第1篇 信息、管理信息概述安全管理信息系統(tǒng)
一、信息的概念
“信息”是個古老而又現(xiàn)代化的概念?!靶畔ⅰ边@個詞到現(xiàn)在還沒有公認的定義,國內(nèi)外關于“信息”的定義說法有39種之多,尚處于可領會而不易言傳的階段。
客觀世界的三大要素是物質(zhì)、能量和信息。人類認識物質(zhì)和能量要早一些。50年代以來,由于科學技術的進步,特別是微電子學的發(fā)展,使得信息與知識的傳遞、知識與情報的交流,無論在空間和時間上都達到空前的規(guī)模。
什么是信息?一般認為信息是客觀存在的一切事物通過載體所發(fā)生的消息、情報、指令、數(shù)據(jù)、信號和所包含的一切可傳遞和交換的知識內(nèi)容。信息是表現(xiàn)事物特征的一種普遍形式,或者說信息是反映客觀世界各種事物的物理狀態(tài)的事實之組合。不同的物質(zhì)和事物有不同的特征,不同的特征會通過一定的物質(zhì)形式,如聲波、文字、電磁波、顏色、符號、圖像等發(fā)出不同的消息、情報、指令、數(shù)據(jù)、信號。這些消息、情報、指令、數(shù)據(jù)、信號就是信息。信息是自然界、人類社會和人類思維活動中普遍存在的一切物質(zhì)和事物的屬性。
人和動物的大腦通過感覺器官(或儀器)接受外界物質(zhì)和事物發(fā)出的種種消息、情報、指令、數(shù)據(jù)、信號來識別物質(zhì)和事物的存在、發(fā)展和變化。信息交換的范圍很大,包括人與人、人與動物、人與植物、植物與植物、細胞與細胞、物質(zhì)與物質(zhì)之間發(fā)生的信息交換與傳遞。
知識是一種特定的人類信息,是整個信息的一部分。在一定的歷史條件下,人類通過有區(qū)別、有選擇的信息,對自然界、人類社會、思維方式和運動規(guī)律進行認識與掌握,并通過大腦的思維使信息系統(tǒng)化,形成知識。知識是存在于一個個體中的有用信息。這是人類社會實踐經(jīng)驗的總結,是人的主觀世界對客觀世界的真實反映和理論概括。所以,社會實踐是知識的源泉,信息是知識的原料,知識是經(jīng)過系統(tǒng)化的信息。智能是為了達到某些特定的目的而運用這些信息的能力。
人類社會的進步,就是人們根據(jù)獲得的信息去感知世界、認識世界、改造世界。也是創(chuàng)造知識,利用知識、積累知識、發(fā)展知識的過程。
二、信息論的產(chǎn)生和發(fā)展
人類利用信息的歷史可以追溯到遠古時代。結繩記事和2700多年前我國周朝幽王時期用烽火為號等都是存儲信息、傳遞信息和利用信息的原始形式。到19世紀末葉,光通訊被有線電通訊所取代,爾后又出現(xiàn)了無線電通訊。通訊手段的日益革新,意味著傳遞信息的方法越來越改善,信息的重要性也就越來越突出。與此同時,研究信息的理論也就產(chǎn)生了。
現(xiàn)代信息論是從本世紀20年代奈奎斯特和哈特萊的研究開始的。他們最早研究了通訊系統(tǒng)傳輸信息的能力,并試圖度量系統(tǒng)的信息容量。但是,信息論真正作為一門新的學科,卻是在本世紀40年代后期才形成的?!?8年美國貝爾電話研究所的數(shù)學家仙農(nóng)發(fā)表了《通訊中的數(shù)學問題》,1949年又發(fā)表了《噪聲中通訊》,從數(shù)學上研究了定量描述信息的方法以及如何盡快傳遞、處理信息的原理,奠定了信息論的基礎。從此信息論作為一門科學在自然小學中有了自己的地位,仙農(nóng)就成為信息論的奠基人。
信息論是一門用數(shù)理統(tǒng)計方法來研究信息的度量、傳遞和變換規(guī)律的科學,它主要是研究通訊和控制系統(tǒng)中普遍存在著的信息傳遞的共同規(guī)律以及研究最佳解決信息的獲取、度量、變換、儲存、傳遞等問題的基礎理論。
第2篇 區(qū)二中網(wǎng)絡與信息安全管理應急預案
二中網(wǎng)絡與信息安全管理應急預案
為確保網(wǎng)絡正常使用,充分發(fā)揮網(wǎng)絡在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務院《互聯(lián)網(wǎng)信息服務管理辦法》和有關規(guī)定,特制訂本預案,妥善處理危害網(wǎng)絡與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。
一、危害網(wǎng)絡與信息安全突發(fā)事件的應急響應
1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等
網(wǎng)絡管理中心應立即切斷局域網(wǎng)與外部的網(wǎng)絡連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。
2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務器上的,學校應立即切斷與外部的網(wǎng)絡連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關閉租用空間。
3.如在外部可訪問的網(wǎng)站、郵件等服務器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務器的網(wǎng)絡連接,使得外部不可訪問。防止有害信息的擴散。
4.采取相應的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。
5.在確保安全問題解決后,方可恢復網(wǎng)絡(網(wǎng)站)的使用。
二、保障措施
1.加強領導,健全機構,落實網(wǎng)絡與信息安全責任制。建立由主管領導負責的網(wǎng)絡與信息安全管理領導小組,并設立安全專管員。明確工作職責,落實安全責任制;bbs、聊天室等交互性欄目要設有防范措施和專人管理。
2.局內(nèi)網(wǎng)絡由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設備,擅接終端設備。
3.加強安全教育,增強安全意識,樹立網(wǎng)絡與信息安全人人有責的觀念。安全意識淡薄是造成網(wǎng)絡安全事件的主要原因,各校要加強對教師、學生的網(wǎng)絡安全教育,增強網(wǎng)絡安全意識,將網(wǎng)絡安全意識與政治意識、責任意識、保密意識聯(lián)系起來。特別要指導學生提高他們識別有害信息的能力,引導他們正健康用網(wǎng)。
4.不得關閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。
第3篇 zx校衛(wèi)生、安全管理突發(fā)事件信息員職責
中心校衛(wèi)生、安全管理突發(fā)事件信息員職責
1.負責學校衛(wèi)生、安全管理中突發(fā)事件的信息工作,包括突發(fā)事件信息的收集、整理與核實和向上級有關部門報告、反饋相關信息。
2.學校發(fā)生的衛(wèi)生、安全突發(fā)事件,要按規(guī)定在第一時間內(nèi)上報,必要時應連續(xù)報道事態(tài)的進展、處置、原因等重要情況。
3.對領導參與解決處理突發(fā)事件的講話、意見,要及時整理上報。
4.負責對衛(wèi)生、安全管理突發(fā)事件的發(fā)生、及時處理整個過程資料的收集。
第4篇 南方醫(yī)院信息與網(wǎng)絡安全保護管理規(guī)定
大學附屬醫(yī)院信息與網(wǎng)絡安全保護管理規(guī)定
第一章 總則
第一條 為了加強對醫(yī)院信息網(wǎng)絡系統(tǒng)的安全保護,促進醫(yī)院信息網(wǎng)絡的應用和發(fā)展,保障醫(yī)院信息網(wǎng)絡系統(tǒng)有序運行,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條 例》、《中華人民共和國計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)管理暫行規(guī)定》、《廣東省計算機信息系統(tǒng)安全保護管理規(guī)定》、《廣東省計算機信息系統(tǒng)安全保護管理規(guī)定實施細則(試行)》和有關法律、法規(guī),結合醫(yī)院實際,制定本規(guī)定。
第二條 本規(guī)定所指的信息網(wǎng)絡系統(tǒng),是指在醫(yī)院信息系統(tǒng)中,由計算機及其相關配套的設備、設施構成,按照系統(tǒng)應用目標和規(guī)定對醫(yī)院信息進行采集、存儲、傳輸、檢索、匯總、加工等處理的人機系統(tǒng)。
第三條 醫(yī)院信息網(wǎng)絡系統(tǒng)管理及安全保護,是為了保障醫(yī)院信息管理系統(tǒng)功能的正常發(fā)揮,保障運行環(huán)境和信息的安全,以維護信息網(wǎng)絡系統(tǒng)的安全運行。
第四條 本規(guī)定適用于醫(yī)院全部上網(wǎng)運行的計算機。
第五條 本規(guī)定適用于全院應用“zz一院信息系統(tǒng)”的所有科室和個人。
第六條 任何科室或者個人不得利用上網(wǎng)計算機從事危害醫(yī)院利益的活動,不得危害醫(yī)院信息網(wǎng)絡系統(tǒng)的安全。
第二章 安全監(jiān)督
第七條 醫(yī)院信息網(wǎng)絡系統(tǒng)的組織管理機構是醫(yī)院信息網(wǎng)絡管理領導小組(簡稱領導小組)。
㈠領導小組由下列人員組成:
組長:院長或主管副院長
副組長:業(yè)務副院長或職能機關領導
成員:院長辦公室主任、醫(yī)務處處長、護理部主任、藥學部主任、信息網(wǎng)絡科科長、醫(yī)務處主管醫(yī)療工作人員和護理部主管護理工作人員各1名、計算機工程技術人員若干名。
㈡領導小組的主要職能和任務:
1、制定醫(yī)院信息系統(tǒng)建設和應用總體規(guī)劃及階段實施計劃,審查和制定系統(tǒng)應用中的工作流程、技術規(guī)范、性能指標、有關人員職責和規(guī)章制度。
2、協(xié)調(diào)解決工程實施和系統(tǒng)應用中的重大問題。
3、組織安排系統(tǒng)建設和應用中的重要活動,如網(wǎng)絡管理、系統(tǒng)配置、人員培訓等。
4、緊急情況下,領導小組可以采取特別措施以維護醫(yī)院信息網(wǎng)絡系統(tǒng)安全。
第八條 信息網(wǎng)絡科是系統(tǒng)建設、應用組織的主要負責部門,是系統(tǒng)運行的保障者,應對所屬人員實行分工負責。信息網(wǎng)絡科應對醫(yī)院信息網(wǎng)絡系統(tǒng)的安全策略和解決方案作出規(guī)劃并組織實施。信息網(wǎng)絡科對信息網(wǎng)絡系統(tǒng)安全保護工作行使下列職責:
1、監(jiān)督、檢查、指導信息網(wǎng)絡系統(tǒng)安全維護工作;
2、查處危害信息網(wǎng)絡系統(tǒng)安全的違章行為;
3、履行信息網(wǎng)絡系統(tǒng)安全工作的其他監(jiān)督職責。
第九條 計算機工程技術人員全面負責信息網(wǎng)絡系統(tǒng)的規(guī)劃、設計、配置,負責系統(tǒng)的調(diào)試、維護、安全管理、人員培訓等具體實施工作。
計算機工程技術人員發(fā)現(xiàn)影響信息網(wǎng)絡系統(tǒng)安全的隱患時,可立即采取各種有效措施予以制止。
計算機工程技術人員在緊急情況下,可以就涉及信息網(wǎng)絡系統(tǒng)安全的特定事項采取特殊措施進行防范。
第三章 安全保護管理
第十條 任何科室和個人不得利用醫(yī)院信息網(wǎng)絡系統(tǒng)制作、復制、傳播和查閱以下信息:
㈠煽動抗拒、破壞憲法和法律、法規(guī)的實施的;
㈡煽動顛覆國家政權,推翻社會主義制度的;
㈢煽動分裂國家、破壞國家統(tǒng)一的;
㈣煽動民族仇恨、民族歧視,破壞民族團結的;
㈤捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
㈥宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
㈦公然侮辱他人或者捏造事實誹謗他人的;
㈧損害國家機關信譽的;
㈨其他違反憲法和法律、行政法規(guī)的。
