- 相關推薦
信息安全保密管理制度(精選10篇)
在日常生活和工作中,大家逐漸認識到制度的重要性,制度具有使我們知道,應該做什么,不應該做什么,懲惡揚善、維護公平的作用。擬定制度需要注意哪些問題呢?以下是小編整理的信息安全保密管理制度,希望對大家有所幫助。
信息安全保密管理制度 1
第一章總則
第一條信息安全保密工作是公司運營與發(fā)展的基礎,是保障客戶利益的基礎,為給信息安全工作提供清晰的指導方向,加強安全管理工作,保障各類系統(tǒng)的安全運行,特制定本管理制度。
第二條本制度適用于分、支公司的信息安全管理。
第二章計算機機房安全管理
第三條計算機機房的建設應符合相應的國家標準。
第四條為杜絕火災隱患,任何人不許在機房內吸煙。嚴禁在機房內使用火爐、電暖器等發(fā)熱電器。機房值班人員應了解機房滅火裝置的性能、特點,熟練使用機房配備的滅火器材。機房消防系統(tǒng)白天置手動,下班后置自動狀態(tài)。一旦發(fā)生火災應及時報警并采取應急措施。
第五條為防止水患,應對上下水道、暖氣設施定期檢查,及時發(fā)現(xiàn)并排除隱患。
第六條機房無人值班時,必須做到人走門鎖;機房值班人員應對進入機房的人員進行登記,未經各級領導同意批準的人員不得擅自進入機房。
第七條為杜絕嚙齒動物等對機房的破壞,機房內應采取必要的防范措施,任何人不許在機房內吃東西,不得將食品帶入機房。
第八條系統(tǒng)管理員必須與業(yè)務系統(tǒng)的操作員分離,系統(tǒng)管理員不得操作業(yè)務系統(tǒng)。應用系統(tǒng)運行人員必須與應用系統(tǒng)開發(fā)人員分離,運行人員不得修改應用系統(tǒng)源代碼。
第三章計算機網絡安全保密管理
第九條采用入侵檢測、訪問控制、密鑰管理、安全控制等手段,保證網絡的安全。
第十條對涉及到安全性的網絡操作事件進行記錄,以進行安全追查等事后分析,并建立和維護“安全日志”,其內容包括:
1、記錄所有訪問控制定義的變更情況。
2、記錄網絡設備或設施的啟動、關閉和重新啟動情況。
3、記錄所有對資源的物理毀壞和威脅事件。
4、在安全措施不完善的情況下,嚴禁公司業(yè)務網與互聯(lián)網聯(lián)接。
第十一條不得隨意改變例如ip地址、主機名等一切系統(tǒng)信息。
第四章 應用軟件安全保密管理
第十二條各級運行管理部門必須建立科學的、嚴格的軟件運行管理制度。
第十三條建立軟件復制及領用登記簿,建立健全相應的監(jiān)督管理制度,防止軟件的.非法復制、流失及越權使用,保證計算機信息系統(tǒng)的安全;
第十四條定期更換系統(tǒng)和用戶密碼,前臺(各應用部門)用戶要進行動態(tài)管理,并定期更換密碼。
第十五條定期對業(yè)務及辦公用pc的操作系統(tǒng)及時進行系統(tǒng)補丁升級,堵塞安全漏洞。
第十六條不得擅自安裝、拆卸或替換任何計算機軟、硬件,嚴禁安裝任何非法或盜版軟件。
第十七條不得下載與工作無關的任何電子文件,嚴禁瀏覽黃色、*或高風險等非法網站。
第十八條注意防范計算機病毒,業(yè)務或辦公用pc要每天更新病毒庫。
第五章 數(shù)據安全保密管理
第十九條所有數(shù)據必須經過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播,數(shù)據應只用于明確規(guī)定的目的,未經批準不得它用,采用的數(shù)據范圍應與規(guī)定用途相符,不得超越。
第二十條根據數(shù)據使用者的權限合理分配數(shù)據存取授權,保障數(shù)據使用者的合法存取。
第二十一條設置數(shù)據庫用戶口令,并監(jiān)督用戶定期更改;數(shù)據庫用戶在操作數(shù)據過程中,不得使用他人口令或者把自己的口令提供給他人使用。
第二十二條未經領導允許,不得將存儲介質(含磁帶、光盤、軟盤、技術資料等)帶出機房,不得隨意通報數(shù)據內容,不得泄露數(shù)據給內部或外部無關人員。
第二十三條 嚴禁直接對數(shù)據庫進行操作修改數(shù)據。如遇特殊情況進行此操作時,必須由申請人提出申請,填寫《數(shù)據變更申請表》,經申請人所屬部門領導確認后提交至信息管理部,信息管理部相關領導確認后,方可由數(shù)據庫管理人員進行修改,并對操作內容作好記錄,長期保存。修改前應做好數(shù)據備份工作。
第二十四條 應按照分工負責、互相制約的原則制定各類系統(tǒng)操作人員的數(shù)據讀寫權限,讀寫權限不允許交叉覆蓋。
第二十五條 一線生產系統(tǒng)和二線監(jiān)督系統(tǒng)進行系統(tǒng)維護、復原、強行更改數(shù)據時,至少應有兩名操作人員在場,并進行詳細的登記及簽名。
第二十六條 對業(yè)務系統(tǒng)操作員權限實行動態(tài)管理,確保操作員崗位調整后及時修改相應權限,保證業(yè)務數(shù)據安全。
信息安全保密管理制度 2
一、引言
隨著信息技術的高速發(fā)展和廣泛應用,企業(yè)面臨越來越多的信息安全風險。信息安全管理制度是保障企業(yè)信息安全的基礎性工作,對于確保企業(yè)信息資產的機密性、完整性和可用性至關重要。本文旨在提出一套完善的信息安全管理制度,確保企業(yè)在各個方面都能夠有效地保護信息安全。
二、信息安全政策制定
1. 信息安全政策的目標與原則
。1)確保信息安全:信息安全政策的最終目標是為了保護企業(yè)的核心信息資產,確保其機密性、完整性和可用性。
。2)全員參與:信息安全是全員責任,每個員工都要對企業(yè)信息安全負責。
。3)合規(guī)要求:信息安全政策要與國家法律法規(guī)以及相關行業(yè)標準相一致,并能滿足監(jiān)管機構的審計要求。
2. 信息安全政策的制定流程
。1)需求調研:對企業(yè)現(xiàn)有信息安全狀況進行調研,分析需求和問題。
。2)制定草案:根據調研結果和需求分析,制定信息安全政策草案。
。3)征求意見:將信息安全政策草案發(fā)送給內部各部門和相關人員,征求意見。
(4)修訂和定稿:根據意見修訂、完善信息安全政策,最終確定。
三、信息安全組織架構與職責劃分
1. 信息安全部門設立
(1)信息安全部門的職責:負責組織和協(xié)調企業(yè)的信息安全管理工作,負責信息安全政策制定和執(zhí)行,做好信息安全風險評估和應對工作。
。2)人員配備:信息安全部門應配備專業(yè)人員,包括信息安全經理、信息安全管理員、信息安全技術專家等。
2. 職責劃分
。1)信息安全經理:負責信息安全政策的制定和管理、安全事件的響應與處置。
。2)信息安全管理員:負責信息系統(tǒng)的安全運維和管理。
。3)信息安全技術專家:負責信息安全技術方案的設計和實施。
四、信息安全管理流程
1. 風險評估與管理
(1)風險評估的重要性:對企業(yè)現(xiàn)有信息系統(tǒng)、網絡設備和業(yè)務流程進行風險評估,及時發(fā)現(xiàn)潛在的信息安全風險。
。2)風險評估的步驟:制定風險評估計劃、進行風險識別和分析、制定風險評估報告。
2. 安全事件的監(jiān)測與響應
。1)安全事件的監(jiān)測:建立監(jiān)測系統(tǒng),實時監(jiān)測和分析網絡流量和日志,發(fā)現(xiàn)異常則及時進行響應。
(2)安全事件的響應:及時采取相應措施,恢復業(yè)務、調查事件原因、修復漏洞和防范措施。
3. 安全培訓與意識提升
。1)培訓計劃的制定:制定信息安全培訓計劃,包括定期培訓和專項培訓。
(2)員工安全意識:提高員工的信息安全意識,加強對社交工程和釣魚等攻擊的防范意識,保護企業(yè)信息資產。
五、信息安全管理制度的執(zhí)行與監(jiān)控
1. 信息安全檢查
。1)定期檢查:定期對企業(yè)的信息系統(tǒng)、網絡設備和業(yè)務流程進行安全檢查,發(fā)現(xiàn)問題及時解決。
。2)隨機抽查:對特定的信息系統(tǒng)、網絡設備和業(yè)務流程進行隨機抽查,發(fā)現(xiàn)問題則進行糾正和改進。
2. 審計與審查
(1)內部審計:定期進行內部審計,評估信息系統(tǒng)和網絡設備的安全性和合規(guī)性。
(2)外部審查:委托第三方機構進行外部審查,評估企業(yè)信息安全管理制度的有效性和合規(guī)性。
3. 事件記錄與報告
。1)事件記錄:對所有的'安全事件進行記錄,包括事件的發(fā)生時間、類型、等級和后續(xù)處理情況。
(2)報告:定期向上級領導和相關部門報告信息安全事件的統(tǒng)計情況,并提出改進措施。 六、信息安全管理制度的改進
1. 改進機制
(1)內部反饋:鼓勵員工提出改進建議和意見,并及時反饋。
。2)持續(xù)改進:對信息安全管理制度進行持續(xù)改進和優(yōu)化,及時調整和修訂。
2. 績效評估與考核
。1)績效評估:對信息安全管理的執(zhí)行情況進行定期評估,形成評估報告。
(2)考核獎懲:根據評估結果,對信息安全管理執(zhí)行情況進行獎懲,激勵和約束。
七、總結
信息安全管理制度是企業(yè)保護信息資產的重要手段,對于確保企業(yè)信息安全至關重要。本文提出了一套完善的信息安全管理制度需求,涵蓋了信息安全政策制定、信息安全組織架構、信息安全管理流程、信息安全管理制度的執(zhí)行與監(jiān)控等方面,希望可以對企業(yè)信息安全工作的開展提供參考。同時也需要企業(yè)根據自身的實際情況進行適度調整和完善,確保制度的可行性和有效性。
信息安全保密管理制度 3
為保證計算機的正常運行,確保計算機安全運行,根據國家、省、市有關法律法規(guī)和政策規(guī)定,結合本項目部實際情況,制定本制度。
一、管理范圍劃分
本部計算機分為涉密和非涉密兩部分,涉密計算機指主要用于儲存或傳輸有關人事、財務、經濟運行、信息安全等涉及國家、單位秘密、危害國家安全的圖文信息的計算機。非涉密計算機指用于儲存或傳輸可以向社會公開發(fā)表或公布的圖文信息的計算機。信息安全科、運行科、人事科和機關財務各一臺計算機按照涉密要求進行管理。
