2020信息安全管理制度

信息安全管理制度1．总则：为了切实有效的保证公司信息系统安全，提高信息系统为公司生产经营的服务能力，特制定信息系统相关管理制度，设定管理部门及专业管理人员对公司整体信息系统进行管理，以保证公司信息系统的正常运行。2．范围计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。2.2软件包括：PC操作系统、数据库及应用软件、有关专业的网络应用软件等。2.3终端机的网络系统配置包括终端机在网络上的名称，IP地址分配，用户登录名称、用户密码、U8设置、0A地址设置及Internet的配置等。2.4系统软件是指：操作系统（如WINDOWSXP等）软件。2.5平台软件是指:设计平台工具（如AUTOCAD等）、办公用软件（如OFFICE）等平台软件。2.6管理软件是指：生产和财务管理用软件（如用友U8软件）。2.7基础线路是指：联系整个信息系统的所有基础线路，包括公司内部的局域网线路及相关管路。3．职责公司设立信息管理部门，直接隶属于分管生产副总经理，设部门经理一名。信息管理部门为网络安全运行的归口部门，负责计算机网络系统的日常维护和管理。负责系统软件的调研、采购、安装、升级、保管工作。负责软件有效版本的管理。信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行；服务器安全运行和数据备份；internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理；协助职能科室进行数据备份和数据归档（如财务、生产、设计、采购、销售等）。信息管理人员执行企业保密制度，严守企业商业机密。员工执行计算机安全管理制度，遵守企业保密制度。系统管理员的密码必须由信息管理部门相关人员掌握。负责公司网络系统基础线路的实施及维护。4．管理网络系统维护系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视，并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析，制定处理方案，采取积极措施，并如实将异常现象记录在《网络运行日志》〔附录A〕。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》〔附录B〕上。部门负责人要跟踪检查处理结果。定时对相关服务器数据备份进行检查。（包括对系统的自动备份及季度或年度数据的刻盘备份等）4.1.4定时维护OA服务器，及时组织清理邮箱，保证服务器有充足空间，0A系统能够正常运行。维护Internet服务器，监控外来访问和对外访问情况，如有安全问题，及时处理。制定服务器的防病毒措施，及时下载最新的防病毒疫苗，防止服务器受病毒的侵害。客户端维护按照人事部下达的新员工（或外借人员）姓名、分配单位、人员编号为新的计算机用户分配计算机名、IP地址等。帐号申请新员工（或外借人员）需使用计算机向部门主管提出申请经批准由信息部门负责分配计算机、OA的ID和邮箱。如需使用专业软件（财务软件等）则向财务主管申请，由财务主管分配权限和帐号密码，信息管理部人员负责软件客户端的安装调试。使用4.2.1.3帐号注销：员工离职应将本人所使用的计算机名、IP地址、用户名、登录密码、生产经营专用软件等软件信息以书面形式记录，经信息管理人员核实并将该记录登记备案。信息管理人员对离职人员的公司资料信息备份以及拿到人事部门的员工离职通知单，方可对该离职人员所用的帐号信息删除。网络用户不得随意移动信息点接线。因房屋调整确需移动或增加信息点时，应由计算机管理人员统一调整，并及时修改“网络结构图”。为客户机安装防病毒软件，并通知和协助网络用户升级防病毒疫苗。系统及平台软件的管理系统及平台软件采购由信息管理员提出相关系统软件的采购及升级申请，填写《软件引进、升级审批表》〔附录D〕，经部门主管及公司领导批准后采购。应将原始盘片、资料、合同及发票复制件归档案保存，以备日后查询等。应办理软件注册手续，并将软件认证号码、经销商和技术支持商相关信息填入《软件信息表》〔附录C〕。系统、平台软件的管理信息管理人员负责软件的安装。信息管理部门保存和使用软件的复制盘片，也可根据需要从档案借出原始盘片，复制相关资料留存使用。信息管理人员应及时下载系统及平台软件的相关补丁程序，并与原系统进行配套管理和使用。4.3.2.4信息管理员负责将软件商信息记录在《软件信息表》〔附录C。，就软件技术问题与软件商联系，并负责软件的升级。软件维护用户向信息管理人员提交软件维护请求。接到请求的信息管理人员应及时提供维护服务，并填写《维护记录》〔附录E〕。