第一篇:計(jì)算機(jī)信息系統(tǒng)涉密管理辦法
計(jì)算機(jī)信息系統(tǒng)涉密管理辦法
第一章 總 則
第一條 為保護(hù)農(nóng)村商業(yè)銀行股份有限公司(以下簡(jiǎn)稱“本行”)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全,根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》、《計(jì)算機(jī)信息系統(tǒng)保密暫行規(guī)定》等法律、法規(guī)制訂本辦法。
第二條 本辦法所稱的計(jì)算機(jī)信息系統(tǒng),是指由計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)信息以及其相關(guān)配套的設(shè)備、設(shè)施構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)數(shù)據(jù)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。
第三條 概念釋義:
(一)計(jì)算機(jī)信息系統(tǒng)安全,是指計(jì)算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)和數(shù)據(jù)的安全必須受到保護(hù),不因自然的和人為的原因而遭到破壞、更改和丟失,以保證計(jì)算機(jī)信息系統(tǒng)能連續(xù)正常運(yùn)行。
(二)計(jì)算機(jī)信息系統(tǒng)保密,是指對(duì)涉及本行商密的包括但不限于計(jì)算機(jī)信息系統(tǒng)的軟件、硬件、系統(tǒng)數(shù)據(jù)信息、技術(shù)開發(fā)文檔、管理及操作規(guī)定。
(三)計(jì)算機(jī)信息系統(tǒng)的安全保密,是指保障計(jì)算機(jī)、數(shù)據(jù)信息網(wǎng)絡(luò)及其相關(guān)的和配套的設(shè)備、設(shè)施的安全,保障運(yùn)行環(huán)境(機(jī)房)的安全,保障信息的安全,保障計(jì)算機(jī)和網(wǎng)絡(luò)功能的正常發(fā)揮,防止工作或政治因素造成的失密、泄密,防止人為或自然災(zāi)害等造成的破壞,以及防止利用計(jì)算機(jī)犯罪等。
第四條
本辦法適用于支行(部)的業(yè)務(wù)網(wǎng)、辦公網(wǎng)、互連網(wǎng)等三大計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)涉密工作的管理。
第二章 組織管理及職責(zé)
第五條 本行成立計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)保密領(lǐng)導(dǎo)小組,由行長(zhǎng)任組長(zhǎng),分管副行長(zhǎng)為副組長(zhǎng)、各支行(部)負(fù)責(zé)人為小組成員,信息科技部負(fù)責(zé)保密領(lǐng)導(dǎo)小組的日常檢查工作。
(一)保密領(lǐng)導(dǎo)領(lǐng)導(dǎo)小組定期向本行領(lǐng)導(dǎo)報(bào)告安全保密工作情況;
(二)保密領(lǐng)導(dǎo)領(lǐng)導(dǎo)小組督促本部門安全保密措施的貫徹執(zhí)行;
(三)小組成員負(fù)責(zé)本部門安全保密檢查;進(jìn)行安全保密教育。第七條 對(duì)涉密信息需要經(jīng)計(jì)算機(jī)系統(tǒng)采集、加工、存儲(chǔ)、處理、輸出的,由信息的生成、擁有、管理、提供部門向總行保密領(lǐng)導(dǎo)小組進(jìn)行申報(bào),經(jīng)總行保密領(lǐng)導(dǎo)小組核定并簽署意見后書面通知相關(guān)部門執(zhí)行。
第八條
總行保密領(lǐng)導(dǎo)小組不定期組織開展本行涉密計(jì)算機(jī)信息安全檢查,對(duì)檢查中發(fā)現(xiàn)的問(wèn)題將及時(shí)予以糾正,對(duì)嚴(yán)重違反涉密規(guī)定,造成后果的,要進(jìn)行通報(bào),并按有關(guān)規(guī)定,追究領(lǐng)導(dǎo)責(zé)任,嚴(yán)肅處理。
第三章 計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)
第九條 設(shè)備選型、購(gòu)置須經(jīng)充分論證,做好驗(yàn)收,對(duì)密鑰、密碼、參數(shù)等信息應(yīng)做好接交保管,網(wǎng)絡(luò)設(shè)備要特別關(guān)注其保密性能。
第十條
建立常規(guī)硬件系統(tǒng)維護(hù)管理制度,保持維護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備、工具和資料處于良好狀態(tài)。
第十一條 各級(jí)操作人員必須進(jìn)行必要的安全保密培訓(xùn),在職責(zé)范圍內(nèi)嚴(yán)格按相關(guān)操作規(guī)程進(jìn)行操作。
第十二條 應(yīng)用系統(tǒng)在設(shè)計(jì)上嚴(yán)格控制涉密文件信息查詢、檢索的人員范圍,嚴(yán)格管理用戶使用權(quán)限。系統(tǒng)軟硬件一經(jīng)安裝、調(diào)試、正式運(yùn)行,各支行(部)未經(jīng)科技部門許可,不得自行對(duì)其更改配置。
第四章 介質(zhì)、資料的管理
第十三條
應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)(磁性存儲(chǔ)介質(zhì)、電子存儲(chǔ)介質(zhì)、光存儲(chǔ)介質(zhì)等)或資料(紙質(zhì)文檔、電子文檔、程序等)要按其重要性進(jìn)行分類,對(duì)存放有關(guān)鍵或重要數(shù)據(jù)的介質(zhì)和資料,應(yīng)復(fù)制必要的份數(shù),并分別存放在不同的安全地方,建立嚴(yán)格的保密保管制度。
第十四條 保留在機(jī)房?jī)?nèi)的介質(zhì)或資料,應(yīng)為系統(tǒng)有效運(yùn)行所必需的最少數(shù)量,除此之外,不應(yīng)保留在機(jī)房?jī)?nèi)。
第十五條 存放介質(zhì)、資料的庫(kù)房,必須設(shè)有防火、防潮、防高溫、防震、防電磁場(chǎng)、防靜電及防盜等的設(shè)施。
第十六條 介質(zhì)(資料)庫(kù),應(yīng)設(shè)專人負(fù)責(zé)登記保管,未經(jīng)批準(zhǔn),不得向第三方提供。
第十七條 系統(tǒng)內(nèi)有關(guān)人員在使用介質(zhì)(資料)期間,應(yīng)嚴(yán)格按國(guó)家相關(guān)保密規(guī)定進(jìn)行控制,不得轉(zhuǎn)借或復(fù)制,需要使用或復(fù)制的須經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)。
第十八條
庫(kù)房保管人對(duì)所有介質(zhì)(資料)應(yīng)定期檢查,根據(jù)介質(zhì)的安全保存期限,及時(shí)更新復(fù)制。損壞、廢棄或過(guò)期的介質(zhì)(資料)應(yīng)由專人負(fù)責(zé)處理,秘密級(jí)以上的介質(zhì)(資料)在超過(guò)保密期或廢棄不用時(shí),要及時(shí)銷毀。
第五章 安全保密管理
第十九條
計(jì)算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用,應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、行政法規(guī)和本行其它有關(guān)規(guī)定。
第二十條 計(jì)算機(jī)機(jī)房、辦公、防雷、消防、通訊及供配電設(shè)施應(yīng)當(dāng)符合國(guó)家標(biāo)準(zhǔn)和國(guó)家有關(guān)規(guī)定。在上述設(shè)施附近施工,不得危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。
第二十一條 嚴(yán)禁任何涉及支行(部)機(jī)密的涉密計(jì)算機(jī)信息系統(tǒng)直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實(shí)行內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)嚴(yán)格物理隔離。所有與互聯(lián)網(wǎng)連接的計(jì)算機(jī)必須使用專用的上網(wǎng)計(jì)算機(jī)或采用隔離措施的計(jì)算機(jī),上網(wǎng)計(jì)算機(jī)中不得有涉及本機(jī)構(gòu)保密信息的內(nèi)容。
第二十二條 凡接入互聯(lián)網(wǎng)的單位,要實(shí)行保密領(lǐng)導(dǎo)責(zé)任制,各部門負(fù)責(zé)人是本部門保密工作的第一責(zé)任人,必須指定專人負(fù)責(zé)本部門上網(wǎng)信息的保密監(jiān)督檢查,確保涉密信息的安全。
第二十三條 要求接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī),由使用部門提出申請(qǐng),經(jīng)科技部門按規(guī)定審核后,報(bào)分管領(lǐng)導(dǎo)審批。互聯(lián)網(wǎng)實(shí)行專網(wǎng)管理,由信息科技部統(tǒng)一出口管理,并向通信運(yùn)營(yíng)商提出申請(qǐng)安裝,嚴(yán)格控制各支行(部)自行申請(qǐng)安裝。互聯(lián)網(wǎng)申請(qǐng)安裝必須報(bào)市公安局網(wǎng)絡(luò)監(jiān)察大隊(duì)備案。為控制源頭,加強(qiáng)管理,支行(部)大樓實(shí)行單一互聯(lián)網(wǎng)專線,由信息科技部負(fù)責(zé)安全措施落實(shí),各部門不得自行通過(guò)電話或其他方式上互聯(lián)網(wǎng),以防止通過(guò)互聯(lián)網(wǎng)發(fā)生泄密事件。
