信息安全管理10大制度汇编.docx

《信息安全管理10大制度汇编.docx》由会员分享，可在线阅读，更多相关《信息安全管理10大制度汇编.docx（21页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 信息安全管理10大制度汇编 名目 1.信息安全治理制度 2.计算机治理制度 3.机房治理制度 4.网络安全治理制度 6.计算机病毒防治治理制度 7.密码安全保密制度 8.涉密和非涉密移动存储介质治理制度 9.病毒检测和网络安全漏洞检测制度 10.安全培训、案件报告和协查制度 信息安全治理制度 第一条 信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，爱护信息在传输、交换和存储过程中的机密性、完整性和真实性。详细包括以下几个方面。 1、信息处理和传输系统的安全。系统治理员应对处理信息的系统进展具体的安全检查和定期维护，避开由于系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损

2、失。 2、信息内容的安全。 侧重于爱护信息的机密性、完整性和真实性。系统治理员应对所负责系统的安全性进展评测，实行技术措施对所发觉的漏洞进展补救，防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查，防止和掌握非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避开对国家利益、公共利益以及个人利益造成损害。 其次条 涉及国家隐秘信息的安全工作实行领导负责制。 第三条 信息的内部治理 1、各科室（下属单位）在向委网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 2、依据状况，实行网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平

3、台）的整体搞病毒力量； 3、各信息应用科室（单位）对本单位所负责的信息必需作好备份； 4、各科室（单位）应对本部门的信息进展审查，网站各栏目信息的负责科室（单位）必需对公布信息制定审查制度，对信息来源的合法性，公布范围，信息栏目维护的负责人等作出明确的规定。信息公布后还要随时检查信息的完整性、合法性；如发觉被删改，应准时向信息安全协调科报告； 5、涉及国家隐秘的信息的存储、传输等应指定专人负责，并严格根据国家有关保密的法律、法规执行； 6、涉及国家隐秘信息，未经委信息安全分管领导批准不得在网络上公布和明码传输； 7、涉密文件不行放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。 第四条

4、信息加密 1、涉及国家隐秘的信息，其电子文档资料应当在涉密介质中加密单独存储； 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储； 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储； 4、涉及国家隐秘、国家与部门利益和社会安定的隐秘信息和敏感信息在传输过程中视状况及国家的有关规定采纳文件加密传输或链路传输加密。 第五条 任何单位和个人不得从事以下活动： 1、利用信息网络系统制作、传播、复制有害信息； 2、入侵他人计算机； 3、未经允许使用他人在信息网络系统中未公开的信息； 4、未经授权对网络（内部信息平台）系统中存储、处理或传输的信息（包括系统文件

5、和应用程序）进展增加、修改、复制和删除等； 5、未经授权查阅他人邮件； 6、盗用他人名义发送电子邮件； 7、有意干扰网络（内部信息平台）的畅通运行； 8、从事其他危害信息网络（内部信息平台）系统安全的活动。 第六条 本制度自公布之日起施行，凡与本制度有冲突的均以本制度为准。 计算机治理制度 为保证计算机的正常运行，确保计算机安全运行，依据国家、省、市有关法律法规和政策规定，结合本委实际状况，制定本制度。 一、治理范围划分 本委计算机分为涉密和非涉密两局部，涉密计算机指主要用于储存或传输有关人事、财务、经济运行、信息安全等涉及国家、单位隐秘、危害国家安全的图文信息的计算机。非涉密计算机指用于储存

6、或传输可以向社会公开发表或公布的图文信息的计算机。信息安全科、运行科、人事科和机关财务各一台计算机根据涉密要求进展治理。 二、非涉密计算机日常治理 1、各科室的计算机，科室负责人为治理第一责任人，担当本科室计算机操作的治理、保密和安全,以防止误操作造成系统紊乱、文件丧失等故障。 2、计算机主要是用于业务数据的处理及信息传输,提高工作效率。严禁上班时间用计算机玩嬉戏及运行一切与工作无关的软件。 3、新购的计算机、初次使用的软件、数据载体应经委计算机治理员检测,确认无病毒和有害数据后,方可投入使用。 4、计算机操作人员发觉本科室的计算机感染病毒,应马上中断运行,并与计算机治理员联系准时消退。 5、