二、非涉密計算機日常管理
1、各科室的計算機,科室負責人為管理第一責任人,承擔本科室計算機操作的管理、保密和安全,以防止誤操作造成系統(tǒng)紊亂、文件丟失等故障。
2、計算機主要是用于業(yè)務數(shù)據的處理及信息傳輸,提高工作效率。嚴禁上班時間用計算機玩游戲及運行一切與工作無關的軟件。
3、新購的計算機、初次使用的軟件、數(shù)據載體應經我部計算機管理員檢測,確認無病毒和有害數(shù)據后,方可投入使用。
4、計算機操作人員發(fā)現(xiàn)本科室的計算機感染病毒,應立即中斷運行,并與計算機管理員聯(lián)系及時消除。
5、愛護機關計算機設備,保持計算機設備的干凈整潔。
三、涉密計算機日常管理
1、涉密的計算機內的重要文件由專人集中加密保存,不得隨意復制和解密,未經加密的重要文件不能存放在與國際聯(lián)網的計算機上。
2、對需要保存的涉密信息,可到信息安全科轉存到光盤或其他可移動的介質上。存儲涉密信息的介質應當按照所存儲信息的最高密級標明密級,并按相應密級的文件管理。
3、存儲過國家秘密信息的計算機媒體的維修應保證所存儲的國家秘密信息不被泄露。對報廢的.磁盤和其他存儲設備中的秘密信息由技術人員進行徹底清除。
4、涉密的計算機信息需打印輸出必須到信息安全科專用打印機打印輸出,打印出的文件應當按照相應密級的文件管理;打印過程中產生的殘、次、廢頁應當及時在信息安全科專用設備粉碎銷毀。
5、對信息載體(軟盤、光盤等)及計算機處理的業(yè)務報表、技術數(shù)據、圖紙要有專人負責保存,按規(guī)定使用、借閱、移交、銷毀。
四、其他
對違反以上規(guī)定的行為視情節(jié)輕重,結合國家、省、市及本部相關規(guī)定處理,并追究有關人員的責任。
信息安全保密管理制度 4
為加強公司各信息系統(tǒng)管理,保證信息系統(tǒng)安全,根據《中華人民共和國保守國家秘密法》和國家保密局《計算機信息系統(tǒng)保密管理暫行規(guī)定》、國家保密局《計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定》,及上級信息管理部門的相關規(guī)定和要求,結合公司實際,制定本制度。
本制度包括網絡安全管理、信息系統(tǒng)安全保密制度、信息安全風險應急預案。
網絡安全管理制度
第一條公司網絡的安全管理,應當保障網絡系統(tǒng)設備和配套設施的安全,保障信息的安全,保障運行環(huán)境的安全。
第二條任何單位和個人不得從事下列危害公司網絡安全的活動:
1、任何單位或者個人利用公司網絡從事危害公司計算機網絡及信息系統(tǒng)的安全。
2、對于公司網絡主結點設備、光纜、網線布線設施,以任何理由破壞、挪用、改動。
3、未經允許,對信息網絡功能進行刪除、修改或增加。
4、未經允許,對計算機信息網絡中的共享文件和存儲、處理或傳輸?shù)臄?shù)據和應用程序進行刪除、修改或增加。
5、故意制作、傳播計算機病毒等破壞性程序。
6、利用公司網絡,訪問帶有“黃、賭、毒”、反動言論內容的網站。
7、向其它非本單位用戶透露公司網絡登錄用戶名和密碼。
8、其他危害信息網絡安全的行為。
第三條各單位信息管理部門負責本單位網絡的安全和信息安全工作,對本單位單位所屬計算機網絡的運行進行巡檢,發(fā)現(xiàn)問題及時上報信息中心。
第四條連入公司網絡的用戶必須在其本機上安裝防病毒軟件,一經發(fā)現(xiàn)個人計算機由感染病毒等原因影響到整體網絡安全,信息中心將立即停止該用戶使用公司網絡,待其計算機系統(tǒng)安全之后方予開通。
第五條嚴禁利用公司網絡私自對外提供互聯(lián)網絡接入服務,一經發(fā)現(xiàn)立即停止該用戶的使用權。
第六條對網絡病毒或其他原因影響整體網絡安全的子網,信息中心對其提供指導,必要時可以中斷其與骨干網的連接,待子網恢復正常后再恢復連接。
信息系統(tǒng)安全保密制度
第一條、“信息系統(tǒng)安全保密”是一項常抓不懈的工作,每名系統(tǒng)管理員都必須提高信息安全保密意識,充分認識到信息安全保密的重要性及必要性。對重要系統(tǒng)的系統(tǒng)崗位員工進行信息系統(tǒng)安全保密培訓。
第二條、實行信息發(fā)布責任追究制度,所有信息的發(fā)布必須按規(guī)定辦理審核、審簽手續(xù),必須真實有效且符合中華人民共和國法規(guī)。涉及國家及公司機密的信息系統(tǒng)必須與內部網和互聯(lián)網實施物理隔離,嚴格執(zhí)行上網信息的審查制度和涉及國家秘密的信息不得在企業(yè)內網發(fā)布的規(guī)定,杜絕泄密事件的發(fā)生。凡發(fā)布虛假、反動、色情、泄密等內容,追究信息報送和審核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、信息系統(tǒng)管理權限從安全級別上分為絕密、機密、秘密;從適用對象上分為高級管理員、系統(tǒng)管理員、高級用戶、中級用戶、一般用戶、特殊用戶;從操作承載體上分為服務器(包括系統(tǒng)服務器、應用服務器和控制服務器)、工作終端、用戶終端;從設定內容上分為完全控制、權限設置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作等。
第四條、所有信息系統(tǒng)的使用者和不同安全等級信息之間必須存在授權關系,并在新建信息系統(tǒng)開發(fā)建設階段形成方案并加以設計,在軟件系統(tǒng)中預留對應關系設置的`功能,根據使用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對信息系統(tǒng)的硬件配置調整、軟件參數(shù)修改嚴加控制。利用操作系統(tǒng)、數(shù)據庫系統(tǒng)、應用系統(tǒng)所提供的安全機制,設置相應的安全參數(shù),保證系統(tǒng)訪問的安全;對于重要的計算機設備,要利用軟件技術等手段防止員工擅自安裝、卸載軟件或改變軟件系統(tǒng)配置,并定期對以上情況進行檢查。
第六條、信息系統(tǒng)如需要委托專業(yè)機構進行系統(tǒng)運行和維護管理時,應嚴格審查其資質條件、市場剩余和信用狀況等,并且與其簽訂正式的服務合同和保密協(xié)議。
第七條、所有信息系統(tǒng)服務器、工作終端、用戶終端必須安裝安全防病毒軟件,對未安裝防病毒軟件的終端用戶有權拒絕為其提供網絡接入服務。
第八條、利用防火墻、路由器、入侵檢測等網絡設備,加強網絡安全,嚴密防范來自互聯(lián)網的黑客攻擊和非法侵入。
第九條、對于通過互聯(lián)網傳輸?shù)纳婷芑蜿P鍵業(yè)務數(shù)據,要采取必要的技術手段確保信息傳遞的保密性、準確性、完整性。
第十條、對于停止運行的廢舊系統(tǒng),應當做好系統(tǒng)中有價值及涉密信息的銷毀、轉移等善后工作。
第十一條、系統(tǒng)管理人員要遵守信息系統(tǒng)的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業(yè)務系統(tǒng)的訪問建立用戶管理制度,對于不同類別不同級別的各類管理及使用人員采取密碼分級管理,設定密碼有效期限,對密碼存儲采用非明文二次加密技術防止各類密碼泄露事故的發(fā)生。
信息安全風險應急預案
一、總則
為加強公司信息安全風險源的預防管理,提高應急防范能力,保障網絡系統(tǒng)、信息系統(tǒng)及信息機房的整體安全,促進公司安全生產穩(wěn)步健康發(fā)展,制定本預案。
二、編制目的
依據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯(lián)網安全保護管理辦法》等有關法規(guī)文件精神。確保公司信息網絡系統(tǒng)安全運行,為公司整體安全形勢穩(wěn)步發(fā)展提供保障。
三、適用范圍
本預案適用于各單位信息安全突發(fā)風險應急管理。
四、主要風險源
1、火災
2、意外斷電
3、重要數(shù)據丟失
4、網絡系統(tǒng)大面積癱瘓
五、風險源辨識及評估
各單位應組織員工對風險源進行全面、系統(tǒng)的辨識和風險評估,并確保:危險源辨識前要進行相關知識的培訓;辨識范圍覆蓋本單位的所有活動及區(qū)域;對危險源辨識和風險評估資料進行統(tǒng)計、分析、整理、歸檔;
5.1、火災辨識及評估
5.1.1火災辨識
(1)自然災害引起的火災
。2)強電線路短路引起的火災
(3)雜物堆積引起的火災
。4)溫度過高引起的火災。
(5)老鼠咬線引起的火災。
5.1.2火災風險評估
機房發(fā)生火災可能導致工作人員人身受到傷害;信息網絡設備受到損壞;網絡系統(tǒng)大面積癱瘓;國家、集體財產受到損失。
5.2、意外斷電辨識及評估
5.2.1意外斷電辨識
(1)自然災害引起的意外斷電。
。2)短路跳閘引起的意外斷電。
5.2.2意外斷電風險評估
1、意外斷電可能導致機房核心交換機、防火墻、匯聚交換機、數(shù)據庫服務器、軟件服務器、恒溫設備等重要設備損壞或數(shù)據丟失;
2、意外斷電可能導致煙霧報警系統(tǒng)、溫度報警和斷市電系統(tǒng)無法正常工作而帶來的間接財產損失。
5.3、重要數(shù)據丟失辨識及評估
5.3.1重要數(shù)據丟失辨識
。1)意外斷電引起的數(shù)據丟失。
。2)服務器故障引起的數(shù)據丟失。
。3)數(shù)據庫損壞引起的數(shù)據丟失。
5.3.2重要數(shù)據丟失風險評估
1、安全軟件系統(tǒng)數(shù)據丟失可能導致安全生產監(jiān)控類系統(tǒng)數(shù)據無法正常采集于傳輸,影響到礦井安全生產的正常進行。
