网络数据和信息安全管理规范
数据信息安全管理制度规范
第一章总则第一条为加强数据信息安全管理工作,保障公司数据资源的安全,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司内部所有涉及数据信息处理、存储、传输、使用和销毁的部门和个人。
第三条公司数据信息安全管理工作遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 数据分类分级保护;4. 依法合规、持续改进。
第二章数据分类与分级第四条公司数据按照重要性、敏感性、影响程度等要素进行分类分级。
第五条数据分类分为以下类别:1. 一类数据:涉及国家秘密、商业秘密和个人隐私的数据;2. 二类数据:涉及公司核心业务、重要资产和关键技术的数据;3. 三类数据:涉及一般业务、普通资产和一般技术的数据。
第六条数据分级分为以下级别:1. 一级数据:高度敏感,一旦泄露可能造成严重后果的数据;2. 二级数据:较敏感,一旦泄露可能造成一定后果的数据;3. 三级数据:一般敏感,一旦泄露可能造成轻微后果的数据。
第三章数据安全防护措施第七条数据安全防护措施包括:1. 物理安全:确保数据存储设备、传输线路、网络设备等物理设施的安全;2. 网络安全:加强网络安全防护,防止黑客攻击、病毒入侵等安全事件;3. 应用安全:加强应用系统安全防护,防止系统漏洞、恶意代码等安全风险;4. 数据安全:对数据进行加密、脱敏、备份等处理,确保数据安全;5. 人员安全:加强员工安全意识教育,规范员工操作行为。
第八条数据访问控制:1. 建立数据访问权限管理制度,明确数据访问权限;2. 实施最小权限原则,确保用户只能访问其工作职责范围内的数据;3. 定期审查数据访问权限,及时调整和撤销不必要的访问权限。
第四章数据安全事件处理第九条发生数据安全事件时,应立即启动应急预案,采取以下措施:1. 停止数据泄露或损失;2. 分析事件原因,确定影响范围;3. 及时采取措施,防止事件扩大;4. 向相关管理部门报告,依法依规处理。
公司网络与信息安全管理规定
公司网络与信息安全管理规定为了维护公司的网络和信息安全,保护公司的经营利益和员工的个人隐私,制定本公司网络与信息安全管理规定。
本规定适用于公司内部所有员工、承包商和外来访客。
1. 网络访问权限公司网络只提供给有授权的员工使用,禁止未经授权的人员私自接入公司网络。
所有员工必须使用自己的个人账号进行登录,并且不得将账号信息透露给他人。
对于离职或岗位变动的员工,应及时关闭其账号。
同时,访客需经过身份验证和授权才能接入公司网络。
2. 密码安全公司要求所有员工设置强密码,密码中至少包括大小写字母、数字和特殊字符,并定期更换密码。
禁止员工将密码泄露给他人,包括通过邮件、消息或者口头交流。
为了保证密码安全,公司鼓励员工使用密码管理软件,并且不得使用与个人相关的信息(如生日、姓名等)作为密码。
3. 数据备份和恢复公司对存储在网络中的重要数据进行定期备份,以防止数据丢失或者损坏的情况发生。
同时,员工也要定期备份重要工作文件,确保数据的安全性和完整性。
在数据丢失或损坏时,员工应及时向IT部门报告,并积极配合恢复数据的工作。
4. 病毒和恶意软件防护所有公司电脑和移动设备必须安装并定期更新杀毒软件,以及其他必要的安全防护程序。
员工在接收到来自未知或可疑来源的文件、链接或软件时,应立即向IT部门报告并不予打开。
禁止员工私自下载并安装未经授权的软件或插件。
5. 网络通信和社交媒体在使用公司网络通信工具、电子邮件及社交媒体时,员工需遵守公司的相关规定。
严禁通过公司网络传播任何违法、色情、暴力或其他不良信息。
员工在发布或转发公司信息时,应确保信息的准确性和合法性,同时注意保护公司商业秘密和客户隐私。
6. 个人隐私保护公司保护员工的个人隐私,禁止员工非法获取或披露他人的个人信息。
在处理员工个人信息时,公司将遵循相关的法律法规,并采取必要的安全措施防止信息泄露。
员工也应妥善保管自己的个人信息,不得将其透露给他人。
7. 网络监控为了确保网络和信息安全,公司将进行必要的网络监控,包括但不限于网络活动记录、设备日志和访问控制。
网络及信息安全管理制度
网络及信息安全管理制度第一章总则第一条为规范公司网络及信息安全管理工作,保障公司网络系统的正常运行和信息安全,根据国家相关法律法规,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有员工,包括正式员工、实习生、临时员工等,以及与公司网络及信息安全相关的所有活动。
第三条公司网络及信息安全管理工作应坚持“预防为主、综合治理”的原则,确保网络系统的稳定性、可用性和安全性。
第二章网络使用管理第四条公司员工应严格遵守国家法律法规和公司网络使用规定,不得利用公司网络从事违法、违规活动。
第五条员工应妥善保管个人账号和密码,不得将账号借给他人使用,也不得尝试获取他人的账号信息。
第六条员工应合理使用网络资源,不得下载、传播违法、违规信息,也不得进行大量占用网络带宽的行为。
第七条未经公司批准,员工不得私自接入外部网络设备或私自更改网络配置。
第三章信息安全保护第八条公司应建立健全信息安全保护体系,包括物理安全、网络安全、系统安全、应用安全和数据安全等方面。
第九条公司应定期对网络系统进行安全检查和评估,及时发现和修复安全隐患。
第十条公司应制定并执行严格的数据备份和恢复策略,确保数据的完整性和可用性。
第十一条员工应严格遵守公司保密规定,不得泄露公司机密信息,也不得将敏感数据外泄或用于个人用途。
第十二条对于涉及敏感信息的数据处理和存储,应采取加密、访问控制等安全措施。
