网络与信息安全工作管理办法
公司网络信息安全管理办法
公司网络信息安全管理办法一、总则随着信息技术的迅速发展,公司对网络的依赖程度日益加深。
为保障公司网络信息的安全、稳定和可靠运行,保护公司的商业秘密和知识产权,特制定本管理办法。
二、适用范围本办法适用于公司所有使用公司网络资源的员工、部门和合作伙伴。
三、管理原则1、安全第一原则:将网络信息安全置于首位,确保公司业务的正常开展和信息资产的保护。
2、合规性原则:遵守国家法律法规、行业规范和公司内部规定,确保网络信息安全管理的合法性和规范性。
3、全员参与原则:网络信息安全是全体员工的共同责任,需要每个人积极参与和配合。
四、组织与职责1、成立网络信息安全领导小组,负责制定公司网络信息安全策略和规划,审批重大网络信息安全事项。
2、设立网络信息安全管理部门,负责具体实施网络信息安全管理工作,包括制定安全制度、组织安全培训、监测安全状况、处理安全事件等。
3、各部门应指定专人负责本部门的网络信息安全工作,配合网络信息安全管理部门落实各项安全措施,对本部门员工进行安全教育和管理。
五、员工网络信息安全管理1、员工入职时应签订网络信息安全承诺书,明确遵守公司网络信息安全规定的责任和义务。
2、员工应妥善保管个人的账号和密码,不得泄露或转借他人使用。
定期修改密码,密码应具有一定的复杂性。
3、员工不得在公司网络上从事与工作无关的活动,如玩游戏、观看视频、下载非法软件等。
4、员工应遵守公司的信息保密制度,不得泄露公司的商业秘密、客户信息、技术文档等敏感信息。
对于工作中接触到的敏感信息,应采取必要的保密措施,如加密存储、限制访问等。
5、员工离职时,应及时清理个人在公司网络上的工作文件和数据,并交还相关的工作设备和资源。
六、网络设备与系统管理1、公司的网络设备和系统应定期进行维护和更新,确保其安全稳定运行。
2、对网络设备和系统的访问应进行严格的权限管理,只有经过授权的人员才能进行操作和管理。
3、定期对网络设备和系统进行安全扫描和漏洞检测,及时发现和修复安全漏洞。
网络与信息安全管理办法
学校网络与信息安全管理办法第一章总则第一条为加强学校网络与信息安全管理,充分发挥校园网的作用,促进信息资源的交流与共享,维护公共利益和学校稳定,根据《网络安全法》和其他法律、法规的规定,结合学校实际,制定本办法。
第二条学校网络与信息安全工作,是指对于由校内各单位建设或管理,服务学校教学科研管理工作的校园网络、校园网站、数据中心和应用系统的预防和防御工作。
其核心内容是防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等。
第二章管理体制与责任第三条学校网络与信息安全总体坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。
第四条学校设立“网络安全与信息化领导小组”,学校书记、校长任组长,其他成员任副组长,各二级学院、部室(单位)负责人为组员,主要负责领导全校网络安全与信息化工作。
小组下设两个办公室,信息安全办公室设在办公室,负责信息安全和网络舆情管控;网络安全办公室设在网络中心,负责网络安全管理。
第五条办公室是信息安全监管部门,负责校园网站建设、信息发布、内容审核与安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第六条网络中心是网络安全技术支撑部门,负责学校整体网络安全防护体系的建设,负责为全校各单位网络安全工作提供技术指导与服务支持。
第七条学校各二级单位是本单位网络与信息安全责任主体,单位主要负责人为所属网络与信息安全的第一责任人,负责本单位网络与信息安全管理工作。
各二级单位应明确指定专人担任网络安全管理员与信息安全管理员,分别负责本单位网络与信息安全具体业务工作,人员变动时应及时调整并分别向管理部门(信息安全管理员报办公室,网络安全管理员报网络中心)报备,人员变动及权限变更应做好台账记录。
第三章校园网络安全管理第八条校园网络包括校园有线网络和无线网络,涉及光缆、网络机房、网络设备、域名管理、安全防护、认证计费、网络接入与运维等,由网络中心负责建设和运行维护管理。
学院网络与信息安全管理办法
学院网络与信息安全管理办法第一章总则第一条为加强学校网络与信息安全管理,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规,按照《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》等文件精神和具体要求,结合我校实际,制定本办法。
第二条学校按照同步规划、同步建设、同步运行的原则,建立健全网络与信息安全防护体系,全面实施信息系统安全等级保护制度。
第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入校内,不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人合法权益,不得从事违法犯罪活动。
