内部控制信息系统维护管理制度
中石化全套内部控制系统制度__信息管理系统文件
中石化全套内部控制系统制度__信息管理系统文件一、宗旨
中石化内部控制系统制度(以下简称“中石化系统”)旨在建立一套有效的、规范的信息管理机制,保证信息的有效期和安全性,实现公司战略目标并保障有助于维护财务秩序的实施措施。
二、管理内容
中石化系统的管理内容包括:
1、信息的获取、标识、整理和发布等;
2、信息流程的建立和维护;
3、信息资源的统一管理;
4、信息系统的建立、维护和改进;
5、信息安全的管理;
6、信息认证、审计、考核等。
三、管理原则
1.遵循法律法规:中石化系统坚持遵循国家有关信息管理的法律、法规和规章制度。
2.增强信息安全:中石化系统强调加强信息安全管理,采取各种信息安全技术和技术管理措施,建立安全的信息流程和安全的信息系统。
3.改进信息质量:中石化系统追求信息质量的完善和提高,落实及时性、准确性和完整性等信息质量要求,加强信息系统的维护和管理。
4.保护信息使用合法:中石化系统确定信息使用的范围和用途,并严格监督使用行为,确保信息使用的合法性和真实可靠性。
四、管理机构
中石化系统的管理机构由总部信息安全办公室负责。
内部控制-信息系统用户管理制度
内部控制-信息系统用户管理制度一、前言在当今信息化社会中,信息系统已经成为企业日常运营中必不可少的工具。
然而,信息系统的安全性和稳定性问题日益引起人们的关注,其中信息系统用户管理是保障信息系统正常运行的重要环节。
本文将围绕内部控制-信息系统用户管理制度展开探讨,旨在加强企业对信息系统用户的管理和监督,确保信息系统的正常运行和安全性。
二、信息系统用户管理的重要性信息系统用户是信息系统的重要组成部分,他们的行为直接影响着信息系统的安全性和稳定性。
信息系统用户管理制度的建立可以有效地规范信息系统用户的行为,降低信息系统被恶意攻击的风险,保护企业的商业机密和客户信息。
三、信息系统用户管理制度的基本要求1.用户权限管理:按照用户的岗位和职责划分不同的权限,确保用户只能访问其工作范围内的信息,避免信息泄露和篡改。
2.用户账号管理:建立完善的用户账号管理制度,包括账号申请、审批、启用、停用和注销等流程,及时处理员工离职或调动带来的账号变动。
3.密码管理:要求用户定期更新密码,密码复杂度要求高,不得轻易泄露或共享密码。
4.登陆监控:建立登陆监控机制,记录用户的登陆时间、IP地址和操作内容,及时发现异常登陆行为。
5.数据访问控制:根据用户权限,设定数据的访问范围,限制用户对敏感数据的访问权限。
6.操作日志记录:对用户的操作行为进行记录和审计,便于追踪操作轨迹和发现潜在风险。
四、信息系统用户管理制度的实施步骤1.制定用户管理制度:企业应制定详细的信息系统用户管理制度,明确用户管理的流程、权限划分和责任分工。
2.培训用户:对新员工进行信息系统用户管理培训,使其了解企业的用户管理制度和规定。
3.监控和审计:定期对信息系统用户的权限和操作行为进行监控和审计,及时发现和处置异常情况。
4.持续改进:根据实际情况,不断改进信息系统用户管理制度,提高管理的有效性和适应性。
五、信息系统用户管理制度的益处1.提高信息系统安全性:规范用户行为,减少安全风险,保护企业信息安全。
信息系统管理业务内部控制文件
信息系统管理业务内部控制文件信息系统管理业务内部控制文件一、引言信息系统管理是企业管理中至关重要的一环,它负责确保企业的信息系统安全、高效运行。
为了确保企业信息系统管理的规范和内部控制的有效性,制定一份业务内部控制文件具有重要意义。
本文旨在为企业制定一份有效的信息系统管理业务内部控制文件,以促使企业信息系统管理工作更加科学、规范。
二、目标和原则1. 目标:制定本内部控制文件的目标是确保企业信息系统管理工作的安全性、规范性和高效性。
通过内部控制的建立和完善,确保信息系统运行稳定、数据安全和合规性,提升企业的竞争力和创新能力。
2. 原则:本内部控制文件遵循以下原则:(1)合规性:严格遵守国家相关法律法规和政策,确保信息系统管理工作的合规性。
(2)风险导向:通过风险评估和把控,有效预防和控制信息系统管理中的风险。
(3)科学性:基于信息系统管理的理论、方法和经验,制定科学、系统的管理措施。
