信息系统的修改工作需要实行什么制度

3、公司网络采取分组开通域名方式,防止木马蠕虫造成计算机运行速度降低、网络堵塞、帐号密码安全系数降低。 二、网站信息管理

信 息 安 全 管 理 制 度

信息系统安全管理制度 信息系统安全基本要求信息系统安全管理制度 信息系统安全基本要求


信息系统安全管理制度 信息系统安全基本要求


8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和1、计算机管理由信息办负责进行规划、实施和。介质,防止泄密。

为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。

一、 互联网使用管理互联网使用管理互联网使用管理互联网使用管理

1、禁止利用公司计算机信息网络系统制作、、查阅和传播危害安全、泄露公司秘密、非法网站及与工作无关的网页等信息。行政部门建立网管渠道对员工上网信息进行监督。一经发现,视情节给予、通报批评、扣发工资500-1000元/次、辞退等处罚。 2、未经允许,禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。一经发现,视情节给予、通报批评、扣发工资1000-2000元/次、辞退等处罚。

2、公司网站内容定期进行备份,由网管员保管,并对相应作系统和应用系统进行安全保护。

3、公司网管加强对上网设备及相关信息的安全检查,对网站系统的安全进行实时。 4、严格执行公司保密规定,凡涉及公司秘密内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网;

5、所有上网稿件须经分管审批后,由企划部门统一上传。 三、软件管理软件管理软件管理软件管理 1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统统一进行,任何部门和员工不得擅自采购。

2、公司提供的全部软件仅限于员工完成公司的工作使用。未经许可,不得将公司购买或开发的软件擅自提供给第三人。

3、作系统由公司统一提供。禁止安装使用其它来源的作系统,特别是未经授权的非法拷贝。擅自使用造成的一切后果由使用人自行承担,对于造成损失的,将视情节及危害程度给予、通报批评、扣发工资100-200元/次等处罚。

4、一般应用软件统一在公司文件上提供常用软件安装目录,不提供安装光盘(作系统除外)。安装非公司提供的软件导致系统损害,信息丢失的,将视情节及危害程度给予、通报批评、扣发工资100-300元/次、辞退等处罚。 5、公司小范围使用的专业版权软件,使用人需在自行备份并由信息系统验证后才可进行安装。

6、禁止安装使用非工作用软件。其它工作所需的应用软件,可由使用部门申请,再由行政部门统一发布。 四、计算机管理

2、员工应树立预防计算机的意识和熟知预防计算机的措施,及时更新系统漏洞和使用杀毒软件。具体内容包括: (1)及时更新微软补丁,每周至少更新一次。当屏幕右下角有自动更新的图标时,要及时安装。 (2)有些特殊的软件(如SQL SERVER等),及时到相应网站打补丁。 (3)及时安装杀毒软件和升级杀毒软件特征库。严禁因杀毒软件影响性能,而把杀毒软件卸载。每周至少更新一次,确保杀毒软件为版本。 (4)严禁打开来历不明的邮件。能判断为邮件的,立即删除;不能判断的联系信息系统解决。当计算机感染后,请及时断开网线,使用杀毒软件查杀和查看作系统和应用软件的补丁是否及时更新;者请及时联系信息办信息系统解决。 (5)当有新通过某些软件(如:QQ,MSN)传播时,请立即关闭相应软件或拔掉网线。查杀问题解决后,方可继续使用。 3、凡未按以上预防计算机步骤执行而造成机器感染并传播者,次给予、第二次给予通报批评,第三次及以上将给予通报批评并扣发工资50-100元/次。 五、网络资源管理

