信息安全管理制度(精品)
在現在的社會生活中,很多情況下我們都會接觸到制度,制度一般指要求大家共同遵守的辦事規程或行動準則,也指在一定歷史條件下形成的法令、禮俗等規范或一定的規格。想必許多人都在為如何制定制度而煩惱吧,下面是小編幫大家整理的信息安全管理制度,僅供參考,大家一起來看看吧。
信息安全管理制度1
第一節 總則
1、為加強單位信息技術外包服務的安全管理,保證單位信息系統運行環境的穩定,特制定本制度。
2、本制度所稱信息技術外包服務,是指單位以簽訂合同的方式,委托承擔信息技術服務且非本單位所屬的專業機構提供的信息技術服務,主要包括信息技術咨詢服務、運行維護服務、技術培訓及其它相關信息化建設服務等。
3、安全管理是以安全為目的,進行有關安全工作的方針、決策、計劃、組織、指揮、協調、控制等職能,合理有效地使用人力、財力、物力、時間和信息,為達到預定的安全防范而進行的各種活動的總和,稱為安全管理。
4、外包服務安全管理遵循關于安全的所有商業準則及適當的外部法律、法規。
第二節 外包服務范圍
5、外包服務包括信息技術咨詢服務、運行維護服務、技術培訓等。
6、咨詢服務:
6.1根據單位的信息化建設總體部署,協助單位制定切實可行的技術實施方案。
6.2 對單位現有的信息技術基礎架構、設備運行狀態和應用情況進行
診斷和評估,提出合理化的解決方案。
6.3 根據單位的實際情況提出備份方案和應急方案。
6.4 其它信息技術咨詢服務。
7、運行維護服務:
7.1 軟硬件設備安裝、升級服務。
7.2硬件設備的維修和保養。
7.3 根據單位業務變化,提供應用系統功能性的需求解決方案及執行服務。
7.4系統定期巡檢和整體性能評估。
7.5 日常業務數據問題的'處理服務
。 7.6 其它運行維護服務。
8、技術培訓:根據單位的實際情況,提供相關的技術培訓。
第三節 外包服務安全管理
9、外包服務安全管理應按照“安全第一、預防為主”的原則,采取科學有效的安全管理措施,應用確保信息安全的技術手段,建立權責明確、覆蓋信息化全過程的崗位責任制,對信息化全過程實行嚴格監督和管理,確保信息安全。
10、 成立由分管領導同志信息化外包管理組織,明確信息化管理的部門、人員及其職責。
11、建立信息建設安全保密制度,與外包服務方簽訂安全保密協議或合同,明確符合安全管理及其它相關制度的要求。并對服務人員進行安全保密教育。
12、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質管理等操作規程或規章制度。
13、外包服務方的人員素質、技術與管理水平能夠滿足擬承擔項目的要求,進行相應的安全資質管理。
14、信息中心配備專人負責安全保密工作,負責日常信息安全監督、檢查、指導工作。對服務方提供的服務進行安全性監督與評估,采取安全措施對訪問實施控制,出現問題應遵照合同規定及時處理和報告,確保其提供的服務符合單位的內部控制要求。
15、對外包服務的業務應用系統運行的安全狀況應定期進行評估,當出現重大安全問題或隱患時應進行重新評估,提出改進意見,直至停止外包服務。
16、使用外包服務方設備的,對其進行必要的安全檢查。
17、在重要安全區域,對外部服務方的每次訪問進行風險控制;必要時應外部服務方的訪問進行限制。
第四節 附則
18、本制度由信息中心負責解釋。
19、本制度自發布之日起生效執行。
信息安全管理制度2
第一章 總則
第一條 為加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)
安全保密管理,確保國家秘密及商業秘密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。
第三條 涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家秘密信息安全。
第四條 涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入使用。
第五條 本規定適用于公司所有計算機和信息系統安全保密管理工作。
第二章 管理機構與職責
第六條 公司法人代表是涉密信息系統安全保密第一責任人,確保涉密信息系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條 公司保密委員會是涉密信息系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防范措施,并監督檢查落實情況;
(二)協調處理有關涉密信息系統安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條 成立公司涉密信息系統安全保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密信息系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密信息系統安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行安全保密監督檢查和風險評估,提出涉密信息系統安全運行的保密要求;
(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權使用的審查,建立涉密信息系統安全評估制度,每年對涉密信息系統安全措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的安全保密產品進行準入審查和規范管理,對涉密信息系統進行安全保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事件。
第十條
科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統安全保密領導
小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統管理員、安全保密管理員和安全審計員,并制定相應的職責; “三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)配合保密辦對涉密信息系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。
第十二條 相關業務部門、單位主要職責:涉密信息系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密信息系統各項安全防范措施;準確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條 涉密信息系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,并每月向涉密信息系統安全保密領導小組辦公室匯報一次情況。
第三章 系統建設管理
第十四條 規劃和建設涉密信息系統時,按照涉密信息系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密信息系統規劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批后方可實施。
第十六條 涉密信息系統規劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。
第四章 信息管理
第一節 信息分類與控制
第十八條 涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統密級的涉密信息。
第十九條 涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。
第二十條 涉密信息系統應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條 向涉密信息系統以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節 用戶管理與授權
第二十三條 根據本部門、單位使用涉密信息系統的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據。
第二十四條 用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計核算網”密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。
第六十五條 上網信息實行“誰上網誰負責”的保密管理原則,信息上網必須經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家秘密信息。
第六十七條 從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,按照信息交換及中間轉換機管理規定執行。
第九章 便攜式計算機管理
第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條 便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第七十二條 涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條 為有效預防和處置涉密信息系統安全突發事件,及時控制和消除涉密信息系統安全突發事件的危害和影響,保障涉密信息系統的安全穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統安全突發事件。突發事件分為系統運行安全事件和泄密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障數據安全和設備安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照事件發生的.性質分別采用以下方案:1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應立即采用斷開網絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網絡故障:判斷故障發生點和故障原因,能夠迅速解決的盡快排除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發事件的性質、影響范圍和造成的損失,將涉密信息系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告并提請協調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。
