信息安全管理制度錦集15篇
在生活中,越來越多人會去使用制度,制度是在一定歷史條件下形成的法令、禮俗等規(guī)范。那么你真正懂得怎么制定制度嗎?以下是小編收集整理的信息安全管理制度,歡迎閱讀與收藏。
信息安全管理制度1
本安全信息通報制度,將學校規(guī)定的學生到校和放學時間、學生非正常缺席或者擅自離校情況,以及學生身體和心理的異常狀況等關系學生安全的信息及時告知其監(jiān)護人。對有特殊體質、特定疾病或者其他生理、心理狀況異常的學生,學校應當做好安全信息記錄,妥善保管學生的健康與安全信息資料,依法保護學生的個人隱私。學校對已知的有特異體質、特定疾病或者異常心理狀況的學生,應當給予適當關注和照顧。依據學校校情,特制定學生安全信息制度。
一、班主任要根據學校不同時期的作息時間變動,將學校規(guī)定的學生到校和放學時間通過學生本人或家訪、電訪、來訪等方式,及時通知其監(jiān)護人。
二、班主任要嚴格考勤制度,認真填寫班級考勤,若發(fā)生學生非正常缺席或者擅自離校情況,班主任要盡快和其監(jiān)護人取得聯(lián)系,如果聯(lián)系不上其監(jiān)護人,或事態(tài)嚴重,必須向教導處報告。
三、班主任在平時的工作中,如果發(fā)現(xiàn)學生身體和心理出現(xiàn)異常狀況等關系學生安全的信息,在及時通知其監(jiān)護人的同時,必須上報教導處。
四、班主任要排查班級中是否有特殊體質、特定疾病或者其他生理、心理狀況異常的學生,如果有,要及時告知教導處,教導處做好這些學生的安全信息記錄并和其監(jiān)護人取得聯(lián)系,妥善保管學生的健康與安全信息資料。對這些已知的`有特異體質、特定疾病或者異常心理狀況的學生,一些不適合這些學生參加的活動,班主任應當給予適當關注和照顧,可私下通知他們可以不參加,依法保護學生的個人隱私。
五、班級如果發(fā)生了學生安全事故,要迅速向學校有關處室報告,不得隱瞞、謊報、漏報,以保證學校在第一時間內,集中力量進行救助,學校按照“先控制,后處置,救人第一,減少損失”的原則處理事故,同時向上級有關部門報吉。
六、學校突發(fā)事故報告電話
信息安全管理制度2
1目標
勝達集團信息安全檢查工作的主要目標是通過自評估工作,發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題,邊檢查邊整改,確保信息網絡和重要信息系統(tǒng)的安全。
2評估依據、范圍和方法
2.1 評估依據
根據國務院信息化工作辦公室《關于對國家基礎信息網絡和重要信息系統(tǒng)開展安全檢查的通知》(信安通[20xx]15號)、國家電力監(jiān)管委員會《關于對電力行業(yè)有關單位重要信息系統(tǒng)開展安全檢查的通知》(辦信息[20xx]48號)以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。
2.2 評估范圍
本次信息安全評估工作重點是重要的業(yè)務管理信息系統(tǒng)和網絡系統(tǒng)等,
管理信息系統(tǒng)中業(yè)務種類相對較多、網絡和業(yè)務結構較為復雜,在檢查工作中強調對基礎信息系統(tǒng)和重點業(yè)務系統(tǒng)進行安全性評估,具體包括:基礎網絡與服務器、關鍵業(yè)務系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。
2.3 評估方法
采用自評估方法。
3重要資產識別
對本局范圍內的重要系統(tǒng)、重要網絡設備、重要服務器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的'系統(tǒng)、關鍵網絡節(jié)點設備和安全設備、承載敏感數(shù)據和業(yè)務的服務器進行登記匯總,形成重要資產清單。
資產清單見附表1。
4安全事件
對本局半年內發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄,形成本單位的安全事件列表。安全事件列表見附表2。
5安全檢查項目評估
5.1 規(guī)章制度與組織管理評估
5.1.1組織機構
5.1.1.1評估標準
信息安全組織機構包括領導機構、工作機構。
5.1.1.2現(xiàn)狀描述
本局已成立了信息安全領導機構,但尚未成立信息安全工作機構。
5.1.1.3 評估結論
完善信息安全組織機構,成立信息安全工作機構。
5.1.2崗位職責
5.1.2.1估標準
崗位要求應包括:專職網絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責的工作職責與工作范圍應有制度明確進行界定;崗位實行主、副崗備用制度。
5.1.2.2現(xiàn)狀描述
我局沒有配置專職網絡管理人員、專職應用系統(tǒng)管理人員和專職系統(tǒng)管理人員,都是兼責;專責的工作職責與工作范圍沒有明確制度進行界定,崗位沒有實行主、副崗備用制度。
5.1.2.3 評估結論
本局已有兼職網絡管理員、應用系統(tǒng)管理員和系統(tǒng)管理員,在條件許可下,配置專職管理人員;專責的工作職責與工作范圍沒有明確制度進行界定,根據實際情況制定管理制度;崗位沒有實行主、副崗備用制度,在條件許可下,落實主、副崗備用制度。
5.1.3病毒管理
5.1.3.1 評估標準
病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預警和報告機制、病毒掃描策略(1周內至少進行一次掃描)。
5.1.3.2 現(xiàn)狀描述
本局使用Symantec防病毒軟件進行病毒防護,定期從省公司病毒庫服務器下載、升級安全策略;病毒預警是通過第三方和網上提供信息來源,每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部;每周進行二次自動病毒掃描;沒有制定計算機病毒防治管理制度。
5.1.3.3 評估結論
完善病毒預警和報告機制,制定計算機病毒防治管理制度。
5.1.4運行管理
5.1.4.1 評估標準
運行管理應制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度;制定機房出入管理制度并上墻,對進出機房情況記錄。
5.1.4.2 現(xiàn)狀描述
沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房進出情況記錄。
5.1.4.3評估結論
結合本局具體情況,制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維
流程、值班制度,實行工作票制度;機房出入管理制度上墻,記錄機房進出情況。
5.1.5賬號與口令管理
5.1.5.1 評估標準
制訂了賬號與口令管理制度;普通用戶賬戶密碼、口令長度要求符合大于6字符,管理員賬戶密碼、口令長度大于8字符;半年內賬戶密碼、口令應變更并保存變更相關記錄、通知、文件,半年內系統(tǒng)用戶身份發(fā)生變化后應及時對其賬戶進行變更或注銷。
5.1.5.2 現(xiàn)狀描述
