公司信息系统安全管理办法
关于加强公司信息安全管理的办法
关于加强公司信息安全管理的办法在当今信息化的时代,信息安全对各个企业和组织来说都是至关重要的。
随着信息技术的不断发展,公司面临着越来越多的信息安全威胁。
为了确保公司信息的安全性,采取一系列的管理措施势在必行。
本文将探讨加强公司信息安全管理的办法,旨在提高公司信息安全保障的能力。
I. 制定健全的信息安全政策制定健全的信息安全政策是公司保障信息安全的首要步骤。
这一政策应确立公司的信息安全目标和标准,明确信息的敏感性等级,并规定员工和管理层的责任和义务。
此外,信息安全政策还应包括网络安全、数据备份与恢复、访问权限控制、物理安全等方面的具体规定。
通过完善的信息安全政策,能够使员工充分认识到信息安全的重要性,并保证公司内部规范操作。
II. 加强员工教育和培训要加强公司的信息安全管理,必须注重员工的教育和培训。
建立定期的信息安全培训计划,向员工普及信息安全知识,教育他们遵循公司的信息安全政策。
员工应该掌握识别网络威胁的能力,学习密码安全、电子邮件安全、移动设备安全等相关知识,以减少信息泄露的风险。
通过不断提高员工的信息安全意识和技能,可以增强整体信息安全管理的能力。
III. 建立完善的访问控制系统建立完善的访问控制系统是确保公司信息安全的重要手段。
这一系统应该限制和监控对敏感信息的访问,确保只有经过授权的人员能够获得访问权限。
通过实施身份验证、访问授权、访问审计等措施,可以减少潜在的内部恶意行为和外部入侵的风险。
此外,为重要数据和系统设置备份和冗余,以确保即使出现故障或数据丢失的情况下,公司依然能够正常运营。
IV. 定期进行安全审计和漏洞扫描定期进行安全审计和漏洞扫描是保持公司信息系统安全的重要手段。
通过对公司网络和系统进行定期的安全审计,可以发现潜在的安全漏洞,及时修复。
同时,进行漏洞扫描和渗透测试,能够揭示系统中的薄弱点,以便加以加固和改进。
通过定期的安全评估,可以识别和防范威胁,降低被黑客攻击等风险。
公司网络与信息安全管理办法
公司网络与信息安全管理办法第一章总则第一条为加强公司网络与信息安全管理,保障公司信息系统的安全稳定运行,保护公司及客户的合法权益,根据国家有关法律法规和公司实际情况,制定本办法。
第二条本办法适用于公司及所属各单位的网络与信息安全管理工作。
第三条网络与信息安全管理工作应遵循“预防为主、综合治理、人员防范与技术防范相结合”的原则。
第二章管理职责第四条公司成立网络与信息安全领导小组,负责统筹规划、协调指导公司网络与信息安全工作。
第五条信息技术部门负责公司网络与信息系统的建设、运行维护和安全管理,制定并实施相关安全策略和管理制度。
第六条各部门应明确本部门网络与信息安全责任人,负责落实本部门的网络与信息安全工作。
第三章人员安全管理第七条公司员工应遵守公司网络与信息安全管理制度,妥善保管个人账号和密码,不得随意泄露。
第八条新员工入职时应接受网络与信息安全培训,了解公司相关规定和要求。
第九条对涉及重要信息系统操作的人员,应进行背景审查和定期审查。
第十条员工离职时,应及时收回其相关系统的访问权限。
第四章设备与环境安全管理第十一条公司应加强对网络设备、服务器、终端等硬件设备的管理,定期进行维护和保养。
第十二条对重要设备应采取冗余备份、防火、防水、防盗等措施,确保设备的安全运行。
第十三条机房等重要场所应具备完善的物理环境安全设施,如门禁系统、监控系统、消防系统等,并定期进行检查和维护。
第五章网络安全管理第十四条公司应建立完善的网络访问控制策略,对不同用户和网络区域进行访问权限划分。
第十五条定期对网络进行安全漏洞扫描和风险评估,及时发现并处理安全隐患。
第十六条加强对无线网络的安全管理,设置强密码,并定期更换。
第十七条严禁私自搭建未经批准的网络设备和网络服务。
第六章信息系统安全管理第十八条对公司各类信息系统进行分类管理,明确安全等级和保护要求。
第十九条信息系统开发过程中应遵循安全开发规范,进行安全测试和评估。
第二十条信息系统上线前应进行安全验收,运行过程中应定期进行安全检查和维护。
信息安全管理办法
信息安全管理办法第一条为加强公司信息安全管理工作,完善信息安全体系,保护信息资产,特制定本办法。
第二条信息安全管理包含数据安全管理、程序安全管理、密码权限管理、设备管理、网络安全管理及代码监督。
第三条数据安全管理的要求及规定1、所有系统的数据由数据安全员设置数据库系统统一存储,各部门不得在本地存储或公司设计的系统之外存储。
