第一篇:銀行網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)定
銀行網(wǎng)絡(luò)
系統(tǒng)安全管理規(guī)定
第一章 總則
第一條 為加強(qiáng)銀行(以下簡(jiǎn)稱我行)網(wǎng)絡(luò)系統(tǒng)安全工作,保障我行網(wǎng)絡(luò)系統(tǒng)可靠、穩(wěn)定、連續(xù)、高效運(yùn)行,特制定本規(guī)定。
第二條 本規(guī)定所指的網(wǎng)絡(luò)系統(tǒng),是指由計(jì)算機(jī)(包括相關(guān)和配套設(shè)備)為終端設(shè)備,利用計(jì)算機(jī)、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集、處理、存儲(chǔ)和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。
第三條 本規(guī)定適用于銀行。
第二章
組織和職責(zé)
第四條 成立網(wǎng)絡(luò)安全管理員崗位,由分管領(lǐng)導(dǎo)主抓,接受我行相關(guān)領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo),在我行科技部門的具體指導(dǎo)和組織下工作。網(wǎng)絡(luò)安全管理員工作職責(zé)是:
(1)與上級(jí)信息系統(tǒng)安全主管部門建立相關(guān)工作關(guān)系;(2)組織制定和執(zhí)行我行網(wǎng)絡(luò)安全的規(guī)劃、策略、標(biāo)準(zhǔn)、流程、應(yīng)急計(jì)劃、落實(shí)宣傳教育與培訓(xùn)計(jì)劃等;
(3)健全并監(jiān)督執(zhí)行網(wǎng)絡(luò)安全規(guī)定,定期對(duì)所屬網(wǎng)絡(luò)進(jìn)行安全檢查和風(fēng)險(xiǎn)分析,提出相應(yīng)的對(duì)策;
(4)實(shí)施我行網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)。
(5)負(fù)責(zé)網(wǎng)絡(luò)審計(jì)系統(tǒng)的管理和維護(hù),認(rèn)真記錄、檢查和保管審計(jì)日志。
(6)定期進(jìn)行總結(jié),并向領(lǐng)導(dǎo)、主管部門匯報(bào)安全工作,提交年度報(bào)告;
(7)做好我行網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行、維護(hù)、管理等工作。(8)如發(fā)生網(wǎng)絡(luò)系統(tǒng)的重大安全事故、事件,及時(shí)向主管領(lǐng)導(dǎo)報(bào)告。
第三章 管理原則
第五條 綜合防范原則
以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合,逐級(jí)建立安全保護(hù)體系和責(zé)任制,加強(qiáng)制度建設(shè),加強(qiáng)安全建設(shè),全面加強(qiáng)管理,逐步實(shí)現(xiàn)信息系統(tǒng)安全管理工作的科學(xué)化、規(guī)范化。
第六條 動(dòng)態(tài)管理原則
網(wǎng)絡(luò)安全工作要按照系統(tǒng)工程的要求,注意各方面、各層次、各時(shí)期的相互協(xié)調(diào)、匹配和銜接,根據(jù)系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化,及時(shí)復(fù)查、修改、調(diào)整安全策略。
第七條 適度投資原則
網(wǎng)絡(luò)安全管理需要在投資與效益之間加以權(quán)衡。安全工作既要充分有效,又要適度投資,力爭(zhēng)取得綜合最佳的安全效果。
第八條 以人為本原則
加強(qiáng)人員的信息安全教育、培訓(xùn)和管理,強(qiáng)化安全意識(shí)和法治觀念,提升職業(yè)道德,掌握安全技術(shù),做好網(wǎng)絡(luò)安全管理工作。
第九條 最小特權(quán)原則
為網(wǎng)絡(luò)資源規(guī)定明確的使用權(quán)限,對(duì)系統(tǒng)的所有人員,按其職責(zé)劃定必要的最小的授權(quán)范圍,明確安全責(zé)任,通過(guò)技術(shù)和行政管理措施有效地阻止越權(quán)使用行為。
第四章
過(guò)程和方法
第十條 安全管理過(guò)程主要包括安全風(fēng)險(xiǎn)分析與評(píng)估、安全策略制定、安全需求分析、安全措施實(shí)施與監(jiān)理和生命周期管理等主要環(huán)節(jié)。
第十一條 風(fēng)險(xiǎn)分析與評(píng)估:網(wǎng)絡(luò)安全管理員負(fù)責(zé)我行網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析與評(píng)估工作,并提交風(fēng)險(xiǎn)分析與評(píng)估報(bào)告。
第十二條 安全策略制定:網(wǎng)絡(luò)安全管理員負(fù)責(zé)制定、完善網(wǎng)絡(luò)安全策略,提出網(wǎng)絡(luò)安全框架、管理方法,規(guī)定各部門要遵守的規(guī)范及責(zé)任,以調(diào)動(dòng)、協(xié)調(diào)和組織各方面的資源共同保障網(wǎng)絡(luò)系統(tǒng)的安全。
第十三條 安全需求分析:依據(jù)安全風(fēng)險(xiǎn)分析與評(píng)估報(bào)告以及安全策略,網(wǎng)絡(luò)安全管理員進(jìn)行系統(tǒng)的安全需求分析,保證網(wǎng)絡(luò)安全服務(wù)和安全機(jī)制的有效性和針對(duì)性,形成安全需求分析報(bào)告。
第十四條 安全措施實(shí)施與監(jiān)理:依據(jù)需求分析報(bào)告制定完備的實(shí)施方案,從實(shí)施的規(guī)范、流程、資金、進(jìn)度等方面進(jìn)行監(jiān)督與檢查,對(duì)實(shí)施過(guò)程進(jìn)行嚴(yán)格控制。
第十五條 生命周期管理:在計(jì)劃階段,通過(guò)風(fēng)險(xiǎn)分析明確安全需求,確定安全目標(biāo),制定安全策略,擬定安全要求的性能指標(biāo);在實(shí)施階段,依據(jù)安全要求選擇相應(yīng)的安全措施,采購(gòu)或設(shè)計(jì)安全系統(tǒng),根據(jù)工程要求實(shí)施和部署,并對(duì)安全措施進(jìn)行驗(yàn)證與驗(yàn)收、認(rèn)證與認(rèn)可;在運(yùn)行維護(hù)階段,通過(guò)檢查、檢測(cè)、審計(jì)和對(duì)風(fēng)險(xiǎn)變更的監(jiān)視和評(píng)估,保證運(yùn)行安全;在生命周期結(jié)束階段,對(duì)網(wǎng)絡(luò)系統(tǒng)和設(shè)備進(jìn)行安全處置。
第五章
設(shè)備安全管理
第十六條 為保證基于網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)可靠、穩(wěn)定、連續(xù)、高效運(yùn)行,場(chǎng)地和設(shè)施必須滿足網(wǎng)絡(luò)設(shè)備對(duì)環(huán)境的要求。
第十七條 對(duì)重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備,保證其正常運(yùn)行。
第十八條 終端設(shè)備安全管理
(1)使用人員應(yīng)愛(ài)護(hù)終端與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備(包括網(wǎng)卡、網(wǎng)線、集線器、調(diào)制解調(diào)器等),按規(guī)操作,不得對(duì)其實(shí)施人為損壞。
(2)終端使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置,杜絕一切影響網(wǎng)絡(luò)
正常運(yùn)行的行為發(fā)生。
(3)網(wǎng)絡(luò)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源。
第十八條 科技部指定專人負(fù)責(zé)網(wǎng)絡(luò)設(shè)施的安全工作,劃分安全區(qū)域,進(jìn)行分級(jí)管理,建立、健全網(wǎng)絡(luò)設(shè)施運(yùn)行監(jiān)控、巡檢等有關(guān)措施;對(duì)通信信道(X.25、DDN、幀中繼、光纖、撥號(hào)線等)、通信引接設(shè)備(調(diào)制解調(diào)器、光端機(jī)等)進(jìn)行監(jiān)控、巡檢。
