《公司信息安全管理制度范本(12篇).docx》由会员分享,可在线阅读,更多相关《公司信息安全管理制度范本(12篇).docx(83页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 公司信息安全管理制度范本(12篇)公司信息安全治理制度范本篇一 1、建立网络与信息安全应急领导小组;落实详细的安全治理人员。以上人员要供应24小时有效、畅通的联系方式。 2、对安全治理人员进展根本培训,提高应急处理力量。 3、进展全员网络安全学问宣传教育,提高安全意识。 1、对电脑实行有效的安全防护措施(准时更新系统补丁,安装有效的防病毒软件等)。 2、强化无线网络设备的安全治理(设置有效的治理口令和连接口令,防止校园周边人员入侵网络;假如采纳自动安排ip地址,可考虑进展mac地址绑定)。 3、不用的信息系统准时关闭(如有些系统只是在开学、期末、某一阶段使用几天,寒暑假不使用的系统应当关闭)
2、; 4、留意有关密码的保密工作并牢记密码,定期更改相关密码,留意密码的简单度,至少8位以上,建议使用字母加数字加特别符号的组合方式; 5、修改默认密码,不能使用默认的统一密码; 6、在信息系统正常部署完成后,应当修改系统后台调试期间的密码,不应当连续使用工程师调试系统时所使用的密码; 7、正常工作日应当保证至少登录、扫瞄一次系统相关页面,准时发觉有无被篡改等特别现象,特别时间应增加检查频率; 8、效劳器上安装杀毒软件(保持升级到最新版),至少每周对操作系统进展一次病毒扫描检查、修补系统漏洞,检查用户数据是否有特别(例如增加了一些非治理员添加的用户),检查安装的软件是否有特别(例如消失了一些不是
3、治理员安装的未知用途的程序); 9、对上网信息(会公布在前台的文字、图片、音视频等),应当由两位以上工作人员认真核对无误后,再公布到网站、系统中; 10、对全部的上传信息,应当有敏感字、关键字过滤、特征码识别等检测; 11、系统、网站的重要数据和数据,每学期定期做好有关数据的备份工作,包括本地备份和异地备份; 12、有完善的运行日志和用户操作日志,并能记录源端口号; 13、保证页面正常运行,不消失404错误等; 14、加强电脑的使用治理(专人专管,谁用谁负责;电脑设置固定ip地址,并登记备案)。 15、在变更系统治理员、信息员时,应当做好交接工作,避开影响系统的正常运行,治理员变更后,相关密码
4、也应当随之变更; 16、对于所治理的系统中的子帐号,在相关人员离职等缘由不再治理时,应当将有关帐号禁用或删除,避开带来安全隐患; 1发生网络及信息安全事故,无法马上处理的,要准时断网(值班人员要会进展断网操作);并爱护好相关现场(主要是电脑和网络设备),以便有关部门处理。 2发生网络和信息安全事故要准时逐级汇报。 公司信息安全治理制度范本篇二 1.1目的: 为加强公司作风建立,宣传廉洁文化,预防利用职务及职权谋取不正值利益。同时做好公司信息的安全和保密工作,使公司所拥有的信息在经营活动中充分利用,爱护公司的利益不受侵害,树立安康积极的企业文化形象,特制定本治理制度。 1.2适用范围: 本制度适
5、用于公司全部在职员工。 1.3定义: 廉洁:清白高洁,不贪污,从不使用公家的钱来养活自己(不贪污),就是指人生光明磊落的态度和诚信,正直的风气。 信息安全:信息系统(包括硬件、软件、数据、人、物理环境及其根底设施)受到爱护,不受偶然的或者恶意的缘由而遭到破坏、更改、泄露,系统连续牢靠正常地运行。 业务单位:与公司有一切业务(含但不限于供货、施工、促销合作等关系)往来或联系的单位或个人。 1.4职责权限 3.1总经办负责廉洁文化建立方向的指引,对公司的信息安全治理具有监视和最终裁决权。 3.2监察部负责监视和执行廉洁与信息安全治理规定,承受全体员工的举报和监视,对举报和违规状况进展调查核实。 3
6、.3行政部负责廉洁文化和信息安全意识的宣传和教育,接收和申报处理公司员工收受和外部财物。 3.4信息部负责公司全部文件资料的分类存档和保存,对电子存档资料进展定期整理和备份,并做好文件防盗和密码爱护工作。 3.5各部门:具有共同维护公司廉洁文化建立和信息保密工作的权利,都有保守公司隐秘的义务,对公司廉洁和信息安全治理规定具有监视和举报权。 2.1廉洁自律规定 2.1.1不准收受任何业务单位的个人现金、购物卡券、有价证券和支付凭证。 2.1.2因各种缘由未能拒收业务单位的,必需准时向公司行政部申报统一处理。详细需申报的状况如下: 业务单位不回收的样品和商品赠品; 业务单位节假日馈赠的礼品、礼篮等