第四条未经批准,任何数据业务运营商或代理商不得擅自进入校园进行工程施工,开展互联网业务。
第二章组织机构第五条学校网络安全与信息化领导小组是校党委领导下全面推进网络安全与信息化建设的决策与协调机构,负责统筹部署、指导学校网络安全工作,对网络安全相关的重大项目进行论证。
第六条信息中心是学校网络与信息安全的日常管理和推进部门,负责网络与信息安全防护体系的规划建设、运行维护和技术支持,组织、督促各二级学院(部、所)、校属部门开展网络与信息安全工作。
第七条各二级学院(部、所)、校属部门负责本单位网络与信息化安全工作,由一名领导班子成员作为网络与信息安全的责任人,并设立网络与信息安全员,负责具体工作。
第三章网络基础设施与安全管理第八条信息中心对校园网基础设施进行统筹规划和建设管理,根据国家有关规定和学校实际情况确定基础设施建设的内容及方式,确保电信运营商在校园内进行合理建设,避免电信基础设施与校园网基础设施产生资源冲突。
第九条信息机房按照“谁建设、谁管理、谁负责”的原则,建立责任明确、措施得力的安全体系。
第十条网络通信基础设施安全由信息中心负责。
第十一条接入校园网的设备必须用于我校的教学、科研和管理工作。
二级学院(部、所)、校属部门有设备需接入校园网时,应履行申请手续,经校领导批准后方可接入。
网络与信息安全管理办法
网络与信息安全管理办法第一章总则第一条【目的】为加强XXX公司(以下简称“公司”)网络与信息安全管理,明确网络与信息安全管理机构和岗位人员的职责,落实网络与信息安全管理责任,制定本办法。
第二条【适用范围】本办法适用于公司及所辖各分公司的网络与信息安全管理工作。
第二章机构与职责第三条【组织机构】(一)公司设立网络安全与信息化领导小组,组长为公司董事长,副组长为公司网络安全与信息化工作分管领导,成员为公司各部门、各分公司负责人。
(二)公司网络安全与信息化领导小组办公室设在信息化部,办公室主任由信息化部主任兼任。
(三)各分公司及下辖各工程管理部应设置网络与信息安全管理机构,配备专(兼)职网络与信息安全管理人员。
第四条【领导小组】公司网络安全与信息化领导小组负责公司网络与信息安全工作的组织、部署与落实情况的监督,具体职责包括:(一)根据国家和行业有关网络与信息安全的政策、法律、法规,审定公司网络与信息的安全管理策略和发展规划,确定网络与信息安全工作的目标、原则及工作部署;(二)在信息系统面临安全风险和更改事项时,监督控制可能发生的重大变化,并进行决策;(三)审查、协调网络与信息安全事件的处理,并督导改进措施的落实;第五条【信息化部】(一)负责公司网络与信息安全发展规划、工作要点及工作部署的具体落实;协调处理信息系统建设、管理和运行中的有关问题,并对具体落实情况进行总结和汇报;(二)贯彻执行上级单位下发的网络与信息安全策略和通告,组织制定公司网络与信息安全策略,对系统发生变更的情况组织评审,保障与安全策略的一致性;(三)组织制定信息系统安全建设、管理和运行相关的管理制度和规范,并对信息安全管理制度和规范落实情况进行监督、检查及指导;(四)负责内外部组织和机构的对接与协调工作;组织开展公司本部信息系统安全等级保护相关工作;(五)负责公司网络与信息系统安全事件应急保障和恢复工作;第六条【其他部门】(一)规范使用本部门的信息系统,对本部门员工及接待的第三方人员进行网络与信息安全管理;(二)负责本部门所承担运维的应用系统、基础设施或中间件等信息系统的安全管理;落实本部门所承担运维信息系统的应急预案,并负责具体应急处置工作;(三)负责向与本部门对接业务的人员或单位传达网络与信息安全要求,落实各自安全职责;发现并及时报告本部门网络与信息安全事件;第七条【网络与信息安全管理员】(一)负责信息设备的统计、故障处理、账号管理、策略配置、系统升级、日志管理和维护等工作;(二)负责网络与信息安全事件的监控及处理,负责突发事件的应急响应与处理;(三)负责制定信息安全设备、网络设备、操作系统和数据库等软硬件的安全策略,并定期检查分析信息安全策略的执行情况;(四)负责组织信息系统重大保障期间的信息安全检查与监控工作;负责信息系统用户及管理员的认证访问、权限和操作的安全审核;(五)负责网络拓扑、网络维护手册等相关资料的编写及更新;(六)负责保持网络设备的漏洞最小化,定期对系统进行安全加固;落实信息安全策略,审核网络可能发生的变更,并保证与安全策略的一致性;(七)负责网络接入安全管理,对接入网络的信息系统进行审核;(八)负责机房的日常管理和维护,对机房人员、设备进出进行登记管理;第三章授权和审批管理第八条【审批事项与审批权限】(一)系统漏洞扫描、风险评估和渗透测试工作由公司网络与信息安全领导小组组长进行审批。
公司网络与信息安全管理办法
公司网络与信息安全管理办法第一章总则第一条为加强公司网络与信息安全管理,保障公司信息系统的安全稳定运行,保护公司及客户的合法权益,根据国家有关法律法规和公司实际情况,制定本办法。
第二条本办法适用于公司及所属各单位的网络与信息安全管理工作。
