..内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二〇一六年一月目录6一、总则7二、安全
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
7第一章管理制度71.安全组织结构71.1信息安全领导小组职责81.2信息安全工作组职责91.3信息安全岗位112.
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
制度112.1安全管理制度体系122.2安全方针和主策略122.3安全管理制度和规范142.4安全流程和操作规程142.5安全记录单15第二章制定和发布16第三章评审和修订17三、安全管理机构17第一章岗位设置171.组织机构192.关键岗位21第二章人员配备22第三章授权和审批24第四章沟通和合作26第五章审核和检查28四、人员安全管理28第一章人员录用281.组织编制282.招聘原则283.招聘时机294.录用人员基本要求295.招聘人员岗位要求296.招聘种类296.1外招306.2内招307.招聘程序307.1人事需求申请307.2甄选327.3录用33第二章保密协议35第三章人员离岗37第三章人员考核371.制定安全管理目标382.目标考核383.奖惩措施39第四章安全意识教育和培训391.安全教育培训制度39第一章总则39第二章安全教育的含义和方式39第三章安全教育制度实施41第四章三级安全教育及其他教育内容43第五章附则44第五章外部人员访问管理制度441.总则442.来访登记控制453.进出门禁系统控制464.携带物品控制47五、系统建设管理47第一章安全方案设计471.概述482.设计要求和分析482.1安全计算环境设计492.2安全区域边界设计502.3安全通信网络设计502.4安全管理中心设计513.针对本单位的具体实践513.1安全计算环境建设523.2安全区域边界建设523.3安全通信网络建设533.4安全管理中心建设543.5安全管理规范制定543.6系统整体分析55第二章产品采购和使用58第三章自行软件开发581.申报582.安全性论证和审批583.复议584.项目安全立项595.项目管理595.1概要605.2正文62第四章工程实施621.信息化项目实施阶段622.概要设计子阶段的安全要求633.详细设计子阶段的安全要求634.项目实施子阶段的安全要求65第五章测试验收651.文档准备652.确认签字653.专人负责654.测试方案68第六章系统交付681.试运行682.组织验收70第七章系统备案701.系统备案702.设备管理723.投产后的监控与跟踪74第八章安全服务商选择75六、系统运维管理75第一章环境管理751.机房环境、设备762.办公环境管理81第二章资产管理811.总则812.《资产管理制度》85第三章介质管理851.介质安全管理制度851.1计算机及软件备案管理制度851.2计算机安全使用与保密管理制度861.3用户密码安全保密管理制度861.4涉密移动存储设备的使用管理制度871.5数据复制操作管理制度871.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度89第四章设备管理891.主机、存储系统运维管理892.应用服务系统运维管理903.数据系统运维管理914.信息保密管理915.日常维护926.附件:安全检查表94第五章监控管理和安全管理中心941.监控管理952.安全管理中心96第六章网络安全管理98第七章系统安全管理981.总则982.系统安全策略993.系统日志管理1004.个人操作管理1005.惩处101第八章恶意代码防范管理1011.恶意代码三级防范机制1011.1恶意代码初级安全设置与防范1011.2.恶意代码中级安全设置与防范1021.3恶意代码高级安全设置与防范1022.防御恶意代码技术管理人员职责1033.防御恶意代码员工日常行为规范104第九章密码管理106第十章变更管理1061.变更1062.变更程序1062.1变更申请1062.2变更审批1062.3变更实施1062.4变更验收107附件一变更
申请表
食品经营许可证新办申请表下载调动申请表下载出差申请表下载就业申请表下载数据下载申请表
108附件二变更验收表109第十一章备份与恢复管理1091.总则1102.设备备份1113.应用系统、程序和数据备份1144.备份介质和介质库管理1155.系统恢复1166.人员备份117第十二章安全事件处置1171.工作原则1172.组织指挥机构与职责1183.先期处置1194.应急处置1194.1应急指挥1194.2应急支援1194.3信息处理1204.4应急结束1205后期处置1205.1善后处置1215.2调查和评估122第十三章应急预案管理1221.应急处理和灾难恢复1232.应急计划1243.应急计划的实施保障1254.应急演练一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。本管理制度所称信息系统安全,包括计算机网络和应用系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则,公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目标是:实施信息系统安全等级保护,建立健全先进实用、完整可靠的信息系统安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
、保障应用、符合法规、综合防范、集成共享”的原则。本制度适用于公司所有部门和个人。二、安全管理制度第一章管理制度1.安全组织结构XXXXXXXXXX安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示:组织机构图1.1信息安全领导小组职责信息安全领导小组是由XXXXXXXXXX主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下:(一)确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法;(二)审查并批准政府的信息安全策略和安全责任;(三)分配和指导安全管理总体职责与工作;(四)在网络与信息面临重大安全风险时,监督控制可能发生的重大变化;(五)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统更改等)进行决策;(六)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;(七)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;(八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1.2信息安全工作组职责信息安全工作组是信息安全工作的日常执行机构,内设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下:(一)贯彻执行和解释信息安全领导小组的决议;(二)贯彻执行和解释国家主管机构下发的信息安全策略;(三)负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议;(四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报;(五)负责内外部组织和机构的沟通、协调和合作工作;(六)负责制定所有信息安全相关的管理制度和规范;(七)负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。以上组织结构和职责通过《信息安全组织职责体系》加以说明。1.3信息安全岗位为了有效落实信息安全各项工作,XXXXXXXXXX应设立以下专职的安全岗位,负责安全工作的落实和执行:1.3.1信息安全工作组主管1)负责网络与信息安全的日常整体协调、管理工作;2)负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和指导;3)负责重大安全事件的具体协调和沟通工作。1.3.2安全管理员岗位1)负责执行网络与信息安全工作的日常协调、管理工作;2)负责日常的安全监控管理,并对上报和发现的各类安全事件进行响应;3)负责系统、网络和应用安全管理的协调和技术指导;4)负责安全管理平台安全策略制定,访问控制策略审核;5)负责组织安全管理制度的推广和培训工作;6)负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。1.3.3安全审计员岗位1)负责安全管理制度落实情况的检查、监督和指导;2)负责安全策略执行情况的审核。1.3.4系统管理员1)负责系统安全稳定运行的日常管理工作;2)负责保持系统的防病毒系统、补丁等保持最新,定期对系统进行安全加固,保持系统漏洞最小化。1.3.5网络管理员1)负责网络设备安全稳定运行的日常管理工作;2)负责保持网络设备的漏洞最小化,定期对系统进行安全加固;3)负责保持网络路由和交换策略与业务需求保护一致。4)XXXXXXXXXX应根据日常的运行维护和管理工作,设置物理环境管理、数据库管理、应用管理以及资产管理等岗位,这些岗位也应当包括安全职责,这些安全职责的具体内容通过《信息安全管理岗位说明书》落实。2.安全管理制度2.1安全管理制度体系XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。2.2安全方针和主策略最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。2.3安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。技术标准和规范,包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。本项目将为XXXXXXXXXX编制如下安全管理制度和规范:安全方针安全策略安全管理组织体系职责内部人员安全管理规定外部人员安全管理规定等级保护安全管理规范风险评估管理规范软件开发管理规定IT外包管理规定工程安全管理规定产品采购安全管理规定服务商安全管理规定机房管理制度办公环境安全管理规定资产安全管理制度设备安全管理规定介质安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定防病毒安全管理规定密码使用管理制度变更管理制度备份与恢复管理规定安全事件管理制度应急预案安全流程和操作规程,详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。2.4安全流程和操作规程安全流程和操作规程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。2.5安全记录单安全记录单,落实安全流程和操作规程的具体表单,根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。第二章制定和发布安全策略系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。安全策略在制定和发布过程中,应当实施以下安全管理:(一)安全管理制度应具有统一的格式,并进行版本控制;(二)由信息安全工作小组负责安全管理制度的制定(三)安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;(四)安全管理制度应通过文件形式下发通知;(五)安全管理制度应注明发布范围,并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到许多部门和绝大多数员工,可能需要改变工作方式和流程,所以推行起来的阻力会相当大;同时安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺欠等,都会导致整体策略难以落实。第三章评审和修订信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审,并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档,具体检查内容包括:(一)信息安全策略中的主要更新;(二)信息安全标准中的主要更新。信息安全标准不需要全部更新,可以仅对因变更而受影响的部分进行更新;如果必要,可以使用年度审视/更新流程对信息安全标准做一次全面更新。(三)安全管理组织机构和人员的安全职责的主要更新;(四)操作流程的主要更新;(五)各类管理规定、管理办法和暂行规定的主要更新;(六)用户协议的主要更新;等等。通过《信息安全策略管理规定》落实以上相关内容。三、安全管理机构第一章岗位设置健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容,对于以后安全管理工作的顺利开展具有巨大的意义。缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利,难以胜任安全管理工作等严重问题。1.组织机构1)XXXXXXXXXX成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。2)信息安全工作领导小组,其最高领导由单位主管领导委任或授权。