第一篇:4.1.6 網絡數據和信息安全管理規范
XXXX有限公司
WHB-08
網絡數據和信息安全管理規范
版本號: A/0 編制人: XXX 審核人: XXX 批準人: XXX
20XX年X月X日發布 20XX年X月X日實施
1.0目的
計算機網絡為公司局域網提供網絡基礎平臺服務和互聯網接入服務。為保證公司計算機信息及網絡能夠安全可靠的運行,充分發揮信息服務方面的重要作用,更好的為公司運營提供服務,依據國家有關法律、法規的規定,結合公司實際情況制定本規定。2.0術語
本規范中的名詞術語(比如“計算機信息安全”等)符合國家以及行業的相關規定。2.1計算機信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識,控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統安全、數據庫安全、病毒防護、訪問權限控制、加密與鑒別等七個方面。
2.2狹義上的計算機信息安全,是指防止有害信息在計算機網絡上的傳播和擴散,防止計算機網絡上處理、傳輸、存儲的數據資料的失竊和毀壞,防止內部人員利用計算機網絡制作、傳播有害信息和進行其他違法犯罪活動。
2.3網絡安全,是指保護計算機網絡的正常運行,防止網絡被入侵、攻擊等,保證合法用戶對網絡資源的正常訪問和對網絡服務的正常使用。
2.4計算機及網絡安全員,是指從事的保障計算機信息及網絡安全工作的人員。2.5普通用戶,是指除了計算機及網絡安全員之外的所有在物理或者邏輯上能夠訪問到互聯網、企業計算機網及各應用系統的公司內部員工。
2.6主機系統,指包含服務器、工作站、個人計算機在內的所有計算機系統。本規定所稱的重要主機系統指生產、辦公用的Web服務器、Email服務器、DNS服務器、OA服務器、企業運營管理支撐系統服務器、文件服務器、各主機系統等。
2.7網絡服務,包含通過開放端口提供的網絡服務,如WWW、Email、FTP、Telnet、DNS等。
2.8有害信息,參見國家現在法律法規的定義。
2.9重大計算機信息安全事件,是指公司對外網站(電子公告板等)上出現有害信息;有害信息通過Email及其他途徑大面積傳播或已造成較大社會影響;計算機病毒的蔓延;重要文件、數據、資料被刪除、篡改、竊取;由安全問題引起的系統崩潰、網絡部分或全部癱瘓、網絡服務部分或全部中斷;系統被入侵;頁面被非法替換或者修改;主機房及設備被人為破壞;重要計算機設備被盜竊等事件。3.0組織架構及職責分工
3.1公司設立計算機信息及網絡安全領導小組,作為公司計算機信息安全工作的領導機
構,統一歸口負責外部部門(政府和其他部門)有關計算機信息安全工作和特定事件的處理。
3.3計算機信息及網絡安全領導小組負責領導、檢查、督促、制定信息安全策略、規章制度和措施,加強計算機信息安全工作的管理和指導,落實國家有關計算機信息安全的法律、法規和上級有關規定,保障公司的計算機信息的安全。
3.4計算機信息及網絡安全工作實行“誰主管,誰負責”的原則,各部門負責人對本部門計算機信息及網絡安全負直接責任。
3.5各部門必須配備由計算機技術人員擔任本部門的計算機及網絡安全員,并報公司計算機信息及網絡安全領導小組備案。各部門計算機及網絡安全員負責本部門計算機信息及網絡安全的技術規劃和安全措施的具體實施和落實。3.6相關崗位信息安全職責: 3.6.1計算機及網絡安全員:
1)負責本部門計算機信息及網絡安全工作的具體實施,及時掌握和處理有關信息安全問題。
2)定期或不定期檢測本部門計算機信息及網絡安全情況,發現安全漏洞和隱患及時報告,并提出整改意見、建議和技術措施。
3)指導和監督、檢查本部門員工在計算機信息安全防護、數據保護及賬號、口令設置使用的情況。
4)發現計算機信息安全問題,及時處理,保護現場,追查原因,并報部門計算機信息安全領導小組。
5)定期分析計算機安全系統日志,并作相應處理。
6)驗證本部門重要數據保護對象的安全控制方法和措施的有效性,對于不符合安全控制要求的提出技術整改措施,對本部門的數據備份策略進行驗證并實施。
7)負責所管理的計算機主機系統及網絡設備的安全管理和安全設置工作。8)負責所管理計算機主機系統和網絡設備的用戶賬號及授權管理。
9)定期分析操作系統日志,定期或不定期檢查系統進程,在發現異常的系統進程或者系統進程數量的異常變化要及時進行處理。
10)負責指導并督促用戶設置高安全性的賬號口令和安全日志。
11)進行計算機信息安全事件的排除和修復,包括操作系統、應用系統、文件的恢復以及安全漏洞的修補。
12)在正常的系統升級后,對系統重新進行安全設置,并對系統進行技術安全檢查。
13)根據上級和本級計算機信息安全領導的要求,按照規定的流程進行系統升級或安全補丁程序的安裝。
14)管理本部門的計算機網絡服務和相應端口,并進行登記備案和實施技術安全管理。15)根據數據備份策略,完成所管理系統數據的備份、備份介質保管、數據恢復工作。3.6.2普通用戶職責:
1)自覺遵守計算機信息及網絡安全的法律、法規和規定。2)負責所使用個人計算機設備及數據和業務系統賬號的安全。
3)發現本部門計算機網存在的安全隱患及安全事件,及時報告部門計算機管理部門。4)不得擅自安裝、維護公司所有網絡設備(包括路由器、交換機、集線器、光纖、網線),不得私自接入網絡。
3.7各部門應保持計算機及網絡安全員的相對穩定,并加強對計算機及網絡安全員的教育和技術培訓。在計算機及網絡安全員調動、離職或者其他原因離開原崗位時,應將其涉及的用戶賬號和權限及時進行變更或注銷。4.0 系統安全規定
4.1公司計算機機房由計算機管理部門負責管理,并建立出入登記和審批制度。攜帶計算機設備及磁盤等存儲介質進、出主機房,應經主管部門同意,并由機房管理人員進行核查登記。
4.2各部門計算機管理部門應指定專人負責本部門計算機設備的管理,做好計算機設備的增添、維修、調撥等的審核與管理。計算機設備維修特別是需離場維修或承包給企業外部人員維護、維修時,應核實該設備中是否存儲有涉及企業秘密、不宜公開的內部資料和賬號、密碼等,如有應采取拆卸硬盤、有效刪除有關資料等有效措施,防止泄密。4.3使用、操作計算機設備時,應遵循以下安全要求:
1)保管好自己使用或所負責保管計算機設備的賬號、口令,并不定期更換口令,不得轉借、轉讓賬號。
2)不安裝和使用來歷不明、沒有版權的軟件,對于外來的軟件、數據文件等,必須先經病毒檢測,確認無感染、攜帶病毒后方可使用。
3)不在個人使用的計算機上安裝與工作無關的軟件。
4)不擅自更改設備的IP地址及網絡拓撲結構及軟、硬件配置。5)在存儲有重要數據的計算機上,應設置開機密碼、屏幕保護密碼。
