【精華】信息安全管理制度
在現實社會中,制度起到的作用越來越大,制度泛指以規則或運作模式,規范個體行動的一種社會結構。這些規則蘊含著社會的價值,其運行表彰著一個社會的秩序。擬定制度需要注意哪些問題呢?以下是小編為大家收集的信息安全管理制度,希望能夠幫助到大家。
信息安全管理制度1
質量是企業生命,質量信息則是維持企業生命的血液,質量信息工作是全面質量管理的重要組成部分。為保證我廠質量信息暢通和信息資源的有效利用,特制定本制度。
一、信息的管理機構
1、供銷科為企業質量信息的管理部門,負責全廠各種質量信息的收集,分析、反饋和處理工作。
2、各車間、各部門的質量信息工作由各單位指定專人負責,從而形成我們的質量信息管理網絡,確保我們質量信息的暢通。
二、質量信息管理
(一)質量信息管理的主要任務
1、全面、及時、準確地收集各種質量信息。
2、對質量信息進行比較,分析、加工、整理后按規定程序進行傳遞的反饋。
3、利用各種質量信息,準確地反映和預測影響產品質量的主要因素,供領導決策。
4、掌握用戶使用產品的.情況,收集國內外同類產品的質量水平和發展動態。
(二)質量信息的處理
1、供銷部門按照質量信息管理的規定填寫質量信息反饋表,匯總到質檢部門,對反饋信息進行調查核實,消除不真實部分,確保質量信息的準確性。為了做好這項工作,各部門應設立專職或兼職質量信息員,并建立質量信息臺帳。
2、質檢部分析質量信息后確定責任部門進廠處理,責任部門填寫信息記錄表,并將處理情況反饋給質檢部并結案備案。
3、為了促進質量信息的正常運運行和有效利用,對開展質量信息處理不當,耽誤信息傳遞的給予批評和處罰。
信息安全管理制度2
為了加強對酒店計算機網絡的安全保護,維護計算機網絡的正常運作,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規制定本制度。任何使用酒店計算機網絡的人員必須遵循此制度。
安全員制度
一、 設立專職或兼職計算機信息網絡安全員(以下簡稱安全員)。
二、 安全員主要負責酒店網絡(包含局域網、信息系統遠程接入網)的.系統安全性。
三、 安全員負責酒店網絡安全方面操作和知識的培訓。
四、 安全員負責系統數據的冗災備份工作。
五、 安全員確保系統日志保存完善并保留60天。
六、 對系統防病毒系統、防火墻和入侵檢測系統的定期升級。定期
對系統作安全檢測,及時發現安全漏洞予以消除,對檢測結果和漏洞消除情況有記錄。
七、 安全員應經常保持對最新技術的掌握,實時了解網絡信息安全
的動向,做到預防為主。
八、 安全員承擔對不良、有害信息上報、處置工作職責。
九、 安全員承擔本酒店制定的其他和公安機關交辦的相關網絡安全職責。
信息安全管理制度3
1.引言
本文檔旨在確保辦公網絡信息的安全,并提供相關措施以保護辦公網絡免受潛在的安全威脅。辦公網絡是公司內部傳輸和存儲敏感信息的關鍵基礎設施,因此必須采取適當的安全措施來保護其完整性、可用性和保密性。本文檔規定了辦公網絡信息安全管理制度,包括政策、責任和控制措施,旨在確保辦公網絡的安全運行。
2.辦公網絡信息安全政策
辦公網絡的信息安全政策是確保辦公網絡信息安全的基本準則。以下是辦公網絡信息安全的核心政策:
2.1安全意識培訓
所有使用辦公網絡的員工都應接受定期的安全意識培訓,了解關于網絡安全的基本知識、威脅和預防措施。此外,他們還應接受關于密碼管理、網絡釣魚和惡意軟件等方面的培訓,以提高他們對潛在威脅的識別能力。
2.2訪問權限管理
根據員工的職責和需要,給予適當的訪問權限。訪問權限必須根據需要進行審查和更新,并進行記錄,以確保只有授權人員能夠訪問和使用特定的信息資源。
2.3密碼策略
確定密碼策略以確保使用者密碼的復雜性和安全性。要求員工定期更改密碼,并禁止共享密碼或使用弱密碼。系統還應該實施賬號鎖定功能,以防止對賬號的暴力破解。
2.4更新和補丁管理
確保辦公網絡的操作系統、應用程序和安全工具始終處于最新的版本,以修復已知的安全漏洞。所有軟件應定期進行更新和安全補丁,并記錄在案。
2.5備份和恢復
定期對辦公網絡進行備份,并測試恢復過程,以確保備份的完整性和有效性。備份數據應存儲在安全的地方,以防止意外的數據丟失。
2.6安全審計與監控
建立安全審計和監控機制,以便能夠檢測到潛在的安全風險和威脅,并及時采取適當的措施進行應對。
3.辦公網絡信息安全的責任
辦公網絡信息安全的責任由不同的角色和職務承擔。以下是各個角色的安全責任:
3.1管理層
管理層應確保提供必要的資源和支持,以執行和維護辦公網絡信息安全管理制度。他們應促進安全意識培訓并監督整體安全方案的執行。
3.2 IT部門
IT部門應負責辦公網絡的安全管理和運維工作,包括網絡設備的配置和維護、安全補丁的安裝、防病毒軟件的`管理等。
3.3員工
所有使用辦公網絡的員工都有責任遵守相關的安全政策和規范,包括安全密碼的使用、防范網絡釣魚攻擊和惡意軟件的下載等。
4.辦公網絡信息安全控制措施
為了保護辦公網絡的安全,以下控制措施應被實施和維護:
4.1防火墻配置
通過配置防火墻規則,限制對辦公網絡的非授權訪問。防火墻應定期審計和更新,以適應不斷變化的安全需求。
4.2 網絡監控與入侵檢測
部署網絡監控工具,并實施入侵檢測系統,以及時發現網絡攻擊和異常活動。監控和檢測結果應定期審查并分析。
4.3權限管理與訪問控制
根據員工的職責和需要,分配適當的訪問權限,并確保權限的及時更新和審計。同時,配置文件和文件夾的權限,以確保只有授權人員才能訪問相關的敏感信息。
4.4安全補丁管理
確保及時安裝操作系統和應用程序的安全補丁,以修復已知的安全漏洞,并減少潛在的攻擊風險。
4.5強制密碼策略
實施強制的密碼策略,要求員工定期更改密碼,并采用復雜的密碼。此外,系統應限制嘗試登錄次數,并要求使用多因素身份驗證。
4.6數據備份與恢復
定期對辦公網絡的重要數據進行備份,并測試恢復過程,以確保備份的準確性和完整性。備份數據應存儲在安全的地方,以防止數據丟失。
5. 總結
辦公網絡信息安全是企業保護敏感信息和保護業務連續性的重要組成部分。本文檔提供了一系列的安全措施和政策,旨在確保辦公網絡的安全運行。每個員工都有責任遵守相關政策和規定,并積極參與安全意識培訓。通過共同努力,我們可以建立并維護一個安全可靠的辦公網絡環境。
信息安全管理制度4
一、一般規定
1、未經網管批準,任何人不得變更網絡(內部信息平臺)拓撲結構、網絡(內部信息平臺)設備布置、服務器、路由器配置和網絡(內部信息平臺)參數。
2、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據。
3、機關局域網上任何人不得利用計算機技術侵占用戶合法利益,不得制作、復制和傳播妨害單位穩定的有關信息。
4、各部門應定期對本科室計算機系統和相關業務數據進行備份以防發生故障時進行復原。
二、帳號管理
1、網絡(內部信息平臺)帳號采納分組管理。并具體登記:用戶姓名、部門名稱、口令,存取權限,開通時間,網絡(內部信息平臺)資源安排狀況等。
2、網絡(內部信息平臺)管理員為用戶設置明碼口令,用戶可以依據自己的保密狀況進行修改口令,用戶應對工作站設置開機密碼和屏保密碼。
3、用戶帳號下的數據屬于用戶私有數據,當事人具有存入權限,管理員具有管理和備份存取權限。
4、網絡(內部信息平臺)管理員依據有關帳號管理規則對用戶帳號執行管理,并對用戶帳號及數據的平安和保密負責。
5、網絡(內部信息平臺)管理員必需嚴守職業道德和職業紀律,不得將任何用戶的.密碼、帳號等保密信息等資料的泄露出去。
三、網絡管理員職責
1、幫助制定網絡(內部信息平臺)建設方案,確定網絡(內部信息平臺)平安及資源共享策略。
2、負責公用網絡(內部信息平臺)實體,如服務器、交換機、集線器、防火墻、網線、接插件等的維護和管理。
3、負責服務器和系統軟件的安裝、維護、調整及更新。
4、負責網絡(內部信息平臺)賬號管理,資源安排,數據平安和系統平安。
5、監視網絡(內部信息平臺)運行,調整參數,調度資源,保持網絡(內部信息平臺)平安、穩定、暢通。
6、負責系統備份和網絡(內部信息平臺)數據備份,負責各部門電子數據資料的整理和歸檔。
7、保管網絡(內部信息平臺)拓撲圖接線表,設備規格及配置單,管理記錄,運行記錄,檢修記錄等網絡(內部信息平臺)資料。
8、每年對本單位網絡(內部信息平臺)的效能和各電腦性能進行評價,提出網絡(內部信息平臺)結構、技術和網絡、管理的改進措施。
四、安全管理職責
1、保障網絡(內部信息平臺)暢通和信息安全。
2、嚴格遵守公司、省、市制定的相關法律、行政法規,嚴格執行《網絡安全工作制度》,以人為本,依法管理,確保網絡(內部信息平臺)平安有序。
3、在發生網絡(內部信息平臺)重大突發事務時,應馬上報告,實行應急措施,盡快復原網絡(內部信息平臺)正常運行。
4、充分利用現有的平安設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5、加強信息審查工作,保存,備份至少90天之內網絡信息日志,剛好加以分析,排查擔心定因素,防止黃色,反動信息的傳播。
6、常常檢查網絡(內部信息平臺)工作環境的防火、防盜工作。
五、電腦操作人員培訓制度五、病毒的防治管理制度
1、任何人不得在機關的局域網上制造傳播任何計算機病毒,不得有意引入病毒。網絡(內部信息平臺)運用者發覺病毒應馬上向網絡管理員報告。網絡管理員剛好指導和幫助處理病毒。
