在充滿活力,日益開放的今天,接觸到制度的地方越來越多,制度具有使我們知道,應該做什麼,不應該做什麼,懲惡揚善、維護公平的作用。那麼你真正懂得怎麼制定制度嗎?以下是小編幫大家整理的信息安全管理制度,僅供參考,歡迎大家閱讀。
一、中小學校園網是學校現代化發展重要組成部份,是學校數字化教育資源中心、信息發佈交流技術平臺,是全面實施素質教育和新課程改革的重要場所,務必高度重視、規範管理、發揮效益。
二、中小學校園網要按照教育部《中小學校園網建設指導意見》設計和建設,裝備調溫、調溼、穩壓、接地、防雷、防火、防盜等設備。
三、中小學校園網涉及網絡技術設備管理與維護、網絡線路管理與維護,終端用戶管理與監控,教育資源管理與開發、網絡信息管理與安全、教學管理與效益等技術性強、安全性要求高的具體業務工作,務必設置管理機構,校級領導主管,配置精通計算機及網絡技術、電子維修技術,具備教師職業道德、熱愛本職工作的專業技術人員從事管理工作。
四、中小學校園網是學校的公共基礎設施和固定資產,未經學校批准,任何部門和個人不得隨意拆卸或改動佈線結構;不得移動或改動網絡設備位置;不得干擾、破壞網絡正常運行。所有設備、成套軟件納入固定資產規範管理。
五、校園網所有用戶應以實名字註冊,對自己所發佈信息負全責,接受上級部門與公安部門依法監督檢查。不得盜用他人賬號,不得在校園網上發佈不健康、非法信息,不得散佈計算機病毒、傳播黑客程序、濫用網絡遊戲。學生用戶要嚴格遵守《全國青少年網絡文明公約》。
六、網絡中心應全天24小時開機,設備和線路出現故障,應及時維修處理,確保網絡設備安全運轉。
七、嚴禁在辦公時間內上網聊天、玩遊戲、觀看與工作無關的視頻信息。
八、非中心機房工作人員不得隨意進入中心機房,不得以任何方式試圖登陸校園網後臺管理端,不得對服務器等設備進行修改、設置、刪除等操作。
九、管理人員應監視並記錄服務器系統運行情況,隨時屏蔽有害網頁,出現異常情況應根據需要立即關閉服務器系統,及時處理。出現危急情況,應立即報告學校領導和相關主管部門。監視電壓、電流、溼溫度等環境條件;監視運行的作業和信息傳輸情況;填寫中心機房工作日誌。
十、爲了確保中心機房的安全,應逐步實現網管人員對服務器的遠程操作。定期更換服務器口令;工作人員不得隨意泄漏口令。不得將系統特權授予普通用戶,不得隨意轉給他人;對過期用戶應及時收回所授予的權力。
十一、學校重要數據不得外泄,重要數據的輸入及修改應按權限、由專人完成,並作加密處理。
十二、收集整理網管中心技術檔案。妥善保存備份資源。打印涉密資料應按權限保存,廢棄資料應及時銷燬。
十三、網管人員在工作時,應嚴格遵守安全規程,實行安全巡查值班制度,嚴防漏電、着火、雷擊、被盜、磁化、系統崩潰、病毒攻擊、黑客入侵等不安全事故發生。危險品及可燃品不得帶入機房。
十四、中心機房不會客、不做與網絡安全運行與維護無關的事情。機房的設備與軟件不隨意外借。
1.總則
1.1目的:
爲加強公司作風建設,宣傳廉潔文化,預防利用職務及職權謀取不正當利益。同時做好公司信息的安全和保密工作,使公司所擁有的信息在經營活動中充分利用,保護公司的利益不受侵害,樹立健康積極的企業文化形象,特制定本管理制度。
1.2適用範圍:
本制度適用於公司所有在職員工。
1.3定義:
廉潔:清白高潔,不貪污,從不使用公家的錢來養活自己(不貪污),就是指人生光明磊落的態度和誠信,正直的風氣。
信息安全:信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行。
業務單位:與公司有一切業務(含但不限於供貨、施工、促銷合作等關係)往來或聯繫的單位或個人。
1.4職責權限
3.1總經辦負責廉潔文化建設方向的指引,對公司的信息安全管理具有監督和最後裁決權。
3.2監察部負責監督和執行廉潔與信息安全管理規定,接受全體員工的舉報和監督,對舉報和違規情況進行調查覈實。
3.3行政部負責廉潔文化和信息安全意識的宣傳和教育,接收和申報處理公司員工收受和外部財物。
3.4信息部負責公司所有文件資料的分類存檔和保存,對電子存檔資料進行定期整理和備份,並做好文件防盜和密碼保護工作。
3.5各部門:具有共同維護公司廉潔文化建設和信息保密工作的權利,都有保守公司祕密的義務,對公司廉潔和信息安全管理規定具有監督和舉報權。
2.主要內容:
2.1廉潔自律規定
2.1.1不準收受任何業務單位的個人現金、購物卡券、有價證券和支付憑證。
2.1.2因各種原因未能拒收業務單位的,必須及時向公司行政部申報統一處理。具體需申報的情況如下:
業務單位不回收的樣品和商品贈品;
業務單位節假日饋贈的禮品、禮籃等;
業務單位贈送的其他具有實際價值實物、活動等。
業務單位組織的集體考察、學習、旅遊等外出活動;
業務單位贈送的無法拒絕的各類現金、購物卡券、有價證券和支付憑證;
2.1.3不準向業務單位及其個人借貸錢物。
2.1.4不準在各業務單位報銷應由個人支付的有關票據。
2.1.5不借業務辦理之機,對各業務單位吃、卡、拿、要。
4.1.6禁止利用職權和職務上的便利和影響爲親友及身邊工作人員謀取利益。
2.1.7工作中不弄虛作假,按規定收集整理好各類基礎資料,不做假帳或帳外賬。
2.1.8不準用公款支付個人名義的宴請。公關或業務接待必須經總經辦批准後在合理的範圍內進行。
2.1.9不準接受可能對商品和設備供應價格、工程施工價格的業務合作行爲產生影響的錢、物饋贈和宴請。
2.1.10不準爲謀取不正當的利益,在經濟往來中違反有關規定,以各種名義收取回扣、中介費、手續費等歸個人所有。
2.1.11不借出差、考察、學習之機利用公款進行旅遊娛樂活動,或接受可能影響公正辦理業務的宴請、禮品饋贈或其他服務。
2.1.12嚴禁以虛報、謊報等手段獲取榮譽;以虛報、謊報等手段獲取的榮譽、職稱及其他利益予以取消或者糾正。
2.2信息安全
2.2.1公開信息:公司已對外公開發布的信息,如公司宣傳冊、產品或公司介紹視頻等。
2.2.2保密信息:公司僅允許在一定範圍內發佈的信息,一旦泄露,將可能給公司或相關方造成不良影響。比如公司投資計劃等。
2.2.3根據信息價值、影響及發放範圍的不同,公司將保密信息劃分爲絕密、機密、祕密、內部公開四個級別。
絕密信息:關係公司前途和命運的公司最重要、最敏感的信息,對公司根本利益有着決定性影響的保密信息,如:公司訂單,重大投資決議等。
機密信息:公司重要祕密,一旦泄露將使公司利益受到嚴重損害的保密信息如:未發佈的任命文件,公司財務分析報告等文件。
祕密信息:公司一般性信息,但一旦泄露會使公司利益受到損害的保密信息,如:人事檔案,供應商選擇評估標準等文件。
內部公開:僅在公司內部公開或僅在公司某一個部門內公開,對外泄露可能會使公司利益造成損害的保密信息的保密信息,如:年度培訓計劃,員工手冊,各種規章制度等。
2.2.4公司保密信息包括但不限於以下內容:
公司經營發展決策中的祕密事項;
專有技術,專利技術、技術圖紙;
生產細則、工程BOM、SOP及治具資料;
人事決策中的祕密事項;
重要的合同、客戶和合作渠道;
招標項目的標底、合作條件、貿易條件;
財務信息,公司非向公衆公開的財務情況、銀行賬戶賬號;
董事會或總經理確定應當保守的公司其他祕密事項。
2.2.5除公司已經正式對外公開發布的信息外,任何單位和個人不得從事以下活動:
利用信息網絡系統製作、傳播、複製有害信息;
未經允許使用他人在信息網絡系統中未公開的信息;
未經授權對網絡(內部信息平臺)系統中存儲、處理或傳輸的信息(包括系統文件和應用程序)進行增加、修改、複製和刪除等;
未經授權查閱他人郵件;
盜用他人名義發送電子郵件;
故意干擾網絡(內部信息平臺)的暢通運行;
從事其他危害信息網絡(內部信息平臺)系統安全的活動。
2.2.6公司保密信息應根據需要,限於一定範圍的員工接觸。接觸公司祕密的員工,未經批准不準向他人泄露。非接觸公司祕密的員工,不準打聽公司祕密。
2.3違規追責處理
2.3.1公司所有員工一經任何人發現或內外部舉報有違廉潔自律的行爲,公司將組織相關部門進行調查覈實,一經查證,將追究責任人所造成的責任損失,並進行違規處罰,對造成公司重大經濟損失且情節嚴重的,將移交公安機關進行立案處理。
2.3.2除公司公開的信息外,任何人將公司的保密信息以任何形式(口頭傳達、電子郵件、上傳網絡、存儲拷貝、拍照影印、複印資料)對外泄露或散佈出去的,公司將從源頭上追究信息泄密者,經查實後立即根據情節輕重進行追責處理。因信息泄密造成公司經濟損失或形象受損時,將依法移交司法機關進行處理。
3.附則
3.1本制度最終解釋權歸xx有限公司所有。
3.2本制度自20xx年8月9日起實行,暫定實施1年。
爲了規範網吧管理中對網吧人員的管理,於是網吧制定了網吧人員管理制度,而爲了網吧信息安全,所以網吧則制定了網吧信息安全管理制度,以下則是相關網吧制定的網吧信息安全管理制度的內容。
