《计算机信息系统安全管理》由会员分享,可在线阅读,更多相关《计算机信息系统安全管理(5页珍藏版)》请在金锄头文库上搜索。
1、计算机信息系统安全管理(草稿)第一章总则第一条为加强对雅戈尔集团(下称:集团)计算机信息系统的安全保护,维护及保障集团 各信息系统软硬件平台高可用性及高稳定性的安全运行,根据中华人民共和国计算机信息 系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定等规定,结 合集团实际,制定计算机信息系统安全管理制度。第二条 木制度所称的计算机信息系统,是指山计算机及其相关的和配套的设备、设施 (含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、 存储、传输、检索等处理的人机系统,包括:集团各种业务的软件应用系统(如:DRP、ERP、 PDM、CAD、CAM 等
2、)、系统软件(DOS、Windows95/98/2000/xp/2003、linux、AS400/OS 等)、Pc机、服务器、网络交换机、路由器、局域网、互联网等。第三条 雅戈尔集团及下属全资子公司、控股公司范围内计算机信息系统的安全保护管 理,适用本制度。第四条雅戈尔集团信息中心(下称:信息中心)主管全集团计算机信息系统安全保护管 理工作。信息中心具体负责服装范围内(雅戈尔服饰公司除外)及纺织城部分企业计算机信息系 统安全保护管理工作。雅戈尔服饰公司电脑部负责服饰公司范围内计算机信息系统安全保护管理工作。口中纺电脑部负责口中纺范围内计算机信息系统安全保护管理工作。其余各企业由其相关职能部门,
3、在各自职责范围内负责计算机信息系统安全保护管理的 有关工作,如缺少相关职能部门可由信息中心负责管理。第五条信息中心作为信息化行政主管部门,应当与其集I才I所属各企业有关职能部门建 立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。第六条 信息中心及集团所属各企业有关职能部门在履行管理职责过程中,应当保护计 算机信息系统使用部门和个人的应有权益,保守其秘密。计算机信息系统使用部门和个人应当协助有关职能部门做好计算机信息系统的安全保 护管理工作。在有关职能部门依制度履行管理职责吋,使用部门和个人应当如实捉供本部门 计算机信息系统的技术资料。第七条计算机信息系统的安全保护工作,重点维护下列
4、涉及集团商业机密、业务数据、 财务信息、设计图纸、专利技术等重要领域和部门(以下简称垂点安全保护部门)的计算机 信息系统的安全:(一)各企业财务部门;(二)各金业内外销售部门;(三)设计中心、CAD、CAM等负责技术保密及专利的部门;(四)有关企业共公关系部门;(五)办公室、证券部等涉及集团行政机密信息管理部门;(六)信息中心、各电脑部等负责计算机信息安全、保障及管理互联网和局域网出口的 IT部门。第二章计算机信息系统使的安全管理第八条 计算机信息系统使用企业应当建立人员管理、机房管理、设备设施管理、数据 管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体 系,保
5、障本企业计算机信息系统安全。第九条计算机信息系统使用企业应当确定木企业的计算机信息系统安全管理责任人。 安全管理责任人应履行下列职责:(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;(二)组织实施木企业计算机信息系统安全保护管理制度和安全保扩肢术扌旳施;(三)组织木企业计算机从业人员的安全教冇和培训;(四)定期组织检查计算机信息系统的安全运行情况,及吋排除安全隐患。笫十条计算机信息系统使用企业如未配备本企业的计算机信息系统安全技术人员应 交由信息中心管理。安全技术人员应履行下列职责:(一)严格执行集团计算机信息系统安全保护技术措施;(二)对计算机信息系统安全运行情况进
6、行检杏测试,及时排除安全隐患;(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向主管领导报告,并采 取妥善措施保护现场,避免危害的扩大;(四)负责收集木企业的网络拓扑结构图及信息系统的其他相关技术资料。第十一条重点安全保护部门应当建立并执行以卜安全保护管理制度:(一)计算机机房安全管理制度;(二)安全管理责任人、安全技术人员的安全责任制度;(三)网络安全漏洞检测和系统升级管理制度;(四)操作权限管理制度;(五)用户登记制度;(六)信息发布审杏、登记、保存、清除和备份制度;(七)信息保密制度;(八)信息系统安全应急处査制度;(九)其他相关安全保护管理制度。第十二条垂点安全保护部门应当落实
7、以下安全保护技术措施:(一)系统重要部分的兀余措施;(-)重要信息的界地备份措施和保密措施;(三)让算机病毒和有害数据防治措施;(四)网络攻击防范和追踪措施;(五)安全审计和预警措施;(六)信息群发限制措施;(七)其他相关安全保护技术措施。笫十三条 重点安全保护部门的安全管理责任人和安全技术人员,应当经过计算机信息 系统安全知识培训。第十四条 重点安全保护部门应当对具主服务器输入输出数据进行24小时监控,发现 界常数据应注意保护现场,并同时报告有关职能部门。第I五条计算机信息系统使用企业发现计算机信息系统中发生安全事故和违法犯罪 案件时,应在24小时内向主部管门及主管领导报告,并做好运行H志等
