- 目录
-
[!--mulu--]
第1篇 信息系统安全管理规定
系统安全管理规定
文档号CSLJC_COM_STD_ISMS_1202_P_V0.1密级
ISO27001信息安全管理体系文件
系统安全管理规定
ISMS-MP-A.12-01活动
签名
日期
创建
2011-8-24审核
批准II
文档变更历史
作者(或修订人)版本号
日期
修改内容与原因
V0.12011-8-24新建
评审记录
评审方式
版本号
日期
评审意见
文档状态:草稿
目录
1概述11.1目的11.2定义11.3范围11.4原则12角色与职责13安全要求23.1系统安全规划要求23.2系统运行与维护安全要求23.3操作系统安全配置策略53.3.1Windows系统安全配置管理策略53.3.2UNI*系统安全管理策略84附录10概述
1.1目的
为了加强公司各类计算机系统的安全运维管理,特制定本规定。
1.2定义
本程序引用ISO/IEC
17799:2005标准中的术语。
1.3范围
本文档适用于公司建立的信息安全管理体系。
1.4原则
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
角色与职责
表2-1系统安全管理规定的角色和职责
序号
角色
职责
信息安全管理委员会
负责对系统安全管理进行指导和检查
系统运维部
负责生产环境系统的维护工作
系统支援及维护部
负责系统安全管理的落地和实施工作
员工遵守公司系统安全管理规定
安全要求
3.1系统安全规划要求
1、系统在投入使用前需要做好前期的规划和设计,除了要满足公司目前业务需要外还要考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。
2、系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。
3、新规划使用系统应考虑和原来系统的兼容性问题。
4、在新系统安装之前应有详细的实施计划,并严格按照计划来实施。
5、在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并在《系统测试记录》做详细记录,最终形成测试报告。
6、在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置,应及时对系统软件、文件和重要数据进行备份。
3.2系统运行与维护安全要求
1、各个系统设备应进行资产登记。
2、系统的帐号、口令应符合《帐号与密码安全管理规定》,并定期对帐号口令实施安全评估。
3、严格限制操作系统管理员权限帐号和普通账号的数量和使用范围。对于系统管理员的帐号要详细登记备案,编制《管理员权限账号记录》,每季度对该记录进行审核,更新帐号记录。
4、操作系统帐号的申请与变更参考《帐号与密码安全管理规定》3.5节“账号权限控制流程”。
5、严格禁止非本系统管理、维护人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由维护人员员亲自登录,并对操作全过程进行记录备案。
6、应尽可能减少主机设备的远程管理方式。
7、严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响;如果需要安装补丁程序,参考《病毒与补丁安全管理规定》进行安装。
8、禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,优先考虑建立FTP站点,紧急情况下可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务。
9、应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。
10、应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
11、应对日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做出明确的规定;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,以利于对主机系统日志的审查分析;应保证各设备的系统日志处于运行状态,并定期对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向相关人员报告,日志审核要求详见《安全审计管理规定》。
12、应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得部门领导的批准下,对实际环境实施软件更新或者补丁安装;必须订阅CERT
(计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞;及时评测对漏洞采取的对策,在获得部门领导的批准下,对实际环境实施评测过的对策,并将整个过程记录备案;软件更新或者补丁安装应尽量安排在非业务繁忙时段进行,操作必须由两人以上完成,由一人监督,一人操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
13、应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每月一次,并在《月度网络安全扫描记录》中详细记录评估扫描结果。重大安全漏洞发布后,应在3个工作日内进行;为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报信息安全工作组,并采取相应措施。
14、应至少每周1次,对所有主机设备进行检查,确保各设备都能正常工作;应通过各种手段监控主机系统的CPU利用率、进程、内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
15、当主机系统出现以下现象之一时,必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。
系统突然不明原因的性能下降。
系统不明原因的重新启动。
系统崩溃,不能正常启动。
系统中出现异常的系统账号
系统账号口令突然失控。
系统账号权限发生不明变化。
系统出现来源不明的文件。
系统中文件出现不明原因的改动。
系统时钟出现不明原因的改变。
系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
发现系统不明原因的在扫描网络上其它主机。
16、应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息安全工作组报告细节;应定期提交安全事件和相关问题的管理报告,以备管理层检查。
17、应根据“知所必需”原则严格限制泄漏安全违规行为、安全事件或安全漏洞。如果必须向任何公司外部方(包括任何合法的权威机构)泄漏这类受限信息,应先咨询公司相关法律部门。
18、系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作;应至少每年1次对重要的主机系统进行灾难影响分析,并进行灾难恢复演习。
19、应至少每年1次对整个网络进行风险评估,每次风险评估时,手工检查的比例应不低于10%,渗透测试的比例应不低于5%;风险评估后应在10个工作日内完成对网络的修补和加固,并进行二次评估。
3.3操作系统安全配置策略
3.13.23.33.3.1Windows系统安全配置管理策略在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。
1、物理安全策略
应设置BIOS口令以增加物理安全。
应禁止远程用户使用光驱和软驱。
2、补丁管理策略
应启动Windows自动更新功能,及时安装Windows补丁(SP、hotfi*)。
对于不能访问Internet的Windows系统,应采用手工打补丁的方式。
3、帐户与口令策略所有帐户均应设置口令。
应将系统管理员账号administrator重命名。
应禁止Guest账号。
应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
4、网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应通过修改注册表项,调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
5、文件系统策略
所有分区均应使用NTFS。
尽量使用磁盘配额管理、文件加密(EFS)等功能。
应卸载OS/2和POSI*操作环境子系统。
应将所有常用的管理工具放在%systemroot%外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
应关闭NTFS生成
8.3文件名格式。
应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
6、日志策略
应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
7、安全性增强策略
对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。
应删除Windows主机上所有默认的网络共享。
应关闭对Windows主机的匿名连接。
对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
应限制Pcanywhere等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用Pcanywhere加密方式进行管理。
应安装防病毒软件,并及时更新软件版本和病毒库。
尽量安装防火墙。
3.3.2UNI*系统安全管理策略
1、补丁管理策略
应及时安装系统最新补丁。
应及时升级服务至最新版本。
2、帐户与口令策略
所有帐户均应设置口令。
去除不需要的帐户、修改默认帐号的shell变量。
除root外,不应存在其他uid=0的帐户。
应设置超时自动注销登陆,减少安全隐患。
应限制可以su为root的组。
应禁止root远程登陆。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
3、网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应启用inetd进站连接日志记录,增强审计功能。
应调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应调整TCP/IP参数,禁止IP源路由。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
