第一篇:醫院信息系統安全管理制度
醫院信息系統安全管理制度
一、總則
JCI標準中醫院設施管理與安全標準,制定本安全管理制度。
1、本安全管理制度適用于本院信息系統管理。
2、本安全管理制度由信息科負責監督實施。當存在本院計算機網絡及計算機機房的安全威脅時,信息科主任負責及時上報行政總值班或分管副院長,設備科、后勤部和保安部配合采取相應措施。
3、每3年對本制度的執行情況進行評估,必要時可重新修訂本安全制度
二、信息科員工安全職責
1、信息科員工應當熟悉計算機軟、硬件的相關業務知識和防火防盜安全規定,掌握防火器材的操作使用方法,做好本崗位的防火防盜工作。
2、每3個月檢查計算機軟、硬件的狀態,使之保持完好。
3、安全培訓:信息科新員工應參加全院崗前培訓,并通過消防知識的培訓后,方可上崗作業。信息科員工應當完成年度安全培訓。
4、安全操作規定:
(1)維護帶電設備時應拔掉電源,確認處于無電狀態,并釋放手上靜電。(2)帶電測試電腦時,不得接觸內部電線。
(3)進入醫療區域維修時,應帶好相應的防護設備,維修結束后注意進行消毒處理。(4)維修時防止利器刺傷。如被刺傷應及時到醫療部統一處理。
5、安全管理規定:
(1)遵守醫院各項規章制度,遵守勞動紀律。(2)做好應急值班工作。保證應急電話暢通,應答及時。(3)保持計算機室清潔無塵,機房內嚴禁吸煙。
(4)保持工作環境整潔,不亂丟雜物,及時清理工作臺上的磁盤和書籍等物品。(5)正確操作、使用各類計算機設備,杜絕不必要的設備損壞。
(6)保持數據的安全和保密。查詢數據原則上由責任部門執行,任何非程序查詢必須由院級領導同意并簽字。特殊數據查詢遵循醫務科批復流程。(7)禁止無關閑雜人員進入計算機室。(8)下班前關閉辦公用電腦、電源。
6、巡查與報告:
(1)每天巡視機房,檢查服務器性能并簽名。(2)每月巡視交換機房,檢查交換機房環境。
(3)節假日,值班人員負責本院計算機安全評估。遇有災害性天氣或特殊情況,加強防范。(4)在檢查中發現的隱患要及時報告科主任,科主任根據問題嚴重性上報分管院長。
三、終端用戶安全職責
1、連入網絡的各科室和個人辦公工作站必須嚴格執行安全保密制度,并對所提供的信息負責。不得利用計算機和網絡從事違反國家法律、法規、泄露醫院機密的活動。
2、任何科室和個人不得在本院聯網計算機上制作、查閱、復制和傳播危害國家安全、有礙社會治安和有傷風化的信息和淫穢、色情資料。
3、不允許在網絡上進行干擾網絡用戶、破壞網絡服務和網絡設備的活動。
4、除信息科外其他科室或個人不得以任何方式試圖登陸網絡服務器和網絡交換機等設備進行修改、設置、刪除等操作;不得盜竊、破壞網絡設施。
5、不得利用各種網絡設備或軟件技術從事賬號及密碼的偵聽、盜用活動,該活動被認為是對網絡用戶權益的侵犯。嚴禁在本院聯網計算機上使用未經信息科主任批準的軟件。
6、系統軟件、應用軟件及信息數據必須實施保密措施。信息資源保密等級分為:(1)可向因特網公開的;(2)可向院內公開的;(3)可向部門(科室)公開的;(4)僅限于個人使用的。
7、院內各科室和個人需要聯入因特網,必須提交經科主任審定后的申請報告,由分管院長或院長審批同意后,由信息科負責實施開通。
8、聯網用戶必須使用由信息科分配的IP地址,嚴禁私自設置IP、盜用IP地址。
9、醫院對外發布信息的WEB服務器的內容必須經科主任審核,由科主任簽署意見,需經分管院長或院長審批,辦公室(宣傳科)備案后,由信息科鏈接其對外的信息。
10、員工應對輸入計算機的數據準確性負責,不得隨意增減或刪除有效數據。
四、網絡運行監控、防病毒、防入侵、桌面管理措施
1、為了保護我院數據與網絡的安全,保證網絡的正常運行,促進網絡更好的應用和發展,制定本制度。
2、利用防火墻將內部網絡、Internet外部網絡、DMZ服務區、安全監控與備份中心進行有效隔離,避免與外部網絡直接通信。
3、利用防火墻建立網絡各終端和服務器的安全保護措施,保證系統安全。
4、利用防火墻對來自外網的服務請求進行控制,使非法訪問在到達主機前被拒絕。
5、利用防火墻使用IP與MAC地址綁定功能,加強終端用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內。
6、利用防火墻全面監視對服務器的訪問,及時發現和阻止非法操作。
7、利用防火墻及服務器上的審計記錄,形成一個完善的審計體系,建立第二條防線。
8、根據需要設置流量控制規則,實現網絡流量控制,并設置基于時間段的訪問控制。
9、對網絡邊界點的數據進行檢測,防止黑客的入侵;
10、對服務器的數據流量進行檢測,防止入侵者的蓄意破壞和篡改;
