it信息安全管理制度

　　在生活中，很多地方都會(huì)使用到制度，制度是指在特定社會(huì)范圍內(nèi)統(tǒng)一的、調(diào)節(jié)人與人之間社會(huì)關(guān)系的一系列習(xí)慣、道德、法律(包括憲法和各種具體法規(guī))、戒律、規(guī)章(包括政府制定的條例)等的總和它由社會(huì)認(rèn)可的非正式約束、國(guó)家規(guī)定的正式約束和實(shí)施機(jī)制三個(gè)部分構(gòu)成。到底應(yīng)如何擬定制度呢？下面是小編為大家整理的it信息安全管理制度，歡迎大家分享。

it信息安全管理制度1

　　第一條總則

　　通過加強(qiáng)公司計(jì)算機(jī)系統(tǒng)、辦公網(wǎng)絡(luò)、服務(wù)器系統(tǒng)的管理。保證網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，保證公司機(jī)密文件的安全，保障服務(wù)器、數(shù)據(jù)庫(kù)的安全運(yùn)行。加強(qiáng)計(jì)算機(jī)辦公人員的安全意識(shí)和團(tuán)隊(duì)合作精神，把各部門相關(guān)工作做好。

　　第二條范圍

　　1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由計(jì)算機(jī)硬件設(shè)備、軟件及客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置組成。

　　2、軟件包括：服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用軟件、有關(guān)專業(yè)的網(wǎng)絡(luò)應(yīng)用軟件等。

　　3、客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置包括客戶機(jī)在網(wǎng)絡(luò)上的名稱，IP地址分配，用戶登陸名稱、用戶密碼、及Internet的配置等。

　　4、系統(tǒng)軟件是指：操作系統(tǒng)(如WINDOWSXP、WINDOWS20xx等)軟件。

　　5、平臺(tái)軟件是指：防偽防竄貨系統(tǒng)、辦公用軟件(如OFFICE20xx)等平臺(tái)軟件。

　　6、專業(yè)軟件是指：設(shè)計(jì)工作中使用的繪圖軟件(如Photoshop等)。

　　第三條職責(zé)

　　1、信息網(wǎng)絡(luò)部門為網(wǎng)絡(luò)安全運(yùn)行的管理部門，負(fù)責(zé)公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的日常維護(hù)和管理。

　　2、負(fù)責(zé)系統(tǒng)軟件的調(diào)研、采購(gòu)、安裝、升級(jí)、保管工作。

　　3、網(wǎng)絡(luò)管理人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、平臺(tái)系統(tǒng)的安全運(yùn)行;服務(wù)器安全運(yùn)行和數(shù)據(jù)備份;Internet對(duì)外接口安全以及計(jì)算機(jī)系統(tǒng)防病毒管理;各種軟件的用戶密碼及權(quán)限管理協(xié)助各部門進(jìn)行數(shù)據(jù)備份和數(shù)據(jù)歸檔。

　　4、網(wǎng)絡(luò)管理人員執(zhí)行公司保密制度，嚴(yán)守公司商業(yè)機(jī)密。

　　5、員工執(zhí)行計(jì)算機(jī)安全管理制度，遵守公司保密制度。

　　6、系統(tǒng)管理員的密碼必須由網(wǎng)絡(luò)管理部門相關(guān)人員掌握。

　　第四條管理辦法

　　I、公司電腦使用管理制度

　　1、從事計(jì)算機(jī)網(wǎng)絡(luò)信息活動(dòng)時(shí)，必須遵守《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的規(guī)定，應(yīng)遵守國(guó)家法律、法規(guī)，加強(qiáng)信息安全教育。

　　2、電腦由公司統(tǒng)一配置并定位，任何部門和個(gè)人不得允許私自挪用調(diào)換、外借和移動(dòng)電腦。

　　3、電腦硬件及其配件添置應(yīng)列出清單報(bào)行政部，在征得公司領(lǐng)導(dǎo)同意后，由網(wǎng)絡(luò)信息管理員負(fù)責(zé)進(jìn)行添置。

　　4、電腦操作應(yīng)按規(guī)定的程序進(jìn)行。

　　(1)電腦的開、關(guān)機(jī)應(yīng)按按正常程序操作，因非法操作而使電腦不能正常使用的，修理費(fèi)用由該部門負(fù)責(zé);

　　(2)電腦軟件的安裝與刪除應(yīng)在公司管理員的許可下進(jìn)行，任何部門和個(gè)人不允許擅自增添或刪除電腦硬盤內(nèi)的.數(shù)據(jù)程序;

　　(3)電腦操作員應(yīng)在每周及時(shí)進(jìn)行殺毒軟件的升級(jí),每月打好系統(tǒng)補(bǔ)丁;

　　(4)不允許隨意使用外來U盤，確需使用的，應(yīng)先進(jìn)行病毒監(jiān)測(cè);

　　(5)禁止工作時(shí)間內(nèi)在電腦上做與工作無關(guān)的事，如玩游戲、聽音樂等。

　　5、任何人不得利用網(wǎng)絡(luò)制作、復(fù)制、查閱和傳播宣傳封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的內(nèi)容

　　6、電腦發(fā)生故障應(yīng)盡快通知IT管理員及時(shí)解決，不允許私自打開電腦主機(jī)箱操作。

　　7、電腦操作員要愛護(hù)電腦并注意保持電腦清潔衛(wèi)生，并在正確關(guān)機(jī)并完全關(guān)掉電源后，方可下班離開。

　　8、因操作人員疏忽或操作失誤給工作帶來影響但經(jīng)努力可以挽回的，對(duì)其批評(píng)教育;因操作人員故意違反上述規(guī)定并使工作或財(cái)產(chǎn)蒙受損失的，要追究當(dāng)事人責(zé)任，并給予經(jīng)濟(jì)處罰。

　　9、為文件資料安全起見，勿將重要文件保存在系統(tǒng)活動(dòng)分區(qū)內(nèi)如：C盤、我的文檔、桌面等;請(qǐng)將本人的重要文件存放在硬盤其它非活動(dòng)分區(qū)(如：D、E、F)。(保存前用殺毒軟件檢察無病毒警告后才可)。并定期清理本人相關(guān)文件目錄，及時(shí)把一些過期的、無用的文件刪除，以免占用硬盤空間。

　　10、所有電腦必須設(shè)置登陸密碼，一般不要使用默認(rèn)的administrator作為登陸用戶名，密碼必須自身保管，嚴(yán)禁告訴他人，計(jì)算機(jī)名與登陸名不能一致,一般不要使用含有和個(gè)人、單位相關(guān)信息的名稱。

　　11、其他管理辦法請(qǐng)參看《IT終端用戶安全手冊(cè)》

　　II、網(wǎng)絡(luò)系統(tǒng)維護(hù)

　　1、系統(tǒng)管理員每周定時(shí)對(duì)托管的網(wǎng)絡(luò)服務(wù)器進(jìn)行巡視，并對(duì)公司局域網(wǎng)內(nèi)部服務(wù)器進(jìn)行檢查，如：財(cái)務(wù)服務(wù)器。

　　2、對(duì)于系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)的異�，F(xiàn)象網(wǎng)絡(luò)管理部門應(yīng)及時(shí)組織相關(guān)人員進(jìn)行分析，制定處理方案，采取積極措施。針對(duì)當(dāng)時(shí)沒有解決的問題或重要的問題應(yīng)將問題描述、分析原因、處理方案、處理結(jié)果、及時(shí)制定出解決方案。

　　3、定時(shí)對(duì)服務(wù)器數(shù)據(jù)進(jìn)行備份。

　　4、維護(hù)服務(wù)器，監(jiān)控外來訪問和對(duì)外訪問情況，如有安全問題，及時(shí)處理。

　　5、制定服務(wù)器的防病毒措施，及時(shí)下載最新的防病毒疫苗，防止服務(wù)器受病毒的侵害。

　　III、用戶帳號(hào)申請(qǐng)/注銷

　　1、新員工(或外借人員)需使用計(jì)算機(jī)向部門主管提出申請(qǐng)經(jīng)批準(zhǔn)由網(wǎng)絡(luò)部門負(fù)責(zé)分配計(jì)算機(jī)、和登入公司網(wǎng)絡(luò)的用戶名及密碼。如需使用財(cái)務(wù)軟件需向財(cái)務(wù)主管申請(qǐng)，由網(wǎng)絡(luò)管理部門人員負(fù)責(zé)軟件客戶端的安裝調(diào)試。

　　2、員工離職應(yīng)將本人所使用的計(jì)算機(jī)名、IP地址、用戶名、登錄密碼、平臺(tái)軟件信息以書面形式記錄，經(jīng)網(wǎng)絡(luò)管理人員將該記錄登記備案。網(wǎng)絡(luò)管理人員對(duì)離職人員計(jì)算機(jī)中的公司資料信息備份，方可對(duì)該離職人員保存在公司服務(wù)器中所有的資料刪除。

　　IV、數(shù)據(jù)備份管理

　　服務(wù)器數(shù)據(jù)備份，應(yīng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)實(shí)時(shí)備份，并每周應(yīng)至少做一次手工備份，并在備份服務(wù)器中進(jìn)行邏輯備份的驗(yàn)證工作，經(jīng)過驗(yàn)證的邏輯備份存放在不同的物理設(shè)備中。個(gè)人電腦的備份統(tǒng)一由各部門自行負(fù)責(zé)，可申請(qǐng)移動(dòng)硬盤、信息光盤等儲(chǔ)存介質(zhì)進(jìn)行安全備份。

　　第五條計(jì)算機(jī)/電腦維修

　　1、計(jì)算機(jī)出現(xiàn)重大故障，須填寫《計(jì)算機(jī)維修單》，并交IT管理員進(jìn)行維修。

　　2、IT管理員對(duì)《計(jì)算機(jī)維修單》存檔，便于查詢各電腦使用情況。

　　3、須外出維修，須報(bào)分管領(lǐng)導(dǎo)審批。須采購(gòu)配件，按采購(gòu)管理流程執(zhí)行。

　　第六條公司信息系統(tǒng)管理(暫定)

　　1、新中大財(cái)務(wù)系統(tǒng)服務(wù)器(以下簡(jiǎn)稱：服務(wù)器)，放置地點(diǎn)暫放為財(cái)務(wù)室辦公室內(nèi)，財(cái)務(wù)室現(xiàn)有辦公室已達(dá)到視頻監(jiān)控、防盜、溫度控制等條件。待條件成熟時(shí)重新搭建獨(dú)立機(jī)房，便以安全管理。

　　2、對(duì)于服務(wù)器數(shù)據(jù)(包括財(cái)務(wù)軟件系統(tǒng))由管理員每月定期異地備份一次，并設(shè)置服務(wù)器自動(dòng)每周備份二次數(shù)據(jù)庫(kù);異地備份數(shù)據(jù)由財(cái)務(wù)部安排存放在異地。

　　3、系統(tǒng)后臺(tái)數(shù)據(jù)只能由服務(wù)器系統(tǒng)管理員進(jìn)行維護(hù)，若需外援時(shí)，必須在管理員的陪同下進(jìn)行操作，其他終端用戶不得設(shè)置權(quán)限進(jìn)入數(shù)據(jù)管理后臺(tái)。

　　4、終端用戶的開通及變更需以書面形式提交給相關(guān)部門領(lǐng)導(dǎo)簽字確認(rèn)，其中包括用戶的權(quán)限變更、賬號(hào)密碼變更、終端軟件更新。

　　5、當(dāng)遇到服務(wù)器需要變更時(shí)，管理員應(yīng)該做好詳細(xì)的變更記錄。如：程序變更、緊急變更、配置/參數(shù)變更、基礎(chǔ)架構(gòu)變更、數(shù)據(jù)庫(kù)修改等。

　　第七條違規(guī)操作賠償標(biāo)準(zhǔn)

　　1、違規(guī)操作者：沒有造成經(jīng)濟(jì)損失的，當(dāng)事人和責(zé)任人賠償工作時(shí)間誤工費(fèi)50-100元。

　　2、違規(guī)操作者：造成經(jīng)濟(jì)損失的，除造價(jià)賠償外，另外當(dāng)事人與責(zé)任人賠償誤工費(fèi)100元。

　　第八條附則

　　1、本制度由信息管理部門負(fù)責(zé)解釋，自公布之日起實(shí)施。

　　2、本制度有不妥之處在運(yùn)行中修改并公布。

it信息安全管理制度2

　　醫(yī)院網(wǎng)絡(luò)信息安全管理制度需要制定具體的實(shí)施方案。下面分為四個(gè)方面，提出相應(yīng)的實(shí)施方案。

　　一、信息管理

　　1、建立詳細(xì)的信息分類管理制度，明確信息的安全級(jí)別和保密措施。

　　2、規(guī)定信息的使用、復(fù)制、存儲(chǔ)等流程，定期進(jìn)行信息備份。

　　3、提供遠(yuǎn)程訪問和在線咨詢等技術(shù)支持工具，確保信息的'可用性。

　　二、網(wǎng)絡(luò)管理

　　1、定期更新網(wǎng)絡(luò)設(shè)備，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，建立外網(wǎng)和內(nèi)網(wǎng)的防火墻。

　　2、對(duì)外部網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和應(yīng)對(duì)，建立安全事件響應(yīng)機(jī)制。

　　3、建立訪問控制機(jī)制和應(yīng)用層防御機(jī)制，提高網(wǎng)絡(luò)安全性。

　　三、人員管理

　　1、建立標(biāo)準(zhǔn)化的權(quán)限管理制度，對(duì)醫(yī)院內(nèi)部人員和外部人員進(jìn)行權(quán)限管理。

　　2、建立日志管理機(jī)制，對(duì)訪問醫(yī)院網(wǎng)絡(luò)的人員進(jìn)行日志記錄和監(jiān)控。

　　3、進(jìn)行安全意識(shí)培訓(xùn)，提高人員的信息安全意識(shí)和保護(hù)意識(shí)。

　　四、應(yīng)急處理

　　1、建立安全事件響應(yīng)機(jī)制，制定應(yīng)急預(yù)案和危機(jī)處理預(yù)案。

　　2、定期進(jìn)行安全演練和應(yīng)急處理演習(xí)，提高應(yīng)對(duì)能力和處理效率。

　　3、在安全事件發(fā)生時(shí)，進(jìn)行事故調(diào)查和記錄，及時(shí)進(jìn)行處理和申報(bào)。

　　以上是對(duì)醫(yī)院網(wǎng)絡(luò)信息安全管理制度實(shí)施方案的相關(guān)介紹，通過建立規(guī)范化的管理制度和科學(xué)化的實(shí)施方案，可以保障醫(yī)院網(wǎng)絡(luò)信息的安全性和完整性，降低信息泄露和黑客攻擊的風(fēng)險(xiǎn)。

it信息安全管理制度3

　　安全生產(chǎn)是企業(yè)的頭等大事，必須堅(jiān)持“安全第一，預(yù)防為主”的方針和群防群治制度，認(rèn)真貫徹落實(shí)安全管理制度，切實(shí)加強(qiáng)安全管理，保證職工在生產(chǎn)過程中的安全與健康。根據(jù)國(guó)家和省有關(guān)法規(guī)、規(guī)定和文件，制定本企業(yè)信息安全管理制度。