2、数据库由数据安全员分级设置权限密码,原则上不允许一个人掌握所有权限密码(密码权限员、董事长除外)。
3、数据库系统实行分库存储机制,原则上一个数据库表不得存储所有的信息。
4、数据库分为生产库、测试库及开发库,开发库由该库所属项目经理根据项目开发规范进行管理,测试库只能由程序测试员进行操作和管理,生产库只能由数据安全员操作和管理。
5、开发人员原则上根据项目模块分配表的操作权限实行分权限开发模式。
例如:用户模块开发人员,只能拥有用户相关表的操作权限。
6、数据库系统必须建立备份机制。
定期备份:每天进行一次完整备份;临时备份:在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对数据进行备份;按需备份:应用系统需要调整部分数据时,仅备份应用系统需要的部分数据。
7、公司提供的信息终端设备在外借或报废时,由设备管理员对系统和数据做相应处理,防止泄密。
存储设备报废前需进行重要数据的备份,备份后对报废设备中存储的信息进行彻底清除处理。
8、开发及过程文档使用git服务器统一存储及管理,新文档必须及时上传到服务器。
9、禁止将数据库结构、代码及相关文档私自拷贝或通过网络对外传输。
第四条代码安全管理的要求及规定1、禁止使用已公布的、有漏洞的第三方程序依赖包。
2、禁止在程序中植入木马病毒。
3、每月要进行一次依赖包漏洞检测,在特殊情况(如感染病毒)下,必须立即对依赖包进行漏洞检测。
已公布的高危漏洞,必须在依赖包提供更新版本后3天内升级到新版本。
4、代码使用git服务器统一存储及管理,开发人员要每日提交代码。
信息系统安全管理办法(经典版)
信息系统安全管理办法文件类别:程序制度文件编号:YM-QP-SC-001-A版次:A生效日期:201X0601机密等级: ■机密□一般归口管理部门:合计页数:含封面和目录共页撰写:XX---网赢项目组审核:审批:信息系统安全管理办法目录第一章总则 (3)第二章组织与管理 (3)第三章网络设备与设施管理 (4)第四章安全防范措施 (5)第五章事故与案件处理 (6)第六章附则 (7)第一章总则第一条为加强公司信息系统的管理,保证公司信息系统安全、稳定运行,充分发挥信息服务的重要作用,根据《中华人民共和国计算机信息系统安全保护条例》及有关的法律法规,制定本办法。
第二条本办法所称信息系统是指由计算机的硬件系统、软件系统、网络设备及通信线路等构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条本办法适用于集团公司信息系统安全管理工作。
权属公司和相关单位可参照执行。
第二章组织与管理第四条公司信息系统安全管理工作由公司信息管理部门负责,具体履行以下职责:(一)制定信息系统安全管理相关的规章制度,并检查执行情况;(二)检查和通报信息系统安全状况,提供信息系统安全技术服务;(三)负责向公司网络的使用人员宣传和培训信息系统安全知识;(四)负责处理信息系统安全事故,协助司法机构和相关行政管理部门处理信息违法案件。
第五条公司各部门范围内信息系统安全管理工作由本部门负责,具体履行以下职责:(一)执行公司信息系统安全管理的相关规章制度;(二)协助公司信息管理部门做好信息系统安全管理工作;(三)配合做好各级入网人员的教育培训工作,提高公司信息系统安全管理水平。
第六条权属公司和相关单位负责职责范围内信息系统安全管理工作,并接受集团公司信息管理部门的业务监督和指导。
第三章网络设备与设施管理第七条公司信息管理部门统一管理接入公司的光纤、内部网络防火墙、交换机以及计算机等网络设备与设施。
第八条网络设备与设施有具体使用部门的,由相应部门负责日常使用管理,公司信息管理部门提供技术支持。
电讯公司信息安全管理办法
电讯公司信息安全管理办法第一章总则第一条为加强电讯公司信息安全管理,确保公司信息系统的稳定运行和客户信息的安全,根据国家相关法律法规和行业标准,结合公司实际情况,制定本办法。
第二条本办法适用于电讯公司及其所属各单位。
第三条信息安全管理的目标是保护公司信息资产的机密性、完整性和可用性,防范信息安全风险,保障公司业务的持续发展。
第二章组织与职责第四条成立信息安全领导小组,负责公司信息安全工作的领导和决策。
领导小组由公司领导、相关部门负责人组成。
第五条设立信息安全管理部门,负责公司信息安全管理的具体工作。
