《信息安全管理制度》由会员分享,可在线阅读,更多相关《信息安全管理制度(17页珍藏版)》请在金锄头文库上搜索。
1、信息工作管理制度第一章总则第一条 为了加强信息管理,规范信息安全操作行为, 提高信息安全保障能力和水平,维护信息安全,促进信息化 建设,根据中华人民共和国计算机信息系统安全保护条例 等规定,以环境信息网络管理维护规范(环保部制定) 等标准为基本管理操作准则,制订本管理制度。第二条 本制度适用范围为信息与监控中心,其他单位 可参照执行。第二章岗位管理第三条 业务信息工作人员(包括监控与信息中心技 术人员及机关业务系统管理人员)、机房运维人员(包括外 包机构人员),应遵循环境信息网络管理维护规范等规 定。第四条 机房运维人员根据运维合同规定由机房管 理部门对其实行管理。第五条信息工作人员岗位设置为
2、系统管理员、业务 管理员、网络管理员、安全管理员、安全审计员。人员岗位及职责(一)系统管理员系统管理员是从事服务器及存储设备运行管理的人 员,业务上应具备熟练掌握操作系统、熟练操作服务器和存 储设备的能力。1、负责指定的服务器、存储等设备的资料登记、软件 保管及设备报修。2、配合完成指定的业务软件运行环境的建立,正式运 行后的服务器系统软硬件操作的监管,执行中心的备份策 略。3、在所负责的的服务器、存储设备发生硬件故障时, 及时组织有关人员恢复系统的运行,针对系统事故找到系统 事故原因。4、负责指定的服务器操作系统的管理口令修改。5、负责制定、执行服务器及存储设备故障应急预案。(二)业务管理员
3、(业务联系人)业务管理员是部署在应用服务器上的操作系统及业务 系统运行管理的人员,业务上应具备业务系统安装及基本调 试操作的能力(业务软件厂家负责培训),业务系统及部署 操作系统故障分析的能力,预防系统风险的能力。1、负责维护业务系统的运行及业务系统的安装环境。2、负责制定、执行业务系统及其数据的备份计划。3、负责业务数据的数据备份及数据恢复。4、负责制定执行本业务系统的故障应急预案。(三)网络管理员网络管理员是网络及网络设备运行管理的管理人员, 业务上应具备规划大型网络的能力,网络故障分析的能力。1、负责日常监控网络运行,保持网络安全、稳定、畅 通。2、负责网络、安全设备的资料登记,软件保管
4、及设备 维修。3、负责网络、安全设备的配置情况及针对相关业务配 置参数设置,并备份各个设备的配置文件。4、负责网络、安全设备的编号和调配。5、负责网络资源规划和网络布线配线架的管理。6、负责对网络的效能进行评价,提出网络结构、网络 技术和网络管理的改进措施。7、负责制定和执行网络故障应急预案。(四)安全管理员安全管理员是网络安全、系统安全进行风险评估的管 理人员,业务上应具备文字处理的能力、划分系统保护定级 及系统恢复定级的能力、协调沟通的能力。1、负责定期对网络、操作系统等进行安全漏洞扫描, 通知各相关技术人员并给予指导。2、负责组织实施信息安全风险评估,报告。3、负责组织人员进行安全培训。
5、4、负责确定系统保护定级和划分系统恢复等级。5、负责配合省公安厅和经信委的信息安全检查。(五)安全审计员安全审计员是审计网络安全策略、安全防护、角色权 限的管理人员。业务上应具备办公及应用软件安全分析的能 力、系统安全风险策略及数据安全风险策略分析的能力、组 织协调的能力。1、负责办公软件和应用软件的安装和维护。2、负责重要系统的用户角色权限的审计。网络安全、 病毒防护的审计。3、负责数据备份与灾难恢复的审计。4、协助进行网络带宽分配、网络访问控制、网络安全 审计、网络边界完整性、网络入侵防范、网络恶意代码防范、 地址绑定等安全功能进行测试。5、负责重要系统软硬件获取应用的审计。6、负责应急预
