- 目录
包括哪些
信息安全管理制度是我们组织的核心组成部分,旨在确保数据的安全性和完整性,防止未经授权的访问、使用、泄露或破坏。它涵盖了以下几个关键领域:
1. 访问控制:定义用户权限,限制对敏感信息的访问。
2. 数据加密:对敏感数据进行加密,保护其在传输和存储过程中的安全。
3. 审计和监控:定期审查系统活动,及时发现并应对潜在威胁。
4. 网络安全:包括防火墙策略、入侵检测系统和恶意软件防护。
5. 物理安全:保护硬件设备和数据中心免受物理损坏或非法侵入。
6. 应急响应:制定并执行应对信息安全事件的计划。
培训内容
为确保所有员工理解并遵守信息安全政策,我们将开展以下培训:
1. 基础知识:介绍信息安全的基本概念和常见威胁。
2. 政策解读:详细讲解我们的信息安全政策和程序。
3. 实战演练:模拟攻击场景,训练员工识别和应对威胁的能力。
4. 法规合规:了解相关法律法规,如gdpr和iso 27001等标准。
5. 责任意识:强调每个人在保护信息安全中的角色和责任。
应急预案
面对可能的信息安全事件,我们已制定以下应急响应计划:
1. 事件报告:任何可疑活动应立即上报给it部门。
2. 初步评估:确定事件性质、影响范围和优先级。
3. 隔离措施:隔离受影响的系统,防止进一步损害。
4. 数据恢复:尽可能恢复丢失或损坏的数据。
5. 法律咨询:必要时,寻求法律援助以符合法规要求。
6. 后续改进:分析事件原因,修订策略和程序,防止重演。
重要性
信息安全不仅是技术问题,更是组织文化的一部分。它关乎我们的信誉、客户信任和业务连续性。忽视信息安全可能导致:
1. 数据泄露:损害客户隐私,导致法律诉讼和声誉损失。
2. 业务中断:系统瘫痪可能导致生产力下降,影响交付和服务质量。
3. 经济损失:因罚款、赔偿和恢复成本产生直接财务负担。
4. 竞争优势丧失:数据安全问题可能削弱我们在市场上的竞争优势。
因此,我们必须将信息安全管理制度视为日常运营不可或缺的一部分,通过持续改进和全员参与,打造一个安全、可靠的信息环境。
息安全管理制度范文
第1篇 电信信息安全管理制度
一、信息安全管理制度
(一)、州公司各部门工作界面
1、市场拓展部:负责信息类业务整体规划、审核;负责对信息业务的整体把关;负责对外协调、公关,负责统一媒体宣传口径等工作。
2、信息化应用中心:负责制订信息安全工作管理规范,负责对州县信息安全工作的检查指导;负责信息安全管理体系相关技术平台的开发建设;负责承接省公司信息安全工作要求,负责组织开展本地的信息安全管理工作;负责本地互联网接入、合作接入及信息发布平台等本地管理的业务、平台的信息安全保障工作。
二、信息业务接入审核
(一)、与甘孜电信开展增值业务合作(包括:短信、声讯、互联网),需要进行接入审核,合作sp必须具备以下基本资质:
1、基本条件
(1)拥有信息产业部或其下属管理机构颁发的《电信增值业务经营许可证》,并确保其服务覆盖范围为其合法经营范围。
(2)具备开发增值业务应用的技术实力和运营团队,完备的售前、售中、售后服务体系和合法、可靠的资讯来源。
(3)符合中华人民共和国国国务院令(第292号)《互联网信息服务管理办法》等互联网信息服务行业管理规定。
(4)工商部门批准的公司机构。
2、准入条件
(1)从事本地业务sp的注册资本金不低于100万人民币。
(2)拥有独特的业务资源或具有创新性的业务。
(3)具有完善的业务策划和商业计划。
(4)主要管理人员应具有从事电信增值业务工作两年以上的管理经验,能够深入理解增值业务合作sp管理办法,熟悉各类业务流程、营销策略制定及推广、产品管理等。
(5)符合《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国国计算机信息系统安全保护条例》、《计算机信息系统国际互联网保密管理规定》、《信息服务九不准》等相关管理规定。
注:凡是合作中涉及视频业务,在本办法中另行说明;
3、sp应准备的申请资料
(1)企业法人营业执照 (正副本复印件)
(2)企业税务登记证(国税、地税正副本复印件)
(3)增值电信业务经营许可证(复印件)
(4)银行开户许可证(复印件)
(5)四川电信增值业务(短信、声讯、互联星空等)项目商业合作计划书(包含如下内容)
a、公司简介及团队介绍。
b、业务详细介绍:包括业务内容、业务定价、信息来源、特殊信息的版权、授权及合法性等资料;相关信息资讯来源许可证书(复印件),特别对于如新闻、音乐体育版权、心理咨询信息等经营许可证书。业务内容必须合法健康,不得提供含有色情、反动、暴力等非法内容的服务,不得违反国家的有关法律、法规和相关政策。
c、新业务的市场分析预测(包括市场潜力、市场规模、流量和收入预测、同类产品分析等内容)。
d、业务的技术实现方案:包括软、硬件设备配置情况、业务技术实现、信息安全措施等内容。
e、sp必须对产品进行充分的市场分析和前景预测,制定较为完备、系统的推广计划,具备一定的推广资源和推广能力。
f、应用服务内容具备实用、有效或独特性,拥有特色业务资源或具有创新性的业务,客户群特征鲜明,能面向不同客户群提供不同的业务。
g、客户服务方案:包括客服热线服务时间、客服服务电话、客服邮箱、客服人员数量等要素。
(二)、idc/专线接入
1、idc接入
(1)在用户服务器上架或虚拟主机开通前,严格按照先“先备案,再接入”的原则,认真对服务器托管和资源租用用户进行信息核查(具体实施办法请参照《全省idc网络信息管理指导意见》)。并对用户资料及idc接入用途进行详细登记,要求客户提供企业的营业执照复印件(加盖鲜章)、提供从事互联网接入的许可证(isp、idc和非经营性icp)复印件或证书编号,并存档。
其中,对于经营性接入客户必须提供isp、idc经营许可证(客户的电信增值业务许可证上会注明其经营范围),对于无许可用户坚决不予提供接入服务。对于非经营性的接入客户需要求其进行非经营性网站备案或我公司进行代备案。
(2)明确要求用户建立起相应的信息安全管理制度、日志60日留存制度以及规范网站行为和相关管理工作,同时要在已有的服务平台上设立专门的违法和不良信息举报平台,建立和完善举报处理机制,进一步接受社会监督,并请用户确认签字。
(3)建立和完善长效机制,建立信息服务商不良行为记录制度和非法网站不良记录的“黑名单”制度,并不得为黑名单中的信息服务商提供idc接入服务。
(三)、互联网网站内容发布审核管理
1、实行编辑用稿三审制
(1)稿件来源,由助理编辑初审,使用合格稿件。
(2)发布至二级、三级页面,由助理编辑或者频道编辑发布。
(3)发布至电信自营门户的信息交由主编二审,重要稿件必须交管理部门经理或副经理三审,不合格稿件立即标识不得使用。
(4)约稿、投稿、采写稿件以及海外涉及中国的相关报道必须交由信息内容部门经理三审,不合格稿件立即标识不得使用;本地网站只能发布经本地媒体、政府等机构授权的信息。
2、网页内容发布检查
(1)编辑和助理编辑负责对应栏目的自、互检。
(2)在制作过程中,制作人员自检模板页面正确:图形美观适用、链接正确,保证页面正确美观,符合编辑要求。
(3)在编辑过程中,编辑人员经预览自检一般用稿内容、文章语法错误、文字错误、标点符号错误,及时纠正。
(4)频道编辑、主编应对相应页面进行检查,发现错误,及时交由第一责任人纠正,并填写《网页质量抽查一览表》。
(5)部门经理对网站进行抽查,发现错误,及时交由第一责任人纠正,并填写《网页质量抽查一览表》。
3、论坛、博客等互动频道的安全管理 (1)论坛、博客等用户可进行信息发布的频道,其发布管理平台必须具备“先审核,后发布”的功能。
(2)所有用户发布的信息必须经过后台审核,否则不得进行发布。(四)、视频内容经营规范:
所有视频上线内容必须是通过国家正规出版发行渠道许可发行的内容,具体要求如下:
1、能够提供《电视剧发行许可证》、《电影片公映许可证》的节目;
2、或能够提供音像制品版号的节目,对于引进音像制品必须提供相应的进口批准文号;
3、除影视剧外的境外电视节目需提供《接收卫星传送的电视节目许可证》或相关政府部门发给同意引进的相关批准文件;
4、国内非影视剧节目需提供制作单位的《广播电视节目制作经营许可证》,并且相关节目已在电视台上映。
5、对于性教育类节目,严格遵照集团公司《关于加强在互联网上开展两性生殖健康类信息服务管理的通知》(互业传[2006]23 号)文件执行。
6、从事医疗卫生信息服务的sp 必须提供卫生行政部门出具的关于开展互联网医疗卫生信息服务的批复文件。
7、上线影视作品应将版号、引进批准文号、公映放映许可证号等相关信息公示在作品展示页面。
对于无法确认上述授权及资质的内容,一律不得在四川电信各及分公司或直属单位的自营频道和自有域名下提供服务。
三、外呼、群发、互联网推送宣传管理
(一)、外呼、群发、互联网推送
针对目前市场的各种群发、外呼、互联网推送需求和电信各级业务部门的宣传需求,全面解决目前存在的各种问题,为了更好的使用和管理,特制订该管理规范。目标要达到规范全省群发的主叫号码、群发内容、收费模式和标准,做到群发前有章可循、群发后有据可查,从而减少用户投诉,明显提升短信的服务质量。
1、州市两级群发宣传归口管理部门必须严格审核群发内容,保证其真实性、其合法性和健康性。
2、对带有“中国电信”、“四川电信”、“四川省电信有限公司”、“四川省电信有限公司××分公司”等内容的群发,必须严格把关,避免对公司形象造成负面影响。
3、群发短信内容必须有资费说明和客服电话(任何业务)。
4、通过群发(短信、声讯、互联网)平台发送的任何信息,不得含有如下内容:反对宪法所规定的基本原则的危害国家安全,泄露国家秘密,颠覆国家政权,破坏民族团结的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣传邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖、或者教唆犯罪的;侮辱或者诽谤他人,侵害他人合法权益的;含有法律、行政法规明令禁止的其他内容的;违反国家有关知识产权保护的。
对sp/cp的群发内容审核省平台的由增值业务部进行监控,市州平台发送的,由市州相应的业务管理部门负责对群发信息内容管理。
(二)、企业信使
1、电信内部企业信使群发管理同《四川电信群发管理办法》;
2、外部帐号:
(1)企信通平台设置关键字过滤,与短信平台同步更新;
(2)企信通帐号由信息化应用中心统一管理分配,在业务受理时应详细登记客户资料;
(3)在开通协议中申明相关信息安全条款,明确责任主体,并要求用户在发送短信时必须进行二次审核确认;
(4)企信通平台具备审核功能,即企业客户将发送内容填写完毕后必须点击审核按钮才能进入下一步发送界面进行发送安排。
四、日常监督办法(信息内容监管办法)
(一)、短信、声讯、互联网信息日常监督办法:
1、sp将需要上传、更新的信息内容提交业务管理部门(或平台商);
2、业务管理部门(平台商)收到后,对信息内容进行审核,对于符合信息安全及内容质量要求”的内容进行更换、上传;对于不符合要求的内容,退回sp责令重新提交。 3、对更换后的信息内容进行拨测、检查,对于检查合格的节目允许开放,对外服务。对已经更新、上传完毕的信息内容进行拨测、检查,对于检查合格的节目允许开放,对外服务。
4、不定期对所有业务的信息内容进行抽查、拨测,检查sp的业务内容是否健康、真实,是否与申报内容一致,对内容不一致的业务进行关闭。
5、对人工聊天业务的录音进行抽查,并定期召开sp工作会,强调信息服务的重要性,提高sp的政治敏感度。
对于互联网博客、论坛的内容要严格执行“先审核、后发布”的原则,未经审核的内容一律不得发布;
6、对于内容检查不符合要求的业务,如查实是sp公司擅自更换,将按公司相关规定追究sp公司的责任;如查实是平台没有把好质量关导致,将追究平台公司的责任。
7、对于人工聊天业务抽查不合格的sp,一律关闭该人工聊天业务;如连续抽查三次不合格的,将终止与该sp的合作;话务员聊天内容如违反国家法律、法规、政策的相关规定,将追究该sp公司的违约责任,同时由该sp公司承担所有的法律责任。
(二)、idc/专线接入
在未有有效的手段对用户的信息内容进行日常监督的情况下,要求必须具备完整的客户资料,积极协助通信主管部门和执法部门的行业监管及有害信息查处工作,积极配合公安等部门做好案件调查和证据搜集工作,有效打击犯罪活动。对于明显属于淫秽色情信息的,立即停止其接入,并保持记录,及时转交公安机关依法处理;对涉嫌淫秽色情信息的,暂停其接入,并报当地通信主管部门;对违反社会公德的不良信息,应警告,并予与纠正。
五、应急处理措施
1、要求州公司、各县分公司、平台商相关人员保持24小时通信畅通。 2、采取先关闭,再处理,处理完后再开放的原则,杜绝因为内容问题引起的用户投诉、媒体曝光、主管部门通报等不良后果。发现的问题应在第一时间更正处理,包括删除、修改等。 3、做好相关的数据备份工作; 4、建立突发事件的及时上报规定,在处理问题的同时及时向部门领导汇报事件过程,对于重大事件应及时向省公司进行如实汇报。
应急处理流程:
六、信息安全责任考核
(一)、责任人定义
1、正常工作日:直接发布信息的为第一责任人,业务管理人员为第二责任人,部门经理为第三责任人。
2、早、晚及周末、节假日时期:维护值班人员为第一责任人,业务管理人员为第二责任人,部门经理为第三责任人。
(二)信息安全考核标准
信息质量主要分为四类:即:a类、b类、c类、d类(适用于互联网、短信、声讯(ivr)等)。
1、a类
(1)电信自营信息业务不得含有下列内容:如出现这些内容,均属于a类错误:
a、违反宪法确定的基本原则的。
b、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的。
c、损害国家荣誉和利益的。
d、煽动民族仇恨、民族歧视,破坏民族团结的。
e、破坏国家宗教政策,宣扬邪教和封建迷信的。
f、散布谣言,扰乱社会秩序,破坏社会稳定的。
g、散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪的。
