第一篇:吉林省統計系統網絡信息安全管理規定
吉林省統計系統網絡信息安全管理規定
按照統計系統網絡安全與信息化建設的有關要求,結合我局對信息化建設、信息應用和信息管理實際,為保障網絡暢通、穩定、高效運行,確保信息資源的安全可靠,特對網絡安全管理制定本辦法。
第一部分 組織管理與責任劃分
第一條 全省統計系統各級單位、部門必須高度重視網絡安全管理工作,并明確一位領導具體分管。
第二條 網絡系統的規劃、建設及運行實行集中統一管理,各級統計機構應按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則開展網絡系統的各項安全管理工作,逐級落實信息安全責任制。
第三條 全省統計系統各級單位、部門設立網絡安全管理崗位,網絡安全員負責本單位、本部門的網絡安全管理工作。
第四條 吉林省統計局網絡安全保密領導小組是全省統計系統網絡安全管理的最高領導機構,負責對全省統計系統網絡和信息安全工作的領導,并對全省統計系統網絡安全重大事項做出決策。各地統計系統的主管領導負責本單位網絡和信息安全工作。
第五條 省局數據管理中心是全省統計系統信息安全管理職能部門,負責全省網絡安全工作的統一規劃、技術策劃、工作協調、組織實施、檢查指導、安全監控、審計匯報、培訓輔導等。第六條 全省統計系統廣域網部分各個節點的運行維護和安全管理由省局數據管理中心負責;省局機關及所屬事業單位計算機網絡的運行維護和安全技術管理由省局數據管理中心負責;各地統計機構本地局域網的運行維護和安全管理,在省局數據管理中心的統一指導下,由各地統計機構的技術部門負責。
第七條 省局機關計算機網絡的信息安全保密管理由省局辦公室負責,各級統計機構的計算機網絡的信息安全保密由相應單位的保密部門負責。
第八條 全省統計系統各級單位應建立重大網絡故障防范的應急預案,一旦發生網絡故障、網絡系統受到侵襲,應當及時按照預案進行處理。
第二部分 網絡管理
第九條 新增廣域網節點必須經過省局數據管理中心審批。凡未經審批建立的網絡連接,省局數據管理中心有權要求相關部門斷開。
第十條 全省各級統計部門互聯網接入工作由各單位自行負責,嚴格控制互聯網接入口和接入終端數量,每個單位只允許有一個互聯網出口。并且應當加強互聯網接入終端和互聯網接入口的安全保密管理,采取入侵防范、惡意代碼檢測等措施,增強防范信息泄露和竊取能力。
第十一條 全省各級統計部門需將本單位互聯網接入情況(接入時間、帶寬、運營商名稱以及所采取的安全防護手段等)報省局數據管理中心登記備案。
第十二條 網絡設備安裝、調試和維護由省局數據管理中心統一管理,任何部門和個人不得隨意拆卸和安裝網絡設備。
第十三條 網絡參數一經確定,不得隨意更改。如需更改,須將修改方案報省局數據管理中心批準、備案。
第十四條 各單位不得隨意更改網絡拓撲結構。
第十五條 各單位、各部門不得任意修改網絡設備的IP地址,特別是重要設備的IP地址,如交換機、路由器、服務器等。確需修改的,必須報省局數據管理中心審批、備案。
第十六條 未經省局數據管理中心批準,各單位不得擅自將其它網絡設備接入統計系統網絡,如:無線網絡設備等。
第十七條 與網絡及系統安全相關的一切設備和線路統一由省局數據管理中心負責安裝、連接、設置和維護,未經數據管理中心許可,任何人員不得擅自改動。
第十八條 省局數據管理中心應建立健全網絡檔案資料,檔案資料包括網絡硬件設備采購情況、軟件的安裝使用情況、IP地址分配情況和出現的故障記錄情況以及設備的配置參數等。
第十九條 要運用可靠有效的網絡監控工具,加強對網絡的安全運行監控,發現異常或故障及時處理,處理不了的及時報告分管領導和上級主管部門。
第二十條 各有關負責部門和網絡管理聯絡員要保障本機構的統計廣域網24小時不間斷運行。發現或接到故障報告,要在第一時間排除故障,暫時不能排除的故障,要向省局數據管理中心報告故障現象,由省局數據管理中心派員協助處理。各單位的有關負責部門和網絡管理聯絡員要積極配合故障排查工作,對發生相互推諉導致延誤故障處理產生不良后果的,要通報批評,后果嚴重的將追究有關人員的責任。
第三部分 網絡安全管理
第二十一條 省局數據管理中心根據國家統計局和吉林省統計局制定的安全策略實施安全管理。并根據情況及時調整。
第二十二條 嚴格執行全省統計專網與互聯網物理分離的有關規定,禁止內、外網混用。系統內部網絡與外部因特網網絡物理上必須隔斷,全省各級統計機構不得私自建立與國際互聯網的網絡連接(包含無線連接);不得私自建立與第三方合作伙伴的網絡連接;不得私自建立遠程撥號接入的網絡連接。凡未經審批建立的網絡連接,省局數據管理中心有權要求相關部門斷開。
第二十三條 所使用的網絡安全產品必須通過國家安全部門的認證并經國家統計局或省局測試后推薦。未通過安全檢測的網絡安全設備不得接入統計系統網絡。
第二十四條 各單位對本單位所使用的安全設備必須安排專人負責,適時調整安全規則,加強對安全設備的監控,及時整理安全報告。
第二十五條 加強對重要設備的口令管理,口令由專人負責設置并定期修改和存檔。口令不能采用常用字符串,長度應不少于8個字符。
第二十六條 嚴禁各崗位人員越權操作,對重要的計算機信息處理系統應分級加設口令、規定用戶訪問權,以防止非法用戶或非授權用戶對數據和文件的訪問和修改。
第四部分 運行管理
第二十七條 定期檢查網絡設備及線路的運行情況,定期測試網絡到各節點的連通性,監測網絡運行狀態,了解網絡運行質量,做好網絡日常運行記錄,確保計算機網絡的正常運行。