第四章应急响应与处置第十三条公司应建立网络安全应急响应机制,明确应急响应流程和责任人,确保在发生网络安全事件时能够迅速响应和处置。
第十四条员工发现网络安全事件或异常情况时,应立即报告给相关部门或负责人,不得隐瞒或私自处理。
第十五条对于发生的网络安全事件,公司应组织专门团队进行调查和分析,查明原因并采取相应的纠正和预防措施。
第五章监督与考核第十六条公司应设立专门的网络安全管理部门或岗位,负责网络及信息安全管理制度的制定、执行和监督。
第十七条公司应定期对员工的网络及信息安全意识进行培训和教育,提高员工的安全意识和技能。
信息安全管理规范
信息安全管理规范一、引言信息安全管理规范是为了保护组织的信息资产,确保其机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险而制定的一系列规范和措施。
本文将详细介绍信息安全管理规范的制定目的、适合范围、定义、原则、责任和具体措施等内容。
二、目的本信息安全管理规范的目的是为了确保组织的信息资产得到妥善保护,防止信息泄露、篡改和破坏等安全风险,提高信息系统和网络的安全性和可靠性,保障业务的正常运行。
三、适合范围本信息安全管理规范适合于组织内的所有员工、合作火伴和供应商,涵盖所有的信息系统和网络,包括但不限于计算机、服务器、网络设备、数据库、应用程序等。
四、定义4.1 信息资产:指组织拥有的所有信息,包括但不限于电子文档、数据库、软件、硬件设备等。
4.2 信息安全:指确保信息的机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险。
4.3 信息安全管理:指对信息安全进行规划、组织、实施、监控和改进的过程。
4.4 信息安全事件:指可能导致信息资产受到威胁、损失或者破坏的事件,包括但不限于病毒攻击、网络攻击、数据泄露等。
五、原则5.1 领导承诺:组织的领导应对信息安全工作赋予足够的重视,并提供必要的资源和支持。
5.2 风险管理:组织应通过风险评估和风险处理等手段,识别和评估信息安全风险,并采取相应的措施进行管理和控制。
5.3 安全意识培训:组织应定期开展信息安全意识培训,提高员工对信息安全的认识和理解。
5.4 安全控制措施:组织应建立和完善信息安全管理体系,采取合理的安全控制措施,确保信息资产的安全性。
5.5 持续改进:组织应不断改进信息安全管理体系,提高信息安全管理水平。
六、责任6.1 高层管理人员:负责制定信息安全策略和目标,确保信息安全工作的有效实施。
6.2 信息安全管理部门:负责制定、实施和监督信息安全管理措施,协调各部门的信息安全工作。
6.3 部门经理:负责本部门的信息安全工作,确保信息资产得到妥善保护。
信息安全管理规范
信息安全管理规范一、引言信息安全是现代社会高度关注的重要问题,各类组织和企业都面临着信息泄露、数据丢失、黑客攻击等安全风险。
为了确保信息系统的安全性和可靠性,本文档旨在制定一套信息安全管理规范,以指导组织内部的信息安全管理工作。
二、范围本规范适合于本组织内的所有信息系统和相关信息资源,包括但不限于计算机网络、服务器、数据库、应用程序、存储设备等。
三、信息安全政策1. 组织应制定明确的信息安全政策,并将其在组织内部广泛宣传,以确保所有员工都了解和遵守该政策。
2. 信息安全政策应包括对信息安全目标、责任分工、风险管理、合规要求等方面的规定。
四、信息资产管理1. 组织应对所有信息资产进行分类、归档和标记,确保其价值、敏感性和保密性的合理评估。
2. 组织应制定信息资产管理流程,包括信息资产的获取、使用、存储、传输和处置等环节的规定。
五、访问控制1. 组织应制定访问控制策略,确保惟独授权的用户可以访问相应的信息资源。
2. 组织应采取适当的措施,如密码策略、身份认证、访问权限管理等,确保访问控制的有效性。
六、网络安全1. 组织应建立防火墙、入侵检测系统、网络流量监控等安全设施,确保网络的安全性和稳定性。
2. 组织应定期对网络进行安全扫描和漏洞评估,及时修补安全漏洞,防止黑客攻击和恶意软件的侵入。
七、安全事件管理1. 组织应建立安全事件管理流程,包括安全事件的报告、调查、处理和应急响应等环节。
2. 组织应定期进行安全事件演练,提高员工对安全事件的应对能力和反应速度。
八、物理安全1. 组织应对信息系统所在的物理环境进行安全评估,并采取相应的物理安全措施,如门禁系统、监控摄像头等。
2. 组织应定期检查和维护信息系统的物理安全设施,确保其正常运行和有效性。
九、备份与恢复1. 组织应制定备份和恢复策略,确保重要数据的备份和恢复工作得以顺利进行。
2. 组织应定期测试备份数据的完整性和可恢复性,以确保备份方案的有效性。
十、培训与意识提升1. 组织应定期组织信息安全培训,提高员工对信息安全的意识和知识。
信息安全管理规范
信息安全管理规范信息安全管理规范一、引言随着互联网的迅速发展和信息技术的广泛应用,信息安全面临着越来越多的威胁和风险。
为了确保组织内部的信息系统和数据得到有效的保护,提高信息安全管理水平,制定本信息安全管理规范。
二、适用范围本规范适用于所有组织内部的信息系统和数据,包括企业、政府机构、学校等。
三、信息安全管理目标1. 保护信息系统和数据的机密性,防止未经授权的访问、使用和泄露。
2. 保护信息系统和数据的完整性,防止未经授权的篡改、删除和破坏。
3. 保护信息系统和数据的可用性,防止服务中断和系统崩溃。
4. 防止计算机病毒和恶意软件的传播和感染。
5. 防范网络攻击,保护系统免受黑客、病毒等威胁。
6. 提高员工的信息安全意识,加强安全培训和教育。