h、侮辱或者诽谤他人,侵害他人合法权益的。
i、煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的。
j、以非法民间组织名义活动的。
k、含有法律、行政法规禁止的其他内容的。
(2)只要触犯了以下十三条中的任意一条,被相关部门投诉,均属于a类错误:
a、领导人活动:涉及国务委员、全国人大常委会副委员长、全国政协副主席、“两高”负责人以上级别领导人的活动、言论、观察、题词、冠名等。
b、人事变动:涉及中央、地方及部队副军、副省部级以上官员任免、生死、升迁、降职、处分、奖励等。
c、外交事务:涉及重大双边关系,如建交、断交、抗议、派遣或召回使节、外国领导人访华、中国领导人出访、签署政府间协定等;关于中美、中欧、中国与亚洲所有邻邦之间重大政治、经济关系等。
d、突发事件:涉及发布地震等重大自然灾害信息,报道有关游行、示威、非法聚集等抗议活动,人为原因造成重大伤亡事故等。
e、重大政策:涉及中央政府的重大政治、经济、文化、社会方面政策等,如建立特区或直辖市、减免债务、下放或回收审批权、重大调价政策等。
f、港澳台侨报道:涉及港澳台侨重要政经、文化新闻,尤其是两岸关系政治新闻等。
g、军事报道:涉及军区级以上机构关于战争动员、军事演习、部队调动,报道军事基地、军事冲突、军事科技、边境事物等。
h、追究过失:自然灾害、重大伤亡事故等报道中,涉及追究政府官员责任、抨击社会或政治制度等。
i、批评性报道:涉及对各级官员批评报道,对地方党委或中央部委机关工作批评报道,如贪污、腐败、弄虚作假、买官、玩物职守、工作不力方面报道,在被批评者上一级党委机关报的纸质版面尚未刊登有关新闻或具体提法不详的任何内容等。
j、宗教和民族报道:涉及重大宗教政策、民族政策、重要宗教民族历史问题、民族感情地区特异风格,又可能伤害宗教、民族感情的等。
k、特定情况下的特定新闻,如对国内邪教组织重要成员的处理措施,涉及百人以上死亡的特大事故,及其它未尽情况。
l、漏报或滞后重大新闻的报道(以新华网报道为依据)。
m、报到信息(时间、地点、人物名称等)有误,造成经济损失或引起法律纠纷。
2、b类
内容审核把关不严格,在发布的信息中存在无版权或资质不全的情况,出现被主管部门、用户、媒体曝光的情况;出现被权力方提出诉讼,要求经济或名誉赔偿的情况。
3、c类
在信息发布过程中出现文字等错误,但未引起严重后果的情况。
(三)、奖惩分类
1、第二责任人和第三责任人检查中,发现一处错误,奖励50元。
2、半年内,出错次数达5次的员工,酌情进行勒令退职处理。
3、出现a类错误,酌情进行勒令退职或降为公司临时员工处罚,只发基本工资。
4、出现b类错误,对第一责任人处以200元-400元绩效处罚,并降为公司临时人员做,只发基本工资;期间,若再出现a或b类错误,进行勒令退职处理;对第二责任人处以400元-500元绩效处罚;对第三责任人处以500元-800元绩效处罚。
5、出现c类错误,对第一责任人处以100元-200元绩效处罚;对第二责任人处以50元-100元绩效处罚。 备注:
1、公司领导发现错误和客户投诉,扣款金额应为上限;管理部门经理发现错误,扣款金额为中限;内部员工发现错误,扣款金额为下限。
2、所有奖励和处罚都进行全公司通报。
3、扣罚金额由当事人以现金的方式交给部门,进行登记备案。
4、本规定从2007年6月起执行。
第2篇 q企业信息安全管理制度
第一条本办法适用年度全区商标品牌发展工作目标的管理与考评。
第二条本工作目标考评对象为各镇、街道,经济开发区。
第三条考核项目分为确保项目、力争项目和加分项目三部分。确保项目总分100分,力争项目和加分项目按实际结果计算分数,上不封顶。
(一)组织领导(12分)
1、建立健全商标发展工作领导机构和办公机构(1分);
2、商标发展办公机构专(兼)职工作人员不少于2人(1分);
3、调研本地商标发展现状和存在的问题,制定本地商标发展规划(2分)、考核办法(2分)、建立商标台帐(2分);
4、分解商标发展任务,并签订目标任务书(2分),组织对商标发展工作的检查与考核(2分)。
(二)商标宣传(18分)
1、组织与商标发展工作有关的宣传活动,全年在市级以上新闻媒体发表宣传稿件不少于2篇(12分);
2、结合本地实际,开展多种形式的商标宣传和培训活动(6分)。
(三)商标培育和发展(55分)
1、年度新申请注册商标(30分);
2、组织和帮助企业争创省著名商标,经济开发区2件、每镇、街道各1件(5分);
3、积极申报市知名商标,经济开发区2件,每镇、街道各1件(10分);
4、做好农副产品商标培育,每镇各2件(5分);
5、做好服务商标培育,经济开发区10件,每镇、街道各2件(5分)。
(四)商标使用和保护(15分)
指导商标持有人用好用活商标,对长期未使用的商标进行许可使用或有价转让(15分)。
(五)力争和加分项目
1、在完成确保任务的基础上,每新增省著名商标1件加10分,新增市知名商标1件加5分;
2、农副产品商标申请注册,在完成确保任务的基础上,每增加1件加2分;
3、服务商标申请注册,在完成确保任务的基础上,每增加1件加5分;
4、完成集体商标注册受理1件,加5分;
5、完成地理标志商标注册受理1件,加15分;
6、积极开展品牌培育基地建设,被确认为省级基地的,每个加10分,被确认为市级基地的,每个加5分。
(六)得分计算
1、按目标完成情况加减分:目标得分=确保项目得分之和+力争和加分项目得分之和;
2、确保项目扣分:按完成情况的比例相应减分;
3、商标发展项目说明。共分三类:一是确保项目,即下达的基本目标任务,要求按照考核节点、序时进度完成的项目。二是力争项目,在完成确保项目后,方可申报力争项目;完成力争项目,按标准加分,完不成不减分。三是加分项目,完成按标准加分。
第四条各单位商标发展工作的日常管理由工商分局牵头组织实施。
第五条目标考评实行定量和定性相结合考核、年终考评、区考评为主的原则。
第六条区商标和品牌发展工作领导小组办公室和工商分局负责目标考评。各单位商标发展工作目标考评结果在全区经济建设和社会发展目标综合考评体系中按比例折算总分计入。
第七条本办法由区商标和品牌发展工作领导小组办公室和工商分局负责解释。
相关推荐:
烟草专卖局灭火减灾预案
汽车公司招聘管理制度
新公司员工守则
办公室行政管理制度范本
人事管理制度范本
食品仓库管理制度
某公司福利制度范本
后勤食堂管理制度
商贸公司管理制度
第3篇 信息安全管理政策业务培训制度
第一章信息安全政策
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非我司技术人员对我司的设备、系统等进行维修、维护时,必须由我司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非我司技术人员进行维修及操作。
二、操作员安全管理制度
1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.