2、各部門應定期查毒,(周期為一周或者10天)管理員應剛好升級病毒庫,并提示各部門對殺毒軟件進行在線升級。
信息安全管理制度5
一、引言
隨著信息技術的高速發展和廣泛應用,企業面臨越來越多的信息安全風險。信息安全管理制度是保障企業信息安全的基礎性工作,對于確保企業信息資產的機密性、完整性和可用性至關重要。本文旨在提出一套完善的信息安全管理制度,確保企業在各個方面都能夠有效地保護信息安全。
二、信息安全政策制定
1. 信息安全政策的目標與原則
(1)確保信息安全:信息安全政策的最終目標是為了保護企業的核心信息資產,確保其機密性、完整性和可用性。
(2)全員參與:信息安全是全員責任,每個員工都要對企業信息安全負責。
(3)合規要求:信息安全政策要與國家法律法規以及相關行業標準相一致,并能滿足監管機構的審計要求。
2. 信息安全政策的制定流程
(1)需求調研:對企業現有信息安全狀況進行調研,分析需求和問題。
(2)制定草案:根據調研結果和需求分析,制定信息安全政策草案。
(3)征求意見:將信息安全政策草案發送給內部各部門和相關人員,征求意見。
(4)修訂和定稿:根據意見修訂、完善信息安全政策,最終確定。
三、信息安全組織架構與職責劃分
1. 信息安全部門設立
(1)信息安全部門的職責:負責組織和協調企業的信息安全管理工作,負責信息安全政策制定和執行,做好信息安全風險評估和應對工作。
(2)人員配備:信息安全部門應配備專業人員,包括信息安全經理、信息安全管理員、信息安全技術專家等。
2. 職責劃分
(1)信息安全經理:負責信息安全政策的制定和管理、安全事件的響應與處置。
(2)信息安全管理員:負責信息系統的安全運維和管理。
(3)信息安全技術專家:負責信息安全技術方案的設計和實施。
四、信息安全管理流程
1. 風險評估與管理
(1)風險評估的重要性:對企業現有信息系統、網絡設備和業務流程進行風險評估,及時發現潛在的信息安全風險。
(2)風險評估的步驟:制定風險評估計劃、進行風險識別和分析、制定風險評估報告。
2. 安全事件的`監測與響應
(1)安全事件的監測:建立監測系統,實時監測和分析網絡流量和日志,發現異常則及時進行響應。
(2)安全事件的響應:及時采取相應措施,恢復業務、調查事件原因、修復漏洞和防范措施。
3. 安全培訓與意識提升
(1)培訓計劃的制定:制定信息安全培訓計劃,包括定期培訓和專項培訓。
(2)員工安全意識:提高員工的信息安全意識,加強對社交工程和釣魚等攻擊的防范意識,保護企業信息資產。
五、信息安全管理制度的執行與監控
1. 信息安全檢查
(1)定期檢查:定期對企業的信息系統、網絡設備和業務流程進行安全檢查,發現問題及時解決。
(2)隨機抽查:對特定的信息系統、網絡設備和業務流程進行隨機抽查,發現問題則進行糾正和改進。
2. 審計與審查
(1)內部審計:定期進行內部審計,評估信息系統和網絡設備的安全性和合規性。
(2)外部審查:委托第三方機構進行外部審查,評估企業信息安全管理制度的有效性和合規性。
3. 事件記錄與報告
(1)事件記錄:對所有的安全事件進行記錄,包括事件的發生時間、類型、等級和后續處理情況。
(2)報告:定期向上級領導和相關部門報告信息安全事件的統計情況,并提出改進措施。 六、信息安全管理制度的改進
1. 改進機制
(1)內部反饋:鼓勵員工提出改進建議和意見,并及時反饋。
(2)持續改進:對信息安全管理制度進行持續改進和優化,及時調整和修訂。
2. 績效評估與考核
(1)績效評估:對信息安全管理的執行情況進行定期評估,形成評估報告。
(2)考核獎懲:根據評估結果,對信息安全管理執行情況進行獎懲,激勵和約束。
七、總結
信息安全管理制度是企業保護信息資產的重要手段,對于確保企業信息安全至關重要。本文提出了一套完善的信息安全管理制度需求,涵蓋了信息安全政策制定、信息安全組織架構、信息安全管理流程、信息安全管理制度的執行與監控等方面,希望可以對企業信息安全工作的開展提供參考。同時也需要企業根據自身的實際情況進行適度調整和完善,確保制度的可行性和有效性。
信息安全管理制度6
為保障學校網絡和信息健康、安全,根據《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》等國家法律、法規,特制定齊一小學信息安全管理條例。
總則
一、嚴格遵守國家有關涉及互聯網方面的法律法規;
二、堅決封堵互聯網上不良和有害信息的侵入;
三、積極配合公安機關的網絡信息安全部門檢查;
四、按照備案要求,及時備案學校在互聯網應用方面的變更信息;五、學校建立網絡信息安全領導小組和學校網絡信息保護小組,并報公安機關的網絡安全部門備案。
安全員制度
一、設立2人以上專職或兼職計算機信息網絡安全員;
二、安全員在學校信息技術部主任領導下,主要負責全校網絡系統的安全性;
三、安全員負責學校教師網絡安全知識和操作方面的培訓指導;
四、安全員確保系統日志保存并按規定保留60天以上;
五、安全員負責系統數據冗災備份工作;
六、安全員負責對防病毒系統、防火墻和入侵檢測系統定期升級;定期對系統進行安全檢測,及時發現安全漏洞予以消除,并對檢測和漏洞消除情況做好記錄;
七、安全員承擔對不良、有害信息上報、處置工作。
與公安機關聯系制度
一、建立與公安機關聯的長效機制,對網絡安全方面出現的問題和情況及時溝通;
二、網絡安全保護小組以及安全員保持通訊暢通,確保24小時聯系制度;
三、對學校信息安全涉及的`案件,應當在24小時內向當地公安機關報告;
安全教育和培訓
一、安全員定期接受公安機關和上級教育主管部門的安全培訓;
二、實時了解網絡信息安全的動向,不定期對學校聯網用戶(教師)進行關于最新系統漏洞修復和最新病毒預防等安全防范方面的培訓和學習;
三、適時對學校老師進行基本的網絡安全保護制度和具體方法的介紹,切實維護計算機聯網安全;
機房管理制度
一、對能夠進入網絡控制機房的人員設定要求,建立網絡控制機房準入制度;
二、嚴格執行對任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品的禁止要求;
三、操作密碼定期更改要求,超級用戶權限設定、機房管理員權限等等的權限設定;
四、建立《機房日志》,對各類軟硬件的添加、更換等進行登記;
五、各種主要數據的冗災備份要求;
六、對機房設置的消防器材等不定期進行檢查的要求,確保其有效性。
安全保護技術措施
一、對個人使用計算機設置系統密碼,并設置屏幕保護,加強保護個人使用計算機信息安全;
二、系統日志保存完善,參照《互聯網安全保護技術措施規定》,保存時間在60天以上;
三、對系統安全防范系統定期檢測、升級、漏洞修補,確保系統安全;
四、系統數據冗災備份;
五、定期巡視,確保信息安全、合法。
巡視上報制度
一、對于校園論壇、留言板、社區等,建立信息發布前的關鍵字或敏感詞匯的自動過濾功能;
二、對于電子郵件服務,建立垃圾郵件的自動過濾功能;
三、新聞時事、時政類欄目信息以及學校其他相關信息對外發布,必須建立信息發布前的審核制度;
四、以上通過相關管理措施發現的有害信息應完整留存,并指定專人定期上報公安機關網絡安全部門。
用戶登記制度
學校信息中心將對每位教師使用的計算機主機所對應IP地址,做好如實的登記工作,變動信息及時更新工作。
附則
本制度自即日起實施。制度一式三份,一份報公安機關網絡安全部門備案;一份報教育局信息中心備案;一份與學校信息技術部存檔保管備查。
信息安全管理制度7
一、為保障局內計算機信息系統安全,防止計算機網絡失密泄密事件發生,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合本局實際制定本局的安全保密制度。
二、為防止病毒造成嚴重后果,對外來光盤、軟件要嚴格管理,原則上不允許外來光盤、軟件在局內局域網計算機上使用。確因工作需要使用的,事先必須進行防(殺)毒處理,證實無病毒感染后,方可使用。
三、嚴格限制接入網絡的計算機設定為網絡共享或網絡共享文件,確因工作需要,要在做好安全防范措施的前提下設置,確保信息安全保密。
四、為防止黑客攻擊和網絡病毒的侵襲,接入網絡的計算機一律安裝殺毒軟件,及時更新系統補丁和定時對殺毒軟件進行升級,并安裝必要的局域網ARP攔截防火墻。
五、本局醞釀或規劃重大事項的材料,在保密期間,將有關涉密材料保存到非上網計算機上。
六、各科室禁止將涉密辦公計算機擅自聯接國際互聯網。
七、保密級別在秘密以下的材料可通過電子信箱、QQ或MSN傳遞和報送,嚴禁保密級別在秘密以上(含秘密)的材料通過電子信箱、QQ或MSN傳遞和報送。
一、崗位管理制度:
(一)計算機上網安全保密管理規定
1、未經批準涉密計算機一律不許上互聯網,如有特殊需求,必須事先提出申請報主管領導批準后方可實施,并安裝物理隔離卡,在相關工作完成后撤掉網絡。
2、要堅持“誰上網,誰負責”的原則,各科室科長負責嚴格審查上網機器資格工作,并報主管領導批準。
3、國際互聯網必須與涉密計算機系統實行物理隔離。
4、在與國際互聯網相連的信息設備上不得存儲、處理和傳輸任何涉密信息。
5、加強對上網人員的保密意識教育,提高上網人員保密觀念,增強防范意識,自覺執行保密規定。
(二)涉密存儲介質保密管理規定
1、涉密存儲介質是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等。
2、有涉密存儲介質的科室需妥善保管,且需填寫“涉密存儲介質登記表”。
