《信息系统安全管理制度(4篇)》由会员分享,可在线阅读,更多相关《信息系统安全管理制度(4篇)(24页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全管理制度第一章总则第一条为保证本单位信息系统的操作系统和数据库系统的安全,根据_计算机信息系统安全保护条例,结合本单位系统建设实际情况,特制定本制度。第二条本制度适用于本单位_部门及所有系统使用部门和人员。第三条_部门是本单位系统管理的责任主体,负责_单位系统的维护和管理。第二章系统安全策略第四条_部门负责单位人员的权限分配,权限设定遵循最小授权原则。1)管理员权限。维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离,不能由同一人担任。2)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。3)查询权限:对于单位管理人员可以以此权限查询数据,但不能
2、输入、修改数据。4)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。第五条加强_策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。用户使用的口令应满足以下要求:-_个字符以上;-使用以下字符的组合。a-z、a-z、0-9,以及。#$%&_-+;-口令每三个月至少修改一次。第六条定期_系统的最新补丁程序,在_前进行安全测试,并对重要文件进行备份。第七条每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。第八条关闭信息系统不必要的服务。第九条做好备份策略,保障系
3、统故障时能快速的恢复系统正常并避免数据的丢失。第三章系统日志管理第十一条对于系统重要数据和服务器配值参数的修改,必须征得_领导批准,并做好相应记录。第十二条对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内容等详细信息。第十三条审计日志应包括但不局限于以下内容。包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。第十四条安全审计员应每日对审计日志进行_,对异常事件及时跟进解决,并定期形成日志分析报告。第十五条系统审计日志应定期做好备份工作。第四章个人操作管理第十六条单位工作人员申请账户权限需填写系统权限申请表,经系统管理员批准后方可开通。账号申请表上应
4、详细记录账号信息。第十七条人员离职或调职时需交回相关系统账号及_,经系统管理员删除或变更账号后方能离职或调职。第十八条单位工作人员严禁私自在办公计算机上_软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。第十九条严格管理口令,包括口令的选择、保管和更换,采取关闭guest和匿名用户、增强管理员口令选择要求等措施。第二十条计算机设备应设屏幕_保护的用户界面,保证数据的_性的安全。第五章惩处第二十一条违反本管理制度,将提请单位行政部视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。信息系统安全管理制度(二)-_联华中安制定为加强开发区计算机信息系统安全和保密管理,
5、保障计算机信息系统的安全,_联华中安信息技术有限公司特制定本管理制度。第一条严格落实计算机信息系统安全和保密管理工作责任制。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。第二条办公室是全局计算机信息系统安全和保密管理的职能部门。办公室负责具体管理和技术保障工作。第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。第四条局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属_网;外网专用于各部门和个人浏览国际互联网,属非_网。上内网的计算机
6、不得再上外网,涉及国家_的信息应当在指定的_信息系统中处理。第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理_信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件_情况进行检查和登记备案;(三)设置开机口令,长度不得少于_个字符,并定期更换,防止口令被盗;(四)_正版防病毒等安全防护软件,并及时进
7、行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理_信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有_信息的手提电脑外出的,必须确保_信息安全。第七条_移动存储设备的使用管理应符合下列要求:(一)分别由各科室兼职保密员负责登记,做到专人专用专管,并将登记情况报信息中心备案;(二)严禁_移动存储设备在内、外网之间交叉使用;(三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码;(四)鼓励采用_技术