第十一條 任何科室和個人不得從事下列危害醫(yī)院信息網(wǎng)絡系統(tǒng)安全的活動:
㈠未經(jīng)允許,進入醫(yī)院信息網(wǎng)絡系統(tǒng)或者使用信息網(wǎng)絡系統(tǒng)資源的;
㈡未經(jīng)允許,對信息網(wǎng)絡系統(tǒng)功能進行刪除、修改或者增加的;
㈢未經(jīng)允許,對信息網(wǎng)絡系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加的;
㈣未經(jīng)允許,擅自盜取醫(yī)院相關數(shù)據(jù)或程序代碼的;
㈤故意制作、傳播計算機病毒等破壞性程序的;
㈥其他危害信息網(wǎng)絡系統(tǒng)安全的。
第十二條 信息網(wǎng)絡系統(tǒng)的安全保護
㈠信息網(wǎng)絡系統(tǒng)的建設和應用,應遵守上級主管機關頒發(fā)的行政法規(guī)、用戶手冊和其他有關規(guī)定。
㈡信息網(wǎng)絡系統(tǒng)實行安全等級保護和用戶使用權限劃分,所有訪問信息網(wǎng)絡系統(tǒng)的人員必須按程序報審。
㈢信息網(wǎng)絡系統(tǒng)中心機房應符合國家標準和國家規(guī)定,由信息網(wǎng)絡科作好日常清潔及防干擾工作。
㈣在信息網(wǎng)絡系統(tǒng)設施附近進行房屋維修、改造及其他活動,不得危害信息網(wǎng)絡系統(tǒng)的安全。如無法避免而影響信息網(wǎng)絡系統(tǒng)設施安全的作業(yè),須事先通知信息網(wǎng)絡科,經(jīng)負責人同意并采取保護措施后,方可實施作業(yè)。
㈤信息網(wǎng)絡系統(tǒng)的使用科室和個人都必須遵守計算機安全使用規(guī)定,以及有關的操作規(guī)程和規(guī)章制度。
㈥對信息網(wǎng)絡系統(tǒng)中發(fā)生的問題,使用科室應立即上報信息網(wǎng)絡科。
對計算機病毒和其他危害信息網(wǎng)絡系統(tǒng)安全的數(shù)據(jù)信息的防治工作,由信息網(wǎng)絡科負責處理。
㈧對信息網(wǎng)絡系統(tǒng)軟件、設備、設施的安裝、調(diào)試以及故障排除等項操作由計算機工程技術人員負責。其他任何科室或個人不得自行拆卸、安裝任何軟、硬件設施。
㈨在醫(yī)院信息網(wǎng)絡系統(tǒng)未與外網(wǎng)連接之前,所有連接醫(yī)院信息系統(tǒng)的計算機絕對禁止連接internet網(wǎng)或其他公共網(wǎng)絡。
所有科室及個人不得使用非醫(yī)院指定計算機連接醫(yī)院信息網(wǎng)絡。
(十一)任何科室和個人不得私自架設無線網(wǎng)絡設備和基站。
第十三條 網(wǎng)絡的技術管理
㈠計算機工程技術人員是信息網(wǎng)絡系統(tǒng)技術管理的直接責任者,應以實現(xiàn)系統(tǒng)功能為目的,以滿足用戶需求為宗旨,對網(wǎng)絡系統(tǒng)的操作和維護進行管理。
㈡網(wǎng)絡內(nèi)各類設備的配置,由系統(tǒng)負責人提出配置規(guī)劃和計劃,報有關領導審批后實施。
㈢每一子系統(tǒng)或掛接的可執(zhí)行程序在上網(wǎng)運行前,計算機工程技術人員必須嚴格按照功能要求在備用服務器上進行全面調(diào)試,達到功能要求且排除一切可能的數(shù)據(jù)沖突后交用戶實際上網(wǎng)使用。
計算機
工程技術人員實行分工負責制。信息網(wǎng)絡系統(tǒng)的各種設備由信息網(wǎng)絡科負責人管理或指定專人負責。
㈤系統(tǒng)管理員或機房值班人員負責網(wǎng)絡服務器的數(shù)據(jù)備份和日常工作。
㈥系統(tǒng)負責人全面負責技術支持和運行保障工作,出現(xiàn)技術問題或故障時,應組織技術力量在最短時間內(nèi)處理。
第十四條 工作站管理
㈠網(wǎng)絡工作站作為信息網(wǎng)絡系統(tǒng)專用設備,使用科室、個人不得擅自在終端機上裝載其他軟件和移動存儲設備如3.5”軟盤或優(yōu)盤等。
㈡各工作站所有使用人員必須嚴格遵守《新his系統(tǒng)工作站用戶手冊》所規(guī)范的各項操作規(guī)程以及有關計算機管理制度,嚴格按照計算機操作使用規(guī)程進行操作。
㈢各工作站配置的計算機、打印機等設備須指定專人使用、保管和維護,轉(zhuǎn)交他人保管時需嚴格辦理交接手續(xù)。使用人必須保持各種網(wǎng)絡設備、設施整潔干凈,并認真做好網(wǎng)絡設備的日清月檢,使網(wǎng)絡設備始終處于良好的工作狀態(tài)。
㈣加強設備定位定人管理,未經(jīng)信息網(wǎng)絡科允許,不得隨意挪動、拆卸和外借所有網(wǎng)絡設備、設施。
不得擅自裝載、卸載和變更計算機網(wǎng)絡設置。
各工作站周圍嚴禁存放易燃、易爆、易腐蝕及強磁性物品,做好放火、防盜措施。
各工作站使用科室必須按程序報審本科室的操作人員名單,如操作人員有變動應及時上網(wǎng)調(diào)整,或上報信息網(wǎng)絡科予以變更。
操作人員應嚴格保密個人密碼,嚴禁泄漏、外借密碼;個人秘密必須在第一次使用時進行修改,經(jīng)信息科檢查發(fā)現(xiàn)超過三個月未修改的,將暫時取消相應的操作權限,操作人員憑個人身份證明到信息科修改后方可繼續(xù)使用。
嚴禁無關人員上機操作或進行其他影響系統(tǒng)正常運行的工作。
嚴格交接班制度,工作中遇到問題要及時報告。
(十一)使用時如發(fā)現(xiàn)運行故障,要及時上報信息網(wǎng)絡科。
第四章 罰則
第十五條 任何科室或個人利用網(wǎng)絡從事危害國家安全的活動,違反刑法的,依法交相關國家機關,依照有關法律法規(guī)予以處罰。
第十六條 違反本規(guī)定,有以下行為之一的,由計算機工程技術人員以口頭或書面形式進行警告:
㈠違反信息網(wǎng)絡系統(tǒng)安全保護制度,危害網(wǎng)絡系統(tǒng)安全的;
㈡接到計算機工程技術人員要求改進安全狀況的通知后,拒不改進的;
擅自安裝、拆卸軟、硬件設備的;
㈣擅自更改網(wǎng)絡設置的;
㈤發(fā)現(xiàn)信息網(wǎng)絡系統(tǒng)出現(xiàn)問題不立即報告的;
㈥有危害信息網(wǎng)絡系統(tǒng)安全的其他行為。
第十七條 違反本規(guī)定,有下列行為之一的,全院通報批評并處予扣發(fā)酬金100-500元:
㈠在工作站進行與醫(yī)院信息網(wǎng)絡系統(tǒng)無關操作而造成危害的;
㈡私自拆卸、更改網(wǎng)絡設備而造成危害的;
㈢向他人泄露帳號密碼而造成不良后果的。
第十八條 利用終端設備進行與信息系統(tǒng)無關的操作,導致病毒侵襲而造成下列損害之一的,全院通報批評并處以以下經(jīng)濟處罰:
㈠造成設備損害的,原價賠償;
㈡造成工作站系統(tǒng)破壞的,扣發(fā)酬金1-3個月,并賠償全部修復費用;
㈢造成網(wǎng)絡部分或全部癱瘓的,處予嚴厲的行政處分,造成的經(jīng)濟損失由個人承擔40%,科室承擔60%。
第十九條 因以下行為對醫(yī)院信息系統(tǒng)的運行造成下列后果之一的,由醫(yī)院給予以下處罰:
㈠下發(fā)的計算機、打印機等設備由所屬科室負責管理,對由于責任心不強而造成計算機、打印機被盜或損壞者,原價賠償。
㈡由于操作者違章操作,造成計算機軟、硬件故障,而影響醫(yī)院信息網(wǎng)絡系統(tǒng)的正常運行者,扣發(fā)酬金1-3個月,情節(jié)特別嚴重的追究科室負責人的領導責任。
㈢對因違章操作造成系統(tǒng)數(shù)據(jù)丟失、核算錯誤,給醫(yī)院造成重大經(jīng)濟損失的,個人承擔損失費用的40%,科室承擔60%。
㈣私自添加、刪除計算機保存內(nèi)容;私自更改計算機的各種文件配置;私自更改本信息網(wǎng)絡系統(tǒng)應用程序以及參數(shù)設置,未造成重大技術事故和經(jīng)濟損失者,扣發(fā)酬金1-3個月。造成重大技術事故和經(jīng)濟損失者,造成的經(jīng)濟損失由個人承擔40%,科室承擔60%。
第二十條 在網(wǎng)絡系統(tǒng)設備、設施附近作業(yè)而危害網(wǎng)絡系統(tǒng)安全,影響網(wǎng)絡正常運行造成經(jīng)濟損失的,由作業(yè)科室賠償;造成醫(yī)院財產(chǎn)嚴重損失的,追究其民事責任。
第二十一條 對于其它違反本規(guī)定的行為,由醫(yī)院信息網(wǎng)絡管理領導小組按有關管理辦法進行處罰。
第五章 附則
第二十二條 本規(guī)定由信息網(wǎng)絡科負責解釋。
第5篇 人員離崗離職信息安全管理規(guī)定
為規(guī)范本單位計算機信息安全工作,更好的服務于本單位信息化建設需要,特制定本規(guī)定:
第一條為保證本單位的計算機與網(wǎng)絡信息安全,適應信息安全等方面的需要,防止計算機網(wǎng)絡失密泄密事件發(fā)生,特制定本制度;
第二條工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務的秘密信息,承擔如同任職期間一樣的保密義務和不擅自使用的義務,直至該秘密信息成為公開信息,而無論離職人員因何種原因離職。
第三條離職人員因職務上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體,均歸本單位所有,而無論這些秘密信息有無商業(yè)上的價值。
第四條離職人員應當于離職時,或者于本單位提出請求時,返還全部屬于本單位的財物,包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的,則視為離職人員已同意將這些載體物的所有權轉(zhuǎn)讓給本單位,本單位應當在離職人員返還這些載體時,給予離職人員相當于載體本身價值的經(jīng)濟補償;但秘密信息可以從載體上消除或復制出來時,可以由本單位將秘密信息復制到本單位享有所有權的其他載體上,并把原載體上的秘密信息消除,此種情況下離職人員無須將載體返還,本單位也無須給予離職人員經(jīng)濟補償。
第五條離職人員離職時,應將工作時使用的電腦、u盤及其他一切存儲設備中關于工作相關或與本單位有利益關系的信息、文件等內(nèi)容交接給本單位相關人員,不得在離職后以任何形式帶走相關信息。
***********
年月日
第6篇 火力發(fā)電廠安全性評價管理信息系統(tǒng)的設計
1. 引言
現(xiàn)代社會中,電力工業(yè)的安全生產(chǎn)對國民經(jīng)濟和人民生活有著舉足輕重的影響,做好安全生產(chǎn)工作始終是發(fā)電企業(yè)的永恒主題。然而,由于我國電力工業(yè)的特點及人員、設備、管理以及環(huán)境等諸多方面的原因,目前在發(fā)電企業(yè)中普遍存在著許多不安全的因素,因此,為了提高反事故工作的可預見性和安全投資效益,達到對可能發(fā)生事故的超前控制、將各種事故消滅在隱患之中,用一種科學的方法分析、預測電力生產(chǎn)設備系統(tǒng)中可能發(fā)生的事故及其概率的高低,具有重要的意義。
安全性評價是一項目前國際上比較流行的一種對安全工作系統(tǒng)化、規(guī)范化、可操作性強的管理模式,它是對一個系統(tǒng)(大到一個企業(yè),小到一個車間、一個班組、一項工程設計、一個工藝流程、一個裝置或設備等)的安全性進行識別,并給出定性或定量的評價的工作,使用這種方法可以預見到系統(tǒng)客觀上存在但尚未引發(fā)事故的各種危險因素,并對系統(tǒng)的安全性作出大致的評價。因此,搞好安全性評價對提高發(fā)電企業(yè)的安全生產(chǎn)工作水平,降低安全事故的發(fā)生率具有重要的意義。
現(xiàn)代社會是一個科學技術飛速發(fā)展的時代,特別是計算機科學的興起,使我們的社會生活發(fā)生了巨大的變化,計算機以快速、高效的性能,改變了我們工作和生活的方方面面,把我們從繁重復雜的工作中解放出來,將安全性評價工作與計算機結合起來,將會給我們的安全性評價工作帶來質(zhì)的飛躍。
2. 系統(tǒng)目標
通過對用戶需求和安全性評價管理業(yè)務的調(diào)查和分析,研究管理實施所需要的功能,系統(tǒng)應達到以下目標.
