信息安全管理核心制度.doc

《信息安全管理核心制度.doc》由会员分享，可在线阅读，更多相关《信息安全管理核心制度.doc（21页珍藏版）》请在咨信网上搜索。

北京新宁物流 信息管理制度合集 信息安全管理制度 1. 信息安全是指经过多种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存放过程中机密性、完整性和真实性。具体包含以下多个方面。 1.1 信息处理和传输系统安全 网络管理员应对处理信息系统进行具体安全检验和定时维护，避免因为系统瓦解和损坏而对系统内存放、处理和传输信息造成破坏和损失； 1.2 信息内容安全 侧重于保护信息机密性、完整性和真实性。网络管理员应对所负责系统安全性进行评测，采取技术方法对所发觉漏洞进行补救，预防窃取、冒充信息等； 1.3 信息传输安全 要加强对信息审查，预防和控制非法、有害信息经过本委信息网络（内部信息平台）系统传输，避免对国家利益、公共利益和个人利益造成损害； 2. 信息内部管理 2.1 各部门在向网络系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 2.2 依据情况，采取网络病毒监测、查毒、杀毒等技术方法，提升网络整体防病毒能力； 2.3 信息部门对本单位所负责信息必需作好备份； 2.4 涉密文件不可放置个人计算机中，非涉密电子邮件收发也要实施病毒查杀； 3. 信息加密 3.1 包含企业秘密信息，其电子文档资料应该在涉密介质中加密单独存放； 4. 任何部门和个人不得从事以下活动： 4.1 利用信息网络系统制作、传输、复制有害信息； 4.2 入侵她人计算机； 4.3 未经许可使用她人在信息网络系统中未公开信息； 4.4 未经授权对网络系统中存放、处理或传输信息（包含系统文件和应用程序）进行增加、修改、复制和删除等； 4.5 未经授权查阅她人邮件； 4.6 盗用她人名义发送电子邮件； 4.7 有意干扰网络（内部信息平台）通畅运行； 4.8 从事其它危害信息网络（内部信息平台）系统安全活动。 计算机管理制度 一． 内容和适用范围 1. 为了加强企业计算机软、硬件及网络管理，确保计算机软、硬件及网络正常使用，特制订本制度，企业各级职员使用计算机软、硬件及网络，均应遵守本制度包含各项要求。 2. 本文所称计算机硬件关键指：主机、显示器、键盘、鼠标、打印机、U盘、网络设备及隶属设备。  3. 本文所称计算机软件是指各类系统软件、应用软件等。  4. 本文所称网络包含互联网、企业内部局域网。 二． 总则 1. 企业计算机软、硬件及网络管理归口部门为行政部。 2. 行政部配置网络管理员对企业全部计算机软、硬件及信息实施统一管理，负责对企业计算机及网络设备进行登记、造册、维护和维修。 3. 企业计算机软、硬件及低值易耗品由网络管理员负责统一申购、保管、分发和管理。 4. 企业各部门计算机硬件，遵照谁使用，谁负责标准进行管理。 三． 计算机硬件管理 1. 计算机硬件由企业统一配置并定位，任何部门和个人不得许可私自挪用、调换、外借和移动。  2. 企业计算机关键硬件设备均应设置台账进行登记，注明设备编号、名称、型号、规格、配置、生产厂家、供货单位、使用部门及使用人等信息。 3. 计算机关键硬件设备应粘贴设备标签，设备标签不得随意撕毁，如发觉标签脱落应立即通知网络管理员重新补助。 4. 计算机关键硬件设备隶属资料（包含但不限于产品说明书、保修卡、附送软件等）由网络管理员负责统一保管。 5. 严禁私自拆卸计算机硬件外壳，严禁未经许可移动、拆卸、调试、更换硬件设备。 6. 严禁在服务器上使用优盘、移动硬盘等一切USB设备。 四． 计算机软件管理 1. 企业个人假如安装一款软件时发觉有可疑选项或要求安装插件，请叫网络管理员查看一下，预防软件中携带木马文件或恶意插件。 2. 企业购置商品软件由网络管理员统一保管并做好备份，其密钥、序列号、加密狗等由使用部门在网络管理员处登记领用，严禁在企业外使用。