信息安全日常工作

1 / 31信息安全日常工作信息安全工作管理规定信息系统安全管理组织机构局长、书记副局长、及总工机关处室、基层单位负责人1 总则为加强计算机信息系统的安全管理，促进信息化建设的健康发展，保障电网的安全稳定运行和正常生产经营管理，根据中华人民共和国计算机信息系统安全保护条例等国家和上级单位的有关法律法规、标准规范，结合我局信息系统的实际情况制定本规定。本规定所称的信息系统是指信息广域网及内部局域网，以及在网络上运行的或未联网的所有信息系统。2 / 31信息系统安全管理要纳入全局的安全生产管理体系，遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责、联合防护、协同处置”的原则，实行“安全第一、预防为主、管理与技术并重、综合防范”的方针。信息系统的安全保护，应当保障信息设备、设施的安全和运行环境的安全，保障计算机网络和信息系统功能的正常发挥，保障信息的安全，维护信息系统的安全运行。信息系统的安全保护，要综合平衡安全成本和风险，优化网络与信息安全资源的配置，实行网络与信息安全等级保护，确保重点。重点保护网络以及关系到企业重大利益，电网安全生产运行等方面的重要信息系统的安全。局所属任何单位或个人不得利用信息系统从事危害国家利益、公司利益和职工合法权益的活动，不得危害信息系统的安全。本规定适用于所属各单位。3 / 312 安全管理责任制信息系统安全工作实行全局统一领导下的分级管理，逐级负责制度。各单位主要负责人是本单位信息系统安全第一责任人。局信息系统安全管理领导小组负责全局信息系统安全重大事项的决策和协调。管理全局信息系统安全工作，进行指导、协调、监督和考核，并履行以下管理职责：贯彻落实国家和上级单位有关信息系统安全的有关法规、规程、制度、指令、标准、规范, 统筹本局网络建设和管理信息系统的建设及相应规章制度的建立。建立健全信息系统安全管理制度和标准，组织制定信息系统安全策略，并负责组织实施。确保局信息网的安全、可靠、稳定运行，保障各类信息在网上的正常运转，加强信息网的规范化运行管理，明确各二级单位及信息网络管理员的职责。开展信息系统安全保护的宣传教育和培训。4 / 31信息通信处负责全局信息系统安全体系建设和安全技术保障工作：负责局本部信息系统安全措施的实施和日常运行维护工作。负责防病毒袭扰的技术管理工作。负责非法上网的监控和处理。负责阻截封锁外来有害信息和病毒的入侵，对内负责我局中心机房及网络信息安全管理和监控检查。对服务器定期进行维护、管理，及时进行系统更新，软件升级，定期杀毒，定期对重要数据进行备份，保证核心服务器、网络设备正常运行。监控全局网页的信息内容，发现有害信息及时处理，确保内容合法、健康。做好全局计算机的防病毒工作 , 确保计算机信息系统的安5 / 31全。负责办公自动化软件的维护、管理、数据的备份与恢复，及时发现安全隐患，落实防范整改措施。按规定及时汇报计算机信息系统安全运行情况。所属各单位按照局统一部署，具体负责本单位内部信息系统安全管理和运行维护工作，接受信息系统安全管理领导小组的指导、检查和监督。禁止危害社会治安、破坏社会稳定、损坏企业形象的行为发生；防止被坏人利用局信息资源进行非法活动。3 人员管理信息通信处应设立信息安全管理、系统管理、网络管理等岗位，各单位应设信息安全管理员岗位，明确岗位职责和任职条件。信息通信处负责人、信息安全管理员、系统管理员、网络管理员等必须经过网络与信息安全培训后方可上岗。离岗三个月后重新上岗，必须重新培训。6 / 31信息通信处运行、维护人员离岗必须严格办理离岗手续，移交全部技术资料，明确其离岗后的保密义务，并立即更换有关口令、密码和密钥，注销其专用帐户。