信息安全管理制度(共7页).doc

《信息安全管理制度(共7页).doc》由会员分享，可在线阅读，更多相关《信息安全管理制度(共7页).doc（7页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精选优质文档-倾情为你奉上信息安全管理制度一、信息安全管理责任制 1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我公司不会随意公布与用户个人身份有关的资料，除非有法律或程序要求。 2、所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协议规定时间内保证不会丢失; 3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密，未经允许不得向他人泄露。公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。我公司将严格执行本规章制度，

2、并形成规范化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等部门参加，并确定两名安全负责人作为突发事件处理的联系人。二、有害信息发现受理处置机制 第一条 一旦发现网络有害信息的，应立即启动预案，采取“及时处理、下载保存和24小时上报制度”。 第二条网络有害信息处置前期工作程序： 一、 发现有害信息的公司员工要立即报告公司信息部，由信息部协调处理网 上突发事件，摸清情况，采取措施，最大限度地遏制有害信息在网上传播和扩散，并在第一时间内向公司主管领导及有关部门报告。 二、 信息部负责有害信息的界定及监控，一旦发现不良信息要马上删除（如 遇紧急情况，可直接关闭服务器，暂停

3、网络运行）。 三、 信息部及时对有害信息予以删除，取证留样，对有害信息的来源进行调 查；在最短时间内向网络有害信息处置办公室报告情况。 四、 信息部要对网络安全设备的记录留存，监督检查有害信息报告、清除等情况。 五、 信息安全员负责调查有害信息散布的原因、经过，收集相关证据，以有 利于事件处理时事实清楚，责任明确。 第三条网络有害信息处置后期工作程序： 一、 信息部要利用网络与信息安全技术平台，对网上有害信息和公共有害短 信及时进行封堵：对违规从事网上业务或传播有害信息的用户（包括论坛），依法采取责任令整顿，予以封禁用户等行政处罚措施。 二、 在事实清楚、责任明确的情况下，公司网络安全管理领导

4、小组要对事件 做出处理决定：影响较大、存在问题较多的网站，要集中力量研究和解决问题。对管理混乱、事故多发、造成不良影响的网站，要追究有关责任人责任。 三、 有关事件的处置经过、结论等相关事宜，一律由信息部统一对外宣传。 四、 做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费 投入，要在技术管理和软件开发利用上下工夫，提高网络信息安全管理技能。网站服务器必须安装必要的信息安全软件。三、有害信息投诉受理处置机制 举报投诉中心设在公司信息部。举报投诉的受理和回复工作统一由信息部设专人负责，向社会公开投诉举报电话号码，设置举报箱。受理的有害信息投诉事件主要指单位和个人利用我公司网络制作、

5、复制、查阅和下载下列信息的事件： 1煽动抗拒、破坏宪法和国家法律、行政法规实施； 2煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度; 3捏造或者歪曲事实，散布谣言扰乱社会秩序; 4侮辱他人或者捏造事实诽谤他人; 5宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。 6.公然侮辱他人或捏造事实诽谤他人的； 7.损害网站形象和网站利益的； 8.其他违反宪法和法律、行政法规的。 举报投诉受理中心对公众举报、投诉事件，按集中管理、登记的原则办理，由信息部带领网络安全小组集中处理，并将处理结果备案。对较重大有害信息事件，应立即上报主管领导。举报投诉受理中心受理的事件，要做到即接快办；夜间、节假日值班

6、期间接到的投诉举报，应于次日或节假日后的第一个工作日办理，对需紧急办理的重大信息安全事件可先处理后登记。 负责查办的相关人员接到交办的投诉举报事件后应及时安排办理，要求在法定时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明理由，可适当延长处理时间；处理结果应及时反馈给举报投诉受理中心，由举报投诉受理中心反馈给举报人。在处理有害信息投诉事件的记录、登记、交办工作流程时，应填写相应表单，并随结果报告一同存档。 处理人员应对重大有害信息事件举报人或要求保密者做到保密，有关重大的有害信息事件及处理过程不得泄密。四、重大信息安全事件应急处置和报告制度 为预防和及时处置网络突发事件，保证网

7、络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案。一、在公司领导的统一管理下，贯彻执行中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。二、信息网络安全事件定义1、网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲

8、事实，故意散布谣言，扰乱社会秩序；公然侮辱他人或者捏造事实诽谤他人；宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖；发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。2、网内网络应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生泄密事件。3、在网站上发布的内容违反国家的法律法规、侵犯知识产权等，已经造成严重后果。三、加大培训和宣传力度，加强和完善互联网安全管理，设置专门管理部门，采取统一管理体制，落实负责人。各部门要建立健全内部安全保障制度，按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责

9、，细化工作措施和流程，建立完善管理制度和实施办法，加强信息的审查和备案工作，确保网络与信息安全。加强我公司互联网络信息安全管理，连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。四、加强信息审查工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。各级各类服务器提供信息服务，必须事先登记、审批，建立使用规范，落实责任人，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)，加强网络设备日志分析，及时收集信息，排查不安定因素。加强BBS、留言板等交互式栏目的专人管

10、理，交互式栏目内容发布实行审核制度。对于非法网站要做到：发现一个，禁止一个，并及时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。五、网络部对互联网实施24小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控，若发现有异常行为应立即关闭该用户的网络连接，及时记录在案，并对其警告和批评教育，严重违法行为立即上报有关部门。六、加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到：（1）及时发现

