第一篇：信息安全管理制度002

信息安全管理制度

隨著醫(yī)院信息化建設(shè)步伐的加快，信息安全管理在醫(yī)院正常運行中顯得日益重要。依據(jù)國家發(fā)布的有關(guān)信息安全法律法規(guī)系列之規(guī)定，為保障全院患者診療信息的收集、存儲、使用、傳輸、處理、發(fā)布等全流程安全，制定次制度。

一、組織保障

1、院長是本院患者診療信息安全管理第一責(zé)任人；各科室和部門負責(zé)人是本科室和部門患者診療信息安全管理第一責(zé)任人。

2、信息科具體承擔(dān)全院信息安全的法律法規(guī)培訓(xùn)，信息安全相關(guān)管理制度、操作流程的擬定、信息技術(shù)應(yīng)用指導(dǎo)和信息運行平臺（軟硬件）的裝備規(guī)劃提出設(shè)備管理維護、信息安全工作的評估分析和持續(xù)改進監(jiān)管的責(zé)任。醫(yī)院質(zhì)量管理委員會負責(zé)全院信息安全的咨詢、評估和持續(xù)改進監(jiān)管。

3、通過上述保障機制的建立于完善，確保實現(xiàn)本院患者診療信息管理全流程的安全性、真實性、連續(xù)性、完整性、穩(wěn)定性、時效性、溯源性。

二、權(quán)利責(zé)任

4、本院實行患者診療信息保護制度,使用患者診療信息應(yīng)遵循合法、依規(guī)、正當(dāng)、必要的原則,不允許任何人出售或擅自向他人或其他機構(gòu)提供患者診療信息。

5、本院通過建立員工授權(quán)管理制度,明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任（諸如處方授權(quán)、手術(shù)分級管理授權(quán)、抗菌藥物分級使用管理授權(quán)、病歷書寫與審查授權(quán)、報告書出具授權(quán)、計算機使用等授權(quán)）。為加快信息化醫(yī)院建設(shè)，醫(yī)院盡可能為全院員工使用患者診療信息提供便利和安全保障。

6、員工因違反本院信息安全管理制度，包括個人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)全部責(zé)任。

7、為了不斷提升患者診療信息安全防護水平,防止信息泄露、毀損、丟失。各科室、各部門應(yīng)定期開展患者診療信息安全自查工作,醫(yī)院將信息安全納入醫(yī)院安全管理的重要內(nèi)容，每月進行一次全員性大檢查，由此引發(fā)的醫(yī)療糾紛與事故，列入科室和個人目標管理績效考核和責(zé)任賠償。存在問題召開專門會議分析原因，明確責(zé)任，實施研整改。

8、當(dāng)發(fā)生患者診療信息泄露、毀損、丟失時,各科室（部門）應(yīng)當(dāng)立即報告信息科采取補救措施,必要時直接向院長報告，涉及侵犯患者隱私甚至社會安定和穩(wěn)定的，應(yīng)當(dāng)及時向公安機關(guān)報告。

三、具體管理制度分述(一)計算機安全管理

1、醫(yī)務(wù)人員應(yīng)按照計算機正確的使用方法操作計算機，嚴禁私自拆裝計算機或蓄意破壞計算機，若須拆裝，應(yīng)通知計算機中心技術(shù)人員進行。

2、計算機的軟件安裝和卸載工作必須由計算機中心技術(shù)人員進行。

3、計算機的使用應(yīng)為其合法授權(quán)者，未經(jīng)授權(quán)不得使用。醫(yī)院內(nèi)網(wǎng)計算機僅限于醫(yī)院內(nèi)部工作使用，原則上不許接入互聯(lián)網(wǎng)，以免病毒侵入造成網(wǎng)絡(luò)癱瘓。

4、接入互聯(lián)網(wǎng)的計算機必須安裝正版的反病毒軟件。并保證反病毒軟件實時升級。

5、因工作需要接入互聯(lián)網(wǎng)的，需書面向計算機中心提出申請，經(jīng)批準后由計算機中心負責(zé)接入。

6、醫(yī)院任何科室如發(fā)現(xiàn)或懷疑有計算機病毒侵入，應(yīng)立即斷開網(wǎng)絡(luò)，同時通知計算機中心技術(shù)人員負責(zé)處理。計算機中心應(yīng)采取措施清除，并向主管院領(lǐng)導(dǎo)報告?zhèn)浒浮?/p>

