第一篇:計算機信息安全管理辦法
計算機信息安全管理辦法
第一章總則
第一條
為加強公司計算機信息安全管理工作,規范操作流程,明確崗位職責,確保計算機信息系統的安全,根據《中華人民共和國保守國家秘密法》、《中華人民共和國計算機信息系統安全保護條例》 等法律法規,結合公司實際工作需要,制訂本辦法。
第二條
本辦法所稱的計算機系統是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統或者網絡。計算機信息是指通過計算機系統產生的所有相關數據、文件及其它電子資料。
第三條
計算機系統規劃、設計、建設和維護應當同步落實相應的信息安全措施,使用符合國家有關規定、滿足計算機系統安全保護需求的信息技術產品。
第四條
對計算機系統中發生的案件和重大安全事故,當在二十四小時內上報上級公司,同時報告縣級以上人民政府公安機關,并保留有關原始記錄。
第五條
本辦法適用于公司
第二章
機構與職責
第六條 公司計算機信息安全管理工作實行領導負責制,由分管保密工作和信息化工作領導負責統籌計算機信息安全管理工作。第七條 公司系統及網絡管理員和安全管理員崗位,兩者不可兼任,其中安全管理員相應工作職責如下:
1)網絡及系統管理員負責計算機系統的信息安全系統建設與技術管理工作。
2)安全管理員負責信息安全審計工作。
第三章
物理安全管理
第九條
機房應選擇在具有防震、防風和防雨等能力的建筑內。
第十條
機房應采取防電磁干擾措施,電源線和通信線纜應隔離,避免互相干擾,對重要設備和磁介質實施電磁屏蔽。
第十一條 機房應采取防靜電、防水的相關措施。
第十二條 機房應安裝門禁系統、防雷系統、監視系統、消防系統、報警系統。
第十三條 計算機系統供電應與其他供電分開。供電線路應設置冗余或并行的電力電纜線路,應建立備用供電系統,以備常用供電系統停電時啟用。
第十四條 機房應配備 UPS 設備,以保證機房設備的電源能在發生斷電的情況下維持機房所有設備的電源供應。
第十五條 定時檢查機房環境溫度、濕度情況,確保溫度控制在 18℃~23℃的范圍內,濕度控制在 35%~80%的范圍內,以保證機房設備和系統的正常運行。
第十六條 重要服務器及相關設備必須放置在機房內,并固定在機柜的相應位置。
第十七條 應將通信線纜鋪設在隱蔽處,不允許祼線部署。
第四章
網絡安全管理
第一節
總體安全要求
第十八條 應對計算機網絡進行安全區域劃分,不同安全區域具有不同安全等級,并采取相應的安全防護措施。一般情況下,可劃為如下幾個區域:
(一)辦公內網:由本單位局域網內的服務器、客戶端及相關設備組成的網絡區域;
(二)業務外網: 由供互聯網訪問的服務器及相關設備組成的網絡區域;
(三)業務專網: 由集團公司及各級下屬單位共同組成的通過專用 VPN 系統相連接的廣域網絡;
(四)公眾外網: 由訪問互聯網的客戶端及相關設備組成的網絡區域。
第十九條 應在不同網絡安全區域之間采取安全隔離措施。
(一)公眾外網與其它區域物理隔離;
(二)業務外網使用單獨的通信線路。業務外網和辦公內網、業務專網之間通過數據安全交換平臺方式進行物理隔離,不允許業務外網與公眾外網之間通過內部網絡線路互聯;
(三)業務專網和辦公內網之間邏輯隔離;
(四)業務外網和辦公內網之間進行數據交換時必須采用符合國家安全要求的 CA數字證書。
第二十條 網絡設計應充分考慮系統冗余。其中關鍵的網絡設備和系統必須設立冗余備用設備或系統,使本單位網絡故障對業務造成的影響降到最低。
第二十一條 未經許可,不得更改本單位安全區域內的重要配置。各單位應設計和繪制與當前運行情況相符的網絡拓撲結構圖,當網絡拓撲結構發生改變時,應及時更新。
第二十二條 公司的網絡設備及帶寬的性能應能滿足本單位所需最大資源的要求,并通過流量分配措施對網絡的各種應用合理分配相應的帶寬,以保證重要應用系統的正常訪問。
第二十三條 所有網絡設備管理員帳號設置應滿足安全性要求。
(一)口令長度應設置在 8 位字符以上、復雜度為數字、字母、特殊字符的組合,并且定期更新;
(二)當登錄失敗超過三次時結束會話連接并鎖定賬號 30分鐘以上,當網絡登錄連接超時自動退出。
第二十四條 應對網絡設備的管理員用戶登錄地址進行限制。
第二十五條 對網絡設備進行遠程管理時,應保證鑒別信息通過加密協議(如 HTTPS 協議)傳輸。
第二十六條 應對所有網絡設備進行日志審計。
(一)審計內容應包含事件的日期和時間、用戶、事件類型、事件成功情況;
(二)應使用日志審計工具設置特定事件報警及生成日志報表;
(三)應做好網絡設備日志的保存工作,保存期大于30天,保存的日志不可修改。第二節
辦公內網安全管理
第二十七條 應為服務器、財務客戶端分別劃分獨立的子網,其它客戶端應根據各部門的工作職能、重要性、所涉及信息的重要程度等因素劃分不同的子網。客戶端的不同子網之間原則上不能互相訪問。
第二十八條 服務器與客戶端之間應通過防火墻或 ACL列表進行訪問控制,確保客戶端不能任意訪問服務器的所有端口。
第二十九條 應對重要子網采取防止 IP 地址欺騙措施。
第三節
業務專網安全管理
第三十條 業務專網采用統一的專用 VPN 系統組網。
(一)辦公內網采用硬件 VPN 方式接入業務專網;