2.1 面向多用戶
安全性評價是以各部門、各班組為基本單位進行的以群眾性自查為主的工作,其管理和應用是面向多部門、多用戶、同步性協(xié)作式方向發(fā)展,安全性評價的數(shù)據(jù)庫結構復雜,數(shù)據(jù)量較大,同一數(shù)據(jù)用戶比較多,如:在進行安全性評價登記的時候,全廠任何人都可以進行評價登記,因此建立具有數(shù)據(jù)共享機制的系統(tǒng)體系結構具有重要的意義。
2.2 業(yè)務功能完善
根據(jù)<<火力發(fā)電廠安全性評價>;>;(中國華北電力集團公司安全監(jiān)察部 編著)一書中的規(guī)定,在安全性評價管理軟件的業(yè)務流程中需要系統(tǒng)具有能夠填寫該書中附錄1-----附錄5中的內(nèi)容,并且應具有條件查詢、結果分析、評價項目維護與注銷、用戶系統(tǒng)權限維護、填寫記錄自動生成、評價結果自動生成、報表輸出等功能。
2.3 軟件具有很強的適應性、可以滿足不同電廠的需要
對于不同的電廠或電力企業(yè),本系統(tǒng)應能適應其安全性評價工作的要求。
3.系統(tǒng)設計
3.1 client/server數(shù)據(jù)庫運行模式
client/server體系結構是新型的計算機網(wǎng)絡構造方法。在
client/server結構下,應用系統(tǒng)被分為前端(客戶機部分)和后端(服務器部分)兩個部分,client/server模式是指一個復雜的計算機應用任務被合理的分解為多個子任務,由服務器和客戶機分別承擔。合理有效的利用了客戶機和服務器的資源:大大減少網(wǎng)絡通信的負擔,改善了系統(tǒng)運行的總體性能。客戶機和服務器之間體現(xiàn)為服務請求/服務響應關系,即用數(shù)據(jù)庫服務器完成數(shù)據(jù)處理的功能,而客戶機完成應用事務的組織和人機界面的實現(xiàn)。
在client/server體系結構中,客戶機的功能主要有管理用戶接口、從用戶接受數(shù)據(jù)、處理應用邏輯、產(chǎn)生數(shù)據(jù)庫請求,向服務器發(fā)送數(shù)據(jù)請求、從服務器接受結果和格式化結果;服務器的功能是從客戶機接受數(shù)據(jù)庫請求、處理數(shù)據(jù)庫請求、格式化結果并傳送給客戶機、執(zhí)行完整性檢查、提供并行訪問控制、執(zhí)行恢復、優(yōu)化查尋和更新處理。
在面向多用戶的系統(tǒng)環(huán)境中,數(shù)據(jù)庫系統(tǒng)運行模式對數(shù)據(jù)的共享、并發(fā)性和一致性起著決定性作用,對系統(tǒng)的性能起著關鍵作用,而client/server體系結構在這方面有著明顯的優(yōu)勢。所以,安全性評價管理信息系統(tǒng)采用client/server數(shù)據(jù)庫運行模式。
3.2 數(shù)據(jù)庫及開發(fā)工具
本系統(tǒng)采用powerdesigner來建立數(shù)據(jù)庫模型,powerdesigner是sybase 公司的case工具集,使用它可以方便的對信息系統(tǒng)進行分析與設計,這個工具集包含了四個模塊,覆蓋了軟件開發(fā)生命周期的各個階段。采用powerdesigner可以方便的畫出數(shù)據(jù)流圖、實體關系圖,得到系統(tǒng)完整的邏輯模型,并且利用它自身提供的接口可以實現(xiàn)由實體關系圖向物理模型的自動轉(zhuǎn)換,使設計人員可以在物理模型的基礎上進行數(shù)據(jù)庫的后臺設計。如下所示的是利用powerdesigner為本系統(tǒng)建立的部分實體關系圖,可以看出,通過使用 powerdesigner,可以形象的描述出本系統(tǒng)中需要處理的信息。圖一
除了使用powerdesigner進行數(shù)據(jù)建模以外,系統(tǒng)采用powerbuilder7.0作為主要開發(fā)工具,powerbuilder7.0是一個面向?qū)ο蟮腸lient/server開發(fā)工具,開發(fā)出的代碼具有很強的可重用性,它提供了眾多的描繪器用于創(chuàng)建和管理不同的對象,提供了豐富的對象、控件和函數(shù),開發(fā)效率高,成本低,對數(shù)據(jù)庫的應用開發(fā)有著特殊的支持,具有強大的數(shù)據(jù)庫操作功能,用在開發(fā)客戶應用程序時,這個程序首先建立一個與數(shù)據(jù)庫的通信通道,然后將用戶的需求以某種方式傳送給數(shù)據(jù)庫服務器,在應用程序接收到數(shù)據(jù)庫服務器返回的數(shù)據(jù)后,它分析返回的數(shù)據(jù)并呈現(xiàn)給用戶。而數(shù)據(jù)庫服務器是一個存取數(shù)據(jù)和管理數(shù)據(jù)的軟件,它針對客戶的請求為客戶提供數(shù)據(jù)服務,這些服務包括數(shù)據(jù)插入、修改和查詢等。系統(tǒng)可選用oracle、sysbase、informix、sqlserver等目前流行的各種關系數(shù)據(jù)庫,在蒲山發(fā)電運營中心安全性評價管理實例中我們采用oracle8i作為后臺數(shù)據(jù)庫服務器系統(tǒng),oracle8i是一個功能極其強大和靈活的關系型數(shù)據(jù)庫系統(tǒng),適應于client/server數(shù)據(jù)庫體系結構。
3.3 網(wǎng)絡結構設計
數(shù)據(jù)庫
服務器安全性評價管理信息系統(tǒng)是在局域網(wǎng)基礎上建立的client/server體系結構,圖二是以蒲山發(fā)電運營中心的局域網(wǎng)為例的網(wǎng)絡示意圖:
中心交換機
邊緣交換機
邊緣交換機
光纖
客戶端
客戶端圖二
主干網(wǎng)采用100m光纖進行連接,各部門、班組和控制室等通過hub(集線器)與主干網(wǎng)相連,網(wǎng)絡協(xié)議采用tcp/ip協(xié)議。
4.系統(tǒng)開發(fā)
4.1 面向?qū)ο蟮拈_發(fā)方法
面向?qū)ο蟮某绦蛟O計在當今的應用程序開發(fā)中具有重要的地位,它相對于傳統(tǒng)的開發(fā)方法而言,提高了程序開發(fā)的質(zhì)量和速度,是一種建立在現(xiàn)實世界基礎上的新的軟件開發(fā)思維,代表了一種全新的程序設計思路和觀察、表述、處理問題的方法,它力求符合人們?nèi)粘W匀坏乃季S習慣,降低,分解問題的難度和復雜性,提高整個求解過程的可控制性、可監(jiān)測性和可維護性,從而達到以較小的代價和較高的效率獲得較滿意效果的目的,在開發(fā)過程中,它強調(diào)的是系統(tǒng)開發(fā)的關鍵是來自對前端概念的理解而不是對后端方法的實現(xiàn)。只有當應用領域的固有的概念被識別、理解并構造清楚了,才能有效地設計系統(tǒng)的數(shù)據(jù)結構以及實現(xiàn)的功能。powerbuilder7.0是一個面向?qū)ο蟮拈_發(fā)工具,利用它可以開發(fā)出面向?qū)ο蟮膚indows應用程序,powerbuilder7.0在系統(tǒng)中具有封裝性、繼承性和多態(tài)性的特征。利用面向?qū)ο蟮姆椒蓪崿F(xiàn)系統(tǒng)和人機交互界面的設計,數(shù)據(jù)管理的設計。powerbuilder7.0采用面向?qū)ο蟮姆椒ㄩ_發(fā)應用程序的用戶界面,充分利用windows的窗口資源,從而不僅使用戶界面更加美觀、簡潔、易操作,而且提高了窗口的可重復利用性。
4.2 功能實現(xiàn)
根據(jù)對安全性評價需求的調(diào)查和對整個評價業(yè)務的研究,以及對整個安全評價管理信息系統(tǒng)操作流程的分析,系統(tǒng)應具有以下功能,如圖三所示:
系統(tǒng)功能
查詢功能
維護功能
填寫與審核
輔助分析
自動生成
輸出功能
圖三
其中維護及填寫與審核應能實現(xiàn)如圖四、圖五所示的功能:
系統(tǒng)維護
系統(tǒng)權限維護
系統(tǒng)數(shù)據(jù)維護
檢查項目
評價結果項目
評價項目
操作權限
人員項目對應關系
圖四
發(fā)現(xiàn)安全問題
填寫安全評價發(fā)現(xiàn)問題及整改措施
利用歷次的記錄生成
上報
進行審核
審查合格
不合格,退回重新填寫
記錄可以進行自動生成
可以查看評價標準
利用填寫的發(fā)現(xiàn)問題及整改措施生成查評扣分記錄
直接填寫
終結,打印最終結果
利用查評扣分記錄自動生成或手動填寫
填寫查評扣分記錄
可以查看評價標準填寫評價結果明細總分自動生成
利用查評扣分記錄自動生成或手動填寫
填寫安全評價總表
圖五
4.2.1 維護功能
維護功能是安全性評價管理信息系統(tǒng)的一個特色,利用它可以維護所有在填寫、查詢等功能中用到的數(shù)據(jù),這樣就保證了整個系統(tǒng)在使用時候的可適應性以及靈活性。維護分為對系統(tǒng)數(shù)據(jù)的維護和對系統(tǒng)權限的維護。利用系統(tǒng)權限的維護,可以控制用戶在整個系統(tǒng)中的訪問權限,從而保證整個系統(tǒng)的安全性,利用系統(tǒng)數(shù)據(jù)的維護,可以對在整個系統(tǒng)中使用到的一些基本數(shù)據(jù)(比如:安全評價項目的維護)進行維護操作,包括填加、刪除、注銷等功能。如圖六、圖七所示:其中圖六表示的是系統(tǒng)權限的維護,圖七表示的是對系統(tǒng)數(shù)據(jù)的維護。
圖六 圖七
4.2.2填寫與審核功能
填寫與審核在整個安全性評價系統(tǒng)中占有重要的地位,用戶利用這個功能進行評價結果的填寫與審核,最終生成最后的評價結果。在填寫的時候,每個項目任何人都可以對其安全性進行評價,在評價的時候可以實時利用局域網(wǎng)的連接在數(shù)據(jù)庫中查詢別人已經(jīng)填寫過歷次有關該項目的記錄,對于某條或幾條記錄如果認為可以使用或在上面進行修改的話,可以利用生成按鈕將這些記錄直接生成過來。而在審核的時候,只能有特定的幾個被賦予審核權限的人才可以進行操作。通過審核,生成最終的評價結果。在審核和評價的時候,為了對項目填寫和審核的方便,把握評價的尺度,當點擊某項目的時候,可以在這些窗口中隨時查看到該項目評價的標準。如圖八所示:該圖表示的是填寫時的情況
圖八
4.2.3 查詢功能
查詢是安全性評價管理信息系統(tǒng)的一項重要的功能,也是作用最為顯著的功能,根據(jù)用戶的需求,它包括簡單數(shù)據(jù)的查詢和對評價結果綜合分析的查詢,按照查詢手段的不同,它包括按照時間查詢和包括時間查詢在內(nèi)的條件查詢,各類查詢還可以交叉進行,這是目前在安全性評價系統(tǒng)中作用發(fā)揮的最突出的部分,通過查詢,用戶可以對整個安全評價過程進行了解。如可以對整個安全評價最終結果進行查詢,如圖九所示:
圖九
4.2.4 輔助分析功能
系統(tǒng)的輔助分析功能主要是對評價的最終結果進行分析,包括本次評分情況分析以及歷次得分情況分析等,通過這個功能,可以使用戶對全廠的整個安全情況有一個總體的認識,可以把握全廠的安全性情況走勢。如圖十所示:圖十
4.2.5 數(shù)據(jù)的自動生成功能
由于安全性評價是一項群眾性的安全自查活動,因此,為了服務于多用戶的使用,提高進行評價登記時的效率,減輕登記人員的工作量,設計了數(shù)據(jù)的自動生成功能,利用這項功能,用戶可以將歷次評價中自己或別人所填寫的內(nèi)容生成到自己的填寫表格中去。見4.2.3填寫與審核中圖。
4.2.6 輸出功能
輸出功能也是系統(tǒng)的一項重要功能,利用它,系統(tǒng)可以進行在安全評價中各種報表的輸出,根據(jù)用戶不同的要求,系統(tǒng)具有不同的輸出形式,用戶只需簡單的操作,就可得到需要的輸出結果。圖十一所示的是附錄四在打印時的情況:圖十一
5.結束語
安全性評價是一門正在新興的軟科學,它使我們的安全管理工作從傳統(tǒng)的經(jīng)驗管理走向了科學管理,使定量評價成為我們今后進行安全工作的一項重要的方法和手段,將計算機科學與其結合在一起,將使我們的安全性評價管理工作邁上一個臺階,大大提高我們的現(xiàn)代化安全管理水平。
第7篇 信息系統(tǒng)運行維護及安全管理規(guī)定
第一章 總則
第一條 為了確??偣拘畔⑾到y(tǒng)的安全、穩(wěn)定和可靠運行,充分發(fā)揮信息系統(tǒng)的作用,依據(jù)《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》,結合總公司實際,特制定本規(guī)定。
