信息系统安全管理规定
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全
管理制度
2008年8月
目录
第一章总则
第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。
第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。
其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。
第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。
第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。
第二章系统管理人员的职责
第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。
第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管
理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防
范。
第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。
第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。
第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。
第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
第12条保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
第三章机房管理制度
第13条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。
第14条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。
严禁在机房内堆放与工作无关的杂物。
第15条机房内不得使用无线通讯设备,禁止拍照和摄影。
第16条各类技术档案、资料由专人妥善保管并定期检查。
第17条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。
第18条机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。
第19条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
第20条机房大门必须随时关闭上锁。机房钥匙由信息中心专人管理。
第21条机房门禁磁卡(以下简称门禁卡)由信息中心管理。
第22条门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。
第23条对临时进入机房工作的人员,不再发放门禁卡,在向主管部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
第24条门禁卡应妥善保管,不得遗失和互相借用。
第25条门禁卡遗失后,应立即上报信息中心,同时写出书面说明。
第四章系统管理员工作细则
第一节系统主机维护管理办法
第26条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。
第27条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第28条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第29条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字符、字母并区分大小写。
第30条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。
第31条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第32条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第33条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第34条每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。
第35条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第36条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。第37条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
第二节信息系统运行维护管理办法
第38条信息系统的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。
第39条根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字、字符、字母组成,区分大小写,密码长度不得低于8位。
第40条对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
第41条每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。
第42条当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。第43条根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。第44条每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。
第45条在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表
六)。
第46条每天记录信息系统运行维护日志,对信息系统运行情况进行总结。
第47条每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。
第三节网络系统运行维护管理办法
第48条网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
第49条根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
第50条建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,
交换机系统配置,路由器系统配置,网络拓扑机构图,VLAN划分表,并在系统配置发生变更时及时对设备档案进行更新。
第51条每天检查网络系统设备(交换机、路由器)是否正常运行。
第52条每周对网络系统设备(交换机、路由器)进行清洁。
第53条每周修改网络系统管理员密码。
第54条每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。第55条网络变更后进行网络系统配置资料备份。
第56条当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表
六)。
第57条每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
第四节终端电脑运行维护管理办法
第58条终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。
第59条根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件、技防软件。
第60条建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,
在电脑主机软硬件信息发生变更时对设备档案进行及时更新。
第61条在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交保密办处理。
第五节网络病毒入侵防范管理办法
第62条网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。
第63条根据网络系统安全设计要求安装、配置瑞星网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。
第64条每日监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。
第65条每周登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。
第66条每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。
第67条每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。
第五章安全保密管理员工作细则
第一节网络信息安全策略管理办法
第68条网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第69条根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。
第70条根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。
第71条根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。
第72条根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。
第73条每周对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。
第74条网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第二节网络信息系统安全检查管理办法
第75条网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第76条每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密办,并做详细记录(见表十三)。
第77条每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。
第78条每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录
(见表十五),并将安全评估分析报告上报保密办。
第79条每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。
第80条每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。
第三节涉密计算机安全管理办法
第81条涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第82条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第83条每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
第84条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第85条新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第四节安全审计管理办法
第86条网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。
第87条根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。
第88条每日查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。
第89条每周备份设备安全审计系统审计信息,并做详细记录(见表二十)。第90条每月对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。
第五节违规联接管理办法
第91条违规外联管理系统(北信源安全补丁管理软件)由安全保密管理员负责,未经允许任何人不得进行此项操作。
第92条根据网络信息系统安全管理要求安装、配置违规外联管理系统策略,包括联网涉密电脑,单机涉密电脑,便携式涉密电脑。
第93条每日检查违规外联系统审计信息,查看联网涉密电脑是否有违规外联操作。
第94条每月检查单机涉密电脑、便携式电脑是否有违规外联操作。
第95条每三个月协助保密办进行所有涉密电脑巡检,检查是否存在违规外联操作,并做详细记录。
第96条每日通过违规外联系统检查网络系统是否有非法主机联入,并做详细记录。
第六章密钥管理员工作细则
第97条身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。
第98条每日检查身份认证系统是否正常运行。
第99条负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。
第100条根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。
第101条负责为每台计算机安装主机登录系统。
第102条负责主机登录系统、身份认证系统的系统维护。
第七章计算机信息系统应急预案
第103条系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。
第104条遇到火灾应根据火情采取以下措施:
1.如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。
2.如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。
第105条如遇机房突发性停电,应迅速通知用户,同时关闭设备电源,来电后,及时通知用户,并检测设备是否正常运行。
第106条系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。
第107条遇紧急情况,值班员应立即通知保密办和系统管理员,保持24小时通讯畅通,随时处理紧急事件。
第108条线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。
第八章附则
第109条本管理制度自发布之日起执行,未尽事宜以用户单位的《保密工作管理实施办法》为准。
第110条本制度每年度审订一次,本制度所有表格请见附录。
附录
机房日常巡检记录表(表一)
部门:文件编号:
第页
系统设备档案表(表二)
部门:文件编号:
系统软件档案表(表三)
部门:文件编号:
系统维护系列表(表四)
部门:文件编号:
系统工作状态、应用服务检测表(表五)
部门:文件编号:
第页
系统运行维护申请单(表六)
部门:文件编号:
信息系统安全管理办法(通用版)
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
信息系统管理制度-定稿
信息系统管理制度 第一章总则 第一条为明确岗位职责,规范操作流程,保障本中心信息系统安全、有效运行,根据有关法律、法规和政府有关规定,结合信息统计中心实际情况,特制定本制度。 第二条目的:使信息化建设工作规范化进行,做到统一规划、统一标准、统一建设、统一管理。使用范围:适用于本中心信息化建设。 第三条利用信息系统实施内部控制至少应当关注下列风险: (一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致中心管理效率低下。 (二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。 (三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。 第四条职责: (一)信息统计中心负责中心信息化管理总体规划,建立统一的信息化建设标准、规范。负责中心各科(所)信息化项目总体协调及中心办公自动化网络和系统软硬件的维护工作。 (二)各科(所)负责指定专人担任本专业信息化网络工作,并负责本科(所)日常信息管理工作。 第五条工作要求: (一)各科(所)在开展涉及信息化建设及申报信息化建设项目之前,需报主管领导审批后,将业务需求、建设规划等报信息统计中心,信息统计中心应按照中心信息化建设规划及相关要求进行审核。 (二)经信息统计中心审核同意后的信息化建设项目,由信息中心提出信息化技术要求及软硬件需求,同意规划整合后报市卫生局信息中心。 (三)各科(所)申报的信息化项目批准后,信息统计中心技术人员全程参与项目的招标、实施、验收。
第二章信息系统的开发 第六条信息统计中心根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的流程报批通过后配合相关公司实施。 信息统计中心负责监督开发流程,明确系统设计、安装调试、验收、上线等全过程的管理要求。 第七条信息统计中心需要深入了解各个业务科(所)的业务流程、关键控制点、处理规则、用户范围以及手工环境下难以实现的控制功能等较为核心的信息系统需求点。在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。 应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。 应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的操作,应当设计系统自动报告并设置跟踪处理机制。 第八条信息统计中心需要组织开发单位或开发人员与各科(所)的日常沟通和协调,督促开发单位或开发人员按照建设方案、计划进度和质量要求完成编程工作。 第九条信息统计中心应根据配备的硬件设备和系统软件的具体情况,组织安排相应的硬件厂家或软件开发商的技术人员入场安装调试。对于关键的软硬件设备,应安排专人负责跟踪、记录整个安装调试过程;在完成软硬件设备的安装调试后,应注意做好有关文档的验收及归档保存工作。 第十条信息系统上线前,需要对信息系统进行等保定级,没有定级的信息系统不能正式上线。另外,信息统计中心都应当切实做好上线的各项准备工作,应查验设备厂商或软件开发商或开发人员提交的有关运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训。制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
管理信息系统权限管理制度(定稿)
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
信息系统安全人员管理制度
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
信息系统使用管理规定
信息系统使用管理规定 1 目的 为确保正确、安全的操作信息处理设施,防止资产遭受未授权泄露、修改、移动或销毁,以及因操作原因造成的业务活动中断。 2 适用范围 需要对公司内部信息系统访问、操作及维护信息处理设施的员工。 3 术语和定义 移动介质:是指存储了信息的硬盘、光盘、软盘、移动硬盘、U盘和刻录设备等。 4 职责和权限 公司所有员工以及第三方服务人员使用本公司的信息处理设施均因遵守本程序的规定。 5 相关活动 5.1 信息系统操作原则 所有员工必须遵守各种信息处理设施的有关使用规定,并按照相关规定操作。 未经授权不得操作信息系统,已授权用户必须在授权范围内使用信息系统,不得使用其他员工的权限操作系统,更不得恶意使用系统。 对信息系统设施和系统的变更、维护都应有明确的记录,由专人负责。 5.2 设备管理 各部门的计算机以及计算机的外围设备、消耗材料均由DXC一配备和管理。 计算机及其外围设备原则上不允许借到公司外使用,如确实需要,须经公司领导层同意并明确归还日期后方能借出,归还时要重新进行验收,如有损坏将按购入时的市场价格赔偿。 为保证每台计算机的完整性,各部门人员不得随意挪换计算机内、外部配件,计算机更换部件须经DXC同意。
使用中出现技术性故障,应及时分析,对于人为操作不当或非正常使用软件所造成的问题由DXC技术人员协助排除;对于硬件本身或非人为因素所造成大型故障由技术人员报DXC 给予解决。 软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)由DXC专人保管,使用者必需的操作守册由使用者保管。 计算机机房必须配置防火、防雷电、火险报警及空调等设施。并对性能进行经常性检测,建立相关的应急措施。 对与计算机应用有关电源接口、通讯接口等设备由DXC进行定期的检查、维护。 5.3 使用管理 操作人员在使用计算机时,必须使用ID和口令登录系统,保持桌面清洁和离开锁屏等良好习惯。要严格遵守操作规程,注意爱护设备,保持清洁,使设备处于良好状态,下班时,务必关机切断电源。 未经许可,使用者不可增删硬盘上的应用软件和系统软件。 严禁使用计算机玩游戏,登录非法网站。 重要部门要采取措施保证输入到信息系统的数据是正确恰当的,同时,对使用添加、修改和删除等对数据的更改要设置权限;对输出的数据也要验证,确保是正确、完整的。 5.4 安全管理 计算机一些内部应用系统的数据资料列入保密范围。未经许可,严禁非相关人员私自复制。 与互联网相连的计算机不得保存与工作有关的机密性的文件与资料。 涉及工作秘密的文字材料或信息不得在互联网上发布,或以电子邮件的形式发送。 使用者必须妥善保管好自己的用户名和密码,严防被窃取而导致泄密。 网络管理人员要控制诊断和配置端口的物理和逻辑访问,一般情况下这些端口应设置为禁用或取消。 5.5 移动介质管理 一般情况下不允许使用移动介质。若需要使用,仅限使用公司配发的移动介质。严禁将私人的移动介质带入公司使用。 移动介质由DXC统一编号,建立“移动介质配发使用登记表”。一般情况下移动介质不允许存储机密级信息,存储有机密级信息的移动介质严禁带出办公场所。确应工作需要,需将存储由机密级信息的移动介质带出办公场所须经公司领导批准。
信息化系统安全运行管理制度.doc
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
计算机信息系统安全管理制度
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
信息系统管理制度
信息系统管理制度 (一)总则 1.为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展, 保障系统有序运行,制定本规则。 2.本规则所称的信息系统,是由计算机及其相关配套的设备、设施构成的,按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统(即现在医院建设和应用中的信息工程)。 3.医院信息系统管理是为了保障系统建设和应用,保障系统功能的正常发挥, 保障运行环境和信息的安全,满足各工作站对系统操作和维护的全部活动。 4.各级各类医院根据本规则,结合医院不同的功能任务和医院信息系统规模 大小,参照以下容制定适宜于本医院的信息管理制度。 (二)组织管理 1.医院信息系统的组织管理机制是医院信息管理系统领导小组(简称领导小 组)。 2.领导小组由下列人员组成: 组长:院长/业务副院长 成员:医务、护理、信息、经营管理、药剂、计算机工程技术等人员。
3.领导小组的主要职能和任务: (1)对医院信息系统建设和应用进行总体规划,审查和制定系统应用中有关人员职责、技术规、工作流程、性能指标等工作规则和制度。 (2)加强对医院信息系统的组织领导、协调解决医院工程建设中和重大问题。 (3)审核、部署系统建设和应用中的重要活动,如规则计划,网络管理、系统配置、人员培训等。 4.医务部门领导在系统建设的应用过程中负责日常组织协调和管理工作。 5.信息管理部门负责人是系统建设和系统建设和系统应用的领导者和指挥者 (简称系统负责人),应对所属人员实行分工负责。 6.信息管理部门工程技术人员全面负责系统规则、计划、系统配置、系统调 试、系统维护、安全管理、人员培训等技术管理工作。 (三)信息系统的技术管理 1.信息管理部门工程技术人员是信息系统技术管理的直接责任者,应以实现 系统功能为目的,以满足用户需求为宗旨,对信息系统的操作和维护进行管理。 2.信息系统各类设备的配置,由系统负责人提出配置规划和计划,报有关领导审批后实施。 3.每一子系统或挂接的可执行程序在上网运行前,信息工程技术人员必须
信息系统使用管理办法
信息系统使用管理办法 信息系统使用管理办法 第一章总则 第一条为了集团信息系统的安全管理、规范使用,确保信息系统与计算机网络资源高效、稳定、安全的运行,特制订本办法。 第二条本办法适用于投资控股有限公司(以下简称“控股公司”)及所属各公司全体员工。第三条本办法所指的信息系统(以下简称“系统”),是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合,包含各类软件系统、即时通讯软件等,包含现有正在使用及将来预计使用的信息系统。 第二章系统运行管理 第四条系统帐号管理 系统帐号按照谁使用谁负责的原则,落实至具体责任人。 1、各信息系统的信息管理人员必须遵守《集团信息人员保密管理规定》、《集团关键信息系统平台帐号集中管理办法(A)》。 2、账号开通:信息系统用户实行一人一帐号,各应用系统账号开通由使用人员所在部门提出申请,按流程审批通过后,应用系统管理员予以开通。如使用者为决策层成员,由人力资源部门提出申请。下同。 3、权限增加:各应用系统操作权限的增加须由使用人员提出申请,审批通过后,应用系统管理员予以开通。 4、岗位调整:人员岗位调整后,原岗位直接上级领导要通知应用系统管理员,撤销该账号原有权限。财务、审计岗位在1个工作日内、其它岗位在3个工作日内完成权限通知撤销工作。 5、账号关闭:人员离职前,原岗位直接上级领导要通知应用系统管理员,关闭离职人员的账号,注销其权限。 第五条如果系统需要登记完整的用户个人信息,使用人员要及时、完整地登记、更新个人信息,姓名、电话、邮箱等信息必须真实有效。如账号为公用账号,需要登记该账号的使用人员范围和业务范围。 第六条系统使用人须认真学习与遵守系统的操作手册,严格按照系统运行要求及时处理业务并录入数据,确保数据准确完整,如有不明事项应当咨询系统管理员。 第七条如果其人员需要使用易遨或商海导航等业务系统,人资和信息部门要严格控制权限。
信息系统安全管理规定
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全 管理制度 2008年8月 目录 第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。 其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管 理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防 范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
信息化系统管理制度
XX局信息化系统管理制度 第一章总则 第一条随着大集中系统应用推广、随着我局信息化建设的推进及计算机装备水平的提高,为加强计算机、网络系统运行的管理工作和税收信息化建设工作,规范计算机应用,保障网络系统和业务数据的稳定、高效、安全运行,提高科技管税水平,促进信息化建设稳步发展。原有《XX市地方税务局计算机系统管理办法》已不能完全适应现信息化建设管理需要。结合我局的业务需求和实际情况,根据《计算机保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家税务局总局税务系统电子数据处理管理办法(试行)》、《昆明市计算机信息系统安全监察暂行办法》、《昆明市地方税务局计算机管理试行办法》、《XX地方税务局信息化安全管理制度》等有关法律法规及管理制度。现将原来《办法》修订为《XX市地方税务局信息化系统管理制度》。 第二条XX市地方税务局信息化系统的管理工作,必须按照国家的法律和国家税务总局制定的“统一领导、统一规划、统一标准、分步实施”的原则,在省、市地税局的领导下进行。 第三条信息化系统管理含盖计算机系统运行管理、网络安全管理、业务电子数据管理、设备及耗材管理,等四个方面。 第四条各科室、分局、稽查局(以下统称各部门)。各部门的计算机运用工作应遵守国家有关法律法规和省、市地方税务局有关规定,在局计算机管理部门授权范围内按照本办法规范运作。 页脚内容1
第五条我局设立计算机管理部门负责全局的计算机系统管理工作,研究制定相关的工作规划、措施,监督、检查计算机系统的使用、运行情况,传达、协调、制定有关技术和应用标准。使用计算机的各部门,负责相关业务应用程序的操作、日常维护及安全保密工作。及时向计算机管理部门报告应用中发现的有关问题。 第六条XX市地税局计算机管理部门内设专职系统维护员职位,负责软件、硬件、数据库和业务系统管理。计算机系统操作员是指经局计算机管理部门授权,在授权范围内使用我局计算机系统相关功能的操作人员。 第七条本办法适用于XX市地税局使用计算机的各部门和全体干部职工(含协管员)。 第二章计算机系统运行管理 第八条根据省、市地方税务局的规定与要求设置计算机管理部门、配备专职系统维护员负责全局的信息化建设和计算机系统维护、管理工作;各部门指定即兼职计算机管理员员(信息安全员)负责本部门计算机、网络设备、打印设备的日常维护管理,对本部门其他人员计算机应用的辅导。 第九条 XX市地税局专职系统管理人员应履行以下职责: 一、按照省、市地方税务局的要求和本局实际情况,负责对全局信息化建设工作进行总体规划和组织实施。 二、负责起草全局计算机管理工作的各项规章制度。 三、配合省、市地方税务局的总体业务目标,制定技术工作计划并组织实施。 四、协助各部门对单行业务应用软件的维护工作,并为各部门业务应用软件及基础数据资料管理提供技术支持。 五、保障全局计算机软、硬件、网络系统的正常运行。 六、负责监督、检查、协调,并从技术上指导各部门的计算机工作,提供技术支持。 页脚内容2
信息系统使用管理办法
信息系统使用管理办法 一、本规定设计的网络范围及计算机系统包括:医院信息管理系统网络(内网)、医院办公及因特网(外网)、在网络或单机运行各信息系统及应用程序所使用的计算机、计算机外部设备(如打印机等)、网络设备等。 二、信息科作为医院网络的设计、建设、管理与维护部门,负责对医院网络运行情况进行监督、管理和控制,并对医院网络上的信息进行检查和备案。 三、本条例认为,员工在被许可使用医院计算机系统时,该员工完全接受医院信息科对其计算机以及其附属设施上做的任何设置和策略限制,并完全接受本管理规定所制定的所有条款内容。 (一)硬件管理 1、为便于信息科为各计算机用户提供技术服务支持,医院的计算机系统及相关的附属设备(如打印机、扫描仪、网络设备等)的采购、使用、入网、报废等必须经过信息科审核同意。 2、为了有效地管理及应用医院的计算机,信息科对医院内的所有计算机及其相关设备进行登记注册,其中包含每台机器的型号、使用部门、使用人、用途等。未经信息科允许,任何人不得私自更改计算机配置;严禁携带个人笔记本在未经允许的情况下私自使用医院网络上网。 3、医院计算机设备的资产管理权分属各个使用部门所有。医院员工不得滥用计算机设备,使用者有义务对自己所使用的计算机设备负责;对计算机硬件设备的损坏、丢失、被盗等情况,必须及时通知相关负责人及信息科。 4、医院计算机设备的故障原因由信息科负责确定,非信息科人员不得自行拆装、修理或增加计算机硬件设备。 5、员工在使用计算机中遇到了非正常使用情况或困难,应及时通知信息科人员确定故障原因,并主动说明故障现象,积极配合维修。 6、计算机设备经信息科维修人员确定需外出维修的,由信息科负责联系协议维修公司,维修后由信息科及使用部门确认,相关维修费用计入相应部门支出。 7、医院计算机机房是医院信息系统的神经中枢,非信息科允许禁止擅自进入。 (二)软件管理 1、为便于信息科为各计算机软件用户提供技术服务支持,医院计算机软件的使用、采购、相关技术培训等须经信息科审核同意。 2、医院计算机及其相关应用系统的使用者必须是经过主管部门授权认可的医院工作人员。严禁非医院员工使用医院的计算机及相关资源;未经主管领导或部门许可,任何人不得从计算机和相关的应用系统内获取非公用的相关数据信息。 3、所有计算机用户在首次使用计算机系统或医院相关管理软件前必须接受相关培训方可获得使用权限。 4、医院内网上的计算机软件统一由信息科管理、安装,计算机使用者不得私自改动、删除或安装任何软件。当出现计算机软件出现故障或损坏,应及时通知信息科并作好记录。 5、医院计算机用户视为完全接受所使用计算机系统内所有软件的授权协议条款的相关内容;如对其中某些软件或某些软件条款有异议,需向有关部门和负责人申请,有信息科帮助其删除相关软件或取消其使用权限。 6、信息科应建立医院的软件档案库,对医院工作需要的各种软件要及时备份,经常检查更新,保持其可用性。
信息系统安全管理制度
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
网络安全信息系统管理制度
本文从网络收集而来,上传到平台为了帮到更多的人,如果您需要使用本文档,请点击下载,另外祝您生活愉快,工作顺利,万事如意! 网络安全信息系统管理制度 计算机信息网络单位应当在根河市网络安全主管部门监督指导下,建立和完善计算机网络安全组织,成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人(由主管领导担任),应当履行下列职责: (一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; (二)拟定并组织实施本单位计算机信息网络安全管理的各项规章制度; (三)定期组织检查计算机信息网络系统安全运行情况,及时排除各种安全隐患; (四)负责组织本单位信息安全审查; (五)负责组织本单位计算机从业人员的安全教育和培训; (六)发生安全事故或计算机违法犯罪案件时,立即向公安机关网监部门报告并采取妥善措施,保护现场,避免危害的扩散,畅通与公安机关网监部门联系渠道。
2、配备1至2名计算机安全员(由技术负责人和技术操作人员组成),应当履行下列职责: (一)执行本单位计算机信息网络安全管理的各项规章制度; (二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患; (三)根据法律法规要求,对经本网络或网站发布的信息实行24小时审核巡查,发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告; (四)发生安全事故或计算机违法犯罪案件时,应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告,并采取妥善措施,保护现场,避免危害的扩大; (五)在发生网络重大突发性事件时,计算机安全员应随时响应,接受公安机关网监部门调遣,承担处置任务; (六)我市计算机安全技术人员必须经过市公安机关网监部门认可的安全技术培训,考核合格后持证上岗。合格证有效期两年。 3、单位安全组织应保持与公安机关联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实,积极接受公安机关网监部门业务监督检查。 4、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责,对不依法履行职责,造成安全事故和重大损害的,由公安机关予以警告,并建议其所在单位给予纪律或经济处理;情节严重的,依法追究刑事责任。
信息系统管理办法
信息系统管理办法 第一章:总则 第一条为保证公司信息网络系统的安全,根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司内网络系统建设的实际情况,制定本办法。 第二条本办法所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。 第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。 第四条本规定适用于公司内所有计算机硬件及周边设备(如打印机、扫瞄仪、MO存储器,软磁碟,CD碟,数码相机、考勤机终端等)及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。 第二章信息系统安全管理 第五条计算机系统账号与操作员代码 一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设臵根据不同应用系统的要求及岗位职责而设臵; 二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得;
三、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 四、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有主管负责人授权; 五、信息部门任何人员不得使用他人操作代码进行业务操作; 六、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; 七、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设臵。 八、操作员不得使用或盗用他人代码进行业务操作。 九、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 第六条密码与权限管理 一、密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设臵应具有安全性、保密性,不能使用简单的代码和标记。 二、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,在可能的情况下并相应记记录用户名、修改时间、修改人等内容,及时上报公司信息中心备案。 三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设臵和管理,并由密码设臵人员将密码装入密码信封,在骑缝处加盖部门印章并签字标注封存日期后交由信息中 心存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索
(管理与人事)信息系统安全管理制度
计算机信息系统安全 管理制度 2008年8月
目录 第一章总则 (3) 第二章系统管理人员的职责 (3) 第三章机房管理制度 (4) 第四章系统管理员工作细则 (5) 第五章安全保密管理员工作细则 (7) 第六章密钥管理员工作细则 (9) 第七章计算机信息系统应急预案 (10) 第八章附则 (10)
第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。 第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则” 和“最小权限原则”。
IT信息系统管理规定更新版
I T信息系统管理规定更新 版 Newly compiled on November 23, 2020
综合管理部 IT信息系统管理制度 更新版
目录 一、目的 (3) 二、适用范围 (3) 三、职责 (3) 四、名词定义 (1) 五、安全管理 (1) 六、账号和邮箱管理 (1) 七、Internet管理 (1) 八、文件服务器 (1) 九、硬件管理 (1) 十、软件管理 (1) 十一、公司网站维护管理 (4) 十二、 (1) IT信息系统管理制度 一、目的 为了保护公司计算机信息系统安全,规范信息系统管理,合理利用系统资源,保障公司各信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务,特制定本制度。 二、适用范围 本制度适用于公司范围内: 所有计算机、计算机用户及计算机相关设备、网络设备、服务器和计算机上安装的所有软件。 三、职责 综合管理部(网管):负责对公司内所有计算机及相关设备、软硬件的维护和信息系统资源的管理,为各部门提供信息技术
相关的支持服务。 部门:负责本部门计算机的保管、使用,使用过程中可要求综合管理部(网管)协助、支持。在工作过程当中不可以多次询问同一问题,以免给综合管理部人员带来不必要的工作负担。 四、名词定义 Internet:由使用公用语言互相通信的计算机连接而成的全球网络。 防火墙:协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 VPN:即虚拟专用网,它是通过Internet建立的一个临时的、安全的连接。 文件服务器:基于中央服务器的文件共享,文件夹及文件的权限可基于部门及用户进行集中的管理,同时集中的每个工作日的数据备份机制,可以确保用户防范文件丢失或损坏带来的业务上的风险; 网站服务器:存放网站文件和资料,包括文字、文档、数据库、网站的页面、图片等文件的服务器。 备份服务器:用于备份服务器文件信息数据。 FTP:让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程