4 规划建设信息安全是信息化发展与应用的重要部分，必须与信息化同步规划、同步建设、同步管理。在上级部门领导下统一规划、部署防病毒软件、防火墙、数据备份系统、入侵检测、安全认证等各项安全技术设施，统一建设完善有效的信息系统安全防护体系。各单位不得采用任何形式私自联网。信息安全工程和与信息网络安全运行直接相关的工程，如机房、网络综合布线、防雷设施等的建设，应由取得相应专业资质的施工单位施工。机房的建设应符合国家标准以及国家和公司的有关规定，配备 UPS 电源和必要的保温、保湿和防雷、接地、防火、7 / 31防水、防盗、防鼠等设施。对可靠性要求较高的信息系统，配置必要的冗余备用设备和高可用性措施，以便故障时切换使用。电网实时信息系统与管理信息系统之间链接必须实行可靠的、安全的物理隔离，并只限单向传输，确保生产实时系统的安全运行。5 日常管理建立设备巡检制度，工作日和重要时期要实行现场值班。要严格遵守信息系统机房管理规定，规范信息系统运行环境管理。强化网络接入管理，规范联网设备安装、使用管理。规范信息系统投运条件和流程。信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试，测试和试运行通过后方可投入正式运行。8 / 31严格执行公司计算机病毒防治管理办法，统一安装公司允许采用防病毒软件，软件要覆盖所有服务器和客户端，病毒特征码应定期更新。建立严格的信息系统运行管理规程，规范信息系统的操作，实行流程化管理，建立系统运行日志和操作记录以及维护检修记录。重要操作实行工作票制度。认真执行公司信息系统数据和备份管理规定，加强对数据和介质的管理，规范数据的存储、备份、恢复以及废弃介质、数据的处理。禁止各单位用户安装、使用与工作无关的软件。规范信息系统的授权管理，实行权限分散原则，操作权限要严格按岗位职责设置，实行相互制约、最低授权原则，使其操作具有可控性、可监督性和可审计性。建立操作人员密码制度，分清各自责任，密码设置要具有一定的复杂度，并定期更换，密码修改要有记录。规范信息发布流程，建立信息上网的有关制度，上网信息实行“谁上网，谁负责”原则，原则上先审后发，秘密信9 / 31息不得在网上处理、传输。内部网页不允许与外部网页相链接；内部网络不允许开设聊天室。6 信息通报局信息系统安全管理领导小组负责信息系统安全信息通报工作，领导小组办公室负责信息系统安全信息通报的日常工作，包括信息汇总、分析、研判，及时将有关信息通报相关单位，遇有可能发生或已经发生重大信息安全事件时，发布预警信息。信息通报内容包括以下七方面：信息系统资源使用异常，网络瘫痪、系统宕机、应用服务中断或数据丢失、被篡改等情况。已经确定或可能发生的有害程序在信息网络上大范围传播情况。利用信息网络从事网络攻击的情况。10 / 31利用信息网络发布、传播危害国家安全、社会稳定和公共利益内容情况。电子公告服务、群发电子邮件以及广播式即时通信等网络信息服务中有害信息的传播情况。网络安全状况、安全形式分析预测等信息。其他影响企业信息安全的信息。向上级部门报告可采用电子邮件、电话、传真等形式进行事故报告。要加强对本单位信息系统运行状况的检测、监控，做好预测预警工作，一旦出现可能会造成较大影响的信息系统安全事件苗头或已经发生较大影响的安全事件，要及时进行汇总、分析、研判， 30 分钟内向公司信息系统安全领导小组办公室通报，同时要及时通报与本单位信息系统存在连接状态的有关单位。在信息安全事件应急处置工作结束后，于 5 个工作日内向11 / 31公司信息系统安全领导小组办公室反馈信息安全事件处理情况。应于每月前 3 个工作日内，向公司信息系统安全领导小组办公室报告上月本单位信息系统的运行状况。