信息系统等级保护（全套）制度

...wd......wd......wd...附件1：《XXXXXXXXXX信息安全管理制度》《XXXXXXXXXX计算机网络信息安全保密制度》《XXXXXXXXXX用户密码安全保密管理规定》《XXXXXXXXXX电子文件保密管理规定》《XXXXXXXXXX涉密计算机系统病毒防治管理规定》《XXXXXXXXXX数字复印机多功能一体机保密管理规定》《XXXXXXXXXX计算机信息发布、传递保密管理制度》《XXXXXXXXXX互联网发布信息保密管理制度》《XXXXXXXXXX计算机维修、更换及报废保密管理规定》《XXXXXXXXXX移动存储介质管理制度》《XXXXXXXXXX计算机保密管理制度》《XXXXXXXXXX网络管理方法》《XXXXXXXXXX系统数据备份与恢复管理制度》《XXXXXXXXXX网络信息安全应急预案》《XXXXXXXXXX机房安全管理制度》《XXXXXXXXXX信息化安全管理方法》《XXXXXXXXXX信息系统变更管理制度》《XXXXXXXXXX信息安全事件报告和处置管理制度》《XXXXXXXXXX信息安全系统安全建设工作方案》信息安全管理制度近年来，随着计算机技术和信息技术的飞速开展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何标准日趋复杂的信息安全保障体系建设，如何进展信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。一、前言：企业的信息及其安全隐患。在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面：A服务器信息。主要存在于信管部。B密码信息。存在于各部门所有员工。针对以上涉及到安全的信息，在企业中存在如下风险：1来自企业外的风险①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丧失工作文件，重则泄露机密信息。②不法分子等黑客风险。计算机网络的飞速开展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户觉察，尤其是技术部、工程部和财务部电脑假设被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。2、来自企业内的风险①文件的传输风险。假设有员工将公司重要文件以QQ、MSN发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存开展。文件的打印风险。假设员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。文件的风险。假设员工将纸质重要资料或技术图纸出去，以及将其他单位给公司的技术文件和重要资料带走，会造成企业信息的外泄。④存储设备的风险。假设员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司，可能会泄露企业机密信息。假设有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。⑤上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。用户密码风险。主要包括用户密码和管理员密码。假设用户的开机密码、业务系统登陆密码被他人掌握，可能会窃取此用户权限内的信息资料和业务数据；假设管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。机房设备风险。主要包括服务器、UPS电源、网络交换机、交换机、光端机等。这些风险来自防盗、防雷、防火、防水。假设这些自然灾害发生，可能会损坏机房设施，造成业务中断。办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容，假设不小心被其他人拿走或听到，可能会泄露部门工作机密，甚至是公司机密。为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基础，各部门具体细则为安全管理行为标准，从各个层面杜绝信息安全隐患。二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。1.计算机设备安全管理。1〕公司所有人员应保持清洁、安全、良好的计算机设备工作环境，制止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2〕严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向信息管理部报告，不允许私自处理和维修。3〕发现由以下等个人原因造成硬件的损坏或丧失的，其损失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进展处理。4〕下班后所有不再使用的计算机，应关闭主机电源，以防止意外，对于共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。2.部门资料安全管理。1〕外接存储设备安全管理。严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。假设因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示此行为，并以公司存储设备做文件拷贝。为确保硬盘的安全，严禁任何人私自拆开电脑机箱：①将用户主机贴上封条标签，除信管部人员外，任何人不得私自拆开机箱，假设信管部进展电脑硬件故障排查时，撤除封条标签后，在故障排查完毕及时更换新的封条标签。信管部将定期检查，假设发现有封条拆开痕迹，将查看视频监控记录，追查相关人责任。②给每台电脑主机配备锁柜，将所有用户主机存放在锁柜内，锁柜钥匙统一由信管部保管，假设需要为用户处理电脑故障时，信管部在翻开锁柜处理完电脑故障时，一定要锁好主机柜，确保主机内硬盘的安全。2〕文件安全管理。所有人员对外发送，必须经上级核实后，统一在综合部登记，由综合部发送，严禁个人私自在未经许可的情况下对外发送任何类型的文件，一经发现，所有后果将由个人承担。在对内文件时，应即刻通知接收人接收并取走件，在完毕时，应马上取走原件。假设因时没有取走件，导致件丧失，造本钱部门信息外泄，则由本人承担一切后果。3〕文件打印安全管理。所有人员不得私自将公司文件打印带出公司，一经发现，严肃处理。假设在上班时间，打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，假设因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件。制止一切打印后未及时取走打印文件的行为，一经发现，将对本人警告，假设因打印后，文件丧失，造成信息资料外泄，则由本人承担相关责任。4〕文件的存储安全管理。所有部门人员应每周清理计算机中的文件，去除不需要的垃圾文件，将重要的文件和工作资料保存在特定的文件夹里，每月末应将电脑中的文件资料做一次备份，将文件资料备份到部门专用U盘或移动硬盘上，确保个人工作资料的文件归档，在电脑突发性故障或硬盘损坏时，能够及时恢复最近的工作资料；电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。假设因个人原因未执行备份，造成数据资料丧失时，将由本人承担相关后果。假设员工离职，在办完离职手续后，所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门U盘或移动硬盘上，假设没有执行此安全过程，离职员工损失的文件资料由该部门承担。5〕办公区域的安全管理。