对于较复杂的问题，处理人应及时与信息管理员沟通，信息管理员组织研究解决方案，及时处理问题。应记录处理问题的方案及结果，信息管理员定期组织交流，总结汇总各种软件的问题，以便改进软件，积累经验，提高处理问题的技术水平。软件的借用用户需自行安装系统和专业软件时，应填写《软件借用记录》〔附录F〕，办理借用手续。软件有效版本管理信息管理员应建立系统、平台、专业、管理软件的有效版本清单，并定期发布，格式见《软件有效版本清单》〔附录G〕。数据备份管理服务器数据备份4.7.1.1每周应至少做一次U8、金碟数据的备份，并在备份服务器中进行逻辑备份的验证工作，经过验证的逻辑备份存放在不同的物理设备中，至少同时保留两个完整的数据备份。每周至少对文件服务器和财务等生产经营用服务器做一次数据备份。应对数据库进行自动实时备份。4.7.1.4自动或手工备份的数据应在数据库故障时能够准确恢复。管理信息的备份各部门应定时对管理数据进行备份。每年的1或2月份，计算机人员应协助职能科室对上一年度的管理数据进行备份、标识并归档。计算机病毒防治在服务器和客户端微机上安装病毒自动检测程序和防病毒软件，信息管理人员应及时下载防病毒疫苗，用户应及时下载疫苗并检测、杀毒。在向微机及服务器拷贝或安装软件前，首先要进行病毒检测。如用户经管理代表批准安装外来软件，应经过计算机人员对安装软件进行防病毒检测。对于外来的图纸和文件，在使用前要进行病毒监测。送外维修和欲联网的计算机必须经过病毒检测后，方可联入网络。为了防止病毒侵蚀，员工和信息管理人员不得从internet网下载游戏及与工作无关的软件，不得在服务器或关键客户端微机上安装、运行游戏软件。文件服务器的管理文件服务器中为用户预留了一定的存储空间，存放重要文件、设计图纸和阶段成果，以避免在本地硬盘遭到损坏时丢失文件。系统保密制度系统管理员的职责和义务系统管理员应由主管领导批准设立，具有系统管理员权限的用户应对所管理系统的安全负责。系统管理员不得擅自泄露其他用户的用户名及密码，不得为员工检索其他人员信息和企业保密信息。因工作需要，经主管领导批准，系统管理员可以为用户检索、打印企业信息，但应妥善保管打印件，并对作废内容及时销毁。系统管理员不得随意修改合法用户的身份，确因工作需要应得到主管领导的批准。系统管理员应遵守保密制度，不泄漏企业信息。用户的职责和义务用户有权以自己合法的身份使用应用系统。用户不得盗用其他人的身份登陆网络或进入应用系统，确因工作需要需征得本人的同意。用户应保管好自己的密码，并三个月更换一次密码，以保证数据安全。4.12基础线路建设管理在进行网络系统基础线路新建或增加时，系统管理部门应会同相关部门及专业公司尽可能的从整体性、先进性、可拓展性等方面规划建设，有公司网络系统的可持续发展打下良好的基础。基础建设完成后，将基础建设所涉及的图纸、标识等竣工资料保管整齐，以备后续的增添及维护。在日常维护中，如有增加或改变走线方向等，需在原有资料上作好相应更改。在重要线路或容易遭受破坏部位，应设立警示牌或其它警示标志，以保护基础线路。重大操作事项审批制度涉及到服务器系统、网络、数据库安全的操作应填写《重大操作事项审批表》〔附录I〕，任何人不得擅自更改运行系统的相关配置。部门负责人应组织相关人员及专家讨论操作的必要性和可行性，制定安全措施和操作步骤。经批准的重大操作需做充分的实验和准备，并验证其可行和安全后，由两人以上共同操作。对管理软件的重大操作和维护应执行重大操作审批制度，不允许对运行的软件进行直接调试和试运行。在重大操作实施之前，应做好系统的备份。在实施过程中，应详细记录操作过程，以保证实施过程发生意外时能将系统恢复到实施前的运行状况。落实安全责任对于新上岗信息管理人员，应进行岗位培训，培训岗位标准、计算机管理制度、操作规程，落实安全职责。质量改进对于发生的系统、网络、服务器故障，应按照质量保证体系的要求，采取质量改进措施。网站建设信息管理部门负责对网站的维护、更新、推广，负责对外栏目及管理文档栏目管理密码以及访问密码的设置。各部门设立一名信息采集员，每个月负责采集该部门的信息，交到信息管理部门，信息管理员负责将信息更新到网站。附录A：网络运行日志日/月/年时:分问题记录巡视人签字注：（1）简要记录发现的问题及问题处理结果。（2）针对当时没有解决的问题或重要的问题应填写“网络问题处理跟踪表”附录B：网络问题处理跟踪表日/月/年网络出现问题时间填表人问题描述：原因分析：处理方案：处理结果：预防措施：执行人跟踪人完成时间附录C:软件信息表序号软件名称采购日期软件开发商信息名称联系人电话地址网址附录D:软件引进、升级审批表软件（项目）名称软件开发单位申请部门负责人软件引进、升级意向（软件功能、引进的必要性等，由负责人填写）：签署/日期/年月日主管领导审批意见：签署/日期/年月日附录E:维护记录申请人部门申请时间维护需求：处理结果：签字/时间：/年月日维护验收：签字/时间：/年月日用工用料明细工作内容（或设备名称）数量备注（或单价）处理人协助处理人耗时注：（1）本表适用于计算机管理人员对客户端提供的操作系统、管理软件、硬件设备的维护，以及设备外送维修服务。（2）客户端维护由用户验收，外修设备由计算机管理人员验收。附录F:软件借用记录软件名称盘片/资料借用人借出时间应归还时间归还时间经办人附录G:软件有效版本清单序号软件名称软件编号登记日期使用部门备注附录H用户信息表部门姓名员工代码域（组）用户名登陆密码ERP系统登陆密码OA系统登陆密码U8系统登陆密码附录I:重大操作事项审批表申请事项申请人存在问题预期成果可能产生的问题预防措施所需准备操作步骤参加人员及分工审评人员签字操作时间批准签字信息安全管理制度目录安全管理制度要求总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。建立文件化的安全管理制度，安全管理制度文件应包括：a）安全岗位管理制度；b）系统操作权限管理；c）安全培训制度；d）用户管理制度；e）新服务、新功能安全评估；f）用户投诉举报处理；g）信息发布审核、合法资质查验和公共信息巡查；h）个人电子信息安全保护；i）安全事件的监测、报告和应急处置制度；j）现行法律、法规、规章、标准和行政审批文件。安全管理制度应经过管理层批准，并向所有员工宣贯机构要求法律责任互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。人员安全管理安全岗位管理制度建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。关键岗位人员关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括：1.个人身份核查：2.个人履历的核查：学历、学位、专业资质证明：从事关键岗位所必须的能力应与关键岗位人员签订保密协议。安全培训建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括：上岗前的培训；安全制度及其修订后的培训；法律、法规的发展保持同步的继续培训。应严格规范人员离岗过程：a）及时终止离岗员工的所有访问权限；b）关键岗位人员须承诺调离后的保密义务后方可离开；c）配合公安机关工作的人员变动应通报公安机关。人员离岗应严格规范人员离岗过程：a）及时终止离岗员工的所有访问权限；b）关键岗位人员须承诺调离后的保密义务后方可离开；c）配合公安机关工作的人员变动应通报公安机关。访问控制管理4.1访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。权限分配按以下原则根据人员职责分配不同的访问权限：a）角色分离，如访问请求、访问授权、访问管理；b）满足工作需要的最小权限；c）未经明确允许，则一律禁止。4.3特殊权限限制和控制特殊访问权限的分配和使用：a）标识出每个系统或程序的特殊权限；b）按照“按需使用”“一事一议”的原则分配特殊权限；c）记录特殊权限的授权与使用过程；d）特殊访问权限的分配需要管理层的批准。注：特殊权限是系统超级用户、数据库管理等系统管理权限。4.4权限的检查定期对访问权限进行检查，对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查，如发现不恰当的权限设置，应及时予以调整。网络与主机系统的安全网络与主机系统的安全应维护使用的网络与主机系统的安全，包括：a）实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施；b）实施7X24h网络入侵行为的预防、检测与响应措施；c）适用时，对重要文件的完整性进行检测，并具备文件完整性受到破坏后的恢复措施；d）对系统的脆弱性进行评估，并采取适当的措施处理相关的风险。注：系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。备份5.2.1应建立备份策略，有足够的备份设施，确保必要的信息和软件在灾难或介质故障时可以恢复。网络基础服务（登录、消息发布等）应具备容灾能力。安全审计5.3.1应记录用户活动、异常情况、故障和安全事件的日志。审计日志内容应包括：a）用户注册相关信息，包括：1）用户唯一标识；2）用户名称及修改记录；3）身份信息，如姓名、证件类型、证件号码等；4）注册时间、IP地址及端口号；5）电子邮箱地址和于机号码；）用户备注信息；）用户其他信息。b）群组、频道相关信息，包括：1）创建时间、创建人、创建人IP地址及端口号；）删除时间、删除人、删除人IP地址及端口号；）群组组织结构；）群组成员列表。c）用户登录信息，包括：1）用户唯一标识；2）登录时间；3）退出时间；4）IP地址及端口号。d）用户信息发布日志，包括：1）用户唯一标识；2）信息标识；3）信息发布时间；4）IP地址及端口号；5）信息标题或摘要，包括图片摘要。e）用户行为，包括：1）进出群组或频道；2）修改、删除所发信息；3）上传、下载文件。5.3.3应确保审计日志内容的可溯源性，即可追溯到真实的用户ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施；涉及地址转换技术的服务，如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息；涉及短网址服务的,应审计原始URL与短URL之间的映射关系。应保护审计日志，保证无法单独中断审计进程，防止删除、修改或覆盖审计日志。应能够根据公安机关要求留存具备指定信息访问日志的留存功能。审计日志保存周期a）应永久保留用户注册信息、好友列表及历史变更记录，永久记录聊天室（频道、群组）注册信息、成员列表以及历史变更记录；b）系统维护日志信息保存12个月以上；c）应留存用户日志信息12个月以上；d）对用户发布的信息内容保存6个月以上；e）已下线的系统的日志保存周期也应符合以上规定。6应用安全用户管理向用户宣传法律法规，应在用户注册时，与用户签订服务协议，告知相关权利义务及需承担的法律责任。建立用户管理制度，包括：a）用户实名登记真实身份信息，并对用户真实身份信息进行有效核验，有校核验方法可追溯到用户登记的真实身份，如：1）身份证与姓名实名验证服务：2）有效的银行卡：3）合法、有效的数字证书：4）已确认真实身份的网络服务的注册用户：5）经电信运营商接入实名认证的用户。（如某网站采用已经实名认证的第三方账号登陆，可认为该网站的用户已进行有效核验。）b）应对用户注册的账号、头像和备注等信息进行审核，禁止使用违反法律法规和社会道德的内容：c）建立用户黑名单制度，对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。当用户利用互联网从事的服务需要行政许可时，应查验其合法资质，查验可以通过以下方法进行：a）核对行政许可文件：b）通过行政许可主管部门的公开信息:c）通过行政许可主管部门的验证电话、验证平台。违法有害信息防范和处置公司采取管理与技术措施，及时发现和停止违法有害信息发布。公司采用人工或自动化方式，对发布的信息逐条审核。采取技术措施过滤违法有害信息，包括且不限于:a）基于关键词的文字信息屏蔽过滤；b）基于样本数据特征值的文件屏蔽过滤；c）基于URL的屏蔽过滤。应采取技术措施对违法有害信息的来源实施控制，防止继续传播。注：违法有害信息来源控制技术措施包括但不限于：封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。6.2.4公司建立7*24h信息巡查制度，及时发现并处置违法有害信息。建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度，包括：a）对发现的违法有害信息，立即停止发布传输，保留相关证据（包括用户注册信息、用户登录信息、用户发布信息等记录），并向属地公安机关报告b）对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告，同时配合公安机关做好调查取证工作6.2.6与公安机关建立7*24h违法有害信息快速处置工作机制，有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内删除，相关的屏蔽过滤措施应在10min内生效。6.3破坏性程序防范实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。对软件下载服务提供者（包括应用软件商店），检查用户发布的软件是否是计算机病毒等恶意代码。个人电子信息保护制定明确、清楚的个人电子信息处置规则，并且在显著位置予以公示。在用户注册时，在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息；收集个人电子信息时，取得用户的明确授权同意；公司在姜个人电子信息交给第三方处理时，处理方符合本制度标准的要