1、网络资源和由信息办信息系统统一进行规划、管理和监督。 2、及个人用机的管理: (1)部门级及以上必须指定专人负责管理,并在行政部门备案,未经授权,非不得对其进行作。 (2)部门级及以上的有对其负责的进行例行检查,包括:的CPU、内存、硬盘等资源利用情况;上运行的服务使用情况;上运行的OS及时升级;上运行的杀毒软件的及时更新; (3)要做好的备份工作,至少每季度有一份完整异地(异机)备份,重要数据及时备份。信息系统有监督、协调其备份工作。 (4)个人和部门未经行政部门批准不得私自设立。 (5)每月定期对全面检查,并填写检查日志。 (6)每季度需修改密码一次。当有变更时,密码需及时更改。 (7)员工应避免随意共享工作相关资料,若需共享,应指定合理权限,并在完成后及时取消;严禁未经信息系统管理部门批准,擅自共享给局域网内所有用户。 (8)员工应自行维护电脑的正常使用,并按照网管的要求进行设置及及时进行补丁更新,不得擅自退出域、去除域权限、修改主机名、修改ip等。

3、IP地址的管理: (1)IP地址由行政部门统一规划管理。未经许可,不得擅自更改任何设备的IP地址。 (2)公司申请的公网IP任何人不得私用。 (3)工作需要公网IP,需申请信息部批准后,方可使用。 (4)公司公网IP使用无工作需要时,立即停止使用,并通知行政部门收回。 (5)FTP等器的使用须经行政部门批准,且不得擅自更改使用用途。 六、机房管理

1、人员管理:相关维护人员凭门禁卡或密码进出机房,其它人员不得擅入。如确需进入机房的其它,应向相关部门提出申请,并做相应的登记备案后,在相关人员的陪同下入内。信息系统有权在场及记录入内者的工作情况。

2、机房设备管理:参照公司固定资产管理制度进行管理。非电源性电子设备(如路由器,等)必须接不间断电源,保证数据在突然断电时不致丢失;机房温度应保持在22±2℃。工作时间,非工作时间公司保安应定时巡视机房,确保机房环境、供电及温度正常;如出现机房温度超过30摄氏度警戒线、停电等异常情况,应与联络,立刻采取必要措施保障机房设备的安全。

3、信息管理:任何人员(包括)在机房信息设备上进行更改作,都需记录备案。未经许可在机房内擅自进行作者,可视情节给予通报批评、扣发工资200-500元;情节的,可予以辞退。

4、施工管理:公司机房建设应符合机房建设的有关标准和规定;在公司机房内施工,须由信息安全部批准,并有网络或授权的公司保安监督施工现场。 七、电子设备使用管理

1、电子设备的新增购买申请先采用调配方式,若无法调配同等配置的,才予购买。使用管理参照公司固定资产管理制度。

2、计算机及其辅助设备一经领用,使用人员需严格按照设备使用说明书和制定的相关使用规定作。对丢失、擅自转让、人为毁损造成无法修复等损失,可视情节给予、通报批评、按价赔偿。 (1)台式计算机:非经信息工同意不得擅自打开机箱。 (2)笔记本电脑设备:a、不同品牌型号的零配件不可互换使用。b、用于移动办公,不允许作为共享作。c、应保持出厂预装的正版作系统,保留硬盘中的隐藏分区。如确因工作需要重新安装其它作系统(如WIN2000等),需由系统进行。不允许私自重新分区格式化,将原出厂隐格式化删除。

八、信息系统 1、管理权限和 (1)负责公司各信息系统的信息安全、日常维护、系统管理等。 (2)严格遵守公司制定的相关信息安全管理制度,履行工作职责。 (3)制定各信息系统的管理维护标准,包含用户及权限建立与变更标准及流程、定期检查制度、违约处罚条款等,送交信息安全主管部门审核备案,并严格执行。 (4)信息系统必须签订《关键职位员工之保密承诺书》。

2、职责规范 (1)推动员工树立信息系统安全防范意识,完善公司信息安全保障机制,逐步建立以预防、发现、响应、恢复为基础的信息安全管理机制。 (2)遵守职业道德,严守保密制度,不以任何形式携带走所接触的、了解的、获知的、掌握的、使用的任何资料;不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的商业秘密(包括技术秘密和经营秘密);未经公司书面同意,不擅自使用已接触到、了解到、知悉或被告之的商业秘密;不利用已知的公司资源(如公司信息系统缺陷、口令等),做违反法规、窃取公司商业秘密、攻击公司等行为。 (3)端正服务态度,对员工的需求积极快速响应,并提供迅速、周到的技术服务支持。 九、附则:

1、本制度解释权归信息办。 2、本制度自颁布之日起施行。

计算机信息系统保密管理暂行规定

4、员工不得随意增减配件,不得在未经许可的情况下对硬盘做低级格式化。未经行政部门批准,严禁将台式电脑及其它电子设备带出公司。私自调配电子设备(含配件),可视情节给予、通报批评、扣发工资200-500元/次。

章总则条为保护计算机信息系统处理的秘密安全,根据《中华保守秘密法》,制定本规定。第二条本规定适用于采集、存储、处理、传递、输出秘密信息的计算机信息系统。第三条主管全国1、一般作码由系统根据各类应用系统作要求生成,应按每作用户设置。计算机信息系统的保密工作。

4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。

各级保密部门和、机关保密工作机构主管本地区、本部门的计算机信息系统的保密工作。第二章涉密系统第四条规划和建设计算机信息系统,应当同步规划落实相应的保密设施。第五条计算机信息系统的研制、安装和使用,必须符合保密要求。第六条计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。第七条计算机信息系统联网应当采取系统访问控制、数据保护和系统管理等技术措施。第八条计算机信息系统的访问应当按照权限控制,不得进行越权作。未采取技术措施的数据库不得联网。第三章涉密信息第九条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。第十条计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。第十一条秘密信息不得在与网络联网的计算机信息系统中存储、处理、传递。第四章涉密媒体第十二条存储秘密信息的计算机媒体,应按所存储存信息的密级标明密级,并按相应密级的文件进行管理。

维护信息安全重在管理制度的依据

提高信息系统安全性的办法:

一、计算机设备管理制

第二十五条

1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。

3. 严格遵守计算机设备使用、开机、关机等安全作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及作。

二、作员安全管理制度

(一). 作代码是进入各类应用系统进行业务作、分级对数据存取进行控制的代码。作代码分为系统管理代码和一般作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;

(二).系统管理作代码的设置与管理

1、系统管理作代码必须经过经营管理者授权取得;

2、系统负责各项应用系统的环境生成、维护,负责一般作代码的生成和维护,负责故障恢复等管理及维护;

3、系统对业务系统进行数据整理、故障恢复等作,必须有其上级授权;

4、系统不得使用他人作代码进行业务作;

5、系统调离岗位,上级(或相关负责人)应及时注销其代码并生成新的系统代码;

(三).一般作代码的设置与管理

2、作员不得使用他人代码进行业务作。

3、作员调离岗位,系统应及时注销其代码并生成新的作员代码。

四、数据安全管理制度

1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;

2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。

3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。

5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理作。历次清理前的备份数据要根据备份策略进行定期保存或保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。

6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、检测和登记。

9.运行维护部门需指定专人负责计算机的防范工作,建立本单位的计算机防治管理制度,经常进行计算机检查,发现及时清除。

10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。

计算机信息系统安全包括哪几个方面?

信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。

1、环境安全:主要是对计算机信息系统所在环境的区域保护和灾难保护。要求计算机场地要有防火、防水、防盗措施和设施,有拦截、屏蔽、均压分流、接地防雷等设施、有防静电、防尘设备、温度、湿度和洁净度在一定的控制范围等等。

(六)其他有关材料。

2、设备安全:主要是对计算机信息系统设备的安全保护,包括设备的防毁、防盗、防止电磁信号辐射泄漏、防止线路截获;对UPS、存储器和外部设备的保护等。

3、媒体安全:主要包括媒体数据的安全及媒体本身包含内容如下:的安全。目的是保护媒体数据的安全删除和媒体的安全销毁,防止媒体实体被盗、防毁和防霉等。

扩展资料

1、提高技术水平,增强信息系统的技术防范能力。因此要及时更新安全技术,提高技术水平,不断调整安全策略和选用安全性较强的作系统、数据库系统,制定统一的安全标准、算法和协议等,不要只注重效率而忽视了安全。

