网络安全等级保护管理制度模板
等保安全管理制度
等保安全管理制度(实用版5篇)《等保安全管理制度》篇1等保安全管理制度是关于网络安全保障的一系列规定。
根据《网络安全等级保护管理办法》,网络安全等级保护(以下称等保)是国家对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件进行监测、预警和相应处置的制度。
以下是等保安全管理制度的一些关键要素:1. 等级保护对象:明确需要保护的信息系统、网络设备和通信线路等。
2. 安全等级:根据信息系统的重要性和受破坏后带来的损失,将信息系统划分为不同的安全等级。
3. 安全等级保护标准:根据安全等级和相应的安全需求,制定相应的安全等级保护标准,包括物理安全、网络安全、应用安全和安全管理等方面。
4. 安全技术措施:按照安全等级保护标准的要求,采取相应的技术措施,如访问控制、加密、入侵检测等。
5. 安全管理制度:制定安全管理规定,包括责任制度、保密制度、安全操作规程等,以确保等保工作的顺利实施。
6. 信息安全风险评估:定期进行信息安全风险评估,识别和评估潜在的安全威胁和漏洞,并采取相应的措施进行防范。
7. 安全审计:定期进行安全审计,检查等保工作的实施情况,确保等保工作的合规性和有效性。
8. 应急响应:制定应急响应计划,明确在发生信息安全事件时的应对措施和流程。
9. 监督检查:定期进行监督检查,确保等保工作的持续性和有效性。
10. 培训和宣传:开展网络安全教育和宣传活动,提高员工的安全意识和防范能力。
《等保安全管理制度》篇2等保安全管理制度是指对保护信息安全行为的规定,其目的是规范信息安全行为,保护网络和信息系统安全。
以下是一些常见的等保安全管理制度:1. 信息安全责任制度:规定信息安全责任人、信息安全责任范围、信息安全责任追究等。
2. 信息安全检查制度:规定信息安全检查的内容、方式、周期、结果应用等。
3. 信息安全漏洞通报制度:规定漏洞发现、报告、审核、通报、处置等流程。
4. 信息安全应急处置制度:规定应急处置的流程、责任人、响应时间、资源保障等。
网络安全管理制度等保
一、引言随着信息技术的飞速发展,网络安全问题日益凸显,已成为国家安全、社会稳定和人民群众利益的重要保障。
为加强网络安全管理,确保信息系统安全可靠运行,依据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等法律法规和标准,制定本制度。
二、制度目标1. 提高网络安全防护能力,降低网络安全风险;2. 保障信息系统安全稳定运行,防止信息泄露、篡改、破坏;3. 保障国家利益、公共利益和公民合法权益;4. 符合国家网络安全等级保护要求。
三、组织架构1. 成立网络安全管理领导小组,负责网络安全工作的统筹规划、组织协调和监督检查;2. 设立网络安全管理部门,负责网络安全管理制度的具体实施和日常管理;3. 各部门、单位明确网络安全管理职责,落实网络安全管理措施。
四、网络安全管理内容1. 安全管理制度(1)制定网络安全管理制度,明确网络安全管理范围、职责、流程和要求;(2)制定网络安全事件应急预案,确保网络安全事件得到及时、有效处置;(3)定期开展网络安全培训和宣传活动,提高全员网络安全意识。
2. 安全技术防护(1)按照国家网络安全等级保护要求,对信息系统进行安全等级保护定级;(2)采用安全可靠的技术手段,对信息系统进行安全防护,包括防火墙、入侵检测、入侵防御、安全审计等;(3)定期进行安全漏洞扫描和修复,确保信息系统安全稳定运行。
3. 安全运维管理(1)建立网络安全运维管理制度,明确运维人员职责、操作规范和应急响应流程;(2)对运维人员进行安全培训,提高运维人员网络安全意识和技能;(3)定期对运维人员进行安全考核,确保运维工作符合网络安全要求。