11、監視內部用戶和系統的運行狀況,查找非法用戶和合法用戶的越權操作;
12、對用戶的非正常活動進行統計分析,發現入侵行為的規律;
13、實時對檢測到的入侵行為進行報警、阻斷,能夠與防火墻/系統聯動;
14、對關鍵正常事件及異常行為記錄日志,進行審計跟蹤管理。
15、進行統一的安全策略管理和集中的防病毒監控。安裝防病毒系統,支持在WindowsLinux和MSExchange等各種主流系統上實現防病毒保護,實時監視系統病毒活動全面查殺病毒、蠕蟲、木馬、惡意Java/ActiveX程序等,提供靈活多樣的病毒修復和處理方法,其病毒檢測處理技術處于業界領先地位。
16、內外網物理隔離,在內網客戶端上,禁止使用USB存儲設備。
17、制定病毒庫更新管理機制。見:病毒庫更新管理機制章節。
第二節 硬件、軟件和程序管理制度
一、總則
1、除信息科的專業人員外,嚴禁私自拆卸或調換計算機部件和相關的電腦外設。
2、只有特定的硬件和軟件配置才允許應用于醫院網絡系統中,所用軟件必須由信息科安裝,已安裝的軟件不得修改。
第二篇:信息系統安全管理制度
信 息 安 全 管 理 制 度
為維護公司信息安全,保證公司網絡環境的穩定,特制定本制度。
一、互聯網使用管理互聯網使用管理互聯網使用管理互聯網使用管理
1、禁止利用公司計算機信息網絡系統制作、復制、查閱和傳播危害國家安全、泄露公司秘密、非法網站及與工作無關的網頁等信息。行政部門建立網管監控渠道對員工上網信息進行監督。一經發現,視情節嚴重給予警告、通報批評、扣發工資500-1000元/次、辭退等處罰。
2、未經允許,禁止進入公司計算機信息網絡或者使用計算機信息網絡資源、對公司計算機信息網絡功能進行刪除、修改或者增加的、對公司計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統和計算機網絡安全的。一經發現,視情節嚴重給予警告、通報批評、扣發工資1000-2000元/次、辭退等處罰。
3、公司網絡采取分組開通域名方式,防止木馬蠕蟲病毒造成計算機運行速度降低、網絡堵塞、帳號密碼安全系數降低。
二、網站信息管理
1、公司網站發布、轉載信息依據國家有關規定執行,不包含違反國家各項法律法規的內容。
2、公司網站內容定期進行備份,由網管員保管,并對相應操作系統和應用系統進行安全保護。
3、公司網管加強對上網設備及相關信息的安全檢查,對網站系統的安全進行實時監控。
4、嚴格執行公司保密規定,凡涉及公司秘密內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網;
5、所有上網稿件須經分管領導審批后,由企劃部門統一上傳。
三、軟件管理軟件管理軟件管理軟件管理
1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統管理員統一進行,任何部門和員工不得擅自采購。
2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經許可,不得將公司購買或開發的軟件擅自提供給第三人。
3、操作系統由公司統一提供。禁止安裝使用其它來源的操作系統,特別是未經授權的非法拷貝。擅自使用造成的一切后果由使用人自行承擔,對于造成損失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-200元/次等處罰。
4、一般應用軟件統一在公司文件服務器上提供常用軟件安裝目錄,不提供安裝光盤(操作系統除外)。安裝非公司提供的軟件導致系統損害,信息丟失的,將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-300元/次、辭退等處罰。
5、公司小范圍使用的專業版權軟件,使用人需在自行備份并由信息系統管理員驗證后才可進行安裝。
6、禁止安裝使用非工作用軟件。其它工作所需的應用軟件,可由使用部門申請,再由行政部門統一發布。
四、計算機病毒管理
1、集團計算機病毒管理由集團信息辦負責進行規劃、實施和監控。
2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施,及時更新系統漏洞和使用殺毒軟件。具體內容包括:(1)及時更新微軟補丁,每周至少更新一次。當屏幕右下角有自動更新的圖標時,要及時安裝。(2)有些特殊的軟件(如SQL SERVER等),及時到相應網站打補丁。(3)及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能,而把殺毒軟件卸載。每周至少更新一次,確保殺毒軟件為最新版本。(4)嚴禁