2、建立和健全安全管理和防范规章制度,切实发挥安全管理的重要作用。在信息系统安全中,人是安全管理的关键因素,要培养高素质的安全技术人才,在管理体制上要制定相应安全管理和防范规章制度,严格执行,自觉遵守。

参考资料来源:

信息安全管理体系

存储在计算机信息系统内的企业信息安全管理制度秘密信息应当采取保护措施。第十三条存储过秘密信息的计算机媒体不能降低密级使用。不再使用的媒体应及时销毁。第十四条存储过秘密信息的计算机媒体的维修应保证所存储的秘密信息不被泄露。第十五条计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。第五章涉密场所第十六条涉密信息处理场所应当按照的有关规定,与境外机构驻地、人员住所保持相应的安全距离。第十七条涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经管理机关批准无关人员不得进入。第十八条涉密信息处理场所应当定期或者根据需要进行保密技术检查。第十九条计算机信息系统应采取相应的防电磁信息泄漏的保密措施。第二十条计算机信息系统的其它物理安全要求应符合有关保密标准。第六章系统管理第二十一条计算机信息系统的保密管理应实行负责制,由使用计算机信息系统的单位的主管负责本单位的计算机信息系统的保密工作,并指定有关机构和人员具体承办。

信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。

各单位的保密工作机构协助本单位的对计算机信息系统的保密工作进行指导、协调、监督和检查。第二十二条计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。第二十三条各级保密部门应依照有关法规和标准对本地区的计算机信息系统进行保密技术检查。第二十四条计算机信息系统的系统管理人员应经过严格审查,定期进行考核,并保持相对稳定。第二十五条各单位保密工作机构应对计算机信息系统的进行上岗前的保密培训,并定期进行保密教育和检查。第二十六条任何单位和个人发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告。第七章奖惩第二十七条对在计算机信息系统保密工作中做出显著成绩的单位和人员应给予奖励。第二十八条违反本规定,由保密部门和保密机构责令其停止使用,限期整改,经保密部门、机构审查、验收合格后,方可使用。第二十九条违反本规定泄露秘密,依据《中华保守秘密法》及其实施办法进行处理,并追究单位的。第八章附则第三十条的计算机信息系统保密工作按的有关规定执行。第三十一条本规定自发布之日起施行。

信息安全等级保护管理办法的第四章 涉密信息系统的分级保护管理

(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密。

第二十1、公司网站发布、转载信息依据有关规定执行,不包含违反各项法律法规的内容。四条

涉密信息系统应当依据信息安全等级保护的基本要求,按照保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。

非涉密信息系统不得处理秘密信息等。

涉密信息系统按照所处理信息的密级,由低到高分为秘密、机密、绝密三个等级。

涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和保密标准BMB17-2006《涉及秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。

第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于信息安全等级保护第、第四级、第五级的水平。

第二十八条

涉密信息系统使用的信息产品原则上应当选用国产品,并应当通过授权的检测机构依据有关保密标准进行的检测,通过检测的产品由审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由授权的系统测评机构依据保密标准BMB22-2007《涉及秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行测评。

涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及秘密的信息系统审批管理规定》,向设区的市级以上保密工作部3、非经许可,不得将个人台式电脑及相关设备带入公司,特殊情况,需办理相关登记手续。门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:

(一)系统设计、实施方案及审查论证意见;

(二)系统承建单位资质证明材料;

(三)系统建设和工程监理情况报告;

(四)系统检测评估报告;

(五)系统组织机构和管理制度情况;

第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、管理单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。

第三十二条

涉密信息系统建设使用单位应当依据保密标准BMB20-2007《涉及秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。

第三十三条

和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:

(一)指导、监督和检查分级保护工作的开展;

(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;

(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;

(四)依法对涉密信息系统集成资质单位进行监督管理;

(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;

(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;

扩展资料:

《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护安全、稳定和公共利益,保障和促进信息化建设,根据《中华计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。

参考资料: