《中国东方航空股份有限公司信息安全管理规定》
东航信息安全管理制度
第一章总则第一条为加强我国东方航空公司(以下简称“东航”)的信息安全管理工作,确保公司信息安全,维护公司合法权益,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,特制定本制度。
第二条本制度适用于东航所有员工、供应商、合作伙伴及第三方服务提供商,涉及公司所有信息系统、数据资源、网络设施等。
第三条本制度旨在建立健全信息安全管理体系,明确信息安全责任,提高信息安全意识,保障公司信息系统安全稳定运行。
第二章组织架构与职责第四条成立东航信息安全工作领导小组,负责公司信息安全工作的统筹规划、组织实施和监督管理。
第五条信息安全工作领导小组下设信息安全管理部门,负责具体实施信息安全管理工作。
第六条各部门负责人为本部门信息安全第一责任人,负责本部门信息安全工作的组织实施和监督。
第七条信息安全管理部门职责:(一)制定、修订和实施公司信息安全管理制度;(二)组织信息安全培训,提高员工信息安全意识;(三)监督、检查公司信息安全制度执行情况;(四)组织开展信息安全风险评估和应急响应;(五)协调处理信息安全事件;(六)其他与信息安全相关的工作。
第三章信息安全管理制度第八条信息安全管理制度应包括以下内容:(一)信息系统安全管理制度;(二)数据安全管理制度;(三)网络安全管理制度;(四)物理安全管理制度;(五)人员安全管理规定;(六)信息安全事件应急预案。
第九条信息系统安全管理制度应包括:(一)操作系统、数据库、中间件等软件的安全配置和升级;(二)服务器、网络设备、存储设备等硬件设备的安全管理;(三)信息系统访问控制策略;(四)信息系统安全审计和日志管理。
第十条数据安全管理制度应包括:(一)数据分类分级管理;(二)数据备份和恢复;(三)数据加密和脱密;(四)数据安全事件调查和处理。
第十一条网络安全管理制度应包括:(一)网络安全设备配置和管理;(二)网络安全事件监控和处置;(三)网络安全漏洞管理;(四)网络安全防护策略。
2024年民用航空安全信息管理规定
2024年民用航空安全信息管理规定民用航空安全是保障民众生命财产安全和国家利益的重要任务。
为了规范和完善民用航空安全管理,提高民用航空业的安全水平,2024年民用航空安全信息管理规定制定如下:第一章总则第一条为了统一和规范民用航空安全信息管理,保障航空工作的安全、顺畅进行,本规定制定。
第二条民用航空安全信息管理规定适用于我国境内的民用航空活动,包括但不限于航空器运行、飞行员训练、机场运营等。
第三条民用航空安全信息管理的原则是以预防为主、综合管理、分级负责、公平公正。
第四条民用航空安全信息管理应当坚持依法治理、科学管理、公开透明、信息共享的原则。
第五条为了保障民用航空安全信息的真实、准确和及时性,所有相关单位和个人应当积极配合并提供必要的支持。
第二章安全信息的采集和分发第六条民用航空安全信息的采集应当依托先进的信息技术和相关设备,包括但不限于航空器自动监测系统、卫星导航系统等。
第七条民用航空安全信息的采集范围包括航空器的飞行数据、维修记录、运行情况等。
第八条民用航空安全信息的分发应当依据需要和权限进行,确保信息的及时性和准确性。
第九条民用航空安全信息的分发对象包括但不限于航空公司、机场管理机构、国家相关机构等。
第十条民用航空安全信息的分发方式包括但不限于电子邮件、传真、网络传输等。
第三章安全事件报告和调查第十一条凡是发生民用航空安全事件,相关单位和个人应当立即向当地民航局报告。
第十二条民用航空安全事件的报告应当包括事件发生的时间、地点、原因、人员伤亡情况等详细信息。
第十三条民用航空安全事件的调查由当地民航局或者国家相关机构负责组织进行。
第十四条民用航空安全事件的调查应当依据相关法律法规和标准进行,确保调查结论的准确性和客观性。
第十五条民用航空安全事件的调查结果应当及时公布,遵守信息公开的原则。
第四章安全信息管理的要求第十六条所有民用航空单位应当建立健全安全信息管理体系,确保安全信息的采集、分发、报告和调查工作的顺利进行。
东航SMS建设-安全管理体系建设
东航培训资料未经许可不得外传
28
公司安全管理体系构架
公司安全政策-组织机构(三) :
公司安全运行管理部
西 北 分 公 司 安 全 运 行 监 察 部
安 徽 分 公 司 安 全 运 行 技 术 管 理 部