6、案的审计,并组织应急演练。第六条 信息工作人员与机房运维人员都必须遵守山 东省环境保护厅环境信息网络管理维护规范,签订信息安 全责任书。第七条 对违反信息安全操作规范或严重疏忽,根据造 成的后果的大小,可对信息工作人员的当年年度考核评定为 不合格或职务晋升、评选先进等实行一票否决。人事关系隶 属其他部门人员通知相关部门负责人,根据厅有关规定进行处理。造成重大事故,构成犯罪的,将追究刑事责任。第八条 信息工作人员离岗必须交接的内容:1、将领用的办公电脑、U盘、移动硬盘等办公品办理 退还手续。2、本岗位所有的工作资料。3、经办未了的事项。第九条 离岗交接要求1、离岗人员必须认真填写离岗表格资料,填
7、写资料字 迹要清晰。2、离岗表格资料由信息主管部门负责对离岗人员材料 进行评审。3、资料、文件、未完工作交接时,需由信息主管部门 确定监交人,监督移交是否完整、准确,并帮助移交工作顺 利完成。资料交接清单必须有移交人、交接人以及监交人三 方的签字认可。4、离岗交接未通过评审者,人事部门不得为其办理离 职手续。5、交接时可能会出现资料交接不完全,人员离岗后, 信息主管部门保留对移交人的追索权力。第十条 根据信息安全等级保护检查工作规范的 规定,信息部门每年举办一次信息安全技术培训。第三章网络管理第十一条 根据山东省环境保护厅环境信息网络管 理维护规范标准,网络管理员每天检查网络设备的运行情 况。
8、第十二条 网络管理员日常检查各网络运行状态,记 录网络运行各项参数。日常检查内网管理软件、网络与安全管理软件的运行情 况。及时执行网络与安全管理软件升级维护,并记录网络安 全日常维护表。第十三条 网络管理员配合安全审计员定期对网络带 宽分配、网络访问控制、网络安全审计、网络边界完整性、 网络入侵防范、网络恶意代码防范、地址绑定等安全功能进 行测试。第十四条 网络资源及网络参数变更,必须有机房负 责人进行审批。第十五条 出现网络异常,网络管理员及时报告机房 负责人,核实原因。如网络出现故障或事故,应按照信息 安全应急预案处理,及时维修、更换备机。第十六条 网络、安全设备接入网络,必须经过运维 管
9、理部门审批。发现私自接入网络行为的,给予警告、记过 处分,造成不良后果的,可以撤职。第十七条 利用网络从事非法活动的,将根据有关法律法规,追究责任。第四章系统管理第十八条 根据“谁应用,谁负责”的原则,确定每 个业务系统的业务管理员,软件研发单位负责对业务管理员 进行培训。第十九条业务管理员应每天检查所管理业务系统 (包括所使用的硬件设备)的运行情况,检查业务系统备份 情况,及时修补系统补丁。第二十条 对业务系统进行升级与维护,必须录入系 统日常维护表。第二十一条 业务系统及其备份系统发生故障时,系 统管理员及时通知软件开发商并报告机房负责人,核实原 因。如系统不能恢复或数据丢失等重大事故发生
10、,应按照信 息安全应急预案处理。第二十二条每年7月,业务管理员配合安全管理员对业务系统进行风险评估,根据风险评估报告(符合 GB/T20984标准),进行系统修订。第二十三条 每年7月,业务管理员配合安全管理 员核定信息系统等保定级、系统恢复定级,按照信息安全检 查内容进行自查。第二十四条业务系统服务器不得开放与工作无关的服务端口。如需开通其他服务端口,必须备案,并自行保 证信息安全。第五章软硬件资产管理第二十五条 进入机房的软件、服务器、存储、网络 与安全设备进行统一的编号和调配,如在财务管理所规定的 固定资产价值范围内(含软件和其它信息设备),应统一登 记,计入固定资产台账。第二十六条由行
