟件
5、愛護計算機,下班請按時關(guān)閉電腦.
6、計算機等辦公設(shè)施均由專人使用負(fù)責(zé),使用人應(yīng)加以愛護,如系人為損壞,則由使用人負(fù)責(zé)承擔(dān)維護費用。
7、計算機及外設(shè)所配軟件及驅(qū)動程序交網(wǎng)絡(luò)管理人員保管,以便統(tǒng)一維護和管理。
8、管理系統(tǒng)軟件由網(wǎng)絡(luò)管理員按使用范圍進行安裝,其他任何人不得安裝、復(fù)制、傳播此類軟件。
9、 網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息的使用權(quán)限由網(wǎng)絡(luò)管理員按醫(yī)院的有關(guān)規(guī)定予以分配,任何人不得擅自超越權(quán)限使用網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息。
10、網(wǎng)絡(luò)的使用人員應(yīng)妥善保管各自的密碼及身份認(rèn)證文件,不得將密碼及身份認(rèn)證文件交與他人使用。
11、任何人不得將含有醫(yī)院信息的計算機或各種存儲介質(zhì)交與無關(guān)人員,更不得利用醫(yī)院數(shù)據(jù)信息獲取不正當(dāng)利益。
信息安全管理制度3
第一條、“信息系統(tǒng)平安保密”是一項常抓不懈的工作,每名系統(tǒng)管理員都必需提高信息安全保密意識,充分相識到信息安全保密的重要性及必要性。對重要系統(tǒng)的系統(tǒng)崗位員工進行信息系統(tǒng)平安保密培訓(xùn)。
第二條、實行信息發(fā)布責(zé)任追究制度,全部信息的發(fā)布必需按規(guī)定辦理審核、審簽手續(xù),必需真實有效且符合中華人民共和國法規(guī)。涉及國家及公司機密的信息系統(tǒng)必需與內(nèi)部網(wǎng)和互聯(lián)網(wǎng)實施物理隔離,嚴(yán)格執(zhí)行上網(wǎng)信息的審查制度和涉及國家隱私的信息不得在企業(yè)內(nèi)網(wǎng)發(fā)布的規(guī)定,杜絕泄密事務(wù)的發(fā)生。凡發(fā)布虛假、反動、色情、泄密等內(nèi)容,追究信息報送和審核者責(zé)任,對公司造成重大經(jīng)濟損失,將追究責(zé)任人相應(yīng)的法律責(zé)任。
第三條、信息系統(tǒng)管理權(quán)限從平安級別上分為絕密、機密、隱私;從適用對象上分為高級管理員、系統(tǒng)管理員、高級用戶、中級用戶、一般用戶、特別用戶;從操作承載體上分為服務(wù)器(包括系統(tǒng)服務(wù)器、應(yīng)用服務(wù)器和限制服務(wù)器)、工作終端、用戶終端;從設(shè)定內(nèi)容上分為完全限制、權(quán)限設(shè)置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作等。
第四條、全部信息系統(tǒng)的運用者和不同平安等級信息之間必需存在授權(quán)關(guān)系,并在新建信息系統(tǒng)開發(fā)建設(shè)階段形成方案并加以設(shè)計,在軟件系統(tǒng)中預(yù)留對應(yīng)關(guān)系設(shè)置的功能,依據(jù)運用者崗位職務(wù)的變遷進行調(diào)整。
第五條、利用IT技術(shù)手段,對信息系統(tǒng)的硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加限制。利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)所供應(yīng)的平安機制,設(shè)置相應(yīng)的平安參數(shù),保證系統(tǒng)訪問的平安;對于重要的計算機設(shè)備,要利用軟件技術(shù)等手段防止員工擅自安裝、卸載軟件或變更軟件系統(tǒng)配置,并定期對以上狀況進行檢查。
第六條、信息系統(tǒng)如須要托付專業(yè)機構(gòu)進行系統(tǒng)運行和維護管理時,應(yīng)嚴(yán)格審查其資質(zhì)條件、市場剩余和信用狀況等,并且與其簽訂正式的服務(wù)合同和保密協(xié)議。
第七條、全部信息系統(tǒng)服務(wù)器、工作終端、用戶終端必需安裝平安防病毒軟件,對未安裝防病毒軟件的`終端用戶有權(quán)拒絕為其供應(yīng)網(wǎng)絡(luò)接入服務(wù)。
第八條、利用防火墻、路由器、入侵檢測等網(wǎng)絡(luò)設(shè)備,加強網(wǎng)絡(luò)平安,嚴(yán)密防范來自互聯(lián)網(wǎng)的黑客攻擊和非法侵入。
第九條、對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蜿P(guān)鍵業(yè)務(wù)數(shù)據(jù),要實行必要的技術(shù)手段確保信息傳遞的保密性、精確性、完整性。
第十條、對于停止運行的廢舊系統(tǒng),應(yīng)當(dāng)做好系統(tǒng)中有價值及涉密信息的銷毀、轉(zhuǎn)移等善后工作。
第十一條、系統(tǒng)管理人員要遵守信息系統(tǒng)的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業(yè)務(wù)系統(tǒng)的訪問建立用戶管理制度,對于不同類別不同級別的各類管理及運用人員實行密碼分級管理,設(shè)定密碼有效期限,對密碼存儲采納非明文二次加密技術(shù)防止各類密碼泄露事故的發(fā)生。
信息安全管理制度4
一、前言
文章對企業(yè)計算機網(wǎng)絡(luò)安全存在的問題進行了介紹,對影響企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的因素進行了闡述,通過分析,并結(jié)合自身實踐經(jīng)驗和相關(guān)理論知識,對加強企業(yè)網(wǎng)絡(luò)安全管理措施進行了探討。
二、企業(yè)計算機網(wǎng)絡(luò)安全存在的問題
1.安全意識淡薄
在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,每一臺計算機的安全性都會影響整個系統(tǒng)的安全性能,網(wǎng)絡(luò)安全與每個用戶息息相關(guān)。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點甚至掌握業(yè)務(wù)系統(tǒng)的密碼。在具有嚴(yán)格訪問權(quán)限的系統(tǒng)中,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷,甚至有些人隨意改動系統(tǒng)注冊表,使得整個網(wǎng)絡(luò)安全系統(tǒng)失效。
2.網(wǎng)絡(luò)安全體系不健全
當(dāng)前很多企業(yè)盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統(tǒng)性,對于企業(yè)網(wǎng)絡(luò)信息安全保護缺乏統(tǒng)一的、明確的指導(dǎo)思想,沒有建立一個完善的安全體系,這是引發(fā)安全問題的主要源頭。
3.網(wǎng)絡(luò)黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業(yè)的內(nèi)部資料對于整個企業(yè)經(jīng)營來說相當(dāng)重要,因為它關(guān)系到整個企業(yè)的生死存亡。企業(yè)存放信息會因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。
4.來自企業(yè)外部的感染
來自企業(yè)外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點,通過入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備,對數(shù)據(jù)進行破壞,使網(wǎng)絡(luò)癱瘓,不能正常運作。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預(yù)就能觸發(fā),因而其傳播速度要遠(yuǎn)遠(yuǎn)大于計算機病毒,其對網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴(yán)重。木馬是指附著在應(yīng)用程序中或者單獨存在的一些惡意程序,它可以利用網(wǎng)絡(luò)遠(yuǎn)程控制安裝有服務(wù)端程序的主機,實現(xiàn)對主機的控制或者竊取主機上的機密信息。
5.來自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊
企業(yè)防護重點是對外,往往忽視對內(nèi)部防護的重視。利用企業(yè)內(nèi)部計算機對企業(yè)局域網(wǎng)絡(luò)進行攻擊,企業(yè)局域網(wǎng)絡(luò)也會受到嚴(yán)重攻擊,當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險。
三、影響企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的因素
1.病毒攻擊
目前,計算機病毒的制造者大多利用Internet網(wǎng)絡(luò)進行傳播,因中小企業(yè)防范薄弱管理規(guī)范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統(tǒng),也可能會大量占用網(wǎng)絡(luò)帶寬,阻塞正常流量,如:發(fā)送垃圾郵件的病毒,從而影響企業(yè)計算機網(wǎng)絡(luò)的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本,不注重也不舍得花銷來進行軟件更新的后期升級服務(wù),以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進行攻擊。
3.職員不當(dāng)操作
中小企業(yè)計算機管理人員配置少,監(jiān)督管理都難以細(xì)致,其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎,不細(xì)心,不按成型的規(guī)范操作,不遵守制定的相應(yīng)規(guī)章制度。中小企業(yè)中很多職工信息安全意識不強,將自己的生日或工號作為系統(tǒng)口令,或?qū)挝坏馁~號隨意轉(zhuǎn)借他人使用,從而造成信息的丟失或篡改。
四、加強企業(yè)網(wǎng)絡(luò)安全管理措施
1.要加大對計算機網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進步神速,我國在這一領(lǐng)域同發(fā)達(dá)國家比,并沒有優(yōu)勢。因此我國更應(yīng)加大投入,刻苦攻關(guān),掌握一些關(guān)鍵的信息技術(shù),以確保我國在信息安全方面的自主能力。可以毫不夸張地說,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應(yīng)當(dāng)像五六十年代發(fā)展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術(shù)革命的挑戰(zhàn),保衛(wèi)國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術(shù)方面,發(fā)達(dá)國家一方面極為重視研究開發(fā),美國政府曾為了改進美國政府的計算機安全系統(tǒng),投入巨大的資金;另一方面,又嚴(yán)格控制信息安全技術(shù)的出口。以美國為代表的發(fā)達(dá)國家,對信息安全產(chǎn)品出口,已作出許多嚴(yán)格限制,以維護其在信息技術(shù)領(lǐng)域的絕對優(yōu)勢。
