第一篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
--北京聯華中安制定
為加強開發區計算機信息系統安全和保密管理,保障計算機信息系統的安全,北京聯華中安信息技術有限公司特制定本管理制度。
第一條 嚴格落實計算機信息系統安全和保密管理工作責任制。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則,各科室在其職責范圍內,負責本單位計算機信息系統的安全和保密管理。
第二條 辦公室是全局計算機信息系統安全和保密管理的職能部門。辦公室負責具體管理和技術保障工作。
第三條 計算機信息系統應當按照國家保密法標準和國家信息安全等級保護的要求實行分類分級管理,并與保密設施同步規劃、同步建設。
第四條 局域網分為內網、外網。內網運行各類辦公軟件,專用于公文的處理和交換,屬涉密網;外網專用于各部門和個人瀏覽國際互聯網,屬非涉密網。上內網的計算機不得再上外網,涉及國家秘密的信息應當在指定的涉密信息系統中處理。
第五條 購置計算機及相關設備須按保密局指定的有關參數指標由機關事務中心統一購置,并對新購置的計算機及相關設備進行保密技術處理。辦公室將新購置的計算機及相關設備的有關信息參數登記備案后統一發放。經辦公室驗收的計算機,方可提供上網IP地址,接入機關局域網。
第六條 計算機的使用管理應符合下列要求:
(一)嚴禁同一計算機既上互聯網又處理涉密信息;
(二)各科室要建立完整的辦公計算機及網絡設備技術檔案,定期對計算機及軟件安裝情況進行檢查和登記備案;
(三)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(四)安裝正版防病毒等安全防護軟件,并及時進行升級,及時更新操作系統補丁程序;
(五)未經辦公室認可,機關內所有辦公計算機不得修改上網IP地址、網關、DNS服務器、子網掩碼等設置;
(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理涉密信息;
(七)嚴禁將辦公計算機帶到與工作無關的場所;確因工作需要需攜帶有涉密信息的手提電腦外出的,必須確保涉密信息安全。第七條 涉密移動存儲設備的使用管理應符合下列要求:
(一)分別由各科室兼職保密員負責登記,做到專人專用專管,并將登記情況報信息中心備案;
(二)嚴禁涉密移動存儲設備在內、外網之間交叉使用;
(三)移動存儲設備在接入本部門計算機信息系統之前,應查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。第八條 數據復制操作管理應符合下列要求:
(一)將互聯網上的信息復制到內網時,應采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)使用移動存儲設備從內網向外網復制數據時,應當采取嚴格的保密措施,防止泄密;
(三)復制和傳遞密級電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。不得利用電子郵件傳遞、轉發或抄送涉密信息;
(四)各科室因工作需要向外網公開內部信息資料時,必須由該科室負責人審核同意,交由辦公室統一發布。
第九條 辦公計算機及相關設備由機關事務中心負責維護,按保密要求實行定點維修。需外請維修的,要派專人全程監督;需外送維修的,應由辦公室拆除信息存儲部件,以防止存儲資料泄密。
第十條 辦公計算機及相關設備在變更用途時,必須進行嚴格的消磁技術處理。第十一條 辦公計算機及相關設備報廢時,應由信息中心拆除存儲部件,然后交辦公室核定,由機關事務中心按有關要求統一銷毀,同時作好備案登記。嚴禁各科室自行處理報廢計算機。
第十二條 加強對兼職保密員的管理,積極參加國家保密工作部門組織的崗位職能培訓。定期內辦公室組織開展經常性的保密教育培訓,提高機關工作人員的計算機信息安全保密意識與技能。
第十三條 辦公室要加強機關計算機信息系統安全和保密管理情況的監督,定期進行檢查,提高泄密隱患發現能力和泄密事件應急處置能力。其它各科室要密切配合,共同做好計算機信息系統安全和保密工作。