应调整内核参数打开“TCP随机序列号”功能。
4、文件系统策略
尽量使系统root用户初始创建权限(umask)为077。
尽量使用磁盘配额管理功能。
去除适当文件的set-uid和set-gid位。
应限制/etc目录的可写权限。
增强对关键文件的执行权限控制。
为不同的挂载点指派不同的属性。
5、日志策略
应对ssh、su登陆日志进行记录。
除日志服务器外,应禁止syslogd网络监听514端口。
对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
6、安全性增强策略
应保证bashshell保存少量的(或不保存)命令。
应禁止GUI登陆。
应隐藏系统提示信息。
尽量安装第三方安全增强软件。
附录
附录一:相关文件
《信息安全管理体系手册》
《系统测试记录》
《操作系统管理员权限帐号记录》
《操作系统普通权限账号记录》
《操作系统账号开通申请》
《月度网络安全扫描记录》
第2篇 以管理信息系统规范班组的安全管理
飞来峡水利枢纽位于广东省北江干流中游清远市飞来峡管理区境内,以防洪为主,兼有航运、发电、养殖、供水、旅游和改善生态环境等多种效益。由于枢纽生产班组众多,且专业差别较大,班组内技术人员和工人的素质也不尽相同,这就导致了班组安全生产管理工作的难度增大。安全生产管理的职能部门难以及时掌握生产部门各班组有关的情况;班组之间有很多有用的信息难以共享,对整体安全生产管理水平的提高不利;故障和隐患处理等程序费时费力,跟不上社会信息化的步伐。随着电脑应用的普及和管理信息系统技术的日趋成熟,对班组的安全生产管理实行信息化处理显得更为迫切。
1 信息系统的设置
为实现管理信息化,管理局于2001年建立了信息管理系统。系统包括了生产、安全管理、政工、人事、后勤等方面的内容,包含了局日常工作的主要方面。其中安全监察子系统的功能就是实现局安全生产工作的信息化管理。目前安全监察子系统包括了安全工具检查、安全生产活动、安全生产档案、消防安全管理等4个方面:
(1) 安全工具,包含安全帽及绝缘工具的检查;
(2) 安全生产活动包含安全事故预想记录,反事故演习记录,异常情况分析,安全事故,障碍及异常分析;
(3) 安全生产档案,包含安全生产学习档案,安全生产检查档案,安全生产事故处理档案,人身事故情况,安全生产隐患处理档案;
(4) 消防安全管理,包含消防器材记录,消防检查记录,消防演习记录,火灾事故记录,火灾隐患处理档案。
班组安全管理的内容非常广泛,通常包括安全教育培训、安全活动以及现场作业安全管理等。经过系统的试运行表明,系统的模块设置是能满足目前班组的安全管理要求的。
2 信息管理系统的推广应用
信息管理系统建立以后,进入试运行阶段。班组常规安全生产学习活动照常进行,跟以往相比,不同的是将学习检查的情况录入信息管理系统内相应的模块,而不是记在笔记本上。安全监察职能部门定期在网络上进行检查,对于未按时录入或录入不规范的,要及时提醒,对于未开展相关活动的,要限期整改。大量的安全生产信息也通过系统实现共享和相互交流。通过1年多的推广应用,班组安全生产的日常管理工作均实现了信息化。
缺陷及故障处理是保证设备安全运行的一个重要环节,纳入mis系统以后,发现缺陷的部门可以直接进入系统,填写缺陷单,辅以电话通知就可立即将信息传达到维护检修部门,并且可以签收。检修部门处理后,同样可辅以电话,申请运行部门进行验收,运行部门可以在电脑上签字。从上面的过程可以看出,通过信息系统提高了处理缺陷和故障的效率。对于事故、重大的缺陷等紧急情况,则可进行特殊处理,过后及时填写有关记录。
信息管理系统的推广应用中也会遇到一些阻力,需要一个过程来适应。比如工作票的签发,按以往的做法是,以书面的形式,由工作负责人填写工作票,提交工作票签发人签发,然后开展工作。改成从管理信息系统签发以后,程序基本还是一样,工作负责人在电脑上填写,自动传到工作票签发人的电脑上,工作票签发人签发后,自动传到工作许可人的电脑上,再由许可人打印出来交给工作负责人开展工作。这个改动减少了工作负责人的跑动,也方便了存档。但有些工作人员习惯了书面的填写,觉得工作量并不加重很多,开始很不适应,在系统本身不完善的情况下有时会拖延一些时间,甚至有些抵触情绪。对于这种情况,先在试运行期间采取双轨制,在系统经过完善后再强制执行(原来的手工填写作为一种备用)。
采用信息系统规范班组的安全管理工作,提高了安全生产管理工作的效率,规范了各级人员的工作行为,也方便了档案的保存和调用,此外,通过共享信息,达到互相交流的目的,对枢纽运行管理的安全生产工作起到了良好的促进作用。
第3篇 信息系统运行维护安全管理规定
第一章 总则
第一条 为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法 <>》,结合总公司实际,特制定本规定。
第二条 本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。
第三条 信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。
第二章 管理机构及职责
第四条 总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:
(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;
(二)负责总公司机关局域网的运行维护管理;
(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;
(四)指导、协调所属单位局域网系统的安全运行管理。
第五条 总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:
(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接的畅通;
(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;
(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。
第三章 网络接入及ip地址管理
第六条 需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。
第七条 总公司机关内部局域网的ip地址由办公室统一规划、管理和分配,ip地址的申请、补充、更换均需办理相关手续。
第八条 申请与使用ip地址,应与登记的联网计算机网卡的以太网地址(mac地址,即硬件地址)捆绑,以保证一个ip地址只对应一个网卡地址。
第九条 入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的ip地址和指定的网关和掩码。严禁盗用他人ip地址或私自设置ip地址。总公司办公室有权切断私自设置的ip地址入网,以保证总公司内部局域网的正常运行。
第四章 安全运行管理
第十条 总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。
第十一条 建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。
第十二条 系统软件(操作系统和数据库)必须使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性,并具备身份验证、访问控制、故障恢复、安全保护、安全审计、分权制约等功能。
第十三条 对会影响到全公司的硬件设备或软件的更改、调试等操作应预先制定具体实施方案,必要时准备好后备配件和应急措施。
第十四条 数据库管理系统和关键网络设备(如服务器、防火墙、交换机等)的口令必须使用强口令,由专人掌管,定期更换。
第十五条 业务信息系统应严格控制操作权限,原则上采用专人专用的用户名及密码登录;对数据库的维护不允许通过外网远程登录进行。
第十六条 接入总公司信息系统的所有服务器和计算机均应采用国家许可的正版防病毒软件并及时更新软件版本,发现问题及时解决。具体措施如下:
(一)所有计算机全部安装和使用网络版防毒软件,未经许可,不得随意禁用或卸载,并设置好定期升级和杀毒的安全策略;
(二)对新购进的、修复的或重新启用的计算机设备,必须预先进行计算机病毒检查后方可安装运行;
(三)杜绝病毒传播的各种途径,光盘和优盘等存储介质及经远程通信传送的程序或数据在使用前应进行病毒检测,如工作需要使用共享目录,必须做好有关防范措施;
(四)在接入internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开附件;
(五)当出现计算机病毒传染迹象时,立即拔掉网线,隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行。
第十七条 总公司及所属各单位信息系统如发生严重的网络中断故障,应按规定进行先期处置,同时报总公司办公室。
第六章 数据管理
第十八条 系统管理员应对系统数据(主要包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置及其他系统配置参数)实施严格的安全与保密管理,并定期核对,防止系统数据的非法生成、变更、泄漏、丢失与破坏。
第十九条 各单位应定期进行数据备份,保证系统发生故障时能够迅速恢复;业务数据必须设置在线定时自动备份策略,必要时应采用双机备份。
第二十条 各单位重要业务数据必须每年定期、完整、真实、准确地转储到不可更改的介质上,实行集中存储和异地保管,保存期至少2年。备份数据不得更改,应指定专人负责保管和登记。
第二十一条 各单位业务数据不得随意进行数据恢复,因数据丢失或故障确需恢复的,应由系统管理员报本单位信息化工作部门,经批准后方可进行数据恢复操作,并做好记录。
第二十二条 总公司信息系统的数据采集、存储、处理、传递、输出和发布应遵守计算机信息系统相关保密管理规定,以保证公司信息系统无泄密事件发生。
第七章 附则
第二十三条本办法由总公司办公室负责解释。
第二十四篥本办法自印发之日起施行。
第4篇 绿谷集团计算机信息系统安全管理规定
绿谷集团计算机信息系统安全管理规定
第一章 总则
第一条 为了保护绿谷集团网络系统的安全、促进计算机网络的应用和发展、保证网络的正常运行和网络用户的使用权益,制定本安全管理规定。
第二条 本管理规定所称的网络系统,是指由绿谷集团投资购买、由网络与信息中心负责维护和管理的网络节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为网络应用及服务的硬件、软件的集成系统。
第三条 绿谷网络系统的安全运行和系统设备管理维护工作由信息设计部负责。任何单位和个人,未经网络负责单位同意、不得擅自安装、拆卸或改变网络设备。
第四条 任何单位和个人、不得利用联网计算机从事危害绿谷网站及本地局域网服务器、工作站的活动,不得危害或侵入未授权的服务器、工作站。
第五条 任何单位和个人不得利用公司内部网和国际联网危害公司安全、泄露公司秘密,不得侵犯公司的利益,不得从事违法犯罪活动。
第二章安全保护运行
一、操作管理
第六条 除网络负责单位,其它单位或个人不得以任何方式对计算机信息网络功能及计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
第七条未经保管人允许,任何人不得擅自使用她人电脑;
第八条 任何单位和个人不得利用内部网国际联网制作、复制、查阅和传播下列信息:
1、捏造或者歪曲事实,散布谣言,扰乱公司秩序的;
2、宣扬淫秽、色情的;
3、公然侮辱她人或者捏造事实诽谤她人的;
4、损害公司形象的;
第九条 任何单位和个人不得将涉及公司秘密的计算机信息系统,直接或间接地与国际互联网或其它公共信息网络相联接;
第十条 任何单位和个人不得将公司秘密的信息,在国际联网的计算机信息系统中存储、处理、传递;
第十一条 任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播公司秘密信息;
第十二条 未经允许,任何单位和个人不得私自将计算机接入局域网;
第十三条 有密码功能的计算机要求设置密码;人员离开计算机后,要求退出系统并关机,或设计屏幕保护密码;
二、软件管理
第十四条 公司上网计算机操作软件必须由专人负责同一安装,任何单位和个人不得擅自安装其它软件;
第十五条 严禁在公司网络及计算机上使用来历不明、引发病毒传染的软件;
第十六条 严禁在公司网络及计算机上使用盗版软件;
三、文件管理
第十七条 重要文件必须及时备份;
第十八条 尽量减少文件共享,共享文件必须设置密码;
四、病毒管理
第十九条 每台计算机必须安装杀毒软件及防火墙;
第二十条 每台计算机必须定时查毒和升级杀毒软件,发现病毒立即上报信息设计部;
第二十一条 严禁故意制作、传播计算机病毒等破坏性程序;
第二十二条 严禁使用未经杀毒的软盘;
第二十三条 严禁未经杀毒拷贝文件,或将文件发送到其它客户机上;
第二十四条 严禁接受和发送未经杀毒的电子邮件;
第二十五条 新系统安装前必须进行病毒检测;
五、硬件管理
第二十五条 任何单位和个人不得以任何借口盗窃、破坏网络设施;
第二十六条 公司内从事施工、建设,不得危害计算机网络系统的安全;
第二十七条 除计算机维护人员,任何单位和个人不得随意拆卸所使用的计算机或相关设备;
第二十八条 计算机房间钥匙不得随意转借她人使用,做到人走锁门;
第二十九条 装有计算机房间内的电线必须按规定铺设,不得私拉乱接;
六、监督管理
第三十条 每台计算机由使用人负责日常维护及安全管理;
第三十一条 网络各类服务器中开设的帐户和口令为个人用户所拥有,信息设计部对用户口令保密,任何单位和个人不得随意提供这些信息。
第三十二条 各单位和用户,应当接受并配合信息设计部实施的监督检查,并根据信息设计部的要求,删除计算机及网上不符合规定的内容;
第三十三条 各部门和用户,发现违反规定情况时,应当立即向信息设计部报告;
第三十四条 负责部门必须定期检查安全情况,对网络上有害信息及时控制并删除,不得传播;
第三十五条 人员离岗离职必须到信息设计部登记,做好软硬件及帐号、密码交接工作;
第三章 违规责任与处罚
第三十六条 违反上述规定造成公司秘密泄漏、数据丢失、硬件损坏、病毒感染、对公司或她人造成不良影响者以及使用盗版软件者,根据具体情况追究当事人及其直接领导责任;
第四章 其她
第三十七条 本管理制度自公布之日起实行。
第5篇 信息系统运行维护及安全管理规定
第一章 总则
第一条 为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法》,结合总公司实际,特制定本规定。
第二条 本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。
第三条 信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。
第二章 管理机构及职责
第四条 总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:
(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;
(二)负责总公司机关局域网的运行维护管理;
(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;
(四)指导、协调所属单位局域网系统的安全运行管理。
第五条 总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:
(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接的畅通;
(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;
(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。
第三章 网络接入及ip地址管理
第六条 需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。
第七条 总公司机关内部局域网的ip地址由办公室统一规划、管理和分配,ip地址的申请、补充、更换均需办理相关手续。
第八条 申请与使用ip地址,应与登记的联网计算机网卡的以太网地址(mac地址,即硬件地址)捆绑,以保证一个ip地址只对应一个网卡地址。
第九条 入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的ip地址和指定的网关和掩码。严禁盗用他人ip地址或私自设置ip地址。总公司办公室有权切断私自设置的ip地址入网,以保证总公司内部局域网的正常运行。
第四章 安全运行管理
第十条 总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。
第十一条 建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。
第十二条 系统软件(操作系统和数据库)必须使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性,并具备身份验证、访问控制、故障恢复、安全保护、安全审计、分权制约等功能。
第十三条 对会影响到全公司的硬件设备或软件的更改、调试等操作应预先制定具体实施方案,必要时准备好后备配件和应急措施。
第十四条 数据库管理系统和关键网络设备(如服务器、防火墙、交换机等)的口令必须使用强口令,由专人掌管,定期更换。
第十五条 业务信息系统应严格控制操作权限,原则上采用专人专用的用户名及密码登录;对数据库的维护不允许通过外网远程登录进行。
第十六条 接入总公司信息系统的所有服务器和计算机均应采用国家许可的正版防病毒软件并及时更新软件版本,发现问题及时解决。具体措施如下:
(一)所有计算机全部安装和使用网络版防毒软件,未经许可,不得随意禁用或卸载,并设置好定期升级和杀毒的安全策略;
(二)对新购进的、修复的或重新启用的计算机设备,必须预先进行计算机病毒检查后方可安装运行;
(三)杜绝病毒传播的各种途径,光盘和优盘等存储介质及经远程通信传送的程序或数据在使用前应进行病毒检测,如工作需要使用共享目录,必须做好有关防范措施;
(四)在接入internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开附件;
(五)当出现计算机病毒传染迹象时,立即拔掉网线,隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行。
第十七条 总公司及所属各单位信息系统如发生严重的网络中断故障,应按规定进行先期处置,同时报总公司办公室。
第六章 数据管理
第十八条 系统管理员应对系统数据(主要包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置及其他系统配置参数)实施严格的安全与保密管理,并定期核对,防止系统数据的非法生成、变更、泄漏、丢失与破坏。
第十九条 各单位应定期进行数据备份,保证系统发生故障时能够迅速恢复;业务数据必须设置在线定时自动备份策略,必要时应采用双机备份。
第二十条 各单位重要业务数据必须每年定期、完整、真实、准确地转储到不可更改的介质上,实行集中存储和异地保管,保存期至少2年。备份数据不得更改,应指定专人负责保管和登记。
第二十一条 各单位业务数据不得随意进行数据恢复,因数据丢失或故障确需恢复的,应由系统管理员报本单位信息化工作部门,经批准后方可进行数据恢复操作,并做好记录。
第二十二条 总公司信息系统的数据采集、存储、处理、传递、输出和发布应遵守计算机信息系统相关保密管理规定,以保证公司信息系统无泄密事件发生。
第七章 附则
第二十三条 本办法由总公司办公室负责解释。
第二十四篥 本办法自印发之日起施行。
第6篇 集团信息系统安全管理细则
第一条 目的
为了保护集团计算机信息系统安全,规范信息系统管理,合理利用系统资源,推进集团信息化建设,促进计算机的应用和发展,保障集团信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为集团运营服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合集团实际情况,制定本细则。
第二条 术语与定义
(一) 信息系统安全管理范围:业务软件系统信息安全、硬件网络信息安全。
(二) 系统管理员:是集团信息化管理系统建设的主要执行者,负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作;同时,负责集团信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作;
第三条 适用范围
本细则适用于集团信息系统安全管理。
第四条 系统服务器和网络设备管理方法:
(一) 服务器和各网络设备的放置详见《机房管理细则》第五条的第三项;
(二) 非集团指定系统管理员,未经批准不得对服务器和各网络设备进行硬件维护、软件安装卸载等操作;
(三) 保证服务器和各网络设备24小时不间断正常工作,不得在服务器专用电路上加载其它用电设备;
(四) 非工作需要,内网服务器严禁直接接入因特网,并安装好杀毒软件,做好病毒防范,杜绝病毒感染。
第五条 业务软件系统信息安全:
(一) 帐户申请:对符合开通帐户的申请人,根据权责对软件所负责管理的职能归属部门进行申请,经该主责部门同意后,转信息管理部系统管理员处备案;
(二) 帐户删除:对于离职人员,在办理工作交接时。由离职人员的主管通过办公平台向业务软件主责部门提交删除离职人员相关业务软件帐户的申请。经该主责部门同意后,转信息管理部系统管理员处备案;
(三) 操作人员应该严格保密帐户信息,如因故意或过失造成信息泄漏的,将根据《员工奖惩管理细则》追究其相关责任;
(四) 系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,适时更换、更新用户帐号或密码。
第六条 网络信息安全:
(一) 系统管理员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生;
(二) 网络系统所有设备的配置、安装、调试必须由系统管理员负责,其它人员不得随意拆卸和移动;
(三) 所有上网操作人员必须严格遵守计算机及其它相关设备的操作规程,禁止其它人员进行与系统操作无关的工作;
(四) 在管理员还没有有效解决网络安全(未安装防火墙、杀毒软件)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。
第七条 资料备份工作方法:
(一) 数据备份关系到整个集团信息化管理系统的正常运转,影响到集团正常的运营秩序,必须严格执行;
(二) 数据库服务器每周日做一次数据备份;
(三) 备份的数据存储于专门的硬盘内,备份必需以覆盖的形式存储,确保数据不会遗漏;
(四) 所有重要数据、信息化管理系统源程序要刻录成光盘存盘;
(五) 若遇重大程序更新、修改,必须在程序更新、修改前要做好数据的备份工作;
(六) 上传到集团网站上提供给查询的数据必须每日定时更新,确保查询数据的准确性;
(七) 系统管理员若遇重大程序更新、修改,必须填写工作日志;
(八) 非共享的文件不能设置成网络共享,提供共享使用的文档必须设置相应权限,由于没有安全设置相应权限而造成本单位数据丢失的情况,后果自负。
第八条 管理员有权制止一切违反安全管理的行为。
第九条 本细则的解释权属于运营管理中心信息管理部。
第十条 本细则由运营管理中心信息管理部进行起草与修订,由总裁办公会审核,执行总裁批准后发布。
第十一条 本细则自发布之日起生效,集团原有相关规定、通知、办法等同时废止。
第7篇 安全管理信息系统的基本构成和设计原则
安全管理信息靠安全管理信息系统收集、加工和提供,因此,研究安全管理信息,必然要研究安全管理信息系统。
一、安全管理信息系统的构成
管理信息系统,国外简称mis,是专指以电子计算机网络为基础的自动化数据处理系统。但是从一般意义上来说,所谓管理信息系统实际是指那些专门为管理系统生产和提供有用信息以便使其正确地发挥管理职能,达到管理目的的系统。
根据以上对管理信息系统概念的理解,一个完整的企业安全管理信息系统主要由以下部分构成。
1.信息源
即根据安全管理系统的需要,解决应从哪里收集安全信息的问题。区分信息源可以有两个标准。一是根据地点不同,可分为内源和外源。内源是指安全管理系统内部的信息,外源则是指安全管理系统以外但与之有关的安全管理环境的信息;二是根据时间不同,
可分为一次信息源和二次信息源。一次信息源是指从内源和外源收集的原始安全信息,二次信息源是指安全管理信息系统储存待用的安全信息。选择适当的信息源是安全管理信息系统及时、准确地为管理用户提供有用安全信息,进行有效服务的重要前提。
2.信息接收系统
即根据企业安全管理的需要和可能,解决以什么方式收集安全信息的问题。随着科学技术的发展,人们收集安全信息的方式多种多样,其中有直接的人工收集方式,也有采用无线电传感技术进行安全信息收集的方式。及时、真实、完整地收集原始安全信息,是保证安全管理信息系统其他环节工作质量的重要基础。因此,根据企业安全管理的需要,考虑技术和经济上的可能,选择适当的安全信息收集方式和相应的安全信息接收装置是设计安全管理信息系统的重要环节。
3.信息处理系统
是指包括信息加工、存储和输出装置,解决如何根据安全管理的需要,对安全信息进行加工、存储和输出到安全管理用户的系统。根据技术条件的不同,信息处理可采用多种方式。目前,安全信息加工和存储越来越多地运用电子计算机,特别是微型电脑。与此相适应,信息传输也越来越多采用现代化通信设备,如卫星通信和光纤通信等。
4.信息控制系统
为了保证安全管理信息系统不断为安全管理系统提供及时、准确、可靠的安全信息,安全管理信息系统要建立灵敏的信息控制系统,以不断取得反馈信息,纠正工作中的偏差,控制整个安全管理信息系统按照安全管理用户的需要提供有效的服务。根据安全管理信息系统规模的大小,安全信息控制系统可以设专门机构,也可由专人负责。
5.信息工作者
信息工作者是安全管理信息系统最重要的构成要素。在安全管理信息系统中,信息工作者的主要任务是负责对安全管理信息系统的设计和管理。在安全管理信息系统的每一个工作环节编制程序、操作设备,形成有效的人—机系统,对安全信息进行收集、加工、存储和输出。所以,在现代化安全管理信息系统中,信息管理者既要有懂安全管理的人员,也要有懂计算机和现代化通信技术的人员。应当指出,安全管理信息系统在技术上愈是现代化,信息管理者的作用就愈重要。为此,不断提高信息管理者的素质,是保证安全信息管理系统有效运转的关键。
综合上述各要素,安全管理信息系统的构成和运转情况,如图6—2所示。
在实际安全生产中,安全管理信息系统主要是指那些专门为各种安全管理活动收集、加工、储存、提供信息的部门和机构。如统计部门、情报部门、咨询部门、预测部门、图书资料部门、计算中心等。上述各种部门其躯干雄居于大中城市,四肢伸向各个单位、各个企业,上下结合,纵横交错,共同形成一个国家或地区范围内的庞大的安全管理信息系统。
二、安全管理信息系统的设计原则
任何有效的安全管理都必须由安全管理信息系统提供及时、准确、适量、经济的信息。为了达到这一目的,安全管理信息系统的设计必须遵循以下原则。
1.要有明确的目的性
安全管理信息系统是为安全管理系统提供信息服务的。因此它的设计必须要首先明确服务对象的性质、范围及其所需安全信息在数量、质量、时间等方面的要求。做到这一点,在安全管理系统设计前,就要详细调查安全管理用户的情况,标清所服务的对象经常需要哪些安全信息,这些信息应从哪里获取,以什么方式收集和传递,摸清这些情况,系统设计才能有明确的目的。
2.要坚持系统的完整性和统一性
所谓完整性,就是根据信息加工需要,必须具备的环节不能缺少,同时要保证各环节的相互联系和正常运转;所谓统一性,就是要求整个信息系统的工作要统一,要制度化。整个系统各个工作环节所加工和输送的信息在语法、语意和格式上要标准化、规范化。坚持安全管理信息系统设计的统一性,主要是为了各个环节工作的协调,同时便于与别的管理信息系统联系、合作,所加工的信息也便于各个管理系统使用。
3.要保证一定的可靠性
安全管理信息系统的可靠性,集中表现在所提供的信息的准确性、适用性和及时性。只有这样,才能赢得用户的信任并乐于采用。可靠性是安全管理信息系统的生命所在,为了保证安全管理信息系统的可靠性,必须要使整个系统有良好的素质,其中包括设备、人员、服务态度、工作作风等素质。同时还有必要在整个系统中配备一定的控制装置和监督人员。
4.要允许一定的相对独立性
允许安全管理信息系统一定的相对独立性,主要目的是要保证信息的真实性和可靠性。为此,一些主要的安全管理信息系统应在组织上与安全管理系统分设,即使对于从属于安全管理系统的信息机构,也要从纪律、制度上,甚至通过立法来保证其行使职能的相对独立性,避免某些长官意志和过多的行政干预。
5.要注意一定的适应性和灵活性
在科学技术日新月异,社会和经济形势千变万化的情况下,现代安全管理要求有很强的适应性和灵活性。安全管理上的这种适应性和灵活性,主要靠及时获取安全信息来达到,这就要求安全管理信息系统也应具有一定的适应性和灵活性。只有这样才能在条件一旦变化时仍能及时提供可靠的、具有现实意义的安全信息,以便安全管理系统的决策、计划等能随时适应新的情况。忽视安全管理信息系统设计的适应性与灵活性的原则,实际上是对资源的浪费,有时还可能导致安全管理决策的失误。当然重视适应性、灵活性原则,并不排斥相对的稳定性,这就要在设备采用、人员配备、机构设置等方面正确处理好需要与可能、稳定与灵活、长远与眼前的关系。
6.要讲究经济性
在安全信息系统设计中,所谓经济性原则,就是不但要考虑所提供安全信息的准确性、适用性、及时性,而且要考虑获取、加工和输送这些安全信息的费用或成本。实际上就是要讲究安全管理信息系统的工作效率和经济效益。影响安全管理信息系统经济效益的因素是多方面的。为此,进行安全管理信息系统设计必须要进行经济技术分析,综合考虑各种影响因素,使设备上的先进性、技术上的可行性和经济上的合算性达到满意的结合。
安全管理信息系统设计的以上原则是一个矛盾统一体。从总的方面说,安全管理信息系统的设计过程就是要从如何满足各安全管理用户需要出发,不断使上述原则达到统一的过程。在这个过程中,根据需要与可能有所侧重,但完全忽略某一方面则是不行的。
三、安全管理信息系统现代化的技术策略
安全管理信息现代化是安全管理现代化的客观要求,也是时代发展的客观要求。安全管理信息系统现代化是一个综合性概念,它包括指导思想现代化、组织结构现代化、人员素质现代化和技术手段现代化。根据当代科学技术水平和安全管理水平,所谓安全管理信息系统技术手段现代化,主要是指建立以电子计算机和现代通信技术为基础的网络化、 自动化的信息收集、加工、储存、传递系统。要达到这一目标,必须要从实际出发,采取正确的技术策略。
1.要有正确的指导思想和明确目标
一个企业的安全管理信息系统现代化水平,在何时要达到什么程度,这是制定技术策略首先要解决的问题。总结国内外经验,制定安全管理信息系统现代化技术策略的指导思想应该是:既不能脱离一个企业的实际,急于求成、全面引进,在一切方面都要“迎头赶上”,也不能亦步亦趋照抄别人所走过的路子,要立足自己的情况,充分利用有利时机和一切可能条件,全面规划,逐步实施。在目标的制定上,总的说要与本国的经济和科学技术发展目标相适应,要和安全管理现代化的水平相适应。具备了一定条件,个别方面和某些领域也可首先突破。
2.要全面规划、配套进行
安全管理信息系统技术手段现代化是一项复杂的系统工程。必须全面规划、配套进行。安全管理信息系统向安全管理系统提供安全信息,包括要综合发挥信息收集、加工、储存、传递等一系列的功能,这就要求信息收集、加工、储存、传递等技术手段要相互协调和配套。具体说,没有电子计算机,信息就不能高速度、高质量地加工、处理;而没有先进的传感技术和通信技术,信息就不能迅速、大量、有效地获得和传递,电子计算机也无展其技。特别是要做到安全管理信息系统的网络化、自动化,更要求传感、通信和计算机技术相互配套,同步发展。因为计算机和传感技术只能形成离散的信息收集和加工点,只有通信技术才能把这些离散的点连成线、结成网。同时还要想到,在实现安全管理信息系统技术手段现代化的过程中,不但要大力发展信息技术,而且还要大力发展与其有关的各种支持技术和为之提供新材料,新能源的基础技术,这样又要考虑一批批技术群和产业群的协调、配套发展。
3.加快人才培养,适应技术现代化的需要
先进的技术手段要靠高素质的人才操作使用。因此,安全管理信息系统技术手段的现代化水平要与现有人才的素质相适应,高素质人才的培养也要与不断发展的信息业和不断提高的信息获取、加工和传递的技术水平相适应。当代,随着信息业的不断发展,对于从事信息业人才的需求量不断增加。为此,应该运用多种形式加快培养。其中主要包括对预测专家、情报专家、咨询专家、计算机专家、通信专家和信息管理专家的培养。此外,为了加快安全管理信息系统技术手段现代化的步伐,还要注意提高广大安全管理者和劳动者的科学文化素质,如果广大安全管理者和劳动者的科学文化水平不高,吸收和运用安全信息的能力不强,同样也影响安全管理信息系统技术手段现代化水平的提高。
第8篇 安全监察管理信息系统的开发与应用
(江苏省电力公司,江苏 南京 210024)
〔摘 要〕 详细介绍了江苏省电力公司安全监察管理信息系统的功能、设计思路以及系统开发、推广 应用的过程。
〔关键词〕 安全管理;信息系统;开发
2000年,江苏省电力公司确立了在2001年实现创建中国一流电力公司的第一步发展战略目标。一流的公司要有一流的管理,安全生产的重要地位要求有崭新的安全生产管理体制和管理手段,并要求安监部门能及时掌握有关安全生产的信息和安全管理的动态。而要使安全生产信息能及时、准确、完整地反馈给领导和有关管理人员,提高公司系统安全管理现代化水平,必须建立一套完整的安全监察信息系统。
1 安监mis系统开发前的状况
1998年,省公司向基层发供电单位推广的安监mis系统,是根据南京供电局的安全管理模式开发的,基层单位使用后反映这套系统问题比较多:系统功能不全,不能涵盖本单位的安全管理内容;许多原始资料如安全工器具、“五防”装置在车间、班组,收集、录入、维护工作量相当大,影响了系统的推广应用;系统不是网络化设计,车间、班组不能查看系统内上级和本单位的安全生产信息;安监部门不能及时全面了解车间、班组的现场安全检查、安全活动等动态情况; 省公司不能查看系统内的信息,基层单位只能通过邮寄的方式将文件、安全简报、汇报材料上报,不仅浪费资源,还干了许多重复劳动。另外,供电局、发电厂的安全管理内容、模式不尽相同,因此,这套系统不适用于发电单位。
2 系统功能设置的目的与指导思想
江苏省电力公司开发安监mis系统的目的是要把整个安全监督管理全过程纳入计算机管理之中。因此,根据省安全管理的现状,吸取以往开发安全监察mis系统的经验、教训,结合现有的网络模式,计划用2年的时间完成整套安全监察mis系统的调研、开发、试点、培训、推广应用。根据公司系统mis建设的基本原则,即统一领导、统一规划、统一开发应用,确定系统功能设置的指导思想为:安全监察mis系统需求的提出和功能模块的设置必须坚持安全管理规范的要求,根据省公司、发供电企业的不同情况,做到既有省公司与各厂、供电公司之间的“大统一”,又有各厂、供电公司内部根据本企业情况的“小自由”原则,由省公司统一牵头,负责开发与应用,各基层单位可根据各自的管理模式作适当的调整。
3 系统开发模式
系统开发分3种模式;即省电力公司模式、供电模式、发电模式。
4 系统功能设计过程
根据“三统一”的原则,为了设置既满足科学管理需要,又贴近实际业务处理流程的功能需求,保证系统在使用过程中能真正提高效率,在调研的基础上,研究确定省公司、供电公司(发电厂)两个层面的系统功能初步设计报告,提交给省公司、供电公司、发电厂安监部门负责人、安监人员进行广泛深入的讨论,根据讨论结果进行修改,确定系统的总体框架。然后,召集省公司和基层单位的具体业务人员和计算机开发人员进行反复的讨论,反复磋商后确定需求总体设计报告,再由开发人员拿出系统的初步程序设计,经反复修改后,由开发单位提交一份完整的安监mis系统。
5 系统需求功能模块的设计
5.1 省公司的系统功能模块设计
设计思路:既要能查看到供电公司、发电厂的安监mis子系统的信息,又要满足省公司本身安全管理的需要,同时,系统内的大部分信息对基层开放。图1为省公司级安监mis系统环境。
省公司安全监察mis系统根据国家电网公司颁发的《安全生产工作规定》、《事故调查规程》结合工作实际,确定子系统共分10个模块(各模块可选用)。
图1 省公司级安全监察mis系统环境
进入系统的首页,显示本年省公司安全情况,数据从国电公司事故统计分析软件提取。
下一页是系统功能模块,以拉菜单形式出现:
(1) 组织网络管理模块:包含安委会组织、安全监察网等内容。
安委会组织:包括省公司安委会成员的基本信息,如:姓名、性别、学历、年龄、职务(从劳动人事管理系统获取),安委会职务、进入安委会的时间。可以人工录入或选取。
(2) 计划目标管理模块:包含安全生产奋斗目标、年度安全工作计划、月度安全工作计划、安全技术措施计划、反事故技术措施计划等内容。
安全生产奋斗目标:包含省公司安全生产奋斗目标的内容和完成情况。功能:两项内容单立,分年度以文本格式显示,内容可以从word文档引入。可以查看、打印任1年的内容。
(3) 例行工作管理模块: 包含安委会会议、安全分析会、安全监督例会、安全检查报告、专题材料、安全简报、安全通报、安全快报等内容。
安委会会议材料分年度和开会次数,包括序号、简题、主持人、时间列表显示,会议记录材料或会议纪要文本格式显示。可以查看、打印内容。
(4) 办公管理:包含通知管理、收发文信息。
通知管理的主要功能包括按年度显示本单位的通知列表,显示序号、日期、通知号、标题,查看、打印通知内容。内容可能从办公自动化提取。
(5) 考核奖惩管理:包含安全表彰、安全惩处、百日无事故奖。
安全表彰分年度、分次数,包括序号、表彰单位、文号、标题列表显示,内容文本格式显示。
(6) 安全教育:包含安规考试记录、安监人员岗位培训记录、紧急救护培训记录;
安规考试记录分年度、分单位,包括序号、姓名、职务、成绩。可以打印表格。
(7) 统计报表:可直接进入国电公司事故统计分析软件。
(8) 制度与文献管理:包含安全标准、安全法规、规章制度等。
(9) 其他管理:安全工器具入网登记,包含序号、生产厂家、产品型号、入网证号、发证日期、有效期等列表显示。可以打印表格。
(10) 功能维护:包含系统授权、单位代码维护、查询发供电数据等。若点击“查询发供电数据”功能,页面将切换到发供电上报的安监mis系统内的安全管理信息。
5.2 供电(发电)安全监察mis系统功能模块设计
供电(发电)安全监察mis系统共分11个功能模块。
(1) 组织网络管理:包含安委会组织、安全监察网组织、工作票三种人员管理、特种作业人员管理、单独巡视电气高压设备的管理。
(2) 计划目标管理:包含安全生产奋斗目标、年度安全工作计划、月度安全工作计划、安全网活动计划、两措计划。
(3) 例行工作管理:包含安全简报、安全通报、安全快报、现场安全检查、安全大检查、安全分析会记录、安全活动记录、安全网活动纪要、安全委员会活动纪要、不安全情况分析会记录、安全工作总结、安全记事、安全生产情况登记、人身伤亡情况登记、设备损坏情况登记。
(4) 办公管理:包含通知管理、收发文登记。
(5) 考核奖惩管理:包含安全奖励、安全惩处、基层单位奖惩汇总表、先进荣誉称号。
(6) 安全教育:包含年度《安规》考试记录、安全教育培训计划及完成情况、职工三级安全教育、专题安全教育培训、临时工三级安全教育、安全网培训记录。
(7) 统计报表:包含国电公司事故统计分析系统、安全生产风险抵押、变压器汇总表、线路汇总表、 事故(障碍)明细月报表、基层单位监察月报、安全记录管理、违章记分一览表。
(8) 制度与文献管理:包含安全标准、安全法规、规章制度、文献等。
(9) 外包工程管理: 包含外包工程单位登记、资审合格通知书管理、施工人员安全教育、外包工程工作票签发人和负责人名单、外包工程项目管理、工程项目现场检查记录、外包工程安全责任书、协议书登记、现场交底单登记。
(10) 其他管理:包含安全工器具管理、特殊设备管理、工伤登记表、两票考核、五防装置查询。
(11) 功能维护:包含系统授权、单位代码维护等。
6 系统介绍
6.1 概况
安全监察mis系统硬件:pc机,window2000server网络结构;软件:win98、2000操作系统,数据库采用ibm db2 for ibm aix,客户机与服务器数据访问方式,并实现与劳动人事管理系统访问。
6.2 系统特点
(1) 系统将安全监察管理过程纳入计算机管理之中。整个应用范围涵盖了从省电力公司到地市供电公司及其下属的分(县)供电公司以及省公司下属的所有电厂、车间班组。
(2) 通过系统内广域网,在安全监察数据中心的基础上,建立面向管理层的综合信息查询系统。
(3) 统一的界面风格。界面力求实用、简洁、美观,用户操作简便,避免重复性输入,力求减轻维护人员工作量。
(4) 灵活的功能与权限控制,既方便各级安监人员查询、又保证了系统的稳定性和数据的可靠性。
(5) 丰富的查询与输出手段,着重对数据进行分析比较,以多种表现方式反映综合数据的查询及统计分析结果。
(6) 集中式的代码管理。由代码管理部门统一设置全省的代码,保证全系统代码的唯一性和一致性。
7 结 论
目前,整套系统已在全省供电公司和公司所属发电厂投入运行。 该系统的推广应用,规范了我公司安全监察管理的业务流程和业务标准,大大缩短了省公司与基层单位、企业内部、兄弟单位之间的距离,使省公司与基层单位安全生产信息处理、信息反馈渠道畅通,可以及时准确地取得全省安全管理的各方面信息,掌握全省安全监督管理的现状,为领导决策提供了依据,提高了安全管理的现代化水平,为我省创国际一流奠定了良好的基础。
第9篇 信息系统密码安全管理办法
1.1制定目的
(1) 规范公司信息系统密码管理。
(2) 确保网络安全运行,保护信息系统、服务器不受侵害。
1.2适用范围
凡隶属本公司信息系统用户,悉依照本办法所规范之体制管理。
1.3权责单位
(1) 信息科负责本办法制定、修改、废止之起草工作。
(2) 总经理负责本办法、修改、废止之核准。
2 信息系统密码安全管理办法
(1) 服务器、应用系统账号和密码要专人专管不得转借他人使用。为了避免账号被盗,密码不定期更换,建议密码长度不少于6位,建议数字与密码组合使用。
(2) 如果用户密码忘记,需用户本人亲自申请恢复密码。
(3) 拥有新账户的员工,需尽快修改初始密码,防止账号被盗用。
(4) 服务器和服务器数据库超级用户必须设置密码,系统管理员严格保管数据库和服务器的登录密码。
(5) 服务器和数据库的超级用户密码设置位数必须大于10位。除数据库的超级用户密码和服务器密码不定期更换,其他密码由信息中心工程师定期更换,操作时间为每月1号,并在信息总监处以电子形式留有备份,提交备份时间为每月1号。 密码类型 密码长度 更换时间 服务器超级用户密码 大于10位 两个月更换一次 数据库超级用户密码 大于10位 设置好后不做更换 系统管理员密码 大于6位 一个月更换一次 ftp及防火墙等管理员密码 大于6位 一个月更换一次
(6) 机房工作人员应严格执行密码管理规定,对操作密码定期更改,任何密码不得外泄,如有因密码外泄而造成各种损失的,由当事人负全部责任。
2022-2-1
第10篇 某大学继续教育学院信息系统安全管理规定
z大学继续教育学院信息系统安全管理规定
第一章 总则
第一条 为了进一步加强我院信息系统安全管理,保证设施设备、人员及信息安全,确保网络正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国治安处罚法》第29条、《互联网安全保护技术措施》、《教育行业信息系统安全等级保护定级工作指南(试行)》等相关法律法规的要求,特制定本规定。
第二条 本管理规定所称的网络系统,是指由学校或学院投资购买,由我院维护和管理的,为教学、科研、管理服务的各类网络设备、配套设施、数据资料等软硬件系统的总和。
第二章 机构与制度
第三条 信息系统安全管理应遵循统一管理、分级负责的原则。学院应成立专门部门负责网络安全管理工作。该部门在网络安全责任人的领导下,负责制定和完善相关的管理制度,组织和指导各部门实施网络安全管理工作,监督和评估制度的执行效果。
第四条 学院各部门应指定专人(部门网络安全责任人)负责本部门业务范围所涉及的信息系统安全的管理工作。各部门应结合自身工作性质和特点,制定具体的网络安全管理实施细则,明确工作职责和管理权限,责任要落实到人。
第五条 网络安全主管部门要强化有关网络安全法律、法规和网络安全意识的宣传教育工作,开展多种形式的安全检查,对发现的网络安全隐患,要及时督促整改。
第三章 技术措施
第六条 学院应对服务器、交换机、通信线路、IP地址等网络软硬件资源的使用进行统筹管理,按需分配。任何部门或个人不得通过任何手段私自使用以上资源或更改其用途。网络安全主管部门要对网络资源的使用和分配情况进行登记,并上报学校相关部门备案。
第七条 重要的网络设施设备必须实行专人专管。
第八条 信息系统中账号、密码、权限的安全设置必须符合相关的技术规范。重要的服务器应做到“功能单一、专机专用”,严禁在服务器中安装与其功能无关的服务类软件,不得用服务器做与其功能无关的事。
第九条 严格管理信息系统中的账号和密码,不得向无关的单位和个人提供相关信息(法律法规另有规定除外)。任何人不得以任何手段侦听、破解、盗用账号和密码,严禁登录与本人工作职责无关的网络设备。
第十条 所有接入网络的计算机必须安装防病毒软件;网络服务器必须采取防范网络入侵和攻击的技术手段;定期备份重要数据;网络中的重要设备应采取容灾措施。
第十一条 学院开设的服务器必须启用日志记录功能,记录并留存用户登录和退出时间、操作内容、访问地址或域名等关键信息,历史记录保留时间不得低于60天。
第十二条 对网络中的各类应用软件、数据库系统等信息资源应视其重要程度采取相应的保密措施和权限控制。
第十三条 养成良好的计算机使用习惯,不随意下载和安装不熟悉的软件、不无序存放数据资料、不使用盗版软件、不接收和转发来历不明的电子邮件、不随意访问不熟悉的网站、不随意修改系统参数,及时升级系统和应用软件、及时备份重要的数据资料。
第十四条 学院教学用机房一律不准对社会开放,严禁向学生提供有偿网络服务。在教学过程中不能无限制对教师和学生开通上网服务,应视具体的教学内容而定。
第四章 审查与备案制度
第十五条 学院应建立完备的审查与备案制度。需要审查和备案的事项包括:信息发布、提供网络服务、新建网络设施、申请网络账号等。
第十六条 各部门对外的信息发布的审查和备案工作由部门网络安全责任人负责。学院对外提供网络服务、新建网络设施或申请网络账号等由网络安全主管部门负责向学校提交相关申请和备案工作。
第十七条 未经批准,任何部门和个人不得以学院的名义对外发布信息,不得私自对外开设代理、邮件、文件、信息等网络服务服务。如无特殊需要,学院的服务器一般不对学生和学院以外的人员开通信息发布功能。
第五章 应急处置机制和信息通报制度
第十八条 网络安全事件的处理应坚持“加强监控、主动防范、先期处置、及时汇报”的原则。
第十九条 出现以下情况可视为网络安全事件:
1.网站主页被恶意篡改,出现*、反政府、分裂国家、危害社会稳定等违法言论,出现宣扬色情、暴力、封建迷信的信息或损害他人利益、声誉的不实言论以及其他违法的信息。
2.网络服务器遭受入侵,数据被非法复制、修改、删除等。
3.网络服务器受到攻击,导致服务中断或严重受阻。
4.网络服务器感染计算机病毒,导致重大损失。
第二十条 若发生网络安全事件或疑似网络安全事件,应按以下步骤处理:
1.相关技术人员应立即停止受到影响的服务器、工作站的运行,关闭交换机等网络设备,防止势态蔓延、危害扩大;备份系统和应用软件的各类日志文件及重要的数据文件。
2.立即向学院网络安全主管部门汇报情况,由网络安全责任人召集技术人员对事件的性质进行认定。若确认为网络安全事件,应及时以书面形式向学校相关部门汇报。并在保留证据的前提下,及时修复受损的网络设备和数据。若确由必要,可向学校相关部门提出技术支持的请求。
3.处置完成后应总结教训、查找漏洞,制定相应的防范措施,尽量杜绝相同事件再次发生。
第六章 违约责任与处罚
第二十一条 违反本规定的行为一经查实,学院将视情节给予相应的行政纪律处分,情节严重或造成重大影响和损失的向学校相关部门报告,违反法律者,依法承担相关责任。
第七章 其他
第二十二条 本规定自公布之日起实行。
继续教育学院、应用技术学院
第11篇 安全管理信息系统运行管理办法
第一章 总则
第一条 为加强中心安全管理信息系统(以下简称系统)运行管理,确保系统稳定高效运行,根据神东煤炭集团安全风险预控管理体系运行要求,制定本办法。
第二条 本办法适用于中心业务部门(以下简称部门)和本质安全管理体系实施单位(以下简称单位)。
第三条 本办法中的网络包含服务器及软件;基础数据包括单位、部门及职员信息、考核评分标准、危险源及管控标准、不安全行为认定标准、承包商信息;应用数据指系统运行中录入的业务数据。
第二章 系统管理
第四条 基础数据管理及维护
中心安管部负责基础数据管理及维护,相关部门必须落实专人进行管理,并严格履行下列职责:
(一)负责组织各单位上报基础数据修改意见的审核工作;
(二)负责数据库基础数据的监视和优化,并定期组织评估;
(三)负责对数据库中基础数据的变更操作;
(四)负责对新增数据的导入;
(五)对应用单位反馈的相关问题和数据错误予以答复和更正。
第五条 系统运行管理模式
系统运行管理采取中心统一组织,各部门、单位分工负责的方式,中心在安管部设专职系统管理员,所有部门和单位设置系统管理员。中心系统管理员负责系统运行总体协调,在业务上具有指导和监督其他系统管理员的权利。
第六条 系统管理员岗位及任职条件
系统管理员岗位要列入本单位岗位设置,职员配备由各部门、单位自行确定,可兼职、兼岗,但必须具备下列条件:
(一)熟悉本质安全管理体系及本安信息系统;
(二)具备一定计算机应用基础;
(三)能够深入基层和生产一线。
第七条 系统管理员职责
(一)中心系统管理员
1.维护管理层用户账户、密码及权限;
2.解答管理层用户在使用本系统时提出的操作问题;
3. 管理各单位、部门系统管理员的权限;
4. 及时发布升级程序;
5.收集整理系统软件问题和故障并及时记录,定期向安监局反馈改进意见;
6.负责对各单位、部门系统管理员的业务指导,并解答其遇到的系统操作问题。
(二)单位(部门)系统管理员
1.负责本单位(部门)人员的系统应用培训;
2.负责本单位(部门)系统应用人员账户、密码管理及权限分配(权限分配详见附件1);
3.负责本单位(部门)基础数据的维护,以及应用数据真实性、规范性的监督管理;
4.接受中心系统管理员的业务指导,及时将系统问题和故障反馈中心系统管理员;
5.系统管理员变更时,负责对本单位(部门)继任人员进行相关知识的培训。
第三章 系统应用
第八条 各单位(部门)都必须制定本单位(部门)系统运行管理办法,明确分管领导,落实管理责任,每年至少进行一次修订,并上报中心备案。
第九条 各单位(部门)员工都有浏览系统的权利,具有安全管理职责的员工均有录入信息的义务和要求督促员工应用系统的责任。
第十条 账户管理
系统设有独立的用户名和登录密码,非授权人员不得用他人密码进入系统。所有用户要及时修改密码,并妥善保管。所有用户要对自己账户下录入数据的真实性和规范性负责。
第十一条 应用数据要求
(一)动态检查中发现的隐患(问题)和人员不安全行为,通过登录本人账户后录入系统。对权限受限的区队(车间)级管理人员,发现非本区队(车间)存在的隐患(问题)和人员不安全行为,可向本单位安全管理部门报告、录入,并予以说明。
(二)应用数据要按照系统表单或格式要求完整填写,信息真实、及时、规范、准确。隐患(问题)和人员不安全行为描述要具体,对应标准及危险源要准确,录入工作要在检查后24小时内完成。对现场发现的隐患(问题)、不安全行为无法对应相应标准时,可先行录入,并按《安全管理信息系统运行规范》要求上报存在的问题。对发现的不安全行为当事人信息未纳入系统时,要及时反馈所在单位系统管理员进行数据补充后进行录入。
(三)单位内部审核必须按程序文件规定的程序和周期组织,信息要完整录入系统。
第十二条 预警与消警信息管理
各级管理人员要及时关注和查看与本单位、本部门及岗位人员相关的信息,涉及与其相关的整改项时,要及时整改,整改后要及时反馈。
检查人员对查出的限期整改隐患,要及时跟踪复查,并对已完成整改的隐患进行消警。本人因故不能及时完成复查工作时,可委托他人复查,但被委托人必须使用本人账号进行复查消警。
被检查单位(车间、区队)确因实际情况无法按期整改的,需在信息录入后24小时内,联系检查人对整改期限进行延长。
第十三条 基础数据改进
各部门、单位负责动态考核评分标准的改进,要将审核后的数据通过“增补考核标准意见”途径上报。
各部门、单位负责人员不安全行为认定标准的改进以及危险源与动态考核评分标准的对应关系确定。中心定期对各部门、单位通过“增补考核标准意见”上报的数据组织审核,并及时上报安监局。
危险源辨识及风险评估成果依据《神东煤炭集团安全风险管理办法》,纳入系统管理。
各单位要通过系统,及时查看已通过安监局审核并导入公司数据库的考核评分标准、危险源及管控标准,并将适用于本单位的数据选取到单位数据库中,实时应用。
第十四条 系统的改进与升级
各单位(部门)应将系统应用过程中发现的问题以及改进意见,通过“员工建议管理”途径上报,由安监局定期组织审核,并及时纠正系统错误或作为系统升级的依据。
第四章 罚则
第十五条 未按本办法相关条款规定职责履行管理义务的,且造成系统不能正常运行的单位和部门,除按日常动态检查和季度定期检查进行考核外,将视情节严重给予相应处罚。
第十六条 系统应用过程中,对存在下列情形之一的单位予以通报批评,并视情节处以500-2000元/次罚款:
(一)未严格执行本单位的安全管理信息系统管理办法;
(二)未设置系统管理员岗位,未明确人员和职责;
(三)未履行本办法中规定的管理职责。
第五章 附则
第十九条 本办法解释权归神东煤炭集团洗选中心。
第二十条 本办法自公布之日起执行,原《神东煤炭集团洗选中心本质安全管理信息系统运行管理办法(试行)》同时废止。
第12篇 天津电力信息系统安全管理的实践
(天津市电力公司,天津 300010)
天津电力信息大型综合系统始建于1994年,此后,各类系统建设又迅速得到发展并逐步完善。目前在公司广域网上运行的系统有:网上办公自动化(oa)、综合信息平台、用电mis、财务mis、民用电mis客户服务系统、负荷控制、调度自动化(scada)、调度mis、互联网代理及电子邮件系统等。正在建设的大型综合性系统有:生产mis、电网gis(电网地理图形辅助生产管理信息系统)以及综合信息平台整合升级。由于天津市地域比较集中,系统网络的覆盖面、容量及性能建设得很好,为便于统一规范、控制和安全防范,公司广域网各类信息系统全部采取集中式建设,集中式管理。
随着天津电力信息系统建设的迅速发展,信息系统在公司日常办公、生产和经营管理等方面所发挥的作用日益重要。公司广域网和某些局域网一旦发生严重事故,其经济损失和社会影响将无可估量,如果造成电网事故,则其影响可能是灾难性的。因而信息系统的安全运行,对于保证公司安全生产和正常的运营秩序已上升到至关重要的位置。同时,由于计算机和网络技术的飞速发展,信息系统安全的防范难度越来越大。而现阶段计算机专业技术和知识还不够普及,加上大多数领导干部的计算机知识和技术水平有限,对于公司生产和经营活动对信息系统越来越强的依赖性认识不足,所以加强信息系统的安全管理,不仅必要而且显得紧迫。
1 信息系统安全管理组织体系建设
(1) 将原挂靠于总经理工作部的信息中心分离出来,成立科技信息部,下设科技信息处,统一负责全公司信息系统的建设和运行管理,对各基层单位的计算机管理部门行使业务和职能管理。各单位下属车间(含工区、所、站,下同)和配备计算机的班组设有计算机专责人,公司本部各部门设有兼职的信息员。这样便建立了公司、厂(分公司)、车间和班组四级管理网。
(2) 由调度通信中心负责网络骨干通道和骨干交换机的建设与管理,并负责调度scada系统、通讯系统和调度mis系统的建设与管理,对各基层单位的调度部门行使职能和技术管理。必要时可请科技信息部在技术上给予指导和帮助。以上构成了信息系统安全技术管理的保证体系。
(3) 由公司安全监察部和各单位安监部门负责信息系统安全管理的监督与考核,公司本部和各基层单位均设1名安全员(目前为兼职),负责信息系统安全管理的日常监督工作。由此构成信息系统安全管理的监督体系。
2 不断建立健全规章制度
在建立健全组织体系的同时,公司还致力于建章立制。目前已建立信息系统网络和机房建设规范、运行监管、应用系统开发与管理、系统验收启用、日常监督与考核以及信息保密等一系列规章制度。其间经历了由粗到细、由浅入深,不断补充、修改和完善的过程。有的制度是先期发出1个或几个通知,经过一段实践后,再进一步整理完善,形成正式文件下发,有的文件执行一两年后又被新的、更详细、更完善的文件所取代。
3 信息系统安全管理的几点注意事项
(1) 要通过广泛宣传信息系统安全的重要性,及时通报信息系统故障情况及其影响,严惩人为事故责任人及责任单位,教育全公司的干部职工,增强公司员工,特别是领导干部对信息系统安全管理的责任心,促进各级专业管理部门建章立制,规范化管理,确保公司信息系统的安全稳定运行,进而保证公司的正常生产和经营秩序。
(2) 信息系统安全运行的关键在于充分发挥保证体系,即充分发挥职能部门专业管理人员的作用,落实各级管理人员责任制。由于该专业技术性很强,所以更要强调落实技术责任。对信息系统故障的处理,应遵循'三不放过'的原则。
(3) 由于个人计算机的操作时间不受限制,其操作具有个体独立性和一定的隐蔽性,加上各级领导干部计算机知识和操作水平有限,所以,专业技术部门应不断强化网上监控技术手段和个人pc机的日常监督检查工作,防止个别人员在联网的计算机上加装与工作无关的软件,或私接modem等违规设备。对发生的违规行为必须严惩,并予通报。
(4) 调度scada系统必须独立运行,并同其它系统严格隔离。
(5) 各应用系统必须和其它系统可靠地隔离,并有严格的访问权限控制。
(6) 禁止联入广域网的各单位局域网服务器另开互联网出口,严禁在联网计算机上私接modem上互联网。因工作需要使用modem的个人计算机必须经过统一审批、备案,且该计算机必须同单位局域网和公司广域网断开。
(7) 严禁在联网计算机上设立对外开放的网站,严禁加装对外开放的网络聊天、网络游戏、网上炒股等与工作无关的软件。
(8) 对登录各类信息系统的用户名和密码应有严格的保密责任,所设密码不能过于简单,防止他人盗用上网。
第13篇 建业集团信息系统安全管理细则
第一条 目的
为了保护集团计算机信息系统安全,规范信息系统管理,合理利用系统资源,推进集团信息化建设,促进计算机的应用和发展,保障集团信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为集团运营服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合集团实际情况,制定本细则。
第二条 术语与定义
(一) 信息系统安全管理范围:业务软件系统信息安全、硬件网络信息安全。
(二) 系统管理员:是集团信息化管理系统建设的主要执行者,负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作;同时,负责集团信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作;
第三条 适用范围
本细则适用于集团信息系统安全管理。
第四条 系统服务器和网络设备管理方法:
(一) 服务器和各网络设备的放置详见《机房管理细则》第五条的第三项;
(二) 非集团指定系统管理员,未经批准不得对服务器和各网络设备进行硬件维护、软件安装卸载等操作;
(三) 保证服务器和各网络设备24小时不间断正常工作,不得在服务器专用电路上加载其它用电设备;
(四) 非工作需要,内网服务器严禁直接接入因特网,并安装好杀毒软件,做好病毒防范,杜绝病毒感染。
第五条 业务软件系统信息安全:
(一) 帐户申请:对符合开通帐户的申请人,根据权责对软件所负责管理的职能归属部门进行申请,经该主责部门同意后,转信息管理部系统管理员处备案;
(二) 帐户删除:对于离职人员,在办理工作交接时。由离职人员的主管通过办公平台向业务软件主责部门提交删除离职人员相关业务软件帐户的申请。经该主责部门同意后,转信息管理部系统管理员处备案;
(三) 操作人员应该严格保密帐户信息,如因故意或过失造成信息泄漏的,将根据《员工奖惩管理细则》追究其相关责任;
(四) 系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,适时更换、更新用户帐号或密码。
第六条 网络信息安全:
(一) 系统管理员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生;
(二) 网络系统所有设备的配置、安装、调试必须由系统管理员负责,其它人员不得随意拆卸和移动;
(三) 所有上网操作人员必须严格遵守计算机及其它相关设备的操作规程,禁止其它人员进行与系统操作无关的工作;
(四) 在管理员还没有有效解决网络安全(未安装防火墙、杀毒软件)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。
第七条 资料备份工作方法:
(一) 数据备份关系到整个集团信息化管理系统的正常运转,影响到集团正常的运营秩序,必须严格执行;
(二) 数据库服务器每周日做一次数据备份;
(三) 备份的数据存储于专门的硬盘内,备份必需以覆盖的形式存储,确保数据不会遗漏;
(四) 所有重要数据、信息化管理系统源程序要刻录成光盘存盘;
(五) 若遇重大程序更新、修改,必须在程序更新、修改前要做好数据的备份工作;
(六) 上传到集团网站上提供给查询的数据必须每日定时更新,确保查询数据的准确性;
(七) 系统管理员若遇重大程序更新、修改,必须填写工作日志;
(八) 非共享的文件不能设置成网络共享,提供共享使用的文档必须设置相应权限,由于没有安全设置相应权限而造成本单位数据丢失的情况,后果自负。
第八条 管理员有权制止一切违反安全管理的行为。
第九条 本细则的解释权属于运营管理中心信息管理部。
第十条 本细则由运营管理中心信息管理部进行起草与修订,由总裁办公会审核,执行总裁批准后发布。
第十一条 本细则自发布之日起生效,集团原有相关规定、通知、办法等同时废止。
第14篇 涉密计算机及信息系统安全和保密管理办法
第一条 为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条 本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条 为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条 公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:
(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条 涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:
(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
(三)不得安装、运行、使用与工作无关的软件。
(四)应在涉密计算机的显著位置进行标识,不得让其他无关人员使用涉密计算机。
(五)未安装隔离卡的涉密计算机单机,管理人员应拆除网卡,严禁涉密计算机上网;已安装隔离卡的涉密计算机应严格按照正确方法使用,严禁他人在外网上处理(即打开、查看、拷贝、传递涉密文件)和存储任何涉密信息;严禁他人在外网上使用涉密移动存储介质。
(六)定期做好涉密计算机的病毒查杀、防治和系统升级工作,及时进行数据备份,防止涉密信息的意外丢失。
第六条 涉密计算机信息系统的管理人员由系统管理员、安全保密管理员和密钥口令管理员组成,具体职责如下:
(一)系统管理员负责涉密计算机信息系统的登录权限分配、访问控制和日常维护及修理,保证系统和单机的正常运行。定期开展涉密计算机信息系统重要数据的备份工作,防止因系统的损坏或意外造成的数据丢失。
