信息安全管理辦法（15篇范文）

發(fā)布時間：2024-11-29 查看人數(shù)：47

信息安全管理辦法

第1篇信息安全管理辦法

第一章??? 總則

第一條為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設(shè)備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò)安全等管理，防范和化解信息系統(tǒng)的運行風(fēng)險，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風(fēng)險管理指引》等規(guī)定，結(jié)合我農(nóng)商行實際情況，特制定本辦法。

第二條本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人，包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工，包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。

第三條信息系統(tǒng)信息安全工作堅持以預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負責(zé)，誰運行誰負責(zé)，誰使用誰負責(zé)”的原則，逐級落實單位與個人信息安全責(zé)任制。

第四條信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當保障信息系統(tǒng)及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。

第五條任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章組織保障

第六條農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。

第七條根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領(lǐng)導(dǎo)和各職能部門主要負責(zé)人組成信息安全工作領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)農(nóng)商行科技信息部，負責(zé)協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。第八條農(nóng)商行科技信息部門設(shè)立信息安全崗位，配備專職信息安全管理人員。負責(zé)邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行指導(dǎo)和檢查督促。

第九條農(nóng)商行各支行及各職能部門主要負責(zé)人為本部門信息安全第一責(zé)任人，同時均應(yīng)指定至少一名部門信息安全員，具體負責(zé)本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。科技信息部為農(nóng)商行信息安全保護專職部門，設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負責(zé)全轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組，設(shè)立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十一條信息安全管理人員應(yīng)具有從事金融機構(gòu)計算機工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第十二條信息安全管理人員必須應(yīng)經(jīng)過省聯(lián)社組織的專業(yè)培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓(xùn)。第十三條農(nóng)商行信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單位信息安全管理工作：（一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。（二）審核信息化建設(shè)項目中的安全方案，組織實施信息安全保障項目建設(shè)，維護、管理信息安全專用設(shè)施。（三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。（四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓(xùn)工作。第十四條信息安全管理人員在履行職責(zé)時，確因工作需要查詢相關(guān)涉密信息，須經(jīng)本部門負責(zé)人同意后向本單位保密主管部門提交申請，獲得批準后方可查詢。第十五條信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應(yīng)及時報上一級科技信息部備案。

第十六條信息安全管理人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條各部門和各級支行應(yīng)指派素質(zhì)好、較熟悉計算機知識的人員擔(dān)任部門信息安全員，并報農(nóng)商行科技信息部備案。如有變更應(yīng)做好交接工作，并及時通報科技信息部。第十八條部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項信息安全技能培訓(xùn)。第十九條部門信息安全員在如下職責(zé)范圍內(nèi)開展工作：（一）負責(zé)本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。（二）負責(zé)提出本部門信息安全保障需求，及時與農(nóng)商行信息安全管理人員溝通信息安全信息。（三）負責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術(shù)支持人員

第二十條本辦法所稱技術(shù)支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。第二十一條農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：（一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權(quán)限訪問，未經(jīng)批準不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。（二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處置。（三）嚴格操作管理、測試管理、應(yīng)急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。第二十二條外部技術(shù)支持人員應(yīng)嚴格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員

第二十三條本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。第二十四條業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)：（一）嚴格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時進行必要的數(shù)據(jù)備份。（二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部。（三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件，不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。第二十五條業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原則，嚴格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。

第五節(jié) 一般計算機用戶

第二十六條本辦法所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。第二十七條一般計算機用戶應(yīng)承擔(dān)如下安全義務(wù)：（一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導(dǎo)與管理。（二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。（三）未經(jīng)科技信息部檢測和授權(quán)，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)；不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。

第二十九條本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第三十條要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，合格者方可上崗。

第三十一條要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權(quán)”原則，嚴格設(shè)定各用戶的操作權(quán)限。

第三十二條對要害崗位人員應(yīng)實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓(xùn)。

第三十三條要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條系統(tǒng)管理員安全責(zé)任

（一）負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

（三）認真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條系統(tǒng)開發(fā)員安全責(zé)任

（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

（三）不得對系統(tǒng)設(shè)置后門；

（四）對系統(tǒng)核心技術(shù)保密。

第三十七條系統(tǒng)維護員安全責(zé)任

（一）負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第三十八條各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第四章機房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

第三十九條本辦法所稱機房是指信息系統(tǒng)等主要設(shè)備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第四十條農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由科技信息部負責(zé)。第四十一條農(nóng)商行機房應(yīng)符合國家計算機機房有關(guān)標準、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定，滿足下列基本安全要求：

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。

（三）機房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十二條機房建設(shè)、改造的方案應(yīng)報上市網(wǎng)絡(luò)中心備案。必要時，由市網(wǎng)絡(luò)中心會同財務(wù)、保衛(wèi)等部門進行審核。第四十三條機房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設(shè)計與施工經(jīng)驗的專業(yè)化公司。重要機房建設(shè)或改造工程應(yīng)引入監(jiān)理辦法。

第四十四條計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施聯(lián)動監(jiān)控。

第四十五條監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十六條農(nóng)商行機房應(yīng)建立機房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控，通過技術(shù)和管理手段，確保計算機機房及配套設(shè)施安全。第四十七條農(nóng)商行機房投入使用前，應(yīng)經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。第四十八條農(nóng)商行建立健全機房管理辦法，并指派專人擔(dān)任機房管理員，落實機房安全責(zé)任制。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。

第四十九條機房管理員負責(zé)妥善保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。

第五十條農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領(lǐng)導(dǎo)批準，并辦理登記手續(xù)，由專人陪同。

第五十一條建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應(yīng)成為保養(yǎng)的重點。

第五十二條向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴格出入安全管理，應(yīng)安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配置自動監(jiān)控報警功能。第五十三條所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月。

第二節(jié) 設(shè)備資產(chǎn)管理

第五十四條農(nóng)商行科技信息部建立完備的計算機設(shè)備登記辦法，嚴格資產(chǎn)管理，明確計算機設(shè)備使用者或管理者及其安全責(zé)任。第五十五條農(nóng)商行科技信息部根據(jù)計算機設(shè)備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè)備應(yīng)放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理

第五十六條省聯(lián)社信息科技部負責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等）分配。第五十七條農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應(yīng)報上一級科技信息部審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。第五十八條農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：（一）符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求，使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。（二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。（三）根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡(luò)運行安全管理

第五十九條農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦法，配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。

（一）負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；

（三）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第六十條網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。

第六十一條農(nóng)商行科技信息部嚴格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第六十二條農(nóng)商行科技信息部嚴格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準備。第六十三條農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應(yīng)向科技信息部提出書面申請，并采取相應(yīng)的安全防護措施。第六十四條信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準，有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán)，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。第六十五條農(nóng)商行應(yīng)以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò)互聯(lián)。第六十七條網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關(guān)標準組織實施。未經(jīng)省聯(lián)社信息科技部核準，任何單位不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。

第六十八條經(jīng)批準與其他業(yè)務(wù)相關(guān)機構(gòu)進行網(wǎng)絡(luò)連接，應(yīng)采用必要的技術(shù)隔離保護措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。第七十條計算機接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密主管部門批準，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關(guān)批準證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。第七十一條未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。第七十二條使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章信息系統(tǒng)安全管理

第七十三條本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十四條信息系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應(yīng)滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部門提出的安全需求。（二）安全需求分析和實現(xiàn)。（三）運行平臺的安全策略與設(shè)計。

第七十五條信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安全機制，在安全防護方面應(yīng)符合下列基本安全要求：

（一）采取必要的技術(shù)手段，建立嚴密的安全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復(fù)制；

