网络数据和信息安全管理规范
网络信息安全管理中心人员的数据安全使用规定
网络信息安全管理中心人员的数据安全使用规定为了加强网络信息安全管理,保障中心数据的安全与合规,所有中心人员必须遵守以下数据安全使用规定。
一、数据安全意识1. 培训与教育:所有中心人员应定期接受数据安全与隐私保护的培训,提高数据安全意识。
2. 持续关注:关注最新的数据安全法律法规和技术发展,及时调整中心的安全策略。
二、数据访问管理1. 最小权限原则:根据工作需求,为员工分配最小必要的数据访问权限。
2. 权限审批:任何数据的访问权限调整,需经过相关负责人审批。
3. 访问记录:记录所有数据访问行为,便于事后审计和追踪。
三、数据保护措施1. 数据加密:对敏感数据进行加密存储和传输。
2. 数据备份:定期备份重要数据,确保数据可在遭受攻击或意外事故时迅速恢复。
3. 安全审计:实施数据安全审计,监控数据访问和使用情况。
四、数据处理规范1. 数据分类:根据数据的敏感程度进行分类管理。
2. 数据处理规范:在处理各类数据时,必须遵守相应的操作规范和流程。
3. 违规处理:对违反数据处理规范的行为,应立即进行调查并采取相应措施。
五、数据泄露应对1. 应急预案:制定数据泄露应急预案,确保在事件发生时能够迅速响应。
2. 及时报告:一旦发现数据泄露,应立即向上级报告并启动应急预案。
3. 调查与改进:对数据泄露事件进行调查,分析原因,采取措施避免类似事件再次发生。
六、物理安全1. 访问控制:中心应实施严格的物理访问控制,确保未经授权的人员无法接触敏感区域。
2. 监控系统:安装并维护视频监控和入侵检测系统,保障中心物理安全。
七、违规处罚1. 违规定义:任何违反本规定的行为均视为违规。
2. 处罚措施:根据违规严重程度,对相关人员进行警告、停职或解雇等处罚。
八、规定更新1. 定期审查:本规定至少每年审查一次,根据法律法规变化和技术发展进行更新。
2. 通知与培训:更新后的规定应及时通知所有中心人员,并进行相关培训。
所有中心人员应严格遵守本规定,共同维护网络信息安全管理中心的 data 安全。
数据信息安全管理制度规范
第一章总则第一条为加强数据信息安全管理工作,保障公司数据资源的安全,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司内部所有涉及数据信息处理、存储、传输、使用和销毁的部门和个人。
第三条公司数据信息安全管理工作遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 数据分类分级保护;4. 依法合规、持续改进。
第二章数据分类与分级第四条公司数据按照重要性、敏感性、影响程度等要素进行分类分级。
第五条数据分类分为以下类别:1. 一类数据:涉及国家秘密、商业秘密和个人隐私的数据;2. 二类数据:涉及公司核心业务、重要资产和关键技术的数据;3. 三类数据:涉及一般业务、普通资产和一般技术的数据。
第六条数据分级分为以下级别:1. 一级数据:高度敏感,一旦泄露可能造成严重后果的数据;2. 二级数据:较敏感,一旦泄露可能造成一定后果的数据;3. 三级数据:一般敏感,一旦泄露可能造成轻微后果的数据。
第三章数据安全防护措施第七条数据安全防护措施包括:1. 物理安全:确保数据存储设备、传输线路、网络设备等物理设施的安全;2. 网络安全:加强网络安全防护,防止黑客攻击、病毒入侵等安全事件;3. 应用安全:加强应用系统安全防护,防止系统漏洞、恶意代码等安全风险;4. 数据安全:对数据进行加密、脱敏、备份等处理,确保数据安全;5. 人员安全:加强员工安全意识教育,规范员工操作行为。
第八条数据访问控制:1. 建立数据访问权限管理制度,明确数据访问权限;2. 实施最小权限原则,确保用户只能访问其工作职责范围内的数据;3. 定期审查数据访问权限,及时调整和撤销不必要的访问权限。
第四章数据安全事件处理第九条发生数据安全事件时,应立即启动应急预案,采取以下措施:1. 停止数据泄露或损失;2. 分析事件原因,确定影响范围;3. 及时采取措施,防止事件扩大;4. 向相关管理部门报告,依法依规处理。
公司网络与信息安全管理规定
公司网络与信息安全管理规定为了维护公司的网络和信息安全,保护公司的经营利益和员工的个人隐私,制定本公司网络与信息安全管理规定。
本规定适用于公司内部所有员工、承包商和外来访客。
1. 网络访问权限公司网络只提供给有授权的员工使用,禁止未经授权的人员私自接入公司网络。
