数据安全管理规定
公安数据安全管理制度内容
公安数据安全管理制度内容第一章总则第一条为了加强对公安数据的安全管理,保障公安数据的完整性、机密性和可用性,依据《中华人民共和国网络安全法》和相关法律法规,制定本制度。
第二条公安数据安全管理制度适用于公安机关的数据管理和保护工作,包括但不限于信息系统安全管理、数据存储和传输安全、应急响应和事件管理等内容。
第三条公安数据安全管理的原则是依法、合规、科学、高效的,遵循安全、审慎、便捷的原则,保护国家和公民的合法权益。
第四条公安数据安全管理制度的宗旨是保障公安机关数据的安全使用和管理,防范数据泄露、篡改、丢失等安全风险,确保公安工作的正常开展。
第二章数据安全管理的组织机构和职责第五条公安数据安全管理的组织机构包括数据安全管理部门和各级公安机关的数据安全管理员。
第六条数据安全管理部门是各级公安机关设立的专门负责数据安全管理工作的机构,负责制定数据安全政策和规定,组织开展数据安全培训和检查工作,协调处理数据安全事件。
第七条数据安全管理员是各级公安机关内部设立的具有专业水平和资格的工作人员,负责组织实施数据安全管理工作,监督数据安全规定的执行情况,及时发现和处置数据安全风险。
第三章数据安全管理的内容和要求第八条公安机关应当建立健全信息系统安全管理制度,包括网络安全管理、系统安全管理、数据存储和传输安全等方面的规定。
第九条公安机关应当建立健全数据备份和恢复体系,确保关键数据的安全备份和可靠恢复能力。
第十条公安机关应当加强对外部网络和设备的审计和监控,及时发现和处理潜在的威胁。
第十一条公安机关应当建立健全数据使用和权限管理制度,严格控制数据的访问和使用范围,防止非法获取和使用数据。
第十二条公安机关应当加强数据安全事件的应急响应和处理,及时组织处置数据泄露、丢失、篡改等安全事件,防止事件扩散和影响扩大。
第四章数据安全管理的监督和评估第十三条公安机关应当建立健全数据安全管理的监督和评估制度,每年至少进行一次数据安全风险评估和管理情况评估。
企业数据安全管理规定
企业数据安全管理规定
目标
本规定旨在确保企业内部数据的安全管理,以防止数据泄露和不正当使用,并遵守相关的法律法规。
定义
1. 企业数据:包括但不限于客户信息、业务数据、财务信息等一切与企业运营和业务相关的数据。
2. 数据泄露:指未经授权或非法获取的企业数据在未授权的环境中被公开或传播的行为。
数据安全管理措施
1. 保密责任:所有员工和合作伙伴都有保守企业数据的责任,不得将数据泄露给未经授权的人员或组织。
2. 访问控制:建立严格的权限管理机制,确保只有授权人员能够访问和处理企业数据。
3. 数据备份:定期备份企业数据,并将备份存储在安全的位置,以防止数据丢失。
4. 网络安全:采取必要的措施保护企业内部网络的安全,包括
安装防火墙、使用加密技术等。
5. 安全培训:对员工进行数据安全培训,提高他们的安全意识
和防范能力。
违规处理
对于违反本规定的员工,将采取适当的纪律措施,包括但不限
于口头警告、书面警告、暂停工作、终止合同等。
附则
本规定的解释权归企业所有。
企业保留随时修改和解释本规定
的权利。
数据安全管理制度数据安全管理制度(草稿)
数据安全管理制度一、数据安全管理制度的法律依据根据《中华人民共和国数据安全法》第三条所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
根据《中华人民共和国数据安全法》第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
根据《中华人民共和国数据安全法》第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
二、明确兴义八中数据安全管理小组兴义八中数据安全管理小组成员组长:副组长:成员:三、数据安全管理措施:1、接入互联网的计算机不得处理涉密资料。
涉密计算机要专人管理、专人负责、专人使用,并设置密码,禁止访问互联网及其他外部网络系统。
2、凡涉密数据的传输和存贮均应采取相应的保密措施;涉密移动存储介质要妥善保管,严防丢失。