第二條 本規(guī)定所稱的信息系統(tǒng),是指由網(wǎng)絡傳輸介質(zhì)、網(wǎng)絡設備及服務器、計算機終端所構成的,為正常業(yè)務提供應用及服務的硬件、軟件的集成系統(tǒng)。
第三條 信息系統(tǒng)安全管理實行統(tǒng)一規(guī)劃、統(tǒng)一規(guī)范、分級管理和分級負責的原則。
第二章 管理機構及職責
第四條 總公司辦公室是公司信息系統(tǒng)運行維護和安全管理的主管部門,其安全管理職責是:
(一)負責總公司機關內(nèi)互聯(lián)網(wǎng)的運行管理,保證與城建局、各所屬單位網(wǎng)絡連接的暢通;
(二)負責總公司機關局域網(wǎng)的運行維護管理;
(三)落實安全技術措施,保障總公司信息系統(tǒng)的運行安全和信息安全;
(四)指導、協(xié)調(diào)所屬單位局域網(wǎng)系統(tǒng)的安全運行管理。
第五條 總公司各所屬單位信息員負責本單位局域網(wǎng)的運行維護和安全管理,服從總公司辦公室的指導和管理。其安全管理職責是:
(一)負責廣域網(wǎng)本單位節(jié)點、本單位局域網(wǎng)的運行維護和安全管理,保證與總公司網(wǎng)絡連接的暢通;
(二)負責本單位人員的信息安全教育和培訓,建立健全安全管理制度;
(三)與總公司辦公室密切配合,共同做好總公司信息系統(tǒng)的安全運行、管理和維護工作。
第三章 網(wǎng)絡接入及ip地址管理
第六條 需要接入總公司網(wǎng)絡的所屬單位應向總公司辦公室提交申請,經(jīng)審批同意后方可接入。
第七條 總公司機關內(nèi)部局域網(wǎng)的ip地址由辦公室統(tǒng)一規(guī)劃、管理和分配,ip地址的申請、補充、更換均需辦理相關手續(xù)。
第八條 申請與使用ip地址,應與登記的聯(lián)網(wǎng)計算機網(wǎng)卡的以太網(wǎng)地址(mac地址,即硬件地址)捆綁,以保證一個ip地址只對應一個網(wǎng)卡地址。
第九條 入網(wǎng)單位和個人應嚴格使用由總公司辦公室及本單位網(wǎng)絡管理員分配的ip地址和指定的網(wǎng)關和掩碼。嚴禁盜用他人ip地址或私自設置ip地址??偣巨k公室有權切斷私自設置的ip地址入網(wǎng),以保證總公司內(nèi)部局域網(wǎng)的正常運行。
第四章 安全運行管理
第十條 總公司機關和各所屬單位均應指定專人擔任信息系統(tǒng)管理員,負責信息系統(tǒng)的日常運行維護、故障處理及性能調(diào)優(yōu)工作。
第十一條 建立電子設備運行檔案,對所發(fā)生的故障、處理過程和結果等要做好詳細的記錄。關鍵設備應有備品備件,并進行定期的檢測和維護,確保隨時處于可用狀態(tài)。
第十二條 系統(tǒng)軟件(操作系統(tǒng)和數(shù)據(jù)庫)必須使用正版軟件,其選用應充分考慮軟件的安全性、可靠性、穩(wěn)定性,并具備身份驗證、訪問控制、故障恢復、安全保護、安全審計、分權制約等功能。
第十三條 對會影響到全公司的硬件設備或軟件的更改、調(diào)試等操作應預先制定具體實施方案,必要時準備好后備配件和應急措施。
第十四條 數(shù)據(jù)庫管理系統(tǒng)和關鍵網(wǎng)絡設備(如服務器、防火墻、交換機等)的口令必須使用強口令,由專人掌管,定期更換。
第十五條 業(yè)務信息系統(tǒng)應嚴格控制操作權限,原則上采用專人專用的用戶名及密碼登錄;對數(shù)據(jù)庫的維護不允許通過外網(wǎng)遠程登錄進行。
第十六條 接入總公司信息系統(tǒng)的所有服務器和計算機均應采用國家許可的正版防病毒軟件并及時更新軟件版本,發(fā)現(xiàn)問題及時解決。具體措施如下:
(一)所有計算機全部安裝和使用網(wǎng)絡版防毒軟件,未經(jīng)許可,不得隨意禁用或卸載,并設置好定期升級和殺毒的安全策略;
(二)對新購進的、修復的或重新啟用的計算機設備,必須預先進行計算機病毒檢查后方可安裝運行;
(三)杜絕病毒傳播的各種途徑,光盤和優(yōu)盤等存儲介質(zhì)及經(jīng)遠程通信傳送的程序或數(shù)據(jù)在使用前應進行病毒檢測,如工作需要使用共享目錄,必須做好有關防范措施;
(四)在接入internet網(wǎng)時,嚴格控制下載軟件,謹慎接收電子郵件;在接收電子郵件時,不隨意打開附件;
(五)當出現(xiàn)計算機病毒傳染跡象時,立即拔掉網(wǎng)線,隔離被感染的系統(tǒng)和網(wǎng)絡,并進行處理,不應帶“毒”繼續(xù)運行。
第十七條 總公司及所屬各單位信息系統(tǒng)如發(fā)生嚴重的網(wǎng)絡中斷故障,應按規(guī)定進行先期處置,同時報總公司辦公室。
第六章 數(shù)據(jù)管理
第十八條 系統(tǒng)管理員應對系統(tǒng)數(shù)據(jù)(主要包括數(shù)據(jù)字典、權限設置、存儲分配、網(wǎng)絡地址、網(wǎng)管參數(shù)、硬件配置及其他系統(tǒng)配置參數(shù))實施嚴格的安全與保密管理,并定期核對,防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。
第十九條 各單位應定期進行數(shù)據(jù)備份,保證系統(tǒng)發(fā)生故障時能夠迅速恢復;業(yè)務數(shù)據(jù)必須設置在線定時自動備份策略,必要時應采用雙機備份。
第二十條 各單位重要業(yè)務數(shù)據(jù)必須每年定期、完整、真實、準確地轉(zhuǎn)儲到不可更改的介質(zhì)上,實行集中存儲和異地保管,保存期至少2年。備份數(shù)據(jù)不得更改,應指定專人負責保管和登記。
第二十一條 各單位業(yè)務數(shù)據(jù)不得隨意進行數(shù)據(jù)恢復,因數(shù)據(jù)丟失或故障確需恢復的,應由系統(tǒng)管理員報本單位信息化工作部門,經(jīng)批準后方可進行數(shù)據(jù)恢復操作,并做好記錄。
第二十二條 總公司信息系統(tǒng)的數(shù)據(jù)采集、存儲、處理、傳遞、輸出和發(fā)布應遵守計算機信息系統(tǒng)相關保密管理規(guī)定,以保證公司信息系統(tǒng)無泄密事件發(fā)生。
第七章 附則
第二十三條 本辦法由總公司辦公室負責解釋。
第二十四篥 本辦法自印發(fā)之日起施行。
第8篇 某大學網(wǎng)絡及信息系統(tǒng)安全管理辦法
z大學網(wǎng)絡及信息系統(tǒng)安全管理辦法
近年來,國內(nèi)信息安全形勢嚴峻,各類信息安全事件頻發(fā)。為此,教育部辦公廳發(fā)布了《關于加強網(wǎng)絡安全檢查的通知》(教技廳函[2014]51號)、《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)和《教育部辦公廳關于開展國家級重要信息系統(tǒng)和重點網(wǎng)站安全檢查工作的通知》(教技廳函[2015]45號)要求高校加強網(wǎng)絡及信息系統(tǒng)安全管理;《z市教育委員會關于進一步加強和規(guī)范網(wǎng)絡與信息安全管理的通知》(渝教科〔2014〕32號)進一步明確高校需加強網(wǎng)絡、信息系統(tǒng)和網(wǎng)站安全管理;z市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組辦公室發(fā)布的《z市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組辦公室關于加強重點網(wǎng)站安全防范工作的緊急通知》(渝等保辦〔2015〕9號)要求高校加強信息系統(tǒng)和網(wǎng)站安全,落實信息系統(tǒng)等級保護定級管理工作。
第一章 總則
第一條 為貫徹落實國家及教育主管部門相關文件精神,進一步加強我校網(wǎng)絡及信息安全工作,特制定本辦法。
第二條 本辦法所指網(wǎng)絡(以下簡稱校園網(wǎng))包括z大學教學辦公區(qū)、學生宿舍區(qū)和部分由學校建設管理的教師住宅區(qū)網(wǎng)絡,不包括由電信運營商自主建設運營的住宅區(qū)網(wǎng)絡。
第三條 本辦法所指信息系統(tǒng)指由學校及各二級單位建設管理各類業(yè)務系統(tǒng)和網(wǎng)站。
第四條 涉密網(wǎng)絡和涉密系統(tǒng)根據(jù)國家及學校的相關管理規(guī)定單獨管理,不適用本管理辦法。
第二章 管理機構及職責
第五條 為進一步加強網(wǎng)絡及信息安全組織領導,學校將原“z大學計算機網(wǎng)絡及信息安全領導小組”、“z大學數(shù)字化校園建設領導小組”整合調(diào)整為“z大學網(wǎng)絡信息安全及信息化工作領導小組”(以下簡稱領導小組)。領導小組負責制定全校網(wǎng)絡及信息安全工作的總體方針和安全策略,審定全校網(wǎng)絡及信息安全管理制度,指導并監(jiān)督網(wǎng)絡及信息安全管理。領導小組辦公室設在黨委辦公室。
第六條 網(wǎng)絡信息安全及信息化工作領導小組辦公室負責網(wǎng)絡及信息安全總體事務,主要職責包括:
(一) 統(tǒng)籌協(xié)調(diào)全校網(wǎng)絡及信息安全工作;
(二) 網(wǎng)絡及信息安全總體規(guī)劃;
(三) 制定網(wǎng)絡及信息安全管理制度;
(四) 組織信息網(wǎng)絡安全工作檢查和考評;
(五) 網(wǎng)絡及信息安全事件查處。
第七條 宣傳部主要職責包括:
(一) 學校主頁內(nèi)容審核、發(fā)布及安全管理;
(二) 學校新聞網(wǎng)內(nèi)容審核、發(fā)布及安全管理;
(三) 民主湖論壇內(nèi)容審核、發(fā)布及安全管理;
(四) 全校輿情監(jiān)控及內(nèi)容管理。
第八條 保衛(wèi)處主要職責包括:
(一) 全校信息安全監(jiān)控管理;
(二) 網(wǎng)絡及信息安全違法違紀事件的調(diào)查;
(三) 網(wǎng)絡及信息安全事件處理中的對外聯(lián)絡與接洽。
第九條 信息化辦公室負責網(wǎng)絡及信息安全技術支撐,主要職責包括:
(一) 校園網(wǎng)出口安全基礎設施的建設和管理;
(二) 學校數(shù)據(jù)中心安全基礎設施建設和管理;
(三) 校園無線網(wǎng)絡接入安全管理;
(四) 校園網(wǎng)安全監(jiān)控管理;
(五) 定期實施校內(nèi)服務器安全漏洞掃描及安全預警;
(六) 定期組織實施信息系統(tǒng)安全等級測評;
(七) 落實專職人員負責網(wǎng)絡及信息安全管理工作;
(八) 組織信息網(wǎng)絡安全培訓和教育。
第十條 虎溪校區(qū)管委會具體負責虎溪校區(qū)網(wǎng)絡及信息安全管理,主要職責包括:
(一) 虎溪校區(qū)校園網(wǎng)出口安全基礎設施建設和管理;
(二) 虎溪校區(qū)校園網(wǎng)內(nèi)容審計系統(tǒng)監(jiān)測管理;
(三) 虎溪校區(qū)網(wǎng)絡信息中心機房的網(wǎng)絡及信息安全管理;
(四) 虎溪校區(qū)門戶及各業(yè)務系統(tǒng)內(nèi)容及系統(tǒng)安全管理。
第十一條 圖書館主要職責:
(一) 民主湖論壇的系統(tǒng)安全管理;
(二) 圖書館網(wǎng)絡(有線部分)接入安全管理;
(三) 圖書館業(yè)務系統(tǒng)及網(wǎng)站的安全管理。
第十二條 學工部、研工部主要職責:
(一) 學工、研工業(yè)務系統(tǒng)及網(wǎng)站安全管理;
(二) “易班”系統(tǒng)接入安全管理;
(三) 協(xié)助進行輿情監(jiān)控及內(nèi)容管理。
第十三條 其它二級單位主要職責包括:
(一) 本單位局域網(wǎng)和校園網(wǎng)接入安全管理;
(二) 本單位聯(lián)網(wǎng)計算機審核(有線部分);
(三) 本單位上網(wǎng)信息審核;
(四) 本單位業(yè)務系統(tǒng)及網(wǎng)站的安全管理。
第三章 校園網(wǎng)安全管理
第十四條 信息化辦公室總體負責校園網(wǎng)安全管理工作,虎溪校區(qū)管委會具體負責虎溪校區(qū)校園網(wǎng)安全管理工作。
第十五條 校園網(wǎng)(有線部分)由信息化辦公室負責在校園網(wǎng)出口處實施實名上網(wǎng)認證,各二級單位負責接入端安全管理;校園網(wǎng)(無線部分)由信息化辦公室負責實施實名接入上網(wǎng)認證。