其主要职责包括:1. 制定和完善信息安全管理制度和规范;2. 组织开展信息安全风险评估和安全检查;3. 负责信息安全技术防护体系的建设和维护;4. 组织开展信息安全培训和宣传教育;5. 协调处理信息安全事件。
第六条各部门负责人为本部门信息安全第一责任人,负责本部门信息安全管理工作。
第七条全体员工应遵守公司信息安全管理制度,保护公司信息资产安全。
第三章信息安全管理要求第八条信息分类与分级1. 对公司信息进行分类,分为机密信息、内部信息和公开信息。
2. 根据信息的重要程度和敏感程度,对信息进行分级,确定不同级别的保护要求。
第九条访问控制1. 建立用户身份认证和授权管理机制,确保只有授权用户才能访问相应的信息资源。
2. 对信息系统的访问进行严格控制,采用访问控制列表、防火墙等技术手段,限制非法访问。
第十条数据安全1. 采取加密、备份等措施,确保数据的机密性、完整性和可用性。
2. 对重要数据进行定期备份,并妥善保存备份数据。
3. 严格控制数据的传输和存储,防止数据泄露。
第十一条网络安全1. 建立网络安全防护体系,包括防火墙、入侵检测系统、防病毒系统等。
2. 对网络设备和服务器进行安全配置,关闭不必要的服务和端口。
3. 加强网络访问控制,防止非法接入和网络攻击。
第十二条系统安全1. 对信息系统进行安全评估和漏洞扫描,及时发现和修复安全漏洞。
计算机信息系统安全管理办法-改
计算机信息系统安全管理办法第一章总则第一条为了保护公司计算机信息系统安全,规范信息系统管理,合理利用信息系统资源,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合公司实际情况,制定本管理办法。
第二条本管理办法所称的信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,应当保障信息的安全,保障计算机功能的正常发挥,保障应用系统的正常运行,以维护计算机信息系统的安全运行。
第二章硬件管理第四条本管理办法适用的硬件或设备包括:●所有的传输语音、电子信息的电线电缆。
●所有控制语音传输、电子信息传输的设备(包括路由器、电话交换机、网络交换机、硬件防火墙、HUB、XDSL设备)。
●所有办公电脑及其部件(包括办公用台式机、办公用笔记本电脑、显示器、机箱、存储设备、内存、键盘、鼠标、连接电缆等)。
●所有办公电脑软件。
●所有办公电脑外设(如打印机、复印机、传真机、扫描仪、投影仪、数码相机等)。
●制作部IT组所管辖的机房及服务器等相关设备。
第五条按照谁使用谁负责的原则,落实责任人,负责保管所用的网络设备和线路的完好。
两人以上的用户,必须明确一人负责。
第六条计算机设备的日常维护由各业务部门、子公司、分支机构负责。
计算机设备和软件发生故障或异常情况,由公司网管统一进行处理。
第七条公司配备的电脑及其相关外围设备系公司财产,员工只有使用权,并统一纳入公司固定资产登记与跟踪管理。
第八条公司配备的电脑及其相关外围设备,主要用于公司相关经营管理活动及其日常公务处理,以提高工作效率和管理水平,不得用于其他个人目的。
信息系统安全管理办法
陕西煤业化工集团财务有限公司信息系统安全管理办法第一章总则第一条为加强公司信息系统安全的规范管理,对可能影响系统的各种因素进行控制,确保系统、网络设备以及其他设施的安全正常运行,特制订本办法。
第二条本管理办法从系统层安全角度建立公司的信息系统安全保障体系。
第二章主机安全策略第三条系统硬件采购必须符合公司的信息安全策略和其他技术策略,并符合公司的长期商业需求。
第四条系统硬件采购必须考虑:新设备在满足功能需要的同时,应有优秀的性能和足够的容量,以避免影响数据处理;数据必须有适当的保护策略,以避免丢失或意外或不可预测的破坏;系统必须有较大的冗余(电源、CPU以及其他组件)来避免出现突然的意外事件。
第五条系统硬件采购时,必须通过结构评估,应尽量获得最好的价格,性能,可靠性,容错性和售后技术支持,包括相应的技术文档或IT使用文档,以降低购买硬件设备的风险。
第六条所有主机设备应由专职人员负责定点存放和管理,定期检查存放处的物理环境,并按照物理安全管理要求进行维护;应对所有主机设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间、系统配置信息等内容;第七条应对日常运维,监控、配置管理和变更管理在职责上进行分离,由不同的人员负责;在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号;对两个月以上不使用的用户账号进行锁定;应对主机设备中所有用户账号进行登记备案。