第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果并書面確認安全后,系統方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第八十三條 承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(20xx)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規定》[制度編號:(20xx)廠1925號]、《國際互聯網信息發布保密管理規定》[制度編號:(20xx)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(20xx)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(20xx)0935號]同時廢止。
信息安全管理制度3
1、為了加強學校的教育網絡和信息安全保障工作,根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際互聯網安全保護管理辦法》和其它有關法律、法規的規定,制定本制度。
2、本制度適用于學校內網絡機房、各計算機網絡用戶。
3、任何部門和個人不得利用校園網絡或國際互聯網危害國家安全、泄露國家和學校秘密,不得侵犯國家的、社會的、學校的利益和公民的合法權益,不得從事犯罪活動。
4、任何部門和個人不得利用校園網絡或國際互聯網制作、復制、查閱和傳播下列有害信息:
⑴煽動顛覆國家政權、破壞國家統一,破壞民族團結、宗教極端勢力和境外敵對勢力的反動言論;
⑵捏造或者歪曲事實、散布謠言、擾亂校園秩序和社會秩序;
⑶宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪。
5、任何部門和個人不得從事下列危害校園網絡和計算機信息網絡安全的活動:
⑴未經允許不得對校園網絡功能和學校網站進行刪除、修改或者增加。
⑵未經允許不得對校園網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。
⑶不得在校園網絡和互聯網中故意制作、傳播計算機病毒等破壞性程序。
6、在校園網絡、學校網站、電子信箱中發現有反動、迷信、淫穢內容的信息應及時報告學校領導或電教網絡中心。
7、服務器、路由器和交換機的口令由專人負責保管,不得隨意外泄。口令的修改及設定需做好專門記錄和備案。
8、校園網上網帳戶的建立、E-Mail帳戶的申請、變更等需填寫申請單,由網絡中心完成設置并記入運行日志。
9、教師給家長發布的信息必須經兩位教師商量決定,信息發布人應當對所發布的信息備案記錄,以加強管理;網絡中心對所收到的經過審核后的信息在確認審核意見后,應及時在網上發布,并確保發布信息的準確性;做好數據備份工作,確保系統遭破壞后能及時恢復。
10、未經本中心批準,不得在校園網內建立自己的WEB站點、BBS站點、討論組及其它類似的'信息站點。學校網站的策劃,內容的增刪由中心負責。信息發布的內容須經校辦公室審核。
11、指定專人負責本學校的計算機網絡管理和信息管理。
12、對于違反上述制度的有關人員,將采取教育、經濟處罰和行政處罰等措施,觸犯法律的將移送公安司法機關依法追究刑事責任。
13、本制度自發布之日起實施。
信息安全管理制度4
1、安全管理制度要求
1.1總則:為了切實有效的保證公司信息安全,提高信息系統為公司生產經營的服務實力,特制定交互式信息安全管理制度,設定管理部門及專業管理人員對公司整體信息安全進行管理,以確保網絡與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應包括:
a)平安崗位管理制度;
b)系統操作權限管理;
c)平安培訓制度;
d)用戶管理制度;
e)新服務、新功能平安評估;
f)用戶投訴舉報處理;
g)信息發布審核、合法資質查驗和公共信息巡查;
h)個人電子信息安全愛護;
i)平安事務的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批文件。
1.1.2安全管理制度應經過管理層批準,并向全部員工宣貫。
2、機構要求
2.1法律責任
2.1.1互聯網交互式服務供應者應是一個能夠擔當法律責任的組織或個人。
2.1.2互聯網交互式服務供應者從事的信息服務有行政許可的應取得相應許可。
3、人員安全管理
3.1平安崗位管理制度
建立平安崗位管理制度,明確主辦人、主要負責人、平安責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應根據相關法律、法規、道德規范和對應的業務要求來執行,包括:
①個人身份核查;
②個人履歷的核查;
③學歷、學位、專業資質證明;
④從事關鍵崗位所必需的實力;
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3平安培訓
建立平安培訓制度,定期對全部工作人員進行信息安全培訓,提高全員的信息安全意識,包括:
①上崗前的培訓;
②平安制度及其修訂后的培訓;
③法律、法規的發展保持同步的接著培訓。應嚴格規范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協作公安機關工作的人員變動應通報公安機關。
3.4人員離崗
應嚴格規范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協作公安機關工作的人員變動應通報公安機關。
4、訪問限制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問權限管理制度。
4.2權限安排
按以下原則依據人員職責安排不同的訪問權限:
a)角色分別,如訪問懇求、訪問授權、訪問管理;
b)滿意工作須要的最小權限;
c)未經明確允許,則一律禁止。
4.3特別權限限制和限制特別訪問權限的安排和運用:
a)標識出每個系統或程序的特別權限;
b)根據“按需運用”、“一事一議”的原則安排特別權限;
c)記錄特別權限的授權與運用過程;
d)特別訪問權限的安排須要管理層的批準。
注:特別權限是系統超級用戶、數據庫管理等系統管理權限。
4.4權限的檢查
定期對訪問權限進行檢查,對特別訪問權限的授權狀況應在更常見的時間間隔內進行檢查,如發覺不恰當的權限設置,應剛好予以調整。
5、網絡與主機系統的平安
5.1 網絡與主機系統的平安
應維護運用的網絡與主機系統的平安,包括:
a)實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的復原措施;
b)實施7×24h網絡入侵行為的預防、檢測與響應措施;
c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的復原措施;
d)對系統的脆弱性進行評估,并實行適當的措施處理相關的風險。注:系統脆弱性評估包括采納平安掃描、滲透測試等多種方式。
5.2備份
5.2.1應建立備份策略,有足夠的備份設施,確保必要的信息和軟件在災難或介質故障時可以復原。
5.2.2 網絡基礎服務(登錄、消息發布等)應具備容災實力。
5.3平安審計
5.3.1應記錄用戶活動、異樣狀況、故障和平安事務的日志。
5.3.2審計日志內容應包括:
a)用戶注冊相關信息,包括:
1)用戶唯一標識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4)注冊時間、IP地址及端口號;
5)電子郵箱地址和于機號碼;
6)用戶備注信息;
7)用戶其他信息。
b)群組、頻道相關信息,包括:
1)創建時間、創建人、創建人IP地址及端口號;
2)刪除時間、刪除人、刪除人IP地址及端口號;
3)群組組織結構;
4)群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標識;
2)登錄時間;
3)退出時間;
4)IP地址及端口號。
d)用戶信息發布日志,包括:
1)用戶唯一標識;
2)信息標識;
3)信息發布時間;
4)IP地址及端口號;
5)信息標題或摘要,包括圖片摘要 。
e)用戶行為,包括:
1)進出群組或頻道;
2)修改、刪除所發信息;
3)上傳、下載文件。
5.3.3應確保審計日志內容的可溯源性,即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡閑聊等網絡消息服務供應者應能防范偽造、隱匿發送者真實標記的消息的措施;涉及地址轉換技術的服務,如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息;涉及短網址服務的,應審計原始URL與短UR L之間的映射關系。
5.3.4應愛護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。
5.3.5應能夠依據公安機關要求留存具備指定信息訪問日志的留存功能。
5.3.6審計日志保存周期
a)應永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄閑聊室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;
b)系統維護日志信息保存12個月以上;
c)應留存用戶日志信息12個月以上;
d)對用戶發布的信息內容保存6個月以上;
e)已下線的系統的日志保存周期也應符合以上規定。
6、應用平安
6.1用戶管理
6.1.1向用戶宣揚法律法規,應在用戶注冊時,與用戶簽訂服務協議,告知相關權利義務及需擔當的法律責任。
6.1.2建立用戶管理制度,包括:
a)用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:
1)身份證與姓名實名驗證服務;
2)有效的銀行卡;
3)合法、有效的數字證書;
4)已確仔細實身份的網絡服務的注冊用戶;
5)經電信運營商接入實名認證的用戶。(如某網站采納已經實名認證的'第三方賬號登陸,可認為該網站的用戶已進行有效核驗。)
b)應對用戶注冊的賬號、頭像和備注等信息進行審核,禁止運用違反法律法規和社會道德的內容;
c)建立用戶黑名單制度,對網站自行發覺以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。
