信息安全管理政策和業(yè)務(wù)培訓(xùn)制度
第一章信息安全政策
??????? 一、計算機設(shè)備管理制度
??????? 1.計算機的使用部門要保持清潔�����、安全�����、良好的計算機設(shè)備工作環(huán)境�����,禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆�����、強腐蝕�����、強磁性等有害計算機設(shè)備安全的物品�����。
??????? 2.非我司技術(shù)人員對我司的設(shè)備�����、系統(tǒng)等進行維修�����、維護時�����,必須由我司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督�����。計算機設(shè)備送外維修,須經(jīng)有關(guān)部門負責(zé)人批準(zhǔn)�����。
??????? 3.嚴(yán)格遵守計算機設(shè)備使用�����、開機�����、關(guān)機等安全操作規(guī)程和正確的使用方法�����。任何人不允許帶電插撥計算機外部設(shè)備接口�����,計算機出現(xiàn)故障時應(yīng)及時向電腦負責(zé)部門報告,不允許私自處理或找非我司技術(shù)人員進行維修及操作�����。
??????? 二�����、操作員安全管理制度
??????? 1.操作代碼是進入各類應(yīng)用系統(tǒng)進行業(yè)務(wù)操作�����、分級對數(shù)據(jù)存取進行控制的代碼�����。操作代碼分為系統(tǒng)管理代碼和一般操作代碼�����。代碼的設(shè)置根據(jù)不同應(yīng)用系統(tǒng)的要求及崗位職責(zé)而設(shè)置.
??????? 2.系統(tǒng)管理操作代碼的設(shè)置與管理:
??????? (1)�����、系統(tǒng)管理操作代碼必須經(jīng)過經(jīng)營管理者授權(quán)取得�����;
??????? (2)、系統(tǒng)管理員負責(zé)各項應(yīng)用系統(tǒng)的環(huán)境生成�����、維護�����,負責(zé)一般操作代碼的生成和維護�����,負責(zé)故障恢復(fù)等管理及維護�����;
??????? (3)�����、系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)整理�����、故障恢復(fù)等操作�����,必須有其上級授權(quán)�����;
??????? (4)�����、系統(tǒng)管理員不得使用他人操作代碼進行業(yè)務(wù)操作�����;
??????? (5)�����、系統(tǒng)管理員調(diào)離崗位�����,上級管理員(或相關(guān)負責(zé)人)應(yīng)及時注銷其代碼并生成新的系統(tǒng)管理員代碼�����;
??????? 3.一般操作代碼的設(shè)置與管理
??????? (1)、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成�����,應(yīng)按每操作用戶一碼設(shè)置�����。
??????? (2)�����、操作員不得使用他人代碼進行業(yè)務(wù)操作�����。
??????? (3)�����、操作員調(diào)離崗位�����,系統(tǒng)管理員應(yīng)及時注銷其代碼并生成新的操作員代碼�����。
??????? 三�����、密碼與權(quán)限管理制度
??????? 1.密碼設(shè)置應(yīng)具有安全性�����、保密性�����,不能使用簡單的代碼和標(biāo)記�����。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼�����,也是保護用戶自身權(quán)益的控制代碼�����。密碼分設(shè)為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時所設(shè)的密碼�����,操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼�����。密碼設(shè)置不應(yīng)是名字�����、生日�����,重復(fù)�����、順序�����、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串�����;
??????? 2.密碼應(yīng)定期修改�����,間隔時間不得超過一個月�����,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改�����,并在相應(yīng)登記簿記錄用戶名�����、修改時間�����、修改人等內(nèi)容�����。
??????? 3.服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負責(zé)人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設(shè)置和管理�����,并由密碼設(shè)置人員將密碼裝入密碼信封�����,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記�����。如遇特殊情況需要啟用封存的密碼�����,必須經(jīng)過相關(guān)部門負責(zé)人同意�����,由密碼使用人員向密碼管理人員索取�����,使用完畢后,須立即更改并封存�����,同時在“密碼管理登記簿”中登記�����。
??????? 4.系統(tǒng)維護用戶的密碼應(yīng)至少由兩人共同設(shè)置�����、保管和使用�����。
??????? 5.有關(guān)密碼授權(quán)工作人員調(diào)離崗位�����,有關(guān)部門負責(zé)人須指定專人接替并對密碼立即修改或用戶刪除�����,同時在“密碼管理登記簿”中登記�����。
??????? 四�����、數(shù)據(jù)安全管理制度
??????? 1.存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識�����。備份數(shù)據(jù)必須異地存放�����,并明確落實異地備份數(shù)據(jù)的管理職責(zé)�����;
??????? 2.注意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放�����、運輸安全和保密管理�����,保證存儲介質(zhì)的物理安全。
??????? 3.任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥�����、轉(zhuǎn)讓�����、廢棄或銷毀必須嚴(yán)格按照程序進行逐級審批�����,以保證備份數(shù)據(jù)安全完整�����。
??????? 4.數(shù)據(jù)恢復(fù)前�����,必須對原環(huán)境的數(shù)據(jù)進行備份�����,防止有用數(shù)據(jù)的丟失�����。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行�����,出現(xiàn)問題時由技術(shù)部門進行現(xiàn)場技術(shù)支持�����。數(shù)據(jù)恢復(fù)后�����,必須進行驗證�����、確認(rèn)�����,確保數(shù)據(jù)恢復(fù)的完整性和可用性�����。
??????? 5.數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份,在確認(rèn)備份正確后方可進行清理操作�����。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存�����,并確?����?梢噪S時使用�����。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期�����,避免對聯(lián)機業(yè)務(wù)運行造成影響�����。
??????? 6.需要長期保存的數(shù)據(jù)�����,數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案�����,根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存�����,防止存儲介質(zhì)過期失效�����,通過有效的查詢�����、使用方法保證數(shù)據(jù)的完整性和可用性�����。轉(zhuǎn)存的數(shù)據(jù)必須有詳細的文檔記錄�����。
??????? 7.非我司技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進行維修�����、維護時�����,必須由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督�����。計算機設(shè)備送外維修�����,須經(jīng)設(shè)備管理機構(gòu)負責(zé)人批準(zhǔn)�����。送修前�����,需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除�����,并進行登記�����。對修復(fù)的設(shè)備�����,設(shè)備維修人員應(yīng)對設(shè)備進行驗收�����、病毒檢測和登記�����。
??????? 8.管理部門應(yīng)對報廢設(shè)備中存有的程序�����、數(shù)據(jù)資料進行備份后清除�����,并妥善處理廢棄無用的資料和介質(zhì),防止泄密�����。