3、涉密计算机如需送到机关外维修时,要将涉密文件拷贝后,对硬盘上的有关内容进行必要的技术处理。
外请人员到机关维修存有涉密文件的计算机,要事先征求有关领导批准,并做相应的技术处理,采取严格的保密措施,以防泄密。
4、严禁私自将涉密移动存储介质带出学校,因工作需要必须带出学校的,经过安全工作领导小组领导批准,并有专人保管。
5、使用电子文件进行网上信息收集,要遵守有关保密规定,不得利用电子文件传递、转发或抄送涉密信息。
6、接入互联网的计算机必须安装防病毒工具,定期杀毒,定期对其计算机系统进行维护以加强防护措施。
公司数据安全管理办法
公司数据安全管理办法第一章总则第一条目的和依据为保障公司数据安全,防范数据风险,确保公司数据的保密性、完整性和可用性,根据相关法律法规和公司实际情况,制定本办法。
第二条适用范围本办法适用于公司所有涉及数据处理的部门和个人。
第三条数据分类公司的数据分为以下几类:1. 核心数据:包括商业秘密、客户隐私、关键业务数据等对公司具有重大价值的数据。
2. 重要数据:包括公司运营过程中产生的各类业务数据、财务数据等。
3. 一般数据:指其他非敏感的公司内部数据和外部公开数据。
第二章数据安全管理责任第四条数据安全管理机构公司设立数据安全管理机构,负责公司数据安全的整体规划、监督和管理。
第五条数据安全责任人各部门应指定数据安全责任人,负责本部门数据安全的日常管理和执行。
第六条员工责任所有员工在处理公司数据时,应严格遵守数据安全规定,不得泄露、篡改或滥用公司数据。
第三章数据安全保护措施第七条数据加密对于核心数据和重要数据,应采用合适的加密技术进行保护,确保数据在传输和存储过程中的安全性。
第八条访问控制建立严格的访问控制机制,确保员工只能访问其工作所需的数据,并记录所有访问行为。
第九条数据备份与恢复定期进行数据备份,并测试恢复流程,确保在发生数据丢失或损坏时能够及时恢复。
第十条员工培训定期对员工进行数据安全培训,提高员工的数据安全意识。
第四章数据安全事件处理第十一条事件报告一旦发生数据安全事件,当事人应立即向数据安全管理机构报告,并采取必要的应急措施。
第十二条事件调查数据安全管理机构应及时组织调查,查明事件原因,评估影响,并采取相应的补救措施。
第十三条责任追究对于违反数据安全规定的员工,公司将根据情节轻重给予相应的处罚。
第五章附则第十四条本办法自发布之日起实施。
第十五条本办法由公司数据安全管理机构负责解释。
数据管理保密规定(3篇)
第1篇第一章总则第一条为加强公司数据管理,确保数据安全,防止数据泄露、篡改和非法使用,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合公司实际情况,制定本规定。
第二条本规定适用于公司所有员工、合作伙伴、供应商以及任何接触公司数据的人员。
第三条公司高度重视数据安全,将数据安全纳入公司战略规划,确保数据安全、合规、高效地使用。
第二章数据分类与分级第四条公司数据分为以下类别:1. 一般数据:包括公司内部管理、业务运营、客户信息等非敏感信息。
2. 敏感数据:包括涉及国家安全、商业秘密、个人隐私等需要特别保护的信息。
3. 关键数据:对公司运营和国家安全具有重大影响的数据。
第五条根据数据的重要性、敏感性、影响范围等因素,将公司数据分为以下级别:1. 一级数据:涉及国家安全、商业秘密和个人隐私,一旦泄露可能造成严重后果的数据。
2. 二级数据:涉及公司商业秘密和个人隐私,一旦泄露可能造成较大后果的数据。
3. 三级数据:涉及公司内部管理信息,一旦泄露可能造成一定后果的数据。
第三章数据保密措施第六条公司采取以下措施确保数据保密:1. 物理安全:对存储数据的服务器、硬盘等进行物理隔离,防止未经授权的物理访问。
2. 网络安全:建立完善的网络安全防护体系,包括防火墙、入侵检测系统、安全审计等。
3. 访问控制:根据员工的岗位和职责,设定不同的数据访问权限,确保数据访问的安全性。
4. 数据加密:对敏感数据和关键数据进行加密存储和传输,防止数据泄露。
5. 安全意识培训:定期对员工进行数据安全意识培训,提高员工的数据安全意识。