4. 安全事件管理(1)建立健全网络安全事件报告、调查、处理和通报制度;(2)对网络安全事件进行及时、有效的调查和处理,防止事件扩大;(3)定期开展网络安全事件分析,总结经验教训,完善安全防护措施。
5. 数据安全与个人信息保护(1)建立健全数据安全管理制度,明确数据分类、存储、传输、处理和销毁等环节的安全要求;(2)采取技术和管理措施,确保数据安全,防止数据泄露、篡改、破坏;(3)加强个人信息保护,依法合规处理个人信息,防止个人信息泄露、滥用。
企业网络安全等保管理制度
一、总则为了加强企业网络安全管理,保障企业信息系统和数据资源的安全,预防网络攻击和泄露事件的发生,根据国家相关法律法规和网络安全等级保护制度的要求,特制定本制度。
二、组织架构与职责1. 成立企业网络安全领导小组,负责企业网络安全工作的统筹规划、组织协调和监督实施。
2. 设立网络安全管理部门,负责企业网络安全的具体实施和管理工作。
3. 各部门、子公司应指定专人负责网络安全工作,明确职责,落实责任。
三、网络安全管理制度1. 物理安全:加强企业办公区域、数据中心等物理场所的安全管理,防止非法侵入、破坏、盗窃等事件发生。
2. 网络安全:加强企业内部网络、外部网络的安全防护,包括防火墙、入侵检测、入侵防御、漏洞扫描等安全设备的使用和维护。
3. 主机安全:加强企业内部主机(服务器、终端等)的安全管理,包括操作系统、数据库、应用系统等的安全加固、漏洞修复、病毒防护等。
4. 应用安全:加强企业内部应用系统的安全管理,包括应用系统开发、测试、部署、运行等环节的安全控制。
5. 数据安全:加强企业内部数据的安全管理,包括数据加密、访问控制、备份恢复、数据丢失防范等。
6. 个人信息保护:加强企业内部个人信息保护,严格按照国家相关法律法规和标准要求,对个人信息进行收集、存储、使用、传输和删除等环节进行安全控制。
7. 安全监测与事件响应:建立网络安全监测体系,实时监测网络安全状况,发现安全事件及时响应、处理。
8. 安全培训与意识提升:定期开展网络安全培训,提高员工网络安全意识和技能,降低网络安全风险。
四、网络安全考核与奖惩1. 建立网络安全考核机制,对各部门、子公司网络安全工作进行定期考核,考核结果纳入年度绩效考核。
2. 对在网络安全工作中表现突出的单位和个人给予表彰和奖励;对违反网络安全规定的单位和个人,依法依规进行处罚。
五、附则1. 本制度自发布之日起施行。
2. 本制度由企业网络安全管理部门负责解释。
3. 本制度如与国家相关法律法规和标准要求不一致,以国家相关法律法规和标准要求为准。
等保三级管理制度模板
一、总则
第一条为了加强本单位的网络安全管理,确保信息安全,根据《中华人民共和国
网络安全法》及国家相关法律法规,结合本单位实际情况,特制定本制度。
第二条本制度适用于本单位所有信息系统,包括但不限于计算机系统、网络系统、数据库系统等。
第三条本制度遵循以下原则:
(一)安全第一,预防为主;
(二)全员参与,责任到人;
(三)依法合规,持续改进。
二、组织机构与职责
第四条成立本单位网络安全领导小组,负责组织、协调、监督网络安全管理工作。
第五条网络安全领导小组职责:
(一)制定网络安全管理制度,并组织实施;
(二)负责网络安全风险的识别、评估和控制;
(三)组织网络安全培训和宣传;
(四)协调解决网络安全事件;
(五)监督网络安全工作的落实情况。
第六条设立网络安全管理办公室,负责日常网络安全管理工作。
第七条网络安全管理办公室职责:
(一)负责网络安全制度的具体实施;
(二)负责网络安全事件的监测、报告和处置;
(三)负责网络安全设备的采购、安装和维护;
(四)负责网络安全培训的组织和实施;
(五)负责网络安全信息的收集、整理和上报。
三、安全管理制度
第八条安全策略与管理:
(一)制定网络安全策略,明确安全目标、范围、责任和措施;
(二)建立网络安全管理制度,包括但不限于访问控制、身份认证、安全审计、安全漏洞管理等;
(三)定期对网络安全策略和管理制度进行审查和更新。