第十九條 對(duì)業(yè)務(wù)系統(tǒng)使用的關(guān)鍵網(wǎng)絡(luò)設(shè)備建立嚴(yán)格的登記制度,保證設(shè)備購(gòu)置、安裝、調(diào)試、維護(hù)、維修、報(bào)廢等處置活動(dòng)安全可控。
第六章
網(wǎng)絡(luò)安全管理
第二十條 我行網(wǎng)絡(luò)分為內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和因特網(wǎng)。內(nèi)部網(wǎng)由行內(nèi)廣域網(wǎng)、局域網(wǎng)組成,為我行內(nèi)部辦公與開(kāi)展業(yè)務(wù)提供網(wǎng)絡(luò)服務(wù);外聯(lián)網(wǎng)指與國(guó)家有關(guān)部門和其他單位連接的網(wǎng)絡(luò);因特網(wǎng)用于與國(guó)際互聯(lián)網(wǎng)互聯(lián),實(shí)現(xiàn)對(duì)外業(yè)務(wù)信息服務(wù)和內(nèi)外信息交換。
第二十一條 內(nèi)聯(lián)網(wǎng)系統(tǒng)與因特網(wǎng)系統(tǒng)必須物理隔離。第二十二條 對(duì)通過(guò)公共通信設(shè)施傳輸?shù)闹匾獦I(yè)務(wù)信息實(shí)施加密,保證信息傳輸?shù)陌踩粚?duì)外進(jìn)行公共服務(wù)的信息系統(tǒng),采取嚴(yán)格的安全措施,保證外部用戶對(duì)特定服務(wù)的訪問(wèn)不危及內(nèi)部信息系統(tǒng)的安全;對(duì)從內(nèi)向外及從外到內(nèi)的連接資源(如電話撥號(hào)、ISDN、ADSL
聯(lián)網(wǎng)等)實(shí)施嚴(yán)格控制,建立健全管理制度,完善監(jiān)控手段。
第二十三條 網(wǎng)絡(luò)安全管理員應(yīng)盡可能地改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置,盡量減少安全漏洞。關(guān)閉不使用的服務(wù),對(duì)不同級(jí)別的網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的資源訪問(wèn)權(quán)限。
第二十四條 網(wǎng)絡(luò)安全管理員參與網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì),負(fù)責(zé)網(wǎng)絡(luò)安全設(shè)備、網(wǎng)管系統(tǒng)的維護(hù),網(wǎng)絡(luò)安全日志的收集和分析,網(wǎng)絡(luò)系統(tǒng)的安全檢查,保證網(wǎng)絡(luò)安全運(yùn)行。
第二十五條 網(wǎng)絡(luò)反病毒。病毒的危害性巨大,對(duì)系統(tǒng)和信息的破壞程度具有不可測(cè)性,計(jì)算機(jī)用戶和系統(tǒng)管理員應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)和殺毒技術(shù)。
第七章
運(yùn)行安全管理
第二十六條 網(wǎng)絡(luò)值班人員每日填寫各類運(yùn)行記錄,定期檢查系統(tǒng)日志文件,對(duì)系統(tǒng)安全進(jìn)行及時(shí)維護(hù),對(duì)存在的安全缺陷和漏洞及時(shí)控制和消除,對(duì)發(fā)生的安全事件,按照相應(yīng)的處置規(guī)程和應(yīng)急計(jì)劃進(jìn)行處理。
第二十七條 定期檢查備份、備用資源的可用性,保證在系統(tǒng)崩潰等特殊情況下,可將系統(tǒng)恢復(fù)至原始狀態(tài)或正常狀態(tài)。
第二十八條 網(wǎng)絡(luò)安全管理員應(yīng)制定網(wǎng)絡(luò)應(yīng)急、災(zāi)難恢復(fù)計(jì)劃及
相應(yīng)的實(shí)施規(guī)程,并進(jìn)行必要驗(yàn)證、演練。計(jì)劃包括緊急措施、硬件、軟件、人力等資源配備、恢復(fù)過(guò)程等。
第二十九條 網(wǎng)絡(luò)安全檢測(cè)。為使網(wǎng)絡(luò)長(zhǎng)期保持較高的安全水平,網(wǎng)絡(luò)安全管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)安全員在系統(tǒng)檢測(cè)完成后,應(yīng)編寫檢測(cè)報(bào)告,需詳細(xì)記敘檢測(cè)的對(duì)象、手段、結(jié)果、建議和實(shí)施的補(bǔ)救措施與安全策略。檢測(cè)報(bào)告存入系統(tǒng)檔案。
第八章 口令管理
第三十條 網(wǎng)絡(luò)系統(tǒng)口令每十五天更換一次,口令要無(wú)規(guī)則,重要口令要多于八位。
第三十一條 廠方調(diào)試人員調(diào)試維護(hù)完成后一小時(shí)內(nèi),關(guān)閉或修改其所用帳號(hào)和密碼。
第九章
人員管理
第三十條 根據(jù)最小特權(quán)原則,建立崗位責(zé)任制度和授權(quán)許可制度,明確有關(guān)人員安全職責(zé)和權(quán)限。
第三十一條 建立人員考核制度。定期從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、安全意識(shí)、循章守紀(jì)等方面對(duì)有關(guān)人員進(jìn)行考核。
第三十二條 對(duì)關(guān)鍵崗位的工作人員建立人員備用制度;關(guān)鍵崗位工作人員一旦辭職或調(diào)離,應(yīng)及時(shí)更換網(wǎng)絡(luò)管理系統(tǒng)口令,注銷其所有賬號(hào),撤銷其出入安全區(qū)域、接觸關(guān)鍵網(wǎng)絡(luò)設(shè)施的權(quán)限。
信息科技部
第二篇:醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全保密管理規(guī)定專題
醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全保密管理規(guī)定
1.0目的:
防止醫(yī)院的保密信息外瀉,保證網(wǎng)絡(luò)系統(tǒng)安全。2.0適用范圍:
適用于全院的電腦網(wǎng)絡(luò)系統(tǒng)。3.0工作內(nèi)容:
3.1不得擅自進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng),篡改他人信息;不得在網(wǎng)絡(luò)上散發(fā)惡意信息,冒用他人名義發(fā)出信息,侵犯他人隱私;不得制造、傳播計(jì)算機(jī)病毒及從事其它侵犯網(wǎng)絡(luò)和他人合法權(quán)益的活動(dòng)。
3.2網(wǎng)絡(luò)管理員、技術(shù)員和全院的計(jì)算機(jī)網(wǎng)絡(luò)用戶要加強(qiáng)保密意識(shí),網(wǎng)絡(luò)系統(tǒng)的相關(guān)密碼不能隨便泄露。如有技術(shù)人員調(diào)離本單位,應(yīng)及時(shí)把其網(wǎng)絡(luò)權(quán)限刪除。
3.3系統(tǒng)管理員定期進(jìn)行網(wǎng)絡(luò)安全工作情況檢查,對(duì)全體使用本系統(tǒng)的人員定期進(jìn)行網(wǎng)絡(luò)安全教育。
3.4系統(tǒng)管理員要嚴(yán)格控制各網(wǎng)絡(luò)用戶的權(quán)限,保護(hù)好網(wǎng)絡(luò)系統(tǒng)的密碼文件和用戶資料。3.5對(duì)計(jì)算機(jī)系統(tǒng),必須設(shè)定多級(jí)系統(tǒng)維護(hù)口令,信息中心主任指定專門系統(tǒng)維護(hù)員。一般維護(hù)口令設(shè)為三級(jí):一級(jí)維護(hù)包括網(wǎng)絡(luò)系統(tǒng)及后臺(tái)數(shù)據(jù)庫(kù)的維護(hù);二級(jí)維護(hù)包括應(yīng)用程序及應(yīng)用程序的代碼數(shù)據(jù)的維護(hù);三級(jí)維護(hù)包括前臺(tái)用戶操作系統(tǒng)級(jí)硬件維護(hù)。
3.6系統(tǒng)管理員定期檢查系統(tǒng)的運(yùn)行情況,需對(duì)系統(tǒng)進(jìn)行維護(hù)與改動(dòng)時(shí),必須采取數(shù)據(jù)保護(hù)措施,以確保各類業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確完好,重要數(shù)據(jù)要進(jìn)行備份,以便在必要情況下進(jìn)行數(shù)據(jù)恢復(fù)。
