第一篇:4.1.6 網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范
XXXX有限公司
WHB-08
網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范
版本號(hào): A/0 編制人: XXX 審核人: XXX 批準(zhǔn)人: XXX
20XX年X月X日發(fā)布 20XX年X月X日實(shí)施
1.0目的
計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計(jì)算機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行,充分發(fā)揮信息服務(wù)方面的重要作用,更好的為公司運(yùn)營(yíng)提供服務(wù),依據(jù)國(guó)家有關(guān)法律、法規(guī)的規(guī)定,結(jié)合公司實(shí)際情況制定本規(guī)定。2.0術(shù)語(yǔ)
本規(guī)范中的名詞術(shù)語(yǔ)(比如“計(jì)算機(jī)信息安全”等)符合國(guó)家以及行業(yè)的相關(guān)規(guī)定。2.1計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí),控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、病毒防護(hù)、訪問(wèn)權(quán)限控制、加密與鑒別等七個(gè)方面。
2.2狹義上的計(jì)算機(jī)信息安全,是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散,防止計(jì)算機(jī)網(wǎng)絡(luò)上處理、傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞,防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。
2.3網(wǎng)絡(luò)安全,是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行,防止網(wǎng)絡(luò)被入侵、攻擊等,保證合法用戶對(duì)網(wǎng)絡(luò)資源的正常訪問(wèn)和對(duì)網(wǎng)絡(luò)服務(wù)的正常使用。
2.4計(jì)算機(jī)及網(wǎng)絡(luò)安全員,是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。2.5普通用戶,是指除了計(jì)算機(jī)及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問(wèn)到互聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。
2.6主機(jī)系統(tǒng),指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運(yùn)營(yíng)管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。
2.7網(wǎng)絡(luò)服務(wù),包含通過(guò)開放端口提供的網(wǎng)絡(luò)服務(wù),如WWW、Email、FTP、Telnet、DNS等。
2.8有害信息,參見國(guó)家現(xiàn)在法律法規(guī)的定義。
2.9重大計(jì)算機(jī)信息安全事件,是指公司對(duì)外網(wǎng)站(電子公告板等)上出現(xiàn)有害信息;有害信息通過(guò)Email及其他途徑大面積傳播或已造成較大社會(huì)影響;計(jì)算機(jī)病毒的蔓延;重要文件、數(shù)據(jù)、資料被刪除、篡改、竊?。挥砂踩珕?wèn)題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷;系統(tǒng)被入侵;頁(yè)面被非法替換或者修改;主機(jī)房及設(shè)備被人為破壞;重要計(jì)算機(jī)設(shè)備被盜竊等事件。3.0組織架構(gòu)及職責(zé)分工
3.1公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī)
構(gòu),統(tǒng)一歸口負(fù)責(zé)外部部門(政府和其他部門)有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。
3.3計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施,加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo),落實(shí)國(guó)家有關(guān)計(jì)算機(jī)信息安全的法律、法規(guī)和上級(jí)有關(guān)規(guī)定,保障公司的計(jì)算機(jī)信息的安全。
3.4計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰(shuí)主管,誰(shuí)負(fù)責(zé)”的原則,各部門負(fù)責(zé)人對(duì)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。
3.5各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員,并報(bào)公司計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。3.6相關(guān)崗位信息安全職責(zé): 3.6.1計(jì)算機(jī)及網(wǎng)絡(luò)安全員:
1)負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施,及時(shí)掌握和處理有關(guān)信息安全問(wèn)題。
2)定期或不定期檢測(cè)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況,發(fā)現(xiàn)安全漏洞和隱患及時(shí)報(bào)告,并提出整改意見、建議和技術(shù)措施。
3)指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè)置使用的情況。
4)發(fā)現(xiàn)計(jì)算機(jī)信息安全問(wèn)題,及時(shí)處理,保護(hù)現(xiàn)場(chǎng),追查原因,并報(bào)部門計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組。
5)定期分析計(jì)算機(jī)安全系統(tǒng)日志,并作相應(yīng)處理。
6)驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對(duì)象的安全控制方法和措施的有效性,對(duì)于不符合安全控制要求的提出技術(shù)整改措施,對(duì)本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。
7)負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。8)負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。
9)定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進(jìn)程,在發(fā)現(xiàn)異常的系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。
10)負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。
11)進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù),包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補(bǔ)。
12)在正常的系統(tǒng)升級(jí)后,對(duì)系統(tǒng)重新進(jìn)行安全設(shè)置,并對(duì)系統(tǒng)進(jìn)行技術(shù)安全檢查。
13)根據(jù)上級(jí)和本級(jí)計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求,按照規(guī)定的流程進(jìn)行系統(tǒng)升級(jí)或安全補(bǔ)丁程序的安裝。
14)管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口,并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。15)根據(jù)數(shù)據(jù)備份策略,完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。3.6.2普通用戶職責(zé):
1)自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。2)負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。
3)發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件,及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。4)不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備(包括路由器、交換機(jī)、集線器、光纖、網(wǎng)線),不得私自接入網(wǎng)絡(luò)。
3.7各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對(duì)穩(wěn)定,并加強(qiáng)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、離職或者其他原因離開原崗位時(shí),應(yīng)將其涉及的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。4.0 系統(tǒng)安全規(guī)定
4.1公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理,并建立出入登記和審批制度。攜帶計(jì)算機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、出主機(jī)房,應(yīng)經(jīng)主管部門同意,并由機(jī)房管理人員進(jìn)行核查登記。
4.2各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理,做好計(jì)算機(jī)設(shè)備的增添、維修、調(diào)撥等的審核與管理。計(jì)算機(jī)設(shè)備維修特別是需離場(chǎng)維修或承包給企業(yè)外部人員維護(hù)、維修時(shí),應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號(hào)、密碼等,如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施,防止泄密。4.3使用、操作計(jì)算機(jī)設(shè)備時(shí),應(yīng)遵循以下安全要求:
1)保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令,并不定期更換口令,不得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。
2)不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件,對(duì)于外來(lái)的軟件、數(shù)據(jù)文件等,必須先經(jīng)病毒檢測(cè),確認(rèn)無(wú)感染、攜帶病毒后方可使用。
3)不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無(wú)關(guān)的軟件。
