修订网络数据和信息安全管理规范
中华人民共和国网络安全法(新修订)
中华人民共和国网络安全法(新修订)本文旨在概述中华人民共和国网络安全法的新修订内容,以下为要点总结:一、修订背景网络安全是当今社会中的重要问题。
为了适应快速发展的网络技术和互联网产业的需要,中华人民共和国网络安全法进行了新的修订。
本次修订旨在加强网络安全的管理,保护个人和组织的网络信息安全,维护国家的网络主权和安全。
二、重点修订内容1. 数据安全新修订的网络安全法加强了对个人和组织的数据安全的保护。
明确规定了个人信息和重要数据的收集、存储、传输和处理的要求,加强了对数据泄露和滥用的惩罚力度。
2. 信息网络运行安全新修订的网络安全法强化了信息网络的运行安全管理。
明确规定了网络基础设施的安全保护责任,要求网络运营者建立健全的安全管理制度和应急预案,加强网络安全监测和防护。
3. 个人信息保护新修订的网络安全法更加注重保护个人信息安全。
明确规定了个人信息的合法获取和使用条件,要求个人信息的收集和处理必须经过明确的事先同意。
任何个人信息的泄露、篡改、销售等行为都将受到法律制裁。
4. 网络安全管理新修订的网络安全法加强了对网络安全管理的要求。
明确规定了网络安全责任的分工和承担机构的职责,要求加强网络安全人才的培养和技术支持,提高网络安全防护能力。
5. 互联网服务安全新修订的网络安全法重视互联网服务的安全保护。
明确规定了互联网服务提供者的安全责任和管理要求,要求建立健全的安全管理制度,保障互联网服务的安全可靠。
三、总结中华人民共和国网络安全法的新修订加强了对网络安全的管理和保护。
通过规范个人和组织的网络行为,加强数据和信息的安全保护,提高网络安全防护能力,维护网络主权和国家安全。
这将为建设网络强国和实现信息化发展目标提供有力法律支持。
以上是《中华人民共和国网络安全法(新修订)》的要点概述。
如需详细了解修订内容,请参阅正式的法律文件,并咨询相关法律专业人士。
> 注意:本概述内容仅供参考,具体修订内容以正式法律文件为准。
网络信息安全管理制度
网络信息安全管理制度一、总则随着信息技术的飞速发展,网络已经成为我们生活和工作中不可或缺的一部分。
然而,网络信息安全问题也日益凸显,如病毒攻击、数据泄露、网络诈骗等,给个人、企业和社会带来了巨大的损失。
为了保障网络信息的安全,维护正常的网络秩序,特制定本网络信息安全管理制度。
本制度适用于所有使用本单位网络资源的人员,包括员工、合作伙伴、访客等。
二、网络安全管理组织架构与职责(一)设立网络信息安全管理小组由单位高层领导担任组长,各部门负责人为成员。
其主要职责包括:制定和修订网络信息安全管理制度;监督制度的执行情况;协调处理重大网络信息安全事件等。
(二)明确各部门的网络安全职责技术部门负责网络系统的建设、维护和安全防护;业务部门负责本部门业务数据的安全管理;行政部门负责网络安全的宣传和培训等。
三、人员安全管理(一)员工入职时的网络安全培训新员工入职时,必须接受网络信息安全培训,了解网络安全的基本知识和单位的网络安全管理制度。
(二)员工离职时的网络账户处理员工离职时,应及时注销其网络账户,收回相关权限,并对其所使用的设备进行安全检查。
(三)员工日常网络行为规范员工不得利用单位网络从事非法活动;不得泄露单位的商业秘密和客户信息;不得随意下载和安装未经授权的软件等。
四、设备安全管理(一)设备采购与登记采购网络设备时,应选择符合国家安全标准的产品,并进行登记备案。
(二)设备维护与更新定期对网络设备进行维护和更新,确保其正常运行和安全性。
(三)设备报废处理对报废的网络设备,应按照规定进行数据清除和物理销毁,防止信息泄露。
五、数据安全管理(一)数据分类与分级对单位的数据进行分类和分级,根据重要程度采取不同的安全保护措施。
(二)数据备份与恢复定期对重要数据进行备份,并建立有效的恢复机制,以应对数据丢失或损坏的情况。
(三)数据访问控制设置严格的数据访问权限,只有经过授权的人员才能访问相应的数据。
六、系统安全管理(一)操作系统安全及时安装操作系统的补丁,关闭不必要的服务和端口,加强操作系统的用户认证和授权管理。
2023年网络与信息安全管理制度最新修订7篇通用
2023年网络与信息安全管理制度最新修订7篇通用2023年网络与信息安全管理制度【篇1】第一章总则第一条为了保护楚门镇第二中学校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度。
第二条本管理制度所称的校园网络系统,是指由学校投资购买、由信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。
第三条校园网系统系统设备管理维护工作由信息中心负责,信息中心可以委托相关单位指定人员代为管理子节点设备。
任何单位和个人,未经信息中心同意、不得擅自安装、拆卸或改变网络设备。