沒有制訂賬號與口令管理制度,普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符;管理員賬戶密碼、口令長度大于8字符,半年內賬戶密碼、口令有過變更,但沒有變更相關記錄、通知、文件;半年內系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。
5.1.5.3 評估結論
制訂賬號與口令管理制度,完善普通用戶賬戶與管理員賬戶密碼、口令長度要求;對賬戶密碼、口令變更作相關記錄;及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。
5.2 網絡與系統(tǒng)安全評估
5.2.1網絡架構
5.2.1.1 評估標準
局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備,不允許外聯(lián)鏈路繞過防火墻,具有當前準確的網絡拓撲結構圖。
5.2.1.2 現(xiàn)狀描述
局域網核心交換設備準備了備用設備,城域網核心路由設備采取了設備冗余;沒有不經過防火墻的外聯(lián)鏈路,有當前網絡拓撲結構圖。
5.2.1.3 評估結論
局域網核心交換設備、城域網核心路由設備按要求采取設備冗余或準備備用設備,外聯(lián)鏈路沒有繞過防火墻,完善網絡拓撲結構圖。
5.2.2網絡分區(qū)
5.2.2.1 評估標準
生產控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設置合理。
5.2.2.2 現(xiàn)狀描述
生產控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū),VLAN間的訪問控制設置合理。
5.2.2.3評估結論
對生產控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū),VLAN間的訪問控制設置合理。
5.2.3 網絡設備
5.2.3.1 評估標準
網絡設備配置有備份,網絡關鍵點設備采用雙電源,關閉網絡設備HTTP、FTP、TFTP等服務,SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
5.2.3.2 現(xiàn)狀描述
網絡設備配置沒有進行備份,網絡關鍵點設備是雙電源,網絡設備關閉了HTTP、FTP、TFTP等服務,SNMP社區(qū)串、本地用戶口令沒達到要求。
5.2.3.3 評估結論
對網絡設備配置進行備份,完善SNMP社區(qū)串、本地用戶口令強健(>8字符,數(shù)字、字母混雜)。
5.2.4 IP管理
5.2.4.1 評估標準
有IP地址管理系統(tǒng),IP地址管理有規(guī)劃方案和分配策略,IP地址分配有記錄。
5.2.4.2 現(xiàn)狀描述
沒有IP地址管理系統(tǒng),正在進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.4.3 評估結論
建立IP地址管理系統(tǒng),加快進行對IP地址的規(guī)劃和分配,IP地址分配有記錄。
5.2.5補丁管理
5.2.5.1 評估標準
有補丁管理的手段或補丁管理制度,Windows系統(tǒng)主機補丁安裝齊全,有補丁安裝的測試記錄。
5.2.5.2現(xiàn)狀描述
通過手工補丁管理手段,沒有制訂相應管理制度;Windows系統(tǒng)主機補丁安裝基本齊全,沒有補丁安裝的測試記錄。
5.2.5.3 評估結論
完善補丁管理的手段,制訂相應管理制度;補缺Windows系統(tǒng)主機補丁安裝,補丁安裝前進行測試記錄。
5.2.6系統(tǒng)安全配置
5.2.6.1 評估標準
信息安全管理制度3
1.前言
1.1.目的
制定本制度的目的是保證公司IT系統(tǒng)有效、安全的運行,保證系統(tǒng)數(shù)據安全。
1.2.范圍
本制度適用于中電電氣(南京)光伏有限公司數(shù)據中心的日常運行。
2.控制點
2.1.日常運轉
1)各系統(tǒng)負責人(職責分工見【SODmatrix】),隨時處理網絡故障、解決網絡問題、保持網絡暢通、提高網絡的可用性和可靠性。
2)每周兩次檢查機房服務器、交換機、路由器、光纖收發(fā)器等設備運行情況,每周需填寫【資源檢查記錄表】;晚上或節(jié)假日期間,視網絡應用情況,設置現(xiàn)場值班或呼叫值班。
3)保持設備表面干凈整潔,操作設備時佩戴防靜電手環(huán)等。
4)機房管理員注意機房的溫度和濕度,機房溫度:18~30攝氏度,相對濕度:40%~60%。
5)公司員工不得私自安裝未經授權或非法的軟件,授權軟件詳見【授權軟件記錄表】,信息管理部系統(tǒng)管理人員每半年通過SMS對用戶安裝軟件進行檢查,對非法軟件進行刪除,并填寫【用戶軟件檢查記錄表】,記錄用戶安裝的異常信息及處理結果,并報IT經理審核。
2.2.病毒黑客預防管理
1)網絡管理員每周監(jiān)控企業(yè)防病毒服務器的升級情況,監(jiān)控機房中服務器殺毒軟件的更新情況,在服務器上設置自動更新、定期掃描策略(配置見公司殺毒服務器配置),并填寫【資源更新記錄表】,每月報IT經理審核。
2)每周信息管理部網絡管理員通過現(xiàn)場或通過SMS管理軟件檢查客戶端計算機防毒軟件的升級情況和實時監(jiān)控狀態(tài),并填寫【資源檢查記錄表】,每月報IT經理審核。
3)信息管理部網絡管理人員隨時注意Internet上病毒流行和爆發(fā)動態(tài),并及時向客戶端計算機發(fā)出病毒預警。
4)要有病毒爆發(fā)后的緊急處理預案,以便快速恢復系統(tǒng),保證系統(tǒng)及時相應服務。
5)利用ISA服務器或Netscreen防火墻屏蔽黑客或病毒常用的端口,提高密碼復雜度等。每周三WSUS服務器及時下推補丁給信息管理部,如補丁安裝完后沒有問題,每周四WSUS服務器及時下推補丁給網絡中所有的計算機。
6)信息部網絡管理員每天監(jiān)控網絡的健康狀態(tài),觀測網絡流量。
2.3.帳戶安全管理
1)用戶開戶和權限變更,需填寫【賬戶變更申請單】,經部門經理IT經理審批后,最后由信息管理部各系統(tǒng)管理員進行各應用系統(tǒng)的帳戶的開戶工作、變更工作。帳戶注銷,直接由各系統(tǒng)管理員在人力資源部的員工離職交接單中簽字后,在系統(tǒng)中執(zhí)行相關操作。
2)臨時開設的帳戶也需要填寫【賬戶變更申請單】,一定要控制好帳戶過期時間和權限。系統(tǒng)缺省的管理員帳號必須禁用或修改初始密碼,系統(tǒng)管理員賬號需填寫【權限授權表】,經IT經理審核后,方可執(zhí)行,系統(tǒng)管理員帳號的密碼在移交后的第一次登錄時必須重新設置密碼。
3)用戶帳戶僅限于本人使用,不得以任何方式將賬戶和密碼轉借他人,不得窺視或盜用他人的賬戶和密碼。同時,用戶有妥善保管自己賬戶和密碼的責任和義務,不得泄露。
4)各系統(tǒng)管理員每半年檢查一次帳戶信息,導出各系統(tǒng)賬戶及權限清單,與各部門經理確認系統(tǒng)帳戶和權限是否與申請人實際使用情況相符,由部門經理簽字確認,填寫【資源檢查記錄表】,報IT經理審核。