7、醫(yī)院內(nèi)網(wǎng)計算機不得安裝游戲、即時通訊等與工作無關(guān)的軟件，禁止在內(nèi)網(wǎng)計算機上使用移動存儲工具。

8、個人不得盜取其他員工的計算機使用用戶名和密碼，獵取、修改或拴除機內(nèi)信息，否則，一律按盜竊行為處罰。(二)網(wǎng)絡(luò)硬件安全管理

網(wǎng)絡(luò)硬件包括服務(wù)器、路由器、交換機、通信線路、不間斷供電設(shè)備、機柜、配線架、信息點模塊等提供網(wǎng)絡(luò)服務(wù)的設(shè)施及設(shè)備。

1、各職能部門、各科室應(yīng)妥善保管安置在本部門的網(wǎng)絡(luò)設(shè)備、設(shè)施。

2、不得破壞網(wǎng)絡(luò)設(shè)備、設(shè)施。由于施工或事故原因造成的網(wǎng)絡(luò)連接中斷的，應(yīng)根據(jù)其情節(jié)輕重對責(zé)任人予以處罰或賠償。

3、不得擅自中斷網(wǎng)絡(luò)硬件設(shè)備及設(shè)施的供電。因特殊原因必須停電的，應(yīng)提前通知網(wǎng)絡(luò)管理人員實施相應(yīng)應(yīng)急預(yù)案。

4、不得擅自挪動、轉(zhuǎn)移、增加、安裝、拆卸網(wǎng)絡(luò)設(shè)施及設(shè)備。特殊情況應(yīng)提前通知網(wǎng)絡(luò)管理人員，書面申請，批準后后方可實施。

5、硬件設(shè)施設(shè)備配置應(yīng)符合等級保護要求。(三)軟件及信息安全管理

1、計算機及外設(shè)所配軟件及驅(qū)動程序交信息科管理人員保管，以便于統(tǒng)一維護和管理。

2、管理系統(tǒng)軟件由網(wǎng)絡(luò)管理人員按使用范圍進行安裝，其他任何人不得安裝、復(fù)制、傳播此類軟件。

3、網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息的使用權(quán)限由網(wǎng)絡(luò)管理人員按醫(yī)院的有關(guān)規(guī)定予以分配，任何人不得擅自超越權(quán)限使用網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息。

4、網(wǎng)絡(luò)使用人員應(yīng)妥善保管各自的密碼及身份認證文件，不得將密碼及身份認證文件交與他人使用。

5、任何人不得將含有醫(yī)院信息的計算機或各種存儲介質(zhì)交與無關(guān)人員，更不得利用醫(yī)院數(shù)據(jù)信息獲取不正當(dāng)利益。違者予以相應(yīng)的處罰。造成嚴重后果觸犯刑律的，移送司法機關(guān)處理。

(四)網(wǎng)絡(luò)使用人員行為管理

1、不得在網(wǎng)絡(luò)中制作、復(fù)制、查閱和傳播國家法律、法規(guī)所禁止的信息。

2、不得在網(wǎng)絡(luò)中進行國家相關(guān)法律法規(guī)所禁止的活動。

3、不得擅自修改計算機中與網(wǎng)絡(luò)有關(guān)的設(shè)置。

4、不得私自添加、刪除與醫(yī)院網(wǎng)絡(luò)有關(guān)的軟件。

5、不得私自進入醫(yī)院網(wǎng)絡(luò)或者使用醫(yī)院網(wǎng)絡(luò)資源。

6、不得對醫(yī)院網(wǎng)絡(luò)功能進行刪除、修改或者增加。

7、不得對醫(yī)院網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加。

8、不得故意制作、傳播計算機病毒等破壞性程序。

9、不得進行其他危害醫(yī)院網(wǎng)絡(luò)安全及正常運行的活動。

10、違反以上規(guī)定者，予以相應(yīng)的處罰，造成嚴重后果觸犯刑律的，移送司法機關(guān)處理。

（五）其他方面的信息安全管理

1、涉及患者信息與醫(yī)院管理的內(nèi)部紙質(zhì)資料廢用時，應(yīng)當(dāng)妥善處理（焚燒、碎化），不得未經(jīng)有效處理流出院外。