7、; 业务单位赠送的其他具有实际价值实物、活动等。 业务单位组织的集体考察、学习、旅游等外出活动; 业务单位赠送的无法拒绝的各类现金、购物卡券、有价证券和支付凭证; 2.1.3不准向业务单位及其个人借贷钱物。 2.1.4不准在各业务单位报销应由个人支付的有关票据。 2.1.5不借业务办理之机,对各业务单位吃、卡、拿、要。 4.1.6制止利用职权和职务上的便利和影响为亲友及身边工作人员谋取利益。 2.1.7工作中不弄虚作假,按规定收集整理好各类根底资料,不做假帐或帐外账。 2.1.8不准用公款支付个人名义的宴请。公关或业务接待必需经总经办批准后在合理的范围内进展。 2.1.9不准承受可能对商品和设
8、备供给价格、工程施工价格的业务合作行为产生影响的钱、物馈赠和宴请。 2.1.10不准为谋取不正值的利益,在经济往来中违反有关规定,以各种名义收取回扣、中介费、手续费等归个人全部。 2.1.11不借出差、考察、学习之机利用公款进展旅游消遣活动,或承受可能影响公正办理业务的宴请、礼品馈赠或其他效劳。 2.1.12严禁以虚报、谎报等手段猎取荣誉;以虚报、谎报等手段猎取的荣誉、职称及其他利益予以取消或者订正。 2.2信息安全 2.2.1公开信息:公司已对外公开公布的信息,如公司宣传册、产品或公司介绍视频等。 2.2.2保密信息:公司仅允许在肯定范围内公布的信息,一旦泄露,将可能给公司或相关方造成不良影
9、响。比方公司投资规划等。 2.2.3依据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、隐秘、内部公开四个级别。 绝密信息:关系公司前途和命运的公司最重要、最敏感的信息,对公司根本利益有着打算性影响的保密信息,如:公司订单,重大投资决议等。 机密信息:公司重要隐秘,一旦泄露将使公司利益受到严峻损害的保密信息如:未公布的任命文件,公司财务分析报告等文件。 隐秘信息:公司一般性信息,但一旦泄露会使公司利益受到损害的保密信息,如:人事档案,供给商选择评估标准等文件。 内部公开:仅在公司内部公开或仅在公司某一个部门内公开,对外泄露可能会使公司利益造成损害的保密信息的保密信息,如:年度培
10、训规划,员工手册,各种规章制度等。 2.2.4公司保密信息包括但不限于以下内容: 公司经营进展决策中的隐秘事项; 专有技术,专利技术、技术图纸; 生产细则、工程bom、sop及治具资料; 人事决策中的隐秘事项; 重要的合同、客户和合作渠道; 招标工程的标底、合作条件、贸易条件; 财务信息,公司非向公众公开的财务状况、银行账户账号; 董事会或总经理确定应当保守的公司其他隐秘事项。 2.2.5除公司已经正式对外公开公布的信息外,任何单位和个人不得从事以下活动: 利用信息网络系统制作、传播、复制有害信息; 未经允许使用他人在信息网络系统中未公开的信息; 未经授权对网络(内部信息平台)系统中存储、处理
11、或传输的信息(包括系统文件和应用程序)进展增加、修改、复制和删除等; 未经授权查阅他人邮件; 盗用他人名义发送电子邮件; 有意干扰网络(内部信息平台)的畅通运行; 从事其他危害信息网络(内部信息平台)系统安全的活动。 2.2.6公司保密信息应依据需要,限于肯定范围的员工接触。接触公司隐秘的员工,未经批准不准向他人泄露。非接触公司隐秘的员工,不准打听公司隐秘。 2.3违规追责处理 2.3.1公司全部员工一经任何人发觉或内外部举报有违廉洁自律的行为,公司将组织相关部门进展调查核实,一经查证,将追究责任人所造成的责任损失,并进展违规惩罚,对造成公司重大经济损失且情节严峻的,将移交公安机关进展立案处理
