資訊保安管理制度
本文已影響1.91W人
本文已影響1.91W人
在現實社會中,很多場合都離不了制度,制度就是在人類社會當中人們行為的準則。想必許多人都在為如何制定制度而煩惱吧,以下是小編精心整理的資訊保安管理制度,僅供參考,大家一起來看看吧。
為加強公司各資訊系統管理,保證資訊系統安全,根據《中華人民共和國保守國家祕密法》和國家保密局《計算機資訊系統保密管理暫行規定》、國家保密局《計算機資訊系統國際聯網保密管理規定》,及上級資訊管理部門的相關規定和要求,結合公司實際,制定本制度。
本制度包括網路安全管理、資訊系統安全保密制度、資訊保安風險應急預案。
網路安全管理制度
第一條公司網路的安全管理,應當保障網路系統裝置和配套設施的安全,保障資訊的安全,保障執行環境的安全。
第二條任何單位和個人不得從事下列危害公司網路安全的活動:
1、任何單位或者個人利用公司網路從事危害公司計算機網路及資訊系統的安全。
2、對於公司網路主結點裝置、光纜、網線佈線設施,以任何理由破壞、挪用、改動。
3、未經允許,對資訊網路功能進行刪除、修改或增加。
4、未經允許,對計算機資訊網路中的共享檔案和儲存、處理或傳輸的資料和應用程式進行刪除、修改或增加。
5、故意製作、傳播計算機病毒等破壞性程式。
6、利用公司網路,訪問帶有“黃、賭、毒”、反動言論內容的網站。
7、向其它非本單位使用者透露公司網路登入使用者名稱和密碼。
8、其他危害資訊網路安全的行為。
第三條各單位資訊管理部門負責本單位網路的安全和資訊保安工作,對本單位單位所屬計算機網路的執行進行巡檢,發現問題及時上報資訊中心。
第四條連入公司網路的使用者必須在其本機上安裝防病毒軟體,一經發現個人計算機由感染病毒等原因影響到整體網路安全,資訊中心將立即停止該使用者使用公司網路,待其計算機系統安全之後方予開通。
第五條嚴禁利用公司網路私自對外提供網際網路絡接入服務,一經發現立即停止該使用者的使用權。
第六條對網路病毒或其他原因影響整體網路安全的子網,資訊中心對其提供指導,必要時可以中斷其與骨幹網的連線,待子網恢復正常後再恢復連線。
資訊系統安全保密制度
第一條、“資訊系統安全保密”是一項常抓不懈的工作,每名系統管理員都必須提高資訊保安保密意識,充分認識到資訊保安保密的重要性及必要性。對重要系統的系統崗位員工進行資訊系統安全保密培訓。
第二條、實行資訊釋出責任追究制度,所有資訊的釋出必須按規定辦理稽核、審籤手續,必須真實有效且符合中華人民共和國法規。涉及國家及公司機密的資訊系統必須與內部網和網際網路實施物理隔離,嚴格執行上網資訊的審查制度和涉及國家祕密的資訊不得在企業內網釋出的規定,杜絕洩密事件的發生。凡釋出虛假、反動、色情、洩密等內容,追究資訊報送和稽核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、資訊系統管理許可權從安全級別上分為絕密、機密、祕密;從適用物件上分為高階管理員、系統管理員、高階使用者、中級使用者、一般使用者、特殊使用者;從操作承載體上分為伺服器(包括系統伺服器、應用伺服器和控制伺服器)、工作終端、使用者終端;從設定內容上分為完全控制、許可權設定變更廢止、建立、刪除、新增、編輯、更新、執行、讀取、拷貝、其他操作等。
第四條、所有資訊系統的使用者和不同安全等級資訊之間必須存在授權關係,並在新建資訊系統開發建設階段形成方案並加以設計,在軟體系統中預留對應關係設定的功能,根據使用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對資訊系統的硬體配置調整、軟體引數修改嚴加控制。利用作業系統、資料庫系統、應用系統所提供的安全機制,設定相應的安全引數,保證系統訪問的安全;對於重要的計算機裝置,要利用軟體技術等手段防止員工擅自安裝、解除安裝軟體或改變軟體系統配置,並定期對以上情況進行檢查。
第六條、資訊系統如需要委託專業機構進行系統執行和維護管理時,應嚴格審查其資質條件、市場剩餘和信用狀況等,並且與其簽訂正式的服務合同和保密協議。
第七條、所有資訊系統伺服器、工作終端、使用者終端必須安裝安全防病毒軟體,對未安裝防病毒軟體的終端使用者有權拒絕為其提供網路接入服務。
第八條、利用防火牆、路由器、入侵檢測等網路裝置,加強網路安全,嚴密防範來自網際網路的黑客攻擊和非法侵入。
第九條、對於通過網際網路傳輸的涉密或關鍵業務資料,要採取必要的技術手段確保資訊傳遞的保密性、準確性、完整性。
第十條、對於停止執行的廢舊系統,應當做好系統中有價值及涉密資訊的銷燬、轉移等善後工作。
第十一條、系統管理人員要遵守資訊系統的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業務系統的訪問建立使用者管理制度,對於不同類別不同級別的各類管理及使用人員採取密碼分級管理,設定密碼有效期限,對密碼儲存採用非明文二次加密技術防止各類密碼洩露事故的發生。
資訊保安風險應急預案
一、總則
為加強公司資訊保安風險源的預防管理,提高應急防範能力,保障網路系統、資訊系統及資訊機房的整體安全,促進公司安全生產穩步健康發展,制定本預案。
二、編制目的
依據《中華人民共和國計算機資訊系統安全保護條例》、《中華人民共和國計算機資訊網路國際聯網安全保護管理辦法》等有關法規檔案精神。確保公司資訊網路系統安全執行,為公司整體安全形勢穩步發展提供保障。
三、適用範圍
本預案適用於各單位資訊保安突發風險應急管理。
四、主要風險源
1、火災
2、意外斷電
3、重要資料丟失
4、網路系統大面積癱瘓
五、風險源辨識及評估
各單位應組織員工對風險源進行全面、系統的辨識和風險評估,並確保:危險源辨識前要進行相關知識的培訓;辨識範圍覆蓋本單位的所有活動及區域;對危險源辨識和風險評估資料進行統計、分析、整理、歸檔;
5.1、火災辨識及評估
5.1.1火災辨識
(1)自然災害引起的火災
(2)強電線路短路引起的火災
(3)雜物堆積引起的火災
(4)溫度過高引起的火災。
(5)老鼠咬線引起的火災。
5.1.2火災風險評估
機房發生火災可能導致工作人員人身受到傷害;資訊網路裝置受到損壞;網路系統大面積癱瘓;國家、集體財產受到損失。
5.2、意外斷電辨識及評估
5.2.1意外斷電辨識
(1)自然災害引起的意外斷電。
(2)短路跳閘引起的意外斷電。
5.2.2意外斷電風險評估
1、意外斷電可能導致機房核心交換機、防火牆、匯聚交換機、資料庫伺服器、軟體伺服器、恆溫裝置等重要裝置損壞或資料丟失;
2、意外斷電可能導致煙霧報警系統、溫度報警和斷市電系統無法正常工作而帶來的間接財產損失。
5.3、重要資料丟失辨識及評估
5.3.1重要資料丟失辨識
(1)意外斷電引起的資料丟失。
(2)伺服器故障引起的資料丟失。
(3)資料庫損壞引起的資料丟失。
5.3.2重要資料丟失風險評估
1、安全軟體系統資料丟失可能導致安全生產監控類系統資料無法正常採集於傳輸,影響到礦井安全生產的正常進行。
2、資料庫系統資料丟失可能導致經營管理類系統無法正常使用,影響公司相關部門經營管理工作和日常辦公無法正常進行。
5.4、網路系統大面積癱瘓
5.4.1 網路系統大面積癱瘓辨識
(1)意外斷電引起的核心交換機、防火牆損壞或故障導致網路系統大面積癱瘓。
(2)通訊線路中斷引起的網路系統大面積癱瘓
(3)伺服器損壞或故障引起的大面積無法登入網際網路。
5.4.2 網路系統大面積癱瘓風險評估
1、網路系統大面積癱瘓可能導致公司與生產礦井之間的資訊傳輸中斷,管理部門失去對礦井生產的安全監管,安全生產無法正常進行。
2、網路系統大面積癱瘓可能導致公司日常辦公無法正常進行。
5.5、高空作業辨識及評估
5.5.1高空作業辨識
(1)日常高空維修可能造成人身傷害。
(2)工程高空施工可能造成人身傷害。
5.5.2高空作業風險評估
日常高空維修網路裝置、打掃衛生和高空施工可能造成工作人員人身傷害和精神傷害,影響公司安全生產穩步發展。
六、安全風險應急預案及措施
根據各單位存在的主要風險源和風險評估,保障安全生產工作有序進行,制定本預案及措施。
6.1火災應急預案及處置措施
6.1.1應急預案
(1)發生特大火災時(包括機房、UPS、庫房),值班人員應立即逃離火災範圍,啟動對應的火災應急預案和響應級別,拉響警報,向公司總排程室、本單位負責人、單位安監部門彙報,在確保人身安全的情況下,組織人員利用滅火器進行滅火;
如果火勢過大,人員無法靠近時,應立即撥打火警119,求助消防部門進行滅火。
(2)發生重大火災時(包括機房區域性、UPS控制器、庫房區域性),值班人員應立即逃離火災範圍,啟動對應的火災應急預案,拉響警報,向公司排程室和本單位安監部門彙報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,力爭將財產損失降到最低。
(3)發生較大火災時(包括消防通道、辦公室)值班人員應啟動對應的火災應急預案,向公司總排程室及本單位安監部門彙報,在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免或降低財產損失。
6.1.2處置措施
(1)火災發生時,值班和工作人員應立即脫離火災範圍,確保人身安全。
(2)根據火災大小確定火災風險等級,並啟動相應的響應等級。
(3)根據火災風險等級向公司總排程室及本單位安監部門彙報火災情況。
(4)火勢過大無法控制時,應立即撥打火警119進行求助。
(5)在確保人身安全的情況下,組織人員利用滅火器進行滅火,避免火災擴大,降低財產損失。
(6)盡最大可能蒐集火災發生的相關資訊,做好記錄,為事故處理提供依據。
(7)每月針對火災誘發根源進行徹底檢查(如易燃物品不能堆放、庫房物品分類並整齊擺放等),預防火災的發生。
6.2、意外斷電應急預案及處置措施
6.2.1應急預案