四、信息安全管理措施1. 安全策略和风险评估:制定并实施信息安全策略,进行定期的风险评估和漏洞扫描,及时修复安全漏洞。
2. 身份认证和访问控制:建立严格的身份认证机制,采用合适的访问控制措施,确保只有授权的用户能够访问系统和数据。
3. 密码策略:制定密码安全策略,要求员工设置强密码,并定期更换。
4. 安全审计和监控:建立完善的安全审计和监控机制,对系统进行实时监控和日志记录,发现异常行为及时报警和采取措施。
5. 数据备份和恢复:制定数据备份策略,定期备份关键数据,并建立恢复机制,确保数据能够及时恢复。
6. 网络安全防护:采用防火墙、入侵检测系统、反病毒软件等网络安全产品,防范网络攻击和病毒感染。
7. 媒体安全控制:制定媒体安全管理制度,对外部媒介的使用和领取进行严格控制,防止数据泄露。
8. 员工安全培训和教育:定期组织员工进行信息安全培训和教育,提高员工的信息安全意识和能力。
9. 合规性管理:确保信息安全管理符合相关法律法规和标准的要求,进行合规性风险评估和合规性审核。
五、信息安全事件处理1. 信息安全事件的定义:对于可能影响信息系统和数据安全的事件,包括病毒感染、黑客攻击、数据泄露、系统故障等。
网络安全与信息安全管理制度
网络安全与信息安全管理制度(实用版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的实用范文,如演讲致辞、合同协议、条据文书、策划方案、总结报告、简历模板、心得体会、工作材料、教学资料、其他范文等等,想了解不同范文格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, this store provides various types of practical sample essays, such as speeches, contracts, agreements, documents, planning plans, summary reports, resume templates, experience, work materials, teaching materials, other sample essays, etc. Please pay attention to the different formats and writing methods of the model essay!网络安全与信息安全管理制度如果让你来写网络信息安全管理制度,你知道怎么下笔吗? 规章制度具有为员工在生产过程中指引方向的作用。
机房网络信息数据安全管理制度
机房网络信息数据安全管理制度1.机房安全防范措施-确定机房门禁管理制度,只允许授权人员进入机房。
-安装监控设备,实时监控机房内的情况。
-机房内禁止吸烟、饮食等不安全行为。
-定期进行机房安全巡查和维护,确保设备正常运行。
2.机房设备管理-确定设备存放位置和编号,建立设备档案,明确责任人。
-离开机房前,确保设备关闭,并做好相关记录。
-对设备进行定期检查和维护,发现问题及时修复或更换。
3.机房电源管理-申请合理的电源供应,并确保电源稳定。
-确定设备供电模式,实施断电保护机制。
-定期对电源设备进行检测,确保其正常工作。
4.机房环境管理-维持机房内适宜的温度、湿度和空气流通。
-定期清理机房内的灰尘和杂物。
-防止火灾和水浸等危害,安装相应的报警设备。
1.网络访问权限管理-设立不同的网络访问权限档案,根据不同的岗位和职责给予相应的权限。
-对网络访问权限进行定期审查和调整。
2.网络数据备份与恢复-对重要数据进行定期备份,并存放在安全的地方。
-定期进行数据恢复演练,确保备份的有效性。
3.网络病毒防范-安装并定期更新杀毒软件,对网络进行实时监测和防护。
-禁止员工随意插入移动存储设备,对外部设备进行检测。
4.网络安全漏洞修复-定期检查网络系统和应用程序的安全漏洞,并及时修复。
-提供网络安全培训,增强员工的安全意识。
1.信息分类保密制度-对不同级别的信息进行分类,并制定相应的保密规定。
-限制对机密信息的访问权限,确保信息的保密性。
2.信息传输和存储安全-采用安全的传输协议,对敏感信息进行加密传输。
-对信息进行定期备份,并存储在加密的设备中。
-严格控制对信息存储设备的使用和访问权限。
3.信息安全事件处理-设立信息安全事件报告制度,发现问题及时上报。
-对信息安全事件进行调查和处理,防止类似事件再次发生。
1.数据备份和恢复-定期对数据进行备份,并存储在安全的地方。
-定期进行数据恢复演练,确保备份的有效性。
2.数据权限管理-设置不同级别的数据权限,确保只有授权人员能够访问敏感数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
X X X X有限公司WHB-08 网络数据和信息安全管理规范版本号: A/0编制人: XXX审核人: XXX批准人: XXX20XX年X月X日发布 20XX年X月X日实施目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。
为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
术语本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。
即确保信息的完整性、保密性、可用性和可控性。
包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。
网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。