　　一、計(jì)算機(jī)設(shè)備安全管理制度

　　計(jì)算機(jī)不同于其他辦公設(shè)備，其實(shí)用性、嚴(yán)密性、操作技術(shù)性強(qiáng)，含量高、部件易受損；特別是聯(lián)網(wǎng)計(jì)算機(jī)，開放性程度比較高，電腦內(nèi)部易受外界的偷窺、攻擊和病毒感染。為確保計(jì)算機(jī)軟、硬件及網(wǎng)絡(luò)的正常使用，特制定本制度。

　　1、公司內(nèi)所有計(jì)算機(jī)歸網(wǎng)絡(luò)部統(tǒng)一管理，配備計(jì)算機(jī)的員工只負(fù)責(zé)使用操作；

　　2、計(jì)算機(jī)管理涉及的范圍：

　　2.1所有硬件（包括外接設(shè)備）及網(wǎng)絡(luò)聯(lián)接線路；

　　2.2計(jì)算機(jī)及網(wǎng)絡(luò)故障的排除；

　　2.3計(jì)算機(jī)及網(wǎng)絡(luò)的維護(hù)與維修；

　　2.4操作系統(tǒng)的管理；

　　3、公司內(nèi)所有計(jì)算機(jī)使用人員均為計(jì)算機(jī)操作員；

　　4、網(wǎng)絡(luò)維護(hù)部負(fù)責(zé)對(duì)公司內(nèi)所有計(jì)算機(jī)進(jìn)行定期檢查，一般每?jī)稍逻M(jìn)行一次；

　　5、計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境，禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。

　　6、非本單位技術(shù)人員對(duì)我單位的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由本單位相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。

　　7、嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計(jì)算機(jī)外部設(shè)備接口，計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向電腦負(fù)責(zé)部門報(bào)告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。

　　二、操作員安全管理制度

　　1、計(jì)算機(jī)原則上由專人負(fù)責(zé)操作維護(hù)，不得串用設(shè)備。下班后必須按程序關(guān)閉主機(jī)和其他設(shè)備，切斷電源。

　　2、為保證計(jì)算機(jī)信息安全，必須為計(jì)算機(jī)設(shè)置密碼。

　　3、計(jì)算機(jī)操作員除使用操作計(jì)算機(jī)外，不允許有以下行為：

　　3.1硬件設(shè)備出現(xiàn)故障擅自拆開主機(jī)機(jī)箱蓋板；

　　3.2更換計(jì)算機(jī)配件（如鼠標(biāo)、鍵盤、耳麥）；如有向網(wǎng)絡(luò)管理員寫設(shè)備申請(qǐng)單審批。

　　3.3刪除計(jì)算機(jī)操作系統(tǒng)及公司指定的軟件；

　　3.4使用帶病毒的計(jì)算機(jī)軟件；

　　3.5讓外來人員進(jìn)行有損于計(jì)算機(jī)的技術(shù)性操作；

　　4、不得使用來路不明或未經(jīng)殺毒的盤片。計(jì)算機(jī)操作員定期對(duì)計(jì)算機(jī)進(jìn)行殺毒。如發(fā)現(xiàn)計(jì)算機(jī)有病毒時(shí)，應(yīng)及時(shí)清除，清除不了的病毒，要及時(shí)上報(bào)。

　　5、個(gè)人的公司重要文檔、資料和數(shù)據(jù)保存時(shí)必須將資料儲(chǔ)存在除操作系統(tǒng)外的.其它磁盤空間，嚴(yán)禁將重要文件存放于桌面或C盤下。

　　6、工作時(shí)間內(nèi)嚴(yán)禁工作人員在計(jì)算機(jī)上進(jìn)行與工作無關(guān)的操作，不準(zhǔn)上網(wǎng)與工作無關(guān)的聊天、玩電腦游戲、看影視、聽音樂，迅雷下載等，

　　7、電腦及網(wǎng)絡(luò)設(shè)備所在環(huán)境應(yīng)保持清潔、衛(wèi)生、通風(fēng)，注意防塵、防潮、防火。

　　8、公司所有計(jì)算機(jī)使用者，不得破壞網(wǎng)管員對(duì)計(jì)算機(jī)的安全設(shè)置。包括用戶使用權(quán)限。

　　9、除服務(wù)器外，其他所有計(jì)算機(jī)下班后必須關(guān)機(jī)并切斷電源；

　　10、計(jì)算機(jī)使用者離職時(shí)必須由網(wǎng)絡(luò)管理員確認(rèn)其計(jì)算機(jī)硬件設(shè)備完好、移動(dòng)存儲(chǔ)設(shè)備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個(gè)人帳戶密碼清除后方可辦理離職手續(xù)。

　　11、如工作人員不按規(guī)定操作，造成不良后果的，將按有關(guān)規(guī)定，由操作者承擔(dān)相應(yīng)責(zé)任，并追究科室負(fù)責(zé)人的有關(guān)責(zé)任。

　　12、操作員設(shè)置與管理

　　（1）網(wǎng)絡(luò)管理員管理操作權(quán)限必須經(jīng)過公司領(lǐng)導(dǎo)授權(quán)取得； 根據(jù)不同部門的要求及崗位職責(zé)而設(shè)置；

　�。�2）網(wǎng)絡(luò)管理員負(fù)責(zé)故障恢復(fù)等管理及維護(hù)，必須有其上級(jí)授權(quán)； 不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作；

　　三、密碼與權(quán)限安全管理制度

　　1、密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡(jiǎn)單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜測(cè)的數(shù)字和字符串；

　　2、密碼應(yīng)定期修改，間隔時(shí)間不得超過一個(gè)月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。

　　3、服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時(shí)在“密碼管理登記簿”中登記。

　　4、系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用管理制度。

　　5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對(duì)密碼立即修改或用戶刪除，同時(shí)在“密碼管理登記簿”中登記。

　　四、數(shù)據(jù)安全管理制度

　　1、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須異地存放。

　　2、注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸安全和保密管理，保證存儲(chǔ)介質(zhì)的物理安全。

　　3、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批，以保證備份數(shù)據(jù)安全完整。

　　4、數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中，出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。

　　5、數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要進(jìn)行定期保存或永久保存，并確�？梢噪S時(shí)使用。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。

　　6、需要長(zhǎng)期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存，根據(jù)轉(zhuǎn)存和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。

　　7、非本單位技術(shù)人員對(duì)本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由本公司相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)管理的信息備份后刪除，并進(jìn)行登記。對(duì)修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)。

　　8、管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。

　　9、運(yùn)行維護(hù)部門需指定專人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作，建立本單位的計(jì)算機(jī)病毒防治管理制度，經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。

　　10、營(yíng)業(yè)用計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來歷不明的載體（包括軟盤、光盤、移動(dòng)硬盤等）。

　　五、網(wǎng)絡(luò)管理

　　1、網(wǎng)絡(luò)系統(tǒng)屬于公司無形資產(chǎn)，公司有權(quán)限制上網(wǎng)行為，根據(jù)工作需要限制各部門的上網(wǎng)行為。

　　2、公司網(wǎng)絡(luò)管理員對(duì)計(jì)算機(jī)IP地址統(tǒng)一分配、登記、管理，嚴(yán)禁私自更改IP地址。

　　3、公司員工必須自覺遵守企業(yè)的有關(guān)保密法規(guī)，嚴(yán)禁利用網(wǎng)絡(luò)有意或無意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復(fù)制、轉(zhuǎn)移和破壞公司的文件、資料和數(shù)據(jù)。

　　4、實(shí)行“絕密”文件、涉秘件與計(jì)算機(jī)網(wǎng)絡(luò)絕對(duì)隔離，不得在計(jì)算機(jī)網(wǎng)絡(luò)中輸入、打印、復(fù)制“絕密”文件和有關(guān)涉秘件；

　　5、網(wǎng)絡(luò)維護(hù)部負(fù)責(zé)文字工作的計(jì)算操作人員必須遵守有關(guān)的保密制度，對(duì)保密的文件資料進(jìn)行加密存放，不得上網(wǎng)共享。

　　六、附則

　　1、本制度由網(wǎng)絡(luò)部負(fù)責(zé)解釋。

　　2、本制度由總經(jīng)理批準(zhǔn)后生效，自頒布之日起執(zhí)行。

it信息安全管理制度4

　　為維護(hù)互聯(lián)網(wǎng)環(huán)境安全、健康，根據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等國(guó)家法律、法規(guī)，特制定本制度。

　　總則

　　一、嚴(yán)格遵守國(guó)家有關(guān)涉及互聯(lián)網(wǎng)方面的法律法規(guī)；

　　二、堅(jiān)決封堵互聯(lián)網(wǎng)上不良和有害信息的侵入；

　　三、積極配合公安機(jī)關(guān)的網(wǎng)絡(luò)信息安全部門檢查；

　　四、按照備案要求，及時(shí)備案本單位在互聯(lián)網(wǎng)應(yīng)用方面的變更信息；

　　五、在本單位建立網(wǎng)絡(luò)信息安全保護(hù)小組，并報(bào)公安機(jī)關(guān)的網(wǎng)絡(luò)安全部門備案；

　　六、根據(jù)本單位在互聯(lián)網(wǎng)應(yīng)用的實(shí)際情況，在安全員、安全教育和培訓(xùn)、機(jī)房管理、安全保護(hù)技術(shù)措施、巡視上報(bào)、帳號(hào)使用和操作權(quán)限管理等方面制定以下細(xì)則制度。

　　安全員制度

　　一、設(shè)立2人以上專職或兼職計(jì)算機(jī)信息網(wǎng)絡(luò)安全員（以下簡(jiǎn)稱安全員）；

　　二、安全員主要負(fù)責(zé)全校網(wǎng)絡(luò)（包含局域網(wǎng)、廣域網(wǎng)）的系統(tǒng)安全性；

　　三、安全員負(fù)責(zé)全校網(wǎng)絡(luò)安全方面操作和知識(shí)的培訓(xùn)；

　　四、安全員負(fù)責(zé)系統(tǒng)數(shù)據(jù)的冗災(zāi)備份工作；

　　五、安全員確保系統(tǒng)日志保存完善并保留60天以上（日志包含校內(nèi)部聯(lián)網(wǎng)和網(wǎng)站兩大塊）；

　　六、對(duì)系統(tǒng)防病毒系統(tǒng)、防火墻和入侵檢測(cè)系統(tǒng)的定期升級(jí)。定期對(duì)系統(tǒng)作安全檢測(cè)，及時(shí)發(fā)現(xiàn)安全漏洞予以消除，對(duì)檢測(cè)結(jié)果和漏洞消除情況有記錄；

　　七、安全員應(yīng)經(jīng)常保持對(duì)最新技術(shù)的掌握，實(shí)時(shí)了解網(wǎng)絡(luò)信息安全的動(dòng)向，做到預(yù)防為主；

　　八、安全員承擔(dān)對(duì)不良、有害信息上報(bào)、處置工作職責(zé)；

　　九、另安全員承擔(dān)本單位制定的其他和公安機(jī)關(guān)交辦的相關(guān)網(wǎng)絡(luò)安全職責(zé)。

　　與公安聯(lián)系制度

　　一、建立與公安機(jī)關(guān)聯(lián)系的長(zhǎng)效機(jī)制，對(duì)網(wǎng)絡(luò)安全方面出現(xiàn)的問題和情況及時(shí)溝通；

　　二、網(wǎng)絡(luò)安全管理員保持通訊暢通，確保24小時(shí)內(nèi)有急事聯(lián)系到人；

　　三、對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，應(yīng)當(dāng)24小時(shí)內(nèi)向當(dāng)?shù)毓�安ail：XXX，并電話確認(rèn)郵件送機(jī)關(guān)報(bào)告（電話：XXX轉(zhuǎn)XX或者em達(dá)）。

　　安全教育和培訓(xùn)

　　一、安全員定期接受公安機(jī)關(guān)相關(guān)部門的安全培訓(xùn)；

　　二、對(duì)員工和用戶在《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等關(guān)于網(wǎng)絡(luò)安全方面的國(guó)家法律、法規(guī)的學(xué)習(xí)、培訓(xùn)，提高工作人員（特別是安全員）的.維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性；

　　三、實(shí)時(shí)了解網(wǎng)絡(luò)信息安全的動(dòng)向，不定期地對(duì)本單位聯(lián)網(wǎng)用戶（包含單位其他聯(lián)網(wǎng)工作人員等）進(jìn)行關(guān)于最新系統(tǒng)漏洞修復(fù)和最新病毒預(yù)防等安全防范方面的的培訓(xùn)和學(xué)習(xí)。

　　四、適時(shí)對(duì)全校員工進(jìn)行基本的網(wǎng)絡(luò)安全保護(hù)制度和具體方法進(jìn)行介紹，切實(shí)維護(hù)計(jì)算機(jī)聯(lián)網(wǎng)安全。

　　五、網(wǎng)絡(luò)安全防范方面的的培訓(xùn)和學(xué)習(xí)方面，暢通與公安機(jī)關(guān)有關(guān)人員的聯(lián)系渠道，加強(qiáng)對(duì)各類有害信息、特別是影射性有害信息的識(shí)別能力，提高安全防犯能力。

　　機(jī)房管理制度

　　一、對(duì)能夠進(jìn)入機(jī)房人員的設(shè)定要求（如：非機(jī)房人員準(zhǔn)入制度等等）；

　　二、對(duì)任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品的禁止要求；

　　三、對(duì)運(yùn)行設(shè)備及各種配置等等進(jìn)行更改、增減的權(quán)限規(guī)定；

　　四、操作密碼定期更改要求，超級(jí)用戶權(quán)限設(shè)定、機(jī)房管理員權(quán)限等等的權(quán)限設(shè)定；

　　五、各種主要數(shù)據(jù)的冗災(zāi)備份要求；

　　六、《機(jī)房日志》及軟件維護(hù)、增刪、配置的更改，各類硬件設(shè)備的添加、更換等登記要求；

　　七、對(duì)機(jī)房?jī)?nèi)設(shè)置的消防器材等不定期進(jìn)行檢查的要求，以保證其有效性；

　　八、機(jī)房環(huán)境（如整潔、溫度等等）的要求；

　　九、其他。

　　安全保護(hù)技術(shù)措施制度

　　一、系統(tǒng)日志保存完善。根據(jù)不同互聯(lián)網(wǎng)服務(wù)性質(zhì)保存相應(yīng)的日志項(xiàng)目（具體項(xiàng)目參照《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，項(xiàng)目應(yīng)達(dá)到的標(biāo)準(zhǔn)參照《中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)》GA610－20xx、GA611－20xx、GA612－20xx），做到保存項(xiàng)目完整、保存時(shí)間在60天以上；