3)信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:a)根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;b)确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。c)信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。4)信息安全工作组的主要职责包括:a)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;b)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;c)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;d)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;e)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;f)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;g)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。h)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。5)应急处理工作组的主要职责包括:a)审定公司网络与信息系统的安全应急策略及应急预案;b)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;c)每年组织对信息安全应急策略和应急预案进行测试和演练。6)公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。2.关键岗位设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。1)系统管理员主要职责有:a)负责系统的运行管理,实施系统安全运行细则;b)严格用户权限管理,维护系统安全正常运行;c)认真记录系统安全事项,及时向信息安全人员报告安全事件;d)对进行系统操作的其他人员予以安全监督。2)网络管理员主要职责有:a)负责网络的运行管理,实施网络安全策略和安全运行细则;b)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;c)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;d)对操作网络管理功能的其他人员进行安全监督。3)应用开发管理员主要职责有:a)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;b)系统投产运行前,完整移交系统相关的安全策略等资料;c)不得对系统设置“后门”;d)对系统核心技术保密等。4)安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:a)按操作员证书号进行审计;b)按操作时间审计;c)按操作类型审计;d)事件类型进行审计;e)日志管理等。5)安全保密管理员负责日常安全保密管理活动,主要职责有:a)监视全网运行和安全告警信息b)网络审计信息的常规分析c)安全设备的常规设置和维护d)执行应急中心制定的具体安全策略e)向应急管理机构和领导机构报告重大的网络安全事件等。第二章人员配备配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的,可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上,可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽,并且有利于互相约束和监督机制的建立。如果没有配备足够数量的系统管理员、网络管理员、安全管理员,则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职,则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意。1.按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员;2.在安全管理部配备专职的安全管理员;3.识别出关键事务岗位,对这些关键岗位配备多人进行共同管理,以防止疏忽,并且建立起约束和监督机制。 岗位名称 人员数量 人员名称 系统管理员 网络管理员 应用开发管理员 安全审计员 安全保密管理员 第三章授权和审批授权和审批可以保证安全有关工作得到认可和控制,排除盲目性和不一致性,使安全工作更加权威和科学,有利于增强责任感。如果授权和审批工作做得不够完善,可能会带来执行难等问题,安全工作得不到控制,因安全带来的问题长期得不到解决,安全问题日积月累,最终导致严重安全事件的发生。应按照以下规范进行授权和审批流程建设:1.明确审批授权事项、审批授权部门; 2.建立系统变更、重要操作、物理访问和系统接入等事项的审批程序,对重要活动实施逐级审批;3.按照审批程序执行审批过程,记入文档并进行审计;4.定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; 制度名称 信息系统管理授权审批制度 受控状态 文件编号 执行部门 监督部门 考证部门 第1条为了提高企业信息系统的可靠性、稳定性、安全性,特制定本制度。第2条本制度适用于信息部与各用户部门使用企业信息系统的相关人员。第3条企业中涉及到信息系统方面的工作统一由信息部负责。第4条信息系统管理授权的方式。企业信息系统的授权以职位说明书和授权书为基准,逐级授权,其他授权方式或越级授权视为无效。第5条企业信息系统管理授权程序。1.总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。2.运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。3.信息部经理授权给下属员工,完成相应工作。第6条企业信息系统管理中的文件审批程序,如下图所示。信息系统管理的文件审批程序示意图第7条企业中的各用户部门对信息系统只有根据其职级的使用权与建议权,而无修改权,否则造成的全部后果由当事人承担。第8条本制度由信息部制定,解释权、修改权归属信息部。第9条本制度自总裁审批之日起实施,修订时亦同。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 第四章沟通和合作安全管理问题涉及到各个层次的人员及技术,需要大家密切配合才能做好,任何一方出现问题都会影响整个安全管理工作的顺利开展,因此对各种安全问题进行定期沟通和合作是非常必要的。如果与安全管理有关的沟通和合作推进不顺利,出现的安全问题得不到反馈和支持,则安全问题会变得越来越严重,直到出现严重安全事件。应按照以下规范进行沟通与合作:1.由安全管理部提出,每半年召开一次安全协调专题会议,为期一天,各有关部门包括外部顾问机构及人员都要参加,及时提出问题和解决问题;会议记录 时间 地点 主持人 记录员 时间调度 参加人员: 会议议题 发言人 会议内容 执行人 监督人 完成时间 2.每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会,平时则通过邮件等及时合作与沟通;3.通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通;4.建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;5.聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。第五章审核和检查对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况,减少安全疏忽,及时发现并解决问题,使安全工作日常化、制度化。安全工作如果不能保证及时的审核和检查,则容易导致各项工作大打折扣,并且由此带来的问题会积累起来最终导致严重安全事件发生,如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下。1.由安全管理员每周进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;2.由内部人员或上级单位每季度进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;3.每次检查都要制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;4.将上述工作要求写入《安全审核和检查管理制度》,用以规范安全审核和安全检查工作的频率等重要内容。安全检查记录表检查类型:定期安全检查 单位名称 XXXXXXXXXX 工程名称 检查时间 检查单位 检查项目或部位 参见检察人员 检查记录 检查结论及意见 填表人:四、人员安全管理第一章人员录用1.组织编制各部门根据实际工作之需,进行工作分析,设定工作岗位,明确各岗位职责,任职条件、需要人数等。根据权责分工及不同职位的相互关系,建立组织架构,并根据各职位人员配备数,确定组织编制,各部门负责制订本部门组织编制,人事行政部汇总制订全公司组织编制。每年11月份制订下年编制,如因公司经营决策有重大调整或重大形势变化,经总经理同意可在需要时修订。2.招聘原则人员招聘根据人事编制安排,一般不得超出批准的编制(确须超出原编制招员的,应先按规定修订编制)人员招聘应遵循公开、公平、公正原则,平等竞争,择优录取。3.招聘时机原有人员异动或离职,需补缺。工作业务量扩大,现有人力不能满足工作需求,需扩招。4.录用人员基本要求4.1具备应聘岗位所需的文化和技能要求,并通过考试或考核合格。4.2具备应聘岗位所要求的年龄和身体条件。4.3身份正当,具有有效身份证及国家规定的其它证明。4.4思想品德好,认同公司的文化,能够自觉遵守公司的规章制度、自觉维护公司的权益和形象并愿意为公司服务。4.5服从公司的工作安排,努力做好本职工作。4.6患有精神性、传染性及其它有可能影响正常工作、危害公众健康的疾病的人员不得录用。4.7隐瞒、伪造、冒用个人证件、履历的人员不得录用。4.8受过刑罚或正被追究刑事责任的人员不得录用。4.9被公司辞退、开除或自动离职的原公司员工不得再行录用。5.招聘人员岗位要求各部门应根据不同职位要求,对性别、年龄、教育程度、相关工作年限、专业知识、技能及其它适职条件做出明确说明;便于人事行政部遴选初试。6.招聘种类6.1外招外招适用于公司现有人力不能满足实际工作需要时(数量不足、任职资格不足)。6.2内招6.2.1内招适用于选拔同一职级但不同职位或更高职级之职位人员,在公司现有人力资源可以满足的情况下,应优先采用内招形式。6.2.2内招报名人员需填写好《内招人员报名表》,经部门主管人员批准后,送交人事行政部。7.招聘程序7.1人事需求申请7.1.1需求部门根据生产经营和发展需要至人事行政部处领取《人员需求申请表》提出人事需求申请,注明是内招还是外招,由部门主管人员审核,人事行政部根据各部门的定编定岗情况确认后,呈总经理核准。7.1.2需求部门应于实际需求日前提出人事需求申请,生产作业人员提前7天申请,办公室普通职员提前15天申请,部门主管(含)及以上中层管理人员提前30天申请,以便于人事行政部统筹安排招聘。7.1.3人事行政部应按部门需求及时组织招聘,如到需求时间未招到合适人员,人事行政部应向需求部门说明原因,并与需求部门协调,再行确认预计时间,并视需要重新确认需求条件。7.2甄选7.2.1人事行政部根据经批准的需求申请制订招聘计划,组织招聘,选择招聘渠道,主要形式有:a)、厂区门口就地招聘、职介机构、劳务所推介(主要用于招聘生产作业人员)。b)、参加人才招聘会、网络招聘(主要用于招聘办公室普通职员和中层管理人员)。c)、与院校合作,由校方推介(主要用于招聘实习生)。d)、猎头公司推荐。(主要用于招聘高层管理人员)。7.2.2人事行政部对应聘资料进行收集、分类、归档,按照所需岗位的职位描述做初步筛选。7.2.3拟选人员一般需经过两次面谈和测试,面试层次及步骤如下:a)应聘人员填写《求职人员登记表》,人事行政部应向应试者了解个人背景,进行资格审查(初试),不符合公司基本要求或需求部门基本条件者,予以谢绝。b)人事行政部将初选合格的人员推荐到需求部门,由需求部门组织对应聘人员进行专业能力及其它方面的复试。1)、需求部门经复试认为合格,提请批准录用(生产作业人员由部门部长批准,办公室职员由总经理批准),如认为不合格,予以谢绝。2)、部门经过复试以后,无论是否预备录用应聘人员,均转由人事行政部通知应聘者。7.2.4背景调查人事行政部负责对通过面试的部门主管(含)级别以上的人员进行工作经历、学历状况、身份证明等进行背景调查,填写《应聘者背景资料查询表》(见附件5)并将调查结果进行汇总报相关领导。7.2.5薪资核定、审批手续办理人力资源主管根据面试评价及背景调查情况,对生产作业人员的薪资进行核定、审批;办公室普通职员、部门主管(含)以上人员的薪资核定由人事行政部审核后,交由总经理进行核准。7.3录用人事行政部根据经批准的录用意见,发放《录用通知书》,通知录用人员报到有关事宜。第二章保密协议信息安全人员应签订《保密协议》,履行约定纪律及其他方面条款。从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议.信息安全人员在调离岗位时要签订《离岗人员保密协议》保密协议附件:甲方:XXXXXXXXXX乙方:甲、乙双方根据《中华人民共和国劳动法》以及国家、地方政府有关规定,在遵循平等自愿、协商一致、诚实信用的原则下,就甲方商业秘密保密事项达成如下协议。一、保密内容甲、乙双方确认,乙方应承担保密义务的甲方商业秘密范围包括但不限于以下内容。1.技术信息:技术方案、工程设计、技术报告、检测报告、实验数据、试验结果、图纸、样品等。2.经营信息:包括经营方针、投资决策意向、产品服务定价、市场分析、广告策略等。3.公司依照法律规定或者有关协议的约定对外承担保密义务的事项。二、双方的权利和义务1.甲方提供正常的工作条件,为乙方的发明、科研成果提供良好的应用和生产条件,并根据创造的经济效益给予奖励。2.乙方必须按甲方的要求从事经营、生产项目和科研项目的设计与开发,并将生产、经营、设计与开发的成果、资料交甲方,甲方拥有所有权和处置权。3.乙方不得刺探非本职工作所需要的商业秘密。4.未经甲方书面同意,乙方不得利用甲方的商业秘密进行新产品的设计与开发和撰写论文向第三方公布。5.双方解除或终止劳动
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
后,乙方不得向第三方公开甲方所拥有的未被公众知悉的商业秘密。6.双方协定竞业限制的,解除或终止劳动合同后,在竞业限制期内乙方不得到生产同类或经营同类业务且有竞争关系的其他用人单位任职,也不得自己生产与甲方有竞争关系的同类产品或经营同类业务。7.乙方必须严格遵守甲方的保密制度,防止泄露甲方的商业秘密。8.甲方安排乙方任职涉密岗位,并给予乙方保密津贴。三、保密期限乙方承担保密义务的期限为下列第____种。1.无限期保密,直至甲方宣布解密或者秘密信息实际上已经公开。2.有限期保密,保密期限自离职之日起____年。四、保密津贴甲方同意就乙方离职后承担的保密义务向其支付保密津贴,保密津贴的支付方式为:_______________________________________________________________________________。五、违约责任1.乙方如违反本合同任何条款,应一次性向甲方支付违约金××万元,同时,甲方有权一次性收回已向乙方发放的所有保密费。2.如果因为乙方的违约行为造成了甲方损失,乙方除支付违约金外,还应承担相应的责任。六、劳动争议处理当事人因本合同产生的一切纠纷由双方友好、平等地协商解决,协商不成,任何一方均有权向本合同签订地的人民法院提起诉讼。 七、其他1.乙方确认,在签署本合同前已仔细审阅过合同内容,完全了解合同各条款的法律含义,并知悉和认可公司《保密管理制度》。2.本协议如与双方以前的口头或书面协议有抵触,以本协议为准。本协议的修改必须采用双方同意的书面形式。3.本协议未尽事宜,按照国家法律或政府主管部门的有关规章、制度执行。八、本合同一式两份,双方各执一份,具有同等法律效力。自双方授权代表签字并盖公章之日起生效。甲方(盖章)乙方(签名或盖章)法定代表人签名:年月日年月日编制日期审核日期批准日期第三章人员离岗1.工作人员离岗离职时,有关部门应即时取消其计算机涉密信息系统访问授权。工作人员离岗离职之后,仍对其在任职期间接触、知悉的属于我局或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。2.离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归我公司所有,而无论这些秘密信息有无商业上的价值。3.离职人员应当于离职时,或者于我公司提出请求时,返还全部属于我公司的财物,包括记载着我公司秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,我公司应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由我公司将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,我公司也无须给予离职人员经济补偿。4.离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与我局会有利益关系的信息、文件等内容交接给本部门领导,不得在离职后以任何形式带走相关信息。员工辞/离职交接单年月日 姓名 部门 职务 工作起止日期 交接内容 所在部门 工作交接(□个人业务文档□相关文件)部门经理签字:(注:在办、已办、未办工作另附表二)日期: 人事行政部 1.普通用品(□办公用品□胸卡□钥匙其他:)经办人签字:2.特殊物品(□U盘□电脑□其他:)日期: □计算机设备使用交回□密码清除经办人签字:□帐号清除□网络管理情况日期: □保险保险上到:年月经办人签字:日期: 财务部 1.借款(□经办支票□汇票□现金□无相关借款)2.其他(□应清算款项□无)3.工资截止日期:年月日经办人签字:4.违约金元日期:注:1、严格遵守本人与公司签订的《保密合同》,保守公司的商业秘密;2、该原件交公司总办存档。如有未交物品,各部门负责人应将物品名称及价钱注明,以便财务部在核发本人工资时扣除。上列事项未交接完毕或主管领导未批准离职申请的,财务部不予办理财务交接手续,未领薪资不予发放,并依公司损失情况要求赔偿;离职员工有违法行为的,公司保留追究其法律责任的权利;当事人签字:日期:年月日第三章人员考核为了加强安全生产监督管理,防止和减少生产安全事故,保障企业员工生命和财产安全,切实贯彻落实”安全第一、预防为主、综合治理”的方针,促进企业经济发展,根据《中华人民共和国安全生产法》等法律法规,特指定本制度。1.制定安全管理目标a)本单位每年一号文件必须针对企业上年度生产工作状况及本年度企业发展规模、整体安全生产具体情况及新形势下的规定要求,制定全年安全生产管理目标及管理措施。b)各项目部每年年初在本单位统一制定的安全生产目标管理的前提下,根据本工程施工特点在年度安全生产计划中制定安全生产管理目标及实现目标的管理措施。c)各工程开工前,项目部必须制定工程从开工到竣工的生产施工过程中整体安全生产管理目标,并应详细制定各施工阶段且有针对性的安全生产管理目标和措施,同时要把安全生产管理目标层层分解到各管理人员和各班组。d)各级在制定安全生产管理目标时,应紧密结合企业管理手册中环境管理目标和职业健康安全管理目标。2.目标考核a)本单位对各直属单位的目标管理考核各季度抽检考核和年度考核结合,季度考核的情况将纳入年度考核。b)各项目部对所属工程项目的考核应做到每月一次,并有记录和相关的安全检查、整改情况记录。3.奖惩措施a)本单位按照当年安全生产一号文件中所规定的执行。b)各项目部应根据项目工程具体实际情况制定奖罚制度。第四章安全意识教育和培训1.安全教育培训制度第一章总则第一条为规范公司广大员工安全意识,降低和避免因安全事故给公司运营管理带来的风险制定本制度。第二条本制度适用于公司总部、个分公司办事处,由行政中心负责制定和解释,总裁审批后颁布实施。第三条公司内所有员工违反本制度规定而引起的安全事故责任均依据本制度追究相关当事人责任。第二章安全教育的含义和方式第四条本制度所指安全教育培训内容包括公司的网络信息安全、客户资料安全、公司财产安全、人员生命安全、消防安全、交通安全、设备安全、保密安全等事项。第五条公司员工安全教育采取集体培训、各专业对口部门针对各自业务特点制定相关规定并组织学习教育、行政中心定期检查督导并考核的方式进行。第三章安全教育制度实施第六条一级教育,全体员工由公司教育中心制作课件和计划,由行政中心召集人员教育中心具体负责组织授课,重点岗位和人员由所在部门会同几哦按语中心共同组织教育培训工作。第七条二、三级安全教育,新入公司员工由所在部门主管负责组织进行教育。第八条日常安全会议一、公司安全例会每季一次由行政中心主持,公司安全主管、有关部门负责人、各分公司安全责任人参加。总结一季度的安全生产及内部运营中安全方面综合情况,分析存在的问题,对下季度的安全工作重点作出布置。二、公司每年末召开一次安全工作会议,总结一年来安全生产上取得的成绩和不足,对本年度的安全生产先进集体和个人进行表彰,并布置下一年度的安全工作任务。三、各部门每月召开安全例会,由其安全责任人主持,安全分管领导、有关部门(岗位)负责人参加。内容:传达上级安全管理文件、信息;对上月安全工作进行总结,提出存在问题;对当月安全工作重点进行布置,提出相应的预防措施。推广安全管理的典型经验和先进事迹,在社会中已发生的重大安全事故中吸取教育。由行政中心做好会议记录并存档。四、各部门在日常会上要对安全工作进行分析总结,预想当前不安全因素,研究落实可行的安全控制措施。五、安全会议和培训工作要做到有领导、有计划、有内容、有记录,防止走过场。第四章三级安全教育及其他教育内容第九条新进公司职工(包括新调入人员、实习生、代培人员等)必须进行三级安全教育,并经考试合格后方可上岗。第十条一级(公司级)安全教育时间不少于15小时,其教育内容:一、国家有关安全生产法令、法规和规定。二、本公司的性质、经营特点及安全管理(特种信息处理及设施设备安全方面)规章制度。三、安全生产基本知识、消防知识及气体防护常识。四、职业安全卫生有关知识。五、本公司同类型企业的典型事故及教训及有可能产生安全隐患的基础知识。第十一条二级安全教育时间不少于15小时,其教育内容:一、本单位概况,施工生产或工作特点,主要设施、设备的危险源和相应的安全措施和注意事项二、本单位安全生产实施细则及安全技术操作规程。三、安全设施、工具、个人防护用品、急救器材、消防器材的性能和使用方法等。四、以往的事故教训。第十二条三级(部门级)安全教育由部门负责人负责教育,可采取讲解和实际操作相结合的方式进行,时间不少于8小时(技术、财务、结算、客服部门不少于15小时),经安全教育考核合格后,方可参与重要工作或具体任务。一、本岗位作业程序及工作特点和安全注意事项。二、本岗位安全操作规程。三、本岗位设备、工具的性能和安全装置、安全设施、安全监测、设备的使用和保管方法。四、发现紧急情况时的急救措施及报告方法。第十四条三级安全教育、考试、考核情况,要逐级填写在三级安全教育卡片上,建立安全教育档案。三级安全教育完毕,经公司行政中心审核后,正常开展其他方面工作。第十五条未经三级安全教育或考试不合格者,不得分配工作,否则由此而发生的事故由分配及接受其工作单位的领导负责。第十六条经常性安全生产教育形式可采用:安全活动日、班前班后会、各种安全会议、广播、标语、简报、电视、播放录象等,结合公司任务需要开展安全生产经常性教育,由项目部具体实施。第十七条季节性教育由各部门结合季节特征、节假日前后,职工容易疏忽而放松安全生产的规律,抓住主要环节,进行安全教育。凡是自然条件变化,大风、大雪、暴雨、冰冻或雷雨季节,应抓住气候变化的特点,进行安全教育。第十八条其他安全教育一、新工艺、新技术、新设备、新产品投产使用前,各主管部门要写出新的安全操作规程和注意熟悉,对岗位和有关人员进行安全教育,经考试合格后,方可从事新的岗位或产品的使用或管理工作;二、对脱离操作岗位(如产假、病假、学习、外借、待岗等)六个月以上重返岗位操作者,应进行岗位复工教育。三、职工在公司内调动工作岗位变动工种(岗位)时,接受单位应对其进行二、三级安全教育,经考试合格后,方可从事新的工作。四、对严重违章违纪职工,由所在部门进行单独再教育,经考察认定后,再回岗工作。不符合工作需求的给予辞退处理。五、参加特殊区域、高危场所作业的人员,在作业前,必须进行有针对性安全教育。第十九条公司和项目部有关部门应建立安全教育、培训台帐。第二十条对外来人员的安全教育,由接待来访的部门负责,杜绝进入公司重要区域,因此产生的一切后果由接待部门责任人全部承担。第二十一条技术中心、机房等重点部位非直接管理部门领导授权任何人不得私自进入。第二十二条安全教育工作的考核由行政中心负责,考核结果纳入公司绩效考核范畴。第五章附则第二十三条本制度自颁布之日起实施。第五章外部人员访问管理制度1.总则第一条为规范公司内部管理,减少外来人员访问或洽谈业务对公司正常办公的影响,维护有序的内部管理秩序和良好公司形象制定本制度。第二条本制度适用于公司总部、各分公司办事处,由行政中心负责制定和解释,总裁审批后颁布实施。2.来访登记控制第三条所有到公司访问的外来人员必须依据来访登记表进行登记预约,未经公司相关人员确定的访客一律谢绝进入办公区域。登记表必须明确记录时间、姓名、证件名称(号码)、受访部门或人员名称、事由、来访值班员、离开时间和离开时值班员等相关信息,并在备注中说明其他需要明确或记录的事项。第四条与公司业务有关但不确定具体情况的人员来访时,必须及时询问来访客人身份、目的、需要咨询了解事项认真登记后,再与相关部门办公人员核实处理。第五条到访公司的外来人员实行谁接待谁负责的安全控制方式,需要进入办公区域的必须由受访部门安排人员陪同并控制范围,机房、财务室、档案室等重点部位非检查单位人员一律禁止入内。第六条由公司副总级别以上领导带来的客户、访客一般不需要出示证件登记,但要与受访部门确认和记录来访人数、目的、逗留时间、参观范围等相关事项以做好后勤服务保障工作。第七条公司前台和保安是控制外来人员的第一责任人,值班时必须按公司规定接待来访客户。第八条前台人员负责来访客人的登记、预约和引导,来访人员到访时先引导至贵宾室或接待室等候,电话向受访部门(人)核实确定预约的才给予引导,没有预约或意图不明确的、明显没有业务关联的对其进行劝离处理。3.进出门禁系统控制第九条公司所有内部员工必须凭借内部员工门禁信息登记卡进出办公区域。