在充滿活力,日益開放的今天,接觸到制度的地方越來越多,制度具有使我們知道,應該做什麼,不應該做什麼,懲惡揚善、維護公平的作用。那麼你真正懂得怎麼制定制度嗎?以下是小編幫大家整理的資訊保安管理制度,僅供參考,歡迎大家閱讀。
一、中小學校園網是學校現代化發展重要組成部份,是學校數字化教育資源中心、資訊釋出交流技術平臺,是全面實施素質教育和新課程改革的重要場所,務必高度重視、規範管理、發揮效益。
二、中小學校園網要按照教育部《中小學校園網建設指導意見》設計和建設,裝備調溫、調溼、穩壓、接地、防雷、防火、防盜等裝置。
三、中小學校園網涉及網路技術裝置管理與維護、網路線路管理與維護,終端使用者管理與監控,教育資源管理與開發、網路資訊管理與安全、教學管理與效益等技術性強、安全性要求高的具體業務工作,務必設定管理機構,校級領導主管,配置精通計算機及網路技術、電子維修技術,具備教師職業道德、熱愛本職工作的專業技術人員從事管理工作。
四、中小學校園網是學校的公共基礎設施和固定資產,未經學校批准,任何部門和個人不得隨意拆卸或改動佈線結構;不得移動或改動網路裝置位置;不得干擾、破壞網路正常執行。所有裝置、成套軟體納入固定資產規範管理。
五、校園網所有使用者應以實名字註冊,對自己所釋出資訊負全責,接受上級部門與公安部門依法監督檢查。不得盜用他人賬號,不得在校園網上釋出不健康、非法資訊,不得散佈計算機病毒、傳播黑客程式、濫用網路遊戲。學生使用者要嚴格遵守《全國青少年網路文明公約》。
六、網路中心應全天24小時開機,裝置和線路出現故障,應及時維修處理,確保網路裝置安全運轉。
七、嚴禁在辦公時間內上網聊天、玩遊戲、觀看與工作無關的視訊資訊。
八、非中心機房工作人員不得隨意進入中心機房,不得以任何方式試圖登陸校園網後臺管理端,不得對伺服器等裝置進行修改、設定、刪除等操作。
九、管理人員應監視並記錄伺服器系統執行情況,隨時遮蔽有害網頁,出現異常情況應根據需要立即關閉伺服器系統,及時處理。出現危急情況,應立即報告學校領導和相關主管部門。監視電壓、電流、溼溫度等環境條件;監視執行的作業和資訊傳輸情況;填寫中心機房工作日誌。
十、為了確保中心機房的安全,應逐步實現網管人員對伺服器的遠端操作。定期更換伺服器口令;工作人員不得隨意洩漏口令。不得將系統特權授予普通使用者,不得隨意轉給他人;對過期使用者應及時收回所授予的權力。
十一、學校重要資料不得外洩,重要資料的輸入及修改應按許可權、由專人完成,並作加密處理。
十二、收集整理網管中心技術檔案。妥善儲存備份資源。列印涉密資料應按許可權儲存,廢棄資料應及時銷燬。
十三、網管人員在工作時,應嚴格遵守安全規程,實行安全巡查值班制度,嚴防漏電、著火、雷擊、被盜、磁化、系統崩潰、病毒攻擊、黑客入侵等不安全事故發生。危險品及可燃品不得帶入機房。
十四、中心機房不會客、不做與網路安全執行與維護無關的事情。機房的裝置與軟體不隨意外借。
1.總則
1.1目的:
為加強公司作風建設,宣傳廉潔文化,預防利用職務及職權謀取不正當利益。同時做好公司資訊的安全和保密工作,使公司所擁有的資訊在經營活動中充分利用,保護公司的利益不受侵害,樹立健康積極的企業文化形象,特制定本管理制度。
1.2適用範圍:
本制度適用於公司所有在職員工。
1.3定義:
廉潔:清白高潔,不貪汙,從不使用公家的錢來養活自己(不貪汙),就是指人生光明磊落的態度和誠信,正直的風氣。
資訊保安:資訊系統(包括硬體、軟體、資料、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、洩露,系統連續可靠正常地執行。
業務單位:與公司有一切業務(含但不限於供貨、施工、促銷合作等關係)往來或聯絡的單位或個人。
1.4職責許可權
3.1總經辦負責廉潔文化建設方向的指引,對公司的資訊保安管理具有監督和最後裁決權。
3.2監察部負責監督和執行廉潔與資訊保安管理規定,接受全體員工的舉報和監督,對舉報和違規情況進行調查核實。
3.3行政部負責廉潔文化和資訊保安意識的宣傳和教育,接收和申報處理公司員工收受和外部財物。
3.4資訊部負責公司所有檔案資料的分類存檔和儲存,對電子存檔資料進行定期整理和備份,並做好檔案防盜和密碼保護工作。
3.5各部門:具有共同維護公司廉潔文化建設和資訊保密工作的權利,都有保守公司祕密的義務,對公司廉潔和資訊保安管理規定具有監督和舉報權。
2.主要內容:
2.1廉潔自律規定
2.1.1不準收受任何業務單位的個人現金、購物卡券、有價證券和支付憑證。
2.1.2因各種原因未能拒收業務單位的,必須及時向公司行政部申報統一處理。具體需申報的情況如下:
業務單位不回收的樣品和商品贈品;
業務單位節假日饋贈的禮品、禮籃等;
業務單位贈送的其他具有實際價值實物、活動等。
業務單位組織的集體考察、學習、旅遊等外出活動;
業務單位贈送的無法拒絕的各類現金、購物卡券、有價證券和支付憑證;
2.1.3不準向業務單位及其個人借貸錢物。
2.1.4不準在各業務單位報銷應由個人支付的有關票據。
2.1.5不借業務辦理之機,對各業務單位吃、卡、拿、要。
4.1.6禁止利用職權和職務上的便利和影響為親友及身邊工作人員謀取利益。
2.1.7工作中不弄虛作假,按規定收集整理好各類基礎資料,不做假帳或帳外賬。
2.1.8不準用公款支付個人名義的宴請。公關或業務接待必須經總經辦批准後在合理的範圍內進行。
2.1.9不準接受可能對商品和裝置供應價格、工程施工價格的業務合作行為產生影響的錢、物饋贈和宴請。
2.1.10不準為謀取不正當的利益,在經濟往來中違反有關規定,以各種名義收取回扣、中介費、手續費等歸個人所有。
2.1.11不借出差、考察、學習之機利用公款進行旅遊娛樂活動,或接受可能影響公正辦理業務的宴請、禮品饋贈或其他服務。
2.1.12嚴禁以虛報、謊報等手段獲取榮譽;以虛報、謊報等手段獲取的榮譽、職稱及其他利益予以取消或者糾正。
2.2資訊保安
2.2.1公開資訊:公司已對外公開發布的資訊,如公司宣傳冊、產品或公司介紹視訊等。
2.2.2保密資訊:公司僅允許在一定範圍內釋出的資訊,一旦洩露,將可能給公司或相關方造成不良影響。比如公司投資計劃等。
2.2.3根據資訊價值、影響及發放範圍的不同,公司將保密資訊劃分為絕密、機密、祕密、內部公開四個級別。
絕密資訊:關係公司前途和命運的公司最重要、最敏感的資訊,對公司根本利益有著決定性影響的保密資訊,如:公司訂單,重大投資決議等。
機密資訊:公司重要祕密,一旦洩露將使公司利益受到嚴重損害的保密資訊如:未釋出的任命檔案,公司財務分析報告等檔案。
祕密資訊:公司一般性資訊,但一旦洩露會使公司利益受到損害的保密資訊,如:人事檔案,供應商選擇評估標準等檔案。
內部公開:僅在公司內部公開或僅在公司某一個部門內公開,對外洩露可能會使公司利益造成損害的保密資訊的保密資訊,如:年度培訓計劃,員工手冊,各種規章制度等。
2.2.4公司保密資訊包括但不限於以下內容:
公司經營發展決策中的祕密事項;
專有技術,專利技術、技術圖紙;
生產細則、工程BOM、SOP及治具資料;
人事決策中的祕密事項;
重要的合同、客戶和合作渠道;
招標專案的標底、合作條件、貿易條件;
財務資訊,公司非向公眾公開的財務情況、銀行賬戶賬號;
董事會或總經理確定應當保守的公司其他祕密事項。
2.2.5除公司已經正式對外公開發布的資訊外,任何單位和個人不得從事以下活動:
利用資訊網路系統製作、傳播、複製有害資訊;
未經允許使用他人在資訊網路系統中未公開的資訊;
未經授權對網路(內部資訊平臺)系統中儲存、處理或傳輸的資訊(包括系統檔案和應用程式)進行增加、修改、複製和刪除等;
未經授權查閱他人郵件;
盜用他人名義傳送電子郵件;
故意干擾網路(內部資訊平臺)的暢通執行;
從事其他危害資訊網路(內部資訊平臺)系統安全的活動。
2.2.6公司保密資訊應根據需要,限於一定範圍的員工接觸。接觸公司祕密的員工,未經批准不準向他人洩露。非接觸公司祕密的員工,不準打聽公司祕密。
2.3違規追責處理
2.3.1公司所有員工一經任何人發現或內外部舉報有違廉潔自律的行為,公司將組織相關部門進行調查核實,一經查證,將追究責任人所造成的責任損失,並進行違規處罰,對造成公司重大經濟損失且情節嚴重的,將移交公安機關進行立案處理。
2.3.2除公司公開的資訊外,任何人將公司的保密資訊以任何形式(口頭傳達、電子郵件、上傳網路、儲存拷貝、拍照影印、影印資料)對外洩露或散佈出去的,公司將從源頭上追究資訊洩密者,經查實後立即根據情節輕重進行追責處理。因資訊洩密造成公司經濟損失或形象受損時,將依法移交司法機關進行處理。
3.附則
3.1本制度最終解釋權歸xx有限公司所有。
3.2本制度自20xx年8月9日起實行,暫定實施1年。
為了規範網咖管理中對網咖人員的管理,於是網咖制定了網咖人員管理制度,而為了網咖資訊保安,所以網咖則制定了網咖資訊保安管理制度,以下則是相關網咖制定的網咖資訊保安管理制度的內容。
第一條應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,為上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網咖製作、下載、複製、查閱、釋出、傳播或者以其他方式使用含有下列內容的資訊:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)洩露國家祕密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散佈謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第三條上網消費者不得進行下列危害資訊網路安全的活動:
(一)故意製作或者傳播計算機病毒以及其他破壞性程式的;
(二)非法侵入計算機資訊系統或者破壞計算機資訊系統功能、資料和應用程式的;
(三)進行法律、行政法規禁止的其他活動的。
第四條應當通過依法取得經營許可證的網際網路接入服務提供者接入網際網路,不得采取其他方式接入網際網路。
網咖內所有計算機必須通過區域網的方式接入網際網路,不得直接接入網際網路。
第五條上網消費者不得利用網路遊戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止並在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網路文化經營許可證》和營業執照。
第九條未成年人不得進入本網咖。在網咖入口處的顯著位置懸掛未成年人禁入標誌。
第十條每日營業時間限於10時至2時。
第十一條對上網消費者的身份證等有效證件進行核對、登記,並記錄有關上網資訊。登記內容和記錄備份儲存時間不得少於60日,並在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在儲存期內不得修改或者刪除。
第十二條依法履行資訊網路安全、治安和消防安全職責,並遵守下列規定:
(一)禁止明火照明和吸菸並懸掛禁止吸菸標誌;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
為了加強對網咖的管理,規範網咖的經營,維護公眾和網咖的合法權益,保障網咖活動健康發展,促進社會主義精神文明建設,根據《網際網路上網服務營業場所管理條例》制定了以上的網咖資訊保安管理制度。
一、電腦保安管理
1、醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統。嚴禁暴力使用計算機或蓄意破壞計算機軟硬體。
2、未經許可,不得擅自拆裝計算機硬體系統,若須拆裝,則通知資訊科技術人員進行。
3、計算機的軟體安裝和解除安裝工作必須由資訊科技術人員進行。
4、計算機的使用必須由其合法授權者使用,未經授權不得使用。
5、醫院計算機僅限於醫院內部工作使用,原則上不許接入網際網路。因工作需要接入網際網路的,需書面向醫務科提出申請,經簽字批准後交資訊科負責接入。接入網際網路的計算機必須安裝正版的反病毒軟體。並保證反病毒軟體實時升級。
6、醫院任何科室如發現或懷疑有計算機病毒侵入,應立即斷開網路,同時通知資訊科技術人員負責處理。資訊科應採取措施清除,並向主管院領導報告備案。
7、醫院計算機內不得安裝遊戲、即時通訊等與工作無關的軟體,儘量不在院內計算機上使用來歷不明的移動儲存工具。
二、網路使用人員行為規範
1、不得在醫院網路中製作、複製、查閱和傳播國家法律、法規所禁止的資訊。
2、不得在醫院網路中進行國家相關法律法規所禁止的活動。
3、未經允許,不得擅自修改計算機中與網路有關的設定。
4、未經允許,不得私自新增、刪除與醫院網路有關的軟體。
5、未經允許,不得進入醫院網路或者使用醫院網路資源。
6、未經允許,不得對醫院網路功能進行刪除、修改或者增加。
7、未經允許,不得對醫院網路中儲存、處理或者傳輸的資料和應用程式進行刪除、修改或者增加。
8、不得故意製作、傳播計算機病毒等破壞性程式。
9、不得進行其他危害醫院網路安全及正常執行的活動。
三、 網路硬體的管理網路硬體包括伺服器、路由器、交換機、通訊線路、不間斷供電裝置、機櫃、配線架、資訊點模組等提供網路服務的設施及裝置。
1、各職能部門、各科室應妥善保管安置在本部門的網路裝置、設施及通訊。
2、不得破壞網路裝置、設施及通訊線路。由於事故原因造成的網路連線中斷的,應根據其情節輕重予以處罰或賠償。
3、未經允許,不得中斷網路裝置及設施的供電線路。因生產原因必須停電的,應提前通知網路管理人員。
4、不得擅自挪動、轉移、增加、安裝、拆卸網路設施及裝置。特殊情況應提前通知網路管理人員,在得到允許後方可實施。
四、軟體及資訊保安
1、計算機及外設所配軟體及驅動程式交網路管理人員保管,以便統一維護和管理。
2、管理系統軟體由網路管理人員按使用範圍進行安裝,其他任何人不得安裝、複製、傳播此類軟體。
3、網路資源及網路資訊的使用許可權由網路管理人員按醫院的有關規定予以分配,任何人不得擅自超越許可權使用網路資源及網路資訊。
4、網路的使用人員應妥善保管各自的密碼及身份認證檔案,不得將密碼及身份認證檔案交與他人使用。
5、任何人不得將含有醫院資訊的計算機或各種儲存介質交與無關人員。更不得利用醫院資料資訊獲取不正當利益。
目錄
資訊保安管理制度...................................................................................................... 2
第一項計算機管理制度............................................................................................ 4
第二項機房管理制度................................................................................................ 5
第三項網路安全管理制度........................................................................................ 8
第四項計算機病毒防治管理制度..........................................................................10
第五項密碼安全保密制度......................................................................................12
第六項病毒檢測和網路安全漏洞檢測制度..........................................................13
第七項違法使用網路..............................................................................................14
第八項網路資源管理..............................................................................................15
資訊保安管理制度
為維護公司資訊保安,保證公司網路環境的穩定,特制定本制度。
第一條資訊保安是指通過各種計算機、網路(內部資訊平臺)和密碼技術,保護資訊在傳輸、交換和儲存過程中的機密性、完整性和真實性。具體包括以下幾個方面。
1、資訊處理和傳輸系統的安全。系統管理員應對處理資訊的系統進行詳細的安全檢查和定期維護,避免因為系統崩潰和損壞而對系統記憶體儲、處理和傳輸的資訊造成破壞和損失。
2、資訊內容的安全。側重於保護資訊的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測,採取技術措施對所發現的漏洞進行補救,防止竊取、冒充資訊等。
3、資訊傳播安全。要加強對資訊的審查,防止和控制非法、有害的資訊通過本公司的資訊網路(內部資訊平臺)系統傳播,避免對公司利益、公共利益以及個人利益造成損害。
第二條資訊的內部管理
1、各部門在向網路(內部資訊平臺)系統提交資訊前要作好查毒、防毒工作,確保資訊檔案無毒上載;
2、根據情況,採取網路(內部資訊平臺)病毒監測、查毒、防毒等技術措施,提高網路(內部資訊平臺)的整體搞病毒能力;
3、各資訊應用部門對本部門所負責的資訊必須作好備份;
4、各部門應對本部門的資訊進行審查,網站各欄目資訊的負責部門必須對釋出資訊制定審查制度,對資訊來源的合法性,釋出範圍,資訊欄目維護的負責人等作出明確的規定。資訊釋出後還要隨時檢查資訊的完整性、合法性;如發現被刪改,應及時向資訊保安部門報告;
5、涉密檔案不可放置個人計算機中,非涉密電子郵件的收發也要實行病毒查殺。
第四條資訊加密
1、涉及公司祕密的資訊,其電子文件資料應當在涉密介質中加密單獨儲存;
2、涉及公司和部門利益的敏感資訊的電子文件資料應當在涉密介質中加密單獨儲存;
第五條任何部門和個人不得從事以下活動:
1、利用資訊網路系統製作、傳播、複製有害資訊;
2、入侵他人計算機;
3、未經允許使用他人在資訊網路系統中未公開的資訊;
4、未經授權對網路(內部資訊平臺)系統中儲存、處理或傳輸的資訊(包括系統檔案和應用程式)進行增加、修改、複製和刪除等;
5、未經授權查閱他人郵件;
6、盜用他人名義傳送電子郵件;
7、故意干擾網路(內部資訊平臺)的暢通執行;
8、從事其他危害資訊網路(內部資訊平臺)系統安全的活動。
第六條本制度自發布之日起施行,凡與本制度有衝突的均以本制度為準。
第一項計算機管理制度
為保證計算機的正常執行,確保電腦保安執行,制定本制度。
一、管理範圍劃分
