- 目錄
-
第1篇 27001信息安全管理體系審核員工作職責與職位要求
職位描述:
1.按照公司派遣計劃(app)要求,對指定申請組織進行相應領域(目前:質(zhì)量、環(huán)境、職業(yè)健康安全、信息安全、ec9000、13485、hse、食品安全、危害分析與關鍵控制點、資產(chǎn)管理體系、道路交通安全管理體系、服務認證、產(chǎn)品認證)標準規(guī)范進行第三方現(xiàn)場合格評定活動;
2.定期參加公司組織的遠程、面授培訓及考試,積極提升自身的能力水平;
3.遵守公司的管理制度,按照規(guī)定流程執(zhí)行審核活動的前期、現(xiàn)場、后期綜合程序;
4.遵守國家認證認可等行業(yè)主管單位的規(guī)定要求。
職位要求:
1. 年齡不限;
2.須取得中國認證認可協(xié)會(ccaa)頒發(fā)的國家注冊審核員,檢查員或?qū)彶閱T資格或已通過相應領域的ccaa國家注冊審核員考試(基礎知識審核知識)。
3.具有良好的責任心;
4.專職優(yōu)先。
5.待遇從優(yōu),工資底薪人天費用組長費(適用時)見證費(適用時)社保
6.從業(yè)4年以上,或能力優(yōu)秀者可以適當交流調(diào)整底薪待遇。
7.專職應履行不少于20個審核人日要求,或季度60個人日要求。
第2篇 人員離崗離職信息安全管理規(guī)定
為規(guī)范本單位計算機信息安全工作,更好的服務于本單位信息化建設需要,特制定本規(guī)定:
第一條為保證本單位的計算機與網(wǎng)絡信息安全,適應信息安全等方面的需要,防止計算機網(wǎng)絡失密泄密事件發(fā)生,特制定本制度;
第二條工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務的秘密信息,承擔如同任職期間一樣的保密義務和不擅自使用的義務,直至該秘密信息成為公開信息,而無論離職人員因何種原因離職。
第三條離職人員因職務上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體,均歸本單位所有,而無論這些秘密信息有無商業(yè)上的價值。
第四條離職人員應當于離職時,或者于本單位提出請求時,返還全部屬于本單位的財物,包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的,則視為離職人員已同意將這些載體物的所有權轉(zhuǎn)讓給本單位,本單位應當在離職人員返還這些載體時,給予離職人員相當于載體本身價值的經(jīng)濟補償;但秘密信息可以從載體上消除或復制出來時,可以由本單位將秘密信息復制到本單位享有所有權的其他載體上,并把原載體上的秘密信息消除,此種情況下離職人員無須將載體返還,本單位也無須給予離職人員經(jīng)濟補償。
第五條離職人員離職時,應將工作時使用的電腦、u盤及其他一切存儲設備中關于工作相關或與本單位有利益關系的信息、文件等內(nèi)容交接給本單位相關人員,不得在離職后以任何形式帶走相關信息。
___________
年月日
第3篇 公司信息安全管理檢查執(zhí)行規(guī)定
1.檢查原則
根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對違規(guī)行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權限審核不當,造成公司安全制度和措施難以落實,安全管理工作混亂的部門,部門負責人須承擔領導責任。對違反信息安全管理規(guī)定者,如其直接領導有明顯管理和指導不力的須承擔連帶責任。
2.檢查方式
公司技術部門抽調(diào)網(wǎng)絡管理人員,不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件,排查違規(guī)電腦,追究相關當事人。
3.檢查結果
對于故意盜竊、泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)特別嚴重造成重大損失的,給予罰款、降薪、降職、辭退、直至開除的處理,并賠償公司損失。對于觸犯國家法律的,移交國家司法機關依法處理。對違反公司信息安全制度規(guī)定,性質(zhì)較輕,在公司內(nèi)部系統(tǒng)給予點名通報批評,并記錄在案,責令限期改正。
第4篇 網(wǎng)絡信息安全管理組織機構設置工作職責
1:總則
1.1為規(guī)范北京愛迪通聯(lián)科技有限公司(以下簡稱“公司”)信息安全管理工作,建立自上而下的信息安全工作管理體系,需建立健全相應的組織管理體系,以推動信息安全工作的開展。
2:范圍
本管理辦法適用于公司的信息安全組織機構和重要崗位的管理。
3:規(guī)范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的應用文件,其隨后的所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單),然而,鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可以使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標準
《信息安全技術 信息系統(tǒng)安全保障評估框架》(gb/t 20274.1-2006)
《信息安全技術 信息系統(tǒng)安全管理要求》(gb/t 20269-2006)
《信息安全技術 信息系統(tǒng)安全等級保護基本要求》(gb/t 22239-2008)
4:組織機構
4.1 公司成立信息安全領導小組,是信息安全的最高決策機構,下設辦公室,負責信息安全領導小組的日常事務。
4.2 信息安全領導小組負責研究重大事件,落實方針政策和制定總體策略等。職責主要包括:
根據(jù)國家和行業(yè)有關信息安全的策略、法律和法規(guī),批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術標準;
確定公司信息安全各有關部門工作職責,知道、監(jiān)督信息安全工作。
4.3 信息安全領導小組下設兩個工作組:信息安全工作組、應急處理工作組。組長均由公司負責人擔任。
4.4信息安全工作組的主要職責包括:
4.4.1 貫徹執(zhí)行公司信息安全領導小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;
4.4.2 根據(jù)信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實;
4.4.3 組織對重大的信息安全工作制度和技術操作策略進行審查,擬定信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行;
4.4.4 負責協(xié)調(diào)、督促各職能部門和有關單位的信息安全工作,參與信息系統(tǒng)工程建設中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;
4.4.5 組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防范對策;
4.4.6 負責接收各單位的緊急信息安全事件報告,組織進行時間調(diào)查,分析原因、涉及范圍,并評估安全事件的嚴重程度,提出信息安全時間防范措施;
4.4.7 及時向信息安全工作領導小組和上級有關部門、單位報告信息安全時間。
4.4.8 跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
4.5應急處理工作組的主要職責包括:
4.5.1 審定公司網(wǎng)絡與信息系統(tǒng)的安全應急策略及應急預案;
4.5.2 決定相應應急預案的啟動,負責現(xiàn)場指揮,并組織相關人員排除故障,恢復系統(tǒng);
4.5.3 每年組織對信息安全應急策略和應急預案進行測試和演練。
4.6 公司應指定分管信息的領導負責本單位信息安全管理,并配備信息安全技術人員,有條件的應設置信息安全工作小組或辦公室,對公司信息安全領導小組和工作小組負責,落實本單位信息安全工作和應急處理工作。
5: 關鍵崗位
5.1 設置信息系統(tǒng)的關鍵崗位并加強管理,配備系統(tǒng)管理員、網(wǎng)絡管理員、應用開發(fā)管理員、安全審計員、安全保密管理員要求無人各自獨立。要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全的管理規(guī)定。
5.2 系統(tǒng)管理員主要職責有:
5.2.1負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
5.2.2嚴格用戶權限管理,維護系統(tǒng)安全正常運行;
5.2.3認真記錄系統(tǒng)安全事項,及時向信息安全人員報告安全事件;
5.2.4對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
5.3網(wǎng)絡管理員的主要職責有:
5.3.1負責網(wǎng)絡的運行管理,實施網(wǎng)絡安全策略和安全云心細則;
5.3.2安全配置網(wǎng)絡參數(shù),嚴格控制網(wǎng)絡用戶訪問權限,維護網(wǎng)絡安全正常運行;
5.3.3監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路,防范黑客入侵,及時向信息安全人員報告安全事件;
5.3.4對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。
5.4應用開發(fā)管理員主要職責有:
5.4.1負責在系統(tǒng)開發(fā)建設中,嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
5.4.2系統(tǒng)投產(chǎn)運行前,完整移交系統(tǒng)相關的安全策略等資料;
5.4.3不得對系統(tǒng)設置“后門”;
5.4.4對系統(tǒng)核心技術保密等。
5.5安全審計員負責對設計系統(tǒng)安全的事件和各類操作人員的行為進行審計和監(jiān)督,主要職能包括:
5.5.1按操作員證書號進行審計;
5.5.2按操作時間審計;
5.5.3按操作類型審計;
5.5.4事件類型進行審計;
5.5.5日志管理等。
5.6安全保密管理員負責日常安全保密管理活動,主要職責有:
5.6.1監(jiān)視全網(wǎng)運行和安全告警信息
5.6.2網(wǎng)絡審計信息的常規(guī)分析
5.6.3安全設備的常規(guī)設置和維護
5.6.4執(zhí)行應急中心指定的具體安全策略
5.6.5向應急管理機構和領導機構報告重大的網(wǎng)絡安全時間等。
6 附則
6.1本辦法由公司科技部負責解釋。
6.2本辦法自發(fā)布之日起實施。
第5篇 保密和信息安全管理規(guī)定
為了防止信息和技術的泄密,導致嚴重災難的發(fā)生,特制訂本規(guī)定:
一、公司秘密包括:
1、公司股東、董事會資料,會議記錄、紀要,保密期限內(nèi)的重要決定事項;
2、公司的年度工作總結,財務預算決算報告,繳納稅款、營銷報表和各種綜合統(tǒng)計報表;
3、公司業(yè)務資料,貨源情報和對供應商調(diào)研資料;
4、公司開發(fā)設計資料、技術資料和生產(chǎn)情況;
5、客戶提供的一切文件、資料等;
6、公司各部門人員編制、調(diào)整、未公布的計劃,員工福利待遇資料;
7、公司的安全防范狀況及存在問題;
8、公司員工違法違紀的檢舉、投訴、調(diào)查材料,發(fā)生案件、事故的調(diào)查登記資料;
9、公司、法人代表的印章、營業(yè)執(zhí)照、財務印章、合同協(xié)議。
二、公司的保密制度:
1、文件、傳真、郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理;
2、凡涉及公司內(nèi)部秘密的文件資料的報廢處理,必須首先碎紙,不準未經(jīng)碎紙丟棄處理;
3、公司員工本人工作所持有的各種文件、資料、電子文檔(便攜設備,光盤等),當本人離開辦公室外出時,須存放入文件柜或抽屜,不準隨意亂放,未經(jīng)批準,不能復制抄錄或攜帶外出;
4、未經(jīng)公司領導批準,不得向外界提供公司的任何保密資料;
5、未經(jīng)公司領導批準,不得向外界提供客戶的任何資料;
6、妥善保管好各種財務賬冊、公司證照、印章。
三、電腦保密措施:
1、不要將機密文件及可能是受保護文件隨意存放,文件的存放在分類分目錄存放于指定位置;
2、未經(jīng)領導許可,不要打開或嘗試打開他人文件,以避免泄密或文件的損壞;
3、對不明來歷的郵件或文件不要查看或嘗試打開,以避免計算機中病毒,并盡快請電腦室人員來檢查。
4、在一些郵件中的附件中,如果有可疑附件時,請先用殺毒軟件詳細查殺后再使用,或請電腦室人員處理。
5、不要隨便嘗試不明的或不熟悉的計算機操作步驟。遇到計算機發(fā)生異常而自己無法解決時,就立即通知電腦部門外,請專業(yè)人員解決;
6、不要隨便安裝或使用不明來源的軟件或程序。不要隨便運行或刪除電腦上的文件或程序。
7、收到無意義的郵件后,應及時清除,不要蓄意或惡意地回寄這些郵件。
8、不向他人披露使用密碼,防止他人接觸計算機系統(tǒng)造成意外。
9、定期更換密碼,如發(fā)現(xiàn)密碼已泄漏,就盡快更換。公司規(guī)定是三個月一換。it部門負責監(jiān)督。定期用殺毒程序掃描計算機系統(tǒng)。對于新的軟件、檔案或電子郵件,應選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進行適當?shù)奶幚砗蟛趴砷_啟使用。
10、先以加密技術保護敏感的數(shù)據(jù)文件,然后才通過公司網(wǎng)絡及互聯(lián)網(wǎng)進行傳送。在適當?shù)那闆r下,利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名。
11、對于不熟的人員,請不要讓其隨意使用你的計算機。
12、不要隨意將公司或個人的文件發(fā)送給他人,或打開給他人查看或使用。
13、在計算機使用或管理上如有任何疑問,請詢問電腦室人員。
四、公司的保密措施:
1、公司中層以上領導,要自覺帶頭遵守保密制度。
2、公司各部門要運用各種形式經(jīng)常對所屬員工進行保密教育增強保密觀念。
3、全體員工自覺遵守保密基本準則,做到:不該說的機密,絕對不說,不該看的機密,絕對不看(含超越自己職責、業(yè)務范圍的文件、資料、電子文檔)。
4、對員工因不遵守公司規(guī)定,造成泄密事件,依照有關法規(guī)及公司的獎懲規(guī)定,給予紀律制裁.解雇,直至追究刑事責任。
第6篇 海港工程建設項目信息安全管理對策探析
海港工程就是在港口、碼頭、堤壩等建造于入??诤徒痈浇墓こ淘O施,以及一些相關的配套設施,比如裝卸設施、進港航道、水上導航設施等。海港工程項目的建設,能夠更加良好地利用河、海、江、湖等水體資源。為了提高海港工程的建設質(zhì)量,增強海港工程的建設管理,一定要采取保證信息安全的措施。本文將從移動存儲設備管理、紙質(zhì)文檔資料管理、辦公設備和工地設備管理三個方面介紹海港工程當中保證信息安全的具體對策。
信息技術的發(fā)展對人類社會的影響是多種多樣的,體現(xiàn)在各個行業(yè)和各個領域。對于海港工程的建設來說,信息安全是極為重要的。信息安全包括信息的保密性、真實性、完整性、安全性等等。實行信息安全管理,能夠防止建設項目和建設單位的機密發(fā)生泄漏,提高海港工程的建設效率和建設質(zhì)量,讓企業(yè)收獲更多的經(jīng)濟效益。對于現(xiàn)代的工程建設來說,各種資料、數(shù)據(jù)信息的載體已經(jīng)從紙張向移動存儲設備轉(zhuǎn)移。各種病毒、木馬程序和間諜軟件給信息安全帶來嚴重的威脅。為了保護海港工程中的重要信息,必須要采取針對性的對策和措施。
一、對移動存儲設備的管理
(一)限制外接。在海港工程各種數(shù)據(jù)和資料的傳遞過程中,需要通過外接設備或者網(wǎng)絡接口來進行[1]。在這一過程當中,很容易被黑客攻擊,對系統(tǒng)進行入侵,竊取海港工程的重要信息和資料。所以在傳輸信息和資料時,要嚴格限制外接設備與網(wǎng)絡接口的使用。一方面,要對打印機、刻錄機、光驅(qū)、軟驅(qū)等常用的外接設備的使用作出限制,實行集中管理與統(tǒng)一使用。這些設備只能用于海港工程的信息傳輸,不得用于其他用途,對于用不到的設備要及時封禁。平時要有專門的設備管理人員將設備進行編號,分別進行保管,使用時要提前申請,用完后要及時交還。另一方面,要限制內(nèi)部人員的行為,不得將外接設備和網(wǎng)絡接口用于私人目的,不得私自以打印、刻錄的形式竊取工程信息,不得違反外接設備和網(wǎng)絡接口的使用規(guī)范。