2.關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計算機網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無處不在。尤其是一些機密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性,這時一般會采取對數(shù)據(jù)加密的手段,它是一種保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的一種手段,該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。
3.加強安全管理力度健全管理制度。首先,加強信息安全管理力度應(yīng)積極采取宏觀管理與重點監(jiān)控相結(jié)合的方式,保證信息化項目的安全性。系統(tǒng)的實施及管理部門應(yīng)該全面掌握各單位的計算機網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況,為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時,對重點工程實地考察,對信息安全進行檢查,發(fā)現(xiàn)問題及時解決。
4.事務(wù)管理和故障恢復(fù)。事務(wù)管理和故障恢復(fù)主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障,保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進行日志記錄和數(shù)據(jù)復(fù)制。計算機同其他設(shè)備一樣,都可能發(fā)生各種各樣的故障,比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等,這些故障可能會造成數(shù)據(jù)庫的數(shù)據(jù)丟失,因此為了保證計算機的安全運行,必須在發(fā)生故障時采取必要的措施恢復(fù)數(shù)據(jù)庫,事務(wù)管理和故障恢復(fù)就是這個作用,它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時,仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。
五、企業(yè)信息安全新形勢
網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一,具有長期性、復(fù)雜性和艱巨性的特點。20xx年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展,三網(wǎng)融合開始實施操作,云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾,需求的`個性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進一步提高對網(wǎng)絡(luò)信息安全重要性的認(rèn)識,發(fā)展與管理并重,加強部門協(xié)調(diào)配合,加強網(wǎng)絡(luò)基礎(chǔ)管理工作,加強網(wǎng)絡(luò)信息安全保障能力建設(shè),特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化,通過核心技術(shù)掌握自主知識產(chǎn)權(quán),加快發(fā)展自主可控的信息安全產(chǎn)業(yè),建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。
從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā),應(yīng)對多種復(fù)雜的安全新問題,應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù),并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系,技術(shù)和管理并重,加強立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作,通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境,來共同改善全球的網(wǎng)絡(luò)與信息安全問題。
結(jié)束語
隨著科技的發(fā)展,一些不法份子和黑客通過計算機網(wǎng)絡(luò)竊取企業(yè)商業(yè)機密的現(xiàn)象越來越多,因此,對于計算機網(wǎng)絡(luò)信息安全管理應(yīng)該予以高度重視,否則可能對企業(yè)造成不可預(yù)估的損失。信息安全管理的重要性20xx-10-23 16:26 | #2樓
隨著計算機技術(shù)的不斷發(fā)展,計算機被廣泛地應(yīng)用于各個領(lǐng)域。在企業(yè)中,利用計算機進行管理可以顯著的提高工作效率,使企業(yè)管理水平有一個明顯的提高。對于中小企業(yè)而言,信息化是中小企業(yè)迎接新經(jīng)濟的挑戰(zhàn),提高企業(yè)運作效率、降低經(jīng)營管理成本、把握新的商業(yè)機會的必由之路。在各類管理信息系統(tǒng)中,信息制作和傳播等都要涉及信息的存儲、傳輸與使用等信息處理問題,而信息處理過程中的信息安全問題尤為突出。對于存儲在計算機中的重要文件、數(shù)據(jù)庫中的重要數(shù)據(jù)等信息,一旦丟失、損壞或泄露、不能及時送達(dá),都會給企業(yè)造成很大的損失。如果是商業(yè)機密信息,給企業(yè)造成的損失會更大,甚至?xí)绊懙狡髽I(yè)的生存和發(fā)展。
目前,國內(nèi)大中型企業(yè)由于信息化起步早、資金和技術(shù)力量充足、管理制度較為完善,因此信息安全體系成熟度也相對較高,但眾多中小企業(yè)由于資金、技術(shù)等方面的原因,在信息安全性方面普遍存在著嚴(yán)重漏洞,與大型企業(yè)、行業(yè)用戶相比,它們更容易受到網(wǎng)絡(luò)病毒的侵害,損失同樣嚴(yán)重。因此構(gòu)建一個成熟的信息安全管理體系對中小企業(yè)尤為重要。
信息安全管理制度5
1.前言
1.1.目的
制定本制度的目的是保證公司IT系統(tǒng)有效、安全的運行,保證系統(tǒng)數(shù)據(jù)安全。
1.2.范圍
本制度適用于中電電氣(南京)光伏有限公司數(shù)據(jù)中心的日常運行。
2.控制點
2.1.日常運轉(zhuǎn)
1)各系統(tǒng)負(fù)責(zé)人(職責(zé)分工見【SODmatrix】),隨時處理網(wǎng)絡(luò)故障、解決網(wǎng)絡(luò)問題、保持網(wǎng)絡(luò)暢通、提高網(wǎng)絡(luò)的可用性和可靠性。
2)每周兩次檢查機房服務(wù)器、交換機、路由器、光纖收發(fā)器等設(shè)備運行情況,每周需填寫【資源檢查記錄表】;晚上或節(jié)假日期間,視網(wǎng)絡(luò)應(yīng)用情況,設(shè)置現(xiàn)場值班或呼叫值班。
3)保持設(shè)備表面干凈整潔,操作設(shè)備時佩戴防靜電手環(huán)等。
4)機房管理員注意機房的溫度和濕度,機房溫度:18~30攝氏度,相對濕度:40%~60%。
5)公司員工不得私自安裝未經(jīng)授權(quán)或非法的軟件,授權(quán)軟件詳見【授權(quán)軟件記錄表】,信息管理部系統(tǒng)管理人員每半年通過SMS對用戶安裝軟件進行檢查,對非法軟件進行刪除,并填寫【用戶軟件檢查記錄表】,記錄用戶安裝的異常信息及處理結(jié)果,并報IT經(jīng)理審核。
2.2.病毒黑客預(yù)防管理
1)網(wǎng)絡(luò)管理員每周監(jiān)控企業(yè)防病毒服務(wù)器的升級情況,監(jiān)控機房中服務(wù)器殺毒軟件的更新情況,在服務(wù)器上設(shè)置自動更新、定期掃描策略(配置見公司殺毒服務(wù)器配置),并填寫【資源更新記錄表】,每月報IT經(jīng)理審核。
2)每周信息管理部網(wǎng)絡(luò)管理員通過現(xiàn)場或通過SMS管理軟件檢查客戶端計算機防毒軟件的升級情況和實時監(jiān)控狀態(tài),并填寫【資源檢查記錄表】,每月報IT經(jīng)理審核。
3)信息管理部網(wǎng)絡(luò)管理人員隨時注意Internet上病毒流行和爆發(fā)動態(tài),并及時向客戶端計算機發(fā)出病毒預(yù)警。
4)要有病毒爆發(fā)后的緊急處理預(yù)案,以便快速恢復(fù)系統(tǒng),保證系統(tǒng)及時相應(yīng)服務(wù)。
5)利用ISA服務(wù)器或Netscreen防火墻屏蔽黑客或病毒常用的端口,提高密碼復(fù)雜度等。每周三WSUS服務(wù)器及時下推補丁給信息管理部,如補丁安裝完后沒有問題,每周四WSUS服務(wù)器及時下推補丁給網(wǎng)絡(luò)中所有的計算機。
6)信息部網(wǎng)絡(luò)管理員每天監(jiān)控網(wǎng)絡(luò)的健康狀態(tài),觀測網(wǎng)絡(luò)流量。
2.3.帳戶安全管理
1)用戶開戶和權(quán)限變更,需填寫【賬戶變更申請單】,經(jīng)部門經(jīng)理IT經(jīng)理審批后,最后由信息管理部各系統(tǒng)管理員進行各應(yīng)用系統(tǒng)的帳戶的開戶工作、變更工作。帳戶注銷,直接由各系統(tǒng)管理員在人力資源部的員工離職交接單中簽字后,在系統(tǒng)中執(zhí)行相關(guān)操作。
2)臨時開設(shè)的帳戶也需要填寫【賬戶變更申請單】,一定要控制好帳戶過期時間和權(quán)限。系統(tǒng)缺省的管理員帳號必須禁用或修改初始密碼,系統(tǒng)管理員賬號需填寫【權(quán)限授權(quán)表】,經(jīng)IT經(jīng)理審核后,方可執(zhí)行,系統(tǒng)管理員帳號的密碼在移交后的第一次登錄時必須重新設(shè)置密碼。
3)用戶帳戶僅限于本人使用,不得以任何方式將賬戶和密碼轉(zhuǎn)借他人,不得窺視或盜用他人的賬戶和密碼。同時,用戶有妥善保管自己賬戶和密碼的責(zé)任和義務(wù),不得泄露。
4)各系統(tǒng)管理員每半年檢查一次帳戶信息,導(dǎo)出各系統(tǒng)賬戶及權(quán)限清單,與各部門經(jīng)理確認(rèn)系統(tǒng)帳戶和權(quán)限是否與申請人實際使用情況相符,由部門經(jīng)理簽字確認(rèn),填寫【資源檢查記錄表】,報IT經(jīng)理審核。
5)現(xiàn)涉及到的帳戶類型如下:域賬戶、電子郵件賬戶、SAP賬戶、無線網(wǎng)帳戶。
6)如果系統(tǒng)策略允許,使用帳戶10次登錄失敗后帳戶立即鎖定。
7)如果系統(tǒng)策略允許,帳戶鎖定60分鐘后自動解鎖。
2.4.密碼安全策略
如果系統(tǒng)支持密碼復(fù)雜度管理,則啟用密碼復(fù)雜度規(guī)則,滿足如下條款。
1)密碼長度最短為八個字符。
2)必須同時包含以下四個類別字符中的三類字符:英文大寫字母(從A到Z),英文小寫字母(從a到z),數(shù)字(從0到9),非字母字符(例如,!、$、#、%)。
3)密碼的最長使用時間60天。
4)最近三次歷史密碼不能重復(fù)使用。
5)對各操作系統(tǒng)內(nèi)置帳戶集中到IT經(jīng)理處管理,并遵循以上規(guī)則。
6)其他不支持此密碼安全策略的應(yīng)用系統(tǒng),系統(tǒng)負(fù)責(zé)人要根據(jù)以上策略手工設(shè)置。如SQL20xx、防火墻Netscreen
2.5.網(wǎng)絡(luò)安全管理
1)伴隨網(wǎng)絡(luò)的不斷擴展,如果網(wǎng)絡(luò)中有增減設(shè)備的情況,及時更新網(wǎng)絡(luò)拓?fù)鋱D,及時調(diào)整防火墻、核心交換機等設(shè)備配置,并填寫【資源變更申請單】。
2)內(nèi)部網(wǎng)絡(luò)不接受任何外部訪問(防火墻DMZ區(qū)、除外),所有的外部訪問都在防火墻的DMZ區(qū),并且防火墻上策略限制只開放需要的`端口,如郵件服務(wù)器所需要的443端口等,其余端口全部禁用。防火墻DMZ區(qū)主機需要訪問內(nèi)網(wǎng)DC服務(wù)器,此訪問安全控制由ISA網(wǎng)關(guān)服務(wù)器完成。
3)內(nèi)網(wǎng)訪問Internet或訪問DMZ主機的訪問權(quán)限和所能通過的服務(wù)均由ISA網(wǎng)關(guān)服務(wù)器控制,ISA策略根據(jù)網(wǎng)絡(luò)系統(tǒng)安全和公司具體應(yīng)用確定(具體應(yīng)用見ISA服務(wù)器配置),此服務(wù)器有專人管理。