第十条公司内部各办公区域间门禁系统日常工作时必须处于锁闭状态,内部员工均有责任有义务关闭门禁系统,避免闲杂人员进出办公区域。第十一条外来人员访问时由前台根据预约确定结果引导至贵宾室或接待室后,确定受访部门方便接待时由前台或保安开启门禁引导客人进入,将客人带给受访部门。第十二条受访部门与来访人员商谈相关业务后必须将客人送离办公区域,并及时通知保安或前台引导客人离开,避免访客随意走动影响办公秩序。第十三条确定访客业务商谈完毕已离开办公区域的前台不准再开启门禁系统让其返回,如有特殊情况必须经与受访部门确认才能再次引导进入。第十四条敏感行业人员要提示勿随意走动并只能在指定范围内活动(如业务员、外卖员、快件投递员等)。4.携带物品控制第十五条无论公司员工或外来人员在离开公司时携带办公、大件物品或其他文档资料时保安和前台必须进行查问,确定有放行条的才给予携带物品离开。第十六条重要客人来访需要携带物品的由接待部门负责人陪同离开后仍要补填放行条。第十七条工作时间以外禁止一切携带公司物品离开办公区域的行为,所有员工有义务配合保安检查。第十八条对来访者目视感觉可能携带危险品的必须立即采取措施进行处理,确保公司人员和财产安全。第五章附则第十九条本规定自发布之日起执行。五、系统建设管理第一章安全方案设计1.概述1)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;2)指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;5)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;系统根据“一个中心”管理下的“三重保护”体系框架进行设计,构建安全机制和策略,形成定级系统的安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。2.设计要求和分析主要针对以下四个方面进行设计:2.1安全计算环境设计(1)用户身份鉴别应支持用户标识和用户鉴别。(2)自主访问控制在安全策略控制范围内,使用户对其创建的对象具有访问操作权限,这个权限可以根据用户进行授权。可以具体到针对被访问对象的具体操作。(3)标记和强制访问控制可以对访问者和被访问者在身份鉴别的基础上进行安全标记,实现对主体访问客体的操作进行控制。(4)系统安全审计对访问行为进行完整的审计,审计的内容包括访问对象、被访问对象,访问的行为、时间等内容。(5)用户数据完整性保护采用备份、HASH方法对数据的完整性进行保护,防止被篡改。(6)用户数据保密性保护采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。(7)客体安全重用客体安全重用即指被访问对象不应保留访问对象的特征,避免由于不同访问对象的访问而造成访问对象之间信息的泄露。(8)程序可信执行保护采用可信计算技术,保证程序执行过程是可信的。可信是个复杂的环节,但是我们可以在重点服务器计算环境内实现可信。对于(1),(2),(3),(4)的要求可以通过高强度的身份认证产品实现。(5),(6),(7)可以通过比较流行的敏感信息数据保护技术实现;(8)是一个复杂的要求,如何做到可信的环境也是一个复杂的命题,毕竟在多数情况下,我们的计算环境还是建立在一个开放的平台上进行建设。而且,从硬件开始至操作系统,基本都是国外的产品构成.可信执行保护只能在操作系统平台上实现,很难做到完全的可信。2.2安全区域边界设计(1)区域边界访问控制要求在区域边界进行控制,防止非授权访问。(2)区域边界包过滤要求在区域边界进行包过滤检测措施。(3)区域边界安全审计要求在区域边界进行安全审计措施,保证内外数据的审计。(4)区城边界完整性保护应在区域边界设置探测器,例如外接探测软件,探渊非法外联和人侵行为,并及时报告安全管理中心。2.3安全通信网络设计(1)通信网络安全审计在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警。(2)通信网络数据传输完轶性保护对网络传输数据进行完整性检验和保护。保证网络传输数据的安全性。(3)通信网络数据传输保密性保护对网络数据进行传输保密。(4)通信网络可信接人保护对通信网络采用可信接人保护。安全通信网络设计主要是针对通信网络的保密要求,采用网络加密技术可以实现所有要求,我们采用VPN技术实现对通信网络和数据的保护。2.4安全管理中心设计(1)系统管理系统可以对系统管理员的行为进行身份鉴别和授权,仅允许系统管理员访问特定的界面和特定的系统。在多数情况下,系统管理员可以分为网络管理员、主机管理员和存储管理员。网络管理员主要对网络设备进行策略配置。主机管理员主要对服务器操作系统进行管理和配置。多数情况下,主机管理员又分为PC服务器管理员和小型机管理员;存储管理员主要对存储设备进行维护和管理。(2)安全管理对安全管理员进行身份鉴别和授权。总所周知,安全管理员仅是对安全设备的管理,安全设备又涉及到了整个计算系统的各个方面,对安全管理员的管理也变得尤为重要,多数安全设备都具有LOG记录功能,同时提供了方便的接口可以进行授权管理。(3)审计管理根据信息安全等级保护三级要求对安全审计员进行身份鉴别和管理,安全审计员要和多种设备打交道,如何保证安全审计员的行为进行控制同样是一个复杂的要求。3.针对本单位的具体实践3.1安全计算环境建设安全计算环境设计选用的一个重要的产品是高强度的多因子身份认证系统,采用该身份认证系统,可以实现用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计等要求,采用基于代理技术的身份认证技术。除了以上功能外,还可以实现对访问过程的控制,保证请求的有效、请求过程的正确、数据格式的正确等等。3.2安全区域边界建设外部网络和内部网络保护系统由防火墙、防DDoS攻击设备、人侵检测设备、防病毒网关组成。防火墙只开放必需的服务端日,若配有IDS,需考虑两者之间的联动,提供对攻击的检测和报警。防DDoS设施起到对外部网络层分布式拒绝服务攻击的基本控制作用。完整的抵御分布式拒绝服务攻击还包括整体应用策略和应用层机制。 防病毒网关对流入数据进行防毒检溯,作为防毒的第一道防线,在边界起到章要的作用。但是仅仅具有防病毒网关是不够的,还必须在终端安装网络防病毒软件,做到全网统一策略,从而可以保证对流入的病毒进行实时查杀。选用杀毒软件和终端管理软件相结合的方式,保证染毒文件可以通过网络移动到指定的病毒服务器的相应目录下,便于安全管理员进行下一步的处理。3.3安全通信网络建设安全通信网络的要求基本上可以采用一台VPN设备解决:外部终端需访问内部网络资源时,可以采用IPSecVPN或者SSLVPN;若具有分支机构的情况,采用带有加速功能的VPN设备可以提高网络传输效率。IPSecVPN的技术较为成熟,配置相对比较麻烦,在实际使用过程中不如SSLVPN方便。VPN系统的审计、数据校验等功能都必须打开。3.4安全管理中心建设目前很多厂商提供安全管理中心的设计和解决方案,研究了多个产品的解决方案,无论是SOC产品还是安全管理平台产品,多数冠以按照ITIL规范设计和部署,但是基本上没有一家产品可以真正实现ITIL规范中所要求的各个实现,所涉及的安全产品仅限于少量的合作伙伴的产品,很难做到大范围内产品的统一管理,这主要是由于目前安全产品没有遵循统一的规范造成的。选用多个产品来实现安全管理中心的功能:各个被管理系统的管理工具+数据铭合的方式实现。选用多个产品也有利于将不同的权限从系统级别进行划分,划归不同人员进行管理,从而为管理制度的相互约束提供技术支撑。当各个对象的管理工具将信息获取到以后,采用数据整合管理工具实现对这些数据的最后整合。数据整合的产品比较多,尤其在ERP系统中使用比较广泛,用以提供最高管理者进行决策,价格也能够为一般企业所接受,只是在以前的方案设计中,很少考虑到将该产品用于安全管理中心。在安全管理中心建设中利用数据整合工具可实现多个管理工具之间的信息互通。本单位安全管理中心的设计中,采用运维管理、内网管理、网络管理、LOG日志管理相结合的方式,同时在安全设备和网络设备的选择中,着重考虑系统之间的兼容性和开放性,避免由于某个设备无法进行安全管理而造成枯个网络的无序。3.5安全管理规范制定目前在业界内大多数用户也已经达成共识,单纯依靠技术不能解决所有的安全问题,必须配套相应的管理手段。安全管理规范是必要而且非常重要的辅助手段,根据实际的情况,采用系统管理员、安全管理员、安全审计员三权分立、互不兼任的原则,约束各个管理员的行为,同时配合门禁、USBKey等手段,实现各个管理员之间的互相监督和约束。3.6系统整体分析在本系统等保建设中,采用身份认证技术、敏感信息保护技术等实现计算环境的要求;采用防火墙IDS等技术实现边界安全.采用VPN实现通网的安全;采用若干管理工具和数据整合工具实现安全管理中心的安全;并且在系统建设中,配套建设相应的管理制度和规范,并对管理人员权限进行划分,构建一个安全体系完整适用的保护体系。第二章产品采购和使用第一条在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购,并确保采购的设备至少符合下面的要求:1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。2)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。3)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。第二条在软件的开发被外包的地方,应当考虑如下几点:1)检查代码的所有权和知识产权情况;2)质量合格证和所进行的工作的精确度;3)在第三方发生故障的情况下,有第三方备份保存;4)进行质量审核;5)在合同上有代码质量方面的要求;6)在安装之前进行测试以检测特洛伊代码;7)提供源代码以及相关设计、实施文档;8)重要的项目建设中还要要对源代码进行审核。第三条计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:1)对项目实施所需的计算机及配套设备、网络设备、重要机具(如ATM)、计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;2)安全产品的采购必须由公司进行统一采购;3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证;4)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;5)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;6)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准。7)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。8)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。第四条产品和服务供应商应达到以下要求:1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;2)工商要求:①产品、系统或服务提供单位的营业执照和税务登记在合法期限内;②产品、系统或服务提供商的产品、系统或服务的提供资格;③连续赢利期限要求;④连续无相关法律诉讼年限要求;⑤没有发生重大管理、技术人员变化和流动的期限要求;⑥没有发生主业变化期限要求。3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;5)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证;6)其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板;7)服务供应商的选择还要参阅《安全服务外包管理制度》。第三章自行软件开发1.申报本阶段主要是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作。2.安全性论证和审批安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息化项目立项审批表》上给出明确的结论:1)适当2)不合适(否决)3)需作复议3.复议对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。4.项目安全立项审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及五、人员的安全职责;2)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;3)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;4)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;5)项目验收考核指标:增加安全性测试和考核指标。立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议5.项目管理5.1概要5.1.1目的为了规范项目的文档管理工作,特制定本规范。5.1.2范围本规范仅适用与项目的文档管理工作。5.1.3编制及修订本规范由项目实施小组负责编制及修订。5.1.4发布本规范由保密科负责发布,发布后项目组成员可通过OA系统查阅。