(二)安全保密管理员负责涉密计算机信息系统的病毒防治、安全审计等工作,并负责对系统的运行进行安全保密监视。
(三)密钥口令管理员负责定期更换并管理系统登录口令、开机密码及部分重要程序和文件的密钥,保证口令和密钥的安全。对集中产生的涉密计算机信息系统口令,应定期分发并更改,不得由用户自行产生。处理秘密级信息的系统,口令长度不得少于8个字符,口令更换周期不得超过一个月;处理机密级信息的系统,口令长度不得少于10个字符,口令更改周期不得超过一周。口令必须加密存储,口令在网络中必须加密传输,口令的存放载体必须保证物理安全。
第七条 涉密计算机信息系统实行“同步建设、严格审批、注重防范、规范管理”的保密管理原则。
第八条 涉密计算机及信息系统所在的场所,必须采取必要的安全防护措施,安装防盗门窗和报警器,并指定专人进行日常管理,严禁无关人员进入该场所。
第九条 涉密计算机及信息系统不得直接或间接与国际互联网连接,必须实行严格的物理隔离,并采取相应的防电磁信息泄漏的保密措施。
第十条 涉密计算机按所存储和处理的涉密信息的最高密级进行标识;对涉密计算机信息系统的服务器,应按本系统所存储和处理的涉密信息的最高级别进行标识。
第十一条 涉密计算机中的涉密信息应有相应的密级标识,密级标识不能与正文分离。对图形、程序等首页无法标注的,应标注在文件名后。打印输出的涉密文件、资料,应按相应的密级文件进行管理。
第十二条 涉密计算机的维修或销毁一般应由公司人员在本公司内部进行,并应确保秘密信息在维修、销毁过程中不被泄露。公司不具备自行维修、销毁条件的,应报公司主管领导批准,委托保密部门认定的定点单位进行维修或销毁。销毁涉密存储介质,应采用物理或化学的方法彻底销毁。
第十三条 对于违反本办法的有关人员,应给予批评教育,责令其限期整改;造成泄密的,公司将根据有关保密法规进行查处,追究有关人员泄密责任。
第十四条 本办法由公司保密委员会负责解释。
第十五条 本办法自发布之日起执行。
第15篇 某大学网络及信息系统安全管理办法
z大学网络及信息系统安全管理办法
近年来,国内信息安全形势严峻,各类信息安全事件频发。为此,教育部办公厅发布了《关于加强网络安全检查的通知》(教技厅函[2014]51号)、《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)和《教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知》(教技厅函[2015]45号)要求高校加强网络及信息系统安全管理;《z市教育委员会关于进一步加强和规范网络与信息安全管理的通知》(渝教科〔2014〕32号)进一步明确高校需加强网络、信息系统和网站安全管理;z市重要信息系统安全等级保护工作协调小组办公室发布的《z市重要信息系统安全等级保护工作协调小组办公室关于加强重点网站安全防范工作的紧急通知》(渝等保办〔2015〕9号)要求高校加强信息系统和网站安全,落实信息系统等级保护定级管理工作。
第一章 总则
第一条 为贯彻落实国家及教育主管部门相关文件精神,进一步加强我校网络及信息安全工作,特制定本办法。
第二条 本办法所指网络(以下简称校园网)包括z大学教学办公区、学生宿舍区和部分由学校建设管理的教师住宅区网络,不包括由电信运营商自主建设运营的住宅区网络。
第三条 本办法所指信息系统指由学校及各二级单位建设管理各类业务系统和网站。
第四条 涉密网络和涉密系统根据国家及学校的相关管理规定单独管理,不适用本管理办法。
第二章 管理机构及职责
第五条 为进一步加强网络及信息安全组织领导,学校将原“z大学计算机网络及信息安全领导小组”、“z大学数字化校园建设领导小组”整合调整为“z大学网络信息安全及信息化工作领导小组”(以下简称领导小组)。领导小组负责制定全校网络及信息安全工作的总体方针和安全策略,审定全校网络及信息安全管理制度,指导并监督网络及信息安全管理。领导小组办公室设在党委办公室。
第六条 网络信息安全及信息化工作领导小组办公室负责网络及信息安全总体事务,主要职责包括:
(一) 统筹协调全校网络及信息安全工作;
(二) 网络及信息安全总体规划;
(三) 制定网络及信息安全管理制度;
(四) 组织信息网络安全工作检查和考评;
(五) 网络及信息安全事件查处。
第七条 宣传部主要职责包括:
(一) 学校主页内容审核、发布及安全管理;
(二) 学校新闻网内容审核、发布及安全管理;
(三) 民主湖论坛内容审核、发布及安全管理;
(四) 全校舆情监控及内容管理。
第八条 保卫处主要职责包括:
(一) 全校信息安全监控管理;
(二) 网络及信息安全违法违纪事件的调查;
(三) 网络及信息安全事件处理中的对外联络与接洽。
第九条 信息化办公室负责网络及信息安全技术支撑,主要职责包括:
(一) 校园网出口安全基础设施的建设和管理;
(二) 学校数据中心安全基础设施建设和管理;
(三) 校园无线网络接入安全管理;
(四) 校园网安全监控管理;
(五) 定期实施校内服务器安全漏洞扫描及安全预警;
(六) 定期组织实施信息系统安全等级测评;
(七) 落实专职人员负责网络及信息安全管理工作;
(八) 组织信息网络安全培训和教育。
第十条 虎溪校区管委会具体负责虎溪校区网络及信息安全管理,主要职责包括:
(一) 虎溪校区校园网出口安全基础设施建设和管理;
(二) 虎溪校区校园网内容审计系统监测管理;
(三) 虎溪校区网络信息中心机房的网络及信息安全管理;
(四) 虎溪校区门户及各业务系统内容及系统安全管理。
第十一条 图书馆主要职责:
(一) 民主湖论坛的系统安全管理;
(二) 图书馆网络(有线部分)接入安全管理;
(三) 图书馆业务系统及网站的安全管理。
第十二条 学工部、研工部主要职责:
(一) 学工、研工业务系统及网站安全管理;
(二) “易班”系统接入安全管理;
(三) 协助进行舆情监控及内容管理。
第十三条 其它二级单位主要职责包括:
(一) 本单位局域网和校园网接入安全管理;
(二) 本单位联网计算机审核(有线部分);
(三) 本单位上网信息审核;
(四) 本单位业务系统及网站的安全管理。
第三章 校园网安全管理
第十四条 信息化办公室总体负责校园网安全管理工作,虎溪校区管委会具体负责虎溪校区校园网安全管理工作。
第十五条 校园网(有线部分)由信息化办公室负责在校园网出口处实施实名上网认证,各二级单位负责接入端安全管理;校园网(无线部分)由信息化办公室负责实施实名接入上网认证。
第十六条 信息化办公室负责学校数据中心网络安全设施建设和管理。
第十七条 接入校园网的各单位和用户必须严格遵守执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律法规,严格执行信息安全及保密相关制度。
第十八条 二级单位根据国家有关规定对上网信息进行审查,凡涉及国家秘密的信息严禁上网。使用校园网的相关单位和用户必须对所提供的信息负责。不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安、社会稳定的信息。
第十九条 在校园网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动,不得在网络上散布计算机病毒,未经授权不得使用校园网。
第二十条 接入校园网的各二级单位需指定一名主管领导负责本单位的网络及信息安全工作,设立网络管理员具体负责相应的网络安全和信息安全技术工作。
第二十一条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告网络违法犯罪行为和网上有害信息情况。
第二十二条 与校园网相关的所有单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第四章 信息系统安全管理
第二十三条 各二级单位是信息系统安全管理的责任主体,对本单位信息系统安全负责。
第二十四条 信息系统安全遵循“同步规划、同步建设、同步运行”的原则,信息系统的立项采购、测试验收、交付使用、升级改造必须符合国家对信息系统安全等级保护的相关要求。
第二十五条 二级单位负责制定信息系统安全管理策略,加强人员安全能力与安全意识培训,落实学校安全要求;确定信息系统数据安全要求,明确数据访问权限,制定数据备份机制,接入学校统一灾备体系。
第二十六条 二级单位负责信息系统的安全运行维护工作,按照《信息系统安全等级保护基本要求》(GB/T 22239-2008)基本技术要求规定,做好系统安全、角色权限、口令增强等系统管理工作,定期进行安全检查、漏洞修补、系统升级、数据备份等安全管理工作;信息系统一旦出现信息安全事件,二级单位应及时查处整改,对多次出现安全事件的信息系统由信息化办公室暂停其网络连接及服务。
第五章 信息系统安全等级保护定级
第二十七条 根据“自主定级、自主保护”的原则,由学校“网络信息安全及信息化工作领导小组”确定我校信息系统安全等级保护定级方案。
第二十八条 学校现有信息系统的定级由“网络信息安全及信息化工作领导小组”根据教育部办公厅《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)并结合我校实际情况确定,定级确定后按要求报公安机关审核备案并定期开展等级测评。
第二十九条 信息系统安全等级保护定级、变更由学校“网络信息安全及信息化工作领导小组”审定,各二级单位负责准备相关备案材料,信息化办公室负责组织等级测评、报公安机关审核备案。
第三十条 信息化办公室定期组织对重要信息系统进行安全检测。
第六章 安全事件查处
第三十一条 网络及信息安全事件(以下简称安全事件)包括有害程序、网络攻击、信息破坏、信息内容安全、信息设施故障、灾害性事件及其它危害网络及信息安全的事件。
第三十二条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告安全事件。
第三十三条 二级单位发现安全事件或接到安全事件报告后应在第一时间将相关情况报学校保卫处和信息化办公室。
第三十四条 学校保卫处负责安全事件的调查取证,信息化办公室负责技术支撑,二级单位负责配合举证。
第三十五条 发生安全事件后应首先留存相关证据,中断网络连接以减小安全事件扩散影响,在调查取证结束以前不执行数据删除、系统恢复等操作,避免影响调查取证。
第三十六条 二级单位应建立安全事件应急处理机制,制定应急预案,定期实施应急测试、演练和培训。
第三十七条 网络信息安全及信息化工作领导小组办公室负责对一般安全事件责任人和责任单位进行处理,对造成重大影响和重大损失的安全事件报请网络信息安全及信息化工作领导小组处理。
第七章 附则
第三十八条 本管理办法由学校授权网络信息安全及信息化工作领导小组办公室负责解释。
第三十九条 本管理办法自公布之日起执行。
z大学