6.1.3當用戶利用互聯網從事的服務須要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:
a)核對行政許可文件;
b)通過行政許可主管部門的公開信息;
c)通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防范和處置
6.2.1公司實行管理與技術措施,剛好發覺和停止違法有害信息發布。
6.2.2公司采納人工或自動化方式,對發布的信息逐條審核。
實行技術措施過濾違法有害信息,包括且不限于:
a)基于關鍵詞的文字信息屏蔽過濾;
b)基于樣本數據特征值的文件屏蔽過濾;
c)基于URL的屏蔽過濾。
6.2.3應實行技術措施對違法有害信息的來源實施限制,防止接著傳播。
注:違法有害信息來源限制技術措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止共享、禁止留言及回復、限制特定發布來源、限制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。
6.2.4公司建立7*24h信息巡查制度,剛好發覺并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異樣狀況報告、平安提示和案件調差協作制度,包括:
a)對發覺的違法有害信息,馬上停止發布傳輸,保留相關證據(包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄),并向屬地公安機關報告;
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要狀況或重大緊急事務馬上向屬地公安機關報告,同時協作公安機關做好調查取證工作。
6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及共享中的任何一個環節應能再5min之內刪除,相關的屏蔽過濾措施應在10min內生效。
6.3破壞性程序防范
6.3.1實施破壞性程序的發覺和停止發布措施、并保留發覺的破壞性程序的相關證據。
6.3.2對軟件下載服務供應者(包括應用軟件商店),檢查用戶發布的軟件是否是計算機病毒等惡意代碼。
7、個人電子信息愛護
7.1.1制定明確、清晰的個人電子信息處置規則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務協議中明示收集與運用個人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫療網站僅收集為實現正值商業目的和供應網絡服務所必需的個人信息;收集個人電子信息時,取得用戶的明確授權同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,并取得用戶明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子信息處理時,應告知用戶,并取得其同意。
7.2技術措施
公司建立覆蓋個人電子信息處理的各個環節的平安愛護制度和技術措施,防止個人電子信息泄露、損毀、丟失,包括:
a)采納加密方式保存用戶密碼等重要信息;
b)審計內部員工對涉及個人電子信息的全部操作,并對審計進行分析,預防內部員工有意泄露;
c)審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據;
d)建立程序來限制對涉及個人電子信息的系統和服務的訪問權的安排。這些程序涵蓋用戶訪問生存周期內的各個階段,從新用戶初始注冊到不再須要訪問信息系統和服務的用戶的最終撤銷;
e)系統的平安保障技術措施覆蓋個人電子信息處理的各個環節,防止網絡違法犯罪活動竊取信息,降低個人電子信息泄露的風險。
7.3個人信息泄露事務的處理
a)當發覺個人電子信息泄露時間后,應馬上實行補救措施,防止信息接著泄露;
b)24小時內告知用戶,依據用戶初始注冊信息重新激活賬戶,避開造成更大的損失馬上告屬地公安機關。
8、平安事務管理
8.1平安時間管理制度
8.1.1建立平安事務的監測、報告和應急處置制度,確保快速有效和有序地響應平安事務。
8.1.2平安事務包括違法有害信息、危害計算機信息系統平安的異樣狀況及突發公共事務。
8.2應急預案
制定平安事務應急處置預案,向屬地公安機關珍寶,并定期開展應急演練。
8.3突發公共事務處理
突發公共事務分為四級:I級(特殊重大)、II級(重大)、III級(較大)、IV級(一般),互聯網交互式服務供應者應建立相應處置機制,當突發公共事務發生后,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% —80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%—50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術接口
公司網站所設技術接口為公安機關供應的符合國家及公共平安行業標準的技術接口,能確保實時,有效地供應相關證據。
信息安全管理制度5
為保障學校網絡和信息健康、安全,根據《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》等國家法律、法規,特制定齊一小學信息安全管理條例。
總則
一、嚴格遵守國家有關涉及互聯網方面的法律法規;
二、堅決封堵互聯網上不良和有害信息的侵入;
三、積極配合公安機關的網絡信息安全部門檢查;
四、按照備案要求,及時備案學校在互聯網應用方面的變更信息;五、學校建立網絡信息安全領導小組和學校網絡信息保護小組,并報公安機關的網絡安全部門備案。
安全員制度
一、設立2人以上專職或兼職計算機信息網絡安全員;
二、安全員在學校信息技術部主任領導下,主要負責全校網絡系統的安全性;
三、安全員負責學校教師網絡安全知識和操作方面的.培訓指導;
四、安全員確保系統日志保存并按規定保留60天以上;
五、安全員負責系統數據冗災備份工作;
六、安全員負責對防病毒系統、防火墻和入侵檢測系統定期升級;定期對系統進行安全檢測,及時發現安全漏洞予以消除,并對檢測和漏洞消除情況做好記錄;
七、安全員承擔對不良、有害信息上報、處置工作。
與公安機關聯系制度
一、建立與公安機關聯的長效機制,對網絡安全方面出現的問題和情況及時溝通;
二、網絡安全保護小組以及安全員保持通訊暢通,確保24小時聯系制度;
三、對學校信息安全涉及的案件,應當在24小時內向當地公安機關報告;
安全教育和培訓
一、安全員定期接受公安機關和上級教育主管部門的安全培訓;
二、實時了解網絡信息安全的動向,不定期對學校聯網用戶(教師)進行關于最新系統漏洞修復和最新病毒預防等安全防范方面的培訓和學習;
三、適時對學校老師進行基本的網絡安全保護制度和具體方法的介紹,切實維護計算機聯網安全;
機房管理制度
一、對能夠進入網絡控制機房的人員設定要求,建立網絡控制機房準入制度;
二、嚴格執行對任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品的禁止要求;
三、操作密碼定期更改要求,超級用戶權限設定、機房管理員權限等等的權限設定;
四、建立《機房日志》,對各類軟硬件的添加、更換等進行登記;
五、各種主要數據的冗災備份要求;
六、對機房設置的消防器材等不定期進行檢查的要求,確保其有效性。
安全保護技術措施
一、對個人使用計算機設置系統密碼,并設置屏幕保護,加強保護個人使用計算機信息安全;
二、系統日志保存完善,參照《互聯網安全保護技術措施規定》,保存時間在60天以上;
三、對系統安全防范系統定期檢測、升級、漏洞修補,確保系統安全;
四、系統數據冗災備份;
五、定期巡視,確保信息安全、合法。
巡視上報制度
一、對于校園論壇、留言板、社區等,建立信息發布前的關鍵字或敏感詞匯的自動過濾功能;
二、對于電子郵件服務,建立垃圾郵件的自動過濾功能;
三、新聞時事、時政類欄目信息以及學校其他相關信息對外發布,必須建立信息發布前的審核制度;
四、以上通過相關管理措施發現的有害信息應完整留存,并指定專人定期上報公安機關網絡安全部門。
用戶登記制度
學校信息中心將對每位教師使用的計算機主機所對應IP地址,做好如實的登記工作,變動信息及時更新工作。
附則
本制度自即日起實施。制度一式三份,一份報公安機關網絡安全部門備案;一份報教育局信息中心備案;一份與學校信息技術部存檔保管備查。
信息安全管理制度6
為加強公司各信息系統管理,保證信息系統安全,根據《中華人民共和國保守國家秘密法》和國家保密局《計算機信息系統保密管理暫行規定》、國家保密局《計算機信息系統國際聯網保密管理規定》,及上級信息管理部門的相關規定和要求,結合公司實際,制定本制度。
本制度包括網絡安全管理、信息系統安全保密制度、信息安全風險應急預案。
網絡安全管理制度
第一條公司網絡的安全管理,應當保障網絡系統設備和配套設施的安全,保障信息的安全,保障運行環境的安全。
第二條任何單位和個人不得從事下列危害公司網絡安全的活動:
1、任何單位或者個人利用公司網絡從事危害公司計算機網絡及信息系統的安全。
2、對于公司網絡主結點設備、光纜、網線布線設施,以任何理由破壞、挪用、改動。
3、未經允許,對信息網絡功能進行刪除、修改或增加。
4、未經允許,對計算機信息網絡中的共享文件和存儲、處理或傳輸的數據和應用程序進行刪除、修改或增加。
5、故意制作、傳播計算機病毒等破壞性程序。
6、利用公司網絡,訪問帶有“黃、賭、毒”、反動言論內容的網站。
7、向其它非本單位用戶透露公司網絡登錄用戶名和密碼。
8、其他危害信息網絡安全的行為。
第三條各單位信息管理部門負責本單位網絡的安全和信息安全工作,對本單位單位所屬計算機網絡的運行進行巡檢,發現問題及時上報信息中心。
第四條連入公司網絡的用戶必須在其本機上安裝防病毒軟件,一經發現個人計算機由感染病毒等原因影響到整體網絡安全,信息中心將立即停止該用戶使用公司網絡,待其計算機系統安全之后方予開通。
第五條嚴禁利用公司網絡私自對外提供互聯網絡接入服務,一經發現立即停止該用戶的使用權。
第六條對網絡病毒或其他原因影響整體網絡安全的子網,信息中心對其提供指導,必要時可以中斷其與骨干網的連接,待子網恢復正常后再恢復連接。
信息系統安全保密制度
第一條、“信息系統安全保密”是一項常抓不懈的工作,每名系統管理員都必須提高信息安全保密意識,充分認識到信息安全保密的重要性及必要性。對重要系統的系統崗位員工進行信息系統安全保密培訓。