　　二、對(duì)系統(tǒng)安全防范系統(tǒng)定期檢測(cè)、升級(jí)、漏洞修補(bǔ)，確保系統(tǒng)安全；

　　三、系統(tǒng)數(shù)據(jù)冗災(zāi)備份；

　　四、定期巡視，確保信息安全、合法。

　　巡視上報(bào)制度

　　一、對(duì)于論壇BBS、社區(qū)、留言板、聊天室、游戲，建立信息發(fā)布前的關(guān)鍵字或敏感詞匯的過濾機(jī)制（關(guān)鍵字內(nèi)容包含邪教術(shù)語(yǔ)、淫穢術(shù)語(yǔ)等等，密切關(guān)注社會(huì)動(dòng)態(tài)，對(duì)關(guān)鍵字或敏感詞匯作及時(shí)調(diào)整等等方面的具體規(guī)定）；

　　二、對(duì)于電子郵件服務(wù)，建立垃圾郵件的自動(dòng)過濾功能；

　　三、上述欄目屬于新聞時(shí)事、時(shí)政類的欄目，必須建立信息發(fā)布前的先審后發(fā)制度；

　　四、日常化巡視（可以由管理員、版主等等輪流或分塊負(fù)責(zé)，如何分工實(shí)現(xiàn)日常化巡視、巡視時(shí)職責(zé)是及時(shí)發(fā)現(xiàn)有害信息并及時(shí)處置等等都應(yīng)明確）；

　　五、上述四條，系統(tǒng)自動(dòng)過濾、審核、巡視出的有害信息應(yīng)留存，并定期向公安機(jī)關(guān)網(wǎng)絡(luò)安全部門上報(bào)；

　　帳號(hào)使用登記和操作權(quán)限管理制度

　　一、聯(lián)網(wǎng)單位應(yīng)用系統(tǒng)中的用戶權(quán)限設(shè)置；

　　二、對(duì)于論壇BBS、社區(qū)等欄目中用戶分級(jí)管理（如：游客、注冊(cè)用戶、版主、管理員等之間的權(quán)限設(shè)置，新聞時(shí)政類欄目與普通欄目版主、管理員之間的權(quán)限設(shè)置）；

　　三、后臺(tái)管理員的權(quán)限設(shè)置；

　　四、其他。

　　附則

　　本制度自即日起實(shí)施。制度一式二份，一份報(bào)公安機(jī)關(guān)的網(wǎng)絡(luò)安全部門備案，一份和《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)單位備案表》同檔保存在本單位備查。

it信息安全管理制度5

　　一、計(jì)算機(jī)設(shè)備管理系統(tǒng)

　　1、計(jì)算機(jī)的用戶部門應(yīng)保持清潔、安全、計(jì)算機(jī)設(shè)備的良好工作環(huán)境。禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等危害計(jì)算機(jī)設(shè)備安全的物品。

　　2、當(dāng)本單位非技術(shù)人員對(duì)本單位設(shè)備進(jìn)行維護(hù)時(shí)、系統(tǒng)等。、維護(hù)，本單位相關(guān)技術(shù)人員必須在現(xiàn)場(chǎng)監(jiān)督全過程。

　　計(jì)算機(jī)設(shè)備在送去修理之前必須得到有關(guān)部門負(fù)責(zé)人的批準(zhǔn)。

　　3、嚴(yán)格遵守安全操作規(guī)程和正確的使用方法，如計(jì)算機(jī)設(shè)備使用、啟動(dòng)、關(guān)機(jī)。

　　任何人不得用電插撥計(jì)算機(jī)外部設(shè)備的接口。如果計(jì)算機(jī)出現(xiàn)故障，應(yīng)及時(shí)向計(jì)算機(jī)責(zé)任部門報(bào)告。未經(jīng)許可不得擅自處理或從其他單位找技術(shù)人員進(jìn)行維護(hù)和操作。

　　二 、操作員安全管理系統(tǒng)

　　(1)操作代碼是進(jìn)入各種業(yè)務(wù)操作應(yīng)用系統(tǒng)的.代碼、數(shù)據(jù)訪問的分級(jí)控制。

　　操作代碼分為系統(tǒng)管理代碼和一般操作代碼。

　　代碼是根據(jù)不同應(yīng)用系統(tǒng)和工作職責(zé)的要求設(shè)置的。

　　(2)系統(tǒng)管理操作代碼的設(shè)置和管理

　　1、系統(tǒng)管理操作代碼必須由管理層授權(quán)。

　　2、系統(tǒng)管理員負(fù)責(zé)各種應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)、通用操作代碼的生成和維護(hù)、故障恢復(fù)的管理和維護(hù)等。

　　3、系統(tǒng)管理員必須獲得其上級(jí)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)整理的授權(quán)、故障恢復(fù)和其他操作；

　　4、系統(tǒng)管理員不得使用他人的操作碼進(jìn)行業(yè)務(wù)操作；

　　5、系統(tǒng)管理員調(diào)離崗位。上級(jí)管理員(或相關(guān)責(zé)任人)應(yīng)及時(shí)取消其代碼并生成新的系統(tǒng)管理員代碼。

　　(3)通用操作代碼的設(shè)置和管理

　　1、一般操作代碼由系統(tǒng)管理員根據(jù)各種應(yīng)用系統(tǒng)的操作要求生成，每個(gè)用戶設(shè)置一個(gè)代碼。

　　2、經(jīng)營(yíng)者不得將他人代碼用于經(jīng)營(yíng)活動(dòng)。

　　3、操作員調(diào)離崗位。系統(tǒng)管理員應(yīng)取消他的代碼，并及時(shí)生成新的操作員代碼。

　　三、密碼和權(quán)限管理系統(tǒng)

　　1、密碼設(shè)置應(yīng)該具有安全性、保密性，并且不能使用簡(jiǎn)單的代碼和標(biāo)簽。

　　密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全以及保護(hù)用戶自身權(quán)益的控制代碼。

　　密碼分為用戶密碼和操作密碼，用戶密碼是登錄系統(tǒng)時(shí)設(shè)置的密碼，操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。

　　密碼設(shè)置不應(yīng)是容易猜到的數(shù)字和字符串，如名稱、生日，重復(fù)、序列、常規(guī)數(shù)字；

　　2、密碼應(yīng)每隔不超過一個(gè)月定期修改一次。如果發(fā)現(xiàn)或懷疑密碼丟失或泄露，應(yīng)立即修改，并將用戶名、修改時(shí)間、修改等內(nèi)容記錄在相應(yīng)的寄存器中。

　　3、服務(wù)器、路由器等重要設(shè)備超級(jí)用戶的密碼被/操作機(jī)構(gòu)否定

it信息安全管理制度6

　　一、總則

　　1.1目的

　　為了規(guī)范和加強(qiáng)本單位的信息網(wǎng)絡(luò)安全管理工作，保護(hù)本單位的信息安全，確保信息系統(tǒng)正常運(yùn)行和信息數(shù)據(jù)的完整、可靠、可用，制定本制度。

　　1.2適用范圍

　　本制度適用于本單位內(nèi)所有與信息網(wǎng)絡(luò)相關(guān)的人員、設(shè)備和相關(guān)系統(tǒng)，包括但不限于計(jì)算機(jī)、服務(wù)器、路由器、交換機(jī)及其他網(wǎng)絡(luò)設(shè)備。

　　二、安全策略及責(zé)任分工

　　2.1安全策略

　　2.1.1信息網(wǎng)絡(luò)安全的目標(biāo)

　　確保信息系統(tǒng)安全，包括信息的保密性、完整性和可用性，并維護(hù)用戶信息的隱私和合法權(quán)益。

　　2.1.2安全管理原則

　　●安全性原則：信息安全應(yīng)得到重視，安全風(fēng)險(xiǎn)應(yīng)得到合理的評(píng)估和管理。

　　●權(quán)限控制原則：用戶在信息系統(tǒng)的訪問和操作應(yīng)有相應(yīng)權(quán)限控制，并嚴(yán)格按照權(quán)限進(jìn)行操作。

　　●安全審計(jì)與監(jiān)控原則：建立日志審計(jì)和監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)和處理安全事件。

　　●響應(yīng)與恢復(fù)原則：建立應(yīng)急響應(yīng)和災(zāi)備機(jī)制，能夠有效應(yīng)對(duì)安全事件和恢復(fù)環(huán)境。

　　2.2責(zé)任分工

　　2.2.1安全管理部門

　　負(fù)責(zé)制定安全管理政策和制度，監(jiān)督、管理和評(píng)估網(wǎng)絡(luò)安全工作，并負(fù)責(zé)應(yīng)急響應(yīng)和安全事件處置。

　　2.2.2信息網(wǎng)絡(luò)管理員

　　負(fù)責(zé)本單位信息網(wǎng)絡(luò)的運(yùn)維和安全管理工作，包括但不限于設(shè)備安裝及配置、漏洞修復(fù)、日志審計(jì)和監(jiān)控等。

　　2.2.3用戶

　　負(fù)責(zé)保護(hù)自己的`賬戶和密碼安全，不得隨意泄漏個(gè)人信息，合法合規(guī)使用信息網(wǎng)絡(luò)。

　　三、安全規(guī)范和技術(shù)要求

　　3.1密碼安全

　　3.1.1密碼強(qiáng)度要求

　　●密碼長(zhǎng)度不少于8位。

　　●包含大小寫字母、數(shù)字和特殊字符。 ●禁止使用常用密碼和個(gè)人信息作為密碼。 3.1.2密碼定期更換

　　用戶密碼應(yīng)定期更換，建議每90天更換一次。 3.2防安全

　　3.2.1安裝有效的殺毒軟件

　　所有終端設(shè)備應(yīng)安裝依托互聯(lián)網(wǎng)進(jìn)行實(shí)時(shí)更新的殺毒軟件，確保設(shè)備的安全。

　　3.2.2定期掃描

　　定期對(duì)計(jì)算機(jī)和服務(wù)器進(jìn)行掃描，及時(shí)清除并進(jìn)行修復(fù)。 3.3訪問控制

　　3.3.1用戶權(quán)限管理

　　對(duì)不同角色的用戶設(shè)置相應(yīng)的訪問權(quán)限，保證合理的訪問控制。

　　3.3.2賬號(hào)鎖定

　　設(shè)置連續(xù)登錄失敗次數(shù)達(dá)到一定次數(shù)后，用戶賬號(hào)自動(dòng)鎖定一段時(shí)間。

　　3.4安全審計(jì)與監(jiān)控

　　3.4.1建立日志審計(jì)機(jī)制

　　建立日志審計(jì)系統(tǒng)，記錄用戶的操作日志，以便對(duì)安全事件進(jìn)行追溯和分析。

　　3.4.2實(shí)施網(wǎng)絡(luò)流量監(jiān)控

　　對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)異常流量和攻擊行為，并采取相應(yīng)的防護(hù)措施。

it信息安全管理制度7

　　一、嚴(yán)格執(zhí)行《食品衛(wèi)生法》，食堂工作人員應(yīng)樹立良好的衛(wèi)生意識(shí)，養(yǎng)成良好的衛(wèi)生習(xí)慣。

　　二、膳食工作要堅(jiān)持為我院職工及患者生活服務(wù)的宗旨，以“管理育人”、“服務(wù)育人”為目的，開展各種形式的經(jīng)營(yíng)服務(wù)活動(dòng)，堅(jiān)持優(yōu)質(zhì)服務(wù)，講究職業(yè)道德。

　　三、食堂工作人員必須持有效的健康證和衛(wèi)生知識(shí)培訓(xùn)合格證方可上崗。上班時(shí)間要穿工作服，戴帽、口罩、號(hào)碼、胸卡等；出售直接入口食品時(shí)，必須使用售貨工具。

　　四、采購(gòu)驗(yàn)收食品應(yīng)當(dāng)無毒、無害，符合食品衛(wèi)生標(biāo)準(zhǔn)和營(yíng)養(yǎng)要求，且有良好的感官形狀。

　　、加工烹飪食品的營(yíng)養(yǎng)要搭配合理，要符合職工及患者的健康需

　　六、注意內(nèi)外環(huán)境衛(wèi)生，做到窗明幾凈、地面清潔、桌椅擺放整齊且清潔，后堂大廳的衛(wèi)生要隨時(shí)打掃，定期消毒，不留死角。

　　七、餐具和盛放直接入口食品、容器，使用前必須洗凈消毒；炊具用具用后清洗干凈，保持清潔。

　　八、食品的洗切、加工必須采取“一洗、二浸、三燙、四炒”的烹飪程序，加工好的食品要徹底符合衛(wèi)生要求，保證不受污染。

　　九、物資進(jìn)倉(cāng)要保持清潔衛(wèi)生，存放要生熟分開，包裝食品要離地存放，散裝食品應(yīng)用容器加蓋存放，注意保質(zhì)、保鮮。

　　十、加強(qiáng)思想政治工作，做好食堂工作人員的.職業(yè)道德教育，防止食物中毒等方面知識(shí)的教育，杜絕食物中毒。

　　十一、對(duì)出現(xiàn)違反安全、衛(wèi)生規(guī)定，出現(xiàn)火災(zāi)或食物中毒的食堂，視情節(jié)輕重，追究當(dāng)事人和領(lǐng)導(dǎo)者的責(zé)任，處以罰款，情節(jié)嚴(yán)重的追究法律責(zé)任。

it信息安全管理制度8

　　1、為了加強(qiáng)學(xué)校的教育網(wǎng)絡(luò)和信息安全保障工作，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》和其它有關(guān)法律、法規(guī)的規(guī)定，制定本制度。

　　2、本制度適用于學(xué)校內(nèi)網(wǎng)絡(luò)機(jī)房、各計(jì)算機(jī)網(wǎng)絡(luò)用戶。

　　3、任何部門和個(gè)人不得利用校園網(wǎng)絡(luò)或國(guó)際互聯(lián)網(wǎng)危害國(guó)家安全、泄露國(guó)家和學(xué)校秘密，不得侵犯國(guó)家的、社會(huì)的、學(xué)校的利益和公民的合法權(quán)益，不得從事犯罪活動(dòng)。

　　4、任何部門和個(gè)人不得利用校園網(wǎng)絡(luò)或國(guó)際互聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播下列有害信息：

