《生活小区计算机网络管理制度+安全管理制度》由会员分享,可在线阅读,更多相关《生活小区计算机网络管理制度+安全管理制度(11页珍藏版)》请在金锄头文库上搜索。
1、关于印发XX公司生活小区网络管理制度的通知公司行政服务中心:为了加强对生活小区网络的管理,规范用户上网行为,公司制定了XX公司 生活小区网络管理制度,现予印发,请你们告知并督促生活小区宽带用户遵照执 行。二OXX年十月十日XX 公司生活小区计算机网络管理制度一、为了加强XX公司生活小区计算机网络管理与信息安全,任何用户的PC机、 笔记本电脑及网络设备(以下统称PC)连接电力小区宽带网必须遵守本制度。二、新用户接入、报装,必须由用户向公司行政服务中心提出申请,并填写相 关申请表。(具体见小区宽带开户申请流程)。新用户初装费用,按实际材料、 人工发生的费用计算,由宽带申请人自理(省公司在岗职工除外
2、)。三、行政服务中心审核并登记后,提交信息中心开通网络。在网络连通后,用 户需到信息中心领取个人上网卡片。四、用户需保管好自己的上网卡片(记录有计算机名、上网帐号、IP地址、M AC 地址等信息),卡片信息不得与他人共享。五、用户的PC机必须实名制。(机算机名为宽带网申请人)。六、用户不得修改PC的计算机名、网络属性(IP地址、子网掩码、DNS等)。七、禁止用户在网络上架设DHCP服务、DNS服务、WINS服务、INTERNET共享 连接服务。八、用户需定期更换自己的口令(密码),更换周期不得长于一个月。密码长 度建议不少于六个字符。九、为了保护网络中其他电脑的正常使用,用户的PC必须安装信息
3、中心指定 的网络版防病毒软件,安装杀病毒软件(含升级),按单台PC计算,一个点所需 费用人民币玖拾捌元,由宽带申请人自理(省公司在岗职工除外)。用户应定期进 行硬盘扫描(一个月至少运行一次)。十、用户在更换新机或者系统重装等维护时,及时通知信息中心,做好IP地 址及 MAC 地址的修改登记。十一、用户应加强保密意识,在维护PC时涉及到外单位电脑维护人员的,用 户必须监督进行,或及时删除涉及公司机密的资料。十二、禁止用户使用BT、P2P等大量占用网络资源的、可能含恶意代码的下载 软件。十三、任何人在登陆后不得利用公司信息网或国际互联网制作、复制、查阅和 传播下列信息:(一)煽动抗拒、破坏宪法和法
4、律、行政法规实施的;(二)煽动颠覆国家政权,推翻社会主义制度的;(三)煽动分裂国家、破坏国家统一的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;(七)公然侮辱他人或者捏造事实诽谤他人的;(八)损害国家机关、南方电网及本公司利益的;(九)其他违反宪法和法律、行政法规的。十四、不得利用 PC 故意制作、传播计算机病毒等破坏性程序。若发现入网黑 客、非法信件、有害信息或计算机病毒,应及时向信息中心报告,并及时处理。十五、不得利用 XX 小区宽带从事宽带接入等增值商业活动。十六、对违
5、反以上规定的用户,由信息中心网络管理员给予警告、注销帐号 封停IP等处理。情节严重构成违法的,将移送司法机关处理。十七、XX小区宽带使用均属免费,信息中心设立小区宽带服务电话:6531794 0(暂定)。十八、本规定自颁布之日起执行,有新的修改版本颁布后,本规定自行终止。十九、本规定由XX公司信息中心负责解释。关于安全管理制度的管理标准1引言本标准阐述了 XX信息通信分公司(以下简称“公司”)在信息安全管理制度 方面的基本任务和管理原则,确定了公司在信息安全管理制度方面的职责和义务, 明确了公司信息安全管理制度在编写、制定和发布、评审和修订等过程中应遵守的 原则与工作方式及流程。2规范性引用文
6、件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用 文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单), 然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未 注日期的引用文件,其最新版本适用于本标准信息安全技术信息系统安全保障评估框架(GB/T 20274.1-2006)信息安全技术信息系统安全管理要求(GB/T 20269-2006)信息安全技术信息系统安全等级保护基本要求(GBT 22239-2008)本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和 规定执行。3目标总体目标:为贯彻执行国家、地方和本行业有关
7、信息化建设的方针政策,有效 保障公司信息系统正常运行。公司信息系统管理的规范化、程序化、制度化,进一 步提高管理制度的体系化和制定发布流程的标准化,特制定本制度。为更好的适应 公司的企业文化,本标准参照南方电网信息安全管理制度的相关要求,并借鉴了国 内外流行标准。具体建设目标:1)建立完整的信息安全管理体系和组织机构,提高信息安全管理的能力,完 善各项业务和管理过程中的信息安全措施,确保信息安全管理正规有序。2)建立完整的信息安全运行体系,实现网络系统安全系统的集中管理和透明 化监控,提高对突发事件的应急响应处理能力,保证关键业务应用运行的可用性、 可依赖性以及故障恢复能力。4 术语和定义本标
8、准采用以下术语和定义。制度:对流程具体实施办法的解释,规定必须的关键因素,指明各类表单的填写要求 等。流程: 一个输入到输出的过程,一般以流程图表示,标识关键环节和关键步骤,明确职责分工;表单:对每个关键环节进行控制的过程文档,表单文件闭环后作为档案文件进行管理总体方针第一章 组织与体制构筑确保信息安全所必需的组织与体制,明确其责任与权限。第二章 遵守法令法规遵守与信息安全有关的法令法规,制定并遵守按基本方针所制定的信息安全相 关的规定。第三章 信息资产的分类与管理按照重要级别信息资产进行分类,并妥善管理。第四章 培训与教育为使相关人员全面了解信息安全的重要性,适当开展针对性培训与教育教育活