第十六條 信息化辦公室負責學校數(shù)據(jù)中心網(wǎng)絡安全設施建設和管理。
第十七條 接入校園網(wǎng)的各單位和用戶必須嚴格遵守執(zhí)行《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》和國家有關法律法規(guī),嚴格執(zhí)行信息安全及保密相關制度。
第十八條 二級單位根據(jù)國家有關規(guī)定對上網(wǎng)信息進行審查,凡涉及國家秘密的信息嚴禁上網(wǎng)。使用校園網(wǎng)的相關單位和用戶必須對所提供的信息負責。不得利用校園網(wǎng)從事危害國家安全、泄露國家秘密等犯罪活動,不得制作、查閱、復制和傳播有礙社會治安、社會穩(wěn)定的信息。
第十九條 在校園網(wǎng)上不允許進行任何干擾網(wǎng)絡用戶、破壞網(wǎng)絡服務和網(wǎng)絡設備的活動,不得在網(wǎng)絡上散布計算機病毒,未經(jīng)授權不得使用校園網(wǎng)。
第二十條 接入校園網(wǎng)的各二級單位需指定一名主管領導負責本單位的網(wǎng)絡及信息安全工作,設立網(wǎng)絡管理員具體負責相應的網(wǎng)絡安全和信息安全技術工作。
第二十一條 校園網(wǎng)上所有單位和用戶有義務向?qū)W校網(wǎng)絡信息安全相關部門報告網(wǎng)絡違法犯罪行為和網(wǎng)上有害信息情況。
第二十二條 與校園網(wǎng)相關的所有單位和用戶必須接受并配合國家有關部門依法進行的監(jiān)督檢查。
第四章 信息系統(tǒng)安全管理
第二十三條 各二級單位是信息系統(tǒng)安全管理的責任主體,對本單位信息系統(tǒng)安全負責。
第二十四條 信息系統(tǒng)安全遵循“同步規(guī)劃、同步建設、同步運行”的原則,信息系統(tǒng)的立項采購、測試驗收、交付使用、升級改造必須符合國家對信息系統(tǒng)安全等級保護的相關要求。
第二十五條 二級單位負責制定信息系統(tǒng)安全管理策略,加強人員安全能力與安全意識培訓,落實學校安全要求;確定信息系統(tǒng)數(shù)據(jù)安全要求,明確數(shù)據(jù)訪問權限,制定數(shù)據(jù)備份機制,接入學校統(tǒng)一災備體系。
第二十六條 二級單位負責信息系統(tǒng)的安全運行維護工作,按照《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)基本技術要求規(guī)定,做好系統(tǒng)安全、角色權限、口令增強等系統(tǒng)管理工作,定期進行安全檢查、漏洞修補、系統(tǒng)升級、數(shù)據(jù)備份等安全管理工作;信息系統(tǒng)一旦出現(xiàn)信息安全事件,二級單位應及時查處整改,對多次出現(xiàn)安全事件的信息系統(tǒng)由信息化辦公室暫停其網(wǎng)絡連接及服務。
第五章 信息系統(tǒng)安全等級保護定級
第二十七條 根據(jù)“自主定級、自主保護”的原則,由學校“網(wǎng)絡信息安全及信息化工作領導小組”確定我校信息系統(tǒng)安全等級保護定級方案。
第二十八條 學?,F(xiàn)有信息系統(tǒng)的定級由“網(wǎng)絡信息安全及信息化工作領導小組”根據(jù)教育部辦公廳《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)并結合我校實際情況確定,定級確定后按要求報公安機關審核備案并定期開展等級測評。
第二十九條 信息系統(tǒng)安全等級保護定級、變更由學校“網(wǎng)絡信息安全及信息化工作領導小組”審定,各二級單位負責準備相關備案材料,信息化辦公室負責組織等級測評、報公安機關審核備案。
第三十條 信息化辦公室定期組織對重要信息系統(tǒng)進行安全檢測。
第六章 安全事件查處
第三十一條 網(wǎng)絡及信息安全事件(以下簡稱安全事件)包括有害程序、網(wǎng)絡攻擊、信息破壞、信息內(nèi)容安全、信息設施故障、災害性事件及其它危害網(wǎng)絡及信息安全的事件。
第三十二條 校園網(wǎng)上所有單位和用戶有義務向?qū)W校網(wǎng)絡信息安全相關部門報告安全事件。
第三十三條 二級單位發(fā)現(xiàn)安全事件或接到安全事件報告后應在第一時間將相關情況報學校保衛(wèi)處和信息化辦公室。
第三十四條 學校保衛(wèi)處負責安全事件的調(diào)查取證,信息化辦公室負責技術支撐,二級單位負責配合舉證。
第三十五條 發(fā)生安全事件后應首先留存相關證據(jù),中斷網(wǎng)絡連接以減小安全事件擴散影響,在調(diào)查取證結束以前不執(zhí)行數(shù)據(jù)刪除、系統(tǒng)恢復等操作,避免影響調(diào)查取證。
第三十六條 二級單位應建立安全事件應急處理機制,制定應急預案,定期實施應急測試、演練和培訓。
第三十七條 網(wǎng)絡信息安全及信息化工作領導小組辦公室負責對一般安全事件責任人和責任單位進行處理,對造成重大影響和重大損失的安全事件報請網(wǎng)絡信息安全及信息化工作領導小組處理。
第七章 附則
第三十八條 本管理辦法由學校授權網(wǎng)絡信息安全及信息化工作領導小組辦公室負責解釋。
第三十九條 本管理辦法自公布之日起執(zhí)行。
z大學
第9篇 安全信息管理系統(tǒng)概述
一、管理信息系統(tǒng)的概念
所謂系統(tǒng)就是指由若干互相聯(lián)系、互相影響、互相制約的各個部分為了一定目標而組合在一起所形成的一個整體。構成整體的各個組成部分,稱為子系統(tǒng)。假若以一個經(jīng)濟組織的會計作為一個系統(tǒng),而有關結算中心、會計報表、成本核算、資產(chǎn)臺帳和貨幣資金等則是它的子系統(tǒng)。至于有關供銷、生產(chǎn)、人事等方面的信息則屬于會計系統(tǒng)以外的環(huán)境系統(tǒng)。會計信息系統(tǒng)見圖10-2。
過去,國外大多數(shù)企業(yè)和我國一些先行單位,為了適應不同職能組織的需要,除了設立會計信息系統(tǒng)以外,還有生產(chǎn)技術、供銷、人事、后勤等科室也都分別設立適合于它們各自需要的信息系統(tǒng)。這樣一個企業(yè)就有若干信息管理系統(tǒng),易于發(fā)生重復勞動,同一原始資料要分別輸入若干個信息管理系統(tǒng)。如有關材料的采購、耗用、轉(zhuǎn)移、完工、職工的基本工資、出勤記錄等都要同時輸入若干個信息系統(tǒng)。這樣不僅出現(xiàn)重復勞動,易于發(fā)生差錯,而且更改也不方便,造成相互不協(xié)調(diào),成本也就比較高。
近年來在信息管理中提出綜合性管理系統(tǒng)。就是將一個經(jīng)濟組織作為一個系統(tǒng),而其生產(chǎn)、技術、會計、供銷、后勤、人事等職能業(yè)務則是這個系統(tǒng)下的各個子系統(tǒng)。實施綜合信息系統(tǒng)需要具有三個條件:
(1)分散的信息活動必須通過組織的集中統(tǒng)一安排;
(2)這些活動必須是整體的組成部分;
(3)這些活動必須由一個集中、獨立的信息中心加以處理。
這樣就能把企業(yè)看作一個整體,使一個數(shù)據(jù)多用,提高效率和更有效地使用信息,成本也可隨之降低。
二、綜合管理信息系統(tǒng)的建立
設計一個新的或改進一個現(xiàn)有的管理信息系統(tǒng),是一項既復雜又繁重的工作。首先要用系統(tǒng)分析的方法,對系統(tǒng)(包括子系統(tǒng))的本身范圍及其周圍環(huán)境的關系進行分析,提出若干設計方案,決定不同類型,不同管理層次的系統(tǒng),進行技術和經(jīng)濟的論證,層層提高設計質(zhì)量,消除不必要的重復勞動,然后加以評估比較,最后從中決定統(tǒng)一的綜合信息管理標準,包括經(jīng)濟信息分類、編碼和文件統(tǒng)一化工作。經(jīng)過試驗證明切實可行后,再應用到實際工作中去。其中要注意以下幾方面:
1.明確信息的需求
即對輸出的要求,要通過充分的調(diào)查研究,特別是管理中現(xiàn)有的信息種類,它們流轉(zhuǎn)的來龍去脈,由哪里產(chǎn)生,由誰傳遞,傳到何處,經(jīng)過怎樣處理,以什么形式輸出,供誰使用,是否可以“一數(shù)多用”,是否有別的來源替代,是否要保存等等。所以在建立過程中,專業(yè)人員與使用人員之間要經(jīng)常交換意見,使提供的各項信息都能滿足使用者的要求。
2.信息的收集和處理
這項工作的目的就是要改善信息總的質(zhì)量,一般包括五項內(nèi)容:
(1)檢核。要確定各項信息的可靠性的程度,包括來源的可靠性,數(shù)據(jù)的準確性和有效性等。
(2)整理。將輸入的信息和數(shù)據(jù)加以提煉整理,以符合規(guī)定的要求。
(3)編制索引。按規(guī)定編制索引,以供日后儲存和檢索。
(4)傳輸。將正確的信息及時提供給各級主管人員。
(5)存儲。要保存必需的數(shù)據(jù)資料和文件檔案,準備日后再次使用。
3.信息的使用
其主要目的是向各級主管人員適時地提供各種有關的信息。因此它與信息質(zhì)量有密切關系。信息的質(zhì)量主要是指信息的準確性、及時性以及提供的形式。只有保證一定質(zhì)量的管理信息系統(tǒng),才能在管理中發(fā)揮作用。
圖10-3為綜合性管理信息系統(tǒng)的一例。
圖中,該經(jīng)濟組織的各個子系統(tǒng)相互間有聯(lián)系和交叉,又與使用者系統(tǒng)有聯(lián)系。假若將一個工業(yè)部門或一個地區(qū)看作一個系統(tǒng),則各個企業(yè)又成為其子系統(tǒng),其范圍就更為廣泛了。
蘇聯(lián)在70年代已建成四級自動化綜合管理系統(tǒng)。它由基礎部份和功能部分組成?;A部分包括組織經(jīng)濟基礎、信息庫、技術基礎和軟系統(tǒng)等四個方面。功能部分由實現(xiàn)一系列課題的職能子系統(tǒng)組成。所謂四個結構層次是:國家級、中央部門和加盟共和國級、部門及共和國聯(lián)合公司級、基層企業(yè)級。全國數(shù)據(jù)傳遞系統(tǒng)把各部門,各主管機關的主要計算中心、各共和國管理機關的中心與全國自動化系統(tǒng)的總計算中心聯(lián)結起來。這就屬于更高階段的綜合性管理系統(tǒng)了。
目前我國除西藏外,各省市計委,統(tǒng)計局計算中心都安裝了ibm—4331或vs/80等電子計算機,正在逐步建立經(jīng)濟管理系統(tǒng)。
三、管理信息系統(tǒng)的基本工作內(nèi)容
實現(xiàn)對管理信息系統(tǒng)的基本要求,是通過信息的周轉(zhuǎn)過程實現(xiàn)的。信息的周轉(zhuǎn)過程,包括信息資料的獲取、加工、處理、傳輸、貯存等基本環(huán)節(jié)。這實際上也就是管理信息系統(tǒng)的基本工作內(nèi)容。要保證管理系統(tǒng)的有效運行,就必須使每個環(huán)節(jié)都能靈活而有效的運轉(zhuǎn),并形成互相協(xié)調(diào)、密切結合的系統(tǒng)有機體。
1.信息的獲取
信息收取是信息系統(tǒng)運行的第一步,也是重要的基礎。信息的質(zhì)量和信息系統(tǒng)其他環(huán)節(jié)的工作質(zhì)量,在很大程度上取決于原始信息的真實性和完整性。
2.信息的加工
原始的信息數(shù)以億萬計,作為管理決策使用的信息量,受人們接收信息能力的限制,不可太多。因此必須把大量的信息分成恰當?shù)膶哟?并且使最高管理層獲得少而精的反映出最基本最重要的情況。信息的加工處理,就是用科學的方法,對大量的原始信息進行篩選、分類、排序、比較和計算,去偽存真,使之系統(tǒng)化、條理化,以便保管、傳送和使用,節(jié)省人力、財力和時間,提高管理效能。信息的加工還包括信息分析,即通過對大量信息資料的研究,及時揭露矛盾,發(fā)現(xiàn)問題的苗頭,對管理活動進行評價。
3.信息的傳輸
信息只有從信息源及時傳送到使用者那里,才能起到應有作用。信息能否及時發(fā)出和到達,取決于信息傳輸?shù)墓δ?。信息的傳?要建立自己的傳輸通道系統(tǒng),形成信息流和信息網(wǎng)。管理組織機構和組織體系決定系統(tǒng)內(nèi)部基本的信息傳輸通道,但除此以外,信息系統(tǒng)還通過多條渠道,實現(xiàn)直接的和間接的、縱向的和橫向的、縱橫交錯的多方面聯(lián)系??梢?信息傳輸網(wǎng)是一個極為復雜和靈敏的系統(tǒng)。