第七条员工在处理数据时,应遵守以下规定:1. 不得未经授权访问、复制、篡改或泄露公司数据。
2. 不得将公司数据存储在非公司指定的设备或平台。
3. 不得在公共场合讨论公司数据,尤其是敏感数据和关键数据。
4. 不得将公司数据用于个人目的。
第四章数据安全事件处理第八条发生数据安全事件时,应立即采取以下措施:1. 通知相关部门,启动应急预案。
法院数据安全管理制度
第一章总则第一条为确保法院数据安全,保护当事人和法院工作人员的合法权益,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等相关法律法规,结合法院工作实际,制定本制度。
第二条本制度适用于法院所有电子数据、纸质数据以及相关信息系统。
第三条法院数据安全管理工作应遵循以下原则:(一)安全优先原则:确保数据安全是法院数据管理的首要任务;(二)分类分级原则:根据数据的重要程度和敏感程度,对数据进行分类分级管理;(三)责任到人原则:明确各部门、岗位人员的职责,确保数据安全责任落实;(四)技术保障原则:采用先进的技术手段,加强数据安全防护。
第二章数据分类分级第四条法院数据分为以下类别:(一)涉密数据:包括国家秘密、审判秘密、当事人隐私等;(二)内部数据:包括法院内部工作文件、案件信息、人员信息等;(三)公开数据:包括公开的审判信息、执行信息、公告信息等。
第五条法院数据分为以下级别:(一)一级数据:对国家安全、社会稳定、公共利益和当事人权益有重大影响的;(二)二级数据:对国家安全、社会稳定、公共利益和当事人权益有一定影响的;(三)三级数据:对国家安全、社会稳定、公共利益和当事人权益影响较小的。
第三章数据安全管理职责第六条法院数据安全管理工作由以下部门负责:(一)办公室:负责制定和组织实施法院数据安全管理制度,组织开展数据安全培训;(二)信息技术部门:负责信息系统安全建设、数据加密、备份和恢复等工作;(三)各业务部门:负责本部门数据的安全管理,确保数据安全。
第七条各部门、岗位人员的职责:(一)数据所有者:负责数据的分类分级、安全管理,确保数据不被非法获取、泄露、篡改、破坏;(二)数据使用者:严格遵守数据安全规定,确保数据不被非法获取、泄露、篡改、破坏;(三)数据管理员:负责数据备份、恢复、加密、解密等工作,确保数据安全。
第四章数据安全措施第八条信息系统安全:(一)加强信息系统安全防护,定期进行安全检查和漏洞扫描;(二)采用防火墙、入侵检测、防病毒等安全设备和技术,防止外部攻击;(三)对重要信息系统进行物理隔离,防止数据泄露。
集团数据安全管理制度
第一章总则第一条为确保集团数据安全,防范数据泄露、篡改、丢失等风险,依据国家相关法律法规,结合集团实际情况,制定本制度。
第二条本制度适用于集团所有分支机构、子公司以及员工,涉及数据收集、存储、使用、处理、传输、销毁等全过程。
第三条集团数据安全管理工作遵循以下原则:(一)依法合规:严格遵守国家法律法规和行业标准,确保数据安全;(二)责任明确:明确数据安全责任主体,落实数据安全责任制;(三)技术保障:采用先进的数据安全技术,保障数据安全;(四)全员参与:加强员工数据安全意识教育,提高全员数据安全防护能力。
第二章数据安全责任第四条集团董事会对数据安全负有最终责任,各分支机构、子公司负责人对本单位数据安全负有直接责任。
第五条集团首席信息官(CIO)负责组织制定和实施集团数据安全管理制度,指导、协调和监督数据安全管理工作。
第六条各分支机构、子公司设立数据安全管理员,负责本单位数据安全管理工作,包括但不限于以下职责:(一)贯彻落实集团数据安全管理制度;(二)组织开展数据安全培训和宣传;(三)定期开展数据安全风险评估;(四)发现数据安全隐患,及时采取措施予以消除;(五)定期向上级单位报告数据安全状况。
第三章数据分类分级第七条集团数据按照重要性、机密性、敏感性等因素进行分类分级,分为以下四个等级:(一)一级数据:国家秘密、集团核心商业秘密、涉及国家安全的数据;(二)二级数据:集团重要商业秘密、重要客户信息、重要合作伙伴信息;(三)三级数据:集团一般商业秘密、一般客户信息、一般合作伙伴信息;(四)四级数据:其他一般性数据。