4)不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。5)在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上,應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。
6)在個(gè)人計(jì)算機(jī)上安裝防病毒軟件,并開啟實(shí)時(shí)病毒監(jiān)測(cè)功能,及時(shí)升級(jí)病毒庫(kù)和軟件。
7)非經(jīng)計(jì)算機(jī)管理部門的有效許可,不得對(duì)網(wǎng)絡(luò)進(jìn)行安全(漏洞)掃描和對(duì)賬號(hào)、口令及數(shù)據(jù)包進(jìn)行偵聽;不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。5.0 賬號(hào)管理安全
5.1賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。
唯一性原則是指每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶,不允許多人共同擁有同一賬號(hào)。必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配,不能根據(jù)個(gè)人需要、職位進(jìn)行分配,禁止與所管理主機(jī)系統(tǒng)無(wú)關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào),要根據(jù)工作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。
最小授權(quán)原則是指對(duì)賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制,其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的,要經(jīng)主管領(lǐng)導(dǎo)審批。
5.2系統(tǒng)中所有的用戶(包括超級(jí)權(quán)限用戶和普通用戶)必須登記備案,并定期審閱。5.3嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。
5.4員工發(fā)生工作變動(dòng),必須重新審核其賬號(hào)的必要性和權(quán)限,及時(shí)取消非必要的賬號(hào)和調(diào)整賬號(hào)權(quán)限;如員工離開本部門,須立即取消其賬號(hào)。
5.5在本部門每個(gè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗(yàn)收后,應(yīng)立即刪除系統(tǒng)中所有的測(cè)試賬號(hào)和臨時(shí)賬號(hào),對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。
5.6系統(tǒng)管理員必須定期對(duì)系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核,發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí)核實(shí)并作相應(yīng)的處理,對(duì)長(zhǎng)期不用的用戶賬號(hào)進(jìn)行鎖定。
5.7 一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。在特殊情況下(如系統(tǒng)維修、升級(jí)等)外部人員需要進(jìn)入系統(tǒng)操作,必須由系統(tǒng)管理員進(jìn)行登錄,并對(duì)操作過(guò)程進(jìn)行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。6.0 口令安全管理
6.1口令的選取、組成、長(zhǎng)度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符串作為口令,也不要使用單個(gè)單詞作為口令,在口令組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合,口令長(zhǎng)度要求在8位以上。6.2重要的主機(jī)系統(tǒng),要求至少每個(gè)月修改口令,對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī),要求至少每?jī)蓚€(gè)月修改口令。
6.3重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。6.4本地保存的用戶口令應(yīng)加密存放,防止用戶口令泄密。6.5軟件安全管理:
6.1不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件。6.2不得在重要的主機(jī)系統(tǒng)上安裝測(cè)試版的軟件。
6.3開發(fā)、修改應(yīng)用系統(tǒng)時(shí),要充分考慮系統(tǒng)安全和數(shù)據(jù)安全,從數(shù)據(jù)的采集、傳輸、處理、存貯,訪問(wèn)控制等方面進(jìn)行論證,測(cè)試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測(cè)試、驗(yàn)收。
6.4操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、升級(jí)和打安全補(bǔ)丁。
6.5個(gè)人計(jì)算機(jī)上不得安裝與工作無(wú)關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無(wú)關(guān)的其它軟件。
6.6系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對(duì)可能的攻擊嘗試、非授權(quán)訪問(wèn)提出警告。6.7主機(jī)系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進(jìn)行登記。登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容,并進(jìn)行存檔保存。6.8重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級(jí)時(shí)應(yīng)建立系統(tǒng)鏡像,在發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí)利用系統(tǒng)鏡像對(duì)系統(tǒng)進(jìn)行完整性檢查。
7.0服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)(如防火墻、入侵檢測(cè)系統(tǒng)等)等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志,在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù),對(duì)網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、跟蹤并發(fā)出警告,并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。8.0新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。9.0 互聯(lián)網(wǎng)信息安全
9.1公司對(duì)外網(wǎng)站、需定期做安全檢查,并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限,防止有害信息傳播。
9.2各部門搭建的電子郵件系統(tǒng),禁止開啟匿名轉(zhuǎn)發(fā)功能,并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過(guò)濾垃圾電子郵件及有害信息。10.0數(shù)據(jù)安全
10.1需要保護(hù)的重要數(shù)據(jù)至少包括:
1)重要文件、資料、圖紙(電子版)。2)財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫(kù)。3)重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。4)其他重要數(shù)據(jù)。
10.2各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃,及時(shí)做好數(shù)
據(jù)備份及恢復(fù)。
10.3對(duì)數(shù)據(jù)備份必須有明確的記錄,在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間,備份操作人員等信息。對(duì)于重要數(shù)據(jù)的備份必須異地存放,并做好相關(guān)的異地備份記錄。
10.4各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證,對(duì)數(shù)據(jù)恢復(fù)過(guò)程進(jìn)行試驗(yàn),確保在發(fā)生安全問(wèn)題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。
10.5各部門計(jì)算機(jī)管理部門應(yīng)對(duì)所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案,登記的內(nèi)容主要包括:需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全管理和日常備份的人員、可以訪問(wèn)數(shù)據(jù)的用戶、訪問(wèn)的方式以及權(quán)限。
10.6涉及企業(yè)秘密及具有高保密性要求(如口令文件)的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。10.7禁止在沒(méi)有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù),在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫(kù)口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī)上存放重要數(shù)據(jù)。
10.8不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需,須將數(shù)據(jù)用安全可靠的加密手段加密存儲(chǔ),并將存儲(chǔ)的軟盤或筆記本電腦比照密級(jí)文件管理。11.0安全管理
11.1各部門必須對(duì)本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測(cè):
1)系統(tǒng)安全檢查應(yīng)每月檢查、檢測(cè)一次; 2)計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次; 3)數(shù)據(jù)備份應(yīng)每月檢查一次。
11.2檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患,應(yīng)組織安全隱患整治,不能馬上整治的,應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。
11.3發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件,應(yīng)馬上組織人員妥善處理,防止擴(kuò)散影響。觸犯刑律的,應(yīng)保存證據(jù),報(bào)告公安機(jī)關(guān),并配合查處。
11.4發(fā)生重大計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件須在24小時(shí)內(nèi)上報(bào)。
11.5各部門應(yīng)對(duì)用戶及本部門員工進(jìn)行網(wǎng)絡(luò)信息安全宣傳,宣傳有關(guān)國(guó)家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識(shí),加強(qiáng)用戶的法律意識(shí)和安全意識(shí),不得從事任何危害網(wǎng)絡(luò)信息安全的行為。