第三条网络与信息安全管理工作应遵循“预防为主、综合治理、人员防范与技术防范相结合”的原则。
第二章管理职责第四条公司成立网络与信息安全领导小组,负责统筹规划、协调指导公司网络与信息安全工作。
第五条信息技术部门负责公司网络与信息系统的建设、运行维护和安全管理,制定并实施相关安全策略和管理制度。
第六条各部门应明确本部门网络与信息安全责任人,负责落实本部门的网络与信息安全工作。
第三章人员安全管理第七条公司员工应遵守公司网络与信息安全管理制度,妥善保管个人账号和密码,不得随意泄露。
第八条新员工入职时应接受网络与信息安全培训,了解公司相关规定和要求。
第九条对涉及重要信息系统操作的人员,应进行背景审查和定期审查。
第十条员工离职时,应及时收回其相关系统的访问权限。
第四章设备与环境安全管理第十一条公司应加强对网络设备、服务器、终端等硬件设备的管理,定期进行维护和保养。
第十二条对重要设备应采取冗余备份、防火、防水、防盗等措施,确保设备的安全运行。
第十三条机房等重要场所应具备完善的物理环境安全设施,如门禁系统、监控系统、消防系统等,并定期进行检查和维护。
第五章网络安全管理第十四条公司应建立完善的网络访问控制策略,对不同用户和网络区域进行访问权限划分。
第十五条定期对网络进行安全漏洞扫描和风险评估,及时发现并处理安全隐患。
第十六条加强对无线网络的安全管理,设置强密码,并定期更换。
第十七条严禁私自搭建未经批准的网络设备和网络服务。
第六章信息系统安全管理第十八条对公司各类信息系统进行分类管理,明确安全等级和保护要求。
第十九条信息系统开发过程中应遵循安全开发规范,进行安全测试和评估。
第二十条信息系统上线前应进行安全验收,运行过程中应定期进行安全检查和维护。
网络与信息安全工作管理办法
网络与信息安全工作管理办法随着互联网的快速发展,网络与信息安全工作变得尤为重要。
为了确保网络安全,保护信息的机密性、完整性和可用性,各个组织和机构都需制定网络与信息安全工作管理办法。
本文将就网络与信息安全工作的管理办法进行探讨。
1. 安全意识培养与教育网络与信息安全的管理办法首先需要建立良好的安全意识培养与教育制度。
所有员工都应该接受关于网络安全的培训,并了解网络威胁的类型和常见的安全漏洞。
针对不同岗位的员工,还应提供相应的专业培训,完善他们的网络安全知识。
2. 指定安全责任人为了确保网络与信息安全工作的顺利进行,每个组织都应指定专门的安全责任人。
这个责任人应具备相关的网络安全知识和技能,并能够制定和执行网络安全政策。
安全责任人还应负责监测网络安全状态,定期进行漏洞扫描和风险评估。
3. 制定网络安全政策网络安全政策是网络与信息安全管理的基础。
网络安全政策应明确规定组织内部的安全要求和规定,包括密码策略、网络访问控制、数据备份与恢复等方面的内容。
此外,网络安全政策还应囊括对外部合作伙伴的安全要求,以确保信息的安全传输。
4. 强化网络访问控制网络访问控制是防御网络攻击的重要手段。
网络与信息安全工作管理办法中,应加强对网络访问的控制,包括加密通信、防火墙配置、入侵检测等措施。
同时,也要对不同级别的用户进行权限管理,确保只有授权用户才能访问相关信息。
5. 加强密码管理密码是保护信息安全的一种重要方式。
网络与信息安全工作管理办法中,应明确规定密码的使用要求,包括密码长度、复杂度、定期更换等。
此外,还应推广多因素认证的使用,增加密码的安全性。
6. 建立安全审计与监控机制安全审计与监控是保障网络安全的重要措施。
网络与信息安全工作管理办法中,应规定安全审计的频率和内容,对系统进行定期检查和评估。
同时,也要部署安全监控系统,对网络流量、日志记录等进行实时监控,并及时发现和应对安全事件。
7. 实施紧急响应预案网络与信息安全工作管理办法中,应建立完善的紧急响应预案。
公司《网络与信息安全管理暂行办法》
贵铁物流有限公司网络与信息安全管理暂行办法为科学、有效地管理公司及下属单位的网络与信息安全,促进网络信息系统的稳定应用和高效运行,特制定本管理办法,请遵照执行。
一、机房管理第一条路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置、更换或挪作它用。
第二条计算机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经主管人员批准严禁进入机房。
第三条严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
第四条未发生故障或故障隐患时网管人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
第五条网管人员应做好网络安全工作,服务器的各种账号严格保密。
监控网络上的数据流,从中检测出攻击的行为立即给予响应和处理。
第六条做好操作系统的补丁修正工作。
第七条计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