第二條、實行信息發布責任追究制度,所有信息的發布必須按規定辦理審核、審簽手續,必須真實有效且符合中華人民共和國法規。涉及國家及公司機密的信息系統必須與內部網和互聯網實施物理隔離,嚴格執行上網信息的審查制度和涉及國家秘密的信息不得在企業內網發布的規定,杜絕泄密事件的發生。凡發布虛假、反動、色情、泄密等內容,追究信息報送和審核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、信息系統管理權限從安全級別上分為絕密、機密、秘密;從適用對象上分為高級管理員、系統管理員、高級用戶、中級用戶、一般用戶、特殊用戶;從操作承載體上分為服務器(包括系統服務器、應用服務器和控制服務器)、工作終端、用戶終端;從設定內容上分為完全控制、權限設置變更廢止、創建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作等。
第四條、所有信息系統的使用者和不同安全等級信息之間必須存在授權關系,并在新建信息系統開發建設階段形成方案并加以設計,在軟件系統中預留對應關系設置的功能,根據使用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對信息系統的硬件配置調整、軟件參數修改嚴加控制。利用操作系統、數據庫系統、應用系統所提供的安全機制,設置相應的安全參數,保證系統訪問的安全;對于重要的計算機設備,要利用軟件技術等手段防止員工擅自安裝、卸載軟件或改變軟件系統配置,并定期對以上情況進行檢查。
第六條、信息系統如需要委托專業機構進行系統運行和維護管理時,應嚴格審查其資質條件、市場剩余和信用狀況等,并且與其簽訂正式的服務合同和保密協議。
第七條、所有信息系統服務器、工作終端、用戶終端必須安裝安全防病毒軟件,對未安裝防病毒軟件的終端用戶有權拒絕為其提供網絡接入服務。
第八條、利用防火墻、路由器、入侵檢測等網絡設備,加強網絡安全,嚴密防范來自互聯網的黑客攻擊和非法侵入。
第九條、對于通過互聯網傳輸的涉密或關鍵業務數據,要采取必要的技術手段確保信息傳遞的保密性、準確性、完整性。
第十條、對于停止運行的廢舊系統,應當做好系統中有價值及涉密信息的銷毀、轉移等善后工作。
第十一條、系統管理人員要遵守信息系統的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業務系統的訪問建立用戶管理制度,對于不同類別不同級別的各類管理及使用人員采取密碼分級管理,設定密碼有效期限,對密碼存儲采用非明文二次加密技術防止各類密碼泄露事故的發生。
信息安全風險應急預案
一、總則
為加強公司信息安全風險源的預防管理,提高應急防范能力,保障網絡系統、信息系統及信息機房的整體安全,促進公司安全生產穩步健康發展,制定本預案。
二、編制目的
依據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》等有關法規文件精神。確保公司信息網絡系統安全運行,為公司整體安全形勢穩步發展提供保障。
三、適用范圍
本預案適用于各單位信息安全突發風險應急管理。
四、主要風險源
1、火災
2、意外斷電
3、重要數據丟失
4、網絡系統大面積癱瘓
五、風險源辨識及評估
各單位應組織員工對風險源進行全面、系統的辨識和風險評估,并確保:危險源辨識前要進行相關知識的培訓;辨識范圍覆蓋本單位的'所有活動及區域;對危險源辨識和風險評估資料進行統計、分析、整理、歸檔;
5.1、火災辨識及評估
5.1.1火災辨識
(1)自然災害引起的火災
(2)強電線路短路引起的火災
(3)雜物堆積引起的火災
(4)溫度過高引起的火災。
(5)老鼠咬線引起的火災。
5.1.2火災風險評估
機房發生火災可能導致工作人員人身受到傷害;信息網絡設備受到損壞;網絡系統大面積癱瘓;國家、集體財產受到損失。
5.2、意外斷電辨識及評估
5.2.1意外斷電辨識
(1)自然災害引起的意外斷電。
(2)短路跳閘引起的意外斷電。
5.2.2意外斷電風險評估
1、意外斷電可能導致機房核心交換機、防火墻、匯聚交換機、數據庫服務器、軟件服務器、恒溫設備等重要設備損壞或數據丟失;
2、意外斷電可能導致煙霧報警系統、溫度報警和斷市電系統無法正常工作而帶來的間接財產損失。
5.3、重要數據丟失辨識及評估
5.3.1重要數據丟失辨識
(1)意外斷電引起的數據丟失。
(2)服務器故障引起的數據丟失。
(3)數據庫損壞引起的數據丟失。
5.3.2重要數據丟失風險評估
1、安全軟件系統數據丟失可能導致安全生產監控類系統數據無法正常采集于傳輸,影響到礦井安全生產的正常進行。
2、數據庫系統數據丟失可能導致經營管理類系統無法正常使用,影響公司相關部門經營管理工作和日常辦公無法正常進行。
5.4、網絡系統大面積癱瘓
5.4.1 網絡系統大面積癱瘓辨識
(1)意外斷電引起的核心交換機、防火墻損壞或故障導致網絡系統大面積癱瘓。
(2)通信線路中斷引起的網絡系統大面積癱瘓
(3)服務器損壞或故障引起的大面積無法登錄互聯網。
5.4.2 網絡系統大面積癱瘓風險評估
1、網絡系統大面積癱瘓可能導致公司與生產礦井之間的信息傳輸中斷,管理部門失去對礦井生產的安全監管,安全生產無法正常進行。
2、網絡系統大面積癱瘓可能導致公司日常辦公無法正常進行。
5.5、高空作業辨識及評估
5.5.1高空作業辨識
(1)日常高空維修可能造成人身傷害。
(2)工程高空施工可能造成人身傷害。
5.5.2高空作業風險評估
日常高空維修網絡設備、打掃衛生和高空施工可能造成工作人員人身傷害和精神傷害,影響公司安全生產穩步發展。
六、安全風險應急預案及措施
根據各單位存在的主要風險源和風險評估,保障安全生產工作有序進行,制定本預案及措施。
6.1火災應急預案及處置措施
6.1.1應急預案
(1)發生特大火災時(包括機房、UPS、庫房),值班人員應立即逃離火災范圍,啟動對應的火災應急預案和響應級別,拉響警報,向公司總調度室、本單位負責人、單位安監部門匯報,在確保人身安全的情況下,組織人員利用滅火器進行滅火;
如果火勢過大,人員無法靠近時,應立即撥打火警119,求助消防部門進行滅火。
(2)發生重大火災時(包括機房局部、UPS控制器、庫房局部),值班人員應立即逃離火災范圍,啟動對應的火災應急預案,拉響警報,向公司調度室和本單位安監部門匯報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,力爭將財產損失降到最低。
(3)發生較大火災時(包括消防通道、辦公室)值班人員應啟動對應的火災應急預案,向公司總調度室及本單位安監部門匯報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免或降低財產損失。
6.1.2處置措施
(1)火災發生時,值班和工作人員應立即脫離火災范圍,確保人身安全。
(2)根據火災大小確定火災風險等級,并啟動相應的響應等級。
(3)根據火災風險等級向公司總調度室及本單位安監部門匯報火災情況。
(4)火勢過大無法控制時,應立即撥打火警119進行求助。
(5)在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免火災擴大,降低財產損失。
(6)盡最大可能搜集火災發生的相關信息,做好記錄,為事故處理提供依據。
(7)每月針對火災誘發根源進行徹底檢查(如易燃物品不能堆放、庫房物品分類并整齊擺放等),預防火災的發生。
6.2、意外斷電應急預案及處置措施
6.2.1應急預案
發生自然災害和短路引起的意外斷電時,值班人員在確保人身安全的情況下,根據風險等級啟動相應的響應等級,向本單位安監部門進行匯報,邀請電力維修人員進行斷電故障排查,并組織技術人員對機房核心交換機、防火墻、匯聚交換機、數據庫服務器、數據備份服務器、軟件服務器、軟件系統、煙霧報警、UPS溫度監控、機房溫度監控系統進行隱患排查,發現設備故障和數據丟失,應當進行及時處理和上報。
6.2.2處置措施
(1)發生意外斷電時,在確保人身安全的情況下,值班人員應啟動相應的響應等級。
(2)向本單位安監部門進行匯報。
(3)必須請專業電力維修人員進行故障排查與維修。
(4)搜集意外斷電發生的信息并作好記錄,為事故處理提供依據。
6.3、重要數據丟失應急預案及處置措施
6.3.1應急預案
(1)因意外斷電引起重要數據丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總調度室和安監部門進行匯報,邀請專業電力維修人員進行故障排查,恢復供電正常,排查機房設備及數據情況,發現設備故障和數據丟失,立即組織相關技術人員進行恢復。
(2)因服務器故障引起數據丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總調度室和案件部門進行匯報,并組織技術人員進行服務器維修和數據恢復,如果服務器和數據無法維修和恢復時,應向本單位負責人匯報并外請專業人員進行維修,確保設備和數據安全。
(3)因數據庫無法啟動引起的數據丟失,值班人員應根據風險等級啟動相應的響應等級,向公司總調度室和案件部門進行匯報,并組織技術人員進行數據恢復,如果數據無法恢復,應向本單位負責人匯報并外請專業人員進行數據恢復,確保設數據安全。
6.3.2處置措施
(1)發生數據丟失時,值班人員應根據風險等級啟動相應相應等級。
(2)值班人員向本單位安監部門匯報。
(3)組織技術人員對數據進行恢復。
(4)本單位技術人員無法恢復丟失數據時,應向本單位負責人匯報并外請專業人員進行數據恢復,確保數據安全。
(5)做好數據丟失與恢復過程的記錄。
6.4、高空作業應急預案及處置措施
6.4.1應急預案
(1)在高空維修過程中發生人員墜落風險時,如果墜落人員處于清醒狀態,應立即撥打120送往醫院進行急救;
如果墜落人員處于昏迷狀態,其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,并向公司總調度室、本單位負責人及安監部門匯報。
(2)在高空施工過程中發生人員墜落風險時,如果墜落人員處于清醒狀態,應立即撥打120送往醫院進行急救;
如果墜落人員處于昏迷狀態,其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,并向公司總調度室、本單位負責人及安監部門匯報。
6.4.2處置措施
(1)日常高空維修必須在確保人身安全的情況下進行,否則不能進行維修作業。
(2)在日常工作中設計到高空維修,維修人員一定要2人或2人以上進行維修。否則,維修人員可以拒絕維修工作。
(2)高空維修人員必須佩帶安全繩索,并采用安全梯子進行高空作業。否則,不能進行高空維修作業。
(3)事故發生后要對事故的經過進行詳細記錄,為事故處理提供依據。
