信息安全管理政策業務培訓制度
第一章信息安全政策
一、計算機設備管理制度
1.計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
2.非我司技術人員對我司的設備、系統等進行維修、維護時,必須由我司相關技術人員現場全程監督。計算機設備送外維修,須經有關部門負責人批準。
3.嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現故障時應及時向電腦負責部門報告,不允許私自處理或找非我司技術人員進行維修及操作。
二、操作員安全管理制度
1.操作代碼是進入各類應用系統進行業務操作、分級對數據存取進行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置.
2.系統管理操作代碼的設置與管理:
(1)、系統管理操作代碼必須經過經營管理者授權取得;
(2)、系統管理員負責各項應用系統的環境生成、維護,負責一般操作代碼的生成和維護,負責故障恢復等管理及維護;
(3)、系統管理員對業務系統進行數據整理、故障恢復等操作,必須有其上級授權;
(4)、系統管理員不得使用他人操作代碼進行業務操作;
(5)、系統管理員調離崗位,上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統管理員代碼;
3.一般操作代碼的設置與管理
(1)、一般操作碼由系統管理員根據各類應用系統操作要求生成,應按每操作用戶一碼設置。
(2)、操作員不得使用他人代碼進行業務操作。
(3)、操作員調離崗位,系統管理員應及時注銷其代碼并生成新的操作員代碼。
三、密碼與權限管理制度
1.密碼設置應具有安全性、保密性,不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼,也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、順序、規律數字等容易猜測的數字和字符串;
2.密碼應定期修改,間隔時間不得超過一個月,如發現或懷疑密碼遺失或泄漏應立即修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3.服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時在“密碼管理登記簿”中登記。
4.系統維護用戶的密碼應至少由兩人共同設置、保管和使用。
5.有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除,同時在“密碼管理登記簿”中登記。
四、數據安全管理制度
1.存放備份數據的介質必須具有明確的標識。備份數據必須異地存放,并明確落實異地備份數據的管理職責;
2.注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全。
3.任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批,以保證備份數據安全完整。
4.數據恢復前,必須對原環境的數據進行備份,防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行,出現問題時由技術部門進行現場技術支持。數據恢復后,必須進行驗證、確認,確保數據恢復的完整性和可用性。
5.數據清理前必須對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存,并確保可以隨時使用。數據清理的實施應避開業務高峰期,避免對聯機業務運行造成影響。
6.需要長期保存的數據,數據管理部門需與相關部門制定轉存方案,根據轉存方案和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。
7.非我司技術人員對本公司的設備、系統等進行維修、維護時,必須由本公司相關技術人員現場全程監督。計算機設備送外維修,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記。
8.管理部門應對報廢設備中存有的程序、數據資料進行備份后清除,并妥善處理廢棄無用的資料和介質,防止泄密。
9.運行維護部門需指定專人負責計算機病毒的防范工作,建立我司的計算機病毒防治管理制度,經常進行計算機病毒檢查,發現病毒及時清除。
10.營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、機房管理制度
