第一篇：全省系統(tǒng)安全管理培訓心得體會

全省系統(tǒng)安全管理培訓心得體會

5月20日，本人參加了全省系統(tǒng)安全管理培訓。通過此次培訓，我更加深入認識到安全的重要性。平安無事的時候似乎不起眼，看上去好像與生產、效益沒什么關系，無關緊要，甚至可有可無。但在公司發(fā)展戰(zhàn)略上來看，安全工作可是與效益緊密相連的，甚至影響到公司未的來發(fā)展，不能以利用事、做表面文章。

目前，生產安全與個人聯(lián)系越來越密切，與公司保持穩(wěn)定發(fā)展和實現(xiàn)價值最大化的關系越來越密切。我們要切實加強安全工作管理，從細微入手，強化安全生產監(jiān)管，加強安全專項整治，落實安全防范措施，健全安全責任制，堅決查處各類安全事故隱患。建立健全各種突發(fā)事件應急機制，提高應急處理的能力。把事故預防措施做到位，不讓事故再牽著走，才是我們安全工作的本質，才能實現(xiàn)公司發(fā)展戰(zhàn)略目標。

談認識。安全無處不在，在生活中無時無刻都關系安全問題，現(xiàn)在整個社會都為了安全建立健全法律法規(guī)，如果連一個安全的生活環(huán)境都沒有，就更談不上怎么發(fā)展和壯大，談何社會的進步、人們的美好生活。作為煙草行業(yè)，我們要在思想上由“要我安全”轉變?yōu)椤拔乙踩钡乃枷胍庾R：一是人員安全，就是要不斷加強對員工的安全教育培訓工作，盡一切辦法提高員工的安全意識，只有從人員上養(yǎng)成良好的安全行為，就能夠控制和避免安全事故的發(fā)生，才能真正實現(xiàn)行業(yè)的安全運行；二是實現(xiàn)環(huán)境安全，就是通過員工在日常工作中要留意觀察，發(fā)現(xiàn)危害安全的行為及時給予制止，；三是實現(xiàn)管理安全，就是作為管理人員在安全管理上要以身作則，要有高度的責任心，對違反安全規(guī)定的人絕不能講情面，必須按規(guī)章制度嚴格處理，絕不手軟，要有在安全管理上“嚴就是愛，松就是害”的思想；只有這樣才能會實現(xiàn)本質上的安全運行。

增認識。安全工作要求全員參與，“安全就是效益”，這種觀點應根植于每個人(包括我自己)的心中。首先武裝好自己，熟知熟會各項操作規(guī)程安全制度，認真學習安全有關法律法規(guī)；其次養(yǎng)成良好的安全操作習慣；第三是勤于檢查，及時發(fā)現(xiàn)整改事故隱患。如果每位員工在每日的工作中相互監(jiān)督、相互提醒、相互檢查，查找漏洞和薄弱環(huán)節(jié)，防止不安全的因素存在，杜絕事故隱患，從小事做起，就能筑起安全大堤。無危則安，無損則全。安全就是人們在生活和生產過程中，生命得到保證，身體免于傷害，財產免于損失。

安全無小事，細節(jié)決定成敗，我們要從小事做起，從細節(jié)出發(fā)，堅持安全學習培訓，不斷提高員工安全意識，要安全、知安全、懂安全、會安全，自覺遵守安全法規(guī)，從“要我安全”的被動局面轉化為“我要安全、我會安全”的自覺行動。時刻繃緊安全這根弦，未雨綢繆，樹立“如履薄冰，如臨深淵”的憂患意識，才能實現(xiàn)以人為本，企業(yè)社會和諧發(fā)展的目標。

第二篇：電力系統(tǒng)安全管理和安全教育（推薦）

電力系統(tǒng)安全管理和安全教育

一、安全管理

1、重視培訓教育，提高員工安全素質

重視培訓教育，使職工掌握必備的技能和防范事故的基本知識，做到在自身工作范圍內不出事、少出事或者即使出了事也不致造成重大的損失和社會影響。

（1）舉辦多種安全知識宣傳活動。如安全教育室、講座、圖書展覽、廣告板報、播放錄相片和電影、安全知識競賽、家屬座談會等活動，向職工進行生動豐富的安全教育。舉辦大型學習班，都要講授安全知識。如省電力工業(yè)局舉辦的多期處級干部工商管理學習班、班組長學習班，都安排了安全知識講座。

（2）重視對職工的法制教育。領導者要樹立法制意識，正確處理安全與發(fā)展、安全與效益、安全與進度的關系，依法管理安全生產，禁止違章指揮和強令工人冒險作業(yè)。職工要牢固樹立規(guī)章制度觀念，自覺地、嚴格地執(zhí)行電業(yè)生產（建設）的各項規(guī)程制度，按規(guī)程規(guī)定的程序、工序、工藝要求做好本職工作。省電力工業(yè)局經常組織安全工作規(guī)程、事故調查規(guī)程、調度規(guī)程和“兩票三制”的學習考試。在重要的事故和事件中，強調引用和對照規(guī)程制度的條款進行分析，以推動職工學習和執(zhí)行規(guī)程的自覺性。