（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災(zāi)難恢復(fù)；

（三）具有嚴格的用戶和密碼管理，能對不同級別的用戶進行有限授權(quán)，特別應(yīng)嚴格限制和分流特權(quán)用戶的權(quán)限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應(yīng)設(shè)置審計監(jiān)控程序，具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設(shè)計應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。

第七十六條農(nóng)商行科技信息部負責(zé)對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整、準確實現(xiàn)。

第七十八條信息系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應(yīng)與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。第七十九條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。第八十一條涉密信息系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運行

第八十二條農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下：（一）項目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。（二）科技信息部應(yīng)提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應(yīng)在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報科技信息部備案。

第八十三條信息系統(tǒng)投入運行前，應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；

（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設(shè)計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十四條科技信息部應(yīng)當對報送的書面材料進行初步審查。委托相關(guān)權(quán)威機構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認證。

第八十五條對信息系統(tǒng)的安全評估應(yīng)當包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條安全評估委員會或安全評估專家組應(yīng)對測試、認證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條信息系統(tǒng)運行平臺應(yīng)符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標準。

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第八十八條農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負責(zé)信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。

第八十九條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員，不得安裝與系統(tǒng)無關(guān)的其他計算機程序；維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第九十條系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的，應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第九十一條未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準，其他任何人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán)限。

第四節(jié) 業(yè)務(wù)操作

第九十二條業(yè)務(wù)部門負責(zé)信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定，科技信息部根據(jù)-授權(quán)進行相關(guān)設(shè)定操作。第九十三條業(yè)務(wù)操作人員應(yīng)嚴格按照安全操作規(guī)程進行業(yè)務(wù)操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領(lǐng)導(dǎo)和科技信息部報告。第九十四條業(yè)務(wù)操作人員應(yīng)設(shè)置本人口令密碼，并嚴格保密，防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。第九十五條凡是能夠執(zhí)行錄入、復(fù)核辦法的信息系統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準，不得代崗、兼崗。第九十六條業(yè)務(wù)操作人員離開操作用機時，應(yīng)按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。第九十八條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應(yīng)在本單位保密主管部門監(jiān)督下予以不可恢復(fù)性銷毀。

第七章客戶端安全管理

第九十九條本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括臺式個人計算機（pc）、便攜式計算機、柜員終端、自動柜員機（atm）、存折打印機、讀卡器、銷售終端（pos）和個人數(shù)字助理（pda）等。第一百條農(nóng)商行應(yīng)建立完善的客戶端管理辦法，記錄所有客戶端設(shè)備信息和軟件配置信息，采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。第一百零一條客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。第一百零二條客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。第一百零三條確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴格保存其身份認證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章信息安全專用產(chǎn)品與服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù)，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。第一百零五條省聯(lián)社信息科技部負責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。第一百零六條農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應(yīng)報省聯(lián)社信息科技部批準，省聯(lián)社信息科技部應(yīng)進行登記備案。

第二節(jié) 使用管理

第一百零七條農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。第一百零八條農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況，認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。第一百零九條各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個月。第一百一十條農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。第一百一十一條防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置。如需要進行遠程配置，由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操作。

第九章數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第一百一十三條? 農(nóng)商行應(yīng)建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條農(nóng)商行業(yè)務(wù)部門負責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第一百一十五條農(nóng)商行應(yīng)制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。第一百一十六條農(nóng)商行業(yè)務(wù)部門應(yīng)嚴格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。第一百一十七條農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負責(zé)定期導(dǎo)出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。第一百一十八條農(nóng)商行業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。第一百一十九條所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴?fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條農(nóng)商行應(yīng)制定客戶信息管理辦法和流程，嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術(shù)文檔

第一百二十一條本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種紙質(zhì)技術(shù)資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。第一百二十二條農(nóng)商行科技信息部負責(zé)將技術(shù)文檔統(tǒng)一歸檔，嚴格管理，并實行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導(dǎo)批準，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條農(nóng)商行應(yīng)建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標識，統(tǒng)一編號，并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第一百二十四條農(nóng)商行應(yīng)做好存儲介質(zhì)在物理傳輸過程中的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。第一百二十五條農(nóng)商行應(yīng)制定移動存儲設(shè)備（u盤、移動硬盤等）管理辦法，加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。第一百二十六條農(nóng)商行應(yīng)建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次?？诹蠲艽a的強度應(yīng)滿足不同安全性要求，不得設(shè)置過于簡單的弱口令密碼。第一百二十八條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。第一百二十九條農(nóng)商行應(yīng)根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術(shù)應(yīng)用管理

第一百三十條農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)嚴格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密措施。第一百三十一條農(nóng)商行選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合湖南省農(nóng)村信用社的相關(guān)安全要求。第一百三十二條農(nóng)商行應(yīng)建立嚴格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。第一百三十三條農(nóng)商行應(yīng)在安全環(huán)境中進行關(guān)鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設(shè)置遇緊急情況下密鑰自動銷毀功能。第一百三十四條各類密鑰應(yīng)定期更換，對已泄露或懷疑泄露的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。

第十章第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。第一百三十六條農(nóng)商行保密工作委員會負責(zé)涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，農(nóng)商行科技信息部負責(zé)非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。第一百三十七條允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應(yīng)建立存取控制機制、認證機制，列明所有用戶名單及其權(quán)限，嚴格監(jiān)督第三方訪問活動。第一百三十八條獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。

第一百四十條信息科技外包服務(wù)應(yīng)按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議，協(xié)議應(yīng)明確約定外包服務(wù)商的安全義務(wù)。

第一百四十一條經(jīng)本單位科技信息部領(lǐng)導(dǎo)批準，外包服務(wù)提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。第一百四十二條計算機設(shè)備確需送外單位維修時，科技信息部應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。

第十一章災(zāi)難備份與應(yīng)急管理

第一節(jié) 災(zāi)難備份管理

第一百四十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。第一百四十四條科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責(zé)邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。第一百四十五條農(nóng)商行相關(guān)業(yè)務(wù)部門負責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間（恢復(fù)時間目標rto）和數(shù)據(jù)丟失量(恢復(fù)點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災(zāi)難備份等級和備份方案。第一百四十六條農(nóng)商行應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。

第二節(jié) 應(yīng)急管理

第一百四十七條應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機集合。第一百四十八條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。第一百四十九條農(nóng)商行應(yīng)制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。第一百五十條應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一）總則（目標、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。（二）應(yīng)急組織機構(gòu)。（三）預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。（四）各類危機處置流程。（五）應(yīng)急資源保障。（六）事后處理流程。（七）預(yù)案管理與維護（生效、演練、維護等）。第一百五十一條農(nóng)商行應(yīng)定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。第一百五十二條農(nóng)商行信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一負責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決定重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。第一百五十三條農(nóng)商行應(yīng)按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報省聯(lián)社信息科技部。

第一百五十四條重大信息安全事件發(fā)生后，農(nóng)商行相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。

第一百五十五條農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條農(nóng)商行辦公室負責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。

第十二章安全檢查評估與培訓(xùn)

第一節(jié) 監(jiān)測檢查

第一百五十七條農(nóng)商行科技信息部應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。第一百五十八條農(nóng)商行科技信息部應(yīng)建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領(lǐng)導(dǎo)小組和上一級科技信息部，抄送相關(guān)業(yè)務(wù)部門。第一百五十九條農(nóng)商行要及時預(yù)警、響應(yīng)和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。

第一百六十條農(nóng)商行科技信息部應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。第一百六十一條農(nóng)商行在開展安全檢查前應(yīng)以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)本單位主管領(lǐng)導(dǎo)批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。第一百六十二條農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責(zé)任。所有檢查報告和資料應(yīng)作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。第一百六十三條農(nóng)商行應(yīng)將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。

