信息安全管理制度(通用20篇)
在生活中,很多場合都離不了制度,制度對社會經濟、科學技術、文化教育事業的發展,對社會公共秩序的維護,有著十分重要的作用。我們該怎么擬定制度呢?下面是小編收集整理的信息安全管理制度,僅供參考,歡迎大家閱讀。
信息安全管理制度 1
一、前言
信息安全管理制度是組織內部的一種規章制度,其目的在于規范和管理組織內部的信息安全活動,確保組織的信息安全得到有效保障,保護組織及其所有利益相關者的信息安全。為此,本制度將全面介紹我們組織信息安全管理制度的原則、要求、程序、管理責任等,以期能夠為相關工作的開展提供準確、明確的指導和保障。
二、信息安全原則
1.信息安全意識普及原則
組織內部將不斷開展安全意識培訓活動,并制定相應的信息安全規定,提高全體員工的安全意識和保密意識。
2.信息安全最小原則
在信息采集、傳輸、存儲、處理等環節中,應遵循最小化原則,只收集必要的信息,保證信息的真實性、完整性和機密性。
3.信息安全全面性原則
信息安全管理應從全面、系統的角度考慮,采取多種手段進行信息安全保護,確保信息安全風險得到有效控制,包括技術手段和管理手段等。
4.信息安全風險評估原則
組織應該對信息系統、信息資源和信息安全進行全面評估和調查,確定信息安全威脅和風險,制定切實可行的措施和方案,實現信息安全的全面保護。
5.信息安全追溯原則
當組織發生信息安全事件時,應該采取逐級追溯的措施,進行事故的調查、分析、并進行責任追究,避免類似安全事件再次發生。
三、信息安全管理要求
1.信息安全管理的組織結構和職責
本組織應該成立信息安全管理委員會,主要負責信息安全相關工作的組織協調和管理。該委員會由高管層、信息管理人員、技術專家等組成,確定信息安全工作計劃、審核和管理信息安全政策及規定等。
2.信息安全保護的范圍和措施
組織應該采取措施保護以下方面的信息安全:
(1)保護組織的信息系統與網絡安全,防止未經授權的訪問、篡改、延遲、中斷或拒絕服務等攻擊;
(2)防止對關鍵信息系統、數據和設備等的破壞、破解、篡改、數據丟失等危害;
(3)確保對重要信息和數據的保密性、完整性和可用性;
(4)保護公司的品牌聲譽和商業機密,并確保未授權的信息泄露。
3.信息安全管理過程和控制措施
組織應該采取一系列信息安全管理過程和控制措施,包括但不限于:
(1)確保信息安全政策及規定得到有效實施,對相關人員進行培訓并定期回顧更新;
(2)建立安全的網絡、系統和應用架構,進行訪問控制、身份驗證、安全管理等操作;
(3)采取防御性的安全措施,如攻擊檢測、入侵預防、邊界安全等,防范未知的威脅;
(4)建立備份、復原和災難恢復機制,以便在遭受攻擊或突發事件時能夠及時恢復正常業務運營;
(5)進行定期的安全審計和風險評估,發現隱患并采取措施加以糾正;
(6)開展安全漏洞通報和個人信息保護工作。
四、信息安全管理程序
1.信息安全政策制定和發布程序
(1)確定信息安全目標和原則;
(2)制定組織的信息安全政策,明確信息安全管理的基本要求和責任;
(3)發布信息安全政策并進行全體員工安全培訓。
2.信息安全風險評估程序
(1)評估信息系統、信息資源的安全狀況;
(2)分析風險,確定應對方案;
(3)制定戰略和措施,建立信息安全保護體系。
3.信息安全措施實施程序
(1)根據信息安全政策和要求制定信息安全規定和操作規范;
(2)實施信息安全措施和操作規范;
(3)修訂完善信息安全規定和操作規范。
4.信息安全管理監督程序
(1)建立監督檢查機制,確保信息安全政策和規定得到有效執行;
(2)建立內部審計機制,定期進行信息安全審核;
(3)建立風險管理機制,評估和處理各項信息安全風險。
5.信息安全事件管理程序
(1)建立信息安全事件應急預案;
(2)識別和評估信息安全事件;
(3)采取措施進行應對和處理。
五、信息安全管理責任
1.組織領導層的責任
(1)制定信息安全政策和保密制度;
(2)確保組織內部的信息安全狀況得到有效保障,對信息安全風險進行全面評估;
(3)確保相關人員能夠有效執行信息安全管理制度和政策,定期開展信息安全培訓活動;
(4)對違反信息安全規定和制度的行為進行處罰。
2.信息安全管理與監督部門的責任
(1)建立信息安全管理制度,指導和協調信息安全工作的開展;
(2)監督和檢查各種信息系統、存儲媒介、應用系統等的.安全性;
(3)對違反信息安全法規和內部規定的行為進行處理。
3.個人責任
(1)遵守信息安全規定和制度,執行信息安全保護措施;
(2)保護機密信息,防止泄露;
(3)嚴禁進行網絡攻擊或其他有害行為;
(4)發現和處理信息安全事件,及時報告上級。
六、信息安全管理制度的修訂和監督
1.修訂信息安全管理制度
本信息安全管理制度如遇重大安全事件或發生重大風險時,應當對制度進行修訂。修訂后的制度應當及時發布并進行全員培訓、學習。
2.監督信息安全管理制度的實施
本信息安全管理制度的實施需進行定期的監督,以保證制度的有效實施和執行。監督包括不限于定期的信息安全風險評估、安全漏洞掃描、信息安全審計和監督檢查等。
3.安全保密制度
本信息安全管理制度所包含的信息均為機密信息,未經允許不得外傳或傳遞給無關人員。本信息安全管理制度適用于各部門及其所有員工,任何人不得違反規定操作。一旦違反蕞絡,一切后果責任自行承擔。
七、總結
信息安全管理制度是組織信息安全保障的重要保障,本制度應當在相關人員的共同努力下得到有效的實施,遵循信息安全原則,規范信息安全管理程序,強化信息安全管理責任,以保證組織的信息系統和數據得到有效的保護,推動組織和個人安全、高效、有素的發展。
信息安全管理制度 2
一、信息系統安全包括:軟件安全和硬件網絡安全兩部分。
二、網絡信息辦公室人員必須采取有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對HIS系統用戶的訪問模塊、訪問權限由院長提出后,由網絡信息辦公室人員給予配置,以后變更必須報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室人員監督檢查更換新的密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網絡風暴發生。
六、網絡系統所有設備的配置、安裝、調試必須由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。
八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。
九、所有進入網絡的光盤、U盤等其他存貯介質,必須經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質絕對禁止上網使用,對造成“病毒"蔓延的有關人員,將對照《計算機信息系統處罰條例》進行相應的.經濟和行政處罰。
十、在醫院還沒有有效解決網絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的情況下,內外網獨立運行,所有終端內外網不能混接。
十一、內網用戶所有文件傳遞,不得利用光盤和U盤等存貯介質進行拷貝。
十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
十四、信息系統故障應急預案:
1、對網絡故障的判斷:當網絡系統終端發現計算機訪問數據庫速度遲緩、不能進入相應程序、不能保存數據、不能訪問網絡、應用程序非連續性工作時,要立即向網絡信息辦公室匯報,網絡信息辦公室工作人員對科室提出的上述問題必須重視,經核實后給予科室反饋信息。網絡信息辦公室負責人應召集有關人員及時進行討論,如果故障原因明確,可以立刻恢復工作的,應立即恢復工作;如故障原因不明確、情況嚴重不能在短期內排除的,應立即報告院領導,在網絡不能運轉的情況下由機關協調全院工作以保障醫療工作的正常運轉。
2、網絡故障分為三類:
(1)一類故障:服務器不能工作;光纖損壞;主服務器數據丟失;備份盤損壞;服務器工作不穩定;局部網絡不通;數據被人刪改;重點終端故障;規律性的整體、局部軟、硬件故障。
(2)二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數據處理錯誤;某些科室違反工作流程要求。
(3)三類故障:各終端由于不熟練或使用不當造成的錯誤。
信息安全管理制度 3
總則
第一條、為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》、《廣東省計算機信息系統安全保護管理辦法》等有關規定,結合本公司實際,特制訂本制度。
第二條、IT信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條、公司設立信息部,專門負責本公司范圍內的IT信息系統安全管理工作。
第一章網絡管理
第四條、遵守國家有關法律、法規,嚴格執行安全保密制度,不得利用網絡從事危害國家安全、泄露國家秘密等違法犯罪活動,不得制作、瀏覽、復制、傳播反動及色情信息,不得在網絡上發布反動、非法和虛假的消息,不得在網絡上漫罵攻擊他人,不得在網上泄露他人隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條、各終端計算機入網,須填寫《入網申請表》,經批準后由信息部統一辦理入網對接,未進行安全配置、未裝防火墻或殺毒軟件的計算機,不得入網。各計算機終端用戶應定期對計算機系統、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條、上班時間不得查閱娛樂性內容,不得玩網絡游戲和進行網絡聊天,不得觀看、下載大量消耗網絡帶寬的影視、音樂等多媒體信息。
第七條、禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源,禁止所有用戶使用迅雷、BT、電驢等占用大量帶寬的下載工具。
第八條、禁止所有員工私自下載、安裝與工作無關的軟件、程序,如因此而感染病毒造成故障者,按相關處罰條例嚴厲處罰。
第九條、任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據。
第十條、員工在受到病毒或木馬攻擊時,應及時記錄好中毒現象描述和備份好C盤資料及重要數據,并通知網絡管理員檢修,并做好檢修記錄。
第十一條、公司員工禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法侵入他人網絡和服務器系統,禁止利用計算機和網絡干擾他人正常工作的行為。
第十二條、IP地址為計算機網絡的重要資源,計算機各終端用戶應在信息部的規劃下使用這些資源,嚴禁擅自更改。另外,某些系統服務對網絡產生影響,計算機各終端用戶應在信息部的指導下使用,禁止隨意開啟計算機中的系統服務,保證計算機網絡暢通運行。
第二章設備管理
第十三條、公司員工因工作需要,確需購買IT設備或配件的,可向行政人事部申請并交由信息部具體辦理,若有符合需求的可調配設備,由申請人填寫《IT設備調配表》;若無可調配或有但不符合工作需要的設備,由申請人填寫《IT設備購買申請表》。交所在部門經理簽字并報公司分管領導審批后再行調配或采購。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十四條、所有新購IT設備,必須先到信息部辦理登記領用手續后方可到財務部報帳核銷,無此手續者,財務不予報銷。
第十五條、凡登記在案的IT設備,由信息部統一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等
第十六條、各部門負責人為該部門IT設備直接監管人,對本部門的所有IT設備有實時實地監管的義務。當部門負責人因特殊情況不能直接監管時應指定本部門中另外一人承擔此義務,并報公司批準,信息部備案。
