网络安全与信息安全管理制度
网络信息安全管理制度(精选15篇)
网络信息安全管理制度(精选15篇)网络信息安全管理制度11.局域网由市公司信息中心统一管理。
2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、ip地址、帐号和使用权限,并记录归档。
3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。
登录时必须使用自己的帐号。
口令长度不得小于6位,必须是字母数字混合。
4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。
业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。
5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。
不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。
6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。
因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。
7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。
未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。
8.入网用户不得从事下列危害公司网络安全的活动:(1)未经允许,对公司网络及其功能进行删除、修改或增加;(2)未经允许,对公司网络中存储、处理或传输的`数据和应用程序进行删除、修改或增加;(3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。
9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信息中心将停止其入网使用权,并追究其相应的责任。
公司网络与信息安全保护制度
公司网络与信息安全保护制度1. 介绍为了保障公司网络和信息安全,维护企业的正常运营和客户利益,订立本制度。
本制度适用于全体员工和外部合作伙伴,包含公司内部网络、外部网络、通信设备以及信息资产的安全保护。
2. 信息安全责任2.1 公司领导层有义务确保信息安全政策和规定的订立、实施、维护和连续改进。
2.2 全部部门经理有责任监督部门内部的信息安全管理工作,落实信息安全政策和规定。
2.3 每位员工应当遵守公司的信息安全政策和规定,自发维护公司的信息安全。
2.4 外部合作伙伴必需遵守公司的信息安全政策和规定,不得泄漏公司的机密信息。
3. 网络安全管理3.1 公司网络采取分级管理原则,不同级别的网络拥有不同的权限和访问掌控策略。
3.2 管理员应当妥当配置和管理网络设备,保障网络的稳定运行和安全性。
3.3 禁止无权限的人员擅自更改网络设备配置,任何更改操作必需经过授权并记录相关信息。
3.4 网络接入必需经过严格的身份验证和访问掌控,未经授权的人员禁止接入公司网络。
4. 信息资产保护4.1 公司对紧要的信息资产进行分类和标记,明确不同资产的保护措施和限制。
4.2 员工必需妥当使用和保管公司的信息资产,禁止私自复制、删除、窜改或传播公司信息。
4.3 信息传输应采用加密和安全通道,防止未经授权的访问和泄露。
4.4 公司备份和恢复规定,以定期备份紧要数据,保证业务的连续性和数据的安全性。
5. 安全意识培训5.1 公司将定期组织网络安全和信息保护培训,提高员工的安全意识和技能水平。
5.2 员工需要参加并顺利完成安全培训,掌握基本的网络安全知识和操作规范。
5.3 公司将开展网络安全演练,提高员工应对网络安全事件的本领和应急响应水平。
6. 政策违规处理6.1 违反信息安全政策和规定的行为将被严厉处理,包含但不限于警告、禁用权限、追究法律责任等。
6.2 对于严重违反公司信息安全政策和规定的行为,公司可能采取停职、辞退等纪律处分措施。
信息网络安全管理制度范文(三篇)
信息网络安全管理制度范文一、概述本制度旨在规范和保护本单位的信息网络安全,保障信息系统的正常运行,有效防范信息系统遭受恶意攻击、病毒感染、网络威胁等事件。