第二十八條 定期檢查各類主機的資源使用情況,確保主機正常運轉。
第二十九條 對網絡、主機運行中的重要事件做好記錄,對網絡、主機運行故障要及時發現、分析、診斷,并采取措施盡快使網絡、主機恢復正常運行,做好故障排除記錄。故障無法解決的,應及時上報分管領導及上一級信息安全主管部門。
第三十條 操作人員不得修改計算機名、Host name等參數。
第三十一條 操作人員離開崗位時,應及時退出計算機操作界面,以防止他人進行未經授權的操作。
第五部分 備份管理
第三十二條 各單位必須認真做好數據備份制度的建立和落實,以提高數據的防毀能力和系統恢復速度。
第三十三條 各單位按照要求做好信息數據、系統軟件、參數設置的備份工作,數據庫備份必須及時,備份介質必須異地保存。
第六部分 機房管理
第三十四條 新建和改建主機房應符合國家標準《計算機場地安全要求》(GB9361-2011)。其他計算機設備較集中的場所如因實際條件達不到要求的,也應努力做好防雷、防塵、防磁、防潮濕、防靜電、防火、防小動物等防護措施。
第三十五條 建立計算機網絡機房管理制度。
保持機房內設備整齊清潔。進入計算機網絡機房前,進行必要的除塵處理,換鞋入內;計算機網絡機房內嚴禁吸煙、吃零食和從事其他不相關的工作,嚴禁帶入和存放各種易燃、易爆、腐蝕和強磁、強輻射物品。
機房內設備未經機房管理人員許可不得隨意挪動、拆卸和帶出機房。如機房內設備確需變動的,須經機房管理人員同意,并履行登記手續后方可進行。
外單位人員不得擅自進入機房。因工作需要需進入機房的,經信息主管部門領導批準后,在信息主管部門人員陪同下方可進入,并履行登記手續,記錄進入機房人員的姓名、事由、進出時間等。
第三十六條 嚴禁機房用電超負荷運行。機房管理人員要熟悉各類設備電源和照明用電以及其它電氣設備總開關位置,掌握切斷電源的方法和步驟,發現隱患和火情時,應積極處理、及時報告。
第三十七條 定期檢查計算機機房配備的專用空調設備,掌握專用空調設備的工作狀況,定期清洗空調過濾設備,確保空調設備正常運行。
第三十八條 定期檢查機房供電電源、開關等電器設備,發現問題及時整改。
第三十九條 定期檢查消防設備、滅火器使用年限情況,確保消防效果。
第四十條 定期檢查機房的門窗,做好機房防盜工作。
第七部分 終端計算機安全管理
第四十一條 所有接入全省統計內網的計算機,必須安裝注冊國家統計系統客戶端安全管理客戶端。
第四十二條 全省統計系統專網以及各單位自行接入的互聯網均為非涉密網絡,帶有涉密信息的計算機不得接入這兩個網絡中。
第四十三條 全省統計系統專網及互聯網的接入終端應當標注禁止處理涉密信息的標志。
第四十四條 使用全省統計系統內部網絡和自建互聯網中,不允許有下列行為:
(一)存儲、處理、傳輸國家秘密;
(二)在互聯網網站、論壇、博客、社交媒體等發布國家秘密;
(三)使用互聯網電子郵箱、即時通訊工具等辦理涉密業務,或者存儲、處理、傳輸國家秘密;
(四)使用網盤、云盤等互聯網存儲服務存儲國家秘密;
(五)在互聯網各類網絡傳媒的制作和播放中涉及國家秘密信息。
第四十五條 嚴禁在網絡上制作、傳播計算機病毒等破壞性程序。
第四十六條 任何單位和個人不得利用網絡(包括互聯網)制作、查閱、復制和傳播法律、行政法規禁止的內容。
第四十七條 各單位應按照要求安裝、配置相應設備和軟件。不得隨意增加或刪除計算機上統一安裝的軟件。
第四十八條 臺式計算機和筆記本電腦一經確定用于外網或內網,不得隨意改動,確需改動的,須報請信息安全主管部門同意,并對計算機做出相應的信息安全保密處理后方能實施改動。
第四十九條 及時清理系統內部網絡中不用或不常使用的計算機。正常使用的計算機中不安全、不用或不常使用的服務必須關閉。
第五十條 計算機操作系統、應用軟件的補丁程序必須及時安裝。
第五十一條 必須加強交換機冗余端口的管理。未經允許,外來計算機不得接入系統內部網絡。
第五十二條 所有工作機必須安裝實時監控防病毒軟件,各類服務器必須安裝病毒防火墻,在重要網關上必須采用網關級病毒防護。所有防病毒軟件產品必須及時升級,并定期在網絡上查、殺計算機病毒。
第五十三條 各市(州)數據管理中心(計算中心、計算站)負責本單位的計算機病毒監控。定期將防病毒情況進行上報省局數據管理中心。
第五十四條 建立全省病毒檔案信息庫,積累病毒檔案信息和查殺方法,以便根據病毒特征,在最短的時間內獲得查殺方法。
第五十五條 建立病毒通報預警機制。各單位在內網上檢測到病毒,必須及時查殺并報告省局數據管理中心,省局數據管理中心在接報后,應立即向省局發出病毒警告。各單位在上報的同時,須做好事件的詳細記錄工作。
第五十六條 加強移動存儲設備的管理。各單位存放有數據業務和行政管理應用系統及信息數據的存儲介質,嚴禁外借。因工作需要確實需要外借時,系統內借用的,應經本單位主管領導批準;系統外借用的,必須報經上級主管部門批準。移動存儲設備使用前必須進行查殺病毒處理,重要設備上不得使用移動存儲設備。未經許可,外來移動存儲設備一律不得使用。
第五十七條 加強共享目錄、FTP、Mail、Web的管理,交換文件不允許使用共享目錄進行交換。
第五十八條 禁止在工作機和服務器上使用來歷不明的磁盤、光盤等存儲介質或安裝運行游戲。
第五十九條 對發現病毒但無法清除的計算機應立即斷開網絡,徹底清除病毒后方能連入網絡。
第八部分 Vpn及電子郵件用戶管理