打開來歷不明的郵件。能判斷為病毒郵件的,立即刪除;不能判斷的聯系信息系統管理員解決。當計算機感染病毒后,請及時斷開網線,使用殺毒軟件查殺和查看操作系統和應用軟件的補丁是否及時更新;嚴重者請及時聯系信息辦信息系統管理員解決。(5)當有新病毒通過某些軟件(如:QQ,MSN)傳播時,請立即關閉相應軟件或拔掉網線。查殺問題解決后,方可繼續使用。
3、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者,第一次給予警告、第二次給予通報批評,第三次及以上將給予通報批評并扣發工資50-100元/次。
五、網絡資源管理
1、集團網絡資源和服務器由集團信息辦信息系統管理員統一進行規劃、管理和監督。
2、服務器及個人用機的管理:(1)部門級及以上服務器必須指定專人負責管理,并在行政部門備案,未經授權,非管理員不得對其進行操作。(2)部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查,包括:服務器的CPU、內存、硬盤等資源利用情況;服務器上運行的服務使用情況;服務器上運行的OS及時升級;服務器上運行的殺毒軟件的及時更新;(3)服務器管理員要做好服務器的備份工作,至少每季度有一份完整異地(異機)備份,重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。(4)個人和部門未經行政部門批準不得私自設立服務器。(5)服務器管理員每月定期對服務器做一次全面檢查,并填寫服務器檢查日志。(6)服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時,管理員密碼需及時更改。(7)員工應避免隨意共享工作相關資料,若需共享,應指定合理權限,并在完成后及時取消;嚴禁未經信息系統管理部門批準,擅自共享給局域網內所有用戶。(8)員工應自行維護電腦的正常使用,并按照網管的要求進行設置及及時進行補丁更新,不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。
3、IP地址的管理:(1)IP地址由行政部門統一規劃管理。未經許可,不得擅自更改任何設備的IP地址。(2)公司申請的公網IP任何人不得私用。(3)工作需要公網IP,需申請信息部批準后,方可使用。(4)公司公網IP使用無工作需要時,立即停止使用,并通知行政部門收回。(5)FTP等特殊服務器的使用須經行政部門批準,且不得擅自更改使用用途。
六、機房管理
1、人員管理:相關維護人員憑門禁卡或密碼進出機房,其它人員不得擅入。如確需進入機房的其它工作人員,應向相關部門提出申請,并做相應的登記備案后,在相關人員的陪同下入內。信息系統管理員有權在場監控及記錄入內者的工作情況。
2、機房設備管理:參照公司固定資產管理制度進行管理。非電源性電子設備(如路由器,服務器等)必須接不間斷電源,保證數據在突然斷電時不致丟失;機房溫度應保持在22±2℃。工作時間,非工作時間公司保安應定時巡視機房,確保機房環境、供電及溫度正常;如出現機房溫度超過30攝氏度警戒線、停電等異常情況,應與管理員聯絡,立刻采取必要措施保障機房設備的安全。
3、信息管理:任何人員(包括管理員)在機房信息設備上進行更改操作,都需記錄備案。未經管理員許可在機房內擅自進行操作者,可視情節給予通報批評、扣發工資200-500元;情節嚴重的,可予以辭退。
4、施工管理:公司機房建設應符合機房建設的有關標準和規定;在公司機房內施工,須由信息安全部經理批準,并有網絡管理員或授權的公司保安監督施工現場。
七、電子設備使用管理
1、電子設備的新增購買申請先采用調配方式,若無法調配同等配置的,才予購買。使用管理參照公司固定資產管理制度。
2、計算機及其輔助設備一經領用,使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失,可視情節給予警告、通報批評、按價賠償。(1)臺式計算機:非經信息管理員工同意不得擅自打開機箱。(2)筆記本電腦設備:a、不同品牌型號的零配件不可互換使用。b、用于移動辦公,絕對不允許作為服務器共享操作。c、應保持出廠預裝的正版操作系統,保留硬盤中的隱藏分區。如確因工作需要重新安裝其它操作系統(如WIN2000等),需由系統管理員進行。不允許私自重新分區格式化,將原出廠隱藏區格式化刪除。
3、非經許可,不得將個人臺式電腦及相關設備帶入公司,特殊情況,需辦理相關登記手續。