11、、及时报告，在发现后在第一时间向上一级领导或部门报告。（2）保护现场，立即与网络隔离，防止影响扩大。（3）及时取证，分析、查找原因。（4）消除有害信息，防止进一步传播，将事件的影响降到最低。（5）在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。（6）追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交公司及国家司法机关处理，追究部门负责人和直接责任人的行政或法律责任。七、及时整顿，加强防范。各部门要积极配合上级网络安全管理部门的例行检查，并接受其技术指导。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到

12、位，完善网络安全机制，防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制，实现公司信息安全管理，创造良好的网络环境。八、在重要、敏感时期，加大网络安全教育宣传力度，加强员工的法律意识和安全意识教育，提高其安全意识和防范能力；开展安全文明上网的教育引导工作，净化互联网网上环境，及时收集信息，排查不安定因素；坚持24小时值班制度，开通值班电话，保证与上级主管部门、电信部门和当地公安机关的热线联系，积极做好预防工作，发现问题及时处理，防患于未然。九、做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。十、网络安全事件报告与处置。事件发生并得

13、到确认后，有关人员应立即将情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，有关违法事件移交公安机关处理。五、信息安全管理政策和业务培训制度第一章 信息安全政策一、计算机设备管理制度1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。3. 严格遵守计算机设备使用、开机、关机等安全操

14、作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。二、操作员安全管理制度1. 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.2.系统管理操作代码的设置与管理: (1)、系统管理操作代码必须经过经营管理者授权取得; (2)、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护; (3)、系统管理员对业务系统进行数据整理、故障恢复等操作

15、，必须有其上级授权; (4)、系统管理员不得使用他人操作代码进行业务操作; (5)、系统管理员调离岗位，上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;3.一般操作代码的设置与管理 (1)、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 (2)、操作员不得使用他人代码进行业务操作。 (3)、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。三、密码与权限管理制度1. 密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和 操作密码，用户密码是

16、登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和 字符串;2.密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理，并由密码设置人员将密码装入 密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密 码管理人员索取，使用完毕后，须立即更改并封存，同时在

17、“密码管理登记簿”中登记。4.系统维护用户的密码应至少由两人共同设置、保管和使用。5.有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。四、数据安全管理制度1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责;2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。4.数据恢复前，必须对原环境的数据进行备份，防止有

18、用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场 技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。5.数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可 以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。6.需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失 效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。7.非本单位技

19、术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构 负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检 测和登记。8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。9.运行维护部门需指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、

20、光盘、移动硬盘等。五、机房管理制度1.进入主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作内容。2.信息部人员进入机房必须经领导许可，其他人员进入机房必须经信息领导许可，并有有关人员陪同。值班人员必须如实记录来访人员名单、进 出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经信息部负责人批准同意后有关人员监督下进 行。对操作内容进行记录，由操作人和监督人签字后备查。3.保持机房整齐清洁，各种机器设备按维护计划定期进行保养，保持清洁光亮。4.工作人员进入机房必须更换干净的工作服和拖鞋。5.机房内严禁吸烟、吃东西

21、、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特别是易燃、 易爆、有腐蚀等危险品进入机房。6.机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。7.严禁在通电的情况下拆卸，移动计算机等设备和部件。8.定期检查机房消防设备器材。9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料，对废弃储蓄介质和业务保密资料要及时销毁(碎纸)，不得作为普通垃圾处理。严禁机房内 的设备、储蓄介质、资料、工具等私自出借或带出。10.主机设备主要包括：服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护和防尘等项工作，保证主机系统

22、 的平稳运行。服务器等所在的主机要实行严格的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试，并做好记录，通过实际测量各项参数发现问题及 时解决，保证机房空调的正常运行。12.计算机机房后备电源(UPS)除了电池自动检测外，每年必须充放电一次到两次。第二章 业务培训制度一、培训制度1、业务学习培训计划由信息部根据年度工作计划作出安排。2、成立业务学习小组，定期组织业务学习；3、工作人员每年必须参加不少于15个课时的专业培训。4、工作人员必须完成布置的学习计划安

23、排，积极主动地参加信息部组织的业务学习活动。5、有选择地参加其它行业和部门举办的专业培训，鼓励参加其它业务交流和学习培训。6、支持、鼓励工作人员结合业务工作自学。二、培训内容：1计算机安全法律教育（1）、定期组织本单位工作人员认真学习网络安全制度、计算机信息网络安全保护等业务知识，不断提高工作人员的理论水平。（2）、负责对企业的网络用户进行安全教育和培训。（3）、定期的邀请上级有关部门和人员进行信息安全方面的培训，提高操作员的防范能力。2计算机职业道德教育（1）、工作人员要严格遵守工作规程和工作制度。（2）、不得制造，发布虚假信息，向非业务人员提供有关数据资料。（3）、不得利用计算机信息系统的

24、漏洞偷窃客户资料，进行诈骗和转移资金。（4）、不得制造和传播计算机病毒。3计算机技术教育（1）、操作员必须在指定计算机或指定终端上进行操作。（2）、机房管理员，程序维护员，操作员必须实行岗位分离，不得串岗，越岗。（3）、不得越权运行程序，不得查阅无关参数。（4）、发现操作异常，应立即向机房管理员报告。三、培训方法：1.结合专业实际情况，指派有关人员参加学习。2.有计划有针对性，指派人员到外地或外单位进修学习。3.举办专题讲座或培训班，聘请有关专家进行讲课。4.所有上岗工作人员或换岗工作人员应经过培训考核合格，方能上岗。5.自订学习计划，参加专业函授学习成绩及时反馈有关部门，良好学业者给予奖励。专心-专注-专业