8、等对移动存储设备中的信息进行保护;(五)严禁将_存储设备带到与工作无关的场所。第八条数据复制操作管理应符合下列要求:(一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;(二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止_;(三)复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得利用_传递、转发或抄送_信息;(四)各科室因工作需要向外网公开内部信息资料时,必须由该科室负责人审核同意,交由办公室统一发布。第九条办公计算机及相关设备由机关事务中心负责维护,按保密要求实行定点维修。需外请维修的,
9、要派专人全程监督;需外送维修的,应由办公室拆除信息存储部件,以防止存储资料_。第十条办公计算机及相关设备在变更用途时,必须进行严格的消磁技术处理。第十一条办公计算机及相关设备报废时,应由信息中心拆除存储部件,然后交办公室核定,由机关事务中心按有关要求统一销毁,同时作好备案登记。严禁各科室自行处理报废计算机。第十二条加强对兼职保密员的管理,积极参加国家保密工作部门_的岗位职能培训。定期内办公室_开展经常性的保密教育培训,提高_工作人员的计算机信息安全保密意识与技能。第十三条办公室要加强机关计算机信息系统安全和保密管理情况的监督,定期进行检查,提高_隐患发现能力和_事件应急处置能力。其它各科室要密
10、切配合,共同做好计算机信息系统安全和保密工作。第十四条_工作人员离岗离职,有关科室应即时取消其计算机_信息系统访问授权,收回计算机、移动存储设备等相关物品。第十五条各科室和个人应当接受并配合机关保密工作领导小组_的保密监督检查,协助核查有关_行为。对违反本规定的有关人员应给予批评教育,并责令限期整改;造成_事件的,由有关部门根据国家相关保密法律法规进行查处,并追究相关责任人的责任。第十六条各科室要根据本规定,确保_信息安全。信息系统安全管理制度(三)为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。一、互联网使用管理互联网使用管理互联网使用管理互联网使用管理1、禁止利用公司计算机信息网
11、络系统制作、复制、查阅和传播危害国家安全、泄露公司_、非法网站及与工作无关的网页等信息。行政部门建立网管监控渠道对员工上网信息进行监督。一经发现,视情节严重给予警告、通报批评、扣发工资_元/次、辞退等处罚。2、未经允许,禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。一经发现,视情节严重给予警告、通报批评、扣发工资_元/次、辞退等处罚。3、公司网络采取分组开通域名方式,防止木
12、马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号_安全系数降低。二、网站信息管理1、公司_发布、转载信息依据国家有关规定执行,不包含违_各项法律法规的内容。2、公司_容定期进行备份,由网管员保管,并对相应操作系统和应用系统进行安全保护。3、公司网管加强对上网设备及相关信息的安全检查,对网站系统的安全进行实时监控。4、严格执行公司保密规定,凡涉及公司_容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网;5、所有上网稿件须经分管领导审批后,由企划部门统一上传。三、软件管理软件管理软件管理软件管理1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行,任何部门和员
13、工不得擅自采购。2、公司提供的全部软件仅限于员工完成公司的工作使用。未经许可,不得将公司购买或开发的软件擅自提供给第三人。3、操作系统由公司统一提供。禁止_使用其它来源的操作系统,特别是的非法拷贝。擅自使用造成的一切后果由使用人自行承担,对于造成损失的,将视情节及危害程度严重给予警告、通报批评、扣发工资_元/次等处罚。4、一般应用软件统一在公司文件服务器上提供常用软件_目录,不提供_光盘(操作系统除外)。_非公司提供的软件导致系统损害,信息丢失的,将视情节及危害程度严重给予警告、通报批评、扣发工资_元/次、辞退等处罚。5、公司小范围使用的专业版权软件,使用人需在自行备份并由信息系统管理员验证后
14、才可进行_。6、禁止_使用非工作用软件。其它工作所需的应用软件,可由使用部门申请,再由行政部门统一发布。四、计算机病毒管理1、集团计算机病毒管理由集团信息办负责进行规划、实施和监控。2、员工应树立预防计算机病毒的意识和熟知预防计算机病毒的措施,及时更新系统漏洞和使用杀毒软件。具体内容包括:(1)及时更新微软补丁,每周至少更新一次。当屏幕右下角有自动更新的图标时,要及时_。(2)有些特殊的软件(如sqlserver等),及时到相应网站打补丁。(3)及时_杀毒软件和升级杀毒软件病毒特征库。严禁因杀毒软件影响性能,而把杀毒软件卸载。每周至少更新一次,确保杀毒软件为最新版本。(4)严禁打开来历不明的邮
15、件。能判断为病毒邮件的,立即删除;不能判断的联系信息系统管理员解决。当计算机感染病毒后,请及时断开网线,使用杀毒软件查杀和查看操作系统和应用软件的补丁是否及时更新;严重者请及时联系信息办信息系统管理员解决。(5)当有新病毒通过某些软件(如:_,msn)传播时,请立即关闭相应软件或拔掉网线。查杀问题解决后,方可继续使用。3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,第一次给予警告、第二次给予通报批评,第三次及以上将给予通报批评并扣发工资_元/次。五、网络资源管理1、集团网络资源和服务器由集团信息办信息系统管理员统一进行规划、管理和监督。2、服务器及个人用机的管理:(1)部门级及以上服务器必须指定专人负责管理,并在行政部门备案,非管理员不得对其进行操作。(2)部门级及以上的服务器管理员有责任对其负责的服