3.7重要的數(shù)據(jù)文件必須多份拷貝并異地分別存放。
3.8 涉外的設(shè)備維修或借調(diào),必須按規(guī)定的處置流程,徹底地把相關(guān)設(shè)備的敏感數(shù)據(jù)、保密數(shù)據(jù)的進(jìn)行安全備份以及防泄漏處理。3.9必須定期升級(jí)殺毒軟件極其病毒代碼。
3.9嚴(yán)禁擅自修改計(jì)算機(jī)固有的硬件信息以及軟件系統(tǒng)的原有信息(如注冊(cè)表信息、文件共享設(shè)置、IP地址等)。
3.10未經(jīng)允許,嚴(yán)禁私自安裝軟件。3.11 院內(nèi)工作站不得同時(shí)連接內(nèi)外網(wǎng)絡(luò)。
第三篇:網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全管理規(guī)定
**公司
網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全管理規(guī)定
第一章 總 則
第一條 為貫徹《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)最大限度地消除互聯(lián)網(wǎng)應(yīng)用風(fēng)險(xiǎn)和隱患,提高**公司網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全防護(hù)水平,保障網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全和穩(wěn)定運(yùn)行,特結(jié)合**公司實(shí)際制定本規(guī)定。
第二條 把網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全納入公司發(fā)展規(guī)劃和預(yù)算管理。確立網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全在公司發(fā)展中的重要地位,將網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全預(yù)算資金集中投入,統(tǒng)一管理,專款專用。
第三條 加強(qiáng)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全隊(duì)伍建設(shè),將人才培養(yǎng)與推進(jìn)信息化安全結(jié)合起來(lái),提高全員信息化應(yīng)用安全水平。
第四條 制訂公司全員信息化安全管理和應(yīng)用培訓(xùn)計(jì)劃,開(kāi)展信息化安全應(yīng)用相關(guān)培訓(xùn),不斷提高公司對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全的認(rèn)識(shí)和應(yīng)用水平。
第五條 本規(guī)定基本內(nèi)容包括:網(wǎng)絡(luò)管理、設(shè)備管理、系統(tǒng)安全管理、機(jī)房管理、數(shù)據(jù)安全管理、信息安全管理、應(yīng)急處理。
第二章 網(wǎng)絡(luò)管理
第六條 建立網(wǎng)絡(luò)管理臺(tái)賬,掌握本單位的網(wǎng)絡(luò)結(jié)構(gòu)及終端的接入情況,做到條理清楚、管理到位。
(一)所有網(wǎng)絡(luò)設(shè)備(包括防火墻、路由器、交換機(jī)等)應(yīng)歸**部統(tǒng)一管理,其安裝、維護(hù)等操作應(yīng)由**部工作人員進(jìn)行,其他任何人不得破壞或擅自進(jìn)行維修和修改。同時(shí),登錄網(wǎng)絡(luò)設(shè)備密碼應(yīng)遵循復(fù)雜性原則,且位數(shù)應(yīng)不低于8位。
(二)建立租用鏈路管理臺(tái)賬,包含但不局限于以下內(nèi)容:鏈路供應(yīng)商、本端接口、對(duì)端、技術(shù)參數(shù)等日常維護(hù)信息。
(三)建立網(wǎng)絡(luò)拓樸圖,標(biāo)注線路連接、設(shè)備功能、IP地址、子網(wǎng)掩碼、出口網(wǎng)關(guān)等常用管理信息。
(四)局域網(wǎng)原則上應(yīng)實(shí)行靜態(tài)IP管理,IP地址由**部統(tǒng)一分配,并制定“IP地址分配表”,記錄IP地址使用人、MAC地址、電腦操作系統(tǒng)等信息。
(五)IP地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源,公司員工應(yīng)在**部的規(guī)劃下使用這些資源,不應(yīng)擅自更改。
(六)公司內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)部分的擴(kuò)展應(yīng)經(jīng)過(guò)**部批準(zhǔn),未經(jīng)許可任何部門不應(yīng)私自將交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)。
(七)**部負(fù)責(zé)不定時(shí)查看網(wǎng)絡(luò)運(yùn)行情況,如網(wǎng)絡(luò)出現(xiàn)異常時(shí)及時(shí)采取措施進(jìn)行處理。
(八)公司網(wǎng)絡(luò)安全應(yīng)嚴(yán)格執(zhí)行國(guó)家《網(wǎng)絡(luò)安全法》,對(duì)在網(wǎng)絡(luò)上(包括內(nèi)網(wǎng)和外網(wǎng))從事任何有悖網(wǎng)絡(luò)安全法律法規(guī)的活動(dòng)者,將視其情節(jié)輕重交有關(guān)部門或公安機(jī)關(guān)處理。
第三章 設(shè)備管理
第七條 做好日常維護(hù)和保養(yǎng),掌握正確的操作使用方法和規(guī)程,減少設(shè)備的故障率,確保設(shè)備能夠正常和可靠運(yùn)行。
(一)建立設(shè)備管理臺(tái)賬,應(yīng)包含以下內(nèi)容:設(shè)備型號(hào)、序列號(hào)、設(shè)備配置、技術(shù)參數(shù)、運(yùn)行時(shí)間、保修期限等日常維護(hù)信息;
(二)服務(wù)器電源應(yīng)保證冗余電源,有條件的情況下采用雙路電源接入。對(duì)于運(yùn)行重要應(yīng)用系統(tǒng)的服務(wù)器設(shè)備,還應(yīng)配備不間斷(UPS)電源,以避免非常規(guī)斷電造成服務(wù)器設(shè)備的物理?yè)p壞。UPS負(fù)載必須保持在總負(fù)荷80%以下,并且定期對(duì)UPS設(shè)備進(jìn)行檢測(cè),確保設(shè)備運(yùn)行正常和有效;
(三)相關(guān)管理人員應(yīng)定期對(duì)各設(shè)備進(jìn)行巡檢,查看設(shè)備運(yùn)行日志,監(jiān)測(cè)設(shè)備,并填寫“巡檢情況記錄”;
(四)嚴(yán)禁撕毀、涂畫或遮蓋IT設(shè)備標(biāo)簽,或未經(jīng)**部備案擅自調(diào)整部門內(nèi)部計(jì)算機(jī)信息系統(tǒng)的配置;
(五)計(jì)算機(jī)終端用戶因主觀操作不當(dāng)導(dǎo)致設(shè)備、設(shè)施損壞,應(yīng)承擔(dān)相應(yīng)修復(fù)費(fèi)用,不能修復(fù)的應(yīng)按所損壞設(shè)備、設(shè)施的市場(chǎng)價(jià)值予以賠償;蓄意破壞設(shè)備、設(shè)施的,除照價(jià)賠償外,還應(yīng)視情節(jié)嚴(yán)重給予行政處罰;
(六)終端設(shè)備,特別是筆記本電腦等移動(dòng)設(shè)備應(yīng)采用實(shí)名制,不得贈(zèng)送、出借、出售給他人使用。
第四章 系統(tǒng)安全管理
第八條 系統(tǒng)安全管理應(yīng)充分利用現(xiàn)有資源,完善相關(guān)的管理制度和流程,保證安全系統(tǒng)有效、穩(wěn)定和可靠運(yùn)行。
(一)設(shè)置防火墻安全策略時(shí),應(yīng)考慮隔離病毒傳播、非授權(quán)訪問(wèn)的通道等方面的內(nèi)容,而且策略應(yīng)注明用途,避免冗余策略的產(chǎn)生;
(二)按照不同的訪問(wèn)權(quán)限,在核心交換機(jī)、路由器設(shè)置不同的訪問(wèn)控制策略;
(三)不定期開(kāi)展對(duì)服務(wù)器進(jìn)行安全掃描,針對(duì)發(fā)現(xiàn)的漏洞及時(shí)補(bǔ)漏加固。
(四)移動(dòng)存儲(chǔ)設(shè)備(優(yōu)盤、移動(dòng)硬盤等)必須進(jìn)行病毒掃描確認(rèn)無(wú)毒后,方能接入服務(wù)器;
