信息系统资产安全管理制度.docx
信息安全资产管理制度
第一章总则第一条为加强我单位信息安全资产的管理,确保信息安全资产的合理配置、有效保护和高效利用,根据《中华人民共和国网络安全法》、《信息安全技术—信息安全管理体系要求》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息安全资产,包括但不限于硬件设备、软件系统、数据资源、网络设施、信息系统等。
第三条信息安全资产管理制度遵循以下原则:1. 全面性原则:覆盖所有信息安全资产,确保管理的全面性;2. 安全性原则:确保信息安全资产的安全,防止泄露、篡改和破坏;3. 合理性原则:合理配置信息安全资产,提高资源利用率;4. 动态管理原则:根据业务发展和安全需求,动态调整信息安全资产配置;5. 责任到人原则:明确信息安全资产管理的责任人和职责。
第二章组织机构与职责第四条成立信息安全资产管理委员会,负责制定信息安全资产管理制度,监督实施,协调解决信息安全资产管理中的重大问题。
第五条信息安全资产管理委员会组成如下:1. 主任:由单位负责人担任;2. 副主任:由信息管理部门负责人担任;3. 成员:由相关部门负责人、信息安全管理人员等组成。
第六条信息安全资产管理委员会职责:1. 制定、修订信息安全资产管理制度;2. 审议信息安全资产配置方案;3. 监督信息安全资产管理工作;4. 定期评估信息安全资产管理制度实施效果;5. 处理信息安全资产管理中的重大问题。
第七条信息管理部门负责信息安全资产的具体管理工作,包括:1. 制定信息安全资产分类、分级标准;2. 建立信息安全资产清单;3. 监督信息安全资产配置、使用、维护和报废;4. 组织信息安全资产安全评估;5. 组织信息安全资产培训。
第三章信息安全资产分类与分级第八条信息安全资产按照以下分类:1. 硬件设备:包括服务器、网络设备、存储设备、终端设备等;2. 软件系统:包括操作系统、数据库、应用软件等;3. 数据资源:包括业务数据、用户数据、管理数据等;4. 网络设施:包括网络设备、网络线路、网络安全设备等;5. 信息系统:包括内部信息系统、外部信息系统等。
信息资产安全管理制度
竭诚为您提供优质文档/双击可除信息资产安全管理制度篇一:2.5.3-信息资产安全管理规定xxxx信息中心信息资产安全管理规定信息中心年月xxxx信息中心信息资产安全管理规定注:xxxx代表单位名称,xx代表单位简称,xxxx代表系统名称,**代表部门名称。
第一章总则第一条为了加强xxxx信息中心(以下简称“中心”)对信息资产的安全管理,明确中心硬件资产、软件资产和数据资产的信息安全管理工作,对信息资产实施适当的保护管理,制定本规定。
第二条本规定适用于中心信息资产的安全管理。
第二章信息资产的分类与登记第三条中心信息资产是指中心拥有和控制的信息资源,主要分为以下三类:(一)硬件资产:包括计算机设备、通信设备、可移动介质和其他设备;(二)软件资产:包括应用软件、系统软件、开发工具和实用程序等;(三)数据资产:包括数据库或数据文件、系统文件、操作规范、归档信息等。
第四条xxxx系统、xxxx系统和xxxx系统所有的信息资产均应指定相应的管理部门,并指定到个人,做到“责任落实到人”。
第五条信息资产的使用部门负责本部门信息资产的正常使用、保管和维护。
第三章硬件资产安全管理第六条中心资产管理员应建立统一的硬件资产管理台账,明确硬件资产使用责任部门、责任人和使用范围,并定期进行资产清点,对硬件资产台账信息进行审核。
第七条应加强信息系统的硬件资产管理,建立《xxxx信息中心信息资产清单-硬件资产清单》(见附件),明确硬件资产的基本属性和用途。
第八条硬件资产在使用过程中应确保硬件配置的完整性,不得私自更换硬件资产以及相关配件。
第九条第十条应遵照机房有关要求,加强对机房内硬件资产的物理安全性管理。
对于需要维修的硬件资产,由设备责任人提出申请,经中心领导批准后,把硬件资产交到维护单位进行维修。