6)在個人計算機上安裝防病毒軟件,并開啟實時病毒監測功能,及時升級病毒庫和軟件。
7)非經計算機管理部門的有效許可,不得對網絡進行安全(漏洞)掃描和對賬號、口令及數據包進行偵聽;不得利用網絡服務實施網絡攻擊、散布病毒和發布有害信息。在網絡設備及主機系統進行操作還應該遵循有關網絡安全規定。5.0 賬號管理安全
5.1賬號的設置必須遵循“唯一性、必要性、最小授權”的原則。
唯一性原則是指每個賬號對應一個用戶,不允許多人共同擁有同一賬號。必要性原則是指賬號的建立和分配應根據工作的必要性進行分配,不能根據個人需要、職位進行分配,禁止與所管理主機系統無關的人員在系統上擁有用戶賬號,要根據工作變動及時關閉不需要的系統賬號。
最小授權原則是指對賬號的權限應進行嚴格限制,其權限不能大于其工作、業務需要。超出正常權限范圍的,要經主管領導審批。
5.2系統中所有的用戶(包括超級權限用戶和普通用戶)必須登記備案,并定期審閱。5.3嚴禁用戶將自己所擁有的用戶賬號轉借他人使用。
5.4員工發生工作變動,必須重新審核其賬號的必要性和權限,及時取消非必要的賬號和調整賬號權限;如員工離開本部門,須立即取消其賬號。
5.5在本部門每個應用系統、網絡工程驗收后,應立即刪除系統中所有的測試賬號和臨時賬號,對需要保留的賬號口令重新進行設置。
5.6系統管理員必須定期對系統上的賬號及使用情況進行審核,發現可疑用戶賬號時及時核實并作相應的處理,對長期不用的用戶賬號進行鎖定。
5.7 一般情況下不允許外部人員直接進入主機系統進行操作。在特殊情況下(如系統維修、升級等)外部人員需要進入系統操作,必須由系統管理員進行登錄,并對操作過程進行記錄備案。禁止將系統用戶及口令直接交給外部人員。6.0 口令安全管理
6.1口令的選取、組成、長度、修改周期應符合安全規定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符串作為口令,也不要使用單個單詞作為口令,在口令組成上必須包含大小寫字母、數字、標點等不同的字符組合,口令長度要求在8位以上。6.2重要的主機系統,要求至少每個月修改口令,對于管理用的工作站和個人計算機,要求至少每兩個月修改口令。
6.3重要的主機系統應逐步采用一次性口令及其它可靠的身份認證技術。6.4本地保存的用戶口令應加密存放,防止用戶口令泄密。6.5軟件安全管理:
6.1不安裝和使用來歷不明、沒有版權的軟件。6.2不得在重要的主機系統上安裝測試版的軟件。
6.3開發、修改應用系統時,要充分考慮系統安全和數據安全,從數據的采集、傳輸、處理、存貯,訪問控制等方面進行論證,測試、驗收時也必須進行相應的安全性能測試、驗收。
6.4操作系統和應用軟件應根據其本身存在的安全漏洞及時進行必須的安全設置、升級和打安全補丁。
6.5個人計算機上不得安裝與工作無關的軟件。在服務器系統上禁止安裝與服務器所提供服務和應用無關的其它軟件。
6.6系統設備和應用軟件的登錄提示應對可能的攻擊嘗試、非授權訪問提出警告。6.7主機系統的服務器、工作站所使用的操作系統必須進行登記。登記記錄上應該標明廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容,并進行存檔保存。6.8重要的主機系統在系統啟用、重新安裝或者升級時應建立系統鏡像,在發生網絡安全問題時利用系統鏡像對系統進行完整性檢查。
7.0服務器、網絡設備、計算機安全系統(如防火墻、入侵檢測系統等)等應具備日志功能并必須啟用。網絡信息安全管理員要定期分析網絡安全系統和操作系統日志,在發現系統遭受攻擊或者攻擊嘗試時采取安全措施進行保護,對網絡攻擊或者攻擊嘗試進行定位、跟蹤并發出警告,并向網絡信息安全領導小組報告。系統日志必須保存三個月以上。8.0新建計算機網絡、應用系統必須同時進行網絡信息安全的設計。9.0 互聯網信息安全
9.1公司對外網站、需定期做安全檢查,并設置好相關的信息發布、管理權限,防止有害信息傳播。
9.2各部門搭建的電子郵件系統,禁止開啟匿名轉發功能,并應按有關規定從技術、管理上采取有效措施過濾垃圾電子郵件及有害信息。10.0數據安全
10.1需要保護的重要數據至少包括:
1)重要文件、資料、圖紙(電子版)。2)財會系統數據庫。3)重要主機系統的系統數據。4)其他重要數據。
10.2各部門計算機管理部門應制定數據備份策略及重要數據災難恢復計劃,及時做好數
據備份及恢復。
10.3對數據備份必須有明確的記錄,在記錄中標明備份內容、備份時間,備份操作人員等信息。對于重要數據的備份必須異地存放,并做好相關的異地備份記錄。
10.4各部門必須每年至少進行一次數據備份策略的有效性的驗證,對數據恢復過程進行試驗,確保在發生安全問題時能夠從數據備份中進行恢復。
10.5各部門計算機管理部門應對所管理系統上存儲的數據進行登記備案,登記的內容主要包括:需要保護的數據、存儲的位置、存儲的形式、安全控制的方法和措施、負責安全管理和日常備份的人員、可以訪問數據的用戶、訪問的方式以及權限。
10.6涉及企業秘密及具有高保密性要求(如口令文件)的數據在傳輸、存貯時應加密。10.7禁止在沒有采用安全保護機制的計算機上存儲重要數據,在存儲重要數據的計算機至少應該有開機口令、登錄口令、數據庫口令、屏幕保護等防護措施。禁止在個人計算機上存放重要數據。
10.8不得以軟盤或者筆記本電腦等形式將重要數據帶出系統。如確實必需,須將數據用安全可靠的加密手段加密存儲,并將存儲的軟盤或筆記本電腦比照密級文件管理。11.0安全管理
11.1各部門必須對本部門的計算機信息及網絡安全進行經常性的檢查、檢測:
1)系統安全檢查應每月檢查、檢測一次; 2)計算機病毒防治應每月至少全面檢查一次; 3)數據備份應每月檢查一次。
11.2檢查發現計算機信息及網絡安全隱患,應組織安全隱患整治,不能馬上整治的,應采取有效措施預防網絡信息安全事件和案件的發生。
11.3發生計算機信息及網絡安全事件,應馬上組織人員妥善處理,防止擴散影響。觸犯刑律的,應保存證據,報告公安機關,并配合查處。
11.4發生重大計算機信息及網絡安全事件須在24小時內上報。
11.5各部門應對用戶及本部門員工進行網絡信息安全宣傳,宣傳有關國家法律、法規和網絡信息安全知識,加強用戶的法律意識和安全意識,不得從事任何危害網絡信息安全的行為。
12.0 顧客網絡信息安全
12.1 維護人員不得將顧客系統的密碼泄露給他人。
12.2 維護人員因工作原因進入顧客系統是,不得復制、刪除、修改顧客信息。12.3 進入顧客系統應使用專用計算機,該計算機應每周進行殺毒,以防將病毒傳入顧客
系統。