第二節(jié) 評估審計

第一百六十四條農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應(yīng)制定評估方案并進行必要的培訓(xùn)。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技信息部主管領(lǐng)導(dǎo)。第一百六十六條農(nóng)商行如聘請第三方機構(gòu)進行安全評估，報省聯(lián)社信息科技部批準，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。第一百六十七條農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。

第一百六十八條農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應(yīng)遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規(guī)定，確保測評有效和測評安全。

第一百六十九條農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。第一百七十條農(nóng)商行應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關(guān)日志記錄。

第三節(jié) 安全培訓(xùn)

第一百七十一條農(nóng)商行應(yīng)至少每年對信息安全管理人員進行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條農(nóng)商行應(yīng)開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓(xùn)，提高全體員工信息安全意識，使全體員工充分了解其職責(zé)范圍內(nèi)的信息保護流程及違反規(guī)定的后果。

第十三章獎勵與處罰

第一百七十三條農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應(yīng)進行通報表彰并給予一定形式的獎勵。第一百七十四條對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十四章附則

第一百七十五條之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條本辦法由邵陽市農(nóng)村商業(yè)銀行負責(zé)解釋。

第一章??? 總則

第四條信息系統(tǒng)系統(tǒng)信息安全管理員，應(yīng)當保障信息系統(tǒng)及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。

第五條任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章組織保障

第六條農(nóng)商行設(shè)立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責(zé)。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)?？萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門，設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負責(zé)全轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導(dǎo)小組，設(shè)立部門信息安全員。

第一節(jié) 信息安全管理人員

第十一條信息安全管理人員應(yīng)具有從事金融機構(gòu)計算機工作三年以上經(jīng)歷，具有本科以上學(xué)歷。

第二節(jié) 部門信息安全員

第三節(jié) 技術(shù)支持人員

第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員

第五節(jié) 一般計算機用戶

第六節(jié) 信息系統(tǒng)要害崗位人員

第三十條要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，合格者方可上崗。

第三十二條對要害崗位人員應(yīng)實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓(xùn)。

第三十四條要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條系統(tǒng)管理員安全責(zé)任

（一）負責(zé)系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

（三）認真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條系統(tǒng)開發(fā)員安全責(zé)任

（一）系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

（三）不得對系統(tǒng)設(shè)置后門；

（四）對系統(tǒng)核心技術(shù)保密。

第三十七條系統(tǒng)維護員安全責(zé)任

（一）負責(zé)系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告計算機安全人員。

第三十八條各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第四章機房環(huán)境和設(shè)備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應(yīng)配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。

（三）機房應(yīng)安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應(yīng)設(shè)專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十五條監(jiān)控設(shè)備的安裝應(yīng)符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十九條機房管理員負責(zé)妥善保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料，并隨時提供調(diào)閱。

第二節(jié) 設(shè)備資產(chǎn)管理

第五章網(wǎng)絡(luò)安全管理

第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理

第二節(jié) 網(wǎng)絡(luò)運行安全管理

（一）負責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

（二）安全配置網(wǎng)絡(luò)參數(shù)，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；

（四）對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六章信息系統(tǒng)安全管理

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十五條信息系統(tǒng)應(yīng)采取與業(yè)務(wù)安全等級要求相應(yīng)的安全機制，在安全防護方面應(yīng)符合下列基本安全要求：

（二）提供完整的數(shù)據(jù)備份和恢復(fù)功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災(zāi)難恢復(fù)；

（五）涉密信息系統(tǒng)的安全設(shè)計應(yīng)符合涉密信息保密管理的有關(guān)規(guī)定。

第七十六條農(nóng)商行科技信息部負責(zé)對項目技術(shù)方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整、準確實現(xiàn)。

第三節(jié) 信息系統(tǒng)上線與運行

第八十三條信息系統(tǒng)投入運行前，應(yīng)向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況；

（二）關(guān)于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設(shè)計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十五條對信息系統(tǒng)的安全評估應(yīng)當包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條安全評估委員會或安全評估專家組應(yīng)對測試、認證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條信息系統(tǒng)運行平臺應(yīng)符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標準。

（二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第四節(jié) 業(yè)務(wù)操作

第五節(jié) 信息系統(tǒng)廢止

第七章客戶端安全管理

第八章信息安全專用產(chǎn)品與服務(wù)管理

第一節(jié) 資質(zhì)審查與選型購置

第二節(jié) 使用管理

第九章數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十三條?農(nóng)商行應(yīng)建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條農(nóng)商行業(yè)務(wù)部門負責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。

第二節(jié) 技術(shù)文檔

第三節(jié) 存儲介質(zhì)

第四節(jié) 口令密碼

第五節(jié) 密碼技術(shù)應(yīng)用管理

第十章第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第二節(jié) 外包安全管理

第十一章災(zāi)難備份與應(yīng)急管理

第一節(jié) 災(zāi)難備份管理

第二節(jié) 應(yīng)急管理

第一百五十五條農(nóng)商行應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條農(nóng)商行辦公室負責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。

第十二章安全檢查評估與培訓(xùn)

第一節(jié) 監(jiān)測檢查

第二節(jié) 評估審計

第三節(jié) 安全培訓(xùn)

第一百七十一條農(nóng)商行應(yīng)至少每年對信息安全管理人員進行一次專業(yè)培訓(xùn)，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第十三章獎勵與處罰

第十四章附則

第一百七十五條之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條本辦法由邵陽市農(nóng)村商業(yè)銀行負責(zé)解釋。

第2篇以管理信息系統(tǒng)規(guī)范班組的安全管理

飛來峽水利樞紐位于廣東省北江干流中游清遠市飛來峽管理區(qū)境內(nèi)，以防洪為主，兼有航運、發(fā)電、養(yǎng)殖、供水、旅游和改善生態(tài)環(huán)境等多種效益。由于樞紐生產(chǎn)班組眾多，且專業(yè)差別較大，班組內(nèi)技術(shù)人員和工人的素質(zhì)也不盡相同，這就導(dǎo)致了班組安全生產(chǎn)管理工作的難度增大。安全生產(chǎn)管理的職能部門難以及時掌握生產(chǎn)部門各班組有關(guān)的情況；班組之間有很多有用的信息難以共享，對整體安全生產(chǎn)管理水平的提高不利；故障和隱患處理等程序費時費力，跟不上社會信息化的步伐。隨著電腦應(yīng)用的普及和管理信息系統(tǒng)技術(shù)的日趨成熟，對班組的安全生產(chǎn)管理實行信息化處理顯得更為迫切。

1 信息系統(tǒng)的設(shè)置

為實現(xiàn)管理信息化，管理局于2001年建立了信息管理系統(tǒng)。系統(tǒng)包括了生產(chǎn)、安全管理、政工、人事、后勤等方面的內(nèi)容，包含了局日常工作的主要方面。其中安全監(jiān)察子系統(tǒng)的功能就是實現(xiàn)局安全生產(chǎn)工作的信息化管理。目前安全監(jiān)察子系統(tǒng)包括了安全工具檢查、安全生產(chǎn)活動、安全生產(chǎn)檔案、消防安全管理等4個方面：

(1) 安全工具，包含安全帽及絕緣工具的檢查；

(2) 安全生產(chǎn)活動包含安全事故預(yù)想記錄，反事故演習(xí)記錄，異常情況分析，安全事故，障礙及異常分析；

(3) 安全生產(chǎn)檔案，包含安全生產(chǎn)學(xué)習(xí)檔案，安全生產(chǎn)檢查檔案，安全生產(chǎn)事故處理檔案，人身事故情況，安全生產(chǎn)隱患處理檔案；

