信息安全管理制度..

信息工作管理制度

第一章总则

第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。

第二条本制度适用范围为信息与监控中心，其他单位可参照执行。

第二章岗位管理

第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。

第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。

第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。

人员岗位及职责

（一）系统管理员

系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。

1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。

2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。

3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。

4、负责指定的服务器操作系统的管理口令修改。

5、负责制定、执行服务器及存储设备故障应急预案。

（二）业务管理员（业务联系人）

业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。

1、负责维护业务系统的运行及业务系统的安装环境。

2、负责制定、执行业务系统及其数据的备份计划。

3、负责业务数据的数据备份及数据恢复。

4、负责制定执行本业务系统的故障应急预案。

（三）网络管理员

网络管理员是网络及网络设备运行管理的管理人员，业务上应具备规划大型网络的能力，网络故障分析的能力。

1、负责日常监控网络运行，保持网络安全、稳定、畅通。

2、负责网络、安全设备的资料登记，软件保管及设备维修。

3、负责网络、安全设备的配置情况及针对相关业务配置参数设置，并备份各个设备的配置文件。

4、负责网络、安全设备的编号和调配。

5、负责网络资源规划和网络布线配线架的管理。

6、负责对网络的效能进行评价，提出网络结构、网络技术和网络管理的改进措施。

7、负责制定和执行网络故障应急预案。

（四）安全管理员

安全管理员是网络安全、系统安全进行风险评估的管理人员，业务上应具备文字处理的能力、划分系统保护定级及系统恢复定级的能力、协调沟通的能力。

1、负责定期对网络、操作系统等进行安全漏洞扫描，通知各相关技术人员并给予指导。

2、负责组织实施信息安全风险评估，报告。

3、负责组织人员进行安全培训。

4、负责确定系统保护定级和划分系统恢复等级。

5、负责配合省公安厅和经信委的信息安全检查。

（五）安全审计员

安全审计员是审计网络安全策略、安全防护、角色权限的管理人员。业务上应具备办公及应用软件安全分析的能力、系统安全风险策略及数据安全风险策略分析的能力、组织协调的能力。

1、负责办公软件和应用软件的安装和维护。

2、负责重要系统的用户角色权限的审计。网络安全、病毒防护的审计。

3、负责数据备份与灾难恢复的审计。

4、协助进行网络带宽分配、网络访问控制、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进行测试。

5、负责重要系统软硬件获取应用的审计。

6、负责应急预案的审计，并组织应急演练。

第六条信息工作人员与机房运维人员都必须遵守《山东省环境保护厅环境信息网络管理维护规范》，签订信息安全责任书。

第七条对违反信息安全操作规范或严重疏忽，根据造成的后果的大小，可对信息工作人员的当年年度考核评定为不合格或职务晋升、评选先进等实行一票否决。人事关系隶属其他部门人员通知相关部门负责人，根据厅有关规定进行

处理。造成重大事故，构成犯罪的，将追究刑事责任。

第八条信息工作人员离岗必须交接的内容：

1、将领用的办公电脑、U盘、移动硬盘等办公品办理退还手续。

2、本岗位所有的工作资料。

3、经办未了的事项。

第九条离岗交接要求

1、离岗人员必须认真填写离岗表格资料，填写资料字迹要清晰。

2、离岗表格资料由信息主管部门负责对离岗人员材料进行评审。

3、资料、文件、未完工作交接时，需由信息主管部门确定监交人，监督移交是否完整、准确，并帮助移交工作顺利完成。资料交接清单必须有移交人、交接人以及监交人三方的签字认可。

4、离岗交接未通过评审者，人事部门不得为其办理离职手续。

5、交接时可能会出现资料交接不完全，人员离岗后，信息主管部门保留对移交人的追索权力。

第十条根据《信息安全等级保护检查工作规范》的规定，信息部门每年举办一次信息安全技术培训。

第三章网络管理

第十一条根据《山东省环境保护厅环境信息网络管理维护规范》标准，网络管理员每天检查网络设备的运行情况。

第十二条网络管理员日常检查各网络运行状态，记录网络运行各项参数。

日常检查内网管理软件、网络与安全管理软件的运行情况。及时执行网络与安全管理软件升级维护，并记录网络安全日常维护表。

第十三条网络管理员配合安全审计员定期对网络带宽分配、网络访问控制、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进行测试。

第十四条网络资源及网络参数变更，必须有机房负责人进行审批。

第十五条出现网络异常，网络管理员及时报告机房负责人，核实原因。如网络出现故障或事故，应按照《信息安全应急预案》处理，及时维修、更换备机。

第十六条网络、安全设备接入网络，必须经过运维管理部门审批。发现私自接入网络行为的，给予警告、记过处分，造成不良后果的，可以撤职。

第十七条利用网络从事非法活动的，将根据有关法