12.4 維護人員的客戶端應及時升級或更新,確保其與顧客系統的版本保持一致。
第二篇:網絡數據和信息安全管理規范
網絡數據和信息安全管理規范
XXXX有限公司
WHB-08
網絡數據和信息安全管理規范
版本號:
A/0
編制人:
XXX
審核人:
XXX
批準人:
XXX
20XX年X月X日發布
20XX年X月X日實施
目的計算機網絡為公司局域網提供網絡基礎平臺服務和互聯網接入服務。為保證公司計算機信息及網絡能夠安全可靠的運行,充分發揮信息服務方面的重要作用,更好的為公司運營提供服務,依據國家有關法律、法規的規定,結合公司實際情況制定本規定。
術語
本規范中的名詞術語(比如“計算機信息安全”等)符合國家以及行業的相關規定。
計算機信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識,控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統安全、數據庫安全、病毒防護、訪問權限控制、加密與鑒別等七個方面。
狹義上的計算機信息安全,是指防止有害信息在計算機網絡上的傳播和擴散,防止計算機網絡上處理、傳輸、存儲的數據資料的失竊和毀壞,防止內部人員利用計算機網絡制作、傳播有害信息和進行其他違法犯罪活動。
網絡安全,是指保護計算機網絡的正常運行,防止網絡被入侵、攻擊等,保證合法用戶對網絡資源的正常訪問和對網絡服務的正常使用。
計算機及網絡安全員,是指從事的保障計算機信息及網絡安全工作的人員。
普通用戶,是指除了計算機及網絡安全員之外的所有在物理或者邏輯上能夠訪問到互聯網、企業計算機網及各應用系統的公司內部員工。
主機系統,指包含服務器、工作站、個人計算機在內的所有計算機系統。本規定所稱的重要主機系統指生產、辦公用的Web服務器、Email服務器、DNS服務器、OA服務器、企業運營管理支撐系統服務器、文件服務器、各主機系統等。
網絡服務,包含通過開放端口提供的網絡服務,如WWW、Email、FTP、Telnet、DNS等。
有害信息,參見國家現在法律法規的定義。
重大計算機信息安全事件,是指公司對外網站(電子公告板等)上出現有害信息;有害信息通過Email及其他途徑大面積傳播或已造成較大社會影響;計算機病毒的蔓延;重要文件、數據、資料被刪除、篡改、竊取;由安全問題引起的系統崩潰、網絡部分或全部癱瘓、網絡服務部分或全部中斷;系統被入侵;頁面被非法替換或者修改;主機房及設備被人為破壞;重要計算機設備被盜竊等事件。
組織架構及職責分工
公司設立計算機信息及網絡安全領導小組,作為公司計算機信息安全工作的領導機構,統一歸口負責外部部門(政府和其他部門)有關計算機信息安全工作和特定事件的處理。
計算機信息及網絡安全領導小組負責領導、檢查、督促、制定信息安全策略、規章制度和措施,加強計算機信息安全工作的管理和指導,落實國家有關計算機信息安全的法律、法規和上級有關規定,保障公司的計算機信息的安全。
計算機信息及網絡安全工作實行“誰主管,誰負責”的原則,各部門負責人對本部門計算機信息及網絡安全負直接責任。
各部門必須配備由計算機技術人員擔任本部門的計算機及網絡安全員,并報公司計算機信息及網絡安全領導小組備案。各部門計算機及網絡安全員負責本部門計算機信息及網絡安全的技術規劃和安全措施的具體實施和落實。
相關崗位信息安全職責:
1)負責本部門計算機信息及網絡安全工作的具體實施,及時掌握和處理有關信息安全問題。
2)定期或不定期檢測本部門計算機信息及網絡安全情況,發現安全漏洞和隱患及時報告,并提出整改意見、建議和技術措施。
3)指導和監督、檢查本部門員工在計算機信息安全防護、數據保護及賬號、口令設置使用的情況。
4)發現計算機信息安全問題,及時處理,保護現場,追查原因,并報部門計算機信息安全領導小組。
5)定期分析計算機安全系統日志,并作相應處理。
6)驗證本部門重要數據保護對象的安全控制方法和措施的有效性,對于不符合安全控制要求的提出技術整改措施,對本部門的數據備份策略進行驗證并實施。
7)負責所管理的計算機主機系統及網絡設備的安全管理和安全設置工作。
8)負責所管理計算機主機系統和網絡設備的用戶賬號及授權管理。
9)定期分析操作系統日志,定期或不定期檢查系統進程,在發現異常的系統進程或者系統進程數量的異常變化要及時進行處理。
10)負責指導并督促用戶設置高安全性的賬號口令和安全日志。
11)進行計算機信息安全事件的排除和修復,包括操作系統、應用系統、文件的恢復以及安全漏洞的修補。
12)在正常的系統升級后,對系統重新進行安全設置,并對系統進行技術安全檢查。
13)根據上級和本級計算機信息安全領導的要求,按照規定的流程進行系統升級或安全補丁程序的安裝。
14)管理本部門的計算機網絡服務和相應端口,并進行登記備案和實施技術安全管理。
15)根據數據備份策略,完成所管理系統數據的備份、備份介質保管、數據恢復工作。
1)自覺遵守計算機信息及網絡安全的法律、法規和規定。
2)負責所使用個人計算機設備及數據和業務系統賬號的安全。
3)發現本部門計算機網存在的安全隱患及安全事件,及時報告部門計算機管理部門。
4)不得擅自安裝、維護公司所有網絡設備(包括路由器、交換機、集線器、光纖、網線),不得私自接入網絡。
各部門應保持計算機及網絡安全員的相對穩定,并加強對計算機及網絡安全員的教育和技術培訓。在計算機及網絡安全員調動、離職或者其他原因離開原崗位時,應將其涉及的用戶賬號和權限及時進行變更或注銷。
系統安全規定
公司計算機機房由計算機管理部門負責管理,并建立出入登記和審批制度。攜帶計算機設備及磁盤等存儲介質進、出主機房,應經主管部門同意,并由機房管理人員進行核查登記。
各部門計算機管理部門應指定專人負責本部門計算機設備的管理,做好計算機設備的增添、維修、調撥等的審核與管理。計算機設備維修特別是需離場維修或承包給企業外部人員維護、維修時,應核實該設備中是否存儲有涉及企業秘密、不宜公開的內部資料和賬號、密碼等,如有應采取拆卸硬盤、有效刪除有關資料等有效措施,防止泄密。
使用、操作計算機設備時,應遵循以下安全要求:
1)保管好自己使用或所負責保管計算機設備的賬號、口令,并不定期更換口令,不得轉借、轉讓賬號。
2)不安裝和使用來歷不明、沒有版權的軟件,對于外來的軟件、數據文件等,必須先經病毒檢測,確認無感染、攜帶病毒后方可使用。
3)不在個人使用的計算機上安裝與工作無關的軟件。
4)不擅自更改設備的IP地址及網絡拓撲結構及軟、硬件配置。
5)在存儲有重要數據的計算機上,應設置開機密碼、屏幕保護密碼。
6)在個人計算機上安裝防病毒軟件,并開啟實時病毒監測功能,及時升級病毒庫和軟件。