3、存有涉密信息的存儲介質不得接入或安裝在非涉密計算機或低密級的計算機上,不得轉借他人,不得帶出工作區,下班后存放在本單位指定的柜中。
4、各科室負責管理其使用的各類涉密存儲介質,應當根據有關規定確定密級及保密期限,并視同紙制文件,按相應密級的文件進行分密級管理,嚴格借閱、使用、保管及銷毀制度。借閱、復制、傳遞和清退等必須嚴格履行手續,不能降低密級使用。
5、涉密存儲介質的`維修應保證信息不被泄露,需外送維修的要經主管領導批準,維修時要有涉密科室科長在場。
6、不再使用的涉密存儲介質應由使用者提出報告,由單位領導批準后,交主管領導監督專人負責定點銷毀。
二、人員管理制度及操作規程:
(一)計算機維修維護管理規定
1、涉密計算機系統進行維護檢修時,須保證所存儲的涉密信息不被泄露,對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。無法采取上述措施時,涉密科室科長必須在維修現場,對維修人員、維修對象、維修內容、維修前后狀況進行監督并做詳細記錄。
2、各涉密科室應將本科室設備的故障現象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。
3、凡需外送修理的涉密設備,必須經主管領導批準,并將涉密信息進行不可恢復性刪除處理后方可實施。
4、高密級設備調換到低密級單位使用,要進行降密處理,并做好相應的設備轉移和降密記錄。
5、由辦公室指定專人負責各涉密科室計算機軟件的安裝和設備的維護維修工作,嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。
6、涉密計算機的報廢交主管領導監督專人負責定點銷毀。
(二)用戶密碼安全保密管理規定
1、用戶密碼管理的范圍是指本局所有涉密計算機所使用的密碼。
2、機密級涉密計算機的密碼管理由涉密科室負責人負責,秘密級涉密計算機的密碼管理由使用人負責。
3、用戶密碼使用規定。
(1)密碼必須由數字、字符和特殊字符組成;
(2)秘密級計算機設置的密碼長度不能少于8個字符,密碼更換周期不得多于30天;
(3)機密級計算機設置的密碼長度不得少于10個字符,密碼更換周期不得超過7天;
4、密碼的保存。
(1)秘密級計算機設置的用戶密碼由使用人自行保存,嚴禁將自用密碼轉告他人;若工作需要必須轉告,應請示主管領導認可。
(2)機密級計算機設置的用戶密碼須登記造冊,并將密碼本存放于保密柜內,由科室主任、科長管理。
(三)涉密電子文件保密管理規定
1、涉密電子文件是指在計算機系統中生成、存儲、處理的機密、秘密和內部的文件、圖紙、程序、數據、聲像資料等。
2、電子文件的密級按其所屬項目的最高密級界定,其生成者應按密級界定要求標定其密級,并將文件存儲在相應的目錄下。
3、各用戶需在本人的計算機系統中創建“機密級文件”、“秘密級文件”、“內部文件”三個目錄,將系統中的電子文件分別存儲在相應的目錄中。
4、電子文件要有密級標識,電子文件的密級標識不能與文件的正文分離,一般標注于正文前面。
5、電子文件必須定期、完整、真實、準確地存儲到不可更改的介質上,并集中保存,然后從計算機上徹底刪除。
6、各涉密科室自用信息資料要定期做好備份,備份介質必須標明備份日期、備份內容以及相應密級,嚴格控制知悉此備份的人數,做好登記后進保密柜保存。
7、各科室要對備份電子文件進行規范的登記管理。備份可采用磁盤、光盤、移動硬盤、U盤等存儲介質。
8、涉密文件和資料的備份應嚴加控制。未經許可嚴禁私自復制、轉儲和借閱。對存儲涉密信息的磁介質應當根據有關規定確定密級及保密期限,并視同紙制文件,分密級管理,嚴格借閱、使用、保管及銷毀制度。
9、備份文件和資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施,并進行異地備份。
(四)涉密計算機系統病毒防治管理規定
1、涉密計算機必須安裝經過國家安全保密部門許可的查、殺病毒軟件。
2、每周升級和查、殺計算機病毒軟件的病毒樣本。確保病毒樣本始終處于最新版本。
3、絕對禁止涉密計算機在線升級防病毒軟件病毒庫,同時對離線升級包的來源進行登記。
4、每周對涉密計算機病毒進行一次查殺檢查。
5、涉密計算機應限制信息入口,如軟盤、光盤、U盤、移動硬盤等的使用。
6、對必須使用的外來介質(磁盤、光盤,U盤、移動硬盤等),必須先進行計算機病毒的查、殺處理,然后才可使用。
7、對于因未經許可而擅自使用外來介質導致嚴重后果的,要嚴格追究相關人員的責任。
(五)上網發布信息保密規定
1、上網信息的保密管理堅持“誰發布誰負責”的原則。凡向國際聯網或本單位的網站提供或發布信息,必須經過保密審查批準,報主管領導審批。提供信息的單位應當按照一定的工作程序,健全信息保密審批制度。
2、凡以提供網上信息服務為目的而采集的信息,除在其它新聞媒體上已公開發表的,組織者在上網發布前,應當征得提供信息單位的同意。凡對網上信息進行擴充或更新,應當認真執行信息保密審核制度。
3、涉密人員在其它場所上國際互聯網時,要提高保密意識,不得在聊天室、電子公告系統、網絡新聞上發布、談論和傳播國家秘密信息。
4、使用電子函件進行網上信息交流,應當遵守國家保密規定,不得利用電子函件傳遞、轉發或抄送國家秘密信息。
信息安全管理制度8
一、遵守保密規定,嚴格控制不應公開的檔案信息。
二、保存檔案數據信息的計算機不得與公共信息網絡聯接,確需聯接時,必須通過安全保密審查。
三、加強對檔案信息網絡傳輸的管理,確保網絡和使用過程的信息安全。
四、確定專人負責計算機系統的`管理工作,并設置計算機操作系統用戶口令。
五、計算機系統必須安裝防病毒卡或反病毒軟件并及時更新版本,做好防病毒工作。
六、保存檔案數據的計算機外送修理時,應將有關數據的內容清空、刪除或將硬盤摘除,并做好計算機修理情況登記。
七、應采取有效措施,保證檔案數據庫和檔案數據安全。所有數據至少復制兩套,并異地保存。
八、信息載體(如硬盤等)損壞,必須拆除后放入待鑒定室專門保存。
九、磁性載體每滿2年、光盤每滿4年應進行一次抽樣機讀檢驗,抽樣率不低于10%,如發現問題應及時采取恢復措施。
十、具有永久保存價值的文本和圖形形式的電子文件,必須同時制成紙質文件或縮微品等拷貝件一并歸檔保存。
十一、應加強對歸檔電子文件鑒定銷毀的管理。對于屬于保密范圍的歸檔電子文件,連同存儲載體一起銷毀,并在網絡上徹底刪除;對于不屬于保密范圍的歸檔電子文件進行邏輯刪除。
十二、以上各條請本單位全體干部職工互相監督,共同遵守。對違反本制度的,按國家有關規定處理。
信息安全管理制度9
一、信息系統平安包括:軟件平安和硬件網絡平安兩部分。
二、網絡信息辦公室人員必需實行有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對系統用戶的訪問模塊、訪問權限由運用單位負責人提出,交信息化領導小組核準后,由網絡信息辦公室人員賜予配置并存檔,以后變更必需報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟識并嚴格監督數據庫運用權限、用戶密碼運用狀況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室負責人監督檢查更換新的密碼;廠方調試人員調試維護完成后一小時內,由系統管理員關閉或修改其所用帳號和密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,剛好對故障進行有效隔離、解除和復原工作,以防災難性網絡風暴發生。
六、網絡系統全部設備的配置、安裝、調試必需由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必需嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。
八、嚴禁自行安裝軟件,特殊是嬉戲軟件,禁止在工作用電腦上打嬉戲。
九、全部進入網絡的'軟盤、光盤、U盤等其他存貯介質,必需經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質肯定禁止上網運用,對造成“病毒”擴散的有關人員,將比照《計算機信息系統懲罰條例》進行相應的經濟和行政懲罰。
十、在醫院還沒有有效解決網絡平安(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的狀況下,內外網獨立運行,全部終端內外網不能混接,嚴禁外網用戶通過U盤等存貯介質拷貝文件到內網終端。
十一、內網用戶全部文件傳遞,不得利用軟盤、光盤和U盤等存貯介質進行拷貝。
十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
信息安全管理制度10
一、中小學校園網是學校現代化發展重要組成部份,是學校數字化教育資源中心、信息發布交流技術平臺,是全面實施素質教育和新課程改革的重要場所,務必高度重視、規范管理、發揮效益。
二、中小學校園網要按照教育部《中小學校園網建設指導意見》設計和建設,裝備調溫、調濕、穩壓、接地、防雷、防火、防盜等設備。
三、中小學校園網涉及網絡技術設備管理與維護、網絡線路管理與維護,終端用戶管理與監控,教育資源管理與開發、網絡信息管理與安全、教學管理與效益等技術性強、安全性要求高的具體業務工作,務必設置管理機構,校級領導主管,配置精通計算機及網絡技術、電子維修技術,具備教師職業道德、熱愛本職工作的專業技術人員從事管理工作。
