信息安全管理制度

PAGEPAGE12/12信息安全管理制度第一章總則第一條為了保護(hù)XXX公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、促進(jìn)計(jì)算機(jī)信息系統(tǒng)的應(yīng)用和發(fā)展、保證網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行，特制定本安全管理制度。第二條本管理制度所稱的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，是指由XXX公司投資購(gòu)買、建設(shè)的計(jì)算機(jī)網(wǎng)絡(luò)主、輔節(jié)點(diǎn)設(shè)備、配套的網(wǎng)絡(luò)線纜設(shè)施及服務(wù)器、工作站所構(gòu)成的軟件、硬件的集成環(huán)境。設(shè)施（含網(wǎng)絡(luò)）儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。第四條本辦法適用于XXX公司。第二章組織機(jī)構(gòu)和職責(zé)第五條在信息安全工作管理中，安全管理員的職責(zé)包括：（一）負(fù)責(zé)公司整個(gè)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備安全管理的日常工作。（二）開展公司范圍內(nèi)安全知識(shí)的培訓(xùn)和宣傳工作。（三）監(jiān)控公司安全總體狀況，提出安全分析報(bào)告。（四）了解行業(yè)動(dòng)態(tài)，為改進(jìn)和完善安全管理工作，提出安全防范建議。（五）及時(shí)向上級(jí)領(lǐng)導(dǎo)、相關(guān)負(fù)責(zé)人報(bào)告計(jì)算機(jī)安全事件。（六）安全人員必須嚴(yán)格遵守國(guó)家有關(guān)法律、法規(guī)和行業(yè)規(guī)章，嚴(yán)守國(guó)家、行業(yè)和崗位秘密。（七）安全人員應(yīng)定期參加下列計(jì)算機(jī)安全知識(shí)和技能的培訓(xùn)：計(jì)算機(jī)安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；計(jì)算機(jī)安全基本知識(shí)的培訓(xùn)；計(jì)算機(jī)安全專門技能的培訓(xùn)等。第六條 在信息安全工作管理中，系統(tǒng)管理員的職責(zé)包括：（一）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則。（二）嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行。（三）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件。（四）對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。（五）負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行。（六）不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序。（七）維護(hù)過(guò)程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告計(jì)算機(jī)安全人員。第七條 在信息安全工作管理中，網(wǎng)絡(luò)管理員的職責(zé)包括：（一）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則（的管理規(guī)范。（二）（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件。（四）對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。第三章 機(jī)房安全管理第八條 機(jī)房安全建設(shè)和改造方案應(yīng)通過(guò)上級(jí)保衛(wèi)部門的安全審批第九條 機(jī)房安全建設(shè)應(yīng)通過(guò)上級(jí)保衛(wèi)部門組織的安全驗(yàn)收。第十條 機(jī)房應(yīng)按重要性進(jìn)行分級(jí)管理，分級(jí)標(biāo)準(zhǔn)按有關(guān)規(guī)定執(zhí)行。第十一條機(jī)房應(yīng)按相應(yīng)級(jí)別合理分區(qū)，保障生產(chǎn)環(huán)境與運(yùn)行環(huán)境有效的安全空間隔離。