应按照保密工作的有关规定，做好信息安全通报的保密工作，并妥善管理相关资料，包括与上级部门进行信息通报过程中的电子文档、电话记录和传真件等，存档备查。7 软件开发管理开发环境应设置独立的工作区域，并根据应用系统的开发要求，对该区域进行网络访问控制和物理访问控制，确保开发数据的安全性。用于开发的服务器、个人电脑必须做好严格的安全防护措施，包括但不仅限于更新系统补丁、安装防病毒软件、设置密码策略。使用第三方代码，应对代码安全性进行评估和测试。12 / 31确保测试环境的安全。应将测试环境与开发环境、生产环境相隔离，避免测试工作对其它业务的影响。8 第三方人员安全管理办法各单位应建立第三方人员来访制度和接待记录制度，设置来访接待的记录本，由接待人于接待当日逐项填写后保存。第三方人员自进入各单位起至离开止，必须安排专人陪同，不得任其自行走动。第三方人员进入各单位进行业务活动，应当由接待人在门卫处登记，然后引领第三方人员到专门的场所进行业务洽谈。除以下情况外，接待人不得引领和允许供应商/合作商进入办公室、实验室、生产场地和其他机要区域：局领导批准的参观活动。必要的现场安装、维修、调测。13 / 31第三方人员因业务需要进入上述区域的其它情形。在情况及下，接待人引领第三方人员进入上述区域，需经主管上述区域的部门负责人批准。第三方人员在上述区域活动时，接待人必须亲自陪同。对供应商、合作商进入机房的情况，接待人和该机房负责人应当及时记录。除预定的工作内容外，接待人不得为第三方人员随意安排其它活动；不得向第三方人员透露业务范围之外的电力技术、商务情况。如因业务需要须向第三方人员提供含有电力信息系统的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与第三方人员签订保密协议后再行提供，提供时应开具清单请第三方人员签收。提供文字保密材料的应当加盖保密章或有其它保密标识。保密协议在相关部门存档，签收清单由该部门妥善保存。第三方人员因业务需要须接入电力内部网络的，需由信通处或领导审批，并由信通处专人负责对第三方人员行为进行监控。第三方人员应遵从电力相关上网管理规定。14 / 31各单位应当对第三方人员安全策略执行情况进行有效的监督和管理，对违计算机及网络信息安全日常工作规定中心为方便员工开展工作，为员工配备计算机及相关设备，连接到中心的内外局域网，并为员工开通内网邮箱，员工应当及时查阅并回复邮件，处理相关工作事物。由网络管理员按相关原则统一管理。每位员工必须爱护，妥善保管，不得私自损坏，确保正常运行。未经许可不得随意拆换、更换部件，网络管理人员定期抽查员工的机器配置，经检查不符合原有记录，给予当事人配置设备价值一倍的处罚，并应恢复原状。第一节 计算机使用规定第一条 中心综合管理部网络管理员将对计算机及网络设备进行不定期检查。计算机使用者各自负责本机每周定期清洁，不得留有明显的灰尘与污迹。第二条 严禁任何人将涉及反动、不文明或不健康的信息存15 / 31入中心计算机系统和中心内网，不得用计算机及网络设备从事违法活动，违者责任自负。中心将视损失和影响大小，给予 200 元以上的经济处罚，可以同时适用警告、记过、留用察看、开除等行政处罚。第三条 禁止在中心电脑上私自安装游戏、聊天、论坛、即时消息等类似软件。由于个人计算机使用不当引起中心网络问题，影响使用，中心将视情节予以处罚。第四条 服务器及网络设备由网络管理员专人负责维护，定期组织病毒清除工作。计算机上由中心网络管理员统一安装由中心部署的杀毒软件和防火墙软件，并定期自动更新。特殊部门电脑上不能安装上述软件的，需经中心确认。无关人员不得进入中心机房，如确有需要进入机房，必须做相应记录备查。第五条 未经许可，严禁将中心计算机及局域网上的任何关键数据拷出中心。