第十四條 機關工作人員離崗離職,有關科室應即時取消其計算機涉密信息系統訪問授權,收回計算機、移動存儲設備等相關物品。
第十五條 各科室和個人應當接受并配合機關保密工作領導小組組織的保密監督檢查,協助核查有關泄密行為。對違反本規定的有關人員應給予批評教育,并責令限期整改;造成泄密事件的,由有關部門根據國家相關保密法律法規進行查處,并追究相關責任人的責任。
第十六條 各科室要根據本規定,確保涉密信息安全。
本制度是經總經理核準后公布實施
北京聯華中安信息技術有限公司
二零一四年五月十日
第二篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
總 則
第一條 為加強公司網絡管理,明確崗位職責,規范操作流程,維護網絡正常運行,確保計算機信息系統的安全,現根據《中華人民共和國計算機信息系統安全保護條例》等有關規定,結合本公司實際,特制訂本制度。
第二條 計算機信息系統是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條信息中心的職責為專門負責本公司范圍內的計算機信息系統安全管理工作。
第一章 網絡管理
第四條 遵守公司的規章制度,嚴格執行安全保密制度,不得利用網絡從事危害公司安全、泄露公司秘密等活動,不得制作、瀏覽、復制、傳播反動及淫穢信息,不得在網絡上發布公司相關的非法和虛假消息,不得在網上泄露公司的任何隱私。嚴禁通過網絡進行任何黑客活動和性質類似的破壞活動,嚴格控制和防范計算機病毒的侵入。
第五條 各工作計算機未進行安全配置、未裝防火墻或殺毒軟件的,不得入網。各計算機終端用戶應定期對計算機系統、殺毒軟件等進行升級和更新,并定期進行病毒清查,不要下載和使用未經測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用帶毒U盤等介質。
第六條 禁止未授權用戶接入公司計算機網絡及訪問網絡中的資源,禁止未授權用戶使用BT、電驢等占用大量帶寬的下載工具。
第七條 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據,不得利用非法手段復制、截收、篡改計算機信息系統中的數據。
第八條 公司員工禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊,禁止非法侵入他人網絡和服務器系統,禁止利用計算機和網絡干擾他人正常工作的行為。
第九條 計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼;嚴禁不以真實身份登錄系統。計算機使用者更應定期更改密碼、使用復雜密碼。
第十條 IP地址為計算機網絡的重要資源,計算機各終端用戶應在信息中心的規劃下使用這些資源,不得擅自更改。另外,某些系統服務對網絡產生影響,計算機各終端用戶應在信息中心的指導下使用,禁止隨意開啟計算機中的系統服務,保證計算機網絡暢通運行。
第二章 設備管理
第十一條 公司員工因工作需要,確需購買IT設備或配件的,可向信息中心提出申請,若有符合需求的可調配設備;若無可調配或有但不符合工作需要的設備,由申請人填寫《信息設備申請表》。若因工作需要對設備配置有特殊要求的,需在申請表中說明。
第十二條 凡登記在案的IT設備,由信息中心統一管理并張貼IT設備卡。IT設備卡作為相應設備的標識,各終端用戶有義務保證貼牌的整潔與完整,不得遮蓋、撕毀、涂畫等。
第十三條 IT設備安全管理實行“誰使用誰負責”的原則(公用設備責任落實到部門)。凡子公司或合作單位自行購買的設備,原則上由分公司或合作單位自行負責,但若有需要,信息中心可協助處理。
第十四條 嚴禁使用假冒偽劣產品;嚴禁擅自外接電源開關和插座;嚴禁擅自移動和裝拆各類設備及其他輔助設備;嚴禁擅自請人維修;嚴禁擅自調整部門內部計算機信息系統的安排。
第十五條 設備硬件或重裝操作系統等問題由信息中心進行處理。第十六條 原購IT設備原則上在規定使用年限內不再重復購買,達到規定使用年限后,由信息中心會同相關部門對其審核后處理。在規定使用年限期間,計算機終端用戶因工作需要發生調動或離職,需要繼續使用該計算機的應在信息中心作變更備案;不繼續使用該計算機的,部門領導需監督責任人將計算機及相關設備及時退回信息中心,由信息中心再行支配。
