信息安全管理制度

一、機房安全管理

1、路由器、交換機和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備，須放置計算機機房內(nèi)，不得自行配置或更換，更不能挪作它用。 
2、計算機房要保持清潔、衛(wèi)生，并由專人7*24負(fù)責(zé)管理和維護(hù)(包括溫度、濕度、電力系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)，無關(guān)人員未經(jīng)管理人員批準(zhǔn)嚴(yán)禁進(jìn)入機房。 
3、嚴(yán)禁易燃易爆和強磁物品及其它與機房工作無關(guān)的物品進(jìn)入機房。 
4、建立機房登記制度，對本地局域網(wǎng)絡(luò)的運行，建立檔案。未發(fā)生故障或故障隱患時當(dāng)班人員不可對光纖、網(wǎng)線及各種設(shè)備進(jìn)行任何調(diào)試，對所發(fā)生的故障、處理過程和結(jié)果等做好詳細(xì)登記。 
5、網(wǎng)管人員應(yīng)做好網(wǎng)絡(luò)安全工作，服務(wù)器的各種帳號嚴(yán)格保密。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊的行為并給予響應(yīng)和處理。 
6、做好操作系統(tǒng)的補丁修正工作。 
7、網(wǎng)管人員統(tǒng)一管理計算機及其相關(guān)設(shè)備，完整保存計算機及其相關(guān)設(shè)備的驅(qū)動程序、保修卡及重要隨機文件。 
8、計算機及其相關(guān)設(shè)備的報廢需經(jīng)過管理部門或?qū)Ｂ毴藛T鑒定，確認(rèn)不符合使用要求后方可申請報廢。 
9、制定數(shù)據(jù)管理制度。對數(shù)據(jù)實施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。當(dāng)班人員應(yīng)在數(shù)據(jù)庫的系統(tǒng)認(rèn)證、系統(tǒng)授權(quán)、系統(tǒng)完整性、補丁和修正程序方面實時修改。

 

二、網(wǎng)絡(luò)安全管理

1、網(wǎng)絡(luò)安全管理員主要負(fù)責(zé)全公司網(wǎng)絡(luò)（包含局域網(wǎng)、廣域網(wǎng)）的系統(tǒng)安全性。 
2、負(fù)責(zé)日常操作系統(tǒng)、網(wǎng)管系統(tǒng)、郵件系統(tǒng)的安全補丁、漏洞檢測及修補、病毒防治等工作。 

3、網(wǎng)絡(luò)安全管理員應(yīng)經(jīng)常保持對最新技術(shù)的掌握，實時了解INTERNET的動向，做到預(yù)防為主。 

4、良好周密的日志記錄以及細(xì)致的分析經(jīng)常是預(yù)測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者的有力武器。察覺到網(wǎng)絡(luò)處于被攻擊狀態(tài)后，網(wǎng)絡(luò)安全管理員應(yīng)確定其身份，并對其發(fā)出警告，提前制止可能的網(wǎng)絡(luò)犯罪，若對方不聽勸告，在保護(hù)系統(tǒng)安全的情況下可做善意阻擊并向主管領(lǐng)導(dǎo)匯報。 

5、在做好本職工作的同時，應(yīng)協(xié)助機房管理人員進(jìn)行機房管理，嚴(yán)格按照機房制度執(zhí)行日常維護(hù)。 
6、每月安全管理人員應(yīng)向主管人員提交當(dāng)月值班及事件記錄，并對系統(tǒng)記錄文件保存收檔，以備查閱。具體文件及方法見附件。

 

三、系統(tǒng)運行維護(hù)管理

1、 中心機房和辦公區(qū)域隔離分設(shè)。未經(jīng)負(fù)責(zé)人批準(zhǔn)，不得在中心機房設(shè)備上編寫、修改、更換各類軟件系統(tǒng)及更改設(shè)備參數(shù)配置。 

2、 各類軟件系統(tǒng)的維護(hù)、增刪、配置的更改，各類硬件設(shè)備的添加、更換必需經(jīng)負(fù)責(zé)人書面批準(zhǔn)后方可進(jìn)行；必須按規(guī)定進(jìn)行詳細(xì)登記和記錄，對各類軟件、現(xiàn)場資料、檔案整理存檔。 
 3、 為確保數(shù)據(jù)的安全保密，對各業(yè)務(wù)單位、業(yè)務(wù)部門送交的數(shù)據(jù)及處理后的數(shù)據(jù)都必須按有關(guān)規(guī)定履行交接登記手續(xù)。 
 4、 部門負(fù)責(zé)人應(yīng)定期與不定期對制度的執(zhí)行情況進(jìn)行檢查，督促各項制度的落實，并作為人員考核之依據(jù)。 