第八条对数据库实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。
网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、计算机病毒防范第九条网管人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知主管人员或管理部门。
第十条采用国家许可的正版防病毒软件并及时更新软件版本。
第十一条未经主管人员或管理部门许可,网管人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
第十二条经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
三、数据保密及数据备份第十三条根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
第十四条禁止泄露、外借和转移专业数据信息。
第十五条制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
第十六条每周网管人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
信息与网络安全管理办法
信息与网络安全管理办法信息与网络安全已成为当今社会的重要议题,信息技术的快速发展和互联网的普及给我们生活带来了便利,但同时也带来了新的安全威胁和风险。
为了有效保护个人隐私和国家安全,各国纷纷制定了相关的信息与网络安全管理办法。
本文将会介绍一些信息与网络安全管理办法的基本内容和重要原则。
一、信息安全管理办法1. 信息安全政策制定信息安全政策是企业或机构确定和规范信息安全管理的基础。
一个有效的信息安全政策应当包括对信息安全目标、责任与义务、风险评估和管理、安全培训和监督等方面的规定,以确保信息资产得到合理保护。
2. 风险评估与管理风险评估是信息安全管理的核心环节,通过对信息系统的评估和分析,识别系统的潜在威胁和弱点,采取相应的管理措施进行风险防控和管理,以降低信息泄露和数据损失的风险。
3. 权限和访问控制在信息安全管理中,权限和访问控制是非常重要的,它涉及到对敏感信息的访问和使用权限的管理。
通过合理的权限控制和访问策略,确保只有经过授权的人员才能够获取相关信息,从而防止信息被非法获取和滥用。
4. 加密与防护技术信息安全管理中的加密与防护技术对于保护信息资产的安全至关重要。
通过加密技术,对信息内容进行加密处理,使得非授权人员无法获取信息的真实内容。
同时,利用防护技术来保护网络设备和系统,防止被黑客攻击和病毒侵入。
二、网络安全管理办法1. 网络访问控制网络安全管理中的网络访问控制是指对网络进行访问权限的控制和管理。
这包括对用户身份验证、访问认证和流量监控等方面的管理,以实现对网络资源的合理分配和使用,防止未经授权的访问和网络攻击。
2. 网络漏洞管理网络漏洞是黑客攻击的突破口之一,因此网络安全管理办法应包括对网络漏洞的管理和修复。
定期进行漏洞扫描和修复,及时消除网络系统中的安全漏洞,以提高系统的抗攻击能力和安全性。
3. 安全策略与培训一个安全的网络环境需要各个用户都具备一定的安全意识和知识。
网络安全管理办法应包括对用户的安全培训和教育,使其了解和遵守各项安全策略和规定,提高对网络安全问题的识别和应对能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
-网络与信息安全工作管理办法世茂房地产控股有限公司资讯科技部内部资料,未经同意,请勿翻印版本修订日期修订人审核人目录第一节安全组织原则 (3)第二节安全组织结构 (3)第一节概述 (4)第二节安全规划与建设 (4)第三节物理安全管理 (5)第四节人员安全管理 (6)第五节安全培训 (7)第六节信息资产安全管理 (8)第七节安全运维管理 (10)第八节安全事件处理 (10)第九节应急计划 (11)第十节系统开发与维护 (11)第十一节符合性 (14)第十二节管理审计与评估 (14)第十三节奖惩 (15)第一节概述 (15)第二节访问控制 (16)第三节身份认证 (16)第四节冗余恢复 (17)第五节日志审计与响应 (17)第六节内容安全 (18)第一章总则第一条随着上海世茂投资管理有限公司(以下简称:上海世茂)信息系统规模越来越大,随之带来的安全问题也不断增多,为及时快速处理各种故障和安全事件,防范与化解安全风险,保障网络连续性以及高质量的服务水平,特制定《上海世茂网络与信息安全工作管理办法》,以下简称“本办法”。
第二条本办法依据《中华人民共和国计算机信息系统安全保护条例》,参考《ISO27001信息安全管理体系规范》而制定。
第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题,包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。