第十七條 設備出現故障無法維修或維修成本過高,且符合報廢條件的,由IT設備終端用戶提出申請,并填寫《IT設備報廢申請表》,由相應部門經理簽字后報信息中心。經信息中心對設備使用年限、維修情況等進行鑒定,將報廢設備交有關部門處理,如報廢設備能出售,將收回的資金交公司財務入賬。同時,由信息中心對報廢設備登記備案、存檔。
第三章 數據管理
第十八條 計算機終端用戶計算機內的資料涉及公司秘密的,應該為計算機設定開機密碼或將文件加密;凡涉及公司機密的數據或文件,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由所在部門經理負責將其所有工作資料收回并保存。
第十九條 工作范圍內的重要數據(重要程度由各部門經理核定)由計算機終端用戶定期更新、備份,并提交給所在部門部長,由部門部長負責保存。各部門經理在一個季度開始后10天之內將本部門上一季度的工作數據交行政人事部匯集后統一采用磁性介質或光盤保存。
第二十條 計算機終端用戶務必將有價值的數據存放在除系統盤(操作系統所在的硬盤分區,一般是C盤)外的盤上。計算機信息系統發生故障,應及時與信息中心聯系并采取保護數據安全的措施。
第二十一條 對重要的數據應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數據,要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數據丟失;做好防磁、防火、防潮和防塵工作。
第四章 操作管理
第二十二條 凡涉及業務的專業軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情;嚴禁除維修人員以外的外部人員操作各類設備;嚴禁非信息中心人員隨意更改設備配置。
第二十三條 信息中心將有針對性地對員工的計算機應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由信息中心收集計算機信息系統常見故障及排除方法并整理成冊,供公司員工學習參考。
第二十四條 計算機終端用戶在工作中遇到計算機信息系統問題,首先要學會自行處理或參照手冊處理;若遇到手冊中沒有此問題,或培訓未曾講過的問題,再與信息中心或軟件開發單位、硬件供應商聯系,盡快解決問題。
第五章 網站管理
第二十五條 公司網站由信息中心提供技術支持和后臺管理,由公司相關部門提供經審核后的書面和電子版網站建設資料。
(一)網站、網頁出現非法言論時的緊急處置措施
1、網站、網頁由信息中心人員隨時密切監視信息內容。
2、發現網上出現非法信息時,負責人員應立即向部門領導通報情況,情況緊急的應先采取刪除等處理措施,再按流程辦理。
3、網站負責人員在接到通知后立即清理非法信息,強化安全防范措施,并將網站網頁重新投入使用。
4、網站負責人員應妥善保存有關記錄及日志或檢查記錄。
(二)黑客攻擊時的緊急處置措施
1、當有網頁內容被篡改,或通過公司網絡防火墻發現有黑客正在進行攻擊時, 首先應將被攻擊的服務器等設備斷開網絡,同時向上級領導匯報情況。
2、網站負責人員立即進行將被破壞系統進行恢復和重建。
(三)病毒安全緊急處置措施
1、當發現計算機感染病毒后,應立即將該機從網絡上隔離出來。
2、對存放數據的計算機的硬盤進行數據備份。
3、啟用反病毒軟件對該機進行殺毒,同時用殺毒軟件對其他聯網機器進行病毒掃描和清除。
4、如發現殺毒軟件無法清除該病毒,應立即向上級領導報告。
5、經網站負責人員確認確實無法查殺該病毒后,應作好相關記錄,同時立即聯系相關技術人員迅速研究并解決問題。
6、如果感染病毒的設備是服務器或者主機系統,經上級領導同意,應立即切斷服務器并告知客戶端人員進行客戶端機器的殺毒工作。
(四)軟件系統遭受破壞性攻擊的緊急處置措施
1、OA等重要的軟件系統平時必須存有備份,與軟件系統相對應的數據必須有多日備份,并將它們保存于不同的機器上。
2、如發現軟件遭到破壞或運行不正常,應立即向信息中心人員報告。
3、信息中心人員立即進行軟件系統和數據的恢復。
(五)數據庫安全緊急處置措施
