第1篇 信息、管理信息概述安全管理信息系统
一、信息的概念
“信息”是个古老而又现代化的概念。“信息”这个词到现在还没有公认的定义,国内外关于“信息”的定义说法有39种之多,尚处于可领会而不易言传的阶段。
客观世界的三大要素是物质、能量和信息。人类认识物质和能量要早一些。50年代以来,由于科学技术的进步,特别是微电子学的发展,使得信息与知识的传递、知识与情报的交流,无论在空间和时间上都达到空前的规模。
什么是信息?一般认为信息是客观存在的一切事物通过载体所发生的消息、情报、指令、数据、信号和所包含的一切可传递和交换的知识内容。信息是表现事物特征的一种普遍形式,或者说信息是反映客观世界各种事物的物理状态的事实之组合。不同的物质和事物有不同的特征,不同的特征会通过一定的物质形式,如声波、文字、电磁波、颜色、符号、图像等发出不同的消息、情报、指令、数据、信号。这些消息、情报、指令、数据、信号就是信息。信息是自然界、人类社会和人类思维活动中普遍存在的一切物质和事物的属性。
人和动物的大脑通过感觉器官(或仪器)接受外界物质和事物发出的种种消息、情报、指令、数据、信号来识别物质和事物的存在、发展和变化。信息交换的范围很大,包括人与人、人与动物、人与植物、植物与植物、细胞与细胞、物质与物质之间发生的信息交换与传递。
知识是一种特定的人类信息,是整个信息的一部分。在一定的历史条件下,人类通过有区别、有选择的信息,对自然界、人类社会、思维方式和运动规律进行认识与掌握,并通过大脑的思维使信息系统化,形成知识。知识是存在于一个个体中的有用信息。这是人类社会实践经验的总结,是人的主观世界对客观世界的真实反映和理论概括。所以,社会实践是知识的源泉,信息是知识的原料,知识是经过系统化的信息。智能是为了达到某些特定的目的而运用这些信息的能力。
人类社会的进步,就是人们根据获得的信息去感知世界、认识世界、改造世界。也是创造知识,利用知识、积累知识、发展知识的过程。
二、信息论的产生和发展
人类利用信息的历史可以追溯到远古时代。结绳记事和2700多年前我国周朝幽王时期用烽火为号等都是存储信息、传递信息和利用信息的原始形式。到19世纪末叶,光通讯被有线电通讯所取代,尔后又出现了无线电通讯。通讯手段的日益革新,意味着传递信息的方法越来越改善,信息的重要性也就越来越突出。与此同时,研究信息的理论也就产生了。
现代信息论是从本世纪20年代奈奎斯特和哈特莱的研究开始的。他们最早研究了通讯系统传输信息的能力,并试图度量系统的信息容量。但是,信息论真正作为一门新的学科,却是在本世纪40年代后期才形成的。”48年美国贝尔电话研究所的数学家仙农发表了《通讯中的数学问题》,1949年又发表了《噪声中通讯》,从数学上研究了定量描述信息的方法以及如何尽快传递、处理信息的原理,奠定了信息论的基础。从此信息论作为一门科学在自然小学中有了自己的地位,仙农就成为信息论的奠基人。
信息论是一门用数理统计方法来研究信息的度量、传递和变换规律的科学,它主要是研究通讯和控制系统中普遍存在着的信息传递的共同规律以及研究最佳解决信息的获取、度量、变换、储存、传递等问题的基础理论。
第2篇 区二中网络与信息安全管理应急预案
二中网络与信息安全管理应急预案
为确保网络正常使用,充分发挥网络在信息时代的作用,促进教育信息化健康发展,根据国务院《互联网信息服务管理办法》和有关规定,特制订本预案,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。
一、危害网络与信息安全突发事件的应急响应
1.如在局域网内发现病毒、木马、黑客入侵等
网络管理中心应立即切断局域网与外部的网络连接。如有必要,断开局内各电脑的连接,防止外串和互串。
2.突发事件发生在校园网内或具有外部ip地址的服务器上的,学校应立即切断与外部的网络连接,如有必要,断开校内各节点的连接;突发事件发生在校外租用空间上的,立即与出租商联系,关闭租用空间。
3.如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改,要立即切断服务器的网络连接,使得外部不可访问。防止有害信息的扩散。
4.采取相应的措施,彻底清除。如发现有害信息,在保留有关记录后及时删除,(情况严重的)报告市教育局和公安部门。
5.在确保安全问题解决后,方可恢复网络(网站)的使用。
二、保障措施
1.加强领导,健全机构,落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组,并设立安全专管员。明确工作职责,落实安全责任制;bbs、聊天室等交互性栏目要设有防范措施和专人管理。
2.局内网络由网管中心统一管理维护,其他人不得私自拆修设备,擅接终端设备。
3.加强安全教育,增强安全意识,树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因,各校要加强对教师、学生的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力,引导他们正健康用网。
4.不得关闭或取消防火墙。保管好防火墙系统管理密码。每台电脑安装杀毒软件,并及时更新病毒代码。
第3篇 zx校卫生、安全管理突发事件信息员职责
中心校卫生、安全管理突发事件信息员职责
1.负责学校卫生、安全管理中突发事件的信息工作,包括突发事件信息的收集、整理与核实和向上级有关部门报告、反馈相关信息。
2.学校发生的卫生、安全突发事件,要按规定在第一时间内上报,必要时应连续报道事态的进展、处置、原因等重要情况。
3.对领导参与解决处理突发事件的讲话、意见,要及时整理上报。
4.负责对卫生、安全管理突发事件的发生、及时处理整个过程资料的收集。
第4篇 南方医院信息与网络安全保护管理规定
大学附属医院信息与网络安全保护管理规定
第一章 总则
第一条 为了加强对医院信息网络系统的安全保护,促进医院信息网络的应用和发展,保障医院信息网络系统有序运行,根据《中华人民共和国计算机信息系统安全保护条 例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《广东省计算机信息系统安全保护管理规定》、《广东省计算机信息系统安全保护管理规定实施细则(试行)》和有关法律、法规,结合医院实际,制定本规定。
第二条 本规定所指的信息网络系统,是指在医院信息系统中,由计算机及其相关配套的设备、设施构成,按照系统应用目标和规定对医院信息进行采集、存储、传输、检索、汇总、加工等处理的人机系统。
第三条 医院信息网络系统管理及安全保护,是为了保障医院信息管理系统功能的正常发挥,保障运行环境和信息的安全,以维护信息网络系统的安全运行。
第四条 本规定适用于医院全部上网运行的计算机。
第五条 本规定适用于全院应用“zz一院信息系统”的所有科室和个人。
第六条 任何科室或者个人不得利用上网计算机从事危害医院利益的活动,不得危害医院信息网络系统的安全。
第二章 安全监督
第七条 医院信息网络系统的组织管理机构是医院信息网络管理领导小组(简称领导小组)。
㈠领导小组由下列人员组成:
组长:院长或主管副院长
副组长:业务副院长或职能机关领导
成员:院长办公室主任、医务处处长、护理部主任、药学部主任、信息网络科科长、医务处主管医疗工作人员和护理部主管护理工作人员各1名、计算机工程技术人员若干名。
㈡领导小组的主要职能和任务:
1、制定医院信息系统建设和应用总体规划及阶段实施计划,审查和制定系统应用中的工作流程、技术规范、性能指标、有关人员职责和规章制度。
2、协调解决工程实施和系统应用中的重大问题。
3、组织安排系统建设和应用中的重要活动,如网络管理、系统配置、人员培训等。
4、紧急情况下,领导小组可以采取特别措施以维护医院信息网络系统安全。
第八条 信息网络科是系统建设、应用组织的主要负责部门,是系统运行的保障者,应对所属人员实行分工负责。信息网络科应对医院信息网络系统的安全策略和解决方案作出规划并组织实施。信息网络科对信息网络系统安全保护工作行使下列职责:
1、监督、检查、指导信息网络系统安全维护工作;
2、查处危害信息网络系统安全的违章行为;
3、履行信息网络系统安全工作的其他监督职责。
第九条 计算机工程技术人员全面负责信息网络系统的规划、设计、配置,负责系统的调试、维护、安全管理、人员培训等具体实施工作。
计算机工程技术人员发现影响信息网络系统安全的隐患时,可立即采取各种有效措施予以制止。
计算机工程技术人员在紧急情况下,可以就涉及信息网络系统安全的特定事项采取特殊措施进行防范。
第三章 安全保护管理
第十条 任何科室和个人不得利用医院信息网络系统制作、复制、传播和查阅以下信息:
㈠煽动抗拒、破坏宪法和法律、法规的实施的;
㈡煽动颠覆国家政权,推翻社会主义制度的;
㈢煽动分裂国家、破坏国家统一的;
㈣煽动民族仇恨、民族歧视,破坏民族团结的;
㈤捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
㈥宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
㈦公然侮辱他人或者捏造事实诽谤他人的;
㈧损害国家机关信誉的;
㈨其他违反宪法和法律、行政法规的。