第四条上海世茂网络与信息安全工作的管理原则1.整体规划,分步实施:需要对网络与信息安全工作进行整体规划,分步实施,逐渐建立完善的网络与信息安全体系。
2.三同步原则:安全系统应与业务系统及网络同步规划、同步建设、同步运行。
3.适度安全:安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性之间做好平衡工作。
第五条本办法中的安全是指信息系统的安全。
第二章安全组织管理第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来制定。
第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组,全面负责上海世茂网络与信息安全各项工作。
第八条领导小组下设IT总监,贯彻“信息化领导小组”的安全管理决策,作为执行管理机构。
资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作,IT总监下属包括应用和运维两个专业工作组。
第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安全管理工作,明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了IT系统的整个生命周期,对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。
第十条上海世茂安全策略由资讯科技部、各部门提出需求,由资讯科技部组织制定。
第十一条上海世茂的安全策略由上海世茂信息安全领导小组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落实。
第十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施,并建立安全策略违反报告制度。
第十三条资讯科技部建立安全策略定期审核更新的制度和机制,定期对安全策略的有效性进行审核,并根据情况进行更新。
第四章安全管理制度第一节概述第十四条为做好上海世茂网络与信息安全管理,必须做好安全规划和建设,完善物理环境安全,加强工作人员安全管理和教育,建立信息资产安全管理制度。
完善安全运维、事件处理、应急响应等安全工作。
第二节安全规划与建设第十五条上海世茂安全规划明确安全建设原则,为网络与信息安全建设明确建设方向和蓝图。
第十六条安全规划小组要根据上海世茂现有情况做好安全规划工作,制定近期(1~2年)总体安全规划和中长期(3~5年)安全建设目标,制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。
第十七条安全规划应考虑信息安全管理体系和安全技术架构的建设,根据网络发展规划适度超前建设,并考虑统一安全管理要求和统一安全技术基础设施。
第十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。
第十九条在特殊情况下,应预先明确风险,并指出应采取的控制措施。
第二十条应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。
第三节物理安全管理第二十一条物理安全管理的目标是通过加强工作环境安全,防止对上海世茂工作场所和信息资源的非法访问、破坏和干扰。
第二十二条相关部门应按照上海世茂关于机房建设及管理等标准,对机房场地与设施进行安全建设,并进行分级、分区安全管理。
机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度。
第二十三条信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在安全的区域,并使用适当的物理防护设备和访问控制手段。
第二十四条应加强办公区的物理访问控制。
第四节人员安全管理第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第二十六条应建立相应制度以及相应技术手段加强对第三方人员的安全管理。
第二十七条违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理工作。
第二十八条信息安全管理人员调离岗位,必须办理调离手续,承诺其调离后的保密义务。
第二十九条信息安全岗位人员必须具备相应的资质并签定保密协议。
信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三十条信息安全管理人员职责:(1) 负责计算机安全管理的日常工作;(2) 开展计算机安全检查工作,对要害岗位人员安全工作进行指导;(3) 开展计算机安全知识的培训和宣传工作;(4) 监控计算机安全总体状况,提出安全分析报告;了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;(5) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第三十一条信息安全管理人员发现本单位所使用信息系统中的重大安全隐患,有权向上级报告。