4)信息管理部設(shè)專人每月度檢查核心交換機、防火墻、無線網(wǎng)控制器的配置,確認(rèn)是否與公司的服務(wù)器配置策略相符,并填寫【資源檢查記錄表】,提交給IT部門經(jīng)理審批簽字。
5)信息管理部設(shè)專人至少每周檢查一次防火墻的日志,確保網(wǎng)絡(luò)不受可疑對象攻擊,保證網(wǎng)絡(luò)的安全性、穩(wěn)定性,并填寫【日志檢查記錄表】,每月提交給IT部門經(jīng)理審批簽字。
6)每周進行一次網(wǎng)絡(luò)數(shù)據(jù)包分析,及時發(fā)現(xiàn)類似ARP等病毒攻擊,及早預(yù)防。
7)每年對防火墻、核心交換機的日常維護記錄整理存檔一次。
2.6.數(shù)據(jù)安全管理
1)合理使用計算機分區(qū),不得將重要數(shù)據(jù)存放在系統(tǒng)分區(qū)。
2)公司數(shù)據(jù)庫系統(tǒng)、人事檔案、技術(shù)資料、圖紙、統(tǒng)計資料、營銷計劃、財務(wù)報表等重要資料要每日進行自動備份,每月進行一次完全備份;重要部門、重要系統(tǒng)不僅要做硬盤備份,還要定刻成成光盤,存放在異地長期保存。
3)含有重要資訊的資料(卡片、稿紙等)廢棄時,應(yīng)確定銷毀,以免被誤用。
4)對不同用戶應(yīng)用不同的系統(tǒng)策略,避免造成整個系統(tǒng)癱瘓。嚴(yán)格限制對應(yīng)用系統(tǒng)數(shù)據(jù)庫的更改權(quán)利;嚴(yán)格限制重組數(shù)據(jù)庫或壓縮數(shù)據(jù)庫大小的權(quán)力;嚴(yán)格限制修改系統(tǒng)架構(gòu)的權(quán)利等,操作系統(tǒng)日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經(jīng)理審核。
5)安全管理員每周至少查看一次數(shù)據(jù)庫日志文件,并填寫【日志檢查記錄表】,每月報IT經(jīng)理審核。以盡早發(fā)現(xiàn)異常情況,確保數(shù)據(jù)庫的存取安全。
6)郵件系統(tǒng)管理員對公司外發(fā)資料做每周進行一次檢查,對往來郵件每周做一次監(jiān)控分析,防止重要資料外泄,并填寫【日志檢查記錄表】。
7)原則上不能在后臺數(shù)據(jù)庫中直接修改數(shù)據(jù),如有需要,業(yè)務(wù)部門需填寫數(shù)據(jù)更改【變更申請單】,經(jīng)業(yè)務(wù)部門經(jīng)理、IT經(jīng)理審核批準(zhǔn)后,授權(quán)給DBA執(zhí)行操作,DBA在執(zhí)行操作之前必須做好數(shù)據(jù)備份工作,操作完成后再在申請單上簽字,并提交給最終用戶確認(rèn)。
8)關(guān)鍵應(yīng)用系統(tǒng)SAP的上機日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經(jīng)理審核。
9)掌握重要數(shù)據(jù)的網(wǎng)絡(luò)管理人員要注意保密,請參照“公司保密制度”。
3.附件
3.1.CSUN-RE-IN0016《資源檢查記錄表》
3.2.CSUN-RE-IN0018《資源更新記錄表》
3.3.CSUN-RE-IN0017《資源變更申請單》
3.4.CSUN-RE-IN0007《帳戶變更申請單》
3.5.CSUN-RE-IN0019《日志檢查記錄表》
3.6.CSUN-RE-IN0005《權(quán)限授權(quán)表》
3.7.CSUN-RE-IN0001《變更申請單》
信息安全管理制度6
1、安全管理制度要求
1.1總則:為了切實有效的保證公司信息安全,提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務(wù)實力,特制定交互式信息安全管理制度,設(shè)定管理部門及專業(yè)管理人員對公司整體信息安全進行管理,以確保網(wǎng)絡(luò)與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應(yīng)包括:
a)平安崗位管理制度;
b)系統(tǒng)操作權(quán)限管理;
c)平安培訓(xùn)制度;
d)用戶管理制度;
e)新服務(wù)、新功能平安評估;
f)用戶投訴舉報處理;
g)信息發(fā)布審核、合法資質(zhì)查驗和公共信息巡查;
h)個人電子信息安全愛護;
i)平安事務(wù)的監(jiān)測、報告和應(yīng)急處置制度;
j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。
1.1.2安全管理制度應(yīng)經(jīng)過管理層批準(zhǔn),并向全部員工宣貫。
2、機構(gòu)要求
2.1法律責(zé)任
2.1.1互聯(lián)網(wǎng)交互式服務(wù)供應(yīng)者應(yīng)是一個能夠擔(dān)當(dāng)法律責(zé)任的組織或個人。
2.1.2互聯(lián)網(wǎng)交互式服務(wù)供應(yīng)者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。
3、人員安全管理
3.1平安崗位管理制度
建立平安崗位管理制度,明確主辦人、主要負(fù)責(zé)人、平安責(zé)任人的職責(zé):崗位管理制度應(yīng)包括保密管理。
3.2關(guān)鍵崗位人員
3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)根據(jù)相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求來執(zhí)行,包括:
①個人身份核查;
②個人履歷的核查;
③學(xué)歷、學(xué)位、專業(yè)資質(zhì)證明;
④從事關(guān)鍵崗位所必需的實力;
3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。
3.3平安培訓(xùn)
建立平安培訓(xùn)制度,定期對全部工作人員進行信息安全培訓(xùn),提高全員的信息安全意識,包括:
①上崗前的培訓(xùn);
②平安制度及其修訂后的培訓(xùn);
③法律、法規(guī)的發(fā)展保持同步的接著培訓(xùn)。應(yīng)嚴(yán)格規(guī)范人員離崗過程:
a)剛好終止離崗員工的全部訪問權(quán)限;
b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開;
c)協(xié)作公安機關(guān)工作的人員變動應(yīng)通報公安機關(guān)。
3.4人員離崗
應(yīng)嚴(yán)格規(guī)范人員離崗過程:
a)剛好終止離崗員工的全部訪問權(quán)限;
b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開;
c)協(xié)作公安機關(guān)工作的人員變動應(yīng)通報公安機關(guān)。
4、訪問限制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。
4.2權(quán)限安排
按以下原則依據(jù)人員職責(zé)安排不同的訪問權(quán)限:
a)角色分別,如訪問懇求、訪問授權(quán)、訪問管理;
b)滿意工作須要的最小權(quán)限;
c)未經(jīng)明確允許,則一律禁止。
4.3特別權(quán)限限制和限制特別訪問權(quán)限的安排和運用:
a)標(biāo)識出每個系統(tǒng)或程序的特別權(quán)限;
b)根據(jù)“按需運用”、“一事一議”的原則安排特別權(quán)限;
c)記錄特別權(quán)限的授權(quán)與運用過程;
d)特別訪問權(quán)限的安排須要管理層的批準(zhǔn)。
注:特別權(quán)限是系統(tǒng)超級用戶、數(shù)據(jù)庫管理等系統(tǒng)管理權(quán)限。
4.4權(quán)限的檢查
定期對訪問權(quán)限進行檢查,對特別訪問權(quán)限的授權(quán)狀況應(yīng)在更常見的時間間隔內(nèi)進行檢查,如發(fā)覺不恰當(dāng)?shù)臋?quán)限設(shè)置,應(yīng)剛好予以調(diào)整。
5、網(wǎng)絡(luò)與主機系統(tǒng)的平安
5.1 網(wǎng)絡(luò)與主機系統(tǒng)的平安
應(yīng)維護運用的網(wǎng)絡(luò)與主機系統(tǒng)的平安,包括:
a)實施計算機病毒等惡意代碼的.預(yù)防、檢測和系統(tǒng)被破壞后的復(fù)原措施;
b)實施7×24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施;
c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的復(fù)原措施;
d)對系統(tǒng)的脆弱性進行評估,并實行適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險。注:系統(tǒng)脆弱性評估包括采納平安掃描、滲透測試等多種方式。
5.2備份
5.2.1應(yīng)建立備份策略,有足夠的備份設(shè)施,確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以復(fù)原。
5.2.2 網(wǎng)絡(luò)基礎(chǔ)服務(wù)(登錄、消息發(fā)布等)應(yīng)具備容災(zāi)實力。
5.3平安審計
5.3.1應(yīng)記錄用戶活動、異樣狀況、故障和平安事務(wù)的日志。
5.3.2審計日志內(nèi)容應(yīng)包括:
a)用戶注冊相關(guān)信息,包括:
1)用戶唯一標(biāo)識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4)注冊時間、IP地址及端口號;
5)電子郵箱地址和于機號碼;
6)用戶備注信息;
7)用戶其他信息。
b)群組、頻道相關(guān)信息,包括:
1)創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人IP地址及端口號;
2)刪除時間、刪除人、刪除人IP地址及端口號;
3)群組組織結(jié)構(gòu);
4)群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標(biāo)識;
2)登錄時間;
3)退出時間;
4)IP地址及端口號。
d)用戶信息發(fā)布日志,包括:
1)用戶唯一標(biāo)識;
2)信息標(biāo)識;
3)信息發(fā)布時間;
4)IP地址及端口號;
5)信息標(biāo)題或摘要,包括圖片摘要 。
e)用戶行為,包括:
1)進出群組或頻道;
2)修改、刪除所發(fā)信息;
3)上傳、下載文件。
5.3.3應(yīng)確保審計日志內(nèi)容的可溯源性,即可追溯到真實的用戶ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件、短信息、網(wǎng)絡(luò)電話、即時消息、網(wǎng)絡(luò)閑聊等網(wǎng)絡(luò)消息服務(wù)供應(yīng)者應(yīng)能防范偽造、隱匿發(fā)送者真實標(biāo)記的消息的措施;涉及地址轉(zhuǎn)換技術(shù)的服務(wù),如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)審計轉(zhuǎn)換前后的地址與端口信息;涉及短網(wǎng)址服務(wù)的,應(yīng)審計原始URL與短UR L之間的映射關(guān)系。
5.3.4應(yīng)愛護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。
5.3.5應(yīng)能夠依據(jù)公安機關(guān)要求留存具備指定信息訪問日志的留存功能。
5.3.6審計日志保存周期
a)應(yīng)永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄閑聊室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;