第十一条 任何科室和个人不得从事下列危害医院信息网络系统安全的活动:
㈠未经允许,进入医院信息网络系统或者使用信息网络系统资源的;
㈡未经允许,对信息网络系统功能进行删除、修改或者增加的;
㈢未经允许,对信息网络系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
㈣未经允许,擅自盗取医院相关数据或程序代码的;
㈤故意制作、传播计算机病毒等破坏性程序的;
㈥其他危害信息网络系统安全的。
第十二条 信息网络系统的安全保护
㈠信息网络系统的建设和应用,应遵守上级主管机关颁发的行政法规、用户手册和其他有关规定。
㈡信息网络系统实行安全等级保护和用户使用权限划分,所有访问信息网络系统的人员必须按程序报审。
㈢信息网络系统中心机房应符合国家标准和国家规定,由信息网络科作好日常清洁及防干扰工作。
㈣在信息网络系统设施附近进行房屋维修、改造及其他活动,不得危害信息网络系统的安全。如无法避免而影响信息网络系统设施安全的作业,须事先通知信息网络科,经负责人同意并采取保护措施后,方可实施作业。
㈤信息网络系统的使用科室和个人都必须遵守计算机安全使用规定,以及有关的操作规程和规章制度。
㈥对信息网络系统中发生的问题,使用科室应立即上报信息网络科。
对计算机病毒和其他危害信息网络系统安全的数据信息的防治工作,由信息网络科负责处理。
㈧对信息网络系统软件、设备、设施的安装、调试以及故障排除等项操作由计算机工程技术人员负责。其他任何科室或个人不得自行拆卸、安装任何软、硬件设施。
㈨在医院信息网络系统未与外网连接之前,所有连接医院信息系统的计算机绝对禁止连接internet网或其他公共网络。
所有科室及个人不得使用非医院指定计算机连接医院信息网络。
(十一)任何科室和个人不得私自架设无线网络设备和基站。
第十三条 网络的技术管理
㈠计算机工程技术人员是信息网络系统技术管理的直接责任者,应以实现系统功能为目的,以满足用户需求为宗旨,对网络系统的操作和维护进行管理。
㈡网络内各类设备的配置,由系统负责人提出配置规划和计划,报有关领导审批后实施。
㈢每一子系统或挂接的可执行程序在上网运行前,计算机工程技术人员必须严格按照功能要求在备用服务器上进行全面调试,达到功能要求且排除一切可能的数据冲突后交用户实际上网使用。
计算机
工程技术人员实行分工负责制。信息网络系统的各种设备由信息网络科负责人管理或指定专人负责。
㈤系统管理员或机房值班人员负责网络服务器的数据备份和日常工作。
㈥系统负责人全面负责技术支持和运行保障工作,出现技术问题或故障时,应组织技术力量在最短时间内处理。
第十四条 工作站管理
㈠网络工作站作为信息网络系统专用设备,使用科室、个人不得擅自在终端机上装载其他软件和移动存储设备如3.5”软盘或优盘等。
㈡各工作站所有使用人员必须严格遵守《新his系统工作站用户手册》所规范的各项操作规程以及有关计算机管理制度,严格按照计算机操作使用规程进行操作。
㈢各工作站配置的计算机、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格办理交接手续。使用人必须保持各种网络设备、设施整洁干净,并认真做好网络设备的日清月检,使网络设备始终处于良好的工作状态。
㈣加强设备定位定人管理,未经信息网络科允许,不得随意挪动、拆卸和外借所有网络设备、设施。
不得擅自装载、卸载和变更计算机网络设置。
各工作站周围严禁存放易燃、易爆、易腐蚀及强磁性物品,做好放火、防盗措施。
各工作站使用科室必须按程序报审本科室的操作人员名单,如操作人员有变动应及时上网调整,或上报信息网络科予以变更。
操作人员应严格保密个人密码,严禁泄漏、外借密码;个人秘密必须在第一次使用时进行修改,经信息科检查发现超过三个月未修改的,将暂时取消相应的操作权限,操作人员凭个人身份证明到信息科修改后方可继续使用。
严禁无关人员上机操作或进行其他影响系统正常运行的工作。
严格交接班制度,工作中遇到问题要及时报告。
(十一)使用时如发现运行故障,要及时上报信息网络科。
第四章 罚则
第十五条 任何科室或个人利用网络从事危害国家安全的活动,违反刑法的,依法交相关国家机关,依照有关法律法规予以处罚。
第十六条 违反本规定,有以下行为之一的,由计算机工程技术人员以口头或书面形式进行警告:
㈠违反信息网络系统安全保护制度,危害网络系统安全的;
㈡接到计算机工程技术人员要求改进安全状况的通知后,拒不改进的;
擅自安装、拆卸软、硬件设备的;
㈣擅自更改网络设置的;
㈤发现信息网络系统出现问题不立即报告的;
㈥有危害信息网络系统安全的其他行为。
第十七条 违反本规定,有下列行为之一的,全院通报批评并处予扣发酬金100-500元:
㈠在工作站进行与医院信息网络系统无关操作而造成危害的;
㈡私自拆卸、更改网络设备而造成危害的;
㈢向他人泄露帐号密码而造成不良后果的。
第十八条 利用终端设备进行与信息系统无关的操作,导致病毒侵袭而造成下列损害之一的,全院通报批评并处以以下经济处罚:
㈠造成设备损害的,原价赔偿;
㈡造成工作站系统破坏的,扣发酬金1-3个月,并赔偿全部修复费用;
㈢造成网络部分或全部瘫痪的,处予严厉的行政处分,造成的经济损失由个人承担40%,科室承担60%。
第十九条 因以下行为对医院信息系统的运行造成下列后果之一的,由医院给予以下处罚:
㈠下发的计算机、打印机等设备由所属科室负责管理,对由于责任心不强而造成计算机、打印机被盗或损坏者,原价赔偿。
㈡由于操作者违章操作,造成计算机软、硬件故障,而影响医院信息网络系统的正常运行者,扣发酬金1-3个月,情节特别严重的追究科室负责人的领导责任。
㈢对因违章操作造成系统数据丢失、核算错误,给医院造成重大经济损失的,个人承担损失费用的40%,科室承担60%。
㈣私自添加、删除计算机保存内容;私自更改计算机的各种文件配置;私自更改本信息网络系统应用程序以及参数设置,未造成重大技术事故和经济损失者,扣发酬金1-3个月。造成重大技术事故和经济损失者,造成的经济损失由个人承担40%,科室承担60%。
第二十条 在网络系统设备、设施附近作业而危害网络系统安全,影响网络正常运行造成经济损失的,由作业科室赔偿;造成医院财产严重损失的,追究其民事责任。
第二十一条 对于其它违反本规定的行为,由医院信息网络管理领导小组按有关管理办法进行处罚。
第五章 附则
第二十二条 本规定由信息网络科负责解释。
第5篇 人员离岗离职信息安全管理规定
为规范本单位计算机信息安全工作,更好的服务于本单位信息化建设需要,特制定本规定:
第一条为保证本单位的计算机与网络信息安全,适应信息安全等方面的需要,防止计算机网络失密泄密事件发生,特制定本制度;
第二条工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。
第三条离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归本单位所有,而无论这些秘密信息有无商业上的价值。
第四条离职人员应当于离职时,或者于本单位提出请求时,返还全部属于本单位的财物,包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,本单位应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由本单位将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,本单位也无须给予离职人员经济补偿。
第五条离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员,不得在离职后以任何形式带走相关信息。
***********
年月日
第6篇 火力发电厂安全性评价管理信息系统的设计
1. 引言
现代社会中,电力工业的安全生产对国民经济和人民生活有着举足轻重的影响,做好安全生产工作始终是发电企业的永恒主题。然而,由于我国电力工业的特点及人员、设备、管理以及环境等诸多方面的原因,目前在发电企业中普遍存在着许多不安全的因素,因此,为了提高反事故工作的可预见性和安全投资效益,达到对可能发生事故的超前控制、将各种事故消灭在隐患之中,用一种科学的方法分析、预测电力生产设备系统中可能发生的事故及其概率的高低,具有重要的意义。
安全性评价是一项目前国际上比较流行的一种对安全工作系统化、规范化、可操作性强的管理模式,它是对一个系统(大到一个企业,小到一个车间、一个班组、一项工程设计、一个工艺流程、一个装置或设备等)的安全性进行识别,并给出定性或定量的评价的工作,使用这种方法可以预见到系统客观上存在但尚未引发事故的各种危险因素,并对系统的安全性作出大致的评价。因此,搞好安全性评价对提高发电企业的安全生产工作水平,降低安全事故的发生率具有重要的意义。
现代社会是一个科学技术飞速发展的时代,特别是计算机科学的兴起,使我们的社会生活发生了巨大的变化,计算机以快速、高效的性能,改变了我们工作和生活的方方面面,把我们从繁重复杂的工作中解放出来,将安全性评价工作与计算机结合起来,将会给我们的安全性评价工作带来质的飞跃。
2. 系统目标
通过对用户需求和安全性评价管理业务的调查和分析,研究管理实施所需要的功能,系统应达到以下目标.