7)非經計算機管理部門的有效許可,不得對網絡進行安全(漏洞)掃描和對賬號、口令及數據包進行偵聽;不得利用網絡服務實施網絡攻擊、散布病毒和發布有害信息。在網絡設備及主機系統進行操作還應該遵循有關網絡安全規定。
賬號管理安全
賬號的設置必須遵循“唯一性、必要性、最小授權”的原則。
唯一性原則是指每個賬號對應一個用戶,不允許多人共同擁有同一賬號。
必要性原則是指賬號的建立和分配應根據工作的必要性進行分配,不能根據個人需要、職位進行分配,禁止與所管理主機系統無關的人員在系統上擁有用戶賬號,要根據工作變動及時關閉不需要的系統賬號。
最小授權原則是指對賬號的權限應進行嚴格限制,其權限不能大于其工作、業務需要。超出正常權限范圍的,要經主管領導審批。
系統中所有的用戶(包括超級權限用戶和普通用戶)必須登記備案,并定期審閱。
嚴禁用戶將自己所擁有的用戶賬號轉借他人使用。
員工發生工作變動,必須重新審核其賬號的必要性和權限,及時取消非必要的賬號和調整賬號權限;如員工離開本部門,須立即取消其賬號。
在本部門每個應用系統、網絡工程驗收后,應立即刪除系統中所有的測試賬號和臨時賬號,對需要保留的賬號口令重新進行設置。
系統管理員必須定期對系統上的賬號及使用情況進行審核,發現可疑用戶賬號時及時核實并作相應的處理,對長期不用的用戶賬號進行鎖定。
一般情況下不允許外部人員直接進入主機系統進行操作。在特殊情況下(如系統維修、升級等)外部人員需要進入系統操作,必須由系統管理員進行登錄,并對操作過程進行記錄備案。禁止將系統用戶及口令直接交給外部人員。
口令安全管理
口令的選取、組成、長度、修改周期應符合安全規定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符串作為口令,也不要使用單個單詞作為口令,在口令組成上必須包含大小寫字母、數字、標點等不同的字符組合,口令長度要求在8位以上。
重要的主機系統,要求至少每個月修改口令,對于管理用的工作站和個人計算機,要求至少每兩個月修改口令。
重要的主機系統應逐步采用一次性口令及其它可靠的身份認證技術。
本地保存的用戶口令應加密存放,防止用戶口令泄密。
軟件安全管理:
不安裝和使用來歷不明、沒有版權的軟件。
不得在重要的主機系統上安裝測試版的軟件。
開發、修改應用系統時,要充分考慮系統安全和數據安全,從數據的采集、傳輸、處理、存貯,訪問控制等方面進行論證,測試、驗收時也必須進行相應的安全性能測試、驗收。
操作系統和應用軟件應根據其本身存在的安全漏洞及時進行必須的安全設置、升級和打安全補丁。
個人計算機上不得安裝與工作無關的軟件。在服務器系統上禁止安裝與服務器所提供服務和應用無關的其它軟件。
系統設備和應用軟件的登錄提示應對可能的攻擊嘗試、非授權訪問提出警告。
主機系統的服務器、工作站所使用的操作系統必須進行登記。登記記錄上應該標明廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容,并進行存檔保存。
重要的主機系統在系統啟用、重新安裝或者升級時應建立系統鏡像,在發生網絡安全問題時利用系統鏡像對系統進行完整性檢查。
服務器、網絡設備、計算機安全系統(如防火墻、入侵檢測系統等)等應具備日志功能并必須啟用。網絡信息安全管理員要定期分析網絡安全系統和操作系統日志,在發現系統遭受攻擊或者攻擊嘗試時采取安全措施進行保護,對網絡攻擊或者攻擊嘗試進行定位、跟蹤并發出警告,并向網絡信息安全領導小組報告。系統日志必須保存三個月以上。
新建計算機網絡、應用系統必須同時進行網絡信息安全的設計。
互聯網信息安全
公司對外網站、需定期做安全檢查,并設置好相關的信息發布、管理權限,防止有害信息傳播。
各部門搭建的電子郵件系統,禁止開啟匿名轉發功能,并應按有關規定從技術、管理上采取有效措施過濾垃圾電子郵件及有害信息。
數據安全
需要保護的重要數據至少包括:
1)重要文件、資料、圖紙(電子版)。
2)財會系統數據庫。
3)重要主機系統的系統數據。
4)其他重要數據。
各部門計算機管理部門應制定數據備份策略及重要數據災難恢復計劃,及時做好數據備份及恢復。
對數據備份必須有明確的記錄,在記錄中標明備份內容、備份時間,備份操作人員等信息。對于重要數據的備份必須異地存放,并做好相關的異地備份記錄。
各部門必須每年至少進行一次數據備份策略的有效性的驗證,對數據恢復過程進行試驗,確保在發生安全問題時能夠從數據備份中進行恢復。
各部門計算機管理部門應對所管理系統上存儲的數據進行登記備案,登記的內容主要包括:需要保護的數據、存儲的位置、存儲的形式、安全控制的方法和措施、負責安全管理和日常備份的人員、可以訪問數據的用戶、訪問的方式以及權限。
涉及企業秘密及具有高保密性要求(如口令文件)的數據在傳輸、存貯時應加密。
禁止在沒有采用安全保護機制的計算機上存儲重要數據,在存儲重要數據的計算機至少應該有開機口令、登錄口令、數據庫口令、屏幕保護等防護措施。禁止在個人計算機上存放重要數據。
不得以軟盤或者筆記本電腦等形式將重要數據帶出系統。如確實必需,須將數據用安全可靠的加密手段加密存儲,并將存儲的軟盤或筆記本電腦比照密級文件管理。
安全管理
各部門必須對本部門的計算機信息及網絡安全進行經常性的檢查、檢測:
1)系統安全檢查應每月檢查、檢測一次;
2)計算機病毒防治應每月至少全面檢查一次;
3)數據備份應每月檢查一次。
檢查發現計算機信息及網絡安全隱患,應組織安全隱患整治,不能馬上整治的,應采取有效措施預防網絡信息安全事件和案件的發生。
發生計算機信息及網絡安全事件,應馬上組織人員妥善處理,防止擴散影響。觸犯刑律的,應保存證據,報告公安機關,并配合查處。
發生重大計算機信息及網絡安全事件須在24小時內上報。
各部門應對用戶及本部門員工進行網絡信息安全宣傳,宣傳有關國家法律、法規和網絡信息安全知識,加強用戶的法律意識和安全意識,不得從事任何危害網絡信息安全的行為。
顧客網絡信息安全
維護人員不得將顧客系統的密碼泄露給他人。
維護人員因工作原因進入顧客系統是,不得復制、刪除、修改顧客信息。
進入顧客系統應使用專用計算機,該計算機應每周進行殺毒,以防將病毒傳入顧客系統。
維護人員的客戶端應及時升級或更新,確保其與顧客系統的版本保持一致。
文檔內容僅供參考
第三篇:信息安全管理規范和保密制度
xxx集團互聯網事業部信息安全
管理規范和保密制度
第一章、總則
第1條為了明確崗位職責,規范操作流程,確保公司信息資產的安全,特制訂本制度。
第2條本制度適用于公司所有員工。
第二章、電子郵件管理制度
第1條 行政人力部必須在員工入職三天內,向員工分配企業郵箱的個人用戶名和密碼。并告知使用方法。