2、數(shù)據庫系統(tǒng)數(shù)據丟失可能導致經營管理類系統(tǒng)無法正常使用,影響公司相關部門經營管理工作和日常辦公無法正常進行。
5.4、網絡系統(tǒng)大面積癱瘓
5.4.1 網絡系統(tǒng)大面積癱瘓辨識
。1)意外斷電引起的核心交換機、防火墻損壞或故障導致網絡系統(tǒng)大面積癱瘓。
(2)通信線路中斷引起的網絡系統(tǒng)大面積癱瘓
。3)服務器損壞或故障引起的大面積無法登錄互聯(lián)網。
5.4.2 網絡系統(tǒng)大面積癱瘓風險評估
1、網絡系統(tǒng)大面積癱瘓可能導致公司與生產礦井之間的信息傳輸中斷,管理部門失去對礦井生產的安全監(jiān)管,安全生產無法正常進行。
2、網絡系統(tǒng)大面積癱瘓可能導致公司日常辦公無法正常進行。
5.5、高空作業(yè)辨識及評估
5.5.1高空作業(yè)辨識
。1)日常高空維修可能造成人身傷害。
。2)工程高空施工可能造成人身傷害。
5.5.2高空作業(yè)風險評估
日常高空維修網絡設備、打掃衛(wèi)生和高空施工可能造成工作人員人身傷害和精神傷害,影響公司安全生產穩(wěn)步發(fā)展。
六、安全風險應急預案及措施
根據各單位存在的主要風險源和風險評估,保障安全生產工作有序進行,制定本預案及措施。
6.1火災應急預案及處置措施
6.1.1應急預案
(1)發(fā)生特大火災時(包括機房、UPS、庫房),值班人員應立即逃離火災范圍,啟動對應的火災應急預案和響應級別,拉響警報,向公司總調度室、本單位負責人、單位安監(jiān)部門匯報,在確保人身安全的情況下,組織人員利用滅火器進行滅火;
如果火勢過大,人員無法靠近時,應立即撥打火警119,求助消防部門進行滅火。
。2)發(fā)生重大火災時(包括機房局部、UPS控制器、庫房局部),值班人員應立即逃離火災范圍,啟動對應的火災應急預案,拉響警報,向公司調度室和本單位安監(jiān)部門匯報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,力爭將財產損失降到最低。
。3)發(fā)生較大火災時(包括消防通道、辦公室)值班人員應啟動對應的火災應急預案,向公司總調度室及本單位安監(jiān)部門匯報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免或降低財產損失。
6.1.2處置措施
。1)火災發(fā)生時,值班和工作人員應立即脫離火災范圍,確保人身安全。
(2)根據火災大小確定火災風險等級,并啟動相應的響應等級。
。3)根據火災風險等級向公司總調度室及本單位安監(jiān)部門匯報火災情況。
(4)火勢過大無法控制時,應立即撥打火警119進行求助。
。5)在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免火災擴大,降低財產損失。
。6)盡最大可能搜集火災發(fā)生的相關信息,做好記錄,為事故處理提供依據。
。7)每月針對火災誘發(fā)根源進行徹底檢查(如易燃物品不能堆放、庫房物品分類并整齊擺放等),預防火災的發(fā)生。
6.2、意外斷電應急預案及處置措施
6.2.1應急預案
發(fā)生自然災害和短路引起的意外斷電時,值班人員在確保人身安全的情況下,根據風險等級啟動相應的響應等級,向本單位安監(jiān)部門進行匯報,邀請電力維修人員進行斷電故障排查,并組織技術人員對機房核心交換機、防火墻、匯聚交換機、數(shù)據庫服務器、數(shù)據備份服務器、軟件服務器、軟件系統(tǒng)、煙霧報警、UPS溫度監(jiān)控、機房溫度監(jiān)控系統(tǒng)進行隱患排查,發(fā)現(xiàn)設備故障和數(shù)據丟失,應當進行及時處理和上報。
6.2.2處置措施
。1)發(fā)生意外斷電時,在確保人身安全的情況下,值班人員應啟動相應的響應等級。
(2)向本單位安監(jiān)部門進行匯報。
。3)必須請專業(yè)電力維修人員進行故障排查與維修。
(4)搜集意外斷電發(fā)生的信息并作好記錄,為事故處理提供依據。
6.3、重要數(shù)據丟失應急預案及處置措施
6.3.1應急預案
(1)因意外斷電引起重要數(shù)據丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總調度室和安監(jiān)部門進行匯報,邀請專業(yè)電力維修人員進行故障排查,恢復供電正常,排查機房設備及數(shù)據情況,發(fā)現(xiàn)設備故障和數(shù)據丟失,立即組織相關技術人員進行恢復。
。2)因服務器故障引起數(shù)據丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總調度室和案件部門進行匯報,并組織技術人員進行服務器維修和數(shù)據恢復,如果服務器和數(shù)據無法維修和恢復時,應向本單位負責人匯報并外請專業(yè)人員進行維修,確保設備和數(shù)據安全。
。3)因數(shù)據庫無法啟動引起的數(shù)據丟失,值班人員應根據風險等級啟動相應的響應等級,向公司總調度室和案件部門進行匯報,并組織技術人員進行數(shù)據恢復,如果數(shù)據無法恢復,應向本單位負責人匯報并外請專業(yè)人員進行數(shù)據恢復,確保設數(shù)據安全。
6.3.2處置措施
。1)發(fā)生數(shù)據丟失時,值班人員應根據風險等級啟動相應相應等級。
(2)值班人員向本單位安監(jiān)部門匯報。
(3)組織技術人員對數(shù)據進行恢復。
。4)本單位技術人員無法恢復丟失數(shù)據時,應向本單位負責人匯報并外請專業(yè)人員進行數(shù)據恢復,確保數(shù)據安全。
(5)做好數(shù)據丟失與恢復過程的記錄。
6.4、高空作業(yè)應急預案及處置措施
6.4.1應急預案
。1)在高空維修過程中發(fā)生人員墜落風險時,如果墜落人員處于清醒狀態(tài),應立即撥打120送往醫(yī)院進行急救;
如果墜落人員處于昏迷狀態(tài),其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫(yī)院進行搶救,并向公司總調度室、本單位負責人及安監(jiān)部門匯報。
。2)在高空施工過程中發(fā)生人員墜落風險時,如果墜落人員處于清醒狀態(tài),應立即撥打120送往醫(yī)院進行急救;
如果墜落人員處于昏迷狀態(tài),其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫(yī)院進行搶救,并向公司總調度室、本單位負責人及安監(jiān)部門匯報。
6.4.2處置措施
(1)日常高空維修必須在確保人身安全的情況下進行,否則不能進行維修作業(yè)。
。2)在日常工作中設計到高空維修,維修人員一定要2人或2人以上進行維修。否則,維修人員可以拒絕維修工作。
(2)高空維修人員必須佩帶安全繩索,并采用安全梯子進行高空作業(yè)。否則,不能進行高空維修作業(yè)。
。3)事故發(fā)生后要對事故的經過進行詳細記錄,為事故處理提供依據。
信息安全保密管理制度 5
為確保計算機網絡(內部信息平臺)系統(tǒng)安全、高效運行和各類設備運行處于良好狀態(tài),正確使用和維護各種設備、管理有章、職責明確,特制定本制度。
一、一般規(guī)定
1、嚴禁在網絡服務器上安裝一切與工作無關的軟件。嚴禁將外來不明的磁盤、光盤、軟件在網絡服務器上使用。嚴禁在網絡上運行或傳播一切法律法規(guī)禁止、有損公司機關形象以及涉及公司秘密、危害公司安全的軟件或圖文信息。
2、無關人員不準進入機房,不準違規(guī)操作和使用機房設備,不準私自將機房設備帶離機房。需借用機房設備的,機房工作人員必須上報,經分管領導同意,并辦理有關登記手續(xù)后方可借出。
3、做好機房設備的日常維護工作,嚴禁在機房內吸煙,不準在機房堆放雜物和垃圾,保持機房室內整潔。下班時,必須關閉不用的設備及電源,鎖好機房門窗,方可離開。
二、值班巡視規(guī)定
1、值班由委門衛(wèi)一并負責,遵照委值班規(guī)定。
2、巡視由網絡管理員負責,巡視人員要遵守以下職責:
。1)要在第一時間發(fā)現(xiàn)隱患,并及時報告,使相關管理人員能及時趕到現(xiàn)場盡最大可能縮短故障恢復時間。
。2)履行機房的各項規(guī)定,不得作與工作、業(yè)務無關的任何私事,不得擅自離開崗位。督促進入機房人員嚴格遵守。
(3)負責機房的環(huán)境設備與網絡(內部信息平臺)系統(tǒng)的安全運行;負責完成規(guī)定的日常操作和故障監(jiān)測記錄,簡單故障的排除,負責環(huán)境設備的日常巡視。
3、巡視內容包括:
(1)網絡(內部信息平臺)運行設備的巡視:各服務器的CPU和內存的工作狀況;
防火墻的工作狀況;網站的工作狀況;交換機的工作狀況;客戶端的網絡(內部信息平臺)運行速度;認真做好記錄。
。2)機房環(huán)境的'巡視:機房門的關閉情況,機房的衛(wèi)生狀況,機房的燈光狀況,機房的溫度、濕度及空氣狀況,認真做好記錄。
(3)機房設備的巡視:對機房空調系統(tǒng)的運行情況進行經常性巡視,密切注意工作負荷、電池容量、室內溫濕度等數(shù)值,以保證網絡(內部信息平臺)安全、正常的運行;
主配深圳前海潤林供應鏈實業(yè)有限公司
電柜的供電電壓、電流;空調的工作狀況;認真做好巡視記錄。
三、日常管理規(guī)定
1、到機房工作的人員不得在機房內吃食品,飲水,吸煙或其他與工作無關的事宜。
2、到機房工作的人員嚴禁攜帶與工作無關的物品,特別是易燃、易爆、強磁、腐蝕性物體等危險物品進入機房。
3、到機房工作的人員應嚴格遵守崗位責任制,不能亂動與自己工作無關的設備,嚴禁在機房大聲喧嘩、玩電子游戲、聊天等。
4、機房內不能存放任何食品,嚴禁在機房內存放雜物,嚴禁在機房內使用其他用電器。