北 京 分 公 司 安 全 运 行 技 术 管 理 部
甘 肃 分 公 司 安 全 运 行 技 术 管 理 部
东航培训资料未经许可不得外传
36
公司安全管理体系构架
公司安全政策:
政策
公司安全政策是公司安全管理理念的具体体现,是公 司安全管理体系设计和有效运转的基础,其实质是对公司 安全管理体系的总体策划,其体现了安全管理体系的系统 性,即安全管理活动将依照预先确定的计划,并以统一的 方式在整个公司持续进行,并且通过改进使体系不断提高。 公司安全政策贯穿于公司安全管理体系的另外三个“支柱” (风险管理、安全保证、安全促进)之中,并通过这三个 “支柱”得以实现。
中国民航局 AC-121/135-FS-2008-26
东航培训资料未经许可不得外传 18
航空系统 运行
信息获取 信息分析
符合 新风险 无效控制
系统评价
不符合
风 险 管 理
预防和纠正措施
风险管理
系统分析
安全保证
系统运行
叙述
危险源 识别
信息获取
具体的信息
风险分析
信息分析
分析
风险 评价
系统 评价
评价
风险控制
东航培训资料未经许可不得外传 6
民航规章对安全管理体系的要求
安全管理体系的组成
SMS是一种方法论:就是一家公司从上到下及所有的工 作领域,应用系统化的方式来管理安全的相关工作, 确认工作中潜存的风险,并对上述的风险作好管理。
东方航空公司的安全风险管理
东方航空公司的安全风险管理第三章东方航空公司的安全管理现状3.1我国航空类企业风险管理现状3.1.1信息安全体系的建设随着经济的发展,人们生活水平的提高,航空运输业作为耗时短,节省空间,运输方便的新型快捷运输方式,其业务量一直在不断地提高。
但是作为航空这种空中作业单位,其风险系数高,有很大的可能会带来难以估量的损失,这时信息化就成了控制风险的必然选择。
在全球信息化的今天,信息化对航空业的发展起到了难以估量的作用。
从以前的辅助工具,到现在的全面融合,不仅在机场,还是在飞机,还有灾难处理等每个可能的方面都可以看到信息化的影子。
他可以使需要沟通的双方在几秒钟内交换信息从而避免事故或者失误操作。
它可以在事故发生后迅速反应起来,尽量减少的灾难所带来的损失。
当然,随着对信息系统的依赖,信息的安全,管理和控制成为了航空业风险安全的关键点所在。
航空业由于系统结构复杂,业务多,服务多,风险事故发生的概率大等特点。
其信息安全体系就要求安全系数更加的高,网络更加的复杂。
因此。
本文从东方航空的管理模式来简述其信息安全体系的建设。
3.1.1.1信息系统环境分析航空业的信息系统是高度集成的系统。
具体说来航空企业的业务是围绕着飞机的起降和旅客的服务为核心的的各种业务的综合,例如,飞机的起飞、降落、加水、检修,上下客、以及机场的客户办理、登机办理、托运等服务。
这是一个复杂但紧密的体系,任何一个环节都可以影响到其他服务项目的开展。
所以说,以上这些综合起来就决定了航空业的信息系统众多且高度集成[12]。
航空业的信息网络是高度复杂的。
对于具有国际线路的航空业来说,海关、检疫局、边防、安保公司等众多公司和部门都将围绕着某具体航空公司来服务。
如果把众公司和部门相互关联起来组成一个网络的话,那么该航空企业就是里面的一个非常重要的节点,它和其他每个公司和部门都有联系,只有信息共享才能安全、高效的服务顾客。
航空业的信息系统要具有高度的稳定性。
航空信息安全管理制度
航空信息安全管理制度1. 引言本文档旨在介绍航空公司的信息安全管理制度,以确保航空信息系统的安全性和可靠性。
该制度涵盖了信息资产管理、风险管理、安全意识培训和事故应急响应等方面。
2. 信息资产管理2.1 信息资产分类为了有效管理信息资产,我们将其进行分类,包括但不限于以下几类:机密信息、个人身份信息、航班信息、客户信息等。
不同分类的信息资产将采取相应的保护措施。
2.2 信息资产保护我们将采取一系列的技术和组织措施来保护信息资产的机密性、完整性和可用性。
这包括访问控制、加密通信、漏洞管理、数据备份等。
2.3 信息资产归还和处理在员工离职或信息资产不再使用时,我们将采取有效的措施确保信息资产的归还和安全处理,避免信息泄漏和滥用的风险。
3. 风险管理3.1 风险评估与控制我们将定期进行风险评估,识别信息系统面临的安全风险,并采取相应的控制措施来降低风险。
这包括风险评估、安全漏洞扫描、漏洞修复等。