 

四、資產(chǎn)和設(shè)備管理

1、網(wǎng)站中心所屬范圍內(nèi)包括所有設(shè)備及辦公物品歸屬網(wǎng)站中心管理。
2、嚴(yán)格執(zhí)行上級管理部門有關(guān)設(shè)備管理的各項規(guī)章制度，對本中心管理的設(shè)備進(jìn)行編號、登記、建立完善、準(zhǔn)確的文檔。
3、購進(jìn)設(shè)備時，網(wǎng)站中心有關(guān)負(fù)責(zé)人必須與供貨人或調(diào)入人共同啟封，核對設(shè)備規(guī)格、型號、數(shù)目及軟件和文字資料，并進(jìn)行質(zhì)量檢驗。核對無誤，驗收合格后，方可簽字并辦理有關(guān)手續(xù)。
4、實行設(shè)備領(lǐng)用人責(zé)任制，誰領(lǐng)用，誰使用，誰保管。
5、對網(wǎng)站中心所屬重要設(shè)備，要建立檔案系統(tǒng)，保證技術(shù)資料完整。
6、非網(wǎng)站中心工作人員，不得擅自啟動、關(guān)閉、動用、遷移各種網(wǎng)絡(luò)設(shè)備。
7、從網(wǎng)站中心調(diào)出設(shè)備，必須經(jīng)中心負(fù)責(zé)人認(rèn)可批準(zhǔn)后，方可調(diào)出。
8、每半年，對中心的計算機網(wǎng)絡(luò)設(shè)備進(jìn)行一次全面檢查和維護(hù)。
9、每年末，網(wǎng)站中心對固定資產(chǎn)清查一次。
10、每年對機房設(shè)備保管和使用環(huán)境評估檢查一次，看是否達(dá)標(biāo)，并及時采取積極措施。
11、對于超過有效使用期的設(shè)備、淘汰設(shè)備或毀壞設(shè)備，按上次管理部門對固定資產(chǎn)設(shè)備報廢規(guī)章制度辦理，并履行有關(guān)手續(xù)。
12、網(wǎng)站中心設(shè)備使用和管理人員，應(yīng)本著對國家財產(chǎn)負(fù)責(zé)的態(tài)度嚴(yán)格執(zhí)行操作和管理程序。對操作不當(dāng)或管理不善造成設(shè)備損失的，要追查責(zé)任，給予相應(yīng)處罰，故意破壞的移交司法部門處理。對于工作認(rèn)真負(fù)責(zé)，避免損失的，給予一定獎勵。

 

五、數(shù)據(jù)及信息安全管理

網(wǎng)站中心的數(shù)據(jù)及信息安全主要由信息安全管理員負(fù)責(zé)，信息安全管理員的主要職責(zé)如下：

1、信息安全管理員負(fù)責(zé)本中心的信息安全保護(hù)管理工作，建立健全信息安全保護(hù)管理制度；

2、信息安全管理員負(fù)責(zé)落實信息安全保護(hù)技術(shù)措施，保障本網(wǎng)絡(luò)的運行安全和信息安全；

3、負(fù)責(zé)防火墻、IDS、防病毒系統(tǒng)的策略制定；

4、負(fù)責(zé)本中心審計系統(tǒng)的運行管理，對運行情況進(jìn)行審計；

5、負(fù)責(zé)本中心身份認(rèn)證系統(tǒng)、權(quán)限管理和授權(quán)、單點登錄系統(tǒng)的運行管理；

6、負(fù)責(zé)本中心的防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)的運行管理，并定期升級；

7、負(fù)責(zé)本中心相關(guān)日志的填寫、收集、歸檔、管理；

8、對本中心所發(fā)布的信息內(nèi)容按照等相關(guān)規(guī)定進(jìn)行審核；

9、發(fā)現(xiàn)有違反安全管理規(guī)定的行為，應(yīng)當(dāng)保留有關(guān)原始記錄，并及時向相關(guān)管理部門報告；

10、按照國家有關(guān)規(guī)定，負(fù)責(zé)刪除本中心中含有違法內(nèi)容的地址、目錄或者關(guān)閉服務(wù)器。

 

六、用戶管理

參見機房出入管理制度第二款之規(guī)定。

 

七、備份與恢復(fù)