5)現(xiàn)涉及到的帳戶類型如下:域賬戶、電子郵件賬戶、SAP賬戶、無線網帳戶。
6)如果系統(tǒng)策略允許,使用帳戶10次登錄失敗后帳戶立即鎖定。
7)如果系統(tǒng)策略允許,帳戶鎖定60分鐘后自動解鎖。
2.4.密碼安全策略
如果系統(tǒng)支持密碼復雜度管理,則啟用密碼復雜度規(guī)則,滿足如下條款。
1)密碼長度最短為八個字符。
2)必須同時包含以下四個類別字符中的三類字符:英文大寫字母(從A到Z),英文小寫字母(從a到z),數(shù)字(從0到9),非字母字符(例如,!、$、#、%)。
3)密碼的.最長使用時間60天。
4)最近三次歷史密碼不能重復使用。
5)對各操作系統(tǒng)內置帳戶集中到IT經理處管理,并遵循以上規(guī)則。
6)其他不支持此密碼安全策略的應用系統(tǒng),系統(tǒng)負責人要根據以上策略手工設置。如SQL20xx、防火墻Netscreen
2.5.網絡安全管理
1)伴隨網絡的不斷擴展,如果網絡中有增減設備的情況,及時更新網絡拓撲圖,及時調整防火墻、核心交換機等設備配置,并填寫【資源變更申請單】。
2)內部網絡不接受任何外部訪問(防火墻DMZ區(qū)、除外),所有的外部訪問都在防火墻的DMZ區(qū),并且防火墻上策略限制只開放需要的端口,如郵件服務器所需要的443端口等,其余端口全部禁用。防火墻DMZ區(qū)主機需要訪問內網DC服務器,此訪問安全控制由ISA網關服務器完成。
3)內網訪問Internet或訪問DMZ主機的訪問權限和所能通過的服務均由ISA網關服務器控制,ISA策略根據網絡系統(tǒng)安全和公司具體應用確定(具體應用見ISA服務器配置),此服務器有專人管理。
4)信息管理部設專人每月度檢查核心交換機、防火墻、無線網控制器的配置,確認是否與公司的服務器配置策略相符,并填寫【資源檢查記錄表】,提交給IT部門經理審批簽字。
5)信息管理部設專人至少每周檢查一次防火墻的日志,確保網絡不受可疑對象攻擊,保證網絡的安全性、穩(wěn)定性,并填寫【日志檢查記錄表】,每月提交給IT部門經理審批簽字。
6)每周進行一次網絡數(shù)據包分析,及時發(fā)現(xiàn)類似ARP等病毒攻擊,及早預防。
7)每年對防火墻、核心交換機的日常維護記錄整理存檔一次。
2.6.數(shù)據安全管理
1)合理使用計算機分區(qū),不得將重要數(shù)據存放在系統(tǒng)分區(qū)。
2)公司數(shù)據庫系統(tǒng)、人事檔案、技術資料、圖紙、統(tǒng)計資料、營銷計劃、財務報表等重要資料要每日進行自動備份,每月進行一次完全備份;重要部門、重要系統(tǒng)不僅要做硬盤備份,還要定刻成成光盤,存放在異地長期保存。
3)含有重要資訊的資料(卡片、稿紙等)廢棄時,應確定銷毀,以免被誤用。
4)對不同用戶應用不同的系統(tǒng)策略,避免造成整個系統(tǒng)癱瘓。嚴格限制對應用系統(tǒng)數(shù)據庫的更改權利;嚴格限制重組數(shù)據庫或壓縮數(shù)據庫大小的權力;嚴格限制修改系統(tǒng)架構的權利等,操作系統(tǒng)日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
5)安全管理員每周至少查看一次數(shù)據庫日志文件,并填寫【日志檢查記錄表】,每月報IT經理審核。以盡早發(fā)現(xiàn)異常情況,確保數(shù)據庫的存取安全。
6)郵件系統(tǒng)管理員對公司外發(fā)資料做每周進行一次檢查,對往來郵件每周做一次監(jiān)控分析,防止重要資料外泄,并填寫【日志檢查記錄表】。
7)原則上不能在后臺數(shù)據庫中直接修改數(shù)據,如有需要,業(yè)務部門需填寫數(shù)據更改【變更申請單】,經業(yè)務部門經理、IT經理審核批準后,授權給DBA執(zhí)行操作,DBA在執(zhí)行操作之前必須做好數(shù)據備份工作,操作完成后再在申請單上簽字,并提交給最終用戶確認。
8)關鍵應用系統(tǒng)SAP的上機日志每周檢查一次,并填寫【日志檢查記錄表】,每月報IT經理審核。
9)掌握重要數(shù)據的網絡管理人員要注意保密,請參照“公司保密制度”。
3.附件
3.1.CSUN-RE-IN0016《資源檢查記錄表》
3.2.CSUN-RE-IN0018《資源更新記錄表》
3.3.CSUN-RE-IN0017《資源變更申請單》
3.4.CSUN-RE-IN0007《帳戶變更申請單》
3.5.CSUN-RE-IN0019《日志檢查記錄表》
3.6.CSUN-RE-IN0005《權限授權表》
3.7.CSUN-RE-IN0001《變更申請單》
信息安全管理制度4
1、公共場所安全出口數(shù)目不少于2個,疏散門和走道寬度,應按其通過人數(shù)每100人不少于0.65米計算。
2、安全出口處,不得設置門檻、臺階。疏散門應向外開啟以利疏散,而且疏散門不得采用卷簾門、轉門、吊門和側拉門,疏散口不得設置門簾、屏風、堆放雜物等影響疏散的遮擋物。
3、安全出口疏散走道和樓梯口,必須設置符合標準的'發(fā)光疏散標志,疏散標志必須有文字指示和必要的圖案,指示標志應當設在門的頂部和疏散走道或轉角處距地面一米以上的墻上,設在走道上的指示標志間距離不大于20米。
4、疏散走道和樓梯口內必設置火災事故應急照明燈,照明時間不得少于90分鐘,燈光疏散標志亦滿足照明救宜。
5、事故照明燈和疏散指示標志,應有玻璃或其它非燃材料制作保護罩。
信息安全管理制度5
為了加強學生管理,進一步做好學生平安信息登記工作,特制定以下制度。
1、學校對學生的家長姓名、家庭住址、聯(lián)系方式等各方面狀況逐一進行具體登記,做到學生家庭狀況熟,底子說得清。
2、學校對患有先天性疾病和重大疾患的學生,建立檔案,照實記載,并在教學活動和社會實踐中進行重點監(jiān)護,防止學生因參與不相宜的活動而造成意外損害。
3、做好學生出勤信息狀況登記,對學生因事因病不能到校,學生家長應剛好填寫書面假條交班主任處,由班主任剛好上報學校,學校作出統(tǒng)計。
4、學校將學生到校和放學時間、非正常缺課或擅自離校、以及身體和心理異樣狀況等關系學生平安的信息,剛好登記,并將處理信息做好記錄。
5、學生在校發(fā)生食物中毒、傳染病流行、安全事故后,學校應剛好做好詳實記錄,做好事故現(xiàn)場及有關證據的`保存工作。
6、做好學生平安信息登記工作的分析、總結、存檔工作。
信息安全管理制度6
1.數(shù)據庫安全管理
信息技術部須采用循環(huán)的完全備份和增量備份等備份策略,完成對各信息系統(tǒng)數(shù)據的定期備份,以便在信息系統(tǒng)發(fā)生故障時將數(shù)據恢復到最佳狀態(tài)。對備份的`數(shù)據文件應妥善保管,防止被非法拷貝或毀壞,嚴禁未經授權將數(shù)據庫拷貝出系統(tǒng),轉給任何單位或人員。
2.密碼安全管理
2.1初始密碼須及時更改,新密碼須包含無規(guī)則的字母、數(shù)字、符號組合并至少10位以上,禁止直接使用常用單詞、人名、電話號碼等安全系數(shù)低的字符作為密碼。
2.2各用戶需對所使用電腦、信息系統(tǒng)等密碼進行定期(如3個月)更改,如出現(xiàn)密碼泄露或異常時,須立馬更改并告知信息技術部。
