1、信息安全管理制度目 录信息安全管理制度计算机管理制度机房管理制度网络安全管理制度计算机病毒防治管理制度密码安全保密制度涉密和非涉密移动存放介质管理制度病毒检测和网络安全漏洞检测制度案件汇报和协查制度网络资源管理信息安全管理制度为维护企业信息安全,确保企业网络环境稳定,特制订本制度。第一条 信息安全是指经过多种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存放过程中机密性、完整性和真实性。具体包含以下多个方面。1、信息处理和传输系统安全。系统管理员应对处理信息系统进行具体安全检验和定时维护,避免因为系统瓦解和损坏而对系统内存放、处理和传输信息造成破坏和损失。2、信息内容安全。 侧
2、重于保护信息机密性、完整性和真实性。系统管理员应对所负责系统安全性进行评测,采取技术方法对所发觉漏洞进行补救,预防窃取、冒充信息等。3、信息传输安全。要加强对信息审查,预防和控制非法、有害信息经过本委信息网络(内部信息平台)系统传输,避免对国家利益、公共利益和个人利益造成损害。第二条 包含国家秘密信息安全工作实施领导负责制。第三条 信息内部管理1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;2、依据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术方法,提升网络(内部信息平台)整体搞病毒能力;3、各信息应用科室对本单位所负责信息必需
3、作好备份;4、各科室应对本部门信息进行审查,网站各栏目信息负责科室必需对公布信息制订审查制度,对信息起源正当性,公布范围,信息栏目维护责任人等作出明确要求。信息公布后还要随时检验信息完整性、正当性;如发觉被删改,应立即向信息安全协调科汇报;5、包含国家秘密信息存放、传输等应指定专员负责,并严格根据国家相关保密法律、法规实施;6、包含国家秘密信息,未经信息安全分管领导同意不得在网络上公布和明码传输;7、涉密文件不可放置个人计算机中,非涉密电子邮件收发也要实施病毒查杀。第四条 信息加密1、包含国家秘密信息,其电子文档资料应该在涉密介质中加密单独存放;2、包含国家和部门利益敏感信息电子文档资料应该在
4、涉密介质中加密单独存放;3、包含社会安定敏感信息电子文档资料应该在涉密介质中加密单独存放;4、包含国家秘密、国家和部门利益和社会安定秘密信息和敏感信息在传输过程中视情况及国家相关要求采取文件加密传输或链路传输加密。第五条 任何单位和个人不得从事以下活动:1、利用信息网络系统制作、传输、复制有害信息;2、入侵她人计算机;3、未经许可使用她人在信息网络系统中未公开信息;4、未经授权对网络(内部信息平台)系统中存放、处理或传输信息(包含系统文件和应用程序)进行增加、修改、复制和删除等;5、未经授权查阅她人邮件;6、盗用她人名义发送电子邮件;7、有意干扰网络(内部信息平台)通畅运行;8、从事其它危害信
5、息网络(内部信息平台)系统安全活动。第六条 本制度自公布之日起施行,凡和本制度有冲突均以本制度为准。计算机管理制度为确保计算机正常运行,确保计算机安全运行,依据国家、省、市相关法律法规和政策要求,结合本项目部实际情况,制订本制度。一、管理范围划分本部计算机分为涉密和非涉密两部分,涉密计算机指关键用于储存或传输相关人事、财务、经济运行、信息安全等包含国家、单位秘密、危害国家安全图文信息计算机。非涉密计算机指用于储存或传输能够向社会公开发表或公布图文信息计算机。信息安全科、运行科、人事科和机关财务各一台计算机根据涉密要求进行管理。二、非涉密计算机日常管理1、各科室计算机,科室责任人为管理第一责任人
6、,负担本科室计算机操作管理、保密和安全,以预防误操作造成系统紊乱、文件丢失等故障。2、计算机关键是用于业务数据处理及信息传输,提升工作效率。严禁上班时间用计算机玩游戏及运行一切和工作无关软件。3、新购计算机、首次使用软件、数据载体应经我部计算机管理员检测,确定无病毒和有害数据后,方可投入使用。4、计算机操作人员发觉本科室计算机感染病毒,应立即中止运行,并和计算机管理员联络立即消除。5、珍惜机关计算机设备,保持计算机设备洁净整齐。三、涉密计算机日常管理1、涉密计算机内关键文件由专员集中加密保留,不得随意复制和解密,未经加密关键文件不能存放在和国际联网计算机上。2、对需要保留涉密信息,可到信息安全