第十七條、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡分支機構或合作單位自行購買的設備,原則上由分支機構或合作單位指定專人登記和監察,按公司要求保管好相關資料和信息,并報信息部備案歸檔,若有需要,信息部可協助處理。
第十八條、嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機,調整計算機一律由行政人事部安排,信息部具體辦理備案。
第十九條、設備硬件或重裝操作系統等問題由信息部進行處理,首先由該設備終端用戶填寫《IT設備維修申請表》,在收到《IT設備維修申請表》后,信息部應及時調集力量予以處理。未填寫或是不填寫《IT設備維修申請表》而要求維修,信息部可以不予辦理。
第二十條、原購IT設備原則上在規定使用年限內不再重復購買,達到規定使用年限后,由信息部會同相關部門對其審核后處理。在規定使用年限期間,計算機終端用戶因工作需要發生調動或離職,需要繼續使用該計算機的應在信息部作變更備案;不繼續使用該計算機的,部門領導需監督責任人將計算機及相關設備及時退回信息部,由信息部再行調配。
第二十一條、設備出現故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經理簽字后報信息部。經信息部對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的'資金交公司財務入賬。同時,由信息部對報廢設備登記備案、存檔。
第三章數據管理
第二十二條、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。
第二十三條、為保證數據安全,凡涉及保密資料的電腦一概封閉光驅、軟驅、USB接口;嚴禁拆除機箱及解除封閉,私自使用USB接口,一經發現嚴肅警告并處以50元以下罰款。
第二十四條、有軟驅和光驅的電腦,嚴格控制軟驅和光驅的使用,禁止隨意安裝或卸載軟件。
第二十五條、工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份,并提交給所在部門經理,由部門經理負責保存。各部門經理在一個季度開始后10天之內將本部門上一季度的工作數據交信息部匯集后統一采用磁性介質或光盤保存。
第二十六條、計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與信息部聯系并采取保護數據安全的措施。
第二十七條、終端用戶未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
第四章操作管理
第二十八條、凡涉及業務的專業軟件由使用人員自行負責。嚴禁非信息部人員隨意更改設備配置。
第五章網站管理
第二十九條、公司網站由信息部提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
第三十條、有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。構成犯罪的,依法追究刑事責任。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(二)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(三)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(四)訪問未經授權的文件、系統或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息部;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向行政部備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障出現三次以上(包括三次)仍無法自行處理的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
(十二)擅自更改IP,造成網絡故障者;
(十三)私拉亂接網線,擅自亂動網絡設備,造成網絡故障者;
第三十一條、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~100%賠償,并給予行政和經濟處罰。
第三十二條、計算機系統和殺毒軟件由公司統一安裝,設置好計算機信息(我的電腦-屬性)。具體格式為計算機名:UPTONxx-YYY,xx是公司計算機的編號,YYY是計算機使用者名字偷字母,計算機描述:xx部門xx。
第六章附則
第三十三條本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、移動硬盤、U盤、錄音筆、照相機、攝像機、打印機、復印機、傳真機、掃描儀等公司所有IT設備。
有害數據:指與計算機信息系統相關的,含有危害計算機信息系統安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數據。
合法用戶:經信息部授權使用本公司網絡資源的本公司員工,其余均為非法用戶。
第三十四條、計算機終端用戶應積極配合信息部共同做好計算機信息系統安全管理工作。
第三十五條、本制度適用于全公司范圍,由行政人事部負責解釋、修訂。
第三十六條、本制度自發布之日起實施,凡原制度與本制度不相符的,照本制度執行。
信息安全管理制度 4
1、目標
勝達集團信息安全檢查工作的主要目標是通過自評估工作,發現本局信息系統當前面臨的主要安全問題,邊檢查邊整改,確保信息網絡和重要信息系統的安全。
2、評估依據、范圍和方法
2.1評估依據
根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》(信安通[20xx]15號)、國家電力監管委員會《關于對電力行業有關單位重要信息系統開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求,開展××單位的信息安全評估。
2.2評估范圍
本次信息安全評估工作重點是重要的業務管理信息系統和網絡系統等,管理信息系統中業務種類相對較多、網絡和業務結構較為復雜,在檢查工作中強調對基礎信息系統和重點業務系統進行安全性評估,具體包括:基礎網絡與服務器、關鍵業務系統、現有安全防護措施、信息安全管理的組織與策略、信息系統安全運行和維護情況評估。
2.3評估方法
采用自評估方法。
3、重要資產識別
對本局范圍內的重要系統、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統、關鍵網絡節點設備和安全設備、承載敏感數據和業務的服務器進行登記匯總,形成重要資產清單。
4、安全事件
對本局半年內發生的較大的、或者發生次數較多的信息安全事件進行匯總記錄,形成本單位的'安全事件列表。
5、安全檢查項目評估
5.1規章制度與組織管理評估
5.1.1組織機構
評估標準
信息安全組織機構包括領導機構、工作機構。
現狀描述
本局已成立了信息安全領導機構,但尚未成立信息安全工作機構。
評估結論
完善信息安全組織機構,成立信息安全工作機構。
5.1.2崗位職責
估標準
崗位要求應包括:專職網絡管理人員、專職應用系統管理人員和專職系統管理人員;專責的工作職責與工作范圍應有制度明確進行界定;崗位實行主、副崗備用制度。
現狀描述
我局沒有配置專職網絡管理人員、專職應用系統管理人員和專職系統管理人員,都是兼責;專責的工作職責與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
評估結論
本局已有兼職網絡管理員、應用系統管理員和系統管理員,在條件許可下,配置專職管理人員;專責的工作職責與工作范圍沒有明確制度進行界定,根據實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
評估標準
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略(1周內至少進行一次掃描)。
現狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務器下載、升級安全策略;病毒預警是通過第三方和網上提供信息來源,每月統計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
評估結論
完善病毒預警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
評估標準
運行管理應制定信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
現狀描述
沒有建立相應信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
評估結論
結合本局具體情況,制訂信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
評估標準
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件,半年內系統用戶身份發生變化后應及時對其賬戶進行變更或注銷。
現狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內賬戶密碼、口令有過變更,但沒有變更相關記錄、通知、文件;半年內系統用戶身份發生變化后能及時對其賬戶進行變更或注銷。
評估結論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關記錄;及時對系統用戶身份發生變化后對其賬戶進行變更或注銷。
5.2網絡與系統安全評估
5.2.1網絡架構
評估標準
局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備,不允許外聯鏈路繞過防火墻,具有當前準確的網絡拓撲結構圖。
現狀描述
局域網核心交換設備準備了備用設備,城域網核心路由設備采取了設備冗余;沒有不經過防火墻的外聯鏈路,有當前網絡拓撲結構圖。
評估結論
局域網核心交換設備、城域網核心路由設備按要求采取設備冗余或準備備用設備,外聯鏈路沒有繞過防火墻,完善網絡拓撲結構圖。
5.2.2網絡分區
評估標準
生產控制系統和管理信息系統之間進行分區,VLAN間的訪問控制設置合理。
現狀描述
生產控制系統和管理信息系統之間沒有進行分區,VLAN間的訪問控制設置合理。
評估結論
對生產控制系統和管理信息系統之間進行分區,VLAN間的訪問控制設置合理。
5.2.3網絡設備
評估標準
網絡設備配置有備份,網絡關鍵點設備采用雙電源,關閉網絡設備HTTP、FTP、TFTP等服務,SNMP社區串、本地用戶口令強健(>8字符,數字、字母混雜)。
現狀描述
網絡設備配置沒有進行備份,網絡關鍵點設備是雙電源,網絡設備關閉了HTTP、FTP、TFTP等服務,SNMP社區串、本地用戶口令沒達到要求。
評估結論
對網絡設備配置進行備份,完善SNMP社區串、本地用戶口令強健(>8字符,數字、字母混雜)。
5.2.4IP管理
評估標準
有IP地址管理系統,IP地址管理有規劃方案和分配策略,IP地址分配有記錄。
現狀描述
沒有IP地址管理系統,正在進行對IP地址的規劃和分配,IP地址分配有記錄。
評估結論
建立IP地址管理系統,加快進行對IP地址的規劃和分配,IP地址分配有記錄。
5.2.5補丁管理
評估標準
有補丁管理的手段或補丁管理制度,Windows系統主機補丁安裝齊全,有補丁安裝的測試記錄。
現狀描述
通過手工補丁管理手段,沒有制訂相應管理制度;Windows系統主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
評估結論
完善補丁管理的手段,制訂相應管理制度;補缺Windows系統主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統安全配置