第十一条对于需要报废的硬件资产,由使用部门提出申请,经中心领导批准,由使用部门把硬件资产交到资产管理员统一处理。
第十二条存储内部信息的硬件资产在重用、维修和报废前,应确保所有存储的敏感数据或授权软件已经被移除或安全重写。
信息资产安全管理制度
信息资产安全管理制度篇一:2.5.3-信息资产安全管理规定XXXX信息中心信息资产安全管理规定信息中心年月XXXX信息中心信息资产安全管理规定注:XXXX代表单位名称,XX代表单位简称,xxxx代表系统名称,**代表部门名称。
第一章总则第一条为了加强XXXX信息中心(以下简称“中心”)对信息资产的安全管理,明确中心硬件资产、软件资产和数据资产的信息安全管理工作,对信息资产实施适当的保护管理,制定本规定。
第二条本规定适用于中心信息资产的安全管理。
第二章信息资产的分类与登记第三条中心信息资产是指中心拥有和控制的信息资源,主要分为以下三类: (一) 硬件资产:包括计算机设备、通信设备、可移动介质和其他设备; (二) 软件资产:包括应用软件、系统软件、开发工具和实用程序等; (三) 数据资产:包括数据库或数据文件、系统文件、操作规范、归档信息等。
第四条xxxx系统、xxxx系统和xxxx系统所有的信息资产均应指定相应的管理部门,并指定到个人,做到“责任落实到人”。
第五条信息资产的使用部门负责本部门信息资产的正常使用、保管和维护。
第三章硬件资产安全管理第六条中心资产管理员应建立统一的硬件资产管理台账,明确硬件资产使用责任部门、责任人和使用范围,并定期进行资产清点,对硬件资产台账信息进行审核。
第七条应加强信息系统的硬件资产管理,建立《XXXX信息中心信息资产清单-硬件资产清单》(见附件),明确硬件资产的基本属性和用途。
第八条硬件资产在使用过程中应确保硬件配置的完整性,不得私自更换硬件资产以及相关配件。
第九条第十条应遵照机房有关要求,加强对机房内硬件资产的物理安全性管理。
对于需要维修的硬件资产,由设备责任人提出申请,经中心领导批准后,把硬件资产交到维护单位进行维修。
第十一条对于需要报废的硬件资产,由使用部门提出申请,经中心领导批准,由使用部门把硬件资产交到资产管理员统一处理。
第十二条存储内部信息的硬件资产在重用、维修和报废前,应确保所有存储的敏感数据或授权软件已经被移除或安全重写。
信息资产安全管理制度
第一章总则第一条为了加强信息资产的安全管理,确保信息系统安全稳定运行,根据信息系统安全工作要求,特制定本制度。
第二条本制度适用于信息资产的管理包括资产的获取、使用、处置、借用及维护。
第三条本制度中的信息资产是指可以存储信息数据的信息载体包括硬件、软件、电子数据、电子文档、纸质文件、服务设施等。
第四条本制度中所涉及固定资产管理体制和机构,固定资产的增加、减少及内部转移变动等固定资产管理参照单位原有相关管理制度及规定执行。
第二章管理要求第五条软件、硬件设施、服务性设施等主要以采购的方式获得,采购按照《信息系统安全建设管理制度》、《信息类设备安全管理制度)》进行采购和验收。
第六条数据信息资产的获得来源主要为:外包供应商、市场信息及其他信息。
第七条信息资产的等级划分(一)根据信息资产的重要程度和对单位的影响程度,将资产分为三级。
1、非常重要:涉及单位重要业务活动的资产。
如核心设备、核心数据、重大决策、程序源代码等。
2、重要:涉及单位主要业务活动,有一定保密要求的资产。
如主要信息处理设施、业务数据、体系文件、管理制度等。
3、一般:除非常重要和重要以外的其他资产。
第八条信息资产的标识(一)信息与数据资产,应在页眉或文件的首页右上角标注其重要等级。
(二)工作设备资产,须根据其类型、重要程度、用途或功能在明显位置进行标记,设备上的所有标记或编号只能由设备管理人员进行标识和管理,其它人员不得随意涂改或是撕毁标记。
(三)对服务器和操作终端,在显示器和主机上都须有编号,服务器必须在明显位置进行标记(如服务器的机箱或显示器上)。
(四)移动计算机:所有移动计算机需设置统一标号。