(五)各應(yīng)用系統(tǒng)管理員登錄密碼應(yīng)遵循密碼復(fù)雜度原則,且位數(shù)不應(yīng)少于8位;
(七)定期查看各應(yīng)用系統(tǒng)、終端操作系統(tǒng)相關(guān)安全公告,根據(jù)需要下載操作系統(tǒng)相關(guān)補(bǔ)丁安裝包,進(jìn)行測(cè)試后對(duì)服務(wù)器進(jìn)行升級(jí);
(八)禁止在機(jī)房服務(wù)器上安裝與系統(tǒng)應(yīng)用無(wú)關(guān)的軟件,并且安裝軟件要確認(rèn)安裝包的安全性,安裝和卸載軟件應(yīng)做好相應(yīng)記錄;
(九)公司員工應(yīng)定期對(duì)所配備的計(jì)算機(jī)終端的操作系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新,并定期進(jìn)行病毒查殺;
(十)公司員工應(yīng)妥善保管根據(jù)職責(zé)權(quán)限所掌握的各類辦公賬號(hào)和密碼,嚴(yán)禁隨意向他人泄露和借用;
(十一)經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù),必須經(jīng)過(guò)安全檢測(cè)確認(rèn)無(wú)病毒后方可安裝和使用;
(十二)定期組織災(zāi)難恢復(fù)演習(xí),提高相關(guān)管理人員的應(yīng)急反應(yīng)能力,確保恢復(fù)過(guò)程安全、迅速和有效;
(十三)重大節(jié)假日之前,相關(guān)人員應(yīng)對(duì)網(wǎng)絡(luò)、各應(yīng)用系統(tǒng)進(jìn)行巡檢,確保節(jié)假日期間網(wǎng)絡(luò)和各應(yīng)用系統(tǒng)運(yùn)行安全、穩(wěn)定和有效。
第五章 機(jī)房管理
第九條 對(duì)機(jī)房進(jìn)行科學(xué)、規(guī)范管理,確保計(jì)算機(jī)網(wǎng)絡(luò)、各應(yīng)用系統(tǒng)安全、高效和穩(wěn)定運(yùn)行。
(一)采取措施確保機(jī)房設(shè)備物理安全;
(二)機(jī)房溫、濕度達(dá)到《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》國(guó)家標(biāo)準(zhǔn)(GB50174-93)要求;
(三)未經(jīng)公司授權(quán)且機(jī)房管理人員在場(chǎng)監(jiān)督,任何人不得自行配置、更換或挪用機(jī)房?jī)?nèi)的路由器、交換機(jī)和服務(wù)器以及其他通信設(shè)備等;
(四)嚴(yán)禁攜帶易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無(wú)關(guān)的物品進(jìn)入機(jī)房;
(五)機(jī)房定期做好清潔除塵工作,未經(jīng)機(jī)房管理人員同意嚴(yán)禁無(wú)關(guān)人員進(jìn)入機(jī)房。
第六章 數(shù)據(jù)安全管理
第十條 高度重視各類數(shù)據(jù)備份的重要性,制定備份策略,并定期進(jìn)行恢復(fù)檢查,確保備份數(shù)據(jù)的安全和有效。
(一)服務(wù)器磁盤采用冗余磁盤陣列(RAID)容錯(cuò)方式,以避免磁盤因物理?yè)p壞而造成數(shù)據(jù)丟失;
(二)制定數(shù)據(jù)備份策略,對(duì)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、文件進(jìn)行備份,根據(jù)數(shù)據(jù)重要性、更新頻率要求設(shè)置備份頻率;
(三)定期對(duì)備份數(shù)據(jù)進(jìn)行還原測(cè)試,確保備份數(shù)據(jù)的安全性和有效性;
(四)計(jì)算機(jī)終端用戶必須將重要數(shù)據(jù)存放在計(jì)算機(jī)硬盤中除系統(tǒng)盤分區(qū)(一般是 C盤)外的硬盤分區(qū)。計(jì)算機(jī)信息系統(tǒng)發(fā)生故障,應(yīng)及時(shí)與**部聯(lián)系并采取相應(yīng)數(shù)據(jù)保護(hù)措施;
(五)計(jì)算機(jī)終端用戶未做好備份前不能刪除任何硬盤數(shù)據(jù)。對(duì)重要的數(shù)據(jù)必須準(zhǔn)備雙份,存放在不同的地點(diǎn);對(duì)采用光盤等介質(zhì)保存的數(shù)據(jù),必須做好防火、防潮和防塵工作,并定期進(jìn)行檢查、復(fù)制,防止介質(zhì)損壞,丟失數(shù)據(jù)。
第七章 信息安全管理
第十一條 加強(qiáng)涉密信息的安全管理工作,嚴(yán)格落實(shí)內(nèi)、外網(wǎng)物理隔離,做到“涉密不上網(wǎng),上網(wǎng)不涉密”。
(一)對(duì)涉密的設(shè)備運(yùn)行和使用情況進(jìn)行定期檢查;
(二)涉密的電腦不得接入局域網(wǎng),更不能直接接入互聯(lián)網(wǎng)使用。涉密電腦因工作需要必須接入內(nèi)網(wǎng)或者互聯(lián)網(wǎng)時(shí),原使用者應(yīng)進(jìn)行資料清理后再進(jìn)行使用;
(三)涉密電腦密碼不得向無(wú)關(guān)人員泄露,必須定期進(jìn)行更換,原則上至少每半年更換一次,而且密碼應(yīng)具有一定復(fù)雜性;
(四)規(guī)范和細(xì)化存儲(chǔ)介質(zhì)的使用范圍,如用于處理敏感信息的存儲(chǔ)介質(zhì),不應(yīng)處理和傳輸涉密信息,更不得在連接互聯(lián)網(wǎng)的計(jì)算機(jī)上使用;
(五)員工具有信息保密的義務(wù)。任何人不應(yīng)利用計(jì)算機(jī)網(wǎng)絡(luò)泄漏公司機(jī)密、技術(shù)資料和其它保密資料;
(六)計(jì)算機(jī)終端用戶計(jì)算機(jī)內(nèi)的資料涉及公司機(jī)密的,須為計(jì)算機(jī)設(shè)定開(kāi)機(jī)密碼或?qū)⑽募用埽环采婕肮緳C(jī)密的數(shù)據(jù)或文件,非工作需要不得以任何形式轉(zhuǎn)移,更不得透露給他人。離開(kāi)原工作崗位的員工由所在部門負(fù)責(zé)人將其所有工作資料收回并保存;
(七)嚴(yán)禁外來(lái)人員對(duì)計(jì)算機(jī)數(shù)據(jù)和文件進(jìn)行拷貝或抄寫以免泄漏公司機(jī)密,對(duì)公司各應(yīng)用系統(tǒng)登錄賬號(hào)不得相互知曉,每個(gè)人必須保證自己帳號(hào)的唯一登陸性,否則由此產(chǎn)生的數(shù)據(jù)安全問(wèn)題由其本人負(fù)全部責(zé)任。
第八章 應(yīng)急處理
第十二條 制定網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案,明確責(zé)任,日常管理及日常處置的應(yīng)急要求。當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí),及時(shí)啟動(dòng)應(yīng)急處理程序,調(diào)動(dòng)有關(guān)資源作出響應(yīng),降低安全事件對(duì)網(wǎng)絡(luò)運(yùn)行的影響。
(一)當(dāng)黑客攻擊時(shí)的應(yīng)急處理措施
1、當(dāng)發(fā)現(xiàn)服務(wù)器內(nèi)容被篡改,或通過(guò)防火墻發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí),首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來(lái),同時(shí)向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組匯報(bào)情況;
2、網(wǎng)絡(luò)管理員負(fù)責(zé)被破壞系統(tǒng)的恢復(fù)與重建工作;
3、故障排除后,盡快恢復(fù)網(wǎng)絡(luò)連接。
(二)病毒安全應(yīng)急處理措施
1、當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中有計(jì)算機(jī)感染病毒后,立即將該機(jī)從網(wǎng)絡(luò)上隔離出來(lái);
2、對(duì)設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份;
3、啟用殺毒程序進(jìn)行殺毒處理,同時(shí)進(jìn)行全網(wǎng)查毒,對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作;
