在不斷進步的社會中,我們都跟制度有著直接或間接的聯絡,制度是維護公平、公正的有效手段,是我們做事的底線要求。我們該怎麼擬定製度呢?下面是小編精心整理的資訊保安保密管理制度,希望能夠幫助到大家。
第一章總則
第一條資訊保安保密工作是公司運營與發展的基礎,是保障客戶利益的基礎,為給資訊保安工作提供清晰的指導方向,加強安全管理工作,保障各類系統的安全執行,特制定本管理制度。
第二條本制度適用於分、支公司的資訊保安管理。
第二章計算機機房安全管理
第三條計算機機房的建設應符合相應的國家標準。
第四條為杜絕火災隱患,任何人不許在機房內吸菸。嚴禁在機房內使用火爐、電暖器等發熱電器。機房值班人員應瞭解機房滅火裝置的效能、特點,熟練使用機房配備的滅火器材。機房消防系統白天置手動,下班後置自動狀態。一旦發生火災應及時報警並採取應急措施。
第五條為防止水患,應對上下水道、暖氣設施定期檢查,及時發現並排除隱患。
第六條機房無人值班時,必須做到人走門鎖;機房值班人員應對進入機房的人員進行登記,未經各級領導同意批准的人員不得擅自進入機房。
第七條為杜絕齧齒動物等對機房的破壞,機房內應採取必要的防範措施,任何人不許在機房內吃東西,不得將食品帶入機房。
第八條系統管理員必須與業務系統的操作員分離,系統管理員不得操作業務系統。應用系統執行人員必須與應用系統開發人員分離,執行人員不得修改應用系統原始碼。
第三章計算機網路安全保密管理
第九條採用入侵檢測、訪問控制、金鑰管理、安全控制等手段,保證網路的安全。
第十條對涉及到安全性的網路操作事件進行記錄,以進行安全追查等事後分析,並建立和維護“安全日誌”,其內容包括:
1、記錄所有訪問控制定義的變更情況。
2、記錄網路裝置或設施的啟動、關閉和重新啟動情況。
3、記錄所有對資源的物理毀壞和威脅事件。
4、在安全措施不完善的情況下,嚴禁公司業務網與網際網路聯接。
第十一條不得隨意改變例如ip地址、主機名等一切系統資訊。
第四章 應用軟體安全保密管理
第十二條各級執行管理部門必須建立科學的、嚴格的軟體執行管理制度。
第十三條建立軟體複製及領用登記簿,建立健全相應的監督管理制度,防止軟體的非法複製、流失及越權使用,保證計算機資訊系統的安全;
第十四條定期更換系統和使用者密碼,前臺(各應用部門)使用者要進行動態管理,並定期更換密碼。
第十五條定期對業務及辦公用pc的.作業系統及時進行系統補丁升級,堵塞安全漏洞。
第十六條不得擅自安裝、拆卸或替換任何計算機軟、硬體,嚴禁安裝任何非法或盜版軟體。
第十七條不得下載與工作無關的任何電子檔案,嚴禁瀏覽黃色、*或高風險等非法網站。
第十八條注意防範計算機病毒,業務或辦公用pc要每天更新病毒庫。
第五章 資料安全保密管理
第十九條所有資料必須經過合法的手續和規定的渠道採集、加工、處理和傳播,資料應只用於明確規定的目的,未經批准不得它用,採用的資料範圍應與規定用途相符,不得超越。
第二十條根據資料使用者的許可權合理分配資料存取授權,保障資料使用者的合法存取。
第二十一條設定資料庫使用者口令,並監督使用者定期更改;資料庫使用者在操作資料過程中,不得使用他人口令或者把自己的口令提供給他人使用。
第二十二條未經領導允許,不得將儲存介質(含磁帶、光碟、軟盤、技術資料等)帶出機房,不得隨意通報資料內容,不得洩露資料給內部或外部無關人員。
第二十三條 嚴禁直接對資料庫進行操作修改資料。如遇特殊情況進行此操作時,必須由申請人提出申請,填寫《資料變更申請表》,經申請人所屬部門領導確認後提交至資訊管理部,資訊管理部相關領導確認後,方可由資料庫管理人員進行修改,並對操作內容作好記錄,長期儲存。修改前應做好資料備份工作。
第二十四條 應按照分工負責、互相制約的原則制定各類系統操作人員的資料讀寫許可權,讀寫許可權不允許交叉覆蓋。
第二十五條 一線生產系統和二線監督系統進行系統維護、復原、強行更改資料時,至少應有兩名操作人員在場,並進行詳細的登記及簽名。
第二十六條 對業務系統操作員許可權實行動態管理,確保操作員崗位調整後及時修改相應許可權,保證業務資料安全。