信息安全管理制度
隨著社會一步步向前發展,制度在生活中的使用越來越廣泛,制度是各種行政法規、章程、制度、公約的總稱。一般制度是怎么制定的呢?以下是小編精心整理的信息安全管理制度,歡迎大家借鑒與參考,希望對大家有所幫助。
信息安全管理制度 篇1
1、學校總務處重要職責是認真做好固定資產管理工作,實行財產保管責任制,建立財產分類帳和總帳。
2、凡是購進或調進資產、儀器、音體美器材等都記入固定資產清冊,建立借用制度和賠償制度,每學年末總務處根據財產變動情況進行一次核對調整。
3、注意檢查維修、延長財產使用期限。總務部門要有高度責任心,對學校財產應一清二楚,對損壞事故應及時發現、及時處理,對損壞財產應及時組織維修,以提高使用效率。
4、學校財產、物品實行分級管理、教室內財產由班主任管理,辦公室財產由各辦公室負責人管理,少先隊財產由大隊輔導員管理,圖書、教具、體育、音樂、美術、勞技室、實驗室、實驗儀器室、計算機、語音室、總控室、電教室、多媒體、檔案室、教師資料室、儀器和日常物品由學校確定人員專人負責管理。
5、做好財產交接手續,開學初,各任科教師清點所接財產新舊和數量情況后保管使用,學期結束后,各任科教師交回相關財產,各室財產清點后上報總務處備案。
6、學校各部門要加強對學生進行勤儉節約,愛護公物教育,同時充分利用校會、班會、廣播、黑板報等進行檢查評比,大力表揚好人好事,批評不愛護公物的`行為,加強學生愛護學校財物的責任感、提高愛護公共財物的自覺性。做到平時有人保管,壞了有人報告,毀了有人賠償,丟了有人查找。
7、身教勝過言教,教師首先要作學生表率。
(1)、離校要關好門、窗、電燈、吊扇。
(2)、各室物品不要任意搬運。
(3)、節約用水用電,提倡“節約為榮,浪費為恥。”風格。
8、校產管理小組要定期對各部門財產使用保管情況進行檢查。
附一:財產賠償制度。
1、教師在失職情況下,損壞遺失物品。根據新舊質量酌情賠償。
2、學生在違紀情況下,損壞公物照價賠償。
3、公物被竊應弄清責任人員,根據具體情況確定賠償。
附二:財產領、借制度。
一、學校公物由總務處統一管理,任何人一律不得私自拿用。
二、教職工因工作、學習和生活需要需暫借用學校財物,須辦借領手續。
1、領用消耗辦公品,必須向保管員辦理登記手續。
2、借用教學用具、儀器、掛圖、參考資料向管理員辦理登記手續,為提高利用率,用后必須及時歸還。管理員對還物品要檢查驗收,如有損壞必須查明原因,酌情處理。
3、因參加各項活動需要服裝、物品等,必須三天前與保管員聯系(除特殊情況外)以便準備所需物品。
4、學校各類校產一般不借校外,如遇特殊情況必須備有書面借據報總務處批準,并收取一定的押金,方可借用。
信息安全管理制度 篇2
一、前言
文章對企業計算機網絡安全存在的問題進行了介紹,對影響企業計算機網絡系統安全的因素進行了闡述,通過分析,并結合自身實踐經驗和相關理論知識,對加強企業網絡安全管理措施進行了探討。
二、企業計算機網絡安全存在的問題
1.安全意識淡薄
在企業網絡系統中,每一臺計算機的安全性都會影響整個系統的安全性能,網絡安全與每個用戶息息相關。內部員工了解公司的網絡結構、數據存放方式和地點甚至掌握業務系統的密碼。在具有嚴格訪問權限的系統中,使用弱密碼的用戶有可能成為安全系統中的缺陷,甚至有些人隨意改動系統注冊表,使得整個網絡安全系統失效。
2.網絡安全體系不健全
當前很多企業盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統性,對于企業網絡信息安全保護缺乏統一的、明確的指導思想,沒有建立一個完善的安全體系,這是引發安全問題的主要源頭。
3.網絡黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業的內部資料對于整個企業經營來說相當重要,因為它關系到整個企業的生死存亡。企業存放信息會因網絡黑客攻擊而造成資料的泄密。
4.來自企業外部的感染
來自企業外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發性等特點,通過入侵網絡系統和設備,對數據進行破壞,使網絡癱瘓,不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發,因而其傳播速度要遠遠大于計算機病毒,其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序,它可以利用網絡遠程控制安裝有服務端程序的主機,實現對主機的控制或者竊取主機上的機密信息。
5.來自企業網絡內部的攻擊
企業防護重點是對外,往往忽視對內部防護的'重視。利用企業內部計算機對企業局域網絡進行攻擊,企業局域網絡也會受到嚴重攻擊,當前企業內部攻擊行為大大加強了企業網絡安全的風險。
三、影響企業計算機網絡系統安全的因素
1.病毒攻擊
目前,計算機病毒的制造者大多利用Internet網絡進行傳播,因中小企業防范薄弱管理規范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統,也可能會大量占用網絡帶寬,阻塞正常流量,如:發送垃圾郵件的病毒,從而影響企業計算機網絡的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業在軟件采用上大都以節約為本,不注重也不舍得花銷來進行軟件更新的后期升級服務,以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進行攻擊。
3.職員不當操作
中小企業計算機管理人員配置少,監督管理都難以細致,其它職工在信息化系統操作中容易出現工作馬虎,不細心,不按成型的規范操作,不遵守制定的相應規章制度。中小企業中很多職工信息安全意識不強,將自己的生日或工號作為系統口令,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改。
四、加強企業網絡安全管理措施
1.要加大對計算機網絡與信息安全工作的投入。信息技術進步神速,我國在這一領域同發達國家比,并沒有優勢。因此我國更應加大投入,刻苦攻關,掌握一些關鍵的信息技術,以確保我國在信息安全方面的自主能力。可以毫不夸張地說,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應當像五六十年代發展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術革命的挑戰,保衛國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術方面,發達國家一方面極為重視研究開發,美國政府曾為了改進美國政府的計算機安全系統,投入巨大的資金;另一方面,又嚴格控制信息安全技術的出口。以美國為代表的發達國家,對信息安全產品出口,已作出許多嚴格限制,以維護其在信息技術領域的絕對優勢。
2.關鍵數據采用加密手段。在企業計算機網絡中關于數據安全的隱患無處不在。尤其是一些機密數據庫、商業數據等一定要保證它的安全性,這時一般會采取對數據加密的手段,它是一種保護數據在存儲和傳遞過程中不被竊取或修改的一種手段,該數據加密系統在使用的過程中需要綜合考慮執行效率與安全性之間的平衡。
3.加強安全管理力度健全管理制度。首先,加強信息安全管理力度應積極采取宏觀管理與重點監控相結合的方式,保證信息化項目的安全性。系統的實施及管理部門應該全面掌握各單位的計算機網絡系統的相關情況,為企業統一管理提供可靠依據。同時,對重點工程實地考察,對信息安全進行檢查,發現問題及時解決。
4.事務管理和故障恢復。事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。計算機同其他設備一樣,都可能發生各種各樣的故障,比如電源故障、軟件故障、災害故障以及人為破壞等,這些故障可能會造成數據庫的數據丟失,因此為了保證計算機的安全運行,必須在發生故障時采取必要的措施恢復數據庫,事務管理和故障恢復就是這個作用,它能夠保障數據庫在出現故障時,仍可以把數據庫系統還原到正常狀態。
五、企業信息安全新形勢
網絡信息安全工作始終是通信行業最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。20xx年3G及寬帶網絡蓬勃發展,三網融合開始實施操作,云計算和物聯網產業方興未艾,需求的個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰,行業中企業要進一步提高對網絡信息安全重要性的認識,發展與管理并重,加強部門協調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化,通過核心技術掌握自主知識產權,加快發展自主可控的信息安全產業,建設新時期通信行業網絡安全、信息安全長城。
從國際國內出現的安全現象出發,應對多種復雜的安全新問題,應該借助于RFID等物聯網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作,通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境,來共同改善全球的網絡與信息安全問題。
結束語
隨著科技的發展,一些不法份子和黑客通過計算機網絡竊取企業商業機密的現象越來越多,因此,對于計算機網絡信息安全管理應該予以高度重視,否則可能對企業造成不可預估的損失。信息安全管理的重要性20xx-10-23 16:26 | #2樓