四、運行維護規(guī)定
1、配電柜一年進行至少兩次維護檢查。內容包括:清掃灰塵檢查各接點、觸電的溫升,松緊。
2、機房專用空調每年進行兩次巡檢,維護內容:清掃及更換各過濾網、清洗或更換加濕罐、清掃室外機、測量工作壓力、測量工作電壓、電流、檢查下水管道是否暢通及漏水報警是否正常、進行軟化水更換。
3、機房防雷設施每年檢查一次,維護內容:檢測個防雷器的可靠性、檢查接地狀況。
4、機房每年進行兩次專業(yè)保潔,維護內容:對機房的地板進行調整和清潔、對底板下、天棚板上進行清潔。
五、安全保密規(guī)定
1、做好防雷、防火、防水、防盜、防蟲害。
防雷:按公司的規(guī)定對機房的設備進行接地。每年要按公司的規(guī)定對防雷設施及設備接地進行檢測。
防火:需按公司的規(guī)定在計算機機房進行設置消防設施。設施每年要按公司規(guī)定進行檢測。
防水:要經常檢查機房的防漏水情況,空調、門窗及屋頂。
防盜:嚴格機房進出管理,門禁要24小時工作,嚴格執(zhí)行進出機房的登記制度、嚴格執(zhí)行進出機房不得攜帶其他物品的規(guī)定。
防蟲害:經常檢查機房的頂棚上和地板下的封閉情況,不得在機房內在放食品,不得在機房內堆放雜物。
2、網絡(內部信息平臺)運行安全管理
。1)對INTERNET網的進口要加裝防火墻。防火墻的設置要經常根據需要進行調整以防入侵。
(2)對所有服務器要安裝病毒軟件,要經常對防病毒軟件進行升級。經常對計算機病毒進行檢測。
3、系統(tǒng)設備安全管理
。1)進入機房不得帶拷貝工具和便攜機;
。2)機房內所有服務器應設有開機密碼、系統(tǒng)登陸密碼;
(3)機房內所有服務器都應設有帶密碼的屏幕保護;
(4)網管人員操作后應將服務器處于鎖定狀態(tài);
(5)非網管人員不得私自操作任何服務器;
。6)認真遵守公司的各項保密制度;
。7)嚴格遵守黨和公司的保密制度。有關打印結果、存儲介質及原始數(shù)據必須有本人保管。帶有密級的媒體應用時鎖入保險柜中,收、發(fā)要登記。定期集中銷毀廢棄的涉密紙、物;
。8)需要于正常工作時之外使用機房加班的人員,應得到主管領導的批準,并向運行值班人員辦理登記手續(xù)。機房的值班人員必須同時在場陪同;
(9)嚴禁與機房工作無關的人員進入機房;
。10)非機房工作人員在機房工作是必須有機房值班人員陪同;
。11)機房內各類服務器應由專人分類管理
。12)建立設備、資料責任制。
信息安全保密管理制度 6
1.前言
1.1.目的
制定本制度的目的是保證公司IT系統(tǒng)有效、安全的運行,保證系統(tǒng)數(shù)據安全。
1.2.范圍
本制度適用于中電電氣(南京)光伏有限公司數(shù)據中心的日常運行。
2.控制點
2.1.日常運轉
1)各系統(tǒng)負責人(職責分工見【SODmatrix】),隨時處理網絡故障、解決網絡問題、保持網絡暢通、提高網絡的可用性和可靠性。
2)每周兩次檢查機房服務器、交換機、路由器、光纖收發(fā)器等設備運行情況,每周需填寫【資源檢查記錄表】;晚上或節(jié)假日期間,視網絡應用情況,設置現(xiàn)場值班或呼叫值班。
3)保持設備表面干凈整潔,操作設備時佩戴防靜電手環(huán)等。
4)機房管理員注意機房的溫度和濕度,機房溫度:18~30攝氏度,相對濕度:40%~60%。
5)公司員工不得私自安裝未經授權或非法的軟件,授權軟件詳見【授權軟件記錄表】,信息管理部系統(tǒng)管理人員每半年通過SMS對用戶安裝軟件進行檢查,對非法軟件進行刪除,并填寫【用戶軟件檢查記錄表】,記錄用戶安裝的異常信息及處理結果,并報IT經理審核。
2.2.病毒黑客預防管理
1)網絡管理員每周監(jiān)控企業(yè)防病毒服務器的升級情況,監(jiān)控機房中服務器殺毒軟件的更新情況,在服務器上設置自動更新、定期掃描策略(配置見公司殺毒服務器配置),并填寫【資源更新記錄表】,每月報IT經理審核。
2)每周信息管理部網絡管理員通過現(xiàn)場或通過SMS管理軟件檢查客戶端計算機防毒軟件的升級情況和實時監(jiān)控狀態(tài),并填寫【資源檢查記錄表】,每月報IT經理審核。
3)信息管理部網絡管理人員隨時注意Internet上病毒流行和爆發(fā)動態(tài),并及時向客戶端計算機發(fā)出病毒預警。
4)要有病毒爆發(fā)后的緊急處理預案,以便快速恢復系統(tǒng),保證系統(tǒng)及時相應服務。
5)利用ISA服務器或Netscreen防火墻屏蔽黑客或病毒常用的端口,提高密碼復雜度等。每周三WSUS服務器及時下推補丁給信息管理部,如補丁安裝完后沒有問題,每周四WSUS服務器及時下推補丁給網絡中所有的計算機。
6)信息部網絡管理員每天監(jiān)控網絡的健康狀態(tài),觀測網絡流量。
2.3.帳戶安全管理
1)用戶開戶和權限變更,需填寫【賬戶變更申請單】,經部門經理IT經理審批后,最后由信息管理部各系統(tǒng)管理員進行各應用系統(tǒng)的帳戶的開戶工作、變更工作。帳戶注銷,直接由各系統(tǒng)管理員在人力資源部的員工離職交接單中簽字后,在系統(tǒng)中執(zhí)行相關操作。
2)臨時開設的帳戶也需要填寫【賬戶變更申請單】,一定要控制好帳戶過期時間和權限。系統(tǒng)缺省的管理員帳號必須禁用或修改初始密碼,系統(tǒng)管理員賬號需填寫【權限授權表】,經IT經理審核后,方可執(zhí)行,系統(tǒng)管理員帳號的密碼在移交后的第一次登錄時必須重新設置密碼。
3)用戶帳戶僅限于本人使用,不得以任何方式將賬戶和密碼轉借他人,不得窺視或盜用他人的賬戶和密碼。同時,用戶有妥善保管自己賬戶和密碼的責任和義務,不得泄露。
4)各系統(tǒng)管理員每半年檢查一次帳戶信息,導出各系統(tǒng)賬戶及權限清單,與各部門經理確認系統(tǒng)帳戶和權限是否與申請人實際使用情況相符,由部門經理簽字確認,填寫【資源檢查記錄表】,報IT經理審核。
5)現(xiàn)涉及到的帳戶類型如下:域賬戶、電子郵件賬戶、SAP賬戶、無線網帳戶。
6)如果系統(tǒng)策略允許,使用帳戶10次登錄失敗后帳戶立即鎖定。
7)如果系統(tǒng)策略允許,帳戶鎖定60分鐘后自動解鎖。
2.4.密碼安全策略
如果系統(tǒng)支持密碼復雜度管理,則啟用密碼復雜度規(guī)則,滿足如下條款。
1)密碼長度最短為八個字符。
2)必須同時包含以下四個類別字符中的三類字符:英文大寫字母(從A到Z),英文小寫字母(從a到z),數(shù)字(從0到9),非字母字符(例如,!、$、#、%)。
3)密碼的最長使用時間60天。
4)最近三次歷史密碼不能重復使用。
5)對各操作系統(tǒng)內置帳戶集中到IT經理處管理,并遵循以上規(guī)則。
6)其他不支持此密碼安全策略的應用系統(tǒng),系統(tǒng)負責人要根據以上策略手工設置。如SQL20XX、防火墻Netscreen
2.5.網絡安全管理
1)伴隨網絡的不斷擴展,如果網絡中有增減設備的情況,及時更新網絡拓撲圖,及時調整防火墻、核心交換機等設備配置,并填寫【資源變更申請單】。
2)內部網絡不接受任何外部訪問(防火墻DMZ區(qū)、除外),所有的外部訪問都在防火墻的DMZ區(qū),并且防火墻上策略限制只開放需要的端口,如郵件服務器所需要的443端口等,其余端口全部禁用。防火墻DMZ區(qū)主機需要訪問內網DC服務器,此訪問安全控制由ISA網關服務器完成。
3)內網訪問Internet或訪問DMZ主機的`訪問權限和所能通過的服務均由ISA網關服務器控制,ISA策略根據網絡系統(tǒng)安全和公司具體應用確定(具體應用見ISA服務器配置),此服務器有專人管理。
4)信息管理部設專人每月度檢查核心交換機、防火墻、無線網控制器的配置,確認是否與公司的服務器配置策略相符,并填寫【資源檢查記錄表】,提交給IT部門經理審批簽字。
5)信息管理部設專人至少每周檢查一次防火墻的日志,確保網絡不受可疑對象攻擊,保證網絡的安全性、穩(wěn)定性,并填寫【日志檢查記錄表】,每月提交給IT部門經理審批簽字。
6)每周進行一次網絡數(shù)據包分析,及時發(fā)現(xiàn)類似ARP等病毒攻擊,及早預防。
7)每年對防火墻、核心交換機的日常維護記錄整理存檔一次。
2.6.數(shù)據安全管理
1)合理使用計算機分區(qū),不得將重要數(shù)據存放在系統(tǒng)分區(qū)。
2)公司數(shù)據庫系統(tǒng)、人事檔案、技術資料、圖紙、統(tǒng)計資料、營銷計劃、財務報表等重要資料要每日進行自動備份,每月進行一次完全備份;重要部門、重要系統(tǒng)不僅要做硬盤備份,還要定刻成成光盤,存放在異地長期保存。
3)含有重要資訊的資料(卡片、稿紙等)廢棄時,應確定銷毀,以免被誤用。
4)對不同用戶應用不同的系統(tǒng)策略,避免造成整個系統(tǒng)癱瘓。嚴格限制對應用系統(tǒng)數(shù)據庫的更改權利;嚴格限制重組數(shù)據庫或壓縮數(shù)據庫大小的權力;嚴格限制修改系統(tǒng)架構的權利等,操作系統(tǒng)日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
5)安全管理員每周至少查看一次數(shù)據庫日志文件,并填寫【日志檢查記錄表】,每月報IT經理審核。以盡早發(fā)現(xiàn)異常情況,確保數(shù)據庫的存取安全。
6)郵件系統(tǒng)管理員對公司外發(fā)資料做每周進行一次檢查,對往來郵件每周做一次監(jiān)控分析,防止重要資料外泄,并填寫【日志檢查記錄表】。
7)原則上不能在后臺數(shù)據庫中直接修改數(shù)據,如有需要,業(yè)務部門需填寫數(shù)據更改【變更申請單】,經業(yè)務部門經理、IT經理審核批準后,授權給DBA執(zhí)行操作,DBA在執(zhí)行操作之前必須做好數(shù)據備份工作,操作完成后再在申請單上簽字,并提交給最終用戶確認。