發生自然災害和短路引起的意外斷電時,值班人員在確保人身安全的情況下,根據風險等級啟動相應的響應等級,向本單位安監部門進行彙報,邀請電力維修人員進行斷電故障排查,並組織技術人員對機房核心交換機、防火牆、匯聚交換機、資料庫伺服器、資料備份伺服器、軟體伺服器、軟體系統、煙霧報警、UPS溫度監控、機房溫度監控系統進行隱患排查,發現裝置故障和資料丟失,應當進行及時處理和上報。
6.2.2處置措施
(1)發生意外斷電時,在確保人身安全的情況下,值班人員應啟動相應的響應等級。
(2)向本單位安監部門進行彙報。
(3)必須請專業電力維修人員進行故障排查與維修。
(4)蒐集意外斷電發生的資訊並作好記錄,為事故處理提供依據。
6.3、重要資料丟失應急預案及處置措施
6.3.1應急預案
(1)因意外斷電引起重要資料丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總排程室和安監部門進行彙報,邀請專業電力維修人員進行故障排查,恢復供電正常,排查機房裝置及資料情況,發現裝置故障和資料丟失,立即組織相關技術人員進行恢復。
(2)因伺服器故障引起資料丟失時,值班人員應根據風險等級啟動相應的響應等級,向公司總排程室和案件部門進行彙報,並組織技術人員進行伺服器維修和資料恢復,如果伺服器和資料無法維修和恢復時,應向本單位負責人彙報並外請專業人員進行維修,確保裝置和資料安全。
(3)因資料庫無法啟動引起的資料丟失,值班人員應根據風險等級啟動相應的響應等級,向公司總排程室和案件部門進行彙報,並組織技術人員進行資料恢復,如果資料無法恢復,應向本單位負責人彙報並外請專業人員進行資料恢復,確保設資料安全。
6.3.2處置措施
(1)發生資料丟失時,值班人員應根據風險等級啟動相應相應等級。
(2)值班人員向本單位安監部門彙報。
(3)組織技術人員對資料進行恢復。
(4)本單位技術人員無法恢復丟失資料時,應向本單位負責人彙報並外請專業人員進行資料恢復,確保資料安全。
(5)做好資料丟失與恢復過程的記錄。
6.4、高空作業應急預案及處置措施
6.4.1應急預案
(1)在高空維修過程中發生人員墜落風險時,如果墜落人員處於清醒狀態,應立即撥打120送往醫院進行急救;
如果墜落人員處於昏迷狀態,其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,並向公司總排程室、本單位負責人及安監部門彙報。
(2)在高空施工過程中發生人員墜落風險時,如果墜落人員處於清醒狀態,應立即撥打120送往醫院進行急救;
如果墜落人員處於昏迷狀態,其他維修人員應當立即進行簡單的急救(如將人平躺在地上,進行按壓胸部、掐人中、人工呼吸等),同時撥打120急救電話送往醫院進行搶救,並向公司總排程室、本單位負責人及安監部門彙報。
6.4.2處置措施
(1)日常高空維修必須在確保人身安全的情況下進行,否則不能進行維修作業。
(2)在日常工作中設計到高空維修,維修人員一定要2人或2人以上進行維修。否則,維修人員可以拒絕維修工作。
(2)高空維修人員必須佩帶安全繩索,並採用安全梯子進行高空作業。否則,不能進行高空維修作業。
(3)事故發生後要對事故的經過進行詳細記錄,為事故處理提供依據。
第一章總則
第一條目的
為了確保公司資訊系統的資料安全,使得在資訊系統使用和維護過程中不會造成資料丟失和洩密,特制定本制度。
第二條適用範圍
本制度適用於公司技術管理部及相關業務部門。
第三條管理物件
本制度管理的物件為公司各個資訊系統系統管理員、資料庫管理員和各個資訊系統使用人員。
第二章資料安全管理
第四條資料備份要求
存放備份資料的介質必須具有明確的標識。備份資料必須異地存放,並明確落實異地備份資料的管理職責。
第五條資料物理安全
注意計算機重要資訊資料和資料儲存介質的存放、運輸安全和保密管理,保證儲存介質的物理安全。
第六條資料介質管理
任何非應用性業務資料的使用及存放資料的裝置或介質的調撥、轉讓、廢棄或銷燬必須嚴格按照程式進行逐級審批,以保證備份資料安全完整。
第七條資料恢復要求
資料恢復前,必須對原環境的資料進行備份,防止有用資料的丟失。資料恢復過程中要嚴格按照資料恢復手冊執行,出現問題時由技術部門進行現場技術支援。資料恢復後,必須進行驗證、確認,確保資料恢復的完整性和可用性。
第八條資料清理規則
資料清理前必須對資料進行備份,在確認備份正確後方可進行清理操作。歷次清理前的備份資料要根據備份策略進行定期儲存或永久儲存,並確保可以隨時使用。資料清理的實施應避開業務高峰期,避免對聯機業務執行造成影響。
第九條資料轉存
需要長期儲存的資料,資料管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止儲存介質過期失效,通過有效的查詢、使用方法保證資料的完整性和可用性。轉存的資料必須有詳細的文件記錄。
第十條涉密資料裝置管理
非本單位技術人員對本公司的裝置、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機裝置送外維修,須經裝置管理機構負責人批准。送修前,需將裝置儲存介質內應用軟體和資料等涉經營管理的資訊備份後刪除,並進行登記。對修復的裝置,裝置維修人員應對裝置進行驗收、病毒檢測和登記。
第八條報廢裝置資料管理
管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除,並妥善處理廢棄無用的資料和介質,防止洩密。
第九條計算機病毒管理
執行維護部門需指定專人負責計算機病毒的防範工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
第十條專用計算機管理
營業用計算機未經有關部門允許不準安裝其它軟體、不準使用來歷不明的載體(包括軟盤、光碟、行動硬碟等)。
第三章附則
第十一條本制度自20xx年6月1日起執行。
第十二條本制度由技術管理部負責制定、解釋和修改。
一、一般規定
1、未經網管批准,任何人不得改變網路(內部資訊平臺)拓撲結構、網路(內部資訊平臺)裝置佈置、伺服器、路由器配置和網路(內部資訊平臺)引數。
2、任何人不得進入未經許可的計算機系統更改系統資訊和使用者資料。
3、機關區域網上任何人不得利用計算機技術侵佔使用者合法利益,不得製作、複製和傳播妨害單位穩定的有關資訊。
4、各部門應定期對本科室計算機系統和相關業務資料進行備份以防發生故障時進行恢復。
二、帳號管理
1、網路(內部資訊平臺)帳號採用分組管理。並詳細登記:使用者姓名、部門名稱、口令,存取許可權,開通時間,網路(內部資訊平臺)資源分配情況等。
2、網路(內部資訊平臺)管理員為使用者設定明碼口令,使用者可以根據自己的保密情況進行修改口令,使用者應對工作站設定開機密碼和屏保密碼。
3、使用者帳號下的資料屬於使用者私有資料,當事人具有存入許可權,管理員具有管理和備份存取許可權。
4、網路(內部資訊平臺)管理員根據有關帳號管理規則對使用者帳號執行管理,並對使用者帳號及資料的安全和保密負責。
5、網路(內部資訊平臺)管理員必須嚴守職業道德和職業紀律,不得將任何使用者的密碼、帳號等保密資訊等資料的洩露出去。
三、網路管理員職責
1、協助制定網路(內部資訊平臺)建設方案,確定網路(內部資訊平臺)安全及資源共享策略。
2、負責公用網路(內部資訊平臺)實體,如伺服器、交換機、集線器、防火牆、網線、接外掛等的維護和管理。
3、負責伺服器和系統軟體的安裝、維護、調整及更新。
4、負責網路(內部資訊平臺)賬號管理,資源分配,資料安全和系統安全。
5、監視網路(內部資訊平臺)執行,調整引數,排程資源,保持網路(內部資訊平臺)安全、穩定、暢通。
6、負責系統備份和網路(內部資訊平臺)資料備份,負責各部門電子資料資料的整理和歸檔。
7、保管網路(內部資訊平臺)拓撲圖接線表,裝置規格及配置單,管理記錄,執行記錄,檢修記錄等網路(內部資訊平臺)資料。
8、每年對本單位網路(內部資訊平臺)的效能和各電腦效能進行評價,提出網路(內部資訊平臺)結構、技術和網路、管理的改進措施。
四、安全管理職責
1、保障網路(內部資訊平臺)暢通和資訊保安。
2、嚴格遵守公司、省、市制定的相關法律、行政法規,嚴格執行《網路安全工作制度》,以人為本,依法管理,確保網路(內部資訊平臺)安全有序。
3、在發生網路(內部資訊平臺)重大突發事件時,應立即報告,採取應急措施,儘快恢復網路(內部資訊平臺)正常執行。
4、充分利用現有的安全裝置設施、軟體,最大限度地防止計算機病毒入侵和黑客攻擊。
5、加強資訊審查工作,儲存,備份至少90天之內網路資訊日誌,及時加以分析,排查不安定因素,防止黃色,反動資訊的傳播。
6、經常檢查網路(內部資訊平臺)工作環境的防火、防盜工作。五、電腦操作人員培訓制度
五、病毒的防治管理制度
1、任何人不得在機關的區域網上製造傳播任何計算機病毒,不得故意引入病毒。網路(內部資訊平臺)使用者發現病毒應立即向網路管理員報告。網路管理員及時指導和協助處理病毒。
2、各部門應定期查毒,(週期為一週或者10天)管理員應及時升級病毒庫,並提示各部門對防毒軟體進行線上升級。
1目標
勝達集團資訊保安檢查工作的主要目標是通過自評估工作,發現本局資訊系統當前面臨的主要安全問題,邊檢查邊整改,確保資訊網路和重要資訊系統的安全。
2評估依據、範圍和方法
2.1 評估依據
根據國務院資訊化工作辦公室《關於對國家基礎資訊網路和重要資訊系統開展安全檢查的通知》(信安通[20xx]15號)、國家電力監管委員會《關於對電力行業有關單位重要資訊系統開展安全檢查的通知》(辦資訊[20xx]48號)以及集團公司和省公司公司的檔案、檢查方案要求, 開展××單位的資訊保安評估。
2.2 評估範圍
本次資訊保安評估工作重點是重要的業務管理資訊系統和網路系統等,
管理資訊系統中業務種類相對較多、網路和業務結構較為複雜,在檢查工作中強調對基礎資訊系統和重點業務系統進行安全性評估,具體包括:基礎網路與伺服器、關鍵業務系統、現有安全防護措施、資訊保安管理的組織與策略、資訊系統安全執行和維護情況評估。