2.系统管理操作代码的设置与管理:
(1)、系统管理操作代码必须经过经营管理者授权取得;
(2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
(3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
(4)、系统管理员不得使用他人操作代码进行业务操作;
(5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
3.一般操作代码的设置与管理
(1)、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
(2)、操作员不得使用他人代码进行业务操作。
(3)、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非我司技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立我司的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.信息部人员进入机房必须经领导许可,其他人员进入机房必须经信息领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经信息部负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(ups)除了电池自动检测外,每年必须充放电一次到两次。
第二章业务培训制度
一、培训制度
1、业务学习培训计划由信息部根据年度工作计划作出安排。
2、成立业务学习小组,定期组织业务学习;
3、工作人员每年必须参加不少于15个课时的专业培训。
4、工作人员必须完成布置的学习计划安排,积极主动地参加信息部组织的业务学习活动。
5、有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。
6、支持、鼓励工作人员结合业务工作自学。
二、培训内容:
1.计算机安全法律教育
(1)、定期组织我司工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。
(2)、负责对企业的网络用户进行安全教育和培训。
(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。
2.计算机职业道德教育
(1)、工作人员要严格遵守工作规程和工作制度。
(2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。
(3)、不得利用计算机信息系统的漏洞偷窃客户资料,进行诈骗和转移资金。
(4)、不得制造和传播计算机病毒。
3.计算机技术教育
(1)、操作员必须在指定计算机或指定终端上进行操作。
(2)、机房管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。
(3)、不得越权运行程序,不得查阅无关参数。
(4)、发现操作异常,应立即向机房管理员报告。
三、培训方法:
1.结合专业实际情况,指派有关人员参加学习。
2.有计划有针对性,指派人员到外地或外单位进修学习。
3.举办专题讲座或培训班,聘请有关专家进行讲课。
4.所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗。
5.自订学习计划,参加专业函授学习成绩及时反馈有关部门,良好学业者给予奖励。
第4篇 档案信息安全管理制度
为确保在信息化建设中的档案信息安全,经局领导班子研究,特制订如下档案信息安全管理制度:
一、遵守保密规定,严格控制不应公开的档案信息。
二、保存档案数据信息的计算机不得与公共信息网络联接,确需联接时,必须通过安全保密审查。
三、加强对档案信息网络传输的管理,确保网络和使用过程的信息安全。
四、确定专人负责计算机系统的管理工作,并设置计算机操作系统用户口令。
五、计算机系统必须安装防病毒卡或反病毒软件并及时更新版本,做好防病毒工作。
六、保存档案数据的计算机外送修理时,应将有关数据的内容清空、删除或将硬盘摘除,并做好计算机修理情况登记。
七、应采取有效措施,保证档案数据库和档案数据安全。所有数据至少复制两套,并异地保存。
八、信息载体(如硬盘等)损坏,必须拆除后放入待鉴定室专门保存。
九、磁性载体每满2年、光盘每满4年应进行一次抽样机读检验,抽样率不低于10%,如发现问题应及时采取恢复措施。
十、具有永久保存价值的文本和图形形式的电子文件,必须同时制成纸质文件或缩微品等拷贝件一并归档保存。
十一、应加强对归档电子文件鉴定销毁的管理。对于属于保密范围的归档电子文件,连同存储载体一起销毁,并在网络上彻底删除;对于不属于保密范围的归档电子文件进行逻辑删除。
十二、以上各条请本单位全体干部职工互相监督,共同遵守。对违反本制度的,按国家有关规定处理。
第5篇 质量追溯信息安全管理制度
第一条 设备专人专用,并对使用质量追溯项目设备的单位和个人进行登记造册。其中特别是移动存储设备(u盘和移动硬盘),不能借给任何其他个人和单位使用,以防感染病毒、木马等。
第二条 电脑等各种设备,使用者不能私自拆开。要正确按照说明手册使用相关设备,对未按照规定使用造成设备损坏的,要追究使用者的责任。
第三条 信息中心管理员定期检查设备是否正常,并且对防火墙、杀毒软件、操作系统等升级。升级前一定要对操作系统和关键数据进行备份,以免导致升级后系统不能运行,影响日常工作。
第四条 追溯网络(包括数据采集点)中的任何电脑原则上不允许使用外单位或个人的移动存储设备,以免感染病毒、木马、蠕虫等。如果确有必要,可以在计算机技术人员指导下使用。
第五条 追溯网络内的计算机使用人员不允许上信息不良、不安全的网站,更不允许随意下载、安装程序,并且每台机器都要安装正版杀毒软件,网内电脑上的网络设置不允许随意修改,确有必要可交由专业技术人员修改。
第六条 追溯网络内的计算机使用人员要定期对操作系统、办公、杀毒以及其它各种应用软件及时打补丁和升级。
第七条 数据采集点和网络中心的计算机使用人员和管理人员要及时备份追溯数据,并且要做好数据保密工作,在追溯信息未发布之前,不能将数据发布到internet网络上。数据采集点在每次上报数据时,都要进行加密压缩,网络中心接收人员解密解压使用完毕后,要将解密解压的数据立即删除,以防数据泄漏。
第6篇 信息安全管理政策和业务培训制度
第一章信息安全政策
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非我司技术人员对我司的设备、系统等进行维修、维护时,必须由我司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非我司技术人员进行维修及操作。
二、操作员安全管理制度
1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.
2.系统管理操作代码的设置与管理:
(1)、系统管理操作代码必须经过经营管理者授权取得;
(2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
(3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
(4)、系统管理员不得使用他人操作代码进行业务操作;
(5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
3.一般操作代码的设置与管理
(1)、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
(2)、操作员不得使用他人代码进行业务操作。
(3)、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非我司技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第7篇 电力公司网络信息安全管理制度怎么写
我公司现在所有的电脑都已接入到网络之中,随时随地受到公司管理部门的监控,为了加强计算机网络、软件管理,保证网络系统安全,保障系统、数据库安全运行特制定以下制度和操作详细步骤。
一、网络与信息安全管理制度
1 公司各部室的电脑管理,遵循谁使用,谁负责的原则进行管理。
2 各部室应经常检查本部门的电脑使用情况,负责电脑的安全使用、密码管理、电子邮件管理、防病毒管理等,发现问题及时纠正。
3. 电脑的使用和保养3.1 电脑操作规程:电脑开机时,应遵循先开电源插座、显示器、主机的顺序。
每次的关、开机操作至少相隔一分钟。
严禁连续进行多次的关机操作。
电脑关机时,应遵循先关主机、显示器、电源插座的顺序。
下班时,务必要将电源插座的开关全关上,节假日时,更应将插座拔下,彻底切断电源,以防止火灾隐患。
3. 2 长时间不用的电脑,应有防尘罩盖着,并应每半个月通电运行半小时。
3. 3 应对电脑及其设备进行保养清洁,使之不能有灰尘,电脑不能放在潮湿的地方,应放在通风的位置。
3. 4 需保存的信息,除在硬盘保存外,还应进行软盘备份,以免电脑坏时所有的资料丢失。
4 打印机及外围设备的使用。
打印机在使用时要注意电源线和打印线是否连接有效,当出现故障时注意检查有无卡纸。
激光打印机注意硒鼓有无碳粉,喷黑水是否干涸,针打机看是否有断针。
当打印机工作时,不要人工强行阻止,否则,更容易损坏打印机。
5 电脑防病毒的管理。
外来的磁盘,或对外报送的磁盘以及从外界录入信息的磁盘,一律要进行电脑病毒检测,在确保没有病毒时方可进入本公司电脑读取信息。
外来的信息光盘,非经允许,不准在本公司的电脑读取信息,以防止病毒的入侵。
6 每月各基层应维护oa服务器,及时组织清理邮箱,把不重要的文件删除,保证服务器有充足空间, oa系统能够正常运行。
7 用户要每季度至少一次修改自己的应用系统密码。
8 用户如有中毒、操作系统缓慢、死机等问题时,向系统管理人员提出口头请求,接到请求的系统管理人员应及时提供维护服务,并查明出现故障的原因,如因工作无关的东西所造成的,根据情节按下列规定进行处罚。
9 局域网ip地址由系统管理员负责管理,用户不得擅自改变或增加客户端的ip地址,未经许可私自修改电脑ip地址,导致局域网出现ip地址冲突,电脑掉线现象,严重影响了局域网的稳定和畅通。
一经发现罚款100元。
10 用户不得将私人电脑带入公司,不得使用未检测的u盘、不能用电脑给手机充电,一经发现罚款100元。
,
11 禁止在公司电脑安装有害系统运行的游戏与无关软件;
禁止在各部室的电脑上玩游戏和进行与工作无关的各种活动。
一经发现,罚款100元。
12 未经许可私自移动公司在各点分布的网络设备及布线,乱拉线等,一经发现罚款100元。
13 公司电脑系统以及应用平台等经系统管理员装好后一个月内,由于中病毒、自己装卸软件等人为因素导致电脑办公软件、平台无法正常运行的对电脑负责人罚款50元。
14 公司所有电脑上不准使用3g网卡,不准外网与内网共用一台电脑,一经发现由国网公司考核。
15 我公司电脑都有注册,不准使用未经市公司注册的移动储存介质。
16 共用电脑的,查不到责任人时,由部门责任人承担。
17 对于系统和网络出现的异常现象或设备出现故障,管理人员应在第一时间内向分公司系统管理人员汇报,及时处理相应问题。
18 凡是记载秘密信息的纸介质、磁介质、光介质等秘密载体,均要存放在保险柜内,与普通载体分开管理。
19 对涉密的会议文件、资料应进行编号登记,发放时履行签收手续;
及时清理收回。
20 严禁通过互联网传输涉密信息。
不得在没有相应保密措施的计算机信息系统中处理、存储和传输国家秘密、企业秘密, 具体按有关保密规定执行。
2
1 严禁在普通电话、无绳电话和手机中谈论涉密事项,发现他人违反保密规定时应予以制止。
2 2 不得在普通传真机上发送涉及企业秘密的文件。
2 3. 涉密文件复制件视同原件管理,不得改变其密级、保密期限和知悉范围。
销毁复制件,应按正式秘密载体的方式处理。
复制绝密级秘密载体,需经公司领导批准。
2
4 处理废旧报纸、杂志及可对外公开的废旧资料时,要认真清理,防止夹带秘密载体。
第8篇 数据资料信息安全管理制度
第一条 机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。
第二条 各单位要建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。
第三条 各项技术资料应集中统一保管,严格借阅制度。
第四条 应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份,并报送有关部门存放。
第五条 存放税收业务应用系统及重要信息的磁带光盘严禁外借,确因工作需要,须报请有关领导批准。
第六条 对需要长期保存的数据磁带、磁盘,应在一年内进行转储,以防止数据失效造成损失。
第七条 对有关电脑文件、数据进行加密处理。为保密需要,应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息,须经有关领导批准,才能查询、打印有关保密资料。对保密信息应严加看管,不得遗失、私自传播。
第八条 及时关注电脑界病毒防治情况和提示,根据要求调整计算机参数或安装防毒软件,避免电脑病毒侵袭。
第九条 对于联入局域网的计算机,任何人在未经批准的情况下,不得向局域网内拷入软件或文档。
第十条 任何微机需安装软件时,由各单位提出申请,经同意后,由计算机管理人员负责安装。
第9篇 某校信息安全管理制度
1、信息设施操作人员必须熟知所使用设备的基本性能,严格按照规程操作使用。
2、在使用过程中发现异常情况,应及时通知管理员,不准擅自动手拆修,情况紧急要立即关机,切断电源。
3、未经许可,任何人不得私自挪动设备的位置,更换设备的硬件和计算机的软件。
4、使用计算机和网络设备时禁止非正常开关机,不得随意插拔各种连接线,尽量延长设备的使用寿命。
5、设备管理人员要定时进行日常病毒检测,对防病毒软件及时更新,不得传播、复制病毒程序;装入计算机系统的所有程序、数据要经过病毒检查,同时做好重要数据备份工作;禁止安装与工作内容无关的软件。
6、牢固树立安全意识,谨防电脑病毒侵入,拒绝使用来历不明的软件和光盘,已正常运转的软件不得随意修改程序或相关参数。
7、严禁利用终端站点的计算机系统上网制作、复制、查阅和传播下列信息:
▲煽动抗拒、破坏宪法和法律、行政法规实施的。
▲煽动颠覆国家政权、推翻社会主义制度的。
▲煽动民族仇恨、民族歧视,破坏民族团结的。
▲捏造或者歪曲事实,散布谣言,扰乱社会秩序的。
▲公然侮辱他人或者捏造歪曲事实,散布谣言,制造是非的。
▲宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐
怖,教唆犯罪的。
▲夸大其词,损害国家机关信誉的。
▲其他违反宪法和法律、行政法规的。
8、教学人员应于工作学习结束后检查设备是否已经全部安全关闭,并按要求填写运行情况记录。
第10篇 信息安全教育培训管理制度
