保密制度集团计算机信息系统安全保密管理办法Word格式文档下载.docx
《保密制度集团计算机信息系统安全保密管理办法Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《保密制度集团计算机信息系统安全保密管理办法Word格式文档下载.docx(8页珍藏版)》请在冰豆网上搜索。
⑴借用或擅自挪用计算机设备;
⑵更换计算机设备的零部件和软件系统;
⑶使用来历不明的软盘和光盘;
⑷携带外来设备在有关场所进行操作;
⑸擅自搬移、拆除、维修计算机设备;
⑹任意插拔网线、光缆,以更改网络拓扑结构;
⑺变更计算机设备的配置;
⑻停止计算机设备的正常运转;
⑼关闭电源。
第十条、如因特殊原因,确需进行上述所列条目之操作,必须:
⑴提出书面请示,经集团信息化推进处批准后方可进行;
⑵严格按照相关设备的操作规程进行操作;
⑶对相关操作要及时存档备案,以便日后查证。
第十一条、计算机设备属集团固定资产,任何人都有责任对其加以保护,发现问题应及时向有关职能部门报告。
第三章中心机房/配线间安全管理
第十二条、中心机房/配线间指集团智能大楼机房和各配线间,纺织城机房和各配线间。
其他企业内部的机房和配线间,由企业自行指定专人进行管理,并严格执行集团《信息系统管理制度》的有关规定。
第十三条、中心机房/配线间由集团信息化推进处指定专人进行统一管理。
第十四条、管理人员不得将钥匙擅自转借他人(包括本部门及其他部门人员)。
第十五条、管理人员不得以任何形式将计算机设备的各种密码泄露给他人(包括本部门及其他部门人员)。
第十六条、任何人不得将非工作往来人员带入中心机房/配线间。
第十七条、管理人员外出或下班时,应及时将中心机房关灯、上锁。
第十八条、管理人员应经常观察中心机房的温、湿度情况,保证计算机设备工作在标准环境下。
第十九条、因工作关系需进入中心机房/配线间的个人或团体,须认真填写《鄂尔多斯集团中心机房/配线间往来人员登记单》。
第二十条、外来参观人员或团体进入中心机房/配线间,必须:
⑴提出书面请示,并经集团党政工作处和信息化推进处两级单位批准;
⑵填写《鄂尔多斯集团中心机房/配线间往来人员登记单》;
⑶由专人陪同,听从陪同人员安排;
⑷未经允许,不得对计算机设备进行任何操作;
⑸如确需相关操作,经陪同人员和相关技术人员确认不危害到集团利益后方可进行。
第二十一条、意外防范:
⑴管理人员要定期对中心机房/配线间所配置之消防器材的情况进行检查,如消防器材的状态是否良好、摆放位置是否合理、应急时是否便于使用等,发现异常,应立即同集团信息化推进处领导联系,及时消除隐患;
⑵中心机房/配线间内严禁堆放易燃易爆物品,严禁吸烟,严禁乱拉、乱接与工作无关的电线、电源,严禁将可能引发事故的火源和水源带入;
⑶管理人员要定期检查中心机房/配线间的供电系统(包括市电状况、UPS、电线、电源插座等),发现异常,应及时通知相关人员并协同处理。
第二十二条、卫生监管
⑴中心机房/配线间要定期进行清洁(中心机房每周至少一次,配线间每月至少一次);
⑵对放置在中心机房/配线间的计算机设备,要经常性、不定期的进行清洁,包括对显示器进行消磁处理这样的清除电磁污染的操作;
⑶严禁在中心机房/配线间用餐或吃零食;
⑷不得将门窗长时间开启,防止粉尘、有害气体等异物对计算机设备的损害;
⑸放置于中心机房/配线间的辅助工作用具(如钳子、螺丝刀等)要经常保持清洁。
第四章系统安全
第二十三条、本办法所称系统,主要指操作系统和应用系统两大类。
第二十四条、操作系统安全是计算机信息系统安全保密的基础,操作系统的漏洞和“后门”会对计算机信息系统的安全保密造成严重威胁,而服务器及其上的业务数据又是被攻击的最终目标。
因此,对关键服务器上的操作系统进行安全控制,是增强系统整体安全性的核心一环。
(1)管理人员必须对现有操作系统(Windows98、WindowsXP、WindowsNT、Windows2000)设置开机密码、屏幕保护密码,密码位数统一要求为16位,不允许有显式代码出现,一般应是大小写英文字母、数字和特殊字符中两者以上的组合,并且要定期更改密码;
(2)管理人员对操作系统进行如下操作时,必须事先向部门主要提出请示,经批准后方可进行,并要做好存档备案工作,以便日后查证:
①覆盖安装和重新安装。