b)系統(tǒng)維護日志信息保存12個月以上;
c)應(yīng)留存用戶日志信息12個月以上;
d)對用戶發(fā)布的信息內(nèi)容保存6個月以上;
e)已下線的系統(tǒng)的日志保存周期也應(yīng)符合以上規(guī)定。
6、應(yīng)用平安
6.1用戶管理
6.1.1向用戶宣揚法律法規(guī),應(yīng)在用戶注冊時,與用戶簽訂服務(wù)協(xié)議,告知相關(guān)權(quán)利義務(wù)及需擔(dān)當(dāng)?shù)姆韶?zé)任。
6.1.2建立用戶管理制度,包括:
a)用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:
1)身份證與姓名實名驗證服務(wù);
2)有效的銀行卡;
3)合法、有效的數(shù)字證書;
4)已確仔細(xì)實身份的網(wǎng)絡(luò)服務(wù)的注冊用戶;
5)經(jīng)電信運營商接入實名認(rèn)證的用戶。(如某網(wǎng)站采納已經(jīng)實名認(rèn)證的第三方賬號登陸,可認(rèn)為該網(wǎng)站的用戶已進行有效核驗。)
b)應(yīng)對用戶注冊的賬號、頭像和備注等信息進行審核,禁止運用違反法律法規(guī)和社會道德的內(nèi)容;
c)建立用戶黑名單制度,對網(wǎng)站自行發(fā)覺以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶納應(yīng)入黑名單管理。
6.1.3當(dāng)用戶利用互聯(lián)網(wǎng)從事的服務(wù)須要行政許可時,應(yīng)查驗其合法資質(zhì),查驗可以通過以下方法進行:
a)核對行政許可文件;
b)通過行政許可主管部門的公開信息;
c)通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防范和處置
6.2.1公司實行管理與技術(shù)措施,剛好發(fā)覺和停止違法有害信息發(fā)布。
6.2.2公司采納人工或自動化方式,對發(fā)布的信息逐條審核。
實行技術(shù)措施過濾違法有害信息,包括且不限于:
a)基于關(guān)鍵詞的文字信息屏蔽過濾;
b)基于樣本數(shù)據(jù)特征值的文件屏蔽過濾;
c)基于URL的屏蔽過濾。
6.2.3應(yīng)實行技術(shù)措施對違法有害信息的來源實施限制,防止接著傳播。
注:違法有害信息來源限制技術(shù)措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止共享、禁止留言及回復(fù)、限制特定發(fā)布來源、限制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。
6.2.4公司建立7*24h信息巡查制度,剛好發(fā)覺并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異樣狀況報告、平安提示和案件調(diào)差協(xié)作制度,包括:
a)對發(fā)覺的違法有害信息,馬上停止發(fā)布傳輸,保留相關(guān)證據(jù)(包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄),并向?qū)俚毓矙C關(guān)報告;
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要狀況或重大緊急事務(wù)馬上向?qū)俚毓矙C關(guān)報告,同時協(xié)作公安機關(guān)做好調(diào)查取證工作。
6.2.6與公安機關(guān)建立7*24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及共享中的任何一個環(huán)節(jié)應(yīng)能再5min之內(nèi)刪除,相關(guān)的屏蔽過濾措施應(yīng)在10min內(nèi)生效。
6.3破壞性程序防范
6.3.1實施破壞性程序的發(fā)覺和停止發(fā)布措施、并保留發(fā)覺的破壞性程序的相關(guān)證據(jù)。
6.3.2對軟件下載服務(wù)供應(yīng)者(包括應(yīng)用軟件商店),檢查用戶發(fā)布的軟件是否是計算機病毒等惡意代碼。
7、個人電子信息愛護
7.1.1制定明確、清晰的個人電子信息處置規(guī)則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務(wù)協(xié)議中明示收集與運用個人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實現(xiàn)正值商業(yè)目的和供應(yīng)網(wǎng)絡(luò)服務(wù)所必需的個人信息;收集個人電子信息時,取得用戶的明確授權(quán)同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標(biāo)準(zhǔn)的要求,并取得用戶明確授權(quán)同意;法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。
7.1.3公司在修改個人電子信息處理時,應(yīng)告知用戶,并取得其同意。
7.2技術(shù)措施
公司建立覆蓋個人電子信息處理的各個環(huán)節(jié)的平安愛護制度和技術(shù)措施,防止個人電子信息泄露、損毀、丟失,包括:
a)采納加密方式保存用戶密碼等重要信息;
b)審計內(nèi)部員工對涉及個人電子信息的全部操作,并對審計進行分析,預(yù)防內(nèi)部員工有意泄露;
c)審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據(jù);
d)建立程序來限制對涉及個人電子信息的系統(tǒng)和服務(wù)的訪問權(quán)的安排。這些程序涵蓋用戶訪問生存周期內(nèi)的各個階段,從新用戶初始注冊到不再須要訪問信息系統(tǒng)和服務(wù)的用戶的最終撤銷;
e)系統(tǒng)的平安保障技術(shù)措施覆蓋個人電子信息處理的各個環(huán)節(jié),防止網(wǎng)絡(luò)違法犯罪活動竊取信息,降低個人電子信息泄露的風(fēng)險。
7.3個人信息泄露事務(wù)的處理
a)當(dāng)發(fā)覺個人電子信息泄露時間后,應(yīng)馬上實行補救措施,防止信息接著泄露;
b)24小時內(nèi)告知用戶,依據(jù)用戶初始注冊信息重新激活賬戶,避開造成更大的損失馬上告屬地公安機關(guān)。
8、平安事務(wù)管理
8.1平安時間管理制度
8.1.1建立平安事務(wù)的監(jiān)測、報告和應(yīng)急處置制度,確保快速有效和有序地響應(yīng)平安事務(wù)。
8.1.2平安事務(wù)包括違法有害信息、危害計算機信息系統(tǒng)平安的異樣狀況及突發(fā)公共事務(wù)。
8.2應(yīng)急預(yù)案
制定平安事務(wù)應(yīng)急處置預(yù)案,向?qū)俚毓矙C關(guān)珍寶,并定期開展應(yīng)急演練。
8.3突發(fā)公共事務(wù)處理
突發(fā)公共事務(wù)分為四級:I級(特殊重大)、II級(重大)、III級(較大)、IV級(一般),互聯(lián)網(wǎng)交互式服務(wù)供應(yīng)者應(yīng)建立相應(yīng)處置機制,當(dāng)突發(fā)公共事務(wù)發(fā)生后,投入相應(yīng)的人力與技術(shù)措施開展處置工作:
a)I級:應(yīng)投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應(yīng)投入安全管理等部門50% —80%的人力開展處置工作;
c)III級:應(yīng)投入安全管理等部門30%—50%的人力開展處置工作;
d)IV級:應(yīng)投入安全管理等部門30%的人力開展處置工作。
8.4技術(shù)接口
公司網(wǎng)站所設(shè)技術(shù)接口為公安機關(guān)供應(yīng)的符合國家及公共平安行業(yè)標(biāo)準(zhǔn)的技術(shù)接口,能確保實時,有效地供應(yīng)相關(guān)證據(jù)。
信息安全管理制度7
1、目標(biāo)
勝達(dá)集團信息安全檢查工作的主要目標(biāo)是通過自評估工作,發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題,邊檢查邊整改,確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。
2、評估依據(jù)、范圍和方法
2.1 評估依據(jù)
根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》(信安通[20xx]15號)、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等,管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜,在檢查工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進行安全性評估,具體包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。
2.3 評估方法
采用自評估方法。
3、重要資產(chǎn)識別
對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記匯總,形成重要資產(chǎn)清單。
4、安全事件
對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5、安全檢查項目評估
5.1 規(guī)章制度與組織管理評估
5.1.1組織機構(gòu)
評估標(biāo)準(zhǔn)
信息安全組織機構(gòu)包括領(lǐng)導(dǎo)機構(gòu)、工作機構(gòu)。
現(xiàn)狀描述
本局已成立了信息安全領(lǐng)導(dǎo)機構(gòu),但尚未成立信息安全工作機構(gòu)。
評估結(jié)論
完善信息安全組織機構(gòu),成立信息安全工作機構(gòu)。
5.1.2崗位職責(zé)
估標(biāo)準(zhǔn)
崗位要求應(yīng)包括:專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進行界定;崗位實行主、副崗備用制度。
現(xiàn)狀描述
我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員,都是兼責(zé);專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
評估結(jié)論
本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員,在條件許可下,配置專職管理人員;專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定,根據(jù)實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
評估標(biāo)準(zhǔn)
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機制、病毒掃描策略(1周內(nèi)至少進行一次掃描)。
現(xiàn)狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務(wù)器下載、升級安全策略;病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源,每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
評估結(jié)論
完善病毒預(yù)警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
評估標(biāo)準(zhǔn)
運行管理應(yīng)制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
現(xiàn)狀描述
