《xx公司信息系统安全等级保护二级制度编制草案.doc》由会员分享,可在线阅读,更多相关《xx公司信息系统安全等级保护二级制度编制草案.doc(94页珍藏版)》请在三一办公上搜索。
1、xx公司信息系统安全等级保护二级制度汇编xx目录1安全工作的总体方针、政策性文件和安全策略文件42设备管理制度83.审批管理制度114.网络接入管理审批制度125.系统投入运行测试管理制度136.办公环境管理制度147.关键设备操作规程168.机房管理制度199.机房办公环境管理办法2410.网络安全管理制度2511.系统安全管理制度2712.员工离职管理制度3013.系统数据备份与恢复管理制度3314.计算机类设备接入网络管理办法3415.信息系统变更及发布管理制度3816.xx资产安全管理制度4117.信息系统补丁及版本管理制度4218.安全事件报告和处置管理制度4519.系统漏洞扫描系统
2、运行安全管理制度4920.恶意代码防范制度5121.存储介质管理制度5322.xx信息系统权限划分实施细则5423.安全事件定级5724.年度安全培训计划6225.应急预案总体框架6326.xx应急处置方案6727.保密协议书711.安全技能考核记录742.安全教育培训记录753.安全事件处理记录764.补丁安装操作记录(范文)775. 系统补丁更新记录786.操作运维记录797.系统运维记录808.管理制度评审记录819.信息系统会议纪要8210.机房安全检查记录表8311.设备带离机房审批单8412.离职移交手续单8513.培训记录单8614.设备带离机房审批记录8715.设备领用登记表8
3、816.外部人员访问审批单8917.外联授权审批表9018.网络设备及服务器更新记录9119.系统变更申请表9220.系统投入运行申请表9321应急预案培训记录941安全工作的总体方针、政策性文件和安全策略文件第一章 总则第一条 为保障xx业务的正常持续运行,保护信息资产的安全,制定本方针。第二条 本方针旨在为xx的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为xx的信息安全管理工作提供指引与支持。第三条 除非特别说明,本方针的管理对象包括xx拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的xx
4、的所有部门,以及与xx有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他第三方机构或人员。第二章 信息安全方针第四条 信息安全管理委员会是xx最高信息安全管理机构,下设信息安全管理领导小组和信息安全管理工作小组。第五条 信息安全管理领导小组组长由*担任,小组成员由xx信息中心和局领导组成。信息安全管理领导小组定期召开会议,对有关信息安全重大问题做出决策。第六条 信息安全管理工作小组组长由*兼任,小组成员由xx专职人员和各部门信息安全管理员组成。信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和督促检查,并针对信息安全事件建立完善的响应、报告和调查机制。第七条 本
5、方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求,以及xx的有关规定。第八条 xx建立有效的信息安全管理体系,定义信息资产的安全需求,持续进行信息资产的风险评估,建立并完善信息安全保护策略和程序,使xx拥有可控的风险管理架构、方法和保障落实机制,确保xx在不断变化的信息安全风险环境中,始终能够通过科学的方法和持续的改进来增强xx抵抗风险的能力。第九条 xx全体干部职工必须接受必要的信息安全教育与培训,充分理解xx制订的信息安全管理规定,明确在保护xx信息资产安全过程中所应担当的角色和责任。第十条 根据“谁主管,谁负责;谁运行,谁负责”的原则,建立信息安全
6、绩效考核体系。对于违反信息安全规定的部门和个人,将按有关规定进行处理。第三章 信息安全管理原则第十一条 xx的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan:规划”“Do:实施”“Check:检查”“Act:处置”)动态循环管理原则。(一) 治理原则:信息安全管理要符合xx的治理原则。在战略层面上,信息安全决策必须由最了解xx整体目标与价值的权威部门来决定,使信息安全问题得到最高管理层的关注,并进入xx战略层的日常议题;在战术层面上,信息安全实践由国际和国内得到普遍实践与认可的治理标准(如ISO27001、ITIL、COBIT等)来指导。(二)管理与技术并重原则:信息安全不
7、是单纯的技术问题,在采用安全技术和产品的同时,重视采取有效的管理措施,不断积累完善针对实际情况的各类安全管理策略、规章制度,全面提高信息安全管理水平,达到成本效益最优目标。(三)PDCA动态循环管理原则:对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理;在对信息资产的管理上遵循PDCA动态循环管理原则,针对xx内外部业务环境及技术条件的变化情况,进行周期性的风险评估,根据风险状况及时调整信息安全管理策略和方法。第四章 信息安全方针的评审第十二条 信息安全方针需要根据经营环境、业务内容和技术状况的变化情况,进行定期评审(一年一次)或不定期评审(当发生了较大的安全事故或xx经历较大
8、的变革时),并根据实际情况进行修订,以适应当前最新的信息安全需要。第十三条 信息安全方针的变更由信息安全管理委员会、xx各部门提出,由信息安全管理工作小组进行汇总、分析研讨,并负责起草工作,由信息安全管理领导小组审批后发布。第十四条 xx将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。第五章 信息安全方针的执行第十五条 各部门及下属机构负责向所属的干部职工、相关承包方和第三方人员宣传、贯彻和落实执行本方针,信息安全管理工作小组负责督促检查。第十六条 从本单位机房管理的实际情况出发,需将覆盖物理机房,介质管理,网络设备运维,流程审批,培训记录等相关记录表单按照年份存储归
9、档以方便日后查询记录。2设备管理制度为确保xx通信信息处计算机设备管理规范有序,确保单位信息系统和客户端正常可靠地运行,保证日常工作的顺利开展,特制定计算机、服务器、网络设备管理制度。本系统所有的计算机、服务器、网络设备由信息中心统一管理,通过相应采购渠道进来的计算机、服务器、网络设备均应列入单位固定资产帐,并由专人管理,定期登记。本制度的设备是指包括服务器、网络设备等专有设备,以及跟系统相关的计算机客户终端设备。xx相关的各种设备、线路等,指定信息中心专人负责,并对系统指定专人定期维护管理。个人日常办公使用的计算机设备主要有计算机主机(包括机箱内的各种芯片、功能卡、内存、硬盘、软驱、光驱等)
10、、显示器、打印机、外设(键盘、鼠标、音箱、U盘)以及随机资料等。用于个人办公的计算机设备,都将直接分配到个人使用和保管。各人都必须对自己领用的设备负责。领用(退回)任何设备时,必须认真清点并签收(签退)。设备的领用、更新、更换、维护和淘汰采购入库设备由机房管理员到仓库登记领取,统一发放,并登记领用人,并填写设备领用登记表,明确责任人;设备的更新及更换。一是定期对部分需要升级的机器增加新配件(如增加内存)或更新部分配件;二是使用的设备已经到了淘汰的年份而必须更换新设备。设备更新和旧设备淘汰工作根据xx通信信息中心的统一部署按计划分批进行。更换流程:由需求人员填写设备更新及更换申请表,提出目前遇到
11、的困难和所需设备性能要求;信息中心进行技术鉴定;部门负责人签字;信息中心负责人签字;信息中心分析IT设备需求,形成设备调拨或采购方案,如需采购则依照政府采购标准进行统一采购。所有独立IT设备,应按规定在财资处办理固定资产登记,填写设备卡,同时进行备案;对新旧设备按各部门需求情况进行统一调拨。计算机设备的淘汰。如需报废计算机及相关设备,由使用人员填写设备报废鉴定表,经相关部门鉴定无二次利用价值时,转由财资处根据我所相关规定办理设备报废手续。IT设备实行包干管理负责制。每台设备都应有专人负责保管(包括说明书及有关附件),在未特别指定管理人员的设备由操作人员负责管理,并切实负起保管、维护责任。信息中
12、心负责定期检查IT设备使用情况,进行需求分析,制订解决方案。在使用IT设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作。 分配到个人或科室使用的设备,使用者对设备的安全和完整负有责任。各人必须爱护、珍惜分配给自己使用的计算机设备。 各人原则上只能使用自己分配的计算机。非必要时,不能将机器交由他人操作(特别是非本单位人员)。未经当事人同意,不能擅自在他人的计算机上进行任何操作。 未经授权同意,不得擅自操作服务器和网络设备。 所有计算机设备,未经授权同意,不得擅自拆、换任何零件、配件、外设。不论该行为是否已经对设备、网络、数据造成影响,一经发现,将严肃处理。 未经授权同意,不得擅
13、自将私有或外来的零件、配件、设备,加入到系统内部的计算机设备中或网络中,不得擅自安装未经认可、允许的游戏和盗版软件。 如果需要将系统内的计算机设备搬离办公地点(或借给外单位)使用,必须经相关领导负责人同意后才能搬离或借出(必要时将相关数据删除)。 如果人员工作发生本局内调动,原有设备不能满足新的岗位需要,或者实际情况不适合计算机设备跟随调动的,必须预先向信息中心提交申请报告,由部门领导同意后按实际情况处理。 各科室队及本人必须保证自己所用微机的清洁、卫生和安全。由信息中心定期对计算机设备进行全面清查、核对。3.审批管理制度为确保计算机网络(以下简称“内网”)的健康发展和正常运行,规范系统和设备
14、接入内网的行为、为内网用户提供良好的接入服务,保障每个网络使用者安全、正常地运行,根据中华人民共和国计算机信息系统安全保护条例和单位相关管理制度的规定,特制定本管理办法。本办法适用于:本级机构所有需要接入和使用网络的计算机系统及设备;需要接入本级机构网络的合作单位计算机系统及设备;临时造访人员自带的计算机系统及设备。本办法由信息中心统一管理和执行。安全管理员负责对申请接入设备进行安全检查和入网审批,系统管理员负责服务器类系统及补丁的安装和升级,服务支持人员负责桌面系统的安装及升级。4.网络接入管理审批制度系统及设备在接入单位网络前必须接受检查和审核,检查审核通过后方可接入并按规定访问和使用相关
15、网络资源,检查和审核工作由信息中心负责。具体的流程说明如下:需要接入网络的用户提出网络接入申请,填写外连授权审批记录,说明接入设备的类型、接入用途、接入区域、使用环境、使用资源范围和预计终止时间等,并提交主管领导审批。主管领导审批、签字后,提交给信息中心主任做系统安全检查,核实设备和系统的补丁和病毒防护情况是否符合单位要求。如不符合安全要求则由网络处填写审批意见,并视系统类型返回运行管理处或服务支持处安装必要的工具和补丁。安全检查通过后,网络管理员根据用户使用申请审核并分配网络资源,确定用户IP地址和网段,并在网络设备和安全设备上完成相应的设置工作。由于使用需要而需要对被访问的服务器资源进行的
16、配置调整由系统管理员负责。如因工作需要,外部人员(包括设备厂家、系统服务商、合作开发商和分单位人员等)需要接入单位网络,由相应的接口负责人提出网络接入申请,外部人员在离开单位后,需由接口负责人提出取消网络接入申请,外部人员在接入内网的计算机名必须采用实名制。因技术交流或者其他工作原因临时造访的外部人员只能在指定区域(会议室和公共区域)接入网络。用户如果需要延长接入时间则必须重新填写网络接入申请表,申请时间到期后,网络管理员有权调整配置以中止其网络连接。用户终止连接时必须办理用户注销手续,以便信息中心释放用户网络资源。网络接入申请材料在机房柜子存档以备查验。5.系统投入运行测试管理制度对准备投入
17、的信息系统进行系统测试,测试时间按照具体情况,由信息中心和信息办商议决定测试时间,无故障运行一月并填先写系统测试报告。系统测试报告经信息中心检查通过后,填写系统投入运行申请表并上报局领导审批签字通过,方可正式投入运行。罚则网络管理员将密切监测网络,如果发现用户网络异常或用户有违反本办法的使用行为,安全管理员将中断该用户的计算机系统的网络连接,并按本办法的规定进行相应的处理。员工有责任采取积极防范措施,避免自己维护的计算机系统被禁止接入网络。由于禁用网络连接所导致的对单位业务的影响将由员工个人承担。信息中心将定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库软件、远程接入设备管理情况进行检
18、查,发现有违反本规定的接入行为或不按单位相关规定使用网络资源的,将给予通报批评;超过三次以上者将上报单位人力资源管理部门给予警告处分;对于由此造成单位计算机信息系统严重故障或导致单位重大损失的,将视情节严重程度给予严重警告以上处分,并实施相应的经济处罚,触犯国家法律的,则依法移交国家法律部门处理。外部人员(包括设备厂家、系统服务商、合作开发商和分单位人员等)一旦接入单位网络,视同单位员工进行管理,相应的接口负责人对其负领导监督责任,对于其触犯相应规定的行为由相应的接口负责人负责。临时造访人员如果违规接入网络,其行为后果由相应的接待人员负责。6.办公环境管理制度为了提升单位形象,使本单位每位员工
19、由一个优美舒适、整洁有序的办公环境,特制定本规定:爱护办公室环境,保持办公区域、办公桌面的清洁,办公桌面各种资料、工具、文件、配件等均应放置整齐、美观;报刊、书籍阅完后要放到固定的报架上,不得放在桌面或台面上;室内不准堆放杂物,垃圾应及时清理,不准堆积,保持室内网线、电线等线路整齐,不零乱;设备、纸张要摆放整齐,因打印等产生的各种废纸、杂物要放入垃圾筐内,未用完的纸张应放回原处,不得造成浪费;自觉养成良好的卫生习惯,搞好个人卫生,保持服装、头发干净、整洁;员工要珍惜、爱护本部门各种设备,严禁私自转借或出租,因过失造成设备损坏的,要查明原因,并根据造成损坏程度由过失人全部赔偿;注意节约用电、用水
20、,节约用电等,严禁在办公室私自使用大功率电器;办公电话本着节俭效能的原则,严格控制公话私用;员工午餐或长时间离开办公室应将办公用品、相关资料收拾整理好;在指定的就餐处用餐,用完餐后将餐具收拾好,并清理桌面杂物,保持桌面干净,整洁;严禁在上班时间吃带壳有声响的零食,自带零食以及包装不允许长时间放置于办公桌上;办公所有区域不得吸烟,保持室内空气流通。办公室严禁随地吐痰、乱扔烟头、纸屑等。 下班时,应整理干净办公桌上所用物品,座椅置于桌下,所有废弃物品必须投放于垃圾袋中带出,避免过夜杂物发霉产生难闻气味影响办公环境;保洁人员打扫办公环境卫生情况,保证每次打扫办公环境的干净、整洁;每位员工应节约使用打
21、印纸,不得打印与工作无关的内容,非正式文件应正反两面使用。每位员工都应爱护花草等绿色植物,严禁在办公区域的绿色植物花盆内乱倒水、茶叶、赃物等影响植物生长。对带有敏感内容的文档不得随意放置电脑桌面,需放入其他盘符建立文件夹的快捷方式,需对电脑进行屏保设置,恢复时使用密码恢复,建议设置频幕保护时间为10分钟。对外来人员访问时,需在会议室进行接待以及处理相应事件,不得在办公区处理工作,特殊情况除外。工作期间不得做与工作无关的事情,例如打游戏,随意聊天等。7.关键设备操作规程一、设备使用守则1、局里使用人员必须熟悉系统和设备的技术结构、主要功能、主要性能指标和使用方法,严格遵守系统和设备的操作规程。2
22、、各类设备在开机前,必须检查环境条件,电源电压和连接线缆等,符合要求后方可开机。开机必须按规定的顺序和操作规程进行,并待设备稳定后方能进行工作。3、设备如需关机,每次关机前,必须先保存当前运行日志,检查设备的运行状态,按要求顺序关机,并填写操作记录。4、当设备在运行中发生故障时,必须报告相关领导,认真记录故障现象,保护故障现场,请维修人员检查。5、所有设备必须定期进行维护保养,长期不用的库存设备应定期加电检查。二、预防性维护保养守则预防性维护保养是指通过合理选择良好的工作环境,掌握正确的操作使用方法和规程,建立健全各项规章制度,作好日常维护保养以及主动捕捉故障预发现象等措施,来改善系统固有的可
23、靠性指标,减少系统的故障发生率,确保系统的长期可靠运行,提高机器设备的使用寿命。预防性维护保养的主要内容:1、加强机房建设与管理,确保机器运行处于良好的环境中。2、定期(至少在7个工作日内)检查ups系统和电源供电设备。3、建立完整的设备维修档案,每周要调阅各类机器记录进行分析比较,捕捉故障苗头,及时采取措施。4、加强现场观察,捕捉异常现象。从设备启动、停止的现象,正常运行时的噪声,设备上指示灯的状态,以及设备发热程度等方面捕捉可能故障的预发现象。5、做好故障情报工作,审定各种可能发生的故障的处理方案。6、按时更换或调整某些元器件或零部件。7、认真作好日常的例行性维护和测试。三、定期常规维护守
24、则定期常规维护是为保证设备正常运行而定期进行的日常维修保养。1、日常维护的主要工作是:a.开机前检查机器运行的环境条件是否满足要求。b.电源电压是否正常。c.机器设备的开关,连线,插头插座等是否正常,有无错位、松动。d.开机后检查设备的各种指示和运行状况是否正常。e.作好设备清洁工作2、周维护的主要工作是:a.清除设备表面灰尘和机内卫生(每月至少2-3次)。b.检查设备主要性能,发现问题及时解决或通知维修部门解决。c.清理磁盘空间,删除过期文件。d.对个楼配线间进行定期检查并认真填写巡检报表 3、月维护的主要工作有:a.认真检查,机器参数和指标。b.用吸尘器清洁机器表面灰尘。c.对电源,空调系
25、统,接地系统等运行环境进行系统检修。4、年维护的主要工作有:a.清除工作间地板下和走槽里的灰尘,检查线缆的完好性和隔离性,更换老化、变质和绝缘不好的线缆。b.检查机房内的防火,防水,防盗等设施和安全警报装置。c.全面检查电源、空调、接地等系统并进行全面检修。d.对设备的软、硬件性能进行全面测试,调整有关参数,并按上级统一要求进行系统参数的调整。e.校正各种设备仪表等。5 严格按照操作手册进行操作如出现技术问题应及时联系技术工程师进行解决处理四、信息中心关键设备操作流程1、对于防火墙的操作流程,如设备需要断电或重启必须在网络空闲时进行,如午休以及休息日。2、核心交换机、汇聚交换机,楼层交换机的操
26、作流程,所有需要操作都要有相应方案,方案通过领导审批之后,才能进行相关操作。操作过程中如有修改必须做好相应记录。在完成操作之后,需由专人值守,查看网络是否有异常,以便做出相应恢复措施。网络设备操作完成之后最短观察网络现状时间为一天。如设备需要断电,1、首先save配置,然后导出配置。2、输入shoutdown h now关机命令,等待设备关机。3、在指示灯熄灭之后,切断电源。开机则反之。3、安全设备由信息中心工程师集中管理,有专人进行管理。对于安全设备操作可根据网络设备操作流程进行。如防火墙设备操作中在设备管理基本信息选择密码必须符合要求。完成密码修改后重新登录一次查看修改完成之后的密码是否可
27、行4、如果机房发生全面积停电,则将不必要的服务器以及不必要的网络设备做断电处理,以延长重要网络设备和主机的工作时间,如UPS报警只剩5-15分钟则关闭全部服务器与网络设备。5.关于服务器开关使用,远程登录到服务器中。完成操作后需退出。服务器如需断电,window操作系统首先点击开始,然后点击关机。等待系统关闭之后再进行断电。Windows ,Linux系统,1、打开终端管理器。2、输入shoutdown h now。3、在系统关闭之后进行断电处理。 8.机房管理制度一、机房进出入管理1、 严禁非机房工作人员进入机房,特殊情况需经中心值班负责人批准,并填写机房登记表,在机房人员的陪同下方可进入。
28、2、业务系统开发人员、机房内设备检修维护人员须由中心相关人员陪同方可进入工作。3、严禁业务系统开发人员、机房设备维修人员单独进入主机房、网络机房和配电房等核心区域。在核心区域进行操作期间,须由中心相关人员始终陪同。4、进入机房人员应遵守机房管理制度,更换专用工作鞋。5、信息中心人员严禁将门卡(或钥匙)借给无关人员使用。6、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。7、如有第三方人员需进出入机房,必须填写外部人员访问审批单需相关领导签字方可生效进入。二、安全管理(1).环境安全1、机房必须保持安静、整洁,严禁喧哗、会客、吸烟、聚众聊天或玩
29、游戏。2、机房内实际温度应保持在2025之间,相对湿度保持为45%65%。3、配备环境监控系统和远程报警系统的机房,须每天检查系统的运行状况,确保系统正常运行。4、定期做好机房及设备的清洁保养工作,严禁在机房内堆放杂物,存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。严禁将茶杯、饮料、5食品、报纸、杂志等带入机房。设备安装过程中产生的各类包装物应在当日及时清理干净。5、机房配备安全员,专门负责机房的防火、防盗,负责机房供电系统、空调系统、通风系统的安全和日常养护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训,提高安全意识。6、严禁易
30、燃、易爆、易腐蚀品进入机房;严禁将水洒落在机房设备和地板上;严禁踩踏机房电源插座或网线插座;未经许可,非机房工作人员严禁动用各种电源开关,严禁动用任何线路和设备。7、机房用电量严禁超负荷运行,严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。8、定期对机房供电系统及照明器具进行检查,防止因线路开关老化或损坏而短路造成火灾。雷雨季节要加强对机房防雷设备、地线及防护电路的检查。9、机房内一律不得动用明火,要严格控制电烙铁、电焊机等的使用,确需使用时,应经徐处同意并按规定操作。10、机房配备管理员,专门负责机房的防火、防盗,负责机房供电系统、空调系统(并填写空调维护记录)、通风系统的安全和日常养
31、护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训,提高安全意识。11、机房软、硬件相关物品都由信息中心统一管理,且机房物品带入、带出机房必须进行登记。(2).人员操作1、 中心机房的关键数据处理实行双人作业制度;操作人员遵守值班制度,不得擅自脱岗。中心服务器数据库要每天进行双备份,并严格实行备份、专人保管。所有重要文档定期整理装订,专人保管,以备后查。 2、 值班人员应定时对服务器、网络设备、空调、UPS、监控等设备的运行指示灯、CPU、内存、硬盘、应用程序等进行检查,值班人员须认真、如实、详细填写机房日志等各种登记簿,以备后查。3、
32、严格按照每日预制操作流程进行操作,对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行;所有操作变更必须有存档记录。 4、操作人员应遵守相关安全规定使用服务器,完成操作后必须退出相关终端管理器。5、 各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。6、 为确保数据的安全保密,对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。7、安全检查规定 ,每天定时检查温湿度,半月针对所有设备进行安全检查 。三、机房保密管理1、严格遵守
33、通信纪律,增强保密观念,不得随意监测用户通信。增强法制观念,保守通信秘密,不得随意增删、泄漏有关资料。2、未经批准不得擅自抄录、复制机线及设备图纸、电路和网络组织资料、机密文件、软件版本、技术档案、用户资料、内部资料等,或将其携带出机房。3、外部人员进入机房必须遵守机房管理规定和机房安全规定。非经同意, 外来人员不得触摸设备及终端, 不得翻阅图纸资料。4、所有维护和管理人员,均应熟悉并严格执行安全保密规定。各级领导必须经常对维护和管理人员进行安全、保密和消防教育。定期检查安全保密规则的执行情况,发现问题隐患及时处理。5、信息中心负责对用户口令、操作权限的管理,各类设备与系统应设定各级操作权限和
34、口令,操作人员只可使用权限内的操作, 用户账号及口令不可泄露给无关人员。四、消防安全管理(1).消防管理规定1、机房内禁止存放和使用易燃易爆物品,用过的抹布棉纱等物品,用后应随时存放在箱内或放在室外安全地点,不得乱扔。机房内严禁吸烟或携带打火机。未经单位防火负责人同意,机房内不得动用明火;现场必须使用电炉、喷灯时,应做好防火措施。2、机房与工作室的钥匙配发由信息中心管理,任何人不得私自配制或给他人使用。不经批准,外来人员不得进入机房。3、机房内应备有一定数量的灭火器,并指定人员负责定期检查。要协调治安保卫队定期检查防火设施,发现过期失效防火设备,及时上报治安保卫队更换。4、不允许在机房内擅自搭
35、接电源,不得使用超大负荷电器。5、机房附近施工应严格遵守用火规定,并做好防护措施。6、机房内不同种类的测试电源,应使用不同种类的插座,以防插错高低压电源而造成机障和阻断,电源线要符合耐压标准。7、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得主管领导批准。工作人员更应保护消防设备不被破坏。8、机房管理人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领以及灭火器的正确使用方法。9、根据实际情况配备消防设施,对消防设施不准擅自搬动、也不准挪作他用。10、测试电器设备是否通电,只许使用测试仪表,禁止用手接触电器设
36、备的带电部分和用短路等方法进行试验。11、任何人不能随便更改消防系设备位置。如需更改必须取得主管领导的批准。12、应定期消防常识培训、消防设备使用培训。如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。13、最后离开机房的工作人员,应检查消防设备是否完好。(2)机房消防应急预案信息化网络机房是我处网络信息通讯的重要场所。重要仪器、设备相对集中,一旦发生火灾,会造成严重后果 。特制定火警应急预案。1、处置火灾事故的组织:治安保卫队值班人员,机房值班人员;2、报警程序:(1)迅速组织有关人员携带消防器具赶赴现场进行扑救。(2)即刻通知治安保卫队及相关部门,根据火情大小
37、如需报警立即就近用电话或手机报告消防中心(电话119)(3)在处领导领导汇报的同时,派出人员到各路口等待引导消防车辆。3、组织实施:(1)参加人员:在消防车到来之前,以安全消防组织成员为主,其余人员均有义务参加扑救。(2)大楼内的人员听到报警后,应听从现场指挥人员的指挥,从大楼的消防通道内快速脱离火场,不得恋物。(3)迅速组织义务消防队员展开自救,把人员和重要设备疏散到安全地带,应遵循先人后物的原则。(4)消防车到来之后,一切听从消防指挥人员的指挥,筹建处人员配合消防专业人员扑救或做好辅助工作。(5)使用器具:干粉灭火器,七氟丙烷灭火器等气体灭火器。(6)无关人员要远离火场和消防通道,以便于消
38、防车辆驶入。4、注意事项:(1)火灾事故首要的一条是保护人员安全,扑救要在确保人员不受伤害的前提下进行。(2)火灾一发生,管理人员应立即切断电源。9.机房办公环境管理办法机房必须保持安静、整洁,严禁喧哗、会客、吸烟、聚众聊天、玩游戏等。机房内实际温度应保持在2025之间,相对湿度保持为45%65%。配备环境监控系统和远程报警系统的机房,须每天检查系统的运行状况,确保系统正常运行。定期做好机房及设备的清洁保养工作,严禁在机房内堆放杂物,存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。严禁将茶杯、饮料、食品、报纸、杂志等带入机房。设备安装过程中产生的各类包装物应在当日及时清理干净。机房配备安全
39、员,专门负责机房的防火、防盗,负责机房供电系统、空调系统、通风系统的安全和日常养护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训,提高安全意识。严禁易燃、易爆、易腐蚀品进入机房;严禁将水洒落在机房设备和地板上;严禁踩踏机房电源插座或网线插座;未经许可,非机房工作人员严禁动用各种电源开关,严禁动用任何线路和设备。机房用电量严禁超负荷运行,严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。定期对机房供电系统及照明器具进行检查,防止因线路开关老化或损坏而短路造成火灾。雷雨季节要加强对机房防雷设备、地线及防护电路的检查。机房内一律不得动用明
40、火,要严格控制电烙铁、电焊机等的使用,确需使用时,应经信息中心领导同意并按规定操作。10.网络安全管理制度网络结构安全管理对网络设备的口令要加密存储,并在以密文显示,并一月修改一次对网络设备需要配置关闭telnet,划分VLAN区域使用逻辑隔离等安全配置网络物理结构和逻辑结构定期更新,拓扑结构图上应包含IP地址,掩码,网关,端口,网络设备名称,专线供应商名称及联系方式,专线带宽等,并妥善保存,未经许可不得对网络结构进行修改网络结构必须严格保密,禁止泄漏网络结构相关信息网络结构的改变,必须提交更改预案,并经过信息总监的批准方可进行定期每季度对网络设备配置文件进行更新存档,并按照每季查看备份文件是
41、否可用定期邀请第三方检测机构开展内部网络设备安全漏洞扫描工作,并形成书面材料,扫描周期为一年2次。网络访问控制妥善保管现有的网络访问控制列表,其中应包含网络设备及型号,网络设备的管理IP,当前的ACL列表,更新列表的时间,更新的内容等,通过KVM串口登录,口令密文存储显示,按照业务要求进行VLAN划分。定期检查网络访问控制列表与业务需求是否一致,如不一致,申请更新ACL未经许可不得进行ACL相关的任何修改更新ACL时,必须备份原有ACL,以防误操作ACL配置完成以后,必须测试禁止泄漏任何ACL配置网络设备安全妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当
42、前配置清单每月检查设备配置是否与业务需求相符,如有不符,申请更新配置配置网络设备时,必须备份原有配置,以防误操作配置完成之后,必须进行全面测试禁止在网络设备上进行与工作无关的任何测试未经许可不得进行任何配置修改禁止泄漏网络设备配置1网络设备日志保存时间为半年。2网络设备和安全设备在刚架设投入使用时会进行更新,如有需要则进行更新,更新时必须先做好原先的配置备份,在网络空闲的时候进行,并进行测试,测试通过后放能接入生产网络,并填写操作运维记录。3系统内部网络访问外网必须信息中心主任审批通过,并填写外联授权审批记录。IP地址管理妥善保管现有IP地址清单,其中应包含服务器型号,操作系统版本,是否支持远
43、程登录及远程登录方式,IP地址,子网掩码,网关,dns信息实时更新IP地址清单,并制定检查计划,如有多余的IP,及时清理和更新禁止泄漏IP地址清单11.系统安全管理制度为加强xx的网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据中华人民共和国计算机信息系统安全保护条例等有关规定,结合本单位实际,特制订本制度。 第一条 计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第二条 海曙区财政局设立信息安全管理小组,专门负责本单位范围内的计算机信息系统安全管理工
44、作。第三条 遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。第四条 各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。第五条 每个月对网
45、络设备进行安全备份,日志审核,在实行安全配置时候需经过上级同意后进行操作。定期对网络设备的口令进行修改,口令应具有复杂度。第六条 任何人员不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。第七条 网络管理人员禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。第八条 计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。第九条 每个月检查系统安全策略、安全配置。定期对日志进行审核管理,发现问题及时上报。通过审批后进行相关安全操作。第十条 专人负责网络运行日志,网络监控记录、日常维护和报警信息分析和处理等工作。第十一条 由网络管理员每三个月对对象进行扫描,扫描完成后出一份相应的漏洞扫描报告,并记录归档。第十二条 当需要系统接入时,首先要对该接入的新系统进行检查,检查无误后填写网络系统接入审批表并由信息中心相关人员陪同及上级领导同意签字后方可进行相关操作,并对相关操作记录形成系统运维记录。第十三条 系统应遵循最小安装的原则,需将不必要的软件进行卸载,将不需要的系统服务停用。第十四条 系统必须开启日志审计