12.0 顧客網(wǎng)絡(luò)信息安全
12.1 維護(hù)人員不得將顧客系統(tǒng)的密碼泄露給他人。
12.2 維護(hù)人員因工作原因進(jìn)入顧客系統(tǒng)是,不得復(fù)制、刪除、修改顧客信息。12.3 進(jìn)入顧客系統(tǒng)應(yīng)使用專用計(jì)算機(jī),該計(jì)算機(jī)應(yīng)每周進(jìn)行殺毒,以防將病毒傳入顧客
系統(tǒng)。
12.4 維護(hù)人員的客戶端應(yīng)及時(shí)升級(jí)或更新,確保其與顧客系統(tǒng)的版本保持一致。
第二篇:網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范
網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范
XXXX有限公司
WHB-08
網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范
版本號(hào):
A/0
編制人:
XXX
審核人:
XXX
批準(zhǔn)人:
XXX
20XX年X月X日發(fā)布
20XX年X月X日實(shí)施
目的計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計(jì)算機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行,充分發(fā)揮信息服務(wù)方面的重要作用,更好的為公司運(yùn)營(yíng)提供服務(wù),依據(jù)國(guó)家有關(guān)法律、法規(guī)的規(guī)定,結(jié)合公司實(shí)際情況制定本規(guī)定。
術(shù)語(yǔ)
本規(guī)范中的名詞術(shù)語(yǔ)(比如“計(jì)算機(jī)信息安全”等)符合國(guó)家以及行業(yè)的相關(guān)規(guī)定。
計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí),控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、病毒防護(hù)、訪問(wèn)權(quán)限控制、加密與鑒別等七個(gè)方面。
狹義上的計(jì)算機(jī)信息安全,是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散,防止計(jì)算機(jī)網(wǎng)絡(luò)上處理、傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞,防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。
網(wǎng)絡(luò)安全,是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行,防止網(wǎng)絡(luò)被入侵、攻擊等,保證合法用戶對(duì)網(wǎng)絡(luò)資源的正常訪問(wèn)和對(duì)網(wǎng)絡(luò)服務(wù)的正常使用。
計(jì)算機(jī)及網(wǎng)絡(luò)安全員,是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。
普通用戶,是指除了計(jì)算機(jī)及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問(wèn)到互聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。
主機(jī)系統(tǒng),指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運(yùn)營(yíng)管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。
網(wǎng)絡(luò)服務(wù),包含通過(guò)開放端口提供的網(wǎng)絡(luò)服務(wù),如WWW、Email、FTP、Telnet、DNS等。
有害信息,參見國(guó)家現(xiàn)在法律法規(guī)的定義。
重大計(jì)算機(jī)信息安全事件,是指公司對(duì)外網(wǎng)站(電子公告板等)上出現(xiàn)有害信息;有害信息通過(guò)Email及其他途徑大面積傳播或已造成較大社會(huì)影響;計(jì)算機(jī)病毒的蔓延;重要文件、數(shù)據(jù)、資料被刪除、篡改、竊??;由安全問(wèn)題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷;系統(tǒng)被入侵;頁(yè)面被非法替換或者修改;主機(jī)房及設(shè)備被人為破壞;重要計(jì)算機(jī)設(shè)備被盜竊等事件。
組織架構(gòu)及職責(zé)分工
公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī)構(gòu),統(tǒng)一歸口負(fù)責(zé)外部部門(政府和其他部門)有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。
計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施,加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo),落實(shí)國(guó)家有關(guān)計(jì)算機(jī)信息安全的法律、法規(guī)和上級(jí)有關(guān)規(guī)定,保障公司的計(jì)算機(jī)信息的安全。
計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰(shuí)主管,誰(shuí)負(fù)責(zé)”的原則,各部門負(fù)責(zé)人對(duì)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。
各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員,并報(bào)公司計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。
相關(guān)崗位信息安全職責(zé):
1)負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施,及時(shí)掌握和處理有關(guān)信息安全問(wèn)題。
2)定期或不定期檢測(cè)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況,發(fā)現(xiàn)安全漏洞和隱患及時(shí)報(bào)告,并提出整改意見、建議和技術(shù)措施。
3)指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè)置使用的情況。
4)發(fā)現(xiàn)計(jì)算機(jī)信息安全問(wèn)題,及時(shí)處理,保護(hù)現(xiàn)場(chǎng),追查原因,并報(bào)部門計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組。
5)定期分析計(jì)算機(jī)安全系統(tǒng)日志,并作相應(yīng)處理。
6)驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對(duì)象的安全控制方法和措施的有效性,對(duì)于不符合安全控制要求的提出技術(shù)整改措施,對(duì)本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。
7)負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。
8)負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。
9)定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進(jìn)程,在發(fā)現(xiàn)異常的系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。
10)負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。
11)進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù),包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補(bǔ)。
12)在正常的系統(tǒng)升級(jí)后,對(duì)系統(tǒng)重新進(jìn)行安全設(shè)置,并對(duì)系統(tǒng)進(jìn)行技術(shù)安全檢查。
13)根據(jù)上級(jí)和本級(jí)計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求,按照規(guī)定的流程進(jìn)行系統(tǒng)升級(jí)或安全補(bǔ)丁程序的安裝。
14)管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口,并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。
15)根據(jù)數(shù)據(jù)備份策略,完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。
1)自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。
2)負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。
3)發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件,及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。
4)不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備(包括路由器、交換機(jī)、集線器、光纖、網(wǎng)線),不得私自接入網(wǎng)絡(luò)。
各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對(duì)穩(wěn)定,并加強(qiáng)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、離職或者其他原因離開原崗位時(shí),應(yīng)將其涉及的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。
系統(tǒng)安全規(guī)定
公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理,并建立出入登記和審批制度。攜帶計(jì)算機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、出主機(jī)房,應(yīng)經(jīng)主管部門同意,并由機(jī)房管理人員進(jìn)行核查登記。
各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理,做好計(jì)算機(jī)設(shè)備的增添、維修、調(diào)撥等的審核與管理。計(jì)算機(jī)設(shè)備維修特別是需離場(chǎng)維修或承包給企業(yè)外部人員維護(hù)、維修時(shí),應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號(hào)、密碼等,如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施,防止泄密。
使用、操作計(jì)算機(jī)設(shè)備時(shí),應(yīng)遵循以下安全要求:
1)保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令,并不定期更換口令,不得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。