第二十四條 對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件,按規(guī)定及時(shí)向本行相關(guān)部門報(bào)告。
第二十五條 上網(wǎng)信息的保密管理堅(jiān)持“誰(shuí)上網(wǎng),誰(shuí)負(fù)責(zé)”的原則。凡向互聯(lián)網(wǎng)發(fā)布涉密信息,必須經(jīng)過(guò)總行保密領(lǐng)導(dǎo)小組授權(quán)總行辦公室審查批準(zhǔn)。第二十六條
本行員工必須接受保密安全教育,嚴(yán)格遵守保密紀(jì)律。在開展技能培訓(xùn)的同時(shí),必須把保密教育作為技能培訓(xùn)的重要內(nèi)容之一。
第二十七條 本行與外單位因業(yè)務(wù)關(guān)系進(jìn)行網(wǎng)絡(luò)互聯(lián)時(shí),必須在雙方設(shè)置硬件防火墻,并通過(guò)中間服務(wù)器訪問(wèn)我行數(shù)據(jù),與關(guān)聯(lián)單位簽定的協(xié)議中,必須含有保密條款。關(guān)聯(lián)單位必須遵守我行有關(guān)保密規(guī)定,不得泄露我行重要的保密信息。
第二十八條 總行保密領(lǐng)導(dǎo)小組不定期組織開展本行涉密計(jì)算機(jī)信息安全檢查,對(duì)檢查中發(fā)現(xiàn)的問(wèn)題將及時(shí)予以糾正,對(duì)嚴(yán)重違反涉密規(guī)定,造成后果的,要進(jìn)行通報(bào),并按有關(guān)規(guī)定,追究領(lǐng)導(dǎo)責(zé)任,嚴(yán)肅處理。
第六章 人員內(nèi)控管理
第二十九條 人員管理。
本行員工一旦發(fā)現(xiàn)涉密信息泄露或可能發(fā)生泄露的情況時(shí),應(yīng)立即向保密領(lǐng)導(dǎo)小組報(bào)告,并采取相應(yīng)的保護(hù)措施。
第三十條 任何人不得擅自處理或破壞發(fā)生事故的涉密計(jì)算機(jī)信息系統(tǒng)現(xiàn)場(chǎng),必須及時(shí)通知總行保密領(lǐng)導(dǎo)小組,經(jīng)保密領(lǐng)導(dǎo)小組授權(quán),信息科技部進(jìn)行技術(shù)分析、取證,并及時(shí)做好相應(yīng)的登記備案工作。
第三十一條 泄密事故相關(guān)人員應(yīng)根據(jù)責(zé)任和損失大小承擔(dān)相關(guān)事故責(zé)任,給本行造成重大損失的將被依法追究責(zé)任,情節(jié)嚴(yán)重的將送交司法機(jī)關(guān)處理。
第三十二條
人員審查。
人員的審查必須根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所規(guī)定的安全等級(jí)來(lái)確定審查標(biāo)準(zhǔn)。凡接觸系統(tǒng)安全三級(jí)以上信息系統(tǒng)的所有人員,必須按機(jī)要人員的條件進(jìn)行審查。
第三十三條
關(guān)鍵崗位人選。
對(duì)計(jì)算機(jī)信息系統(tǒng)的關(guān)鍵崗位人選,如安全負(fù)責(zé)人、系統(tǒng)管理員等,不僅需要進(jìn)行嚴(yán)格的政審,還要考核其業(yè)務(wù)能力,以保證這部分人員可信可靠,能勝任本職工作。關(guān)鍵崗位人員要實(shí)行定期強(qiáng)制休假制度。
第三十四條
人員培訓(xùn)。
計(jì)算機(jī)信息系統(tǒng)上崗的所有工作人員,均需由有關(guān)部門組織上崗培訓(xùn),包括計(jì)算機(jī)及網(wǎng)絡(luò)操作、維護(hù)培訓(xùn)、應(yīng)用軟件操作培訓(xùn)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全課程及保密教育培訓(xùn),經(jīng)培訓(xùn)合格的人員持證上崗。
第三十五條 人員考核。
人事部門要定期組織有關(guān)方面人員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所有的工作人員從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面進(jìn)行考核,對(duì)于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的人員要及時(shí)調(diào)離崗位,不應(yīng)讓其再接觸系統(tǒng),對(duì)情節(jié)嚴(yán)重的應(yīng)追究其法律責(zé)任。
第三十六條
簽訂保密協(xié)議。
對(duì)于所有進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作的人員,均應(yīng)簽訂保密契約,承諾其對(duì)系統(tǒng)應(yīng)盡的安全保密義務(wù),保證在崗工作期間和離崗后均不得違反保密契約,泄漏系統(tǒng)秘密。對(duì)違反保密契約的,應(yīng)有懲處條款。對(duì)接觸機(jī)密信息的人員,應(yīng)規(guī)定在離崗后的一段時(shí)期內(nèi)不得離境。
第三十七條 人員調(diào)離。
對(duì)調(diào)離人員,特別是因不適合安全管理要求被調(diào)離的人員,必須嚴(yán)格辦理調(diào)離手續(xù)。進(jìn)行調(diào)離談話,承諾其調(diào)離后的保密義務(wù),交還所有鑰匙及證件,退還全部技術(shù)手冊(cè)、軟件及有關(guān)資料。更換系統(tǒng)口令和用戶名。自調(diào)離決定通知之日起,必須立即進(jìn)行上述工作,不得拖延。
第七章 操作安全管理
第三十八條 系統(tǒng)操作安全管理目標(biāo)。
系統(tǒng)操作是指對(duì)計(jì)算機(jī)信息系統(tǒng)開發(fā)、操作、維護(hù)、系統(tǒng)管理等人員的行為或活動(dòng)。計(jì)算機(jī)信息系統(tǒng)操作安全管理的目標(biāo)是:
(一)對(duì)系統(tǒng)管理及系統(tǒng)操作均應(yīng)進(jìn)行有效的監(jiān)督或監(jiān)控;
(二)所有接觸系統(tǒng)的人員均應(yīng)承擔(dān)與其工作性質(zhì)相應(yīng)的安全責(zé)任。
第三十九條 計(jì)算機(jī)操作人員分類。
對(duì)計(jì)算機(jī)信息系統(tǒng)的操作人員,應(yīng)根據(jù)計(jì)算機(jī)信息系統(tǒng)有限職責(zé)、有限使用授權(quán)原則進(jìn)行分類。
(一)營(yíng)業(yè)網(wǎng)點(diǎn)操作員、管理人員。
(二)事后監(jiān)督系統(tǒng)操作員、管理人員。
(三)辦公自動(dòng)化系統(tǒng)操作、管理人員。
(四)網(wǎng)絡(luò)及硬件維護(hù)人員。
(五)系統(tǒng)運(yùn)行維護(hù)人員。
(六)中心系統(tǒng)管理人員。
(七)安全管理人員。
第四十條 系統(tǒng)操作控制管理。
(一)應(yīng)按照分工負(fù)責(zé)、互相制約的原則制定各類系統(tǒng)操作人員的職責(zé),職責(zé)不允許交叉覆蓋。
(二)各類人員在履行職責(zé)時(shí)要按規(guī)定行事,不得從事超越自己職責(zé)以外的任何操作。
(三)在對(duì)生產(chǎn)系統(tǒng)和監(jiān)督系統(tǒng)進(jìn)行系統(tǒng)維護(hù)、恢復(fù)、強(qiáng)行更改數(shù)據(jù)時(shí),至少應(yīng)有兩名操作人員在場(chǎng)、并進(jìn)行詳細(xì)的登記及簽名。
(四)系統(tǒng)檢查人員、安全管理人員有權(quán)對(duì)生產(chǎn)系統(tǒng)進(jìn)行監(jiān)督與核查,但該過(guò)程必須履行必要的手續(xù)和按照一定的程序進(jìn)行。
第八章 安全保密監(jiān)督
第四十一條 科技部門對(duì)計(jì)算機(jī)信息系統(tǒng)安全保密工作,行使下列監(jiān)督職權(quán):
(一)監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保密工作;
(二)檢查危害計(jì)算機(jī)信息系統(tǒng)安全的違規(guī)事件;
(三)履行計(jì)算機(jī)信息系統(tǒng)安全保密工作的其它監(jiān)督職責(zé)。
第四十二條 科技部門發(fā)現(xiàn)影響計(jì)算機(jī)信息系統(tǒng)安全保密的隱患時(shí),應(yīng)當(dāng)及時(shí)通知本行保密領(lǐng)導(dǎo)小組采取保密保護(hù)措施,在緊急情況下,有權(quán)直接先采取必要的措施,然后再向領(lǐng)導(dǎo)報(bào)告,遇有重大問(wèn)題,可以要求召集計(jì)算機(jī)保密領(lǐng)導(dǎo)小組成員會(huì)議商議對(duì)策。
第九章 泄密處理
第四十三條 如發(fā)生涉密計(jì)算機(jī)信息泄密事故,不得隱瞞,應(yīng)立即向保密領(lǐng)導(dǎo)小組報(bào)告,并請(qǐng)求信息科技部給予技術(shù)支持;信息科技部將根據(jù)保密領(lǐng)導(dǎo)小組的要求,采取有效的技術(shù)措施,避免泄密進(jìn)一步擴(kuò)大。
第四十四條 本行員工一旦發(fā)現(xiàn)涉密信息泄露或可能發(fā)生泄露的情況時(shí),應(yīng)立即向保密領(lǐng)導(dǎo)小組報(bào)告,并采取相應(yīng)的保護(hù)措施。
第四十五條 任何人不得擅自處理或破壞發(fā)生事故的涉密計(jì)算機(jī)信息系統(tǒng)現(xiàn)場(chǎng),必須及時(shí)通知總行保密領(lǐng)導(dǎo)小組,經(jīng)保密領(lǐng)導(dǎo)小組授權(quán),信息科技部進(jìn)行技術(shù)分析、取證,并及時(shí)做好相應(yīng)的登記備案工作。