（3）加強專業(yè)培訓。專業(yè)的理論和實踐的培訓教育主要在電力院校和基層單位完成，省電力工業(yè)局只對關系全系統(tǒng)的“專業(yè)”組織專業(yè)人員進行培訓，達到推動和提高的目的。省電力工業(yè)局成立以來，在繼電保護和自動裝置、焊接、輸電和帶電作業(yè)、變電運行的培訓和開展考工定級等工作中都取得了良好的效果。通過長期堅持對職工的教育與培訓，逐步提高全系統(tǒng)員工的安全意識，加強了責任，提高了專業(yè)技術，總體安全素質得到提高，為系統(tǒng)的安全生產奠定了基礎。

2、突出重點抓安全

安全目標確定之后，突出安全工作的重點內容、重點對象、重點單位、重點設備、重點問題和重點措施。

重點對象是人，強調以人為本，強調人的責任心、安全意識和安全技能，注重教育與培訓。重點單位是依據(jù)他們在系統(tǒng)中的地位和影響而決定的。如大型水、火電廠和供電局、變電站。重點設備是依其在發(fā)供電生產過程和基建施工中所起的作用而決定，如火電廠的鍋爐、汽輪機、發(fā)電機，供電系統(tǒng)中的主變、主線路、主開關和主保護，施工企業(yè)的大型施工機具。

重點問題是指影響安全生產諸多因素的難點、弱點。如鍋爐四管爆漏、惡性誤操作、繼電保護中的“三誤”，高壓輸電線路的樹枝碰線。

重點措施是解決安全生產的特別對策，有思想的、行政的、組織的、技術的和經濟的措施，有的時候需要同時采用。

二、安全教育

新入廠（局、公司）的生產人員（含實習、代培人員），必須經廠（局、公司）、車間和班組三級安全教育，經《電業(yè)安全工作規(guī)程》考試合格后方可進入生產現(xiàn)場工作。

新上崗生產人員必須經過下列培訓，并經考試合格后上崗：運行、調度人員（含技術人員），必須經過現(xiàn)場規(guī)程制度的學習、現(xiàn)場見習和跟班實習，200MW及以上機組的主要崗位運行人員，還應經仿真機培訓； 檢修、試驗人員（含技術人員），必須經過檢修、試驗規(guī)程的學習和跟班實習；特種作業(yè)人員，必須經過國家規(guī)定的專業(yè)培訓，持證上崗。

在崗生產人員應定期進行有針對性的現(xiàn)場考問、反事故演習、技術問答、事故預想等現(xiàn)場培訓活動；離開運行崗位3個月及以上的值班人員，必須經過熟悉設備系統(tǒng)、熟悉運行方式的跟班實習，并經《電業(yè)安全工作規(guī)程》考試合格后，方可再上崗工作；生產人員調換崗位、所操作設備或技術條件發(fā)生變化，必須進行適應新崗位、新操作方法的安全技術教育和實際操作訓練，經考試合格后，方可上崗；200MW及以上機組主要崗位運行人員、地區(qū)（市）及以上供電企業(yè)調度部門的調度人員和220kV及以上變電站的值班人員，應創(chuàng)造條件進行仿真系統(tǒng)的培訓；所有生產人員必須熟練掌握觸電現(xiàn)場急救方法，所有職工必須掌握消防器材的使用方法。

新任命的各級生產領導人員，應經有關安全生產的方針、法規(guī)、規(guī)程制度和崗位安全職責的學習，由上級管理部門安排或組織考試。各級領導人員參加的生產培訓，應有安全方面的課程內容。

除了培訓，還有安全生產法規(guī)、規(guī)程制度的定期考試：國家電網公司對國家電網公司分公司、集團公司、省電力公司總經理、副總經理、正副總工程師、安全監(jiān)督部門負責人一般每三年進行一次有關安全生產法規(guī)的考試；國家電網公司分公司、集團公司、省電力公司對本企業(yè)生產、建設等部門的負責人和專業(yè)技術人員，對所屬生產性企業(yè)和調度部門的正副職領導、正副總工程師、安監(jiān)部門負責人，一般每兩年進行一次有關安全生產法規(guī)和規(guī)程制度的考試；生產性企業(yè)和調度部門對車間負責人、生產科室負責人及專業(yè)技術人員，每年進行一次有關安全生產規(guī)程制度的考試；生產性企業(yè)和調度部門對車間的運行、檢修、試驗人員以及特種作業(yè)人員，每年進行安全生產規(guī)程制度的考試。

國家電網公司分公司、集團公司、省電力公司及所屬生產性企業(yè)和調度部門應根據(jù)情況對一線人員的安全考試進行抽考，如抽考成績與定期考試成績差距較大，應重新進行考試，并通報批評。

生產性企業(yè)和調度部門每年應對工作票簽發(fā)人、工作負責人、工作許可人進行培訓，經考試合格后，以正式文件公布有資格擔任工作票簽發(fā)人、工作負責人、工作許可人的人員名單。