1、各數據庫系統要至少準備兩個以上數據庫備份。
2、一旦數據庫崩潰,應立即上級領導報告,同時通知各部門使用人員暫緩上傳上報數據。
3、信息中心人員應對主機系統進行維護,如遇無法解決的問題,立即向上級領導匯報并及時通知專業技術人員進行處理。
4、系統修復完畢后,按照要求恢復數據。
5、如果備份數據也出現問題,及時匯報領導并且聯系軟件開發商解決。
(六)設備安全緊急處置措施
1、計算機、服務器等關鍵設備損壞后,應立即通知信息中心人員。
2、信息中心人員應立即查明原因。
3、如果能夠自行恢復,應立即用備件替換受損部件。
4、如果不能自行恢復的,立即與設備提供商聯系,請求派專業維修人員進行維修。
5、如果設備一時不能修復,應向上級領導匯報。
(七)關鍵人員不在崗的緊急處置措施
1、對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能操作。
2、一旦發生關鍵人員不在崗的情況,首先應向上級領導匯報。
3、經上級領導批準后由信息中心其他人員進行操作。
第六章 處罰措施
第二十六條 計算機終端用戶擅自下載、安裝或存放與工作無關的文件,經查實后,根據文件大小第一次按10元/100M(四舍五入到百兆)進行罰款,以后每次按倍數原則(第二次20元/100M,第三40元/100M,第四次80元/100M,以此類推)處罰。凡某一使用責任人此種情況出現三次以上(包括三次),將給予行政處罰。
第二十七條 有以下情況之一者,視情節嚴重程度處以50元以上500元以下罰款。
(一)制造或者故意輸入、傳播計算機病毒以及其他有害數據的;
(二)非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全的;
(三)對網絡和服務器進行惡意攻擊,侵入他人網絡和服務器系統,利用計算機和網絡干擾他人正常工作;
(四)訪問未經授權的文件、系統或更改設備設置;
(五)申請人在設備領用或報廢一周之內未將第二章所涉及到的表單交會信息中心;
(六)擅自與他人更換使用計算機或相關設備;
(七)擅自調整部門內部計算機的安排且未向信息中心備案;
(八)日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等。
(九)工作時間外使用公司計算機做與工作無關的事務;
(十)相同故障多次出現且經判斷故障原因為個人原因所導致的;
(十一)因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉;
第二十八條 計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
第七章 附 則
第二十九條 本制度下列用語的含義:
設備:指為完成工作而購買的筆記本電腦、臺式電腦、打印機、復印機、傳真機、掃描儀等IT設備。
有害數據:指與計算機信息系統相關的,含有危害計算機信息系統安全運行的程序,或者對國家和社會公共安全構成危害或潛在威脅的數據。
合法用戶:經信息中心授權使用本公司網絡資源的本公司員工,其余均為非法用戶。
第三十條 計算機終端用戶應積極配合信息中心共同做好計算機信息系統安全管理工作。
第三十一條 本制度適用于全公司范圍,由總裁辦信息中心負責解釋、修訂。
第三十二條 本制度自發布之日起實施,凡原制度與本制度不相符的,照本制度執行。
第三篇:計算機信息系統安全管理制度
計算機信息系統安全管理制度
第一章 總 則
第一條 為了保護計算機信息系統的安全,促進信息化建設的健康發展,根據國家和遼寧省相關規定,結合本院實際,制定本規定。
第二條 本院信息系統內所有計算機的安全保護,適用本規定。
第三條 工作職責
(一)每一個計算機信息系統使用人都是計算機安全員,計算機安全員負責本人在用計算機信息系統的正確使用、日常使用維護,發現故障、異常時及時向計算機信息系統管理員報告;
(二)計算機信息系統管理員負責院內:
1、計算機信息系統使用制度、安全制度的建立、健全;
2、計算機信息系統檔案的建立、健全,計算機信息系統使用情況的檢查;
3、計算機信息系統的日常維護(包括信息資料備份,病毒防護、系統安裝、升級、故障維修、安全事故處理或上報等);