2、本院工作人員不得將涉及本院患者的信息（含隱私、病情、身體健康狀況、生理缺陷、個人嗜好、宗教信仰、經(jīng)濟收入及家庭情況）向社會散布，由此引發(fā)的糾紛和相關(guān)法律責(zé)任，由自己負責(zé)全。

3、本院工作人員不得將涉及醫(yī)院核心技術(shù)、醫(yī)院運行數(shù)據(jù)、內(nèi)部管理文件等信息向社會散布，由此給醫(yī)院造成的一切損失，本院保留追責(zé)的權(quán)利。

第二篇：信息安全管理制度

信息安全管理制度

為了防止信息和技術(shù)的泄密，導(dǎo)致嚴重災(zāi)難的發(fā)生，請各位嚴格遵守以下安全規(guī)定：

一、工廠秘密具體范圍包括：

1.1 工廠董事會資料，會議記錄、紀要，保密期限內(nèi)的重要決定事項 1.2 工廠的工作總結(jié)，財務(wù)預(yù)算決算報告，繳納稅款、營銷報表和各種綜合統(tǒng)計報表

1.3 工廠有關(guān)銷售業(yè)務(wù)資料，貨源情報和對供應(yīng)商調(diào)研資料 1.4 工廠開發(fā)設(shè)計資料，技術(shù)資料和生產(chǎn)情況 1.5 客戶提供的一切文件、樣板等

1.6 工廠各部門人員編制.調(diào)整,未公布的計劃,員工福利待遇資料.員工手冊

1.7 工廠的安全防范狀況及存在問題

1.8 工廠員工違法違紀的檢舉.投訴.調(diào)查材料,發(fā)生案件,事故的調(diào)查登記資料

1.9 工廠、法人代表的印章、營業(yè)執(zhí)照、財務(wù)印章、合同協(xié)議。

二、工廠的保密制度

2.1 文件、傳真郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理

2.2 凡涉及公司內(nèi)部秘密的文件資料的報廢處理,必須首先碎紙,不準未經(jīng)2.3 碎紙丟棄處理

工廠員工本人工作所持有的各種文件、資料、電子文檔（磁碟，光盤等），當(dāng)本人離開辦公室外出時,須存放入文件柜或抽屜，不準隨意亂放，更未經(jīng)批準，不能復(fù)制抄錄或攜帶外出

未經(jīng)工廠領(lǐng)導(dǎo)批準,不得向外界提供公司的任何保密資料 未經(jīng)工廠領(lǐng)導(dǎo)批準,不得向外界提供客戶的任何資料 妥善保管好各種財務(wù)賬冊、公司證照、印章 2.4 2.5 2.6

三、電腦保密措施

3.1 不要將機密文件及可能是受保護文件隨意存放，文件的存放在分類分目錄存放于指定位置。3.2 未經(jīng)領(lǐng)導(dǎo)及他人許可，不要打開或嘗試打開他人文件，以避免泄密或文件的損壞。

3.3 對不明來歷的郵件或文件不要查看或嘗試打開，以避免計算機中病毒，并盡快請電腦室人員來檢查。

3.4 郵件的附件中，如果有出現(xiàn)一些附加名是：EXE，COM等可執(zhí)行的附件或其它可疑附件時，請先用殺毒軟件詳細查殺后再使用，或請OA中心人員處理。3.5 不要隨便嘗試不明的或不熟悉的計算機操作步驟。遇到計算機發(fā)生異常而自己無法解決時，就立即通知OA中心外，請專業(yè)人員解決。3.6 不要隨便安裝或使用不明來源的軟件或程序。不要隨便刪除電腦上的文件或程序及修改計算機參數(shù)等。

3.7 收到無意義的郵件后，應(yīng)及時清除，不要蓄意或惡意地回寄這些郵件。3.8 不向他人披露微機密碼，防止他人接觸計算機系統(tǒng)造成意外。

3.9 公司電腦不允許隨便使用移動存儲器（U盤、MP3、MP4、光盤、移動硬盤等），確需使用的，應(yīng)先向OA中心提出書面申請，由電腦管理人員登記使用。

3.10 定期更換密碼，如發(fā)現(xiàn)密碼已泄漏，應(yīng)盡快更換?；蛘堧娔X專業(yè)人員處理。

3.11 定期用殺毒程序掃描計算機系統(tǒng)。對于新的軟件、檔案或電子郵件，應(yīng)選用殺毒軟件掃描，檢查是否帶有病毒、有害的程序編碼，進行適當(dāng)?shù)奶幚砗蟛趴砷_啟使用。