第2條 公司郵箱賬戶限本人使用,禁止將本人賬戶轉借或借用他人賬戶。員工必須及時修改初始密碼,并且在使用中定期(最多3個月)修改郵箱的密碼,以防他人利用。密碼至少為8位,且需是字母、數字、特殊符號等至少兩個的組合。因郵箱密碼泄露造成的損失,由用戶自行承擔責任。
第3條 員工的對外往來的公務郵件,原則上必須使用公司統一后綴的郵箱;對外往來的私人郵件則不允許使用公司統一后綴的郵箱。禁止非工作用途將郵箱賬戶公布在外部INTERNET網上。公務用郵件時,必須使用含有以下字樣的個人簽名:
聲明:您有義務對本郵件內容進行保密,未經書面允許不可私自復制、轉發、散布。
第4條 收到危害社會安定的郵件,應及時刪除,嚴禁轉發或點擊相應鏈接,若因此造成不良影響或損失的,由用戶個人承擔責任,管理員發現類似現象的有權封鎖相關郵件賬戶。發現郵件感染病毒,立刻將計算機斷開公司網絡,并使用相應軟件進行殺毒。
第5條 發送帶有公司涉密信息的郵件,發件人必須先經部門領導同意,(若是絕密級別,需經公司領導同意),并將涉密信息加密處理后方可發送;否則視情節嚴重程度予以處理。
第6條 員工離職時,根據需要交由部門專人監管一個月,后由行政人力部注銷。
第7條 違反以上電子郵件管理規定,視情節輕重,最低經濟處罰50元(由人力資源部門商定),并交行政人力部處理;情節特別嚴重的將移交國家司法機關,追究法律責任。
第三章 數據安全管理制度
第1條 為保證存儲商業機密的計算機、文件、光盤等不會輕易泄露,公司對涉及技術及商業機密的文件、光盤等實行專人管理、借閱登記的制度;同時儲存涉及技術及商業機密的計算機均應進行CMOS加密及屏幕保護加密。此兩項密碼除使用者本人擁有外,應向本部門經理備份,不得泄密給其它部門或個人。離開原工作崗位的員工由所在部門負責人將其所有工作資料收回并保存。如有因密碼泄露而導致嚴重后果者,其行為等同于故意泄密,公司將按照人力資源獎懲制度
予以嚴肅查處。
第2條 計算機終端用戶務必將重要數據存放在計算機硬盤中除系統盤以外的的硬盤分區。計算機系統發生故障時,應及時與管理員聯系并采取保護數據安全的措施。
第3條 計算機終端用戶未做好備份前不得刪除任何硬盤數據,對重要的數據應保存雙份,存放在不同位置,并進行定期檢查,防止數據丟失。
第4條 計算機、服務器或存儲設備,停止使用或使用前須進行低級格式化。
第5條 IT管理人員嚴禁利用自己的賬號權限,查看其它員工的郵箱內容,盜取或傳播郵件內容。造成嚴重后果的,由公司根據國家法律追究相關責任。
第6條服務器運維人員嚴禁利用職責便利,私自拷貝并傳播給公司外部人員或不相關人員。造成嚴重后果的,由公司根據國家法律追究相關責任。
第8條為了確保數據安全,防止數據丟失,要定期對關鍵數據進行備份。并進行恢復測試。
第9條美羅全球精品購B2C后臺管理賬號,根據申請人員崗位,分配指定的權限。拒絕分配多余賬號權限或直接分配管理員賬號。并且開通賬號必須走賬號開通申請流程。員工離職后,及時刪除或禁用賬戶。具體申請單見附件:
蘇州美羅全球精品購 B2C平臺權限申請表 部門 崗位 權限類別 □新增 □刪除 姓名 申請時間 賬戶類型 □長久 □臨時 新增或刪除權限列表(由權限分配人填寫): 部門經理 簽字 權限分配操作人 簽字
第四章 網絡安全管理
第1條 未進行安全配置、未裝防火墻或殺毒軟件的計算機終端,不得連接公司網絡和服務器。公司員工應定期對所配備的計算機終端的操作系統、殺毒軟件進行升級、更新,并定期進行病毒查殺。
第2條 計算機終端用戶應使用開機密碼,屏保密碼等。并定期更改。員工應妥善保管所掌握的各類辦公賬號和密碼,嚴禁隨意向他人泄露、借用自己的賬號密碼。
第3條 IP地址為計算機網絡的重要資源,公司員工應在管理員的規劃下使用這些資源,不得擅自更改。對于影響網絡安全的系統服務,員工應在管理員的知道下使用,禁止隨意開啟關閉計算機中的系統服務,保證計算機的網絡暢通運行。
第4條 禁止未授權用戶接入公司網絡及訪問網絡中的資源。第5條 經遠程通信傳送的程序或數據,必須經過檢查無病毒后方可打開或運行。
第五章 計算機安全管理
第1條 辦公電腦硬盤機文件夾不得一直處于“共享”狀態,如果需要共享時,必須設置密碼,或設定用戶權限,以限制用戶;用畢,立即取消共享狀態。不得下載和使用未經測試和來歷不明的軟件、未經病毒查殺不得使用U盤等介質。
第2條 計算機必須設置開機密碼、屏保密碼等,自動屏保開啟時
間要求為5分鐘;密碼長度至少為8位,且為字母、數字等的組合,不可過于簡單。
第3條 臺式機機箱需加鎖,防止設備丟失。計算機終端用戶不得挪用辦公電腦硬盤等,違反規定挪用者,視為故意違反安全規定,視情節嚴重程度,交由行政人力部處理。
第六章 公司保密制度
第4條 公司秘密分為三類:絕密、機密、秘密。
絕密:是指與公司生存、生產、科研、經營、人事有重大利益關系,一旦泄露會使公司的安全和利益遭受特別嚴重損害的事項,主要包括以下內容:
1.公司股份構成,投資情況,新產品、新技術開發資料,客戶資料,商業計劃等。
2.公司總體發展規劃、經營策略、營銷策略、商務談判內容,正式合同和協議文書。
3.按《信息科技文件保密管理規定》屬于絕密級別的各種檔案。4.公司高層管理人員及其他對公司經營管理產生重大影響的會議紀要。
機密:是指與本公司的生存、生產、科研、經營、人事有重要利益關系,一旦泄露會使公司安全和利益遭受嚴重損害的事項,主要包括以下內容:
1.尚未確定的公司重要人事調整及安排情況,人力資源部對管理
人員的考評材料。
2.公司與客戶、外部高層人士、科研人員的來往情況及其載體。3.公司薪金制度,財務專用印鑒、賬號,保險柜密碼,月度、季度、的財務預、決算報告及各類財務、統計報表,電腦開啟密碼,重要磁盤、磁帶的內容及其存放位置。
4.按照《信息科技文件保密管理規定》屬于機密級別的各種檔案。5.獲得競爭對手情況的方法、渠道及公司相應對策。6.外事活動中內部掌握的原則及政策。7.公司高層管理人員的家庭住址。
8.公司總經理召開的經營管理工作會議的會議紀要。
秘密:是指與本公司的生存、生產、科研、經營、人事有較大利益關系,一旦泄露會使公司的安全和利益遭受損害的事項,主要包括以下內容:
1.市場調查預測情況,未來新產品的市場預測情況。2.公司內部制度檢查,獎懲措施及執行情況。3.生產、技術、財務部門的安全保衛情況。4.公司內部各類通知及郵件等。
5.按《信息科技文件保密管理規定》屬于秘密級別的各種檔案。6.公司部門例會會議紀要。第5條 各密級知曉范圍 絕密級
公司高層管理人員及與絕密內容有直接關系的工作人員。
機密級
經理級別以上管理人員以及與機密內容有直接關系的工作人員。秘密級
項目經理級別以上管理人員以及與秘密內容有直接關系的工作人員。
第6條 保密守則
1.公司員工必須有保密意識,做到不該問的絕不問,不該說的絕不說,不該看的絕不看。
2.員工認知期間的工作成果歸公司所有,并按《企業員工保密合同》及本制度進行管理。
3.任何人不得以任何形式在互聯網上直接暴露公司研發項目的名稱,團隊交流盡可能采用拼音縮寫等形式。
4.未經公司管理層同意,員工不得隨意將可能涉及公司技術及商業秘密的文件、數據等帶離公司(包括帶回家中或是其它地方)。經管理層批準,可將涉及公司的技術及商業秘密的文件、數據帶離公司的員工,必須采取必要的安全防范措施,保證相關資料不被泄露。如因失竊等因素而導致公司的商業和技術機密泄露,公司將對相關責任人按“玩忽職守”予以經濟或行政處罰。
5.禁止任何非本公司員工在任何時間內非經允許使用本公司的計算機等辦公設備,在確有需要使用本公司計算機等辦公設備,須由本公司正式員工向本部門經理及綜合部相關負責人提出申請,取得同意后方可在指定區域內使用,負責申請之員工須保證使用人不能訪問涉
及公司機密的任何內容。
6.任何非本公司外來人員需要經由領導同意,并登記備案后方可入內,且不可出入機房要地。
7.所有員工不得隨意拷貝與自身業務無關的文件(文檔),復印或用其他方法取得公司商業秘密。如確有工作需要,須事先由本部門經理向總經理申請,獲得簽字同意后方可在相關部門經理的指導下進行。
8.嚴禁在公共場合、私人交往、公用電話、傳真上交談、傳遞保密事項。
9.員工發現公司秘密已經泄漏或可能泄漏時,應立即采取補救措施,并及時報告公司高層。
10.掌握公司秘密的人員在工作變動時,應及時辦理交接手續,并由主管領導簽字。
11.除本制度外,關鍵崗位人員還應遵守《關鍵崗位信息安全規范及保密制度》。
第七章 其他
第1條 對于由于工作失誤或沒按照本制度執行而導致公司商業秘密泄露者,公司將視情節輕重給以相應的經濟及行政處罰;對于有意泄露公司機密者,公司除將立即與其解除勞動合同、并對其處以經濟及行政處分外,還將視其行為后果的嚴重性,保留追究其刑事責任的權利。
第2條 本制度由公司各部門進行實施,企業管理部進行監督,修訂權歸公司所有。由發布之日起生效。
第四篇:數據備份和恢復管理規范
數據備份和恢復管理規范
第一章 總 則
第一條 為規范、統一全集團范圍內重要系統的數據備份及管理工作,明確各系統數據備份及恢復的角色和職責,確保備份介質的安全和按時、順利恢復系統和數據,并確保有關責任人員熟練掌握系統和數據的備份、歸檔和恢復流程,特制定本辦法。
第二條 備份和恢復管理的范圍包括:確定關鍵系統的備份和恢復方針及原則;系統、應用等軟件及業務、配置等數據的備份和恢復;備份介質的存放、歸檔管理;系統及數據恢復演練;備份和恢復流程的評估和維護;歸檔數據的查詢;備份和恢復所需存儲、磁帶庫等硬件工具/設備的監控和管理。不包括:硬件、網絡的備份和恢復(屬于業務連續性管理);業務系統的在線數據冗余(屬于業務可用性管理)。
第三條 關鍵系統定義: ERP、研發、SCM、CRM、財務、HR和其他多個單位通用的業務系統;MIP、郵件、公共網站等IT基礎應用系統;單個單位使用的核心業務系統。
第四條 集團數據備份和恢復工作由集團備份管理員負責組織、協調,并按照既定計劃和策略督促相關人員執行。
第二章 數據備份、歸檔和恢復原則
第五條 備份和恢復時間、性能應符合各系統服務級別的規定,各系統服務級別由系統所在單位與系統主要使用部門商議。
第六條 應考慮主機系統(操作系統、工具軟件、數據庫系統軟件、應用等)變化的頻率,全備份的頻率應與業務系統變化頻率成正比。
第七條 當主機系統發生較大更改時,應馬上對主機系統進行一次全備份。第八條 應考慮全備份的容量,全備份的頻率應與其備份容量成反比。第九條 系統全備份方式適用于使用小型機設備的系統,使用PC服務器的系統建議采用克隆系統應急盤方式。
第十條 對應用軟件等程序文件:當系統配置數據發生變動時,應馬上備份,備份介質保留至下一次系統全備份。當生產環境中的應用軟件將發生變動時,應對變動前的應用軟件進行備份。該種情況下的備份一般情況下由各系統管理員自行準備資源完成。
第十一條 對Oracle等數據庫進行在線備份的系統,原則上要求周日為0級備份(冷備份)。對有數據長期保留需求的系統,只進行系統的0級備份的歸檔,以確保數據有效性和可恢復性。
第十二條 歸檔數據一般包括程序文件、數據文件,一般不包括數據庫歸檔日志、邏輯備份數據(如在線備份)。
第十三條 歸檔數據完整性的基本原則:進行數據恢復后,系統在簡單配置后可直接使用。
第十四條 對業務數據備份:在網絡帶寬和存儲設備允許的前提下,可以采用集中備份和恢復管理的方式,否則采用分布備份和恢復管理方式。在數據庫故障時能夠快速恢復數據是選擇備份方式的一個重要因素。應該采用多種備份方式(如采用塊方式和文本方式等),以保證除了使用備份系統進行恢復外,還可以在本地備份機上直接恢復應用,如特別關鍵應用,建議考慮增加異地的恢復方式。除了用于恢復外,備份介質還應該方便存檔數據查詢、恢復演練、新系統測試、審計檢查等使用。重點保留月末、季末、年末、結息日、新系統切換等重點時間的數據。
第十五條 對Oracle數據庫備份:為了保護最近產生的數據,必須連續備份數據庫邏輯日志。在業務數據的兩次連續0級備份之間,應該進行業務數據邏輯日志的備份。
第十六條 應該根據數據容量/備份持續時間來決定采用每日0級備份,或定期0級備份+每日增量備份方式(增量備份分為對上次0級備份的增量、對上次增量的增量兩種)。如果每日0級備份的備份和恢復時間符合要求,建議采用每日0級備份方式;否則采用每周0級備份+每日增量備份方式。備份介質保留一個備份周期。
第十七條 區別維持關鍵業務運行的數據(如,僅僅包含賬戶數據、客戶信息、交易數據,不含歷史數據),并每日單獨備份,剩余數據同樣單獨備份。考慮到是快速恢復數據,故該類數據不宜過大。另外考慮到其使用目標是僅僅是應急,故其備份介質都是短期保留。
第十八條 要使用腳本來進行備份和恢復,盡量避免手工操作;盡量安排在非工作時間備份。
第十九條 在備份和恢復操作流程發生變動時,應該對操作人員進行培訓;進行恢復演練的頻率與流程變化的頻率成正比;進行實際恢復演練的頻率與恢復失敗的頻率(考核指標之一)成正比。
第二十條 所有對生產系統和數據的恢復都要預先得到批準;對存檔備份介質的調閱需要登記,并且只能拷貝不能外借。