第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的服务器、工作站。
第二章安全管理组织第五条校园网络安全领导小组由分管校领导和校办、宣传部、保卫处、信息中心等部门负责人组成,对校园网络安全负责。
校网中心在安全领导小组指导下负责具体的网络安全运行管理工作。
校网中心指定专人作为网络安全专管员,实行持证上岗,负责1)对本部门工作人员的安全教育;2)网络安全保护的管理工作,对各项安全保护制度的执行情况进行监督;3)定期向公安机关汇报本部门安全组织的工作情况;4)配合公安机关开展案件调查工作。
第三章安全保护运行第七条除信息中心,其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施;不得采用各种手段切断学校、部门或他人网络的连接。
第八条校园内从事施工、建设,不得危害计算机网络系统的安全。
校园网络主结点及二级结点所在单位必须保证节点设备24小时正常运行,不得以任何理由关闭有关设备或电源。
第九条校内接入单位应当建立健全网络安全管理制度,建立备案制度,真实详尽记录各联网计算机的使用者和使用时间,并保留半年以上。
网络及信息安全管理制度
网络及信息安全管理制度第一章总则第一条为规范公司网络及信息安全管理工作,保障公司网络系统的正常运行和信息安全,根据国家相关法律法规,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有员工,包括正式员工、实习生、临时员工等,以及与公司网络及信息安全相关的所有活动。
第三条公司网络及信息安全管理工作应坚持“预防为主、综合治理”的原则,确保网络系统的稳定性、可用性和安全性。
第二章网络使用管理第四条公司员工应严格遵守国家法律法规和公司网络使用规定,不得利用公司网络从事违法、违规活动。
第五条员工应妥善保管个人账号和密码,不得将账号借给他人使用,也不得尝试获取他人的账号信息。
第六条员工应合理使用网络资源,不得下载、传播违法、违规信息,也不得进行大量占用网络带宽的行为。
第七条未经公司批准,员工不得私自接入外部网络设备或私自更改网络配置。
第三章信息安全保护第八条公司应建立健全信息安全保护体系,包括物理安全、网络安全、系统安全、应用安全和数据安全等方面。
第九条公司应定期对网络系统进行安全检查和评估,及时发现和修复安全隐患。
第十条公司应制定并执行严格的数据备份和恢复策略,确保数据的完整性和可用性。
第十一条员工应严格遵守公司保密规定,不得泄露公司机密信息,也不得将敏感数据外泄或用于个人用途。
第十二条对于涉及敏感信息的数据处理和存储,应采取加密、访问控制等安全措施。
第四章应急响应与处置第十三条公司应建立网络安全应急响应机制,明确应急响应流程和责任人,确保在发生网络安全事件时能够迅速响应和处置。
第十四条员工发现网络安全事件或异常情况时,应立即报告给相关部门或负责人,不得隐瞒或私自处理。
第十五条对于发生的网络安全事件,公司应组织专门团队进行调查和分析,查明原因并采取相应的纠正和预防措施。
第五章监督与考核第十六条公司应设立专门的网络安全管理部门或岗位,负责网络及信息安全管理制度的制定、执行和监督。
第十七条公司应定期对员工的网络及信息安全意识进行培训和教育,提高员工的安全意识和技能。
IT部信息安全管理与网络设备使用规范
IT部信息安全管理与网络设备使用规范在现代信息技术高度发达的背景下,信息安全管理以及网络设备使用规范成为IT部门不可忽视的重要课题。
本文将探讨IT部门在信息安全管理和网络设备使用方面的规范要求,旨在确保企业网络环境的安全稳定运行。
一、信息安全管理规范1. 密码安全首先,IT部门应制定并严格执行密码安全规范。
包括但不限于以下要求:(1)密码复杂度要求:密码应包含至少8位字符,包括大写和小写字母、数字以及特殊字符;(2)定期更改密码:用户密码应定期更改,建议每3个月更换一次;(3)禁止共享密码:严禁用户将密码共享或泄露给他人,用户需对自己的账号和密码的安全负责。
2. 系统访问控制为确保系统的安全性,IT部门需建立健全的系统访问控制规范,包括但不限于以下方面:(1)权限管理:根据岗位职责和业务需求,将用户划分为不同的权限组,且权限应按需授权,严禁赋予不必要的权限;(2)访问日志记录:系统应具备完善的访问日志记录功能,记录用户的登录和操作行为,以便日后审计和追责;(3)远程访问控制:对于需要远程访问的用户,应采取额外的安全措施,如VPN等加密通道进行连接。
3. 数据备份与恢复IT部门应制定数据备份与恢复规范,确保数据的安全可靠性,以应对意外数据丢失或系统故障等情况。
具体规范如下:(1)定期备份:对关键数据进行定期备份,备份频率根据数据的重要性而定;(2)备份验证:备份数据应进行验证以确保备份文件完整无误,备份文件的存储位置应安全可靠;(3)灾难恢复计划:IT部门应制定完善的灾难恢复计划,包括数据恢复的流程、责任人以及测试和演练等。
