信息安全管理制度[集合15篇]
在日新月異的現代社會中,制度起到的作用越來越大,制度具有使我們知道,應該做什么,不應該做什么,懲惡揚善、維護公平的作用。擬定制度的注意事項有許多,你確定會寫嗎?下面是小編為大家收集的信息安全管理制度,歡迎閱讀,希望大家能夠喜歡。
![信息安全管理制度[集合15篇]](https://p.9136.com/00/l/d6c6b6c803_6136d9e1da57e.jpg)
信息安全管理制度1
第一節總則
1、為加強醫院信息技術外包服務的安全管理,保證醫院信息系統運行環境的穩定,特制定本制度。
2、本制度所稱信息技術外包服務,是指醫院以簽訂合同的方式,托付擔當信息技術服務且非本醫院所屬的專業機構供應的信息技術服務,主要包括信息技術詢問服務、運行維護服務、技術培訓及其它相關信息化建設服務等。
3、安全管理是以平安為目的,進行有關安全工作的方針、決策、安排、組織、指揮、協調、限制等職能,合理有效地運用人力、財力、物力、時間和信息,為達到預定的平安防范而進行的各種活動的總和,稱為安全管理。
4、外包服務安全管理遵循關于平安的全部商業準則及適當的外部法律、法規。
5、外包服務包括信息技術詢問服務、運行維護服務、技術培訓等。
6、詢問服務:
6.1依據醫院的信息化建設總體部署,幫助醫院制定切實可行的技術實施方案。
6.2對醫院現有的信息技術基礎架構、設備運行狀態和應用狀況進行診斷和評估,提出合理化的解決方案。
6.3依據醫院的實際狀況提出備份方案和應急方案。
6.4其它信息技術詢問服務。
7、運行維護服務:
7.1軟硬件設備安裝、升級服務。
7.2硬件設備的修理和保養。
7.3依據醫院業務改變,供應應用系統功能性的'需求解決方案及執行服務。
7.4系統定期巡檢和整體性能評估。
7.5日常業務數據問題的處理服務。
7.6其它運行維護服務。
8、技術培訓:依據醫院的實際狀況,供應相關的技術培訓。
第二節外包服務安全管理
9、外包服務安全管理應根據“平安第一、預防為主”的原則,實行科學有效的安全管理措施,應用確保信息安全的技術手段,建立權責明確、覆蓋信息化全過程的崗位責任制,對信息化全過程實行嚴格監督和管理,確保信息安全。
10、成立由分管領導同志信息化外包管理組織,明確信息化管理的部門、人員及其職責。
11、建立信息建設平安保密制度,與外包服務方簽訂平安保密協議或合同,明確符合安全管理及其它相關制度的要求。并對服務人員進行平安保密教化。
12、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質管理等操作規程或規章制度。
13、外包服務方的人員素養、技術與管理水平能夠滿意擬擔當項目的要求,進行相應的平安資質管理。
14、信息中心配備專人負責平安保密工作,負責日常信息安全監督、檢查、指導工作。對服務方供應的服務進行平安性監督與評估,實行平安措施對訪問實施限制,出現問題應遵照合同規定剛好處理和報告,確保其供應的服務符合醫院的內部限制要求。
15、對外包服務的業務應用系統運行的平安狀況應定期進行評估,當出現重大平安問題或隱患時應進行重新評估,提出改進看法,直至停止外包服務。
16、運用外包服務方設備的,對其進行必要的平安檢查。
17、在重要平安區域,對外部服務方的每次訪問進行風險限制;必要時應外部服務方的訪問進行限制。
第三節附則
18、本制度由信息中心負責說明。
19、本制度自發布之日起生效執行。
信息安全管理制度2
信息安全管理制度
總則
為加強我院計算機和網絡的穩定,充分發揮醫院計算機設備及網絡的工作效率,保障醫院計算機和網絡的安全運行,特制定本管理規定。具體內容如下:
第一章 計算機安全管理
1、醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統.嚴禁暴力使用計算機或蓄意破壞計算機軟硬件. 2、未經許可,不得擅自拆裝計算機硬件系統,若須拆裝,則通知網絡管理技術人員進行.
3、計算機的軟件安裝和卸載工作必須由網絡管理員進行。
4、計算機的使用必須由其合法授權者使用,未經授權不得使用. 5、醫院計算機僅限于醫院內部工作使用,原則上不許接入互聯網。因工作需要接入互聯網的,需書面向醫務科提出申請,經簽字批準后交網絡管理員負責接入。接入互聯網的計算機必須安裝正版的反病毒軟件。并保證反病毒軟件實時升級。
6、醫院任何科室如發現或懷疑有計算機病毒侵入,應立即斷開網絡,同時通知網絡管理員負責處理。網絡管理員應采取措施清除,并向主管院領導報告備案。
7、醫院計算機內不得安裝游戲、即時通訊等與工作無關的軟件,盡量不在院內計算機上使用來歷不明的`移動存儲工具。
8、未經部門領導批準,任何人不得改變網絡拓撲結構,網絡設備的布置和參數的配置。
網絡使用人員行為規范
1、不得在醫院網絡中制作、復制、查閱和傳播國家法律、法規所禁止的信息。
2、不得在醫院網絡中進行國家相關法律法規所禁止的活動。 3、未經允許,不得擅自修改計算機中與網絡有關的設置。 4、未經允許,不得私自添加、刪除與醫院網絡有關的軟件。 5、未經允許,不得進入醫院網絡或者使用醫院網絡資源。 6、未經允許,不得對醫院網絡功能進行刪除、修改或者增加. 7、未經允許,不得對醫院網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加.
8、不得故意制作、傳播計算機病毒等破壞性程序。 9、不得進行其他危害醫院網絡安全及正常運行的活動。
第二章網絡硬件的管理
網絡硬件包括服務器、路由器、交換機、通信線路、不間斷供電設備、機柜、配線架、信息點模塊等提供網絡服務的設施及設備。 1、各職能部門、各科室應妥善保管安置在本部門的網絡設備、設施及通信。
2、 不得破壞網絡設備、設施及通信線路。由于事故原因造成的網絡
連接中斷的,應根據其情節輕重予以處罰或賠償。
3、 未經允許,不得中斷網絡設備及設施的供電線路。因生產原因必
須停電的,應提前通知網絡管理人員。
4、 不得擅自挪動、轉移、增加、安裝、拆卸網絡設施及設備。特殊
情況應提前通知網絡管理員,在得到允許后方可實施。 5、 各科主任指定本科室工作站的計算機由專人管理,并把管理人員的名字連同管理機的機器號報到信息中心,由計算機中心做統一登記。
6、 各科室交換機、路由器設備由科主任、護士長監督管理,不得讓
其它電腦任意接入院內網絡。
7、 在各科工作站計算機上,除了醫院指定用系統外上不得安裝運行
任何程序及游戲,不得私自卸載任何軟件,不得私自存儲任何文件,不得任意外接任何設備(如U盤、移動硬盤、移動光驅、藍牙等),不得私自更換計算機及網絡設備,必須保證各工作站的單一工作姿態,計算機中心將不定期檢查,如果發現將追究管理計算機指定人員的責任并上報醫院給予行政和經濟處罰或回收電腦使用權.
8、各科室計算機禁止無關人員在工作站上進行系統操作,實習生須在代教醫生的指導下才可以使用計算機,代教醫生不得為自己方便私自讓實習生單獨為病人做開醫囑等的系統操作,實習生不可單獨使用計算機。任何操作員離開計算機后必須先退出系統, 下班后必須關閉計算機,或做好交班工作。
9、計算機操作員(醫生、護士)不得將其本人系統操作密碼任意告訴其它人,包括實習生。
10、當計算機出現故障時,操作員應該積極主動的配合維修人員,盡快的恢復工作狀態。
11、計算機出現故障后,當維修人員檢查出是人為破壞或操作失誤等情況后,維修人員需把情況向計算機所屬部門的科主任匯報,并要求科主任提出處理意見。
12、各科室必須嚴格保證計算機周圍衛生、通風情況,不得亂放雜物
在計算機周圍,愛護計算機,讓水、強磁性物品、零食等遠離計算機。
13、電腦或網絡出現故障后應及時報告網絡管理辦公室安排處理,不得擅自拆卸機箱和插拔網線。
14、各科室負責人要加強對本科室計算機的使用管理,如操作人員違反制度,造成不良后果的,除追究當事人責任外,還要追究科室負責人的責任。
15、在接入電腦的電路上不得任意接入其它任何電器,以防止以外發生。
第三章 軟件及信息安全
1、未經部門領導批準,任何人不得改變網絡拓撲結構,網絡設備的布置和參數的配置。
2、不得在醫院局域網上利用計算機技術侵占其它用戶的合法利益,不得制作、復制和傳播妨害醫院穩定的有關信息。
3、禁止在醫院局域網上制造傳播計算機病毒木馬,不得故意引入計算機病毒木馬。
4、在工作時間內,不得在計算機上打游戲、聽歌、看電視、下載、偷菜、隨意安裝軟件
5、愛護計算機,下班請按時關閉電腦.