沒有建立相應(yīng)信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
評估結(jié)論
結(jié)合本局具體情況,制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
評估標(biāo)準(zhǔn)
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件,半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進行變更或注銷。
現(xiàn)狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內(nèi)賬戶密碼、口令有過變更,但沒有變更相關(guān)記錄、通知、文件;半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。
評估結(jié)論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關(guān)記錄;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。
5.2 網(wǎng)絡(luò)與系統(tǒng)安全評估
5.2.1網(wǎng)絡(luò)架構(gòu)
評估標(biāo)準(zhǔn)
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,不允許外聯(lián)鏈路繞過防火墻,具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
現(xiàn)狀描述
局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備,城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余;沒有不經(jīng)過防火墻的外聯(lián)鏈路,有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
評估結(jié)論
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,外聯(lián)鏈路沒有繞過防火墻,完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.2網(wǎng)絡(luò)分區(qū)
評估標(biāo)準(zhǔn)
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設(shè)置合理。
現(xiàn)狀描述
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū),VLAN間的.訪問控制設(shè)置合理。
評估結(jié)論
對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.3 網(wǎng)絡(luò)設(shè)備
評估標(biāo)準(zhǔn)
網(wǎng)絡(luò)設(shè)備配置有備份,網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源,關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
現(xiàn)狀描述
網(wǎng)絡(luò)設(shè)備配置沒有進行備份,網(wǎng)絡(luò)關(guān)鍵點設(shè)備是雙電源,網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。
評估結(jié)論
對網(wǎng)絡(luò)設(shè)備配置進行備份,完善SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
5.2.4 IP管理
評估標(biāo)準(zhǔn)
有IP地址管理系統(tǒng),IP地址管理有規(guī)劃方案和分配策略,IP地址分配有記錄。
現(xiàn)狀描述
沒有IP地址管理系統(tǒng),正在進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
評估結(jié)論
建立IP地址管理系統(tǒng),加快進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.5補丁管理
評估標(biāo)準(zhǔn)
有補丁管理的手段或補丁管理制度,Windows系統(tǒng)主機補丁安裝齊全,有補丁安裝的測試記錄。
現(xiàn)狀描述
通過手工補丁管理手段,沒有制訂相應(yīng)管理制度;Windows系統(tǒng)主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
評估結(jié)論
完善補丁管理的手段,制訂相應(yīng)管理制度;補缺Windows系統(tǒng)主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統(tǒng)安全配置
評估標(biāo)準(zhǔn)
信息安全管理制度8
1目標(biāo)
勝達(dá)集團信息安全檢查工作的主要目標(biāo)是通過自評估工作,發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題,邊檢查邊整改,確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。
2評估依據(jù)、范圍和方法
2.1 評估依據(jù)
根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》(信安通[20xx]15號)、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等,
管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜,在檢查工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進行安全性評估,具體包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。
2.3 評估方法
采用自評估方法。
3重要資產(chǎn)識別
對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記匯總,形成重要資產(chǎn)清單。
資產(chǎn)清單見附表1。
4安全事件
對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5安全檢查項目評估
5.1 規(guī)章制度與組織管理評估
5.1.1組織機構(gòu)
5.1.1.1評估標(biāo)準(zhǔn)
信息安全組織機構(gòu)包括領(lǐng)導(dǎo)機構(gòu)、工作機構(gòu)。
5.1.1.2現(xiàn)狀描述
本局已成立了信息安全領(lǐng)導(dǎo)機構(gòu),但尚未成立信息安全工作機構(gòu)。
5.1.1.3 評估結(jié)論
完善信息安全組織機構(gòu),成立信息安全工作機構(gòu)。
5.1.2崗位職責(zé)
5.1.2.1估標(biāo)準(zhǔn)
崗位要求應(yīng)包括:專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進行界定;崗位實行主、副崗備用制度。
5.1.2.2現(xiàn)狀描述
我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員,都是兼責(zé);專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
5.1.2.3 評估結(jié)論
本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員,在條件許可下,配置專職管理人員;專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定,根據(jù)實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
5.1.3.1 評估標(biāo)準(zhǔn)
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機制、病毒掃描策略(1周內(nèi)至少進行一次掃描)。
5.1.3.2 現(xiàn)狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務(wù)器下載、升級安全策略;病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源,每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
5.1.3.3 評估結(jié)論
完善病毒預(yù)警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
5.1.4.1 評估標(biāo)準(zhǔn)
運行管理應(yīng)制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
5.1.4.2 現(xiàn)狀描述
沒有建立相應(yīng)信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
5.1.4.3評估結(jié)論
結(jié)合本局具體情況,制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維
流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
5.1.5.1 評估標(biāo)準(zhǔn)
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件,半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進行變更或注銷。
5.1.5.2 現(xiàn)狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內(nèi)賬戶密碼、口令有過變更,但沒有變更相關(guān)記錄、通知、文件;半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。
5.1.5.3 評估結(jié)論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關(guān)記錄;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。
5.2 網(wǎng)絡(luò)與系統(tǒng)安全評估
5.2.1網(wǎng)絡(luò)架構(gòu)
5.2.1.1 評估標(biāo)準(zhǔn)
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,不允許外聯(lián)鏈路繞過防火墻,具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.1.2 現(xiàn)狀描述
局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備,城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余;沒有不經(jīng)過防火墻的外聯(lián)鏈路,有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.1.3 評估結(jié)論
局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備,外聯(lián)鏈路沒有繞過防火墻,完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。
5.2.2網(wǎng)絡(luò)分區(qū)
5.2.2.1 評估標(biāo)準(zhǔn)