第六十條 統計系統內部Vpn賬戶用于統計系統內部員工暫時沒有條件接入全省統計系統內部網絡,確因工作需要需通過國際互聯網接入全省統計系統內部網絡的計算機用戶。全省統計系統電子郵件系統用于統計系統內部工作人員之間工作交流和文件傳輸。
第六十一條 統計系統內部vpn及電子郵件用戶賬戶管理工作由省局數據管理中心負責;申請創建vpn賬戶、電子郵件賬戶及開通有關統計網絡資源需由市(州)級統計局提出書面申請;
第六十二條 統計系統內部vpn用戶及電子郵件用戶需加強用戶口令管理,增強口令復雜程度,密碼長度應在8位以上,須包含數字、字母及字符等內容,并定期、及時更改密碼;
第六十三條 統計系統內部vpn用戶及電子郵件用戶不允許外借,各單位如有人員變動,請及時將人員名單報送省局數據管理中心。省局數據管理中心網絡管理員將定期對vpn賬戶及電子郵件賬戶進行清理。
第九部分 檢查和監督
第六十四條 各單位必須簽訂“計算機、網絡安全管理承諾書”,向省局承諾負責本單位的計算機網絡安全管理。
第六十五條 各單位必須對日常運行情況做好相應記錄。若發現問題和隱患必須以書面的形式上報省局數據管理中心。
第六十六條 省局定期組織對各單位、各部門網絡安全管理制度的制定和落實情況進行檢查,檢查結果列入相應的考核范圍。
第六十七條 省局不定期組織對服務器、臺式計算機、筆記本電腦的防病毒軟件和防火墻安裝應用情況進行抽查。
第十部分 獎勵和處罰
第六十八條 對在網絡安全防護工作中成績突出的和取得技術成果的,將給予表彰。
第六十九條 對違反網絡安全管理規定,致使發生計算機網絡運行中斷等事故,將視情況情況追究當事人直接責任和分管領導的領導責任。對造成重大經濟損失或其他惡劣影響的,由省局數據管理中心報省局黨組,由局黨組負責處理。
以上條款,由省局數據管理中心負責解釋。本辦法從發布之日起執行,如有其它相關辦法和規定的條款與之沖突,以此規定為準。
第二篇:濮陽市中小學網絡信息安全管理規定
濮陽市中小學網絡信息安全管理規定
第一章
總則
第一條
為加強對我市中小學網絡信息安全保護,有效使用各種網絡資源,保障中小學網絡的健康、有序發展,推進我市教育信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》和《河南省計算機信息系統安全保護辦法》精神,結合我市中小學教育信息化的實際情況,針對中小學網絡信息安全管理,制定本規定。
第二條
本管理制度所稱的校園網絡系統,是指由校園網絡設備、配套的網絡線纜設施、網絡服務器、工作站、學校網站所構成的,為校園網絡應用目標及規則服務的硬件、軟件的集成系統。
第三條
本規定使用于我市行政區域內的所有中小學。
第二章
安全組織
第四條
濮陽市教育信息化工作領導小組負責濮陽市行政區域內的中小學網絡信息安全管理的領導工作,濮陽市教育信息化工作領導小組辦公室負責相應的技術支持、監督和協調工作。濮陽市行政區域內的中小學網絡信息安全管理,適用本規定。
第五條
各區縣可成立相應的教育信息化領導機構,并負責本區縣的中小學網絡信息安全管理的領導工作。
第六條
各學校必須建立由主管校長任組長、相關部門領導參加的計算機安全領導小組,并確定一個職能部門負責日常計算機安全管理工作。學校各部門應設立計算機安全專管員。對安全專管員要明確職責和任務,并進行必要的安全知識培訓。
第七條
學校應經常對學生進行計算機安全教育,有條件的學校應設立有關計算機安全課程,學生計算機安全管理法律、法規,提高師生的法律意識。
第三章
安全管理
第八條
建立重要計算機機房的值班及人員出入管理登記制度。第九條
與校園網相連的計算機房建設應當符合國家的有關標準和規定。
第十條
重要數據要建立數據備份制度,并做到異地、異人保存。第十一條
貯有重要數據的設備故障,需外單位人員修理時本單位必須有人在場監督。
第十二條
要積極采取預防計算機病毒的相關措施,防止計算機病毒及其他有害數據破壞計算機的正常工作。
第十三條
未經公安機關計算機管理監察部門批準,不準搜集計算機病毒,研究、剖析、講解計算機病毒機理。不得進行計算機病毒演示,或讓學生實習中進行相關的操作。
第十四條
對聯網的計算機及其網絡設備和通訊設備的安裝、使用,應建立健全安全保護管理制度,落實安全保護措施。
第十五條
任何單位和個人不得在校園網及其連網計算機上錄閱傳送有政治問題和淫穢色情內容的信息。
第十六條
不得隨意將網絡服務器、工作站上的系統軟件、應用軟件轉錄、傳遞到校外。
第十七條
校園網應使用具有合法版權的軟件,維護知識產權。第十八條 計算機工作人員調離時,必須按規定移交全部技術資料和有關數據,設有口令和密鑰的要及時進行更換。涉及科研、開發及其他重要業務的技術人員調離時,應確認對業務不會造成危害后方可調離。
第十九條
發生重大計算機事故,應及時填寫《計算機事故報告表》,報教育主管部門和公安機關計算機管理監察部門。
第四章
法律責任
第二十條
違反安全管理規定的,教育主管部門和公安機關給予警告,限期整改。
第二十一條
故意輸入計算機病毒,造成危害校園網安全的按《中華人民共和國計算機信息系統安全保護條例》中第二十三條的規定予以處罰。
第二十二條
對于運行無合法版權的網絡軟件而引起的版權糾紛由網絡服務器、工作站的管理單位(及個人)承擔責任。
第二十三條
任何單位或個人違反本規定,給學校校園網系統造成損失的,應當依法承擔民事責任。
第五章
附則
第二十四條
本規定自印發之日起執行。
第三篇:人員網絡及信息安全管理規定..
