<track id="ftb1t"><meter id="ftb1t"><dfn id="ftb1t"></dfn></meter></track><track id="ftb1t"></track>

        <sub id="ftb1t"></sub>

        <thead id="ftb1t"><meter id="ftb1t"></meter></thead>
         
        search 電話:400-818-1122 網站導航 收藏本站
        關注我:新浪 微信

        公司簡介

        致遠優勢

        致遠大事記

        致遠觀點

        最新動態

        致遠產品

        聯系我們
        致遠科技信息安全管理制度
        閱讀次數:78  |  發布時間: 2018-11-05



        信息安全管理制度


        一、機房安全管理

        1、路由器、交換機和服務器以及通信設備是網絡的關鍵設備,須放置計算機機房內,不得自行配置或更換,更不能挪作它用。 
        2、計算機房要保持清潔、衛生,并由專人7*24負責管理和維護(包括溫度、濕度、電力系統、網絡設備等),無關人員未經管理人員批準嚴禁進入機房。 
        3、嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房。 
        4、建立機房登記制度,對本地局域網絡的運行,建立檔案。未發生故障或故障隱患時當班人員不可對光纖、網線及各種設備進行任何調試,對所發生的故障、處理過程和結果等做好詳細登記。 
        5、網管人員應做好網絡安全工作,服務器的各種帳號嚴格保密。監控網絡上的數據流,從中檢測出攻擊的行為并給予響應和處理。 
        6、做好操作系統的補丁修正工作。 
        7、網管人員統一管理計算機及其相關設備,完整保存計算機及其相關設備的驅動程序、保修卡及重要隨機文件。 
        8、計算機及其相關設備的報廢需經過管理部門或專職人員鑒定,確認不符合使用要求后方可申請報廢。 
        9、制定數據管理制度。對數據實施嚴格的安全與保密管理,防止系統數據的非法生成、變更、泄露、丟失及破壞。當班人員應在數據庫的系統認證、系統授權、系統完整性、補丁和修正程序方面實時修改。

         

        二、網絡安全管理

        1、網絡安全管理員主要負責全公司網絡(包含局域網、廣域網)的系統安全性。 
        2、負責日常操作系統、網管系統、郵件系統的安全補丁、漏洞檢測及修補、病毒防治等工作。 

        3、網絡安全管理員應經常保持對最新技術的掌握,實時了解INTERNET的動向,做到預防為主。 

        4、良好周密的日志記錄以及細致的分析經常是預測攻擊,定位攻擊,以及遭受攻擊后追查攻擊者的有力武器。察覺到網絡處于被攻擊狀態后,網絡安全管理員應確定其身份,并對其發出警告,提前制止可能的網絡犯罪,若對方不聽勸告,在保護系統安全的情況下可做善意阻擊并向主管領導匯報。 

        5、在做好本職工作的同時,應協助機房管理人員進行機房管理,嚴格按照機房制度執行日常維護。 
        6、每月安全管理人員應向主管人員提交當月值班及事件記錄,并對系統記錄文件保存收檔,以備查閱。具體文件及方法見附件。

         

        三、系統運行維護管理

        1、 中心機房和辦公區域隔離分設。未經負責人批準,不得在中心機房設備上編寫、修改、更換各類軟件系統及更改設備參數配置。 

        2 各類軟件系統的維護、增刪、配置的更改,各類硬件設備的添加、更換必需經負責人書面批準后方可進行;必須按規定進行詳細登記和記錄,對各類軟件、現場資料、檔案整理存檔。 
         3 為確保數據的安全保密,對各業務單位、業務部門送交的數據及處理后的數據都必須按有關規定履行交接登記手續。 
         4 部門負責人應定期與不定期對制度的執行情況進行檢查,督促各項制度的落實,并作為人員考核之依據。 

         

        四、資產和設備管理

        1、網站中心所屬范圍內包括所有設備及辦公物品歸屬網站中心管理。
        2、嚴格執行上級管理部門有關設備管理的各項規章制度,對本中心管理的設備進行編號、登記、建立完善、準確的文檔。
        3、購進設備時,網站中心有關負責人必須與供貨人或調入人共同啟封,核對設備規格、型號、數目及軟件和文字資料,并進行質量檢驗。核對無誤,驗收合格后,方可簽字并辦理有關手續。
        4、實行設備領用人責任制,誰領用,誰使用,誰保管。
        5、對網站中心所屬重要設備,要建立檔案系統,保證技術資料完整。
        6、非網站中心工作人員,不得擅自啟動、關閉、動用、遷移各種網絡設備。
        7、從網站中心調出設備,必須經中心負責人認可批準后,方可調出。
        8、每半年,對中心的計算機網絡設備進行一次全面檢查和維護。
        9、每年末,網站中心對固定資產清查一次。
        10、每年對機房設備保管和使用環境評估檢查一次,看是否達標,并及時采取積極措施。
        11、對于超過有效使用期的設備、淘汰設備或毀壞設備,按上次管理部門對固定資產設備報廢規章制度辦理,并履行有關手續。
        12、網站中心設備使用和管理人員,應本著對國家財產負責的態度嚴格執行操作和管理程序。對操作不當或管理不善造成設備損失的,要追查責任,給予相應處罰,故意破壞的移交司法部門處理。對于工作認真負責,避免損失的,給予一定獎勵。

         

        五、數據及信息安全管理

        網站中心的數據及信息安全主要由信息安全管理員負責,信息安全管理員的主要職責如下:

        1、信息安全管理員負責本中心的信息安全保護管理工作,建立健全信息安全保護管理制度;

        2、信息安全管理員負責落實信息安全保護技術措施,保障本網絡的運行安全和信息安全;

        3、負責防火墻、IDS、防病毒系統的策略制定;

        4、負責本中心審計系統的運行管理,對運行情況進行審計;

        5、負責本中心身份認證系統、權限管理和授權、單點登錄系統的運行管理;

        6、負責本中心的防火墻、入侵檢測系統、防病毒系統的運行管理,并定期升級;

        7、負責本中心相關日志的填寫、收集、歸檔、管理;

        8、對本中心所發布的信息內容按照等相關規定進行審核;

        9、發現有違反安全管理規定的行為,應當保留有關原始記錄,并及時向相關管理部門報告;

        10、按照國家有關規定,負責刪除本中心中含有違法內容的地址、目錄或者關閉服務器。

         

        六、用戶管理

        參見機房出入管理制度第二款之規定。

         

        七、備份與恢復

        1、為了確保系統計算機系統的數據安全,使得在計算機系統失效或數據丟失時,能依靠備份盡快地恢復系統和數據,保護關鍵應用數據的安全,保證數據不丟失,特制定本制度。

        2、擁有重要系統或重要數據的服務器應該及對數據進行備份,防止系統、數據的丟失;涉及數據備份和恢復的服務器要由專人負責數據備份工作,并認真填寫備份日志。

        3、網絡服務器數據備份工作,由網站管理部負責,增量備份每日做,系統備份每周做一次。系統管理員在每周最后一個工作日,將數據庫、網頁文件、各主要硬件設備配置文件等做一次異機備份,數據保存一個季度。

        4、備份數據應該嚴格管理,妥善保存;備份數據資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。

        5、數據的備份、恢復、轉出、轉入的權限都應嚴格控制。嚴禁未經授權將數據備份出系統,轉給無關的人員或單位;嚴禁未經授權進行數據恢復或轉入操作。

        6、一旦發生數據丟失或數據破壞等情況,要由系統管理員進行備份數據恢復,以免造成不必要的麻煩或更大的損失。

        1)全盤恢復一般應用在服務器發生意外災難導致數據丟失、系統崩潰或是有計劃的系統升級、系統重組等;

        2)個別文件數據恢復一般用于恢復受損的個別文件,或者在全盤恢復之后追加增量備份的恢復,以得到最新的備份。

        7、各級信息技術管理部門必須定期檢查保存備份數據能否正常使用,需刻錄光盤的數據應經過檢驗確保數據備份的完整性和可用性后,方可刻錄光盤。

         

        八、密碼管理制度

        (一)、 網絡服務器密碼口令的管理

        1.服務器和網絡設備的管理賬號密碼,由網絡管理員持有,實行定期輪換制度,最長有效期不超過90天。

        2.更換服務器與網絡設備密碼時必須執行密碼備案制度,以防遺失密碼,同時告知主管領導備案密碼。

        3.用戶級密碼如:網站、數據庫系統、網站信息管理系統等用戶帳號必須專人專號,不得互相泄露密碼。不同級別用戶間不得交換帳號使用,特殊情況須報告網絡管理員處理。

        4.公共帳號,如公共FTP等不能向中心以外人員泄露,對外傳送文件必須使用臨時FTP

        5.如發現密碼及口令有密跡象,系統管理員要立刻報告部門負責人,嚴查泄露源頭,同時更換密碼。

        (二)、 用戶密碼及口令的管理

        1.對于要求重新設定密碼和口令的用戶,用戶必須與系統管理員商定密碼及口令,由系統管理員備案后操作。

        2.公共帳號密碼變更,必須通知到相關部門。

        3.如果網絡提供用戶自我更新密碼及口令的功能,用戶應謹慎修改密碼,修改后必須牢記密碼。

         

        九、信息安全責任制

        (一)計算機安全工作制度體系的重點是規范內部人員行為和健全內部制約機制,要根據不斷變化的情況,及時對計算機安全制度進行補充和完善,逐步形成完整的、科學的計算機安全工作制度體系。

        (二)、基于信息系統網絡管理任務的強化以及安全的動態特性,要求計算機信息系統加強對要害崗位人員在安全方面的管理,實行責權分配。

        (三)、要害崗位人員上崗前必須進行審查和業務技能考核,并進行必要的安全教育和培訓,合格者方能上崗。

        (四)、要害崗位人員必須嚴格遵守保密法規和有關計算機安全管理規定,承擔相應崗位安全責任。

        (五)、系統管理員的安全職責是對所轄范圍的計算機系統問題負責,對計算機系統安全策略、計劃和事件處理程序的制定,參與計算機安全建設和運營方案的制定,負責系統的運行管理、實施系統安全細則,嚴格用戶權限管理,記錄系統安全事項,對進行系統操作的其他人員予以安全監督。及時解除系統故障,不得擅自改變系統功能,不得安裝與系統無關的其它程序,發現漏洞及時處理。

        (六)、操作人員的安全職責是接受系統管理員的指導和監督,及時向系統管理員報告系統各種異常事件,嚴格執行系統操作規程和運行安全管理制度

        (七)、重要網絡設備應放在主機房內,其他人員不得對網絡設備進行任何操作。

        (八)、內部網絡的所有計算機設備,不得直接與國際互聯網相聯接,必須實行物理隔離。

        (九)、定期進行主機設備的例行保養和預防性檢修,制定主機設備故障維修規程并嚴格執行,重大故障應注意保衛現場,進行應急處理關立即報告。

        (十)、必須按技術規程進行系統和用戶數據備份;系統和用戶數據必須雙備份,異地存放。關鍵系統應有災難數據備份。

        (十一)、應建立業務系統正常調帳規程,并嚴格按規程操作,確保資金安全。

        (十二)、必須有計算機病毒防范措施,有計算機預防和清除病毒和軟件或硬件產品。(十三)、各科室要加強計算機安全教育,宣傳計算機犯罪的危害,提高全員計算機安

        全防范意識和法紀觀念,自覺維護計算機安全。

         

        十、安全事件報告和處置管理制度及應急處置預案

        (一)、信息網絡安全事件定義

        1、網站主頁被惡意纂改、交互式欄目里發表反政府、分裂國家和色情內容的信息及損害國家聲譽的謠言。
        2、校園網內網絡應用服務器被非法入侵,應用服務器上的數據被非法拷貝、修改、刪除。

        3、在網站上發布的內容違反國家的法律法規、侵犯知識版權,已經造成嚴重后果。

        (二)、網絡安全事件應急處理機構及職責

        1、設立信息網絡安全事件應急處理指揮部,負責信息網絡安全事件的組織指揮和應急處置工作。總指揮由中心主要負責人擔任,副總指揮由分管主任擔任,指揮部成員各部門負責人組成。

        2、領導機構

        總指揮

        副總指揮

        3、工作機構

        網絡監控組:網絡監控的日常工作主要由網站管理部負責,應急處置預案啟動后網絡監控工作由網站管理部、技術部共同負責,協同工作。

        技術偵查組:由技術部牽頭,網站管理部提供協助,進行信息網絡安全事件的調查取證等工作。應急處置預案啟動后,網站管理部和技術部協同工作。

        宣傳外聯組:由綜合部負責,主要負責監督網站建設和管理,及網絡安全宣傳等工作。應急處置預案啟動后承擔對外宣傳和外聯工作。

        應急響應組:由網站管理部牽頭,技術部們提供技術支持,負責對信息網絡安全事件緊急處置等工作,及時斷開連接、指導采取有關保護措施等。 

        (三)、網絡安全事件報告與處置

        事件發生并得到確認后,有關人員應立即將情況報告有關領導,由領導決定是否啟動該預案,一旦啟動該預案,有關人員應及時到位。

        網絡監控組在得到技術偵查組的確認后應及時向當地公安機關報案。

        技術偵查組應在事件發生后24小時內寫出事件書面報告報指揮部。報告應包括以下內容:事件發生時間、地點、單位、事件內容,涉及計算機的IP地址、管理人、操作系統、應用服務,損失,事件性質及發生原因,事件處理情況及采取的措施;事故報告單位/人、報告時間等。

        宣傳外聯組負責事件的宣傳和報道等工作,并承擔國內其他重要新聞網站工作聯系,防止事態通過網絡在國內蔓延。

        網絡監控組進入應急處置工作狀態,對相關事件進行跟蹤,密切關注事件動向,協助調查取證。

        應急處置小組阻斷網絡連接,進行現場保護,協助調查取證和系統恢復等工作。

          有關違法事件移交公安機關處理。

         

        十一、教育培訓制度

        為提高我中心人員的安全素質,保證中心網絡的高校、穩定運行,特制定如下安全教育培訓制度:

        1、組織全體人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》,提高全體人員共同維護網絡安全的警惕性和自覺性。

        2、定期對有關的網絡管理人員工進行安全教育和培訓,使他們自覺遵守《計算機信息網絡國際互聯網安全保護管理辦法》,并具備一定的網絡安全知識。

        3、不定期地邀請上級有關專業人員進行信息安全方面的培訓,加強對有害信息,特別是影射性有害信息的識別能力,提高防范能力。





        公司動態推薦

         
         
        感謝您關注致遠科技

        大連致遠科技專業為企業提供:大連網站建設、大連網站制作、大連網頁設計等服務,歡迎來電來函咨詢。

        遼公網安備 21020402000697號

        青海十一选五投注