對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。嚴(yán)禁與機(jī)房業(yè)務(wù)無(wú)關(guān)的人員進(jìn)入機(jī)房。第十二條計(jì)算機(jī)機(jī)房實(shí)行分區(qū)管理原則。核心區(qū)實(shí)行24小時(shí)連續(xù)監(jiān)控，生產(chǎn)區(qū)實(shí)行工作時(shí)間連續(xù)監(jiān)控，輔助區(qū)實(shí)施聯(lián)動(dòng)監(jiān)控。第十三條 機(jī)房建設(shè)應(yīng)當(dāng)符合下列基本安全要求：（一）機(jī)房周圍100米內(nèi)不得存在危險(xiǎn)建筑物，如加油站、煤氣站等。（二）機(jī)房(含屏蔽機(jī)房)應(yīng)當(dāng)埋設(shè)專用接地線，不得和其它接地線相連。（三）機(jī)房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。（四）機(jī)房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)，并與當(dāng)?shù)毓矙C(jī)關(guān)110聯(lián)網(wǎng)。（五）機(jī)房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的UPS和發(fā)電機(jī)。第十四條機(jī)房是重點(diǎn)保護(hù)的要害部位，機(jī)房主管部門應(yīng)依照安全第一的原則，建立、健全嚴(yán)格的機(jī)房安全管理制度，如值班制度、緊急安全事件聯(lián)系制度、安全應(yīng)急制度、安全事件處理制度、機(jī)房安全防護(hù)系統(tǒng)維護(hù)制度等，并定期檢查制度執(zhí)行情況。第十五條監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運(yùn)作，防止監(jiān)控信息的泄密。第十六條機(jī)房嚴(yán)禁無(wú)關(guān)人員進(jìn)出，門禁系統(tǒng)的鑰匙應(yīng)嚴(yán)格發(fā)放，對(duì)于崗位變動(dòng)的人員，及時(shí)收回原來(lái)門禁系統(tǒng)的鑰匙。第十七條加強(qiáng)進(jìn)出機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工作人員進(jìn)出機(jī)房須經(jīng)機(jī)房主管部門領(lǐng)導(dǎo)批準(zhǔn)，外來(lái)人員進(jìn)出機(jī)房還須辦理登記手續(xù)，并由專人陪同。參觀主機(jī)房，須經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)方可，參觀時(shí)必須有機(jī)房管理員陪同。第十八條嚴(yán)禁將易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無(wú)關(guān)的物品帶入機(jī)房。第十九條機(jī)房?jī)?nèi)保持肅靜，嚴(yán)禁在機(jī)房?jī)?nèi)游藝或進(jìn)行非業(yè)務(wù)活動(dòng)。進(jìn)入機(jī)房的工作人員，都必須嚴(yán)格遵守機(jī)房的安全、防火制度，嚴(yán)禁煙火。不準(zhǔn)在機(jī)房?jī)?nèi)吸煙。第二十條機(jī)房?jī)?nèi)所有設(shè)備、儀器、儀表等物品要妥善保管，向外移（帶）設(shè)備及物品，需有主管領(lǐng)導(dǎo)的批示或經(jīng)系統(tǒng)管理員批準(zhǔn)，方可拿出機(jī)房。第二十一條發(fā)生機(jī)房重大事故或案件，機(jī)房主管部門應(yīng)立即向有關(guān)單位報(bào)告，并保護(hù)現(xiàn)場(chǎng)。第四章 設(shè)備維修保養(yǎng)管理第二十二條 只有得到授權(quán)的維護(hù)人員才能夠?qū)υO(shè)備進(jìn)行維修和保養(yǎng)。第二十三條 注意設(shè)備的保養(yǎng)和用電的安全，定期對(duì)設(shè)備進(jìn)行檢查，及時(shí)消除患。第二十四條 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的設(shè)備原則上由本單位的技術(shù)人員進(jìn)行檢修不能檢修的，盡可能請(qǐng)維修人員上門維修。