第四十六條 泄密事故相關(guān)人員應(yīng)根據(jù)責(zé)任和損失大小承擔(dān)相關(guān)事故責(zé)任,給本行造成重大損失的將被依法追究責(zé)任,情節(jié)嚴(yán)重的將送交司法機(jī)關(guān)處理。
第四十七條 第四十八條
第十章 附則
本辦法由農(nóng)村商業(yè)銀行股份有限公司負(fù)責(zé)解釋。本辦法自發(fā)布之日起執(zhí)行。
第二篇:涉密計(jì)算機(jī)及信息系統(tǒng)安全策略
涉密計(jì)算機(jī)及信息系統(tǒng)安全策略文件 概述
涉密計(jì)算機(jī)及信息系統(tǒng)安全策略文件屬于頂層的管理文檔,是公司網(wǎng)絡(luò)與信息安全保障工作的出發(fā)點(diǎn)和核心,是公司計(jì)算機(jī)與信息系統(tǒng)安全管理和技術(shù)措施實(shí)施的指導(dǎo)性文件。涉密計(jì)算機(jī)及信息系統(tǒng)安全策略文件是公司計(jì)算機(jī)和信息系統(tǒng)全體管理和使用人員必須遵循的信息安全行為準(zhǔn)則,由公司信息安全管理部門制訂及解釋,由公司保密委員會(huì)審批發(fā)布,并由信息安全管理部門組織公司全體人員學(xué)習(xí)與貫徹。
公司涉密計(jì)算機(jī)及信息系統(tǒng)涉及到存儲(chǔ)、傳輸、處理國(guó)家秘密、公司商業(yè)秘密和業(yè)務(wù)關(guān)鍵信息,關(guān)系到公司的形象和公司業(yè)務(wù)的持續(xù)運(yùn)行,必須保證其安全。因此,必須從技術(shù)、管理、運(yùn)行等方面制定確保涉密計(jì)算機(jī)和信息系統(tǒng)持續(xù)可靠運(yùn)行的安全策略,做好安全保障。
本策略文件主要內(nèi)容包括:物理安全策略、信息安全策略、運(yùn)行管理策略、備份與恢復(fù)策略、應(yīng)急計(jì)劃和響應(yīng)策略、計(jì)算機(jī)病毒與惡意代碼防護(hù)策略、身份鑒別策略、訪問(wèn)控制策略、信息完整性保護(hù)策略、安全審計(jì)策略等十個(gè)方面。2 適用范圍
2.1本策略所稱的涉密計(jì)算機(jī)和信息系統(tǒng)指公司所有通過(guò)計(jì)算機(jī)及信息系統(tǒng)存貯、處理或傳輸?shù)男畔⒓按尜A、處理或傳輸這些信息的硬件、軟件及固件。
2.2本策略適用于與公司涉密計(jì)算機(jī)及信息系統(tǒng)相關(guān)的所有部門及人員。3 目標(biāo)
制定涉密計(jì)算機(jī)及信息系統(tǒng)安全策略的目標(biāo)就是確保公司掌握的國(guó)家秘密、公司商業(yè)秘密和業(yè)務(wù)關(guān)鍵信息的安全性,并通過(guò)一系列預(yù)防措施將信息安全可能受到的危害降到最低。信息安全管理應(yīng)在確保信息和計(jì)算機(jī)受到保護(hù)的同時(shí),確保計(jì)算機(jī)和信息系統(tǒng)能夠在允許的范圍內(nèi)正常運(yùn)行使用。
同時(shí),本策略的目的也是讓所有員工能夠了解信息安全問(wèn)題以及明確各自的信息安全職責(zé),嚴(yán)格遵守本安全策略,并遵守國(guó)家相關(guān)的計(jì)算機(jī)或信息安全法律要求。4 組織 4.1保密委員會(huì)是計(jì)算機(jī)及信息系統(tǒng)安全管理的領(lǐng)導(dǎo)機(jī)關(guān),負(fù)責(zé)領(lǐng)導(dǎo)信息安全管理體系的建立和信息安全管理的實(shí)施,主要包括:
? 提供清晰的指導(dǎo)方向,可見的管理支持,明確的信息安全職責(zé)授權(quán); ? 審查、批準(zhǔn)信息安全策略和崗位職責(zé); ? 審查業(yè)務(wù)關(guān)鍵安全事件;
? 批準(zhǔn)增強(qiáng)信息安全保障能力的關(guān)鍵措施和機(jī)制;
? 保證必要的資源分配,以實(shí)現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。
4.2信息安全管理部門具體負(fù)責(zé)建立和維持信息安全管理體系,協(xié)調(diào)相關(guān)活動(dòng),主要承擔(dān)如下職責(zé):
? 調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實(shí)施指南等; ? 提議并配合執(zhí)行信息安全相關(guān)的實(shí)施方法和程序,如風(fēng)險(xiǎn)評(píng)估、信息管理分層等;
? 主動(dòng)采取部門內(nèi)的信息安全措施,如安全意識(shí)培訓(xùn)及教育等; ? 配合執(zhí)行新系統(tǒng)或服務(wù)的特殊信息安全措施; ? 審查對(duì)信息安全策略的遵循性; ? 配合并參與安全評(píng)估事項(xiàng);
? 根據(jù)信息安全管理體系的要求,定期向上級(jí)主管領(lǐng)導(dǎo)和保密委員會(huì)報(bào)告。分層管理與控制
5.1公司計(jì)算機(jī)及信息系統(tǒng)管理分為涉密計(jì)算機(jī)管理、內(nèi)部網(wǎng)絡(luò)(局域網(wǎng))及計(jì)算機(jī)信息管理、互聯(lián)網(wǎng)計(jì)算機(jī)信息管理三個(gè)管理層次。
5.2 涉密計(jì)算機(jī)只能處理涉及國(guó)家秘密的信息,實(shí)行物理隔離管理,只能由公司涉密人員使用,由公司保密員管理。涉密計(jì)算機(jī)信息數(shù)據(jù)必須被保護(hù)以防止被泄漏、破壞或修改。
5.3 內(nèi)部網(wǎng)絡(luò)(局域網(wǎng))及計(jì)算機(jī)配置加密管理措施,與互聯(lián)網(wǎng)隔離,配置保密管理措施,只能通過(guò)局域網(wǎng)傳輸、儲(chǔ)存技術(shù)文檔、軟件等涉及公司商業(yè)機(jī)密信息。上述信息必須定期備份進(jìn)行保護(hù),以免破壞和非授權(quán)修改。
5.4 互聯(lián)網(wǎng)計(jì)算機(jī)主要處理來(lái)自于外部資源的普通信息,配置上網(wǎng)行為管理 2 措施,同樣在信息安全防護(hù)上進(jìn)行安全考慮。
5.5上述計(jì)算機(jī)及信息系統(tǒng)根據(jù)分層次管理的要求應(yīng)當(dāng)依據(jù)其分類進(jìn)行物理標(biāo)記。
物理安全策略
6.4信息處理設(shè)備可接受的使用策略
公司禁止工作人員濫用計(jì)算機(jī)及信息系統(tǒng)的計(jì)算機(jī)資源,僅為工作人員提供工作所需的信息處理設(shè)備。公司所有人員對(duì)系統(tǒng)網(wǎng)絡(luò)和計(jì)算資源的使用(包括訪問(wèn)互聯(lián)網(wǎng))都必須遵守計(jì)算機(jī)及信息系統(tǒng)的安全策略和標(biāo)準(zhǔn)及所有適用的法律。
公司的計(jì)算機(jī)及信息系統(tǒng)應(yīng)能防止使用人員連接到訪問(wèn)含有色情、種族歧視及其他不良內(nèi)容的網(wǎng)站及某些非業(yè)務(wù)網(wǎng)站。
包括但不限于以下例子是不可接受的使用行為:
? 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。
? 工作人員通過(guò)信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)及設(shè)備傳輸、存儲(chǔ)任何非法的、有威脅的、濫用的材料。
? 任何工作人員使用信息系統(tǒng)的計(jì)算機(jī)工具、設(shè)備和互聯(lián)網(wǎng)訪問(wèn)服務(wù)來(lái)從事用于個(gè)人獲益的商業(yè)活動(dòng)(如炒股)。
? 工作人員使用信息系統(tǒng)服務(wù)來(lái)參與任何政治或宗教活動(dòng)。
? 在沒(méi)有信息安全管理部門的事先允許或?qū)徟那闆r下,工作人員在使用的計(jì)算機(jī)中更改或安裝任何類型的計(jì)算機(jī)軟件和硬件。
? 在沒(méi)有信息安全管理部門的事先允許或?qū)徟那闆r下,工作人員拷貝、安裝、處理或使用任何未經(jīng)許可的軟件。6.5處理從互聯(lián)網(wǎng)下載的軟件和文件
必須使用病毒檢測(cè)軟件對(duì)所有通過(guò)互聯(lián)網(wǎng)(或任何其他公網(wǎng))從信息系統(tǒng)之外的途徑獲得的軟件和文件進(jìn)行檢查,同時(shí),在獲得這些軟件和文件之前,信息安全管理部門必須研究和確認(rèn)使用這些工具的必要性。
6.6工作人員保密協(xié)議
公司所有人員必須在開始工作前,親自簽訂計(jì)算機(jī)及信息系統(tǒng)保密協(xié)議。6.7知識(shí)產(chǎn)權(quán)權(quán)利
尊重互聯(lián)網(wǎng)上他人的知識(shí)產(chǎn)權(quán)。
公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設(shè)計(jì)的產(chǎn)品,無(wú)論是以何種方式涉及業(yè)務(wù)、產(chǎn)品、技術(shù)、處理器、服務(wù)或研發(fā)的資產(chǎn),都是公司的專有資產(chǎn)。物理和環(huán)境安全策略
計(jì)算機(jī)信息和其他用于存儲(chǔ)、處理或傳輸信息的物理設(shè)施,例如硬件、磁介質(zhì)、電纜等,對(duì)于物理破壞來(lái)說(shuō)是易受攻擊的,同時(shí)也不可能完全消除這些風(fēng)險(xiǎn)。因此,應(yīng)該將這些信息及物理設(shè)施放置于適當(dāng)?shù)沫h(huán)境中并在物理上給予保護(hù)使之免受安全威脅和環(huán)境危害。
7.1安全區(qū)域