2)不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件,對(duì)于外來(lái)的軟件、數(shù)據(jù)文件等,必須先經(jīng)病毒檢測(cè),確認(rèn)無(wú)感染、攜帶病毒后方可使用。
3)不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無(wú)關(guān)的軟件。
4)不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。
5)在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上,應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。
6)在個(gè)人計(jì)算機(jī)上安裝防病毒軟件,并開啟實(shí)時(shí)病毒監(jiān)測(cè)功能,及時(shí)升級(jí)病毒庫(kù)和軟件。
7)非經(jīng)計(jì)算機(jī)管理部門的有效許可,不得對(duì)網(wǎng)絡(luò)進(jìn)行安全(漏洞)掃描和對(duì)賬號(hào)、口令及數(shù)據(jù)包進(jìn)行偵聽;不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。
賬號(hào)管理安全
賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。
唯一性原則是指每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶,不允許多人共同擁有同一賬號(hào)。
必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配,不能根據(jù)個(gè)人需要、職位進(jìn)行分配,禁止與所管理主機(jī)系統(tǒng)無(wú)關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào),要根據(jù)工作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。
最小授權(quán)原則是指對(duì)賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制,其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的,要經(jīng)主管領(lǐng)導(dǎo)審批。
系統(tǒng)中所有的用戶(包括超級(jí)權(quán)限用戶和普通用戶)必須登記備案,并定期審閱。
嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。
員工發(fā)生工作變動(dòng),必須重新審核其賬號(hào)的必要性和權(quán)限,及時(shí)取消非必要的賬號(hào)和調(diào)整賬號(hào)權(quán)限;如員工離開本部門,須立即取消其賬號(hào)。
在本部門每個(gè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗(yàn)收后,應(yīng)立即刪除系統(tǒng)中所有的測(cè)試賬號(hào)和臨時(shí)賬號(hào),對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。
系統(tǒng)管理員必須定期對(duì)系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核,發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí)核實(shí)并作相應(yīng)的處理,對(duì)長(zhǎng)期不用的用戶賬號(hào)進(jìn)行鎖定。
一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。在特殊情況下(如系統(tǒng)維修、升級(jí)等)外部人員需要進(jìn)入系統(tǒng)操作,必須由系統(tǒng)管理員進(jìn)行登錄,并對(duì)操作過(guò)程進(jìn)行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。
口令安全管理
口令的選取、組成、長(zhǎng)度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符串作為口令,也不要使用單個(gè)單詞作為口令,在口令組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合,口令長(zhǎng)度要求在8位以上。
重要的主機(jī)系統(tǒng),要求至少每個(gè)月修改口令,對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī),要求至少每?jī)蓚€(gè)月修改口令。
重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。
本地保存的用戶口令應(yīng)加密存放,防止用戶口令泄密。
軟件安全管理:
不安裝和使用來(lái)歷不明、沒(méi)有版權(quán)的軟件。
不得在重要的主機(jī)系統(tǒng)上安裝測(cè)試版的軟件。
開發(fā)、修改應(yīng)用系統(tǒng)時(shí),要充分考慮系統(tǒng)安全和數(shù)據(jù)安全,從數(shù)據(jù)的采集、傳輸、處理、存貯,訪問(wèn)控制等方面進(jìn)行論證,測(cè)試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測(cè)試、驗(yàn)收。
操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、升級(jí)和打安全補(bǔ)丁。
個(gè)人計(jì)算機(jī)上不得安裝與工作無(wú)關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無(wú)關(guān)的其它軟件。
系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對(duì)可能的攻擊嘗試、非授權(quán)訪問(wèn)提出警告。
主機(jī)系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進(jìn)行登記。登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容,并進(jìn)行存檔保存。
重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級(jí)時(shí)應(yīng)建立系統(tǒng)鏡像,在發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí)利用系統(tǒng)鏡像對(duì)系統(tǒng)進(jìn)行完整性檢查。
服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)(如防火墻、入侵檢測(cè)系統(tǒng)等)等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志,在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù),對(duì)網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、跟蹤并發(fā)出警告,并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。
新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。
互聯(lián)網(wǎng)信息安全
公司對(duì)外網(wǎng)站、需定期做安全檢查,并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限,防止有害信息傳播。
各部門搭建的電子郵件系統(tǒng),禁止開啟匿名轉(zhuǎn)發(fā)功能,并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過(guò)濾垃圾電子郵件及有害信息。
數(shù)據(jù)安全
需要保護(hù)的重要數(shù)據(jù)至少包括:
1)重要文件、資料、圖紙(電子版)。
2)財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫(kù)。
3)重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。
4)其他重要數(shù)據(jù)。
各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃,及時(shí)做好數(shù)據(jù)備份及恢復(fù)。
對(duì)數(shù)據(jù)備份必須有明確的記錄,在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間,備份操作人員等信息。對(duì)于重要數(shù)據(jù)的備份必須異地存放,并做好相關(guān)的異地備份記錄。
各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證,對(duì)數(shù)據(jù)恢復(fù)過(guò)程進(jìn)行試驗(yàn),確保在發(fā)生安全問(wèn)題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。
各部門計(jì)算機(jī)管理部門應(yīng)對(duì)所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案,登記的內(nèi)容主要包括:需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全管理和日常備份的人員、可以訪問(wèn)數(shù)據(jù)的用戶、訪問(wèn)的方式以及權(quán)限。
涉及企業(yè)秘密及具有高保密性要求(如口令文件)的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。
禁止在沒(méi)有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù),在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫(kù)口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī)上存放重要數(shù)據(jù)。
不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需,須將數(shù)據(jù)用安全可靠的加密手段加密存儲(chǔ),并將存儲(chǔ)的軟盤或筆記本電腦比照密級(jí)文件管理。
安全管理
各部門必須對(duì)本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測(cè):
1)系統(tǒng)安全檢查應(yīng)每月檢查、檢測(cè)一次;
2)計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次;
3)數(shù)據(jù)備份應(yīng)每月檢查一次。
檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患,應(yīng)組織安全隱患整治,不能馬上整治的,應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。
發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件,應(yīng)馬上組織人員妥善處理,防止擴(kuò)散影響。觸犯刑律的,應(yīng)保存證據(jù),報(bào)告公安機(jī)關(guān),并配合查處。
發(fā)生重大計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件須在24小時(shí)內(nèi)上報(bào)。