第二十五條 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的設(shè)備必須外出修理的，應(yīng)當(dāng)經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，清理設(shè)備內(nèi)部存貯的涉密信(如硬盤格式化方可外出進(jìn)行修理。第二十六條 計(jì)算機(jī)設(shè)備的采購(gòu)需滿足國(guó)家以及行業(yè)的相關(guān)安全保密規(guī)定。第五章 網(wǎng)絡(luò)安全管理第二十七條 網(wǎng)絡(luò)建設(shè)方案應(yīng)通過(guò)上級(jí)計(jì)算機(jī)安全主管部門的安全審批。第二十八條 網(wǎng)絡(luò)投入使用前應(yīng)通過(guò)計(jì)算機(jī)安全主管部門組織的安全測(cè)試和驗(yàn)收第二十九條 在網(wǎng)絡(luò)的出口出應(yīng)該配備有相應(yīng)的安全設(shè)備。第三十條 網(wǎng)絡(luò)建設(shè)中涉及網(wǎng)絡(luò)安全的資料，應(yīng)備案建檔，統(tǒng)一管理。相關(guān)的碼和帳號(hào)應(yīng)由專人管理。第三十一條 網(wǎng)絡(luò)建設(shè)應(yīng)符合下列基本安全要求：（一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略。（二）能夠保證網(wǎng)絡(luò)傳輸信道的安全，信息在傳輸過(guò)程中不會(huì)被非法獲取。（三）應(yīng)具有防止非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)盜用信息和進(jìn)行惡意破壞的技術(shù)手段。（四）應(yīng)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)的功能。（五）應(yīng)根據(jù)需要對(duì)網(wǎng)絡(luò)采取必要的技術(shù)隔離措施。（六）能有效防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的侵?jǐn)_和破壞。（七）應(yīng)具有應(yīng)付突發(fā)情況的應(yīng)急措施。（八）對(duì)于建設(shè)竣工文檔應(yīng)由專人管理，并且以光盤介質(zhì)和紙質(zhì)兩種方式進(jìn)行存檔。第三十二條 網(wǎng)絡(luò)通信應(yīng)符合下列基本安全要求：（一）各部門之間進(jìn)行VLAN劃分。（二）對(duì)重要服務(wù)器區(qū)、重要科室部門，實(shí)現(xiàn)嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制。（三）對(duì)聯(lián)網(wǎng)的計(jì)算機(jī)及其網(wǎng)絡(luò)設(shè)備和通訊設(shè)備的安裝、使用，應(yīng)建立健全安全保護(hù)管理制度，落實(shí)安全保護(hù)措施，以防“黑客”侵入和用戶非法越權(quán)操作。（四）存有重要數(shù)據(jù)的計(jì)算機(jī)，不得擅自與國(guó)際互聯(lián)網(wǎng)聯(lián)網(wǎng)。（五）內(nèi)部有權(quán)限上網(wǎng)的用戶不能將內(nèi)部資料通過(guò)網(wǎng)絡(luò)進(jìn)行外傳。（六）網(wǎng)絡(luò)管理員在內(nèi)部網(wǎng)絡(luò)與外網(wǎng)直接的防火墻或路由器上設(shè)置安全訪問(wèn)策略，嚴(yán)格限制內(nèi)外網(wǎng)之間的訪問(wèn)。（七）接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)要有專人進(jìn)行管理，對(duì)上網(wǎng)內(nèi)容須進(jìn)行必要的檢查。（八）任何用戶不得利用國(guó)際聯(lián)網(wǎng)危害國(guó)家安全、泄露國(guó)家秘密，不得侵犯和危害公司的利益，不得從事違法犯罪活動(dòng)。第三十三條 訪問(wèn)互聯(lián)網(wǎng)應(yīng)符合下列基本安全要求：（一）涉密系統(tǒng)不得與境外機(jī)構(gòu)、外國(guó)駐華機(jī)構(gòu)、國(guó)際計(jì)算機(jī)網(wǎng)絡(luò)及國(guó)內(nèi)公眾計(jì)算機(jī)信息系統(tǒng)聯(lián)網(wǎng)。（二）不得瀏覽“色情”或傳播非法內(nèi)容（如法輪功，發(fā)動(dòng)言論等）的網(wǎng)站。（三）不得在網(wǎng)上傳播非法內(nèi)容。