7、科转存到光盘或其它可移动介质上。存放涉密信息介质应该根据所存放信息最高密级标明密级,并按对应密级文件管理。3、存放过国家秘密信息计算机媒体维修应确保所存放国家秘密信息不被泄露。对报废磁盘和其它存放设备中秘密信息由技术人员进行根本清除。4、涉密计算机信息需打印输出必需到信息安全科专用打印机打印输出,打印出文件应该按摄影应密级文件管理;打印过程中产生残、次、废页应该立即在信息安全科专用设备粉碎销毁。5、对信息载体(软盘、光盘等)及计算机处理业务报表、技术数据、图纸要有专员负责保留,按要求使用、借阅、移交、销毁。四、其它对违反以上要求行为视情节轻重,结合国家、省、市及本部相关要求处理,并追究相关人员
8、责任。机房管理制度为确保计算机网络(内部信息平台)系统安全、高效运行和各类设备运行处于良好状态,正确使用和维护多种设备、管理有章、职责明确,特制订本制度。一、通常要求1、机房属关键涉密岗位,必需严格实施国家、省、市保密局相关保守国家秘密和密码工作要求。2、严禁在网络服务器上安装一切和工作无关软件。严禁将外来不明磁盘、光盘、软件在网络服务器上使用。严禁在网络上运行或传输一切法律法规严禁、有损国家机关形象和包含国家秘密、危害国家安全软件或图文信息。3、无关人员不准进入机房,不准违规操作和使用机房设备,不准私自将机房设备带离机房。机关科(室)需借用机房设备,机房工作人员必需上报,经分管领导同意,并办
9、理相关登记手续后方可借出。4、做好机房设备日常维护工作,严禁在机房内吸烟,不准在机房堆放杂物和垃圾,保持机房室内整齐。下班时,必需关闭不用设备及电源,锁好机房门窗,方可离开。二、值班巡视要求1、值班由委门卫一并负责,遵照委值班要求。2、巡视由网络管理员负责,巡视人员要遵守以下职责:(1)要在第一时间发觉隐患,并立即汇报,使相关管理人员能立即赶到现场尽最大可能缩短故障恢复时间。(2)推行机房各项要求,不得作和工作、业务无关任何私事,不得私自离开岗位。督促进入机房人员严格遵守。(3)负责机房环境设备和网络(内部信息平台)系统安全运行;负责完成要求日常操作和故障监测统计,简单故障排除,负责环境设备日
10、常巡视。3、巡视内容包含:(1)网络(内部信息平台)运行设备巡视:各服务器CPU和内存工作情况;防火墙工作情况;网站工作情况;交换机工作情况;用户端网络(内部信息平台)运行速度;认真做好统计。(2)机房环境巡视:机房门关闭情况,机房卫生情况,机房灯光情况,机房温度、湿度及空气情况,认真做好统计。(3)机房设备巡视:对机房空调系统运行情况进行常常性巡视,亲密注意工作负荷、电池容量、室内温湿度等数值,以确保网络(内部信息平台)安全、正常运行;主配电柜供电电压、电流;空调工作情况;认真做好巡视统计。三、日常管理要求1、到机房工作人员不得在机房内吃食品,饮水,吸烟或其它和工作无关事宜。2、到机房工作人
11、员严禁携带和工作无关物品,尤其是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。3、到机房工作人员应严格遵守岗位责任制,不能乱动和自己工作无关设备,严禁在机房大声喧哗、玩电子游戏、聊天等。4、机房内不能存放任何食品,严禁在机房内存放杂物,严禁在机房内使用其它用电器。四、运行维护要求1、配电柜十二个月进行最少两次维护检验。内容包含:清扫灰尘检验各接点、触电温升,松紧。2、机房专用空调每十二个月进行两次巡检,维护内容:清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流、检验下水管道是否通畅及漏水报警是否正常、进行软化水更换。3、机房防雷设施每十二个月检验一次,维护内
12、容:检测个防雷器可靠性、检验接地情况。4、机房每十二个月进行两次专业保洁,维护内容:对机房地板进行调整和清洁、对底板下、天棚板上进行清洁。五、安全保密要求1、做好防雷、防火、防水、防盗、防虫害。防雷:按国家要求对机房设备进行接地。每十二个月要按国家要求对防雷设施及设备接地进行检测。防火:需按国家要求在计算机机房进行设置消防设施。设施每十二个月要按国家要求进行检测。防水:要常常检验机房防漏水情况,空调、门窗及屋顶。防盗:严格机房进出管理,门禁要24*7小时工作,严格实施进出机房登记制度、严格实施进出机房不得携带其它物品要求。防虫害:常常检验机房顶棚上和地板下封闭情况,不得在机房内在放食品,不得在