(二)移動辦公用戶采用 VPN 單機連接方式接入業務專網;
(三)VPN 連接必須采用安全的 VPN 連接協議,辦公內網 VPN 互聯必須采用硬件鑒權和口令雙重認證。
第三十一條 辦公內網 VPN 互聯應配置雙物理線路,以提高網絡可靠性。
第四節
業務外網管理
第三十二條 在業務外網邊界處應部署網絡防火墻、入侵防御、防病毒網關等安全設備,并設置細致的安全訪問策略,原則上禁止互聯網自由訪問業務外網。
第三十三條 入侵防御應能檢測各種已知的入侵行為,記錄入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警。第三十四條 重要的 WEB 應用系統(如電子商務系統)應部署 WEB應用防火墻。
第五節
公眾外網管理
第三十五條 公眾外網出口必須配備防火墻等安全設備。
第三十六條 各單位應在公眾外網部署上網行為管理設備,對公眾外網進行有效管理與監控,其中包括:上網實時監控、互聯網行為審計、上網情況統計分析、網絡訪問策略控制、帶寬管理等。互聯網行為審計記錄保留 60 天,審計記錄不可修改。
第五章
主機安全管理
第三十七條 主機包括服務器、終端計算機。
第三十八條 應在主機操作系統中安裝防病毒系統,并定期對服務器主機進行惡意代碼查殺,并實時更新病毒庫。防病毒系統應具有全方位網絡惡意代碼防護能力、集中管理與監控功能和系統自動更新功能,而且系統必須具有較好的兼容性,不能影響各應用系統的正常運行。
第三十九條 所有主機應通過補丁服務器進行補丁統一自動分發。
第一節
主機接入與授權管理
第四十條 本章中的內部用戶、外部用戶、信息化運維人員定義如下:
(一)內部用戶:公司內部的辦公用戶;
(二)外部用戶:業務專網使用人員、外部來訪人員及移動辦公人員;
(三)信息化運維人員: 信息化維護人員及管理員。
第四十一條 各類用戶接入服務器主機的方式如下:(一)內部用戶應安裝安全客戶端(使用內網安全管理系統統一部署安裝的安全代理軟件)方式接入服務器主機;
(二)外部用戶應采用 VPN 或安全客戶端方式接入服務器主機;
(三)信息化運維人員應通過信息安全運維系統接入服務器主機。
第四十二條 所有用戶接入服務器時應通過硬件 CA 數字證書和口令雙重認證。
第四十三條 所有用戶訪問服務器資源時都應通過相對應的安全接入系統進行安全授權和管理,對所有終端計算機只開放所需的最小權限。
第二節
服務器主機管理
第四十四條
服務器操作系統的管理員賬號應具有唯一性,不允許多個用戶使用同一賬號。
第四十五條
服務器操作系統的管理員帳號應滿足安全性要求:
(一)口令設置為長度在 8 位字符以上、復雜性為數字、字母、特殊字符的組合,并且定期更新;
(二)當登錄失敗超過三次時結束會話連接并鎖定賬號30分鐘以上。
第四十六條
對于服務器操作系統應有嚴格的資源訪問控制策略,訪問控制細粒度應達到文件級。
第四十七條
應嚴格限制服務器操作系統的默認用戶訪問權限,及時刪除不必要的臨時賬號和測試賬號等。
第四十八條
應對服務器操作系統的所有用戶進行安全審計。
(一)審計內容應包含事件的日期和時間、用戶、事件類型、事件成功情況;
(二)應使用日志審計工具設置特定事件報警及生成日志報表;
(三)應做好服務器操作系統日志的保存工作,保存期大于 30 天,保存的日志不可修改。
第四十九條
應妥善保存服務器操作系統的用戶鑒別信息。
第五十條 應定期掃描服務器安全漏洞。
第五十一條
應對服務器的單個用戶的多重并發會話數和連接數進行限制,禁止同一賬號在同一時間內并發登錄。
第三節
終端主機管理
第五十二條
辦公內網終端計算機應部署內網安全管理系統,該系統應具有如下功能:
(一)能夠實現對終端計算機用戶的口令及硬件 CA 數字證書雙重身份認證;
(二)能夠根據安全策略阻斷未授權的終端計算機接入辦公內網;
(三)能夠對終端計算機訪問辦公內網服務器資源進行授權控制;
(四)能夠控制用戶對終端計算機操作系統的配置更改和軟件安裝;
(五)能夠控制用戶對終端計算機外部設備及接口的使用;
(六)能夠對終端計算機用戶操作行為進行詳盡的安全審計,應包括對本地資源、網絡資源、外部設備等的訪問行為。
第五十三條
終端主機上使用的移動存儲設備應由各單位統一購置、登記和發放,并對介質使用進行安全審計。非授權的移動存儲禁止接入辦公內網。
第六章
應用安全管理
第五十四條
本章所指的系統分為重要系統和一般系統,應對所有應用系統進行定級分類,其中含有敏感信息的應用系統應歸為重要系統,其它應用系統歸為一般系統。
第一節
應用系統建設安全管理
第五十五條
在系統設計階段,系統開發單位應根據風險分析、風險管理以及充分調研的結果,對應用系統的基本安全功能和安全功能的強度進行需求確認,包括是否需要身
份驗證、角色訪問控制、數據加密、自動備份、日志審計等安全功能。只有通過系統安全需求論證后才能進行系統開發。
第五十六條
應用系統應考慮軟件容錯性。
(一)應對人機接口輸入數據的規范性提供檢驗;
(二)應對人機接口操作提供回退功能;
(三)應具備狀態監測能力,當故障發生時,能實時檢測到故障狀態并報警;
(四)應具備自動保護能力,當故障發生時,自動保護當前所有狀態。
第五十七條
應制定應用系統代碼編寫安全規范,要求開發人員參照規范編寫代碼。