第一條應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,爲上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網吧製作、下載、複製、查閱、發佈、傳播或者以其他方式使用含有下列內容的信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)泄露國家祕密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散佈謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第三條上網消費者不得進行下列危害信息網絡安全的活動:
(一)故意製作或者傳播計算機病毒以及其他破壞性程序的;
(二)非法侵入計算機信息系統或者破壞計算機信息系統功能、數據和應用程序的;
(三)進行法律、行政法規禁止的其他活動的。
第四條應當通過依法取得經營許可證的互聯網接入服務提供者接入互聯網,不得采取其他方式接入互聯網。
網吧內所有計算機必須通過局域網的方式接入互聯網,不得直接接入互聯網。
第五條上網消費者不得利用網絡遊戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第二條、第三條、第六條所列行爲或者有其他違法行爲的,應當立即予以制止並在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網絡文化經營許可證》和營業執照。
第九條未成年人不得進入本網吧。在網吧入口處的顯著位置懸掛未成年人禁入標誌。
第十條每日營業時間限於10時至2時。
第十一條對上網消費者的身份證等有效證件進行覈對、登記,並記錄有關上網信息。登記內容和記錄備份保存時間不得少於60日,並在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在保存期內不得修改或者刪除。
第十二條依法履行信息網絡安全、治安和消防安全職責,並遵守下列規定:
(一)禁止明火照明和吸菸並懸掛禁止吸菸標誌;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
爲了加強對網吧的管理,規範網吧的經營,維護公衆和網吧的合法權益,保障網吧活動健康發展,促進社會主義精神文明建設,根據《互聯網上網服務營業場所管理條例》制定了以上的網吧信息安全管理制度。
一、計算機安全管理
1、醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統。嚴禁暴力使用計算機或蓄意破壞計算機軟硬件。
2、未經許可,不得擅自拆裝計算機硬件系統,若須拆裝,則通知信息科技術人員進行。
3、計算機的軟件安裝和卸載工作必須由信息科技術人員進行。
4、計算機的使用必須由其合法授權者使用,未經授權不得使用。
5、醫院計算機僅限於醫院內部工作使用,原則上不許接入互聯網。因工作需要接入互聯網的,需書面向醫務科提出申請,經簽字批准後交信息科負責接入。接入互聯網的計算機必須安裝正版的反病毒軟件。並保證反病毒軟件實時升級。
6、醫院任何科室如發現或懷疑有計算機病毒侵入,應立即斷開網絡,同時通知信息科技術人員負責處理。信息科應採取措施清除,並向主管院領導報告備案。
7、醫院計算機內不得安裝遊戲、即時通訊等與工作無關的軟件,儘量不在院內計算機上使用來歷不明的移動存儲工具。
二、網絡使用人員行爲規範
1、不得在醫院網絡中製作、複製、查閱和傳播國家法律、法規所禁止的信息。
2、不得在醫院網絡中進行國家相關法律法規所禁止的活動。
3、未經允許,不得擅自修改計算機中與網絡有關的設置。
4、未經允許,不得私自添加、刪除與醫院網絡有關的軟件。
5、未經允許,不得進入醫院網絡或者使用醫院網絡資源。
6、未經允許,不得對醫院網絡功能進行刪除、修改或者增加。
7、未經允許,不得對醫院網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。
8、不得故意製作、傳播計算機病毒等破壞性程序。
9、不得進行其他危害醫院網絡安全及正常運行的活動。
三、 網絡硬件的管理網絡硬件包括服務器、路由器、交換機、通信線路、不間斷供電設備、機櫃、配線架、信息點模塊等提供網絡服務的設施及設備。
1、各職能部門、各科室應妥善保管安置在本部門的網絡設備、設施及通信。
2、不得破壞網絡設備、設施及通信線路。由於事故原因造成的網絡連接中斷的,應根據其情節輕重予以處罰或賠償。
3、未經允許,不得中斷網絡設備及設施的供電線路。因生產原因必須停電的,應提前通知網絡管理人員。
4、不得擅自挪動、轉移、增加、安裝、拆卸網絡設施及設備。特殊情況應提前通知網絡管理人員,在得到允許後方可實施。
四、軟件及信息安全
1、計算機及外設所配軟件及驅動程序交網絡管理人員保管,以便統一維護和管理。
2、管理系統軟件由網絡管理人員按使用範圍進行安裝,其他任何人不得安裝、複製、傳播此類軟件。
3、網絡資源及網絡信息的使用權限由網絡管理人員按醫院的有關規定予以分配,任何人不得擅自超越權限使用網絡資源及網絡信息。
4、網絡的使用人員應妥善保管各自的密碼及身份認證文件,不得將密碼及身份認證文件交與他人使用。
5、任何人不得將含有醫院信息的計算機或各種存儲介質交與無關人員。更不得利用醫院數據信息獲取不正當利益。
目錄
信息安全管理制度...................................................................................................... 2
第一項計算機管理制度............................................................................................ 4
第二項機房管理制度................................................................................................ 5
第三項網絡安全管理制度........................................................................................ 8
第四項計算機病毒防治管理制度..........................................................................10
第五項密碼安全保密制度......................................................................................12
第六項病毒檢測和網絡安全漏洞檢測制度..........................................................13
第七項違法使用網絡..............................................................................................14
第八項網絡資源管理..............................................................................................15
信息安全管理制度
爲維護公司信息安全,保證公司網絡環境的穩定,特制定本制度。
第一條信息安全是指通過各種計算機、網絡(內部信息平臺)和密碼技術,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。
1、信息處理和傳輸系統的安全。系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護,避免因爲系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。
2、信息內容的安全。側重於保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測,採取技術措施對所發現的漏洞進行補救,防止竊取、冒充信息等。
3、信息傳播安全。要加強對信息的審查,防止和控制非法、有害的信息通過本公司的信息網絡(內部信息平臺)系統傳播,避免對公司利益、公共利益以及個人利益造成損害。
第二條信息的內部管理
1、各部門在向網絡(內部信息平臺)系統提交信息前要作好查毒、殺毒工作,確保信息文件無毒上載;
2、根據情況,採取網絡(內部信息平臺)病毒監測、查毒、殺毒等技術措施,提高網絡(內部信息平臺)的整體搞病毒能力;
3、各信息應用部門對本部門所負責的信息必須作好備份;
4、各部門應對本部門的信息進行審查,網站各欄目信息的負責部門必須對發佈信息制定審查制度,對信息來源的合法性,發佈範圍,信息欄目維護的負責人等作出明確的規定。信息發佈後還要隨時檢查信息的完整性、合法性;如發現被刪改,應及時向信息安全部門報告;
5、涉密文件不可放置個人計算機中,非涉密電子郵件的收發也要實行病毒查殺。
第四條信息加密
1、涉及公司祕密的信息,其電子文檔資料應當在涉密介質中加密單獨存儲;
2、涉及公司和部門利益的敏感信息的電子文檔資料應當在涉密介質中加密單獨存儲;
第五條任何部門和個人不得從事以下活動:
1、利用信息網絡系統製作、傳播、複製有害信息;
2、入侵他人計算機;
3、未經允許使用他人在信息網絡系統中未公開的信息;
4、未經授權對網絡(內部信息平臺)系統中存儲、處理或傳輸的信息(包括系統文件和應用程序)進行增加、修改、複製和刪除等;
5、未經授權查閱他人郵件;
6、盜用他人名義發送電子郵件;
7、故意干擾網絡(內部信息平臺)的暢通運行;
8、從事其他危害信息網絡(內部信息平臺)系統安全的活動。
第六條本制度自發布之日起施行,凡與本制度有衝突的均以本制度爲準。
第一項計算機管理制度
爲保證計算機的正常運行,確保計算機安全運行,制定本制度。
一、管理範圍劃分
本公司計算機分爲涉密和非涉密兩部分,涉密計算機指主要用於儲存或傳輸有關人事、財務、經濟運行、信息安全等涉及企業經營管理信息的計算機。非涉密計算機指用於儲存或傳輸日常辦公資料信息計算機。信息技術部、關務部、財務部計算機按照涉密要求進行管理。
二、非涉密計算機日常管理
1、各部門的計算機,操作人爲管理第一責任人,承擔公司計算機操作的管理、保密和安全,以防止誤操作造成系統紊亂、文件丟失等故障。
2、計算機主要是用於業務數據的處理及信息傳輸,提高工作效率。嚴禁上班時間用計算機玩遊戲及運行一切與工作無關的軟件。
3、新購的計算機、初次使用的軟件、數據載體應經我部計算機管理員檢測,確認無病毒和有害數據後,方可投入使用。
4、計算機操作人員發現本部門的計算機感染病毒,應立即中斷運行,並與計算機管理員聯繫及時消除。
5、愛護機關計算機設備,保持計算機設備的乾淨整潔。
三、涉密計算機日常管理
1、涉密的計算機內的重要文件由專人集中加密保存,不得隨意複製和解密,未經加密的重要文件不能存放在與國際聯網的計算機上。
2、對需要保存的涉密信息,可到信息安全科轉存到光盤或其他可移動的介質上。存儲涉密信息的介質應當按照所存儲信息的最高密級標明密級,並按相應密級的文件管理。
3、對信息載體(軟盤、光盤等)及計算機處理的業務報表、技術數據、圖紙要有專人負責保存,按規定使用、借閱、移交、銷燬。
四、其他
對違反以上規定的行爲視情節輕重,由公司行政部進行處罰,並追究有關人員的責任。
第一章 總則
第一條 爲加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)
安全保密管理,確保國家祕密及商業祕密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。
第三條 涉密信息系統的建設和應用要本着“預防爲主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家祕密信息安全。
第四條 涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入使用。
第五條 本規定適用於公司所有計算機和信息系統安全保密管理工作。
第二章 管理機構與職責
第六條 公司法人代表是涉密信息系統安全保密第一責任人,確保涉密信息系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條 公司保密委員會是涉密信息系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防範措施,並監督檢查落實情況;
(二)協調處理有關涉密信息系統安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條 成立公司涉密信息系統安全保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位爲成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密信息系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密信息系統安全保密管理制度,並組織落實各項保密防範措施;
(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統用戶的職責和權限,並備案;
(三)組織對涉密信息系統進行安全保密監督檢查和風險評估,提出涉密信息系統安全運行的保密要求;
(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權使用的審查,建立涉密信息系統安全評估制度,每年對涉密信息系統安全措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的安全保密產品進行准入審查和規範管理,對涉密信息系統進行安全保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審覈;
(七)組織查處涉密信息系統失泄密事件。
第十條
科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統安全保密領導
小組批准後組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統管理員、安全保密管理員和安全審計員,並制定相應的職責; “三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防範措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)配合保密辦對涉密信息系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案並組織演練,落實應急措施,處理信息安全突發事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。
第十二條 相關業務部門、單位主要職責:涉密信息系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密信息系統各項安全防範措施;準確確定應用系統密級,制定並落實相應的二級保密管理制度。
第十三條 涉密信息系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統操作行爲進行安全審計跟蹤分析和監督檢查,以及時發現違規行爲,並每月向涉密信息系統安全保密領導小組辦公室彙報一次情況。
第三章 系統建設管理
第十四條 規劃和建設涉密信息系統時,按照涉密信息系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密信息系統規劃和建設的`安全保密方案,應由具有“涉及國家祕密的計算機信息系統集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批後方可實施。
第十六條 涉密信息系統規劃和建設實施時,應由具有“涉及國家祕密的計算機信息系統集成資質”的機構實施或自行實施,並與實施方簽署保密協議,項目竣工後必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統要採取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。
第四章 信息管理
第一節 信息分類與控制
第十八條 涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理高於涉密信息系統密級的涉密信息。
第十九條 涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密,並按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、彙總,並在保密辦備案。
第二十條 涉密信息系統應建立安全保密策略,並採取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須採取密碼保護措施。
第二十一條 向涉密信息系統以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節 用戶管理與授權
第二十三條 根據本部門、單位使用涉密信息系統的密級和實際工作需要,確定人員知悉範圍,以此作爲用戶授權的依據。
第二十四條 用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計覈算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審覈,科技信息部、保密辦審批後,由科技信息部備案並統一建立用戶;“財務會計覈算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,覈准後由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計覈算網”密辦審覈,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。