2.3 評估方法
採用自評估方法。
3重要資產識別
對本局範圍內的重要系統、重要網路裝置、重要伺服器及其安全屬性受破壞後的影響進行識別,將一旦停止執行影響面大的系統、關鍵網路節點裝置和安全裝置、承載敏感資料和業務的伺服器進行登記彙總,形成重要資產清單。
資產清單見附表1。
4安全事件
對本局半年內發生的較大的、或者發生次數較多的資訊保安事件進行彙總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5安全檢查專案評估
5.1 規章制度與組織管理評估
5.1.1組織機構
評估標準
資訊保安組織機構包括領導機構、工作機構。
現狀描述
本局已成立了資訊保安領導機構,但尚未成立資訊保安工作機構。
評估結論
完善資訊保安組織機構,成立資訊保安工作機構。
5.1.2崗位職責
估標準
崗位要求應包括:專職網路管理人員、專職應用系統管理人員和專職系統管理人員;專責的工作職責與工作範圍應有制度明確進行界定;崗位實行主、副崗備用制度。
現狀描述
我局沒有配置專職網路管理人員、專職應用系統管理人員和專職系統管理人員,都是兼責;專責的工作職責與工作範圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
評估結論
本局已有兼職網路管理員、應用系統管理員和系統管理員,在條件許可下,配置專職管理人員;專責的工作職責與工作範圍沒有明確制度進行界定,根據實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
評估標準
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略(1周內至少進行一次掃描)。
現狀描述
本局使用Symantec防病毒軟體進行病毒防護,定期從省公司病毒庫伺服器下載、升級安全策略;病毒預警是通過第三方和網上提供資訊來源,每月統計、彙總病毒感染情況並提交局生技部和省公司生技部;每週進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
評估結論
完善病毒預警和報告機制,制定計算機病毒防治管理制度。
5.1.4執行管理
評估標準
執行管理應制定資訊系統執行管理規程、缺陷管理制度、統計彙報制度、運維流程、值班制度並實行工作票制度;制定機房出入管理制度並上牆,對進出機房情況記錄。
現狀描述
沒有建立相應資訊系統執行管理規程、缺陷管理制度、統計彙報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上牆,但沒有機房進出情況記錄。
評估結論
結合本局具體情況,制訂資訊系統執行管理規程、缺陷管理制度、統計彙報制度、運維
流程、值班制度,實行工作票制度;機房出入管理制度上牆,記錄機房進出情況。
5.1.5賬號與口令管理
評估標準
制訂了賬號與口令管理制度;普通使用者賬戶密碼、口令長度要求符合大於6字元,管理員賬戶密碼、口令長度大於8字元;半年內賬戶密碼、口令應變更並儲存變更相關記錄、通知、檔案,半年內系統使用者身份發生變化後應及時對其賬戶進行變更或登出。
現狀描述
沒有制訂賬號與口令管理制度,普通使用者賬戶密碼、口令長度要求大部分都不符合大於6字元;管理員賬戶密碼、口令長度大於8字元,半年內賬戶密碼、口令有過變更,但沒有變更相關記錄、通知、檔案;半年內系統使用者身份發生變化後能及時對其賬戶進行變更或登出。
評估結論
制訂賬號與口令管理制度,完善普通使用者賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關記錄;及時對系統使用者身份發生變化後對其賬戶進行變更或登出。
5.2 網路與系統安全評估
5.2.1網路架構
評估標準
區域網核心交換裝置、都會網路核心路由裝置應採取裝置冗餘或準備備用裝置,不允許外聯鏈路繞過防火牆,具有當前準確的網路拓撲結構圖。
現狀描述
區域網核心交換裝置準備了備用裝置,都會網路核心路由裝置採取了裝置冗餘;沒有不經過防火牆的外聯鏈路,有當前網路拓撲結構圖。
評估結論
區域網核心交換裝置、都會網路核心路由裝置按要求採取裝置冗餘或準備備用裝置,外聯鏈路沒有繞過防火牆,完善網路拓撲結構圖。
5.2.2網路分割槽
評估標準
生產控制系統和管理資訊系統之間進行分割槽,VLAN間的訪問控制設定合理。
現狀描述
生產控制系統和管理資訊系統之間沒有進行分割槽,VLAN間的訪問控制設定合理。
評估結論
對生產控制系統和管理資訊系統之間進行分割槽,VLAN間的訪問控制設定合理。
5.2.3 網路裝置
評估標準
網路裝置配置有備份,網路關鍵點裝置採用雙電源,關閉網路裝置HTTP、FTP、TFTP等服務,SNMP社群串、本地使用者口令強健(>8字元,數字、字母混雜)。
現狀描述
網路裝置配置沒有進行備份,網路關鍵點裝置是雙電源,網路裝置關閉了HTTP、FTP、TFTP等服務,SNMP社群串、本地使用者口令沒達到要求。
評估結論
對網路裝置配置進行備份,完善SNMP社群串、本地使用者口令強健(>8字元,數字、字母混雜)。
5.2.4 IP管理
評估標準
有IP地址管理系統,IP地址管理有規劃方案和分配策略,IP地址分配有記錄。
現狀描述
沒有IP地址管理系統,正在進行對IP地址的規劃和分配,IP地址分配有記錄。
評估結論
建立IP地址管理系統,加快進行對IP地址的規劃和分配,IP地址分配有記錄。
5.2.5補丁管理
評估標準
有補丁管理的手段或補丁管理制度,Windows系統主機補丁安裝齊全,有補丁安裝的測試記錄。
現狀描述
通過手工補丁管理手段,沒有制訂相應管理制度;Windows系統主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
評估結論
完善補丁管理的手段,制訂相應管理制度;補缺Windows系統主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統安全配置
評估標準
校園網資訊釋出實行統一管理、分層負責制。網路中心對學校主頁資訊進行管理,各處室的主要負責人負責對本部門的上網資源和計算機系統進行管理。
一、網管中心負責全校的網路資訊和保密工作,定期對網路使用者進行有關保密和網路安全教育。
二、對外資訊釋出。各處室可以申請網路域名和ftp站點(見附件7),自行管理各部門網站資訊釋出。需要在學校首頁上釋出的資訊,需要填寫“網上資訊釋出申請表”,審查後交由網管中心上網釋出。(網上資訊釋出申請表見附件8)
三、資訊的閱覽與查詢。不得查閱、複製和傳播有礙社會治安和傷風敗俗的資訊。校園網工作人員和使用者如在網路上發現有礙社會治安和不健康的資訊,有義務及時上報網路管理人員,做好備份並自覺銷燬。
四、違反本條例規定,有下列行為之一者,校網路中心可提出警告直至停止其使用網路,情節嚴重者,提交學校行政部門或有關部門處理。
1.查閱、複製或傳播下列資訊者:.煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實、故意散佈謠言,擾亂社會秩序公然侮辱他人或者捏造事實誹謗他人宣揚封建迷信、淫穢、色情、暴力、凶殺、恐怖等。
2.破壞、盜用計算機網路中的資訊資源和危害計算機網路安全活動。
3.盜用他人帳號者。
4.私自轉借、轉讓使用者帳號造成危害者。
5.故意製作、傳播計算機病毒等破壞性程式者。
6.不按國家和學院有關規定擅自接納網路使用者者。
7.網路中心,屬我校園網路重地,未經許可不得進入。
一、為了處理工作中涉及的辦公祕密和業務祕密資訊,特制定計算機資訊系統安全保密制度。
二、資訊科、機要科負責指導市政府辦公室涉密人員的保密技術培訓,落實技術防範措施。
三、涉密資訊不得在與國際網路的計算機系統中儲存,處理和傳輸。
四、凡上網的資訊,上網前必須進行審查,進行登記,“誰上網,誰負責”,確保國家機密不上網。
五、如在網上發現反動、黃色的宣傳和出版物,要保護好現場,及時報向市委保密局彙報,依據有關規定處理;如發現洩露國家機密的情況,要及時採取措施,對違反規定造成後果的,依據有關規定進行處理。
六、加強個人主頁管理,對於在個人主頁中張貼,傳播有害資訊的責任人要依法處理,並刪除個人主頁。
七、發生重大突發事件期間,各涉密科室要加強網路監控,及時、果斷地處理網上突發事件。
為了規範網咖管理中對網咖人員的管理,於是網咖制定了網咖人員管理制度,而為了網咖資訊保安,所以網咖則制定了網咖資訊保安管理制度,以下則是相關網咖制定的網咖資訊保安管理制度的內容。
第一條應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,為上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網咖製作、下載、複製、查閱、釋出、傳播或者以其他方式使用含有下列內容的資訊:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)洩露國家祕密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散佈謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第三條上網消費者不得進行下列危害資訊網路安全的活動:
(一)故意製作或者傳播計算機病毒以及其他破壞性程式的;
(二)非法侵入計算機資訊系統或者破壞計算機資訊系統功能、資料和應用程式的;
(三)進行法律、行政法規禁止的其他活動的。
第四條應當通過依法取得經營許可證的網際網路接入服務提供者接入網際網路,不得采取其他方式接入網際網路。
網咖內所有計算機必須通過區域網的方式接入網際網路,不得直接接入網際網路。