評估標準
信息安全管理制度 5
第一節總則
1、為加強醫院信息技術外包服務的安全管理,保證醫院信息系統運行環境的穩定,特制定本制度。
2、本制度所稱信息技術外包服務,是指醫院以簽訂合同的方式,委托承擔信息技術服務且非本醫院所屬的專業機構提供的信息技術服務,主要包括信息技術咨詢服務、運行維護服務、技術培訓及其它相關信息化建設服務等。
3、安全管理是以安全為目的,進行有關安全工作的方針、決策、計劃、組織、指揮、協調、控制等職能,合理有效地使用人力、財力、物力、時間和信息,為達到預定的安全防范而進行的各種活動的總和,稱為安全管理。
4、外包服務安全管理遵循關于安全的所有商業準則及適當的外部法律、法規。
第二節外包服務范圍
1、外包服務包括信息技術咨詢服務、運行維護服務、技術培訓等。
2、咨詢服務:
(1)根據醫院的信息化建設總體部署,協助醫院制定切實可行的技術實施方案。
(2)對醫院現有的信息技術基礎架構、設備運行狀態和應用情況進行診斷和評估,提出合理化的解決方案。
(3)根據醫院的實際情況提出備份方案和應急方案。
(4)其它信息技術咨詢服務。
3、運行維護服務:
(1)軟硬件設備安裝、升級服務。
(2)硬件設備的維修和保養。
(3)根據醫院業務變化,提供應用系統功能性的需求解決方案及執行服務。
(4)系統定期巡檢和整體性能評估。
(6)日常業務數據問題的處理服務。
(7)其它運行維護服務。
4、技術培訓:根據醫院的實際情況,提供相關的技術培訓。
第三節外包服務安全管理
1、外包服務安全管理應按照“安全第一、預防為主”的原則,采取科學有效的安全管理措施,應用確保信息安全的技術手段,建立權責明確、覆蓋信息化全過程的崗位責任制,對信息化全過程實行嚴格監督和管理,確保信息安全。
2、成立由分管領導同志信息化外包管理組織,明確信息化管理的部門、人員及其職責。
3、建立信息建設安全保密制度,與外包服務方簽訂安全保密協議或合同,明確符合安全管理及其它相關制度的要求。并對服務人員進行安全保密教育。
4、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質管理等操作規程或規章制度。
5、外包服務方的'人員素質、技術與管理水平能夠滿足擬承擔項目的要求,進行相應的安全資質管理。
6、信息中心配備專人負責安全保密工作,負責日常信息安全監督、檢查、指導工作。對服務方提供的服務進行安全性監督與評估,采取安全措施對訪問實施控制,出現問題應遵照合同規定及時處理和報告,確保其提供的服務符合醫院的內部控制要求。
7、對外包服務的業務應用系統運行的安全狀況應定期進行評估,當出現重大安全問題或隱患時應進行重新評估,提出改進意見,直至停止外包服務。
8、使用外包服務方設備的,對其進行必要的安全檢查。
9、在重要安全區域,對外部服務方的每次訪問進行風險控制;必要時應外部服務方的訪問進行限制。
第四節附則
1、本制度由信息中心負責解釋。
2、本制度自發布之日起生效執行。
信息安全管理制度 6
第一條應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,為上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網吧制作、下載、復制、查閱、發布、傳播或者以其他方式使用含有下列內容的信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚、迷信的;
(六)散布謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第三條上網消費者不得進行下列危害信息網絡安全的.活動:
(一)故意制作或者傳播計算機病毒以及其他破壞性程序的;
(二)非法侵入計算機信息系統或者破壞計算機信息系統功能、數據和應用程序的;
(三)進行法律、行政法規禁止的其他活動的。
第四條應當通過依法取得經營許可證的互聯網接入服務提供者接入互聯網,不得采取其他方式接入互聯網。
網吧內所有計算機必須通過局域網的方式接入互聯網,不得直接接入互聯網。
第五條上網消費者不得利用網絡游戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止并在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網絡文化經營許可證》和營業執照。
第九條未成年人不得進入本網吧。在網吧入口處的顯著位置懸掛未成年人禁入標志。
第十條每日營業時間限于10時至2時。
第十一條對上網消費者的身份證等有效證件進行核對、登記,并記錄有關上網信息。登記內容和記錄備份保存時間不得少于60日,并在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在保存期內不得修改或者刪除。
第十二條依法履行信息網絡安全、治安和消防安全職責,并遵守下列規定:
(一)禁止明火照明和吸煙并懸掛禁止吸煙標志;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
為了加強對網吧的管理,規范網吧的經營,維護公眾和網吧的合法權益,保障網吧活動健康發展,促進社會主義精神文明建設,根據《互聯網上網服務營業場所管理條例》制定了以上的網吧信息安全管理制度。
信息安全管理制度 7
為維護互聯網環境安全、健康,根據《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》等國家法律、法規,特制定本制度。
總則
一、嚴格遵守國家有關涉及互聯網方面的法律法規;
二、堅決封堵互聯網上不良和有害信息的侵入;
三、積極配合公安機關的網絡信息安全部門檢查;
四、按照備案要求,及時備案本單位在互聯網應用方面的變更信息;
五、在本單位建立網絡信息安全保護小組,并報公安機關的網絡安全部門備案;
六、根據本單位在互聯網應用的實際情況,在安全員、安全教育和培訓、機房管理、安全保護技術措施、巡視上報、帳號使用和操作權限管理等方面制定以下細則制度。
安全員制度
一、設立2人以上專職或兼職計算機信息網絡安全員(以下簡稱安全員);
二、安全員主要負責全校網絡(包含局域網、廣域網)的系統安全性;
三、安全員負責全校網絡安全方面操作和知識的培訓;
四、安全員負責系統數據的冗災備份工作;
五、安全員確保系統日志保存完善并保留60天以上(日志包含校內部聯網和網站兩大塊);
六、對系統防病毒系統、防火墻和入侵檢測系統的定期升級。定期對系統作安全檢測,及時發現安全漏洞予以消除,對檢測結果和漏洞消除情況有記錄;
七、安全員應經常保持對最新技術的掌握,實時了解網絡信息安全的動向,做到預防為主;
八、安全員承擔對不良、有害信息上報、處置工作職責;
九、另安全員承擔本單位制定的其他和公安機關交辦的'相關網絡安全職責。
與公安聯系制度
一、建立與公安機關聯系的長效機制,對網絡安全方面出現的問題和情況及時溝通;
二、網絡安全管理員保持通訊暢通,確保24小時內有急事聯系到人;
三、對計算機信息系統中發生的案件,應當24小時內向當地公安ail:xx,并電話確認郵件送機關報告(電話:xx轉xx或者em達)。
安全教育和培訓
一、安全員定期接受公安機關相關部門的安全培訓;
二、對員工和用戶在《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》等關于網絡安全方面的國家法律、法規的學習、培訓,提高工作人員(特別是安全員)的維護網絡安全的警惕性和自覺性;
三、實時了解網絡信息安全的動向,不定期地對本單位聯網用戶(包含單位其他聯網工作人員等)進行關于最新系統漏洞修復和最新病毒預防等安全防范方面的的培訓和學習。
四、適時對全校員工進行基本的網絡安全保護制度和具體方法進行介紹,切實維護計算機聯網安全。
五、網絡安全防范方面的的培訓和學習方面,暢通與公安機關有關人員的聯系渠道,加強對各類有害信息、特別是影射性有害信息的識別能力,提高安全防犯能力。
機房管理制度
一、對能夠進入機房人員的設定要求(如:非機房人員準入制度等等);
二、對任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品的禁止要求;
三、對運行設備及各種配置等等進行更改、增減的權限規定;
四、操作密碼定期更改要求,超級用戶權限設定、機房管理員權限等等的權限設定;
五、各種主要數據的冗災備份要求;
六、《機房日志》及軟件維護、增刪、配置的更改,各類硬件設備的添加、更換等登記要求;
七、對機房內設置的消防器材等不定期進行檢查的要求,以保證其有效性;
八、機房環境(如整潔、溫度等等)的要求;
九、其他。
安全保護技術措施制度
一、系統日志保存完善。根據不同互聯網服務性質保存相應的日志項目(具體項目參照《互聯網安全保護技術措施規定》,項目應達到的標準參照《中華人民共和國公共安全行業標準》GA610-20xx、GA611-20xx、GA612-20xx),做到保存項目完整、保存時間在60天以上;
二、對系統安全防范系統定期檢測、升級、漏洞修補,確保系統安全;
三、系統數據冗災備份;
四、定期巡視,確保信息安全、合法。
巡視上報制度
一、對于論壇BBS、社區、留言板、聊天室、游戲,建立信息發布前的關鍵字或敏感詞匯的過濾機制(關鍵字內容包含邪教術語、淫穢術語等等,密切關注社會動態,對關鍵字或敏感詞匯作及時調整等等方面的具體規定);
二、對于電子郵件服務,建立垃圾郵件的自動過濾功能;
三、上述欄目屬于新聞時事、時政類的欄目,必須建立信息發布前的先審后發制度;
四、日常化巡視(可以由管理員、版主等等輪流或分塊負責,如何分工實現日常化巡視、巡視時職責是及時發現有害信息并及時處置等等都應明確);
五、上述四條,系統自動過濾、審核、巡視出的有害信息應留存,并定期向公安機關網絡安全部門上報;
帳號使用登記和操作權限管理制度
一、聯網單位應用系統中的用戶權限設置;
二、對于論壇BBS、社區等欄目中用戶分級管理(如:游客、注冊用戶、版主、管理員等之間的權限設置,新聞時政類欄目與普通欄目版主、管理員之間的權限設置);
三、后臺管理員的權限設置;
四、其他。
附則
本制度自即日起實施。制度一式二份,一份報公安機關的網絡安全部門備案,一份和《中華人民共和國計算機信息網絡國際聯網單位備案表》同檔保存在本單位備查。
信息安全管理制度 8
第一條、為保證網絡正常安全運行及國家保密,凡使用校園網的各類用戶必須嚴格遵守本條例。
第二條、學校網絡使用和信息安全管理工作嚴格按照“誰主管、誰主辦、誰負責”的原則,實行統一管理和分級負責相結合的管理體制。學校網管中心統一負責校園網絡和全校計算機信息安全管理,各系、部、處、室、館部門具體對本單位的網絡使用和計算機信息安全負責。
第三條、網絡安全問題將納入各部門每年目標考核之中。
第四條、各部門確定網絡安全負責人和直接責任人,必須有完善的.管理制度和使用規程、條理,重視安全問題。
第五條、各機房必須保留上網使用(登記)信息,詳細完整的紙面或者電子文檔信息供查,各部門嚴格管理計算機上網;上網計算機日志內容保留時間不少于60天,學生即使免費上網也必須登記使用信息;如果發生網絡安全事件,各部門、系不能出示有效的、完整的、詳細的上網使用登記信息,將由該部門、系自行全部負責。
第六條、各部門將自己提供的網絡使用信息(網絡上機)、資源和服務情況(自有網站、主頁等)等必須書面文字材料送一份網絡中心備案
第八條、網絡申請使用必須先書面申請,正式使用前簽定有關使用協議或者責任書。
第九條、網絡中心將會同學校有關部門對全校機房等網絡使用情況進行定期或者隨機檢查,發現問題及時通報、及時解決。
信息安全管理制度 9
第一章總則
第一條為加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)平安保密管理,確保國家隱私及商業隱私的平安,依據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,根據肯定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。