XXXX單位或公司企業標準
人員網絡及信息安全管理規定
2014-10-25發布
2014-11-01實施
XXXX單位或公司 發布
Q/JYG/GL-XX-20-2014.a
前 言
本標準由XXXX單位或公司標準化管理委員會提出。本標準由XXXX單位或公司XXXX部門起草并歸口管理。本標準主要起草人: 本標準由 XXX批準。
本標準首次發布于2014年10月25日,自本標準發布之日起,《信息系統操作人員安全管理規定》同時廢除。
II
Q/JYG/GL-XX-20-2013.a 人員網絡及信息安全管理規定 范圍
為規范公司信息系統安全人員管理,保障公司信息安全,根據《信息安全等級保護管理辦法》、《信息系統安全管理要求》(GB/T19715.2--2005)以及公司相關規章制度,制訂本規定。
本標準規定了本企業內部人員、第三方運維人員等安全管理的相關內容,包括工作崗位風險分級、人員審核、人員錄用、保密協議、人力調動、人員離職、人員考核、安全意識教育和培訓、第三方人員安全等。
本標準適用于本企業內部人員及第三方人員的管理與考核。2 規范性引用文件
無規范性引用文件,保留本條款的目的是保持本公司標準結構的一致,便于今后的修訂。3 術語和定義 3.1 人員安全
是指通過管理和控制,確保單位內部人員(特別是信息系統的管理維護人員)和第三方人員在安全意識、能力和素質等方面都滿足工作崗位的要求。3.2 第三方人員
是指來自外單位的專業服務機構,為本單位提供應用系統開發、網絡管理和安全支持等信息技術外包服務的工作人員。3.3 安全教育和培訓
是通過宣傳和教育的手段,確保相關工作人員和信息系統管理維護人員充分認識信息安全的重要性,具備符合要求的安全意識、知識和技能,提高其進行信息安全防護的主動性、自覺性和能力。4 機構和職責
4.1 信息化建設項目實施小組 4.1.1 4.1.2 4.1.3 負責指導公司及兩廠信息系統操作人員安全管理工作; 負責執行公司信息安全檢查及管理工作;
研究國家和行業的信息安全政策法規,組織有關部門討論來保證其符合性。
4.2 人力資源部 4.2.1 4.2.2 4.2.3 負責組織各部門編制部門所屬員工的工作職能; 負責員工的專業資質審查、招聘和崗位技能培訓等; 負責員工離職、調動的審查和批準等。
4.3 XXXX部門 4.3.1 負責檢查各部門的信息安全工作落實情況;
Q/JYG/GL-XX-20-2013.a 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 負責對人員在崗時的信息安全相關工作記錄進行檢查; 負責對信息系統關鍵人員進行定期培訓和考核工作; 負責第三方人員信息安全管理工作;
負責工作崗位風險狀態分級及劃分信息系統安全職責工作;
負責普及信息安全防范意識,并針對信息安全違規事件向公司提出處理建議。
4.4 其他部門 4.4.1 4.4.2 4.4.3 4.4.4 負責接受信息安全教育和培訓、以及配合定期的信息安全抽查工作; 負責部門人員在崗時的信息安全管理;
負責定期組織針對本部門信息系統工作人員的技能考核工作; 負責部門人員在崗、離崗或調動后的資產管理及記錄存檔工作。人員安全管理 5.1 人員錄用 4.4.5 4.4.6 信息化建設項目實施小組負責指導人力資源部信息安全工作人員的錄用工作; 人力資源部對擬錄用信息系統崗位人員身份、背景、專業資格和資質等方面進行審查,并進行技能考核; 4.4.7 人員錄用前的審查標準為:具有基本的專業技術水平,接受過安全意識教育和培訓,能夠掌握安全管理基本知識。信息系統關鍵崗位人員還應具備較好的思想品質以及基本的系統安全風險分析、評估能力; 4.4.8 從事關鍵崗位或負責核心系統、機房等重要區域的人員,須從內部人員選撥,應具備認真負責的工作態度、較高的職業道德水準; 4.4.9 由人力資源部及XXXX部門對信息安全人員進行入職培訓,包括信息安全規章制度的教育培訓等,并將制度掌握等培訓情況納入到試用期考核。5.2 在職人員 5.2.1 5.2.2 5.2.3 各部門領導負責本部門人員信息安全管理工作,確保崗位信息安全職責的落實; 各部門應對人員領用資產的情況做相應記錄,在人員歸還信息資產時消除記錄; XXXX部門定期組織抽查內部人員權限分配情況,如發現權限分配不合理,立即通知相關部門進行修改; 5.2.4 XXXX部門信息系統管理員應嚴格執行相關操作手冊,進行日常運維操作。
5.3 人員調動 5.3.1 義務; 5.3.2 工作人員內部調動至其他崗位時,在接到崗位調動通知后,應于一個月內依據調動程序工作人員崗位調動后,須辦理嚴格的調動手續,關鍵崗位人員離崗須承諾調離后的保密辦理工作資料、軟硬件設備等移交手續;
Q/JYG/GL-XX-20-2013.a 5.3.3 被調動人員持有原崗位鑰匙、公司文件和設備等硬件資產由所在部門收回,并做好崗位交接記錄; 5.3.4 由被調動人員填寫《信息系統權限變更表》,經原部門以及人力資源部審批后,上報至XXXX部門,由XXXX部門負責對其信息系統訪問授權進行調整,并回收相關軟件; 5.3.5 項; 5.3.6 工作人員崗位調動后,還應承擔原崗位的保密責任,參見附件《保密協議》。工作人員信息系統權限變動后,XXXX部門須告知其信息安全責任的變化和新的注意事5.4 人員離職 5.4.1 工作人員離職后,須辦理嚴格的離職手續,管理層和關鍵崗位人員離職須承諾調離后的保密義務; 5.4.2 5.4.3 錄; 5.4.4 由離職人員填寫《信息系統權限變更表》,經原部門及人力資源部審批后,上報至XXXX工作人員離職時,應于一個月內依據離職程序辦理工作資料、軟硬件設備等移交手續; 由所在部門收回離職人員持有原崗位鑰匙、公司文件和設備等硬件資產,并做好交接記部門,由XXXX部門負責刪除其信息系統權限,并回收相關軟件; 5.4.5 工作人員離職后,須由XXXX部門進行安全審查,在規定的脫密期限后方可離職;涉密人員的脫密期限遵照有關保密規定簽署書面保密承諾書,承諾調離后對原來工作中涉及信息的保密要求,參見《保密協議》。5.5 人員考核 5.5.1 各部門每年組織一次針對本部門信息系統工作人員的定期考核,對各個崗位的人員進行不同側重的安全認知和安全技能考核,作為人員是否適合當前崗位的參考; 5.5.2 XXXX部門每年組織一次針對關鍵崗位人員的定期審查和技能考核,審查依據記錄表格和操作日志,如發現其違反安全規定,應查明原因,令其做出整改承諾,嚴重者不得繼續從事關鍵崗位工作。