(二)刻錄和打印。除了加強對外接設備和網(wǎng)絡接口進行管理,防止在數(shù)據(jù)傳輸過程中發(fā)生資料泄露之外,還要加強對內(nèi)部網(wǎng)絡非法打印、光盤刻錄等行為的打擊[2]。如果由于工作需要進行光盤刻錄行為,必須要向信息管理部門提出申請,經(jīng)過審批以后方可進行。光盤刻錄要到專門部門當中去進行,并且由相關部門全程跟蹤光盤的流向,避免用于私人目的。對于打印的安全管理,首先要屏蔽用戶主機的打印接口,防止用戶私自打印。如果需要打印,要向信息管理中心發(fā)送申請,取得許可之后,到打印部門進行打印。在打印的時候,要保證資料從電腦傳輸?shù)酱蛴C的過程中不會被截取,打印之后的文件不得隨意閱讀或者拿走。信息管理部門要根據(jù)文件的價值劃分文件的保密級別,分別制定打印規(guī)范條款,實行信息的精細化管理。
(三)存儲設備。在海港工程項目的建設過程中,很多施工單位和部門之間都需要通過軟盤、磁盤、光盤來傳遞信息。一旦這些載體丟失、被盜、發(fā)生損壞,都容易造成信息泄露事故,給企業(yè)造成經(jīng)濟損失,甚至泄露企業(yè)和國家機密。廢棄的軟盤、磁盤、光盤等存儲設備仍然具有一些磁力特性,一旦發(fā)生永久性的磁化反映,就容易造成內(nèi)部存儲信息的泄露[3]。所以,海港工程的信息管理中心要控制廢棄存儲設備的流通范圍,將不再使用的存儲設備交給保密機構進行統(tǒng)一的脫密和銷毀,還要做好登記和記錄。
二、對紙質(zhì)文檔資料的管理
雖然海港工程的建設已經(jīng)加大了對移動存儲設備的依賴程度,但是仍然需要大量的紙質(zhì)文檔來記錄、保存、傳輸各種機密信息。為了確保海港工程建設的信息安全,要采取必要的措施對紙質(zhì)文檔資料進行管理。首先,要制定紙質(zhì)文檔資料的保密條例,防止文檔的非法閱讀、非法調(diào)用和非法復印。其次,在制作紙質(zhì)文檔和紙質(zhì)文件的時候,草稿紙、復寫紙、計算機表格、演算紙等制作過程中的廢棄用具也不能隨意丟棄,要嚴格按照保密條例的規(guī)定進行銷毀,避免資料泄露。最后,對于文檔資料的傳閱范圍和傳閱步驟也要進行嚴格規(guī)定。同時,對于各種公共媒體上的報道,也要進行審核,避免涉密信息被公諸于眾。
三、對辦公設備和工地設備的管理
(一)辦公設備的管理。海港工程的信息管理部門要將辦公所用的電腦設備劃分為涉密計算機和非涉密計算機。涉密計算機必須要進行登記,按照編號分配人員進行專門管理。而非涉密計算機嚴禁儲存涉密信息。信息安全管理要綜合從信息技術、安全管理策略、安全管理措施等多個角度來考慮信息管理體制背后所隱藏的風險。信息管理部門需要通過網(wǎng)絡軟件監(jiān)控各個計算機的工作狀況,尤其是涉密計算機的工作狀況,審核項目內(nèi)部網(wǎng)絡和項目內(nèi)外網(wǎng)絡間的數(shù)據(jù)傳輸、信息交流。另外,信息管理軟件還要記錄各個工作人員和用戶的操作情況,在發(fā)生風險的時候發(fā)出警報信號,在發(fā)生非法操作的時候能夠留下記錄,以便工作人員尋求證據(jù)。
(二)工地設備的管理。由于信息技術的發(fā)達,信息傳輸手段變得多樣化,所以信息發(fā)生泄露的可能性也增大,給信息安全管理帶來了難度。對此,海港工程的信息管理部門需要提高警惕,防止落入信息系統(tǒng)、設備、部件當中一些人為設置的陷阱。比如,一些從境外引入的信息產(chǎn)品和施工設備,都可能存在“陷阱”,在使用過程中發(fā)生信息泄露。這就需要在施工之前對設備進行嚴格的技術審查和安全審查,并且為這種“陷阱”制定應急處理方案。另外,在海港工程的建設過程中,要采取必要的措施保護項目內(nèi)部的通訊。比如對通信信號進行加密,或者是對外部信號進行屏蔽等。
四、結論
海港工程的建設,能夠更好地利用我國的水體資源,促進沿海地區(qū)的經(jīng)濟發(fā)展。我國的工程建設已經(jīng)出現(xiàn)了信息化的趨勢,資料、數(shù)據(jù)、信息的存儲和傳輸已經(jīng)開始從紙張形式轉(zhuǎn)變成電子形式。為了保護企業(yè)和國家的機密,提高海港工程的建設效率和建設質(zhì)量,必須加強對海港工程的信息安全管理。對此,要成立專門的信息管理部門,加強對移動存儲設備、紙質(zhì)文檔資料、辦公設備和工地設備的管理,制定信息安全管理的規(guī)章制度和具體措施。
第7篇 學校網(wǎng)絡信息安全管理應急預案
為確保網(wǎng)絡正常使用,充分發(fā)揮網(wǎng)絡在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務院《互聯(lián)網(wǎng)信息服務管理辦法》和有關規(guī)定,特制訂本預案,妥善處理危害網(wǎng)絡與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。
一、危害網(wǎng)絡與信息安全突發(fā)事件的應急響應
1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等
網(wǎng)絡管理中心應立即切斷局域網(wǎng)與外部的網(wǎng)絡連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。
2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務器上的,學校應立即切斷與外部的網(wǎng)絡連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關閉租用空間。
3.如在外部可訪問的網(wǎng)站、郵件等服務器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務器的網(wǎng)絡連接,使得外部不可訪問。防止有害信息的擴散。
4.采取相應的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。
5.在確保安全問題解決后,方可恢復網(wǎng)絡(網(wǎng)站)的使用。
二、保障措施
1.加強領導,健全機構,落實網(wǎng)絡與信息安全責任制。建立由主管領導負責的網(wǎng)絡與信息安全管理領導小組,并設立安全專管員。明確工作職責,落實安全責任制;bbs、聊天室等交互性欄目要設有防范措施和專人管理。
2.局內(nèi)網(wǎng)絡由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設備,擅接終端設備。
3.加強安全教育,增強安全意識,樹立網(wǎng)絡與信息安全人人有責的觀念。安全意識淡薄是造成網(wǎng)絡安全事件的主要原因,各校要加強對教師、學生的網(wǎng)絡安全教育,增強網(wǎng)絡安全意識,將網(wǎng)絡安全意識與政治意識、責任意識、保密意識聯(lián)系起來。特別要指導學生提高他們識別有害信息的能力,引導他們正健康用網(wǎng)。
4.不得關閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。
第8篇 網(wǎng)絡與信息安全管理組織機構設置及工作職責
1:總則
1.1為規(guī)范北京愛迪通聯(lián)科技有限公司(以下簡稱“公司”)信息安全管理工作,建立自上而下的信息安全工作管理體系,需建立健全相應的組織管理體系,以推動信息安全工作的開展。
2:范圍
本管理辦法適用于公司的信息安全組織機構和重要崗位的管理。
3:規(guī)范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的應用文件,其隨后的所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單),然而,鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可以使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標準
《信息安全技術 信息系統(tǒng)安全保障評估框架》(gb/t 20274.1-2006)
《信息安全技術 信息系統(tǒng)安全管理要求》(gb/t 20269-2006)
《信息安全技術 信息系統(tǒng)安全等級保護基本要求》(gb/t 22239-2008)
4:組織機構
4.1 公司成立信息安全領導小組,是信息安全的最高決策機構,下設辦公室,負責信息安全領導小組的日常事務。
4.2 信息安全領導小組負責研究重大事件,落實方針政策和制定總體策略等。職責主要包括:
根據(jù)國家和行業(yè)有關信息安全的策略、法律和法規(guī),批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術標準;
確定公司信息安全各有關部門工作職責,知道、監(jiān)督信息安全工作。
4.3 信息安全領導小組下設兩個工作組:信息安全工作組、應急處理工作組。組長均由公司負責人擔任。
4.4信息安全工作組的主要職責包括:
4.4.1 貫徹執(zhí)行公司信息安全領導小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;
4.4.2 根據(jù)信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實;
4.4.3 組織對重大的信息安全工作制度和技術操作策略進行審查,擬定信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行;
4.4.4 負責協(xié)調(diào)、督促各職能部門和有關單位的信息安全工作,參與信息系統(tǒng)工程建設中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;
4.4.5 組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防范對策;
4.4.6 負責接收各單位的緊急信息安全事件報告,組織進行時間調(diào)查,分析原因、涉及范圍,并評估安全事件的嚴重程度,提出信息安全時間防范措施;
4.4.7 及時向信息安全工作領導小組和上級有關部門、單位報告信息安全時間。
4.4.8 跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
4.5應急處理工作組的主要職責包括:
4.5.1 審定公司網(wǎng)絡與信息系統(tǒng)的安全應急策略及應急預案;
4.5.2 決定相應應急預案的啟動,負責現(xiàn)場指揮,并組織相關人員排除故障,恢復系統(tǒng);
4.5.3 每年組織對信息安全應急策略和應急預案進行測試和演練。
4.6 公司應指定分管信息的領導負責本單位信息安全管理,并配備信息安全技術人員,有條件的應設置信息安全工作小組或辦公室,對公司信息安全領導小組和工作小組負責,落實本單位信息安全工作和應急處理工作。
5: 關鍵崗位
5.1 設置信息系統(tǒng)的關鍵崗位并加強管理,配備系統(tǒng)管理員、網(wǎng)絡管理員、應用開發(fā)管理員、安全審計員、安全保密管理員要求無人各自獨立。要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全的管理規(guī)定。
5.2 系統(tǒng)管理員主要職責有:
5.2.1負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
5.2.2嚴格用戶權限管理,維護系統(tǒng)安全正常運行;
5.2.3認真記錄系統(tǒng)安全事項,及時向信息安全人員報告安全事件;
5.2.4對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
5.3網(wǎng)絡管理員的主要職責有:
5.3.1負責網(wǎng)絡的運行管理,實施網(wǎng)絡安全策略和安全云心細則;
5.3.2安全配置網(wǎng)絡參數(shù),嚴格控制網(wǎng)絡用戶訪問權限,維護網(wǎng)絡安全正常運行;
5.3.3監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路,防范黑客入侵,及時向信息安全人員報告安全事件;
5.3.4對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。
5.4應用開發(fā)管理員主要職責有:
5.4.1負責在系統(tǒng)開發(fā)建設中,嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
5.4.2系統(tǒng)投產(chǎn)運行前,完整移交系統(tǒng)相關的安全策略等資料;
5.4.3不得對系統(tǒng)設置“后門”;
5.4.4對系統(tǒng)核心技術保密等。
5.5安全審計員負責對設計系統(tǒng)安全的事件和各類操作人員的行為進行審計和監(jiān)督,主要職能包括:
5.5.1按操作員證書號進行審計;
5.5.2按操作時間審計;
5.5.3按操作類型審計;
5.5.4事件類型進行審計;
5.5.5日志管理等。
5.6安全保密管理員負責日常安全保密管理活動,主要職責有:
5.6.1監(jiān)視全網(wǎng)運行和安全告警信息
5.6.2網(wǎng)絡審計信息的常規(guī)分析
5.6.3安全設備的常規(guī)設置和維護
5.6.4執(zhí)行應急中心指定的具體安全策略
5.6.5向應急管理機構和領導機構報告重大的網(wǎng)絡安全時間等。
6 附則
6.1本辦法由公司科技部負責解釋。
6.2本辦法自發(fā)布之日起實施。
第9篇 iso27000信息安全管理體系審核員工作職責與職位要求
職位描述:
工作職責:
1.執(zhí)行公司安排的審核任務,及時向相關人員反饋審核工作中出現(xiàn)的各種問題,并積極配合解決問題;
2.在審核工作中堅持審核原則,遵守審核員的行為規(guī)范和公司的各項規(guī)定,注意自己的言行,維護公司利益和形象;
3.及時完成審核資料的準備、與客戶在審核前的溝通、督促客戶整改不符合項、根據(jù)認證決定工作人員的意見修改和完善審核資料等工作;
4.及時完成公司安排的技術文件的編制工作;
5.積極參加公司安排的現(xiàn)場見證工作;
6.在審核中了解客戶需求并向相關部門反饋;
7.積極參加公司安排的有關培訓工作;
8.提供與審核相關的工作及公司其他各項工作的建議;
9.主動學習,持續(xù)提高自身的專業(yè)素質(zhì)和審核技能,為受審核方提供有價值的意見和建議,不斷提升審核工作質(zhì)量。
職位要求:
1.本科及以上學歷;
2.具備信息安全、密碼學、計算機科學與技術、計算機應用、電子信息科學與技術、電子信息技術應用、人工智能、計算數(shù)學與應用數(shù)學、自動化、通信、電氣等相關的專業(yè)學歷;
3.已獲得信息安全領域?qū)I(yè)注冊資格;
4.至少2年與信息安全有關的管理、技術研究與開發(fā)服務、測評、教學、標準制定等工作;
5.國家管理體系審核員注冊準則中規(guī)定的各級別審核員應具備的知識、技能和個人素質(zhì);
6.尊重和維護公司的形象、聲譽和利益;
7.自我激勵,自我完善,具有良好的溝通能力及較強的團隊協(xié)作精神;
8.能滿足經(jīng)常性出差需要。
第10篇 數(shù)據(jù)中心信息安全管理及管控要求
隨著在世界范圍內(nèi),信息化水平的不斷發(fā)展,數(shù)據(jù)中心的信息安全逐漸成為人們關注的焦點,世界范圍內(nèi)的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(iso)也發(fā)布了iso17799、iso13335、iso15408等與信息安全相關的國際標準及技術報告。目前,在信息安全管理方面,英國標準iso27000:2005已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準,它是在bsi/disc的bdd/2信息安全管理委員會指導下制定完成。
iso27001標準于1993年由英國貿(mào)易工業(yè)部立項,于1995年英國首次出版bs 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準,并且適用于大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據(jù)。iso27000-1與iso27000-2經(jīng)過修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術,尤其是在網(wǎng)絡和通信領域應用的近期發(fā)展,同時還非常強調(diào)了商務涉及的信息安全及信息安全的責任。2000年12月,iso27000-1:1999《信息安全管理實施細則》通過了國際標準化組織iso的認可,正式成為國際標準iso/iec17799-1:2000《信息技術-信息安全管理實施細則》。2002年9月5日,iso27000-2:2002草案經(jīng)過廣泛的討論之后,終于發(fā)布成為正式標準,同時iso27000-2:1999被廢止?,F(xiàn)在,iso27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網(wǎng)絡公司及許多跨國公司已采用了此標準對信息安全進行系統(tǒng)的管理,數(shù)據(jù)中心(idc)應逐步建立并完善標準化的信息安全管理體系。