8)關鍵應用系統(tǒng)SAP的上機日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
9)掌握重要數(shù)據的網絡管理人員要注意保密,請參照“公司保密制度”。
3.附件
3.1.CSUN-RE-IN0016《資源檢查記錄表》
3.2.CSUN-RE-IN0018《資源更新記錄表》
3.3.CSUN-RE-IN0017《資源變更申請單》
3.4.CSUN-RE-IN0007《帳戶變更申請單》
3.5.CSUN-RE-IN0019《日志檢查記錄表》
3.6.CSUN-RE-IN0005《權限授權表》
3.7.CSUN-RE-IN0001《變更申請單》
信息安全保密管理制度 7
本制度系列所管轄醫(yī)院信息包括醫(yī)院在運行管理中涉及到的基本信息(人、財、物)、運行信息(各類業(yè)務工作與質量安全管理資料數(shù)據)和管理信息(投資發(fā)展、人力資源開發(fā)與利用、發(fā)展戰(zhàn)略研究),統(tǒng)稱為“醫(yī)院信息”。依據《中華人民共和國保密法》、《醫(yī)療質量管理辦法》,制定此制度系列。
一、醫(yī)院數(shù)據、資料信息安全管理制度
醫(yī)院內部的數(shù)據、資料信息安全管理尤為重要,如涉及全院的工作統(tǒng)計數(shù)據、質量與安全評價分析相關的數(shù)據、與醫(yī)療糾紛有關的信息、醫(yī)院管理與建設重大決策信息、醫(yī)院經濟管理相關的信息等,院領導認為不宜通過“三重一大”公示的信息,均屬于保密信息,必須實行安全管理,規(guī)定如下:
。ㄒ唬┤魏稳宋唇浽侯I導批準,不得在公眾場合、公共媒體發(fā)布醫(yī)院涉密信息。
。ǘ┽t(yī)院各職能部門和業(yè)務科室,對自身所涉密的醫(yī)院信息,有保密的義務和責任。
。ㄈ┎粚儆诜止苈毮軆鹊纳婷苄畔,不得向其他部門和個人打探。
。ㄋ模┤魏螁T工不得以謀利為目的,散布、出賣、交換醫(yī)院涉密信息。
。ㄎ澹┤魏螁T工不得以泄私憤、圖報復,散布和出賣醫(yī)院涉密信息。違反以上各條,醫(yī)院有權追究泄密人的相應責任。
二、醫(yī)院網絡系統(tǒng)安全管理制度
。ㄒ唬榱吮WC醫(yī)院網絡的正常運行,保護醫(yī)院網絡系統(tǒng)的安全和網絡用戶的使用權益,特制定本安全管理制度。
。ǘ┍竟芾碇贫人Q的醫(yī)院網絡系統(tǒng)是指在醫(yī)院信息系統(tǒng)中,由計算機及配套設施構成的,按照醫(yī)院網絡信息系統(tǒng)的應用目標和規(guī)定,對數(shù)據進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。
。ㄈ┽t(yī)院網絡系統(tǒng)安全管理是通過實施身份認證、訪問控制與授權管理、數(shù)據備份和災備系統(tǒng)、安全分域及邊界防護、防病毒系統(tǒng)、入侵檢測、補丁管理、郵件安全網關、遠程接入等安全技術和與之相配套的管理制度,保障網絡主機及配套設備、設施的安全,網絡運行環(huán)境的安全,從而達到保障計算機網絡系統(tǒng)安全運行和信息安全的目的。
。ㄋ模┬畔⒖曝撠熱t(yī)院計算機網絡系統(tǒng)的安全管理工作,確保對計算機網絡系統(tǒng)安全管理的有效性。
。ㄎ澹┯嬎銠C網絡系統(tǒng)的建設和應用應遵守上級主管部門頒發(fā)的行政法規(guī)、用戶手冊和其他相關規(guī)定。
。┯嬎銠C網絡系統(tǒng)實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限的劃分和設置由信息科負責制定和實施。
。ㄆ撸┯嬎銠C入網運行必須經信息科批準備案,分配IP地址后,方可接入網絡。
(八)要對重要主機的用戶名、開機口令、應用口令和數(shù)據庫口令實施重點管理,嚴格控制設備存取及加密,未經允許嚴禁外來盤片帶入機房對服務器進行安裝等,不準將機器設備和數(shù)據帶出機房。
(九)未辦理入網手續(xù),任何單位和個人不得非法私自將計算機接入醫(yī)院網絡,不得以不真實身份使用網絡資源,不得竊取他人賬號、口令使用網絡資源,不得盜用未經合法申請的IP地址入網。未經信息科允許,任何單位或個人不得擅自接納網絡用戶。
。ㄊ⿷鶕W絡主機不同的安全級別采取相應的訪問控制、數(shù)據保護、保密監(jiān)控管理和系統(tǒng)安全等技術措施。
。ㄊ唬┬畔⒖贫ㄆ趯W上用戶的訪問及授權情況進行檢查,及時發(fā)現(xiàn)和限制非法用戶和非授權訪問。
(十二)要按要求對數(shù)據進行日備份、月備份和年備份。嚴格按操作規(guī)程進行數(shù)據備份工作,確保備份數(shù)據的完整和準確性,做好備份數(shù)據的審核工作,并做好相應記錄。要確保導出、導入數(shù)據的完整和準確,并做好導出、導人數(shù)據的審核工作和相應記錄。
。ㄊ┘訌娺吔绨踩姆雷o,應根據安全區(qū)域劃分情況明確需進行安全防護的邊界,并實施有效的訪問控制策略和機制。
。ㄊ模⿷诰W絡系統(tǒng)或安全域邊界的關鍵點采用嚴格的安全防護機制,如嚴格的登錄/鏈接控制,高性能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等。
(十五)要實施必要的邊界訪問、違規(guī)外聯(lián)的審計和控制。
。ㄊ⿷捎帽匾氖侄危ㄈ缛肭謾z測系統(tǒng)、日志分析、網絡取證分析等)對系統(tǒng)內的安全事件進行監(jiān)控,檢測攻擊行為并能發(fā)現(xiàn)系統(tǒng)內非授權使用情況。
。ㄊ撸⿷瓜到y(tǒng)內用戶非授權的外部鏈接(如自動撥號、違規(guī)鏈接和無線上網)。
。ㄊ耍⿷渴鹩行У木W絡病毒防范軟件系統(tǒng)和相應的網絡病毒防范管理辦法,實施對計算機網絡病毒的有效防范。
。ㄊ牛┮贫ㄎ臋n化的明確的計算機病毒和惡意代碼防護策略,以及確保策略有效實施規(guī)章制度。
(二十)應在系統(tǒng)內關鍵的入口點以及各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施。
。ǘ唬⿷贫ㄎ臋n化的信息系統(tǒng)備份和恢復的策略,建立健全備份和恢復的管理制度和操作規(guī)程。
。ǘ﹤浞莅P鍵業(yè)務數(shù)據的備份、關鍵業(yè)務設備(如服務器、交換機等)的備份和電源備份。對重要信息系統(tǒng)(如HIs系統(tǒng))的關鍵設施(如服務器)采取熱備份。
(二十三)應定期備份和對恢復策略進行測試,以保證其有效性。要有系統(tǒng)恢復的預案和演練。
。ǘ模⿷鶕䴓I(yè)務的重要程度、信息系統(tǒng)的資產價值等進行相應的需求分析,確定系統(tǒng)恢復的目標,如:關鍵業(yè)務功能、恢復的優(yōu)先順序、恢復的時間范圍。
。ǘ澹榇_保醫(yī)院計算機局域網絡運行安全,要在有效部署防火墻、入侵檢測和防病毒系統(tǒng)的情況下,實施遠程接入。醫(yī)院業(yè)務網(內網)與遠程接入(外網)業(yè)務的物理隔離。凡涉密的計算機主機不得與互聯(lián)網(Internet)鏈接。
(二十六)任何部門和個人使用醫(yī)院網絡提供的遠程接人服務必須向信息科申請。入網用戶的用戶名和IP地址是用戶在醫(yī)院局域網上的合法標識,也是對用戶收費的重要依據,一經指定不得擅自更改。
。ǘ撸┪唇浶畔⒖婆鷾剩魏蝹人或部門不得為外單位人員提供電子郵件或其他網絡服務。
。ǘ耍┧腥刖W用戶,應當遵守國家有關法律、法規(guī)及醫(yī)院的有關規(guī)章制度,嚴格執(zhí)行安全保密制度,不得利用計算機網絡從事危害國家安全、損害醫(yī)院利益等違法、違規(guī)活動,不得制作、查閱、復制和傳播擾亂社會治安、有傷風化、淫穢色情等信息,不得利用網絡攻擊、損害公用網絡和其他用戶。否則,醫(yī)院有權停止對其提供的服務;由此造成的不良后果由用戶承擔。
(二十九)使用計算機機網絡系統(tǒng)的部門和個人必須遵守計算機安全使用的規(guī)定,對計算機網絡系統(tǒng)發(fā)生的問題和故障要立即向信息中心報告。
(三十)用戶不得從事下列危害計算機網絡安全的行為:
1、未經允許,進入計算機網絡系統(tǒng)或使用網上信息資源:
2、私自轉借或轉讓用戶賬號,盜用他人賬號或IP地址:
3、未經允許,對網上應用系統(tǒng)的功能進行刪減或更改:
4、未經允許,對計算機網絡的存儲、處理或傳輸數(shù)據和應用程序進行刪減或更改;
5、故意制作、傳播計算機病毒等破壞程序,使用任何工具破壞網絡正常運行;
6、破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全;
7、其他危害計算機網絡安全的行為。
上述違規(guī)造成醫(yī)院損失的,依照有關法律、法規(guī)及醫(yī)院有關處罰規(guī)定進行處理,情節(jié)嚴重者移交公安機關處理。
三、涉密數(shù)據保密管理制度
。ㄒ唬┤魏慰剖液蛡人不得利用涉密計算機網絡系統(tǒng)泄漏屬于醫(yī)院內部秘密的信息數(shù)據,危害醫(yī)院、員工和患者的合法權益;不得從事其它違法犯罪活動。涉密單位和涉密人員應當遵守保密法律法規(guī),認真執(zhí)行國家和省制定的涉密計算機網絡系統(tǒng)的保密規(guī)定。
。ǘ┥婷苡嬎銠C網絡系統(tǒng)的單位保密管理實行領導負責制,并制定部門或專人負責具體的日常管理工作。并保持計算機保密管理人員相對穩(wěn)定。
。ㄈ┥婷苡嬎銠C網絡系統(tǒng)工作人員定期進行保密教育和檢查。涉密計算機信息系統(tǒng)的系統(tǒng)管理人員應當經過嚴格審查,定期進行考核,并保持相對穩(wěn)定。
(四)涉密人員調離崗位,應當履行國家規(guī)定保守秘密的義務。
