1566范文网 > 企业管理 > 制度大全 > 安全制度
栏目

信息安全等级保护制度(十二篇)

发布时间:2024-11-29 热度:62

信息安全等级保护制度

第1篇 信息安全等级保护制度

第一条

为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条

国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

第三条

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条

信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条

信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。

第二章 等级划分与保护

第六条

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

第八条

信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

第三章 等级保护的实施与管理

第九条

信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。

第十条

信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

第十一条

信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。

第十二条

在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(gb17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(gb/t20271-2006)、《信息安全技术 网络基础安全技术要求》(gb/t20270-2006)、《信息安全技术 操作系统安全技术要求》(gb/t20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(gb/t20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(ga/t671-2006)等技术标准同步建设符合该等级要求的信息安全设施。

第十三条

运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(gb/t20269-2006)、《信息安全技术 信息系统安全工程管理要求》(gb/t20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。

第十四条

信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。

第十五条

已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。

第十六条

办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:

(一)系统拓扑结构及说明;

(二)系统安全组织机构和管理制度;

(三)系统安全保护设施设计实施方案或者改建实施方案;

(四)系统使用的信息安全产品清单及其认证、销售许可证明;

(五)测评后符合系统安全保护等级的技术检测评估报告;

(六)信息系统安全保护等级专家评审意见;

(七)主管部门审核批准信息系统安全保护等级的意见。

第十七条

信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

第十八条

受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。

对第五级信息系统,应当由国家指定的专门部门进行检查。

公安机关、国家指定的专门部门应当对下列事项进行检查:

(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;

(二) 运营、使用单位安全管理制度、措施的落实情况;

(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;

(四) 系统安全等级测评是否符合要求;

(五) 信息安全产品使用是否符合要求;

(六) 信息系统安全整改情况;

(七) 备案材料与运营、使用单位、信息系统的符合情况;

(八) 其他应当进行监督检查的事项。

第十九条

信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:

(一) 信息系统备案事项变更情况;

(二) 安全组织、人员的变动情况;

(三) 信息安全管理制度、措施变更情况;

(四) 信息系统运行状况记录;

(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;

(六) 对信息系统开展等级测评的技术测评报告;

(七) 信息安全产品使用的变更情况;

(八) 信息安全事件应急预案,信息安全事件应急处置结果报告;

(九) 信息系统安全建设、整改结果报告。

第二十条

公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。

第二十一条

第三级以上信息系统应当选择使用符合以下条件的信息安全产品:

(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;

(二)产品的核心技术、关键部件具有我国自主知识产权;

(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;

(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;

(五)对国家安全、社会秩序、公共利益不构成危害;

(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。

第二十二条

第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:

(一) 在中华人民共和国境内注册成立(港澳台地区除外);

(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三) 从事相关检测评估工作两年以上,无违法记录;

(四) 工作人员仅限于中国公民;

(五) 法人及主要业务、技术人员无犯罪记录;

(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;

(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(八) 对国家安全、社会秩序、公共利益不构成威胁。

第二十三条

从事信息系统安全等级测评的机构,应当履行下列义务:

(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;

(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;

(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。

第四章 涉密信息系统的分级保护管理

第二十四条

涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。

非涉密信息系统不得处理国家秘密信息等。

第二十五条

涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。

涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准bmb17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。

第二十八条

涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准bmb22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。

涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:

(一)系统设计、实施方案及审查论证意见;

(二)系统承建单位资质证明材料;

(三)系统建设和工程监理情况报告;

(四)系统安全保密检测评估报告;

(五)系统安全保密组织机构和管理制度情况;

(六)其他有关材料。

第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。

第三十二条

涉密信息系统建设使用单位应当依据国家保密标准bmb20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。

第三十三条

国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:

(一)指导、监督和检查分级保护工作的开展;

(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;

(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;

(四)依法对涉密信息系统集成资质单位进行监督管理;

(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;

(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;

(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。

第五章 信息安全等级保护的密码管理

第三十四条

国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。

信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。

第三十五条

信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。

第三十六条

信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。

第三十七条

运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。

第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。

第三十九条

各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。

第六章 法律责任

第四十条

第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:

(一) 未按本办法规定备案、审批的;

(二) 未按本办法规定落实安全管理制度、措施的;

(三) 未按本办法规定开展系统安全状况检查的;

(四) 未按本办法规定开展系统安全技术测评的;

(五) 接到整改通知后,拒不整改的;

(六) 未按本办法规定选择使用信息安全产品和测评机构的;

(七) 未按本办法规定如实提供有关文件和证明材料的;

(八) 违反保密管理规定的;

(九) 违反密码管理规定的;

(十) 违反本办法其他规定的。

违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。

第四十一条

信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。 [1]

第七章 附则

第四十二条

已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。

第四十三条

本办法所称“以上”包含本数(级)。

第四十四条

本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。

第2篇 班组安全信息化制度

1、建立班组安全信息化网络和平台,健全班组员工信息档案,详细准确。

2、班组安全信息管理到位,要配备专职安全信息员,整理和反馈班组安全动态。

3、广泛系统的宣传有关班组建设各项政策,保证政策渗透到每个岗位,人人皆知,个个领会。

4、严格执行井下定员入井人数、个人定位识别轨迹、考勤统计“三对口”,确保数据及时准确。

5、班组井下通讯设施齐备、完善、达标,班组工作地点监测监控信息到位。

第3篇 数据资料信息安全管理制度

第一条 机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。

第二条 各单位要建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。

第三条 各项技术资料应集中统一保管,严格借阅制度。

第四条 应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份,并报送有关部门存放。

第五条 存放税收业务应用系统及重要信息的磁带光盘严禁外借,确因工作需要,须报请有关领导批准。

第六条 对需要长期保存的数据磁带、磁盘,应在一年内进行转储,以防止数据失效造成损失。

第七条 对有关电脑文件、数据进行加密处理。为保密需要,应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息,须经有关领导批准,才能查询、打印有关保密资料。对保密信息应严加看管,不得遗失、私自传播。

第八条 及时关注电脑界病毒防治情况和提示,根据要求调整计算机参数或安装防毒软件,避免电脑病毒侵袭。

第九条 对于联入局域网的计算机,任何人在未经批准的情况下,不得向局域网内拷入软件或文档。

第十条 任何微机需安装软件时,由各单位提出申请,经同意后,由计算机管理人员负责安装。

第4篇 中学学校安全信息汇报制度

中学(学校)安全信息汇报制度

为保证学校对各种安全信息的全面掌握,综合分析各种情况,以做出迅速准确的判断,确保安全工作有效、及时,特制定本安全汇报制度。

一、指导思想

根据党和国家各级政府关于和谐社会、平安校园的指示精神,切实做好学校安全工作,保持政治敏感性和安全工作的敏感性,做到预防第一,对问题早发现、早处理,做到信息畅通,头绪清楚,指挥统一。各部门和岗位明确职责,工作尽职,使安全工作落实、有效,确保校园一方平安。

二、工作原则

1.分工负责、集中处理原则。各部门各岗位具体负责本职工作,所获得的信息及时汇总到安全办,由安全办汇总报主管校长。

2.重要信息直接报告原则。即可能发生重大事故的隐患信息直接报安全办或校长。

3.日查日报原则。对各岗位获得的有关安全方面的信息实行无事报平安、有事及时汇报的原则。

三、岗位职责

1.出勤信息报告制。

(1)班主任每天上午和下午向年级报告学生出勤情况和缺勤学生的缺勤原因、处置情况,年级汇总后报安全办,安全办汇总后报校长。

(2)办公室将教师出勤情况直接报校长。

(3)午休出勤情况除向德育处报告外,必须报安全办备案。

2.加强值班管理,形成检查情况报告制。

(1)年级楼层值班日报制。

(2)保安值班情况日报制。

(3)校园周边值日日报制。

(4)午休情况日报制。

(5)水、电、消防检查日报制。

3.加强食品、饮水管理,消除安全隐患

(1)食堂必须落实进货索证索票制、试吃制、留样制,严格按操作规程实施操作。

(2)总务处严格按规定对饮水质量进行监控,加强班级饮水管理,所有桶装水必须放在班级教室内,并专人管理;尽量保持饮水不积压。

(3)医务室加强对食堂检查,发现问题及时报告。

4.班主任增强政治敏感性,强化责任意识。

(1)班主任守土有责,应加强对学生情况的关注,及时了解学生动态,做好预防工作和教育工作。

(2)加强与家长的联系,做好家长的工作,争取家长对子女教育工作的配合,同时增加获得安全信息的渠道。

(3)落实信息报告制,及时向年级或安全办反映发现的情况。

5.落实全员育人制度,关注校园安全。全体教职工都有义务有责任关注校园安全,关心学生成长,发现问题,及时与班主任、年级长以及相关管理部门报告,保证学校对安全信息及时、全面掌握,共同做好学校安全工作。

