信息安全企業管理制度?第一章 總則第一條,今天小編就來聊一聊關于信息安全企業管理制度?接下來我們就一起去研究一下吧!
第一章 總則
第一條
為了保護有限公司計算機信息系統安全,規範信息系統管理,合理利用系統資源,推進公司信息化建設,促進計算機的應用和發展,保障公司信息系統的正常運行,充分發揮信息系統在企業管理中的作用,更好地為公司生産經營服務。依據相關監管機構的監管規定以及自律機構的自律指引,結合公司實際,制定本辦法。
第二條
本制度所稱的信息系統,包括計算機硬件、軟件、打印機、電子郵件、辦公應用系統、局域網和廣域網的訪問等,及按照一定的應用目标和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條
信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,保障應用系統的正常運行,以維護計算機信息系統的安全運行。
第四條
信息網絡系統安全的含義是通過各種計算機、網絡、密碼技術和信息安全技術,在實現網絡系統安全的基礎上,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。
第五條
本制度适用于公司員工及實習生使用的信息系統。
第二章 計算機使用管理
第六條
按照誰使用誰負責的原則,落實責任人,負責保管所用的計算機,打印機等設備的完好。做到誰使用誰領用,且由部門經理進行确認。
第七條
公司員工應服從公司對計算機分配,不得私自調換計算機及外圍設備。
第八條
計算機領用人嚴禁使用公司計算機玩遊戲、看影碟及進行其他與工作無關的操作。
第九條
計算機領用人應對外來軟盤,光盤,優盤,移動硬盤及其他便攜式存儲設備進行嚴格的病毒監測,方可使用。
第十條
計算機領用人不得擅自修改計算機設置,杜絕一切影響網絡正常運行的行為發生。
第十一條
計算機産生異常情況,計算機領用人應暫停計算機的使用,并将計算機出現的異常情況及時告知公司網絡管理人員。
第十二條
計算機領用人對于計算機的系統登陸必須設置帳号密碼,且不得将密碼告訴其他人員,嚴格控制非使用人員使用計算機。
第十三條
計算機領用人對自己的計算機應經常進行病毒檢測與殺毒。嚴禁外單位人員操作信息系統,嚴禁使用外來盤片,以防洩密和病毒侵入。
第十四條
計算機領用人操作計算機時不得使用一些危險性的命令, 嚴禁擅自使用分區及格式化硬盤等操作。
第十五條
計算機操作人員不得随意在各終端及局域網上安裝任何與工作無關的軟件程序。各單位所使用的計算機和軟件系統,除審批通過的管理軟件外。
第三章 網絡系統安全管理
第十六條
網絡系統安全的内涵包括五個方面:
機密性:确保信息不暴露給未授權的實體或進程。
完整性:未經授權的人不能修改數據,隻有得到允許的人才能修改數據,并且能夠分辨出被篡改的數據。
可用性:得到授權的實體在合法的範圍内可以随時随地訪問數據,網絡的攻擊者不能阻礙網絡資源的合法使用。
可控性:可以控制授權範圍内的信息流向和行為方式。可審查性:一旦出現安全問題,網絡系統可以提供調查的依據和手段。
第十七條
網絡管理員應盡可能地改善網絡系統的安全策略設置,盡量減少安全漏洞。關閉不使用的服務,對不同級别的網絡用戶設置相應的資源訪問權限。
第十八條
網絡管理員應當做好系統記錄,定期檢查,發現問題,及時解決。
第十九條
重要的信息網絡系統自運行開始必須作好備份與恢複等應急措施,一旦系統出現問題能夠及時恢複正常。網絡管理員負責網絡系統的備份與恢複的技術規劃、實施和操作,并作好詳細的記錄。
第二十條
管理員應對操作系統和數據庫管理系統中進行系統運行記錄(Log)和數據庫運行記錄(Data Base Log)的轉儲保存以備查。
第二十一條
重要大型數據庫必須運行于專門的服務器或工作站上,并異地備份。
第二十二條
網絡安全檢測。為使網絡長期保持較高的安全水平,網絡管理員應當用網絡安全檢測工具對網絡系統進行安全性分析,及時發現并修正存在的安全漏洞。網絡管理員在系統檢測完成後,應編寫檢測報告,需詳細記叙檢測的對象、手段、結果、建議和實施的補救措施與安全策略。檢測報告存入系統檔案。
第二十三條
網絡反病毒。病毒的危害性巨大,對系統和信息的破壞程度具有不可測性,計算機用戶和系統管理員應針對具體情況采取預防病毒技術、檢測病毒技術和殺毒技術。
第四章 信息安全管理
第二十四條
信息安全是指通過各種計算機、網絡和密碼技術,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面:
(一)信息處理和傳輸系統的安全
系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護,避免因為系統崩潰和損壞而對系統内存儲、處理和傳輸的信息造成破壞和損失。
(二)信息内容的安全
側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測,采取技術措施對所發現的漏洞進行補救,防止竊取、冒充信息等。
(三)信息傳播安全
要加強對信息的審查,防止和控制非法、有害的信息通過我部的信息網絡系統傳播,避免對國家利益、公共利益以及個人利益造成損害。
第二十五條
信息的内部管理
(一)各部門在向網絡系統提交信息前要作好查毒、殺毒工作,确保信息文件無毒上載;
(二)根據情況,采取網絡病毒監測、查毒、殺毒等技術措施,提高網絡的整體抗病毒能力;
(三)各部門應對本單位的信息進行審查,各網站和欄目信息的負責單位必須對所發布信息制定審查制度,對信息來源的合法性,發布範圍,信息欄目維護的負責人等作出明确的規定。信息發布後還要随時檢查信息的完整性、合法性;如發現被删改,應及時報告公司相關部門;
(四)涉及公司機密的信息的存儲、傳輸等應指定專人負責,并嚴格按照國家有關保密的法律、法規執行;
(五)個人計算機中的涉密文件不可設置為共享,個人電子郵件的收發要實行病毒查殺。
第二十六條
涉及公司機密的信息,其電子文檔資料須加密存儲;在傳輸過程中視情況及公司的有關規定采用文件加密傳輸或鍊路傳輸加密。
第二十七條
任何單位和個人不得從事以下活動:
(一)利用信息網絡系統制作、傳播、複制有害信息;
(二)入侵他人計算機;
(三)未經允許使用他人在信息網絡系統中未公開的信息;
(四)未經授權對信息網絡系統中存儲、處理或傳輸的信息(包括系統文件和應用程序)進行增加、修改、複制和删除等;
(五)未經授權查閱他人郵件;
(六)盜用他人名義發送電子郵件;
(七)故意幹擾網絡的暢通運行;
(八)從事其他危害信息網絡系統安全的活動。
第五章 口令管理
第二十八條
具有口令功能的計算機、網絡設備等,必須使用口令對用戶的身份進行驗證和确認。對于網絡系統,公司設專職或兼職系統保密員,負責日常的口令管理工作。
第二十九條
系統保密員負責給新增加的用戶分配初始口令;指導用戶正确使用口令;檢查用戶使用口令情況;幫助用戶開啟被鎖定的口令,對非法操作及時查明原因;解決口令使用過程中出現的問題;協助用戶保護公司機密不受侵害;定期向主管領導彙報口令使用情況和需要解決的問題。
第三十條
定期更換口令。口令的最長使用時間不能超過四十五天,長度不小于八位。當口令使用期滿時,應更換新的口令。
第三十一條
系統保密員必須有能力更改口令。當口令使用期滿、被其他人知悉或認為口令不保密時,系統保密員可按照口令更改程序變換口令。口令更換操作應在保密條件下進行。
第三十二條
對口令數據庫的訪問和存取必須加以控制,以防止口令被非法修改或洩露。
第三十三條
當系統提供的訪問和存取控制機制不夠完善時或機制雖然完善,但可能出現系統轉儲等情況時,應對存儲的口令加密。
第三十四條
公司提供員工使用的系統,如有保密要求,将系統定義為涉密系統。根據涉密程度分為秘密級,機密級,絕密級系統。涉密系統的身份認證應當符合以下要求:
(一)口令應當由系統安全保密管理人員集中産生供用戶選用,并有口令更換記錄;
(二)處理秘密級信息的系統口令長度不得少于六個字符,口令更換周期不得長于一個月;處理機密級信息的系統,口令長度不得少于八個字符,口令更換周期不得長于一周;處理絕密級信息的系統,應當采用一次性口令或生理特征等強認證措施;
(三)口令必須加密存儲,并且保證口令存放載體的物理安全;
(四)口令在網絡中必須加密傳輸。
第三十五條
用戶應記住自己的口令,不應把它記載在不保密的媒介物上,嚴禁将口令貼在終端上。輸入的口令不應顯示在顯示終端上。
第六章人員管理
第三十六條
安全的人員管理原則網絡信息系統的安全管理的最根本核心是人員管理,提高安全意識,行于具體的安全技術工作中。
為此,安全的人事組織管理主要基于以下三個原則:
(一)每一項與安全有關的活動,都必須有兩人或多人在場;
(二)參與安全管理活動的人員由系統主管領導指派,要求工作認真可靠,能勝任此項工作;
(三)相關人員應簽署工作情況記錄以證明安全工作已得到保障。
負責的安全活動範圍包括:
(一)訪問控制使用證件的發放與回收;
(二)信息處理系統使用的媒介發放與回收;
(三)處理保密信息;
(四)硬件和軟件的維護;
(五)系統軟件的設計、實現和修改;
(六)重要程序和數據的删除和銷毀等。
第三十七條
在信息處理系統工作的人員不得打聽、了解或參與職責以外的任何與安全有關的事情,除非系統主管領導批準。
第三十八條
安全的人事管理的實現信息系統的安全管理應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規範。包括:
(一)根據工作的重要程度,确定該系統的安全等級 ;
(二)根據确定的安全等級,确定安全管理的範圍;
(三)制訂相應的機房出入管理制度;
對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。出入管理采用證件識别或安裝自動識别登記系統,采用磁卡、身份卡等手段,對人員進行識别、登記和管理。
(四)制訂嚴格的操作規程;
操作規程根據職責明确和多人負責的原則,各負其責,不超越自己的管轄範圍;對工作調動和離職人員要及時調整相應的授權。
(五)制訂完備的系統維護制度;對系統進行維護時,采取數據保護措施,如數據備份等。維護時要首先經主管部門批準,并有安全管理人員在場,故障的原因、維護内容和維護前後的情況要詳細記錄。
(六)制訂應急措施。
制訂系統在緊急情況下,如何盡快恢複的應急措施,使損失減至最小。
第三十九條
系統管理員有權對局域網絡以及各單位計算機進行定期檢查或不定期抽查,凡有違反本制度的單位、部門或個人,應及時報告公司領導,視情節對部門或個人給予适當的經濟處罰和行政處分。
第七章附則
第四十條
本制度由内控制度委員會通過後生效,并由其負責修改和解釋。
編碼:
2186141336
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