第一条 为加强我局信息安全建设,提高全体税务干部的信息安全意识和技能,保障我局信息系统安全稳定的运行,特制定本制度。
第二条 信息安全培训旨在强化我局全体税务干部的信息安全意识,使之明确信息安全是每个人的责任,并掌握其岗位所要求的信息安全操作技能。
第三条 针对不同的培训对象进行分层次的培训,信息安全培训分为管理层培训、技术层培训和普通用户层培训三个层面,分层培训内容的参考范围和需达到的标准如下:
一、管理层信息安全培训
(一)对象:市局、各区县局的各级领导。
(二)内容:宏观信息安全管理理念及高级信息安全管理知识。
(三)标准:使管理层人员能够了解其信息安全职责,具备其工作所需的信息安全管理知识和信息安全管理能力。
二、技术层信息安全培训
(一)对象:各级信息化管理部门的各类技术管理人员。
(二)内容:系统安全策略; 内部和外部攻击的检测;常用计算机及网络安全保护手段、 日常工作中需要注意的信息安全方面的事项; 《北京市地方税务局信息系统安全管理框架》下包括的所有制度内容。
(三)标准:使技术层人员能够了解其所从事岗位的信息安全职责,熟悉与其工作相关的各项信息安全制度,具备工作所需的信息安全知识和技能。
三、普通用户层信息安全培训
(一)对象:全局的普通计算机用户。
(二)内容:所在岗位的信息安全职责;计算机病毒预防和查杀的基本技能;计算机设备物理安全知识和网络安全常识; 《北京市地方税务局信息系统安全管理框架》下的所有普通用户应掌握和了解的制度内容。
(三)标准:使普通用户了解其信息安全职责,熟悉与工作相关的各项信息安全制度,具备工作所需的信息安全知识和技能。
第四条 各单位信息安全管理部门和人事教育部门负责每年制定管理层和普通用户层的信息安全培训计划
第11篇 镇学校信息安全管理制度怎么写
1、信息设施操作人员必须熟知所使用设备的基本性能,严格按照规程操作使用。
2、在使用过程中发现异常情况,应及时通知管理员,不准擅自动手拆修,情况紧急要立即关机,切断电源。
3、未经许可,任何人不得私自挪动设备的位置,更换设备的硬件和计算机的软件。
4、使用计算机和网络设备时禁止非正常开关机,不得随意插拔各种连接线,尽量延长设备的使用寿命。
5、设备管理人员要定时进行日常病毒检测,对防病毒软件及时更新,不得传播、复制病毒程序;
装入计算机系统的所有程序、数据要经过病毒检查,同时做好重要数据备份工作;
禁止安装与工作内容无关的软件。
6、牢固树立安全意识,谨防电脑病毒侵入,拒绝使用来历不明的软件和光盘,已正常运转的软件不得随意修改程序或相关参数。
7、严禁利用终端站点的计算机系统上网制作、复制、查阅和传播下列信息: ▲煽动抗拒、破坏宪法和法律、行政法规实施的。
▲煽动颠覆国家政权、推翻社会主义制度的。
▲煽动民族仇恨、民族歧视,破坏民族团结的。
▲捏造或者歪曲事实,散布谣言,扰乱社会秩序的。
▲公然侮辱他人或者捏造歪曲事实,散布谣言,制造是非的。
▲宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的。
▲夸大其词,损害国家机关信誉的。
▲其他违反宪法和法律、行政法规的。
8、教学人员应于工作学习结束后检查设备是否已经全部安全 ,并按要求填写运行情况记录。
第12篇 计算机网络信息安全保护管理制度
第一章 总 则
第一条 为加强我校计算机网络信息系统安全管理,依据《中华人民共和国国计算机信息网络国际联网管理暂行条例规定》、《中华人民共和国国计算机信息系统安全保护条例》、《互联网安全保护技术措施规定》及《关于加强我区重点联网单位计算机互联网络安全管理的通知》等有关规定,结合我校实际,特制定本办法。
第二条 本办法适用于采集、存储、处理、传递和输出的计算机网络信息系统(含计算机单机与便携式计算机)。
第二章 网络安全使用
第三条 我校的用户不得利用计算机网络危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第四条 我校的用户不得利用网络制作、复制、查阅和传播下列信息:
(一) 煽动抗拒、破坏宪法和法律、行政法规实施的;
(二) 煽动颠覆国家政权,推翻社会主义制度的;
(三) 煽动分裂国家、破坏国家统一的;
(四) 煽动民族仇恨、民族歧视,破坏民族团结的;
(五) 捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七) 公然侮辱他人或者捏造事实诽谤他人的;
(八) 损害国家机关信誉的;
(九) 其他违反宪法和法律、行政法规的。
第五条 我校的用户不得从事下列危害计算机信息网络安全的活动:
(一) 故意制作、传播计算机病毒等破坏性程序的;
(二) 严禁在未经他人允许的情况下进入他人电脑,篡改或破怪他人计算机内的文件,盗取他人信息。
(三) 其他危害计算机信息网络安全的。
第三章 组织与职责
第六条 计算机网络信息系统的安全管理实行领导负责制,由使用计算机信息系统的单位主管领导及计算机安全员负责相关网络安全工作,并指定有关机构和人员具体承办。
网络信息安全管理主要职责:
(一) 负责网络的安全保护管理工作,建立健全安全保护管理制度;
(二) 建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(三) 发现有本办法第一条、第二条所列情形之一的,应当保留有关原始记录,并在二十四小时内向本单位领导,并报告网络安全领导小组。
第四章 网络信息安全管理细则
第七条 禁止使用非涉密移动存储介质存储涉密信息。禁止将非涉密移动存储介质接在涉密计算机上使用。
第八条 为保证办公室、计算机教室网络的正常运行,防止各类病毒、黑客软件对计算机联网主机构成的威胁,最大限度地减少此类损失,办公室计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件。并定期检测计算机的病毒和安全漏洞。
第九条 办公室计算机的主机、显示器、硬盘以及系统的基本配置、使用情况需在校电教组存档备案。如有变更应及时申报。严管办公计算机信息的使用、维护的每个环节,通过对操作系统、数据库等系统软件进行补丁包升级或者版本升级,及时堵塞漏洞和消除黑客入侵隐患,确保计算机网络安全。
第十条 在使用计算机信息系统过程中发生黑客攻击事件的单位,应当迅速报告学校领导以及网络信息安全领导小组。
第十一条 建立上网日志记录保存制度,如:bbs记录:包括粘贴文章用户的ip地址、粘贴时间;电子邮件使用情况记录:使用该邮箱的起始时间和终止时间;使用qq等通讯软件情况记录:使用通讯工具的使用时间和通讯内容;以上原始记录应至少保留60天,以备有关领导和部门查询时,予以提供。
第十二条 因工作需要携带便携式计算机外出时,需要向单位领导报告,经领导同意方可带出,外出及归来后需对计算机的内部文件进行检查等。
第十三条 办公室信息的拷贝必须经单位主管领导审批同意、并记录,然后授予其操作权限,个人不得私自拷贝。不得将与办公内容无关的信息存入移动存储介质中。
第十四条 计算机网络及移动存储介质的数据恢复、维修、废弃、销毁工作由专人负责,完善登记审批手续,要标明时间、批准人、经手人、维修单位和地点、相关工作人员、去向、用途等。
第十五条 任何机关、单位不得私自拆卸、维修或销毁计算机。需维修和销毁的计算机及存储移动介质应经单位主管领导审批同意。报废计算机需将硬盘彻底销毁。
喀什市第十九中学
喀什市第十九中学互联网安全应急处置制度
第一章 总则
为了正确、迅速和有效地处置我校内部网络系统可能发生的重大计算机网络安全事故,提高处理突发计算机网络安全事故的控制和排障能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机网络系统安全、数据安全,最大限度地减少计算机网络信息安全事故的危害和影响,保护我校教育教学工作顺利进行,特制定本预案。
第二章 适用范围
本预案适用于喀什市第十九中学在日常工作过程中计算机网络发生的各类突发事件,包括通信网络故障、病毒防范、服务器软件系统故障、核心设备硬件故障、业务数据损坏等计算机网络安全事件。
第三章 工作原则
第一条:预防为主。立足安全防护,加强预警,重点保护基础计算机网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑计算机网络与信息安全保障体系。