4、如發(fā)現(xiàn)殺毒程序無(wú)法清除該病毒,應(yīng)作好相關(guān)記錄,同時(shí)立即向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組報(bào)告,并迅速聯(lián)系有關(guān)產(chǎn)品供應(yīng)商進(jìn)行溝通、研究和解決。
(三)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)急處理措施
1、如發(fā)現(xiàn)是數(shù)據(jù)庫(kù)故障導(dǎo)致應(yīng)用系統(tǒng)不能運(yùn)行,由應(yīng)用系統(tǒng)相關(guān)部門應(yīng)用管理員負(fù)責(zé)查找故障原因,并進(jìn)行恢復(fù);
2、如問(wèn)題不能解決,應(yīng)聯(lián)系應(yīng)用系統(tǒng)服務(wù)商進(jìn)行技術(shù)支持或現(xiàn)場(chǎng)服務(wù);
3、如服務(wù)商也無(wú)法解決故障,啟用備份恢復(fù)系統(tǒng),將數(shù)據(jù)庫(kù)恢復(fù)至最近的備份時(shí)間點(diǎn);
4、故障排除后,應(yīng)恢復(fù)應(yīng)用系統(tǒng),并進(jìn)行驗(yàn)證性測(cè)試。
(四)應(yīng)用系統(tǒng)應(yīng)急處理措施
1、如發(fā)現(xiàn)是應(yīng)用系統(tǒng)軟件故障導(dǎo)致應(yīng)用系統(tǒng)不能運(yùn)行,由相關(guān)部門應(yīng)用系統(tǒng)管理員查找故障原因,并進(jìn)行恢復(fù);
2、如應(yīng)用系統(tǒng)管理員不能解決故障,應(yīng)立即聯(lián)系應(yīng)用系統(tǒng)開(kāi)發(fā)商進(jìn)行技術(shù)支持或進(jìn)行現(xiàn)場(chǎng)服務(wù);
3、如開(kāi)發(fā)商也無(wú)法解決故障,啟用備份恢復(fù)系統(tǒng),將應(yīng)用系統(tǒng)恢復(fù)至最近的備份時(shí)間點(diǎn);
4、故障排除后,應(yīng)恢復(fù)應(yīng)用系統(tǒng),并進(jìn)行驗(yàn)證測(cè)試。
(五)互聯(lián)網(wǎng)線路中斷應(yīng)急處理措施
1、網(wǎng)絡(luò)管理員發(fā)現(xiàn)問(wèn)題或接到報(bào)告后,應(yīng)迅速判斷故障節(jié)點(diǎn),查明故障原因;
2、如屬公司管轄范圍,由網(wǎng)絡(luò)管理員采取相應(yīng)措施第一時(shí)間予以恢復(fù)。如遇無(wú)法恢復(fù)情況,應(yīng)向有關(guān)設(shè)備廠商尋求支持;
3、如屬網(wǎng)絡(luò)鏈路運(yùn)營(yíng)商管轄范圍,應(yīng)立即與網(wǎng)絡(luò)鏈路運(yùn)營(yíng)商相關(guān)人員聯(lián)系,進(jìn)行故障報(bào)修,尋求盡快修復(fù),并對(duì)修復(fù)進(jìn)展進(jìn)行實(shí)時(shí)跟進(jìn);
4、故障排除后,應(yīng)恢復(fù)網(wǎng)絡(luò)連接,并進(jìn)行測(cè)試,保證網(wǎng)絡(luò)穩(wěn)定、正常運(yùn)行。
第九章 附則
第十三條 本規(guī)定由**公司**部制定并負(fù)責(zé)解釋。
第十四條 本規(guī)定自發(fā)布之日起實(shí)施。
第四篇:系統(tǒng)安全管理規(guī)定
全國(guó)國(guó)土資源信息網(wǎng)絡(luò) 系統(tǒng)安全管理規(guī)定(試行)
國(guó)土資源部信息中心
二〇〇二年
目錄
第一章 第二章 第三章 第四章 第五章 第六章 第七章
總則……………………………………………………3 物理安全管理…………………………………………3 網(wǎng)絡(luò)系統(tǒng)安全管理……………………………………5 信息安全管理…………………………………………7 口令管理………………………………………………9 人員組織管理………………………………10 附則…………………………………………12 1 全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)
安全管理規(guī)定
本規(guī)定由國(guó)土資源部信息中心提出。本規(guī)定由國(guó)土資源部歸口。
本規(guī)定起草單位:國(guó)土資源部信息中心。
本規(guī)定主要起草人:周俊杰、李曉波、劉志剛、葉興茂、祝孔強(qiáng)、咸容禹
本規(guī)范于2002年3月1日首次發(fā)布。本規(guī)范由國(guó)土資源部信息中心負(fù)責(zé)解釋。
第一章
總
則
第一條
為了保證全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)的安全,根據(jù)中華人民共和國(guó)有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法律、法規(guī)和安全規(guī)定,結(jié)合全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的實(shí)際情況,特制定本規(guī)定。
第二條
各單位應(yīng)據(jù)此制訂具體的安全管理規(guī)定。
第三條
本規(guī)定所指的信息網(wǎng)絡(luò)系統(tǒng),是指由計(jì)算機(jī)(包括相關(guān)和配套設(shè)備)為終端設(shè)備,利用計(jì)算機(jī)、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集、處理、存儲(chǔ)和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。
第四條
本規(guī)定適用于國(guó)土資源部所屬的網(wǎng)絡(luò)系統(tǒng)、單機(jī),以及下屬單位通過(guò)其他方式接入到國(guó)土資源部網(wǎng)絡(luò)系統(tǒng)的單機(jī)和局域網(wǎng)系統(tǒng)。
第五條
接入范圍。可以接入國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)的單位包括:國(guó)土資源部公務(wù)員辦公系統(tǒng)、部所屬在京直屬單位、各省、自治區(qū)、直轄市、計(jì)劃單列市的國(guó)土資源政府管理機(jī)構(gòu)和國(guó)土資源部批準(zhǔn)的其他單位。
第六條
信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù),在實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上,保護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。
第二章
物理安全管理
第七條
物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故與人為操作失誤或錯(cuò)誤,以及計(jì)算機(jī)犯罪行為而導(dǎo)致的破壞。
第八條
為了保障信息網(wǎng)絡(luò)系統(tǒng)的物理安全,對(duì)系統(tǒng)所在環(huán)境的安全保護(hù),應(yīng)遵守國(guó)家標(biāo)準(zhǔn)GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361-88《計(jì)算站場(chǎng)地安全要求》。
第九條
網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施,包括防盜、防毀、防電磁干擾等,并定期或不定期地進(jìn)行檢查。
第十條
對(duì)重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備,保證其正常運(yùn)行。
第十一條
全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)所使用的鏈路必須符合國(guó)家相關(guān)的技術(shù)標(biāo)準(zhǔn)和規(guī)定。
第十二條
鏈路安全包括鏈路本身的物理安全和鏈路上所傳輸?shù)男畔⒌陌踩N锢戆踩告溌返奈锢斫橘|(zhì)符合國(guó)家的技術(shù)標(biāo)準(zhǔn),安裝架設(shè)符合國(guó)家相關(guān)建設(shè)規(guī)范,具有穩(wěn)定、安全、可靠的使用性。傳輸信息的安全是指?jìng)鬏敳煌芗?jí)信息的鏈路采用相應(yīng)級(jí)別的密碼技術(shù)和設(shè)備或其他技術(shù)措施,保障所傳輸信息具有可靠的反截獲、反破譯和反篡改能力。