第八条各个业务系统应对其口令的选取、组成、长度、保存、修改周期做出明确规定;组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;对于重要的主机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每三个月修改一次口令;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。
2024年企业信息安全管理办法
某某省某某有限公司企业信息安全管理办法第一章总则第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规,制定本办法。
第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。
第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条本办法适用于公司各部门及其全体员工。
第二章信息安全管理组织与职责第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。
第七条公司建立和健全协调一致、密切配合的信息安全组织和责任体系。
各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。
第八条 IT部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。
具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。
第九条公司综合部门负责信息安全工作中有关保密工作的监督、检查和指导。
第十条各部门负责本单位信息安全的管理,具体职责包括:在本单位宣传和贯彻执行信息安全政策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
第十一条 IT部承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公司信息系统安全管理办法第一章总则第一条为加强公司信息系统安全管理工作,提高信息系统建设运行质量,根据国家有关法律、法规,结合公司的实际,制定本办法。
第二条本办法适用于公司信息系统安全管理。
第三条本办法中的信息系统指为了实现企业管理信息化或业务管理信息化而购置和开发(含合作开发与自行开发)的计算机软件。
第四条公司信息管理部负责信息系统安全工作的组织与实施。
第五条公司信息管理部设系统管理员岗位,负责信息系统安全工作的日常落实,主要职责有:1、负责信息系统开发、实施、变更、验收、上线、维护、升级等阶段的组织与协调工作;2、负责信息系统后台的日常维护,包括服务器参数配置、访问控制策略的制定和服务器操作系统安全性维护等;3、负责配合业务部门针对信息系统的培训推广和用户管理等工作;4、负责配合安全管理员和网络管理员开展其他网络信息安全有关工作。
第六条公司各部门负责整理和确定本业务系统所辖业务的管理需求、信息系统使用与运维保障的安全需求等,并对本业务系统信息的安全性负责。
第二章系统开发管理第七条系统开发之前应分析确定详细的业务管理需求、技术需求(如数据库选择与数据结构设计、技术平台的选择与搭建、开发语言与网络协议的选择等)以及信息安全使用需求等,为系统开发创造条件。
第八条系统开发阶段应完成代码设计、系统测试和安全评估工作。
第九条在信息系统的代码设计阶段,应根据安全需求设计实施安全技术,对信息系统技术实现过程进行质量管理,防止技术人员故意保留“后门”,保证系统最终产品的安全性质量。
第十条软件开发设计人员与操作人员必须实行岗位分离。
软件设计方案、数据结构加密算法、源代码等技术资料严禁散失和外泄。
第十一条对开发完成的系统原型,必须经过局部功能测试、整体功能测试、压力测试,以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重要安全性测试和安全评估,并试运行三个月,确认达到设计要求后,方可正式投入使用。
测试的结果应进行详细记录并存档。
第三章系统实施管理第十二条应与系统开发单位签订与安全相关的协议,约束系统开发单位的行为。