2.1 面向多用户
安全性评价是以各部门、各班组为基本单位进行的以群众性自查为主的工作,其管理和应用是面向多部门、多用户、同步性协作式方向发展,安全性评价的数据库结构复杂,数据量较大,同一数据用户比较多,如:在进行安全性评价登记的时候,全厂任何人都可以进行评价登记,因此建立具有数据共享机制的系统体系结构具有重要的意义。
2.2 业务功能完善
根据<<火力发电厂安全性评价>;>;(中国华北电力集团公司安全监察部 编著)一书中的规定,在安全性评价管理软件的业务流程中需要系统具有能够填写该书中附录1-----附录5中的内容,并且应具有条件查询、结果分析、评价项目维护与注销、用户系统权限维护、填写记录自动生成、评价结果自动生成、报表输出等功能。
2.3 软件具有很强的适应性、可以满足不同电厂的需要
对于不同的电厂或电力企业,本系统应能适应其安全性评价工作的要求。
3.系统设计
3.1 client/server数据库运行模式
client/server体系结构是新型的计算机网络构造方法。在
client/server结构下,应用系统被分为前端(客户机部分)和后端(服务器部分)两个部分,client/server模式是指一个复杂的计算机应用任务被合理的分解为多个子任务,由服务器和客户机分别承担。合理有效的利用了客户机和服务器的资源:大大减少网络通信的负担,改善了系统运行的总体性能。客户机和服务器之间体现为服务请求/服务响应关系,即用数据库服务器完成数据处理的功能,而客户机完成应用事务的组织和人机界面的实现。
在client/server体系结构中,客户机的功能主要有管理用户接口、从用户接受数据、处理应用逻辑、产生数据库请求,向服务器发送数据请求、从服务器接受结果和格式化结果;服务器的功能是从客户机接受数据库请求、处理数据库请求、格式化结果并传送给客户机、执行完整性检查、提供并行访问控制、执行恢复、优化查寻和更新处理。
在面向多用户的系统环境中,数据库系统运行模式对数据的共享、并发性和一致性起着决定性作用,对系统的性能起着关键作用,而client/server体系结构在这方面有着明显的优势。所以,安全性评价管理信息系统采用client/server数据库运行模式。
3.2 数据库及开发工具
本系统采用powerdesigner来建立数据库模型,powerdesigner是sybase 公司的case工具集,使用它可以方便的对信息系统进行分析与设计,这个工具集包含了四个模块,覆盖了软件开发生命周期的各个阶段。采用powerdesigner可以方便的画出数据流图、实体关系图,得到系统完整的逻辑模型,并且利用它自身提供的接口可以实现由实体关系图向物理模型的自动转换,使设计人员可以在物理模型的基础上进行数据库的后台设计。如下所示的是利用powerdesigner为本系统建立的部分实体关系图,可以看出,通过使用 powerdesigner,可以形象的描述出本系统中需要处理的信息。图一
除了使用powerdesigner进行数据建模以外,系统采用powerbuilder7.0作为主要开发工具,powerbuilder7.0是一个面向对象的client/server开发工具,开发出的代码具有很强的可重用性,它提供了众多的描绘器用于创建和管理不同的对象,提供了丰富的对象、控件和函数,开发效率高,成本低,对数据库的应用开发有着特殊的支持,具有强大的数据库操作功能,用在开发客户应用程序时,这个程序首先建立一个与数据库的通信通道,然后将用户的需求以某种方式传送给数据库服务器,在应用程序接收到数据库服务器返回的数据后,它分析返回的数据并呈现给用户。而数据库服务器是一个存取数据和管理数据的软件,它针对客户的请求为客户提供数据服务,这些服务包括数据插入、修改和查询等。系统可选用oracle、sysbase、informix、sqlserver等目前流行的各种关系数据库,在蒲山发电运营中心安全性评价管理实例中我们采用oracle8i作为后台数据库服务器系统,oracle8i是一个功能极其强大和灵活的关系型数据库系统,适应于client/server数据库体系结构。
3.3 网络结构设计
数据库
服务器安全性评价管理信息系统是在局域网基础上建立的client/server体系结构,图二是以蒲山发电运营中心的局域网为例的网络示意图:
中心交换机
边缘交换机
边缘交换机
光纤
客户端
客户端图二
主干网采用100m光纤进行连接,各部门、班组和控制室等通过hub(集线器)与主干网相连,网络协议采用tcp/ip协议。
4.系统开发
4.1 面向对象的开发方法
面向对象的程序设计在当今的应用程序开发中具有重要的地位,它相对于传统的开发方法而言,提高了程序开发的质量和速度,是一种建立在现实世界基础上的新的软件开发思维,代表了一种全新的程序设计思路和观察、表述、处理问题的方法,它力求符合人们日常自然的思维习惯,降低,分解问题的难度和复杂性,提高整个求解过程的可控制性、可监测性和可维护性,从而达到以较小的代价和较高的效率获得较满意效果的目的,在开发过程中,它强调的是系统开发的关键是来自对前端概念的理解而不是对后端方法的实现。只有当应用领域的固有的概念被识别、理解并构造清楚了,才能有效地设计系统的数据结构以及实现的功能。powerbuilder7.0是一个面向对象的开发工具,利用它可以开发出面向对象的windows应用程序,powerbuilder7.0在系统中具有封装性、继承性和多态性的特征。利用面向对象的方法可实现系统和人机交互界面的设计,数据管理的设计。powerbuilder7.0采用面向对象的方法开发应用程序的用户界面,充分利用windows的窗口资源,从而不仅使用户界面更加美观、简洁、易操作,而且提高了窗口的可重复利用性。
4.2 功能实现
根据对安全性评价需求的调查和对整个评价业务的研究,以及对整个安全评价管理信息系统操作流程的分析,系统应具有以下功能,如图三所示:
系统功能
查询功能
维护功能
填写与审核
辅助分析
自动生成
输出功能
图三
其中维护及填写与审核应能实现如图四、图五所示的功能:
系统维护
系统权限维护
系统数据维护
检查项目
评价结果项目
评价项目
操作权限
人员项目对应关系
图四
发现安全问题
填写安全评价发现问题及整改措施
利用历次的记录生成
上报
进行审核
审查合格
不合格,退回重新填写
记录可以进行自动生成
可以查看评价标准
利用填写的发现问题及整改措施生成查评扣分记录
直接填写
终结,打印最终结果
利用查评扣分记录自动生成或手动填写
填写查评扣分记录
可以查看评价标准填写评价结果明细总分自动生成
利用查评扣分记录自动生成或手动填写
填写安全评价总表
图五
4.2.1 维护功能
维护功能是安全性评价管理信息系统的一个特色,利用它可以维护所有在填写、查询等功能中用到的数据,这样就保证了整个系统在使用时候的可适应性以及灵活性。维护分为对系统数据的维护和对系统权限的维护。利用系统权限的维护,可以控制用户在整个系统中的访问权限,从而保证整个系统的安全性,利用系统数据的维护,可以对在整个系统中使用到的一些基本数据(比如:安全评价项目的维护)进行维护操作,包括填加、删除、注销等功能。如图六、图七所示:其中图六表示的是系统权限的维护,图七表示的是对系统数据的维护。
图六 图七
4.2.2填写与审核功能
填写与审核在整个安全性评价系统中占有重要的地位,用户利用这个功能进行评价结果的填写与审核,最终生成最后的评价结果。在填写的时候,每个项目任何人都可以对其安全性进行评价,在评价的时候可以实时利用局域网的连接在数据库中查询别人已经填写过历次有关该项目的记录,对于某条或几条记录如果认为可以使用或在上面进行修改的话,可以利用生成按钮将这些记录直接生成过来。而在审核的时候,只能有特定的几个被赋予审核权限的人才可以进行操作。通过审核,生成最终的评价结果。在审核和评价的时候,为了对项目填写和审核的方便,把握评价的尺度,当点击某项目的时候,可以在这些窗口中随时查看到该项目评价的标准。如图八所示:该图表示的是填写时的情况
图八
4.2.3 查询功能
查询是安全性评价管理信息系统的一项重要的功能,也是作用最为显著的功能,根据用户的需求,它包括简单数据的查询和对评价结果综合分析的查询,按照查询手段的不同,它包括按照时间查询和包括时间查询在内的条件查询,各类查询还可以交叉进行,这是目前在安全性评价系统中作用发挥的最突出的部分,通过查询,用户可以对整个安全评价过程进行了解。如可以对整个安全评价最终结果进行查询,如图九所示:
图九
4.2.4 辅助分析功能
系统的辅助分析功能主要是对评价的最终结果进行分析,包括本次评分情况分析以及历次得分情况分析等,通过这个功能,可以使用户对全厂的整个安全情况有一个总体的认识,可以把握全厂的安全性情况走势。如图十所示:图十
4.2.5 数据的自动生成功能
由于安全性评价是一项群众性的安全自查活动,因此,为了服务于多用户的使用,提高进行评价登记时的效率,减轻登记人员的工作量,设计了数据的自动生成功能,利用这项功能,用户可以将历次评价中自己或别人所填写的内容生成到自己的填写表格中去。见4.2.3填写与审核中图。
4.2.6 输出功能
输出功能也是系统的一项重要功能,利用它,系统可以进行在安全评价中各种报表的输出,根据用户不同的要求,系统具有不同的输出形式,用户只需简单的操作,就可得到需要的输出结果。图十一所示的是附录四在打印时的情况:图十一
5.结束语