12、。 2.3.2除公司公开的信息外,任何人将公司的保密信息以任何形式(口头传达、电子邮件、上传网络、存储拷贝、拍照影印、复印资料)对外泄露或散布出去的,公司将从源头上追究信息泄密者,经查实后马上依据情节轻重进展追责处理。因信息泄密造成公司经济损失或形象受损时,将依法移交司法机关进展处理。 3.1本制度最终解释权归xx有限公司全部。 3.2本制度自20xx年8月9日起实行,暂定实施1年。 公司信息安全治理制度范本篇三 第一条、为加强邮政行业寄递效劳用户个人信息安全治理,爱护用户合法权益,维护邮政通信与信息安全,促进邮政行业安康进展,依据中华人民共和国邮政法、全国人大常委会关于加强网络信息爱护的规定
13、、邮政行业安全监视治理方法等法律、行政法规和有关规定,制定本规定。 其次条、在中华人民共和国境内经营和使用寄递效劳涉及用户个人信息安全的活动以及相关监视治理工作,适用本规定。 第三条、本规定所称寄递效劳用户个人信息(以下简称寄递用户信息),是指用户在使用寄递效劳过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容。 第四条、寄递用户信息安全监视治理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全。 第五条、国务院邮政治理部门负责全国邮政行业寄递用户信息安全监视治理工作。 省、自治区、直辖市邮政治理机构负责本行政区域
14、内的邮政行业寄递用户信息安全监视治理工作。 根据国务院规定设立的省级以下邮政治理机构负责本辖区的邮政行业寄递用户信息安全监视治理工作。 国务院邮政治理部门和省、自治区、直辖市邮政治理机构以及省级以下邮政治理机构,统称为邮政治理部门。 第六条、邮政治理部门应当与有关部门相互协作,健全寄递用户信息安全保障机制,维护寄递用户信息安全。 第七条、邮政企业、快递企业及其从业人员应当遵守国家有关信息安全治理的规定及本规定,防止寄递用户信息泄露、丧失。 第八条、邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,明确企业内部各部门、岗位的安全责任,加强寄递用户信息安全治理和安全责任考核。 第九条、
15、以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时,被加盟人应当依法担当相应安全治理责任。 第十条、邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议,明确保密义务和违约责任。 第十一条、邮政企业、快递企业应当组织从业人员进展寄递用户信息安全爱护相关学问、技能培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。 第十二条、邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,承受并准时处理有关投诉。 第十三条、邮政企业、快递企业受网络购物、电视购物和邮购等经营者托付供应寄递效劳的
16、,在与托付方签订协议时,应当订立寄递用户信息安全保障条款,明确信息使用范围和方式、信息交换安全爱护措施、信息泄露责任划分等内容。 第十四条、邮政企业、快递企业托付第三方录入寄递用户信息的,应当确认其具有信息安全保障力量,并订立信息安全保障条款,明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丧失的,邮政企业、快递企业应当依法担当相应责任。 第十五条、未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其把握的寄递用户信息供应给任何单位或者个人。 第十六条、公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案,邮政企业、快
17、递企业应当协作,并对有关状况予以保密。 第十七条、邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应当马上实行补救措施,根据规定报告邮政治理部门,并协作邮政治理部门和相关部门的调查处理工作,不得迟报、漏报、谎报、瞒报。 第十八条、邮政企业、快递企业应当加强寄递详情单治理,对空白寄递详情单发放状况进展登记,对号段进展全程跟踪,形成跟踪记录。 第十九条、邮政企业、快递企业应当加强营业场所、处理场所治理,严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止寄递详情单实物信息(以下简称实物信息)在处理过程中泄露。 其次十条、邮政企
