信息安全管理制度V4.docx
《信息安全管理制度V4.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度V4.docx(15页珍藏版)》请在冰豆网上搜索。
信息安全管理制度V4
制度名称:
信息安全管理制度
制度编号:
2016-12-15发布
签发:
第一章总则
第一条为了规范公司信息设备的管理,加强信息系统的安全和管理,控制有害信息,促进本公司企业网(以下简称网络)的健康发展,保障网络更好地为公司生产经营服务,维护企业及社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》和《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》及《西电公司关于处理涉密信息计算机与计算机涉密信息的管理办法》和其他有关法律、行政法规的规定及《信息系统安全技术防护指引》特制定本管理制度。
第二条本制度所称的信息设备,是指接入网络的通信主干设备、机床、实验控制台、自动化线、公共服务器、计算机和打印机等设备。
信息设备网络系统是指由信息设备及相关的和配套的设备、设施构成的,按照一定的应用目标和规则对网络信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条本制度适用于信息设备系统的安全保护,应当保障信息设备及相关的和配套的设备、设施和运行环境的安全,确保信息设备功能的正常发挥,维护信息设备网络系统的安全运行。
第四条信息管理部门负责本公司信息系统规划、建设和管理工作。
第五条任何部门和个人不得利用网络危害国家安全、泄露国家机密,不得侵犯国家、社会、企业、集体的利益和公民的合法权利,不得从事违法犯罪活动。
第六条任何部门和个人不得利用网络制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的言论;
(二)煽动颠覆国家政权、推翻社会主义制度的言论;
(三)煽动分裂国家、破坏国家统一的言论;
(四)煽动民族仇恨、民族歧视,破坏民族团结的言论;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害企业形象和企业利益的言行;
(九)其他违反宪法、法律、行政法规的言行。
第七条任何部门和个人不得从事下列危害信息设备安全的活动:
(一)未经允许,对信息设备功能进行删除、修改或者增加;
(二)未经允许,对信息设备中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(三)未经允许,私自修改IP地址,开设二级代理,web、DNS,DHCP等服务;
(四)企业网内,任何计算机未通过企业统一出口连接进入Internet;
(五)故意制作、传播计算机病毒等破坏性程序;
(六)以端口扫描方式,破坏信息设备网络正常运行;
(七)未经允许,擅自在企业网上设置网站、上传信息;
(八)其他危害信息设备网络安全。
第八条用户的通信自由和通信秘密受法律保护。
任何部门和个人不得违反法律规定,利用企业网侵犯用户的通信自由和通信秘密。
第九条各个部门和个人在使用信息设备过程中必须遵守国家有关法律、法规和信息职能管理部门的有关规定。
第十条用户在使用信息设备网络过程中违反本制度或有关规定的,信息管理职能部门将视情节给予劝告、警告等相应处罚。
第十一条用户在使用信息设备网络中违反国家法律和行政法规的,网络信息管理职能部门将视情节轻重给予警告、通报批评等处罚,情节特别严重构成犯罪的,报有关部门依法追究刑事责任。
第十二条接受公安机关和信息管理部门的安全监督、检查和指导,如实向上述部门提供安全保护所需要的信息、资料及数据文件,协助公安机关查处通过国际互联的计算机信息网络违法犯罪案件。
第十三条本公司信息设备网络用户,必须同意遵守本制度,以及其它相关的规定和制度。
如不同意这些规定,用户可主动向信息管理职能部门提出书面说明,信息管理职能部门将停止对该用户的服务。
如不主动提出,按默认对待。
第二章网络信息与网站管理
第十四条部门主要领导是本部门(含下属部门)网络信息管理的第一责任人。
建立由部门主要领导负责的本部门网络信息安全组织机构,并指定专人负责日常的网络信息安全保护工作。
第十五条网络使用的Internet域名由信息管理部门统一规划和管理。
接入网络的部门如果需要使用独立的域名,应向信息管理部门提交书面申请,由信息管理部门审核通过并报公司领导批准后协助实施。
第十六条部门上载信息均应登记造册,并由部门主要负责人或所指定人员审核、签署意见。
第十七条公司的Internet信息服务主要用于与公司生产、研发、销售和管理工作有关的通信业务,用户应控制查阅娱乐性的内容和调阅下载大量占用网络通信流量的影视和音乐等多媒体信息,不得通过电子邮件传输涉密信息。
第十八条制定网络信息系统突发事件的处置预案和应急措施,并有专人负责。
遇突发性事件,接受信息管理部门的统一协调。
第十九条未经信息管理部门同意,任何部门、任何个人,不得向外透露网络信息系统突发性事件消息,或接受任何媒体采访,或向任何媒体投稿。
第三章网络安全涉密管理
第二十条网络安全管理是由信息管理部门负责实施的保证网络与网络信息安全进行的管理。
第二十一条信息管理部门负责保护计算机信息系统中心机房设备、设施、媒体和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段进行违法犯罪行为导致的破坏、丢失。
主要包括环境安全、设备安全、媒体安全等方面:
(一)环境安全:
计算机信息系统所在环境的安全。
计算机信息系统中心机房应该满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-1989《计算站场地技术条件》、GB9361-1988《计算站场地安全要求》的要求。
(二)设备安全:
主要包括设备的防盗、防毁等。
计算机信息系统中心机房应采取安全防范措施,确保非授权人员无法进入。
(三)媒体安全:
媒体数据的安全及媒体本身安全。
软磁盘、硬盘、磁带等涉密媒体应按所存储信息的最高密级标明密级,并按相应密级管理。
存储过涉密信息的媒体不能降低密级使用。
不再使用的媒体应及时销毁。
涉密媒体的维修应保证所存储的涉密信息不被泄露。
打印输出的涉密文件应按相应密级的文件进行管理。
第二十二条信息管理部门负责保护计算机信息系统中心机房网络设备的运行安全:
包括备份与恢复、病毒的监测与消除、电磁兼容等。
(一)备份与恢复:
计算机信息系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力(绝密级及重要信息的数据应异地备份)。
(二)病毒的监测与消除:
应采用国家有关主管部门(公安)批准的查毒软件实时查毒、杀毒。
(三)电磁兼容:
是对系统硬件设备、技术上抗干扰的问题,正规设备产品一般都符合要求。
第二十三条信息系统应采用身份鉴别、访问控制、信息加密、设计跟踪等措施保证信息安全保密。
(一)身份认证:
1、口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户自行产生;
2、处理秘密级信息的系统,口令长度不得少于6个字符,口令更换周期不得长于1个月;
3、处理机密信息的系统,口令长度不得少于8个字符,口令更换周期不得长于1周;
4、处理绝密信息的系统,应当采用一次性口令或生理特征等强认证措施;
5、口令必须加密存储、传递,并且保证口令存放载体的物理安全。
(二)访问控制:
1、处理秘密级、机密级信息的系统,访问应当按照用户类别控制;
2、处理绝密级信息的系统,访问必须控制单个用户,或单条信息。
(三)审计跟踪:
1、涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息;
2、处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于1个月;
3、处理绝密级信息的系统,应当能够检测并记录侵犯系统的事件,及时自动告警,系统安全保密管理人员应当定期审查系统日志并作出审查记录,审查周期不得长于1周。
审计过程中,发现问题及时采取补救措施,并向相关部门报告情况。
(四)存储、传输:
1、秘密级、机密级信息应当加密传输;
2、涉密系统完全处于其主管部门(单位)独立使用和管理的封闭建筑群内,应按国家有关标准采用相应的保护措施;
3、绝密级信息应当加密存储、加密传输;
4、使用的加密措施应当经过有关主管部门批准,并且与所保护的信息密级一致;
5、限制最小使用范围。
第二十四条系统的安全保密管理包括各级管理组织机构、管理制度和管理技术,要通过组建完整的安全保密管理组织机构、设置安全保密管理人员,制定严格的安全保密管理制度,利用先进的安全保密管理技术对整个系统进行管理。
第二十五条任何时候在服务器上不得使用来历不明的光盘和软盘。
严禁擅自在主干网上使用与系统无关的软件。
第二十六条使用网络的硬件资源、软件资源和信息资源,禁止XX或超出授权范围使用网络资源。
