等级保护-中心机房管理制度
机房等级保护标准
机房等级保护标准
机房等级保护标准如下:
1. A级:是最高级别,主要是指涉及国计民生的机房设计。
2. B级:定义为电子信息系统运行中断将造成一定的社会秩序混乱和一定的经济损失的机房。
3. C级:为基本型,在场地设备正常运行情况下,应保证电子信息系统运行不中断。
A级或B级范围之外的电子信息系统机房为C级。
以上内容仅供参考,建议咨询专业人士获取更准确的信息。
除了以上提到的机房等级保护标准,还有一些其他重要的方面需要考虑。
例如,在机房设计中,需要考虑到防尘、防潮、防雷、防火等多个方面,以确保机房的安全和稳定运行。
此外,机房的布局和设备摆放也需要根据实际情况进行合理的设计和规划,以充分利用空间,提高工作效率。
在机房的运行管理中,需要制定严格的管理制度和操作规程,确保机房的安全和电子设备的正常运行。
同时,还需要定期对机房进行维护和检查,及时发现和解决潜在的问题和故障。
另外,随着信息技术的发展,机房的智能化管理也逐渐成为趋势。
通过引入智能化的管理系统和设备,可以实现机
房的自动化监控和管理,提高管理效率和管理质量。
综上所述,机房等级保护标准是机房设计和运行管理的重要依据和规范,需要根据实际情况进行合理的规划和设计,以确保机房的安全和稳定运行。
国家信息安全等级第二级保护制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
计算机机房管理制度范本(2篇)
计算机机房管理制度范本一、概述计算机机房是本单位信息化建设的核心基础设施之一,为了保证计算机机房的正常运行和安全使用,特制定本管理制度。
二、管理目标1. 提供稳定可靠、高效安全的计算机机房环境,保障信息系统稳定运行;2. 确保计算机机房设备合理使用和投资效益最大化;3. 提供统一的计算机机房管理标准,规范机房使用行为。
三、机房使用权限管理1. 计算机机房使用权限必须经过认证和授权后方可使用;2. 申请人需提交申请表,附上使用目的、时间以及所需设备清单等相关信息;3. 申请人需参加相关培训并签署机房使用及保密协议;4. 管理部门对申请进行审批,批准后方可使用;5. 每次使用计算机机房需提前预约,未经预约禁止进入;6. 离职或调职人员的机房权限将被及时撤销。
四、机房设备管理1. 机房设备的配置、维护和更换由专业技术人员负责;2. 机房设备需定期巡检,确保设备运行正常;3. 各类设备入库前需编制设备入库清单,并进行资产管理;4. 对设备的更新和更换需提前计划,并备份相关数据;5. 机房设备使用过程中发现故障需及时报修,确保设备处于正常工作状态。
五、机房环境管理1. 机房进出口要设有门禁,仅限授权人员进入;2. 机房应保持干燥、通风,并定期消毒;3. 严禁将易燃、易爆物品进入机房;4. 机房内不得吸烟、饮食或随意堆放杂物;5. 机房内温度、湿度等环境参数需保持稳定,设备存放布局合理;6. 机房需定期进行除尘和设备散热检测,确保设备正常运行。
六、机房安全管理1. 确保机房的物理安全,禁止非授权人员进入;2. 机房主机需设有密码锁或其他物理锁定装置,避免擅自操作;3. 机房应配备UPS电源系统,并定期检测和维护;4. 机房内设备运行异常时应及时报警,并妥善处理;5. 机房应设置监控设备,对机房内外的安全情况进行实时监测。
七、机房数据备份与安全1. 机房应建立数据备份和灾难恢复机制,并定期进行数据备份;2. 机房备份数据需储存于安全可靠的地方,确保数据完整性和可恢复性;3. 对机房存储介质进行定期检测,确保数据存储的安全和可靠性;4. 机房内严格限制外部存储介质的使用,防止病毒感染和数据泄漏。
等保三级安全管理制度
一、总则第一条为确保信息系统安全,保障国家秘密、商业秘密和个人信息安全,根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等法律法规,结合本单位的实际情况,制定本制度。
第二条本制度适用于本单位所有信息系统,包括但不限于内部办公系统、业务系统、数据库系统、网站系统等。
第三条信息系统安全等级保护工作应遵循以下原则:1. 预防为主、防治结合;2. 综合管理、分步实施;3. 安全责任到人、制度明确;4. 安全教育与培训相结合。
二、组织机构及职责第四条成立信息系统安全等级保护工作领导小组,负责统筹协调、监督指导等保三级安全管理工作。
第五条信息系统安全等级保护工作领导小组下设以下工作机构:1. 安全管理办公室:负责制定、修订和实施等保三级安全管理制度,组织开展安全培训和宣传教育工作;2. 技术保障部门:负责信息系统安全等级保护的技术支持、安全检查和应急响应等工作;3. 运维管理部门:负责信息系统安全等级保护的日常运维管理,确保系统安全稳定运行;4. 法规事务部门:负责信息系统安全等级保护的法律法规咨询、合规审查和纠纷处理等工作。
第六条各工作机构的职责如下:1. 安全管理办公室:(1)制定、修订和实施等保三级安全管理制度;(2)组织开展安全培训和宣传教育工作;(3)监督、检查信息系统安全等级保护工作的落实情况;(4)组织安全评估、整改和验收工作。
2. 技术保障部门:(1)负责信息系统安全等级保护的技术支持;(2)组织开展安全检查、漏洞扫描和风险评估等工作;(3)组织应急响应,处理信息系统安全事件;(4)定期对信息系统进行安全加固和升级。
3. 运维管理部门:(1)负责信息系统安全等级保护的日常运维管理;(2)确保信息系统安全稳定运行;(3)对信息系统进行定期巡检、备份和恢复;(4)及时处理系统故障和异常情况。
4. 法规事务部门:(1)负责信息系统安全等级保护的法律法规咨询;(2)组织开展合规审查和纠纷处理工作;(3)提供法律支持和协助。
公司数据中心机房安全管理办法
XX有限公司数据中心机房安全管理办法第一章总则第一条为加强对公司机房的管理,有效保障机房内基础设施和计算机信息系统的安全、稳定、高效运行,依据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等国家、省、市有关法规政策和公司管理制度,结合公司实际,制定本办法。
第二条本办法适用于公司数据中心机房的管理。
第三条本办法所指数据中心机房(以下简称“机房”)是指容纳并集中运行公司信息系统的主机、服务器、存储、网络等设备、设施的核心机房。
第四条机房日常管理工作,由网络安全与信息化办公室(以下简称“网信办”)负责。
第五条机房管理应遵循以下原则:(一)安全第一原则。
机房的运行和使用必须严格遵守相关安全规定,保障人员、设施、设备及环境的安全,其中首先要保障人员的人身安全。
(二)设备专用原则。
机房仅放置投入运营的信息系统所需设施、设备,含开发、测试用计算机设备。
(三)统一管理原则。
机房的运行和使用由网信办统一管理。
(四)规范操控原则。
在机房内进行的所有工作都应严格按照本制度相关规定执行,不得违规操作。
第二章人员准入管理第六条机房进出控制采用电子门禁系统,门禁准入仅授权给公司网信办管理人员。
第七条机房门禁准入人员调离工作岗位,离岗时必须作注销处理。
第八条非授权人员需进入机房时,首先向网信办提出,根据工作需要,由相关人员全程陪同进出机房,并在《机房进出登记表》)中进行登记。
第三章人员行为管理第九条严禁将各种液体、食品等与工作无关的物品带入机房。
第十条机房工作人员应严格按照各信息系统操作规程规范操作。
只允许使用经本单位授权的软件,严禁在任何计算机上使用非授权软件。
第十一条所有进入机房人员只能在工作任务相关的区域内从事授权活动,严禁从事非授权活动和与工作无关的活动。
第十二条未经许可不得将机房内任何物品带出机房。
第十三条由公司网信办陪同人员负责监督进入机房的第三方工作人员的各项行为。
第四章机房环境管理第十四条机房内禁止乱堆乱放设备、资料、工具等,保持机房干净整洁。
二级等保安全管理制度
一、总则为加强信息安全工作,保障信息系统安全稳定运行,根据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》等相关法律法规,结合本单位实际情况,特制定本制度。
二、组织机构及职责1. 信息安全领导小组:负责制定、修订和监督实施信息安全管理制度,协调解决信息安全工作中的重大问题。
2. 信息安全管理部门:负责信息安全日常管理工作,包括安全策略制定、安全检查、安全事件处理等。
3. 网络安全部门:负责网络设备的配置、维护和安全管理,确保网络安全。
4. 应用系统管理部门:负责应用系统的安全配置、升级和维护,确保应用系统安全稳定运行。
5. 员工:遵守信息安全管理制度,提高信息安全意识,确保个人信息和单位信息的安全。
三、安全管理制度1. 安全物理环境管理(1)机房场地选择:机房场地应选择在具有防震、防风、防雨等能力的建筑内,避免设在建筑物的顶层或地下室。
(2)物理访问控制:机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
(3)防盗窃和防破坏:设备或主要部件应进行固定,并设置明显的不易除去的标识;通信线缆应铺设在隐蔽安全处。
(4)防雷击:各类机柜、设施和设备等通过接地系统安全接地。