6、計算機等辦公設施均由專人使用負責,使用人應加以愛護,如系人為損壞,則由使用人負責承擔維護費用。
7、計算機及外設所配軟件及驅動程序交網絡管理人員保管,以便統一維護和管理。
8、管理系統軟件由網絡管理員按使用范圍進行安裝,其他任何人不得安裝、復制、傳播此類軟件。
9、 網絡資源及網絡信息的使用權限由網絡管理員按醫院的有關規定予以分配,任何人不得擅自超越權限使用網絡資源及網絡信息。
10、網絡的使用人員應妥善保管各自的密碼及身份認證文件,不得將密碼及身份認證文件交與他人使用。
11、任何人不得將含有醫院信息的計算機或各種存儲介質交與無關人員,更不得利用醫院數據信息獲取不正當利益。
信息安全管理制度3
第一條、“信息系統平安保密”是一項常抓不懈的工作,每名系統管理員都必需提高信息安全保密意識,充分相識到信息安全保密的重要性及必要性。對重要系統的系統崗位員工進行信息系統平安保密培訓。
第二條、實行信息發布責任追究制度,全部信息的發布必需按規定辦理審核、審簽手續,必需真實有效且符合中華人民共和國法規。涉及國家及公司機密的信息系統必需與內部網和互聯網實施物理隔離,嚴格執行上網信息的審查制度和涉及國家隱私的信息不得在企業內網發布的規定,杜絕泄密事務的發生。凡發布虛假、反動、色情、泄密等內容,追究信息報送和審核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、信息系統管理權限從平安級別上分為絕密、機密、隱私;從適用對象上分為高級管理員、系統管理員、高級用戶、中級用戶、一般用戶、特別用戶;從操作承載體上分為服務器(包括系統服務器、應用服務器和限制服務器)、工作終端、用戶終端;從設定內容上分為完全限制、權限設置變更廢止、創建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作等。
第四條、全部信息系統的運用者和不同平安等級信息之間必需存在授權關系,并在新建信息系統開發建設階段形成方案并加以設計,在軟件系統中預留對應關系設置的功能,依據運用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對信息系統的硬件配置調整、軟件參數修改嚴加限制。利用操作系統、數據庫系統、應用系統所供應的平安機制,設置相應的平安參數,保證系統訪問的平安;對于重要的計算機設備,要利用軟件技術等手段防止員工擅自安裝、卸載軟件或變更軟件系統配置,并定期對以上狀況進行檢查。
第六條、信息系統如須要托付專業機構進行系統運行和維護管理時,應嚴格審查其資質條件、市場剩余和信用狀況等,并且與其簽訂正式的服務合同和保密協議。
第七條、全部信息系統服務器、工作終端、用戶終端必需安裝平安防病毒軟件,對未安裝防病毒軟件的`終端用戶有權拒絕為其供應網絡接入服務。
第八條、利用防火墻、路由器、入侵檢測等網絡設備,加強網絡平安,嚴密防范來自互聯網的黑客攻擊和非法侵入。
第九條、對于通過互聯網傳輸的涉密或關鍵業務數據,要實行必要的技術手段確保信息傳遞的保密性、精確性、完整性。
第十條、對于停止運行的廢舊系統,應當做好系統中有價值及涉密信息的銷毀、轉移等善后工作。
第十一條、系統管理人員要遵守信息系統的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業務系統的訪問建立用戶管理制度,對于不同類別不同級別的各類管理及運用人員實行密碼分級管理,設定密碼有效期限,對密碼存儲采納非明文二次加密技術防止各類密碼泄露事故的發生。
信息安全管理制度4
一、前言
文章對企業計算機網絡安全存在的問題進行了介紹,對影響企業計算機網絡系統安全的因素進行了闡述,通過分析,并結合自身實踐經驗和相關理論知識,對加強企業網絡安全管理措施進行了探討。
二、企業計算機網絡安全存在的問題
1.安全意識淡薄
在企業網絡系統中,每一臺計算機的安全性都會影響整個系統的安全性能,網絡安全與每個用戶息息相關。內部員工了解公司的網絡結構、數據存放方式和地點甚至掌握業務系統的密碼。在具有嚴格訪問權限的系統中,使用弱密碼的用戶有可能成為安全系統中的缺陷,甚至有些人隨意改動系統注冊表,使得整個網絡安全系統失效。
2.網絡安全體系不健全
當前很多企業盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統性,對于企業網絡信息安全保護缺乏統一的、明確的指導思想,沒有建立一個完善的安全體系,這是引發安全問題的主要源頭。
3.網絡黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業的內部資料對于整個企業經營來說相當重要,因為它關系到整個企業的生死存亡。企業存放信息會因網絡黑客攻擊而造成資料的泄密。
4.來自企業外部的感染
來自企業外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發性等特點,通過入侵網絡系統和設備,對數據進行破壞,使網絡癱瘓,不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發,因而其傳播速度要遠遠大于計算機病毒,其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序,它可以利用網絡遠程控制安裝有服務端程序的主機,實現對主機的控制或者竊取主機上的機密信息。
5.來自企業網絡內部的攻擊
企業防護重點是對外,往往忽視對內部防護的重視。利用企業內部計算機對企業局域網絡進行攻擊,企業局域網絡也會受到嚴重攻擊,當前企業內部攻擊行為大大加強了企業網絡安全的風險。
三、影響企業計算機網絡系統安全的因素
1.病毒攻擊
目前,計算機病毒的制造者大多利用Internet網絡進行傳播,因中小企業防范薄弱管理規范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統,也可能會大量占用網絡帶寬,阻塞正常流量,如:發送垃圾郵件的病毒,從而影響企業計算機網絡的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業在軟件采用上大都以節約為本,不注重也不舍得花銷來進行軟件更新的后期升級服務,以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進行攻擊。
3.職員不當操作
中小企業計算機管理人員配置少,監督管理都難以細致,其它職工在信息化系統操作中容易出現工作馬虎,不細心,不按成型的規范操作,不遵守制定的相應規章制度。中小企業中很多職工信息安全意識不強,將自己的生日或工號作為系統口令,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改。
四、加強企業網絡安全管理措施
1.要加大對計算機網絡與信息安全工作的投入。信息技術進步神速,我國在這一領域同發達國家比,并沒有優勢。因此我國更應加大投入,刻苦攻關,掌握一些關鍵的信息技術,以確保我國在信息安全方面的自主能力。可以毫不夸張地說,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應當像五六十年代發展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術革命的挑戰,保衛國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術方面,發達國家一方面極為重視研究開發,美國政府曾為了改進美國政府的計算機安全系統,投入巨大的資金;另一方面,又嚴格控制信息安全技術的出口。以美國為代表的發達國家,對信息安全產品出口,已作出許多嚴格限制,以維護其在信息技術領域的絕對優勢。
2.關鍵數據采用加密手段。在企業計算機網絡中關于數據安全的隱患無處不在。尤其是一些機密數據庫、商業數據等一定要保證它的安全性,這時一般會采取對數據加密的手段,它是一種保護數據在存儲和傳遞過程中不被竊取或修改的一種手段,該數據加密系統在使用的過程中需要綜合考慮執行效率與安全性之間的平衡。
3.加強安全管理力度健全管理制度。首先,加強信息安全管理力度應積極采取宏觀管理與重點監控相結合的方式,保證信息化項目的安全性。系統的實施及管理部門應該全面掌握各單位的計算機網絡系統的相關情況,為企業統一管理提供可靠依據。同時,對重點工程實地考察,對信息安全進行檢查,發現問題及時解決。
4.事務管理和故障恢復。事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。計算機同其他設備一樣,都可能發生各種各樣的故障,比如電源故障、軟件故障、災害故障以及人為破壞等,這些故障可能會造成數據庫的數據丟失,因此為了保證計算機的安全運行,必須在發生故障時采取必要的措施恢復數據庫,事務管理和故障恢復就是這個作用,它能夠保障數據庫在出現故障時,仍可以把數據庫系統還原到正常狀態。
五、企業信息安全新形勢
網絡信息安全工作始終是通信行業最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。20xx年3G及寬帶網絡蓬勃發展,三網融合開始實施操作,云計算和物聯網產業方興未艾,需求的`個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰,行業中企業要進一步提高對網絡信息安全重要性的認識,發展與管理并重,加強部門協調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化,通過核心技術掌握自主知識產權,加快發展自主可控的信息安全產業,建設新時期通信行業網絡安全、信息安全長城。