第二十一條 所有的備份介質都要貼上清晰的標簽,標簽應包含介質編號(或序號)、備份內容、備份日期時間、備份人員等內容;數據備份在制作、傳遞、轉移過程中,必須填寫《數據備份登記表》或《數據轉移保存登記表》,詳細記錄備份數據制作、傳遞、轉移的全部過程與責任人;數據備份的存放處必須符合防火、防水、防磁的安全要求;保存期在一年以上的備份磁帶應半年進行重寫或重繞處理;長期保存的磁帶應記錄使用次數,保證介質在規定的次數內使用;歸檔數據備份介質應該實施異地存放,建議存放至銀行保險箱或檔案室(必須和主機房不在同一建筑物內,如分支機構辦公場所)。
第三章 存儲、備份設備及相關設備管理
第二十二條 存儲設備:集團中央數據存儲系統、集團中央備份存儲系統;備份管理員負責:每天檢查存儲設備控制器產生的信息,每周至少一次現場檢查存儲設備及相關部件運行狀況,并將檢查記錄包含在周報中;存儲設備Lun的調整和新Lun的分配,磁盤Raid策略調整等資源使用管理;
第二十三條 備份設備:STK SL500磁帶庫、LTO3數據磁帶、LTO3清洗帶;磁帶庫設備要求制定驅動器自動清洗策略,備份管理員負責:定期檢查策略執行執行是否正常,每周至少一次現場檢查磁帶庫及相關部件運行狀況,并將檢查記錄包含在周報中;根據備份策略或用戶需求調整,及時調整磁帶庫設備的資源分配。
第二十四條 相關設備:光纖通道交換機及光纖通道接口等部件、主機HBA卡;備份管理員負責:每周至少一次現場檢查光纖通道交換機及相關部件運行情況,并將檢查記錄包含在周報中;每月協助系統管理員對主機HBA卡運行情況進行檢查,包括雙通道、負載均衡功能是否正常以及操作系統是否出現類似光纖通道報警信息;交換機Zooning調整、劃分及相關資源調配。
第二十五條 備份管理員負責以上設備的日常維護和故障報修。維護和報修流程見本規范第二十九條第2款。
第四章 備份和恢復相關人員職責
第二十六條 集團備份管理員由集團IT管理部任命和管理;二級備份管理員由二級管理平臺IT部門任命和管理,在備份業務上配合集團備份管理員。增加二級備份管理員的調整須提前知會集團IT管理部。系統管理責任人由系統所在平臺的IT部門確定,業務管理責任人由系統所在平臺的關鍵業務部門確定。
第二十七條 集團備份管理員職責:作為集團數據備份和恢復工作的總體計劃制
定和工作協調者,負責備份系統管理和日常維護;負責備份數據在磁帶、光盤等可移動存儲介質上克隆、遷移和本地存放;參與備份系統建設、改造項目;協助二級備份管理員和各系統管理員進行數據覆蓋和災難恢復工作;定期組織二級備份管理員及相關人員進行備份數據有效性驗證;負責組織集團本部相關系統管理員進行備份數據的有效性驗證工作;負責備份系統客戶端程序的異常處理,但不含客戶端程序的管理;有義務和責任對系統管理員制定的備份策略提出合理建議;根據各系統恢復演練要求,制定總體恢復演練工作計劃。
第二十八條 二級備份管理員職責:作為二級平臺及下屬單位數據備份和恢復工作詳細計劃的制定和協調者,協助備份管理員維護工作;組織相關系統管理員進行備份系統客戶端的日常維護;協助備份管理員定期組織相關人員進行備份數據的有效性驗證;參與備份系統建設、改造項目;負責平臺管理范圍內系統進行數據覆蓋和協助集團備份管理員完成災難恢復工作;負責制定該平臺及下屬單位的系統恢復演練詳細計劃,并負責該平臺及下屬單位數據從備份系統的導出。
第二十九條 系統技術管理責任人職責:簡稱系統管理員。是系統管理責任部門指定的系統日常維護人員,作為數據備份策略的制定者和恢復工作的實際執行者,按照《備份系統維護指引》要求,負責對備份系統客戶端的維護;根據業務系統數據安全需求,負責制定合理、有效的備份策略(系統管理員只能負責提出策略和有效性審核,策略的合理性應由集團備份管理員完成);在集團備份管理員或二級備份管理員的協助下,負責進行責任系統的備份數據有效性驗證;根據災難演練計劃,建立系統詳細恢復操作文檔,并負責具體系統的搭建、恢復工作,同時負責組織相關人員對恢復系統的有效性進行測試并提交相關報告。(各個應用系統需要確定主要維護責任部門,由責任部門提出對系統的維護要求和指標)
第三十條 系統業務管理責任人職責:作為數據備份和恢復工作的用戶方或負責業務維護的項目組,負責確認系統數據備份和恢復的時間、性能等指標。ERP、SCM、CRM等類系統業務責任部門為系統所在單位財務部門,研發類系統業務責任部門為系統所在單位研發部門,集團HR系統業務責任部門為集團人力資源部,MIP、郵件等基礎應用系統業務責任部門為集團IT部。其他系統由系統管理的責任單位IT部門確定系統業務責任部門。
第五章 運維管理流程
第三十一條 數據備份異常的預警機制:對于連續兩次備份失敗的系統,集團備份管理員應以郵件、短信或電話方式知會二級備份管理員或相關系統管理員及該管理平臺IT部門負責人,系統管理員應積極采取相關措施,二級備份管理員及集團備份管理員應配合,確保當天晚上數據備份成功,連續三次備份失敗,集團備份管理員應將該信息抄送至系統責任單位財務負責人、集團IT總監。
第三十二條 系統日常維護流程:備份系統的服務器端操作,由備份管理員負責,客戶端操作由相關責任人負責,備份管理員協助完成。
1.備份情況通報流程:集團備份管理員每天上午10點前將前一天晚上數據備份情況在MIP上公布(周六備份情況在周一通報),每周備份管理員將一周備份情況進行總結并發布至MIP,內容包括但不限于:本周備份數據量、備份有效性總結、故障處理情況;每月進行一次系統運行情況總結,上報至基礎管理中心高級經理,內容包括但不限于:本月備份有效性情況、故障處理匯總及分析、系統運行趨勢分析及系統改進合理化建議等。對于備份失敗的系統,以郵件、短信或電話方式通知二級備份管理員及其上級領導并給出初步診斷結果和建議操作;二級備份管理員應立即聯系相關系統管理員,系統管理員應在當天配合備份管理員查找問題。若數據連續兩天沒有備份成功,第三天需要系統管理員與備份管理員一起確定系統的備份方式,若為數據庫的在線備份失敗,應采取冷備份,若因數據庫沒有正確啟停,需系統管理員在策略中約定的時間手工啟停數據庫,保證當晚數據備份成功。如二級備份管理員及系統管理員對備份失敗問題一天內查不出原因,集團備份管理員應協調相關資源協助處理。
2.備份系統日程運維管理流程:包括備份系統及相關設備日常檢查及故障處理。備份管理員每天對備份系統軟件日志進行查看,如系統出現的報警或故障信息,當天反饋至技術后臺支持經理,如超過2天不能解決,應上報至基礎運維管理中心高級經理,并聯系相關外部技術支持人員。如超過4天不能解決,應上報至集團IT總監。3.備份和恢復策略初次申請流程:由系統管理員提出備份和恢復策略并填寫《備份和恢復需求》、《系統備份信息表》、《備份和恢復策略和原則》,系統業務責任人對《備份和恢復需求》進行確認,二級平臺備份管理員審查,集團備份管理員審核,并在備份系統中實施,備份管理員直屬領導及基礎運維管理中心負責人備案。