所有部门人员每天下班时应保证办公桌的整洁，将部门重要文件资料存放在个人抽屉柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。假设因资料没有存放好，被他人取走，造成的后果将由本人承担。3.帐号密码安全管理。使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工，员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产，设置密码时应注意：密码至少有8个字符长；密码必须包含以下任一局部：字母A-Z或a-z，数字0-9，特殊字符，例如$，-等。1〕电脑密码管理：每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息，网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记，假设更改密码后，未进展登记，一经信管部发现，将对该用户进展口头警告。同时，因没有及时向信管部备案造成的电脑故障问题或文件丧失等问题，信管部不承担责任。2〕应用系统密码管理：所有ERP用户及OA用户都将分配到一个帐号密码，帐号是不变的，用户可以更改自己的系统密码，密码尽可能设置为高安全性的复杂密码，严禁用户将密码设置为如123456等傻瓜式密码，假设密码设置过于简单，被其他用户非法登陆后，在ERP中将会非法编制篡改单据，在OA中非法冒用流程管理权限，假设产生此情况，将会导致严重的后果；严禁将ERP帐号或OA帐号密码透露给他人，让他人代己做ERP单据或办理OA流程；员工调离岗位或离职，所在部门负责人应及时通知信管部注销该员工的应用系统帐户。假设因以上原因造成的信息安全后果将由本人承担。3〕采用用户身份认证系统：目前我公司登陆服务器采取的是静态密码认证，这种密码保护技术是最低层次的。在企业内，容易被其他部门人员注意到服务器登陆密码，从而可能会被动机不良的员工登陆到服务器，破坏服务器数据；在企业外，容易遭到黑客字典扫描破解密码，从而攻击各应用服务器，破坏或盗取商业数据等。因此，我部门在未来的开展规划中，要将用户身份认证当作安全的一个重大隐患，想方法解决这个问题。这里，我们可以采取动态口令牌或USBKEY认证技术，并选择其中一种技术与公司现有的静态密码技术相结合，动态口令牌随机生成动态密码，并于60秒内自动刷新密码，无法采用数据字典扫描破解密码，让黑客攻击行为束手无策；而USBKEY采用USB密钥，存储特定的加密算法，只有将USB钥匙接上电脑，与电脑中存储的认证软件验证通过后，才能进入。我们通过〔动态+静态〕混合身份认证，或〔硬件+软件〕混合身份认证，保证服务器的登陆基于网内的行为、网外的行为都是安全的。4..杀毒软件安全管理。用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级，每日定时杀毒，使用者也应经常手动扫描杀毒。5.各类软件安全管理。软件原始盘片应交综合部保管，软、硬件设备的原始资料〔软盘、光盘、说明书及保修卡、许可证协议等〕交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。6.邮件安全管理。所有因公对外联系的电子邮件一律通过公司邮箱info@163.cn在指定的电脑上进展收发。〔参考邮箱管理制度〕综上所述，使用者应该具有一定的安全防范意识，具体应做到：日常工作信息安全：1〕员工应对在自己公司电脑内公司机密信息的安全负责，当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。2.〕员工有责任正确地保护分配给本人的所有计算机帐户。3.〕各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。4〕每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。5〕不得安装有可能危及公司计算机网络的任何软件，假设实在有需要进展软件测试的必须将计算机脱离公司计算机网络进展单机操作。6〕任何对公司内部计算机网络的黑客行为是绝对制止的，一经查实将按公司有关规定严肃处理。假期时间办公室的安全：确保工作电脑的安全，在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码，其它信息管理部设备的电源也必须切断。确保数据的安全：确保你的软盘，备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。当你在外的时候：不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假，而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。当你回来的时候：如果你发现在安全方面有任何可疑之处都要向公司有关方面进展汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。常规本卷须知1〕任何外来盘片(包括CD、VCD碟片及软盘)，只有经过系统管理员确认不带病毒后，才可在公司计算机上使用.否则造成病毒感染或其他破坏的，公司将对其责任人进展罚款处理，每次金额50元～500元。2〕个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出，假设需输出必须履行审批手续。申请人填写申请单，写明输出资料内容、份数、路径、用途、申请日期、申请人等工程，经部门领导和公司领导共同签字审批后，交由专人上机操作。3〕未经系统管理员许可，不得从因特网上下载任何软件安装，系统管理员将不定期检查，发现有违反本条规定的，将给予50元～500元的罚款。4〕严禁在工作时间利用计算机网络从事与本职工作无关的活动，发现有违反本条规定的，将给予50元～200元的罚款。技术部组织架构及岗位职责为实现公司信息化目标，标准公司信息化建设，建立和完善公司信息化管理体系，明确管理职责，保障公司信息系统安全、高效、稳定运行，为公司提供准确、有效的财务、生产、技术及其它相关信息，为公司高层科学决策提供依据，从而进一步增强企业的核心竞争力组织架构总经理总经理维护主管系统安全网络安全工程组组长资料管理员软件开发员信息管理员三、公司信息部部门及岗位职责1.信息部部门职责负责公司信息化建设的总体规划及网络体系构造的设计，负责公司信息化系统选型工作，并负责编制公司信息化总体规划与选型报告，并报公司领导审批。负责公司信息化系统的推进与执行，负责公司信息化工程实施工作的日常管理，并协调解决工程实施过程中碰到的问题。负责组织调研公司各部门信息化需求并汇总，负责组织公司财务、生产、技术、办公自动化系统软件的开发，使公司信息化系统形成一个无缝连接的整体。负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。负责公司所有信息化工程的持续改良与日常维护，负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作，在保证公司的计算机网络安全运行的前提下，树立服务意识，为公司领导、各业务职能部门提供最优质服务。负责公司人员计算机应用方面的培训，提高公司计算机应用的整体水平和办公效率。负责公司计算机及相关设备的采购及维修方案编制。2.岗位职责1.总经理〔1〕负责主持信息部的全面日常工作，负责制定本部门的管理制度及组织建设，并监视本部人员全面完成部门职责范围内的各项工作任务；负责本部门员工的工作检查、考核及评价。〔2〕贯彻落实本部岗位责任制和工作标准，密切各部门工作关系，加强与集团各部门的协作配合，做好衔接协调工作；〔3〕负责公司信息化系统总体构架，构建公司信息化实施组织，结合业务流程、工程管理，实施公司集成信息化系统。〔4〕负责控制信息化工程预算。负责控制本部门信息化预算，降低费用本钱。〔5〕负责公司信息化工程关键控制点的监视、控制和风险评价；〔5〕负责组织公司的信息安全工作，持续加强公司的信息安全管理。〔6〕组织对公司计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档；〔7〕负责组织对计算机网络及信息系统的维护，保证网络及信息系统的正常运行。〔8〕负责主持信息化新系统、新工程的开发，并对信息工程系统开发全过程负责。〔9〕负责组织公司信息化工程的持续改良与日常维护。〔10〕完成领导指派的其它工作；维护主管〔1〕负责IT维护方面的日常管理工作。负责安排及监视系统管理员及系统维护员的工作。〔2〕负责主持计算机及网络系统的设计及改良工作。〔3〕负责主持对计算机网络及硬件系统的维护，保证网络及硬件系统的正常运行。〔4〕负责检测并实施适当措施保障网络及硬件系统应用安全。〔5〕负责对公司计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档；〔6〕负责公司上外网权限控制〔7〕主管指派的其它工作；工程组组长〔1〕进展工程可行性论证；〔2〕按照方案执行工程的实施；〔3〕协调工程组内的工作；〔4〕主管指派的其它工作；信息管理员〔1〕依据新信息系统工程的开发方案展开开发工作；〔2〕负责公司有关信息系统的持续改良与日常维护，负责公司信息系统的安全管理、技术支持和维护工作，树立服务意识，为公司领导、各业务职能部门提供最优质服务。〔3〕负责公司的信息系统安全工作，持续加强公司的信息安全管理。〔4〕主管指派的其它工作；软件开发员〔1〕负责新系统、新程序的技术调研工作；〔2〕依据公司自主开发软件工程的方案进展软件开发设计，并进展推广。〔3〕负责调研公司各部门信息化需求并汇总，负责公司外购软件〔财务、生产、技术、办公自动化系统软件、人事管理系统〕的二次开发，负责公司各种汇总报表、查询软件、分析软件的二次开发，为领导决策和各业务经营环节提供及时、准确的决策信息。〔4〕主管指派的其它工作；信息安全〔1〕负责主持计算机及网络系统的设计及改良工作。〔2〕负责检测并实施适当措施保障网络及硬件系统应用安全。〔3〕负责维持运行于网络平台上的各种服务稳定运行。〔4〕主管指派的其它工作；网络安全〔1〕负责排除计算机及网络系统〔包括软件〕的故障。〔2〕维修或更换损坏的计算机及网络设备或部件；〔3〕协助维护计算机网络的稳定运行与安全；〔4〕主管指派的其它工作；XXXXXXXXXX计算机网络信息安全保密制度为保证我公司计算机网络信息安全，防止计算机网络失密泄密事件发生，特制定本制度。一、为防止病毒造成严重后果，对外来存储介质〔硬盘、光盘、软盘、移动硬盘或U盘〕、软件要严格管理，严格制止外来存储介质、软件在单位涉密计算机上使用。二、为防止黑客攻击和网络病毒的侵袭，接入网络的计算机一律安装杀毒软件，并要定时对杀毒软件进展升级。三、各部门在各项重大事项保密期间，将有关涉密材料保存到不联网的计算机上。四、我公司所有办公计算机的联网均通过公司进展，各部门制止将计算机擅自接入其他互联网运营商。五、保密级别在秘密以下的材料可通过网络传递和报送，严禁保密级别在秘密以上的材料通过网络传递和报送。XXXXXXXXXX用户密码安全保密管理规定一、用户密码管理的范围是指办公室内所有涉密计算机所使用的密码。二、机密级涉密计算机的密码管理由涉密部门负责人负责，秘密级涉密计算机的密码管理由使用人负责。三、用户密码使用规定〔1〕密码必须由数字、字符和特殊字符组成；〔2〕秘密级计算机设置的密码长度不能少于8个字符，密码更换周期不得多于30天；〔3〕机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过7天；〔4〕涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。四、密码的保存〔1〕秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；假设工作需要必须转告，应请示主管领导认可。〔2〕机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由部门主任管理。XXXXXXXXXX电子文件保密管理规定一、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。二、电子文件的密级按其所属工程的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。三、各用户需在本人的计算机系统中创立“机密级文件〞、“秘密级文件〞、“内部文件〞三个目录，将系统中的电子文件分别存储在相应的目录中。四、电子文件要有密级标识，电子文件的密级标识不能与文件的正文别离，一般标注于正文前面。五、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。六、各涉密部门自用信息资料要定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。七、各部门要对备份电子文件进展标准的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。八、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。九、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进展异地备份。XXXXXXXXXX计算机系统病毒防治管理规定一、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。二、每周升级和查、杀计算机病毒软件的病毒样本，确保病毒样本始终处于最新版本。三、绝对制止涉密计算机在线升级防病毒软件病毒库，同时对离线升级包的来源进展登记。四、涉密计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。五、对必须使用的外来介质〔磁盘、光盘，U盘、移动硬盘等〕，必须先进展计算机病毒的查、杀处理，然后才可使用。六、对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员的责任。数字复印机多功能一体机保密管理规定一、用于专门处理涉密信息的数字复印机、多功能一体机按所接入设备的最高定密等级定密。二、严禁将用于处理国家秘密信息的具有打印、复印、等多功能的一体机与普通线连接。三、严禁维修人员擅自读取和拷贝数字复印机、多功能一体机等涉密设备存储的国家秘密信息。涉密电子设备出现故障送外维修前，必须将涉密存储部件撤除并妥善保管；涉密存储部件出现故障，如不能保证安全保密，必须按照涉密载体销毁要求予以销毁；如需恢复其存储信息，必须由保密工作部门指定的具有数据恢复资质的单位进展。XXXXXXXXXX计算机保密管理制度为进一步加强我公司涉密计算机信息保密管理工作，杜绝泄密隐患，确保国家秘密的安全，维护公司稳定与安全，根据《中华人民共和国保守国家秘密法》，结合我公司实际，制定本制度。第一条公司保密委员会负责全校涉密计算机保密管理工作的指导、协调和监视工作。保密技术防范和管理工作由公司网络中心负责。第二条凡涉及国家秘密、公司各单位内部不宜公开的办公事项严禁进入公司和国际互联网，与国际互联网相连的计算机系统严禁处理、存储、传输国家秘密和单位内部不宜公开办公事项。第三条但凡涉密计算机不得直接或间接接入公司公共网和国际互联网，必须进展物理隔离。制止任何单位和个人将网络安全隔离与交换器用于涉密计算机和网络之间。第四条凡经公司保密委员会审查登记备案的涉密计算机，必须指定专人负责管理，实行专机专用，凡涉密计算机一机多人共用的必须采取保密技术措施，加强保密工作，严格按规定标准操作。第五条各单位对上网信息要建立健全严格的保密审查制度。公司主页由公司领导负责保密审查，各单位上网信息由单位主要领导负责保密审查，坚持“谁上网，谁负责〞的原则，未经保密审查的信息不得入网。第六条凡违反保密规定，利用涉密计算机、公司、国际互联网从事危害国家安全和利益，泄露国家秘密和公司业务工作秘密的活动，一经查出，将追究单位主要领导和当事人的责任。第七条涉密的计算机信息在打印输出时，打印出的文件应当按照相应密级文件管理，打印过程中产生的残、次、废页应当及时销毁。第八条凡涉及国家秘密信息的计算机设备的维修，应保证储存的国家秘密信息不被泄露。到保密工作部门指定的维修点进展维修，并派技术人员在现场负责监视。第九条各单位报废涉密计算机，必须经校保密委员会派专人将涉密内容作技术处理〔消除〕，公司保密委员会备案后，方能作出处理。否则，作违规论处，将追究单位主管领导和当事人的责任。第十条各单位增加涉密计算机，必须先到公司保密委员会备案后使用。第十一条本制度由公司保密委员会办公室负责解释。第十二条本制度自下发之日起执行。XXXXXXXXXX移动存储介质管理制度为加强我公司移动存储介质管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》，结合我公司实际，制定本制度。第一条校保密委员会办公室负有建立健全使用复制、转送、携带、移交、保管、销毁等制度以及对单位所执行本制度的监视、检查职责。保密工作领导小组界定涉密与非涉密移动存储介质〔包括硬盘、移动硬盘、软盘、U盘、光盘、磁带及各种存储卡〕，并由保密委员会办公室登记造册。第二条各单位必须指定专人负责涉密移动存储介质的日常管理工作。涉密移动存储介质必须妥善保存。日常使用由使用人员保管，暂停使用的交由指定的专人保管。第三条涉密移动存储介质严禁在互联网外网上使用。确因工作需要携带涉密移动存储介质外出，须报分管领导批准，履行相关手续和采取严格的保密措施。严禁将涉密移动存储介质借给外单位使用。第四条涉密移动存储介质需要送外部维修时，必须到国家保密工作部门指定的具有保密资质的单位进展维修，并将废旧的存储介质收回。涉密移动存储介质在报废前，应进展信息去除处理。第五条涉密移动存储介质的销毁，经分管领导批准后，到自治区国家保密局指定的销毁点销毁或送交自治区国家保密局统一销毁，不得擅自销毁。制止将涉密移动存储介质作为废品出售。第六条工作人员不按规定管理和使用涉密移动存储介质造成泄密事件的，将依法依规追究责任，构成犯罪的将移送司法机关处理。第七条本制度由校保密委员会办公室负责解释。第八条本制度从下发之日起执行。XXXXXXXXXX计算机维修、更换及报废保密管理规定第一条涉密计算机进展维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，安全保密人员和涉密单位计算机系统维护人员必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进展监视并做详细记录。第二条凡需外送修理的涉密设备及涉密介质，必须经校保密委员会和分管领导批准，并将涉密信息进展不可恢复性删除处理前方可实施。第三条网络管理中心负责对涉密计算机软件的安装和设备的维护维修工作，严禁使用者私自安装涉密计算机软件和擅自拆卸计算机设备。第四条涉密计算机报废由保密领导小组专人负责，交由自治区国家保密局定点销毁。第五条本制度由校保密委员会办公室负责解释。第六条本制度从下发之日起执行。XXXXXXXXXX互联网发布信息保密管理制度为加强互联网发布信息的保密管理，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》等有关要求，结合我公司实际，制定本制度。第一条在互联网上发布的信息是指经公司主要领导或分管领导审核批准，提供给国际互联网站或其他公众信息网站，向社会公开、让公众了解和使用的信息。第二条互联网发布信息保密管理坚持“谁发布谁负责〞的原则。凡向国际互联网站提供或者发布信息，必须经公司主要领导或分管领导审查批准，并应该按照一定的工作程序，完善和落实信息登记、审批责任制。第三条除新闻媒体已公开发表的信息外，各部门及院〔系〕提供的上网信息应确保不涉及国家秘密。第四条单位内部工作秘密、内部资料等，虽不属于国家秘密，但应作为内部事项进展管理，未经公司主要领导或分管领导批准不得擅自发布。第五条制止网上发布信息的基本范围：〔一〕标有密级的国家秘密。〔二〕未经相关部门批准的，涉及国家安全、社会政治稳定等敏感信息。〔三〕未经制文单位批准，标注有“内部文件〔资料〕〞和“注意保存〞〔保管、保密〕等警示字样的信息。〔四〕公司认定为不宜公开的内部办公事项。第六条保密工作分管领导应履行的职责：〔一〕定期对网络管理人员进展保密法规、保密纪律、保密常识教育，增强信息保密观念和防范意识，自觉遵守并执行有关保密规定。〔二〕建立健全上网信息保密管理制度，落实各项安全保密防范措施。〔三〕发现国家秘密网上发布的，立即采取补救措施，并及时向有关部门报告。〔四〕定期或不定期向自治区国家保密局通报网上发布信息保密管理情况。第七条校保密委员会办公室主任应履行的职责：〔一〕指导、监视各部门网上发布信息的保密管理工作。〔二〕协助参与涉及几个部门拟发布信息的保密审查。〔三〕向自治区国家保密局报告网上发布信息保密审查中的重要情况。〔四〕负责对网上发布信息进展经常性保密监视检查，发现问题，立即采取补救措施，查明原因，并及时向自治区国家保密局报告。〔五〕协助有关部门对违反规定造成网上泄密的事件依法进展查处。第八条提供信息发布的部门应履行的职责：〔一〕对拟发布信息是否涉及国家秘密进展审查。〔二〕对已发布信息进展定期保密检查，发现涉密信息的，立即采取补救措施，查清泄密渠道和原因，并及时向公司分管领导或保密委员会报告。〔三〕承受上级机关和自治区国家保密局的监视检查。第九条违反本制度，对网上发布信息保密审查把关不严，导致严重后果或安全隐患的，按照规定严肃查处。第十条本制度由校保密委员会办公室负责解释。第十一条本制度从下发之日起执行。XXXXXXXXXX计算机信息发布、传递保密管理制度为了加强和标准公司非涉密计算机信息系统信息发布、传递的保密管理工作，确保国家秘密和公司工作秘密的安全，根据《计算机信息系统国际联网保密管理规定》〔国保发[1999]10号〕等国家相关法规有关要求，结合公司实际，制定本制度。第一条本制度所称非涉密计算机信息系统是指公司内部直接或间接接入国际互联网的计算机网络和单机。信息发布是指在各类网站、网页、网上论坛等信息发布平台上公开发布信息的行为；信息传递是指通过电子邮件、即时通信等方式传送信息的行为。第二条公司非涉密计算机信息系统制止以任何形式发布、传递国家秘密和工作秘密信息。第三条公司非涉密计算机信息系统信息发布、传递的保密管理工作遵循“业务谁主管，保密谁负责〞的基本原则，确保所发布、传递的信息均经过保密审查、审批，绝对不涉及国家秘密和工作秘密。第四条公司对非涉密计算机信息系统信息发布、传递实行保密审查、审批制度。一、发布、传递一般性的信息由非涉密计算机信息系统使用管理单位自行进展保密审查。二、发布、传递公司党、政文件或其它可能涉及国家秘密和公司工作秘密的信息，须送党委办公室、校长办公室及相关领导进展保密审查。三、发布、传递的信息中可能涉及国家秘密、工作秘密而相关业务主管部门又无法明确界定的，须送公司保密委员会进展保密审查，并报公司主管领导审批。第五条非涉密计算机信息系统发布、传递信息保密审查、审批程序：在学生社团或学生个人制作的网站上发布的信息，由学生部〔处〕、团委审核；各单位〔部门〕在本单位〔部门〕网站上发布的信息或在公司主页上发布的信息由该单位〔部门〕负责信息发布的领导审核。审核合格后，签字盖章，留档备案，再进展信息发布。一、利用非涉密计算机信息系统发布、传递信息时，承办人、拟稿人须填写发布申请表，由所在单位负责人审查；二、根据发布、传递信息的性质选择送公司相应业务主管部门审查、无法明确界定的送保密处审查，并报公司主管领导、保密委员会审批；三、将审查、审批后的发布申请表及所要发布、传递的信息内容，一同送交发布、传递承办单位或人员；四、信息发布、传递承办单位或人员确认所要发布、传递的信息经保密审查、审批合格后，方可在非涉密计算机信息系统上公开发布、传递信息。第六条公司公司信息发布、传递的保密审查、审批方法：一、公司主页信息发布的保密审查、审批。公司党委办公室、校长办公室及网络中心明确专人负责信息的采集和发布，并对一般性的信息进展保密审查；公司党、政文件、涉及公司安全稳定的信息以及其它可能涉及国家秘密、工作秘密的信息，经保密审查、审批，确认无密后，方可公开发布。二、公司下设的部门网站〔包括各院〔系〕、部、处、中心的自办网站以及主页等〕信息发布的保密审查、审批。各主管单位要明确专人负责信息的采集和发布。发布本单位业务、专业内的信息，由本单位主管领导、负责人进展保密审查，审查情况要有文字记载。发布本单位业务、专业以外的信息，按照本规定第四、五条执行。三、公司各级各类论坛、聊天室等交互式网站信息发布的保密审查、审批。主办单位要明确专人负责监管，并在论坛、聊天室等明显位置注明保密要求。论坛、聊天室等网络管理员要对所发布的信息进展实时审查、监控，对敏感信息要及时采取有效的控制措施，确保所发布的信息不涉及国家秘密、工作秘密。四、公司内或通过公司向外传递信息的保密审查、审批。公司各单位利用公司传递本单位业务、专业内的信息，由本单位主管领导、负责人进展保密审查，审查情况要有文字记载。传递本单位业务、专业以外的信息，按照本制度第四、五条执行。第七条对违反本制度，未进展保密审查、审批，擅自在公司及国际互联网上发布、传递，造成或可能造成泄密问题的，依据有关规定给予处分。情节严重，构成重大泄密事件的，送司法机关追究责任。第八条本制度由公司保密委员会办公室负责解释。第九条本制度自发布之日起施行。XXXXXXXXXX公司管理方法第一章总则第一条为加强XXXXXXXXXX公司网络的运行和使用管理，确保网络安全、可靠、稳定地运行,促进我公司网络工作的安康、持续开展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理方法》、《中国教育和科研计算机网管理方法〔试行〕》和国家有关规定，特制定本管理方法。第二条公司是为全校教学、科研和行政管理建立的计算机信息网络，其目的是利用先进实用的计算机技术和网络通信技术，实现校内计算机互联、计算机局域网互联，并通过中国教育和科研计算机网〔CERNET〕与国际互联网络〔INTERNET〕互联，实现信息的快捷沟通和资源共享。其服务对象主要是全校各单位及部门的办公、教学用户、学生、教职工个人用户。第三条但凡使用公司络资源的单位和个人用户必须按本管理方法执行。第二章组织与管理机构第四条公司成立信息化工作领导小组，负责审定公司建设规划、网络运行经费预算及讨论、决定公司管理中的其它重要问题。第五条计算机网络管理中心〔以下简称网管中心〕是公司公司管理的职能部门，负责公司的基础建设、技术管理、日常运行管理和网络开展工作。其主要职责是：1、执行公司审定通过的网络建设和管理的方案和方案。2、负责统一协调公司的主页建设工作，制定加强公司信息化和公司站建设的方案、措施。3、负责相应的网络安全和信息安全工作。4、负责保存网络运行有关记录并承受上一级网络和国家安全机关的监视和检查。5、指导和监视子网建设并使其接入主干网运行，负责二级接入单位和用户的监管、技术咨询等工作。6、负责拟订《公司运行收费管理方法》。第六条公司的建设、管理由公司统一规划、统一领导，实行分级管理、分层负责制。网管中心对公司网络资源〔包括硬件资源和软件信息资源〕进展管理，各院、系、部、处等部门应指定一人为计算机网络信息管理员,负责对自己内部的资源进展管理。第七条各接入单位的自建局域网络，由各单位自行负责建设、运行和管理，并承受网管中心的监管。第三章主干网与接入子网第八条网管中心负责主干网的运行管理、设备管理和开展规划，保证主干网的畅通。第九条需要建设子网的单位应向网管中心提交申请和子网规划，由网管中心审批。未经批准，任何单位和个人不得私自扩大子网和与校外单位连网。否则，网管中心有权加以制止并拒绝其参加公司络第十条子网接入单位职责：1、在网管中心的统一规划和指导下，负责按有关要求和规定对子网进展建设、运行和管理。2、指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进展管理。3、负责和承担下一级接入单位和用户的管理和技术咨询工作。4、负责本级网络相应的网络安全和信息安全工作。5、负责保存本级网络运行的有关记录并承受上一级网络的监视和检查。第四章IP地址管理及用户入网申请第十一条全公司网络用户使用公司均需进展实名认证并使用真实IP。IP地址由网管中心负责统一管理和分配。入网单位和个人应严格使用由网管中心及本单位网络管理员分配的IP地址，不得使用NAT(地址转换)，严禁盗用他人IP地址或私自乱设IP地址。网管中心有权切断经过NAT转换的子网及其它乱设的IP地址入网，并对盗用他人IP地址者予以处分，以保证公司络的正常运行。第十二条计算机无论以何种方式接入公司，均须办理入网手续。未办理入网手续，任何单位和个人不得私自将计算机接入公司。第十三条用户入网须按以下程序办理入网手续单位集体用户〔如公共机房〕入网，应向网管中心提出申请，由网管中心审核通过并签署《公司入网安全协议》，方可入网运行。各系部办公用户、家属院及单身教工用户、学生宿舍用户入网，均需填写公司络用户上网申请表，由网管中心审核并办理相关手续后，方可入网运行。用户要求销户时，须提交书面申请并到网管中心办理销户手续，不允许用户将网络资源私自转让他人使用，否则，由此引发的所有事故责任由原申请注册人承担。网络用户必须遵守《XXXXXXXXXX公司管理方法》和《XXXXXXXXXX公司用户守则》第五章网络运行、维护第十四条公司主干网的日常运行与维护由网管中心负责。各子网接入单位网络的日常运行与维护由接入单位自行负责。第十五条各接入单位应对接入网的网络设备进展管理。如发现与主干网连接不畅，或有异常现象，单位管理人员应马上通知网管中心，协助网管中心查明原因，排除故障。第十六条网管中心应特别注意监视主干网运行情况，实行7×24小时值班制，制定《值班人员岗位职责》，填写公司运行维护值班日志，一旦发现故障，应及时通报有关情况，并尽快解决。第六章网络信息发布第十七条上网信息实行审核登记制度和巡查制度。所有在公司主页上发布的信息必须经过公司党政及宣传部门的审核。第十八条各部门上网信息管理实行“谁上网、谁负责〞。上网信息不得有违反国家法律、法规或侵犯他人知识产权的内容。第十九条需要设立Web服务器、邮件服务器、FTP服务器等公开站点的部门，必须由部门网络管理员向网管中心提出申请，填写相应的申请备案表格，由单位领导签字同意，经主管校领导审核批准前方可设立，同时应指定专人〔教职工〕负责管理。上述站点要承受网管中心的监视。第二十条网管中心负责公司公共信息的建设，承担DNS、FTP、EMAIL、WWW、VOD等服务器的建设、维护和管理，保证公共信息服务器的正常运行。第二十一条在公司上发布的公共信息主要包括行政宣传信息、教学信息、科研信息。公司公共信息的监控由保卫处、宣传部、网管中心共同负责，有害信息的删除由网管中心负责。第七章安全管理第二十二条网管中心和各连入单位必须采取技术和行政手段，确保公司络安全。公司络的安全管理由网管中心具体负责。各接入单位子网由部门网络管理员具体负责。第二十三条入网单位必须指定一名负责人，对本单位网络进展严格管理。同时安排一名网络管理员具体负责网络的安全和信息的安全工作。入网单位和用户必须严格管理分配的网络IP地址和用户帐号。第二十四条公司各级网络信息管理员，负责相应的网络安全和信息安全工作，并定期对网络用户进展有关信息安全和网络安全教育。第二十五条公司工作人员和用户在网络上发现有碍社会治安和不安康的信息有义务及时上报各部门网络管理人员或网管中心。第二十六条各用户不得在公司上进展干扰其他网络用户、破坏网络服务和破坏网络设备的活动。第二十七条各用户在使用网络的过程中要严格遵守《知识产权法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际互联网安全保护管理方法》和其它有关法律、法规的规定。第二十八条各用户应严格遵守《公司入网安全协议》的相关内容。第八章网络运行经费第二十九条所有接入单位和个人都应自觉按时交纳网络使用费。第三十条《公司络运行经费收费方法》由网管中心依照有关规定拟定，经公司信息化工作领导小组讨论通过后执行。第三十一条公司络建设和运行经费的使用和管理承受公司领导和财务处的指导与监视。第九章奖励与惩罚第三十二条公司每年评定公司建设和管理先进单位和个人，依照相关方法给予精神和物质奖励，并与部门年终考核挂钩。第三十三条对于盗用IP地址、盗用他人口令、入侵及破坏网络和计算机系统、违反网络用户行为标准的行为，网管中心将会同公司有关部门共同查处；处分分为警告、停顿帐号、停顿单机上网、停顿子网上网、交由公司有关部门处理；同时视情节轻重予以罚款。触犯国家有关法律者，上报公安机关依法追究责任。第三十四条各级网络设备及所有的信息点属于公司公共财产，任何人不得以任何理由予以撤除和破坏。公司家属楼、单身宿舍及学生宿舍内信息点应作为公司公共财产统一纳入公司后勤办房产管理及学生处宿舍管理的相关制度中。第十章设备管理第三十五条网络中心负责公司内所有网络设备、服务器设备、主干光缆〔除各单位自建子网〕的管理和维护，建立设备档案，及时备份核心、会聚层网络设备和服务器设备的配置文档。第三十六条网络中心每天对核心、会聚层网络设备和服务器设备的使用情况进展监控，定期对楼宇内接入层网络设备进展电路、链路及除尘的常规检查和保养，确保网络设备的正常使用寿命。第三十七条加强网络设备、备品备件、文档资料、分设备间及各级网络机柜钥匙的出入库管理，作好出入库的登记手续。附则第三十八条本规定适用于公司内所有入网部门和个人。第三十九条本规定由网管中心负责解释。第四十条本规定自公布之日起开场实行。系统数据备份与恢复管理制度第一条为了确保系统计算机系统的数据安全，使得在计算机系统失效或数据丧失时，能依靠备份尽快地恢复系统和数据，保护关键应用数据的安全，保证数据不丧失，特制定本制度。第二条拥有重要系统或重要数据的处室应该及时对数据进展备份，防止系统、数据的丧失；涉及数据备份和恢复的处室要由专人负责数据备份工作，并认真填写备份日志。第三条网络服务器数据备份工作，由技术部负责，增量备份每日做，系统备份每周做一次。系统管理员在每周最后一个工作日，将应用服务器的数据库文件做一次异机备份，数据保存一个季度。第四条备份数据应该严格管理，妥善保存；备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。第五条数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进展数据恢复或转入操作。第六条一旦发生数据丧失或数据破坏等情况，要由系统管理员进展备份数据恢复，以免造成不必要的麻烦或更大的损失。〔1〕全盘恢复一般应用在服务器发生意外灾难导致数据丧失、系统崩溃或是有方案的系统升级、系统重组等。〔2〕个别文件数据恢复一般用于恢复受损的个别文件，或者在全盘恢复之后追加增量备份的恢复，以得到最新的备份。第七条办公室必须定期1个月检查一次保存备份数据能否正常使用，需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后，方可刻录光盘。网络信息安全应急预案为保证我公司信息系统安全，加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，确保信息系统和网络的通畅运行，结合实际，特制定本应急预案。一、总则〔一〕工作目标保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全，其中重点维护网络系统、国土资源业务系统、基础数据库服务器及国土资源网站的安全。〔二〕编制依据根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理方法》、《计算机病毒防治管理方法》等相关法规、规定、文件精神，制定本预案。〔三〕基本原则1、预防为主。根据《计算机信息安全管理规定》的要求，建立、健全国土资源计算机信息安全管理制度，有效预防网络与信息安全事故的发生。2、分级负责。按照“谁主管谁负责，谁运营谁负责〞的原则，建立和完善安全责任制。各部门应积极支持和协助应急处置工作。3、果断处置。一旦发生网络与信息安全事故，应迅速反响，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。〔四〕适用范围本预案只适用于XXXXXXXXXX卫星导航信息服务。二、组织体系成立网络与信息安全领导组，为我公司网络与信息安全应急处置的组织协调机构。1．局网络与信息安全应急领导组组长由总经理肖强同志担任，成员由部门负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。2．网络与信息安全应急领导组下设办公室。办公室主任由副总经理焦多瑞同志担任。职责：〔1〕负责和处理局应急领导小组的日常工作，检查催促局应急领导组决定事项的落实。〔2〕负责局网络与信息安全应急预案的管理，指导催促重要信息系统应急预案的修订和完善，检查落实预案执行情况。〔3〕指导全局应对网络与信息安全突发公共事件的预案演习、宣传培训、催促应急保障体系建设。三、预防预警1.信息监测与报告。〔1〕按照“早发现、早报告、早处置〞的原则，加强对各部门有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向应急领导小组报告，初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件开展趋势和采取的措施等。〔2〕建立网络与信息安全报告制度。发现以下情况时应及时向应急领导小组报告：利用网络从事违法犯罪活动的情况；网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丧失等情况；网络恐惧活动的嫌疑情况和预警信息；其他影响网络与信息安全的信息。2.预警处理与发布。〔1〕对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。〔2〕应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进展汇报。四、应急预案〔一〕网站、网页出现非法言论时的应急预案1、网站、网页由负责网站维护的管理员随时监控信息内容。2、发现在网上出现非法信息时，网站管理员立即向信息安全领导小组通报情况，并作好记录。清理非法信息，采取必要的安全防范措施，将网站、网页重新投入使用；情况紧急的，应先及时采取删除等处理措施，再按程序报告。3、网站管理员应妥善保存有关记录、日志或审计记录，将有关情况向安全领导小组汇报，并及时追查非法信息来源。4、事态严重的，立即向信息安全领导组组长报告，并向相关部门进展汇报。〔二〕黑客攻击或软件系统遭破坏性攻击时的应急预案1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。2、当管理员通过入侵监测系统发现有黑客正在进展攻击时，应立即向信息安全领导小组日常应急办公室报告。软件遭破坏性攻击〔包括严重病毒〕时要将系统停顿运行。3、管理员首先要将被攻击〔或病毒感染〕的服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组报告情况。4、日常应急办公室负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。5、事态严重的，立即向信息安全领导组组长报告，并向相关部门进展汇报。〔三〕数据库发生故障时的应急预案1、主要数据库系统应定时进展数据库备份。2、一旦数据库崩溃，管理员应立即进展数据及系统修复，修复困难的，可向相关部门汇报情况，以取得相应的技术支持。3、在此情况下无法修复的，应向信息安全领导组报告，在征得许可的情况下，可立即向软硬件提供商请求支援。4、在取得相应技术支援也无法修复的，应及时向信息安全领导小组组长报告，在征得许可、并可在业务操作弥补的情况下，由日常应急办公室信息安全岗人员利用最近备份的数据进展恢复。〔四〕设备安全发生故障时的应急预案1、小型机、服务器等关键设备损坏后，管理员应立即向日常应急办公室报告。2、日常应急办公室网络安全岗负责人员立即查明原因。3、如果能够自行恢复，应立即用备件替换受损部件。4、如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。5、如果设备一时不能修复，应向信息安全领导小组汇报，并告知各股室，暂缓上传上报数据，直到故障排除设备恢复正常使用。〔五〕内部局域网故障中断时的应急预案1、局办公室平时应准备好网络备用设备，存放在指定的位置。2、局域网中断后，网络安全岗负责人员应立即判断故障节点，查明故障原因，并向日常应急办公室汇报。3、如属线路故障，应重新安装线路。4、如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。5、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。6、如有必要，应向信息安全领导组汇报。〔六〕广域网外部线路中断时的应急预案1、广域网线路中断后，管理员应向信息安全领导组日常应急办公室报告。2、日常应急办公室网络安全岗负责人员接到报告后，应迅速判断故障节点，查明故障原因。3、如属可即时恢复范围，由网络安全组人员立即予以恢复。4、如属电信运营商管辖范围，应立即与电信运营商的维护部门联系，要求尽快修复。5、如果恢复时间预计超过两小时,应立即向信息安全领导小组汇报。经领导小组同意后，应通知各部门暂缓上传上报数据。〔七〕外部电中断后的应急预案1、外部电中断后，值班室应立即向管理员汇报情况。2、如因局内线路故障，由办公室通知维修人员迅速恢复。3、如果是局外部的原因，由办公室立即与供电局联系，请供电局迅速恢复供电；如果供电局告知需长时间停电，应做如下安排：〔1〕预计停电2小时以内，由UPS供电；〔2〕预计停电2-4小时，关掉非关键设备，确保各主机、路由器、交换机供电；〔3〕预计停电超过4小时，白天工作时间关键设备运行，晚上所有设备停机。〔八〕机房发生火灾时的应急预案1、一旦机房发生火灾，应遵循以下原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。2、人员灭火和疏散的程序是：值班人员应首先切断所有电源，同时通过119报警。值班人员戴好防毒面具，从最近的位置取出灭火器进展灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。五、应急响应1.先期处置。〔1〕当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向局应急办公室报告。〔2〕应急办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后，应立即向应急领导小组汇报，并加强与有关方面的联系，并做好启动本预案的各项准备工作。2.应急指挥。预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件开展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。3.应急支援。预案启动后，立即成立由应急领导小组领导带队的应急响应先遣小组，催促、指导和协调处置工作。应急领导小组根据事态的开展和处置工作需要，及时增派专家小组，调动必需的物资、设备，支援应急工作。4.信息处理。〔1〕应对事件进展动态监测、评估，将事件的性质、危害程度和损失情况及处置工作等情况，及时报应急领导小组，不得隐瞒、缓报、谎报。〔2〕应急领导小组要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。5.应急完毕。网络与信息安全突发公共事件经应急处置后，由事发单位向应急领导小组提出应急完毕的建议，经批准后实施。五、后期处置1.善后处理。在应急处置工作完毕后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。2.调查评估。在应急处置工作完毕后，应急领导小组办公室应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进展全面的调查，查清事件发生的原因及财产损失情况，总结经历教训，写出调查评估报告，报应急领导小组，并根据问责制的有关规定，对有关责任人员作出处理。六、保障措施1.数据保障。重要信息系统均应建立备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。2.应急队伍保障。按照一专多能的要求建立网络信息安全应急保障队伍。3.经费保障。落实网络与信息系统突发公共事件应急处置资金。七、监视管理1.宣传教育。要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。2.责任与奖惩。网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务，建立监视检查和奖惩机制。应急领导小组将不定期进展检查，对各项制度、方案、方案、人员等进展实地验证。八、本预案信息化领导小组办公室制定。九、本预案信息化领导小组办公室负责解释。十、本预案自印发之日起实施。机房安全管理制度一、值班制度1．技术值班人员，随时处理网络故障、解决网络问题、保持网络畅通、提高网络的可用性和可靠性水平。2．网络值班可分为现场值班和呼叫〔手机、小灵通等〕值班两种形式：法定工作时间应实行现场值班，定时检查机房服务器、交换机、路由器、光纤收发器等设备运行情况和存在问题；晚上或节假日期间，视网络应用情况，设置现场值班或呼叫值班。3．值班人员应认真填写值班记录。4．值班人员还应注意机房的温度和湿度,使夏季温度在20±5℃，冬季温度20±55．值班人员应每天清理机房卫生，保证机房整洁；严禁在机房内吃食物或存放食物，以防止鼠害。二、网络管理制度1.网络管理员职责网络管理员的职责如下：(1)网络设备管理。为主机房网络设备编号、配置、调试及故障维护。(2)网络服务器运行管理。为主机房服务器编号、安装系统、检查网络服务器运行日志，做好故障维护记录、更新服务器安全补丁，升级计算机杀毒软件，并进展杀毒，安装服务器应用软件，做好网络中心机房的安全工作。(3)网站开发及维护。主页建设、维护及版面更新，负责组织网上信息资源的开发，协助负责各部门主页建设等(4)负责网络安全和保密工作。检查网络服务器安全日志，定期检查中心设备安全(5)参加现代教育技术中心的日常和假期值班。(6)完成领导交办的其它工作2.机房操作规定网管员对机房、网络进展操作时必须经过研究开展部主管领导批准，严禁随意操作、更改机房和网络配置。重大网络操作〔如系统升级、系统更换、数据转储等〕应事先书面提出报告，采取妥善措施系统和数据保护性备份后，经研究开展部领导批准，方可实施操作，并填写操作记录。3.网络检修制度网络检修由网络管理员进展。网络检修分为定期检修和临时检修两种。检修的工程涉及服务器、交换机、集线器、中继器、路由器、防火墙、配线架、网线、UPS电源等公用网络实体。在网络出现异常征兆或故障情况下可进展网络的临时检修。网络的临时检修包括检查、分析、确定故障设备或故障部位，并进展应急维修。4.账号管理制度网络账号采用分组管理。并详细登记：用户姓名、部门名称、账号名及口令、存取权限、开通时间、网络资源分配情况等。用户账号下的数据属各个用户的私人数据，网络管理员具有管理及备份权限，其他人员均无权访问〔账号当事人授权访问情况除外〕。网络管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息、个人隐私等资料泄露出去。5.服务器管理制度在安装服务器〔或修改服务器配置〕时，网管员应提出申请，并对新安装的或修改的服务器硬件、软件情况进展登记，填写“服务器配置登记〔更新〕表〞。“服务器配置登记表〞的内容包括：服务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP地址、支撑软件的配置、应用软件的配置、硬件及软件配置的变更情况等。6.日志文件管理制度每周要检查各个服务器的日志文件，良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。觉察到网络处于被攻击状态后，网络信息管理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，假设对方不听劝告，在保护系统安全的情况下可做善意阻击并向主管领导汇报。保存所有用户访问站点的日志文件，每两个月要对的日志文件进展异地备份,备份日志不得更改，刻录光盘保存。7.保密制度(1)人员选择应对网络工作人员进展综合考察，将技术过硬、责任心强、职业道德好的技术人员安排到网络管理工作岗位。调离人员应立即办理网络工作交接手续，并承担保密义务。(2)责任分散网络安全关键岗位宜实行轮岗制，时间期限视企业情况而定；操作系统管理、数据库系统管理、网络程序设计、网络数据备份等与系统安全和数据安全相关的工作宜由多人承担；涉及网络安全的重要网络操作或实体检修工作应有两人〔或多人〕参与，并通过注册、记录、签字等方式予以证明。(3)出入管理网站机房实行出入控制，工作人员进入网站机房要佩戴工作卡，外来检修人员、外来公务人员等进入网站机房必须由研究开展部工作人员始终陪同。并填写好相应的外来人员检修卡、外来人员参观卡。进入网站机房制止携带与网络操作无关的物品。8.系统安全未经研究开展部领导批准，任何人不得改变网络拓扑构造、网络设备布置、服务器配置和网络参数。任何人不得擅自进入未经许可的网络系统，不得篡改系统信息和用户数据。值班人员应及时监控网络运行状况，对不成功进入、不成功访问、越权存取尝试等进展记录、整理、分析，并提出针对性措施。任何人不得利用计算机技术侵犯用户合法权益；不得制作、复制和传播妨害单位稳定、淫秽色情等有害信息。9.病毒防治任何人不得在网上制造、传播计算机病毒，不得成心输入计算机病毒及其有害数据危害网络安全。网络使用者发现病毒，应立即向网络管理员报告，以便获得及时处理。网络服务器的病毒防治宜由网络管理员负责。网络工作站的病毒防治宜由用户负责，网络管理员可以进展指导和协助。10．器材、配件、软件管理规定机房器材、配件、软件、工具一律不得私自外借，确因工作需要外借时，必须征得研究开展部领导同意。11．电器安全管理规定严禁在机房内私自配接电器；严禁在电线、电缆上悬挂、堆放物品；严禁在UPS电源上私拉乱扯用电器；UPS应妥善保养，每3个月放电一次；严禁在机房内使用或存放易燃、易爆、腐蚀性、挥发性物品；机房门外严禁堆放杂物和易燃、易爆物；严禁在机房内吸烟和乱丢烟。XXXXXXXXXX信息化安全管理方法为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进展公司内部网络信息技术安全整体控制，特制定本标准。2.0适用范围本管理标准适用于XXXXXXXXXX所属系统及网络的信息安全管理及公司内部技术整体的控制。3.0信息安全组织机构及职责：根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，众力北斗通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络局部管信息安全副总经理任副组长，由省公司网络部归口进展职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。3.1.1网络与信息安全工作管理组组长职责：负责公司与相关领导之间的联系，跟踪重大网络信息安全事件的处理过程，并负责与政府相关应急部门联络，汇报情况。3.1.2网络与信息安全工作管理组副组长职责：负责牵头制定网络信息安全相关管理标准，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。3.1.3省网络部信息安全职能管理职责：省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作方案；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进展审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。3.1.4信息安全技术管理职责：技术标准和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进展技术分析。设置信息安全评估审计员，根据及省公司制定的安全审计技术标准和有关技术要求，制定实施细则。牵头对各类网络和系统实施安全技术审计工作，根据SOX要求定期对各类网络和系统帐号、口令设置，操作日志等进展审计及复核，生成审计报告。3.1.5安全监控人员职责：运维中心设置安全监控人员，对全网安全设备进展集中监控；及时发现全网信息安全事件，根据故障管理相关规定进展派单和催促处理；进展安全事件上报。3.1.6各系统维护员职责：各单位分生产系统设置兼职系统安全维护员，负责本系统网络信息安全的技术工作及相关协调工作，贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术标准及文件，根据相关安全技术标准和技术要求，对本系统进展包括安全在内的日常维护。处理本系统网络安全事件，协助分析、处理复杂和重大安全事件。提升系统安全级别，降低安全隐患，减少信息安全事件的发生，保障其安全运行。3.1.7信息安全关键岗位说明：信息安全关键岗位说明：对以下情况的工作岗位，属于信息安全关键岗位掌握业务及支撑系统超级用户权限的岗位〔各系统超级用户管理员，根据SOX要求，由各单位分管领导进展授权〕掌握查看客户信息〔手机终端客户的HLR信息、位置信息、通话纪录、短信、彩信内容等等〕权限的岗位。可能造成严重影响客户感知的岗位〔具有进展用户群发，业务定制等权限的岗位〕掌握各类安全管理系统，如集中账号管理、网络认证接入、日志审计系统情操作行为权限的岗位〔安全管理员〕为加强信息安全关键岗位的管理，对以上岗位的情况要进展梳理备案，对1-3类岗位，由安全审计评估人员定期进展操作审计和确认。对第4类人员，由省网络部定期进展审查和考核。审计要求见《安全审计管理细则》。4.0管理标准4.1管理系统本管理标准适用于众力北斗各业务生产、支撑系统，包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。4.2网络与信息安全基本要求4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养，建立完善的定时定人负责制，有效明确责任，提高维护管理效率。4.2.3网络信息安全管理流程网络信息安全管理包含以下主要流程用户帐号口令管理信息安全监控流程设备入网安全管理流