四、中小學校園網是學校的公共基礎設施和固定資產,未經學校批準,任何部門和個人不得隨意拆卸或改動布線結構;不得移動或改動網絡設備位置;不得干擾、破壞網絡正常運行。所有設備、成套軟件納入固定資產規范管理。
五、校園網所有用戶應以實名字注冊,對自己所發布信息負全責,接受上級部門與公安部門依法監督檢查。不得盜用他人賬號,不得在校園網上發布不健康、非法信息,不得散布計算機病毒、傳播黑客程序、濫用網絡游戲。學生用戶要嚴格遵守《全國青少年網絡文明公約》。
六、網絡中心應全天24小時開機,設備和線路出現故障,應及時維修處理,確保網絡設備安全運轉。
七、嚴禁在辦公時間內上網聊天、玩游戲、觀看與工作無關的視頻信息。
八、非中心機房工作人員不得隨意進入中心機房,不得以任何方式試圖登陸校園網后臺管理端,不得對服務器等設備進行修改、設置、刪除等操作。
九、管理人員應監視并記錄服務器系統運行情況,隨時屏蔽有害網頁,出現異常情況應根據需要立即關閉服務器系統,及時處理。出現危急情況,應立即報告學校領導和相關主管部門。監視電壓、電流、濕溫度等環境條件;監視運行的作業和信息傳輸情況;填寫中心機房工作日志。
十、為了確保中心機房的安全,應逐步實現網管人員對服務器的遠程操作。定期更換服務器口令;工作人員不得隨意泄漏口令。不得將系統特權授予普通用戶,不得隨意轉給他人;對過期用戶應及時收回所授予的.權力。
十一、學校重要數據不得外泄,重要數據的輸入及修改應按權限、由專人完成,并作加密處理。
十二、收集整理網管中心技術檔案。妥善保存備份資源。打印涉密資料應按權限保存,廢棄資料應及時銷毀。
十三、網管人員在工作時,應嚴格遵守安全規程,實行安全巡查值班制度,嚴防漏電、著火、雷擊、被盜、磁化、系統崩潰、病毒攻擊、黑客入侵等不安全事故發生。危險品及可燃品不得帶入機房。
十四、中心機房不會客、不做與網絡安全運行與維護無關的事情。機房的設備與軟件不隨意外借。
信息安全管理制度11
1.安全管理制度要求
1.1總則:為了切實有效的保證公司信息安全,提高信息系統為公司生產經營的服務能力,特制定交互式信息安全管理制度,設定管理部門及專業管理人員對公司整體信息安全進行管理,以確保網絡與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應包括:
a)安全崗位管理制度;
b)系統操作權限管理;
c)安全培訓制度;
d)用戶管理制度;
e)新服務、新功能安全評估;
f)用戶投訴舉報處理;
g)信息發布審核、合法資質查驗和公共信息巡查;
h)個人電子信息安全保護;
i)安全事件的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批文件。
1.1.2安全管理制度應經過管理層批準,并向所有員工宣貫
2.機構要求
2.1法律責任
2.1.1互聯網交互式服務提供者應是一個能夠承擔法律責任的組織或個人。
2.1.2互聯網交互式服務提供者從事的信息服務有行政許可的應取得相應許可。 3.人員安全管理
3.1安全崗位管理制度
建立安全崗位管理制度,明確主辦人、主要負責人、安全責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規、道德規范和對應的業務要求來執行,包括:1.個人身份核查:2.個人履歷的核查:
3.學歷、學位、專業資質證明:
4.從事關鍵崗位所必須的能力
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3安全培訓
建立安全培訓制度,定期對所有工作人員進行信息安全培訓,提高全員的信息安全意識,包括:
1.上崗前的培訓;
2.安全制度及其修訂后的培訓;
3.法律、法規的發展保持同步的繼續培訓。
應嚴格規范人員離崗過程:
a)及時終止離崗員工的所有訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)配合公安機關工作的人員變動應通報公安機關。 3.4人員離崗
應嚴格規范人員離崗過程:
a)及時終止離崗員工的所有訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)配合公安機關工作的人員變動應通報公安機關。
4.訪問控制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問權限管理制度。
4.2權限分配
按以下原則根據人員職責分配不同的訪問權限:
a)角色分離,如訪問請求、訪問授權、訪問管理;
b )滿足工作需要的最小權限;
c)未經明確允許,則一律禁止。
4.3特殊權限限制和控制特殊訪問權限的分配和使用:
a)標識出每個系統或程序的特殊權限;
b)按照“按需使用”、“一事一議”的'原則分配特殊權限;
c)記錄特殊權限的授權與使用過程;
d)特殊訪問權限的分配需要管理層的批準。
注:特殊權限是系統超級用戶、數據庫管理等系統管理權限。
4.4權限的檢查
定期對訪問權限進行檢查,對特殊訪問權限的授權情況應在更頻繁的時間間隔內進行檢查,如發現不恰當的權限設置,應及時予以調整。
5網絡與主機系統的安全
5.1 網絡與主機系統的安全
應維護使用的網絡與主機系統的安全,包括:
a)實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施;
b)實施7×24h網絡入侵行為的預防、檢測與響應措施;
c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的恢復措施;
d)對系統的脆弱性進行評估,并采取適當的措施處理相關的風險。注:系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。
5.2備份5.2.1
應建立備份策略,有足夠的備份設施,確保必要的信息和軟件在災難或介質故障時可以恢復。
5.2.2 網絡基礎服務(登錄、消息發布等)應具備容災能力。
5.3安全審計
5.3.1應記錄用戶活動、異常情況、故障和安全事件的日志。
5.3.2審計日志內容應包括:
a)用戶注冊相關信息,包括:
1)用戶唯一標識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4 )注冊時間、IP地址及端口號;
5)電子郵箱地址和于機號碼;
6 )用戶備注信息;7 )用戶其他信息。
b )群組、頻道相關信息,包括:
1)創建時間、創建人、創建人IP地址及端口號;
2 )刪除時間、刪除人、刪除人IP地址及端口號;
3 )群組組織結構;
4 )群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標識;2 )登錄時間;3 )退出時間;4 ) IP地址及端口號。
d )用戶信息發布日志,包括:1)用戶唯一標識;2 )信息標識;3)信息發布時間;4 ) IP地址及端口號;5 )信息標題或摘要,包括圖片摘要 。
e)用戶行為,包括:1 )進出群組或頻道;2 )修改、刪除所發信息;3 )上傳、下載文件。
5.3.3應確保審計日志內容的可溯源性,即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡聊天等網絡消息服務提供者應能防范偽造、隱匿發送者真實標記的消息的措施;涉及地址轉換技術的服務,如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息;涉及短網址服務的,應審計原始URL與短UR L之間的映射關系。
5.3.4應保護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。
5.3.5應能夠根據公安機關要求留存具備指定信息訪問日志的留存功能。
審計日志保存周期
a )應永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄聊天室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;
b)系統維護日志信息保存12個月以上;
c)應留存用戶日志信息12個月以上;
d )對用戶發布的信息內容保存6個月以上;
e)已下線的系統的日志保存周期也應符合以上規定。
6應用安全
6.1用戶管理
6.1.1向用戶宣傳法律法規,應在用戶注冊時,與用戶簽訂服務協議,告知相關權利義務及需承擔的法律責任。
6.1.2建立用戶管理制度,包括:
a )用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:1)身份證與姓名實名驗證服務:2)有效的銀行卡:3)合法、有效的數字證書:4)已確認真實身份的網絡服務的注冊用戶:5)經電信運營商接入實名認證的用戶。(如某網站采用已經實名認證的第三方賬號登陸,可認為該網站的用戶已進行有效核驗。)
b )應對用戶注冊的賬號、頭像和備注等信息進行審核,禁止使用違反法律法規和社會道德的內容:
c )建立用戶黑名單制度,對網站自行發現以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。