5.6 安全意識教育和培訓 5.6.1 XXXX部門應根據各崗位的信息安全角色和職責,制定該崗位所需的信息安全培訓計劃,并對安全教育和培訓情況及結果進行記錄。培訓內容包括安全意識教育、崗位技能培訓和相關安全技術培訓; 5.6.2 XXXX部門應在工作人員被授予訪問權限之前,依據其安全角色和職責,進行針對性的安全教育和安全培訓; 5.6.3 信息安全培訓內容包括但不僅限于以下幾方面:
1)信息安全基礎知識、崗位操作規程、信息系統使用規范; 2)公司信息安全方針、策略與信息安全目標的宣貫培訓;
3)信息安全專題培訓(如病毒防范培訓、訪問控制培訓、等級保護培訓等);
Q/JYG/GL-XX-20-2013.a 4)崗位安全責任、操作技能及相關技術; 5)違反違背安全策略和安全規定的懲戒措施。5.7 工作崗位風險分級 5.7.1 XXXX部門應根據不同崗位的性質,結合各個信息系統的安全需求,規定其信息安全風險級別并針對不同的崗位風險級別賦予信息訪問權限; 5.7.2 各部門應在日常工作中落實有關工作崗位的風險分級規定內容,所有工作人員應當明確自己所在崗位的信息訪問權限; 5.7.3 投資根據公司崗位信息安全級別和業務特點,確定公司崗位信息安全職責。信息安全職責應包括以下內容:
1)在公司信息安全管理組織架構中的職責; 2)在執行公司信息安全方針和目標方面的職責;
3)在遵守國家、地方各種信息安全相關法律法規方面的職責;
4)在保護公司信息資產免受未授權訪問、泄露、修改、銷毀或干擾方面的職責; 5)執行特定的安全過程或活動方面的職責; 6)在報告信息安全事故和弱點方面的職責。5.8 工作協議 5.8.1 對各部門涉及合同約定事項中有信息安全的要求時,各部門要與本部門工作人員(如果尚未簽訂)及相關外部單位簽署保密協議(保密協議中各項條款可根據具體項目具體編制); 5.8.2 XXXX部門應在重要信息系統的管理維護和使用人員在上崗前,應嚴格按照信息安全規章制度中的有關規定前述工作協議; 5.8.3 根據崗位制定相應的保密協議或保密承諾書,保密協議可包括以下方面的內容:
1)—崗位所要保護的信息; 2)—協議有效期;
3)—協議終止時所應采取的措施; 4)—為避免泄密,簽字人的職責和行為;
5)—保密協議與知識產權保護、商業秘密保護的關系; 6)—涉密信息的許可使用,及簽字人使用信息的權力; 7)—對涉密信息的活動的審核和監視; 8)—涉密信息泄露或被破壞后的處理程序; 9)—協議終止時信息的歸檔或銷毀的措施; 10)—違反協議后應采取的措施;
11)應規定工作協議的內容(保密協議條款、操作流程和規范),管理和落實工作協議的部門,以及前述工作協議的流程。
5.9 第三人人員管理
Q/JYG/GL-XX-20-2013.a 5.9.1 第三人員在訪問受控區域前,應向XXXX部門提出書面申請,經批準后,由專人全程陪同或監督,并登記備案。
5.9.2 第三人人員不得將與工作無關的物品帶入機房,攜帶工作必需品進入機房須登記,并接受檢查。
5.9.3 第三方人員非因工作需要不得進入機房,不得對重要信息系統進行維護性邏輯訪問。5.9.4 第三方人員進入本單位開始工作前,應與其所在單位簽訂保密協議,并要求第三方人員所在單位與公司簽訂保密協議或在在合同內容中明確。
5.9.5 XXXX部門應采取必要的管理和技術手段,對第三方人員是否遵守安全要求進行檢查監督。5.9.6 各部門應按照公司有關信息安全管理規定以及合同要求,對外協人員進行監督和檢查,并就安全違規情況按合同條款中的要求進行處理。
5.9.7 第三方人員的權限按《信息系統開發安全管控辦法》進行分配與管理。
5.9.8 XXXX部門定期組織檢查所有外部人員權限分配情況,并將抽查結果進行記錄。如發現權限分配不合理,立即通知相關人員進行權限修改。
5.10 信息安全違規的處理
5.9.9 違反本規定,發生信息安全事故的,按照事故造成的損失和后果,依據國家有關法律法規進行處罰;
5.9.10 除進行處罰外,XXXX部門應在全公司內就類似違規事件進行宣傳教育,避免同類問題再次發生。
附:
Q/JYG/GL-XX-20-2013.a XXXX單位或公司保密協議書
甲方:XXXX單位或公司 公司地址: 乙方: 身份證號碼:
根據《中華人民共和國勞動法》、《中華人民共和國反不正當競爭法》、《中華人民共和國保密法》、《關于禁止侵犯商業秘密行為的若干規定》、《中華人民共和國電信條例》等相關法律、法規,甲、乙雙方在平等、自愿的原則下訂立以下協議,以資共同遵守。
一、保密義務
乙方為XXXX單位或公司正式員工,或為XXXX單位或公司提供相關系統開發、集成、運維等技術支持,XXXX單位或公司根據國家有關法律法規及公司的規章制度,按確定的工作職責,向乙方開放其職責范圍內的技術及商業信息。
乙方同意為XXXX單位或公司利益盡最大的努力,不從事任何危害電信安全的行為,不從事任何不正當使用商業秘密或技術秘密的行為。
二、保密的范圍
乙方因工作關系獲得或交換所得XXXX單位或公司在經營管理過程中,未向社會公開或只在一定范圍內公開的任何信息、經驗、技術和資料,包括建設和經營計劃、重要會議內容、重要公文內容、招投標方案、技術方案、財務數據、營銷策略、用戶信息、公司技術、工程、經營、文書、人事檔案等一切有關XXXX單位或公司商業、技術及經營管理秘密的信息。國家法律、法規規定的涉及通信保密和網絡安全的內容。
三、保密信息的使用
(一)乙方在XXXX單位或公司工作期間:
1、保證不擅自發表、不泄漏有關XXXX單位或公司及其客戶的任何秘密,不使他人獲得、使用或計劃使用這些信息,并盡最大努力確保資料不遺失、不缺損;
2、在XXXX單位或公司指示和業務范圍內,可以允許進行商業秘密和技術秘密的交流,但不得:直接或間接地向XXXX單位或公司內部、外部的無關人員泄漏;不得為私人利益使用或計劃使用;不得復制或公開包含XXXX單位或公司商業秘密和技術秘密的文件或文件副本;對工作中所保管、接觸的有關XXXX單位或公司或XXXX單位或公司公司客戶的文件應妥善對待,未經許可不得超出工作范圍使用;不得以第三方的身份直接或間接參與同公司競爭的行為。