本公司計算機分為涉密和非涉密兩部分,涉密計算機指主要用於儲存或傳輸有關人事、財務、經濟執行、資訊保安等涉及企業經營管理資訊的計算機。非涉密計算機指用於儲存或傳輸日常辦公資料資訊計算機。資訊科技部、關務部、財務部計算機按照涉密要求進行管理。
二、非涉密計算機日常管理
1、各部門的計算機,操作人為管理第一責任人,承擔公司計算機操作的管理、保密和安全,以防止誤操作造成系統紊亂、檔案丟失等故障。
2、計算機主要是用於業務資料的處理及資訊傳輸,提高工作效率。嚴禁上班時間用計算機玩遊戲及執行一切與工作無關的軟體。
3、新購的計算機、初次使用的軟體、資料載體應經我部計算機管理員檢測,確認無病毒和有害資料後,方可投入使用。
4、計算機操作人員發現本部門的計算機感染病毒,應立即中斷執行,並與計算機管理員聯絡及時消除。
5、愛護機關計算機裝置,保持計算機裝置的乾淨整潔。
三、涉密計算機日常管理
1、涉密的計算機內的重要檔案由專人集中加密儲存,不得隨意複製和解密,未經加密的重要檔案不能存放在與國際聯網的計算機上。
2、對需要儲存的涉密資訊,可到資訊保安科轉存到光碟或其他可移動的介質上。儲存涉密資訊的介質應當按照所儲存資訊的最高密級標明密級,並按相應密級的檔案管理。
3、對資訊載體(軟盤、光碟等)及計算機處理的業務報表、技術資料、圖紙要有專人負責儲存,按規定使用、借閱、移交、銷燬。
四、其他
對違反以上規定的行為視情節輕重,由公司行政部進行處罰,並追究有關人員的責任。
第一章 總則
第一條 為加強公司計算機和資訊系統(包括涉密資訊系統和非涉密資訊系統)
安全保密管理,確保國家祕密及商業祕密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密資訊系統是指由計算機及其相關的配套裝置、設施構成的,按照一定的應用目標和規定儲存、處理、傳輸涉密資訊的系統或網路,包括機房、網路裝置、軟體、網路線路、使用者終端等內容。
第三條 涉密資訊系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密資訊系統和國家祕密資訊保安。
第四條 涉密資訊系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司檔案要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密資訊系統,不得投入使用。
第五條 本規定適用於公司所有計算機和資訊系統安全保密管理工作。
第二章 管理機構與職責
第六條 公司法人代表是涉密資訊系統安全保密第一責任人,確保涉密資訊系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條 公司保密委員會是涉密資訊系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防範措施,並監督檢查落實情況;
(二)協調處理有關涉密資訊系統安全保密管理的重大問題,對重大失洩密事件進行查處。
第八條 成立公司涉密資訊系統安全保密領導小組,保密辦、科技資訊部(資訊化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密資訊系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密資訊系統安全保密管理制度,並組織落實各項保密防範措施;
(二)對系統使用者和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密資訊系統使用者的職責和許可權,並備案;
(三)組織對涉密資訊系統進行安全保密監督檢查和風險評估,提出涉密資訊系統安全執行的保密要求;
(四)會同科技資訊部對涉密資訊系統中介質、裝置、設施的授權使用的審查,建立涉密資訊系統安全評估制度,每年對涉密資訊系統安全措施進行一次評審;
(五)對涉密資訊系統設計、施工和整合單位進行資質審查,對進入涉密資訊系統的安全保密產品進行准入審查和規範管理,對涉密資訊系統進行安全保密效能檢測;
(六)對涉密資訊系統中各應用系統進行定密、變更密級和解密工作進行稽核;
(七)組織查處涉密資訊系統失洩密事件。
第十條
科技資訊部、財會部主要職責是:
(一)組織、實施涉密資訊系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密資訊系統安全保密策略、執行安全控制、安全驗證等安全技術措施;每半年對涉密資訊系統進行風險評估,提出整改措施,經涉密資訊系統安全保密領導
小組批准後組織實施,確保安全技術措施有效、可靠;
(三)落實涉密資訊系統中各應用系統進行使用者許可權設定及介質、裝置、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密資訊系統管理員、安全保密管理員和安全審計員,並制定相應的職責; “三員”角色不得兼任,許可權設定相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防範措施及網路的安全管理,負責日常業務資料及其他重要資料的備份管理;
(六)配合保密辦對涉密資訊系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案並組織演練,落實應急措施,處理資訊保安突發事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密資訊系統中普密裝置的管理措施。
第十二條 相關業務部門、單位主要職責:涉密資訊系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密資訊系統各項安全防範措施;準確確定應用系統密級,制定並落實相應的二級保密管理制度。
第十三條 涉密資訊系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬體裝置的執行、管理與維護工作,確保資訊系統的安全、穩定、連續執行。系統管理員包括網路管理員、資料庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術裝置、策略實施和管理工作,包括使用者帳號管理以及安全保密裝置和系統所產生日誌的審查分析。
(三)安全審計員負責安全審計裝置安裝除錯,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,並每月向涉密資訊系統安全保密領導小組辦公室彙報一次情況。
第三章 系統建設管理
第十四條 規劃和建設涉密資訊系統時,按照涉密資訊系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密資訊系統規劃和建設的`安全保密方案,應由具有“涉及國家祕密的計算機資訊系統整合資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批後方可實施。
第十六條 涉密資訊系統規劃和建設實施時,應由具有“涉及國家祕密的計算機資訊系統整合資質”的機構實施或自行實施,並與實施方簽署保密協議,專案竣工後必須由保密辦和科技資訊部共同組織驗收。
第十七條 對涉密資訊系統要採取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密資訊系統使用的軟體產品必須是正版軟體。
第四章 資訊管理
第一節 資訊分類與控制
第十八條 涉密資訊系統的密級,按系統中所處理資訊的最高密級設定,嚴禁處理高於涉密資訊系統密級的涉密資訊。
第十九條 涉密資訊系統中產生、儲存、處理、傳輸、歸檔和輸出的檔案、資料、圖紙等資訊及其儲存介質應按要求及時定密、標密,並按涉密檔案進行管理。電子檔案密級標識應與資訊主體不可分離,密級標識不得篡改。涉密資訊系統中的涉密資訊總量每半年進行一次分類統計、彙總,並在保密辦備案。
第二十條 涉密資訊系統應建立安全保密策略,並採取有效措施,防止涉密資訊被非授權訪問、篡改,刪除和丟失;防止高密級資訊流向低密級計算機。涉密資訊遠端傳輸必須採取密碼保護措施。
第二十一條 向涉密資訊系統以外的單位傳遞涉密資訊,一般只提供紙質檔案,確需提供涉密電子文件的,按資訊交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、伺服器等網路裝置、儲存介質中的涉密資訊時,必須使用符合保密標準、要求的工具或軟體。
第二節 使用者管理與授權
第二十三條 根據本部門、單位使用涉密資訊系統的密級和實際工作需要,確定人員知悉範圍,以此作為使用者授權的依據。
第二十四條 使用者清單管理
(一)科技資訊部管理“研究試驗堆燃料元件數字化資訊系統”和“中核集團涉密廣域網”使用者清單;財會部管理“財務會計核算網”使用者清單;
(二)新增使用者時,由使用者本人提出書面申請,經本部門、單位稽核,科技資訊部、保密辦審批後,由科技資訊部備案並統一建立使用者;“財務會計核算網”的使用者由財會部統一建立;
(三)刪除使用者時,由使用者本人所在部門、單位書面通知科技資訊部,核准後由安全保密管理員即時將使用者在涉密資訊系統內的所有帳號、許可權廢止;“財務會計核算網”密辦稽核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際網際網路計算機實行專人負責、專機上網管理,嚴禁儲存、處理、傳遞涉密資訊和內部敏感資訊。接入網際網路的計算機須建立使用登記制度。
