信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度第一章總則第一條為保證公司計算機網(wǎng)絡能夠安全可靠的運行,防止系統(tǒng)及數(shù)據(jù)被非法利用或破壞,充分發(fā)揮其在生產(chǎn)、經(jīng)營辦公和信息服務方面的重要作用,更好的為員工提供服務特制定本辦法。第二條本制度涉及的信息系統(tǒng),是指由計算機及其相關的配套的設備、設施（含網(wǎng)絡）構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的計算機系統(tǒng);本制度所指的計算機軟件是指在我公司內(nèi)部使用的計算機應用軟件,適用于公司范圍內(nèi)的計算機系統(tǒng)。第二章組織機構和職責第三條成立公司信息安全小組,由公司領導、辦公室,各相關部門、計算機維護人員組成,指定公司信息系統(tǒng)安全員和各系統(tǒng)管理員。第四條公司主要領導是公司信息系統(tǒng)管理和網(wǎng)絡安全的第一責任人,信息安全小組負責公司計算機應用系統(tǒng)和網(wǎng)絡安全的全面管理和運行維護。第五條計算機系統(tǒng)管理員負責公司內(nèi)部信息系統(tǒng)及計算機網(wǎng)絡安全的管理和維護工作,為公司內(nèi)部網(wǎng)絡的安全運行提供技術保障。第六條信息安全員負責對公司信息化相關的各項申請記錄進行復核,審查用戶帳號使用情況和權限分配是否合理,對公司重要信息進行安全分級,定期復查系統(tǒng)管理員填制的各項檢查記錄。第七條公司的所有計算機及外圍設備是公司的固定資產(chǎn)按照誰使用誰負責的原則,落實責任人,使用部門為責任部門,負責保管配備的信息化資產(chǎn)的完好,保證良好的使用環(huán)境,并建立資產(chǎn)臺賬。笫三章系統(tǒng)安全管理一、賬號管理第八條應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)厙（以下簡稱“各系統(tǒng)”）的用戶名均應該專人專用,用以識別不同的用戶和賬號,以確保可溯源和可追蹤性。第九條各系統(tǒng)的管理員賬號需進行有效的保護,經(jīng)公司信息安全小組審核后,由信息系統(tǒng)安全員分配管理員訪問權限給系統(tǒng)管理員。第十條各系統(tǒng)均需要設置充分的用戶密碼安全策略,包括：1、設定密碼最小長度不得低于八位；2、密碼一定由數(shù)字、字母和符號共同組成；3、設置密碼過期期限,定期更改密碼；4、設置密碼鎖定前登錄失敗次數(shù)等安全策略。第十一條各信息系統(tǒng)自帶的默認賬號和密碼必須在系統(tǒng)初次使用時進行修改,密碼由系統(tǒng)管理員保管。第十二條公司信息系統(tǒng)的訪問和應用只限于通過公司內(nèi)網(wǎng)進行,如因特殊情況需要通過外網(wǎng)訪間信息系統(tǒng)的,報信息安全小組批準并由自動化所投權同意后方可進行。第十三條保全處每半年組織相關業(yè)務員部門對信息系統(tǒng)賬號進行復核,將信息系統(tǒng)的用戶及其權限清單提交給業(yè)務部門負責人,確認并審核權限的合理性,通過查看系統(tǒng)日志,檢查不適當賬號和權限的使用情況,對違規(guī)使用情況進行通報并立即整改。第十四條需新增或調整賬戶權限的用戶,由使用部門提出申請,并填寫相關崗位權限調整申請表,經(jīng)信息安全小組審核批準后,由系統(tǒng)管理員調整用戶賬號及相應權限。二、防病毒管理第十五條公司信息安全小組負責防病毒軟件的部署與配置，用戶與信息設備責任人負責所用計算機系統(tǒng)及數(shù)據(jù)的基本防護。第十六條所有接入公司網(wǎng)絡的計算機都必須安裝防病毒軟件;外來計算機要接入公司網(wǎng)絡必須裝有防病毒軟件和最新的病毒庫和查殺引擎,報經(jīng)信息安全小組負責人批準后,由系統(tǒng)管理員檢查該計算機,符合要求后由系統(tǒng)管理員為該計算機設置網(wǎng)絡連接。第十七條公司計算機的防病毒軟件的實時監(jiān)控要默認打開,不得擅自關閉。第十八條公司計算機的防病毒軟件和病毒庫要通過一定的技術手段（例如給殺毒軟件增加防護密碼等）進行保護,防止用戶誤刪或未經(jīng)授權強制刪除或禁用防病毒程序。第十九條信息安全小組負責指導和培訓用戶的防病毒知識提高用戶的防病毒意識。第二十條系統(tǒng)管理員要定期檢查并提醒用戶升級最新的操作系統(tǒng)補丁。三、數(shù)據(jù)管理第二十一條各部門要對本部門重要信息進行安全分級,對不同的數(shù)據(jù)文件采取不同的保密措施防止泄密。第二十二條系統(tǒng)管理員對新發(fā)布的系統(tǒng)補丁程序進行風險評估,判斷補丁程序可能會對各系統(tǒng)帶來的影響,必要情況下應在測試環(huán)境下進行測試,填寫《補丁程序測試記錄》,并集中匯報給信息安全小組進行審核。經(jīng)測試無誤后方可在生產(chǎn)系統(tǒng)計算機中更新補丁程序。（見附件二《補丁程序測試記錄》）第二十三條信息安全員每周檢查上一周由系統(tǒng)管理員檢查的各項記錄,并對所檢查項目進行復核,填寫各類記錄單。第二十四條DCS負責公司所屬醫(yī)療信息化設備軟件和數(shù)據(jù)的備份,每月對控制系統(tǒng)軟件及數(shù)據(jù)進行一次異地備份,每月對代碼數(shù)據(jù)進行一次異地備份，負責對業(yè)務數(shù)據(jù)進行備份,所有備份應刻錄成光盤,由信息安全員保管。第四章網(wǎng)絡與設備管理第二十五條系統(tǒng)管理員定期檢查防火墻、服務器及各網(wǎng)絡設備監(jiān)控日志,若發(fā)現(xiàn)異常,及時上報和詳細記錄并跟蹤解決;分析、檢查和跟進結果均記錄在《日志綜合檢查表》中，信息安全員負責復查確認。（見附件三《日志綜合檢查表》）第二十六條由于網(wǎng)絡設備的特殊重要性,網(wǎng)絡設備的配置管理由系統(tǒng)管理員完成,其他任何人不得改動設備配置。第二十七條為了保證特殊情況下的接管工作,系統(tǒng)管理員必須做好網(wǎng)絡設備的配置記錄,對每次的配置改動作記錄,并備份設備的配置文檔,記錄配置時間。第二十八條公司網(wǎng)絡端口只允許投權用戶使用,不得擅自接入交換設備,未辦理端口授權手續(xù),不得使用網(wǎng)絡端口,嚴禁自行接線上網(wǎng)。外來人員如需接入內(nèi)網(wǎng),需要經(jīng)過信息主管部門或信息安全小組負責人審批。第二十九條公司內(nèi)嚴禁私自搭建無線網(wǎng)絡平臺,嚴禁私自接入無線網(wǎng)絡設備。若因工作需要組建無線網(wǎng)絡的,需向設備保全處申報,由保全處組織對申報的無線平臺方案進行論證,批準后方可搭建。第三十條公司的聯(lián)網(wǎng)工作必須報公司主管部門批準后實施。實施完成后,應繪制竣工圖,報部室信息主管部門。未經(jīng)公司信息安全小組審批,任何部門不得私自連接交換機集線器等網(wǎng)絡設備,不得私自接入網(wǎng)絡,發(fā)現(xiàn)私自接入的網(wǎng)絡線路將予以拆除,并對相關部門及責任人進行考核。第三十一條計算機網(wǎng)絡布線應按照施工標準規(guī)范建設,交換機、光電轉換器、HUB的安裝力求實用美觀;交換機、光電轉換器等網(wǎng)絡重要設備應綁扎固定;計算機網(wǎng)絡和交換機等網(wǎng)絡設備集中的機房需具備相應的接地防雷措施。第三十二條公司所有計算機設備、網(wǎng)絡設備（包括交換機集線器、光電轉換器等）,應建立臺賬資料庫,臺賬應包括所有計算機設備,網(wǎng)絡設備的購置年限、一般配置、使用部門、隨機資料和軟件介質等,具體參照《計算機管理辦法》。第三十三條由設備保全處牽頭,定期對計算機及其使用情況進行檢查;檢查內(nèi)容包括計算機設備的維護和保養(yǎng)、環(huán)境衛(wèi)生、計算機病毒的查殺、計算機是否安裝了與工作無關的其它游戲軟件等,一經(jīng)發(fā)現(xiàn)違規(guī)情況將予以通報考核。第五章中心機房管理第三十四條DCS工程師站是公司信息化設備的核心區(qū)域,涉及范圍廣,技術保密性強,環(huán)境要求高,對生產(chǎn)的影響較大為保證設備正常,高效的運行,無關人員不得擅自進入。外來人員進入機房必須由主管部門同意,必須有專人陪同,禁止帶與工作無關物品進入;非機房工作人員未經(jīng)許可不得擅自對運行設備及各種配置進行更改。第三十五條路由器、交換機和服務器以及通信設備是網(wǎng)絡的關鍵設備,須放置在機柜內(nèi),不得自行配置或更換,更不能挪作它用。第三十六條機房工作人員應做好網(wǎng)絡安全工作,網(wǎng)絡設備及服務器的各種帳號嚴格保密。并對各類操作密碼定期更改系統(tǒng)管理人員應不定期監(jiān)控中心機房設備運行狀況,發(fā)現(xiàn)異常情況應立即按照預案規(guī)程進行操作,并及時上報和詳細記錄。（見附件四《機房綜合巡檢表》、附件五《應用服務器檢查記錄》）笫六章互聯(lián)網(wǎng)安全及郵件系統(tǒng)管理第三十七條嚴格執(zhí)行國家《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》。不得利用網(wǎng)絡從事任何有悖網(wǎng)絡法規(guī)的活動,任何人不得惡意掃描、攻擊他人計算機,不得盜用,竊取他人資料、信息等。第三十八條公司各部門人員應嚴格遵守國家相關法律法規(guī)規(guī)定,在法律許可范圍內(nèi)規(guī)范使用互聯(lián)網(wǎng)進行信息交流和傳遞活動,同時要做好所使用計算機的安全防護,及時安裝系統(tǒng)補丁和病毒庫,防止網(wǎng)絡病毒的傳播。第三十九條公司各員工負有信息保密的責任和義務。任何人不得利用公司計算機網(wǎng)絡泄露公司機密、技術資料和其他保密資料。第四十條任何人不得在網(wǎng)絡上發(fā)布有損公司形象和聲譽的信息。第四十一條本制度自下發(fā)之日起開始執(zhí)行,由設備保全處負責起草并對口管理。

附錄：補丁程序測試記錄系統(tǒng)名稱：系統(tǒng)：系統(tǒng)問題描述：提交日期：一、系統(tǒng)補丁基本信息補丁名稱：版本號：發(fā)布日期：發(fā)布單位：操作系統(tǒng)：語言：補丁內(nèi)容描述：二、補丁更新流程記錄測試環(huán)境是否準備好：口是口否補丁程序是否完成：口是口否安裝過程有無異常： 口是口否補丁是否安裝成功：口是口否安裝日期：測試人簽字：注：《程序測試跟蹤記錄》由簽字人完成三、程序測試跟蹤記錄日期系統(tǒng)環(huán)境是否異常應用系統(tǒng)有誤異常其他信息摘要

第一天□有口無□有口無第五天□有口無□有口無第十天□有口無□有口無第十五天□有口無□有口無四、補丁測試結論報告安裝補丁后是否解決原系統(tǒng)問題：口是口否其他信息摘要解決原系統(tǒng)問題有無產(chǎn)生新問題：口是口否止匕補丁有無更新必要：口是口否此補丁是否具有推廣更新必要：口是口否確認人：確認日期：復審人簽字：復審日期：日志綜合檢查表檢查時間：年月日檢查人：復查時間：年月日復查人：檢查項檢查結果完成情況摘要備注口日志服務器設□正?？诓弧跻焉蠄罂谝?/p>

備日志正常解決口防火墻自動記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口應用服務器記錄日志□正常口不正?！跻焉蠄罂谝呀鉀Q注：主要檢查日志有無缺失，有無嚴重及以上級別的警報，警告內(nèi)容記錄等其他各類異常情況；復查有信息安全員完成。檢查時間：年月日檢查人：復查時間：年月日復查人：檢查項檢查結果完成情況摘要備注口日志服務器設備日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口防火墻自動記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口應用服務器記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q注：主要檢查日志有無缺失，有無嚴重及以上級別的警報，警告內(nèi)容記錄等其他各類異常情況；復查有信息安全員完成。檢查時間：年月日檢查人：復查時間：年月日復查人：檢查項檢查結果完成情況摘要備注口日志服務器設備日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口防火墻自動記□正?？诓弧跻焉蠄罂谝?/p>

錄日志正常解決□應用服務器記錄日志□正?！醪徽！跻焉蠄蟆跻呀鉀Q注：主要檢查日志有無缺失，有無嚴重及以上級別的警報，警告內(nèi)容記錄等其他各類異常情況；復查有信息安全員完成。機房綜合巡檢表檢查時間：檢查人：一、機房環(huán)境檢查項檢查結果情況摘要溫度□正常□不正常痕跡□正?！醪徽．愴憽跽！醪徽穸取跽！醪徽Ｇ鍧崱跽！醪徽．愇丁跽！醪徽Ｗⅲ汉圹E檢查地面、墻壁、天花板是否有裂痕、水漬；機房內(nèi)是否有鼠患、蟻患、蟑螂等活動痕跡。二、周邊設備檢查項檢查結果情況摘要UPS□正?！醪徽ｋ姵亟M□正?！醪徽?/p>

空調口正?？诓徽Ｏ揽谡？诓徽６?、應用設備檢查項檢查結果情況摘要核心設備數(shù)據(jù)指示燈情況口正常口不正常端口及網(wǎng)線情況口正?？诓徽＞W(wǎng)絡通信情況口正?？诓徽Ｗⅲ喊ê诵穆酚善鳌⒔粨Q機、防火墻、IPS等安全設備，語音網(wǎng)關及服務器，光電收發(fā)器等。檢查項檢查結果情況摘要支路設備數(shù)據(jù)指示燈情況口正?？诓徽６丝诩熬W(wǎng)線情況口正?？诓徽＞W(wǎng)絡通信情況口正?？诓徽Ｗⅲ喊―MZ區(qū)防火墻，Web服務器交換機，數(shù)據(jù)存儲設備等。檢查項檢查結果情況摘要應用服務器服務器工作指