　�、派縿�(dòng)顛覆國(guó)家政權(quán)、破壞國(guó)家統(tǒng)一，破壞民族團(tuán)結(jié)、宗教極端勢(shì)力和境外敵對(duì)勢(shì)力的反動(dòng)言論；

　�、颇笤旎蛘咄崆�事實(shí)、散布謠言、擾亂校園秩序和社會(huì)秩序；

　　⑶宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪。

　　5、任何部門和個(gè)人不得從事下列危害校園網(wǎng)絡(luò)和計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)：

　�、盼唇�(jīng)允許不得對(duì)校園網(wǎng)絡(luò)功能和學(xué)校網(wǎng)站進(jìn)行刪除、修改或者增加。

　　⑵未經(jīng)允許不得對(duì)校園網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加。

　�、遣坏迷谛�園網(wǎng)絡(luò)和互聯(lián)網(wǎng)中故意制作、傳播計(jì)算機(jī)病毒等破壞性程序。

　　6、在校園網(wǎng)絡(luò)、學(xué)校網(wǎng)站、電子信箱中發(fā)現(xiàn)有反動(dòng)、迷信、淫穢內(nèi)容的信息應(yīng)及時(shí)報(bào)告學(xué)校領(lǐng)導(dǎo)或電教網(wǎng)絡(luò)中心。

　　7、服務(wù)器、路由器和交換機(jī)的.口令由專人負(fù)責(zé)保管，不得隨意外泄。口令的修改及設(shè)定需做好專門記錄和備案。

　　8、校園網(wǎng)上網(wǎng)帳戶的建立、E－Mail帳戶的申請(qǐng)、變更等需填寫申請(qǐng)單，由網(wǎng)絡(luò)中心完成設(shè)置并記入運(yùn)行日志。

　　9、教師給家長(zhǎng)發(fā)布的信息必須經(jīng)兩位教師商量決定，信息發(fā)布人應(yīng)當(dāng)對(duì)所發(fā)布的信息備案記錄，以加強(qiáng)管理；網(wǎng)絡(luò)中心對(duì)所收到的經(jīng)過審核后的信息在確認(rèn)審核意見后，應(yīng)及時(shí)在網(wǎng)上發(fā)布，并確保發(fā)布信息的準(zhǔn)確性；做好數(shù)據(jù)備份工作，確保系統(tǒng)遭破壞后能及時(shí)恢復(fù)。

　　10、未經(jīng)本中心批準(zhǔn)，不得在校園網(wǎng)內(nèi)建立自己的WEB站點(diǎn)、BBS站點(diǎn)、討論組及其它類似的信息站點(diǎn)。學(xué)校網(wǎng)站的策劃，內(nèi)容的增刪由中心負(fù)責(zé)。信息發(fā)布的內(nèi)容須經(jīng)校辦公室審核。

　　11、指定專人負(fù)責(zé)本學(xué)校的計(jì)算機(jī)網(wǎng)絡(luò)管理和信息管理。

　　12、對(duì)于違反上述制度的有關(guān)人員，將采取教育、經(jīng)濟(jì)處罰和行政處罰等措施，觸犯法律的將移送公安司法機(jī)關(guān)依法追究刑事責(zé)任。

　　13、本制度自發(fā)布之日起實(shí)施。

it信息安全管理制度9

　　第一條為加強(qiáng)我局信息安全建設(shè),提高全體稅務(wù)干部的信息安全意識(shí)和技能,保障我局信息系統(tǒng)安全穩(wěn)定的運(yùn)行,特制定本制度。

　　第二條信息安全培訓(xùn)旨在強(qiáng)化我局全體稅務(wù)干部的信息安全意識(shí),使之明確信息安全是每個(gè)人的責(zé)任,并掌握其崗位所要求的信息安全操作技能。

　　第三條針對(duì)不同的培訓(xùn)對(duì)象進(jìn)行分層次的培訓(xùn),信息安全培訓(xùn)分為管理層培訓(xùn)、技術(shù)層培訓(xùn)和普通用戶層培訓(xùn)三個(gè)層面,分層培訓(xùn)內(nèi)容的參考范圍和需達(dá)到的'標(biāo)準(zhǔn)如下:

　　一、管理層信息安全培訓(xùn)

　　(一)對(duì)象:市局、各區(qū)縣局的各級(jí)領(lǐng)導(dǎo)。

　　(二)內(nèi)容:宏觀信息安全管理理念及高級(jí)信息安全管理知識(shí)。

　　(三)標(biāo)準(zhǔn):使管理層人員能夠了解其信息安全職責(zé),具備其工作所需的信息安全管理知識(shí)和信息安全管理能力。

　　二、技術(shù)層信息安全培訓(xùn)

　　(一)對(duì)象:各級(jí)信息化管理部門的各類技術(shù)管理人員。

　　(二)內(nèi)容:系統(tǒng)安全策略;內(nèi)部和外部攻擊的檢測(cè);常用計(jì)算機(jī)及網(wǎng)絡(luò)安全保護(hù)手段、日常工作中需要注意的信息安全方面的事項(xiàng); 《北京市地方稅務(wù)局信息系統(tǒng)安全管理框架》下包括的所有制度內(nèi)容。

　　(三)標(biāo)準(zhǔn):使技術(shù)層人員能夠了解其所從事崗位的信息安全職責(zé),熟悉與其工作相關(guān)的各項(xiàng)信息安全制度,具備工作所需的信息安全知識(shí)和技能。

　　三、普通用戶層信息安全培訓(xùn)

　　(一)對(duì)象:全局的普通計(jì)算機(jī)用戶。

　　(二)內(nèi)容:所在崗位的信息安全職責(zé);計(jì)算機(jī)病毒預(yù)防和查殺的基本技能;計(jì)算機(jī)設(shè)備物理安全知識(shí)和網(wǎng)絡(luò)安全常識(shí); 《北京市地方稅務(wù)局信息系統(tǒng)安全管理框架》下的所有普通用戶應(yīng)掌握和了解的制度內(nèi)容。

　　(三)標(biāo)準(zhǔn):使普通用戶了解其信息安全職責(zé),熟悉與工作相關(guān)的各項(xiàng)信息安全制度,具備工作所需的信息安全知識(shí)和技能。

　　第四條各單位信息安全管理部門和人事教育部門負(fù)責(zé)每年制定管理層和普通用戶層的信息安全培訓(xùn)計(jì)劃

it信息安全管理制度10

　　根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院）》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定（國(guó)務(wù)院）》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法（公安部）》等規(guī)定，常武醫(yī)院將認(rèn)真開展網(wǎng)絡(luò)與信息安全工作，明確安全責(zé)任，建立健全的管理制度，落實(shí)技術(shù)防范措施，保證必要的經(jīng)費(fèi)和條件，對(duì)一切不良、有毒、違法等信息進(jìn)行過濾、對(duì)用戶信息進(jìn)行保密，確保網(wǎng)絡(luò)信息和用戶信息的安全。

　　一、網(wǎng)站安全保障措施

　　1、網(wǎng)站服務(wù)器和其他計(jì)算機(jī)之間設(shè)置防火墻，拒絕外來惡意程序的攻擊，保障網(wǎng)站正常運(yùn)行。

　　2、在網(wǎng)站的服務(wù)器及工作站上安裝相應(yīng)的防病毒軟件，對(duì)計(jì)算機(jī)病毒、有害電子郵件有效防范，防止有害信息對(duì)網(wǎng)站系統(tǒng)的干擾和破壞。

　　3、做好訪問日志的留存。網(wǎng)站具有保存三個(gè)月以上的系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址及使用情況，主頁(yè)維護(hù)者、對(duì)應(yīng)的IP地址情況等。

　　4、交互式欄目具備有IP地址、身份登記和識(shí)別確認(rèn)功能，對(duì)非法貼子或留言能做到及時(shí)刪除并根據(jù)需要將重要信息向相關(guān)部門匯報(bào)。

　　5、網(wǎng)站信息服務(wù)系統(tǒng)建立多種備份機(jī)制，一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運(yùn)行，可以在最短的時(shí)間內(nèi)替換主系統(tǒng)提供服務(wù)。

　　6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能及相關(guān)端口，并及時(shí)修復(fù)系統(tǒng)漏洞，定期查殺病毒。

　　7、服務(wù)器平時(shí)處于鎖定狀態(tài)，并保管好登錄密碼；后臺(tái)管理界面設(shè)置超級(jí)用戶名、密碼和驗(yàn)證碼并綁定IP，以防他人非法登陸。

　　8、網(wǎng)站提供集中管理、多級(jí)審核的管理模式，針對(duì)不同的應(yīng)用系統(tǒng)、終端、操作人員，由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫(kù)信息的訪問權(quán)限，并設(shè)置相應(yīng)的密碼及口令。

　　9、不同的操作人員設(shè)定不同的用戶名和操作口令，且定期更換操作口令，嚴(yán)禁操作人員泄漏自己的口令；對(duì)操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定，并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員的操作記錄。

　　二、信息安全保密管理制度

　　1、充分發(fā)揮和有效利用常武醫(yī)院醫(yī)療信息資源，保障常武醫(yī)院門戶網(wǎng)站的正常運(yùn)行，對(duì)網(wǎng)絡(luò)信息進(jìn)行及時(shí)、有效、規(guī)范的管理。

　　2、在常武醫(yī)院門戶網(wǎng)站服務(wù)器上提供的信息，不得危害國(guó)家安全、泄露國(guó)家秘密；不得有害社會(huì)穩(wěn)定、治安和有傷風(fēng)化。

　　3、本院各部門及信息采集人員對(duì)所提供信息的真實(shí)性、合法性負(fù)責(zé)并承擔(dān)發(fā)布信息引起的任何法律責(zé)任；

　　4、各部門指定專人擔(dān)任信息管理員，負(fù)責(zé)本網(wǎng)站信息發(fā)布工作，不允許用戶將其帳號(hào)、密碼轉(zhuǎn)讓或借予他人使用；因密碼泄密給本網(wǎng)站以及本院帶來的不利影響由泄密人承擔(dān)全部責(zé)任，并追究該部門負(fù)責(zé)人的管理責(zé)任；

　　5、不得將任何內(nèi)部資料、機(jī)密資料、涉及他人隱私資料或侵犯任何人的專利、商標(biāo)、著作權(quán)、商業(yè)秘密或其他專屬權(quán)利之內(nèi)容加以上載、張貼。

　　6、所有信息及時(shí)備份，并按規(guī)定將系統(tǒng)運(yùn)行日志和用戶使用日志記錄保存3月以上且未經(jīng)審核不得刪除；網(wǎng)站管理員不得隨意篡改后臺(tái)操作記錄；

　　7、嚴(yán)格遵循部門負(fù)責(zé)制的原則，明確責(zé)任人的職責(zé)，細(xì)化工作流程，網(wǎng)站相關(guān)信息按照編輯上傳→初審→終審?fù)ㄟ^的審核程序發(fā)布，切實(shí)保障網(wǎng)絡(luò)信息的有效性、真實(shí)性、合法性；

　　8、遵守對(duì)網(wǎng)站服務(wù)信息監(jiān)視、保存、清除和備份的.制度，經(jīng)常開展網(wǎng)絡(luò)有害信息的排查清理工作，對(duì)涉嫌違法犯罪的信息及時(shí)報(bào)告并協(xié)助公安機(jī)關(guān)查處。

　　三、用戶信息安全管理制度

　　常武醫(yī)院門戶網(wǎng)站為充分保護(hù)用戶的個(gè)人隱私、保障用戶信息安全，特制訂用戶信息安全管理制度。

　　1、定期對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)并進(jìn)行考核，使網(wǎng)站相關(guān)管理人員充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，嚴(yán)格遵守相應(yīng)規(guī)章制度。

　　2、尊重并保護(hù)用戶的個(gè)人隱私，除了在與用戶簽署的隱私保護(hù)協(xié)議和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下，未經(jīng)用戶授權(quán)不隨意公布和泄露用戶個(gè)人身份信息。

　　3、對(duì)用戶的個(gè)人信息嚴(yán)格保密，并承諾未經(jīng)用戶授權(quán)，不得編輯或透露其個(gè)人信息及保存在本網(wǎng)站中的非公開內(nèi)容，但下列情況除外：

　　① 違反相關(guān)法律法規(guī)或本網(wǎng)站服務(wù)協(xié)議規(guī)定；

　�、� 按照主管部門的要求，有必要向相關(guān)法律部門提供備案的內(nèi)容；

　�、� 因維護(hù)社會(huì)個(gè)體和公眾的權(quán)利、財(cái)產(chǎn)或人身安全的需要；

　　④ 被侵害的第三人提出合法的權(quán)利主張；

　　⑤ 為維護(hù)用戶及社會(huì)公共利益、本網(wǎng)站的合法權(quán)益的需要；

　　⑥ 事先獲得用戶的明確授權(quán)或其它符合需要公開的相關(guān)要求。

　　4、用戶應(yīng)當(dāng)嚴(yán)格遵守網(wǎng)站用戶帳號(hào)使用登記和操作權(quán)限管理制度，并對(duì)自己的用戶賬號(hào)、密碼妥善保管，定期或不定期修改登錄密碼，嚴(yán)格保密，嚴(yán)禁向他人泄露。

　　5、每個(gè)用戶都要對(duì)其帳號(hào)中的所有活動(dòng)和事件負(fù)全責(zé)。用戶可隨時(shí)改變用戶的密碼和圖標(biāo)，也可以結(jié)束舊的帳號(hào)而重新申請(qǐng)注冊(cè)一個(gè)新帳號(hào)。用戶同意若發(fā)現(xiàn)任何非法使用用戶帳號(hào)或安全漏洞的情況，有義務(wù)立即通告本網(wǎng)站。

　　6、如用戶不慎泄露登陸賬號(hào)和密碼，應(yīng)當(dāng)及時(shí)與網(wǎng)站管理員聯(lián)系，請(qǐng)求管理員及時(shí)鎖定用戶的操作權(quán)限，防止他人非法操作；在用戶提供有效身份證明和有效憑據(jù)并審查核實(shí)后，重新設(shè)定密碼恢復(fù)正常使用。

　　常武醫(yī)院將嚴(yán)格執(zhí)行本規(guī)章制度，并形成規(guī)范化管理，并成立由單位負(fù)責(zé)人、其他部門負(fù)責(zé)人、信息管理主要技術(shù)人員組成的網(wǎng)絡(luò)信息安全小組，并確定至少兩名安全負(fù)責(zé)人作為突發(fā)事件處理的直接責(zé)任人。

it信息安全管理制度11

　　一、人員方面

　　1. 建立網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組；落實(shí)具體的安全管理人員。以上人員要提供24小時(shí)有效、暢通的聯(lián)系方式。

　　2. 對(duì)安全管理人員進(jìn)行基本培訓(xùn)，提高應(yīng)急處理能力。

　　3. 進(jìn)行全員網(wǎng)絡(luò)安全知識(shí)宣傳教育，提高安全意識(shí)。

　　二、設(shè)備方面

　　1. 對(duì)電腦采取有效的安全防護(hù)措施（及時(shí)更新系統(tǒng)補(bǔ)丁，安裝有效的防病毒軟件等）。

　　2. 強(qiáng)化無線網(wǎng)絡(luò)設(shè)備的安全管理（設(shè)置有效的管理口令和連接口令，防止校園周邊人員入侵網(wǎng)絡(luò)；如果采用自動(dòng)分配IP地址，可考慮進(jìn)行Mac地址綁定）。

　　3. 不用的信息系統(tǒng)及時(shí)關(guān)閉（如有些系統(tǒng)只是在開學(xué)、期末、某一階段使用幾天，寒暑假不使用的系統(tǒng)應(yīng)當(dāng)關(guān)閉）；

　　4. 注意有關(guān)密碼的保密工作并牢記密碼，定期更改相關(guān)密碼，注意密碼的復(fù)雜度，至少8位以上，建議使用字母加數(shù)字加特殊符號(hào)的組合方式；

　　5. 修改默認(rèn)密碼，不能使用默認(rèn)的統(tǒng)一密碼；

　　6. 在信息系統(tǒng)正常部署完成后，應(yīng)該修改系統(tǒng)后臺(tái)調(diào)試期間的密碼，不應(yīng)該繼續(xù)使用工程師調(diào)試系統(tǒng)時(shí)所使用的密碼；

　　7. 正常工作日應(yīng)該保證至少登錄、瀏覽一次系統(tǒng)相關(guān)頁(yè)面，及時(shí)發(fā)現(xiàn)有無被篡改等異�，F(xiàn)象，特殊時(shí)間應(yīng)增加檢查頻率；

　　8. 服務(wù)器上安裝殺毒軟件（保持升級(jí)到最新版），至少每周對(duì)操作系統(tǒng)進(jìn)行一次病毒掃描檢查、修補(bǔ)系統(tǒng)漏洞，檢查用戶數(shù)據(jù)是否有異常（例如增加了一些非管理員添加的用戶），檢查安裝的軟件是否有異常（例如出現(xiàn)了一些不是管理員安裝的未知用途的程序）；

　　9. 對(duì)上網(wǎng)信息（會(huì)發(fā)布在前臺(tái)的文字、圖片、音視頻等），應(yīng)該由兩位以上工作人員仔細(xì)核對(duì)無誤后，再發(fā)布到網(wǎng)站、系統(tǒng)中；

　　10. 對(duì)所有的上傳信息，應(yīng)該有敏感字、關(guān)鍵字過濾、特征碼識(shí)別等檢測(cè)；

　　11. 系統(tǒng)、網(wǎng)站的重要數(shù)據(jù)和數(shù)據(jù)，每學(xué)期定期做好有關(guān)數(shù)據(jù)的.備份工作，包括本地備份和異地備份；

　　12. 有完善的運(yùn)行日志和用戶操作日志，并能記錄源端口號(hào)；

　　13. 保證頁(yè)面正常運(yùn)行，不出現(xiàn)404錯(cuò)誤等；

　　14. 加強(qiáng)電腦的使用管理（專人專管，誰用誰負(fù)責(zé)；電腦設(shè)置固定IP地址，并登記備案）。

　　15. 在變更系統(tǒng)管理員、信息員時(shí)，應(yīng)該做好交接工作，避免影響系統(tǒng)的正常運(yùn)行，管理員變更后，相關(guān)密碼也應(yīng)該隨之變更；

　　16. 對(duì)于所管理的系統(tǒng)中的子帳號(hào)，在相關(guān)人員離職等原因不再管理時(shí)，應(yīng)該將有關(guān)帳號(hào)禁用或刪除，避免帶來安全隱患；

　　三、事故處置和匯報(bào)

　　1．發(fā)生網(wǎng)絡(luò)及信息安全事故，無法立即處理的，要及時(shí)斷網(wǎng)（值班人員要會(huì)進(jìn)行斷網(wǎng)操作）；并保護(hù)好相關(guān)現(xiàn)場(chǎng)（主要是電腦和網(wǎng)絡(luò)設(shè)備），以便有關(guān)部門處理。

　　2．發(fā)生網(wǎng)絡(luò)和信息安全事故要及時(shí)逐級(jí)匯報(bào)。

it信息安全管理制度12

　　1.前言

　　1.1.目的

　　制定本制度的目的是保證公司IT系統(tǒng)有效、安全的運(yùn)行，保證系統(tǒng)數(shù)據(jù)安全。

　　1.2.范圍

　　本制度適用于中電電氣(南京)光伏有限公司數(shù)據(jù)中心的日常運(yùn)行。

　　2.控制點(diǎn)

　　2.1.日常運(yùn)轉(zhuǎn)

　　1)各系統(tǒng)負(fù)責(zé)人(職責(zé)分工見【SODmatrix】)，隨時(shí)處理網(wǎng)絡(luò)故障、解決網(wǎng)絡(luò)問題、保持網(wǎng)絡(luò)暢通、提高網(wǎng)絡(luò)的可用性和可靠性。

　　2)每周兩次檢查機(jī)房服務(wù)器、交換機(jī)、路由器、光纖收發(fā)器等設(shè)備運(yùn)行情況，每周需填寫【資源檢查記錄表】;晚上或節(jié)假日期間，視網(wǎng)絡(luò)應(yīng)用情況，設(shè)置現(xiàn)場(chǎng)值班或呼叫值班。

　　3)保持設(shè)備表面干凈整潔，操作設(shè)備時(shí)佩戴防靜電手環(huán)等。

　　4)機(jī)房管理員注意機(jī)房的溫度和濕度,機(jī)房溫度：18~30攝氏度，相對(duì)濕度：40%~60%。

　　5)公司員工不得私自安裝未經(jīng)授權(quán)或非法的軟件，授權(quán)軟件詳見【授權(quán)軟件記錄表】，信息管理部系統(tǒng)管理人員每半年通過SMS對(duì)用戶安裝軟件進(jìn)行檢查，對(duì)非法軟件進(jìn)行刪除，并填寫【用戶軟件檢查記錄表】，記錄用戶安裝的異常信息及處理結(jié)果，并報(bào)IT經(jīng)理審核。

　　2.2.病毒黑客預(yù)防管理

　　1)網(wǎng)絡(luò)管理員每周監(jiān)控企業(yè)防病毒服務(wù)器的升級(jí)情況，監(jiān)控機(jī)房中服務(wù)器殺毒軟件的更新情況，在服務(wù)器上設(shè)置自動(dòng)更新、定期掃描策略(配置見公司殺毒服務(wù)器配置)，并填寫【資源更新記錄表】，每月報(bào)IT經(jīng)理審核。

　　2)每周信息管理部網(wǎng)絡(luò)管理員通過現(xiàn)場(chǎng)或通過SMS管理軟件檢查客戶端計(jì)算機(jī)防毒軟件的升級(jí)情況和實(shí)時(shí)監(jiān)控狀態(tài)，并填寫【資源檢查記錄表】，每月報(bào)IT經(jīng)理審核。

　　3)信息管理部網(wǎng)絡(luò)管理人員隨時(shí)注意Internet上病毒流行和爆發(fā)動(dòng)態(tài)，并及時(shí)向客戶端計(jì)算機(jī)發(fā)出病毒預(yù)警。

　　4)要有病毒爆發(fā)后的緊急處理預(yù)案，以便快速恢復(fù)系統(tǒng)，保證系統(tǒng)及時(shí)相應(yīng)服務(wù)。

　　5)利用ISA服務(wù)器或Netscreen防火墻屏蔽黑客或病毒常用的端口，提高密碼復(fù)雜度等。每周三WSUS服務(wù)器及時(shí)下推補(bǔ)丁給信息管理部，如補(bǔ)丁安裝完后沒有問題，每周四WSUS服務(wù)器及時(shí)下推補(bǔ)丁給網(wǎng)絡(luò)中所有的計(jì)算機(jī)。

　　6)信息部網(wǎng)絡(luò)管理員每天監(jiān)控網(wǎng)絡(luò)的健康狀態(tài)，觀測(cè)網(wǎng)絡(luò)流量。

　　2.3.帳戶安全管理

　　1)用戶開戶和權(quán)限變更，需填寫【賬戶變更申請(qǐng)單】，經(jīng)部門經(jīng)理IT經(jīng)理審批后，最后由信息管理部各系統(tǒng)管理員進(jìn)行各應(yīng)用系統(tǒng)的帳戶的開戶工作、變更工作。帳戶注銷，直接由各系統(tǒng)管理員在人力資源部的員工離職交接單中簽字后，在系統(tǒng)中執(zhí)行相關(guān)操作。

　　2)臨時(shí)開設(shè)的帳戶也需要填寫【賬戶變更申請(qǐng)單】，一定要控制好帳戶過期時(shí)間和權(quán)限。系統(tǒng)缺省的管理員帳號(hào)必須禁用或修改初始密碼，系統(tǒng)管理員賬號(hào)需填寫【權(quán)限授權(quán)表】，經(jīng)IT經(jīng)理審核后，方可執(zhí)行，系統(tǒng)管理員帳號(hào)的密碼在移交后的第一次登錄時(shí)必須重新設(shè)置密碼。

　　3)用戶帳戶僅限于本人使用，不得以任何方式將賬戶和密碼轉(zhuǎn)借他人，不得窺視或盜用他人的賬戶和密碼。同時(shí)，用戶有妥善保管自己賬戶和密碼的責(zé)任和義務(wù)，不得泄露。

　　4)各系統(tǒng)管理員每半年檢查一次帳戶信息，導(dǎo)出各系統(tǒng)賬戶及權(quán)限清單，與各部門經(jīng)理確認(rèn)系統(tǒng)帳戶和權(quán)限是否與申請(qǐng)人實(shí)際使用情況相符，由部門經(jīng)理簽字確認(rèn)，填寫【資源檢查記錄表】，報(bào)IT經(jīng)理審核。

　　5)現(xiàn)涉及到的帳戶類型如下：域賬戶、電子郵件賬戶、SAP賬戶、無線網(wǎng)帳戶。

　　6)如果系統(tǒng)策略允許，使用帳戶10次登錄失敗后帳戶立即鎖定。

　　7)如果系統(tǒng)策略允許，帳戶鎖定60分鐘后自動(dòng)解鎖。

　　2.4.密碼安全策略

　　如果系統(tǒng)支持密碼復(fù)雜度管理，則啟用密碼復(fù)雜度規(guī)則，滿足如下條款。

　　1)密碼長(zhǎng)度最短為八個(gè)字符。

　　2)必須同時(shí)包含以下四個(gè)類別字符中的三類字符：英文大寫字母(從A到Z)，英文小寫字母(從a到z)，數(shù)字(從0到9)，非字母字符(例如，!、$、#、%)。

　　3)密碼的最長(zhǎng)使用時(shí)間60天。

　　4)最近三次歷史密碼不能重復(fù)使用。

　　5)對(duì)各操作系統(tǒng)內(nèi)置帳戶集中到IT經(jīng)理處管理，并遵循以上規(guī)則。

　　6)其他不支持此密碼安全策略的應(yīng)用系統(tǒng)，系統(tǒng)負(fù)責(zé)人要根據(jù)以上策略手工設(shè)置。如SQL20xx、防火墻Netscreen

　　2.5.網(wǎng)絡(luò)安全管理

　　1)伴隨網(wǎng)絡(luò)的不斷擴(kuò)展，如果網(wǎng)絡(luò)中有增減設(shè)備的情況，及時(shí)更新網(wǎng)絡(luò)拓?fù)鋱D，及時(shí)調(diào)整防火墻、核心交換機(jī)等設(shè)備配置，并填寫【資源變更申請(qǐng)單】。

　　2)內(nèi)部網(wǎng)絡(luò)不接受任何外部訪問(防火墻DMZ區(qū)、除外)，所有的外部訪問都在防火墻的DMZ區(qū)，并且防火墻上策略限制只開放需要的端口，如郵件服務(wù)器所需要的`443端口等，其余端口全部禁用。防火墻DMZ區(qū)主機(jī)需要訪問內(nèi)網(wǎng)DC服務(wù)器，此訪問安全控制由ISA網(wǎng)關(guān)服務(wù)器完成。

　　3)內(nèi)網(wǎng)訪問Internet或訪問DMZ主機(jī)的訪問權(quán)限和所能通過的服務(wù)均由ISA網(wǎng)關(guān)服務(wù)器控制，ISA策略根據(jù)網(wǎng)絡(luò)系統(tǒng)安全和公司具體應(yīng)用確定(具體應(yīng)用見ISA服務(wù)器配置)，此服務(wù)器有專人管理。

　　4)信息管理部設(shè)專人每月度檢查核心交換機(jī)、防火墻、無線網(wǎng)控制器的配置，確認(rèn)是否與公司的服務(wù)器配置策略相符，并填寫【資源檢查記錄表】，提交給IT部門經(jīng)理審批簽字。

　　5)信息管理部設(shè)專人至少每周檢查一次防火墻的日志，確保網(wǎng)絡(luò)不受可疑對(duì)象攻擊，保證網(wǎng)絡(luò)的安全性、穩(wěn)定性，并填寫【日志檢查記錄表】，每月提交給IT部門經(jīng)理審批簽字。

　　6)每周進(jìn)行一次網(wǎng)絡(luò)數(shù)據(jù)包分析，及時(shí)發(fā)現(xiàn)類似ARP等病毒攻擊，及早預(yù)防。

　　7)每年對(duì)防火墻、核心交換機(jī)的日常維護(hù)記錄整理存檔一次。

　　2.6.數(shù)據(jù)安全管理

　　1)合理使用計(jì)算機(jī)分區(qū)，不得將重要數(shù)據(jù)存放在系統(tǒng)分區(qū)。

　　2)公司數(shù)據(jù)庫(kù)系統(tǒng)、人事檔案、技術(shù)資料、圖紙、統(tǒng)計(jì)資料、營(yíng)銷計(jì)劃、財(cái)務(wù)報(bào)表等重要資料要每日進(jìn)行自動(dòng)備份，每月進(jìn)行一次完全備份;重要部門、重要系統(tǒng)不僅要做硬盤備份，還要定刻成成光盤，存放在異地長(zhǎng)期保存。

　　3)含有重要資訊的資料(卡片、稿紙等)廢棄時(shí)，應(yīng)確定銷毀，以免被誤用。

　　4)對(duì)不同用戶應(yīng)用不同的系統(tǒng)策略，避免造成整個(gè)系統(tǒng)癱瘓。嚴(yán)格限制對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)的更改權(quán)利;嚴(yán)格限制重組數(shù)據(jù)庫(kù)或壓縮數(shù)據(jù)庫(kù)大小的權(quán)力;嚴(yán)格限制修改系統(tǒng)架構(gòu)的權(quán)利等，操作系統(tǒng)日志每周檢查一次，并填寫【日志檢查記錄表】，每月報(bào)IT經(jīng)理審核。

　　5)安全管理員每周至少查看一次數(shù)據(jù)庫(kù)日志文件，并填寫【日志檢查記錄表】，每月報(bào)IT經(jīng)理審核。以盡早發(fā)現(xiàn)異常情況，確保數(shù)據(jù)庫(kù)的存取安全。

　　6)郵件系統(tǒng)管理員對(duì)公司外發(fā)資料做每周進(jìn)行一次檢查，對(duì)往來郵件每周做一次監(jiān)控分析，防止重要資料外泄，并填寫【日志檢查記錄表】。

　　7)原則上不能在后臺(tái)數(shù)據(jù)庫(kù)中直接修改數(shù)據(jù)，如有需要，業(yè)務(wù)部門需填寫數(shù)據(jù)更改【變更申請(qǐng)單】，經(jīng)業(yè)務(wù)部門經(jīng)理、IT經(jīng)理審核批準(zhǔn)后，授權(quán)給DBA執(zhí)行操作，DBA在執(zhí)行操作之前必須做好數(shù)據(jù)備份工作，操作完成后再在申請(qǐng)單上簽字，并提交給最終用戶確認(rèn)。

　　8)關(guān)鍵應(yīng)用系統(tǒng)SAP的上機(jī)日志每周檢查一次，并填寫【日志檢查記錄表】，每月報(bào)IT經(jīng)理審核。

　　9)掌握重要數(shù)據(jù)的網(wǎng)絡(luò)管理人員要注意保密，請(qǐng)參照“公司保密制度”。

　　3.附件

　　3.1.CSUN-RE-IN0016《資源檢查記錄表》

　　3.2.CSUN-RE-IN0018《資源更新記錄表》

　　3.3.CSUN-RE-IN0017《資源變更申請(qǐng)單》

　　3.4.CSUN-RE-IN0007《帳戶變更申請(qǐng)單》

　　3.5.CSUN-RE-IN0019《日志檢查記錄表》

　　3.6.CSUN-RE-IN0005《權(quán)限授權(quán)表》

　　3.7.CSUN-RE-IN0001《變更申請(qǐng)單》

it信息安全管理制度13

　　1、目標(biāo)

　　勝達(dá)集團(tuán)信息安全檢查工作的主要目標(biāo)是通過自評(píng)估工作，發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。

　　2、評(píng)估依據(jù)、范圍和方法

　　2.1 評(píng)估依據(jù)

　　根據(jù)國(guó)務(wù)院信息化工作辦公室《關(guān)于對(duì)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》（信安通［20xx］15號(hào)）、國(guó)家電力監(jiān)管委員會(huì)《關(guān)于對(duì)電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[20xx]48號(hào)）以及集團(tuán)公司和省公司公司的文件、檢查方案要求， 開展××單位的信息安全評(píng)估。

　　2.2 評(píng)估范圍

　　本次信息安全評(píng)估工作重點(diǎn)是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管理信息系統(tǒng)中業(yè)務(wù)種類相對(duì)較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜，在檢查工作中強(qiáng)調(diào)對(duì)基礎(chǔ)信息系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行安全性評(píng)估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評(píng)估。

　　2.3 評(píng)估方法

　　采用自評(píng)估方法。

　　3、重要資產(chǎn)識(shí)別

　　對(duì)本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的'影響進(jìn)行識(shí)別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成重要資產(chǎn)清單。

　　4、安全事件

　　對(duì)本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。

　　5、安全檢查項(xiàng)目評(píng)估

　　5.1 規(guī)章制度與組織管理評(píng)估

　　5.1.1組織機(jī)構(gòu)

　　評(píng)估標(biāo)準(zhǔn)

　　信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。

　　現(xiàn)狀描述

　　本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但尚未成立信息安全工作機(jī)構(gòu)。

　　評(píng)估結(jié)論

　　完善信息安全組織機(jī)構(gòu)，成立信息安全工作機(jī)構(gòu)。

　　5.1.2崗位職責(zé)

　　估標(biāo)準(zhǔn)

　　崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實(shí)行主、副崗備用制度。

　　現(xiàn)狀描述

　　我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責(zé)；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，崗位沒有實(shí)行主、副崗備用制度。

　　評(píng)估結(jié)論

　　本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，根據(jù)實(shí)際情況制定管理制度；崗位沒有實(shí)行主、副崗備用制度，在條件許可下，落實(shí)主、副崗備用制度。

　　5.1.3病毒管理

　　評(píng)估標(biāo)準(zhǔn)

　　病毒管理包括計(jì)算機(jī)病毒防治管理制度、定期升級(jí)的安全策略、病毒預(yù)警和報(bào)告機(jī)制、病毒掃描策略（1周內(nèi)至少進(jìn)行一次掃描）。

　　現(xiàn)狀描述

　　本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù)，定期從省公司病毒庫(kù)服務(wù)器下載、升級(jí)安全策略；病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計(jì)、匯總病毒感染情況并提交局生技部和省公司生技部；每周進(jìn)行二次自動(dòng)病毒掃描；沒有制定計(jì)算機(jī)病毒防治管理制度。

　　評(píng)估結(jié)論

　　完善病毒預(yù)警和報(bào)告機(jī)制，制定計(jì)算機(jī)病毒防治管理制度。

　　5.1.4運(yùn)行管理

　　評(píng)估標(biāo)準(zhǔn)

　　運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度并實(shí)行工作票制度；制定機(jī)房出入管理制度并上墻，對(duì)進(jìn)出機(jī)房情況記錄。

　　現(xiàn)狀描述

　　沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度，沒有實(shí)行工作票制度；機(jī)房出入管理制度上墻，但沒有機(jī)房進(jìn)出情況記錄。

　　評(píng)估結(jié)論

　　結(jié)合本局具體情況，制訂信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度，實(shí)行工作票制度；機(jī)房出入管理制度上墻，記錄機(jī)房進(jìn)出情況。

　　5.1.5賬號(hào)與口令管理

　　評(píng)估標(biāo)準(zhǔn)

　　制訂了賬號(hào)與口令管理制度；普通用戶賬戶密碼、口令長(zhǎng)度要求符合大于6字符，管理員賬戶密碼、口令長(zhǎng)度大于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時(shí)對(duì)其賬戶進(jìn)行變更或注銷。

　　現(xiàn)狀描述

　　沒有制訂賬號(hào)與口令管理制度，普通用戶賬戶密碼、口令長(zhǎng)度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長(zhǎng)度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時(shí)對(duì)其賬戶進(jìn)行變更或注銷。

　　評(píng)估結(jié)論

　　制訂賬號(hào)與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長(zhǎng)度要求；對(duì)賬戶密碼、口令變更作相關(guān)記錄；及時(shí)對(duì)系統(tǒng)用戶身份發(fā)生變化后對(duì)其賬戶進(jìn)行變更或注銷。

　　5.2 網(wǎng)絡(luò)與系統(tǒng)安全評(píng)估

　　5.2.1網(wǎng)絡(luò)架構(gòu)

　　評(píng)估標(biāo)準(zhǔn)

　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

　　現(xiàn)狀描述

　　局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

　　評(píng)估結(jié)論

　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

　　5.2.2網(wǎng)絡(luò)分區(qū)

　　評(píng)估標(biāo)準(zhǔn)

　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。

　　現(xiàn)狀描述

　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。

　　評(píng)估結(jié)論

　　對(duì)生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。

　　5.2.3 網(wǎng)絡(luò)設(shè)備

　　評(píng)估標(biāo)準(zhǔn)

　　網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令強(qiáng)�。�>8字符，數(shù)字、字母混雜）。

　　現(xiàn)狀描述

　　網(wǎng)絡(luò)設(shè)備配置沒有進(jìn)行備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備是雙電源，網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。

　　評(píng)估結(jié)論

　　對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份，完善SNMP社區(qū)串、本地用戶口令強(qiáng)�。�>8字符，數(shù)字、字母混雜）。

　　5.2.4 IP管理

　　評(píng)估標(biāo)準(zhǔn)

　　有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。

　　現(xiàn)狀描述

　　沒有IP地址管理系統(tǒng)，正在進(jìn)行對(duì)IP地址的規(guī)劃和分配，IP地址分配有記錄。

　　評(píng)估結(jié)論

　　建立IP地址管理系統(tǒng)，加快進(jìn)行對(duì)IP地址的規(guī)劃和分配，IP地址分配有記錄。

　　5.2.5補(bǔ)丁管理

　　評(píng)估標(biāo)準(zhǔn)

　　有補(bǔ)丁管理的手段或補(bǔ)丁管理制度，Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測(cè)試記錄。

　　現(xiàn)狀描述

　　通過手工補(bǔ)丁管理手段，沒有制訂相應(yīng)管理制度；Windows系統(tǒng)主機(jī)補(bǔ)丁安裝基本齊全，沒有補(bǔ)丁安裝的測(cè)試記錄。

　　評(píng)估結(jié)論

　　完善補(bǔ)丁管理的手段，制訂相應(yīng)管理制度；補(bǔ)缺Windows系統(tǒng)主機(jī)補(bǔ)丁安裝，補(bǔ)丁安裝前進(jìn)行測(cè)試記錄。

　　5.2.6系統(tǒng)安全配置

　　評(píng)估標(biāo)準(zhǔn)

it信息安全管理制度14

　　總則

　　第一條、為加強(qiáng)公司網(wǎng)絡(luò)管理，明確崗位職責(zé)，規(guī)范操作流程，維護(hù)網(wǎng)絡(luò)正常運(yùn)行，確保計(jì)算機(jī)信息系統(tǒng)的安全，現(xiàn)根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理辦法》等有關(guān)規(guī)定，結(jié)合本公司實(shí)際，特制訂本制度。

　　第二條、IT信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

　　第三條、公司設(shè)立信息部，專門負(fù)責(zé)本公司范圍內(nèi)的IT信息系統(tǒng)安全管理工作。

　　第一章網(wǎng)絡(luò)管理

　　第四條、遵守國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用網(wǎng)絡(luò)從事危害國(guó)家安全、泄露國(guó)家秘密等違法犯罪活動(dòng)，不得制作、瀏覽、復(fù)制、傳播反動(dòng)及色情信息，不得在網(wǎng)絡(luò)上發(fā)布反動(dòng)、非法和虛假的消息，不得在網(wǎng)絡(luò)上漫罵攻擊他人，不得在網(wǎng)上泄露他人隱私。嚴(yán)禁通過網(wǎng)絡(luò)進(jìn)行任何黑客活動(dòng)和性質(zhì)類似的破壞活動(dòng)，嚴(yán)格控制和防范計(jì)算機(jī)病毒的侵入。

　　第五條、各終端計(jì)算機(jī)入網(wǎng)，須填寫《入網(wǎng)申請(qǐng)表》，經(jīng)批準(zhǔn)后由信息部統(tǒng)一辦理入網(wǎng)對(duì)接，未進(jìn)行安全配置、未裝防火墻或殺毒軟件的計(jì)算機(jī)，不得入網(wǎng)。各計(jì)算機(jī)終端用戶應(yīng)定期對(duì)計(jì)算機(jī)系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新，并定期進(jìn)行病毒清查，不要下載和使用未經(jīng)測(cè)試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質(zhì)。

　　第六條、上班時(shí)間不得查閱娛樂性內(nèi)容，不得玩網(wǎng)絡(luò)游戲和進(jìn)行網(wǎng)絡(luò)聊天，不得觀看、下載大量消耗網(wǎng)絡(luò)帶寬的影視、音樂等多媒體信息。

　　第七條、禁止未授權(quán)用戶接入公司計(jì)算機(jī)網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)中的資源，禁止所有用戶使用迅雷、BT、電驢等占用大量帶寬的下載工具。

　　第八條、禁止所有員工私自下載、安裝與工作無關(guān)的軟件、程序，如因此而感染病毒造成故障者，按相關(guān)處罰條例嚴(yán)厲處罰。

　　第九條、任何員工不得制造或者故意輸入、傳播計(jì)算機(jī)病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)。

　　第十條、員工在受到病毒或木馬攻擊時(shí)，應(yīng)及時(shí)記錄好中毒現(xiàn)象描述和備份好C盤資料及重要數(shù)據(jù)，并通知網(wǎng)絡(luò)管理員檢修，并做好檢修記錄。

　　第十一條、公司員工禁止利用掃描、監(jiān)聽、偽裝等工具對(duì)網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊，禁止非法侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，禁止利用計(jì)算機(jī)和網(wǎng)絡(luò)干擾他人正常工作的行為。

　　第十二條、IP地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源，計(jì)算機(jī)各終端用戶應(yīng)在信息部的規(guī)劃下使用這些資源，嚴(yán)禁擅自更改。另外，某些系統(tǒng)服務(wù)對(duì)網(wǎng)絡(luò)產(chǎn)生影響，計(jì)算機(jī)各終端用戶應(yīng)在信息部的指導(dǎo)下使用，禁止隨意開啟計(jì)算機(jī)中的系統(tǒng)服務(wù)，保證計(jì)算機(jī)網(wǎng)絡(luò)暢通運(yùn)行。

　　第二章設(shè)備管理

　　第十三條、公司員工因工作需要，確需購(gòu)買IT設(shè)備或配件的，可向行政人事部申請(qǐng)并交由信息部具體辦理，若有符合需求的可調(diào)配設(shè)備，由申請(qǐng)人填寫《IT設(shè)備調(diào)配表》;若無可調(diào)配或有但不符合工作需要的設(shè)備，由申請(qǐng)人填寫《IT設(shè)備購(gòu)買申請(qǐng)表》。交所在部門經(jīng)理簽字并報(bào)公司分管領(lǐng)導(dǎo)審批后再行調(diào)配或采購(gòu)。若因工作需要對(duì)設(shè)備配置有特殊要求的，需在申請(qǐng)表中說明。

　　第十四條、所有新購(gòu)IT設(shè)備，必須先到信息部辦理登記領(lǐng)用手續(xù)后方可到財(cái)務(wù)部報(bào)帳核銷，無此手續(xù)者，財(cái)務(wù)不予報(bào)銷。

　　第十五條、凡登記在案的IT設(shè)備，由信息部統(tǒng)一管理并張貼IT設(shè)備卡。IT設(shè)備卡作為相應(yīng)設(shè)備的標(biāo)識(shí)，各終端用戶有義務(wù)保證貼牌的整潔與完整，不得遮蓋、撕毀、涂畫等

　　第十六條、各部門負(fù)責(zé)人為該部門IT設(shè)備直接監(jiān)管人，對(duì)本部門的所有IT設(shè)備有實(shí)時(shí)實(shí)地監(jiān)管的義務(wù)。當(dāng)部門負(fù)責(zé)人因特殊情況不能直接監(jiān)管時(shí)應(yīng)指定本部門中另外一人承擔(dān)此義務(wù)，并報(bào)公司批準(zhǔn)，信息部備案。

　　第十七條、IT設(shè)備安全管理實(shí)行“誰使用誰負(fù)責(zé)”的原則(公用設(shè)備責(zé)任落實(shí)到部門)。凡分支機(jī)構(gòu)或合作單位自行購(gòu)買的設(shè)備，原則上由分支機(jī)構(gòu)或合作單位指定專人登記和監(jiān)察，按公司要求保管好相關(guān)資料和信息，并報(bào)信息部備案歸檔，若有需要，信息部可協(xié)助處理。

　　第十八條、嚴(yán)禁擅自移動(dòng)和裝拆各類設(shè)備及其他輔助設(shè)備;嚴(yán)禁擅自請(qǐng)人維修;嚴(yán)禁擅自調(diào)整部門內(nèi)部計(jì)算機(jī)，調(diào)整計(jì)算機(jī)一律由行政人事部安排，信息部具體辦理備案。

　　第十九條、設(shè)備硬件或重裝操作系統(tǒng)等問題由信息部進(jìn)行處理，首先由該設(shè)備終端用戶填寫《IT設(shè)備維修申請(qǐng)表》，在收到《IT設(shè)備維修申請(qǐng)表》后，信息部應(yīng)及時(shí)調(diào)集力量予以處理。未填寫或是不填寫《IT設(shè)備維修申請(qǐng)表》而要求維修，信息部可以不予辦理。

　　第二十條、原購(gòu)IT設(shè)備原則上在規(guī)定使用年限內(nèi)不再重復(fù)購(gòu)買，達(dá)到規(guī)定使用年限后，由信息部會(huì)同相關(guān)部門對(duì)其審核后處理。在規(guī)定使用年限期間，計(jì)算機(jī)終端用戶因工作需要發(fā)生調(diào)動(dòng)或離職，需要繼續(xù)使用該計(jì)算機(jī)的應(yīng)在信息部作變更備案;不繼續(xù)使用該計(jì)算機(jī)的，部門領(lǐng)導(dǎo)需監(jiān)督責(zé)任人將計(jì)算機(jī)及相關(guān)設(shè)備及時(shí)退回信息部，由信息部再行調(diào)配。

　　第二十一條、設(shè)備出現(xiàn)故障無法維修或維修成本過高，且符合報(bào)廢條件的，由IT設(shè)備終端用戶提出申請(qǐng)，并填寫《IT設(shè)備報(bào)廢申請(qǐng)表》，由相應(yīng)部門經(jīng)理簽字后報(bào)信息部。經(jīng)信息部對(duì)設(shè)備使用年限、維修情況等進(jìn)行鑒定，將報(bào)廢設(shè)備交有關(guān)部門處理，如報(bào)廢設(shè)備能出售，將收回的資金交公司財(cái)務(wù)入賬。同時(shí)，由信息部對(duì)報(bào)廢設(shè)備登記備案、存檔。

　　第三章數(shù)據(jù)管理

　　第二十二條、計(jì)算機(jī)終端用戶計(jì)算機(jī)內(nèi)的資料涉及公司秘密的，應(yīng)該為計(jì)算機(jī)設(shè)定開機(jī)密碼或?qū)⑽募�加�?凡涉及公司機(jī)密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存。

　　第二十三條、為保證數(shù)據(jù)安全，凡涉及保密資料的電腦一概封閉光驅(qū)、軟驅(qū)、USB接口;嚴(yán)禁拆除機(jī)箱及解除封閉，私自使用USB接口，一經(jīng)發(fā)現(xiàn)嚴(yán)肅警告并處以50元以下罰款。

　　第二十四條、有軟驅(qū)和光驅(qū)的電腦，嚴(yán)格控制軟驅(qū)和光驅(qū)的使用，禁止隨意安裝或卸載軟件。

　　第二十五條、工作范圍內(nèi)的重要數(shù)據(jù)(重要程度由各部門經(jīng)理核定)由計(jì)算機(jī)終端用戶定期更新、備份，并提交給所在部門經(jīng)理，由部門經(jīng)理負(fù)責(zé)保存。各部門經(jīng)理在一個(gè)季度開始后10天之內(nèi)將本部門上一季度的`工作數(shù)據(jù)交信息部匯集后統(tǒng)一采用磁性介質(zhì)或光盤保存。

　　第二十六條、計(jì)算機(jī)終端用戶務(wù)必將有價(jià)值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的盤上。計(jì)算機(jī)信息系統(tǒng)發(fā)生故障，應(yīng)及時(shí)與信息部聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施。

　　第二十七條、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對(duì)重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份，存放在不同的地點(diǎn);對(duì)采用磁性介質(zhì)或光盤保存的數(shù)據(jù)，要定期進(jìn)行檢查，定期進(jìn)行復(fù)制，防止由于磁性介質(zhì)損壞，而使數(shù)據(jù)丟失;做好防磁、防火、防潮和防塵工作。

　　第四章操作管理

　　第二十八條、凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負(fù)責(zé)。嚴(yán)禁利用計(jì)算機(jī)干與工作無關(guān)的事情;嚴(yán)禁除維修人員以外的外="http://www.com/yangsheng/kesou/" target="_blank">咳嗽輩僮鞲骼嗌璞?嚴(yán)禁非信息部人員隨意更改設(shè)備配置。

　　第五章網(wǎng)站管理

　　第二十九條、公司網(wǎng)站由信息部提供技術(shù)支持和后臺(tái)管理，由公司相關(guān)部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設(shè)資料。

　　第三十條、有以下情況之一者，視情節(jié)嚴(yán)重程度處以50元以上500元以下罰款。構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　(一)制造或者故意輸入、傳播計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)的;

　　(二)非法復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)安全的;

　　(三)對(duì)網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊，侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，利用計(jì)算機(jī)和網(wǎng)絡(luò)干擾他人正常工作;

　　(四)訪問未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置;

　　(五)申請(qǐng)人在設(shè)備領(lǐng)用或報(bào)廢一周之內(nèi)未將第二章所涉及到的表單交會(huì)信息部;

　　(六)擅自與他人更換使用計(jì)算機(jī)或相關(guān)設(shè)備;

　　(七)擅自調(diào)整部門內(nèi)部計(jì)算機(jī)的安排且未向行政部備案;

　　(八)日常抽查、崗位調(diào)動(dòng)、離職時(shí)檢查到計(jì)算機(jī)配置與該計(jì)算機(jī)檔案不符、IT設(shè)備卡被撕毀、涂畫或遮蓋等。

　　(九)工作時(shí)間外使用公司計(jì)算機(jī)做與工作無關(guān)的事務(wù);

　　(十)相同故障出現(xiàn)三次以上(包括三次)仍無法自行處理的;

　　(十一)因工作需要長(zhǎng)時(shí)間(五個(gè)小時(shí)以上)離開辦公位置或下班后無故未將計(jì)算機(jī)關(guān)閉;

　　(十二)擅自更改IP，造成網(wǎng)絡(luò)故障者;

　　(十三)私拉亂接網(wǎng)線，擅自亂動(dòng)網(wǎng)絡(luò)設(shè)備，造成網(wǎng)絡(luò)故障者;

　　第三十一條、計(jì)算機(jī)終端用戶因主觀操作不當(dāng)對(duì)設(shè)備造成破壞兩次以上或蓄意對(duì)設(shè)備造成破壞的，視情節(jié)嚴(yán)重，按所破壞設(shè)備市場(chǎng)價(jià)值的20%~100%賠償，并給予行政和經(jīng)濟(jì)處罰。

　　第三十二條、計(jì)算機(jī)系統(tǒng)和殺毒軟件由公司統(tǒng)一安裝，設(shè)置好計(jì)算機(jī)信息(我的電腦-屬性)。具體格式為計(jì)算機(jī)名：UPTONXX-YYY，XX是公司計(jì)算機(jī)的編號(hào)，YYY是計(jì)算機(jī)使用者名字偷字母，計(jì)算機(jī)描述：XX部門XXX。

　　第七章附則

　　第三十三條本制度下列用語(yǔ)的含義：

　　設(shè)備：指為完成工作而購(gòu)買的筆記本電腦、臺(tái)式電腦、移動(dòng)硬盤、U盤、錄音筆、照相機(jī)、攝像機(jī)、打印機(jī)、復(fù)印機(jī)、傳真機(jī)、掃描儀等公司所有IT設(shè)備。

　　有害數(shù)據(jù)：指與計(jì)算機(jī)信息系統(tǒng)相關(guān)的，含有危害計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行的程序，或者對(duì)國(guó)家和社會(huì)公共安全構(gòu)成危害或潛在威脅的數(shù)據(jù)。

　　合法用戶：經(jīng)信息部授權(quán)使用本公司網(wǎng)絡(luò)資源的本公司員工，其余均為非法用戶。

　　第三十四條、計(jì)算機(jī)終端用戶應(yīng)積極配合信息部共同做好計(jì)算機(jī)信息系統(tǒng)安全管理工作。

　　第三十五條、本制度適用于全公司范圍，由行政人事部負(fù)責(zé)解釋、修訂。

　　第三十六條、本制度自發(fā)布之日起實(shí)施，凡原制度與本制度不相符的，照本制度執(zhí)行。

it信息安全管理制度15

　　第一章 總則

　　第一條 為加強(qiáng)公司計(jì)算機(jī)和信息系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）

　　安全保密管理，確保國(guó)家秘密及商業(yè)秘密的安全，根據(jù)國(guó)家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中核集團(tuán)公司有關(guān)規(guī)定，制定本規(guī)定。

　　第二條 本規(guī)定所稱涉密信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)定存儲(chǔ)、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò)，包括機(jī)房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端等內(nèi)容。

　　第三條 涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級(jí)負(fù)責(zé)、科學(xué)管理、保障安全”的方針，堅(jiān)持“誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”和“控制源頭、歸口管理、加強(qiáng)檢查、落實(shí)制度”的原則，確保涉密信息系統(tǒng)和國(guó)家秘密信息安全。

　　第四條 涉密信息系統(tǒng)安全保密防護(hù)必須嚴(yán)格按照國(guó)家保密標(biāo)準(zhǔn)、規(guī)定和集團(tuán)公司文件要求進(jìn)行設(shè)計(jì)、實(shí)施、測(cè)評(píng)審查與審批和驗(yàn)收；未通過國(guó)家審批的涉密信息系統(tǒng)，不得投入使用。

　　第五條 本規(guī)定適用于公司所有計(jì)算機(jī)和信息系統(tǒng)安全保密管理工作。

　　第二章 管理機(jī)構(gòu)與職責(zé)

　　第六條 公司法人代表是涉密信息系統(tǒng)安全保密第一責(zé)任人，確保涉密信息系統(tǒng)安全保密措施的落實(shí)，提供人力、物力、財(cái)力等條件保障，督促檢查領(lǐng)導(dǎo)責(zé)任制落實(shí)。

　　第七條 公司保密委員會(huì)是涉密信息系統(tǒng)安全保密管理決策機(jī)構(gòu)，其主要職責(zé)：

　�。ㄒ唬┙�立健全安全保密管理制度和防范措施，并監(jiān)督檢查落實(shí)情況；

　　（二）協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題，對(duì)重大失泄密事件進(jìn)行查處。

　　第八條 成立公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組，保密辦、科技信息部（信息化）、黨政辦公室（密碼）、財(cái)會(huì)部、人力資源部、武裝保衛(wèi)部和相關(guān)業(yè)務(wù)部門、單位為成員單位，在公司黨政和保密委員會(huì)領(lǐng)導(dǎo)下，組織協(xié)調(diào)公司涉密信息系統(tǒng)安全保密管理工作。

　　第九條 保密辦主要職責(zé)：

　　（一）擬定涉密信息系統(tǒng)安全保密管理制度，并組織落實(shí)各項(xiàng)保密防范措施；

　　（二）對(duì)系統(tǒng)用戶和安全保密管理人員進(jìn)行資格審查和安全保密教育培訓(xùn)，審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限，并備案；

　　（三）組織對(duì)涉密信息系統(tǒng)進(jìn)行安全保密監(jiān)督檢查和風(fēng)險(xiǎn)評(píng)估，提出涉密信息系統(tǒng)安全運(yùn)行的保密要求；

　�。ㄋ模�會(huì)同科技信息部對(duì)涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查，建立涉密信息系統(tǒng)安全評(píng)估制度，每年對(duì)涉密信息系統(tǒng)安全措施進(jìn)行一次評(píng)審；

　　（五）對(duì)涉密信息系統(tǒng)設(shè)計(jì)、施工和集成單位進(jìn)行資質(zhì)審查，對(duì)進(jìn)入涉密信息系統(tǒng)的安全保密產(chǎn)品進(jìn)行準(zhǔn)入審查和規(guī)范管理，對(duì)涉密信息系統(tǒng)進(jìn)行安全保密性能檢測(cè)；

　�。�六）對(duì)涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行定密、變更密級(jí)和解密工作進(jìn)行審核；

　�。ㄆ撸┙M織查處涉密信息系統(tǒng)失泄密事件。

　　第十條

　　科技信息部、財(cái)會(huì)部主要職責(zé)是：

　　（一）組織、實(shí)施涉密信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)，制定安全保密防護(hù)方案；

　�。ǘ�）落實(shí)涉密信息系統(tǒng)安全保密策略、運(yùn)行安全控制、安全驗(yàn)證等安全技術(shù)措施；每半年對(duì)涉密信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，提出整改措施，經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)

　　小組批準(zhǔn)后組織實(shí)施，確保安全技術(shù)措施有效、可靠；

　�。ㄈ�）落實(shí)涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護(hù)等安全保密管理措施；

　�。ㄋ模┡鋫渖婷苄畔⑾到y(tǒng)管理員、安全保密管理員和安全審計(jì)員，并制定相應(yīng)的職責(zé)； “三員”角色不得兼任，權(quán)限設(shè)置相互獨(dú)立、相互制約；“三員”應(yīng)通過安全保密培訓(xùn)持證上崗；

　�。ㄎ澹┞鋵�(shí)計(jì)算機(jī)機(jī)房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理，負(fù)責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；