第二条:快速反应。在计算机网络事故发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
第三条:按照“以人为本、预防为主、依法规范、职责明确、统一领导、分级管理、属地管理为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
第四章 预防及预警机制
突发计算机网络事故安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
第一条:突发计算机网络事故分类
关键设备或系统的故障;自然灾害(水,火,电等)电脑病毒等恶意代码危害;人为的恶意攻击等。
第二条:应急准备
学校信息中心和各部门信息系统管理员明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
第三条:具体措施
实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对局域网内所有用户和信息系统管理员的安全技术培训。
安装反入侵检测系统,监测恶意攻击、病毒等非法侵入技术的发展,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。
第五章 有关应急预案
第一条:自然灾害(水,火,电等)导致网络故障应急预案
(一)发生自然(水,火,电等)灾害时,第一目击者应立即通知校领导,并及时报告计算机网络事故应急领导小组。
(二)安全员应在第一时间抢出重要的设备和文件,并做登记,方便后期管理。
第二条:通信网络故障应急预案
(一)发生通信线路中断、路由故障、流量异常、域名系统故障后,网络安全员应及时通知本单位信息系统管理员,经初步判断后及时上报校领导和信息中心。
(二)及时查清通信网络故障位置,隔离故障区域,并将事态及时报告计算机网络事故应急领导小组,通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
(三)应急处置结束后,事发单位应将故障分析报告,在调查结束后一日内书面报告校领导。
第三条:不良信息和网络病毒事件应急预案
(一)发现不良信息或网络病毒时,信息系统管理员应立即断开网线,终止不良信息或网络病毒传播,并报告校领导和信息中心。
(二)信息中心应根据校领导指令,采取隔离网络等措施,各单位应安装杀毒软件,并及时更新,立刻杀除杀毒或清除不良信息,并追查不良信息来源。
(三)事态或后果严重的,应及时报告校领导。如有必要,及时上报上级部门。
(四)处置结束后, 信息中心和事发单位应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告计算机网络事故应急领导小组。
第四条:服务器软件系统故障应急预案
(一)发生服务器软件系统故障后,信息中心负责人应立即组织启动备份服务器系统,由备份服务器接管业务应用,并及时报告计算机网络事故应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。
(二)信息中心应根据校领导指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商和上级单位,请求技术支援,作好技术处理。
(三)事态或后果严重的,及时报告市上级部门。
(四)处置结束后, 信息中心应将事发经过、处置结果等在调查工作结束后一日内报告校领导。
第五条:黑客攻击事件应急预案
(一)当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告校领导。
(二)接报告后,计算机网络事故应急领导小组应立即指令信息中心核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,查看计算机中存在的危险端口并予以关闭,阻断可疑用户进入网络的通道。
(三)信息中心应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应上报市局应急领导小组,并请求支援。
第六条:核心设备硬件故障应急预案
(一)发生核心设备硬件故障后,信息中心应及时报告计算机网络事故应急领导小组,并组织查找、确定故障设备及故障原因,进行先期处置。
(二)若故障设备在短时间内无法修复,信息中心应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(三)信息中心应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
第六章 应急处置
(一)发生信息网络突发事件后,相关人员应在5分钟内向校领导报告,计算机网络事故应急领导小组组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
(二)发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,并立即向上级部门报告。
第七章 善后处置
应急处置工作结束后,学校组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
喀什市第十九中学
第13篇 市政办信息安全管理制度
第一条本办法适用年度全区商标品牌发展工作目标的管理与考评。
第二条本工作目标考评对象为各镇、街道,经济开发区。
第三条考核项目分为确保项目、力争项目和加分项目三部分。确保项目总分100分,力争项目和加分项目按实际结果计算分数,上不封顶。
(一)组织领导(12分)
1、建立健全商标发展工作领导机构和办公机构(1分);
2、商标发展办公机构专(兼)职工作人员不少于2人(1分);
3、调研本地商标发展现状和存在的问题,制定本地商标发展规划(2分)、考核办法(2分)、建立商标台帐(2分);
4、分解商标发展任务,并签订目标任务书(2分),组织对商标发展工作的检查与考核(2分)。
(二)商标宣传(18分)
1、组织与商标发展工作有关的宣传活动,全年在市级以上新闻媒体发表宣传稿件不少于2篇(12分);
2、结合本地实际,开展多种形式的商标宣传和培训活动(6分)。
(三)商标培育和发展(55分)
1、年度新申请注册商标(30分);
2、组织和帮助企业争创省著名商标,经济开发区2件、每镇、街道各1件(5分);
3、积极申报市知名商标,经济开发区2件,每镇、街道各1件(10分);
4、做好农副产品商标培育,每镇各2件(5分);
5、做好服务商标培育,经济开发区10件,每镇、街道各2件(5分)。
(四)商标使用和保护(15分)
指导商标持有人用好用活商标,对长期未使用的商标进行许可使用或有价转让(15分)。
(五)力争和加分项目
1、在完成确保任务的基础上,每新增省著名商标1件加10分,新增市知名商标1件加5分;
2、农副产品商标申请注册,在完成确保任务的基础上,每增加1件加2分;
3、服务商标申请注册,在完成确保任务的基础上,每增加1件加5分;
4、完成集体商标注册受理1件,加5分;
5、完成地理标志商标注册受理1件,加15分;
6、积极开展品牌培育基地建设,被确认为省级基地的,每个加10分,被确认为市级基地的,每个加5分。
(六)得分计算
1、按目标完成情况加减分:目标得分=确保项目得分之和+力争和加分项目得分之和;
2、确保项目扣分:按完成情况的比例相应减分;
3、商标发展项目说明。共分三类:一是确保项目,即下达的基本目标任务,要求按照考核节点、序时进度完成的项目。二是力争项目,在完成确保项目后,方可申报力争项目;完成力争项目,按标准加分,完不成不减分。三是加分项目,完成按标准加分。
第四条各单位商标发展工作的日常管理由工商分局牵头组织实施。
第五条目标考评实行定量和定性相结合考核、年终考评、区考评为主的原则。
第六条区商标和品牌发展工作领导小组办公室和工商分局负责目标考评。各单位商标发展工作目标考评结果在全区经济建设和社会发展目标综合考评体系中按比例折算总分计入。
第七条本办法由区商标和品牌发展工作领导小组办公室和工商分局负责解释。
相关推荐:
烟草专卖局灭火减灾预案
汽车公司招聘管理制度
新公司员工守则
办公室行政管理制度范本
人事管理制度范本
食品仓库管理制度