各部門應(yīng)對(duì)用戶及本部門員工進(jìn)行網(wǎng)絡(luò)信息安全宣傳,宣傳有關(guān)國(guó)家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識(shí),加強(qiáng)用戶的法律意識(shí)和安全意識(shí),不得從事任何危害網(wǎng)絡(luò)信息安全的行為。
顧客網(wǎng)絡(luò)信息安全
維護(hù)人員不得將顧客系統(tǒng)的密碼泄露給他人。
維護(hù)人員因工作原因進(jìn)入顧客系統(tǒng)是,不得復(fù)制、刪除、修改顧客信息。
進(jìn)入顧客系統(tǒng)應(yīng)使用專用計(jì)算機(jī),該計(jì)算機(jī)應(yīng)每周進(jìn)行殺毒,以防將病毒傳入顧客系統(tǒng)。
維護(hù)人員的客戶端應(yīng)及時(shí)升級(jí)或更新,確保其與顧客系統(tǒng)的版本保持一致。
文檔內(nèi)容僅供參考
第三篇:信息安全管理規(guī)范和保密制度
xxx集團(tuán)互聯(lián)網(wǎng)事業(yè)部信息安全
管理規(guī)范和保密制度
第一章、總則
第1條為了明確崗位職責(zé),規(guī)范操作流程,確保公司信息資產(chǎn)的安全,特制訂本制度。
第2條本制度適用于公司所有員工。
第二章、電子郵件管理制度
第1條 行政人力部必須在員工入職三天內(nèi),向員工分配企業(yè)郵箱的個(gè)人用戶名和密碼。并告知使用方法。
第2條 公司郵箱賬戶限本人使用,禁止將本人賬戶轉(zhuǎn)借或借用他人賬戶。員工必須及時(shí)修改初始密碼,并且在使用中定期(最多3個(gè)月)修改郵箱的密碼,以防他人利用。密碼至少為8位,且需是字母、數(shù)字、特殊符號(hào)等至少兩個(gè)的組合。因郵箱密碼泄露造成的損失,由用戶自行承擔(dān)責(zé)任。
第3條 員工的對(duì)外往來(lái)的公務(wù)郵件,原則上必須使用公司統(tǒng)一后綴的郵箱;對(duì)外往來(lái)的私人郵件則不允許使用公司統(tǒng)一后綴的郵箱。禁止非工作用途將郵箱賬戶公布在外部INTERNET網(wǎng)上。公務(wù)用郵件時(shí),必須使用含有以下字樣的個(gè)人簽名:
聲明:您有義務(wù)對(duì)本郵件內(nèi)容進(jìn)行保密,未經(jīng)書面允許不可私自復(fù)制、轉(zhuǎn)發(fā)、散布。
第4條 收到危害社會(huì)安定的郵件,應(yīng)及時(shí)刪除,嚴(yán)禁轉(zhuǎn)發(fā)或點(diǎn)擊相應(yīng)鏈接,若因此造成不良影響或損失的,由用戶個(gè)人承擔(dān)責(zé)任,管理員發(fā)現(xiàn)類似現(xiàn)象的有權(quán)封鎖相關(guān)郵件賬戶。發(fā)現(xiàn)郵件感染病毒,立刻將計(jì)算機(jī)斷開公司網(wǎng)絡(luò),并使用相應(yīng)軟件進(jìn)行殺毒。
第5條 發(fā)送帶有公司涉密信息的郵件,發(fā)件人必須先經(jīng)部門領(lǐng)導(dǎo)同意,(若是絕密級(jí)別,需經(jīng)公司領(lǐng)導(dǎo)同意),并將涉密信息加密處理后方可發(fā)送;否則視情節(jié)嚴(yán)重程度予以處理。
第6條 員工離職時(shí),根據(jù)需要交由部門專人監(jiān)管一個(gè)月,后由行政人力部注銷。
第7條 違反以上電子郵件管理規(guī)定,視情節(jié)輕重,最低經(jīng)濟(jì)處罰50元(由人力資源部門商定),并交行政人力部處理;情節(jié)特別嚴(yán)重的將移交國(guó)家司法機(jī)關(guān),追究法律責(zé)任。
第三章 數(shù)據(jù)安全管理制度
第1條 為保證存儲(chǔ)商業(yè)機(jī)密的計(jì)算機(jī)、文件、光盤等不會(huì)輕易泄露,公司對(duì)涉及技術(shù)及商業(yè)機(jī)密的文件、光盤等實(shí)行專人管理、借閱登記的制度;同時(shí)儲(chǔ)存涉及技術(shù)及商業(yè)機(jī)密的計(jì)算機(jī)均應(yīng)進(jìn)行CMOS加密及屏幕保護(hù)加密。此兩項(xiàng)密碼除使用者本人擁有外,應(yīng)向本部門經(jīng)理備份,不得泄密給其它部門或個(gè)人。離開原工作崗位的員工由所在部門負(fù)責(zé)人將其所有工作資料收回并保存。如有因密碼泄露而導(dǎo)致嚴(yán)重后果者,其行為等同于故意泄密,公司將按照人力資源獎(jiǎng)懲制度
予以嚴(yán)肅查處。
第2條 計(jì)算機(jī)終端用戶務(wù)必將重要數(shù)據(jù)存放在計(jì)算機(jī)硬盤中除系統(tǒng)盤以外的的硬盤分區(qū)。計(jì)算機(jī)系統(tǒng)發(fā)生故障時(shí),應(yīng)及時(shí)與管理員聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施。
第3條 計(jì)算機(jī)終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù),對(duì)重要的數(shù)據(jù)應(yīng)保存雙份,存放在不同位置,并進(jìn)行定期檢查,防止數(shù)據(jù)丟失。
第4條 計(jì)算機(jī)、服務(wù)器或存儲(chǔ)設(shè)備,停止使用或使用前須進(jìn)行低級(jí)格式化。
第5條 IT管理人員嚴(yán)禁利用自己的賬號(hào)權(quán)限,查看其它員工的郵箱內(nèi)容,盜取或傳播郵件內(nèi)容。造成嚴(yán)重后果的,由公司根據(jù)國(guó)家法律追究相關(guān)責(zé)任。
第6條服務(wù)器運(yùn)維人員嚴(yán)禁利用職責(zé)便利,私自拷貝并傳播給公司外部人員或不相關(guān)人員。造成嚴(yán)重后果的,由公司根據(jù)國(guó)家法律追究相關(guān)責(zé)任。
第8條為了確保數(shù)據(jù)安全,防止數(shù)據(jù)丟失,要定期對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份。并進(jìn)行恢復(fù)測(cè)試。
第9條美羅全球精品購(gòu)B2C后臺(tái)管理賬號(hào),根據(jù)申請(qǐng)人員崗位,分配指定的權(quán)限。拒絕分配多余賬號(hào)權(quán)限或直接分配管理員賬號(hào)。并且開通賬號(hào)必須走賬號(hào)開通申請(qǐng)流程。員工離職后,及時(shí)刪除或禁用賬戶。具體申請(qǐng)單見附件:
蘇州美羅全球精品購(gòu) B2C平臺(tái)權(quán)限申請(qǐng)表 部門 崗位 權(quán)限類別 □新增 □刪除 姓名 申請(qǐng)時(shí)間 賬戶類型 □長(zhǎng)久 □臨時(shí) 新增或刪除權(quán)限列表(由權(quán)限分配人填寫): 部門經(jīng)理 簽字 權(quán)限分配操作人 簽字
第四章 網(wǎng)絡(luò)安全管理
第1條 未進(jìn)行安全配置、未裝防火墻或殺毒軟件的計(jì)算機(jī)終端,不得連接公司網(wǎng)絡(luò)和服務(wù)器。公司員工應(yīng)定期對(duì)所配備的計(jì)算機(jī)終端的操作系統(tǒng)、殺毒軟件進(jìn)行升級(jí)、更新,并定期進(jìn)行病毒查殺。
第2條 計(jì)算機(jī)終端用戶應(yīng)使用開機(jī)密碼,屏保密碼等。并定期更改。員工應(yīng)妥善保管所掌握的各類辦公賬號(hào)和密碼,嚴(yán)禁隨意向他人泄露、借用自己的賬號(hào)密碼。
第3條 IP地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源,公司員工應(yīng)在管理員的規(guī)劃下使用這些資源,不得擅自更改。對(duì)于影響網(wǎng)絡(luò)安全的系統(tǒng)服務(wù),員工應(yīng)在管理員的知道下使用,禁止隨意開啟關(guān)閉計(jì)算機(jī)中的系統(tǒng)服務(wù),保證計(jì)算機(jī)的網(wǎng)絡(luò)暢通運(yùn)行。
第4條 禁止未授權(quán)用戶接入公司網(wǎng)絡(luò)及訪問(wèn)網(wǎng)絡(luò)中的資源。第5條 經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù),必須經(jīng)過(guò)檢查無(wú)病毒后方可打開或運(yùn)行。
第五章 計(jì)算機(jī)安全管理
第1條 辦公電腦硬盤機(jī)文件夾不得一直處于“共享”狀態(tài),如果需要共享時(shí),必須設(shè)置密碼,或設(shè)定用戶權(quán)限,以限制用戶;用畢,立即取消共享狀態(tài)。不得下載和使用未經(jīng)測(cè)試和來(lái)歷不明的軟件、未經(jīng)病毒查殺不得使用U盤等介質(zhì)。
第2條 計(jì)算機(jī)必須設(shè)置開機(jī)密碼、屏保密碼等,自動(dòng)屏保開啟時(shí)
間要求為5分鐘;密碼長(zhǎng)度至少為8位,且為字母、數(shù)字等的組合,不可過(guò)于簡(jiǎn)單。
第3條 臺(tái)式機(jī)機(jī)箱需加鎖,防止設(shè)備丟失。計(jì)算機(jī)終端用戶不得挪用辦公電腦硬盤等,違反規(guī)定挪用者,視為故意違反安全規(guī)定,視情節(jié)嚴(yán)重程度,交由行政人力部處理。
第六章 公司保密制度
第4條 公司秘密分為三類:絕密、機(jī)密、秘密。
絕密:是指與公司生存、生產(chǎn)、科研、經(jīng)營(yíng)、人事有重大利益關(guān)系,一旦泄露會(huì)使公司的安全和利益遭受特別嚴(yán)重?fù)p害的事項(xiàng),主要包括以下內(nèi)容:
1.公司股份構(gòu)成,投資情況,新產(chǎn)品、新技術(shù)開發(fā)資料,客戶資料,商業(yè)計(jì)劃等。
2.公司總體發(fā)展規(guī)劃、經(jīng)營(yíng)策略、營(yíng)銷策略、商務(wù)談判內(nèi)容,正式合同和協(xié)議文書。
3.按《信息科技文件保密管理規(guī)定》屬于絕密級(jí)別的各種檔案。4.公司高層管理人員及其他對(duì)公司經(jīng)營(yíng)管理產(chǎn)生重大影響的會(huì)議紀(jì)要。
機(jī)密:是指與本公司的生存、生產(chǎn)、科研、經(jīng)營(yíng)、人事有重要利益關(guān)系,一旦泄露會(huì)使公司安全和利益遭受嚴(yán)重?fù)p害的事項(xiàng),主要包括以下內(nèi)容:
1.尚未確定的公司重要人事調(diào)整及安排情況,人力資源部對(duì)管理
人員的考評(píng)材料。
2.公司與客戶、外部高層人士、科研人員的來(lái)往情況及其載體。3.公司薪金制度,財(cái)務(wù)專用印鑒、賬號(hào),保險(xiǎn)柜密碼,月度、季度、的財(cái)務(wù)預(yù)、決算報(bào)告及各類財(cái)務(wù)、統(tǒng)計(jì)報(bào)表,電腦開啟密碼,重要磁盤、磁帶的內(nèi)容及其存放位置。
4.按照《信息科技文件保密管理規(guī)定》屬于機(jī)密級(jí)別的各種檔案。5.獲得競(jìng)爭(zhēng)對(duì)手情況的方法、渠道及公司相應(yīng)對(duì)策。6.外事活動(dòng)中內(nèi)部掌握的原則及政策。7.公司高層管理人員的家庭住址。
8.公司總經(jīng)理召開的經(jīng)營(yíng)管理工作會(huì)議的會(huì)議紀(jì)要。
秘密:是指與本公司的生存、生產(chǎn)、科研、經(jīng)營(yíng)、人事有較大利益關(guān)系,一旦泄露會(huì)使公司的安全和利益遭受損害的事項(xiàng),主要包括以下內(nèi)容:
1.市場(chǎng)調(diào)查預(yù)測(cè)情況,未來(lái)新產(chǎn)品的市場(chǎng)預(yù)測(cè)情況。2.公司內(nèi)部制度檢查,獎(jiǎng)懲措施及執(zhí)行情況。3.生產(chǎn)、技術(shù)、財(cái)務(wù)部門的安全保衛(wèi)情況。4.公司內(nèi)部各類通知及郵件等。
5.按《信息科技文件保密管理規(guī)定》屬于秘密級(jí)別的各種檔案。6.公司部門例會(huì)會(huì)議紀(jì)要。第5條 各密級(jí)知曉范圍 絕密級(jí)
公司高層管理人員及與絕密內(nèi)容有直接關(guān)系的工作人員。
機(jī)密級(jí)
經(jīng)理級(jí)別以上管理人員以及與機(jī)密內(nèi)容有直接關(guān)系的工作人員。秘密級(jí)