18、业、快递企业应当优化寄递处理流程,削减接触实物信息的处理环节和操作人员。 其次十一条、邮政企业、快递企业应当采纳有效技术手段,防止实物信息在寄递过程中泄露。 其次十二条、邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具有特地技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进展安全监控。 其次十三条、邮政企业、快递企业应当建立健全寄递详情单实物档案治理制度,实行集中封闭治理,确定集中存放地,准时回收寄递详情单妥当保管。设立、变更集中存放地,应当准时报告所在地邮政治理部门。 其次十四条、邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人治理,实行必要的安全防护措施
19、,确保存储安全。 其次十五条、邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询治理制度。内部人员因工作需要查阅档案时,应当确保档案完整无损,并做好查阅登记,不得私自携带离开存放地。 其次十六条、寄递详情单实物档案应当根据国家相关标准规定的期限保存。保存期满后,由企业进展集中销毁,做好销毁记录,严禁丢弃或者贩卖。 其次十七条、邮政企业、快递企业应当对实物信息安全保障状况进展定期自查,记录自查状况,准时消退自查中发觉的信息安全隐患。 其次十八条、邮政企业、快递企业应当根据国家规定,加强寄递效劳用户信息相关信息系统和网络设施的安全治理。 其次十九条、邮政企业、快递企业信息系统的网络架构应当
20、符合国家信息安全治理规定,合理划分安全区域,实现各安全区域之间有效隔离,并具有防范、监控和阻断来自内部和外部网络攻击破坏的力量。 第三十条、邮政企业、快递企业应当配备必要的。防病毒软件、硬件,确保信息系统和网络具有防范计算机病毒的力量,防止恶意代码破坏信息系统和网络,避开信息泄露或者被篡改。 第三十一条、邮政企业、快递企业构建信息系统和网络,应当避开使用信息系统和网络供给商供应的默认密码、安全参数,并对通过开放公共网络传输的寄递用户信息实行加密措施,严格审查并监控对信息系统、网络设备的远程访问。 第三十二条、邮政企业、快递企业在选购计算机软件、硬件产品或者技术效劳时,应当与供给商签订保密协议,
21、明确其安全责任,以及在发生信息安全大事时协作邮政治理部门和相关部门调查的义务。 第三十三条、邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发觉的问题准时整改。 第三十四条、邮政企业、快递企业应当加强信息系统及网络的权限治理,基于权限最小化和权限分别原则,向从业人员安排满意工作需要的最小操作权限和可访问的最小信息范围。 邮政企业、快递企业应当加强对信息系统和数据库的治理,使网络治理人员仅具有进展信息系统、数据库、网络运行维护和优化的权限。网络治理人员的维护操作须经安全治理员授权,并受到安全审计员的监控和审计。 第三十五条、邮政企业、快递企业应当加强信息系统密码治理,使用
22、高安全级别密码策略,定期更换密码,制止将密码透露给无关人员。 第三十六条、邮政企业、快递企业应当加强寄递用户电子信息的存储安全治理,包括: (一)使用独立物理区域存储寄递用户信息,制止非授权人员进出该区域; (二)采纳加密方式存储寄递用户信息; (三)确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确治理数据存储设备、介质的负责人,建立设备、介质使用和借用登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当准时删除其中的寄递用户信息数据,并销毁硬件。 第三十七条、邮政企业、快递企业应当加强寄递用户信息的应用安全治理,对全部批量导出、复制、销毁用户个人信息的操