5.2正文5.2.1文档架构的构成项目的文档(下简称文档)将由电子版本和纸介质共同组成,二者必须一致(应用系统源代码只以电子文档形式提交)。文档按项目启动、项目计划、项目执行与控制、项目收尾四个阶段进行管理,对于这四个阶段的文档分类简写分别为:项目启动(PS)、项目计划(PP)、项目执行与控制(PE)、项目收尾(PC)。5.2.2文档编码规则5.2.3文档管理职责项目文档由项目实施小组负责管理,信息资料科派出一位同事兼任项目文档管理员。项目小组的成员应按要求及时将审定过的文档交付给项目文档管理员,项目文档管理员应该及时对文档编码并归档。项目文档管理员负责项目文档的管理,及时更新项目文档目录。项目文档管理员每周对归档或变更的文档出一份简报呈交实施组组长和保密科科长。5.2.4文档架构的变更文档体系的结构需要变更时,需经以下的程序才能执行:项目组成员提出申请、实施组组长批准、保密科科长批准、项目文档管理员变更。5.2.5文档的授权经项目文档管理员发布的文档默认为全体项目组成员有读取权限,需要特殊指定权限的文档由项目组成员交付文档时特别说明。第四章工程实施1.信息化项目实施阶段信息化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目开发承担单位来完成,项目审批单位负责监督工作。2.概要设计子阶段的安全要求在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此,《概要设计说明书》中至少应达到以下安全要求:1)应当按子系统来描述系统的安全体系结构;2)应当描述每一个子系统所提供的安全功能;3)应当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;4)应当标识子系统的所有接口,并说明哪些接口是外部可见的;5)描述子系统所有接口的用途与使用方法,并适当提供影响、例外情况和错误消息的细节;6)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。3.详细设计子阶段的安全要求无论是新开发一个系统,或是对一个系统进行修改,本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案,最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能,因此在这一阶段的《详细设计说明书》中至少要包括以下信息安全内容:1)详细设计中应提出相应的具体安全方案,标明实现的安全功能,并应检查其技术原理;2)对系统层面上的和模块层面上的安全设计进行审查;3)完成安全测试和评估要求(通常包括完整的系统的、软件的、硬件的安全测试方案,至少是相关测试程序的一个草案);4)确认各模块的设计,以及模块间的接口设计能满足系统层面的安全要求。4.项目实施子阶段的安全要求无论是新开发一个系统或是进行系统修改,本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。本阶段中,应完成以下具体信息安全工作:1)更新系统安全威胁评估,预测系统的使用寿命;2)找出并描述实现安全方案后系统和模块的安全要求和限制,以及相关的系统验证机制及检查方法;3)完善系统的运行程序和全生命期支持的安全计划,如密钥的分发等;4)在《系统集成操作手册》中,应制定安全集成的操作程序;5)在《系统修改操作手册》中,应制定系统修改的安全操作程序6)对项目参与人员进行信息安全意识培训;7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。第五章测试验收1.文档准备系统建设完成后,项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容至少包括:1)制定的系统交付清单,对交付的设备、软件和文档进行清点;2)对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护;3)提供系统建设的过程文档,包括实施方案、实施记录等;4)提供系统运行维护的帮助和操作手册2.确认签字系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。3.专人负责系统交付由项目应用系统主管部门负责,必须安照系统交付的要求完成交付工作。4.测试方案应制定投产与验收测试大纲,在项目实施完成后,由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求:1)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;2)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;3)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;4)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;5)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;6)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;7)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。第五条测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。第六章系统交付1.试运行测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:1)监测系统的安全性能,包括事故报告;2)进行用户安全培训,并对培训进行总结;3)监视与安全有关的部件的拆除处理;4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;5)监测安全部件的备份支持,支持与系统安全有关的维护培训;6)评估大大小小的系统改动对安全造成的影响;7)监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。2.组织验收系统安全试运行半年后,项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:1)项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能;2)采用技术是否符合国家、电力行业有关安全技术标准及规范;3)是否实现验收测评的安全技术指标;4)项目建设过程中的各种文档资料是否规范、齐全;5)在验收报告中也应在以下条目中反映对系统安全性验收的情况:6)项目设计总体安全目标及主要内容;7)项目采用的关键安全技术;8)验收专家组中的安全专家及安全验收评价意见。第七章系统备案1.系统备案1)系统建设完成后,要向相应的公安机关进行备案,系统的备案,备案的相关材料有由公司进行统一管理,相应的系统应用、管理部门可以借阅;2)系统等级及相关材料报系统主管部门进行备案;3)系统待级及其它要求的备案材料报相应的公安机关备案。2.设备管理1)设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。2)设备的口令不得少于10位,须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循省电网公司统一的帐号口令管理办法。3)设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息管理部门备案。4)设备的安全策略应进行统一管理,安全策略固化后的变更应经过安全管理人员审核批准,并及时更新策略配置库。5)设备须有备机备件,由公司统一进行保管、分发和替换。6)加强设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。7)工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:①因工作原因需使用外来介质,应首先进行病毒检查。②存储介质上粘贴统一标识,注明编号、部门、责任人。③存储介质如有损坏或其他原因更换下来的,需交回处理。9)安全设备的使用管理:①安全设备每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理;②关键安全设备媒体必需进行日常巡检;③当设备的配置更改时,应做好配置的备份工作;④安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,应填写操作记录和技术文档。10)设备相应责任人负责:①建立详细的运行日志记录、备份制度;②负责设备的使用登记,登记内容应包括运行起止时间、累计运行时数及运行状况等。③负责进行设备的日常清洗及定期保养维护,做好维护记录,保障设备处于最佳状况;④一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员处理;⑤设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作;11)及时关注下发的各类信息安全通告,关注最新的病毒防治信息和提示,根据要求调节相应设备参数配置;12)安全管理员应界定重要设备,对重要设备的配置技术文档应考虑双份以上的备份,并存放一份于异地。3.投产后的监控与跟踪项目投产后还应进行一段时间的监控和跟踪,具体包括以下要求:1)应对系统关键安全性能的变化情况进行监控,了解其变化的原因;2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪,并编写详细的记录;3)监控新增的安全部件对系统安全的影响;4)跟踪安全有关部件的拆除处理情况,并监控随后系统安全性的变化;5)对新发现的对系统安全的攻击进行监控,记录其发生的频率以及对系统的影响;6)监控系统所受威胁的变化,评估其发生的可能性以及可能造成的影响;7)监控并跟踪安全部件的备份情况;8)监控运行程序的变化,并记录这些变化对系统安全的影响;9)监控系统物理环境的变化情况,并记录这些变化对系统安全的影响;10)监控安全配置的变化情况,并记录这些变化对系统安全的影响;11)对于上述所有监控和跟踪内容,如果对系统安全有不良影响处,都应在系统设计、配置、运行管理上做相应改进,以保证系统安全、正常运行。第八章安全服务商选择1)系统进入运行过程后,三级的系统每年聘请第三方测评机构对系统进行一次等级测评,二级的系统由自已每年测评一次,发现不符合相应等级保护标准要求的及时整改;2)系统发生变更时,及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;3)测评机构要选择具有国家相关技术资质和安全资质的单位;4)系统的等级测评由信息部负责管理。六、系统运维管理第一章环境管理1.机房环境、设备机房环境可以通过机房监控服务器进行远程检查,但同时也要进行人员现场检查和管理。机房应保持整洁并进行定期打扫,不准存放食物,禁止存放杂物和私人用品,严禁存放易燃、易爆、具腐蚀性危险品。机房内设备设施和物品不准任何人随意乱动,配置的常用仪器仪表、工具、资料不得外借带出机房。机房温度应控制在20℃~25℃之间,湿度为40%~60%,密闭防尘。检查机房周边设备,如UPS、空调、消防等设备的正常运行。机房出入应有登记,非工作人员未经许可不得随意进入机房,得到许可方可进入,进入机房不准喧哗、不准吸烟、不准用餐。机房内应配置事故照明装置,以备应急使用。设备检查包括:设备外观检查(硬件完好性、稳定性、告警系统、面板参数标识);接续连线检查(接地线、电源引接线、架间连接电缆、负载连接电路的接续可靠性等);机架内部简单清洁,接续端子除尘、加固等;设备内部软件设置参数检查核对,历史告警信息阅读;设备运行资料核对记录;应用系统日志;设备、线缆标识是否清晰、完整;应用系统磁盘空间、CPU占用情况;各应用系统服务运行状态;数据备份是否正常进行。2.办公环境管理加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件。·附表:机房巡检表 机房巡检表 检查时间年月日 检查人 一、机房环境 检查项 结论 情况摘要 检查项 结论 情况摘要 温度 □正常□异常 ℃ 湿度 □正常□异常 痕迹 □正常□异常 清洁 □正常□异常 异响 □有□无 异味 □有□无 注;痕迹检查地面、墙壁、天花是否有痕迹、水渍,机房内是否有鼠患、蚁、蟑螂痕迹,正常室温:20~25℃ 二、周边设备 检查项 结论 情况摘要 检查项 结论 情况摘要 UPS □正常□异常 电池组 □正常□异常 空调 □正常□异常 消防 □正常□异常 三、电话交换机,网络设备 检查项 结论 情况摘要 电话交换机 外线电话正常通话 □正常□异常 内线电话正常通话 □正常□异常 电话交换机正常工作 □正常□异常 网络设备 防火墙 网络通讯状况 □正常□异常 网络流量大于0%小于2.5% □正常□异常 网络交换机 数据指示灯状况 □正常□异常 网络通讯状况 □正常□异常 交换机端口及网线状况 □正常□异常 重要参数维护记录表 参数维护发起人姓名 事件发起日期 事件发起单位/部门 联系电话 维护人员姓名 工作日期 维护人员单位/部门 联系电话 参数修改事由 管理部门领导审批意见 维护人员具体操作 新参数实施测试结果 备注:非机房维护人员进入申请表 申请人员姓名 进入时间 进入人员单位名 联系电话 进入事由 陪同人员姓名 陪同人员部门 备注:外来维护登记表 维护人员姓名 工作日期 维护人员单位 联系电话 系统当前状态 维护对象 系统问题来源 问题描述 解决方法及说明 系统运维人员审核意见 备注:第二章资产管理1.