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的`訪問控制設(shè)置合理。
5.2.2.2 現(xiàn)狀描述
生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.2.3評估結(jié)論
對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設(shè)置合理。
5.2.3 網(wǎng)絡(luò)設(shè)備
5.2.3.1 評估標(biāo)準(zhǔn)
網(wǎng)絡(luò)設(shè)備配置有備份,網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源,關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
5.2.3.2 現(xiàn)狀描述
網(wǎng)絡(luò)設(shè)備配置沒有進行備份,網(wǎng)絡(luò)關(guān)鍵點設(shè)備是雙電源,網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。
5.2.3.3 評估結(jié)論
對網(wǎng)絡(luò)設(shè)備配置進行備份,完善SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
5.2.4 IP管理
5.2.4.1 評估標(biāo)準(zhǔn)
有IP地址管理系統(tǒng),IP地址管理有規(guī)劃方案和分配策略,IP地址分配有記錄。
5.2.4.2 現(xiàn)狀描述
沒有IP地址管理系統(tǒng),正在進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.4.3 評估結(jié)論
建立IP地址管理系統(tǒng),加快進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.5補丁管理
5.2.5.1 評估標(biāo)準(zhǔn)
有補丁管理的手段或補丁管理制度,Windows系統(tǒng)主機補丁安裝齊全,有補丁安裝的測試記錄。
5.2.5.2現(xiàn)狀描述
通過手工補丁管理手段,沒有制訂相應(yīng)管理制度;Windows系統(tǒng)主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
5.2.5.3 評估結(jié)論
完善補丁管理的手段,制訂相應(yīng)管理制度;補缺Windows系統(tǒng)主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統(tǒng)安全配置
5.2.6.1 評估標(biāo)準(zhǔn)
信息安全管理制度9
平安生產(chǎn)是企業(yè)的頭等大事,必需堅持“平安第一,預(yù)防為主”的方針和群防群治制度,仔細(xì)實行安全管理制度,切實加強安全管理,保證職工在生產(chǎn)過程中的平安與健康。依據(jù)國家和省有關(guān)法規(guī)、規(guī)定和文件,制定本企業(yè)信息安全管理制度。
一、計算機設(shè)備安全管理制度
計算機不同于其他辦公設(shè)備,其好用性、嚴(yán)密性、操作技術(shù)性強,含量高、部件易受損;特殊是聯(lián)網(wǎng)計算機,開放性程度比較高,電腦內(nèi)部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網(wǎng)絡(luò)的正常運用,特制定本制度。
1、公司內(nèi)全部計算機歸網(wǎng)絡(luò)部統(tǒng)一管理,配備計算機的員工只負(fù)責(zé)運用操作;
2、計算機管理涉及的范圍:
2.1全部硬件(包括外接設(shè)備)及網(wǎng)絡(luò)聯(lián)接線路;
2.2計算機及網(wǎng)絡(luò)故障的解除;
2.3計算機及網(wǎng)絡(luò)的維護與修理;
2.4操作系統(tǒng)的管理;
3、公司內(nèi)全部計算機運用人員均為計算機操作員;
4、網(wǎng)絡(luò)維護部負(fù)責(zé)對公司內(nèi)全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的運用部門要保持清潔、平安、良好的計算機設(shè)備工作環(huán)境,禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備平安的物品。
6、非本單位技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進行修理、維護時,必需由本單位相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外修理,須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。
7、嚴(yán)格遵守計算機設(shè)備運用、開機、關(guān)機等平安操作規(guī)程和正確的運用方法。任何人不允許帶電插撥計算機外部設(shè)備接口,計算機出現(xiàn)故障時應(yīng)剛好向電腦負(fù)責(zé)部門報告,不允許私自處理或找非本單位技術(shù)人員進行修理及操作。
二、操作員安全管理制度
1、計算機原則上由專人負(fù)責(zé)操作維護,不得串用設(shè)備。下班后必需按程序關(guān)閉主機和其他設(shè)備,切斷電源。
2、為保證計算機信息安全,必需為計算機設(shè)置密碼。
3、計算機操作員除運用操作計算機外,不允許有以下行為:
3.1硬件設(shè)備出現(xiàn)故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標(biāo)、鍵盤、耳麥);如有向網(wǎng)絡(luò)管理員寫設(shè)備申請單審批。
3.3刪除計算機操作系統(tǒng)及公司指定的軟件;
3.4運用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術(shù)性操作;
4、不得運用來路不明或未經(jīng)殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發(fā)覺計算機有病毒時,應(yīng)剛好清除,清除不了的病毒,要剛好上報。
5、個人的公司重要文檔、資料和數(shù)據(jù)保存時必需將資料儲存在除操作系統(tǒng)外的其它磁盤空間,嚴(yán)禁將重要文件存放于桌面或C盤下。
6、工作時間內(nèi)嚴(yán)禁工作人員在計算機上進行與工作無關(guān)的操作,不準(zhǔn)上網(wǎng)與工作無關(guān)的閑聊、玩電腦嬉戲、看影視、聽音樂,迅雷下載等。
7、電腦及網(wǎng)絡(luò)設(shè)備所在環(huán)境應(yīng)保持清潔、衛(wèi)生、通風(fēng),留意防塵、防潮、防火。
8、公司全部計算機運用者,不得破壞網(wǎng)管員對計算機的平安設(shè)置。包括用戶運用權(quán)限。
9、除服務(wù)器外,其他全部計算機下班后必需關(guān)機并切斷電源;
10、計算機運用者離職時必需由網(wǎng)絡(luò)管理員確認(rèn)其計算機硬件設(shè)備完好、移動存儲設(shè)備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續(xù)。
11、如工作人員不按規(guī)定操作,造成不良后果的,將按有關(guān)規(guī)定,由操作者擔(dān)當(dāng)相應(yīng)責(zé)任,并追究科室負(fù)責(zé)人的有關(guān)責(zé)任。
12、操作員設(shè)置與管理
(1)網(wǎng)絡(luò)管理員管理操作權(quán)限必需經(jīng)過公司領(lǐng)導(dǎo)授權(quán)取得;依據(jù)不同部門的要求及崗位職責(zé)而設(shè)置;
(2)網(wǎng)絡(luò)管理員負(fù)責(zé)故障復(fù)原等管理及維護,必需有其上級授權(quán);不得運用他人操作代碼進行業(yè)務(wù)操作;
三、密碼與權(quán)限安全管理制度
1、密碼設(shè)置應(yīng)具有平安性、保密性,不能運用簡潔的代碼和標(biāo)記。密碼是愛護系統(tǒng)和數(shù)據(jù)平安的限制代碼,也是愛護用戶自身權(quán)益的限制代碼。密碼分設(shè)為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時所設(shè)的密碼,操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日,重復(fù)、依次、規(guī)律數(shù)字等簡單揣測的數(shù)字和字符串;
2、密碼應(yīng)定期修改,間隔時間不得超過一個月,如發(fā)覺或懷疑密碼遺失或泄漏應(yīng)馬上修改,并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。
3、服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負(fù)責(zé)人指定專人(不參加系統(tǒng)開發(fā)和維護的人員)設(shè)置和管理,并由密碼設(shè)置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特別狀況須要啟用封存的密碼,必需經(jīng)過相關(guān)部門負(fù)責(zé)人同意,由密碼運用人員向密碼管理人員索取,運用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記。
4、系統(tǒng)維護用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和運用管理制度。
5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位,有關(guān)部門負(fù)責(zé)人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數(shù)據(jù)安全管理制度
1、存放備份數(shù)據(jù)的介質(zhì)必需具有明確的標(biāo)識。備份數(shù)據(jù)必需異地存放。
2、留意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運輸平安和保密管理,保證存儲介質(zhì)的`物理平安。
3、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的運用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必需嚴(yán)格根據(jù)程序進行逐級審批,以保證備份數(shù)據(jù)平安完整。
4、數(shù)據(jù)復(fù)原前,必需對原環(huán)境的數(shù)據(jù)進行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)復(fù)原過程中,出現(xiàn)問題時由技術(shù)部門進行現(xiàn)場技術(shù)支持。數(shù)據(jù)復(fù)原后,必需進行驗證、確認(rèn),確保數(shù)據(jù)復(fù)原的完整性和可用性。
5、數(shù)據(jù)清理前必需對數(shù)據(jù)進行備份,在確認(rèn)備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要進行定期保存或永久保存,并確保可以隨時運用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期,避開對聯(lián)機業(yè)務(wù)運行造成影響。
6、須要長期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存,依據(jù)轉(zhuǎn)存和查詢運用方法要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存,防止存儲介質(zhì)過期失效,通過有效的查詢、運用方法保證數(shù)據(jù)的完整性和可用性。