第三十二条信息安全管理人员发现系统操作人员使用不当,应及时建议有关单位、部门进行调整。
第三十三条信息安全管理人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
第三十四条信息安全管理人员应定期参加下列计算机安全知识和技能的培训:(1) 计算机安全法律法规及行业规章制度的培训;(2) 计算机安全基本知识的培训;(3) 计算机安全专项技能的培训。
第五节安全培训第三十五条工作人员安全意识是安全管理工作开展的基础和前提,安全管理工作组应建立安全意识教育计划,通过持续的安全教育,提高人员安全意识。
第三十六条建立安全技术培训计划,通过各种培训方式,提高各级管理人员和专业人员安全技能,降低安全操作风险。
第六节信息资产安全管理(一)资产管理第三十七条上海世茂信息资产包括所拥有各种信息及其载体,存在有形资产和无形资产,包括计算机设备、系统软件、应用软件、数据、文档等。
第三十八条严格执行上海世茂设备管理部门有关设备管理的各项规章制度,对资讯科技部管理的设备进行编号、登记、建立完善、准确的台帐。
第三十九条每半年,对全局计算机网络设备进行一次全面检查和维护。
每年末,资讯科技部对固定资产清查一次。
第四十条各级信息资产责任者必须严格遵守相关制度,保证信息资产的机密性、完整性和可用性。
第四十一条信息系统资产管理具体办法参见《上海世茂信息资产安全管理办法》。
(二)版权要求第四十二条上海世茂与计算机信息系统承建商签订建设合同时,承建商应当保证产品无侵犯他人版权要求。
第四十三条承建商在计算机信息系统建设中使用第三方产品时,必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授权。
(三)安全专用产品第四十四条本规定所称安全专用产品,是指用于保护计算机信息系统安全的专用软件、硬件产品。
第四十五条安全专用产品准入、选型、采购部署工作由资讯科技部统一组织实施。
安全专用产品有下列情形之一的,取消其准入资格:(1) 安全专用产品的功能已发生变化,但未通过检测的;(2) 经使用发现有严重问题的;(3) 能提供良好售后服务的;(4) 国家有关部门取消其销售资格的。
第四十六条安全专用产品在使用中,系统管理员应监测生成的信息,对生成的信息应及时分析并作出分析报告;在监测中如发现重大问题,应立即采取相应控制措施并将有关情况逐级上报;安全专用产品使用中产生的重要报告应备份存档,并按密级资料管理方式履行有关手续。
第七节安全运维管理第四十七条安全维护管理的目标是通过建立和执行对网络和操作系统的安全维护流程和安全维护作业计划,来保障提供高质量的信息系统服务能力和通信能力。
第四十八条安全维护工作主要包括硬件入网管理、病毒防范管理、密码管理、系统和数据备份、日志管理和审计、软件版本管理和补丁加载。
第四十九条网络、主机的相关人员、维护计划配置应随网络调整进行更新。
第八节安全事件处理第五十条安全事件处理的原则是“积极预防、及时发现、快速响应、确保恢复”。
第五十一条系统宕机引起相关部门无法进行业务操作,非法侵入、破坏计算机信息系统,利用计算机实施诈骗、盗窃、贪污、挪用公款的计算机犯罪案件,以及造成不良社会影响的计算机安全事故,属于信息安全事故。
第五十二条各相关部门根据要求建立详细的安全事件响应机制,规定在安全事件的发现、上报、分析、处理、总结和奖惩阶段的相关责任和程序,最大限度地减少安全事件造成的损害。
第五十三条对安全事件做好记录和存档工作,记录内容包括事件的起因、处理过程、处理结果、建议改进的安全对策等。
第九节应急计划第五十四条针对不同的安全事件,必须制定相应的应急计划,内容至少包括计划的准备、演练、实施、系统恢复方案四个组成部分,各部门应定期上报应急计划内容。
第五十五条通过应急计划的演练测试检查应急计划的有效性和资源的可用性,并根据演练结果进行应急计划的调整。
第十节系统开发与维护(一)承建商管理第五十六条资讯科技部是全局计算机信息系统承建商管理的第一责任人。
第五十七条计算机信息系统承建商必须遵守上海世茂信息安全管理制度,必须签署保密协议;在提供优质的开发、维护服务的同时,不得擅自修改正式生产系统中的数据。
(二)计算机信息系统建设第五十八条计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。
重要计算机信息系统立项的安全管理实行审批制度。
对初审合格的项目申报材料,应进行安全性专项审查,提出审查意见后由资讯科技部最后审批。
对没有通过安全管理审查的项目,不得予以立项。
第五十九条计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。
计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。