(4)透明度:确保信息系统管理工作的透明度,提供充分的信息和报告。
(5)连续性:对信息系统管理工作建立持续监控和改进机制,保证工作的连续性和稳定性。
三、内部控制范围和内容1. 范围:本内部控制文件适用于企业所有的信息系统管理活动,包括信息系统规划、开发、运维、安全管理等。
2. 内容:本内部控制文件包括以下内容:(1)信息系统规划相关控制:- 准确进行信息系统规划,并制定明确的目标和计划。
- 确保信息系统规划与企业整体战略和业务目标相适应。
(2)信息系统开发相关控制:- 严格执行信息系统开发流程,包括需求分析、系统设计、编码和测试等环节。
- 确保开发过程中的各项活动符合标准和规范,并进行适当的验收和审查。
(3)信息系统运维相关控制:- 建立健全的信息系统运维管理制度和标准操作规程。
- 确保信息系统运行稳定、性能优良,并及时解决出现的问题。
(4)信息系统安全管理相关控制:- 制定完善的信息系统安全策略和规则。
- 对信息系统进行风险评估和安全检查,加强对潜在风险的防范和控制。
信息管理内部控制制度范本(6篇)
信息管理内部控制制度范本内部控制管理制度第一章总则第一条为保障公司业务经营管理活动安全、有效、稳健运行,切实防范和化解经营风险,结合公司实际,特制定本制度。
第二条公司内部控制是一种自律行为,是为实现经营目标、防范风险,对内部机构、职能部门及其工作人员从事的经营活动及业务行为进行规范、牵制和控制的方法、措施、程序的总称。
第二章内部控制的目标、原则、结构和要求第三条内部控制的总体目标是:在全公司建立一个运作规范化、管理科学化、监控制度化的内控体系。
具体如下:一、保证法律法规、金融规章的贯彻落实;二、保证全公司发展规划和经营目标的全面实现;三、预防各类违法、违规及违章行为,将各种风险控制在规定的范围之内;四、保证会计记录、信息资料的真实性,保证及时提供可靠的财务会计报告;第四条全公司要按照依法合规、稳健经营的要求,制定明确的经营方针,完善“自主经营、自担风险、自负盈亏、自我约束”的经营机制,坚持“安全性、流动性、效益性”相统一的经营原则。
在内部控制建设方面应遵循以下原则:一、合法性原则。
内控制度应当符合国家法律法规及监管机构的监管要求,并贯穿于各项经营管理活动的始终。
二、完整性原则。
各项经营管理活动都必须有相应的规范程序和监督制约;监督制约应渗透到所有业务过程和各个操作环节,覆盖所有的部门、岗位和人员。
三、及时性原则。
各项业务经营活动必须在发生时进行及时准确的记录,并遵循效率性原则,外简内繁,按照“内控优先”的原则,建立并完善相关的规章制度。
四、审慎性原则。
各项业务经营活动必须防范风险,审慎经营,保证资金、财产的安全与完整。
五、有效性原则。
内控制度应根据国家政策、法律及全公司经营管理的需要适时修改完善,并保证得到全面落实执行,不得有任何空间、时限及人员的例外。
六、独立性原则。
直接操作人员和控制人员应相对独立,适当分离;内控制度的检查、评价部门必须独立于内控制度的制定和执行部门。
第五条内部控制系统的结构。
医院信息科室内控管理制度
一、目的为了加强医院信息科室内控管理,确保信息系统安全稳定运行,提高工作效率,保障医疗质量和患者权益,特制定本制度。
二、适用范围本制度适用于医院信息科内部所有工作人员,包括信息科管理人员、技术人员、操作人员等。
三、管理职责1. 信息科主任负责全面领导信息科内部控制工作,制定内部控制制度,并组织实施。
2. 信息科副主任协助主任负责具体管理工作,监督内部控制制度的执行。
3. 信息科各岗位人员按照各自职责,认真执行内部控制制度,确保信息系统安全稳定运行。
四、内部控制制度1. 信息系统管理制度(1)信息系统操作人员必须遵守国家相关法律法规,严格执行信息系统操作规范。
(2)信息系统操作人员应定期接受培训,提高业务水平和安全意识。
(3)信息系统操作人员不得擅自修改系统设置,如需修改,应经信息科主任批准。
(4)信息系统操作人员应定期备份重要数据,确保数据安全。
2. 信息系统安全保护制度(1)信息科应建立健全信息系统安全防护体系,定期进行安全检查和漏洞修复。
(2)信息科应加强网络安全管理,禁止非法入侵、篡改、破坏信息系统。
(3)信息科应定期对信息系统进行安全审计,确保信息系统安全稳定运行。