2.3各服務器、信息系統(tǒng)的超級或管理員級密碼由分管系統(tǒng)管理員及信息技術部經理雙重管理,信息技術部經理掌握全部設備、全部系統(tǒng)的超級或管理員級密碼,分管管理員擁有分管系統(tǒng)的管理員級密碼(部分視情況授予超級密碼);正常情況下,此類管理級密碼每1個月系統(tǒng)管理員必須更改一次并將新密碼報備,在有信息技術部人員變動、密碼外露或其它異常情況下,必須第一時間更換并將新密碼報備。此類管理級賬號與密碼原則上不對其它任何人員提供,特殊需求須報上級領導批準方可授予。
信息安全管理制度7
為維護公司信息安全,保證公司網絡環(huán)境的穩(wěn)定,特制定本制度。
第一條信息安全是指通過各種計算機、網絡(內部信息平臺)和密碼技術,愛護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。詳細包括以下幾個方面。
1、信息處理和傳輸系統(tǒng)的平安。系統(tǒng)管理員應對處理信息的系統(tǒng)進行具體的平安檢查和定期維護,避開因為系統(tǒng)崩潰和損壞而對系統(tǒng)內存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
2、信息內容的平安。側重于愛護信息的機密性、完整性和真實性。系統(tǒng)管理員應對所負責系統(tǒng)的'平安性進行評測,實行技術措施對所發(fā)覺的漏洞進行補救,防止竊取、冒充信息等。
3、信息傳播平安。要加強對信息的審查,防止和限制非法、有害的信息通過本公司的信息網絡(內部信息平臺)系統(tǒng)傳播,避開對公司利益、公共利益以及個人利益造成損害。
第二條信息的內部管理
1、各部門在向網絡(內部信息平臺)系統(tǒng)提交信息前要作好查毒、殺毒工作,確保信息文件無毒上載;
2、依據狀況,實行網絡(內部信息平臺)病毒監(jiān)測、查毒、殺毒等技術措施,提高網絡(內部信息平臺)的整體搞病毒實力;
3、各信息應用部門對本部門所負責的信息必需作好備份;
4、各部門應對本部門的信息進行審查,網站各欄目信息的負責部門必需對發(fā)布信息制定審查制度,對信息來源的合法性,發(fā)布范圍,信息欄目維護的負責人等作出明確的規(guī)定。信息發(fā)布后還要隨時檢查信息的完整性、合法性;如發(fā)覺被刪改,應剛好向信息安全部門報告;
5、涉密文件不行放置個人計算機中,非涉密電子郵件的收發(fā)也要實行病毒查殺。
第三條信息加密
1、涉及公司隱私的信息,其電子文檔資料應當在涉密介質中加密單獨存儲;
2、涉及公司和部門利益的敏感信息的電子文檔資料應當在涉密介質中加密單獨存儲;
第四條任何部門和個人不得從事以下活動:
1、利用信息網絡系統(tǒng)制作、傳播、復制有害信息;
2、入侵他人計算機;
3、未經允許運用他人在信息網絡系統(tǒng)中未公開的信息;
4、未經授權對網絡(內部信息平臺)系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應用程序)進行增加、修改、復制和刪除等;
5、未經授權查閱他人郵件;
6、盜用他人名義發(fā)送電子郵件;
7、有意干擾網絡(內部信息平臺)的暢通運行;
8、從事其他危害信息網絡(內部信息平臺)系統(tǒng)平安的活動。
第五條本制度自發(fā)布之日起施行,凡與本制度有沖突的均以本制度為準。
信息安全管理制度8
第一條、“信息系統(tǒng)平安保密”是一項常抓不懈的工作,每名系統(tǒng)管理員都必需提高信息安全保密意識,充分相識到信息安全保密的重要性及必要性。對重要系統(tǒng)的系統(tǒng)崗位員工進行信息系統(tǒng)平安保密培訓。
第二條、實行信息發(fā)布責任追究制度,全部信息的發(fā)布必需按規(guī)定辦理審核、審簽手續(xù),必需真實有效且符合中華人民共和國法規(guī)。涉及國家及公司機密的信息系統(tǒng)必需與內部網和互聯(lián)網實施物理隔離,嚴格執(zhí)行上網信息的審查制度和涉及國家隱私的信息不得在企業(yè)內網發(fā)布的規(guī)定,杜絕泄密事務的發(fā)生。凡發(fā)布虛假、反動、色情、泄密等內容,追究信息報送和審核者責任,對公司造成重大經濟損失,將追究責任人相應的法律責任。
第三條、信息系統(tǒng)管理權限從平安級別上分為絕密、機密、隱私;從適用對象上分為高級管理員、系統(tǒng)管理員、高級用戶、中級用戶、一般用戶、特別用戶;從操作承載體上分為服務器(包括系統(tǒng)服務器、應用服務器和限制服務器)、工作終端、用戶終端;從設定內容上分為完全限制、權限設置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作等。
第四條、全部信息系統(tǒng)的運用者和不同平安等級信息之間必需存在授權關系,并在新建信息系統(tǒng)開發(fā)建設階段形成方案并加以設計,在軟件系統(tǒng)中預留對應關系設置的功能,依據運用者崗位職務的變遷進行調整。
第五條、利用IT技術手段,對信息系統(tǒng)的硬件配置調整、軟件參數(shù)修改嚴加限制。利用操作系統(tǒng)、數(shù)據庫系統(tǒng)、應用系統(tǒng)所供應的平安機制,設置相應的平安參數(shù),保證系統(tǒng)訪問的平安;對于重要的計算機設備,要利用軟件技術等手段防止員工擅自安裝、卸載軟件或變更軟件系統(tǒng)配置,并定期對以上狀況進行檢查。
第六條、信息系統(tǒng)如須要托付專業(yè)機構進行系統(tǒng)運行和維護管理時,應嚴格審查其資質條件、市場剩余和信用狀況等,并且與其簽訂正式的服務合同和保密協(xié)議。
第七條、全部信息系統(tǒng)服務器、工作終端、用戶終端必需安裝平安防病毒軟件,對未安裝防病毒軟件的.終端用戶有權拒絕為其供應網絡接入服務。
第八條、利用防火墻、路由器、入侵檢測等網絡設備,加強網絡平安,嚴密防范來自互聯(lián)網的黑客攻擊和非法侵入。
第九條、對于通過互聯(lián)網傳輸?shù)纳婷芑蜿P鍵業(yè)務數(shù)據,要實行必要的技術手段確保信息傳遞的保密性、精確性、完整性。
第十條、對于停止運行的廢舊系統(tǒng),應當做好系統(tǒng)中有價值及涉密信息的銷毀、轉移等善后工作。
第十一條、系統(tǒng)管理人員要遵守信息系統(tǒng)的各項管理制度,防止利用計算機舞弊和犯罪。
第十二條、對重要業(yè)務系統(tǒng)的訪問建立用戶管理制度,對于不同類別不同級別的各類管理及運用人員實行密碼分級管理,設定密碼有效期限,對密碼存儲采納非明文二次加密技術防止各類密碼泄露事故的發(fā)生。
信息安全管理制度9
信息安全管理制度
總則
為加強我院計算機和網絡的穩(wěn)定,充分發(fā)揮醫(yī)院計算機設備及網絡的工作效率,保障醫(yī)院計算機和網絡的安全運行,特制定本管理規(guī)定。具體內容如下:
第一章 計算機安全管理
1、醫(yī)院計算機操作人員必須按照計算機正確的使用方法操作計算機系統(tǒng).嚴禁暴力使用計算機或蓄意破壞計算機軟硬件. 2、未經許可,不得擅自拆裝計算機硬件系統(tǒng),若須拆裝,則通知網絡管理技術人員進行.