6.1.3當用戶利用互聯網從事的服務需要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:a )核對行政許可文件:b )通過行政許可主管部門的公開信息: c )通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防范和處置
6.2.1公司采取管理與技術措施,及時發現和停止違法有害信息發布。
6.2.2公司采用人工或自動化方式,對發布的信息逐條審核。
采取技術措施過濾違法有害信息,包括且不限于:a )基于關鍵詞的文字信息屏蔽過濾;b)基于樣本數據特征值的文件屏蔽過濾;c)基于URL的屏蔽過濾。
6.2.3應采取技術措施對違法有害信息的來源實施控制,防止繼續傳播。
注:違法有害信息來源控制技術措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發布來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。
6.2.4公司建立7*24h信息巡查制度,及時發現并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調差配合制度,包括:
a)對發現的違法有害信息,立即停止發布傳輸,保留相關證據(包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄),并向屬地公安機關報告
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關報告,同時配合公安機關做好調查取證工作
6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個環節應能再5min之內刪除,相關的屏蔽過濾措施應在10min內生效。 6.3破壞性程序防范
6.3.1實施破壞性程序的發現和停止發布措施、并保留發現的破壞性程序的相關證據。
6.3.2對軟件下載服務提供者(包括應用軟件商店),檢查用戶發布的軟件是否是計算機病毒等惡意代碼。
7個人電子信息保護
7.1.1制定明確、清楚的個人電子信息處置規則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務協議中明示收集與使用個人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫療網站僅收集為實現正當商業目的和提供網絡服務所必需的個人信息;收集個人電子信息時,取得用戶的明確授權同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,并取得用戶明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子信息處理時,應告知用戶,并取得其同意。
7.2技術措施
公司建立覆蓋個人電子信息處理的各個環節的安全保護制度和技術措施,防止個人電子信息泄露、損毀、丟失,包括:
a )采用加密方式保存用戶密碼等重要信息
b )審計內部員工對涉及個人電子信息的所有操作,并對審計進行分析,預防內部員工故意泄露
c )審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據
d )建立程序來控制對涉及個人電子信息的系統和服務的訪問權的分配。這些程序涵蓋用戶訪問生存周期內的各個階段,從新用戶初始注冊到不再需要訪問信息系統和服務的用戶的最終撤銷
e )系統的安全保障技術措施覆蓋個人電子信息處理的各個環節,防止網絡違法犯罪活動竊取信息,降低個人電子信息泄露的風險
7.3個人信息泄露事件的處理
a)當發現個人電子信息泄露時間后,應:
b )立即采取補救措施,防止信息繼續泄露
c )24小時內告知用戶,根據用戶初始注冊信息重新激活賬戶,避免造成更大的損失立即告屬地公安機關
8安全事件管理
8.1安全時間管理制度
8.1.1建立安全事件的監測、報告和應急處置制度,確保快速有效和有序地響應安全事件.
8.1.2安全事件包括違法有害信息、危害計算機信息系統安全的異常情況及突發公共事件。
8.2應急預案
制定安全事件應急處置預案,向屬地公安機關寶貝,并定期開展應急演練。
8.3突發公共事件處理
突發公共事件分為四級:I級(特別重大)、II級(重大)、III級(較大)、IV級(一般),互聯網交互式服務提供者應建立相應處置機制,當突發公共事件發生后,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% -80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%-50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術接口
公司網站所設技術接口為公安機關提供的符合國家及公共安全行業標準的技術接口,能確保實時,有效地提供相關證據。
信息安全管理制度12
本制度系列所管轄醫院信息包括醫院在運行管理中涉及到的基本信息(人、財、物)、運行信息(各類業務工作與質量安全管理資料數據)和管理信息(投資發展、人力資源開發與利用、發展戰略研究),統稱為“醫院信息”。依據《中華人民共和國保密法》、《醫療質量管理辦法》,制定此制度系列。
一、醫院數據、資料信息安全管理制度
醫院內部的數據、資料信息安全管理尤為重要,如涉及全院的工作統計數據、質量與安全評價分析相關的數據、與醫療糾紛有關的信息、醫院管理與建設重大決策信息、醫院經濟管理相關的信息等,院領導認為不宜通過“三重一大”公示的信息,均屬于保密信息,必須實行安全管理,規定如下:
(一)任何人未經院領導批準,不得在公眾場合、公共媒體發布醫院涉密信息。
(二)醫院各職能部門和業務科室,對自身所涉密的醫院信息,有保密的義務和責任。
(三)不屬于分管職能內的涉密信息,不得向其他部門和個人打探。
(四)任何員工不得以謀利為目的,散布、出賣、交換醫院涉密信息。
(五)任何員工不得以泄私憤、圖報復,散布和出賣醫院涉密信息。違反以上各條,醫院有權追究泄密人的相應責任。
二、醫院網絡系統安全管理制度
(一)為了保證醫院網絡的正常運行,保護醫院網絡系統的安全和網絡用戶的使用權益,特制定本安全管理制度。
(二)本管理制度所稱的醫院網絡系統是指在醫院信息系統中,由計算機及配套設施構成的,按照醫院網絡信息系統的應用目標和規定,對數據進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
(三)醫院網絡系統安全管理是通過實施身份認證、訪問控制與授權管理、數據備份和災備系統、安全分域及邊界防護、防病毒系統、入侵檢測、補丁管理、郵件安全網關、遠程接入等安全技術和與之相配套的管理制度,保障網絡主機及配套設備、設施的安全,網絡運行環境的安全,從而達到保障計算機網絡系統安全運行和信息安全的目的。
(四)信息科負責醫院計算機網絡系統的安全管理工作,確保對計算機網絡系統安全管理的有效性。
(五)計算機網絡系統的建設和應用應遵守上級主管部門頒發的行政法規、用戶手冊和其他相關規定。
(六)計算機網絡系統實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限的劃分和設置由信息科負責制定和實施。
(七)計算機入網運行必須經信息科批準備案,分配IP地址后,方可接入網絡。
(八)要對重要主機的用戶名、開機口令、應用口令和數據庫口令實施重點管理,嚴格控制設備存取及加密,未經允許嚴禁外來盤片帶入機房對服務器進行安裝等,不準將機器設備和數據帶出機房。
(九)未辦理入網手續,任何單位和個人不得非法私自將計算機接入醫院網絡,不得以不真實身份使用網絡資源,不得竊取他人賬號、口令使用網絡資源,不得盜用未經合法申請的IP地址入網。未經信息科允許,任何單位或個人不得擅自接納網絡用戶。
(十)應根據網絡主機不同的安全級別采取相應的訪問控制、數據保護、保密監控管理和系統安全等技術措施。
(十一)信息科定期對網上用戶的訪問及授權情況進行檢查,及時發現和限制非法用戶和非授權訪問。
(十二)要按要求對數據進行日備份、月備份和年備份。嚴格按操作規程進行數據備份工作,確保備份數據的完整和準確性,做好備份數據的審核工作,并做好相應記錄。要確保導出、導入數據的完整和準確,并做好導出、導人數據的審核工作和相應記錄。
(十三)加強邊界安全的防護,應根據安全區域劃分情況明確需進行安全防護的邊界,并實施有效的訪問控制策略和機制。
(十四)應在網絡系統或安全域邊界的關鍵點采用嚴格的安全防護機制,如嚴格的登錄/鏈接控制,高性能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等。
(十五)要實施必要的邊界訪問、違規外聯的審計和控制。
(十六)應采用必要的手段(如入侵檢測系統、日志分析、網絡取證分析等)對系統內的安全事件進行監控,檢測攻擊行為并能發現系統內非授權使用情況。
(十七)應禁止系統內用戶非授權的外部鏈接(如自動撥號、違規鏈接和無線上網)。
(十八)應部署有效的網絡病毒防范軟件系統和相應的網絡病毒防范管理辦法,實施對計算機網絡病毒的有效防范。
(十九)要制定文檔化的'明確的計算機病毒和惡意代碼防護策略,以及確保策略有效實施規章制度。