(五)对于客户提供的设备资产应进行特别的标记并形成相应的记录。
第九条硬件资产的管理(一)硬件的使用处置包括采购、接收、使用(交接、维修、重用)、处置等有关内容。
(二)由资产管理员对机房设备,包括服务器、交换机、防火墙、KVM、存储设备等设备进行详细登记,形成资产清单(见附件1)。
信息资产安全管理制度
第一章总则第一条为加强我单位信息资产安全管理,确保信息安全,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息资产,包括但不限于信息系统、网络设备、存储设备、移动存储设备、数据等。
第三条信息资产安全管理工作应遵循以下原则:1. 预防为主,防治结合;2. 安全责任到人,明确分工;3. 技术与管理相结合;4. 依法依规,持续改进。
第二章信息资产分类与分级第四条信息资产根据其重要性、敏感性、影响范围等因素进行分类和分级。
第五条信息资产分类:1. 核心资产:涉及国家安全、公共利益、重大社会影响的资产;2. 重要资产:涉及单位关键业务、重要职能的资产;3. 一般资产:除核心资产和重要资产外的其他资产。
第六条信息资产分级:1. 特级:对国家安全、公共利益、重大社会影响具有特别重要性的资产;2. 一级:对国家安全、公共利益、重大社会影响具有重要性的资产;3. 二级:对国家安全、公共利益、重大社会影响有一定重要性的资产;4. 三级:对国家安全、公共利益、重大社会影响影响较小的资产。
第三章信息资产安全管理制度第七条信息资产安全管理制度包括:1. 信息资产安全管理制度体系;2. 信息资产安全风险评估与控制;3. 信息资产安全防护措施;4. 信息资产安全事件处理;5. 信息资产安全教育与培训;6. 信息资产安全监督检查。
第八条信息资产安全管理制度体系:1. 制定信息资产安全管理制度;2. 明确信息资产安全管理组织架构及职责;3. 建立信息资产安全管理制度评审、修订机制。
第九条信息资产安全风险评估与控制:1. 定期开展信息资产安全风险评估;2. 根据风险评估结果,制定相应的安全防护措施;3. 对重要信息资产实施重点监控。
第十条信息资产安全防护措施:1. 物理安全防护:确保信息资产物理安全,防止信息资产丢失、损坏、被窃取;2. 网络安全防护:加强网络安全防护,防止网络攻击、入侵、病毒感染;3. 数据安全防护:对重要数据实施加密、备份等措施,防止数据泄露、篡改;4. 信息系统安全防护:定期对信息系统进行安全检查、漏洞修复,确保信息系统安全稳定运行。
公司信息资产安全管理制度
第一章总则第一条为加强公司信息资产的安全管理,保障公司信息资产的安全、完整和可用,维护公司合法权益,特制定本制度。
第二条本制度适用于公司所有部门和员工,以及与公司有业务往来的合作伙伴。
第三条公司信息资产包括但不限于:技术图纸、商务信息、财务信息、服务器信息、密码信息等。
第四条公司信息资产安全管理工作遵循以下原则:1. 预防为主、防治结合;2. 系统化、规范化、标准化;3. 依法合规、责任到人。
第二章组织与管理第五条公司设立信息安全管理委员会,负责公司信息资产安全管理的统筹规划和监督实施。
第六条信息安全管理委员会下设信息安全管理办公室,负责具体实施信息资产安全管理工作。
第七条各部门设立信息安全管理员,负责本部门信息资产安全管理工作。
第三章信息资产分类与保护第八条公司信息资产按照重要程度、敏感程度、业务关联程度等分类,分为一级、二级、三级三个等级。
第九条各类信息资产保护措施如下:1. 一级信息资产:采取严格的安全措施,确保不发生泄露、篡改、丢失等情况;2. 二级信息资产:采取较为严格的安全措施,确保不发生泄露、篡改、丢失等情况;3. 三级信息资产:采取一般的安全措施,确保不发生泄露、篡改、丢失等情况。
第十条公司应定期对信息资产进行风险评估,针对风险等级采取相应的安全措施。