第三條涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障平安”的方針,堅持“誰主管、誰負責,誰運用、誰負責”和“限制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家隱私信息安全。
第四條涉密信息系統平安保密防護必需嚴格根據國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入運用。
第五條本規定適用于公司全部計算機和信息系統平安保密管理工作。
第二章管理機構與職責
第六條公司法人代表是涉密信息系統平安保密第一責任人,確保涉密信息系統平安保密措施的落實,供應人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條公司保密委員會是涉密信息系統平安保密管理決策機構,其主要職責:
(一)建立健全平安保密管理制度和防范措施,并監督檢查落實狀況;
(二)協調處理有關涉密信息系統平安保密管理的重大問題,對重大失泄密事務進行查處。
第八條成立公司涉密信息系統平安保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密信息系統平安保密管理工作。
第九條保密辦主要職責:
(一)擬定涉密信息系統平安保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和平安保密管理人員進行資格審查和平安保密教化培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行平安保密監督檢查和風險評估,提出涉密信息系統平安運行的保密要求;
(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權運用的審查,建立涉密信息系統平安評估制度,每年對涉密信息系統平安措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的平安保密產品進行準入審查和規范管理,對涉密信息系統進行平安保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事務。
第十條科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定平安保密防護方案;
(二)落實涉密信息系統平安保密策略、運行平安限制、平安驗證等平安技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統平安保密領導小組批準后組織實施,確保平安技術措施有效、牢靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權運用、保管以及維護等平安保密管理措施;
(四)配備涉密信息系統管理員、平安保密管理員和平安審計員,并制定相應的職責;“三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過平安保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的平安保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)協作保密辦對涉密信息系統進行平安檢查,對存在的.隱患進行剛好整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事務。
第十一條黨政辦公室主要職責:
根據國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。
第十二條相關業務部門、單位主要職責:涉密信息系統的運用部門、單位要嚴格遵守保密管理規定,教化員工提高平安保密意識,落實涉密信息系統各項平安防范措施;精確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條涉密信息系統配備系統管理員、平安保密管理員、平安審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的平安、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。
(二)平安保密管理員負責平安技術設備、策略實施和管理工作,包括用戶帳號管理以及平安保密設備和系統所產生日志的審查分析。
(三)平安審計員負責平安審計設備安裝調試,對各種系統操作行為進行平安審計跟蹤分析和監督檢查,以剛好發覺違規行為,并每月向涉密信息系統平安保密領導小組辦公室匯報一次狀況。
第三章系統建設管理
第十四條規劃和建設涉密信息系統時,根據涉密信息系統分級愛護標準的規定,同步規劃和落實平安保密措施,系統建設與平安保密措施同安排、同預算、同建設、同驗收。
第十五條涉密信息系統規劃和建設的平安保密方案,應由具有“涉及國家隱私的計算機信息系統集成資質”的機構編制或自行編制,平安保密方案必需經上級保密主管部門審批后方可實施。
第十六條涉密信息系統規劃和建設實施時,應由具有“涉及國家隱私的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必需由保密辦和科技信息部共同組織驗收。
第十七條對涉密信息系統要實行與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的平安保密產品。涉密信息系統運用的軟件產品必需是正版軟件。
第四章信息管理
第一節信息分類與限制
第十八條涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統密級的涉密信息。
第十九條涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求剛好定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不行分別,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。
第二十條涉密信息系統應建立平安保密策略,并實行有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必需實行密碼愛護措施。
第二十一條向涉密信息系統以外的單位傳遞涉密信息,一般只供應紙質文件,確需供應涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必需運用符合保密標準、要求的工具或軟件。
第二節用戶管理與授權
第二十三條依據本部門、單位運用涉密信息系統的密級和實際工作須要,確定人員知悉范圍,以此作為用戶授權的依據。
第二十四條用戶清單管理
(一)科技信息部管理“探討試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由平安保密管理員即時將用戶在涉密信息系統內的全部帳號、權限廢止;“財務會計核算網”密辦審核,公司分管領導審批。開通、審批堅持“工作必需”的原則。
第二十五條國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立運用登記制度。
第二十六條上網信息實行“誰上網誰負責”的保密管理原則,信息上網必需經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第二十七條任何部門、單位和個人不得在電子郵件、電子公告系統、閑聊室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家隱私信息。
第二十八條從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,根據信息交換及中間轉換機管理規定執行。
第五章便攜式計算機管理
第二十九條便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行“誰擁有,誰運用,誰負責”的保密管理原則,運用者須與公司簽定保密承諾書。
第三十條涉密便攜式計算機依據工作須要確定密級,粘貼密級標識,根據涉密設備進行管理,保密辦備案后方可運用。
第三十一條便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等平安保密防護措施。
第三十一條禁止運用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第三十二條涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分別保管。
第三十三條禁止運用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機運用。
第三十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,根據“集中管理、審批借用”的原則進行管理,建立運用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第三十五條因工作須要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第六章應急響應管理
第三十六條為有效預防和處置涉密信息系統平安突發事務,剛好限制和消退涉密信息系統平安突發事務的危害和影響,保障涉密信息系統的平安穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統平安保密領導小組審批后實施。
第三十七條應急響應預案用于涉密信息系統平安突發事務。突發事務分為系統運行平安事務和泄密事務,依據事務引發緣由分為災難類、故障類或攻擊類三種狀況。
(一)災難事務:依據實際狀況,在保障人身平安前提下,保障數據安全和設備安全;
(二)故障或攻擊事務:推斷故障或攻擊的來源與性質,關閉影響平安與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,復原信息系統。根據事務發生的性質分別采納以下方案:
1、病毒傳播:剛好找尋并斷開傳播源,推斷病毒的類型、性質、可能的危害范圍。為避開產生更大的損失,愛護計算機,必要時可關閉相應的端口,找尋并公布病毒攻擊信息,以及殺毒、防衛方法;
2、外部入侵:推斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威逼很小的外部入侵,定位入侵的IP地址,剛好關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應馬上采納斷開網絡連接的方法,避開造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應剛好關閉被入侵的服務器或相應設備;
4、網絡故障:推斷故障發生點和故障緣由,能夠快速解決的盡快解除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事務,結合詳細的狀況,做出相應的處理。不能處理的剛好詢問,上報公司信息安全領導小組。
第三十八條根據信息安全突發事務的性質、影響范圍和造成的損失,將涉密信息系統平安突發事務分為特殊重大事務(I級)、重大事務(II級)、較大事務(III級)和一般事務(IV級)四個等級。
(一)一般事務由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事務由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,剛好向公司信息安全領導小組報告并提請協調處置;