3.12 先以加密技術(shù)保護敏感的數(shù)據(jù)文件，然后才通過工廠網(wǎng)絡(luò)及互聯(lián)網(wǎng)進行傳送。在適當(dāng)?shù)那闆r下，利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名關(guān)閉電子郵件所備有自動處理電子郵件附件功能，關(guān)閉電子郵件應(yīng)用系統(tǒng)或其它應(yīng)用軟件中可自動處理的功能，以防電腦病毒入侵。

3.13 對于不熟的人員，請不要讓其隨意使用你的計算機，如非要使用，應(yīng)有人在其身旁監(jiān)督。

3.14 不要隨意將工廠或個人的文件發(fā)送給他人，或打開給他人查看或使用。3.15 在計算機使用或管理上如有任何疑問，請詢問電腦室人員。

四、工廠的保密措施

4.1 工廠中層以上領(lǐng)導(dǎo),要自覺帶頭遵守保密制度。

4.2 工廠各部門要運用各種形式經(jīng)常對所屬員工進行保密教育,增強保密觀念。

4.3 全體員工自覺遵守保密基本準則,做到:不該說的機密，絕對不說,不該看的機密,絕對不看（含超越自己職責(zé)、業(yè)務(wù)范圍的文件、資料、電子文檔）。

4.4.對員工依照工廠本規(guī)定，保守工廠秘密，發(fā)現(xiàn)他人泄密，立即采取補救措施，避免或減輕損害后果的；對泄密或者非法獲取工廠秘密的行為及時檢舉投訴的，按照有關(guān)規(guī)定給予獎勵。

4.5.對員工因不遵守工廠規(guī)定，造成泄密事件，依照有關(guān)法規(guī)及工廠的獎懲規(guī)定, 給予紀律制裁.解雇，直至追究刑事責(zé)任。

第三篇：信息安全管理制度

信息安全管理組織機構(gòu)和人員職責(zé)管理

辦法

[日期：2010-12-18]作者：瀏覽:1812

第一章 總則

第一條 為加強海南電網(wǎng)公司信息安全管理工作，保障網(wǎng)絡(luò)與信息系統(tǒng)的正常運行，依據(jù)有關(guān)法律、法規(guī)及信息安全標準，特制定本辦法。

第二條 本辦法適用于海南電網(wǎng)公司（以下簡稱公司）本部、分公司，以及直屬各單位的信息安全組織機構(gòu)和人員職責(zé)的管理。其他聯(lián)網(wǎng)單位參照執(zhí)行。

第二章 信息安全領(lǐng)導(dǎo)小組

第三條 公司成立信息安全領(lǐng)導(dǎo)小組。領(lǐng)導(dǎo)小組是信息安全的最高決策機構(gòu)，下設(shè)辦公室掛靠在公司信息中心，負責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。

第四條 信息安全領(lǐng)導(dǎo)小組下設(shè)兩個工作組：

信息安全工作組

應(yīng)急處理工作組

第五條 信息安全領(lǐng)導(dǎo)小組的職責(zé)主要包括：

根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標準；

確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。

第三章 信息安全工作組

第六條 信息安全工作組組長由公司信息中心的負責(zé)人擔(dān)任。

第七條 信息安全工作組的主要職責(zé)包括：

貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作； 根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進行具體安排、落實； 組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；

負責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風(fēng)險的防范對策；

負責(zé)接受各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；

及時向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件。跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

第四章 應(yīng)急處理工作組

第八條 應(yīng)急處理工作組組長由公司信息中心的主要負責(zé)人擔(dān)任。

第九條 應(yīng)急處理工作組的主要職責(zé)包括：

審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；

決定相應(yīng)應(yīng)急預(yù)案的啟動，負責(zé)現(xiàn)場指揮，并組織相關(guān)人員排除故障，恢復(fù)系統(tǒng)；

每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進行測試和演練。

第五章 各分公司及直屬單位信息安全工作常設(shè)機構(gòu)及人員

第十條 各分公司及直屬單位應(yīng)指定分管信息的單位領(lǐng)導(dǎo)負責(zé)本單位信息安全管理，并配備信息安全技術(shù)人員，有條件的應(yīng)設(shè)置信息安全工作小組或辦公室，對海南電網(wǎng)公司信息安全領(lǐng)導(dǎo)小組和工作小組負責(zé)，落實本單位信息安全工作和應(yīng)急處理工作。

