安全信息管理制度范文.doc

1、安全信息管理制度范文第一章总则第一条为了保护_公司计算机网络系统的安全、促进计算机信息系统的应用和发展、保证网络和信息系统的正常运行，特制定本安全管理制度。第二条本管理制度所称的计算机网络系统，是指由_公司投资购买、建设的计算机网络主、辅节点设备、配套的网络线缆设施及服务器、工作站所构成的软件、硬件的集成环境。第三条本管理制度所称计算机信息系统。由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第四条本办法适用于_公司。第二章_机构和职责第五条在信息安全工作管理中，安全管理员的职责包括：(一)负责公司整个计算机

2、、网络设备、安全设备安全管理的日常工作。(二)开展公司范围内安全知识的培训和宣传工作。(三)监控公司安全总体状况，提出安全分析报告。(四)了解行业动态，为改进和完善安全管理工作，提出安全防范建议。(五)及时向上级领导、相关负责人报告计算机安全事件。(六)安全人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位_。(七)安全人员应定期参加下列计算机安全知识和技能的培训：计算机安全法律法规及行业规章制度的培训；计算机安全基本知识的培训；计算机安全专门技能的培训等。第六条在信息安全工作管理中，系统管理员的职责包括：(一)负责系统的运行管理，实施系统安全运行细则。(二)严格用户权限管理，

3、维护系统安全正常运行。1/12(三)认真记录系统安全事项，及时向计算机安全人员报告安全事件。(四)对进行系统操作的其他人员予以安全监督。(五)负责系统维护，及时解除系统故障，确保系统正常运行。(六)不得_与系统无关的其他计算机程序。(七)维护过程中，发现安全漏洞应及时报告计算机安全人员。第七条在信息安全工作管理中，网络管理员的职责包括：(一)负责网络的运行管理，实施网络安全策略和安全运行细则(详见网络系统的管理规范)。(二)安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行。(三)监控网络关键设备、网络端口、网络物理线路，防范_，及时向计算机安全人员报告安全事件。(四)对操作网络

4、管理功能的其他人员进行安全监督。第三章机房安全管理第八条机房安全建设和改造方案应通过上级保卫部门的安全审批。第九条机房安全建设应通过上级保卫部门_的安全验收。第十条机房应按重要性进行分级管理，分级标准按有关规定执行。第十一条机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。严禁与机房业务无关的人员进入机房。第十二条计算机机房实行分区管理原则。核心区实行_小时连续监控，生产区实行工作时间连续监控，辅助区实施联动监控。第十三条机房建设应当符合下列基本安全要求：(一)机房周围_米内不得存在危险建筑物，如加油

5、站、煤气站等。(二)机房(含屏蔽机房)应当埋设专用接地线，不得和其它接地线相连。(三)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。(四)机房应_门禁系统、防雷系统、监视系统、消防系统、报警系统，并与当地公安机关110联网。(五)机房应设专用的供电系统，配备必要的ups和发电机。第十四条机房是重点保护的要害部位，机房主管部门应依照安全第一的原则，建立、健全严格的机房安全管理制度，如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等，并定期检查制度执行情况。2/12第十五条监控设备的_应符合安全保密原则，确保监控的安全规范运作，防止监

6、控信息的_。第十六条机房严禁无关人员进出，门禁系统的钥匙应严格发放，对于岗位变动的人员，及时收回原来门禁系统的钥匙。第十七条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准，外来人员进出机房还须办理登记手续，并由专人陪同。参观主机房，须经有关领导批准方可，参观时必须有机房管理员陪同。第十八条严禁将易燃_和强磁物品及其它与机房工作无关的物品带入机房。第十九条机房内保持肃静，严禁在机房内游艺或进行非业务活动。进入机房的工作人员，都必须严格遵守机房的安全、防火制度，严禁烟火。不准在机房内吸烟。第二十条机房内所有设备、仪器、仪表等物品要妥善保管，向外

7、移(带)设备及物品，需有主管领导的批示或经系统管理员批准，方可拿出机房。第二十一条发生机房重大事故或案件，机房主管部门应立即向有关单位报告，并保护现场。第四章设备维修保养管理第二十二条只有得到授权的维护人员才能够对设备进行维修和保养。第二十三条注意设备的保养和用电的安全，定期对设备进行检查，及时消除隐患。第二十四条计算机信息网络系统的设备原则上由本单位的技术人员进行检修。不能检修的，尽可能请维修人员上门维修。第二十五条计算机信息网络系统的设备必须外出修理的，应当经领导批准，并清理设备内部存贮的_信息(如硬盘格式化等)，方可外出进行修理。第二十六条计算机设备的采购需满足国家以及行业的相关安全保密

8、规定。第五章网络安全管理第二十七条网络建设方案应通过上级计算机安全主管部门的安全审批。第二十八条网络投入使用前应通过计算机安全主管部门_的安全测试和验收。第二十九条在网络的出口出应该配备有相应的安全设备。第三十条网络建设中涉及网络安全的资料，应备案建档，统一管理。相关的_和帐号应由专人管理。第三十一条网络建设应符合下列基本安全要求：(一)网络规划应有完整的安全策略。(二)能够保证网络传输信道的安全，信息在传输过程中不会被非法获取。3/12(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。(四)应具备必要的网络监测、跟踪和审计的功能。(五)应根据需要对网络采取必要的技术隔离措

9、施。(六)能有效防止计算机病毒对网络系统的侵扰和破坏。(七)应具有应付突发情况的应急措施。(八)对于建设竣工文档应由专人管理，并且以光盘介质和纸质两种方式进行存档。第三十二条网络通信应符合下列基本安全要求：(一)各部门之间进行vlan划分。(二)对重要服务器区、重要科室部门，实现严格的网络访问控制。(三)对联网的计算机及其网络设备和通讯设备的_、使用，应建立健全安全保护管理制度，落实安全保护措施，以防“黑客”侵入和用户非法越权操作。(四)存有重要数据的计算机，不得擅自与国际互联网联网。(五)内部有权限上网的用户不能将_通过网络进行外传。(六)网络管理员在内部网络与外网直接的防火墙或路由器上设置

10、安全访问策略，严格限制内外网之间的访问。(七)接入国际互联网的计算机要有专人进行管理，对上网内容须进行必要的检查。(八)任何用户不得利用国际联网危害国家安全、泄露国家_，不得侵犯和危害公司的利益，不得从事违法犯罪活动。第三十三条访问互联网应符合下列基本安全要求：(一)_系统不得与境外机构、外国驻华机构、国际计算机网络及国内公众计算机信息系统联网。(二)不得浏览“_”或传播非法内容(如_，发动言论等)的网站。(三)不得在网上传播非法内容。(四)禁止下载非法的或有危害的软件。(五)没有_防病毒软件的计算机不得访问互联网。第三十四条重要网络设备应放置在中心机房内，由网络管理员负责管理。其他人员不得对

11、网络设备进行任何操作。第三十五条网管设备属专管设备，必须严格控制其管理员_。第三十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第三十七条改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。4/12第三十八条与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必须采用一人一帐户的访问控制。第三十九条网络管理人员应随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告计算机安全人员。第四十条有权限的单位在使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。第四十一条网络扫描、

12、监测结果和网络运行日志等重要信息应备份存储。第四十二条联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。第四十三条严禁超越网络管理权限，非法操作业务数据信息，擅自设置路由与非相关网络进行连接。第四十四条机房内交换机上的未被使用的空闲端口应设置为不启用状态。第六章人事安全管理第四十五条人员管理应符合下列基本安全要求：(一)各部门遴选_系统的工作人员，应当按机要人员的标准，先_后录用；并对其进行经常的保密教育，要求严格遵守国家工作人员保密守则。对不适宜在_系统工作的人员应及时调整。(二)建立安全培训制度，进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人

13、员进行定期考核。定期_对新进公司的职员进行安全管理培训。(三)对关键岗位人员的进行安全制度和常识的定期考核、各部门人员职责的明确。(四)网络管理员、安全管理员、普通操作员岗位分离。(五)需要上外部互联网用户必须与信息中心办理上网申请，严格执行安全保密制度。(六)内部用户对网络上有害信息应该及时控制并删除，不得传播。(七)对安全事故、案件等应该及时上报安全管理办公室，并作日志记录。(八)网络管理员应定期检测网络运行情况，安全管理员必须定期检查系统安全情况。(九)有关信息安全条例及时上安排上网、并转发给用户学习。(十)发现异常用户登录，应及时处理并上报安全管理办公室备案。第四十六条多人负责原则：(

14、一)每一项与安全有关的活动，都必须有两人或多人在场。一为互相监督，二为一旦出现擅自离职，可以保证系统的正常运行。而且应该签署工作情况记录，5/12以证明安全工作已得到保障。(二)以下各项是与安全有关的活动：访问控制使用证件的发放与回收。信息处理系统使用的媒介发放与回收。处理保密信息。硬件和软件的维护。系统软件的设计、实现和修改。重要程序和数据的删除和销毁等。第四十七条任期有限原则。一般地讲，任何人最好不要长期担任与安全有关的职务，为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。工作人员在调离本岗位后，应对其所涉及到的权限

15、及口令等进行重新设定。第四十八条职责分离原则：(一)在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。(二)出于对安全的考虑，下面每组内的两项信息处理工作应当分开：计算机操作与计算机编程。_资料的接收和传送。安全管理员和网络管理员。应用程序和系统程序的编制。访问证件的管理与其它工作。计算机操作与信息处理系统使用媒介的保管等。第四十九条人员调离时安全管理应符合下列基本安全要求：(一)根据人员安全保密管理，对工作调动和离职人员要及时调整相应的授权。(二)在宣布人员调离的同时，应马上收回调离人员的各项权限，包括取消帐号，收回相关房门钥匙，更换其原来管理

16、的系统的访问口令，并向被调离人员申明其保密义务。(三)涉及科研、开发及其他重要业务的技术人员调离时，应确认对业务不会造成危害后方可调离。(四)人员的录用调入必须经人事_技术部门的考核和接受相应的安全教育。第七章系统及应用安全管理第五十条系统运行的基本要求：(一)对于各个信息系统的使用应建立相应安全操作规程与规章制度。(二)指定专人负责启动、关闭重要计算机系统和相关设备。6/12(三)指定专人对系统运行状况进行监视，及时发现问题并报告上级。(四)记录内部网络拓扑情况，记录各计算机系统的ip地址、网卡地址、系统配置，以在发生安全问题时，及时找到相关系统。(五)各个信息系统的运行场所应满足相应的安全

17、等级要求。(六)各个信息系统应配备必要的计算机病毒防范工具。(七)重要的信息系统应配备必要的备份设备和设施。第五十一条系统数据安全管理的要求：(一)计算机信息系统应定期进行数据备份，并检查备份介质的有效性。(二)应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号，并标明备份日期、密级及保密期限。(三)应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性。(四)应建立备份介质的销毁审批登记制度，并采取相应的安全销毁措施。(五)未采取保密措施的_系统(含个人计算机)，不得用于采集、处理、存贮、传输和检索涉及公司_的信息(以下简称_信息)。(六)重要信息系统使用的计算

18、机设备更换或报废时，应彻底清除相关业务信息，并拆除所有相关的_选配件，由使用部门登记封存。第五十二条服务器安全管理要求：(一)系统中各服务器为应用系统、安全系统专用，不得用于其他用途。(二)未经许可，服务器中不得_与系统无关的软件。(三)系统中各主要服务器不准开设文件共享服务，若需进行文件的传输与拷贝，可开通ftp服务。(四)网络管理员应建立完整的计算机运行日志，操作记录及其它与安全有关的资料。第五十三条个人计算机安全管理要求：(一)未采取保密措施的个人计算机(含便携机，下同)，不得作为临时终端检索_系统的信息，不得与_系统联网。(二)个人计算机存贮_信息应当采取保密措施，并标明密级，按密级文

19、件进行管理，不得在公共场所存放。(三)个人计算机不得_和使用会影响网络性能的工具软件，如网络扫描器、黑客攻击工具等。(四)个人计算机不得_与工作无关的软件，如游戏、聊天、炒股软件等。第五十四条数据库安全管理要求：(一)数据库的各个用户的默认_应该被重新设置为新的_，且_由数字7/12和字母共同组成，_长度不小于_位。(二)严格设置和限制数据库用户的访问权限，容许用户只访问被批准的数据，以及限制不同用户有不同的访问模式。(三)开启数据库日志功能，数据库管理员定期查看日志，查找异常情况，并将数据库日志进行备份。(四)若网络系统中采用了数据库审计系统，数据库审计系统的管理员应经常注意数据库审计系统的

20、报警情况，以及时作出安全响应措施。(五)数据库管理员应了解数据库安全漏洞情况及相应的解决方法，如及时为数据库升级或打好相应的补丁。(六)对重要数据库定期进行备份。第五十五条系统运行平台的安全管理要求：(七)系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。(八)系统管理员应屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入。(九)_系统的操作系统应当建立用户身份验证、访问权限控制等保密防御机制和审计机制。(十)重要的_系统，应当建立具有实时报警功能的监控系统。(十一)传输重要信息，应当采用数字签名技术。(十二)_系统各类数据库应当建立用户身份鉴别、访问

21、权限控制和数据库审计等保密措施，重要的数据应当加密存放。(十三)系统管理员应及时_正式发布的系统补丁，修补系统存在的安全漏洞。并负责应用软件和数据库系统的升级和打补丁。(十四)系统管理员应启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。(十五)系统管理员不得泄露操作系统、数据库的系统管理员帐号、_。(十六)联网设备的ip地址及网络参数，必须按照网络管理规范及其业务应用范围进行设置，不得随意修改。(十七)安全管理员使用扫描工具或请外部专用人员定期对内部网络系统进行安全扫描。(十八)对于已经发现的操作系统和应用软件漏洞和解决方法，安全管理员应及时告知系统管理员及内部职员，并及时进行解决

22、。第八章数据安全管理第五十六条本制度所指的信息数据，包括存储在计算机硬盘、磁道机、磁盘阵8/12列、光盘塔等电子信息数据，还包括以纸为信息载体的记录内部网络情况及信息系统等资源的文档。第五十七条公司各个部门必须建立完善的业务数据管理制度，对业务数据实施严格的安全保密管理。各个业务部数据信息应保存一年以上。第五十八条数据备份应符合下列基本安全要求：(一)使用数据备份软件对需要长期保存的重要数据进行快速有效的数据备份工作。(二)各部门重要数据的备份一般保证有多份(最少两份)，并异地存放，保证系统发生故障时能够快速恢复。存放备份数据的介质必须具有明确的标识，并明确落实异地备份数据的管理职责。(三)备

23、份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。(四)建议第一次备份时作一次系统数据的全备份，以后每天作一次增量备份，每周作一次全备份。(五)数据备份过程中，应确保备份数据源和备份目的介质之间数据传输安全。(六)数据备份的存储介质应设有严格的访问策略限制。(七)备份数据应仅用于明确规定的目的，未经批准不得它用。(八)无正当理由和有关批准手续，不得查阅备份数据。经正式批件查阅数据时必须登记，并由查阅人签字。(九)保密数据不得以明码形式存储和传输。(十)根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。(十一)注意计算机重要信息资料和数据存储介质的存放、运输安全和

24、保密管理，保证存储介质的物理安全。(十二)任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。第五十九条_介质应符合下列基本安全要求：(一)_系统存贮_信息的介质(含磁盘、磁带和光盘，以下简称_介质)，应当由专人负责保管，_介质应当与非密介质分开保管。(二)_介质应当按密级文件进行管理，标明密级并造册登记，收发、传递和使用应当有审批手续和传递记录。(三)_介质应当有防拷贝措施，拷贝_信息要经领导审批，拷贝的_介质按原_介质进行管理。(四)_介质不得降低密级使用和记录非密信息，无保存价值的_介质应当报领导批准后销毁，并作好

25、销毁记录。9/12(五)_介质不得到境外修理。第六十条数据管理应符合下列基本安全要求：(一)公司内部信息数据及网络应用情况要实施保密措施。信息数据资源保密等级可分为：(1)可向inter_公开的；(2)可向内部公开的；(3)可向特定服务器区公开的；(4)可向有关部门或个人公开的；(5)仅限于本部门内使用的；(6)仅限于个人使用的。(二)公司内各部门计算机数据管理实行负责人责任制，各部门指定专人负责本部门计算机数据管理工作。保障本部门计算机数据的安全运行，对本部门的计算机数据及时进行分类登记、备份，随时检测、清除计算机病毒，使用病毒防护工具恢复被病毒感染的数据。(三)计算机数据中涉及国家和商业_

26、的信息应采取技术加密、保密措施，并编制操作_，任何人不准泄露操作_。操作_要定期更改。如发现失、_现象应及时向有关部门报告。(四)传递应予保密的数据，应通过符合保密要求的邮件等方式进行。(五)在数据采集、传递、加工和发布中违反报名规定，给国家和社会造成危害的，对直接责任人要给予行政处分，情节严重的，要追究刑事责任。(六)记录有公司内部网络拓扑情况、网络地址、系统配置等的电子文档，应由网络管理员妥善保管，加密存储。相关的纸介质文档，也应妥善保管在安全处，未经上级批准不得借阅或复印。(七)数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，由信息部

27、门技术人员进行现场技术支持。数据恢复后，必须进行验证，确保数据恢复的完整性和可用性。(八)数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。(九)需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。(十)计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备10/12存储介质

28、内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。(十一)管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止_。第九章病毒防治管理第六十一条网络中所有联网的服务器和客户端均应_病毒防护系统软件，若病毒防护软件带有集中管理功能，则对网络用户实现病毒防护软件的统一设置，不容许用户私自卸载防病毒软件，不容许用户禁止实时病毒扫描功能。第六十二条安全管理员负责更新防病毒软件。第六十三条定期进行病毒扫描，发现病毒立即处理；设置病毒防护软件自动扫描为每周至少一次。第六十四条外面进来的信息介质必须经过病毒扫描、病毒清除后才能使用。第六十五条计算机使用人员在使用软盘时，应先对软盘进行病毒扫描。第六十六条计算机使用者在离开前应锁定计算机或退出系统。第六十七条任何人未经计算机所属使用人的同意，不得使用他人的计算机。第六十八条安全管理员负责公司内部计算机病毒的检测和清理工作。第六十九条安全管理负责人对防病毒措施的落实情况进行监督。第七十条安全管