安全性评价是一门正在新兴的软科学,它使我们的安全管理工作从传统的经验管理走向了科学管理,使定量评价成为我们今后进行安全工作的一项重要的方法和手段,将计算机科学与其结合在一起,将使我们的安全性评价管理工作迈上一个台阶,大大提高我们的现代化安全管理水平。
第7篇 信息系统运行维护及安全管理规定
第一章 总则
第一条 为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法》,结合总公司实际,特制定本规定。
第二条 本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。
第三条 信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。
第二章 管理机构及职责
第四条 总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:
(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;
(二)负责总公司机关局域网的运行维护管理;
(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;
(四)指导、协调所属单位局域网系统的安全运行管理。
第五条 总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:
(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接的畅通;
(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;
(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。
第三章 网络接入及ip地址管理
第六条 需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。
第七条 总公司机关内部局域网的ip地址由办公室统一规划、管理和分配,ip地址的申请、补充、更换均需办理相关手续。
第八条 申请与使用ip地址,应与登记的联网计算机网卡的以太网地址(mac地址,即硬件地址)捆绑,以保证一个ip地址只对应一个网卡地址。
第九条 入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的ip地址和指定的网关和掩码。严禁盗用他人ip地址或私自设置ip地址。总公司办公室有权切断私自设置的ip地址入网,以保证总公司内部局域网的正常运行。
第四章 安全运行管理
第十条 总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。
第十一条 建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。
第十二条 系统软件(操作系统和数据库)必须使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性,并具备身份验证、访问控制、故障恢复、安全保护、安全审计、分权制约等功能。
第十三条 对会影响到全公司的硬件设备或软件的更改、调试等操作应预先制定具体实施方案,必要时准备好后备配件和应急措施。
第十四条 数据库管理系统和关键网络设备(如服务器、防火墙、交换机等)的口令必须使用强口令,由专人掌管,定期更换。
第十五条 业务信息系统应严格控制操作权限,原则上采用专人专用的用户名及密码登录;对数据库的维护不允许通过外网远程登录进行。
第十六条 接入总公司信息系统的所有服务器和计算机均应采用国家许可的正版防病毒软件并及时更新软件版本,发现问题及时解决。具体措施如下:
(一)所有计算机全部安装和使用网络版防毒软件,未经许可,不得随意禁用或卸载,并设置好定期升级和杀毒的安全策略;
(二)对新购进的、修复的或重新启用的计算机设备,必须预先进行计算机病毒检查后方可安装运行;
(三)杜绝病毒传播的各种途径,光盘和优盘等存储介质及经远程通信传送的程序或数据在使用前应进行病毒检测,如工作需要使用共享目录,必须做好有关防范措施;
(四)在接入internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开附件;
(五)当出现计算机病毒传染迹象时,立即拔掉网线,隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行。
第十七条 总公司及所属各单位信息系统如发生严重的网络中断故障,应按规定进行先期处置,同时报总公司办公室。
第六章 数据管理
第十八条 系统管理员应对系统数据(主要包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置及其他系统配置参数)实施严格的安全与保密管理,并定期核对,防止系统数据的非法生成、变更、泄漏、丢失与破坏。
第十九条 各单位应定期进行数据备份,保证系统发生故障时能够迅速恢复;业务数据必须设置在线定时自动备份策略,必要时应采用双机备份。
第二十条 各单位重要业务数据必须每年定期、完整、真实、准确地转储到不可更改的介质上,实行集中存储和异地保管,保存期至少2年。备份数据不得更改,应指定专人负责保管和登记。
第二十一条 各单位业务数据不得随意进行数据恢复,因数据丢失或故障确需恢复的,应由系统管理员报本单位信息化工作部门,经批准后方可进行数据恢复操作,并做好记录。
第二十二条 总公司信息系统的数据采集、存储、处理、传递、输出和发布应遵守计算机信息系统相关保密管理规定,以保证公司信息系统无泄密事件发生。
第七章 附则
第二十三条 本办法由总公司办公室负责解释。
第二十四篥 本办法自印发之日起施行。
第8篇 某大学网络及信息系统安全管理办法
z大学网络及信息系统安全管理办法
近年来,国内信息安全形势严峻,各类信息安全事件频发。为此,教育部办公厅发布了《关于加强网络安全检查的通知》(教技厅函[2014]51号)、《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)和《教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知》(教技厅函[2015]45号)要求高校加强网络及信息系统安全管理;《z市教育委员会关于进一步加强和规范网络与信息安全管理的通知》(渝教科〔2014〕32号)进一步明确高校需加强网络、信息系统和网站安全管理;z市重要信息系统安全等级保护工作协调小组办公室发布的《z市重要信息系统安全等级保护工作协调小组办公室关于加强重点网站安全防范工作的紧急通知》(渝等保办〔2015〕9号)要求高校加强信息系统和网站安全,落实信息系统等级保护定级管理工作。
第一章 总则
第一条 为贯彻落实国家及教育主管部门相关文件精神,进一步加强我校网络及信息安全工作,特制定本办法。
第二条 本办法所指网络(以下简称校园网)包括z大学教学办公区、学生宿舍区和部分由学校建设管理的教师住宅区网络,不包括由电信运营商自主建设运营的住宅区网络。
第三条 本办法所指信息系统指由学校及各二级单位建设管理各类业务系统和网站。
第四条 涉密网络和涉密系统根据国家及学校的相关管理规定单独管理,不适用本管理办法。
第二章 管理机构及职责
第五条 为进一步加强网络及信息安全组织领导,学校将原“z大学计算机网络及信息安全领导小组”、“z大学数字化校园建设领导小组”整合调整为“z大学网络信息安全及信息化工作领导小组”(以下简称领导小组)。领导小组负责制定全校网络及信息安全工作的总体方针和安全策略,审定全校网络及信息安全管理制度,指导并监督网络及信息安全管理。领导小组办公室设在党委办公室。
第六条 网络信息安全及信息化工作领导小组办公室负责网络及信息安全总体事务,主要职责包括:
(一) 统筹协调全校网络及信息安全工作;
(二) 网络及信息安全总体规划;
(三) 制定网络及信息安全管理制度;
(四) 组织信息网络安全工作检查和考评;
(五) 网络及信息安全事件查处。
第七条 宣传部主要职责包括:
(一) 学校主页内容审核、发布及安全管理;
(二) 学校新闻网内容审核、发布及安全管理;
(三) 民主湖论坛内容审核、发布及安全管理;
(四) 全校舆情监控及内容管理。
第八条 保卫处主要职责包括:
(一) 全校信息安全监控管理;
(二) 网络及信息安全违法违纪事件的调查;
(三) 网络及信息安全事件处理中的对外联络与接洽。
第九条 信息化办公室负责网络及信息安全技术支撑,主要职责包括:
(一) 校园网出口安全基础设施的建设和管理;
(二) 学校数据中心安全基础设施建设和管理;
(三) 校园无线网络接入安全管理;
(四) 校园网安全监控管理;
(五) 定期实施校内服务器安全漏洞扫描及安全预警;
(六) 定期组织实施信息系统安全等级测评;
(七) 落实专职人员负责网络及信息安全管理工作;
(八) 组织信息网络安全培训和教育。
第十条 虎溪校区管委会具体负责虎溪校区网络及信息安全管理,主要职责包括:
(一) 虎溪校区校园网出口安全基础设施建设和管理;
(二) 虎溪校区校园网内容审计系统监测管理;
(三) 虎溪校区网络信息中心机房的网络及信息安全管理;
(四) 虎溪校区门户及各业务系统内容及系统安全管理。
第十一条 图书馆主要职责:
(一) 民主湖论坛的系统安全管理;
(二) 图书馆网络(有线部分)接入安全管理;
(三) 图书馆业务系统及网站的安全管理。