所有员工必须使用自己的个人账号进行登录,并且不得将账号信息透露给他人。
对于离职或岗位变动的员工,应及时关闭其账号。
同时,访客需经过身份验证和授权才能接入公司网络。
2. 密码安全公司要求所有员工设置强密码,密码中至少包括大小写字母、数字和特殊字符,并定期更换密码。
禁止员工将密码泄露给他人,包括通过邮件、消息或者口头交流。
为了保证密码安全,公司鼓励员工使用密码管理软件,并且不得使用与个人相关的信息(如生日、姓名等)作为密码。
3. 数据备份和恢复公司对存储在网络中的重要数据进行定期备份,以防止数据丢失或者损坏的情况发生。
同时,员工也要定期备份重要工作文件,确保数据的安全性和完整性。
在数据丢失或损坏时,员工应及时向IT部门报告,并积极配合恢复数据的工作。
4. 病毒和恶意软件防护所有公司电脑和移动设备必须安装并定期更新杀毒软件,以及其他必要的安全防护程序。
员工在接收到来自未知或可疑来源的文件、链接或软件时,应立即向IT部门报告并不予打开。
禁止员工私自下载并安装未经授权的软件或插件。
5. 网络通信和社交媒体在使用公司网络通信工具、电子邮件及社交媒体时,员工需遵守公司的相关规定。
严禁通过公司网络传播任何违法、色情、暴力或其他不良信息。
员工在发布或转发公司信息时,应确保信息的准确性和合法性,同时注意保护公司商业秘密和客户隐私。
6. 个人隐私保护公司保护员工的个人隐私,禁止员工非法获取或披露他人的个人信息。
在处理员工个人信息时,公司将遵循相关的法律法规,并采取必要的安全措施防止信息泄露。
员工也应妥善保管自己的个人信息,不得将其透露给他人。
7. 网络监控为了确保网络和信息安全,公司将进行必要的网络监控,包括但不限于网络活动记录、设备日志和访问控制。
网络与信息安全管理制度8篇
网络与信息安全管理制度8篇网络与信息安全管理制度【篇1】第一条所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。
任何单位和个人不得利用连网计算机从事危害城域网及校园网防火墙、路由器、交换机、服务器等网络设备的活动。
不得在网络上制作、发布、传播下列有害内容:(一)泄露国家秘密,危害国家安全的;(二)违反国家民族、宗教与教育政策的;(三)煽动暴力,宣扬封建迷信、邪教、黄色淫秽,违反社会公德,以及赌博、诈骗和教唆犯罪的;(四)公然侮辱他人或者捏造事实诽谤他人的,暴露个人隐私和攻击他人与损害他人合法权益的;(五)散布谣言,扰乱社会秩序,鼓励聚众滋事的;(六)损害社会公共利益的;(七)计算机病毒;(八)法律和法规禁止的其他有害信息。
如发现上述有害信息内容,应及时向三门县教育局现代教育中心或上级主管部门报告,并采取有效措施制止其扩散。
第二条在网站上发现大量有害信息,以及遭到黑客攻击后,必须在12 小时内向三门县教育局现代教育中心及公安机关报告,并协助查处。
在保留有关上网信息和日志记录的前题下,及时删除有关信息。
问题严重、情况紧急时,应关闭交换机或相关服务器。
第三条任何单位和个人不得在校园网及其连网的计算机上收阅下载传递有政治问题和淫秽色情内容的信息。
第四条所有接入网络的用户必须对提供的信息负责,网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。
对于运行无合法版权的网络软件而引起的版权纠纷由使用部门(个人)承担全部责任。
第五条严禁在网络上使用来历不明、引发病毒传染的软件,对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。
第六条认真执行各项管理制度和技术规范,监控、封堵、清除网上有害信息。
为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。
重要网络设备必须保持日志记录,时间不少于180 天。
第七条上网信息管理坚持“ 谁上网谁负责、谁发布谁负责” 的原则。
网络及信息安全管理制度
网络及信息安全管理制度第一章总则第一条为规范公司网络及信息安全管理工作,保障公司网络系统的正常运行和信息安全,根据国家相关法律法规,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有员工,包括正式员工、实习生、临时员工等,以及与公司网络及信息安全相关的所有活动。
第三条公司网络及信息安全管理工作应坚持“预防为主、综合治理”的原则,确保网络系统的稳定性、可用性和安全性。
第二章网络使用管理第四条公司员工应严格遵守国家法律法规和公司网络使用规定,不得利用公司网络从事违法、违规活动。