　�。�六）配合保密辦對(duì)涉密信息系統(tǒng)進(jìn)行安全檢查，對(duì)存在的隱患進(jìn)行及時(shí)整改；

　　（七）制定應(yīng)急預(yù)案并組織演練，落實(shí)應(yīng)急措施，處理信息安全突發(fā)事件。

　　第十一條 黨政辦公室主要職責(zé)：

　　按照國(guó)家密碼管理的相關(guān)要求，落實(shí)涉密信息系統(tǒng)中普密設(shè)備的管理措施。

　　第十二條 相關(guān)業(yè)務(wù)部門、單位主要職責(zé)：涉密信息系統(tǒng)的使用部門、單位要嚴(yán)格遵守保密管理規(guī)定，教育員工提高安全保密意識(shí)，落實(shí)涉密信息系統(tǒng)各項(xiàng)安全防范措施；準(zhǔn)確確定應(yīng)用系統(tǒng)密級(jí)，制定并落實(shí)相應(yīng)的二級(jí)保密管理制度。

　　第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計(jì)員，其職責(zé)是：

　�。ㄒ唬┫到y(tǒng)管理員負(fù)責(zé)系統(tǒng)中軟硬件設(shè)備的運(yùn)行、管理與維護(hù)工作，確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運(yùn)行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用系統(tǒng)管理員。

　�。ǘ�）安全保密管理員負(fù)責(zé)安全技術(shù)設(shè)備、策略實(shí)施和管理工作，包括用戶帳號(hào)管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。

　�。ㄈ�）安全審計(jì)員負(fù)責(zé)安全審計(jì)設(shè)備安裝調(diào)試，對(duì)各種系統(tǒng)操作行為進(jìn)行安全審計(jì)跟蹤分析和監(jiān)督檢查，以及時(shí)發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報(bào)一次情況。

　　第三章 系統(tǒng)建設(shè)管理

　　第十四條 規(guī)劃和建設(shè)涉密信息系統(tǒng)時(shí)，按照涉密信息系統(tǒng)分級(jí)保護(hù)標(biāo)準(zhǔn)的規(guī)定，同步規(guī)劃和落實(shí)安全保密措施，系統(tǒng)建設(shè)與安全保密措施同計(jì)劃、同預(yù)算、同建設(shè)、同驗(yàn)收。

　　第十五條 涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級(jí)保密主管部門審批后方可實(shí)施。

　　第十六條 涉密信息系統(tǒng)規(guī)劃和建設(shè)實(shí)施時(shí)，應(yīng)由具有“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)實(shí)施或自行實(shí)施，并與實(shí)施方簽署保密協(xié)議，項(xiàng)目竣工后必須由保密辦和科技信息部共同組織驗(yàn)收。

　　第十七條 對(duì)涉密信息系統(tǒng)要采取與密級(jí)相適應(yīng)的保密措施，配備通過國(guó)家保密主管部門指定的測(cè)評(píng)機(jī)構(gòu)檢測(cè)的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。

　　第四章 信息管理

　　第一節(jié) 信息分類與控制

　　第十八條 涉密信息系統(tǒng)的密級(jí)，按系統(tǒng)中所處理信息的最高密級(jí)設(shè)定，嚴(yán)禁處理高于涉密信息系統(tǒng)密級(jí)的涉密信息。

　　第十九條 涉密信息系統(tǒng)中產(chǎn)生、存儲(chǔ)、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲(chǔ)介質(zhì)應(yīng)按要求及時(shí)定密、標(biāo)密，并按涉密文件進(jìn)行管理。電子文件密級(jí)標(biāo)識(shí)應(yīng)與信息主體不可分離，密級(jí)標(biāo)識(shí)不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進(jìn)行一次分類統(tǒng)計(jì)、匯總，并在保密辦備案。

　　第二十條 涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級(jí)信息流向低密級(jí)計(jì)算機(jī)。涉密信息遠(yuǎn)程傳輸必須采取密碼保護(hù)措施。

　　第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。

　　第二十二條 清除涉密計(jì)算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲(chǔ)介質(zhì)中的涉密信息時(shí)，必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。

　　第二節(jié) 用戶管理與授權(quán)

　　第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級(jí)和實(shí)際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。

　　第二十四條 用戶清單管理

　�。ㄒ唬┛萍夹畔⒉抗芾怼把芯吭囼�(yàn)堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團(tuán)涉密廣域網(wǎng)”用戶清單；財(cái)會(huì)部管理“財(cái)務(wù)會(huì)計(jì)核算網(wǎng)”用戶清單；

　　（二）新增用戶時(shí)，由用戶本人提出書面申請(qǐng)，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財(cái)務(wù)會(huì)計(jì)核算網(wǎng)”的'用戶由財(cái)會(huì)部統(tǒng)一建立；

　　（三）刪除用戶時(shí)，由用戶本人所在部門、單位書面通知科技信息部，核準(zhǔn)后由安全保密管理員即時(shí)將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號(hào)、權(quán)限廢止；“財(cái)務(wù)會(huì)計(jì)核算網(wǎng)”密辦審核，公司分管領(lǐng)導(dǎo)審批。開通、審批堅(jiān)持“工作必須”的原則。

　　第六十四條 國(guó)際互聯(lián)網(wǎng)計(jì)算機(jī)實(shí)行專人負(fù)責(zé)、專機(jī)上網(wǎng)管理，嚴(yán)禁存儲(chǔ)、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計(jì)算機(jī)須建立使用登記制度。

　　第六十五條 上網(wǎng)信息實(shí)行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則，信息上網(wǎng)必須經(jīng)過嚴(yán)格審查和批準(zhǔn)，堅(jiān)決做到“涉密不上網(wǎng)，上網(wǎng)不涉密”。對(duì)上網(wǎng)信息進(jìn)行擴(kuò)充或更新，應(yīng)重新進(jìn)行保密審查。

　　第六十六條 任何部門、單位和個(gè)人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)摗�傳遞、轉(zhuǎn)發(fā)或抄送國(guó)家秘密信息。

　　第六十七條 從國(guó)際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng)，經(jīng)科技信息部審批后，按照信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。

　　第九章 便攜式計(jì)算機(jī)管理

　　第六十八條 便攜式計(jì)算機(jī)（包括涉密便攜式計(jì)算機(jī)和非涉密便攜式計(jì)算機(jī)）實(shí)行 “誰擁有，誰使用，誰負(fù)責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。

　　第六十九條 涉密便攜式計(jì)算機(jī)根據(jù)工作需要確定密級(jí)，粘貼密級(jí)標(biāo)識(shí)，按照涉密設(shè)備進(jìn)行管理，保密辦備案后方可使用。

　　第七十條 便攜式計(jì)算機(jī)應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證（設(shè)置開機(jī)密碼口令）等安全保密防護(hù)措施。

　　第七十一條 禁止使用涉密便攜式計(jì)算機(jī)上國(guó)際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò)；嚴(yán)禁涉密便攜式計(jì)算機(jī)與涉密信息系統(tǒng)互聯(lián)。

　　第七十二條 涉密便攜式計(jì)算機(jī)不得處理絕密級(jí)信息。未經(jīng)保密辦審批，嚴(yán)禁在涉密便攜式計(jì)算機(jī)中存儲(chǔ)涉密信息。處理、存儲(chǔ)涉密信息應(yīng)在涉密移動(dòng)存儲(chǔ)介質(zhì)上進(jìn)行，并與涉密便攜式計(jì)算機(jī)分離保管。

　　第七十三條 禁止使用私有便攜式計(jì)算機(jī)處理辦公信息；嚴(yán)禁非涉密便攜式計(jì)算機(jī)存儲(chǔ)、處理涉密信息；嚴(yán)禁將涉密存儲(chǔ)介質(zhì)接入非涉密便攜式計(jì)算機(jī)使用。

　　第七十四條 公司配備專供外出攜帶的涉密便攜式計(jì)算機(jī)和涉密存儲(chǔ)介質(zhì)，按照 “集中管理、審批借用”的原則進(jìn)行管理，建立使用登記制度。外出攜帶的涉密便攜式計(jì)算機(jī)須經(jīng)保密辦檢查后方可帶出公司，返回時(shí)須進(jìn)行技術(shù)檢查。

　　第七十五條 因工作需要外單位攜帶便攜式計(jì)算機(jī)進(jìn)入公司辦公區(qū)域，需辦理保密審批手續(xù)。

　　第十章 應(yīng)急響應(yīng)管理

　　第七十六條 為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時(shí)控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運(yùn)行，科技信息部和財(cái)會(huì)部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案，經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實(shí)施。

　　第七十七條 應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運(yùn)行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。

　�。ㄒ唬�災(zāi)害事件：根據(jù)實(shí)際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安

　　（二）故障或攻擊事件：判斷故障或攻擊的來源與性質(zhì)，關(guān)閉影響安全與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案：1、病毒傳播：及時(shí)尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失，保護(hù)計(jì)算機(jī)，必要時(shí)可關(guān)閉相應(yīng)的端口，尋找并公布病毒攻擊信息，以及殺毒、防御方法；

　　2、外部入侵：判斷入侵的來源，評(píng)價(jià)入侵可能或已經(jīng)造成的危害。對(duì)入侵未遂、未造成損害的，且評(píng)價(jià)威脅很小的外部入侵，定位入侵的IP地址，及時(shí)關(guān)閉入侵的端口，限制入侵的IP地址的訪問。對(duì)于已經(jīng)造成危害的，應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方法，避免造成更大損失和帶來的影響；

　　3、內(nèi)部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時(shí)斷開對(duì)應(yīng)的交換機(jī)端口，針對(duì)入侵方法調(diào)整或更新入侵檢測(cè)設(shè)備。對(duì)于無法制止的多點(diǎn)入侵和造成損害的，應(yīng)及時(shí)關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備；

　　4、網(wǎng)絡(luò)故障：判斷故障發(fā)生點(diǎn)和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)；

　　5、其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的及時(shí)咨詢，上報(bào)公司信息安全領(lǐng)導(dǎo)小組。

　　第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級(jí)）、重大事件（II級(jí)）、較大事件（III級(jí)）和一般事件（IV級(jí)）四個(gè)等級(jí)。

　�。ㄒ唬┮话闶录�由科技信息部（或財(cái)會(huì)部）依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置；

　�。ǘ�）較大事件由科技信息部（或財(cái)會(huì)部）、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置，及時(shí)向公司信息安全領(lǐng)導(dǎo)小組報(bào)告并提請(qǐng)協(xié)調(diào)處置；

　�。ㄈ�）重大事件啟動(dòng)應(yīng)急響應(yīng)預(yù)案，對(duì)突發(fā)事件進(jìn)行處置，及時(shí)向公司黨政報(bào)告并提請(qǐng)協(xié)調(diào)處置；

　�。ㄋ模┨貏e重大事件由公司報(bào)請(qǐng)中核集團(tuán)公司對(duì)信息安全突發(fā)事件進(jìn)行處置。

　　第七十九條 發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進(jìn)行處理：

　　（一）上報(bào)科技信息部和保密辦；

　�。ǘ�）關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失；

　�。ㄈ�）切斷網(wǎng)絡(luò)，隔離事件區(qū)域；

　�。ㄋ模┎殚唽徲�(jì)記錄尋找事件源頭；

　�。ㄎ澹┰u(píng)估系統(tǒng)受損程度；

　　（六）對(duì)引起事件漏洞進(jìn)行整改；

　　（七）對(duì)系統(tǒng)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估；

　�。ò耍┯杀Ｃ苻k根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果并書面確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行；

　�。ň牛�對(duì)事件類型、響應(yīng)、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)的記錄；

　�。ㄊ�）依照法規(guī)制度對(duì)責(zé)任人進(jìn)行處理。

　　第八十條 科技信息部、財(cái)會(huì)部應(yīng)會(huì)同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練，檢驗(yàn)應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效，并對(duì)其效果進(jìn)行評(píng)估，以使用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)知識(shí)、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容，并記錄備案。

　　第十一章 人員管理

　　第八十一條 各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識(shí)技能教育與培訓(xùn)，并記錄備案。

　　第八十二條

　　涉密人員離崗、離職，應(yīng)及時(shí)調(diào)整或取消其訪問授權(quán)，并將其保管的涉密設(shè)備、存儲(chǔ)介質(zhì)全部清退并辦理移交手續(xù)。

　　第八十三條 承擔(dān)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計(jì)管理員應(yīng)按重要涉密人員管理。

　　第十二章 督查與獎(jiǎng)懲

　　第八十四條 公司每年應(yīng)對(duì)涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實(shí)情況進(jìn)行一次自查，并接受國(guó)家和上級(jí)單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每?jī)赡杲邮芤淮紊霞?jí)部門開展的安全保密測(cè)評(píng)或保密檢查，檢查結(jié)果存檔備查。

　　第八十五條 檢查涉密計(jì)算機(jī)和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應(yīng)覆蓋保密檢查的項(xiàng)目，并通過國(guó)家保密局的檢測(cè)。安全保密檢查工具應(yīng)及時(shí)升級(jí)或更新，確保檢查時(shí)使用最新版本。

　　第八十六條 各部門、單位應(yīng)將員工遵守涉密計(jì)算機(jī)及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內(nèi)容。對(duì)違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人，按公司保密責(zé)任考核及獎(jiǎng)懲規(guī)定執(zhí)行。

　　第十三章 附 則

　　第八十七條 本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。

　　第八十八條 本規(guī)定自發(fā)布之日起實(shí)施。原《計(jì)算機(jī)磁（光）介質(zhì)保密管理規(guī)定）[制度編號(hào)：（廠1908號(hào)）]、《涉密計(jì)算機(jī)信息系統(tǒng)保密管理規(guī)定》［制度編號(hào):（20xx）廠1911號(hào)］、《涉密計(jì)算機(jī)采購(gòu)、維修、變更、報(bào)廢保密管理規(guī)定》［制度編號(hào):（20xx）廠1925號(hào)］、《國(guó)際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》［制度編號(hào):（20xx）廠1926號(hào)］、《涉密信息系統(tǒng)信息保密管理規(guī)定》［制度通告:（20xx）0934號(hào)］、《涉密信息系統(tǒng)安全保密管理規(guī)定》［制度通告:（20xx）0935號(hào)］同時(shí)廢止。

【it信息安全管理制度】相關(guān)文章：

信息安全管理制度07-25

信息安全管理制度06-20

信息安全培訓(xùn)管理制度05-24

信息安全管理制度匯編04-05

中學(xué)信息安全管理制度09-19

信息安全事件管理制度06-18

信息數(shù)據(jù)安全管理制度03-21

學(xué)生信息安全管理制度03-24

醫(yī)院信息安全管理制度10-16

網(wǎng)絡(luò)信息安全管理制度02-03