(三)重大事務啟動應急響應預案,對突發事務進行處置,剛好向公司黨政報告并提請協調處置;
(四)特殊重大事務由公司報請中核集團公司對信息安全突發事務進行處置。
第三十九條發生突發事務(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理方法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事務區域;
(四)查閱審計記錄找尋事務源頭;
(五)評估系統受損程度;
(六)對引起事務漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦依據風險評估結果并書面確認平安后,系統方能重新運行;
(九)對事務類型、響應、影響范圍、補救措施和最終結果進行具體的記錄;
(十)依照法規制度對責任人進行處理。
第四十條科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以運用戶明確自己的角色和責任。應急響應相關學問、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第七章人員管理
第四十一條各部門、單位每年應組織開展不少于1次的全員信息安全保密學問技能教化與培訓,并記錄備案。
第四十二條涉密人員離崗、離職,應剛好調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第四十三條擔當涉密信息系統日常管理工作的系統管理員、平安保密管理員、平安審計管理員應按重要涉密人員管理。
第八章督查與獎懲
第四十四條公司每年應對涉密信息系統平安保密狀況、平安保密制度和措施的落實狀況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的平安保密測評或保密檢查,檢查結果存檔備查。
第四十五條檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所運用的平安保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。平安保密檢查工具應剛好升級或更新,確保檢查時運用最新版本。
第四十六條各部門、單位應將員工遵守涉密計算機及信息系統平安保密管理制度的狀況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第九章附則
第四十七條本規定由保密辦負責說明與修訂。
第四十八條本規定自發布之日起實施。
信息安全管理制度 10
一、公司計算機使用管理制度
1、從事計算機網絡信息活動時,必須遵守《計算機信息網絡和國際聯網安全保護管理辦法》的規定。我們應該遵守國家法律,加強信息安全教育。
2、電腦由公司統一配置和定位,未經許可,任何部門和個人不得盜用和交換、出借和移動電腦。
3、計算機硬件及附件應列出并上報行政部,網絡信息管理員在征得公司領導同意后負責添加。
4、計算機操作應按照規定的程序進行。
(1)計算機應按照正常程序打開、并關閉。如果電腦因非法操作而無法正常使用,維修費用由部門承擔。
(2)計算機軟件的安裝和刪除應在公司管理員的許可下進行。未經授權,任何部門和個人不得在計算機硬盤上添加或刪除數據程序。
(3)電腦操作人員應每周及時升級殺毒軟件,每月對系統進行補丁安裝。
(4)不允許隨意使用外來的u盤。如果真的有必要,應該先進行病毒監測。
(5)禁止在工作時間在電腦上做與工作無關的事情,如玩游戲、聽音樂等。
5、不允許任何人使用網絡制作、復制、咨詢和傳播封建迷信、淫穢、色情、賭博、暴力、謀殺、恐怖、教唆犯罪內容
6、應盡快通知信息技術管理員及時解決計算機故障,不允許擅自打開計算機主機箱進行操作。
7、電腦操作人員應愛護電腦,注意保持電腦清潔衛生。他們不能離開辦公室,除非他們正確地完全切斷電源。
8、對疏忽或操作錯誤影響了工作但可以通過努力恢復的操作員進行批評和教育;經營者故意違反上述規定,造成工作或者財產損失的,應當追究當事人的責任,并給予經濟處罰。
9、為了文件安全,不要將重要文件保存在系統的'活動分區中,如磁盤C、我的文檔、桌面等。請將您的重要文件存儲在硬盤的其他非活動分區中(例如,D、E、F)。
(保存前使用防病毒軟件檢查是否沒有病毒警告)。
并定期清理我的相關文件目錄,及時刪除一些過期的、無用的文件,以免占用硬盤空間。
10、所有計算機都必須有登錄密碼。通常,不要使用默認管理員作為登錄用戶名。密碼必須自己保存。嚴禁告訴他人。計算機名不能與登錄名一致。通常,不要使用包含個人、單位相關信息的名稱。
11、請參閱《信息技術最終用戶安全手冊》了解其他管理方法
二、網絡系統維護
1、系統管理員每周定期檢查托管網絡服務器,并檢查公司局域網的內部服務器,如財務服務器。
2、網管部門應及時組織相關人員對系統和網絡中出現的異常現象進行分析,制定處理方案并采取積極措施。
對于當時未解決的問題或重要問題,問題描述、分析原因、處理方案、處理結果、及時制定解決方案。
3、定期備份服務器數據。
4、維護服務器,監控外部訪問和外部訪問,并及時處理任何安全問題。
5、為服務器制定防病毒措施,及時下載最新的防病毒疫苗,防止服務器被病毒侵害。
三、用戶賬戶申請/取消
1、新員工(或租借者)需要使用電腦向部門主管申請。批準后,網絡部門負責分配計算機、和用戶名和密碼,以便登錄公司網絡。
如需使用財務軟件,需向財務主管提出申請,網絡管理部人員負責軟件客戶端的安裝和調試。
2、離職時,員工應以書面形式記錄計算機名、IP地址、用戶名、登錄密碼、平臺軟件信息,網絡經理將記錄進行登記備案。
只有當網絡管理員備份了存儲在辭職人員的計算機中的公司信息時,存儲在辭職人員的公司服務器中的所有信息才能被刪除。
3、數據備份管理服務器數據備份,數據庫應自動實時備份,手動備份應至少每周進行一次,邏輯備份的驗證應在備份服務器中進行,驗證后的邏輯備份應存儲在不同的物理設備中。
所有部門均負責個人電腦的備份,并可申請在可移動硬盤、信息光盤等存儲介質上進行安全備份。
第四條計算機/計算機維護
1、如果計算機出現重大故障,必須填寫計算機修復列表并提交給信息技術管理員進行修復。
2、信息技術管理員歸檔電腦維修清單,方便查詢每臺電腦的使用情況。
必須外出修理的,必須報主管領導審批。
需采購的零部件應按照采購管理流程執行。
第五條公司信息系統管理(暫行)
1、新建中大金融系統服務器(以下簡稱服務器),臨時放置在金融室辦公室,現有金融室辦公室已達到視頻監控、防盜、溫控等條件。
當重建獨立機房的條件成熟時,將采用安全管理。
2、對于服務器數據(包括財務軟件系統),管理員將每月定期備份數據庫一次,并將服務器設置為每周自動備份數據庫兩次。財務部門應安排遠程備份數據存儲在遠程位置。
3、系統后臺數據只能由服務器系統管理員維護。如果需要外援,手術必須由管理員陪同。不允許其他終端用戶設置進入數據管理后臺的權限。
4、最終用戶的開通和變更應以書面形式提交相關部門領導簽字確認,包括用戶權限變更、賬號密碼變更、終端軟件更新。
5、當服務器需要更改時,管理員應制作詳細的更改記錄。
例如,程序變更、緊急變更、配置/參數變更、基礎設施變更、數據庫修改等。
6、計劃在每月25日檢查和管理公司的服務器賬號。
第六條補充規定
1、本制度由信息管理部負責解釋,自發布之日起實施。
2、如果系統有問題,系統會在運行中進行修改和發布。
信息安全管理制度 11
一、嚴格執行《食品衛生法》,食堂工作人員應樹立良好的衛生意識,養成良好的衛生習慣。
二、膳食工作要堅持為我院職工及患者生活服務的宗旨,以“管理育人”、“服務育人”為目的,開展各種形式的經營服務活動,堅持優質服務,講究職業道德。
三、食堂工作人員必須持有效的健康證和衛生知識培訓合格證方可上崗。上班時間要穿工作服,戴帽、口罩、號碼、胸卡等;出售直接入口食品時,必須使用售貨工具。
四、采購驗收食品應當無毒、無害,符合食品衛生標準和營養要求,且有良好的感官形狀。
五、加工烹飪食品的營養要搭配合理,要符合職工及患者的健康需
六、注意內外環境衛生,做到窗明幾凈、地面清潔、桌椅擺放整齊且清潔,后堂大廳的衛生要隨時打掃,定期消毒,不留死角。
七、餐具和盛放直接入口食品、容器,使用前必須洗凈消毒;炊具用具用后清洗干凈,保持清潔。
八、食品的洗切、加工必須采取“一洗、二浸、三燙、四炒”的烹飪程序,加工好的食品要徹底符合衛生要求,保證不受污染。
九、物資進倉要保持清潔衛生,存放要生熟分開,包裝食品要離地存放,散裝食品應用容器加蓋存放,注意保質、保鮮。
十、加強思想政治工作,做好食堂工作人員的`職業道德教育,防止食物中毒等方面知識的教育,杜絕食物中毒。
十一、對出現違反安全、衛生規定,出現火災或食物中毒的食堂,視情節輕重,追究當事人和領導者的責任,處以罰款,情節嚴重的追究法律責任。
信息安全管理制度 12
平安生產是企業的頭等大事,必需堅持“平安第一,預防為主”的方針和群防群治制度,仔細實行安全管理制度,切實加強安全管理,保證職工在生產過程中的平安與健康。依據國家和省有關法規、規定和文件,制定本企業信息安全管理制度。
一、計算機設備安全管理制度
計算機不同于其他辦公設備,其好用性、嚴密性、操作技術性強,含量高、部件易受損;特殊是聯網計算機,開放性程度比較高,電腦內部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常運用,特制定本制度。
1、公司內全部計算機歸網絡部統一管理,配備計算機的員工只負責運用操作;
2、計算機管理涉及的范圍:
2.1全部硬件(包括外接設備)及網絡聯接線路;
2.2計算機及網絡故障的解除;
2.3計算機及網絡的維護與修理;
2.4操作系統的管理;
3、公司內全部計算機運用人員均為計算機操作員;
4、網絡維護部負責對公司內全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的運用部門要保持清潔、平安、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備平安的物品。
6、非本單位技術人員對我單位的設備、系統等進行修理、維護時,必需由本單位相關技術人員現場全程監督。計算機設備送外修理,須經有關部門負責人批準。
7、嚴格遵守計算機設備運用、開機、關機等平安操作規程和正確的運用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現故障時應剛好向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行修理及操作。
二、操作員安全管理制度
1、計算機原則上由專人負責操作維護,不得串用設備。下班后必需按程序關閉主機和其他設備,切斷電源。
2、為保證計算機信息安全,必需為計算機設置密碼。
3、計算機操作員除運用操作計算機外,不允許有以下行為:
3.1硬件設備出現故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥);如有向網絡管理員寫設備申請單審批。
3.3刪除計算機操作系統及公司指定的軟件;
3.4運用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術性操作;
4、不得運用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發覺計算機有病毒時,應剛好清除,清除不了的病毒,要剛好上報。
5、個人的公司重要文檔、資料和數據保存時必需將資料儲存在除操作系統外的其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準上網與工作無關的閑聊、玩電腦嬉戲、看影視、聽音樂,迅雷下載等。
7、電腦及網絡設備所在環境應保持清潔、衛生、通風,留意防塵、防潮、防火。
8、公司全部計算機運用者,不得破壞網管員對計算機的`平安設置。包括用戶運用權限。