各种信息除向主管上级汇报外,也可以直接向安全办、德育处或主管校长直接报告,以增强信息处理的时效性。

总之,安全工作是学校工作的重中之重,各部门各岗位守土有责,发现情况,应做到及时报告,以利于对问题的及时处理,使安全工作能做到防范于未然。

第5篇 信息安全制度范本

1、为确保增补叶酸预防神经管缺陷项目信息的安全,特制定信息安全管理制度。

2、严格遵守国家有关法律、法规、政策、技术规范和信息标准。

3、建立以单位法人代表总负责的信息安全管理机制。

4、加强信息管理人员的教育和监督,实施全面质量管理,预防差错和事故,确保信息安全。

5、收集、汇总和储存增补叶酸预防神经管缺陷项目信息时,必须确保数据信息安全。

6、有关部门因工作需要使用项目相关信息时,应提出书面申请报卫生行政部门同意后方可使用,使用时不得调用原始数据信息。

7、如发生信息安全事故,应积极采取有效措施,保存相关记录并按规定报有关部门。

8、任何相关机构与责任人违反以上制度,一经查实,将按有关规定进行处罚,并承担相应法律责任。

第6篇 信息安全管理政策业务培训制度

第一章信息安全政策

一、计算机设备管理制度

1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

2.非我司技术人员对我司的设备、系统等进行维修、维护时,必须由我司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。

3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非我司技术人员进行维修及操作。

二、操作员安全管理制度

1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.

2.系统管理操作代码的设置与管理:

(1)、系统管理操作代码必须经过经营管理者授权取得;

(2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;

(3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;

(4)、系统管理员不得使用他人操作代码进行业务操作;

(5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;

3.一般操作代码的设置与管理

(1)、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。

(2)、操作员不得使用他人代码进行业务操作。

(3)、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。

三、密码与权限管理制度

1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;

2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。

3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。

4.系统维护用户的密码应至少由两人共同设置、保管和使用。

5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。

四、数据安全管理制度

1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;

2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。

3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。

4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。

5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。

6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

7.非我司技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。

8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。

9.运行维护部门需指定专人负责计算机病毒的防范工作,建立我司的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。

10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。

五、机房管理制度

1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。

2.信息部人员进入机房必须经领导许可,其他人员进入机房必须经信息领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经信息部负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。

3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。

4.工作人员进入机房必须更换干净的工作服和拖鞋。

5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。

6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。

7.严禁在通电的情况下拆卸,移动计算机等设备和部件。

8.定期检查机房消防设备器材。

9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。

10.主机设备主要包括:服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。

11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。

12.计算机机房后备电源(ups)除了电池自动检测外,每年必须充放电一次到两次。

第二章业务培训制度

一、培训制度

1、业务学习培训计划由信息部根据年度工作计划作出安排。

2、成立业务学习小组,定期组织业务学习;

3、工作人员每年必须参加不少于15个课时的专业培训。

4、工作人员必须完成布置的学习计划安排,积极主动地参加信息部组织的业务学习活动。

5、有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。

6、支持、鼓励工作人员结合业务工作自学。

二、培训内容:

1.计算机安全法律教育

(1)、定期组织我司工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。

(2)、负责对企业的网络用户进行安全教育和培训。

(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。

2.计算机职业道德教育

(1)、工作人员要严格遵守工作规程和工作制度。

(2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。

(3)、不得利用计算机信息系统的漏洞偷窃客户资料,进行诈骗和转移资金。

(4)、不得制造和传播计算机病毒。

3.计算机技术教育

(1)、操作员必须在指定计算机或指定终端上进行操作。

(2)、机房管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。

(3)、不得越权运行程序,不得查阅无关参数。

(4)、发现操作异常,应立即向机房管理员报告。

三、培训方法:

1.结合专业实际情况,指派有关人员参加学习。

2.有计划有针对性,指派人员到外地或外单位进修学习。

3.举办专题讲座或培训班,聘请有关专家进行讲课。

4.所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗。

5.自订学习计划,参加专业函授学习成绩及时反馈有关部门,良好学业者给予奖励。

第7篇 工艺安全信息管理程序制度

1范围与应用领域

1.1目的

为统一、规范工艺安全信息管理,保证材/物料、工艺、设备等安全信息的完整性和准确性,为工艺安全管理活动提供基础资料,特制定本程序。

1.2适用范围

本程序适用于公司以及为其服务的承包商。

1.3应用领域

本程序应用于公司研究、工艺设计、技术改造、生产、储存和运输操作中与毒性、易燃易爆性、化学反应性和其他危害相关的工艺安全管理活动。

2参考文件

公司《工艺安全信息管理规范》

《工艺危害分析管理办法》

《设备完整性管理程序》

《新设备质量保证管理程序》

《技术和设施变更管理办法》

《事故事件管理规定》

《培训管理程序》

3术语和定义

3.1工艺安全信息:是指物料的危害性、工艺设计基础和设备设计基础的完整、准确的文件化的信息资料。

3.2工艺设计基础:是对工艺过程及参数的描述,包括工艺原理、工艺流程、物料平衡、能量平衡、工艺参数、工艺参数的限值及超出限值的后果等。

3.3设备设计基础:是指设备设计的依据,包括设计规范和标准、工程数据、工程图、设备负荷计算、设备规格、厂商的制造图纸等。

3.4化学反应性:物质进行化学反应的趋势。

3.5化学反应性危害:可能出现化学反应失控的状况,并且该反应有可能对人员、设备或环境带来直接或间接的伤害,通常伴随有温度升高、压力升高、气体产生或其他形式的能量释放的现象。

3.6失控反应:因为放热化学反应产生热量的速率超过冷却能力而使得反应失去控制(如以温度和压力的快速增加为标志)的情况。

3.7自反应物质:能够发生聚合、分解和重组反应的物质。反应的启动可能是自发的、通过能量输入的(如热力或机械能量)或通过能提高反应速率的催化行为的。自反应物质也包括能自燃、形成过氧化物、与水反应的物质或氧化剂。

3.8本质较安全工艺:应用无危害或危害较小的设备、原料或工艺步骤的工艺流程。

3.9化学反应矩阵:是一种系统的、定性的分析工艺中反应危害的技术。典型做法是制作一个矩阵,列出工艺中和有关公用工程中所使用的材/物料以及可能进入工艺中的杂质,材/物料同时列在矩阵的第一排和第一列,然后通过相互交叉检查每排与每列中材/物料,系统地评估可能发生的危害反应。

3.10psm关键设备:因失效可能导致或促使工艺事故的发生,造成人员死亡或严重伤害、重大财产损失或重大环境影响的设备。

3.11标准操作条件(soc):温度、压力、流量、液位、物料组分等参数在正常运行时满足工艺调整要求的最大值、最小值、设定值,以及偏离的后果和预防或纠正偏离的操作。

4职责

4.1企管法规处负责组织制定、管理和维护本程序。

4.2生产运行处负责工艺安全信息的管理,并为基层单位提供工艺设计基础方面的技术支持。

4.3机动设备处负责设备设计基础的管理,并为基层单位提供相关技术支持。

4.4质量安全环保处负责材/物料的危害性的管理,并为基层单位提供相关技术支持。

4.5工程管理部负责向业务主管部门和使用单位提供新改扩建项目中所涉及的工艺安全信息资料。

4.6电子商务部负责向使用部门提供所采购化学品的msds和设备的技术说明书、操作手册等资料。

4.7人事处负责组织本程序的培训。

4.8综合服务中心档案室负责公司工艺安全信息的储存管理。

4.9各相关单位负责本单位工艺安全信息的收集、建立、维护与更新。

5管理要求

5.1工艺安全信息的构成

5.1.1 材/物料的危害性数据至少包括:

5.1.1.1 物理性质数据通常可包括:分子量、热容量、蒸气压、燃烧热、粘度、电导率和介电常数、凝固点、相对蒸气密度、水溶性、比重、颗粒度、ph值、熔点、物理状态/外观、沸点、气味(一般情况和嗅觉极限)、表面张力、临界温度/压力汽化热、稳定性、不相容性、分解性等。

5.1.1.2 化学反应性数据通常可包括:

a) 热稳定性和化学稳定性信息:稳定性、分解产物或副产物,发生聚合反应和失控反应的可能性,应避免的条件;

b) 不相容性:化学品、杂质、设备设施选材、建筑材料和公用工程(如仪表风和循环水等)相互之间可能的反应;

c) 热力学和反应动力学数据:反应热,不稳定开始的温度和能量释放的速率;

d) 反应活性大或不稳定的中间产品、产品或副产物的生成;

e) 确定意外混合或失控反应产生的毒性或易燃易爆性物质的种类及其生成速率。

5.1.1.3 易燃性数据通常可包括:

a) 易燃性特征(如,闪点、燃烧下限、燃烧上限和自燃温度);

b) 适用时,燃烧所需最低氧气浓度;

c) 热力学和化学稳定性(如自燃、自氧化、绝热压缩);

d) 粉尘特性(如颗粒粒径分布、最低点燃温度、最低点燃能量、最低爆炸浓度);

5.1.1.4 毒性数据通常可包括:

a) 时间加权平均容许浓度;

b) 短时间接触容许浓度;

c) 最高容许浓度。(参见gbz2.1-2006《工作场所有害因素职业接触限值化学有害因素》)

5.1.1.5 腐蚀性数据。腐蚀性以及与施工材质的不相容性。

5.1.2 工艺设计基础至少应包括以下数据:

a) 工艺流程、工艺原理及化学品相关反应的说明书;

b) 工艺流程图;

c) 设计确定的工艺物料的最大储存量;

d) 主要控制参数(温度、压力、液位、流量和组分等)的安全操作范围;

e) 非正常工况的后果评估,包括对员工健康安全的影响;

f) 物料和能量平衡。

5.1.3 设备设计基础应当包括以下数据:

a) 工艺设备的建造材质,包括工艺管道、设备的材质;

b) 带控制点的管道仪表流程图;

c) 电气设备危险等级区域划分图;

d) 泄压系统的设计及设计基础;

e) 通风系统的设计;

f) 设计所依据的标准、规范;

g) 安全系统,如联锁、监视、监测、控制系统等;

h) 设备的设计依据、设备负荷计算、设备规格、厂商的制造图纸等;

i) 工程图、工程数据等;

j) 关键设备清单等。

5.2工艺安全信息的移交

5.2.1 对于新改扩建项目:

5.2.1.1 工艺安全信息资料,由工程管理部收集,项目竣工后向专业主管部门移交,双方保留交接证据。

5.2.1.2 竣工资料, 由工程管理部向综合服务中心档案室移交,双方保留交接证据。

5.2.1.3 专业主管部门及时向使用单位移交工艺安全信息资料,双方保留交接证据。

5.2.2 对于技改技措项目和装置检修项目,由项目施工主管部门(机动设备处或工程管理部),及时向使用单位移交工艺安全信息资料,双方保留交接证据。

5.2.3 对于日常采购的化学品和成套设备,由电子商务部向使用单位移交工艺安全信息资料,双方保留交接证据。

5.3工艺安全信息管理

5.3.1 各单位应针对工艺过程中所使用或产生的物质,包括:原料、中间产品、催化剂、添加剂、产品和废弃物等,结合5.1条款的要求和msds,收集、识别并建立工艺安全信息文件和物资间化学反应矩阵,以便供使用者查阅。

5.3.2 各单位应根据装置物料的变化,工艺设备变更等情况,随时更新相关工艺安全信息文件和化学反应矩阵。

5.3.3 工艺安全信息管理管理范例参见附录1。

5.3.4 专业主管部门每年至少对各单位工艺安全信息管理情况进行一次检查,针对存在的问题监督整改,并保留相关证据。

5.3.5 各单位应组织工艺安全信息以及更新后的工艺安全信息的培训,具体执行《培训管理程序》。

5.3.6 各单位应将更新后的工艺安全信息,以及传递到相关部门,并保留相关证据。

5.4工艺安全信息文件管理

5.4.1 各相关单位应确保本单位所有工艺安全信息文件都有专人或岗位负责管理,建立相关工艺安全信息清单,并以清单的形式进行受控管理,详见《技术文件和资料管理办法》。

5.4.2 工艺安全信息文件以电子文档、纸制或两者的组合形式进行存档,以便员工使用。以电子文档形式存档的工艺安全信息,应进行备份,每半年进行一次校对,确保信息的完整性。

5.4.3 工艺安全信息文件的防护、复制、过期信息的销毁和保留,具体执行《记录控制程序》。

6管理系统

6.1资源支持

公司现有资源都是协助实施本程序的可利用的资源。

6.2管理记录

企管法规处负责本程序各版本的留存记录和修改明细。

6.3审核要求

公司主管部门、所属单位和部门都应把工艺安全信息作为审核的一项重要内容,必要时可针对工艺安全信息组织专项审核。

6.4复核与更新

本程序应定期评审和必要时的修订,最低频次自上一次发布之日起不超过3年。

6.5偏离管理

本程序所发生的偏离应报公司主管领导批准。偏离应书面记载,其内容应包括支持偏离理由的相关事实。每一次偏离的有效期不能超过一年,逾期须重新申报。

6.6培训和沟通

本程序由人事处负责组织培训和沟通。

6.7解释

本程序由公司企管法规处负责解释。

第8篇 校园网络信息安全管理制度

1、网络中心及各接入用户必须遵守《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其它法律、行政法规的规定。

2、网络中心必须采取各种技术及行政手段保证网络安全和信息安全。

3、网络中心的工作人员和用户必须对所提供的信息负责。不得利用计算机网络从事危害国家安全,泄露国家秘密等违法活动,不得制作、查阅、复制和传播有碍社会治安和有伤风俗文化的信息。

4、在校园计算机网络上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动,包括在网络上发布不真实、不良的信息,散布计算机病毒,发送垃圾邮件,利用网络进入未经授权使用的计算机、不以真实的身份使用网络资源等。

5、校园网络信息安全管理领导小组负责校园网络信息安全全面工作,学校主要领导为校园网络信息安全第一责任人,计算机信息网络安全员负责网络和信息安全具体工作。

6、网络中心应按照《计算机信息网络国际联网安全保护管理办法》定期对网络用户进行网络安全和信息安全教育。

7、网络中心应根据国家有关规定对上网用户进行审查。凡违反国家有关规定的信息严禁上网。

8、校园计算机网络上的所有用户有义务向网络中心和有关部门报告所发现的网络信息违法犯罪行为和有害信息。

9、网络中心和用户必须接受上级有关部门依法进行的监督检查。对违反本管理办法的个人进行警告,直至停止网络连接;情节严重者报上级机关处理。

第9篇 信息技术外包服务安全管理制度

第一节 总则

1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。

2、本制度所称信息技术外包服务,是指医院以签订合同的方式,委托承担信息技术服务且非本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。

3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。

4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。

第二节 外包服务范围

5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。

6、咨询服务:

6.1根据医院的信息化建设总体部署,协助医院制定切实可行的技术实施方案。

6.2 对医院现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估,提出合理化的解决方案。

6.3 根据医院的实际情况提出备份方案和应急方案。

6.4 其它信息技术咨询服务。

7、运行维护服务:

7.1 软硬件设备安装、升级服务。

7.2硬件设备的维修和保养。

7.3 根据医院业务变化,提供应用系统功能性的需求解决方案及执行服务。

7.4系统定期巡检和整体性能评估。

7.5 日常业务数据问题的处理服务。

7.6 其它运行维护服务。

8、技术培训:根据医院的实际情况,提供相关的技术培训。

第三节 外包服务安全管理

9、外包服务安全管理应按照“安全第一、预防为主”的原则,采取科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。

10、 成立由分管领导同志信息化外包管理组织,明确信息化管理的部门、人员及其职责。

11、建立信息建设安全保密制度,与外包服务方签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。

12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。

13、外包服务方的人员素质、技术与管理水平能够满足拟承担项目的要求,进行相应的安全资质管理。

14、信息中心配备专人负责安全保密工作,负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估,采取安全措施对访问实施控制,出现问题应遵照合同规定及时处理和报告,确保其提供的服务符合医院的内部控制要求。

15、对外包服务的业务应用系统运行的安全状况应定期进行评估,当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务。

16、使用外包服务方设备的,对其进行必要的安全检查。

17、在重要安全区域,对外部服务方的每次访问进行风险控制;必要时应外部服务方的访问进行限制。

第四节 附则

18、本制度由信息中心负责解释。

19、本制度自发布之日起生效执行。

第10篇 某大学继续教育学院信息中心机房安全管理制度

z大学继续教育学院信息中心机房安全管理制度

一、计算机机房是信息化设备运行和数据处理的重要场所,除信息中心管理人员外,其他人员未经许可一律不得进入机房。

二、有关人员发生工作变动,应及时向机房管理人员报告,立即注销其进出许可,并收回钥匙。

三、定期清理机房内卫生,保持机房内干净、整洁;有关人员进出机房后要及时关闭机房门,避免外部灰尘进入。

四、机房内严禁吸烟、使用明火和电加热设备;严禁带入和存放各种易燃、易爆、腐蚀、挥发性和强磁物品;不准在机房内吃喝各种食物和饮料;机房内不准进行与工作无关的活动。

五、机房内温度一般应控制在摄氏18-25度之间,湿度控制在45%-55%之间,根据季节和设备要求及时调整专用空调参数设置。

六、各应用服务器及专用设备应指定专人负责管理,非管理人员不得随意触动和操作配电设备、UPS系统、计算机类设备。

七、设施、设备的安装使用应按照统一规划,不得随意安装、移动。

八、做好设备运行情况记录,特别要对设备发生故障及故障排除恢复情况作详细记录。

九、对于机房出现的任何问题,机房管理员都应及时到达现场,不得推诿、拖延,更不能不予理睬。

十、机房值班人员要认真负责,必须对机房及有关设备运行情况进行认真巡查(每日不少于4次),发现问题要及时正确处理,并迅速报告有关负责人。

十一、每半年全面检查一次机房安全管理的情况。检查人员由科室的主要负责人和相应的技术人员组成。

第11篇 企业信息安全管理制度

近年来, 随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代--信息化时代。随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。

一、前言:企业的信息及其安全隐患。

在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面:

a. 技术图纸。主要存在于技术部、项目部、质管部。

.b. 商务信息。主要存在于采购部、客服部。

c. 财务信息。主要存在于财务部。

d 服务器信息。主要存在于信管部。

e 密码信息。存在于各部门所有员工。

针对以上涉及到安全的信息,在企业中存在如下风险:

1 来自企业外的风险

①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。

②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及ddos分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。

2、来自企业内的风险

① 文件的传输风险。若有员工将公司重要文件以qq、msn发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。

②文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。

③文件的传真风险。若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文

件和重要资料带走,会造成企业信息的外泄。

④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机

密信息。若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。

⑤ 上网行为风险。员工可能会在电脑*问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。

⑥用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握,

可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。

⑦机房设备风险。主要包括服务器、ups电源、网络交换机、电话交换机、光端机等。这些风险来自防

盗、防雷、防火、防水。若这些自然灾害发生,可能会损坏机房设施,造成业务中断。

⑧办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识,在办公区域随意堆放本

部门的重要文件或是在办公区域毫不避嫌谈论工作内容,若不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。

为了保证企业信息的安全保密,公司所有人员必须严格遵守企业信息安全管理总则,以安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。

二、总则:从整个公司层出发,针对这些信息隐患制订安全防范措施。

1.计算机设备安全管理。

1) 公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

2) 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。

3)发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:违章作业;保管不当;擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。

4)下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。

2.部门资料安全管理。

1) 外接存储设备安全管理。

严禁所有人员以个人介质光盘、u盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱:①将用户主机贴上封条标签,除信管部人员外,任何人不得私自拆开机箱,若信管部进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。信管部将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。②给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由信管部保管,若需要为用户处理电脑故障时,信管部在打开锁柜处理完电脑故障时,一定要锁好主机柜,确保主机内硬盘的安全。

2) 文件传真安全管理。

所有人员对外发送传真,必须经上级核实后,统一在综合部登记,由综合部发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。

3) 文件打印安全管理。

所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。

4) 文件的存储安全管理。

所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用u盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门u盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。

5) 办公区域的安全管理。

所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好,被他人取走,造成的后果将由本人承担。

3.帐号密码安全管理。

使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工,员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应注意:密码至少有8个字符长;密码必须包含以下任一部分:字母a-z或a-z,数字0-9,特殊字符,例如 $ ,-等。

1)电脑密码管理:每个员工拥有一个公司内部计算机登录帐户。新员工申请帐户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记,若更改密码后,未进行登记,一经信管部发现,将对该用户进行口头警告。同时,因没有及时向信管部备案造成的电脑故障问题或文件丢失等问题,信管部不承担责任。

2)应用系统密码管理:所有erp用户及oa用户都将分配到一个帐号密码,帐号是不变的,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码,若密码设置过于简单,被其他用户非法登陆后,在erp中将会非法编制篡改单据,在oa中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;严禁将erp帐号或oa帐号密码透露给他人,让他人代己做erp单据或办理oa流程;员工调离岗位或离职,所在部门负责人应及时通知信管部注销该员工的应用系统帐户。若因以上原因造成的信息安全后果将由本人承担。

3)采用用户身份认证系统:目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用服务器,破坏或盗取商业数据等。因此,我部门在未来的发展规划中,要将用户身份认证当作安全的一个重大隐患,想办法解决这个问题。

这里,我们可以采取动态口令牌或usb key认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于60秒内自动刷新密码,无法采用数据字典扫描破解密码,让黑客攻击行为束手无策;而usb key采用usb密钥,存储特定的加密算法,只有将usb钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网内的行为、网外的行为都是安全的。

4..杀毒软件安全管理。

用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级,每日定时杀毒,使用者也应经常手动扫描杀毒。

5.各类软件安全管理。

软件原始盘片应交综合部保管,软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)交综合部保管。保管应做到防水、防磁、防火、防盗。使用者必需的操作守册由使用者长借、保管。

6.邮件安全管理。

所有因公对外联系的电子邮件一律通过公司邮箱或 或在指定的电脑上进行收发。(参考邮箱管理制度)

综上所述,使用者应该具有一定的安全防范意识,具体应做到:

日常工作信息安全:

1)员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。

2.)员工有责任正确地保护分配给本人的所有计算机帐户。

3.)各部门经理及人事部应及时向信息管理部提供本部门及公司员工的人事及职位变动信息。

4)每台公司电脑内必须安装反病毒软件并启动实时扫描程序。信息管理部可以提供最新杀毒软件。

5)不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。

6)任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。

假期时间办公室的安全: 确保工作电脑的安全,在你离开之前的一周内备份你的文件。在你即将离开之际确保你的电脑关机并设有开机密码,其它信息管理部设备的电源也必须切断。

确保数据的安全:确保你的软盘,备份数据源和所有机密文件被妥善锁好。公司高度秘密和秘密信息在不用时必须总是被保存在设有密码锁或钥匙的柜中。公司的机密信息必须存放在锁上的办公桌或文件柜中。

当你在外的时候:不要在任何地方谈论公司的机密信息。公司的竞争对手成员也可能在休假,而且总在探听我们公司的消息。任何小小的信息都可能是他们所需要的。

当你回来的时候:如果你发现在安全方面有任何可疑之处都要向公司有关方面进行汇报。报告任何意外对于正确调查和阻止任何更进一步错误的行为是很重要的。

常规注意事项

1)任何外来盘片(包括cd、vcd碟片及软盘),只有经过系统管理员确认不带病毒后,才可在公司计算机上使用.否则造成病毒感染或其他破坏的,公司将对其责任人进行罚款处理,每次金额50元~500元。

2)个人未经公司领导允许不得擅自将公司保密的商务资料、技术文件输出,若需输出必须履行审批手续。申请人填写申请单,写明输出资料内容、份数、路径、用途、申请日期、申请人等项目,经部门领导和公司领导共同签字审批后,交由专人上机操作。

3)未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查,发现有违反本条规定的,将给予50元~500元的罚款。

4)严禁在工作时间利用计算机网络从事与本职工作无关的活动,发现有违反本条规定的,将给予50元~200元的罚款。

三、细则:从各部门级出发,针对这些信息隐患制订安全防范措施。

1.采购部的安全处理措施如下:

1)采购招标的安全管理。

由采购部门编写招标计划,经部门负责人签字后,上报总经理审批,总经理根据生产过程的物料需求及原有的物料采购价格决定是否需要寻找新的货源,若审批同意后,采购部才可以开展招标工作。采购部门制定招标邀请书,邀请众多有法人资格、供货条件的单位参与我公司的招标活动。在发标书的过程中。采购部应遵守下列原则:①招标的公开性:对于采购的招标信息应该公开;评标的标准和程序应该公开;中标的结果应该公开。②招标的公平与公正:对待各方投标者一视同仁,不得对任何投标方带有主观意见。③招标的保密性:采购部人员严禁以任何形式向投标方透露招标的意向。评标完成后提交评标报告给总经理,最后由总经理中标、授标。

2)采购价格及供应商的信息安全保密。

采购信息的保密要求采购部所有人员不得以任何形式向其他部门或外部人员透露物料采购的价格,严禁向他人透露各种物料的供货来源。采购部门人员要随时检查个人办公区域的文件资料是否存放好,防止因打印的采购价格表和供应商联络单没有存放好,导致采购信息资料外泄。要求部门人员要严格保管好工作纸质文件,同时一定要在电脑中设置带密码的屏幕保护确保价格信息与供应商资料的电子信息安全。

2.客服部有如下工作存在安全隐患:

1)及时向甲方传递发货信息与到货信息。

2)甲方基地发货及库存统计:记录甲方发往各风场的数据,盘点甲方各基地库存数;

3)总经办工作安排。

以上存在的安全隐患及处理措施如下:

a)发货、到货、现场库存信息安全。

客服部人员在统计往风场发货及现场库存的时候,可能会因为客服部盘点疏忽,最终统计的库存结果不准确。这会造成公司的发货信息与现场到货数量不一致,从而得迅速查找整个发货到货流程的出错环节;甚至会因为库存统计的不准确,延迟发货到货时间,导致现场库不能及时向风场发货,从而影响客户的业务。客服部现场人员必须每日在oa中编写日记,以便部门领导能随时掌握此现场人员的工作动态,现场人员要认真盘点到货数量及现场库存信息,在现场与甲方进行每月、每季、每年度的数据核对,确保到货数量与发货数量一致,并随时向部门负责人汇报。

b)总经办的日程安排管理。

在实际的工作中,总经理因工作繁忙暂时不在公司,一些待办理的工作无法通过审核。客服部负责人要了解总经办的行程,并确保行程不被泄露,保证总经理的其他事务不会受到打扰,在总经理方便时,提醒总经理处理一些比较紧急的待办文件;若总经理不在公司,以先短信后电话的形式给总经理汇报待办理的文件类型,在总经理办理完成后,及时将文件下发给相应部门。

3.项目部的安全处理措施如下:

1)图纸的安全管理。

项目部的图纸只允许在部门内部传阅。在进行项目生产时,工艺员申请借阅项目图纸,经签字确认后,档案专员将图纸副本发放给工艺员,工艺员负责监督技术人员和操作人员严格按照图纸进行生产,确保生产过程符合iso9000体系要求。生产完成后,工艺员将图纸返还给档案专员,图纸副本重新归档。在借阅过程中,严禁借用人将图纸传阅给其他人员,一经发现,必将严肃处理。

2)工艺技术文件的安全管理。

项目生产的工艺技术文件由计划员归档保存,在组织生产人员进行操作培训时,指导操作人员学习质量文件和相关工艺规程,培训过程中,确保工艺技术文件只在培训过程中流转,培训完成后,收回所有的技术文件,禁止任何人以任何理由将文件带出公司。禁止任何人复印、传真此类文件。

3)人员的安全管理。

项目部保管着生产技术文件和图纸,公司的人员流动很容易造成技术的泄露。鉴于此,部门应严格控制工艺技术文件及图纸的传阅。文件将由专员保管。禁止部门人员在未经允许的情况下传真或复印此类文件;在部门员工调动或离职前,由部门档案专员收回该员工所有工作文件。若档案专员调动或离职,由部门经理亲自收回该岗位所有的工作资料,并清点所有书面文件和电子文件是否存在缺省或丢失的情况,最大程度避免人员的流动造成技术资料的外泄。

4.仓储部存在的安全隐患及处理措施如下:

a)物料库存安全。

物料采购入库后,仓储部做好物资的保管工作,如实登记仓库实物账,经常清查、盘点库存物资,确保系统帐、查存卡、实物一致;做好物资采购、存储、生产领用各环节平衡衔接工作,做到物料的先进先出,当保管物料的库存量不足时,及时通知采购部,由采购部制定新的计划进行物料采购,再入库存,确保生产有序进行。

b)物料信息安全。

仓储部所有人员不得向任何人以任何形式透露各种物料的供货数量、供货来源。仓储部负责人应严格规范部门人员的安全防范意识,并严格存放好入库单和领料单等纸质单据,确保不会因为单据的存放不善而泄露物料供货信息。

c)仓库整体安全。

做好物资的存储工作,按品种、规格、体积、重量等特征决定存放的方式与位置,仓库物品堆放整齐、平稳,合理利用储物空间,减少地面负荷,便于盘存和领取,并有效做到先进先出;做好仓库的安全、防火、防盗、防爆、卫生工作,确保仓库和物资的安全;对危险品需进行单独存放与隔离、管制。

5.技术研发部的安全处理措施如下:

1)图纸的归档

a) 外来书面图纸:公司指定收件人收到后整理并编制归档,确认完整无误后,交由综合部档案管理员。图纸蓝图邮寄到北京,复印件登记,入库经总经理批示发放至相应部门。

b) 电子版图纸:外来电子版图纸,由公司指定专人负责接收。打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门;若外来电子版图纸已由对方传至我方项目人员处,项目人员应将图纸资料整理后报综合部存档,由综合部统一打印及按公司规定下发至相应的职能部门,若出现图纸变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。

c) 内部设计电子版图纸:在工程完工后一周内,技术人员应将最后定稿图纸交由综合部,由其在三天内加密统一刻录光盘。一式两份,公司领导及综合部档案管理员各保管一份。

2)外来工艺文件、技术规格书

技术人员在收到文件后1个工作日内整理无误,交综合部档案管理员登记、入库经总经理批示后方能发放。

3)内部拟定的工艺文件、技术规范文件

a) 公司自行编写的生产工艺文件,经总经理审批签署后交综合部档案管理员入库存档。

b) 移交文件时,移交人应备有档案实体和目录,经档案管理员对照验收无误后方能办理移交登记手续。

c) 档案管理专员应仔细检查文件材料是否完整、齐全、签署是否齐全、凡不符合规定要求者,有权拒绝接收,并限期改正补交。

d) 移交时,移交和 接收文件方均应建立书面移交记录。

4)技术图书、期刊、标准的管理

公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。

5)技术,项目往来传真件

综合部收到技术文件后,下发到相应部门,相关责任人签收签字。同时保留复印件,按项目不同分类,待项目结束后,各负责人将其保存的传真复印件整理装订后归档。

6)技术,项目往来电子邮件

由公司指定接收人以及综合部邮箱管理员定期下载整理。每月将电子邮件交综合部统一刻制成光盘存档。

7)本行业其他公司宣传画册、样本、产品信息等文件,由综合部按《样本资料明细表》登记保管,使用人可查询使用,不得私自留存。

8)技术文件的复印

归档的技术文件确因工作原因需要复印时,须由使用人到综合部填写《资料复印申请表》经总经理批准后,综合部指定人员复印后发放至使用人。

9)技术文件的借阅

a)借阅手续:各部门有关工作人员因工作需要借阅归档技术文件,应办理调阅手续,经部门负责人签字,交公司领导批准后方可办理借阅手续。

b)借阅记录:档案管理员应有清楚、准确的借阅记录,包括借阅人、借阅资料名称、借阅时间、归还时间、签字等。

c)借阅时间:一般最长不超过8个工作时,超过8个小时需在办理调档申请时特别说明。如员工因工作原因经批准需要带出资料时,则其返回后一个工作日内归还。

d)归还要求:借阅的资料交还时,必须由经办人当面点交清楚,如发现遗失或损坏,应立即报告领导,同时应追究使用人的责任。

公司所有技术文件均应先由综合部专人登记入库后,经总经理批示后分发至相应部门负责人处,由其向部门员工下发。各部门负责人应做好本部门技术资料的保密工作,若保管技术资料人员离职时应向综合部交回相关的技术资料。综合部下发技术文件时,须由签收人签字确认。

6.质管部的安全处理措施如下:

1)工艺文件的安全管理。

部门档案专员保管本部门的工艺文件。此文件用于检验新工艺生产过程中各环节是否存在质量不合格的情况,若要进行生产过程检验,在部门负责人授权下,部门档案专员将工艺文件副本传阅给质量管理工程师及部门其他管理人员,质量工程师或其他管理人员根据工艺文件的标准,对生产现场各道工序施工工艺、方法、操作规程进行检查监督,提出生产过程中的不合项,对不合格项进行跟踪验证。生产过程检验完毕后,质量工程师将工艺文件副本返还给部门档案专员,最后由档案专员进行文件归档。工艺文件仅允许部门内部管理人员传阅,不得借阅给其他任何部门及工人。若部门管理人员借阅工艺文件后,造成的文件丢失,则借阅者承担相关责任。

2)验收图纸的安全管理。

验收图纸用于检验生产完工后的产品是否合格,由部门档案专员保管。质量工程师借阅验收图纸后,以此为标准对完工产品进行鉴定,若合格,则调入成品库;若不合格,则对不合格项进行跟踪验证,直到产品合格为止。验收图纸借阅分为以下几种情况:①内部管理人员借阅。验收图纸只允许本部门内管理人员的互相传阅,借阅人在档案专员处登记,确定归还时间后,档案专员对其分发验收图纸副本,借阅完后,及时归还给档案专员,禁止传阅给部门非管理人员。②技术研发部人员借阅。只有技术研发部人员才能借阅本部门验收图纸。在借阅时,要遵守借阅流程,在技术研发部经理签字后,上报总经理审批,总经理审核通过后,质管部方可将验收图纸副本借阅给相关人员,并要求在8个小时内归还图纸。图纸借阅过程中,严禁将图纸传阅给其他人员,或私自将图纸进行复印或扫描,一经发现,必将严肃处理。③验收图纸不得传阅给其他部门人员,也不得传阅给本部门非管理人员。一经发现,追究档案专员相关责任。

7.财务部的安全处理措施如下:

1)财务部为公司重要数据信息部门,除本部门在内工作外,其他无关人员不得入内。

2)财务人员去银行取现金、支票等,应两人以上同行,禁止途中办理任何与此项工作无关事宜。

3)妥善存放支票,支票与有效密码及专用印鉴要分别存放。

4)出纳人员不得私配保险柜钥匙,不得将保险柜密码外传,过节或放假时,要与综合部配合,对保险柜加贴封条。 若因密码钥匙保管不善,导致现金及其他财产损失,将由本人承担一切损失。

5)会计人员应妥善保管好各类凭证及发票,不得在凭证发票随意摆放在办公桌的情况下离开办公区域。凭证发票录入核对完毕,应立即整理存放到财务凭证专柜中,同时确保上锁,并妥善保管好钥匙,若因以上原因造成财务数据丢失,将由本人承担一切后果。

6)财务人员应保管好电子银行或其他一切与财务有关的加密锁,在使用时,使用人不得离开电脑,确保所做的一切操作均出自本人之手。若使用完毕,一定要将加密锁存放于财务专柜中妥善保管。

7)财务部门因为数据的重要性,因此对安全的要求很高。在使用电脑时,要求财务部门人员一定要每天升级杀毒软件,若电脑出现异常,应联系信管部查明原因,是否能安全操作。

8)财务部是企业工资的发放部门,掌管着企业全体人员的工资详情。由于工资向来是公司的敏感信息,因此,财务的工作要求财务所有人员应严格遵守职业素养,严禁财务部人员以任何形式向任何人透露工资或奖金信息。

8.综合部的安全处理措施如下:

1)技术类文件、图纸和图书的安全管理。

综合部指定收件人收到外来书面图纸后整理并编制归档,确认完整无误后,交由档案管理员。图纸蓝图邮寄到北京,将复印件登记,再经总经理批示后发放至相应部门。综合部指定收件人接收到外来电子版图纸,打印一份,并同时将电子文件交档案管理员登记入库,经总经理批示发放至相应部门,若图纸出现变更时,综合部应及时替换旧版电子图,并回收已发放的旧版图纸。公司购入的技术图书、期刊和标准,均属公司固定资产,应由综合部加盖行政专用章后登记、入库、领用、借用、查阅应办理审批、发入登记手续。损坏、丢失应由责任人负责全价赔偿或购买新书。

2)涉外合同的安全管理。

综合部统一管理各部门的涉外合同。各部门将已盖章的合同原件提交给综合部后,由综合部将其分类归档到指定的档案盒中,并将档案盒编号题名存放于指定的档案柜中,将档案柜锁好。由指定的档案管理员保管钥匙。各部门需要借阅已归档的合同资料,需要向综合部提出申请,经综合部负责人审批通过后,档案管理员方可开启档案盒调出文件发放给相关部门;原则上不允许各部门向综合部借阅其他部门的合同资料,若确因工作原因需要借阅,则应提交总经理审批,综合部在看到总经理的签字后方可指派档案管理员借出资料,并规定借阅时间不得超过8个小时,由借阅人签字,在借阅过程中造成的合同资料丢失,将由借阅人承担相关后果。严禁档案管理员在未经许可的情况下私自开启任何类型的档案盒;严禁档案管理员将档案柜钥匙借给任何人,若因此造成的合同信息泄露、合同丢失将由档案管理员承担一切责任。

3)工资编制的安全管理。

综合部统一核算管理人员和工人工资。工资针对于所有部门都是保密的,综合部在核算员工工资的时候,应该谨慎处理,如在电子表的发送之前,可以设置相应的密码,防止不小心发送到其他人电脑上,在打印工资表的时候,应单独设置非监控直接打印,并立即去打印机取走打印表。工资的核算应严格以考勤、绩效为依据核算,不得擅自更改原始依据。工资核算完成后,上报公司领导审批。

严禁工资核算人向他人透露公司工资及奖金信息,严禁在任何场合与他人讨论工资话题,一经发现,将追究其相关责任。

9.信管部的安全处理措施如下:

1)计算机网络设备安全管理。

公司所有计算机及网络设备统一归信息管理部管理。本制度所涉及产品的界定:

a) 计算机是指为公司内部员工使用的pc机(包括cpu、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供,如非特殊需要不配备光驱和软驱。)

b)网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。

c)计算机其他配件是指公司备用的光驱、软驱等。

d) 附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。

e) 包括计算机及耗材的采购计划、故障维修等项工作。

在员工电脑各组件老化或损坏,严重影响工作效率时,信管部可申请以旧换新或报废处理。若需要报废,则填写报废申请单经部门负责人确认后上报总经理审批,审批通过后才能作报废处理,信管部不得擅自处理破旧的电脑或电子设备。

2)公司所有输入输出设备统一归信息管理部管理。

输入输出设备包括扫描仪,传真机,打印机。使用者在使用此相关设备遇到问题可寻信息管理部帮助。在使用设备过程中遇到故障要及时向信息管理部反映,以便信息管理部及时查找原因,解决故障。

3)公司视频会议设备和视频监控设备统一由信息管理部管理。

a)视频会议设备包括视频会议服务器、视频会议终端、sony摄像头、会议话筒、电视、投影仪以及键盘、接收器、遥控器和线材部分。信息管理部负责以上设备的维护管理工作包括视频会议的搭建。

b)视频监控设备包括监控服务器、监控系统以及各路视频采集器。信息管理部负责各路视频的监控以及备份和维护工作。

4)信息化系统erp、oa帐户安全管理

系统管理帐号的设置与管理

a)erp、oa系统管理帐号必须经过总经理授权取得。

b)erp系统管理员负责erp系统帐套环境生成、维护,负责一般操作帐号的生成和维护,负责故障恢复等管理及维护;oa系统管理员负责oa系统自定义表单的生成、流程的建设和优化。

c)erp、oa系统管理员对业务系统进行数据整理、故障恢复等操作,必须有相关部门的签字和领导的审批授权。

d)erp、oa操作用户需要增加或修改权限需要填写erp/oa用户权限申请表,并经过本部门负责人签字后交由总经理审核,通过后,再由信息管理部作权限相关处理。

e)系统管理员不得使用他人帐号进行业务操作。

f)系统管理员调离岗位或离职,信息管理部负责人应及时注销其帐号并生成新的系统管理员帐号。

一般操作帐号的设置与管理

a)一般操作帐号由系统管理员根据各类应用系统操作要求生成,应按每用户一帐号对应设置。

b)操作员调离岗位,系统管理员应及时注销其帐号并在新员工入职时根据需要生成新的操作员帐号。

5)密码安全管理

a)终端计算机密码安全管理:系统管理员及时登记公司所有用户电脑密码,制成《用户电脑密码登记》文件。在用户人员变动或电脑更换时,系统管理员及时登记相应的新密码。

b)应用服务器密码安全管理:包括erp服务器、oa服务器、域服务器、邮箱服务器。信息管理部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码。制成《服务器密码登记》文件,并提交给部门负责人。

c)防火墙/路由器密码安全管理: 防火墙和路由器的密码和服务器管理方法一样,设置成不同的、复杂的密码,并每年更换一次,将密码登记到《网络设备密码登记文件》中,并提交给部门负责人。

d)erp/oa系统密码安全管理: erp/oa系统密码分为管理员密码和操作用户密码。系统管理员登录密码由erp/oa管理员掌管,为保证系统安全需要定期更改时,及时上报部门负责人。操作用户密码由erp/oa管理员在创建帐户时初始生成,信息管理部发放帐号密码后,由用户本人修改密码,并自行保管好自己的密码,如特殊原因忘记密码时,由erp/oa管理员帮其初始化密码。

信管部应将所有的服务器和网络设备设置不同的密码,所有的密码仅限于信管部内部人员掌握,不得向其他部门人员透露,在特殊情况下,需要供应商做远程调试时,方可透漏相关设备密码,在调试结束后,应尽快更改密码。并通知部门内其他人员。由于服务器及网络设备均置于公网上,容易受到不法分子攻击,因此,需要定期更改密码,且密码复杂性尽可能设置高。

6)数据备份安全管理

定期备份erp服务器、oa服务器、邮箱服务器。具体备份方法如下:

a)erp服务器备份:每天早上自动备份e3帐套和5000帐套。

b)oa服务器备份:每天早上9:00备份oa数据库,并于每周五早上9:00备份oa系统文件夹。

c)邮箱服务器备份:每周五早上9:00在邮箱控制台执行备份操作,并于每月28日备份邮箱目录文件夹。备份完成后,将备份文件转存到其他电脑上或移动硬盘上做异地归档,以防本地硬盘发生故障时能随时做灾难恢复。

数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开企业网络应用高峰,避免对各部门工作造成影响。数据的清理包括:

a)erp系统中错误单据的清理、错误初始资料的清理、人员变动记录的清理。

b)oa系统中错误流程的清理、错误审批单的清理、人员变动记录的清理。

c)邮箱系统中垃圾邮件的清理、人员变动记录的清理。

d)用户电脑中系统垃圾文件的清理、ie缓存的清理。

7)信息资料安全管理

a)加密系统管理;目前我公司使用的是天盾文档加密系统,对常用办公软件office、pdf、autocad文件加密,公司内部的此类文件被带出公司后,显示在其他的电脑上均为乱码,保证了各个部门在未授权的情况无法将公司的文件资料泄露出去。然而,我公司因为之前的需求,加密软件使用的是单机版与网络版混合使用的,网络版可以根据策略的下发,实现文件在企业网的加密、反截图、禁usb等功能,但脱离局域网后,电脑无法打开文件,若有出差人员在外地使用电脑,就无法使用网络版;而单机版就解决了出差人员电脑加密的问题,可以正常打开公司的文件,但这里存在一个安全风险,若出差人员的电脑被盗,将会造成企业信息资料的外泄。针对以上情况,我们需要寻找一种更加适合的加密软件,确保使用一种版本就能够融合单机与网络的优势。我们需要这种加密软件实现如下功能:能够通过控制台在公司网内加密指定类型的文件,同时可以设置不同的加密权限对应于不同的用户组;能够根据需要设置文件能否在脱离公司网的情况下使用以及使用的时间限制等;能够加密原加密软件不支持的文件类型;能够荧荧于所有的windows平台上;能够禁用usb存储设备,不禁用usb外设;能禁止用户屏幕截图;能审计打印等。

b)大蓝监控软件管理:监控软件在很大程度上起到威慑作用,监控软件能够记录所有用户在个人电脑上的一举一动,通过实时屏幕监控、屏幕录象、插入存储设备报警、网页及程序过滤等功能及时抓出威胁企业信息安全的元凶。

c)打印控制软件管理:打印控制软件应用后,员工的打印需要在管理员审核通过后方能打印,若管理员审核到某员工的打印内容涉及本公司信息安全,拒绝员工的打印。在审核通过、打印完成后,管理员可随时调出以前的打印记录,保证了及时信息安全责任追究。

d)设备送外维修,须经设备管理部门负责人批准。送修前,需将设备存储介质内应用软件和数据备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。

e)信息管理部和综合部对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。

f)信息管理部负责计算机病毒的防治工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。

g)用户计算机未经信息管理部允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。

8)机房安全管理

①非信息管理部人员不得进入机房,信管部人员要确保机房大门时刻处于关闭状态。若因为工作需要进入机房时,完成相关操作后,一定要关好机房大门,并保管好机房钥匙。

②保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。

③确保机房防水,定期检查机房天花板、四壁有无漏水现象,保证机房内的服务器和其他电器设备的安全。

a)发生机房漏水时,信管部应立即通知综合部联系大厦物业,同时,信管部第一时间保护好服务器及其他设备,避免设备浸水后损坏。

b)若为墙体或窗户渗漏水,应急领导小组应立即采取有效措施确保机房安全,同时安排通知综合部协助及时清除积水,维修墙体或窗户,消除渗漏水隐患。

④确保机房防火,定期检查机房内灭火器状态完好无损。

a)完善机房环境,确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房。

b)一旦发生火灾,迅速切断机房电源,避免灾情的扩散,并迅速拨打物业管理和119火警电话。

c)等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。

d)配合消防部门调查事故原因,对造成的损失和起火原因做好记录,以便进行灾后总结。

⑤确保机房防雷,遇到暴风雨恶劣天气,应作防范性处理。

a)遇雷暴天气,信管部在下班后应及时关闭所有服务器,切断电源,暂停内部计算机网络工作。

b)雷暴天气结束后,信管部应及时开通服务器,恢复内部计算机网络工作,对设备和数据进行检查。出现故障的,事发部门应将故障情况及时报告应急领导小组。

c)因雷击造成损失的,信管部应会同综合部进行核实、报损,并在调查工作结束后一日内书面报告领导。

应急领导小组每日查看、清点设备并锁好机房大门。

⑥确保在停电后,业务应用的安全管理。

信管部在接到停电通知时,应设置便签提醒自己具体要停电的时间,若停电时间在上班时间,则提前发出通知给北京和常州所有人员,避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间,则在下班时通知所有人关闭电源,同时信管部及时关闭服务器,以免停电损坏主机电源。

停电结束后,打开各应用服务器,并谨记要打开视频监控服务器,恢复闭路监控系统正常工作。

⑦确保机房防盗,针对此环节,作相关防范处理。

a)信息管理部每日查看、清点设备并锁好机房大门。

b)信息管理部每日检查录像监控服务器状态,确保监控画面正常,并检查每日录像正常性、完整性。

c)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息管理部,同时保护好现场。

d)信管部接报后,即刻调出监控录像,搜查可疑行迹,若无法解决,可联系公安部门处理。

提高行业信息化管理水平,信息安全是关键。而信息安全构建必须管理、技术两者双管齐下:

1)加强管理,综合防范。 安全体系是一个整体的、系统的工程,不是简单的“技术积木”。它是技术、管理的有机结合体。管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统。

2)完善制度,强化培训。完善的信息安全管理制度是行业信息系统安全运行的基础保证。为系统资源规定明确使用的权限,对员工按其职责划定必要的最小授权范围,明确安全责任。确保安全措施落实、有效,加强员工的信息安全教育和培训,强化安全意识和法治观念。提高员工的职业道德和信息化应用水平。

第12篇 食品安全信息报告及公布制度范本

为规范食品安全信息报告的及时准确、科学规范,明确信息报告责任,根据《中华人民共和国食品安全法》及其实施条例、《食品安全工作信息报送办法》(试行)和《食品安全信息公布管理办法》等有关法律法规,结合我县实际,制定本制度。

第一条 本制度所称食品安全信息,是指各镇乡及食品安全监管部门在食品安全监督管理过程中形成或获得的涉及食品安全的信息,具体包括食品安全的总体情况、事故及其处理、法律法规、规章和规范性文件、监督监测行政执法、食品安全专项整治等信息。

第二条 各镇乡、县食品安全监管部门应加强食品安全信息的管理制度和队伍建设,建立健全食品安全信息报告制度,完善食品安全监管信息发布程序。

第三条 建立食品安全信息报告网络。县政府负责食品安全综合信息的收集、汇总、整理、分析、联络、编发;各镇乡、县食品安全监管部门确定一名工作责任心强,有一定组织协调和文字表达能力的同志为食品安全信息联络员,负责本地、本部门食品安全信息的搜集、汇总和报告工作。

第四条 各镇乡、县食品安全监管部门报告的重大食品安全信息和食品安全事故需要由部门主要负责人签署。

第五条 各地、各部门每月至少报送一次信息,重要信息随时报送。报送的信息重点反映以下内容:

(一)本地、本部门贯彻落实中央和地方关于食品安全工作的重大决策部署、重要会议和文件要求及领导重要批示、指示精神的情况。

(二)本地、本部门食品安全工作重要动态。

(三)食品安全工作中的新情况、新问题。

(四)食品安全突发事故(件)处置情况。

(五)基层食品安全工作的典型经验。

(六)本地、本部门收集整理的有关食品安全工作意见、建议。

(七)其他需要报送的重要信息。

第六条 食品安全监管部门应加强食品安全信息的分析工作,对潜在的问题和可能的影响进行预测,及时向县政府报告,并通报有关部门。

第七条 食品安全监管部门应加强食品安全信息通报,实现信息互通。

第八条 食品安全监督管理部门在食品安全监管过程中发现属于其他监管部门职责范围内或涉及其他监管部门的信息,应当及时书面移交或通报相关部门。

第九条 食品行业协会及其他与食品安全有关的社会团体、民间组织应积极向食品安全监管部门提供相应的食品安全信息。

第十条 食品安全信息的发布。

(一)食品安全信息分为县政府统一公布的食品安全信息和各有关食品监督管理部门依据各自职责公布的食品安全日常监督管理的信息。

(二)各食品安全监管部门应及时公布下列食品安全信息:

1、依照《中华人民共和国食品安全法》实施行政许可的情况。

2、责令停止生产经营的食品、食品添加剂、食品相关产品的名录。

3、查处食品生产经营违法行为的情况。

4、本部门举报、投诉、咨询电话与电子信箱等联系方式。

5、法律、行政法规规定的其他食品安全日常监督管理信息。

前款规定的信息涉及两个以上食品安全监督管理部门职责的,由相关部门联合公布。

食品安全监督管理部门公布信息时,应当同时对有关食品可能产生的危害进行解释、说明。

(三)食品安全信息发布前,食品安全监管部门应组织专家研究和分析食品安全相关信息,提供科学意见和建议。发布的食品安全信息涉及其他部门的,应当与有关部门进行沟通、确认,保证发布的信息准确一致。影响重大的食品安全信息应报请县政府批准后发布。

(四)各部门应当建立健全食品安全信息发布保密审查机制,明确审查的程序和责任。在公开食品安全信息前,应当依照《保守国家秘密法》、《政府信息公开条例》以及其他法律、法规和国家有关规定对拟公开的食品安全信息进行审查。

(五)各食品安全监管部门发布的食品安全监管信息应当包括信息来源、分析评价依据、结论、发布日期等基本内容。其中发布食品安全监督管理信息涉及具体企业或产品的信息应明确违法主体信息和违法产品信息,抽样检测信息应明确样品名称、商标、样品规格、(标示)生产企业名称、生产批次(批号)和本次抽样检测的被抽检企业名称、不合格项目以及对人体健康可能造成的影响等内容。

(六)各部门应当建立食品安全舆论监测制度,主动、密切监测舆情。处置食品安全舆情,应当迅速调查核实、研究处理措施,及时、准确发布有关信息,主动、正确引导舆论,妥善处置群众关心的食品安全热点问题,及时回应社会关切。

(七)依照本制度负有食品安全信息报告、通报职责的部门,应当依法及时报告、通报食品安全信息。对隐瞒、谎报、缓报食品安全信息造成严重后果或不良影响的,由纪检监察机关依法依规追究相关责任人的责任。

(八)信息公布单位对公布的信息承担责任。有下列情形之一的,由上级主管部门责令改正;情节严重、造成不良影响的,由纪检监察机关依法依规追究相关责任人的责任;构成犯罪的,由司法机关依法追究刑事责任:

1、擅自公布食品安全信息造成社会不良影响。

2、瞒报或漏报重大食品安全事故信息的。

3、提供或公布的食品安全信息严重失实的。

(九) 本制度由昌黎县水产局负责解释,并自公布之日起施行。

《信息安全等级保护制度(十二篇).doc》
将本文的Word文档下载,方便收藏和打印
推荐度:
点击下载文档

相关专题

相关管理制度

分类查询入口

一键复制