1、為了確保系統(tǒng)計算機系統(tǒng)的數(shù)據(jù)安全，使得在計算機系統(tǒng)失效或數(shù)據(jù)丟失時，能依靠備份盡快地恢復(fù)系統(tǒng)和數(shù)據(jù)，保護(hù)關(guān)鍵應(yīng)用數(shù)據(jù)的安全，保證數(shù)據(jù)不丟失，特制定本制度。

2、擁有重要系統(tǒng)或重要數(shù)據(jù)的服務(wù)器應(yīng)該及對數(shù)據(jù)進(jìn)行備份，防止系統(tǒng)、數(shù)據(jù)的丟失；涉及數(shù)據(jù)備份和恢復(fù)的服務(wù)器要由專人負(fù)責(zé)數(shù)據(jù)備份工作，并認(rèn)真填寫備份日志。

3、網(wǎng)絡(luò)服務(wù)器數(shù)據(jù)備份工作，由網(wǎng)站管理部負(fù)責(zé)，增量備份每日做，系統(tǒng)備份每周做一次。系統(tǒng)管理員在每周最后一個工作日，將數(shù)據(jù)庫、網(wǎng)頁文件、各主要硬件設(shè)備配置文件等做一次異機備份，數(shù)據(jù)保存一個季度。

4、備份數(shù)據(jù)應(yīng)該嚴(yán)格管理，妥善保存；備份數(shù)據(jù)資料保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

5、數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)格控制。嚴(yán)禁未經(jīng)授權(quán)將數(shù)據(jù)備份出系統(tǒng)，轉(zhuǎn)給無關(guān)的人員或單位；嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。

6、一旦發(fā)生數(shù)據(jù)丟失或數(shù)據(jù)破壞等情況，要由系統(tǒng)管理員進(jìn)行備份數(shù)據(jù)恢復(fù)，以免造成不必要的麻煩或更大的損失。

（1）全盤恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰或是有計劃的系統(tǒng)升級、系統(tǒng)重組等；

（2）個別文件數(shù)據(jù)恢復(fù)一般用于恢復(fù)受損的個別文件，或者在全盤恢復(fù)之后追加增量備份的恢復(fù)，以得到最新的備份。

7、各級信息技術(shù)管理部門必須定期檢查保存?zhèn)浞輸?shù)據(jù)能否正常使用，需刻錄光盤的數(shù)據(jù)應(yīng)經(jīng)過檢驗確保數(shù)據(jù)備份的完整性和可用性后，方可刻錄光盤。

 

八、密碼管理制度

（一）、 網(wǎng)絡(luò)服務(wù)器密碼口令的管理

1.服務(wù)器和網(wǎng)絡(luò)設(shè)備的管理賬號密碼，由網(wǎng)絡(luò)管理員持有，實行定期輪換制度，最長有效期不超過90天。

2.更換服務(wù)器與網(wǎng)絡(luò)設(shè)備密碼時必須執(zhí)行密碼備案制度，以防遺失密碼，同時告知主管領(lǐng)導(dǎo)備案密碼。

3.用戶級密碼如：網(wǎng)站、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站信息管理系統(tǒng)等用戶帳號必須專人專號，不得互相泄露密碼。不同級別用戶間不得交換帳號使用，特殊情況須報告網(wǎng)絡(luò)管理員處理。

4.公共帳號，如公共FTP等不能向中心以外人員泄露，對外傳送文件必須使用臨時FTP。

5.如發(fā)現(xiàn)密碼及口令有密跡象，系統(tǒng)管理員要立刻報告部門負(fù)責(zé)人，嚴(yán)查泄露源頭，同時更換密碼。

（二）、 用戶密碼及口令的管理

1.對于要求重新設(shè)定密碼和口令的用戶，用戶必須與系統(tǒng)管理員商定密碼及口令，由系統(tǒng)管理員備案后操作。

2.公共帳號密碼變更，必須通知到相關(guān)部門。

3.如果網(wǎng)絡(luò)提供用戶自我更新密碼及口令的功能，用戶應(yīng)謹(jǐn)慎修改密碼，修改后必須牢記密碼。

 

九、信息安全責(zé)任制

（一）計算機安全工作制度體系的重點是規(guī)范內(nèi)部人員行為和健全內(nèi)部制約機制，要根據(jù)不斷變化的情況，及時對計算機安全制度進(jìn)行補充和完善，逐步形成完整的、科學(xué)的計算機安全工作制度體系。

（二)、基于信息系統(tǒng)網(wǎng)絡(luò)管理任務(wù)的強化以及安全的動態(tài)特性，要求計算機信息系統(tǒng)加強對要害崗位人員在安全方面的管理，實行責(zé)權(quán)分配。