(5)防火:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
(6)防水和防潮:采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;防止机房内水蒸气结露和地下积水的转移与渗透。
2. 网络安全管理(1)网络设备配置:按照国家相关标准,对网络设备进行安全配置,确保设备安全稳定运行。
(2)网络访问控制:实施严格的网络访问控制策略,限制非法访问。
(3)网络安全监测与预警:建立完善的安全监测和预警系统,及时发现和处理网络安全事件。
3. 应用系统安全管理(1)安全配置:按照国家相关标准,对应用系统进行安全配置,确保系统安全稳定运行。
(2)安全升级:定期对应用系统进行安全升级,修复已知漏洞。
国家的信息安全系统等级第二级保护规章制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
网络安全等级保护信息安全管理制度
网络安全等级保护信息安全管理制度机房管理制度为规范机房内部管理,确保系统安全可靠运行,特制定本制度。
一、机房内部实行区域安全责任制,有关责任人对自己相应责任区负责。
区域划分和相应责任人另行作出具体规定;二、工作人员进入机房实行权限管理制度,被授权人员按照权限刷卡进入相应区域;三、参观考察或者监测维修等非工作人员进入机房需经批准并登记,其在机房内的一切活动必须得到允许并接受监督;四、严禁将易燃易爆、强腐蚀、强磁性物品带入机房,未经许可不得将手机等移动通讯设备、摄影摄像设备和与工作无关的移动存储设备带入机房;五、未经允许严禁参观、拍照、录音、录像,禁止在机房内吸烟;六、进入机房必须戴鞋套或更换机房专用拖鞋;七、机房内物品摆放要整齐有序,机器设备要清洁干净,保持良好的卫生环境;严禁在机房内会客接待、大声喧哗,保持安静的工作环境;八、相关责任人要定时检查供电配电系统、空调通风系统、视频监控系统、门禁控制系统和消防安全系统等,确保各配套系统安全正常运转;九、严禁用机房内的计算机运行与工作无关的软件,以防计算机病毒感染;十、严禁随意拆卸设备、私自接线和开关电源等操作;十一、定时查看机房温度、湿度,保持其符合规定范围。
介质管理制度一、本规定所称介质包括:硬盘、软盘、光盘、磁带、数字证书介质(USB Key/IC卡)、系统密钥介质等,分涉密和非涉密两种;二、非涉密介质的使用管理;1、非涉密介质包括通用产品如服务器驱动、防病毒软件系统光盘/软盘等;2、非涉密介质,实行谁使用管理的原则。
三、涉密介质的使用管理;1、涉密介质管理遵循“统一购置、统一标识、统一备案、跟踪管理”的原则;2、实行专人管理。
收发应履行清点、登记、编号、签收等手续,严格登记交接手续。
要按类编号,注明涉密标识,并定期进行检查;3、涉密介质必须存放在安全场所的保密设备里;4、涉密介质严禁在与互联网连接的计算机和个人计算机上使用;5、各类涉密介质未经批准严禁外出使用,更不得外借使用。
信息安全等级保护制度
信息安全等级保护制度一、为了加强医院的计算机信息网络的安全保护,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息信息安全等级保护制度》、《计算机信息安全管理办法》和其它有关法律、法规的规定,制定本制度。
二、本制度适用于我院网络机房、各计算机网络用户。
三、医院信息安全管理工作在医院信息化建设委员会的领导下进行,医院网络管理员必须要对所有网上信息进行巡查。
四、任何科室和个人不得利用医院内部网络或国际互联网危害国家安全、泄露国家和医院内部秘密,不得从事违法犯罪活动,不得在医院内部网络和互联网中故意传播计算机病毒等破坏性程序。
五、任何人不得将含有医院信息的计算机或各种存储介质交予无关人员。
更不得利用医院数据信息获取不当利益。
六、未经允许不得对医院内部网络站点中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
七、网络使用人员应妥善保管各自的用户名和密码,不得将密码交予其他人使用。
八、网络机房由专人负责管理,未经同意,不得进入。
服务器、路由器和交换机的口令由专人负责保管,不得随意外泄,口令的修改及设定需做好专门记录和备案。
九、内部站点禁止USB使用大容量存储设备。
定期检查内网站点是否有非授权使用情况,保证设备正常运行。
做好医院内部网络医疗系统数据的备份工作,确保系统遭破坏后能及时恢复。
十、未经允许,不得中断网络设备及设施的供电线路。
因特殊原因必须停电的,应提前通知网络管理人员。
十一、对于违反上述制度的有关人员,将视情节及危害程度予以教育、经济处罚和行政处罚等措施,触犯法律的将移送公安司法机关依法追究刑事责任。
附件:《核心制度的各层级人员考核细则》十二、信息科技术人员在指定情况下可以使用移动设备。
十三、本制度由信息科制定,解释权、修改权归属信息科。
等级保护信息安全管理规定
信息安全等级保护第三级要求1 第三级基本要求技术要求物理安全物理位置的选择G3本项要求包括:a 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;物理访问控制G3本项要求包括:a 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员;防盗窃和防破坏G3本项要求包括:a 应将主要设备放置在机房内;b 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d 应对介质分类标识,存储在介质库或档案室中;e 应利用光、电等技术设置机房防盗报警系统;f 应对机房设置监控报警系统;防雷击G3本项要求包括:a 机房建筑应设置避雷装置;b 应设置防雷保安器,防止感应雷;c 机房应设置交流电源地线;防火G3本项要求包括:a 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开;防水和防潮G3本项要求包括:a 水管安装,不得穿过机房屋顶和活动地板下;b 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警;防静电G3本项要求包括:a 主要设备应采用必要的接地防静电措施;b 机房应采用防静电地板;温湿度控制G3机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内;电力供应A3本项要求包括:a 应在机房供电线路上配置稳压器和过电压防护设备;b 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;c 应设置冗余或并行的电力电缆线路为计算机系统供电;d 应建立备用供电系统;电磁防护S3本项要求包括:a 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;b 电源线和通信线缆应隔离铺设,避免互相干扰;c 应对关键设备和磁介质实施电磁屏蔽;网络安全结构安全G3本项要求包括:a 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b 应保证网络各个部分的带宽满足业务高峰期需要;c 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d 应绘制与当前运行情况相符的网络拓扑结构图;e 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;f 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机;访问控制G3本项要求包括:a 应在网络边界部署访问控制设备,启用访问控制功能;b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d 应在会话处于非活跃一定时间或会话结束后终止网络连接;e 应限制网络最大流量数及网络连接数;f 重要网段应采取技术手段防止地址欺骗;g 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h 应限制具有拨号访问权限的用户数量;安全审计G3本项要求包括:a 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c 应能够根据记录数据进行分析,并生成审计报表;d 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;边界完整性检查S3本项要求包括:a 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断;入侵防范G3本项要求包括:a 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;b 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警;恶意代码防范G3本项要求包括:a 