第九条安全技术防护:
(一)配置网络安全设备,如防火墙、入侵检测系统、防病毒系统等;
(二)定期对网络安全设备进行维护和升级;
(三)对重要信息系统。
网络安全等级保护管理制度模板
网络安全等级保护管理制度模板一、总则1. 本制度旨在加强网络安全管理,保障网络信息安全,维护网络秩序。
2. 本制度适用于所有使用公司网络资源的员工及第三方合作者。
二、组织机构与职责1. 成立网络安全管理小组,负责网络安全等级保护的具体实施和监督。
2. 明确网络安全管理小组的职责,包括但不限于网络安全策略的制定、执行、监督和审计。
三、网络安全等级划分1. 根据网络系统的重要程度和数据敏感性,将网络系统划分为不同的安全等级。
2. 每个安全等级应有相应的保护措施和应急预案。
四、安全策略与要求1. 制定全面的网络安全策略,包括访问控制、密码管理、数据加密、防病毒、防火墙等。
2. 定期对网络安全策略进行审查和更新。
五、资产管理1. 对所有网络资产进行登记管理,包括硬件、软件、网络设备等。
2. 定期对网络资产进行安全评估和风险分析。
六、人员安全管理1. 对所有使用网络资源的员工进行网络安全培训。
2. 明确员工在网络安全方面的职责和行为准则。
七、物理与环境安全1. 确保网络设备和数据中心的物理安全,防止未授权访问。
2. 监控和控制对网络设施的物理访问。
八、通信与操作安全管理1. 确保网络通信的安全性,使用加密技术保护数据传输。
2. 监控网络操作,防止非法入侵和滥用。
九、访问控制1. 实施基于角色的访问控制策略,确保员工只能访问授权的信息资源。
2. 定期审查和更新访问权限。
十、信息系统获取、开发和维护1. 对新开发的信息系统进行安全评估,确保符合安全等级要求。
2. 定期对现有信息系统进行安全维护和升级。
十一、信息安全事件处理1. 建立信息安全事件响应机制,包括事件报告、评估、处理和恢复流程。
2. 记录所有安全事件,进行定期分析和总结。
十二、安全审计与监控1. 实施定期的安全审计,评估网络安全状况和政策执行情况。
2. 建立网络监控系统,实时监控网络活动,及时发现异常行为。
十三、安全培训与宣传1. 定期对员工进行网络安全知识和技能的培训。
网络安全等级保护管理制度
网络安全等级保护管理制度第一章绪论第一条为了加强网络安全等级保护管理,维护国家网络安全,保护国家利益和社会公共利益,依据《网络安全法》等相关法律法规,制定本制度。
第二条本制度适用于我国各类网络运营者和网络使用者,具体包括但不限于政府机关、企事业单位、社会团体、个人等。
同时,本制度也适用于为其它单位、个人提供网络服务或者网络资源的网络运营者、服务提供者和网络使用者。
第三条网络安全等级保护管理是指根据网络安全风险等级划分网络安全等级,对不同等级的网络实行不同的安全保护管理措施的过程。
网络安全等级保护管理包括网络安全等级的划分、网络安全等级的评估、网络安全等级的保护和网络安全等级的监测监控等内容。
第四条国家网络安全等级保护管理是由国家网络安全主管部门负责统一领导、全面协调、指导管理,并指导和监督有关单位和个人按照网络安全等级保护管理制度的要求开展网络安全保护工作。
第五条地方各级人民政府网络安全及有关主管部门应当在本行政区域内组织、指导网络安全等级保护管理工作,并配合国家网络安全主管部门做好相关工作。
第二章网络安全等级划分第六条网络安全等级划分是指依据国家网络安全风险评估结果,对网络按照其网络安全风险等级的高低进行分类划分的活动。
第七条国家对网络安全等级划分的原则是:适应国家网络安全风险等级分类管理的需要,保证国家关键信息基础设施(以下简称关键信息基础设施)的网络安全,加强对网络安全的管理和控制,加强关键信息基础设施的保护力度。
第八条关键信息基础设施分为三个安全等级:高级别、中级别和低级别。