计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。
主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。
本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。
网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。
有害信息,参见国家现在法律法规的定义。
重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。
组织架构及职责分工公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法规和上级有关规定,保障公司的计算机信息的安全。
计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算机信息及网络安全负直接责任。
各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信息及网络安全领导小组备案。
各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。
相关岗位信息安全职责:1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、网线),不得私自接入网络。
各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技术培训。
在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和权限及时进行变更或注销。
系统安全规定公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。
携带计算机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增添、维修、调拨等的审核与管理。
计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
使用、操作计算机设备时,应遵循以下安全要求:1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。
在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
账号管理安全账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。
超出正常权限范围的,要经主管领导审批。
系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
严禁用户将自己所拥有的用户账号转借他人使用。
员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号。
在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
一般情况下不允许外部人员直接进入主机系统进行操作。
在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。
禁止将系统用户及口令直接交给外部人员。
口令安全管理口令的选取、组成、长度、修改周期应符合安全规定。
禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。
重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
本地保存的用户口令应加密存放,防止用户口令泄密。
软件安全管理:不安装和使用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
个人计算机上不得安装与工作无关的软件。
在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。
系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
主机系统的服务器、工作站所使用的操作系统必须进行登记。
登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。
网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。
系统日志必须保存三个月以上。
新建计算机网络、应用系统必须同时进行网络信息安全的设计。
互联网信息安全公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息传播。
各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有害信息。
数据安全需要保护的重要数据至少包括:1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数据备份及恢复。
对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员等信息。
对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行试验,确保在发生安全问题时能够从数据备份中进行恢复。