第五十八條
系統上線前應對應用系統代碼進行安全漏洞檢測,識別可能存在的惡意代碼,存在安全漏洞的應用系統不得上線。
第二節
應用系統運行管理
第五十九條
必須保證應用系統的安全性和可靠性,因安全漏洞導致的應用系統故障和安全事故,應立即中斷此應用系統服務,并及時向相關單位發布通知,限期整改。
第六十條 重要系統必須采用雙機熱備的方式運行。
第六十一條
應定期對應用系統進行穿透性測試,并及時修補漏洞。
第六十二條
一般情況下,部署在業務外網中的應用系統應通過安全發布服務器進行應用安全發布。
第六十三條
應對 WEB 應用系統采取防篡改措施,防止應用系統被非法篡改。
第六十四條
應用系統的管理員帳號應滿足安全性要求。
(一)應用系統用戶身份必須是唯一的,口令長度在 8位字符以上、復雜性為數字、字母、特殊字符的組合,并且定期更新;
(二)登錄失敗超過三次時自動結束會話連接并鎖定賬號 30分鐘以上,當網絡登錄連接超時,自動退出。
第六十五條
所有用戶接入重要系統時應進行雙重身份驗證(如口令結合 CA 數字證書認證)。
第六十六條
應對應用系統設置相關的安全訪問策略,非授權的用戶不能訪問應用系統的相關資源,訪問控制細粒度至少為模塊級。
第六十七條
應對應用系統進行日志安全審計。
(一)審計內容應包含事件的日期和時間、用戶、事件類型、事件成功情況;
(二)應使用日志審計工具設置特定事件報警及生成日志報表;(三)應做好應用系統日志的保存工作,保存期大于30天,保存的日志不可修改。
第六十八條
應妥善保存應用系統的用戶身份鑒別信 息。
第六十九條
應限制應用系統單個用戶的最大并發會話和連接數。
第七十條 應用系統的管理與審計的權限應分配給不同的管理員。
第三節
數據庫安全管理
第七十一條
數據庫系統的管理員口令應設置為長度在 8 位字符以上、復雜性為數字、字母、特殊字符的組合,并且定期更新。
第七十二條
對于數據庫系統應有嚴格的資源訪問控制策略,訪問控制細粒度應達到數據庫表級。
第七十三條
應嚴格限制數據庫系統的默認用戶訪問權限,及時刪除不必要的臨時賬號和測試賬號等。
第七十四條
應禁止使用數據庫的超級管理員賬號(如sql中的 sa賬號)進行遠程登錄,并禁止使用數據庫的超級管理員賬號建立數據庫實體、數據庫表。
第七章
數據安全及保密管理
第七十五條
重要的數據存儲應有可靠性保證,在線系統數據和業務數據應存儲在冗余的介質中。
第七十六條
操作系統、應用系統程序和業務數據應分別放在不同的邏輯磁盤中。
第七十七條
制定重要數據的備份與恢復方案,并建立相應的備份與恢復系統,要求如下:(一)備份內容包括服務器操作系統、網絡設備、數據庫管理系統和應用系統的配置信息,應用系統的重要數據,服務器操作系統程序,應用系統程序;
(二)備份方式為網絡集中備份方式,將備份信息統一集中存放在備份介質內,重要系統的數據應實現本地和異地雙重備份;
(三)重要系統的數據每天最少備份一次,其余數據定期備份,備份數據的保存周期不得小于一周。
(四)備份信息應存放在安全、可靠、有效的位置。
第七十八條
當出現信息丟失、錯誤或出現系統故障時應及時進行信息和系統恢復工作。以保證各計算機信息和網絡系統的正常運行。信息恢復過程中如果需要停止相關應用系統的運行,應提前通知相關使用人員做好應急準備。
第七十九條
應對敏感信息采取加密存儲。
第八十條 不得在遠程辦公的相關終端設備上保存敏感信息。
第八章
用戶行為安全管理
第八十一條
應對進出機房人員進行管理。禁止未經批準的人員進入機房,外來人員進出機房應辦理登記手續,并由專業管理人員陪同。
第八十二條
未經許可,任何人不得擅自拆卸、搬移、更換主機及網絡設備的部件;對于設備、電源、線路,不得隨意開關、更改,不得隨意改換、移動電源、插座和布線。
第八十三條
未經許可,任何人不得私自在主機設備上外接任何計算機外部設備。第八十四條
未經許可,辦公內網中的終端計算機禁止使用光驅和軟驅。
第八十五條
所有人員應對各自使用的主機及相關設備采取防盜措施,一旦被竊取,應及時告知網絡及系統管理員。
第八十六條
未經許可,任何人不得私自將外帶的主機及網絡設備接入除公眾外網的任何網絡區域,辦公內網的用戶不得通過自帶的相關設備接入互聯網。
第八十七條
對新購置、外修后、借入借出的主機和網絡設備接入辦公內網、業務外網或業務專網前應進行安全檢 查,合格后方可接入。
第八十八條
做好主機操作系統和應用系統的用戶名、口令、證書、加密驗證設備等安全驗證信息的保管、管理和保密工作。終端計算機用戶必須保護好自己的用戶身份鑒別信息,不得向無關人員透露。網絡及系統管理員負責各服務器、網絡設備及系統軟件的安全驗證信息的管理與保密工作,未經用戶許可,不得隨意更改該用戶的身份鑒別信息。
第八十九條
網絡、主機或應用系統的身份鑒別信息被他人盜取,要及時進行修改,自己不能夠修改的,要及時通知本單位網絡及系統管理員;網絡及系統管理員接到有關通知后,要及時對外泄的信息進行修改。對做過的修改過程、時間記錄存檔。
第九十條
禁止在主機上安裝和使用與辦公無關的軟件,對于從互聯網下載的或其他渠道獲得的、與工作有關的各類軟件安裝前要進行安全性檢查后方可在辦公內網及業務外網的主機上安裝。