從國際國內出現的安全現象出發,應對多種復雜的安全新問題,應該借助于RFID等物聯網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作,通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境,來共同改善全球的網絡與信息安全問題。
結束語
隨著科技的發展,一些不法份子和黑客通過計算機網絡竊取企業商業機密的現象越來越多,因此,對于計算機網絡信息安全管理應該予以高度重視,否則可能對企業造成不可預估的損失。信息安全管理的重要性20xx-10-23 16:26 | #2樓
隨著計算機技術的不斷發展,計算機被廣泛地應用于各個領域。在企業中,利用計算機進行管理可以顯著的提高工作效率,使企業管理水平有一個明顯的提高。對于中小企業而言,信息化是中小企業迎接新經濟的挑戰,提高企業運作效率、降低經營管理成本、把握新的商業機會的必由之路。在各類管理信息系統中,信息制作和傳播等都要涉及信息的存儲、傳輸與使用等信息處理問題,而信息處理過程中的信息安全問題尤為突出。對于存儲在計算機中的重要文件、數據庫中的重要數據等信息,一旦丟失、損壞或泄露、不能及時送達,都會給企業造成很大的損失。如果是商業機密信息,給企業造成的損失會更大,甚至會影響到企業的生存和發展。
目前,國內大中型企業由于信息化起步早、資金和技術力量充足、管理制度較為完善,因此信息安全體系成熟度也相對較高,但眾多中小企業由于資金、技術等方面的原因,在信息安全性方面普遍存在著嚴重漏洞,與大型企業、行業用戶相比,它們更容易受到網絡病毒的侵害,損失同樣嚴重。因此構建一個成熟的信息安全管理體系對中小企業尤為重要。
信息安全管理制度5
1.前言
1.1.目的
制定本制度的目的是保證公司IT系統有效、安全的運行,保證系統數據安全。
1.2.范圍
本制度適用于中電電氣(南京)光伏有限公司數據中心的日常運行。
2.控制點
2.1.日常運轉
1)各系統負責人(職責分工見【SODmatrix】),隨時處理網絡故障、解決網絡問題、保持網絡暢通、提高網絡的可用性和可靠性。
2)每周兩次檢查機房服務器、交換機、路由器、光纖收發器等設備運行情況,每周需填寫【資源檢查記錄表】;晚上或節假日期間,視網絡應用情況,設置現場值班或呼叫值班。
3)保持設備表面干凈整潔,操作設備時佩戴防靜電手環等。
4)機房管理員注意機房的溫度和濕度,機房溫度:18~30攝氏度,相對濕度:40%~60%。
5)公司員工不得私自安裝未經授權或非法的軟件,授權軟件詳見【授權軟件記錄表】,信息管理部系統管理人員每半年通過SMS對用戶安裝軟件進行檢查,對非法軟件進行刪除,并填寫【用戶軟件檢查記錄表】,記錄用戶安裝的異常信息及處理結果,并報IT經理審核。
2.2.病毒黑客預防管理
1)網絡管理員每周監控企業防病毒服務器的升級情況,監控機房中服務器殺毒軟件的更新情況,在服務器上設置自動更新、定期掃描策略(配置見公司殺毒服務器配置),并填寫【資源更新記錄表】,每月報IT經理審核。
2)每周信息管理部網絡管理員通過現場或通過SMS管理軟件檢查客戶端計算機防毒軟件的升級情況和實時監控狀態,并填寫【資源檢查記錄表】,每月報IT經理審核。
3)信息管理部網絡管理人員隨時注意Internet上病毒流行和爆發動態,并及時向客戶端計算機發出病毒預警。
4)要有病毒爆發后的緊急處理預案,以便快速恢復系統,保證系統及時相應服務。
5)利用ISA服務器或Netscreen防火墻屏蔽黑客或病毒常用的端口,提高密碼復雜度等。每周三WSUS服務器及時下推補丁給信息管理部,如補丁安裝完后沒有問題,每周四WSUS服務器及時下推補丁給網絡中所有的計算機。
6)信息部網絡管理員每天監控網絡的健康狀態,觀測網絡流量。
2.3.帳戶安全管理
1)用戶開戶和權限變更,需填寫【賬戶變更申請單】,經部門經理IT經理審批后,最后由信息管理部各系統管理員進行各應用系統的帳戶的開戶工作、變更工作。帳戶注銷,直接由各系統管理員在人力資源部的員工離職交接單中簽字后,在系統中執行相關操作。
2)臨時開設的帳戶也需要填寫【賬戶變更申請單】,一定要控制好帳戶過期時間和權限。系統缺省的管理員帳號必須禁用或修改初始密碼,系統管理員賬號需填寫【權限授權表】,經IT經理審核后,方可執行,系統管理員帳號的密碼在移交后的第一次登錄時必須重新設置密碼。
3)用戶帳戶僅限于本人使用,不得以任何方式將賬戶和密碼轉借他人,不得窺視或盜用他人的賬戶和密碼。同時,用戶有妥善保管自己賬戶和密碼的責任和義務,不得泄露。
4)各系統管理員每半年檢查一次帳戶信息,導出各系統賬戶及權限清單,與各部門經理確認系統帳戶和權限是否與申請人實際使用情況相符,由部門經理簽字確認,填寫【資源檢查記錄表】,報IT經理審核。
5)現涉及到的帳戶類型如下:域賬戶、電子郵件賬戶、SAP賬戶、無線網帳戶。
6)如果系統策略允許,使用帳戶10次登錄失敗后帳戶立即鎖定。
7)如果系統策略允許,帳戶鎖定60分鐘后自動解鎖。
2.4.密碼安全策略
如果系統支持密碼復雜度管理,則啟用密碼復雜度規則,滿足如下條款。
1)密碼長度最短為八個字符。
2)必須同時包含以下四個類別字符中的三類字符:英文大寫字母(從A到Z),英文小寫字母(從a到z),數字(從0到9),非字母字符(例如,!、$、#、%)。
3)密碼的最長使用時間60天。
4)最近三次歷史密碼不能重復使用。
5)對各操作系統內置帳戶集中到IT經理處管理,并遵循以上規則。
6)其他不支持此密碼安全策略的應用系統,系統負責人要根據以上策略手工設置。如SQL20xx、防火墻Netscreen
2.5.網絡安全管理
1)伴隨網絡的不斷擴展,如果網絡中有增減設備的情況,及時更新網絡拓撲圖,及時調整防火墻、核心交換機等設備配置,并填寫【資源變更申請單】。
2)內部網絡不接受任何外部訪問(防火墻DMZ區、除外),所有的外部訪問都在防火墻的DMZ區,并且防火墻上策略限制只開放需要的`端口,如郵件服務器所需要的443端口等,其余端口全部禁用。防火墻DMZ區主機需要訪問內網DC服務器,此訪問安全控制由ISA網關服務器完成。
3)內網訪問Internet或訪問DMZ主機的訪問權限和所能通過的服務均由ISA網關服務器控制,ISA策略根據網絡系統安全和公司具體應用確定(具體應用見ISA服務器配置),此服務器有專人管理。
4)信息管理部設專人每月度檢查核心交換機、防火墻、無線網控制器的配置,確認是否與公司的服務器配置策略相符,并填寫【資源檢查記錄表】,提交給IT部門經理審批簽字。
5)信息管理部設專人至少每周檢查一次防火墻的日志,確保網絡不受可疑對象攻擊,保證網絡的安全性、穩定性,并填寫【日志檢查記錄表】,每月提交給IT部門經理審批簽字。
6)每周進行一次網絡數據包分析,及時發現類似ARP等病毒攻擊,及早預防。
7)每年對防火墻、核心交換機的日常維護記錄整理存檔一次。
2.6.數據安全管理
1)合理使用計算機分區,不得將重要數據存放在系統分區。
2)公司數據庫系統、人事檔案、技術資料、圖紙、統計資料、營銷計劃、財務報表等重要資料要每日進行自動備份,每月進行一次完全備份;重要部門、重要系統不僅要做硬盤備份,還要定刻成成光盤,存放在異地長期保存。
3)含有重要資訊的資料(卡片、稿紙等)廢棄時,應確定銷毀,以免被誤用。
4)對不同用戶應用不同的系統策略,避免造成整個系統癱瘓。嚴格限制對應用系統數據庫的更改權利;嚴格限制重組數據庫或壓縮數據庫大小的權力;嚴格限制修改系統架構的權利等,操作系統日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
5)安全管理員每周至少查看一次數據庫日志文件,并填寫【日志檢查記錄表】,每月報IT經理審核。以盡早發現異常情況,確保數據庫的存取安全。
6)郵件系統管理員對公司外發資料做每周進行一次檢查,對往來郵件每周做一次監控分析,防止重要資料外泄,并填寫【日志檢查記錄表】。
7)原則上不能在后臺數據庫中直接修改數據,如有需要,業務部門需填寫數據更改【變更申請單】,經業務部門經理、IT經理審核批準后,授權給DBA執行操作,DBA在執行操作之前必須做好數據備份工作,操作完成后再在申請單上簽字,并提交給最終用戶確認。
8)關鍵應用系統SAP的上機日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
9)掌握重要數據的網絡管理人員要注意保密,請參照“公司保密制度”。
3.附件
3.1.CSUN-RE-IN0016《資源檢查記錄表》
3.2.CSUN-RE-IN0018《資源更新記錄表》
3.3.CSUN-RE-IN0017《資源變更申請單》
3.4.CSUN-RE-IN0007《帳戶變更申請單》
3.5.CSUN-RE-IN0019《日志檢查記錄表》
3.6.CSUN-RE-IN0005《權限授權表》
3.7.CSUN-RE-IN0001《變更申請單》
信息安全管理制度6
1、安全管理制度要求
1.1總則:為了切實有效的保證公司信息安全,提高信息系統為公司生產經營的服務實力,特制定交互式信息安全管理制度,設定管理部門及專業管理人員對公司整體信息安全進行管理,以確保網絡與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應包括:
a)平安崗位管理制度;
b)系統操作權限管理;
c)平安培訓制度;
d)用戶管理制度;
e)新服務、新功能平安評估;
f)用戶投訴舉報處理;