第十二条 学工部、研工部主要职责:
(一) 学工、研工业务系统及网站安全管理;
(二) “易班”系统接入安全管理;
(三) 协助进行舆情监控及内容管理。
第十三条 其它二级单位主要职责包括:
(一) 本单位局域网和校园网接入安全管理;
(二) 本单位联网计算机审核(有线部分);
(三) 本单位上网信息审核;
(四) 本单位业务系统及网站的安全管理。
第三章 校园网安全管理
第十四条 信息化办公室总体负责校园网安全管理工作,虎溪校区管委会具体负责虎溪校区校园网安全管理工作。
第十五条 校园网(有线部分)由信息化办公室负责在校园网出口处实施实名上网认证,各二级单位负责接入端安全管理;校园网(无线部分)由信息化办公室负责实施实名接入上网认证。
第十六条 信息化办公室负责学校数据中心网络安全设施建设和管理。
第十七条 接入校园网的各单位和用户必须严格遵守执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律法规,严格执行信息安全及保密相关制度。
第十八条 二级单位根据国家有关规定对上网信息进行审查,凡涉及国家秘密的信息严禁上网。使用校园网的相关单位和用户必须对所提供的信息负责。不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安、社会稳定的信息。
第十九条 在校园网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动,不得在网络上散布计算机病毒,未经授权不得使用校园网。
第二十条 接入校园网的各二级单位需指定一名主管领导负责本单位的网络及信息安全工作,设立网络管理员具体负责相应的网络安全和信息安全技术工作。
第二十一条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告网络违法犯罪行为和网上有害信息情况。
第二十二条 与校园网相关的所有单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第四章 信息系统安全管理
第二十三条 各二级单位是信息系统安全管理的责任主体,对本单位信息系统安全负责。
第二十四条 信息系统安全遵循“同步规划、同步建设、同步运行”的原则,信息系统的立项采购、测试验收、交付使用、升级改造必须符合国家对信息系统安全等级保护的相关要求。
第二十五条 二级单位负责制定信息系统安全管理策略,加强人员安全能力与安全意识培训,落实学校安全要求;确定信息系统数据安全要求,明确数据访问权限,制定数据备份机制,接入学校统一灾备体系。
第二十六条 二级单位负责信息系统的安全运行维护工作,按照《信息系统安全等级保护基本要求》(GB/T 22239-2008)基本技术要求规定,做好系统安全、角色权限、口令增强等系统管理工作,定期进行安全检查、漏洞修补、系统升级、数据备份等安全管理工作;信息系统一旦出现信息安全事件,二级单位应及时查处整改,对多次出现安全事件的信息系统由信息化办公室暂停其网络连接及服务。
第五章 信息系统安全等级保护定级
第二十七条 根据“自主定级、自主保护”的原则,由学校“网络信息安全及信息化工作领导小组”确定我校信息系统安全等级保护定级方案。
第二十八条 学校现有信息系统的定级由“网络信息安全及信息化工作领导小组”根据教育部办公厅《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)并结合我校实际情况确定,定级确定后按要求报公安机关审核备案并定期开展等级测评。
第二十九条 信息系统安全等级保护定级、变更由学校“网络信息安全及信息化工作领导小组”审定,各二级单位负责准备相关备案材料,信息化办公室负责组织等级测评、报公安机关审核备案。
第三十条 信息化办公室定期组织对重要信息系统进行安全检测。
第六章 安全事件查处
第三十一条 网络及信息安全事件(以下简称安全事件)包括有害程序、网络攻击、信息破坏、信息内容安全、信息设施故障、灾害性事件及其它危害网络及信息安全的事件。
第三十二条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告安全事件。
第三十三条 二级单位发现安全事件或接到安全事件报告后应在第一时间将相关情况报学校保卫处和信息化办公室。
第三十四条 学校保卫处负责安全事件的调查取证,信息化办公室负责技术支撑,二级单位负责配合举证。
第三十五条 发生安全事件后应首先留存相关证据,中断网络连接以减小安全事件扩散影响,在调查取证结束以前不执行数据删除、系统恢复等操作,避免影响调查取证。
第三十六条 二级单位应建立安全事件应急处理机制,制定应急预案,定期实施应急测试、演练和培训。
第三十七条 网络信息安全及信息化工作领导小组办公室负责对一般安全事件责任人和责任单位进行处理,对造成重大影响和重大损失的安全事件报请网络信息安全及信息化工作领导小组处理。
第七章 附则
第三十八条 本管理办法由学校授权网络信息安全及信息化工作领导小组办公室负责解释。
第三十九条 本管理办法自公布之日起执行。
z大学
第9篇 安全信息管理系统概述
一、管理信息系统的概念
所谓系统就是指由若干互相联系、互相影响、互相制约的各个部分为了一定目标而组合在一起所形成的一个整体。构成整体的各个组成部分,称为子系统。假若以一个经济组织的会计作为一个系统,而有关结算中心、会计报表、成本核算、资产台帐和货币资金等则是它的子系统。至于有关供销、生产、人事等方面的信息则属于会计系统以外的环境系统。会计信息系统见图10-2。
过去,国外大多数企业和我国一些先行单位,为了适应不同职能组织的需要,除了设立会计信息系统以外,还有生产技术、供销、人事、后勤等科室也都分别设立适合于它们各自需要的信息系统。这样一个企业就有若干信息管理系统,易于发生重复劳动,同一原始资料要分别输入若干个信息管理系统。如有关材料的采购、耗用、转移、完工、职工的基本工资、出勤记录等都要同时输入若干个信息系统。这样不仅出现重复劳动,易于发生差错,而且更改也不方便,造成相互不协调,成本也就比较高。
近年来在信息管理中提出综合性管理系统。就是将一个经济组织作为一个系统,而其生产、技术、会计、供销、后勤、人事等职能业务则是这个系统下的各个子系统。实施综合信息系统需要具有三个条件:
(1)分散的信息活动必须通过组织的集中统一安排;
(2)这些活动必须是整体的组成部分;
(3)这些活动必须由一个集中、独立的信息中心加以处理。
这样就能把企业看作一个整体,使一个数据多用,提高效率和更有效地使用信息,成本也可随之降低。
二、综合管理信息系统的建立
设计一个新的或改进一个现有的管理信息系统,是一项既复杂又繁重的工作。首先要用系统分析的方法,对系统(包括子系统)的本身范围及其周围环境的关系进行分析,提出若干设计方案,决定不同类型,不同管理层次的系统,进行技术和经济的论证,层层提高设计质量,消除不必要的重复劳动,然后加以评估比较,最后从中决定统一的综合信息管理标准,包括经济信息分类、编码和文件统一化工作。经过试验证明切实可行后,再应用到实际工作中去。其中要注意以下几方面:
1.明确信息的需求
即对输出的要求,要通过充分的调查研究,特别是管理中现有的信息种类,它们流转的来龙去脉,由哪里产生,由谁传递,传到何处,经过怎样处理,以什么形式输出,供谁使用,是否可以“一数多用”,是否有别的来源替代,是否要保存等等。所以在建立过程中,专业人员与使用人员之间要经常交换意见,使提供的各项信息都能满足使用者的要求。
2.信息的收集和处理
这项工作的目的就是要改善信息总的质量,一般包括五项内容:
(1)检核。要确定各项信息的可靠性的程度,包括来源的可靠性,数据的准确性和有效性等。
(2)整理。将输入的信息和数据加以提炼整理,以符合规定的要求。
(3)编制索引。按规定编制索引,以供日后储存和检索。
(4)传输。将正确的信息及时提供给各级主管人员。
(5)存储。要保存必需的数据资料和文件档案,准备日后再次使用。
3.信息的使用
其主要目的是向各级主管人员适时地提供各种有关的信息。因此它与信息质量有密切关系。信息的质量主要是指信息的准确性、及时性以及提供的形式。只有保证一定质量的管理信息系统,才能在管理中发挥作用。
图10-3为综合性管理信息系统的一例。
图中,该经济组织的各个子系统相互间有联系和交叉,又与使用者系统有联系。假若将一个工业部门或一个地区看作一个系统,则各个企业又成为其子系统,其范围就更为广泛了。
苏联在70年代已建成四级自动化综合管理系统。它由基础部份和功能部分组成。基础部分包括组织经济基础、信息库、技术基础和软系统等四个方面。功能部分由实现一系列课题的职能子系统组成。所谓四个结构层次是:国家级、中央部门和加盟共和国级、部门及共和国联合公司级、基层企业级。全国数据传递系统把各部门,各主管机关的主要计算中心、各共和国管理机关的中心与全国自动化系统的总计算中心联结起来。这就属于更高阶段的综合性管理系统了。
目前我国除西藏外,各省市计委,统计局计算中心都安装了ibm—4331或vs/80等电子计算机,正在逐步建立经济管理系统。
三、管理信息系统的基本工作内容
实现对管理信息系统的基本要求,是通过信息的周转过程实现的。信息的周转过程,包括信息资料的获取、加工、处理、传输、贮存等基本环节。这实际上也就是管理信息系统的基本工作内容。要保证管理系统的有效运行,就必须使每个环节都能灵活而有效的运转,并形成互相协调、密切结合的系统有机体。
1.信息的获取