(4) 消防安全管理，包含消防器材記錄，消防檢查記錄，消防演習(xí)記錄，火災(zāi)事故記錄，火災(zāi)隱患處理檔案。

班組安全管理的內(nèi)容非常廣泛，通常包括安全教育培訓(xùn)、安全活動以及現(xiàn)場作業(yè)安全管理等。經(jīng)過系統(tǒng)的試運行表明，系統(tǒng)的模塊設(shè)置是能滿足目前班組的安全管理要求的。

2 信息管理系統(tǒng)的推廣應(yīng)用

信息管理系統(tǒng)建立以后，進入試運行階段。班組常規(guī)安全生產(chǎn)學(xué)習(xí)活動照常進行，跟以往相比，不同的是將學(xué)習(xí)檢查的情況錄入信息管理系統(tǒng)內(nèi)相應(yīng)的模塊，而不是記在筆記本上。安全監(jiān)察職能部門定期在網(wǎng)絡(luò)上進行檢查，對于未按時錄入或錄入不規(guī)范的，要及時提醒，對于未開展相關(guān)活動的，要限期整改。大量的安全生產(chǎn)信息也通過系統(tǒng)實現(xiàn)共享和相互交流。通過1年多的推廣應(yīng)用，班組安全生產(chǎn)的日常管理工作均實現(xiàn)了信息化。

缺陷及故障處理是保證設(shè)備安全運行的一個重要環(huán)節(jié)，納入mis系統(tǒng)以后，發(fā)現(xiàn)缺陷的部門可以直接進入系統(tǒng)，填寫缺陷單，輔以電話通知就可立即將信息傳達到維護檢修部門，并且可以簽收。檢修部門處理后，同樣可輔以電話，申請運行部門進行驗收，運行部門可以在電腦上簽字。從上面的過程可以看出，通過信息系統(tǒng)提高了處理缺陷和故障的效率。對于事故、重大的缺陷等緊急情況，則可進行特殊處理，過后及時填寫有關(guān)記錄。

信息管理系統(tǒng)的推廣應(yīng)用中也會遇到一些阻力，需要一個過程來適應(yīng)。比如工作票的簽發(fā)，按以往的做法是，以書面的形式，由工作負責(zé)人填寫工作票，提交工作票簽發(fā)人簽發(fā)，然后開展工作。改成從管理信息系統(tǒng)簽發(fā)以后，程序基本還是一樣，工作負責(zé)人在電腦上填寫，自動傳到工作票簽發(fā)人的電腦上，工作票簽發(fā)人簽發(fā)后，自動傳到工作許可人的電腦上，再由許可人打印出來交給工作負責(zé)人開展工作。這個改動減少了工作負責(zé)人的跑動，也方便了存檔。但有些工作人員習(xí)慣了書面的填寫，覺得工作量并不加重很多，開始很不適應(yīng)，在系統(tǒng)本身不完善的情況下有時會拖延一些時間，甚至有些抵觸情緒。對于這種情況，先在試運行期間采取雙軌制，在系統(tǒng)經(jīng)過完善后再強制執(zhí)行(原來的手工填寫作為一種備用)。

采用信息系統(tǒng)規(guī)范班組的安全管理工作，提高了安全生產(chǎn)管理工作的效率，規(guī)范了各級人員的工作行為，也方便了檔案的保存和調(diào)用，此外，通過共享信息，達到互相交流的目的，對樞紐運行管理的安全生產(chǎn)工作起到了良好的促進作用。

第3篇信息安全等級保護管理辦法

第一章總則

第一條

為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī),制定本辦法。

第二條

國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。

第三條

公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)。

第四條

信息系統(tǒng)主管部門應(yīng)當依照本辦法及相關(guān)標準規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

第五條

信息系統(tǒng)的運營、使用單位應(yīng)當依照本辦法及其相關(guān)標準規(guī)范,履行信息安全等級保護的義務(wù)和責(zé)任。

第二章等級劃分與保護

第六條

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

第七條

信息系統(tǒng)的安全保護等級分為以下五級:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。

第八條

信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。

第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。

第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章等級保護的實施與管理

第九條

信息系統(tǒng)運營、使用單位應(yīng)當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。

第十條

信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。

第十一條

信息系統(tǒng)的安全保護等級確定后,運營、使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。

第十二條

在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(gb17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準,參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(gb/t20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(gb/t20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(gb/t20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(gb/t20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(ga/t671-2006)等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。

第十三條

運營、使用單位應(yīng)當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(gb/t20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(gb/t20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條

信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評,第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次自查,第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。

經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應(yīng)當制定方案進行整改。

第十五條

已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

新建第二級以上信息系統(tǒng),應(yīng)當在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

第十六條

辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應(yīng)當同時提供以下材料:

(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;

(二)系統(tǒng)安全組織機構(gòu)和管理制度;

(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;

(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;

(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;

(六)信息系統(tǒng)安全保護等級專家評審意見;

(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。

第十七條

信息系統(tǒng)備案后,公安機關(guān)應(yīng)當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應(yīng)當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標準的,應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當按照本辦法向公安機關(guān)重新備案。

第十八條

受理備案的公安機關(guān)應(yīng)當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當會同其主管部門進行。

對第五級信息系統(tǒng),應(yīng)當由國家指定的專門部門進行檢查。

公安機關(guān)、國家指定的專門部門應(yīng)當對下列事項進行檢查:

(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;

(二) 運營、使用單位安全管理制度、措施的落實情況;

(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;

(四) 系統(tǒng)安全等級測評是否符合要求;

(五) 信息安全產(chǎn)品使用是否符合要求;

(六) 信息系統(tǒng)安全整改情況;

(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;

(八) 其他應(yīng)當進行監(jiān)督檢查的事項。

第十九條

信息系統(tǒng)運營、使用單位應(yīng)當接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件:

(一) 信息系統(tǒng)備案事項變更情況;

(二) 安全組織、人員的變動情況;

(三) 信息安全管理制度、措施變更情況;

(四) 信息系統(tǒng)運行狀況記錄;

(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;

(六) 對信息系統(tǒng)開展等級測評的技術(shù)測評報告;

(七) 信息安全產(chǎn)品使用的變更情況;

(八) 信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;

(九) 信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第二十條

公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的,應(yīng)當向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標準進行整改。整改完成后,應(yīng)當將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。

第二十一條

第三級以上信息系統(tǒng)應(yīng)當選擇使用符合以下條件的信息安全產(chǎn)品:

(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;

(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);

(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;

(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;

(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;

(六)對已列入信息安全產(chǎn)品認證目錄的,應(yīng)當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。

第二十二條

第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評:

(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);

(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);

(三) 從事相關(guān)檢測評估工作兩年以上,無違法記錄;

(四) 工作人員僅限于中國公民;

(五) 法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;

(六) 使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求;

(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;

(八) 對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條

從事信息系統(tǒng)安全等級測評的機構(gòu),應(yīng)當履行下列義務(wù):

(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標準,提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;

(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風(fēng)險;

(三)對測評人員進行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負責(zé)檢查落實。

第四章涉密信息系統(tǒng)的分級保護管理

第二十四條

涉密信息系統(tǒng)應(yīng)當依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準,結(jié)合系統(tǒng)實際情況進行保護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準bmb17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應(yīng)當監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準確、合理地進行系統(tǒng)定級。

第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標準,按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設(shè)計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當選用國產(chǎn)品,并應(yīng)當通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準bmb22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后,應(yīng)當向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當提交以下材料:

(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;

(二)系統(tǒng)承建單位資質(zhì)證明材料;

(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;

(四)系統(tǒng)安全保密檢測評估報告;

(五)系統(tǒng)安全保密組織機構(gòu)和管理制度情況;

