信息安全管理制度-模板
信息系统安全管理制度范文(5篇)
信息系统安全管理制度范文第一章总则第一条为保证本单位信息系统的操作系统和数据库系统的安全,根据《____计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。
第二条本制度适用于本单位____部门及所有系统使用部门和人员。
第三条____部门是本单位系统管理的责任主体,负责____单位系统的维护和管理。
第二章系统安全策略第四条____部门负责单位人员的权限分配,权限设定遵循最小授权原则。
1)管理员权限。
维护系统,对数据库与服务器进行维护。
系统管理员、数据库管理员应权限分离,不能由同一人担任。
2)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。
3)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。
4)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。
第五条加强____策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。
用户使用的口令应满足以下要求:-____个字符以上;-使用以下字符的组合。
a-z、a-z、0-9,以及。
@#$%^&____-+;-口令每三个月至少修改一次。
第六条定期____系统的最新补丁程序,在____前进行安全测试,并对重要文件进行备份。
第七条每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。
第八条关闭信息系统不必要的服务。
第九条做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。
第三章系统日志管理第十一条对于系统重要数据和服务器配值参数的修改,必须征得____领导批准,并做好相应记录。
第十二条对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内容等详细信息。
第十三条审计日志应包括但不局限于以下内容。
包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。
信息安全管理规范和保密制度范例(6篇)
信息安全管理规范和保密制度范例信息安全保密管理制度第一条为处理网站信息资源发布过程中涉及的办公____信息和业务____信息,特制定本制度。
第二条网站应建立规范的信息采集、审核和发布机制,实行网站编辑制度。
第三条各部门要设立网站信息员负责向网站编辑报送本部门需要公开发布的信息。
第四条策划部网络信息组负责指导全公司各部门网站信息员的保密技术培训,落实技术防范措施。
第五条凡需要发布上网的信息资源必须遵循“谁发布,谁负责;谁主管,谁管理”的原则。
第六条各部门要有一名领导主管此项工作。
要指定专人负责上网信息的保密检查,落实好保密防范措施,定期对本部门网站信息员进行保密教育和管理。
第七条拟对外公开的信息,必须经本部门分管负责人____同意并对上传的内容进行登记建档后方可发布上网,重要信息还需经公司____管理小组审核确认。
第八条对互动性栏目要加强监管,确保信息的健康和安全。
以下有害信息不得在网上发布1、____宪法所确定的基本原则的;2、危害国家安全、泄露国家____、____、破坏国家统一的;3、损害国家荣誉和利益的;4、煽动民族仇恨、民族歧视、____的;5、破坏国家____政策,宣扬____和封建迷信的;6、散布谣言,扰乱社会秩序,破坏社会稳定的;7、散布____秽、____、____、____、凶杀、____或教唆犯罪的;8、侮辱或者诽谤他人,侵害他人的合法权益的;9、含有法律、行政法规禁止的其他内容的。
第九条网站必须设置不良信息过滤程序对信息进行甄别、筛选、把关,防止虚假、反动、____秽信息发布到网上。
第2页共2页第十条公司____信息一律不得在与国际网络连接的计算机系统中存储、处理和传输。
第十一条网站应当设置网站后台管理及上传的登录口令。
口令的位数不应少于____位,且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。
严禁将各个人登录帐号和____泄露给他人使用。
第十二条网站应当设置合理的管理权限。
信息安全管理制度模板
一、总则为了加强公司信息安全管理,确保公司信息安全,预防信息泄露和网络安全事件,提高公司信息安全防护能力,特制定本制度。