特别地,重新安装前必须要对原有系统进行备份;
②对现有操作系统的升级;
③可能引起重大变化的配置,如磁盘阵列配置、域信任关系配置、路由配置、安全等级配置等。
(3)管理人员要定期作好对操作系统的安全监测工作,主要包括操作系统安全漏洞补丁的安装、系统日志的查看、病毒入侵检测、非法入侵检测等;
(4)关键服务器上,除操作系统本身需加载的各种服务和程序外,一般杜绝浏览互联网,除非工作需要;
(5)健全访问控制机制
①最小特权原则:
帐号设置、服务配置、主机间信任关系配置等应为保证系统正常运行所需的最小限度,并将用户的权限配置为完成其工作所必需的最小权限;
②自主访问控制与强制访问控制相结合;
③安全域隔离。
第二十五条、应用系统是指运行于操作系统之上、为了完成特定的业务逻辑功能而开发、业务功能完整、能够独立安装使用的软件系统。
应用系统安全管理的对象包含非附属于操作系统的软件产品,如通用软件、数据库管理系统、业务系统、委托开发和自主开发的应用系统、网络管理软件等。
(1)凡有口令保护的应用系统都应加以设置,口令要求参照第二十三条第一款。
(2)各种应用系统的升级、修复、重装和配置更改,必须事先提出请示,经批准后方可进行,并要存档备案,以便日后查证。
(3)特别的,重点做好关键数据库系统的安全管理:
①严禁越权访问;
②定期备份,一般一周一次。
要求备份时间为非工作日,以防数据损毁;
③做好数据库系统日志的安全审计工作。
第二十六条、各专职管理人员在出差、调离、升职前,必须处理好相关工作的移交事宜。
特别是关乎系统安全的各级各类密码,尤其要做好存档备案工作,新任管理人员要及时将各种密码更新,并存档备案。
第二十七条、建立健全审计日志。
日志内容主要包括用户每次活动(访问时间、地址、数据、设备等)以及系统出错和配置修改等信息。
第五章网络运行安全
第二十八条、局域网安全规范
(1)所有客户机要可靠连接UPS(不间断电源),以防意外停电造成对设备的损毁和资料的破坏。
(2)除部门技术人员外,任何人不得修改客户机上网络相关的参数设置。
(3)严禁传送来历不明的邮件和带毒文件。
(4)严禁上班期间玩游戏。
(5)部门局域网的拓扑结构要做变动时,必须首先向信息化推进处提出书面申请,批准后由指定人员实施,并做备案。
(6)文件传输过程中,必须进行相应的加密处理(如设置共享密码),否则,后果自负。
(7)严禁在局域网发布和传播含有色情、暴力、反动等内容的信息。
(8)严禁运用非常手段通过局域网获取集团机密数据,如财务数据、销售数据、领导查询数据等。
(9)所有工作人员应经常保持客户机的清洁、卫生,以防灰尘、异物引起的设备故障。
第二十九条、互联网(Internet)安全规范
(1)严禁通过互联网传播、发布、复制、阅读含有违反国家安全、不健康、迷信暴力、歪曲事实等内容的信息。
(2)严禁利用互联网侮辱他人或者捏造事实诽谤他人。
(3)严禁故意制作、传播计算机病毒等破坏性程序。
(4)严禁攻击其他计算机系统及通信网络,窃取、泄露国家和集团秘密、情报。
(5)不阅读和下载来历不明的网上邮件或文件。
(6)严禁网上聊天、游戏、炒股、长时间浏览诸如影视、音乐等纯娱乐性质的网站和下载工作无关软件。
第六章计算机病毒防治
第三十条、计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
第三十一条、计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预告。
第三十二条、信息部门计算机病毒防治工作中应当履行如下职责:
⑴采取计算机病毒安全技术防治措施;
⑵进行计算机病毒防治教育和培训;
⑶使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
⑷对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向集团信息化推进处领导、集团领导及至公安机关报告,并保护现场;
⑸定期对计算机设备进行计算机病毒检测、清除工作,并存档备案。
第三十三条、严禁制作、传播计算机病毒。
第三十四条、严禁发布虚假计算机病毒疫情。
第三十五条、任何人不得有如下行为:
⑴故意输入计算机病毒,危害计算机信息系统安全;
⑵故意向他人提供含有计算机病毒的文件、软件、媒体;
⑶购买和使用含有病毒的盗版软件;
⑷购买和使用不符合信息部门要求的杀毒软件。
第三十六条、从网络上下载程序、数据或者购置、维修、借入计算机设备时,任何人都有权监督、执行计算机病毒检测工作,发现异常,有权力和义务向信息管理部门报告。
第七章信息资源安全保密规范
第三十七条、信息资源包括文字信息、数字信息、声音信息和图象信息等,按其敏感度可分为公开、内部、秘密、机密和绝密。
具体而言,我集团的信息资源主要指流转于OA(办公自动化)平台和电子商务平台上的各种邮件、公文、视频信息等。
第三十八条、确保信息资源产生、存储、传递和处理过程中的保密性、完整性、可控性、可用性是信息资源安全保密的中心任务。
第三十九条、信息资源安全保密办法:
首先根据具体业务工作要求,确定恰当的安全保密范围,然后进行计算机信息传输过程的安全保密设计及工作中的安全保密要求,人机并虑,严禁泄密。
本办法所称之“泄密”系指,将机密材料借阅、赠送他人,或向他人讲述、介绍涉密内容,或将禁止参观的场所、设备、设施向他人公开,或因管理不善而造成他人了解涉密内容等情况。
第四十条、信息资源的管理人员应分权负责,各种角色如系统管理员、安全保密管理员、密匙管理员等由不同人担任。
第四十一条、信息资源应完全处于主管部门独立使用和管理的封闭区域内(如中心机房)。
第四十二条、信息系统需口令保护,口令要求参照第二十三条第一款。
第四十三条、涉密材料要指定专人负责管理,对其收发要按规定范围,由收发部门办理发放或回收签字手续,并登记造册,妥善管理。
未经上级领导同意,禁止向他人借阅、赠送涉密材料,或向他人讲述、介绍涉密内容。
第四十四条、全体员工应严格做到:
⑴不随意在OA平台和电子商务平台上发布涉及集团财务数据、管理创新、工艺图纸、客户名单、货源情报、产销策略、招标中的标底以及标书内容等信息;
⑵同外商洽谈业务时,保守一切企业机密;
⑶不以任何形式(电子邮件、论坛、聊天等)向外发布集团涉密信息;
⑷未经批准,不得打印、复印涉密信息;
⑸不得将涉密材料私自带回家中。
第四十五条、不同密级的信息资源要分类存放。
第四十六条、存放涉及秘密信息资源的媒体(光盘、软盘、硬盘、磁带等)要做到:
⑴由专人负责维护;
⑵表明密级,并按相应密级管理;
⑶不能降低密级使用;
⑷不再使用的媒体要及时销毁;
⑸维修时要保证所存储的信息不被泄露。
第四十七条、信息资源要定期备份,一般为一周一次,以便出现问题时及时恢复。
第四十八条、管理人员应当定期审查系统日志并做记录,一周至少一次。
第四十九条、管理人员在进行用户维护(包括用户申请、用户变更、用户删除)时,必须要求应用部门出示书面申请,经批准后,方可进行。
特别在用户申请、用户变更时,书面申请必须有如下内容:
申请或变更理由、用户所在部门或单位、权限要求、领导意见。
管理人员在授权时要遵循最小授权原则,即将用户权限配置为完成其工作所必须的最小权限。
第五十条、未尽事宜请参照鄂司发(2002)118号文件《关于全面启用集团办公自动化平台的通知》。
第八章惩处
第五十一条、集团管理本部信息化推进处将采取各种方式、不定期的监督检查各单位、各部门的网络应用情况。
发现有如下行为者,将按照集团有关制度进行考核:
⑴破坏计算机设备、网络设备及线路者;
⑵擅自增加/拆除网络设备或改变网络拓扑结构者;
⑶擅自将计算机设备或网络设备移动位置或挪作它用者;
⑷随意切断网络设备电源者;
⑸利用计算机网络进行危害国家安全、传播/阅读非法内容等活动者;
⑹由于滥用盗版软件或未经杀毒软件检查的光、软盘等存储介质而引起病毒蔓延者;
⑺随意篡改IP地址而引起网络混乱和资源消耗者;
⑻使用非常手段破解他人帐号、口令者;
⑼有意将自己或他人的各种帐号、口令泄漏给他人而造成数据破坏、重要文件丢失等严重后果者;
⑽于工作时间或非工作时间在工作场所玩电脑游戏、上网聊天、看在线电影、浏览不健康网页者;
⑾泄漏重要资料、数据者。
第九章附则
第五十二条、本办法的实施管理部门是集团管理本部信息化推进处;
由集团管理本部企业管理处负责解释。
第五十三条、本办法自发布之日起执行。
原鄂司发(2002)61号文《鄂尔多斯集团网络管理制度(试行)》相应废止。
内蒙古鄂尔多斯羊绒集团有限责任公司
二OO四年三月十二日
升级会员 