7、爱惜机关计算机设备，保持计算机设备的洁净干净。 三、涉密计算机日常治理 1、涉密的计算机内的重要文件由专人集中加密保存,不得随便复制和解密,未经加密的重要文件不能存放在与国际联网的计算机上。 2、对需要保存的涉密信息,可到信息安全科转存到光盘或其他可移动的介质上。存储涉密信息的介质应当根据所存储信息的最高密级标明密级,并按相应密级的文件治理。 3、存储过国家隐秘信息的计算机媒体的修理应保证所存储的国家隐秘信息不被泄露。对报废的磁盘和其他存储设备中的隐秘信息由技术人员进展彻底去除。 4、涉密的计算机信息需打印输出必需到信息安全科专用打印机打印输出,打印出的文件应当根据相应密级的文件治理；打印过程

8、中产生的残、次、废页应当准时在信息安全科专用设备粉碎销毁。 5、对信息载体(软盘、光盘等)及计算机处理的业务报表、技术数据、图纸要有专人负责保存,按规定使用、借阅、移交、销毁。 四、其他 对违反以上规定的行为视情节轻重,结合国家、省、市及本委相关规定处理,并追究有关人员的责任。 机房治理制度 为确保计算机网络（内部信息平台）系统安全、高效运行和各类设备运行处于良好状态，正确使用和维护各种设备、治理有章、职责明确，特制定本制度。 一、一般规定 1、机房属重要涉密岗位，必需严格执行国家、省、市保密局有关保守国家隐秘和密码工作的规定。 2、严禁在网络效劳器上安装一切与工作无关的软件。严禁将外来不明的

9、磁盘、光盘、软件在网络效劳器上使用。严禁在网络上运行或传播一切法律法规制止、有损国家机关形象以及涉及国家隐秘、危害国家安全的软件或图文信息。 3、无关人员原则上不准进入机房，不准违规操作和使用机房设备，不准私自将机房设备带离机关。机关科（室）需借用机房设备的，机房工作人员必需报经分管领导同意，并办理有关登记手续前方可借出。 4、做好机房设备的日常维护工作，严禁在机房内吸烟，不准在机房堆放杂物和垃圾，保持机房室内干净。下班时，必需关闭不用的设备及电源，锁好机房门窗，方可离开。 二、值班巡察规定 1、值班由委门卫一并负责，遵照委值班规定。 2、巡察由网络治理员负责，巡察人员要遵守以下职责: （1）

10、要在第一时间发觉隐患，并准时报告，使相关治理人员能准时赶到现场尽最大可能缩短故障恢复时间。 （2）履行机房的各项规定，不得作与工作、业务无关的任何私事，不得擅自离开岗位。催促进入机房人员严格遵守。 （3）负责机房的环境设备与网络（内部信息平台）系统的安全运行；负责完成规定的日常操作和故障监测记录，简洁故障的排解，负责环境设备的日常巡察。 3、巡察内容包括： （1）网络（内部信息平台）运行设备的巡察：各效劳器的CPU和内存的工作状况；防火墙的工作状况；网站的工作状况；交换机的工作状况；客户端的网络（内部信息平台）运行速度；仔细做好记录。 （2）机房环境的巡察：机房门的关闭状况，机房的卫生状况，机

11、房的灯光状况，机房的温度、湿度及空气状况，仔细做好记录。 （3）机房设备的巡察：对机房的UPS、空调等系统的运行状况进展常常性巡察，亲密留意工作负荷、电池容量、室内温湿度等数值，以保证网络（内部信息平台）安全、正常的运行；主配电柜的供电电压、电流；UPS的输出电压、电流和负载功率；UPS电池的状况；空调的工作状况；仔细做好巡察记录。 三、日常治理规定 1、到机房工作的人员不得在机房内吃食品，饮水，吸烟或其他与工作无关的事宜。 2、到机房工作的人员严禁携带与工作无关的物品，特殊是易燃、易爆、强磁、腐蚀性物体等危急物品进入机房。 3、到机房工作的人员应严格遵守岗位责任制，不能乱动与自己工作无关的设

12、备，严禁在机房大声喧哗、玩电子嬉戏、谈天等。 4、机房内不能存放任何食品，严禁在机房内存放杂物，严禁在机房内使用其他用电器。 四、运行维护规定 1、配电柜一年进展至少两次维护检查。内容包括：清扫灰尘检查各接点、触电的温升，松紧。 2、UPS一年进展两次巡检，维护内容：清扫灰尘、检查UPS逆变器工作状况及UPS整机的工作状况，检查电池组机每节电池的状况并对电池进展放电。 3、机房专用空调每年进展两次巡检，维护内容：清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流、检查下水管道是否畅通及漏水报警是否正常、进展软化水更换。 4、机房防雷设施每年检查一次,维护内容：检