3、計算機的軟件安裝和卸載工作必須由網絡管理員進行。
4、計算機的使用必須由其合法授權者使用,未經授權不得使用. 5、醫(yī)院計算機僅限于醫(yī)院內部工作使用,原則上不許接入互聯(lián)網。因工作需要接入互聯(lián)網的,需書面向醫(yī)務科提出申請,經簽字批準后交網絡管理員負責接入。接入互聯(lián)網的計算機必須安裝正版的反病毒軟件。并保證反病毒軟件實時升級。
6、醫(yī)院任何科室如發(fā)現(xiàn)或懷疑有計算機病毒侵入,應立即斷開網絡,同時通知網絡管理員負責處理。網絡管理員應采取措施清除,并向主管院領導報告?zhèn)浒浮?/p>
7、醫(yī)院計算機內不得安裝游戲、即時通訊等與工作無關的軟件,盡量不在院內計算機上使用來歷不明的移動存儲工具。
8、未經部門領導批準,任何人不得改變網絡拓撲結構,網絡設備的布置和參數(shù)的配置。
網絡使用人員行為規(guī)范
1、不得在醫(yī)院網絡中制作、復制、查閱和傳播國家法律、法規(guī)所禁止的信息。
2、不得在醫(yī)院網絡中進行國家相關法律法規(guī)所禁止的活動。 3、未經允許,不得擅自修改計算機中與網絡有關的設置。 4、未經允許,不得私自添加、刪除與醫(yī)院網絡有關的軟件。 5、未經允許,不得進入醫(yī)院網絡或者使用醫(yī)院網絡資源。 6、未經允許,不得對醫(yī)院網絡功能進行刪除、修改或者增加. 7、未經允許,不得對醫(yī)院網絡中存儲、處理或者傳輸?shù)?數(shù)據和應用程序進行刪除、修改或者增加.
8、不得故意制作、傳播計算機病毒等破壞性程序。 9、不得進行其他危害醫(yī)院網絡安全及正常運行的活動。
第二章網絡硬件的管理
網絡硬件包括服務器、路由器、交換機、通信線路、不間斷供電設備、機柜、配線架、信息點模塊等提供網絡服務的設施及設備。 1、各職能部門、各科室應妥善保管安置在本部門的網絡設備、設施及通信。
2、 不得破壞網絡設備、設施及通信線路。由于事故原因造成的網絡
連接中斷的,應根據其情節(jié)輕重予以處罰或賠償。
3、 未經允許,不得中斷網絡設備及設施的供電線路。因生產原因必
須停電的,應提前通知網絡管理人員。
4、 不得擅自挪動、轉移、增加、安裝、拆卸網絡設施及設備。特殊
情況應提前通知網絡管理員,在得到允許后方可實施。 5、 各科主任指定本科室工作站的計算機由專人管理,并把管理人員的名字連同管理機的機器號報到信息中心,由計算機中心做統(tǒng)一登記。
6、 各科室交換機、路由器設備由科主任、護士長監(jiān)督管理,不得讓
其它電腦任意接入院內網絡。
7、 在各科工作站計算機上,除了醫(yī)院指定用系統(tǒng)外上不得安裝運行
任何程序及游戲,不得私自卸載任何軟件,不得私自存儲任何文件,不得任意外接任何設備(如U盤、移動硬盤、移動光驅、藍牙等),不得私自更換計算機及網絡設備,必須保證各工作站的單一工作姿態(tài),計算機中心將不定期檢查,如果發(fā)現(xiàn)將追究管理計算機指定人員的責任并上報醫(yī)院給予行政和經濟處罰或回收電腦使用權.
8、各科室計算機禁止無關人員在工作站上進行系統(tǒng)操作,實習生須在代教醫(yī)生的指導下才可以使用計算機,代教醫(yī)生不得為自己方便私自讓實習生單獨為病人做開醫(yī)囑等的系統(tǒng)操作,實習生不可單獨使用計算機。任何操作員離開計算機后必須先退出系統(tǒng), 下班后必須關閉計算機,或做好交班工作。
9、計算機操作員(醫(yī)生、護士)不得將其本人系統(tǒng)操作密碼任意告訴其它人,包括實習生。
10、當計算機出現(xiàn)故障時,操作員應該積極主動的配合維修人員,盡快的恢復工作狀態(tài)。
11、計算機出現(xiàn)故障后,當維修人員檢查出是人為破壞或操作失誤等情況后,維修人員需把情況向計算機所屬部門的科主任匯報,并要求科主任提出處理意見。
12、各科室必須嚴格保證計算機周圍衛(wèi)生、通風情況,不得亂放雜物
在計算機周圍,愛護計算機,讓水、強磁性物品、零食等遠離計算機。
13、電腦或網絡出現(xiàn)故障后應及時報告網絡管理辦公室安排處理,不得擅自拆卸機箱和插拔網線。
14、各科室負責人要加強對本科室計算機的使用管理,如操作人員違反制度,造成不良后果的,除追究當事人責任外,還要追究科室負責人的責任。
15、在接入電腦的電路上不得任意接入其它任何電器,以防止以外發(fā)生。
第三章 軟件及信息安全
1、未經部門領導批準,任何人不得改變網絡拓撲結構,網絡設備的布置和參數(shù)的配置。
2、不得在醫(yī)院局域網上利用計算機技術侵占其它用戶的合法利益,不得制作、復制和傳播妨害醫(yī)院穩(wěn)定的有關信息。
3、禁止在醫(yī)院局域網上制造傳播計算機病毒木馬,不得故意引入計算機病毒木馬。
4、在工作時間內,不得在計算機上打游戲、聽歌、看電視、下載、偷菜、隨意安裝軟件
5、愛護計算機,下班請按時關閉電腦.
6、計算機等辦公設施均由專人使用負責,使用人應加以愛護,如系人為損壞,則由使用人負責承擔維護費用。
7、計算機及外設所配軟件及驅動程序交網絡管理人員保管,以便統(tǒng)一維護和管理。
8、管理系統(tǒng)軟件由網絡管理員按使用范圍進行安裝,其他任何人不得安裝、復制、傳播此類軟件。
9、 網絡資源及網絡信息的使用權限由網絡管理員按醫(yī)院的有關規(guī)定予以分配,任何人不得擅自超越權限使用網絡資源及網絡信息。
10、網絡的使用人員應妥善保管各自的密碼及身份認證文件,不得將密碼及身份認證文件交與他人使用。
11、任何人不得將含有醫(yī)院信息的計算機或各種存儲介質交與無關人員,更不得利用醫(yī)院數(shù)據信息獲取不正當利益。
信息安全管理制度10
1、校園網的所有工作人員和用戶必須遵守國家有關法律、法規(guī),嚴格執(zhí)行安全保密制度,并對所提供的信息負責。
2、任何個人不得利用計算機網絡從事危害國家安全、泄露國家秘密的活動;不得查閱、復制和傳播有礙社會治安和傷風敗俗的.信息。
3、校園網的所有工作人員和用戶必須接受并配合學校治安部門依法進行的監(jiān)督檢查和采取的必要措施。
4、校園網實行統(tǒng)一管理、分層負責制。網絡中心對校級資源進行管理,各處、室、部門管理人員負責對各處、室、部門級資源進行管理,計算機系統(tǒng)管理員負責對各計算機系統(tǒng)的管理。
5、嚴禁任何用戶擅自連入校園網,入網單位和個人要辦理入網登記手續(xù),并簽署相應的信息安全協(xié)議。
6、各單位設專人負責審查上網信息,嚴禁涉及國家機密的信息上網。
7、校園網工作人員和用戶在網絡上發(fā)現(xiàn)有礙社會治安和不健康的信息時有義務及時上報網絡管理人員并自覺進行銷毀。
8、校園網各級管理機構設定網絡安全員,負責相應的網絡安全和信息安全工作,并定期對網絡用戶進行有關信息安全和網絡安全教育。
9、室內嚴禁吸煙,嚴禁將易燃、易爆物品帶入室內;嚴禁將飲料、開水放在機器旁。
10、中心內的設備沒有負責人允許,不得私自折裝;有關軟硬件的添加、安裝必須有負責人或技術人員專門指導,服務器嚴禁安裝任何軟件。
11、積極配合教師培訓,學生課外興趣小組活動和各競賽的輔導工作。
信息安全管理制度11
校內網信息發(fā)布實行統(tǒng)一管理、分層負責制。網絡中心對學校主頁信息進行管理,各處室的主要負責人負責對本部門的`上網資源和計算機系統(tǒng)進行管理。
一、網管中心負責全校的網絡信息和保密工作,定期對網絡用戶進行有關保密和網絡安全教學。
二、對外信息發(fā)布。各處室可以申請網絡域名和ftp站點(見附件7),自行管理各部門網站信息發(fā)布。須要在學校首頁上發(fā)布的信息,須要填寫“網上信息發(fā)布申請表”,審查后交由網管中心上網發(fā)布。(網上信息發(fā)布申請表見附件8)
三、信息的閱覽與查詢。不得查閱、復制和傳播有礙社會治安和傷風敗俗的信息。校內網工作人員和用戶如在網絡上發(fā)覺有礙社會治安和不健康的信息,有義務剛好上報網絡管理人員,做好備份并自覺銷毀。
四、違反本條例規(guī)定,有下列行為之一者,校網絡中心可提出警告直至停止其運用網絡,情節(jié)嚴峻者,提交學校行政部門或有關部門處理。
1、查閱、復制或傳播下列信息者:煽動分裂國家、破壞國家統(tǒng)一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施;捏造或者歪曲事實、有意散布謠言,擾亂社會秩序公然羞辱他人或者捏造事實誹謗他人宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2、破壞、盜用計算機網絡中的信息資源和危害計算機網絡平安活動。
3、盜用他人帳號者。
4、私自轉借、轉讓用戶帳號造成危害者。
5、有意制作、傳播計算機病毒等破壞性程序者。
6、不按國家和學院有關規(guī)定擅自接納網絡用戶者。
7、網絡中心,屬我校內網絡重地,未經許可不得進入。
信息安全管理制度12
1、信息安全禁止行為:
1.1利用公司信息系統(tǒng)平臺、網絡制作、傳播、復制危害公司及員工的有關任何信息;
1.2攻擊、入侵他人計算機,未經允許運用他人計算機設備、信息系統(tǒng)等;
1.3未經授權對信息平臺erp、crm、wms、網站、企業(yè)郵件系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應用程序)進行增加、修改、移動、復制和刪除等;
1.4未經授權查閱他人郵件,盜用他人名義進行發(fā)送任何電子郵件;
1.5有意干擾、破壞公司信息平臺erp、crm、wms、網站、企業(yè)郵件等系統(tǒng)的平安、穩(wěn)定暢通運行;從事其他危害公司計算機、網絡設備、信息平臺的平安活動;
1.6未經公司高管領導批準不得通過網絡、移動存儲設備等向外傳輸、發(fā)布、泄露有關公司的任何信息;其它危害公司信息安全或違反國家相關法律法規(guī)、信息安全條例的行為。
2、信息安全響應機制
2.1信息技術部負責公司信息安全的整體指導與管理工作,并對數(shù)據中心機房軟硬件及信息系統(tǒng)、數(shù)據庫的維護、備份等平安進行日常管理。各分支機構、部門涉及公司(或商業(yè))機密的.信息安全由分支或部門本身自行負責管理和限制。
2.2為保障各信息系統(tǒng)平安穩(wěn)定運行,信息技術部在工作日時間由分管管理員負責維護,節(jié)假日依據須要,支配相關人員負責值班支持。運用人如發(fā)覺問題應剛好通知信息技術部,管理員應剛好處理并做好系統(tǒng)事務記錄。
2.3信息系統(tǒng)的權限管理部門為信息技術部,負責各信息系統(tǒng)的權限管理,并指定專人為系統(tǒng)管理員完成各系統(tǒng)賬號、權限的設立、注銷及變更。
2.4如出現(xiàn)特別狀況,分管管理員應剛好處理及解決,同時第一時間向部門經理報告,如確定異樣狀況為災難、重大影響的還須上報公司高層。
3、如其它信息管理制度涉及信息安全的條款與本制度有沖突,則以本制度為準。本管理規(guī)定由信息技術部負責制定、說明,自頒布之日起先暫行。
信息安全管理制度13
1、安全管理制度要求
1.1總則:為了切實有效的保證公司信息安全,提高信息系統(tǒng)為公司生產經營的服務實力,特制定交互式信息安全管理制度,設定管理部門及專業(yè)管理人員對公司整體信息安全進行管理,以確保網絡與信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件應包括:
a)平安崗位管理制度;
b)系統(tǒng)操作權限管理;
c)平安培訓制度;
d)用戶管理制度;
e)新服務、新功能平安評估;
f)用戶投訴舉報處理;
g)信息發(fā)布審核、合法資質查驗和公共信息巡查;
h)個人電子信息安全愛護;
i)平安事務的監(jiān)測、報告和應急處置制度;
j)現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。
1.1.2安全管理制度應經過管理層批準,并向全部員工宣貫。
2、機構要求
2.1法律責任
2.1.1互聯(lián)網交互式服務供應者應是一個能夠擔當法律責任的組織或個人。
2.1.2互聯(lián)網交互式服務供應者從事的信息服務有行政許可的應取得相應許可。
3、人員安全管理
3.1平安崗位管理制度
建立平安崗位管理制度,明確主辦人、主要負責人、平安責任人的職責:崗位管理制度應包括保密管理。
3.2關鍵崗位人員
3.2.1關鍵崗位人員任用之前的背景核查應根據相關法律、法規(guī)、道德規(guī)范和對應的業(yè)務要求來執(zhí)行,包括:
①個人身份核查;
②個人履歷的核查;