第九十一條
未經許可,不得更改主機操作系統及應用系統的重要配置及數據。
第九十二條
網絡及系統管理員應每天檢查主機病毒防護系統的升級情況,發現異常應及時處 理。同時應監控本單位病毒感染與傳播情況并進行統計分析,以防止病毒的大面積爆發。
第九十三條
如果發生計算機病毒大面積爆發,網絡及系統管理員應及時對被病毒感染的主機實施物理隔離,盡快查找病毒源頭并進行病毒查殺,同時通知相關負責人做好應急處理工作。如果重要應用系統服務器出現嚴重病毒感染,應及時停止應用系統使用并隔離該服務器,同時通知相關人員。如果出現計算機病毒大面積爆發,除做好前述應對工作外應及時將具體情況通知上級公司網絡及系統管理員,以免出現更大范圍內的病毒爆發。
第九十四條
不得在公司網站或互聯網上從事危害國家安全、泄露國家秘密等違法犯罪活動,不得制作、瀏覽、復制、傳播反動及色情信息,不得在網絡上發布反動、非法和虛假的消息,不得冒用他人名義發送信息,不得在網絡上漫罵攻擊他人,不得在網上泄露他人隱私。
第九十五條
禁止在工作時間進行浪費網絡資源和威脅網絡安全的操作。禁止向他人發送惡意的挑釁性的郵件和商業廣告,禁止打開來路不明的電子郵件,一旦發現立即刪除。
第九十六條
人員離崗時,應回收相關用戶身份鑒別信息,并調整相應用戶權限。
第九十七條
涉密介質的使用應符合 《中華人民共和國保密法》的相關規定。
第九十八條
任何單位和個人不得利用計算機系統非法傳遞或者交易涉及國家秘密的電子文件與信息,不得將涉及國家秘密的計算機系統與國際互聯網、其它公共信息網絡相聯接,不得利用非涉密計算機系統處理涉及國家秘密的信息。
第九十九條
敏感信息使用者必須應妥善保存相關信息,若因保管不善造成信息外泄,使用者應負全責。
第一百條 敏感信息的共享等級和范圍須經有關部門和主管領導批準,明確共享資源的使用人員和操作權限,嚴格按照使用人員、操作權限進行共享。禁止將秘密或機密的信息進行網絡存放或共享。
第一百零一條
終端計算機應通過本單位的文件服務器進行個人文件的共享,不允許在兩個或兩個以上的終端計算機之間設置共享文件夾。
第一百零二條
必須保護好相關的主機及應用系統有保密要求的信息,不得擅自復制抄錄和對外泄露。如因工作需要,向合作單位提供相關信息要做好信息外泄安全防范工作。
第一百零三條
禁止打聽和竊取他人保密信息,假冒他 人名義對相關應用系統進行違法操作。未經許可不得以他人身份使用網絡及主機資源。
第一百零四條
網絡及系統管理員負責做好集中備份系統的備份策略制定、完善和修改工作及每天檢查備份情況。第九章
安全意識教育和培訓
第一百零五條
定期開展信息安全技術與管理培訓,組織學習信息安全技術及相關法律、法規,提高各信息安全技術保障與管理水平。
第一百零六條
定期對內部辦公人員進行信息安全普及教育,強化信息安全防范意識,普及信息安全及保密防護知識。
第一百零七條
相關人員應積極配合,自覺參加各種教育和培訓活動。
第一百零八條
凡違反本辦法造成集團經濟損失或惡劣影響的,除對相關當事人進行嚴肅處理外,情節嚴重的將根據有關法律法規追究相關責任。
第二篇:國家電網公司辦公計算機信息安全管理辦法
規章制度編號:國網(信息/3)255-2014
國家電網公司辦公計算機信息安全管理辦法
第一章 總 則
第一條 為加強國家電網公司(以下簡稱“公司”)辦公計算機信息安全管理,依據《中華人民共和國保守國家秘密法》、《中華人民共和國保守國家秘密法實施條例》、《中華人民共和國計算機信息系統安全保護條例》、《信息系統安全等級保護基本要求》和《中央企業商業秘密信息系統安全技術指引》制定本辦法。
第二條 本辦法是對公司信息內外網辦公用臺式機、筆記本和云終端等辦公計算機及其外設信息安全管理的職責及管理要求做出的具體規定。
(一)信息內外網辦公計算機分別運行于信息內網和信息外網;
(二)信息內網定位為公司信息業務應用承載網絡和內部辦公網絡;
(三)信息外網定位為對外業務應用網絡和訪問互聯網用戶終端網絡;
(四)公司信息內外網執行等級防護、分區分域、邏輯強隔離、雙網雙機策略。
第三條 本辦法適用于公司總(分)部、各單位及所屬各級單位(含全資、控股、代管單位)(以下簡稱“公司各級單位”)。
第四條 國家電網公司辦公計算機信息安全管理遵循“涉密不上網、上網不涉密”的原則。
嚴禁將涉及國家秘密的計算機、存儲設備與信息內外網和其他公共信息網絡連接,嚴禁在信息內網辦公計算機上處理、存儲國家秘密信息,嚴禁在信息外網辦公計算機上處理、存儲涉及國家秘密和企業秘密信息,嚴禁信息內網和信息外網辦公計算機交叉使用。
第二章 職責分工
第五條 公司辦公計算機信息安全工作按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”原則,公司各級單位負責人為本部門和本單位辦公計算機信息安全工作主要責任人。
第六條 公司各級單位信息通信管理部門負責辦公計算機的信息安全工作,按照公司要求做好辦公計算機信息安全技術措施指導、落實與檢查工作。
第七條 辦公計算機使用人員為辦公計算機的第一安全責任人,未經本單位運行維護人員同意并授權,不允許私自卸載公司安裝的安全防護與管理軟件,確保本人辦公計算機的信息安全和內容安全。