信息收取是信息系统运行的第一步,也是重要的基础。信息的质量和信息系统其他环节的工作质量,在很大程度上取决于原始信息的真实性和完整性。
2.信息的加工
原始的信息数以亿万计,作为管理决策使用的信息量,受人们接收信息能力的限制,不可太多。因此必须把大量的信息分成恰当的层次,并且使最高管理层获得少而精的反映出最基本最重要的情况。信息的加工处理,就是用科学的方法,对大量的原始信息进行筛选、分类、排序、比较和计算,去伪存真,使之系统化、条理化,以便保管、传送和使用,节省人力、财力和时间,提高管理效能。信息的加工还包括信息分析,即通过对大量信息资料的研究,及时揭露矛盾,发现问题的苗头,对管理活动进行评价。
3.信息的传输
信息只有从信息源及时传送到使用者那里,才能起到应有作用。信息能否及时发出和到达,取决于信息传输的功能。信息的传输,要建立自己的传输通道系统,形成信息流和信息网。管理组织机构和组织体系决定系统内部基本的信息传输通道,但除此以外,信息系统还通过多条渠道,实现直接的和间接的、纵向的和横向的、纵横交错的多方面联系。可见,信息传输网是一个极为复杂和灵敏的系统。
4.信息的贮存
加工的信息,有的并非立即就用,有的虽然立即使用,但还要留作以后参考,所以产生了信息贮存和记忆的功能。信息贮存是信息在时间上的传输。通过信息贮存和积累,可以对客观管理活动进行动态的系统和全面的研究。
第10篇 安全信息管理办法
第一章:总 则
第一条:为进一步落实《中华人民共和国安全生产法》和部“规范管理、强基达标”总要求,建立完善安全管理和监督机制,推动安全生产步入法制化、制度化的管理轨道,更好地发挥安全信息指导运输生产、提高超前预防和预控能力、确保运输安全的作用,根据劳函【2005】227号文件关于印发《安全信息管理办法》的要求,特制定本细则。
第二条:本细则规定的安全信息,系指凡是在生产过程中发生的各类行车事故、人身事故、管理问题、设备隐患、职工违章违纪及其它影响水电、安全的信息。
第三条:安全信息管理必须遵循的原则
1、真实性原则。凡反馈的安全信息,必须做到件件真实、来源可靠、实事求是、具有可追踪性,杜绝虚假信息、失效信息、重复信息和非安全信息、保证安全信息的真实性。
2、准确性原则。各类安全信息的数据统计和综合分析,必须做到全面、客观、准确、避免错、漏信息的发生。
3、时效性原则。安全信息的反馈要及时、快捷、严格按照规定时限提报,对反映的安全生产问题做到事事有着落、件件有回音、有整改。不得人为拖延,影响信息畅通。
4、数质兼优原则。安全信息的反馈要克服只重数量、不顾质量问题,做到数质兼优。
5、分层管理的原则。安全室负责统计、掌握和分析全段b类及以上安全信息,车间要统计、掌握和分析c类及以上安全信息。
6、奖罚并举原则。将安全信息管理工作作为对各级干部安全逐级负责制考核的一项重要内容,在干部逐级负责制考核中兑现奖罚。
第二章:日常管理
第四条:安全信息建立段、车间二级管理网络
1、段成立安全信息管理中心,设在安全室,全面负责安全信息的收集、反馈、分析、处理、应用、考核工作。
2、维修所、各车间成立信息管理站,信息管理站设专人负责。负责将作业现场发生的信息、班组自控中发生的a、b、c、d类信息收集、汇总、分析情况反馈到段安全信息管理中心。
第五条:各类事故、事件信息要按照相关文件的具体规定进行提报。反馈的事故、事件信息,必须真实反映概况、性质、损失、原因、责任、处理、教训和防范措施。
第六条:安全信息管理中心、站的主要职责
1、段安全信息管理中心的主要职责是:
(1)对段行车、劳动安全信息进行收集、登记、统计和综合分析、调查处理。
(2)按规定时间向安全信息管理中心反馈上级发现的安全信息处理结果。
(3)对管内各车间、科室安全信息管理工作进行检查和考核评比。
(4)每月23日上网通报管内各类安全信息,并跟踪检查,随时通报上级检查发现的各类安全信息。
(5)根据文件精神及时对段安全信息管理细则进行修订完善。
2、段业务科室安全信息管理职责:
负责对本系统所发生的安全信息进行收集、登记、反馈并跟踪处理,凡是影响行车的安全信息,技术室会同安全室必须亲临现场进行调查、处理。
3、维修所和各车间安全信息管理站的职责是:
(1)负责对本所、车间安全信息的收集、登记、统计和综合分析、调查处理。
(2)按规定时间向段安全信息管理中心及时反馈安全信息。
(3)按时间对上级检查反馈的信息进行调查、分析、处理、上报。
(4)做到充分利用信息解决现实安全生产中存在的安全问题。
第七条:安全信息等级及分类
执行道部《路行车事故处理规则》和《b 类及以上安全信息分类标准》,具体明细见附件4。
1、信息等级
行车事故信息。(2)事故苗子信息。(3)a类信息。(4)b 类信息。(5)c 类信息。(6)d类信息。
2、信息分类
(1)安全管理信息,主要是干部安全管理失职等行为产生的信息。
(2)职工“两违”信息,主要是职工违章违纪方面的信息。
(3)设备信息,主要是各种行车设备、安全监控检测设备信息。
(4)其它有关行车、人身安全方面的情况反馈。
第八条:安全信息量化规定见附表1
第九条:安全信息的提报时限和要求。
1、行车事故信息由安全室牵头,技术室具体负责整理,系统主管段长审核后上报。
2、事故苗子由安全室或段调度在2小时内上报到路安全信息管理中心或值班监察。
3、各级领导干部 、各车间信息应在每日15时前将两日内(48小时)检查发现的a、b类信息报段安全室(须立即处理的,应当即通知车间),安全室负责在每日16时前将段有效信息上报到安全信息管理中心。
4、对路领导批示的信息,系统主管段长要指定相关科室、部门组织调查、处理,并将情况及时上报安全监察室和相关业务处。
第三章:综合分析、利用、跟踪处理
第十条:综合分析
1、各车间每月22日前将月份安全分析报告上报到段安全室(安全分析报告格式见附件3),半年、年度安全工作总结通过段办公网传到安全室“安全预测”栏内。
2、安全室每月25日前将全段月度安全分析报告提报安全监察室,并按规定上报半年和全年安全工作总结。
3、段安全信息纳入日交班、周大交班、月安全分析会和安全委员会中进行专题分析,各车间也要比照执行。
4、安全信息管理中心除每周、月、季、半年、年对全段发生的b类以上考核信息进行全面统计外,还要对全段a类信息及事故、事故苗子信息定期进行分析。
第十一条:信息利用、跟踪处理
1、充分利用安全信息的预测功能、评价功能、导向功能,把信息作为安全决策的重要依据,运用信息正确指导运输安全工作。
2、必须按照“四不放过”的原则做到对安全信息反映的倾向性问题不弄清责任不放过,不分析管理原因不放过,不吸取教训不放过、不制定整改措施不放过。
3、段每月对各科室、车间上报安全信息情况进行考核,对排尾单位在段月度安全分析会上进行专题解剖,查找问题、制定对策、督促整改。
4、车间对上级发现的及自查信息进行分析,找出问题点,制定整改方案。
第四章:安全信息的考核
第十二条:基本原则
每月对各级干部和车间信息管理工作进行一次全面考核,总结经验,查找问题,进行整改,以便于进一步完善对安全信息的管理。
主要对信息数量、信息质量、信息利用、信息处理、信息分析、信息管理等方面进行综合评价。
第十三条:信息考核
段每月由安全室、劳人室负责对各级干部反馈信息及维修所、车间安全信息管理情况进行抽查或跟踪检查,对各类安全信息进行核实,重点进行信息打假活动,并严格按下列考核标准进行考核。
一、发生下列情况之一的,车间干部当月安全逐级负责制失格。
1、发生责任b类及以上事故;
2、发生责任职工轻伤及以上事故;
3、发生责任火灾、爆炸事故
4、上级检查发现的严重“两违”;
5、谎报事故概况,隐瞒事故;
6、上报虚假信息。
二、上级检查发现的信息
1、“两违”类信息
(1)职工严重“两违”的,按照水电安联【2005】7号《发生责任行车事故及职工严重“两违”处罚办法》第三章中规定,直接责任者实行待岗3-6月。
(2)a类信息:考核车间干部当月逐级负责制10分;
考核责任者当月生产奖金全部,联挂工长40元。
(3)b类信息:考核车间干部当月逐级负责制5分。
考核责任者当月生产奖金50元,联挂工长20元。
2、管理类信息
(1)a类信息:考核车间干部当月逐级负责制5分。
考核责任者当月生产奖金20元,联挂工长10元。
(2)b类信息:考核车间干部当月逐级负责制2分。
考核责任者当月生产奖金10元,联挂工长5元。
3、设备类信息
(1)a类信息:责任的考核车间干部当月逐级负责制3分,非责任的考核2分。
考核责任者当月生产奖金20元,联挂工长10元。
(2)b类信息:责任的考核车间干部当月逐级负责制2分,非责任的考核1分。
考核责任者当月生产奖金10元,联挂工长5元。
三、段检查发现的信息
1、违章类信息
(1)职工严重“两违”的,按照水电安联【2005】7号《发生责任行车事故及职工严重“两违”处罚办法》第三章中规定,直接责任者实行待岗3-6月。
(2)a类信息:考核车间干部当月逐级负责制1分;
考核责任者当月生产奖金20元,联挂工长10元。
(3)b类信息:考核车间干部当月逐级负责制0.5分。
考核责任者当月生产奖金10元,联挂工长5元
2、管理类信息
(1)a类信息:考核车间干部当月逐级负责制1分;
考核责任者当月生产奖金20元,联挂工长10元。
(2)b类信息:考核车间干部当月逐级负责制0.5分。
考核责任者当月生产奖金10元,联挂工长5元。
3、设备类信息
(1)a类信息:考核车间干部当月逐级负责制1分;
考核责任者当月生产奖金20元、联挂工长10元。