应在网络边界处对恶意代码进行检测和清除;b 应维护恶意代码库的升级和检测系统的更新;网络设备防护G3本项要求包括:a 应对登录网络设备的用户进行身份鉴别;b 应对网络设备的管理员登录地址进行限制;c 网络设备用户的标识应唯一;d 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;e 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;f 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;g 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h 应实现设备特权用户的权限分离;主机安全身份鉴别S3本项要求包括:a 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;f 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;访问控制S3本项要求包括:a 应启用访问控制功能,依据安全策略控制用户对资源的访问;b 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c 应实现操作系统和数据库系统特权用户的权限分离;d 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e 应及时删除多余的、过期的帐户,避免共享帐户的存在;f 应对重要信息资源设置敏感标记;g 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;安全审计G3本项要求包括:a 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d 应能够根据记录数据进行分析,并生成审计报表;e 应保护审计进程,避免受到未预期的中断;f 应保护审计记录,避免受到未预期的删除、修改或覆盖等;剩余信息保护S3本项要求包括:a 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;b 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;入侵防范G3本项要求包括:a 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;b 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;c 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方持系统补丁及时得到更新;恶意代码防范G3本项要求包括:a 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;b 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;c 应支持防恶意代码的统一管理;资源控制A3本项要求包括:a 应通过设定终端接入方式、网络地址范围等条件限制终端登录;b 应根据安全策略设置登录终端的操作超时锁定;c 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d 应限制单个用户对系统资源的最大或最小使用限度;e 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警;应用安全身份鉴别S3本项要求包括:a 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数;访问控制S3本项要求包括:a 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;d 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;e 应具有对重要信息资源设置敏感标记的功能;f 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;安全审计G3本项要求包括:a 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能;剩余信息保护S3本项要求包括:a 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;b 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除;通信完整性S3应采用密码技术保证通信过程中数据的完整性;通信保密性S3本项要求包括:a 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;b 应对通信过程中的整个报文或会话过程进行加密;抗抵赖G3本项要求包括:a 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;b 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能;软件容错A3本项要求包括:a 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;b 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;资源控制A3本项要求包括:a 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;b 应能够对系统的最大并发会话连接数进行限制;c 应能够对单个帐户的多重并发会话进行限制;d 应能够对一个时间段内可能的并发会话连接数进行限制;e 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;f 应能够对系统服务水平降低到预先规定的最小值进行检测和报警;g 应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源;数据安全及备份恢复数据完整性S3本项要求包括:a 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;b 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;数据保密性S3本项要求包括:a 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;b 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;备份和恢复A3本项要求包括:a 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;b 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;c 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;d 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;管理要求安全管理制度管理制度G3本项要求包括:a 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;b 应对安全管理活动中的各类管理内容建立安全管理制度;c 应对要求管理人员或操作人员执行的日常管理操作建立操作规程;d 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;制定和发布G3本项要求包括:a 应指定或授权专门的部门或人员负责安全管理制度的制定;b 安全管理制度应具有统一的格式,并进行版本控制;c 应组织相关人员对制定的安全管理制度进行论证和审定;d 安全管理制度应通过正式、有效的方式发布;e 安全管理制度应注明发布范围,并对收发文进行登记;评审和修订G3本项要求包括:a 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订;安全管理机构岗位设置G3本项要求包括:a 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;c 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;d 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求;人员配备G3本项要求包括:a 应配备一定数量的系统管理员、网络管理员、安全管理员等;b 应配备专职安全管理员,不可兼任;c 关键事务岗位应配备多人共同管理;授权和审批G3本项要求包括:a 