(二十)應在系統內關鍵的入口點以及各工作站、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施。
(二十一)應制定文檔化的信息系統備份和恢復的策略,建立健全備份和恢復的管理制度和操作規程。
(二十二)備份包括關鍵業務數據的備份、關鍵業務設備(如服務器、交換機等)的備份和電源備份。對重要信息系統(如HIs系統)的關鍵設施(如服務器)采取熱備份。
(二十三)應定期備份和對恢復策略進行測試,以保證其有效性。要有系統恢復的預案和演練。
(二十四)應根據業務的重要程度、信息系統的資產價值等進行相應的需求分析,確定系統恢復的目標,如:關鍵業務功能、恢復的優先順序、恢復的時間范圍。
(二十五)為確保醫院計算機局域網絡運行安全,要在有效部署防火墻、入侵檢測和防病毒系統的情況下,實施遠程接入。醫院業務網(內網)與遠程接入(外網)業務的物理隔離。凡涉密的計算機主機不得與互聯網(Internet)鏈接。
(二十六)任何部門和個人使用醫院網絡提供的遠程接人服務必須向信息科申請。入網用戶的用戶名和IP地址是用戶在醫院局域網上的合法標識,也是對用戶收費的重要依據,一經指定不得擅自更改。
(二十七)未經信息科批準,任何個人或部門不得為外單位人員提供電子郵件或其他網絡服務。
(二十八)所有入網用戶,應當遵守國家有關法律、法規及醫院的有關規章制度,嚴格執行安全保密制度,不得利用計算機網絡從事危害國家安全、損害醫院利益等違法、違規活動,不得制作、查閱、復制和傳播擾亂社會治安、有傷風化、淫穢色情等信息,不得利用網絡攻擊、損害公用網絡和其他用戶。否則,醫院有權停止對其提供的服務;由此造成的不良后果由用戶承擔。
(二十九)使用計算機機網絡系統的部門和個人必須遵守計算機安全使用的規定,對計算機網絡系統發生的問題和故障要立即向信息中心報告。
(三十)用戶不得從事下列危害計算機網絡安全的行為:
1、未經允許,進入計算機網絡系統或使用網上信息資源:
2、私自轉借或轉讓用戶賬號,盜用他人賬號或IP地址:
3、未經允許,對網上應用系統的功能進行刪減或更改:
4、未經允許,對計算機網絡的存儲、處理或傳輸數據和應用程序進行刪減或更改;
5、故意制作、傳播計算機病毒等破壞程序,使用任何工具破壞網絡正常運行;
6、破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全;
7、其他危害計算機網絡安全的行為。
上述違規造成醫院損失的,依照有關法律、法規及醫院有關處罰規定進行處理,情節嚴重者移交公安機關處理。
三、涉密數據保密管理制度
(一)任何科室和個人不得利用涉密計算機網絡系統泄漏屬于醫院內部秘密的信息數據,危害醫院、員工和患者的合法權益;不得從事其它違法犯罪活動。涉密單位和涉密人員應當遵守保密法律法規,認真執行國家和省制定的涉密計算機網絡系統的保密規定。
(二)涉密計算機網絡系統的單位保密管理實行領導負責制,并制定部門或專人負責具體的日常管理工作。并保持計算機保密管理人員相對穩定。
(三)涉密計算機網絡系統工作人員定期進行保密教育和檢查。涉密計算機信息系統的系統管理人員應當經過嚴格審查,定期進行考核,并保持相對穩定。
(四)涉密人員調離崗位,應當履行國家規定保守秘密的義務。
(五)涉及醫院秘密的數據,必須按照保密規定進行采集、存儲、處理、傳遞、使用和銷段。
(六)計算機存儲、處理、傳遞、輸出的涉密信息要有相應的密級標識且不得與正文分離,輸出的涉密文件按相應密級文件管理。
(七)涉密醫院信息和數據不得在與公用網絡聯網的計算機信息系統中存儲、處理、傳遞,涉密信息一律不得在網上發布。
(八)涉密計算機必須設置口令保護,根據密級確定口令長度與更換周期,實行專人專用,嚴禁以任何方式登錄國際互聯網或與互聯網物理連接。
(九)存儲涉密信息的媒體應按所存儲信息的最高密級標明密級,并按相應密級文件管理制度管理,存儲過涉密信息的計算機媒體不能降低密級使用,維修存儲過涉密信息的計算機媒體應到部門指定維修點維修,有人全程跟蹤,保證存儲的秘密信息不被泄露。
(十)儲涉密數據的計算機硬盤或其它存儲介質不得擅自更換或者報廢。確需更換或者報廢的,應當經院領導批準后,交醫院的網絡管理部門進行登記、封存,或者按規定銷毀。
(十一)涉密單位應當將涉密數據與備份數據分別保存在單位內不同的地點。有條件的,應實行異地容災備份。不得在便攜式計算機上存儲涉密信息。
(十二)發現計算機信息泄密后應立即采取補救措施,并按規定及時報告保密部門。
四、信息提供、發布和上網保密審查制度
1、信息提供、發布、上網實行保密審查、領導審批和登記備案制度。
2、信息發布、上網,堅持涉密不公開、公開不涉密和誰上網、誰負責的原則。
3、對涉密信息確需對外發布、上網的,應采取解密或者刪除、改編、隱去等保密措施,并經主管部門或保密工作部門審定。
4、接受記者采訪,不得涉及醫院秘密內容。
五、計算機設備管理制度
(一)計算機及其輔助設備是實現現代化管理的工具,各科室有關工作人員都要結合本職工作利用計算機手段來提高工作效率。
(二)各科室購置和上級分配給予的計算機和輔助設備均屬固定資產,統一由計算機中心負責維護,各科室由電腦管理員專人負責管理和使用。
(三)服務器、計算機及輔助設備和其他應用軟件所配的專用磁盤、光盤,由中心專人登記管理入賬,每年清點一次。
(四)計算機的備件、易耗件、磁盤及有關資料的購買,由信息管理部門統一申請,經科室負責人并上報院長同意后,由后勤采購進行統一購置,統一給各科室配置。
(五)計算機、服務器、網絡通訊電纜設備,未經信息部門同意不得拆裝、移動。
(六)計算機和輔助設備需檢修,應報告計算機中心專業工作人員,由計算機中心有關人員檢修,若需外單位修理,由領導會同有關部門商量后辦理。
(七)對外來磁盤要先殺毒,后使用。各計算機一旦發現病毒,必須立即清除,否則不得使用該計算機,更不能向服務器上傳數據。
(八)外來人員未經科室領導和專業人員同意不得操作計算機,以免發生病毒感染和其他損失。
(九)不得在計算機上進行與工作無關(如做游戲、下棋、打撲克等)的操作。
六、服務器機房管理制度
為保證網絡中心設備與信息的安全,保障機房有良好的運行環境和工作環境,作如下規定:
(一)各門鑰匙由指定的專人保管,不能隨意轉借。丟失要聲明。出入請隨手關門。
(二)要有安全防范意識,節假日值班人員不得擅離崗位。早進入、晚離開時要檢查設備情況,離開時查看燈、門、窗、鎖是否關閉好。
(三)易燃xx物品不準帶入機房,機房及周邊地區嚴禁煙火,不能明火作業,機房一律禁止吸煙。
(四)機房工作人員要有防火意識,出現異常情況應立即報警,切斷電源,用滅火設備撲救。
(五)非工作人員嚴禁進入服務器機房,特殊情況要事先征得院長或主管副院長的同意,未經許可一律不準觸碰開關和設備,否則后果自負。
(六)機房內的一切公用物品未經許可一律不得挪用和外借。
(七)機房內不準大聲喧嘩,機房衛生由工作人員定期負責清掃,保持清潔。
(八)網管員負責機房的安全管理與檢查;負責建立與記錄安全日志。
七、計算機網絡工作站管理制度
(一)本制度所稱醫院計算機網絡工作站,是指醫院計算機網絡中以臺式電腦或筆記本電腦為中心的包括所連打印機等外圍設備在內的計算機工作單元。醫院未聯網工作的計算機也采用此制度進行管理。
(二)各個管理部門和科室中,每一工作站配置的計算機、打印機等設備須指定專人使用、保管和維護,轉交他人保管時需嚴格交接。
(三)各工作站所有使用人員必須嚴格遵守《醫院網絡系統安全管理制度》。
(四)計算機操作人員,不得隨意搡作計算機或相關設備,更不允許外來人員操作計算機。
(五)不在計算機上玩游戲及做與工作無關的操作。
(六)不在醫院計算機上使用來歷不明的光盤、軟盤。
(七)計算機網絡上的所有操作人員必須保管好自己的密碼,因密碼保管不善造成的經濟損失,概由操作人員自己負責。
(八)計算機一旦發生故障應及時報告信息科處理。
(九)除計算機網絡中心機房工作人員外,任何入不得拆裝計算機,或擅自接入其它設備。
(十)不間斷電源的計算機,在供電中斷時,操作人員應立即保存數據,退出程序后按正常操作關機。
(十一)嚴格按照操作規程操作,下班前必須按程序關機,并切斷電源。
(十二)計算機旁不準抽煙、會客,不準吃零食物和飲料。
(十三)計算機旁邊嚴禁擺放各種易燃易爆、腐蝕性或強磁物品。遇臨時停電及雷電天氣,應采取保護措施,避免發生意外。
(十四)愛護計算機及各種相關設備,計算機主機、顯示器、打印機上不能堆放雜物。
(十五)科室指定專人負責科內計算機的一般性管理工作,定期用干凈柔軟的干抹布清除設備上的灰塵,清潔和整理計算機工作臺。
(十六)因維護管理不當造成計算機硬件設備損壞,由當事人負責賠償。
(十七)外來參觀須報請信息科及主管院領導批準,不能向外展示和泄露醫院重要業務數據。
(十八)違反本制度者,醫院將視情節給予處罰。
八、監控機房管理制度
(一)為確保監控機房安全,設立監控機房管理員,負責對機房各類設備、軟件系統進行維護和管理。
(二)監控機房管理員應認真履行職責,及時發現、報告、解決硬件系統出現的故障,保障系統的正常運行。
(三)監控機房管理員及時完成監控數據的刻錄歸檔,確保監控數據完整無誤。不得無故中斷監控,不得漏刻監控資料,未經刻錄不得無故刪除監控資料。
(四)監控機房必須做好防火、防靜電、防潮、防塵、防熱和防盜工作。機房禁止放置易燃、易爆、腐蝕、強磁性物品,禁止在監控機房內使用其他用電設備,禁止將監控機房鑰匙交他人保管,確保監控機房安全。