項(xiàng)目經(jīng)理級(jí)別以上管理人員以及與秘密內(nèi)容有直接關(guān)系的工作人員。
第6條 保密守則
1.公司員工必須有保密意識(shí),做到不該問(wèn)的絕不問(wèn),不該說(shuō)的絕不說(shuō),不該看的絕不看。
2.員工認(rèn)知期間的工作成果歸公司所有,并按《企業(yè)員工保密合同》及本制度進(jìn)行管理。
3.任何人不得以任何形式在互聯(lián)網(wǎng)上直接暴露公司研發(fā)項(xiàng)目的名稱,團(tuán)隊(duì)交流盡可能采用拼音縮寫等形式。
4.未經(jīng)公司管理層同意,員工不得隨意將可能涉及公司技術(shù)及商業(yè)秘密的文件、數(shù)據(jù)等帶離公司(包括帶回家中或是其它地方)。經(jīng)管理層批準(zhǔn),可將涉及公司的技術(shù)及商業(yè)秘密的文件、數(shù)據(jù)帶離公司的員工,必須采取必要的安全防范措施,保證相關(guān)資料不被泄露。如因失竊等因素而導(dǎo)致公司的商業(yè)和技術(shù)機(jī)密泄露,公司將對(duì)相關(guān)責(zé)任人按“玩忽職守”予以經(jīng)濟(jì)或行政處罰。
5.禁止任何非本公司員工在任何時(shí)間內(nèi)非經(jīng)允許使用本公司的計(jì)算機(jī)等辦公設(shè)備,在確有需要使用本公司計(jì)算機(jī)等辦公設(shè)備,須由本公司正式員工向本部門經(jīng)理及綜合部相關(guān)負(fù)責(zé)人提出申請(qǐng),取得同意后方可在指定區(qū)域內(nèi)使用,負(fù)責(zé)申請(qǐng)之員工須保證使用人不能訪問(wèn)涉
及公司機(jī)密的任何內(nèi)容。
6.任何非本公司外來(lái)人員需要經(jīng)由領(lǐng)導(dǎo)同意,并登記備案后方可入內(nèi),且不可出入機(jī)房要地。
7.所有員工不得隨意拷貝與自身業(yè)務(wù)無(wú)關(guān)的文件(文檔),復(fù)印或用其他方法取得公司商業(yè)秘密。如確有工作需要,須事先由本部門經(jīng)理向總經(jīng)理申請(qǐng),獲得簽字同意后方可在相關(guān)部門經(jīng)理的指導(dǎo)下進(jìn)行。
8.嚴(yán)禁在公共場(chǎng)合、私人交往、公用電話、傳真上交談、傳遞保密事項(xiàng)。
9.員工發(fā)現(xiàn)公司秘密已經(jīng)泄漏或可能泄漏時(shí),應(yīng)立即采取補(bǔ)救措施,并及時(shí)報(bào)告公司高層。
10.掌握公司秘密的人員在工作變動(dòng)時(shí),應(yīng)及時(shí)辦理交接手續(xù),并由主管領(lǐng)導(dǎo)簽字。
11.除本制度外,關(guān)鍵崗位人員還應(yīng)遵守《關(guān)鍵崗位信息安全規(guī)范及保密制度》。
第七章 其他
第1條 對(duì)于由于工作失誤或沒(méi)按照本制度執(zhí)行而導(dǎo)致公司商業(yè)秘密泄露者,公司將視情節(jié)輕重給以相應(yīng)的經(jīng)濟(jì)及行政處罰;對(duì)于有意泄露公司機(jī)密者,公司除將立即與其解除勞動(dòng)合同、并對(duì)其處以經(jīng)濟(jì)及行政處分外,還將視其行為后果的嚴(yán)重性,保留追究其刑事責(zé)任的權(quán)利。
第2條 本制度由公司各部門進(jìn)行實(shí)施,企業(yè)管理部進(jìn)行監(jiān)督,修訂權(quán)歸公司所有。由發(fā)布之日起生效。
第四篇:數(shù)據(jù)備份和恢復(fù)管理規(guī)范
數(shù)據(jù)備份和恢復(fù)管理規(guī)范
第一章 總 則
第一條 為規(guī)范、統(tǒng)一全集團(tuán)范圍內(nèi)重要系統(tǒng)的數(shù)據(jù)備份及管理工作,明確各系統(tǒng)數(shù)據(jù)備份及恢復(fù)的角色和職責(zé),確保備份介質(zhì)的安全和按時(shí)、順利恢復(fù)系統(tǒng)和數(shù)據(jù),并確保有關(guān)責(zé)任人員熟練掌握系統(tǒng)和數(shù)據(jù)的備份、歸檔和恢復(fù)流程,特制定本辦法。
第二條 備份和恢復(fù)管理的范圍包括:確定關(guān)鍵系統(tǒng)的備份和恢復(fù)方針及原則;系統(tǒng)、應(yīng)用等軟件及業(yè)務(wù)、配置等數(shù)據(jù)的備份和恢復(fù);備份介質(zhì)的存放、歸檔管理;系統(tǒng)及數(shù)據(jù)恢復(fù)演練;備份和恢復(fù)流程的評(píng)估和維護(hù);歸檔數(shù)據(jù)的查詢;備份和恢復(fù)所需存儲(chǔ)、磁帶庫(kù)等硬件工具/設(shè)備的監(jiān)控和管理。不包括:硬件、網(wǎng)絡(luò)的備份和恢復(fù)(屬于業(yè)務(wù)連續(xù)性管理);業(yè)務(wù)系統(tǒng)的在線數(shù)據(jù)冗余(屬于業(yè)務(wù)可用性管理)。
第三條 關(guān)鍵系統(tǒng)定義: ERP、研發(fā)、SCM、CRM、財(cái)務(wù)、HR和其他多個(gè)單位通用的業(yè)務(wù)系統(tǒng);MIP、郵件、公共網(wǎng)站等IT基礎(chǔ)應(yīng)用系統(tǒng);單個(gè)單位使用的核心業(yè)務(wù)系統(tǒng)。
第四條 集團(tuán)數(shù)據(jù)備份和恢復(fù)工作由集團(tuán)備份管理員負(fù)責(zé)組織、協(xié)調(diào),并按照既定計(jì)劃和策略督促相關(guān)人員執(zhí)行。
第二章 數(shù)據(jù)備份、歸檔和恢復(fù)原則
第五條 備份和恢復(fù)時(shí)間、性能應(yīng)符合各系統(tǒng)服務(wù)級(jí)別的規(guī)定,各系統(tǒng)服務(wù)級(jí)別由系統(tǒng)所在單位與系統(tǒng)主要使用部門商議。
第六條 應(yīng)考慮主機(jī)系統(tǒng)(操作系統(tǒng)、工具軟件、數(shù)據(jù)庫(kù)系統(tǒng)軟件、應(yīng)用等)變化的頻率,全備份的頻率應(yīng)與業(yè)務(wù)系統(tǒng)變化頻率成正比。
第七條 當(dāng)主機(jī)系統(tǒng)發(fā)生較大更改時(shí),應(yīng)馬上對(duì)主機(jī)系統(tǒng)進(jìn)行一次全備份。第八條 應(yīng)考慮全備份的容量,全備份的頻率應(yīng)與其備份容量成反比。第九條 系統(tǒng)全備份方式適用于使用小型機(jī)設(shè)備的系統(tǒng),使用PC服務(wù)器的系統(tǒng)建議采用克隆系統(tǒng)應(yīng)急盤方式。
第十條 對(duì)應(yīng)用軟件等程序文件:當(dāng)系統(tǒng)配置數(shù)據(jù)發(fā)生變動(dòng)時(shí),應(yīng)馬上備份,備份介質(zhì)保留至下一次系統(tǒng)全備份。當(dāng)生產(chǎn)環(huán)境中的應(yīng)用軟件將發(fā)生變動(dòng)時(shí),應(yīng)對(duì)變動(dòng)前的應(yīng)用軟件進(jìn)行備份。該種情況下的備份一般情況下由各系統(tǒng)管理員自行準(zhǔn)備資源完成。
第十一條 對(duì)Oracle等數(shù)據(jù)庫(kù)進(jìn)行在線備份的系統(tǒng),原則上要求周日為0級(jí)備份(冷備份)。對(duì)有數(shù)據(jù)長(zhǎng)期保留需求的系統(tǒng),只進(jìn)行系統(tǒng)的0級(jí)備份的歸檔,以確保數(shù)據(jù)有效性和可恢復(fù)性。
第十二條 歸檔數(shù)據(jù)一般包括程序文件、數(shù)據(jù)文件,一般不包括數(shù)據(jù)庫(kù)歸檔日志、邏輯備份數(shù)據(jù)(如在線備份)。
第十三條 歸檔數(shù)據(jù)完整性的基本原則:進(jìn)行數(shù)據(jù)恢復(fù)后,系統(tǒng)在簡(jiǎn)單配置后可直接使用。
第十四條 對(duì)業(yè)務(wù)數(shù)據(jù)備份:在網(wǎng)絡(luò)帶寬和存儲(chǔ)設(shè)備允許的前提下,可以采用集中備份和恢復(fù)管理的方式,否則采用分布備份和恢復(fù)管理方式。在數(shù)據(jù)庫(kù)故障時(shí)能夠快速恢復(fù)數(shù)據(jù)是選擇備份方式的一個(gè)重要因素。應(yīng)該采用多種備份方式(如采用塊方式和文本方式等),以保證除了使用備份系統(tǒng)進(jìn)行恢復(fù)外,還可以在本地備份機(jī)上直接恢復(fù)應(yīng)用,如特別關(guān)鍵應(yīng)用,建議考慮增加異地的恢復(fù)方式。除了用于恢復(fù)外,備份介質(zhì)還應(yīng)該方便存檔數(shù)據(jù)查詢、恢復(fù)演練、新系統(tǒng)測(cè)試、審計(jì)檢查等使用。重點(diǎn)保留月末、季末、年末、結(jié)息日、新系統(tǒng)切換等重點(diǎn)時(shí)間的數(shù)據(jù)。
第十五條 對(duì)Oracle數(shù)據(jù)庫(kù)備份:為了保護(hù)最近產(chǎn)生的數(shù)據(jù),必須連續(xù)備份數(shù)據(jù)庫(kù)邏輯日志。在業(yè)務(wù)數(shù)據(jù)的兩次連續(xù)0級(jí)備份之間,應(yīng)該進(jìn)行業(yè)務(wù)數(shù)據(jù)邏輯日志的備份。
第十六條 應(yīng)該根據(jù)數(shù)據(jù)容量/備份持續(xù)時(shí)間來(lái)決定采用每日0級(jí)備份,或定期0級(jí)備份+每日增量備份方式(增量備份分為對(duì)上次0級(jí)備份的增量、對(duì)上次增量的增量?jī)煞N)。如果每日0級(jí)備份的備份和恢復(fù)時(shí)間符合要求,建議采用每日0級(jí)備份方式;否則采用每周0級(jí)備份+每日增量備份方式。備份介質(zhì)保留一個(gè)備份周期。
第十七條 區(qū)別維持關(guān)鍵業(yè)務(wù)運(yùn)行的數(shù)據(jù)(如,僅僅包含賬戶數(shù)據(jù)、客戶信息、交易數(shù)據(jù),不含歷史數(shù)據(jù)),并每日單獨(dú)備份,剩余數(shù)據(jù)同樣單獨(dú)備份??紤]到是快速恢復(fù)數(shù)據(jù),故該類數(shù)據(jù)不宜過(guò)大。另外考慮到其使用目標(biāo)是僅僅是應(yīng)急,故其備份介質(zhì)都是短期保留。
第十八條 要使用腳本來(lái)進(jìn)行備份和恢復(fù),盡量避免手工操作;盡量安排在非工作時(shí)間備份。
第十九條 在備份和恢復(fù)操作流程發(fā)生變動(dòng)時(shí),應(yīng)該對(duì)操作人員進(jìn)行培訓(xùn);進(jìn)行恢復(fù)演練的頻率與流程變化的頻率成正比;進(jìn)行實(shí)際恢復(fù)演練的頻率與恢復(fù)失敗的頻率(考核指標(biāo)之一)成正比。
第二十條 所有對(duì)生產(chǎn)系統(tǒng)和數(shù)據(jù)的恢復(fù)都要預(yù)先得到批準(zhǔn);對(duì)存檔備份介質(zhì)的調(diào)閱需要登記,并且只能拷貝不能外借。
第二十一條 所有的備份介質(zhì)都要貼上清晰的標(biāo)簽,標(biāo)簽應(yīng)包含介質(zhì)編號(hào)(或序號(hào))、備份內(nèi)容、備份日期時(shí)間、備份人員等內(nèi)容;數(shù)據(jù)備份在制作、傳遞、轉(zhuǎn)移過(guò)程中,必須填寫《數(shù)據(jù)備份登記表》或《數(shù)據(jù)轉(zhuǎn)移保存登記表》,詳細(xì)記錄備份數(shù)據(jù)制作、傳遞、轉(zhuǎn)移的全部過(guò)程與責(zé)任人;數(shù)據(jù)備份的存放處必須符合防火、防水、防磁的安全要求;保存期在一年以上的備份磁帶應(yīng)半年進(jìn)行重寫或重繞處理;長(zhǎng)期保存的磁帶應(yīng)記錄使用次數(shù),保證介質(zhì)在規(guī)定的次數(shù)內(nèi)使用;歸檔數(shù)據(jù)備份介質(zhì)應(yīng)該實(shí)施異地存放,建議存放至銀行保險(xiǎn)箱或檔案室(必須和主機(jī)房不在同一建筑物內(nèi),如分支機(jī)構(gòu)辦公場(chǎng)所)。
第三章 存儲(chǔ)、備份設(shè)備及相關(guān)設(shè)備管理