根據(jù)信息安全的分層管理,應(yīng)將支持涉密信息或關(guān)鍵業(yè)務(wù)活動(dòng)的信息技術(shù)設(shè)備放置在安全區(qū)域中。安全區(qū)域應(yīng)當(dāng)考慮物理安全邊界控制及有適當(dāng)?shù)倪M(jìn)出控制措施保護(hù),安全區(qū)域防護(hù)等級(jí)應(yīng)當(dāng)與安全區(qū)域內(nèi)的信息安全等級(jí)一致,安全區(qū)域的訪問(wèn)權(quán)限應(yīng)該被嚴(yán)格控制。
7.2設(shè)備安全
對(duì)支持涉密信息或關(guān)鍵業(yè)務(wù)過(guò)程(包括備份設(shè)備和存儲(chǔ)過(guò)程)的設(shè)備應(yīng)該適當(dāng)?shù)卦谖锢砩线M(jìn)行保護(hù)以避免安全威脅和環(huán)境危險(xiǎn)。包括:
? 設(shè)備應(yīng)該放置在合適的位置或加強(qiáng)保護(hù),將被如水或火破壞、干擾或非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)降低到可接受的程度。
? 對(duì)涉密信息或關(guān)鍵業(yè)務(wù)過(guò)程的設(shè)備應(yīng)該進(jìn)行保護(hù),以免受電源故障或其他電力異常的損害。
? 對(duì)計(jì)算機(jī)和設(shè)備環(huán)境應(yīng)該進(jìn)行監(jiān)控,必要的話要檢查環(huán)境的影響因素,如溫度和濕度是否超過(guò)正常界限。
? 對(duì)設(shè)備應(yīng)該按照生產(chǎn)商的說(shuō)明進(jìn)行有序地維護(hù)。? 安全規(guī)程和控制措施應(yīng)該覆蓋該設(shè)備的安全性要求。? 設(shè)備包括存儲(chǔ)介質(zhì)在廢棄使用之前,應(yīng)該刪除其上面的數(shù)據(jù)。7.3物理訪問(wèn)控制
信息安全管理部門應(yīng)建立訪問(wèn)控制程序,控制并限制所有對(duì)計(jì)算計(jì)及信息系統(tǒng)計(jì)算、存儲(chǔ)和通訊系統(tǒng)設(shè)施的物理訪問(wèn)。應(yīng)有合適的出入控制來(lái)保護(hù)安全場(chǎng)所,確保只允許授權(quán)的人員進(jìn)入。必須僅限公司工作人員和技術(shù)維護(hù)人員訪問(wèn)公司辦 4 公場(chǎng)所、布線室、機(jī)房和計(jì)算基礎(chǔ)設(shè)施。
7.4建筑和環(huán)境的安全管理
為確保計(jì)算機(jī)處理設(shè)施能正確的、連續(xù)的運(yùn)行,應(yīng)至少考慮及防范以下威脅:偷竊、火災(zāi)、溫度、濕度、水、電力供應(yīng)中斷、爆炸物、吸煙、灰塵、振動(dòng)、化學(xué)影響等。
必須在安全區(qū)域建立環(huán)境狀況監(jiān)控機(jī)制,以監(jiān)控廠商建議范圍外的可能影響信息處理設(shè)施的環(huán)境狀況。應(yīng)在運(yùn)營(yíng)范圍內(nèi)安裝自動(dòng)滅火系統(tǒng)。定期測(cè)試、檢查并維護(hù)環(huán)境監(jiān)控警告機(jī)制,并至少每年操作一次滅火設(shè)備。
7.5保密室、計(jì)算機(jī)房訪問(wèn)記錄管理
保密室、計(jì)算機(jī)房應(yīng)設(shè)立物理訪問(wèn)記錄,信息安全管理部門應(yīng)定期檢查物理訪問(wèn)記錄本,以確保正確使用了這項(xiàng)控制。物理訪問(wèn)記錄應(yīng)至少保留12個(gè)月,以便協(xié)助事件調(diào)查。應(yīng)經(jīng)信息安全管理部門批準(zhǔn)后才可以處置記錄,并應(yīng)用碎紙機(jī)處理。
8計(jì)算機(jī)和網(wǎng)絡(luò)運(yùn)行管理策略
計(jì)算機(jī)和信息系統(tǒng)所擁有的和使用的大多數(shù)信息都在計(jì)算機(jī)上進(jìn)行處理和存儲(chǔ)。為了保護(hù)這些信息,需要使用安全且受控的方式管理和操作這些計(jì)算機(jī),使它們擁有充分的資源。
由于公司計(jì)算機(jī)和信息系統(tǒng)采用三層管理模式,不排除聯(lián)接到外部網(wǎng)絡(luò),計(jì)算機(jī)和信息系統(tǒng)的運(yùn)行必須使用可控且安全的方式來(lái)管理,網(wǎng)絡(luò)軟件、數(shù)據(jù)和服務(wù)的完整性和可用性必須受到保護(hù)。
8.1操作規(guī)程和職責(zé)
應(yīng)該制定管理和操作所有計(jì)算機(jī)和網(wǎng)絡(luò)所必須的職責(zé)和規(guī)程,來(lái)指導(dǎo)正確的和安全的操作。這些規(guī)程包括:
? 數(shù)據(jù)文件處理規(guī)程,包括驗(yàn)證網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù);
? 對(duì)所有計(jì)劃好的系統(tǒng)開發(fā)、維護(hù)和測(cè)試工作的變更管理規(guī)程; ? 為意外事件準(zhǔn)備的錯(cuò)誤處理和意外事件處理規(guī)程;
? 問(wèn)題管理規(guī)程,包括記錄所有網(wǎng)絡(luò)問(wèn)題和解決辦法(包括怎樣處理和誰(shuí)處理); ? 事故管理規(guī)程; ? 為所有新的或變更的硬件或軟件,制定包括性能、可用性、可靠性、可控性、可恢復(fù)性和錯(cuò)誤處理能力等方面的測(cè)試/評(píng)估規(guī)程;
? 日常管理活動(dòng),例如啟動(dòng)和關(guān)閉規(guī)程,數(shù)據(jù)備份,設(shè)備維護(hù),計(jì)算機(jī)和網(wǎng)絡(luò)管理,安全方法或需求;
? 當(dāng)出現(xiàn)意外操作或技術(shù)難題時(shí)的技術(shù)支持合同。8.2操作變更控制
對(duì)信息處理設(shè)施和系統(tǒng)控制不力是導(dǎo)致系統(tǒng)或安全故障的常見原因,所以應(yīng)該控制對(duì)信息處理設(shè)施和系統(tǒng)的變動(dòng)。應(yīng)落實(shí)正式的管理責(zé)任和措施,確保對(duì)設(shè)備、軟件或程序的所有變更得到滿意的控制。
8.3介質(zhì)的處理和安全性
應(yīng)該對(duì)計(jì)算機(jī)介質(zhì)進(jìn)行控制,如果必要的話需要進(jìn)行物理保護(hù): ? 可移動(dòng)的計(jì)算機(jī)介質(zhì)應(yīng)該受控;
? 應(yīng)該制定并遵守處理包含機(jī)密或關(guān)鍵數(shù)據(jù)的介質(zhì)的規(guī)程; ? 與計(jì)算相關(guān)的介質(zhì)應(yīng)該在不再需要時(shí)被妥善廢棄。8.4鑒別和網(wǎng)絡(luò)安全
鑒別和網(wǎng)絡(luò)安全包括以下方面:
? 網(wǎng)絡(luò)訪問(wèn)控制應(yīng)包括對(duì)人員的識(shí)別和鑒定;
? 用戶連接到網(wǎng)絡(luò)的能力應(yīng)受控,以支持業(yè)務(wù)應(yīng)用的訪問(wèn)策略需求; ? 專門的測(cè)試和監(jiān)控設(shè)備應(yīng)被安全保存,使用時(shí)要進(jìn)行嚴(yán)格控制; ? 通過(guò)網(wǎng)絡(luò)監(jiān)控設(shè)備訪問(wèn)網(wǎng)絡(luò)應(yīng)受到限制并進(jìn)行適當(dāng)授權(quán); ? 應(yīng)配備專門設(shè)備自動(dòng)檢查所有網(wǎng)絡(luò)數(shù)據(jù)傳輸是否完整和正確; ? 應(yīng)評(píng)估和說(shuō)明使用外部網(wǎng)絡(luò)服務(wù)所帶來(lái)的安全風(fēng)險(xiǎn); ? 根據(jù)不同的用戶和不同的網(wǎng)絡(luò)服務(wù)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制; ? 對(duì)IP地址進(jìn)行合理的分配; ? 關(guān)閉或屏蔽所有不需要的網(wǎng)絡(luò)服務(wù); ? 隱藏真實(shí)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);
? 采用有效的口令保護(hù)機(jī)制,包括:規(guī)定口令的長(zhǎng)度、有效期、口令規(guī)則或采用動(dòng)態(tài)口令等方式,保障用戶登錄和口令的安全;
? 應(yīng)該嚴(yán)格控制可以對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行訪問(wèn)的登錄終端或登錄 6 節(jié)點(diǎn),并且進(jìn)行完整的訪問(wèn)審計(jì);
? 嚴(yán)格設(shè)置對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備的訪問(wèn)權(quán)限; ? 嚴(yán)格控制可以對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行訪問(wèn)的人員;
? 保證重要設(shè)備的物理安全性,嚴(yán)格控制可以物理接觸重要設(shè)備的人員,并且進(jìn)行登記;
? 對(duì)重要的管理工作站、服務(wù)器必須設(shè)置自動(dòng)鎖屏或在操作完成后,必須手工鎖屏;
? 嚴(yán)格限制進(jìn)行遠(yuǎn)程訪問(wèn)的方式、用戶和可以使用的網(wǎng)絡(luò)資源; ? 接受遠(yuǎn)程訪問(wèn)的服務(wù)器應(yīng)該劃分在一個(gè)獨(dú)立的網(wǎng)絡(luò)安全區(qū)域; ? 安全隔離措施必須滿足國(guó)家、行業(yè)的相關(guān)政策法規(guī)。
個(gè)人終端用戶(包括個(gè)人計(jì)算機(jī))的鑒別,以及連接到所有辦公自動(dòng)化網(wǎng)絡(luò)和服務(wù)的控制職責(zé),由信息安全管理部門決定。
8.5操作人員日志