（四）禁止下載非法的或有危害的軟件。（五）沒(méi)有安裝防病毒軟件的計(jì)算機(jī)不得訪問(wèn)互聯(lián)網(wǎng)。第三十四條 重要網(wǎng)絡(luò)設(shè)備應(yīng)放置在中心機(jī)房?jī)?nèi)，由網(wǎng)絡(luò)管理員負(fù)責(zé)管理。其人員不得對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行任何操作。第三十五條 網(wǎng)管設(shè)備屬專管設(shè)備，必須嚴(yán)格控制其管理員密碼。第三十六條 重要網(wǎng)絡(luò)通信硬件設(shè)施、網(wǎng)管應(yīng)用軟件設(shè)施及網(wǎng)絡(luò)參數(shù)配置應(yīng)有份。第三十七條 改變網(wǎng)絡(luò)路由配置和通信地址等參數(shù)的操作，必須具有包括時(shí)間目的、內(nèi)容及維護(hù)人員等要素的書面記錄。第三十八條 與其他業(yè)務(wù)相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)連接應(yīng)采用必要的技術(shù)隔離保護(hù)措施對(duì)聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問(wèn)控制。第三十九條 網(wǎng)絡(luò)管理人員應(yīng)隨時(shí)監(jiān)測(cè)和定期檢查網(wǎng)絡(luò)運(yùn)行狀況，對(duì)獲得的信應(yīng)進(jìn)行分析，發(fā)現(xiàn)安全隱患應(yīng)報(bào)告計(jì)算機(jī)安全人員。第四十條 有權(quán)限的單位在使用專用設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)時(shí)，網(wǎng)絡(luò)管理人員應(yīng)予必要的協(xié)助和監(jiān)督。第四十一條 網(wǎng)絡(luò)掃描、監(jiān)測(cè)結(jié)果和網(wǎng)絡(luò)運(yùn)行日志等重要信息應(yīng)備份存儲(chǔ)。第四十二條 聯(lián)網(wǎng)計(jì)算機(jī)應(yīng)定期進(jìn)行查、殺病毒操作，發(fā)現(xiàn)計(jì)算機(jī)病毒，應(yīng)按規(guī)定及時(shí)處理。第四十三條 嚴(yán)禁超越網(wǎng)絡(luò)管理權(quán)限，非法操作業(yè)務(wù)數(shù)據(jù)信息，擅自設(shè)置路由非相關(guān)網(wǎng)絡(luò)進(jìn)行連接。第四十四條 機(jī)房?jī)?nèi)交換機(jī)上的未被使用的空閑端口應(yīng)設(shè)置為不啟用狀態(tài)。第六章 人事安全管第四十五條 人員管理應(yīng)符合下列基本安全要求：（一）并對(duì)其進(jìn)行經(jīng)常的保密教育，要求嚴(yán)格遵守國(guó)家工作人員保密守則。對(duì)不適宜在涉密系統(tǒng)工作的人員應(yīng)及時(shí)調(diào)整。（二）建立安全培訓(xùn)制度，進(jìn)行計(jì)算機(jī)安全法律教育、職業(yè)道德教育和計(jì)算機(jī)安全技術(shù)教育。對(duì)關(guān)鍵崗位的人員進(jìn)行定期考核。定期組織對(duì)新進(jìn)公司的職員進(jìn)行安全管理培訓(xùn)。（三）對(duì)關(guān)鍵崗位人員的進(jìn)行安全制度和常識(shí)的定期考核、各部門人員職責(zé)的明確。（四）網(wǎng)絡(luò)管理員、安全管理員、普通操作員崗位分離。（五）需要上外部互聯(lián)網(wǎng)用戶必須與信息中心辦理上網(wǎng)申請(qǐng)，嚴(yán)格執(zhí)行安全保密制度。（六）內(nèi)部用戶對(duì)網(wǎng)絡(luò)上有害信息應(yīng)該及時(shí)控制并刪除，不得傳播。（七）對(duì)安全事故、案件等應(yīng)該及時(shí)上報(bào)安全管理辦公室，并作日志記錄。（八）網(wǎng)絡(luò)管理員應(yīng)定期檢測(cè)網(wǎng)絡(luò)運(yùn)行情況，安全管理員必須定期檢查系統(tǒng)安全情況。（九）有關(guān)信息安全條例及時(shí)上安排上網(wǎng)、并轉(zhuǎn)發(fā)給用戶學(xué)習(xí)。（十）發(fā)現(xiàn)異常用戶登錄，應(yīng)及時(shí)處理并上報(bào)安全管理辦公室備案第四十六條 多人負(fù)責(zé)原則：（一）每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。