第八条各分支机构、子公司应根据数据分类分级,采取相应的安全防护措施。
第四章数据收集与存储第九条集团数据收集应遵循以下原则:(一)合法合规:确保数据收集合法、合规,不得侵犯个人隐私;(二)最小必要:仅收集为实现业务目标所必需的数据;(三)明确目的:明确数据收集的目的和用途。
第十条集团数据存储应遵循以下原则:(一)安全可靠:采用加密、访问控制等技术手段,确保数据存储安全;(二)定期备份:定期对数据进行备份,防止数据丢失;(三)合理归档:对不再使用的数据进行合理归档,确保数据可追溯。
数据安全管理制度
数据安全管理制度一、引言数据安全是当今信息社会中至关重要的问题之一。
为了保护个人隐私和敏感信息,确保商业机密和国家安全,建立和执行数据安全管理制度至关重要。
本文将详细介绍数据安全管理制度的标准格式,包括制度目的、适用范围、定义、责任分工、安全措施等内容。
二、制度目的数据安全管理制度的目的是确保组织内部的数据安全,防止数据泄露、滥用和破坏。
通过制定明确的规范和流程,有效管理数据的收集、存储、处理和传输,提高数据安全性和可靠性。
三、适用范围本制度适用于组织内部所有涉及数据处理的部门和人员,包括但不限于技术人员、管理人员、销售人员等。
四、定义1. 数据:指任何形式的信息,包括但不限于电子文档、图像、音频、视频等。
2. 敏感数据:指个人身份信息、财务信息、商业机密等对组织和个人具有重要价值和保密性的数据。
3. 数据泄露:指未经授权的数据披露给未经授权的人员或组织。
4. 数据滥用:指未经授权或违反规定的数据使用行为。
5. 数据破坏:指故意或意外地破坏、损坏或篡改数据的行为。
五、责任分工1. 数据安全负责人:负责制定、执行和监督数据安全管理制度,组织数据安全培训和演练,并定期评估和更新数据安全措施。
2. 部门负责人:负责本部门数据的安全管理和保护,制定本部门的数据安全操作规程,并指定数据安全管理员。
3. 数据安全管理员:负责监控和维护数据安全系统,处理数据安全事件和问题,定期进行数据备份和恢复。
六、安全措施1. 数据分类和标记:根据数据的重要性和敏感程度,将数据进行分类和标记,明确访问权限和使用规则。
2. 访问控制:建立严格的访问控制机制,对不同级别的数据进行权限管理,确保只有授权人员可以访问和使用数据。
3. 数据加密:对敏感数据进行加密处理,确保数据在传输和存储过程中的安全性。
4. 数据备份和恢复:定期进行数据备份,确保数据丢失时能够及时恢复。
5. 安全审计:建立数据安全审计机制,记录和监测数据的访问和使用情况,及时发现和纠正安全漏洞。
数据中心安全管理规定(1范本)
数据中心安全管理规定1. 引言数据中心作为企业的核心枢纽和重要资源仓库,其安全管理至关重要。
数据中心的安全管理规定是为了保障数据中心的信息资产安全、系统运行稳定、业务流程顺畅而制定的一系列管理措施和规程。
本文档旨在明确数据中心安全管理的基本要求,提供指导和支持,保障数据中心的安全与可靠。
2. 安全管理职责2.1 数据中心安全管理团队设立专门的数据中心安全管理团队,负责制定安全策略和实施方案,监督数据中心安全管理工作的落实,并定期进行安全演练和评估。
2.2 数据中心管理员数据中心管理员应严格遵守安全管理规定,具备相应的技术和管理能力,负责数据中心的日常运维和安全管理工作,包括设备管理、用户权限管理、系统备份与恢复等。
2.3 数据中心用户数据中心用户应按照安全管理规定的要求,正确使用数据中心资源,严禁非法操作和滥用权限。
对于发现的安全问题,应及时报告给数据中心管理员。
2.4 安全合规团队建立安全合规团队,负责对数据中心安全管理的合规性进行评估和监督,确保数据中心的安全管理符合相关法律法规和标准要求。
3. 基础设施安全3.1 机房物理安全确保机房的门禁系统正常运行,只有授权人员可以进入机房。
采取视频监控、入侵检测和报警系统等措施,保障机房的物理安全。
3.2 设备管理设备入库前应进行严格的防病毒检测和安全审查。
设备应按照规定进行分类管理,定期进行巡检和维护。
下线、报废的设备应进行安全销毁,以防止敏感信息泄露。
