市政府办公室信息安全保密管理制度[精选].doc

《市政府办公室信息安全保密管理制度[精选].doc》由会员分享，可在线阅读，更多相关《市政府办公室信息安全保密管理制度[精选].doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、此资料由网络收集而来，如有侵权请告知上传者立即删除。资料共分享，我们负责传递知识。市政府办公室信息安全保密管理制度篇一：信息安全保密管理制度 信息安全保密管理制度 第一章 总则 第一条 信息安全保密工作是公司运营与发展的基础，是保障客户利益的基础，为给信息安全工作提供清晰的指导方向，加强安全管理工作，保障各类系统的安全运行，特制定本管理制度。 第二条 本制度适用于分、支公司的信息安全管理。 第二章 计算机机房安全管理 第三条 计算机机房的建设应符合相应的国家标准。 第四条 为杜绝火灾隐患，任何人不许在机房内吸烟。严禁在机房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火装置的性能、特点

2、，熟练使用机房配备的灭火器材。机房消防系统白天置手动，下班后置自动状态。一旦发生火灾应及时报警并采取应急措施。 第五条 为防止水患，应对上下水道、暖气设施定期检查，及时发现并排除隐患。 第六条 机房无人值班时，必须做到人走门锁；机房值班人员应对进入机房的人员进行登记，未经各级领导同意批准的人员不得擅自进入机房。 第七条 为杜绝啮齿动物等对机房的破坏，机房内应采取必要的防范措施，任何人不许在机房内吃东西，不得将食品带入机房。 第八条 系统管理员必须与业务系统的操作员分离，系统管理员不得操作业务系统。应用系统运行人员必须与应用系统开发人员分离，运行人员不得修改应用系统源代码。 第三章 计算机网络安

3、全保密管理 第九条 采用入侵检测、访问控制、密钥管理、安全控制等手段，保证网络的安全。 第十条 对涉及到安全性的网络操作事件进行记录，以进行安全追查等事后分析，并建立和维护“安全日志”，其内容包括： 1、记录所有访问控制定义的变更情况。 2、记录网络设备或设施的启动、关闭和重新启动情况。 3、记录所有对资源的物理毁坏和威胁事件。 4、在安全措施不完善的情况下，严禁公司业务网与互联网联接。 第十一条 不得随意改变例如IP地址、主机名等一切系统信息。第四章 应用软件安全保密管理 第十二条 各级运行管理部门必须建立科学的、严格的软件运行管理制度。 第十三条 建立软件复制及领用登记簿，建立健全相应的监

4、督管理制度，防止软件的非法复制、流失及越权使用，保证计算机信息系统的安全； 第十四条 定期更换系统和用户密码，前台（各应用部门）用户要进行动态管理，并定期更换密码。 第十五条 定期对业务及办公用PC的操作系统及时进行系统补丁升级，堵塞安全漏洞。 第十六条 不得擅自安装、拆卸或替换任何计算机软、硬件，严禁安装任何非法或盗版软件。 第十七条 不得下载与工作无关的任何电子文件，严禁浏览黄色、反动或高风险等非法网站。 第十八条 注意防范计算机病毒，业务或办公用PC要每天更新病毒库。 第五章 数据安全保密管理 第十九条 所有数据必须经过合法的手续和规定的渠道采集、加工、处理和传播，数据应只用于明确规定的

5、目的，未经批准不得它用，采用的数据范围应与规定用途相符，不得超越。第二十条 根据数据使用者的权限合理分配数据存取授权，保障数据使用者的合法存取。 第二十一条 设置数据库用户口令，并监督用户定期更改；数据库用户在操作数据过程中，不得使用他人口令或者把自己的口令提供给他人使用。 第二十二条 未经领导允许，不得将存储介质（含磁带、光盘、软盘、技术资料等）带出机房，不得随意通报数据内容，不得泄露数据给内部或外部无关人员。 第二十三条 严禁直接对数据库进行操作修改数据。如遇特殊情况进行此操作时，必须由申请人提出申请，填写数据变更申请表，经申请人所属部门领导确认后提交至信息管理部，信息管理部相关领导确认后

6、，方可由数据库管理人员进行修改，并对操作内容作好记录，长期保存。修改前应做好数据备份工作。 第二十四条 应按照分工负责、互相制约的原则制定各类系统操作人员的数据读写权限，读写权限不允许交叉覆盖。 第二十五条 一线生产系统和二线监督系统进行系统维护、复原、强行更改数据时，至少应有两名操作人员在场，并进行详细的登记及签名。 第二十六条 对业务系统操作员权限实行动态管理，确保操作员岗位调整后及时修改相应权限，保证业务数据安全。 附件： 数据变更申请表 篇二：信息安全管理办法-政府部门要求 信息安全管理办法 目 录 1 信息安全组织管理 . 1 2 日常信息安全管理 . 1 4.1 基本要求 . 1

7、4.2 人员管理 . 1 4.3 资产管理 . 2 4.4 采购管理 . 2 4.5 外包管理 . 2 4.6 经费保障 . 2 3 信息安全防护管理 . 3 5.1 基本要求 . 3 5.2 网络边界防护管理 . 3 5.3 信息系统防护管理 . 3 5.4 门户网站防护管理 . 3 5.5 电子邮件防护管理 . 3 5.6 终端计算机防护管理 . 4 5.7 存储介质防护管理 . 4 4 信息安全应急管理 . 4 5 信息安全教育培训 . 4 6 信息安全检查 . 51 信息安全组织管理 本项要求包括： a) 应加强领导，落实责任，完善措施，建立健全信息安全责任制和工作机制； b) 应明确

8、一名主管领导，负责本单位信息安全管理工作，根据国家法律法规有关要求，结合实际组织制定信息安全管理制度，完善技术防护措施，协调处理重大信息安全事件； c) 应指定一个机构，具体承担信息安全管理工作，负责组织落实信息安全管理制度和信息安全技术防护措施，开展信息安全教育培训和监督检查等； d) 各内设机构应指定一名专职或兼职信息安全员，负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心，掌握基本的信息安全知识和技能。 2 日常信息安全管理 基本要求 本项要求包括： 2.1 a) 应制定信息安全工作的总体方针和目标，明确信息安全工作的主要任务和原则； b) c) 应

9、建立健全信息安全相关管理制度； 应加强对人员、资产、采购、外包等的安全管理，并保证信息安全工作经费投入。 2.2 人员管理 本项要求包括：a) 应建立健全岗位信息安全责任制度，明确岗位及人员的信息安全责任。重点岗位的计算机使用人员应签订信息安全与保密协议，明确信息安全与保密要求和责任； b) 应制定并严格执行人员离岗离职信息安全管理规定，人员离岗离职时应终止信息系统访问权限，收回各种软硬件设备及身份证件、门禁卡等，并签署安全保密承诺书； c) 应建立外部人员访问机房等重要区域审批制度，外部人员须经审批后方可进入，并安排本单位工作人员现场陪同，对访问活动进行记录并留存； d) 应对信息安全责任事

10、故进行查处，对违反信息安全管理规定的人员给予严肃处理，对造成信息安全事故的依法追究当事人和有关负责人的责任，并以适当方式通报。 2.3 资产管理 本项要求包括： a) b) c) 应建立并严格执行资产管理制度； 应指定专人负责资产管理； 应建立资产台账（清单），统一编号、统一标识、统一发放； d) e) 应及时记录资产状态和使用情况，保证账物相符； 应建立并严格执行设备维修维护和报废管理制度。 采购管理 本项要求包括： 2.4a) 应采购安全可控的信息技术产品和服务。采购基于新型技术的产品和服务或者国外产品和服务时，应进行必要性和安全性评估； b) 办公用计算机、服务器等设备的更新换代中，应采

11、购配备安全可控CPU、操作系统等的关键软硬件； c) 公文处理软件、信息安全产品等应采购国产产品，信息安全产品应经过国家统一认证； d) 接受捐赠的信息技术产品，使用前应进行安全测评，并与捐赠方签订信息安全与保密协议； e) 不得采购社会第三方认证机构提供的信息安全管理体系认证服务； f) 信息系统数据中心、灾备中心不得设立在境外。 外包管理 本项要求包括： 2.5 a) b) 应建立并严格执行信息技术外包服务安全管理制度； 应与信息技术外包服务提供商签订服务合同和信息安全与保密协议，明确信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服

12、务过程中产生的任何资产，不得以服务为由强制要求委托方购买、使用指定产品； c) 信息技术外包服务人员应为中国公民，现场服务过程中应安排专人陪同，并详细记录服务过程；d) 外包开发的系统、软件上线应用前应进行安全测评，要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务； e) f) 信息系统运维外包不得采用远程在线运维服务方式； 应将信息技术外包服务安全管理纳入年度信息安全检查范围。 2.6 经费保障 本项要求包括： a) 应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算； b) 应严格落

13、实信息安全经费预算，保证信息安全经费投入。 3 信息安全防护管理 基本要求 开展信息化建设应按照同步规划、同步建设、同步运行3.1 的原则，同步规划、设计、建设、运行、管理信息安全设施，建立健全信息安全防护体系。 3.2 网络边界防护管理 本项要求包括：篇三：信息安全保密管理制度20200116 信息安全保密管理制度 为保守秘密，防止泄密问题的发生，根据中华人民共和国保守国家秘密法和国家保密局计算机信息系统保密管理暂行规定、国家保密局计算机信息系统国际联网保密管理规定，结合本单位实际，制定本制度。 一、计算机网络信息安全保密管理规定 (1)为防止病毒造成严重后果，对外来光盘、软件要严格管理，使

14、用之前先进行杀毒。 (2)服务器重要严禁将计算机设定为网络共享，严禁将机内文件设定为网络共享文件。 (3)为防止黑客攻击和网络病毒的侵袭，并要定时对杀毒软件进行升级。 (4)禁止将保密文件存放在网络硬盘上。 (5)禁止将涉密办公计算机擅自联接国际互联网。 (6)保密级别的材料再可通过电子信箱传递和报送时必须加密。(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络，必须实行物理隔离。 (8)要坚持“谁上网，谁负责”的原则，各部门要有一名领导负责此项工作，信息上网必须经过所领导严格审查，并经主管领导批准。 (9)国际互联网必须与涉密计算机系统实行物理隔离。 (10)在与国际互联网相连的

15、信息设备上不得存储、处理和传输任何涉密信息。 (11)应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。 (12)涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播公司秘密信息。使用电子函件进行网上信息交流，应当遵守公司保密规定，不得利用电子函件传递、转发或抄送公司秘密信息。 二、涉密存储介质保密管理规定 (1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，存放在本单位指定的密码柜中。 (3)需

16、归档的涉密存储介质，应及时归档备份。 (4)各部门负责管理其使用的各类涉密存储介质，应当根据有关规定确定密级及保密期限，按相应密级的文件进行分密级管理，严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续，不能降低密级使用。 (5)涉密存储介质的维修应保证信息不被泄露，由各涉密部门负责人负责。需外送维修的，要经领导批准，到公司保密主管部门指定的维修点维修，并有保密人员在场。 (6)不再使用的涉密存储介质应由使用者提出报告，由所领导批准后，交保密办公室负责销毁。 三、计算机维修维护管理规定 (1)涉密计算机和存储介质发生故障时，应当向所信息中心提出维修申请，经批准后到指定维修

17、地点修理，一般应当由公司内部维修人员实施，须由外部人员到现场维修时，整个过程应当由有关人员全程陪同，禁止外来维修人员读取和复制被维修设备中的涉密信息，维修后应当进行保密检查。 (2)凡需外送修理的涉密设备，必须经保密小组和主管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。 (3)高密级设备调换到低密级单位使用，要进行降密处理，并做好相应的设备转移和降密记录。 (4)由公司专人负责办公室计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。 四、用户密码安全保密管理规定 (1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。 (2)机密级涉密计

18、算机的密码管理由涉密科室负责人负责，秘密级涉密计算机的密码管理由使用人负责。 (3)密码必须由数字、字符和特殊字符组成，秘密级计算机设置的密码长度不能少于8个字符，秘密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示公司保密负责人认可。 五、涉密电子文件保密管理规定 (1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、程序代码、图纸、程序、数据、声像资料等。 (2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。 (3)各涉密部门自用信息资料由本部门管理员定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。 (4)各部门要对备份电子文件进行规范的登记管理，备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。 (5)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。9