第六十五條 上網信息實行“誰上網誰負責”的保密管理原則,信息上網必須經過嚴格審查和批准,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發佈、談論、傳遞、轉發或抄送國家祕密信息。
第六十七條 從國際互聯網或其它公衆信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批後,按照信息交換及中間轉換機管理規定執行。
第九章 便攜式計算機管理
第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案後方可使用。
第七十條 便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第七十二條 涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,並與涉密便攜式計算機分離保管。
第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查後方可帶出公司,返回時須進行技術檢查。
第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條 爲有效預防和處置涉密信息系統安全突發事件,及時控制和消除涉密信息系統安全突發事件的危害和影響,保障涉密信息系統的安全穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統安全保密領導小組審批後實施。
第七十七條 應急響應預案用於涉密信息系統安全突發事件。突發事件分爲系統運行安全事件和泄密事件,根據事件引發原因分爲災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障數據安全和設備安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤並鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照事件發生的性質分別採用以下方案:1、病毒傳播:及時尋找並斷開傳播源,判斷病毒的類型、性質、可能的危害範圍。爲避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找並公佈病毒攻擊信息,以及殺毒、防禦方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對於已經造成危害的,應立即採用斷開網絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對於無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網絡故障:判斷故障發生點和故障原因,能夠迅速解決的儘快排除故障,並優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時諮詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發事件的性質、影響範圍和造成的損失,將涉密信息系統安全突發事件分爲特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司信息安全領導小組報告並提請協調處置;
(三)重大事件啓動應急響應預案,對突發事件進行處置,及時向公司黨政報告並提請協調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。
第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果並書面確認安全後,系統方能重新運行;
(九)對事件類型、響應、影響範圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,並對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,並記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少於1次的全員信息安全保密知識技能教育與培訓,並記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,並將其保管的涉密設備、存儲介質全部清退並辦理移交手續。
第八十三條 承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,並接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,並通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況,納入保密自查、考覈的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考覈及獎懲規定執行。
第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(20xx)廠1911號]、《涉密計算機採購、維修、變更、報廢保密管理規定》[制度編號:(20xx)廠1925號]、《國際互聯網信息發佈保密管理規定》[制度編號:(20xx)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(20xx)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(20xx)0935號]同時廢止。
一、一般規定
1、未經網管批准,任何人不得改變網絡(內部信息平臺)拓撲結構、網絡(內部信息平臺)設備佈置、服務器、路由器配置和網絡(內部信息平臺)參數。
2、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據。
3、機關局域網上任何人不得利用計算機技術侵佔用戶合法利益,不得製作、複製和傳播妨害單位穩定的有關信息。
4、各部門應定期對本科室計算機系統和相關業務數據進行備份以防發生故障時進行恢復。
二、帳號管理
1、網絡(內部信息平臺)帳號採用分組管理。並詳細登記:用戶姓名、部門名稱、口令,存取權限,開通時間,網絡(內部信息平臺)資源分配情況等。
2、網絡(內部信息平臺)管理員爲用戶設置明碼口令,用戶可以根據自己的保密情況進行修改口令,用戶應對工作站設置開機密碼和屏保密碼。
3、用戶帳號下的數據屬於用戶私有數據,當事人具有存入權限,管理員具有管理和備份存取權限。
4、網絡(內部信息平臺)管理員根據有關帳號管理規則對用戶帳號執行管理,並對用戶帳號及數據的安全和保密負責。
5、網絡(內部信息平臺)管理員必須嚴守職業道德和職業紀律,不得將任何用戶的密碼、帳號等保密信息等資料的泄露出去。
三、網絡管理員職責
1、協助制定網絡(內部信息平臺)建設方案,確定網絡(內部信息平臺)安全及資源共享策略。
2、負責公用網絡(內部信息平臺)實體,如服務器、交換機、集線器、防火牆、網線、接插件等的維護和管理。
3、負責服務器和系統軟件的安裝、維護、調整及更新。
4、負責網絡(內部信息平臺)賬號管理,資源分配,數據安全和系統安全。
5、監視網絡(內部信息平臺)運行,調整參數,調度資源,保持網絡(內部信息平臺)安全、穩定、暢通。
6、負責系統備份和網絡(內部信息平臺)數據備份,負責各部門電子數據資料的整理和歸檔。
7、保管網絡(內部信息平臺)拓撲圖接線表,設備規格及配置單,管理記錄,運行記錄,檢修記錄等網絡(內部信息平臺)資料。
8、每年對本單位網絡(內部信息平臺)的效能和各電腦性能進行評價,提出網絡(內部信息平臺)結構、技術和網絡、管理的改進措施。
四、安全管理職責
1、保障網絡(內部信息平臺)暢通和信息安全。
2、嚴格遵守公司、省、市制定的相關法律、行政法規,嚴格執行《網絡安全工作制度》,以人爲本,依法管理,確保網絡(內部信息平臺)安全有序。
3、在發生網絡(內部信息平臺)重大突發事件時,應立即報告,採取應急措施,儘快恢復網絡(內部信息平臺)正常運行。
4、充分利用現有的安全設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5、加強信息審查工作,保存,備份至少90天之內網絡信息日誌,及時加以分析,排查不安定因素,防止黃色,反動信息的傳播。
6、經常檢查網絡(內部信息平臺)工作環境的防火、防盜工作。五、電腦操作人員培訓制度
五、病毒的防治管理制度
1、任何人不得在機關的局域網上製造傳播任何計算機病毒,不得故意引入病毒。網絡(內部信息平臺)使用者發現病毒應立即向網絡管理員報告。網絡管理員及時指導和協助處理病毒。
2、各部門應定期查毒,(週期爲一週或者10天)管理員應及時升級病毒庫,並提示各部門對殺毒軟件進行在線升級。
一、遵守保密規定,嚴格控制不應公開的檔案信息。
二、保存檔案數據信息的計算機不得與公共信息網絡聯接,確需聯接時,必須通過安全保密審查。
三、加強對檔案信息網絡傳輸的管理,確保網絡和使用過程的信息安全。