(六)其他有關(guān)材料。

第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時,其建設(shè)使用單位應(yīng)當及時向負責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當根據(jù)實際情況,決定是否對其重新進行測評和審批。

第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)國家保密標準bmb20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風(fēng)險評估,消除泄密隱患和漏洞。

第三十三條

國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:

(一)指導(dǎo)、監(jiān)督和檢查分級保護工作的開展;

(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;

(三)參與涉密信息系統(tǒng)分級保護方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;

(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;

(五)嚴格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況;

(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;

(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章信息安全等級保護的密碼管理

第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應(yīng)當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標準。

第三十五條

信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應(yīng)當嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運營、使用單位應(yīng)當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護和日常管理等,應(yīng)當按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標準,其密碼的配備使用情況應(yīng)當向國家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔(dān),其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。

第三十九條

各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標準要求的,應(yīng)當按照國家密碼管理的相關(guān)規(guī)定進行處置。

第六章法律責(zé)任

第四十條

第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時反饋處理結(jié)果:

(一) 未按本辦法規(guī)定備案、審批的;

(二) 未按本辦法規(guī)定落實安全管理制度、措施的;

(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;

(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;

(五) 接到整改通知后,拒不整改的;

(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的;

(七) 未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;

(八) 違反保密管理規(guī)定的;

(九) 違反密碼管理規(guī)定的;

(十) 違反本辦法其他規(guī)定的。

違反前款規(guī)定,造成嚴重損害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。

第七章附則

第四十二條

已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。

第四十三條

本辦法所稱“以上”包含本數(shù)(級)。

第四十四條

本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。

第4篇海港工程建設(shè)項目信息安全管理對策探析

海港工程就是在港口、碼頭、堤壩等建造于入?？诤徒痈浇墓こ淘O(shè)施，以及一些相關(guān)的配套設(shè)施，比如裝卸設(shè)施、進港航道、水上導(dǎo)航設(shè)施等。海港工程項目的建設(shè)，能夠更加良好地利用河、海、江、湖等水體資源。為了提高海港工程的建設(shè)質(zhì)量，增強海港工程的建設(shè)管理，一定要采取保證信息安全的措施。本文將從移動存儲設(shè)備管理、紙質(zhì)文檔資料管理、辦公設(shè)備和工地設(shè)備管理三個方面介紹海港工程當中保證信息安全的具體對策。

信息技術(shù)的發(fā)展對人類社會的影響是多種多樣的，體現(xiàn)在各個行業(yè)和各個領(lǐng)域。對于海港工程的建設(shè)來說，信息安全是極為重要的。信息安全包括信息的保密性、真實性、完整性、安全性等等。實行信息安全管理，能夠防止建設(shè)項目和建設(shè)單位的機密發(fā)生泄漏，提高海港工程的建設(shè)效率和建設(shè)質(zhì)量，讓企業(yè)收獲更多的經(jīng)濟效益。對于現(xiàn)代的工程建設(shè)來說，各種資料、數(shù)據(jù)信息的載體已經(jīng)從紙張向移動存儲設(shè)備轉(zhuǎn)移。各種病毒、木馬程序和間諜軟件給信息安全帶來嚴重的威脅。為了保護海港工程中的重要信息，必須要采取針對性的對策和措施。

一、對移動存儲設(shè)備的管理

(一)限制外接。在海港工程各種數(shù)據(jù)和資料的傳遞過程中，需要通過外接設(shè)備或者網(wǎng)絡(luò)接口來進行[1]。在這一過程當中，很容易被黑客攻擊，對系統(tǒng)進行入侵，竊取海港工程的重要信息和資料。所以在傳輸信息和資料時，要嚴格限制外接設(shè)備與網(wǎng)絡(luò)接口的使用。一方面，要對打印機、刻錄機、光驅(qū)、軟驅(qū)等常用的外接設(shè)備的使用作出限制，實行集中管理與統(tǒng)一使用。這些設(shè)備只能用于海港工程的信息傳輸，不得用于其他用途，對于用不到的設(shè)備要及時封禁。平時要有專門的設(shè)備管理人員將設(shè)備進行編號，分別進行保管，使用時要提前申請，用完后要及時交還。另一方面，要限制內(nèi)部人員的行為，不得將外接設(shè)備和網(wǎng)絡(luò)接口用于私人目的，不得私自以打印、刻錄的形式竊取工程信息，不得違反外接設(shè)備和網(wǎng)絡(luò)接口的使用規(guī)范。

(二)刻錄和打印。除了加強對外接設(shè)備和網(wǎng)絡(luò)接口進行管理，防止在數(shù)據(jù)傳輸過程中發(fā)生資料泄露之外，還要加強對內(nèi)部網(wǎng)絡(luò)非法打印、光盤刻錄等行為的打擊[2]。如果由于工作需要進行光盤刻錄行為，必須要向信息管理部門提出申請，經(jīng)過審批以后方可進行。光盤刻錄要到專門部門當中去進行，并且由相關(guān)部門全程跟蹤光盤的流向，避免用于私人目的。對于打印的安全管理，首先要屏蔽用戶主機的打印接口，防止用戶私自打印。如果需要打印，要向信息管理中心發(fā)送申請，取得許可之后，到打印部門進行打印。在打印的時候，要保證資料從電腦傳輸?shù)酱蛴C的過程中不會被截取，打印之后的文件不得隨意閱讀或者拿走。信息管理部門要根據(jù)文件的價值劃分文件的保密級別，分別制定打印規(guī)范條款，實行信息的精細化管理。

(三)存儲設(shè)備。在海港工程項目的建設(shè)過程中，很多施工單位和部門之間都需要通過軟盤、磁盤、光盤來傳遞信息。一旦這些載體丟失、被盜、發(fā)生損壞，都容易造成信息泄露事故，給企業(yè)造成經(jīng)濟損失，甚至泄露企業(yè)和國家機密。廢棄的軟盤、磁盤、光盤等存儲設(shè)備仍然具有一些磁力特性，一旦發(fā)生永久性的磁化反映，就容易造成內(nèi)部存儲信息的泄露[3]。所以，海港工程的信息管理中心要控制廢棄存儲設(shè)備的流通范圍，將不再使用的存儲設(shè)備交給保密機構(gòu)進行統(tǒng)一的脫密和銷毀，還要做好登記和記錄。

二、對紙質(zhì)文檔資料的管理

雖然海港工程的建設(shè)已經(jīng)加大了對移動存儲設(shè)備的依賴程度，但是仍然需要大量的紙質(zhì)文檔來記錄、保存、傳輸各種機密信息。為了確保海港工程建設(shè)的信息安全，要采取必要的措施對紙質(zhì)文檔資料進行管理。首先，要制定紙質(zhì)文檔資料的保密條例，防止文檔的非法閱讀、非法調(diào)用和非法復(fù)印。其次，在制作紙質(zhì)文檔和紙質(zhì)文件的時候，草稿紙、復(fù)寫紙、計算機表格、演算紙等制作過程中的廢棄用具也不能隨意丟棄，要嚴格按照保密條例的規(guī)定進行銷毀，避免資料泄露。最后，對于文檔資料的傳閱范圍和傳閱步驟也要進行嚴格規(guī)定。同時，對于各種公共媒體上的報道，也要進行審核，避免涉密信息被公諸于眾。