第五条员工应妥善保管个人账号和密码,不得将账号借给他人使用,也不得尝试获取他人的账号信息。
第六条员工应合理使用网络资源,不得下载、传播违法、违规信息,也不得进行大量占用网络带宽的行为。
第七条未经公司批准,员工不得私自接入外部网络设备或私自更改网络配置。
第三章信息安全保护第八条公司应建立健全信息安全保护体系,包括物理安全、网络安全、系统安全、应用安全和数据安全等方面。
第九条公司应定期对网络系统进行安全检查和评估,及时发现和修复安全隐患。
第十条公司应制定并执行严格的数据备份和恢复策略,确保数据的完整性和可用性。
第十一条员工应严格遵守公司保密规定,不得泄露公司机密信息,也不得将敏感数据外泄或用于个人用途。
第十二条对于涉及敏感信息的数据处理和存储,应采取加密、访问控制等安全措施。
第四章应急响应与处置第十三条公司应建立网络安全应急响应机制,明确应急响应流程和责任人,确保在发生网络安全事件时能够迅速响应和处置。
第十四条员工发现网络安全事件或异常情况时,应立即报告给相关部门或负责人,不得隐瞒或私自处理。
第十五条对于发生的网络安全事件,公司应组织专门团队进行调查和分析,查明原因并采取相应的纠正和预防措施。
第五章监督与考核第十六条公司应设立专门的网络安全管理部门或岗位,负责网络及信息安全管理制度的制定、执行和监督。
第十七条公司应定期对员工的网络及信息安全意识进行培训和教育,提高员工的安全意识和技能。
IT部信息安全管理与网络设备使用规范
IT部信息安全管理与网络设备使用规范在现代信息技术高度发达的背景下,信息安全管理以及网络设备使用规范成为IT部门不可忽视的重要课题。
本文将探讨IT部门在信息安全管理和网络设备使用方面的规范要求,旨在确保企业网络环境的安全稳定运行。
一、信息安全管理规范1. 密码安全首先,IT部门应制定并严格执行密码安全规范。
包括但不限于以下要求:(1)密码复杂度要求:密码应包含至少8位字符,包括大写和小写字母、数字以及特殊字符;(2)定期更改密码:用户密码应定期更改,建议每3个月更换一次;(3)禁止共享密码:严禁用户将密码共享或泄露给他人,用户需对自己的账号和密码的安全负责。
2. 系统访问控制为确保系统的安全性,IT部门需建立健全的系统访问控制规范,包括但不限于以下方面:(1)权限管理:根据岗位职责和业务需求,将用户划分为不同的权限组,且权限应按需授权,严禁赋予不必要的权限;(2)访问日志记录:系统应具备完善的访问日志记录功能,记录用户的登录和操作行为,以便日后审计和追责;(3)远程访问控制:对于需要远程访问的用户,应采取额外的安全措施,如VPN等加密通道进行连接。
3. 数据备份与恢复IT部门应制定数据备份与恢复规范,确保数据的安全可靠性,以应对意外数据丢失或系统故障等情况。
具体规范如下:(1)定期备份:对关键数据进行定期备份,备份频率根据数据的重要性而定;(2)备份验证:备份数据应进行验证以确保备份文件完整无误,备份文件的存储位置应安全可靠;(3)灾难恢复计划:IT部门应制定完善的灾难恢复计划,包括数据恢复的流程、责任人以及测试和演练等。
二、网络设备使用规范1. 设备配置管理IT部门应建立网络设备配置管理规范,以确保设备的合理配置和安全运行。
具体规范包括但不限于以下要求:(1)设备命名规范:对设备进行统一的命名标准,以便管理和维护;(2)设备登记备案:对每台设备进行登记备案,记录设备的基本信息、购买时间、保修期限等;(3)设备配置备份:对设备的配置进行备份,以便在需要时能够快速恢复设备配置;(4)设备升级和维护:定期检查设备的版本信息,及时进行升级和维护,确保设备的安全性和稳定性。
机房、网络、信息、数据安全管理制度
机房、网络、信息、数据安全管理制度一、引言在当今数字化时代,机房、网络、信息和数据的安全对于企业和组织的正常运营至关重要。
为了保障系统的稳定运行,保护敏感信息不被泄露,制定一套完善的安全管理制度是必不可少的。
本制度旨在规范和指导机房、网络、信息和数据的安全管理工作,确保各项业务的顺利开展。
二、机房安全管理(一)机房环境管理1、机房应保持清洁、干燥,温度和湿度应控制在规定范围内。
定期对机房进行清扫,防止灰尘对设备造成损害。
2、严禁在机房内堆放易燃、易爆、腐蚀性物品及其他杂物,确保机房通道畅通无阻。
(二)设备管理1、对机房内的设备进行分类、编号,并建立详细的设备台账。
定期对设备进行检查、维护和保养,确保设备的正常运行。
2、新设备的安装和调试应严格按照操作规程进行,严禁私自安装未经许可的设备。