7、非本單位技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進行修理、維護時,必需由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外修理,須經(jīng)設(shè)備管理機構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前,需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除,并進行登記。對修復(fù)的設(shè)備,設(shè)備修理人員應(yīng)對設(shè)備進行驗收、病毒檢測。
8、管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進行備份后清除,并妥當(dāng)處理廢棄無用的資料和介質(zhì),防止泄密。
9、運行維護部門需指定專人負(fù)責(zé)計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,發(fā)覺病毒剛好清除。
10、營業(yè)用計算機未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)運用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網(wǎng)絡(luò)管理
1、網(wǎng)絡(luò)系統(tǒng)屬于公司無形資產(chǎn),公司有權(quán)限制上網(wǎng)行為,依據(jù)工作須要限制各部門的上網(wǎng)行為。
2、公司網(wǎng)絡(luò)管理員對計算機IP地址統(tǒng)一安排、登記、管理,嚴(yán)禁私自更改IP地址。
3、公司員工必需自覺遵守企業(yè)的有關(guān)保密法規(guī),嚴(yán)禁利用網(wǎng)絡(luò)有意或無意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復(fù)制、轉(zhuǎn)移和破壞公司的文件、資料和數(shù)據(jù)。
4、實行“絕密”文件、涉秘件與計算機網(wǎng)絡(luò)肯定隔離,不得在計算機網(wǎng)絡(luò)中輸入、打印、復(fù)制“絕密”文件和有關(guān)涉秘件。
5、網(wǎng)絡(luò)維護部負(fù)責(zé)文字工作的計算操作人員必需遵守有關(guān)的保密制度,對保密的文件資料進行加密存放,不得上網(wǎng)共享。
六、附則
1、本制度由網(wǎng)絡(luò)部負(fù)責(zé)說明。
2、本制度由總經(jīng)理批準(zhǔn)后生效,自頒布之日起執(zhí)行。
信息安全管理制度10
一、遵守保密規(guī)定,嚴(yán)格控制不應(yīng)公開的檔案信息。
二、保存檔案數(shù)據(jù)信息的計算機不得與公共信息網(wǎng)絡(luò)聯(lián)接,確需聯(lián)接時,必須通過安全保密審查。
三、加強對檔案信息網(wǎng)絡(luò)傳輸?shù)墓芾?確保網(wǎng)絡(luò)和使用過程的信息安全。
四、確定專人負(fù)責(zé)計算機系統(tǒng)的管理工作,并設(shè)置計算機操作系統(tǒng)用戶口令。
五、計算機系統(tǒng)必須安裝防病毒卡或反病毒軟件并及時更新版本,做好防病毒工作。
六、保存檔案數(shù)據(jù)的計算機外送修理時,應(yīng)將有關(guān)數(shù)據(jù)的內(nèi)容清空、刪除或?qū)⒂脖P摘除,并做好計算機修理情況登記。
七、應(yīng)采取有效措施,保證檔案數(shù)據(jù)庫和檔案數(shù)據(jù)安全。所有數(shù)據(jù)至少復(fù)制兩套,并異地保存。
八、信息載體(如硬盤等)損壞,必須拆除后放入待鑒定室專門保存。
九、磁性載體每滿2年、光盤每滿4年應(yīng)進行一次抽樣機讀檢驗,抽樣率不低于10%,如發(fā)現(xiàn)問題應(yīng)及時采取恢復(fù)措施。
十、具有永久保存價值的`文本和圖形形式的電子文件,必須同時制成紙質(zhì)文件或縮微品等拷貝件一并歸檔保存。
十一、應(yīng)加強對歸檔電子文件鑒定銷毀的管理。對于屬于保密范圍的歸檔電子文件,連同存儲載體一起銷毀,并在網(wǎng)絡(luò)上徹底刪除;對于不屬于保密范圍的歸檔電子文件進行邏輯刪除。
十二、以上各條請本單位全體干部職工互相監(jiān)督,共同遵守。對違反本制度的,按國家有關(guān)規(guī)定處理。
信息安全管理制度11
為保障病案科在自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生等突發(fā)事件發(fā)生后,各項救援工作迅速、高效、有序進行,最大限度地減少人員傷亡和病案損失和對社會的不良影響,切實提高病案科工作人員預(yù)防和處置突發(fā)事件的能力,特制定本預(yù)案。
一、應(yīng)急救援工作的原則
(一)統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)、自救與團結(jié)救助相結(jié)合;
(二)明確職責(zé)、落實責(zé)任、依靠科學(xué)、反應(yīng)及時、措施果斷;
(三)救助中,要堅持先主后次、先急后緩、先重后輕的原則。重點保護病案。
(四)病案科所有工作人員都有責(zé)任和義務(wù)參加或配合應(yīng)急救援工作,并服從統(tǒng)一指揮。
二、報告程序
工作時間內(nèi),自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生等突發(fā)事件發(fā)生后,發(fā)現(xiàn)人員要在第一時間向科室領(lǐng)導(dǎo)、分管院長和相關(guān)部門報警,同時積極組織自救。節(jié)假日、8小時外,自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生等突發(fā)事件發(fā)生后,值班人員要在第一時間向科室領(lǐng)導(dǎo)和相關(guān)報警部門報告,同時組織保安人員自救。
三、組織領(lǐng)導(dǎo)
(一)成立醫(yī)院病案管理應(yīng)急救災(zāi)小組,組長由分管院長擔(dān)任,副組
長由醫(yī)務(wù)部主任、病案科主任,成員由病案科全體成員及醫(yī)務(wù)部成員和后勤部相關(guān)成員組成。
(二)職責(zé):醫(yī)務(wù)部、病案科負(fù)責(zé)病案安全保護、搶救工作,后勤部負(fù)責(zé)消防、搬運等環(huán)節(jié)的組織實施和后勤保障工作。
四、突發(fā)事件應(yīng)急措施:
(一)火災(zāi)
1、辦公場所發(fā)生火災(zāi)時,應(yīng)積極自救,撲滅火災(zāi),同時立即撥
打“119”報警。報警時要說明單位、地點、物質(zhì)燃燒種類、是否有人員被圍困、火勢情況,請求滅火,報告人姓名,并記錄報警時間。
2、報警后要安排人員到指定地點迎接消防車,引導(dǎo)消防車輛人員到達(dá)指定位置。
3、消防人員到達(dá)現(xiàn)場后,現(xiàn)場指揮員要向消防負(fù)責(zé)同志報告情況,移交指揮權(quán),協(xié)同公安消防做好滅火工作。
4、要按照現(xiàn)場指揮的要求邊救火邊負(fù)責(zé)內(nèi)外警戒,維護公共秩序,嚴(yán)禁無關(guān)人員進入,保證人員通道暢通。
5、火災(zāi)撲滅后,要組織人員負(fù)責(zé)保護好火災(zāi)現(xiàn)場,配合消防人員調(diào)查火災(zāi)發(fā)生的原因,檢查病案和統(tǒng)計資料損毀程度。并組織維修人員迅速檢修、恢復(fù)各系統(tǒng)設(shè)備的正常運行;保潔人員負(fù)責(zé)清洗打掃現(xiàn)場衛(wèi)生。
(二)突發(fā)洪災(zāi)或漏水
1、發(fā)生洪澇災(zāi)害或工作人員發(fā)現(xiàn)漏水事件后,應(yīng)及時報告科室領(lǐng)導(dǎo),并通知后勤維修人員要第一時間趕赴現(xiàn)場處置。
2、后勤維修人員到達(dá)現(xiàn)場后,視漏水情況,妥善采取緊急應(yīng)對措施。若水勢過大漏水嚴(yán)重,應(yīng)切斷電源,防止漏水漏電傷人。在條件充許的'情況下,盡量將漏水點控制住(如關(guān)閉水閥、用水桶接住漏水點等)。
3、要在第一時間內(nèi)組織工作人員保護和轉(zhuǎn)移現(xiàn)場病案和重要統(tǒng)計資料、電腦信息系統(tǒng),并指定人員看管,防止丟失。
(三)盜竊案件
1、在工作中遇到或發(fā)現(xiàn)有盜竊案件時,為保護醫(yī)院病案安全,發(fā)現(xiàn)人要立即向科室領(lǐng)導(dǎo)和醫(yī)院保衛(wèi)處報告,同時封鎖辦公樓的各個出口,重大案件要立即撥打“110”電話報警。
2、要保護好案發(fā)現(xiàn)場,任何人不得擅自觸摸和移動任何東西,待公安部門人員勘察現(xiàn)場或勘察完畢后,方可恢復(fù)原狀。
3、要記錄好被盜病案和物品的名稱、價值等情況。
(四)停電
1、工作中出現(xiàn)停電現(xiàn)象及時打電話通知后勤處維修
2、拔掉復(fù)印機、電腦等電器電源插頭,防止供電恢復(fù)時損壞機器。
(五)災(zāi)情消除后,立即整理、補救、修復(fù)病案信息資料,將損失降到最低,統(tǒng)計并做好相關(guān)登記、記錄,查找原因,總結(jié)經(jīng)驗教訓(xùn)。
信息安全管理制度12
醫(yī)院信息安全管理制度:
一、信息系統(tǒng)安全包括:軟件安全和硬件網(wǎng)絡(luò)安全兩部分。
二、網(wǎng)絡(luò)信息辦公室人員必須采取有效的方法和技術(shù),防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密;硬件破壞及失效等災(zāi)難性故障。
三、對HIS系統(tǒng)用戶的訪問模塊、訪問權(quán)限由院長提出后,由網(wǎng)絡(luò)信息辦公室人員給予配置,以后變更必須報批后才能更改,網(wǎng)絡(luò)信息辦公室做好變更日志存檔。
四、系統(tǒng)管理人員應(yīng)熟悉并嚴(yán)格監(jiān)督數(shù)據(jù)庫使用權(quán)限、用戶密碼使用情況,定期更換用戶口令或密碼。網(wǎng)絡(luò)管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時內(nèi)由網(wǎng)絡(luò)信息辦公室人員監(jiān)督檢查更換新的密碼。
五、網(wǎng)絡(luò)信息辦公室人員要主動對網(wǎng)絡(luò)系統(tǒng)實行監(jiān)控、查詢,及時對故障進行有效隔離、排除和恢復(fù)工作,以防災(zāi)難性網(wǎng)絡(luò)風(fēng)暴發(fā)生。
六、網(wǎng)絡(luò)系統(tǒng)所有設(shè)備的配置、安裝、調(diào)試必須由網(wǎng)絡(luò)信息辦公室人負(fù)責(zé),其他人員不得隨意拆卸和移動。
七、上網(wǎng)操作人員必須嚴(yán)格遵守計算機及其他相關(guān)設(shè)備的操作規(guī)程,禁止其他人員進行與系統(tǒng)操作無關(guān)的`工作。
八、嚴(yán)禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。 九、所有進入網(wǎng)絡(luò)的光盤、U 盤等其他存貯介質(zhì),必須經(jīng)過網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人同意并查毒,未經(jīng)查毒的存貯介質(zhì)絕對禁止上網(wǎng)使用,對造成“病毒"蔓延的有關(guān)人員,將對照《計算機信息系統(tǒng)處罰條例》進行相應(yīng)的經(jīng)濟和行政處罰。
十、在醫(yī)院還沒有有效解決網(wǎng)絡(luò)安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統(tǒng)和堡壘主機)的情況下,內(nèi)外網(wǎng)獨立運行,所有終端內(nèi)外網(wǎng)不能混接。
十一、內(nèi)網(wǎng)用戶所有文件傳遞,不得利用光盤和U 盤等存貯介質(zhì)進行拷貝。 十二、保持計算機硬件網(wǎng)絡(luò)設(shè)備清潔衛(wèi)生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網(wǎng)絡(luò)信息辦公室人員有權(quán)監(jiān)督和制止一切違反安全管理的行為。