3.2 应急响应计划为了应对安全事件和事故,我们制定了详细的应急响应计划。
该计划包括事件报告、事件响应、恢复措施等,以有效应对安全事件并减少损失。
4. 安全意识培训我们重视员工的安全意识,将定期组织安全培训,提高员工对信息安全的认识和理解。
培训内容包括安全政策、风险防范、数据保护等,以增强员工的防范意识和应对能力。
5. 信息安全责任5.1 资源分配和责任界定我们将明确信息安全的责任分工,为各级管理人员、部门和员工分配相应的资源和责任。
每个岗位都将承担信息安全管理的责任,并定期进行评估和检查。
5.2 内部审核和改进为了确保信息安全管理制度的有效性和可持续改进,我们将建立内部审核机制,定期进行评估和检查,并及时改进和完善制度。
6. 结论航空信息安全管理制度是保障航空公司信息安全的关键措施。
通过该制度,我们将确保信息资产的安全、风险的识别与控制、员工安全意识的提高,并建立了相应的应急响应计划。
在实际操作中,我们将持续改进和完善该制度,以应对信息安全威胁的挑战。
2024年公司信息安全管理制度(二篇)
2024年公司信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。
为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。
本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。
1.计算机设备安全管理1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。
1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。
未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。
2.电子资料文件安全管理。
2.1文件存储重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。
2.2文件加密涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
2.3文件移动严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。
民航信息安全管理制度
一、总则为保障民航信息系统的安全稳定运行,维护国家利益、公共利益和公民合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国民用航空法》等法律法规,制定本制度。
二、组织机构与职责1. 成立民航信息安全工作领导小组,负责制定、修订本制度,监督、检查信息安全工作,协调解决信息安全重大问题。
2. 设立民航信息安全管理部门,负责本制度的组织实施、监督、检查和考核,以及信息安全日常管理工作。
3. 各航空公司、机场、民航局直属单位等应设立信息安全管理部门,负责本单位信息安全工作的组织实施、监督、检查和考核。
三、信息安全管理制度1. 信息安全风险评估:定期对民航信息系统进行风险评估,识别潜在的安全威胁,制定相应的安全措施。
2. 信息安全防护:建立健全信息安全防护体系,包括网络安全、数据安全、应用安全等方面,确保信息系统安全稳定运行。
3. 网络安全防护:(1)加强网络安全设备管理,定期检查、维护和更新网络安全设备。
(2)加强网络访问控制,严格控制内部网络与外部网络的连接,防止非法访问和攻击。
(3)加强网络安全监控,及时发现和处理网络安全事件。
4. 数据安全防护:(1)加强数据分类分级管理,对重要数据进行加密存储和传输。
(2)加强数据备份和恢复,确保数据安全。
(3)加强数据安全审计,对数据访问、修改、删除等操作进行记录和审计。
5. 应用安全防护:(1)加强应用系统开发、测试、部署等环节的安全管理,确保应用系统安全可靠。
(2)加强应用系统漏洞管理,及时修复已知漏洞。
(3)加强应用系统权限管理,严格控制用户权限。
6. 信息安全培训与宣传:(1)定期开展信息安全培训,提高员工信息安全意识。
(2)加强信息安全宣传教育,普及信息安全知识。
(3)开展信息安全竞赛活动,提高员工信息安全技能。
四、信息安全事件处理1. 信息安全事件报告:发生信息安全事件时,相关单位应立即向民航信息安全管理部门报告。