三、對辦公設(shè)備和工地設(shè)備的管理

(一)辦公設(shè)備的管理。海港工程的信息管理部門要將辦公所用的電腦設(shè)備劃分為涉密計算機和非涉密計算機。涉密計算機必須要進行登記，按照編號分配人員進行專門管理。而非涉密計算機嚴禁儲存涉密信息。信息安全管理要綜合從信息技術(shù)、安全管理策略、安全管理措施等多個角度來考慮信息管理體制背后所隱藏的風(fēng)險。信息管理部門需要通過網(wǎng)絡(luò)軟件監(jiān)控各個計算機的工作狀況，尤其是涉密計算機的工作狀況，審核項目內(nèi)部網(wǎng)絡(luò)和項目內(nèi)外網(wǎng)絡(luò)間的數(shù)據(jù)傳輸、信息交流。另外，信息管理軟件還要記錄各個工作人員和用戶的操作情況，在發(fā)生風(fēng)險的時候發(fā)出警報信號，在發(fā)生非法操作的時候能夠留下記錄，以便工作人員尋求證據(jù)。

(二)工地設(shè)備的管理。由于信息技術(shù)的發(fā)達，信息傳輸手段變得多樣化，所以信息發(fā)生泄露的可能性也增大，給信息安全管理帶來了難度。對此，海港工程的信息管理部門需要提高警惕，防止落入信息系統(tǒng)、設(shè)備、部件當中一些人為設(shè)置的陷阱。比如，一些從境外引入的信息產(chǎn)品和施工設(shè)備，都可能存在“陷阱”，在使用過程中發(fā)生信息泄露。這就需要在施工之前對設(shè)備進行嚴格的技術(shù)審查和安全審查，并且為這種“陷阱”制定應(yīng)急處理方案。另外，在海港工程的建設(shè)過程中，要采取必要的措施保護項目內(nèi)部的通訊。比如對通信信號進行加密，或者是對外部信號進行屏蔽等。

四、結(jié)論

海港工程的建設(shè)，能夠更好地利用我國的水體資源，促進沿海地區(qū)的經(jīng)濟發(fā)展。我國的工程建設(shè)已經(jīng)出現(xiàn)了信息化的趨勢，資料、數(shù)據(jù)、信息的存儲和傳輸已經(jīng)開始從紙張形式轉(zhuǎn)變成電子形式。為了保護企業(yè)和國家的機密，提高海港工程的建設(shè)效率和建設(shè)質(zhì)量，必須加強對海港工程的信息安全管理。對此，要成立專門的信息管理部門，加強對移動存儲設(shè)備、紙質(zhì)文檔資料、辦公設(shè)備和工地設(shè)備的管理，制定信息安全管理的規(guī)章制度和具體措施。

第5篇信息科技部-安全管理中心-安全運營崗工作職責(zé)與職位要求

職位描述：

職責(zé)描述：

1、參與優(yōu)化安全防御體系，研究和實踐使用有效技術(shù)解決銀行業(yè)務(wù)系統(tǒng)的安全相關(guān)問題。

2、跟蹤和分析各類安全問題和安全事件，如網(wǎng)站入侵調(diào)查，病毒木馬，ddos攻擊等。

3、跟蹤和分析新的安全漏洞和技術(shù)，定期對系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)進行安全檢測和風(fēng)險評估。

4、編寫防御工具和分析工具，對新技術(shù)、新方法、新軟件進行評估和應(yīng)用，完成網(wǎng)絡(luò)和系統(tǒng)安全加固。

5、協(xié)助各項信息安全相關(guān)工作，確保信息安全管控措施有效執(zhí)行。

職位要求：

1、全日制本科及以上學(xué)歷，計算機相關(guān)專業(yè)優(yōu)先；

2、相關(guān)工作經(jīng)驗3年以上，有銀行相關(guān)項目及從業(yè)經(jīng)驗為佳；

3、責(zé)任心強、工作細致、溝通能力強，有良好的團隊協(xié)作及問題解決能力。

第6篇信息技術(shù)設(shè)備物理環(huán)境安全管理規(guī)定

第一章總則

第一條目的:為了適應(yīng)公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運行,特制定本管理辦法。

第二條依據(jù):本管理辦法根據(jù)《信息安全管理策略》制訂。

第三條范圍:本管理辦法適用于公司。

第二章基本要求

第四條公司員工應(yīng)根據(jù)公司運營需要對資產(chǎn)進行保護。公司的資產(chǎn)保護要求通過完成以下目標來實現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護能得到公司的有效控制。

(二)減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風(fēng)險。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動。

第五條安全控制措施包括以下各項:

(一)公司的場地(機房、辦公室)的信息處理設(shè)施周圍設(shè)置實際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護。

(五)清理資產(chǎn)。

第三章安全區(qū)域

第六條公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。

第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。

第八條物理安全邊界

所有進入公司安全區(qū)域的人員都需經(jīng)過授權(quán),公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進入(持有效證件,得到被訪者允許)。

第九條安全區(qū)域出入控制措施

(一)物理控制措施

1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;

2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;

3、一段時間內(nèi)不會頻繁進入的機房應(yīng)上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;

4、機房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時,其實際進入權(quán)也同時相應(yīng)取消;

(四)審查訪問

信息部應(yīng)定期(每三個月)審查訪問公司中心機房的人員名單并將進出權(quán)過期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護

1、機房建設(shè)應(yīng)符合gb 9361中a類安全機房的要求;

2、危險或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點應(yīng)與主場地有一段安全的距離,以避免影響主場地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點。

第十條交接區(qū)安全

(一)公司應(yīng)設(shè)立交接區(qū),同時:

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時間應(yīng)當在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認;

3、送貨公司在進入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認;

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗貨物,以保證沒有潛在的危害。

第四章設(shè)備安全

第十一條設(shè)備安置與保護

(一)公司中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當?shù)南拗朴^測的位置,以減少在其使用期間信息被窺視的風(fēng)險,還應(yīng)保護儲存設(shè)施以防止未授權(quán)訪問;

3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險,例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進食、喝飲料和抽煙的指南;

6、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護,所有進入的電源和通信線路都應(yīng)裝配雷電保護過濾器;

8、對于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護方法,例如鍵盤保護膜;

9、應(yīng)保護處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險;極其重要設(shè)備應(yīng)部署在不同位置。

第十二條支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當?shù)臏y試以確保他們的功能,減少由于他們的故障或失效帶來的風(fēng)險。應(yīng)按照設(shè)備制造商的說明提供合適的供電。

(二)對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機或連續(xù)運行的不間斷電源(ups)。電源應(yīng)急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應(yīng)提供足夠的燃料供給,以確保在延長的時間內(nèi)發(fā)電機可以進行工作。ups 設(shè)備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應(yīng)考慮使用多來源電源或一個單獨變電站。

(三)另外,應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地方法規(guī)對于應(yīng)急通信的要求。

(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。

第十三條電纜安全

(一)敷設(shè)到公司內(nèi)各個區(qū)域的電纜線的保護方式如下:

1、進入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護;

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開;

4、使用清晰的可識別的電纜和設(shè)備記號,以使處理失誤最小化,例如,錯誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對于敏感的或關(guān)鍵的系統(tǒng),更進一步的控制考慮應(yīng)包括:

(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護電纜;

(5)對于電纜連接的未授權(quán)裝置要主動實施技術(shù)清除、物理檢查;

(6)控制對配線盤和電纜室的訪問;

第十四條設(shè)備維護

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范對設(shè)備進行維護。

(二)由供貨商維護的設(shè)備。各種維護活動要按照合同協(xié)議或設(shè)備購買時的維護計劃進行。

(三)只有已授權(quán)的維護人員才可對設(shè)備進行修理和服務(wù)

(四)原則上應(yīng)保存所有維護記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護的記錄;

(六)設(shè)備資產(chǎn)的管理部門和人事部應(yīng)當向外包維護單位索取維護計劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和人事部定期審核維護記錄和計劃。

(八)當對設(shè)備安排維護時,應(yīng)實施適當?shù)目刂?要考慮維護是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設(shè)備中刪除或者維護人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險策略所施加的所有要求。

