信息安全管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXX有限公司信息安全管理制度
第一章总则
第一条为了强化XXX有限公司的信息安全管理,防计算机信息技术风险,确保公司数据秘密安全,防止网络病毒危害和黑客恶意攻击,维护正常的生产顺利运行,根据《中华人民国计算机信息系统安全保护条例》、《ISO27001信息安全管理体系标准》以及有关法律、法规,结合我司实际,特制定XXX网络安全管理制度。
第二条本规定所称信息安全管理,是指在日常办公、XXX业务建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条信息安全管理制度根据省公安厅发文《关于开展2017年度信息安全等级保护测评机构省级备案工作的通知》为依据。
第四条XXX信息安全管理工作实行统一领导和分级管理。由XXX总经理统一领导各部门的信息安全管理;下属部门经理负责各自部门的信息安全管理;XXX技术部负责XXX生产与测试环境的信息安全管理。
第五条XXX信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任制。
第六条本规定适用于XXX、XXX各业务网点、合作接入厂商。所有使用本网络或信息资源的其他外部机构和个人均应遵守本规定。
第七条任何部门和个人不得以任何理由逃避该安全制度的管理,不得利用互联网计算机从事危害本地局域网服务器、不得从事危害利益、集体利益和公民合法利益的活动,不得危害计算机信息网络系统的全面安全。
第二章服务器管理制度
第八条XXX服务器的日常管理工作由XXX技术部管理人员负责。管理人员应认真履行以下职责:
(1)负责XXX服务器的日常维护和管理、技术支持;
(2)严格执行岗位责任制。管理人员要坚守工作岗位,有事外出要向领导请假,并且向其他工作人员交接清楚工作。要妥善保管好服务器登录密码,不得告诉他人。离开座位时,要及时退出设置项界面并登出账号;
(3)加强XXX服务器检查。定期对数据存放硬盘空间、CPU使用、存空间等环境进行检查。发现硬盘存储空间、CPU异常、存异常等问题要及时处理,不能及时处理的问题应向领导及时报告,并采取积极措施尽快解决。
(4)加强XXX服务器的病毒防。要经常了解和掌握网络病毒的流行情况及其解决方案,并积极采取应对措施,避免对XXX服务器及网络其它终端的感染。一旦被感染,要及时提出杀毒方案,控制传播围。定期对XXX服务器进行查毒、杀毒。
(5)保障本系统网络信息实时安全运行,负责每天的信息数据备份。
(6)负责对XXX服务器用户的增加、删除及权限变更工作,严禁无关人员登录XXX服务器。
第三章控制台管理制度
第九条权限管理制度
(一)管理员权限管理制度
(1)管理员权限围:包括所有权限。
(2)管理员权限在项目实施完成后,交由分管领导或指定成员管理。
(3)若有技术人员因管理需要,需申请开通管理账号或管理员权限,应在维护完成后,删除权限并且注销帐户。
(4)若技术人员接触到管理员权限密码,应在维护完成后,提醒管理员修改密码,管理员应该及时修改密码,避免密码丢失造成控制台管理权限泄密。
(5)管理员要定期到服务器的事件管理器中查询管理员登录信息,发现异常登录,及时更新密码,并严格追查管理员控制台权限遗失原因。
(二) 系统运维员权限管理制度
(1)系统运维员权限围:针对所有用户的参数设置、备份、访问所有组权限。
(2)系统运维员根据监控的实际需要制定监控参数设置策略,经过审核后进行实施。
(3)系统运维员根据硬盘容量和监控数据增长情况,制定数据备份策略,经过审核后进行实施。
(4)系统运维员不得利用职务之便,在未经认可的情况下,私下进行监控个别电脑的参数设置,若造成损失,单位将追究相应责任。
(5)严禁更改服务器操作系统的相关设置,严禁在XXX服务器上进行互联网浏览及不相关应用程序安装。
(6)严守系统信息保密制度。不得随意将系统信息、数据对外泄露。
(三) 网络管理员权限管理制度
(1)网络管理员权限围:针对所有网络设备的管理权限。
(2)网络管理员根据公司业务需要,制定各项网络策略,经过审核后进行实施。
(3)网络管理员不得利用职务之便,在未经认可的情况下,私下进行监控个别电脑的参数设置,若造成损失,单位将追究相应责任。
(5)未经许可严禁更改服务器已经生效的网络配置,严禁在XXX服务器上进行互联网浏览及不相关网络设置。
(6)严守系统信息保密制度。不得随意将系统信息、数据对外泄露。
第十条技术部权限管理制度
(1)技术部权限围:针对职权管理围用户的控制台、审计查看、获取报告权限。
(2)技术部根据工作的需要对单位的电子文档安全、网络行为规的执行情况进行查看,发现异常情况,及时报告相关领导进行相应处理。
(3)技术部应严守机密,不得将获知信息进行不当的处理,若导出数据,要进行妥善保管,不得随意存放和传输,若需要传输,需征求相关领导的认同,方可进行传输。
第四章客户端管理制度
第十一条工作人员实行专人专机,谁使用、谁管理、谁负责制度。工作人员应严格遵守以下规定:
(1)要自觉遵守《中华人民国计算机信息系统安全保护条例》和其他有关计算机和网络方面的法律、法规,严格遵守计算机操作规程,爱护计算机和网络设备,及时反映和举报违反网络行为规的人和事。
(2)不得随意更改网络设置。如确需更改须经网络管理人员同意,并在网络管理人员的指导下操作。
(3)未经同意,禁止擅自拆卸电脑主机箱,更换、添加电脑配件。
(4)未经同意,禁止擅自使用未经杀毒的硬盘、软盘、光盘、U盘,不准打开来历不明的电子,以免带进病毒;若发现来历不明的电子应及时删除;要经常检查计算机有无感染病毒,若发现计算机被病毒感染,应及时杀毒或报告网络管理人员;未经允许不得随意安装来历不明的系统、应用、游戏等软件。
(5)不得恶意访问和攻击网络服务器和他人计算机;未经允许不得阅读他人文件、文档、电子;不得滥用网络资源;不得制造和传播计算机病毒;禁止破坏网络数据、网络资源,或在网络上进行恶作剧行为。
(6)要自觉遵守保密法律、法规,不得在网上发布、传送携带秘密的信息。