(三)人员管理1、进入机房的人员必须经过授权,并登记相关信息。
非机房工作人员未经许可不得进入机房。
2、机房工作人员应遵守机房的各项规章制度,不得在机房内从事与工作无关的活动。
(四)电力与消防管理1、机房应配备稳定的电力供应系统,包括不间断电源(UPS)等设备,以应对突发停电情况。
定期对电力设备进行检查和维护,确保电力系统的正常运行。
2、机房内应配备符合要求的消防设施和器材,并定期进行检查和维护。
制定消防应急预案,定期组织消防演练,确保机房人员能够熟练使用消防设备。
三、网络安全管理(一)网络访问控制1、建立网络访问权限管理制度,根据用户的工作职责和需求,分配不同的网络访问权限。
2、对外部网络的访问进行严格控制,设置防火墙、入侵检测系统等安全设备,防止非法入侵和攻击。
(二)网络设备管理1、对网络设备进行定期检查和维护,及时更新设备的软件和固件,修复已知的安全漏洞。
2、对网络设备的配置进行备份,以便在设备出现故障时能够快速恢复。
(三)网络监控与预警1、建立网络监控系统,实时监测网络的运行状态,及时发现并处理网络故障和安全事件。
信息安全管理规范
信息安全管理规范信息安全管理规范一、引言随着互联网的迅速发展和信息技术的广泛应用,信息安全面临着越来越多的威胁和风险。
为了确保组织内部的信息系统和数据得到有效的保护,提高信息安全管理水平,制定本信息安全管理规范。
二、适用范围本规范适用于所有组织内部的信息系统和数据,包括企业、政府机构、学校等。
三、信息安全管理目标1. 保护信息系统和数据的机密性,防止未经授权的访问、使用和泄露。
2. 保护信息系统和数据的完整性,防止未经授权的篡改、删除和破坏。
3. 保护信息系统和数据的可用性,防止服务中断和系统崩溃。
4. 防止计算机病毒和恶意软件的传播和感染。
5. 防范网络攻击,保护系统免受黑客、病毒等威胁。
6. 提高员工的信息安全意识,加强安全培训和教育。
四、信息安全管理措施1. 安全策略和风险评估:制定并实施信息安全策略,进行定期的风险评估和漏洞扫描,及时修复安全漏洞。
2. 身份认证和访问控制:建立严格的身份认证机制,采用合适的访问控制措施,确保只有授权的用户能够访问系统和数据。
3. 密码策略:制定密码安全策略,要求员工设置强密码,并定期更换。
4. 安全审计和监控:建立完善的安全审计和监控机制,对系统进行实时监控和日志记录,发现异常行为及时报警和采取措施。
5. 数据备份和恢复:制定数据备份策略,定期备份关键数据,并建立恢复机制,确保数据能够及时恢复。
6. 网络安全防护:采用防火墙、入侵检测系统、反病毒软件等网络安全产品,防范网络攻击和病毒感染。
7. 媒体安全控制:制定媒体安全管理制度,对外部媒介的使用和领取进行严格控制,防止数据泄露。
8. 员工安全培训和教育:定期组织员工进行信息安全培训和教育,提高员工的信息安全意识和能力。
9. 合规性管理:确保信息安全管理符合相关法律法规和标准的要求,进行合规性风险评估和合规性审核。
五、信息安全事件处理1. 信息安全事件的定义:对于可能影响信息系统和数据安全的事件,包括病毒感染、黑客攻击、数据泄露、系统故障等。
网络与信息安全管理各项规章制度
16.3对现有应用系统进行定期安全检查和更新,修复已知的安全漏洞。
十七、数据保护与隐私权
17.1建立数据保护机制,对个人数据和敏感数据进行加密处理,防止数据泄露。
17.2严格遵守隐私权法律法规,保护用户和员工的个人信息不被非法收集、使用和传播。
6.3保密工作应纳入员工绩效考核,对违反保密规定的行为进行严肃处理。
七、责任追究
7.1对违反网络与信息安全规定的行为,公司将依法依规追究相关责任人。
7.2员工发现网络与信息安全问题时,应及时报告公司,公司将对报告人予以保护。
7.3公司将定期对网络与信息安全管理工作进行总结,不断完善各项制度,提高网络与信息安全水平。
17.3在处理个人数据时,确保数据主体的知情权和选择权。
十八、供应链安全管理
18.1对供应链中的信息产品和服务进行安全审查,确保供应商符合公司安全要求。
18.2与供应商签订安全协议,明确安全责任,要求供应商遵守公司网络与信息安全规定。
18.3定期对供应链安全状况进行评估,及时发现并解决安全隐患。
十九、安全意识提升
十一、外部协作与交流
11.1与外部单位进行网络连接或信息交换时,应签订安全协议,明确双方的安全责任和义务。
11.2对外部协作单位进行安全评估,确保其具备与公司相当的安全管理水平。
11.3建立网络安全信息共享机制,与行业内外单位进行安全信息交流,提升公司网络安全防护能力。
十二、持续改进与培训
12.1定期评估网络与信息安全管理制度的有效性,根据实际情况进行修订和完善。
24.2采纳国际通行的网络与信息安全标准,提升公司信息系统的安全水平。
24.3在跨境数据传输等方面,遵守国际法律法规,确保数据传输的安全合规。
网络与信息安全管理制度
网络与信息安全管理制度网络与信息安全管理制度一、制度目的1:为了确保公司网络与信息系统的安全性,保护公司重要信息资源的完整性、可用性和保密性,制定本管理制度。
2:本制度适用于公司全体员工,包括内部员工、外包人员、实习生等。
3:通过明确网络与信息安全的管理要求和责任,提高员工对网络与信息安全的意识,加强网络与信息安全管理,降低信息泄露和系统被攻击的风险。
二、定义和缩略语1:网络与信息安全:指对网络和信息资源进行保护的措施和管理活动,包括但不限于网络的安全、数据的安全和系统的安全。
2:重要信息资源:指对公司业务运营、员工个人信息、客户信息等具有重要价值和保密性的信息。
3:网络与信息系统:指公司的计算机网络、服务器、数据库、应用系统等信息技术设备和软件。
4:攻击:指未经授权的对公司网络与信息系统的非法访问、非法篡改、非法使用等行为。
5:法律名词及注释:- 《中华人民共和国网络安全法》:指国家针对网络安全颁布的法律法规,保护网络安全和维护网络空间主权。
- 《中华人民共和国刑法》:指国家刑法中相关涉及到网络安全的法律条款,对网络犯罪行为进行惩处。
- 《中华人民共和国保守国家秘密法》:指国家有关保护国家秘密的法律法规,对公司保密工作提供法律支持。
三、安全管理要求1:管理责任- 公司顶层管理人员应树立网络与信息安全的重要性,并制定相应的网络与信息安全策略和目标。
- 部门主管应带头树立良好的网络与信息安全意识,指导并监督下级员工的安全管理工作。
- 全体员工对于本制度的执行和安全管理工作共同负责,任何单位和个人不得以任何理由或方式违反本制度。
2:安全责任- 网络与信息安全责任由公司的网络与信息安全部门负责。
- 网络与信息安全部门应制定相关的网络与信息安全管理规定,并负责制定相关的安全措施、安全策略和安全培训计划。
- 部门主管应将网络与信息安全纳入本部门的日常管理工作,对员工进行安全培训和安全意识教育。
3:网络安全- 公司网络应建立防火墙、入侵检测系统、反系统等安全设备和软件,确保网络的安全稳定运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络数据和信息安全管理规范IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】X X X X有限公司WHB-08 网络数据和信息安全管理规范版本号: A/0编制人: XXX审核人: XXX批准人: XXX20XX年X月X日发布 20XX年X月X日实施目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。
为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
术语本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。
即确保信息的完整性、保密性、可用性和可控性。
包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。
网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。
计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。
主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。
本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。
网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。
有害信息,参见国家现在法律法规的定义。
重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。
组织架构及职责分工公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法规和上级有关规定,保障公司的计算机信息的安全。
计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算机信息及网络安全负直接责任。
各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信息及网络安全领导小组备案。
各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。
相关岗位信息安全职责:1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、网线),不得私自接入网络。
各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技术培训。
在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和权限及时进行变更或注销。
系统安全规定公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。
携带计算机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增添、维修、调拨等的审核与管理。
计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
使用、操作计算机设备时,应遵循以下安全要求:1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。
在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
账号管理安全账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。
超出正常权限范围的,要经主管领导审批。
系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
严禁用户将自己所拥有的用户账号转借他人使用。
员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号。
在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
一般情况下不允许外部人员直接进入主机系统进行操作。
在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。
禁止将系统用户及口令直接交给外部人员。
口令安全管理口令的选取、组成、长度、修改周期应符合安全规定。
禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。
重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
本地保存的用户口令应加密存放,防止用户口令泄密。
软件安全管理:不安装和使用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
个人计算机上不得安装与工作无关的软件。
在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。
系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
主机系统的服务器、工作站所使用的操作系统必须进行登记。
登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。
网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。
系统日志必须保存三个月以上。
新建计算机网络、应用系统必须同时进行网络信息安全的设计。
互联网信息安全公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息传播。
各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有害信息。
数据安全需要保护的重要数据至少包括:1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数据备份及恢复。
对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员等信息。