信息安全管理制度

时间：2025-01-18 08:37:02 制度我要投稿

信息安全管理制度[经典]

　　在发展不断提速的社会中，制度的使用频率呈上升趋势，制度泛指以规则或运作模式，规范个体行动的一种社会结构。我敢肯定，大部分人都对拟定制度很是头疼的，下面是小编收集整理的信息安全管理制度，供大家参考借鉴，希望可以帮助到有需要的朋友。

信息安全管理制度[经典]

信息安全管理制度1

　　一、网路管理员要随时处理网络故障、解决网络问题、保持网络畅通、提高网络的可用性和可靠性水平。定时检查机房服务器、交换机、路由器、光纤收发器等设备运行情况和存在问题。

　　二、网络管理员值班室应注意机房的温度和湿度，使夏季温度在±5℃，冬季温度20±5℃，相对湿度45%~65%。每天清理机房卫生，保证机房整洁；严禁在机房内吃食物或存放食物，以防止鼠害。

　　三、网络管理员对机房、网络进行操作时必须经过主管领导批准，严禁随意操作、更改机房和网络配置。重大网络操作（如系统升级、系统更换、数据转储等）应事先书面提出报告，采取妥善措施系统和数据保护性备份后，经主管领导批准，方可实施操作，并填写操作记录。

　　四、每周要检查各个服务器的日志文件，良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的'有力武器。察觉到网络处于被攻击状态后，网络信息管理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做善意阻止并向主管领导汇报。保留所有用户访问站点的日志文件，每两个月要对日志文件进行异地备份，备份日志不得更改，刻录光盘保留。

　　五、任何人不得在网上制造、传播计算机病毒，不得故意输入计算机病毒及其有害数据危害网络安全。网络使用者发现病毒，应立即向网络管理员报告，以便获得及时处理。

　　六、严禁在机房内私自配接电器；严禁在电线、电缆上悬挂、堆放物品；严禁在UPS电源上私拉乱扯用电器；UPS应妥善保养，每3个月放电一次；严禁在机房内使用或存放易燃、易爆、腐蚀性、挥发性物品；机房门外严禁堆放杂物和易燃、易爆物；严禁在机房内吸烟。

信息安全管理制度2

　　第一条、为保证网络正常安全运行及国家保密，凡使用校园网的各类用户必须严格遵守本条例。

　　第二条、学校网络使用和信息安全管理工作严格按照“谁主管、谁主办、谁负责”的'原则，实行统一管理和分级负责相结合的管理体制。学校网管中心统一负责校园网络和全校计算机信息安全管理，各系、部、处、室、馆部门具体对本单位的网络使用和计算机信息安全负责。

　　第三条、网络安全问题将纳入各部门每年目标考核之中。

　　第四条、各部门确定网络安全负责人和直接责任人，必须有完善的管理制度和使用规程、条理，重视安全问题。

　　第五条、各机房必须保留上网使用（登记）信息，详细完整的纸面或者电子文档信息供查，各部门严格管理计算机上网；上网计算机日志内容保留时间不少于60天，学生即使免费上网也必须登记使用信息；如果发生网络安全事件，各部门、系不能出示有效的、完整的、详细的上网使用登记信息，将由该部门、系自行全部负责。

　　第六条、各部门将自己提供的网络使用信息（网络上机）、资源和服务情况（自有网站、主页等）等必须书面文字材料送一份网络中心备案

　　第八条、网络申请使用必须先书面申请，正式使用前签定有关使用协议或者责任书。

　　第九条、网络中心将会同学校有关部门对全校机房等网络使用情况进行定期或者随机检查，发现问题及时通报、及时解决。

信息安全管理制度3

　　第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。

　　1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。

　　2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。

　　3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避免对国家利益、公共利益以及个人利益造成损害。

　　第二条涉及国家秘密信息的安全工作实行领导负责制。

　　第三条信息的内部管理

　　1、各科室（下属单位）在向网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载；

　　2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；

　　3、各信息应用科室对本单位所负责的信息必须作好备份；

　　4、各科室应对本部门的信息进行审查，网站各栏目信息的'负责科室必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告；

　　5、涉及国家秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行；

　　6、涉及国家秘密信息，未经信息安全分管领导批准不得在网络上发布和明码传输；

　　7、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。

　　第四条信息加密

　　1、涉及国家秘密的信息，其电子文档资料应当在涉密介质中加密单独存储；

　　2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储；

　　3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储；;

　　4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。

　　第五条任何单位和个人不得从事以下活动：

　　1、利用信息网络系统制作、传播、复制有害信息；

　　2、入侵他人计算机；

　　3、未经允许使用他人在信息网络系统中未公开的信息；

　　4、未经授权对网络（内部信息平台）系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、复制和删除等；

　　5、未经授权查阅他人邮件；

　　6、盗用他人名义发送电子邮件；

　　7、故意干扰网络（内部信息平台）的畅通运行；

　　8、从事其他危害信息网络（内部信息平台）系统安全的活动。

　　第六条本制度自发布之日起施行，凡与本制度有冲突的均以本制度为准。

　　1、学校应将学校规定的学生到校和放学时间，及时告知其监护人。

　　2、学校应将学生非正常缺席或者擅自离校情况，及时告知其监护人。

　　3、学校组织学生外出活动，班主任至少提前一天通知或告示知家长。

　　4、学校因组织活动需要调休的，班主任至少提前一天通知或告示知家长。

　　5、学校因组织活动需提前或推迟放学的，班主任至少提前一天通知或告示知家长。

　　6、学校某部位确有安全隐患的，应有相关部位书面告示，并由教师教育学生不擅入危险区域。

　　7、学生未正常到校上课的，班主任应及时与家长取得联系，了解未到校原因。

　　8、学校建立学生特异体质和特定疾病监护人向学校告知制度，以便在教育教学活动中教师了解学生身体情况，合理安排其活动量。

　　9、班主任在新学年开始时向监护人了解学生是否有特异体质和特定疾病，监护人应如实说明清楚，并附医院证明或其他相关证明，提出需要减轻活动量的具体要求，班主任负责做好书面档案，并书面通知有关课程的老师。

　　10、各学科老师组织教学中有责任根据学生的健康状况适当调节和控制有特异体质和特定疾病的学生活动量。

　　11、学生在学校期间出现安全事故时，所有现场或知情教职工和学生都有进行紧急救护和报告学校的责任，第一知情者为第一责任人。

　　12、一旦发生学生伤害事故，在场的。老师和学生应该立即护送被伤害者到就近的医院，或者拨打120电话求助，同时知情师生立即向班主任、教导处报告，情况严重时立即报告校长室。

　　13、班主任、教导处、学校领导在接到学生伤害事故报告后，应该首先安排被伤害学生的救护医疗和通知监护人，然后调查事发的经过和主要原因。教导处负责学生一般伤害事故的调查处理，重大伤害事故校长参与处理。学生伤害事故的处理，应该按照国家颁布的《学生伤害事故处理办法》进行。

　　14、学校在学生自愿的前提下协助学生办理意外伤害保险。

信息安全管理制度4

　　一、计算机设备管理制度

　　1、计算机的使用者要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的`物品。

　　2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经医院信息部门负责人批准。

　　3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑管理人员，不允许私自处理或找非本单位技求人员进行维修及操作。

　　二、操作员安全管理制度

　　（一）操作代码（工号）是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及而设置；

　　（二）系统管理操作代码的设置与管理

　　1、系统管理操作代码必须经过医院授权取得。

　　2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；

　　3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授杈；

　　4、系统管理员不得使用他人操作代码进行业务操作；

　　5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；

信息安全管理制度5

　　1.总则

　　1.1目的：

　　为加强公司作风建设，宣传廉洁文化，预防利用职务及职权谋取不正当利益。同时做好公司信息的安全和保密工作，使公司所拥有的信息在经营活动中充分利用，保护公司的利益不受侵害，树立健康积极的企业文化形象，特制定本管理制度。