g)信息發布審核、合法資質查驗和公共信息巡查;
h)個人電子信息安全愛護;
i)平安事務的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批文件。
1.1.2安全管理制度應經過管理層批準,并向全部員工宣貫。
2、機構要求
2.1法律責任
2.1.1互聯網交互式服務供應者應是一個能夠擔當法律責任的組織或個人。
2.1.2互聯網交互式服務供應者從事的信息服務有行政許可的應取得相應許可。
3、人員安全管理
3.1平安崗位管理制度
建立平安崗位管理制度,明確主辦人、主要負責人、平安責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應根據相關法律、法規、道德規范和對應的業務要求來執行,包括:
①個人身份核查;
②個人履歷的核查;
③學歷、學位、專業資質證明;
④從事關鍵崗位所必需的實力;
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3平安培訓
建立平安培訓制度,定期對全部工作人員進行信息安全培訓,提高全員的信息安全意識,包括:
①上崗前的培訓;
②平安制度及其修訂后的培訓;
③法律、法規的發展保持同步的接著培訓。應嚴格規范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協作公安機關工作的人員變動應通報公安機關。
3.4人員離崗
應嚴格規范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協作公安機關工作的人員變動應通報公安機關。
4、訪問限制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問權限管理制度。
4.2權限安排
按以下原則依據人員職責安排不同的訪問權限:
a)角色分別,如訪問懇求、訪問授權、訪問管理;
b)滿意工作須要的最小權限;
c)未經明確允許,則一律禁止。
4.3特別權限限制和限制特別訪問權限的安排和運用:
a)標識出每個系統或程序的特別權限;
b)根據“按需運用”、“一事一議”的原則安排特別權限;
c)記錄特別權限的授權與運用過程;
d)特別訪問權限的安排須要管理層的批準。
注:特別權限是系統超級用戶、數據庫管理等系統管理權限。
4.4權限的檢查
定期對訪問權限進行檢查,對特別訪問權限的授權狀況應在更常見的時間間隔內進行檢查,如發覺不恰當的權限設置,應剛好予以調整。
5、網絡與主機系統的平安
5.1 網絡與主機系統的平安
應維護運用的網絡與主機系統的平安,包括:
a)實施計算機病毒等惡意代碼的.預防、檢測和系統被破壞后的復原措施;
b)實施7×24h網絡入侵行為的預防、檢測與響應措施;
c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的復原措施;
d)對系統的脆弱性進行評估,并實行適當的措施處理相關的風險。注:系統脆弱性評估包括采納平安掃描、滲透測試等多種方式。
5.2備份
5.2.1應建立備份策略,有足夠的備份設施,確保必要的信息和軟件在災難或介質故障時可以復原。
5.2.2 網絡基礎服務(登錄、消息發布等)應具備容災實力。
5.3平安審計
5.3.1應記錄用戶活動、異樣狀況、故障和平安事務的日志。
5.3.2審計日志內容應包括:
a)用戶注冊相關信息,包括:
1)用戶唯一標識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4)注冊時間、IP地址及端口號;
5)電子郵箱地址和于機號碼;
6)用戶備注信息;
7)用戶其他信息。
b)群組、頻道相關信息,包括:
1)創建時間、創建人、創建人IP地址及端口號;
2)刪除時間、刪除人、刪除人IP地址及端口號;
3)群組組織結構;
4)群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標識;
2)登錄時間;
3)退出時間;
4)IP地址及端口號。
d)用戶信息發布日志,包括:
1)用戶唯一標識;
2)信息標識;
3)信息發布時間;
4)IP地址及端口號;
5)信息標題或摘要,包括圖片摘要 。
e)用戶行為,包括:
1)進出群組或頻道;
2)修改、刪除所發信息;
3)上傳、下載文件。
5.3.3應確保審計日志內容的可溯源性,即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡閑聊等網絡消息服務供應者應能防范偽造、隱匿發送者真實標記的消息的措施;涉及地址轉換技術的服務,如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息;涉及短網址服務的,應審計原始URL與短UR L之間的映射關系。
5.3.4應愛護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。
5.3.5應能夠依據公安機關要求留存具備指定信息訪問日志的留存功能。
5.3.6審計日志保存周期
a)應永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄閑聊室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;
b)系統維護日志信息保存12個月以上;
c)應留存用戶日志信息12個月以上;
d)對用戶發布的信息內容保存6個月以上;
e)已下線的系統的日志保存周期也應符合以上規定。
6、應用平安
6.1用戶管理
6.1.1向用戶宣揚法律法規,應在用戶注冊時,與用戶簽訂服務協議,告知相關權利義務及需擔當的法律責任。
6.1.2建立用戶管理制度,包括:
a)用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:
1)身份證與姓名實名驗證服務;
2)有效的銀行卡;
3)合法、有效的數字證書;
4)已確仔細實身份的網絡服務的注冊用戶;
5)經電信運營商接入實名認證的用戶。(如某網站采納已經實名認證的第三方賬號登陸,可認為該網站的用戶已進行有效核驗。)
b)應對用戶注冊的賬號、頭像和備注等信息進行審核,禁止運用違反法律法規和社會道德的內容;
c)建立用戶黑名單制度,對網站自行發覺以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。
6.1.3當用戶利用互聯網從事的服務須要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:
a)核對行政許可文件;
b)通過行政許可主管部門的公開信息;
c)通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防范和處置
6.2.1公司實行管理與技術措施,剛好發覺和停止違法有害信息發布。
6.2.2公司采納人工或自動化方式,對發布的信息逐條審核。
實行技術措施過濾違法有害信息,包括且不限于:
a)基于關鍵詞的文字信息屏蔽過濾;
b)基于樣本數據特征值的文件屏蔽過濾;
c)基于URL的屏蔽過濾。
6.2.3應實行技術措施對違法有害信息的來源實施限制,防止接著傳播。
注:違法有害信息來源限制技術措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止共享、禁止留言及回復、限制特定發布來源、限制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。
6.2.4公司建立7*24h信息巡查制度,剛好發覺并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異樣狀況報告、平安提示和案件調差協作制度,包括:
a)對發覺的違法有害信息,馬上停止發布傳輸,保留相關證據(包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄),并向屬地公安機關報告;
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要狀況或重大緊急事務馬上向屬地公安機關報告,同時協作公安機關做好調查取證工作。
6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及共享中的任何一個環節應能再5min之內刪除,相關的屏蔽過濾措施應在10min內生效。
6.3破壞性程序防范
6.3.1實施破壞性程序的發覺和停止發布措施、并保留發覺的破壞性程序的相關證據。
6.3.2對軟件下載服務供應者(包括應用軟件商店),檢查用戶發布的軟件是否是計算機病毒等惡意代碼。
7、個人電子信息愛護
7.1.1制定明確、清晰的個人電子信息處置規則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務協議中明示收集與運用個人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫療網站僅收集為實現正值商業目的和供應網絡服務所必需的個人信息;收集個人電子信息時,取得用戶的明確授權同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,并取得用戶明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子信息處理時,應告知用戶,并取得其同意。
7.2技術措施