生產性企業(yè)應將安全生產規(guī)程制度的考試成績記入個人教育培訓檔案，考試不及格的應限期補考，合格后方可上崗。

對違反規(guī)程制度造成事故、一類障礙和嚴重未遂事故的責任者，除按有關規(guī)定處理外，還應責成其學習有關規(guī)程制度，并經考試合格后，方可上崗。

生產性企業(yè)應將企業(yè)內部及外部的典型事故案例編成教材，及時對有關人員進行教育。

生產性企業(yè)可運用安全錄像、幻燈、電視、計算機多媒體、廣播、板報、實物、圖片展覽，以及安全知識考試、演講、競賽等多種形式宣傳、普及安全技術知識，進行有針對性、形象化的培訓教育，提高職工的安全意識和自我防護能力。

生產性企業(yè)應設置安全教育室，用音像、實物等對職工進行安全教育。公司系統(tǒng)職業(yè)培訓應設安全技術專業(yè)課程。

第三篇：信息系統(tǒng)安全管理方案

信息系統(tǒng)安全管理方案

信息系統(tǒng)的安全，是指為信息系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，以保證系統(tǒng)連續(xù)正常運行。信息系統(tǒng)的安全方案是為發(fā)布、管理和保護敏感的信息資源而制定的一級法律、法規(guī)和措施的總和，是對信息資源使用、管理規(guī)則的正式描述，是院內所有人員都必須遵守的規(guī)則。信息系統(tǒng)的受到的安全威脅有：操作系統(tǒng)的不安全性、防火墻的不安全性、來自內部人員的安全威脅、缺乏有效的監(jiān)督機制和評估網絡系統(tǒng)的安全性手段、系統(tǒng)不能對病毒有效控制等。

一、機房設備的物理安全

硬件設備事故對信息系統(tǒng)危害極大，如電源事故引起的火災，機房通風散熱不好引起燒毀硬件等，嚴重的可使系統(tǒng)業(yè)務停頓，造成不可估量的損失；輕的也會使相應業(yè)務混亂，無法正常運轉。對系統(tǒng)的管理、看護不善，可使一些不法分子盜竊計算機及網絡硬件設備，從中牟利，使企業(yè)和國家財產遭受損失，還破壞了系統(tǒng)的正常運行。因此，信息系統(tǒng)安全首先要保證機房和硬件設備的安全。要制定嚴格的機房管理制度和保衛(wèi)制度，注意防火、防盜、防雷擊等突發(fā)事件和自然災害，采用隔離、防輻射措施實現(xiàn)系統(tǒng)安全運行。

二、管理制度

在制定安全策略的同時，要制定相關的信息與網絡安全的技術標

準與規(guī)范。技術標準著重從技術方面規(guī)定與規(guī)范實現(xiàn)安全策略的技術、機制與安全產品的功能指標要求。管理規(guī)范是從政策組織、人力與流程方面對安全策略的實施進行規(guī)劃。這些標準與規(guī)范是安全策略的技術保障與管理基礎，沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙。

要備好國家有關法規(guī)，如：《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》、《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》、《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定實施辦法》、《商用密碼管理條例》等，做到有據(jù)可查。同時，要制定信息系統(tǒng)及其環(huán)境安全管理的規(guī)則，規(guī)則應包含下列內容：

１、崗位職責：包括門衛(wèi)在內的值班制度與職責，管理人員和工程技術人員的職責；

２、信息系統(tǒng)的使用規(guī)則，包括各用戶的使用權限，建立與維護完整的網絡用戶數(shù)據(jù)庫，嚴格對系統(tǒng)日志進行管理，對公共機房實行精確到人、到機位的登記制度，實現(xiàn)對網絡客戶、ＩＰ地址、ＭＡＣ地址、服務帳號的精確管理；

３、軟件管理制度；

４、機房設備（包括電源、空調）管理制度；

５、網絡運行管理制度；

６、硬件維護制度；

７、軟件維護制度；

８、定期安全檢查與教育制度；

９、下屬單位入網行為規(guī)范和安全協(xié)議。

三、網絡安全

按照網絡ＯＳＩ七層模型，網絡系統(tǒng)的安全貫穿與整個七層模型。針對網絡系統(tǒng)實際運行的ＴＣＰ／ＩＰ協(xié)議，網絡安全貫穿于信息系統(tǒng)的以下層次：

１、物理層安全：主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）。

２、鏈路層安全：需要保證網絡鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分 ＶＬＡＮ、加密通訊（遠程網）等手段。

３、網絡層安全：需要保證網絡只給授權的用戶使用授權的服務，保證網絡路由正確，避免被攔截或監(jiān)聽。

４、操作系統(tǒng)安全：保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能夠對該操作系統(tǒng)的應用進行審計。

５、應用平臺安全：應用平臺之建立在網絡系統(tǒng)上的應用軟件服務器，如數(shù)據(jù)服務器、電子郵件服務器、ＷＥＢ服務器等。其安全通常采用多種技術（如ＳＳＬ等）來增強應用平臺的安全系統(tǒng)。

６、應用系統(tǒng)安全：使用應用平臺提供的安全服務來保證基本安全，如通過通訊雙方的認證、審計等手段。

系統(tǒng)安全體系應具備以下功能：建立對特等網段、服務的訪問控制體系；檢查安全漏洞；建立入侵性攻擊監(jiān)控體系；主動進行加密通

訊；建立良好的認證體系；進行良好的備份和恢復機制；進行多層防御，隱藏內部信息并建立安全監(jiān)控中心等。

網絡安全防范是每一個系統(tǒng)設計人員和管理人員的重要任務和職責。網絡應采用保種控制技術保證安全訪問而絕對禁止非法者進入，已經成為網絡建設及安全的重大決策問題。