第二十七条网络用户必须妥善管理访问网络资源的用户名称和密码,长期使用网络资源的用户必须按照信息管理部门对各种资源的使用规定按时更换用户密码。
凡因为管理不善导致密码泄露对网络安全造成严重危害的,应追究当事人责任。
第二十八条信息管理部门负责公司对外连接管理,XX任何网络用户不得以任何方式建立与其他网络间的互联。
第二十九条禁止私自拆卸计算机设备、格式化硬盘、自带软件操作、玩电游等
第三十条网络上不允许进行任何干扰网络用户、破坏网络设备和服务的活动,包括(但不局限于)在网上发布不真实的信息、散布计算机病毒、使用网络进入XX使用的计算机、不以真实身份使用网络资源、随意复制或使用未经安全检查的系统软件,以及盗用他人账号等。
第四章部门网络管理
第三十一条部门网络(如财务部门、人力资源管理部门等)是本企业网络的组成部分,各部门根据工作需要可以建立部门网络,设立部门网络和独立服务器。
第三十二条需要建立部门网络的部门或单位需提出组建方案,确定部门网络的作用、范围、组网方式,连接方法和用户使用模式,制定管理办法,确定网管人员,并向信息管理职能部门申请。
信息管理部门审核通过后报公司领导批准,由信息管理部门指导各部门共同实施。
第三十三条需要通过设立网络域组建部门网络或专门业务网络的部门,应提出组建网络域的需求说明,确定网络域的作用、范围、管理办法及网络域管理员,指定负责人,并向网络信息管理职能部门提出书面申请,由网络信息管理职能部门审核通过并向公司领导报告审批后协助组织实施。
网络域的域名由信息管理职能部门统一规划和命名。
第三十四条需在网络内建立独立服务器的部门需提供建立独立服务器的说明,确定服务器的作用,制定管理办法,确定管理员及负责人,向信息管理职能部门提出书面申请,由信息管理职能部门审核通过向公司领导报告批准后协助建立。
第五章网络设备管理
第三十五条公司相关网络设备均为公司财产,应充分挖掘现有网络设备潜力,重视维护维修、功能开发、改造升级、延长寿命的工作。
网络设备在使用中应保持完好,做到合理流动、资源共享。
杜绝闲置浪费、公物私化。
网络设备的调拨、报废必须按照有关规定,由信息管理部门进行技术鉴定和审批。
第三十六条网络的主干通信设备、网络线路、公共服务器及其它公共设备由信息管理部门管理。
第三十七条部门中的网络服务器和网络打印机等设备由各部门网管人员负责管理,并在信息管理部门备案。
第三十八条接入网络的计算机和在网络内由部门建立的服务器,由该设备的保管人员负责管理,并在信息管理部门备案。
第三十九条与独立计算机连接的打印机等共享设备由所连计算机的管理者负责管理,管理者必须对共享设备的使用设备的使用范围进行限定,禁止无限制地开放共享设备。
第四十条用户设备接入网络由信息管理部门统一规划和实施,用户需将设备接入网络时,需经所在部门领导批准后,并向信息管理部门提出书面申请。
第四十一条使用正确的接入方式,接入网络的任何人,未经信息管理部门同意,不得擅自安装、拆卸或改变网络设备和连接,严禁强行拔拽网络接入端口。
对使用不当造成端口损坏者,应承担相应的赔偿责任。
第四十二条信息管理部门对入网设备的名称、入网软硬件配置、入网接入端口和安装的软件实行统一规范和管理,不定期检查其使用情况。
第四十三条严禁任何人在未经信息管理部门许可的情况下,自行铺设网线或购买网络接入设备。
一经发现,信息管理部门的工作人员有权拆除该网线或设备,中止其网络的接入权。
第四十四条严禁对他人网络或计算机进行恶意扫描、攻击、进行未经许可远程控制或传送有害信息及不健康的信息等,一旦发现这种违法行为,将中止其网络的接入权。
第四十五条信息管理部门工作人员如果发现个别端口因不当使用(例如,接入计算机是病毒源、扫描源或通过低质网卡等接入)造成接入交换机死机,有权终止该用户接入,并通知用户本人。
直到用户排除自身计算机的问题后,方可重新申请接入。
第四十六条严禁私自将信息管理职能部门分配的IP地址、用户名、密码转让他人使用。
对私自将信息管理职能部门分配的IP地址、用户名、密码转让他人使用造成的网络安全事故一概由本人负责;严禁盗用他人的用户名和密码,他人IP地址,入侵他人计算机系统,阅读他人文件或电子邮件,滥用网络资源;严禁私自设置代理服务器,一经发现,信息管理职能部门首先强制关闭该用户,并中止其本公司网络的接入权。
第四十七条使用计算机和其他设备的人员,在操作过程中必须规范,定期维护保养,使其经常处在良好状态。
第四十八条在使用网络设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作。