1.進入主機房至少應當有兩人在場,并登記“機房出入管理登記簿”,記錄出入機房時間、人員和操作內容。
2.信息部人員進入機房必須經領導許可,其他人員進入機房必須經信息領導許可,并有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非信息部工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時,經信息部負責人批準同意后有關人員監督下進行。對操作內容進行記錄,由操作人和監督人簽字后備查。
3.保持機房整齊清潔,各種機器設備按維護計劃定期進行保養,保持清潔光亮。
4.工作人員進入機房必須更換干凈的工作服和拖鞋。
5.機房內嚴禁吸煙、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房,嚴禁攜帶與上機無關的物品,特別是易燃、易爆、有腐蝕等危險品進入機房。
6.機房工作人員嚴禁違章操作,嚴禁私自將外來軟件帶入機房使用。
7.嚴禁在通電的情況下拆卸,移動計算機等設備和部件。
8.定期檢查機房消防設備器材。
9.機房內不準隨意丟棄儲蓄介質和有關業務保密數據資料,對廢棄儲蓄介質和業務保密資料要及時銷毀(碎紙),不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。
10.主機設備主要包括:服務器和業務操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩定,做好靜電防護和防塵等項工作,保證主機系統的平穩運行。服務器等所在的主機要實行嚴格的門禁管理制度,及時發現和排除主機故障,根據業務應用要求及運行操作規范,確保業務系統的正常工作。
11.定期對空調系統運行的各項性能指標(如風量、溫升、濕度、潔凈度、溫度上升率等)進行測試,并做好記錄,通過實際測量各項參數發現問題及時解決,保證機房空調的正常運行。
12.計算機機房后備電源(UPS)除了電池自動檢測外,每年必須充放電一次到兩次。
第二章業務培訓制度
一、培訓制度
1、業務學習培訓計劃由信息部根據年度工作計劃作出安排。
2、成立業務學習小組,定期組織業務學習;
3、工作人員每年必須參加不少于15個課時的專業培訓。
4、工作人員必須完成布置的學習計劃安排,積極主動地參加信息部組織的業務學習活動。
5、有選擇地參加其它行業和部門舉辦的專業培訓,鼓勵參加其它業務交流和學習培訓。
6、支持、鼓勵工作人員結合業務工作自學。
二、培訓內容:
1.計算機安全法律教育
(1)、定期組織我司工作人員認真學習《網絡安全制度》、《計算機信息網絡安全保護》等業務知識,不斷提高工作人員的理論水平。
(2)、負責對企業的網絡用戶進行安全教育和培訓。
(3)、定期的邀請上級有關部門和人員進行信息安全方面的培訓,提高操作員的防范能力。
2.計算機職業道德教育
(1)、工作人員要嚴格遵守工作規程和工作制度。
(2)、不得制造,發布虛假信息,向非業務人員提供有關數據資料。
(3)、不得利用計算機信息系統的漏洞偷竊客戶資料,進行詐騙和轉移資金。
(4)、不得制造和傳播計算機病毒。
3.計算機技術教育
(1)、操作員必須在指定計算機或指定終端上進行操作。
(2)、機房管理員,程序維護員,操作員必須實行崗位分離,不得串崗,越崗。
(3)、不得越權運行程序,不得查閱無關參數。
(4)、發現操作異常,應立即向機房管理員報告。
三、培訓方法:
1.結合專業實際情況,指派有關人員參加學習。
2.有計劃有針對性,指派人員到外地或外單位進修學習。
3.舉辦專題講座或培訓班,聘請有關專家進行講課。
4.所有上崗工作人員或換崗工作人員應經過培訓考核合格,方能上崗。
5.自訂學習計劃,參加專業函授學習成績及時反饋有關部門,良好學業者給予獎勵。
篇2:電力行業網絡信息安全檢查方案
為貫徹落實《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》(國辦函〔2012〕102號)要求,結合電力行業信息安全工作實際,制定電力行業網絡與信息安全檢查方案。
一、檢查依據
1.《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》(國辦函〔2012〕102號);
2.《電力行業網絡與信息安全監督管理暫行規定》(電監信息〔2007〕50號)。
3.《電力二次系統安全防護規定》(電監會5號令)。
二、檢查目的