（三)、要害崗位人員上崗前必須進(jìn)行審查和業(yè)務(wù)技能考核，并進(jìn)行必要的安全教育和培訓(xùn)，合格者方能上崗。

（四)、要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)計算機安全管理規(guī)定，承擔(dān)相應(yīng)崗位安全責(zé)任。

（五）、系統(tǒng)管理員的安全職責(zé)是對所轄范圍的計算機系統(tǒng)問題負(fù)責(zé)，對計算機系統(tǒng)安全策略、計劃和事件處理程序的制定，參與計算機安全建設(shè)和運營方案的制定，負(fù)責(zé)系統(tǒng)的運行管理、實施系統(tǒng)安全細(xì)則，嚴(yán)格用戶權(quán)限管理，記錄系統(tǒng)安全事項，對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。及時解除系統(tǒng)故障，不得擅自改變系統(tǒng)功能，不得安裝與系統(tǒng)無關(guān)的其它程序，發(fā)現(xiàn)漏洞及時處理。

（六）、操作人員的安全職責(zé)是接受系統(tǒng)管理員的指導(dǎo)和監(jiān)督，及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件，嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度

（七)、重要網(wǎng)絡(luò)設(shè)備應(yīng)放在主機房內(nèi)，其他人員不得對網(wǎng)絡(luò)設(shè)備進(jìn)行任何操作。

（八）、內(nèi)部網(wǎng)絡(luò)的所有計算機設(shè)備，不得直接與國際互聯(lián)網(wǎng)相聯(lián)接，必須實行物理隔離。

（九）、定期進(jìn)行主機設(shè)備的例行保養(yǎng)和預(yù)防性檢修，制定主機設(shè)備故障維修規(guī)程并嚴(yán)格執(zhí)行，重大故障應(yīng)注意保衛(wèi)現(xiàn)場，進(jìn)行應(yīng)急處理關(guān)立即報告。

（十）、必須按技術(shù)規(guī)程進(jìn)行系統(tǒng)和用戶數(shù)據(jù)備份；系統(tǒng)和用戶數(shù)據(jù)必須雙備份，異地存放。關(guān)鍵系統(tǒng)應(yīng)有災(zāi)難數(shù)據(jù)備份。

（十一）、應(yīng)建立業(yè)務(wù)系統(tǒng)正常調(diào)帳規(guī)程，并嚴(yán)格按規(guī)程操作，確保資金安全。

（十二)、必須有計算機病毒防范措施，有計算機預(yù)防和清除病毒和軟件或硬件產(chǎn)品。（十三）、各科室要加強計算機安全教育，宣傳計算機犯罪的危害，提高全員計算機安

全防范意識和法紀(jì)觀念，自覺維護(hù)計算機安全。

 

十、安全事件報告和處置管理制度及應(yīng)急處置預(yù)案

（一）、信息網(wǎng)絡(luò)安全事件定義

1、網(wǎng)站主頁被惡意纂改、交互式欄目里發(fā)表反政府、分裂國家和色情內(nèi)容的信息及損害國家聲譽的謠言。
2、校園網(wǎng)內(nèi)網(wǎng)絡(luò)應(yīng)用服務(wù)器被非法入侵，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除。

3、在網(wǎng)站上發(fā)布的內(nèi)容違反國家的法律法規(guī)、侵犯知識版權(quán)，已經(jīng)造成嚴(yán)重后果。

（二）、網(wǎng)絡(luò)安全事件應(yīng)急處理機構(gòu)及職責(zé)

1、設(shè)立信息網(wǎng)絡(luò)安全事件應(yīng)急處理指揮部，負(fù)責(zé)信息網(wǎng)絡(luò)安全事件的組織指揮和應(yīng)急處置工作?？傊笓]由中心主要負(fù)責(zé)人擔(dān)任，副總指揮由分管主任擔(dān)任，指揮部成員各部門負(fù)責(zé)人組成。

2、領(lǐng)導(dǎo)機構(gòu)

總指揮

副總指揮

3、工作機構(gòu)

網(wǎng)絡(luò)監(jiān)控組：網(wǎng)絡(luò)監(jiān)控的日常工作主要由網(wǎng)站管理部負(fù)責(zé)，應(yīng)急處置預(yù)案啟動后網(wǎng)絡(luò)監(jiān)控工作由網(wǎng)站管理部、技術(shù)部共同負(fù)責(zé)，協(xié)同工作。

技術(shù)偵查組：由技術(shù)部牽頭，網(wǎng)站管理部提供協(xié)助，進(jìn)行信息網(wǎng)絡(luò)安全事件的調(diào)查取證等工作。應(yīng)急處置預(yù)案啟動后，網(wǎng)站管理部和技術(shù)部協(xié)同工作。