信息安全管理制度7
第一條 信息安全是指通過各種計算機、網絡(內部信息平臺)和密碼技術,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。
1、信息處理和傳輸系統的安全。系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護,避免因為系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。
2、信息內容的安全。 側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測,采取技術措施對所發現的漏洞進行補救,防止竊取、冒充信息等。
3、信息傳播安全。要加強對信息的審查,防止和控制非法、有害的信息通過本委的信息網絡(內部信息平臺)系統傳播,避免對國家利益、公共利益以及個人利益造成損害。
第二條 涉及國家秘密信息的安全工作實行領導負責制。
第三條 信息的內部管理
1、各科室(下屬單位)在向網絡(內部信息平臺)系統提交信息前要作好查毒、殺毒工作,確保信息文件無毒上載;
2、根據情況,采取網絡(內部信息平臺)病毒監測、查毒、殺毒等技術措施,提高網絡(內部信息平臺)的整體搞病毒能力;
3、各信息應用科室對本單位所負責的信息必須作好備份;
4、各科室應對本部門的信息進行審查,網站各欄目信息的負責科室必須對發布信息制定審查制度,對信息來源的合法性,發布范圍,信息欄目維護的負責人等作出明確的規定。信息發布后還要隨時檢查信息的完整性、合法性;如發現被刪改,應及時向信息安全協調科報告;
5、涉及國家秘密的信息的存儲、傳輸等應指定專人負責,并嚴格按照國家有關保密的法律、法規執行;
6、涉及國家秘密信息,未經信息安全分管領導批準不得在網絡上發布和明碼傳輸;
7、涉密文件不可放置個人計算機中,非涉密電子郵件的收發也要實行病毒查殺。
第四條 信息加密
1、涉及國家秘密的信息,其電子文檔資料應當在涉密介質中加密單獨存儲;
2、涉及國家和部門利益的敏感信息的電子文檔資料應當在涉密介質中加密單獨存儲;
3、涉及社會安定的敏感信息的電子文檔資料應當在涉密介質中加密單獨存儲;;
4、涉及國家秘密、國家與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關規定采用文件加密傳輸或鏈路傳輸加密。
第五條 任何單位和個人不得從事以下活動:
1、利用信息網絡系統制作、傳播、復制有害信息;
2、入侵他人計算機;
3、未經允許使用他人在信息網絡系統中未公開的信息;
4、未經授權對網絡(內部信息平臺)系統中存儲、處理或傳輸的信息(包括系統文件和應用程序)進行增加、修改、復制和刪除等;
5、未經授權查閱他人郵件;
6、盜用他人名義發送電子郵件;
7、故意干擾網絡(內部信息平臺)的暢通運行;
8、從事其他危害信息網絡(內部信息平臺)系統安全的.活動。
第六條 本制度自發布之日起施行,凡與本制度有沖突的均以本制度為準。
1、學校應將學校規定的學生到校和放學時間,及時告知其監護人。
2、學校應將學生非正常缺席或者擅自離校情況,及時告知其監護人。
3、學校組織學生外出活動,班主任至少提前一天通知或告示知家長。
4、學校因組織活動需要調休的,班主任至少提前一天通知或告示知家長。
5、學校因組織活動需提前或推遲放學的,班主任至少提前一天通知或告示知家長。
6、學校某部位確有安全隱患的,應有相關部位書面告示,并由教師教育學生不擅入危險區域。
7、學生未正常到校上課的,班主任應及時與家長取得聯系,了解未到校原因。
8、學校建立學生特異體質和特定疾病監護人向學校告知制度,以便在教育教學活動中教師了解學生身體情況,合理安排其活動量。
9、班主任在新學年開始時向監護人了解學生是否有特異體質和特定疾病,監護人應如實說明清楚,并附醫院證明或其他相關證明,提出需要減輕活動量的具體要求,班主任負責做好書面檔案,并書面通知有關課程的老師。
10、各學科老師組織教學中有責任根據學生的健康狀況適當調節和控制有特異體質和特定疾病的學生活動量。
11、學生在學校期間出現安全事故時,所有現場或知情教職工和學生都有進行緊急救護和報告學校的責任,第一知情者為第一責任人。
12、一旦發生學生傷害事故,在場的。老師和學生應該立即護送被傷害者到就近的醫院,或者撥打120電話求助,同時知情師生立即向班主任、教導處報告,情況嚴重時立即報告校長室。
13、班主任、教導處、學校領導在接到學生傷害事故報告后,應該首先安排被傷害學生的救護醫療和通知監護人,然后調查事發的經過和主要原因。教導處負責學生一般傷害事故的調查處理,重大傷害事故校長參與處理。學生傷害事故的處理,應該按照國家頒布的《學生傷害事故處理辦法》進行。
14、學校在學生自愿的前提下協助學生辦理意外傷害保險。
信息安全管理制度8
為提高公司信息系統的可靠性、穩定性、安全性,降低人為因素導致信息系統失效的可能性,形成良好的信息傳遞渠道,特制定本規范。
1. 機房管理規范
1.1非工作人員不得進出機房。工作人員出入機房注意鎖好房門,未經上級批準,禁止將機房相關鑰匙、密碼等物品或信息外露給其它人員,同時有責任對信息保密。
1.2機房工作人員必須熟知機房內設備的基本安全操作和規則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線路;定期檢查硬件運作狀態(如設備指示燈)。不得亂拉亂接電線,應選用安全、有保證的供電、用電器材,嚴禁隨意對設備斷電、更改設備供電線路,嚴禁隨意串接、并接、搭接各種供電線路。
1.3機房內禁止吃食物、抽煙、隨地吐痰,對于意外或工作過程中弄污地板和其它物品的,必須及時采取措施清理干凈;禁止在服務器上進行試驗性質的軟件調試,禁止在服務器隨意安裝軟件。
1.4機房工作人員必須定期檢查軟件的運行狀況、定期調閱軟件運行日志記錄,進行數據和軟件日志備份,做好硬件設備的'維護保養工作。
1.5任何人均不得在服務器、交換設備等核心設備上進行與工作無關的任何操作。未經上級允許,更不允許他人操作機房內部的設備。
2. 計算機操作人員管理規范
2.1計算機操作員應具備計算機基礎知識,熟練使用windows、office、長安福特dms系統及常用軟件,并對其所使用的計算機軟、硬件負有維護保管責任。
2.2任何員工未經授權,不得修改計算機軟硬件設置。嚴禁在工作機共享文件,員工所掌握的工作數據、文件等均屬公司所有,嚴禁拷貝、傳播、修改、破壞。凡違反網絡操作規程,影響網絡運行者罰款100元。
2.3計算機操作人員離開工作區域時應保證重要文件、資料、設備、數據處于安全保護狀態;個人的工作文件應隨時做好安全存放與備份,不得將個人工作文件存放于“c盤我的文檔”。如有問題及時聯系系統管理員,與系統管理員一同維護好日常網絡的安全運行。
2.4計算機操作人員每次開機確保病毒實時監測程序和黑客防火墻程序的正常運行;日常工作中注意保持計算機等相關設備的清潔,下班時務必關掉所有辦公設備的電源。
3. 計算機系統安全性維護
3.1計算機信息系統操作人員不得擅自進行系統軟件的刪除、拷貝、修改等操作,不得擅自升級、改變系統軟件版本或更換系統軟件,不得擅自改變軟件系統環境配置。
3.2硬件設備的更新、擴充、修復等工作應當由相關人員提出申請,報上級主管負責人審批。未經允許,不得擅自拆裝硬件設備。
3.3在使用任何外來的光盤,u盤,移動硬盤等外來媒體的文件前,必須進行殺毒;嚴禁瀏覽任何非法網站、黑客網站及不健康的網站,嚴禁下載帶有附件的不明郵件;
3.4系統管理人員負責長安福特dms系統工作權限的設置,員工只能使用自己的工作權限,嚴禁盜用他人用戶名與密碼,嚴格執行工作流程;長安福特dms系統上使用的密碼一經啟用,不得隨意修改、公開,并需在行政部做備份,如需修改須事先告知行政部。
3.5各部門如有計算機操作員人員更替,必須及時通知行政部,系統管理員注銷或開設新用戶。
3.6系統管理人員須嚴格管理公司無限網絡的使用,接入密碼要經常更新,以保證無線網絡的安全;
信息安全管理制度9
根據《中小學幼兒園安全管理辦法》規定,建立學生安全信息管理制度如下:
一、將學校規定的學生到校和放學時間、學生非正常缺席或者擅自離校情況,以及學生身體和心理的異常狀況等關系學生安全的信息,及時告知其監護人。
1、教務處要根據學校不同時期的作息時間變動,將學校規定的學生到校和放學時間通過家長會或信息平臺等形式及時告知其監護人。
2、班主任要嚴格考勤制度,衛生室要嚴格執行晨檢制度,若發生學生非正常缺席或者擅自離校情況,班主任要盡快和其監護人取得聯系,如果聯系不上其監護人,或事態嚴重,必須向德育處報告。
二、對有特殊體質、特定疾病或者其他生理、心理狀況異常以及有其他不良行為的學生,學校應當做好安全信息記錄,妥善保管學生的健康與安全信息資料,依法保護學生的.個人隱私。學校對已知的有特異體質、特定疾病或者異常心理狀況的學生,應當給予適當關注和照顧。
1、班主任在平時的工作中,如果發現學生身體和心理出現異常狀況等關系學生安全的信息,在及時告知其監護人的同時,必須上報德育處。
2、班主任要排查班級中是否有特殊體質、特定疾病或者其他生理、心理狀況異常的學生,如果有,要及時告知衛生室、體育組和校長室,衛生室做好這些學生的安全信息記錄,并和其監護人取得聯系,妥善保管學生的健康與安全信息資料。對這些已知的有特異體質、特定疾病或者異常心理狀況的學生,一些不適合這些學生參加的活動,班主任和體育老師要應當給予適當關注和照顧,可私下告知他們可以不參加,依法保護學生的個人隱私。
三、學校建立安全工作檔案,記錄日常安全工作、安全責任落實、安全檢查、安全隱患消除等情況,并作為實施安全工作目標考核、責任追究和事故處理的重要依據。
四、在校學生發生安全事故,應及時通知家長或監護人。
五、學生在校期間離開校園,必須有班主任寫的出門條,將出門條交門衛并告知家長。
六、班級如果發生了學生安全事故,要迅速向德育處和校長室報告,不得隱瞞、謊報、漏報,以保證學校在第一時間內,集中力量進行救助,學校同時向上級有關部門報告。
信息安全管理制度10
醫院信息安全管理制度:
一、信息系統安全包括:軟件安全和硬件網絡安全兩部分。
二、網絡信息辦公室人員必須采取有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對HIS系統用戶的訪問模塊、訪問權限由院長提出后,由網絡信息辦公室人員給予配置,以后變更必須報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室人員監督檢查更換新的密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網絡風暴發生。