第二十二條 存儲(chǔ)設(shè)備:集團(tuán)中央數(shù)據(jù)存儲(chǔ)系統(tǒng)、集團(tuán)中央備份存儲(chǔ)系統(tǒng);備份管理員負(fù)責(zé):每天檢查存儲(chǔ)設(shè)備控制器產(chǎn)生的信息,每周至少一次現(xiàn)場(chǎng)檢查存儲(chǔ)設(shè)備及相關(guān)部件運(yùn)行狀況,并將檢查記錄包含在周報(bào)中;存儲(chǔ)設(shè)備Lun的調(diào)整和新Lun的分配,磁盤Raid策略調(diào)整等資源使用管理;
第二十三條 備份設(shè)備:STK SL500磁帶庫(kù)、LTO3數(shù)據(jù)磁帶、LTO3清洗帶;磁帶庫(kù)設(shè)備要求制定驅(qū)動(dòng)器自動(dòng)清洗策略,備份管理員負(fù)責(zé):定期檢查策略執(zhí)行執(zhí)行是否正常,每周至少一次現(xiàn)場(chǎng)檢查磁帶庫(kù)及相關(guān)部件運(yùn)行狀況,并將檢查記錄包含在周報(bào)中;根據(jù)備份策略或用戶需求調(diào)整,及時(shí)調(diào)整磁帶庫(kù)設(shè)備的資源分配。
第二十四條 相關(guān)設(shè)備:光纖通道交換機(jī)及光纖通道接口等部件、主機(jī)HBA卡;備份管理員負(fù)責(zé):每周至少一次現(xiàn)場(chǎng)檢查光纖通道交換機(jī)及相關(guān)部件運(yùn)行情況,并將檢查記錄包含在周報(bào)中;每月協(xié)助系統(tǒng)管理員對(duì)主機(jī)HBA卡運(yùn)行情況進(jìn)行檢查,包括雙通道、負(fù)載均衡功能是否正常以及操作系統(tǒng)是否出現(xiàn)類似光纖通道報(bào)警信息;交換機(jī)Zooning調(diào)整、劃分及相關(guān)資源調(diào)配。
第二十五條 備份管理員負(fù)責(zé)以上設(shè)備的日常維護(hù)和故障報(bào)修。維護(hù)和報(bào)修流程見本規(guī)范第二十九條第2款。
第四章 備份和恢復(fù)相關(guān)人員職責(zé)
第二十六條 集團(tuán)備份管理員由集團(tuán)IT管理部任命和管理;二級(jí)備份管理員由二級(jí)管理平臺(tái)IT部門任命和管理,在備份業(yè)務(wù)上配合集團(tuán)備份管理員。增加二級(jí)備份管理員的調(diào)整須提前知會(huì)集團(tuán)IT管理部。系統(tǒng)管理責(zé)任人由系統(tǒng)所在平臺(tái)的IT部門確定,業(yè)務(wù)管理責(zé)任人由系統(tǒng)所在平臺(tái)的關(guān)鍵業(yè)務(wù)部門確定。
第二十七條 集團(tuán)備份管理員職責(zé):作為集團(tuán)數(shù)據(jù)備份和恢復(fù)工作的總體計(jì)劃制
定和工作協(xié)調(diào)者,負(fù)責(zé)備份系統(tǒng)管理和日常維護(hù);負(fù)責(zé)備份數(shù)據(jù)在磁帶、光盤等可移動(dòng)存儲(chǔ)介質(zhì)上克隆、遷移和本地存放;參與備份系統(tǒng)建設(shè)、改造項(xiàng)目;協(xié)助二級(jí)備份管理員和各系統(tǒng)管理員進(jìn)行數(shù)據(jù)覆蓋和災(zāi)難恢復(fù)工作;定期組織二級(jí)備份管理員及相關(guān)人員進(jìn)行備份數(shù)據(jù)有效性驗(yàn)證;負(fù)責(zé)組織集團(tuán)本部相關(guān)系統(tǒng)管理員進(jìn)行備份數(shù)據(jù)的有效性驗(yàn)證工作;負(fù)責(zé)備份系統(tǒng)客戶端程序的異常處理,但不含客戶端程序的管理;有義務(wù)和責(zé)任對(duì)系統(tǒng)管理員制定的備份策略提出合理建議;根據(jù)各系統(tǒng)恢復(fù)演練要求,制定總體恢復(fù)演練工作計(jì)劃。
第二十八條 二級(jí)備份管理員職責(zé):作為二級(jí)平臺(tái)及下屬單位數(shù)據(jù)備份和恢復(fù)工作詳細(xì)計(jì)劃的制定和協(xié)調(diào)者,協(xié)助備份管理員維護(hù)工作;組織相關(guān)系統(tǒng)管理員進(jìn)行備份系統(tǒng)客戶端的日常維護(hù);協(xié)助備份管理員定期組織相關(guān)人員進(jìn)行備份數(shù)據(jù)的有效性驗(yàn)證;參與備份系統(tǒng)建設(shè)、改造項(xiàng)目;負(fù)責(zé)平臺(tái)管理范圍內(nèi)系統(tǒng)進(jìn)行數(shù)據(jù)覆蓋和協(xié)助集團(tuán)備份管理員完成災(zāi)難恢復(fù)工作;負(fù)責(zé)制定該平臺(tái)及下屬單位的系統(tǒng)恢復(fù)演練詳細(xì)計(jì)劃,并負(fù)責(zé)該平臺(tái)及下屬單位數(shù)據(jù)從備份系統(tǒng)的導(dǎo)出。
第二十九條 系統(tǒng)技術(shù)管理責(zé)任人職責(zé):簡(jiǎn)稱系統(tǒng)管理員。是系統(tǒng)管理責(zé)任部門指定的系統(tǒng)日常維護(hù)人員,作為數(shù)據(jù)備份策略的制定者和恢復(fù)工作的實(shí)際執(zhí)行者,按照《備份系統(tǒng)維護(hù)指引》要求,負(fù)責(zé)對(duì)備份系統(tǒng)客戶端的維護(hù);根據(jù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全需求,負(fù)責(zé)制定合理、有效的備份策略(系統(tǒng)管理員只能負(fù)責(zé)提出策略和有效性審核,策略的合理性應(yīng)由集團(tuán)備份管理員完成);在集團(tuán)備份管理員或二級(jí)備份管理員的協(xié)助下,負(fù)責(zé)進(jìn)行責(zé)任系統(tǒng)的備份數(shù)據(jù)有效性驗(yàn)證;根據(jù)災(zāi)難演練計(jì)劃,建立系統(tǒng)詳細(xì)恢復(fù)操作文檔,并負(fù)責(zé)具體系統(tǒng)的搭建、恢復(fù)工作,同時(shí)負(fù)責(zé)組織相關(guān)人員對(duì)恢復(fù)系統(tǒng)的有效性進(jìn)行測(cè)試并提交相關(guān)報(bào)告。(各個(gè)應(yīng)用系統(tǒng)需要確定主要維護(hù)責(zé)任部門,由責(zé)任部門提出對(duì)系統(tǒng)的維護(hù)要求和指標(biāo))
第三十條 系統(tǒng)業(yè)務(wù)管理責(zé)任人職責(zé):作為數(shù)據(jù)備份和恢復(fù)工作的用戶方或負(fù)責(zé)業(yè)務(wù)維護(hù)的項(xiàng)目組,負(fù)責(zé)確認(rèn)系統(tǒng)數(shù)據(jù)備份和恢復(fù)的時(shí)間、性能等指標(biāo)。ERP、SCM、CRM等類系統(tǒng)業(yè)務(wù)責(zé)任部門為系統(tǒng)所在單位財(cái)務(wù)部門,研發(fā)類系統(tǒng)業(yè)務(wù)責(zé)任部門為系統(tǒng)所在單位研發(fā)部門,集團(tuán)HR系統(tǒng)業(yè)務(wù)責(zé)任部門為集團(tuán)人力資源部,MIP、郵件等基礎(chǔ)應(yīng)用系統(tǒng)業(yè)務(wù)責(zé)任部門為集團(tuán)IT部。其他系統(tǒng)由系統(tǒng)管理的責(zé)任單位IT部門確定系統(tǒng)業(yè)務(wù)責(zé)任部門。
第五章 運(yùn)維管理流程
第三十一條 數(shù)據(jù)備份異常的預(yù)警機(jī)制:對(duì)于連續(xù)兩次備份失敗的系統(tǒng),集團(tuán)備份管理員應(yīng)以郵件、短信或電話方式知會(huì)二級(jí)備份管理員或相關(guān)系統(tǒng)管理員及該管理平臺(tái)IT部門負(fù)責(zé)人,系統(tǒng)管理員應(yīng)積極采取相關(guān)措施,二級(jí)備份管理員及集團(tuán)備份管理員應(yīng)配合,確保當(dāng)天晚上數(shù)據(jù)備份成功,連續(xù)三次備份失敗,集團(tuán)備份管理員應(yīng)將該信息抄送至系統(tǒng)責(zé)任單位財(cái)務(wù)負(fù)責(zé)人、集團(tuán)IT總監(jiān)。
第三十二條 系統(tǒng)日常維護(hù)流程:備份系統(tǒng)的服務(wù)器端操作,由備份管理員負(fù)責(zé),客戶端操作由相關(guān)責(zé)任人負(fù)責(zé),備份管理員協(xié)助完成。
1.備份情況通報(bào)流程:集團(tuán)備份管理員每天上午10點(diǎn)前將前一天晚上數(shù)據(jù)備份情況在MIP上公布(周六備份情況在周一通報(bào)),每周備份管理員將一周備份情況進(jìn)行總結(jié)并發(fā)布至MIP,內(nèi)容包括但不限于:本周備份數(shù)據(jù)量、備份有效性總結(jié)、故障處理情況;每月進(jìn)行一次系統(tǒng)運(yùn)行情況總結(jié),上報(bào)至基礎(chǔ)管理中心高級(jí)經(jīng)理,內(nèi)容包括但不限于:本月備份有效性情況、故障處理匯總及分析、系統(tǒng)運(yùn)行趨勢(shì)分析及系統(tǒng)改進(jìn)合理化建議等。對(duì)于備份失敗的系統(tǒng),以郵件、短信或電話方式通知二級(jí)備份管理員及其上級(jí)領(lǐng)導(dǎo)并給出初步診斷結(jié)果和建議操作;二級(jí)備份管理員應(yīng)立即聯(lián)系相關(guān)系統(tǒng)管理員,系統(tǒng)管理員應(yīng)在當(dāng)天配合備份管理員查找問(wèn)題。若數(shù)據(jù)連續(xù)兩天沒(méi)有備份成功,第三天需要系統(tǒng)管理員與備份管理員一起確定系統(tǒng)的備份方式,若為數(shù)據(jù)庫(kù)的在線備份失敗,應(yīng)采取冷備份,若因數(shù)據(jù)庫(kù)沒(méi)有正確啟停,需系統(tǒng)管理員在策略中約定的時(shí)間手工啟停數(shù)據(jù)庫(kù),保證當(dāng)晚數(shù)據(jù)備份成功。如二級(jí)備份管理員及系統(tǒng)管理員對(duì)備份失敗問(wèn)題一天內(nèi)查不出原因,集團(tuán)備份管理員應(yīng)協(xié)調(diào)相關(guān)資源協(xié)助處理。
2.備份系統(tǒng)日程運(yùn)維管理流程:包括備份系統(tǒng)及相關(guān)設(shè)備日常檢查及故障處理。備份管理員每天對(duì)備份系統(tǒng)軟件日志進(jìn)行查看,如系統(tǒng)出現(xiàn)的報(bào)警或故障信息,當(dāng)天反饋至技術(shù)后臺(tái)支持經(jīng)理,如超過(guò)2天不能解決,應(yīng)上報(bào)至基礎(chǔ)運(yùn)維管理中心高級(jí)經(jīng)理,并聯(lián)系相關(guān)外部技術(shù)支持人員。如超過(guò)4天不能解決,應(yīng)上報(bào)至集團(tuán)IT總監(jiān)。3.備份和恢復(fù)策略初次申請(qǐng)流程:由系統(tǒng)管理員提出備份和恢復(fù)策略并填寫《備份和恢復(fù)需求》、《系統(tǒng)備份信息表》、《備份和恢復(fù)策略和原則》,系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)《備份和恢復(fù)需求》進(jìn)行確認(rèn),二級(jí)平臺(tái)備份管理員審查,集團(tuán)備份管理員審核,并在備份系統(tǒng)中實(shí)施,備份管理員直屬領(lǐng)導(dǎo)及基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。