4.信息的貯存
加工的信息,有的并非立即就用,有的雖然立即使用,但還要留作以后參考,所以產(chǎn)生了信息貯存和記憶的功能。信息貯存是信息在時間上的傳輸。通過信息貯存和積累,可以對客觀管理活動進行動態(tài)的系統(tǒng)和全面的研究。
第10篇 安全信息管理辦法
第一章:總? 則
第一條:為進一步落實《中華人民共和國安全生產(chǎn)法》和部“規(guī)范管理、強基達標”總要求,建立完善安全管理和監(jiān)督機制,推動安全生產(chǎn)步入法制化、制度化的管理軌道,更好地發(fā)揮安全信息指導運輸生產(chǎn)、提高超前預防和預控能力、確保運輸安全的作用,根據(jù)勞函【2005】227號文件關于印發(fā)《安全信息管理辦法》的要求,特制定本細則。
第二條:本細則規(guī)定的安全信息,系指凡是在生產(chǎn)過程中發(fā)生的各類行車事故、人身事故、管理問題、設備隱患、職工違章違紀及其它影響水電、安全的信息。
第三條:安全信息管理必須遵循的原則
1、真實性原則。凡反饋的安全信息,必須做到件件真實、來源可靠、實事求是、具有可追蹤性,杜絕虛假信息、失效信息、重復信息和非安全信息、保證安全信息的真實性。
2、準確性原則。各類安全信息的數(shù)據(jù)統(tǒng)計和綜合分析,必須做到全面、客觀、準確、避免錯、漏信息的發(fā)生。
3、時效性原則。安全信息的反饋要及時、快捷、嚴格按照規(guī)定時限提報,對反映的安全生產(chǎn)問題做到事事有著落、件件有回音、有整改。不得人為拖延,影響信息暢通。
4、數(shù)質(zhì)兼優(yōu)原則。安全信息的反饋要克服只重數(shù)量、不顧質(zhì)量問題,做到數(shù)質(zhì)兼優(yōu)。
5、分層管理的原則。安全室負責統(tǒng)計、掌握和分析全段b類及以上安全信息,車間要統(tǒng)計、掌握和分析c類及以上安全信息。
6、獎罰并舉原則。將安全信息管理工作作為對各級干部安全逐級負責制考核的一項重要內(nèi)容,在干部逐級負責制考核中兌現(xiàn)獎罰。
第二章:日常管理
第四條:安全信息建立段、車間二級管理網(wǎng)絡
1、段成立安全信息管理中心,設在安全室,全面負責安全信息的收集、反饋、分析、處理、應用、考核工作。
2、維修所、各車間成立信息管理站,信息管理站設專人負責。負責將作業(yè)現(xiàn)場發(fā)生的信息、班組自控中發(fā)生的a、b、c、d類信息收集、匯總、分析情況反饋到段安全信息管理中心。
第五條:各類事故、事件信息要按照相關文件的具體規(guī)定進行提報。反饋的事故、事件信息,必須真實反映概況、性質(zhì)、損失、原因、責任、處理、教訓和防范措施。
第六條:安全信息管理中心、站的主要職責
1、段安全信息管理中心的主要職責是:
(1)對段行車、勞動安全信息進行收集、登記、統(tǒng)計和綜合分析、調(diào)查處理。
(2)按規(guī)定時間向安全信息管理中心反饋上級發(fā)現(xiàn)的安全信息處理結果。
(3)對管內(nèi)各車間、科室安全信息管理工作進行檢查和考核評比。
(4)每月23日上網(wǎng)通報管內(nèi)各類安全信息,并跟蹤檢查,隨時通報上級檢查發(fā)現(xiàn)的各類安全信息。
(5)根據(jù)文件精神及時對段安全信息管理細則進行修訂完善。
2、段業(yè)務科室安全信息管理職責:
負責對本系統(tǒng)所發(fā)生的安全信息進行收集、登記、反饋并跟蹤處理,凡是影響行車的安全信息,技術室會同安全室必須親臨現(xiàn)場進行調(diào)查、處理。
3、維修所和各車間安全信息管理站的職責是:
(1)負責對本所、車間安全信息的收集、登記、統(tǒng)計和綜合分析、調(diào)查處理。
(2)按規(guī)定時間向段安全信息管理中心及時反饋安全信息。
(3)按時間對上級檢查反饋的信息進行調(diào)查、分析、處理、上報。
(4)做到充分利用信息解決現(xiàn)實安全生產(chǎn)中存在的安全問題。
第七條:安全信息等級及分類
執(zhí)行道部《路行車事故處理規(guī)則》和《b 類及以上安全信息分類標準》,具體明細見附件4。
1、信息等級
行車事故信息。(2)事故苗子信息。(3)a類信息。(4)b 類信息。(5)c 類信息。(6)d類信息。
2、信息分類
(1)安全管理信息,主要是干部安全管理失職等行為產(chǎn)生的信息。
(2)職工“兩違”信息,主要是職工違章違紀方面的信息。
(3)設備信息,主要是各種行車設備、安全監(jiān)控檢測設備信息。
(4)其它有關行車、人身安全方面的情況反饋。
第八條:安全信息量化規(guī)定見附表1
第九條:安全信息的提報時限和要求。
1、行車事故信息由安全室牽頭,技術室具體負責整理,系統(tǒng)主管段長審核后上報。
2、事故苗子由安全室或段調(diào)度在2小時內(nèi)上報到路安全信息管理中心或值班監(jiān)察。
3、各級領導干部 、各車間信息應在每日15時前將兩日內(nèi)(48小時)檢查發(fā)現(xiàn)的a、b類信息報段安全室(須立即處理的,應當即通知車間),安全室負責在每日16時前將段有效信息上報到安全信息管理中心。
4、對路領導批示的信息,系統(tǒng)主管段長要指定相關科室、部門組織調(diào)查、處理,并將情況及時上報安全監(jiān)察室和相關業(yè)務處。
第三章:綜合分析、利用、跟蹤處理
第十條:綜合分析
1、各車間每月22日前將月份安全分析報告上報到段安全室(安全分析報告格式見附件3),半年、年度安全工作總結通過段辦公網(wǎng)傳到安全室“安全預測”欄內(nèi)。
2、安全室每月25日前將全段月度安全分析報告提報安全監(jiān)察室,并按規(guī)定上報半年和全年安全工作總結。
3、段安全信息納入日交班、周大交班、月安全分析會和安全委員會中進行專題分析,各車間也要比照執(zhí)行。
4、安全信息管理中心除每周、月、季、半年、年對全段發(fā)生的b類以上考核信息進行全面統(tǒng)計外,還要對全段a類信息及事故、事故苗子信息定期進行分析。
第十一條:信息利用、跟蹤處理
1、充分利用安全信息的預測功能、評價功能、導向功能,把信息作為安全決策的重要依據(jù),運用信息正確指導運輸安全工作。
2、必須按照“四不放過”的原則做到對安全信息反映的傾向性問題不弄清責任不放過,不分析管理原因不放過,不吸取教訓不放過、不制定整改措施不放過。
3、段每月對各科室、車間上報安全信息情況進行考核,對排尾單位在段月度安全分析會上進行專題解剖,查找問題、制定對策、督促整改。
4、車間對上級發(fā)現(xiàn)的及自查信息進行分析,找出問題點,制定整改方案。
第四章:安全信息的考核
第十二條:基本原則
每月對各級干部和車間信息管理工作進行一次全面考核,總結經(jīng)驗,查找問題,進行整改,以便于進一步完善對安全信息的管理。
主要對信息數(shù)量、信息質(zhì)量、信息利用、信息處理、信息分析、信息管理等方面進行綜合評價。
第十三條:信息考核
段每月由安全室、勞人室負責對各級干部反饋信息及維修所、車間安全信息管理情況進行抽查或跟蹤檢查,對各類安全信息進行核實,重點進行信息打假活動,并嚴格按下列考核標準進行考核。
一、發(fā)生下列情況之一的,車間干部當月安全逐級負責制失格。
1、發(fā)生責任b類及以上事故;
2、發(fā)生責任職工輕傷及以上事故;
3、發(fā)生責任火災、爆炸事故
4、上級檢查發(fā)現(xiàn)的嚴重“兩違”;
5、謊報事故概況,隱瞞事故;
6、上報虛假信息。
二、上級檢查發(fā)現(xiàn)的信息
1、“兩違”類信息
(1)職工嚴重“兩違”的,按照水電安聯(lián)【2005】7號《發(fā)生責任行車事故及職工嚴重“兩違”處罰辦法》第三章中規(guī)定,直接責任者實行待崗3-6月。
(2)a類信息:考核車間干部當月逐級負責制10分;
考核責任者當月生產(chǎn)獎金全部,聯(lián)掛工長40元。
(3)b類信息:考核車間干部當月逐級負責制5分。
考核責任者當月生產(chǎn)獎金50元,聯(lián)掛工長20元。
2、管理類信息
(1)a類信息:考核車間干部當月逐級負責制5分。
考核責任者當月生產(chǎn)獎金20元,聯(lián)掛工長10元。
(2)b類信息:考核車間干部當月逐級負責制2分。
考核責任者當月生產(chǎn)獎金10元,聯(lián)掛工長5元。
3、設備類信息
(1)a類信息:責任的考核車間干部當月逐級負責制3分,非責任的考核2分。
考核責任者當月生產(chǎn)獎金20元,聯(lián)掛工長10元。
(2)b類信息:責任的考核車間干部當月逐級負責制2分,非責任的考核1分。
考核責任者當月生產(chǎn)獎金10元,聯(lián)掛工長5元。
三、段檢查發(fā)現(xiàn)的信息
1、違章類信息
(1)職工嚴重“兩違”的,按照水電安聯(lián)【2005】7號《發(fā)生責任行車事故及職工嚴重“兩違”處罰辦法》第三章中規(guī)定,直接責任者實行待崗3-6月。
(2)a類信息:考核車間干部當月逐級負責制1分;
考核責任者當月生產(chǎn)獎金20元,聯(lián)掛工長10元。
(3)b類信息:考核車間干部當月逐級負責制0.5分。
考核責任者當月生產(chǎn)獎金10元,聯(lián)掛工長5元
2、管理類信息
(1)a類信息:考核車間干部當月逐級負責制1分;
考核責任者當月生產(chǎn)獎金20元,聯(lián)掛工長10元。
(2)b類信息:考核車間干部當月逐級負責制0.5分。
考核責任者當月生產(chǎn)獎金10元,聯(lián)掛工長5元。
3、設備類信息
(1)a類信息:考核車間干部當月逐級負責制1分;
考核責任者當月生產(chǎn)獎金20元、聯(lián)掛工長10元。
(2) b類信息:考核車間干部當月逐級負責制0.5分;
考核責任者當月生產(chǎn)獎金10元、聯(lián)掛工長5元。
4、c、d類信息:檢查人員就地反饋給車間,車間組織工長對責任者進行幫助教育,采取措施,杜絕重復發(fā)生。
四、車間檢查發(fā)現(xiàn)的信息
1、違章類信息
(1)職工嚴重“兩違”的,按照水電安聯(lián)【2005】7號《發(fā)生責任行車事故及職工嚴重“兩違”處罰辦法》第三章中規(guī)定,直接責任者實行待崗3-6月。
(2)a類信息:考核責任者當月生產(chǎn)獎金20元,聯(lián)掛工長10元。
(3)b類信息:考核責任者當月生產(chǎn)獎金10元,聯(lián)掛工長5元。
2、管理類信息
(1)a類信息:考核工長10元。
(2)b類信息:考核工長5元。
3、設備類信息
(1)a類信息:考核責任者當月生產(chǎn)獎金20元,聯(lián)掛工長10元。
(2)b類信息:考核責任者當月生產(chǎn)獎金10元,聯(lián)掛工長5元。
4、c、d類信息:考核責任者當月生產(chǎn)獎金5元
五、沒有完成月份信息定量的科室、車間,按照《生產(chǎn)獎二次分配考核辦法》中的信息考核規(guī)定進行考核。
第五章:附? 則
第十五條:本細則自2005年6月10日起執(zhí)行,水電安聯(lián)[2004] 4號文件同時廢止。
第十六條:本細則由段安全室負責解釋。
第11篇 市發(fā)改委計算機信息網(wǎng)絡安全管理規(guī)定
為加強我委計算機信息網(wǎng)絡安全管理,確保信息網(wǎng)絡安全、高效、正常運行,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》和柳保(2010)9號《關于在全市開展保密計算機違規(guī)聯(lián)接互聯(lián)網(wǎng)監(jiān)管工作的通知》和有關規(guī)定,制定本規(guī)定。
第一條 全委干部職工必須嚴格遵守國家保密法和計算機網(wǎng)絡信息安全管理法規(guī)及本規(guī)定。
第二條 任何單位和個人不得利用本委計算機信息網(wǎng)絡從事危害國家安全、泄露國家秘密等非法活動,不得利用本委計算機信息網(wǎng)絡制作、查閱、復制和傳播妨礙社會治安和淫穢色情等有害信息。
第三條 涉密計算機信息系統(tǒng)的研制、安裝和使用,必須符合保密要求,并采取有效的措施,配置合格的保密專用設備,防泄密、防竊密。
第四條 涉密計算機信息系統(tǒng)必須與互聯(lián)網(wǎng)實行物理隔離,嚴禁用處理國家秘密信息的計算機(包括便攜式計算機)上互聯(lián)網(wǎng)。