13、测个防雷器的牢靠性、检查接地状况。 5、机房每年进展两次专业保洁,维护内容：对机房的地板进展调整和清洁、对底板下、天棚板上进展清洁。 五、安全保密规定 1、做好防雷、防火、防水、防盗、防虫害。 防雷：按国家的规定对机房的设备进展接地。每年要按国家的规定对防雷设施及设备接地进展检测。 防火：需按国家的规定在计算机机房进展设置消防设施。设施每年要按国家规定进展检测。 防水：要常常检查机房的防漏水状况，空调、门窗及屋顶。 防盗：严格机房进出治理，门禁要24*7小时工作，严格执行进出机房的登记制度、严格执行进出机房不得携带其他物品的规定。 防虫害：常常检查机房的顶棚上和地板下的封闭状况，不得在机房内在

14、放食品，不得在机房内堆放杂物。 2、网络（内部信息平台）运行安全治理 （1）对INTERNET网的进口要加装防火墙。防火墙的设置要常常依据需要进展调整以防入侵。 （2）对全部效劳器要安装病毒软件，要常常对防病毒软件进展升级。常常对计算机病毒进展检测。 3、系统设备安全治理 （1）进入机房不得带拷贝工具和便携机； （2）机房内全部效劳器应设有开机密码、系统登陆密码； （3）机房内全部效劳器都应设有带密码的屏幕爱护； （4）网管人员操作后应将效劳器处于锁定状态； （5）非网管人员不得私自操作任何效劳器； （6）仔细遵守国家的各项保密制度； （7）严格遵守党和国家的保密制度。有关打印结果、存储介质及

15、原始数据必需有本人保管。带有密级的媒体应用时锁入保险柜中，收、发要登记。定期集中销毁废弃的涉密纸、物； （8）需要于正常工作时之外使用机房加班的人员，应得到主管领导的批准，并向运行值班人员办理登记手续。机房的值班人员必需同时在场伴随； （9）严禁与机房工作无关的人员进入机房； （10）非机房工作人员在机房工作是必需有机房值班人员伴随； （11）机房内各类效劳器应由专人分类治理 （12）建立设备、资料责任制。 网络安全治理制度 一、一般规定 1、未经网管批准，任何人不得转变网络（内部信息平台）拓扑构造、网络（内部信息平台）设备布置、效劳器、路由器配置和网络（内部信息平台）参数。 2、任何人不得进

16、入未经许可的计算机系统更改系统信息和用户数据。 3、机关局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害单位稳定的有关信息。 4、各科室（单位）应定期对本科室（单位）计算机系统和相关业务数据进展备份以防发生故障时进展恢复。 二、帐号治理 1、网络（内部信息平台）帐号采纳分组治理。并具体登记：用户姓名、部门名称、口令，存取权限，开通时间，网络（内部信息平台）资源安排状况等。 2、网络（内部信息平台）治理员为用户设置明码口令，用户可以依据自己的保密状况进展修改口令，用户应对工作站设置开机密码和屏保密码。 3、用户帐号下的数据属于用户私有数据，当事人具有存入权限，治理员具有

17、治理和备份存取权限。 4、网络（内部信息平台）治理员依据有关帐号治理规章对用户帐号执行治理，并对用户帐号及数据的安全和保密负责。 5、网络（内部信息平台）治理员必需严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息等资料泄露出去。 三、网络治理员职责 1、帮助制定网络（内部信息平台）建立方案，确定网络（内部信息平台）安全及资源共享策略。 2、负责公用网络（内部信息平台）实体，如效劳器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和治理。 3、负责效劳器和系统软件的安装、维护、调整及更新。 4、负责网络（内部信息平台）账号治理，资源安排，数据安全和系统安全。 5、监视网络

18、（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安全、稳定、畅通。 6、负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料的整理和归档。 7、保管网络（内部信息平台）拓扑图接线表，设备规格及配置单，治理记录，运行记录，检修记录等网络（内部信息平台）资料。 8、每年对本单位网络（内部信息平台）的效能和各电脑性能进展评价，提出网络（内部信息平台）构造、技术和网络、治理的改良措施。 四、安全治理职责 1、保障网络（内部信息平台）畅通和信息安全。 2、严格遵守国家、省、市制定的相关法律、行政法规，严格执行网络安全工作制度，以人为本，依法治理，确保网络（内部信息平台）安