某公司福利制度范本
后勤食堂管理制度
商贸公司管理制度
第14篇 医院信息安全管理制度
一、计算机安全管理
1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。
2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。
3、计算机的软件安装和卸载工作必须由信息科技术人员进行。
4、计算机的使用必须由其合法授权者使用,未经授权不得使用。
5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。
6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。
7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
网络使用人员行为规范
1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。
2、不得在医院网络中进行国家相关法律法规所禁止的活动。
3、未经允许,不得擅自修改计算机中与网络有关的设置。
4、未经允许,不得私自添加、删除与医院网络有关的软件。
5、未经允许,不得进入医院网络或者使用医院网络资源。
6、未经允许,不得对医院网络功能进行删除、修改或者增加。
7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
8、不得故意制作、传播计算机病毒等破坏性程序。
9、不得进行其他危害医院网络安全及正常运行的活动。
二、 网络硬件的管理网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。
2、不得破坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。
3、未经允许,不得中断网络设备及设施的供电线路。因生产原因必须停电的,应提前通知网络管理人员。
4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员,在得到允许后方可实施。
四软件及信息安全
1、计算机及外设所配软件及驱动程序交网络管理人员保管,以便统一维护和管理。
2、管理系统软件由网络管理人员按使用范围进行安装,其他任何人不得安装、复制、传播此类软件。
3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配,任何人不得擅自超越权限使用网络资源及网络信息。
4、网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。
5、任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。更不得利用医院数据信息获取不正当利益。
第15篇 大同发电公司网络信息安全管理制度
第一条根据国电集团公司下达的国电集科[2004]83号文件《国电集团公司多媒体广域网络系统管理办法及信息技术规范的通知》的要求。制定网络安全管理制度,适合在大同发电有限公司内的管理信息网络中使用。
第二条安全管理制度须从以下几个方面进行规范:物理层、网络层、平台安全,物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。
机房安全管理
第三条 大同发电公司网络机房是网络系统的核心,除网络信息处管理人员外,其他人不经允许不得入内,网络信息处的管理人员不准在主机房内会客或带无关人员进入。未经许可,不得动用机房内设施
第四条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天下班前须检查设备电源情况,在确保安全的情况下,方可离开。
第五条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。
第六条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。
第七条机房温度要保持温度在18±5摄氏度,相对湿度在50%±5%。
第八条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。
第九条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。
第十条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。
第十一条机房电源不可以随意断开,对重要设备必须提供双套电源。并配备ups净化电源供电。公司办公楼如长时间停电须通知信息主管部门,制定相应的技术措施,并指明电源恢复时间。
设备安全管理
第十二条网络系统的主设备是连续运行的,网络信息处每天必须安排专职值班人员。
第十三条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向网络信息处领导报告,遇有紧急情况,须立即采取措施进行妥善处理。
第十四条 负责填写系统运行日志、操作日志,并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。
第十五条 负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。
第十六条 不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备,确需移动的要经网络信息处领导同意。
第十七条 在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电(可摸一下暖气管或接地线)。
网络层安全
第十八条公司网络与信息系统中,在网络边界和对外出口处必须配置网络防火墙。
第十九条未实施网络安全管理措施的计算机设备禁止与internet相连。
第二十条任何接入网络区域中的网络安全设备,必须使用经过国家有关安全部门认证的网络安全产品。
第二十一条在计算机联入企业信息网络之后,禁止一其他任何方式(如拨号上网、isdn、adsl等)与internet相连。
第二十二条对于公司企业内部网路应当根据应用功能不同的要求,必须进行网络分段管理,以防止通过局域网“包广播”方式恶意收集网络的信息。
系统安全管理
第二十三条 禁止下载互联网上任何未经确认其安全性的软件,严禁使用盗版软件及游戏软件。
第二十四条 密码管理:密码的编码必须采用尽可能长并不易猜测的字符串,不能通过电子邮件等明文方式传送传输,密码必须定期更新。
第二十五条 登陆策略:仅给经过授权的用户暴露账号,不得设置多人共用的账号,连续登陆三次失败,须暂时禁止此账号并通知该账号用户。
第二十六条 普通系统用户:未经相关部门许可,禁止与其他人员共享账号和密码;禁止运行网络监听工具或其他黑客工具;禁止查阅别人的文件。
第二十七条 系统管理员:不得随意在系统中增加账号,随意修改权限,未经管理部门的许可,严禁委托他人行使管理员权利。
第二十八条 外来软盘或光盘须在没联网的单机上检查病毒,确认无毒后方可上网使用。私自使用造成病毒侵害要追究当事人责任。
第二十九条 网络系统的所有软件均不准私自拷贝出来赠送其它单位或个人,违者将严肃处理。
系统应用安全管理
第三十条 实行专人负责检测病毒,定期进行检查,配备相应的实时病毒**。
第三十一 条 严禁随意使用软盘和u盘等存储介质,如工作需要,须经过病毒检测方可使用。
第三十二条 严禁以任何途径和媒体传播计算机病毒,对于传播和感染计算机病毒者,视情节轻重,给予适当的处分。制造病毒或修改病毒程序制成者,要给予严肃处理。
第三十三条 发现病毒,应及时对感染病毒的设备进行隔离,情况严重时报相关部门并及时妥善处理。
第三十四条 实时进行防病毒监控,做好防病毒软件和病毒代码的智能升级。
第三十五条应当注意保护网络数据信息的安全,对于存储在数据库中的关键数据,以及关键的应用系统应作数据备份,数据备份应当满足《国电电力大同发电公司数据备份管理制度》的要求。
附则
第三十六条 本办法从公布之日起实施。 本办法由总经部网络信息处负责解释
