内部控制信息系统安全管理制度

内部控制信息系统安全管理制度第一章、总则、3第二章、系统管理人员的职责、3第三章、机房管理制度、4第四章、系统管理员工作细则、4第五章、平安保密管理员工作细则、7第六章、密钥管理员工作细则、9第七章、计算机信息系统应急预案、10第八章、附则、10第一章、总则第1条、根据《中华人民共和国保守国家隐秘法》和有关保密规定,为进一步加强中船信息公司计算机信息系统平安保密管理,并结合顾客单位的实际状况,制订本制度。第2条、计算机信息系统涉及:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,根据一定的应用目的和规章构成的解决涉密信息的人机系统。第3条、涉密计算机信息系统的保密工作坚持乐观防备、突出重点,既确保国家隐秘平安又有助于信息化进展的方针。第4条、涉密计算机信息系统的平安保密工作采用分级呵护与分类管理相结合、行政管理与技术防备相结合、防备外部与控制内部相结合的原则。第5条、涉密计算机信息系统的平安保密管理,坚持“谁使用,谁负责”的原则,同时采用重要领导负责制。第二章、系统管理人员的职责第6条、顾客单位的涉密计算机信息系统的管理由顾客保密单位负责,具体技术工作由中船信息担当,设立下列平安管理岗位:系统管理员、平安保密管理员、密钥管理员。第7条、系统管理员负责信息系统和网络系统的运行维护管理,重要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统拜访权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防备。第8条、平安保密管理员负责网络信息系统的平安保密技术管理,重要职责是:网络信息平安方略管理;网络信息系统平安检查;涉密计算机的平安管理;网络信息系统的平安审计管理;违规外联的监控。第9条、密钥管理员负责密钥的管理,重要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。第10条、对涉密计算机信息系统平安管理人员的管理要遵照“从不单独原则”、“责任簇拥原则”和“最小权限原则”。第11条、新调入或任用涉密岗位的系统管理人员,必需先接受保密教导和网络平安保密学问培训后方可上岗工作。第12条、保密单位负责定时组织系统管理人员举办保密规矩学问的宣扬教导和培训工作。第三章、机房管理制度第13条、出入机房要有记下统计。非机房工作人员不得进入机房。外来人员进机房参观需经保密办同意,并有专人随着。第14条、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威逼的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。第15条、机房内不得使用无线通讯设备,严禁拍照和摄影。第16条、各类技术档案、资料由专人妥当保管并定时检查。第17条、机房内应按规定配备足够量的消防器材,并做到三定(定位寄存、定时检查、定时更换)。加强防火平安学问教导,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,准时报告,并实施平安方法。第18条、机房应保持干净有序,地面清洁。设备要罗列整洁,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得任意打开。第19条、每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好对应统计(见表一)。第20条、机房大门必需随时关闭上锁。机房钥匙由集团公司保密办管理。第21条、机房门禁磁卡(下列简称门禁卡)由信息中央管理。第22条、门禁卡的发放范畴是:系统管理员、平安保密管理员和密钥管理员。第23条、对临时进入机房工作的人员,不再发放门禁卡,在向顾客单位保密部门提出申请得到同意后,由平安保密管理员随着进入机房工作。第24条、门禁卡应妥当保管,不得遗失和互相借用。第25条、门禁卡遗失后,应立刻上报信息中央,同时写出书面阐明。第四章、系统管理员工作细则第一节、系统主机维护管理办法第26条、系统主机由系统管理员负责维护,未经允许任何人不得对系统主机举办操作。第27条、按照系统设计计划和应用系统运行规定举办主机系统安装、调试,建立系统管理员账户,设立管理员密码,建立顾客账户,设立系统方略、顾客拜访权利和资源拜访权限,并按照平安风险最小化原则及运行效率最大化原则配备系统主机。第28条、建立系统设备档案(见表二)、涉及系统主机具体的技术参数,如:品牌、型号、购置日期、序列号、硬件配备信息、软件配备信息、网络配备信息、系统配备信息,妥当保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案举办准时更新。第29条、每七天修改系统主机管理员密码,密码长度不得低于八位,规定有数字、字母并区别大小写。第30条、每七天通过系统性能分析软件对系统主机举办运行性能分析,并做具体统计(见表四),按照分析状况对系统主机举办系统优化,涉及磁盘碎片收拾、系统日志文献清理,系统升级等。第31条、每七天对系统日志、系统方略、系统数据举办备份,做具体统计(见表四)。第32条、每天检查系统主机各硬件设备与否正常运行,并做具体统计(见表五)。第33条、每天检查系统主机各应用服务系统与否运行正常,并做具体统计(见表五)。第34条、每七天下载安装最新版的系统补丁,对系统主机举办升级,做具体统计(见表四)。第35条、每天统计系统主机运行维护日志,对系统主机运行状况举办总结。第36条、在系统主机发生故障时应准时告知顾客,用最短的时光解决故障,确保系统主机尽快正常运行,并对系统故障状况做具体统计(见表六)。第37条、每月对系统主机运行状况举办总结、并写出系统主机运行维护月报,上报保密办。第二节、信息系统运行维护管理办法第38条、信息系统(办公自动化系统和档案管理系统)的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统举办任何操作。第39条、按照信息系统的设计规定及实施细则安装、调试、配备信息系统,建立信息系统管理员账号,设立管理员密码,密码规定由数字和字母构成,区别大小写,密码长度不得低于8位,。第40条、对信息系统的基本配备信息做具体统计,涉及系统配备信息、顾客帐户名称,系统安装名录、数据文献存贮名录,在信息系统配备信息发生转变时准时更新统计(见表三)。第41条、每七天对信息系统系统数据、顾客ID文献、系统日志举办备份,并做具体统计(见表四),备份介质交保密办存档。第42条、当信息系统顾客发生增强、削减、变更时,新建顾客帐户,新建顾客邮箱,需经保密单位审批,并填写系统顾客申请单或系统顾客变更申请单(见表七),审批通过后,由系统管理员举办操作,并做具体统计。第43条、按照顾客需求设立信息系统各功效模块拜访权限,并提交保密办审批。第44条、每天检查信息系统各项应用功效与否运行正常,并做具体统计(见表五)。第45条、在信息系统发生故障时,应准时告知顾客,并用最短的时光解决故障,确保信息系统尽快正常运行,并对系统故障状况做具体统计(见表六)。第46条、每天统计信息系统运行维护日志,对信息系统运行状况举办总结。第47条、每月对信息系统运行维护状况举办总结,并写出信息系统维护月报,并上报保密办。第三节、网络系统运行维护管理办法第48条、网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统举办操作。第49条、按照网络系统设计计划和实施细则安装、调试、配备网络系统,涉及交换机配备、路由器配备,建立管理员账号,设立管理员密码,并关闭全部远程管理端口。第50条、建立系统设备档案(见表二),涉及交换机、路由器的品牌、型号、序列号、购置日期、硬件配备信息,具体统计综合布线系统信息配备表,交换机系统配备,路由器系统配备,网络拓扑机构图,VLAN划分表,并在系统配备发生变更时准时对设备档案举办更新。第51条、每天检查网络系统设备(交换机、路由器)与否正常运行。第52条、每七天对网络系统设备(交换机、路由器)举办清洁。第53条、每七天修改网络系统管理员密码。第54条、每七天检测网络系统性能,涉及数据传输的稳定性、牢固性、传输速率。第55条、网络变更后举办网络系统配备资料备份。第56条、当网络系统发生故障时,应准时告知顾客,并在最短的时光内解决问题,确保网络系统尽快正常运行,并对系统故障状况作具体统计(见表六)。第57条、每月对网络系统运行维护状况举办总结,并作出网络系统运行维护月报。第四节终端电脑运行维护管理办法第58条、终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑举办维护操作。第59条、按照顾客应用需求和平安规定安装、调试电脑主机,安装操作系统、应用软件、杀毒软件、技防软件,。第60条、建立系统设备档案(见表二)、涉及电脑的品牌、型号、购置日期、序列号、硬件配备信息、软件配备信息、网络配备信息、系统配备信息,在电脑主机软硬件信息发生变更时对设备档案举办准时更新。第61条、在电脑主机发生故障时应准时举办解决,备份顾客文献,用最短的时光解决故障,确保电脑主机尽快能够正常运行,并对电脑主机故障状况做具体统计(见表六),涉及存储介质损坏,直接送交保密办解决。第五节网络病毒入侵防备管理办法第62条、网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得举办此项操作。第63条、按照网络系统平安设计规定安装、配备瑞星网络病毒防护系统,涉及服务器端系统配备和客户机端系统配备,启动客户端防病毒系统的实时监控。第64条、每日监测防病毒系统的系统日志,检测与否有病毒入侵、平安隐患等,对所发现的问题举办准时解决,并做具体统计(见表八)。第65条、每七天登陆防病毒公司网站,下载最新的升级文献,对系统举办升级,并作具体统计(见表九)。第66条、每七天对网络系统举办全方面的病毒查杀,对病毒查杀成果做系统分析,并做具体统计(见表十)。第67条、每日扫瞄国家计算机病毒应急解决中央网站,理解最新病毒信息公布状况,准时向顾客公布病毒预警和防止方法。第五章、平安保密管理员工作细则第一节网络信息平安方略管理办法第68条、网络平安方略管理由平安保密管理员专职负责,未经允许任何人不得举办此项操作。第69条、按照网络信息系统的平安设计规定及主机审计系统数据的分析成果,制订、配备、修改、删除主机审计系统的各项管理方略,并做统计(见表十一)。第70条、按照网络信息系统的平安设计规定制订、配备、修改、删除网络平安评定分析系统的各项管理方略,并做统计(见表十一)。第71条、按照网络信息系统的平安设计规定制订、配备、修改、删除入侵检测系统的各项管理方略,并做统计(见表十一)。第72条、按照网络信息系统的平安设计规定制订、配备、修改、删除、内网主机平安监控与审计系统的各项管理方略,并做统计(见表十一)。第73条、每七天对网络信息系统平安管理方略举办数据备份,并作具体统计(见表十二)。第74条、网络信息平安技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机平安监控与审计系统)由网络平安保密管理员统一负责安装和卸载。第二节网络信息系统平安检查管理办法第75条、网络信息系统平安检查由平安保密管理员专职负责执行,未经允许任何人不得举办此项操作。第76条、每天按照入侵检测系统的系统方略检测、审计系统日志,检查与否有网络攻击、异样操作、不正常数据流量等,对异样状况做准时解决,遇有重大平安问题上报保密办,并做具体统计(见表十三)。第77条、每七天登陆入侵检测系统产品网站,下载最新升级文献包,对系统举办更新,并做具体统计(见表十四)。第78条、每月通过漏洞扫描系统对网络系统终端举办平安评定分析,并对扫描成果举办分析,准时对终端系统漏洞及平安隐患举办解决,作具体统计(见表十五),并将平安评定分析报告上报保密办。第79条、每七天登录全评定产品网站,下载最新升级文献包,对系统举办更新,并作具体统计(见表十六)。第80条、每七天备份入侵检测系统和漏洞扫描系统的审计信息,并作具体统计(见表十七)。第三节涉密计算机平安管理办法第81条、涉密计算机平安管理由平安保密管理员专人负责,未经允许任何人不得举办此项操作。第82条、按照网络系统平安设计规定制订、修改、删除涉密计算机平安审计方略,涉及打印控制方略、外设输入输出控制方略、应用程序控制方略,并做统计。第83条、每日对涉密计算机举办平安审计,准时解决平安问题,并做具体统计(见表十八),遇有重大问题上报保密部门。第84条、涉密计算机的新增、变更、裁减需经保密部门审批,审批通过后由平安保密管理员统一举办操作,并做具体统计(见表十八)。第85条、新增涉密计算机联入涉密网络,需经保密办审批,由平安保密管理员统一举办操作,并做具体统计(见表十八)。第四节平安审计管理办法第86条、网络信息平安审计系统由平安保密管理员负责,未经允许任何人不得举办此项操作。第87条、按照网络系统主机平安设计规定安装、配备、管理主机平安审计系统,制订审计规章,涉及系统运行状态、顾客登录信息,网络文献分享操作等。第88条、每日查看平安审计系统信息,对审计成果举办分析收拾,准时解决所发生的设备平安问题,并做具体统计(见表十九)。第89条、每七天备份设备平安审计系统审计信息,并做具体统计(见表二十)。第90条、每月对主机平安审计系统统计信息举办分析总结,并向保密部门提交分析报告。第五节违规联接管理办法第91条、违规外联管理系统(北信源平安补丁管理软件)由平安保密管理员负责,未经允许任何人不得举办此项操作。第92条、按照网络信息系统平安管理规定安装、配备违规外联管理系统方略,涉及联网涉密电脑,单机涉密电脑,便携式涉密电脑。第93条、每日检查违规外联系统审计信息,查看联网涉密电脑与否有违规外联操作。第94条、每月检查单机涉密电脑、便携式电脑与否有违规外联操作。第95条、每三个月协助保密办举办全部涉密电脑巡检,检查与否存在违规外联操作,并做具体统计。第96条、每日通过违规外联系统检查网络系统与否有非法主机联入,并做具体统计。第六章、密钥管理员工作细则第97条、身份认证系统由密钥管理员专人负责,未经允许任何人不得举办此项操作。第98条、每日检查身份认证系统与否正常运行。第99条、负责向顾客单位派发