第十三条应要求系统开发单位制定详细的系统实施方案,能正式地执行安全实施过程,并通过系统监理控制项目的实施过程。
第十四条应要求系统开发单位在实施完成后,提供系统功能说明书、系统维护手册、用户操作说明书等文档。
第四章系统变更管理第十五条系统变更由业务需求部门和信息管理部共同分析变更的必要性和合理性,确定是否实施变更。
第十六条信息管理部记录变更信息,编制变更计划和方案,报公司信息化工作领导小组审批。
第五章系统验收管理第十七条系统验收管理包括系统整体功能测试、安全性测试和文档审核工作。
第十八条在测试验收前应根据设计方案或合同要求等制订测试验收方案。
第十九条系统整体功能测试和安全性测试应由需求提交部门和信息管理部共同进行,测试工作应按照需求说明书内容逐条进行,并形成功能测试报告及安全性测试报告。
第二十条应组织相关部门和相关人员共同对系统进行审定,审定后由甲乙双方签字。
第六章系统交付上线管理第二十一条系统交付工作应由需求提交部门、信息管理部和系统开发单位共同参与。
第二十二条系统交付工作包括产品交付、文档交付和系统培训。
第二十三条应要求系统开发单位制定详细的培训计划、培训文档,并完成对需求提交部门和信息管理部的人员进行培训,同时提交系统运行维护的指导文档。
第二十四条系统上线前,应制定规范化的信息系统上线流程,待流程审批测试后,才能获准上线;信息系统未经严格测试不得上线运行。
第二十五条系统上线后,应评估信息系统上线风险,做好相应的应急和备份计划。
第七章系统维护管理第二十六条制定系统主机及存储设备维护计划,明确维护工作的责任人、职责、维护周期、维护项目、维护内容,并付诸实施。
第二十七条定期进行漏洞扫描,及时修补系统安全漏洞,安装系统的最新补丁程序。
系统服务器上必须统一安装专用杀毒软件,并及时升级病毒库。
第二十八条定期检查各信息系统运行状况,对主要系统要保证每天检查,发现问题应及时处理并进行登记。
定期对系统运行日志和审计数据进行分析,以便及时发现异常行为。
第二十九条详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容。
至少每月一次对维护记录进行分析和整理,并留档备查。
第八章系统升级管理第三十条对系统进行的重大升级和更新前应制定详细的升级方案。
第三十一条升级方案的建立包含以下内容:1、升级所影响到的相关硬件设备和相关应用系统的范围;2、明确受影响硬件设备或应用系统所需要进行的相应变更,并认真评价这些变更会被波及范围的边界;3、针对升级引起的每一项变更,设计相应的测试方案、明确测试工具、测试数据及测试结果的复核方法等;4、针对所做变更,设计相应的恢复步骤、恢复方法。
第三十二条升级过程应形成完整的技术文档,并妥善保存。
系统升级后,同步更新系统配置文档。
第九章数据安全管理第三十三条各信息系统的数据安全,由该系统的业务主管部门及信息管理部共同保障,业务主管部门负责业务数据使用权限的分配审批工作及监督检查数据备份和保护的完成情况;信息管理部负责业务数据安全的技术保障,保证业务数据免受病毒破坏或信息泄露,并且做好数据备份工作。
第三十四条应制定数据备份的保护策略,根据不同重要程度确定信息资料相应的保留时间、备份周期等,数据备份后应进行数据完整性验证,并定期做好数据恢复测试,确保备份数据和备份介质的可用性,妥善保存所有文件和记录。
第三十五条如果需要对管理系统的数据库进行读取数据或接口开发等工作,必须经业务主管部门审批后方可操作;若开发过程中出现第三方的软件开发商,则必须与之签订保密协议。
第三十六条做好重要信息资料和数据存储介质的存放、运输安全和保密管理工作,保证存储介质的物理安全,备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
第三十七条数据恢复前,必须对原环境的数据进行备份,以备恢复失败时的还原。
数据恢复过程中要严格按照数据恢复手册执行,出现问题时联系相关软硬件厂商进行现场技术支持。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第三十八条非本单位技术人员对设备、系统等进行维修、维护时,必须由系统管理员现场全程监督。
设备外出送修前,需将设备存储介质内涉及企业商业秘密的信息备份后删除,并进行登记。
第三十九条报废设备中存有的程序、数据资料应进行备份后进行清除,并妥善处理废弃无用的资料和介质,防止泄密。
