信息安全管理制度V4概要.docx
《信息安全管理制度V4概要.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度V4概要.docx(11页珍藏版)》请在冰豆网上搜索。
信息安全管理制度V4概要
制度名称:
信息安全管理制度
制度编号:
2016-12-15发布
签发:
第一章总则
第一条为了规范公司信息设备的管理,加强信息系统的安全和管理,控制有害信息,促进本公司企业网(以下简称网络)的健康发展,保障网络更好地为公司生产经营服务,维护企业及社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》和《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》及《西电公司关于处理涉密信息计算机与计算机涉密信息的管理办法》和其他有关法律、行政法规的规定及《信息系统安全技术防护指引》特制定本管理制度。
第二条本制度所称的信息设备,是指接入网络的通信主干设备、机床、实验控制台、自动化线、公共服务器、计算机和打印机等设备。
信息设备网络系统是指由信息设备及相关的和配套的设备、设施构成的,按照一定的应用目标和规则对网络信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条本制度适用于信息设备系统的安全保护,应当保障信息设备及相关的和配套的设备、设施和运行环境的安全,确保信息设备功能的正常发挥,维护信息设备网络系统的安全运行。
第四条信息管理部门负责本公司信息系统规划、建设和管理工作。
第五条任何部门和个人不得利用网络危害国家安全、泄露国家机密,不得侵犯国家、社会、企业、集体的利益和公民的合法权利,不得从事违法犯罪活动。
第六条任何部门和个人不得利用网络制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的言论;
(二)煽动颠覆国家政权、推翻社会主义制度的言论;
(三)煽动分裂国家、破坏国家统一的言论;
(四)煽动民族仇恨、民族歧视,破坏民族团结的言论;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害企业形象和企业利益的言行;
(九)其他违反宪法、法律、行政法规的言行。
第七条任何部门和个人不得从事下列危害信息设备安全的活动:
(一)未经允许,对信息设备功能进行删除、修改或者增加;
(二)未经允许,对信息设备中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(三)未经允许,私自修改IP地址,开设二级代理,web、DNS,DHCP等服务;
(四)企业网内,任何计算机未通过企业统一出口连接进入Internet;
(五)故意制作、传播计算机病毒等破坏性程序;
(六)以端口扫描方式,破坏信息设备网络正常运行;
(七)未经允许,擅自在企业网上设置网站、上传信息;
(八)其他危害信息设备网络安全。
第八条用户的通信自由和通信秘密受法律保护。
任何部门和个人不得违反法律规定,利用企业网侵犯用户的通信自由和通信秘密。
第九条各个部门和个人在使用信息设备过程中必须遵守国家有关法律、法规和信息职能管理部门的有关规定。
第十条用户在使用信息设备网络过程中违反本制度或有关规定的,信息管理职能部门将视情节给予劝告、警告等相应处罚。
第十一条用户在使用信息设备网络中违反国家法律和行政法规的,网络信息管理职能部门将视情节轻重给予警告、通报批评等处罚,情节特别严重构成犯罪的,报有关部门依法追究刑事责任。
第十二条接受公安机关和信息管理部门的安全监督、检查和指导,如实向上述部门提供安全保护所需要的信息、资料及数据文件,协助公安机关查处通过国际互联的计算机信息网络违法犯罪案件。
第十三条本公司信息设备网络用户,必须同意遵守本制度,以及其它相关的规定和制度。
如不同意这些规定,用户可主动向信息管理职能部门提出书面说明,信息管理职能部门将停止对该用户的服务。
如不主动提出,按默认对待。
第二章网络信息与网站管理
第十四条部门主要领导是本部门(含下属部门)网络信息管理的第一责任人。
建立由部门主要领导负责的本部门网络信息安全组织机构,并指定专人负责日常的网络信息安全保护工作。
第十五条网络使用的Internet域名由信息管理部门统一规划和管理。
接入网络的部门如果需要使用独立的域名,应向信息管理部门提交书面申请,由信息管理部门审核通过并报公司领导批准后协助实施。
第十六条部门上载信息均应登记造册,并由部门主要负责人或所指定人员审核、签署意见。
第十七条公司的Internet信息服务主要用于与公司生产、研发、销售和管理工作有关的通信业务,用户应控制查阅娱乐性的内容和调阅下载大量占用网络通信流量的影视和音乐等多媒体信息,不得通过电子邮件传输涉密信息。
第十八条制定网络信息系统突发事件的处置预案和应急措施,并有专人负责。
遇突发性事件,接受信息管理部门的统一协调。
第十九条未经信息管理部门同意,任何部门、任何个人,不得向外透露网络信息系统突发性事件消息,或接受任何媒体采访,或向任何媒体投稿。
第三章网络安全涉密管理
第二十条网络安全管理是由信息管理部门负责实施的保证网络与网络信息安全进行的管理。
第二十一条信息管理部门负责保护计算机信息系统中心机房设备、设施、媒体和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段进行违法犯罪行为导致的破坏、丢失。
主要包括环境安全、设备安全、媒体安全等方面:
(一)环境安全:
计算机信息系统所在环境的安全。
计算机信息系统中心机房应该满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-1989《计算站场地技术条件》、GB9361-1988《计算站场地安全要求》的要求。
(二)设备安全:
主要包括设备的防盗、防毁等。