宣傳外聯(lián)組：由綜合部負(fù)責(zé)，主要負(fù)責(zé)監(jiān)督網(wǎng)站建設(shè)和管理，及網(wǎng)絡(luò)安全宣傳等工作。應(yīng)急處置預(yù)案啟動后承擔(dān)對外宣傳和外聯(lián)工作。

應(yīng)急響應(yīng)組：由網(wǎng)站管理部牽頭，技術(shù)部們提供技術(shù)支持，負(fù)責(zé)對信息網(wǎng)絡(luò)安全事件緊急處置等工作，及時斷開連接、指導(dǎo)采取有關(guān)保護(hù)措施等。 

（三）、網(wǎng)絡(luò)安全事件報告與處置

事件發(fā)生并得到確認(rèn)后，有關(guān)人員應(yīng)立即將情況報告有關(guān)領(lǐng)導(dǎo)，由領(lǐng)導(dǎo)決定是否啟動該預(yù)案，一旦啟動該預(yù)案，有關(guān)人員應(yīng)及時到位。

網(wǎng)絡(luò)監(jiān)控組在得到技術(shù)偵查組的確認(rèn)后應(yīng)及時向當(dāng)?shù)毓矙C關(guān)報案。

技術(shù)偵查組應(yīng)在事件發(fā)生后24小時內(nèi)寫出事件書面報告報指揮部。報告應(yīng)包括以下內(nèi)容：事件發(fā)生時間、地點、單位、事件內(nèi)容，涉及計算機的IP地址、管理人、操作系統(tǒng)、應(yīng)用服務(wù)，損失，事件性質(zhì)及發(fā)生原因，事件處理情況及采取的措施；事故報告單位/人、報告時間等。

宣傳外聯(lián)組負(fù)責(zé)事件的宣傳和報道等工作，并承擔(dān)國內(nèi)其他重要新聞網(wǎng)站工作聯(lián)系，防止事態(tài)通過網(wǎng)絡(luò)在國內(nèi)蔓延。

網(wǎng)絡(luò)監(jiān)控組進(jìn)入應(yīng)急處置工作狀態(tài)，對相關(guān)事件進(jìn)行跟蹤，密切關(guān)注事件動向，協(xié)助調(diào)查取證。

應(yīng)急處置小組阻斷網(wǎng)絡(luò)連接，進(jìn)行現(xiàn)場保護(hù)，協(xié)助調(diào)查取證和系統(tǒng)恢復(fù)等工作。

  有關(guān)違法事件移交公安機關(guān)處理。

 

十一、教育培訓(xùn)制度

為提高我中心人員的安全素質(zhì)，保證中心網(wǎng)絡(luò)的高校、穩(wěn)定運行，特制定如下安全教育培訓(xùn)制度：

1、組織全體人員認(rèn)真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，提高全體人員共同維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。

2、定期對有關(guān)的網(wǎng)絡(luò)管理人員工進(jìn)行安全教育和培訓(xùn)，使他們自覺遵守《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，并具備一定的網(wǎng)絡(luò)安全知識。

3、不定期地邀請上級有關(guān)專業(yè)人員進(jìn)行信息安全方面的培訓(xùn)，加強對有害信息，特別是影射性有害信息的識別能力，提高防范能力。

公司動態(tài)推薦

云主機如何購買？2025-02-13 11:04 網(wǎng)站建設(shè)的重要用途？2024-12-03 09:59 大連網(wǎng)站建設(shè)_公司網(wǎng)站做了好幾年了，現(xiàn)在有沒有必要進(jìn)行改版？2024-07-09 09:30 現(xiàn)在做官網(wǎng)來展示自己的企業(yè)，還有必要么？2024-06-24 09:45 企業(yè)網(wǎng)站建設(shè)的必要性（三）_大連網(wǎng)站建設(shè)2023-08-09 13:39 企業(yè)網(wǎng)站建設(shè)的必要性（二）_大連網(wǎng)站建設(shè)2023-08-07 10:12 企業(yè)網(wǎng)站建設(shè)的必要性（一）_大連網(wǎng)站建設(shè)2023-07-19 16:37 公司做網(wǎng)站的好處_大連網(wǎng)站建設(shè)商城建設(shè)2023-04-03 10:25 網(wǎng)站的重要性_宣傳企業(yè)形象_大連網(wǎng)站建設(shè)2023-01-04 09:43 網(wǎng)站的信息發(fā)布系統(tǒng)2022-09-15 16:43