23、作进展审查,并实行防泄密措施,同时记录进展操作的人员、时间、地点和事项,留作信息安全审计依据。 第三十八条、邮政企业、快递企业应当加强对离岗人员的信息安全审计,准时删除或者禁用离岗人员系统账户。 第三十九条、邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规章,对存储寄递效劳信息的信息系统实行接入审查,定期进展安全风险评估。 第四十条、邮政治理部门依法履行以下职责: (一)制定保障寄递用户信息安全的政策、制度和相关标准,并监视实施; (二)监视、指导邮政企业、快递企业落实信息安全责任制,催促企业加强寄递用户信息安全治理; (三)对寄递用户信息安全进展监测、预警和应急治理;
24、(四)监视、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训; (五)依法对邮政企业、快递企业实施寄递用户信息安全监视检查; (六)组织调查或者参加调查寄递用户信息安全事故,依法查处违反寄递用户信息安全治理规定的行为; (七)法律、行政法规和规章规定的其他职责。 第四十一条、邮政治理部门应当加强邮政行业寄递用户信息安全治理制度和学问的宣传,强化邮政企业、快递企业及其从业人员的信息安全治理意识,提高用户对个人信息安全爱护的熟悉。 第四十二条、邮政治理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息治理体系,收集、分析与信息安全有关的各类信息。 下级邮政治理部门应当准时向上一级
25、邮政治理部门报告邮政行业寄递用户信息安全状况,并依据需要通报工业和信息化、通信治理、公安、国家安全、商务和工商行政治理等相关部门。 第四十三条、邮政治理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全治理制度,标准从业人员信息安全爱护行为,防范信息安全风险等状况进展检查。 第四十四条、邮政治理部门发觉邮政企业、快递企业存在违反寄递用户信息安全治理规定,妨害或者可能妨害寄递用户信息安全的,应当依法进展调查处理。违法行为涉及其他部门治理职权的,邮政治理部门应当会同有关部门对涉案邮政企业、快递企业进展调查处理。 第四十五条、邮政治理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定状况的监
26、视检查。 第四十六条、邮政企业、快递企业拒不协作寄递用户信息安全监视检查的,依照中华人民共和国邮政法第七十七条的规定予以惩罚。 第四十七条、邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。 第四十八条、邮政企业、快递企业及其从业人员违法供应寄递用户信息,尚未构成犯罪的,依照中华人民共和国邮政法第七十六条的规定予以惩罚。构成犯罪的,移送司法机关追究刑事责任。 第四十九条、任何单位和个人有权向邮政治理部门举报违反本规定的行为。邮政治理部门接到举报后,应当依法准时处理。 第五十条、邮政治理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全治理规定行为、信息
27、安全大事,以及对有关责任人员进展处理的状况。必要时可以向社会公布上述信息,但涉及国家隐秘、商业隐秘和个人隐私的除外。 第五十一条、邮政治理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密,不得泄露、篡改或者损毁,不得出售或者非法向他人供应。 第五十二条、邮政治理部门工作人员在寄递用户信息安全监视治理工作中滥用、玩忽职守,依照邮政行业安全监视治理方法第五十五条的规定予以处理。 第五十三条、本规定自公布之日起施行。 公司信息安全治理制度范本篇四 本制度系列所管辖医院信息包括医院在运行治理中涉及到的根本信息(人、财、物)、运行信息(各类业务工作与质量安全治理资料数据)和治理信息(投资进展