(五)嚴格遵守保密制度。數據資料必須由監控機房管理員負責保管,未經允許不得私自拷貝、下載和外借。嚴禁任何人在監控計算機上使用未經檢測允許的介質(軟盤、光盤等),嚴禁在監控計算機上做與監控無關的事情。
(六)監控機房內保持清潔,嚴禁在機房抽煙、喝水、吃東西、亂扔雜物、大聲喧嘩等。
(七)實行工作人員值班制度。值班人員應按規定做好實時監管工作,并做好書面情況記錄,發現問題及時匯報并妥善處理。
(八)值班人員應嚴格執行機房管理制度,并與監控機房管理員做好交接。如需監控機房管理員進行配合的,監控機房管理員應予以協助。
(九)除監控機房管理員和工作人員外,任何無關人員不得進入監控機房。
(十)監控機房管理員要經常督促檢查本制度執行情況,切實履行管理職責,發現異常情況必須及時匯報。
九、計算機網絡突發故障處理預案
(一)電腦網絡故障
電腦網絡發生故障后,維護人員要結合醫院的分布式特點,通過操作人員反饋回來的信息和現有的網絡檢測手段,迅速定位故障事件的來源,明確故障事件發生的范圍,確認網絡系統受損害程度,將情況及時通報直接上級并層層上報。通過進一步的分析,將故障發生類型劃分為網絡線路、網絡交換機、服務器三大類型,確定起因是硬件故障、外力損壞、惡意攻擊還是感染病毒,進而采取下一步措施。
1、網絡線路故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。
(2)排查:根據網絡拓撲結構和故障發生的范圍,使用網絡檢測指令,確定檢修線路的位置。
(3)搶修:攜帶對線器、轉接器、備用線、壓線鉗等工具,迅速到達線路故障現場,進行修復。
(4)驗證:連接網絡進行檢測,確定故障得到解決。
(5)回復:通知故障發生點恢復使用。
(6)記錄:對整個事件的時間、現象、處理過程作出詳細記錄。
2、網絡交換機故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。聯系電話:網絡負責人。
(2)診斷:根據故障發生的片區和網絡交換機的分布圖,結合網絡檢測指令,判斷出故障交換機的位置。
(3)修復:攜帶電筆、改刀等常規工具,迅速到達故障交換機所在位置,通過觀察交換機指示燈,確定其工作狀態是否正常:如果是斷電所致,立即與維修中心聯系,恢復供電;如果狀態鎖死,立即對交換機進行復位處理;排除上述因素后如果故障依舊,立即用備用交換機對其進行更換。
(4)驗證:連接網絡進行檢測,確定故障得到解決。
(5)回復:通知故障發生點恢復使用。
(6)事后:對換下交換機送修。待修復后備用。
(7)記錄:對整個事件的時間、現象、處理過程作出詳細的記錄。
3、服務器故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。
(2)診斷:根據故障現象,初步判定是硬件故障還是軟件故障,如果是硬件故障,立即斷開主服務器,啟用備用服務器;如果是系統軟件故障,盡量正常下機,重啟服務器;如果是應用軟件故障,立即聯系HIS公司進行遠程維護。
(3)如故障發生在夜晚或節假日期間,首先應通知負責系統技術人員立即在15分鐘內趕赴現場,并通知電腦中心主管組織相關人員進行搶修,上報設備科,必要時盡快聯系相關公司維修部進行遠程維護。
4、停電
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調。
(2)配合:聯系維修中心,確定停電的時間長短,如果在五分鐘以內,在恢復供電后重新運行接口機即可;如果在五分鐘以上,對接口機和服務器進行正常下機操作,待恢復供電后,重新開啟服務器至運行狀態,再運行接口機。
(3)記錄:對整個事件的時間、現象、處理過程作出詳細的記錄。
5、病毒發作
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調,必要時立即赴現場處理。
(2)診斷:對故障進行分析,找出病毒特征碼,確定是何種病毒。
(3)排殺:從專業網站上下載專殺工具進行殺毒。
(4)補丁:從專業網站上下載補丁,封堵漏洞,進行免疫處理。
(5)記錄:對整個事件的時間、現象、處理過程作出詳細的記錄。
二、通訊網絡故障
當通訊網絡發生故障后,要迅速根據設備監控狀況、用戶反饋的故障現象,確定故障類型,將情況及時通報直接上級并層層上報。通過進一步的分析,將故障劃分為通訊電纜故障、數字程控交換機故障、電深故障三大類型,并采取下一步措施。
1、通訊電纜故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調,必要時立即赴現場處理,通訊工程師應立即奔赴現場。
(2)查找:根據故障現象、范圍和分線盒的分布位置,確定故障點:如果是主線纜受損,立即通知電信相關部門進行搶修;如果是戶線纜受損,立即趕赴現場。
(3)修復:對于主線纜受損,為電信維修部門提供準確的線路資料,協調施工工作,掌握搶修進度;對于戶線纜受損,查清故障原因,更換相應線纜。
(4)反饋:通知相關用戶恢復使用。
(5)記錄:對整個事件的時間、現象、處理過程和資料變更情況作出詳細記載。
2、交換機故障
(1)通知:值班人員迅速通知直接上級并層層上報。上級管理人員根據實際情況給予指導和協調,必要時立即赴現場處理,設備科領導應立即趕赴現場。
(2)分析:作出分析后,根據交換機的故障現象進行處理。
(3)反饋:通知相關用戶恢復使用。將情況上報相關領導。
(4)善后:對故障時間、現象、處理情況作出詳細記載。
3、電源故障
(1)通知:值班人員迅速與院內總務科取得聯系,確定停電時間的長短。同時通知直接上級。
(2)處理:中心機房通過UPS電源繼續正常工作,維護人員必須對設備的工作情況進行監控。
(3)跟蹤:隨時保持與總務科的聯系,如果停電時間超過半小時,按照操作流程關閉部分外圍設備,減少蓄電池的負荷量,以確保程控機的正常運行。
(4)記錄:詳細記載停電發生的起止時間、蓄電池的使用情況,在恢復正常供電后及時檢查蓄電池充電情況。
信息安全管理制度13
第一節總則
1、為加強醫院信息技術外包服務的安全管理,保證醫院信息系統運行環境的穩定,特制定本制度。
2、本制度所稱信息技術外包服務,是指醫院以簽訂合同的方式,托付擔當信息技術服務且非本醫院所屬的專業機構供應的信息技術服務,主要包括信息技術詢問服務、運行維護服務、技術培訓及其它相關信息化建設服務等。
3、安全管理是以平安為目的,進行有關安全工作的方針、決策、安排、組織、指揮、協調、限制等職能,合理有效地運用人力、財力、物力、時間和信息,為達到預定的平安防范而進行的各種活動的總和,稱為安全管理。
4、外包服務安全管理遵循關于平安的全部商業準則及適當的外部法律、法規。
第二節外包服務范圍
1、外包服務包括信息技術詢問服務、運行維護服務、技術培訓等。
2、詢問服務:
(1)依據醫院的信息化建設總體部署,幫助醫院制定切實可行的技術實施方案。
(2)對醫院現有的信息技術基礎架構、設備運行狀態和應用狀況進行診斷和評估,提出合理化的解決方案。
(3)依據醫院的實際狀況提出備份方案和應急方案。
(4)其它信息技術詢問服務。
3、運行維護服務:
(1)軟硬件設備安裝、升級服務。
(2)硬件設備的修理和保養。
(3)依據醫院業務改變,供應應用系統功能性的需求解決方案及執行服務。
(4)系統定期巡檢和整體性能評估。
(6)日常業務數據問題的處理服務。
(7)其它運行維護服務。
4、技術培訓:依據醫院的實際狀況,供應相關的技術培訓。
第三節外包服務安全管理
1、外包服務安全管理應根據“平安第一、預防為主”的原則,實行科學有效的安全管理措施,應用確保信息安全的技術手段,建立權責明確、覆蓋信息化全過程的崗位責任制,對信息化全過程實行嚴格監督和管理,確保信息安全。
2、成立由分管領導同志信息化外包管理組織,明確信息化管理的部門、人員及其職責。
3、建立信息建設平安保密制度,與外包服務方簽訂平安保密協議或合同,明確符合安全管理及其它相關制度的要求。并對服務人員進行平安保密教化。
4、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質管理等操作規程或規章制度。
5、外包服務方的`人員素養、技術與管理水平能夠滿意擬擔當項目的要求,進行相應的平安資質管理。
6、信息中心配備專人負責平安保密工作,負責日常信息安全監督、檢查、指導工作。對服務方供應的服務進行平安性監督與評估,實行平安措施對訪問實施限制,出現問題應遵照合同規定剛好處理和報告,確保其供應的服務符合醫院的內部限制要求。
7、對外包服務的業務應用系統運行的平安狀況應定期進行評估,當出現重大平安問題或隱患時應進行重新評估,提出改進看法,直至停止外包服務。
8、運用外包服務方設備的,對其進行必要的平安檢查。
9、在重要平安區域,對外部服務方的每次訪問進行風險限制;必要時應外部服務方的訪問進行限制。
第四節附則
1、本制度由信息中心負責說明。
2、本制度自發布之日起生效執行。
信息安全管理制度14
一、計算機設備管理制度
1、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
2、非本單位技術人員對我單位的設備、系統等進行維修、維護時,必須由公司相關技術人員現場全程監督。計算機設備送外維修,須經有關部門負責人批準。
3、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插拔計算機外部設備接口,計算機出現故障時應及時向IT部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