第八條 公司各級單位信息通信運行維護部門負責辦公計
算機信息安全措施的落實、檢查實施與日常維護工作。
第三章 辦公計算機管理要求
第九條 辦公計算機要按照國家信息安全等級保護的要求實行分類分級管理,根據確定的等級,實施必要的安全防護措施。信息內網辦公計算機部署于信息內網桌面終端安全域,信息外網辦公計算機部署于信息外網桌面終端安全域,桌面終端安全域要采取安全準入管理、訪問控制、入侵監測、病毒防護、惡意代碼過濾、補丁管理、事件審計、桌面資產管理、保密檢測、數據保護與監控等措施進行安全防護。
第十條 加強辦公計算機信息安全管理:
(一)辦公計算機、外設及軟件安裝情況要登記備案并定期進行核查,信息內外網辦公計算機要明顯標識;
(二)嚴禁辦公計算機“一機兩用”(同一臺計算機既上信息內網,又上信息外網或互聯網);
(三)辦公計算機不得安裝、運行、使用與工作無關的軟件,不得安裝盜版軟件;
(四)辦公計算機要妥善保管,嚴禁將辦公計算機帶到與工作無關的場所;
(五)禁止開展移動協同辦公業務;
(六)信息內網辦公計算機不能配置、使用無線上網卡等無線設備,嚴禁通過電話撥號、無線等各種方式與信息外網和互聯
網絡互聯,應對信息內網辦公計算機違規外連情況進行監控;
(七)公司辦公區域內信息外網辦公計算機應通過本單位統一互聯網出口接入互聯網;嚴禁將公司辦公區域內信息外網辦公計算機作為無線共享網絡節點,為其它網絡設備提供接入互聯網服務,如通過隨身Wifi等為手機等移動設備提供接入互聯網服務;
(八)接入信息內外網的辦公計算機 IP 地址由運行維護部門統一分配,并與辦公計算機的MAC地址進行綁定;
(九)定期對辦公計算機企業防病毒軟件、木馬防范軟件的升級和使用情況進行檢查,不得隨意卸載統一安裝的防病毒(木馬)軟件;
(十)定期對辦公計算機補丁更新情況進行檢查,確保補丁更新及時;
(十一)定期檢查辦公計算機是否安裝盜版辦公軟件;
(十二)定期對辦公計算機及應用系統口令設置情況進行檢查,避免空口令,弱口令;
(十三)采取措施對信息外網辦公計算機的互聯網訪問情況進行記錄,記錄要可追溯,并保存六個月以上;
(十四)采取數據保護與監管措施對存儲于信息內網辦公計算機的企業秘密信息、敏感信息進行加解密保護、水印保護、文件權限控制和外發控制,同時對文件的生成、存儲、操作、傳輸、外發等各環節進行監管;
(十五)加強對公司云終端安全防護,做好云終端用戶數據信息訪問控制,訪問權限應由運行維護部門統一管理,避免信息泄露;
(十六)采用保密檢查工具定期對辦公計算機和郵件收發中的信息是否涉及國家秘密和企業秘密的情況進行檢查;
(十七)加強對辦公計算機桌面終端安全運行狀態和數據級聯狀態的監管,確保運行狀態正常和數據級聯貫通,按照公司相關要求及時上報運行指標數據;
(十八)加強數據接口規范,嚴禁修改、替換或阻攔防病毒(木馬)、桌面終端管理等報送監控數據接口程序。
第十一條 公司各級單位要使用公司統一推廣的計算機桌面終端管理系統,加強對辦公計算機的安全準入、補丁管理、運行異常、違規接入安全防護等的管理,部署安全管理策略,進行安全信息采集和統計分析。
第四章 外設管理要求
第十二條 嚴禁掃描儀、打印機等計算機外設在信息內網和信息外網上交叉使用;嚴禁采用非公司安全移動存儲介質拷貝信息內網信息。
第十三條 計算機外設要統一管理,統一登記和配置屬性參數。第十四條 嚴禁私自修改計算機外設的配置屬性參數。如需修改,必須報知運行維護部門,按照相關流程進行維護。
第十五條 計算機外設的存儲部件要定期進行檢查和清除。第十六條 加強安全移動存儲介質管理
(一)公司安全移動存儲介質主要用于涉及公司企業秘密信息的存儲和內部傳遞,也可用于信息內網非涉密信息與外部計算機的交互,不得用于涉及國家秘密信息的存儲和傳遞;
(二)安全移動存儲介質的申請、注冊及策略變更應由人員所在部門負責人進行審核后交由本單位運行維護部門辦理相關手續;
(三)應嚴格控制安全移動存儲介質的發放范圍及安全控制策略,并指定專人負責管理;
(四)安全移動存儲介質應當用于存儲工作信息,不得用于其它用途。涉及公司企業秘密的信息必須存放在安全移動存儲介質的保密區,不得使用普通存儲介質存儲涉及公司企業秘密的信息;
(五)禁止將安全移動存儲介質中涉及公司企業秘密的信息拷貝到信息外網或外部存儲設備;
(六)應定期對安全移動存儲介質進行清理、核對;
(七)安全移動存儲介質的維護和變更應遵循本辦法的第五章相關條款執行。
第十七條 涉及國家秘密安全移動存儲介質的安全管理按照公司有關保密規定執行。
第五章 維護和變更要求
第十八條 辦公計算機及外設需進行維護時,應由本單位對辦公計算機和外設中存儲的信息進行審核,通過本單位負責人的審批后報送運行維護部門進行維護。
第十九條 辦公計算機及外設在變更用途,或不再用于處理信息內網信息,或不再使用,或需要數據恢復時,要報運行維護部門,由運行維護部門負責采取安全可靠的手段恢復、銷毀和擦除存儲部件中的信息,原則上禁止通過外部單位進行數據恢復、銷毀和擦除工作。
第六章 人員管理要求
第二十條 加強對辦公計算機使用人員的管理,開展經常性的信息安全教育培訓,提高辦公計算機使用人員的信息安全意識與技能。
