致远服软信息安全管理制度
阅读次数:1675 | 发布时间: 2019-11-29
信息安全管理制度
一、机房安全管理
1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。
2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
4、建立机房登记制度,对本地局域网络的运行,建立档案。未发生故障或故障隐患时当班人员不可对光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
5、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
6、做好操作系统的补丁修正工作。
7、网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
8、计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
9、制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、网络安全管理
1、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。
2、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
3、网络安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。
4、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
6、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法见附件。
三、系统运行维护管理
1、 中心机房和办公区域隔离分设。未经负责人批准,不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。
2、 各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
3、 为确保数据的安全保密,对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。
4、 部门负责人应定期与不定期对制度的执行情况进行检查,督促各项制度的落实,并作为人员考核之依据。
四、资产和设备管理
1、网站中心所属范围内包括所有设备及办公物品归属网站中心管理。
2、严格执行上级管理部门有关设备管理的各项规章制度,对本中心管理的设备进行编号、登记、建立完善、准确的文档。
3、购进设备时,网站中心有关负责人必须与供货人或调入人共同启封,核对设备规格、型号、数目及软件和文字资料,并进行质量检验。核对无误,验收合格后,方可签字并办理有关手续。
4、实行设备领用人责任制,谁领用,谁使用,谁保管。
5、对网站中心所属重要设备,要建立档案系统,保证技术资料完整。
6、非网站中心工作人员,不得擅自启动、关闭、动用、迁移各种网络设备。
7、从网站中心调出设备,必须经中心负责人认可批准后,方可调出。
8、每半年,对中心的计算机网络设备进行一次全面检查和维护。
9、每年末,网站中心对固定资产清查一次。
10、每年对机房设备保管和使用环境评估检查一次,看是否达标,并及时采取积极措施。
11、对于超过有效使用期的设备、淘汰设备或毁坏设备,按上次管理部门对固定资产设备报废规章制度办理,并履行有关手续。
12、网站中心设备使用和管理人员,应本着对国家财产负责的态度严格执行操作和管理程序。对操作不当或管理不善造成设备损失的,要追查责任,给予相应处罚,故意破坏的移交司法部门处理。对于工作认真负责,避免损失的,给予一定奖励。
五、数据及信息安全管理
网站中心的数据及信息安全主要由信息安全管理员负责,信息安全管理员的主要职责如下:
1、信息安全管理员负责本中心的信息安全保护管理工作,建立健全信息安全保护管理制度;
2、信息安全管理员负责落实信息安全保护技术措施,保障本网络的运行安全和信息安全;
3、负责防火墙、IDS、防病毒系统的策略制定;
4、负责本中心审计系统的运行管理,对运行情况进行审计;
5、负责本中心身份认证系统、权限管理和授权、单点登录系统的运行管理;
6、负责本中心的防火墙、入侵检测系统、防病毒系统的运行管理,并定期升级;
7、负责本中心相关日志的填写、收集、归档、管理;
8、对本中心所发布的信息内容按照等相关规定进行审核;
9、发现有违反安全管理规定的行为,应当保留有关原始记录,并及时向相关管理部门报告;
10、按照国家有关规定,负责删除本中心中含有违法内容的地址、目录或者关闭服务器。
六、用户管理
参见机房出入管理制度第二款之规定。
七、备份与恢复
1、为了确保系统计算机系统的数据安全,使得在计算机系统失效或数据丢失时,能依靠备份尽快地恢复系统和数据,保护关键应用数据的安全,保证数据不丢失,特制定本制度。
2、拥有重要系统或重要数据的服务器应该及对数据进行备份,防止系统、数据的丢失;涉及数据备份和恢复的服务器要由专人负责数据备份工作,并认真填写备份日志。
3、网络服务器数据备份工作,由网站管理部负责,增量备份每日做,系统备份每周做一次。系统管理员在每周最后一个工作日,将数据库、网页文件、各主要硬件设备配置文件等做一次异机备份,数据保存一个季度。
4、备份数据应该严格管理,妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
5、数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。
6、一旦发生数据丢失或数据破坏等情况,要由系统管理员进行备份数据恢复,以免造成不必要的麻烦或更大的损失。
(1)全盘恢复一般应用在服务器发生意外灾难导致数据丢失、系统崩溃或是有计划的系统升级、系统重组等;
(2)个别文件数据恢复一般用于恢复受损的个别文件,或者在全盘恢复之后追加增量备份的恢复,以得到最新的备份。
7、各级信息技术管理部门必须定期检查保存备份数据能否正常使用,需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后,方可刻录光盘。
八、密码管理制度
(一)、 网络服务器密码口令的管理
1.服务器和网络设备的管理账号密码,由网络管理员持有,实行定期轮换制度,最长有效期不超过90天。
2.更换服务器与网络设备密码时必须执行密码备案制度,以防遗失密码,同时告知主管领导备案密码。
3.用户级密码如:网站、数据库系统、网站信息管理系统等用户帐号必须专人专号,不得互相泄露密码。不同级别用户间不得交换帐号使用,特殊情况须报告网络管理员处理。
4.公共帐号,如公共FTP等不能向中心以外人员泄露,对外传送文件必须使用临时FTP。
5.如发现密码及口令有密迹象,系统管理员要立刻报告部门负责人,严查泄露源头,同时更换密码。
(二)、 用户密码及口令的管理
1.对于要求重新设定密码和口令的用户,用户必须与系统管理员商定密码及口令,由系统管理员备案后操作。
2.公共帐号密码变更,必须通知到相关部门。
3.如果网络提供用户自我更新密码及口令的功能,用户应谨慎修改密码,修改后必须牢记密码。
九、信息安全责任制
(一)计算机安全工作制度体系的重点是规范内部人员行为和健全内部制约机制,要根据不断变化的情况,及时对计算机安全制度进行补充和完善,逐步形成完整的、科学的计算机安全工作制度体系。
(二)、基于信息系统网络管理任务的强化以及安全的动态特性,要求计算机信息系统加强对要害岗位人员在安全方面的管理,实行责权分配。
(三)、要害岗位人员上岗前必须进行审查和业务技能考核,并进行必要的安全教育和培训,合格者方能上岗。
(四)、要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定,承担相应岗位安全责任。
(五)、系统管理员的安全职责是对所辖范围的计算机系统问题负责,对计算机系统安全策略、计划和事件处理程序的制定,参与计算机安全建设和运营方案的制定,负责系统的运行管理、实施系统安全细则,严格用户权限管理,记录系统安全事项,对进行系统操作的其他人员予以安全监督。及时解除系统故障,不得擅自改变系统功能,不得安装与系统无关的其它程序,发现漏洞及时处理。
(六)、操作人员的安全职责是接受系统管理员的指导和监督,及时向系统管理员报告系统各种异常事件,严格执行系统操作规程和运行安全管理制度
(七)、重要网络设备应放在主机房内,其他人员不得对网络设备进行任何操作。
(八)、内部网络的所有计算机设备,不得直接与国际互联网相联接,必须实行物理隔离。
(九)、定期进行主机设备的例行保养和预防性检修,制定主机设备故障维修规程并严格执行,重大故障应注意保卫现场,进行应急处理关立即报告。
(十)、必须按技术规程进行系统和用户数据备份;系统和用户数据必须双备份,异地存放。关键系统应有灾难数据备份。
(十一)、应建立业务系统正常调帐规程,并严格按规程操作,确保资金安全。
(十二)、必须有计算机病毒防范措施,有计算机预防和清除病毒和软件或硬件产品。(十三)、各科室要加强计算机安全教育,宣传计算机犯罪的危害,提高全员计算机安
全防范意识和法纪观念,自觉维护计算机安全。
十、安全事件报告和处置管理制度及应急处置预案
(一)、信息网络安全事件定义
1、网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和******内容的信息及损害国家声誉的谣言。
2、校园网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除。
3、在网站上发布的内容违反国家的法律法规、侵犯知识版权,已经造成严重后果。
(二)、网络安全事件应急处理机构及职责
1、设立信息网络安全事件应急处理指挥部,负责信息网络安全事件的组织指挥和应急处置工作。总指挥由中心主要负责人担任,副总指挥由分管主任担任,指挥部成员各部门负责人组成。
2、领导机构
总指挥
副总指挥
3、工作机构
网络监控组:网络监控的日常工作主要由网站管理部负责,应急处置预案启动后网络监控工作由网站管理部、技术部共同负责,协同工作。
技术侦查组:由技术部牵头,网站管理部提供协助,进行信息网络安全事件的调查取证等工作。应急处置预案启动后,网站管理部和技术部协同工作。
宣传外联组:由综合部负责,主要负责监督网站建设和管理,及网络安全宣传等工作。应急处置预案启动后承担对外宣传和外联工作。
应急响应组:由网站管理部牵头,技术部们提供技术支持,负责对信息网络安全事件紧急处置等工作,及时断开连接、指导采取有关保护措施等。
(三)、网络安全事件报告与处置
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导决定是否启动该预案,一旦启动该预案,有关人员应及时到位。
网络监控组在得到技术侦查组的确认后应及时向当地公安机关报案。
技术侦查组应在事件发生后24小时内写出事件书面报告报指挥部。报告应包括以下内容:事件发生时间、地点、单位、事件内容,涉及计算机的IP地址、管理人、操作系统、应用服务,损失,事件性质及发生原因,事件处理情况及采取的措施;事故报告单位/人、报告时间等。
宣传外联组负责事件的宣传和报道等工作,并承担国内其他重要新闻网站工作联系,防止事态通过网络在国内蔓延。
网络监控组进入应急处置工作状态,对相关事件进行跟踪,密切关注事件动向,协助调查取证。
应急处置小组阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作。
有关违法事件移交公安机关处理。
十一、教育培训制度
为提高我中心人员的安全素质,保证中心网络的高校、稳定运行,特制定如下安全教育培训制度:
1、组织全体人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高全体人员共同维护网络安全的警惕性和自觉性。
2、定期对有关的网络管理人员工进行安全教育和培训,使他们自觉遵守《计算机信息网络国际互联网安全保护管理办法》,并具备一定的网络安全知识。
3、不定期地邀请上级有关专业人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防范能力。