11、政管理部门和使用部门对软件和信息设备共同进行资产管理。1、设置固定资产实物台帐,建立固定资产卡片。2、对固定资产进行统一分类资产编号。3、对固定资产的使用落实到具体负责人。第二十七条资产编号规则应按财政厅规定的资产编 号规则实施。第二十八条 信息管理部门定期组织人员,进行软件 资产清查盘点,对清查盘点中发现的问题,应当查明原因, 说明情况,软件资产清查盘点工作应当符合信息安全和保密 的要求,防止信息外泄。第二十九条 符合下列条件之一的软件资产可以申 请报废(一)闲置一年以上及版本陈旧已不再使用的(二)达不到业务要求需要淘汰、报废、删除的;(三)已超过授权期限,无法使用的;(四)其他特殊情况需要
12、处置的。第三十条 根据设备新旧程度,信息管理部门应组 织系统管理员和网络设备管理员及业务管理员,定期修订设 备保养计划,设备进行保养及清洗,需按照保养计划执行。第三十一条信息设备发生故障时,应及时报告机房 负责人并通知相关负责人,核实原因。如设备故障可能会导 致系统或数据丢失时,应按照信息安全应急预案处理。第三十二条 网络设备、安全设备、服务器设备其它 机房设备维修,必须经过运维管理部门审批,填写维修单。第三十三条未经运维管理部门审批,不得拆换信息 设备零件、配件、外设,不得改变网络设备、安全设备、服 务器设备、存储设备安装位置及系统设置,更不准挪作它用。第三十四条符合下列条件之一的信息设备可
13、以申请报废(一)超过使用年限、自然损耗造成性能降低、主要 部件损坏,无法修复的。(二)多次修理,费用超过设备原值50%以上的。(三)设备属淘汰产品,不能满足正常工作的。(四)其他特殊情况需要处置的。第六章信息安全管理第三十五条按照关于加强党政机关计算机信息系 统安全和保密管理的若干规定,重要数据应参照执行。第三十六条拥有重要数据的部门应该及时对数据 进行备份,防止数据的丢失;涉及数据备份和恢复的部门要 指定业务管理员负责数据备份工作,并认真填写备份日志。第三十七条 数据备份应根据不同业务制定不同的备 份周期和备份策略,存放备份数据的介质必须具有明确的标 识。备份数据应定期测试,以确保备份数据的
14、可恢复性。第三十八条 备份介质必须归档。备份介质要有业务 管理员负责保管工作,保存地点应有防火,防热,防潮,防 尘,防磁,防盗设施。第三十九条 数据清理前业务管理员必须对数据进行 备份,在确认备份正确后方可进行清理操作。历次清理前的 备份数据要根据备份策略进行定期保存或永久保存,并确保 可以随时使用。数据清理的实施应避开业务高峰期,避免对 联机业务运行造成影响。第四十条 数据恢复前,业务管理员必须对原环境的 数据进行备份,防止有用数据的丢失。数据恢复过程中要严 格按照数据恢复手册执行,出现问题时由技术部门进行现场 技术支持。数据恢复后,必须进行验证、确认,确保数据恢 复的完整性和可用性。第四十
15、一条 数据的备份、恢复、转出、转入的权限 都应严格控制。严禁未经授权将数据备份出系统,转给无关 的人员或单位;严禁未经授权进行数据恢复或转入操作。当 存储过重要数据的介质(如光盘、软盘、磁带等)报废时应 由专业技术人员进行物理性销毁。第七章密码管理第四十二条 网络设备、服务器设备及其应用系统等 系统密码和管理密码,应统一管理、专人使用。第四十三条 密码更新应由各设备及系统管理员编制新密码,实施更新,并送机房负责人备查。第四十四条 交换机、路由器、防火墙、服务器的系 统密码和管理密码每月更新一次,在每月5日前负责完成。 网站和视频会议系统服务器指定负责人将密码更新后,并及 时通知机房负责人备案。第四十五条特殊情况机房负责人可根据工作的实 际需要更新密码。第八章附则第四十六条 结合信息网络快速发展和经济社会发展 状况,配合相关法律法规的制定、修改和完善,本制度适时 修订。第四十七条 本制度由信息与监控中心制定并解释。第四十八条 本制度于2011年 月 日批准实施。网络安全事故应急预案第一章总则为了正确、迅速和有效地处置网络系统可能发生的重大 计算机网络安