9、除服務器外,其他全部計算機下班后必需關機并切斷電源;
10、計算機運用者離職時必需由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續。
11、如工作人員不按規定操作,造成不良后果的,將按有關規定,由操作者擔當相應責任,并追究科室負責人的有關責任。
12、操作員設置與管理
(1)網絡管理員管理操作權限必需經過公司領導授權取得;依據不同部門的要求及崗位職責而設置;
(2)網絡管理員負責故障復原等管理及維護,必需有其上級授權;不得運用他人操作代碼進行業務操作;
三、密碼與權限安全管理制度
1、密碼設置應具有平安性、保密性,不能運用簡潔的代碼和標記。密碼是愛護系統和數據平安的限制代碼,也是愛護用戶自身權益的限制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、依次、規律數字等簡單揣測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發覺或懷疑密碼遺失或泄漏應馬上修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參加系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特別狀況須要啟用封存的密碼,必需經過相關部門負責人同意,由密碼運用人員向密碼管理人員索取,運用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記。
4、系統維護用戶的密碼應至少由兩人共同設置、保管和運用管理制度。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數據安全管理制度
1、存放備份數據的介質必需具有明確的標識。備份數據必需異地存放。
2、留意計算機重要信息資料和數據存儲介質的存放、運輸平安和保密管理,保證存儲介質的物理平安。
3、任何非應用性業務數據的運用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據程序進行逐級審批,以保證備份數據平安完整。
4、數據復原前,必需對原環境的數據進行備份,防止有用數據的丟失。數據復原過程中,出現問題時由技術部門進行現場技術支持。數據復原后,必需進行驗證、確認,確保數據復原的完整性和可用性。
5、數據清理前必需對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存,并確保可以隨時運用。數據清理的實施應避開業務高峰期,避開對聯機業務運行造成影響。
6、須要長期保存的數據,數據管理部門需與相關部門制定轉存,依據轉存和查詢運用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、運用方法保證數據的完整性和可用性。
7、非本單位技術人員對本公司的設備、系統等進行修理、維護時,必需由本公司相關技術人員現場全程監督。計算機設備送外修理,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備修理人員應對設備進行驗收、病毒檢測。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除,并妥當處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,發覺病毒剛好清除。
10、營業用計算機未經有關部門允許不準安裝其它軟件、不準運用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網絡管理
1、網絡系統屬于公司無形資產,公司有權限制上網行為,依據工作須要限制各部門的上網行為。
2、公司網絡管理員對計算機IP地址統一安排、登記、管理,嚴禁私自更改IP地址。
3、公司員工必需自覺遵守企業的有關保密法規,嚴禁利用網絡有意或無意泄漏公司的涉密文件、資料和數據。不得非法復制、轉移和破壞公司的文件、資料和數據。
4、實行“絕密”文件、涉秘件與計算機網絡肯定隔離,不得在計算機網絡中輸入、打印、復制“絕密”文件和有關涉秘件。
5、網絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度,對保密的文件資料進行加密存放,不得上網共享。
六、附則
1、本制度由網絡部負責說明。
2、本制度由總經理批準后生效,自頒布之日起執行。
信息安全管理制度 13
一、引言
隨著信息技術的高速發展和廣泛應用,企業面臨越來越多的信息安全風險。信息安全管理制度是保障企業信息安全的基礎性工作,對于確保企業信息資產的機密性、完整性和可用性至關重要。本文旨在提出一套完善的信息安全管理制度,確保企業在各個方面都能夠有效地保護信息安全。
二、信息安全政策制定
1.信息安全政策的目標與原則
(1)確保信息安全:信息安全政策的最終目標是為了保護企業的核心信息資產,確保其機密性、完整性和可用性。
(2)全員參與:信息安全是全員責任,每個員工都要對企業信息安全負責。
(3)合規要求:信息安全政策要與國家法律法規以及相關行業標準相一致,并能滿足監管機構的審計要求。
2.信息安全政策的`制定流程
(1)需求調研:對企業現有信息安全狀況進行調研,分析需求和問題。
(2)制定草案:根據調研結果和需求分析,制定信息安全政策草案。
(3)征求意見:將信息安全政策草案發送給內部各部門和相關人員,征求意見。
(4)修訂和定稿:根據意見修訂、完善信息安全政策,最終確定。
三、信息安全組織架構與職責劃分
1.信息安全部門設立
(1)信息安全部門的職責:負責組織和協調企業的信息安全管理工作,負責信息安全政策制定和執行,做好信息安全風險評估和應對工作。
(2)人員配備:信息安全部門應配備專業人員,包括信息安全經理、信息安全管理員、信息安全技術專家等。
2.職責劃分
(1)信息安全經理:負責信息安全政策的制定和管理、安全事件的響應與處置。
(2)信息安全管理員:負責信息系統的安全運維和管理。
(3)信息安全技術專家:負責信息安全技術方案的設計和實施。
四、信息安全管理流程
1.風險評估與管理
(1)風險評估的重要性:對企業現有信息系統、網絡設備和業務流程進行風險評估,及時發現潛在的信息安全風險。
(2)風險評估的步驟:制定風險評估計劃、進行風險識別和分析、制定風險評估報告。
2.安全事件的監測與響應
(1)安全事件的監測:建立監測系統,實時監測和分析網絡流量和日志,發現異常則及時進行響應。
(2)安全事件的響應:及時采取相應措施,恢復業務、調查事件原因、修復漏洞和防范措施。
3.安全培訓與意識提升
(1)培訓計劃的制定:制定信息安全培訓計劃,包括定期培訓和專項培訓。
(2)員工安全意識:提高員工的信息安全意識,加強對社交工程和釣魚等攻擊的防范意識,保護企業信息資產。
五、信息安全管理制度的執行與監控
1.信息安全檢查
(1)定期檢查:定期對企業的信息系統、網絡設備和業務流程進行安全檢查,發現問題及時解決。
(2)隨機抽查:對特定的信息系統、網絡設備和業務流程進行隨機抽查,發現問題則進行糾正和改進。
2.審計與審查
(1)內部審計:定期進行內部審計,評估信息系統和網絡設備的安全性和合規性。
(2)外部審查:委托第三方機構進行外部審查,評估企業信息安全管理制度的有效性和合規性。
3.事件記錄與報告
(1)事件記錄:對所有的安全事件進行記錄,包括事件的發生時間、類型、等級和后續處理情況。
(2)報告:定期向上級領導和相關部門報告信息安全事件的統計情況,并提出改進措施。
六、信息安全管理制度的改進
1.改進機制
(1)內部反饋:鼓勵員工提出改進建議和意見,并及時反饋。
(2)持續改進:對信息安全管理制度進行持續改進和優化,及時調整和修訂。
2.績效評估與考核
(1)績效評估:對信息安全管理的執行情況進行定期評估,形成評估報告。
(2)考核獎懲:根據評估結果,對信息安全管理執行情況進行獎懲,激勵和約束。
七、總結
信息安全管理制度是企業保護信息資產的重要手段,對于確保企業信息安全至關重要。本文提出了一套完善的信息安全管理制度需求,涵蓋了信息安全政策制定、信息安全組織架構、信息安全管理流程、信息安全管理制度的執行與監控等方面,希望可以對企業信息安全工作的開展提供參考。同時也需要企業根據自身的實際情況進行適度調整和完善,確保制度的可行性和有效性。
信息安全管理制度 14
1、安全管理制度要求
1.1總則:為了切實有效的保證公司信息安全,提高信息系統為公司生產經營的服務實力,特制定交互式信息安全管理制度,設定管理部門及專業管理人員對公司整體信息安全進行管理,以確保網絡與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應包括:
a)平安崗位管理制度;
b)系統操作權限管理;
c)平安培訓制度;
d)用戶管理制度;
e)新服務、新功能平安評估;
f)用戶投訴舉報處理;
g)信息發布審核、合法資質查驗和公共信息巡查;
h)個人電子信息安全愛護;
i)平安事務的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批文件。
1.1.2安全管理制度應經過管理層批準,并向全部員工宣貫。
2、機構要求
2.1法律責任
2.1.1互聯網交互式服務供應者應是一個能夠擔當法律責任的組織或個人。
2.1.2互聯網交互式服務供應者從事的信息服務有行政許可的應取得相應許可。
3、人員安全管理
3.1平安崗位管理制度
建立平安崗位管理制度,明確主辦人、主要負責人、平安責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應根據相關法律、法規、道德規范和對應的業務要求來執行,包括:
①個人身份核查;
②個人履歷的核查;
③學歷、學位、專業資質證明;
④從事關鍵崗位所必需的實力;
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3平安培訓
建立平安培訓制度,定期對全部工作人員進行信息安全培訓,提高全員的信息安全意識,包括:
①上崗前的培訓;
②平安制度及其修訂后的培訓;
③法律、法規的發展保持同步的接著培訓。應嚴格規范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協作公安機關工作的人員變動應通報公安機關。
3.4人員離崗
應嚴格規范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協作公安機關工作的人員變動應通報公安機關。
4、訪問限制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問權限管理制度。
4.2權限安排
按以下原則依據人員職責安排不同的訪問權限:
a)角色分別,如訪問懇求、訪問授權、訪問管理;
b)滿意工作須要的最小權限;
c)未經明確允許,則一律禁止。
4.3特別權限限制和限制特別訪問權限的安排和運用:
a)標識出每個系統或程序的特別權限;
b)根據“按需運用”、“一事一議”的原則安排特別權限;
c)記錄特別權限的授權與運用過程;
d)特別訪問權限的安排須要管理層的批準。
注:特別權限是系統超級用戶、數據庫管理等系統管理權限。
4.4權限的檢查
定期對訪問權限進行檢查,對特別訪問權限的授權狀況應在更常見的時間間隔內進行檢查,如發覺不恰當的權限設置,應剛好予以調整。
5、網絡與主機系統的平安
5.1網絡與主機系統的平安
應維護運用的網絡與主機系統的平安,包括:
a)實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的復原措施;
b)實施7×24h網絡入侵行為的預防、檢測與響應措施;
c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的復原措施;
