煤矿安全信息化管理制度

1 准格尔旗昶旭煤炭有限责任公司准格尔旗昶旭煤炭有限责任公司 煤矿安全信息化管理制度煤矿安全信息化管理制度 第一章第一章 总则总则 第一条 为规范信息化安全管理工作 确保煤矿信息系统与网络 资源在可控范围内安全稳定的运行 保护现有的网络 数据信息的 安全 特制定制定本制度 第二条 通过制定本制度形成一个动态以预防为主的信息安全管 理方式 通过实时的监控和分析及时发现系统潜在的安全问题和风 险 及时采取相应的措施以避免问题的发生 最大限度地减少安全 事件带来的风险和损失 保证信息系统的使用安全 第三条 通过安全管理不但能够保障己有的安全系统得到正确 有效的使用 而且能够实际检验安全策略的使用情况 及时提出新 的安全需求 以便及时进行升级改进或实行新的安全保护措施 第四条 广泛开展信息安全教育 进行信息 安全检查 保证系 统安全运行 第二章第二章 适用范围适用范围 第五条 本制定适用于煤矿信息网络的各种软 硬件设备的综合 安全管理 对安全管理中的各项具体工作进行指导 第六条 管理对象 2 1 硬件设备 包括计算机主机及外设 网络设备 存储设备以 及其它辅助设备 2 物理环境 包括机房场地环境 设备维修 存储环境等 3 通信线路 包括专用的通讯线路 网络布线 用于数据通讯 的电话线等 4 软件系统 包括网络设备的配置 操作系统 应用软件以及 其它各相关的应用系统等 5 文档资料 包括设备及系统的使用说明及操作指南 参数配 置表 运行操作记录 故障维护处理记录 电子数据及文档等 第三章第三章 工作职责工作职责 第七条 信息中心负责煤矿信息系统运行情况进行监督检查 第八条 保障煤矿信息系统安全运行 负责业务数据及其它重要 数据的备份管理 向上级部门上报信息 系统运行安全报告 第九条 负责安全产品的使用 维护 升级 所有安全产品的使 用 必须符合公司的审批和授权 不得擅自采购和私自试用 负责 本单位的安全教育和安全管理培训 第四章第四章 工作程序工作程序 第十条 软件系统安全 软件系统包括系统软件及应用软件 3 1 系统软件指操作系统软件和数据库系统软件 1 系统软件应使用正版软件 其选用应充分考虑软件的安全 性 可靠性 稳定性和健壮性 并报上一级主管部门备案 2 系统软件必须具备身份验证功能 访问控制功能 故障恢 复功能 安全保护功能 安全审计功能 分权制约的权限控制功能 及加密功能 2 应用软件指各业务管理信息 系统 决策支持系统 电子商 务系统 办公自动化系统及其他软件应用系统等 应用软件系统必 须满足软件规范的有关要求 第十一条 各级信息中心 部门在软件系统的安全管理中的作为 1 系统运行前严格审查实施计划的安全性 审查实施计划流程 是否符合整体安全策略 是否制订相应应急措施等 2 检查系统运行过程中相关部门安全管理规定的执行情况 3 系统运行结束后 组织对照实施计划评价实施效果 对整体 安全体系的影响进行相应评估 4 由相关技术部门提供系统运行的安全报告 5 当系统调试完毕 应建立系统维护档案 如果系统出现变更 应该重新对该系统作安全评估 调整安全配置 并更新相应的系统 4 档案 必要的时候修正整体的安全策略 第十二条 环境安全 1 机房建设必须符合国家行业建设标准和规范 2 建立并严格执行机房管理制度 无关人员未经安全责任人批 准严禁进入机房 依据有关机房管理办法的要求 各级安全管理部 门对其机房环境 机房进出 机房设施 机房物品的管理定期进行 安全检查 3 机房工作人员必须严格遵守各项操作规程 定期检查安全保 障设备 确保系统安全运行及设备的安全 4 对主机房进行开机 关机等日常的操作 建立操作程序 并 建立完整的设备运行日志 操作记录及其它与安全有关的资料 第十三条 硬件设备安全 1 对主要的信息财产按安全等级进行适当的分类和标志 并采 取相应的安全保护措施 实行安全等级保护 对于处理与敏感 有 价值或重要的组织财产相关的系统应基于安全需求和风险评估进行 附加的控制 2 对系统的相关计算机和数据通信设备及其连接关系 要编制 与实际相符的拓扑图 并归档保存 3 业务系统和网络的关键设备应有备份策略 对业务系统设备 5 和通信线路进行定期的检测和维护 确保随时处于可用状态 4 已开通运行的卫星通信端站 未经上级管理部门批准 不得 关机 不得进行中断性测试 严禁擅自改变设备参数 5 对路由器 交换机等通讯设备必须采取严格的管理措施 设 专人管理 未经批准不得随意移动和接入 6 对信息系统的计算机实体资源和定位状况要进行逐项编号登 记和建档 未经批准不得随意改变 7 定期对硬件设备进行专业维护保养 如有故障 应组织专业 人员进行处理 8 应确定用户对无人值守的设备进行适当的保护 安装在用户 区域的设备 如工作站或文件服务器 需要特别的保护 以防在无 人看守时遭受未授权的访问 第十四条 软件安全 1 应用软件应根据岗位情况 人员配置等情况进行不同级别的 权限控制 2 应用软件本身必须具备操作日志和管理日志功能 以利于事 后跟踪查询人员使用情况 3 软件使用人员应经过适当的操作培训和安全教育 4 建立应用软件文档管理制度 版本管理制度及软件分发制度 6 防止软件的盗用 误用 流失及越权使用 5 煤矿各部门必须根据信息中心统一部署 安装防病毒 网络 入侵检测软件等监测 检查类安全产品 第十五条 系统操作与运行安全 1 各部门必须按照有关操作管理的要求 规范操作流程 进行 访问控制 采取严密的安全措施防止无关用户进入系统 确保应用 系统的安全 稳定 持续运行 2 企业内部所有的机器应该提供口令保护功能 用户在设置和 使用口令时 应遵循好的安全习惯和口令管理的要求 操作人员应 有互不相同的用户名 定期更换操作口令 严禁操作人员泄露本人 的操作口令 3 数据库管理系统和关键网络设备 如路由器 防火墙等 的 口令必须由专人掌管 并要求定期更换 按分级管理 共同负责的 原则 由不同人员掌管服务器操作系统口令 数据库管理系统口令 和网络管理口令 如果用户需要访问多种服务或平台 需要多个口 令 应建议他们使用单一的有质量的口令 并对储存口令提供合理 的保护 4 严格按岗位职责设置各岗位操作权限 各类操作系统的系统 操作权限设置应经信息部门负责人批准并备案 重要岗位的登录过 程应增加必要的限制措施 敏感信息 访问必须通过身份授权认证 7 5 在正常的系统运行中 所有对业务系统的实质性操作必须由 操作员按权限控制要求执行 其他人员不得直接对系统或应用进行 实质性操作 第十六条 操作系统 数据库系统安全管理 1 系统选用 煤矿系统工程所选用的操作系统 数据库管理系 统必须具备与其用途相适应的安全性能 2 口令使用管理 要严格加强口令保密制度的执行 杜绝使用 公开或缺省的口令和用户名称 对关键用户的口令要采用双人监护 异地保存等方式进行管理 严防个人独自以关键用户进入系统 3 系统运行监控管理 要加强系统日常的巡查 及时监控用户 使用系统资源情况 对陌生用户要及时查清来源 并加以相应处理 对越权用户要查明越权原因 并根据实际情况限制其使用权限 4 系统备份管理 及时做好系统动 静态数据的备份工作 以 备系统出现意想不到的故障 第十七条 计算机病毒防范 必须建立计算机病毒防范制度 系统管理员应有较强的病毒防 范意识 定期进行病毒检测 及时更新软件版本和漏洞补丁 发现 问题及时解决 具体措施如下 1 要求所有工作站全部安装防病毒软件 8 2 为防止原始设备计算机病毒的侵害对新购进的计算机及设备 要组织专业人员检查后方可安装运行 3 软盘 光盘等移动存储媒体 以及外来的软件等 要先进行 计算机病毒检查 确认无计算机病毒后才可以使用 严禁使用未经 清查的 来历不明的软盘 光盘等 4 重要计算机要定期进行计算机病毒检查 系统中的程序要定 期进行比较测试和分析 5 在接入 Internet 网时 严格控制下载软件 谨慎接收电子 邮件 在接收电子邮件时 不随意打开邮件附件 6 关键服务器要尽量做到专机专用 特别是具有读写权限 身 份确认功能的认证服务器一定要专用 对共享的网络文件服务器 应特别加以维护 控制读写权限 尽量不在服务器上运行无关软件 程序 7 系统的重要数据资源要采取措施加以保护 8 跟踪计算机病毒发展的最新动态 及时了解计算机病毒 特 别是有严重破坏力的计算机病毒的爆发日期或爆发条件 及时通知 各部门进行防范 9 随时注意计算机的各种异常现象 一旦发现 应立即用查毒 软件仔细检查 10 经常更新与升级防杀计算机病毒软件的版本 9 11 对重点岗位的计算机要定点 定时 定人作查毒杀毒巡检 12 当出现计算机病毒传染迹象时 立即隔离被感染的系统和网 络 并进行处理 不应带 毒 继续运行 并同时上报信息中心 由信息中心派人处理 13 接受省经济信息中心采用定期常规检查与特别日期专项检查 集中检查与分散检查相结合方式 对计算机病毒防范管理制度的实 施情况进行检查 第十八条 网络安全 1 新建网络 网络改造 网络变更或新系统在投入使用前 必 须按照规范的规定制订相对应的网络安全防范措施 并对新建网络 或改造后网络实施安全检验 未经检验的新建网络或改造后网络不 允许投入使用 2 为了保证全省行业网络的安全 全省行业计算机网络要严格 控制 Internet 出口数量 各单位和个人不得擅自利用行业网络联 入 Internet 市局公司可以根据需要建设 Internet 出口 但必须 符合以下要求 3 4 5点 3 Internet 出口必须实行与行业内联网的逻辑隔离 其安全方 案由省局信息中心统一制定和审批 4 有 Internet 出口的单位必须采取严格的安全保护措施 至少 配置放火墙和入侵检测措施 对 Internet 提供公共服务的服务器 10 如 WEB 服务等 应采取与行业内联网逻辑隔离的设置 不得允许 来自 Internet 的用户访问行业网络 5 不得采用一台路由器同时与 Internet 和行业内联网进行互 联 6 禁止建立面向行业外的电子公告系统 建立面向行业内的电 子公告系统 须报省局信息中心批准和备案 并建立用户登一记和 信息 管理制度 7 禁止联入行业网络的计算机通过调制解调器拨号等方式登录 到其他网络 如业务确实需要 需经同级保密委员会及信息 网络 主管部门批准 8 存放和处理涉及国家秘密信息 的系统和网络要与行业计算 机网络和互联网实行严格的物理隔离 涉密系统的建设要符合国家 保密局颁布的相关标准和要求 9 不得将行业网络与其他网络直接连通 行业网络在与外部网 络进行连接时 在外联网的交界处 必须提供相应的安全保护措施 并制定严密的访问权限 10 内联网地址和域名的规划 分配 监督和实施由省信息中心 统一规划 组织实施 各部门必须严格遵守 不得擅自变更 以确 保行业计算机网络的互联互通 11 行业网络应该只开放与业务相关的必要的服务端口 11 12 建立卫星设备管理制度 日常维护制度 技术资料管理制度 等 加强卫星通信的监管 防止垃圾信息上卫星通信网 保证卫星 通信网的安全稳定运行 13 其它未进行详细规定的网络安全管理详见 网络管理 一 章 第十九条 人员安全管理 1 全省行业信息安全技术人员应具备大专以上学历 具有必备 的计算机理论知识和相应的专业技术水平 良好的职业道德和认真 负责的服务意识 2 计算机系统管理员必须熟悉 掌握本单位信息系统的资源配 置 运行状况 并建立详细档案 3 关键技术岗位应进行严格审查并保持人员相对稳定 离岗时 必须严格办理离岗手续 明确其离岗后的保密义务 退还全部技术 资料并立即更换信息系统的操作口令 4 加强对信息安全技术人员进行业务培训和技术培训 实行持 证上岗制 不合格或未参加培训者不得上岗 5 加强对信息系统使用人员进行系统安全教育 提高使用人员 有关信息系统安全管理法律 法规意识和应用水平 第二十条 安全责任管理 12 1 行业网络的上网单位要保证网络运行安全 可靠 做到实体 安全 运行安全 数据安全和管理安全 各部门必须遵守其他相关 法律法规的规定 计算机网络和信息安全系统的建设必须符合安全 要求 自觉维护国家的安全和稳定 自觉保守国家 行业和单位的 秘密 2 各部门应建立安全责任制度 指定安全管理部门和配备必要 的安全管理和技术人员 相应管理和维护人员必须对本人接办的各 项事务的处理过程负责 确保行业计算机网络和信息 系统的安全 运行 3 各类人员必须承担相应信息系统安全管理责任 并严格遵守 有关规定 自觉维护辽宁烟草信息系统安全 4 根据国家保密法规 建立健全信息 发布与上网信息 保密 审批制度 审查工作由同级保密工作机构或业务工作机构根据