信息系统资产安全管理制度

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统安全管理制度

第一章总则

第一条为保证公司计算机网络能够安全可靠的运行,防止系统及数据被非法利用或破坏,充分发挥其在生产、经营、办公和信息服务方面的重要作用,更好的为员工提供服务,特制定本办法。

第二条本制度涉及的信息系统,是指由计算机及其相关的配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的计算机系统;本制度所指的计算机软件是指在我公司内部使用的计算机应用软件。适用于公司范围内的计算机系统。

第二章组织机构和职责

第三条成立公司信息安全小组,由公司领导、办公室、各相关部门、计算机维护人员组成,指定公司信息系统安全员和各系统管理员。(见附件一)

第四条公司主要领导是公司信息系统管理和网络安全的第一责任人,信息安全小组负责公司计算机应用系统和网络安全的全面管理和运行维护。

第五条计算机系统管理员负责公司内部信息系统及计算机网络安全的管理和维护工作,为公司内部网络的安全运行提供技术保障。

第六条信息安全员负责对公司信息化相关的各项申请记录进行复

核,审查用户帐号使用情况和权限分配是否合理,对公司重要信息进行安全分级,定期复查系统管理员填制的各项检查记录。

第七条公司的所有计算机及外围设备是公司的固定资产,按照谁使用谁负责的原则,落实责任人,使用部门为责任部门,负责保管配备的信息化资产的完好,保证良好的使用环境,并建立资产台账。

第三章系统安全管理

3.1账号管理

第八条应用系统、操作系统、数据库(以下简称“各系统”)的用户名均应该专人专用,用以识别不同的用户和账号,以确保可溯源和可追踪性。

第九条各系统的管理员账号需进行有效的保护,经公司信息安全小组审核后,由信息系统安全员分配管理员访问权限给系统管理员。第十条各系统均需要设置充分的用户密码安全策略,包括:

1)设定密码最小长度不得低于八位;

2)密码一定由数字、字母和符号共同组成;

3)设置密码过期期限,定期更改密码;

4)设置密码锁定前登录失败次数等安全策略。

第十一条各信息系统自带的默认账号和密码必须在系统初次使用时进行修改,密码由系统管理员保管。

第十二条公司信息系统的访问和应用只限于通过公司内网进行,如因特殊情况需要通过外网访问信息系统的,报信息安全小组批准并由

自动化所授权同意后方可进行。

第十三条保全处每半年组织相关业务员部门对信息系统账号进行复核,将信息系统的用户及其权限清单提交给业务部门负责人,确认并审核权限的合理性。通过查看系统日志,检查不适当账号和权限的使用情况,对违规使用情况进行通报并立即整改。

第十四条需新增或调整账户权限的用户,由使用部门提出申请,并填写相关岗位权限调整申请表,经信息安全小组审核批准后,由系统管理员调整用户账号及相应权限。

3.2防病毒管理

第十五条公司信息安全小组负责防病毒软件的部署与配置,用户与信息设备责任人负责所用计算机系统及数据的基本防护。

第十六条所有接入公司网络的计算机都必须安装防病毒软件;外来计算机要接入公司网络必须装有防病毒软件和最新的病毒库和查杀引擎,报经信息安全小组负责人批准后,由系统管理员检查该计算机,符合要求后由系统管理员为该计算机设置网络连接。

第十七条公司计算机的防病毒软件的实时监控要默认打开,不得擅自关闭。

第十八条公司计算机的防病毒软件和病毒库要通过一定的技术手段(例如给杀毒软件增加防护密码等)进行保护,防止用户误删或未经授权强制删除或禁用防病毒程序。

第十九条信息安全小组负责指导和培训用户的防病毒知识,提高用户的防病毒意识。

第二十条系统管理员要定期检查并提醒用户升级最新的操作系统补丁。

3.3数据管理

第二十一条各部门要对本部门重要信息进行安全分级,对不同的数据文件采取不同的保密措施防止泄密。

第二十二条系统管理员对新发布的系统补丁程序进行风险评估,判断补丁程序可能会对各系统带来的影响,必要情况下应在测试环境下进行测试,填写《补丁程序测试记录》,并集中汇报给信息安全小组进行审核。经测试无误后方可在生产系统计算机中更新补丁程序。(见附件二《补丁程序测试记录》)

第二十三条信息安全员每周检查上一周由系统管理员检查的各项记录,并对所检查项目进行复核,填写各类记录单。

第二十四条DCS负责公司所属工业信息化设备软件和数据的备份,每月对控制系统软件及数据进行一次异地备份,每月对水泥磨工业信息化设备软件及数据进行一次异地备份,负责对设备配套工业信息化设备软件及数据进行备份,所有备份应刻录成光盘,由信息安全员保管。

第四章网络与设备管理

第二十五条系统管理员定期检查防火墙、服务器及各网络设备监控日志,若发现异常,及时上报和详细记录并跟踪解决;分析、检查和跟进结果均记录在《日志综合检查表》中,信息安全员负责复查确认。

(见附件三《日志综合检查表》)

第二十六条由于网络设备的特殊重要性,网络设备的配置管理由系统管理员完成,其他任何人不得改动设备配置。

第二十七条为了保证特殊情况下的接管工作,系统管理员必须做好网络设备的配置记录,对每次的配置改动作记录,并备份设备的配置文档,记录配置时间。

第二十八条公司网络端口只允许授权用户使用,不得擅自接入交换设备,未办理端口授权手续,不得使用网络端口,严禁自行接线上网。外来人员如需接入内网,需要经过信息主管部门或信息安全小组负责人审批。

第二十九条公司内严禁私自搭建无线网络平台,严禁私自接入无线网络设备。若因工作需要组建无线网络的,需向设备保全处申报,由保全处组织对申报的无线平台方案进行论证,批准后方可搭建。

第三十条公司的联网工作必须报公司主管部门批准后实施。实施完成后,应绘制竣工图,报部室信息主管部门。未经公司信息安全小组审批,任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络,发现私自接入的网络线路将予以拆除,并对相关部门及责任人进行考核。

第三十一条计算机网络布线应按照施工标准规范敷设,交换机、光电转换器、HUB的安装力求实用美观;交换机、光电转换器等网络重要设备应绑扎固定;计算机网络和交换机等网络设备集中的机房需具备相应的接地防雷措施。

相关文档
最新文档