操作人員應(yīng)保留日志記錄。根據(jù)需要,日志記錄應(yīng)包括: ? 系統(tǒng)及應(yīng)用啟動(dòng)和結(jié)束時(shí)間; ? 系統(tǒng)及應(yīng)用錯(cuò)誤和采取的糾正措施; ? 所處理的數(shù)據(jù)文件和計(jì)算機(jī)輸出; ? 操作日志建立和維護(hù)的人員名單。8.6錯(cuò)誤日志記錄
對(duì)錯(cuò)誤及時(shí)報(bào)告并采取措施予以糾正。應(yīng)記錄報(bào)告的關(guān)于信息處理錯(cuò)誤或通信系統(tǒng)故障。應(yīng)有一個(gè)明確的處理錯(cuò)誤報(bào)告的規(guī)則,包括:1)審查錯(cuò)誤日志,確保錯(cuò)誤已經(jīng)得到滿意的解決;2)審查糾正措施,確保沒(méi)有違反控制措施,并且采取的行動(dòng)都得到充分的授權(quán)。
8.7網(wǎng)絡(luò)安全管理策略
網(wǎng)絡(luò)安全管理的目標(biāo)是保證網(wǎng)絡(luò)信息安全,確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性。網(wǎng)絡(luò)管理員應(yīng)確保計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)安全,保障連接的服務(wù)的有效性,避免非法訪問(wèn)。應(yīng)該注意以下內(nèi)容:
應(yīng)將網(wǎng)絡(luò)的操作職責(zé)和計(jì)算機(jī)的操作職責(zé)分離;
? 制定遠(yuǎn)程設(shè)備(包括用戶區(qū)域的設(shè)備)的管理職責(zé)和程序;
? 應(yīng)采取特殊的技術(shù)手段保護(hù)通過(guò)公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的機(jī)密性和完整性,并保護(hù)連接的系統(tǒng),采取控制措施維護(hù)網(wǎng)絡(luò)服務(wù)和所連接的計(jì)算機(jī)的可用性;
? 信息安全管理活動(dòng)應(yīng)與技術(shù)控制措施協(xié)調(diào)一致,優(yōu)化業(yè)務(wù)服務(wù)能力; ? 使用遠(yuǎn)程維護(hù)協(xié)議時(shí),要充分考慮安全性。8.8電子郵件安全策略
計(jì)算機(jī)和信息系統(tǒng)應(yīng)制定有關(guān)使用電子郵件的策略,包括: ? 對(duì)電子郵件的攻擊,例如病毒、攔截;
? 必要時(shí),使用相關(guān)技術(shù)保護(hù)電子郵件的機(jī)密性、完整性和不可抵賴。8.9病毒防范策略
病毒防范包括預(yù)防和檢查病毒(包括實(shí)時(shí)掃描/過(guò)濾和定期檢查),主要內(nèi)容包括:
? 控制病毒入侵途徑; ? 安裝可靠的防病毒軟件; ? 對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和過(guò)濾; ? 定期殺毒; ? 及時(shí)更新病毒庫(kù); ? 及時(shí)上報(bào); ? 詳細(xì)記錄。
防病毒軟件的安裝和使用由信息安全管理部門專門的病毒防范管理員執(zhí)行。嚴(yán)格控制盜版軟件及其它第三方軟件的使用,必要時(shí),在運(yùn)行前先對(duì)其進(jìn)行病毒檢查。
內(nèi)部工作人員因?yàn)樯喜话踩木W(wǎng)站下載文件或其他方式導(dǎo)致中毒,造成的后果由其本人負(fù)責(zé)。
8.10備份與恢復(fù)策略
定義計(jì)算機(jī)及信息系統(tǒng)備份與恢復(fù)應(yīng)該采用的基本措施: ? 建立有效的備份與恢復(fù)機(jī)制; ? 定期檢測(cè)自動(dòng)備份系統(tǒng)是否正常工作;
? 明確備份的操作人員職責(zé)、工作流程和工作審批制度;
? 建立完善的備份工作操作技術(shù)文檔;
? 明確恢復(fù)的操作人員職責(zé)、工作流程和工作審批制度; ? 建立完善的恢復(fù)工作操作技術(shù)文檔; ? 針對(duì)建立的備份與恢復(fù)機(jī)制進(jìn)行演習(xí); ? 對(duì)備份的類型和恢復(fù)的方式進(jìn)行明確的定義; ? 妥善保管備份介質(zhì)。8.11加密策略
對(duì)于應(yīng)用系統(tǒng)安全需求分析中要求采用加密措施,或相關(guān)法規(guī)中要求采用加密措施的處理,一定要滿足要求。
采用加密技術(shù)或選用加密產(chǎn)品,要求符合國(guó)家有關(guān)政策或行業(yè)規(guī)范的要求。選用的加密機(jī)制與密碼算法應(yīng)符合國(guó)家密碼政策,密鑰強(qiáng)度符合國(guó)家規(guī)定。對(duì)于敏感或重要信息,要求通過(guò)加密保障其私密性、通過(guò)信息校驗(yàn)碼或數(shù)字簽名保障其完整性、通過(guò)數(shù)字簽名保障其不可否認(rèn)性。
要求采用高強(qiáng)度的密鑰管理系統(tǒng),保證密鑰全過(guò)程的安全。包括密鑰的生成、使用、交換、傳輸、保護(hù)、歸檔、銷毀等。
對(duì)敏感或重要密鑰,要求分人制衡管理。
對(duì)敏感或重要密鑰,要求采用一定的密鑰備份措施以保障在密鑰丟失、破壞時(shí)系統(tǒng)的可用性。
密鑰失密或懷疑失密時(shí),必須及時(shí)向安全主管部門報(bào)告,更新密鑰。并采取有效措施,防止再次發(fā)生類似情況。9訪問(wèn)控制策略
為了保護(hù)計(jì)算機(jī)系統(tǒng)中信息不被非授權(quán)的訪問(wèn)、操作或破壞,必須對(duì)信息系統(tǒng)和數(shù)據(jù)實(shí)行控制訪問(wèn)。
計(jì)算機(jī)系統(tǒng)控制訪問(wèn)包括建立和使用正式的規(guī)程來(lái)分配權(quán)限,并培訓(xùn)工作人員安全地使用系統(tǒng)。對(duì)系統(tǒng)進(jìn)行監(jiān)控檢查是否遵守所制定的規(guī)程。
9.1計(jì)算機(jī)訪問(wèn)控制
應(yīng)該根據(jù)相關(guān)國(guó)家法律的要求和指導(dǎo)方針控制對(duì)信息系統(tǒng)和數(shù)據(jù)的訪問(wèn): ? 計(jì)算機(jī)活動(dòng)應(yīng)可以被追蹤到人;
? 訪問(wèn)所有多用戶計(jì)算機(jī)系統(tǒng)應(yīng)有正式的用戶登記和注銷規(guī)程; ? 應(yīng)使用有效的訪問(wèn)系統(tǒng)來(lái)鑒別用戶;
? 應(yīng)通過(guò)安全登錄進(jìn)程訪問(wèn)多用戶計(jì)算機(jī)系統(tǒng); ? 特殊權(quán)限的分配應(yīng)被安全地控制;
? 用戶選擇和使用密碼時(shí)應(yīng)慎重參考良好的安全慣例; ? 用戶應(yīng)確保無(wú)人看管的設(shè)備受到了適當(dāng)?shù)陌踩Wo(hù); ? 應(yīng)根據(jù)系統(tǒng)的重要性制定監(jiān)控系統(tǒng)的使用規(guī)程。? 必須維護(hù)監(jiān)控系統(tǒng)安全事件的審計(jì)跟蹤記錄; ? 為準(zhǔn)確記錄安全事件,計(jì)算機(jī)時(shí)鐘應(yīng)被同步。10風(fēng)險(xiǎn)管理及安全審計(jì)策略
信息安全審計(jì)及風(fēng)險(xiǎn)管理對(duì)于幫助公司識(shí)別和理解信息被攻擊、更改和不可用所帶來(lái)的(直接和間接的)潛在業(yè)務(wù)影響來(lái)說(shuō)至關(guān)重要。所有信息內(nèi)容和信息技術(shù)過(guò)程應(yīng)通過(guò)信息安全審計(jì)活動(dòng)及風(fēng)險(xiǎn)評(píng)估活動(dòng)來(lái)識(shí)別與它們相關(guān)的安全風(fēng)險(xiǎn)并執(zhí)行適當(dāng)?shù)陌踩珜?duì)策。
計(jì)算機(jī)及信息系統(tǒng)的信息安全審計(jì)活動(dòng)和風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)定期執(zhí)行。特別是系統(tǒng)建設(shè)前或系統(tǒng)進(jìn)行重大變更前,必須進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。
信息安全審計(jì)應(yīng)當(dāng)3個(gè)月進(jìn)行一次,并形成文檔化的信息安全審計(jì)報(bào)告。信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)至少1年一次,可由公司自己組織進(jìn)行或委托有信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估資質(zhì)的第三方機(jī)構(gòu)進(jìn)行。信息安全風(fēng)險(xiǎn)評(píng)估必須形成文檔化的風(fēng)險(xiǎn)評(píng)估報(bào)告。
11信息系統(tǒng)應(yīng)急計(jì)劃和響應(yīng)策略
11.1信息應(yīng)急計(jì)劃和響應(yīng)的必要性
應(yīng)該制定和實(shí)施應(yīng)急計(jì)劃和響應(yīng)管理程序,將預(yù)防和恢復(fù)控制措施相結(jié)合,將災(zāi)難和安全故障(可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起)造成的影響降低到可以接受的水平。
應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。制定和實(shí)施應(yīng)急計(jì)劃,確保能夠在要求的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)的流程。應(yīng)該維護(hù)和執(zhí)行此類計(jì)劃,使之成為其它所有管理程序的一部分。
11.2應(yīng)急計(jì)劃和響應(yīng)管理程序
應(yīng)該在整個(gè)計(jì)算機(jī)信息系統(tǒng)內(nèi)部制定應(yīng)急計(jì)劃和響應(yīng)的管理流程。包括以下 主要內(nèi)容:
? 考慮突發(fā)事件的可能性和影響。
? 了解中斷信息系統(tǒng)服務(wù)可能對(duì)業(yè)務(wù)造成的影響(必須找到適當(dāng)?shù)慕鉀Q方案,正確處理較小事故以及可能威脅組織生存的大事故),并確定信息處理設(shè)施的業(yè)務(wù)目標(biāo)。
? 適當(dāng)考慮風(fēng)險(xiǎn)處理措施,可以將其作為業(yè)務(wù)連續(xù)性程序的一部分。? 定期對(duì)應(yīng)急計(jì)劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要的演練,確保其始終有效。
? 適當(dāng)?shù)貙?duì)技術(shù)人員進(jìn)行培訓(xùn),讓他們了解包括危機(jī)管理在內(nèi)的應(yīng)急程序。
12遵循性
計(jì)算機(jī)及信息系統(tǒng)必須遵守國(guó)家法律和法規(guī)的要求。
公司所有工作人員都有責(zé)任學(xué)習(xí)、理解并遵守安全策略,以確保公司敏感信息的安全。對(duì)違反安全策略的行為,根據(jù)事件性質(zhì)和違規(guī)的嚴(yán)重程度,采取相應(yīng)的處罰措施。信息安全管理部門應(yīng)根據(jù)違規(guī)的嚴(yán)重程度向相關(guān)領(lǐng)導(dǎo)提出建議懲罰措施。除本安全策略中涉及的要求之外,所有部門和工作人員同樣需要遵守相關(guān)國(guó)家法律和法規(guī)的要求。
計(jì)算機(jī)和信息系統(tǒng)安全策略文件由信息安全管理部門負(fù)責(zé)制定和解釋,由公司保密委員會(huì)審批發(fā)布。
公司已存在的但內(nèi)容與本安全策略文件不符的管理規(guī)定,應(yīng)以本安全策略的要求為準(zhǔn),并參考本安全策略及時(shí)進(jìn)行修訂。
第三篇:計(jì)算機(jī)信息系統(tǒng)管理辦法
濟(jì)南xxxxxxx有限公司
文 件
編號(hào):受控號(hào):
計(jì)算機(jī)信息系統(tǒng)管理辦法
為保障公司各部門計(jì)算機(jī)及信息網(wǎng)絡(luò)的安全高效使用,規(guī)范管理與維護(hù),特制定以下管理辦法:
一、計(jì)算機(jī)及配套設(shè)備的購(gòu)置、管理
1.購(gòu)置:各部門根據(jù)工作需要提出申請(qǐng),經(jīng)公司批準(zhǔn)后,由綜合部負(fù)責(zé)統(tǒng)一采購(gòu)。
2.采購(gòu)以“性價(jià)比最佳”為原則,同時(shí)需確保售后服務(wù)的質(zhì)量,兼顧外形的和諧統(tǒng)一。
3.各使用部門需在綜合部辦理計(jì)算機(jī)的登記手續(xù),驅(qū)動(dòng)盤、使用說(shuō)明、保修卡及配置清單等原始資料由綜合部負(fù)責(zé)保管,同時(shí)登記固定資產(chǎn)臺(tái)帳。
4.將計(jì)算機(jī)管理納入部門經(jīng)理職責(zé)范圍,指定日常使用人為專管人員,負(fù)責(zé)計(jì)算機(jī)的日常維護(hù)清潔、查毒清毒等工作。
5.計(jì)算機(jī)發(fā)生故障時(shí),專管人員應(yīng)及時(shí)向綜合部報(bào)告,需外聯(lián)技術(shù)員檢查、維修的,由綜合部負(fù)責(zé)聯(lián)系接洽。未經(jīng)綜合部許可任何人不得隨意拆裝硬件。
6.為保證計(jì)算機(jī)性能正常,各部門應(yīng)定期清潔與維護(hù)計(jì)算機(jī)(每周至少一次),具體流程由綜合部負(fù)責(zé)制訂并培訓(xùn)。
二、計(jì)算機(jī)安全規(guī)定
1.任何人不得利用計(jì)算機(jī)進(jìn)行侵害國(guó)家、公司和個(gè)人利益與合法權(quán)益的活動(dòng)。
2.需保密的部門應(yīng)設(shè)置開機(jī)密碼、屏保密碼以及重要文件的讀取密碼。密碼由專人負(fù)責(zé)保管,并視需要及時(shí)更改。
3.定期做好重要文件、數(shù)據(jù)的備份工作,防止文件丟失,確保數(shù)據(jù)安全。(詳見
六、數(shù)據(jù)保密和備份)
4.為防止計(jì)算機(jī)病毒傳播,使用任何外來(lái)文件需首先進(jìn)行病毒清查,安裝有殺毒軟件的計(jì)算機(jī)須定期查毒(每周一次)。
三、計(jì)算機(jī)使用規(guī)定
1.按照“使用部門負(fù)責(zé)”原則,各部門所屬計(jì)算機(jī)的日常使用及清潔維護(hù)、查毒清毒、數(shù)據(jù)備份、磁盤整理等工作需落實(shí)到專管員。本管理辦法下發(fā)一周內(nèi),各部門
將專管員報(bào)給綜合部,由綜合部統(tǒng)一安排培訓(xùn)。
2.專管人員應(yīng)經(jīng)常檢查所屬計(jì)算機(jī)及外設(shè)狀況,如發(fā)現(xiàn)異常應(yīng)立即報(bào)告,禁止因不規(guī)范操作等原因造成硬件損壞。
3.日常工作涉及計(jì)算機(jī)使用的員工應(yīng)注意相關(guān)知識(shí)的學(xué)習(xí)與積累,必要時(shí)綜合部組織專項(xiàng)培訓(xùn)。
4.使用中應(yīng)注意隨時(shí)存盤;為消除安全隱患,下班后應(yīng)關(guān)閉計(jì)算機(jī)及附屬設(shè)備并切斷電源。
5.任何部門或個(gè)人不得私自安裝、使用包括游戲軟件等一切與工作無(wú)關(guān)的軟件,不可利用計(jì)算機(jī)進(jìn)行與工作無(wú)關(guān)的活動(dòng),不可在計(jì)算機(jī)存儲(chǔ)與工作無(wú)關(guān)的文件,否則按第七條進(jìn)行處罰。
四、硬件設(shè)備管理
1.路由器、交換機(jī)和服務(wù)器是公司信息系統(tǒng)的關(guān)鍵設(shè)備,須放置在指定地點(diǎn),由專職管理人員統(tǒng)一管理,其他人不得自行配置或更換。
2.每臺(tái)計(jì)算機(jī)外觀要保持清潔、衛(wèi)生,并由使用人負(fù)責(zé)管理和維護(hù),無(wú)關(guān)人員未經(jīng)批準(zhǔn)嚴(yán)禁動(dòng)用他人計(jì)算機(jī)。
3.嚴(yán)禁易燃易爆和強(qiáng)磁物品靠近計(jì)算機(jī)放置。
4.計(jì)算機(jī)及相關(guān)設(shè)備的報(bào)廢需經(jīng)過(guò)專職人員鑒定,確認(rèn)不能使用后方可申請(qǐng)報(bào)廢。
5.使用人員如發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異常,及時(shí)與系統(tǒng)管理員聯(lián)系,非專業(yè)管理人員不得擅自拆開計(jì)算機(jī)調(diào)換設(shè)備配件。
五、計(jì)算機(jī)網(wǎng)絡(luò)管理
1.按照公司管理模式,在保證各部門內(nèi)部工作管理的同時(shí),有關(guān)部門設(shè)立局域網(wǎng)(內(nèi)網(wǎng)),系統(tǒng)管理員統(tǒng)一分配局域系統(tǒng)IP地址和DNS域名服務(wù),相關(guān)部門配合組織實(shí)施。
2.各部門應(yīng)嚴(yán)格遵守公司內(nèi)網(wǎng)保密制度,不隨意通過(guò)網(wǎng)絡(luò)獲取或?qū)ν庑孤段募?bào)表等,否則按第七條規(guī)定處罰。
3.可以登陸互聯(lián)網(wǎng)的計(jì)算機(jī)由專人負(fù)責(zé)管理,定期上網(wǎng)升級(jí)殺毒軟件并查清本部門局域網(wǎng)內(nèi)連接的全部計(jì)算機(jī)。
4.公司使用企業(yè)郵箱以“保密性佳、滿足需要、費(fèi)用最低”為原則,密碼由專人負(fù)責(zé)保管,并視情況更新,并做到“及時(shí)下載、定期清理”,謹(jǐn)慎對(duì)待不明郵件,避免病毒的傳播。
5.嚴(yán)格遵守《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)暫行規(guī)定》,嚴(yán)禁利用計(jì)算
機(jī)非法入侵他人或其他組織的計(jì)算機(jī)信息系統(tǒng)。
六、數(shù)據(jù)保密和備份
1.根據(jù)數(shù)據(jù)的保密規(guī)定和用途,確定使用人員的存取權(quán)限、存取方式和審批手續(xù)。
2.禁止泄露、外借和轉(zhuǎn)移專業(yè)數(shù)據(jù)信息。
3.涉密部門指定專管員對(duì)計(jì)算機(jī)內(nèi)的重要數(shù)據(jù)應(yīng)定期(兩周一次)制作數(shù)據(jù)的備份并異地存放,確保系統(tǒng)一旦發(fā)生故障時(shí)能夠快速恢復(fù)。
4.備份數(shù)據(jù)不得更改。
5.操作人員必須注意保護(hù)自己的計(jì)算機(jī)信息系統(tǒng),對(duì)部門登錄的口令要注意保密。
6.不得讓任何無(wú)關(guān)的人員使用自己的計(jì)算機(jī),不要擅自或讓其他非專業(yè)技術(shù)人員修改自己計(jì)算機(jī)系統(tǒng)的重要設(shè)備。
七、罰則
有下列行為之一且不限于以下行為的,公司將視情節(jié)輕重給予處罰,部門經(jīng)理負(fù)管理不善責(zé)任:
1.擅自拷貝或外串公司數(shù)據(jù)的,給予當(dāng)事人最低200元/次的經(jīng)濟(jì)處罰;所拷貝或外串?dāng)?shù)據(jù)屬公司重要機(jī)密的,公司有權(quán)報(bào)警立案處理。
2.因違反本規(guī)定或進(jìn)行不當(dāng)操作造成計(jì)算機(jī)損壞的,公司可根據(jù)情況,要求當(dāng)事人/部門負(fù)擔(dān)不低于30%或全部維修費(fèi)用。
3.因不備份文件或數(shù)據(jù)導(dǎo)致丟失影響工作的,給予責(zé)任人警告并處以200元/次的經(jīng)濟(jì)處罰。