第六章 信息安全人員基本要求

第十一條 信息安全管理人員和專（兼）職信息安全技術(shù)人員應(yīng)當(dāng)政治可靠、業(yè)務(wù)素質(zhì)高、遵紀守法、恪盡職守。

第十二條 信息安全管理人員及專職和兼職信息安全技術(shù)人員應(yīng)有計算機專業(yè)工作三年以上經(jīng)歷，具備?？埔陨蠈W(xué)歷。

第十三條 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作。

第七章 信息安全人員管理

第十四條 信息安全人員的配備和變更情況，應(yīng)向上一級單位報告、備案。第十五條 信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及海南電網(wǎng)業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第八章 信息安全人員職責(zé)范圍

第十六條 信息安全人員應(yīng)履行以下職責(zé)：

負責(zé)信息安全管理的日常工作；

開展信息安全檢查工作，對要害崗位人員安全工作進行指導(dǎo)和監(jiān)督；

負責(zé)維護和審查有關(guān)安全審計記錄，及時發(fā)現(xiàn)存在問題，提出安全風(fēng)險防范對策；

開展信息安全知識的培訓(xùn)和宣傳工作；

監(jiān)控信息安全總體狀況，提出信息安全分析報告；

及時向信息安全工作領(lǐng)導(dǎo)小組和有關(guān)部門、單位報告信息安全事件。

第十七條 信息安全人員在行使職責(zé)時，確因工作需要，經(jīng)批準，可了解涉及電力生產(chǎn)、經(jīng)營與管理有關(guān)的信息系統(tǒng)的機密信息。

第十八條 信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向上級機構(gòu)信息安全主管部門報告。

第十九條 信息安全人員發(fā)現(xiàn)信息系統(tǒng)要害崗位人員使用不當(dāng)，應(yīng)及時建議有關(guān)單位、部門進行調(diào)整。

第二十條 信息安全人員必須嚴格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴守公司商業(yè)秘密。

第九章 要害崗位人員管理

第二十一條 信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、重要應(yīng)用開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務(wù)操作人員等崗位人員。

第二十二條 重要信息系統(tǒng)，是指涉及公司生產(chǎn)、建設(shè)與經(jīng)營、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)。

第二十三條 要害崗位人員上崗前必須經(jīng)單位人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗考查等，合格者方可上崗。

第二十四條 要害崗位人員有責(zé)任保護信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。

第二十五條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員不得兼任業(yè)務(wù)操作員；系統(tǒng)開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員。

第二十六條 對要害崗位人員應(yīng)實行定期考查制度，要害崗位人員應(yīng)定期接受安全培訓(xùn)，加強自身安全意識和風(fēng)險防范意識。

第二十七條 要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第二十八條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第十章 要害崗位安全責(zé)任

第二十九條 系統(tǒng)管理員安全責(zé)任

負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；

對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十條 網(wǎng)絡(luò)管理員安全責(zé)任

負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

安全配置網(wǎng)絡(luò)參數(shù)，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行； 監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；

對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第三十一條 系統(tǒng)開發(fā)員安全責(zé)任

系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)； 系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

不得對系統(tǒng)設(shè)置“后門”；

對系統(tǒng)核心技術(shù)保密。

第三十二條 系統(tǒng)維護員安全責(zé)任

負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

不得擅自改變系統(tǒng)功能；

不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告信息安全人員。

第三十三條 業(yè)務(wù)操作員安全責(zé)任

嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度；

不得向他人提供自己的操作密碼；

及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。

第三十四條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第十一章 第三方人員管理

第三十五條 第三方人員包括軟件開發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護商和服務(wù)提供商，以及實習(xí)學(xué)生和臨時工作人員。

第三十六條 應(yīng)對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。

第三十七條 第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。

第三十八條 一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的設(shè)備。

第三十九條 第三方人員的現(xiàn)場工作應(yīng)在本單位信息部門有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計。

第四十條 第三方人員工作結(jié)束后，應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。第十二章 培訓(xùn)與教育

第四十一條 信息安全人員應(yīng)定期參加下列信息安全知識和技能的培訓(xùn)：

信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；

信息安全基本知識的培訓(xùn)；

信息安全專門技能的培訓(xùn)。

第四十二條 信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。

第四十三條 應(yīng)對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓(xùn)，并應(yīng)注意培養(yǎng)信息安全意識。