明確網絡資源。事實上我們不能確定誰會來攻擊網絡系統(tǒng)，所以作為網絡管理員在制定安全策略之初應充分了解網絡結構，了解保護什么，需要什么樣的訪問以及如何協(xié)調所有的網絡資源和訪問。

第四篇：系統(tǒng)安全管理規(guī)定

全國國土資源信息網絡 系統(tǒng)安全管理規(guī)定（試行）

國土資源部信息中心

二〇〇二年

目錄

第一章 第二章 第三章 第四章 第五章 第六章 第七章

總則……………………………………………………3 物理安全管理…………………………………………3 網絡系統(tǒng)安全管理……………………………………5 信息安全管理…………………………………………7 口令管理………………………………………………9 人員組織管理………………………………10 附則…………………………………………12 1 全國國土資源信息網絡系統(tǒng)

安全管理規(guī)定

本規(guī)定由國土資源部信息中心提出。本規(guī)定由國土資源部歸口。

本規(guī)定起草單位：國土資源部信息中心。

本規(guī)定主要起草人：周俊杰、李曉波、劉志剛、葉興茂、祝孔強、咸容禹

本規(guī)范于2002年3月1日首次發(fā)布。本規(guī)范由國土資源部信息中心負責解釋。

第一章

總

則

第一條

為了保證全國國土資源信息網絡系統(tǒng)的安全，根據(jù)中華人民共和國有關計算機、網絡和信息安全的相關法律、法規(guī)和安全規(guī)定，結合全國國土資源信息網絡系統(tǒng)建設的實際情況，特制定本規(guī)定。

第二條

各單位應據(jù)此制訂具體的安全管理規(guī)定。

第三條

本規(guī)定所指的信息網絡系統(tǒng)，是指由計算機（包括相關和配套設備）為終端設備，利用計算機、通信、網絡等技術進行信息采集、處理、存儲和傳輸?shù)脑O備、技術、管理的組合。

第四條

本規(guī)定適用于國土資源部所屬的網絡系統(tǒng)、單機，以及下屬單位通過其他方式接入到國土資源部網絡系統(tǒng)的單機和局域網系統(tǒng)。

第五條

接入范圍。可以接入國土資源信息網絡系統(tǒng)的單位包括：國土資源部公務員辦公系統(tǒng)、部所屬在京直屬單位、各省、自治區(qū)、直轄市、計劃單列市的國土資源政府管理機構和國土資源部批準的其他單位。

第六條

信息網絡系統(tǒng)安全的含義是通過各種計算機、網絡、密碼技術和信息安全技術，在實現(xiàn)網絡系統(tǒng)安全的基礎上，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。

第二章

物理安全管理

第七條

物理安全是指保護計算機網絡設施以及其他媒體免遭地震、水災、火災等環(huán)境事故與人為操作失誤或錯誤，以及計算機犯罪行為而導致的破壞。

第八條

為了保障信息網絡系統(tǒng)的物理安全，對系統(tǒng)所在環(huán)境的安全保護，應遵守國家標準GB50173－93《電子計算機機房設計規(guī)范》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》。

第九條

網絡設備、設施應配備相應的安全保障措施，包括防盜、防毀、防電磁干擾等，并定期或不定期地進行檢查。

第十條

對重要網絡設備配備專用電源或電源保護設備，保證其正常運行。

第十一條

全國國土資源信息網絡系統(tǒng)所使用的鏈路必須符合國家相關的技術標準和規(guī)定。

第十二條

鏈路安全包括鏈路本身的物理安全和鏈路上所傳輸?shù)男畔⒌陌踩Ｎ锢戆踩告溌返奈锢斫橘|符合國家的技術標準，安裝架設符合國家相關建設規(guī)范，具有穩(wěn)定、安全、可靠的使用性。傳輸信息的安全是指傳輸不同密級信息的鏈路采用相應級別的密碼技術和設備或其他技術措施，保障所傳輸信息具有可靠的反截獲、反破譯和反篡改能力。