4、計算機信息系統與外部單位的溝通、協調(包括計算機信息系統相關產品的采購、安裝、驗收及信息交換等);
5、計算機信息系統使用人員的技術培訓和指導。
(三)計算機信息系統信息審查小組負責局機關計算機信息系統對內、對外發布信息審查工作。
第二章 計算機信息系統使用人員要求 第四條 計算機信息系統管理員、計算機信息系統信息審查員必須取得省計算機安全培訓考試辦公室頒發的計算機安全培訓合格證書,并由局領導任命,在計算機信息系統安全管理方面接受局領導的直接領導。
第五條 計算機安全員必須經安全知識培訓,經考核合格后,方可上機操作。
第六條 由計算機信息管理員根據環境、條件的變化,定期組織計算機安全員開展必要的培訓,以適應計算機安全防護和操作系統升級的需要。
第三章 計算機信息系統的安全管理 第七條 計算機機房安全管理制度
(一)計算機機房由計算機信息管理員專人管理,未經計算機信息系統管理員許可,其他人員不得進入計算機房。
(二)計算機房服務器除停電外一般情況下全天候開機;在緊急情況下,可采取暫停聯網、暫時停機等安全應急措施。如果是電力停電,首先聯系醫院后勤部門,問清停電的原因、何時來電。然后檢查UPS電池容量,看能否持續供電到院內開始發電。
(三)計算機房服務器開機時,室內溫度應控制在17度,避免溫度過高影響服務器性能。
(四)計算機房應保證全封閉,確保蚊蟲、老鼠、蟑螂等不能進入機房,如在機房發現蚊蟲、老鼠、蟑螂等,應及時殺滅,以防設備、線路被破壞。
(五)計算機房應具備基本的防盜設施,防止失竊和人為破壞。
第八條 計算機信息系統網絡安全漏洞檢測和系統升級管理制度
(一)計算機信息系統管理員應使用國家公安部指定的系統軟件、安全軟件,并及時對系統軟件、安全軟件進行升級,對系統漏洞進行掃描,采取相應措施,確保系統安全。
(二)在進行系統升級、安全軟件升級前,應進行文件備份,以防信息丟失。
第九條 操作權限管理制度
(一)局機關內的計算機必須設置開機密碼、管理員密碼,開機密碼由計算機安全員設置,管理員密碼由計算機信息系統管理員設置,密碼不得少于六位,并定期進行變更,密碼不得告訴他人,不得竊取或擅自使用他人的密碼查閱相關的信息。
(二)每臺計算機應設置屏幕保護密碼,并定期變更,以防暫時離開時,計算機被他人操作。
(三)在內部網中的共享文件,應由責任人將文件的屬性設置為“只讀”,以避免被別人更改。
(四)辦公軟件中的權限、密碼由計算機信息系統管理員根據軟件的使用及管理需要設置,以確保各計算機使用人能正常使用。
第十條 用戶登記制度
(一)由計算機信息系統管理員在內部局域網中為每個計算機用戶設置用戶名,各計算機使用人憑用戶名和本人的密碼登錄內部局域網。
(二)計算機信息系統管理員應啟動系統使用日志,對用戶登錄及使用情況進行跟蹤記錄,使用日志由計算機信息系統管理員管理,保存時間不少于90天。
第十一條 信息發布審查、登記、保存、清除和備份制度,信息群發服務管理制度
(一)凡向公共信息網站提供或發布信息,必須先經局機關信息審查小組審查批準,統一交辦公室登記發外,在發外的同時,應對信息進行備份,并與公共信息網所發布的信息進行核對,發現不一致時應及時與公共信息網協調處理。
(二)向公共信息網提供的信息的備份按《檔案管理制度》保存。
(三)由辦公室跟蹤對外提供信息的及時更新、清除工作,確保網絡信息時效性和準確性。
(四)由計算機信息系統管理員定期對局域服務器信息進行備份,備份件保存期為三個月,以確保信息安全。
(五)在局域網內登錄辦公自動化軟件(OA)時,可以使用信息群發功能;登錄互聯網時,嚴禁使用信息群發功能。
第十二條 任何單位和個人不得用計算機信息系統從事下列行為:
(一)查閱、復制、制作、傳播有害信息;
(二)侵犯他人隱私,竊取他人帳號,假冒他人名義發送信息,或者向他人發送垃圾信息;
(三)以盈利或者非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(四)未經允許修改、刪除、增加、破壞計算機信息系統的功能、程序及數據;
(五)擅自修改計算機和網絡上的配置參數、程序和信息資源;
(六)安裝盜版軟件;
(七)輸入有害程序和信息;
(八)竊取他人密碼或冒用他人名義處理業務;