4、員工不得隨意增減配件,不得在未經管理員許可的情況下對硬盤做低級格式化。未經行政部門批準,嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備(含配件),可視情節給予警告、通報批評、扣發工資200-500元/次。
八、信息系統管理員
1、管理權限和責任(1)負責公司各信息系統的信息安全、日常維護、系統管理等。(2)嚴格遵守公司制定的相關信息安全管理制度,履行工作職責。(3)制定各信息系統的管理維護標準,包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等,送交信息安全主管部門審核備案,并嚴格執行。(4)信息系統管理員必須簽訂《關鍵職位員工之保密承諾書》。
2、職責規范(1)推動員工樹立信息系統安全防范意識,完善公司信息安全保障機制,逐步建立以預防、發現、響應、恢復為基礎的信息安全管理機制。(2)遵守職業道德,嚴守保密制度,不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料;不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業秘密(包括技術秘密和經營秘密);未經公司書面同意,不擅自使用已接觸到、了解到、知悉或被告之的商業秘密;不利用已知的公司資源(如公司信息系統缺陷、口令等),做違反國家法規、竊取公司商業秘密、攻擊公司服務器等行為。(3)端正服務態度,對員工的需求積極快速響應,并提供迅速、周到的技術服務支持。
九、附則:
1、本制度解釋權歸集團信息辦。
2、本制度自頒布之日起施行。
第三篇:信息系統安全管理制度
信息系統安全管理制度
一、總則
1、為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》、等有關規定,結合本公司實際,特制訂本制度;
2、計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統;
3、公司由微機科專門負責本公司范圍內的計算機信息系統安全管理工作。
二、網絡管理
1、遵守國家有關法律、法規,嚴格執行安全保密制度及公司信息保密協議相關條款,不得利用網絡從事危害公司安全、泄露公司秘密等違法犯罪活動,嚴格控制和防范計算機病毒的侵入;
2、禁止未授權用戶或外來計算機接入公司計算機網絡及訪問、拷貝網絡中的資源;
3、任何員工不得故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據;
4、計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;計算機使用者更應以30天為周期更改密碼、密碼長度不少于8位。
三、設備管理
1、IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排;
2、設備硬件或重裝操作系統等問題由微機科統一管理。
四、數據管理
1、計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存;
2、工作范圍內的重要數據(重要程度由各部門負責人核定)由計算機終端用戶定期更新、備份,并提交給所在部門負責人,由部門負責人負責保存;
3、計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與微機科聯系并采取保護數據安全的措施;
4、終端用戶未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份,存放在不同的地點;光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
五、操作管理
1、凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;
2、微機科將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由微機科收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
3、計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與微機科或軟件開發單位、硬件供應商聯系,盡快解決問題。
六、網站管理
1、公司網站由微機科提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
七、處罰措施
1、計算機終端用戶擅自下載、安裝或存放與工作無關的文件經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