d)對系統的脆弱性進行評估,并實行適當的措施處理相關的風險。注:系統脆弱性評估包括采納平安掃描、滲透測試等多種方式。
5.2備份
5.2.1應建立備份策略,有足夠的備份設施,確保必要的信息和軟件在災難或介質故障時可以復原。
5.2.2網絡基礎服務(登錄、消息發布等)應具備容災實力。
5.3平安審計
5.3.1應記錄用戶活動、異樣狀況、故障和平安事務的日志。
5.3.2審計日志內容應包括:
a)用戶注冊相關信息,包括:
1)用戶唯一標識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4)注冊時間、IP地址及端口號;
5)電子郵箱地址和于機號碼;
6)用戶備注信息;
7)用戶其他信息。
b)群組、頻道相關信息,包括:
1)創建時間、創建人、創建人IP地址及端口號;
2)刪除時間、刪除人、刪除人IP地址及端口號;
3)群組組織結構;
4)群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標識;
2)登錄時間;
3)退出時間;
4)IP地址及端口號。
d)用戶信息發布日志,包括:
1)用戶唯一標識;
2)信息標識;
3)信息發布時間;
4)IP地址及端口號;
5)信息標題或摘要,包括圖片摘要。
e)用戶行為,包括:
1)進出群組或頻道;
2)修改、刪除所發信息;
3)上傳、下載文件。
5.3.3應確保審計日志內容的可溯源性,即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡閑聊等網絡消息服務供應者應能防范偽造、隱匿發送者真實標記的消息的措施;涉及地址轉換技術的服務,如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息;涉及短網址服務的,應審計原始URL與短URL之間的映射關系。
5.3.4應愛護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。
5.3.5應能夠依據公安機關要求留存具備指定信息訪問日志的留存功能。
5.3.6審計日志保存周期
a)應永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄閑聊室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;
b)系統維護日志信息保存12個月以上;
c)應留存用戶日志信息12個月以上;
d)對用戶發布的信息內容保存6個月以上;
e)已下線的系統的日志保存周期也應符合以上規定。
6、應用平安
6.1用戶管理
6.1.1向用戶宣揚法律法規,應在用戶注冊時,與用戶簽訂服務協議,告知相關權利義務及需擔當的法律責任。
6.1.2建立用戶管理制度,包括:
a)用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:
1)身份證與姓名實名驗證服務;
2)有效的銀行卡;
3)合法、有效的數字證書;
4)已確仔細實身份的網絡服務的注冊用戶;
5)經電信運營商接入實名認證的用戶。(如某網站采納已經實名認證的第三方賬號登陸,可認為該網站的用戶已進行有效核驗。)
b)應對用戶注冊的賬號、頭像和備注等信息進行審核,禁止運用違反法律法規和社會道德的內容;
c)建立用戶黑名單制度,對網站自行發覺以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。
6.1.3當用戶利用互聯網從事的服務須要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:
a)核對行政許可文件;
b)通過行政許可主管部門的公開信息;
c)通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防范和處置
6.2.1公司實行管理與技術措施,剛好發覺和停止違法有害信息發布。
6.2.2公司采納人工或自動化方式,對發布的信息逐條審核。
實行技術措施過濾違法有害信息,包括且不限于:
a)基于關鍵詞的文字信息屏蔽過濾;
b)基于樣本數據特征值的文件屏蔽過濾;
c)基于URL的屏蔽過濾。
6.2.3應實行技術措施對違法有害信息的來源實施限制,防止接著傳播。
注:違法有害信息來源限制技術措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止共享、禁止留言及回復、限制特定發布來源、限制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的'互聯互通等。
6.2.4公司建立7x24h信息巡查制度,剛好發覺并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異樣狀況報告、平安提示和案件調差協作制度,包括:
a)對發覺的違法有害信息,馬上停止發布傳輸,保留相關證據(包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄),并向屬地公安機關報告;
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要狀況或重大緊急事務馬上向屬地公安機關報告,同時協作公安機關做好調查取證工作。
6.2.6與公安機關建立7x24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及共享中的任何一個環節應能再5min之內刪除,相關的屏蔽過濾措施應在10min內生效。
6.3破壞性程序防范
6.3.1實施破壞性程序的發覺和停止發布措施、并保留發覺的破壞性程序的相關證據。
6.3.2對軟件下載服務供應者(包括應用軟件商店),檢查用戶發布的軟件是否是計算機病毒等惡意代碼。
7、個人電子信息愛護
7.1.1制定明確、清晰的個人電子信息處置規則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務協議中明示收集與運用個人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫療網站僅收集為實現正值商業目的和供應網絡服務所必需的個人信息;收集個人電子信息時,取得用戶的明確授權同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,并取得用戶明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子信息處理時,應告知用戶,并取得其同意。
7.2技術措施
公司建立覆蓋個人電子信息處理的各個環節的平安愛護制度和技術措施,防止個人電子信息泄露、損毀、丟失,包括:
a)采納加密方式保存用戶密碼等重要信息;
b)審計內部員工對涉及個人電子信息的全部操作,并對審計進行分析,預防內部員工有意泄露;
c)審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據;
d)建立程序來限制對涉及個人電子信息的系統和服務的訪問權的安排。這些程序涵蓋用戶訪問生存周期內的各個階段,從新用戶初始注冊到不再須要訪問信息系統和服務的用戶的最終撤銷;
e)系統的平安保障技術措施覆蓋個人電子信息處理的各個環節,防止網絡違法犯罪活動竊取信息,降低個人電子信息泄露的風險。
7.3個人信息泄露事務的處理
a)當發覺個人電子信息泄露時間后,應馬上實行補救措施,防止信息接著泄露;
b)24小時內告知用戶,依據用戶初始注冊信息重新激活賬戶,避開造成更大的損失馬上告屬地公安機關。
8、平安事務管理
8.1平安時間管理制度
8.1.1建立平安事務的監測、報告和應急處置制度,確保快速有效和有序地響應平安事務。
8.1.2平安事務包括違法有害信息、危害計算機信息系統平安的異樣狀況及突發公共事務。
8.2應急預案
制定平安事務應急處置預案,向屬地公安機關珍寶,并定期開展應急演練。
8.3突發公共事務處理
突發公共事務分為四級:I級(特殊重大)、II級(重大)、III級(較大)、IV級(一般),互聯網交互式服務供應者應建立相應處置機制,當突發公共事務發生后,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50%—80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%—50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術接口
公司網站所設技術接口為公安機關供應的符合國家及公共平安行業標準的技術接口,能確保實時,有效地供應相關證據。
信息安全管理制度 15
一、總則
為了加強公司內所有信息安全的管理,讓大家充分運用計算機來提高工作效率,特制定本制度。
二、計算機管理要求
1、IT管理員負責公司內所有計算機的管理,各部門應將計算機負責人名單報給IT管理員,IT管理員(填寫《計算機IP地址分配表》)進行備案管理。如有變更,應在變更計算機負責人一周內向IT管理員申請備案。
2、公司內所有的計算機應由各部門指定專人使用,每臺計算機的使用人員均定為計算機的負責人,如果其他人要求上機(不包括IT管理員),應取得計算機負責人的同意,嚴禁讓外來人員使用工作計算機,出現問題所帶來的一切責任應由計算機負責人承擔。
3、計算機設備未經IT管理員批準同意,任何人不得隨意拆卸更換;如果計算機出現故障,計算機負責人應及時向IT管理員報告,IT管理員查明故障原因,提出整改措施,如屬個人原因,對計算機負責人做出處罰。
4、日常保養內容:
A、計算機表面保持清潔
B、應經常對計算機硬盤進行整理,保持硬盤整潔性、完整性;
C、下班不用時,應關閉主機電源。
5、計算機IP地址和密碼由IT管理員指定發給各部門,不能擅自更換。計算機系統專用資料(軟件盤、系統盤、驅動盤)應由專人進行保管,不得隨意帶出公司或個人存放。
6、禁止將公司配發的計算機非工作原因私自帶走或轉借給他人,造成丟失或損壞的要做相應賠償,禁止計算機使用人員對硬盤格式化操作。
7、計算機的內部調用:
A、IT管理員根據需要負責計算機在公司內的調用,并按要求組織計算機的遷移或調換。
B、計算機在公司內調用,IT管理員應做好調用記錄,《調用記錄單》經副總經理簽字認可后交IT管理員存檔。
8、計算機報廢:
A、計算機報廢,由使用部門提出,IT管理員根據計算機的使用、升級情況,組織鑒定,同意報廢處理的,報部門經理批準后按《固定資產管理規定》到財務部辦理報廢手續。
B、報廢的計算機殘件由IT管理員回收,組織人員一次性處理。
C、計算機報廢的條件:
1)主要部件嚴重損壞,無升級和維修價值;
2)修理或改裝費用超過或接近同等效能價值的設備。
三、環境管理
1、計算機的使用環境應做到防塵、防潮、防干擾及安全接地。
2、應盡量保持計算機周圍環境的整潔,不要將影響使用或清潔的用品放在計算機周圍。
3、服務器機房內應做到干凈、整潔、物品擺放整齊;非主管維護人員不得擅自進入。
四、軟件管理和防護
1、職責:
A、IT管理員負責軟件的開發購買保管、安裝、維護、刪除及管理。
B、計算機負責人負責軟件的使用及日常維護。
2、使用管理:
A、計算機系統軟件:要求IT管理員統一配裝正版Windows專業版,辦公常用辦公軟件安裝正版office專業版套裝、正版ERP管理系統,制圖軟件安裝正版CAD專業版,殺毒軟件安裝安全殺毒套裝,郵件軟件安裝閃電郵,及自主開發等各種正版及綠色軟件。
B、禁止私自下載或安裝軟件、游戲、電影等,如工作需要安裝或刪除軟件時,向IT管理員提出申請,經檢查符合要求的軟件由IT管理部員或在IT管理員的監督下進行安裝或刪除。
C、計算機負責人應管理好計算機的操作系統或軟件的用戶名、工號、密碼。若調整工作崗位,應及時通知IT管理部員更改相關權限。不得盜用他人用戶名和密碼登錄計算機,或更改、破壞他人的文件資料,做好局域網上共享文件夾的密碼保護工作。