如特殊需要，须经部门经理同意后并在网络管理员处立案登记。  3. 如发觉打印文件无反应情况，请联络网络管理员查看。 五． 网络管理 1. 企业网络管理员对台式计算机IP地址统一分配、登记、管理，严禁修改IP地址。 2. 企业内部局域网由网络管理员负责管理，扫描文件以后请在服务器上放入E盘各自文件夹内，然后回到个人电脑上进行网络拷贝，企业服务器上文件夹请各部门按需求通知网络管理员修改权限。 六． 计算机信息管理 1. 企业职员必需自觉遵守企业相关保密法规，严禁利用网络有意或无意泄漏企业涉密文件、资料和数据；不得非法复制、转移和破坏企业文件、资料和数据。 2. 企业关键电子文档、资料和数据应上传至文件服务器妥善保留，由网络管理员定时备份至光盘；本机保留务必将资料存放在除操作系统外硬盘空间，不要将关键文件存放在桌面上。 七． 计算机安全防护管理 1. 企业内部使用移动存放设备，使用前需先对该存放设备进行病毒检测，确保无病毒后方可使用。预防内部局域网病毒扩散。 2. 上网时严禁浏览色情、反动网站；浏览信息时，尽可能不要随便下载页面信息和安装网站插件。 3. 进入邮箱，不要随便打开来历不明邮件及附件，同时开启杀毒软件邮件监控程序以免被计算机病毒入侵。 4. 企业网络管理员负责定时公布杀毒软件更新补丁，计算机使用者应定时对自己使用计算机查杀病毒，更新杀毒软件病毒库，以确保计算机系统安全、无病毒。 5. 严禁计算机使用者删除、更换或关闭杀毒软件。 6. 全部企业网络系统用户计算机必需设置操作系统登陆密码，密码长度不得少于6个字符且不能采取简单弱口令，最好是由数字、字母、和其它有效字符组成；职员应不定时修改密码，由网络管理员不定时抽查，修改后上报网络管理员。 7. 计算机使用者离职时必需由网络管理员确定其计算机硬件设备完好、移动存放设备归还、系统密码清除后方可离职。 八． 计算机操作规范管理 1. 计算机开机：遵照先开电源插座、显示器、打印机、外设、主机次序；每次关、开机操作最少间隔1分钟，严禁连续进行数次开关机操作。 2. 计算机关机：遵照先关主机、显示器、外设、电源插座次序；下班时，务必需将电源插座开关关上。 3. 打印机及外围设备使用：打印机在使用时要注意电源线和打印线是否连接有效，当出现故障时注意检验有没有卡纸；激光打印机注意硒鼓有没有碳粉，喷墨水是否干涸，针式打印机看是否有断针；当打印机工作时，不要强行阻止，不然更轻易损坏打印机。 4. 停电时，应立即关闭电源插座或将插座拔下，以免引发短路和火灾。 5. 来电时，应等候5～10分钟待电路稳定后方可开机，开机时应遵照开机步骤操作。  6. 计算机发生故障应立即通知网络管理员，不许可私自维修。 7. 计算机操作人员必需珍惜计算机设备，保持计算机设备清洁卫生。 8. 严禁在开机状态下使用湿物（湿毛巾、溶剂等）擦拭显示器幕。 9. 严禁在使用计算机设备时，关闭、删除企业杀毒软件。 10. 严禁利用计算机系统公布、浏览、下载、传送反动、色情及暴力信息。 11. 严格遵守《中国计算机信息网络国际互联网管理暂办公室网络管理制度行要求》，严禁利用计算机非法入侵她人或其它组织计算机信息系统。 九． 附则 1. 本制度由行政部网络管理员负责解释。 2. 本制度自1月13日起实施。     行 政 部 -1-13 机房管理制度 为确保计算机网络（内部信息平台）系统安全、高效运行和各类设备运行处于良好状态，正确使用和维护多种设备、管理有章、职责明确，特制订本制度。 1. 通常要求 1.1 机房属关键涉密岗位，必需严格实施集团和企业保守秘密和密码工作要求； 1.2 严禁在网络服务器上安装一切和工作无关软件。严禁将外来不明磁盘、光盘、软件在网络服务器上使用。严禁在网络上运行或传输一切法律法规严禁、有损国家、企业形象和包含国家秘密、危害国家安全软件或图文信息； 1.3 无关人员标准上不准进入机房，不准违规操作和使用机房设备，不准私自将机房设备带离机关。部门需借用机房设备，机房工作人员必需报经分管领导同意，并办理相关登记手续后方可借出； 1.4 做好机房设备日常维护工作，严禁在机房内吸烟，不准在机房堆放杂物和垃圾，保持机房室内整齐。