隨著計算機技術的不斷發展,計算機被廣泛地應用于各個領域。在企業中,利用計算機進行管理可以顯著的提高工作效率,使企業管理水平有一個明顯的提高。對于中小企業而言,信息化是中小企業迎接新經濟的挑戰,提高企業運作效率、降低經營管理成本、把握新的商業機會的必由之路。在各類管理信息系統中,信息制作和傳播等都要涉及信息的存儲、傳輸與使用等信息處理問題,而信息處理過程中的信息安全問題尤為突出。對于存儲在計算機中的重要文件、數據庫中的重要數據等信息,一旦丟失、損壞或泄露、不能及時送達,都會給企業造成很大的損失。如果是商業機密信息,給企業造成的損失會更大,甚至會影響到企業的生存和發展。
目前,國內大中型企業由于信息化起步早、資金和技術力量充足、管理制度較為完善,因此信息安全體系成熟度也相對較高,但眾多中小企業由于資金、技術等方面的原因,在信息安全性方面普遍存在著嚴重漏洞,與大型企業、行業用戶相比,它們更容易受到網絡病毒的侵害,損失同樣嚴重。因此構建一個成熟的信息安全管理體系對中小企業尤為重要。
信息安全管理制度 篇3
根據《中華人民共和國計算機信息系統安全保護條例(國務院)》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定(國務院)》、《計算機信息網絡國際聯網安全保護管理辦法(公安部)》等規定,常武醫院將認真開展網絡與信息安全工作,明確安全責任,建立健全的管理制度,落實技術防范措施,保證必要的經費和條件,對一切不良、有毒、違法等信息進行過濾、對用戶信息進行保密,確保網絡信息和用戶信息的安全。
一、網站安全保障措施
1、網站服務器和其他計算機之間設置防火墻,拒絕外來惡意程序的攻擊,保障網站正常運行。
2、在網站的服務器及工作站上安裝相應的防病毒軟件,對計算機病毒、有害電子郵件有效防范,防止有害信息對網站系統的干擾和破壞。
3、做好訪問日志的留存。網站具有保存三個月以上的系統運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況,主頁維護者、對應的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識別確認功能,對非法貼子或留言能做到及時刪除并根據需要將重要信息向相關部門匯報。
5、網站信息服務系統建立多種備份機制,一旦主系統遇到故障或受到攻擊導致不能正常運行,可以在最短的時間內替換主系統提供服務。
6、關閉網站系統中暫不使用的服務功能及相關端口,并及時修復系統漏洞,定期查殺病毒。
7、服務器平時處于鎖定狀態,并保管好登錄密碼;后臺管理界面設置超級用戶名、密碼和驗證碼并綁定IP,以防他人非法登陸。
8、網站提供集中管理、多級審核的管理模式,針對不同的應用系統、終端、操作人員,由網站系統管理員設置共享數據庫信息的訪問權限,并設置相應的密碼及口令。
9、不同的操作人員設定不同的用戶名和操作口令,且定期更換操作口令,嚴禁操作人員泄漏自己的口令;對操作人員的權限嚴格按照崗位職責設定,并由網站系統管理員定期檢查操作人員的操作記錄。
二、信息安全保密管理制度
1、充分發揮和有效利用常武醫院醫療信息資源,保障常武醫院門戶網站的正常運行,對網絡信息進行及時、有效、規范的管理。
2、在常武醫院門戶網站服務器上提供的信息,不得危害國家安全、泄露國家秘密;不得有害社會穩定、治安和有傷風化。
3、本院各部門及信息采集人員對所提供信息的真實性、合法性負責并承擔發布信息引起的任何法律責任;
4、各部門指定專人擔任信息管理員,負責本網站信息發布工作,不允許用戶將其帳號、密碼轉讓或借予他人使用;因密碼泄密給本網站以及本院帶來的不利影響由泄密人承擔全部責任,并追究該部門負責人的管理責任;
5、不得將任何內部資料、機密資料、涉及他人隱私資料或侵犯任何人的專利、商標、著作權、商業秘密或其他專屬權利之內容加以上載、張貼。
6、所有信息及時備份,并按規定將系統運行日志和用戶使用日志記錄保存3月以上且未經審核不得刪除;網站管理員不得隨意篡改后臺操作記錄;
7、嚴格遵循部門負責制的原則,明確責任人的職責,細化工作流程,網站相關信息按照編輯上傳→初審→終審通過的審核程序發布,切實保障網絡信息的有效性、真實性、合法性;
8、遵守對網站服務信息監視、保存、清除和備份的制度,經常開展網絡有害信息的排查清理工作,對涉嫌違法犯罪的信息及時報告并協助公安機關查處。
三、用戶信息安全管理制度
常武醫院門戶網站為充分保護用戶的個人隱私、保障用戶信息安全,特制訂用戶信息安全管理制度。
1、定期對相關人員進行網絡信息安全培訓并進行考核,使網站相關管理人員充分認識到網絡安全的重要性,嚴格遵守相應規章制度。
2、尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私保護協議和網站服務條款以及其他公布的'準則規定的情況下,未經用戶授權不隨意公布和泄露用戶個人身份信息。
3、對用戶的個人信息嚴格保密,并承諾未經用戶授權,不得編輯或透露其個人信息及保存在本網站中的非公開內容,但下列情況除外:
① 違反相關法律法規或本網站服務協議規定;
② 按照主管部門的要求,有必要向相關法律部門提供備案的內容;
③ 因維護社會個體和公眾的權利、財產或人身安全的需要;
④ 被侵害的第三人提出合法的權利主張;
⑤ 為維護用戶及社會公共利益、本網站的合法權益的需要;
⑥ 事先獲得用戶的明確授權或其它符合需要公開的相關要求。
4、用戶應當嚴格遵守網站用戶帳號使用登記和操作權限管理制度,并對自己的用戶賬號、密碼妥善保管,定期或不定期修改登錄密碼,嚴格保密,嚴禁向他人泄露。
5、每個用戶都要對其帳號中的所有活動和事件負全責。用戶可隨時改變用戶的密碼和圖標,也可以結束舊的帳號而重新申請注冊一個新帳號。用戶同意若發現任何非法使用用戶帳號或安全漏洞的情況,有義務立即通告本網站。
6、如用戶不慎泄露登陸賬號和密碼,應當及時與網站管理員聯系,請求管理員及時鎖定用戶的操作權限,防止他人非法操作;在用戶提供有效身份證明和有效憑據并審查核實后,重新設定密碼恢復正常使用。
常武醫院將嚴格執行本規章制度,并形成規范化管理,并成立由單位負責人、其他部門負責人、信息管理主要技術人員組成的網絡信息安全小組,并確定至少兩名安全負責人作為突發事件處理的直接責任人。
信息安全管理制度 篇4
第一章總則
第一條為加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)平安保密管理,確保國家隱私及商業隱私的平安,依據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,根據肯定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。
第三條涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障平安”的方針,堅持“誰主管、誰負責,誰運用、誰負責”和“限制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家隱私信息安全。
第四條涉密信息系統平安保密防護必需嚴格根據國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入運用。
第五條本規定適用于公司全部計算機和信息系統平安保密管理工作。
第二章管理機構與職責
第六條公司法人代表是涉密信息系統平安保密第一責任人,確保涉密信息系統平安保密措施的落實,供應人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條公司保密委員會是涉密信息系統平安保密管理決策機構,其主要職責:
(一)建立健全平安保密管理制度和防范措施,并監督檢查落實狀況;
(二)協調處理有關涉密信息系統平安保密管理的重大問題,對重大失泄密事務進行查處。
第八條成立公司涉密信息系統平安保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密信息系統平安保密管理工作。
第九條保密辦主要職責:
(一)擬定涉密信息系統平安保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和平安保密管理人員進行資格審查和平安保密教化培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行平安保密監督檢查和風險評估,提出涉密信息系統平安運行的保密要求;
(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權運用的審查,建立涉密信息系統平安評估制度,每年對涉密信息系統平安措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的平安保密產品進行準入審查和規范管理,對涉密信息系統進行平安保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事務。
第十條科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定平安保密防護方案;
(二)落實涉密信息系統平安保密策略、運行平安限制、平安驗證等平安技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統平安保密領導小組批準后組織實施,確保平安技術措施有效、牢靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權運用、保管以及維護等平安保密管理措施;
(四)配備涉密信息系統管理員、平安保密管理員和平安審計員,并制定相應的職責;“三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過平安保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的平安保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)協作保密辦對涉密信息系統進行平安檢查,對存在的隱患進行剛好整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事務。