第十章人员账号及密码管理第四十条企业内的人员账号统一由信息管理部负责设置分配。
第四十一条应严格限制默认用户的访问权限,用户应妥善保管自己的系统账号、口令,并定期更改口令。
不得擅自将口令转告他人,不得使用他人账号、口令进行操作。
第四十二条应用系统账号授权变更和注销申请由主管部门提出,系统维护人员及时做调整。
第四十三条应用系统的授权管理过程应进行痕迹化保留。
第四十四条严格规范人员离岗过程,及时终止离岗员工的所有访问权限;取回各种身份证件、钥匙等以及企业提供的软硬件设备;办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
第四十五条密码设置应具有安全性、保密性,不能使用简单的代码和标记。
密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;密码应定期修改,间隔时间不得超过90天,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
系统维护用户的密码应至少由两人共同设置、保管和使用。
第十一章附则第四十六条本办法由公司信息管理部负责解释。
第四十七条本办法自发布之日起执行。
公司中心机房管理办法第一章总则第一条本办法适用于公司中心机房的管理。
第二条信息管理部负责公司中心机房的管理,包括设备采购、机房设备设施的日常管理等。
第三条公司中心机房实行值班制管理。
值班员负责当值期间机房环境、基本设施(空调、新风、变配电、消防、办公用具等)的日常管理和来访接待等工作。
第四条网络管理员负责对机房设备(路由器、防火墙、交换机、服务器等)进行日常维护维修、应用配置、更新升级等工作。
第五条系统管理员负责信息系统服务器参数配置、系统安装、软件升级等工作。
第二章机房进出管理第六条机房为机要重地,非工作原因的任何人员不得进入机房。
未经主管部门负责人批准,任何人不得引领外来人员参观机房。
第七条外来人员(包括外单位来访人员、厂家服务商、物业人员等)因工作原因进入机房时,应进行登记备案。
外来人员进入机房后应在指定的区域活动,未经许可不得接触区域内的任何设备。
机房值班员或信息管理部管理人员应全程陪同。
第八条工作人员凭实名制门禁卡进入机房,门禁卡只限本人使用,不得转借他人。
第九条其他由于工作原因需要申领机房门禁卡的人员,须向信息管理部申请门禁卡办理手续。
第十条机房门禁系统的访问记录保留一年不得删除,并每隔三个月对所有的门禁系统数据进行离线存储。
值班员应不定期查看机房出入登记记录和门禁卡系统日志。
第三章机房环境与设施管理第十一条应保持机房环境的日常卫生,并定期组织机房清洁工作。
第十二条不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备运行构成威胁的物品进入机房。
第十三条禁止在机房放置与机房运行无关的设备及私人物品,禁止携带食物带入机房,严禁吸烟。
第十四条定期检查供电系统、消防系统、机房监控系统、空调系统等环境监控设备的运行参数(包括温度、湿度、额定电压、额定电流等),确保机房运行环境符合机房设计标准。
第十五条定期维护环境监控系统设备,检查设备运行状态(如设备指示灯、温度、压强、额定电压及电流、预警指示等),调阅设备运行自检报告,做好设备的维护保养工作。
第十六条机房内未经允许不得私拉电源线缆和通信线缆。
第四章机房设备管理第十七条机房设备的采购应符合国家的有关规定和要求,重要设备采购应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
第十八条机房内的设备应进行明确标识,针对设备的购置、维修、升级、调配、报废等工作及设备厂家、供应商等相关方信息应进行登记,并随时进行更新。
第十九条严格按照网络安全等级保护的安全标准管理和配置机房设备。
第二十条应定期检查机房设备的运行状况,定期检查设备运行日志及相关监控记录,并根据网络运行情况及时变更网络安全策略。
第二十一条定期更新机房设备的软件系统。
对设备的更改、升级、配置等操作之前应对现有的配件文件及数据进行备份,必要时应准备好备用设备应急。
第二十二条对可能会影响网络全局的重大操作应形成实施方案,经过论证后方可进行。
第二十三条每年应根据机房现有设备的设计使用年限及当前运行状态制定设备购置计划及硬件升级计划,并拟定升级方案。
第二十四条应建立测试环境,用于新配置策略、新程序测试等工作的开展。