四、確定專人負責計算機系統的管理工作,並設置計算機操作系統用戶口令。
五、計算機系統必須安裝防病毒卡或反病毒軟件並及時更新版本,做好防病毒工作。
六、保存檔案數據的計算機外送修理時,應將有關數據的內容清空、刪除或將硬盤摘除,並做好計算機修理情況登記。
七、應採取有效措施,保證檔案數據庫和檔案數據安全。所有數據至少複製兩套,並異地保存。
八、信息載體(如硬盤等)損壞,必須拆除後放入待鑑定室專門保存。
九、磁性載體每滿2年、光盤每滿4年應進行一次抽樣機讀檢驗,抽樣率不低於10%,如發現問題應及時採取恢復措施。
十、具有永久保存價值的文本和圖形形式的電子文件,必須同時製成紙質文件或縮微品等拷貝件一併歸檔保存。
十一、應加強對歸檔電子文件鑑定銷燬的管理。對於屬於保密範圍的歸檔電子文件,連同存儲載體一起銷燬,並在網絡上徹底刪除;對於不屬於保密範圍的歸檔電子文件進行邏輯刪除。
十二、以上各條請本單位全體幹部職工互相監督,共同遵守。對違反本制度的,按國家有關規定處理。
校園網信息發佈實行統一管理、分層負責制。網絡中心對學校主頁信息進行管理,各處室的主要負責人負責對本部門的上網資源和計算機系統進行管理。
一、網管中心負責全校的網絡信息和保密工作,定期對網絡用戶進行有關保密和網絡安全教育。
二、對外信息發佈。各處室可以申請網絡域名和ftp站點(見附件7),自行管理各部門網站信息發佈。需要在學校首頁上發佈的信息,需要填寫“網上信息發佈申請表”,審查後交由網管中心上網發佈。(網上信息發佈申請表見附件8)
三、信息的閱覽與查詢。不得查閱、複製和傳播有礙社會治安和傷風敗俗的信息。校園網工作人員和用戶如在網絡上發現有礙社會治安和不健康的信息,有義務及時上報網絡管理人員,做好備份並自覺銷燬。
四、違反本條例規定,有下列行爲之一者,校網絡中心可提出警告直至停止其使用網絡,情節嚴重者,提交學校行政部門或有關部門處理。
1.查閱、複製或傳播下列信息者:.煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實、故意散佈謠言,擾亂社會秩序公然侮辱他人或者捏造事實誹謗他人宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2.破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全活動。
3.盜用他人帳號者。
4.私自轉借、轉讓用戶帳號造成危害者。
5.故意製作、傳播計算機病毒等破壞性程序者。
6.不按國家和學院有關規定擅自接納網絡用戶者。
7.網絡中心,屬我校園網絡重地,未經許可不得進入。
1目的
爲建立一個適當的信息安全事件、薄弱點和故障報告、反應與處理機制,減少信息安全事件和故障所造成的損失,採取有效的糾正與預防措施,特制定本程序。
2範圍
本程序適用於***業務信息安全事件的管理。
3職責
3.1信息安全管理流程負責人
確定信息安全目標和方針;
確定信息安全管理組織架構、角色和職責劃分;
負責信息安全小組之間的協調,內部和外部的溝通;
負責信息安全評審的相關事宜;
3.2信息安全日常管理員
負責制定組織中的安全策略;
組織安全管理技術責任人進行風險評估;
組織安全管理技術責任人制定信息安全改進建議和控制措施;
編寫風險改進計劃;
3.3信息安全管理技術責任人
負責信息安全日常監控;
信息安全風險評估;
確定信息安全控制措施;
響應並處理安全事件。
4工作程序
4.1信息安全事件定義與分類
信息安全事件是指信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接影響(後果)的。
造成下列影響(後果)之一的,均爲一般信息安全事件。
a) ***祕密泄露;
b)導致業務中斷兩小時以上;
c)造成信息資產損失的火災;
d)損失在一萬元人民幣(含)以上的故障/事件。
造成下列影響(後果)之一的,屬於重大信息安全事件。
a)組織機密泄露;
b)導致業務中斷十小時以上;
c)造成機房設備毀滅的火災;
d)損失在十萬元人民幣(含)以上的故障/事件。
4.2信息安全事件管理流程
由信息安全管理負責人組織相關的運維技術人員根據***對信息安全的要求,確認代碼管理相關信息系統的安全需求;
對代碼管理相關信息系統進行信息安全風險評估,預測風險類型、風險發生的可能性、風險級別、潛在的業務影響,形成信息安全風險評估報告;
由信息安全日常管理員組織相關技術人員根據對根據風險評估的結果以及服務級別協議的安全需求,提出現階段的安全改進建議,並提交至信息安全管理負責人進行評估;若同意執行安全改進建議,則在變更管理的控制下實施安全建議;
信息安全日常管理員根據安全改進之後的信息系統安全現狀提出具體的安全控制措施,形成風險處置計劃;
根據風險處置計劃,實施信息安全控制措施,儘可能的降低信息和業務風險;
監視信息系統的活動並識別反常的活動和安全事件,並記錄下來,做初步的響應和處理;評估安全漏洞和不符合安全要求的任何情況,並採取必要的糾正措施;
對發現的或已發生的信息安全事件,按照信息安全事件響應程序進行處理;
每年一次或在發生重大信息安全事件時進行信息安全評審,分析信息安全事件的顯現趨勢、信息安全管理的改進等信息,並形成風險改進計劃,持續改進信息系統安全。
4.3信息安全事件事後處理措施
對於一般信息安全事件,在故障排除或採取必要措施後,相關信息安全管理職能部門會同事件責任部門,對事件的原因、類型、損失、責任進行鑑定,形成《信息安全事件報告》,報信息安全管理者代表批准;對於重大信息安全事件的處理意見還應上報信息安全管理委員會討論通過。
對於違反組織信息安全方針、程序安全規章所造成的信息安全事件責任者依據以下措施予以懲戒。
處罰方式:
一般安全事故,根據所造成的經濟損失,由***辦公室通過郵件發出正式嚴重警告。
一年內累計出現三次或三次以上的一般安全事故,報***領導批准後進行相應懲罰,並在***進行通報批評。
造成重大安全事故的,***有權將責任人調離原工作崗並給予相應懲罰。
一年內累計出現二次或二次以上的重大安全事故,***有權解除勞動合同並依法追究法律責任。
如果屬於故意行爲導致信息安全事故,***有權解除勞動合同並依法追究法律責任。
對於信息安全事故責任人的處理結果由處理部門在***範圍內予以通報。
負有信息安全事故處罰的各職能部門在確定實施處罰後,***室與被處罰部門溝通,確認責任者及處罰方式並上報***領導。
信息安全管理職能部門要求事件責任部門制定糾正措施並實施,實施結果記錄在《信息安全事件報告》。
由信息安全管理職能部門對實施情況進行跟蹤驗證,驗證結果記入《信息安全事件報告》。
4.4報告信息安全薄弱點與預防措施
***與信息安全管理有關的所有員工發現信息安全薄弱點或潛在威脅均應履行報告義務。
對以下行爲應給予獎勵:
及時發現非責任區信息安全隱患,該隱患足以導致信息安全事故的;
及時發現非責任區信息安全重大隱患,該隱患足以導致信息安全重大事故的;
及時發現並制止系統操作問題以避免設備重大損失或人員死亡的;
及時制止或報告泄露商業機密的事件以避免***重大經濟損失或及時中止正在進行中的商業泄密行爲的;
在信息安全事故中採取積極有效措施,降低損失的程度。
獎勵方式如下:
根據防止一般安全事故發生、一年內防止一般安全事故發生三次或三次以上、防止造成重大安全事故、及時中止正在進行中的商業泄密行爲、提出信息安全合理化建議等級別,報請***批准後,給予相應表揚或獎勵,並作爲年底工作考覈依據。
發現信息安全事故、薄弱點與故障的員工填寫《一般信息安全事件/薄弱點報告》,相關的代碼管理中心及信息安全實驗室進行調查後,確定是否採取預防措施,確認責任部門並實施。
5相關文件
6相關記錄
1、成立信息安全工作領導小組,並由單位主要領導擔任組長,由網絡管理人員及公文接收人員等擔任組員,全面負責本單位網絡安全工作。
2、學校所有用戶必須遵守國家、地方的有關法規,嚴格執行安全保密制度,並對所提供的信息負責。單位網絡管理人員和公文接收人員必須在信息安全領導小組的領導下,嚴格監控本單位上網信息,隨時對本單位網絡系統及信息系統進行安全檢查。
3、學校所有用戶不得利用計算機網絡從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機網絡及信息系統的安全。單位文印室、財務室電腦加強安全管理,以免造成涉密信息泄露。
4、學校所有用戶嚴禁在網絡上發佈虛假、淫穢、xxx等信息,不得使用網絡進入未經授權使用的計算機,單位辦公用計算機必須嚴格管理,制訂管理制度,落實管理人員,未經管理人員允許不得以虛假身份使用網絡資源。
5、加強對校園網新聞,信息上報、論壇言論的安全管理。對上網、上報、外傳信息要堅持單位主要領導審查,嚴格把關,落實防範措施,明確責任制,本着“誰主管,誰負責”的原則,凡涉及國家及學校祕密的信息嚴禁上網。
6、學校所有用戶必須對提供的信息負責,不得利用網絡從事危害國家安全、泄露國家機密等犯罪活動,不得製作、查閱、複製和傳播有礙社會治安和不健康的、有封建迷信、色情等內容的信息。
7、嚴禁制造和輸入計算機病毒以及其他有害數據危害計算機信息系統的安全。 不允許進行任何干擾網絡用戶、破壞網絡服務和破壞網絡設備的活動。
8、一經發現校園網或局域網內有違法犯罪行爲和有害的、不健康的信息,必須立即上報信息安全領導小組,不得隱瞞。
第一章 總 則
第一條 爲加強郵政行業寄遞服務用戶個人信息安全管理,保護用戶合法權益,維護郵政通信與信息安全,促進郵政行業健康發展,根據《中華人民共和國郵政法》、《全國人大常委會關於加強網絡信息保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定,制定本規定。
第二條 在中華人民共和國境內經營和使用寄遞服務涉及用戶個人信息安全的活動以及相關監督管理工作,適用本規定。
第三條 本規定所稱寄遞服務用戶個人信息(以下簡稱寄遞用戶信息),是指用戶在使用寄遞服務過程中的個人信息,包括寄(收)件人的姓名、地址、身份證件號碼、電話號碼、單位名稱,以及寄遞詳情單號、時間、物品明細等內容。
第四條 寄遞用戶信息安全監督管理堅持安全第一、預防爲主、綜合治理的方針,保障用戶個人信息安全。
第五條 國務院郵政管理部門負責全國郵政行業寄遞用戶信息安全監督管理工作。
省、自治區、直轄市郵政管理機構負責本行政區域內的郵政行業寄遞用戶信息安全監督管理工作。
按照國務院規定設立的省級以下郵政管理機構負責本轄區的郵政行業寄遞用戶信息安全監督管理工作。
國務院郵政管理部門和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構,統稱爲郵政管理部門。
第六條 郵政管理部門應當與有關部門相互配合,健全寄遞用戶信息安全保障機制,維護寄遞用戶信息安全。
第七條 郵政企業、快遞企業及其從業人員應當遵守國家有關信息安全管理的規定及本規定,防止寄遞用戶信息泄露、丟失。
第二章 一般規定
第八條 郵政企業、快遞企業應當建立健全寄遞用戶信息安全保障制度和措施,明確企業內部各部門、崗位的安全責任,加強寄遞用戶信息安全管理和安全責任考覈。
第九條 以加盟方式經營快遞業務企業應當在加盟協議中訂立寄遞用戶信息安全保障條款,明確被加盟人與加盟人的安全責任。加盟人發生信息安全事故時,被加盟人應當依法承擔相應安全管理責任。
第十條 郵政企業、快遞企業應當與其從業人員簽訂寄遞用戶信息保密協議,明確保密義務和違約責任。
第十一條 郵政企業、快遞企業應當組織從業人員進行寄遞用戶信息安全保護相關知識、技能培訓,加強職業道德教育,不斷提高從業人員的法制觀念和責任意識。
第十二條 郵政企業、快遞企業應當建立寄遞用戶信息安全投訴處理機制,公佈有效聯繫方式,接受並及時處理有關投訴。
第十三條 郵政企業、快遞企業受網絡購物、電視購物和郵購等經營者委託提供寄遞服務的,在與委託方簽訂協議時,應當訂立寄遞用戶信息安全保障條款,明確信息使用範圍和方式、信息交換安全保護措施、信息泄露責任劃分等內容。
第十四條 郵政企業、快遞企業委託第三方錄入寄遞用戶信息的,應當確認其具有信息安全保障能力,並訂立信息安全保障條款,明確責任劃分。第三方發生信息安全事故導致寄遞用戶信息泄露、丟失的,郵政企業、快遞企業應當依法承擔相應責任。
第十五條 未經法律明確授權或者用戶書面同意,郵政企業、快遞企業及其從業人員不得將其掌握的寄遞用戶信息提供給任何單位或者個人。
第十六條 公安機關、國家安全機關或者檢察機關的工作人員依照法律規定程序調閱、檢查寄遞詳情單實物及電子信息檔案,郵政企業、快遞企業應當配合,並對有關情況予以保密。
第十七條 郵政企業、快遞企業應當建立寄遞用戶信息安全應急處置機制。對於突發的寄遞用戶信息安全事故,應當立即採取補救措施,按照規定報告郵政管理部門,並配合郵政管理部門和相關部門的調查處理工作,不得遲報、漏報、謊報、瞞報。
第三章 寄遞詳情單實物信息安全管理
第十八條 郵政企業、快遞企業應當加強寄遞詳情單管理,對空白寄遞詳情單發放情況進行登記,對號段進行全程跟蹤,形成跟蹤記錄。
第十九條 郵政企業、快遞企業應當加強營業場所、處理場所管理,嚴禁無關人員進出郵件(快件)處理、存放場地,嚴禁無關人員接觸、翻閱郵件(快件),防止寄遞詳情單實物信息(以下簡稱實物信息)在處理過程中泄露。
第二十條 郵政企業、快遞企業應當優化寄遞處理流程,減少接觸實物信息的處理環節和操作人員。
第二十一條 郵政企業、快遞企業應當採用有效技術手段,防止實物信息在寄遞過程中泄露。
第二十二條 郵政企業、快遞企業應當配備符合國家標準的安全監控設備,安排具有專門技術和技能的人員,對收寄、分揀、運輸、投遞等環節的實物信息處理進行安全監控。
第二十三條 郵政企業、快遞企業應當建立健全寄遞詳情單實物檔案管理制度,實行集中封閉管理,確定集中存放地,及時回收寄遞詳情單妥善保管。設立、變更集中存放地,應當及時報告所在地郵政管理部門。
第二十四條 郵政企業、快遞企業應當對寄遞詳情單實物檔案集中存放地設專人管理,採取必要的安全防護措施,確保存儲安全。
第二十五條 郵政企業、快遞企業應當建立並嚴格執行寄遞詳情單實物檔案查詢管理制度。內部人員因工作需要查閱檔案時,應當確保檔案完整無損,並做好查閱登記,不得私自攜帶離開存放地。
第二十六條 寄遞詳情單實物檔案應當按照國家相關標準規定的期限保存。保存期滿後,由企業進行集中銷燬,做好銷燬記錄,嚴禁丟棄或者販賣。
第二十七條 郵政企業、快遞企業應當對實物信息安全保障情況進行定期自查,記錄自查情況,及時消除自查中發現的信息安全隱患。
第四章 寄遞詳情單電子信息安全管理
第二十八條 郵政企業、快遞企業應當按照國家規定,加強寄遞服務用戶信息相關信息系統和網絡設施的安全管理。
第二十九條 郵政企業、快遞企業信息系統的網絡架構應當符合國家信息安全管理規定,合理劃分安全區域,實現各安全區域之間有效隔離,並具有防範、監控和阻斷來自內部和外部網絡攻擊破壞的能力。
第三十條 郵政企業、快遞企業應當配備必要的防病毒軟件、硬件,確保信息系統和網絡具有防範計算機病毒的能力,防止惡意代碼破壞信息系統和網絡,避免信息泄露或者被篡改。
第三十一條 郵政企業、快遞企業構建信息系統和網絡,應當避免使用信息系統和網絡供應商提供的默認密碼、安全參數,並對通過開放公共網絡傳輸的寄遞用戶信息採取加密措施,嚴格審查並監控對信息系統、網絡設備的遠程訪問。
第三十二條 郵政企業、快遞企業在採購計算機軟件、硬件產品或者技術服務時,應當與供應商簽訂保密協議,明確其安全責任,以及在發生信息安全事件時配合郵政管理部門和相關部門調查的義務。
第三十三條 郵政企業、快遞企業應當建立信息系統安全內部審計制度,定期開展內部審計,對發現的問題及時整改。
第三十四條 郵政企業、快遞企業應當加強信息系統及網絡的權限管理,基於權限最小化和權限分離原則,向從業人員分配滿足工作需要的最小操作權限和可訪問的最小信息範圍。
郵政企業、快遞企業應當加強對信息系統和數據庫的管理,使網絡管理人員僅具有進行信息系統、數據庫、網絡運行維護和優化的權限。網絡管理人員的維護操作須經安全管理員授權,並受到安全審計員的監控和審計。
第三十五條 郵政企業、快遞企業應當加強信息系統密碼管理,使用高安全級別密碼策略,定期更換密碼,禁止將密碼透露給無關人員。
第三十六條 郵政企業、快遞企業應當加強寄遞用戶電子信息的存儲安全管理,包括:
(一)使用獨立物理區域存儲寄遞用戶信息,禁止非授權人員進出該區域;
(二)採用加密方式存儲寄遞用戶信息;
(三)確保安全使用、保管和處置存有寄遞用戶信息的計算機、移動設備和移動存儲介質。明確管理數據存儲設備、介質的負責人,建立設備、介質使用和借用登記制度,限制設備輸出接口的使用。存儲設備和介質報廢的,應當及時刪除其中的寄遞用戶信息數據,並銷燬硬件。
第三十七條 郵政企業、快遞企業應當加強寄遞用戶信息的應用安全管理,對所有批量導出、複製、銷燬用戶個人信息的操作進行審查,並採取防泄密措施,同時記錄進行操作的人員、時間、地點和事項,留作信息安全審計依據。
第三十八條 郵政企業、快遞企業應當加強對離崗人員的信息安全審計,及時刪除或者禁用離崗人員系統賬戶。
第三十九條 郵政企業、快遞企業應當制定本企業與市場相關主體的信息系統安全互聯技術規則,對存儲寄遞服務信息的信息系統實行接入審查,定期進行安全風險評估。
第五章 監督管理
第四十條 郵政管理部門依法履行下列職責:
(一)制定保障寄遞用戶信息安全的政策、制度和相關標準,並監督實施;
(二)監督、指導郵政企業、快遞企業落實信息安全責任制,督促企業加強寄遞用戶信息安全管理;
(三)對寄遞用戶信息安全進行監測、預警和應急管理;
(四)監督、指導郵政企業、快遞企業開展寄遞用戶信息安全宣傳教育和培訓;
(五)依法對郵政企業、快遞企業實施寄遞用戶信息安全監督檢查;
(六)組織調查或者參與調查寄遞用戶信息安全事故,依法查處違反寄遞用戶信息安全管理規定的行爲;
(七)法律、行政法規和規章規定的其他職責。
第四十一條 郵政管理部門應當加強郵政行業寄遞用戶信息安全管理制度和知識的宣傳,強化郵政企業、快遞企業及其從業人員的信息安全管理意識,提高用戶對個人信息安全保護的認識。
第四十二條 郵政管理部門應當加強郵政行業寄遞用戶信息安全運行的監測預警,建立信息管理體系,收集、分析與信息安全有關的各類信息。
下級郵政管理部門應當及時向上一級郵政管理部門報告郵政行業寄遞用戶信息安全情況,並根據需要通報工業和信息化、通信管理、公安、國家安全、商務和工商行政管理等相關部門。
第四十三條 郵政管理部門應當對郵政企業、快遞企業建立和執行寄遞用戶信息安全管理制度,規範從業人員信息安全保護行爲,防範信息安全風險等情況進行檢查。
第四十四條 郵政管理部門發現郵政企業、快遞企業存在違反寄遞用戶信息安全管理規定,妨害或者可能妨害寄遞用戶信息安全的,應當依法進行調查處理。違法行爲涉及其他部門管理職權的,郵政管理部門應當會同有關部門對涉案郵政企業、快遞企業進行調查處理。
第四十五條 郵政管理部門應當加強對郵政企業、快遞企業及其從業人員遵守本規定情況的監督檢查。
第四十六條 郵政企業、快遞企業拒不配合寄遞用戶信息安全監督檢查的,依照《中華人民共和國郵政法》第七十七條的規定予以處罰。
第四十七條 郵政企業、快遞企業及其從業人員因泄露寄遞用戶信息對用戶造成損失的,應當依法予以賠償。
第四十八條 郵政企業、快遞企業及其從業人員違法提供寄遞用戶信息,尚未構成犯罪的,依照《中華人民共和國郵政法》第七十六條的規定予以處罰。構成犯罪的,移送司法機關追究刑事責任。
第四十九條 任何單位和個人有權向郵政管理部門舉報違反本規定的行爲。郵政管理部門接到舉報後,應當依法及時處理。
第五十條 郵政管理部門可以在行業內通報郵政企業、快遞企業違反寄遞用戶信息安全管理規定行爲、信息安全事件,以及對有關責任人員進行處理的情況。必要時可以向社會公佈上述信息,但涉及國家祕密、商業祕密和個人隱私的除外。
第五十一條 郵政管理部門及其工作人員對在履行職責過程中知悉的寄遞用戶信息應當保密,不得泄露、篡改或者損毀,不得出售或者非法向他人提供。
第五十二條 郵政管理部門工作人員在寄遞用戶信息安全監督管理工作中濫用、玩忽職守,依照《郵政行業安全監督管理辦法》第五十五條的規定予以處理。
第六章 附 則
第五十三條 本規定自發布之日起施行。
1.安全管理制度要求
1.1總則:爲了切實有效的保證公司信息安全,提高信息系統爲公司生產經營的服務能力,特制定交互式信息安全管理制度,設定管理部門及專業管理人員對公司整體信息安全進行管理,以確保網絡與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應包括:
a)安全崗位管理制度;
b)系統操作權限管理;
c)安全培訓制度;
d)用戶管理制度;
e)新服務、新功能安全評估;
f)用戶投訴舉報處理;
g)信息發佈審覈、合法資質查驗和公共信息巡查;
h)個人電子信息安全保護;
i)安全事件的監測、報告和應急處置制度;
j)現行法律、法規、規章、標準和行政審批文件。
1.1.2安全管理制度應經過管理層批准,並向所有員工宣貫
2.機構要求
2.1法律責任
2.1.1互聯網交互式服務提供者應是一個能夠承擔法律責任的組織或個人。
2.1.2互聯網交互式服務提供者從事的信息服務有行政許可的應取得相應許可。 3.人員安全管理
3.1安全崗位管理制度
建立安全崗位管理制度,明確主辦人、主要負責人、安全責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景覈查應按照相關法律、法規、道德規範和對應的業務要求來執行,包括:1.個人身份覈查:2.個人履歷的核查:
3.學歷、學位、專業資質證明:
4.從事關鍵崗位所必須的能力
3.2.2應與關鍵崗位人員簽訂保密協議。
3.3安全培訓
建立安全培訓制度,定期對所有工作人員進行信息安全培訓,提高全員的信息安全意識,包括:
1.上崗前的培訓;
2.安全制度及其修訂後的培訓;
3.法律、法規的發展保持同步的繼續培訓。
應嚴格規範人員離崗過程:
a)及時終止離崗員工的所有訪問權限;
b)關鍵崗位人員須承諾調離後的保密義務後方可離開;
c)配合公安機關工作的人員變動應通報公安機關。 3.4人員離崗
應嚴格規範人員離崗過程:
a)及時終止離崗員工的所有訪問權限;
b)關鍵崗位人員須承諾調離後的保密義務後方可離開;
c)配合公安機關工作的人員變動應通報公安機關。
4.訪問控制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統訪問權限管理制度。
4.2權限分配
按以下原則根據人員職責分配不同的訪問權限:
a)角色分離,如訪問請求、訪問授權、訪問管理;
b )滿足工作需要的最小權限;
c)未經明確允許,則一律禁止。
4.3特殊權限限制和控制特殊訪問權限的分配和使用:
a)標識出每個系統或程序的特殊權限;
b)按照“按需使用”、“一事一議”的原則分配特殊權限;
c)記錄特殊權限的授權與使用過程;
d)特殊訪問權限的分配需要管理層的批准。
注:特殊權限是系統超級用戶、數據庫管理等系統管理權限。
4.4權限的檢查
定期對訪問權限進行檢查,對特殊訪問權限的授權情況應在更頻繁的時間間隔內進行檢查,如發現不恰當的權限設置,應及時予以調整。
5網絡與主機系統的安全
5.1 網絡與主機系統的安全
應維護使用的網絡與主機系統的安全,包括:
a)實施計算機病毒等惡意代碼的預防、檢測和系統被破壞後的恢復措施;
b)實施7×24h網絡入侵行爲的預防、檢測與響應措施;
c)適用時,對重要文件的完整性進行檢測,並具備文件完整性受到破壞後的恢復措施;
d)對系統的脆弱性進行評估,並採取適當的措施處理相關的風險。注:系統脆弱性評估包括採用安全掃描、滲透測試等多種方式。
5.2備份5.2.1
應建立備份策略,有足夠的備份設施,確保必要的信息和軟件在災難或介質故障時可以恢復。
5.2.2 網絡基礎服務(登錄、消息發佈等)應具備容災能力。
5.3安全審計
5.3.1應記錄用戶活動、異常情況、故障和安全事件的日誌。
5.3.2審計日誌內容應包括:
a)用戶註冊相關信息,包括:
1)用戶唯一標識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4 )註冊時間、IP地址及端口號;
5)電子郵箱地址和於機號碼;
6 )用戶備註信息;7 )用戶其他信息。
b )羣組、頻道相關信息,包括:
1)創建時間、創建人、創建人IP地址及端口號;
2 )刪除時間、刪除人、刪除人IP地址及端口號;
3 )羣組組織結構;
4 )羣組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標識;2 )登錄時間;3 )退出時間;4 ) IP地址及端口號。
d )用戶信息發佈日誌,包括:1)用戶唯一標識;2 )信息標識;3)信息發佈時間;4 ) IP地址及端口號;5 )信息標題或摘要,包括圖片摘要 。
e)用戶行爲,包括:1 )進出羣組或頻道;2 )修改、刪除所發信息;3 )上傳、下載文件。
5.3.3應確保審計日誌內容的可溯源性,即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡聊天等網絡消息服務提供者應能防範僞造、隱匿發送者真實標記的消息的措施;涉及地址轉換技術的服務,如移動上網、網絡代理、內容分發等應審計轉換前後的地址與端口信息;涉及短網址服務的,應審計原始URL與短UR L之間的映射關係。
5.3.4應保護審計日誌,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日誌。
5.3.5應能夠根據公安機關要求留存具備指定信息訪問日誌的留存功能。
審計日誌保存週期
a )應永久保留用戶註冊信息、好友列表及歷史變更記錄,永久記錄聊天室(頻道、羣組)註冊信息、成員列表以及歷史變更記錄;
b)系統維護日誌信息保存12個月以上;
c)應留存用戶日誌信息12個月以上;
d )對用戶發佈的信息內容保存6個月以上;
e)已下線的系統的日誌保存週期也應符合以上規定。
6應用安全
6.1用戶管理
6.1.1向用戶宣傳法律法規,應在用戶註冊時,與用戶簽訂服務協議,告知相關權利義務及需承擔的法律責任。
6.1.2建立用戶管理制度,包括:
a )用戶實名登記真實身份信息,並對用戶真實身份信息進行有效覈驗,有校覈驗方法可追溯到用戶登記的真實身份,如:1)身份證與姓名實名驗證服務:2)有效的銀行卡:3)合法、有效的數字證書:4)已確認真實身份的網絡服務的註冊用戶:5)經電信運營商接入實名認證的用戶。(如某網站採用已經實名認證的第三方賬號登陸,可認爲該網站的用戶已進行有效覈驗。)
b )應對用戶註冊的賬號、頭像和備註等信息進行審覈,禁止使用違反法律法規和社會道德的內容:
c )建立用戶黑名單制度,對網站自行發現以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。
6.1.3當用戶利用互聯網從事的服務需要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:a )覈對行政許可文件:b )通過行政許可主管部門的公開信息: c )通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防範和處置
6.2.1公司採取管理與技術措施,及時發現和停止違法有害信息發佈。
6.2.2公司採用人工或自動化方式,對發佈的信息逐條審覈。