13、机房内堆放杂物。2、网络(内部信息平台)运行安全管理(1)对INTERNET网进口要加装防火墙。防火墙设置要常常依据需要进行调整以防入侵。(2)对全部服务器要安装病毒软件,要常常对防病毒软件进行升级。常常对计算机病毒进行检测。3、系统设备安全管理(1)进入机房不得带拷贝工具和便携机;(2)机房内全部服务器应设有开机密码、系统登陆密码;(3)机房内全部服务器全部应设有带密码屏幕保护;(4)网管人员操作后应将服务器处于锁定状态;(5)非网管人员不得私自操作任何服务器;(6)认真遵守国家各项保密制度;(7)严格遵守党和国家保密制度。相关打印结果、存放介质及原始数据必需有本人保管。带有密级媒体应用时锁
14、入保险柜中,收、发要登记。定时集中销毁废弃涉密纸、物;(8)需要于正常工作时之外使用机房加班人员,应得到主管领导同意,并向运行值班人员办理登记手续。机房值班人员必需同时在场陪同;(9)严禁和机房工作无关人员进入机房;(10)非机房工作人员在机房工作是必需有机房值班人员陪同;(11)机房内各类服务器应由专员分类管理(12)建立设备、资料责任制。网络安全管理制度一、通常要求1、未经网管同意,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备部署、服务器、路由器配置和网络(内部信息平台)参数。2、任何人不得进入未经许可计算机系统更改系统信息和用户数据。3、机关局域网上任何人不得利用
15、计算机技术侵占用户正当利益,不得制作、复制和传输妨害单位稳定相关信息。4、各科室应定时对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。二、帐号管理1、网络(内部信息平台)帐号采取分组管理。并具体登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。2、网络(内部信息平台)管理员为用户设置明码口令,用户能够依据自己保密情况进行修改口令,用户应对工作站设置开机密码和屏保密码。3、用户帐号下数据属于用户私有数据,当事人含有存入权限,管理员含有管理和备份存取权限。4、网络(内部信息平台)管理员依据相关帐号管理规则对用户帐号实施管理,并对用户帐号及数据安
16、全和保密负责。5、网络(内部信息平台)管理员必需严守职业道德和职业纪律,不得将任何用户密码、帐号等保密信息等资料泄露出去。三、网络管理员职责1、帮助制订网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略。2、负责公用网络(内部信息平台)实体,如服务器、交换机、集线器、防火墙、网线、接插件等维护和管理。3、负责服务器和系统软件安装、维护、调整及更新。4、负责网络(内部信息平台)账号管理,资源分配,数据安全和系统安全。5、监视网络(内部信息平台)运行,调整参数,调度资源,保持网络(内部信息平台)安全、稳定、通畅。6、负责系统备份和网络(内部信息平台)数据备份,负责各部门电子数
17、据资料整理和归档。7、保管网络(内部信息平台)拓扑图接线表,设备规格及配置单,管理统计,运行统计,检修统计等网络(内部信息平台)资料。8、每十二个月对本单位网络(内部信息平台)效能和各电脑性能进行评价,提出网络(内部信息平台)结构、技术和网络、管理改善方法。四、安全管理职责1、保障网络(内部信息平台)通畅和信息安全。2、严格遵守国家、省、市制订相关法律、行政法规,严格实施网络安全工作制度,以人为本,依法管理,确保网络(内部信息平台)安全有序。3、在发生网络(内部信息平台)重大突发事件时,应立即汇报,采取应急方法,立即恢复网络(内部信息平台)正常运行。4、充足利用现有安全设备设施、软件,最大程度
18、地预防计算机病毒入侵和黑客攻击。5、加强信息审查工作,保留,备份最少90天之内网络信息日志,立即加以分析,排查不安定原因,预防黄色,反动信息传输。6、常常检验网络(内部信息平台)工作环境防火、防盗工作。五、电脑操作人员培训制度五、病毒防治管理制度1、任何人不得在机关局域网上制造传输任何计算机病毒,不得有意引入病毒。网络(内部信息平台)使用者发觉病毒应立即向网络管理员汇报。网络管理员立即指导和帮助处理病毒。2、各部门应定时查毒,(周期为一周或10天)管理员应立即升级病毒库,并提醒各部门对杀毒软件进行在线升级。计算机病毒防治管理制度为加强计算机安全监察工作,预防和控制计算机病毒,保障计算机系统正常
19、运行,依据国家相关要求,结合实际情况,制订本制度。一、凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统和购置,维修计算机及其软件部门,必需遵守本措施。二、本措施所称计算机病毒,是指编制或在计算机程序中插入破坏计算机系统功效或毁坏数据,影响计算机使用,并能自我复制一组计算机指令或程序代码。三、任何工作人员不得制作和传输计算机病毒。四、任何工作人员不得有下列传输计算机病毒行为:1、有意输入计算机病毒,危害计算机信息系统安全。2、向计算机应用部门提供含有计算机病毒文件、软件、媒体。3、购置和使用含有计算机病毒媒体。五、预防和控制计算机病毒安全管理工作,由我部信息安全协调科负责实施,其关
20、键职责是:1、制订计算机病毒防治管理制度和技术规程,并检验实施情况;2、培训计算机病毒防治管理人员外;3、采取计算机病毒安全技术防治方法;4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;5、立即检测、清除计算机系统中计算机病毒,并做好检测、清除统计;6、购置和使用含有计算机信息系统安全专用产品销售许可证计算机病毒防治产品;7、向公安机关汇报发觉计算机病毒,并帮助公安机关追查计算机病毒起源。8、对因计算机病毒引发计算机信息系统瘫痪,程序和数据严重破坏等重大事故立即向公安机关汇报人,并保护现场。9 、计算机安全管理部门应加强对计算机操作人员审查,并定时进行安全教育和培训。10、
21、计算机信息系统应用部门应建立计算机运行统计制度,未经审定任何程序,指令或数据,不得输入计算机系统运行。11、计算机安全管理部门应对引发计算机及其软件进行计算机病毒检测,发觉染有计算机病毒,应采取方法加以消除,在未消除病毒之前不准投入使用。12、经过网络进行电子邮件或文件传输,应立即对传输媒体进行病毒检测,接收到邮件时也要立即进行病毒检测,以预防计算机病毒传输。13、任何部门和个人不得从事下列活动:搜集、研究有害数据;出版、发表、讲解、出租有害数据原理,源程序书籍,资料或文章;复制有害数据检测,清除工具六、凡未按以上预防计算机病毒步骤实施而造成机器感染病毒并传输者,第一次给警告、第二次给通报批评
22、,第三次及以上将给通报批评并进行100-200元/次处罚。七、主动接收公安机关对计算机病毒防治管理工作监督,检验和指导。密码安全保密制度一、提升安全认识,严禁非工作人员操纵系统主机,不使用系统主机时,应注意锁屏。二、每七天检验主机登录日志,立即发觉不正当登录情况。三、对网络(内部信息平台)管理员,系统管理员和系统操作员所用口令每十五天更换一次,口令要无规则,关键口令要多于八位。四、加强口令管理,对文件用隐性密码方法保留,确定全部帐号全部有口令,当系统中帐号不再被使用时,应立即从对应数据库中清除。五、网络(内部信息平台)管理员、系统管理员调离岗位后一小时内由接任人员监督检验更换新密码。涉密和非涉
23、密移动存放介质管理制度一、涉密和非涉密移动存放介质由办公室建立台帐,信息安全人员负责涉密和非涉密移动存放介质日常管理和维护维修。二、涉密移动存放介质不得在非涉密计算机上使用。三、涉密移动存放介质未经同意不得私自带离本单位,确因工作需要携带外出,须推行登记立案手续,并经领导同意。四、严禁将涉密移动存放介质借给外单位或她人使用。五、涉密移动存放介质需维修,由单位技术人员送至有保密资质单位现场监修,严禁维修人员私自读取和拷贝其存放国家秘密信息。如涉密移动存放介质无法修复,必需按涉密载体给予销毁。六、非涉密移动存放介质不得存放任何涉密信息。七、非涉密移动存放介质不得连接涉密计算机。八、不再使用或不能使