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;b 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;c 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;d 应记录审批过程并保存审批文档;沟通和合作G3a 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;b 应加强与兄弟单位、公安机关、电信公司的合作与沟通;c 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;d 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;e 应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;审核和检查G3本项要求包括:a 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;b 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;c 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;d 应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动;人员安全管理人员录用G3本项要求包括:a 应指定或授权专门的部门或人员负责人员录用;b 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c 应签署保密协议;d 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议;人员离岗G3本项要求包括:a 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;c 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开;人员考核G3本项要求包括:a 应定期对各个岗位的人员进行安全技能及安全认知的考核;b 应对关键岗位的人员进行全面、严格的安全审查和技能考核;c 应对考核结果进行记录并保存;安全意识教育和培训G3本项要求包括:a 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;d 应对安全教育和培训的情况和结果进行记录并归档保存;外部人员访问管理G3本项要求包括:a 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案;b 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行;系统建设管理系统定级G3本项要求包括:a 应明确信息系统的边界和安全保护等级;b 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;c 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;d 应确保信息系统的定级结果经过相关部门的批准;安全方案设计G3本项要求包括:a 应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;b 应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;c 应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;d 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;e 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;产品采购和使用G3本项要求包括:a 应确保安全产品采购和使用符合国家的有关规定;b 应确保密码产品采购和使用符合国家密码主管部门的要求;c 应指定或授权专门的部门负责产品的采购;d 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单;自行软件开发G3本项要求包括:a 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;b 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;c 应制定代码编写安全规范,要求开发人员参照规范编写代码;d 应确保提供软件设计的相关文档和使用指南,并由专人负责保管;e 应确保对程序资源库的修改、更新、发布进行授权和批准;外包软件开发G3本项要求包括:a 应根据开发需求检测软件质量;b 应在软件安装之前检测软件包中可能存在的恶意代码;c 应要求开发单位提供软件设计的相关文档和使用指南;d 应要求开发单位提供软件源代码,并审查软件中可能存在的后门;工程实施G3本项要求包括:a 应指定或授权专门的部门或人员负责工程实施过程的管理;b 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;c 应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则;测试验收G3本项要求包括:。
机房管理制度国标
机房管理制度国标第一章总则第一条为了加强对机房安全的管理,保障信息系统在正常运行状态下提供稳定可靠的服务,根据相关法律法规,结合国家标准和行业规范,制定本机房管理制度。
第二条本制度适用于公司设立的各个机房,包括但不限于数据中心、服务器机房、网络中心等。
机房管理人员应严格依照本制度执行,确保机房的安全性和可靠性。
第三条机房管理人员应具备相关的专业知识和技能,定期接受培训,不断提升自身管理水平,确保机房设施和设备的正常运行。
第四条机房管理人员应按照本制度和相关操作规程,认真履行职责,维护机房的正常运转,并积极开展防护和安全管理工作。
第五条机房管理人员应保持机房设施和设备的整洁和秩序,合理配置和管理机房资源,确保机房安全和效率。
第二章机房管理人员第六条机房管理人员应具备以下基本要求:(一)遵守公司规章制度,服从安排,忠诚履行职责;(二)具有相关专业知识和技能,熟悉机房设施和设备的操作和维护;(三)具备较强的责任心和协调能力,具备较强的应变能力和危机处理能力;(四)遵守机密保密制度,严格保护公司和客户信息安全;(五)具备团队合作精神,能够有效协调各部门之间的关系,解决问题。
第七条机房管理人员应按照公司安排进行轮岗,定期接受培训和考核,不定期进行模拟演练,确保机房管理人员在紧急情况下能够快速、准确地处置问题。
第八条机房管理人员应保持现场卫生整洁,保持良好个人形象,在工作中保持高度的注意力和身心状态。
第三章机房管理制度第九条机房管理制度应包括以下内容:(一)机房安全管理制度:包括机房出入管理、设备安全管理、火灾防范措施等内容;(二)机房设备管理制度:包括设备监控、检修、维护和更新等内容;(三)机房网络管理制度:包括网络拓扑、用户管理、数据备份和恢复等内容;(四)机房应急预案:包括各种突发事件的处理流程和应急响应措施;(五)机房巡检制度:包括定期巡检和不定期抽查;(六)机房管理台账:包括设备清单、维修记录、巡检记录等。
信息安全等级保护
信息安全等级保护二级信息安全等级保护二级备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求.一、物理安全1、应具有机房和办公场地的设计/验收文档机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录3、应配置电子门禁系统三级明确要求;电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录14、应具有短期备用电力供应设备如UPS;短期备用电力供应设备的运行记录、定期检查和维护记录15、应具有冗余或并行的电力电缆线路如双路供电方式16、应具有备用供电系统如备用发电机;备用供电系统运行记录、定期检查和维护记录二、安全管理制度1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程2、应具有安全管理制度的制定程序:3、应具有专门的部门或人员负责安全管理制度的制定发布制度具有统一的格式,并进行版本控制4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何如召开评审会、函审、内部审核等,应具有管理制度评审记录5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式如正式发文、领导签署和单位盖章等----安全管理制度应注明发布范围,并对收发文进行登记.6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长.