欢迎来到大连致 远信息科技有限公司官方网站!
search

公司简介

致远优势

致远大事记

致远观点

最新动态

致远产品

联系我们
致远科 技信息安全管理制度
阅读次数:107  |  发布时间: 2018-11-05



信息安全管理制度


一、机房安全管理

1、路由器、交换机 和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。 
2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人 员未经管理人员批准严禁进入机房。 
3、严禁易 燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 
4、建立机房登记制度,对本地 局域网络的运行,建立档案。未发生 故障或故障隐患时当班人员不可对光纤、网线及 各种设备进行任何调试,对所发生的故障、处理过 程和结果等做好详细登记。 
5、网管人 员应做好网络安全工作,服务器 的各种帐号严格保密。监控网络上的数据流,从中检 测出攻击的行为并给予响应和处理。 
6、做好操 作系统的补丁修正工作。 
7、网管人 员统一管理计算机及其相关设备,完整保 存计算机及其相关设备的驱动程序、保修卡 及重要随机文件。 
8、计算机 及其相关设备的报废需经过管理部门或专职人员鉴定,确认不 符合使用要求后方可申请报废。 
9、制定数据管理制度。对数据 实施严格的安全与保密管理,防止系 统数据的非法生成、变更、泄露、丢失及破坏。当班人 员应在数据库的系统认证、系统授权、系统完整性、补丁和 修正程序方面实时修改。

 

二、网络安全管理

1、网络安 全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。 
2、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。 

3、网络安 全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。 

4、良好周 密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭 受攻击后追查攻击者的有力武器。察觉到 网络处于被攻击状态后,网络安 全管理员应确定其身份,并对其发出警告,提前制 止可能的网络犯罪,若对方不听劝告,在保护 系统安全的情况下可做善意阻击并向主管领导汇报。 

5、在做好 本职工作的同时,应协助 机房管理人员进行机房管理,严格按 照机房制度执行日常维护。 
6、每月安 全管理人员应向主管人员提交当月值班及事件记录,并对系 统记录文件保存收档,以备查阅。具体文 件及方法见附件。

 

三、系统运行维护管理

1、 中心机 房和办公区域隔离分设。未经负责人批准,不得在 中心机房设备上编写、修改、更换各 类软件系统及更改设备参数配置。 

2 各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必 需经负责人书面批准后方可进行;必须按 规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。 
 3 为确保 数据的安全保密,对各业务单位、业务部 门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。 
 4 部门负 责人应定期与不定期对制度的执行情况进行检查,督促各项制度的落实,并作为 人员考核之依据。 

 

四、资产和设备管理

1、网站中 心所属范围内包括所有设备及办公物品归属网站中心管理。
2、严格执 行上级管理部门有关设备管理的各项规章制度,对本中 心管理的设备进行编号、登记、建立完善、准确的文档。
3、购进设备时,网站中 心有关负责人必须与供货人或调入人共同启封,核对设备规格、型号、数目及 软件和文字资料,并进行质量检验。核对无误,验收合格后,方可签 字并办理有关手续。
4、实行设 备领用人责任制,谁领用,谁使用,谁保管。
5、对网站 中心所属重要设备,要建立档案系统,保证技术资料完整。
6、非网站中心工作人员,不得擅自启动、关闭、动用、迁移各种网络设备。
7、从网站中心调出设备,必须经 中心负责人认可批准后,方可调出。
8、每半年,对中心 的计算机网络设备进行一次全面检查和维护。
9、每年末,网站中 心对固定资产清查一次。
10、每年对 机房设备保管和使用环境评估检查一次,看是否达标,并及时采取积极措施。
11、对于超 过有效使用期的设备、淘汰设备或毁坏设备,按上次 管理部门对固定资产设备报废规章制度办理,并履行有关手续。
12、网站中 心设备使用和管理人员,应本着 对国家财产负责的态度严格执行操作和管理程序。对操作 不当或管理不善造成设备损失的,要追查责任,给予相应处罚,故意破 坏的移交司法部门处理。对于工作认真负责,避免损失的,给予一定奖励。

 

五、数据及信息安全管理

网站中 心的数据及信息安全主要由信息安全管理员负责,信息安 全管理员的主要职责如下:

1、信息安 全管理员负责本中心的信息安全保护管理工作,建立健 全信息安全保护管理制度;

2、信息安 全管理员负责落实信息安全保护技术措施,保障本 网络的运行安全和信息安全;

3、负责防火墙、IDS、防病毒 系统的策略制定;