六、網絡系統所有設備的配置、安裝、調試必須由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。
八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。 九、所有進入網絡的光盤、U 盤等其他存貯介質,必須經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質絕對禁止上網使用,對造成“病毒"蔓延的有關人員,將對照《計算機信息系統處罰條例》進行相應的經濟和行政處罰。
十、在醫院還沒有有效解決網絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的情況下,內外網獨立運行,所有終端內外網不能混接。
十一、內網用戶所有文件傳遞,不得利用光盤和U 盤等存貯介質進行拷貝。 十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
十四、 信息系統故障應急預案:
1、對網絡故障的判斷:當網絡系統終端發現計算機訪問數據庫速度遲緩、不能進入相應程序、不能保存數據、不能訪問網絡、應用程序非連續性工作時,要立即向網絡信息辦公室匯報,網絡信息辦公室工作人員對科室提出的上述問題必須重視,經核實后給予科室反饋信息。網絡信息辦公室負責人應召集有關人員及時進行討論,如果故障原因明確,可以立刻恢復工作的.,應立即恢復工作;如故障原因不明確、情況嚴重不能在短期內排除的,應立即報告院領導,在網絡不能運轉的情況下由機關協調全院工作以保障醫療工作的正常運轉。
2、網絡故障分為三類:
(1)一類故障:服務器不能工作;光纖損壞;主服務器數據丟失;備份盤損壞;服務器工作不穩定;局部網絡不通;數據被人刪改;重點終端故障;規律性的整體、局部軟、硬件故障。
(2)二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數據處理錯誤;某些科室違反工作流程要求。
(3)三類故障:各終端由于不熟練或使用不當造成的錯誤。
信息安全管理制度11
一、總則
為加強公司信息安全風險源的預防管理,提高應急防范實力,保障網絡系統、信息系統及信息機房的整體平安,促進公司平安生產穩步健康發展,制定本預案。
二、編制目的
依據《中華人民共和國計算機信息系統平安愛護條例》、《中華人民共和國計算機信息網絡國際聯網平安愛護管理方法》等有關法規文件精神。確保公司信息網絡系統平安運行,為公司整體平安形勢穩步發展供應保障。
三、適用范圍
本預案適用于各單位信息安全突發風險應急管理。
四、主要風險源
1、火災;
2、意外斷電;
3、重要數據丟失;
4、網絡系統大面積癱瘓。
五、風險源辨識及評估
各單位應組織員工對風險源進行全面、系統的辨識和風險評估,并確保:危急源辨識前要進行相關學問的培訓;辨識范圍覆蓋本單位的全部活動及區域;對危急源辨識和風險評估資料進行統計、分析、整理、歸檔;
5.1、火災辨識及評估
5.1.1火災辨識
(1)自然災難引起的火災。
(2)強電線路短路引起的火災。
(3)雜物積累引起的火災。
(4)溫度過高引起的火災。
(5)老鼠咬線引起的火災。
5.1.2火災風險評估
機房發生火災可能導致工作人員人身受到損害;信息網絡設備受到損壞;網絡系統大面積癱瘓;國家、集體財產受到損失。
5.2、意外斷電辨識及評估
5.2.1意外斷電辨識
(1)自然災難引起的意外斷電。
(2)短路跳閘引起的意外斷電。
5.2.2意外斷電風險評估
1、意外斷電可能導致機房核心交換機、防火墻、匯聚交換機、數據庫服務器、軟件服務器、恒溫設備等重要設備損壞或數據丟失;
2、意外斷電可能導致煙霧報警系統、溫度報警和斷市電系統無法正常工作而帶來的間接財產損失。
5.3、重要數據丟失辨識及評估
5.3.1重要數據丟失辨識
(1)意外斷電引起的數據丟失。
(2)服務器故障引起的數據丟失。
(3)數據庫損壞引起的數據丟失。
5.3.2重要數據丟失風險評估
1、平安軟件系統數據丟失可能導致平安生產監控類系統數據無法正常采集于傳輸,影響到礦井平安生產的正常進行。
2、數據庫系統數據丟失可能導致經營管理類系統無法正常運用,影響公司相關部門經營管理工作和日常辦公無法正常進行。
5.4、網絡系統大面積癱瘓
5.4.1 網絡系統大面積癱瘓辨識
(1)意外斷電引起的核心交換機、防火墻損壞或故障導致網絡系統大面積癱瘓。
(2)通信線路中斷引起的網絡系統大面積癱瘓。
(3)服務器損壞或故障引起的'大面積無法登錄互聯網。
5.4.2 網絡系統大面積癱瘓風險評估
1、網絡系統大面積癱瘓可能導致公司與生產礦井之間的信息傳輸中斷,管理部門失去對礦井生產的平安監管,平安生產無法正常進行。
2、網絡系統大面積癱瘓可能導致公司日常辦公無法正常進行。
5.5、高空作業辨識及評估
5.5.1高空作業辨識
(1)日常高空修理可能造成人身損害。
(2)工程高空施工可能造成人身損害。
5.5.2高空作業風險評估
日常高空修理網絡設備、打掃衛生和高空施工可能造成工作人員人身損害和精神損害,影響公司平安生產穩步發展。
六、平安風險應急預案及措施
依據各單位存在的主要風險源和風險評估,保障平安生產工作有序進行,制定本預案及措施。
6.1火災應急預案及處置措施
6.1.1應急預案
(1)發生特大火災時(包括機房、UPS、庫房),值班人員應馬上逃離火災范圍,啟動對應的火災應急預案和響應級別,拉響警報,向公司總調度室、本單位負責人、單位安監部門匯報,在確保人身平安的狀況下,組織人員利用滅火器進行滅火;假如火勢過大,人員無法靠近時,應馬上撥打火警119,求助消防部門進行滅火。
(2)發生重大火災時(包括機房局部、UPS限制器、庫房局部),值班人員應馬上逃離火災范圍,啟動對應的火災應急預案,拉響警報,向公司調度室和本單位安監部門匯報,在確保人身平安的狀況下,組織人員利用滅火器進行滅火,力爭將財產損失降到最低。
(3)發生較大火災時(包括消防通道、辦公室)值班人員應啟動對應的火災應急預案,向公司總調度室及本單位安監部門匯報,在確保人身平安的狀況下,組織人員利用滅火器進行滅火,避開或降低財產損失。
6.1.2處置措施
(1)火災發生時,值班和工作人員應馬上脫離火災范圍,確保人身平安。
(2)依據火災大小確定火災風險等級,并啟動相應的響應等級。
(3)依據火災風險等級向公司總調度室及本單位安監部門匯報火災狀況。
(4)火勢過大無法限制時,應馬上撥打火警119進行求助。
(5)在確保人身平安的狀況下,組織人員利用滅火器進行滅火,避開火災擴大,降低財產損失。
(6)盡最大可能搜集火災發生的相關信息,做好記錄,為事故處理供應依據。
(7)每月針對火災誘發根源進行徹底檢查(如易燃物品不能堆放、庫房物品分類并整齊擺放等),預防火災的發生。
6.2、意外斷電應急預案及處置措施
6.2.1應急預案
發生自然災難和短路引起的意外斷電時,值班人員在確保人身平安的狀況下,依據風險等級啟動相應的響應等級,向本單位安監部門進行匯報,邀請電力修理人員進行斷電故障排查,并組織技術人員對機房核心交換機、防火墻、匯聚交換機、數據庫服務器、數據備份服務器、軟件服務器、軟件系統、煙霧報警、UPS溫度監控、機房溫度監控系統進行隱患排查,發覺設備故障和數據丟失,應當進行剛好處理和上報。
6.2.2處置措施
(1)發生意外斷電時,在確保人身平安的狀況下,值班人員應啟動相應的響應等級。
(2)向本單位安監部門進行匯報。
(3)必需請專業電力修理人員進行故障排查與修理。
(4)搜集意外斷電發生的信息并作好記錄,為事故處理供應依據。
6.3、重要數據丟失應急預案及處置措施
6.3.1應急預案
(1)因意外斷電引起重要數據丟失時,值班人員應依據風險等級啟動相應的響應等級,向公司總調度室和安監部門進行匯報,邀請專業電力修理人員進行故障排查,復原供電正常,排查機房設備及數據狀況,發覺設備故障和數據丟失,馬上組織相關技術人員進行復原。
(2)因服務器故障引起數據丟失時,值班人員應依據風險等級啟動相應的響應等級,向公司總調度室和案件部門進行匯報,并組織技術人員進行服務器修理和數據復原,假如服務器和數據無法修理和復原時,應向本單位負責人匯報并外請專業人員進行修理,確保設備和數據平安。
(3)因數據庫無法啟動引起的數據丟失,值班人員應依據風險等級啟動相應的響應等級,向公司總調度室和案件部門進行匯報,并組織技術人員進行數據復原,假如數據無法復原,應向本單位負責人匯報并外請專業人員進行數據復原,確保設數據平安。
6.3.2處置措施
(1)發生數據丟失時,值班人員應依據風險等級啟動相應相應等級。
(2)值班人員向本單位安監部門匯報。
(3)組織技術人員對數據進行復原。
(4)本單位技術人員無法復原丟失數據時,應向本單位負責人匯報并外請專業人員進行數據復原,確保數據平安。
(5)做好數據丟失與復原過程的記錄。
6.4、高空作業應急預案及處置措施
6.4.1應急預案
(1)在高空修理過程中發生人員墜落風險時,假如墜落人員處于醒悟狀態,應馬上撥打120送往醫院進行急救;假如墜落人員處于昏迷狀態,其他修理人員應當馬上進行簡潔的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,并向公司總調度室、本單位負責人及安監部門匯報。
(2)在高空施工過程中發生人員墜落風險時,假如墜落人員處于醒悟狀態,應馬上撥打120送往醫院進行急救;假如墜落人員處于昏迷狀態,其他修理人員應當馬上進行簡潔的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,并向公司總調度室、本單位負責人及安監部門匯報。
6.4.2處置措施
(1)日常高空修理必需在確保人身平安的狀況下進行,否則不能進行修理作業。
(2)在日常工作中設計到高空修理,修理人員肯定要2人或2人以上進行修理。否則,修理人員可以拒絕修理工作。
(3)高空修理人員必需佩帶平安繩索,并采納平安梯子進行高空作業。否則,不能進行高空修理作業。
(4)事故發生后要對事故的經過進行具體記錄,為事故處理供應依據。
信息安全管理制度12
第一條、“信息系統平安保密”是一項常抓不懈的工作,每名系統管理員都必需提高信息安全保密意識,充分相識到信息安全保密的重要性及必要性。對重要系統的系統崗位員工進行信息系統平安保密培訓。