(九)使用“黑客”手段,故意越權訪問他人信息資源和其他保密信息資源或竊取、破壞儲存在服務器中的業務數據和其他業務信息;
(十)未經防病毒檢查,隨意拷入或在互聯網上下載程序或軟件;
(十一)在計算機上拷入各種與工作無關的應用程序,占用硬盤空間,影響業務處理的速度;
(十二)將游戲軟件拷貝到辦公用計算機或在上班時間運行游戲軟件;
(十三)其他危害計算機信息系統安全的行為。
第四章 計算機信息系統保密規定
第十三條 登錄互聯網的計算機嚴禁錄入、儲存涉密信息。
第十四條 涉密計算機必須與互聯網及局域網物理隔離。第十五條 凡秘密級以上內容的文件和資料,嚴禁在非保密傳輸信道上傳輸。
第五章 軟件安全管理
第十六條 辦公自動化軟件和由局統一開發或應用的業務軟件,由計算機信息系統管理員負責管理和維護。
第十七條 計算機信息系統管理員對統一維護的軟件應嚴格管理,不斷完善,發現問題要及時診斷和排除,保障軟件的長期穩定運行。
第十八條 各科室在本制度實施前已使用的各種應用軟件,由開發該軟件的公司負責維護,每次維護的情況各科室應書面報告計算機信息系統管理員備案。
第十九條 各科室開發或應用新的軟件,應先向計算機信息系統管理員申報,經批準才能應用。如屬上級或政府職能部門指定統一使用的,在使用前應向辦公室申報備案。如應用新的軟件對原有軟件的運行造成不良影響的,由辦公室協調解決。
第六章 計算機使用及故障維修
第二十條 計算機使用人應嚴格按照操作規程正確開啟和關閉電源,啟動和關閉系統,正確使用移動存儲媒介、打印機等設備;不得頻繁開啟和關閉電源,違反操作步驟強行關閉系統或帶電拔插硬件和接口電纜;不得隨意安裝與工作無關的軟硬件。
第二十一條 為確保計算機的正常運作,任何人不得使用來歷不明或未經檢查、殺毒的軟盤、光盤、U盤等儲存介質,以防感染、擴散病毒。第二十二條 局機關計算機實行專人專機,誰使用誰保養,誰使用誰維護;出現故障時,先找有經驗的人員協同診斷、處理,確需委托專業人員維修時,應由該計算機使用人按照《固定資產管理制度》有關規定報修。
第二十三條 本制度自印發之日起執行。
第四篇:財政局計算機信息系統安全管理制度
新市區財政局信息安全管理制度
為了認真貫徹執行國務院《中華人民共和國計算機信息系統安全保護條例》、《財政部辦公廳關于加強財政信息系統安全和保密管理工作的通知》等文件精神,切實保障金財系統的信息安全,結合我局計算機安全管理實際,特制定本制度。
第一章總則
第一條安全工作的指導方針是:“預防為主,安全第一,嚴格管理,杜絕隱患”。
第二條維護金財專網運行,保證金財系統安全。
第三條安全管理基本準則:
(一)計算機安全工作制度體系的重點是規范使用金財網內部人員行為和健全內部制約機制,根據不斷變化的情況,及時對計算機安全制度進行補充和完善,逐步形成完整的、科學的計算機安全工作制度體系。
(二)設置計算機系統管理員一名,其崗位職責是對財政局辦公范圍內的計算機系統安全負責,參與對計算機系統安全策略、計劃和事件處理程序的制定,協助計算機安全建設和運維方案的制定,負責系統運行安全細則的制定及組織實施,嚴格相關軟件系統內用戶權限管理,記錄系統安全事項。及時解除系統故障,嚴禁擅自改變系統功能,嚴禁安裝與系統無關的其它程序,發現漏洞及時記錄并修復。計算機系統管理員不得從事財務核算工作及各項資金的撥付工作。
(三)財政局內其他人員的安全職責是及時報告系統各種異常事件,嚴格執行系統操作規程和運行安全管理制度,并承擔相應崗位安全責任。
(四)要自覺加強計算機安全教育,宣傳計算機犯罪的危害,提高計算機安全防范意識和法紀觀念,自覺維護計算機系統安全。
第二章網絡、設備管理制度
第四條 連接各個預算單位、執收單位和銀行的網絡,在接入財政局金財專網前,必須經過財政局領導的授權。未經授權,任何單位和個人不得以任何方式接入財政局金財專網。
第五條 所有接入財政局金財專網的計算機,都必須在計算機系統管理員處登記,采取有效技術手段,進行管理控制。
第六條 堅持涉密計算機及系統,包括運行的新中大財務軟件、預算信息執行系統、部門預算管理系統、非科收入收繳系統、統發工資系統等財政核心業務系統的計算機,不得接入因特網,和因特網必須進行物理隔斷。
第七條 凡接入因特網的計算機及系統不得涉密,即不得存儲、處理、傳遞國家機密和工作機密。