二、网络安全责任与义务1.单位负责人是信息网络安全的第一责任人,他负责制定本单位的网络安全政策和网络安全目标,保证网络安全的实施。
2.各部门主管负责本部门信息网络安全和数据安全的保护工作,确保相关人员遵守安全规定和信息技术管理制度,保证信息网络安全。
3.网络管理员应保证信息网络的正常运行,及时监控并处理当网络出现异常情况时采取相应的措施,确保网络的稳定性和安全性。
4.全体员工有义务遵守本单位的信息网络安全管理制度,懂得并遵守信息安全管理规则,严格保守单位的保密信息。
三、网络安全管理措施1.网络访问控制a.所有用户必须经过身份验证后才能访问本单位的信息网络。
b.禁止未经授权的用户访问本单位重要的、敏感的网络资源。
c.用户密码应定期更换,并遵循复杂度要求。
2.安全防护设备a.单位应配置合适的硬件和软件防火墙设备,保护网络不受恶意攻击。
b.安全防护设备应经过定期维护和运行检测,确保其正常工作。
3.信息备份和恢复a.单位应制定合理有效的信息备份策略,包括定期、定时的备份,以确保信息安全。
b.备份数据应储存到安全的地方,并进行定期检查确保备份的完整性。
4.网络安全监控a.单位应配备合适的监控设备,实时监测网络状态,及时发现和处置网络安全事件。
b.网络管理员应记录并分析网络安全事件,寻找存在的安全隐患,做好相应改善措施。
5.防病毒和漏洞管理a.单位应安装杀毒软件,并及时更新病毒库。
b.定期对系统和应用进行安全补丁更新,以避免利用已知漏洞的攻击。
四、安全教育与培训1.单位应定期开展网络安全培训,提高员工的信息安全意识和技能。
2.网络管理员应定期组织网络演练,以提高员工处理网络攻击和安全事件的能力。
3.网络安全培训和演练应记录并进行评估,对员工的安全认知进行进一步提升。
校园网络信息安全管理制度范文(5篇)
校园网络信息安全管理制度范文1、网络中心及各接入用户必须遵守《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其它法律、行政法规的规定。
2、网络中心必须采取各种技术及行政手段保证网络安全和信息安全。
3、网络中心的工作人员和用户必须对所提供的信息负责。
不得利用计算机网络从事危害国家安全,泄露国家秘密等违法活动,不得制作、查阅、复制和传播有碍社会治安和有伤风俗文化的信息。
5、校园网络信息安全管理领导小组负责校园网络信息安全全面工作,学校主要领导为校园网络信息安全第一责任人,计算机信息网络安全员负责网络和信息安全具体工作。
6、网络中心应按照《计算机信息网络国际联网安全保护管理办法》定期对网络用户进行网络安全和信息安全教育。
7、网络中心应根据国家有关规定对上网用户进行审查。
凡违反国家有关规定的信息严禁上网。
8、校园计算机网络上的所有用户有义务向网络中心和有关部门报告所发现的网络信息违法犯罪行为和有害信息。
9、网络中心和用户必须接受上级有关部门依法进行的监督检查。
对违反本管理办法的个人进行警告,直至停止网络连接;情节严重者报上级机关处理。
校园网络信息安全管理制度范文(2)一、概述本制度旨在规范校园内的网络信息使用行为,保障校园网络信息安全,维护校园秩序和学生的利益。
所有使用校园网络的师生都应遵守该制度。
二、网络使用权限1. 学生可凭学号及密码登录校园网络,使用网络资源进行学习和科研活动。
2. 教师可凭教工号及密码登录校园网络,使用网络资源进行教学和科研活动。
3. 初次登录校园网络的用户,应按规定更改默认密码,确保账户安全。
4. 临时访问者需向网络管理人员申请临时账号并遵守相关规定。
三、网络信息安全保障1. 用户在使用校园网络时,应遵守国家法律法规和相关条例,不得传播违法、不良信息。
2. 用户应妥善保管个人账户信息,不得私自泄漏或借用他人账户。
3. 用户应使用合法正版软件,并禁止安装和运行病毒、木马等恶意软件。
电力公司网络与信息安全管理制度
电力公司网络与信息安全管理制度一、总则随着信息技术的迅速发展,电力公司的业务运营对网络与信息系统的依赖程度日益加深。
为保障电力公司网络与信息系统的安全、稳定、可靠运行,保护公司的商业秘密和客户信息,特制定本管理制度。
二、适用范围本制度适用于电力公司及所属各单位的网络与信息安全管理工作,包括但不限于公司内部网络、信息系统、办公设备、移动存储介质等。