第十三條

鏈路安全主要采取密碼技術，用于傳輸涉及國家秘密的鏈路必須使用中辦機要局認可的密碼技術和設備。

第十四條

鏈路加密措施的申請遵照國家《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》執(zhí)行。

第十五條

涉密系統(tǒng)單位須依據(jù)國家的有關規(guī)定和法律法規(guī)建立保密管理制度。

第十六條

客戶機的物理安全管理

（一）客戶機指所有連接到國土資源部信息網絡系統(tǒng)的個人計算機、工作站、服務器、網絡打印機及各種終端設備；

（二）使用人員應愛護客戶機及與之相關的網絡連接設備（包括網卡、網線、集線器、調制解調器等），按規(guī)操作，不得對其實施 4 人為損壞；

（三）客戶機使用人員不得擅自更改網絡設置，杜絕一切影響網絡正常運行的行為發(fā)生；

（四）網絡中的終端計算機在使用完畢后應及時關閉計算機和電源；

（五）客戶機使用人員不得利用客戶機進行違法活動。第十七條

緊急情況

（一）火災發(fā)生。切斷電源，迅速報警，根據(jù)火情，選擇正確的滅火方式滅火；

（二）水災發(fā)生。切斷電源，迅速報告有關部門，盡可能地弄清水災原因，采取關閉閥門、排水、堵漏、防洪等措施；

（三）地震發(fā)生。切斷電源，避免引發(fā)短路和火災；

（四）密碼設備丟失。根據(jù)中辦的有關規(guī)定處理。

第三章

網絡系統(tǒng)安全管理

第十八條

網絡系統(tǒng)安全的內涵包括五個方面： 機密性：確保信息不暴露給未授權的實體或進程；

完整性：未經授權的人不能修改數(shù)據(jù)，只有得到允許的人才能修改數(shù)據(jù)，并且能夠分辨出被篡改的數(shù)據(jù)。

可用性：得到授權的實體在合法的范圍內可以隨時隨地訪問數(shù)據(jù)，網絡的攻擊者不能阻礙網絡資源的合法使用。

可控性：可以控制授權范圍內的信息流向和行為方式。可審查性：一旦出現(xiàn)安全問題，網絡系統(tǒng)可以提供調查的依據(jù)和手段。

第十九條

涉及國家機密、部門敏感信息的局域網的安全標準不得低于中華人民共和國國家標準《計算機信息系統(tǒng)安全保護等級劃分 5 準則》（GB 17859-1999）中規(guī)定的第二級－系統(tǒng)審計保護級。

第二十條

根據(jù)有關規(guī)定以及我國目前的安全技術水平，內部信息網絡系統(tǒng)與外部公共信息網絡系統(tǒng)必須物理隔離。

第二十一條

接入INTERNET公共信息網的重要信息網絡系統(tǒng)須安裝防火墻或其他安全設備。入網的安全設備必須具有國家保密局、公安部、中國國家信息安全測評認證中心的技術鑒定、銷售許可和產品評測等資質，并符合國家的相關規(guī)定。

第二十二條

網絡管理員應盡可能地改善網絡系統(tǒng)的安全策略設置，盡量減少安全漏洞。關閉不使用的服務，對不同級別的網絡用戶設置相應的資源訪問權限。重要網絡系統(tǒng)的安全配置應達到中華人民共和國國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859-1999）中規(guī)定的第二級－系統(tǒng)審計保護級以上。

第二十三條

網絡管理員應當做好系統(tǒng)記錄，定期檢查，發(fā)現(xiàn)問題，及時解決。

第二十四條

重要的信息網絡系統(tǒng)自運行開始必須作好備份與恢復等應急措施，一旦系統(tǒng)出現(xiàn)問題能夠及時恢復正常。網絡管理員負責網絡系統(tǒng)的備份與恢復的技術規(guī)劃、實施和操作，并作好詳細的記錄。

第二十五條

管理員應對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)中進行系統(tǒng)運行記錄（Log）和數(shù)據(jù)庫運行記錄（Data Base Log）的轉儲保存以備查。

第二十六條

重要大型數(shù)據(jù)庫必須運行于專門的服務器或工作站上，并異地備份。

第二十七條

網絡安全檢測。為使網絡長期保持較高的安全水平，網絡管理員應當用網絡安全檢測工具對網絡系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的安全漏洞。網絡管理員在系統(tǒng)檢測完成后，應編寫檢測報告，需詳細記敘檢測的對象、手段、結果、建議和實施 6 的補救措施與安全策略。檢測報告存入系統(tǒng)檔案。

第二十八條

網絡反病毒。病毒的危害性巨大，對系統(tǒng)和信息的破壞程度具有不可測性，計算機用戶和系統(tǒng)管理員應針對具體情況采取預防病毒技術、檢測病毒技術和殺毒技術。

第四章

信息安全管理

第二十九條

信息安全是指通過各種計算機、網絡和密碼技術，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。

（一）信息處理和傳輸系統(tǒng)的安全

系統(tǒng)管理員應對處理信息的系統(tǒng)進行詳細的安全檢查和定期維護，避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。

（二）信息內容的安全

側重于保護信息的機密性、完整性和真實性。系統(tǒng)管理員應對所負責系統(tǒng)的安全性進行評測，采取技術措施對所發(fā)現(xiàn)的漏洞進行補救，防止竊取、冒充信息等。

（三）信息傳播安全

要加強對信息的審查，防止和控制非法、有害的信息通過我部的信息網絡系統(tǒng)傳播，避免對國家利益、公共利益以及個人利益造成損害。

第三十條

國土資源部涉及國家秘密信息的安全工作實行首長負責制。國土資源部所屬單位涉及國家秘密信息的安全工作實行單位一把手負責制。

第三十一條

信息的內部管理

（一）各單位在向部網絡系統(tǒng)提交信息前要作好查毒、殺毒工 7 作，確保信息文件無毒上載；

（二）根據(jù)情況，采取網絡病毒監(jiān)測、查毒、殺毒等技術措施，提高網絡的整體抗病毒能力；

（三）各應用單位對本單位所負責的信息必須作好備份；

（四）各單位應對本單位的信息進行審查，各網站和欄目信息的負責單位必須對所發(fā)布信息制定審查制度，對信息來源的合法性，發(fā)布范圍，信息欄目維護的負責人等作出明確的規(guī)定。信息發(fā)布后還要隨時檢查信息的完整性、合法性；如發(fā)現(xiàn)被刪改，應及時報告辦公廳和信息中心；