安全管理制度体系的评审记录7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订.应具有安全管理制度修订记录三、安全管理机构1、应设立信息安全管理工作的职能部门2、应设立安全主管、安全管理各个方面的负责人3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位分工明确,各司其职,数量情况管理人员名单、岗位与人员对应关系表4、安全管理员应是专职人员5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何.6、应设立指导和管理信息安全工作的委员会或领导小组最高领导是否由单位主管领导委任或授权的人员担任7、应对重要信息系统活动进行审批如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等,审批部门是何部门,审批人是何人.审批程序:8、应与其它部门之间及内部各部门管理人员定期进行沟通信息安全领导小组或者安全管理委员会应定期召开会议9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录如会议记录/纪要,信息安全工作决策文档等11、应与公安机关、电信公司和兄弟单位等的沟通合作外联单位联系列表12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制.13、聘请信息安全专家作为常年的安全顾问具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录14、应组织人员定期对信息系统进行安全检查查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况15、应定期进行全面安全检查安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录四、人员安全管理1、何部门/何人负责安全管理和技术人员的录用工作录用过程2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录3、应与录用后的技术人员签署保密协议协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议.5、应及时终止离岗人员的所有访问权限离岗人员所有访问权限终止的记录6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等交还身份证件和设备等的登记记录7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开具有按照离岗程序办理调离手续的记录,调离人员的签字8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等.9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等.10、应对各类人员普通用户、运维人员、单位领导等进行安全教育、岗位技能和安全技术培训.11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训安全教育和培训的结果记录,记录应与培训计划一致12、外部人员进入条件对哪些重要区域的访问须提出书面申请批准后方可进入,外部人员进入的访问控制由专人全程陪同或监督等13、应具有外部人员访问重要区域的书面申请14、应具有外部人员访问重要区域的登记记录记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等五、系统建设管理1、应明确信息系统的边界和安全保护等级具有定级文档,明确信息系统安全保护等级2、应具有系统建设/整改方案3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责4、应具有系统的安全建设工作计划系统安全建设工作计划中明确了近期和远期的安全建设计划5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定配套文件的论证评审记录或文档6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本8、应按照国家的相关规定进行采购和使用系统信息安全产品9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品10、应具有专门的部门负责产品的采购11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录产品选型测试结果文档13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码该软件包的恶意代码检测报告,检测工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试第三方测试机构出示的系统安全性测试验收报告23、应具有工程测试验收方案测试验收方案与设计方案或合同要求内容一致24、应具有测试验收报告25、应指定专门部门负责测试验收工作具有对系统测试验收报告进行审定的意见26、根据交付清单对所交接的设备、文档、软件等进行清点系统交付清单27、应具有系统交付时的技术培训记录28、应具有系统建设文档如系统建设方案、指导用户进行系统运维的文档如服务器操作规程书以及系统培训手册等文档.29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同或安全责任合同书11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录产品选型测试结果文档13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码该软件包的恶意代码检测报告,检测工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试第三方测试机构出示的系统安全性测试验收报告23、应具有工程测试验收方案测试验收方案与设计方案或合同要求内容一致24、应具有测试验收报告25、应指定专门部门负责测试验收工作具有对系统测试验收报告进行审定的意见26、根据交付清单对所交接的设备、文档、软件等进行清点系统交付清单27、应具有系统交付时的技术培训记录28、应具有系统建设文档如系统建设方案、指导用户进行系统运维的文档如服务器操作规程书以及系统培训手册等文档.29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同或安全责任合同书六、系统运维管理1、应指定专人或部门对机房的基本设施如空调、供配电设备等进行定期维护,由何部门/何人负责.2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录3、应指定部门和人员负责机房安全管理工作4、应对办公环境保密性进行管理工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件5、应具有资产清单覆盖资产责任人、所属级别、所处位置、所处部门等方面6、应指定资产管理的责任部门或人员7、应依据资产的重要程度对资产进行标识8、介质存放于何种环境中,应对存放环境实施专人管理介质存放在安全的环境防潮、防盗、防火、防磁,专用存储空间9、应具有介质使用管理记录,应记录介质归档和使用等情况介质存放、使用管理记录10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包如采用防拆包装置、选择安全的物理传输途径、双方在场交付等环节的控制11、应对介质的使用情况进行登记管理,并定期盘点介质归档和查询的记录、存档介质定期盘点的记录12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理.对带出工作环境的存储介质是否进行内容加密并有领导批准.对保密性较高的介质销毁前是否有领导批准送修记录、带出记录、销毁记录13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同防潮、防盗、防火、防磁,专用存储空间14、介质上应具有分类的标识或标签15、应对各类设施、设备指定专人或专门部门进行定期维护.16、应具有设备操作手册17、应对带离机房的信息处理设备经过审批流程,由何人审批审批记录18、应监控主机、网络设备和应用系统的运行状况等19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警20、应具有日常运维的监控日志记录和运维交接日志记录21、应定期对监控记录进行分析、评审22、应具有异常现象的现场处理记录和事后相关的分析报告23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理24、应指定专人负责维护网络安全管理工作25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份网络设备运维维护工作记录26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补.27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份具有网络设备配置数据的离线备份28、系统网络的外联种类互联网、合作伙伴企业网、上级部门网络等应都得到授权与批准,由何人/何部门批准.