下班时，必需关闭不用设备及电源，锁好机房门窗，方可离开。 2. 巡视要求 2.1 巡视由网络管理员负责，巡视人员要遵守以下职责： 2.1.1 要在第一时间发觉隐患，并立即汇报，使相关管理人员能立即赶到现场尽最大可能缩短故障恢复时间； 2.1.2 推行机房各项要求，不得作和工作、业务无关任何私事，不得私自离开岗位。督促进入机房人员严格遵守； 2.1.3 负责机房环境设备和网络（内部信息平台）系统安全运行；负责完成要求日常操作和故障监测统计，简单故障排除，负责环境设备日常巡视。 2.2 巡视内容包含： 2.2.1 网络（内部信息平台）运行设备巡视：各服务器CPU和内存工作情况；防火墙工作情况；网站工作情况；交换机工作情况；用户端网络（内部信息平台）运行速度；认真做好统计； 2.2.2 机房环境巡视：机房门关闭情况，机房卫生情况，机房灯光情况，机房温度、湿度及空气情况，认真做好统计； 2.2.3 机房设备巡视：对机房UPS、空调等系统运行情况进行常常性巡视，亲密注意工作负荷、电池容量、室内温湿度等数值，以确保网络（内部信息平台）安全、正常运行；主配电柜供电电压、电流；UPS输出电压、电流和负载功率；UPS电池情况；空调工作情况；认真做好巡视统计； 3. 日常管理要求 3.1 到机房工作人员不得在机房内吃食品，饮水，吸烟或其它和工作无关事宜； 3.2 到机房工作人员严禁携带和工作无关物品，尤其是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房； 3.3 到机房工作人员应严格遵守岗位责任制，不能乱动和自己工作无关设备，严禁在机房大声喧哗、玩电子游戏、聊天等； 3.4 机房内不能存放任何食品，严禁在机房内存放杂物，严禁在机房内使用其它用电器； 4. 运行维护要求 4.1 UPS十二个月进行两次巡检，维护内容：清扫灰尘、检验UPS逆变器工作情况及UPS整机工作情况，检验电池组机每节电池情况并对电池进行放电； 4.2 4.3 机房专用空调每十二个月进行两次巡检，维护内容：清扫及更换各过滤网、清扫室外机、测量工作压力、检验下水管道是否通畅； 4.4 机房每十二个月进行两次专业保洁,维护内容：对机房地板进行调整和清洁、对底板下、天棚板上进行清洁。 5. 安全保密要求 5.1 做好防雷、防火、防水、防盗、防虫害。 5.1.1 防雷：按国家要求对机房设备进行接地。每十二个月要按国家要求对防雷设施及设备接地进行检测； 5.1.2 防火：需按国家要求在计算机机房进行设置消防设施。设施每十二个月要按国家要求进行检测； 5.1.3 防水：要常常检验机房防漏水情况，空调、门窗及屋顶； 5.1.4 防盗：严格机房进出管理，门禁要24*7小时工作，严格实施进出机房登记制度、严格实施进出机房不得携带其它物品要求； 5.1.5 防虫害：常常检验机房顶棚上和地板下封闭情况，不得在机房内在放食品，不得在机房内堆放杂物； 5.2 网络（内部信息平台）运行安全管理 5.2.1 对INTERNET网进口要加装防火墙。防火墙设置要常常依据需要进行调整以防入侵； 5.2.2 对全部服务器要安装病毒软件，要常常对防病毒软件进行升级。常常对计算机病毒进行检测； 5.3 系统设备安全管理 5.3.1 进入机房不得带拷贝工具和便携机； 5.3.2 机房内全部服务器应设有开机密码、系统登陆密码； 5.3.3 机房内全部服务器全部应设有带密码屏幕保护； 5.3.4 网管人员操作后应将服务器处于锁定状态； 5.3.5 非网管人员不得私自操作任何服务器； 5.3.6 认真遵守企业各项保密制度； 5.3.7 相关打印结果、存放介质及原始数据必需有本人保管。带有密级媒体应用时锁入保险柜中，收、发要登记。定时集中销毁废弃涉密纸、物； 5.3.8 需要于正常工作时之外使用机房加班人员，应得到主管领导同意，并向运行值班人员办理登记手续。