通過開展電力行業網絡與信息安全檢查,全面掌握重要電力網絡與信息系統基本情況,分析面臨的安全威脅和風險,評估安全防護水平,查找突出問題和薄弱環節,有針對性地采取防范對策和改進措施,加強網絡與信息系統安全管理、技術防護和人才隊伍建設,促進安全防護能力和水平提升,預防和減少重大信息安全事件的發生,切實保障電力網絡與信息系統安全,維護電力系統安全穩定運行,保障*****大順利召開。
三、檢查范圍
各電力企業運行使用的網絡和信息系統,重點檢查信息安全保護等級為3級及以上的重要網絡與信息系統。
四、檢查方式
本次檢查按照“誰主管誰負責、誰運行誰負責”的原則,采用電力企業自查、電監會派出機構對轄區內電力企業自查情況、自查質量進行跟蹤檢查和電監會組織專門隊伍同時進行抽查相結合的方式。
五、檢查內容
本次信息安全檢查主要分基本情況調查、安全防護情況檢查和問題及風險分析三個方面。
(一)網絡與信息系統基本情況調查。
主要調查系統特征,包括系統停止運行后對主要業務的影響程度,系統遭到攻擊破壞后對社會公眾的影響程度等;系統構成,包括主要軟硬件設備的類型、數量、生產商等;信息技術外包服務,包括服務類型、服務提供商、服務方式、安全保密協議等。各單位要在全面調查的基礎上,匯總填寫《電力行業信息安全檢查情況報告表》(見附件1)。
(二)安全防護情況檢查。
各單位主要從以下15個方面對本單位信息安全防護情況進行重點檢查,并在認真檢查的基礎上,如實填寫《電力企業信息安全檢查表(2012版)》(見附件2)。
1.組織體系建設情況。信息安全組織機構建立情況;第一責任人確立情況;責任落實情況;專職機構及崗位設置情況;安全人員配置情況等。
2.規章制度建立情況。整體策略及總體規劃(方案)制定情況;管理制度制定情況及制度體系完整性;操作規程制定情況;制度發布情況等。
3.資金保障情況。經費預算情況;安全運維經費投入情況;安全建設經費投入情況等。
4.人員安全管理情況。全員安全培訓及保密協議簽訂情況;專業技能培訓情況;崗位人員審查情況;崗位調整安全管控情況等。
5.服務外包管控情況。外包服務協議簽訂情況;第三方人員訪問管理情況;遠程服務管控情況;現場開發管控情況等。
6.關鍵信息資產管控情況。資產清單的建立情況;資產管理職責的落實情況;信息系統基礎資料歸檔情況等。
7.信息系統建設安全管理情況。系統上線安全測評情況;等級保護建設情況;等級保護測評情況;信息安全風險評估開展情況;密碼產品采購情況;信息產品采購測試情況;安全產品國產化情況等。
8.安全分區防御情況。安全分區情況;橫向隔離及縱向認證設備部署情況;跨區連接管控情況;內外網隔離情況等。
9.網絡安全防護情況。生產控制大區安全防護情況;管理信息大區安全防護情況;互聯網出口統一管理情況;互聯網出口安全管控情況;無線網絡安全防護情況等。
10.主機和設備安全防護情況。補丁更新管理情況;惡意代碼防護情況;系統加固情況;辦公終端管控情況;主機和設備帳號口令管理情況等。
11.應用系統和數據安全防護情況。應用系統安全功能及配置情況;對外服務系統信息監控和攻擊防御情況;對外服務系統周期測試情況;應用系統賬號口令管理情況;重要數據安全保護情況等。
12.物理環境安全防護情況。機房安全建設情況等。
13.信息系統運行安全管理情況。日常維護情況;安全審計情況;補丁管理情況;介質管理情況;安全監測情況等。
14.災難恢復情況。硬件冗余情況;定期備份情況;異地容災中心建設情況;備份介質恢復測試情況等。
15.應急管理情況。網絡與信息安全信息通報情況;總體應急預案制定情況;重要信息系統應急預案制定情況;應急演練開展情況;應急資源配備情況;事故調查工作情況等。
(三)存在的問題和面臨的風險分析。
在完成基本情況調查和安全防護情況檢查的基礎上,各單位要圍繞著以下三個方面對存在的問題和面臨的主要風險進行分析。
1.當前安全管理和技術防護中的主要問題及薄弱環節,制定安全防護能力提高的主要因素(包括法律法規、政策制度、技術手段等方面)。
2.統計國外產品和服務在主要軟硬件設備和信息技術外包服務中所占的比例,分析網絡與信息系統對國外產品和服務的依賴程度。
3.根據安全檢測發現的漏洞和隱患,分析網絡與信息系統存在的安全風險,判斷面臨的安全威脅程度以及具備的安全防護能力,評估網絡與信息系統總體安全狀況。
六、檢查組織
1.電監會統一組織本次信息安全檢查工作,電力行業網絡與信息安全領導小組辦公室負責信息安全檢查的日常工作。電監會各派出機構根據電監會的統一部署,負責轄區內電力企業信息安全自查督導和監督檢查工作。
2.各電力(集團)公司負責組織開展本單位及其下屬單位的信息安全檢查工作。
七、進度安排
1.7月16日~7月20日,動員部署階段
印發《關于開展電力行業網絡與信息安全檢查行動的通知》和《電力行業網絡與信息安全檢查方案》,召開會議進行動員部署。
2.7月21日~8月31日,實施階段