应定期检查违规联网的行为.29、对便携式和移动式设备的网络接入应进行限制管理30、应具有内部网络外联的授权批准书,应具有网络违规行为如拨号上网等的检查手段和工具.31、在安装系统补丁程序前应经过测试,并对重要文件进行备份.32、应有补丁测试记录和系统补丁安装操作记录33、应对系统管理员用户进行分类比如:划分不同的管理角色,系统管理权限与安全审计权限分离等34、审计员应定期对系统审计日志进行分析有定期对系统运行日志和审计数据的分析报告35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本对员工的恶意代码防范教育的相关培训文档36、应指定专人对恶意代码进行检测,并保存记录.37、应具有对网络和主机进行恶意代码检测的记录38、应对恶意代码库的升级情况进行记录代码库的升级记录,对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报.是否出现过大规模的病毒事件,如何处理39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告40、应具有变更方案评审记录和变更过程记录文档.41、重要系统的变更申请书,应具有主管领导的批准42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统备份文件记录43、应定期执行恢复程序,检查和测试备份介质的有效性44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档45、应对安全事件记录分析文档46、应具有不同事件的应急预案47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实.48、应对系统相关人员进行应急预案培训应急预案培训记录49、应定期对应急预案进行演练应急预案演练记录50、应对应急预案定期进行审查并更新51、应具有更新的应急预案记录、应急预案审查记录.。
信息安全等级保护制度-机房安全管理规定
XXXX有限公司机房安全管理规定2017年12月版本控制备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第一章总则 (1)第二章安全防护 (1)第三章机房值班 (3)第四章机房出入 (3)第五章设备维护 (5)第六章附则 (6)附件 (7)第一章总则第一条为加强XXXX有限公司计算机机房的安全管理工作,保障网络与计算机信息系统安全、稳定运行,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,特制订本规范。
第二条本规定适用于XXXX有限公司各个计算机机房的安全管理工作。
第二章安全防护第三条机房建设应具有空调、消防、防雷击、防静电、防鼠害、防腐蚀、供电保护、接地保护等保护措施,并按照《计算机场地安全要求》(GB 9361-88)、《计算机场地技术条件》(GB 2887-89)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012)等国家标准实行安全保护。
第四条机房内部实行分区防护,采取物理隔离的方式,各区域采用不同的防护措施。
第五条机房建立防尘缓冲带,备有工作鞋或鞋套,做到进门换鞋或带鞋套。
第六条机房应做好防尘。
门窗要严密,机房应保持整洁、干净。
地面清洁,设备无尘。
第七条机房应有紧急照明设备及安全疏散指示标志。
第八条机房电源、地线齐全,UPS负荷配置合理,系统主设备和网络设备电源以及电源开关标有明显告警标识或保护措施。
第九条机房应采用结构化布线系统,配线机柜内如果配备理线架,应做到跳线整齐,排列正规,跳线与配线架统一编号,标记清晰。
配线架及连接端口对线路(信号线)的连接应有记录文档。
机房相关文档应确保资料齐全,按项目分类。
第十条机房及缓冲区域内不得堆放与工作无关的物品、器械。
机房周围要保持清洁,凡路口、过道、门窗附近,不得堆放物品和杂物妨碍交通。
第十一条严禁在机房及操作间吸烟、喝水、吃零食、大声喧哗及无事逗留。
机房的安全管理制度范本
机房的安全管理制度范本机房是现代社会中不可或缺的重要设施,保障机房的安全管理是确保信息系统正常运行的关键。
为了有效管理机房的安全,制定并执行科学严谨的安全管理制度至关重要。
本文将提供一份机房安全管理制度范本,以供参考。
一、总则本机房安全管理制度是为了规范机房内各项安全工作,确保机房信息系统的稳定运行,保护机房资产和用户信息的安全性。
二、机房安全管理责任1.机房管理部门负责制定和修订机房安全管理制度,并监督执行。
2.机房管理员负责机房日常管理和维护工作,具体负责机房的安全检查、设备维护、备份管理等。
三、机房进出管理1.建立严格的进出机房制度,只有获得授权的人员才能进入机房。
2.所有进出机房的人员须通过机房门禁系统的验证,并佩戴有效身份证明。
3.禁止擅自将机房门禁卡、钥匙等交给他人使用,一人一卡、一人一钥匙。
4.记录和管理机房进出人员信息,确保进出机房人员的合法身份。
四、机房设备安全管理1.机房内的设备安装必须符合相关安全规范,确保设备正常运行并防止损坏。
2.机房设备应按规定进行定期巡检和维护,维护记录需详尽准确。
3.机房内设备存放要整齐有序,禁止随意放置物品,确保设备运行安全。
4.机房设备绝不能私自擅自移动、拆卸或改动线路,必要时需向上级汇报并取得相关批准。
五、机房电力安全管理1.机房内电源线路必须由专业人员布线,确保线路安全稳定。
2.机房内电器设备需符合国家安全标准,使用过程中必须注意防火防爆措施。
3.机房内电源设备定期检查,确保电源供应的稳定性和安全性。
4.组织定期的设备漏电检查和维护,确保机房内的电气安全。
六、机房网络安全管理1.建立完善的网络安全管理策略,包括网络防火墙、入侵检测、病毒防护等。
2.网络设备必须设置密码保护,并定期修改密码,确保网络设备的安全性。
3.网络设备和服务器需进行定期升级和修复已知漏洞,防止黑客攻击和非法入侵。
4.加强网络监控,及时发现并处理异常访问行为和网络安全事件。
机房等级保护管理制度
机房等级保护管理制度一、总则为保障机房设备的安全运行、数据的安全存储以及对系统的稳定运行,制定本机房等级保护管理制度。
本制度适用于公司内部使用的机房,明确机房的级别划分、安全管理要求和操作规范,确保机房的安全性和稳定性。
二、机房等级划分1.一级机房:一级机房是指公司核心数据中心,主要承担公司业务系统的运行和数据存储任务,一般采用多机房互备的架构。
2.二级机房:二级机房是指公司非核心业务系统的运行和数据存储任务,一般采用独立机房或者灾备机房。
三、机房保护管理责任1.机房保护管理属于公司的重要安全管理工作,由公司安全保卫部门负责具体实施和监督。
2.机房管理员是机房保护管理的主要责任人员,负责机房的日常管理、安全保卫工作和紧急处理。
四、机房安保措施1.机房入口设置双人认证系统,外来人员需要经过安保部门的授权才能进入机房。
2.机房内设置视频监控系统,全天候监控机房的安全情况。
3.机房设置门禁系统,只允许授权人员进入机房,禁止携带易燃易爆物品进入机房。
4.机房内设置温湿度监测系统,及时监测机房的环境情况。
5.机房设置UPS电源系统和备用发电系统,确保机房的稳定供电。
6.机房内设置消防设备和防火墙,保证机房的消防安全。
五、机房设备管理1.机房所有设备需要设定安全双机制,确保设备的正常运行和数据的安全存储。
2.机房设备需要定期维护和保养,确保设备的正常运行。
3.机房设备需要备份关键数据和系统文件,确保数据不丢失。
六、机房应急处理1.机房发生紧急情况时,机房管理员需要立即报告公司安保部门,并采取相应的应急处理措施。
2.机房紧急事件需要进行记录和分析,总结经验教训,完善应急预案。
七、机房管理细则1.机房内严禁吸烟、饮食和嬉闹,保持机房内整洁干净。
2.机房内禁止私设设备和私拉电线,确保机房设备的安全运行。
3.机房内设备需要定期检查清洁,确保机房环境整洁。
4.机房内人员需要遵守机房管理规定,不得擅自操作或调整设备。
八、附则本机房等级保护管理制度由公司安全保卫部门负责解释,未尽事宜由公司安全保卫部门负责调整和处理。
机房 保密管理制度
机房保密管理制度第一章总则第一条为了加强机房保密管理,保护信息系统的安全,防范信息泄露和网络攻击,维护国家利益和社会秩序,保护用户权益和合法权益,制定本制度。