公司建立覆蓋個人電子信息處理的各個環節的平安愛護制度和技術措施,防止個人電子信息泄露、損毀、丟失,包括:
a)采納加密方式保存用戶密碼等重要信息;
b)審計內部員工對涉及個人電子信息的全部操作,并對審計進行分析,預防內部員工有意泄露;
c)審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據;
d)建立程序來限制對涉及個人電子信息的系統和服務的訪問權的安排。這些程序涵蓋用戶訪問生存周期內的各個階段,從新用戶初始注冊到不再須要訪問信息系統和服務的用戶的最終撤銷;
e)系統的平安保障技術措施覆蓋個人電子信息處理的各個環節,防止網絡違法犯罪活動竊取信息,降低個人電子信息泄露的風險。
7.3個人信息泄露事務的處理
a)當發覺個人電子信息泄露時間后,應馬上實行補救措施,防止信息接著泄露;
b)24小時內告知用戶,依據用戶初始注冊信息重新激活賬戶,避開造成更大的損失馬上告屬地公安機關。
8、平安事務管理
8.1平安時間管理制度
8.1.1建立平安事務的監測、報告和應急處置制度,確保快速有效和有序地響應平安事務。
8.1.2平安事務包括違法有害信息、危害計算機信息系統平安的異樣狀況及突發公共事務。
8.2應急預案
制定平安事務應急處置預案,向屬地公安機關珍寶,并定期開展應急演練。
8.3突發公共事務處理
突發公共事務分為四級:I級(特殊重大)、II級(重大)、III級(較大)、IV級(一般),互聯網交互式服務供應者應建立相應處置機制,當突發公共事務發生后,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% —80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%—50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術接口
公司網站所設技術接口為公安機關供應的符合國家及公共平安行業標準的技術接口,能確保實時,有效地供應相關證據。
信息安全管理制度7
1、目標
勝達集團信息安全檢查工作的主要目標是通過自評估工作,發現本局信息系統當前面臨的主要安全問題,邊檢查邊整改,確保信息網絡和重要信息系統的安全。
2、評估依據、范圍和方法
2.1 評估依據
根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》(信安通[20xx]15號)、國家電力監管委員會《關于對電力行業有關單位重要信息系統開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點是重要的業務管理信息系統和網絡系統等,管理信息系統中業務種類相對較多、網絡和業務結構較為復雜,在檢查工作中強調對基礎信息系統和重點業務系統進行安全性評估,具體包括:基礎網絡與服務器、關鍵業務系統、現有安全防護措施、信息安全管理的組織與策略、信息系統安全運行和維護情況評估。
2.3 評估方法
采用自評估方法。
3、重要資產識別
對本局范圍內的重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行登記匯總,形成重要資產清單。
4、安全事件
對本局半年內發生的較大的、或者發生次數較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5、安全檢查項目評估
5.1 規章制度與組織管理評估
5.1.1組織機構
評估標準
信息安全組織機構包括領導機構、工作機構。
現狀描述
本局已成立了信息安全領導機構,但尚未成立信息安全工作機構。
評估結論
完善信息安全組織機構,成立信息安全工作機構。
5.1.2崗位職責
估標準
崗位要求應包括:專職網絡管理人員、專職應用系統管理人員和專職系統管理人員;專責的工作職責與工作范圍應有制度明確進行界定;崗位實行主、副崗備用制度。
現狀描述
我局沒有配置專職網絡管理人員、專職應用系統管理人員和專職系統管理人員,都是兼責;專責的工作職責與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
評估結論
本局已有兼職網絡管理員、應用系統管理員和系統管理員,在條件許可下,配置專職管理人員;專責的工作職責與工作范圍沒有明確制度進行界定,根據實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
評估標準
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略(1周內至少進行一次掃描)。
現狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務器下載、升級安全策略;病毒預警是通過第三方和網上提供信息來源,每月統計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
評估結論
完善病毒預警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
評估標準
運行管理應制定信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
現狀描述
沒有建立相應信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
評估結論
結合本局具體情況,制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
評估標準
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件,半年內系統用戶身份發生變化后應及時對其賬戶進行變更或注銷。
現狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內賬戶密碼、口令有過變更,但沒有變更相關記錄、通知、文件;半年內系統用戶身份發生變化后能及時對其賬戶進行變更或注銷。
評估結論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關記錄;及時對系統用戶身份發生變化后對其賬戶進行變更或注銷。
5.2 網絡與系統安全評估
5.2.1網絡架構
評估標準
局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備,不允許外聯鏈路繞過防火墻,具有當前準確的網絡拓撲結構圖。
現狀描述
局域網核心交換設備準備了備用設備,城域網核心路由設備采取了設備冗余;沒有不經過防火墻的外聯鏈路,有當前網絡拓撲結構圖。
評估結論
局域網核心交換設備、城域網核心路由設備按要求采取設備冗余或準備備用設備,外聯鏈路沒有繞過防火墻,完善網絡拓撲結構圖。
5.2.2網絡分區
評估標準
生產控制系統和管理信息系統之間進行分區,VLAN間的訪問控制設置合理。
現狀描述
生產控制系統和管理信息系統之間沒有進行分區,VLAN間的.訪問控制設置合理。
評估結論
對生產控制系統和管理信息系統之間進行分區,VLAN間的訪問控制設置合理。
5.2.3 網絡設備
評估標準
網絡設備配置有備份,網絡關鍵點設備采用雙電源,關閉網絡設備HTTP、FTP、TFTP等服務,SNMP社區串、本地用戶口令強健(>8字符,數字、字母混雜)。
現狀描述
網絡設備配置沒有進行備份,網絡關鍵點設備是雙電源,網絡設備關閉了HTTP、FTP、TFTP等服務,SNMP社區串、本地用戶口令沒達到要求。
評估結論
對網絡設備配置進行備份,完善SNMP社區串、本地用戶口令強健(>8字符,數字、字母混雜)。
5.2.4 IP管理
評估標準
有IP地址管理系統,IP地址管理有規劃方案和分配策略,IP地址分配有記錄。
現狀描述
沒有IP地址管理系統,正在進行對IP地址的規劃和分配,IP地址分配有記錄。
評估結論
建立IP地址管理系統,加快進行對IP地址的規劃和分配,IP地址分配有記錄。
5.2.5補丁管理
評估標準
有補丁管理的手段或補丁管理制度,Windows系統主機補丁安裝齊全,有補丁安裝的測試記錄。
現狀描述
通過手工補丁管理手段,沒有制訂相應管理制度;Windows系統主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
評估結論
完善補丁管理的手段,制訂相應管理制度;補缺Windows系統主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統安全配置
評估標準
信息安全管理制度8
1目標
勝達集團信息安全檢查工作的主要目標是通過自評估工作,發現本局信息系統當前面臨的主要安全問題,邊檢查邊整改,確保信息網絡和重要信息系統的安全。
2評估依據、范圍和方法
2.1 評估依據
根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》(信安通[20xx]15號)、國家電力監管委員會《關于對電力行業有關單位重要信息系統開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點是重要的業務管理信息系統和網絡系統等,
管理信息系統中業務種類相對較多、網絡和業務結構較為復雜,在檢查工作中強調對基礎信息系統和重點業務系統進行安全性評估,具體包括:基礎網絡與服務器、關鍵業務系統、現有安全防護措施、信息安全管理的組織與策略、信息系統安全運行和維護情況評估。
2.3 評估方法
采用自評估方法。