第二十一條 加強外來人員和第三方人員對辦公計算機使用的管理,對外來人員和第三方人員使用辦公計算機進行審批,加強外來人員和第三方人員使用辦公計算機的監督與審計。
第二十二條 辦公計算機及外設使用人員離崗離職,人員所在原部門不得對其辦公計算機及外設擅自進行處理,要及時報運行維護部門對存儲的企業秘密信息、敏感信息進行清理后清退至固定資產管理部門,并取消離崗離職人員辦公計算機及應用系統的訪問權限。
第七章 檢查考核
第二十三條 應建立常態檢查機制,同時輔以不定期抽查,及時發現問題并督促整改。
第二十四條 違反本辦法情節較輕的由本單位予以批評教育,情節嚴重的按公司相關規定進行處理。
第八章 附 則
第二十五條 本辦法由國網信通部負責解釋并監督執行。第二十六條 本辦法自2014年6月1日起施行。原《國家電網公司辦公計算機信息安全和保密管理規定》(國家電網信息[2009]434號)同時廢止。
第三篇:福建海事局計算機及網絡信息安全管理辦法
福建海事局計算機及網絡信息安全管理辦法
一、本規定適用于福建海事局各單位采集、加工、存儲、處理、傳輸信息的計算機及網絡系統的保密管理。
二、福建海事局信息辦負責全局計算機及網絡系統信息安全管理工作及局機關計算機及網絡的日常管理和檢查工作,局屬各單位信息化職能部門負責本單位計算機及網絡系統信息安全管理和日常檢查工作。
三、福建海事內網為非涉密網絡,是辦理海事業務、處理日常公文的專用網絡,嚴禁處理涉密信息,并應與國際互聯網完全物理隔離。
四、福建海事外網聯接互聯網,是為工作人員提供查找信息、瀏覽新聞的網絡,外網計算機嚴禁處理、存放與工作相關的文檔,嚴禁處理涉密信息或敏感信息。
五、涉密信息、敏感信息的存儲、處理、傳遞、輸出的必須在專用系統及專用單機中操作,專用單機必須拆除無線聯網和網絡接口卡模塊,不得連接互聯網或其他網絡,所接外設(如傳真機、打印機、電話機等)不得與普通電話線連接。
六、涉密計算機應專人專用,用戶須定期修改操作系統登錄密碼。涉密信息要有相應的密級標識,密級標識不能與正文分離,必須采用訪問控制策略,對訪問事件要進行審計并記錄。
七、涉密計算機須采取計算機病毒和惡意代碼防護措施,并及時更新計算機病毒庫與惡意代碼樣本庫。
八、中心機房、重要設備間和其它保密要害部門應根據涉密程度和有關規定設立控制區,未經管理機關批準無關人員不得進入。
九、嚴禁在機關各部門連接互聯網的計算機上安裝、使用攝像頭、耳麥等視、音頻輸入設備。在涉密場所談論國家秘密事項時,應對具有音頻輸入功能并與互聯網連接的計算機采取關機斷電措施。
十、加強對打印機、傳真機、復印機等輸出設備的保密控
制,應取相應措施(不面對門窗擺放),防止輸出結果被非授權查看和獲取。嚴禁連接互聯網的計算機和接連海事內網的計算機共享打印機、傳真機、復印機等輸出設備。
十一、對內網系統中的服務器、計算機等硬件設備的網口、并口、串口、USB接口、軟驅、光驅等設備采取安全控制措施,禁止使用無線網卡、無線鍵盤、無線鼠標等無線設備,防止被非授權利用。
十二、嚴禁通過移動硬盤、軟盤、光盤、磁帶、優盤等普通信息存儲介質處理秘級文件。嚴禁將個人的存儲介質帶入重要涉密場所。內網網絡需要使用移動介質前(光盤、移動硬盤等),應先檢查移動介質是否存在病毒、木馬等惡意程序。
十三、涉密信息專用存儲介質不得在非涉密的信息系統內或單機上使用,嚴禁在與國際網絡聯網的計算機信息系統中存儲、處理、傳遞涉密信息。
十四、計算機等設備的維修、更換、報廢按有關保密規定處理。涉密計算機報廢后存儲介質(硬盤)應物理銷毀,不得移到非涉密計算機上使用。如需修理,必須由國家保密工作部門指定具有保密資質的單位進行修理。
十五、上網信息的保密管理堅持“誰上網誰負責”的原則。凡向互聯網發布信息,須經保密審查批準后才可上網發布。不得利用電子函件傳遞、轉發或抄送國家秘密信息,不得在電子公告、聊天室、網絡新聞組上發布、談論和傳播國家秘密信息。
十六、涉密人員員應經過嚴格審查,上崗前進行保密培訓,定期進行保密教育及考核檢查。涉密人員因工作變化、調動等原因停止使用涉密計算機的,需及時予以收回。
十七、發現計算機信息系統泄密后,應及時采取補救措施,并按有關規定及時向上級報告或當地公安機關報告。
第四篇:信息安全管理辦法
HYW3-111-XZ15
XXXXZDXXXXXXXX電廠管理制度
Net
信息安全管理辦法
2015-9-10發布 2015-9-10實施
XXXXXXXX電廠 發 布 HYW3-111-XZ15
XXXXXXXX電廠 信息安全管理辦法
第一章 總 則
第一條 為了加強XXXXXXXX電廠(以下簡稱“電廠”)信息的安全管理,確保公司信息系統安全、穩定運行,特制定本辦法。
第二條 本辦法規定了信息安全管理的職責、內容和方法,本辦法適用于電廠各部門。
第二章 人員與帳戶
第三條 電廠的所有員工都必須接受信息安全培訓,培訓由電廠人力資源部組織,信息中心協助。
第四條 信息中心統一管理各應用系統中的帳戶信息,包括用戶基本信息、用戶帳號、權限等。信息中心應在接到人力資源部門的員工職位變動或離職的通知后,根據具體情況及時調整相應的帳戶信息。
第五條 員工離職時必須將其掌管的信息資產(如電腦、打印機等)移交信息中心,信息中心進行清點和核查。必要時,還需要檢查此員工管理的信息系統,以確認系統安全、正常,沒有遭受蓄意破壞。