二、网络设备使用规范1. 设备配置管理IT部门应建立网络设备配置管理规范,以确保设备的合理配置和安全运行。
具体规范包括但不限于以下要求:(1)设备命名规范:对设备进行统一的命名标准,以便管理和维护;(2)设备登记备案:对每台设备进行登记备案,记录设备的基本信息、购买时间、保修期限等;(3)设备配置备份:对设备的配置进行备份,以便在需要时能够快速恢复设备配置;(4)设备升级和维护:定期检查设备的版本信息,及时进行升级和维护,确保设备的安全性和稳定性。
加强网络信息安全管理的实施方案
加强网络信息安全管理的实施方案随着互联网的快速发展,网络信息安全问题日益突出,泄露、窃取和破坏网络信息的事件频频发生,给个人、企业和国家造成了严重的损失。
为了保障网络信息的安全,加强网络信息安全管理的实施至关重要。
下面是一份加强网络信息安全管理的实施方案。
一、加强网络设备安全管理1. 优化网络设备配置,及时更新安全补丁,防止网络设备被黑客攻击。
2. 采用硬件防火墙、入侵检测系统和流量监控系统等安全设备,进行网络流量的监测和防御工作。
3. 对网络设备进行定期的安全检测和漏洞扫描,及时发现并修补安全漏洞。
二、加强网络访问权限管理1. 对用户进行身份验证,确保用户的合法性和真实性。
2. 采用多层次的网络访问控制机制,区分不同用户的权限,实现资源的有效管理。
3. 定期对用户的访问权限进行审核和调整,及时关闭非法用户的访问权限。
三、加强网络数据加密和传输安全1. 对重要的网络数据进行加密处理,确保数据的机密性、完整性和可用性。
2. 采用安全加密协议和虚拟专用网络(VPN)等工具,保证数据在传输过程中的安全性。
3. 定期对网络数据进行备份和恢复,以防数据丢失或被不法分子盗取。
四、加强员工的网络安全意识教育1. 组织网络安全培训,提高员工的网络安全意识和技术知识水平。
2. 制定网络安全规章制度,明确员工在网络使用中的行为规范和安全责任。
3. 加强员工对网络攻击的防御意识,提高员工主动防范网络威胁的能力。
五、加强外部安全合作与信息共享1. 建立网络安全联络机制,与相关部门和组织建立合作关系,及时共享网络安全信息。
2. 加强与安全厂商的合作,在网络安全威胁发生时能够及时获得专业的技术支持。
3. 参与国际网络安全合作,加强国际间网络安全的交流与合作,共同应对跨国网络威胁。
六、加强网络安全事件的监测和响应能力1. 建立网络安全事件监测中心,进行网络威胁的实时监测和预警。
2. 建立网络安全事件的响应机制,对网络安全事件进行及时、有效的处置和应急处理。
信息安全管理规范和保密制度范文(二篇)
信息安全管理规范和保密制度范文一、引言信息安全管理规范和保密制度是组织内部确保信息安全、保护重要数据和保密信息的重要规范和制度。
本文将对信息安全管理规范和保密制度进行详细阐述,旨在加强信息安全管理、提高保密工作的效果。
二、信息安全管理规范1. 内部网络安全管理1.1 网络访问控制组织应建立网络访问控制机制,只允许具有相应权限的人员通过身份认证后进行访问和操作,防止未经授权的访问和数据泄露风险。
1.2 安全防火墙建立安全防火墙来监控网络流量,阻挡未经授权的访问和恶意攻击,确保网络通信的安全性和机密性。
1.3 恶意软件防护组织应定期更新和升级安全软件和防病毒软件,及时监测和拦截潜在的恶意软件,以防止恶意代码的侵入和传播。
2. 信息资产保护2.1 分类和标记对组织内的信息资产进行分类和标记,根据其重要程度和敏感程度,采取相应的措施进行保护和访问控制,防止信息泄露和非法使用。
2.2 存储和传输安全组织应建立加密机制,对重要的信息资产在存储和传输过程中进行加密处理,确保信息在存储和传输时不被窃取、更改或篡改。
2.3 备份和恢复组织应定期进行信息资产的备份,并建立相应的恢复机制,以防止信息丢失和灾难发生后能够及时恢复业务。
3. 人员安全管理3.1 人员权限管理对组织内的人员进行权限管理,确保每个人员只拥有其所需的最低权限,避免越权访问和误操作带来的风险。
3.2 人员培训和意识教育组织应定期进行信息安全培训和意识教育,提高员工对信息安全的认知和重视程度,减少因为员工的疏忽或不当操作而导致的信息安全问题。
3.3 雇佣和辞退审查组织应对招聘和离职人员进行背景调查和审查,确保雇佣的人员不具有犯罪记录和泄密风险,以保障信息安全。
4. 物理安全管理4.1 机房安全组织应加强对机房的物理安全管理,如设置门禁系统、视频监控系统等,防止未经授权人员进入机房,确保机房内的设备和数据安全。
4.2 资产管理组织应建立固定资产管理制度,做好设备和资产的登记、归还和处置工作,防止设备被盗或丢失。
2024年网络信息安全管理制度
一、引言随着互联网的发展,网络信息安全问题愈加凸显。
为了保障企业和个人的网络信息安全,制定网络信息安全管理制度是必不可少的。
本文将介绍2024年的网络信息安全管理制度,以保障网络信息安全。
二、目的和适用范围网络信息安全管理制度的目的是确保企业和个人的网络信息安全,防止网络黑客攻击、数据泄露等安全事件的发生。