（五）涉及國家秘密的信息的存儲、傳輸?shù)葢付▽Ｈ素撠煟栏癜凑諊矣嘘P保密的法律、法規(guī)執(zhí)行；

（六）涉及國家秘密的土地、礦產資源、海洋、測繪等信息，未經所屬單位安全主管負責人的批準不得在網絡上發(fā)布和明碼傳輸；

（七）個人計算機中的涉密文件不可設置為共享，個人電子郵件的收發(fā)要實行病毒查殺。

第三十二條

信息加密

（一）涉及國家秘密的信息，其電子文檔資料須加密存儲；

（二）涉及國家和部門利益的敏感信息的電子文檔資料應當加密存儲；

（三）涉及社會安定的敏感信息的電子文檔資料應當加密存儲；

（四）涉及國家秘密、國家與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關規(guī)定采用文件加密傳輸或鏈路傳輸加密。

第三十三條

任何單位和個人不得從事以下活動：

（一）利用信息網絡系統(tǒng)制作、傳播、復制有害信息；

（二）入侵他人計算機；

（三）未經允許使用他人在信息網絡系統(tǒng)中未公開的信息；

（四）未經授權對信息網絡系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應用程序）進行增加、修改、復制和刪除等；

（五）未經授權查閱他人郵件；

（六）盜用他人名義發(fā)送電子郵件；

（七）故意干擾網絡的暢通運行；

（八）從事其他危害信息網絡系統(tǒng)安全的活動。

第五章

口令管理

第三十四條

具有口令功能的計算機、網絡設備等系統(tǒng)處理國家秘密信息，必須使用口令對用戶的身份進行驗證和確認。對于重要網絡系統(tǒng)，使用單位要有專職或兼職系統(tǒng)保密員，負責日常的口令管理工作。

第三十五條

系統(tǒng)保密員負責給新增加的用戶分配初始口令；指導用戶正確使用口令；檢查用戶使用口令情況；幫助用戶開啟被鎖定的口令，對非法操作及時查明原因；解決口令使用過程中出現(xiàn)的問題；協(xié)助用戶保護國家秘密不受侵害；定期向主管領導和單位保密機構匯報口令使用情況和需要解決的問題。

第三十六條

定期更換口令。口令的最長使用時間不能超過半年，在涉密較多、人員復雜、保密條件較差的地方應盡可能縮短口令的使用時間。當口令使用期滿時，應更換新的口令。

第三十七條

系統(tǒng)保密員必須有能力更改口令。當口令使用期滿、被其他人知悉或認為口令不保密時，系統(tǒng)保密員可按照口令更改程序變換口令。口令更換操作應在保密條件下進行。

第三十八條

對口令數(shù)據(jù)庫的訪問和存取必須加以控制，以防止口令被非法修改或泄露。

當系統(tǒng)提供的訪問和存取控制機制不夠完善時或機制雖然完善，9 但可能出現(xiàn)系統(tǒng)轉儲等情況時，應對存儲的口令加密。

第三十九條

口令的密級與系統(tǒng)處理國家秘密信息的密級相同。根據(jù)《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》第十七條的規(guī)定，涉密系統(tǒng)的身份認證應當符合以下要求：

（一）口令應當由系統(tǒng)安全保密管理人員集中產生供用戶選用，并有口令更換記錄，不得由用戶產生；

（二）處理秘密級信息的系統(tǒng)口令長度不得少于六個字符，口令更換周期不得長于一個月；處理機密級信息的系統(tǒng)，口令長度不得少于八個字符，口令更換周期不得長于一周；處理絕密級信息的系統(tǒng)，應當采用一次性口令或生理特征等強認證措施；

（三）口令必須加密存儲，并且保證口令存放載體的物理安全；

（四）口令在網絡中必須加密傳輸。

第四十條

用戶應記住自己的口令，不應把它記載在不保密的媒介物上，嚴禁將口令貼在終端上。輸入的口令不應顯示在顯示終端上。

第六章

人員組織管理

第四十一條

安全的人員組織管理原則

網絡信息系統(tǒng)的安全管理的最根本核心是人員管理，提高安全意識，行于具體的安全技術工作中。為此，安全的人事組織管理主要基于以下三個原則。

（一）多人負責

每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，工作認真可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。

負責的安全活動范圍包括：

1.訪問控制使用證件的發(fā)放與回收；

2.信息處理系統(tǒng)使用的媒介發(fā)放與回收； 3.處理保密信息； 4.硬件和軟件的維護；

5.系統(tǒng)軟件的設計、實現(xiàn)和修改； 6.重要程序和數(shù)據(jù)的刪除和銷毀等。

（二）任期有限

任何人最好不要長期擔任與安全有關的職務，遵循任期有限原則，工作人員應不定期地循環(huán)任職，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。

（三）職責明確

在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統(tǒng)主管領導批準。

出于對安全的考慮，下面每組內的兩項信息處理工作應當盡可能分開。

1.系統(tǒng)管理與計算機編程； 2.機密資料的接收和傳送； 3.安全管理和系統(tǒng)管理； 4.訪問證件的管理與其它工作；

5.計算機操作與信息處理系統(tǒng)使用媒介的保管等。第四十二條 安全的人事組織管理的實現(xiàn)