三、管理原则1、安全第一:将网络与信息安全作为公司发展的重要保障,优先考虑安全需求。
2、综合治理:综合运用技术、管理和人员等多种手段,实现网络与信息安全的全方位管理。
3、分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,明确各级单位和人员的安全责任。
4、预防为主:加强安全防范措施,及时发现和消除安全隐患,将安全风险降到最低。
四、组织与职责1、成立网络与信息安全领导小组,负责统筹规划、协调指导公司的网络与信息安全工作。
领导小组组长由公司主要领导担任,成员包括各部门负责人。
2、设立网络与信息安全管理部门,负责具体落实网络与信息安全管理工作,制定和完善安全管理制度,组织安全培训和应急演练,监督检查安全措施的执行情况等。
3、各部门应明确一名网络与信息安全管理员,负责本部门的网络与信息安全管理工作,配合网络与信息安全管理部门开展工作。
五、人员安全管理1、新员工入职时,应进行网络与信息安全培训,签署安全保密协议。
2、员工应定期参加网络与信息安全培训,提高安全意识和技能。
3、员工离职时,应及时收回其访问权限,清理其使用的办公设备和存储介质中的敏感信息。
六、设备与环境安全管理1、对网络设备、服务器、存储设备等关键设备进行定期巡检和维护,确保设备的正常运行。
2、建立机房管理制度,对机房的环境、电力、消防等设施进行严格管理,确保机房的安全。
3、加强对办公设备的管理,定期进行安全检查和病毒查杀,禁止使用未经授权的设备接入公司网络。
七、网络安全管理1、划分网络安全区域,实施不同的安全策略,限制网络访问权限。
网络与信息安全应急管理制度
网络与信息安全应急管理制度一、总则(一)目的为了有效应对网络与信息安全突发事件,保障公司网络和信息系统的安全稳定运行,保护公司和客户的利益,特制定本应急管理制度。
(二)适用范围本制度适用于公司内部网络与信息系统的安全应急管理工作,包括但不限于公司的网站、办公自动化系统、业务系统等。
(三)应急管理原则1、预防为主:加强网络与信息安全的日常管理和监测,及时发现和消除安全隐患,预防安全事件的发生。
2、快速响应:一旦发生网络与信息安全事件,应迅速采取有效的措施进行处理,将损失和影响降到最低。
3、协同配合:在应急处理过程中,各部门应密切配合,协同作战,共同完成应急处理任务。
4、责任明确:明确各部门和人员在应急管理工作中的职责和任务,确保应急管理工作的顺利进行。
二、应急组织机构及职责(一)应急组织机构成立网络与信息安全应急领导小组(以下简称“领导小组”),负责公司网络与信息安全应急管理工作的领导和决策。
领导小组下设应急办公室和应急技术小组。
(二)领导小组职责1、研究制定公司网络与信息安全应急管理工作的方针、政策和规划。
2、协调公司各部门之间的网络与信息安全应急管理工作。
3、决定公司网络与信息安全应急管理工作的重大事项。
(三)应急办公室职责1、负责公司网络与信息安全应急管理工作的日常协调和管理。
2、制定和完善公司网络与信息安全应急预案。
3、组织开展公司网络与信息安全应急演练。
4、协调应急技术小组进行网络与信息安全事件的应急处理。
(四)应急技术小组职责1、负责公司网络与信息安全事件的技术分析和处理。
2、提供网络与信息安全事件应急处理的技术支持和保障。
3、参与公司网络与信息安全应急预案的制定和完善。
三、预防与预警(一)预防措施1、建立健全网络与信息安全管理制度,加强对网络与信息系统的日常管理和维护。
2、定期对网络与信息系统进行安全评估和漏洞扫描,及时发现和消除安全隐患。
3、加强对员工的网络与信息安全培训,提高员工的安全意识和防范能力。
网络与信息系统安全管理制度
网络与信息系统安全管理制度第一章总则第一条目的和依据为了保障企业网络与信息系统的正常运行,确保网络与信息资产的安全和保密,防范网络攻击和信息泄露,订立本管理制度。
本制度依据国家相关法律法规和政策文件,结合企业实际情况订立,适用于企业内部的全部网络与信息系统。
第二条适用范围本制度适用于企业内部全部网络设备、信息系统和网络用户。
包含企业内部的计算机、服务器、网络设备、软件系统等。
第三条定义1.网络与信息系统:指企业内部通过计算机设备互联互通的网络和相关的信息系统,包含硬件设备、软件系统、通信设备等。
2.网络管理员:指负责企业网络与信息系统管理和维护的员工,具备相关专业知识和技能。