19、全有序。 3、在发生网络（内部信息平台）重大突发大事时，应马上报告，实行应急措施，尽快恢复网络（内部信息平台）正常运行。 4、充分利用现有的安全设备设施、软件，最大限度地防止计算机病毒入侵和黑客攻击。 5、加强信息审查工作，保存，备份至少90天之内网络信息日志，准时加以分析，排查担心定因素，防止黄色，反动信息的传播。 6、常常检查网络（内部信息平台）工作环境的防火、防盗工作。五、电脑操作人员培训制度 五、病毒的防治治理制度 1、任何人不得在机关的局域网上制造传播任何计算机病毒，不得有意引入病毒。网络（内部信息平台）使用者发觉病毒应马上向网络治理员报告。网络治理员准时指导和帮助处理病毒。 2、各

20、部门应定期查毒，（周期为一周或者10天）治理员应准时升级病毒库，并提示各部门对杀毒软件进展在线升级。 计算机病毒防治治理制度 为加强计算机的安全监察工作，预防和掌握计算机病毒，保障计算机系统的正常运行，依据国家有关规定，结合实际状况，制定本制度。 一、凡在本网站所辖计算机进展操作、运行、治理、维护、使用计算机系统以及购置，修理计算机及其软件的部门，必需遵守本方法。 二、本方法所称计算机病毒，是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 三、任何工作人员不得制作和传播计算机病毒。 四、任何工作人员不得有以下传播计算机病

21、毒的行为： 1、有意输入计算机病毒，危害计算机信息系统安全。 2、向计算机应用部门供应含有计算机病毒的文件、软件、媒体。 3、购置和使用含有计算机病毒的媒体。 五、预防和掌握计算机病毒的安全治理工作，由委信息安全协调科负责实施，其主要职责是： 1、制定计算机病毒防治治理制度和技术规程，并检查执行状况; 2、培训计算机病毒防治治理人员外； 3、实行计算机病毒安全技术防治措施； 4、对网站计算机信息系统应用和使用人员进展计算机病毒防治教育和培训； 5、准时检测、去除计算机系统中的计算机病毒，并做好检测、去除的记录； 6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品； 7、

22、向公安机关报揭发现的计算机病毒，并帮助公安机关追查计算机病毒的来源。 8、对因计算机病毒引起的计算机信息系统瘫痪，程序和数据严峻破坏等重大事故准时向公安机关报告人，并爱护现场。 9、计算机安全治理部门应加强对计算机操作人员的审查，并定期进展安全教育和培训。 10、计算机信息系统应用部门应建立计算机运行记录制度，未经审定的任何程序，指令或数据，不得输入计算机系统运行。 11、计算机安全治理部门应对引起的计算机及其软件进展计算机病毒检测，发觉染有计算机病毒的，应实行措施加以消退，在未消退病毒之前不准投入使用。 12、通过网络进展电子邮件或文件传输，应准时对传输媒体进展病毒检测，接收到邮件时也要准时

23、进展病毒检测，以防止计算机病毒的传播。 13、任何部门和个人不得从事以下活动： 收集、讨论有害数据； 出版、登载、讲解、出租有害数据原理，源程序的书籍，资料或文章； 复制有害数据的检测，去除工具 六、积极承受公安机关对计算机病毒防治治理工作的监视，检查和指导。 密码安全保密制度 一、提高安全熟悉，制止非工作人员操纵系统主机，不使用系统主机时，应留意锁屏。 二、每周检查主机登录日志，准时发觉不合法的登录状况。 三、对网络（内部信息平台）治理员，系统治理员和系统操作员所用口令每十五天更换一次，口令要无规章，重要口令要多于八位。 四、加强口令治理，对PASSWORD文件用隐性密码方式保存，每半月检查

24、本地的PASSWORD文件，确认全部帐号都有口令，当系统中的帐号不再被使用时，应马上从相应PASSWORD数据库中去除。 五、ROOT口令只被系统治理员把握，尽量不直接ROOT口令登录系统主机。 六、系统名目应属ROOT全部，应完全制止其他用户有写权限。 七、对TELNET、FTP到主机的用户进展权限限制，或完全制止。 八、网络（内部信息平台）治理员、系统治理员调离岗位后一小时内由接任人员监视检查更换新的密码。 涉密和非涉密移动存储介质治理制度 一、涉密和非涉密移动存储介质由办公室建立台帐，信息安全人员负责涉密和非涉密移动存储介质的日常治理和维护修理。 二、涉密移动存储介质不得在非涉密计算机上