第五條上網消費者不得利用網路遊戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止並在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網路文化經營許可證》和營業執照。
第九條未成年人不得進入本網咖。在網咖入口處的顯著位置懸掛未成年人禁入標誌。
第十條每日營業時間限於10時至2時。
第十一條對上網消費者的身份證等有效證件進行核對、登記,並記錄有關上網資訊。登記內容和記錄備份儲存時間不得少於60日,並在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在儲存期內不得修改或者刪除。
第十二條依法履行資訊網路安全、治安和消防安全職責,並遵守下列規定:
(一)禁止明火照明和吸菸並懸掛禁止吸菸標誌;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
為了加強對網咖的管理,規範網咖的經營,維護公眾和網咖的合法權益,保障網咖活動健康發展,促進社會主義精神文明建設,根據《網際網路上網服務營業場所管理條例》制定了以上的網咖資訊保安管理制度。
一、計算機裝置管理制度
1、計算機的使用部門要保持清潔、安全、良好的計算機裝置工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機裝置安全的物品。
2、非本單位技術人員對我單位的裝置、系統等進行維修、維護時,必須由公司相關技術人員現場全程監督。計算機裝置送外維修,須經有關部門負責人批准。
3、嚴格遵守計算機裝置使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插拔計算機外部裝置介面,計算機出現故障時應及時向IT部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
(一)操作程式碼是進入各類應用系統進行業務操作、分級對資料存取進行控制的程式碼。操作程式碼分為系統管理程式碼和一般操作程式碼。程式碼的設定根據不同應用系統的要求及崗位職責而設定;
(二)系統管理操作程式碼的設定與管理
1、系統管理操作程式碼必須經過經營管理者授權取得;
2、系統管理員負責各項應用系統的環境生成、維護,負責一般操作程式碼的生成和維護,負責故障恢復等管理及維護;
3、系統管理員對業務系統進行資料整理、故障恢復等操作,必須有其上級授權;
4、系統管理員不得使用他人操作程式碼進行業務操作;
5、系統管理員調離崗位,上級管理員(或相關負責人)應及時登出其程式碼並生成新的系統管理員程式碼;
(三)一般操作程式碼的設定與管理
1、一般操作碼由系統管理員根據各類應用系統操作要求生成,應按每操作使用者一碼設定。
2、操作員不得使用他人程式碼進行業務操作。
3、操作員調離崗位,系統管理員應及時登出其程式碼並生成新的操作員程式碼。
三、密碼與許可權管理制度
1、密碼設定應具有安全性、保密性,不能使用簡單的程式碼和標記。密碼是保護系統和資料安全的控制程式碼,也是保護使用者自身權益的控制程式碼。密碼分設為使用者密碼和操作密碼,使用者密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設定不應是名字、生日,重複、順序、規律數字等容易猜測的數字和字串;
2、密碼應定期修改,間隔時間不得超過一個月,如發現或懷疑密碼遺失或洩漏應立即修改,並在相應登記簿記錄使用者名稱、修改時間、修改人等內容。
3、伺服器、路由器等重要裝置的超級使用者密碼由執行機構負責人指定專人(不參與系統開發和維護的人員)設定和管理,並由密碼設定人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字後交給密碼管理人員存檔並登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢後,須立即更改並封存,同時在“密碼管理登記簿”中登記。
4、系統維護使用者的密碼應至少由兩人共同設定、保管和使用。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替並對密碼立即修改或使用者刪除,同時在“密碼管理登記簿”中登記。
四、資料安全管理制度
1、存放備份資料的介質必須具有明確的標識。備份資料必須異地存放,並明確落實異地備份資料的管理職責;
2、注意計算機重要資訊資料和資料儲存介質的存放、運輸安全和保密管理,保證儲存介質的物理安全。
3、任何非應用性業務資料的使用及存放資料的裝置或介質的調撥、轉讓、廢棄或銷燬必須嚴格按照程式進行逐級審批,以保證備份資料安全完整。
4、資料恢復前,必須對原環境的資料進行備份,防止有用資料的丟失。資料恢復過程中要嚴格按照資料恢復手冊執行,出現問題時由技術部門進行現場技術支援。資料恢復後,必須進行驗證、確認,確保資料恢復的完整性和可用性。
5、資料清理前必須對資料進行備份,在確認備份正確後方可進行清理操作。歷次清理前的備份資料要根據備份策略進行定期儲存或永久儲存,並確保可以隨時使用。資料清理的實施應避開業務高峰期,避免對聯機業務執行造成影響。
6、需要長期儲存的資料,資料管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止儲存介質過期失效,通過有效的查詢、使用方法保證資料的完整性和可用性。轉存的資料必須有詳細的文件記錄。
7、非本單位技術人員對本公司的裝置、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機裝置送外維修,須經裝置管理機構負責人批准。送修前,需將裝置儲存介質內應用軟體和資料等涉經營管理的資訊備份後刪除,並進行登記。對修復的裝置,裝置維修人員應對裝置進行驗收、病毒檢測和登記。
8、管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除,並妥善處理廢棄無用的資料和介質,防止洩密。
9、執行維護部門需指定專人負責計算機病毒的防範工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
10、營業用計算機未經有關部門允許不準安裝其它軟體、不準使用來歷不明的載體(包括軟盤、光碟、行動硬碟等)。
五、機房管理制度
1、進入主機房至少應當有兩人在場,並登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
部門人員進入機房必須經領導許可,其他人員進入機房必須經IT部門領導許可,並有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時,經IT部門負責人批准同意後有關人員監督下進行。對操作內容進行記錄,由操作人和監督人簽字後備查。
3、保持機房整齊清潔,各種機器裝置按維護計劃定期進行保養,保持清潔光亮。
4、工作人員進入機房必須更換乾淨的工作服和拖鞋。
5、機房內嚴禁吸菸、吃東西、會客、聊天等。不得進行與業務無關的'活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6、機房工作人員嚴禁違章操作,嚴禁私自將外來軟體帶入機房使用。
7、嚴禁在通電的情況下拆卸,移動計算機等裝置和部件。
8、定期檢查機房消防裝置器材。
9、機房內不準隨意丟棄儲蓄介質和有關業務保密資料資料,對廢棄儲蓄介質和業務保密資料要及時銷燬(碎紙),不得作為普通垃圾處理。嚴禁機房內的裝置、儲蓄介質、資料、工具等私自出借或帶出。
10、主機裝置主要包括:伺服器和業務操作用PC機等。在計算機機房中要保持恆溫、恆溼、電壓穩定,做好靜電防護和防塵等項工作,保證主機系統的平穩執行。伺服器等所在的主機要實行嚴格的門禁管理制度,及時發現和排除主機故障,根據業務應用要求及執行操作規範,確保業務系統的正常工作。
11、定期對空調系統執行的各項效能指標(如風量、溫升、溼度、潔淨度、溫度上升率等)進行測試,並做好記錄,通過實際測量各項引數發現問題及時解決,保證機房空調的正常執行。
12、計算機機房後備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
一、中小學校園網是學校現代化發展重要組成部份,是學校數字化教育資源中心、資訊釋出交流技術平臺,是全面實施素質教育和新課程改革的重要場所,務必高度重視、規範管理、發揮效益。
二、中小學校園網要按照教育部《中小學校園網建設指導意見》設計和建設,裝備調溫、調溼、穩壓、接地、防雷、防火、防盜等裝置。
三、中小學校園網涉及網路技術裝置管理與維護、網路線路管理與維護,終端使用者管理與監控,教育資源管理與開發、網路資訊管理與安全、教學管理與效益等技術性強、安全性要求高的具體業務工作,務必設定管理機構,校級領導主管,配置精通計算機及網路技術、電子維修技術,具備教師職業道德、熱愛本職工作的專業技術人員從事管理工作。
四、中小學校園網是學校的公共基礎設施和固定資產,未經學校批准,任何部門和個人不得隨意拆卸或改動佈線結構;不得移動或改動網路裝置位置;不得干擾、破壞網路正常執行。所有裝置、成套軟體納入固定資產規範管理。
五、校園網所有使用者應以實名字註冊,對自己所釋出資訊負全責,接受上級部門與公安部門依法監督檢查。不得盜用他人賬號,不得在校園網上釋出不健康、非法資訊,不得散佈計算機病毒、傳播黑客程式、濫用網路遊戲。學生使用者要嚴格遵守《全國青少年網路文明公約》。
六、網路中心應全天24小時開機,裝置和線路出現故障,應及時維修處理,確保網路裝置安全運轉。
七、嚴禁在辦公時間內上網聊天、玩遊戲、觀看與工作無關的視訊資訊。
八、非中心機房工作人員不得隨意進入中心機房,不得以任何方式試圖登陸校園網後臺管理端,不得對伺服器等裝置進行修改、設定、刪除等操作。