(二)乙方無論因何種原因結束在XXXX單位或公司的工作時,都應及時將所有與XXXX單位或公司經營活動有關的文件、記錄或材料(包括個人筆記和復印的資料、電子文檔等)歸還給XXXX單位或公司。
Q/JYG/GL-XX-20-2013.a
四、時效及時效期間內應遵守的準則
鑒于XXXX單位或公司擁有的商業秘密和技術秘密在競爭中有重要價值,存在于勞動關系存續期間和終止、解除之后,因此乙方同意:上述義務在乙方受聘或受委托于XXXX單位或公司工作期間有效,對重要的商業秘密和技術秘密長期有效。
五、違約責任
乙方違反本協議項下的任何規定,XXXX單位或公司都有權:
(一)責令乙方停止違約或侵權行為;
(二)視情節處以年總收入以下的罰款,扣發獎金或其他紀律處分、行政處分直至開除;
(三)要求乙方賠償其違約或侵權行為而導致的一切經濟損失及其可能的尋求法律救助過程中發生的一切費用,其中包括律師費用、訴訟費用;
(四)觸犯法律的,提請有關部門追究其法律責任。
六、爭議的解決辦法
因執行本協議而發生糾紛,可以由雙方協商解決。協商、調解不成或者一方不愿意協商、調解的,任何一方都有提起訴訟的權利。
七、如乙方與XXXX單位或公司原簽訂《保密協議書》,自本協議簽訂之日起原協議同時廢止。原有XXXX單位或公司規章制度與本協議有沖突的,以本協議為準,無沖突的,仍繼續有效。
八、協議效力
本協議一式兩份,甲乙雙方各執一份。自甲乙雙方簽章之日起生效,兩份協議具有同等法律效力。
甲方法人代表或委托代理人 乙方(簽字或蓋章):
(簽字或蓋章):
簽訂日期:年 月 日 簽訂日期: 年 月 日
第四篇:吉林省統計管理體制改革
謝鴻光在吉林省統計管理體制改革工作會議上的講話
在吉林省統計管理體制改革工作會議上的講話
國家統計局副局長
謝鴻光(2006年7月27日)
尊敬的李斌副省長,在座的各市(州)政府領導和有關省直機關負責同志,同志們:
在吉林省委、省政府的直接領導下,在省直有關部門的大力支持和各市(州)、縣(市、區)黨委、政府的積極配合下,吉林省以下統計機構垂直管理試點工作完成了方案制定,現在已進入具體實施階段。這是完善統計體制的重大舉措,是全國統計系統的一件大事、好事。多少年來,幾代統計人都在期望的統計垂直管理體制,終于在吉林開始實施。這是新中國統計發展史上的一個里程碑。為此,我受邱曉華局長的委托,代表國家統計局黨組和全體干部,對吉林得以實施省以下統計機構垂直管理體制,表示熱烈的祝賀。
吉林省委、省政府一直高度重視統計工作,省委、省政府領導多次到省統計局、調查隊視察指導工作,王云坤書記、王珉省長、林炎志副書記、田學仁常務副省長、李申學秘書長和李斌副省長對這次統計管理體制改革試點更是非常關心,多次給予精心指導。吉林省委組織部、省編辦、省人事廳、省財政廳、省監察廳和省直機關事務管理局等單位給予這次改革以大力支持和配合,提供了很多方便,解決了許多難題。各市(州)、縣(市、區)黨委、政府長期以來也高度重視統計工作,積極為統計部門排憂解難,對這次改革更是給予了極大的理解和配合。這是吉林省統計事業長期快速發展的根本保證,也是這次統計管理體制改革試點得以實施的根本保證。在此,我代表國家統計局對吉林省各級黨委、政府及其有關部門一貫高度重視支持統計工作,表示衷心感謝。
吉林省統計工作一直走在全國的前列。特別是近幾年來,吉林統計改革進程加快,統計事業快速發展,統計受領導重視的程度越來越高,統計社會影響力越來越大,統計權威性越來越強。加強縣級統計數據質量管理,開展縣級統計數據質量達標升級活動,夯實了基層統
—1— 計工作基礎。大力開展社情民意調查,拓寬了政府統計渠道。建立省市縣三級光纖統計網絡工程,創造了政府行政資源和市場資源相結合的新模式,為全國統計系統現代化建設樹立了典范。建立民營經濟統計抽樣調查制度,探索健全反映經濟與社會協調發展的統計指標體系,為國家改革統計制度方法提供了經驗。這充分說明吉林省的廣大統計工作者是一支勇于創新、敢于開拓、充滿活力的隊伍,是一支特別能吃苦、特別能戰斗、特別能干事的隊伍。為此,我代表國家統計局對奮斗在吉林境內的全體統計工作者,表示衷心感謝。
一、充分認識吉林實施省以下統計機構垂直管理體制改革的重大意義
《吉林省統計管理體制改革試點方案》規定:吉林省統計局將直接管理市級統計局領導班子,縣級統計局主要負責人,市縣兩級統計局的機構、編制、經費,市級統計局的業務;市級統計局直接管理縣級統計局副職和業務工作。實行省級統計局對省以下統計機構垂直管理,是吉林省委、省政府貫徹黨的十六屆三中全會關于“完善統計體制,健全經濟運行監測體系”決定的重大決策,是提升經濟社會監測水平、落實科學發展觀的重要行動,對統計工作意義重大。
(一)有利于維護統計調查的獨立性,提高統計工作的信譽
獨立性是國際公認的官方統計的根本原則,是維護統計數據準確性的根本保證。獨立調查的前提是調查機構、編制、經費脫離與其相關的利益群體。實行省以下統計機構垂直管理,為市級和縣級統計機構實施獨立調查、獨立報告、獨立監督提供了體制和機制保障。同時,獨立性也是維護和提高統計信譽的前提。由于省以下統計機構不再是地方政府的職能部門,統計工作者與當地也就不會有緊密的利益關系,社會各界就有理由相信統計機構是不受任何機構和個人影響的,所做的工作是公平公正的,所公布的數據是真實可信的,統計工作就能贏得廣大社會公眾和調查對象的信任和支持配合。
(二)有利于維護統計工作的統一性和科學性,提高統計部門的地位
按照統一的標準、統一的指標口徑、統一的調查方法、統一的數據處理模式、統一的工作規范采集數據,是統計工作科學化的根本要—2— 求。實行省以下統計機構垂直管理,能保證全省統計工作政令的暢通,能確保國家和省的各項統計制度得以嚴格執行,可以從組織上保障統計生產流程和生產行為的統一規范。同時,實行省以下統計機構垂直管理,有利于抽樣調查的統一布點和樣本輪換,提高抽樣調查的科學性。統計工作的科學化必然帶來統計數據質量的提高,統計部門在社會公眾中的地位也會相應提升。
(三)有利于準確地評價各地的發展,促使各地領導干部樹立正確的政績觀