二、适用范围本制度适用于公司内部所有员工、合作伙伴、供应商等与公司业务相关的单位和个人。
三、组织架构1. 信息安全领导小组:负责制定、监督和实施公司信息安全政策、制度及措施。
2. 信息安全管理部门:负责具体实施信息安全管理工作,包括信息安全风险评估、安全事件处理、安全意识培训等。
3. 各部门负责人:负责本部门信息安全工作的组织、协调和监督。
四、信息安全管理制度1. 信息安全风险评估(1)公司应定期对信息系统、网络、设备、数据等进行风险评估,确定安全风险等级。
(2)根据风险评估结果,制定相应的安全防护措施。
2. 网络安全(1)禁止未经授权的访问公司内部网络。
(2)禁止在公司内部网络中传播、存储、使用恶意软件。
(3)禁止使用公司网络进行非法活动。
3. 数据安全(1)对公司内部数据进行分类管理,确保数据安全。
(2)对敏感数据进行加密存储和传输。
(3)禁止未经授权的访问、复制、泄露公司内部数据。
4. 用户管理(1)用户需按照规定申请账号,并妥善保管账号密码。
(2)定期更换账号密码,确保账号安全。
(3)离职员工账号应立即注销或变更密码。
5. 安全意识培训(1)公司应定期组织信息安全意识培训,提高员工安全意识。
(2)新员工入职前应进行信息安全培训。
6. 安全事件处理(1)发现安全事件时,应立即向信息安全管理部门报告。
(2)信息安全管理部门应按照规定程序处理安全事件。
(3)对安全事件进行总结,完善信息安全管理制度。
五、监督检查1. 信息安全领导小组负责对公司信息安全工作进行监督检查。
2. 信息安全管理部门定期对各部门信息安全工作进行检查,发现问题及时整改。
3. 员工有义务监督公司信息安全工作,发现问题及时报告。
六、奖惩1. 对在信息安全工作中表现突出的个人和部门给予表彰和奖励。
2. 对违反本制度的行为,视情节轻重给予警告、罚款、解除劳动合同等处罚。
个人信息保护管理制度模板
个人信息保护管理制度模板一、目的和适用范围1.1 目的:确保公司在收集、处理、存储和传输个人信息时,遵守相关法律法规,保护个人隐私权益,维护公司声誉和客户信任。
1.2 适用范围:本制度适用于公司内所有涉及个人信息处理的部门和员工。
二、定义2.1 个人信息:指以电子或其他方式记录的,能够单独或与其他信息结合识别特定自然人身份或涉及个人隐私的各种信息。
三、组织机构与职责3.1 成立个人信息保护委员会,负责制定和更新个人信息保护政策,监督执行情况。
3.2 各部门负责人需确保本部门遵守个人信息保护制度,并定期对员工进行培训。
四、信息收集与使用原则4.1 最小化原则:仅收集为实现特定目的所必需的个人信息。
4.2 合法性原则:收集和使用个人信息应基于用户的明确同意。
4.3 透明性原则:用户应清楚了解其个人信息如何被收集、使用和共享。
五、个人信息的收集5.1 收集个人信息前,需明确告知用户收集的目的、方式和范围,并获取用户同意。
5.2 收集的信息应准确记录,并确保信息的真实性和合法来源。
六、个人信息的处理和存储6.1 对个人信息进行处理时,应采取必要的安全措施,防止信息泄露、篡改或丢失。
6.2 个人信息的存储期限应符合法律法规要求,超出存储期限的信息应及时删除或匿名化处理。
七、个人信息的共享、转让和公开7.1 未经用户同意,不得向第三方共享、转让或公开个人信息。
7.2 在法律要求的情况下,公司应按照法定程序提供个人信息。
八、信息安全8.1 公司应定期对个人信息保护措施进行安全评估和风险分析。
8.2 发现个人信息安全事件时,应立即启动应急预案,并及时通知受影响的个人和相关监管机构。
九、用户权利9.1 用户有权查询、更正、删除其个人信息,并可要求公司说明信息处理的具体情况。
十、监督管理10.1 公司应设立监督机制,确保个人信息保护制度的有效执行。
10.2 对违反个人信息保护制度的员工,公司将依法依规进行处理。
十一、附则11.1 本制度自发布之日起生效,由个人信息保护委员会负责解释。
信息安全人员管理制度模板
信息安全人员管理制度模板一、目的为了加强信息安全管理,确保公司信息资产的安全和完整,防止信息泄露、滥用或破坏,特制定本管理制度。
二、适用范围本制度适用于公司内所有参与信息安全管理和操作的员工,包括但不限于IT部门、人力资源部门、财务部门等。
三、职责与权限1. 信息安全负责人:负责制定和更新信息安全政策,监督信息安全管理制度的执行。
2. IT部门:负责实施信息安全技术措施,管理网络和系统安全。
3. 各部门负责人:负责确保本部门遵守信息安全管理制度,并对部门内的信息安全负责。
四、信息安全管理原则1. 最小权限原则:员工仅获得完成工作所必需的信息访问权限。