九、管理人員應監視並記錄伺服器系統執行情況,隨時遮蔽有害網頁,出現異常情況應根據需要立即關閉伺服器系統,及時處理。出現危急情況,應立即報告學校領導和相關主管部門。監視電壓、電流、溼溫度等環境條件;監視執行的作業和資訊傳輸情況;填寫中心機房工作日誌。
十、為了確保中心機房的安全,應逐步實現網管人員對伺服器的遠端操作。定期更換伺服器口令;工作人員不得隨意洩漏口令。不得將系統特權授予普通使用者,不得隨意轉給他人;對過期使用者應及時收回所授予的權力。
十一、學校重要資料不得外洩,重要資料的輸入及修改應按許可權、由專人完成,並作加密處理。
十二、收集整理網管中心技術檔案。妥善儲存備份資源。列印涉密資料應按許可權儲存,廢棄資料應及時銷燬。
十三、網管人員在工作時,應嚴格遵守安全規程,實行安全巡查值班制度,嚴防漏電、著火、雷擊、被盜、磁化、系統崩潰、病毒攻擊、黑客入侵等不安全事故發生。危險品及可燃品不得帶入機房。
十四、中心機房不會客、不做與網路安全執行與維護無關的事情。機房的裝置與軟體不隨意外借。
(1)不得利用校園網從事危害國家安全,洩露國家機密的活動。
(2)如在網上發現反動、黃色的宣傳品和出版物,要保護好現場,及時向有關部門彙報,依據有關規定處理。如發現洩露國家機密的情況,要及時報網路管理員措施,同時向校領導報告。對違反規定造成後果的,依據有關規定進行處理,並追究部門領導的責任。
(3)未經批准,任何人不得開設BBS,一經發現立即依法取締。
(4)涉密資訊不得在與國際網路聯網的計算機系統中儲存、處理和傳輸。
(5)對校園網內開設的合法論壇網路管理員要實時監控,發現問題及時處理。堅決取締未經批准開設的非法論壇。
(6)加強個人主頁管理,對於在個人主頁中張貼、傳播有害資訊的責任人要依法處理,並刪除個人主頁。
(7)校內各機房要嚴格管理制度,落實責任人。引導學生開展健康、文明的網上活動,杜絕將電子閱覽室和計算機房變相為娛樂場所。
(8)對於問題突出,管理失控,造成有害資訊傳播的網站和網頁,堅決依法予以關閉和清除;對於製作、複製、印發和傳播有害資訊的單位和個人要依法移交有關部門處理。
(9)發生重大突發事件期間,網路管理員要加強網路監控,及時、果斷地處置網上突發事件,維護校內穩定。
1目的
為建立一個適當的資訊保安事件、薄弱點和故障報告、反應與處理機制,減少資訊保安事件和故障所造成的損失,採取有效的糾正與預防措施,特制定本程式。
2範圍
本程式適用於***業務資訊保安事件的管理。
3職責
3.1資訊保安管理流程負責人
確定資訊保安目標和方針;
確定資訊保安管理組織架構、角色和職責劃分;
負責資訊保安小組之間的協調,內部和外部的溝通;
負責資訊保安評審的相關事宜;
3.2資訊保安日常管理員
負責制定組織中的安全策略;
組織安全管理技術責任人進行風險評估;
組織安全管理技術責任人制定資訊保安改進建議和控制措施;
編寫風險改進計劃;
3.3資訊保安管理技術責任人
負責資訊保安日常監控;
資訊保安風險評估;
確定資訊保安控制措施;
響應並處理安全事件。
4工作程式
4.1資訊保安事件定義與分類
資訊保安事件是指資訊裝置故障、線路故障、軟體故障、惡意軟體危害、人員故意破壞或工作失職等原因直接影響(後果)的。
造成下列影響(後果)之一的,均為一般資訊保安事件。
a) ***祕密洩露;
b)導致業務中斷兩小時以上;
c)造成資訊資產損失的火災;
d)損失在一萬元人民幣(含)以上的故障/事件。
造成下列影響(後果)之一的,屬於重大資訊保安事件。
a)組織機密洩露;
b)導致業務中斷十小時以上;
c)造成機房裝置毀滅的火災;
d)損失在十萬元人民幣(含)以上的故障/事件。
4.2資訊保安事件管理流程
由資訊保安管理負責人組織相關的運維技術人員根據***對資訊保安的要求,確認程式碼管理相關資訊系統的安全需求;
對程式碼管理相關資訊系統進行資訊保安風險評估,預測風險型別、風險發生的可能性、風險級別、潛在的業務影響,形成資訊保安風險評估報告;
由資訊保安日常管理員組織相關技術人員根據對根據風險評估的結果以及服務級別協議的安全需求,提出現階段的安全改進建議,並提交至資訊保安管理負責人進行評估;若同意執行安全改進建議,則在變更管理的控制下實施安全建議;
資訊保安日常管理員根據安全改進之後的資訊系統安全現狀提出具體的安全控制措施,形成風險處置計劃;
根據風險處置計劃,實施資訊保安控制措施,儘可能的降低資訊和業務風險;
監視資訊系統的活動並識別反常的活動和安全事件,並記錄下來,做初步的響應和處理;評估安全漏洞和不符合安全要求的任何情況,並採取必要的糾正措施;
對發現的或已發生的資訊保安事件,按照資訊保安事件響應程式進行處理;
每年一次或在發生重大資訊保安事件時進行資訊保安評審,分析資訊保安事件的顯現趨勢、資訊保安管理的改進等資訊,並形成風險改進計劃,持續改進資訊系統安全。
4.3資訊保安事件事後處理措施
對於一般資訊保安事件,在故障排除或採取必要措施後,相關資訊保安管理職能部門會同事件責任部門,對事件的原因、型別、損失、責任進行鑑定,形成《資訊保安事件報告》,報資訊保安管理者代表批准;對於重大資訊保安事件的處理意見還應上報資訊保安管理委員會討論通過。
對於違反組織資訊保安方針、程式安全規章所造成的資訊保安事件責任者依據以下措施予以懲戒。
處罰方式:
一般安全事故,根據所造成的經濟損失,由***辦公室通過郵件發出正式嚴重警告。
一年內累計出現三次或三次以上的一般安全事故,報***領導批准後進行相應懲罰,並在***進行通報批評。
造成重大安全事故的,***有權將責任人調離原工作崗並給予相應懲罰。
一年內累計出現二次或二次以上的重大安全事故,***有權解除勞動合同並依法追究法律責任。
如果屬於故意行為導致資訊保安事故,***有權解除勞動合同並依法追究法律責任。
對於資訊保安事故責任人的處理結果由處理部門在***範圍內予以通報。
負有資訊保安事故處罰的各職能部門在確定實施處罰後,***室與被處罰部門溝通,確認責任者及處罰方式並上報***領導。
資訊保安管理職能部門要求事件責任部門制定糾正措施並實施,實施結果記錄在《資訊保安事件報告》。
由資訊保安管理職能部門對實施情況進行跟蹤驗證,驗證結果記入《資訊保安事件報告》。
4.4報告資訊保安薄弱點與預防措施
***與資訊保安管理有關的所有員工發現資訊保安薄弱點或潛在威脅均應履行報告義務。
對以下行為應給予獎勵:
及時發現非責任區資訊保安隱患,該隱患足以導致資訊保安事故的;
及時發現非責任區資訊保安重大隱患,該隱患足以導致資訊保安重大事故的;
及時發現並制止系統操作問題以避免裝置重大損失或人員死亡的;
及時制止或報告洩露商業機密的事件以避免***重大經濟損失或及時中止正在進行中的商業洩密行為的;
在資訊保安事故中採取積極有效措施,降低損失的程度。
獎勵方式如下:
根據防止一般安全事故發生、一年內防止一般安全事故發生三次或三次以上、防止造成重大安全事故、及時中止正在進行中的商業洩密行為、提出資訊保安合理化建議等級別,報請***批准後,給予相應表揚或獎勵,並作為年底工作考核依據。
發現資訊保安事故、薄弱點與故障的員工填寫《一般資訊保安事件/薄弱點報告》,相關的程式碼管理中心及資訊保安實驗室進行調查後,確定是否採取預防措施,確認責任部門並實施。
5相關檔案
6相關記錄
第一章 總 則
第一條 為加強郵政行業寄遞服務使用者個人資訊保安管理,保護使用者合法權益,維護郵政通訊與資訊保安,促進郵政行業健康發展,根據《中華人民共和國郵政法》、《全國人大常委會關於加強網路資訊保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定,制定本規定。
第二條 在中華人民共和國境內經營和使用寄遞服務涉及使用者個人資訊保安的活動以及相關監督管理工作,適用本規定。
第三條 本規定所稱寄遞服務使用者個人資訊(以下簡稱寄遞使用者資訊),是指使用者在使用寄遞服務過程中的個人資訊,包括寄(收)件人的姓名、地址、身份證件號碼、電話號碼、單位名稱,以及寄遞詳情單號、時間、物品明細等內容。
第四條 寄遞使用者資訊保安監督管理堅持安全第一、預防為主、綜合治理的方針,保障使用者個人資訊保安。
第五條 國務院郵政管理部門負責全國郵政行業寄遞使用者資訊保安監督管理工作。
省、自治區、直轄市郵政管理機構負責本行政區域內的郵政行業寄遞使用者資訊保安監督管理工作。
按照國務院規定設立的省級以下郵政管理機構負責本轄區的郵政行業寄遞使用者資訊保安監督管理工作。
國務院郵政管理部門和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構,統稱為郵政管理部門。
第六條 郵政管理部門應當與有關部門相互配合,健全寄遞使用者資訊保安保障機制,維護寄遞使用者資訊保安。
第七條 郵政企業、快遞企業及其從業人員應當遵守國家有關資訊保安管理的規定及本規定,防止寄遞使用者資訊洩露、丟失。
第二章 一般規定
第八條 郵政企業、快遞企業應當建立健全寄遞使用者資訊保安保障制度和措施,明確企業內部各部門、崗位的安全責任,加強寄遞使用者資訊保安管理和安全責任考核。
第九條 以加盟方式經營快遞業務企業應當在加盟協議中訂立寄遞使用者資訊保安保障條款,明確被加盟人與加盟人的安全責任。加盟人發生資訊保安事故時,被加盟人應當依法承擔相應安全管理責任。
第十條 郵政企業、快遞企業應當與其從業人員簽訂寄遞使用者資訊保密協議,明確保密義務和違約責任。
第十一條 郵政企業、快遞企業應當組織從業人員進行寄遞使用者資訊保安保護相關知識、技能培訓,加強職業道德教育,不斷提高從業人員的法制觀念和責任意識。
第十二條 郵政企業、快遞企業應當建立寄遞使用者資訊保安投訴處理機制,公佈有效聯絡方式,接受並及時處理有關投訴。
第十三條 郵政企業、快遞企業受網路購物、電視購物和郵購等經營者委託提供寄遞服務的,在與委託方簽訂協議時,應當訂立寄遞使用者資訊保安保障條款,明確資訊使用範圍和方式、資訊交換安全保護措施、資訊洩露責任劃分等內容。