总则1)由安全管理部及有关部门共同负责资产管理:2)编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等;3)建立《资产安全管理制度》,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;4)根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;5)对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。2.《资产管理制度》第一条为了加强公司固定资产和低值易耗品采购、使用、保管和报废等管理,保证公司资产安全和完整,充分发挥资产使用效能,制定本制度。第二条本制度适用于公司固定资产和低值易耗品的管理。第三条根据资产的价值和使用年限,分为固定资产和低值易耗品两类。1、固定资产:单位价值2000元以上(含2000元),或使用年限1年以上的有形资产。2、低值易耗品:单位价值在2000元以下(不含2000元)的各种用具物品和办公用品等,并且使用期限1年以下。第四条公司综合管理部负责对公司资产的实物管理,公司财务部负责对公司资产的价值管理,使用部门负责对公司资产的使用管理。第五条综合管理部设资产管理员岗位,负责对公司资产的全面统一管理,按部门建立资产管理台账,对固定资产、低值易耗品分设帐薄进行管理,资产使用部门要同步建立使用台帐,各部门必须设立一名兼职的资产管理员负责对本部门使用资产进行登记,综合部资产管理员要定期会同相关部门对公司资产进行盘点。第六条固定资产、低值易耗品的购置:各部门提出采购要求,报综合部(资产管理员)审核,综合部根据现有资产情况及消耗标准,判断是否同意购置或直接从其它部门调拨并加注意见,如需采购,报相关领导审核批准后,由物资采供部或综合管理部采购人员采购。第七条固定资产、低值易耗品的验收:采购的资产由采供部和综合管理部依据《物品采购申请表》联合验收,详细核对品名、规格、数量、金额,仔细检查商品质量,对验收合格的物品填写《入库单》,记入库存;对验收不合格的物品须及时通知采购人员调换,否则不予入库。第八条固定资产的发放:发放固定资产时,须经相关人员和行政副总审批签字后办理,领用人必须在《出库单》中签字确认。使用过程中因保管不善或其它人为因素造成固定资产遗失、失窃或损坏的,必须按规定赔偿。第九条低值易耗品的发放:发放低值易耗品时,综合管理部根据现有资产情况及消耗标准确认是否超标并加注意见,领用人和资产管理部门负责人须分别在《出库单》中签字确认。第十条办公资产使用人离职时,须将办公资产移交或归还所用办公资产,经相关部门负责人核实、确认后方可办理离职手续。第十一条固定资产的登记与转移:综合管理部负责核查、统计各部门的固定资产,明确部门使用管理责任。综合管理部资产管理员应根据《固定资产出库单》及时登记资产管理台帐。部门固定资产出现遗失、损毁的应由使用部门填写《固定资产处置申请单》经总经理办公会及相关领导审批后,及时更新固定资产管理台帐;固定资产公司内部调拨转移的,须填写《固定资产内部转移通知单》经转出、转入部门相关人员及部门负责人签字确认后方可转移。第十二条低值易耗品的登记:综合部资产管理员依据《低耗品出库单》,分设部门台帐进行登记。第十三条固定资产的报废:固定资产经专业人员确认已无法维修或维修费用超过资产原值时,由使用部门申请报废,总经理办公会研究同意后办理相应手续。第十四条低值易耗品的报废:经使用部门负责人同意,综合管理部经理审批后报废。第十五条资产的盘点、检查1、各部门资产管理人员负责本部门资产的自查和盘点,并将清查盘点情况报综合管理部。2、综合管理部负责资产的登记、检查及日常监督管理工作,不定期抽查各部门的资产管理情况。3、每季度末,综合管理部会同财务部对各部门资产管理情况进行全面检查及盘点,并出具书面报告。对各部门盘盈盘亏的资产,找出原因及责任人,报总经理办公会审批后处理。如属管理不善等人为因素造成,将追究当事人和管理者的责任,并视具体情况赔偿损失。第十六条资产交接1、资产管理人员进行工作交接时,须保证账目与实物相符,并由部门负责人审核批准。2、部门负责人新到岗时须对到岗部门固定资产进行确认。第十七条未尽事宜根据物资管理和财务管理相关制度执行。第三章介质管理1.介质安全管理制度1.1计算机及软件备案管理制度1.购买计算机及相关公文处理设备须由局办公室统一组织购买或接受捐赠,并由信息安全和保密办公室对计算机及相关设备的有关信息参数登记备案后统一发放。2.信息安全和保密办公室要建立完整的计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案。3.计算机要安装正版信息安全防护软件,及时升级更新操作系统漏洞补丁与信息安全软件。4.拒绝使用来历不明的软件和光盘。凡需引入使用的软件,均须首先防止病毒传染。1.2计算机安全使用与保密管理制度1.计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。2.办公用计算机局域网分为内网、外网。内网运行如东县协同办公系统软件,专用于公文的处理和交换,属涉密网;外网专用于各部门和个人浏览国际互联网,属非涉密网。内、外网采用双线路,实行物理隔离。3.涉及机关工作秘密的信息(以下简称涉密信息)应当在规定的涉密信息系统中处理。严禁同一计算机既上互联网又处理涉密信息4.未经申报同意,局机关所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置。5.严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息。6.严禁外来人员单独接触计算机网络系统资源;严禁将办公计算机带到与工作无关的场所,确因工作需要需携带有涉密信息的手提电脑外出的,必须做好备案登记,并确保涉密信息安全。1.3用户密码安全保密管理制度1.用户密码管理的范围是指涉密计算机所使用的密码。2.涉密计算机设置的密码长度要大于等于5个字符,密码要定期更换。3.涉密计算机需要设置操作系统开机登录和屏幕保护等多个密码保护方式。1.4涉密移动存储设备的使用管理制度1.涉密移动存储设备由信息安全和保密办公室负责登记备案后,由各科室负责人负责管理,做到专人专用。2.严禁涉密移动存储设备在内、外网之间交叉使用。3.移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码。4.严禁将涉密存储设备带到与工作无关的场所。1.5数据复制操作管理制度1.将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播。2.使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密。3.复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得在外网传递、转发或抄送涉密信息。4.各科室因工作需要向外网公开内部信息资料时,必须由该科室负责人审核、有关领导同意后交由相关负责人统一发布。1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度1.、计算机、存储介质及相关设备维修、维护、报废、销毁由信息安全和保密办公室负责,按保密要求实行定点维修。需外请维修的,要派专人全程监督;需外送维修的,应由信息安全和保密办公室拆除信息存储部件,以防止存储资料泄密。2.办公计算机、存储介质及相关设备在变更用途时,必须进行严格的消磁技术处理。3.机关使用的计算机、存储介质及相关设备报废、销毁时,应拆除存储部件,由信息安全和保密办公室按有关要求统一销毁,同时作好备案登。第四章设备管理1.主机、存储系统运维管理日常巡检要对硬件运行状态仔细检查,从设备硬件提示信息及时发现问题,防止影响扩大化,及时解决故障,恢复系统的正常运作和系统冗余性,外部提示包括面板指示灯、电源指示灯、网卡指示灯、磁盘指示灯,以及各种硬件故障提示和报警信息。定期监控cpu性能,内存使用情况,硬盘利用情况,硬盘运行状态,网卡状态,系统日志,交换分区,进程状态,存储交换机端口状态,存储传输情况,通过监控数据对主机和存储系统的性能进行评估。发现隐患,先将问题确定到点,进行一段时间的问题信息数据监控,根据搜集的更多更高密度的数据对问题原因做出判断,如果属于一般应用系统问题,就将相应问题的应对工作加入工作日程,及时排除系统隐患,如果是由于硬件瓶颈导致,就对相关数据做出整合报表并附加解决提案提交公司上级,最终拟定解决方案,以确保服务系统的高可用性和高冗余性。2.应用服务系统运维管理应用服务系统是公司对外业务的信息平台,也是公司信息化能力的体现,同时也承载了公司内部工作平台,所以平台的持续稳定运行显得十分主要。管理人员要对不同应运服务的服务需求和服务人群有一定的了解,以便于规划网络构架,划分网络资源,定位应运服务的性能。应运服务的运维管理,除了要结合机房硬件日常管理,还要对服务的配置信息进行维护管理。日常巡检是有条件的话要从不同的网域检测服务响应能力,并要定期进入服务操作系统检查应用系统服务配置是否正常、检查日志文件是否有异常报错、检查服务平台操作系统是否流畅。通过对配置信息、故障报错、服务性能的管理,提高服务平台事件的分析处理能力。3.数据系统运维管理数据系统承载了服务平台的数据功能,它的正常运行和应用服务系统是同等重要的,数据系统运维主要体现在数据服务维护和数据备份两个主要方面。数据库运维服务管理包括主动数据性能管理,快速发现、诊断、解决性能问题,在发现问题是,及时找出性能瓶颈,解决数据库性能问题,并要注意数据库系统的变化,主动预防可能发生的问题,保证数据访问响应能力。数据备份对服务冗余性有着重要的作用,对数据文件做好日常数据增量备份和定期全备份,对重要文件做光盘或移动存储等介质的数据备份,有条件的话将数据进行异地数据备份。在日常工作中要监控备份服务进程、备份情况(起止时间、是否成功、出错告警),出现问题及时处理,恢复数据服务。当用户业务数据需要更新时,要记录更新日期,以便故障发生后尽快恢复数据。备份应用系统数据的同时,也要对运维检修工作进行数据备份,如网络设备配置参数备份、网管系统备份等,当在运维工作中出现配置错误时,可以通过相关备份恢复参数,短时间内恢复网络系统正常运行。4.信息保密管理运维人员有责任对网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等涉及公司机密、运营管理、近期规划、发展规划的信息负有保密责任,不得随意复制的传播。在进行日常运维工作时,未经上级或相关部门批准,无关人员不得进入机房,如已得到许可的,需由相关人员陪同。5.日常维护在日常工作中要定期对系统进行优化,检查系统补丁安装情况,查看防毒系统的病毒库升级状态,关闭无用的系统组件和系统服务,检查并修复服务系统错误日志,管理账户密码及用户权限,应用服务配置修改和参数更新,数据系统性能维护,监控备份服务,保障应用服务系统随着公司业务的增涨和改变做出相应的服务更新,并负责网络传输设备的安装、调试、测试,排除网络故障,优化网络性能,预防网络隐患,保障网络畅通稳定的运行。维护工作站出现操作系统、办公软件、软件客户端、病毒入侵、数据误删除、漏洞补丁缺失、网络通断、常见硬件错误等故障现象;打印机、扫描仪、传真机、数码存储产品等出现驱动程序错误、不能打印、扫描、收发传真、数据存储错误、共享错误等影响正常工作的软件故障,最大程度的提供技术支持工作,以保障公司业务的顺利进行。6.附件:安全检查表 服务器 检查项 提示操作/正常值 结论 情况摘要 备注 整体检查 硬件故障 查看服务器设备故障灯 □正常□异常 故障处理详情 补丁 是否有新补丁需要测试安装 □是□否 补丁安装详情 防病毒 病毒库是否升级为最新 □是□否 病毒库日期 XXX服务 系统事件 无错误事件与不明登陆事件 □正常□异常 日志文件 设置以及运行正常,数据量正常 □正常□异常 磁盘卷组 无处于失效状态的逻辑卷 □正常□异常 功能 服务器平台正常访问 □正常□异常 远程登陆正常工作 □正常□异常 数据备份 最近备份时间:年月日 系统事件 无错误事件与不明登陆事件 □正常□异常 日志文件 设置以及运行正常,数据量正常 □正常□异常 磁盘卷组 无处于失效状态的逻辑卷 □正常□异常 功能 服务器运行情况 □正常□异常 远程登陆正常工作 □正常□异常 服务 办公系统正常启动 □正常□异常 数据备份 最近备份时间:年月日 系统事件 无错误事件与不明登陆事件 □正常□异常 日志文件 设置以及运行正常,数据量正常 □正常□异常 磁盘卷组 无处于失效状态的逻辑卷 □正常□异常 功能 远程登陆正常工作 □正常□异常 服务器运行情况 □正常□异常 数据库正常工作 □正常□异常 数据备份 最近备份时间:年月日 系统事件 无错误事件与不明登陆事件 □正常□异常 日志文件 设置以及运行正常,数据量正常 □正常□异常 磁盘卷组 无处于失效状态的逻辑卷 □正常□异常 功能 远程登陆正常工作 □正常□异常 服务器运行情况 □正常□异常 数据库正常工作 □正常□异常 数据备份 最近备份时间:年月日 第五章监控管理和安全管理中心1.监控管理1)安全监控系统设备管理实行监控中心、监控设备所在辖区综合管理制度。2)监控中心负责监控系统及局域网系统设备的运行管理、巡检、日常保养及维修、维护工作,确保监控系统设备的正常运行。