第十三章 附則

第四十四條 本辦法由海南電網(wǎng)公司信息中心負責(zé)解釋。

第四十五條 本辦法自發(fā)布之日起施行。

第四篇：安全信息管理制度

安全信息管理制度

為發(fā)揮承包商在安全管理中的作用，傾聽承包商對安全管理的建議和要求，形成群策群力的安全監(jiān)督網(wǎng)絡(luò)，進一步加強現(xiàn)場安全管理，及時整改生產(chǎn)過程中的各類隱患，超前預(yù)防重大事故。根據(jù)安全生產(chǎn)的實際，特制定本制度。

一、項目部是信息收集、整理、傳遞和報送的中心，是信息管理部門和信息報送單位。

二、項目經(jīng)理分管信息工作，各承包商、供應(yīng)商兼信息員，加強信息的上報工作。

三、健全安全信息反饋體系，拓寬安全信息反饋渠道和增加安全信息源，及時、準確地掌握生產(chǎn)一線作業(yè)現(xiàn)場的安全狀況，為安全工作決策提供可靠的依據(jù)。

四、建立安全信息的直通快車，使各承包商有渠道快捷地向項目部反映對安全工作的合理化建議和要求，迅速有效地解決生產(chǎn)過程中出現(xiàn)的安全生產(chǎn)問題。

五、形成安全管理的互補、激勵和約束機制，促進安全管理制度的不斷完善和有效實施。

六、安全信息員的條件及范圍

（1）“安全第一”思想牢固，對安全生產(chǎn)有較高認識，能夠積極參與各項安全活動。

（2）具備一定的安全、技術(shù)業(yè)務(wù)素質(zhì)，現(xiàn)場經(jīng)驗豐富。

（3）有一定語言或書面表達能力，不怕得罪人，敢說真話不徇私情，不畏各種壓力，勇于為生產(chǎn)工作奉獻。

七、安全信息員的義務(wù)與職責(zé)

（1）認真學(xué)習(xí)安全技術(shù)業(yè)務(wù)知識，了解和掌握國家安全生產(chǎn)法律、法規(guī)及企業(yè)安全生產(chǎn)規(guī)章制度。

（2）積極參與本項目的各項安全活動，宣傳上級單位和項目的安全生產(chǎn)指示、指令和安全生產(chǎn)各項規(guī)定，應(yīng)邀列席相關(guān)安全工作會議。參加“信息反饋”、“安全座談”或現(xiàn)場安全監(jiān)察活動。

（3）收集和反映一線員工對安全管理的建議和要求。

（4）對各自的工作崗位和涉及到得所有施工現(xiàn)場、各級干部安全責(zé)任制的落實，實施安全監(jiān)督，隨時項目部匯報發(fā)現(xiàn)的情況。

（5）及時發(fā)現(xiàn)和真實地放映生產(chǎn)作業(yè)現(xiàn)場安全上存在的不安全隱患、質(zhì)量、管理問題和有一定價值的建議，隨時發(fā)現(xiàn)隨時反映，每月不少于兩條。

八、安全信息員的權(quán)利

（1）有權(quán)制止任何人違章作業(yè)；有權(quán)拒絕任何人的違章指揮。

（2）對于單位或領(lǐng)導(dǎo)忽視職工安全健康的錯誤決定和錯誤行為，有權(quán)提出批評或越級控告。

（3）發(fā)現(xiàn)生產(chǎn)作業(yè)存在“三違”或威脅安全生產(chǎn)的隱患和問題，有權(quán)直接向本單位主要領(lǐng)導(dǎo)報告或直接向安監(jiān)人員匯報，有權(quán)提出處理意見。

（4）兼職安全信息員在行使職權(quán)中，各單位和各級負責(zé)人要給與大力的支持和幫助，給與一定的活動時間；任何單位和個人不允許干涉和阻止，更不允許對其進行任何形式的打擊報復(fù)。否則，將嚴肅追究單位和相關(guān)領(lǐng)導(dǎo)的責(zé)任，維護安全信息員的正當(dāng)權(quán)益。

第五篇：信息安全管理制度

信息安全管理制度

為了切實有效的保證總公司信息系統(tǒng)安全，提高信息系統(tǒng)為總公司生產(chǎn)經(jīng)營的服務(wù)能力，特制定信息系統(tǒng)相關(guān)安全管理制度，設(shè)定信息管理部門及系統(tǒng)管理人員對總公司整體信息系統(tǒng)進行管理，以保證總公司信息系統(tǒng)的正常運行。