第十四條 郵政企業、快遞企業委託第三方錄入寄遞使用者資訊的,應當確認其具有資訊保安保障能力,並訂立資訊保安保障條款,明確責任劃分。第三方發生資訊保安事故導致寄遞使用者資訊洩露、丟失的,郵政企業、快遞企業應當依法承擔相應責任。
第十五條 未經法律明確授權或者使用者書面同意,郵政企業、快遞企業及其從業人員不得將其掌握的寄遞使用者資訊提供給任何單位或者個人。
第十六條 公安機關、國家安全機關或者檢察機關的工作人員依照法律規定程式調閱、檢查寄遞詳情單實物及電子資訊檔案,郵政企業、快遞企業應當配合,並對有關情況予以保密。
第十七條 郵政企業、快遞企業應當建立寄遞使用者資訊保安應急處置機制。對於突發的寄遞使用者資訊保安事故,應當立即採取補救措施,按照規定報告郵政管理部門,並配合郵政管理部門和相關部門的調查處理工作,不得遲報、漏報、謊報、瞞報。
第三章 寄遞詳情單實物資訊保安管理
第十八條 郵政企業、快遞企業應當加強寄遞詳情單管理,對空白寄遞詳情單發放情況進行登記,對號段進行全程跟蹤,形成跟蹤記錄。
第十九條 郵政企業、快遞企業應當加強營業場所、處理場所管理,嚴禁無關人員進出郵件(快件)處理、存放場地,嚴禁無關人員接觸、翻閱郵件(快件),防止寄遞詳情單實物資訊(以下簡稱實物資訊)在處理過程中洩露。
第二十條 郵政企業、快遞企業應當優化寄遞處理流程,減少接觸實物資訊的處理環節和操作人員。
第二十一條 郵政企業、快遞企業應當採用有效技術手段,防止實物資訊在寄遞過程中洩露。
第二十二條 郵政企業、快遞企業應當配備符合國家標準的安全監控裝置,安排具有專門技術和技能的人員,對收寄、分揀、運輸、投遞等環節的實物資訊處理進行安全監控。
第二十三條 郵政企業、快遞企業應當建立健全寄遞詳情單實物檔案管理制度,實行集中封閉管理,確定集中存放地,及時回收寄遞詳情單妥善保管。設立、變更集中存放地,應當及時報告所在地郵政管理部門。
第二十四條 郵政企業、快遞企業應當對寄遞詳情單實物檔案集中存放地設專人管理,採取必要的安全防護措施,確保儲存安全。
第二十五條 郵政企業、快遞企業應當建立並嚴格執行寄遞詳情單實物檔案查詢管理制度。內部人員因工作需要查閱檔案時,應當確保檔案完整無損,並做好查閱登記,不得私自攜帶離開存放地。
第二十六條 寄遞詳情單實物檔案應當按照國家相關標準規定的期限儲存。儲存期滿後,由企業進行集中銷燬,做好銷燬記錄,嚴禁丟棄或者販賣。
第二十七條 郵政企業、快遞企業應當對實物資訊保安保障情況進行定期自查,記錄自查情況,及時消除自查中發現的資訊保安隱患。
第四章 寄遞詳情單電子資訊保安管理
第二十八條 郵政企業、快遞企業應當按照國家規定,加強寄遞服務使用者資訊相關資訊系統和網路設施的安全管理。
第二十九條 郵政企業、快遞企業資訊系統的網路架構應當符合國家資訊保安管理規定,合理劃分安全區域,實現各安全區域之間有效隔離,並具有防範、監控和阻斷來自內部和外部網路攻擊破壞的能力。
第三十條 郵政企業、快遞企業應當配備必要的防病毒軟體、硬體,確保資訊系統和網路具有防範計算機病毒的能力,防止惡意程式碼破壞資訊系統和網路,避免資訊洩露或者被篡改。
第三十一條 郵政企業、快遞企業構建資訊系統和網路,應當避免使用資訊系統和網路供應商提供的預設密碼、安全引數,並對通過開放公共網路傳輸的寄遞使用者資訊採取加密措施,嚴格審查並監控對資訊系統、網路裝置的遠端訪問。
第三十二條 郵政企業、快遞企業在採購計算機軟體、硬體產品或者技術服務時,應當與供應商簽訂保密協議,明確其安全責任,以及在發生資訊保安事件時配合郵政管理部門和相關部門調查的義務。
第三十三條 郵政企業、快遞企業應當建立資訊系統安全內部審計制度,定期開展內部審計,對發現的問題及時整改。
第三十四條 郵政企業、快遞企業應當加強資訊系統及網路的許可權管理,基於許可權最小化和許可權分離原則,向從業人員分配滿足工作需要的最小操作許可權和可訪問的最小資訊範圍。
郵政企業、快遞企業應當加強對資訊系統和資料庫的管理,使網路管理人員僅具有進行資訊系統、資料庫、網路執行維護和優化的許可權。網路管理人員的維護操作須經安全管理員授權,並受到安全審計員的監控和審計。
第三十五條 郵政企業、快遞企業應當加強資訊系統密碼管理,使用高安全級別密碼策略,定期更換密碼,禁止將密碼透露給無關人員。
第三十六條 郵政企業、快遞企業應當加強寄遞使用者電子資訊的儲存安全管理,包括:
(一)使用獨立物理區域儲存寄遞使用者資訊,禁止非授權人員進出該區域;
(二)採用加密方式儲存寄遞使用者資訊;
(三)確保安全使用、保管和處置存有寄遞使用者資訊的計算機、移動裝置和移動儲存介質。明確管理資料儲存裝置、介質的負責人,建立裝置、介質使用和借用登記制度,限制裝置輸出介面的使用。儲存裝置和介質報廢的,應當及時刪除其中的寄遞使用者資訊資料,並銷燬硬體。
第三十七條 郵政企業、快遞企業應當加強寄遞使用者資訊的應用安全管理,對所有批量匯出、複製、銷燬使用者個人資訊的操作進行審查,並採取防洩密措施,同時記錄進行操作的人員、時間、地點和事項,留作資訊保安審計依據。
第三十八條 郵政企業、快遞企業應當加強對離崗人員的資訊保安審計,及時刪除或者禁用離崗人員系統賬戶。
第三十九條 郵政企業、快遞企業應當制定本企業與市場相關主體的資訊系統安全互聯技術規則,對儲存寄遞服務資訊的資訊系統實行接入審查,定期進行安全風險評估。
第五章 監督管理
第四十條 郵政管理部門依法履行下列職責:
(一)制定保障寄遞使用者資訊保安的政策、制度和相關標準,並監督實施;
(二)監督、指導郵政企業、快遞企業落實資訊保安責任制,督促企業加強寄遞使用者資訊保安管理;
(三)對寄遞使用者資訊保安進行監測、預警和應急管理;
(四)監督、指導郵政企業、快遞企業開展寄遞使用者資訊保安宣傳教育和培訓;
(五)依法對郵政企業、快遞企業實施寄遞使用者資訊保安監督檢查;
(六)組織調查或者參與調查寄遞使用者資訊保安事故,依法查處違反寄遞使用者資訊保安管理規定的行為;
(七)法律、行政法規和規章規定的其他職責。
第四十一條 郵政管理部門應當加強郵政行業寄遞使用者資訊保安管理制度和知識的宣傳,強化郵政企業、快遞企業及其從業人員的資訊保安管理意識,提高使用者對個人資訊保安保護的認識。
第四十二條 郵政管理部門應當加強郵政行業寄遞使用者資訊保安執行的監測預警,建立資訊管理體系,收集、分析與資訊保安有關的各類資訊。
下級郵政管理部門應當及時向上一級郵政管理部門報告郵政行業寄遞使用者資訊保安情況,並根據需要通報工業和資訊化、通訊管理、公安、國家安全、商務和工商行政管理等相關部門。
第四十三條 郵政管理部門應當對郵政企業、快遞企業建立和執行寄遞使用者資訊保安管理制度,規範從業人員資訊保安保護行為,防範資訊保安風險等情況進行檢查。
第四十四條 郵政管理部門發現郵政企業、快遞企業存在違反寄遞使用者資訊保安管理規定,妨害或者可能妨害寄遞使用者資訊保安的,應當依法進行調查處理。違法行為涉及其他部門管理職權的,郵政管理部門應當會同有關部門對涉案郵政企業、快遞企業進行調查處理。
第四十五條 郵政管理部門應當加強對郵政企業、快遞企業及其從業人員遵守本規定情況的監督檢查。
第四十六條 郵政企業、快遞企業拒不配合寄遞使用者資訊保安監督檢查的,依照《中華人民共和國郵政法》第七十七條的規定予以處罰。
第四十七條 郵政企業、快遞企業及其從業人員因洩露寄遞使用者資訊對使用者造成損失的,應當依法予以賠償。
第四十八條 郵政企業、快遞企業及其從業人員違法提供寄遞使用者資訊,尚未構成犯罪的,依照《中華人民共和國郵政法》第七十六條的規定予以處罰。構成犯罪的,移送司法機關追究刑事責任。
第四十九條 任何單位和個人有權向郵政管理部門舉報違反本規定的行為。郵政管理部門接到舉報後,應當依法及時處理。
第五十條 郵政管理部門可以在行業內通報郵政企業、快遞企業違反寄遞使用者資訊保安管理規定行為、資訊保安事件,以及對有關責任人員進行處理的情況。必要時可以向社會公佈上述資訊,但涉及國家祕密、商業祕密和個人隱私的除外。
第五十一條 郵政管理部門及其工作人員對在履行職責過程中知悉的寄遞使用者資訊應當保密,不得洩露、篡改或者損毀,不得出售或者非法向他人提供。
第五十二條 郵政管理部門工作人員在寄遞使用者資訊保安監督管理工作中濫用、玩忽職守,依照《郵政行業安全監督管理辦法》第五十五條的規定予以處理。
第六章 附 則
第五十三條 本規定自發布之日起施行。
1、成立資訊保安工作領導小組,並由單位主要領導擔任組長,由網路管理人員及公文接收人員等擔任組員,全面負責本單位網路安全工作。
2、學校所有使用者必須遵守國家、地方的有關法規,嚴格執行安全保密制度,並對所提供的資訊負責。單位網路管理人員和公文接收人員必須在資訊保安領導小組的領導下,嚴格監控本單位上網資訊,隨時對本單位網路系統及資訊系統進行安全檢查。
3、學校所有使用者不得利用計算機網路從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機網路及資訊系統的安全。單位文印室、財務室電腦加強安全管理,以免造成涉密資訊洩露。
4、學校所有使用者嚴禁在網路上釋出虛假、淫穢、xxx等資訊,不得使用網路進入未經授權使用的計算機,單位辦公用計算機必須嚴格管理,制訂管理制度,落實管理人員,未經管理人員允許不得以虛假身份使用網路資源。
5、加強對校園網新聞,資訊上報、論壇言論的安全管理。對上網、上報、外傳資訊要堅持單位主要領導審查,嚴格把關,落實防範措施,明確責任制,本著“誰主管,誰負責”的原則,凡涉及國家及學校祕密的資訊嚴禁上網。
6、學校所有使用者必須對提供的資訊負責,不得利用網路從事危害國家安全、洩露國家機密等犯罪活動,不得製作、查閱、複製和傳播有礙社會治安和不健康的、有封建迷信、色情等內容的資訊。
7、嚴禁制造和輸入計算機病毒以及其他有害資料危害計算機資訊系統的安全。 不允許進行任何干擾網路使用者、破壞網路服務和破壞網路裝置的活動。