第十三條
鏈路安全主要采取密碼技術(shù),用于傳輸涉及國(guó)家秘密的鏈路必須使用中辦機(jī)要局認(rèn)可的密碼技術(shù)和設(shè)備。
第十四條
鏈路加密措施的申請(qǐng)遵照國(guó)家《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》執(zhí)行。
第十五條
涉密系統(tǒng)單位須依據(jù)國(guó)家的有關(guān)規(guī)定和法律法規(guī)建立保密管理制度。
第十六條
客戶機(jī)的物理安全管理
(一)客戶機(jī)指所有連接到國(guó)土資源部信息網(wǎng)絡(luò)系統(tǒng)的個(gè)人計(jì)算機(jī)、工作站、服務(wù)器、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備;
(二)使用人員應(yīng)愛(ài)護(hù)客戶機(jī)及與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備(包括網(wǎng)卡、網(wǎng)線、集線器、調(diào)制解調(diào)器等),按規(guī)操作,不得對(duì)其實(shí)施 4 人為損壞;
(三)客戶機(jī)使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置,杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生;
(四)網(wǎng)絡(luò)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源;
(五)客戶機(jī)使用人員不得利用客戶機(jī)進(jìn)行違法活動(dòng)。第十七條
緊急情況
(一)火災(zāi)發(fā)生。切斷電源,迅速報(bào)警,根據(jù)火情,選擇正確的滅火方式滅火;
(二)水災(zāi)發(fā)生。切斷電源,迅速報(bào)告有關(guān)部門,盡可能地弄清水災(zāi)原因,采取關(guān)閉閥門、排水、堵漏、防洪等措施;
(三)地震發(fā)生。切斷電源,避免引發(fā)短路和火災(zāi);
(四)密碼設(shè)備丟失。根據(jù)中辦的有關(guān)規(guī)定處理。
第三章
網(wǎng)絡(luò)系統(tǒng)安全管理
第十八條
網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括五個(gè)方面: 機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程;
完整性:未經(jīng)授權(quán)的人不能修改數(shù)據(jù),只有得到允許的人才能修改數(shù)據(jù),并且能夠分辨出被篡改的數(shù)據(jù)。
可用性:得到授權(quán)的實(shí)體在合法的范圍內(nèi)可以隨時(shí)隨地訪問(wèn)數(shù)據(jù),網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用。
可控性:可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。可審查性:一旦出現(xiàn)安全問(wèn)題,網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段。
第十九條
涉及國(guó)家機(jī)密、部門敏感信息的局域網(wǎng)的安全標(biāo)準(zhǔn)不得低于中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分 5 準(zhǔn)則》(GB 17859-1999)中規(guī)定的第二級(jí)-系統(tǒng)審計(jì)保護(hù)級(jí)。
第二十條
根據(jù)有關(guān)規(guī)定以及我國(guó)目前的安全技術(shù)水平,內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)與外部公共信息網(wǎng)絡(luò)系統(tǒng)必須物理隔離。
第二十一條
接入INTERNET公共信息網(wǎng)的重要信息網(wǎng)絡(luò)系統(tǒng)須安裝防火墻或其他安全設(shè)備。入網(wǎng)的安全設(shè)備必須具有國(guó)家保密局、公安部、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的技術(shù)鑒定、銷售許可和產(chǎn)品評(píng)測(cè)等資質(zhì),并符合國(guó)家的相關(guān)規(guī)定。
第二十二條
網(wǎng)絡(luò)管理員應(yīng)盡可能地改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置,盡量減少安全漏洞。關(guān)閉不使用的服務(wù),對(duì)不同級(jí)別的網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的資源訪問(wèn)權(quán)限。重要網(wǎng)絡(luò)系統(tǒng)的安全配置應(yīng)達(dá)到中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999)中規(guī)定的第二級(jí)-系統(tǒng)審計(jì)保護(hù)級(jí)以上。
第二十三條
網(wǎng)絡(luò)管理員應(yīng)當(dāng)做好系統(tǒng)記錄,定期檢查,發(fā)現(xiàn)問(wèn)題,及時(shí)解決。
第二十四條
重要的信息網(wǎng)絡(luò)系統(tǒng)自運(yùn)行開(kāi)始必須作好備份與恢復(fù)等應(yīng)急措施,一旦系統(tǒng)出現(xiàn)問(wèn)題能夠及時(shí)恢復(fù)正常。網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)的技術(shù)規(guī)劃、實(shí)施和操作,并作好詳細(xì)的記錄。
第二十五條
管理員應(yīng)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)中進(jìn)行系統(tǒng)運(yùn)行記錄(Log)和數(shù)據(jù)庫(kù)運(yùn)行記錄(Data Base Log)的轉(zhuǎn)儲(chǔ)保存以備查。
第二十六條
重要大型數(shù)據(jù)庫(kù)必須運(yùn)行于專門的服務(wù)器或工作站上,并異地備份。
第二十七條
網(wǎng)絡(luò)安全檢測(cè)。為使網(wǎng)絡(luò)長(zhǎng)期保持較高的安全水平,網(wǎng)絡(luò)管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)管理員在系統(tǒng)檢測(cè)完成后,應(yīng)編寫檢測(cè)報(bào)告,需詳細(xì)記敘檢測(cè)的對(duì)象、手段、結(jié)果、建議和實(shí)施 6 的補(bǔ)救措施與安全策略。檢測(cè)報(bào)告存入系統(tǒng)檔案。
第二十八條
網(wǎng)絡(luò)反病毒。病毒的危害性巨大,對(duì)系統(tǒng)和信息的破壞程度具有不可測(cè)性,計(jì)算機(jī)用戶和系統(tǒng)管理員應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)和殺毒技術(shù)。
第四章
信息安全管理
第二十九條
信息安全是指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)和密碼技術(shù),保護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。具體包括以下幾個(gè)方面。
(一)信息處理和傳輸系統(tǒng)的安全
系統(tǒng)管理員應(yīng)對(duì)處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù),避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
(二)信息內(nèi)容的安全
側(cè)重于保護(hù)信息的機(jī)密性、完整性和真實(shí)性。系統(tǒng)管理員應(yīng)對(duì)所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評(píng)測(cè),采取技術(shù)措施對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救,防止竊取、冒充信息等。
(三)信息傳播安全