高级别包括国家安全、国民经济的正常运行和社会生活的运行至关重要的信息基础设施;中级别包括国民经济和社会生活运行的重要信息基础设施;低级别包括与国民经济和社会生活运行有关的信息基础设施。
第九条在国家网络安全等级划分中,应当综合考虑以下要素:信息技术系统的安全可靠性和运行稳定性、信息或信息系统的机密性、完整性和可用性等信息安全保护需求,以及与信息安全保护有关的法律法规和标准要求等。
网络安全等级保护管理制度
网络安全等级保护管理制度一、制定目的网络安全等级保护管理制度的制定旨在加强网络安全的管理,确保网络系统的稳定运行和信息的安全性,保护机构的核心资产和敏感信息,避免网络安全事件的发生,提高整体安全防护水平。
二、适用范围本制度适用于机构内各类网络系统的安全等级保护管理,包括但不限于:主机、服务器、网络设备、网络应用系统等。
三、管理原则1. 明确责任分工:明确网络安全管理的责任主体,建立健全安全责任体系。
2. 分级管理予以保护:根据网络系统的重要性和敏感程度,划分不同等级进行安全保护。
3. 统一安全标准建设:制定一套统一的安全标准,确保网络安全控制的一致性。
4. 关键信息保护优先:对于机构的关键信息资产,进行重点保护和防护。
5. 风险评估和控制:定期进行风险评估,采取相应措施降低风险。
6. 安全事件及时响应:建立安全事件监测、分析和响应机制,及时处理安全事件。
7. 员工安全意识培训:加强员工的安全意识培训,提高安全防护意识。
四、保护等级划分根据机构的网络系统重要性和敏感程度,将网络系统划分为不同的安全等级,并根据等级设计相应的安全措施和保护要求。
五、安全控制措施1. 访问控制:对网络系统进行身份识别和鉴别,限制非授权人员的访问。
2. 审计控制:对网络系统进行审计,记录和监控系统的操作和修改行为。
3. 备份和恢复:定期对网络系统进行数据备份,并确保能够快速恢复到正常状态。
4. 加密技术保护:对敏感信息进行加密传输和存储,防止信息泄露。
5. 威胁检测和防护:采用防火墙、入侵检测系统等技术手段,及时发现并防范威胁。
6. 安全漏洞管理:及时修补系统漏洞,保证系统的安全性和稳定性。
7. 安全事件响应:建立安全事件响应流程,及时处置并进行事故分析。
8. 物理安全措施:对服务器和网络设备进行物理防护,确保设备的安全。
六、员工安全责任1. 员工安全意识培养:加强员工的网络安全意识培养和培训。
2. 安全授权和访问权限管理:对员工进行安全授权和访问权限管理,确保合理使用。
网络安全等级保护管理制度
网络安全等级保护管理制度第一章绪论一、总则为加强我国网络安全等级保护管理工作,维护国家网络安全,保障国家政治、经济、文化和社会信息安全,根据《网络安全法》有关规定,制定本管理制度。
二、目的和基本原则(一)本管理制度的目的是规范网络安全等级保护管理工作,确保网络信息系统的安全性和稳定性,维护国家信息网络安全。
(二)基本原则:依法、科学、公正、独立原则。
三、适用范围本管理制度适用于国家机关、企事业单位、社会组织和个人在境内通过互联网接入或者提供信息服务业务的网络信息系统的等级保护管理工作。
第二章网络安全等级划分一、等级划分标准(一)根据网络信息系统对待保护对象的重要程度和对信息安全的保护要求,网络安全等级分为四个等级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级。
(二)对不同等级的网络信息系统,其重要性和风险程度越高,要求的保护程度越高。
(三)具体等级划分标准由国家网络信息安全管理部门按照现行法律法规和规章制度制定。
二、等级保护要求(一)Ⅰ级网络信息系统1. 高可用性:不可接受长时间停机。
2. 安全性:必须采取高强度防护,确保系统不被攻破。
3. 保密性:绝对保密,未经授权人员不得查看系统数据。
4. 审计功能:系统需具备完善的审计功能,对系统操作和记录进行监控。
5. 安全监控:对危险源进行监视,确保网络安全。
(二)Ⅱ级网络信息系统1. 可用性:要求系统可用性高,且能够快速恢复。
2. 安全性:系统需采取必要防护措施,保障系统不被攻击。
3. 机密性:要求信息保密性高,严格限制数据访问权限。
4. 审计功能:对系统操作和记录进行审计,及时发现安全问题。
5. 安全监控:对系统运行状态进行监控,发现异常状况及时处理。
(三)Ⅲ级网络信息系统1. 可靠性:确保系统稳定运行,能够防范常见的安全威胁。
2. 安全性:采取适当防护措施,确保系统不受攻击。
3. 机密性:要求信息保密性较高,限制数据访问权限。
4. 审计功能:对系统操作和记录进行审计,及时发现问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全等级保护管理制度目录一.信息安全管理机构及人员职责设置制度 (4)一、信息安全管理机构及职责 (4)二、信息安全人员岗位及职责 (4)三、机构之间的沟通与合作 (5)二.信息安全岗位人员管理制度 (7)三.计算机机房日常管理制度 (9)一、机房区域访问规定 (9)二、机房环境卫生规定 (9)三、物品进出管理规定 (10)四、机房空调管理规定 (10)五、机房环境监控规定 (10)四.办公环境安全管理制度 (12)五.存储介质安全管理制度 (14)一、介质的存放 (14)二、介质的使用 (14)三、介质的带出与维修 (15)四、介质的报废或销毁 (15)六.信息化资产安全管理制度 (16)七.系统建设安全管理制度 (18)一、系统定级及系统安全方案设计 (18)二、安全产品采购和使用 (18)三、自行软件开发 (18)四、外包软件开发 (19)五、工程实施 (20)六、测试验收 (20)七、系统交付 (20)八、安全服务商选择 (20)八.网络安全管理制度 (22)九.系统运维安全管理制度 (24)十.计算机和服务器防病毒管理制度 (27)十一. 安全保密和密码管理制度 (28)十二. 备份和恢复管理制度 (29)十三. 安全事件分类及处理流程 (30)十四. 信息安全应急预案管理制度 (32)十五. 信息安全知识培训管理制度 (33)一.信息安全管理机构及人员职责设置制度一、信息安全管理机构及职责(该单位)信息安全管理工作由局信息安全工作领导小组负责,领导小组下设办公室,设在规划科技处,规划科技处负责有关信息安全工作的组织协调,技术中心承担具体工作。
(一)领导小组职责在局党组领导下,负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划;审议信息安全的标准规范、规章制度等;审议信息化建设方案中关于信息安全相关内容;审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题;督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。
(二)领导小组办公室职责贯彻落实局信息安全工作领导小组的决策;研究制定信息安全各项政策、技术标准和管理制度;研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见;研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议;承办领导小组交办的具体工作。
二、信息安全人员岗位及职责(该单位)根据信息化建设及维护工作实际,设置系统管理员、网络管理员、安全管理员、机房管理员等岗位,安全管理员不能兼任网络管理员、系统管理员、机房管理员等,关键岗位应配备多人共同管理,同时可以根据需要设定相应的技术专家团队,负责网络的整体安全运行。
(一)系统管理员的岗位职责负责信息系统硬件和系统软件的建设、管理、信息安全及运维保障工作。
(二)网络管理员的岗位职责1.负责实施网络系统的安全措施与保障策略,维护系统正常运行;2.负责省局相关人员网络技术培训工作。
(三)安全管理员的岗位职责1.负责网络的漏洞扫描、病毒库升级更新和病毒、漏洞、恶意代码的预警等;2.负责信息安全技术培训工作和进行安全检查,汇总安全检查数据,形成检查报告。
(四)机房管理员的岗位职责1.负责机房进出人员的管理和监督;2.负责在第一时间发现故障或故障隐患,并及时报告;3.参与机房的值班。
三、机构之间的沟通与合作1.信息安全工作由局信息安全工作领导小组统一管理,局机关各处室、局直属事业单位必须密切配合,加强内部的合作与沟通,技术中心负责技术支持和保障;2.加强与中省直负责国家安全、保密、公安、通信的部门及业界专家、供应商等单位的外部合作与沟通;3.聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
二.信息安全岗位人员管理制度一、系统管理员、网络管理员、安全管理员、机房管理员等信息安全有关的岗位人员,必须经过严格的审查并考核其业务能力。
二、明确所有信息安全岗位人员在信息系统安全保护中的职责和权限,其工作、活动范围应当被限制在完成其任务的最小范围内。
三、对可接触较多机密或更高级别安全信息的人员,需要签订保密协议。
四、信息安全岗位人员确定以后,不能随意进行更换,如确需进行人员变动的话,必须提前上报局信息化领导小组审批。
五、信息安全岗位人员更换的时候,必须做好交接工作,在新的管理员可以独立工作之前,老的管理员不得离岗,必须给予新管理员充分的技术指导,协助其尽快熟悉工作。
六、信息化领导小组每年对信息安全岗位人员进行信息安全考察,结果将进行存档。
七、对于考核中发现有违反信息安全法规行为的人员或发现不适宜承担信息安全关键岗位的人员要依据有关规定处理。
八、信息化领导小组每年将根据需要对系统管理员、网络管理员、安全管理员、机房管理员等岗位人员进行一次工作督察。
九、安全管理员应定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况,并汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
十、信息化领导小组负责对系统变更、重要操作、物理访问和系统接入等事项进行审批,审批通过后可对信息系统进行关键活动的具体操作。
三.计算机机房日常管理制度一、机房区域访问规定1.计算机机房除指定的管理人员外,其他人员不得随意进入。
2. 其他人员进入机房必须经有关领导批准并登记备案,并且必须有管理人员全程陪同,同时只允许在批准的区域进行相关活动。
3.经批准进入的供应商/合作商(涉及机密信息)应签订保密协议。
4.机房管理人员离职时,所有的访问权必须立即收回或取消。
5.未经安全管理人员或有关领导同意,任何人不得摄影、拍照。
二、机房环境卫生规定1.进入机房的人员要穿鞋套,所有人员必须保持机房的环境卫生。
2.在机房安装调试机器或者其他网络设备,工作完成后,必须将工作场地清扫干净。
3.应定期对机房进行环境卫生清扫工作,包括地毯、办公区、桌椅、玻璃、窗台等。
4.应定期对网络设备,服务器等其他辅助设备进行除尘等清扫。
5.应定期对空调的过滤净化设备进行清洗或者更换。
6.饮用水等瓶装的水,不允许带入机房,只可以在机房外的休息室内存放和饮用。
三、物品进出管理规定1.机房物品进出要严格进行登记,详细填写机房物品进出登记表。
2.进入机房的物品需经过机房管理人员的同意方可带入。
3.个人计算机等产品带入机房,未经同意严禁接入到机房内的局域网内,因为工作需要必须接入的,要经过批准,同时在接入前,要先经过查病毒和木马等过,确认安全后方可接入,接入时要有机房人员陪同,严格控制接入计算机访问的范围。
4.如果要进行机房内摄录时需要报请审批,批准后方可在机房人员的监督和控制之下进行摄录等操作,同时对摄录的内容进行登记。
5.粉末状、易燃易爆和易挥发的物品,严禁带入机房。
四、机房空调管理规定1.机房内空调的调整应专人负责,空调的开停可以设定为自动模式。
2.机房内空调温度夏天最低温度不能低于20℃,冬天最高的温度不能超过22℃,湿度设定在40-70%。
3.机房内空调需要定期检查和清洁。
4.严禁在空调的进风口或者出风口进行遮挡。
5.空调维修必须由专业人员负责,严禁私自拆卸等操作。
五、机房环境监控规定1.机房内应安装视频监控设备,并应由专人负责监视。
2.机房内应安装安全烟雾、防水防潮、温度报警等环境监控报警设备,夜间值班人员要定期查看。
3.机房内应安装电子驱鼠、防盗报警等设备。
四.办公环境安全管理制度一、计算机上的密级文件,工作人员应采取适当的加密措施,妥善存放。
二、工作人员对发送到本单位外部的涉及机密信息的邮件必须加密,可用PGP进行高强度的密钥加密,也可使用WINZIP进行压缩并加上口令加密。
三、办公室无人时,工作人员离开前必须锁门,完成应用系统的操作或离开工作岗位时,应及时退出应用系统。
四、工作人员在使用自己所属的计算机时,应该设置开机、屏幕保护、目录共享口令,口令符合复杂度要求。
五、工作人员在设备中不得安装非标准软件或未经申请的软件。
六、工作人员不允许在本单位网上传播和散布与工作无关的文章和评论,不能下载、使用、传播与工作无关的资料,不能访问与工作无关的站点,特别是反动、淫秽、游戏、聊天等类型的网站。
七、工作人员不允许私自设立WWW、FTP、BBS、NEWS等应用服务,不得设立网上游戏服务,不得私自设立拨号接入服务。
八、工作人员之间不允许私下互相转让、借用本单位IT资源账号,对本单位应用系统的账号口令应定期更改。
九、对工作需要授权他人查看自己的邮箱或自己有权的其他应用系统的信息时,应尽量通过增加对方权限的方式,而不应将自己的账号和密码告诉被授权人。
十、工作人员在工作岗位调动或离职时,应主动填写移交或账号变更申请表(包括各种应用系统的账号)。
五.存储介质安全管理制度一、介质的存放1.介质应在常温下存储。
2.涉密存储介质应保存在电子密码文件柜内。
3.介质的存放环境应有防火、防水、防震及防静电等措施,以免造成对介质的损坏。
4.介质的存放应远离强磁环境,同时避免与其他能够发射强磁辐射的设备一起存放。
5.介质存放时应对其中的数据进行加密处理,然后对介质进行分类标识。
二、介质的使用1.各部门内应设置专门人员对介质进行管理,避免因为介质的使用不当造成信息泄密。
2.介质采取统一购置、统一标识、严格登记、授权使用及领用、集中监管的模式,严禁私人擅自使用自购的各种存储介质,严控发放范围。
3.介质传递应包装密封,包装上应当标明编号和使用单位名称,确保信息不能在传递的途中被窥视或泄漏。
4.介质的接收应履行登记、入账等手续,收到介质后,应确认该介质的接受人员,针对涉及敏感信息的介质要严格根据相关的安全保密的规定进行。
5.阅读介质中的信息前应对介质进行病毒查杀等安全检测。
6.介质归档和查询时,应登记记录,并根据存档介质的目录清单定期盘点。
三、介质的带出与维修1.外出携带时,介质应始终处于携带人的有效控制之下。
2.因工作需要携带介质离开单位的,应检查该信息是否涉及重要秘密,如涉及国家秘密应遵守相关的保密法规,严禁将存储有害国家利益信息的介质携带出境。
3.介质维修时应进行严格审批,应填写维修记录,维修记录应标明送修人姓名、送修时间、维修单位等信息。
4.如果介质是非纸张的设备,送外部维修时应找可靠的维修地点进行修理,送出前要对内部信息进行彻底删除的操作,如U盘等要进行低级格式化,如果无法进行,也要控制内部信息的传播范围,介质返回后要进行格式化和病毒查杀操作。
四、介质的报废或销毁介质的报废或销毁应采用技术手段确保消除的敏感信息无法还原,对纸介质的销毁可采用碎纸机等进行,严禁将本单位的废纸以及相关的纸张等介质未经处理就当废品出售。
六.信息化资产安全管理制度一、局办公室负责建立信息化资产(设备)台帐,包括设备来源、购买时间、设备型号、使用部门、重要程度、用途、所处位置、折旧事项,保修条款等。