。ㄎ澹┥婕搬t(yī)院秘密的數(shù)據,必須按照保密規(guī)定進行采集、存儲、處理、傳遞、使用和銷段。
(六)計算機存儲、處理、傳遞、輸出的涉密信息要有相應的密級標識且不得與正文分離,輸出的涉密文件按相應密級文件管理。
(七)涉密醫(yī)院信息和數(shù)據不得在與公用網絡聯(lián)網的計算機信息系統(tǒng)中存儲、處理、傳遞,涉密信息一律不得在網上發(fā)布。
(八)涉密計算機必須設置口令保護,根據密級確定口令長度與更換周期,實行專人專用,嚴禁以任何方式登錄國際互聯(lián)網或與互聯(lián)網物理連接。
(九)存儲涉密信息的媒體應按所存儲信息的最高密級標明密級,并按相應密級文件管理制度管理,存儲過涉密信息的計算機媒體不能降低密級使用,維修存儲過涉密信息的計算機媒體應到部門指定維修點維修,有人全程跟蹤,保證存儲的`秘密信息不被泄露。
。ㄊ﹥ι婷軘(shù)據的計算機硬盤或其它存儲介質不得擅自更換或者報廢。確需更換或者報廢的,應當經院領導批準后,交醫(yī)院的網絡管理部門進行登記、封存,或者按規(guī)定銷毀。
。ㄊ唬┥婷軉挝粦攲⑸婷軘(shù)據與備份數(shù)據分別保存在單位內不同的地點。有條件的,應實行異地容災備份。不得在便攜式計算機上存儲涉密信息。
。ㄊ┌l(fā)現(xiàn)計算機信息泄密后應立即采取補救措施,并按規(guī)定及時報告保密部門。
四、信息提供、發(fā)布和上網保密審查制度
1、信息提供、發(fā)布、上網實行保密審查、領導審批和登記備案制度。
2、信息發(fā)布、上網,堅持涉密不公開、公開不涉密和誰上網、誰負責的原則。
3、對涉密信息確需對外發(fā)布、上網的,應采取解密或者刪除、改編、隱去等保密措施,并經主管部門或保密工作部門審定。
4、接受記者采訪,不得涉及醫(yī)院秘密內容。
五、計算機設備管理制度
。ㄒ唬┯嬎銠C及其輔助設備是實現(xiàn)現(xiàn)代化管理的工具,各科室有關工作人員都要結合本職工作利用計算機手段來提高工作效率。
。ǘ└骺剖屹徶煤蜕霞壏峙浣o予的計算機和輔助設備均屬固定資產,統(tǒng)一由計算機中心負責維護,各科室由電腦管理員專人負責管理和使用。
。ㄈ┓⻊掌鳌⒂嬎銠C及輔助設備和其他應用軟件所配的專用磁盤、光盤,由中心專人登記管理入賬,每年清點一次。
。ㄋ模┯嬎銠C的備件、易耗件、磁盤及有關資料的購買,由信息管理部門統(tǒng)一申請,經科室負責人并上報院長同意后,由后勤采購進行統(tǒng)一購置,統(tǒng)一給各科室配置。
。ㄎ澹┯嬎銠C、服務器、網絡通訊電纜設備,未經信息部門同意不得拆裝、移動。
。┯嬎銠C和輔助設備需檢修,應報告計算機中心專業(yè)工作人員,由計算機中心有關人員檢修,若需外單位修理,由領導會同有關部門商量后辦理。
。ㄆ撸⿲ν鈦泶疟P要先殺毒,后使用。各計算機一旦發(fā)現(xiàn)病毒,必須立即清除,否則不得使用該計算機,更不能向服務器上傳數(shù)據。
(八)外來人員未經科室領導和專業(yè)人員同意不得操作計算機,以免發(fā)生病毒感染和其他損失。
(九)不得在計算機上進行與工作無關(如做游戲、下棋、打撲克等)的操作。
六、服務器機房管理制度
為保證網絡中心設備與信息的安全,保障機房有良好的運行環(huán)境和工作環(huán)境,作如下規(guī)定:
。ㄒ唬└鏖T鑰匙由指定的專人保管,不能隨意轉借。丟失要聲明。出入請隨手關門。
。ǘ┮邪踩婪兑庾R,節(jié)假日值班人員不得擅離崗位。早進入、晚離開時要檢查設備情況,離開時查看燈、門、窗、鎖是否關閉好。
。ㄈ┮兹嘉锲凡粶蕩霗C房,機房及周邊地區(qū)嚴禁煙火,不能明火作業(yè),機房一律禁止吸煙。
。ㄋ模C房工作人員要有防火意識,出現(xiàn)異常情況應立即報警,切斷電源,用滅火設備撲救。
。ㄎ澹┓枪ぷ魅藛T嚴禁進入服務器機房,特殊情況要事先征得院長或主管副院長的同意,未經許可一律不準觸碰開關和設備,否則后果自負。
。C房內的一切公用物品未經許可一律不得挪用和外借。
。ㄆ撸C房內不準大聲喧嘩,機房衛(wèi)生由工作人員定期負責清掃,保持清潔。
。ò耍┚W管員負責機房的安全管理與檢查;負責建立與記錄安全日志。
七、計算機網絡工作站管理制度
。ㄒ唬┍局贫人Q醫(yī)院計算機網絡工作站,是指醫(yī)院計算機網絡中以臺式電腦或筆記本電腦為中心的包括所連打印機等外圍設備在內的計算機工作單元。醫(yī)院未聯(lián)網工作的計算機也采用此制度進行管理。
(二)各個管理部門和科室中,每一工作站配置的計算機、打印機等設備須指定專人使用、保管和維護,轉交他人保管時需嚴格交接。
。ㄈ└鞴ぷ髡舅惺褂萌藛T必須嚴格遵守《醫(yī)院網絡系統(tǒng)安全管理制度》。
(四)計算機操作人員,不得隨意搡作計算機或相關設備,更不允許外來人員操作計算機。
。ㄎ澹┎辉谟嬎銠C上玩游戲及做與工作無關的操作。
。┎辉卺t(yī)院計算機上使用來歷不明的光盤、軟盤。
。ㄆ撸┯嬎銠C網絡上的所有操作人員必須保管好自己的密碼,因密碼保管不善造成的經濟損失,概由操作人員自己負責。
。ò耍┯嬎銠C一旦發(fā)生故障應及時報告信息科處理。
。ň牛┏嬎銠C網絡中心機房工作人員外,任何入不得拆裝計算機,或擅自接入其它設備。
。ㄊ┎婚g斷電源的計算機,在供電中斷時,操作人員應立即保存數(shù)據,退出程序后按正常操作關機。
。ㄊ唬﹪栏癜凑詹僮饕(guī)程操作,下班前必須按程序關機,并切斷電源。
。ㄊ┯嬎銠C旁不準抽煙、會客,不準吃零食物和飲料。
。ㄊ┯嬎銠C旁邊嚴禁擺放各種易燃易爆、腐蝕性或強磁物品。遇臨時停電及雷電天氣,應采取保護措施,避免發(fā)生意外。
(十四)愛護計算機及各種相關設備,計算機主機、顯示器、打印機上不能堆放雜物。
。ㄊ澹┛剖抑付▽H素撠熆苾扔嬎銠C的一般性管理工作,定期用干凈柔軟的干抹布清除設備上的灰塵,清潔和整理計算機工作臺。
。ㄊ┮蚓S護管理不當造成計算機硬件設備損壞,由當事人負責賠償。
(十七)外來參觀須報請信息科及主管院領導批準,不能向外展示和泄露醫(yī)院重要業(yè)務數(shù)據。
。ㄊ耍┻`反本制度者,醫(yī)院將視情節(jié)給予處罰。
八、監(jiān)控機房管理制度
。ㄒ唬榇_保監(jiān)控機房安全,設立監(jiān)控機房管理員,負責對機房各類設備、軟件系統(tǒng)進行維護和管理。
。ǘ┍O(jiān)控機房管理員應認真履行職責,及時發(fā)現(xiàn)、報告、解決硬件系統(tǒng)出現(xiàn)的故障,保障系統(tǒng)的正常運行。
(三)監(jiān)控機房管理員及時完成監(jiān)控數(shù)據的刻錄歸檔,確保監(jiān)控數(shù)據完整無誤。不得無故中斷監(jiān)控,不得漏刻監(jiān)控資料,未經刻錄不得無故刪除監(jiān)控資料。
。ㄋ模┍O(jiān)控機房必須做好防火、防靜電、防潮、防塵、防熱和防盜工作。機房禁止放置易燃、易爆、腐蝕、強磁性物品,禁止在監(jiān)控機房內使用其他用電設備,禁止將監(jiān)控機房鑰匙交他人保管,確保監(jiān)控機房安全。
。ㄎ澹﹪栏褡袷乇C苤贫。數(shù)據資料必須由監(jiān)控機房管理員負責保管,未經允許不得私自拷貝、下載和外借。嚴禁任何人在監(jiān)控計算機上使用未經檢測允許的介質(軟盤、光盤等),嚴禁在監(jiān)控計算機上做與監(jiān)控無關的事情。
(六)監(jiān)控機房內保持清潔,嚴禁在機房抽煙、喝水、吃東西、亂扔雜物、大聲喧嘩等。
。ㄆ撸⿲嵭泄ぷ魅藛T值班制度。值班人員應按規(guī)定做好實時監(jiān)管工作,并做好書面情況記錄,發(fā)現(xiàn)問題及時匯報并妥善處理。
。ò耍┲蛋嗳藛T應嚴格執(zhí)行機房管理制度,并與監(jiān)控機房管理員做好交接。如需監(jiān)控機房管理員進行配合的,監(jiān)控機房管理員應予以協(xié)助。
。ň牛┏O(jiān)控機房管理員和工作人員外,任何無關人員不得進入監(jiān)控機房。
。ㄊ┍O(jiān)控機房管理員要經常督促檢查本制度執(zhí)行情況,切實履行管理職責,發(fā)現(xiàn)異常情況必須及時匯報。
九、計算機網絡突發(fā)故障處理預案
。ㄒ唬╇娔X網絡故障
電腦網絡發(fā)生故障后,維護人員要結合醫(yī)院的分布式特點,通過操作人員反饋回來的信息和現(xiàn)有的網絡檢測手段,迅速定位故障事件的來源,明確故障事件發(fā)生的范圍,確認網絡系統(tǒng)受損害程度,將情況及時通報直接上級并層層上報。通過進一步的分析,將故障發(fā)生類型劃分為網絡線路、網絡交換機、服務器三大類型,確定起因是硬件故障、外力損壞、惡意攻擊還是感染病毒,進而采取下一步措施。
1、網絡線路故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調。
。2)排查:根據網絡拓撲結構和故障發(fā)生的范圍,使用網絡檢測指令,確定檢修線路的位置。
(3)搶修:攜帶對線器、轉接器、備用線、壓線鉗等工具,迅速到達線路故障現(xiàn)場,進行修復。
。4)驗證:連接網絡進行檢測,確定故障得到解決。
。5)回復:通知故障發(fā)生點恢復使用。
。6)記錄:對整個事件的時間、現(xiàn)象、處理過程作出詳細記錄。
2、網絡交換機故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調。聯(lián)系電話:網絡負責人。
。2)診斷:根據故障發(fā)生的片區(qū)和網絡交換機的分布圖,結合網絡檢測指令,判斷出故障交換機的位置。
(3)修復:攜帶電筆、改刀等常規(guī)工具,迅速到達故障交換機所在位置,通過觀察交換機指示燈,確定其工作狀態(tài)是否正常:如果是斷電所致,立即與維修中心聯(lián)系,恢復供電;如果狀態(tài)鎖死,立即對交換機進行復位處理;排除上述因素后如果故障依舊,立即用備用交換機對其進行更換。
。4)驗證:連接網絡進行檢測,確定故障得到解決。