第十一條黨政辦公室主要職責:
根據國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。
第十二條相關業務部門、單位主要職責:涉密信息系統的運用部門、單位要嚴格遵守保密管理規定,教化員工提高平安保密意識,落實涉密信息系統各項平安防范措施;精確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條涉密信息系統配備系統管理員、平安保密管理員、平安審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的平安、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。
(二)平安保密管理員負責平安技術設備、策略實施和管理工作,包括用戶帳號管理以及平安保密設備和系統所產生日志的審查分析。
(三)平安審計員負責平安審計設備安裝調試,對各種系統操作行為進行平安審計跟蹤分析和監督檢查,以剛好發覺違規行為,并每月向涉密信息系統平安保密領導小組辦公室匯報一次狀況。
第三章系統建設管理
第十四條規劃和建設涉密信息系統時,根據涉密信息系統分級愛護標準的規定,同步規劃和落實平安保密措施,系統建設與平安保密措施同安排、同預算、同建設、同驗收。
第十五條涉密信息系統規劃和建設的平安保密方案,應由具有“涉及國家隱私的計算機信息系統集成資質”的機構編制或自行編制,平安保密方案必需經上級保密主管部門審批后方可實施。
第十六條涉密信息系統規劃和建設實施時,應由具有“涉及國家隱私的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必需由保密辦和科技信息部共同組織驗收。
第十七條對涉密信息系統要實行與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的平安保密產品。涉密信息系統運用的.軟件產品必需是正版軟件。
第四章信息管理
第一節信息分類與限制
第十八條涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統密級的涉密信息。
第十九條涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求剛好定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不行分別,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。
第二十條涉密信息系統應建立平安保密策略,并實行有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必需實行密碼愛護措施。
第二十一條向涉密信息系統以外的單位傳遞涉密信息,一般只供應紙質文件,確需供應涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必需運用符合保密標準、要求的工具或軟件。
第二節用戶管理與授權
第二十三條依據本部門、單位運用涉密信息系統的密級和實際工作須要,確定人員知悉范圍,以此作為用戶授權的依據。
第二十四條用戶清單管理
(一)科技信息部管理“探討試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由平安保密管理員即時將用戶在涉密信息系統內的全部帳號、權限廢止;“財務會計核算網”密辦審核,公司分管領導審批。開通、審批堅持“工作必需”的原則。
第二十五條國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立運用登記制度。
第二十六條上網信息實行“誰上網誰負責”的保密管理原則,信息上網必需經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第二十七條任何部門、單位和個人不得在電子郵件、電子公告系統、閑聊室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家隱私信息。
第二十八條從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,根據信息交換及中間轉換機管理規定執行。
第五章便攜式計算機管理
第二十九條便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行“誰擁有,誰運用,誰負責”的保密管理原則,運用者須與公司簽定保密承諾書。
第三十條涉密便攜式計算機依據工作須要確定密級,粘貼密級標識,根據涉密設備進行管理,保密辦備案后方可運用。
第三十一條便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等平安保密防護措施。
第三十一條禁止運用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第三十二條涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分別保管。
第三十三條禁止運用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機運用。
第三十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,根據“集中管理、審批借用”的原則進行管理,建立運用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第三十五條因工作須要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第六章應急響應管理
第三十六條為有效預防和處置涉密信息系統平安突發事務,剛好限制和消退涉密信息系統平安突發事務的危害和影響,保障涉密信息系統的平安穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統平安保密領導小組審批后實施。
第三十七條應急響應預案用于涉密信息系統平安突發事務。突發事務分為系統運行平安事務和泄密事務,依據事務引發緣由分為災難類、故障類或攻擊類三種狀況。
(一)災難事務:依據實際狀況,在保障人身平安前提下,保障數據安全和設備安全;
(二)故障或攻擊事務:推斷故障或攻擊的來源與性質,關閉影響平安與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,復原信息系統。根據事務發生的性質分別采納以下方案:
1、病毒傳播:剛好找尋并斷開傳播源,推斷病毒的類型、性質、可能的危害范圍。為避開產生更大的損失,愛護計算機,必要時可關閉相應的端口,找尋并公布病毒攻擊信息,以及殺毒、防衛方法;
2、外部入侵:推斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威逼很小的外部入侵,定位入侵的IP地址,剛好關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應馬上采納斷開網絡連接的方法,避開造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應剛好關閉被入侵的服務器或相應設備;
4、網絡故障:推斷故障發生點和故障緣由,能夠快速解決的盡快解除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事務,結合詳細的狀況,做出相應的處理。不能處理的剛好詢問,上報公司信息安全領導小組。
第三十八條根據信息安全突發事務的性質、影響范圍和造成的損失,將涉密信息系統平安突發事務分為特殊重大事務(I級)、重大事務(II級)、較大事務(III級)和一般事務(IV級)四個等級。
(一)一般事務由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事務由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,剛好向公司信息安全領導小組報告并提請協調處置;
(三)重大事務啟動應急響應預案,對突發事務進行處置,剛好向公司黨政報告并提請協調處置;
(四)特殊重大事務由公司報請中核集團公司對信息安全突發事務進行處置。
第三十九條發生突發事務(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理方法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事務區域;
(四)查閱審計記錄找尋事務源頭;
(五)評估系統受損程度;
(六)對引起事務漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦依據風險評估結果并書面確認平安后,系統方能重新運行;
(九)對事務類型、響應、影響范圍、補救措施和最終結果進行具體的記錄;
(十)依照法規制度對責任人進行處理。
第四十條科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以運用戶明確自己的角色和責任。應急響應相關學問、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第七章人員管理
第四十一條各部門、單位每年應組織開展不少于1次的全員信息安全保密學問技能教化與培訓,并記錄備案。