第四十九条网络设备若出现故障,应及时向信息管理职能部门反映,由信息管理职能部门及时查明原因,组织维修。
第五十条未经信息管理职能部门同意,任何人不得外借网络设备及其附件给其它单位和个人使用。
第五十一条计算机设备使用单位提出设备报废申请,信息管理部门组织专业人员鉴定后,出具鉴定报告,方能报废。
符合下列条件之一者,可办理报废:
(一)已超过规定使用年限的设备,其主要部件、结构无法更新、改造、升级的设备。
(二)因意外事故,致使设备受到严重损坏,无法修复或改造的设备。
(三)因设备陈旧无法使用或不能升级的设备。
第五十二条计算机设备的报废申请,经设备管理职能部门、技术管理部门、财务部门、信息管理部门、生产管理职能部门、设备使用单位等相关部门会签同意,报公司领导批准后,予以报废。
报废后,设备管理职能部门、财务部门及时办理销账手续。
第六章中心机房管理
第五十三条保持机房适当的环境温度与湿度。
温度保持在18~24℃,湿度保持在40~60%,以保证机器正常运行,并延长寿命。
每天上下班,机房管理人员必须进入中心机房巡视一次,并将机房各环境参数情况进行登记。
第五十四条防止产生静电和强磁场对设备的损害。
如防静电地板、机器设备应有专用地线,机房本身有避雷设施。
第五十五条主机房和有重要设备(交换机、服务器)的地方,应装有防盗保护系统。
第五十六条重要设备要装有防砸外壳,防人为的破坏。
机房外围有防盗窗和栅栏等安全措施。
第五十七条机房内应有防火和防水措施,内部装有防火自动报警系统,有适用于计算机机房的灭火器材,有相应的应急措施。
防水就是机房内无渗水、漏水现象。
第五十八条机房要保持电源的稳定性,配备稳压电源和UPS不间断电源,为计算机的可靠运行提供能源保障。
第五十九条非中心机房工作人员,不得擅自进入。
第六十条不得在机房内吸烟、吃东西。
第六十一条主机房应设有标志,如“机房重地”、“请勿触摸”等醒目的文字、图形等。
第七章数据库管理
第六十二条加强公司数据库管理,保障数据库正常、有效运行,确保数据库安全,使数据库能更好地服务于评级工作。
第六十三条公司系统管理员负责数据库的日常维护和运行管理。
第六十四条公司总信息师负责对数据库使用者进行权限审批。
第六十五条根据业务对数据库用户管理的要求,公司应制定数据库用户管理制度和数据库操作规程。
第六十六条系统管理员负责按审批规定办理具体用户的授权、变更权限和注销等管理工作。
第六十七条用户的密码管理应遵循如下规定:
用户密码必须通过复杂性检验,位数不少于6位,并不得以数字开头;密码应定期更改;用户名和密码为个人专用,不得泄露给他人,特殊情况需要他人以自己的用户名和密码进入数据库时,应取得部门负责人同意,并在工作完成后及时修改密码。
第六十八条所有用户均应遵守公司《信息保密制度》,未经许可不得对外提供数据库中相关数据,不得越权使用和修改数据。
第六十九条数据库系统的修改,应在系统管理员征求各业务部门对于数据库使用的意见和建议并提出修改方案的基础上,由业务部门提出,经公司总信息师签字同意后实施。
可根据实际情况由公司组织人员修改(或重新开发)或委托外部机构修改(或重新开发)。
第七十条数据库系统的修改,应保证数据的延续性和历史数据的可用性。
第七十一条业务人员在使用数据库的过程中,对数据库不完善或不方便使用之处,有信息监督和反馈的义务。
第七十二条系统管理员负责数据库系统的安全管理,保证安全管理软件的及时升级。
第七十三条数据库应每周至少备份一次,系统管理员应在保证数据安全和保密的情况下,采取适当方式保存备份文件,保证数据库出现异常时能快速恢复,避免或尽量减少数据丢失。
在数据备份完成后,要及时做相应的记录。
第七十四条除系统管理员和经公司总信息师批准的人员外,其他人员不得进入放置有存放数据库设备的机房内。
第七十五条业务数据在技术条件许可的情况下应永久保存。
第八章信息发布
第七十六条 各单位发布信息必须履行相关的审批手续,责任到人;不得利用电子邮件传递未采取加密措施的涉及国家秘密和本公司秘密的信息。
第七十七条 各单位要有一名领导分管信息发布工作。
必须确定一名熟悉计算机基本操作的工作人员兼任信息管理员,其主要职责如下:
(一)负责网络安全和信息安全工作,进行信息安全和网络安全教育;
(二)在信息管理部门的指导下,负责对本单位上网信息的内容进行规划;
(三)根据规划,广泛组织和收集信息(包括文字、图片等),并录到计算机内或存储器内。
按密级分别进行管理;
(四)各部门更新和上传的内容须保留备份,保存信息应遵循准确、完整、分类保存、便于查阅原则。