3重要資產識別
對本局范圍內的重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行登記匯總,形成重要資產清單。
資產清單見附表1。
4安全事件
對本局半年內發生的較大的、或者發生次數較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5安全檢查項目評估
5.1 規章制度與組織管理評估
5.1.1組織機構
5.1.1.1評估標準
信息安全組織機構包括領導機構、工作機構。
5.1.1.2現狀描述
本局已成立了信息安全領導機構,但尚未成立信息安全工作機構。
5.1.1.3 評估結論
完善信息安全組織機構,成立信息安全工作機構。
5.1.2崗位職責
5.1.2.1估標準
崗位要求應包括:專職網絡管理人員、專職應用系統管理人員和專職系統管理人員;專責的工作職責與工作范圍應有制度明確進行界定;崗位實行主、副崗備用制度。
5.1.2.2現狀描述
我局沒有配置專職網絡管理人員、專職應用系統管理人員和專職系統管理人員,都是兼責;專責的工作職責與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
5.1.2.3 評估結論
本局已有兼職網絡管理員、應用系統管理員和系統管理員,在條件許可下,配置專職管理人員;專責的工作職責與工作范圍沒有明確制度進行界定,根據實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
5.1.3.1 評估標準
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略(1周內至少進行一次掃描)。
5.1.3.2 現狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務器下載、升級安全策略;病毒預警是通過第三方和網上提供信息來源,每月統計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
5.1.3.3 評估結論
完善病毒預警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
5.1.4.1 評估標準
運行管理應制定信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
5.1.4.2 現狀描述
沒有建立相應信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
5.1.4.3評估結論
結合本局具體情況,制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維
流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
5.1.5.1 評估標準
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件,半年內系統用戶身份發生變化后應及時對其賬戶進行變更或注銷。
5.1.5.2 現狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內賬戶密碼、口令有過變更,但沒有變更相關記錄、通知、文件;半年內系統用戶身份發生變化后能及時對其賬戶進行變更或注銷。
5.1.5.3 評估結論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關記錄;及時對系統用戶身份發生變化后對其賬戶進行變更或注銷。
5.2 網絡與系統安全評估
5.2.1網絡架構
5.2.1.1 評估標準
局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備,不允許外聯鏈路繞過防火墻,具有當前準確的網絡拓撲結構圖。
5.2.1.2 現狀描述
局域網核心交換設備準備了備用設備,城域網核心路由設備采取了設備冗余;沒有不經過防火墻的外聯鏈路,有當前網絡拓撲結構圖。
5.2.1.3 評估結論
局域網核心交換設備、城域網核心路由設備按要求采取設備冗余或準備備用設備,外聯鏈路沒有繞過防火墻,完善網絡拓撲結構圖。
5.2.2網絡分區
5.2.2.1 評估標準
生產控制系統和管理信息系統之間進行分區,VLAN間的`訪問控制設置合理。
5.2.2.2 現狀描述
生產控制系統和管理信息系統之間沒有進行分區,VLAN間的訪問控制設置合理。
5.2.2.3評估結論
對生產控制系統和管理信息系統之間進行分區,VLAN間的訪問控制設置合理。
5.2.3 網絡設備
5.2.3.1 評估標準
網絡設備配置有備份,網絡關鍵點設備采用雙電源,關閉網絡設備HTTP、FTP、TFTP等服務,SNMP社區串、本地用戶口令強健(>8字符,數字、字母混雜)。
5.2.3.2 現狀描述
網絡設備配置沒有進行備份,網絡關鍵點設備是雙電源,網絡設備關閉了HTTP、FTP、TFTP等服務,SNMP社區串、本地用戶口令沒達到要求。
5.2.3.3 評估結論
對網絡設備配置進行備份,完善SNMP社區串、本地用戶口令強健(>8字符,數字、字母混雜)。
5.2.4 IP管理
5.2.4.1 評估標準
有IP地址管理系統,IP地址管理有規劃方案和分配策略,IP地址分配有記錄。
5.2.4.2 現狀描述
沒有IP地址管理系統,正在進行對IP地址的規劃和分配,IP地址分配有記錄。
5.2.4.3 評估結論
建立IP地址管理系統,加快進行對IP地址的規劃和分配,IP地址分配有記錄。
5.2.5補丁管理
5.2.5.1 評估標準
有補丁管理的手段或補丁管理制度,Windows系統主機補丁安裝齊全,有補丁安裝的測試記錄。
5.2.5.2現狀描述
通過手工補丁管理手段,沒有制訂相應管理制度;Windows系統主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
5.2.5.3 評估結論
完善補丁管理的手段,制訂相應管理制度;補缺Windows系統主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統安全配置
5.2.6.1 評估標準
信息安全管理制度9
平安生產是企業的頭等大事,必需堅持“平安第一,預防為主”的方針和群防群治制度,仔細實行安全管理制度,切實加強安全管理,保證職工在生產過程中的平安與健康。依據國家和省有關法規、規定和文件,制定本企業信息安全管理制度。
一、計算機設備安全管理制度
計算機不同于其他辦公設備,其好用性、嚴密性、操作技術性強,含量高、部件易受損;特殊是聯網計算機,開放性程度比較高,電腦內部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常運用,特制定本制度。
1、公司內全部計算機歸網絡部統一管理,配備計算機的員工只負責運用操作;
2、計算機管理涉及的范圍:
2.1全部硬件(包括外接設備)及網絡聯接線路;
2.2計算機及網絡故障的解除;
2.3計算機及網絡的維護與修理;
2.4操作系統的管理;
3、公司內全部計算機運用人員均為計算機操作員;
4、網絡維護部負責對公司內全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的運用部門要保持清潔、平安、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備平安的物品。
6、非本單位技術人員對我單位的設備、系統等進行修理、維護時,必需由本單位相關技術人員現場全程監督。計算機設備送外修理,須經有關部門負責人批準。
7、嚴格遵守計算機設備運用、開機、關機等平安操作規程和正確的運用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現故障時應剛好向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行修理及操作。
二、操作員安全管理制度
1、計算機原則上由專人負責操作維護,不得串用設備。下班后必需按程序關閉主機和其他設備,切斷電源。
2、為保證計算機信息安全,必需為計算機設置密碼。
3、計算機操作員除運用操作計算機外,不允許有以下行為:
3.1硬件設備出現故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥);如有向網絡管理員寫設備申請單審批。
3.3刪除計算機操作系統及公司指定的軟件;
3.4運用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術性操作;
4、不得運用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發覺計算機有病毒時,應剛好清除,清除不了的病毒,要剛好上報。
5、個人的公司重要文檔、資料和數據保存時必需將資料儲存在除操作系統外的其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準上網與工作無關的閑聊、玩電腦嬉戲、看影視、聽音樂,迅雷下載等。
7、電腦及網絡設備所在環境應保持清潔、衛生、通風,留意防塵、防潮、防火。
8、公司全部計算機運用者,不得破壞網管員對計算機的平安設置。包括用戶運用權限。
9、除服務器外,其他全部計算機下班后必需關機并切斷電源;
10、計算機運用者離職時必需由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續。