一為互相監(jiān)督，以證明安全工作已得到保障。（二）以下各項(xiàng)是與安全有關(guān)的活動(dòng)：①訪問(wèn)控制使用證件的發(fā)放與回收。②信息處理系統(tǒng)使用的媒介發(fā)放與回收。③處理保密信息。④硬件和軟件的維護(hù)。⑤系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改。⑥重要程序和數(shù)據(jù)的刪除和銷毀等。第四十八條職責(zé)分離原則：（一）在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。（二）出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開：①計(jì)算機(jī)操作與計(jì)算機(jī)編程。②機(jī)密資料的接收和傳送。③安全管理員和網(wǎng)絡(luò)管理員。④應(yīng)用程序和系統(tǒng)程序的編制。⑤訪問(wèn)證件的管理與其它工作。⑥計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。第四十九條 人員調(diào)離時(shí)安全管理應(yīng)符合下列基本安全要求：（一）根據(jù)人員安全保密管理，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。（二）收回相關(guān)房門鑰匙，更換其原來(lái)管理的系統(tǒng)的訪問(wèn)口令，并向被調(diào)離人員申明其保密義務(wù)。（三）涉及科研、開發(fā)及其他重要業(yè)務(wù)的技術(shù)人員調(diào)離時(shí)，應(yīng)確認(rèn)對(duì)業(yè)務(wù)不會(huì)造成危害后方可調(diào)離。（四）人員的錄用調(diào)入必須經(jīng)人事組織技術(shù)部門的考核和接受相應(yīng)的安全教育第七章 系統(tǒng)及應(yīng)用安全管理第五十條 系統(tǒng)運(yùn)行的基本要求：（一）對(duì)于各個(gè)信息系統(tǒng)的使用應(yīng)建立相應(yīng)安全操作規(guī)程與規(guī)章制度。（二）指定專人負(fù)責(zé)啟動(dòng)、關(guān)閉重要計(jì)算機(jī)系統(tǒng)和相關(guān)設(shè)備。（三）指定專人對(duì)系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)視，及時(shí)發(fā)現(xiàn)問(wèn)題并報(bào)告上級(jí)。（四）記錄內(nèi)部網(wǎng)絡(luò)拓?fù)淝闆r，記錄各計(jì)算機(jī)系統(tǒng)的IP地址、網(wǎng)卡地址、系統(tǒng)配置，以在發(fā)生安全問(wèn)題時(shí)，及時(shí)找到相關(guān)系統(tǒng)。（五）各個(gè)信息系統(tǒng)的運(yùn)行場(chǎng)所應(yīng)滿足相應(yīng)的安全等級(jí)要求。（六）各個(gè)信息系統(tǒng)應(yīng)配備必要的計(jì)算機(jī)病毒防范工具。（七）重要的信息系統(tǒng)應(yīng)配備必要的備份設(shè)備和設(shè)施第五十一條 系統(tǒng)數(shù)據(jù)安全管理的要求：（一）計(jì)算機(jī)信息系統(tǒng)應(yīng)定期進(jìn)行數(shù)據(jù)備份，并檢查備份介質(zhì)的有效性。（二）應(yīng)對(duì)備份介質(zhì)（磁帶、磁盤、光盤、紙介質(zhì)等）統(tǒng)一編號(hào)，并標(biāo)明備份日期、密級(jí)及保密期限。（三）應(yīng)對(duì)備份介質(zhì)妥善保管，特別重要的應(yīng)異地存放，并定期進(jìn)行檢查，確保數(shù)據(jù)的完整性、可用性。（四）應(yīng)建立備份介質(zhì)的銷毀審批登記制度，并采取相應(yīng)的安全銷毀措施。（五）（六）并拆除所有相關(guān)的涉密選配件，由使用部門登記封存。第五十二條 服務(wù)器安全管理要求：（一）系統(tǒng)中各服務(wù)器為應(yīng)用系統(tǒng)、安全系統(tǒng)專用，不得用于其他用途。（二）未經(jīng)許可，服務(wù)器中不得安裝與系統(tǒng)無(wú)關(guān)的軟件。（三）可開通FTP（四）網(wǎng)絡(luò)管理員應(yīng)建立完整的計(jì)算機(jī)運(yùn)行日志，操作記錄及其它與安全有關(guān)的資料。