(5)回復:通知故障發(fā)生點恢復使用。
(6)事后:對換下交換機送修。待修復后備用。
。7)記錄:對整個事件的時間、現(xiàn)象、處理過程作出詳細的記錄。
3、服務器故障
。1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調。
(2)診斷:根據故障現(xiàn)象,初步判定是硬件故障還是軟件故障,如果是硬件故障,立即斷開主服務器,啟用備用服務器;如果是系統(tǒng)軟件故障,盡量正常下機,重啟服務器;如果是應用軟件故障,立即聯(lián)系HIS公司進行遠程維護。
。3)如故障發(fā)生在夜晚或節(jié)假日期間,首先應通知負責系統(tǒng)技術人員立即在15分鐘內趕赴現(xiàn)場,并通知電腦中心主管組織相關人員進行搶修,上報設備科,必要時盡快聯(lián)系相關公司維修部進行遠程維護。
4、停電
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調。
。2)配合:聯(lián)系維修中心,確定停電的時間長短,如果在五分鐘以內,在恢復供電后重新運行接口機即可;如果在五分鐘以上,對接口機和服務器進行正常下機操作,待恢復供電后,重新開啟服務器至運行狀態(tài),再運行接口機。
。3)記錄:對整個事件的時間、現(xiàn)象、處理過程作出詳細的記錄。
5、病毒發(fā)作
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調,必要時立即赴現(xiàn)場處理。
。2)診斷:對故障進行分析,找出病毒特征碼,確定是何種病毒。
。3)排殺:從專業(yè)網站上下載專殺工具進行殺毒。
(4)補。簭膶I(yè)網站上下載補丁,封堵漏洞,進行免疫處理。
。5)記錄:對整個事件的時間、現(xiàn)象、處理過程作出詳細的記錄。
二、通訊網絡故障
當通訊網絡發(fā)生故障后,要迅速根據設備監(jiān)控狀況、用戶反饋的故障現(xiàn)象,確定故障類型,將情況及時通報直接上級并層層上報。通過進一步的分析,將故障劃分為通訊電纜故障、數(shù)字程控交換機故障、電深故障三大類型,并采取下一步措施。
1、通訊電纜故障
。1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調,必要時立即赴現(xiàn)場處理,通訊工程師應立即奔赴現(xiàn)場。
(2)查找:根據故障現(xiàn)象、范圍和分線盒的分布位置,確定故障點:如果是主線纜受損,立即通知電信相關部門進行搶修;如果是戶線纜受損,立即趕赴現(xiàn)場。
。3)修復:對于主線纜受損,為電信維修部門提供準確的線路資料,協(xié)調施工工作,掌握搶修進度;對于戶線纜受損,查清故障原因,更換相應線纜。
(4)反饋:通知相關用戶恢復使用。
。5)記錄:對整個事件的時間、現(xiàn)象、處理過程和資料變更情況作出詳細記載。
2、交換機故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協(xié)調,必要時立即赴現(xiàn)場處理,設備科領導應立即趕赴現(xiàn)場。
。2)分析:作出分析后,根據交換機的故障現(xiàn)象進行處理。
。3)反饋:通知相關用戶恢復使用。將情況上報相關領導。
。4)善后:對故障時間、現(xiàn)象、處理情況作出詳細記載。
3、電源故障
(1)通知:值班人員迅速與院內總務科取得聯(lián)系,確定停電時間的長短。同時通知直接上級。
。2)處理:中心機房通過UPS電源繼續(xù)正常工作,維護人員必須對設備的工作情況進行監(jiān)控。
。3)跟蹤:隨時保持與總務科的聯(lián)系,如果停電時間超過半小時,按照操作流程關閉部分外圍設備,減少蓄電池的負荷量,以確保程控機的正常運行。
(4)記錄:詳細記載停電發(fā)生的起止時間、蓄電池的使用情況,在恢復正常供電后及時檢查蓄電池充電情況。
信息安全保密管理制度 8
一、前言
文章對企業(yè)計算機網絡安全存在的問題進行了介紹,對影響企業(yè)計算機網絡系統(tǒng)安全的因素進行了闡述,通過分析,并結合自身實踐經驗和相關理論知識,對加強企業(yè)網絡安全管理措施進行了探討。
二、企業(yè)計算機網絡安全存在的問題
1.安全意識淡薄
在企業(yè)網絡系統(tǒng)中,每一臺計算機的安全性都會影響整個系統(tǒng)的安全性能,網絡安全與每個用戶息息相關。內部員工了解公司的網絡結構、數(shù)據存放方式和地點甚至掌握業(yè)務系統(tǒng)的密碼。在具有嚴格訪問權限的系統(tǒng)中,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷,甚至有些人隨意改動系統(tǒng)注冊表,使得整個網絡安全系統(tǒng)失效。
2.網絡安全體系不健全
當前很多企業(yè)盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統(tǒng)性,對于企業(yè)網絡信息安全保護缺乏統(tǒng)一的、明確的指導思想,沒有建立一個完善的安全體系,這是引發(fā)安全問題的主要源頭。
3.網絡黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業(yè)的內部資料對于整個企業(yè)經營來說相當重要,因為它關系到整個企業(yè)的生死存亡。企業(yè)存放信息會因網絡黑客攻擊而造成資料的泄密。
4.來自企業(yè)外部的感染
來自企業(yè)外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點,通過入侵網絡系統(tǒng)和設備,對數(shù)據進行破壞,使網絡癱瘓,不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發(fā),因而其傳播速度要遠遠大于計算機病毒,其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序,它可以利用網絡遠程控制安裝有服務端程序的主機,實現(xiàn)對主機的控制或者竊取主機上的機密信息。
5.來自企業(yè)網絡內部的攻擊
企業(yè)防護重點是對外,往往忽視對內部防護的重視。利用企業(yè)內部計算機對企業(yè)局域網絡進行攻擊,企業(yè)局域網絡也會受到嚴重攻擊,當前企業(yè)內部攻擊行為大大加強了企業(yè)網絡安全的.風險。
三、影響企業(yè)計算機網絡系統(tǒng)安全的因素
1.病毒攻擊
目前,計算機病毒的制造者大多利用Internet網絡進行傳播,因中小企業(yè)防范薄弱管理規(guī)范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統(tǒng),也可能會大量占用網絡帶寬,阻塞正常流量,如:發(fā)送垃圾郵件的病毒,從而影響企業(yè)計算機網絡的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本,不注重也不舍得花銷來進行軟件更新的后期升級服務,以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進行攻擊。
3.職員不當操作
中小企業(yè)計算機管理人員配置少,監(jiān)督管理都難以細致,其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎,不細心,不按成型的規(guī)范操作,不遵守制定的相應規(guī)章制度。中小企業(yè)中很多職工信息安全意識不強,將自己的生日或工號作為系統(tǒng)口令,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改。
四、加強企業(yè)網絡安全管理措施
1.要加大對計算機網絡與信息安全工作的投入。信息技術進步神速,我國在這一領域同發(fā)達國家比,并沒有優(yōu)勢。因此我國更應加大投入,刻苦攻關,掌握一些關鍵的信息技術,以確保我國在信息安全方面的自主能力?梢院敛豢鋸埖卣f,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應當像五六十年代發(fā)展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術革命的挑戰(zhàn),保衛(wèi)國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術方面,發(fā)達國家一方面極為重視研究開發(fā),美國政府曾為了改進美國政府的計算機安全系統(tǒng),投入巨大的資金;另一方面,又嚴格控制信息安全技術的出口。以美國為代表的發(fā)達國家,對信息安全產品出口,已作出許多嚴格限制,以維護其在信息技術領域的絕對優(yōu)勢。
2.關鍵數(shù)據采用加密手段。在企業(yè)計算機網絡中關于數(shù)據安全的隱患無處不在。尤其是一些機密數(shù)據庫、商業(yè)數(shù)據等一定要保證它的安全性,這時一般會采取對數(shù)據加密的手段,它是一種保護數(shù)據在存儲和傳遞過程中不被竊取或修改的一種手段,該數(shù)據加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。
3.加強安全管理力度健全管理制度。首先,加強信息安全管理力度應積極采取宏觀管理與重點監(jiān)控相結合的方式,保證信息化項目的安全性。系統(tǒng)的實施及管理部門應該全面掌握各單位的計算機網絡系統(tǒng)的相關情況,為企業(yè)統(tǒng)一管理提供可靠依據。同時,對重點工程實地考察,對信息安全進行檢查,發(fā)現(xiàn)問題及時解決。