第四章信息安全措施第十一条采取以下信息安全措施:1. 物理安全:加强办公场所、机房、文件室等物理环境的安全防护,防止非法侵入、盗窃、破坏等;2. 网络安全:建立完善的网络安全防护体系,包括防火墙、入侵检测系统、漏洞扫描等;3. 数据安全:对重要数据采取加密、备份、恢复等措施,防止数据泄露、篡改、丢失等;4. 身份认证:实施严格的身份认证制度,确保用户身份的合法性和唯一性;5. 权限管理:对用户权限进行严格控制,确保用户只能访问其权限范围内的信息资产;6. 安全培训:定期对员工进行信息安全培训,提高员工的安全意识和操作技能。
第五章应急处置第十二条公司应制定信息安全事件应急预案,明确事件处理流程、责任人及通知方式等。
信息类资产安全管理制度
第一章总则第一条为加强我单位信息类资产安全管理,保障信息类资产安全,根据国家有关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息类资产,包括但不限于计算机、网络设备、存储设备、移动存储设备、服务器、数据库、软件、信息资源等。
第三条信息类资产安全管理应遵循以下原则:(一)安全第一,预防为主;(二)责任明确,分工协作;(三)技术保障,管理到位;(四)持续改进,保障有力。
第二章组织与管理第四条成立信息类资产安全管理工作领导小组,负责制定信息类资产安全管理制度,监督、检查和指导信息类资产安全管理工作。
第五条设立信息类资产安全管理办公室,负责信息类资产安全管理的日常工作。
第六条各部门、各单位应明确信息类资产安全管理责任人,负责本部门、本单位信息类资产的安全管理工作。
第三章信息类资产安全管理措施第七条信息类资产的安全管理应包括以下内容:(一)物理安全管理:确保信息类资产存放环境安全,防止火灾、水灾、盗窃等物理性损害。
(二)网络安全管理:加强网络安全防护,防止网络攻击、病毒感染等网络安全风险。
(三)数据安全管理:确保数据完整性、保密性和可用性,防止数据泄露、篡改和丢失。
(四)软件安全管理:加强对软件的使用、开发和维护管理,防止软件漏洞和恶意代码攻击。
(五)人员安全管理:加强对信息类资产使用人员的安全培训,提高安全意识。
第八条信息类资产安全管理措施包括:(一)制定信息类资产安全管理制度,明确安全责任和操作规程;(二)建立健全信息类资产安全防护体系,包括防火墙、入侵检测系统、病毒防护软件等;(三)定期对信息类资产进行安全检查,发现问题及时整改;(四)加强对信息类资产的使用、维护和更新管理,确保系统安全稳定运行;(五)对信息类资产进行定期备份,确保数据安全。
第四章信息类资产安全事件处理第九条发生信息类资产安全事件时,应及时采取以下措施:(一)立即启动应急预案,组织相关人员处理事件;(二)对事件进行调查,分析原因,采取措施防止类似事件再次发生;(三)对事件涉及的信息类资产进行安全检查,修复漏洞,确保安全;(四)对事件进行总结,完善信息类资产安全管理制度。
信息资产安全管理制度模板
信息资产安全管理制度模板一、总则1. 目的:确保公司信息资产的安全,防止信息泄露、篡改、丢失或滥用,保障公司运营的稳定性和连续性。
2. 范围:适用于公司所有员工及访问公司信息资产的所有第三方。
3. 定义:信息资产包括但不限于客户数据、财务数据、知识产权、商业秘密、内部文档等。
二、组织与职责1. 安全管理委员会:负责制定信息安全政策,监督信息安全管理制度的实施。
2. 信息安全负责人:负责信息安全管理的具体工作,包括风险评估、安全培训、应急响应等。
3. 各部门负责人:负责本部门信息资产的安全,确保员工遵守信息安全管理制度。
三、信息资产管理1. 分类与标识:对信息资产进行分类,并根据保密等级进行标识。
2. 访问控制:根据信息资产的保密等级,实施相应的访问控制措施。
3. 信息传输:确保信息在传输过程中的安全性,使用加密技术保护敏感信息。
四、物理与环境安全1. 物理访问:限制非授权人员对信息处理设施的物理访问。
2. 环境控制:确保数据中心和服务器房等关键区域的环境安全。
五、系统与应用安全1. 系统加固:定期对系统进行安全加固,包括打补丁、更新防病毒软件等。