机房值班人员必需同时在场陪同； 5.3.9 严禁和机房工作无关人员进入机房； 5.3.10 非机房工作人员在机房工作是必需有机房值班人员陪同； 5.3.11 机房内各类服务器应由专员分类管理； 5.3.12 建立设备、资料责任制； 网络安全管理制度 1. 通常要求 1.1 未经网管同意，任何人不得改变网络（内部信息平台）拓扑结构、网络（内部信息平台）设备部署、服务器、路由器配置和网络（内部信息平台）参数； 1.2 任何人不得进入未经许可计算机系统更改系统信息和用户数据； 1.3 企业局域网上任何人不得利用计算机技术侵占用户正当利益，不得制作、复制和传输妨害单位稳定相关信息； 1.4 行政部应定时对本部门计算机系统和相关业务数据进行备份以防发生故障时进行恢复； 2. 帐号管理 2.1 网络（内部信息平台）帐号采取分组管理。并具体登记：用户姓名、部门名称、口令，存取权限，开通时间，网络（内部信息平台）资源分配情况等； 2.2 网络（内部信息平台）管理员为用户设置明码口令，用户能够依据自己保密情况进行修改口令，用户应对工作站设置开机密码和屏保密码； 2.3 用户帐号下数据属于用户私有数据，当事人含有存入权限，管理员含有管理和备份存取权限； 2.4 网络（内部信息平台）管理员依据相关帐号管理规则对用户帐号实施管理，并对用户帐号及数据安全和保密负责； 2.5 网络（内部信息平台）管理员必需严守职业道德和职业纪律，不得将任何用户密码、帐号等保密信息等资料泄露出去； 3. 网络管理员职责 3.1 帮助制订网络（内部信息平台）建设方案，确定网络（内部信息平台）安全及资源共享策略； 3.2 负责公用网络（内部信息平台）实体，如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等维护和管理； 3.3 负责服务器和系统软件安装、维护、调整及更新； 3.4 负责网络（内部信息平台）账号管理，资源分配，数据安全和系统安全； 3.5 监视网络（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安全、稳定、通畅； 3.6 负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料整理和归档； 3.7 保管网络（内部信息平台）拓扑图接线表，设备规格及配置单，管理统计，运行统计，检修统计等网络（内部信息平台）资料； 3.8 每十二个月对本单位网络（内部信息平台）效能和各电脑性能进行评价，提出网络（内部信息平台）结构、技术和网络、管理改善方法； 4. 安全管理职责 4.1 保障网络（内部信息平台）通畅和信息安全； 4.2 严格遵守国家、省、市制订相关法律、行政法规，严格实施本制度，以人为本，依法管理，确保网络（内部信息平台）安全有序； 4.3 在发生网络（内部信息平台）重大突发事件时，应立即汇报，采取应急方法，立即恢复网络（内部信息平台）正常运行； 4.4 充足利用现有安全设备设施、软件，最大程度地预防计算机病毒入侵和黑客攻击； 4.5 加强信息审查工作，保留，备份最少90天之内网络信息日志，立即加以分析，排查不安定原因，预防黄色，反动信息传输； 4.6 常常检验网络（内部信息平台）工作环境防火、防盗工作； 5. 病毒防治管理制度 5.1 任何人不得在机关局域网上制造传输任何计算机病毒，不得有意引入病毒。网络（内部信息平台）使用者发觉病毒应立即向网络管理员汇报。网络管理员立即指导和帮助处理病毒； 5.2 行政部应定时查毒，（周期为一周或10天）管理员应立即升级病毒库，并提醒各部门对杀毒软件进行在线升级。 计算机病毒防治管理制度 为加强计算机安全监察工作，预防和控制计算机病毒，保障计算机系统正常运行，依据国家相关要求，结合实际情况，制订本制度。 1. 凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统和购置，维修计算机及其软件部门，必需遵守本措施。 2. 