第四十二條涉密人員離崗、離職,應剛好調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第四十三條擔當涉密信息系統日常管理工作的系統管理員、平安保密管理員、平安審計管理員應按重要涉密人員管理。
第八章督查與獎懲
第四十四條公司每年應對涉密信息系統平安保密狀況、平安保密制度和措施的落實狀況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的平安保密測評或保密檢查,檢查結果存檔備查。
第四十五條檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所運用的平安保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。平安保密檢查工具應剛好升級或更新,確保檢查時運用最新版本。
第四十六條各部門、單位應將員工遵守涉密計算機及信息系統平安保密管理制度的狀況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第九章附則
第四十七條本規定由保密辦負責說明與修訂。
第四十八條本規定自發布之日起實施。
信息安全管理制度 篇5
一、計算機設備管理制度
1、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
2、非本單位技術人員對我單位的設備、系統等進行維修、維護時,必須由公司相關技術人員現場全程監督。計算機設備送外維修,須經有關部門負責人批準。
3、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插拔計算機外部設備接口,計算機出現故障時應及時向IT部門報告,不允許私自處理或找非本單位技術人員進行維修及操作。
二、操作員安全管理制度
(一)操作代碼是進入各類應用系統進行業務操作、分級對數據存取進行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置;
(二)系統管理操作代碼的設置與管理
1、系統管理操作代碼必須經過經營管理者授權取得;
2、系統管理員負責各項應用系統的環境生成、維護,負責一般操作代碼的生成和維護,負責故障恢復等管理及維護;
3、系統管理員對業務系統進行數據整理、故障恢復等操作,必須有其上級授權;
4、系統管理員不得使用他人操作代碼進行業務操作;
5、系統管理員調離崗位,上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統管理員代碼;
(三)一般操作代碼的設置與管理
1、一般操作碼由系統管理員根據各類應用系統操作要求生成,應按每操作用戶一碼設置。
2、操作員不得使用他人代碼進行業務操作。
3、操作員調離崗位,系統管理員應及時注銷其代碼并生成新的操作員代碼。
三、密碼與權限管理制度
1、密碼設置應具有安全性、保密性,不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼,也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、順序、規律數字等容易猜測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如發現或懷疑密碼遺失或泄漏應立即修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時在“密碼管理登記簿”中登記。
4、系統維護用戶的密碼應至少由兩人共同設置、保管和使用。
5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數據安全管理制度
1、存放備份數據的介質必須具有明確的標識。備份數據必須異地存放,并明確落實異地備份數據的管理職責;
2、注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理,保證存儲介質的'物理安全。
3、任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批,以保證備份數據安全完整。
4、數據恢復前,必須對原環境的數據進行備份,防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行,出現問題時由技術部門進行現場技術支持。數據恢復后,必須進行驗證、確認,確保數據恢復的完整性和可用性。
5、數據清理前必須對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存,并確保可以隨時使用。數據清理的實施應避開業務高峰期,避免對聯機業務運行造成影響。
6、需要長期保存的數據,數據管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。
7、非本單位技術人員對本公司的設備、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機設備送外維修,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后清除,并妥善處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
10、營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、機房管理制度
1、進入主機房至少應當有兩人在場,并登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
2.IT部門人員進入機房必須經領導許可,其他人員進入機房必須經IT部門領導許可,并有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時,經IT部門負責人批準同意后有關人員監督下進行。對操作內容進行記錄,由操作人和監督人簽字后備查。
3、保持機房整齊清潔,各種機器設備按維護計劃定期進行保養,保持清潔光亮。
4、工作人員進入機房必須更換干凈的工作服和拖鞋。
5、機房內嚴禁吸煙、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6、機房工作人員嚴禁違章操作,嚴禁私自將外來軟件帶入機房使用。
7、嚴禁在通電的情況下拆卸,移動計算機等設備和部件。
8、定期檢查機房消防設備器材。
9、機房內不準隨意丟棄儲蓄介質和有關業務保密數據資料,對廢棄儲蓄介質和業務保密資料要及時銷毀(碎紙),不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。
10、主機設備主要包括:服務器和業務操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩定,做好靜電防護和防塵等項工作,保證主機系統的平穩運行。服務器等所在的主機要實行嚴格的門禁管理制度,及時發現和排除主機故障,根據業務應用要求及運行操作規范,確保業務系統的正常工作。
11、定期對空調系統運行的各項性能指標(如風量、溫升、濕度、潔凈度、溫度上升率等)進行測試,并做好記錄,通過實際測量各項參數發現問題及時解決,保證機房空調的正常運行。
12、計算機機房后備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
信息安全管理制度 篇6
為保障病案科在自然災難、事故災難、公共衛生等突發事務發生后,各項救援工作快速、高效、有序進行,最大限度地削減人員傷亡和病案損失和對社會的不良影響,切實提高病案科工作人員預防和處置突發事務的實力,特制定本預案。
一、應急救援工作的原則
(一)統一領導、分級負責、自救與團結救助相結合;
(二)明確職責、落實責任、依靠科學、反應剛好、措施堅決;
(三)救助中,要堅持先主后次、先急后緩、先重后輕的原則。重點愛護病案。
(四)病案科全部工作人員都有責任和義務參與或協作應急救援工作,并聽從統一指揮。
二、報告程序
工作時間內,自然災難、事故災難、公共衛生等突發事務發生后,發覺人員要在第一時間向科室領導、分管院長和相關部門報警,同時主櫓躍取=詡偃鍘8小時外,自然災難、事故災難、公共衛生等突發事務發生后,值班人員要在第一時間向科室領導和相關報警部門報告,同時組織保安人員自救。
三、組織領導
(一)成立醫院病案管理應急救災小組,組長由分管院長擔當,副組長由醫務部主任、病案科主任,成員由病案科全體成員及醫務部成員和后勤部相關成員組成。
(二)職責:醫務部、病案科負責病案平安愛護、搶救工作,后勤部負責消防、搬運等環節的組織實施和后勤保障工作。
四、突發事務應急措施:
(一)火災
1、辦公場所發生火災時,應主動自救,撲滅火災,同時馬上撥打“119”報警。報警時要說明單位、地點、物質燃燒種類、是否有人員被圍困、火勢狀況,懇求滅火,報告人姓名,并記錄報警時間。
2、報警后要支配人員到指定地點迎接消防車,引導消防車輛人員到達指定位置。
3、消防人員到達現場后,現場指揮員要向消防負責同志報告狀況,移交指揮權,協同公安消防做好滅火工作。
4、要根據現場指揮的要求邊救火邊負責內外警戒,維護公共秩序,嚴禁無關人員進入,保證人員通道暢通。
5、火災撲滅后,要組織人員負責愛護好火災現場,協作消防人員調查火災發生的'緣由,檢查病案和統計資料損毀程度。并組織修理人員快速檢修、復原各系統設備的正常運行;保潔人員負責清洗打掃現場衛生。
(二)突發洪災或漏水
1、發生洪澇災難或工作人員發覺漏水事務后,應剛好報告科室領導,并通知后勤修理人員要第一時間趕赴現場處置。
2、后勤修理人員到達現場后,視漏水狀況,妥當實行緊急應對措施。若水勢過大漏水嚴峻,應切斷電源,防止漏水漏電傷人。在條件充許的狀況下,盡量將漏水點限制住(如關閉水閥、用水桶接住漏水點等)。