第八條 涉密計算機要配備必要的保密措施,盡量采用成熟的、經有關部門認可的綜合技術防范手段。
第九條 涉密計算機嚴禁以任何方式同時接入內網和因特網,包括雙網卡、移動上網卡和無線上網設備等。
第十條 筆記本電腦、移動硬盤及U盤、光盤等儲存介質,因工
作原因經常帶出,不得存儲涉密數據及信息。如確需存儲涉密信息,原則上需經領導同意并記錄。
第十一條 重要網絡設備包括數據庫服務器、應用服務器、存儲、主路由器、主交換機、防火墻等應放在政府信息中心機房內,未經許可,其他人員不得對網絡設備進行任何操作。
第十二條 政府信息中心機房內所屬財政局的服務器的啟動和關閉要嚴格按規定順序進行。對服務器、交換機、路由器等關鍵設備或對操作系統、數據庫等核心數據進行操作時,須書面記錄操作原因、過程和結果。
第十三條 配合政府信息中心定期進行網絡設備的例行保養和預防性檢修,制定網絡設備故障維修規程并嚴格執行,重大故障應記錄日志,進行應急處理并立即報告領導。
第十四條 除系統管理員或局領導指定同意的硬件維護的人員外,其他同志不得隨意拆卸所使用的微機或相關的電腦設備。第十五條 財政局工作人員所屬電腦及配套設備的使用和保養責任,在平時工作中應做好清潔、保養和安全工作,確保設備始終處于整潔和良好的狀態。
第十六條 因工作需要增加、維修或報廢電腦及相關設備,須報領導同意。
第十七條 財政局內所有辦公電腦必須有病毒防范措施,進行資料備份使用U盤或移動硬盤等前,必須確保所使用的U盤或移動硬盤等無病毒。
第十八條 任何人未經本人同意,不得擅自使用他人的電腦及相關設備。
第十九條 在國際互聯網上發布與財政工作相關的信息需經領導同意并記錄備案。
第三章密碼管理制度
第二十條 后臺服務器操作系統密碼、數據庫管理密碼由系統管理員掌管,按要求及時更換。
第二十一條 各崗位工作人員密碼由本人掌握,原則上每月更新一次,系統管理員有責任提醒其注意定期更換密碼。
第二十二條 工作區域禁止無關人員入內,他人在進入系統輸入密碼時,嚴禁在旁圍觀。工作人員輸入密碼時,應有自我保護意識。第二十三條 所有辦公電腦必須設置操作系統密碼,重要文件還要單獨設置密碼。新中大財務軟件、預算信息執行系統、部門預算管理系統、非科收入收繳系統、統發工資系統等必須設置密碼,原則上不要過于簡單,并且各個系統密碼不要一致。
第二十四條 對于協助進行系統維護的軟件公司的工作人員,嚴禁其掌握后臺核心服務器密碼、數據庫管理密碼,系統管理設置的密碼、業務系統的用戶名和密碼由系統管理員提供。
第二十五條 涉及到外部單位接入的核心網絡設備如路由器、防火墻的規則要認真仔細制訂,并提交政府信息中心協助設置。第二十六條 較長時間離開電腦,應設置屏幕保護密碼或休眠模式等進行鍵盤鎖定,長時間離開電腦和下班時,應關閉系統并切斷電
源。
第二十七條 系統管理人員調離崗位,局領導須指定專人接替并對密碼立即修改或用戶刪除。對于其他調離人員使用的登錄口令及其所了解的其他密碼,應及時更換。
第二十八條 以上密碼嚴禁泄密,并要求定期修改,一經泄密,一切后果自負。
第四章數據安全管理制度
第二十九條 每日支付業務完畢后,系統管理員必須將主數據備份到專用服務器上,并將其定期備份到只讀光盤、磁帶上,并歸檔保管。
第三十條 凡調離本系統或更換工作崗位的計算機技術人員和計算機應用人員,其保存的軟件資料(包括打印資料及磁盤、光盤、磁帶等介質)一律交清,方可辦理調離手續。
第三十一條 存放備份數據的介質必須具有明確的標識。備份數據必須異地存放,并明確落實異地備份數據的管理職責;
第三十二條 數據恢復前,必須對原環境的數據進行備份,防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行,出現問題時由技術部門進行現場技術支持。數據恢復后,必須進行驗證、確認,確保數據恢復的完整性和可用性。
第三十三條 數據清理前必須對數據進行備份,在確認備份正確后方可進行清理操作。
第三十四條 非局技術人員對本局的設備、系統等進行維修、維護時,必須由本局相關技術人員現場全程監督。計算機設備送外維修,須經局領導批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記。