2. 应用安全:开发和部署应用程序时,遵循安全编码标准。
六、数据备份与恢复1. 备份策略:制定数据备份计划,确保关键数据的定期备份。
2. 恢复流程:制定数据恢复流程,确保在数据丢失或损坏时能够迅速恢复。
七、信息安全事件管理1. 事件报告:员工在发现信息安全事件时,应立即报告给信息安全负责人。
2. 应急响应:信息安全负责人应立即启动应急响应计划,采取措施控制和缓解事件。
八、信息安全培训与宣传1. 定期培训:定期对员工进行信息安全培训,提高安全意识。
2. 安全宣传:通过多种渠道进行信息安全知识的宣传,营造安全文化。
九、信息安全审计与合规1. 安全审计:定期进行信息安全审计,评估安全措施的有效性。
2. 合规性检查:确保信息安全管理遵循相关法律法规和行业标准。
十、附则1. 本制度自发布之日起生效,由信息安全负责人负责解释。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
.信息系统安全管理制度第一章总则第一条为保证公司计算机网络能够安全可靠的运行,防止系统及数据被非法利用或破坏,充分发挥其在生产、经营、办公和信息服务方面的重要作用,更好的为员工提供服务,特制定本办法。
第二条本制度涉及的信息系统,是指由计算机及其相关的配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的计算机系统;本制度所指的计算机软件是指在我公司内部使用的计算机应用软件。
适用于公司范围内的计算机系统。
第二章组织机构和职责第三条成立公司信息安全小组,由公司领导、办公室、各相关部门、计算机维护人员组成,指定公司信息系统安全员和各系统管理员。
(见附件一)第四条公司主要领导是公司信息系统管理和网络安全的第一责任人,信息安全小组负责公司计算机应用系统和网络安全的全面管理和运行维护。
第五条计算机系统管理员负责公司内部信息系统及计算机网络安全的管理和维护工作,为公司内部网络的安全运行提供技术保障。
第六条信息安全员负责对公司信息化相关的各项申请记录进行复核,审查用户帐号使用情况和权限分配是否合理,对公司重要信息进行安全分级,定期复查系统管理员填制的各项检查记录。
第七条公司的所有计算机及外围设备是公司的固定资产,按照谁使用谁负责的原则,落实责任人,使用部门为责任部门,负责保管配备的信息化资产的完好,保证良好的使用环境,并建立资产台账。
第三章系统安全管理3.1 账号管理第八条应用系统、操作系统、数据库(以下简称“各系统”)的用户名均应该专人专用,用以识别不同的用户和账号,以确保可溯源和可追踪性。
第九条各系统的管理员账号需进行有效的保护,经公司信息安全小组审核后,由信息系统安全员分配管理员访问权限给系统管理员。
第十条各系统均需要设置充分的用户密码安全策略,包括:1)设定密码最小长度不得低于八位;2)密码一定由数字、字母和符号共同组成;3)设置密码过期期限,定期更改密码;4)设置密码锁定前登录失败次数等安全策略。
第十一条各信息系统自带的默认账号和密码必须在系统初次使用时进行修改,密码由系统管理员保管。
第十二条公司信息系统的访问和应用只限于通过公司内网进行,如因特殊情况需要通过外网访问信息系统的,报信息安全小组批准并由自动化所授权同意后方可进行。
第十三条保全处每半年组织相关业务员部门对信息系统账号进行复核,将信息系统的用户及其权限清单提交给业务部门负责人 ,确认并审核权限的合理性。
通过查看系统日志,检查不适当账号和权限的使用情况,对违规使用情况进行通报并立即整改。
第十四条需新增或调整账户权限的用户,由使用部门提出申请,并填写相关岗位权限调整申请表,经信息安全小组审核批准后,由系统管理员调整用户账号及相应权限。
3.2 防病毒管理第十五条公司信息安全小组负责防病毒软件的部署与配置,用户与信息设备责任人负责所用计算机系统及数据的基本防护。