24、用涉密和非涉密移动存放介质要立即上交办公室,由技术人员对要报废涉密和非涉密移动存放介质进行深入确定,并和领取时类型,电子(产品)序列号,编号等进行查对,填写销毁记录表,经领导同意后,送有保密资质单位进行销毁。九、任何部门和个人不得私自销毁涉密和非涉密移动存放介质。病毒检测和网络安全漏洞检测制度一、网络(内部信息平台)服务器,含有正当权限用户才能进行对应权限范围内操作,任何其它非法操作全部属于入侵行为。二、全部用户,不准扫描端口,不准猜测和扫描其它用户密码,不准猜测和扫描网络(内部信息平台)服务器和交换设备口令。三、系统管理员应定时检验服务器系统日志,如发觉有入侵情况,应用时采取方法,保留原始数
25、据,方便进行调查取证,并向委领导汇报,做好入侵情况登记。四、服务器假如发觉漏洞要立即修补漏洞或进行系统升级。五、要定时对网站进行网络(内部信息平台)数据包监控,立即发觉和网络(内部信息平台)运行情况,全方面监视对公开服务器访问,立即发觉和拒绝不安全操作和黑客攻击行为,阻止网络(内部信息平台)内外入侵。六、网络(内部信息平台)信息安全员推行对全部上网信息进行审查职责,依据需要采取方法,监视、统计、检测、阻止、查处、防范针对其所管辖网络(内部信息平台)或入网计算机人或事。七、全部用户有责任对所发觉或发生违反相关法律,法规和规章制度人或事给予阻止或向我部信息安全协调科反应、举报,帮助相关部门或管理人
26、员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。八、网络(内部信息平台)管理员应依据实际情况和需要采取新技术调整网络(内部信息平台)结构,系统功效,变更系统参数和使用方法,立即排除系统隐患。案件汇报和协查制度一、违法案件汇报和协查制度1、落实网络安全岗位责任制,实施领导责任制和网络安全员负责制,网络安全事件实施谁主管,谁负责。2、加强值班和值班日志管理,建立定时,不定时日志分析制度,立即发觉网络(内部信息平台)安全事件和隐患。3、一旦发觉网络(内部信息平台)违法案件,应具体、如实统计事件经过,保留相关日志,立即通知相关人员,并和公安部门取得联络。4、进行网络违法案件及其它网
27、络安全检验时,网络安全员和其它相关人员必需主动配合。二、以下行为属于违法使用网络(内部信息平台):1、破坏网络(内部信息平台)通讯设施,包含室内网络布线,室内信息插座,配线间网络设备等。2、随意改变网络接入位置。3、盗用她人IP地址,更改网卡地址、盗用她人帐号(包含上网帐号、电子邮件帐号、信息公布帐号等);4、经过电子邮件、网络(内部信息平台)、存放介质等路径有意传输计算机病毒。5、对网络进行恶意侦听和信息截获,在网络上发送干扰正常通信数据。6、对网络各攻击,包含利用已知系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击,以后、和利用IP欺骗手段实施拒绝服务攻击;7、访问和传输色情、反动、邪教、
28、谣言等不良信息。网络资源管理 一、网络资源和服务器由信息系统管理员统一进行计划、管理和监督。 二、服务器及个人用机管理: 1、各科室及以上服务器必需指定专员负责管理,并在信息系统管理员处立案,未经授权,非管理员不得对其进行操作。 2、各科室及以上服务器管理员有责任对其负责服务器进行例行检验,包含:服务器CPU、内存、硬盘等资源利用情况;服务器上运行服务使用情况;服务器上运行杀毒软件立即更新; 3、服务器管理员要做好服务器备份工作,最少每三个月有一份完整备份,关键数据立即备份。信息系统管理员有责任监督、协调其备份工作。 4、个人和各科室未经服务器管理员同意不得私自设置服务器。 5、服务器管理员每个月定时对服务器做一次全方面检验,并填写服务器检验日志。 6、服务器管理员每三个月需修改服务器密码一次。当服务器管理员有变更时,管理员密码需立即更改。 7、各科室全部些人员应自行维护电脑正常使用,并根据要求进行设置及立即进行补丁更新,不得私自退出域、去除域管理员权限、修改主机名、修改IP等。 三、IP地址管理: 1、IP地址由服务器管理员统一计划管理。未经许可,不得私自更改任何设备IP地址。 2、我项目部申请公网IP任何人不得私用。 3、工作需要公网IP,需申请上级领导同意后,方可使用。 4、企业公网IP使用无工作需要时,立即停止使用,并通知服务器管理员收回。
浙ICP备2021020529号-1 | 浙B2-20240490 