28、、人力资源开发与利用、进展战略讨论),统称为“医院信息”。依据中华人民共和国保密法、医疗质量治理方法,制定此制度系列。 医院内部的数据、资料信息安全治理尤为重要,如涉及全院的工作统计数据、质量与安全评价分析相关的数据、与医疗纠纷有关的信息、医院治理与建立重大决策信息、医院经济治理相关的信息等,院领导认为不宜通过“三重一大”公示的信息,均属于保密信息,必需实行安全治理,规定如下: (一)任何人未经院领导批准,不得在公众场合、公共媒体公布医院涉密信息。 (二)医院各职能部门和业务科室,对自身所涉密的医院信息,有保密的义务和责任。 (三)不属于分管职能内的涉密信息,不得向其他部门和个人打探。 (四)
29、任何员工不得以谋利为目的,散布、出卖、交换医院涉密信息。 (五)任何员工不得以泄私愤、图报复,散布和出卖医院涉密信息。违反以上各条,医院有权追究泄密人的相应责任。 (一)为了保证医院网络的正常运行,爱护医院网络系统的安全和网络用户的使用权益,特制定本安全治理制度。 (二)本治理制度所称的医院网络系统是指在医院信息系统中,由计算机及配套设施构成的,根据医院网络信息系统的应用目标和规定,对数据进展采集、加工、存储、传输、检索等处理的人机系统。 (三)医院网络系统安全治理是通过实施身份认证、访问掌握与授权治理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁治理、邮件安全网关、远程
30、接入等安全技术和与之相配套的治理制度,保障网络主机及配套设备、设施的安全,网络运行环境的安全,从而到达保障计算机网络系统安全运行和信息安全的目的。 (四)信息科负责医院计算机网络系统的安全治理工作,确保对计算机网络系统安全治理的有效性。 (五)计算机网络系统的建立和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。 (六)计算机网络系统实行安全等级爱护和用户使用权限划分。安全等级和用户使用权限的划分和设置由信息科负责制定和实施。 (七)计算机入网运行必需经信息科批预备案,安排ip地址后,方可接入网络。 (八)要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点治理,严格掌握
31、设备存取及加密,未经允许严禁外来盘片带入机房对效劳器进展安装等,不准将机器设备和数据带出机房。 (九)未办理入网手续,任何单位和个人不得非法私自将计算机接入医院网络,不得以不真实身份使用网络资源,不得窃取他人账号、口令使用网络资源,不得盗用未经合法申请的ip地址入网。未经信息科允许,任何单位或个人不得擅自接纳网络用户。 (十)应依据网络主机不同的安全级别实行相应的访问掌握、数据爱护、保密监控治理和系统安全等技术措施。 (十一)信息科定期对网上用户的访问及授权状况进展检查,准时发觉和限制非法用户和非授权访问。 (十二)要按要求对数据进展日备份、月备份和年备份。严格按操作规程进展数据备份工作,确保
32、备份数据的完整和精确性,做好备份数据的审核工作,并做好相应记录。要确保导出、导入数据的完整和精确,并做好导出、导人数据的审核工作和相应记录。 (十三)加强边界安全的防护,应依据安全区域划分状况明确需进展安全防护的边界,并实施有效的访问掌握策略和机制。 (十四)应在网络系统或安全域边界的关键点采纳严格的安全防护机制,如严格的登录链接掌握,高性能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 (十五)要实施必要的边界访问、违规外联的审计和掌握。 (十六)应采纳必要的手段(如入侵检测系统、日志分析、网络取证分析等)对系统内的安全大事进展监控,检测攻击行为并能发觉系统内非授权使用状况。
33、(十七)应制止系统内用户非授权的外部链接(如自动拨号、违规链接和无线上网)。 (十八)应部署有效的网络病毒防范软件系统和相应的网络病毒防范治理方法,实施对计算机网络病毒的有效防范。 (十九)要制定文档化的明确的计算机病毒和恶意代码防护策略,以及确保策略有效实施规章制度。 (二十)应在系统内关键的入口点以及各工作站、效劳器和移动计算机设备上实行计算机病毒和恶意代码防护措施。 (二十一)应制定文档化的信息系统备份和恢复的策略,建立健全备份和恢复的治理制度和操作规程。 (二十二)备份包括关键业务数据的备份、关键业务设备(如效劳器、交换机等)的备份和电源备份。对重要信息系统(如his系统)的关键设施(