4.計(jì)算機(jī)出現(xiàn)問(wèn)題不及時(shí)報(bào)告導(dǎo)致工作延誤的,給予責(zé)任人警告處分或最低50元/次的經(jīng)濟(jì)處罰。
5.因疏忽導(dǎo)致計(jì)算機(jī)病毒及其他危害計(jì)算機(jī)網(wǎng)絡(luò)安全的,給予當(dāng)事人警告處分或最低50元/次的經(jīng)濟(jì)處罰。
6.利用公司計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行與工作無(wú)關(guān)活動(dòng)的(如玩游戲、聊天等),給予當(dāng)事人警告處分并最低50元/次的經(jīng)濟(jì)處罰。
7.違規(guī)行為給公司造成損失情節(jié)嚴(yán)重的,公司將另行議處。特別嚴(yán)重的公司保留向責(zé)任人追究法律責(zé)任的權(quán)利。
xxxx年xx月
起草:審批:共印份共3頁(yè)
第四篇:非涉密計(jì)算機(jī)管理辦法v1.0
河南省電力公司
非涉密終端安全管理辦法
第一章 總則
第一條 為加強(qiáng)河南省電力公司計(jì)算機(jī)終端的保密管理工作,防止
泄密事件發(fā)生,維護(hù)網(wǎng)絡(luò)正常運(yùn)行,確保計(jì)算機(jī)信息系統(tǒng)的安全,制定本管理辦法。
第二條 管理制度的制定依據(jù):
《中華人民共和國(guó)保守國(guó)家秘密法》
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》
《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》 《國(guó)家保密局計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》
第三條 本規(guī)定所稱的非涉密計(jì)算機(jī)終端是指不用于采集、存儲(chǔ)、處理、傳遞、輸出國(guó)家秘密信息和企業(yè)內(nèi)部秘密信息的計(jì)算機(jī)終端,包括臺(tái)式計(jì)算機(jī)、筆記本計(jì)算機(jī)和掌上電腦等計(jì)算機(jī)終端設(shè)備。
第四條 國(guó)家秘密信息的范圍按照《中華人民共和國(guó)保守國(guó)家秘密
法》的規(guī)定進(jìn)行界定;企業(yè)內(nèi)部秘密信息是指河南省電力公司內(nèi)部的秘密信息,其范圍由河南省電力公司保密委員會(huì)根據(jù)河南省電力公司經(jīng)營(yíng)管理情況進(jìn)行界定(在《涉密終端安全管理辦法》中進(jìn)行詳細(xì)說(shuō)明)。
第五條 本辦法適用于河南省電力公司本部日常辦公的非涉密計(jì)算
機(jī)終端的管理。
第六條 非涉密計(jì)算機(jī)的用戶必須嚴(yán)格遵循本管理制度的有關(guān)規(guī)定
管理和使用非涉密計(jì)算機(jī)終端。
第七條 河南省電力公司保密委員會(huì)下設(shè)IT安全管理小組,專門負(fù)
責(zé)本公司范圍內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全管理工作。計(jì)算機(jī)終端用戶應(yīng)積極配合IT安全管理小組共同做好計(jì)算機(jī)信息系統(tǒng)安全管理工作。
第二章 購(gòu)置管理
第八條 河南省電力公司本部所有的非涉密計(jì)算機(jī)終端設(shè)備由科技
信息部負(fù)責(zé)統(tǒng)一購(gòu)置和管理。
第九條 各部門根據(jù)工作需要添置非涉密計(jì)算機(jī)終端設(shè)備的,根據(jù)
《河南省電力公司計(jì)算機(jī)管理辦法》的規(guī)定流程進(jìn)行申請(qǐng),批準(zhǔn)后由科技信息部統(tǒng)一購(gòu)置。
第十條 科技信息部負(fù)責(zé)對(duì)購(gòu)入的非涉密計(jì)算機(jī)設(shè)備進(jìn)行檢測(cè),安
裝系統(tǒng)、應(yīng)用軟件和防病毒軟件,并進(jìn)行計(jì)算機(jī)名、IP地址和網(wǎng)絡(luò)設(shè)置等的相應(yīng)配置。保證進(jìn)入公司的非涉密計(jì)算機(jī)終端設(shè)備符合相關(guān)安全保密的規(guī)定。
第三章 使用管理
第十一條 計(jì)算機(jī)終端的使用部門為計(jì)算機(jī)日常管理的責(zé)任部門,使
用人是計(jì)算機(jī)日常管理的第一責(zé)任人,對(duì)非涉密計(jì)算機(jī)終端設(shè)備出現(xiàn)的泄密和安全事故負(fù)首要責(zé)任。
第十二條 非涉密計(jì)算機(jī)終端配備到使用人后,使用人不得擅自更改
計(jì)算機(jī)名、IP地址和網(wǎng)絡(luò)設(shè)置等配置信息,不得私自接入其它線路訪問(wèn)國(guó)際互聯(lián)網(wǎng),否則管理部門有權(quán)收回設(shè)備并根據(jù)相關(guān)規(guī)定對(duì)使用人進(jìn)行處理。
第十三條 非涉密計(jì)算機(jī)終端的使用人,必須妥善保管好計(jì)算機(jī)系統(tǒng)
登陸的用戶名和密碼。密碼原則上3個(gè)月必需變更一次,密碼長(zhǎng)度不能小于8位。用戶名和密碼等信息不得告訴他人,否則由此造成的事故由使用人本人承擔(dān)全部責(zé)任。
第十四條 非涉密計(jì)算機(jī)設(shè)備中嚴(yán)禁處理涉密信息,包括涉密信息的臨時(shí)性或長(zhǎng)期性采集、存儲(chǔ)、處理、傳遞、輸出等。
第十五條 防病毒系統(tǒng)和防火墻
a)非涉密計(jì)算機(jī)終端配備前已安裝防病毒系統(tǒng),并開啟防火墻功能。任何部門或個(gè)人不得以任何理由或手段卸載或更換已安裝的防病毒系統(tǒng),不得關(guān)閉防火墻。
b)防病毒系統(tǒng)必須保證病毒代碼的實(shí)時(shí)更新,并定期對(duì)系統(tǒng)進(jìn)行全面查殺。發(fā)現(xiàn)染有計(jì)算機(jī)病毒的,應(yīng)采取措施加以消除,在未消除病毒之前,計(jì)算機(jī)終端不得投入使用。
c)在通過(guò)OA系統(tǒng)發(fā)送電子郵件和計(jì)算機(jī)終端間進(jìn)行文件拷貝操作前,必須對(duì)附件文件和拷貝文件進(jìn)行查殺。
d)任何單位或個(gè)人嚴(yán)禁故意制造、修改和傳播計(jì)算機(jī)病毒及木馬
程序。
第十六條 非涉密計(jì)算機(jī)終端必須開啟操作系統(tǒng)自動(dòng)更新功能,及時(shí)
進(jìn)行操作系統(tǒng)補(bǔ)丁升級(jí),減少計(jì)算機(jī)終端安全漏洞。
第十七條 訪問(wèn)國(guó)際互聯(lián)網(wǎng)
a)非涉密計(jì)算機(jī)原則上不允許訪問(wèn)國(guó)際互聯(lián)網(wǎng),確因工作需要的開通國(guó)際互聯(lián)網(wǎng)訪問(wèn)服務(wù)的,必須嚴(yán)格遵守國(guó)家有關(guān)法律、行政法規(guī),并嚴(yán)格執(zhí)行安全保密制度。
b)非涉密計(jì)算機(jī)不得訪問(wèn)與工作無(wú)關(guān)的互聯(lián)網(wǎng)站點(diǎn),非因工作需要不允許使用QQ、SKYPE、MSN等聊天軟件。
c)嚴(yán)禁將涉及敏感信息的公司內(nèi)部資料通過(guò)網(wǎng)絡(luò)或其他各種途徑向外傳播。
d)禁止在上網(wǎng)過(guò)程中下載安裝不明程序和ActiveX控件。
第十八條 非涉密計(jì)算機(jī)終端不得開啟文件夾共享功能,關(guān)閉不必要的服務(wù)和端口,禁用多余的帳號(hào)。
第十九條 非涉密計(jì)算機(jī)終端上禁止安裝未經(jīng)信息主管部門和使用部
門共同審查通過(guò)的外來(lái)軟件、與工作無(wú)關(guān)的游戲等軟件。第二十條 非涉密計(jì)算機(jī)終端不得外借公司本部之外的任何其它單位
和個(gè)人。
第二十一條 非涉密計(jì)算機(jī)終端中,工作人員因工作需要外出攜帶筆
記本計(jì)算機(jī)的,須由信息安全主管部門和工作人員所在部門對(duì)設(shè)備共同進(jìn)行保密審查,確保其中不存在涉密信息后,設(shè)備方可外出。
第二十二條 在非涉密計(jì)算機(jī)終端上使用移動(dòng)存儲(chǔ)介質(zhì)應(yīng)按照《河南
省電力公司移動(dòng)存儲(chǔ)介質(zhì)管理辦法》執(zhí)行。
第四章 維護(hù)管理
第二十三條 非涉密計(jì)算機(jī)終端的維修由科技信息部負(fù)責(zé)統(tǒng)一管理。
使用人員如發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異常,應(yīng)及時(shí)與科技信息部聯(lián)系。未經(jīng)科技信息部同意或授權(quán),任何部門或個(gè)人不得擅自對(duì)計(jì)算機(jī)進(jìn)行維修操作,包括調(diào)換設(shè)備、安裝私有或外來(lái)的零配件和設(shè)備等。
第二十四條 科技信息部對(duì)修復(fù)后的計(jì)算機(jī)終端,在檢查確認(rèn)無(wú)木馬
程序和病毒后,交付使用部門。
第二十五條 維修過(guò)程中出現(xiàn)的硬盤、內(nèi)存等損壞的存儲(chǔ)介質(zhì),由科
技信息部統(tǒng)一收回,并按照相關(guān)規(guī)定進(jìn)行處理。
第五章 報(bào)廢管理
第二十六條 各部門報(bào)廢的計(jì)算機(jī)終端設(shè)備必須統(tǒng)一繳回科技信息
部處理。
第二十七條 科技信息部負(fù)責(zé)對(duì)報(bào)廢的計(jì)算機(jī)終端設(shè)備進(jìn)行檢測(cè),對(duì)
經(jīng)檢測(cè)確不存在涉密信息的計(jì)算機(jī)按照管理規(guī)定進(jìn)行處理。
第二十八條 報(bào)廢的非涉密計(jì)算機(jī)終端設(shè)備中的存儲(chǔ)介質(zhì)按照相關(guān)
規(guī)定統(tǒng)一處理。
第六章 應(yīng)急處理