要加強(qiáng)對(duì)信息的審查,防止和控制非法、有害的信息通過(guò)我部的信息網(wǎng)絡(luò)系統(tǒng)傳播,避免對(duì)國(guó)家利益、公共利益以及個(gè)人利益造成損害。
第三十條
國(guó)土資源部涉及國(guó)家秘密信息的安全工作實(shí)行首長(zhǎng)負(fù)責(zé)制。國(guó)土資源部所屬單位涉及國(guó)家秘密信息的安全工作實(shí)行單位一把手負(fù)責(zé)制。
第三十一條
信息的內(nèi)部管理
(一)各單位在向部網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒、殺毒工 7 作,確保信息文件無(wú)毒上載;
(二)根據(jù)情況,采取網(wǎng)絡(luò)病毒監(jiān)測(cè)、查毒、殺毒等技術(shù)措施,提高網(wǎng)絡(luò)的整體抗病毒能力;
(三)各應(yīng)用單位對(duì)本單位所負(fù)責(zé)的信息必須作好備份;
(四)各單位應(yīng)對(duì)本單位的信息進(jìn)行審查,各網(wǎng)站和欄目信息的負(fù)責(zé)單位必須對(duì)所發(fā)布信息制定審查制度,對(duì)信息來(lái)源的合法性,發(fā)布范圍,信息欄目維護(hù)的負(fù)責(zé)人等作出明確的規(guī)定。信息發(fā)布后還要隨時(shí)檢查信息的完整性、合法性;如發(fā)現(xiàn)被刪改,應(yīng)及時(shí)報(bào)告辦公廳和信息中心;
(五)涉及國(guó)家秘密的信息的存儲(chǔ)、傳輸?shù)葢?yīng)指定專人負(fù)責(zé),并嚴(yán)格按照國(guó)家有關(guān)保密的法律、法規(guī)執(zhí)行;
(六)涉及國(guó)家秘密的土地、礦產(chǎn)資源、海洋、測(cè)繪等信息,未經(jīng)所屬單位安全主管負(fù)責(zé)人的批準(zhǔn)不得在網(wǎng)絡(luò)上發(fā)布和明碼傳輸;
(七)個(gè)人計(jì)算機(jī)中的涉密文件不可設(shè)置為共享,個(gè)人電子郵件的收發(fā)要實(shí)行病毒查殺。
第三十二條
信息加密
(一)涉及國(guó)家秘密的信息,其電子文檔資料須加密存儲(chǔ);
(二)涉及國(guó)家和部門利益的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ);
(三)涉及社會(huì)安定的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ);
(四)涉及國(guó)家秘密、國(guó)家與部門利益和社會(huì)安定的秘密信息和敏感信息在傳輸過(guò)程中視情況及國(guó)家的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。
第三十三條
任何單位和個(gè)人不得從事以下活動(dòng):
(一)利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息;
(二)入侵他人計(jì)算機(jī);
(三)未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開(kāi)的信息;
(四)未經(jīng)授權(quán)對(duì)信息網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序)進(jìn)行增加、修改、復(fù)制和刪除等;
(五)未經(jīng)授權(quán)查閱他人郵件;
(六)盜用他人名義發(fā)送電子郵件;
(七)故意干擾網(wǎng)絡(luò)的暢通運(yùn)行;
(八)從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)。
第五章
口令管理
第三十四條
具有口令功能的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理國(guó)家秘密信息,必須使用口令對(duì)用戶的身份進(jìn)行驗(yàn)證和確認(rèn)。對(duì)于重要網(wǎng)絡(luò)系統(tǒng),使用單位要有專職或兼職系統(tǒng)保密員,負(fù)責(zé)日常的口令管理工作。
第三十五條
系統(tǒng)保密員負(fù)責(zé)給新增加的用戶分配初始口令;指導(dǎo)用戶正確使用口令;檢查用戶使用口令情況;幫助用戶開(kāi)啟被鎖定的口令,對(duì)非法操作及時(shí)查明原因;解決口令使用過(guò)程中出現(xiàn)的問(wèn)題;協(xié)助用戶保護(hù)國(guó)家秘密不受侵害;定期向主管領(lǐng)導(dǎo)和單位保密機(jī)構(gòu)匯報(bào)口令使用情況和需要解決的問(wèn)題。
第三十六條
定期更換口令。口令的最長(zhǎng)使用時(shí)間不能超過(guò)半年,在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短口令的使用時(shí)間。當(dāng)口令使用期滿時(shí),應(yīng)更換新的口令。
第三十七條
系統(tǒng)保密員必須有能力更改口令。當(dāng)口令使用期滿、被其他人知悉或認(rèn)為口令不保密時(shí),系統(tǒng)保密員可按照口令更改程序變換口令。口令更換操作應(yīng)在保密條件下進(jìn)行。
第三十八條
對(duì)口令數(shù)據(jù)庫(kù)的訪問(wèn)和存取必須加以控制,以防止口令被非法修改或泄露。
當(dāng)系統(tǒng)提供的訪問(wèn)和存取控制機(jī)制不夠完善時(shí)或機(jī)制雖然完善,9 但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲(chǔ)等情況時(shí),應(yīng)對(duì)存儲(chǔ)的口令加密。
第三十九條
口令的密級(jí)與系統(tǒng)處理國(guó)家秘密信息的密級(jí)相同。根據(jù)《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》第十七條的規(guī)定,涉密系統(tǒng)的身份認(rèn)證應(yīng)當(dāng)符合以下要求:
(一)口令應(yīng)當(dāng)由系統(tǒng)安全保密管理人員集中產(chǎn)生供用戶選用,并有口令更換記錄,不得由用戶產(chǎn)生;
(二)處理秘密級(jí)信息的系統(tǒng)口令長(zhǎng)度不得少于六個(gè)字符,口令更換周期不得長(zhǎng)于一個(gè)月;處理機(jī)密級(jí)信息的系統(tǒng),口令長(zhǎng)度不得少于八個(gè)字符,口令更換周期不得長(zhǎng)于一周;處理絕密級(jí)信息的系統(tǒng),應(yīng)當(dāng)采用一次性口令或生理特征等強(qiáng)認(rèn)證措施;
(三)口令必須加密存儲(chǔ),并且保證口令存放載體的物理安全;
(四)口令在網(wǎng)絡(luò)中必須加密傳輸。
第四十條
用戶應(yīng)記住自己的口令,不應(yīng)把它記載在不保密的媒介物上,嚴(yán)禁將口令貼在終端上。輸入的口令不應(yīng)顯示在顯示終端上。
第六章
人員組織管理
第四十一條
安全的人員組織管理原則
網(wǎng)絡(luò)信息系統(tǒng)的安全管理的最根本核心是人員管理,提高安全意識(shí),行于具體的安全技術(shù)工作中。為此,安全的人事組織管理主要基于以下三個(gè)原則。
(一)多人負(fù)責(zé)
每一項(xiàng)與安全有關(guān)的活動(dòng),都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的,工作認(rèn)真可靠,能勝任此項(xiàng)工作;他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。
負(fù)責(zé)的安全活動(dòng)范圍包括:
1.訪問(wèn)控制使用證件的發(fā)放與回收;
2.信息處理系統(tǒng)使用的媒介發(fā)放與回收; 3.處理保密信息; 4.硬件和軟件的維護(hù);
5.系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改; 6.重要程序和數(shù)據(jù)的刪除和銷毀等。
(二)任期有限
任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù),遵循任期有限原則,工作人員應(yīng)不定期地循環(huán)任職,并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn),以使任期有限制度切實(shí)可行。
(三)職責(zé)明確
在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情,除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。