信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應的規(guī)范。具體工作是：

（一）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級 ；

（二）根據(jù)確定的安全等級，確定安全管理的范圍；

（三）制訂相應的機房出入管理制度；

對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別登記 11 系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記和管理。

（四）制訂嚴格的操作規(guī)程；

操作規(guī)程要根據(jù)職責明確和多人負責的原則，各負其責，不能超越自己的管轄范圍；對工作調動和離職人員要及時調整相應的授權。

（五）制訂完備的系統(tǒng)維護制度；

對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。維護時要首先經主管部門批準，并有安全管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。

（六）制訂應急措施。

要制訂系統(tǒng)在緊急情況下，如何盡快恢復的應急措施，使損失減至最小。

第七章

附

則

第四十三條

本規(guī)定自正式頒布之日起實施。第四十四條

本規(guī)定由國土資源部信息中心負責解釋。第四十五條

本規(guī)定與國家有關法律、法規(guī)不一致的以國家法律、法規(guī)為準。

第五篇：信息系統(tǒng)安全管理規(guī)范

信息系統(tǒng)安全管理規(guī)范

1、目標

此文檔用于規(guī)范公司業(yè)務系統(tǒng)的安全管理，安全管理所達到的目標如下：

確保業(yè)務系統(tǒng)中所有數(shù)據(jù)及文件的有效保護，未經許可的用戶無法訪問數(shù)據(jù)。對用戶權限進行合理規(guī)劃，使系統(tǒng)在安全狀態(tài)下滿足工作的需求。

2、機房訪問控制

機房做為設備的集中地，對于進入有嚴格的要求。只有公司指定的系統(tǒng)管理員及數(shù)據(jù)庫管理員才有權限申請進入機房。系統(tǒng)管理員及數(shù)據(jù)庫管理員因工作需要進入機房前必須經過公司書面批準。嚴格遵守機房管理制度。

3、操作系統(tǒng)訪問控制

保護系統(tǒng)數(shù)據(jù)安全的第一道防線是保障網絡訪問的安全，不允許未經許可的 用戶進入到公司網絡中。第二道防線就是要控制存放數(shù)據(jù)及應用文件的主機系統(tǒng) 不能被未經許可的用戶直接訪問。為防止主機系統(tǒng)被不安全訪問，采取以下措施： 操作系統(tǒng)級的超級管理用戶口令、數(shù)據(jù)庫管理用戶口令、應用管理用戶口令 只能由系統(tǒng)管理員設定并經辦公室審核，１個月做一次修改，口令要向其他人員 保密。在應用系統(tǒng)實施階段，考慮到應用軟件提供商需要對自己的產品進行調試，可以在調試時將應用管理用戶口令暫時開放給應用軟件提供商； 調試一結束系統(tǒng) 管理員馬上更改口令。對口令設定必需滿足以下規(guī)范： 最多允許嘗試次數(shù) 口令最長有效期 口令的最大長度 口令的最小長度 5 30 天 不受限 6 口令的唯一性要求。

4、系統(tǒng)的安全控制

最近三次所更改的口令不能相同 通過口令控制及對象的安全控制實現(xiàn)。

5、數(shù)據(jù)庫訪問控制

為有效的保障業(yè)務數(shù)據(jù)的安全，采取以下措施：

數(shù)據(jù)庫內具有較高權限的管理用戶口令由辦公室數(shù)據(jù)庫管理員設定,并由辦公室審核，不能向其他人開放。口令必須１個月做一次修改。業(yè)務系統(tǒng)后臺數(shù)據(jù)庫對象創(chuàng)建用戶的口令由辦公室數(shù)據(jù)庫管理員設定，由辦公室審核。不能向其他人開放。口令必須 1 個月做一次修改。

對口令設定必需滿足以下規(guī)范：

口令最長有效期 口令的最大長度 口令的最小長度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根據(jù)操作需求，在數(shù)據(jù)庫中分別建立對業(yè)務數(shù)據(jù)只有“增、刪、改”權限的用戶；對業(yè)務數(shù)據(jù)只有“查詢”權限的用戶。不同的操作需求開

放不同權限的用 戶。除辦公室門的人員外，其他部門的任何人員均沒有權限從后臺數(shù)據(jù)庫直接進行數(shù)據(jù)的“增、刪、改”操作 對于業(yè)務必須的后臺 job 或批處理，必須由辦公室門人員執(zhí)行。

6、應用系統(tǒng)訪問控制

應用系統(tǒng)訪問依靠系統(tǒng)內部定義的操作用戶權限來控制,操作用戶權限控制到菜單一級，對于操作用戶的安全管理有如下規(guī)范：

所有應用級的操作用戶及初始口令統(tǒng)一由辦公室門設定，以個人郵件的形式分別發(fā)給各部門的操作人員。各部門操作人員在首次登錄時必須修改口令，口令必須１個月做一次修改。