第十六条所有接入公司网络的计算机都必须安装防病毒软件;外来计算机要接入公司网络必须装有防病毒软件和最新的病毒库和查杀引擎,报经信息安全小组负责人批准后,由系统管理员检查该计算机,符合要求后由系统管理员为该计算机设置网络连接。
第十七条公司计算机的防病毒软件的实时监控要默认打开,不得擅自关闭。
第十八条公司计算机的防病毒软件和病毒库要通过一定的技术手段(例如给杀毒软件增加防护密码等)进行保护,防止用户误删或未经授权强制删除或禁用防病毒程序。
第十九条信息安全小组负责指导和培训用户的防病毒知识,提高用户的防病毒意识。
第二十条系统管理员要定期检查并提醒用户升级最新的操作系统补丁。
3.3 数据管理第二十一条各部门要对本部门重要信息进行安全分级,对不同的数据文件采取不同的保密措施防止泄密。
第二十二条系统管理员对新发布的系统补丁程序进行风险评估,判断补丁程序可能会对各系统带来的影响,必要情况下应在测试环境下进行测试,填写《补丁程序测试记录》,并集中汇报给信息安全小组进行审核。
经测试无误后方可在生产系统计算机中更新补丁程序。
(见附件二《补丁程序测试记录》)第二十三条信息安全员每周检查上一周由系统管理员检查的各项记录,并对所检查项目进行复核,填写各类记录单。
第二十四条 DCS 负责公司所属工业信息化设备软件和数据的备份,每月对控制系统软件及数据进行一次异地备份,每月对水泥磨工业信息化设备软件及数据进行一次异地备份,负责对设备配套工业信息化设备软件及数据进行备份,所有备份应刻录成光盘,由信息安全员保管。
第四章网络与设备管理第二十五条系统管理员定期检查防火墙、服务器及各网络设备监控日志,若发现异常,及时上报和详细记录并跟踪解决;分析、检查和.跟进结果均记录在《日志综合检查表》中,信息安全员负责复查确认。
(见附件三《日志综合检查表》)第二十六条由于网络设备的特殊重要性,网络设备的配置管理由系统管理员完成,其他任何人不得改动设备配置。
第二十七条为了保证特殊情况下的接管工作,系统管理员必须做好网络设备的配置记录,对每次的配置改动作记录,并备份设备的配置文档,记录配置时间。
第二十八条公司网络端口只允许授权用户使用,不得擅自接入交换设备,未办理端口授权手续,不得使用网络端口,严禁自行接线上网。
外来人员如需接入内网,需要经过信息主管部门或信息安全小组负责人审批。
第二十九条公司内严禁私自搭建无线网络平台,严禁私自接入无线网络设备。
若因工作需要组建无线网络的,需向设备保全处申报,由保全处组织对申报的无线平台方案进行论证,批准后方可搭建。
第三十条公司的联网工作必须报公司主管部门批准后实施。
实施完成后,应绘制竣工图,报部室信息主管部门。
未经公司信息安全小组审批,任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络,发现私自接入的网络线路将予以拆除,并对相关部门及责任人进行考核。
第三十一条计算机网络布线应按照施工标准规范敷设,交换机、光电转换器、 HUB 的安装力求实用美观;交换机、光电转换器等网络重要设备应绑扎固定;计算机网络和交换机等网络设备集中的机房需具备相应的接地防雷措施。
第三十二条公司所有计算机设备、网络设备(包括交换机、集线器、光电转换器等),应建立台账资料库,台账应包括所有计算机设备、网络设备的购置年限、一般配置、使用部门、随机资料和软件介质等,具体参照《计算机管理办法》;第三十三条由设备保全处牵头,定期对计算机及其使用情况进行检查;检查内容包括计算机设备的维护和保养、环境卫生、计算机病毒的查杀、计算机是否安装了与工作无关的其它游戏软件等,一经发现违规情况将予以通报考核。
第五章中心机房管理第三十四条DCS 工程师站是公司信息化设备的核心区域,涉及范围广,技术保密性强,环境要求高,对生产的影响较大。
为保证设备正常、高效的运行,无关人员不得擅自进入。
外来人员进入机房必须由主管部门同意,必须有专人陪同,禁止带与工作无关物品进入;非机房工作人员未经许可不得擅自对运行设备及各种配置进行更改。