3.3 网络安全建立防火墙、入侵检测和防病毒系统,对入侵行为进行监测和阻断。
设置网络访问控制机制,限制非授权用户的访问权限。
3.4 电力供应和UPS系统确保电力供应的可靠性和稳定性,配置UPS系统进行电力备份,以防止因电力故障导致的数据中心宕机。
4. 系统安全4.1 访问控制建立用户权限管理制度,对用户进行分类管理,分配最小权限原则,严格控制敏感数据的访问权限。
定期审计权限分配情况,及时清除离职人员的权限。
数据安全管理制度_医院
第一章总则第一条为确保医院数据安全,保障医疗质量和患者权益,依据国家相关法律法规,结合医院实际情况,特制定本制度。
第二条本制度适用于医院内部所有涉及患者信息、医疗数据、财务数据等的数据收集、存储、使用、处理、传输、销毁等环节。
第三条本制度旨在规范医院数据安全管理,提高数据安全意识,确保数据安全、可靠、可控。
第二章数据安全责任第四条医院院长为医院数据安全的第一责任人,负责医院数据安全工作的全面领导。
第五条各部门负责人为本部门数据安全的第一责任人,负责本部门数据安全工作的具体实施。
第六条数据安全管理人员负责医院数据安全工作的组织、协调和监督。
第三章数据分类与分级第七条医院数据分为以下类别:(一)患者信息:包括姓名、性别、年龄、身份证号、联系方式、住址、病情、诊疗记录、检查报告等。
(二)医疗数据:包括病历、处方、医嘱、检验报告、影像资料等。
(三)财务数据:包括收费、报销、结算、财务报表等。
第八条医院数据根据重要性和敏感性分为以下等级:(一)一级数据:涉及患者生命安全、隐私权等核心数据。
(二)二级数据:涉及患者隐私权、医疗质量等重要数据。
(三)三级数据:涉及医院运营、财务等一般数据。
第四章数据安全管理措施第九条数据收集与存储(一)数据收集:严格按照法律法规和医院规定收集数据,不得非法收集、使用数据。
(二)数据存储:采用安全可靠的数据存储设备,确保数据安全、完整。
第十条数据使用与处理(一)数据使用:严格按照权限和规定使用数据,不得泄露、篡改、滥用数据。
(二)数据处理:对数据进行分类、分级,采取相应的安全措施。
第十一条数据传输与交换(一)数据传输:采用加密传输方式,确保数据在传输过程中的安全。
(二)数据交换:与外部单位交换数据时,遵循相关法律法规和医院规定。
第十二条数据销毁与归档(一)数据销毁:对不再需要的数据,按照规定进行销毁,确保数据彻底消失。
(二)数据归档:对具有保存价值的数据,按照规定进行归档,确保数据长期保存。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据安全管理规定一、目的明确规定公司使用信息系统的各部门对数据安全管理的工作职责与范围,监督其日常与长期工作质量,并使其符合ISO质量管理体系要求。
二、范围公司使用信息系统的各部门三、适用文件无四、内容(一)总则1.加强对公司计算机信息系统数据安全保护工作的目的是:确保公司业务计算机信息系统正常运行,维护数据信息应用工作的正常开展,提高公司计算机信息系统数据整体安全水平,净化网络信息环境。
2.本规定中所指计算机信息系统数据是指各常规工作中所建立和存储在电子设备和计算机内的业务、财务、人事等电子数据。
3.公司系统内计算机信息系统数据安全保护工作应按照“谁主管、谁负责,预防为主、综合治理,制度防范与技术防范相结合”的原则,逐步实现数据安全管理的科学化、规范化。
各部门计算机数据管理实行负责人责任制,各部门指定专人负责本部门计算机数据管理工作,其职责是:(1)保障本部门计算机数据的安全运行;(2)对本部门的计算机数据及时进行分类登记、备份;(3)对外来介质、软件进行检测;(4)随时检测、清除计算机病毒和有害数据;(二)计算机信息系统安全管理4.计算机信息系统应及时进行系统升级或更新补丁;计算机信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。
5.计算机信息系统应有全面、规范、严格的用户管理策略或办法。