34、如效劳器)实行热备份。 (二十三)应定期备份和对恢复策略进展测试,以保证其有效性。要有系统恢复的预案和演练。 (二十四)应依据业务的重要程度、信息系统的资产价值等进展相应的需求分析,确定系统恢复的目标,如:关键业务功能、恢复的优先挨次、恢复的时间范围。 (二十五)为确保医院计算机局域网络运行安全,要在有效部署防火墙、入侵检测和防病毒系统的状况下,实施远程接入。医院业务网(内网)与远程接入(外网)业务的物理隔离。凡涉密的计算机主机不得与互联网(internet)链接。 (二十六)任何部门和个人使用医院网络供应的远程接人效劳必需向信息科申请。入网用户的用户名和ip地址是用户在医院局域网上的合法标识
35、,也是对用户收费的重要依据,一经指定不得擅自更改。 (二十七)未经信息科批准,任何个人或部门不得为外单位人员供应电子邮件或其他网络效劳。 (二十八)全部入网用户,应当遵守国家有关法律、法规及医院的有关规章制度,严格执行安全保密制度,不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动,不得制作、查阅、复制和传播扰乱社会治安、有伤风化、淫秽色情等信息,不得利用网络攻击、损害公用网络和其他用户。否则,医院有权停顿对其供应的效劳;由此造成的不良后果由用户担当。 (二十九)使用计算机机网络系统的部门和个人必需遵守计算机安全使用的规定,对计算机网络系统发生的问题和故障要马上向信息中心报告。
36、(三十)用户不得从事以下危害计算机网络安全的行为: 1、未经允许,进入计算机网络系统或使用网上信息资源: 2、私自转借或转让用户账号,盗用他人账号或ip地址: 3、未经允许,对网上应用系统的功能进展删减或更改: 4、未经允许,对计算机网络的存储、处理或传输数据和应用程序进展删减或更改; 5、有意制作、传播计算机病毒等破坏程序,使用任何工具破坏网络正常运行; 6、破坏、盗用计算机网络中的信息资源和危害计算机网络安全; 7、其他危害计算机网络安全的行为。 上述违规造成医院损失的,依照有关法律、法规及医院有关惩罚规定进展处理,情节严峻者移交公安机关处理。 (一)任何科室和个人不得利用涉密计算机网络系
37、统泄漏属于医院内部隐秘的信息数据,危害医院、员工和患者的合法权益;不得从事其它违法犯罪活动。涉密单位和涉密人员应当遵守保密法律法规,仔细执行国家和省制定的涉密计算机网络系统的保密规定。 (二)涉密计算机网络系统的单位保密治理实行领导负责制,并制定部门或专人负责详细的日常治理工作。并保持计算机保密治理人员相对稳定。 (三)涉密计算机网络系统工作人员定期进展保密教育和检查。涉密计算机信息系统的系统治理人员应当经过严格审查,定期进展考核,并保持相对稳定。 (四)涉密人员调离岗位,应当履行国家规定保守隐秘的义务。 (五)涉及医院隐秘的数据,必需根据保密规定进展采集、存储、处理、传递、使用和销段。 (六
38、)计算机存储、处理、传递、输出的涉密信息要有相应的密级标识且不得与正文分别,输出的涉密文件按相应密级文件治理。 (七)涉密医院信息和数据不得在与公用网络联网的计算机信息系统中存储、处理、传递,涉密信息一律不得在网上公布。 (八)涉密计算机必需设置口令爱护,依据密级确定口令长度与更换周期,实行专人专用,严禁以任何方式登录国际互联网或与互联网物理连接。 (九)存储涉密信息的媒体应按所存储信息的最高密级标明密级,并按相应密级文件治理制度治理,存储过涉密信息的计算机媒体不能降低密级使用,修理存储过涉密信息的计算机媒体应到部门指定修理点修理,有人全程跟踪,保证存储的隐秘信息不被泄露。 (十)储涉密数据的
39、计算机硬盘或其它存储介质不得擅自更换或者报废。确需更换或者报废的,应当经院领导批准后,交医院的网络治理部门进展登记、封存,或者按规定销毁。 (十一)涉密单位应当将涉密数据与备份数据分别保存在单位内不同的地点。有条件的,应实行异地容灾备份。不得在便携式计算机上存储涉密信息。 (十二)发觉计算机信息泄密后应马上实行补救措施,并按规定准时报告保密部门。 1、信息供应、公布、上网实行保密审查、领导审批和登记备案制度。 2、信息公布、上网,坚持涉密不公开、公开不涉密和谁上网、谁负责的原则。 3、对涉密信息确需对外公布、上网的,应实行解密或者删除、改编、隐去等保密措施,并经主管部门或保密工作部门审定。 4