3. 机房管理制度(1)机房实行管理员值班制度,确保机房设备正常运行。
(2)机房内设备应放置整齐,不得随意挪动。
(3)机房内不得存放易燃易爆、腐蚀性等危险物品。
(4)机房内无关人员不得进入,如需进入,需经信息科主任批准。
4. 文档资料管理规定(1)信息科应建立健全文档资料管理制度,确保文档资料完整、准确、安全。
(2)文档资料应按照分类、编号、归档、借阅等要求进行管理。
(3)信息科应定期对文档资料进行整理、归档,确保资料齐全。
5. 信息系统维护制度(1)信息科应定期对信息系统进行维护,确保系统正常运行。
(2)信息系统维护人员应具备相应资质,熟悉系统运行情况。
(3)信息系统维护过程中,应确保数据安全,避免数据丢失。
五、监督与考核1. 信息科定期对内部控制制度执行情况进行检查,发现问题及时整改。
信息系统管理制度(五篇)
信息系统管理制度一、总则1、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《____计算机信息系统安全保护条例》、等有关规定,结合本公司实际,特制订本制度;2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。
二、网络管理1、遵守国家有关法律、法规,严格执行安全保密制度及公司信息保密协议相关条款,不得利用网络从事危害公司安全、泄露公司____等违法犯罪活动,严格控制和防范计算机病毒的侵入;2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源;3、任何员工不得故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据;4、计算机各终端用户应保管好自己的用户帐号和____。
严禁随意向他人泄露、借用自己的帐号和____;计算机使用者更应以____天为周期更改____、____长度不少于____位。
三、设备管理1、it设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。
严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排;2、设备硬件或重装操作系统等问题由微机科统一管理。
四、数据管理1、计算机终端用户计算机内的资料涉及公司____的,应该为计算机设定开____码或将文件加密;凡涉及公司____的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存;2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份,并提交给所在部门负责人,由部门负责人负责保存;3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是c盘)外的盘上。
内部控制信息系统安全管理制度
内部控制信息系统安全管理制度内部控制是指组织为了保护和增强组织资产、完善业务程序、确保企业运营的有效性和效率、合规性以及财务报告的可靠性而采取的一系列措施和制度。
信息系统安全管理制度是内部控制的重要组成部分,其主要目标是确保组织的信息系统能够安全运行,防范各类安全威胁的发生。
本文将就内部控制信息系统安全管理制度展开详细阐述。
一、信息系统安全管理制度的基本原则1. 统一管理原则:建立统一的信息系统安全管理部门,负责全局安全的规划、设计和实施。
2. 分级管理原则:根据信息系统的级别和敏感程度,将其分为不同的等级,实行相应的安全管理措施。
3. 完整性原则:确保信息系统中的数据完整、准确和可靠。
4. 保密性原则:对组织的机密信息和敏感数据进行严格保密,避免信息泄露。
5. 可用性原则:保证信息系统的可用性,确保用户能够方便地获取所需的信息。
二、信息系统安全管理制度的组成要素1. 安全政策:组织应制定明确的安全政策,明确信息系统安全的目标和要求,确保安全政策与组织的战略和运营目标相一致。
2. 安全组织:建立专门的信息系统安全管理部门,负责制定安全策略、规范和标准,监督和检查信息系统安全的执行情况。
3. 安全风险管理:组织应建立完善的安全风险管理机制,对信息系统可能面临的安全风险进行定期评估和控制。