3、要在第一時間內組織工作人員愛護和轉移現場病案和重要統計資料、電腦信息系統,并指定人員看管,防止丟失。
(三)盜竊案件
1、在工作中遇到或發覺有盜竊案件時,為愛護醫院病案平安,發覺人要馬上向科室領導和醫院保衛處報告,同時封鎖辦公樓的各個出口,重大案件要馬上撥打“110”電話報警。
2、要愛護好案發覺場,任何人不得擅自觸摸和移動任何東西,待公安部門人員勘察現場或勘察完畢后,方可復原原狀。
3、要記錄好被盜病案和物品的名稱、價值等狀況。
(四)停電
1、工作中出現停電現象剛好打電話通知后勤處修理。
2、拔掉復印機、電腦等電器電源插頭,防止供電復原時損壞機器。
(五)災情消退后,馬上整理、補救、修復病案信息資料,將損失降到最低,統計并做好相關登記、記錄,查找緣由,總結閱歷教訓。
信息安全管理制度 篇7
一、企業信息安全管理體系
1 、計算機設備管理體系1.使用計算機的部門應保持清潔、安全、良好的計算機設備工作環境,嚴禁在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等危害計算機設備安全的物品。
2.當本單位非技術人員對本單位設備進行維護時、系統、維護,本單位相關技術人員必須現場監督全過程。計算機設備在送去修理之前必須得到有關部門負責人的批準。
3.嚴格遵守安全操作規程和正確的使用方法,如計算機設備使用、啟動、關機。任何人不得用電插撥計算機外部設備的接口。如果計算機出現故障,應及時向計算機責任部門報告。未經許可不得擅自處理或從其他單位找技術人員進行維護和操作。
二 、操作員安全管理系統
(1) .操作代碼是進入各種業務操作應用系統的代碼、數據訪問的分級控制。
操作代碼分為系統管理代碼和一般操作代碼。代碼是根據不同應用系統和工作職責的要求設置的。
(2) .系統管理操作代碼設置和管理
1、系統管理操作代碼必須由管理層授權。
2、系統管理員負責各種應用系統的環境生成、維護、通用操作代碼的生成和維護、故障恢復的管理和維護等。
3、系統管理員必須獲得其上級對業務系統數據整理的授權、故障恢復和其他操作;
4、系統管理員不得使用他人的操作碼進行業務操作;
5、系統管理員調離崗位。上級管理員(或相關責任人)應及時取消其代碼并生成新的系統管理員代碼。
(3) .通用操作代碼設置和管理
1、一般操作代碼由系統管理員根據各種應用系統的操作要求生成,并根據每次操作的用戶代碼進行設置。
2、經營者不得將他人代碼用于經營活動。
3、操作員調離崗位。系統管理員應取消他的代碼,并及時生成新的操作員代碼。
三、密碼和權限管理系統
1.密碼設置應該具有安全性、保密性,并且不能使用簡單的代碼和標簽。
密碼是保護系統和數據安全以及保護用戶自身權益的控制代碼。
密碼分為用戶密碼和操作密碼,用戶密碼是登錄系統時設置的密碼,操作密碼是進入各應用系統的操作員密碼。
密碼設置不應是容易猜到的數字和字符串,如名稱、生日,重復、序列、常規數字;
2.密碼應定期修改,修改間隔不超過一個月。如果發現或懷疑密碼丟失或泄露,應立即修改,并將用戶名、修改時間、修改等內容記錄在相應的寄存器中。
3. server 、路由器等重要設備的超級用戶密碼應由運營機構負責人指定的專門人員(不參與系統開發和維護的人員)設置和管理,密碼設置人員應將密碼放入密碼信封內,貼上個人姓名徽章或在接縫處簽名,然后提交密碼管理人員備案登記。
特殊情況下,需要封存的密碼必須經相關部門負責人批準,并由密碼用戶向密碼管理人員索取。使用后,密碼必須立即更改并密封,并在“密碼管理登記簿”中登記。
4.系統維護用戶的密碼應由至少兩個人一起設置、以供保管和使用。
5.相關密碼授權員工調離崗位。相關部門負責人必須指定專人接管,并立即修改或刪除密碼。同時,應在“密碼管理登記簿”中進行登記。
四、數據安全管理系統
1.存儲備份數據的介質必須有清晰的標識。
備份數據必須存放在不同的地方,并明確落實不同地方備份數據的管理職責;2.重視重要計算機信息和數據存儲介質的存儲、運輸安全和安保管理確保存儲介質的物理安全。
3.任何非應用業務數據的使用和存儲數據的設備或介質的轉移、轉移、放棄或銷毀必須嚴格按照程序逐步批準,以確保備份數據的安全性和完整性。
4.在數據恢復之前,必須備份原始環境中的數據,以防止有用數據的'丟失。
在數據恢復過程中,應嚴格遵守數據恢復手冊,如有問題,技術部門應提供現場技術支持。
數據恢復后,必須執行驗證、確認,以確保數據恢復的完整性和可用性。
5.數據清理前必須備份數據,清理操作必須在確認備份正確后才能進行。
所有以前清理之前的備份數據應根據備份政策定期或永久保存,并應隨時可用。
數據清理的實施應避免高峰營業時間,并避免影響在線業務運營。
6.對于需要長期保存的數據,數據管理部門應與相關部門共同制定展期計劃。根據展期計劃和查詢使用方法,展期應在介質有效期內進行,以防止存儲介質過期失效。應通過有效查詢、使用方法確保數據的完整性和可用性。
傳輸的數據必須有詳細的文檔。
7.當公司非技術人員對公司設備進行維護時、系統、維護,公司相關技術人員必須現場監督全過程。
計算機設備必須經設備管理機構負責人批準后,方可送去維修。
在發送維修之前,應備份、刪除和注冊設備存儲介質中的應用軟件、數據和其他管理相關信息。
對于修復后的設備,設備維護人員應檢查并接受設備、病毒的檢測和登記。
8.管理部門應對報廢設備中存儲的程序、數據進行備份和清理,并妥善處理報廢的無用數據和介質,防止泄漏。
9.運行維護部應指定專人負責計算機病毒的防范,建立本單位的計算機病毒防控管理體系,定期進行計算機病毒檢查,發現病毒及時清除。
10.未經相關部門許可,商業計算機不允許安裝其他軟件、不允許使用來歷不明的載體(包括軟盤、光盤、移動硬盤等。)。
五、機房管理系統
1.進入主機房時應至少有兩人在場,并應登記”機房門禁管理登記簿”,記錄門禁時間、人員和操作內容。
2 .信息技術部門人員必須獲得領導的許可才能進入機房,其他人員必須獲得信息技術部門領導的許可并由相關人員陪同。
值班人員必須如實記錄訪客名單、進出機房時間、來訪內容等。
原則上,非信息技術部門人員不得進入中心操作系統。
特殊情況下需要操作時,應經信息技術部門負責人批準后,在相關人員的監督下進行。
操作內容應由操作人員和監督人員記錄并簽字,以備日后參考。
3.保持機房整潔。各種機械設備應按維修計劃定期維修,保持清潔明亮。
4.員工進入機房時必須更換干凈的工作服和拖鞋。
5.禁止在機房吸煙、吃飯、接待訪客、聊天等。
不允許任何與業務相關的活動。
嚴禁將液體和食物帶入機房,嚴禁攜帶與機房無關的物品,尤其是易燃易爆腐蝕性等危險品。
6.嚴禁機房工作人員違章操作,嚴禁未經許可將外來軟件帶入機房使用。
7.通電時,嚴禁拆卸和移動計算機等設備和部件。
8.定期檢查機房內的消防設備。
9.不允許在計算機房內隨意丟棄存款介質和相關機密業務數據。丟棄的存款介質和商業機密資料應及時銷毀(碎紙),不得作為普通垃圾處理。
嚴禁私自出借或取出機房內的設備、存儲介質、數據、工具。
10.主機設備主要包括用于業務運營的服務器和電腦。
在機房內,應保持恒溫、恒濕、電壓穩定,并做好靜電防護和防塵工作,以保證主機系統的穩定運行。
服務器所在的主機應執行嚴格的訪問控制管理系統,及時發現和排除主機故障,并根據業務應用要求和操作規范,保證業務系統的正常運行。
11.定期測試空調系統運行的各項性能指標(如風量、溫升、濕度、潔凈度、溫升率等)。),并做好記錄,及時解決通過實際測量發現的各種參數問題,確保房間空調器的正常運行。
12.除自動電池檢測外,計算機房中的不間斷電源必須每年充電和放電一次或兩次。
信息安全管理制度 篇8
一、一般規定
1、未經網管批準,任何人不得改變網絡(內部信息平臺)拓撲結構、網絡(內部信息平臺)設備布置、服務器、路由器配置和網絡(內部信息平臺)參數。
2、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據。
3、機關局域網上任何人不得利用計算機技術侵占用戶合法利益,不得制作、復制和傳播妨害單位穩定的有關信息。
4、各科室應定期對本科室計算機系統和相關業務數據進行備份以防發生故障時進行恢復。
二、帳號管理
1、網絡(內部信息平臺)帳號采用分組管理。并詳細登記:用戶姓名、部門名稱、口令,存取權限,開通時間,網絡(內部信息平臺)資源分配情況等。
2、網絡(內部信息平臺)管理員為用戶設置明碼口令,用戶可以根據自己的保密情況進行修改口令,用戶應對工作站設置開機密碼和屏保密碼。
3、用戶帳號下的數據屬于用戶私有數據,當事人具有存入權限,管理員具有管理和備份存取權限。
4、網絡(內部信息平臺)管理員根據有關帳號管理規則對用戶帳號執行管理,并對用戶帳號及數據的安全和保密負責。
5、網絡(內部信息平臺)管理員必須嚴守職業道德和職業紀律,不得將任何用戶的密碼、帳號等保密信息等泄露出去。
三、網絡管理員職責
1、協助制定網絡(內部信息平臺)建設方案,確定網絡(內部信息平臺)安全及資源共享策略。
2、負責公用網絡(內部信息平臺)實體,如服務器、交換機、集線器、防火墻、網線、接插件等的維護和管理。
3、負責服務器和系統軟件的安裝、維護、調整及更新。
4、負責網絡(內部信息平臺)賬號管理,資源分配,數據安全和系統安全。
5、監視網絡(內部信息平臺)運行,調整參數,調度資源,保持網絡(內部信息平臺)安全、穩定、暢通。
6、負責系統備份和網絡(內部信息平臺)數據備份,負責各部門電子數據資料的整理和歸檔。
7、保管網絡(內部信息平臺)拓撲圖接線表,設備規格及配置單,管理記錄,運行記錄,檢修記錄等網絡(內部信息平臺)資料。
8、每年對本單位網絡(內部信息平臺)的效能和各電腦性能進行評價,提出網絡(內部信息平臺)結構、技術和網絡、管理的改進措施。
四、安全管理職責
1、保障網絡(內部信息平臺)暢通和信息安全。
2、嚴格遵守國家、省、市制定的相關法律、行政法規,嚴格執行《網絡安全工作制度》,以人為本,依法管理,確保網絡(內部信息平臺)安全有序。