1、相關(guān)介紹

1.1 計算機網(wǎng)絡(luò)系統(tǒng)由基礎(chǔ)線路，網(wǎng)絡(luò)硬件設(shè)備、軟件，終端設(shè)備的網(wǎng)絡(luò)系統(tǒng)及各應(yīng)用系統(tǒng)配置組成。

1.2 基礎(chǔ)線路是指：聯(lián)系整個信息系統(tǒng)的所有基礎(chǔ)線路，包括公司內(nèi)部的局域網(wǎng)線路及相關(guān)管路。

1.3 網(wǎng)絡(luò)硬件設(shè)備是指：服務(wù)器、防火墻、交換機、光纖接入器及各終端設(shè)備；軟件包括：PC操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件、有關(guān)專業(yè)的網(wǎng)絡(luò)應(yīng)用軟件等。

1.4 終端設(shè)備的網(wǎng)絡(luò)系統(tǒng)配置包括終端設(shè)備在網(wǎng)絡(luò)上的名稱，IP地址分配，用戶登錄名稱、用戶密碼、用戶權(quán)限及Internet的配置等。

1.5 應(yīng)用系統(tǒng)是指：辦公平臺、門戶網(wǎng)站以及財務(wù)管理軟件和各類生產(chǎn)經(jīng)營管理軟件。

2、信息管理人員職責(zé)

2.1 負責(zé)系統(tǒng)軟件的調(diào)研、采購、安裝、升級、保管工作。

2.2 負責(zé)公司網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)線路的實施、安全及維護。

2.3 負責(zé)軟件有效版本的管理。

2.4 信息管理部門為計算機系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫安全管理的歸口管理部門。

2.5 信息管理人員負責(zé)計算機網(wǎng)絡(luò)、辦公自動化、生產(chǎn)經(jīng)營各類應(yīng)用軟件的安全運行；服務(wù)器安全運行和數(shù)據(jù)備份；internet對外接口安全以及計算機系統(tǒng)防病毒管理；各種軟件的用戶密碼及權(quán)限管理；協(xié)助職能科室進行數(shù)據(jù)備份和數(shù)據(jù)歸檔。

2.6 信息管理人員執(zhí)行企業(yè)保密制度，嚴守企業(yè)商業(yè)機密。

2.7 系統(tǒng)管理員的密碼必須由信息管理部門相關(guān)人員掌握。

3、用戶的職責(zé)和義務(wù)

3.1 用戶有權(quán)以自己合法的身份登錄網(wǎng)絡(luò)及使用指定應(yīng)用系統(tǒng)。

3.2 用戶不得盜用其他人的身份登陸網(wǎng)絡(luò)或進入應(yīng)用系統(tǒng)，確因工作需要需取得他人受權(quán)或征得他人同意。

3.3 用戶應(yīng)保管好自己的密碼，并三個月更換一次密碼，以保證數(shù)據(jù)安全。

3.4 用戶執(zhí)行計算機安全管理制度，遵守企業(yè)保密制度。

4、基礎(chǔ)線路建設(shè)管理

4.1 在進行網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)線路新建或增加時，系統(tǒng)管理部門應(yīng)會同相關(guān)部門及專業(yè)公司盡可能的從整體性、先進性、可拓展性等方面規(guī)劃建設(shè)，有公司網(wǎng)絡(luò)系統(tǒng)的可持續(xù)發(fā)展打下良好的基礎(chǔ)。

4.2 基礎(chǔ)建設(shè)完成后，將基礎(chǔ)建設(shè)所涉及的圖紙、標識等竣工資料保管整齊，以備后續(xù)的增添及維護。

4.3 在日常維護中，如有增加或改變走線方向等，需在原有資料上作好相應(yīng)更改。

4.4 在重要線路或容易遭受破壞部位，應(yīng)設(shè)立警示牌或其它警示標志，以保護基礎(chǔ)線路。

5、軟件有效版本管理

5.1 信息管理員應(yīng)建立系統(tǒng)、平臺、專業(yè)、管理軟件的有效版本清單，并定期發(fā)布。

6、數(shù)據(jù)備份管理

6.1 服務(wù)器數(shù)據(jù)備份

6.1.1 每周應(yīng)至少做一次賬務(wù)管理軟件數(shù)據(jù)的備份，并在備份服務(wù)器中進行邏輯備份的驗證工作，經(jīng)過驗證的邏輯備份存放在不同的物理設(shè)備中，至少同時保留兩個完整的數(shù)據(jù)備份。