3)监控中心对监控系统设备使用情况进行检查、指导、监督,对因监控员不负责任造成的监控系统设备损坏进行责任追究。4)监控设备辖区单位与监控中心签订监控设备管理使用责任书后,对所辖监控设备负有管理维护责任。5)监控中心对监控设备要进行日常管理,严格按程序操作监控主机,维护监控系统。6)由于不规范程序操作等人为原因造成监控设备损坏,系统无法正常运行的,追究其管理的责任。7)未经监控中心同意,监控员等严禁擅自开启工控机接口,严禁将监控主机与U盘等外接输入、输出介质相连,严禁在监控主机或监控系统中安装无关程序,严禁删除系统中的任何程序或改变其存储位置,严禁改动系统预设参数。8)监控室属监管重地,未经领导批准,非工作人员严禁入内,严禁任何人员以任何理由进入监控室。9)任何人不得在监控室会客和进行娱乐活动,严禁非监控人员操作监控系统设备。严禁随意改变、调整和移动监控设备。严禁利用监控设备从事与监控任务无关的活动。对因违反规定,造成设备不能正常工作、系统紊乱的,追究相关责任人的责任。10)监控员负责监控台及监控室的日常保洁,保持室内清洁,整齐。室内严禁吸烟。不准在监控室内堆放杂物和私人物品。2.安全管理中心网络传输设备运行进行状态和网络传输信息进行监控管理。通过对网络设备的外部信息、运行日志、负载状态、配置参数、通信状况、服务功能等信息确保设备正常工作,并实时监控网络计算机接入数量、终端用户上网行为、网络端口传输流量等数据记录进行分析、评审,发现可疑行为,形成分析报告,安全管理中心负责对报告进行分析检查。第六章网络安全管理1.局域网由市公司信息中心统一管理。2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位,必须是字母数字混合。4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。8.入网用户不得从事下列危害公司网络安全的活动:(1)未经允许,对公司网络及其功能进行删除、修改或增加;(2)未经允许,对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加;(3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信息中心将停止其入网使用权,并追究其相应的责任。10.用户必须做好防火、防潮、防雷、防盗、防尘和防泄密等防范措施,重要文件和资料须做好备份。第七章系统安全管理1.总则第1条为保证本单位信息系统的操作系统和数据库系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。第2条本制度适用于XXXXXXXXXX及所有系统使用部门和人员。2.系统安全策略第三条信息安全责任部门负责单位人员的权限分配,权限设定遵循最小授权原则。1)管理员权限:维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离,不能由同一人担任。2)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。3)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。4)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。第4条加强密码策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。第5条用户使用的口令应满足以下要求:1)-8个字符以上;2)-使用以下字符的组合:a-z、A-Z、0-9,以及!@#$%^&*()- +;3)-口令每三个月至少修改一次。第6条定期安装系统的最新补丁程序,在安装前进行安全测试,并对重要文件进行备份。第7条每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。第8条第七条关闭信息系统不必要的服务。第9条第八条做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。3.系统日志管理第10条对于系统重要数据和服务器配值参数的修改,必须征得XX领导批准,并做好相应记录。第11条对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内容等详细信息。第12条审计日志应包括但不局限于以下内容:包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。第13条安全审计员应每日对审计日志进行审查,对异常事件及时跟进解决,并定期形成日志分析报告。第14条系统审计日志应定期做好备份工作。4.个人操作管理第15条单位工作人员申请账户权限需填写《系统权限申请表》,经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。第16条人员离职或调职时需交回相关系统账号及密码,经系统管理员删除或变更账号后方能离职或调职。第17条单位工作人员严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。第18条严格管理口令,包括口令的选择、保管和更换,采取关闭guest和匿名用户、增强管理员口令选择要求等措施。第19条第十八条计算机设备应设屏幕密码保护的用户界面,保证数据的机密性的安全。5.惩处第20条违反本管理制度,将提请单位行政部视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任第八章恶意代码防范管理1.恶意代码三级防范机制1.1恶意代码初级安全设置与防范初级安全设置与防范:运行防毒软件(如金山毒霸360等)。应实时监控,并定期更新病毒库;即时为系统和应用程序打上补丁;启用防火墙;为系统administration账号和密码,创建另一个管理员账号,以此来管理一些日常事务。默认管理员账号administration一般在执行一些需要特权才能执行程序或进行系统设置时启动;(超级管理员)<4>禁用GUEST账号,养成良好上网习惯。1.2.恶意代码中级安全设置与防范中级安全设置与防范:关闭一些不必要的端口比如说139端口(NetBIOS协议),IRC和rpc漏洞、445端口、3389等;为共享文件设置用户访问权限;使用NTFS(标准文件系统)格式分区,设置文件夹的访问权限及文件的运行权限;在控制面板→计算机管理→本地用户和组→用户,关闭除当前用户之外的一切其他用户;修改Internetexplorer的安全设置,将安全等级调高。1.3恶意代码高级安全设置与防范高级安全设置与防范:从本地安全策略gpedit.msc入手,限定更改密码期限,限定输入密码错误的次数(防止让别人无限次重试输入);禁用不必要的服务,如TerminalServices(终端服务)IIS(信息服务器)等;关闭默认共享,包括C$D$E$等;安装系统备份还原软件;在gpedit.msc中关闭“自动播放功能”,以使AutoRun病毒不能启动。组策略→管理模板→系统→禁用自动播放;注册表安全操作,例如在注册表中关闭系统不安全服务,关闭抢占系统资料的后台启动项,将隐藏“隐藏文件”的注册表项全部打开,备份关键注册表项(安全模式备份)。2.防御恶意代码技术管理人员职责2.1应精通恶意代码防范措施熟悉公司相关规范,并未非技术人员提供安全技术支持,帮助和监督非技术人员理解和执行防范恶意代码的规范2.2应了解常见的恶意代码的信息和种类,在需要的情况下可以凭借常识初步判断恶意代码的产生。2.3应负责在管辖范围内的计算机上安装防御恶意代码的软件。2.4应对管辖范围内的所有计算机安装的防御恶意代码的软件进行适当的安全配置。2.5对管辖范围内的系统和网络,应每周到相关网站上查看相关系统的网络的最新发现的漏洞和相关的补丁信息。2.6一点出现系统或网络相关补丁或更新,应立即在相关设备上进行安装。2.7应在负责范围内的网络、服务器及用户的PC上进行相应配置,每周自动进行服务器和网络安全扫描,并确保扫描完成。2.8一旦发现可能有恶意代码导致的异常的系统行为,必须立即启动恶意代码紧急应对措施。3.防御恶意代码员工日常行为规范3.1确保使用的计算机上安装了防御恶意代码的软件并进行了适当的配置。3.2不得擅自更改所用系统和应用软件。3.3对于以下情况必须通过防御恶意代码系统进行扫描,确认安全后才可以使用:3.3.1通过Internet下载文件和应用程序3.3.2在共享网络上传输下载的数据和应用程序3.3.3拷贝软盘、光盘及其他移动设备上的数据和应用程序3.4必须每周备份重要数据。3.5一旦发现可能由恶意代码导致的异常的系统行为,必须立即通知负责防御恶意代码的技术人员。第九章密码管理为确保网络安全运行,保护拥护权益不受侵害,特制订此管理制度。一、密码的设置:1.服务器的密码,由网络管理中心负责人和系统管理员商议确定,必须两人同时在场设定。2.服务器的密码须网络管理中心负责人在场时要由系统管理员记录封存。3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。4.密码要定期更换:一般服务器密码更换周期不得多于30天;重要服务器密码更换周期不得超过7天.5.重要服务器需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。二、密码和口令的保存(1)中心服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。(2)中心服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备案记录交于网络管理中心负责人封存。(3)密码更换后系统管理员需将新密码或口令记录登记封存。(4)如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查泄密源头修补系统漏洞,将详细情况以书面形式上报上一级领导。第十章变更管理1.变更公司总经理负责公司内所有形式的变更管理。2.变更程序2.1变更申请在实施变更时,变更申请人应对每项变更过程产生的风险都进行分析,制定控制措施,填写《变更申请表》并由专人负责管理。2.2变更审批《变更申请表》填好后,应按主管部门和分管公司领导审批,主管部门组织有关人员按变更原因和实际的需要确定是否进行变更。2.3变更实施变更批准后,又各相关职责的主管部门负责实施。任何临时性的变更,未经审查和批准,不得超过原批准的范围和期限。2.4变更验收变更实施结束后,变更主管部门应对变更情况进行验收,填写《变更验收表》确保变更达到计划要求。变更主管部门应及时将变更结果通知相关部门和人员。附件一变更申请表编号: 变更名称 申请人所在部门 申请人姓名 职务 日期 变更说明及其技术依据: 风险分析结论: 控制措施: 申请单位领导意见: 审批部门意见: 分管领导签字:附件二变更验收表编号: 验收变更的项目 变更所在单位 组织验收单位 日期 验收组成人员 姓名 所属单位 职务 验收意见(附验收报告):验收负责人签字: 主管部门审查意见:签字: 需要沟通的部门(变更结果) 单位或部门 签字 单位和部门 签字 第十一章备份与恢复管理1.总则第一条为保障公司信息系统的安全,使得在计算机系统失效或数据丢失时,能依靠备份尽快地恢复系统和数据,保护关键应用和数据的安全,保证数据不丢失,特制定本办法。第二条对于信息系统涉及到的网络设备、网络线路、加密设备、计算机设备、应用系统、数据库、维护人员,采取备份措施,确保在需要时有备用资源可供调配和恢复。第三条本管理办法中涉及到的设备主要指运行在信息技术部主机房中的网络设备、加密设备及计算机设备。第四条信息系统备份手段根据不同信息的重要程度及恢复时间要求分为实时热备份和冷备份等。同一平台的系统应尽量使用同样的备份手段,便于管理和使用。信息技术部负责信息系统的备份与恢复管理,并制定数据备份计划,对数据备份的时间、内容、级别、人员、保管期限、异地存取和销毁手续等进行明确规定。第五条信息技术部应根据各系统的重要程度、恢复要求及有关规定要求制定系统配置、操作系统、各应用系统及数据库和数据文件的备份周期和保存期限。第六条对于重要系统和数据的备份周期及备份保存期限应遵循以下原则:(一)至少要保留一份全系统备份。(二)每日运行中发生变更的文件,都应进行备份。(三)生产系统程序库要定期做备份,每月至少做一次。(四)生产系统有变更时,须对变更前后的程序库进行备份。(五)批加工若有对主文件的更新操作,则应进行批加工前备份。(六)每天批加工结束后都要对数据文件进行批后备份,对核心数据须进行第二备份。(七)对批加工生成的报表也要有相应的备份手段,并按规定的保留期限进行保留。(八)用于制作给用户数据盘的文件应有备份。(九)各重要业务系统的月末、半年末、年末以及计息日等特殊日的数据备份须永久保留。(十)定期将生产系统的数据进行删减压缩,并将删减的数据备份上磁带,永久保留。(十一)以上未明确保存期限的各项备份的保存至少应保存一周。2.设备备份第七条信息系统电源设备应尽量保证有两套电源来源。第八条对关键通讯线路和网点通讯线路必须采用双通讯线路;网络的运行线路和备份线路必须选用不同的网络服务供应商;重要网络设备必须有冗余备份。第九条核心服务器必须采用热备份方式,确保在运行机出现故障的时候备机能够自动接管;重要服务器可根据联机服务要求采用热备份方式或双机备份及其它冗余、容错措施。采用双机热备份,主机系统的配置要求对称一致;磁盘采用阵列磁盘,动态热备份以及全镜像的容错技术,UPS采用并机方式或阵列方式等。第十条对于没有业务数据存放的工作站设备,必须预先安装好备份机。