8、一經發現校園網或區域網內有違法犯罪行為和有害的、不健康的資訊,必須立即上報資訊保安領導小組,不得隱瞞。
第一章總則
第一條為進一步規範安全資訊管理,暢通安全資訊渠道,及時掌握現場安全生產動態,準確處理各類安全資訊和資料,切實提高對安全資訊的分析、統計、處理能力,更好地發揮用安全資訊指導安全生產和預防安全隱患的作用,逐步建立、完善公司安全資訊管理網路,制定本制度。
第二條本制度規定的安全資訊係指在公司生產過程中發生的運輸行車事故、人身傷亡事故、特種裝置事故、生產安全隱患、裝置隱患、治安事件、管理問題、職工違章違紀及其它影響安全生產的資訊。
第三條安全資訊管理必須遵循的原則
1、真實性原則。凡反饋的安全資訊,必須做到件件真實、來源可靠、實事求是,具有可追蹤性,杜絕虛假資訊、失效資訊、重複資訊,保證安全資訊的真實性。
2、準確性原則。各類安全資訊的資料統計和綜合分析,要做到全面、客觀、準確,避免錯、漏資訊的發生。
3、時效性原則。安全資訊的反饋要及時、快捷,嚴格按照規定時間、週期提報,不得人為拖延,影響資訊暢通。
第四條充分利用辦公資訊系統網路資源,通過資訊交換中心,傳真電話等方式,及時傳遞安全資訊,逐步實現安全資訊網路化管理。
第五條公司各部門要完善安全資訊管理辦法,對安全資訊的報道、反饋、處理等環節應作出具體規定,形成安全資訊工作管理的閉環。
第二章管理職責
第六條公司領導職責:掌握安全生產動態,超前預測、超前防範,及時處置安全生產重要資訊,組織解決危及安全生產的重大問題;公司安委會等監督檢查發現的突出問題,及時通報有關單位、主管部門和貴州鐵路實業集團公司,並對整改落實情況進行督促、檢查;處理突發安全生產重大事件,稽核或直接向貴州鐵路實業集團公司(地方政府主管部門)報告或通報發生的安全重要資訊。
分管領導:負責監督指導分管部門安全資訊管理工作,督促分管部門及時掌握現場安全生產動態,確保資訊渠道暢通;稽核分管部門日常向貴州鐵路實業集團公司(地方政府主管部門)報告或通報安全重要資訊;按規定參加分管部門安全生產分析會議,對分管部門安全資訊進行分析,查詢傾向性、關鍵性問題,指導分管部門制訂整改措施,掌握整改措施實施進度,督促危及安全的傾向性、關鍵性問題得到及時解決和整改。
第七條安委會職責:公司安委會是公司安全資訊管理的監督部門。負責公司安全資訊的收集、統計、綜合分析,跟蹤處理領導督辦的資訊,及時向公司領導彙報安全情況及重要資訊,按規定向集團公司安監部和地方政府主管部門報送、反饋安全資訊,按規定對公司各部門安全資訊管理工作進行監督檢查及考核。
第八條部門職責:公司各部門是安全資訊的主體單位,負責本單位安全資訊的收集,按規定時限和要求向公司安委會報送、反映、通報安全生產資訊。
第九條資訊主要來源:
1、安全事故資訊;
2、領導幹部監督檢查資訊;
3、公司安委會監督檢查資訊;
4、公司各部門檢查發現、反饋的資訊;
5、上級通報的資訊;
6、其他資訊(群眾舉報,新聞媒體等)。
第十條資訊分類:安全資訊分為生產安全事故資訊和其他安全資訊
事故資訊包括:行車安全事故,人身傷亡事故,特種裝置事故,火災、爆炸、中毒、治安、交通事故資訊。
其他安全資訊包括:嚴重威脅行車安全,勞動安全和特種裝置安全的重大隱患;未構成事故,但對於行車安全有影響,對人身安全構成威脅的資訊;特種裝置發生故障影響正常使用,運輸不暢,裝卸車多,卸車困難;公司佈置的安全工作重點落實情況;安全監督檢查情況;上級通報的資訊;各種安全報表資料;明確要求上報的材料(活動安排工作小結,整改結果等)和其它有關影響安全生產的資訊。其中:事故資訊為重要資訊。
第十一條事故資訊傳遞要求
1、行車安全事故資訊
凡施工裝卸作業、調車作業、軌道車輛故障中斷行車的資訊,貨場部發生或收到後,要認真做好記錄,立即報告公司安委會,公司安委會在事發12小時內將事故發生地點、事故概況、初步影響範圍、事故損失及人員傷亡情況報集團公司安監部,詳細情況24小時內書面上報。
2、人身傷亡事故資訊
在生產過程中,生產區域內發生的人身傷亡事故,不論原因、責任、傷亡人員歸屬情況是否屬於工傷事故,相關部門都應認真做好記錄並立即通知公司安委會,安委會電話速報集團公司安全部、人力資源部和黨群工作部(工會)。
3、特種裝置事故資訊
發生嚴重以上的特種裝置事故(有人員傷亡或者直接經濟損失50萬元(含50萬元)以上的裝置、事故或有人員傷亡的裝置爆炸事故)。貨場部立即報告公司安委會,公司安委會立即報告集團公司安全部、質量技術部及當地質量技術監督行政部門,並同時報告裝置使用註冊登記的質量技術監督行政部門。
4、火災、爆炸、中毒、治安、交通事故資訊
1)火災、爆炸一般以上事故,治安事件、交通(涉及人員輕傷)、中毒事故,公司安委會事發2小時內電話報集團公司安監部。
2)發生較大治安事件、交通安全事故(重傷及以上嚴重事故苗子和造成經濟損失5萬元以下的交通事故),公司安委會電話速報集團公司安監部,並於2日內書面上報。
3)發生急性中毒事故、火災大事故、重大治安事件、重大交通事故及造成經濟損失5萬元(含5萬元)以上50萬元以下的特種裝置事故,公司安委會電話速報集團公司安監部並於20小時之內書面上報。
4)發現或收到事故資訊,除立即報告主管上級部門外,應向駐站民警通報和報案。
第十二條其它資訊傳遞要求
1、發生或收到未構成安全事故,但對行車安全有影響,對人身安全構成威脅的資訊,公司安委會要認真做好記錄,必要時,應形成專題報告上報並在公司交班會上通報。
2、集團公司佈置的安全重點落實情況、安全監督檢查情況、安全通報資訊,公司安委會在規定時間內反饋;上報資訊處理情況。
3、集團公司明確要求上報的材料(活動安排、工作小結、
整改結果等),公司安委會必須按規定時期上報。
第三章綜合分析處理
第十三條資訊的綜合分析
1、公司安委會定期對本系統安全資訊進行綜合分析,按照等級管理和時效管理要求,納入本系統安全問題庫。
2、公司安委會結合公司的安全資訊、監督檢查資訊和上級通報的資訊定期進行綜合分析。
3、公司安委會每月定期對安全資訊進行綜合分析並形成月度安全分析報告(紀要)。
4、公司把安全生產資訊納入日交班、周大交班等會議及時進行分析。
第十四條資訊處理
1、公司各部要充分利用安全資訊的預測功能、許價功能、導向功能,把資訊作為安全決策的重要依據,運用資訊正確指導安全工作。
2、對安全資訊做到三不放過的原則:不弄清責任不放過;不分析管理原因不放過;不制定措施不放過。
3、針對安全資訊反映的傾向性問題採取加強管理、加大投入、強化控制等多種措施,及時消除安全隱患。
4、對上級主管部門及公司各部門反饋的安全資訊及時調查、處理、反饋。
5、建立安全問題庫,從資訊的收集、分析到處理形成動態的閉環管理,保證安全資訊暢通和有效利用,對上級通報、反饋的安全資訊,公司各部要按要求及時上報調查處理及整改結果。
第四章附則
第十五條公司安委會是公司安全生產資訊中心,任何部門、個人不得以任何藉口對安全生產資訊進行隱瞞、遲報、越級上報,一經發現,將追究責任人責任。
未按規定上報的資訊分為漏報、遲報、錯報。凡未上報視為漏報;凡超過規定時限上報,視為遲報;不符合完整、準確、質量要求者,視為錯報。
第十六條公司安委會對各部門安全生產資訊管理情況進行抽查檢查,並將抽查檢查情況納入季度考核、獎懲。
第十七條安全生產資訊管理工作的考核,由公司安委會按公司安全管理考核辦法有關規定進行。
第十八條本制度由公司安委會負責解釋。
1.安全管理制度要求
1.1總則:為了切實有效的保證公司資訊保安,提高資訊系統為公司生產經營的服務能力,特制定互動式資訊保安管理制度,設定管理部門及專業管理人員對公司整體資訊保安進行管理,以確保網路與資訊保安。
1.1.1建立檔案化的安全管理制度,安全管理制度檔案應包括:
a)安全崗位管理制度;
b)系統操作許可權管理;
c)安全培訓制度;
d)使用者管理制度;
e)新服務、新功能安全評估;
f)使用者投訴舉報處理;
g)資訊釋出稽核、合法資質查驗和公共資訊巡查;
h)個人電子資訊保安保護;
i)安全事件的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批檔案。
1.1.2安全管理制度應經過管理層批准,並向所有員工宣貫
2.機構要求
2.1法律責任
2.1.1網際網路互動式服務提供者應是一個能夠承擔法律責任的組織或個人。
2.1.2網際網路互動式服務提供者從事的資訊服務有行政許可的應取得相應許可。 3.人員安全管理
3.1安全崗位管理制度
建立安全崗位管理制度,明確主辦人、主要負責人、安全責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規、道德規範和對應的業務要求來執行,包括:1.個人身份核查:2.個人履歷的核查:
3.學歷、學位、專業資質證明:
4.從事關鍵崗位所必須的能力
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3安全培訓
建立安全培訓制度,定期對所有工作人員進行資訊保安培訓,提高全員的資訊保安意識,包括:
1.上崗前的培訓;
2.安全制度及其修訂後的培訓;
3.法律、法規的發展保持同步的繼續培訓。
應嚴格規範人員離崗過程:
a)及時終止離崗員工的所有訪問許可權;
b)關鍵崗位人員須承諾調離後的保密義務後方可離開;
c)配合公安機關工作的人員變動應通報公安機關。 3.4人員離崗
應嚴格規範人員離崗過程:
a)及時終止離崗員工的所有訪問許可權;
b)關鍵崗位人員須承諾調離後的保密義務後方可離開;
c)配合公安機關工作的人員變動應通報公安機關。
4.訪問控制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問許可權管理制度。
4.2許可權分配
按以下原則根據人員職責分配不同的訪問許可權:
a)角色分離,如訪問請求、訪問授權、訪問管理;
b )滿足工作需要的最小許可權;
c)未經明確允許,則一律禁止。