4、负责本 中心审计系统的运行管理,对运行情况进行审计;

5、负责本 中心身份认证系统、权限管理和授权、单点登 录系统的运行管理;

6、负责本中心的防火墙、入侵检测系统、防病毒 系统的运行管理,并定期升级;

7、负责本 中心相关日志的填写、收集、归档、管理;

8、对本中 心所发布的信息内容按照等相关规定进行审核;

9、发现有 违反安全管理规定的行为,应当保 留有关原始记录,并及时 向相关管理部门报告;

10、按照国家有关规定,负责删 除本中心中含有违法内容的地址、目录或者关闭服务器。

 

六、用户管理

参见机 房出入管理制度第二款之规定。

 

七、备份与恢复

1、为了确 保系统计算机系统的数据安全,使得在 计算机系统失效或时,能依靠 备份尽快地恢复系统和数据,保护关 键应用数据的安全,保证数据不丢失,特制定本制度。

2、拥有重 要系统或重要数据的服务器应该及对数据进行备份,防止系统、数据的丢失;涉及和恢复 的服务器要由专人负责工作,并认真填写备份日志。

3、网络服务器工作,由网站管理部负责,增量备份每日做,系统备份每周做一次。系统管 理员在每周最后一个工作日,将数据库、网页文件、各主要 硬件设备配置文件等做一次异机备份,数据保存一个季度。

4、备份数 据应该严格管理,妥善保存;备份数 据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

5、数据的备份、恢复、转出、转入的 权限都应严格控制。严禁未经授权将出系统,转给无 关的人员或单位;严禁未经授权进行或转入操作。

6、一旦发生或数据破坏等情况,要由系 统管理员进行备份,以免造 成不必要的麻烦或更大的损失。

1)全盘恢 复一般应用在服务器发生意外灾难导致、系统崩 溃或是有计划的系统升级、系统重组等;

2)个别文件一般用 于恢复受损的个别文件,或者在 全盘恢复之后追加增量备份的恢复,以得到最新的备份。

7、各级信 息技术管理部门必须定期检查保存备份数据能否正常使用,需刻录 光盘的数据应经过检验确保的完整性和可用性后,方可刻录光盘。

 

八、密码管理制度

(一)、 网络服 务器密码口令的管理

1.服务器 和网络设备的管理账号密码,由网络管理员持有,实行定期轮换制度,最长有效期不超过90天。

2.更换服 务器与网络设备密码时必须执行密码备案制度,以防遗失密码,同时告 知主管领导备案密码。

3.用户级密码如:网站、数据库系统、网站信 息管理系统等用户帐号必须专人专号,不得互相泄露密码。不同级 别用户间不得交换帐号使用,特殊情 况须报告网络管理员处理。

4.公共帐号,如公共FTP等不能 向中心以外人员泄露,对外传 送文件必须使用临时FTP

5.如发现 密码及口令有密迹象,系统管 理员要立刻报告部门负责人,严查泄露源头,同时更换密码。

(二)、 用户密 码及口令的管理

1.对于要 求重新设定密码和口令的用户,用户必 须与系统管理员商定密码及口令,由系统 管理员备案后操作。

2.公共帐号密码变更,必须通知到相关部门。

3.如果网 络提供用户自我更新密码及口令的功能,用户应谨慎修改密码,修改后必须牢记密码。

 

九、信息安全责任制

(一)计算机 安全工作制度体系的重点是规范内部人员行为和健全内部制约机制,要根据 不断变化的情况,及时对 计算机安全制度进行补充和完善,逐步形成完整的、科学的 计算机安全工作制度体系。

(二)、基于信 息系统网络管理任务的强化以及安全的动态特性,要求计 算机信息系统加强对要害岗位人员在安全方面的管理,实行责权分配。

(三)、要害岗 位人员上岗前必须进行审查和业务技能考核,并进行 必要的安全教育和培训,合格者方能上岗。

(四)、要害岗 位人员必须严格遵守保密法规和有关计算机安全管理规定,承担相 应岗位安全责任。

(五)、系统管 理员的安全职责是对所辖范围的计算机系统问题负责,对计算 机系统安全策略、计划和 事件处理程序的制定,参与计 算机安全建设和运营方案的制定,负责系统的运行管理、实施系统安全细则,严格用户权限管理,记录系统安全事项,对进行 系统操作的其他人员予以安全监督。及时解除系统故障,不得擅 自改变系统功能,不得安 装与系统无关的其它程序,发现漏洞及时处理。