4. 安全培训和意识:组织应定期对员工进行信息安全培训,提高员工的安全意识和技能,避免因员工的错误行为而导致安全事件发生。
5. 安全控制措施:制定明确的安全控制措施,包括物理控制、技术控制和组织控制,确保信息系统的安全性。
6. 安全事件管理:建立完善的安全事件管理机制,能够及时发现和处理安全事件,并对事件进行事后的分析和改进。
7. 安全检查与审计:定期对信息系统进行安全检查和审计,发现潜在的安全问题并追溯事件的原因,以便采取相应的纠正措施。
三、信息系统安全管理制度的实施步骤1. 制定安全策略:根据组织的需求和安全风险评估结果,制定适合组织的安全策略和规范。
内部控制信息系统安全管理制度
内部控制信息系统安全管理制度第一章总则为了加强内部控制信息系统安全管理,确保信息系统的可用性、可靠性和保密性,维护企业利益和客户权益,制定本制度。
第二章目的本制度的目的是为内部控制信息系统进行全面的安全管理,以保护企业的机密信息和客户的个人隐私,防范各类网络攻击和安全风险。
第三章适用范围本制度适用于企业内部所有使用电脑和网络的员工,涵盖企业内部所有的信息系统。
第四章信息系统安全管理责任1. 信息系统负责人负责制定信息系统安全管理策略和制度,并监控实施情况;2. 各部门负责人负责推动和执行信息系统安全管理制度;3. IT部门负责系统的维护和安全防护措施的部署;4. 各员工有义务遵守信息系统安全管理制度的规定,并积极参与相关培训。
第五章信息系统安全管理内容1. 网络安全1.1. 网络接入应控制1.2. 系统登录认证应安全1.3. 网络安全设备应有效1.4. 系统审计应及时1.5. 安全事件应跟踪1.6. 网络漏洞应筛查1.7. 安全策略应完善2. 信息安全2.1. 信息加密应控制2.2. 信息传输应加密2.3. 信息备份应完善2.4. 信息存储应保护2.5. 信息销毁应彻底3. 系统安全3.1. 系统软件应更新3.2. 系统补丁应打上3.3. 系统配置应合理3.4. 系统日志应保存3.5. 系统监控应及时4. 权限管理4.1. 用户权限应控制4.2. 系统管理员权限应授权4.3. 特权账号应保护4.4. 授权申请应规范4.5. 权限审批应严格5. 外部合作安全5.1. 合作方安全应审核5.2. 合作安全合同应签订5.3. 合作方行为应监控5.4. 业务数据应加密传输5.5. 业务数据备份应规范第六章信息系统安全事件处理1. 信息系统安全事件应及时上报2. 响应措施应立即启动3. 信息系统安全事件的原因和影响应进行调查分析4. 安全防范措施应及时调整完善5. 信息系统应进行全面的修复和恢复6. 相关应急措施应规范第七章信息系统安全培训与检查1. 各部门应定期组织信息系统安全培训2. 信息系统安全检查应定期进行3. 发现问题应及时整改4. 定期组织信息系统安全演练第八章法律责任1. 未经授权擅自访问、篡改、破坏信息系统的行为将承担法律责任;2. 违反信息系统安全管理制度的行为将受到相应的纪律处分;3. 泄露企业机密信息和客户隐私将承担法律责任;4. 对企业造成损失的行为将承担法律责任。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统维护管理细则
1 目的
为了保障信息系统安全、平稳运行,确保数据安全,依据相关法律法规和公司内部控制手册,制定本细则。
2 适用范围与定义
本细则适用于信息管理部门及相关部门实施信息维护相关事项。
本细则所称信息系统维护包括日常运行维护、系统变更、安全管理等方面。
3 引用标准及关联制度
3.1 《企业内部控制基本规范》
3.2 《企业内部控制应用指引第18号——信息系统》
3.3 《ABC公司内部控制手册2012》
4 职责
4.1 信息管理部门负责信息系统的运行维护管理。
4.2 信息系统使用部门负责系统的使用,用户管理。
5 内容、要求与程序
5.1 系统日常运行维护
5.1.1 公司信息系统的维护归口统一由信息管理部负责管理。
5.1.2 系统使用部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作,对有关数据的日常更新等作运行操作记录;对关键用户与一般用户进行培训和培训考核,培训记录和考核成绩提交人力资源部备案。