第二十九條 如在非涉密計(jì)算機(jī)設(shè)備的使用和維修過(guò)程中發(fā)現(xiàn)其中
存有涉密信息,需立即報(bào)河南省電力公司保密委員會(huì),并按照《涉密計(jì)算機(jī)終端安全管理辦法》進(jìn)行預(yù)先處理。
第七章 其它
第三十條 本辦法由河南省電力公司科技信息部制定,自發(fā)布之日起
執(zhí)行。
第三十一條 本辦法解釋權(quán)歸河南省電力公司科技信息部。
第五篇:非涉密計(jì)算機(jī)管理辦法v1.0
河南省電力公司
非涉密終端安全管理辦法
第一章 總則
第一條 為加強(qiáng)河南省電力公司計(jì)算機(jī)終端的保密管理工作,防止泄密事件發(fā)生,維護(hù)網(wǎng)絡(luò)正常運(yùn)行,確保計(jì)算機(jī)信息系統(tǒng)的安全,制定本管理辦法。
第二條 管理制度的制定依據(jù):
《中華人民共和國(guó)保守國(guó)家秘密法》
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》
《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》 《國(guó)家保密局計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》
第三條 本規(guī)定所稱的非涉密計(jì)算機(jī)終端是指不用于采集、存儲(chǔ)、處理、傳遞、輸出國(guó)家秘密信息和企業(yè)內(nèi)部秘密信息的計(jì)算機(jī)終端,包括臺(tái)式計(jì)算機(jī)、筆記本計(jì)算機(jī)和掌上電腦等計(jì)算機(jī)終端設(shè)備。
第四條 國(guó)家秘密信息的范圍按照《中華人民共和國(guó)保守國(guó)家秘密法》的規(guī)定進(jìn)行界定;企業(yè)內(nèi)部秘密信息是指河南省電力公司內(nèi)部的秘密信息,其范圍由河南省電力公司保密委員會(huì)根據(jù)河南省電力公司經(jīng)營(yíng)管理情況進(jìn)行界定(在《涉密終端安全管理辦法》中進(jìn)行詳細(xì)說(shuō)明)。第五條 本辦法適用于河南省電力公司本部日常辦公的非涉密計(jì)算機(jī)終端的管理。
第六條 非涉密計(jì)算機(jī)的用戶必須嚴(yán)格遵循本管理制度的有關(guān)規(guī)定管理和使用非涉密計(jì)算機(jī)終端。
第七條 河南省電力公司保密委員會(huì)下設(shè)IT安全管理小組,專門負(fù)責(zé)本公司范圍內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全管理工作。計(jì)算機(jī)終端用戶應(yīng)積極配合IT安全管理小組共同做好計(jì)算機(jī)信息系統(tǒng)安全管理工作。
第二章 購(gòu)置管理
第八條 河南省電力公司本部所有的非涉密計(jì)算機(jī)終端設(shè)備由科技信息部負(fù)責(zé)統(tǒng)一購(gòu)置和管理。
第九條 各部門根據(jù)工作需要添置非涉密計(jì)算機(jī)終端設(shè)備的,根據(jù)《河南省電力公司計(jì)算機(jī)管理辦法》的規(guī)定流程進(jìn)行申請(qǐng),批準(zhǔn)后由科技信息部統(tǒng)一購(gòu)置。
第十條 科技信息部負(fù)責(zé)對(duì)購(gòu)入的非涉密計(jì)算機(jī)設(shè)備進(jìn)行檢測(cè),安裝系統(tǒng)、應(yīng)用軟件和防病毒軟件,并進(jìn)行計(jì)算機(jī)名、IP地址和網(wǎng)絡(luò)設(shè)置等的相應(yīng)配置。保證進(jìn)入公司的非涉密計(jì)算機(jī)終端設(shè)備符合相關(guān)安全保密的規(guī)定。
第三章 使用管理
第十一條 計(jì)算機(jī)終端的使用部門為計(jì)算機(jī)日常管理的責(zé)任部門,使用人是計(jì)算機(jī)日常管理的第一責(zé)任人,對(duì)非涉密計(jì)算機(jī)終端設(shè)備出現(xiàn)的泄密和安全事故負(fù)首要責(zé)任。
第十二條 非涉密計(jì)算機(jī)終端配備到使用人后,使用人不得擅自更改計(jì)算機(jī)名、IP地址和網(wǎng)絡(luò)設(shè)置等配置信息,不得私自接入其它線路訪問(wèn)國(guó)際互聯(lián)網(wǎng),否則管理部門有權(quán)收回設(shè)備并根據(jù)相關(guān)規(guī)定對(duì)使用人進(jìn)行處理。
第十三條 非涉密計(jì)算機(jī)終端的使用人,必須妥善保管好計(jì)算機(jī)系統(tǒng)登陸的用戶名和密碼。密碼原則上3個(gè)月必需變更一次,密碼長(zhǎng)度不能小于8位。用戶名和密碼等信息不得告訴他人,否則由此造成的事故由使用人本人承擔(dān)全部責(zé)任。
第十四條 非涉密計(jì)算機(jī)設(shè)備中嚴(yán)禁處理涉密信息,包括涉密信息的臨時(shí)性或長(zhǎng)期性采集、存儲(chǔ)、處理、傳遞、輸出等。
第十五條 防病毒系統(tǒng)和防火墻
a)非涉密計(jì)算機(jī)終端配備前已安裝防病毒系統(tǒng),并開啟防火墻功能。任何部門或個(gè)人不得以任何理由或手段卸載或更換已安裝的防病毒系統(tǒng),不得關(guān)閉防火墻。
b)防病毒系統(tǒng)必須保證病毒代碼的實(shí)時(shí)更新,并定期對(duì)系統(tǒng)進(jìn)行全面查殺。發(fā)現(xiàn)染有計(jì)算機(jī)病毒的,應(yīng)采取措施加以消除,在未消除病毒之前,計(jì)算機(jī)終端不得投入使用。
c)在通過(guò)OA系統(tǒng)發(fā)送電子郵件和計(jì)算機(jī)終端間進(jìn)行文件拷貝操作前,必須對(duì)附件文件和拷貝文件進(jìn)行查殺。
d)任何單位或個(gè)人嚴(yán)禁故意制造、修改和傳播計(jì)算機(jī)病毒及木馬程序。
第十六條 非涉密計(jì)算機(jī)終端必須開啟操作系統(tǒng)自動(dòng)更新功能,及時(shí)進(jìn)行操作系統(tǒng)補(bǔ)丁升級(jí),減少計(jì)算機(jī)終端安全漏洞。
第十七條 訪問(wèn)國(guó)際互聯(lián)網(wǎng)
a)非涉密計(jì)算機(jī)原則上不允許訪問(wèn)國(guó)際互聯(lián)網(wǎng),確因工作需要的開通國(guó)際互聯(lián)網(wǎng)訪問(wèn)服務(wù)的,必須嚴(yán)格遵守國(guó)家有關(guān)法律、行政法規(guī),并嚴(yán)格執(zhí)行安全保密制度。
b)非涉密計(jì)算機(jī)不得訪問(wèn)與工作無(wú)關(guān)的互聯(lián)網(wǎng)站點(diǎn),非因工作需要不允許使用QQ、SKYPE、MSN等聊天軟件。
c)嚴(yán)禁將涉及敏感信息的公司內(nèi)部資料通過(guò)網(wǎng)絡(luò)或其他各種途徑向外傳播。
d)禁止在上網(wǎng)過(guò)程中下載安裝不明程序和ActiveX控件。第十八條 非涉密計(jì)算機(jī)終端不得開啟文件夾共享功能,關(guān)閉不必要的服務(wù)和端口,禁用多余的帳號(hào)。
第十九條 非涉密計(jì)算機(jī)終端上禁止安裝未經(jīng)信息主管部門和使用部門共同審查通過(guò)的外來(lái)軟件、與工作無(wú)關(guān)的游戲等軟件。
第二十條 非涉密計(jì)算機(jī)終端不得外借公司本部之外的任何其它單位和個(gè)人。
第二十一條 非涉密計(jì)算機(jī)終端中,工作人員因工作需要外出攜帶筆記本計(jì)算機(jī)的,須由信息安全主管部門和工作人員所在部門對(duì)設(shè)備共同進(jìn)行保密審查,確保其中不存在涉密信息后,設(shè)備方可外出。第二十二條 在非涉密計(jì)算機(jī)終端上使用移動(dòng)存儲(chǔ)介質(zhì)應(yīng)按照《河南省電力公司移動(dòng)存儲(chǔ)介質(zhì)管理辦法》執(zhí)行。
第四章 維護(hù)管理
第二十三條 非涉密計(jì)算機(jī)終端的維修由科技信息部負(fù)責(zé)統(tǒng)一管理。使用人員如發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異常,應(yīng)及時(shí)與科技信息部聯(lián)系。未經(jīng)科技信息部同意或授權(quán),任何部門或個(gè)人不得擅自對(duì)計(jì)算機(jī)進(jìn)行維修操作,包括調(diào)換設(shè)備、安裝私有或外來(lái)的零配件和設(shè)備等。
第二十四條 科技信息部對(duì)修復(fù)后的計(jì)算機(jī)終端,在檢查確認(rèn)無(wú)木馬程序和病毒后,交付使用部門。
第二十五條 維修過(guò)程中出現(xiàn)的硬盤、內(nèi)存等損壞的存儲(chǔ)介質(zhì),由科技信息部統(tǒng)一收回,并按照相關(guān)規(guī)定進(jìn)行處理。
第五章 報(bào)廢管理
第二十六條 各部門報(bào)廢的計(jì)算機(jī)終端設(shè)備必須統(tǒng)一繳回科技信息部處理。
第二十七條 科技信息部負(fù)責(zé)對(duì)報(bào)廢的計(jì)算機(jī)終端設(shè)備進(jìn)行檢測(cè),對(duì)經(jīng)檢測(cè)確不存在涉密信息的計(jì)算機(jī)按照管理規(guī)定進(jìn)行處理。
第二十八條 報(bào)廢的非涉密計(jì)算機(jī)終端設(shè)備中的存儲(chǔ)介質(zhì)按照相關(guān)規(guī)定統(tǒng)一處理。第六章 應(yīng)急處理
第二十九條 如在非涉密計(jì)算機(jī)設(shè)備的使用和維修過(guò)程中發(fā)現(xiàn)其中存有涉密信息,需立即報(bào)河南省電力公司保密委員會(huì),并按照《涉密計(jì)算機(jī)終端安全管理辦法》進(jìn)行預(yù)先處理。
第七章 其它
第三十條 本辦法由河南省電力公司科技信息部制定,自發(fā)布之日起執(zhí)行。
第三十一條 本辦法解釋權(quán)歸河南省電力公司科技信息部。
點(diǎn)擊咨詢 