第二条本制度适用于机房内的保密工作,包括但不限于计算机房、网络中心、服务器机房等。
第三条机房保密管理应以实施宪法和法律、法规为准绳,坚持保护秘密原则、限制秘密范围、建立健全保密管理制度、加强对保密工作负责人员和工作人员的管理和监督,健全保密管理制度,保证机房内信息的安全。
第四条机房保密管理应依据信息安全等级保护的需要,根据信息的重要性、敏感程度、危害程度划分相应的保密等级。
第五条机房保密管理应采取综合防范、智能检测和及时处置的手段,健全保密工作的组织体系和保密管理机制。
第六条机房保密管理应坚持安全第一、预防为主和技术为重点的原则,建立健全安全防护设施,提高机房整体的保密安全水平。
第二章机房保密管理组织体系第七条机房保密管理应当建立健全机构领导负责和专人专岗的工作机制,完善保密管理组织体系。
第八条机房保密工作应当由专门的保密管理机构负责,机构设置应当与机房规模和保密工作需要相适应。
第九条机房保密工作应当配备专职或兼职的保密管理人员,职责范围应当明确,岗位职责应当配备。
第十条保密管理机构应当健全机密工作制度,建立健全信息保密宣传教育和培训制度。
第三章机房保密管理制度第十一条机房保密管理应当建立健全信息安全管理制度和操作规程,加强信息安全技术保障,提高信息安全意识和能力。
第十二条机房保密工作应当建立健全网络安全管理制度,加强网络监控和防护,提高网络安全防护能力。
第十三条机房保密管理应当建立健全物理安全管理制度,加强机房设施的安全管理,提高机房对外界威胁的防范能力。
第十四条机房保密管理应当建立健全电子邮件和通信工具使用管理制度,加强对电子邮件和通信工具的监控和管理。
第十五条机房保密工作应当建立健全保密文件、资料和信息传递、存储、处理等管理制度,加强对保密信息的安全管理。
等级保护管理制度
等级保护管理制度一、制度目的本制度的订立旨在保护企业的核心资源和敏感信息,确保企业的生产经营活动安全、稳定,并规范企业内部信息的使用和分级管理,保护企业的商业机密与利益。
二、适用范围本制度适用于企业内全部员工及外包人员,包含但不限于管理层、技术人员、办公人员等。
三、等级保护分类依据企业的信息敏感程度和安全需求,将企业的信息分为以下几个等级:1. 一级保密信息一级保密信息指对企业核心利益具有重点影响的信息,其泄露或损失将对企业造成严重损害,包含但不限于商业机密、财务数据、研发成绩等。
2. 二级保密信息二级保密信息指具有较高敏感性和保密性的信息,其泄露或损失可能对企业造成损害,包含但不限于合同、客户资料、市场调研等。
3. 三级保密信息三级保密信息指涉及企业内部运营和管理的信息,其泄露或损失可能对企业造成不良影响,包含但不限于员工资料、绩效考核等。
4. 四级普通信息四级普通信息指与企业生产经营活动相关的信息,其泄露或损失对企业影响较小,一般可对内公开,包含但不限于企业公告、员工通知等。
四、等级保护责任1. 管理层责任(1)建立健全等级保护管理制度,并组织实施;(2)对一级和二级保密信息的存储、传输和使用进行严格监控;(3)落实信息安全岗位责任,明确责任人,并进行定期检查;(4)发现违反等级保护规定的行为,及时进行处理和惩罚。
2. 员工责任(1)严格遵守等级保护制度,妥当保管和使用企业信息;(2)对涉及一级和二级保密信息的存储、传输和使用需审批;(3)不得私自复制、传播或泄露企业内部的保密信息;(4)发现信息安全漏洞或风险,应及时向相关部门报告。
五、等级保护措施1. 信息存储(1)一级保密信息应存储在安全密闭的存储区域,必需时可采用加密措施;(2)二级保密信息应存储在密封的柜子或文件夹中,避开未经授权的人员接触;(3)三级保密信息应存储在需要特定权限才略访问的电子系统中;(4)四级普通信息可存储在普通文件夹或电子系统中。
一级等保机房标准要求
一级等保机房标准要求一、概述一级等保机房是指在信息系统安全等级保护中,按照规定的安全保护等级要求建设的机房。
本文将详细介绍一级等保机房的标准要求,包括物理安全、网络安全、主机安全、应用安全、数据安全、备份与恢复、安全管理制度、信息安全、网络安全监测、安全审计、应急预案、人员管理、物理环境安全、电力保障和机房消防安全等方面。
二、物理安全1. 机房应设置门禁系统,严格控制人员进出,防止未经授权人员进入机房。
2. 机房应安装监控摄像头,对机房进行全方位的监控,并记录所有进出机房的人员和活动。
3. 机房应配备消防报警系统和灭火设备,确保在火灾发生时能够及时发现并扑灭火源。
4. 机房应安装防雷设施,防止雷电对机房设备和人员造成危害。
三、网络安全1. 机房应使用可信的网络设备和系统,保证网络设备的性能和安全性。
2. 机房应实施访问控制策略,对访问网络资源的用户进行身份认证和授权管理。
3. 机房应使用防火墙、入侵检测和防御系统等安全设备,防止网络攻击和非法访问。
4. 机房应实施加密技术和虚拟专用网络(VPN)等措施,保护数据的传输安全和完整性。
四、主机安全1. 机房应使用可信的服务器和终端设备,保证设备的性能和安全性。
2. 机房应安装杀毒软件和恶意软件防护措施,防止病毒和恶意软件的传播。
3. 机房应设置强密码策略,对主机设备的登录和操作进行严格的密码管理。
4. 机房应实施漏洞扫描和安全加固措施,及时发现并修复系统漏洞。
五、应用安全1. 机房应使用可信的应用软件和应用程序,保证应用的性能和安全性。
2. 机房应设置应用系统的访问控制策略,对访问应用系统的用户进行身份认证和授权管理。
3. 机房应实施应用系统的数据加密和完整性保护措施,确保数据的机密性和完整性。
4. 机房应设置应用系统的日志和监控策略,对应用系统的操作进行记录和监控。
六、数据安全1. 机房应实施数据加密和完整性保护措施,确保数据的机密性和完整性。
2. 机房应设置数据备份和恢复策略,确保数据的可靠性和可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中心机房管理制度为科学、有效地管理中心机房,保证网络系统安全、高效运行和使用,结合本局网络结构及运行情况,特制定如下制度,请遵照执行。
一、机房日常管理1.管理目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作环境。
2.机房日常管理指定专人负责。
3.机房钥匙要严格保管,不得随意转借,一旦丢失要及时报告并积极寻找,并采取有效措施予以补救。
4.无关人员未经批准不得进入机房,更不得动用机房设备、物品和资料,确因工作需要,相关人员需要进入机房操作必须经过批准方可在管理人员的指导或协同下进行。
5.机房应保持清洁、卫生,温度、湿度适可,机房内严禁吸烟,严禁携带无关物品尤其是易燃、易爆物品及其他危险品进入机房。
6.消防物品要放在指定位置,任何人不得随意挪动;机房工作人员要掌握防火技能,定期检查消防设施是否正常。
出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理。
7.硬件设备要注意维护和保养,做到设备物卡相符、设备使用状态记录完整。
8.建立机房登记制度,对本地局域网、广域网的运行情况建立档案。
未发生故障或故障隐患时,网管人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等要做好详细记录。
9.网管人员应做好网络安全工作,严格保密服务器的各种帐号,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
10.网管人员要对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。
网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、设备管理1.网管人员对各种网络设备的使用需按操作程序或使用说明书进行。
2.经常对硬件设备进行检查、测试和修理,确保其运行完好。
3.所有贵重设备均由专人保管,专人使用,不得外借或由非专业人员单独操作。
4.中心机房的所有设备未经许可一律不得挪用和外借,特殊情况经批准后办理借用手续,借用期间如有损坏由借用单位或使用人员负责赔偿。
5.硬件设备发生损坏、丢失等事故,应及时上报,填写报告单并按有关规定处理。
6.中心机房及其附属设备的管理(登记)与维修由网管人员负责。
设备管理人员每半年要核准一次设备登记情况。
7.中心机房主机(系统服务器)、网络服务器及其外围设备由网管人员每周进行一次例行检查和维护,尤其是设备供电、运行状态是否正常等要时常检查和维护。
三、系统软件、应用软件管理1.软件要定期进行系统维护与备份,备份至少保持一式两套,并存放在温度湿度适宜的磁介质库存中。
2.应用软件、应用数据应根据运行频率进行定期或不定期的备份工作,备份软件和数据亦应存放于的磁介质库存中。
3.应用软件的源程序除了在磁介质上备份以外,网管员应自己进行备份,以防应用程序发生意外,难以恢复。
4.为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使用手册和各种指南等资料,以便维护人员查阅。
其资料未经许可,任何人不得拿出机房。
5.应用软件人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。
6.当应用软件修改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。
7.为确保软件系统的安全,磁介质除了应有专人管理外,还应配备防火器具,确立防磁、防静电、防灰尘等有效措施(建筑上保证),磁介质保管要明确责任,遵守出入库制度。
四、计算机病毒防范管理1.网管人员应有较强的病毒防范意识,定期进行病毒检测(特别是服务器),发现病毒应立即处理。
2.采用国家许可的正版防病毒软件并及时更新软件版本。
3.未经领导许可,网管人员不得在服务器上安装新软件,若确实需要安装,安装前应进行病毒例行检测。
4.经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
五、数据保密及数据备份1.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2.禁止泄露、外借和转移专业数据信息。
3.未经批准不得随意更改业务数据。
4.网管人员制作数据的备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5.业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6.备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。
7.备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
六、安全检查管理1.中心机房安全是关系到行业安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须坚持定期安全检查。
2.中心机房自检每年进行一次,且须认真做好检查记录。
3.对检查中发现的问题将进行限期整改。
附1:网络管理员职责1.主要负责全市网络(包含局域网、广域网、城域网)的系统安全性及正常运行。
2.负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
3.应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到病毒预防为主。
4.良好周密的日志记录以及细致的分析是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。
察觉到网络处于被攻击状态后,网管员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5.对机房进行管理,严格按照机房制度执行日常维护。
6.每月管理人员应向主管领导提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。
具体文件及方法见附件。
7.严格控制进入机房人员,不允许私自带他人入内。
8.要定期检查机房及各种安全设备,做好记录确保安全。
9.对机房各种设备均应建立技术档案,认真填写、妥善保管登记备案。
10.定期对机器进行维护,保证机器正常运行。
11.负责对门、窗、灯、电源、机器的安全情况进行全面检查、管理,全面保证机房的安全无误。
12.搞好机房卫生,保持一个良好的环境。
13.不允许私自将机房内的设备、工具、部件等带出机房,借物须办理借物手续。
14.对因责任心不强而造成事故和严重后果的,要追究责任。
附2:计算机使用和管理制度信息中心电脑管理和维护由专职管理人员负责,并完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
1.未经许可,不准随便动用电脑设备。
2.未经许可,任何人不准更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。
3.严格按规定程序开启和关闭电脑系统。
(1)开机流程:接通电源→打开显示器、打印机等外设→开通电脑主机→按显示菜单提示,键入规定口令或密码→在权限内对工作任务进行操作。
(2)关机流程:退出应用程序、各个子目录→关断主机→关闭显示器、打印机等外设→切断电源。
4.使用人员如发现计算机系统运行异常应及时与管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
5.外请人员对电脑进行维修时,单位应有人自始至终地陪同,电脑维修维护过程中,首先确保对单位信息进行拷贝,防止遗失。
6.凡因个人使用不当所造成的电脑维护费用和损失,使用者是否赔偿由单位视情决定。
7.计算机及其相关设备的报废需经过本局办公室或专职人员鉴定,确认不符合使用要求后方可申请报废。
本制度提供各单位专门用于机房内部,作为机房工作人员的日常行为规范。
一、机房人员日常行为准则1、必须注意环境卫生。
禁止在机房、办公室内吃食物、抽烟、随地吐痰;对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。
2、必须注意个人卫生。
工作人员仪表、穿着要整齐、谈吐文雅、举止大方。
3、机房用品要各归其位,不能随意乱放。
4、机房应安排人员值日,负责机房的日常整理和行为督导。
5、进出机房必须换鞋,雨具、鞋具等物品要按位摆放整齐。
6、注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,下雨天时应及时主动检查和关闭窗户、检查去水通风等设施。
7、机房内部不应大声喧哗、注意噪音/音响音量控制、保持安静的工作环境。
8、坚持每天下班之前将桌面收拾干净、物品摆放整齐。
二、机房保安制度1、出入机房应注意锁好防盗门。
对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作。
最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。
应主动拒绝陌生人进出机房。
2、工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。
如检查并锁上自己工作柜枱、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。
3、工作人员、到访人员出入应登记。
4、外来人员进入必须有专门的工作人员全面负责其行为安全。
5、未经主管领导批准,禁止将机房相关的钥匙、保安密码等物品和信息外借或透露给其它人员,同时有责任对保安信息保密。
对于遗失钥匙、泄露保安信息的情况要即时上报,并积极主动采取措施保证机房安全。
6、机房人员对机房保安制度上的漏洞和不完善的地方有责任及时提出改善建议。
7、禁止带领与机房工作无关的人员进出机房。
8、绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。
9、出现机房盗窃、破门、火警、水浸、110报警等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
三、机房用电安全制度1、机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。
2、机房人员应经常实习、掌握机房用电应急处理步骤、措施和要领。
3、机房应安排有专业资质的人员定期检查供电、用电设备、设施。
4、不得乱拉乱接电线,应选用安全、有保证的供电、用电器材。
5、在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。
6、严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。
7、如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出解决。
8、机房人员对个人用电安全负责。
外来人员需要用电的,必须得到机房管理人员允许,并使用安全和对机房设备影响最少的供电方式。
9、机房工作人员需要离开当前用电工作环境,应检查并保证工作环境的用电安全。
10、最后离开机房的工作人员,应检查所有用电设备,应关闭长时间带电运作可能会产生严重后果的用电设备。
11、禁止在无人看管下在机房中使用高温、炽热、产生火花的用电设备。
12、在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路保险的基础上使用。
13、在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
14、在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。
15、应注意节约用电。
四、机房消防安全制度1、机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。