第三十五条路由器、交换机和服务器以及通信设备是网络的关键设备,须放置在机柜内,不得自行配置或更换,更不能挪作它用。
第三十六条机房工作人员应做好网络安全工作,网络设备及服务器的各种帐号严格保密。
并对各类操作密码定期更改。
系统管理人员应不定期监控中心机房设备运行状况,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。
(见附件四《机房综合巡检表》、附件五《应用服务器检查记录》)第六章互联网安全及邮件系统管理第三十七条严格执行国家《计算机信息网络国际联网安全保护管理办法》。
不得利用网络从事任何有悖网络法规的活动,任何人不得恶意扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。
第三十八条公司各部门人员应严格遵守国家相关法律法规规定,在法律许可范围内规范使用互联网进行信息交流和传递活动,同时要做好所使用计算机的安全防护,及时安装系统补丁和病毒库,防止网络病毒的传播。
第三十九条公司各员工负有信息保密的责任和义务。
任何人不得利用公司计算机网络泄露公司机密、技术资料和其他保密资料。
第四十条任何人不得在网络上发布有损公司形象和声誉的信息。
第四十一条本制度自下发之日起开始执行,由设备保全处负责起草并对口管理。
.补丁程序测试记录系统名称:系统系统问题描述:提交人签字:提交日期 :一、程序补丁基本信息补丁名称:版本号:发布日期:发布单位:操作系统:语言:补丁内容描述:获取方式:□ 网上下载□ 内部研发□ 外部提供获取日期:二、补丁更新流程记录测试环境是否准备好:□ 是□否安装过程有无异常:□ 是□否测试人签字:注:《程序测试跟踪记录》由签字的测试人完成。
补丁程序是否完整:□是□ 否补丁是否安装成功:□是□ 否安装日期:三、程序测试跟踪记录日期系统环境有无异常应用系统有无异常其他信息摘要第一天□ 有□ 无□ 有□ 无第五天□ 有□ 无□ 有□ 无第十天□ 有□ 无□ 有□ 无第十五天□ 有□ 无□ 有□ 无四、补丁测试结论报告.安装补丁后是否解决了原系统问题□ 是□否其他信息摘要解决了原系统问题有无产生新问题□ 有□无此补丁有无更新必要□ 有□无此补丁是否具有推广更新必要□ 是□否确认人:确认日期:复审人签字:复审日期:.日志综合检查表检查时间:年月日检查人:复查时间:年月日复查人:检查项检查结果情况摘要完成情况解决办法备注□ 日志服务器设备日志□ 正常□ 不正常□已上报□ 已解决□ 防火墙自动记录日志□ 正常□ 不正常□已上报□ 已解决□ 应用服务器记录日志□ 正常□ 不正常□已上报□ 已解决注:主要检查日志有无缺失,有无严重及以上级别的警报,警告内容记录等其他各类异常情况;复查由信息安全员完成。
检查时间:年月日检查人:复查时间:年月日复查人:检查项检查结果情况摘要完成情况解决办法备注□ 日志服务器设备日志□ 正常□ 不正常□已上报□ 已解决□ 防火墙自动记录日志□ 正常□ 不正常□已上报□ 已解决□ 应用服务器记录日志□ 正常□ 不正常□已上报□ 已解决注:主要检查日志有无缺失,有无严重及以上级别的警报,警告内容记录等其他各类异常情况;复查由信息安全员完成。
检查时间:年月日检查人:复查时间:年月日复查人:检查项检查结果情况摘要完成情况解决办法备注□ 日志服务器设备日志□ 正常□ 不正常□已上报□已解决□ 防火墙自动记录日志□ 正常□ 不正常□已上报□已解决□ 应用服务器记录日志□ 正常□ 不正常□已上报□已解决注:主要检查日志有无缺失,有无严重及以上级别的警报,警告内容记录等其他各类异常情况;复查由信息安全员完成。
.机房综合巡检表检查时间:年月日检查人:一、机房环境检查项检查结果情况摘要检查项检查结果情况摘要温度□正常□不正常湿度□ 正常□不正常痕迹□正常□不正常清洁□ 正常□不正常异响□正常□不正常异味□ 正常□不正常注:痕迹检查地面、墙壁、天花是否有裂痕、水渍;机房内是否有鼠患、蚁患、蟑螂等活动的痕迹。