出于對(duì)安全的考慮,下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)盡可能分開(kāi)。
1.系統(tǒng)管理與計(jì)算機(jī)編程; 2.機(jī)密資料的接收和傳送; 3.安全管理和系統(tǒng)管理; 4.訪問(wèn)證件的管理與其它工作;
5.計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。第四十二條 安全的人事組織管理的實(shí)現(xiàn)
信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是:
(一)根據(jù)工作的重要程度,確定該系統(tǒng)的安全等級(jí) ;
(二)根據(jù)確定的安全等級(jí),確定安全管理的范圍;
(三)制訂相應(yīng)的機(jī)房出入管理制度;
對(duì)于安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制,限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記 11 系統(tǒng),采用磁卡、身份卡等手段,對(duì)人員進(jìn)行識(shí)別、登記和管理。
(四)制訂嚴(yán)格的操作規(guī)程;
操作規(guī)程要根據(jù)職責(zé)明確和多人負(fù)責(zé)的原則,各負(fù)其責(zé),不能超越自己的管轄范圍;對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。
(五)制訂完備的系統(tǒng)維護(hù)制度;
對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí),應(yīng)采取數(shù)據(jù)保護(hù)措施,如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn),并有安全管理人員在場(chǎng),故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。
(六)制訂應(yīng)急措施。
要制訂系統(tǒng)在緊急情況下,如何盡快恢復(fù)的應(yīng)急措施,使損失減至最小。
第七章
附
則
第四十三條
本規(guī)定自正式頒布之日起實(shí)施。第四十四條
本規(guī)定由國(guó)土資源部信息中心負(fù)責(zé)解釋。第四十五條
本規(guī)定與國(guó)家有關(guān)法律、法規(guī)不一致的以國(guó)家法律、法規(guī)為準(zhǔn)。
第五篇:計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定
信息安全管理制度
一、安全管理人員崗位工作職責(zé)
1、組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,提高工作人員的維護(hù)信息安全的警惕性和自覺(jué)性。
2、負(fù)責(zé)對(duì)信息系統(tǒng)用戶進(jìn)行安全教育和培訓(xùn),使用戶自覺(jué)遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。
3、加強(qiáng)對(duì)信息發(fā)布的審核管理工作,杜絕違犯《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》的內(nèi)容出現(xiàn)。
4、一旦發(fā)現(xiàn)從事各種危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)的行為做好記錄并立即向當(dāng)?shù)毓蔡幘W(wǎng)絡(luò)監(jiān)察科報(bào)告。
5、接受并配合公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo),如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件,協(xié)助公安機(jī)關(guān)查處通過(guò)國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為。
二、病毒以及系統(tǒng)漏洞檢測(cè)制度:
1、工作計(jì)算機(jī)中一律要求安裝殺毒軟件,計(jì)算機(jī)病毒庫(kù)要求定期升級(jí)。
2、任何個(gè)人或團(tuán)體未經(jīng)同意,不得在工作計(jì)算機(jī)上安裝和工作無(wú)關(guān)的軟件,不得制造傳播病毒。
3、各種操作系統(tǒng)要打上最新系統(tǒng)補(bǔ)丁,杜絕各種系統(tǒng)漏洞帶來(lái)的安全隱患。
4、嚴(yán)禁任何非法對(duì)網(wǎng)絡(luò)進(jìn)行端口掃描的行為。
5、發(fā)現(xiàn)不能處理的病毒要報(bào)告本部門安全員。
三、密碼管理制度:
1、工作計(jì)算機(jī)一律要按要求設(shè)置密碼,不得采用缺省方式。
2、密碼設(shè)置要有字母和數(shù)字,位數(shù)不得少于六位,不能隨意用明紙記載放置公開(kāi)處,口令應(yīng)定期修改。
3、重要密碼在可以的情況下,要在部門主管領(lǐng)導(dǎo)處備份。
4、密碼權(quán)限要根據(jù)實(shí)際情況授予,操作員不能擁有系統(tǒng)維護(hù)人員的權(quán)限,對(duì)于有特殊要求的系統(tǒng),要實(shí)行特殊制度。
5、計(jì)算機(jī)操作人員,任何非系統(tǒng)管理員嚴(yán)禁使用、猜測(cè)各類管理員口令,不能利用工作之便,把獲取的特權(quán)密碼泄露給其他人,或未經(jīng)計(jì)算機(jī)管理人員授權(quán),使用特權(quán)用戶對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行操作。
6、發(fā)現(xiàn)密碼丟失,要通報(bào)相關(guān)部門,同時(shí)盡快修改密碼,一旦發(fā)現(xiàn)密碼已經(jīng)被改,要采取措施找回密碼,必要時(shí)更換系統(tǒng)設(shè)備,同時(shí)根據(jù)具體情況通知保衛(wèi)、公安部門。
四、信息發(fā)布審核、登記制度
1、網(wǎng)站工作人員必須認(rèn)真執(zhí)行信息發(fā)布審核管理工作,杜絕違犯《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的情形出現(xiàn)。
2、對(duì)在本網(wǎng)站發(fā)布信息的信源單位提供的信息進(jìn)行程序限定,限制帶有某些不良詞匯的信息發(fā)布。
3、對(duì)在本網(wǎng)站發(fā)布信息的信源單位提供的信息進(jìn)行認(rèn)真人工檢查,不得有危害國(guó)家安全、泄露國(guó)家秘密,侵犯國(guó)家的、社會(huì)的、集體的利益和公民的合法權(quán)益的內(nèi)容出現(xiàn)。
4、對(duì)委托發(fā)布信息的單位和個(gè)人進(jìn)行登記并存檔。
五、信息監(jiān)視、保存、清除和備份制度
1、本制度適用于所有本網(wǎng)站發(fā)布信息及網(wǎng)站用戶發(fā)布信息。
2、對(duì)本網(wǎng)站自身發(fā)布的信息,必須認(rèn)真檢查,杜絕不良內(nèi)容出現(xiàn)。
3、對(duì)網(wǎng)站引用的他人信息,必須注明來(lái)源。
4、若發(fā)現(xiàn)本網(wǎng)有不良有害信息,應(yīng)主動(dòng)舉報(bào)。
5、對(duì)網(wǎng)站用戶發(fā)布信息,必須首先經(jīng)過(guò)程序核查,對(duì)其發(fā)布內(nèi)容進(jìn)行檢查、過(guò)濾、限制。
六、安全教育和培訓(xùn)制度
1、應(yīng)定期開(kāi)辦信息系統(tǒng)安全培訓(xùn)班,組織工作人員學(xué)習(xí)信息安全法律、法規(guī),提高工作人員的信息安全水平。
2、應(yīng)對(duì)信息系統(tǒng)用戶進(jìn)行安全教育和培訓(xùn),使用戶自覺(jué)遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,使他們具備基本的信息安全知識(shí),強(qiáng)化信息安全意識(shí)。增強(qiáng)守法觀念。
3、定期召開(kāi)信息安全會(huì)議,通報(bào)信息安全狀況,解決信息安全問(wèn)題。
4、應(yīng)積極配合當(dāng)?shù)毓簿旨捌渌霞?jí)管理中心的工作,自覺(jué)參加各種培訓(xùn)活動(dòng)。
點(diǎn)擊咨詢 