(2) b类信息:考核车间干部当月逐级负责制0.5分;
考核责任者当月生产奖金10元、联挂工长5元。
4、c、d类信息:检查人员就地反馈给车间,车间组织工长对责任者进行帮助教育,采取措施,杜绝重复发生。
四、车间检查发现的信息
1、违章类信息
(1)职工严重“两违”的,按照水电安联【2005】7号《发生责任行车事故及职工严重“两违”处罚办法》第三章中规定,直接责任者实行待岗3-6月。
(2)a类信息:考核责任者当月生产奖金20元,联挂工长10元。
(3)b类信息:考核责任者当月生产奖金10元,联挂工长5元。
2、管理类信息
(1)a类信息:考核工长10元。
(2)b类信息:考核工长5元。
3、设备类信息
(1)a类信息:考核责任者当月生产奖金20元,联挂工长10元。
(2)b类信息:考核责任者当月生产奖金10元,联挂工长5元。
4、c、d类信息:考核责任者当月生产奖金5元
五、没有完成月份信息定量的科室、车间,按照《生产奖二次分配考核办法》中的信息考核规定进行考核。
第五章:附 则
第十五条:本细则自2005年6月10日起执行,水电安联[2004] 4号文件同时废止。
第十六条:本细则由段安全室负责解释。
第11篇 市发改委计算机信息网络安全管理规定
为加强我委计算机信息网络安全管理,确保信息网络安全、高效、正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和柳保(2010)9号《关于在全市开展保密计算机违规联接互联网监管工作的通知》和有关规定,制定本规定。
第一条 全委干部职工必须严格遵守国家保密法和计算机网络信息安全管理法规及本规定。
第二条 任何单位和个人不得利用本委计算机信息网络从事危害国家安全、泄露国家秘密等非法活动,不得利用本委计算机信息网络制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息。
第三条 涉密计算机信息系统的研制、安装和使用,必须符合保密要求,并采取有效的措施,配置合格的保密专用设备,防泄密、防窃密。
第四条 涉密计算机信息系统必须与互联网实行物理隔离,严禁用处理国家秘密信息的计算机(包括便携式计算机)上互联网。
第五条 装有国家秘密信息的便携式计算机原则上只能在委机关内使用,确因工作需要携带外出,必须将涉密信息全部转出便携式存储设备存放在机关。
第六条 上互联网的计算机必须与处理涉密信息的计算机严格区分,专机专用,不得既用于上互联网又用于处理国家秘密信息。
第七条 计算机网络插头和接口,必须标明字样,严格区分,按规范安装,其他人员不得擅自删除或更改与网络系统有关的设置,严防由于误操作造成泄密。
第八条 涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。使用计算机起草、存储、处理、传递涉密文件、材料,必须在涉密计算机上进行。
第九条 建立上网信息保密审查制度,坚持“谁上网谁负责'的原则,信息上网必须经过严格审查和批准,确保国家秘密不上网,上网信息不涉密。
第十条 各科室,应当造册登记,切实加强软盘、磁带、光盘、移动硬盘等信息媒体管理。存储有国家秘密信息的信息媒体,按所存储信息的最高密级标明密级,并按相应密级文件的保密规定进行管理,不得降低密级使用。不再使用的信息媒体应及时销毁。
第十一条 报废、维修存储过国家秘密信息的计算机和信息媒体,须交委办公室按保密规定统一处理,保证所存储的国家秘密信息不被泄露。
第十二条 做好计算机信息系统数据备份。根据需要与存贮环境,重要信息要定期(半年至二年)进行循环复制三份分处存放,并注意防止因静电、电磁干扰等原因导致信息丢失。
第十三条 做好计算机日常维护工作,严格查毒杀毒,发现病毒及时清除,确保信息系统安全运行。
第十四条 妥善保管和使用计算机ca认证系统密钥,保守计算机信息系统用户口令秘密。密钥被盗或遗失,应及时作废,重新分配。
第十五条 文印室计算机管理。文印室的计算机由打字员负责管理,任何人不得擅自使用文印室的计算机,如需用扫描仪应自带u盘在外网计算机上操作直接将文件存入自带盘中,严禁扫描、传输有密级的文件。严禁外单位人员进入文印室。
第十六条 本委计算机信息网络安全工作由委信息安全领导小组负责。委主要负责人担任领导小组组长,成员由各科室负责人组成。领导小组职责是:
(一)根据国家有关计算机信息网络安全的法规和政策,审定本委计算机信息网络安全工作计划和管理制度;
(二)指导和检查本委计算机信息网络安全工作;
(三)定期对计算机信息系统的系统安全保密管理人员进行上岗前保密培训,严格审查和考核。
(四)研究、解决本委计算机信息网络安全重大问题。
第十七条 委信息安全领导小组下设办公室,由委办公室和相关人员组成,在领导小组领导下,负责本委计算机信息网络安全管理的日常工作。
第十八条 各科室负责人是本科室计算机信息网络安全工作的第一责任人,对本科室信息安全工作负责。
第十九条 各科室切实加强对本科室的保密知识教育,提高工作人员信息安全保密意识,自觉遵守保密纪律和有关保密规定,发现有违反规定的行为,立即纠正,发现国家秘密泄露或可能泄露情况时,应当立即报告委信息安全领导小组。
第二十条 违反本规定造成泄密的,将按有关法律和规定,追究当事人和责任人的责任,依法依纪进行处理。
第二十一条本规定自发布之日起执行。
转发.分享
第12篇 it部信息和数据资产安全管理规定
第一章 总则
一、 目的:
依据《xx集团信息技术资源安全保护规定》和有关公司规定,为进一步加强xx集团计算机信息系统安全保密管理,并结合各系统、各子公司的实际情况,制定本制度。
二、 范围:
计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。
三、 原则:
涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保企业信息安全又有利于企业开展正常业务的方针。
涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。
涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。
第二章 系统管理人员的职责
一、 岗位设置:
用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由集团it部承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。
二、 岗位职责:
系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理; 应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。
安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理。
密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。
三、 工作监管:
对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。
新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
第三章 机房管理制度
一、 机房安全管理:
进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。
机房内不得使用无线通讯设备,禁止拍照和摄影。
机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。
二、 机房日常管理:
各类技术档案、资料由专人妥善保管并定期检查。
机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。
每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
三、 机房门禁管理:
出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经集团it部批准,并有专人陪同。
机房大门必须随时关闭上锁。机房钥匙由集团公司集团it部管理。
机房门禁卡(以下简称门禁卡)由xx集团it部管理。门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
门禁卡应妥善保管,不得遗失和互相借用。门禁卡遗失后,应立即上报门禁卡管理单位,同时写出书面说明。
第四章 系统管理员工作细则
第一节 系统主机维护管理办法
一、 工作职责:
系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。
根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
二、 日常维护及例行检查:
每月: 每月修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报基础架构管理负责人。
每周: 通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。