一、 數(shù)據(jù)中心信息安全管理總體要求
1、信息安全管理架構與人員能力要求
1.1信息安全管理架構
idc在當前管理組織架構基礎上,建立信息安全管理委員會,涵蓋信息安全管理、應急響應、審計、技術實施等不同職責,并保證職責清晰與分離,并形成文件。
1.2人員能力
具備標準化 信息安全管理體系內(nèi)部審核員、cisp(certified information security professional,國家注冊信息安全專家)等相關資質(zhì)人員。5星級idc至少應具備一名合格的標準化信息安全管理內(nèi)部審核員、一名標準化 主任審核員。4星級idc至少應至少具備一名合格的標準化信息安全管理內(nèi)部審核員
2、信息安全管理體系文件要求,根據(jù)idc業(yè)務目標與當前實際情況,建立完善而分層次的idc信息安全管理體系及相應的文檔,包含但不限于如下方面:
2.1信息安全管理體系方針文件
包括idc信息安全管理體系的范圍,信息安全的目標框架、信息安全工作的總方向和原則,并考慮idc業(yè)務需求、國家法律法規(guī)的要求、客戶以及合同要求。
2.2風險評估
內(nèi)容包括如下流程:識別idc業(yè)務范圍內(nèi)的信息資產(chǎn)及其責任人;識別資產(chǎn)所面臨的威脅;識別可能被威脅利用的脆弱點;識別資產(chǎn)保密性、完整性和可用性的喪失對idc業(yè)務造成的影響;評估由主要威脅和脆弱點導致的idc業(yè)務安全破壞的現(xiàn)實可能性、對資產(chǎn)的影響和當前所實施的控制措施;對風險進行評級。
2.3風險處理
內(nèi)容包括:與idc管理層確定接受風險的準則,確定可接受的風險級別等;建立可續(xù)的風險處理策略:采用適當?shù)目刂拼胧?、接受風險、避免風險或轉(zhuǎn)移風險;控制目標和控制措施的選擇和實施,需滿足風險評估和風險處理過程中所識別的安全要求,并在滿足法律法規(guī)、客戶和合同要求的基礎上達到最佳成本效益。
2.4文件與記錄控制
明確文件制定、發(fā)布、批準、評審、更新的流程;確保文件的更改和現(xiàn)行修訂狀態(tài)的標識、版本控制、識別、訪問控制有完善的流程;并對文件資料的傳輸、貯存和最終銷毀明確做出規(guī)范。
記錄控制內(nèi)容包括:保留信息安全管理體系運行過程執(zhí)行的記錄和所有發(fā)生的與信息安全有關的重大安全事件的記錄;記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。
2.5內(nèi)部審核
idc按照計劃的時間間隔進行內(nèi)部isms審核,以確定idc的信息安全管理的控制目標、控制措施、過程和程序符標準化標準和相關法律法規(guī)的要求并得到有效地實施和保持。五星級idc應至少每年1次對信息安全管理進行內(nèi)部審核。四星級idc應至少每年1次對信息安全管理進行內(nèi)部審核。
2.6糾正與預防措施
idc建立流程,以消除與信息安全管理要求不符合的原因及潛在原因,以防止其發(fā)生,并形成文件的糾正措施與預防措施程序無
2.7控制措施有效性的測量
定義如何測量所選控制措施的有效性;規(guī)定如何使用這些測量措施,對控制措施的有效性進行測量(或評估)。
2.8管理評審
idc管理層按計劃的時間間隔評審內(nèi)部信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性,最終符合idc業(yè)務要求。
五星級idc管理層應至少每年1次對idc的信息安全管理體系進行評審四星級idc管理層應至少每年1次對idc的信息安全管理體系進行評審。
2.9適用性聲明
適用性聲明必須至少包括以下3項內(nèi)容: idc所選擇的控制目標和控制措施,及其選擇的理由;當前idc實施的控制目標和控制措施;標準化附錄a中任何控制目標和控制措施的刪減,以及刪減的正當性理由。
2.10業(yè)務連續(xù)性
過業(yè)務影響分析,確定idc業(yè)務中哪些是關鍵的業(yè)務進程,分出緊急先后次序; 確定可以導致業(yè)務中斷的主要災難和安全失效、確定它們的影響程度和恢復時間; 進行業(yè)務影響分析,確定恢復業(yè)務所需要的資源和成本,決定對哪些項目制作業(yè)務連續(xù)性計劃(bcp)/災難恢復計劃(drp)。
2.11其它相關程序
另外,還應建立包括物理與環(huán)境安全、信息設備管理、新設施管理、業(yè)務連續(xù)性管理、災難恢復、人員管理、第三方和外包管理、信息資產(chǎn)管理、工作環(huán)境安全管理、介質(zhì)處理與安全、系統(tǒng)開發(fā)與維護、法律符合性管理、文件及材料控制、安全事件處理等相關流程與制度。
二、信息安全管控要求
1、安全方針
信息安全方針文件與評審建立idc信息安全方針文件需得到管理層批準、發(fā)布并傳達給所有員工和外部相關方。
至少每年一次或當重大變化發(fā)生時進行信息安全方針評審。
2、信息安全組織
2.1 內(nèi)部組織
2.1.1信息安全協(xié)調(diào)、職責與授權
信息安全管理委員會包含idc相關的不同部門的代表;所有的信息安全職責有明確成文的規(guī)定;對新信息處理設施,要有管理授權過程。
2.1.2保密協(xié)議
idc所有員工須簽署保密協(xié)議,保密內(nèi)容涵蓋idc內(nèi)部敏感信息;保密協(xié)議條款每年至少評審一次。
2.1.3權威部門與利益相關團體的聯(lián)系
與相關權威部門(包括,公安部門、消防部門和監(jiān)管部門)建立溝通管道;與安全專家組、專業(yè)協(xié)會等相關團體進行溝通。
2.1.4獨立評審
參考“信息安全管理體系要求”第5和第8條關于管理評審、內(nèi)部審核的要求,進行獨立的評審。
審核員不能審核評審自己的工作;評審結果交管理層審閱。
2.2 外方管理
2.2.1外部第三方的相關風險的識別
將外部第三方(設備維護商、服務商、顧問、外包方臨時人員、實習學生等)對idc信息處理設施或信息納入風險評估過程,考慮內(nèi)容應包括:需要訪問的信息處理設施、訪問類型(物理、邏輯、網(wǎng)絡)、涉及信息的價值和敏感性,及對業(yè)務運行的關鍵程度、訪問控制等相關因素。
建立外部第三方信息安全管理相關管理制度與流程。
2.2.2客戶有關的安全問題
針對客戶信息資產(chǎn)的保護,根據(jù)合同以及相關法律、法規(guī)要求,進行恰當?shù)谋Wo。
2.2.3處理第三方協(xié)議中的安全問題
涉及訪問、處理、交流(或管理)idc及idc客戶的信息或信息處理設施的第三方協(xié)議,需涵蓋所有相關的安全要求。
3、信息資產(chǎn)管理
3.1 資產(chǎn)管理職責
3.1.1資產(chǎn)清單與責任人
idc對所有信息資產(chǎn)度進行識別,將所有重要資產(chǎn)都進行登記、建立清單文件并加以維護。
idc中所有信息和信息處理設施相關重要資產(chǎn)需指定責任人。
3.1.2資產(chǎn)使用
指定信息與信息處理設施使用相關規(guī)則,形成了文件并加以實施。
3.2 信息資產(chǎn)分類
3.2.1資產(chǎn)分類管理
根據(jù)信息資產(chǎn)對idc業(yè)務的價值、法律要求、敏感性和關鍵性進行分類,建立一個信息分類指南。
信息分類指南應涵蓋外來的信息資產(chǎn),尤其是來自客戶的信息資產(chǎn)。
3.2.2信息的標記和處理
按照idc所采納的分類指南建立和實施一組合適的信息標記和處理程序。
4、人力資源安全
這里的人員包括idc雇員、承包方人員和第三方等相關人員。
4.1信息安全角色與職責
人員職責說明體現(xiàn)信息安全相關角色和要求。
4.2背景調(diào)查
人員任職前根據(jù)職責要求和崗位對信息安全的要求,采取必要的背景驗證。
4.3雇用的條款和條件
人員雇傭后,應簽署必要的合同,明確雇傭的條件和條款,并包含信息安全相關要求。
4.4信息安全意識、教育和培訓
入職新員工培訓應包含idc信息安全相關內(nèi)容。
至少每年一次對人員進行信息安全意識培訓。
4.5安全違紀處理
針對安全違規(guī)的人員,建立正式的紀律處理程序。
4.6雇傭的終止與變更
idc應清晰規(guī)定和分配雇用終止或雇用變更的職責;雇傭協(xié)議終止于變更時,及時收回相關信息資產(chǎn),并調(diào)整或撤銷相關訪問控制權限。
5、物理與環(huán)境安全
5.1 安全區(qū)域
5.1.1邊界安全與出入口控制
根據(jù)邊界內(nèi)資產(chǎn)的安全要求和風險評估的結果對idc物理區(qū)域進行分區(qū)、分級管理,不同區(qū)域邊界與出入口需建立卡控制的入口或有人管理的接待臺。
入侵檢測與報警系統(tǒng)覆蓋所有門窗和出入口,并定期檢測入侵檢測系統(tǒng)的有效性。
機房大樓應有7×24小時的專業(yè)保安人員,出入大樓需登記或持有通行卡。
機房安全出口不少于兩個,且要保持暢通,不可放置雜物。
5星級idc:出入記錄至少保存6個月,視頻監(jiān)控至少保存1個月。
4星級idc:出入記錄至少保存6個月,視頻監(jiān)控至少保存1個月。
5.1.2 idc機房環(huán)境安全
記錄訪問者進入和離開idc的日期和時間,所有的訪問者要需要經(jīng)過授權。
建立訪客控制程序,對服務商等外部人員實現(xiàn)有效管控。
所有員工、服務商人員和第三方人員以及所有訪問者進入idc要佩帶某種形式的可視標識,已實現(xiàn)明顯的區(qū)分。外部人員進入idc后,需全程監(jiān)控。
5.1.3防范外部威脅和環(huán)境威脅
idc對火災、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災難引起的破壞建立足夠的防范控制措施;危險或易燃材料應在遠離idc存放;備份設備和備份介質(zhì)的存放地點應與idc超過10公里的距離。
機房內(nèi)應嚴格執(zhí)行消防安全規(guī)定,所有門窗、地板、窗簾、飾物、桌椅、柜子等材料、設施都應采用防火材料。
5.1.4公共訪問區(qū)和交接區(qū)
為了避免未授權訪問,訪問點(如交接區(qū)和未授權人員可以進入的其它地點)需進行適當?shù)陌踩刂?設備貨物交接區(qū)要與信息處理設施隔開。
5.2 設備安全
5.2.1設備安全
設備盡量安置在可減少未授權訪問的適當?shù)攸c;對于處理敏感數(shù)據(jù)的信息處理設施,盡量安置在可限制觀測的位置;對于需要特殊保護的設備,要進行適當隔離;對信息處理設施的運行有負面影響的環(huán)境條件(包括溫度和濕度),要進行實時進行監(jiān)視。
5.2.2支持性設備安全
支持性設施(例如電、供水、排污、加熱/通風和空調(diào)等)應定期檢查并適當?shù)臏y試以確保他們的功能,減少由于他們的故障或失效帶來的風險。
實現(xiàn)多路供電,以避免供電的單一故障點。
5.2.3線纜安全
應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。
電源電纜要與通信電纜分開;各種線纜能通過標識加以區(qū)分,并對線纜的訪問加以必要的訪問控制。
線纜標簽必須采用防水標簽紙和標簽打印機進行正反面打印(或者打印兩張進行粘貼),標簽長度應保證至少能夠纏繞電纜一圈或一圈半,打印字符必須清晰可見,打印內(nèi)容應簡潔明了,容易理解。標簽的標示必須清晰、簡潔、準確、統(tǒng)一,標簽打印應當前后和上下排對齊。
5.2.4設備維護
設備需按照供應商推薦的服務時間間隔和說明書,進行正確維護;設備維護由已授權人員執(zhí)行,并保存維護記錄1年。
5.2.5組織場所外的設備安全
應對組織場所的設備采取安全措施,要考慮工作在組織場所以外的不同風險。
5.2.6設備的安全處置或再利用
包含儲存介質(zhì)的設備的所有項目應進行檢查,以確保在銷毀之前,任何敏感信息和注冊軟件已被刪除或安全重寫。
5.2.7資產(chǎn)的移動
設備、信息或軟件在授權之前不應帶出組織場所,設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;對設備做出移出記錄,當返回時,要做出送回記錄。
6、通信和操作管理
6.1 運行程序和職責
6.1.1運行操作程序文件化
運行操作程序文件化并加以保持,并方便相關使用人員的訪問。
6.1.2變更管理
對信息處理設施和系統(tǒng)的變更是否受控,并考慮:重大變更的標識和記錄;變更的策劃和測試;對這種變更的潛在影響的評估,包括安全影響;對建議變更的正式批準程序;向所有有關人員傳達變更細節(jié);返回程序,包括從不成功變更和未預料事態(tài)中退出和恢復的程序與職責。
6.1.3職責分離
各類責任及職責范圍應加以分割,以降低未授權或無意識的修改或者不當使用組織資產(chǎn)的機會。
6.1.4開發(fā)設施、測試設施和運行設施的分離
開發(fā)、測試和運行設施應分離,以減少未授權訪問或改變運行系統(tǒng)的風險。
6.2 第三方服務交付管理
6.2.1服務交付
應確保第三方實施、運行和保持包含在第三方服務交付協(xié)議中的安全控制措施、服務定義和交付水準。
idc應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務在大的服務故障或災難后繼續(xù)得以保持。
6.2.2第三方服務的監(jiān)視和評審
應定期監(jiān)視和評審由第三方提供的服務、報告和記錄,審核也應定期執(zhí)行,并留下記錄。
6.2.3第三方服務的變更管理
應管理服務提供的變更,包括保持和改進現(xiàn)有的信息安全方針策略、程序和控制措施,要考慮業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估
6.3系統(tǒng)規(guī)劃和驗收
6.3.1容量管理
idc各系統(tǒng)資源的使用應加以監(jiān)視、調(diào)整,并做出對于未來容量要求的預測,以確保擁有所需的系統(tǒng)性能。
系統(tǒng)硬件系統(tǒng)環(huán)境的功能、性能和容量要滿足idc業(yè)務處理的和存貯設備的平均使用率宜控制在75%以內(nèi)。
網(wǎng)絡設備的處理器和內(nèi)存的平均使用率應控制在75%以內(nèi)。
6.3.2系統(tǒng)驗收
建立對新信息系統(tǒng)、升級及新版本的驗收準則,并且在開發(fā)中和驗收前對系統(tǒng)進行適當?shù)臏y試。
6.4防范惡意代碼和移動代碼
6.4.1對惡意代碼的控制措施
實施惡意代碼的監(jiān)測、預防和恢復的控制措施,以及適當?shù)奶岣哂脩舭踩庾R的程序
6.4.2對移動代碼的控制措施
當授權使用移動代碼時,其配置確保授權的移動代碼按照清晰定義的安全策略運行,應阻止執(zhí)行未授權的移動代碼。
6.5 備份
6.5.1備份
應按照客戶的要求以及已設的備份策略,定期備份和測試信息和軟件。各個系統(tǒng)的備份安排應定期測試以確保他們滿足業(yè)務連續(xù)性計劃的要求。對于重要的系統(tǒng),備份安排應包括在發(fā)生災難時恢復整個系統(tǒng)所必需的所有系統(tǒng)信息、應用和數(shù)據(jù)。
應確定最重要業(yè)務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。
6.6 網(wǎng)絡安全管理
6.6.1網(wǎng)絡控制
為了防止使用網(wǎng)絡時發(fā)生的威脅和維護系統(tǒng)與應用程序的安全,網(wǎng)絡要充分受控;網(wǎng)絡的運行職責與計算機系統(tǒng)的運行職責實現(xiàn)分離;敏感信息在公用網(wǎng)絡上傳輸時,考慮足夠的加密和訪問控制措施。
6.6.2網(wǎng)絡服務的安全
網(wǎng)絡服務(包括接入服務、私有網(wǎng)絡服務、增值網(wǎng)絡和受控的網(wǎng)絡安全解決方案,例如防火墻和入侵檢測系統(tǒng)等)應根據(jù)安全需求,考慮如下安全控制措施:為網(wǎng)絡服務應用的安全技術,例如認證、加密和網(wǎng)絡連接控制;按照安全和網(wǎng)絡連接規(guī)則,網(wǎng)絡服務的安全連接需要的技術參數(shù);若需要,網(wǎng)絡服務使用程序,以限制對網(wǎng)絡服務或應用的訪問。
6.7 介質(zhì)管理
6.7 .1可移動介質(zhì)的管理
建立適當?shù)目梢苿咏橘|(zhì)的管理程序,規(guī)范可移動介質(zhì)的管理。