重要的计算机信息系统必须有双人互备做为系统管理员,系统管理员必须对计算机信息系统的各种服务器加设口令,严禁采用系统默认超级管理员用户命或口令;由系统管理员对用户实行集中管理,对用户按职能分组管理,设定用户访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。
对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志,审计日志应进行妥善保存。
6.计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段,并具有在要求时间内恢复系统功能以及重要数据的能力。
对重要计算机信息系统及设备要有应急处理预案,并定期举行数据安全应急演习。
7.计算机信息系统与数据库主机必须建立在正规机房,机房要在场地面积、用电环境、使用环境、消防防雷等方面符合国家有关规定。
8.计算机信息系统主机或存储设备发生故障时,要尽量现场维修,系统管理员要在现场监督;确需要送出维修时,注意去掉存储部件或删除数据。
9.严格计算机信息系统客户机接入管理。
只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统,严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。
接入计算机信息系统的客户机要满足以下要求:1、装有杀毒防毒软件;2、与互联网或外网物理隔离;3、只装指定的业务软件;4、未经允许,不得接入移动存储设备;5、除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
10.各类计算机信息系统的安装、升级、调试和维护由系统管理员负责。
未经系统管理员许可,不得随意在计算机信息系统的客户机上安装新软件。
(三)互联网安全管理11.坚持“涉密计算机不上互联网,非涉密计算机不处理涉密信息”的原则。
涉及公司秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,也不得与业务内网相联接,必须实行物理隔离。
笔记本电脑不允许启用无线网卡,以避免泄密。
12.对重要或涉密数据的存储和传输应进行加密处理。
对重要或涉密数据的存储介质,应采取必要的安全保护措施,并建立相应的登记管理制度。
对保密信息不得遗失、泄露。
未经同意,涉密计算机不得使用U盘、移动硬盘、刻录机等相关设备。
13.对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。
14.各部门经办计算机信息系统中的计算机均不得接入国际互联网,不得做与业务处理无关的工作。
除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
15.需接入互联网的计算机需按正常程序申请,由系统维护部分配相应的上网权限。
16.杜绝以各种形式违规外联互联网,包括利用办公电话拔号上网、无线上网等,维护公司网络安全。
17.在办公范围内不允许启用笔记本电脑自带的无线网卡。
以避免泄密以及对网络系统造成电磁干扰。
18.接入互联网的计算机应具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。
对计算机、服务器账户均设置密码,各种账户和密码严格保密。
根据信息的安全规定和权限,确定使用人员的存取、使用权限。
通过网络传送的程序或信息,必须经过安全检测,方可使用。
各类操作人员必须具有病毒防范意识,做好计算机病毒的预防、检测、清除工作,及时升级防病毒系统,定期进行病毒的查杀,发现病毒要及时处理,并做好记录。
防止各类针对网络的攻击,保证数据安全。
19.建立互联网信息发布的审核和登记制度,坚持“先审后贴”“谁上网谁负责”的原则,凡向互联网的站点提供或发布信息,必须经过发布部门的保密审查批准,并由专职部门负责统一发布,同时做好审核登记记录。
未经允可,任何人员不得将数据信息以任何形式发布到互联网上或对外提供,防止数据泄密。
20.提供电子邮件服务的计算机应具备有害信息和垃圾邮件过滤功能,相应技术参数应符合国家相关标准。
