信息技术有限公司技术保障措施及信息安全责任落实制度.doc

信息技术有限公司技术保障措施及信息安全责任落实制度 技术保障措施及信息安全责任落实制度 一、系统硬件设备管理制度 1、防火墙、服务器、网络、交换机等设备，未经同意不得拆装、移动； 2、为保证服务器良好运行，充分发挥效率，除指定的人员外，其它人不得随便拆开机器或调换各种设备配件，否则造成机器损坏将追究责任； 3、计算机和辅助设备需检修，应报告专业工作人员，由有关人员检修； 4、安全人员必须爱护机器及各种设备，不准随便破坏，有意破坏者和对于不按操作规范使用设备、仪器，造成损坏者，照价赔偿或酌情赔偿损失。 二、系统硬件环境（机房）管理制度 1、严格执行机房进出管理制度，无关人员未经安全责任人批准严禁进出机房（系统硬件环境）； 2、办事人员和来访者必须经有关领导批准后，应持有临时出入证，履行严格的登记手续,填写进出记录。 并由工作人员带领才能允许进入机房（系统硬件环境）； 3、禁危险品、易燃易爆和强磁物品及其它与机房工作无关的物品进入机房（系统硬件环境）； 4、携带用于维护设备或施工使用等物品进出机房（系统硬件环境）时，应妥当保管处置，并持有携物证； 5、进入机房（系统硬件环境），严格遵守机房管理制度，操作制度和有关电气安全操作规程，不允许在机房（系统硬件环境）内从事与工作无关的事情，以防止损坏系统、数据和机器设备等； 6、在机房（系统硬件环境）内严禁抽烟，不得随地吐痰、乱扔纸屑垃圾，不准在机房内吃食物； 7、未经有关领导批准，不得在机房（系统硬件环境）内照像、录像； 8、随时对机房进行巡视，注意发现产生危险、故障的征兆及其原因，检查防灾防范设备的功能等。 （1）计算机系统发生故障； （2）误操作； （3）外部攻击； （4）发生火灾、水灾、地震等自然灾害； （5）计算机病毒的侵蚀； （6）意外停电； （7）其它。 三、信息安全保密制度 1、在职人员须与公司签订保密协议，严格保守公司内部技术秘密，不得泄露公司的任何商业和技术机密，其中包括 （1）系统构成技术指标保密，包括系统操作平台、版本信息，应用软件的源代码及相关信息。 （2）网络整体构架保密，包括网络整体的拓普结构，交换机及防火墙的选型和内部关键服务的IP等。 （3）口令保密，包括系统口令和数据库口令，不得以任何手段和方式破解和泄露用户口令。 （4）技术资料保密技术资料的使用和保管必须严格按照技术资料管理制度执行。 （5）客户数据保密，包括客户在网站的注册资料和私人设置资料以及客户的交易数据。 （6）其他关系到公司和客户利益的资料和数据保密。 （7）其他国家规定的资料和数据保密。 （8）保密资料不得以明码方式保存和传输。 （9）不得任意修改和销毁电脑资料。 （10）对于废弃的保密资料，必须彻底销毁。 2、对于违反上述规定者，一经发现，将追究其责任，给予降职、停职等处罚，直至开除。 四、人员配备和组织管理网络信息系统的安全管理的最根本核心是人员管理，提高安全意识，行于具体的安全技术工作中。 为此，安全的人事组织管理主要基于以下三个原则 （1）多人负责每一项与安全有关的活动，都必须有两人或多人在场。 这些人应是系统安全主管领导指派的，工作认真可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。 负责的安全活动范围包括1.访问控制使用证件的发放与回收；2.信息处理系统使用的媒介发放与回收；3.处理保密信息；4.硬件和软件的维护；5.系统的设计、实现和修改；6.重要程序和数据的备份、删除和销毁等。 （2）任期有限任何人最好不要长期担任与安全有关的职务，遵循任期有限原则，工作人员应不定期地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。 （3）职责明确在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。 出于对安全的考虑，下面每组内的两项信息处理工作应当尽可能分开。 1.系统管理与计算机编程；2.机密资料的接收和传送；3.安全管理和系统管理；4.访问证件的管理与其它工作；5.计算机操作与信息处理系统使用媒介的保管等。 五、系统安全漏洞检测 1、定期用漏洞扫描软件扫描系统漏洞，对服务器进行安全漏洞检测，关闭不必要的端口； 2、每天升级服务器系统，安装服务器补丁，预防可能存在的网络系统安全漏洞； 3、安全人员在漏洞扫描检测完成后，应编写检测报告，需详细记叙是否检测到漏洞，结果、建议和实施的补救措施与安全策略。 检测报告存入系统档案。 六、系统的病毒防治 1、采用经过国家许可的正版防病毒软件并及时更新软件版本； 2、对系统进行更改的文件，上传至服务器前要进行完整的病毒扫描，确保在最新病毒库检测下没有发现病毒感染后方可上传； 3、对服务器的杀毒软件要做到每天都升级病毒库，确保病毒库始终都处于最新状态，防止服务器的病毒入侵、感染和传播； 4、严禁外来人员未经部门主管同意上机操作，以免发生病毒感染和其他损失； 5、电脑出现病毒，操作人员不能杀除的，须及时报电脑主管处理； 6、在各种杀毒办法无效后，须重新对电脑格式化，装入正规渠道获得的无毒系统软件； 7、安全人员在病毒检测完成后，应编写检测报告，需详细记叙检测的时间、结果、建议和实施的补救措施与安全策略。 检测报告存入系统档案。 七、严格的口令管理 1、不定期的经常性更改管理员口令，口令的最长使用时间不能超过一个月，口令的选择应该选择较长、同时大小写字母和数字、符号混和的，以防止口令被暴力破解； 2、严禁泄漏系统口令和管理员口令； 3、系统保密员必须有能力更改口令。 当口令使用期满、被其他人知悉或认为口令不保密时，系统保密员可按照口令更