4.備份和恢復策略變更流程:由系統管理員提出變更后的備份和恢復策略并填寫《備份和恢復需求》、《系統備份信息表》、《備份和恢復策略和原則》,系統業務責任人對《備份和恢復需求》進行確認,二級平臺備份管理員審查,集團備份管理員審核,并在備份系統中實施,備份管理員直屬領導及基礎運維管理中心負責人備案。5.備份數據常規恢復流程:常規恢復指數據的測試環境覆蓋、恢復演練等要求下進行數據恢復。不允許在凌晨進行數據恢復,如需進行數據,需要以郵件方式發送請求至集團備份管理員,由備份管理員安排恢復時間和協助恢復。如系統管理員自行恢復,導致正常備份工作受到影響,將追究相關管理員責任。
6.系統和數據災難恢復流程:系統管理員提交系統和數據恢復申請,系統管理員直屬領導進行審核,系統業務責任部門審批,根據系統故障類型,二級備份管理員或集團備份管理員準備恢復的介質,系統管理員進行系統和數據恢復,系統業務責任人對恢復數據正確性進行驗證,確認恢復成功后,由系統管理部門對外發出《系統恢復通知》。
7.日常備份和歸檔管理流程:集團備份管理員進行日常備份和歸檔,提交《備份介質存放登記表》,并在MIP上發布當日備份信息,備份管理員直屬領導對歸檔進行審核和數據抽查,基礎運維管理中心負責人備案。
8.備份介質存放管理流程:集團備份管理員對歸檔的備份介質(目前為磁帶)進行異地存放,并填寫《數據轉移保存登記表》,備份管理員直屬領導審查,基礎運維管理中心負責人備案。
第三十三條 系統和數據恢復演練流程:包括所有非災難恢復性質的數據恢復流程。集團或二級平臺備份管理員提交《系統和數據恢復演練計劃》,同時準備好演練的環境和介質,系統管理員將系統和數據恢復至預定位置,并進行系統和數據恢復結果進行驗證,并填寫《系統和數據恢復演練反饋表》。
第三十四條 存檔數據查詢流程:由存檔數據查詢人提交《存檔數據查詢申請表》,系統業務責任人審核,系統管理員準備恢復所需硬件、軟件等資源,二級備份管理員或集團備份管理員準備恢復環境和備份介質,系統管理員進行數據恢復對恢復系統和數據進行可用性確認,系統業務責任人對恢復系統和數據進行正確性驗證,并通知查詢人進行數據查詢。
第六章 懲罰措施
第三十五條 如集團備份管理員已通知相關系統管理員備份失敗信息,而系統管理員沒有及時處理,導致兩次以上的數據備份失敗情況發生,系統管理員應承擔數據安全管理不善責任,并在MIP上通報批評,如造成數據丟失等嚴重后果,按照相關單位規定進行處罰。
第三十六條 因集團備份管理員維護不到位,出現同一套系統數據備份失敗情況,且沒有及時知會相關系統管理員進行應急處理,導致系統備份失敗情況連續發生三天以上(含三天),集團備份管理員將承擔系統管理不善責任,并在MIP上通報批評,如由此造成的數據丟失或其他嚴重后果,按照集團相關規定進行處罰。連續三個月未出現因備份管理員維護不力而出現備份異常情況,由集團IT管理部給予××獎勵。
第三十七條 因相關系統管理員未及時處理,而導致連續三天以上備份失敗(含三天),系統管理員承擔系統維護不善的責任,并在MIP上通報批評,如因此造成的數據丟失或其他嚴重后果,按系統管理員所在單位相關規定進行處罰。
第三十八條 如無特殊原因,連續三個月內都未組織二級備份管理員及相關系統管理員進行系統災難恢復演練工作,集團備份管理員應承擔系統維護不力責任,并在MIP上通報批評。
第三十九條 二級備份管理員不配合集團備份管理員組織系統災難恢復演練工作,導致演練工作無法開展,將追究相關責任人責任并在MIP上通報批評。
第四十條 相關系統管理員不服從備份管理員組織,連續三個月內都未進行系統災難恢復演練工作,將追究相關責任人責任并在MIP上通報批評,因此出現備份數據恢復無效而導致數據丟失情況,由系統管理員及所在部門責任人承擔數據安全的全部責任。
第四十一條 本《規范》由集團IT管理部負責修改和解釋。第四十二條 此規范自下發之日起執行。
2006年4月9日
第五篇:加強網絡和信息安全管理工作方案(推薦)
各單位:
根據**、**和**、**有關要求,為進一步加強網絡和信息安全管理工作,經**領導同意,現就有關事項通知如下。
一、建立健全網絡和信息安全管理制度
各單位要按照網絡與信息安全的有關法律、法規規定和工作要求,制定并組織實施本單位網絡與信息安全管理規章制度。要明確網絡與信息安全工作中的各種責任,規范計算機信息網絡系統內部控制及管理制度,切實做好本單位網絡與信息安全保障工作。
二、切實加強網絡和信息安全管理
各單位要設立計算機信息網絡系統應用管理領導小組,負責對計算機信息網絡系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網絡系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,并按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網絡使用管理規定
各單位要提高計算機網絡使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網絡,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網絡實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。嚴禁通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站信息發布審查監管
各單位通過門戶網站在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否準確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、后公開,一事一審、全面審查。各單位網絡信息發布審查工作要有領導分管、部門負責、專人實施。
五、組織開展網絡和信息安全清理檢查
各單位要在近期集中開展一次網絡安全清理自查工作。對辦公網絡和門戶網站的安全威脅和風險進行認真分析,制定并組織實施本單位各種網絡與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網絡和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
各單位要從維護國家安全和利益的戰略高度,充分認識信息化條件下網絡和信息安全的嚴峻形勢,切實增強風險意識、責任意識、安全意識,進一步加強教育、強化措施、落實責任,堅決防止網絡和信息安全事件發生,為**召開營造良好環境。
點擊咨詢 