第五條 裝有國家秘密信息的便攜式計算機原則上只能在委機關內(nèi)使用,確因工作需要攜帶外出,必須將涉密信息全部轉(zhuǎn)出便攜式存儲設備存放在機關。
第六條 上互聯(lián)網(wǎng)的計算機必須與處理涉密信息的計算機嚴格區(qū)分,專機專用,不得既用于上互聯(lián)網(wǎng)又用于處理國家秘密信息。
第七條 計算機網(wǎng)絡插頭和接口,必須標明字樣,嚴格區(qū)分,按規(guī)范安裝,其他人員不得擅自刪除或更改與網(wǎng)絡系統(tǒng)有關的設置,嚴防由于誤操作造成泄密。
第八條 涉密信息和數(shù)據(jù)必須按照保密規(guī)定進行采集、存儲、處理、傳遞、使用和銷毀。使用計算機起草、存儲、處理、傳遞涉密文件、材料,必須在涉密計算機上進行。
第九條 建立上網(wǎng)信息保密審查制度,堅持“誰上網(wǎng)誰負責'的原則,信息上網(wǎng)必須經(jīng)過嚴格審查和批準,確保國家秘密不上網(wǎng),上網(wǎng)信息不涉密。
第十條 各科室,應當造冊登記,切實加強軟盤、磁帶、光盤、移動硬盤等信息媒體管理。存儲有國家秘密信息的信息媒體,按所存儲信息的最高密級標明密級,并按相應密級文件的保密規(guī)定進行管理,不得降低密級使用。不再使用的信息媒體應及時銷毀。
第十一條 報廢、維修存儲過國家秘密信息的計算機和信息媒體,須交委辦公室按保密規(guī)定統(tǒng)一處理,保證所存儲的國家秘密信息不被泄露。
第十二條 做好計算機信息系統(tǒng)數(shù)據(jù)備份。根據(jù)需要與存貯環(huán)境,重要信息要定期(半年至二年)進行循環(huán)復制三份分處存放,并注意防止因靜電、電磁干擾等原因?qū)е滦畔G失。
第十三條 做好計算機日常維護工作,嚴格查毒殺毒,發(fā)現(xiàn)病毒及時清除,確保信息系統(tǒng)安全運行。
第十四條 妥善保管和使用計算機ca認證系統(tǒng)密鑰,保守計算機信息系統(tǒng)用戶口令秘密。密鑰被盜或遺失,應及時作廢,重新分配。
第十五條 文印室計算機管理。文印室的計算機由打字員負責管理,任何人不得擅自使用文印室的計算機,如需用掃描儀應自帶u盤在外網(wǎng)計算機上操作直接將文件存入自帶盤中,嚴禁掃描、傳輸有密級的文件。嚴禁外單位人員進入文印室。
第十六條 本委計算機信息網(wǎng)絡安全工作由委信息安全領導小組負責。委主要負責人擔任領導小組組長,成員由各科室負責人組成。領導小組職責是:
(一)根據(jù)國家有關計算機信息網(wǎng)絡安全的法規(guī)和政策,審定本委計算機信息網(wǎng)絡安全工作計劃和管理制度;
(二)指導和檢查本委計算機信息網(wǎng)絡安全工作;
(三)定期對計算機信息系統(tǒng)的系統(tǒng)安全保密管理人員進行上崗前保密培訓,嚴格審查和考核。
(四)研究、解決本委計算機信息網(wǎng)絡安全重大問題。
第十七條 委信息安全領導小組下設辦公室,由委辦公室和相關人員組成,在領導小組領導下,負責本委計算機信息網(wǎng)絡安全管理的日常工作。
第十八條 各科室負責人是本科室計算機信息網(wǎng)絡安全工作的第一責任人,對本科室信息安全工作負責。
第十九條 各科室切實加強對本科室的保密知識教育,提高工作人員信息安全保密意識,自覺遵守保密紀律和有關保密規(guī)定,發(fā)現(xiàn)有違反規(guī)定的行為,立即糾正,發(fā)現(xiàn)國家秘密泄露或可能泄露情況時,應當立即報告委信息安全領導小組。
第二十條 違反本規(guī)定造成泄密的,將按有關法律和規(guī)定,追究當事人和責任人的責任,依法依紀進行處理。
第二十一條本規(guī)定自發(fā)布之日起執(zhí)行。
轉(zhuǎn)發(fā).分享
第12篇 it部信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定
第一章?? 總則
一、 目的:
依據(jù)《xx集團信息技術資源安全保護規(guī)定》和有關公司規(guī)定,為進一步加強xx集團計算機信息系統(tǒng)安全保密管理,并結合各系統(tǒng)、各子公司的實際情況,制定本制度。
二、 范圍:
計算機信息系統(tǒng)包括:涉密計算機信息系統(tǒng)和非涉密計算機信息系統(tǒng)。其中,涉密計算機信息系統(tǒng)指以計算機或者計算機網(wǎng)絡為主體,按照一定的應用目標和規(guī)則構成的處理涉密信息的人機系統(tǒng)。
三、 原則:
涉密計算機信息系統(tǒng)的保密工作堅持積極防范、突出重點,既確保企業(yè)信息安全又有利于企業(yè)開展正常業(yè)務的方針。
涉密計算機信息系統(tǒng)的安全保密工作實行分級保護與分類管理相結合、行政管理與技術防范相結合、防范外部與控制內(nèi)部相結合的原則。
涉密計算機信息系統(tǒng)的安全保密管理,堅持“誰使用,誰負責”的原則,同時實行主要領導負責制。
第二章? 系統(tǒng)管理人員的職責
一、 崗位設置:
用戶單位的涉密計算機信息系統(tǒng)的管理由用戶保密單位負責,具體技術工作由集團it部承擔,設置以下安全管理崗位:系統(tǒng)管理員、安全保密管理員、密鑰管理員。
二、 崗位職責:
系統(tǒng)管理員負責信息系統(tǒng)和網(wǎng)絡系統(tǒng)的運行維護管理,主要職責是:信息系統(tǒng)主機的日常運行維護;信息系統(tǒng)的系統(tǒng)安裝、備份、維護;信息系統(tǒng)數(shù)據(jù)庫的備份管理; 應用系統(tǒng)訪問權限的管理;網(wǎng)絡設備的管理;網(wǎng)絡的線路保障;網(wǎng)絡服務器平臺的運行管理,網(wǎng)絡病毒入侵防范。
安全保密管理員負責網(wǎng)絡信息系統(tǒng)的安全保密技術管理,主要職責是:網(wǎng)絡信息安全策略管理;網(wǎng)絡信息系統(tǒng)安全檢查;涉密計算機的安全管理;網(wǎng)絡信息系統(tǒng)的安全審計管理。
密鑰管理員負責密鑰的管理,主要職責是:身份認證系統(tǒng)的管理;密鑰的制作;密鑰的更換;密鑰的銷毀。
三、 工作監(jiān)管:
對涉密計算機信息系統(tǒng)安全管理人員的管理要遵循“從不單獨原則”、“責任分散原則”和“最小權限原則”。
新調(diào)入或任用涉密崗位的系統(tǒng)管理人員,必須先接受保密教育和網(wǎng)絡安全保密知識培訓后方可上崗工作。
保密單位負責定期組織系統(tǒng)管理人員進行保密法規(guī)知識的宣傳教育和培訓工作。
第三章? 機房管理制度
一、 機房安全管理:
進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)、食品等對設備正常運行構成威脅的物品。嚴禁在機房內(nèi)吸煙。嚴禁在機房內(nèi)堆放與工作無關的雜物。
機房內(nèi)不得使用無線通訊設備,禁止拍照和攝影。
機房內(nèi)應按要求配置足夠量的消防器材,并做到三定(定位存放、定期檢查、定時更換)。加強防火安全知識教育,做到會使用消防器材。加強電源管理,嚴禁亂接電線和違章用電。發(fā)現(xiàn)火險隱患,及時報告,并采取安全措施。
二、 機房日常管理:
各類技術檔案、資料由專人妥善保管并定期檢查。
機房應保持整潔有序,地面清潔。設備要排列整齊,布線要正規(guī),儀表要齊備,工具要到位,資料要齊全。機房的門窗不得隨意打開。
每天上班前和下班后對機房做日常巡檢,檢查機房環(huán)境、電源、設備等并做好相應記錄(見表一)。
三、 機房門禁管理:
出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經(jīng)集團it部批準,并有專人陪同。
機房大門必須隨時關閉上鎖。機房鑰匙由集團公司集團it部管理。
機房門禁卡(以下簡稱門禁卡)由xx集團it部管理。門禁卡的發(fā)放范圍是:系統(tǒng)管理員、安全保密管理員和密鑰管理員。對臨時進入機房工作的人員,不再發(fā)放門禁卡,在向用戶單位保密部門提出申請得到批準后,由安全保密管理員陪同進入機房工作。
門禁卡應妥善保管,不得遺失和互相借用。門禁卡遺失后,應立即上報門禁卡管理單位,同時寫出書面說明。
第四章? 系統(tǒng)管理員工作細則
第一節(jié)? 系統(tǒng)主機維護管理辦法
一、 工作職責:
系統(tǒng)主機由系統(tǒng)管理員負責維護,未經(jīng)允許任何人不得對系統(tǒng)主機進行操作。
根據(jù)系統(tǒng)設計方案和應用系統(tǒng)運行要求進行主機系統(tǒng)安裝、調(diào)試,建立系統(tǒng)管理員賬戶,設置管理員密碼,建立用戶賬戶,設置系統(tǒng)策略、用戶訪問權利和資源訪問權限,并根據(jù)安全風險最小化原則及運行效率最大化原則配置系統(tǒng)主機。
建立系統(tǒng)設備檔案(見表二)、包括系統(tǒng)主機詳細的技術參數(shù),如:品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息,妥善保管系統(tǒng)主機保修卡,在系統(tǒng)主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。
二、 日常維護及例行檢查:
每月: 每月修改系統(tǒng)主機管理員密碼,密碼長度不得低于八位,要求有數(shù)字、字母并區(qū)分大小寫。每月對系統(tǒng)主機運行情況進行總結、并寫出系統(tǒng)主機運行維護月報,上報基礎架構管理負責人。
每周: 通過系統(tǒng)性能分析軟件對系統(tǒng)主機進行運行性能分析,并做詳細記錄(見表四),根據(jù)分析情況對系統(tǒng)主機進行系統(tǒng)優(yōu)化,包括磁盤碎片整理、系統(tǒng)日志文件清理,系統(tǒng)升級等。每周對系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進行備份,做詳細記錄(見表四)。每周下載安裝最新版的系統(tǒng)補丁,對系統(tǒng)主機進行升級,做詳細記錄(見表四)。
每天: 檢查系統(tǒng)主機各硬件設備是否正常運行,并做詳細記錄(見表五)。每天檢查系統(tǒng)主機各應用服務系統(tǒng)是否運行正常,并做詳細記錄(見表五)。每天記錄系統(tǒng)主機運行維護日記,對系統(tǒng)主機運行情況進行總結。在系統(tǒng)主機發(fā)生故障時應及時通知用戶,用最短的時間解決故障,保證系統(tǒng)主機盡快正常運行,并對系統(tǒng)故障情況做詳細記錄(見表六)。
第二節(jié)? 信息系統(tǒng)運行維護管理辦法
一、 工作職責:
根據(jù)信息系統(tǒng)的設計要求及實施細則安裝、調(diào)試、配置信息系統(tǒng),建立信息系統(tǒng)管理員賬號,設置管理員密碼,密碼要求由數(shù)字和字母組成,區(qū)分大小寫,密碼長度不得低于8位。管理員密碼至少每月修改一次。
信息系統(tǒng)的開發(fā)和上線必須嚴格將開發(fā)環(huán)境和生產(chǎn)環(huán)境分開。不允許兩個環(huán)境使用同一個服務器、或同一個操作系統(tǒng)、或同一個數(shù)據(jù)庫實例。
對信息系統(tǒng)的基本配置信息做詳細記錄,包括系統(tǒng)配置信息、用戶帳戶名稱,系統(tǒng)安裝目錄、數(shù)據(jù)文件存貯目錄,在信息系統(tǒng)配置信息發(fā)生改變時及時更新記錄(見表三)。
二、 日常維護及例行檢查:
每月:對信息系統(tǒng)運行維護情況進行總結,并寫出信息系統(tǒng)維護月報,并上報信息系統(tǒng)的技術負責人和業(yè)務負責人。
每周: 對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、用戶id文件、系統(tǒng)日志進行備份,并做詳細記錄(見表四),備份介質(zhì)并存檔。
每天: 檢查信息系統(tǒng)各項應用功能是否運行正常,并做詳細記錄(見表五)。每天記錄信息系統(tǒng)運行維護日志,定期對信息系統(tǒng)運行情況進行總結。
三、 問題處理:
在信息系統(tǒng)發(fā)生故障時,應及時通知用戶,并用最短的時間解決故障,保證信息系統(tǒng)盡快正常運行,并對系統(tǒng)故障情況做詳細記錄(見表六)。
當信息系統(tǒng)用戶發(fā)生增加、減少、變更時,新建用戶帳戶,新建用戶郵箱,需經(jīng)保密單位審批,并填寫系統(tǒng)用戶申請單或系統(tǒng)用戶變更申請單(見表七),審批通過后,由系統(tǒng)管理員進行操作,并做詳細記錄。