第五十三條 個(gè)人計(jì)算機(jī)安全管理要求：（一）未采取保密措施的個(gè)人計(jì)算機(jī)(含便攜機(jī)，下同)，不得作為臨時(shí)終端檢索涉密系統(tǒng)的信息，不得與涉密系統(tǒng)聯(lián)網(wǎng)。（二）個(gè)人計(jì)算機(jī)存貯涉密信息應(yīng)當(dāng)采取保密措施，并標(biāo)明密級(jí)，按密級(jí)文件進(jìn)行管理，不得在公共場(chǎng)所存放。（三）個(gè)人計(jì)算機(jī)不得安裝和使用會(huì)影響網(wǎng)絡(luò)性能的工具軟件，如網(wǎng)絡(luò)掃描器、黑客攻擊工具等。（四）個(gè)人計(jì)算機(jī)不得安裝與工作無(wú)關(guān)的軟件，如游戲、聊天、炒股軟件等第五十四條 數(shù)據(jù)庫(kù)安全管理要求：（一）數(shù)據(jù)庫(kù)的各個(gè)用戶的默認(rèn)密碼應(yīng)該被重新設(shè)置為新的密碼，且密碼由數(shù)字和字母共同組成，密碼長(zhǎng)度不小于8位。（二）嚴(yán)格設(shè)置和限制數(shù)據(jù)庫(kù)用戶的訪問(wèn)權(quán)限，容許用戶只訪問(wèn)被批準(zhǔn)的數(shù)據(jù)，以及限制不同用戶有不同的訪問(wèn)模式。（三）開啟數(shù)據(jù)庫(kù)日志功能，數(shù)據(jù)庫(kù)管理員定期查看日志，查找異常情況，并將數(shù)據(jù)庫(kù)日志進(jìn)行備份。（四）若網(wǎng)絡(luò)系統(tǒng)中采用了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的管理員應(yīng)經(jīng)常注意數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的報(bào)警情況，以及時(shí)作出安全響應(yīng)措施。（五）數(shù)據(jù)庫(kù)管理員應(yīng)了解數(shù)據(jù)庫(kù)安全漏洞情況及相應(yīng)的解決方法，如及時(shí)為數(shù)據(jù)庫(kù)升級(jí)或打好相應(yīng)的補(bǔ)丁。（六）對(duì)重要數(shù)據(jù)庫(kù)定期進(jìn)行備份。第五十五條 系統(tǒng)運(yùn)行平臺(tái)的安全管理要求：（七）以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。（八）系統(tǒng)管理員應(yīng)屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。（九）涉密系統(tǒng)的操作系統(tǒng)應(yīng)當(dāng)建立用戶身份驗(yàn)證、訪問(wèn)權(quán)限控制等保密防御機(jī)制和審計(jì)機(jī)制。（十）重要的涉密系統(tǒng)，應(yīng)當(dāng)建立具有實(shí)時(shí)報(bào)警功能的監(jiān)控系統(tǒng)。（十一）傳輸重要信息，應(yīng)當(dāng)采用數(shù)字簽名技術(shù)。（十二）涉密系統(tǒng)各類數(shù)據(jù)庫(kù)應(yīng)當(dāng)建立用戶身份鑒別、訪問(wèn)權(quán)限控制和數(shù)據(jù)庫(kù)審計(jì)等保密措施，重要的數(shù)據(jù)應(yīng)當(dāng)加密存放。（十三）并負(fù)責(zé)應(yīng)用軟件和數(shù)據(jù)庫(kù)系統(tǒng)的升級(jí)和打補(bǔ)丁。（十四）系統(tǒng)管理員應(yīng)啟用系統(tǒng)提供的審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志，掌握系統(tǒng)運(yùn)行狀況。（十五）系統(tǒng)管理員不得泄露操作系統(tǒng)、數(shù)據(jù)庫(kù)的系統(tǒng)管理員帳號(hào)、密碼。（十六）聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍進(jìn)行設(shè)置，不得隨意修改。（十七）安全管理員使用掃描工具或請(qǐng)外部專用人員定期對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全掃描。（十八）對(duì)于已經(jīng)發(fā)現(xiàn)的操作系統(tǒng)和應(yīng)用軟件漏洞和解決方法，安全管理員應(yīng)及時(shí)告知系統(tǒng)管理員及內(nèi)部職員，并及時(shí)進(jìn)行解決。第八章 數(shù)據(jù)安全管理第五十六條 本制度所指的信息數(shù)據(jù)，包括存儲(chǔ)在計(jì)算機(jī)硬盤、磁道機(jī)、磁盤陣列、光盤塔等電子信息數(shù)據(jù)，還包括以紙為信息載體的記錄內(nèi)部網(wǎng)絡(luò)情況及信息系統(tǒng)等資源的文檔。第五十七條 公司各個(gè)部門必須建立完善的業(yè)務(wù)數(shù)據(jù)管理制度對(duì)業(yè)務(wù)數(shù)據(jù)實(shí)嚴(yán)格的安全保密管理。各個(gè)業(yè)務(wù)部數(shù)據(jù)信息應(yīng)保存一年以上。第五十八條 數(shù)據(jù)備份應(yīng)符合下列基本安全要求：（一）使用數(shù)據(jù)備份軟件對(duì)需要長(zhǎng)期保存的重要數(shù)據(jù)進(jìn)行快速有效的數(shù)據(jù)備份工作。（二）各部門重要數(shù)據(jù)的備份一般保證有多份（最少兩份系統(tǒng)發(fā)生故障時(shí)能夠快速恢復(fù)。存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)，并明確落實(shí)異地備份數(shù)據(jù)的管理職責(zé)。（三）備份數(shù)據(jù)保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。（四）建議第一次備份時(shí)作一次系統(tǒng)數(shù)據(jù)的全備份，以后每天作一次增量備份，每周作一次全備份。（五）數(shù)據(jù)備份過(guò)程中，應(yīng)確保備份數(shù)據(jù)源和備份目的介質(zhì)之間數(shù)據(jù)傳輸安全。（六）數(shù)據(jù)備份的存儲(chǔ)介質(zhì)應(yīng)設(shè)有嚴(yán)格的訪問(wèn)策略限制。（七）備份數(shù)據(jù)應(yīng)僅用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用。（八）無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱備份數(shù)據(jù)。經(jīng)正式批件查閱數(shù)據(jù)時(shí)必須登記，并由查閱人簽字。（九）保密數(shù)據(jù)不得以明碼形式存儲(chǔ)和傳輸。（十）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)。（十一）保證存儲(chǔ)介質(zhì)的物理安全。（十二）任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批，以保證備份數(shù)據(jù)安全完整。第五十九條 涉密介質(zhì)應(yīng)符合下列基本安全要求：（一）應(yīng)當(dāng)由專人負(fù)責(zé)保管，涉密介質(zhì)應(yīng)當(dāng)與非密介質(zhì)分開保管。（二）涉密介質(zhì)應(yīng)當(dāng)按密級(jí)文件進(jìn)行管理，標(biāo)明密級(jí)并造冊(cè)登記，收發(fā)、傳遞和使用應(yīng)當(dāng)有審批手續(xù)和傳遞記錄。（三）涉密介質(zhì)應(yīng)當(dāng)有防拷貝措施，拷貝涉密信息要經(jīng)領(lǐng)導(dǎo)審批，拷貝的涉密介質(zhì)按原涉密介質(zhì)進(jìn)行管理。（四）涉密介質(zhì)不得降低密級(jí)使用和記錄非密信息，無(wú)保存價(jià)值的涉密介質(zhì)應(yīng)當(dāng)報(bào)領(lǐng)導(dǎo)批準(zhǔn)后銷毀，并作好銷毀記錄。（五）涉密介質(zhì)不得到境外修理。第六十條 數(shù)據(jù)管理應(yīng)符合下列基本安全要求：（一）公司內(nèi)部信息數(shù)據(jù)及網(wǎng)絡(luò)應(yīng)用情況要實(shí)施保密措施。信息數(shù)據(jù)資源保密等級(jí)可分為：可向Internet可向內(nèi)部公開的；可向特定服務(wù)器區(qū)公開的；可向有關(guān)部門或個(gè)人公開的；僅限于本部門內(nèi)使用的；僅限于個(gè)人使用的。（二）公司內(nèi)各部門計(jì)算機(jī)數(shù)據(jù)管理實(shí)行負(fù)責(zé)人責(zé)任制，各部門指定專人負(fù)責(zé)本部門計(jì)算機(jī)數(shù)據(jù)管理工作。保障本部門計(jì)算機(jī)數(shù)據(jù)的安全運(yùn)行，對(duì)本部門的計(jì)算機(jī)數(shù)據(jù)及時(shí)進(jìn)行分類登記、備份，隨時(shí)檢測(cè)、清除計(jì)算機(jī)病毒，使用病毒防護(hù)工具恢復(fù)被病毒感染的數(shù)據(jù)。（三）計(jì)算機(jī)數(shù)據(jù)中涉及國(guó)家和商業(yè)秘密的信息應(yīng)采取技術(shù)加密、保密措施，并編制操作密碼，任何人不準(zhǔn)泄露操作密碼。操作密碼要定期更改。如發(fā)現(xiàn)失、泄密現(xiàn)象應(yīng)及時(shí)向有關(guān)部門報(bào)告。（四）傳遞應(yīng)予保密的數(shù)據(jù)，應(yīng)通過(guò)符合保密要求的郵件等方式進(jìn)行。（五）在數(shù)據(jù)采集、傳遞、加工和發(fā)布中違反報(bào)名規(guī)定，給國(guó)家和社會(huì)造成危害的，對(duì)直接責(zé)任人要給予行政處分，情節(jié)嚴(yán)重的，要追究刑事責(zé)任。（六）記錄有公司內(nèi)部網(wǎng)絡(luò)拓?fù)淝闆r、網(wǎng)絡(luò)地址、系統(tǒng)配置等的電子文檔，應(yīng)由網(wǎng)絡(luò)管理員妥善保管，加密存儲(chǔ)。相關(guān)的紙介質(zhì)文檔，也應(yīng)妥善保管在安全處，未經(jīng)上級(jí)批準(zhǔn)不得借閱或復(fù)印。（七）數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過(guò)程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行，由信息部門技術(shù)人員進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證，確保數(shù)據(jù)恢復(fù)的完整性和可用性。（八）數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存，并確?？梢噪S時(shí)使用。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。（九）需要長(zhǎng)期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過(guò)期失效，通過(guò)有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。（十）計(jì)算機(jī)設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)管理的信息備份后刪除，并進(jìn)行登記。對(duì)修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)和登記。（十一）管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無(wú)用的資料和介質(zhì)，防止泄密。第九章病毒防治管理第六十一條網(wǎng)絡(luò)中所有聯(lián)網(wǎng)的服務(wù)器和客戶端均應(yīng)安裝病毒防護(hù)系統(tǒng)軟件，若病毒防護(hù)軟件帶有集中管理功能，則對(duì)網(wǎng)絡(luò)用戶實(shí)現(xiàn)病毒防護(hù)軟件的統(tǒng)一設(shè)置，不容許用戶私自卸載防病毒軟件，不容許用戶禁止實(shí)時(shí)病毒掃描功能。第六十二條安全管理員負(fù)責(zé)更新防病毒軟件。第六十三條 定期進(jìn)行病毒掃描，發(fā)現(xiàn)病毒立即處理；設(shè)置病毒防護(hù)軟件自動(dòng)描為每周至少一次。第六十四條 外面進(jìn)來(lái)的信息介質(zhì)必須經(jīng)過(guò)病毒掃描、病毒清除后才能使用第六十五條 計(jì)算機(jī)使用人員在使用軟盤時(shí)，應(yīng)先對(duì)軟盤進(jìn)行病毒掃描。第六十六條 計(jì)算機(jī)使用者在離開前應(yīng)鎖定計(jì)算機(jī)或退出系統(tǒng)。第六十七條 任何人未經(jīng)計(jì)算機(jī)所屬使用人的同意，不得使用他人的計(jì)算機(jī)第六十八條 安全管理員負(fù)責(zé)公司內(nèi)部計(jì)算機(jī)病毒的檢測(cè)和清理工作。第六十九條 安全管理負(fù)責(zé)人對(duì)防病毒措施的落實(shí)情況進(jìn)行監(jiān)督。第七十條 安全管理員定期將防病毒軟件的統(tǒng)計(jì)日志和公司內(nèi)病毒發(fā)作情況向全管理領(lǐng)導(dǎo)小組匯報(bào)。第十章帳號(hào)密碼與權(quán)限管理第七十一條由網(wǎng)絡(luò)管理員負(fù)責(zé)