(六)、操作人 员的安全职责是接受系统管理员的指导和监督,及时向 系统管理员报告系统各种异常事件,严格执 行系统操作规程和运行安全管理制度

(七)、重要网 络设备应放在主机房内,其他人 员不得对网络设备进行任何操作。

(八)、内部网 络的所有计算机设备,不得直 接与国际互联网相联接,必须实行物理隔离。

(九)、定期进 行主机设备的例行保养和预防性检修,制定主 机设备故障维修规程并严格执行,重大故 障应注意保卫现场,进行应 急处理关立即报告。

(十)、必须按 技术规程进行系统和用户数据备份;系统和 用户数据必须双备份,异地存放。关键系 统应有灾难数据备份。

(十一)、应建立 业务系统正常调帐规程,并严格按规程操作,确保资金安全。

(十二)、必须有 计算机病毒防范措施,有计算 机预防和清除病毒和软件或硬件产品。(十三)、各科室 要加强计算机安全教育,宣传计 算机犯罪的危害,提高全员计算机安

全防范 意识和法纪观念,自觉维护计算机安全。

 

十、安全事 件报告和处置管理制度及应急处置预案

(一)、信息网 络安全事件定义

1、网站主页被恶意纂改、交互式 栏目里发表反政府、分裂国 家和色情内容的信息及损害国家声誉的谣言。
2、校园网 内网络应用服务器被非法入侵,应用服 务器上的数据被非法拷贝、修改、删除。

3、在网站 上发布的内容违反国家的法律法规、侵犯知识版权,已经造成严重后果。

(二)、网络安 全事件应急处理机构及职责

1、设立信 息网络安全事件应急处理指挥部,负责信 息网络安全事件的组织指挥和应急处置工作。总指挥 由中心主要负责人担任,副总指 挥由分管主任担任,指挥部 成员各部门负责人组成。

2、领导机构

总指挥

副总指挥

3、工作机构

网络监控组:网络监 控的日常工作主要由网站管理部负责,应急处 置预案启动后网络监控工作由网站管理部、技术部共同负责,协同工作。

技术侦查组:由技术部牵头,网站管理部提供协助,进行信 息网络安全事件的调查取证等工作。应急处置预案启动后,网站管 理部和技术部协同工作。

宣传外联组:由综合部负责,主要负 责监督网站建设和管理,及网络 安全宣传等工作。应急处 置预案启动后承担对外宣传和外联工作。

应急响应组:由网站管理部牵头,技术部 们提供技术支持,负责对 信息网络安全事件紧急处置等工作,及时断开连接、指导采 取有关保护措施等。 

(三)、网络安 全事件报告与处置

事件发 生并得到确认后,有关人 员应立即将情况报告有关领导,由领导 决定是否启动该预案,一旦启动该预案,有关人员应及时到位。

网络监 控组在得到技术侦查组的确认后应及时向当地公安机关报案。

技术侦 查组应在事件发生后24小时内 写出事件书面报告报指挥部。报告应包括以下内容:事件发生时间、地点、单位、事件内容,涉及计算机的IP地址、管理人、操作系统、应用服务,损失,事件性质及发生原因,事件处 理情况及采取的措施;事故报告单位/人、报告时间等。

宣传外 联组负责事件的宣传和报道等工作,并承担 国内其他重要新闻网站工作联系,防止事 态通过网络在国内蔓延。

网络监 控组进入应急处置工作状态,对相关事件进行跟踪,密切关注事件动向,协助调查取证。

应急处 置小组阻断网络连接,进行现场保护,协助调 查取证和系统恢复等工作。

  有关违 法事件移交公安机关处理。

 

十一、教育培训制度

为提高 我中心人员的安全素质,保证中心网络的高校、稳定运行,特制定 如下安全教育培训制度:

1、组织全 体人员认真学习《计算机 信息网络国际互联网安全保护管理办法》,提高全 体人员共同维护网络安全的警惕性和自觉性。

2、定期对 有关的网络管理人员工进行安全教育和培训,使他们自觉遵守《计算机 信息网络国际互联网安全保护管理办法》,并具备 一定的网络安全知识。

3、不定期 地邀请上级有关专业人员进行信息安全方面的培训,加强对有害信息,特别是 影射性有害信息的识别能力,提高防范能力。





公司动态推荐

 
 
感谢您关注致远科技

大连致 远科技专业为企业提供:大连网站建设、大连网站制作、大连网页设计等服务,欢迎来电来函咨询。

友情链接:    彩票计划   V8彩票   V8彩票官网登录   正规彩票   V8彩票双面盘