4.3特殊許可權限制和控制特殊訪問許可權的分配和使用:
a)標識出每個系統或程式的特殊許可權;
b)按照“按需使用”、“一事一議”的原則分配特殊許可權;
c)記錄特殊許可權的授權與使用過程;
d)特殊訪問許可權的分配需要管理層的批准。
注:特殊許可權是系統超級使用者、資料庫管理等系統管理許可權。
4.4許可權的檢查
定期對訪問許可權進行檢查,對特殊訪問許可權的授權情況應在更頻繁的時間間隔內進行檢查,如發現不恰當的許可權設定,應及時予以調整。
5網路與主機系統的安全
5.1 網路與主機系統的安全
應維護使用的網路與主機系統的安全,包括:
a)實施計算機病毒等惡意程式碼的預防、檢測和系統被破壞後的恢復措施;
b)實施7×24h網路入侵行為的預防、檢測與響應措施;
c)適用時,對重要檔案的完整性進行檢測,並具備檔案完整性受到破壞後的恢復措施;
d)對系統的脆弱性進行評估,並採取適當的措施處理相關的風險。注:系統脆弱性評估包括採用安全掃描、滲透測試等多種方式。
5.2備份5.2.1
應建立備份策略,有足夠的備份設施,確保必要的資訊和軟體在災難或介質故障時可以恢復。
5.2.2 網路基礎服務(登入、訊息釋出等)應具備容災能力。
5.3安全審計
5.3.1應記錄使用者活動、異常情況、故障和安全事件的日誌。
5.3.2審計日誌內容應包括:
a)使用者註冊相關資訊,包括:
1)使用者唯一標識;
2)使用者名稱稱及修改記錄;
3)身份資訊,如姓名、證件型別、證件號碼等;
4 )註冊時間、IP地址及埠號;
5)電子郵箱地址和於機號碼;
6 )使用者備註資訊;7 )使用者其他資訊。
b )群組、頻道相關資訊,包括:
1)建立時間、建立人、建立人IP地址及埠號;
2 )刪除時間、刪除人、刪除人IP地址及埠號;
3 )群組組織結構;
4 )群組成員列表。
c)使用者登入資訊,包括:
1)使用者唯一標識;2 )登入時間;3 )退出時間;4 ) IP地址及埠號。
d )使用者資訊釋出日誌,包括:1)使用者唯一標識;2 )資訊標識;3)資訊釋出時間;4 ) IP地址及埠號;5 )資訊標題或摘要,包括圖片摘要 。
e)使用者行為,包括:1 )進出群組或頻道;2 )修改、刪除所發信息;3 )上傳、下載檔案。
5.3.3應確保審計日誌內容的可溯源性,即可追溯到真實的使用者ID、網路地址和協議。電子郵件、簡訊息、網路電話、即時訊息、網路聊天等網路訊息服務提供者應能防範偽造、隱匿傳送者真實標記的訊息的措施;涉及地址轉換技術的服務,如移動上網、網路代理、內容分發等應審計轉換前後的地址與埠資訊;涉及短網址服務的,應審計原始URL與短UR L之間的對映關係。
5.3.4應保護審計日誌,保證無法單獨中斷審計程序,防止刪除、修改或覆蓋審計日誌。
5.3.5應能夠根據公安機關要求留存具備指定資訊訪問日誌的留存功能。
審計日誌儲存週期
a )應永久保留使用者註冊資訊、好友列表及歷史變更記錄,永久記錄聊天室(頻道、群組)註冊資訊、成員列表以及歷史變更記錄;
b)系統維護日誌資訊儲存12個月以上;
c)應留存使用者日誌資訊12個月以上;
d )對使用者釋出的資訊內容儲存6個月以上;
e)已下線的系統的日誌儲存週期也應符合以上規定。
6應用安全
6.1使用者管理
6.1.1向用戶宣傳法律法規,應在使用者註冊時,與使用者簽訂服務協議,告知相關權利義務及需承擔的法律責任。
6.1.2建立使用者管理制度,包括:
a )使用者實名登記真實身份資訊,並對使用者真實身份資訊進行有效核驗,有校核驗方法可追溯到使用者登記的真實身份,如:1)身份證與姓名實名驗證服務:2)有效的銀行卡:3)合法、有效的數字證書:4)已確認真實身份的網路服務的註冊使用者:5)經電信運營商接入實名認證的使用者。(如某網站採用已經實名認證的第三方賬號登陸,可認為該網站的使用者已進行有效核驗。)
b )應對使用者註冊的賬號、頭像和備註等資訊進行稽核,禁止使用違反法律法規和社會道德的內容:
c )建立使用者黑名單制度,對網站自行發現以及公安機關通報的多次、大量傳送傳播違法有害資訊的使用者納應入黑名單管理。
6.1.3當用戶利用網際網路從事的服務需要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:a )核對行政許可檔案:b )通過行政許可主管部門的公開資訊: c )通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害資訊防範和處置
6.2.1公司採取管理與技術措施,及時發現和停止違法有害資訊釋出。
6.2.2公司採用人工或自動化方式,對釋出的資訊逐條稽核。
採取技術措施過濾違法有害資訊,包括且不限於:a )基於關鍵詞的文字資訊遮蔽過濾;b)基於樣本資料特徵值的檔案遮蔽過濾;c)基於URL的遮蔽過濾。
6.2.3應採取技術措施對違法有害資訊的來源實施控制,防止繼續傳播。
注:違法有害資訊來源控制技術措施包括但不限於:封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回覆、控制特定釋出來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。
6.2.4公司建立7*24h資訊巡查制度,及時發現並處置違法有害資訊。
6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調差配合制度,包括:
a)對發現的違法有害資訊,立即停止釋出傳輸,保留相關證據(包括使用者註冊資訊、使用者登入資訊、使用者釋出資訊等記錄),並向屬地公安機關報告
b)對於煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關報告,同時配合公安機關做好調查取證工作
6.2.6與公安機關建立7*24h違法有害資訊快速處置工作機制,有明確URL的單條違法有害資訊和特定文字、圖片、視訊、連結等資訊的源頭及分享中的任何一個環節應能再5min之內刪除,相關的遮蔽過濾措施應在10min內生效。 6.3破壞性程式防範
6.3.1實施破壞性程式的發現和停止釋出措施、並保留髮現的破壞性程式的相關證據。
6.3.2對軟體下載服務提供者(包括應用軟體商店),檢查使用者釋出的軟體是否是計算機病毒等惡意程式碼。
7個人電子資訊保護
7.1.1制定明確、清楚的個人電子資訊處置規則,並且在顯著位置予以公示。在使用者註冊時,在與使用者簽訂服務協議中明示收集與使用個人電子資訊的目的、範圍與方式。
7.1.2湖南凱美醫療網站僅收集為實現正當商業目的和提供網路服務所必需的個人資訊;收集個人電子資訊時,取得使用者的明確授權同意;公司在姜個人電子資訊交給第三方處理時,處理方符合本制度標準的要求,並取得使用者明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子資訊處理時,應告知使用者,並取得其同意。
7.2技術措施
公司建立覆蓋個人電子資訊處理的各個環節的安全保護制度和技術措施,防止個人電子資訊洩露、損毀、丟失,包括:
a )採用加密方式儲存使用者密碼等重要資訊
b )審計內部員工對涉及個人電子資訊的所有操作,並對審計進行分析,預防內部員工故意洩露
c )審計個人電子資訊上載、儲存或傳輸,作為資訊洩露,毀損,丟失的查詢依據
d )建立程式來控制對涉及個人電子資訊的系統和服務的訪問權的分配。這些程式涵蓋使用者訪問生存週期內的各個階段,從新使用者初始註冊到不再需要訪問資訊系統和服務的使用者的最終撤銷
e )系統的安全保障技術措施覆蓋個人電子資訊處理的各個環節,防止網路違法犯罪活動竊取資訊,降低個人電子資訊洩露的風險
7.3個人資訊洩露事件的處理
a)當發現個人電子資訊洩露時間後,應:
b )立即採取補救措施,防止資訊繼續洩露
c )24小時內告知使用者,根據使用者初始註冊資訊重新啟用賬戶,避免造成更大的損失立即告屬地公安機關
8安全事件管理
8.1安全時間管理制度
8.1.1建立安全事件的監測、報告和應急處置制度,確保快速有效和有序地響應安全事件.
8.1.2安全事件包括違法有害資訊、危害計算機資訊系統安全的異常情況及突發公共事件。
8.2應急預案
制定安全事件應急處置預案,向屬地公安機關寶貝,並定期開展應急演練。
8.3突發公共事件處理
突發公共事件分為四級:I級(特別重大)、II級(重大)、III級(較大)、IV級(一般),網際網路互動式服務提供者應建立相應處置機制,當突發公共事件發生後,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% -80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%-50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術介面
公司網站所設技術介面為公安機關提供的符合國家及公共安全行業標準的技術介面,能確保實時,有效地提供相關證據。
安以軒老公被捕後首度發言 稱自己不參與德晉日常管理賭
安全生產管理制度
讓盆栽牡丹安全度夏 夏季管理應做好三防
安全保衛管理制度
裝置安全管理制度
泵房安全管理制度
倉庫安全管理制度
變更安全管理制度
工廠安全管理制度
電視安全管理制度
兒童安全管理制度
女朋友不理你不回信息,女朋友不理你不回信息怎麼哄
檔案安全管理制度
學校安全管理制度
資訊保安與管理專業學什麼 資訊保安與管理專業學哪些課程
車輛安全管理制度
電梯安全管理制度
藥房安全管理制度
安全操作管理制度
資金安全管理制度
新冠疫苗資訊查不到怎麼處理 新冠疫苗資訊多久更新
安全檔案管理制度
食品安全管理制度
校門安全管理制度
安全應急管理制度
安全用電管理制度
企業安全管理制度
叉車安全管理制度
醫療安全管理制度
施工安全管理制度
食堂安全管理制度
安全用水管理制度
消防安全管理制度