2. 保密性原则:所有员工必须对公司的敏感信息保密。
3. 完整性原则:确保信息在传输和存储过程中的准确性和一致性。
4. 可用性原则:确保授权用户能够及时访问所需的信息资源。
五、信息安全操作规程1. 密码管理:定期更换密码,不使用默认密码,不共享密码。
2. 访问控制:对敏感信息设置访问限制,记录和监控所有访问尝试。
3. 数据备份:定期对重要数据进行备份,并确保备份数据的安全存储。
4. 防病毒和防恶意软件:安装和更新防病毒软件,定期扫描系统。
5. 物理安全:限制对服务器房和其他关键区域的物理访问。
六、信息安全培训1. 新员工入职时必须接受信息安全培训。
2. 定期对所有员工进行信息安全意识提升培训。
七、信息安全事件处理1. 任何信息安全事件必须立即报告给信息安全负责人。
2. 信息安全负责人负责评估事件严重性,并采取相应的应对措施。
八、违规处理违反信息安全管理制度的员工将根据情节轻重受到警告、罚款或解雇等处罚。
九、制度修订本管理制度由信息安全负责人负责定期审查和更新,以适应信息安全环境的变化。
十、附则1. 本制度自发布之日起生效。
2. 本制度的解释权归公司所有。
请根据公司实际情况调整上述模板内容,确保其符合公司的具体需求和法律法规要求。
项目信息安全管理制度-模板精选全文
第一章精选全文完整版第一章总则第一条为规范公司项目管理过程的信息安全,明晰项目管理过程的信息安全中信息安全职责特制定本制度。
第二条本制度适用于公司ISMS体系的项目管理过程中信息安全的管理。
第二章项目管理中的安全职责第三条在项目管理中项目经理应承担如下责任:1)分析公司及与项目相关的法律法规的信息安全需求及项目信息安全风险,在此基础上制定有针对性的风险处置计划。
2)对项目成员进行信息安全的培训。
3)对项目信息安全管理制度的执行进行监控并记录。
4)对安全问题进行定期汇报,并对信息安全事件进行及时上报。
5)进行持续的风险识别过程,根据实施过程中识别出的新的风险、发现的问题或变更对风险处置计划进行改进或更新。
第四条网络安全与信息化领导小组办公室应对项目经理拟定的风险处置计划进行审批,确保计划满足公司信息安全的需求。
对整个项目的信息安全管理工作进行监控和指导。
对安全事件及时上报,所有信息安全事件应第一时间上报到网络安全与信息化领导小组。
第三章项目启动期信息安全第五条分析安全需求及识别风险1)项目经理根据项目的具体情况,分析项目的安全要求及相关风险。
2)项目经理负责识别信息安全风险,识别风险时应考虑:●风险发生可能带来的业务影响和后果。
●风险发生的现实可能性。
●资产的主要威胁、脆弱点和影响以及已经实施的安全控制措施。
通过风险识别,把相应风险记录到《风险评估列表&风险处置》第六条制定风险处置计划项目经理根据可接受风险的准则判断是否可以接受,针对不可接受的风险制订相关的风险处置计划,经批准后执行,风险处置计划记录到《风险评估列表&风险处置》中。
处置措施应考虑技术措施和管理措施。
第七条信息安全要求培训项目经理必须对项目成员进行项目信息安全要求的培训,培训内容为项目的信息安全风险、注意事项及要求。
维护类项目如有责任工程师,责任工程师必须参加培训。
对于软件实施类项目,项目实施组成员必须参加培训。
对于持续时间较长的项目,项目信息安全要求培训至少每年一次。
信息安全管理规范和保密制度范例(5篇)
信息安全管理规范和保密制度范例一、引言信息安全是指确保信息系统及其中所储存、传输、处理的信息免受未经授权的访问、利用、披露、干扰、破坏的状态和措施。
为了保障公司的重要信息安全和防止机密信息外泄,制定本信息安全管理规范和保密制度。
二、信息安全管理规范1.信息安全责任1.1 公司将建立信息安全管理委员会,负责信息安全相关工作的决策和监督。
1.2 公司将指定信息安全管理负责人,负责协调和推动信息安全工作。
1.3 公司全体员工要遵守信息安全管理规定,保护公司的信息资产安全。
1.4 公司将定期组织信息安全教育培训,提高员工的信息安全意识。
1.5 公司将建立信息安全应急响应机制,及时应对和处置信息安全事件。
2.信息资产保护2.1 公司将对重要信息资产进行分类并制定相应的安全防护级别。
2.2 公司将对信息资产进行全面的风险评估和安全审计,及时发现和解决存在的安全问题。
2.3 公司将使用合法、正版的软件和硬件设备,确保信息系统的安全稳定运行。
2.4 公司将建立信息备份和恢复制度,保障关键数据的安全和可靠性。
3.网络安全保护3.1 公司将建立网络安全防护体系,包括网络入侵检测系统、防火墙等安全设备的部署和维护。