9、动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。第五章 物理性保护为避免非法入侵、干扰及破坏信息资产等事故的发生,对其保管场所与保管办 法加以明确。第六章 技术性保护为切实保护信息资产不受来自外部的非法入侵,对信息系统的登录方法、使用 限制、网络管理等采取适当的措施。第七章 运用为确保基本方针的实际成效,在对遵守情况进行监督的同时,对违反基本方针 时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。第八章 评价及复审随着社会环境的变化、技术的进步等,应定期对基本方针与运用方式进行评价 与复审。安全策略第一章 安全管理机构建立组织管理体系是为了建立自上而下的信息安全
10、工作管理体系,确定安全管 理组织机构的职责,统筹规划、专家决策,以推动信息安全工作的开展。公司成立信息安全领导小组,是信息安全的最高决策机构,负责研究重大事件 落实方针政策,制定实施策略和原则,开展安全普及教育等。下设办公室挂靠在公 司信息中心,负责信息安全领导小组的日常事务。信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。第二章 人员安全管理通过建立安全岗位责任制,最大限度降低人为失误所造成的风险。人是决定性 因素,人员安全管理的原则是:职责分离、有限授权、相互制约、任期审计。人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录用 人员离岗、人员考核与审查、第三
11、方人员管理等。信息安全人员的配备和变更情况,应向上一级单位报告、备案。信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。 涉及XX业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的 脱密期后,方可调离。第三章 标准化管理应通过公司信息系统内部业务处理、操作流程、信息系统管理和技术等一系列 标准化和规范化的过程,应根据系统的安全等级,依照国家相关法律法规及政策标 准,建立信息安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平 台建设、应用系统开发、运行管理等重要环节,奠定信息安全的基础。第四章 系统建设管理信息系统的安全管理贯穿系统的整个生命周期,系统建
12、设管理主要关注的是生 命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考 虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软 件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择 十一个控制点。第五章 系统运维管理目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用 病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运 行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理 要素。对运行过程的任何变化,数据、软件、物理设置
13、等,都应实施技术监控和管理 手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权 和合法性验证。应急管理也是运维的重要内容,目的是分析信息系统可能出现的紧急事件或灾 难,建立一整套应急措施,以保障核心业务的快速恢复和持续稳定运行。应急计划 包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。在公司统一的应急规划下,针对信息系统面临的各种应急场景编制相应的应急 预案,并经过测试演练修订,同时宣传普及。第六章 物理安全目的是保护计算机设备、设施(含网络)以及信息系统免遭自然灾害和其他形 式的破坏,保证信息系统的实体安全。有关物理环境的选址和设计应遵照相关标准,配
14、备防火、防水、防雷击、防静 电、防鼠害等机房措施,维持系统不间断运行能力,确保信息系统运行的安全可靠对重要安全设备的选择,需符合国家相关标准规范,相关证书齐全。严格确定设备的合法使用人,建立详细运行日志和维护记录。第七章 网络安全目的是有效防范网络体系的安全风险,为业务应用系统提供安全、可靠、稳定 的网络管理和技术平台。对于依赖网络架构安全的业务应用系统,需根据其安全级别,实施相应的访问 控制、身份认证、审计等安全服务机制;在网络边界处,需根据资源的保护等级, 实施相应安全级别的防火墙、认证、审计、动态检测等技术,防范信息资源的非法 访问、篡改和破坏。第八章 主机安全主机安全包括服务器、终端/
15、工作站等在内的计算机设备在操作系统及数据库 系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括 应用程序、网络、web、文件与通信等服务器。主机承载着各种应用,是保护信息 安全的中坚力量。主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、 入侵防范几个方面,同时定期或不定期的进行安全评估(含渗透性测试)和加固, 实时确保主机的健壮性。第九章 应用安全应用安全成是信息系统整体防御的最后一道防线,目的是保障业务应用系统开 发过程及最终产品的安全性。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的 应用是形成其他应用的基础,是基本的应用;业务应用采纳基本应用的功能以满足 特定业务的要求;故最终是保护系统的各种业务应用程序的安全运行。应用系统的总体需求计划阶段,应全面评估系统的安全风险,确定系统的访问 控制、身份认证、审计跟踪等安全需求;总体架构设计阶段,应实施安全需求设计 确立安全服务机制、开发人员技术要求和操作规程;应用系统的实现阶段,应全程 实施质量控制,防止程序后门,减少代码漏洞;在上线运行之前,应充分进行局部 功能、整体功能、压力测试,以及系统安全性能、操作流程、应急方案的测试。第十章 数据安全及备份恢复信息系统处理的各种数据(用
