网络和应用系统安全管理规定.doc

**公司 网络与应用系统安全管理规定 第一章 总 则 第一条 为贯彻《中华人民共和国网络安全法》（如下简称《网络安全法》）最大限度地消除互联网应用风险和隐患,提高**公司网络和应用系统安全防护水平,保障网络和应用系统的安全和稳定运营,特结合**公司实际制定本规定。 第二条 把网络与应用系统安全纳入公司发展规划和预算管理。确立网络与应用系统安全在公司发展中的重要地位，将网络与应用系统安全预算资金集中投入，统一管理，专款专用。 第三条 加强网络与应用系统安全队伍建设，将人才培养与推动信息化安全结合起来，提高全员信息化应用安全水平。 第四条 制定公司全员信息化安全管理和应用培训筹划，开展信息化安全应用有关培训，不断提高公司对网络和应用系统安全的结识和应用水平。 第五条 本规定基本内容涉及：网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急解决。 第二章 网络管理 第六条 建立网络管理台账，掌握本单位的网络构造及终端的接入状况，做到条理清晰、管理到位。 （一）所有网络设备（涉及防火墙、路由器、互换机等）应归**部统一管理，其安装、维护等操作应由**部工作人员进行，其她任何人不得破坏或擅自进行维修和修改。同步，登录网络设备密码应遵循复杂性原则，且位数应不低于8位。 （二）建立租用链路管理台账，涉及但不局限于如下内容：链路供应商、本端接口、对端、技术参数等平常维护信息。 （三）建立网络拓朴图，标注线路连接、设备功能、IP地址、子网掩码、出口网关等常用管理信息。 （四）局域网原则上应实行静态IP管理，IP地址由**部统一分派，并制定“IP地址分派表”，记录IP地址使用人、MAC地址、电脑操作系统等信息。 （五）IP地址为计算机网络的重要资源，公司员工应在**部的规划下使用这些资源，不应擅自更改。 （六）公司内计算机网络部分的扩展应通过**部批准，未经许可任何部门不应擅自将互换机、集线器等网络设备接入网络。 （七）**部负责不定期查看网络运营状况，如网络浮现异常时及时采用措施进行解决。 （八）公司网络安全应严格执行国家《网络安全法》，对在网络上（涉及内网和外网）从事任何有悖网络安全法律法规的活动者，将视其情节轻重交有关部门或公安机关解决。 第三章 设备管理 第七条 做好平常维护和保养，掌握对的的操作使用措施和规程，减少设备的故障率，保证设备可以正常和可靠运营。 （一）建立设备管理台账，应涉及如下内容：设备型号、序列号、设备配备、技术参数、运营时间、保修期限等平常维护信息； （二）服务器电源应保证冗余电源，有条件的状况下采用双路电源接入。对于运营重要应用系统的服务器设备，还应配备不间断（UPS）电源，以避免非常规断电导致服务器设备的物理损坏。UPS负载必须保持在总负荷80％如下，并且定期对UPS设备进行检测，保证设备运营正常和有效； （三）有关管理人员应定期对各设备进行巡检，查看设备运营日记，监测设备，并填写“巡检状况记录”； （四）严禁撕毁、涂画或遮盖IT设备标签，或未经**部备案擅自调节部门内部计算机信息系统的配备； （五）计算机终端顾客因主观操作不当导致设备、设施损坏，应承当相应修复费用，不能修复的应按所损坏设备、设施的市场价值予以补偿；蓄意破坏设备、设施的，除照价补偿外，还应视情节严重予以行政惩罚； （六）终端设备，特别是笔记本电脑等移动设备应采用实名制，不得赠送、出借、发售给她人使用。 第四章 系统安全管理 第八条 系统安全管理应充足运用既有资源，完善有关的管理制度和流程，保证安全系统有效、稳定和可靠运营。 （一）设立防火墙安全方略时，应考虑隔离病毒传播、非授权访问的通道等方面的内容，并且方略应注明用途，避免冗余方略的产生； （二）按照不同的访问权限，在核心互换机、路由器设立不同的访问控制方略； （三）不定期开展对服务器进行安全扫描，针对发现的漏洞及时补漏加固。 （四）移动存储设备（优盘、移动硬盘等）必须进行病毒扫描确认无毒后，方能接入服务器； （五）各应用系统管理员登录密码应遵循密码复杂度原则，且位数不应少于8位； （七）定期查看各应用系统、终端操作系统有关安全公示，根据需要下载操作系统有关补丁安装包，进行测试后对服务器进行升级； （八）严禁在机房服务器上安装与系统应用无关的软件，并且安装软件要确认安装包的安全性，安装和卸载软件应做好相应记录； （九）公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新，并定期进行病毒查杀； （十）公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码，严禁随意向她人泄露和借用； （十一）经远程通信传送的程序或数据，必须通过安全检测确认无病毒后方可安装和使用； （十二）定期组织劫难恢复演习，提高有关管理人员的应急反映能力，保证恢复过程安全、迅速和有效； （十三）重大节假日之前，有关人员应对网络、各应用系统进行巡检，保证节假日期间网络和各应用系统运营安全、稳定和有效。 第五章 机房管理 第九条 对机房进行科学、规范管理，保证计算机网络、各应用系统安全、高效和稳定运营。 （一）采用措施保证机房设备物理安全； （二）机房温、湿度达到《电子计算机机房设计规范》国标（GB50174-93）规定； （三）未经公司授权且机房管理人员在场监督，任何人不得自行配备、更换或挪用机房内的路由器、互换机和服务器以及其她通信设备等； （四）严禁携带易燃易爆和强磁物品及其他与机房工作无关的物品进入机房； （五）机房定期做好清洁除尘工作，未经机房管理人员批准严禁无关人员进入机房。 第六章 数据安全管理 第十条 高度注重各类数据备份的重要性，制定备份方略，并定期进行恢复检查，保证备份数据的安全和有效。 （一）服务器磁盘采用冗余磁盘阵列（RAID）容错方式，以避免磁盘因物理损坏而导致数据丢失； （二）制定数据备份方略，对服务器操作系统、数据库、文献进行备份，根据数据重要性、更新频率规定设立备份频率； （三）定期对备份数据进行还原测试，保证备份数据的安全性和有效性； （四）计算机终端顾客必须将重要数据寄存在计算机硬盘中除系统盘分区 (一般是 C盘)外的硬盘分区。计算机信息系统发生故障，应及时与**部联系并采用相应数据保护措施； （五）计算机终端顾客未做好备份前不能删除任何硬盘数据。对重要的数据必须准备双份，寄存在不同的地点；对采用光盘等介质保存的数据，必须做好防火、防潮和防尘工作，并定期进行检查、复制，避免介质损坏，丢失数据。 第七章 信息安全管理 第十一条 加强涉密信息的安全管理工作，严格贯彻内、外网物理隔离，做到“涉密不上网，上网不涉密”。 （一）对涉密的设备运营和使用状况进行定期检查； （二）涉密的电脑不得接入局域网，更不能直接接入互联网使用。涉密电脑因工作需要必须接入内网或者互联网时，原使用者应进行资料清理后再进行使用； （三）涉密电脑密码不得向无关人员泄露，必须定期进行更换，原则上至少每半年更换一次，并且密码应具有一定复杂性； （四）规范和细化存储介质的使用范畴，如用于解决敏感信息的存储介质，不应解决和传播涉密信息，更不得在连接互联网的计算机上使用； （五）员工具有信息保密的义务。任何人不应运用计算机网络泄漏公司机密、技术资料和其他保密资料； （六）计算机终端顾客计算机内的资料波及公司机密的，须为计算机设定开机密码或将文献加密；凡波及公司机密的数据或文献，非工作需要不得以任何形式转移，更不得透露给她人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存； （七）严禁外来人员对计算机数据和文献进行拷贝或抄写以免泄漏公司机密，对公司各应用系统登录账号不得互相知晓，每个人必须保证自己帐号的唯一登陆性，否则由此产生的数据安全问题由其本人负所有责任。 第八章 应急解决 第十二条 制定网络安全应急解决预案，明确责任，平常管理及平常处置的应急规定。当发生网络安全事件时，及时启动应急解决程序，调动有关资源作出响应，减少安全事件对网络运营的影响。 （一）当黑客袭击时的应急解决措施 1、当发现服务器内容被篡改，或通过防火墙发既有黑客正在进行袭击时,一方面将被袭击的服务器等设备从网络中隔离出来，同步向网络安全与信息化领导小组报告状况； 2、网络管理员负责被破坏系统的恢复与重建工作； 3、故障排除后，尽快恢复网络连接。 （二）病毒安全应急解决措施 1、当发现网络中有计算机感染病毒后，立即将该机从网络上隔离出来； 2、对设备的硬盘进行数据备份； 3、启用杀毒程序进行杀毒解决，同步进行全网查毒，对其她机器进行病毒扫描和清除工作； 4、如发现杀毒程序无法清除该病毒，应作好有关记录，同步立即向网络安全与信息化领导小组报告，并迅速联系有关产品供应商进行沟通、研究和解决。 （三）数据库系统应急解决措施 1、如发现是数据库故障导致应用系统不能运营，由应用系统有关部门应用管理员负责查找故障因素，并进行恢复； 2、如问题不能解决，应联系应用系统服务商进行技术支持或现场服务； 3、如服务商也无法解决故障，启用备份恢复系统，将数据库恢复至近来的备份时间点； 4、故障排除后，应恢复应用系统，并进行验证性测试。 （四）应用系统应急解决措施 1、如发现是应用系统软件故障导致应用系统不能运营，由有关部门应用系统管理员查找故障因素，并进行恢复； 2、如应用系统管理员不能解决故障，应立即联系应用系统开发商进行技术支持或进行现场服务； 3、如开发商也无法解决故障，启用备份恢复系统，将应用系统恢复至近来的备份时间点； 4、故障排除后，应恢复应用系统，并进行验证测试。 （五）互联网线路中断应急解决措施 1、网络管理员发现问题或接到报告后，应迅速判断故障节点，查明故障因素； 2、如属公司管辖范畴，由网络管理员采用相应措施第一时间予以恢复。如遇无法恢复状况，应向有关设备厂商谋求支持； 3、如属网络链路运营商管辖范畴，应立即与网络链路运营商有关人员联系，进行故障报修，谋求尽快修复，并对修复进展进行实时跟进； 4、故障排除后，应恢复网络连接，并进行测试，保证网络稳定、正常运营。 第九章 附则 第十三条 本规定由**公司**部制定并负责解释。 第十四条 本规定自发布之日起实行。您好，欢迎您阅读我的文章，本WORD文档可编辑修改，也可以直接打印。阅读过后，但愿您提出保贵的意见或建议。阅读和学习是一种非常好的习惯，坚持下去，让我们共同进步。