11、如工作人員不按規定操作,造成不良后果的,將按有關規定,由操作者擔當相應責任,并追究科室負責人的有關責任。
12、操作員設置與管理
(1)網絡管理員管理操作權限必需經過公司領導授權取得;依據不同部門的要求及崗位職責而設置;
(2)網絡管理員負責故障復原等管理及維護,必需有其上級授權;不得運用他人操作代碼進行業務操作;
三、密碼與權限安全管理制度
1、密碼設置應具有平安性、保密性,不能運用簡潔的代碼和標記。密碼是愛護系統和數據平安的限制代碼,也是愛護用戶自身權益的限制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、依次、規律數字等簡單揣測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發覺或懷疑密碼遺失或泄漏應馬上修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參加系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特別狀況須要啟用封存的密碼,必需經過相關部門負責人同意,由密碼運用人員向密碼管理人員索取,運用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記。
4、系統維護用戶的密碼應至少由兩人共同設置、保管和運用管理制度。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數據安全管理制度
1、存放備份數據的介質必需具有明確的標識。備份數據必需異地存放。
2、留意計算機重要信息資料和數據存儲介質的存放、運輸平安和保密管理,保證存儲介質的`物理平安。
3、任何非應用性業務數據的運用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據程序進行逐級審批,以保證備份數據平安完整。
4、數據復原前,必需對原環境的數據進行備份,防止有用數據的丟失。數據復原過程中,出現問題時由技術部門進行現場技術支持。數據復原后,必需進行驗證、確認,確保數據復原的完整性和可用性。
5、數據清理前必需對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存,并確保可以隨時運用。數據清理的實施應避開業務高峰期,避開對聯機業務運行造成影響。
6、須要長期保存的數據,數據管理部門需與相關部門制定轉存,依據轉存和查詢運用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、運用方法保證數據的完整性和可用性。
7、非本單位技術人員對本公司的設備、系統等進行修理、維護時,必需由本公司相關技術人員現場全程監督。計算機設備送外修理,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備修理人員應對設備進行驗收、病毒檢測。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除,并妥當處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,發覺病毒剛好清除。
10、營業用計算機未經有關部門允許不準安裝其它軟件、不準運用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網絡管理
1、網絡系統屬于公司無形資產,公司有權限制上網行為,依據工作須要限制各部門的上網行為。
2、公司網絡管理員對計算機IP地址統一安排、登記、管理,嚴禁私自更改IP地址。
3、公司員工必需自覺遵守企業的有關保密法規,嚴禁利用網絡有意或無意泄漏公司的涉密文件、資料和數據。不得非法復制、轉移和破壞公司的文件、資料和數據。
4、實行“絕密”文件、涉秘件與計算機網絡肯定隔離,不得在計算機網絡中輸入、打印、復制“絕密”文件和有關涉秘件。
5、網絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度,對保密的文件資料進行加密存放,不得上網共享。
六、附則
1、本制度由網絡部負責說明。
2、本制度由總經理批準后生效,自頒布之日起執行。
信息安全管理制度10
一、遵守保密規定,嚴格控制不應公開的檔案信息。
二、保存檔案數據信息的計算機不得與公共信息網絡聯接,確需聯接時,必須通過安全保密審查。
三、加強對檔案信息網絡傳輸的管理,確保網絡和使用過程的信息安全。
四、確定專人負責計算機系統的管理工作,并設置計算機操作系統用戶口令。
五、計算機系統必須安裝防病毒卡或反病毒軟件并及時更新版本,做好防病毒工作。
六、保存檔案數據的計算機外送修理時,應將有關數據的內容清空、刪除或將硬盤摘除,并做好計算機修理情況登記。
七、應采取有效措施,保證檔案數據庫和檔案數據安全。所有數據至少復制兩套,并異地保存。
八、信息載體(如硬盤等)損壞,必須拆除后放入待鑒定室專門保存。
九、磁性載體每滿2年、光盤每滿4年應進行一次抽樣機讀檢驗,抽樣率不低于10%,如發現問題應及時采取恢復措施。
十、具有永久保存價值的`文本和圖形形式的電子文件,必須同時制成紙質文件或縮微品等拷貝件一并歸檔保存。
十一、應加強對歸檔電子文件鑒定銷毀的管理。對于屬于保密范圍的歸檔電子文件,連同存儲載體一起銷毀,并在網絡上徹底刪除;對于不屬于保密范圍的歸檔電子文件進行邏輯刪除。
十二、以上各條請本單位全體干部職工互相監督,共同遵守。對違反本制度的,按國家有關規定處理。
信息安全管理制度11
為保障病案科在自然災害、事故災難、公共衛生等突發事件發生后,各項救援工作迅速、高效、有序進行,最大限度地減少人員傷亡和病案損失和對社會的不良影響,切實提高病案科工作人員預防和處置突發事件的能力,特制定本預案。
一、應急救援工作的原則
(一)統一領導、分級負責、自救與團結救助相結合;
(二)明確職責、落實責任、依靠科學、反應及時、措施果斷;
(三)救助中,要堅持先主后次、先急后緩、先重后輕的原則。重點保護病案。
(四)病案科所有工作人員都有責任和義務參加或配合應急救援工作,并服從統一指揮。
二、報告程序
工作時間內,自然災害、事故災難、公共衛生等突發事件發生后,發現人員要在第一時間向科室領導、分管院長和相關部門報警,同時積極組織自救。節假日、8小時外,自然災害、事故災難、公共衛生等突發事件發生后,值班人員要在第一時間向科室領導和相關報警部門報告,同時組織保安人員自救。
三、組織領導
(一)成立醫院病案管理應急救災小組,組長由分管院長擔任,副組
長由醫務部主任、病案科主任,成員由病案科全體成員及醫務部成員和后勤部相關成員組成。
(二)職責:醫務部、病案科負責病案安全保護、搶救工作,后勤部負責消防、搬運等環節的組織實施和后勤保障工作。
四、突發事件應急措施:
(一)火災
1、辦公場所發生火災時,應積極自救,撲滅火災,同時立即撥
打“119”報警。報警時要說明單位、地點、物質燃燒種類、是否有人員被圍困、火勢情況,請求滅火,報告人姓名,并記錄報警時間。
2、報警后要安排人員到指定地點迎接消防車,引導消防車輛人員到達指定位置。
3、消防人員到達現場后,現場指揮員要向消防負責同志報告情況,移交指揮權,協同公安消防做好滅火工作。
4、要按照現場指揮的要求邊救火邊負責內外警戒,維護公共秩序,嚴禁無關人員進入,保證人員通道暢通。
5、火災撲滅后,要組織人員負責保護好火災現場,配合消防人員調查火災發生的原因,檢查病案和統計資料損毀程度。并組織維修人員迅速檢修、恢復各系統設備的正常運行;保潔人員負責清洗打掃現場衛生。
(二)突發洪災或漏水
1、發生洪澇災害或工作人員發現漏水事件后,應及時報告科室領導,并通知后勤維修人員要第一時間趕赴現場處置。
2、后勤維修人員到達現場后,視漏水情況,妥善采取緊急應對措施。若水勢過大漏水嚴重,應切斷電源,防止漏水漏電傷人。在條件充許的'情況下,盡量將漏水點控制住(如關閉水閥、用水桶接住漏水點等)。
3、要在第一時間內組織工作人員保護和轉移現場病案和重要統計資料、電腦信息系統,并指定人員看管,防止丟失。
(三)盜竊案件
1、在工作中遇到或發現有盜竊案件時,為保護醫院病案安全,發現人要立即向科室領導和醫院保衛處報告,同時封鎖辦公樓的各個出口,重大案件要立即撥打“110”電話報警。
2、要保護好案發現場,任何人不得擅自觸摸和移動任何東西,待公安部門人員勘察現場或勘察完畢后,方可恢復原狀。
3、要記錄好被盜病案和物品的名稱、價值等情況。
(四)停電
1、工作中出現停電現象及時打電話通知后勤處維修
2、拔掉復印機、電腦等電器電源插頭,防止供電恢復時損壞機器。
(五)災情消除后,立即整理、補救、修復病案信息資料,將損失降到最低,統計并做好相關登記、記錄,查找原因,總結經驗教訓。
信息安全管理制度12
醫院信息安全管理制度:
一、信息系統安全包括:軟件安全和硬件網絡安全兩部分。
二、網絡信息辦公室人員必須采取有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對HIS系統用戶的訪問模塊、訪問權限由院長提出后,由網絡信息辦公室人員給予配置,以后變更必須報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室人員監督檢查更換新的密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網絡風暴發生。