根據(jù)用戶需求設置信息系統(tǒng)各功能模塊訪問權限,并提交信息系統(tǒng)的業(yè)務主管審批。
第三節(jié)? 網(wǎng)絡系統(tǒng)運行維護管理辦法
一、 工作職責:
網(wǎng)絡系統(tǒng)運行維護由系統(tǒng)管理員專人負責,未經(jīng)允許任何人不得對網(wǎng)絡系統(tǒng)進行操作。
根據(jù)網(wǎng)絡系統(tǒng)設計方案和實施細則安裝、調(diào)試、配置網(wǎng)絡系統(tǒng),包括交換機配置、路由器配置,建立管理員賬號,設置管理員密碼,并關閉所有遠程管理端口。
建立系統(tǒng)設備檔案(見表二),包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息,詳細記錄綜合布線系統(tǒng)信息配置表,交換機系統(tǒng)配置,路由器系統(tǒng)配置,網(wǎng)絡拓撲機構圖,vlan劃分表,并在系統(tǒng)配置發(fā)生變更時及時對設備檔案進行更新。
二、 日常維護及例行檢查:
每月: 對網(wǎng)絡系統(tǒng)運行維護情況進行總結,并作出網(wǎng)絡系統(tǒng)運行維護月報。
每周: 對網(wǎng)絡系統(tǒng)設備(交換機、路由器)進行清潔。每周修改網(wǎng)絡系統(tǒng)管理員密碼。每周檢測網(wǎng)絡系統(tǒng)性能,包括數(shù)據(jù)傳輸?shù)姆€(wěn)定性、可靠性、傳輸速率。
每天: 檢查網(wǎng)絡系統(tǒng)設備(交換機、路由器)是否正常運行。
三、 問題處理:
網(wǎng)絡變更后進行網(wǎng)絡系統(tǒng)配置資料備份。
當網(wǎng)絡系統(tǒng)發(fā)生故障時,應及時通知用戶,并在最短的時間內(nèi)解決問題,保證網(wǎng)絡系統(tǒng)盡快正常運行,并對系統(tǒng)故障情況作詳細記錄(見表六)。
第四節(jié) 終端電腦運行維護管理辦法
一、 工作職責:
終端電腦的維護由系統(tǒng)管理員負責,未經(jīng)允許任何人不得對終端電腦進行維護操作。
根據(jù)用戶應用需求和安全要求安裝、調(diào)試電腦主機,安裝操作系統(tǒng)、應用軟件、殺毒軟件等等。
建立系統(tǒng)設備檔案(見表二)、包括電腦的品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息,在電腦主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。
二、 問題處理:
在電腦主機發(fā)生故障時應及時進行處理,備份用戶文件,用最短的時間解決故障,保證電腦主機盡快能夠正常運行,并對電腦主機故障情況做詳細記錄(見表六),涉及存儲介質(zhì)損壞,直接送交集團it部處理。
第五節(jié) 網(wǎng)絡病毒入侵防范管理辦法
一、 工作職責:
網(wǎng)絡病毒入侵防護系統(tǒng)由系統(tǒng)管理員專人負責,任何人未經(jīng)允許不得進行此項操作。
根據(jù)網(wǎng)絡系統(tǒng)安全設計要求安裝、配置瑞星、金山、avast等網(wǎng)絡病毒防護系統(tǒng),包括服務器端系統(tǒng)配置和客戶機端系統(tǒng)配置,開啟客戶端防病毒系統(tǒng)的實時監(jiān)控。
所有xx集團(包括各子公司、分公司、分區(qū))的服務器和個人電腦,禁止安裝360安全衛(wèi)士的全系列產(chǎn)品。
二、 日常維護及例行檢查:
每周: 登陸防病毒公司網(wǎng)站,下載最新的升級文件,對系統(tǒng)進行升級,并作詳細記錄(見表九)。每周對網(wǎng)絡系統(tǒng)進行全面的病毒查殺,對病毒查殺結果做系統(tǒng)分析,并做詳細記錄(見表十)。
每日: 監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志,檢測是否有病毒入侵、安全隱患等,對所發(fā)現(xiàn)的問題進行及時處理,并做詳細記錄(見表八)。每日瀏覽國家計算機病毒應急處理中心網(wǎng)站,了解最新病毒信息發(fā)布情況,及時向用戶發(fā)布病毒預警和預防措施。
第五章? 安全保密管理員工作細則
第一節(jié) 網(wǎng)絡信息安全策略管理辦法
一、 工作職責:
網(wǎng)絡安全策略管理由安全保密管理員專職負責,未經(jīng)允許任何人不得進行此項操作。
根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結果,制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略,并做記錄(見表十一)。
根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略,并做記錄(見表十一)。
根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略,并做記錄(見表十一)。
根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略,并做記錄(見表十一)。
網(wǎng)絡信息安全技術防護系統(tǒng)(主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng))由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。
二、 日常維護及例行檢查:
每周: 對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份,并作詳細記錄(見表十二)。
第二節(jié) 網(wǎng)絡信息系統(tǒng)安全檢查管理辦法
一、 工作職責:
網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行,未經(jīng)允許任何人不得進行此項操作。
二、 日常維護及例行檢查:
每月: 通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析,并對掃描結果進行分析,及時對終端系統(tǒng)漏洞及安全隱患進行處理,作詳細記錄(見表十五),并將安全評估分析報告上報集團it部。
每周: 登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并做詳細記錄(見表十四)。
每周登錄全評估產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并作詳細記錄(見表十六)。
每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息,并作詳細記錄(見表十七)。
每天: 根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志,檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等,對異常情況做及時處理,遇有重大安全問題上報集團it部,并做詳細記錄(見表十三)。
第三節(jié) 涉密計算機安全管理辦法
一、 工作職責:
涉密計算機安全管理由安全保密管理員專人負責,未經(jīng)允許任何人不得進行此項操作。
根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略,包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略,并做記錄。
二、 日常維護及例行檢查:
每日對涉密計算機進行安全審計,及時處理安全問題,并做詳細記錄(見表十八),遇有重大問題上報保密部門。
三、 問題處理:
涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批,審批通過后由安全保密管理員統(tǒng)一進行操作,并做詳細記錄(見表十八)。
新增涉密計算機聯(lián)入涉密網(wǎng)絡,需經(jīng)集團it部審批,由安全保密管理員統(tǒng)一進行操作,并做詳細記錄(見表十八)。
第四節(jié) 安全審計管理辦法
一、 工作職責:
網(wǎng)絡信息安全審計系統(tǒng)由安全保密管理員負責,未經(jīng)允許任何人不得進行此項操作。
根據(jù)網(wǎng)絡系統(tǒng)主機安全設計要求安裝、配置、管理主機安全審計系統(tǒng),制定審計規(guī)則,包括系統(tǒng)運行狀態(tài)、用戶登錄信息,網(wǎng)絡文件共享操作等。
二、 日常維護及例行檢查:
每月:對主機安全審計系統(tǒng)記錄信息進行分析總結,并向保密部門提交分析報告。
每周:備份設備安全審計系統(tǒng)審計信息,并做詳細記錄(見表二十)。
每日:查看安全審計系統(tǒng)信息,對審計結果進行分析整理,及時處理所發(fā)生的設備安全問題,并做詳細記錄(見表十九)。
第五章? 密鑰管理員工作細則
一、 工作職責:
身份認證系統(tǒng)由密鑰管理員專人負責,未經(jīng)允許任何人不得進行此項操作。
負責向用戶單位派發(fā)安全鑰匙,用戶需填寫審批表,并提交保密部門審批(見表二十一)。
負責為每臺計算機安裝主機登錄系統(tǒng)。
負責主機登錄系統(tǒng)、身份認證系統(tǒng)的系統(tǒng)維護。
根據(jù)用戶需求,見保密部門審批單要求,制作、修改、注銷證書(見表七)。
二、 日常維護及例行檢查:
每日:檢查身份認證系統(tǒng)是否正常運行。
第六章? 數(shù)據(jù)資產(chǎn)管理規(guī)定
一、 范圍:
xx集團的內(nèi)部各信息系統(tǒng)均為涉密計算機信息系統(tǒng),所有信息系統(tǒng)內(nèi)的數(shù)據(jù)資源均為xx集團的財產(chǎn),任何人不得以任何方式私自復制、修改、保留。
二、 職責:
信息系統(tǒng)的運行維護由系統(tǒng)管理員和信息系統(tǒng)的業(yè)務單位指定的管理員共同負責,未經(jīng)系統(tǒng)管理員和信息系統(tǒng)的業(yè)務主管領導同意,任何人不得在系統(tǒng)后臺對信息系統(tǒng)進行任何操作。
系統(tǒng)管理員只對信息系統(tǒng)的技術平臺擁有相應的管理權限,任何對信息系統(tǒng)數(shù)據(jù)的使用均需要信息系統(tǒng)的業(yè)務主管領導同意;未經(jīng)許可系統(tǒng)管理員不得以任何方式向第三方透漏信息系統(tǒng)內(nèi)的任何信息。
三、 所有權:
信息系統(tǒng)(集團財務系統(tǒng)、媒介系統(tǒng)等)的數(shù)據(jù)直接管理權歸相應的業(yè)務單位所有(例如,媒介系統(tǒng)的業(yè)務所有人為媒介管理部。信息系統(tǒng)的技術維護工作由xx集團it部或相應的授權技術服務團隊負責。
所有有權直接接觸信息系統(tǒng)的生產(chǎn)環(huán)境的技術團隊成員,均需簽署保密協(xié)議。技術團隊成員有責任和義務為相關系統(tǒng)的信息或代碼保密。
第七章? 計算機信息系統(tǒng)應急預案
一、 工作職責:
系統(tǒng)管理人員參與制定各種意外事件處置預案,并具體執(zhí)行,包括火災、停電、設備故障等,每年進行預案演練。
二、 系統(tǒng)應急場景:
(一) 遇到火災應根據(jù)火情采取以下措施:
1. 如火情較輕時,應立即切斷機房總電源,并迅速用消防器材,力爭把火撲滅、控制在初期階段,同時上報集團保衛(wèi)部門。
2. 如火情嚴重應迅速撥打報警電話“119”,同時通知集團保衛(wèi)部門,聽從消防工作人員的現(xiàn)場指揮,協(xié)助處理有關事項。
(二) 如遇機房突發(fā)性停電,應迅速通知用戶,同時檢查后備電源使用情況;如有需要,可以關閉設備電源;來電后,及時通知用戶,并檢測設備是否正常運行。
(三) 系統(tǒng)出現(xiàn)災難性故障時,系統(tǒng)管理員應立刻通知部門主管,制定詳細的系統(tǒng)恢復方案。
三、 問題處理:
遇緊急情況,值班員應立即通知集團it部和系統(tǒng)管理員,保持24小時通訊暢通,隨時處理緊急事件。
線路故障應立即撥打線路故障電話“112”,同時上報部門主管,協(xié)助電信部門查找故障原因,盡快使線路恢復正常。