3、在發生網絡(內部信息平臺)重大突發事件時,應立即報告,采取應急措施,盡快恢復網絡(內部信息平臺)正常運行。
4、充分利用現有的安全設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5、加強信息審查工作,保存,備份至少90天之內網絡信息日志,及時加以分析,排查不安定因素,防止黃色,反動信息的傳播。
6、經常檢查網絡(內部信息平臺)工作環境的防火、防盜工作。五、電腦操作人員培訓制度
五、病毒的防治管理制度
1、任何人不得在機關的局域網上制造傳播任何計算機病毒,不得故意引入病毒。網絡(內部信息平臺)使用者發現病毒應立即向網絡管理員報告。網絡管理員及時指導和協助處理病毒。
2、各部門應定期查毒,(周期為一周或者10天)管理員應及時升級病毒庫,并提示各部門對殺毒軟件進行在線升級。
計算機病毒防治管理制度
為加強計算機的安全監察工作,預防和控制計算機病毒,保障計算機系統的正常運行,根據國家有關規定,結合實際情況,制定本制度。
一、凡在本網站所轄計算機進行操作、運行、管理、維護、使用計算機系統以及購置,維修計算機及其軟件的部門,必須遵守本辦法。
二、本辦法所稱計算機病毒,是指編制或者在計算機程序中插入的.破壞計算機系統功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。
三、任何工作人員不得制作和傳播計算機病毒。
四、任何工作人員不得有下列傳播計算機病毒的行為:
1、故意輸入計算機病毒,危害計算機信息系統安全。
2、向計算機應用部門提供含有計算機病毒的文件、軟件、媒體。
3、購置和使用含有計算機病毒的媒體。
五、預防和控制計算機病毒的安全管理工作,由我部信息安全協調科負責實施,其主要職責是:
1、制定計算機病毒防治管理制度和技術規程,并檢查執行情況;
2、培訓計算機病毒防治管理人員外;
3、采取計算機病毒安全技術防治措施;
4、對網站計算機信息系統應用和使用人員進行計算機病毒防治教育和培訓;
5、及時檢測、清除計算機系統中的計算機病毒,并做好檢測、清除的記錄;
6、購置和使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品;
7、向公安機關報告發現的計算機病毒,并協助公安機關追查計算機病毒的來源。
8、對因計算機病毒引起的計算機信息系統癱瘓,程序和數據嚴重破壞等重大事故及時向公安機關報告人,并保護現場。
9、計算機安全管理部門應加強對計算機操作人員的審查,并定期進行安全教育和培訓。
10、計算機信息系統應用部門應建立計算機運行記錄制度,未經審定的任何程序,指令或數據,不得輸入計算機系統運行。
11、計算機安全管理部門應對引起的計算機及其軟件進行計算機病毒檢測,發現染有計算機病毒的,應采取措施加以消除,在未消除病毒之前不準投入使用。
12、通過網絡進行電子郵件或文件傳輸,應及時對傳輸媒體進行病毒檢測,接收到郵件時也要及時進行病毒檢測,以防止計算機病毒的傳播。
13、任何部門和個人不得從事下列活動:
⑴收集、研究有害數據;
⑵出版、刊登、講解、出租有害數據原理,源程序的書籍,資料或文章;
⑶復制有害數據的檢測,清除工具
六、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者,第一次給予警告、第二次給予通報批評,第三次及以上將給予通報批評并進行100-200元/次的處罰。
七、積極接受公安機關對計算機病毒防治管理工作的監督,檢查和指導。
信息安全管理制度 篇9
醫保信息安全管理制度是為了保護醫療保險數據的安全性和機密性,確保醫療保險的正常運營及合法權益的維護而制定的。醫保信息安全管理制度是醫院等醫療機構必須遵守的規章制度,其實施對于保障患者個人隱私和數據保護具有非常重要的意義。
醫保信息安全管理制度包括以下幾個方面:
一、信息安全政策。醫保信息安全管理制度要制定合理的信息安全政策,明確醫院管理部門和員工的職責,規定信息使用與保護的范圍、權限、責任和義務等,制定統一的安全標準,以及定期進行信息安全審核和評估,確保醫保信息的安全。
二、醫院內部信息使用規定。醫院內部應根據保密和安全需要,對醫保信息的使用進行規范,明確對醫療保險信息的訪問權限、使用權及權限分級原則,設置訪問控制、日志審核和審計制度,定期評估安全措施的有效性。
三、信息系統安全管理規定。信息系統安全管理規定包含電子信息安全框架、網絡及數據安全及可信性的維護、密鑰管理、安全傳輸等,對醫院內各個信息系統的安全進行盤點與管理,并采取安全增強措施,確保醫保信息不被非法竊取、篡改以及毀滅性破壞。
四、信息安全培訓及教育。為保障醫保信息安全,醫院應給予員工定期的信息安全教育和備案管理規定的操作培訓,提升員工的安全意識和技能,減少被攻擊或不當行為引起的信息安全事故。
五、風險管理。醫保信息管理制度還應該根據風險管理原則,制定全面的信息安全管理計劃及激勵措施,對醫保信息存在的風險進行監控與管理,并根據實際情況更新和完善制度,確保醫保信息的安全。
醫保信息安全管理制度的實施需要得到醫院領導的高度重視和全員的積極配合。信息安全是一個長期的工程,除了上述的安全管理制度外,防范更重要的是提高人員的安全意識和工作素質,避免促進醫保信息泄密的不安全因素的存在。我們應該從日常開展的工作中做好醫保信息的保護工作,謹防意外的信息泄露和傳播,確保醫保的正常運行和人民群眾的權益得到保障。只有嚴格遵守醫保信息安全管理制度,才能夠有效維護醫保信息的安全。隨著信息技術及互聯網的.不斷發展,醫保信息安全面臨著更為復雜和嚴峻的挑戰,例如醫療保險數據泄露、修改、濫用或篡改問題等,如果不采取有效的措施進行保護,將使得醫療衛生機構喪失公信力和合法性,甚至對患者申請理賠產生極大的困難。因此加強醫保信息安全管理制度的建設,是醫院及有關部門的重要任務。
為了確保醫療保險數據的安全與穩定,我們應該注重下面幾個方面的建設:
一、實施系統與網絡安全防范措施
醫院應常規監控和審查信息系統,設置安全防護措施,對接入系統進行身份驗證,提高醫療保險數據的安全性,防范黑客攻擊及病毒侵入等安全隱患。醫院的網站和數據庫也應做好網絡安全防范和備份管理,以防止惡意攻擊和數據的丟失。
二、合理分配訪問和使用權限
醫院管理部門應保證醫院內各工作人員均按照職責和操作權限進行醫療保險數據的訪問和使用,合理分配訪問權限,并實時跟蹤監視保健數據查詢和修改情況。同時要采取訪問控制、日志審計、密碼強度及定期更換等防范措施,保障醫保信息數據的安全性和完整性。
三、加強職工安全意識和法律教育
醫院應及時對職工進行信息安全意識和法律制度教育,改進職工工作素質,確保其能夠合理使用醫保信息數據,不濫用信息權,不違反信息安全相關法律法規。此外,醫院應讓職工熟知工作操作流程,防止工作中因人為因素產生的錯誤或失誤引起醫保數據泄露。
四、加強醫療保險數據備份和恢復能力
醫療保險數據的備份是保證數據完整性和災備能力的基礎。應定期對醫療保險數據進行定期備份,增加災難恢復的機會。同時,需建立完善的數據恢復機制,以防數據意外丟失或被盜。
五、建立安全管理團隊
醫院應組織一個專門的安全管理團隊,負責制定和完善信息安全管理制度,跟蹤、監測、評估和處理潛在的安全問題。團隊成員應包括網絡技術、信息安全、保密師等方面專業人員。此外,建立醫保信息安全管理委員會或安全專家咨詢委員會,可以實時處理醫保信息安全問題,保護醫保數據的安全性,提升醫院的信息安全防范和災備管理能力。
綜上所述,醫保信息安全管理制度的完善和落實是保障醫保信息安全的重要舉措,這一制度不僅要規范數據的訪問和使用,更需要依靠科學和有效的技術保證數據的安全。建設醫療保險信息化平臺,提升信息化水平,采用合理的信息技術與安全管理措施,有效加強醫保數據的安全保障,是解決醫保信息安全問題的重要手段。醫保信息安全需全員參與,加強意識教育和技術培訓,提高醫生及管理人員的安全意識,確保醫保信息的公正、公開和透明。醫保信息安全是醫院及有關部門需要關注的一個重要問題。當前,醫保信息安全面臨著更為復雜和嚴峻的挑戰,例如醫療保險數據泄露、修改、濫用或篡改問題等,如果不采取有效的措施進行保護,將使得醫療衛生機構喪失公信力和合法性。為了確保醫療保險數據的安全和穩定,我們需要注重信息安全防范措施的建設,包括加強系統與網絡安全的防范措施、合理分配訪問和使用權限、加強職工安全意識和法律教育、加強醫療保險數據備份和恢復能力、建立安全管理團隊等。這些措施的實施對于保障醫保信息的安全性和完整性具有重要的意義。同時,我們也需要建設醫療保險信息化平臺,提升信息化水平,采用合理的信息技術和安全管理措施,確保醫保信息的公正、公開和透明。因此,醫院及有關部門要重視醫保信息安全管理制度的建設,做好相關的技術儲備和措施,共同保障醫保信息的安全和穩定,提升醫院的信息安全防范和災備管理能力。
信息安全管理制度 篇10
1、為了加強學校的教育網絡和信息安全保障工作,根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際互聯網安全保護管理辦法》和其它有關法律、法規的規定,制定本制度。
2、本制度適用于學校內網絡機房、各計算機網絡用戶。
3、任何部門和個人不得利用校園網絡或國際互聯網危害國家安全、泄露國家和學校秘密,不得侵犯國家的、社會的、學校的利益和公民的`合法權益,不得從事犯罪活動。
4、任何部門和個人不得利用校園網絡或國際互聯網制作、復制、查閱和傳播下列有害信息:
⑴煽動顛覆國家政權、破壞國家統一,破壞民族團結、宗教極端勢力和境外敵對勢力的反動言論;
⑵捏造或者歪曲事實、散布謠言、擾亂校園秩序和社會秩序;
⑶宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪。
5、任何部門和個人不得從事下列危害校園網絡和計算機信息網絡安全的活動:
⑴未經允許不得對校園網絡功能和學校網站進行刪除、修改或者增加。
⑵未經允許不得對校園網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。
⑶不得在校園網絡和互聯網中故意制作、傳播計算機病毒等破壞性程序。
6、在校園網絡、學校網站、電子信箱中發現有反動、迷信、淫穢內容的信息應及時報告學校領導或電教網絡中心。
7、服務器、路由器和交換機的口令由專人負責保管,不得隨意外泄。口令的修改及設定需做好專門記錄和備案。
8、校園網上網帳戶的建立、E-Mail帳戶的申請、變更等需填寫申請單,由網絡中心完成設置并記入運行日志。
9、教師給家長發布的信息必須經兩位教師商量決定,信息發布人應當對所發布的信息備案記錄,以加強管理;網絡中心對所收到的經過審核后的信息在確認審核意見后,應及時在網上發布,并確保發布信息的準確性;做好數據備份工作,確保系統遭破壞后能及時恢復。
10、未經本中心批準,不得在校園網內建立自己的WEB站點、BBS站點、討論組及其它類似的信息站點。學校網站的策劃,內容的增刪由中心負責。信息發布的內容須經校辦公室審核。
11、指定專人負責本學校的計算機網絡管理和信息管理。
12、對于違反上述制度的有關人員,將采取教育、經濟處罰和行政處罰等措施,觸犯法律的將移送公安司法機關依法追究刑事責任。
13、本制度自發布之日起實施。
信息安全管理制度 篇11
第一節 總則
1、為加強單位信息技術外包服務的安全管理,保證單位信息系統運行環境的穩定,特制定本制度。
2、本制度所稱信息技術外包服務,是指單位以簽訂合同的方式,委托承擔信息技術服務且非本單位所屬的專業機構提供的信息技術服務,主要包括信息技術咨詢服務、運行維護服務、技術培訓及其它相關信息化建設服務等。
3、安全管理是以安全為目的,進行有關安全工作的方針、決策、計劃、組織、指揮、協調、控制等職能,合理有效地使用人力、財力、物力、時間和信息,為達到預定的安全防范而進行的各種活動的總和,稱為安全管理。
4、外包服務安全管理遵循關于安全的所有商業準則及適當的外部法律、法規。
第二節 外包服務范圍
5、外包服務包括信息技術咨詢服務、運行維護服務、技術培訓等。
6、咨詢服務:
6.1根據單位的信息化建設總體部署,協助單位制定切實可行的技術實施方案。
6.2 對單位現有的信息技術基礎架構、設備運行狀態和應用情況進行
診斷和評估,提出合理化的解決方案。
6.3 根據單位的實際情況提出備份方案和應急方案。
6.4 其它信息技術咨詢服務。
7、運行維護服務:
7.1 軟硬件設備安裝、升級服務。
7.2硬件設備的維修和保養。
7.3 根據單位業務變化,提供應用系統功能性的需求解決方案及執行服務。
7.4系統定期巡檢和整體性能評估。
7.5 日常業務數據問題的處理服務
。 7.6 其它運行維護服務。
8、技術培訓:根據單位的實際情況,提供相關的技術培訓。
第三節 外包服務安全管理
9、外包服務安全管理應按照“安全第一、預防為主”的原則,采取科學有效的安全管理措施,應用確保信息安全的技術手段,建立權責明確、覆蓋信息化全過程的崗位責任制,對信息化全過程實行嚴格監督和管理,確保信息安全。
10、 成立由分管領導同志信息化外包管理組織,明確信息化管理的`部門、人員及其職責。
11、建立信息建設安全保密制度,與外包服務方簽訂安全保密協議或合同,明確符合安全管理及其它相關制度的要求。并對服務人員進行安全保密教育。
12、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質管理等操作規程或規章制度。
13、外包服務方的人員素質、技術與管理水平能夠滿足擬承擔項目的要求,進行相應的安全資質管理。
14、信息中心配備專人負責安全保密工作,負責日常信息安全監督、檢查、指導工作。對服務方提供的服務進行安全性監督與評估,采取安全措施對訪問實施控制,出現問題應遵照合同規定及時處理和報告,確保其提供的服務符合單位的內部控制要求。
15、對外包服務的業務應用系統運行的安全狀況應定期進行評估,當出現重大安全問題或隱患時應進行重新評估,提出改進意見,直至停止外包服務。
16、使用外包服務方設備的,對其進行必要的安全檢查。
17、在重要安全區域,對外部服務方的每次訪問進行風險控制;必要時應外部服務方的訪問進行限制。
第四節 附則
18、本制度由信息中心負責解釋。
19、本制度自發布之日起生效執行。
信息安全管理制度 篇12
為加強計算機的安全監察工作,預防和控制計算機病毒,保障計算機系統的正常運行,根據公司有關規定,結合實際情況,制定本制度。
一、凡在本網站所轄計算機進行操作、運行、管理、維護、使用計算機系統以及購置,維修計算機及其軟件的部門,必須遵守本辦法。
二、本辦法所稱計算機病毒,是指編制或者在計算機程序中插入的破壞計算機系統功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。
三、任何工作人員不得制作和傳播計算機病毒。
四、任何工作人員不得有下列傳播計算機病毒的行為:
1、故意輸入計算機病毒,危害計算機信息系統安全。
2、向計算機應用部門提供含有計算機病毒的文件、軟件、媒體。
3、購置和使用含有計算機病毒的媒體。
五、預防和控制計算機病毒的安全管理工作,由我部信息安全協調科負責實施,其主要職責是:
1、制定計算機病毒防治管理制度和技術規程,并檢查執行情況;
2、培訓計算機病毒防治管理人員外;
3、采取計算機病毒安全技術防治措施;
4、對網站計算機信息系統應用和使用人員進行計算機病毒防治教育和培訓;
5、及時檢測、清除計算機系統中的計算機病毒,并做好檢測、清除的記錄;
6、購置和使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品;
7、向公安機關報告發現的計算機病毒,并協助公安機關追查計算機病毒的來源。
8、對因計算機病毒引起的計算機信息系統癱瘓,程序和數據嚴重破壞等重大事故及時向公安機關報告人,并保護現場。
9 、計算機安全管理部門應加強對計算機操作人員的審查,并定期進行安全教育和培訓。
10、計算機信息系統應用部門應建立計算機運行記錄制度,未經審定的任何程序,指令或數據,不得輸入計算機系統運行。
11、計算機安全管理部門應對引起的計算機及其軟件進行計算機病毒檢測,發現染有計算機病毒的,應采取措施加以消除,在未消除病毒之前不準投入使用。
12、通過網絡進行電子郵件或文件傳輸,應及時對傳輸媒體進行病毒檢測,接收到郵件時也要及時進行病毒檢測,以防止計算機病毒的傳播。
13、任何部門和個人不得從事下列活動:
⑴收集、研究有害數據;
⑵出版、刊登、講解、出租有害數據原理,源程序的書籍,資料或文章;
⑶復制有害數據的檢測,清除工具
六、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者,第一次給予警告、第二次給予通報批評,第三次及以上將給予通報批評并進行100-200元/次的處罰。
七、積極接受公安機關對計算機病毒防治管理工作的監督,檢查和指導。
第五項密碼安全保密制度
一、提高安全認識,禁止非工作人員操縱系統主機,不使用系統主機時,應注意鎖屏。
二、每周檢查主機登錄日志,及時發現不合法的登錄情況。
三、對網絡(內部信息平臺)管理員,系統管理員和系統操作員所用口令每十五天更換一次,口令要無規則,重要口令要多于八位。
四、加強口令管理,對文件用隱性密碼方式保存,確認所有帳號都有口令,當系統中的帳號不再被使用時,應立即從相應的數據庫中清除。
五、網絡(內部信息平臺)管理員、系統管理員調離崗位后一小時內由接任人員監督檢查更換新的密碼。
第六項病毒檢測和網絡安全漏洞檢測制度
一、網絡(內部信息平臺)的服務器,具有合法權限的用戶才能進行相應權限范圍內的操作,任何其他非法操作都屬于入侵行為。
二、所有用戶,不準掃描端口,不準猜測和掃描其他用戶的密碼,不準猜測和掃描網絡(內部信息平臺)的服務器和交換設備的口令。
三、系統管理員應定期檢查服務器的系統日志,如發現有入侵情況,應用時采取措施,保留原始數據,以便進行調查取證,并向委領導匯報,做好入侵情況登記。
四、服務器如果發現漏洞要及時修補漏洞或進行系統升級。
五、要定期對網站進行網絡(內部信息平臺)數據包的監控,及時發現和網絡(內部信息平臺)運行情況,全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為,阻止網絡(內部信息平臺)內外的入侵。
六、網絡(內部信息平臺)信息安全員履行對所有上網信息進行審查的職責,根據需要采取措施,監視、記錄、檢測、制止、查處、防范針對其所管轄網絡(內部信息平臺)或入網計算機的人或事。
七、所有用戶有責任對所發現或發生的違反有關法律,法規和規章制度的.人或事予以制止或向我部信息安全協調科反映、舉報,協助有關部門或管理人員對上述人或事進行調查、取證、處理,應該向調查人員如實提供所需證據。
八、網絡(內部信息平臺)管理員應根據實際情況和需要采用新技術調整網絡(內部信息平臺)結構,系統功能,變更系統參數和使用方法,及時排除系統隱患。
深圳前海潤林供應鏈實業有限公司
第七項違法使用網絡
二、以下行為屬于違法使用網絡(內部信息平臺):
1、破壞網絡(內部信息平臺)通訊設施,包括室內網絡布線,室內信息插座,配線間網絡設備等。
2、隨意改變網絡接入位置。
3、盜用他人的IP地址,更改網卡地址、盜用他人帳號(包括上網帳號、電子郵件帳號、信息發布帳號等);
4、通過電子郵件、網絡(內部信息平臺)、存儲介質等途徑故意傳播計算機病毒。
5、對網絡進行惡意偵聽和信息截獲,在網絡上發送干擾正常通信的數據。
6、對網絡各攻擊,包括利用已知的系統漏洞、網絡漏洞、安全工具、端口掃描等進行攻擊,以后、以及利用IP欺騙手段實施的拒絕服務攻擊;
7、訪問和傳播色情、反動、邪教、謠言等不良信息的。
第八項網絡資源管理
一、網絡資源和服務器由信息系統管理員統一進行規劃、管理和監督。