40、、承受记者采访,不得涉及医院隐秘内容。 (一)计算机及其帮助设备是实现现代化治理的工具,各科室有关工作人员都要结合本职工作利用计算机手段来提高工作效率。 (二)各科室购置和上级安排赐予的计算机和帮助设备均属固定资产,统一由计算机中心负责维护,各科室由电脑治理员专人负责治理和使用。 (三)效劳器、计算机及帮助设备和其他应用软件所配的专用磁盘、光盘,由中心专人登记治理入账,每年清点一次。 (四)计算机的备件、易耗件、磁盘及有关资料的购置,由信息治理部门统一申请,经科室负责人并上报院长同意后,由后勤选购进展统一购置,统一给各科室配置。 (五)计算机、效劳器、网络通讯电缆设备,未经信息部门同意不得拆装
41、、移动。 (六)计算机和帮助设备需检修,应报告计算机中心专业工作人员,由计算机中心有关人员检修,若需外单位修理,由领导会同有关部门商议后办理。 (七)对外来磁盘要先杀毒,后使用。各计算机一旦发觉病毒,必需马上去除,否则不得使用该计算机,更不能向效劳器上传数据。 (八)外来人员未经科室领导和专业人员同意不得操作计算机,以免发生病毒感染和其他损失。 (九)不得在计算机上进展与工作无关(如做嬉戏、下棋、打扑克等)的操作。 为保证网络中心设备与信息的安全,保障机房有良好的运行环境和工作环境,作如下规定: (一)各门钥匙由指定的专人保管,不能随便转借。丧失要声明。出入请顺手关门。 (二)要有安全防范意识
42、,节假日值班人员不得擅离岗位。早进入、晚离开时要检查设备状况,离开时查看灯、门、窗、锁是否关闭好。 (三)易燃xx物品不准带入机房,机房及周边地区严禁烟火,不能明火作业,机房一律制止吸烟。 (四)机房工作人员要有防火意识,消失特别状况应马上报警,切断电源,用灭火设备扑救。 (五)非工作人员严禁进入效劳器机房,特别状况要事先征得院长或主管副院长的同意,未经许可一律不准触碰开关和设备,否则后果自负。 (六)机房内的一切公用物品未经许可一律不得挪用和外借。 (七)机房内不准大声喧哗,机房卫生由工作人员定期负责清扫,保持清洁。 (八)网管员负责机房的安全治理与检查;负责建立与记录安全日志。 (一)本制
43、度所称医院计算机网络工作站,是指医院计算机网络中以台式电脑或笔记本电脑为中心的包括所连打印机等外围设备在内的计算机工作单元。医院未联网工作的计算机也采纳此制度进展治理。 (二)各个治理部门和科室中,每一工作站配置的计算机、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格交接。 (三)各工作站全部使用人员必需严格遵守医院网络系统安全治理制度。 (四)计算机操作人员,不得随便搡作计算机或相关设备,更不允许外来人员操作计算机。 (五)不在计算机上玩嬉戏及做与工作无关的操作。 (六)不在医院计算机上使用来历不明的光盘、软盘。 (七)计算机网络上的全部操作人员必需保管好自己的密码,因密码保管
44、不善造成的经济损失,概由操作人员自己负责。 (八)计算机一旦发生故障应准时报告信息科处理。 (九)除计算机网络中心机房工作人员外,任何入不得拆装计算机,或擅自接入其它设备。 (十)不连续电源的计算机,在供电中断时,操作人员应马上保存数据,退出程序后按正常操作关机。 (十一)严格根据操作规程操作,下班前必需按程序关机,并切断电源。 (十二)计算机旁不准抽烟、会客,不准吃零食物和饮料。 (十三)计算机旁边严禁摆放各种易燃易爆、腐蚀性或强磁物品。遇临时停电及雷电天气,应实行爱护措施,避开发生意外。 (十四)爱惜计算机及各种相关设备,计算机主机、显示器、打印机上不能堆放杂物。 (十五)科室指定专人负责科内计算机的一般性治理工作,定期用洁净松软的干抹布去除设备上的灰尘,清洁和整理计算机工作台。 (十六)因维护治理不当造成计算机硬件设备损坏,由当事人负责赔偿。 (十七)外来参观须报请信息科及主管院领导批准,不能向外展现和泄露医院重要业务数据。 (十八)违反本制度者,医院将视情节赐予惩罚。 (一)为确保监控机房安全,设立监控机房治理员,负责对机房各类设备、软件系统进展维护和治理。 (二)监控机房治理员应仔