十四、 信息系統(tǒng)故障應(yīng)急預(yù)案:
1、對網(wǎng)絡(luò)故障的判斷:當(dāng)網(wǎng)絡(luò)系統(tǒng)終端發(fā)現(xiàn)計算機訪問數(shù)據(jù)庫速度遲緩、不能進入相應(yīng)程序、不能保存數(shù)據(jù)、不能訪問網(wǎng)絡(luò)、應(yīng)用程序非連續(xù)性工作時,要立即向網(wǎng)絡(luò)信息辦公室匯報,網(wǎng)絡(luò)信息辦公室工作人員對科室提出的上述問題必須重視,經(jīng)核實后給予科室反饋信息。網(wǎng)絡(luò)信息辦公室負(fù)責(zé)人應(yīng)召集有關(guān)人員及時進行討論,如果故障原因明確,可以立刻恢復(fù)工作的,應(yīng)立即恢復(fù)工作;如故障原因不明確、情況嚴(yán)重不能在短期內(nèi)排除的,應(yīng)立即報告院領(lǐng)導(dǎo),在網(wǎng)絡(luò)不能運轉(zhuǎn)的情況下由機關(guān)協(xié)調(diào)全院工作以保障醫(yī)療工作的正常運轉(zhuǎn)。
2、網(wǎng)絡(luò)故障分為三類:
(1)一類故障:服務(wù)器不能工作;光纖損壞;主服務(wù)器數(shù)據(jù)丟失;備份盤損壞;服務(wù)器工作不穩(wěn)定;局部網(wǎng)絡(luò)不通;數(shù)據(jù)被人刪改;重點終端故障;規(guī)律性的整體、局部軟、硬件故障。
(2)二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數(shù)據(jù)處理錯誤;某些科室違反工作流程要求。
(3)三類故障:各終端由于不熟練或使用不當(dāng)造成的錯誤。
信息安全管理制度13
網(wǎng)絡(luò)與信息的安全不僅關(guān)系到公司正常業(yè)務(wù)的開展,還將影響到國家的安全、社會的穩(wěn)定。我公司將認(rèn)真開展網(wǎng)絡(luò)與信息安全工作,通過檢查進一步明確安全責(zé)任,建立健全的管理制度,落實技術(shù)防范措施,保證必要的經(jīng)費和條件,對有毒有害的信息進行過濾、對用戶信息進行保密,確保網(wǎng)絡(luò)與信息安全。
一、網(wǎng)站運行安全保障措施
1、網(wǎng)站服務(wù)器和其他計算機之間設(shè)置經(jīng)公安部認(rèn)證的防火墻,做好安全策略,拒絕外來的惡意攻擊,保障網(wǎng)站正常運行。
2、在網(wǎng)站的服務(wù)器及工作站上均安裝了正版的防病毒軟件,對計算機病毒、有害電子郵件有整套的`防范措施,防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。
3、做好日志的留存。網(wǎng)站具有保存60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能,內(nèi)容包括IP地址及使用情況,主頁維護者、郵箱使用者和對應(yīng)的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識別確認(rèn)功能,對沒有合法手續(xù)和不具備條件的電子公告服務(wù)立即關(guān)閉。
5、網(wǎng)站信息服務(wù)系統(tǒng)建立雙機熱備份機制,一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運行,保證備用系統(tǒng)能及時替換主系統(tǒng)提供服務(wù)。
6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能,及相關(guān)端口,并及時用補丁修復(fù)系統(tǒng)漏洞,定期查殺病毒。
7、服務(wù)器平時處于鎖定狀態(tài),并保管好登錄密碼;后臺管理界面設(shè)置超級用戶名及密碼,并綁定IP,以防他人登入。
8、網(wǎng)站提供集中式權(quán)限管理,針對不同的應(yīng)用系統(tǒng)、終端、操作人員,由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限,并設(shè)置相應(yīng)的密碼及口令。不同的操作人員設(shè)定不同的用戶名,且定期更換,嚴(yán)禁操作人員泄漏自己的口令。對操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定,并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。
9、公司機房按照電信機房標(biāo)準(zhǔn)建設(shè),內(nèi)有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統(tǒng)和消防系統(tǒng),定期進行電力、防火、防潮、防磁和防鼠檢查。
二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,實現(xiàn)信息安全保密責(zé)任制,切實負(fù)起確保網(wǎng)絡(luò)與信息安全保密的責(zé)任。嚴(yán)格按照“誰主管、誰負(fù)責(zé)”、“誰主辦、誰負(fù)責(zé)"的原則,落實責(zé)任制,明確責(zé)任人和職責(zé),細(xì)化工作措施和流程,建立完善管理制度和實施辦法,確保使用網(wǎng)絡(luò)和提供信息服務(wù)的安全。
2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成,工作人員素質(zhì)高、專業(yè)水平好,有強烈的責(zé)任心和責(zé)任感。網(wǎng)站所有信息發(fā)布之前都經(jīng)分管領(lǐng)導(dǎo)審核批準(zhǔn)。工作人員采集信息將嚴(yán)格遵守國家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴(yán)禁通過我公司網(wǎng)站及短信平臺散布《互聯(lián)網(wǎng)信息管理辦法》等相關(guān)法律法規(guī)明令禁止的信息(即“九不準(zhǔn)”),一經(jīng)發(fā)現(xiàn),立即刪除。
3、遵守對網(wǎng)站服務(wù)信息監(jiān)視,保存、清除和備份的制度。開展對網(wǎng)絡(luò)有害信息的清理整治工作,對違法犯罪案件,報告并協(xié)助公安機關(guān)查處。
4、所有信息都及時做備份。按照國家有關(guān)規(guī)定,網(wǎng)站將保存60天內(nèi)系統(tǒng)運行日志和用戶使用日志記錄,短信服務(wù)系統(tǒng)將保存5個月以內(nèi)的系統(tǒng)及用戶收發(fā)短信記錄。
5、制定并遵守安全教育和培訓(xùn)制度。加大宣傳教育力度,增強用戶網(wǎng)絡(luò)安全意識,自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī),不泄密、不制作和傳播有害信息,不鏈接有害信息或網(wǎng)頁。
三、用戶信息安全管理制度
1、我公司鄭重承諾尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私政策和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下,未經(jīng)用戶授權(quán)我公司不會隨意公布與用戶個人身份有關(guān)的資料,除非有法律或程序要求。
2、所有用戶信息將得到本公司網(wǎng)站系統(tǒng)的安全保存,并在和用戶簽署的協(xié)議規(guī)定時間內(nèi)保證不會丟失;
3、嚴(yán)格遵守網(wǎng)站用戶帳號使用登記和操作權(quán)限管理制度,對用戶信息專人管理,嚴(yán)格保密,未經(jīng)允許不得向他人泄露。
公司定期對相關(guān)人員進行網(wǎng)絡(luò)信息安全培訓(xùn)并進行考核,使員工能夠充分認(rèn)識到網(wǎng)絡(luò)安全的重要性,嚴(yán)格遵守相應(yīng)規(guī)章制度。
信息安全管理制度14
一、 為加強計算機的安全監(jiān)察工作,預(yù)防和控制計算機病毒,保障計算機系統(tǒng)的正常運行,根據(jù)國家有關(guān)規(guī)定,結(jié)合實際情況,制定本制度。
二、 凡在本酒店所轄計算機進行操作、運行、管理、維護、使用計算機系統(tǒng)的正常運行,根據(jù)國際有關(guān)規(guī)定,結(jié)合實際情況,制定本制度。
三、 本辦法所稱計算機病毒,是指編制或者在計算機程序中插入的破壞計算機系統(tǒng)功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼。
四、 任何人不得制作和傳播計算機病毒。
五、 任何工作人員人不得有下列傳播計算機病毒的行為:
1、 故意輸入計算機病毒,危害計算機信息系統(tǒng)安全。
2、 向計算機應(yīng)用部門提供含有計算機病毒的文件、軟件、媒體。
3、 購置和使用含有計算機病毒的媒體。
六、 預(yù)防和控制計算機病毒的安全管理工作,其主要職責(zé)是:
1、 制定計算機病毒防治管理制度和技術(shù)規(guī)程,并檢查執(zhí)行情況;
2、 培訓(xùn)計算機病毒防治管理人員;
3、 采取計算機病毒安全技術(shù)防治措施;
4、 對計算機信息系統(tǒng)應(yīng)用和使用人員進行計算機病毒防治教育和培訓(xùn);
5、 及時檢測、清除計算機系統(tǒng)中的計算機病毒,并做好檢測、清除的記錄;
6、 購置和使用具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的家算計病毒防治產(chǎn)品;
7、 對因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時向相關(guān)領(lǐng)導(dǎo)報告,并保護現(xiàn)場。
七、 計算機安全管理部門應(yīng)加強對計算機操作人員的審查,并定期進行安全教育和培訓(xùn)。
八、 計算機安全管理部門應(yīng)對引起的計算機及其軟件進行計算機病毒檢測,發(fā)現(xiàn)染有計算機病毒的.,應(yīng)采取措施加以消除,在未消除病毒之前不準(zhǔn)投入使用。
九、 通過網(wǎng)絡(luò)進行電子郵件或文件傳輸,應(yīng)及時對傳輸媒體進行病毒檢測,接收到郵件時也要及時進行病毒檢測,以防止計算機病毒的傳播。
十、 任何部門和個人不得從事下列活動:
1、 收集、研究有害數(shù)據(jù);
2、 出版、刊登、講解、出租有害數(shù)據(jù)原理、源程序的書籍、資料或文章;
3、 復(fù)制有害數(shù)據(jù)的檢測、清除工具。
十一、積極接受公安機關(guān)對計算機病毒防治管理工作的監(jiān)督、檢查和指導(dǎo)。
信息安全管理制度15
堅持“安全第一,預(yù)防為主,綜合治理”的原則。
按規(guī)定穿戴好勞動保護用品。
在廠區(qū)走安全通道和安全區(qū),遠(yuǎn)離天車或吊車空中懸吊物品,不沿著火車軌道走,過火車道時遵守交通規(guī)則。
登記防火器材資料,并定期檢查,保證使用功能。
吸煙者要嚴(yán)格遵守公司規(guī)定,到指定場所吸煙,不能隨便扔煙頭,有效處理煙頭,確保熄滅為止。
設(shè)備室和工作室都要采取防水、防火、防電、防偷盜的措施,工作室禁止使用大功率生活用電設(shè)備,下班后關(guān)閉計算機。
若發(fā)現(xiàn)機柜和機箱漏電、空開打開或其他異聲、異味、異象,分析解決,并及時做安全紀(jì)錄;若有必要,立即向?qū)I(yè)人員求助,并向上級領(lǐng)導(dǎo)和安全員匯報。
注重節(jié)能環(huán)保,根據(jù)天氣情況,及時關(guān)閉電燈等電器。
【信息安全管理制度】相關(guān)文章:
信息安全管理制度01-04
醫(yī)院信息安全管理制度05-08
公司信息安全管理制度06-11
信息安全管理制度(通用)08-02
(優(yōu)秀)信息安全管理制度08-02
信息安全管理制度通用07-18
信息安全管理制度(精選15篇)06-09
企業(yè)信息安全管理制度02-01