5信息化安全管理制度.docx

信息化安全治理制度第一章 总则第一条为标准信息化安全治理工作，确保盘锦市烟草专卖局公司【以下简称市局公司】信息系统与网络资源在可控范围内安全稳定的运行，保护现有的网络、数据 信息的安全，特制定制定本制度。其次条通过制定本制度形成一个动态以预防为主的信息安全治理方式，通过实时的监控和分析准时觉察系统潜 在的安全问题和风险，准时实行相应的措施以避开问题的发 生，最大限度地削减安全大事带来的风险和损失，保证信息 系统的使用安全。第三条 通过安全治理不但能够保障己有的安全系统得到正确、有效的使用，而且能够实际检验安全策略的使用 状况，准时提出的安全需求，以便准时进展升级改进或实 行的安全保护措施。第四条 广泛开展信息安全教育，进展信息、安全检查，保证系统安全运行。其次章 适用范围第五条本制定适用于对组成烟草信息网络的各种软、硬件设备的综合安全治理，对安全治理中的各项具体工作进 行指导。1第六条治理对象：1. 硬件设备：包括计算机主机及外设、网络设备、存储 设备以及其它关心设备。2. 物理环境：包括机房场地环境、设备修理、存储环境等3. 通信线路：包括专用的通讯线路、网络布线、用于数据通讯的 线等。4. 软件系统：包括网络设备的配置、操作系统、应用软 件以及其它各相关的应用系统等。5. 文档资料：包括设备及系统的使用说明及操作指南、 参数配置表、运行操作记录、故障维护处理记录、电子数据 及文档等。第三章工作职责第七条信息中心负责市局公司信息系统运行状况进展监视检查。第九条保障市局公司信息系统安全运行，负责业 务数据及其它重要数据的备份治理，向省局信息中心上报信息、系统运行安全报告。第十条负责安全产品的使用、维护、升级，全部安全 产品的使用，必需符合省局信息中心的审批和授权，不得擅 自选购和私自试用，负责本单位的安全教育和安全治理培训。2第四章 工作程序第十一条软件系统安全：软件系统包括系统软件及应用软件。1. 系统软件指操作系统软件和数据库系统软件:（1） 系统软件应使用正版软件，其选用应充分考虑软件的安全性、牢靠性、稳定性和强健性，并报上一级主管部 门备案。（2） 系统软件必需具备身份验证功能、访问掌握功能、 故障恢复功能、安全保护功能、安全审计功能、分权制约的权限掌握功能及加密功能。2. 应用软件指各业务治理信息、系统、决策支持系统、 电子商务系统、办公自动化系统及其他软件应用系统等，应 用软件系统必需满足软件标准的有关要求。第十二条 各级信息中心、部门在软件系统的安全治理中的作为：1. 系统运行前严格审查实施打算的安全性，审查实施计 划流程是否符合整体安全策略，是否制订相应应急措施等；2. 检查系统运行过程中相关部门安全治理规定的执行 状况；3. 系统运行完毕后，组织比照实施打算评价实施效果， 对整体安全体系的影响进展相应评估。34. 由相关技术部门供给系统运行的安全报告。5. 当系统调试完毕，应建立系统维护档案。假设系统出 现变更，应当重对该系统作安全评估，调整安全配置，并 更相应的系统档案，必要的时候修正整体的安全策略。第十三条环境安全1. 机房建设必需符合国家行业建设标准和标准。2. 建立并严格执行机房治理制度，无关人员未经安全责 任人批准严禁进入机房。依据有关机房治理方法的要求，各 级安全治理部门对其机房环境、机房进出、机房设施、机房 物品的治理定期进展安全检查。3. 机房工作人员必需严格遵守各项操作规程，定期检查 安全保障设备，确保系统安全运行及设备的安全。4. 对主机房进展开机、关机等日常的操作，建立操作程 序，并建立完整的设备运行日志、操作记录及其它与安全有 关的资料。第十四条 硬件设备安全1. 对主要的信息财产按安全等级进展适当的分类和标志，并实行相应的安全保护措施，实行安全等级保护。对于 处理与敏感、有价值或重要的组织财产相关的系统应基于安 全需求和风险评估进展附加的掌握。2. 对系统的相关计算机和数据通信设备及其连接关系， 要编制与实际相符的拓扑图，并归档保存。43. 业务系统和网络的关键设备应有备份策略。对业务系 统设备和通信线路进展定期的检测和维护，确保随时处于可 用状态。4. 已开通运行的卫星通信端站，未经上级治理部门批准，不得关机，不得进展中断性测试，严禁擅自转变设备参 数。5. 对路由器、交换机等通讯设备必需实行严格的治理措 施，设专人治理，未经批准不得随便移动和接入。6. 对信息系统的计算机实体资源和定位状况要进展逐 项编号登记和建档，未经批准不得随便转变。7. 定期对硬件设备进展专业维护保养，如有故障，应组 织专业人员进展处理。8. 应确定用户对无人值守的设备进展适当的保护。安装 在用户区域的设备，如工作站或文件效劳器，需要特别的保 护，以防在无人看管时患病未授权的访问。第十五条 软件应用安全1. 应用软件必需经过功能测试、试运行，确认到达设计 要求后，方可正式投入使用，测试及试运行有关文档纳入文 档治理。2. 市局公司各部门必需使用合法的软件，未经信息 中心批准的软件，不得在业务系统中使用.3. 必需明确软件的使用范围和使用权限，实行有效措5施，防止对应用软件的非法修改；4. 应用软件应依据岗位状况、人员配置等状况进展不同 级别的权限掌握；5. 应用软件本身必需具备操作日志和治理日志功能，以 利于事后跟踪查询人员使用状况；6. 软件使用人员应经过适当的操作培训和安全教育；7. 建立应用软件文档治理制度、版本治理制度及软件分 发制度，防止软件的盗用、误用、流失及越权使用；8. 市局公司各部门必需依据信息中心统一部署，安 装防病毒、网络入侵检测软件等监测、检查类安全产品。第十六条系统操作与运行安全1.市局公司各部门必需依据有关操作治理的要求， 标准操作流程：进展访问掌握，实行严密的安全措施防止无 关用户进入系统，确保应用系统的安全、稳定、持续运行。 2.企业内部全部的机器应当供给口令保护功能；用户在设置和使用口令时，应遵循好的安全习惯和口令治理的要求。操作人员应有互不一样的用户名，定期更换操作口令。 严禁操作人员泄露本人的操作口令。3. 数据库治理系统和关键网络设备如路由器、防火墙等的口令必需由专人掌管，并要求定期更换。按分级治理、 共同负责的原则，由不同人员掌管效劳器操作系统口令、数据库治理系统口令和网络治理口令。假设用户需要访问多种6效劳或平台，需要多个口令，应建议他们使用单一的有质量 的口令，并对储存口令供给合理的保护。4. 严格按岗位职责设置各岗位操作权限，各类操作系统 的系统操作权限设置应经信息部门负责人批准并备案。重要 岗位的登录过程应增加必要的限制措施。敏感信息、访问必 须通过身份授权认证。5. 在正常的系统运行中，全部对业务系统的实质性操作 必需由操作员按权限掌握要求执行，其他人员不得直接对系 统或应用进展实质性操作。第十七条 操作系统、数据库系统安全治理1. 系统选用：烟草信息系统工程所选用的操作系统、 数据库治理系统必需具备与其用途相适应的安全性能；2. 口令使用治理：要严格加强口令保密制度的执行，杜 绝使用公开或缺省的口令和用户名称，对关键用户的口令要 承受双人监护、异地保存等方式进展治理，严防个人单独以 关键用户进入系统；3. 系统运行监控治理：要加强系统日常的巡查，准时监 控用户使用系统资源状况，对生疏用户要准时查清来源，并 加以相应处理，对越权用户要查明越权缘由，并依据实际情 况限制其使用权限；4. 系统备份治理：准时做好系统动、静态数据的备份工 作，以备系统消灭意想不到的故障。7第十八条 计算机病毒防范必需建立计算机病毒防范制度，系统治理员应有较强的 病毒防范意识，定期进展病毒检测，准时更软件版本和漏 洞补丁，觉察问题准时解决。具体措施如下：1. 要求全部工作站全部安装防病毒软件；2. 为防止原始设备计算机病毒的侵害对购进的计算 机及设备，要组织专业人员检查前方可安装运行；3. 软盘、光盘等移动存储媒体，以及外来的软件等，要 先进展计算机病毒检查，确认无计算机病毒后才可以使用； 严禁使用未经清查的、来历不明的软盘、光盘等；4. 重要计算机要定期进展计算机病毒检查，系统中的程 序要定期进展比较测试和分析；5. 在接入 Internet 网时，严格掌握下载软件，慎重接收电子邮件；在接收电子邮件时，不随便翻开邮件附件；6. 关键效劳器要尽量做到专机专用，特别是具有读写权 限、身份确认功能的认证效劳器肯定要专用；对共享的网络 文件效劳器，应特别加以维护，掌握读写权限，尽量不在服 务器上运行无关软件程序；7. 系统的重要数据资源要实行措施加以保护；8. 跟踪计算机病毒进展的最动态，准时了解计算机病 毒，特别是有严峻破坏力的计算机病毒的爆发日期或爆发条 件，准时通知各部门进展防范；89. 随时留意计算机的各种特别现象，一旦觉察，应马上 用查毒软件认真检查；10. 常常更与升级防杀计算机病毒软件的版本；11. 对重点岗位的计算机要定点、定时、定人作查毒杀 毒巡检；12. 当消灭计算机病毒传染迹象时，马上隔离被感染的系统和网络，并进展处理，不应带“毒”连续运行，并同时 上报信息中心，由信息中心派人处理。13. 承受省经济信息中心承受定期常规检查与特别日期专项检查、集中检查与分散检查相结合方式，对计算机病毒 防范治理制度的实施状况进展检查。第十九条网络安全1. 建网络、网络改造、网络变更或系统在投入使用 前，必需依据标准的规定制订相对应的网络安全防范措施， 并对建网络或改造后网络实施安全检验，未经检验的建 网络或改造后网络不允许投入使用。2. 为了保证全省行业网络的安全，全省行业计算机网络 要严格掌握 Internet 出口数量，各单位和个人不得擅自利用行业网络联入 Internet 。市局公司可以依据需要建设Internet 出口，但必需符合以下要求：3.4.5 点3. Internet 出口必需实行与行业内联网的规律隔离，其安全方案由省局信息中心统一制定和审批；94. 有 Internet 出口的单位必需实行严格的安全保护措施，至少配置放火墙和入侵检测措施，对 Internet 供给公共效劳的效劳器如 WEB 效劳等应实行与行业内联网规律隔离的设置，不得允许来自 Internet 的用户访问行业网络；5. 不得承受一台路由器同时与 Internet 和行业内联网进展互联。6. 制止建立面对行业外的电子公告系统；建立面对行业 内的电子公告系统，须报省局信息中心批准和备案，并建立 用户登一记和信息、治理制度；7. 制止联入行业网络的计算机通过调制解调器拨号等方式登录到其他网络，如业务确实需要，需经同级保密委员 会及信息、网络主管部门批准。8. 存放和处理涉及国家隐秘信息、的系统和网络要与行 业计算机网络和互联网实行严格的物理隔离，涉密系统的建 设要符合国家保密局公布的相关标准和要求。9. 不得将行业网络与其他网络直接连通，行业网络在与外部网络进展连接时，在外联网的交界处和各级政府机构， 如银行、税务等互联的接口处，必需供给相应的安全保护措施，并制定严密的访问权限。10. 内联网地址和域名的规划、安排、监视和实施由省信息中心统一规划、组织实施，各部门必需严格遵守，不得 擅自变更，以确保行业计算机网络的互联互通。1011. 行业网络应当只开放与业务相关的必要的效劳端口。12. 建立卫星设备治理制度、日常维护制度、技术资料治理制度等，加强卫星通信的监管，防止垃圾信息上卫星通 信网，保证卫星通信网的安全稳定运行。13. 其它未进展具体规定的网络安全治理详见 网络治理 一章。其次十条 人员安全治理1. 全省行业信息安全技术人员应具备大专以上学历，具 有必备的计算机理论学问和相应的专业技术水平、良好的职 业道德和认真负责的效劳意识。2. 计算机系统治理员必需生疏、把握本单位信息系统的 资源配置，运行状况，并建立具体档案。3. 关键技术岗位应进展严格审查并保持人员相对稳定， 离岗时必需严格办理离岗手续，明确其离岗后的保密义务， 退还全部技术资料并马上更换信息系统的操作口令。4. 加强对信息安全技术人员进展业务培训和技术培训， 实行持证上岗制，不合格或未参与培训者不得上岗。5. 加强对信息系统使用人员进展系统安全教育，提高使 用人员有关信息系统安全治理法律、法规意识和应用水平。其次十一条安全责任治理1. 行业网络的上网单位要保证网络运行安全、牢靠，做11到实体安全、运行安全、数据安全和治理安全。各部门必需 遵守其他相关法律法规的规定，计算机网络和信息安全系统 的建设必需符合安全要求，自觉维护国家的安全和稳定，自 觉保守国家、行业和单位的隐秘。2. 各部门应建立安全责任制度 , 指定安全治理部门和配备必要的安全治理和技术人员，相应治理和维护人员必需 对本人接办的各项事务的处理过程负责，确保行业计算机网 络和信息、系统的安全运行。3. 各类人员必需担当相应信息系统安全治理责任，并严 格遵守有关规定，自觉维护辽宁烟草信息系统安全。4. 依据国家保密法规，建立健全信息、公布与上网信息、 保密审批制度，审查工作由同级保密工作机构或业务工作机构依据有关特地规定负责执行。制止绝密级的信息上网传输，属国家隐秘的信息、上网，需经同级保密委员会同意， 并不得传输到行业网络之外，上网信息的保密治理坚持“谁 上网谁负责”，的原则。5. 违规惩罚：对于违反本规定的单位和个人，情节较轻者赐予警告，并做出书面检查；情节严峻的，将赐予停顿联网、限期整改的惩罚，并追究主要领导的责任；构成犯罪的， 交由司法机关依法追究刑事责任。第五章附则12其次十二条本治理制度自公布之日起执行。13