第十五條場外設(shè)備的安全

(一)離開辦公場所的設(shè)備的保護應(yīng)考慮下列措施:

1、離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;

2、制造商的設(shè)備保護說明要始終加以遵守,例如,防止暴露于強電磁場內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設(shè)備。安全風(fēng)險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設(shè)備包括所有形式的個人計算機、管理設(shè)備、移動電話、智能卡、紙張及其他形式的設(shè)備。

第十六條設(shè)備的安全處置與重新使用

(一)設(shè)備報廢處置時,存有敏感信息的存儲設(shè)備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。

(二)所有帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查,以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進行風(fēng)險評估,以決定是否對其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實際銷毀和核對。

4、數(shù)據(jù)存儲光盤應(yīng)在處置前實際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請表》,經(jīng)部門負責(zé)人同意后,方可進行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計時備查。

第十七條設(shè)備的移動

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開辦公場所;

2、明確識別有權(quán)允許資產(chǎn)移動,離開辦公場所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動的時間限制,并在返還時執(zhí)行符合性檢查;

4、若需要并合適,要對設(shè)備作出移出記錄,當返回時,要作出送回記錄。

(二)應(yīng)執(zhí)行檢測未授權(quán)資產(chǎn)移動的抽查,以檢測未授權(quán)的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權(quán)下執(zhí)行檢查。

第五章附則

第十八條本管理辦法由信息部負責(zé)解釋和修訂。

第十九條本管理辦法自發(fā)布之日起施行。

第7篇安全風(fēng)險信息平臺工作管理辦法

第一章總則

第一條為規(guī)范石家莊市軌道交通安全風(fēng)險監(jiān)控工作,規(guī)范地鐵建設(shè)參建各方在安全風(fēng)險監(jiān)控管理上的工作責(zé)任、工作內(nèi)容及工作流程,加強相關(guān)單位和部門在安全風(fēng)險監(jiān)控工作中的協(xié)同性,提升軌道交通建設(shè)安全風(fēng)險管理的專業(yè)化和規(guī)范化水平,最大程度規(guī)避和減少軌道交通工程建設(shè)及周邊環(huán)境的安全事故的發(fā)生,制定本辦法。

第二條本辦法根據(jù)住建部《城市軌道交通工程質(zhì)量安全檢查指南(試行)》,公司《石家莊市軌道交通工程建設(shè)安全風(fēng)險管理體系》文件的相關(guān)規(guī)定,結(jié)合我市軌道交通工程建設(shè)實際制定。

第三條本辦法適用于石家莊市軌道交通工程施工階段的安全風(fēng)險監(jiān)控管理工作。

第四條相關(guān)參建單位應(yīng)用安全風(fēng)險監(jiān)控與信息平臺情況考核,分日常管理考核與雙月度考核,由安全質(zhì)量部牽頭負責(zé)考核。

第五條安全風(fēng)險監(jiān)控工作考核堅持客觀、公開、公平、公正的原則,自覺接受紀檢監(jiān)察部門和群眾的監(jiān)督。

第六條除本辦法外,軌道交通工程建設(shè)相關(guān)單位還應(yīng)遵守國家和地方有關(guān)法律、法規(guī)、規(guī)范、標準。

第二章考核內(nèi)容

第七條投資承建單位

投資承建單位應(yīng)成立信息化領(lǐng)導(dǎo)小組,總工程師任負責(zé)人,并設(shè)立專職信息員督促所轄施工標段落實安全風(fēng)險信息化管理工作。

第八條標段施工單位

(一)各施工標段項目部安全總監(jiān)牽頭成立風(fēng)險信息化小組,項目部安全總監(jiān)和安質(zhì)部長每天必須登錄安全風(fēng)險監(jiān)控信息平臺,主要任務(wù)有:

1.每日17:00前,將自查臺賬和抽查臺賬檢查的問題、施工監(jiān)測數(shù)據(jù)上傳平臺;

2.巡視閉合閱處:通過安全風(fēng)險監(jiān)控信息平臺對各單位提出的問題、要求和發(fā)布的通知、文件、通報(包含業(yè)主公告、各類巡檢通報、日常風(fēng)險巡查推送的問題、軌道公司文件、預(yù)消警會議紀要、監(jiān)控中心周報、預(yù)警處置等)進行落實、整改、回復(fù)。填寫回復(fù)內(nèi)容,并可上傳相關(guān)附件。要求對所有的通報及整改通知的回復(fù)都以掃描件上傳至相應(yīng)內(nèi)容的回復(fù)區(qū)域;

3.預(yù)警響應(yīng)處置:及時處理平臺發(fā)出的本標段預(yù)警,在預(yù)警處置中,要詳細填寫處置措施及現(xiàn)場處置照片、視頻等。

(二)視頻監(jiān)控系統(tǒng):提供現(xiàn)場信息化設(shè)備放置場地及視頻會議室,配備網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路,保證各類信息能全面、及時、準確的上傳平臺(相關(guān)硬件參數(shù)見附件一):

1.按施工實際需要和軌道公司要求設(shè)置視頻監(jiān)控,施工單位負責(zé)采購本標段所需要的設(shè)備與硬件等,并負責(zé)進行安裝、調(diào)試、移位、維護和管理工作,確保視頻監(jiān)控正常使用;

2.攝像頭數(shù)量、位置要求:

車站明挖基坑至少設(shè)置2個攝像頭,礦山法暗挖工程,要求每個掌子面設(shè)置1個攝像頭,要清晰看到暗挖掌子面,并確保每掘進15米移動一次,蓋挖車站參照礦山法施工要求設(shè)置;

附屬結(jié)構(gòu)明挖基坑、施工豎井至少安裝1個前端監(jiān)控設(shè)備;

施工豎井上各設(shè)置1個攝像頭,重大風(fēng)險源處根據(jù)評估情況設(shè)置;

安全文明施工管理:有出渣土行為的施工現(xiàn)場,渣土車輛進出的大門口在開工前必須安裝攝像頭,并接入安全風(fēng)險監(jiān)控信息系統(tǒng)。此項作為開工核查條件之一。

3.要保持視頻監(jiān)控 24小時正常運行,并確保監(jiān)控視頻的攝像角度和照明亮度,以滿足視頻監(jiān)控的需要。不得隨意挪動、故意遮擋、污損、用光照射攝像頭,不得無故中斷、關(guān)閉視頻(特別是夜晚施工時)和人為破壞設(shè)備;

4.提供全天候的應(yīng)急響應(yīng)服務(wù),須在監(jiān)控中心發(fā)出平臺故障通知后24小時內(nèi)修復(fù),保證平臺正常運轉(zhuǎn)。

(三)盾構(gòu)監(jiān)控

1.按照實現(xiàn)盾構(gòu)實時數(shù)據(jù)監(jiān)控要求配備電腦等設(shè)備,必要時施工單位需安排盾構(gòu)廠家技術(shù)人員到現(xiàn)場配合數(shù)據(jù)解譯;

2.每日上傳出土量,同步注漿量;

(四)工程資料錄入:工程開工前,施工單位要及時錄入必要的工程資料,資料目錄詳見附件二。

第九條第三方監(jiān)測單位

(一)項目部項目負責(zé)人牽頭成立風(fēng)險信息化小組,負責(zé)安全風(fēng)險監(jiān)控信息平臺日常管理工作,并配備專職信息員;

(二)監(jiān)測數(shù)據(jù)上傳:每日17:00前上傳當天監(jiān)測數(shù)據(jù);

(三)及時查看并通過安全風(fēng)險監(jiān)控信息平臺對建設(shè)單位(含監(jiān)控中心)提出的問題和要求進行落實、整改回復(fù);