2. 信息安全事件调查:民航信息安全管理部门组织调查组,对信息安全事件进行调查处理。
民用航空安全信息管理规定(3篇)
民用航空安全信息管理规定(Civil Aviation Safety Information Management Regulations)是指对民用航空领域的安全信息进行管理和监管的法规和规定。
该规定的目的是确保民用航空领域的安全信息的及时收集、分析、传播和应用,以预防和减少事故的发生,保障民用航空运输的安全。
根据这一规定,民用航空安全信息管理包括以下内容:1. 安全信息的收集和报告:航空单位、机械设备制造商、机场管理单位和其他相关单位应当及时汇报与民用航空安全相关的信息。
2. 安全信息的分类和分析:民航主管部门应对收集到的安全信息进行分类和分析,识别出潜在的安全隐患和问题,并及时采取措施进行处理。
3. 安全信息的传播和应用:民航主管部门应当及时将分析得出的安全信息向航空单位和其他相关单位传播,并督促其按照规定采取相应的安全措施。
4. 安全信息的记录和保存:民航单位应当建立安全信息记录和保存系统,确保安全信息的完整性和可追溯性。
5. 安全信息的审查和评估:民航主管部门应定期对安全信息进行审查和评估,发现问题和不足,并提出改进措施。
6. 安全信息的应急响应:在紧急情况下,民用航空主管部门应当及时启动相应的应急响应机制,采取必要的措施保障航空安全。
以上是民用航空安全信息管理规定的主要内容,这些规定的实施能够有效提升民用航空的安全水平。
民用航空安全信息管理规定(2)第一章总则第一条根据《中华人民共和国民用航空法》和相关法律法规,为了加强我国民用航空安全信息管理,保障民用航空运输安全,防范和应对恐怖袭击等安全事件,制定本规定。
第二条民用航空安全信息管理适用于我国境内民用航空运输活动中的信息收集、分析、报告和处置等环节。
第三条民用航空安全信息指与民用航空相关的涉及航空器、机场设施、航空人员、安全设备等方面的安全信息。
包括事故、故障、意外事件、可疑人员行为、安全威胁等信息。
第四条民用航空安全信息管理应当坚持预防为主、整体安全、依法管理的原则,加强与国际和地区民用航空安全信息管理机构的合作与交流,提高信息共享和响应能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国东方航空股份有限公司信息安全管理规定第一章总则第一条为了进一步加强中国东方航空股份有限公司(以下简称“公司”)的信息安全管理,完善信息安全体系,保护公司的信息资产,依据中华人民共和国有关信息安全法律以及国际标准,结合行业、公司信息安全建设实际情况,特制定本规定。
第二条本规定适用于公司所有信息资产及涉及信息资产的相关部门。
本规定中所称的信息资产包括但不仅限于:数据库和数据文件、系统文档、用户手册、培训资料、运行程序、存档信息、应用软件、系统软件、开发工具和实用程序、计算机、通讯设备、磁介质(磁盘与磁带)、其它技术基础设备(供电设备、空调设备、防雷设备、消防设备、门禁设备)、人员、计算服务、通讯服务、网络服务等。
第二章基本原则第三条全员参与原则。
公司每位员工都应对维护信息安全负有相应的责任和义务,具体包括:(一)所有接触和使用公司信息资产的人员和机构都有责任保障信息资产的安全。
(二)信息系统的安全由使用信息系统的业务部门、管理部门以及维护系统的技术单位、部门共同承担,其中业务、管理部门作为资产的所有者拥有信息资产的管理责任和授权权利,而维护系统的技术单位、部门通常作为信息资产的维护者,在各管理部门、业务部门的授权下,承担各应用系统的管理、维护责任。
(三)各单位、各部门需对所有员工定期进行信息安全方面的培训,并作为长期进行的制度化工作之一。
第四条职权分离原则。
对角色和责任进行分类时要考虑互相制衡的机制,使一个岗位的员工无法破坏关键的过程,如业务操作权限和系统管理权限的分开;超级账号的操作与系统审计权限的分开;业务申请操作和业务审核操作权限的分开等;公司各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排人员时基于此原则,将信息安全职责落实到具体的岗位中去。
第五条“双人操作原则”。
对于重要计算机系统、网络和通信设备及相关区域的岗位,应安排两个拥有类似知识背景和专业技能的人员共同工作,以降低单个关键人员操作失误或个人蓄意破坏而导致的风险。
第三章机构和职责第六条公司信息安全委员会是公司信息安全工作的领导机构,负责贯彻国家有关法律法规,落实上级信息安全机构的工作要求,研究和决定公司信息安全工作相关事项。
信息安全委员会由各关键业务、生产单位及信息部主管领导组成。
第七条公司信息安全委员会下设的信息安全管理办公室是公司信息安全工作的职能机构,负责组织开展与信息安全有关的监督管理、教育培训、信息安全抽查、信息安全事件查处等工作。
信息安全管理办公室是信息安全管理委员会的常设机构,挂靠在信息部,由信息安全专职人员及各关键业务、生产单位的信息安全联系人员组成。
第八条公司信息安全工作按照“谁主管谁负责、谁运维谁负责、谁使用谁负责和属地化管理的要求”,逐级落实信息安全责任。
第四章信息设备安全管理第九条严禁在未经公司信息部的许可或授权的情况下私自改变办公桌面信息设备,包括但不仅限于:(一)私自拆卸桌面计算机的硬件设备。
(二)增加桌面计算机的设备,如增加内存,增加输出设备(可读写DVD光驱等)。
第十条在桌面计算机及相关设备出现问题时,应及时联系公司IT系统人员,禁止自行拆开公司的计算机和相关设备进行修理。
第十一条相关设备(开发、办公、运行的计算机设备)在外借或报废(弃用)时,需由专人对机内系统和数据作相应处理,防止泄密。
第十二条所有的硬件资产必须明确设备的使用人员、管理人员。
第十三条硬件资产的使用人或管理人,在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用。
第十四条须对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置。
第十五条对于无人职守的设备,要明确管理人员,加强物理安全控制。
第十六条当设备迁移时,如果设备中存储有重要信息时,需事先进行备份。
第十七条设备迁移完成后,需要检查设备是否损坏。
第十八条设备迁移出公司时,检查人员在检查时要格外注意,禁止设备中存放重要信息,以防止公司机密信息泄露或增加泄露的风险。
第十九条存储设备报废前需进行重要数据的备份,在备份后需对其中存储的涉密信息进行脱密处理。
第二十条对于中心机房内的关键信息系统设备如:各类服务器、存储设备、核心交换、重要链路等需运维操作单位、部门制定有针对性的安全维护手册并严格执行。
第五章桌面信息系统安全管理第二十一条桌面办公系统应使用软件厂商支持的正版、主流操作系统或计算机厂商OEM的操作系统,并应及时将补丁更新至最新。
第二十二条桌面办公系统应避免使用Server类操作系统,因工作要求有特殊需求的,应报公司信息部批准并备案。
第二十三条未经公司信息部批准,禁止使用自带的安装介质或软件包在办公桌面计算机上安装操作系统。
第二十四条在进行区间划分时应保证至少两个分区,即系统分区和工作分区。
第二十五条如无特殊需求,严禁在办公桌面计算机上设置共享文件夹。
必须使用时,应设置口令保护、只读权限等安全措施,同时设置的口令应符合第八章的要求,使用完后应及时取消共享。
第二十六条必须安装企业级防病毒客户端软件,该软件的安装应使用公司信息部提供的安装介质或软件包,在具体使用过程中必须保证安全软件的正常运转,不得自行卸载这些安全软件。
第二十七条桌面计算机上只能安装办公系统必须使用的基础应用软件、工具软件以及各单位各部门的生产应用软件等,如办公软件、邮件客户端、压缩解压缩软件、汉字输入法、AOC系统、离港系统、财务系统等。
第二十八条严禁安装盗版软件、与工作无关的软件、可能会破坏公司信息安全的各种黑客软件等。
第二十九条用户对自己所使用的桌面计算机的安全承担最终责任,除非有特殊情况,否则严禁授权他人使用自己的桌面计算机。
第三十条运维操作单位须定期将公司桌面系统的运行维护及信息安全状况向信息部反馈。
运维操作单位需建立明确的桌面系统定期安全审查制度,并向公司信息部提交审查情况报告(审查内容包括桌面系统中是否安装盗版软件、与工作无关的软件、各种黑客软件等;是否安装防病毒软件并及时更新病毒代码;是否设置屏保密码、开机密码等;是否安装最新操作系统安全补丁)。
公司信息部对桌面系统安全审查报告进行审核,并存档。
第六章机房安全管理第三十一条机房基础设施要求。
(一)机房应配备足够容量的UPS及足够容量的输送电缆,确保供电安全。
(二)机房应配备空调及湿度调节器,确保机房内设备正常运转必须的温度及湿度。
(三)机房内应配备符合机房要求的消防设施,并定期按照消防部门的要求进行检测。
(四)机房内机柜应摆放整齐,机柜内放置的设备及其使用人、用途等信息应作醒目标识。
(五)应对穿过机房墙壁和楼板的水管增加必要的保护措施。
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
(六)中心机房需安装监控设备,并有专人监控。
(七)中心机房需安装防雷击设备,并定期通过专业部门的检测。
(八)机房实际承重需符合国家设定的机房承重标准。
第三十二条机房内应保持清洁安静,严禁吸烟、喝水、吃东西、乱扔杂物、大声喧哗。
第三十三条机房内严禁堆放与机房设备无关的杂物,避免造成安全隐患。
第三十四条机房禁止放置易燃、易爆、腐蚀、强磁性物品。
第三十五条禁止将机房内的电源引出挪做他用,确保机房安全。
第三十六条未经许可,机房内严禁摄影、摄像。
第三十七条机房内机柜、设备未经许可,不得任意改动;如果已获得许可,需详细记录改动后的情况。
第三十八条进入机房工作的人员有责任在工作完成后及时清理工作场地、清除垃圾、做好设备标签、关闭机柜柜门。
第三十九条机房巡检要求。
(一)机房运维操作单位应制定明确的机房运行保障指标,并报信息部备案。
(二)机房运维操作单位需每日巡检中心机房至少二次,并填写中心机房巡检记录。
(三)机房运维操作单位需每周巡检二级节点机房,并填写二级节点机房巡检记录。
(四)运维操作单位需制定具体的巡检检查单。
(五)机房巡检记录每月汇总后报信息部。
第四十条机房出入要求。
(一)需要持有机房钥匙的人员必须得到信息部批准并登记备案。
(二)需要进入中心机房的工作人员在得到信息部的批准后,方能进入机房。
(三)进入中心机房时必须携带身份证明备查,并使用专用门卡通过门禁系统。
门禁系统刷卡记录应至少保存半年。
(四)外来人员进入机房需经过信息部批准,并有专人全程陪同,并记录所有人员姓名,工作内容及时间。
(五)必须妥善保管门禁卡,如遗失,需及时上报作废。
(六)严禁将专用门禁卡转借他人。
(七)在机房区域内发现陌生可疑的人应主动上前询问,或通知安全保卫人员对此情况进行关注。
(八)在出入如机房等一些敏感的安全区域时,应遵照相关规定佩带身份证明识别标志(徽章、名卡)等,不得伪造或使用他人的身份证明标志。
(九)机房运维操作单位须保留机房出入记录,以备信息部进行审核。
第七章办公环境信息安全管理第四十一条办公室钥匙应由专人管理。
第四十二条电脑操作系统的桌面上不可存有涉密信息。
第四十三条办公桌面在无人在位的情况下不应放置涉密文件、含涉密信息的U盘等移动存储设备。
第四十四条员工暂时离开办公使用的计算机时,应使用计算机内的锁定保护功能。
第四十五条办公环境应划定专门的来访接待区域,不应在内部办公区接待来访人员。
第四十六条进出敏感的办公区域如系统开发、系统管理等应遵照规定佩戴身份标识。
第四十七条在办公区域内发现陌生可疑的人应主动上前询问,或通知安全保卫人员对此情况进行关注。
第四十八条办公区域需保持干净、整洁。
办公区域禁止堆放与工作无关的杂物。
第四十九条禁止携带任何危险品、可燃品或其他可能影响人员和设备安全的物品进入办公区域,如有特殊需要必须得到管理人员的同意才可进入。
第五十条应及时取走打印或复印的含有敏感信息的文件。
第五十一条各部门需根据自己的业务特点制定更有针对性的办公区域信息安全规定。
第八章信息系统密码信息安全第五十二条密码的设定。
(一)涉及财务、支付等和资金相关的系统,涉及公司商业秘密的系统,重要账号如系统管理员、应用管理员,密码强度须保证至少8位或以上,至少由数字及字母大小写混合组成。
一般系统用户密码强度须保证至少6位或以上,至少由数字及字母大小写混合组成。
(二)笔记本电脑及桌面PC应设置用户登录密码。
(三)应避免在多个系统内使用相同的密码,以防密码被非法获取后产生连锁后果。
第五十三条密码使用。
(一)在输入密码时,应保持必要的警惕性,防止被人通过非法手段获取密码。
(二)禁止在未经信息部允许的情况下编写并使用自动登录系统的脚本和程序。
(三)输入密码时需确认所操作的电脑是否已安装符合公司要求的杀毒软件且已更新,以确保无后门、木马、按键记录软件等非法插件。
第五十四条密码更新。
(一)在第一次登录系统时须更改初始密码。
(二)密码由于长期的使用已处于泄露风险下的,需进行更改,参考时间为90天。
(三)更改的密码不应是旧密码的简单更改。