2、有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。構成犯罪的,依法追究刑事責任。(1)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(2)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(3)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(4)訪問未經授權的文件、系統或更改設備設置;
(5)申請人在設備領用或報廢一周之內未將所涉及到的表單交微機科;(6)擅自與他人更換使用計算機或相關設備;
(7)擅自調整部門內部計算機的安排且未向行政部備案;
(8)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等;(9)工作時間外使用公司計算機做與工作無關的事務;(10)相同故障出現三次以上(包括三次)仍無法自行處理的;
(11)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
3、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
行政部微機科
第四篇:信息系統安全管理制度
信息系統安全管理制度
第一章
總則
第一條
為保證本單位信息系統的操作系統和數據庫系統的安全,根據《中華人民共和國計算機信息系統安全保護條例》,結合本單位系統建設實際情況,特制定本制度。第二條
本制度適用于本單位XX部門及所有系統使用部門和人員。
第三條
XX部門是本單位系統管理的責任主體,負責組織單位系統的維護和管理。
第二章
系統安全策略
第四條
XX部門負責單位人員的權限分配,權限設定遵循最小授權原則。
1)管理員權限:維護系統,對數據庫與服務器進行維護。系統管理員、數據庫管理員應權限分離,不能由同一人擔任。
2)普通操作權限:對于各個系統的使用人員,針對其工作范圍給予操作權限。3)查詢權限:對于單位管理人員可以以此權限查詢數據,但不能輸入、修改數據。4)特殊操作權限:嚴格控制單位管理方面的特殊操作,只將權限賦予相關科室負責人,例如退費操作等。
第五條 加強密碼策略,使得普通用戶進行鑒別時,如果輸入三次錯誤口令將被鎖定,需要系統管理員對其確認并解鎖,此帳號才能夠再使用。用戶使用的口令應滿足以下要求:-8個字符以上;
-使用以下字符的組合:a-z、A-Z、0-9,以及!@#$%^&*()-+;-口令每三個月至少修改一次。
第六條 定期安裝系統的最新補丁程序,在安裝前進行安全測試,并對重要文件進行備份。第七條 每月對操作系統進行安全漏洞掃描,及時發現最新安全問題,通過升級、打補丁或加固等方式解決。第八條 關閉信息系統不必要的服務。
第九條
做好備份策略,保障系統故障時能快速的恢復系統正常并避免數據的丟失。
第三章
系統日志管理
第十一條
對于系統重要數據和服務器配值參數的修改,必須征得XX領導批準,并做好相應記錄。
第十二條
對各項操作均應進行日志管理,記錄應包括操作人員、操作時間和操作內容等詳細信息。
第十三條
審計日志應包括但不局限于以下內容:包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全事件。
第十四條
安全審計員應每日對審計日志進行審查,對異常事件及時跟進解決,并定期形成日志分析報告。
第十五條
系統審計日志應定期做好備份工作。
第四章
個人操作管理
第十六條 單位工作人員申請賬戶權限需填寫《系統權限申請表》,經系統管理員批準后方可開通。賬號申請表上應詳細記錄賬號信息。
第十七條 人員離職或調職時需交回相關系統賬號及密碼,經系統管理員刪除或變更賬號后方能離職或調職。
第十八條 單位工作人員嚴禁私自在辦公計算機上安裝軟件,以免造成病毒感染。嚴禁私自更改計算機的設置及安全策略。
第十九條 嚴格管理口令,包括口令的選擇、保管和更換,采取關閉guest和匿名用戶、增強管理員口令選擇要求等措施。第二十條 計算機設備應設屏幕密碼保護的用戶界面,保證數據的機密性的安全。
第五章
懲處
第二十一條
違反本管理制度,將提請單位行政部視情節給予相應的批評教育、通報批評、行政處分或處以警告、以及追究其他責任。觸犯國家法律、行政法規的,依照有關法律、行政法規的規定予以處罰;構成犯罪的,依法追究刑事責任。
第五篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