3.网络用户:指企业内部全部使用网络与信息系统的员工和相关合作伙伴。
第二章网络安全管理第四条网络设备管理1.网络设备的选购和安装必需符合国家相关法律法规和标准要求,确保设备的正常运行和安全性。
2.网络设备必需定期进行安全检查和维护,及时修复漏洞和升级系统软件。
3.网络设备的管理权限必需分级授权,严格掌控管理员权限和用户权限。
第五条网络访问掌控1.网络管理员必需依据职责和需要设置不同级别的访问权限,并严格掌控网络用户的访问权限。
2.网络用户在访问网络时必需使用合法的账号和密码,而且定期更改密码,禁止共享账号和密码。
3.禁止非合法途径进入企业网络,禁止未经授权使用他人账号登录网络。
第六条网络安全防护1.网络管理员必需及时更新防火墙、入侵检测和防病毒软件,确保网络安全设备的有效性。
2.网络用户不得擅自安装和使用未经授权的软件和工具,不得传播病毒和恶意代码。
3.网络管理员必需定期进行网络安全漏洞扫描和风险评估,及时修复和处理发现的安全问题。
第七条网络安全事件响应1.网络管理员必需建立健全的网络安全事件响应机制,及时对网络安全事件进行处理和修复。
2.网络用户在发现网络安全问题时应立刻报告给网络管理员,不得隐瞒或袒护安全事件。
第三章信息系统安全管理第八条信息系统访问掌控1.企业内部的信息系统必需依据用户职责和需要设置不同的访问权限,并严格掌控用户的访问权限。
网络安全信息管理制度(优秀10篇)
网络安全信息管理制度(优秀10篇)(实用版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的实用范文,如工作总结、策划方案、演讲致辞、报告大全、合同协议、条据书信、党团资料、教学资料、作文大全、其他范文等等,想了解不同范文格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, this shop provides various types of practical sample essays for everyone, such as work summary, planning plan, speeches, reports, contracts and agreements, articles and letters, party and group materials, teaching materials, essays, other sample essays, etc. Please pay attention to the different formats and writing methods of the model essay!网络安全信息管理制度(优秀10篇)在不断进步的时代,很多场合都离不了制度,制度是国家机关、社会团体、企事业单位,为了维护正常的工作、劳动、学习、生活的秩序,保证国家各项政策的顺利执行和各项工作的正常开展,依照法律、法令、政策而制订的具有法规性或指导性与约束力的应用文。
网络信息安全管理制度(通用20篇)
网络信息安全管理制度(通用20篇)网络信息安全管理制度(通用20篇)在生活中,我们可以接触到制度的地方越来越多,制度泛指以规则或运作模式,规范个体行动的一种社会结构。
下面是小编整理的关于网络信息安全管理制度的内容,欢迎阅读借鉴!网络信息安全管理制度(篇1)一、人员方面1.建立网络与信息安全应急领导小组;落实具体的安全管理人员。
以上人员要提供24小时有效、畅通的联系方式。
2.对安全管理人员进行基本培训,提高应急处理能力。
3.进行全员网络安全知识宣传教育,提高安全意识。
二、设备方面1.对电脑采取有效的安全防护措施(及时更新系统补丁,安装有效的防病毒软件等)。
2.强化无线网络设备的安全管理(设置有效的管理口令和连接口令,防止校园周边人员入侵网络;如果采用自动分配IP地址,可考虑进行Mac地址绑定)。