该制度适用于所有使用互联网的企业和个人。
三、基本原则1.安全第一:网络信息安全应放在第一位,任何业务活动都不能以牺牲安全为代价。
2.按需访问:根据实际需求进行访问控制,确保只有授权人员能够访问和使用相关信息。
3.分级保护:根据信息敏感度和机密程度进行分级保护,确保不同级别的信息有相应的保护措施。
4.风险管理:建立完善的风险管理制度,及时发现和应对潜在的网络安全风险。
5.存在即合法:明确合法获取的网络信息的使用规范,并切实保护个人隐私。
四、网络信息安全管理1.安全设备配置:根据实际需求配置网络防火墙、入侵检测系统、安全网关等安全设备,提高网络的抵御攻击和防御能力。
2.信息备份与恢复:按照规定进行定期的数据备份,并建立完善的数据恢复机制,确保数据的安全可靠性。
3.系统更新与维护:及时升级操作系统和各种应用程序,修复漏洞,增强系统的安全性。
4.安全培训和教育:对所有员工进行网络安全培训和教育,提高他们的网络安全意识和知识。
五、网络安全事件响应1.安全事件监测与预警:建立安全事件监测和预警系统,及时发现网络安全事件的发生和风险的存在。
2.安全事件处理流程:明确安全事件的处理流程,确保及时有效地处理安全事件,减少损失。
3.安全事件调查和分析:对安全事件进行调查和分析,并改进相关的安全措施,防止类似事件的再次发生。
六、监督和评估1.内部监督:建立网络信息安全专门人员,定期检查和监督网络信息安全管理制度的实施情况。
2.外部评估:定期请专业安全机构进行外部评估,评估网络信息安全管理制度的有效性和合规性。
七、违规处理对于违反网络信息安全管理制度的行为,将视情节轻重,采取相应的处罚措施,包括警告、停职、解聘等,严惩不贷。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX有限公司WHB-08网络数据和信息安全管理规范版本号: A/0编制人: XXX审核人: XXX批准人: XXX20X X年X月X日发布20X X年X月X日实施1.0目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。
为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
2.0术语本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
2.1计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。
即确保信息的完整性、保密性、可用性和可控性。
包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
2.2狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。
2.3网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。
2.4计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
2.5普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。
2.6主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。
本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。
2.7网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。
2.8有害信息,参见国家现在法律法规的定义。
2.9重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。
3.0组织架构及职责分工3.1公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
3.3计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法规和上级有关规定,保障公司的计算机信息的安全。
3.4计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算机信息及网络安全负直接责任。
3.5各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信息及网络安全领导小组备案。
各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。
3.6相关岗位信息安全职责:3.6.1计算机及网络安全员:1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