(四)每日瀏覽本標段工點風(fēng)險情況,同時根據(jù)各自工點的安全評估狀態(tài),及時做出回復(fù)和處理。對數(shù)據(jù)異常和存在安全隱患的工點,應(yīng)根據(jù)現(xiàn)場實際情況加密監(jiān)測點增加監(jiān)測頻率,并及時上傳監(jiān)測數(shù)據(jù)。

第十條監(jiān)理單位

(一)安全專監(jiān)牽頭成立風(fēng)險信息化小組,負責(zé)安全風(fēng)險監(jiān)控信息平臺日常管理工作,并配備專職信息員;

(二)每日將抽查臺賬檢查問題和巡查報告上傳安全風(fēng)險監(jiān)控信息平臺。對有風(fēng)險、監(jiān)測數(shù)據(jù)異常以及重大安全隱患和危險征兆的工點,督促施工單位進行整改和回復(fù),并及時向監(jiān)控中心反饋;

(三)及時查看并安排相關(guān)人員通過信息平臺對建設(shè)單位及風(fēng)險監(jiān)控中心提出的問題、要求和發(fā)布的通知、文件、通報(包含業(yè)主公告、各類巡檢通報、軌道公司文件、預(yù)消警會議紀要、監(jiān)控中心周報、預(yù)警處置等)進行落實、整改、回復(fù);

(四)督促施工單位整改安全風(fēng)險監(jiān)控信息平臺上發(fā)布的各類檢查通報,并做好復(fù)查工作。督促施工單位對安全風(fēng)險監(jiān)控信息平臺上各項事件進行閉合管理;

(五)預(yù)警響應(yīng)處置:每日登錄平臺瀏覽各自工點風(fēng)險情況,同時根據(jù)各自工點的安全評估狀態(tài),及時做出回復(fù)和處理。工點評估為“有風(fēng)險”或“預(yù)警”狀態(tài),按預(yù)警流程處理,將處理結(jié)果在信息平臺回復(fù)。

第三章獎懲

第十一條安全風(fēng)險監(jiān)控信息平臺使用情況考核按單位性質(zhì)分為標段施工單位、第三方監(jiān)測單位、監(jiān)理單位三個組,各組內(nèi)不再按線路區(qū)分參建單位。安質(zhì)部組織每兩個月對各單位安全風(fēng)險監(jiān)控信息平臺使用情況進行考核評分,各組分別排名,評分標準見附件三。投資承建單位信息平臺使用情況納入季度考核。

第十二條通過視頻監(jiān)控和巡視發(fā)現(xiàn)施工現(xiàn)場視頻不按規(guī)定設(shè)置、違規(guī)挪動、故意遮擋、污損、用光照射鏡頭、無故中斷、關(guān)閉視頻,以及視頻監(jiān)控平臺被人為破壞等問題,且拒絕整改、未按時整改、整改不到位的,每個問題給予10000元的處罰。有渣土車輛進出的施工現(xiàn)場大門口沒有安裝攝像頭并接入監(jiān)控信息系統(tǒng)的,罰款50萬元。

第十三條對日常巡查推送的問題,拒絕整改、未按時整改、整改不到位、整改但未及時回復(fù)的,每個問題給予5000元的處罰。安質(zhì)部對整改閉合情況進行抽查,發(fā)現(xiàn)弄虛作假的,每個問題給予20000元的處罰。

第十四條對監(jiān)測數(shù)據(jù)和巡視報告上傳不及時的,每次處罰5000元。

第十五條對履行《石家莊市軌道交通建設(shè)工程安全風(fēng)險監(jiān)控管理辦法》工作職責(zé)不到位的,視情節(jié)輕重、整改態(tài)度、影響大小,每人次/問題給予5000元的處罰;對不配合或阻撓監(jiān)控中心工作的單位,每次處罰10000元。

第十六條對在同一個考核周期內(nèi)相同、類似問題多次重復(fù)發(fā)生的,從第三次開始,實施雙倍處罰。

第十七條監(jiān)控中心每雙月月底匯總存在問題情況,安全質(zhì)量部審核后,填寫處罰單,并形成考核處罰通報上傳信息平臺(處罰單見附件四)。

第十八條雙月考核排名考核結(jié)果將通過公司文件形式下發(fā)通報,對工作不積極,效率差,不配合工作的單位將約談該單位主要領(lǐng)導(dǎo)。

第十九條對各組排名靠前的單位予以獎勵,獎勵總額為前兩個月對被考核各單位處罰金額總和。標段施工單位組前1-5名分別獎勵前兩個月總處罰金額的20%、16%、12%、8%、8%,合計64%;第三方監(jiān)測組第1名獎勵前兩個月總處罰金額的6%;監(jiān)理單位組前1-3名分別獎勵前兩個月總處罰金額的12%、10%、8%,合計30%。所有獎勵處罰款項一并納入季度驗工計價,在季度驗工計價中扣除。

第四章附則

第二十條本辦法由石家莊市軌道交通有

第8篇安全生產(chǎn)信息調(diào)度中心運行管理辦法

根據(jù)《澄合煤業(yè)公司安全生產(chǎn)信息調(diào)度中心運行辦法》的通知精神，結(jié)合我礦的實際，為加強礦井信息調(diào)度工作，充分發(fā)揮調(diào)度協(xié)調(diào)職能，保證礦井生產(chǎn)任務(wù)的順利完成，特制定xx煤炭開發(fā)有限公司安全生產(chǎn)信息調(diào)度中心運行管理辦法。

一、調(diào)度運行方式：

1、調(diào)度范圍：礦井所屬各單位。

2、調(diào)度內(nèi)容：各系統(tǒng)的安全、生產(chǎn)、銷售及重大突發(fā)事件。

3、調(diào)度的方式：采用調(diào)度網(wǎng)絡(luò)與電話調(diào)度，報表傳送，定時與不定時相結(jié)合的方式進行調(diào)度；

4、時間與內(nèi)容：調(diào)度中心實行24小時值班制度。

二、工作職責(zé)：

1、負責(zé)全礦日常生產(chǎn)的組織和指揮，按班、按日、按月、按旬完成原煤產(chǎn)量、開拓、掘進進尺等各項任務(wù)。

2、負責(zé)組織或召開生產(chǎn)調(diào)度會，班前作業(yè)會，生產(chǎn)平衡會，及時解決生產(chǎn)中的一切具體問題，督促檢查執(zhí)行情況，凡是當前生產(chǎn)急需解決的問題，有權(quán)對同級業(yè)務(wù)部門進行統(tǒng)一調(diào)度，行使調(diào)度職權(quán)。

3、認真貫徹安全生產(chǎn)方針，嚴格按照安全規(guī)程，作業(yè)規(guī)程，操作規(guī)程指揮生產(chǎn)，對威脅安全生產(chǎn)的重大問題，有權(quán)下達調(diào)度命令，并督促有關(guān)部門采取迅速解決問題的有效措施，凡是發(fā)生重大事故，調(diào)度室要組織和指揮搶救工作，并組織盡快恢復(fù)生產(chǎn)。與此同時，迅速將事故詳細情況通知有關(guān)單位，并向有關(guān)領(lǐng)導(dǎo)和局調(diào)度室匯報。

4、及時掌握全礦生產(chǎn)動態(tài)，對生產(chǎn)薄弱環(huán)節(jié)、采掘工作面接替情況及采掘工作的出勤率等問題，進行專題調(diào)度。

5、抓好均衡生產(chǎn)。平時要狠抓夜班生產(chǎn)和月初、季初的生產(chǎn)，安排好礦井計劃檢修工作，并督促檢查計劃執(zhí)行情況。

6、認真做好上情下達、下情上報的工作，對領(lