信息安全管理制度汇编.pptx
《信息安全管理》PPT课件
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
信息安全管理制度汇编
信息安全管理制度汇编第一章总则第一条为了规范和加强信息安全管理工作,保障公司信息资产安全,提高信息系统安全能力,确保业务系统稳定运行,做到信息资源的可靠性、完整性、保密性和可用性,特制定本制度。
第二条本制度适用于公司内部所有信息系统的安全管理工作,包括但不限于数据安全、网络安全、应用系统安全等方面。
第三条公司信息安全管理部门是信息安全管理工作的主管部门,负责组织实施信息安全管理工作。
第四条各部门应当加强对信息安全工作的重视,积极参与并执行本制度的相关规定。
第五条本制度经公司领导批准后正式执行,如有修订,需经公司领导审批后方可执行。
第二章信息安全基础第六条公司信息安全管理部门应当建立信息安全管理工作制度和规范,明确管理责任、工作流程、技术措施等内容,确保信息安全工作有章可循。
第七条公司各部门应当制定信息安全管理制度,包括但不限于网络安全制度、数据安全制度、应用系统安全管理制度等,明确工作职责、权限限制等内容。
第八条公司应当建立健全信息安全管理体系,包括但不限于信息安全政策、信息安全目标、信息安全组织架构、信息安全培训等。
第九条公司应当加强对信息资产的保护,包括但不限于完整性、机密性、可用性等方面。
第十条公司应当加强对信息系统的监控和检测,及时发现并处理安全事件。
第三章信息安全管理措施第十一条公司应当加强对网络安全的管理,包括但不限于入侵检测、防火墙、漏洞补丁管理等方面。
第十二条公司应当建立严格的身份认证管理制度,确保用户身份的真实性和合法性。
第十三条公司应当加强对数据安全的管理,包括但不限于加密算法、访问控制、备份恢复等方面。
第十四条公司应当对应用系统建立合理的权限管理机制,确保用户权限的合理分配。
第十五条公司应当建立完善的安全事件应急处理机制,及时响应和处理各类安全事件。
第四章信息安全管理监督第十六条公司信息安全管理部门应当定期对各部门的信息安全管理工作进行检查和评估,发现问题提出整改意见。
第十七条公司信息安全管理部门应当建立健全的信息安全风险评估机制,对潜在的安全威胁进行风险评估和分析。
信息安全管理制度汇编
信息安全管理制度汇编信息安全管理制度为了切实有效地保障公司的信息安全,提高信息系统为公司生产经营的服务能力,公司制定了交互式信息安全管理制度。
该制度设定了管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
安全管理制度要求为了建立文件化的安全管理制度,安全管理制度文件应包括安全岗位管理制度、系统操作权限管理、安全培训制度、用户管理制度、新服务、新功能安全评估、用户投诉举报处理、信息发布审核、合法资质查验和公共信息巡查、个人电子信息安全保护、安全事件的监测、报告和应急处置制度以及现行法律、法规、规章、标准和行政审批文件。
此外,安全管理制度应经过管理层批准,并向所有员工宣传。
机构要求互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
如果从事的信息服务需要行政许可,则应取得相应许可。
人员安全管理公司建立了安全岗位管理制度,明确了主办人、主要负责人、安全责任人的职责。
该岗位管理制度还应包括保密管理。
在任用关键岗位人员之前,应进行背景核查,包括个人身份核查、个人履历的核查、学历、学位、专业资质证明以及从事关键岗位所必须的能力。
此外,应与关键岗位人员签订保密协议。
安全培训公司建立了安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识。
该制度包括上岗前的培训、安全制度及其修订后的培训以及法律、法规的发展保持同步的继续培训。
人员离岗为了严格规范人员离岗过程,应及时终止离岗员工的所有访问权限。
关键岗位人员须承诺调离后的保密义务后方可离开。
配合公安机关工作的人员变动应通报公安机关。
访问控制管理公司建立了包括物理的和逻辑的系统访问权限管理制度。
根据人员职责分配不同的访问权限,包括角色分离、满足工作需要的最小权限以及未经明确允许则一律禁止。
4.3 特殊权限的限制和控制在系统或程序中标识出每个特殊权限,并按照“按需使用”、“一事一议”的原则分配特殊权限。
同时,记录特殊权限的授权与使用过程,并确保特殊访问权限的分配需要管理层的批准。
信息安全管理制度汇编62340
内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二〇一六年一月目录一、总则 (6)二、安全管理制度 (7)第一章管理制度 (7)1.安全组织结构 (7)1.1信息安全领导小组职责 (7)1.2 信息安全工作组职责 (8)1.3信息安全岗位 (9)2.安全管理制度 (11)2.1安全管理制度体系 (11)2.2安全方针和主策略 (12)2.3安全管理制度和规范 (12)2.4安全流程和操作规程 (14)2.5安全记录单 (14)第二章制定和发布 (15)第三章评审和修订 (16)三、安全管理机构 (17)第一章岗位设置 (17)1.组织机构 (17)2.关键岗位 (19)第二章人员配备 (21)第三章授权和审批 (22)第四章沟通和合作 (24)第五章审核和检查 (26)四、人员安全管理 (28)第一章人员录用 (28)1.组织编制 (28)2.招聘原则 (28)3.招聘时机 (28)5.招聘人员岗位要求 (29)6.招聘种类 (29)6.1 外招 (29)6.2 内招 (30)7.招聘程序 (30)7.1 人事需求申请 (30)7.2 甄选 (30)7.3 录用 (32)第二章保密协议 (33)第三章人员离岗 (35)第三章人员考核 (37)1.制定安全管理目标 (37)2.目标考核 (38)3.奖惩措施 (38)第四章安全意识教育和培训 (39)1.安全教育培训制度 (39)第一章总则 (39)第二章安全教育的含义和方式 (39)第三章安全教育制度实施 (39)第四章三级安全教育及其他教育内容 (41)第五章附则 (43)第五章外部人员访问管理制度 (44)1.总则 (44)2.来访登记控制 (44)3.进出门禁系统控制 (45)4.携带物品控制 (46)五、系统建设管理 (47)第一章安全方案设计 (47)1.概述 (47)2.1安全计算环境设计 (48)2.2安全区域边界设计 (49)2.3安全通信网络设计 (50)2.4安全管理中心设计 (50)3.针对本单位的具体实践 (51)3.1安全计算环境建设 (51)3.2安全区域边界建设 (52)3.3安全通信网络建设 (52)3.4安全管理中心建设 (53)3.5安全管理规范制定 (54)3.6系统整体分析 (54)第二章产品采购和使用 (55)第三章自行软件开发 (58)1.申报 (58)2.安全性论证和审批 (58)3.复议 (58)4.项目安全立项 (58)5.项目管理 (59)5.1 概要 (59)5.2正文 (60)第四章工程实施 (62)1.信息化项目实施阶段 (62)2.概要设计子阶段的安全要求 (62)3.详细设计子阶段的安全要求 (63)4.项目实施子阶段的安全要求 (63)第五章测试验收 (65)1.文档准备 (65)2.确认签字 (65)3.专人负责 (65)第六章系统交付 (68)1.试运行 (68)2.组织验收 (68)第七章系统备案 (70)1.系统备案 (70)2.设备管理 (70)3.投产后的监控与跟踪 (72)第八章安全服务商选择 (74)六、系统运维管理 (75)第一章环境管理 (75)1.机房环境、设备 (75)2.办公环境管理 (76)第二章资产管理 (81)1.总则 (81) (81)第三章介质管理 (85)1.介质安全管理制度 (85)858586 (86)8787第四章设备管理 (89)1.主机、存储系统运维管理 (89)2.应用服务系统运维管理 (89) (90)9191第五章监控管理和安全管理中心 (94)1.监控管理 (94)2.安全管理中心 (95)第六章网络安全管理 (96)第七章系统安全管理 (98)1.总则 (98)2.系统安全策略 (98)3.系统日志管理 (99)4.个人操作管理 (100)5.惩处 (100)第八章恶意代码防范管理 (101)1.恶意代码三级防范机制 (101)1.1恶意代码初级安全设置与防范 (101)1.2.恶意代码中级安全设置与防范 (101)1.3恶意代码高级安全设置与防范 (102)2.防御恶意代码技术管理人员职责 (102)3.防御恶意代码员工日常行为规范 (103)第九章密码管理 (104)第十章变更管理 (106)1.变更 (106)2.变更程序 (106)2.1变更申请 (106)2.2变更审批 (106)2.3 变更实施 (106)2.4变更验收 (106)附件一变更申请表 (107)附件二变更验收表 (108)第十一章备份与恢复管理 (109)1.总则 (109)2.设备备份 (110)3.应用系统、程序和数据备份 (111)4.备份介质和介质库管理 (114)5.系统恢复 (115)6.人员备份 (116)第十二章安全事件处置 (117)1.工作原则 (117)2.组织指挥机构与职责 (117)3.先期处置 (118)4.应急处置 (119)4.1应急指挥 (119)4.2应急支援 (119)4.3信息处理 (119)4.4应急结束 (120)5后期处置 (120)5.1善后处置 (120)5.2调查和评估 (121)第十三章应急预案管理 (122)122123124125一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
信息安全管理制度汇编
信息安全管理制度汇编1. 引言信息安全在当今社会中具有极其重要的地位,各行各业都需要建立健全的信息安全管理制度以保护机构和个人的重要信息资产。
本文将对信息安全管理制度的重要性、目标和关键要素进行探讨。
2. 信息安全管理制度的重要性信息安全管理制度是组织内部系统和流程的总和,用以确保信息系统及其数据能够安全、高效地运行。
一个完善的信息安全管理制度可以帮助机构降低安全风险,防止信息泄露,确保信息的可靠性和完整性。
3. 信息安全管理制度的目标3.1 保护信息资产的机密性信息资产包括机构的客户数据、商业机密以及员工的个人信息等,保护其机密性是信息安全管理制度的首要目标。
通过采取访问控制、加密技术等手段,防止未经授权人员获得敏感信息。
3.2 确保信息资产的完整性信息的完整性指信息在传输、存储和处理过程中不被篡改或损坏。
信息安全管理制度应建立完善的数据备份和恢复机制,确保数据不会因为意外事件或恶意攻击而丢失或被篡改。
3.3 促进信息资产的可用性信息安全管理制度应确保信息系统的稳定性和可靠性,减少因安全事件造成的系统故障或停机。
同时,应建立灾备机制,保证信息系统在灾难事件发生时能够快速恢复。
3.4 合规与法律要求信息安全管理制度应与国家法律法规、行业标准和相关合规要求相一致。
确保机构的信息安全合规性,防止因违规操作而受到行政、法律责任。
4. 信息安全管理制度的关键要素4.1 领导承诺信息安全是全体员工的责任,高层领导对信息安全的重视和承诺是信息安全管理制度成功实施的前提。
高层领导要明确信息安全的重要性,并为信息安全投入足够的资源和支持。
4.2 风险评估与管控通过风险评估,识别和评估信息系统面临的各种威胁和风险,并采取相应的管控措施,减轻风险带来的影响。
包括制定安全策略、备份与恢复计划、访问控制策略等。
4.3 员工培训与意识提升员工是信息安全的第一道防线,他们需要具备基本的信息安全知识和意识。
信息安全管理制度应包含员工培训计划,定期对员工进行安全培训,提高他们的信息安全意识。
信息安全管理制度制度ppt
信息安全管理制度制度ppt一、引言随着互联网的飞速发展,信息安全已经成为企业和个人面临的重要问题。
信息安全管理制度作为一种管理手段,可以有效保护企业的信息资源不受到恶意侵害。
本文将介绍信息安全管理制度的重要性,制度的内容和实施过程。
二、信息安全管理制度的重要性1. 保护企业的核心信息资产企业的核心信息资产包括客户信息、财务信息、产品研发信息等,这些信息是企业的命脉,一旦泄露或者受到攻击,将会给企业带来严重的损失。
信息安全管理制度可以帮助企业规范信息的使用和保护,确保核心信息资产的安全。
2. 符合法律法规和标准要求随着信息技术的不断发展,各国都出台了一系列的信息安全法律法规和标准要求,企业需要遵守这些法规和标准,才能保障自己的合法权益。
信息安全管理制度可以帮助企业建立起一套合规的信息安全管理体系,保证企业的合规性。
3. 提高企业的竞争力和可信度在当今信息化的时代,客户对于企业的信息安全问题越来越重视,只有形成了严格的信息安全管理制度,才能提高企业的竞争力和可信度,获得客户的信任和支持。
三、信息安全管理制度的内容1. 信息安全政策信息安全政策是信息安全管理制度的基础,它包括企业的信息安全目标、原则、职责和制度要求,是企业信息安全管理的指导性文件。
2. 组织架构和职责信息安全管理制度需要明确各部门和人员在信息安全工作中的职责和权限,建立明确的组织架构,保证信息安全管理工作的有序进行。
3. 安全培训与教育企业需要定期组织安全培训与教育,提高员工对信息安全的认识和保护技能,使其成为企业信息安全的有力支撑。
4. 风险评估和控制措施企业需要对信息安全风险进行全面评估,并制定相应的控制措施,包括技术控制和管理控制,防范各种信息安全威胁。
5. 事件响应和应急预案在发生信息安全事件时,企业需要及时响应并制定相应的应急预案,尽快恢复业务运行,减少损失。
6. 监督和检查企业需要建立完善的监督和检查机制,定期对信息安全管理制度的执行情况进行检查,发现问题及时纠正,保证信息安全管理制度的有效实施。
信息安全制度管理.pptx
安全管理制度包括信息安全工作的 总体方针、策略、规范各种安全管 理活动的管理制度以及管理人员或 操作人员日常操作的操作规程。 安全管理制度主要包括:管理制度、 制定和发布、评审和修订三个控制 点。
安全管理制度等级
不同等级的基本要求在安全 管理制度方面有不同的体现。 1、一级安全管理制度要求 2、二级安全管理制度要求 3、三级安全管理制度要求 4、四级安全管理制度要求
(一)管理制度
信息安全管理制度体系分为三层结构:总体 方针、具体管理制度、各类操作规程。 该控制点在不同级别主要表现为: • 一级:要求制定日常常用的管理制度。 • 二级:在一级要求的基础上,要求更高,并增加了
总体方针和安全策略,重要操作规程的要求。
• 三级:在二级要求的基础上,提出了建立信息安全
安全管理制度的制定,并且发布前要组织论证。
•三级:在二级要求的基础上,对制度的制定格式、发布范
围、发布方式等进行了控制。
•四级:除三级要求外,侧重对有密级的安全制度的管理。
(三)管理制度的评审和修订
机构要定期评审安全政策和制度,并进行持续改 进,尤其当发生重大安全事故、出现新的漏洞以 及技术基础结构发生变更时。 该控制点在不同级别主要表现为: •一级:无此要求。 •二级:要求对安全管理制度定期评审和修订。 •三级:在二级要求的基础上,增加了安全领导小组负责组织
定期评审和修订,并对评审和修订的时机做了要求。
•四级:除三级要求外,侧重对有密级的安全制度的修订和制
度的日常维护等。
管理制度体系的要求。
• 四级:与三级要求相同。Leabharlann (二)管理制度的制定和发布
制定安全管理制度是规范各种保护单位信息资源安全 活动的重要一步。机构内高级管理人员参与制定过程。 该控制点在不同级别主要表现为: •一级:要求有人员负责安全管理制度的制定,相关人员能
信息安全管理PPT32页
安全管理价值
有效的实现风险管理,有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。降低成本ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作 (不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。 另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失,包括经济损失、公司形象损失和顾客信心损失等。
安全组织结构
组织安全职责
安全岗位设置
岗位安全职责
基础安全培训
高级安全培训
中级安全培训
岗位考核管理
安全管理培训
安全巡检小组
确定总体方针
统一安全策略体系
基础制度管理
资产登记管理
主机安全管理
基础流程管理
安全技术管理
网络安全管理
应用安全管理
数据安全管理
应急安全管理
工程安全管理
安全审计管理
身份认证
访问控制(防火墙,网络设备,隔离设备)
制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估(技术与管理测评)基础之上预防控制为主的思想原则 动态管理原则 全员参与原则 遵循管理的一般循环模式—PDCA持续改进模式
安全管理的主要要素要包括:建立信息安全管理机构通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。建立管理体系文件包括战略方针、过程程序文件、作业指导书和记录留痕的文件等。组织各类资源包括建立与实施安全管理体系所需要的合格人员、足够的资金和必要的设备等。安全管理体系建立要确保这些体系要素得到满足。
信息安全管理制度汇编
内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二〇一六年一月目录一、总则..................................................................................................................二、安全管理制度................................................................................................ 第一章管理制度..................................................................................................1.安全组织结构 ...............................................................................................1.1信息安全领导小组职责....................................................................1.2 信息安全工作组职责.......................................................................1.3信息安全岗位......................................................................................2.安全管理制度 ...............................................................................................2.1安全管理制度体系.............................................................................2.2安全方针和主策略.............................................................................2.3安全管理制度和规范 ........................................................................2.4安全流程和操作规程 ........................................................................2.5安全记录单.......................................................................................... 第二章制定和发布.............................................................................................. 第三章评审和修订..............................................................................................三、安全管理机构................................................................................................ 第一章岗位设置..................................................................................................1.组织机构 ........................................................................................................2.关键岗位 ........................................................................................................ 第二章人员配备.................................................................................................. 第三章授权和审批..............................................................................................第四章沟通和合作.............................................................................................. 第五章审核和检查..............................................................................................四、人员安全管理................................................................................................ 第一章人员录用..................................................................................................1.组织编制 ........................................................................................................2.招聘原则 ........................................................................................................3.招聘时机 ........................................................................................................4.录用人员基本要求 ......................................................................................5.招聘人员岗位要求 ......................................................................................6.招聘种类 ........................................................................................................6.1 外招 ......................................................................................................6.2 内招 ......................................................................................................7.招聘程序 ........................................................................................................7.1 人事需求申请.....................................................................................7.2 甄选 ......................................................................................................7.3 录用 ...................................................................................................... 第二章保密协议.................................................................................................. 第三章人员离岗.................................................................................................. 第三章人员考核..................................................................................................1.制定安全管理目标...................................................................................2.目标考核 ........................................................................................................3.奖惩措施 ........................................................................................................第四章安全意识教育和培训............................................................................1.安全教育培训制度 ......................................................................................第一章总则............................................................................................第二章安全教育的含义和方式 ..........................................................第三章安全教育制度实施 ...................................................................第四章三级安全教育及其他教育内容.............................................第五章附则 .............................................................................................. 第五章外部人员访问管理制度.......................................................................1.总则.............................................................................................................2.来访登记控制 ...............................................................................................3.进出门禁系统控制 ......................................................................................4.携带物品控制 ...............................................................................................五、系统建设管理................................................................................................ 第一章安全方案设计.........................................................................................1.概述 .................................................................................................................2.设计要求和分析 .......................................................................................2.1安全计算环境设计.............................................................................2.2安全区域边界设计.............................................................................2.3安全通信网络设计.............................................................................2.4安全管理中心设计.............................................................................3.针对本单位的具体实践..........................................................................3.1安全计算环境建设.............................................................................3.2安全区域边界建设.............................................................................3.3安全通信网络建设.............................................................................3.4安全管理中心建设.............................................................................3.5安全管理规范制定.............................................................................3.6系统整体分析...................................................................................... 第二章产品采购和使用..................................................................................... 第三章自行软件开发.........................................................................................1.申报 .................................................................................................................2.安全性论证和审批 ......................................................................................3.复议 .................................................................................................................4.项目安全立项 ...............................................................................................5.项目管理 ........................................................................................................5.1 概要 ......................................................................................................5.2正文........................................................................................................ 第四章工程实施..................................................................................................1.信息化项目实施阶段..................................................................................2.概要设计子阶段的安全要求 ....................................................................3.详细设计子阶段的安全要求 ....................................................................4.项目实施子阶段的安全要求 .................................................................... 第五章测试验收..................................................................................................1.文档准备 ........................................................................................................2.确认签字 ........................................................................................................3.专人负责 ........................................................................................................4.测试方案 ........................................................................................................ 第六章系统交付..................................................................................................1.试运行.............................................................................................................2.组织验收 ........................................................................................................ 第七章系统备案..................................................................................................1.系统备案 ........................................................................................................2.设备管理 ........................................................................................................3.投产后的监控与跟踪.................................................................................. 第八章安全服务商选择.....................................................................................六、系统运维管理................................................................................................ 第一章环境管理..................................................................................................1.机房环境、设备...........................................................................................2.办公环境管理 ............................................................................................... 第二章资产管理..................................................................................................1.总则 .................................................................................................................第三章介质管理..................................................................................................1.介质安全管理制度 .................................................................................................................................................................................................................................................................................................................................................................................................................................. 第四章设备管理..................................................................................................1.主机、存储系统运维管理.........................................................................2.应用服务系统运维管理 .............................................................................第五章监控管理和安全管理中心...................................................................1.监控管理 ........................................................................................................2.安全管理中心 ............................................................................................... 第六章网络安全管理......................................................................................... 第七章系统安全管理.........................................................................................1.总则 .................................................................................................................2.系统安全策略 ...............................................................................................3.系统日志管理 ...............................................................................................4.个人操作管理 ...............................................................................................5.惩处 ................................................................................................................. 第八章恶意代码防范管理................................................................................1.恶意代码三级防范机制 .............................................................................1.1恶意代码初级安全设置与防范 ......................................................1.2.恶意代码中级安全设置与防范 ......................................................1.3恶意代码高级安全设置与防范 ......................................................2.防御恶意代码技术管理人员职责 ...........................................................3.防御恶意代码员工日常行为规范 ........................................................... 第九章密码管理.................................................................................................. 第十章变更管理..................................................................................................1.变更 .................................................................................................................2.变更程序 ........................................................................................................2.1变更申请...............................................................................................2.2变更审批...............................................................................................2.3 变更实施 .............................................................................................2.4变更验收...............................................................................................附件一变更申请表...................................................................................附件二变更验收表................................................................................... 第十一章备份与恢复管理................................................................................1.总则 .................................................................................................................2.设备备份 ........................................................................................................3.应用系统、程序和数据备份 ....................................................................4.备份介质和介质库管理 .............................................................................5.系统恢复 ........................................................................................................6.人员备份 ........................................................................................................ 第十二章安全事件处置.....................................................................................1.工作原则 ........................................................................................................2.组织指挥机构与职责..................................................................................3.先期处置 ........................................................................................................4.应急处置 ........................................................................................................4.1应急指挥...............................................................................................4.2应急支援...............................................................................................4.3信息处理...............................................................................................4.4应急结束...............................................................................................5后期处置........................................................................................................5.1善后处置...............................................................................................5.2调查和评估.......................................................................................... 第十三章应急预案管理.......................................................................................................................................................................................................................................................一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
信息安全管理体系制度汇编
XXX公司信息安全管理制度文件版本:V1.0文件编号:XX-XX-P23编写:审核:审批:2012年11月XX日发布2012年12月XX日生效XXX公司本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX公司所有。
未经许可任何人不得将此文件中的任何部分以任何形式进行复制、储存和传播。
变更记录目录XXX公司信息系统信息安全策略总纲 (7)第一章总则 (7)第二章信息安全工作总体方针 (7)第三章总体安全策略 (8)第四章安全管理 (11)第五章制度的制定与发布 (19)第六章制度的评审和修订 (20)第七章制度的授权和审批 (20)第八章附则 (20)附件 (22)XXX公司信息系统信息安全组织及岗位职责管理规定 (31)第一章总则 (31)第二章信息安全组织机构 (32)第三章信息安全组织职责 (33)第四章信息安全岗位职责 (35)第五章信息安全岗位要求 (37)第六章附则 (38)附件 (38)XXX公司信息系统安全检查与审计管理制度 (43)第一章总则 (43)第二章安全检查 (43)第三章安全审计 (44)第四章附则 (46)XXX公司信息系统人员安全管理规定 (47)第一章总则 (47)第二章人员录用 (47)第三章岗位人选 (48)第四章人员转岗和离岗 (48)第五章人员考核 (49)第六章人员惩戒 (50)第七章人员教育和培训 (50)第八章附则 (51)附件 (51)XXX公司信息安全培训和考核管理规定 (57)第一章总则 (57)第二章信息安全培训 (57)第三章信息安全考核 (59)第四章附则 (59)附件 (59)XXX公司信息系统第三方人员访问管理规定 (62)第一章总则 (62)第二章第三方访问管理 (62)第三章第三方安全要求 (63)第四章附则 (64)XXX公司政府采购暂行办法 (65)第一章总则 (65)第二章组织与实施 (66)第三章政府采购方式 (68)第四章政府采购程序 (70)第五章监督与检查 (72)第六章附则 (72)附件 (73)XXX公司信息系统工程实施管理制度 (81)第一章总则 (81)第二章工程实施管理 (81)第三章实施过程控制方法 (82)第四章实施人员行为准则 (84)第五章附则 (85)XXX公司信息系统测试验收管理规定 (86)第一章总则 (86)第二章测试验收管理 (86)第三章附则 (86)XXX公司信息系统交付管理规定 (88)第一章总则 (88)第二章交付管理 (88)第三章系统交付的控制方法 (88)第四章参与人员行为准则 (89)第五章附则 (90)XXX公司信息系统等级测评管理规定 (91)第一章总则 (91)第二章等级测评管理 (91)第三章附则 (92)XXX公司机房日志管理制度 (94)第一章总则 (94)第二章机房安全管理 (94)第三章附则 (96)附件 (96)《机房设备清单》 (105)《线路维护记录表》 (106)《设备维修记录表》 (106)《故障处理单》 (108)《网络设备巡检记录表》 (108)《机房值班记录(每日)》 (110)《值班故障报告》 (111)XXX公司办公环境安全管理办法 (112)第一章总则 (112)第二章办公环境安全管理 (112)第三章附则 (114)XXX公司固定资产管理办法 (116)第一章总则 (116)第二章固定资产管理职责与权限 (117)第三章固定资产的范围、分类、计价 (119)第四章固定资产的日常管理 (122)第五章固定资产处置的管理 (125)第六章附则 (126)XXX公司信息系统介质安全管理制度 (128)第一章总则 (128)第二章介质管理标准 (128)第三章附则 (132)附件 (132)XXX公司信息系统设备安全管理制度 (136)第一章总则 (136)第二章设备安全管理 (136)第三章配套设施、软硬件维护管理 (137)第四章设备使用管理 (138)第五章附则 (139)附件 (140)XXX公司信息系统运行维护和监控管理规定 (145)第一章总则 (145)第二章运行维护和监控工作 (145)第三章安全运行维护和监控作业计划 (146)第四章附则 (148)XXX公司XXX信息系统网络安全管理制度 (149)第一章总则 (149)第二章网络设备管理 (149)第三章用户和口令管理 (150)第四章配置文件管理 (151)第五章日志管理 (151)第六章设备软件管理 (152)第七章设备登录管理 (152)第八章附则 (152)XXX公司信息系统系统安全管理制度 (154)第一章总则 (154)第二章系统安全策略 (154)第三章安全配置 (155)第四章账号安全 (155)第五章日志管理 (156)第六章日常操作流程 (156)附件 (157)XXX公司信息系统恶意代码防范管理规定 (159)第一章总则 (159)第二章恶意代码防范工作原则 (159)第三章职责 (160)第四章工作要求 (160)第五章附则 (161)附件 (161)XXX公司信息系统密码使用管理制度 (165)第一章总则 (165)第二章密码使用管理 (165)第三章密码使用要求 (166)第四章附则 (168)XXX公司信息系统变更管理制度 (169)第一章总则 (169)第二章变更定义 (169)第三章变更过程 (170)第四章变更过程职责 (172)第五章附则 (173)附件 (173)XXX公司信息系统备份与恢复管理制度 (174)第一章总则 (174)第二章备份恢复管理 (175)第三章附则 (176)附件 (177)XXX公司信息系统安全事件报告和处置管理制度 (181)第一章总则 (181)第二章安全事件定义 (181)第三章安全事件级别 (182)第四章安全事件报告和处置管理 (183)第五章安全事件报告和处理程序 (183)第六章附则 (184)附件 (185)XXX公司信息系统应急预案管理制度 (187)第一章总则 (187)第二章组织机构与职责 (187)第三章应急保障 (188)第四章安全事件应急预案框架 (188)第五章应急响应程序 (189)第五章应急预案审查管理 (192)第六章应急预案培训 (192)第七章应急预案演练 (192)第八章附则 (193)XXX公司信息系统补丁安全管理规定 (199)第一章总则 (199)第二章职责与权限 (199)第三章补丁安全管理原则 (200)第四章补丁安全管理细则 (201)第五章附则 (207)XXX公司信息系统信息安全策略总纲第一章总则第一条为贯彻国家对信息安全的规定和要求,指导和规范XXX公司信息系统(以下简称“信息系统”)建设、使用、维护和管理过程中,实现信息系统安全防护的基本目的,提高信息系统的安全性,防范和控制系统故障和风险,确保信息系统安全、可靠、稳定运行,维护社会秩序、公共利益和国家安全,特制定本制度。
信息安全管理制度汇编62340
内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二〇一六年一月目录一、总则 (8)二、安全管理制度 (9)第一章管理制度 (9)1.安全组织结构 (9)1.1信息安全领导小组职责 (9)1.2 信息安全工作组职责 (10)1.3信息安全岗位 (11)2.安全管理制度 (13)2.1安全管理制度体系 (13)2.2安全方针和主策略 (14)2.3安全管理制度和规范 (14)2.4安全流程和操作规程 (16)2.5安全记录单 (16)第二章制定和发布 (17)第三章评审和修订 (18)三、安全管理机构 (19)第一章岗位设置 (19)1.组织机构 (19)2.关键岗位 (21)第二章人员配备 (24)第三章授权和审批 (26)第四章沟通和合作 (28)第五章审核和检查 (30)四、人员安全管理 (32)第一章人员录用 (32)2.招聘原则 (32)3.招聘时机 (32)4.录用人员基本要求 (33)5.招聘人员岗位要求 (33)6.招聘种类 (33)6.1 外招 (33)6.2 内招 (34)7.招聘程序 (34)7.1 人事需求申请 (34)7.2 甄选 (35)7.3 录用 (36)第二章保密协议 (37)第三章人员离岗 (40)第三章人员考核 (43)1.制定安全管理目标 (43)2.目标考核 (43)3.奖惩措施 (44)第四章安全意识教育和培训 (45)1.安全教育培训制度 (45)第一章总则 (45)第二章安全教育的含义和方式 (45)第三章安全教育制度实施 (45)第四章三级安全教育及其他教育内容 (47)第五章附则 (49)第五章外部人员访问管理制度 (51)1.总则 (51)3.进出门禁系统控制 (52)4.携带物品控制 (53)五、系统建设管理 (54)第一章安全方案设计 (54)1.概述 (54)2.设计要求和分析 (55)2.1安全计算环境设计 (55)2.2安全区域边界设计 (56)2.3安全通信网络设计 (57)2.4安全管理中心设计 (57)3.针对本单位的具体实践 (58)3.1安全计算环境建设 (58)3.2安全区域边界建设 (59)3.3安全通信网络建设 (59)3.4安全管理中心建设 (60)3.5安全管理规范制定 (61)3.6系统整体分析 (61)第二章产品采购和使用 (62)第三章自行软件开发 (65)1.申报 (65)2.安全性论证和审批 (65)3.复议 (65)4.项目安全立项 (65)5.项目管理 (66)5.1 概要 (66)5.2正文 (67)第四章工程实施 (69)1.信息化项目实施阶段 (69)2.概要设计子阶段的安全要求 (69)3.详细设计子阶段的安全要求 (70)4.项目实施子阶段的安全要求 (70)第五章测试验收 (72)1.文档准备 (72)2.确认签字 (72)3.专人负责 (72)4.测试方案 (72)第六章系统交付 (75)1.试运行 (75)2.组织验收 (75)第七章系统备案 (77)1.系统备案 (77)2.设备管理 (77)3.投产后的监控与跟踪 (79)第八章安全服务商选择 (81)六、系统运维管理 (82)第一章环境管理 (82)1.机房环境、设备 (82)2.办公环境管理 (83)第二章资产管理 (89)1.总则 (89)2.《资产管理制度》 (89)第三章介质管理 (93)1.介质安全管理制度 (93)1.1计算机及软件备案管理制度 (93)1.2计算机安全使用与保密管理制度 (93)1.3用户密码安全保密管理制度 (94)1.4涉密移动存储设备的使用管理制度 (94)1.5数据复制操作管理制度 (95)1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 (95)第四章设备管理 (97)1.主机、存储系统运维管理 (97)2.应用服务系统运维管理 (97)3.数据系统运维管理 (98)4.信息保密管理 (99)5.日常维护 (99)6.附件:安全检查表 (100)第五章监控管理和安全管理中心 (103)1.监控管理 (103)2.安全管理中心 (104)第六章网络安全管理 (105)第七章系统安全管理 (107)1.总则 (107)2.系统安全策略 (107)3.系统日志管理 (108)4.个人操作管理 (109)5.惩处 (109)第八章恶意代码防范管理 (110)1.恶意代码三级防范机制 (110)1.1恶意代码初级安全设置与防范 (110)1.2.恶意代码中级安全设置与防范 (110)1.3恶意代码高级安全设置与防范 (111)2.防御恶意代码技术管理人员职责 (111)3.防御恶意代码员工日常行为规范 (112)第九章密码管理 (113)第十章变更管理 (115)1.变更 (115)2.变更程序 (115)2.1变更申请 (115)2.2变更审批 (115)2.3 变更实施 (115)2.4变更验收 (115)附件一变更申请表 (116)附件二变更验收表 (117)第十一章备份与恢复管理 (119)1.总则 (119)2.设备备份 (120)3.应用系统、程序和数据备份 (121)4.备份介质和介质库管理 (124)5.系统恢复 (125)6.人员备份 (126)第十二章安全事件处置 (128)1.工作原则 (128)2.组织指挥机构与职责 (129)3.先期处置 (129)4.应急处置 (130)4.1应急指挥 (130)4.2应急支援 (130)4.3信息处理 (130)4.4应急结束 (131)5后期处置 (131)5.1善后处置 (131)5.2调查和评估 (132)第十三章应急预案管理 (133)1.应急处理和灾难恢复 (133)2.应急计划 (134)3.应急计划的实施保障 (135)4.应急演练 (136)一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
信息安全管理制度汇编36975
内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二〇一六年一月目录一、总则 (8)二、安全管理制度 (9)第一章管理制度 (9)1.安全组织结构 (9)1.1信息安全领导小组职责 (9)1.2 信息安全工作组职责 (10)1.3信息安全岗位 (11)2.安全管理制度 (13)2.1安全管理制度体系 (13)2.2安全方针和主策略 (13)2.3安全管理制度和规范 (14)2.4安全流程和操作规程 (15)2.5安全记录单 (16)第二章制定和发布 (17)第三章评审和修订 (18)三、安全管理机构 (19)第一章岗位设置 (19)1.组织机构 (19)2.关键岗位 (21)第二章人员配备 (23)第三章授权和审批 (24)第四章沟通和合作 (26)第五章审核和检查 (28)四、人员安全管理 (30)第一章人员录用 (30)2.招聘原则 (30)3.招聘时机 (30)4.录用人员基本要求 (31)5.招聘人员岗位要求 (31)6.招聘种类 (31)6.1 外招 (31)6.2 内招 (32)7.招聘程序 (32)7.1 人事需求申请 (32)7.2 甄选 (32)7.3 录用 (34)第二章保密协议 (35)第三章人员离岗 (38)第三章人员考核 (41)1.制定安全管理目标 (41)2.目标考核 (41)3.奖惩措施 (42)第四章安全意识教育和培训 (43)1.安全教育培训制度 (43)第一章总则 (43)第二章安全教育的含义和方式 (43)第三章安全教育制度实施 (43)第四章三级安全教育及其他教育内容 (45)第五章附则 (47)第五章外部人员访问管理制度 (48)1.总则 (48)3.进出门禁系统控制 (49)4.携带物品控制 (50)五、系统建设管理 (51)第一章安全方案设计 (51)1.概述 (51)2.设计要求和分析 (52)2.1安全计算环境设计 (52)2.2安全区域边界设计 (53)2.3安全通信网络设计 (54)2.4安全管理中心设计 (54)3.针对本单位的具体实践 (55)3.1安全计算环境建设 (55)3.2安全区域边界建设 (56)3.3安全通信网络建设 (56)3.4安全管理中心建设 (57)3.5安全管理规范制定 (58)3.6系统整体分析 (58)第二章产品采购和使用 (59)第三章自行软件开发 (62)1.申报 (62)2.安全性论证和审批 (62)3.复议 (62)4.项目安全立项 (62)5.项目管理 (63)5.1 概要 (63)5.2正文 (64)第四章工程实施 (66)1.信息化项目实施阶段 (66)2.概要设计子阶段的安全要求 (66)3.详细设计子阶段的安全要求 (67)4.项目实施子阶段的安全要求 (67)第五章测试验收 (69)1.文档准备 (69)2.确认签字 (69)3.专人负责 (69)4.测试方案 (69)第六章系统交付 (72)1.试运行 (72)2.组织验收 (72)第七章系统备案 (74)1.系统备案 (74)2.设备管理 (74)3.投产后的监控与跟踪 (76)第八章安全服务商选择 (78)六、系统运维管理 (79)第一章环境管理 (79)1.机房环境、设备 (79)2.办公环境管理 (80)第二章资产管理 (86)1.总则 (86)2.《资产管理制度》 (86)第三章介质管理 (90)1.介质安全管理制度 (90)1.1计算机及软件备案管理制度 (90)1.2计算机安全使用与保密管理制度 (90)1.3用户密码安全保密管理制度 (91)1.4涉密移动存储设备的使用管理制度 (91)1.5数据复制操作管理制度 (92)1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 (92)第四章设备管理 (94)1.主机、存储系统运维管理 (94)2.应用服务系统运维管理 (94)3.数据系统运维管理 (95)4.信息保密管理 (96)5.日常维护 (96)6.附件:安全检查表 (97)第五章监控管理和安全管理中心 (100)1.监控管理 (100)2.安全管理中心 (101)第六章网络安全管理 (102)第七章系统安全管理 (104)1.总则 (104)2.系统安全策略 (104)3.系统日志管理 (105)4.个人操作管理 (106)5.惩处 (106)第八章恶意代码防范管理 (107)1.恶意代码三级防范机制 (107)1.1恶意代码初级安全设置与防范 (107)1.2.恶意代码中级安全设置与防范 (107)1.3恶意代码高级安全设置与防范 (108)2.防御恶意代码技术管理人员职责 (108)3.防御恶意代码员工日常行为规范 (109)第九章密码管理 (110)第十章变更管理 (112)1.变更 (112)2.变更程序 (112)2.1变更申请 (112)2.2变更审批 (112)2.3 变更实施 (112)2.4变更验收 (112)附件一变更申请表 (113)附件二变更验收表 (114)第十一章备份与恢复管理 (116)1.总则 (116)2.设备备份 (117)3.应用系统、程序和数据备份 (118)4.备份介质和介质库管理 (121)5.系统恢复 (122)6.人员备份 (123)第十二章安全事件处置 (124)1.工作原则 (124)2.组织指挥机构与职责 (124)3.先期处置 (125)4.应急处置 (126)4.1应急指挥 (126)4.2应急支援 (126)4.3信息处理 (126)4.4应急结束 (127)5后期处置 (127)5.1善后处置 (127)5.2调查和评估 (128)第十三章应急预案管理 (129)1.应急处理和灾难恢复 (129)2.应急计划 (130)3.应急计划的实施保障 (131)4.应急演练 (132)一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
信息安全管理制度汇编
内部资料注意保存@ XXXXXXXXXX信息安全制度汇编;XXXXXXXXXX二〇一六年一月目录一、总则 (6)二、安全管理制度 (7)第一章管理制度 (7)1.安全组织结构 (7)信息安全领导小组职责 (7)信息安全工作组职责 (8)信息安全岗位 (9)2.安全管理制度 (11)安全管理制度体系 (11)安全方针和主策略 (12)安全管理制度和规范 (12)安全流程和操作规程 (14)安全记录单 (14)第二章制定和发布 (15)第三章评审和修订 (16)三、安全管理机构 (17)第一章岗位设置 (17)1.组织机构 (17)2.关键岗位 (19)第二章人员配备 (21)第三章授权和审批 (22)第四章沟通和合作 (24)第五章审核和检查 (26)四、人员安全管理 (28)第一章人员录用 (28)1.组织编制 (28)2.招聘原则 (28)3.招聘时机 (28)4.录用人员基本要求 (29)5.招聘人员岗位要求 (29)6.招聘种类 (29)外招 (29)内招 (30)7.招聘程序 (30)人事需求申请 (30)甄选 (30)录用 (32)第二章保密协议 (33)第三章人员离岗 (35)第三章人员考核 (37)1.制定安全管理目标 (37)2.目标考核 (38)3.奖惩措施 (38)第四章安全意识教育和培训 (39)1.安全教育培训制度 (39)第一章总则 (39)第二章安全教育的含义和方式 (39)第三章安全教育制度实施 (39)第四章三级安全教育及其他教育内容 (41)第五章附则 (43)第五章外部人员访问管理制度 (44)1.总则 (44)2.来访登记控制 (44)3.进出门禁系统控制 (45)4.携带物品控制 (46)五、系统建设管理 (47)第一章安全方案设计 (47)1.概述 (47)2.设计要求和分析 (48)安全计算环境设计 (48)安全区域边界设计 (49)安全通信网络设计 (50)安全管理中心设计 (50)3.针对本单位的具体实践 (51)安全计算环境建设 (51)安全区域边界建设 (52)安全通信网络建设 (52)安全管理中心建设 (53)安全管理规范制定 (54)系统整体分析 (54)第二章产品采购和使用 (55)第三章自行软件开发 (58)1.申报 (58)2.安全性论证和审批 (58)3.复议 (58)4.项目安全立项 (58)概要 (59)正文 (60)第四章工程实施 (62)1.信息化项目实施阶段 (62)2.概要设计子阶段的安全要求 (62)3.详细设计子阶段的安全要求 (63)4.项目实施子阶段的安全要求 (63)第五章测试验收 (65)1.文档准备 (65)2.确认签字 (65)3.专人负责 (65)4.测试方案 (65)第六章系统交付 (68)1.试运行 (68)2.组织验收 (68)第七章系统备案 (70)1.系统备案 (70)2.设备管理 (70)3.投产后的监控与跟踪 (72)第八章安全服务商选择 (74)六、系统运维管理 (75)第一章环境管理 (75)1.机房环境、设备 (75)2.办公环境管理 (76)第二章资产管理 (81)1.总则 (81) (81)第三章介质管理 (85)1.介质安全管理制度 (85) (85) (85) (86) (86) (87)87第四章设备管理 (89)1.主机、存储系统运维管理 (89)2.应用服务系统运维管理 (89) (91) (91) (92)第五章监控管理和安全管理中心 (94)1.监控管理 (94)2.安全管理中心 (95)第六章网络安全管理 (96)第七章系统安全管理 (98)1.总则 (98)2.系统安全策略 (98)3.系统日志管理 (99)4.个人操作管理 (100)5.惩处 (100)第八章恶意代码防范管理 (101)1.恶意代码三级防范机制 (101)恶意代码初级安全设置与防范 (101).恶意代码中级安全设置与防范 (101)恶意代码高级安全设置与防范 (102)2.防御恶意代码技术管理人员职责 (102)3.防御恶意代码员工日常行为规范 (103)第九章密码管理 (104)第十章变更管理 (106)1.变更 (106)2.变更程序 (106)变更申请 (106)变更审批 (106)变更实施 (106)变更验收 (106)附件一变更申请表 (107)附件二变更验收表 (108)第十一章备份与恢复管理 (109)1.总则 (109)2.设备备份 (110)3.应用系统、程序和数据备份 (111)4.备份介质和介质库管理 (114)5.系统恢复 (115)6.人员备份 (116)第十二章安全事件处置 (117)2.组织指挥机构与职责 (117)3.先期处置 (118)4.应急处置 (119)应急指挥 (119)应急支援 (119)信息处理 (119)应急结束 (120)5后期处置 (120)善后处置 (120)调查和评估 (121)第十三章应急预案管理 (122) (122) (123) (124) (125)一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