3.6.2普通用户职责:1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、网线),不得私自接入网络。
3.7各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技术培训。
在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和权限及时进行变更或注销。
4.0 系统安全规定4.1公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。
携带计算机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
4.2各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增添、维修、调拨等的审核与管理。
计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
4.3使用、操作计算机设备时,应遵循以下安全要求:1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。
在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
5.0 账号管理安全5.1账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。
超出正常权限范围的,要经主管领导审批。
5.2系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
5.3严禁用户将自己所拥有的用户账号转借他人使用。
5.4员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号。
5.5在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
5.6系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
5.7 一般情况下不允许外部人员直接进入主机系统进行操作。
在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。
禁止将系统用户及口令直接交给外部人员。
6.0 口令安全管理6.1口令的选取、组成、长度、修改周期应符合安全规定。
禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。
6.2重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
6.3重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
6.4本地保存的用户口令应加密存放,防止用户口令泄密。
6.5软件安全管理:6.1不安装和使用来历不明、没有版权的软件。
6.2不得在重要的主机系统上安装测试版的软件。
6.3开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
6.4操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
6.5个人计算机上不得安装与工作无关的软件。
在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。
6.6系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
6.7主机系统的服务器、工作站所使用的操作系统必须进行登记。
登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
6.8重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
7.0服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。
网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。
系统日志必须保存三个月以上。
8.0新建计算机网络、应用系统必须同时进行网络信息安全的设计。
9.0 互联网信息安全9.1公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息传播。
9.2各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有害信息。
10.0数据安全10.1需要保护的重要数据至少包括:1)重要文件、资料、图纸(电子版)。