8、原始记录的现场保 留工作。涉及重大安全事故和违法犯罪案件的,经主部管门及主管领导批示后向公安机关报案。第十七条计算机信息系统发生突发性事件或存在安全隐患,可能危及计算机信息系统 安全或损害集团利益时,有关职能部门应当及时通知计算机信息系统使用金业、部门采取安 全保护措施,并有权对使用企业、部门采取暂停联网、停机检查、备份数据等应急措施,计 算机信息系统使用企业、部门应当予以配合。突发性事件或安全隐患消除Z后,相关职能部门应立即解除暂停联网或停机检杳措施, 恢复计算机信息系统的正常工作。第三章计算机信息系统安全检测第十八条 重点安全保护部门的计算机信息系统进行新建、改建、扩建的,其安全保护 设计
9、方案应报信息中心审批及备案。系统建成后,重点安全保护部门应进行1至6个月的试运行,由信息中心进行安全体系 检测,检测合格的,系统方能投入止式运行。检测合格报告书信息中心备案。涉密计算机信息系统的建设、检测等按照信息中心有关规定执行。第十九条 计算机信息系统安全保障体系检测包括以下内容:(一)安全保护管理制度和安全保护技术措施的制定和执行情况;(二)计算机硬件性能和机房环境;(三)计算机系统软件和应用软件的可靠性;(四)技术测试情况和其他相关情况。信息中心根据计算机信息系统安全保护的各企业特点,会同有关部门制定并公布重点部 门计算机信息系统安全保障体系的安全要求规范。第二十条重点安全保护部门对计
10、算机信息系统进行设备更新或改造时,对安全保障体 系产生直接影响的,应当由信息中心对受影响的部分进行检测,确保其符合该行业计算机信 息系统安全保障体系的安全要求规范。第二十-条 重点安全保护部门应加强对计算机信息系统的安全保护,定期由信息中心 或各金业相关职能部门对计算机信息系统进行安全保障体系检测,并将检测合格报告书报俭 息中心备案。对检测不合格的,重点安全保护部门应当按照该部门计算机信息系统安全保障 体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。第二十二条 信息中心会同有关部门,按照集团制定安全耍求规范,对重点安全保护部 门的计算机信息系统安全保障体系进行检査。检查内容包括
11、:(一)安全保护管理制度和安全保护技术措施的落实情况;(二)计算机信息系统实体的安全;(三)计算机网络通讯和数据传输的安全;(四)计算机软件和数据库的安全;(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;(六)其他计算机信息系统的安全情况。第二十三条 信息中心等有关职能部门发现重点安全保护部门的计算机信息系统存在 安全隐患,必需对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护部 门应当立即予以整改。第二十四条 信息中心等有关职能部门进行计算机信息系统安全检测吋,应保障被检测 部门各种活动的正常进行,并不得泄露其秘密。第二十五条 接入集团局域网部门及个人必须使用固定
12、的IP地址联网,并按规定落实 安全保护技术措施。第二十六条任何部门和个人不得从事下列危害计算机信息网络安全的活动:(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三 方公开他人电子邮箱地址;(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;(五)未经信息中心同意,扫描集团局域网络信息漏洞;(六)利用计算机信息网络鼓动公众恶意评论他人或公开发布他人隐私,或者暗示、影 射对他人进行人身攻击;(七)其他危害计算机信息网络安全的行为。第二十七条 发现计算机信息网络传播病毒、
13、转发垃圾邮件、转发有害手机短信或传播 有害信息的,信息网络的使用部门和个人应当采取技术措施了以防护和制止,并在24小吋 内向信息中心报告。对不采取技术措施予以防护和制止的信息网络使用部门和个人,信息中心有权责令其采 取技术措施,或主动采取有关技术措施予以防护和制止。第二十八条 信息中心对计算机信息网络的安全状况、公共秩序状况进行经常性监测, 发现危害信息安全和危害共公秩序的事件应及时进行处理,并及时通知冇关部门和个人予以 整改。第五章处罚办法第二十九条违反木条例规定,有下列行为之一的,给予警告,责令限期改正,并可处 以罚款,罚款数额跟据各企业有关规定;情节严重的,可以给了停机整顿的或行政处罚:
14、(一)计算机信息系统使用企业、部门未建立安全保护管理制度或未落实安全保护技术 措施,危害计算机信息系统安全的;(二)计算机信息系统使用金业、部门不按照规定时间报告计算机信息系统中发生的安 全事故和违法犯罪案件,造成危害的;(三)重点安全保护神门的计算机信息系统未经检测或检测不合格即投入正式运行的。 笫三十条计算机信息系统使用全业部门的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在企业按照和关规 定给予其行政处分。第三I一条 对违反木条例规定的行为,涉及其触犯有关法律法规的,构成犯罪的,可 由各企业依法追究刑事责任。起草人:集团信息中心江其2005-11-23