4.備份和恢復(fù)策略變更流程:由系統(tǒng)管理員提出變更后的備份和恢復(fù)策略并填寫《備份和恢復(fù)需求》、《系統(tǒng)備份信息表》、《備份和恢復(fù)策略和原則》,系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)《備份和恢復(fù)需求》進(jìn)行確認(rèn),二級(jí)平臺(tái)備份管理員審查,集團(tuán)備份管理員審核,并在備份系統(tǒng)中實(shí)施,備份管理員直屬領(lǐng)導(dǎo)及基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。5.備份數(shù)據(jù)常規(guī)恢復(fù)流程:常規(guī)恢復(fù)指數(shù)據(jù)的測(cè)試環(huán)境覆蓋、恢復(fù)演練等要求下進(jìn)行數(shù)據(jù)恢復(fù)。不允許在凌晨進(jìn)行數(shù)據(jù)恢復(fù),如需進(jìn)行數(shù)據(jù),需要以郵件方式發(fā)送請(qǐng)求至集團(tuán)備份管理員,由備份管理員安排恢復(fù)時(shí)間和協(xié)助恢復(fù)。如系統(tǒng)管理員自行恢復(fù),導(dǎo)致正常備份工作受到影響,將追究相關(guān)管理員責(zé)任。
6.系統(tǒng)和數(shù)據(jù)災(zāi)難恢復(fù)流程:系統(tǒng)管理員提交系統(tǒng)和數(shù)據(jù)恢復(fù)申請(qǐng),系統(tǒng)管理員直屬領(lǐng)導(dǎo)進(jìn)行審核,系統(tǒng)業(yè)務(wù)責(zé)任部門審批,根據(jù)系統(tǒng)故障類型,二級(jí)備份管理員或集團(tuán)備份管理員準(zhǔn)備恢復(fù)的介質(zhì),系統(tǒng)管理員進(jìn)行系統(tǒng)和數(shù)據(jù)恢復(fù),系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)恢復(fù)數(shù)據(jù)正確性進(jìn)行驗(yàn)證,確認(rèn)恢復(fù)成功后,由系統(tǒng)管理部門對(duì)外發(fā)出《系統(tǒng)恢復(fù)通知》。
7.日常備份和歸檔管理流程:集團(tuán)備份管理員進(jìn)行日常備份和歸檔,提交《備份介質(zhì)存放登記表》,并在MIP上發(fā)布當(dāng)日備份信息,備份管理員直屬領(lǐng)導(dǎo)對(duì)歸檔進(jìn)行審核和數(shù)據(jù)抽查,基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。
8.備份介質(zhì)存放管理流程:集團(tuán)備份管理員對(duì)歸檔的備份介質(zhì)(目前為磁帶)進(jìn)行異地存放,并填寫《數(shù)據(jù)轉(zhuǎn)移保存登記表》,備份管理員直屬領(lǐng)導(dǎo)審查,基礎(chǔ)運(yùn)維管理中心負(fù)責(zé)人備案。
第三十三條 系統(tǒng)和數(shù)據(jù)恢復(fù)演練流程:包括所有非災(zāi)難恢復(fù)性質(zhì)的數(shù)據(jù)恢復(fù)流程。集團(tuán)或二級(jí)平臺(tái)備份管理員提交《系統(tǒng)和數(shù)據(jù)恢復(fù)演練計(jì)劃》,同時(shí)準(zhǔn)備好演練的環(huán)境和介質(zhì),系統(tǒng)管理員將系統(tǒng)和數(shù)據(jù)恢復(fù)至預(yù)定位置,并進(jìn)行系統(tǒng)和數(shù)據(jù)恢復(fù)結(jié)果進(jìn)行驗(yàn)證,并填寫《系統(tǒng)和數(shù)據(jù)恢復(fù)演練反饋表》。
第三十四條 存檔數(shù)據(jù)查詢流程:由存檔數(shù)據(jù)查詢?nèi)颂峤弧洞鏅n數(shù)據(jù)查詢申請(qǐng)表》,系統(tǒng)業(yè)務(wù)責(zé)任人審核,系統(tǒng)管理員準(zhǔn)備恢復(fù)所需硬件、軟件等資源,二級(jí)備份管理員或集團(tuán)備份管理員準(zhǔn)備恢復(fù)環(huán)境和備份介質(zhì),系統(tǒng)管理員進(jìn)行數(shù)據(jù)恢復(fù)對(duì)恢復(fù)系統(tǒng)和數(shù)據(jù)進(jìn)行可用性確認(rèn),系統(tǒng)業(yè)務(wù)責(zé)任人對(duì)恢復(fù)系統(tǒng)和數(shù)據(jù)進(jìn)行正確性驗(yàn)證,并通知查詢?nèi)诉M(jìn)行數(shù)據(jù)查詢。
第六章 懲罰措施
第三十五條 如集團(tuán)備份管理員已通知相關(guān)系統(tǒng)管理員備份失敗信息,而系統(tǒng)管理員沒(méi)有及時(shí)處理,導(dǎo)致兩次以上的數(shù)據(jù)備份失敗情況發(fā)生,系統(tǒng)管理員應(yīng)承擔(dān)數(shù)據(jù)安全管理不善責(zé)任,并在MIP上通報(bào)批評(píng),如造成數(shù)據(jù)丟失等嚴(yán)重后果,按照相關(guān)單位規(guī)定進(jìn)行處罰。
第三十六條 因集團(tuán)備份管理員維護(hù)不到位,出現(xiàn)同一套系統(tǒng)數(shù)據(jù)備份失敗情況,且沒(méi)有及時(shí)知會(huì)相關(guān)系統(tǒng)管理員進(jìn)行應(yīng)急處理,導(dǎo)致系統(tǒng)備份失敗情況連續(xù)發(fā)生三天以上(含三天),集團(tuán)備份管理員將承擔(dān)系統(tǒng)管理不善責(zé)任,并在MIP上通報(bào)批評(píng),如由此造成的數(shù)據(jù)丟失或其他嚴(yán)重后果,按照集團(tuán)相關(guān)規(guī)定進(jìn)行處罰。連續(xù)三個(gè)月未出現(xiàn)因備份管理員維護(hù)不力而出現(xiàn)備份異常情況,由集團(tuán)IT管理部給予××獎(jiǎng)勵(lì)。
第三十七條 因相關(guān)系統(tǒng)管理員未及時(shí)處理,而導(dǎo)致連續(xù)三天以上備份失敗(含三天),系統(tǒng)管理員承擔(dān)系統(tǒng)維護(hù)不善的責(zé)任,并在MIP上通報(bào)批評(píng),如因此造成的數(shù)據(jù)丟失或其他嚴(yán)重后果,按系統(tǒng)管理員所在單位相關(guān)規(guī)定進(jìn)行處罰。
第三十八條 如無(wú)特殊原因,連續(xù)三個(gè)月內(nèi)都未組織二級(jí)備份管理員及相關(guān)系統(tǒng)管理員進(jìn)行系統(tǒng)災(zāi)難恢復(fù)演練工作,集團(tuán)備份管理員應(yīng)承擔(dān)系統(tǒng)維護(hù)不力責(zé)任,并在MIP上通報(bào)批評(píng)。
第三十九條 二級(jí)備份管理員不配合集團(tuán)備份管理員組織系統(tǒng)災(zāi)難恢復(fù)演練工作,導(dǎo)致演練工作無(wú)法開展,將追究相關(guān)責(zé)任人責(zé)任并在MIP上通報(bào)批評(píng)。
第四十條 相關(guān)系統(tǒng)管理員不服從備份管理員組織,連續(xù)三個(gè)月內(nèi)都未進(jìn)行系統(tǒng)災(zāi)難恢復(fù)演練工作,將追究相關(guān)責(zé)任人責(zé)任并在MIP上通報(bào)批評(píng),因此出現(xiàn)備份數(shù)據(jù)恢復(fù)無(wú)效而導(dǎo)致數(shù)據(jù)丟失情況,由系統(tǒng)管理員及所在部門責(zé)任人承擔(dān)數(shù)據(jù)安全的全部責(zé)任。
第四十一條 本《規(guī)范》由集團(tuán)IT管理部負(fù)責(zé)修改和解釋。第四十二條 此規(guī)范自下發(fā)之日起執(zhí)行。
2006年4月9日
第五篇:加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作方案(推薦)
各單位:
根據(jù)**、**和**、**有關(guān)要求,為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作,經(jīng)**領(lǐng)導(dǎo)同意,現(xiàn)就有關(guān)事項(xiàng)通知如下。
一、建立健全網(wǎng)絡(luò)和信息安全管理制度
各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求,制定并組織實(shí)施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任,規(guī)范計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度,切實(shí)做好本單位網(wǎng)絡(luò)與信息安全保障工作。
二、切實(shí)加強(qiáng)網(wǎng)絡(luò)和信息安全管理
各單位要設(shè)立計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組,負(fù)責(zé)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護(hù)等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門,各盡其職,常抓不懈,并按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,切實(shí)履行好信息安全保障職責(zé)。
三、嚴(yán)格執(zhí)行計(jì)算機(jī)網(wǎng)絡(luò)使用管理規(guī)定
各單位要提高計(jì)算機(jī)網(wǎng)絡(luò)使用安全意識(shí),嚴(yán)禁涉密計(jì)算機(jī)連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非涉密計(jì)算機(jī)上存儲(chǔ)、處理涉密信息,嚴(yán)禁在涉密與非涉密計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離,并強(qiáng)化身份鑒別、訪問(wèn)控制、安全審計(jì)等技術(shù)防護(hù)措施,有效監(jiān)控違規(guī)操作,嚴(yán)防違規(guī)下載涉密和敏感信息。嚴(yán)禁通過(guò)互聯(lián)網(wǎng)電子郵箱、即時(shí)通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。
四、加強(qiáng)網(wǎng)站信息發(fā)布審查監(jiān)管
各單位通過(guò)門戶網(wǎng)站在互聯(lián)網(wǎng)上公開發(fā)布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關(guān)規(guī)定,建立嚴(yán)格的審查制度。要對(duì)網(wǎng)站上發(fā)布的信息進(jìn)行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無(wú)涉密問(wèn)題;上網(wǎng)信息目前對(duì)外發(fā)布是否適宜;信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上發(fā)布信息,嚴(yán)禁交流傳播涉密信息。堅(jiān)持先審查、后公開,一事一審、全面審查。各單位網(wǎng)絡(luò)信息發(fā)布審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)、專人實(shí)施。
五、組織開展網(wǎng)絡(luò)和信息安全清理檢查
各單位要在近期集中開展一次網(wǎng)絡(luò)安全清理自查工作。對(duì)辦公網(wǎng)絡(luò)和門戶網(wǎng)站的安全威脅和風(fēng)險(xiǎn)進(jìn)行認(rèn)真分析,制定并組織實(shí)施本單位各種網(wǎng)絡(luò)與信息安全工作計(jì)劃、工作方案,及時(shí)按照要求消除信息安全隱患。各單位要加大網(wǎng)絡(luò)和信息安全監(jiān)管檢查力度,及時(shí)發(fā)現(xiàn)問(wèn)題、堵塞漏洞、消除隱患;要全面清查,嚴(yán)格把關(guān),對(duì)自查中發(fā)現(xiàn)的問(wèn)題要立即糾正,存在嚴(yán)重問(wèn)題的單位要認(rèn)真整改。
各單位要從維護(hù)國(guó)家安全和利益的戰(zhàn)略高度,充分認(rèn)識(shí)信息化條件下網(wǎng)絡(luò)和信息安全的嚴(yán)峻形勢(shì),切實(shí)增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)、安全意識(shí),進(jìn)一步加強(qiáng)教育、強(qiáng)化措施、落實(shí)責(zé)任,堅(jiān)決防止網(wǎng)絡(luò)和信息安全事件發(fā)生,為**召開營(yíng)造良好環(huán)境。