4.事務管理和故障恢復。事務管理和故障恢復主要是對付系統(tǒng)內發(fā)生的自然因素故障,保證數(shù)據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數(shù)據復制。計算機同其他設備一樣,都可能發(fā)生各種各樣的故障,比如電源故障、軟件故障、災害故障以及人為破壞等,這些故障可能會造成數(shù)據庫的數(shù)據丟失,因此為了保證計算機的安全運行,必須在發(fā)生故障時采取必要的措施恢復數(shù)據庫,事務管理和故障恢復就是這個作用,它能夠保障數(shù)據庫在出現(xiàn)故障時,仍可以把數(shù)據庫系統(tǒng)還原到正常狀態(tài)。
五、企業(yè)信息安全新形勢
網絡信息安全工作始終是通信行業(yè)最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。2015年3G及寬帶網絡蓬勃發(fā)展,三網融合開始實施操作,云計算和物聯(lián)網產業(yè)方興未艾,需求的個性化、數(shù)字的海量化、業(yè)務的復雜化給通信行業(yè)網絡信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進一步提高對網絡信息安全重要性的認識,發(fā)展與管理并重,加強部門協(xié)調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業(yè)的研發(fā)應用和產業(yè)化,通過核心技術掌握自主知識產權,加快發(fā)展自主可控的信息安全產業(yè),建設新時期通信行業(yè)網絡安全、信息安全長城。
從國際國內出現(xiàn)的安全現(xiàn)象出發(fā),應對多種復雜的安全新問題,應該借助于RFID等物聯(lián)網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養(yǎng)、市場服務、宣傳教育等多方面的工作,通過產業(yè)鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環(huán)境,來共同改善全球的網絡與信息安全問題。
結束語
隨著科技的發(fā)展,一些不法份子和黑客通過計算機網絡竊取企業(yè)商業(yè)機密的現(xiàn)象越來越多,因此,對于計算機網絡信息安全管理應該予以高度重視,否則可能對企業(yè)造成不可預估的損失。信息安全管理的重要性
信息安全保密管理制度 9
一、一般規(guī)定
1、未經網管批準,任何人不得改變網絡(內部信息平臺)拓撲結構、網絡(內部信息平臺)設備布置、服務器、路由器配置和網絡(內部信息平臺)參數(shù)。
2、任何人不得進入未經許可的計算機系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據。
3、機關局域網上任何人不得利用計算機技術侵占用戶合法利益,不得制作、復制和傳播妨害單位穩(wěn)定的有關信息。
4、各部門應定期對本科室計算機系統(tǒng)和相關業(yè)務數(shù)據進行備份以防發(fā)生故障時進行恢復。
二、帳號管理
1、網絡(內部信息平臺)帳號采用分組管理。并詳細登記:用戶姓名、部門名稱、口令,存取權限,開通時間,網絡(內部信息平臺)資源分配情況等。
2、網絡(內部信息平臺)管理員為用戶設置明碼口令,用戶可以根據自己的保密情況進行修改口令,用戶應對工作站設置開機密碼和屏保密碼。
3、用戶帳號下的數(shù)據屬于用戶私有數(shù)據,當事人具有存入權限,管理員具有管理和備份存取權限。
4、網絡(內部信息平臺)管理員根據有關帳號管理規(guī)則對用戶帳號執(zhí)行管理,并對用戶帳號及數(shù)據的安全和保密負責。
5、網絡(內部信息平臺)管理員必須嚴守職業(yè)道德和職業(yè)紀律,不得將任何用戶的密碼、帳號等保密信息等資料的泄露出去。
三、網絡管理員職責
1、協(xié)助制定網絡(內部信息平臺)建設方案,確定網絡(內部信息平臺)安全及資源共享策略。
2、負責公用網絡(內部信息平臺)實體,如服務器、交換機、集線器、防火墻、網線、接插件等的維護和管理。
3、負責服務器和系統(tǒng)軟件的安裝、維護、調整及更新。
4、負責網絡(內部信息平臺)賬號管理,資源分配,數(shù)據安全和系統(tǒng)安全。
5、監(jiān)視網絡(內部信息平臺)運行,調整參數(shù),調度資源,保持網絡(內部信息平臺)安全、穩(wěn)定、暢通。
6、負責系統(tǒng)備份和網絡(內部信息平臺)數(shù)據備份,負責各部門電子數(shù)據資料的整理和歸檔。
7、保管網絡(內部信息平臺)拓撲圖接線表,設備規(guī)格及配置單,管理記錄,運行記錄,檢修記錄等網絡(內部信息平臺)資料。
8、每年對本單位網絡(內部信息平臺)的效能和各電腦性能進行評價,提出網絡(內部信息平臺)結構、技術和網絡、管理的改進措施。
四、安全管理職責
1、保障網絡(內部信息平臺)暢通和信息安全。
2、嚴格遵守公司、省、市制定的`相關法律、行政法規(guī),嚴格執(zhí)行《網絡安全工作制度》,以人為本,依法管理,確保網絡(內部信息平臺)安全有序。
3、在發(fā)生網絡(內部信息平臺)重大突發(fā)事件時,應立即報告,采取應急措施,盡快恢復網絡(內部信息平臺)正常運行。
4、充分利用現(xiàn)有的安全設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5、加強信息審查工作,保存,備份至少90天之內網絡信息日志,及時加以分析,排查不安定因素,防止黃色,反動信息的傳播。
6、經常檢查網絡(內部信息平臺)工作環(huán)境的防火、防盜工作。五、電腦操作人員培訓制度
五、病毒的防治管理制度
1、任何人不得在機關的局域網上制造傳播任何計算機病毒,不得故意引入病毒。網絡(內部信息平臺)使用者發(fā)現(xiàn)病毒應立即向網絡管理員報告。網絡管理員及時指導和協(xié)助處理病毒。
2、各部門應定期查毒,(周期為一周或者10天)管理員應及時升級病毒庫,并提示各部門對殺毒軟件進行在線升級。
信息安全保密管理制度 10
為了規(guī)范網吧管理中對網吧人員的管理,于是網吧制定了網吧人員管理制度,而為了網吧信息安全,所以網吧則制定了網吧信息安全管理制度,以下則是相關網吧制定的網吧信息安全管理制度的內容。
第一條應當遵守有關法律、法規(guī)的規(guī)定,加強行業(yè)自律,自覺接受政府有關部門依法實施的監(jiān)督管理,為上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規(guī)的規(guī)定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網吧制作、下載、復制、查閱、發(fā)布、傳播或者以其他方式使用含有下列內容的信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統(tǒng)一、主權和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的`;
(九)危害社會公德或者民族優(yōu)秀文化傳統(tǒng)的;
(十)含有法律、行政法規(guī)禁止的其他內容的。
第三條上網消費者不得進行下列危害信息網絡安全的活動:
(一)故意制作或者傳播計算機病毒以及其他破壞性程序的;
(二)非法侵入計算機信息系統(tǒng)或者破壞計算機信息系統(tǒng)功能、數(shù)據和應用程序的;
(三)進行法律、行政法規(guī)禁止的其他活動的。
第四條應當通過依法取得經營許可證的互聯(lián)網接入服務提供者接入互聯(lián)網,不得采取其他方式接入互聯(lián)網。
網吧內所有計算機必須通過局域網的方式接入互聯(lián)網,不得直接接入互聯(lián)網。
第五條上網消費者不得利用網絡游戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發(fā)現(xiàn)上網消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止并在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網絡文化經營許可證》和營業(yè)執(zhí)照。
第九條未成年人不得進入本網吧。在網吧入口處的顯著位置懸掛未成年人禁入標志。
第十條每日營業(yè)時間限于10時至2時。
第十一條對上網消費者的身份證等有效證件進行核對、登記,并記錄有關上網信息。登記內容和記錄備份保存時間不得少于60日,并在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在保存期內不得修改或者刪除。
第十二條依法履行信息網絡安全、治安和消防安全職責,并遵守下列規(guī)定:
(一)禁止明火照明和吸煙并懸掛禁止吸煙標志;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業(yè)期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
為了加強對網吧的管理,規(guī)范網吧的經營,維護公眾和網吧的合法權益,保障網吧活動健康發(fā)展,促進社會主義精神文明建設,根據《互聯(lián)網上網服務營業(yè)場所管理條例》制定了以上的網吧信息安全管理制度。
【信息安全保密管理制度】相關文章:
信息安全管理制度08-13
信息安全管理制度09-10
信息安全的管理制度01-31
信息安全管理制度匯編09-20
公司信息安全管理制度11-04
網絡信息安全管理制度10-05
網絡信息安全管理制度11-18
醫(yī)院信息安全管理制度01-31
保密管理制度05-02