D、計算機負責人應及時做好業務相關軟件的應用程序數據備份(刻錄光盤),防止因機器故障或被誤刪除而引起文件丟失。
E、計算機軟件在使用過程中如發現異常或出現錯誤代碼時,計算機負責人應及時上報IT管理員進行處理。
3、升級、防護:
A、如操作系統、軟件需要更新及版本升級,則由IT管理員負責升級安裝、購買等。
B、U盤、軟盤在使用前,必須先采用殺毒軟件進行掃描殺毒,無病毒后再使用。
C、由IT管理員協助計算機負責人對計算機進行病毒、木馬程序檢測和清理工作,要求定期更新殺毒軟件。
五、硬件維護
1、要求:
A、IT管理部員負責計算機或相關電腦設備的維護。
B、對硬件進行維護的人員在拆卸計算機時,必須采取必要的防靜電措施。
C、對硬件進行維護的人員在作業完成后或準備離去時,必須將所拆卸的設備復原。
D、對于關鍵的計算機設備應配備必要的斷電、繼電保護電源。
E、IT管理部員應按設備說明書進行日常維護,每月一次。
2、維護:
A、計算機的使用、清潔和保養工作,由計算機負責人負責;
B、IT管理員必須經常檢查計算機及外設的狀況,及時發現和解決問題。
六、網絡管理
A、禁止瀏覽或登入反動、色情、邪教等不明非法網站、瀏覽非法信息以及利用電子信箱收發有關上述內容的郵件;不得通過互聯網或光盤下載安裝傳播病毒以及黑客程序。
B、禁止私自將公司的受控文件及數據上傳網絡與拷貝傳播。
七、維修流程
當計算機出現故障時,應立即停止操作,上報公司IT管理員,填寫《公司電腦維修記錄表》;由IT管理員負責維修。
八、獎懲辦法
由于計算機設備是我們工作中的重要工具。因此,IT管理員將計算機的'管理納入對各計算機負責人的績效考核范圍,并將嚴格實行。
從本制度公布之日起:
1、凡是發現以下行為,IT管理員有權根據實際情況處罰并追究當事人及其直接領導的責任,嚴重的則交由上級部門領導對其處理。
A、私自安裝和使用未經許可的軟件(含游戲、電影),每個軟件罰50元。
B、計算機具有密碼功能卻未使用,每次罰10元。
C、下班后,計算機未退出系統或關閉顯示器的,每次罰10元。
D、擅自使用他人計算機或外設造成不良影響的,每次罰50元。
E、瀏覽登入反動、色情、邪教等不明非法網站,傳播非法郵件的,每次罰100元。
F、如有私自或沒有經過IT管理部審核更換計算機IP地址的,每次罰10元。
G、如有拷貝受控文件及數據,故意刪除共享資料軟件及計算機數據的,按損失酌情進行處罰。
2、凡發現由于:違章作業,保管不當,擅自安裝、使用硬件和電氣裝置,而造成硬件的損壞或丟失的,其損失由責任人賠償硬件價值的全部費用。
九、附則
1、本制度為公司計算機管理制度,要求每一位計算機負責人必須遵守該制度。
2、本制度由IT管理員負責編制與修改。
3、本制度由公司總經理批準后執行。
信息安全管理制度 16
為了加強學生管理,進一步做好學生平安信息登記工作,特制定以下制度。
1、學校對學生的家長姓名、家庭住址、聯系方式等各方面狀況逐一進行具體登記,做到學生家庭狀況熟,底子說得清。
2、學校對患有先天性疾病和重大疾患的.學生,建立檔案,照實記載,并在教學活動和社會實踐中進行重點監護,防止學生因參與不相宜的活動而造成意外損害。
3、做好學生出勤信息狀況登記,對學生因事因病不能到校,學生家長應剛好填寫書面假條交班主任處,由班主任剛好上報學校,學校作出統計。
4、學校將學生到校和放學時間、非正常缺課或擅自離校、以及身體和心理異樣狀況等關系學生平安的信息,剛好登記,并將處理信息做好記錄。
5、學生在校發生食物中毒、傳染病流行、安全事故后,學校應剛好做好詳實記錄,做好事故現場及有關證據的保存工作。
6、做好學生平安信息登記工作的分析、總結、存檔工作。
信息安全管理制度 17
校園網信息發布實行統一管理、分層負責制。網絡中心對學校主頁信息進行管理,各處室的主要負責人負責對本部門的.上網資源和計算機系統進行管理。
一、網管中心負責全校的網絡信息和保密工作,定期對網絡用戶進行有關保密和網絡安全教育。
二、對外信息發布。各處室可以申請網絡域名和ftp站點,自行管理各部門網站信息發布。需要在學校首頁上發布的信息,需要填寫“網上信息發布申請表”,審查后交由網管中心上網發布。
三、信息的閱覽與查詢。不得查閱、復制和傳播有礙社會治安和傷風敗俗的信息。校園網工作人員和用戶如在網絡上發現有礙社會治安和不健康的信息,有義務及時上報網絡管理人員,做好備份并自覺銷毀。
四、違反本條例規定,有下列行為之一者,校網絡中心可提出警告直至停止其使用網絡,情節嚴重者,提交學校行政部門或有關部門處理。
1.查閱、復制或傳播下列信息者:煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實、故意散布謠言,擾亂社會秩序公然侮辱他人或者捏造事實誹謗他人宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2.破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全活動。
3.盜用他人帳號者。
4.私自轉借、轉讓用戶帳號造成危害者。
5.故意制作、傳播計算機病毒等破壞性程序者。
6.不按國家和學院有關規定擅自接納網絡用戶者。
7.網絡中心,屬我校園網絡重地,未經許可不得進入。
信息安全管理制度 18
一、信息系統平安包括:軟件平安和硬件網絡平安兩部分。
二、網絡信息辦公室人員必需實行有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對系統用戶的訪問模塊、訪問權限由運用單位負責人提出,交信息化領導小組核準后,由網絡信息辦公室人員賜予配置并存檔,以后變更必需報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟識并嚴格監督數據庫運用權限、用戶密碼運用狀況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室負責人監督檢查更換新的密碼;廠方調試人員調試維護完成后一小時內,由系統管理員關閉或修改其所用帳號和密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,剛好對故障進行有效隔離、解除和復原工作,以防災難性網絡風暴發生。
六、網絡系統全部設備的.配置、安裝、調試必需由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必需嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。
八、嚴禁自行安裝軟件,特殊是嬉戲軟件,禁止在工作用電腦上打嬉戲。
九、全部進入網絡的軟盤、光盤、U盤等其他存貯介質,必需經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質肯定禁止上網運用,對造成“病毒”擴散的有關人員,將比照《計算機信息系統懲罰條例》進行相應的經濟和行政懲罰。
十、在醫院還沒有有效解決網絡平安(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的狀況下,內外網獨立運行,全部終端內外網不能混接,嚴禁外網用戶通過U盤等存貯介質拷貝文件到內網終端。
十一、內網用戶全部文件傳遞,不得利用軟盤、光盤和U盤等存貯介質進行拷貝。
十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
信息安全管理制度 19
醫院信息安全管理制度:
一、信息系統安全包括:軟件安全和硬件網絡安全兩部分。
二、網絡信息辦公室人員必須采取有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對HIS系統用戶的訪問模塊、訪問權限由院長提出后,由網絡信息辦公室人員給予配置,以后變更必須報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室人員監督檢查更換新的密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網絡風暴發生。
六、網絡系統所有設備的配置、安裝、調試必須由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。
八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。九、所有進入網絡的光盤、U盤等其他存貯介質,必須經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質絕對禁止上網使用,對造成“病毒"蔓延的有關人員,將對照《計算機信息系統處罰條例》進行相應的`經濟和行政處罰。
十、在醫院還沒有有效解決網絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的情況下,內外網獨立運行,所有終端內外網不能混接。
十一、內網用戶所有文件傳遞,不得利用光盤和U盤等存貯介質進行拷貝。十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
十四、信息系統故障應急預案:
1、對網絡故障的判斷:當網絡系統終端發現計算機訪問數據庫速度遲緩、不能進入相應程序、不能保存數據、不能訪問網絡、應用程序非連續性工作時,要立即向網絡信息辦公室匯報,網絡信息辦公室工作人員對科室提出的上述問題必須重視,經核實后給予科室反饋信息。網絡信息辦公室負責人應召集有關人員及時進行討論,如果故障原因明確,可以立刻恢復工作的,應立即恢復工作;如故障原因不明確、情況嚴重不能在短期內排除的,應立即報告院領導,在網絡不能運轉的情況下由機關協調全院工作以保障醫療工作的正常運轉。
2、網絡故障分為三類:
(1)一類故障:服務器不能工作;光纖損壞;主服務器數據丟失;備份盤損壞;服務器工作不穩定;局部網絡不通;數據被人刪改;重點終端故障;規律性的整體、局部軟、硬件故障。
(2)二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數據處理錯誤;某些科室違反工作流程要求。
(3)三類故障:各終端由于不熟練或使用不當造成的錯誤。
信息安全管理制度 20
一、遵守保密規定,嚴格控制不應公開的檔案信息。
二、保存檔案數據信息的計算機不得與公共信息網絡聯接,確需聯接時,必須通過安全保密審查。
三、加強對檔案信息網絡傳輸的管理,確保網絡和使用過程的.信息安全。
四、確定專人負責計算機系統的管理工作,并設置計算機操作系統用戶口令。
五、計算機系統必須安裝防病毒卡或反病毒軟件并及時更新版本,做好防病毒工作。
六、保存檔案數據的計算機外送修理時,應將有關數據的內容清空、刪除或將硬盤摘除,并做好計算機修理情況登記。
七、應采取有效措施,保證檔案數據庫和檔案數據安全。所有數據至少復制兩套,并異地保存。
八、信息載體(如硬盤等)損壞,必須拆除后放入待鑒定室專門保存。
九、磁性載體每滿2年、光盤每滿4年應進行一次抽樣機讀檢驗,抽樣率不低于10%,如發現問題應及時采取恢復措施。
十、具有永久保存價值的文本和圖形形式的電子文件,必須同時制成紙質文件或縮微品等拷貝件一并歸檔保存。
十一、應加強對歸檔電子文件鑒定銷毀的管理。對于屬于保密范圍的歸檔電子文件,連同存儲載體一起銷毀,并在網絡上徹底刪除;對于不屬于保密范圍的歸檔電子文件進行邏輯刪除。
十二、以上各條請本單位全體干部職工互相監督,共同遵守。對違反本制度的,按國家有關規定處理。
【信息安全管理制度】相關文章:
it信息安全管理制度02-02
信息安全管理制度08-02
信息安全管理制度07-25
信息安全培訓管理制度05-24
醫院信息安全管理制度05-14
網絡信息安全管理制度02-03
學生信息安全管理制度03-24
信息數據安全管理制度03-21
信息安全管理制度匯編04-05
信息安全保密管理制度優秀03-07