　　1.2适用范围：

　　本制度适用于公司所有在职员工。

　　1.3定义：

　　廉洁：清白高洁，不贪污，从不使用公家的钱来养活自己（不贪污），就是指人生光明磊落的态度和诚信，正直的风气。

　　信息安全：信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行。

　　业务单位：与公司有一切业务（含但不限于供货、施工、促销合作等关系）往来或联系的单位或个人。

　　1.4职责权限

　　3.1总经办负责廉洁文化建设方向的指引，对公司的信息安全管理具有监督和最后裁决权。

　　3.2监察部负责监督和执行廉洁与信息安全管理规定，接受全体员工的举报和监督，对举报和违规情况进行调查核实。

　　3.3行政部负责廉洁文化和信息安全意识的宣传和教育，接收和申报处理公司员工收受和外部财物。

　　3.4信息部负责公司所有文件资料的分类存档和保存，对电子存档资料进行定期整理和备份，并做好文件防盗和密码保护工作。

　　3.5各部门：具有共同维护公司廉洁文化建设和信息保密工作的权利，都有保守公司秘密的义务，对公司廉洁和信息安全管理规定具有监督和举报权。

　　2.主要内容：

　　2.1廉洁自律规定

　　2.1.1不准收受任何业务单位的个人现金、购物卡券、有价证券和支付凭证。

　　2.1.2因各种原因未能拒收业务单位的，必须及时向公司行政部申报统一处理。具体需申报的情况如下：

　　业务单位不回收的样品和商品赠品；

　　业务单位节假日馈赠的礼品、礼篮等；

　　业务单位赠送的其他具有实际价值实物、活动等。

　　业务单位组织的集体考察、学习、旅游等外出活动；

　　业务单位赠送的无法拒绝的各类现金、购物卡券、有价证券和支付凭证；

　　2.1.3不准向业务单位及其个人借贷钱物。

　　2.1.4不准在各业务单位报销应由个人支付的有关票据。

　　2.1.5不借业务办理之机，对各业务单位吃、卡、拿、要。

　　4.1.6禁止利用职权和职务上的便利和影响为亲友及身边工作人员谋取利益。

　　2.1.7工作中不弄虚作假，按规定收集整理好各类基础资料，不做假帐或帐外账。

　　2.1.8不准用公款支付个人名义的宴请。公关或业务接待必须经总经办批准后在合理的范围内进行。

　　2.1.9不准接受可能对商品和设备供应价格、工程施工价格的业务合作行为产生影响的钱、物馈赠和宴请。

　　2.1.10不准为谋取不正当的利益，在经济往来中违反有关规定，以各种名义收取回扣、中介费、手续费等归个人所有。

　　2.1.11不借出差、考察、学习之机利用公款进行旅游娱乐活动，或接受可能影响公正办理业务的宴请、礼品馈赠或其他服务。

　　2.1.12严禁以虚报、谎报等手段获取荣誉；以虚报、谎报等手段获取的荣誉、职称及其他利益予以取消或者纠正。

　　2.2信息安全

　　2.2.1公开信息：公司已对外公开发布的信息，如公司宣传册、产品或公司介绍视频等。

　　2.2.2保密信息：公司仅允许在一定范围内发布的信息，一旦泄露，将可能给公司或相关方造成不良影响。比如公司投资计划等。

　　2.2.3根据信息价值、影响及发放范围的不同，公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。

　　绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性影响的保密信息，如：公司订单，重大投资决议等。

　　机密信息：公司重要秘密，一旦泄露将使公司利益受到严重损害的保密信息如：未发布的任命文件，公司财务分析报告等文件。

　　秘密信息：公司一般性信息，但一旦泄露会使公司利益受到损害的.保密信息，如：人事档案，供应商选择评估标准等文件。

　　内部公开：仅在公司内部公开或仅在公司某一个部门内公开，对外泄露可能会使公司利益造成损害的保密信息的保密信息，如：年度培训计划，员工手册，各种规章制度等。

　　2.2.4公司保密信息包括但不限于以下内容：

　　公司经营发展决策中的秘密事项；

　　专有技术，专利技术、技术图纸；

　　生产细则、工程BOM、SOP及治具资料；

　　人事决策中的秘密事项；

　　重要的合同、客户和合作渠道；

　　招标项目的标底、合作条件、贸易条件；

　　财务信息，公司非向公众公开的财务情况、银行账户账号；

　　董事会或总经理确定应当保守的公司其他秘密事项。

　　2.2.5除公司已经正式对外公开发布的信息外，任何单位和个人不得从事以下活动：

　　利用信息网络系统制作、传播、复制有害信息；

　　未经允许使用他人在信息网络系统中未公开的信息；

　　未经授权对网络（内部信息平台）系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、复制和删除等；

　　未经授权查阅他人邮件；

　　盗用他人名义发送电子邮件；

　　故意干扰网络（内部信息平台）的畅通运行；

　　从事其他危害信息网络（内部信息平台）系统安全的活动。

　　2.2.6公司保密信息应根据需要，限于一定范围的员工接触。接触公司秘密的员工，未经批准不准向他人泄露。非接触公司秘密的员工，不准打听公司秘密。

　　2.3违规追责处理

　　2.3.1公司所有员工一经任何人发现或内外部举报有违廉洁自律的行为，公司将组织相关部门进行调查核实，一经查证，将追究责任人所造成的责任损失，并进行违规处罚，对造成公司重大经济损失且情节严重的，将移交公安机关进行立案处理。

　　2.3.2除公司公开的信息外，任何人将公司的保密信息以任何形式（口头传达、电子邮件、上传网络、存储拷贝、拍照影印、复印资料）对外泄露或散布出去的，公司将从源头上追究信息泄密者，经查实后立即根据情节轻重进行追责处理。因信息泄密造成公司经济损失或形象受损时，将依法移交司法机关进行处理。

　　3.附则

　　3.1本制度最终解释权归xx有限公司所有。

　　3.2本制度自20xx年8月9日起实行，暂定实施1年。

信息安全管理制度6

　　一、总则为了保护企业的信息安全，特订立本制度，望全体员工遵照执行。

　　二、计算机管理要求

　　1、管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报给管理员，管理员(填写《计算机地址分配表》)进行备案管理。如有变更，应在变更计算机负责人一周内向管理员申请备案。

　　2、公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机(不包括管理员)，应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由计算机负责人承担。

　　3、计算机设备未经管理员批准同意，任何人不得随意拆卸更换;如果计算机出现故障，计算机负责人应及时向管理员报告，管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。

　　4、日常保养内容

　　A、计算机表面保持清洁。

　　B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性。

　　C、下班不用时，应关闭主机电源。

　　5、计算机地址和密码由管理员指定发给各部门，不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管，不得随意带出公司或个人存放。

　　6、禁止将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。

　　7、计算机的内部调用

　　A、管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移或调换。

　　B、计算机在公司内调用，管理员应做好调用记录，《调用记录单》经副总经理签字认可后交管理员存档。

　　8、计算机报废

　　A、计算机报废，由使用部门提出，管理员根据计算机的使用、升级情况，组织鉴定，同意报废处理的，报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。

　　B、报废的计算机残件由管理员回收，组织人员一次性处理。

　　C、计算机报废的条件：

　　(1)主要部件严重损坏，无升级和维修价值。

　　(2)修理或改装费用超过或接近同等效能价值的设备。

　　三、环境管理

　　1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。

　　2、应尽量保持计算机周围环境的整洁，不要将影响使用或清洁的用品放在计算机周围。

　　3、服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进入。

　　四、软件管理和防护

　　1、职责：

　　A、管理员负责软件的开发购买保管、安装、维护、删除及管理。

　　B、计算机负责人负责软件的使用及日常维护。

　　2、使用管理：

　　A、计算机系统软件：要求管理员统一配装正版d专业版，办公常用办公软件安装正版ffce专业版套装、正版E管理系统，制图软件安装正版CAD专业版,杀毒软件安装安全杀毒套装，邮件软件安装闪电邮，及自主开发等各种正版及绿色软件。

　　B、禁止私自或安装软件、游戏、电影等，如工作需要安装或删除软件时，向管理员提出申请，经检查符合要求的软件由管理部员或在管理员的监督下进行安装或删除。

　　C、计算机负责人应管理好计算机的操作系统或软件的用户名、工号、密码。若调整工作岗位，应及时通知管理部员更改相关权限。不得盗用他人用户名和密码登录计算机，或更改、破坏他人的文件资料，做好局域网上共享文件夹的密码保护工作。

　　D、计算机负责人应及时做好业务相关软件的应用程序数据备份(刻录光盘)，防止因机器故障或被误删除而引起文件丢失。

　　E、计算机软件在使用过程中如发现异常或出现错误代码时，计算机负责人应及时上报管理员进行处理。

　　3、升级、防护：

　　A、如操作系统、软件需要更新及版本升级，则由管理员负责升级安装、购买等。

　　B、盘、软盘在使用前，必须先采用杀毒软件进行扫描杀毒，无病毒后再使用。

　　C、由管理员协助计算机负责人对计算机进行病毒、木马程序检测和清理工作，要求定期更新杀毒软件。

　　五、硬件维护

　　1、要求：

　　A、管理部员负责计算机或相关电脑设备的维护。

　　B、对硬件进行维护的.人员在拆卸计算机时，必须采取必要的防静电措施。

　　C、对硬件进行维护的人员在作业完成后或准备离去时，必须将所拆卸的设备复原。

　　D、对于关键的计算机设备应配备必要的断电、继电保护电源。

　　E、管理部员应按设备说明书进行日常维护，每月一次。

　　2、维护：

　　A、计算机的使用、清洁和保养工作，由计算机负责人负责。

　　B、管理员必须经常检查计算机及外设的状况，及时发现和解决问题。

　　六、网络管理

　　1、禁止浏览或登入反动、色情、邪教等不明非法网站、浏览非法信息以及利用电子信箱收发有关上述内容的邮件;不得通过互联网或光盘安装传播病毒以及黑客程序。

　　2、禁止私自将公司的受控文件及数据上传网络与拷贝传播。

　　七、维修流程当计算机出现故障时，应立即停止操作，上报公司管理员，填写《公司电脑维修记录表》;由管理员负责维修。

　　八、奖惩办法由于计算机设备是我们工作中的重要工具。因此，管理员将计算机的管理纳入对各计算机负责人的绩效考核范围，并将严格实行。从本制度公布之日起：

　　1、凡是发现以下行为，管理员有权根据实际情况处罚并追究当事人及其直接领导的责任，严重的则交由上级部门领导对其处理。

　　A、私自安装和使用未经许可的软件(含游戏、电影)，每个软件罚________元。

　　B、计算机具有密码功能却未使用，每次罚________元。

　　C、下班后，计算机未退出系统或关闭显示器的，每次罚________元。

　　D、擅自使用他人计算机或外设造成不良影响的，每次罚________元。

　　E、浏览登入反动、色情、邪教等不明非法网站，传播非法邮件的，每次罚________元。

　　F、如有私自或没有经过管理部审核更换计算机地址的，每次罚________元。

　　G、如有拷贝受控文件及数据，故意删除共享资料软件及计算机数据的，按损失酌情进行处罚。

　　2、凡发现由于：违章作业，保管不当，擅自安装、使用硬件和电气装置，而造成硬件的损坏或丢失的，其损失由责任人赔偿硬件价值的全部费用。

　　九、附则

　　1、本制度为公司计算机管理制度，要求每一位计算机负责人和员工都必须遵守该制度。

　　2、本制度由行政部负责编制与修改。

　　3、本制度由公司总经理批准后执行。

　　企业规章制度也可以成为企业用工管理的证据，是公司内部的法律，但是并非制定的任何规章制度都具有法律效力，只有依法制定的规章制度才具有法律效力。

　　劳动争议纠纷案件中，工资支付凭证、社保记录、招工招聘登记表、报名表、考勤记录、开除、除名、辞退、解除劳动合同、减少劳动报酬以及计算劳动者工作年限等都由企业举证，所以企业制定和完善相关规章制度的时候，应该注意收集和保留履行民主程序和公示程序的证据，以免在仲裁和诉讼时候出现举证不能的后果。

信息安全管理制度7

　　1.前言

　　1.1.目的

　　制定本制度的目的是保证公司IT系统有效、安全的运行，保证系统数据安全。

　　1.2.范围

　　本制度适用于中电电气(南京)光伏有限公司数据中心的日常运行。

　　2.控制点

　　2.1.日常运转

　　1)各系统负责人(职责分工见【SODmatrix】)，随时处理网络故障、解决网络问题、保持网络畅通、提高网络的可用性和可靠性。

　　2)每周两次检查机房服务器、交换机、路由器、光纤收发器等设备运行情况，每周需填写【资源检查记录表】;晚上或节假日期间，视网络应用情况，设置现场值班或呼叫值班。

　　3)保持设备表面干净整洁，操作设备时佩戴防静电手环等。

　　4)机房管理员注意机房的温度和湿度,机房温度：18~30摄氏度，相对湿度：40%~60%。

　　5)公司员工不得私自安装未经授权或非法的软件，授权软件详见【授权软件记录表】，信息管理部系统管理人员每半年通过SMS对用户安装软件进行检查，对非法软件进行删除，并填写【用户软件检查记录表】，记录用户安装的异常信息及处理结果，并报IT经理审核。

　　2.2.病毒黑客预防管理

　　1)网络管理员每周监控企业防病毒服务器的升级情况，监控机房中服务器杀毒软件的更新情况，在服务器上设置自动更新、定期扫描策略(配置见公司杀毒服务器配置)，并填写【资源更新记录表】，每月报IT经理审核。

　　2)每周信息管理部网络管理员通过现场或通过SMS管理软件检查客户端计算机防毒软件的升级情况和实时监控状态，并填写【资源检查记录表】，每月报IT经理审核。

　　3)信息管理部网络管理人员随时注意Internet上病毒流行和爆发动态，并及时向客户端计算机发出病毒预警。

　　4)要有病毒爆发后的紧急处理预案，以便快速恢复系统，保证系统及时相应服务。

　　5)利用ISA服务器或Netscreen防火墙屏蔽黑客或病毒常用的端口，提高密码复杂度等。每周三WSUS服务器及时下推补丁给信息管理部，如补丁安装完后没有问题，每周四WSUS服务器及时下推补丁给网络中所有的计算机。

　　6)信息部网络管理员每天监控网络的健康状态，观测网络流量。

　　2.3.帐户安全管理

　　1)用户开户和权限变更，需填写【账户变更申请单】，经部门经理IT经理审批后，最后由信息管理部各系统管理员进行各应用系统的帐户的开户工作、变更工作。帐户注销，直接由各系统管理员在人力资源部的员工离职交接单中签字后，在系统中执行相关操作。

　　2)临时开设的帐户也需要填写【账户变更申请单】，一定要控制好帐户过期时间和权限。系统缺省的管理员帐号必须禁用或修改初始密码，系统管理员账号需填写【权限授权表】，经IT经理审核后，方可执行，系统管理员帐号的密码在移交后的第一次登录时必须重新设置密码。

　　3)用户帐户仅限于本人使用，不得以任何方式将账户和密码转借他人，不得窥视或盗用他人的账户和密码。同时，用户有妥善保管自己账户和密码的责任和义务，不得泄露。

　　4)各系统管理员每半年检查一次帐户信息，导出各系统账户及权限清单，与各部门经理确认系统帐户和权限是否与申请人实际使用情况相符，由部门经理签字确认，填写【资源检查记录表】，报IT经理审核。

　　5)现涉及到的帐户类型如下：域账户、电子邮件账户、SAP账户、无线网帐户。

　　6)如果系统策略允许，使用帐户10次登录失败后帐户立即锁定。

　　7)如果系统策略允许，帐户锁定60分钟后自动解锁。

　　2.4.密码安全策略

　　如果系统支持密码复杂度管理，则启用密码复杂度规则，满足如下条款。

　　1)密码长度最短为八个字符。

　　2)必须同时包含以下四个类别字符中的三类字符：英文大写字母(从A到Z)，英文小写字母(从a到z)，数字(从0到9)，非字母字符(例如，!、$、#、%)。

　　3)密码的最长使用时间60天。

　　4)最近三次历史密码不能重复使用。

　　5)对各操作系统内置帐户集中到IT经理处管理，并遵循以上规则。

　　6)其他不支持此密码安全策略的应用系统，系统负责人要根据以上策略手工设置。如SQL20xx、防火墙Netscreen

　　2.5.网络安全管理

　　1)伴随网络的不断扩展，如果网络中有增减设备的情况，及时更新网络拓扑图，及时调整防火墙、核心交换机等设备配置，并填写【资源变更申请单】。

　　2)内部网络不接受任何外部访问(防火墙DMZ区、除外)，所有的.外部访问都在防火墙的DMZ区，并且防火墙上策略限制只开放需要的端口，如邮件服务器所需要的443端口等，其余端口全部禁用。防火墙DMZ区主机需要访问内网DC服务器，此访问安全控制由ISA网关服务器完成。

　　3)内网访问Internet或访问DMZ主机的访问权限和所能通过的服务均由ISA网关服务器控制，ISA策略根据网络系统安全和公司具体应用确定(具体应用见ISA服务器配置)，此服务器有专人管理。

　　4)信息管理部设专人每月度检查核心交换机、防火墙、无线网控制器的配置，确认是否与公司的服务器配置策略相符，并填写【资源检查记录表】，提交给IT部门经理审批签字。

　　5)信息管理部设专人至少每周检查一次防火墙的日志，确保网络不受可疑对象攻击，保证网络的安全性、稳定性，并填写【日志检查记录表】，每月提交给IT部门经理审批签字。

　　6)每周进行一次网络数据包分析，及时发现类似ARP等病毒攻击，及早预防。

　　7)每年对防火墙、核心交换机的日常维护记录整理存档一次。

　　2.6.数据安全管理

　　1)合理使用计算机分区，不得将重要数据存放在系统分区。

　　2)公司数据库系统、人事档案、技术资料、图纸、统计资料、营销计划、财务报表等重要资料要每日进行自动备份，每月进行一次完全备份;重要部门、重要系统不仅要做硬盘备份，还要定刻成成光盘，存放在异地长期保存。

　　3)含有重要资讯的资料(卡片、稿纸等)废弃时，应确定销毁，以免被误用。

　　4)对不同用户应用不同的系统策略，避免造成整个系统瘫痪。严格限制对应用系统数据库的更改权利;严格限制重组数据库或压缩数据库大小的权力;严格限制修改系统架构的权利等，操作系统日志每周检查一次，并填写【日志检查记录表】，每月报IT经理审核。

　　5)安全管理员每周至少查看一次数据库日志文件，并填写【日志检查记录表】，每月报IT经理审核。以尽早发现异常情况，确保数据库的存取安全。

　　6)邮件系统管理员对公司外发资料做每周进行一次检查，对往来邮件每周做一次监控分析，防止重要资料外泄，并填写【日志检查记录表】。

　　7)原则上不能在后台数据库中直接修改数据，如有需要，业务部门需填写数据更改【变更申请单】，经业务部门经理、IT经理审核批准后，授权给DBA执行操作，DBA在执行操作之前必须做好数据备份工作，操作完成后再在申请单上签字，并提交给最终用户确认。

　　8)关键应用系统SAP的上机日志每周检查一次，并填写【日志检查记录表】，每月报IT经理审核。

　　9)掌握重要数据的网络管理人员要注意保密，请参照“公司保密制度”。

　　3.附件

　　3.1.CSUN-RE-IN0016《资源检查记录表》

　　3.2.CSUN-RE-IN0018《资源更新记录表》

　　3.3.CSUN-RE-IN0017《资源变更申请单》

　　3.4.CSUN-RE-IN0007《帐户变更申请单》

　　3.5.CSUN-RE-IN0019《日志检查记录表》

　　3.6.CSUN-RE-IN0005《权限授权表》

　　3.7.CSUN-RE-IN0001《变更申请单》

信息安全管理制度8

　　一、总则

　　1.1目的

　　为了规范和加强本单位的信息网络安全管理工作，保护本单位的信息安全，确保信息系统正常运行和信息数据的完整、可靠、可用，制定本制度。

　　1.2适用范围

　　本制度适用于本单位内所有与信息网络相关的人员、设备和相关系统，包括但不限于计算机、服务器、路由器、交换机及其他网络设备。

　　二、安全策略及责任分工

　　2.1安全策略

　　2.1.1信息网络安全的目标

　　确保信息系统安全，包括信息的保密性、完整性和可用性，并维护用户信息的隐私和合法权益。

　　2.1.2安全管理原则

　　●安全性原则：信息安全应得到重视，安全风险应得到合理的评估和管理。

　　●权限控制原则：用户在信息系统的访问和操作应有相应权限控制，并严格按照权限进行操作。

　　●安全审计与监控原则：建立日志审计和监控机制，及时发现和处理安全事件。

　　●响应与恢复原则：建立应急响应和灾备机制，能够有效应对安全事件和恢复环境。

　　2.2责任分工

　　2.2.1安全管理部门

　　负责制定安全管理政策和制度，监督、管理和评估网络安全工作，并负责应急响应和安全事件处置。

　　2.2.2信息网络管理员

　　负责本单位信息网络的运维和安全管理工作，包括但不限于设备安装及配置、漏洞修复、日志审计和监控等。

　　2.2.3用户

　　负责保护自己的账户和密码安全，不得随意泄漏个人信息，合法合规使用信息网络。

　　三、安全规范和技术要求

　　3.1密码安全

　　3.1.1密码强度要求

　　●密码长度不少于8位。

　　●包含大小写字母、数字和特殊字符。 ●禁止使用常用密码和个人信息作为密码。 3.1.2密码定期更换

　　用户密码应定期更换，建议每90天更换一次。 3.2防安全

　　3.2.1安装有效的杀毒软件

　　所有终端设备应安装依托互联网进行实时更新的杀毒软件，确保设备的安全。

　　3.2.2定期扫描

　　定期对计算机和服务器进行扫描，及时清除并进行修复。 3.3访问控制

　　3.3.1用户权限管理

　　对不同角色的'用户设置相应的访问权限，保证合理的访问控制。

　　3.3.2账号锁定

　　设置连续登录失败次数达到一定次数后，用户账号自动锁定一段时间。

　　3.4安全审计与监控

　　3.4.1建立日志审计机制

　　建立日志审计系统，记录用户的操作日志，以便对安全事件进行追溯和分析。

　　3.4.2实施网络流量监控

　　对网络流量进行实时监控，及时发现异常流量和攻击行为，并采取相应的防护措施。

信息安全管理制度9

　　网络与信息的安全不仅关系到公司正常业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施，保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全.

　　一、网站运行安全保障措施

　　1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。

　　2、在网站的服务器及工作站上均安装了正版的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏.

　　3、做好日志的留存.网站具有保存60天以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。

　　4、交互式栏目具备有IP地址、身份登记和识别确认功能，对没有合法手续和不具备条件的电子公告服务立即关闭。

　　5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行，保证备用系统能及时替换主系统提供服务。

　　6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞，定期查杀病毒。

　　7、服务器平时处于锁定状态，并保管好登录密码；后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

　　8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令.不同的操作人员设定不同的用户名,且定期更换，严禁操作人员泄漏自己的口令.对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。

　　9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统，定期进行电力、防火、防潮、防磁和防鼠检查. 二、信息安全保密管理制度

　　1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任.严格按照“谁主管、谁负责”、“谁主办、谁负责"的原则，落实责任制,明确责任人和职责,细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。

　　2、网站信息内容更新全部由网站工作人员完成，工作人员素质高、专业水平好，有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准"），一经发现,立即删除。

　　3、遵守对网站服务信息监视,保存、清除和备份的制度.开展对网络有害信息的清理整治工作，对违法犯罪案件,报告并协助公安机关查处.

　　4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录，短信服务系统将保存5个月以内的系统及用户收发短信记录. 5、制定并遵守安全教育和培训制度.加大宣传教育力度，增强用户网络安全意识,自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息,不链接有害信息或网页。三、用户信息安全管理制度

　　1、我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我公司不会随意公布与用户个人身份有关的资料，除非有法律或程序要求.

　　2、所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协议规定时间内保证不会丢失；

　　3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密,未经允许不得向他人泄露.

　　公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的'重要性，严格遵守相应规章制度.

　　（一）信息安全管理组织机构设置及工作职责

　　一、组织机构

　　1、公司成立信息安全领导小组,是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务.

　　2、信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等.职责主要包括: （1）根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准；

　　(2)确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。

　　(3）信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任.

　　（4）信息安全工作组的主要职责包括：

　　①贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作；

　　②根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实;

　　③组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划,并监督执行；

　　④负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；

　　⑤组织信息安全工作检查，分析信息安全总体状况,提出分析报告和安全风险的防范对策；

　　⑥负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；

　　⑦及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。

　　⑧跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作. （5）应急处理工作组的主要职责包括:

　　①审定公司网络与信息系统的安全应急策略及应急预案；

　　②决定相应应急预案的启动，负责现场指挥,并组织相关人员排除故障，恢复系统；

　　③每年组织对信息安全应急策略和应急预案进行测试和演练。

　　（6）公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。

　　二、工作职责

　　1、设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。

　　2、系统管理员主要职责有：

　　（1）负责系统的运行管理，实施系统安全运行细则；

　　（2）严格用户权限管理，维护系统安全正常运行；

　　（3）认真记录系统安全事项，及时向信息安全人员报告安全事件；

　　（4）对进行系统操作的其他人员予以安全监督。

　　3、网络管理员主要职责有:

　　（1）负责网络的运行管理，实施网络安全策略和安全运行细则；

　　（2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行；

　　（3）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；

　　（4）对操作网络管理功能的其他人员进行安全监督.

　　4、应用开发管理员主要职责有：

　　（1）负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；

　　（2）系统投产运行前，完整移交系统相关的安全策略等资料;

　　（3）不得对系统设置“后门”;

　　（4）对系统核心技术保密等.

　　5、安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括：

　　(1）按操作员证书号进行审计；

　　（2）按操作时间审计;

　　(3）按操作类型审计；

　　(4）事件类型进行审计;

　　（5)日志管理等.

　　6、安全保密管理员负责日常安全保密管理活动，主要职责有:

　　（1)监视全网运行和安全告警信息

　　（2）网络审计信息的常规分析

　　（3）安全设备的常规设置和维护

　　（4）执行应急中心制定的具体安全策略

　　(5)向应急管理机构和领导机构报告重大的网络安全事件。

　　7、公司指定法人代表为分管信息的领导，负责本公司信息安全管理，并配备信息安全技术人员，设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。

　　三、有害信息发现受理处置机制

　　公司有害信息处置机制是根据国家相关法律、法规的规定，结合我市实际制定的。主旨在于建立公司与工业和信息部以及通信管理局之间的快速反应机制，规范移动互联网有害信息处置流程，在法律、法规的保障下，及时、迅速的处置移动互联网有害信息。

　　本机制中“有害信息”包括：

　　(1)煽动抗拒、破坏宪法和法律、行政法规实施的;

　　(2)煽动颠覆国家政权,推翻社会主义制度的；

　　（3）煽动分裂国家、破坏国家统一的；

　　（4)煸动民族仇恨、民族歧视，破坏民族团结的；

　　（5）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

　　（6）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; （7）公然侮辱他人或者捏造事实诽谤他人的；

　　（8）损害国家机关信誉的；

　　（9）其他违反宪法和法律、行政法规的。

　　本机制中“有害信息”指公司服务器上的网站Web栏目提供安全管理制度和技术防范措施的落实情况，对预防有害信息出现提出建议,对用户及员工上报的应急处置联系人员进行抽查,保障本机制实施。

　　主动发现手段:公司设置有害信息自动过滤平台，发现及抵御有害信息的入侵。

　　信息安全小组负责对公司所有网络资源进行实时监控，做到及时发现、即时处理的原则办理，对处理结果备案,对重大有害信息事件，应在第一时间上报主管领导及相关部门。

　　信息安全小组负责界定、监控、受理有害信息事件，要做到即接快办；夜间、节假日值班期间接到、发现的，应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记（如遇紧急情况，可直接关闭服务器等设备，暂停网络运行）

　　负责查办的相关人员接到交办的事件后，应及时安排办理,要求在最短时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明情况，可适当延长处理时间，处理结果应及时反馈给信息安全小组组长。在处理有害信息事件时，应按照处理流程，及时填写相应表单,并随处理结果报告一并存档。

　　处置流程：公司接到投诉-上报主管领导/记录相关信息—删除信息—备份—判别有害信息级别—上报主管部门/报案到公安局处-配合调查

　　按照公安部要求，有害信息分为三级，处理方法如下：

　　一类,20分钟内删除

　　二类，30分钟内删除

　　三类，60分钟内删除

　　主动发现手段：公司设置有害信息自动过滤平台，发现及抵御有害信息的入侵。

　　公司要求要对删除信息进行备份，以便网监局（公安局)查询时提供相关证据。

　　处理人员应对重大有害信息事件的举报人、发现人要求保密着做到保密，有关重大的有害信息事件及处理过程不得泄密

　　四、重大信息安全事件应急处置和报告制度

　　为确保发生网络安全问题时各项应急工作高效、有序地进行，最大限度地减少损失，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等相关法律法规，结合本公司信息网络实际情况，制定本制度.

　　1、事件等级:

　　根据信息安全事件的影响程度等因素将重大信息安全事件分为三个等级：

　　第三等级：特大信息安全事件，涉及国家安全和社会稳定，造成恶劣影响和严重后果。

　　第二等级：重大信息安全事件，涉及国家安全和社会稳定,造成较大社会影响和较严重后果. 第一等级：一般信息安全事件，造成一定社会影响的信息安全事件。

　　2、报告时限:

　　公司发生以上信息安全事件时,根据等级的不同分别向上级主管部门报告,报告分为口头报告、简要书面报告和专题书面报告：

　　发生特大信息安全事件时，公司在2小时内做出口头报告，24小时内做出简要书面报告,事件处理结束后3日内做出专题书面报告.

　　发生重大信息安全事件时，公司在4小时内做出口头报告，24小时内做出简要书面报告，相关事件处理结束后3日内做出专题书面报告。

　　发生一般信息安全事件时，公司在48小时内做出专题书面报告.

　　3、处置流程：

　　由于公司网络环境安全事件（包括火灾、盗窃、破坏、供电等)、网络运行相关事件（包括线路中断、路由障碍、流量异常、域名系统故障等）引发信息安全时，紧急通知我公司信息主管负责人，及时消除非法信息，恢复系统，无法迅速消除或恢复系统、影响较大时实施紧急关闭，并及时上报。

　　一般信息安全事件发生时,向入侵者所在的网络管理员投诉.

　　重大信息安全事件及特大信息安全事件发生时(如造成重大经济损失，破坏国家信息安全的反动政治言论），及时清除、保留证据，立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后，立即对发生的事件进行调查核实、保留相关证据,确定事件等级，向上级主管部门上报相关材料。

　　五、信息安全管理政策和业务培训制度

　　根据我国《移动互联网信息服务管理办法》的有关规定，本公司制定以下制度：

　　1、公司各级领导和信息安全管理人员定期(每年至少二次）学习《中华人民共和国治安管理处罚条例》、《计算机信息网络国际互联网安全保护管理办法》等有关法律、行政法规的规定,提高员工维护网络安全的警惕性和自觉性。

　　2、在开展信息安全教育活动中，必须结合先进的典型事例进行正面教育，以利取长补短。信息安全教育要求体现“六性”，即全员性、全面性、针对性以及成效性、发展性、经常性. 3、加强对我网站的信息发布审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。

　　4、教育培训目标:

　　不断提高公司人员信息安全意识、信息技术素质，提高信息安全政策业务水平。

　　5、培训制度:

　　1)业务学习培训计划由技术部根据年度工作计划作出安排.

　　2）成立业务学习小组,定期组织业务学习；

　　3）工作人员每年必须参加不少于15个课时的专业培训。

　　4）工作人员必须完成布置的学习计划安排，积极主动地参加信息部组织的业务学习活动。

　　5）有选择地参加其它行业和部门举办的专业培训，鼓励参加其它业务交流和学习培训. 6)支持、鼓励工作人员结合业务工作自学。

　　6、培训内容：

　　1）计算机安全法律教育

　　①定期组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识，不断提高工作人员的理论水平。

　　②负责对企业的网络用户进行安全教育和培训。

　　③定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力. 2）计算机职业道德教育

　　①工作人员要严格遵守工作规程和工作制度。

　　②不得制造，发布虚假信息,向非业务人员提供有关数据资料。

　　③不得利用计算机信息系统的漏洞偷窃客户资料，进行诈骗和转移资金。

　　④不得制造和传播计算机病毒。

　　3）计算机技术教育

　　①操作员必须在指定计算机或指定终端上进行操作。

　　②机房管理员，程序维护员，操作员必须实行岗位分离,不得串岗,越岗。

　　③不得越权运行程序,不得查阅无关参数。

　　④发现操作异常,应立即向机房管理员报告.

　　7、培训方式：

　　①结合专业实际情况，指派有关人员参加学习.

　　②有计划有针对性，指派人员到外地或外单位进修学习。

　　③举办专题讲座或培训班，聘请有关专家进行讲课。

　　④所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗. ⑤自订学习计划，参加专业函授学习成绩及时反馈有关部门，良好学业者给予奖励。

　　8、公司网站必须接受并配合通信管理局和公安机关的安全监督、检查和指导，如实向以上两个部门提供有关安全保护的信息、资料和数据文件，协助公安机关查处通过国际互联网的计算机信息网络的违法犯罪行为。

　　六、有害信息发现和过滤技术手段

　　有害信息安全发现工作小组成员及职责

　　主要职责：

　　(1）承担公司值守应急工作；

　　（2)收集、分析工作信息,及时上报重要信息;

　　(3）负责公司网络与信息安全的监测预警和风险评估控制、隐患排查整改工作；

　　(4)负责网络与信息安全突发事件新闻报道相关工作；

　　(5）组织制订、修订与公司职能相关的专项应急预案,指导各分公司制定、修订网络与信息安全突发事件相关的应急预案；

　　(6）负责组织协调网络与信息安全突发事件应急演练；

　　(7）负责公司应对网络与信息安全突发事件的宣传教育与培训。

　　我公司作为一家专业的电信增值服务商,在为用户提供全面的健康信息时，对有害信息的过滤采用“系统智能过滤+人工过滤"方案，以保证信息的安全.

　　公司的信息过滤系统是一款专业的服务器非法信息过滤软件，实时拦截、替换服务器上各个网站的非法信息,并记录详细有偿信息过滤系统，具有高度的安全性和实用性. 我公司在使用信息过滤系统的同时，还采用人工审核的方式，以多种形式确保为用户发送信息的安全性及健康性,促进我国增值电信业务市场的良性运作，也为主管部门的监督管理工作提供技术保障，积极推动移动互联网信息行业的健康发展。

　　公司严格建立专人审核信息发布制度。公司各部门业务所有信息发布前，均需经过专人审核，确保信息的合法，安全。

　　信息审核主要负责人职责：

　　1、审核的广度和深度：审核涉及的面较广，要想真正起作用，不能只对信息系统的“皮毛”进行审计,否则就达不到真正保护系统安全的效力。

　　2、审核的环节：从信息系统安全保障体系的各个层次着手，一环套一环地进行审核。安全环节是很多系统平台本身就提供的，如对建立的相关安全档案进行审核，分析信息安全工作组织与管理情况,对业务处理用机操作系统或者数据库等进行检查，以分析系统的日志管理机制是否合理、有效.

　　3、关键字的设立、过滤与更新

　　公司保证采用的互联网信息平台具有信息内容的过滤功能。信息过滤包括对发布的信息内容、页面内容进行有效过滤。关键字的过滤功能,具体包括关键字设定、修改、查询功能，并提供相应的测试端口,并具有严格的权限管理功能。在发现的有害内容时按有关规定及时向有关部门汇报，并从技术上予以保证，包括有害信息的内容、发现时间、发现来源。

　　七、网络安全管理责任制度

　　1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。

　　2、负责对我公司员工进行安全教育和培训,使员工自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

　　3、加强对我网站的信息发布审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。

　　4、一旦发现从事下列危害计算机信息网络安全的活动：

　　①未经允许进入计算机信息网络或者使用计算机信息网络资源；

　　②未经允许对计算机信息网络功能进行删除、修改或者增加;

　　③未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

　　④故意制作、传播计算机病毒等破坏性程序的；

　　⑤从事其他危害计算机信息网络安全的活动.做好记录并立即向当地公安机关报告。

　　5、在信息发布的审核过程中,如发现有以下行为的：

　　①煽动抗拒、破坏宪法和法律、行政法规实施；

　　②煽动颠覆国家政权，推翻社会主义制度；

　　③煽动分裂国家、破坏国家统一；

　　④煽动民族仇恨、民族歧视、破坏民族团结；

　　⑤捏造或者歪曲事实、散布谣言，扰乱社会秩序；

　　⑥宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；

　　⑦公然侮辱他人或者捏造事实诽谤他人;

　　⑧损害国家机关信誉。

　　都将接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为.

信息安全管理制度10

　　企业会计信息分级分类安全管理制度

　　第一章总则

　　第一条为加强xx省xx公司，以下简称“公司”会计信息化管理，确保会计信息的安全、准确、及时和完整，根据财政部《企业会计信息化工作规范》的要求，结合公司的实际情况，制定本规定。

　　第二条本规定适用于公司本部及所属权属企业，包括全资、控股子公司，以下简称“各权属单位”。

　　第三条会计信息化是指应用会计信息化软件及计算机等硬件设备输入会计基础数据，由计算机对会计基础数据进行处理，并打印输出会计凭证、会计账簿、会计报表及相关会计信息资料。

　　会计信息化核算的范围是：账务处理、报表处理、固定资产核算、工资核算、往来款项核算以及预算管理等。

　　第四条使用的会计信息化软件必须是通过财政部评审通过的商品化会计软件。机房相关设备符合企业会计信息化标准，满足会计信息化管理要求。

　　第二章职责分工

　　第五条公司财务部门负责公司会计信息化系统管理工作，研究制定和组织实施公司会计信息化发展规划，负责协调管理公司财务软件系统的维护、升级和数据备份工作，组织和管理会计信息化人员的培训工作，对会计信息化工作及有关人员进行指导、监督、考评。

　　第六条人员、权限控制。

　　1、公司各权属单位应设立会计信息化管理岗位，按照会计岗位职责设置操作权限。公司各权属单位财务部门负责人负责权限的授予，会计岗位之间权限明确且相互制约。

　　2、严格密码管理，会计人员要注意保管自己的密码或口令，并应定期更换。

　　3、会计人员不得参与系统维护和数据管理工作。

　　4、会计人员因工作调整各级计财处负责人应及时收回相关权限。

　　5、公司董事长、总经理、总会计师及财务负责人对公司及公司各权属单位的账务有浏览、查询的权限。公司各权属单位负责人、财务负责人、会计主管、财务总监对本单位的账务均有浏览、查询的权限，但该权限仅限于其担任负责人的单位的账务。

　　6、未经授权的人员不得操作会计软件，不得进入、操作相应的功能模块。

　　7、公司及各权属单位NC财务软件权限的`开立与变更需由公司财务部门负责人批准。

　　第七条安全控制。

　　1、公司统一委托软件开发商负责系统维护和程序数据维护工作。

　　2、会计信息化管理员负责定期对有关数据备份监督设备、网络、程序的正常运行。

　　3、任何人未经批准，不得擅自直接打开数据库进行操作。

　　4、会计信息化管理员应对各类操作人员权限、密码实行集中管理，做好保管、监督工作。

　　第三章管理程序及要求

　　第一节计算机机房、设备维护与安全管理和病毒防治制度

　　第八条确保计算机机房等设备安全运行。保持机房和设备的整洁

　　卫生，并经常对设备进行维护和保养。配备不间断电源、空调等设备，对发现问题的硬件及时修理或更换，以保证计算机机房的正常运行环境。

　　第九条确保会计核算软件和系统软件的安全、保密。及时处理软件运行故障，并作出维护记录。若软件出现处理不了的故障，应及时报告软件维护人员及时维护。

　　第十条所有的机房设立防火墙，财务微机必须安装杀毒软件，进行病毒实时监控、杀除，并定期进行杀毒软件升级。如无特殊需求，不得打开未经安全认证或不熟悉的网页。

　　第二节会计信息化软件管理

　　第十一条会计信息化软件的日常使用管理由会计信息管理员和.委托的软件开发单位维护人员负责。会计信息化软件的全套文档资料以及程序必须妥善保管，不得出售、转让、转借。

　　第十二条操作人员严格按照授予的功能权限、数据权限进行操作，不得越权使用软件。

　　第十三条操作人员应按照软件使用的要求，正确使用软件。离开

　　工作现场必须退出会计软件，严禁在使用过程中强行中断程序，以免破坏相关数据。

　　第十四条严禁在财务微机上安装游戏软件等与工作无关的软件。

　　第十五条不得在系统文件子目录下存放任何非系统文件，否则，系统维护人员有权删除文件，文件编辑者自负后果。

　　第三节会计信息化档案管理

　　第十六条会计信息化管理岗位负责会计信息化档案管理设专职档案员除外。会计信息化档案是指以磁性介质等存储的会计数据和计算机打印的书面形式的会计信息，包括记账凭证、会计账簿、会计报表包括报表格式和计算公式，以及信息化硬件设备携带的说明书、保修单和会计信息化软件携带的说明书等。

　　坏相关数据。

　　第十四条严禁在财务微机上安装游戏软件等与工作无关的软件。

　　第十五条不得在系统文件子目录下存放任何非系统文件，否则，系统维护人员有权删除文件，文件编辑者自负后果。

　　第三节会计信息化档案管理

　　第十七条会计信息化档案要存放在专门的档案室，具体按公司《会计档案管理办法》执行。

　　第十八条记账凭证、会计账簿包括总账、明细账、日记账、固定

　　资产卡片、固定资产台账、辅助账簿、其他账簿等、财务报告包括月度、季度、年度及定期会计报表、附表需定期打印。打印输出的各种会计资料必须按公司《会计档案管理办法》规定及时归档保管。

　　第十九条严格执行会计信息化档案的借阅批准制度。除档案管理员外，任何人员查阅会计档案都要经过财务负责人批准，办理借阅手续，并保障数据的完整和安全。

　　第四章附则

　　第二十条会计人员及权限内使用人员必须对所分配权限设置操作密码或口令，并以妥当方式保存，注意保密。如因密码或口令泄漏而导致会计信息泄密的，将追究当事人的责任。

　　第二十一条本规定由公司财务部门负责制定、解释、修订。

　　第二十二条本规定自发布之日起执行。

信息安全管理制度11

　　1目标

　　胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

　　2评估依据、范围和方法

　　2.1 评估依据

　　根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［20xx］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[20xx]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。

　　2.2 评估范围

　　本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，

　　管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

　　2.3 评估方法

　　采用自评估方法。

　　3重要资产识别

　　对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。

　　资产清单见附表1。

　　4安全事件

　　对本局半年内发生的'较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。

　　5安全检查项目评估

　　5.1 规章制度与组织管理评估

　　5.1.1组织机构

　　5.1.1.1评估标准

　　信息安全组织机构包括领导机构、工作机构。

　　5.1.1.2现状描述

　　本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。

　　5.1.1.3 评估结论

　　完善信息安全组织机构，成立信息安全工作机构。

　　5.1.2岗位职责

　　5.1.2.1估标准

　　岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。

　　5.1.2.2现状描述

　　我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。

　　5.1.2.3 评估结论

　　本局已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

　　5.1.3病毒管理

　　5.1.3.1 评估标准

　　病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。

　　5.1.3.2 现状描述

　　本局使用Symantec防病毒软件进行病毒防护，定期从省公司病毒库服务器下载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况并提交局生技部和省公司生技部；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。

　　5.1.3.3 评估结论

　　完善病毒预警和报告机制，制定计算机病毒防治管理制度。

　　5.1.4运行管理

　　5.1.4.1 评估标准

　　运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。

　　5.1.4.2 现状描述

　　没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。

　　5.1.4.3评估结论

　　结合本局具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维

　　流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。

　　5.1.5账号与口令管理

　　5.1.5.1 评估标准

　　制订了账号与口令管理制度；普通用户账户密码、口令长度要求符合大于6字符，管理员账户密码、口令长度大于8字符；半年内账户密码、口令应变更并保存变更相关记录、通知、文件，半年内系统用户身份发生变化后应及时对其账户进行变更或注销。

　　5.1.5.2 现状描述

　　没有制订账号与口令管理制度，普通用户账户密码、口令长度要求大部分都不符合大于6字符；管理员账户密码、口令长度大于8字符，半年内账户密码、口令有过变更，但没有变更相关记录、通知、文件；半年内系统用户身份发生变化后能及时对其账户进行变更或注销。

　　5.1.5.3 评估结论

　　制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。

　　5.2 网络与系统安全评估

　　5.2.1网络架构

　　5.2.1.1 评估标准

　　局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。

　　5.2.1.2 现状描述

　　局域网核心交换设备准备了备用设备，城域网核心路由设备采取了设备冗余；没有不经过防火墙的外联链路，有当前网络拓扑结构图。

　　5.2.1.3 评估结论

　　局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备，外联链路没有绕过防火墙，完善网络拓扑结构图。

　　5.2.2网络分区

　　5.2.2.1 评估标准

　　生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。

　　5.2.2.2 现状描述

　　生产控制系统和管理信息系统之间没有进行分区，VLAN间的访问控制设置合理。

　　5.2.2.3评估结论

　　对生产控制系统和管理信息系统之间进行分区，VLAN间的访问控制设置合理。

　　5.2.3 网络设备

　　5.2.3.1 评估标准

　　网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令强健（>8字符，数字、字母混杂）。

　　5.2.3.2 现状描述

　　网络设备配置没有进行备份，网络关键点设备是双电源，网络设备关闭了HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令没达到要求。

　　5.2.3.3 评估结论

　　对网络设备配置进行备份，完善SNMP社区串、本地用户口令强健（>8字符，数字、字母混杂）。

　　5.2.4 IP管理

　　5.2.4.1 评估标准

　　有IP地址管理系统，IP地址管理有规划方案和分配策略，IP地址分配有记录。

　　5.2.4.2 现状描述

　　没有IP地址管理系统，正在进行对IP地址的规划和分配，IP地址分配有记录。

　　5.2.4.3 评估结论

　　建立IP地址管理系统，加快进行对IP地址的规划和分配，IP地址分配有记录。

　　5.2.5补丁管理

　　5.2.5.1 评估标准

　　有补丁管理的手段或补丁管理制度，Windows系统主机补丁安装齐全，有补丁安装的测试记录。

　　5.2.5.2现状描述

　　通过手工补丁管理手段，没有制订相应管理制度；Windows系统主机补丁安装基本齐全，没有补丁安装的测试记录。

　　5.2.5.3 评估结论

　　完善补丁管理的手段，制订相应管理制度；补缺Windows系统主机补丁安装，补丁安装前进行测试记录。

　　5.2.6系统安全配置

　　5.2.6.1 评估标准

信息安全管理制度12

　　第一条为规范信息技术中心的网络信息安全管理工作，及时做好相应的安全防范措施，降低学校信息安全事件发生的概率，减少信息安全事件带来的损失和影响。提高中心工作人员的安全预警、防范和应急水平，结合中心实际情况，制定本制度。

　　第二条适用范围

　　（一）适用于处理信息技术中心收到的来自教育部、市教委、网信办等单位下发的网络信息安全隐患的通报事宜。

　　（二）全校范围内的二级部门网络信息安全信息的通报，适合本制度。

　　第三条网络安全事件定义

　　（一）网络突然发生中断，如停电、线路故障、网络通信设备损坏等。

　　（二）信息系统网络受到黑客攻击，数据被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱秩序；破坏社会稳定的信息及损害国家声誉和稳定的谣言等。

　　（三）网络服务器及其他服务器被非法入侵，服务器上的数据被非法拷贝、修改、删除，发生泄密事件。

　　第四条通报处置程序

　　（一）信息技术中心网络信息安全联络人接收到网络信息安全通报后，第一时间向本部门领导做出汇报。

　　（二）同时，将通报内容转发给责任部门领导及责任部门系统联络人。

　　（三）责任部门根据通报内容在规定时间内实施信息系统整改并撰写整改报告，加盖公章后将纸质整改报告反馈给信息技术中心。

　　（四）信息技术中心网络信息安全联络人将整改报告上报主管单位。

　　第五条网络信息安全通报内容

　　（一）安全通报文件；

　　（二）漏洞详情；

　　（三）整改建议；

　　（四）其他应当知晓的情况。

　　网络信息安全整改报告内容第六条

　　（一）通报基本情况描述；

　　（二）针对通报漏洞所采取的整改措施；

　　（三）其他应当报告的情况。

　　第七条加强网络安全信息审查工作，若发现数据被恶意更改，应立即停止服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放数据服务。信息发布服务，必须落实责任人，实行先审后发，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制，及时做好防病毒软件的升级，保证病毒库的及时更新。

　　第八条学校信息技术中心实行节假日值班制度，开通值班电话，保证与上级主管部门、当地公安机关网警的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。

　　第九条加强突发事件的快速反应。运维小组具体负责相应的网络安全和信息安全工作，对突发的信息网络安全事件应做到：

　　（一）及时发现、及时报告，在发现后及时向应急小组及上一级领导报告；

　　（二）保护现场，立即与网络隔离，防止影响扩大；

　　（三）及时取证、分析、查找原因；

　　（四）消除有害信息，防止进一步传播，将事件的影响降到最低。

　　（五）在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。

　　第十条加强网络用户的法律意识和网络安全意识教育，提高其安全意识和防范能力，净化网络环境。

　　第十一条做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。

　　第十二条为加强网络安全信息共享和统一协调行动，按照“统一领导、归口负责”的原则，由信息技术中心负责网络安全事件通报工作的组织、指导和协调。

　　第十三条安全事件通报可采取例行通报、紧急通报两种方式进行。例行通报为定期方式，适用于对网络安全信息的汇总分析。紧急通报为不定期方式，适用于对突发的.网络安全事件或重大网络安全预警信息的发布，对具有紧急和有重要指导作用的网络安全事件应在当天内完成通报。

　　第十四条在收到上级单位的网络安全事件通报或下级单位重大网络安全事件报告时，应立即对所收到的通报或报告的安全事件进行分析判断、汇总归纳整理，并根据所收到的内容对本级网络安全系统进行有针对性的整改通报。

　　第十五条对一些涉及到保密内容的网络安全事件通报，应严格按照有关保密管理规定执行。

　　第十六条本制度由学校信息技术中心负责解释并组织实施，自公布之日起执行。

信息安全管理制度13

　　1目的

　　为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。

　　2范围

　　本程序适用于***业务信息安全事件的管理。

　　3职责

　　3.1信息安全管理流程负责人

　　确定信息安全目标和方针;

　　确定信息安全管理组织架构、角色和职责划分;

　　负责信息安全小组之间的协调,内部和外部的沟通;

　　负责信息安全评审的相关事宜;

　　3.2信息安全日常管理员

　　负责制定组织中的安全策略;

　　组织安全管理技术责任人进行风险评估;

　　组织安全管理技术责任人制定信息安全改进建议和控制措施;

　　编写风险改进计划;

　　3.3信息安全管理技术责任人

　　负责信息安全日常监控;

　　信息安全风险评估;

　　确定信息安全控制措施;

　　响应并处理安全事件。

　　4工作程序

　　4.1信息安全事件定义与分类

　　信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。

　　造成下列影响(后果)之一的,均为一般信息安全事件。

　　a) ***秘密泄露;

　　b)导致业务中断两小时以上;

　　c)造成信息资产损失的火灾;

　　d)损失在一万元人民币(含)以上的故障/事件。

　　造成下列影响(后果)之一的,属于重大信息安全事件。

　　a)组织机密泄露;

　　b)导致业务中断十小时以上;

　　c)造成机房设备毁灭的火灾;

　　d)损失在十万元人民币(含)以上的故障/事件。

　　4.2信息安全事件管理流程

　　由信息安全管理负责人组织相关的运维技术人员根据***对信息安全的要求,确认代码管理相关信息系统的安全需求;

　　对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;

　　由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;

　　信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;

　　根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;

　　监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的.任何情况,并采取必要的纠正措施;

　　对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;

　　每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。

　　4.3信息安全事件事后处理措施

　　对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。

　　对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。

　　处罚方式:

　　一般安全事故,根据所造成的经济损失,由***办公室通过邮件发出正式严重警告。

　　一年内累计出现三次或三次以上的一般安全事故,报***领导批准后进行相应惩罚,并在***进行通报批评。

　　造成重大安全事故的,***有权将责任人调离原工作岗并给予相应惩罚。

　　一年内累计出现二次或二次以上的重大安全事故,***有权解除劳动合同并依法追究法律责任。

　　如果属于故意行为导致信息安全事故,***有权解除劳动合同并依法追究法律责任。

　　对于信息安全事故责任人的处理结果由处理部门在***范围内予以通报。

　　负有信息安全事故处罚的各职能部门在确定实施处罚后,***室与被处罚部门沟通,确认责任者及处罚方式并上报***领导。

　　信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。

　　由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。

　　4.4报告信息安全薄弱点与预防措施

　　***与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。

　　对以下行为应给予奖励:

　　及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;

　　及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;

　　及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;

　　及时制止或报告泄露商业机密的事件以避免***重大经济损失或及时中止正在进行中的商业泄密行为的;

　　在信息安全事故中采取积极有效措施,降低损失的程度。

　　奖励方式如下:

　　根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请***批准后,给予相应表扬或奖励,并作为年底工作考核依据。

　　发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。

　　5相关文件

　　6相关记录

信息安全管理制度14

　　校内网信息发布实行统一管理、分层负责制。网络中心对学校主页信息进行管理，各处室的主要负责人负责对本部门的上网资源和计算机系统进行管理。

　　一、网管中心负责全校的网络信息和保密工作，定期对网络用户进行有关保密和网络安全教学。

　　二、对外信息发布。各处室可以申请网络域名和ftp站点（见附件7），自行管理各部门网站信息发布。须要在学校首页上发布的信息，须要填写“网上信息发布申请表”，审查后交由网管中心上网发布。（网上信息发布申请表见附件8）

　　三、信息的阅览与查询。不得查阅、复制和传播有碍社会治安和伤风败俗的信息。校内网工作人员和用户如在网络上发觉有碍社会治安和不健康的信息，有义务刚好上报网络管理人员，做好备份并自觉销毁。

　　四、违反本条例规定，有下列行为之一者，校网络中心可提出警告直至停止其运用网络，情节严峻者，提交学校行政部门或有关部门处理。

　　1、查阅、复制或传播下列信息者：煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的'实施；捏造或者歪曲事实、有意散布谣言，扰乱社会秩序公然羞辱他人或者捏造事实诽谤他人宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。

　　2、破坏、盗用计算机网络中的信息资源和危害计算机网络平安活动。

　　3、盗用他人帐号者。

　　4、私自转借、转让用户帐号造成危害者。

　　5、有意制作、传播计算机病毒等破坏性程序者。

　　6、不按国家和学院有关规定擅自接纳网络用户者。

　　7、网络中心，属我校内网络重地，未经许可不得进入。

信息安全管理制度15

　　一、对网络故障的推断

　　当网络系统终端发觉计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要马上向网络信息办公室汇报，网络信息办公室工作人员对科室提出的上述问题必需重视，经核实后赐予科室反馈信息。网络信息办公室负责人应召集有关人员刚好进行探讨，假如故障缘由明确，可以立即复原工作的，应马上复原工作；如故障缘由不明确、状况严峻不能在短期内解除的，应马上报告医务部和院领导，在网络不能运转的状况下由机关协调全院工作以保障医疗工作的正常运转。网络故障分为三类：

　　一类故障：服务器不能工作；光纤损坏；主服务器数据丢失；备份盘损坏；服务器工作不稳定；局部网络不通；数据被人删改；重点终端故障；规律性的整体、局部软、硬件故障。

　　二类故障：单一终端软、硬件故障；单一患者信息丢失；偶然性的数据处理错误；某些科室违反工作流程要求。

　　三类故障：各终端由于不娴熟或运用不当造成的.错误。针对上述故障分类等级，处理方案如下：

　　一类故障———由网络信息办公室主任上报医务部和院领导，由医务部组织协调复原工作。

　　二类故障———由技术工程师上报网络信息办公室主任，由网络信息办公室集中解决。

　　三类故障———由技术工程师单独解决，并具体登记状况。

　　二、网络整体故障的首要工作

　　（一）当网络信息办公室一旦确定为网络整体故障，首先是立即报告医务部。医务部应马上按上报程序向院领导汇报。网络信息办公室需立刻组织复原工作，并充分考虑到特别状况如节假日、病员量大、人员外出及医院的重大活动对故障复原带来的时间影响。

　　（二）当发觉网络整体故障时，依据故障复原时间的程度将转入手工工作的时限明确如下：

　　1、10分钟内不能复原———门诊挂号、住院登记、药房转入手工操作；门诊收费、住院核算、西药房工作转入老系统操作。

　　2、6小时内不能复原———原则上将医师工作站、护士工作站、药房、急诊检查、入院、手术室、医技检查转入手工操作（详细实行时间及步骤由医务部、护理部通知）。

　　3、24小时以上不能复原———将出院核算转入手工。