--北京聯華中安制定
為加強開發區計算機信息系統安全和保密管理,保障計算機信息系統的安全,北京聯華中安信息技術有限公司特制定本管理制度。
第一條 嚴格落實計算機信息系統安全和保密管理工作責任制。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則,各科室在其職責范圍內,負責本單位計算機信息系統的安全和保密管理。
第二條 辦公室是全局計算機信息系統安全和保密管理的職能部門。辦公室負責具體管理和技術保障工作。
第三條 計算機信息系統應當按照國家保密法標準和國家信息安全等級保護的要求實行分類分級管理,并與保密設施同步規劃、同步建設。
第四條 局域網分為內網、外網。內網運行各類辦公軟件,專用于公文的處理和交換,屬涉密網;外網專用于各部門和個人瀏覽國際互聯網,屬非涉密網。上內網的計算機不得再上外網,涉及國家秘密的信息應當在指定的涉密信息系統中處理。
第五條 購置計算機及相關設備須按保密局指定的有關參數指標由機關事務中心統一購置,并對新購置的計算機及相關設備進行保密技術處理。辦公室將新購置的計算機及相關設備的有關信息參數登記備案后統一發放。經辦公室驗收的計算機,方可提供上網IP地址,接入機關局域網。
第六條 計算機的使用管理應符合下列要求:
(一)嚴禁同一計算機既上互聯網又處理涉密信息;
(二)各科室要建立完整的辦公計算機及網絡設備技術檔案,定期對計算機及軟件安裝情況進行檢查和登記備案;
(三)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(四)安裝正版防病毒等安全防護軟件,并及時進行升級,及時更新操作系統補丁程序;
(五)未經辦公室認可,機關內所有辦公計算機不得修改上網IP地址、網關、DNS服務器、子網掩碼等設置;
(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理涉密信息;
(七)嚴禁將辦公計算機帶到與工作無關的場所;確因工作需要需攜帶有涉密信息的手提電腦外出的,必須確保涉密信息安全。第七條 涉密移動存儲設備的使用管理應符合下列要求:
(一)分別由各科室兼職保密員負責登記,做到專人專用專管,并將登記情況報信息中心備案;
(二)嚴禁涉密移動存儲設備在內、外網之間交叉使用;
(三)移動存儲設備在接入本部門計算機信息系統之前,應查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。第八條 數據復制操作管理應符合下列要求:
(一)將互聯網上的信息復制到內網時,應采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)使用移動存儲設備從內網向外網復制數據時,應當采取嚴格的保密措施,防止泄密;
(三)復制和傳遞密級電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。不得利用電子郵件傳遞、轉發或抄送涉密信息;
(四)各科室因工作需要向外網公開內部信息資料時,必須由該科室負責人審核同意,交由辦公室統一發布。
第九條 辦公計算機及相關設備由機關事務中心負責維護,按保密要求實行定點維修。需外請維修的,要派專人全程監督;需外送維修的,應由辦公室拆除信息存儲部件,以防止存儲資料泄密。
第十條 辦公計算機及相關設備在變更用途時,必須進行嚴格的消磁技術處理。第十一條 辦公計算機及相關設備報廢時,應由信息中心拆除存儲部件,然后交辦公室核定,由機關事務中心按有關要求統一銷毀,同時作好備案登記。嚴禁各科室自行處理報廢計算機。
第十二條 加強對兼職保密員的管理,積極參加國家保密工作部門組織的崗位職能培訓。定期內辦公室組織開展經常性的保密教育培訓,提高機關工作人員的計算機信息安全保密意識與技能。
第十三條 辦公室要加強機關計算機信息系統安全和保密管理情況的監督,定期進行檢查,提高泄密隱患發現能力和泄密事件應急處置能力。其它各科室要密切配合,共同做好計算機信息系統安全和保密工作。
第十四條 機關工作人員離崗離職,有關科室應即時取消其計算機涉密信息系統訪問授權,收回計算機、移動存儲設備等相關物品。
第十五條 各科室和個人應當接受并配合機關保密工作領導小組組織的保密監督檢查,協助核查有關泄密行為。對違反本規定的有關人員應給予批評教育,并責令限期整改;造成泄密事件的,由有關部門根據國家相關保密法律法規進行查處,并追究相關責任人的責任。
第十六條 各科室要根據本規定,確保涉密信息安全。
本制度是經總經理核準后公布實施
北京聯華中安信息技術有限公司
二零一四年五月十日
點擊咨詢 