因特殊原因，计算机硬盘需要格式化时，须经部门负责人同意，否则，当事人将承担一切后果，赔16 / 31偿损失；并视情节予以处罚。个人工作台式机电脑不予配置光驱，因工作需要刻制光盘的，须经部门负责人同意，违者予以处罚。第六条 严禁将病毒带入中心计算机网络，网络管理员定期组织病毒清查工作。员工对个人计算机上安装的软件负责。未经中心许可，不得安装与工作无关的软件，盗版软件。违者责任自负，中心视情节予以一定的行政和经济处罚。第七条 相关部门负责人应定期备份各服务器与工作电脑相关数据，并登记编号交专人保管。第八条 计算机文件的拷贝、打印、存储、传输或者销毁数据、文件等信息资料时，应当按照规定采取保密控制措施。第九条 禁止信息设备移出中心物理环境。确因工作需要，须经部门负责人或分管主任批准后才能带出中心。离开中心的信息设备和移动介质在公共场所要有专人看护和保管。17 / 31第十条 所有工作机和服务器，必须设置有口令的屏幕保护。所有员工应保证个人用户帐号和口令的安全。使用完或长时间离开电脑，应及时关闭系统并关闭电脑电源。第十一条 计算机与网络信息安全事件发生后，当事人应立即将事件的重要细节向网络管理员报告。第十二条 员工不得擅自更改各自的 IP 地址与 MAC 地址，不得做 IP 欺骗，不得对其他的地址进行探测和攻击。 第十三条 新员工入职，申请领用电脑后必须书面向综合管理办公室申请开通内网邮件账号及权限。第十四条 员工岗位变动、调离时，必须移交调出岗位的相关资料和有关文档，检查并归还在中心借出的重要信息资料。人力资源部必须及时书面通知网管管理员修改和删除相关的口令、帐号及权限等。第二节 互联网使用规定第十五条 中心允许员工正当利用互联网为本职工作服务，但严禁利用计算机及网络设备做与工作无关的事情，将与18 / 31工作无关的信息存入中心的计算机系统；不得玩游戏、聊天、炒股等。违者将处以 200 元罚款。第十六条 不得打开无关的网页、不得将中心信息发到互联网上，不得传输与工作无关的信息；严禁利用互联网进行犯罪活动，不许登陆、转发反动，危害社会安全，黄色网站和内容，违者责任自负。中心保留进一步处罚的权利。第十七条 中心动态跟踪外网的使用情况。员工不得在工作时间利用互联网从事上述第十六条列举出的行为或者擅自更改 IP 地址，或者将 IP 地址和 MAC 地址透漏给他人。第十八条 中心区域内，对无线网络设备根据中心经营管理的需要进行屏蔽或者禁用。未经中心审批许可，中心区域内禁止使用或者连接任何无线网络设备，包括：无线路由器、AP 设备、笔记本电脑或者台式电脑的无线网卡。第十九条 中心员工使用外网发送邮件，必须统一用中心金迪邮箱。19 / 31医院*年信息安全工作计划2016 年将是我院加快发展步伐的重要的一年，为进一步加快数字化医院建设，更好的为医院信息化建设服务，加强信息安全工作，计划如下：一、不定期对院信息系统的安全工作进行检查，加强信息系统安全管理工作，防患于未然，确保信息系统安全、稳定运行。二、加强患者信息管理，确保患者信在本院就医信息不泄露。三、对信息系统核心数据作好备份工作。四、配合相关科室日常工作，确保机房核心设备安全、稳定运行。四、配合相关人员作好医院网站信息发布维护工作。五、定期加强对我院临床全体工作人员进行计算机操作技能及信息系统安全问题培训，保证临床各科业务的正常开20 / 31展。六、做好各种统计报表的上报工作，及时、准确的上报各种统计报表。七、完成领导交办的其它各项工作任务。2016-3-20*各部门信息安全管理职责和流程及岗位职责为实现平台信息化目标，规范平台信息化建设，建立和完善平台信息化管理体系，明确管理职责，保障平台公司信息系统安全、高效、稳定运行，为公司提供准确、有效的财务、生产、技术及其它相关信息，为公司高层科学决策提供依据，从而进一步增强企业的核心竞争力，特设立集团信息部，统筹管理信息化建设，向技术总监负责。 一、 组织架构二、公司信息部部门及岗位职责21 / 311.信息部部门职责第 1 页负责集团信息化建设的总体规划及网络体系结构的设计，负责集团信息化系统选型工作，并负责编制集团信息化总体规划与选型报告，并报集团领导审批。负责集团信息化系统的推进与执行，负责集团信息化项目实施工作的日常管理，并协调解决项目实施过程中碰到的问题。负责组织调研集团各部门信息化需求并汇总，负责组织集团财务、生产、技术、办公自动化系统软件的开发，使公司信息化系统形成一个无缝连接的整体。负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及22 / 31时、准确的决策信息。负责集团所有信息化项目的持续改进与日常维护，负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作，在保证公司的计算机网络安全运行的前提下，树立服务意识，为公司领导、各业务职能部门提供最优质服务。负责公司人员计算机应用方面的培训，提高公司计算机应用的整体水平和办公效率。负责公司计算机及相关设备的采购及维修计划编制。 2.岗位职责 1.信息部部长在集团常务副总裁的领导下，负责主持信息部的全面日常工作，负责制定本部门的管理制度及组织建设，并监督本部人员全面完成部门职责范围内的各项工作任务；负责本部门员工的工作检23 / 31查、考核及评价。贯彻落实本部岗位责任制和工作标准，密切各部门工作关系，加强与集 团各部门的协作配合，做好衔接协调工作；第 2 页负责集团信息化系统总体构架，构建集团信息化实施组织，结合业务流程、项目管理，实施公司集成信息化系统。负责控制信息化项目预算。负责控制本部门信息化预算，降低费用成本。 负责集团信息化项目关键控制点的监督、控制和风险评价； 负责组织集团的信息安全工作，持续加强集团的信息安全管理。组织对集团计算机及周边设备、网络设备和办公自动化设备的维护、添置、24 / 31验收以及发放登记归档；负责组织对计算机网络及信息系统的维护，保证网络及信息系统的正常运行。 负责主持信息化新系统、新项目的开发，并对信息项目系统开发全过程负责。 负责组织集团信息化项目的持续改进与日常维护。 完成领导指派的其它工作； 2. IT 维护主管在信息部领导的领导下，负责 IT 维护方面的日常管理工作。负责安排及监督系统管理员及系统维护员的工作。负责主持计算机及网络系统的设计及改良工作。负责主持对计算机网络及硬件系统的维护，保证网络及硬件系统的正常运行。 负责检测并实施适当措施保障网络及硬件系统应用安全。负责对集团计算机及周边设备、网络设备和办公自动化设备的维护、添置、25 / 31验收以及发放登记归档；负责集团上外网权限控制 主管指派的其它工作； 3. 项目组组长第 3 页按照计划执行项目的实施； 协调项目组内的工作； 主管指派的其它工作； 4. 信息管理员依据新信息系统项目的开发计划展开开发工作；负责集团有关信息系统的持续改进与日常维护，负责公司信息系统的安全管理、技术支持和维护工作，树立服务意识，为公司领导、各业务职能部门提供最优质服务。负责集团的信息系统安全工作，持续加强集团的信息安全管理。 主管指派的其它工作； 5. 软件开发员负责新系统、新程序的技术调研工作；26 / 31依据集团自主开发软件项目的计划进行软件开发设计，并进行推广。 负责调研集团各部门信息化需求并汇总，负责集团外购软件的二次开发，负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。主管指派的其它工作； 6. 系统管理员负责主持计算机及网络系统的设计及改良工