本措施所称计算机病毒，是指编制或在计算机程序中插入破坏计算机系统功效或毁坏数据，影响计算机使用，并能自我复制一组计算机指令或程序代码。 3. 任何工作人员不得制作和传输计算机病毒。 4. 任何工作人员不得有下列传输计算机病毒行为： 4.1 有意输入计算机病毒，危害计算机信息系统安全； 4.2 向计算机应用部门提供含有计算机病毒文件、软件、媒体； 4.3 购置和使用含有计算机病毒媒体； 5. 预防和控制计算机病毒安全管理工作，由网络管理员负责实施，其关键职责是： 5.1 制订计算机病毒防治管理制度和技术规程，并检验实施情况； 5.2 培训计算机病毒防治管理人员外； 5.3 采取计算机病毒安全技术防治方法； 5.4 对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训； 5.5 立即检测、清除计算机系统中计算机病毒，并做好检测、清除统计； 5.6 购置和使用含有计算机信息系统安全专用产品销售许可证计算机病毒防治产品； 5.7 向公安机关汇报发觉计算机病毒，并帮助公安机关追查计算机病毒起源； 5.8 对因计算机病毒引发计算机信息系统瘫痪，程序和数据严重破坏等重大事故立即向公安机关汇报人，并保护现场； 5.9 网络管理员应加强对计算机操作人员审查，并定时进行安全教育和培训； 5.10 网络管理员应建立计算机运行统计制度，未经审定任何程序，指令或数据，不得输入计算机系统运行； 5.11 网络管理员应对引发计算机及其软件进行计算机病毒检测，发觉染有计算机病毒，应采取方法加以消除，在未消除病毒之前不准投入使用； 5.12 经过网络进行电子邮件或文件传输，应立即对传输媒体进行病毒检测，接收到邮件时也要立即进行病毒检测，以预防计算机病毒传输； 5.13 任何部门和个人不得从事下列活动： 5.13.1 搜集、研究有害数据； 5.13.2 出版、发表、讲解、出租有害数据原理，源程序书籍，资料或文章； 5.13.3 复制有害数据检测，清除工具。 6. 主动接收公安机关对计算机病毒防治管理工作监督，检验和指导。 密码安全保密制度 1. 提升安全认识，严禁非工作人员操纵系统主机，不使用系统主机时，应注意锁屏。 2. 每七天检验主机登录日志，立即发觉不正当登录情况。 3. 对网络（内部信息平台）管理员，网络管理员和系统操作员所用口令每十五天更换一次，口令要无规则，关键口令要多于八位。 4. 加强口令管理，对PASSWORD文件用隐性密码方法保留，每半月检验当地PASSWORD文件，确定全部帐号全部有口令，当系统中帐号不再被使用时，应立即从对应PASSWORD数据库中清除。 5. ROOT口令只被网络管理员掌握，尽可能不直接ROOT口令登录系统主机。 6. 系统目录应属ROOT全部，应完全严禁其它用户有写权限。 7. 对TELNET、FTP到主机用户进行权限限制，或完全严禁。 8. 网络（内部信息平台）管理员、网络管理员调离岗位后一小时内由接任人员监督检验更换新密码。 涉密和非涉密移动存放介质管理制度 1. 涉密和非涉密移动存放介质由办公室建立台帐，信息安全人员负责涉密和非涉密移动存放介质日常管理和维护维修。 2. 涉密移动存放介质不得在非涉密计算机上使用。 3. 涉密移动存放介质未经同意不得私自带离本单位，确因工作需要携带外出，须推行登记立案手续，并经领导同意。 4. 严禁将涉密移动存放介质借给外单位或她人使用。 5. 涉密移动存放介质需维修，由单位技术人员送至有保密资质单位现场监修，严禁维修人员私自读取和拷贝其存放国家秘密信息。如涉密移动存放介质无法修复，必需按涉密载体给予销毁。 6. 非涉密移动存放介质不得存放任何涉密信息。 7. 非涉密移动存放介质不得连接涉密计算机。 8. 不再使用或不能使用涉密和非涉密移动存放介质要立即上交行政部，由技术人员对要报废涉密和非涉密移动存放介质进行深入确定，并和领取时类型，电子（产品）序列号，编号等进行查对，填写销毁记录表，经领导同意后，送有保密资质单位进行销毁。 9. 任何部门和个人不得私自销毁涉密和非涉密移动存放介质。