採取技術措施過濾違法有害信息,包括且不限於:a )基於關鍵詞的文字信息屏蔽過濾;b)基於樣本數據特徵值的文件屏蔽過濾;c)基於URL的屏蔽過濾。
6.2.3應採取技術措施對違法有害信息的來源實施控制,防止繼續傳播。
注:違法有害信息來源控制技術措施包括但不限於:封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回覆、控制特定發佈來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。
6.2.4公司建立7*24h信息巡查制度,及時發現並處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調差配合制度,包括:
a)對發現的違法有害信息,立即停止發佈傳輸,保留相關證據(包括用戶註冊信息、用戶登錄信息、用戶發佈信息等記錄),並向屬地公安機關報告
b)對於煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行爲等重要情況或重大緊急事件立即向屬地公安機關報告,同時配合公安機關做好調查取證工作
6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個環節應能再5min之內刪除,相關的屏蔽過濾措施應在10min內生效。 6.3破壞性程序防範
6.3.1實施破壞性程序的發現和停止發佈措施、並保留髮現的破壞性程序的相關證據。
6.3.2對軟件下載服務提供者(包括應用軟件商店),檢查用戶發佈的軟件是否是計算機病毒等惡意代碼。
7個人電子信息保護
7.1.1制定明確、清楚的個人電子信息處置規則,並且在顯著位置予以公示。在用戶註冊時,在與用戶簽訂服務協議中明示收集與使用個人電子信息的目的、範圍與方式。
7.1.2湖南凱美醫療網站僅收集爲實現正當商業目的和提供網絡服務所必需的個人信息;收集個人電子信息時,取得用戶的明確授權同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,並取得用戶明確授權同意;法律、行政法規另有規定的,從其規定。
7.1.3公司在修改個人電子信息處理時,應告知用戶,並取得其同意。
7.2技術措施
公司建立覆蓋個人電子信息處理的各個環節的安全保護制度和技術措施,防止個人電子信息泄露、損毀、丟失,包括:
a )採用加密方式保存用戶密碼等重要信息
b )審計內部員工對涉及個人電子信息的所有操作,並對審計進行分析,預防內部員工故意泄露
c )審計個人電子信息上載、存儲或傳輸,作爲信息泄露,毀損,丟失的查詢依據
d )建立程序來控制對涉及個人電子信息的系統和服務的訪問權的分配。這些程序涵蓋用戶訪問生存週期內的各個階段,從新用戶初始註冊到不再需要訪問信息系統和服務的用戶的最終撤銷
e )系統的安全保障技術措施覆蓋個人電子信息處理的各個環節,防止網絡違法犯罪活動竊取信息,降低個人電子信息泄露的風險
7.3個人信息泄露事件的處理
a)當發現個人電子信息泄露時間後,應:
b )立即採取補救措施,防止信息繼續泄露
c )24小時內告知用戶,根據用戶初始註冊信息重新激活賬戶,避免造成更大的損失立即告屬地公安機關
8安全事件管理
8.1安全時間管理制度
8.1.1建立安全事件的監測、報告和應急處置制度,確保快速有效和有序地響應安全事件.
8.1.2安全事件包括違法有害信息、危害計算機信息系統安全的異常情況及突發公共事件。
8.2應急預案
制定安全事件應急處置預案,向屬地公安機關寶貝,並定期開展應急演練。
8.3突發公共事件處理
突發公共事件分爲四級:I級(特別重大)、II級(重大)、III級(較大)、IV級(一般),互聯網交互式服務提供者應建立相應處置機制,當突發公共事件發生後,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% -80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%-50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術接口
公司網站所設技術接口爲公安機關提供的符合國家及公共安全行業標準的技術接口,能確保實時,有效地提供相關證據。
1.局域網由市公司信息中心統一管理。
2.計算機用戶加入局域網,必須由系統管理員安排接入網絡,分配計算機名、ip地址、帳號和使用權限,並記錄歸檔。
3.入網用戶必須對所分配的帳號和密碼負責,嚴格按要求做好密碼或口令的保密和更換工作,不得泄密。登錄時必須使用自己的帳號。口令長度不得小於6位,必須是字母數字混合。
4.任何人不得未經批准擅自接入或更改計算機名、地址、帳號和使用權限。業務系統崗位變動時,應及時重新設置該崗帳號和工作口令。
5.凡需聯接互聯網的用戶,必需填寫《計算機入網申請表》,經單位分管領導或部門負責人同意後,由信息中心安排和監控、檢查,已接入互聯網的用戶應妥善保管其計算機所分配帳號和密碼,並對其安全負責。不得利用互聯網做任何與其工作無關的事情,若因此造成病毒感染,其本人應付全部責任。
6.入網計算機必須有防病毒和安全保密措施,確因工作需要與外單位通過各種存儲媒體及網絡通訊等方式進行數據交換,必須進行病毒檢查。因違反規定造成電子數據失密或病毒感染,由違反人承擔相應責任,同時應追究其所在部門負責人的領導責任。
7.所有辦公電腦都應安裝全省統一指定的趨勢防病毒系統,並定期升級病毒碼及殺毒引擎,按時查殺病毒。未經信息中心同意,不得以任何理由刪除或換用其他殺毒軟件(防火牆),發現病毒應及時向信息中心彙報,由系統管理員統一清除病毒。
8.入網用戶不得從事下列危害公司網絡安全的活動:
(1)未經允許,對公司網絡及其功能進行刪除、修改或增加;
(2)未經允許,對公司網絡中存儲、處理或傳輸的數據和應用程序進行刪除、修改或增加;
(3)使用的系統軟件和應用軟件、關鍵數據、重要技術文檔未經主管領導批准,不得擅自拷貝提供給外單位或個人,如因非法拷貝而引起的問題,由拷貝人承擔全部責任。
9.入網用戶必須遵守國家的有關法律法規和公司的有關規定,如有違反,信息中心將停止其入網使用權,並追究其相應的責任。
10.用戶必須做好防火、防潮、防雷、防盜、防塵和防泄密等防範措施,重要文件和資料須做好備份。
第一章總則
第一條目的
爲了確保公司信息系統的數據安全,使得在信息系統使用和維護過程中不會造成數據丟失和泄密,特制定本制度。
第二條適用範圍
本制度適用於公司技術管理部及相關業務部門。
第三條管理對象
本制度管理的對象爲公司各個信息系統系統管理員、數據庫管理員和各個信息系統使用人員。
第二章數據安全管理
第四條數據備份要求
存放備份數據的介質必須具有明確的標識。備份數據必須異地存放,並明確落實異地備份數據的管理職責。
第五條數據物理安全
注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全。
第六條數據介質管理
任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷燬必須嚴格按照程序進行逐級審批,以保證備份數據安全完整。
第七條數據恢復要求
數據恢復前,必須對原環境的數據進行備份,防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行,出現問題時由技術部門進行現場技術支持。數據恢復後,必須進行驗證、確認,確保數據恢復的完整性和可用性。
第八條數據清理規則
數據清理前必須對數據進行備份,在確認備份正確後方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存,並確保可以隨時使用。數據清理的實施應避開業務高峯期,避免對聯機業務運行造成影響。
第九條數據轉存
需要長期保存的數據,數據管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。
第十條涉密數據設備管理
非本單位技術人員對本公司的設備、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機設備送外維修,須經設備管理機構負責人批准。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份後刪除,並進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記。
第八條報廢設備數據管理
管理部門應對報廢設備中存有的程序、數據資料進行備份後清除,並妥善處理廢棄無用的資料和介質,防止泄密。
第九條計算機病毒管理
運行維護部門需指定專人負責計算機病毒的防範工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
第十條專用計算機管理
營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
第三章附則
第十一條本制度自20xx年6月1日起執行。
第十二條本制度由技術管理部負責制定、解釋和修改。