6.1.2 每月至少對數(shù)據(jù)服務(wù)器、應(yīng)用服務(wù)器和文件服務(wù)器做一次數(shù)據(jù)備份。

6.1.3 數(shù)據(jù)庫進行自動實時備份。

6.1.4 自動或手工備份的數(shù)據(jù)應(yīng)在數(shù)據(jù)庫故障時能夠準確恢復(fù)。

6.2 管理信息的備份

6.2.1 各部門應(yīng)定時對管理數(shù)據(jù)進行備份。

6.2.2 每年的1或2月份，計算機人員應(yīng)協(xié)助職能科室對上一的管理數(shù)據(jù)進行備份、標識并歸檔。

7、計算機病毒防治

7.1 在服務(wù)器和客戶端微機上安裝病毒自動檢測程序和防病毒軟件，信息管理人員應(yīng)及時下載防病毒疫苗，用戶應(yīng)及時下載疫苗并檢測、殺毒。

7.2 在向微機及服務(wù)器拷貝或安裝軟件前，首先要進行病毒檢測。如用戶經(jīng)管理代表批準安裝外來軟件，應(yīng)經(jīng)過計算機人員對安裝軟件進行防病毒檢測。

7.3 對于外來的圖紙和文件，在使用前要進行病毒監(jiān)測。

7.4 送外維修和欲聯(lián)網(wǎng)的計算機必須經(jīng)過病毒檢測后，方可聯(lián)入網(wǎng)絡(luò)。

7.5 為了防止病毒侵蝕，員工和信息管理人員不得從internet網(wǎng)下載游戲及與工作無關(guān)的軟件，不得在服務(wù)器或關(guān)鍵客戶端微機上安裝、運行游戲軟件。

8、文件服務(wù)器的管理

8.1 文件服務(wù)器中為用戶預(yù)留了一定的存儲空間，存放重要文件、設(shè)計圖紙和階段成果，以避免在本地硬盤遭到損壞時丟失文件。

9、系統(tǒng)管理員安全責(zé)任

9.1 系統(tǒng)管理員應(yīng)對所管理系統(tǒng)的用戶權(quán)限的安全負責(zé)。

9.2 系統(tǒng)管理員不得擅自泄露其他用戶的用戶名及密碼，不得為員工檢索其他人員信息和企業(yè)保密信息。

9.3 因工作需要，經(jīng)主管領(lǐng)導(dǎo)批準，系統(tǒng)管理員可以為用戶檢索、打印企業(yè)信息，但應(yīng)妥善保管打印件，并對作廢內(nèi)容及時銷毀。

9.4 系統(tǒng)管理員不得隨意修改合法用戶的身份，確因工作需要應(yīng)得到主管領(lǐng)導(dǎo)的批準。

9.5 系統(tǒng)管理員應(yīng)遵守保密制度，不泄漏企業(yè)信息。

9.6 對于新上崗信息管理人員，系統(tǒng)管理員應(yīng)對其進行崗位培訓(xùn)，培訓(xùn)崗位標準、計算機管理制度、操作規(guī)程，落實安全職責(zé)。

10、重大操作事項審批制度

10.1 涉及到服務(wù)器系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫安全的操作應(yīng)填寫《重大操作事項審批表》，任何人不得擅自更改運行系統(tǒng)的相關(guān)配置。

10.2 部門負責(zé)人應(yīng)組織相關(guān)人員及專家討論操作的必要性和可行性，制定安全措施和操作步驟。

10.3 經(jīng)批準的重大操作需做充分的實驗和準備，并驗證其可行和安全后，由兩人以上共同操作。

10.4 對管理軟件的重大操作和維護應(yīng)執(zhí)行重大操作審批制度，不允許對運行的軟件進行直接調(diào)試和試運行。

10.5 在重大操作實施之前，應(yīng)做好系統(tǒng)的備份。在實施過程中，應(yīng)詳細記錄操作過程，以保證實施過程發(fā)生意外時能將系統(tǒng)恢復(fù)到實施前的運行狀況。