21.建立对外网信息的监视、保存和备份制度,要有专人对网站、交互式栏目发布的信息进行监视,发现有害信息备份后立即删除,并报告当地公安机关公共信息安全监察部门。
22.任何部门和个人不得利用互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
(四)数据维护及备份管理23.建立计算机信息系统管理员制度。
重要的计算机信息应用系统要实行系统管理员双人互备。
系统管理员承担系统的运行维护和数据的安全管理工作。
24.各计算机信息应用系统本着“谁应用谁负责”的原则,由系统管理应用部门制定数据安全管理方案,配备专职系统管理员,并将数据安全管理方案、数据备份策略、管理流程和人员组织情况向部门负责人备案。
25.系统管理员要严格遵守数据备份策略,及时做好数据的备份工作。
严格数据库管理员口令管理,要定期更换数据库管理员口令。
在系统升级或数据有较大变动情况时必须备份并长期异地保存;系统数据每天应作数据库的增量备份,每周应作数据库的完全备份;各类统计报表、各类外部电子信息数据应每月备份;重要数据读入系统后应及时备份。
26.数据备份采用在线存储与脱机介质两种形式进行双备份。
一方面要将数据备份到非本机的存储设备上;另一方面备份到脱机介质上,脱机备份要实行本地与异地双存储。
数据备份后要认真填写数据管理日志。
27.重要数据必须定期、完整、真实、准确地备份到不可更改的介质上,并要求做到集中和异地双备份保存。
对长期保存的数据光盘等备份介质,应每年进行一次以上检查,以防止存储介质损坏造成损失。
28.备份数据资料保管地点应有防火、防潮、防尘、防磁、防盗等安全设施。
废弃的数据信息存储介质要严格按照保密要求进行粉碎处理。
29.系统出现故障和遭到破坏时,由系统管理员负责完成数据恢复工作,系统管理员必须保证备份数据能够及时、准确、完整地恢复。
确因特殊原因不能恢复的,应及时向分管领导汇报,妥善处理。
数据恢复后要认真填写数据管理日志。
30.对数据的各项操作实行日志管理,严格监控操作过程,对发现的数据安全问题,要及时处理和上报。
31.未经批准,系统管理员不得直接对后台数据库进行数据更改操作,确需后台操作的,必须上报分管领导批准,并事先对数据库进行备份后进行,同时,详细记录操作过程及数据更改情况存档备查。
(五)人员管理32.建立计算机信息系统安全管理人员的录用、考核制度,不能胜任工作的人员必须及时调离。
涉密人员应有相当强的保密意识,自觉遵守涉密信息不上网的规定,严禁涉密信息的有意或无意泄漏。
33.计算机管理人员调离时,必须按规定移交全部技术资料和有关数据,设有口令密钥的要及时进行更换。
涉及重要业务的人员调离时,应确认对业务不会造成危害后方可调离。
34.操作人员应严格遵守软件的操作规范,离开操作岗位时,必须退出应用软件操作界面或锁定计算机,以防他人进行未经授权的操作。
35.操作人员必须遵守有关计算机管理的安全保密法律法规,各类应用系统的使用必须实行用户身份验证,对自己的帐号负责。
操作人员应注意自己用户名和口令的保密,并定期或不定期修改口令。
如出现他人借用或盗用本人帐号引起不良后果的,要按规定追究有关责任人的责任。
36.发生重大计算机事故,应当立即报告信息管理中心部门。
37.发现计算机违法、犯罪案件,须立即向公安机关公共信息网络安全监察部门报案。
(六)档案管理38.计算机介质与技术资料等应设专柜存放。
纳入管理的资料包括系统软件、工具软件、应用软件、备份数据、技术资料等。
其中技术资料包括各个主机配置情况、系统参数、网络设备配置参数、网络物理连接图、逻辑连接图、系统备份方案、系统故障应急操作手册等和其它认为有必要纳入管理的各类技术资料;密码包括主机密码、数据库管理员密码、路由器密码、应用软件超级用户密码以及计算机介质等。
五、奖惩依据本规定奖惩暂按照《奖励与处罚管理规定》执行。
六、权限(一)起草部门:信息管理中心数据库研发部(二)审核部门:信息管理中心(三)批准部门:总经理(四)执行部门:公司使用信息系统的各部门七、例外无八、解释(一)本规定自发文之日起实行。
(二)本规定的最终解释权归信息管理中心。
九、引用无十、附录无二○一○年九二十日。