第七十八条 所有工作人员和公司用户必须遵守国家有关法律、法规和公司相关规定,严格执行安全保密制度,并对所提供的信息负责,严禁涉及国家机密及本公司技术、商务、财务、档案、文书等保密级的资料和公司党务、干部、人事等内部保密信息公布至对外网站。
第七十九条 涉及下列内容的信息必须经本部门领导签字报信息管理部门并经公司领导审查同意后方可上网发布。
(一)公司改革和发展大局的信息;
(二)以公司名义对外发布的新产品信息;
(三)向国际互联网的站点提供或发布的有关公司信息;
(四)公司文件、规章制度、公司领导讲话等。
第八十条 信息管理部门负责对公司所发布的信息进行定期更新。
第九章网站及涉密信息安全
第八十一条 除公司企业网负责单位,其他单位或个人不得以任何方式试图登陆进入公司企业网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对公司企业网安全运行的破坏行为。
第八十二条 严禁在公司企业网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用杀毒软件检查、杀毒。
第八十三条 公司企业网各类服务器中开设的帐户和口令为各部门用户所拥有,信息管理部门对用户口令保密,不得向任何单位和个人提供这些信息。
第八十四条 网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。
第八十五条 公司内从事施工、建设,应事先和信息管理部门沟通,避免因施工危害计算机网络系统的安全。
第八十六条 公司企业网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,信息管理部门须在二十四小时内向公安机关报告。
第八十七条 对所有联网计算机及上网人员要及时、准确登记备案。
多人共用计算机上网的单位的计算机的使用要严格管理,部门负责人为网络安全负责人。
第八十八条 信息管理部门必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。
各单位一律不得开设代理服务器、Email服务器。
第八十九条 公司企业网及子网的系统软件、应用软件及信息数据要实施保密措施。
信息资源保密等级可分为:
(一)秘密级,信息资源应当加密传输;
(二)机密级,信息资源应当加密传输;
(三)绝密级,信息资源应当加密存储、加密传输;
第九十条 各部门应加强计算机信息系统的管理工作,建立健全涉密信息的安全监督系统和各项规章制度,防止计算机泄密。
第九十一条 凡存有公司技术、商务、财务、档案、文书等保密等级的资料,以及公司党务、干部、人事等内部保密信息,都应按涉密计算机网络来处理,切实做到与互联网物理隔离,确保连接互联网的计算机中没有涉及存储涉密信息。
第九十二条 各部门应加强计算机及网络安全保密知识教育,使每一位计算机操作人员特别是涉密人员,提高涉密信息计算机安全保密意识,提高不将涉密信息上互联网的自觉性,自觉遵守保密纪律和有关规定。
第九十三条 各单位应加强保密技术检查,以便及时发现违反规定的行为,堵塞涉密漏洞。
第九十四条 对于不遵守计算机安全保密制度,随意在互联网上发送公司技术、商务等保密信息的,且造成企业利益受损的,公司有权按国家法规和公司有关规定给予行政处理,情节严重的,移交司法机关追究法律责任。
第九十五条未经信息管理部门同意,个部门不得私自将交换机、路由器等网络设备介入公司网络。
第十章技术系统信息安全
为了公司技术保密,公司在技术系统安装了加密软件。
第九十六条部门领导(技术系统)的计算机已经安装加密软件,原则上由部门领导进行文件解密工作。
第九十七条部门领导的计算机未安装加密软件,需要对文件解密,应以书面报告形式经本部门领导签字确认后,交信息化处技术信息室解密。
第九十八条某些类型文件(比如二次原理图)需要解密,请以书面报告详细列明文件类型,部门领导批准后并报技术副总批准,交信息化处技术信息室。
技术信息室接到技术人员对属于清单中的文件类型的解密要求后,直接解密。
第九十九条目前各部门领导具有文件解密权,若需要增加其他人员具有解密权限,请以书面形式报技术中心。
如果部门领导或具有解密权限的员工,调离技术系统或按规定需要收回解密权限,技术信息室应及时予以收回解密权限。
第一百条文件解密工作由技术信息室执行。
第一百零一条在文件解密过程中不易判定的情况:
1、要求解密的合理性;2、文件是否适合提供给其他人员、部门和单位的判定。
一律不准进行解密。
第十一章附则
第一百零二条本管理制度为网络系统安全管理的基本准则,必须严格遵守,不得违反。
第一百零三条本管理制度为信息管理部门解释。
升级会员 