第三章 口令策略
第六條 信息系統中所需要的所有口令應至少滿足以下要求:
(一)長度:至少6位,建議在16位以下。
(二)復雜度:可以由大小寫字母、數字和普通符號組成。
(三)有效期:口令應每季度更換。
(四)更換策略:新口令至少與前3次的口令不能相同。
第四章 特權帳號的控制
第七條 特權帳號是指具有特殊管理功能和權限的專用賬號,如:具有應用系統管理權、數據庫管理權、操作系統管理權的帳號,還包括網絡設備特權帳號等。
第八條 特權帳號應由專人管理和使用,責任到人。特權帳號使用人在出差、請假期間,應將特權帳號轉交給信息中心負責人指定的人員。特權帳號使用人長期離開時,應將特權帳號交給信息中心負責人。
第九條 使用特權帳號后,特權帳號使用人應將其操作情況記錄在《操作日志》中。信息中心負責人每季度對《操作日志》進行審核。
第十條 特權帳號使用人在進行操作時,不得擅自離開;操作完成后,應立即退出登錄,以防賬號被竊用。
HYW3-111-XZ15
第五章 安全檢查和審計
第十一條 信息中心安全管理員對防火墻進行管理,按照電廠有關技術規范的要求和本單位的實際情況配置相應的安全策略。防火墻必須保留完整的日志記錄,安全管理員對其每月進行檢查、分析和審計。
第十二條 應用系統、操作系統和數據庫的自動日志記錄應完整保留,以便對其使用情況進行檢查和審計。
第六章 病毒防護
第十三條 電廠內部網絡內所有采用windows操作系統的計算機(包括服務器、臺式機和筆記本)都必須安裝電廠統一的防病毒軟件,防病毒軟件的安裝、升級、更新和策略設置由信息中心負責,電腦終端用戶不得擅自卸載殺毒軟件或更改其設置。
第七章 數據安全與保護
第十四條 重要數據的安全保護工作由電廠信息中心負責,按照數據重要性的分類應采用不同的備份和管理的策略。
第十五條 重要數據進行銷毀或存儲介質報廢時,應確保對數據存儲介質的物理銷毀或清除。
第十六條 信息中心的技術資料、軟件安裝介質、軟件授權以及設備保修卡等重要資料應指定專人分類妥善保管。上述資料應存放在防火、防潮并且上鎖的資料柜中,借出時應登記,避免遺失。
第八章 安全應急處理
第十七條 信息系統受到惡意攻擊或發生重大事故時,信息中心負責應急和恢復工作。信息中心應對主要事故和攻擊的情況做出預案,以確保能迅速恢復系統的正常運行。
第十八條 信息系統受到非法攻擊或發生重大事故后,信息中心應對系統的安全性重新進行全面的評估,制訂相應的整改措施并落實執行。
第十九條 建立信息系統問題匯報機制,信息中心根據問題的性質、影響大小和發生頻度對電廠的信息系統進行分類匯總,信息化領導小組每季度審閱相應的報告,對其中特別重大的事件(例如;重大安全事件〈黑客攻擊〉、主要系統的設備損毀、病毒造成的電廠范圍的網絡癱瘓)應及時上報,同時向上級公司信息中心匯報。
第九章 附 則
第二十條 本辦法由電廠行政部信息中心負責解釋。
第二十一條
本辦法自發布施行。
第五篇:計算機信息安全管理制度
計算機信息安全管理制度
第一條 總則通過加強公司計算機系統、辦公網絡、服務器系統的管理。保證網絡系統安全運行,保證公司機密文件的安全,保障服務器、數據庫的安全運行。加強計算機辦公人員的安全意識和團隊合作精神,把各部門相關工作做好。
第二條 范圍
1、計算機網絡系統由計算機硬件設備、軟件及計算機的網絡系統配置組成。
2、軟件包括:服務器操作系統、數據庫及應用軟件、有關專業的網絡應用軟件等。
3、計算機的網絡系統配置包括計算機在網絡上的名稱,IP地址分配,域用戶登陸名稱、域用戶密碼、及Internet的配置等。
4、系統軟件是指:操作系統(如WINDOWS XP、WINDOWS 7等)軟件。
5、平臺軟件是指:K3系統、RTX、PDF、辦公用軟件(如OFFICE 2007)、金山毒霸等平臺軟件,按部門需求安裝大恒加密軟件。
6、專業軟件是指:設計工作中使用的繪圖軟件(如CAD、SolidWorks等)、安裝及調試儀器軟件(如P3000Serial、CXTH-3000、SpectraSuite等)。
7、其他部門使用軟件是指:
(1)人力資源部:住房公積金管理系統、北京市社會保險系統企業管理子系統、證書管理工具等。
(2)財務部:全國稅收調查系統、中興通抵扣聯信息采集系統、北京地稅企業所得稅離線申報系統、擔保申報軟件、生產企業出口退稅申報系統、北京國稅網上納稅申報系統、軟件成品及電子出版物信息采集軟件、月報采集軟件、證書管理工具等。
第三條 職責
1、信息部為網絡安全運行的管理部門,負責公司計算機網絡系統、計算機系統、數據庫系統的日常維護和管理。
2、負責系統軟件的調研、采購、安裝、升級、保管工作。
3、網絡管理員負責計算機網絡系統、辦公自動化系統、平臺系統的安全運行;服務器安全運行和數據備份;Internet對外接口安全以及計算機系統防病毒管理;各種軟件的用戶密碼及權限管理協助各部門進行數據備份和數據歸檔。
4、網絡管理員執行公司保密制度,嚴守公司商業機密。
5、員工執行計算機信息安全管理制度,遵守公司保密制度。
6、計算機系統管理員的密碼必須由信息部相關人員掌握。
第三條 管理辦法
I、公司電腦使用管理制度
1、從事計算機網絡信息活動時,必須遵守《計算機信息網絡國際聯網安全保護管理辦法》的規定,應遵守國家法律、法規,加強信息安全教育。
2、電腦由公司統一配置并定位,任何部門和個人不得允許私自挪用調換、外借和移動電腦。
3、電腦硬件及其配件添置應列出清單報信息部,在征得公司領導同意后,由網絡管理員負責進行添置。
4、電腦操作應按規定的程序進行。
(1)電腦的開、關機應按按正常程序操作,因非法操作而使電腦不能正常使用的,修理費用由該部門負責;
(2)電腦軟件的安裝與刪除應在公司管理員的許可下進行,任何部門和個人不允許擅自增添或刪除電腦硬盤內的數據程序;
(3)電腦操作員應在每周及時進行殺毒軟件的升級, 每月打好系統補丁;
(4)不允許隨意使用外來U盤,確需使用的,應先進行病毒監測;
(5)禁止工作時間內在電腦上做與工作無關的事,如玩游戲、聽音樂等。
5、任何人不得利用網絡制作、復制、查閱和傳播宣傳封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆等犯罪內容。
6、電腦發生故障應盡快通知IT管理員及時解決,不允許私自打開電腦主機箱操作。
7、電腦操作員要愛護電腦并注意保持電腦清潔衛生,并在正確關機并完全關掉電源后,方可下班離開。
8、因操作人員疏忽或操作失誤給工作帶來影響但經努力可以挽回的,對其批評
教育;因操作人員故意違反上述規定并使工作或財產蒙受損失的,要追究當事人責任,并給予經濟處罰。
9、為文件資料安全起見,勿將重要文件保存在系統活動分區內如:C盤、我的文檔、桌面等;請將本人的重要文件存放在硬盤其它非活動分區(如:D、E、F)。(保存前用殺毒軟件檢察無病毒警告后才可)。并定期清理本人相關文件目錄,及時把一些過期的、無用的文件刪除,以免占用硬盤空間。
10、所有電腦必須設置登陸密碼,一般不要使用默認的administrator作為登陸用戶名,密碼必須自身保管,嚴禁告訴他人,計算機名與登陸名不能一致,一般不要使用含有和個人、單位相關信息的名稱。
11、其他管理辦法請參看《IT終端用戶安全手冊》
II、網絡系統維護
1、系統管理員每周定時對托管的網絡服務器進行巡視,并對公司局域網內部服務器進行檢查,如:財務服務器。
2、對于系統和網絡出現的異常現象網絡管理部門應及時組織相關人員進行分析,制定處理方案,采取積極措施。針對當時沒有解決的問題或重要的問題應將問題描述、分析原因、處理方案、處理結果、及時制定出解決方案。
3、定時對服務器數據進行備份。
4、維護服務器,監控外來訪問和對外訪問情況,如有安全問題,及時處理。
5、制定服務器的防病毒措施,及時下載最新的防病毒疫苗,防止服務器受病毒的侵害。
III、用戶帳號申請/注銷
1、新員工(或外借人員)需使用計算機向部門主管提出申請經批準由網絡部門負責分配計算機、和登入公司網絡的用戶名及密碼。如需使用財務軟件需向財務主管申請,由網絡管理部門人員負責軟件客戶端的安裝調試。
2、員工離職應將本人所使用的計算機名、IP地址、用戶名、登錄密碼、平臺軟件信息以書面形式記錄,經網絡管理人員將該記錄登記備案。網絡管理人員對離職人員計算機中的公司資料信息備份,方可對該離職人員保存在公司服務器中所有的資料刪除。
IV、數據備份管理
服務器數據備份,應對數據庫進行自動實時備份,并每周應至少做一次手工備份,并在備份服務器中進行邏輯備份的驗證工作,經過驗證的邏輯備份存放在不同的物理設備中。個人電腦的備份統一由各部門自行負責,可申請移動硬盤、信息光盤等儲存介質進行安全備份。
第四條 計算機/電腦維修
1、計算機出現重大故障,須填寫《計算機維修單》,并交IT管理員進行維修。
2、IT管理員對《計算機維修單》存檔,便于查詢各電腦使用情況。
3、須外出維修,須報分管領導審批。須采購配件,按采購管理流程執行。
第五條公司信息系統管理(暫定)
1、新中大財務系統服務器(以下簡稱:服務器),放置地點暫放為財務室辦公室內,財務室現有辦公室已達到視頻監控、防盜、溫度控制等條件。待條件成熟時重新搭建獨立機房,便以安全管理。
2、對于服務器數據(包括財務軟件系統)由管理員每月定期異地備份一次,并設置服務器自動每周備份二次數據庫;異地備份數據由財務部安排存放在異地。
3、系統后臺數據只能由服務器系統管理員進行維護,若需外援時,必須在管理員的陪同下進行操作,其他終端用戶不得設置權限進入數據管理后臺。
4、終端用戶的開通及變更需以書面形式提交給相關部門領導簽字確認,其中包括用戶的權限變更、賬號密碼變更、終端軟件更新。
5、當遇到服務器需要變更時,管理員應該做好詳細的變更記錄。如:程序變更、緊急變更、配置/ 參數變更、基礎架構變更、數據庫修改等。
6、定于每月25號對公司服務器賬號進行核查及管理。
7、相關記錄表格如下:
a、**信息中心機房巡查記錄表
b、**信息中心用戶賬號登記表
c、數據庫備份記錄表
d、外來人員工作記錄
e、終端用戶系統變更申請
第六條違規操作賠償標準
1、違規操作者:沒有造成經濟損失的,當事人和責任人賠償工作時間誤工費50-100元。
2、違規操作者:造成經濟損失的,除造價賠償外,另外當事人與責任人賠償誤工費100元。
第六條附則
1、本制度由信息管理部門負責解釋,自公布之日起實施。
2、本制度有不妥之處在運行中修改并公布。
點擊咨詢 