25、使用。 三、涉密移动存储介质未经批准不得擅自带离本单位，确因工作需要携带外出的，须履行登记备案手续，并经委领导批准。 四、严禁将涉密移动存储介质借给外单位或他人使用。 五、涉密移动存储介质需修理的，由单位技术人员送至有保密资质的单位现场监修，严禁修理人员擅自读取和拷贝其存储的国家隐秘信息。如涉密移动存储介质无法修复，必需按涉密载体予以销毁。 六、非涉密移动存储介质不得存储任何涉密信息。 七、非涉密移动存储介质不得连接涉密计算机。 八、不再使用或不能使用的涉密和非涉密移动存储介质要准时上交办公室，由技术人员对要报废的涉密和非涉密移动存储介质进展进一步确认，并与领取时的类型，电子（产品）序列号，编

26、号等进展核对，填写销毁登记表，经委领导批准后，送有保密资质的单位进展销毁。 九、任何部门和个人不得擅自销毁涉密和非涉密移动存储介质。 病毒检测和网络安全漏洞检测制度 一、网络（内部信息平台）的效劳器，具有合法权限的用户才能进展相应权限范围内的操作，任何其他非法操作都属于入侵行为。 二、全部用户，不准扫描端口，不准猜想和扫描其他用户的密码，不准猜想和扫描网络（内部信息平台）的效劳器和交换设备的口令。 三、系统治理员应定期检查效劳器的系统日志，如发觉有入侵状况，应用时实行措施，保存原始数据，以便进展调查取证，并向委领导汇报，做好入侵状况登记。 四、效劳器假如发觉漏洞要准时修补漏洞或进展系统升级。

27、五、要定期对网站进展网络（内部信息平台）数据包的监控，准时发觉和网络（内部信息平台）运行状况，全面监视对公开效劳器的访问，准时发觉和拒绝担心全的操作和黑客攻击行为，阻挡网络（内部信息平台）内外的入侵。 六、网络（内部信息平台）信息安全员履行对全部上网信息进展审查的职责，依据需要实行措施，监视、记录、检测、制止、查处、防范针对其所管辖网络（内部信息平台）或入网计算机的人或事。 七、全部用户有责任对所发觉或发生的违反有关法律，法规和规章制度的人或事予以制止或向委信息安全协调科反映、举报，帮助有关部门或治理人员对上述人或事进展调查、取证、处理，应当向调查人员照实供应所需证据。 八、网络（内部信息平台

28、）治理员应依据实际状况和需要采纳新技术调整网络（内部信息平台）构造，系统功能，变更系统参数和使用方法，准时排解系统隐患。 安全培训、案件报告和协查制度 一、安全培训制度 1、网络（内部信息平台）安全员要定期承受安全培训。 2、对全委干部职工在计算机信息网络国际互联网安全爱护治理方法、互联网安全爱护技术措施规定、计算机信息网络国际联网安全爱护治理方法等关于网络安全方面的国家法律、法规的学习、培训，提高维护网络安全的警觉性和自觉性。 3、实时了解网络信息安全的动向，适时进展根本的网络安全爱护制度和详细方法进展介绍，切实维护计算机联网安全。畅通与公安机关有关人员的联系渠道，加强对各类有害信息、特殊是

29、影射性有害信息的识别力量，提高安全防范力量。 二、违法案件报告和协查制度 1、落实网络安全岗位责任制，实行领导责任制和网络安全员负责制，网络安全大事实行谁主管，谁负责。 2、加强值班和值班日志的治理，建立定期，不定期的日志分析制度，准时发觉网络（内部信息平台）安全大事和隐患。 3、一旦发觉网络（内部信息平台）违法案件，应具体、照实记录大事经过，保存相关日志，准时通知有关人员，并与公安部门取得联系。 4、进展网络违法案件及其他网络安全检查时，网络安全员和其他有关人员必需积极协作。 三、以下行为属于违法使用网络（内部信息平台）： 1、破坏网络（内部信息平台）通讯设施，包括室内网络布线，室内信息插座，配线间网络设备等。 2、随便转变网络接入位置。 3、盗用他人的IP地址，更改网卡地址、盗用他人帐号（包括上网帐号、电子邮件帐号、信息公布帐号等）； 4、通过电子邮件、网络（内部信息平台）、存储介质等途径有意传播计算机病毒。 5、对网络进展恶意侦听和信息截获，在网络上发送干扰正常通信的数据。 6、对网络各攻击，包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进展攻击，以后、以及利用IP哄骗手段实施的拒绝效劳攻击； 7、访问和传播色情、反动、邪教、谣言等不良信息的。