5.1.3 信息管理部负责日常软硬件系统维护、设备保养、故障的诊断与排除、易耗品的更换与安装、网络安全、环境保持、应急处理等工作,保证信息系统安全、稳定运行,并做《应急事故处理记录》和《运行维护记录》。
《应急事故处理记录》和《运行维护记录》由信息管理部门经理签字。
需委托进行维护的信息系统,由信息管理部门审查系统服务商资质,并签订系统维护服务合同;由信息管理部自行维护的,应指定专人负责维护,制定岗位职责。
5.2 系统变更
5.2.1 系统如在使用中有变更要求,可向总经理办公室提出书面要求并填写《系统变更表》,由申请部门分管副总签字后,交信息管理部统一安排进行。
变更完成后由申请部门相关人员签字确认。
信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。
5.2.2 信息管理部门应利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置,并定期进行检查。
5.2.3 系统使用部门(单位)会同信息管理部按照业务需求,对业务流程与系统功能进行评价,需要重大改进的,提出《系统升级报告》,由公司分管业务副总经理签字确认,报财务总监审核,由信息化领导小组审批。
5.2.4 系统使用部门(单位)会同信息管理部组织系统升级的实施和验收。
(系统升级实施的具体流程参见《信息系统外购管理细则5.6、5.7》)
5.2.5 操作系统、数据库系统用户的新增、变更,须填写《系统用户申请表》,经信息管理部审批后,被赋予唯一的用户名、用户ID(UID),方可进入公司信息系统进行电脑使用。
信息管理部门经理至少每季度审核一次《系统用户记录表》。
5.3 信息系统数据安全管理
由信息管理部负责信息系统数据的安全管理,包括日常备份、恢复和数据安全工作(详见《备份制度》)。
5.3.1 数据保密性管理
重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机房工作;处理结束后,应清除不能带走的本作业数据;妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。
未经允许,不准将机房设备、维护用品、软盘、资料等私自带出机房,如有特殊情况,需经负责人同意并进行登记后方可带出。
5.3.2 数据备份管理
每日进行系统数据库自动备份并做完整性查验,每周一次手动备份到移动硬盘或其
他电脑的硬盘,每两周一次由专人将移动硬盘送往银行保管箱予以存放,并填写《数据备份记录表》,由负责系统维护人员及信息管理部门经理签字,每年进行一次备份的恢复性测试,并填写《数据恢复性测试记录表》,由信息管理部门经理签字。
5.4 操作系统登录的安全管理
信息管理部负责各业务系统后台操作系统登录的安全管理。
5.4.1 系统登录名与密码安全管理
各系统责任人负责保管系统的登录名和密码,密码的设置要符合强密码规范和密码复杂性要求,并将它们密存在信封中,信封由专人保管,各系统负责人每季度更换一次登录名和密码,并填写《密码保存登记表》。
特殊情况需拆信封时,必须由信息管理部门经理在《密码保存登记表》签字后方可,拆封后,系统责任人要重新修改密码,密存在信封中。
5.4.2 用户登录名与密码的管理
用户名和密码的组合定义了系统中用户的身份,用户和密码组合由系统管理员进行管理,不设置多人共用的账号,当一个工作人员离开岗位后,其账号应被及时删除。
为防止非法用户使用信息网络资源,对访问用户的合法性进行鉴别,当不成功鉴别尝试次数达到门限值时,系统将拒绝该用户的访问,加以记录并自动告警。
对用户访问控制的规范应遵循:
(1)所有的用户都要经过授权;
(2)用户有在自己的环境里设置对象特权的权力;
(3)禁止用户删除在共享目录下其它用户的文件;
(4)可以通过制定的策略控制用户对于系统中所有对象的访问;
(5)用户不能检查授予其它用户的访问控制权限;
(6)要能够提供强制性的访问控制
5.4.3 不相容岗位分离控制
信息系统开发人员不得操作使用信息系统,系统管理与维护人员不得操作使用信息系统。
5.5 系统维护及机房管理(《机房管理制度》)