第二條、實行信息發布責任追究制度,全部信息的發布必需按規定辦理審核、審簽手續,必需真實有效且符合中華人民共和國法規。涉及國家及公司機密的信息系統必需與內部網和互聯網實施物理隔離,嚴格執行上網信息的審查制度和涉及國家隱私的'信息不得在企業內網發布的規定,杜絕泄密事務的發生。凡發布虛假、反動、色情、泄密等內容,追究信息報送和審核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、信息系統管理權限從平安級別上分為絕密、機密、隱私;從適用對象上分為高級管理員、系統管理員、高級用戶、中級用戶、一般用戶、特別用戶;從操作承載體上分為服務器(包括系統服務器、應用服務器和限制服務器)、工作終端、用戶終端;從設定內容上分為完全限制、權限設置變更廢止、創建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作等。
第四條、全部信息系統的運用者和不同平安等級信息之間必需存在授權關系,并在新建信息系統開發建設階段形成方案并加以設計,在軟件系統中預留對應關系設置的功能,依據運用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對信息系統的硬件配置調整、軟件參數修改嚴加限制。利用操作系統、數據庫系統、應用系統所供應的平安機制,設置相應的平安參數,保證系統訪問的平安;對于重要的計算機設備,要利用軟件技術等手段防止員工擅自安裝、卸載軟件或變更軟件系統配置,并定期對以上狀況進行檢查。
第六條、信息系統如須要托付專業機構進行系統運行和維護管理時,應嚴格審查其資質條件、市場剩余和信用狀況等,并且與其簽訂正式的服務合同和保密協議。
第七條、全部信息系統服務器、工作終端、用戶終端必需安裝平安防病毒軟件,對未安裝防病毒軟件的終端用戶有權拒絕為其供應網絡接入服務。
第八條、利用防火墻、路由器、入侵檢測等網絡設備,加強網絡平安,嚴密防范來自互聯網的黑客攻擊和非法侵入。
第九條、對于通過互聯網傳輸的涉密或關鍵業務數據,要實行必要的技術手段確保信息傳遞的保密性、精確性、完整性。
第十條、對于停止運行的廢舊系統,應當做好系統中有價值及涉密信息的銷毀、轉移等善后工作。
第十一條、系統管理人員要遵守信息系統的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業務系統的訪問建立用戶管理制度,對于不同類別不同級別的各類管理及運用人員實行密碼分級管理,設定密碼有效期限,對密碼存儲采納非明文二次加密技術防止各類密碼泄露事故的發生。
信息安全管理制度13
平安生產是企業的頭等大事,必需堅持“平安第一,預防為主”的方針和群防群治制度,仔細實行安全管理制度,切實加強安全管理,保證職工在生產過程中的平安與健康。依據國家和省有關法規、規定和文件,制定本企業信息安全管理制度。
一、計算機設備安全管理制度
計算機不同于其他辦公設備,其好用性、嚴密性、操作技術性強,含量高、部件易受損;特殊是聯網計算機,開放性程度比較高,電腦內部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常運用,特制定本制度。
1、公司內全部計算機歸網絡部統一管理,配備計算機的員工只負責運用操作;
2、計算機管理涉及的范圍:
2.1全部硬件(包括外接設備)及網絡聯接線路;
2.2計算機及網絡故障的解除;
2.3計算機及網絡的維護與修理;
2.4操作系統的管理;
3、公司內全部計算機運用人員均為計算機操作員;
4、網絡維護部負責對公司內全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的運用部門要保持清潔、平安、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備平安的物品。
6、非本單位技術人員對我單位的設備、系統等進行修理、維護時,必需由本單位相關技術人員現場全程監督。計算機設備送外修理,須經有關部門負責人批準。
7、嚴格遵守計算機設備運用、開機、關機等平安操作規程和正確的運用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現故障時應剛好向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行修理及操作。
二、操作員安全管理制度
1、計算機原則上由專人負責操作維護,不得串用設備。下班后必需按程序關閉主機和其他設備,切斷電源。
2、為保證計算機信息安全,必需為計算機設置密碼。
3、計算機操作員除運用操作計算機外,不允許有以下行為:
3.1硬件設備出現故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥);如有向網絡管理員寫設備申請單審批。
3.3刪除計算機操作系統及公司指定的軟件;
3.4運用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術性操作;
4、不得運用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發覺計算機有病毒時,應剛好清除,清除不了的'病毒,要剛好上報。
5、個人的公司重要文檔、資料和數據保存時必需將資料儲存在除操作系統外的其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準上網與工作無關的閑聊、玩電腦嬉戲、看影視、聽音樂,迅雷下載等。
7、電腦及網絡設備所在環境應保持清潔、衛生、通風,留意防塵、防潮、防火。
8、公司全部計算機運用者,不得破壞網管員對計算機的平安設置。包括用戶運用權限。
9、除服務器外,其他全部計算機下班后必需關機并切斷電源;
10、計算機運用者離職時必需由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續。
11、如工作人員不按規定操作,造成不良后果的,將按有關規定,由操作者擔當相應責任,并追究科室負責人的有關責任。
12、操作員設置與管理
(1)網絡管理員管理操作權限必需經過公司領導授權取得;依據不同部門的要求及崗位職責而設置;
(2)網絡管理員負責故障復原等管理及維護,必需有其上級授權;不得運用他人操作代碼進行業務操作;
三、密碼與權限安全管理制度
1、密碼設置應具有平安性、保密性,不能運用簡潔的代碼和標記。密碼是愛護系統和數據平安的限制代碼,也是愛護用戶自身權益的限制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、依次、規律數字等簡單揣測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發覺或懷疑密碼遺失或泄漏應馬上修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參加系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特別狀況須要啟用封存的密碼,必需經過相關部門負責人同意,由密碼運用人員向密碼管理人員索取,運用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記。
4、系統維護用戶的密碼應至少由兩人共同設置、保管和運用管理制度。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數據安全管理制度
1、存放備份數據的介質必需具有明確的標識。備份數據必需異地存放。
2、留意計算機重要信息資料和數據存儲介質的存放、運輸平安和保密管理,保證存儲介質的物理平安。
3、任何非應用性業務數據的運用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據程序進行逐級審批,以保證備份數據平安完整。
4、數據復原前,必需對原環境的數據進行備份,防止有用數據的丟失。數據復原過程中,出現問題時由技術部門進行現場技術支持。數據復原后,必需進行驗證、確認,確保數據復原的完整性和可用性。
5、數據清理前必需對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存,并確保可以隨時運用。數據清理的實施應避開業務高峰期,避開對聯機業務運行造成影響。
6、須要長期保存的數據,數據管理部門需與相關部門制定轉存,依據轉存和查詢運用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、運用方法保證數據的完整性和可用性。
7、非本單位技術人員對本公司的設備、系統等進行修理、維護時,必需由本公司相關技術人員現場全程監督。計算機設備送外修理,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備修理人員應對設備進行驗收、病毒檢測。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除,并妥當處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,發覺病毒剛好清除。
10、營業用計算機未經有關部門允許不準安裝其它軟件、不準運用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網絡管理
1、網絡系統屬于公司無形資產,公司有權限制上網行為,依據工作須要限制各部門的上網行為。
2、公司網絡管理員對計算機IP地址統一安排、登記、管理,嚴禁私自更改IP地址。
3、公司員工必需自覺遵守企業的有關保密法規,嚴禁利用網絡有意或無意泄漏公司的涉密文件、資料和數據。不得非法復制、轉移和破壞公司的文件、資料和數據。
4、實行“絕密”文件、涉秘件與計算機網絡肯定隔離,不得在計算機網絡中輸入、打印、復制“絕密”文件和有關涉秘件。
5、網絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度,對保密的文件資料進行加密存放,不得上網共享。
六、附則
1、本制度由網絡部負責說明。
2、本制度由總經理批準后生效,自頒布之日起執行。
信息安全管理制度14
為了加強對酒店計算機網絡的安全保護,維護計算機網絡的正常運作,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規制定本制度。任何使用酒店計算機網絡的人員必須遵循此制度。
安全員制度
一、 設立專職或兼職計算機信息網絡安全員(以下簡稱安全員)。
二、 安全員主要負責酒店網絡(包含局域網、信息系統遠程接入網)的系統安全性。
三、 安全員負責酒店網絡安全方面操作和知識的培訓。
四、 安全員負責系統數據的冗災備份工作。
五、 安全員確保系統日志保存完善并保留60天。
六、 對系統防病毒系統、防火墻和入侵檢測系統的定期升級。定期