每天: 检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。每天记录系统主机运行维护日记,对系统主机运行情况进行总结。在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第二节 信息系统运行维护管理办法
一、 工作职责:
根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。管理员密码至少每月修改一次。
信息系统的开发和上线必须严格将开发环境和生产环境分开。不允许两个环境使用同一个服务器、或同一个操作系统、或同一个数据库实例。
对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
二、 日常维护及例行检查:
每月:对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报信息系统的技术负责人和业务负责人。
每周: 对信息系统系统数据、用户id文件、系统日志进行备份,并做详细记录(见表四),备份介质并存档。
每天: 检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。每天记录信息系统运行维护日志,定期对信息系统运行情况进行总结。
三、 问题处理:
在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
根据用户需求设置信息系统各功能模块访问权限,并提交信息系统的业务主管审批。
第三节 网络系统运行维护管理办法
一、 工作职责:
网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,vlan划分表,并在系统配置发生变更时及时对设备档案进行更新。
二、 日常维护及例行检查:
每月: 对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
每周: 对网络系统设备(交换机、路由器)进行清洁。每周修改网络系统管理员密码。每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。
每天: 检查网络系统设备(交换机、路由器)是否正常运行。
三、 问题处理:
网络变更后进行网络系统配置资料备份。
当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。
第四节 终端电脑运行维护管理办法
一、 工作职责:
终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。
根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件等等。
建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行及时更新。
二、 问题处理:
在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交集团it部处理。
第五节 网络病毒入侵防范管理办法
一、 工作职责:
网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。
根据网络系统安全设计要求安装、配置瑞星、金山、avast等网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。
所有xx集团(包括各子公司、分公司、分区)的服务器和个人电脑,禁止安装360安全卫士的全系列产品。
二、 日常维护及例行检查:
每周: 登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。
每日: 监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。
第五章 安全保密管理员工作细则
第一节 网络信息安全策略管理办法
一、 工作职责:
网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。
网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
二、 日常维护及例行检查:
每周: 对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。
第二节 网络信息系统安全检查管理办法
一、 工作职责:
网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
二、 日常维护及例行检查:
每月: 通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报集团it部。
每周: 登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。
每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。
每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。
每天: 根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报集团it部,并做详细记录(见表十三)。
第三节 涉密计算机安全管理办法
一、 工作职责:
涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
二、 日常维护及例行检查:
每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
三、 问题处理:
涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。
新增涉密计算机联入涉密网络,需经集团it部审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第四节 安全审计管理办法
一、 工作职责:
网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。
根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。
二、 日常维护及例行检查:
每月:对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。
每周:备份设备安全审计系统审计信息,并做详细记录(见表二十)。
每日:查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。
第五章 密钥管理员工作细则
一、 工作职责:
身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。
负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。
负责为每台计算机安装主机登录系统。
负责主机登录系统、身份认证系统的系统维护。
根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。
二、 日常维护及例行检查:
每日:检查身份认证系统是否正常运行。
第六章 数据资产管理规定
一、 范围:
xx集团的内部各信息系统均为涉密计算机信息系统,所有信息系统内的数据资源均为xx集团的财产,任何人不得以任何方式私自复制、修改、保留。
二、 职责:
信息系统的运行维护由系统管理员和信息系统的业务单位指定的管理员共同负责,未经系统管理员和信息系统的业务主管领导同意,任何人不得在系统后台对信息系统进行任何操作。
系统管理员只对信息系统的技术平台拥有相应的管理权限,任何对信息系统数据的使用均需要信息系统的业务主管领导同意;未经许可系统管理员不得以任何方式向第三方透漏信息系统内的任何信息。
三、 所有权:
信息系统(集团财务系统、媒介系统等)的数据直接管理权归相应的业务单位所有(例如,媒介系统的业务所有人为媒介管理部。信息系统的技术维护工作由xx集团it部或相应的授权技术服务团队负责。
所有有权直接接触信息系统的生产环境的技术团队成员,均需签署保密协议。技术团队成员有责任和义务为相关系统的信息或代码保密。
第七章 计算机信息系统应急预案
一、 工作职责:
系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。
二、 系统应急场景:
(一) 遇到火灾应根据火情采取以下措施:
1. 如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。
2. 如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。
(二) 如遇机房突发性停电,应迅速通知用户,同时检查后备电源使用情况;如有需要,可以关闭设备电源;来电后,及时通知用户,并检测设备是否正常运行。
(三) 系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。
三、 问题处理:
遇紧急情况,值班员应立即通知集团it部和系统管理员,保持24小时通讯畅通,随时处理紧急事件。
线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。