5.5.1 外来人员对硬件系统维护时,须填写《外来人员进入机房审批表》,经信息管理部门经理签字批准后方可;当外来人员对软件系统进行维护时,须填写《应用软件维护表》,经系统使用部门(单位)负责人和信息管理部门经理签字批准后方可。
5.5.2 机房所有工作人员须经信息管理部门经理授权并凭门禁卡进出机房,外来
人员进入机房统一由信息管理部专人陪同,陪同人员全面负责外来人员的行为安全,并做好安全防范工作。
进出机房工作人员的授权定期(季度)由信息管理部门经理进行复核并做记录。
5.5.3 机房管理人员应熟知机房内设备的基本安全操作规程。
不定期对运行设备进行测试和保养,由专人负责机房内设备的保养和备品、配件、资料、盘片等的保管,并登记造册,保证备用设备完好,可供随时投入使用。
机房设备损坏应立即投入备用设备,并汇报领导,及时联系修复,做好检修记录。
机房工作人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。
在外部供电系统停电时,机房工作人员应做好停电应急工作。
5.5.4 机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
不定期进行消防演习、消防常识培训、消防设备使用培训。
如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
5.5.5 防网络攻击和防病毒管理由信息管理部统一管理
5.5.1 网络运行维护人员在发现可疑网络攻击和入侵迹象时,必须尽快处理并记录,在必要时请示主管部门领导,组织技术力量进行处理:
(1)分析判断:对可疑攻击和入侵行为进行必要的观察与分析,以判别是否属于共计或入侵行为。
(2)入侵或攻击的中止:经过分析,在必要时,应立即断开网络连接,将遭受攻击的网段隔离出来。
采取有效措施,终止对系统的破坏行为。
(3)记录和备份:记录发现网络入侵或攻击的当前时间,备份系统日志以及其它网络安全相关的重要文件,保存内存中的进程列表和网络连接状态,并且打开进程记录功能。
(4)如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统。
(5)对该入侵或攻击行为进行大量的日志、分析工作。
同时竭尽全力地判断寻找攻击源。
(7)将入侵的详细情况逐级向主管领导和有关主管部门汇报并请示处理办法。
5.5.2 各使用人或部门应采用信息管理部批准的查毒、杀毒软件,包括服务器和客户端的查毒、杀毒软件。
5.5.3 禁止使用来历不明、未经杀毒的软件,不阅读和下载来历不明的电子邮件或文件,严格控制并阻断计算机病毒的来源。
5.6.4 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
5.6.5 网络管理员应至少每周一次自动的全系统病毒扫描,每天定时自动检查更新病毒定义文件,对于发现的病毒则要有相关信息提示自动的发送到相关管理人员处。
5.6.6 信息管理部门应利用操作系统、数据库系统、应用系统提供的安全机制,设置参数,保证系统访问安全。
5.7 信息管理部负责日常网络与硬件的监控。
通过监控系统对网络链路带宽做实时监控,并在需要时做相应的调整。
对核心服务器和网络设备做活跃性测试监控,主要是针对设备的网络活动,系统的应用服务做监控。
外部网络的访问必须要通过防火墙,制定相关防火墙安全策略及防火墙配置标准。
5.8 系统终结
5.8.1 信息系统因各种原因不再使用时,信息管理部负责做好系统中有价值或涉密信息的销毁、转移,并按国家有关法律法规和电子档案的管理规定,妥善保管。
5.9 信息系统风险评估
5.9.1 信息管理部门经理应每月组织开展信息系统安全评估工作,及时发现系统安全问题并加以整改。
6 附则
信息管理部门负责制定、解释、修改、废除本细则,本细则自总经理签发之日起执行。
7 支持性文件、记录和图表
7.1 应急事故处理记录(略)
7.2 运行维护记录(略)
7.3 系统变更表(略)
7.4 系统用户申请表(略)
7.5 系统用户记录表(略)
7.6 数据备份记录表(略)
7.7 数据恢复性测试记录表(略)
7.8 密码保存登记表(略)
7.9 外来人员进入机房审批表(略)
7.10 应用软件维护表(略)。