第六十五條 上網資訊實行“誰上網誰負責”的保密管理原則,資訊上網必須經過嚴格審查和批准,堅決做到“涉密不上網,上網不涉密”。對上網資訊進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網路新聞組、部落格等上釋出、談論、傳遞、轉發或抄送國家祕密資訊。
第六十七條 從國際網際網路或其它公眾資訊網下載程式和軟體工具等轉入涉密系統,經科技資訊部審批後,按照資訊交換及中間轉換機管理規定執行。
第九章 行動式計算機管理
第六十八條 行動式計算機(包括涉密行動式計算機和非涉密行動式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密行動式計算機根據工作需要確定密級,貼上密級標識,按照涉密裝置進行管理,保密辦備案後方可使用。
第七十條 行動式計算機應具備防病毒、防非法外聯和身份認證(設定開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密行動式計算機上國際網際網路和非涉密網路;嚴禁涉密行動式計算機與涉密資訊系統互聯。
第七十二條 涉密行動式計算機不得處理絕密級資訊。未經保密辦審批,嚴禁在涉密行動式計算機中儲存涉密資訊。處理、儲存涉密資訊應在涉密移動儲存介質上進行,並與涉密行動式計算機分離保管。
第七十三條 禁止使用私有行動式計算機處理辦公資訊;嚴禁非涉密行動式計算機儲存、處理涉密資訊;嚴禁將涉密儲存介質接入非涉密行動式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密行動式計算機和涉密儲存介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密行動式計算機須經保密辦檢查後方可帶出公司,返回時須進行技術檢查。
第七十五條 因工作需要外單位攜帶行動式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條 為有效預防和處置涉密資訊系統安全突發事件,及時控制和消除涉密資訊系統安全突發事件的危害和影響,保障涉密資訊系統的安全穩定執行,科技資訊部和財會部應分別制定相應應急響應預案,經公司涉密資訊系統安全保密領導小組審批後實施。
第七十七條 應急響應預案用於涉密資訊系統安全突發事件。突發事件分為系統執行安全事件和洩密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障資料安全和裝置安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網路裝置和伺服器裝置,斷開資訊系統與攻擊來源的網路物理連線,跟蹤並鎖定攻擊來源的IP地址或其它網路使用者資訊,修復被破壞的資訊,恢復資訊系統。按照事件發生的性質分別採用以下方案:1、病毒傳播:及時尋找並斷開傳播源,判斷病毒的型別、性質、可能的危害範圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的埠,尋找並公佈病毒攻擊資訊,以及防毒、防禦方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的埠,限制入侵的IP地址的訪問。對於已經造成危害的,應立即採用斷開網路連線的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等資訊,同時斷開對應的交換機埠,針對入侵方法調整或更新入侵檢測裝置。對於無法制止的多點入侵和造成損害的,應及時關閉被入侵的伺服器或相應裝置;
4、網路故障:判斷故障發生點和故障原因,能夠迅速解決的儘快排除故障,並優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時諮詢,上報公司資訊保安領導小組。
第七十八條 按照資訊保安突發事件的性質、影響範圍和造成的損失,將涉密資訊系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技資訊部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技資訊部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司資訊保安領導小組報告並提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告並提請協調處置;
(四)特別重大事件由公司報請中核集團公司對資訊保安突發事件進行處置。
第七十九條 發生突發事件(如涉密資料被竊取或資訊系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技資訊部和保密辦;
(二)關閉系統以防止造成資料損失;
(三)切斷網路,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果並書面確認安全後,系統方能重新執行;
(九)對事件型別、響應、影響範圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技資訊部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通訊、協調、指揮等是否快速、高效,並對其效果進行評估,以使使用者明確自己的角色和責任。應急響應相關知識、技術、技能應納入資訊保安保密培訓內容,並記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少於1次的全員資訊保安保密知識技能教育與培訓,並記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,並將其保管的涉密裝置、儲存介質全部清退並辦理移交手續。
第八十三條 承擔涉密資訊系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應對涉密資訊系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,並接受國家和上級單位的指導和監督。涉密資訊系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和資訊系統的保密檢查工具和涉密資訊系統所使用的安全保密、漏洞檢查(取證)軟體等,應覆蓋保密檢查的專案,並通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及資訊系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失洩密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機資訊系統保密管理規定》[制度編號:(20xx)廠1911號]、《涉密計算機採購、維修、變更、報廢保密管理規定》[制度編號:(20xx)廠1925號]、《國際網際網路資訊釋出保密管理規定》[制度編號:(20xx)廠1926號]、《涉密資訊系統資訊保密管理規定》[制度通告:(20xx)0934號]、《涉密資訊系統安全保密管理規定》[制度通告:(20xx)0935號]同時廢止。
一、一般規定
1、未經網管批准,任何人不得改變網路(內部資訊平臺)拓撲結構、網路(內部資訊平臺)裝置佈置、伺服器、路由器配置和網路(內部資訊平臺)引數。
2、任何人不得進入未經許可的計算機系統更改系統資訊和使用者資料。
3、機關區域網上任何人不得利用計算機技術侵佔使用者合法利益,不得製作、複製和傳播妨害單位穩定的有關資訊。
4、各部門應定期對本科室計算機系統和相關業務資料進行備份以防發生故障時進行恢復。
二、帳號管理
1、網路(內部資訊平臺)帳號採用分組管理。並詳細登記:使用者姓名、部門名稱、口令,存取許可權,開通時間,網路(內部資訊平臺)資源分配情況等。
2、網路(內部資訊平臺)管理員為使用者設定明碼口令,使用者可以根據自己的保密情況進行修改口令,使用者應對工作站設定開機密碼和屏保密碼。
3、使用者帳號下的資料屬於使用者私有資料,當事人具有存入許可權,管理員具有管理和備份存取許可權。
4、網路(內部資訊平臺)管理員根據有關帳號管理規則對使用者帳號執行管理,並對使用者帳號及資料的安全和保密負責。
5、網路(內部資訊平臺)管理員必須嚴守職業道德和職業紀律,不得將任何使用者的密碼、帳號等保密資訊等資料的洩露出去。
三、網路管理員職責
1、協助制定網路(內部資訊平臺)建設方案,確定網路(內部資訊平臺)安全及資源共享策略。
2、負責公用網路(內部資訊平臺)實體,如伺服器、交換機、集線器、防火牆、網線、接外掛等的維護和管理。
3、負責伺服器和系統軟體的安裝、維護、調整及更新。
4、負責網路(內部資訊平臺)賬號管理,資源分配,資料安全和系統安全。
5、監視網路(內部資訊平臺)執行,調整引數,排程資源,保持網路(內部資訊平臺)安全、穩定、暢通。
6、負責系統備份和網路(內部資訊平臺)資料備份,負責各部門電子資料資料的整理和歸檔。
7、保管網路(內部資訊平臺)拓撲圖接線表,裝置規格及配置單,管理記錄,執行記錄,檢修記錄等網路(內部資訊平臺)資料。
8、每年對本單位網路(內部資訊平臺)的效能和各電腦效能進行評價,提出網路(內部資訊平臺)結構、技術和網路、管理的改進措施。
四、安全管理職責
1、保障網路(內部資訊平臺)暢通和資訊保安。
2、嚴格遵守公司、省、市制定的相關法律、行政法規,嚴格執行《網路安全工作制度》,以人為本,依法管理,確保網路(內部資訊平臺)安全有序。
3、在發生網路(內部資訊平臺)重大突發事件時,應立即報告,採取應急措施,儘快恢復網路(內部資訊平臺)正常執行。
4、充分利用現有的安全裝置設施、軟體,最大限度地防止計算機病毒入侵和黑客攻擊。
5、加強資訊審查工作,儲存,備份至少90天之內網路資訊日誌,及時加以分析,排查不安定因素,防止黃色,反動資訊的傳播。
6、經常檢查網路(內部資訊平臺)工作環境的防火、防盜工作。五、電腦操作人員培訓制度
五、病毒的防治管理制度
1、任何人不得在機關的區域網上製造傳播任何計算機病毒,不得故意引入病毒。網路(內部資訊平臺)使用者發現病毒應立即向網路管理員報告。網路管理員及時指導和協助處理病毒。
2、各部門應定期查毒,(週期為一週或者10天)管理員應及時升級病毒庫,並提示各部門對防毒軟體進行線上升級。
一、遵守保密規定,嚴格控制不應公開的檔案資訊。
二、儲存檔案資料資訊的計算機不得與公共資訊網路聯接,確需聯接時,必須通過安全保密審查。
三、加強對檔案資訊網路傳輸的管理,確保網路和使用過程的資訊保安。
四、確定專人負責計算機系統的管理工作,並設定計算機作業系統使用者口令。
五、計算機系統必須安裝防病毒卡或反病毒軟體並及時更新版本,做好防病毒工作。
六、儲存檔案資料的計算機外送修理時,應將有關資料的內容清空、刪除或將硬碟摘除,並做好計算機修理情況登記。
七、應採取有效措施,保證檔案資料庫和檔案資料安全。所有資料至少複製兩套,並異地儲存。
八、資訊載體(如硬碟等)損壞,必須拆除後放入待鑑定室專門儲存。
九、磁性載體每滿2年、光碟每滿4年應進行一次抽樣機讀檢驗,抽樣率不低於10%,如發現問題應及時採取恢復措施。
十、具有永久儲存價值的文字和圖形形式的電子檔案,必須同時製成紙質檔案或縮微品等拷貝件一併歸檔儲存。
十一、應加強對歸檔電子檔案鑑定銷燬的管理。對於屬於保密範圍的歸檔電子檔案,連同儲存載體一起銷燬,並在網路上徹底刪除;對於不屬於保密範圍的歸檔電子檔案進行邏輯刪除。
十二、以上各條請本單位全體幹部職工互相監督,共同遵守。對違反本制度的,按國家有關規定處理。
校園網資訊釋出實行統一管理、分層負責制。網路中心對學校主頁資訊進行管理,各處室的主要負責人負責對本部門的上網資源和計算機系統進行管理。
一、網管中心負責全校的網路資訊和保密工作,定期對網路使用者進行有關保密和網路安全教育。
二、對外資訊釋出。各處室可以申請網路域名和ftp站點(見附件7),自行管理各部門網站資訊釋出。需要在學校首頁上釋出的資訊,需要填寫“網上資訊釋出申請表”,審查後交由網管中心上網釋出。(網上資訊釋出申請表見附件8)
三、資訊的閱覽與查詢。不得查閱、複製和傳播有礙社會治安和傷風敗俗的資訊。校園網工作人員和使用者如在網路上發現有礙社會治安和不健康的資訊,有義務及時上報網路管理人員,做好備份並自覺銷燬。
四、違反本條例規定,有下列行為之一者,校網路中心可提出警告直至停止其使用網路,情節嚴重者,提交學校行政部門或有關部門處理。
1.查閱、複製或傳播下列資訊者:.煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實、故意散佈謠言,擾亂社會秩序公然侮辱他人或者捏造事實誹謗他人宣揚封建迷信、淫穢、色情、暴力、凶殺、恐怖等。
2.破壞、盜用計算機網路中的資訊資源和危害計算機網路安全活動。
3.盜用他人帳號者。
4.私自轉借、轉讓使用者帳號造成危害者。
5.故意製作、傳播計算機病毒等破壞性程式者。
6.不按國家和學院有關規定擅自接納網路使用者者。
7.網路中心,屬我校園網路重地,未經許可不得進入。
1目的
為建立一個適當的資訊保安事件、薄弱點和故障報告、反應與處理機制,減少資訊保安事件和故障所造成的損失,採取有效的糾正與預防措施,特制定本程式。
2範圍
本程式適用於***業務資訊保安事件的管理。
3職責
3.1資訊保安管理流程負責人
確定資訊保安目標和方針;
確定資訊保安管理組織架構、角色和職責劃分;
負責資訊保安小組之間的協調,內部和外部的溝通;
負責資訊保安評審的相關事宜;
3.2資訊保安日常管理員
負責制定組織中的安全策略;
組織安全管理技術責任人進行風險評估;
組織安全管理技術責任人制定資訊保安改進建議和控制措施;
編寫風險改進計劃;
3.3資訊保安管理技術責任人
負責資訊保安日常監控;
資訊保安風險評估;
確定資訊保安控制措施;
響應並處理安全事件。
4工作程式
4.1資訊保安事件定義與分類
資訊保安事件是指資訊裝置故障、線路故障、軟體故障、惡意軟體危害、人員故意破壞或工作失職等原因直接影響(後果)的。
造成下列影響(後果)之一的,均為一般資訊保安事件。
a) ***祕密洩露;
b)導致業務中斷兩小時以上;
c)造成資訊資產損失的火災;
d)損失在一萬元人民幣(含)以上的故障/事件。
造成下列影響(後果)之一的,屬於重大資訊保安事件。
a)組織機密洩露;
b)導致業務中斷十小時以上;
c)造成機房裝置毀滅的火災;
d)損失在十萬元人民幣(含)以上的故障/事件。
4.2資訊保安事件管理流程
由資訊保安管理負責人組織相關的運維技術人員根據***對資訊保安的要求,確認程式碼管理相關資訊系統的安全需求;
對程式碼管理相關資訊系統進行資訊保安風險評估,預測風險型別、風險發生的可能性、風險級別、潛在的業務影響,形成資訊保安風險評估報告;
由資訊保安日常管理員組織相關技術人員根據對根據風險評估的結果以及服務級別協議的安全需求,提出現階段的安全改進建議,並提交至資訊保安管理負責人進行評估;若同意執行安全改進建議,則在變更管理的控制下實施安全建議;
資訊保安日常管理員根據安全改進之後的資訊系統安全現狀提出具體的安全控制措施,形成風險處置計劃;
根據風險處置計劃,實施資訊保安控制措施,儘可能的降低資訊和業務風險;
監視資訊系統的活動並識別反常的活動和安全事件,並記錄下來,做初步的響應和處理;評估安全漏洞和不符合安全要求的任何情況,並採取必要的糾正措施;
對發現的或已發生的資訊保安事件,按照資訊保安事件響應程式進行處理;
每年一次或在發生重大資訊保安事件時進行資訊保安評審,分析資訊保安事件的顯現趨勢、資訊保安管理的改進等資訊,並形成風險改進計劃,持續改進資訊系統安全。
4.3資訊保安事件事後處理措施
對於一般資訊保安事件,在故障排除或採取必要措施後,相關資訊保安管理職能部門會同事件責任部門,對事件的原因、型別、損失、責任進行鑑定,形成《資訊保安事件報告》,報資訊保安管理者代表批准;對於重大資訊保安事件的處理意見還應上報資訊保安管理委員會討論通過。
對於違反組織資訊保安方針、程式安全規章所造成的資訊保安事件責任者依據以下措施予以懲戒。
處罰方式:
一般安全事故,根據所造成的經濟損失,由***辦公室通過郵件發出正式嚴重警告。
一年內累計出現三次或三次以上的一般安全事故,報***領導批准後進行相應懲罰,並在***進行通報批評。
造成重大安全事故的,***有權將責任人調離原工作崗並給予相應懲罰。
一年內累計出現二次或二次以上的重大安全事故,***有權解除勞動合同並依法追究法律責任。
如果屬於故意行為導致資訊保安事故,***有權解除勞動合同並依法追究法律責任。
對於資訊保安事故責任人的處理結果由處理部門在***範圍內予以通報。
負有資訊保安事故處罰的各職能部門在確定實施處罰後,***室與被處罰部門溝通,確認責任者及處罰方式並上報***領導。
資訊保安管理職能部門要求事件責任部門制定糾正措施並實施,實施結果記錄在《資訊保安事件報告》。
由資訊保安管理職能部門對實施情況進行跟蹤驗證,驗證結果記入《資訊保安事件報告》。
4.4報告資訊保安薄弱點與預防措施
***與資訊保安管理有關的所有員工發現資訊保安薄弱點或潛在威脅均應履行報告義務。
對以下行為應給予獎勵:
及時發現非責任區資訊保安隱患,該隱患足以導致資訊保安事故的;
及時發現非責任區資訊保安重大隱患,該隱患足以導致資訊保安重大事故的;
及時發現並制止系統操作問題以避免裝置重大損失或人員死亡的;
及時制止或報告洩露商業機密的事件以避免***重大經濟損失或及時中止正在進行中的商業洩密行為的;
在資訊保安事故中採取積極有效措施,降低損失的程度。
獎勵方式如下:
根據防止一般安全事故發生、一年內防止一般安全事故發生三次或三次以上、防止造成重大安全事故、及時中止正在進行中的商業洩密行為、提出資訊保安合理化建議等級別,報請***批准後,給予相應表揚或獎勵,並作為年底工作考核依據。
發現資訊保安事故、薄弱點與故障的員工填寫《一般資訊保安事件/薄弱點報告》,相關的程式碼管理中心及資訊保安實驗室進行調查後,確定是否採取預防措施,確認責任部門並實施。
5相關檔案
6相關記錄
1、成立資訊保安工作領導小組,並由單位主要領導擔任組長,由網路管理人員及公文接收人員等擔任組員,全面負責本單位網路安全工作。
2、學校所有使用者必須遵守國家、地方的有關法規,嚴格執行安全保密制度,並對所提供的資訊負責。單位網路管理人員和公文接收人員必須在資訊保安領導小組的領導下,嚴格監控本單位上網資訊,隨時對本單位網路系統及資訊系統進行安全檢查。
3、學校所有使用者不得利用計算機網路從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機網路及資訊系統的安全。單位文印室、財務室電腦加強安全管理,以免造成涉密資訊洩露。
4、學校所有使用者嚴禁在網路上釋出虛假、淫穢、xxx等資訊,不得使用網路進入未經授權使用的計算機,單位辦公用計算機必須嚴格管理,制訂管理制度,落實管理人員,未經管理人員允許不得以虛假身份使用網路資源。
5、加強對校園網新聞,資訊上報、論壇言論的安全管理。對上網、上報、外傳資訊要堅持單位主要領導審查,嚴格把關,落實防範措施,明確責任制,本著“誰主管,誰負責”的原則,凡涉及國家及學校祕密的資訊嚴禁上網。
6、學校所有使用者必須對提供的資訊負責,不得利用網路從事危害國家安全、洩露國家機密等犯罪活動,不得製作、查閱、複製和傳播有礙社會治安和不健康的、有封建迷信、色情等內容的資訊。
7、嚴禁制造和輸入計算機病毒以及其他有害資料危害計算機資訊系統的安全。 不允許進行任何干擾網路使用者、破壞網路服務和破壞網路裝置的活動。
8、一經發現校園網或區域網內有違法犯罪行為和有害的、不健康的資訊,必須立即上報資訊保安領導小組,不得隱瞞。
第一章 總 則
第一條 為加強郵政行業寄遞服務使用者個人資訊保安管理,保護使用者合法權益,維護郵政通訊與資訊保安,促進郵政行業健康發展,根據《中華人民共和國郵政法》、《全國人大常委會關於加強網路資訊保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定,制定本規定。
第二條 在中華人民共和國境內經營和使用寄遞服務涉及使用者個人資訊保安的活動以及相關監督管理工作,適用本規定。
第三條 本規定所稱寄遞服務使用者個人資訊(以下簡稱寄遞使用者資訊),是指使用者在使用寄遞服務過程中的個人資訊,包括寄(收)件人的姓名、地址、身份證件號碼、電話號碼、單位名稱,以及寄遞詳情單號、時間、物品明細等內容。
第四條 寄遞使用者資訊保安監督管理堅持安全第一、預防為主、綜合治理的方針,保障使用者個人資訊保安。
第五條 國務院郵政管理部門負責全國郵政行業寄遞使用者資訊保安監督管理工作。
省、自治區、直轄市郵政管理機構負責本行政區域內的郵政行業寄遞使用者資訊保安監督管理工作。
按照國務院規定設立的省級以下郵政管理機構負責本轄區的郵政行業寄遞使用者資訊保安監督管理工作。
國務院郵政管理部門和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構,統稱為郵政管理部門。
第六條 郵政管理部門應當與有關部門相互配合,健全寄遞使用者資訊保安保障機制,維護寄遞使用者資訊保安。
第七條 郵政企業、快遞企業及其從業人員應當遵守國家有關資訊保安管理的規定及本規定,防止寄遞使用者資訊洩露、丟失。
第二章 一般規定
第八條 郵政企業、快遞企業應當建立健全寄遞使用者資訊保安保障制度和措施,明確企業內部各部門、崗位的安全責任,加強寄遞使用者資訊保安管理和安全責任考核。
第九條 以加盟方式經營快遞業務企業應當在加盟協議中訂立寄遞使用者資訊保安保障條款,明確被加盟人與加盟人的安全責任。加盟人發生資訊保安事故時,被加盟人應當依法承擔相應安全管理責任。
第十條 郵政企業、快遞企業應當與其從業人員簽訂寄遞使用者資訊保密協議,明確保密義務和違約責任。
第十一條 郵政企業、快遞企業應當組織從業人員進行寄遞使用者資訊保安保護相關知識、技能培訓,加強職業道德教育,不斷提高從業人員的法制觀念和責任意識。
第十二條 郵政企業、快遞企業應當建立寄遞使用者資訊保安投訴處理機制,公佈有效聯絡方式,接受並及時處理有關投訴。
第十三條 郵政企業、快遞企業受網路購物、電視購物和郵購等經營者委託提供寄遞服務的,在與委託方簽訂協議時,應當訂立寄遞使用者資訊保安保障條款,明確資訊使用範圍和方式、資訊交換安全保護措施、資訊洩露責任劃分等內容。
第十四條 郵政企業、快遞企業委託第三方錄入寄遞使用者資訊的,應當確認其具有資訊保安保障能力,並訂立資訊保安保障條款,明確責任劃分。第三方發生資訊保安事故導致寄遞使用者資訊洩露、丟失的,郵政企業、快遞企業應當依法承擔相應責任。
第十五條 未經法律明確授權或者使用者書面同意,郵政企業、快遞企業及其從業人員不得將其掌握的寄遞使用者資訊提供給任何單位或者個人。
第十六條 公安機關、國家安全機關或者檢察機關的工作人員依照法律規定程式調閱、檢查寄遞詳情單實物及電子資訊檔案,郵政企業、快遞企業應當配合,並對有關情況予以保密。
第十七條 郵政企業、快遞企業應當建立寄遞使用者資訊保安應急處置機制。對於突發的寄遞使用者資訊保安事故,應當立即採取補救措施,按照規定報告郵政管理部門,並配合郵政管理部門和相關部門的調查處理工作,不得遲報、漏報、謊報、瞞報。
第三章 寄遞詳情單實物資訊保安管理
第十八條 郵政企業、快遞企業應當加強寄遞詳情單管理,對空白寄遞詳情單發放情況進行登記,對號段進行全程跟蹤,形成跟蹤記錄。
第十九條 郵政企業、快遞企業應當加強營業場所、處理場所管理,嚴禁無關人員進出郵件(快件)處理、存放場地,嚴禁無關人員接觸、翻閱郵件(快件),防止寄遞詳情單實物資訊(以下簡稱實物資訊)在處理過程中洩露。
第二十條 郵政企業、快遞企業應當優化寄遞處理流程,減少接觸實物資訊的處理環節和操作人員。
第二十一條 郵政企業、快遞企業應當採用有效技術手段,防止實物資訊在寄遞過程中洩露。
第二十二條 郵政企業、快遞企業應當配備符合國家標準的安全監控裝置,安排具有專門技術和技能的人員,對收寄、分揀、運輸、投遞等環節的實物資訊處理進行安全監控。
第二十三條 郵政企業、快遞企業應當建立健全寄遞詳情單實物檔案管理制度,實行集中封閉管理,確定集中存放地,及時回收寄遞詳情單妥善保管。設立、變更集中存放地,應當及時報告所在地郵政管理部門。
第二十四條 郵政企業、快遞企業應當對寄遞詳情單實物檔案集中存放地設專人管理,採取必要的安全防護措施,確保儲存安全。
第二十五條 郵政企業、快遞企業應當建立並嚴格執行寄遞詳情單實物檔案查詢管理制度。內部人員因工作需要查閱檔案時,應當確保檔案完整無損,並做好查閱登記,不得私自攜帶離開存放地。
第二十六條 寄遞詳情單實物檔案應當按照國家相關標準規定的期限儲存。儲存期滿後,由企業進行集中銷燬,做好銷燬記錄,嚴禁丟棄或者販賣。
第二十七條 郵政企業、快遞企業應當對實物資訊保安保障情況進行定期自查,記錄自查情況,及時消除自查中發現的資訊保安隱患。
第四章 寄遞詳情單電子資訊保安管理
第二十八條 郵政企業、快遞企業應當按照國家規定,加強寄遞服務使用者資訊相關資訊系統和網路設施的安全管理。
第二十九條 郵政企業、快遞企業資訊系統的網路架構應當符合國家資訊保安管理規定,合理劃分安全區域,實現各安全區域之間有效隔離,並具有防範、監控和阻斷來自內部和外部網路攻擊破壞的能力。
第三十條 郵政企業、快遞企業應當配備必要的防病毒軟體、硬體,確保資訊系統和網路具有防範計算機病毒的能力,防止惡意程式碼破壞資訊系統和網路,避免資訊洩露或者被篡改。
第三十一條 郵政企業、快遞企業構建資訊系統和網路,應當避免使用資訊系統和網路供應商提供的預設密碼、安全引數,並對通過開放公共網路傳輸的寄遞使用者資訊採取加密措施,嚴格審查並監控對資訊系統、網路裝置的遠端訪問。
第三十二條 郵政企業、快遞企業在採購計算機軟體、硬體產品或者技術服務時,應當與供應商簽訂保密協議,明確其安全責任,以及在發生資訊保安事件時配合郵政管理部門和相關部門調查的義務。
第三十三條 郵政企業、快遞企業應當建立資訊系統安全內部審計制度,定期開展內部審計,對發現的問題及時整改。
第三十四條 郵政企業、快遞企業應當加強資訊系統及網路的許可權管理,基於許可權最小化和許可權分離原則,向從業人員分配滿足工作需要的最小操作許可權和可訪問的最小資訊範圍。
郵政企業、快遞企業應當加強對資訊系統和資料庫的管理,使網路管理人員僅具有進行資訊系統、資料庫、網路執行維護和優化的許可權。網路管理人員的維護操作須經安全管理員授權,並受到安全審計員的監控和審計。
第三十五條 郵政企業、快遞企業應當加強資訊系統密碼管理,使用高安全級別密碼策略,定期更換密碼,禁止將密碼透露給無關人員。
第三十六條 郵政企業、快遞企業應當加強寄遞使用者電子資訊的儲存安全管理,包括:
(一)使用獨立物理區域儲存寄遞使用者資訊,禁止非授權人員進出該區域;
(二)採用加密方式儲存寄遞使用者資訊;
(三)確保安全使用、保管和處置存有寄遞使用者資訊的計算機、移動裝置和移動儲存介質。明確管理資料儲存裝置、介質的負責人,建立裝置、介質使用和借用登記制度,限制裝置輸出介面的使用。儲存裝置和介質報廢的,應當及時刪除其中的寄遞使用者資訊資料,並銷燬硬體。
第三十七條 郵政企業、快遞企業應當加強寄遞使用者資訊的應用安全管理,對所有批量匯出、複製、銷燬使用者個人資訊的操作進行審查,並採取防洩密措施,同時記錄進行操作的人員、時間、地點和事項,留作資訊保安審計依據。
第三十八條 郵政企業、快遞企業應當加強對離崗人員的資訊保安審計,及時刪除或者禁用離崗人員系統賬戶。
第三十九條 郵政企業、快遞企業應當制定本企業與市場相關主體的資訊系統安全互聯技術規則,對儲存寄遞服務資訊的資訊系統實行接入審查,定期進行安全風險評估。
第五章 監督管理
第四十條 郵政管理部門依法履行下列職責:
(一)制定保障寄遞使用者資訊保安的政策、制度和相關標準,並監督實施;
(二)監督、指導郵政企業、快遞企業落實資訊保安責任制,督促企業加強寄遞使用者資訊保安管理;
(三)對寄遞使用者資訊保安進行監測、預警和應急管理;
(四)監督、指導郵政企業、快遞企業開展寄遞使用者資訊保安宣傳教育和培訓;
(五)依法對郵政企業、快遞企業實施寄遞使用者資訊保安監督檢查;
(六)組織調查或者參與調查寄遞使用者資訊保安事故,依法查處違反寄遞使用者資訊保安管理規定的行為;
(七)法律、行政法規和規章規定的其他職責。
第四十一條 郵政管理部門應當加強郵政行業寄遞使用者資訊保安管理制度和知識的宣傳,強化郵政企業、快遞企業及其從業人員的資訊保安管理意識,提高使用者對個人資訊保安保護的認識。
第四十二條 郵政管理部門應當加強郵政行業寄遞使用者資訊保安執行的監測預警,建立資訊管理體系,收集、分析與資訊保安有關的各類資訊。
下級郵政管理部門應當及時向上一級郵政管理部門報告郵政行業寄遞使用者資訊保安情況,並根據需要通報工業和資訊化、通訊管理、公安、國家安全、商務和工商行政管理等相關部門。
第四十三條 郵政管理部門應當對郵政企業、快遞企業建立和執行寄遞使用者資訊保安管理制度,規範從業人員資訊保安保護行為,防範資訊保安風險等情況進行檢查。
第四十四條 郵政管理部門發現郵政企業、快遞企業存在違反寄遞使用者資訊保安管理規定,妨害或者可能妨害寄遞使用者資訊保安的,應當依法進行調查處理。違法行為涉及其他部門管理職權的,郵政管理部門應當會同有關部門對涉案郵政企業、快遞企業進行調查處理。
第四十五條 郵政管理部門應當加強對郵政企業、快遞企業及其從業人員遵守本規定情況的監督檢查。
第四十六條 郵政企業、快遞企業拒不配合寄遞使用者資訊保安監督檢查的,依照《中華人民共和國郵政法》第七十七條的規定予以處罰。
第四十七條 郵政企業、快遞企業及其從業人員因洩露寄遞使用者資訊對使用者造成損失的,應當依法予以賠償。
第四十八條 郵政企業、快遞企業及其從業人員違法提供寄遞使用者資訊,尚未構成犯罪的,依照《中華人民共和國郵政法》第七十六條的規定予以處罰。構成犯罪的,移送司法機關追究刑事責任。
第四十九條 任何單位和個人有權向郵政管理部門舉報違反本規定的行為。郵政管理部門接到舉報後,應當依法及時處理。
第五十條 郵政管理部門可以在行業內通報郵政企業、快遞企業違反寄遞使用者資訊保安管理規定行為、資訊保安事件,以及對有關責任人員進行處理的情況。必要時可以向社會公佈上述資訊,但涉及國家祕密、商業祕密和個人隱私的除外。
第五十一條 郵政管理部門及其工作人員對在履行職責過程中知悉的寄遞使用者資訊應當保密,不得洩露、篡改或者損毀,不得出售或者非法向他人提供。
第五十二條 郵政管理部門工作人員在寄遞使用者資訊保安監督管理工作中濫用、玩忽職守,依照《郵政行業安全監督管理辦法》第五十五條的規定予以處理。
第六章 附 則
第五十三條 本規定自發布之日起施行。
1.安全管理制度要求
1.1總則:為了切實有效的保證公司資訊保安,提高資訊系統為公司生產經營的服務能力,特制定互動式資訊保安管理制度,設定管理部門及專業管理人員對公司整體資訊保安進行管理,以確保網路與資訊保安。
1.1.1建立檔案化的安全管理制度,安全管理制度檔案應包括:
a)安全崗位管理制度;
b)系統操作許可權管理;
c)安全培訓制度;
d)使用者管理制度;
e)新服務、新功能安全評估;
f)使用者投訴舉報處理;
g)資訊釋出稽核、合法資質查驗和公共資訊巡查;
h)個人電子資訊保安保護;
i)安全事件的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批檔案。
1.1.2安全管理制度應經過管理層批准,並向所有員工宣貫
2.機構要求
2.1法律責任
2.1.1網際網路互動式服務提供者應是一個能夠承擔法律責任的組織或個人。
2.1.2網際網路互動式服務提供者從事的資訊服務有行政許可的應取得相應許可。 3.人員安全管理
3.1安全崗位管理制度
建立安全崗位管理制度,明確主辦人、主要負責人、安全責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規、道德規範和對應的業務要求來執行,包括:1.個人身份核查:2.個人履歷的核查:
3.學歷、學位、專業資質證明:
4.從事關鍵崗位所必須的能力
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3安全培訓
建立安全培訓制度,定期對所有工作人員進行資訊保安培訓,提高全員的資訊保安意識,包括:
1.上崗前的培訓;
2.安全制度及其修訂後的培訓;
3.法律、法規的發展保持同步的繼續培訓。
應嚴格規範人員離崗過程:
a)及時終止離崗員工的所有訪問許可權;
b)關鍵崗位人員須承諾調離後的保密義務後方可離開;
c)配合公安機關工作的人員變動應通報公安機關。 3.4人員離崗
應嚴格規範人員離崗過程:
a)及時終止離崗員工的所有訪問許可權;
b)關鍵崗位人員須承諾調離後的保密義務後方可離開;
c)配合公安機關工作的人員變動應通報公安機關。
4.訪問控制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問許可權管理制度。
4.2許可權分配
按以下原則根據人員職責分配不同的訪問許可權:
a)角色分離,如訪問請求、訪問授權、訪問管理;
b )滿足工作需要的最小許可權;
c)未經明確允許,則一律禁止。
4.3特殊許可權限制和控制特殊訪問許可權的分配和使用:
a)標識出每個系統或程式的特殊許可權;
b)按照“按需使用”、“一事一議”的原則分配特殊許可權;
c)記錄特殊許可權的授權與使用過程;
d)特殊訪問許可權的分配需要管理層的批准。
注:特殊許可權是系統超級使用者、資料庫管理等系統管理許可權。
4.4許可權的檢查
定期對訪問許可權進行檢查,對特殊訪問許可權的授權情況應在更頻繁的時間間隔內進行檢查,如發現不恰當的許可權設定,應及時予以調整。
5網路與主機系統的安全
5.1 網路與主機系統的安全
應維護使用的網路與主機系統的安全,包括:
a)實施計算機病毒等惡意程式碼的預防、檢測和系統被破壞後的恢復措施;
b)實施7×24h網路入侵行為的預防、檢測與響應措施;
c)適用時,對重要檔案的完整性進行檢測,並具備檔案完整性受到破壞後的恢復措施;
d)對系統的脆弱性進行評估,並採取適當的措施處理相關的風險。注:系統脆弱性評估包括採用安全掃描、滲透測試等多種方式。
5.2備份5.2.1
應建立備份策略,有足夠的備份設施,確保必要的資訊和軟體在災難或介質故障時可以恢復。
5.2.2 網路基礎服務(登入、訊息釋出等)應具備容災能力。
5.3安全審計
5.3.1應記錄使用者活動、異常情況、故障和安全事件的日誌。
5.3.2審計日誌內容應包括:
a)使用者註冊相關資訊,包括:
1)使用者唯一標識;
2)使用者名稱稱及修改記錄;
3)身份資訊,如姓名、證件型別、證件號碼等;
4 )註冊時間、IP地址及埠號;
5)電子郵箱地址和於機號碼;
6 )使用者備註資訊;7 )使用者其他資訊。
b )群組、頻道相關資訊,包括:
1)建立時間、建立人、建立人IP地址及埠號;
2 )刪除時間、刪除人、刪除人IP地址及埠號;
3 )群組組織結構;
4 )群組成員列表。
c)使用者登入資訊,包括:
1)使用者唯一標識;2 )登入時間;3 )退出時間;4 ) IP地址及埠號。
d )使用者資訊釋出日誌,包括:1)使用者唯一標識;2 )資訊標識;3)資訊釋出時間;4 ) IP地址及埠號;5 )資訊標題或摘要,包括圖片摘要 。
e)使用者行為,包括:1 )進出群組或頻道;2 )修改、刪除所發信息;3 )上傳、下載檔案。
5.3.3應確保審計日誌內容的可溯源性,即可追溯到真實的使用者ID、網路地址和協議。電子郵件、簡訊息、網路電話、即時訊息、網路聊天等網路訊息服務提供者應能防範偽造、隱匿傳送者真實標記的訊息的措施;涉及地址轉換技術的服務,如移動上網、網路代理、內容分發等應審計轉換前後的地址與埠資訊;涉及短網址服務的,應審計原始URL與短UR L之間的對映關係。
5.3.4應保護審計日誌,保證無法單獨中斷審計程序,防止刪除、修改或覆蓋審計日誌。
5.3.5應能夠根據公安機關要求留存具備指定資訊訪問日誌的留存功能。
審計日誌儲存週期
a )應永久保留使用者註冊資訊、好友列表及歷史變更記錄,永久記錄聊天室(頻道、群組)註冊資訊、成員列表以及歷史變更記錄;
b)系統維護日誌資訊儲存12個月以上;
c)應留存使用者日誌資訊12個月以上;
d )對使用者釋出的資訊內容儲存6個月以上;
e)已下線的系統的日誌儲存週期也應符合以上規定。
6應用安全
6.1使用者管理
6.1.1向用戶宣傳法律法規,應在使用者註冊時,與使用者簽訂服務協議,告知相關權利義務及需承擔的法律責任。
6.1.2建立使用者管理制度,包括:
a )使用者實名登記真實身份資訊,並對使用者真實身份資訊進行有效核驗,有校核驗方法可追溯到使用者登記的真實身份,如:1)身份證與姓名實名驗證服務:2)有效的銀行卡:3)合法、有效的數字證書:4)已確認真實身份的網路服務的註冊使用者:5)經電信運營商接入實名認證的使用者。(如某網站採用已經實名認證的第三方賬號登陸,可認為該網站的使用者已進行有效核驗。)
b )應對使用者註冊的賬號、頭像和備註等資訊進行稽核,禁止使用違反法律法規和社會道德的內容:
c )建立使用者黑名單制度,對網站自行發現以及公安機關通報的多次、大量傳送傳播違法有害資訊的使用者納應入黑名單管理。