六、網絡系統所有設備的配置、安裝、調試必須由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的`工作。
八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。 九、所有進入網絡的光盤、U 盤等其他存貯介質,必須經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質絕對禁止上網使用,對造成“病毒"蔓延的有關人員,將對照《計算機信息系統處罰條例》進行相應的經濟和行政處罰。
十、在醫院還沒有有效解決網絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的情況下,內外網獨立運行,所有終端內外網不能混接。
十一、內網用戶所有文件傳遞,不得利用光盤和U 盤等存貯介質進行拷貝。 十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
十四、 信息系統故障應急預案:
1、對網絡故障的判斷:當網絡系統終端發現計算機訪問數據庫速度遲緩、不能進入相應程序、不能保存數據、不能訪問網絡、應用程序非連續性工作時,要立即向網絡信息辦公室匯報,網絡信息辦公室工作人員對科室提出的上述問題必須重視,經核實后給予科室反饋信息。網絡信息辦公室負責人應召集有關人員及時進行討論,如果故障原因明確,可以立刻恢復工作的,應立即恢復工作;如故障原因不明確、情況嚴重不能在短期內排除的,應立即報告院領導,在網絡不能運轉的情況下由機關協調全院工作以保障醫療工作的正常運轉。
2、網絡故障分為三類:
(1)一類故障:服務器不能工作;光纖損壞;主服務器數據丟失;備份盤損壞;服務器工作不穩定;局部網絡不通;數據被人刪改;重點終端故障;規律性的整體、局部軟、硬件故障。
(2)二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數據處理錯誤;某些科室違反工作流程要求。
(3)三類故障:各終端由于不熟練或使用不當造成的錯誤。
信息安全管理制度13
網絡與信息的安全不僅關系到公司正常業務的開展,還將影響到國家的安全、社會的穩定。我公司將認真開展網絡與信息安全工作,通過檢查進一步明確安全責任,建立健全的管理制度,落實技術防范措施,保證必要的經費和條件,對有毒有害的信息進行過濾、對用戶信息進行保密,確保網絡與信息安全。
一、網站運行安全保障措施
1、網站服務器和其他計算機之間設置經公安部認證的防火墻,做好安全策略,拒絕外來的惡意攻擊,保障網站正常運行。
2、在網站的服務器及工作站上均安裝了正版的防病毒軟件,對計算機病毒、有害電子郵件有整套的`防范措施,防止有害信息對網站系統的干擾和破壞。
3、做好日志的留存。網站具有保存60天以上的系統運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況,主頁維護者、郵箱使用者和對應的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識別確認功能,對沒有合法手續和不具備條件的電子公告服務立即關閉。
5、網站信息服務系統建立雙機熱備份機制,一旦主系統遇到故障或受到攻擊導致不能正常運行,保證備用系統能及時替換主系統提供服務。
6、關閉網站系統中暫不使用的服務功能,及相關端口,并及時用補丁修復系統漏洞,定期查殺病毒。
7、服務器平時處于鎖定狀態,并保管好登錄密碼;后臺管理界面設置超級用戶名及密碼,并綁定IP,以防他人登入。
8、網站提供集中式權限管理,針對不同的應用系統、終端、操作人員,由網站系統管理員設置共享數據庫信息的訪問權限,并設置相應的密碼及口令。不同的操作人員設定不同的用戶名,且定期更換,嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定,并由網站系統管理員定期檢查操作人員權限。
9、公司機房按照電信機房標準建設,內有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統和消防系統,定期進行電力、防火、防潮、防磁和防鼠檢查。
二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,實現信息安全保密責任制,切實負起確保網絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責"的原則,落實責任制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法,確保使用網絡和提供信息服務的安全。
2、網站信息內容更新全部由網站工作人員完成,工作人員素質高、專業水平好,有強烈的責任心和責任感。網站所有信息發布之前都經分管領導審核批準。工作人員采集信息將嚴格遵守國家的有關法律、法規和相關規定。嚴禁通過我公司網站及短信平臺散布《互聯網信息管理辦法》等相關法律法規明令禁止的信息(即“九不準”),一經發現,立即刪除。
3、遵守對網站服務信息監視,保存、清除和備份的制度。開展對網絡有害信息的清理整治工作,對違法犯罪案件,報告并協助公安機關查處。
4、所有信息都及時做備份。按照國家有關規定,網站將保存60天內系統運行日志和用戶使用日志記錄,短信服務系統將保存5個月以內的系統及用戶收發短信記錄。
5、制定并遵守安全教育和培訓制度。加大宣傳教育力度,增強用戶網絡安全意識,自覺遵守互聯網管理有關法律、法規,不泄密、不制作和傳播有害信息,不鏈接有害信息或網頁。
三、用戶信息安全管理制度
1、我公司鄭重承諾尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私政策和網站服務條款以及其他公布的準則規定的情況下,未經用戶授權我公司不會隨意公布與用戶個人身份有關的資料,除非有法律或程序要求。
2、所有用戶信息將得到本公司網站系統的安全保存,并在和用戶簽署的協議規定時間內保證不會丟失;
3、嚴格遵守網站用戶帳號使用登記和操作權限管理制度,對用戶信息專人管理,嚴格保密,未經允許不得向他人泄露。
公司定期對相關人員進行網絡信息安全培訓并進行考核,使員工能夠充分認識到網絡安全的重要性,嚴格遵守相應規章制度。
信息安全管理制度14
一、 為加強計算機的安全監察工作,預防和控制計算機病毒,保障計算機系統的正常運行,根據國家有關規定,結合實際情況,制定本制度。
二、 凡在本酒店所轄計算機進行操作、運行、管理、維護、使用計算機系統的正常運行,根據國際有關規定,結合實際情況,制定本制度。
三、 本辦法所稱計算機病毒,是指編制或者在計算機程序中插入的破壞計算機系統功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。
四、 任何人不得制作和傳播計算機病毒。
五、 任何工作人員人不得有下列傳播計算機病毒的行為:
1、 故意輸入計算機病毒,危害計算機信息系統安全。
2、 向計算機應用部門提供含有計算機病毒的文件、軟件、媒體。
3、 購置和使用含有計算機病毒的媒體。
六、 預防和控制計算機病毒的安全管理工作,其主要職責是:
1、 制定計算機病毒防治管理制度和技術規程,并檢查執行情況;
2、 培訓計算機病毒防治管理人員;
3、 采取計算機病毒安全技術防治措施;
4、 對計算機信息系統應用和使用人員進行計算機病毒防治教育和培訓;
5、 及時檢測、清除計算機系統中的計算機病毒,并做好檢測、清除的記錄;
6、 購置和使用具有計算機信息系統安全專用產品銷售許可證的家算計病毒防治產品;
7、 對因計算機病毒引起的計算機信息系統癱瘓、程序和數據嚴重破壞等重大事故及時向相關領導報告,并保護現場。
七、 計算機安全管理部門應加強對計算機操作人員的審查,并定期進行安全教育和培訓。
八、 計算機安全管理部門應對引起的計算機及其軟件進行計算機病毒檢測,發現染有計算機病毒的.,應采取措施加以消除,在未消除病毒之前不準投入使用。
九、 通過網絡進行電子郵件或文件傳輸,應及時對傳輸媒體進行病毒檢測,接收到郵件時也要及時進行病毒檢測,以防止計算機病毒的傳播。
十、 任何部門和個人不得從事下列活動:
1、 收集、研究有害數據;
2、 出版、刊登、講解、出租有害數據原理、源程序的書籍、資料或文章;
3、 復制有害數據的檢測、清除工具。
十一、積極接受公安機關對計算機病毒防治管理工作的監督、檢查和指導。
信息安全管理制度15
堅持“安全第一,預防為主,綜合治理”的原則。
按規定穿戴好勞動保護用品。
在廠區走安全通道和安全區,遠離天車或吊車空中懸吊物品,不沿著火車軌道走,過火車道時遵守交通規則。
登記防火器材資料,并定期檢查,保證使用功能。
吸煙者要嚴格遵守公司規定,到指定場所吸煙,不能隨便扔煙頭,有效處理煙頭,確保熄滅為止。
設備室和工作室都要采取防水、防火、防電、防偷盜的措施,工作室禁止使用大功率生活用電設備,下班后關閉計算機。
若發現機柜和機箱漏電、空開打開或其他異聲、異味、異象,分析解決,并及時做安全紀錄;若有必要,立即向專業人員求助,并向上級領導和安全員匯報。
注重節能環保,根據天氣情況,及時關閉電燈等電器。
【信息安全管理制度】相關文章:
信息安全管理制度01-04
醫院信息安全管理制度05-08
公司信息安全管理制度06-11
信息安全管理制度(通用)08-02
(經典)醫院信息安全管理制度11-10
網絡信息安全管理制度01-17
(優秀)信息安全管理制度08-02
信息安全管理制度通用07-18
信息安全管理制度(精選15篇)06-09
企業信息安全管理制度02-01