為改進和完善領導干部考核評價工作,前不久中組部已印發了《體現科學發展觀要求的地方黨政領導班子和領導干部綜合考核評價試行辦法》。《試行辦法》賦予了統計部門重要的職能,即全面科學地反映地方各級政府落實科學發展觀的績效,為各級黨委政府選拔好領導班子和領導干部提供依據。在這種情況下,統計機構作為同級政府組成部門來反映政府的政績,難度很大。實行省以下統計機構垂直管理,可以建立起第三方評價體系,用統一的標準來衡量各市、縣政府的政績,確保評價的客觀公正性。
(四)有利于整合統計資源,提高統計能力
在分級負責的體制下,由于各市、縣的經濟社會發展水平不同,領導對統計工作的重視程度不同,統計機構、編制、人員、經費、裝備等差異很大,導致統計工作水平參差不齊。有的地方統計資源嚴重不足,工作質量難以保證,工作水平難以提高。有的地方統計資源豐富,但由于受其他市、縣統計工作水平的制約,優勢也難以發揮。實行省以下垂直管理,可以統籌使用全省統計資源,統一調配力量,有利于形成運轉高效、規范協調、功能互補、信息共享的工作體系,有利于加強基層基礎工作,改進基層統計人員的工作生活條件,最大限度地發揮好現有的統計資源和調查網絡,提高全省統計工作的整體水平。
(五)吉林實行省以下統計機構垂直管理,具有深遠的歷史意義,將對全國統計工作的發展方向產生影響
1962年1月,鄧小平同志就提出統計工作要像會計一樣保持獨立性才行。同年4月4日,中共中央和國務院下發《關于加強統計工作
—3— 的決定》提出:“各級統計部門的編制、干部和經費,原則上應由國家統計系統統一管理,分級負責。”改革開放以來,黨和國家領導人也多次指示要從體制機制上解決統計上的弄虛作假問題,許多全國人大代表、政協委員和專家學者一再呼吁對統計實行垂直管理的體制。但由于種種原因,我們并未付諸行動。吉林這次改革是統計工作向集中統一邁出的重大一步。我國經濟社會發展的不平衡性和現行國家行政管理體制決定了在未來相當長的一段時間里,實行省以下統計機構垂直管理的體制是一種較好的選擇。同時省以下統計機構垂直管理體制也適應了國家統計調查以國家和省為總體進行設計組織的需要。因此,吉林試點的成功與否,將直接影響著未來我國的統計體制,必將引起全國上下的高度關注。
二、精心組織,扎實推進,確保改革成功
搞好吉林省統計管理體制改革試點,吉林省統計部門任務艱巨、責任重大。國家統計局將會大力支持吉林的統計管理體制改革,盡其所能,給予扶持,協助解決改革中可能出現的問題。同時,我們熱切地希望吉林省委、省政府能繼續高度重視統計工作,給予統計部門更大的扶持,領導統計部門取得試點的成功。希望吉林各市(州)、縣(市、區)黨委、政府能像以前一樣支持統計工作,幫助當地統計局改善工作和生活條件。也希望吉林省的組織、編制管理、發展改革、財政、人事、監察、機關事務管理部門能積極配合統計部門的改革,幫助統計部門作好編制上劃、人員上收、經費上劃和資產接管等工作,一如既往地支持統計事業。吉林省統計部門要堅決執行省政府印發的《吉林省統計管理體制改革試點方案》,堅決服從省機構編制委員會的領導,加強與組織、編制管理、發展改革、財政、人事、監察和機關事務管理部門的溝通協調,加強統計部門上下級之間的溝通協調,周密部署,精心組織,認真作好落實工作。
任何改革都是各種關系的再調整。對統計工作實行省以下垂直管理,涉及與省直有關部門關系的調整,涉及與各市(州)、縣(市、區)黨委、政府及其所屬部門關系的調整,涉及統計部門干部管理、職工收入關系的調整,難免引發矛盾。省統計局和市、縣統計局的領導要加強對改革實施的研究工作,積極做好向當地政府及其所屬各部門的宣傳解釋工作,充分相信群眾,充分依靠群眾,切實解決好干部職工在改革過程中可能遇到的困難和問題,切實關心維護群眾的正當—4— 利益,及時化解可能出現的矛盾,保障改革的順利進行。廣大統計工作者要充分認識到這次改革的重大意義和深遠影響,自覺服從改革大局,積極投身改革,為改革獻計獻策。
三、努力工作,促進吉林統計工作的全面發展
我們的國家已站在歷史發展的新起點上,統計事業也處在歷史發展的新起點上。黨中央、國務院和各級黨委、政府高度重視統計改革和建設,為統計工作創造了良好的環境和條件。社會各界乃至國際社會廣泛關注統計數據,既給我們以很大的供給壓力,又給統計改革帶來了強大的需求動力。廣大統計工作者努力工作,為統計事業打下了比較好的基礎。總體上看,統計工作面臨著良好的發展機遇。但是,統計工作也面臨著一些嚴峻的挑戰和困難。統計工作還不能夠適應全面落實科學發展觀的要求,環境資源、社會科技和第三產業中許多新型服務業統計信息不夠健全,統計調查體系對經濟社會發展反映不夠靈敏準確,統計管理體制不順,調查能力不強,統計信譽不高,難以為國家有效實施科學決策和現代化管理提供強有力的信息支撐。上個月,培炎副總理在視察國家統計局時,要求統計部門要為落實科學發展觀提供統計保障。目前,國家統計局正在按照培炎副總理的要求研究制定統計發展戰略和有關統計政策,修改《統計法》,制定“十一五”統計改革和發展規劃,全面籌劃統計事業的未來發展。吉林實行省以下統計機構垂直管理體制,必將對吉林的發展和全國統計工作帶來重大影響。希望吉林統計部門能抓住這次改革機會,認真貫徹落實培炎副總理在視察國家統計局時的講話精神,以為落實科學發展觀提供統計保障為目標,積極推進科學統計、依法統計、陽光統計,切實提高統計數據的準確性、及時性和統計工作的權威性,全面提升吉林統計工作水平,為全國的統計改革和建設提供更多、更好、更有借鑒推廣性的經驗。當前,吉林統計工作要抓好以下幾點:
一、加大統計制度方法改革和各項建設的力度。要以全面落實科學發展觀為統領,適應省以下統計機構垂直管理的需要,緊密圍繞堅持以人為本、促進全面協調可持續發展、構建和諧社會、建設社會主義新農村、建設創新型國家,改革統計制度方法,加強環境資源、社會科技和新型服務業統計,研究建立能滿足省、市、縣政府需要的統一的統計調查體系。積極組織實施好第二次全國農業普查。加強統計能力建設,完善省市縣三級光纖統計網絡工程,增強統計工作中的科
—5— 技含量。完善縣級統計數據質量管理制度,認真做好縣級統計數據質量達標升級工作。加強統計隊伍建設,加強部門統計工作,加大統計執法檢查力度。要妥善處理好改革與業務工作的關系,確保改革和業務工作兩不誤,努力做到隊伍不散、秩序不亂、數據不斷。
二、堅決執行國家的各項統計政策和制度。吉林省統計局是省政府的職能部門,也是國家統計政策和制度的執行部門。各級統計機構既要完成省委、省政府的各項統計調查任務,也要堅決執行中央的各項統計指令。要嚴格貫徹執行黨中央、國務院關于統計工作的各項方針、政策、決定,嚴格執行統計法,嚴格執行國家統計局統一制定的統計標準、統計指標體系、統計調查方法和統計工作計劃,積極完成國家統計調查任務。要堅決執行國家各項統計改革部署,加強統計局與國家調查隊的合作和團結,切實維護好局隊之間的和諧關系。