對系統作安全檢測,及時發現安全漏洞予以消除,對檢測結果和漏洞消除情況有記錄。
七、 安全員應經常保持對最新技術的掌握,實時了解網絡信息安全
的.動向,做到預防為主。
八、 安全員承擔對不良、有害信息上報、處置工作職責。
九、 安全員承擔本酒店制定的其他和公安機關交辦的相關網絡安全職責。
信息安全管理制度15
1. 堅決貫徹執行“安全第一、預防為主、防消結合”的方針,積極做好防火工作。
2. 各級領導應該重視防火安全,必須把防火安全工作列入領導議事日程,做到有布置、有檢查,在實際工作中狠抓落實。
3. 對全體員工要加強防火安全教育,提高員工對防火安全的重要性、自覺性和責任感。
4. 落實防火安全的領導和管理,應建立、健全各級防火安全責任制,做到分工明確,責任獎罰分明,保障國家財產和員工的人身安全,以利促進生產的發展。
5. 建立防火安全檢查、巡查制度。公司每月組織有關人員進行一次防火大檢查;工段每周檢查一次;班組每小時對重點防火設備(部位)巡查一次,并做好記錄備查。
6. 在生產區內嚴禁烤火,以及使用汽油、酒精或易燃液體清洗機械設備,以防火災。如維修需要辦動火手續后方可使用。
7. 嚴禁在生產區內吸煙,吸煙者應在公司劃定吸煙區內吸煙。管理人員若發現有違反吸煙規定的人員卻不加以制止,對管理人員處以相等的扣罰。
8. 禁止在生產區內進行動火作業。需要動火時必須按規定向有關部門申報,經保衛、技安部門審批,辦好動火證后,落實動火現場安全措施方可動火。動火時應嚴格執行動火許可證背面的安全規定。
9. 乙炔、氧氣瓶不準高溫存放,一般在35度以下。乙炔瓶與氧氣瓶要分隔存放。動火作業時,瓶與瓶之間不少于5米,明火點與瓶之間不少于10米以上,以防發生危險。
10. 易燃、易爆物品應妥善保管。易燃液體如:汽油、酒精、苯等不準露天堆放。需用桶、缸等裝儲,容器應牢固密封,防止泄漏,杜絕火患。
11. 倉庫內易燃物品和可燃物品應分類存放,對散落部份應及時清除,不準設吸煙室,以防火患。
12. 凡機動車輛進入工段要全部帶防火罩,車輛要定期清潔,當班當值司機負責加水、加油等所有日常保養工作,以免油漬、纖維、積塵過多,預防明火發生火災。
13. 生產線的火花探測報警裝置在停機后及開機前都必須檢測一次。要經常對其進行維護、保養,保持高度靈敏、正常。并做好維護、保養、檢測記錄留檔。
14. 生產現場要注意防火。特別是熱磨、熱壓、砂光報火警時,無論是否有火星,被送到401、411、602倉及袋濾器內必須派人到各自工段管轄范圍內的有關部位查看,檢查途徑的風管是否有火,確認安全后辦理有關手續和簽名,方可開機生產。
15. 在生產區內嚴禁燃放煙花、鞭炮、“火箭”等,以防火患。
16. 防雷設備每年應在雷雨季節前會知有關單位進行檢查測試一次。注意維護、保養以確保其正常工作。
17. 值班電工對電器設備應加強巡回檢查。電器設備要保持清潔,電纜槽要定期揭蓋檢查、清理積塵或纖維,以防短路而引起火患。具體電器設備巡檢按巡檢要求執行。
18. 禁止摩托車、易燃物品儲存、停放在生產工段內,以免發生火災事故,需儲存、停放在指定地點內。
19. 生產現場(工段)、倉庫未經有關領導同意,禁止任何人員攜帶親戚、朋友和外來人員進入生產現場、倉庫參觀、學習、探訪等。
20. 外單位人員(包括運輸)進入廠區范圍內進行作業、參觀、學習及運輸等工作時,需由聯系部門(含個人)督促填寫安全合同。禁止在生產區域內吸煙,如若由此而造成火災事故的,追究部門事故責任。
21. 原料場內木材堆放必須整齊,木材與消防栓之間距離1.5米以上,堆與堆之間必須留消防通道,不得有任何借口在消防通道上堆放木材和物品,要保證通道暢通無阻。
22. 車輛進、出場前檢查。原則上由集團公司保衛部值班人員負責,檢查是否帶防火罩及登記進場。
23. 凡是消防通道、消防設備任何部門、工段都不能占用、封堵,應保持其暢通無阻。
24. 凡在生產過程中聞到燒焦味時當班人員必須查找原因,直到消除原因為止。必須在交班記錄本上寫明原因,再用口頭交接清楚,接班人員需繼續跟蹤或查找隱患,必要時停機全面檢查。
25. 電飯煲原則上是用于生產工作需要,嚴禁作其它使用。在使用工作中,操作者不得離開崗位,以防短路而引起火災。
26. 臨時線拉接時,無論是高、低壓都必須按有關規定辦理手續及操作,并會知生產技術部。
27. 消防器材實行分區管理,并落實其管理責任人,其它人員不準隨意挪用,消防器材附近應留有一定位置,不準亂堆亂放雜物,以確保暢通無阻。
28. 現根據生產防火安全要求,確定公司重點設備和易起火部位定為防火安全重點管理部位有:208干燥管系統、211風送系統、401倉、411倉、602倉、452、513、514等風送系統、432廢料輸送系統、砂光機、熱壓“三機”(包括油壓房)、壓縮機。
28.1.生產班組在接班前應對所屬部位進行一次全面、仔細檢查,接班時要閱讀交接班記錄,交班者要口頭講解本班設備運行情況。在生產過程中按規定每小時巡查一次,并做好記錄、簽名手續。
28.2.檢查巡檢內容
28.2.1.熱磨工段
28.2.1.1.檢查208、211風機是否振動,是否有磨擦聲,皮帶是否打滑。
28.2.1.2.檢查加熱器干燥系統是否有燒焦的異味。
28.2.1.3.檢查211旋風分離器、袋濾器的粉塵溢出是否正常,旋轉閥、螺旋是否有磨擦聲,是否有燒焦的異味。
28.2.2.熱壓工段
28.2.2.1.檢查401、411倉的傳動系統是否有磨擦聲,是否聞到焦味。
28.2.2.2.檢查鋸邊縱橫鋸吸塵口是否堆塞,鋸架是否振動,是否有磨擦聲及燒焦味。
28.2.2.3.檢查452、432風機是否振動,是否有磨擦聲,皮帶是否打滑及其管道。
28.2.2.4.檢查旋風分離器、袋濾器的粉塵溢出是否正常,旋轉閥是否有磨擦聲及燒焦味。
28.2.2.5.檢查“三機”是否有燒焦味和油壓房設備是否有故障。
28.2.3.砂光工段
28.2.3.1.檢查513、514風機是否振動,是否有磨擦聲,皮帶是否打滑。
28.2.3.2.檢查袋濾器、旋風分離器、602倉的粉塵是否溢出,旋轉閥、螺旋是否有磨擦聲及燒焦味。
28.2.3.3.檢查砂光機的砂帶是否打滑,砂光機各部位是否有煙冒出。在檢查過程中發現上述部位有異常或有燒焦的異味時應立即停機檢查,處理程序參閱《火警處理程序》。
28.3.重點防火設備例行檢修、清潔制度
28.3.1.自動火花報警及滅火系統每月檢查一次,將檢查結果作好記錄并簽名,經安技主管驗收簽名合格后方能開機生產。
28.3.2.所有風機每月檢查一次風葉、皮帶磨損情況,軸承發熱情況(軸承溫度不超過80度),在運行狀態下由設備組驗收。
28.3.3.袋濾器布袋每月檢查并清潔一次,每半年水洗一次;振蕩器、風門每個月檢修一次。由設備組及安技員共同驗收。
28.3.4.干燥管每次停機都要檢查是否干凈,若有纖維粘附要及時清理;每月清干燥管不少于一次,由設備組驗收。
28.3.5.401、411倉每月檢查一次所有傳動系統,重點檢查打散片是否變形,軸承是否發熱,由設備組驗收。
28.3.6.所有電機上不得有粉塵堆積,室內電機由設備所屬工段負責,室外電機由電儀工段負責,由調度室負責檢查。
2.8.3.7.熱壓“三機”每日一小清,工段負責驗收。逢換厚度規一大清,屋頂風管每月清潔一次,工段、設備主管、安技同時驗收簽約,具體操作細節必須填寫到清潔記錄表上。
28.4.火警處理程序
28.4.1.自動報警時,若能復位,可先不停機,檢查報警部位的整個系統;若無異常,向當班調度匯報,由調度決定是否停機;若不能復位或復位后在4小時內第二次報警。必須立即停機檢查,由調度驗收確認安全后方能開機。整個檢查過程須仔細記錄并簽名。
28.4.2.檢查時若發現生產線任何部位有明火或冒煙或焦味,必須立即全廠停機撲滅后除檢查起火設備所屬系統外,其前后聯接設備也必須仔細檢查,并通知主管廠長和安技員回廠,由主管廠長和安技員同意后方能開機。
28.4.3.報火警后各系統檢查內容
28.4.3.1.208干燥系統火警:檢查整個干燥管、風機、加熱器、旋風分離器(打開觀察孔用電筒檢查。下同)。
28.4.3.2.211系統火警:檢查袋濾器(打開袋濾器頂部、濾袋部位的檢查門,每隔拆開一個濾袋用電筒觀察下箱體內的情況。下同)、風機、旋風分離器、401倉。
28.4.3.3.452、514、513系統檢查風機、旋風分離器、袋濾器;鋸邊吸風口;光機吸風口。
28.4.3.4.所有檢查過程必須充分發揮嗅覺作用,如有燒焦氣味,須找出火源。排除或確定無火警后,方可離開現場。
29. 各部門、工段(工段)、班組正職為防火安全責任人,對本部門、工段、班組的防火安全工作全面負責。
30. 部門、工段(工段)的防火安全責任人應履行下列防火安全職責。
30.1.貫徹執行消防法規和機關、團體、企業、事業單位消防安全管理規定及本公司防火安全管理規定。
30.2.組織防火檢查,督促落實火災隱患整改,及時處理涉及防火安全問題。
30.3.組織實施對部門、工段防火設施、滅火器和防火安全標志的'維護、保養,確保其完好有效,確保消防通道暢通無阻。
30.4.組織本部門、工段義務消防隊員學習,在員工中組織開展防火知識、技能的宣傳教育和培訓。
31.0.班組的防火安全責任人對本部門、工段的防火安全責任人負責,實施和組織落實下列防火安全管理工作。
31.1.負責本班人員的防火安全知識教育和滅火器材的使用。
31.2.對本班的重點防火設備和易起火部位的巡檢工作負責監督。
31.3.保障部門、工段防火設施、滅火器材、防火標志及消防通道不受損壞和堵塞。
31.4.督促巡檢記錄按時填寫,保證完整無缺。
32.0.各部門、工段(工段)的滅火器材管理人每月對滅火器材進行檢查、清潔、登記、簽名。發現問題及時向安技組反映處理。
33.0.對違反防火安全管理規定的進行處理。
33.1.違反下列規定之一者處50元扣罰。
33.1.1.不按規定辦理動火手續而強行焊接的,造成火災事故按集團
33.1.2.摩托車不按規定停放造成安全事故負一切事故責任。
33.1.3.未經同意善自挪用消防器材。
33.2.違反下列規定之一者處100元以上扣罰。
33.2.1.違規吸煙者及發現違規吸煙而不加制止的相關管理人員。
33.2.2.未經公司領導同意攜帶親戚朋友及外來人員進入生產現場、倉庫進行參觀、學習、探防的當事人。
【信息安全管理制度】相關文章:
信息安全管理制度01-04
(經典)醫院信息安全管理制度11-10
醫院信息安全管理制度05-08
(優秀)信息安全管理制度08-02
信息安全管理制度通用07-18
網絡信息安全管理制度01-17
公司信息安全管理制度06-11
信息安全管理制度(通用)08-02
信息安全管理制度(精選15篇)06-09
(優秀)醫院信息安全管理制度07-13