学海无 涯 责保存,按规定使用、借阅、移交、销毁。
四、其他 对违反以上规定的行为视情节轻重,结合国家、省、市及本部相关规定处理,并追究有关 人员的责任。
学海无 涯
机房管理制度
为确保计算机网络(内部信息平台)系统安全、高效运行和各类设备运行处于良好状态 , 正确使用和维护各种设备、管理有章、职责明确,特制定本制度。
第二条 涉及国家秘密信息的安全工作实行领导负责制。 第三条 信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒 工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高 网 络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制 定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。 信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科 报告; 5、涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密 的 法律、法规执行; 6、涉及国家秘密信息,未经信息安全分管领导批准不得在网络上发布和明码传输; 7、涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀。 第四条 信息加密 1、涉及国家秘密的信息,其电子文档资料应当在涉密介质中加密单独存储;
4、机房内不能存放任何食品,严禁在机房内存放杂物,严禁在机房内使用其他用电器。 四、运行维护规定 1、配电柜一年进行至少两次维护检查。内容包括:清扫灰尘检查各接点、触电的温升, 松紧。 2、机房专用空调每年进行两次巡检,维护内容:清扫及更换各过滤网、清洗或更换 加 湿罐、清扫室外机、测量工作压力、测量工作电压、电流、检查下水管道是否畅通及漏 水报 警是否正常、进行软化水更换。
学海无 涯
计算机管理制度
为保证计算机的正常运行,确保计算机安全运行,根据国家、省、市有关法律法规和政 策规定,结合本项目部实际情况,制定本制度。
一、管理范围划分 本部计算机分为涉密和非涉密两部分,涉密计算机指主要用于储存或传输有关人事、财 务、经济运行、信息安全等涉及国家、单位秘密、危害国家安全的图文信息的计算机。非涉 密计算机指用于储存或传输可以向社会公开发表或公布的图文信息的计算机。信息安全科、 运行科、人事科和机关财务各一台计算机按照涉密要求进行管理。 二、非涉密计算机日常管理 1、各科室的计算机,科室负责人为管理第一责任人,承担本科室计算机操作的管理、 保密和安全,以防止误操作造成系统紊乱、文件丢失等故障。 2、计算机主要是用于业务数据的处理及信息传输,提高工作效率。严禁上班时间用计算 机玩游戏及运行一切与工作无关的软件。 3、新购的计算机、初次使用的软件、数据载体应经我部计算机管理员检测,确认无病毒 和有害数据后,方可投入使用。 4、计算机操作人员发现本科室的计算机感染病毒,应立即中断运行,并与计算机管理 员 联系及时消除。 5、爱护机关计算机设备,保持计算机设备的干净整洁。 三、涉密计算机日常管理 1、涉密的计算机内的重要文件由专人集中加密保存,不得随意复制和解密,未经加密 的 重要文件不能存放在与国际联网的计算机上。 2、对需要保存的涉密信息,可到信息安全科转存到光盘或其他可移动的介质上。存储涉 密信息的介质应当按照所存储信息的最高密级标明密级,并按相应密级的文件管理。 3、存储过国家秘密信息的计算机媒体的维修应保证所存储的国家秘密信息不被泄露 。 对报废的磁盘和其他存储设备中的秘密信息由技术人员进行彻底清除。 4、涉密的计算机信息需打印输出必须到信息安全科专用打印机打印输出,打印出的文件 应当按照相应密级的文件管理;打印过程中产生的残、次、废页应当及时在信息安全科专用 设备粉碎销毁。 5、对信息载体(软盘、光盘等)及计算机处理的业务报表、技术数据、图纸要有专人负
学海无 涯
网络安全管理制度
一、一般规定 1、未经网管批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息 平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。 2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。 3、机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和 传 播妨害单位稳定的有关信息。 4、各科室应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行 恢 复。 二、帐号管理 1、网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、 口 令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。 2、网络(内部信息平台)管理员为用户设置明码口令,用户可以根据自己的保密情况 进行修改口令,用户应对工作站设置开机密码和屏保密码。 3、用户帐号下的数据属于用户私有数据,当事人具有存入权限,管理员具有管理和 备 份存取权限。 4、网络(内部信息平台)管理员根据有关帐号管理规则对用户帐号执行管理,并对用 户帐号及数据的安全和保密负责。 5、网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的 密 码、帐号等保密信息等资料泄露出去。 三、网络管理员职责 1、协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源 共享策略。 2、负责公用网络(内部信息平台)实体,如服务器、交换机、集线器、防火墙、网线、 接插件等的维护和管理。 3、负责服务器和系统软件的安装、维护、调整及更新。 4、负责网络(内部信息平台)账号管理,资源分配,数据安全和系统安全。 5、监视网络(内部信息平台)运行,调整参数,调度资源,保持网络(内部信息平台 ) 安全、稳定、畅通。
防水:要经常检查机房的防漏水情况,空调、门窗及屋顶。 防盗:严格机房进出管理,门禁要 24*7 小时工作,严格执行进出机房的登记制度、严 格执行进出机房不得携带其他物品的规定。 防虫害:经常检查机房的顶棚上和地板下的封闭情况,不得在机房内在放食品,不得在 机房内堆放杂物。 2、网络(内部信息平台)运行安全管理
、信息内容的安全。 侧重于保护信息的机密性、完整性和真实性。系统管理员应对所 负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息 等。
3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的 信 息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害 。
学海无涯 (3)机房设备的巡视:对机房空调系统的运行情况进行经常性巡视,密切注意工作负 荷、电池容量、室内温湿度等数值,以保证网络(内部信息平台)安全、正常的运行;主 配 电柜的供电电压、电流;空调的工作状况;认真做好巡视记录。
三、日常管理规定 1、到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。 2、到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀 性 物体等危险物品进入机房。 3、到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备,严 禁 在机房大声喧哗、玩电子游戏、聊天等。
学海无涯
2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储; 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储;; 4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视 情况及国家的有关规定采用文件加密传输或链路传输加密。 第五条 任何单位和个人不得从事以下活动: 1、利用信息网络系统制作、传播、复制有害信息; 2、入侵他人计算机; 3、未经允许使用他人在信息网络系统中未公开的信息; 4、未经授权对网络(内部信息平台)系统中存储、处理或传输的信息(包括系统文 件 和应用程序)进行增加、修改、复制和删除等; 5、未经授权查阅他人邮件; 6、盗用他人名义发送电子邮件; 7、故意干扰网络(内部信息平台)的畅通运行; 8、从事其他危害信息网络(内部信息平台)系统安全的活动。 第六条 本制度自发布之日起施行,凡与本制度有冲突的均以本制度为准。
3、机房防雷设施每年检查一次,维护内容:检测个防雷器的可靠性、检查接地状况。 4、机房每年进行两次专业保洁,维护内容:对机房的地板进行调整和清洁、对底板下、 天棚板上进行清洁。
五、安全保密规定 1、做好防雷、防火、防水、防盗、防虫害。 防雷:按国家的规定对机房的设备进行接地。每年要按国家的规定对防雷设施及设备接 地进行检测。 防火:需按国家的规定在计算机机房进行设置消防设施。设施每年要按国家规定进行检 测。