二、服務器及個人用機的管理:
1、各部門及以上服務器必須指定專人負責管理,并在信息系統管理員處備案,未經授權,非管理員不得對其進行操作。
2、各部門及以上的服務器管理員有責任對其負責的服務器進行例行檢查,包括:服務器的CPU、內存、硬盤等資源利用情況;服務器上運行的服務使用情況;服務器上運行的殺毒軟件的及時更新;
3、服務器管理員要做好服務器的備份工作,至少每季度有一份完整備份,重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。
4、個人和各部門未經服務器管理員批準不得私自設立服務器。
5、服務器管理員每月定期對服務器做一次全面檢查,并填寫服務器檢查日志。
6、服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時,管理員密碼需及時更改。
7、各部門所有人員應自行維護電腦的正常使用,并按照要求進行設置及及時進行補丁更新,不得擅自退出域、去除域管理員權限、修改主機名、修改IP等。
三、IP地址的管理:
1、IP地址由服務器管理員統一規劃管理。未經許可,不得擅自更改任何設備的IP地址。
2、我項目部申請的公網IP任何人不得私用。
3、工作需要公網IP,需申請上級領導批準后,方可使用。
4、公司公網IP使用無工作需要時,立即停止使用,并通知服務器管理員收回。
信息安全管理制度 篇13
醫院信息安全管理制度:
一、信息系統安全包括:軟件安全和硬件網絡安全兩部分。
二、網絡信息辦公室人員必須采取有效的方法和技術,防止信息系統數據的丟失、破壞和失密;硬件破壞及失效等災難性故障。
三、對HIS系統用戶的訪問模塊、訪問權限由院長提出后,由網絡信息辦公室人員給予配置,以后變更必須報批后才能更改,網絡信息辦公室做好變更日志存檔。
四、系統管理人員應熟悉并嚴格監督數據庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網絡管理員、系統管理員、操作員調離崗位后一小時內由網絡信息辦公室人員監督檢查更換新的密碼。
五、網絡信息辦公室人員要主動對網絡系統實行監控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網絡風暴發生。
六、網絡系統所有設備的配置、安裝、調試必須由網絡信息辦公室人負責,其他人員不得隨意拆卸和移動。
七、上網操作人員必須嚴格遵守計算機及其他相關設備的操作規程,禁止其他人員進行與系統操作無關的工作。
八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。 九、所有進入網絡的光盤、U 盤等其他存貯介質,必須經過網絡信息辦公室負責人同意并查毒,未經查毒的存貯介質絕對禁止上網使用,對造成“病毒"蔓延的有關人員,將對照《計算機信息系統處罰條例》進行相應的經濟和行政處罰。
十、在醫院還沒有有效解決網絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機)的情況下,內外網獨立運行,所有終端內外網不能混接。
十一、內網用戶所有文件傳遞,不得利用光盤和U 盤等存貯介質進行拷貝。 十二、保持計算機硬件網絡設備清潔衛生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。
十三、網絡信息辦公室人員有權監督和制止一切違反安全管理的行為。
十四、 信息系統故障應急預案:
1、對網絡故障的判斷:當網絡系統終端發現計算機訪問數據庫速度遲緩、不能進入相應程序、不能保存數據、不能訪問網絡、應用程序非連續性工作時,要立即向網絡信息辦公室匯報,網絡信息辦公室工作人員對科室提出的上述問題必須重視,經核實后給予科室反饋信息。網絡信息辦公室負責人應召集有關人員及時進行討論,如果故障原因明確,可以立刻恢復工作的',應立即恢復工作;如故障原因不明確、情況嚴重不能在短期內排除的,應立即報告院領導,在網絡不能運轉的情況下由機關協調全院工作以保障醫療工作的正常運轉。
2、網絡故障分為三類:
(1)一類故障:服務器不能工作;光纖損壞;主服務器數據丟失;備份盤損壞;服務器工作不穩定;局部網絡不通;數據被人刪改;重點終端故障;規律性的整體、局部軟、硬件故障。
(2)二類故障:單一終端軟、硬件故障;單一患者信息丟失;偶然性的數據處理錯誤;某些科室違反工作流程要求。
(3)三類故障:各終端由于不熟練或使用不當造成的錯誤。
信息安全管理制度 篇14
為維護互聯網環境安全、健康,根據《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》等國家法律、法規,特制定本制度。
總則
一、嚴格遵守國家有關涉及互聯網方面的法律法規;
二、堅決封堵互聯網上不良和有害信息的侵入;
三、積極配合公安機關的網絡信息安全部門檢查;
四、按照備案要求,及時備案本單位在互聯網應用方面的變更信息;
五、在本單位建立網絡信息安全保護小組,并報公安機關的網絡安全部門備案;
六、根據本單位在互聯網應用的實際情況,在安全員、安全教育和培訓、機房管理、安全保護技術措施、巡視上報、帳號使用和操作權限管理等方面制定以下細則制度。
安全員制度
一、設立2人以上專職或兼職計算機信息網絡安全員(以下簡稱安全員);
二、安全員主要負責全校網絡(包含局域網、廣域網)的系統安全性;
三、安全員負責全校網絡安全方面操作和知識的培訓;
四、安全員負責系統數據的冗災備份工作;
五、安全員確保系統日志保存完善并保留60天以上(日志包含校內部聯網和網站兩大塊);
六、對系統防病毒系統、防火墻和入侵檢測系統的定期升級。定期對系統作安全檢測,及時發現安全漏洞予以消除,對檢測結果和漏洞消除情況有記錄;
七、安全員應經常保持對最新技術的掌握,實時了解網絡信息安全的動向,做到預防為主;
八、安全員承擔對不良、有害信息上報、處置工作職責;
九、另安全員承擔本單位制定的其他和公安機關交辦的相關網絡安全職責。
與公安聯系制度
一、建立與公安機關聯系的長效機制,對網絡安全方面出現的問題和情況及時溝通;
二、網絡安全管理員保持通訊暢通,確保24小時內有急事聯系到人;
三、對計算機信息系統中發生的案件,應當24小時內向當地公安ail:XXX,并電話確認郵件送機關報告(電話:XXX轉XX或者em達)。
安全教育和培訓
一、安全員定期接受公安機關相關部門的安全培訓;
二、對員工和用戶在《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》、《計算機信息網絡國際聯網安全保護管理辦法》等關于網絡安全方面的國家法律、法規的學習、培訓,提高工作人員(特別是安全員)的維護網絡安全的警惕性和自覺性;
三、實時了解網絡信息安全的動向,不定期地對本單位聯網用戶(包含單位其他聯網工作人員等)進行關于最新系統漏洞修復和最新病毒預防等安全防范方面的的培訓和學習。
四、適時對全校員工進行基本的網絡安全保護制度和具體方法進行介紹,切實維護計算機聯網安全。
五、網絡安全防范方面的的'培訓和學習方面,暢通與公安機關有關人員的聯系渠道,加強對各類有害信息、特別是影射性有害信息的識別能力,提高安全防犯能力。
機房管理制度
一、對能夠進入機房人員的設定要求(如:非機房人員準入制度等等);
二、對任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品的禁止要求;
三、對運行設備及各種配置等等進行更改、增減的權限規定;
四、操作密碼定期更改要求,超級用戶權限設定、機房管理員權限等等的權限設定;
五、各種主要數據的冗災備份要求;
六、《機房日志》及軟件維護、增刪、配置的更改,各類硬件設備的添加、更換等登記要求;
七、對機房內設置的消防器材等不定期進行檢查的要求,以保證其有效性;
八、機房環境(如整潔、溫度等等)的要求;
九、其他。
安全保護技術措施制度
一、系統日志保存完善。根據不同互聯網服務性質保存相應的日志項目(具體項目參照《互聯網安全保護技術措施規定》,項目應達到的標準參照《中華人民共和國公共安全行業標準》GA610-20xx、GA611-20xx、GA612-20xx),做到保存項目完整、保存時間在60天以上;
二、對系統安全防范系統定期檢測、升級、漏洞修補,確保系統安全;
三、系統數據冗災備份;
四、定期巡視,確保信息安全、合法。
巡視上報制度
一、對于論壇BBS、社區、留言板、聊天室、游戲,建立信息發布前的關鍵字或敏感詞匯的過濾機制(關鍵字內容包含邪教術語、淫穢術語等等,密切關注社會動態,對關鍵字或敏感詞匯作及時調整等等方面的具體規定);
二、對于電子郵件服務,建立垃圾郵件的自動過濾功能;
三、上述欄目屬于新聞時事、時政類的欄目,必須建立信息發布前的先審后發制度;
四、日常化巡視(可以由管理員、版主等等輪流或分塊負責,如何分工實現日常化巡視、巡視時職責是及時發現有害信息并及時處置等等都應明確);
五、上述四條,系統自動過濾、審核、巡視出的有害信息應留存,并定期向公安機關網絡安全部門上報;
帳號使用登記和操作權限管理制度
一、聯網單位應用系統中的用戶權限設置;
二、對于論壇BBS、社區等欄目中用戶分級管理(如:游客、注冊用戶、版主、管理員等之間的權限設置,新聞時政類欄目與普通欄目版主、管理員之間的權限設置);
三、后臺管理員的權限設置;
四、其他。
附則
本制度自即日起實施。制度一式二份,一份報公安機關的網絡安全部門備案,一份和《中華人民共和國計算機信息網絡國際聯網單位備案表》同檔保存在本單位備查。
【信息安全管理制度】相關文章:
網絡與信息安全09-06
信息安全檢查09-06
信息安全策略03-13
網絡與信息安全【優選】09-06
統計信息管理制度11-26
教育信息化管理制度11-17
醫保統計信息管理制度11-18
信息化管理管理制度11-25
安全管理制度11-19