搜索
信息系统安全管理制度编制:审核:审批:第一章总则.................................................................................3第二章计算机管理制度.................................................................3第三章系统主机维护管理制度......................................................4第四章涉密与非涉密移动介质管理制度........................................4第五章网络安全管理制度.............................................................5第六章病毒检测和系统安全漏洞检测制度....................................5第七章密码安全管理办法.............................................................6第八章网络资源管理....................................................................6第九章备份及恢复管理制度..........................................................6第一章总则第1条为规范信息安全管理工作,加强对计算机系统、办公网络、服务器系统等的管理,规范各岗位职责和操作规程,保障信息系统的机密性、完整性、可用性,根据国家、省、市有关法律法规和政策规定,结合公司实际情况,制定本制度。第2条本制度适用于云南博医在线科技有限公司各人员。第二章计算机管理制度一、管理范围划分第3条本处计算机分为涉密和非涉密两部分,涉密计算机指主要用于储存或传输有关人事、财务、经济运行、信息安全等涉及国家、单位秘密、危害公司安全的图文信息的计算机。非涉密计算机指用于储存或传输可以向社会公开发表或公布的图文信息的计算机。二、非涉密计算机日常管理第4条与各系统相关的计算机,系统负责人为管理第一责任人,承担系统所在计算机操作的管理、保密和安全,以防止误操作造成系统紊乱、文件丢失等故障。第5条计算机主要是用于业务数据的处理及信息传输,提高工作效率。严禁上班时间用计算机玩游戏及运行一切与工作无关的软件。第6条新购的计算机、初次使用的软件、数据载体应经相应计算机管理员检测,确认无病毒和有害数据后,方可投入使用。第7条计算机操作人员发现计算机感染病毒,应立即中断运行,并联系计算机管理员及时消除。第8条爱护公用计算机设备,保持计算机设备的干净整洁。三、涉密计算机日常管理第9条涉密的计算机内的重要文件由专人集中加密保存,不得随意复制和解密,未经加密的重要文件不能随意存放。第10条对需要保存的涉密信息,可向领导请示批准后转存到光盘或其他可移动的介质上。存储涉密信息的介质应当按照所存储信息的最高密级标明密级,并按相应密级的文件管理。第11条存储过公司秘密信息的计算机媒体的维修应保证所存储的公司秘密信息不被泄露。对报废的磁盘和其他存储设备中的秘密信息由技术人员进行彻底清除。第12条涉密的计算机信息需打印输出必须经领导批准后使用专用打印机打印输出,打印出的文件应当按照相应密级的文件管理;打印过程中产生的残、次、废页应当及时粉碎销毁。第13条对信息载体(软盘、光盘等)及计算机处理的业务报表、技术数据、图纸要有专人负责保存,按规定使用、借阅、移交、销毁。四、其他第14条对违反以上规定的行为视情节轻重,结合国家、省、市及公司相关规定处理,并追究有关人员的责任。第三章系统主机维护管理制度第15条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。第16条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。第17条建立系统设备档案、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。第18条每月修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。第19条每月通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录,根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。第20条每月对系统日志、系统策略、系统数据进行备份,做详细记录。第21条每天检查系统主机各硬件设备是否正常运行,并做详细记录。第22条每天检查系统主机各应用服务系统是否运行正常,并做详细记录。第23条每月下载安装最新版的系统补丁,对系统主机进行升级,做详细记录。第24条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。第25条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快恢复正常运行,并对系统故障情况做详细记录。第26条每三月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报。第四章涉密与非涉密移动介质管理制度第27条涉密和非涉密移动存储介质由办公室建立台帐,由专人负责涉密和非涉密移动存储介质的日常管理和维护维修。第28条涉密移动存储介质不得在非涉密计算机上使用。第29条涉密移动存储介质未经批准不得擅自带离本单位,确因工作需要携带外出的,须履行登记备案手续,并经领导批准。第30条严禁将涉密移动存储介质借给外单位或他人使用。第31条涉密移动存储介质需维修的,由单位技术人员送至有保密资质的单位现场监修,严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复,必须按涉密载体予以销毁。第32条非涉密移动存储介质不得存储任何涉密信息。第33条非涉密移动存储介质不得连接涉密计算机。第34条不再使用或不能使用的涉密和非涉密移动存储介质要及时上交办公室,由技术人员对要报废的涉密和非涉密移动存储介质进行进一步确认,并与领取时的类型,电子(产品)序列号,编号等进行核对,填写销毁登记表,经领导批准后,送有保密资质的单位进行销毁。第35条任何部门和个人不得擅自销毁涉密和非涉密移动存储介质。第五章网络安全管理制度第36条网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。第37条根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。第38条建立系统设备档案,包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,VLAN划分表,并在系统配置发生变更时及时对设备档案进行更新。第39条每天检查网络系统设备(交换机、路由器)是否正常运行。第40条每周对网络系统设备(交换机、路由器)进行清洁。第41条每周修改网络系统管理员密码。第42条每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。第43条网络变更后进行网络系统配置资料备份。第44条当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快恢复正常运行,并对系统故障情况作详细记录。第45条每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。第六章病毒检测和系统安全漏洞检测制度第46条网络服务器,具有合法权限的用户才能进行相应权限范围内的操作,任何其他非法操作都属于入侵行为。第47条所有用户,不准扫描端口,不准猜测和扫描其他用户的密码,不准猜测和扫描系统服务器和交换设备的口令。第48条系统管理员应定期检查服务器的系统日志,如发现有入侵情况,应及时采取措施,保留原始数据,以便进行调查取证,并向领导汇报,做好入侵情况登记。第49条服务器如果发现漏洞要及时修补漏洞或进行系统升级。第50条要定期对网站进行网络数据包的监控,及时发现异常行为,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,阻止网络内外的入侵。第51条网络信息安全员履行对所有上网信息进行审查的职责,根据需要采取措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。第52条所有用户有责任对所发现或发生的违反有关法律,法规和规章制度的人或事予以制止或向我公司反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。第53条网络管理员应根据实际情况和需要采用新技术调整网络结构,系统功能,变更系统参数和使用方法,及时排除系统隐患。第七章密码安全管理办法第54条提高安全认识,禁止非工作人员操纵系统主机,不使用系统主机时,应注意锁屏。第55条每周检查主机登录日志,及时发现不合法的登录情况。第56条对网络管理员,系统管理员和系统操作员所用口令每十五天更换一次,口令要无规则,重要口令要多于八位。第57条加强口令管理,对文件用隐性密码方式保存,确认所有帐号都有口令,当系统中的帐号不再被使用时,应立即从相应的数据库中清除。第58条网络管理员、系统管理员调离岗位后一小时内由接任人员监督检查更换新的密码。第八章网络资源管理第59条网络资源和服务器由信息系统管理员统一进行规划、管理和监督。一、服务器及个人用机的管理:第60条服务器必须指定专人负责管理,并在信息系统管理员处备案,未经授权,非管理员不得对其进行操作。第61条信息系统管理员有责任对其负责的服务器进行例行检查,包括:服务器的CPU、内存、硬盘等资源利用情况,服务器上运行的服务使用情况,服务器上运行的杀毒软件的及时更新;第62条信息系统管理员要做好服务器的备份工作,至少每季度有一份完整备份,重要数据及时备份。信息系统管理员有责任监督、协调备份工作。第63条个人未经信息系统管理员批准不得私自设立服务器。第64条信息系统管理员每月定期对服务器做一次全面检查,并填写服务器检查日志。第65条信息系统管理员每季度需修改服务器密码一次。当相关管理员有变更时,管理员密码需及时更改。第66条所有人员应自行维护电脑的正常使用,并按照要求进行设置及时进行补丁更新,不得擅自退出域、去除域管理员权限、修改主机名、修改IP等。二、IP地址的管理:第67条IP地址由信息系统管理员统一规划管理。未经许可,不得擅自更改任何设备的IP地址。第68条我公司申请的公网IP任何人不得私用。第69条工作需要公网IP,需申请上级领导批准后,方可使用。第70条公司公网IP使用无工作需要时,立即停止使用,并通知信息系统管理员收回。第71条不得私自占用其他人的内网IP地址。第九章备份及恢复管理制度第72条系统管理员定期作服务器数据、业务数据、系统软件等数据的备份,并详细记录备份日志;第73条数据的备份、恢复、转出、转入的权限都应严格控制。指定专人进行备份操作及存放这些载体﹐并指定工作替代人以确保备份工作不中断。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。第74条备份数据所使用的存储介质均由系统管理员保存,当存储介质故障或不足时应及时申请、联系维修或购买,确保备份工作的正常运行。第75条所有备份介质不可外借,不准流出公司,任何人不得擅自取用,若需要取用需征得上级批准,并填写备份介质借用登记表。使用人员使用后,应及时归还。由备份管理员检查,确保完好后,在登记表上确认归还。第76条备份介质需定期检查是否可用,备份数据是否完整。一旦发现故障或损坏,应及时更换,并对损坏介质进行销毁。第77条长期保存的备份介质,需按照制造商规定的介质使用年限定期转储,防止存储介质过期数据失效。第78条存放的介质必须有明确的标识,需采用统一的命名规范,