第三十五條 系統管理員應對報廢設備中存有的程序、數據資料進行備份后清除,并妥善處理廢棄無用的資料和介質,防止泄密。
第五篇:計算機信息系統安全和保密管理制度
計算機信息系統安全和保密管理制度
為進一步加強我局計算機信息系統安全和保密管理,保障計算機信息系統和數據的安全,特制定本制度。
第一條 嚴格落實計算機信息系統安全和保密管理工作責任制,各部門負責人為信息安全系統第一責任人。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則,各處室在其職責范圍內,負責本單位計算機信息系統安全和保密管理。
第二條 辦公室是全局計算機信息系統安全和保密管理的職能部門,信息中心具體負責技術保障工作。
第三條 局域網分為內網、外網。內網運行各類辦公軟件,專用于公文的處理和交換,屬涉密網;外網專用于各處室和個人瀏覽國際互聯網,屬非涉密網。上內網的計算機不得再上外網,涉及國家秘密的信息應當在制定的涉密信息系統中處理。
第四條 購置計算機及相關設備須按照保密局指定的有關參數指標,信息中心將新購置的計算機及相關設備的有關信息參數登記備案后,經辦公室驗收后,方可提供上網IP地接入機關局域網。
第五條 計算機的使用管理應符合下列要求:
(一)嚴禁同一計算機既上互聯網又處理涉密信息;
(二)信息中心要建立完整的辦公計算機及網絡設備技術檔案,定期對計算機及軟件安裝情況進行檢查和登記備案;
(三)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(四)安裝正版防病毒等安全防護軟件,并及時進行升級,及時更新操作系統補丁程序;
(五)未經信息中心認可,機關內所有辦公計算機不得修改上網IP地址、網關、DNS服務器、子網掩碼等設置;
(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理涉密信息;
(七)嚴禁將辦公計算機帶到與工作無關的場所;確因工作需要需攜帶有涉密信息的手提電腦外出的,必須確保涉密信息安全。
第六條 涉密移動存儲設備的使用管理應符合下列要求:
(一)分別由各處室兼職保密員負責登記,做到專人專用專管,并將登記情況報綜合處備案;
(二)嚴禁涉密移動存儲設備在內、外網之間交叉使用;
(三)移動存儲設備在接入本部門計算機信息系統之前,應查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。
第七條 數據復制操作管理應符合下列要求:
(一)將互聯網上的信息復制到內網時,應采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)使用移動存儲設備從內網向外網復制數據時,應當采取嚴格的保密措施,防止泄密;
(三)復制和傳遞密級電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。不得利用電子郵件傳遞、轉發或抄送涉密信息;
(四)各處室因工作需要向外網公開內部信息資料時,必須由該處室負責人審核同意,交由信息中心統一發布。
第八條 辦公計算機及相關設備由信息中心負責維護,按保密要求實行定點維修。需外
請維修的,要派專人全程監督;需外送維修的,應由信息中心拆除信息存儲部件,以防止存儲資料泄密。
第九條 辦公計算機及相關設備報廢時,應由信息中心拆除存儲部件,然后交辦公室核定,由信息中心按有關要求統一銷毀,同時作好備案登記。嚴禁各單位自行處理報廢計算機。
第十條 辦公室和信息中心要加強機關計算機信息系統安全和保密管理情況的監督,定期進行檢查,提高泄密隱患發現能力和泄密事件應急處置能力。其它各處室要密切配合,共同做好計算機信息系統安全和保密工作。
第十一條 機關工作人員離崗離職,有關處室應即時取消其計算機涉密信息系統訪問授權,收回計算機、移動存儲設備等相關物品。
第十二條 各處室和個人應當接受并配合保密監督檢查,協助核查有關泄密行為。對違反本規定的有關人員應給予批評教育,并責令限期整改;造成泄密事件的,由有關部門根據國家相關保密法律法規進行查處,并追究相關責任人的責任。
第十三條 各處室要根據本規定,確保涉密信息安全。
點擊咨詢 