③學歷、學位、專業(yè)資質證明;
④從事關鍵崗位所必需的實力;
3.2.2應與關鍵崗位人員簽訂保密協(xié)議。
3.3平安培訓
建立平安培訓制度,定期對全部工作人員進行信息安全培訓,提高全員的信息安全意識,包括:
①上崗前的培訓;
②平安制度及其修訂后的培訓;
③法律、法規(guī)的發(fā)展保持同步的接著培訓。應嚴格規(guī)范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協(xié)作公安機關工作的人員變動應通報公安機關。
3.4人員離崗
應嚴格規(guī)范人員離崗過程:
a)剛好終止離崗員工的全部訪問權限;
b)關鍵崗位人員須承諾調離后的保密義務后方可離開;
c)協(xié)作公安機關工作的人員變動應通報公安機關。
4、訪問限制管理
4.1訪問管理制度
建立包括物理的和邏輯的系統(tǒng)訪問權限管理制度。
4.2權限安排
按以下原則依據人員職責安排不同的訪問權限:
a)角色分別,如訪問懇求、訪問授權、訪問管理;
b)滿意工作須要的最小權限;
c)未經明確允許,則一律禁止。
4.3特別權限限制和限制特別訪問權限的安排和運用:
a)標識出每個系統(tǒng)或程序的特別權限;
b)根據“按需運用”、“一事一議”的原則安排特別權限;
c)記錄特別權限的授權與運用過程;
d)特別訪問權限的安排須要管理層的批準。
注:特別權限是系統(tǒng)超級用戶、數(shù)據庫管理等系統(tǒng)管理權限。
4.4權限的檢查
定期對訪問權限進行檢查,對特別訪問權限的授權狀況應在更常見的時間間隔內進行檢查,如發(fā)覺不恰當?shù)臋嘞拊O置,應剛好予以調整。
5、網絡與主機系統(tǒng)的平安
5.1 網絡與主機系統(tǒng)的平安
應維護運用的網絡與主機系統(tǒng)的平安,包括:
a)實施計算機病毒等惡意代碼的預防、檢測和系統(tǒng)被破壞后的復原措施;
b)實施7×24h網絡入侵行為的預防、檢測與響應措施;
c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的復原措施;
d)對系統(tǒng)的脆弱性進行評估,并實行適當?shù)拇胧┨幚硐嚓P的風險。注:系統(tǒng)脆弱性評估包括采納平安掃描、滲透測試等多種方式。
5.2備份
5.2.1應建立備份策略,有足夠的備份設施,確保必要的信息和軟件在災難或介質故障時可以復原。
5.2.2 網絡基礎服務(登錄、消息發(fā)布等)應具備容災實力。
5.3平安審計
5.3.1應記錄用戶活動、異樣狀況、故障和平安事務的日志。
5.3.2審計日志內容應包括:
a)用戶注冊相關信息,包括:
1)用戶唯一標識;
2)用戶名稱及修改記錄;
3)身份信息,如姓名、證件類型、證件號碼等;
4)注冊時間、IP地址及端口號;
5)電子郵箱地址和于機號碼;
6)用戶備注信息;
7)用戶其他信息。
b)群組、頻道相關信息,包括:
1)創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人IP地址及端口號;
2)刪除時間、刪除人、刪除人IP地址及端口號;
3)群組組織結構;
4)群組成員列表。
c)用戶登錄信息,包括:
1)用戶唯一標識;
2)登錄時間;
3)退出時間;
4)IP地址及端口號。
d)用戶信息發(fā)布日志,包括:
1)用戶唯一標識;
2)信息標識;
3)信息發(fā)布時間;
4)IP地址及端口號;
5)信息標題或摘要,包括圖片摘要 。
e)用戶行為,包括:
1)進出群組或頻道;
2)修改、刪除所發(fā)信息;
3)上傳、下載文件。
5.3.3應確保審計日志內容的可溯源性,即可追溯到真實的用戶ID、網絡地址和協(xié)議。電子郵件、短信息、網絡電話、即時消息、網絡閑聊等網絡消息服務供應者應能防范偽造、隱匿發(fā)送者真實標記的消息的措施;涉及地址轉換技術的服務,如移動上網、網絡代理、內容分發(fā)等應審計轉換前后的地址與端口信息;涉及短網址服務的,應審計原始URL與短UR L之間的映射關系。
5.3.4應愛護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。
5.3.5應能夠依據公安機關要求留存具備指定信息訪問日志的留存功能。
5.3.6審計日志保存周期
a)應永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄閑聊室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;
b)系統(tǒng)維護日志信息保存12個月以上;
c)應留存用戶日志信息12個月以上;
d)對用戶發(fā)布的信息內容保存6個月以上;
e)已下線的系統(tǒng)的日志保存周期也應符合以上規(guī)定。
6、應用平安
6.1用戶管理
6.1.1向用戶宣揚法律法規(guī),應在用戶注冊時,與用戶簽訂服務協(xié)議,告知相關權利義務及需擔當?shù)姆韶熑巍?/p>
6.1.2建立用戶管理制度,包括:
a)用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:
1)身份證與姓名實名驗證服務;
2)有效的銀行卡;
3)合法、有效的數(shù)字證書;
4)已確仔細實身份的網絡服務的注冊用戶;
5)經電信運營商接入實名認證的用戶。(如某網站采納已經實名認證的第三方賬號登陸,可認為該網站的用戶已進行有效核驗。)
b)應對用戶注冊的賬號、頭像和備注等信息進行審核,禁止運用違反法律法規(guī)和社會道德的內容;
c)建立用戶黑名單制度,對網站自行發(fā)覺以及公安機關通報的多次、大量發(fā)送傳播違法有害信息的用戶納應入黑名單管理。
6.1.3當用戶利用互聯(lián)網從事的服務須要行政許可時,應查驗其合法資質,查驗可以通過以下方法進行:
a)核對行政許可文件;
b)通過行政許可主管部門的公開信息;
c)通過行政許可主管部門的驗證電話、驗證平臺。
6.2違法有害信息防范和處置
6.2.1公司實行管理與技術措施,剛好發(fā)覺和停止違法有害信息發(fā)布。
6.2.2公司采納人工或自動化方式,對發(fā)布的信息逐條審核。
實行技術措施過濾違法有害信息,包括且不限于:
a)基于關鍵詞的文字信息屏蔽過濾;
b)基于樣本數(shù)據特征值的.文件屏蔽過濾;
c)基于URL的屏蔽過濾。
6.2.3應實行技術措施對違法有害信息的來源實施限制,防止接著傳播。
注:違法有害信息來源限制技術措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止共享、禁止留言及回復、限制特定發(fā)布來源、限制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯(lián)互通等。
6.2.4公司建立7*24h信息巡查制度,剛好發(fā)覺并處置違法有害信息。
6.2.5建立涉嫌違法犯罪線索、異樣狀況報告、平安提示和案件調差協(xié)作制度,包括:
a)對發(fā)覺的違法有害信息,馬上停止發(fā)布傳輸,保留相關證據(包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄),并向屬地公安機關報告;
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要狀況或重大緊急事務馬上向屬地公安機關報告,同時協(xié)作公安機關做好調查取證工作。
6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及共享中的任何一個環(huán)節(jié)應能再5min之內刪除,相關的屏蔽過濾措施應在10min內生效。
6.3破壞性程序防范
6.3.1實施破壞性程序的發(fā)覺和停止發(fā)布措施、并保留發(fā)覺的破壞性程序的相關證據。
6.3.2對軟件下載服務供應者(包括應用軟件商店),檢查用戶發(fā)布的軟件是否是計算機病毒等惡意代碼。
7、個人電子信息愛護
7.1.1制定明確、清晰的個人電子信息處置規(guī)則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務協(xié)議中明示收集與運用個人電子信息的目的、范圍與方式。
7.1.2湖南凱美醫(yī)療網站僅收集為實現(xiàn)正值商業(yè)目的和供應網絡服務所必需的個人信息;收集個人電子信息時,取得用戶的明確授權同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,并取得用戶明確授權同意;法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。
7.1.3公司在修改個人電子信息處理時,應告知用戶,并取得其同意。
7.2技術措施
公司建立覆蓋個人電子信息處理的各個環(huán)節(jié)的平安愛護制度和技術措施,防止個人電子信息泄露、損毀、丟失,包括:
a)采納加密方式保存用戶密碼等重要信息;
b)審計內部員工對涉及個人電子信息的全部操作,并對審計進行分析,預防內部員工有意泄露;
c)審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據;
d)建立程序來限制對涉及個人電子信息的系統(tǒng)和服務的訪問權的安排。這些程序涵蓋用戶訪問生存周期內的各個階段,從新用戶初始注冊到不再須要訪問信息系統(tǒng)和服務的用戶的最終撤銷;
e)系統(tǒng)的平安保障技術措施覆蓋個人電子信息處理的各個環(huán)節(jié),防止網絡違法犯罪活動竊取信息,降低個人電子信息泄露的風險。
7.3個人信息泄露事務的處理
a)當發(fā)覺個人電子信息泄露時間后,應馬上實行補救措施,防止信息接著泄露;
b)24小時內告知用戶,依據用戶初始注冊信息重新激活賬戶,避開造成更大的損失馬上告屬地公安機關。
8、平安事務管理
8.1平安時間管理制度
8.1.1建立平安事務的監(jiān)測、報告和應急處置制度,確保快速有效和有序地響應平安事務。
8.1.2平安事務包括違法有害信息、危害計算機信息系統(tǒng)平安的異樣狀況及突發(fā)公共事務。
8.2應急預案
制定平安事務應急處置預案,向屬地公安機關珍寶,并定期開展應急演練。
8.3突發(fā)公共事務處理
突發(fā)公共事務分為四級:I級(特殊重大)、II級(重大)、III級(較大)、IV級(一般),互聯(lián)網交互式服務供應者應建立相應處置機制,當突發(fā)公共事務發(fā)生后,投入相應的人力與技術措施開展處置工作:
a)I級:應投入安全管理等部門80%甚至全部人力開展處置工作;
b)II級:應投入安全管理等部門50% —80%的人力開展處置工作;
c)III級:應投入安全管理等部門30%—50%的人力開展處置工作;
d)IV級:應投入安全管理等部門30%的人力開展處置工作。
8.4技術接口
公司網站所設技術接口為公安機關供應的符合國家及公共平安行業(yè)標準的技術接口,能確保實時,有效地供應相關證據。
信息安全管理制度14
1、學校應將制度規(guī)定的學生到校和放學時間,及時告知其監(jiān)護人。
2、學校應將學生非正常缺席或擅自離校的情況,及時告知其監(jiān)護人。
3、學校組織學生外出活動,或因組織活動需要調休的,班主任至少提前一天通知家長。
4、學校某處的確有安全隱患,應向相關部位書面告示,并由教師教育學生不得敫危險區(qū)域。
5、學生未正常到校上課的,班主任應及時與家長取得聯(lián)系,了解未到校原因。
6、學校需建立學生特異體質和特定疾病監(jiān)護人向學校告知制度,以便在教育教學活動中了解學生身體情況,合理安排其活動量。
7、班主任在新常年開始時應向監(jiān)護人了解學生是否有特異體質和特定疾病,監(jiān)護人應如實說明情況,并附醫(yī)院證明或其他相關證明,提出需要減輕活動量的個體要求,班主任負責做好書面檔案,并書面通知有關課程的老師。
8、各學科老師組織教學中有責任根據學生的健康狀況適當調節(jié)和控制有特異體質和特疾病的學生的`活動量。
9、學生在學校期間出現(xiàn)安全事故時,所有現(xiàn)場或知情教職工和學生都有進行緊急救護和報告學校的責任。
10、一旦發(fā)生學生傷害事故,在場的老師和學生應該立即護送被傷害者到校保健室室醫(yī)療,情況嚴重者須立即送醫(yī)院,或者撥打120電話求助,同時知情師生立即向班主任、教務處報告,情況嚴重時立即報告校長。
11、班主任、教務處、學校領導在接到學生傷害事故報告后,應該首先安排被傷害學生的救護醫(yī)療通知監(jiān)護人,然后調查事發(fā)的經過和主要原因。教務處負責學生的一般傷害事故的調查處理,重大傷害事故校長參與處理。學生傷害事故的處理,應該按照國家頒布的《學生傷害事故處理辦法》進行。
12、學校在學生自愿的前提下協(xié)助學生辦理意外傷害保險。
信息安全管理制度15
1.計算機設備安全管理
1.1員工須使用公司提供的計算機設備(特殊情況的,經批準許可的方能使用計算機),不得私自調換或拆卸并保持清潔、安全、良好的計算機設備工作環(huán)境,禁止在計算機使用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
1.2嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的.使用方法。任何人不允許私自拆卸計算機組件,當計算機出現(xiàn)硬件故障時應及時向信息技術部報告,不允許私自處理和維修。
1.3員工對所使用的計算機及相關設備的安全負責,如暫時離開座位時須鎖定系統(tǒng),移動介質自行安全保管。未經許可,不得私自使用他人計算機或相關設備,不得私自將計算機等設備帶離公司。
1.4因工作需要借用公司公共筆記本的,實行“誰借用、誰管理”的原則,切實做到為工作所用,使用結束后應及時還回公司。
2.電子資料文件安全管理。
2.1文件存儲
重要的文件和工作資料不允許保存在c盤(含桌面),同時定期做好相應備份,以防丟失;不進行與工作無關的下載、游戲等行為,定期查殺病毒與清理垃圾文件;拷貝至公共計算機上使用的相關資料,使用完畢須注意刪除;各部門自行負責對存放在公司文件服務器p盤的資料進行審核與安全管理;若因個人原因造成數(shù)據泄密、丟失的,將由其本人承擔相關后果。
2.2文件加密
涉及公司機密或重要的信息文件,所有人員需進行必要加密并妥善保管;若因保管不善,導致公司信息資料的外泄及其他損失,將由其本人承擔一切責任。
2.3文件移動
嚴禁任何人員以個人介質光盤、u盤、移動硬盤等外接設備將公司的文件資料帶離公司。若因出差等原因需要拷貝文件資料到存儲設備中,需要向上級請示批準,并以公司存儲設備做文件拷貝。
2.4文件轉移
若員工離職,在辦完移交手續(xù)時,所在部門負責人將此員工工作資料拷貝至部門保存(可聯(lián)系信息技術部進行技術支持),若沒有執(zhí)行此操作流程,離職員工損失的任何資料由該部門自行承擔。
【信息安全管理制度】相關文章:
信息安全管理制度[經典]01-18
信息安全管理制度10-28
信息安全管理制度11-28
信息安全管理制度08-02
網絡信息安全管理制度12-05
信息安全管理制度[優(yōu)選]01-18
醫(yī)院信息安全管理制度07-03
公司信息安全管理制度06-03
信息安全管理制度[優(yōu)]05-15
網絡與信息安全管理制度11-29