6.1.3當用戶利用網際網路從事的服務需要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:a )核對行政許可檔案:b )通過行政許可主管部門的公開資訊: c )通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害資訊防範和處置
6.2.1公司採取管理與技術措施,及時發現和停止違法有害資訊釋出。
6.2.2公司採用人工或自動化方式,對釋出的資訊逐條稽核。
採取技術措施過濾違法有害資訊,包括且不限於:a )基於關鍵詞的文字資訊遮蔽過濾;b)基於樣本資料特徵值的檔案遮蔽過濾;c)基於URL的遮蔽過濾。
6.2.3應採取技術措施對違法有害資訊的來源實施控制,防止繼續傳播。
注:違法有害資訊來源控制技術措施包括但不限於:封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回覆、控制特定釋出來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。
6.2.4公司建立7*24h資訊巡查制度,及時發現並處置違法有害資訊。
6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調差配合制度,包括:
a)對發現的違法有害資訊,立即停止釋出傳輸,保留相關證據(包括使用者註冊資訊、使用者登入資訊、使用者釋出資訊等記錄),並向屬地公安機關報告
b)對於煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關報告,同時配合公安機關做好調查取證工作
6.2.6與公安機關建立7*24h違法有害資訊快速處置工作機制,有明確URL的單條違法有害資訊和特定文字、圖片、視訊、連結等資訊的源頭及分享中的任何一個環節應能再5min之內刪除,相關的遮蔽過濾措施應在10min內生效。 6.3破壞性程式防範
6.3.1實施破壞性程式的發現和停止釋出措施、並保留髮現的破壞性程式的相關證據。
6.3.2對軟體下載服務提供者(包括應用軟體商店),檢查使用者釋出的軟體是否是計算機病毒等惡意程式碼。
7個人電子資訊保護
7.1.1制定明確、清楚的個人電子資訊處置規則,並且在顯著位置予以公示。在使用者註冊時,在與使用者簽訂服務協議中明示收集與使用個人電子資訊的目的、範圍與方式。
7.1.2湖南凱美醫療網站僅收集為實現正當商業目的和提供網路服務所必需的個人資訊;收集個人電子資訊時,取得使用者的明確授權同意;公司在姜個人電子資訊交給第三方處理時,處理方符合本制度標準的要求,並取得使用者明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子資訊處理時,應告知使用者,並取得其同意。
7.2技術措施
公司建立覆蓋個人電子資訊處理的各個環節的安全保護制度和技術措施,防止個人電子資訊洩露、損毀、丟失,包括:
a )採用加密方式儲存使用者密碼等重要資訊
b )審計內部員工對涉及個人電子資訊的所有操作,並對審計進行分析,預防內部員工故意洩露
c )審計個人電子資訊上載、儲存或傳輸,作為資訊洩露,毀損,丟失的查詢依據
d )建立程式來控制對涉及個人電子資訊的系統和服務的訪問權的分配。這些程式涵蓋使用者訪問生存週期內的各個階段,從新使用者初始註冊到不再需要訪問資訊系統和服務的使用者的最終撤銷
e )系統的安全保障技術措施覆蓋個人電子資訊處理的各個環節,防止網路違法犯罪活動竊取資訊,降低個人電子資訊洩露的風險
7.3個人資訊洩露事件的處理
a)當發現個人電子資訊洩露時間後,應:
b )立即採取補救措施,防止資訊繼續洩露
c )24小時內告知使用者,根據使用者初始註冊資訊重新啟用賬戶,避免造成更大的損失立即告屬地公安機關
8安全事件管理
8.1安全時間管理制度
8.1.1建立安全事件的監測、報告和應急處置制度,確保快速有效和有序地響應安全事件.
8.1.2安全事件包括違法有害資訊、危害計算機資訊系統安全的異常情況及突發公共事件。
8.2應急預案
制定安全事件應急處置預案,向屬地公安機關寶貝,並定期開展應急演練。
8.3突發公共事件處理
突發公共事件分為四級:I級(特別重大)、II級(重大)、III級(較大)、IV級(一般),網際網路互動式服務提供者應建立相應處置機制,當突發公共事件發生後,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% -80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%-50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術介面
公司網站所設技術介面為公安機關提供的符合國家及公共安全行業標準的技術介面,能確保實時,有效地提供相關證據。
1.區域網由市公司資訊中心統一管理。
2.計算機使用者加入區域網,必須由系統管理員安排接入網路,分配計算機名、ip地址、帳號和使用許可權,並記錄歸檔。
3.入網使用者必須對所分配的帳號和密碼負責,嚴格按要求做好密碼或口令的保密和更換工作,不得洩密。登入時必須使用自己的帳號。口令長度不得小於6位,必須是字母數字混合。
4.任何人不得未經批准擅自接入或更改計算機名、地址、帳號和使用許可權。業務系統崗位變動時,應及時重新設定該崗帳號和工作口令。
5.凡需聯接網際網路的使用者,必需填寫《計算機入網申請表》,經單位分管領導或部門負責人同意後,由資訊中心安排和監控、檢查,已接入網際網路的使用者應妥善保管其計算機所分配帳號和密碼,並對其安全負責。不得利用網際網路做任何與其工作無關的事情,若因此造成病毒感染,其本人應付全部責任。
6.入網計算機必須有防病毒和安全保密措施,確因工作需要與外單位通過各種儲存媒體及網路通訊等方式進行資料交換,必須進行病毒檢查。因違反規定造成電子資料失密或病毒感染,由違反人承擔相應責任,同時應追究其所在部門負責人的領導責任。
7.所有辦公電腦都應安裝全省統一指定的趨勢防病毒系統,並定期升級病毒碼及防毒引擎,按時查殺病毒。未經資訊中心同意,不得以任何理由刪除或換用其他防毒軟體(防火牆),發現病毒應及時向資訊中心彙報,由系統管理員統一清除病毒。
8.入網使用者不得從事下列危害公司網路安全的活動:
(1)未經允許,對公司網路及其功能進行刪除、修改或增加;
(2)未經允許,對公司網路中儲存、處理或傳輸的資料和應用程式進行刪除、修改或增加;
(3)使用的系統軟體和應用軟體、關鍵資料、重要技術文件未經主管領導批准,不得擅自拷貝提供給外單位或個人,如因非法拷貝而引起的問題,由拷貝人承擔全部責任。
9.入網使用者必須遵守國家的有關法律法規和公司的有關規定,如有違反,資訊中心將停止其入網使用權,並追究其相應的責任。
10.使用者必須做好防火、防潮、防雷、防盜、防塵和防洩密等防範措施,重要檔案和資料須做好備份。
第一章總則
第一條目的
為了確保公司資訊系統的資料安全,使得在資訊系統使用和維護過程中不會造成資料丟失和洩密,特制定本制度。
第二條適用範圍
本制度適用於公司技術管理部及相關業務部門。
第三條管理物件
本制度管理的物件為公司各個資訊系統系統管理員、資料庫管理員和各個資訊系統使用人員。
第二章資料安全管理
第四條資料備份要求
存放備份資料的介質必須具有明確的標識。備份資料必須異地存放,並明確落實異地備份資料的管理職責。
第五條資料物理安全
注意計算機重要資訊資料和資料儲存介質的存放、運輸安全和保密管理,保證儲存介質的物理安全。
第六條資料介質管理
任何非應用性業務資料的使用及存放資料的裝置或介質的調撥、轉讓、廢棄或銷燬必須嚴格按照程式進行逐級審批,以保證備份資料安全完整。
第七條資料恢復要求
資料恢復前,必須對原環境的資料進行備份,防止有用資料的丟失。資料恢復過程中要嚴格按照資料恢復手冊執行,出現問題時由技術部門進行現場技術支援。資料恢復後,必須進行驗證、確認,確保資料恢復的完整性和可用性。
第八條資料清理規則
資料清理前必須對資料進行備份,在確認備份正確後方可進行清理操作。歷次清理前的備份資料要根據備份策略進行定期儲存或永久儲存,並確保可以隨時使用。資料清理的實施應避開業務高峰期,避免對聯機業務執行造成影響。
第九條資料轉存
需要長期儲存的資料,資料管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止儲存介質過期失效,通過有效的查詢、使用方法保證資料的完整性和可用性。轉存的資料必須有詳細的文件記錄。
第十條涉密資料裝置管理
非本單位技術人員對本公司的裝置、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機裝置送外維修,須經裝置管理機構負責人批准。送修前,需將裝置儲存介質內應用軟體和資料等涉經營管理的資訊備份後刪除,並進行登記。對修復的裝置,裝置維修人員應對裝置進行驗收、病毒檢測和登記。
第八條報廢裝置資料管理
管理部門應對報廢裝置中存有的程式、資料資料進行備份後清除,並妥善處理廢棄無用的資料和介質,防止洩密。
第九條計算機病毒管理
執行維護部門需指定專人負責計算機病毒的防範工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
第十條專用計算機管理
營業用計算機未經有關部門允許不準安裝其它軟體、不準使用來歷不明的載體(包括軟盤、光碟、行動硬碟等)。
第三章附則
第十一條本制度自20xx年6月1日起執行。
第十二條本制度由技術管理部負責制定、解釋和修改。