三、認真做好為地方政府的服務工作。要緊緊圍繞省委、省政府的中心工作,大力開展統計分析和專項調查,多提切合吉林實際、促進吉林的發展的政策建議。認真做好對吉林經濟運行和社會發展情況的監測,及時反映新情況,揭示新問題。特別是要做好對市(州)、縣黨委、政府及其有關部門的統計信息提供和統計服務工作。我國各級政府都承擔著促進經濟發展和社會進步、維護社會穩定的任務。吉林省統計管理體制改革試點能否成動,關鍵就看改革后的市(州)、縣統計機構能否像以前一樣滿足當地黨委、政府及其有關部門對統計信息的需求。如果不能滿足當地的統計需求,就不能說我們的試點是成功的;如果滿足當地的統計需求能力弱化,就說明我們的試點方案還存在不足,還需要改進。省統計局一定要將滿足市(州)、縣黨委、政府統計需求作為對市、縣統計機構重點考評內容。市、縣統計機構一定要像從前一樣做好為本級政府的統計服務工作。
四、切實加強管理。實行新的體制以后,上級統計機構直接管理下級統計機構的干部、編制、業務、經費、資產等,對其來說是一項全新的工作,缺乏應有的經驗。各級統計機構要加強學習,提高管理能力。省統計局要加快研究制定有關干部、編制、業務、經費、資產等管理的規章制度,規范各種統計行為,使各項統計工作納入法制化軌道。要加強對下級統計機構的監督,盡快建立健全各項監督體系。加強對各級統計局領導班子成員的管理,提高他們的政治素質和組織—6— 協調能力。各級統計機構也要適應新體制的要求,盡快建立完善各項機關內部的規章制度,確保各項工作的有序開展。
同志們,我們的事業充滿著希望,我們的事業也面臨著各種挑戰,但是我們相信,在黨中央、國務院的領導下,統計工作者一定能夠繼續開創新的局面。希望全省統計工作者在省委、省政府的正確領導下,更加自覺地以鄧小平理論和“三個代表”重要思想為指導,堅持以科學發展觀統領統計工作,牢固樹立統計報國理念,努力開拓創新,努力追求真實可信,努力維護和切實提高統計信譽,把全省統計工作提高到一個新的更高水平。我衷心地預祝大家取得更大的成績!
謝謝大家!
—7—
第五篇:信息安全管理規定
信息安全管理規定
2010 年我公司建立并實行質量、環境、職業健康“三標”整合型管理體系的第一年。作為涵蓋研發和生產制造企業,信息安全化建設同等重要,公司領導也高度重視。院四標體系的建設,特別是信息安全體系的建設,是安全管理工作的重要組成部分。按公司的要求工作中信息安全要逐步做到制度化、常態化。在領導的統一指導和推進下,邊學習邊實踐,將信息安全意識貫徹到每一個員工的工作中。一:通過開展多種形式的信息安全宣傳,提高員工安全意識 安全意識是信息安全的第一道防線,信息安全管理要想做好,提高全體員工的安全意識是關鍵。為此,我認為公司相關部門和責任人要認真策劃,在公司內部進行了大量的信息安全相關的宣傳工作。這些宣傳要達到效果,就不能是枯燥的,喊口號式的宣傳,而應該喜聞樂見,生動活潑,結合實際,便于操作。為此,我們可以制作了形象生動的海報在公司內部宣傳欄進行張貼;針對廣大員工對信息安全應該如何做的困惑,編寫 “信息安全實用操作手冊”的方式發給公司員工等,讓信息安全意識在全體員工中逐步形成。
二、通過組織各類檢查,督促員工把自身的信息安全工作做好 為確保切實增強全體員工的安全意識和安全行為習慣,光靠宣傳還不夠。公司成立信息安全的管理工作組,主要領導擔任管理者代表,設置專職安全員和各部門安全責任人和安全員,在公司內部組織信息安全的內部檢查工作,檢查不拘泥于形式,明確檢查的項目內容,比如:首先檢查公司內所有內網機。通過檢查一方面是摸清公司內網機情況,另一方面就是通過檢查對公司所有內網機進行一次安全加固,確保內網機的信息安全。通過檢查,所有內網機在帳號、口令、機器補丁、網絡和服務、日志審核等方面進行加固等。其次擴大一些范圍 檢查包括公司所有的內外網終端及服務器等。因為覆蓋面廣,工作量大,檢查可以采取信息安全的檢查工具——漏洞掃描儀來進行自動檢查。檢查之前并未通知各部門,可以說這次檢查結果真實的反映了公司當時內外網機的信息安全情況。檢查結束后,檢查組根據檢查結果對問題機器下發了整改通知,并給出具體的整改意見。整改結束后又進行了一次掃描檢查,其三是采取自查和抽查相結合的方式。自查時間、自查內容及加固方法通過郵件方式群發給公司員工。在自查期結束后,信息安全工作組再制定了抽查計劃,各部門按一定比例抽查內外網機,并對發現問題的機器現場進行加固整改工作。這樣通過一次次的檢查,讓公司的員工開始養成了良好的工作習慣,如設置強登錄口令、禁用Guest 帳戶、及時升級系統補丁、設置自動屏保、關閉自定義共享等。
三、加強信息安全相關的設施管理 1)安全存儲介質的統一管理
根據院移動介質使用管理規定的精神,我們制定了切實可行的安 全移動介質管理方案。安全移動存儲介質由信息中心統一制作好后,由公司負責統一編號并進行登記發放工作。員工在申領安全存儲介 質時需要進行申請審批,公司安全員定期對安全存儲介質做好查檢清點工作,確保每一個發放出去的安全移動介質能夠追溯到責任人。員工離職時,安全員負責安全移動介質的收回工作。2)服務器的統一安全管理
整合后的公司設置了專門的服務器室,要求各部門的服務器進行 統一集中存放管理。為加強管理,公司設置了服務器室管理員,編制 了服務器室管理規定,對出入和內部日常環境安全進行統一管理。建 立了服務器臺帳,每臺服務器都落實到部門和責任人。另外,對于有時發生的非計劃停電,對公司的服務器造成一定沖擊,可能造成服務器硬件損壞的情況可采取UPS電源的措施,即使短時間停電,服務器正常工作不受影響。3)內外網機的統一接入管理
在內外網機管理方面,公司設置了專人負責對內外網機接入進行 管理,包括內外網機的申請、員工離職注銷、變更以及內網機的桌面 安裝等。對公司的內外網機,建立了完整的內外網機清單,在我們進 行工具設備進行內外網機掃描檢查時,能幫助我們很快定位到問題機 器。
以上是我對公司在信息安全管理及體系建設方面開展工作的一些建議,希望我們能摸著石頭過河,工作開展具有可行性和實用性,把公司的信息安全防護工作做好。
點擊咨詢 