可移動介質(zhì)包括磁帶、磁盤、閃盤、可移動硬件驅(qū)動器、cd、dvd和打印的介質(zhì)
6.7 .2介質(zhì)的處置
不再需要的介質(zhì),應使用正式的程序可靠并安全地處置。保持審計蹤跡,保留敏感信息的處置記錄。
6.7 .3信息處理程序
建立信息的處理及存儲程序,以防止信息的未授權的泄漏或不當使用。
包含信息的介質(zhì)在組織的物理邊界以外運送時,應防止未授權的訪問、不當使用或毀壞。
6.8 信息交換
6.8.1信息交換策略和程序
為了保護通過使用各種類型的通信設施進行信息交換,是否有正式的信息交換方針、程序和控制措施。
6.8.2外方信息交換協(xié)議
在組織和外方之間進行信息/軟件交換時,是否有交換協(xié)議。
6.8.3電子郵件、應用系統(tǒng)的信息交換與共享
建立適當?shù)目刂拼胧?保護電子郵件的安全;為了保護相互連接的業(yè)務信息系統(tǒng)的信息,開發(fā)與實施相關的方針和程序。
6.9 監(jiān)控
6.9.1審計日志
審計日志需記錄用戶活動、異常事件和信息安全事件;為了幫助未來的調(diào)查和訪問控制監(jiān)視,審計日志至少應保存1年。
6.9.2監(jiān)視系統(tǒng)的使用
應建立必要的信息處理設施的監(jiān)視使用程序,監(jiān)視活動的結果應定期評審。
6.9.3日志信息的保護
記錄日志的設施和日志信息應加以保護,以防止篡改和未授權的訪問。
6.9.4管理員和操作員日志
系統(tǒng)管理員和系統(tǒng)操作員活動應記入日志。系統(tǒng)管理員與系統(tǒng)操作員無權更改或刪除日志。
6.9.5故障日志
與信息處理或通信系統(tǒng)的問題有關的用戶或系統(tǒng)程序所報告的故障要加以記錄、分析,并采取適當?shù)拇胧?/p>
6.9.6時鐘同步
一個安全域內(nèi)的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步。
5星級idc各計算機系統(tǒng)的時鐘與標準時間的誤差不超過10秒。
4星級idc各計算機系統(tǒng)的時鐘與標準時間的誤差不超過25秒。
7、訪問控制
7.1用戶訪問管理
應有正式的用戶注冊及注銷程序,來授權和撤銷對所有信息系統(tǒng)及服務的訪問。
應限制和控制特殊權限的分配及使用;應通過正式的管理過程控制口令的分配,確保口令安全;管理層應定期使用正式過程對用戶的訪問權進行復查。
7.2用戶職責
建立指導用戶選擇和使用口令的指南規(guī)定,使用戶在選擇及使用口令時,遵循良好的安全習慣。
用戶應確保無人值守的用戶設備有適當?shù)谋Wo,防止未授權的訪問。
建立清空桌面和屏幕策略,采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕的策略,idc并定期組織檢查效果。
7.3網(wǎng)絡訪問控制
建立訪問控制策略,確保用戶應僅能訪問已獲專門授權使用的服務。
應使用安全地鑒別方法以控制遠程用戶的訪問,例如口令+證書。
對于診斷和配置端口的物理和邏輯訪問應加以控制,防止未授權訪問。
根據(jù)安全要求,應在網(wǎng)絡中劃分安全域,以隔離信息服務、用戶及信息系統(tǒng);對于共享的網(wǎng)絡,特別是越過組織邊界的網(wǎng)絡,用戶的聯(lián)網(wǎng)能力應按照訪問控制策略和業(yè)務應用要求加以限制,并建立適當?shù)穆酚煽刂拼胧?/p>
7.4操作系統(tǒng)訪問控制
建立一個操作系統(tǒng)安全登錄程序,防止未授權訪問;所有用戶應有唯一的、專供其個人使用的標識符(用戶id),應選擇一種適當?shù)蔫b別技術證實用戶所宣稱的身份。
可能超越系統(tǒng)和應用程序控制的管理工具的使用應加以限制并嚴格控制。
不活動會話應在一個設定的休止期后關閉;使用聯(lián)機時間的限制,為高風險應用程序提供額外的安全。
7.5應用和信息訪問控制
用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制。
敏感系統(tǒng)應考慮系統(tǒng)隔離,使用專用的(或孤立的)計算機環(huán)境。
7.6移動計算和遠程工作
應有正式策略并且采用適當?shù)陌踩胧?以防范使用移動計算和通信設施時所造成的風險。
通過網(wǎng)絡遠程訪問idc,需在通過授權的情況下對用戶進行認證并對通信內(nèi)容進行加密。
8、信息系統(tǒng)獲取、開發(fā)和維護
8.1安全需求分析和說明
在新的信息系統(tǒng)或增強已有信息系統(tǒng)的業(yè)務需求陳述中,應規(guī)定對安全控制措施的要求。
8.2信息處理控制
輸入應用系統(tǒng)的數(shù)據(jù)應加以驗證,以確保數(shù)據(jù)是正確且恰當?shù)摹?/p>
驗證檢查應整合到應用中,以檢查由于處理的錯誤或故意的行為造成的信息的訛誤。
通過控制措施,確保信息在處理過程中的完整性,并對處理結果進行驗證。
8.3密碼控制
應開發(fā)和實施使用密碼控制措施來保護信息的策略,并保證密鑰的安全使用。
8.4系統(tǒng)文件的安全
應有程序來控制在運行系統(tǒng)上安裝軟件;試數(shù)據(jù)應認真地加以選擇、保護和控制;應限制訪問程序源代碼。
8.5開發(fā)過程和支持過程中的安全
建立變更控制程序控制變更的實施;當操作系統(tǒng)發(fā)生變更后,應對業(yè)務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響。
idc應管理和監(jiān)視外包軟件的開發(fā)。
8.6技術脆弱性管理
應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息,評價組織對這些脆弱性的暴露程度,并采取適當?shù)拇胧﹣硖幚硐嚓P的風險。
9、信息安全事件管理
9.1報告信息安全事態(tài)和弱點
建立正式的idc信息安全事件報告程序,并形成文件。
建立適當?shù)某绦?保證信息安全事態(tài)應該盡可能快地通過適當?shù)墓芾砬肋M行報告,要求員工、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點。
9.2職責和程序
應建立管理職責和架構,以確保能對信息安全事件做出快速、有效和有序的響應。
9.3對信息安全事件的總結和證據(jù)的收集
建立一套機制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價,并且當一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據(jù),以使證據(jù)符合相關訴訟管轄權。
10、業(yè)務連續(xù)性管理
10.1業(yè)務連續(xù)性計劃
建立和維持一個用于整個組織的業(yè)務連續(xù)性計劃,通過使用預防和恢復控制措施,將對組織的影響減少到最低,并從信息資產(chǎn)的損失中恢復到可接受的程度。
10.2業(yè)務連續(xù)性和風險評估
通過恰當?shù)某绦?識別能引起idc業(yè)務過程中斷的事態(tài)(例如,設備故障、人為錯誤、盜竊、火災、自然災害和恐怖行為等),這種中斷發(fā)生的概率和影響,以及它們對信息安全所造成的后果。
業(yè)務資源與過程責任人參與業(yè)務連續(xù)性風險評估。
10.3制定和實施包括信息安全的連續(xù)性計劃
建立業(yè)務運行恢復計劃,以使關鍵業(yè)務過程在中斷或發(fā)生故障后,能在規(guī)定的水準與規(guī)定的時間范圍恢復運行
10.4測試、維護和再評估業(yè)務連續(xù)性計劃
業(yè)務連續(xù)性計劃應定期測試和更新,以確保其及時性和有效性。
定期測試及更新業(yè)務連續(xù)性計劃(bcp)/災難恢復計劃(drp),并對員工進行培訓;定期對idc的風險進行審核和管理評審,及時發(fā)現(xiàn)潛在的災難和安全失效。
5星級idc:至少每年一次測試及更新;bcp/drp,并對員工進行培訓; 至少每年一次對idc的風險進行審核和管理評審,及時發(fā)現(xiàn)潛在的災難和安全失效。
4星級idc:至少每年一次測試及更新;bcp/drp,并對員工進行培訓;至少每年一次對idc的風險進行審核和管理評審,及時發(fā)現(xiàn)潛在的災難和安全失效。
11、符合性
11.1可用法律、法規(guī)的識別
idc所有相關的法令、法規(guī)和合同要求,以及為滿足這些要求組織所采用的方法,應加以明確地定義、收集和跟蹤,并形成文件并保持更新。
11.2知識產(chǎn)權
應實施適當?shù)某绦?以確保在使用具有知識產(chǎn)權的材料和具有所有權的軟件產(chǎn)品時,符合法律、法規(guī)和合同的要求。
11.3保護組織的記錄
應防止重要的記錄遺失、毀壞和偽造,以滿足法令、法規(guī)、合同和業(yè)務的要求。
11.4技術符合性檢查
定期地對信息系統(tǒng)進行安全實施標準符合檢查,由具有勝任能力的已授權的人員執(zhí)行,或在他們的監(jiān)督下執(zhí)行。
11.5數(shù)據(jù)保護和個人信息的隱私
應依照相關的法律、法規(guī)和合同條款的要求,確保數(shù)據(jù)保護和隱私。
第11篇 信息安全管理辦法
第一章??? 總則
第一條 為加強邵陽市農(nóng)村商業(yè)銀行(以下簡稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理,防范和化解信息系統(tǒng)的運行風險,杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定,結合我農(nóng)商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人,包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工,包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。
第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組,領導小組辦公室設農(nóng)商行科技信息部,負責協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設立信息安全崗位,配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農(nóng)商行信息安全管理工作進行指導和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應的信息安全保障職責??萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門,設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組,設立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。 (三)檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位,必須進行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員,并報農(nóng)商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作: (一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對本部門的信息安全檢查工作。
第三節(jié) 技術支持人員
第二十條 本辦法所稱技術支持人員,是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。 第二十一條 農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中,應承擔如下安全義務: (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。 (二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同(協(xié)議)的各項安全承諾。提供技術服務期間,嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程,關鍵操作應經(jīng)授權,并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù),不得對外泄露或引用任何工作信息。
第四節(jié) 業(yè)務系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。 第二十四條 業(yè)務系統(tǒng)操作人員應承擔如下安全義務: (一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。 (三)不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件,不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。 第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。
第五節(jié) 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務: (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。 (三)未經(jīng)科技信息部檢測和授權,不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查,技術部門進行業(yè)務技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權”原則,嚴格設定各用戶的操作權限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位,必須進行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責任
(一)負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
(二)嚴格用戶權限管理,維護系統(tǒng)安全正常運行;
(三)認真記錄系統(tǒng)安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責任
(一)系統(tǒng)開發(fā)建設中,應嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
(二)系統(tǒng)投產(chǎn)運行前,應完整移交系統(tǒng)源代碼和相關涉密資料;
(三)不得對系統(tǒng)設置后門;
(四)對系統(tǒng)核心技術保密。
第三十七條 系統(tǒng)維護員安全責任
(一)負責系統(tǒng)維護,及時解除系統(tǒng)故障,確保系統(tǒng)正常運行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關的其他計算機程序;
(四)維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。
第四章 機房環(huán)境和設備資產(chǎn)管理
第一節(jié) 機房環(huán)境安全管理
第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第四十條 農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定,滿足下列基本安全要求:
(一)機房周圍100米內(nèi)不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。
(三)機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。
(四)機房應設專用的供電系統(tǒng),配備必要的ups和發(fā)電機。
第四十二條 機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時,由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。
第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控,生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控,輔助區(qū)實施聯(lián)動監(jiān)控。
第四十五條 監(jiān)控設備的安裝應符合安全保密原則,確保監(jiān)控的安全規(guī)范運作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控,通過技術和管理手段,確保計算機機房及配套設施安全。 第四十七條 農(nóng)商行機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收,并出具明確結論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發(fā)現(xiàn)問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調(diào)閱。
第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準,并辦理登記手續(xù),由專人陪同。
第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。
第五十二條 向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個月。
第二節(jié) 設備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計算機設備登記辦法,嚴格資產(chǎn)管理,明確計算機設備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡安全管理
第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理
第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源(網(wǎng)絡設備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案,投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求,使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段,有效降低外部攻擊、信息泄漏等風險,保障網(wǎng)絡傳輸與應用安全。 (二)具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 (三)根據(jù)信息安全級別,將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡運行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法,配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況,管理網(wǎng)絡資源及其配置信息,建立健全網(wǎng)絡運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。
(一)負責網(wǎng)絡的運行管理,實施網(wǎng)絡安全策略和安全運行細則;
(二)安全配置網(wǎng)絡參數(shù),嚴格控制網(wǎng)絡用戶訪問權限,維護網(wǎng)絡安全正常運行;
(三)監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。
第六十條 網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。
第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前,接入方案、設備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領導批準,有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權,任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。 第六十五條 農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則,合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準,任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接,應采用必要的技術隔離保護措施,對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序??萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng),并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定,不得從事任何違法違規(guī)活動。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項
第七十四條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題,建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容: (一)業(yè)務需求部門提出的安全需求。 (二)安全需求分析和實現(xiàn)。 (三)運行平臺的安全策略與設計。
第七十五條 信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術手段,建立嚴密的安全管理控制機制,保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復制;
(二)提供完整的數(shù)據(jù)備份和恢復功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權,特別應嚴格限制和分流特權用戶的權限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應設置審計監(jiān)控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。
第七十六條 農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求進行安全設計,保證安全功能的完整、準確實現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運行
第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。
(三)信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定,報科技信息部備案。
第八十三條 信息系統(tǒng)投入運行前,應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請,并報送下列材料:
(一)系統(tǒng)的用途、總體結構及軟硬件配置等基本情況;
(二)關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明;
(三)系統(tǒng)安全性測試提綱和測試報告;
(四)信息系統(tǒng)安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組,對信息系統(tǒng)進行安全性測試、認證。
第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實現(xiàn)程度;
(四)系統(tǒng)運行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告,并出具信息系統(tǒng)安全評估和審批報告書。
第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。
(四)及時安裝正式發(fā)布的系統(tǒng)補丁,修補系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護員),具體負責信息系統(tǒng)的日常運行管理,監(jiān)測系統(tǒng)運行日志,掌握系統(tǒng)運行狀況,并建立重要信息系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務操作人員,不得安裝與系統(tǒng)無關的其他計算機程序;維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第九十條 系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的,應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。
第九十一條 未經(jīng)業(yè)務主管部門領導書面批準,其他任何人不得擅自使用業(yè)務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù),不得擅自改變用戶權限。
第四節(jié) 業(yè)務操作
第九十二條 業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定,科技信息部根據(jù)-授權進行相關設定操作。 第九十三條 業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。 第九十四條 業(yè)務操作人員應設置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng),業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準,不得代崗、兼崗。 第九十六條 業(yè)務操作人員離開操作用機時,應按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備,包括臺式個人計算機(pc)、便攜式計算機、柜員終端、自動柜員機(atm)、存折打印機、讀卡器、銷售終端(pos)和個人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法,記錄所有客戶端設備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶,應嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務,是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準,省聯(lián)社信息科技部應進行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。
第一百一十三條? 農(nóng)商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。
第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作,適時進行業(yè)務數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務,并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術文檔
第一百二十一條 本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔,嚴格管理,并實行借閱登記辦法。未經(jīng)科技信息部領導批準,任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。
第三節(jié) 存儲介質(zhì)
第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識,統(tǒng)一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設備(u盤、移動硬盤等)管理辦法,加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用,禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法,對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次??诹蠲艽a的強度應滿足不同安全性要求,不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。
第五節(jié) 密碼技術應用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批,農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進行未授權的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。
第一百四十條 信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議,協(xié)議應明確約定外包服務商的安全義務。
第一百四十一條 經(jīng)本單位科技信息部領導批準,外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 災難備份與應急管理
第一節(jié) 災難備份管理
第一百四十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結合”的原則,負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求,明確可容忍的業(yè)務中斷時間(恢復時間目標rto)和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。
第二節(jié) 應急管理
第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略,同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容: (一)總則(目標、原則、適用范圍、預案調(diào)用關系等)。 (二)應急組織機構。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關人員應注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領導。
第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告,其他任何單位或個人不得向社會發(fā)布應急事件公告。
第十二章 安全檢查評估與培訓
第一節(jié) 監(jiān)測檢查
第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法,報送本單位信息安全工作領導小組和上一級科技信息部,抄送相關業(yè)務部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關部門。
第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節(jié) 評估審計
第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。
第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農(nóng)商行如聘請第三方機構進行安全評估,報省聯(lián)社信息科技部批準,并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告,未經(jīng)授權不得對外透露評估信息。
第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定,確保測評有效和測評安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理,并完整保留相關日志記錄。
第三節(jié) 安全培訓
第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓,不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。
第十三章 獎勵與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評,對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關法律法規(guī),追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。
?
第一章??? 總則
第一條 為加強邵陽市農(nóng)村商業(yè)銀行(以下簡稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理,防范和化解信息系統(tǒng)的運行風險,杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定,結合我農(nóng)商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人,包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工,包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。
第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組,領導小組辦公室設農(nóng)商行科技信息部,負責協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設立信息安全崗位,配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農(nóng)商行信息安全管理工作進行指導和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應的信息安全保障職責??萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門,設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組,設立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設項目中的安全方案,組織實施信息安全保障項目建設,維護、管理信息安全專用設施。 (三)檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關涉密信息,須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位,必須進行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員,并報農(nóng)商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作: (一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對本部門的信息安全檢查工作。
第三節(jié) 技術支持人員
第二十條 本辦法所稱技術支持人員,是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。 第二十一條 農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中,應承擔如下安全義務: (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問,未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。 (二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同(協(xié)議)的各項安全承諾。提供技術服務期間,嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程,關鍵操作應經(jīng)授權,并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù),不得對外泄露或引用任何工作信息。
第四節(jié) 業(yè)務系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。 第二十四條 業(yè)務系統(tǒng)操作人員應承擔如下安全義務: (一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。 (三)不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件,不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。 第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。
第五節(jié) 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務: (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。 (三)未經(jīng)科技信息部檢測和授權,不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡;不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查,技術部門進行業(yè)務技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權”原則,嚴格設定各用戶的操作權限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位,必須進行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責任
(一)負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
(二)嚴格用戶權限管理,維護系統(tǒng)安全正常運行;
(三)認真記錄系統(tǒng)安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責任
(一)系統(tǒng)開發(fā)建設中,應嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
(二)系統(tǒng)投產(chǎn)運行前,應完整移交系統(tǒng)源代碼和相關涉密資料;
(三)不得對系統(tǒng)設置后門;
(四)對系統(tǒng)核心技術保密。
第三十七條 系統(tǒng)維護員安全責任
(一)負責系統(tǒng)維護,及時解除系統(tǒng)故障,確保系統(tǒng)正常運行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關的其他計算機程序;
(四)維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。
第四章 機房環(huán)境和設備資產(chǎn)管理
第一節(jié) 機房環(huán)境安全管理
第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第四十條 農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定,滿足下列基本安全要求:
(一)機房周圍100米內(nèi)不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。
(三)機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。
(四)機房應設專用的供電系統(tǒng),配備必要的ups和發(fā)電機。
第四十二條 機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時,由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。
第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控,生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控,輔助區(qū)實施聯(lián)動監(jiān)控。
第四十五條 監(jiān)控設備的安裝應符合安全保密原則,確保監(jiān)控的安全規(guī)范運作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控,通過技術和管理手段,確保計算機機房及配套設施安全。 第四十七條 農(nóng)商行機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收,并出具明確結論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓,熟知機房各類設備的分布和操作要領,定期巡查機房,發(fā)現(xiàn)問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料,并隨時提供調(diào)閱。
第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準,并辦理登記手續(xù),由專人陪同。
第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。
第五十二條 向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個月。
第二節(jié) 設備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計算機設備登記辦法,嚴格資產(chǎn)管理,明確計算機設備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡安全管理
第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理
第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源(網(wǎng)絡設備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案,投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求,使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段,有效降低外部攻擊、信息泄漏等風險,保障網(wǎng)絡傳輸與應用安全。 (二)具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 (三)根據(jù)信息安全級別,將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡運行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法,配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況,管理網(wǎng)絡資源及其配置信息,建立健全網(wǎng)絡運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。
(一)負責網(wǎng)絡的運行管理,實施網(wǎng)絡安全策略和安全運行細則;
(二)安全配置網(wǎng)絡參數(shù),嚴格控制網(wǎng)絡用戶訪問權限,維護網(wǎng)絡安全正常運行;
(三)監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。
第六十條 網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓,具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。
第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前,接入方案、設備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前,應書面請示本部門主管領導,變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領導批準,有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權,任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。 第六十五條 農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則,合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準,任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接,應采用必要的技術隔離保護措施,對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序??萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng),并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定,不得從事任何違法違規(guī)活動。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項
第七十四條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題,建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容: (一)業(yè)務需求部門提出的安全需求。 (二)安全需求分析和實現(xiàn)。 (三)運行平臺的安全策略與設計。
第七十五條 信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術手段,建立嚴密的安全管理控制機制,保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復制;
(二)提供完整的數(shù)據(jù)備份和恢復功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權,特別應嚴格限制和分流特權用戶的權限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應設置審計監(jiān)控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。
第七十六條 農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求進行安全設計,保證安全功能的完整、準確實現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運行
第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。
(三)信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定,報科技信息部備案。
第八十三條 信息系統(tǒng)投入運行前,應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請,并報送下列材料:
(一)系統(tǒng)的用途、總體結構及軟硬件配置等基本情況;
(二)關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明;
(三)系統(tǒng)安全性測試提綱和測試報告;
(四)信息系統(tǒng)安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組,對信息系統(tǒng)進行安全性測試、認證。
第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實現(xiàn)程度;
(四)系統(tǒng)運行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告,并出具信息系統(tǒng)安全評估和審批報告書。
第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。
(四)及時安裝正式發(fā)布的系統(tǒng)補丁,修補系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護員),具體負責信息系統(tǒng)的日常運行管理,監(jiān)測系統(tǒng)運行日志,掌握系統(tǒng)運行狀況,并建立重要信息系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務操作人員,不得安裝與系統(tǒng)無關的其他計算機程序;維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第九十條 系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的,應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。
第九十一條 未經(jīng)業(yè)務主管部門領導書面批準,其他任何人不得擅自使用業(yè)務操作人員用機,不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù),不得擅自改變用戶權限。
第四節(jié) 業(yè)務操作
第九十二條 業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定,科技信息部根據(jù)-授權進行相關設定操作。 第九十三條 業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。 第九十四條 業(yè)務操作人員應設置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng),業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準,不得代崗、兼崗。 第九十六條 業(yè)務操作人員離開操作用機時,應按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備,包括臺式個人計算機(pc)、便攜式計算機、柜員終端、自動柜員機(atm)、存折打印機、讀卡器、銷售終端(pos)和個人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法,記錄所有客戶端設備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件,設置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶,應嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務,是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準,省聯(lián)社信息科技部應進行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況,認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料,應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。
第一百一十三條?農(nóng)商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。
第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作,適時進行業(yè)務數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務,并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數(shù)據(jù)時需要提供相關口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術文檔
第一百二十一條 本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔,嚴格管理,并實行借閱登記辦法。未經(jīng)科技信息部領導批準,任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。
第三節(jié) 存儲介質(zhì)
第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識,統(tǒng)一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設備(u盤、移動硬盤等)管理辦法,加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用,禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法,對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次。口令密碼的強度應滿足不同安全性要求,不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。
第五節(jié) 密碼技術應用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批,農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權限,嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進行未授權的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。
第一百四十條 信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議,協(xié)議應明確約定外包服務商的安全義務。
第一百四十一條 經(jīng)本單位科技信息部領導批準,外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件,并徹底清除與密碼有關的軟件和信息。
第十一章 災難備份與應急管理
第一節(jié) 災難備份管理
第一百四十三條 災難備份是指利用技術、管理手段以及相關資源,確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結合”的原則,負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求,明確可容忍的業(yè)務中斷時間(恢復時間目標rto)和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。
第二節(jié) 應急管理
第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略,同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容: (一)總則(目標、原則、適用范圍、預案調(diào)用關系等)。 (二)應急組織機構。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關單位等)和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關人員應注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領導。
第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告,其他任何單位或個人不得向社會發(fā)布應急事件公告。
第十二章 安全檢查評估與培訓
第一節(jié) 監(jiān)測檢查
第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法,報送本單位信息安全工作領導小組和上一級科技信息部,抄送相關業(yè)務部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關部門。
第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節(jié) 評估審計
第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。
第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結束后,形成評估報告,提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農(nóng)商行如聘請第三方機構進行安全評估,報省聯(lián)社信息科技部批準,并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告,未經(jīng)授權不得對外透露評估信息。
第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定,確保測評有效和測評安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理,并完整保留相關日志記錄。
第三節(jié) 安全培訓
第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓,不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。
第十三章 獎勵與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評,對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關法律法規(guī),追究其主管領導、相關部門負責人及直接責任人的責任;構成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。
第12篇 創(chuàng)新信息安全管理
上世紀90年代以來,嘉興電力局逐步建立了辦公自動化(oa)、sap系統(tǒng)、營銷管理、95598客戶服務、負荷管理、pi數(shù)據(jù)庫等諸多信息系統(tǒng),企業(yè)信息化在安全生產(chǎn)、經(jīng)營管理、優(yōu)質(zhì)服務中發(fā)揮了極其重要的作用。與此同時,信息安全的籬笆墻也越扎越緊,有效地防范了外部的攻擊和內(nèi)部管理失控帶來的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進單位”、“信息化標桿企業(yè)”等光榮稱號。2006年貫徹iso/iec27001:2005信息安全管理標準,獲得了挪威船級社dnv公司認證證書。
運用系統(tǒng)的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理的一些傳統(tǒng)做法,沒有體現(xiàn)信息化特點和要求,這樣就越來越不適應信息系統(tǒng)的快速發(fā)展和變革。
管理對象不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務、無形資產(chǎn)等重要對象,對外來人員也缺乏有效的識別管理。
管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標準,但隨著信息化的發(fā)展,這些制度逐漸變得與現(xiàn)實要求不相適應。就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復、交叉、不一致,有些制度不切合實際,往往束之高閣。
風險評估不夠科學。以往的信息風險評估就事論事,不夠系統(tǒng),主觀性過強,缺乏綜合平衡,抓不住重點,易過度保護,或產(chǎn)生管理死角,事后控制多,事前預控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設中普遍感覺到比較迷茫的問題,隨著科學技術的進步,企業(yè)信息運行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此,嘉興電力局根據(jù)國際上信息安全管理的最佳實踐,結合供電企業(yè)的實際,從信息安全風險評估管理人手,貫徹iso/iec27001:2005信息安全管理標準,建立了信息安全管理體系。通過體系有效運作,達到了供電企業(yè)信息安全管理“預控、能控、可控、在控”的目的。
從資產(chǎn)識別入手,搞好信息安全風險評估
嘉興電力局按《信息安全風險評估控制程序》,對所有的資產(chǎn)進行了列表識別,并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值。在風險評估中,共識別資產(chǎn)2810項,其中確定的重要資產(chǎn)總數(shù)為312項,形成了《重要資產(chǎn)清單》。
圖1重要信息資產(chǎn)按部門分布圖
對重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進行識別,并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進行了賦值分析,確定風險等級和可接受程度,形成了《重要資產(chǎn)風險評估表》。針對每一項威脅、薄弱點,對資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計算風險等級,判斷風險為可接受的還是需要處理的。根據(jù)風險評估的結果,形成風險處理計劃。對于信息安全風險,應考慮控制措施與費用的平衡原則,選用適當?shù)拇胧?,確定是接受風險、避免風險,還是轉(zhuǎn)移風險。
嘉興電力局經(jīng)過風險評估,確定了不可接受風險84項,其中硬件和設施52項,軟件和系統(tǒng)0項,文檔和數(shù)據(jù)8項,服務0項,人力資源24項。
圖2各類不可接受風險按系統(tǒng)分布圖
根據(jù)風險評估的結果,對可接受風險,保持原有的控制措施,同時按iso/iec17799:2005《信息技術—安全技術—信息安全管理實施細則》和系統(tǒng)應用的要求,對控制措施進行完善。針對不可接受風險,由各部門制定相應的安全控制措施。制定控制措施需要考慮風險評估的結果、管理與技術上的可行性、法律法規(guī)的要求,以期達到風險降低的目的??刂拼胧┑膶嵤谋苊怙L險、降低風險、轉(zhuǎn)移風險等方面,將風險降低到可接受的水平。
按照iso標準要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務和日常管理活動的信息系統(tǒng),按iso/iec27001:2005《信息技術—安全技術—信息安全管理體系要求》規(guī)定,參照iso/iecl7799:2005《信息技術·安全技術—信息安全管理實施細則》,建立信息安全管理體系,簡稱isms。
確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務特征、組織結構、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營銷、服務和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務實、有效”。
為實現(xiàn)信息安全管理體系方針,該局承諾:在各層次建立完整的信息安全管理組織機構,確定信息安全目標和控制措施,明確信息安全的管理職責,識別并滿足適用法律、法規(guī)和相關方信息安全要求;定期進行信息安全風險評估,采取糾正預防措施,保證體系的持續(xù)有效性,采用先進有效的設施和技術,處理、傳遞、儲存和保護各類信息,實現(xiàn)信息共享;對全體員工進行持續(xù)的信息安全教育和培訓,不斷增強員工的信息安全意識和能力;制定并保持完善的業(yè)務連續(xù)性計劃,實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制定的信息安全管理目標是:2級以上信息安全事件為零,不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導致供電中斷的信息事故;減少涉密有關的法律風險。
嘉興電力局根據(jù)風險評估的結果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照iso/iec27001:2005標準要求,整合原有的企業(yè)信息安全管理標準、規(guī)章制度,形成了科學、嚴密的信息安全管理體系文件框架,包括信息安全管理手冊;《信息安全風險評估管理程序》、《業(yè)務持續(xù)性管理程序》等53個程序文件,制定了16個支撐性作業(yè)文件。
運用過程方法,實施信息安全管理體系
在信息安全管理過程中,重點是抓好人員安全、風險評估、信息安全事件、保持業(yè)務持續(xù)性等重要環(huán)節(jié),采取明確職責、動態(tài)檢查、嚴格考核等措施,使信息安全走上常態(tài)管理之路。
圖3信息安全管理體系實施過程
重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務,信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購置、設備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)(權限)變更等方面,嚴格執(zhí)行體系的相關控制程序。
強化人員安全管理。在勞動合同、崗位說明書中,明確員工信息安全職責。特殊崗位的人員規(guī)定特別的安全責任,對信息關鍵崗位實行備案制度。對崗位調(diào)動或離職人員,及時調(diào)整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。
重視相關方管理。對軟硬件供應商、服務商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責。簽訂保密協(xié)議、辦理入網(wǎng)申請、進行入網(wǎng)教育等。識別客戶、合作方、相關方、法律法規(guī)對信息安全的要求,采取措施,保證滿足安全要求。
建立信息安全的常態(tài)管理機制。對企業(yè)技術、業(yè)務目標和過程、已識別的威脅、實施控制的有效性、外部事件變更情況應及時進行風險評估。定期對信息安全進行定期或不定期的監(jiān)督檢查,包括日常檢查、專項檢查、技術性檢查、內(nèi)部審核等。嘉興電力局2006年內(nèi)審發(fā)現(xiàn)了57個不符合項,及時進行糾正,解決了用戶權限、a/b崗、第三方訪問、機房管理等一些重點問題,從而保證了信息安全管理的質(zhì)量,有效地防范了信息安全事件和事故的發(fā)生。
第13篇 信息安全管理規(guī)范和操作指南
1. 總則
(1)為了保證公司信息網(wǎng)絡系統(tǒng)的安全,根據(jù)有關計算機、網(wǎng)絡和信息安全的相關法律、法規(guī)和安全規(guī)定,結合公司信息網(wǎng)絡系統(tǒng)建設的實際情況,特制定本規(guī)定。
(2)本規(guī)定所指的信息網(wǎng)絡系統(tǒng),是指由計算機(包括相關和配套設備)為終端設備,利用計算機、通信、網(wǎng)絡等技術進行信息采集、處理、存儲和傳輸?shù)脑O備、技術、管理的組合。
(3)本規(guī)定適用于公司接入到公司網(wǎng)絡系統(tǒng)的單機和局域網(wǎng)系統(tǒng)。
信息網(wǎng)絡系統(tǒng)安全的含義是通過各種計算機、網(wǎng)絡、密碼技術和信息安全技術,在實現(xiàn)網(wǎng)絡系統(tǒng)安全的基礎上,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。
2. 物理安全
(1)物理安全是指保護計算機網(wǎng)絡設施以及其他媒體免遭地震、水災、火災等環(huán)境事故與人為操作失誤或錯誤,以及計算機犯罪行為而導致的破壞。
網(wǎng)絡設備、設施應配備相應的安全保障措施,包括防盜、防毀、防電磁干擾等,并定期或不定期地進行檢查。
(2)對重要網(wǎng)絡設備配備專用電源或電源保護設備,保證其正常運行。
3. 計算機的物理安全管理
(1)計算機指所有連接到公司信息網(wǎng)絡系統(tǒng)的個人計算機、工作站、服務器、網(wǎng)絡打印機及各種終端設備;
(2)使用人員應愛護計算機及與之相關的網(wǎng)絡連接設備(包括網(wǎng)卡、網(wǎng)線、集線器、路由器等),按規(guī)定操作,不得對其實施人為損壞;
(3)計算機使用人員不得擅自更改網(wǎng)絡設置,杜絕一切影響網(wǎng)絡正常運行的行為發(fā)生;
(4)網(wǎng)絡中的終端計算機在使用完畢后應及時關閉計算機和電源;
(5)客戶機使用人員不得利用計算機進行違法活動。
4. 緊急情況
(1).火災發(fā)生:切斷電源,迅速報警,根據(jù)火情,選擇正確的滅火方式滅火;
(2)水災發(fā)生:切斷電源,迅速報告有關部門,盡可能地弄清水災原因,采取關閉閥門、排水、堵漏、防洪等措施;
(3)地震發(fā)生:切斷電源,避免引發(fā)短路和火災;
5. 網(wǎng)絡系統(tǒng)安全管理
(1)網(wǎng)絡系統(tǒng)安全的內(nèi)涵包括四個方面:
1)機密性:確保信息不暴露給未授權的實體或進程;
2)完整性:未經(jīng)授權的人不能修改數(shù)據(jù),只有得到允許的人才能修改數(shù)據(jù),并且能夠分辨出被篡改的數(shù)據(jù)。
3)可用性:得到授權的實體在合法的范圍內(nèi)可以隨時隨地訪問數(shù)據(jù),網(wǎng)絡的攻擊者不能阻礙網(wǎng)絡資源的合法使用。
4)可控性:可以控制授權范圍內(nèi)的信息流向和行為方式??蓪彶樾裕阂坏┏霈F(xiàn)安全問題,網(wǎng)絡系統(tǒng)可以提供調(diào)查的依據(jù)和手段。接入internet公共信息網(wǎng)的重要信息網(wǎng)絡系統(tǒng)須安裝防火墻或其他安全設備。入網(wǎng)的安全設備必須具有國家保密局、公安部、中國國家信息安全測評認證中心的技術鑒定、銷售許可和產(chǎn)品評測等資質(zhì),并符合國家的相關規(guī)定。
6. 網(wǎng)絡安全檢測。
(1)為使網(wǎng)絡長期保持較高的安全水平,網(wǎng)絡管理員應當用網(wǎng)絡安全檢測工具對網(wǎng)絡系統(tǒng)進行安全性分析,及時發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡管理員在系統(tǒng)檢測完成后,應編寫檢測報告,需詳細記敘檢測的對象、手段、結果、建議和實施的補救措施與安全策略。檢測報告存入系統(tǒng)檔案。
網(wǎng)絡反病毒。病毒的危害性巨大,對系統(tǒng)和信息的破壞程度具有不可測性,計算機用戶和系統(tǒng)管理員應針對具體情況采取預防病毒技術、檢測病毒技術和殺毒技術。
7. 信息系統(tǒng)安全管理
(1)信息安全是指通過各種計算機、網(wǎng)絡和密碼技術,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。
1)信息處理和傳輸系統(tǒng)的安全
系統(tǒng)管理員應對處理信息的系統(tǒng)進行詳細的安全檢查和定期維護,避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
2)信息內(nèi)容的安全
側(cè)重于保護信息的機密性、完整性和真實性。系統(tǒng)管理員應對所負責系統(tǒng)的安全性進行評測,采取技術措施對所發(fā)現(xiàn)的漏洞進行補救,防止竊取、冒充信息等。
3)信息傳播安全
要加強對信息的審查,防止和控制非法、有害的信息通過我司的信息網(wǎng)絡系統(tǒng)傳播,避免對國家利益、公共利益以及個人利益造成損害。
涉及商業(yè)機密文件必須采用rms權限管理服務進行文件保護,以免外泄。
8. 信息系統(tǒng)的內(nèi)部管理
(1)各部門向網(wǎng)絡系統(tǒng)提交信息前要作好查毒、殺毒工作,確保信息文件無毒上載;
(2)根據(jù)情況,采取網(wǎng)絡病毒監(jiān)測、查毒、殺毒等技術措施,提高網(wǎng)絡的整體抗病毒能力;部門負責的重要信息必須作好備份;
(3)網(wǎng)站和欄目信息的負責部門必須對所發(fā)布信息制定審查制度,對信息來源的合法性,發(fā)布范圍,信息欄目維護的負責人等做出明確的規(guī)定。信息發(fā)布后還要隨時檢查信息的完整性、合法性;如發(fā)現(xiàn)被刪改,應及時報告綜合部;
(4)涉及商業(yè)秘密的信息的存儲、傳輸?shù)葢付▽H素撠?,并嚴格按照國家有關保密的法律、法規(guī)執(zhí)行;
(5)涉及商業(yè)機密的項目招標、投標標注等信息,未經(jīng)所屬單位安全主管負責人的批準不得在網(wǎng)絡上發(fā)布和明碼傳輸;
(6)個人計算機中的涉密文件不可設置為共享,個人電子郵件的收發(fā)要實行病毒查殺。
(7)信息加密
1).涉及商業(yè)秘密的信息,其電子文檔資料須加密存儲;
2).涉及公司和部門利益的敏感信息的電子文檔資料應當加密存儲;
3).涉及社會安定的敏感信息的電子文檔資料應當加密存儲;
4).涉及公司秘密、與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關規(guī)定采用文件加密傳輸或鏈路傳輸加密。
(8)公司內(nèi)任何組織和個人不得從事以下活動:
1).利用信息網(wǎng)絡系統(tǒng)制作、傳播、復制有害信息;
2).入侵他人計算機;
3).未經(jīng)允許使用他人在信息網(wǎng)絡系統(tǒng)中未公開的信息;
4).未經(jīng)授權對信息網(wǎng)絡系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應用程序)進行增加、修改、復制和刪除等;
5).未經(jīng)授權查閱他人郵件;
6).盜用他人名義發(fā)送電子郵件;
7).故意干擾網(wǎng)絡的暢通運行;
8).從事其他危害信息網(wǎng)絡系統(tǒng)安全的活動。
9. 密碼管理
(1).具有密碼功能的計算機、網(wǎng)絡設備等系統(tǒng)處理公司秘密信息,必須使用密碼對用戶的身份進行驗證和確認。對于重要網(wǎng)絡系統(tǒng),各部門要有一個負責人,負責日常的密碼管理工作。
(2).負責人負責給新增加的員工分配初始密碼;指導員工正確使用密碼;檢查員工使用密碼情況;幫助員工開啟被鎖定的密碼,對非法操作及時查明原因;解決密碼使用過程中出現(xiàn)的問題;協(xié)助員工保護公司秘密不受侵害;定期向主管領導匯報密碼使用情況和需要解決的問題。
(3).定期更換密碼。密碼的最長使用時間不能超過三個月,在涉密較多、人員復雜、保密條件較差的地方應盡可能縮短密碼的使用時間。當密碼使用期滿時,應更換新的密碼。
(4)負責人必須有能力更改密碼。當密碼使用期滿、被其他人知悉或認為密碼不安全或失效時,最終員工可使用公司郵箱給系統(tǒng)管理員提交密碼重置申請,非公司郵箱提交的申請不予進行處理。
(5).系統(tǒng)管理員重置密碼后,最終員工首次登陸必須要進行修改密碼,不得使用前三次使用過的密碼。
(6).對密碼數(shù)據(jù)庫的訪問和存取必須加以控制,以防止密碼被非法修改或泄露。
(7).當系統(tǒng)提供的訪問和存取控制機制不夠完善時或機制雖然完善,但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲等情況時,應對存儲的密碼加密。
密碼的等級應當符合以下要求:
1).初始密碼應當由系統(tǒng)管理員集中產(chǎn)生供用戶使用,并有密碼更換記錄,不得由員工產(chǎn)生;
2).密碼的復雜性要求密碼長度不得小于8個字符,要包含大寫、小寫、特殊字符、阿拉伯數(shù)字中的任意三種,密碼更換周期不得長于三個月;
3).密碼必須加密存儲,并且保證密碼存放載體的物理安全;
員工應記住自己的密碼,不應把它記載在不保密的媒介物上,嚴禁張貼密碼。
惡意軟件管理
4).公司所有聯(lián)網(wǎng)計算機必須安裝防病毒軟件,安裝后不得自行關閉和卸載,對擅自卸載或不按規(guī)定使用防病毒軟件的人員,如造成損失,應承擔相應的責任;
5).由于特殊原因不能安裝防病毒客戶端軟件的電腦,須記錄相關原因。
技術部負責對所有客戶端的殺毒軟件進行管理和監(jiān)控,全體人員必須服從和配合。在正常運行過程中,不得隨意關閉或退出。若因特殊情況需臨時暫??蛻舳诉\行者,應經(jīng)技術部同意方可執(zhí)行;
6).如發(fā)現(xiàn)病毒,相關使用人應立即上報,及時聯(lián)系技術部人員對感染機器進行有效的隔離,清除病毒的后檢查其最近使用過的軟盤、光盤和移動存儲設備,以免漏殺,未清除病毒的計算機不得入網(wǎng);
7).對因病毒引起的計算機信息系統(tǒng)癱瘓,程序和數(shù)據(jù)嚴重破壞等重大事故應及時采取隔離措施,并及時公司技術部報告;
8).不得向他人提供含有計算機病毒的文件、軟件、媒體。禁止在計算機上裝載與工作無關的軟件,特別是游戲軟件、盜版軟件等;
9).禁止從internet網(wǎng)絡隨意上下載程序、數(shù)據(jù),以及外來程序和文檔。如確實需要,應當先進行病毒檢測后使用。在網(wǎng)上發(fā)布的文件文檔,發(fā)件人應主動用查病毒軟件檢查并確認安全后方可發(fā)出,收件人發(fā)現(xiàn)病毒,應立即殺毒,并通知發(fā)件人;
10).不得打開可疑的或陌生人發(fā)送來的郵件及附件,必要時直接刪除;對認定為清除不了含有病毒的文件,技術部有權直接刪除,以防病毒擴散、蔓延。
外來的軟盤、光盤和移動存儲設備等應先進行殺毒檢查后使用。當在光盤、u盤、移動存設備上發(fā)現(xiàn)病毒后應立即報告技術部,并及時加以標識,不得在其他計算機上再使用,避免病毒的傳播;
11).除打印機可以共享外,服務器與工作站的硬盤盡量不設置為共享,文件目錄一般不進行網(wǎng)絡共享。特殊情況需進行目錄共享的必須設定密碼,一旦使用完畢后必須立即關閉共享,或加強對該機器的病毒檢查;
12).對購置、維修、借入的計算機及其他網(wǎng)絡存儲設備,應當及時進行病毒檢測;
13).對于關鍵部門的關鍵數(shù)據(jù)要經(jīng)常進行備份,且異地存放,以備數(shù)據(jù)破壞后恢復。
第14篇 信息技術有限公司人員信息安全管理規(guī)定
____信息技術有限公司人員信息安全管理規(guī)定
____信息技術有限公司
人員信息安全管理規(guī)定
第一章總則
第一條本規(guī)定旨在加強____信息技術有限公司的人員信息安全管理,要求公司員工知曉和理解公司信息安全管理相關規(guī)
定,承擔并切實履行本崗位相應的信息安全職責。
本規(guī)定
中還明確了員工入職、轉(zhuǎn)崗、離職各環(huán)節(jié)的信息安全具體
管理要求,確保公司人員信息安全策略目標的實現(xiàn)。
第二條本規(guī)定適用于____信息技術有限公司員工信息安全管理相關的活動。
第二章內(nèi)外部人員管理
第三條本規(guī)定中所指“人員”不僅包括____信息技術有限公司人力資源管理部門編制內(nèi)的正式員工,也包括借調(diào)、輪崗、派
遣的內(nèi)部人員,其工作內(nèi)容和性質(zhì)與人力資源管理部門編
制內(nèi)正式員工一致,包括研發(fā)人員、咨詢?nèi)藛T、運維支持
人員、技術支持人員等。
所有人員的信息安全管理應嚴格
遵照本規(guī)定執(zhí)行,并根據(jù)本規(guī)定的各項要求進行管理和考
核。
第四條為____信息技術有限公司提供服務的外部服務提供商及合作方的人員視為“第三方人員”,其人員信息安全管理的具
體要求見《____信息技術有限公司第三方信息安全管理規(guī)
定》。
2 / 5第三章人員招聘入職管理
第五條各部門應遵循____信息技術有限公司信息安全管理策略,按照安全管理各項制度的要求,根據(jù)本部門已規(guī)劃和上報
的崗位設置情況,明確各崗位信息安全職責具體要求。
第六條對于重要崗位或敏感崗位需要進行人員的背景調(diào)查時,人力資源管理部門可以采用電話、電子郵件、紙質(zhì)材料、公
函或其它方式,調(diào)查記錄應妥善保存。
背景調(diào)查通常包含
以下內(nèi)容:
(一)學歷和工作經(jīng)歷
(二)犯罪記錄
(三)競業(yè)禁止
第七條在新員工的勞動合同中應明確規(guī)定員工需承擔的包括保密要求在內(nèi)的信息安全責任;也可根據(jù)實際情況簽訂單獨
的保密協(xié)議。
第四章人員在職與轉(zhuǎn)崗管理
第八條員工在職期間,必須遵守公司信息安全相關管理規(guī)定,履行合同、保密協(xié)議所規(guī)定的信息安全職責,發(fā)現(xiàn)信息安全
事件及時報告,并配合公司相關部門和人員進行事件的處
理。
第九條為保證員工能夠充分履行信息安全職責,各部門應積極開展提高員工信息安全意識與技能的各項培訓,并對培訓效
果進行回顧。
3. / 5第十條各部門應對重要崗位或敏感崗位采取崗位輪換措施,也可采取強制休假等管理措施。
此外,重要崗位應設置a/b
角以實現(xiàn)人員備份和互相監(jiān)督。
第十一條員工辦理調(diào)動手續(xù)過程中,相關部門應及時處理該員工在各信息系統(tǒng)內(nèi)的個人賬號(包括帳號和權限的調(diào)整、變
更等),風險控制與信息安全部對帳號和權限處理情況進
行審核與檢查。
第十二條對員工在職期間違反公司信息安全管理制度的行為,各部門應進行處理。
第五章人員離職安全管理
第十三條員工離職時,人員所在部門應依照該員工簽署的保密協(xié)議,審核其脫密期,并明確告知其在離職后的信息安全保
密責任。
第十四條員工離職時應列出信息資產(chǎn)交接清單,及時交還公司相關信息資產(chǎn)和物品,并由歸還資產(chǎn)的接收部門進行審核和
確認。
第十五條員工辦理離職手續(xù)過程中,相關部門應及時處理該員工在各信息系統(tǒng)內(nèi)的個人賬號(包括帳號禁用、刪除等),
信息技術中心對帳號和權限處理情況進行抽查。
審查內(nèi)容
通常包括:
(一)公司資產(chǎn)(辦公電腦等)已交回。
(二)e_mail郵箱功能已刪除或禁用。
4 / 5
第15篇 區(qū)二中網(wǎng)絡與信息安全管理應急預案
二中網(wǎng)絡與信息安全管理應急預案
為確保網(wǎng)絡正常使用,充分發(fā)揮網(wǎng)絡在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務院《互聯(lián)網(wǎng)信息服務管理辦法》和有關規(guī)定,特制訂本預案,妥善處理危害網(wǎng)絡與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。
一、危害網(wǎng)絡與信息安全突發(fā)事件的應急響應
1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等
網(wǎng)絡管理中心應立即切斷局域網(wǎng)與外部的網(wǎng)絡連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。
2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務器上的,學校應立即切斷與外部的網(wǎng)絡連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關閉租用空間。
3.如在外部可訪問的網(wǎng)站、郵件等服務器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務器的網(wǎng)絡連接,使得外部不可訪問。防止有害信息的擴散。
4.采取相應的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。
5.在確保安全問題解決后,方可恢復網(wǎng)絡(網(wǎng)站)的使用。
二、保障措施
1.加強領導,健全機構,落實網(wǎng)絡與信息安全責任制。建立由主管領導負責的網(wǎng)絡與信息安全管理領導小組,并設立安全專管員。明確工作職責,落實安全責任制;bbs、聊天室等交互性欄目要設有防范措施和專人管理。
2.局內(nèi)網(wǎng)絡由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設備,擅接終端設備。
3.加強安全教育,增強安全意識,樹立網(wǎng)絡與信息安全人人有責的觀念。安全意識淡薄是造成網(wǎng)絡安全事件的主要原因,各校要加強對教師、學生的網(wǎng)絡安全教育,增強網(wǎng)絡安全意識,將網(wǎng)絡安全意識與政治意識、責任意識、保密意識聯(lián)系起來。特別要指導學生提高他們識別有害信息的能力,引導他們正健康用網(wǎng)。
4.不得關閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。