信息安全管理制度[優(yōu)]

　　在社會一步步向前發(fā)展的今天，我們每個人都可能會接觸到制度，制度是維護公平、公正的有效手段，是我們做事的底線要求。相信很多朋友都對擬定制度感到非�？鄲腊桑�下面是小編為大家整理的信息安全管理制度，供大家參考借鑒，希望可以幫助到有需要的朋友。

信息安全管理制度1

　　一、加強病案保護

　　1、嚴格執(zhí)行借閱、復(fù)制規(guī)定,復(fù)制病歷一律填寫申請單并出示相關(guān)證明或委托人證明方可辦理。

　　2、本院醫(yī)務(wù)人員進行科研教學(xué)一律在病案室閱讀不外借。

　　3、病案管理人員不得擅自開放或擴大病案利用接觸范圍。

　　4、未經(jīng)患者同意,病案不允許他人或組織閱讀。

　　5、監(jiān)督科研人員在臨床醫(yī)學(xué)報告及研究中,未經(jīng)患者本人同意,不得用患者的真實姓名、片對外公開報,也不得作為文學(xué)作品的方式報道。

　　二、加強病案監(jiān)督

　　1、加強病案管理,嚴格按規(guī)定收集、理、檔,防止病案丟失,造成患者隱私的.泄露。同時對病案要進行分類管理,在利用時也應(yīng)區(qū)別對待。

　　2、維護病案安全、實、始性,不允許任何組織、人篡改病案內(nèi)容和外形特征,也不允許任何個人隨意“鑒別”病案。

　　3、加強監(jiān)督管理,由專人負責(zé),明確監(jiān)督職責(zé),規(guī)范依法監(jiān)督的程序和方法,要定期進行檢查,對于違規(guī)行為,要采取及時糾正,并按情節(jié)嚴重程度給予不同的處罰,對給單位或患者造成嚴重損失的要從重處罰,甚至追究其刑事責(zé)任。

信息安全管理制度2

　　第一章 總 則

　　第一條 為加強郵政行業(yè)寄遞服務(wù)用戶個人信息安全管理，保護用戶合法權(quán)益，維護郵政通信與信息安全，促進郵政行業(yè)健康發(fā)展，根據(jù)《中華人民共和國郵政法》、《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的規(guī)定》、《郵政行業(yè)安全監(jiān)督管理辦法》等法律、行政法規(guī)和有關(guān)規(guī)定，制定本規(guī)定。

　　第二條 在中華人民共和國境內(nèi)經(jīng)營和使用寄遞服務(wù)涉及用戶個人信息安全的活動以及相關(guān)監(jiān)督管理工作，適用本規(guī)定。

　　第三條 本規(guī)定所稱寄遞服務(wù)用戶個人信息（以下簡稱寄遞用戶信息），是指用戶在使用寄遞服務(wù)過程中的個人信息，包括寄（收）件人的姓名、地址、身份證件號碼、電話號碼、單位名稱，以及寄遞詳情單號、時間、物品明細等內(nèi)容。

　　第四條 寄遞用戶信息安全監(jiān)督管理堅持安全第一、預(yù)防為主、綜合治理的方針，保障用戶個人信息安全。

　　第五條 國務(wù)院郵政管理部門負責(zé)全國郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。

　　省、自治區(qū)、直轄市郵政管理機構(gòu)負責(zé)本行政區(qū)域內(nèi)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。

　　按照國務(wù)院規(guī)定設(shè)立的省級以下郵政管理機構(gòu)負責(zé)本轄區(qū)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。

　　國務(wù)院郵政管理部門和省、自治區(qū)、直轄市郵政管理機構(gòu)以及省級以下郵政管理機構(gòu)，統(tǒng)稱為郵政管理部門。

　　第六條 郵政管理部門應(yīng)當與有關(guān)部門相互配合，健全寄遞用戶信息安全保障機制，維護寄遞用戶信息安全。

　　第七條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員應(yīng)當遵守國家有關(guān)信息安全管理的規(guī)定及本規(guī)定，防止寄遞用戶信息泄露、丟失。

　　第二章 一般規(guī)定

　　第八條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立健全寄遞用戶信息安全保障制度和措施，明確企業(yè)內(nèi)部各部門、崗位的安全責(zé)任，加強寄遞用戶信息安全管理和安全責(zé)任考核。

　　第九條 以加盟方式經(jīng)營快遞業(yè)務(wù)企業(yè)應(yīng)當在加盟協(xié)議中訂立寄遞用戶信息安全保障條款，明確被加盟人與加盟人的安全責(zé)任。加盟人發(fā)生信息安全事故時，被加盟人應(yīng)當依法承擔相應(yīng)安全管理責(zé)任。

　　第十條 郵政企業(yè)、快遞企業(yè)應(yīng)當與其從業(yè)人員簽訂寄遞用戶信息保密協(xié)議，明確保密義務(wù)和違約責(zé)任。

　　第十一條 郵政企業(yè)、快遞企業(yè)應(yīng)當組織從業(yè)人員進行寄遞用戶信息安全保護相關(guān)知識、技能培訓(xùn)，加強職業(yè)道德教育，不斷提高從業(yè)人員的法制觀念和責(zé)任意識。

　　第十二條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立寄遞用戶信息安全投訴處理機制，公布有效聯(lián)系方式，接受并及時處理有關(guān)投訴。

　　第十三條 郵政企業(yè)、快遞企業(yè)受網(wǎng)絡(luò)購物、電視購物和郵購等經(jīng)營者委托提供寄遞服務(wù)的，在與委托方簽訂協(xié)議時，應(yīng)當訂立寄遞用戶信息安全保障條款，明確信息使用范圍和方式、信息交換安全保護措施、信息泄露責(zé)任劃分等內(nèi)容。

　　第十四條 郵政企業(yè)、快遞企業(yè)委托第三方錄入寄遞用戶信息的，應(yīng)當確認其具有信息安全保障能力，并訂立信息安全保障條款，明確責(zé)任劃分。第三方發(fā)生信息安全事故導(dǎo)致寄遞用戶信息泄露、丟失的，郵政企業(yè)、快遞企業(yè)應(yīng)當依法承擔相應(yīng)責(zé)任。

　　第十五條 未經(jīng)法律明確授權(quán)或者用戶書面同意，郵政企業(yè)、快遞企業(yè)及其從業(yè)人員不得將其掌握的寄遞用戶信息提供給任何單位或者個人。

　　第十六條 公安機關(guān)、國家安全機關(guān)或者檢察機關(guān)的工作人員依照法律規(guī)定程序調(diào)閱、檢查寄遞詳情單實物及電子信息檔案，郵政企業(yè)、快遞企業(yè)應(yīng)當配合，并對有關(guān)情況予以保密。

　　第十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立寄遞用戶信息安全應(yīng)急處置機制。對于突發(fā)的寄遞用戶信息安全事故，應(yīng)當立即采取補救措施，按照規(guī)定報告郵政管理部門，并配合郵政管理部門和相關(guān)部門的調(diào)查處理工作，不得遲報、漏報、謊報、瞞報。

　　第三章 寄遞詳情單實物信息安全管理

　　第十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強寄遞詳情單管理，對空白寄遞詳情單發(fā)放情況進行登記，對號段進行全程跟蹤，形成跟蹤記錄。

　　第十九條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強營業(yè)場所、處理場所管理，嚴禁無關(guān)人員進出郵件（快件）處理、存放場地，嚴禁無關(guān)人員接觸、翻閱郵件（快件），防止寄遞詳情單實物信息（以下簡稱實物信息）在處理過程中泄露。

　　第二十條 郵政企業(yè)、快遞企業(yè)應(yīng)當優(yōu)化寄遞處理流程，減少接觸實物信息的處理環(huán)節(jié)和操作人員。

　　第二十一條 郵政企業(yè)、快遞企業(yè)應(yīng)當采用有效技術(shù)手段，防止實物信息在寄遞過程中泄露。

　　第二十二條 郵政企業(yè)、快遞企業(yè)應(yīng)當配備符合國家標準的安全監(jiān)控設(shè)備，安排具有專門技術(shù)和技能的人員，對收寄、分揀、運輸、投遞等環(huán)節(jié)的'實物信息處理進行安全監(jiān)控。

　　第二十三條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立健全寄遞詳情單實物檔案管理制度，實行集中封閉管理，確定集中存放地，及時回收寄遞詳情單妥善保管。設(shè)立、變更集中存放地，應(yīng)當及時報告所在地郵政管理部門。

　　第二十四條 郵政企業(yè)、快遞企業(yè)應(yīng)當對寄遞詳情單實物檔案集中存放地設(shè)專人管理，采取必要的安全防護措施，確保存儲安全。

　　第二十五條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立并嚴格執(zhí)行寄遞詳情單實物檔案查詢管理制度。內(nèi)部人員因工作需要查閱檔案時，應(yīng)當確保檔案完整無損，并做好查閱登記，不得私自攜帶離開存放地。

　　第二十六條 寄遞詳情單實物檔案應(yīng)當按照國家相關(guān)標準規(guī)定的期限保存。保存期滿后，由企業(yè)進行集中銷毀，做好銷毀記錄，嚴禁丟棄或者販賣。

　　第二十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當對實物信息安全保障情況進行定期自查，記錄自查情況，及時消除自查中發(fā)現(xiàn)的信息安全隱患。

　　第四章 寄遞詳情單電子信息安全管理

　　第二十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當按照國家規(guī)定，加強寄遞服務(wù)用戶信息相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施的安全管理。

　　第二十九條 郵政企業(yè)、快遞企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)應(yīng)當符合國家信息安全管理規(guī)定，合理劃分安全區(qū)域，實現(xiàn)各安全區(qū)域之間有效隔離，并具有防范、監(jiān)控和阻斷來自內(nèi)部和外部網(wǎng)絡(luò)攻擊破壞的能力。

　　第三十條 郵政企業(yè)、快遞企業(yè)應(yīng)當配備必要的防病毒軟件、硬件，確保信息系統(tǒng)和網(wǎng)絡(luò)具有防范計算機病毒的能力，防止惡意代碼破壞信息系統(tǒng)和網(wǎng)絡(luò)，避免信息泄露或者被篡改。

　　第三十一條 郵政企業(yè)、快遞企業(yè)構(gòu)建信息系統(tǒng)和網(wǎng)絡(luò)，應(yīng)當避免使用信息系統(tǒng)和網(wǎng)絡(luò)供應(yīng)商提供的默認密碼、安全參數(shù)，并對通過開放公共網(wǎng)絡(luò)傳輸?shù)募倪f用戶信息采取加密措施，嚴格審查并監(jiān)控對信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的遠程訪問。

　　第三十二條 郵政企業(yè)、快遞企業(yè)在采購計算機軟件、硬件產(chǎn)品或者技術(shù)服務(wù)時，應(yīng)當與供應(yīng)商簽訂保密協(xié)議，明確其安全責(zé)任，以及在發(fā)生信息安全事件時配合郵政管理部門和相關(guān)部門調(diào)查的義務(wù)。

　　第三十三條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立信息系統(tǒng)安全內(nèi)部審計制度，定期開展內(nèi)部審計，對發(fā)現(xiàn)的問題及時整改。

　　第三十四條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強信息系統(tǒng)及網(wǎng)絡(luò)的權(quán)限管理，基于權(quán)限最小化和權(quán)限分離原則，向從業(yè)人員分配滿足工作需要的最小操作權(quán)限和可訪問的最小信息范圍。

　　郵政企業(yè)、快遞企業(yè)應(yīng)當加強對信息系統(tǒng)和數(shù)據(jù)庫的管理，使網(wǎng)絡(luò)管理人員僅具有進行信息系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)運行維護和優(yōu)化的權(quán)限。網(wǎng)絡(luò)管理人員的維護操作須經(jīng)安全管理員授權(quán)，并受到安全審計員的監(jiān)控和審計。

　　第三十五條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強信息系統(tǒng)密碼管理，使用高安全級別密碼策略，定期更換密碼，禁止將密碼透露給無關(guān)人員。

　　第三十六條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強寄遞用戶電子信息的存儲安全管理，包括：

　�。ㄒ唬┦褂锚毩⑽锢韰^(qū)域存儲寄遞用戶信息，禁止非授權(quán)人員進出該區(qū)域；

　�。ǘ�）采用加密方式存儲寄遞用戶信息；

　�。ㄈ�）確保安全使用、保管和處置存有寄遞用戶信息的計算機、移動設(shè)備和移動存儲介質(zhì)。明確管理數(shù)據(jù)存儲設(shè)備、介質(zhì)的負責(zé)人，建立設(shè)備、介質(zhì)使用和借用登記制度，限制設(shè)備輸出接口的使用。存儲設(shè)備和介質(zhì)報廢的，應(yīng)當及時刪除其中的寄遞用戶信息數(shù)據(jù)，并銷毀硬件。

　　第三十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強寄遞用戶信息的應(yīng)用安全管理，對所有批量導(dǎo)出、復(fù)制、銷毀用戶個人信息的操作進行審查，并采取防泄密措施，同時記錄進行操作的人員、時間、地點和事項，留作信息安全審計依據(jù)。

　　第三十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強對離崗人員的信息安全審計，及時刪除或者禁用離崗人員系統(tǒng)賬戶。

　　第三十九條 郵政企業(yè)、快遞企業(yè)應(yīng)當制定本企業(yè)與市場相關(guān)主體的信息系統(tǒng)安全互聯(lián)技術(shù)規(guī)則，對存儲寄遞服務(wù)信息的信息系統(tǒng)實行接入審查，定期進行安全風(fēng)險評估。

　　第五章 監(jiān)督管理

　　第四十條 郵政管理部門依法履行下列職責(zé)：

　�。ㄒ唬┲贫ūＵ霞倪f用戶信息安全的政策、制度和相關(guān)標準，并監(jiān)督實施；

　　（二）監(jiān)督、指導(dǎo)郵政企業(yè)、快遞企業(yè)落實信息安全責(zé)任制，督促企業(yè)加強寄遞用戶信息安全管理；

　�。ㄈ�）對寄遞用戶信息安全進行監(jiān)測、預(yù)警和應(yīng)急管理；

　　（四）監(jiān)督、指導(dǎo)郵政企業(yè)、快遞企業(yè)開展寄遞用戶信息安全宣傳教育和培訓(xùn)；

　�。ㄎ澹┮婪▽︵]政企業(yè)、快遞企業(yè)實施寄遞用戶信息安全監(jiān)督檢查；

　�。�六）組織調(diào)查或者參與調(diào)查寄遞用戶信息安全事故，依法查處違反寄遞用戶信息安全管理規(guī)定的行為；

　�。ㄆ撸┓�律、行政法規(guī)和規(guī)章規(guī)定的其他職責(zé)。

　　第四十一條 郵政管理部門應(yīng)當加強郵政行業(yè)寄遞用戶信息安全管理制度和知識的宣傳，強化郵政企業(yè)、快遞企業(yè)及其從業(yè)人員的信息安全管理意識，提高用戶對個人信息安全保護的認識。

　　第四十二條 郵政管理部門應(yīng)當加強郵政行業(yè)寄遞用戶信息安全運行的監(jiān)測預(yù)警，建立信息管理體系，收集、分析與信息安全有關(guān)的各類信息。

　　下級郵政管理部門應(yīng)當及時向上一級郵政管理部門報告郵政行業(yè)寄遞用戶信息安全情況，并根據(jù)需要通報工業(yè)和信息化、通信管理、公安、國家安全、商務(wù)和工商行政管理等相關(guān)部門。

　　第四十三條 郵政管理部門應(yīng)當對郵政企業(yè)、快遞企業(yè)建立和執(zhí)行寄遞用戶信息安全管理制度，規(guī)范從業(yè)人員信息安全保護行為，防范信息安全風(fēng)險等情況進行檢查。

　　第四十四條 郵政管理部門發(fā)現(xiàn)郵政企業(yè)、快遞企業(yè)存在違反寄遞用戶信息安全管理規(guī)定，妨害或者可能妨害寄遞用戶信息安全的，應(yīng)當依法進行調(diào)查處理。違法行為涉及其他部門管理職權(quán)的，郵政管理部門應(yīng)當會同有關(guān)部門對涉案郵政企業(yè)、快遞企業(yè)進行調(diào)查處理。

　　第四十五條 郵政管理部門應(yīng)當加強對郵政企業(yè)、快遞企業(yè)及其從業(yè)人員遵守本規(guī)定情況的監(jiān)督檢查。

　　第四十六條 郵政企業(yè)、快遞企業(yè)拒不配合寄遞用戶信息安全監(jiān)督檢查的，依照《中華人民共和國郵政法》第七十七條的規(guī)定予以處罰。

　　第四十七條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員因泄露寄遞用戶信息對用戶造成損失的，應(yīng)當依法予以賠償。

　　第四十八條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員違法提供寄遞用戶信息，尚未構(gòu)成犯罪的，依照《中華人民共和國郵政法》第七十六條的規(guī)定予以處罰。構(gòu)成犯罪的，移送司法機關(guān)追究刑事責(zé)任。

　　第四十九條 任何單位和個人有權(quán)向郵政管理部門舉報違反本規(guī)定的行為。郵政管理部門接到舉報后，應(yīng)當依法及時處理。

　　第五十條 郵政管理部門可以在行業(yè)內(nèi)通報郵政企業(yè)、快遞企業(yè)違反寄遞用戶信息安全管理規(guī)定行為、信息安全事件，以及對有關(guān)責(zé)任人員進行處理的情況。必要時可以向社會公布上述信息，但涉及國家秘密、商業(yè)秘密和個人隱私的除外。

　　第五十一條 郵政管理部門及其工作人員對在履行職責(zé)過程中知悉的寄遞用戶信息應(yīng)當保密，不得泄露、篡改或者損毀，不得出售或者非法向他人提供。

　　第五十二條 郵政管理部門工作人員在寄遞用戶信息安全監(jiān)督管理工作中濫用、玩忽職守，依照《郵政行業(yè)安全監(jiān)督管理辦法》第五十五條的規(guī)定予以處理。

　　第六章 附 則

　　第五十三條 本規(guī)定自發(fā)布之日起施行。

信息安全管理制度3

　　一、計算機設(shè)備管理系統(tǒng)

　　1、計算機的用戶部門應(yīng)保持清潔、安全、計算機設(shè)備的良好工作環(huán)境。禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等危害計算機設(shè)備安全的物品。

　　2、當本單位非技術(shù)人員對本單位設(shè)備進行維護時、系統(tǒng)等。、維護，本單位相關(guān)技術(shù)人員必須在現(xiàn)場監(jiān)督全過程。

　　計算機設(shè)備在送去修理之前必須得到有關(guān)部門負責(zé)人的批準。

　　3、嚴格遵守安全操作規(guī)程和正確的使用方法，如計算機設(shè)備使用、啟動、關(guān)機。

　　任何人不得用電插撥計算機外部設(shè)備的接口。如果計算機出現(xiàn)故障，應(yīng)及時向計算機責(zé)任部門報告。未經(jīng)許可不得擅自處理或從其他單位找技術(shù)人員進行維護和操作。

　　二 、操作員安全管理系統(tǒng)

　　(1)操作代碼是進入各種業(yè)務(wù)操作應(yīng)用系統(tǒng)的代碼、數(shù)據(jù)訪問的分級控制。

　　操作代碼分為系統(tǒng)管理代碼和一般操作代碼。

　　代碼是根據(jù)不同應(yīng)用系統(tǒng)和工作職責(zé)的要求設(shè)置的。

　　(2)系統(tǒng)管理操作代碼的設(shè)置和管理

　　1、系統(tǒng)管理操作代碼必須由管理層授權(quán)。

　　2、系統(tǒng)管理員負責(zé)各種應(yīng)用系統(tǒng)的環(huán)境生成、維護、通用操作代碼的.生成和維護、故障恢復(fù)的管理和維護等。

　　3、系統(tǒng)管理員必須獲得其上級對業(yè)務(wù)系統(tǒng)數(shù)據(jù)整理的授權(quán)、故障恢復(fù)和其他操作；

　　4、系統(tǒng)管理員不得使用他人的操作碼進行業(yè)務(wù)操作；

　　5、系統(tǒng)管理員調(diào)離崗位。上級管理員(或相關(guān)責(zé)任人)應(yīng)及時取消其代碼并生成新的系統(tǒng)管理員代碼。

　　(3)通用操作代碼的設(shè)置和管理

　　1、一般操作代碼由系統(tǒng)管理員根據(jù)各種應(yīng)用系統(tǒng)的操作要求生成，每個用戶設(shè)置一個代碼。

　　2、經(jīng)營者不得將他人代碼用于經(jīng)營活動。

　　3、操作員調(diào)離崗位。系統(tǒng)管理員應(yīng)取消他的代碼，并及時生成新的操作員代碼。

　　三、密碼和權(quán)限管理系統(tǒng)

　　1、密碼設(shè)置應(yīng)該具有安全性、保密性，并且不能使用簡單的代碼和標簽。

　　密碼是保護系統(tǒng)和數(shù)據(jù)安全以及保護用戶自身權(quán)益的控制代碼。

　　密碼分為用戶密碼和操作密碼，用戶密碼是登錄系統(tǒng)時設(shè)置的密碼，操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼。

　　密碼設(shè)置不應(yīng)是容易猜到的數(shù)字和字符串，如名稱、生日，重復(fù)、序列、常規(guī)數(shù)字；

　　2、密碼應(yīng)每隔不超過一個月定期修改一次。如果發(fā)現(xiàn)或懷疑密碼丟失或泄露，應(yīng)立即修改，并將用戶名、修改時間、修改等內(nèi)容記錄在相應(yīng)的寄存器中。

　　3、服務(wù)器、路由器等重要設(shè)備超級用戶的密碼被/操作機構(gòu)否定

信息安全管理制度4

　　一、引言

　　隨著信息技術(shù)的高速發(fā)展和廣泛應(yīng)用，企業(yè)面臨越來越多的信息安全風(fēng)險。信息安全管理制度是保障企業(yè)信息安全的基礎(chǔ)性工作，對于確保企業(yè)信息資產(chǎn)的機密性、完整性和可用性至關(guān)重要。本文旨在提出一套完善的信息安全管理制度，確保企業(yè)在各個方面都能夠有效地保護信息安全。

　　二、信息安全政策制定

　　1. 信息安全政策的目標與原則

　�。�1）確保信息安全：信息安全政策的最終目標是為了保護企業(yè)的核心信息資產(chǎn)，確保其機密性、完整性和可用性。

　　（2）全員參與：信息安全是全員責(zé)任，每個員工都要對企業(yè)信息安全負責(zé)。

　�。�3）合規(guī)要求：信息安全政策要與國家法律法規(guī)以及相關(guān)行業(yè)標準相一致，并能滿足監(jiān)管機構(gòu)的審計要求。

　　2. 信息安全政策的制定流程

　�。�1）需求調(diào)研：對企業(yè)現(xiàn)有信息安全狀況進行調(diào)研，分析需求和問題。

　�。�2）制定草案：根據(jù)調(diào)研結(jié)果和需求分析，制定信息安全政策草案。

　　（3）征求意見：將信息安全政策草案發(fā)送給內(nèi)部各部門和相關(guān)人員，征求意見。

　　（4）修訂和定稿：根據(jù)意見修訂、完善信息安全政策，最終確定。

　　三、信息安全組織架構(gòu)與職責(zé)劃分

　　1. 信息安全部門設(shè)立

　　（1）信息安全部門的`職責(zé)：負責(zé)組織和協(xié)調(diào)企業(yè)的信息安全管理工作，負責(zé)信息安全政策制定和執(zhí)行，做好信息安全風(fēng)險評估和應(yīng)對工作。

　�。�2）人員配備：信息安全部門應(yīng)配備專業(yè)人員，包括信息安全經(jīng)理、信息安全管理員、信息安全技術(shù)專家等。

　　2. 職責(zé)劃分

　�。�1）信息安全經(jīng)理：負責(zé)信息安全政策的制定和管理、安全事件的響應(yīng)與處置。

　　（2）信息安全管理員：負責(zé)信息系統(tǒng)的安全運維和管理。

　�。�3）信息安全技術(shù)專家：負責(zé)信息安全技術(shù)方案的設(shè)計和實施。

　　四、信息安全管理流程

　　1. 風(fēng)險評估與管理

　�。�1）風(fēng)險評估的重要性：對企業(yè)現(xiàn)有信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)流程進行風(fēng)險評估，及時發(fā)現(xiàn)潛在的信息安全風(fēng)險。

　�。�2）風(fēng)險評估的步驟：制定風(fēng)險評估計劃、進行風(fēng)險識別和分析、制定風(fēng)險評估報告。

　　2. 安全事件的監(jiān)測與響應(yīng)

　�。�1）安全事件的監(jiān)測：建立監(jiān)測系統(tǒng)，實時監(jiān)測和分析網(wǎng)絡(luò)流量和日志，發(fā)現(xiàn)異常則及時進行響應(yīng)。

　�。�2）安全事件的響應(yīng)：及時采取相應(yīng)措施，恢復(fù)業(yè)務(wù)、調(diào)查事件原因、修復(fù)漏洞和防范措施。

　　3. 安全培訓(xùn)與意識提升

　�。�1）培訓(xùn)計劃的制定：制定信息安全培訓(xùn)計劃，包括定期培訓(xùn)和專項培訓(xùn)。

　�。�2）員工安全意識：提高員工的信息安全意識，加強對社交工程和釣魚等攻擊的防范意識，保護企業(yè)信息資產(chǎn)。

　　五、信息安全管理制度的執(zhí)行與監(jiān)控

　　1. 信息安全檢查

　　（1）定期檢查：定期對企業(yè)的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)流程進行安全檢查，發(fā)現(xiàn)問題及時解決。

　�。�2）隨機抽查：對特定的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)流程進行隨機抽查，發(fā)現(xiàn)問題則進行糾正和改進。

　　2. 審計與審查

　�。�1）內(nèi)部審計：定期進行內(nèi)部審計，評估信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備的安全性和合規(guī)性。

　�。�2）外部審查：委托第三方機構(gòu)進行外部審查，評估企業(yè)信息安全管理制度的有效性和合規(guī)性。

　　3. 事件記錄與報告

　　（1）事件記錄：對所有的安全事件進行記錄，包括事件的發(fā)生時間、類型、等級和后續(xù)處理情況。

　�。�2）報告：定期向上級領(lǐng)導(dǎo)和相關(guān)部門報告信息安全事件的統(tǒng)計情況，并提出改進措施。 六、信息安全管理制度的改進

　　1. 改進機制

　�。�1）內(nèi)部反饋：鼓勵員工提出改進建議和意見，并及時反饋。

　�。�2）持續(xù)改進：對信息安全管理制度進行持續(xù)改進和優(yōu)化，及時調(diào)整和修訂。

　　2. 績效評估與考核

　�。�1）績效評估：對信息安全管理的執(zhí)行情況進行定期評估，形成評估報告。

　�。�2）考核獎懲：根據(jù)評估結(jié)果，對信息安全管理執(zhí)行情況進行獎懲，激勵和約束。

　　七、總結(jié)

　　信息安全管理制度是企業(yè)保護信息資產(chǎn)的重要手段，對于確保企業(yè)信息安全至關(guān)重要。本文提出了一套完善的信息安全管理制度需求，涵蓋了信息安全政策制定、信息安全組織架構(gòu)、信息安全管理流程、信息安全管理制度的執(zhí)行與監(jiān)控等方面，希望可以對企業(yè)信息安全工作的開展提供參考。同時也需要企業(yè)根據(jù)自身的實際情況進行適度調(diào)整和完善，確保制度的可行性和有效性。

信息安全管理制度5

　　1.引言

　　本文檔旨在確保辦公網(wǎng)絡(luò)信息的安全，并提供相關(guān)措施以保護辦公網(wǎng)絡(luò)免受潛在的安全威脅。辦公網(wǎng)絡(luò)是公司內(nèi)部傳輸和存儲敏感信息的關(guān)鍵基礎(chǔ)設(shè)施，因此必須采取適當?shù)陌踩�措施來保護其完整性、可用性和保密性。本文檔規(guī)定了辦公網(wǎng)絡(luò)信息安全管理制度，包括政策、責(zé)任和控制措施，旨在確保辦公網(wǎng)絡(luò)的安全運行。

　　2.辦公網(wǎng)絡(luò)信息安全政策

　　辦公網(wǎng)絡(luò)的信息安全政策是確保辦公網(wǎng)絡(luò)信息安全的基本準則。以下是辦公網(wǎng)絡(luò)信息安全的核心政策：

　　2.1安全意識培訓(xùn)

　　所有使用辦公網(wǎng)絡(luò)的員工都應(yīng)接受定期的安全意識培訓(xùn)，了解關(guān)于網(wǎng)絡(luò)安全的基本知識、威脅和預(yù)防措施。此外，他們還應(yīng)接受關(guān)于密碼管理、網(wǎng)絡(luò)釣魚和惡意軟件等方面的培訓(xùn)，以提高他們對潛在威脅的識別能力。

　　2.2訪問權(quán)限管理

　　根據(jù)員工的職責(zé)和需要，給予適當?shù)脑L問權(quán)限。訪問權(quán)限必須根據(jù)需要進行審查和更新，并進行記錄，以確保只有授權(quán)人員能夠訪問和使用特定的信息資源。

　　2.3密碼策略

　　確定密碼策略以確保使用者密碼的復(fù)雜性和安全性。要求員工定期更改密碼，并禁止共享密碼或使用弱密碼。系統(tǒng)還應(yīng)該實施賬號鎖定功能，以防止對賬號的暴力破解。

　　2.4更新和補丁管理

　　確保辦公網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用程序和安全工具始終處于最新的版本，以修復(fù)已知的安全漏洞。所有軟件應(yīng)定期進行更新和安全補丁，并記錄在案。

　　2.5備份和恢復(fù)

　　定期對辦公網(wǎng)絡(luò)進行備份，并測試恢復(fù)過程，以確保備份的完整性和有效性。備份數(shù)據(jù)應(yīng)存儲在安全的地方，以防止意外的數(shù)據(jù)丟失。

　　2.6安全審計與監(jiān)控

　　建立安全審計和監(jiān)控機制，以便能夠檢測到潛在的安全風(fēng)險和威脅，并及時采取適當?shù)拇胧┻M行應(yīng)對。

　　3.辦公網(wǎng)絡(luò)信息安全的責(zé)任

　　辦公網(wǎng)絡(luò)信息安全的責(zé)任由不同的角色和職務(wù)承擔。以下是各個角色的安全責(zé)任：

　　3.1管理層

　　管理層應(yīng)確保提供必要的資源和支持，以執(zhí)行和維護辦公網(wǎng)絡(luò)信息安全管理制度。他們應(yīng)促進安全意識培訓(xùn)并監(jiān)督整體安全方案的執(zhí)行。

　　3.2 IT部門

　　IT部門應(yīng)負責(zé)辦公網(wǎng)絡(luò)的安全管理和運維工作，包括網(wǎng)絡(luò)設(shè)備的配置和維護、安全補丁的安裝、防病毒軟件的管理等。

　　3.3員工

　　所有使用辦公網(wǎng)絡(luò)的員工都有責(zé)任遵守相關(guān)的安全政策和規(guī)范，包括安全密碼的使用、防范網(wǎng)絡(luò)釣魚攻擊和惡意軟件的下載等。

　　4.辦公網(wǎng)絡(luò)信息安全控制措施

　　為了保護辦公網(wǎng)絡(luò)的`安全，以下控制措施應(yīng)被實施和維護：

　　4.1防火墻配置

　　通過配置防火墻規(guī)則，限制對辦公網(wǎng)絡(luò)的非授權(quán)訪問。防火墻應(yīng)定期審計和更新，以適應(yīng)不斷變化的安全需求。

　　4.2 網(wǎng)絡(luò)監(jiān)控與入侵檢測

　　部署網(wǎng)絡(luò)監(jiān)控工具，并實施入侵檢測系統(tǒng)，以及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異�；顒印１O(jiān)控和檢測結(jié)果應(yīng)定期審查并分析。

　　4.3權(quán)限管理與訪問控制

　　根據(jù)員工的職責(zé)和需要，分配適當?shù)脑L問權(quán)限，并確保權(quán)限的及時更新和審計。同時，配置文件和文件夾的權(quán)限，以確保只有授權(quán)人員才能訪問相關(guān)的敏感信息。

　　4.4安全補丁管理

　　確保及時安裝操作系統(tǒng)和應(yīng)用程序的安全補丁，以修復(fù)已知的安全漏洞，并減少潛在的攻擊風(fēng)險。

　　4.5強制密碼策略

　　實施強制的密碼策略，要求員工定期更改密碼，并采用復(fù)雜的密碼。此外，系統(tǒng)應(yīng)限制嘗試登錄次數(shù)，并要求使用多因素身份驗證。

　　4.6數(shù)據(jù)備份與恢復(fù)

　　定期對辦公網(wǎng)絡(luò)的重要數(shù)據(jù)進行備份，并測試恢復(fù)過程，以確保備份的準確性和完整性。備份數(shù)據(jù)應(yīng)存儲在安全的地方，以防止數(shù)據(jù)丟失。

　　5. 總結(jié)

　　辦公網(wǎng)絡(luò)信息安全是企業(yè)保護敏感信息和保護業(yè)務(wù)連續(xù)性的重要組成部分。本文檔提供了一系列的安全措施和政策，旨在確保辦公網(wǎng)絡(luò)的安全運行。每個員工都有責(zé)任遵守相關(guān)政策和規(guī)定，并積極參與安全意識培訓(xùn)。通過共同努力，我們可以建立并維護一個安全可靠的辦公網(wǎng)絡(luò)環(huán)境。

信息安全管理制度6

　　第一章總則

　　第一條信息安全保密工作是公司運營與發(fā)展的基礎(chǔ),是保障客戶利益的基礎(chǔ),為給信息安全工作提供清晰的指導(dǎo)方向,加強安全管理工作,保障各類系統(tǒng)的安全運行,特制定本管理制度。

　　第二條本制度適用于分、支公司的信息安全管理。

　　第二章計算機機房安全管理

　　第三條計算機機房的建設(shè)應(yīng)符合相應(yīng)的國家標準。

　　第四條為杜絕火災(zāi)隱患,任何人不許在機房內(nèi)吸煙。嚴禁在機房內(nèi)使用火爐、電暖器等發(fā)熱電器。機房值班人員應(yīng)了解機房滅火裝置的性能、特點,熟練使用機房配備的滅火器材。機房消防系統(tǒng)白天置手動,下班后置自動狀態(tài)。一旦發(fā)生火災(zāi)應(yīng)及時報警并采取應(yīng)急措施。

　　第五條為防止水患,應(yīng)對上下水道、暖氣設(shè)施定期檢查,及時發(fā)現(xiàn)并排除隱患。

　　第六條機房無人值班時,必須做到人走門鎖;機房值班人員應(yīng)對進入機房的人員進行登記,未經(jīng)各級領(lǐng)導(dǎo)同意批準的人員不得擅自進入機房。

　　第七條為杜絕嚙齒動物等對機房的破壞,機房內(nèi)應(yīng)采取必要的防范措施,任何人不許在機房內(nèi)吃東西,不得將食品帶入機房。

　　第八條系統(tǒng)管理員必須與業(yè)務(wù)系統(tǒng)的操作員分離,系統(tǒng)管理員不得操作業(yè)務(wù)系統(tǒng)。應(yīng)用系統(tǒng)運行人員必須與應(yīng)用系統(tǒng)開發(fā)人員分離,運行人員不得修改應(yīng)用系統(tǒng)源代碼。

　　第三章計算機網(wǎng)絡(luò)安全保密管理

　　第九條采用入侵檢測、訪問控制、密鑰管理、安全控制等手段,保證網(wǎng)絡(luò)的安全。

　　第十條對涉及到安全性的網(wǎng)絡(luò)操作事件進行記錄,以進行安全追查等事后分析,并建立和維護“安全日志”,其內(nèi)容包括:

　　1、記錄所有訪問控制定義的變更情況。

　　2、記錄網(wǎng)絡(luò)設(shè)備或設(shè)施的啟動、關(guān)閉和重新啟動情況。

　　3、記錄所有對資源的物理毀壞和威脅事件。

　　4、在安全措施不完善的情況下,嚴禁公司業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)聯(lián)接。

　　第十一條不得隨意改變例如ip地址、主機名等一切系統(tǒng)信息。

　　第四章 應(yīng)用軟件安全保密管理

　　第十二條各級運行管理部門必須建立科學(xué)的、嚴格的軟件運行管理制度。

　　第十三條建立軟件復(fù)制及領(lǐng)用登記簿,建立健全相應(yīng)的監(jiān)督管理制度,防止軟件的非法復(fù)制、流失及越權(quán)使用,保證計算機信息系統(tǒng)的安全;

　　第十四條定期更換系統(tǒng)和用戶密碼,前臺(各應(yīng)用部門)用戶要進行動態(tài)管理,并定期更換密碼。

　　第十五條定期對業(yè)務(wù)及辦公用pc的`操作系統(tǒng)及時進行系統(tǒng)補丁升級,堵塞安全漏洞。

　　第十六條不得擅自安裝、拆卸或替換任何計算機軟、硬件,嚴禁安裝任何非法或盜版軟件。

　　第十七條不得下載與工作無關(guān)的任何電子文件,嚴禁瀏覽黃色、*或高風(fēng)險等非法網(wǎng)站。

　　第十八條注意防范計算機病毒,業(yè)務(wù)或辦公用pc要每天更新病毒庫。

　　第五章 數(shù)據(jù)安全保密管理

　　第十九條所有數(shù)據(jù)必須經(jīng)過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播,數(shù)據(jù)應(yīng)只用于明確規(guī)定的目的,未經(jīng)批準不得它用,采用的數(shù)據(jù)范圍應(yīng)與規(guī)定用途相符,不得超越。

　　第二十條根據(jù)數(shù)據(jù)使用者的權(quán)限合理分配數(shù)據(jù)存取授權(quán),保障數(shù)據(jù)使用者的合法存取。

　　第二十一條設(shè)置數(shù)據(jù)庫用戶口令,并監(jiān)督用戶定期更改;數(shù)據(jù)庫用戶在操作數(shù)據(jù)過程中,不得使用他人口令或者把自己的口令提供給他人使用。

　　第二十二條未經(jīng)領(lǐng)導(dǎo)允許,不得將存儲介質(zhì)(含磁帶、光盤、軟盤、技術(shù)資料等)帶出機房,不得隨意通報數(shù)據(jù)內(nèi)容,不得泄露數(shù)據(jù)給內(nèi)部或外部無關(guān)人員。

　　第二十三條 嚴禁直接對數(shù)據(jù)庫進行操作修改數(shù)據(jù)。如遇特殊情況進行此操作時,必須由申請人提出申請,填寫《數(shù)據(jù)變更申請表》,經(jīng)申請人所屬部門領(lǐng)導(dǎo)確認后提交至信息管理部,信息管理部相關(guān)領(lǐng)導(dǎo)確認后,方可由數(shù)據(jù)庫管理人員進行修改,并對操作內(nèi)容作好記錄,長期保存。修改前應(yīng)做好數(shù)據(jù)備份工作。

　　第二十四條 應(yīng)按照分工負責(zé)、互相制約的原則制定各類系統(tǒng)操作人員的數(shù)據(jù)讀寫權(quán)限,讀寫權(quán)限不允許交叉覆蓋。

　　第二十五條 一線生產(chǎn)系統(tǒng)和二線監(jiān)督系統(tǒng)進行系統(tǒng)維護、復(fù)原、強行更改數(shù)據(jù)時,至少應(yīng)有兩名操作人員在場,并進行詳細的登記及簽名。

　　第二十六條 對業(yè)務(wù)系統(tǒng)操作員權(quán)限實行動態(tài)管理,確保操作員崗位調(diào)整后及時修改相應(yīng)權(quán)限,保證業(yè)務(wù)數(shù)據(jù)安全。

信息安全管理制度7

　　為了規(guī)范我校各部門信息上報工作，進一步做好各部門信息采編、上報和對外宣傳工作，及時準確地反映我校各部門工作情況，形成宣傳工作的整體合力，內(nèi)強素質(zhì)，外樹形象，推進各項工作任務(wù)的落實，特制定本制度。

　　一、信息員具備的條件

　　1、思想政治素質(zhì)較高，熟悉本部門工作，文字能力較強。

　　2、工作認真負責(zé)，作風(fēng)扎實，勤于鉆研問題。

　　二、信息員的職責(zé)

　　1、采集報送本部門貫徹落實學(xué)�；蛏霞壊块T教育教學(xué)工作任務(wù)情況。

　　2、采集報送本部門安排的教育教學(xué)工作落實情況，及時反映教育教學(xué)工作的最新動態(tài)。

　　3、采集報送包括調(diào)研報告、工作總結(jié)、匯報材料等在內(nèi)的調(diào)研性信息，反映最新經(jīng)驗成果。

　　三、信息員采編報送信息的原則

　　1、及時性原則。重要信息早發(fā)現(xiàn)、早收集、早報送；

　　2、準確性原則。實事求是，尊重客觀，符合實際，文字表述準確，用詞嚴謹、分析恰當、數(shù)字精確；

　　3、實效性原則。以服務(wù)決策，推動落實，促進工作為原則，及時提供真實、有用的情況，堅決克服形式主義。

　　四、信息員報送信息的任務(wù)

　　各部門信息員每月上報信息不得少于4篇（每周一篇），所上報信息質(zhì)量要高，不得敷衍了事。

　　五、信息員采集報送材料的要求

　　1、準確把握部門工作的中心任務(wù)和階段性工作重點，緊緊圍繞上級部門、學(xué)校和本部門確定的各項重點工作采集報送信息。

　　2、立足本部門實際，全面客觀地反映情況。要善于總結(jié)提煉本部門工作中的特色經(jīng)驗。

　　3、經(jīng)常進行信息調(diào)研，掌握實情，采集報送信息。報送的信息材料必須真實準確，時效性強。

　　4、報送文字信息的同時，要根據(jù)內(nèi)容報送相關(guān)圖片。

　　六、信息員的變動與補充

　　信息員因工作變動或其他原因不能繼續(xù)擔任該項工作的，部門應(yīng)及時向?qū)W校反饋并補充推薦合適人選。

　　七、信息員信息報送的方式

　　信息均以郵件形式報送。信息標題后備注部門信息，以區(qū)別其他郵件。報送格式：信息正文統(tǒng)一用Word文檔A4格式排版，信息題目統(tǒng)一為宋體二號加粗，一級標題為黑體三號，二級標題為楷體GB三號加粗，三級標題為仿宋GB三號加粗，正文用仿宋GB小三號，行距為單倍行距。文稿結(jié)束處以小括號形式注明部門名稱。報送的圖片放到文稿外，為jpeg格式。信息發(fā)送至郵箱：

　　八、信息員的量化和考核。

　　1、學(xué)校將信息員報送信息情況作為一項重要內(nèi)容列入信息員工作考核中，并按季度進行通報。對連續(xù)兩周未報送信息的部門和信息員進行通報，并要求部門更換信息員，考核從20xx年3月份開始。

　　2、學(xué)校對各部門信息員上報材料擇優(yōu)向上級部門報送，對各部門信息員上報信息實行量化計分。計分標準：被國家級報刊或網(wǎng)站采用的`綜合稿件計10分；省級報刊或網(wǎng)站采用的綜合稿件計6分；市級報刊或網(wǎng)站采用的綜合稿件計4分；縣級報刊或網(wǎng)站采用的綜合稿件計2分，學(xué)校綜合簡報或網(wǎng)站采用的綜合稿件計1分。以上計分不重復(fù)，同時被多家報刊或網(wǎng)站采用的，以最高一級標準計分。部門信息員得分納入各部門學(xué)期考核得分中。

　　九、對信息員實行獎勵制度。

　　根據(jù)信息的數(shù)量和質(zhì)量，年終評選若干個信息工作先進個人及先進部門。對獲獎個人及部門均給予一定獎勵。

信息安全管理制度8

　　1． 總則

　　1.1 為保障XX公司（以下簡稱“XX”或“XX”）網(wǎng)絡(luò)與信息安全，切實加強網(wǎng)絡(luò)與信息安全管控，提高網(wǎng)絡(luò)與信息安全管理水平和防護能力，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國保守國家秘密法》等政策法規(guī)規(guī)定，結(jié)合XX實際，制定本制度。

　　2．適用范圍

　　本制度適用于XX部門、科室所有職工及使用單位網(wǎng)絡(luò)的所有人員。

　　3．職責(zé)范圍

　　3.1 領(lǐng)導(dǎo)小組

　　3.1.1 公司設(shè)立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，小組組長為XX，副組長為黨支部書記XX，組員為各科室負責(zé)人；

　　3.1.2 網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下：

　�。�1）根據(jù)國家和衛(wèi)健委有關(guān)網(wǎng)絡(luò)與信息安全的政策、法律和法規(guī)，制定XX網(wǎng)絡(luò)與信息安全總體規(guī)劃、管理規(guī)范和技術(shù)標準等；

　�。�2）發(fā)揮集中統(tǒng)一領(lǐng)導(dǎo)作用，統(tǒng)籌領(lǐng)導(dǎo)XX網(wǎng)絡(luò)與信息安全相關(guān)工作；

　�。�3）貫徹執(zhí)行上級單位、相關(guān)單位下發(fā)的網(wǎng)絡(luò)與信息安全文件要求及精神；

　�。�4）協(xié)調(diào)、督促各科室、部門的網(wǎng)絡(luò)與信息安全工作，處理網(wǎng)絡(luò)與信息安全隱患，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

　�。�5）統(tǒng)籌領(lǐng)導(dǎo)處理網(wǎng)絡(luò)與信息安全事故，組織進行事件調(diào)查，評估安全事件的嚴重程度，負責(zé)網(wǎng)絡(luò)與信息安全事故的后續(xù)處理及防范措施等。

　　3.2 辦公室

　　3.2.1 網(wǎng)絡(luò)及信息安全辦公室設(shè)在辦公室；

　　3.2.2 辦公室職責(zé)為按照國家及上級單位統(tǒng)一部署組織開展的網(wǎng)絡(luò)與信息安全工作，具體工作包括：

　�。�1）保障網(wǎng)絡(luò)與信息系統(tǒng)安全運行；

　�。�2）按照網(wǎng)絡(luò)與信息安全等級保護制度對XX網(wǎng)絡(luò)進行建設(shè)和整改工作；

　�。�3）網(wǎng)絡(luò)與信息安全突發(fā)事件處置、應(yīng)對、整改；

　�。�4）開展網(wǎng)絡(luò)與信息安全宣傳教育與培訓(xùn)；

　�。�5）開展網(wǎng)絡(luò)與信息安全檢查與自查工作；

　　（6）負責(zé)XX網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的編制并組織測試和演練；

　�。�7）開展其他網(wǎng)絡(luò)與信息安全工作。 4. 網(wǎng)絡(luò)與信息安全管理

　　4.1 網(wǎng)絡(luò)與信息安全是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

　　4.2 辦公室負責(zé)對XX外網(wǎng)、內(nèi)網(wǎng)、專用網(wǎng)絡(luò)（以下統(tǒng)稱“網(wǎng)絡(luò)”）及設(shè)備和系統(tǒng)進行規(guī)劃、建設(shè)、統(tǒng)一管理、日常維護、安全保障等工作。

　　4.3 接入并利用XX網(wǎng)絡(luò)進行工作的人員，應(yīng)自覺遵守相關(guān)規(guī)章制度，建立良好的使用習(xí)慣，杜絕潛在的網(wǎng)絡(luò)與信息安全隱患和漏洞。

　　4.4 使用XX網(wǎng)絡(luò)必須遵守相關(guān)法律法規(guī)，遵守公共秩序，尊重社會公德，不得利用網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密，不得侵犯國家、社會、集體的'利益和公民的合法權(quán)益，不得從事違法犯罪活動。

　　4.5 嚴禁通過XX網(wǎng)絡(luò)進行傳播反動、暴力、淫穢內(nèi)容等違法行為，嚴禁利用XX網(wǎng)絡(luò)制作、復(fù)制、發(fā)布、傳播病毒、流氓軟件及進行其他影響網(wǎng)絡(luò)正常運行或影響其他用戶正常使用的行為。

　　4.6 在使用網(wǎng)絡(luò)與信息設(shè)備時應(yīng)保持清潔、安全、良好的工作環(huán)境，禁止在信息設(shè)備應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等損害設(shè)備的物品。

　　4.7 所有網(wǎng)絡(luò)和信息設(shè)備未經(jīng)XX辦公室授權(quán)同意，嚴禁擅自拆、換任何零件、配件、外設(shè)。

　　4.8 各科室負責(zé)人對本部門信息設(shè)備安全管理負責(zé)。 5.內(nèi)網(wǎng)安全管理

　　5.1 接入內(nèi)網(wǎng)的設(shè)備和軟件，應(yīng)進行充分的安全評估和殺毒掃描，只允許經(jīng)過授權(quán)軟件運行。

　　5.2 臨時接入內(nèi)網(wǎng)的設(shè)備在接入前須進行病毒查殺，并由負責(zé)信息安全的工作人員輔助執(zhí)行。

　　5.3 內(nèi)網(wǎng)接入設(shè)備實行白名單制度，所有接入內(nèi)網(wǎng)的設(shè)備應(yīng)由辦公室進行授權(quán)備案。

　　5.4 辦公室建立內(nèi)網(wǎng)系統(tǒng)配置清單，并進行配置審計。 5.5 對重大配置變更應(yīng)制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

　　5.6 負責(zé)信息安全的工作人員密切關(guān)注重大安全漏洞及其補丁發(fā)布，發(fā)現(xiàn)漏洞及時上報辦公室，由辦公室統(tǒng)一指定和進行升級措施。

　　5.7 接入內(nèi)部網(wǎng)絡(luò)的設(shè)備嚴禁使用橋接、雙網(wǎng)卡等方式直接接入互聯(lián)網(wǎng)。

　　5.8 對重要的業(yè)務(wù)數(shù)據(jù)、關(guān)鍵程序建立健全的本地和異地、自動和手動相配合的多重備份機制。定期檢查備份數(shù)據(jù)的完整性。

　　5.9 接入內(nèi)部網(wǎng)絡(luò)的設(shè)備嚴禁使用各類型的移動存儲設(shè)備，包括但不限于U盤、移動硬盤、軟盤、光盤等。因業(yè)務(wù)拓展需要時，應(yīng)由XX 進行統(tǒng)一推送部署。

　　5.10 在使用內(nèi)部系統(tǒng)中，嚴格遵循一人一賬號的原則。個人賬號不得相互借用。

　　5.11 個人賬號在使用時嚴禁使用空密碼或弱密碼，做好賬號密碼的保護工作，防止密碼泄露。

　　5.12 在使用內(nèi)網(wǎng)資源時做好安全工作，人員離機時及時注銷或退出登錄。專人專用電腦應(yīng)設(shè)立訪問密碼。

　　6.行政系統(tǒng)及外網(wǎng)安全管理

　　6.1 新增設(shè)備接入外網(wǎng)，應(yīng)報辦公室進行備案。

　　6.2 工作人員在使用接入外網(wǎng)的設(shè)備時，應(yīng)做好基礎(chǔ)的安全防護工作。安裝防火墻和殺毒軟件并定期查殺病毒和修補漏洞。

　　6.3 禁止安裝與工作無關(guān)的軟件，禁止運行來源不明的軟件和程序。

　　6.4 禁止未經(jīng)授權(quán)私自通過外接路由器、USB網(wǎng)卡等方式建立無線網(wǎng)絡(luò)環(huán)境。

　　6.5 因工作需要連接各類外來移動存儲設(shè)備時，應(yīng)進行病毒掃描等基礎(chǔ)安全防護工作。

　　7. 網(wǎng)絡(luò)與信息安全事故管理

　　7.1 辦公室負責(zé)制定安全事件應(yīng)急響應(yīng)預(yù)案，當遭受安全事故導(dǎo)致系統(tǒng)出現(xiàn)異�；蚬收蠒r，應(yīng)立即采取緊急防護措施，防止事態(tài)擴大，并上報信息化主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。

　　7.2 辦公室負責(zé)網(wǎng)絡(luò)與信息安全事故應(yīng)急預(yù)案的編制，并組織演練。

　　7.3 網(wǎng)絡(luò)與信息安全事故概念：

　　7.3.1 普通網(wǎng)絡(luò)與信息安全事故

　�。�1）網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生24小時內(nèi)故障癱瘓；

　�。�2）安全事故影響范圍僅限部分科室和部分設(shè)備；

　�。�3）安全事故得到及時遏制和處理，未發(fā)生蔓延；

　�。�4）安全事故沒有造成數(shù)據(jù)丟失和泄密，沒有造成經(jīng)濟損失；

　�。�5）安全事故沒有對生產(chǎn)活動造成明顯影響。 7.3.2 嚴重網(wǎng)絡(luò)與信息安全事故

　�。�1）網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生24小時以上48小時以內(nèi)故障和癱瘓；

　�。�2）安全事故影響范圍包含單位大部分科室和設(shè)備；

　�。�3）安全事故沒有及時遏制和處理，但未蔓延；

　�。�4）安全事故沒有造成數(shù)據(jù)丟失和泄密，沒有造成經(jīng)濟損失；

　　（5）發(fā)生不利于單位的輿情信息。

　　7.3.3 重大網(wǎng)絡(luò)與信息安全事故

　　（1）網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生48小時以上的故障和癱瘓；

　　（2）信息系統(tǒng)受到較大面積病毒感染和滲透、攻擊；

　�。�3）安全事故沒有及時遏制和處理，發(fā)生蔓延；

　�。�4）安全事故造成數(shù)據(jù)丟失和泄密，造成經(jīng)濟損失；

　�。�5）縣級以上新聞媒體進行報道，發(fā)生了負面輿情。 7.4 出現(xiàn)網(wǎng)絡(luò)與信息安全事件時，發(fā)現(xiàn)者及時上報科室負責(zé)人和辦公室，做到及時、全面、準確報送，不得瞞報、緩報、謊報網(wǎng)絡(luò)與信息安全情況。

　　7.5 出現(xiàn)嚴重或重大網(wǎng)絡(luò)與信息安全事故時，辦公室應(yīng)及時上報信息系統(tǒng)負責(zé)人員。

　　7.6 發(fā)生網(wǎng)絡(luò)與信息安全事故時，網(wǎng)絡(luò)與信息安全小組應(yīng)及時對故障進行排查、處理，第一時間阻止事故發(fā)生蔓延。若無法處理，應(yīng)立即聯(lián)系軟件服務(wù)商或聯(lián)系信息系統(tǒng)負責(zé)人員尋求協(xié)助處理。

　　8．網(wǎng)絡(luò)與信息安全教育與管理

　　8.1 員工入職后應(yīng)參加辦公室組織的網(wǎng)絡(luò)與信息安全培訓(xùn)，以提升其網(wǎng)絡(luò)與信息安全意識及技術(shù)水平。

　　8.2 辦公室不定期對各科室和員工的網(wǎng)絡(luò)與信息安全防護行為進行考核評估，對發(fā)現(xiàn)具有安全隱患的行為，應(yīng)限期監(jiān)督整改。

　　8.3 員工離職時應(yīng)返還屬于XX的全部信息設(shè)備，不得在離職時以任何形式帶走任何信息。

　　9．附則

　　9.1 本制度由董事會制定并發(fā)布。

　　9.2 本制度由辦公室負責(zé)解釋，自印發(fā)之日起執(zhí)行。

信息安全管理制度9

　　醫(yī)院網(wǎng)絡(luò)信息安全管理制度的維護和評估是保障醫(yī)院網(wǎng)絡(luò)信息安全的重要手段，通過對醫(yī)院網(wǎng)絡(luò)信息安全管理制度的定期評估和維護，可以及時發(fā)現(xiàn)和解決存在的問題和風(fēng)險。下面從兩個方面，對醫(yī)院網(wǎng)絡(luò)信息安全管理制度的維護和評估進行分析。

　　1、定期更新醫(yī)院網(wǎng)絡(luò)信息安全管理制度，隨著信息化建設(shè)和技術(shù)更新的發(fā)展，醫(yī)院網(wǎng)絡(luò)信息安全管理制度也需要不斷更新，定期修訂制度，保證其符合實際情況和應(yīng)對新型風(fēng)險的需要。

　　2、定期進行安全漏洞掃描和風(fēng)險評估，對醫(yī)院網(wǎng)絡(luò)信息進行全面監(jiān)測和審核，定期進行安全性評估和漏洞掃描，及時發(fā)現(xiàn)安全隱患和風(fēng)險。

　　3、定期組織培訓(xùn)和考核，對醫(yī)院網(wǎng)絡(luò)信息安全管理制度的制定和實施進行培訓(xùn)和考核，提高員工的'意識和保護意識，確保醫(yī)院網(wǎng)絡(luò)信息安全管理制度的順利實施和維護。

　　4、定期進行安全性評估和漏洞掃描，對醫(yī)院網(wǎng)絡(luò)信息的安全性和完整性進行評估和檢查，發(fā)現(xiàn)安全隱患和漏洞，并及時采取措施進行處理。

　　5、定期進行安全意識調(diào)研和評估，對醫(yī)院內(nèi)部人員和外部人員的安全意識進行調(diào)研和評估，掌握安全意識的變化和提升情況。

　　6、定期進行安全檢查和審計，對醫(yī)院網(wǎng)絡(luò)信息的使用、存儲、復(fù)制等流程進行檢查和審計，確保醫(yī)院網(wǎng)絡(luò)信息安全管理制度的實施和執(zhí)行。

　　通過對醫(yī)院網(wǎng)絡(luò)信息安全管理制度的維護和評估，能夠及時發(fā)現(xiàn)和解決存在的問題，提高醫(yī)院網(wǎng)絡(luò)信息安全管理的效果，保證醫(yī)院網(wǎng)絡(luò)信息安全的穩(wěn)定和可靠。

信息安全管理制度10

　　一、公司計算機使用管理制度

　　1、從事計算機網(wǎng)絡(luò)信息活動時，必須遵守《計算機信息網(wǎng)絡(luò)和國際聯(lián)網(wǎng)安全保護管理辦法》的規(guī)定。我們應(yīng)該遵守國家法律，加強信息安全教育。

　　2、電腦由公司統(tǒng)一配置和定位，未經(jīng)許可，任何部門和個人不得盜用和交換、出借和移動電腦。

　　3、計算機硬件及附件應(yīng)列出并上報行政部，網(wǎng)絡(luò)信息管理員在征得公司領(lǐng)導(dǎo)同意后負責(zé)添加。

　　4、計算機操作應(yīng)按照規(guī)定的程序進行。

　　(1)計算機應(yīng)按照正常程序打開、并關(guān)閉。如果電腦因非法操作而無法正常使用，維修費用由部門承擔。

　　(2)計算機軟件的安裝和刪除應(yīng)在公司管理員的許可下進行。未經(jīng)授權(quán)，任何部門和個人不得在計算機硬盤上添加或刪除數(shù)據(jù)程序。

　　(3)電腦操作人員應(yīng)每周及時升級殺毒軟件，每月對系統(tǒng)進行補丁安裝。

　　(4)不允許隨意使用外來的u盤。如果真的有必要，應(yīng)該先進行病毒監(jiān)測。

　　(5)禁止在工作時間在電腦上做與工作無關(guān)的事情，如玩游戲、聽音樂等。

　　5、不允許任何人使用網(wǎng)絡(luò)制作、復(fù)制、咨詢和傳播封建迷信、淫穢、色情、賭博、暴力、謀殺、恐怖、教唆犯罪內(nèi)容

　　6、應(yīng)盡快通知信息技術(shù)管理員及時解決計算機故障，不允許擅自打開計算機主機箱進行操作。

　　7、電腦操作人員應(yīng)愛護電腦，注意保持電腦清潔衛(wèi)生。他們不能離開辦公室，除非他們正確地完全切斷電源。

　　8、對疏忽或操作錯誤影響了工作但可以通過努力恢復(fù)的操作員進行批評和教育；經(jīng)營者故意違反上述規(guī)定，造成工作或者財產(chǎn)損失的，應(yīng)當追究當事人的責(zé)任，并給予經(jīng)濟處罰。

　　9、為了文件安全，不要將重要文件保存在系統(tǒng)的.活動分區(qū)中，如磁盤C 、我的文檔、桌面等。請將您的重要文件存儲在硬盤的其他非活動分區(qū)中(例如，D、E、F)。

　　(保存前使用防病毒軟件檢查是否沒有病毒警告)。

　　并定期清理我的相關(guān)文件目錄，及時刪除一些過期的、無用的文件，以免占用硬盤空間。

　　10、所有計算機都必須有登錄密碼。通常，不要使用默認管理員作為登錄用戶名。密碼必須自己保存。嚴禁告訴他人。計算機名不能與登錄名一致。通常，不要使用包含個人、單位相關(guān)信息的名稱。

　　11、請參閱《信息技術(shù)最終用戶安全手冊》了解其他管理方法

　　二、網(wǎng)絡(luò)系統(tǒng)維護

　　1、系統(tǒng)管理員每周定期檢查托管網(wǎng)絡(luò)服務(wù)器，并檢查公司局域網(wǎng)的內(nèi)部服務(wù)器，如財務(wù)服務(wù)器。

　　2、網(wǎng)管部門應(yīng)及時組織相關(guān)人員對系統(tǒng)和網(wǎng)絡(luò)中出現(xiàn)的異�，F(xiàn)象進行分析，制定處理方案并采取積極措施。

　　對于當時未解決的問題或重要問題，問題描述、分析原因、處理方案、處理結(jié)果、及時制定解決方案。

　　3、定期備份服務(wù)器數(shù)據(jù)。

　　4、維護服務(wù)器，監(jiān)控外部訪問和外部訪問，并及時處理任何安全問題。

　　5、為服務(wù)器制定防病毒措施，及時下載最新的防病毒疫苗，防止服務(wù)器被病毒侵害。

　　三、用戶賬戶申請/取消

　　1、新員工(或租借者)需要使用電腦向部門主管申請。批準后，網(wǎng)絡(luò)部門負責(zé)分配計算機、和用戶名和密碼，以便登錄公司網(wǎng)絡(luò)。

　　如需使用財務(wù)軟件，需向財務(wù)主管提出申請，網(wǎng)絡(luò)管理部人員負責(zé)軟件客戶端的安裝和調(diào)試。

　　2、離職時，員工應(yīng)以書面形式記錄計算機名、IP地址、用戶名、登錄密碼、平臺軟件信息，網(wǎng)絡(luò)經(jīng)理將記錄進行登記備案。

　　只有當網(wǎng)絡(luò)管理員備份了存儲在辭職人員的計算機中的公司信息時，存儲在辭職人員的公司服務(wù)器中的所有信息才能被刪除。

　　IV、數(shù)據(jù)備份管理服務(wù)器數(shù)據(jù)備份，數(shù)據(jù)庫應(yīng)自動實時備份，手動備份應(yīng)至少每周進行一次，邏輯備份的驗證應(yīng)在備份服務(wù)器中進行，驗證后的邏輯備份應(yīng)存儲在不同的物理設(shè)備中。

　　所有部門均負責(zé)個人電腦的備份，并可申請在可移動硬盤、信息光盤等存儲介質(zhì)上進行安全備份。

　　第四條計算機/計算機維護

　　1、如果計算機出現(xiàn)重大故障，必須填寫計算機修復(fù)列表并提交給信息技術(shù)管理員進行修復(fù)。

　　2 、信息技術(shù)管理員歸檔電腦維修清單，方便查詢每臺電腦的使用情況。

　　必須外出修理的，必須報主管領(lǐng)導(dǎo)審批。

　　需采購的零部件應(yīng)按照采購管理流程執(zhí)行。

　　第五條公司信息系統(tǒng)管理(暫行)

　　1、新建中大金融系統(tǒng)服務(wù)器(以下簡稱服務(wù)器)，臨時放置在金融室辦公室，現(xiàn)有金融室辦公室已達到視頻監(jiān)控、防盜、溫控等條件。

　　當重建獨立機房的條件成熟時，將采用安全管理。

　　2、對于服務(wù)器數(shù)據(jù)(包括財務(wù)軟件系統(tǒng))，管理員將每月定期備份數(shù)據(jù)庫一次，并將服務(wù)器設(shè)置為每周自動備份數(shù)據(jù)庫兩次。財務(wù)部門應(yīng)安排遠程備份數(shù)據(jù)存儲在遠程位置。

　　3、系統(tǒng)后臺數(shù)據(jù)只能由服務(wù)器系統(tǒng)管理員維護。如果需要外援，手術(shù)必須由管理員陪同。不允許其他終端用戶設(shè)置進入數(shù)據(jù)管理后臺的權(quán)限。

　　4、最終用戶的開通和變更應(yīng)以書面形式提交相關(guān)部門領(lǐng)導(dǎo)簽字確認，包括用戶權(quán)限變更、賬號密碼變更、終端軟件更新。

　　5、當服務(wù)器需要更改時，管理員應(yīng)制作詳細的更改記錄。

　　例如，程序變更、緊急變更、配置/參數(shù)變更、基礎(chǔ)設(shè)施變更、數(shù)據(jù)庫修改等。

　　6、計劃在每月25日檢查和管理公司的服務(wù)器賬號。

　　7、相關(guān)記錄表如下:8、a、**信息中心機房巡視記錄表9、b、**信息中心用戶賬戶登記表10、c、數(shù)據(jù)庫備份記錄表1 1、d、外來人員工作記錄e、最終用戶系統(tǒng)變更申請第6條違規(guī)操作賠償標準

　　1、如果非法經(jīng)營者未造成任何經(jīng)濟損失，當事人和責(zé)任人應(yīng)賠償損失的工作時間50-100元。

　　2、如果非法經(jīng)營者造成經(jīng)濟損失，除賠償費用外，另一方和責(zé)任人應(yīng)賠償100元的工作損失。

　　第六條補充規(guī)定

　　1、本制度由信息管理部負責(zé)解釋，自發(fā)布之日起實施。

　　2、如果系統(tǒng)有問題，系統(tǒng)會在運行中進行修改和發(fā)布。

信息安全管理制度11

　　為提高公司信息系統(tǒng)的可靠性、穩(wěn)定性、安全性,降低人為因素導(dǎo)致信息系統(tǒng)失效的可能性,形成良好的信息傳遞渠道,特制定本規(guī)范。

　　1. 機房管理規(guī)范

　　1.1非工作人員不得進出機房。工作人員出入機房注意鎖好房門,未經(jīng)上級批準,禁止將機房相關(guān)鑰匙、密碼等物品或信息外露給其它人員,同時有責(zé)任對信息保密。

　　1.2機房工作人員必須熟知機房內(nèi)設(shè)備的基本安全操作和規(guī)則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線路;定期檢查硬件運作狀態(tài)(如設(shè)備指示燈)。不得亂拉亂接電線,應(yīng)選用安全、有保證的供電、用電器材,嚴禁隨意對設(shè)備斷電、更改設(shè)備供電線路,嚴禁隨意串接、并接、搭接各種供電線路。

　　1.3機房內(nèi)禁止吃食物、抽煙、隨地吐痰,對于意外或工作過程中弄污地板和其它物品的,必須及時采取措施清理干凈;禁止在服務(wù)器上進行試驗性質(zhì)的軟件調(diào)試,禁止在服務(wù)器隨意安裝軟件。

　　1.4機房工作人員必須定期檢查軟件的運行狀況、定期調(diào)閱軟件運行日志記錄,進行數(shù)據(jù)和軟件日志備份,做好硬件設(shè)備的維護保養(yǎng)工作。

　　1.5任何人均不得在服務(wù)器、交換設(shè)備等核心設(shè)備上進行與工作無關(guān)的任何操作。未經(jīng)上級允許,更不允許他人操作機房內(nèi)部的.設(shè)備。

　　2. 計算機操作人員管理規(guī)范

　　2.1計算機操作員應(yīng)具備計算機基礎(chǔ)知識,熟練使用windows、office、長安福特dms系統(tǒng)及常用軟件,并對其所使用的計算機軟、硬件負有維護保管責(zé)任。

　　2.2任何員工未經(jīng)授權(quán),不得修改計算機軟硬件設(shè)置。嚴禁在工作機共享文件,員工所掌握的工作數(shù)據(jù)、文件等均屬公司所有,嚴禁拷貝、傳播、修改、破壞。凡違反網(wǎng)絡(luò)操作規(guī)程,影響網(wǎng)絡(luò)運行者罰款100元。

　　2.3計算機操作人員離開工作區(qū)域時應(yīng)保證重要文件、資料、設(shè)備、數(shù)據(jù)處于安全保護狀態(tài);個人的工作文件應(yīng)隨時做好安全存放與備份,不得將個人工作文件存放于“c盤我的文檔”。如有問題及時聯(lián)系系統(tǒng)管理員,與系統(tǒng)管理員一同維護好日常網(wǎng)絡(luò)的安全運行。

　　2.4計算機操作人員每次開機確保病毒實時監(jiān)測程序和黑客防火墻程序的正常運行;日常工作中注意保持計算機等相關(guān)設(shè)備的清潔,下班時務(wù)必關(guān)掉所有辦公設(shè)備的電源。

　　3. 計算機系統(tǒng)安全性維護

　　3.1計算機信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、拷貝、修改等操作,不得擅自升級、改變系統(tǒng)軟件版本或更換系統(tǒng)軟件,不得擅自改變軟件系統(tǒng)環(huán)境配置。

　　3.2硬件設(shè)備的更新、擴充、修復(fù)等工作應(yīng)當由相關(guān)人員提出申請,報上級主管負責(zé)人審批。未經(jīng)允許,不得擅自拆裝硬件設(shè)備。

　　3.3在使用任何外來的光盤,u盤,移動硬盤等外來媒體的文件前,必須進行殺毒;嚴禁瀏覽任何非法網(wǎng)站、黑客網(wǎng)站及不健康的網(wǎng)站,嚴禁下載帶有附件的不明郵件;

　　3.4系統(tǒng)管理人員負責(zé)長安福特dms系統(tǒng)工作權(quán)限的設(shè)置,員工只能使用自己的工作權(quán)限,嚴禁盜用他人用戶名與密碼,嚴格執(zhí)行工作流程;長安福特dms系統(tǒng)上使用的密碼一經(jīng)啟用,不得隨意修改、公開,并需在行政部做備份,如需修改須事先告知行政部。

　　3.5各部門如有計算機操作員人員更替,必須及時通知行政部,系統(tǒng)管理員注銷或開設(shè)新用戶。

　　3.6系統(tǒng)管理人員須嚴格管理公司無限網(wǎng)絡(luò)的使用,接入密碼要經(jīng)常更新,以保證無線網(wǎng)絡(luò)的安全;

信息安全管理制度12

　　平安生產(chǎn)是企業(yè)的頭等大事，必需堅持“平安第一，預(yù)防為主”的方針和群防群治制度，仔細實行安全管理制度，切實加強安全管理，保證職工在生產(chǎn)過程中的平安與健康。依據(jù)國家和省有關(guān)法規(guī)、規(guī)定和文件，制定本企業(yè)信息安全管理制度。

　　一、計算機設(shè)備安全管理制度

　　計算機不同于其他辦公設(shè)備，其好用性、嚴密性、操作技術(shù)性強，含量高、部件易受損；特殊是聯(lián)網(wǎng)計算機，開放性程度比較高，電腦內(nèi)部易受外界的偷窺、攻擊和病毒感染。為確保計算機軟、硬件及網(wǎng)絡(luò)的正常運用，特制定本制度。

　　1、公司內(nèi)全部計算機歸網(wǎng)絡(luò)部統(tǒng)一管理，配備計算機的員工只負責(zé)運用操作；

　　2、計算機管理涉及的范圍：

　　2.1全部硬件（包括外接設(shè)備）及網(wǎng)絡(luò)聯(lián)接線路；

　　2.2計算機及網(wǎng)絡(luò)故障的解除；

　　2.3計算機及網(wǎng)絡(luò)的維護與修理；

　　2.4操作系統(tǒng)的管理；

　　3、公司內(nèi)全部計算機運用人員均為計算機操作員；

　　4、網(wǎng)絡(luò)維護部負責(zé)對公司內(nèi)全部計算機進行定期檢查，一般每兩月進行一次；

　　5、計算機的運用部門要保持清潔、平安、良好的計算機設(shè)備工作環(huán)境，禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備平安的物品。

　　6、非本單位技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進行修理、維護時，必需由本單位相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外修理，須經(jīng)有關(guān)部門負責(zé)人批準。

　　7、嚴格遵守計算機設(shè)備運用、開機、關(guān)機等平安操作規(guī)程和正確的運用方法。任何人不允許帶電插撥計算機外部設(shè)備接口，計算機出現(xiàn)故障時應(yīng)剛好向電腦負責(zé)部門報告，不允許私自處理或找非本單位技術(shù)人員進行修理及操作。

　　二、操作員安全管理制度

　　1、計算機原則上由專人負責(zé)操作維護，不得串用設(shè)備。下班后必需按程序關(guān)閉主機和其他設(shè)備，切斷電源。

　　2、為保證計算機信息安全，必需為計算機設(shè)置密碼。

　　3、計算機操作員除運用操作計算機外，不允許有以下行為：

　　3.1硬件設(shè)備出現(xiàn)故障擅自拆開主機機箱蓋板；

　　3.2更換計算機配件（如鼠標、鍵盤、耳麥）；如有向網(wǎng)絡(luò)管理員寫設(shè)備申請單審批。

　　3.3刪除計算機操作系統(tǒng)及公司指定的軟件；

　　3.4運用帶病毒的計算機軟件；

　　3.5讓外來人員進行有損于計算機的技術(shù)性操作；

　　4、不得運用來路不明或未經(jīng)殺毒的盤片。計算機操作員定期對計算機進行殺毒。如發(fā)覺計算機有病毒時，應(yīng)剛好清除，清除不了的`病毒，要剛好上報。

　　5、個人的公司重要文檔、資料和數(shù)據(jù)保存時必需將資料儲存在除操作系統(tǒng)外的其它磁盤空間，嚴禁將重要文件存放于桌面或C盤下。

　　6、工作時間內(nèi)嚴禁工作人員在計算機上進行與工作無關(guān)的操作，不準上網(wǎng)與工作無關(guān)的閑聊、玩電腦嬉戲、看影視、聽音樂，迅雷下載等。

　　7、電腦及網(wǎng)絡(luò)設(shè)備所在環(huán)境應(yīng)保持清潔、衛(wèi)生、通風(fēng)，留意防塵、防潮、防火。

　　8、公司全部計算機運用者，不得破壞網(wǎng)管員對計算機的平安設(shè)置。包括用戶運用權(quán)限。

　　9、除服務(wù)器外，其他全部計算機下班后必需關(guān)機并切斷電源；

　　10、計算機運用者離職時必需由網(wǎng)絡(luò)管理員確認其計算機硬件設(shè)備完好、移動存儲設(shè)備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個人帳戶密碼清除后方可辦理離職手續(xù)。

　　11、如工作人員不按規(guī)定操作，造成不良后果的，將按有關(guān)規(guī)定，由操作者擔當相應(yīng)責(zé)任，并追究科室負責(zé)人的有關(guān)責(zé)任。

　　12、操作員設(shè)置與管理

　�。�1）網(wǎng)絡(luò)管理員管理操作權(quán)限必需經(jīng)過公司領(lǐng)導(dǎo)授權(quán)取得；依據(jù)不同部門的要求及崗位職責(zé)而設(shè)置；

　�。�2）網(wǎng)絡(luò)管理員負責(zé)故障復(fù)原等管理及維護，必需有其上級授權(quán)；不得運用他人操作代碼進行業(yè)務(wù)操作；

　　三、密碼與權(quán)限安全管理制度

　　1、密碼設(shè)置應(yīng)具有平安性、保密性，不能運用簡潔的代碼和標記。密碼是愛護系統(tǒng)和數(shù)據(jù)平安的限制代碼，也是愛護用戶自身權(quán)益的限制代碼。密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、依次、規(guī)律數(shù)字等簡單揣測的數(shù)字和字符串；

　　2、密碼應(yīng)定期修改，間隔時間不得超過一個月，如發(fā)覺或懷疑密碼遺失或泄漏應(yīng)馬上修改，并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。

　　3、服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負責(zé)人指定專人（不參加系統(tǒng)開發(fā)和維護的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特別狀況須要啟用封存的密碼，必需經(jīng)過相關(guān)部門負責(zé)人同意，由密碼運用人員向密碼管理人員索取，運用完畢后，須馬上更改并封存，同時在“密碼管理登記簿”中登記。

　　4、系統(tǒng)維護用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和運用管理制度。

　　5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負責(zé)人須指定專人接替并對密碼馬上修改或用戶刪除，同時在“密碼管理登記簿”中登記。

　　四、數(shù)據(jù)安全管理制度

　　1、存放備份數(shù)據(jù)的介質(zhì)必需具有明確的標識。備份數(shù)據(jù)必需異地存放。

　　2、留意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運輸平安和保密管理，保證存儲介質(zhì)的物理平安。

　　3、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的運用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必需嚴格根據(jù)程序進行逐級審批，以保證備份數(shù)據(jù)平安完整。

　　4、數(shù)據(jù)復(fù)原前，必需對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)復(fù)原過程中，出現(xiàn)問題時由技術(shù)部門進行現(xiàn)場技術(shù)支持。數(shù)據(jù)復(fù)原后，必需進行驗證、確認，確保數(shù)據(jù)復(fù)原的完整性和可用性。

　　5、數(shù)據(jù)清理前必需對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要進行定期保存或永久保存，并確保可以隨時運用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期，避開對聯(lián)機業(yè)務(wù)運行造成影響。

　　6、須要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存，依據(jù)轉(zhuǎn)存和查詢運用方法要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存，防止存儲介質(zhì)過期失效，通過有效的查詢、運用方法保證數(shù)據(jù)的完整性和可用性。

　　7、非本單位技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進行修理、維護時，必需由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外修理，須經(jīng)設(shè)備管理機構(gòu)負責(zé)人批準。送修前，需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除，并進行登記。對修復(fù)的設(shè)備，設(shè)備修理人員應(yīng)對設(shè)備進行驗收、病毒檢測。

　　8、管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥當處理廢棄無用的資料和介質(zhì)，防止泄密。

　　9、運行維護部門需指定專人負責(zé)計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，常常進行計算機病毒檢查，發(fā)覺病毒剛好清除。

　　10、營業(yè)用計算機未經(jīng)有關(guān)部門允許不準安裝其它軟件、不準運用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。

　　五、網(wǎng)絡(luò)管理

　　1、網(wǎng)絡(luò)系統(tǒng)屬于公司無形資產(chǎn)，公司有權(quán)限制上網(wǎng)行為，依據(jù)工作須要限制各部門的上網(wǎng)行為。

　　2、公司網(wǎng)絡(luò)管理員對計算機IP地址統(tǒng)一安排、登記、管理，嚴禁私自更改IP地址。

　　3、公司員工必需自覺遵守企業(yè)的有關(guān)保密法規(guī)，嚴禁利用網(wǎng)絡(luò)有意或無意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復(fù)制、轉(zhuǎn)移和破壞公司的文件、資料和數(shù)據(jù)。

　　4、實行“絕密”文件、涉秘件與計算機網(wǎng)絡(luò)肯定隔離，不得在計算機網(wǎng)絡(luò)中輸入、打印、復(fù)制“絕密”文件和有關(guān)涉秘件。

　　5、網(wǎng)絡(luò)維護部負責(zé)文字工作的計算操作人員必需遵守有關(guān)的保密制度，對保密的文件資料進行加密存放，不得上網(wǎng)共享。

　　六、附則

　　1、本制度由網(wǎng)絡(luò)部負責(zé)說明。

　　2、本制度由總經(jīng)理批準后生效，自頒布之日起執(zhí)行。

信息安全管理制度13

　　1目標

　　勝達集團信息安全檢查工作的主要目標是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。

　　2評估依據(jù)、范圍和方法

　　2.1 評估依據(jù)

　　根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》（信安通［20xx］15號）、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[20xx]48號）以及集團公司和省公司公司的文件、檢查方案要求, 開展××單位的信息安全評估。

　　2.2 評估范圍

　　本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，

　　管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜，在檢查工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況評估。

　　2.3 評估方法

　　采用自評估方法。

　　3重要資產(chǎn)識別

　　對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的'影響進行識別，將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記匯總，形成重要資產(chǎn)清單。

　　資產(chǎn)清單見附表1。

　　4安全事件

　　對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。

　　5安全檢查項目評估

　　5.1 規(guī)章制度與組織管理評估

　　5.1.1組織機構(gòu)

　　5.1.1.1評估標準

　　信息安全組織機構(gòu)包括領(lǐng)導(dǎo)機構(gòu)、工作機構(gòu)。

　　5.1.1.2現(xiàn)狀描述

　　本局已成立了信息安全領(lǐng)導(dǎo)機構(gòu)，但尚未成立信息安全工作機構(gòu)。

　　5.1.1.3 評估結(jié)論

　　完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。

　　5.1.2崗位職責(zé)

　　5.1.2.1估標準

　　崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進行界定；崗位實行主、副崗備用制度。

　　5.1.2.2現(xiàn)狀描述

　　我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責(zé)；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定，崗位沒有實行主、副崗備用制度。

　　5.1.2.3 評估結(jié)論

　　本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。

　　5.1.3病毒管理

　　5.1.3.1 評估標準

　　病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機制、病毒掃描策略（1周內(nèi)至少進行一次掃描）。

　　5.1.3.2 現(xiàn)狀描述

　　本局使用Symantec防病毒軟件進行病毒防護，定期從省公司病毒庫服務(wù)器下載、升級安全策略；病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進行二次自動病毒掃描；沒有制定計算機病毒防治管理制度。

　　5.1.3.3 評估結(jié)論

　　完善病毒預(yù)警和報告機制，制定計算機病毒防治管理制度。

　　5.1.4運行管理

　　5.1.4.1 評估標準

　　運行管理應(yīng)制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進出機房情況記錄。

　　5.1.4.2 現(xiàn)狀描述

　　沒有建立相應(yīng)信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進出情況記錄。

　　5.1.4.3評估結(jié)論

　　結(jié)合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維

　　流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進出情況。

　　5.1.5賬號與口令管理

　　5.1.5.1 評估標準

　　制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進行變更或注銷。

　　5.1.5.2 現(xiàn)狀描述

　　沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進行變更或注銷。

　　5.1.5.3 評估結(jié)論

　　制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進行變更或注銷。

　　5.2 網(wǎng)絡(luò)與系統(tǒng)安全評估

　　5.2.1網(wǎng)絡(luò)架構(gòu)

　　5.2.1.1 評估標準

　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。

　　5.2.1.2 現(xiàn)狀描述

　　局域網(wǎng)核心交換設(shè)備準備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防火墻的外聯(lián)鏈路，有當前網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。

　　5.2.1.3 評估結(jié)論

　　局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準備備用設(shè)備，外聯(lián)鏈路沒有繞過防火墻，完善網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。

　　5.2.2網(wǎng)絡(luò)分區(qū)

　　5.2.2.1 評估標準

　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設(shè)置合理。

　　5.2.2.2 現(xiàn)狀描述

　　生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進行分區(qū)，VLAN間的訪問控制設(shè)置合理。

　　5.2.2.3評估結(jié)論

　　對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進行分區(qū)，VLAN間的訪問控制設(shè)置合理。

　　5.2.3 網(wǎng)絡(luò)設(shè)備

　　5.2.3.1 評估標準

　　網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令強健（>8字符，數(shù)字、字母混雜）。

　　5.2.3.2 現(xiàn)狀描述

　　網(wǎng)絡(luò)設(shè)備配置沒有進行備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備是雙電源，網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令沒達到要求。

　　5.2.3.3 評估結(jié)論

　　對網(wǎng)絡(luò)設(shè)備配置進行備份，完善SNMP社區(qū)串、本地用戶口令強�。�>8字符，數(shù)字、字母混雜）。

　　5.2.4 IP管理

　　5.2.4.1 評估標準

　　有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。

　　5.2.4.2 現(xiàn)狀描述

　　沒有IP地址管理系統(tǒng)，正在進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。

　　5.2.4.3 評估結(jié)論

　　建立IP地址管理系統(tǒng)，加快進行對IP地址的規(guī)劃和分配，IP地址分配有記錄。

　　5.2.5補丁管理

　　5.2.5.1 評估標準

　　有補丁管理的手段或補丁管理制度，Windows系統(tǒng)主機補丁安裝齊全，有補丁安裝的測試記錄。

　　5.2.5.2現(xiàn)狀描述

　　通過手工補丁管理手段，沒有制訂相應(yīng)管理制度；Windows系統(tǒng)主機補丁安裝基本齊全，沒有補丁安裝的測試記錄。

　　5.2.5.3 評估結(jié)論

　　完善補丁管理的手段，制訂相應(yīng)管理制度；補缺Windows系統(tǒng)主機補丁安裝，補丁安裝前進行測試記錄。

　　5.2.6系統(tǒng)安全配置

　　5.2.6.1 評估標準

信息安全管理制度14

　　網(wǎng)絡(luò)與信息的安全不僅關(guān)系到公司正常業(yè)務(wù)的開展，還將影響到國家的安全、社會的穩(wěn)定。我公司將認真開展網(wǎng)絡(luò)與信息安全工作，通過檢查進一步明確安全責(zé)任,建立健全的管理制度,落實技術(shù)防范措施，保證必要的經(jīng)費和條件,對有毒有害的信息進行過濾、對用戶信息進行保密，確保網(wǎng)絡(luò)與信息安全.

　　一、網(wǎng)站運行安全保障措施

　　1、網(wǎng)站服務(wù)器和其他計算機之間設(shè)置經(jīng)公安部認證的防火墻,做好安全策略,拒絕外來的惡意攻擊,保障網(wǎng)站正常運行。

　　2、在網(wǎng)站的服務(wù)器及工作站上均安裝了正版的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施,防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞.

　　3、做好日志的留存.網(wǎng)站具有保存60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址及使用情況,主頁維護者、郵箱使用者和對應(yīng)的IP地址情況等。

　　4、交互式欄目具備有IP地址、身份登記和識別確認功能，對沒有合法手續(xù)和不具備條件的電子公告服務(wù)立即關(guān)閉。

　　5、網(wǎng)站信息服務(wù)系統(tǒng)建立雙機熱備份機制,一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運行，保證備用系統(tǒng)能及時替換主系統(tǒng)提供服務(wù)。

　　6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能,及相關(guān)端口,并及時用補丁修復(fù)系統(tǒng)漏洞，定期查殺病毒。

　　7、服務(wù)器平時處于鎖定狀態(tài)，并保管好登錄密碼；后臺管理界面設(shè)置超級用戶名及密碼,并綁定IP,以防他人登入。

　　8、網(wǎng)站提供集中式權(quán)限管理，針對不同的應(yīng)用系統(tǒng)、終端、操作人員,由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限，并設(shè)置相應(yīng)的密碼及口令.不同的操作人員設(shè)定不同的用戶名,且定期更換，嚴禁操作人員泄漏自己的口令.對操作人員的權(quán)限嚴格按照崗位職責(zé)設(shè)定,并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。

　　9、公司機房按照電信機房標準建設(shè),內(nèi)有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統(tǒng)和消防系統(tǒng)，定期進行電力、防火、防潮、防磁和防鼠檢查. 二、信息安全保密管理制度

　　1、我公司建立了健全的信息安全保密管理制度，實現(xiàn)信息安全保密責(zé)任制，切實負起確保網(wǎng)絡(luò)與信息安全保密的責(zé)任.嚴格按照“誰主管、誰負責(zé)”、“誰主辦、誰負責(zé)"的原則，落實責(zé)任制,明確責(zé)任人和職責(zé),細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網(wǎng)絡(luò)和提供信息服務(wù)的安全。

　　2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成，工作人員素質(zhì)高、專業(yè)水平好，有強烈的責(zé)任心和責(zé)任感。網(wǎng)站所有信息發(fā)布之前都經(jīng)分管領(lǐng)導(dǎo)審核批準。工作人員采集信息將嚴格遵守國家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴禁通過我公司網(wǎng)站及短信平臺散布《互聯(lián)網(wǎng)信息管理辦法》等相關(guān)法律法規(guī)明令禁止的信息(即“九不準"），一經(jīng)發(fā)現(xiàn),立即刪除。

　　3、遵守對網(wǎng)站服務(wù)信息監(jiān)視,保存、清除和備份的制度.開展對網(wǎng)絡(luò)有害信息的清理整治工作，對違法犯罪案件,報告并協(xié)助公安機關(guān)查處.

　　4、所有信息都及時做備份。按照國家有關(guān)規(guī)定,網(wǎng)站將保存60天內(nèi)系統(tǒng)運行日志和用戶使用日志記錄，短信服務(wù)系統(tǒng)將保存5個月以內(nèi)的系統(tǒng)及用戶收發(fā)短信記錄. 5、制定并遵守安全教育和培訓(xùn)制度.加大宣傳教育力度，增強用戶網(wǎng)絡(luò)安全意識,自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)，不泄密、不制作和傳播有害信息,不鏈接有害信息或網(wǎng)頁。 三、用戶信息安全管理制度

　　1、我公司鄭重承諾尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私政策和網(wǎng)站服務(wù)條款以及其他公布的準則規(guī)定的情況下,未經(jīng)用戶授權(quán)我公司不會隨意公布與用戶個人身份有關(guān)的資料，除非有法律或程序要求.

　　2、所有用戶信息將得到本公司網(wǎng)站系統(tǒng)的安全保存，并在和用戶簽署的協(xié)議規(guī)定時間內(nèi)保證不會丟失；

　　3、嚴格遵守網(wǎng)站用戶帳號使用登記和操作權(quán)限管理制度，對用戶信息專人管理，嚴格保密,未經(jīng)允許不得向他人泄露.

　　公司定期對相關(guān)人員進行網(wǎng)絡(luò)信息安全培訓(xùn)并進行考核,使員工能夠充分認識到網(wǎng)絡(luò)安全的重要性，嚴格遵守相應(yīng)規(guī)章制度.

　�。ㄒ唬┬畔�安全管理組織機構(gòu)設(shè)置及工作職責(zé)

　　一、組織機構(gòu)

　　1、公司成立信息安全領(lǐng)導(dǎo)小組,是信息安全的最高決策機構(gòu)，下設(shè)辦公室，負責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù).

　　2、信息安全領(lǐng)導(dǎo)小組負責(zé)研究重大事件,落實方針政策和制定總體策略等.職責(zé)主要包括: （1）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī),批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標準；

　　(2)確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。

　　(3）信息安全領(lǐng)導(dǎo)小組下設(shè)兩個工作組:信息安全工作組、應(yīng)急處理工作組。組長均由公司負責(zé)人擔任.

　�。�4）信息安全工作組的主要職責(zé)包括：

　　①貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作；

　�、诟鶕�(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進行具體安排、落實;

　　③組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行；

　�、茇撠�(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

　�、萁M織信息安全工作檢查，分析信息安全總體狀況,提出分析報告和安全風(fēng)險的防范對策；

　�、挢撠�(zé)接受各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；

　�、呒皶r向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件。

　�、喔�蹤先進的信息安全技術(shù),組織信息安全知識的培訓(xùn)和宣傳工作. （5）應(yīng)急處理工作組的主要職責(zé)包括:

　�、賹彾ü�司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；

　�、跊Q定相應(yīng)應(yīng)急預(yù)案的啟動，負責(zé)現(xiàn)場指揮,并組織相關(guān)人員排除故障，恢復(fù)系統(tǒng)；

　�、勖磕杲M織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進行測試和演練。

　�。�6）公司應(yīng)指定分管信息的領(lǐng)導(dǎo)負責(zé)本單位信息安全管理，并配備信息安全技術(shù)人員，有條件的應(yīng)設(shè)置信息安全工作小組或辦公室，對公司信息安全領(lǐng)導(dǎo)小組和工作小組負責(zé)，落實本單位信息安全工作和應(yīng)急處理工作。

　　二、工作職責(zé)

　　1、設(shè)置信息系統(tǒng)的關(guān)鍵崗位并加強管理，配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開發(fā)管理員、安全審計員、安全保密管理員，要求五人各自獨立。要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

　　2、系統(tǒng)管理員主要職責(zé)有：

　�。�1）負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

　�。�2）嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

　　（3）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；

　�。�4）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

　　3、網(wǎng)絡(luò)管理員主要職責(zé)有:

　�。�1）負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

　�。�2)安全配置網(wǎng)絡(luò)參數(shù),嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護網(wǎng)絡(luò)安全正常運行；

　�。�3）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；

　　（4）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督.

　　4、應(yīng)用開發(fā)管理員主要職責(zé)有：

　�。�1）負責(zé)在系統(tǒng)開發(fā)建設(shè)中，嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

　�。�2）系統(tǒng)投產(chǎn)運行前，完整移交系統(tǒng)相關(guān)的安全策略等資料;

　�。�3）不得對系統(tǒng)設(shè)置“后門”;

　�。�4）對系統(tǒng)核心技術(shù)保密等.

　　5、安全審計員負責(zé)對涉及系統(tǒng)安全的事件和各類操作人員的行為進行審計和監(jiān)督,主要職能包括：

　　(1）按操作員證書號進行審計；

　�。�2）按操作時間審計;

　　(3）按操作類型審計；

　　(4）事件類型進行審計;

　　（5)日志管理等.

　　6、安全保密管理員負責(zé)日常安全保密管理活動，主要職責(zé)有:

　�。�1)監(jiān)視全網(wǎng)運行和安全告警信息

　�。�2） 網(wǎng)絡(luò)審計信息的常規(guī)分析

　　（3）安全設(shè)備的常規(guī)設(shè)置和維護

　�。�4）執(zhí)行應(yīng)急中心制定的具體安全策略

　　(5)向應(yīng)急管理機構(gòu)和領(lǐng)導(dǎo)機構(gòu)報告重大的網(wǎng)絡(luò)安全事件。

　　7、公司指定法人代表為分管信息的領(lǐng)導(dǎo)，負責(zé)本公司信息安全管理，并配備信息安全技術(shù)人員，設(shè)置信息安全工作小組或辦公室，對公司信息安全領(lǐng)導(dǎo)小組和工作小組負責(zé),落實本單位信息安全工作和應(yīng)急處理工作。

　　三、有害信息發(fā)現(xiàn)受理處置機制

　　公司有害信息處置機制是根據(jù)國家相關(guān)法律、法規(guī)的規(guī)定，結(jié)合我市實際制定的。主旨在于建立公司與工業(yè)和信息部以及通信管理局之間的快速反應(yīng)機制，規(guī)范移動互聯(lián)網(wǎng)有害信息處置流程，在法律、法規(guī)的保障下，及時、迅速的處置移動互聯(lián)網(wǎng)有害信息。

　　本機制中“有害信息”包括：

　　(1)煽動抗拒、破壞憲法和法律、行政法規(guī)實施的;

　　(2)煽動顛覆國家政權(quán),推翻社會主義制度的；

　�。�3）煽動分裂國家、破壞國家統(tǒng)一的；

　　（4)煸動民族仇恨、民族歧視，破壞民族團結(jié)的；

　　（5）捏造或者歪曲事實，散布謠言，擾亂社會秩序的；

　�。�6）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的; （7）公然侮辱他人或者捏造事實誹謗他人的；

　�。�8）損害國家機關(guān)信譽的；

　　（9）其他違反憲法和法律、行政法規(guī)的。

　　本機制中“有害信息”指公司服務(wù)器上的網(wǎng)站W(wǎng)eb欄目提供安全管理制度和技術(shù)防范措施的落實情況，對預(yù)防有害信息出現(xiàn)提出建議,對用戶及員工上報的應(yīng)急處置聯(lián)系人員進行抽查,保障本機制實施。

　　主動發(fā)現(xiàn)手段:公司設(shè)置有害信息自動過濾平臺，發(fā)現(xiàn)及抵御有害信息的入侵。

　　信息安全小組負責(zé)對公司所有網(wǎng)絡(luò)資源進行實時監(jiān)控，做到及時發(fā)現(xiàn)、即時處理的原則辦理，對處理結(jié)果備案,對重大有害信息事件，應(yīng)在第一時間上報主管領(lǐng)導(dǎo)及相關(guān)部門。

　　信息安全小組負責(zé)界定、監(jiān)控、受理有害信息事件，要做到即接快辦；夜間、節(jié)假日值班期間接到、發(fā)現(xiàn)的，應(yīng)于次日或節(jié)假日后的`第一個工作日辦理,對需緊急辦理的重大信息安全事件可先處理后登記（如遇緊急情況，可直接關(guān)閉服務(wù)器等設(shè)備，暫停網(wǎng)絡(luò)運行）

　　負責(zé)查辦的相關(guān)人員接到交辦的事件后，應(yīng)及時安排辦理,要求在最短時限內(nèi)處理完畢，如遇特殊情況不能按時處理完畢的，應(yīng)報主管領(lǐng)導(dǎo)說明情況，可適當延長處理時間，處理結(jié)果應(yīng)及時反饋給信息安全小組組長。在處理有害信息事件時，應(yīng)按照處理流程，及時填寫相應(yīng)表單,并隨處理結(jié)果報告一并存檔。

　　處置流程：公司接到投訴-上報主管領(lǐng)導(dǎo)/記錄相關(guān)信息—刪除信息—備份—判別有害信息級別—上報主管部門/報案到公安局處-配合調(diào)查

　　按照公安部要求，有害信息分為三級，處理方法如下：

　　一類,20分鐘內(nèi)刪除

　　二類，30分鐘內(nèi)刪除

　　三類，60分鐘內(nèi)刪除

　　主動發(fā)現(xiàn)手段：公司設(shè)置有害信息自動過濾平臺，發(fā)現(xiàn)及抵御有害信息的入侵。

　　公司要求要對刪除信息進行備份，以便網(wǎng)監(jiān)局（公安局)查詢時提供相關(guān)證據(jù)。

　　處理人員應(yīng)對重大有害信息事件的舉報人、發(fā)現(xiàn)人要求保密著做到保密，有關(guān)重大的有害信息事件及處理過程不得泄密

　　四、重大信息安全事件應(yīng)急處置和報告制度

　　為確保發(fā)生網(wǎng)絡(luò)安全問題時各項應(yīng)急工作高效、有序地進行，最大限度地減少損失，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機病毒防治管理辦法》等相關(guān)法律法規(guī)，結(jié)合本公司信息網(wǎng)絡(luò)實際情況，制定本制度.

　　1、事件等級:

　　根據(jù)信息安全事件的影響程度等因素將重大信息安全事件分為三個等級：

　　第三等級：特大信息安全事件，涉及國家安全和社會穩(wěn)定，造成惡劣影響和嚴重后果。

　　第二等級：重大信息安全事件，涉及國家安全和社會穩(wěn)定,造成較大社會影響和較嚴重后果. 第一等級：一般信息安全事件，造成一定社會影響的信息安全事件。

　　2、報告時限:

　　公司發(fā)生以上信息安全事件時,根據(jù)等級的不同分別向上級主管部門報告,報告分為口頭報告、簡要書面報告和專題書面報告：

　　發(fā)生特大信息安全事件時，公司在2小時內(nèi)做出口頭報告，24小時內(nèi)做出簡要書面報告,事件處理結(jié)束后3日內(nèi)做出專題書面報告.

　　發(fā)生重大信息安全事件時，公司在4小時內(nèi)做出口頭報告，24小時內(nèi)做出簡要書面報告，相關(guān)事件處理結(jié)束后3日內(nèi)做出專題書面報告。

　　發(fā)生一般信息安全事件時，公司在48小時內(nèi)做出專題書面報告.

　　3、處置流程：

　　由于公司網(wǎng)絡(luò)環(huán)境安全事件（包括火災(zāi)、盜竊、破壞、供電等)、網(wǎng)絡(luò)運行相關(guān)事件（包括線路中斷、路由障礙、流量異常、域名系統(tǒng)故障等）引發(fā)信息安全時，緊急通知我公司信息主管負責(zé)人，及時消除非法信息，恢復(fù)系統(tǒng)，無法迅速消除或恢復(fù)系統(tǒng)、影響較大時實施緊急關(guān)閉，并及時上報。

　　一般信息安全事件發(fā)生時,向入侵者所在的網(wǎng)絡(luò)管理員投訴.

　　重大信息安全事件及特大信息安全事件發(fā)生時(如造成重大經(jīng)濟損失，破壞國家信息安全的反動政治言論），及時清除、保留證據(jù)，立即向網(wǎng)絡(luò)和信息安全事件應(yīng)急小組報告。網(wǎng)絡(luò)和信息安全事件應(yīng)急小組接到報告后，立即對發(fā)生的事件進行調(diào)查核實、保留相關(guān)證據(jù),確定事件等級，向上級主管部門上報相關(guān)材料。

　　五、信息安全管理政策和業(yè)務(wù)培訓(xùn)制度

　　根據(jù)我國《移動互聯(lián)網(wǎng)信息服務(wù)管理辦法》的有關(guān)規(guī)定，本公司制定以下制度：

　　1、公司各級領(lǐng)導(dǎo)和信息安全管理人員定期(每年至少二次）學(xué)習(xí)《中華人民共和國治安管理處罰條例》、《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》等有關(guān)法律、行政法規(guī)的規(guī)定,提高員工維護網(wǎng)絡(luò)安全的警惕性和自覺性。

　　2、在開展信息安全教育活動中，必須結(jié)合先進的典型事例進行正面教育，以利取長補短。信息安全教育要求體現(xiàn)“六性”，即全員性、全面性、針對性以及成效性、發(fā)展性、經(jīng)常性. 3、加強對我網(wǎng)站的信息發(fā)布審核管理工作，杜絕違犯《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的內(nèi)容出現(xiàn)。

　　4、教育培訓(xùn)目標:

　　不斷提高公司人員信息安全意識、信息技術(shù)素質(zhì)，提高信息安全政策業(yè)務(wù)水平。

　　5、培訓(xùn)制度:

　　1)業(yè)務(wù)學(xué)習(xí)培訓(xùn)計劃由技術(shù)部根據(jù)年度工作計劃作出安排.

　　2）成立業(yè)務(wù)學(xué)習(xí)小組,定期組織業(yè)務(wù)學(xué)習(xí)；

　　3）工作人員每年必須參加不少于15個課時的專業(yè)培訓(xùn)。

　　4）工作人員必須完成布置的學(xué)習(xí)計劃安排，積極主動地參加信息部組織的業(yè)務(wù)學(xué)習(xí)活動。

　　5）有選擇地參加其它行業(yè)和部門舉辦的專業(yè)培訓(xùn)，鼓勵參加其它業(yè)務(wù)交流和學(xué)習(xí)培訓(xùn). 6)支持、鼓勵工作人員結(jié)合業(yè)務(wù)工作自學(xué)。

　　6、培訓(xùn)內(nèi)容：

　　1）計算機安全法律教育

　　①定期組織本單位工作人員認真學(xué)習(xí)《網(wǎng)絡(luò)安全制度》、《計算機信息網(wǎng)絡(luò)安全保護》等業(yè)務(wù)知識，不斷提高工作人員的理論水平。

　　②負責(zé)對企業(yè)的網(wǎng)絡(luò)用戶進行安全教育和培訓(xùn)。

　�、鄱ㄆ诘难�請上級有關(guān)部門和人員進行信息安全方面的培訓(xùn),提高操作員的防范能力. 2）計算機職業(yè)道德教育

　�、俟ぷ魅藛T要嚴格遵守工作規(guī)程和工作制度。

　�、诓坏弥圃�，發(fā)布虛假信息,向非業(yè)務(wù)人員提供有關(guān)數(shù)據(jù)資料。

　　③不得利用計算機信息系統(tǒng)的漏洞偷竊客戶資料，進行詐騙和轉(zhuǎn)移資金。

　�、懿坏弥圃旌蛡鞑ビ嬎銠C病毒。

　　3）計算機技術(shù)教育

　　①操作員必須在指定計算機或指定終端上進行操作。

　�、跈C房管理員，程序維護員，操作員必須實行崗位分離,不得串崗,越崗。

　　③不得越權(quán)運行程序,不得查閱無關(guān)參數(shù)。

　�、馨l(fā)現(xiàn)操作異常,應(yīng)立即向機房管理員報告.

　　7、培訓(xùn)方式：

　　①結(jié)合專業(yè)實際情況，指派有關(guān)人員參加學(xué)習(xí).

　�、谟杏媱澯嗅槍π裕�指派人員到外地或外單位進修學(xué)習(xí)。

　�、叟e辦專題講座或培訓(xùn)班，聘請有關(guān)專家進行講課。

　�、芩�有上崗工作人員或換崗工作人員應(yīng)經(jīng)過培訓(xùn)考核合格,方能上崗. ⑤自訂學(xué)習(xí)計劃，參加專業(yè)函授學(xué)習(xí)成績及時反饋有關(guān)部門，良好學(xué)業(yè)者給予獎勵。

　　8、公司網(wǎng)站必須接受并配合通信管理局和公安機關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實向以上兩個部門提供有關(guān)安全保護的信息、資料和數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過國際互聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)的違法犯罪行為。

　　六、有害信息發(fā)現(xiàn)和過濾技術(shù)手段

　　有害信息安全發(fā)現(xiàn)工作小組成員及職責(zé)

　　主要職責(zé)：

　　(1）承擔公司值守應(yīng)急工作；

　　（2)收集、分析工作信息,及時上報重要信息;

　　(3）負責(zé)公司網(wǎng)絡(luò)與信息安全的監(jiān)測預(yù)警和風(fēng)險評估控制、隱患排查整改工作；

　　(4)負責(zé)網(wǎng)絡(luò)與信息安全突發(fā)事件新聞報道相關(guān)工作；

　　(5）組織制訂、修訂與公司職能相關(guān)的專項應(yīng)急預(yù)案,指導(dǎo)各分公司制定、修訂網(wǎng)絡(luò)與信息安全突發(fā)事件相關(guān)的應(yīng)急預(yù)案；

　　(6）負責(zé)組織協(xié)調(diào)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急演練；

　　(7）負責(zé)公司應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的宣傳教育與培訓(xùn)。

　　我公司作為一家專業(yè)的電信增值服務(wù)商,在為用戶提供全面的健康信息時，對有害信息的過濾采用“系統(tǒng)智能過濾+人工過濾"方案，以保證信息的安全.

　　公司的信息過濾系統(tǒng)是一款專業(yè)的服務(wù)器非法信息過濾軟件，實時攔截、替換服務(wù)器上各個網(wǎng)站的非法信息,并記錄詳細有償信息過濾系統(tǒng)，具有高度的安全性和實用性. 我公司在使用信息過濾系統(tǒng)的同時，還采用人工審核的方式，以多種形式確保為用戶發(fā)送信息的安全性及健康性,促進我國增值電信業(yè)務(wù)市場的良性運作，也為主管部門的監(jiān)督管理工作提供技術(shù)保障，積極推動移動互聯(lián)網(wǎng)信息行業(yè)的健康發(fā)展。

　　公司嚴格建立專人審核信息發(fā)布制度。公司各部門業(yè)務(wù)所有信息發(fā)布前，均需經(jīng)過專人審核，確保信息的合法，安全。

　　信息審核主要負責(zé)人職責(zé)：

　　1、審核的廣度和深度：審核涉及的面較廣，要想真正起作用，不能只對信息系統(tǒng)的“皮毛”進行審計,否則就達不到真正保護系統(tǒng)安全的效力。

　　2、審核的環(huán)節(jié)：從信息系統(tǒng)安全保障體系的各個層次著手，一環(huán)套一環(huán)地進行審核。安全環(huán)節(jié)是很多系統(tǒng)平臺本身就提供的，如對建立的相關(guān)安全檔案進行審核，分析信息安全工作組織與管理情況,對業(yè)務(wù)處理用機操作系統(tǒng)或者數(shù)據(jù)庫等進行檢查，以分析系統(tǒng)的日志管理機制是否合理、有效.

　　3、關(guān)鍵字的設(shè)立、過濾與更新

　　公司保證采用的互聯(lián)網(wǎng)信息平臺具有信息內(nèi)容的過濾功能。信息過濾包括對發(fā)布的信息內(nèi)容、頁面內(nèi)容進行有效過濾。關(guān)鍵字的過濾功能,具體包括關(guān)鍵字設(shè)定、修改、查詢功能，并提供相應(yīng)的測試端口,并具有嚴格的權(quán)限管理功能。在發(fā)現(xiàn)的有害內(nèi)容時按有關(guān)規(guī)定及時向有關(guān)部門匯報，并從技術(shù)上予以保證，包括有害信息的內(nèi)容、發(fā)現(xiàn)時間、發(fā)現(xiàn)來源。

　　七、網(wǎng)絡(luò)安全管理責(zé)任制度

　　1、組織工作人員認真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》,提高工作人員的維護網(wǎng)絡(luò)安全的警惕性和自覺性。

　　2、負責(zé)對我公司員工進行安全教育和培訓(xùn),使員工自覺遵守和維護《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識。

　　3、加強對我網(wǎng)站的信息發(fā)布審核管理工作，杜絕違犯《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的內(nèi)容出現(xiàn)。

　　4、一旦發(fā)現(xiàn)從事下列危害計算機信息網(wǎng)絡(luò)安全的活動：

　�、傥唇�(jīng)允許進入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源；

　�、谖唇�(jīng)允許對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或者增加;

　　③未經(jīng)允許對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加；

　�、芄室庵谱鳌�傳播計算機病毒等破壞性程序的；

　�、輳氖缕渌�危害計算機信息網(wǎng)絡(luò)安全的活動.做好記錄并立即向當?shù)毓�安機關(guān)報告。

　　5、在信息發(fā)布的審核過程中,如發(fā)現(xiàn)有以下行為的：

　�、偕縿涌咕�、破壞憲法和法律、行政法規(guī)實施；

　�、谏縿宇嵏矅�家政權(quán)，推翻社會主義制度；

　�、凵縿臃至褔�家、破壞國家統(tǒng)一；

　�、苌縿用褡宄鸷�、民族歧視、破壞民族團結(jié)；

　　⑤捏造或者歪曲事實、散布謠言，擾亂社會秩序；

　�、扌麚P封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪；

　�、吖�然侮辱他人或者捏造事實誹謗他人;

　�、鄵p害國家機關(guān)信譽。

　　都將接受并配合公安機關(guān)的安全監(jiān)督、檢查和指導(dǎo),如實向公安機關(guān)提供有關(guān)安全保護的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)的違法犯罪行為.

信息安全管理制度15

　　1引言

　　信息化技術(shù)當前已經(jīng)深入應(yīng)用到了醫(yī)院的日常經(jīng)營發(fā)展內(nèi)容中，建立了醫(yī)院整體管理運營信息系統(tǒng)，對提高醫(yī)院的管理效率和管理質(zhì)量發(fā)揮了重要的作用。而信息安全管理，也在當前醫(yī)院日常管理內(nèi)容中占據(jù)了更為重要的位置，同時醫(yī)院信息安全管理的內(nèi)容相較于傳統(tǒng)，也變得更加的豐富，醫(yī)院信息安全管理的內(nèi)容包括醫(yī)院的信息系統(tǒng)網(wǎng)絡(luò)安全、備份信息記錄安全、計算機設(shè)備病毒防治、醫(yī)院信息管理系統(tǒng)平臺安全等諸多內(nèi)容，對醫(yī)院的信息安全提出了更高的要求。醫(yī)院應(yīng)該全面清晰的認清當前信息安全的發(fā)展形勢，做好相應(yīng)的信息安全防治措施。

　　2醫(yī)院信息安全面臨的主要挑戰(zhàn)

　　具體來講，在當前醫(yī)院的發(fā)展過程中，醫(yī)院所面臨的信息安全挑戰(zhàn)主要來自于幾個方面。

　　2．1醫(yī)院信息安全的管理責(zé)任不夠明確

　　正如上文所述，在信息化技術(shù)得到全面普及應(yīng)用的背景下，醫(yī)院的信息安全管理內(nèi)容也越來越豐富，對醫(yī)院的信息安全管理工作提出了極高的要求。

　　當前階段，醫(yī)院信息安全管理工作已經(jīng)成為一項復(fù)雜的系統(tǒng)性管理內(nèi)容，而潛藏的醫(yī)院信息安全隱患則包括醫(yī)院信息設(shè)備的采購、網(wǎng)絡(luò)安全產(chǎn)品的采購、醫(yī)院內(nèi)部崗位信息的流通、醫(yī)院信息數(shù)據(jù)的存儲應(yīng)用、醫(yī)院的安全信息管理策略以及醫(yī)院的信息管理安全人員等諸多方面，過多的醫(yī)院信息安全管理內(nèi)容很容易造成醫(yī)院自身信息安全管理資源的配置不夠優(yōu)化，同時對于醫(yī)院信息安全管理監(jiān)督的執(zhí)行也造成了很大影響，出現(xiàn)醫(yī)院信息安全管理責(zé)任不夠明確的現(xiàn)象。

　　在這種紛繁復(fù)雜的情況下，加強對醫(yī)院的信息安全管理內(nèi)容的全面分析，制定相應(yīng)的醫(yī)院信息安全管理規(guī)則，確定具體的醫(yī)院信息安全管理責(zé)任制度，已經(jīng)成為醫(yī)院信息安全管理發(fā)展過程中的必然措施。

　　2．2醫(yī)院信息管理系統(tǒng)面臨著諸多危害

　　在全面應(yīng)用了信息化技術(shù)，并建立了相應(yīng)醫(yī)院信息管理系統(tǒng)以后，醫(yī)院不僅需要面臨來自內(nèi)部的信息安全管理風(fēng)險，還需要面臨更加迫切的醫(yī)院信息管理系統(tǒng)的安全隱患。

　　具體來講，當前計算機病毒、黑客攻擊以及系統(tǒng)漏洞現(xiàn)象等等，都是當前醫(yī)院信息管理系統(tǒng)在使用的過程中面臨的來自外界的主要危害類型，計算機病毒會造成醫(yī)院信息管理系統(tǒng)出現(xiàn)系統(tǒng)崩潰、系統(tǒng)數(shù)據(jù)丟失的現(xiàn)象，而黑客攻擊甚至可以在不知不覺中盜取醫(yī)院的管理信息、用戶信息以及科研信息，造成醫(yī)院信息安全管理中的重要經(jīng)濟損失，醫(yī)院信息管理系統(tǒng)漏洞現(xiàn)象也有可能被人故意利用，造成醫(yī)院信息安全隱患現(xiàn)象，對醫(yī)院的信息安全發(fā)展造成非常不利的影響。

　　2．3醫(yī)院信息數(shù)據(jù)管理仍然存在著漏洞

　　當前階段醫(yī)院信息數(shù)據(jù)管理工作也仍然存在著一定的漏洞，這種漏洞主要體現(xiàn)在信息數(shù)據(jù)管理工作中數(shù)據(jù)處理工作的不可逆轉(zhuǎn)現(xiàn)象上。

　　具體來講，醫(yī)院在信息數(shù)據(jù)管理的過程中極有可能出現(xiàn)種種失誤現(xiàn)象，例如數(shù)據(jù)刪除失誤、數(shù)據(jù)修改失誤、數(shù)據(jù)應(yīng)用錯誤現(xiàn)象，嚴重的數(shù)據(jù)刪除失誤甚至有可能造成醫(yī)院信息數(shù)據(jù)管理系統(tǒng)崩潰現(xiàn)象，對醫(yī)院的信息安全管理造成極大的安全隱患，而同時醫(yī)院在安全產(chǎn)品的選擇上也存在著無法有效的聯(lián)動現(xiàn)象，造成醫(yī)院無法有效的充分發(fā)揮醫(yī)院信息安全設(shè)備的防護治理功能，醫(yī)院整體的信息安全系統(tǒng)無法形成具有層次性、系統(tǒng)性以及規(guī)范性的保護系統(tǒng)，對醫(yī)院信息數(shù)據(jù)安全管理的發(fā)展也造成了一定的影響。

　　3醫(yī)院信息安全采取的主要措施

　　針對當前醫(yī)院在信息安全發(fā)展過程中面臨的相關(guān)挑戰(zhàn)現(xiàn)象，本文建議醫(yī)院應(yīng)該在信息安全的發(fā)展過程中采取幾項措施，可以有效地達到提升醫(yī)院信息安全管理質(zhì)量的目的。

　　3．1進一步優(yōu)化醫(yī)院信息安全管理機制

　　醫(yī)院在進一步優(yōu)化醫(yī)院信息安全管理機制的過程中，應(yīng)該全面的加強醫(yī)院信息安全管理機構(gòu)、管理隊伍的建設(shè)，同時建立醫(yī)院信息安全管理制度以及醫(yī)院信息安全責(zé)任制度，針對醫(yī)院信息管理工作內(nèi)容進行系統(tǒng)性、規(guī)范性以及權(quán)責(zé)制的管理。

　　在安全機構(gòu)和安全隊伍的建設(shè)上，醫(yī)院必須加強對信息安全管理意識的宣傳，明確醫(yī)院信息安全管理機構(gòu)的權(quán)利與責(zé)任，建立相應(yīng)的醫(yī)院信息安全應(yīng)急預(yù)案機制；而在醫(yī)院信息安全管理制度的優(yōu)化上，醫(yī)院必須針對醫(yī)院面臨的信息安全管理內(nèi)容進行全面細致的優(yōu)化，針對醫(yī)院信息安全管理的范圍、信息安全管理規(guī)程、人員管理制度、設(shè)備維護制度、安全保密協(xié)議、網(wǎng)絡(luò)安全監(jiān)控制度、安全隱患排除制度等等進行明確的優(yōu)化，保證醫(yī)院信息安全管理機制能夠全面的覆蓋醫(yī)院信息安全管理的諸多內(nèi)容。

　　3．2進一步規(guī)劃醫(yī)院信息安全管理流程

　　醫(yī)院進一步規(guī)劃醫(yī)院信息安全管理流程的'目的主要是針對醫(yī)院信息安全管理機制進行更加細致的規(guī)定，醫(yī)院應(yīng)該在醫(yī)院信息安全權(quán)限管理以及醫(yī)院信息安全管理規(guī)程上尤其進行優(yōu)化，達到確實加強醫(yī)院信息安全管理細節(jié)建設(shè)的目的。

　　以醫(yī)院信息安全權(quán)限管理為例，醫(yī)院可以在外來用戶的訪問權(quán)限、內(nèi)部用戶的密碼登錄以及內(nèi)部用戶的權(quán)限等級上進行細致的劃分，同時對用戶在醫(yī)院信息管理系統(tǒng)內(nèi)部的瀏覽內(nèi)容進行監(jiān)控，對外來用戶進行IP清查以及MAC地址綁定，有效的提高醫(yī)院信息安全管理的細節(jié)掌控。

　　3．3進一步加強醫(yī)院信息安全防護技術(shù)

　　醫(yī)院在信息安全管理工作中，應(yīng)該進一步加強對信息冗余技術(shù)、數(shù)據(jù)中心檢測技術(shù)、信息安全防治技術(shù)、系統(tǒng)監(jiān)控技術(shù)等相應(yīng)信息安全技術(shù)的應(yīng)用，保證醫(yī)院自身系統(tǒng)在使用的過程中不會因為數(shù)據(jù)刪除失誤而造成系統(tǒng)崩潰的現(xiàn)象，提高醫(yī)院信息管理系統(tǒng)的穩(wěn)定性、安全性以及可優(yōu)化性，加強對數(shù)據(jù)中心的備份記錄，保證醫(yī)院信息安全防護技術(shù)能夠充分的提升醫(yī)院信息安全管理的質(zhì)量。

　　4結(jié)束語

　　本文以醫(yī)院為例，具體分析醫(yī)院在信息安全管理工作面臨的問題現(xiàn)象和采取的發(fā)展措施，進而對醫(yī)療行業(yè)的信息安全發(fā)展形勢進行了分析和闡述。

【信息安全管理制度】相關(guān)文章：

信息安全管理制度[經(jīng)典]01-18

信息安全管理制度07-01

信息安全管理制度08-02

公司信息安全管理制度06-03

醫(yī)院信息安全管理制度07-03

信息安全管理制度[優(yōu)選]01-18

醫(yī)院信息安全管理制度08-24

客戶信息安全管理制度06-19

醫(yī)院信息安全管理制度(精)11-04