根据对系统的重要性和影响面考虑,部分系统一套备机只对应一套运行机;其他系统一套备机可以对应多套运行机。第十一条系统介质做到双备份,一份由系统维护部门管理,方便及时安装;一份作灾难备份,异地存放。第十二条所有的备机,必须每季度进行检查,保证备机系统处于可用状态。为保证双机热备软件能够起作用,除了安装时的测试后,还需要每季度进行切换测试工作。3.应用系统、程序和数据备份第十三条需要备份的文件和备份周期、备份介质、保留时间:(一)所有系统的数据库文件两套存储设备实时镜像,文件备份周期每日全备份,备份介质磁带,数据备份文件本地保留一份,文档安全服务商保留一份、同城灾备中心一份,异地灾备中心一份,保留时间永久。(二)应用系统的配置文件,备份周期每周一次全备份,备份介质生产磁盘和磁带,数据备份文件本地保留一份,文档安全服务商保留一份、同城灾备中心一份,异地灾备中心一份,保留时间永久。(三)邮件数据库文件,备份周期每2小时一次数据镜像,每周一次全备,备份保留时间1个月。邮件数据备份于本地数据中心邮件归档服务器,保留时间永久。(四)办公、业务文件服务器文件共享文件,备份周期每月一次磁带备份,保留在本地数据中心,备份介质为备份服务器磁盘,保留时间一个月。(五)经文件传输平台发送和接受的投资系统相关行情、估值文件;年金系统相关文件,备份周期每日一次全备份,备份介质为备份服务器磁盘,保留时间永久。数据备份文件本地保留一份,文档安全服务商保留一份、同城灾备中心一份,异地灾备中心一份,保留时间永久。(六)Windows、Linux操作系统文件备份,备份周期每周一次全备份,保留在本地数据中心,保留时间一个月,备份介质为备份服务器磁盘。第十四条本地数据备份和异地数据备份。(一)本地数据备份:所有备份文件均在本地保留一份。(二)同城备份:同城灾备中心实现对生产中心投资、年金系统的数据备份,包括数据库文件、应用系统配置文件。(三)异地备份:异地灾备中心实现对生产中心投资、年金系统的数据备份,包括数据库文件、应用系统配置文件、AD域控服务器备份(计划在灾备三期实现)。第十五条信息技术部应充分合理地利用信息系统提供的各种安全机制,实现系统备份。备份系统在构成和配置上应与生产系统尽量保持一致,并制定有效、可行的切换机制,确保当生产系统出现故障时能迅速接管和承载业务运行。系统运维岗日常维护应保障生产环境、备份环境、生产备份机、备份生产库的完整性。第十六条信息技术部系统运维岗应该及时对重要系统或重要数据的数据进行备份,防止系统、数据的丢失;如遇到相同重大改动或更新,应当在当天立即进行完全备份。第十七条信息系统应用系统、程序和数据备份由信息技术部系统运维岗负责相关管理工作。信息技术部系统运维岗在执行软件系统部署/升级前应检查软件系统对应的《数据备份和恢复操作指导》、《系统故障与恢复手册》是否完整,软件系统首次部署时,应对系统和应用软件进行全备份;系统配置有更改时要做操作系统的全备份。在对运行机进行系统或应用软件升级的时候,必须首先进行系统和应用软件进行的备份,升级完成时应同时对备机进行升级。第十八条数据提取和变更的执行流程,应事先做好充分的备份工作,预防临时变故的发生,数据变更操作后注意跟踪系统运行情况,如发生异常则起用变更操作前的应急方案,准备恢复。第十九条网络设备的配置必须统一备份,网络设备的日志要统一收集、统一分析、统一备份。第二十条服务器的日志数据应该集中收集、定期分析、定期备份、定期销毁。第二十一条对设备的维护,特别是磁盘、磁带设备维护时,首先要做好信息的备份。第二十二条对数据库的数据文件、日志文件和控制文件进行定期备份,原则上每周一次完全备份,每天一次增量备份(目前暂定为全库备份)。临时数据备份模式可根据情况选择完整备份、部分备份或使用备份工具进行数据的卸出和装载。第二十三条备份数据应该严格管理,存储于脱机介质(磁带),并且异地存放妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。备份系统和备份数据必须与原系统/数据拥有同样的密级,并严格遵守涉密信息的管理制度。4.备份介质和介质库管理第二十四条介质及介质库管理应设专人负责。系统运维岗应制定磁带用量计划,每天整理备份磁带库内的磁带使用情况,定期检查备份执行情况,定期检查永久备份磁带是否有损坏,并负责对磁带定期进行重新读写。磁带库、磁带机应定期检修。第二十五条备份介质应按备份对象分类存放,不得混放、混用,备份磁带应作标签,分类摆放在预先安排好的地方,便于查找。第二十六条异地数据备份应保证至少48小时内的生产数据,以保障信息系统的数据安全和备份数据的有效更新。第二十七条业务数据备份介质必须存放于有保护的特定场所,并同时对其拷贝进行异地(非同一建筑物)保存。用于存放系统的第二备份磁带的第二备份磁带库应在远离机房至少十公里以外设立第二备份库,第二备份磁带应由专人或专业数据公司及时送到第二备份磁库,严格执行异地数据备份交接,交接双方必须严格履行交接手续,整个操作过程在相应的监控设备下进行,并有书面记录备查。第二十八条对生产介质的借阅须执行严格的审批制度。机房内的磁带未经许可不许带出机房,非本公司使用的磁带需经批准,填写相关手续后方可带走。任何人未经授权,不得随意导入和导出备份介质中的信息和数据,不得随意将备份介质或数据报表带出机房。第二十九条介质报废、销毁须符合本规范保密性要求。废弃的备份介质或数据报表应存放在指定地点,并由专人集中销毁。5.系统恢复第三十条对已经建立的备份系统,应定期进行实际切换演练,防止生产系统切换到备份系统时,备份系统不能正常工作,使生产系统瘫痪。信息技术部运维岗应定期进行双机热备的演练测试,生成测试报告,如果测试不成功,应提出相应解决方案;应定期对值班人员进行应急恢复的训练和实施演习,保证相关人员都能正确进行应急恢复。第三十一条在系统崩溃或有特殊情况下,应区分系统级恢复、应用级恢复和数据级恢复,并分别制定不同的策略,同时尽量通过系统备份进行主机系统的恢复。对可能造成停业的故障,一线人员应立即报告主管领导,并提出相应办法,必要时启用备份系统。第三十二条一旦发生数据丢失或数据破坏等情况,要由系统运维人员进行备份数据的恢复,以免造成不必要的麻烦或更大的损失全盘恢复一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等;个别文件恢复一般用于恢复受损的个别文件,或者在全盘恢复之后追加增量备份的恢复,以得到最新的备份。第三十三条同城灾备中心的启用:当本地数据中心完全瘫痪时,启用同城数据灾备中心;异地灾备中心的启用:当本地数据中心、同城灾备中心无法运行时,启动异地灾备中心。6.人员备份第三十四条信息系统关键岗位(现阶段定义为:项目经理岗、系统运维岗、硬件运维岗)人员的设置应做到职责分明,相互配合。为防止突发原因引起工作岗位角色缺失,关键岗位人员应执行备份机制,设置AB角色,以保障日常生产。跨工作岗位角色的权责的转移,必须由本角色岗位人员或本部门提出,上级主管进行书面授权,否则视为无效授权。第三十五条所有信息系统运行维护工作,必须指定A、B角。由A角负责日常的维护工作,B角在A角出差或者临时不在的时候负责解决故障。A角有责任对B角进行培训,直至B角可以独立的处理故障。附则第三十六条本管理办法由信息技术部负责解释和指导。第三十七条本管理办法自下发之日起实施。第十二章安全事件处置1.工作原则预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免财产遭受损失。分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。2.组织指挥机构与职责发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组,为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室,负责日常工作和综合协调,并与公安网监部门进行联系。3.先期处置(1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。(2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。(3)主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。4.应急处置4.1应急指挥启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。需要成立现场指挥部的,事发部门立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。现场指挥部在局协调小组的领导下全权负责现场的应急援救工作。主管部门负责对发生网络与信息安全突发公共事件的网络与信息系统的现场应急处置工作。4.2应急支援动后,协调小组的应急响应先遣小组,督促、指导和协调处置工作。协调小组办公室根据事态的发展和处置工作需要,及时增派专家小组和应急支援单位,调动必需的物资、设备,支援应急工作。参加现场处置工作的部门要在现场指挥部统一指挥下,协助开展处置行动。4.3信息处理(1)现场信息收集、分析和上报。事发部门应对事件进行动态监测,评估,及时将事件的性质、危害程度和损失情况及处置工作等情况按局委、局政府紧急信息报送的有关规定,及时报局协调小组办公室,不得隐瞒、缓报、谎报。(2)级信息处理。局协调小组办公室要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。(3)信息发布和咨询。当网络与信息安全突发公共事件发生时,局协调小组办公室要及时做好信息发布工作,通过局级新闻单位发布网络与信息安全突发公共事件预警及应急处置的相关信息,通知社会各界做好应急准备及预防措施,增强公众的信心。信息发布与新闻报道要按国家的有关规定及时进行。4.4应急结束网络与信息安全突发公共事件经应急处置后,得到有效控制,经各监测统计数据上报公司组办公室向局协调小组提出应急结束的建议,经批准后实施。5后期处置5.1善后处置在应急处置工作结束后,事发单位要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等的支持,并将善后处置的有关情况报协调小组办公室。5.2调查和评估在应急处置工作结束后,局级主管部门应立即组织有关人员和专家组成事件调查组,在当地政府及其有关部门的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,并根据问责制的有关规定,对有关责任人员做出处理。第十三章应急预案管理1.应急处理和灾难恢复应急处理和灾难恢复,不同安全等级应有选择地满足以下要求的一项:a)应急处理的基本要求:应对信息系统的应急处理有明确的要求,制定具体的应急处理措施;安全管理人员应协助分管领导落实应急处理措施。b)应急处理的制度化要求:应制定总体应急计划和灾难恢复计划并由应急处理小组负责落实;制定针对关键应用系统和支持系统的应急计划和灾难恢复计划并进行测试;对计划涉及人员进行培训,保证这些人员具有相应执行能力;与应急需要外部有关单位应签订合同;制定安全事件处理制度;制定系统信息和文档备份制度等等。c)应急处理的检查要求:信息安全领导小组应有人负责或指定专人负责应急计划和实施恢复计划管理工作;信息系统安全机制集中管理机构应协助应急处理小组负责具体落实;检查或验证应急计划和灾难恢复计划,保证应急计划和灾难恢复计划能够有效执行。d)应急处理的强制保护要求:针对应急计划和灾难恢复计划实施进行独立审计;针对应急计划和灾难恢复计划进行定期评估,不断改进和完善。e)应急处理的持续改进要求:制定包括全面管理细则的应急计划和灾难恢复计划;基于应急计划和灾难恢复计划和安全策略,进行可验证的操作过程监督。2.应急计划对应急计划,不同安全等级应满足以下要求:a)制定应急计划策略,明确制定应急计划所需的职权和相应的管理部门;b)进行业务影响分析,识别关键信息系统和部件,确定优先次序;c)确定防御性控制,减小系统中断的影响,提高系统的可用性;注意采取措施,减少应急计划生命周期费用;d)制定恢复策略,确保系统可以在中断后快速和有效的恢复;e)制定信息系统应急计划,包括恢复受损系统所需的指导方针和规程;f)计划测试、培训和演练,发现计划的不足,培训技术人员;g)计划维护,有规律地更新适应系统发展;h)制定灾难备份计划,以及启动方式。3.应急计划的实施保障对应急计划的实施保障,不同安全等级应有选择地满足以下要求的一项:a)应急计划的责任要求:应对明确应急计划的组织和实施人员,使其知道在应急计划实施过程中各自的责任。b)应急计划的能力要求:,对系统相关的人员进行培训,知道如何以及何时使用应急计划中的控制手段及恢复策略,保证执行应急计划应具有的能力。c)应急计划的系统化管理:进行系统化管理用于实施和维护整个组织的应急计划体系,并记录计划实施过程;确保应急计划的执行有足够资源的保证。d)应急计划的监督措施:从风险评估开始,考虑所有的运行管理过程,识别可能引起业务过程中断的事件,应有业务资源和业务过程管理者的参与和监督。e)应急计划的持续改进:应针对计划的正确性和完整性进行定期检查,在计划发生重大变化时应立即检查;根据业务应用的重要程度的不同,不断对计划内容和规程进行评估和完善。4.应急演练信息技术中心负责组织公司的应急演练,编写测试预案。演习主要模拟机房出现事故,公司各部门协同作战,人员到位,应急处理的能力。应急演练结束后,信息技术中心将根据演练结果进行汇总,向全公司通报,并将总计发现的问题落实整改,对于分支机构的问题则监督进行整改。信息部员工最高领导信息部经理运营总监范本精选版PAGE范本精选版
浙公网安备 33021202002483