8月22日前,各單位完成本單位的信息安全自查工作,編寫自查報告,制定整改方案。
8月31日前,完成整改工作。電力(集團)公司應匯總填寫本系統《電力行業信息安全檢查情況報告表》和《電力企業信息安全檢查項目表(2012版)》,并和自查整改情況報告一起報送電監會。對于無法及時完成整改的隱患項目,有關電力企業要說明原因,制定臨時應急措施,并將情況說明按時報電監會。
檢查期間,電監會將組織若干專業小組對各單位進行抽查。抽查有關事項,電監會將于行前通知。
3.9月1日~9月15日,總結階段
電監會對檢查工作情況進行匯總和全面總結,形成電力企業信息安全檢查報告并報國家網絡與信息安全協調小組辦公室。
八、工作要求
1.各單位要高度重視,加強組織領導,制定檢查方案,明確檢查任務,落實檢查責任,及時整改檢查中發現的問題,并將檢查整改情況按時報電監會。
2.各單位要精心部署,周密安排,認真組織。對于發現的問題,要找出原因,并舉一反三,持續改進。各單位要建立檢查整改跟蹤督辦機制,力求使安全隱患都得到整改和妥善處置。
3.安全檢查工作對象是各單位的重要系統、重要數據和敏感信息等資產,需要高度重視檢查工作存在的風險,制定周密的應急防范措施,避免發生影響系統正常運行和敏感信息泄漏的事件。
4.各單位要高度重視信息安全保密工作,加強信息安全保密措施,檢查結果除按規定報送外,不得向其他單位和個人透露。所有檢查往來文件一律加密。
5.電監會抽查小組成員和派出機構督查小組成員要嚴格遵守黨風廉政紀律,嚴格執行保密工作規定,不得隨意泄露抽查組行程。
篇3:W網吧信息安全管理制度
為了規范網吧管理中對網吧人員的管理,于是網吧制定了網吧人員管理制度,而為了網吧信息安全,所以網吧則制定了網吧信息安全管理制度,以下則是相關網吧制定的網吧信息安全管理制度的內容。
第一條應當遵守有關法律、法規的規定,加強行業自律,自覺接受政府有關部門依法實施的監督管理,為上網消費者提供良好的服務。
上網消費者,應當遵守有關法律、法規的規定,遵守社會公德,開展文明、健康的上網活動。
第二條上網消費者不得利用網吧制作、下載、復制、查閱、發布、傳播或者以其他方式使用含有下列內容的信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統一、主權和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結,或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散布謠言,擾亂社會秩序,破壞社會穩定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權益的;
(九)危害社會公德或者民族優秀文化傳統的;
(十)含有法律、行政法規禁止的其他內容的。
第三條上網消費者不得進行下列危害信息網絡安全的活動:
(一)故意制作或者傳播計算機病毒以及其他破壞性程序的;
(二)非法侵入計算機信息系統或者破壞計算機信息系統功能、數據和應用程序的;
(三)進行法律、行政法規禁止的其他活動的。
第四條應當通過依法取得經營許可證的互聯網接入服務提供者接入互聯網,不得采取其他方式接入互聯網。
網吧內所有計算機必須通過局域網的方式接入互聯網,不得直接接入互聯網。
第五條上網消費者不得利用網絡游戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經營管理技術措施,建立場內巡查制度,發現上網消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止并在24小時內向文化行政部門、公安機關舉報。
第八條在顯著位置懸掛《網絡文化經營許可證》和營業執照。
第九條未成年人不得進入本網吧。在網吧入口處的顯著位置懸掛未成年人禁入標志。
第十條每日營業時間限于10時至2時。
第十一條對上網消費者的身份證等有效證件進行核對、登記,并記錄有關上網信息。登記內容和記錄備份保存時間不得少于60日,并在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在保存期內不得修改或者刪除。
第十二條依法履行信息網絡安全、治安和消防安全職責,并遵守下列規定:
(一)禁止明火照明和吸煙并懸掛禁止吸煙標志;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術措施。
為了加強對網吧的管理,規范網吧的經營,維護公眾和網吧的合法權益,保障網吧活動健康發展,促進社會主義精神文明建設,根據《互聯網上網服務營業場所管理條例》制定了以上的網吧信息安全管理制度。