计算机信息系统中心机房应采取安全防范措施,确保非授权人员无法进入。
(三)媒体安全:
媒体数据的安全及媒体本身安全。
软磁盘、硬盘、磁带等涉密媒体应按所存储信息的最高密级标明密级,并按相应密级管理。
存储过涉密信息的媒体不能降低密级使用。
不再使用的媒体应及时销毁。
涉密媒体的维修应保证所存储的涉密信息不被泄露。
打印输出的涉密文件应按相应密级的文件进行管理。
第二十二条信息管理部门负责保护计算机信息系统中心机房网络设备的运行安全:
包括备份与恢复、病毒的监测与消除、电磁兼容等。
(一)备份与恢复:
计算机信息系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力(绝密级及重要信息的数据应异地备份)。
(二)病毒的监测与消除:
应采用国家有关主管部门(公安)批准的查毒软件实时查毒、杀毒。
(三)电磁兼容:
是对系统硬件设备、技术上抗干扰的问题,正规设备产品一般都符合要求。
第二十三条信息系统应采用身份鉴别、访问控制、信息加密、设计跟踪等措施保证信息安全保密。
(一)身份认证:
1、口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户自行产生;
2、处理秘密级信息的系统,口令长度不得少于6个字符,口令更换周期不得长于1个月;
3、处理机密信息的系统,口令长度不得少于8个字符,口令更换周期不得长于1周;
4、处理绝密信息的系统,应当采用一次性口令或生理特征等强认证措施;
5、口令必须加密存储、传递,并且保证口令存放载体的物理安全。
(二)访问控制:
1、处理秘密级、机密级信息的系统,访问应当按照用户类别控制;
2、处理绝密级信息的系统,访问必须控制单个用户,或单条信息。
(三)审计跟踪:
1、涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息;
2、处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于1个月;
3、处理绝密级信息的系统,应当能够检测并记录侵犯系统的事件,及时自动告警,系统安全保密管理人员应当定期审查系统日志并作出审查记录,审查周期不得长于1周。
审计过程中,发现问题及时采取补救措施,并向相关部门报告情况。
(四)存储、传输:
1、秘密级、机密级信息应当加密传输;
2、涉密系统完全处于其主管部门(单位)独立使用和管理的封闭建筑群内,应按国家有关标准采用相应的保护措施;
3、绝密级信息应当加密存储、加密传输;
4、使用的加密措施应当经过有关主管部门批准,并且与所保护的信息密级一致;
5、限制最小使用范围。
第二十四条系统的安全保密管理包括各级管理组织机构、管理制度和管理技术,要通过组建完整的安全保密管理组织机构、设置安全保密管理人员,制定严格的安全保密管理制度,利用先进的安全保密管理技术对整个系统进行管理。
第二十五条任何时候在服务器上不得使用来历不明的光盘和软盘。
严禁擅自在主干网上使用与系统无关的软件。
第二十六条使用网络的硬件资源、软件资源和信息资源,禁止XX或超出授权范围使用网络资源。
第二十七条网络用户必须妥善管理访问网络资源的用户名称和密码,长期使用网络资源的用户必须按照信息管理部门对各种资源的使用规定按时更换用户密码。
凡因为管理不善导致密码泄露对网络安全造成严重危害的,应追究当事人责任。
第二十八条信息管理部门负责公司对外连接管理,XX任何网络用户不得以任何方式建立与其他网络间的互联。
第二十九条禁止私自拆卸计算机设备、格式化硬盘、自带软件操作、玩电游等
第三十条网络上不允许进行任何干扰网络用户、破坏网络设备和服务的活动,包括(但不局限于)在网上发布不真实的信息、散布计算机病毒、使用网络进入XX使用的计算机、不以真实身份使用网络资源、随意复制或使用未经安全检查的系统软件,以及盗用他人账号等。
第四章部门网络管理
第三十一条部门网络(如财务部门、人力资源管理部门等)是本企业网络的组成部分,各部门根据工作需要可以建立部门网络,设立部门网络和独立服务器。
第三十二条需要建立部门网络的部门或单位需提出组建方案,确定部门网络的作用、范围、组网方式,连接方法和用户使用模式,制定管理办法,确定网管人员,并向信息管理职能部门申请。
信息管理部门审核通过后报公司领导批准,由信息管理部门指导各部门共同实施。
第三十三条需要通过设立网络域组建部门网络或专门业务网络的部门,应提出组建网络域的需求说明,确定网络域的作用、范围、管理办法及网络域管理员,指定负责人,并向网络信息管理职能部门提出书面申请,由网络信息管理职能部门审核通过并向公司领导报告审批后协助组织实施。
网络域的域名由信息管理职能部门统一规划和命名。
第三十四条需在网络内建立独立服务器的部门需提供建立独立服务器的说明,确定服务器的作用,制定管理办法,确定管理员及负责人,向信息管理职能部门提出书面申请,由信息管理职能部门审核通过向公司领导报告批准后协助建立。
第五章网络设备管理
第三十五条公司相关网络设备均为公司财产,应充分挖掘现有网络设备潜力,重视维护维修、功能开发、改造升级、延长寿命的工作。
网络设备在使用中应保持完好,做到合理流动、资源共享。
杜绝闲置浪费、公物私化。
网络设备的调拨、报废必须按照有关规定,由信息管理部门进行技术鉴定和审批。
第三十六条网络的主干通信设备、网络线路、公共服务器及其它公共设备由信息管理部门管理。
第三十七条部门中的网络服务器和网络打印机等设备由各部门网管人员负责管理,并在信息管理部门备案。
第三十八条接入网络的计算机和在网络内由部门建立的服务器,由该设备的保管人员负责管理,并在信息管理部门备案。
第三十九条与独立计算机连接的打印机等共享设备由所连计算机的管理者负责管理,管理者必须对共享设备的使用设备的使用范围进行限定,禁止无限制地开放共享设备。
第四十条用户设备接入网络由信息管理部门统一规划和实施,用户需将设备接入网络时,需经所在部门领导批准后,并向信息管理部门提出书面申请。
第四十一条使用正确的接
升级会员 