對于口令設定必需滿足以下規(guī)范：

口令最長有效期 口令的最大長度口令的最小長度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人員不能將自己的用戶及口令隨意告訴他人所有使用者的認可都由系統(tǒng)管理員來逐一分配。必須由部門經理提交訪問權認可的申請表，然后由辦公室批準。當應用系統(tǒng)中需要加入新的使用者時，首先使用者需要填寫“權限申請表”。該申請表應該得到部門經理和辦公室的共同批準。之后，IT 系統(tǒng)管理員會幫助 應用系統(tǒng)的使用者開通賬戶，并建立相應的訪問等級和權限。當應用系統(tǒng)需要關閉某位使用者的賬戶時，首先該部門應該填寫“權限申請 表”，并得到部門經理和辦公室的共同批準。之后，IT 系統(tǒng)管理員會幫助應用系 統(tǒng)使用者關閉該賬戶。大多數(shù)的主文件都會與審查日志一起更新。使用者號碼、處理日期以及時間 將寫入日志，以備今后查詢之用。

7、個人義務

如果技術上可行，每一位使用者都應該通過一個唯一的使用者身份號碼來識別，該號碼設有密碼，并不得與任何人共享。使用者的身份號碼意味著不允許存在公共使用。然而，支持網關和服務器的設備是一個例外，例如：互聯(lián)網服務器等。只有得到 IT 經理的批準，才能使用這些公共使用身份號碼。使用者不得與他人共享密碼。如果已經告知了他人，那么使用者將對他人利 用密碼所做的任何行為的后果負責。若使用者懷疑他的密碼已經被泄露了，那么他應該盡快更換密碼。并應該在 第一時間向 IT 系統(tǒng)管理員匯報。3使用者不應該書面記錄下密碼，并放在別人可以輕易看到的地方。密碼不得設置成特定詞匯或其他能被輕易猜到的字詞。類似姓名、電話號碼、身份證號、生日等都是不合格的密碼。使用者不得向他人泄漏密碼。如果 IT 技術支持人員要求運用使用

者的號碼 訪問，則必須當著使用者的面登錄。如果使用者泄漏了密碼，則必須盡快更改密 碼。如果他們因誘騙而泄漏了密碼，則必須盡快向 IT 系統(tǒng)管理員匯報。如果使用者懷疑我們信息系統(tǒng)的安全性受到威脅，則必須盡快向 IT 系統(tǒng)管 理員匯報。使用者對他們自己輸入系統(tǒng)的數(shù)據(jù)的精確性負責，同時也對他們指示系統(tǒng)開發(fā)下載到我們系統(tǒng)上的數(shù)據(jù)的精確性負責。他們必須盡力保證數(shù)據(jù)的準確性。如 果發(fā)現(xiàn)錯誤，并且自己能夠修改的話，則應該將其改正。如果自己改正不了，則應該向他們的主管匯報。如果是在源文件發(fā)現(xiàn)數(shù)據(jù)錯誤，則應該盡快改正這些錯誤，而不是故意將這些錯誤輸入我們的電腦系統(tǒng)。使用者在離開終端機器或電腦以前必須下線，這一點應該強制執(zhí)行。如果是 在使用不帶下線功能的單機個人電腦，則必須在離開電腦前終止程序。只有當執(zhí) 行批處理任務時是例外。當使用者的工作職責有變動時，他的訪問權也應該作相應的變更。部門經 理應該及時遞交“權限申請表”以通知 IT 系統(tǒng)管理員。特別是在員工辭職的情 況下，他/她的部門經理以及人事部經理應該及時通知 IT 系統(tǒng)管理員，以保證在 最短的時間內撤銷他/她的系統(tǒng)訪問權。

8、局域網和廣域網安全

在可能的情況下，我們都應將端口轉換到使用者的個人電腦。如果沒有足夠的轉換，已轉換的端口將根據(jù)以下優(yōu)先等級來分配：

需要帶寬的使用者可以訪問機密數(shù)據(jù)的使用者職務等級，例如：公司領導優(yōu)先于管理員，管理員優(yōu)先于經理，依此類推。所有的訪問我們本地網絡的端口只有在部門經理指定授權使用者時才可以 開通。因此，在公共區(qū)域（例如：會議室）的訪問端口只能在使用時開通。4 交換機位于數(shù)據(jù)中心，對該中心的物理訪問應該控制。除了授權的 IT 支持人員以外，任何使用者都不得在公司辦公地點的個人電腦上安裝任何帶有數(shù)據(jù)包監(jiān)聽、端口或地址掃描功能的軟件。IP 地址只能由經授權的 IT 支持人員來分配。使用者不得自行分配他們的 IP 地址。所有的交換機、路由器、互聯(lián)網服務器以及防火墻都應該設置密碼，此密碼 不得為原廠密碼。交換機、路由器、互聯(lián)網服務器以及防火墻的所有不同等級的密碼都應該記 錄在案。IT 經理應該保留一個備份。所有服務器的管理員密碼和主管密碼都應該記錄在案。IT 經理應該保留一 個備份。對于交換機、路由器、網絡集線器以及服務器的結構等級的訪問應該只限授 權的 IT 支持人員。關于安全的信息以及通往網絡的網關的保護機制應該只有授權的 IT 支持人 員知道。所有的交換機和路由器都應該由非間斷電原提供至少 60 分鐘的電源供應。如可能，非間斷電源供應機應該輪流由一臺備用的發(fā)電機來充電。只有經授權的使用者才允許安裝和使用

網絡發(fā)明和監(jiān)控工具。