(一)操作代碼是進入各類應用系統進行業務操作、分級對數據存取進行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置;
(二)系統管理操作代碼的設置與管理
1、系統管理操作代碼必須經過經營管理者授權取得;
2、系統管理員負責各項應用系統的環境生成、維護,負責一般操作代碼的生成和維護,負責故障恢復等管理及維護;
3、系統管理員對業務系統進行數據整理、故障恢復等操作,必須有其上級授權;
4、系統管理員不得使用他人操作代碼進行業務操作;
5、系統管理員調離崗位,上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統管理員代碼;
(三)一般操作代碼的設置與管理
1、一般操作碼由系統管理員根據各類應用系統操作要求生成,應按每操作用戶一碼設置。
2、操作員不得使用他人代碼進行業務操作。
3、操作員調離崗位,系統管理員應及時注銷其代碼并生成新的操作員代碼。
三、密碼與權限管理制度
1、密碼設置應具有安全性、保密性,不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼,也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、順序、規律數字等容易猜測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發現或懷疑密碼遺失或泄漏應立即修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時在“密碼管理登記簿”中登記。
4、系統維護用戶的密碼應至少由兩人共同設置、保管和使用。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數據安全管理制度
1、存放備份數據的介質必須具有明確的標識。備份數據必須異地存放,并明確落實異地備份數據的管理職責;
2、注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全。
3、任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批,以保證備份數據安全完整。
4、數據恢復前,必須對原環境的數據進行備份,防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行,出現問題時由技術部門進行現場技術支持。數據恢復后,必須進行驗證、確認,確保數據恢復的完整性和可用性。
5、數據清理前必須對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存,并確保可以隨時使用。數據清理的實施應避開業務高峰期,避免對聯機業務運行造成影響。
6、需要長期保存的數據,數據管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。
7、非本單位技術人員對本公司的`設備、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機設備送外維修,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除,并妥善處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
10、營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、機房管理制度
1、進入主機房至少應當有兩人在場,并登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
2.IT部門人員進入機房必須經領導許可,其他人員進入機房必須經IT部門領導許可,并有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時,經IT部門負責人批準同意后有關人員監督下進行。對操作內容進行記錄,由操作人和監督人簽字后備查。
3、保持機房整齊清潔,各種機器設備按維護計劃定期進行保養,保持清潔光亮。
4、工作人員進入機房必須更換干凈的工作服和拖鞋。
5、機房內嚴禁吸煙、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6、機房工作人員嚴禁違章操作,嚴禁私自將外來軟件帶入機房使用。
7、嚴禁在通電的情況下拆卸,移動計算機等設備和部件。
8、定期檢查機房消防設備器材。
9、機房內不準隨意丟棄儲蓄介質和有關業務保密數據資料,對廢棄儲蓄介質和業務保密資料要及時銷毀(碎紙),不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。
10、主機設備主要包括:服務器和業務操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩定,做好靜電防護和防塵等項工作,保證主機系統的平穩運行。服務器等所在的主機要實行嚴格的門禁管理制度,及時發現和排除主機故障,根據業務應用要求及運行操作規范,確保業務系統的正常工作。
11、定期對空調系統運行的各項性能指標(如風量、溫升、濕度、潔凈度、溫度上升率等)進行測試,并做好記錄,通過實際測量各項參數發現問題及時解決,保證機房空調的正常運行。
12、計算機機房后備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
信息安全管理制度15
為提高公司信息系統的可靠性、穩定性、安全性,降低人為因素導致信息系統失效的可能性,形成良好的信息傳遞渠道,特制定本規范。
1. 機房管理規范
1.1非工作人員不得進出機房。工作人員出入機房注意鎖好房門,未經上級批準,禁止將機房相關鑰匙、密碼等物品或信息外露給其它人員,同時有責任對信息保密。
1.2機房工作人員必須熟知機房內設備的基本安全操作和規則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線路;定期檢查硬件運作狀態(如設備指示燈)。不得亂拉亂接電線,應選用安全、有保證的供電、用電器材,嚴禁隨意對設備斷電、更改設備供電線路,嚴禁隨意串接、并接、搭接各種供電線路。
1.3機房內禁止吃食物、抽煙、隨地吐痰,對于意外或工作過程中弄污地板和其它物品的,必須及時采取措施清理干凈;禁止在服務器上進行試驗性質的軟件調試,禁止在服務器隨意安裝軟件。
1.4機房工作人員必須定期檢查軟件的運行狀況、定期調閱軟件運行日志記錄,進行數據和軟件日志備份,做好硬件設備的維護保養工作。
1.5任何人均不得在服務器、交換設備等核心設備上進行與工作無關的任何操作。未經上級允許,更不允許他人操作機房內部的'設備。
2. 計算機操作人員管理規范
2.1計算機操作員應具備計算機基礎知識,熟練使用windows、office、長安福特dms系統及常用軟件,并對其所使用的計算機軟、硬件負有維護保管責任。
2.2任何員工未經授權,不得修改計算機軟硬件設置。嚴禁在工作機共享文件,員工所掌握的工作數據、文件等均屬公司所有,嚴禁拷貝、傳播、修改、破壞。凡違反網絡操作規程,影響網絡運行者罰款100元。
2.3計算機操作人員離開工作區域時應保證重要文件、資料、設備、數據處于安全保護狀態;個人的工作文件應隨時做好安全存放與備份,不得將個人工作文件存放于“c盤我的文檔”。如有問題及時聯系系統管理員,與系統管理員一同維護好日常網絡的安全運行。
2.4計算機操作人員每次開機確保病毒實時監測程序和黑客防火墻程序的正常運行;日常工作中注意保持計算機等相關設備的清潔,下班時務必關掉所有辦公設備的電源。
3. 計算機系統安全性維護
3.1計算機信息系統操作人員不得擅自進行系統軟件的刪除、拷貝、修改等操作,不得擅自升級、改變系統軟件版本或更換系統軟件,不得擅自改變軟件系統環境配置。
3.2硬件設備的更新、擴充、修復等工作應當由相關人員提出申請,報上級主管負責人審批。未經允許,不得擅自拆裝硬件設備。
3.3在使用任何外來的光盤,u盤,移動硬盤等外來媒體的文件前,必須進行殺毒;嚴禁瀏覽任何非法網站、黑客網站及不健康的網站,嚴禁下載帶有附件的不明郵件;
3.4系統管理人員負責長安福特dms系統工作權限的設置,員工只能使用自己的工作權限,嚴禁盜用他人用戶名與密碼,嚴格執行工作流程;長安福特dms系統上使用的密碼一經啟用,不得隨意修改、公開,并需在行政部做備份,如需修改須事先告知行政部。
3.5各部門如有計算機操作員人員更替,必須及時通知行政部,系統管理員注銷或開設新用戶。
3.6系統管理人員須嚴格管理公司無限網絡的使用,接入密碼要經常更新,以保證無線網絡的安全;
【信息安全管理制度】相關文章:
信息安全管理制度11-28
網絡與信息安全管理制度11-29
(熱門)網絡與信息安全管理制度15篇11-29
網絡與信息安全管理制度(優秀15篇)11-30
網絡與信息安全管理制度匯總【15篇】11-30
網絡與信息安全09-06
信息安全檢查09-06
網絡與信息安全【優選】09-06
信息安全策略03-13
統計信息管理制度11-26