3.不用的信息系统及时关闭(如有些系统只是在开学、期末、某一阶段使用几天,寒暑假不使用的系统应当关闭);4.注意有关密码的工作并牢记密码,定期更改相关密码,注意密码的复杂度,至少8位以上,建议使用字母加数字加特殊符号的组合方式;5.修改默认密码,不能使用默认的统一密码;6.在信息系统正常部署完成后,应该修改系统后台调试期间的密码,不应该继续使用工程师调试系统时所使用的密码;7.正常工作日应该保证至少登录、浏览一次系统相关页面,及时发现有无被篡改等异常现象,特殊时间应增加检查频率;8.服务器上安装杀毒软件(保持升级到最新版),至少每周对操作系统进行一次病毒扫描检查、修补系统漏洞,检查用户数据是否有异常(例如增加了一些非管理员添加的用户),检查安装的软件是否有异常(例如出现了一些不是管理员安装的未知用途的程序);9.对上网信息(会发布在前台的文字、图片、音视频等),应该由两位以上工作人员仔细核对无误后,再发布到网站、系统中;10.对所有的上传信息,应该有敏感字、关键字过滤、特征码识别等检测;11.系统、网站的重要数据和数据,每学期定期做好有关数据的备份工作,包括本地备份和异地备份;12.有完善的运行日志和用户操作日志,并能记录源端口号;13.保证页面正常运行,不出现404错误等;14.加强电脑的使用管理(专人专管,谁用谁负责;电脑设置固定IP地址,并登记备案)。
网络与信息安全管理制度
网络与信息安全管理制度网络与信息安全管理制度一、制度目的1:为了确保公司网络与信息系统的安全性,保护公司重要信息资源的完整性、可用性和保密性,制定本管理制度。
2:本制度适用于公司全体员工,包括内部员工、外包人员、实习生等。
3:通过明确网络与信息安全的管理要求和责任,提高员工对网络与信息安全的意识,加强网络与信息安全管理,降低信息泄露和系统被攻击的风险。
二、定义和缩略语1:网络与信息安全:指对网络和信息资源进行保护的措施和管理活动,包括但不限于网络的安全、数据的安全和系统的安全。
2:重要信息资源:指对公司业务运营、员工个人信息、客户信息等具有重要价值和保密性的信息。
3:网络与信息系统:指公司的计算机网络、服务器、数据库、应用系统等信息技术设备和软件。
4:攻击:指未经授权的对公司网络与信息系统的非法访问、非法篡改、非法使用等行为。
5:法律名词及注释:- 《中华人民共和国网络安全法》:指国家针对网络安全颁布的法律法规,保护网络安全和维护网络空间主权。
- 《中华人民共和国刑法》:指国家刑法中相关涉及到网络安全的法律条款,对网络犯罪行为进行惩处。
- 《中华人民共和国保守国家秘密法》:指国家有关保护国家秘密的法律法规,对公司保密工作提供法律支持。
三、安全管理要求1:管理责任- 公司顶层管理人员应树立网络与信息安全的重要性,并制定相应的网络与信息安全策略和目标。
- 部门主管应带头树立良好的网络与信息安全意识,指导并监督下级员工的安全管理工作。
- 全体员工对于本制度的执行和安全管理工作共同负责,任何单位和个人不得以任何理由或方式违反本制度。
2:安全责任- 网络与信息安全责任由公司的网络与信息安全部门负责。
- 网络与信息安全部门应制定相关的网络与信息安全管理规定,并负责制定相关的安全措施、安全策略和安全培训计划。
- 部门主管应将网络与信息安全纳入本部门的日常管理工作,对员工进行安全培训和安全意识教育。
3:网络安全- 公司网络应建立防火墙、入侵检测系统、反系统等安全设备和软件,确保网络的安全稳定运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全与信息安全管理制度(实用版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的实用范文,如演讲致辞、合同协议、条据文书、策划方案、总结报告、简历模板、心得体会、工作材料、教学资料、其他范文等等,想了解不同范文格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, this store provides various types of practical sample essays, such as speeches, contracts, agreements, documents, planning plans, summary reports, resume templates, experience, work materials, teaching materials, other sample essays, etc. Please pay attention to the different formats and writing methods of the model essay!网络安全与信息安全管理制度如果让你来写网络信息安全管理制度,你知道怎么下笔吗? 规章制度具有为员工在生产过程中指引方向的作用。
规章制度公布后,员工就清楚地知道自己享有哪些权利,怎样获得这些权利,应该履行哪些义务,如何履行义务。
以下是本店铺给大家带来的网络安全与信息安全管理制度,希望可以帮助到大家!网络安全与信息安全管理制度(篇1)一、目的为了规范本单位网络安全管理,按照《GB/T 22239网络安全技术信息系统安全等级保护基本要求》及其它中华人民共和国有关计算机网络安全的相关标准、法律、法规和安全规定,结合本单位的实际情况,特制定本制度。
二、适用范围本制度适用于本单位业务相关的计算机网络如办公局域网络,业务网络,互联网络及其它下属机构的网络等的安全管理。
三、职责为加强本单位网络和系统安全管理,保障网络畅通,成立网络安全工作领导小组,负责网络安全的领导和协调。
其下辖信息技术部,内设立网络/系统安全主管和网络/系统管理员。
本制度所指的系统,是指计算机信息系统中所涉及的计算机软件系统。
具体是指:本单位主机操作系统和应用系统,以及下属单位通过网络接入的主机操作系统和应用系统。
3.1网络安全领导小组职责:(1)制订网络建设与发展的总体规划。
(2)制订并监督执行网络运行的有关制度。
(3)制订网络的运行安全与网络安全计划。
(4)定期检查各级网络系统的管理状况。
(5)处理网络运行管理当中的普遍性、重大性问题。
(6)制订网络管理人员教育与培训的计划。
3.2信息技术部工作职责:3.2.1负责全网的网络安全相关的具体事务;全面负责本单位系统安全管理工作。
综合协调相关部门完成系统安全规划、建设、维护、保障工作。
3.2.2落实国家及市政府有关系统安全法规、方针、政策、标准和规范,联系上级主管部门并落实系统安全管理相关工作。
3.2.3组织制定安全管理规章制度和标准规范。
3.2.4指导、协调和检查各部门系统安全工作,组织落实系统筹级保护制度,统筹开展系统风险评估和安全检查工作。
3.2.5负责系统一般事故的调查和处理,协助系统重大事故的调查和处理。
3.2.6在应急体系框架内,负责系统应急管理相关工作。
3.2.7开展涉密计算机网络的系统立项、设计和建设,做好系统安全与保密检查。
3.2.8负责规范系统安全产品的测评和选型工作。
3.2.1信息技术部主管的职责:(1)制定网络建设及网络发展规划,确定网络安全策略。
(2)管理施网络建设及网络调整任务。
(3)定期对网络运行情况及相关记录进行审查。
(4)考核网络管理员,做好网络建设和网络更新的组织工作和技术支持,制定和修订网络管理规章制度并监督执行。
3.2.2网络/系统管理员的职责:(1)协助网络主管制定网络建设及网络发展规划,确定网络安全策略。
(2)协助网络主管实施网络建设及网络调整。
(3)负责公用网络实体,如交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理。
(4)负责网络设备及相关软件的安装、维护、调整及更新。
(5)负责网络账号管理、设备帐号管理、网络资源分配、数据安全。
(6)监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。
(7)负责系统备份和网络数据备份。
(8)保管网络拓扑图、网络接线表、设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料。
(9)每年对本单位网络的效能评价,提出网络结构、网络技术和网络管理的改进措施。
3.3其它各部门职责:(1)负责各自部门使用的计算机网络设备的安全管理。
(2)负责各自部门数据的安全备份。
(3)负责及时通知信息技术部有关各自部门使用的计算机病毒、网络异常等情况及其它安全隐患情况。
四、管理要求4.1在本单位网络安全领导小组的统一领导下,由信息技术部负责网络安全的具体管理,其下设网络管理角色,明确各个角色的权限、责任和风险。
达到如下管理要求:(1)定期查看网络运行情况,及时发现设备性能、网络带宽、路由等存在的问题。
(2)定期对运行日志和审计数据进行分析,生成相应的审计报表,及时发现网络攻击,非法接入、病毒爆发等异常行为,重要系统应每天生成审计报表,每个月生成全网审计报表。
(3)定期对防火墙、防病毒网关、入侵防范系统、交换机等设备进行更新,以适应不断变化的网络情况。
(4)对各种网络设备及相关软件系统安全策略、安全配置、日志管理、漏洞扫描、自身防护、口令管理等方面做出规定。
对重要日常维护工作建立操作规程等。
(5)定期对网络设备的配置文件、安全策略、重要数据等进行备份。
五、系统安全工作过程5.1对系统管理员角色进行划分:5.1.1指定专门的部门或人员对相应的系统进行管理;5.1.2划分系统管理员的角色,落实系统(主机)管理员、应用管理员和数据库管理员角色。
5.1.3根据明确的各个系统管理角色分配对应的管理权限实现管理用户的权限分离,并仅授予管理用户所需的最小权限。
5.1.4根据系统管理角色,明确各个角色的责任和风险。
5.2定期对系统日志和审计数据进行分析:5.2.1开启系统的日志和审计功能,日志和审计范围应包含服务器和重要客户端上的每个操作系通用户和数据库用户。
5.2.2审计内容应包括系统重要用户行为、系统资源异常和重要系统命令的使用等系统内重要的安全相关事件。
5.2.3重要的服务器生成审计记录和报表,审计记录包含事件的日期、时间、类型标识和结果等。
5.2.4定期对系统日志和审计记录进行备份。
5.2.5发现日志和审计中的异常情况和行为立即向信息主管人员报告。
5.3系统安全配置和安全运行5.3.1重要系统的用户管理由主管部门审批,并制定用户口令复杂度、更新周期等制度。
5.3.2采用安全的系统远程管理方式,防止鉴别信息在网络传输过程中被窃听。
5.3.3启用系统入侵防范功能或应用入侵防范功能软硬件,对重要服务器的入侵行为进行检测和报警,对入侵事件进行记录。
5.3.4及时对系统进行必要的升级,关闭系统中危险和无用的服务。
5.3.5操作系统安装防恶意代码软件,并及时更新;安装了网络防恶意代码软件的,则制定统一的恶意代码防范策略。
5.3.6通过一定的手段限制非授权终端用户登录重要的服务器,对重要服务器的资源使用情况进行监控,并形成监控机制。
六、网络安全管理工作过程6.1网络内各种网络设备、安全设备及网络安全相关系统由网络管理员统一管理,其他任何人不得擅自操作网络设备,修改网络设置,网络管理员对于网络系统的设置、修改做好登记、备案工作。
重大更改必须向主管领导汇报,征得同意后方可进行。
6.2网络管理员绘制与网络运行情况一致的网络拓扑图,并根据网络变化情况对拓扑图进行及时更新。
6.3采取监控技术措施,每天定时对网络设备性能、路由、网络流量情况进行监控,记录,保证能及时发现网络中存在或是即将发生的问题,根据情况及时对网络进行调整,保障网络稳定通畅。
6.4根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,对网络划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段,避免将重要网段部署在网络边界处,重要网段与其他网段之间采取可靠的技术隔离手段。
6.5通过技术手段,对接入网络和接入互联网进行管理,能及时发现和阻止非授权的用户接入本单位网络和接入互联网。
6.6对网络系统中的各种日志进行管理,日志能详细记录下事件的日期、时间、事件等信息,保证日志信息不会被删除、修改或覆盖。
每天对日志进行审查,分析,及时发现网络中的异常情况,并生成分析报表。
6.7网络内所有网络设备、安全设备及网络安全相关系统应当根据管理需求设立正确的角色分配,各种角色权限分离,建立相应帐号,每个帐号仅由一个管理员使用,并加口令予以保护,任何非系统管理员严禁使用、猜测各类管理员口令。
6.8定制口令管理策略,口令长度至少在8位以上,由字母、数字、其它符号构成,且定期更换,并作好相应的口令更换记录。
6.9对网络内所有网络设备、安全设备及网络安全相关系统的远程管理用户限制IP地址,并采用加密传输的方式进行远程管理,并采用技术措施防止口令探测。
6.10在网络边界部署访问控制设备,根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级,应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
6.11采取技术措施,使网络中的连接会话处于非活跃一定时间或会话结束后终止网络连接。
6.12采取技术措施,限制网络最大流量数及网络连接数。
6.13采取技术措施,使重要网段能防止地址欺骗。