3.2 公司将加强对内网和外网的访问控制管理,设置严格的权限控制和身份认证机制。
3.3 公司将定期进行网络安全漏洞扫描和安全测试,及时修复和升级系统漏洞。
3.4 公司将对互联网上的敏感信息进行加密和传输安全保护,防止信息泄露和篡改。
4.应用系统安全4.1 公司将建立应用系统开发和运维的安全标准和流程,确保系统的安全可靠。
4.2 公司将对应用系统进行安全审计,确保系统没有存在潜在的安全漏洞。
4.3 公司将建立合理的访问控制策略,限制用户的操作权限和数据访问权限。
4.4 公司将加强对程序代码的安全审查,防止恶意代码的注入和攻击。
5.员工行为管理5.1 公司将制定员工信息安全管理章程,明确各级员工的信息安全责任和义务。
信息安全管理规范和保密制度样本(5篇)
信息安全管理规范和保密制度样本____公司信息安全保密管理制度为加强____公司信息安全及保密管理,维护公司利益,根据国家有关法律、法规,结合我公司实际情况,制定本规定。
1、新员工到岗需开通软件帐号及权限指定由所在部门主管提报,分管副总批准后,交信息部给予开通。
2、各部门主要负责人、____是本部门信息安全的第一责任人,监督本部门工作中所用到的办公电脑及软件的帐号____的安全,做到管理到位、责任到人。
3、公司员工不允许将公司“软件用户信息和____”告知他人。
如若违反该规定,给公司造成重大经济损失,公司将追究其相应的法律责任和经济责任。
并立即解除劳动合同。
4、各部门人员如需要开通现有权限以外的授权,需先写书面申请提报部门负责人审批,并上报分管副总签字后至信息开通权限。
5、各部门如有人员离职,人事部需告知信息部将此人员的帐号冻结(帐号冻结后在系统内将无法正常使用),为保证当月财务、仓库及信息部的单据追溯及核算同时确保信息的数据准确、完整及安全,此帐号将在次月月底注销。
6、各部门对于对外发布的数据库信息,需要严格控制录入、查询和修改的权限,并且对相应的技术操作进行记录。
一旦发生问题,可以有据可查,分清责任。
7、对于安全性较高的信息,需要严格管理。
无论是纸张形式还是电子形式,均要落实到责任人。
严禁将工作中的数据文档带离办公室。
8、除服务器的自己raid备份外,信息部还要每周对数据进行二次备份,备份的资料必须有延续性。
9、如涉及到服务器托管的操作模式时,对于isp的资格和机房状况,信息部要实地考察。
确认其机房的各项安全措施已达到国家规定的各项安全标准;确认isp供应商的合法性。
10、与主机托管的isp供应商签订正式合同。
分清各自的权利和责任,为信息安全保密提供一个可靠的外部环境。
11、公司在年初支出预算中,需要将用于“信息安全保密”的软件费用、硬件费用、技术人员培训费用考虑在内,做到专款专用。
12、信息部(技术保障部)应当保障公司的计算机及其相关的配套设备、设施的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度保密等级:内部公开版本/版次: 1.0编制日期审核日期审查日期批准日期文件修订履历表信息安全管理制度1 目的为满足业务运行要求,遵守国家法律法规,实施信息安全风险管理,确保信息安全以及实现持续改进的目的,特制定此制度。
2 范围本制度适用于xxx有限公司(以下简称xxx集团或集团)信息安全整体工作,在集团范围内给予执行。
3 职责3.1 最高管理者在公司的战略层面统筹推进两化融合。
3.2 管理者代表提出本公司的两化融合相关决策建议。
4 引用文件无5 信息安全建设和管理5.1组织架构5.2 人员安全管理5.2.1 人力资源管理部门负责人员安全管理,应建立以员工为中心的人力资源管理策略。
5.2.2 人员聘用时需明确员工信息安全责任,人力资源部门必须在新员工入职一个月内组织一次信息安全培训,并且每年定期组织一次针对全体员工的信息安全培训和宣导,提高员工的商业秘密保护意识。
5.2.3 员工离职时须严格按照离职流程进行,各交接人应该负责交接信息的安全处理,以确保相关信息资料的不外泄。
5.2.4 信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在岗位职责中应明确对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
5.3 信息安全风险评估5.3.1 集团每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。
5.3.2 信息资源管理部负责组织成立风险评估小组。
5.3.3 风险评估小组组长负责进行信息安全风险评估的策划,风险评估小组按策划进行风险评估。
5.3.4 集团各部门负责按规定进行风险处理,并定期输出《xx信息安全风险评估报告》。
5.3.5 当集团发生以下情况时需及时进行风险评估:1)当发生重大信息安全事故时;2)当信息网络系统发生重大更改时;3)管理者代表确定有必要时。
5.3.6 与外部公司签订合约时应进行信息安全风险评估;5.4 信息安全事件报告和协查5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。
5.4.2 加强值班管理及时发现信息,安全事件和隐患。
5.4.3 一旦发现信息安全案事件,应详细、如实记录事件经过,保存相关日志,并形成相应分析报告,并及时通知有关人员,并与公安部门取得联系。
5.5.4 进行网络违法案件及其他信息安全检查时,有关人员必须积极配合。
5.5 知识产权保护5.5.1 集团从正当渠道获取各类专利、专有技术和正版软件,以保证著作人的版权和知识产权不受侵害。
5.5.2 集团员工应遵守从互联网获得软件和信息的条款规定。
5.5.3 法律、法规和合同约定的要求有限制内容的,集团员工除非得到授权的许可,否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制其文档内容。
5.5.4 集团各部门保留各类专利、专有技术、软件的授权文件(证书)、软件母盘及手册等证明和证据。
5.5.5 集团在授权范围内使用经授权的专利或专有技术,并采取必要的技术和管理手段,尽一切努力保护其所有人的合法权益不受第三方侵害。
5.6 密码安全管理规定集团所有计算机、服务器、网络交换机等IT设备与信息系统必须按本规定要求设置相关密码。
5.6.1 用户的个人办公账号必须按照要求设置初始密码,用户必须在首次使用时更改密码并妥善保管,不得散发或与他人共享。
5.6.2 用户密码的设置不应少于10位,最好包含大小写字母、数字和特殊字符。
5.6.3 信息系统管理员密码长度至少要求10位,必须包含字母、数字与特殊字符。
5.6.4 服务器、防火墙、路由器、交换机、网络负载等重要IT设备的超级管理员密码长度应在12位以上,且必须包含字母、数字与特殊字符。
5.6.5 以上所有密码均不能使用姓名的汉语拼音、生日,重复、顺序、规律数字、工号和常见的英文单词等容易猜测的数字和字符串。
5.6.6 以上所有密码,每三个月定期更改,以增强密码的安全性。
5.6.7 服务器、防火墙、路由器、交换机、网络负载等重要设备的超级管理员密码由系统管理员自行保存,严禁将密码转告他人;若因工作需要必须转告,应由信息资源管理部负责人审批;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。
5.7 机房安全管理5.7.1 服务器及网络设备相关管理人员应尽量通过远程连接方式对服务器端进行维护,减少进入机房操作。
5.7.2 对于已获得批准进入机房的外来技术人员,相关设备负责人需对其工作内容进行规范及管控。
5.7.3 进入机房工作人员应恪守保密原则,不得泄露机房各种信息资料与数据。
5.7.4 外来人员对各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经相关系统负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档,受访部门负责相应安全责任。
5.7.5 在机房设安全监控探头,并进行全天监视和录像,安全监控录像信息的保存周期为90天。
5.7.6 机房内应配备温度计,机房管理人员应每天关注温度的变化,做好机房的防潮、防湿、防高温工作,一般情况下,当机房的温度超过28摄氏度的话,则应开启降温设备做好降温工作。
5.7.7 机房管理人员定期检查机房线路、消防器材、火灾自动报警、火灾自动灭火系统等消防设施,保证其状态良好。
5.8 计算机安全管理5.8.1 任何人不允许私自拆卸计算机及增减组件。
5.8.2 下班后所有不再使用的计算机,应关闭主机及显示器,对于公共的计算机,原则上由最后一个使用人员关机,并关闭电源。
外来人员不得操作公司计算机。
5.8.3 员工离开工作岗位时应立即用带密码的计算机屏幕保护锁定计算机。
5.8.4 操作系统由集团统一提供,禁止安装使用其它来源的操作系统,特别是未经授权的非法拷贝。
5.8.5 集团提供的全部软件仅限于员工完成工作所使用;未经许可,不得将集团购买或开发的软件擅自提供给第三方。
5.8.6 计算机必须打开操作系统自带防火墙,使用人员不得私自改变计算机的安全配置,不得私自以任何方式接入互联网,不得从事危害网络秩序、网络安全的活动。
5.9 服务器安全管理5.9.1 集团所有服务器必须严格按照密码安全管理规定设置开机密码、系统登陆密码、以及带密码的屏幕保护。
5.9.2 集团所有服务器应按照信息资源管理部相关安全技术规范来设置安全策略,策略设定后要进行有效性检查,确保有效执行。
5.9.3 服务器日常操作和维护由系统管理人员负责,未经许可其他人不得对服务器进行操作。
5.9.4 为了保证服务器的运行效能和安全,只允许安装压缩、杀毒等必要的应用软件,严禁安装游戏、聊天工具等与系统无关的软件。
5.9.5 系统管理人员定期对服务器进行巡检,发现服务器有严重错误或黑客入侵等行为,必须立即采取措施进行处理。
5.9.6 服务器的关键信息及重要数据应定期备份,确保系统一旦发生故障时能够快速恢复。
5.9.7 原则上不允许在个人电脑上共享公司有商业价值的重要文件或在部门公共盘上存放有商业价值的重要文件。
5.10 网络安全管理5.10.1 集团所有网络设备密码必须严格按照密码安全管理规定执行。
5.10.2 未经信息资源管理部批准,任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数。
5.10.3 网络管理人员定期对网络、系统、线路和设备的运行情况进行统计分析,优化网络性能,保证系统和设备运行正常、完好。
5.10.4 定期进行网络安全漏洞扫描,及时发现网络漏洞,及时进行整改。
5.10.5 网络管理人员通过技术手段对集团网络进行不间断监控,及时发现和拒绝不安全的操作以及黑客攻击行为,阻止网络内外的入侵。
5.10.6 网络管理人员每个季度对路由器、防火墙、安全监控系统的安全策略进行一次审查和必要的修改,并对配置文件进行备份保存,以确保安全策略的完整性和一致性。
5.10.7 网络优化、安全策略调整、或网络设备新增时,必须经过详细研究讨论和全面测试,并要通过安全方案审核,确保网络系统的安全和正常运行。
5.10.8 禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给无关人员或向外随意传播。
5.11 计算机病毒防治5.11.1 集团所有计算机及服务器必须统一安装经信息资源管理部批准的企业防病毒软件。
5.11.2 防病毒软件由信息资源管理部根据集团网内病毒和黑客软件的入侵、处理和分布情况,调整管理策略和配置,并及时下发策略。
5.11.3 禁止用户私自禁用或绕开企业防病毒软件。
5.11.4 企业防病毒软件不能自动清除并引起安全事故的病毒,应及时上报IT运维人员及信息资源管理部。
5.11.5 防病毒服务器是防病毒体系关键部分,须建立巡检制度,系统管理人员每天检查服务器状态,病毒定义码以不超过7天为准,并检查客户端分发状态。
5.11.6 集团各部门/各分支机构计算机接受防病毒服务器的管理,在每次开机时自动从防病毒服务器上下载最新病毒库。
5.11.7 计算机设备保管人应定期检查防病毒软件安装及病毒库的升级情况。
5.11.8 用户在使用任何电子媒介前都应对其进行病毒扫描,对发现病毒的电子媒介应禁用,病毒清除后方可使用,对不能清除的病毒,应及时上报信息资源管理部。
5.11.9 用户应在计算机启动后需检查是否已启动病毒实时监测系统,如未启动,应在进行其他操作前启动病毒实时监测系统。
5.12 信息系统安全管理5.12.1 信息系统投运前,信息资源管理部要掌握有关设备所提供的各种系统监控、维护工具,并检查其安全性和完整性。
5.12.2 为保障信息系统正常运行,由信息资源管理部指定专人(系统管理员)负责信息系统的应用及数据库管理,包括对程序、硬件、网络、操作系统等的安装、修正、备份等操作。
5.12.3 信息系统管理员建立系统维护记录,实行维护过程登记。
对故障的发生时间、表现与频率、解决方法、结果进行详细记录,形成专门的系统管理维护记录。
5.12.4 信息系统需求变更应当严格遵照管理流程进行操作。
信息系统管理员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变信息系统环境配置。
5.12.5 根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度。
5.12.6 集团所有信息系统只限于集团内部使用,严禁将信息系统软件以任何形式调用、出借、挪用给该范围以外的任何单位或个人。
5.12.7 定期对信息系统中的数据进行备份,以便服务器发生故障时,能启用备份恢复数据到最近状态。
需备份的数据包括:应用程序备份、数据库备份。
备份方式包括每日系统自动备份、系统管理员不定期储存备份。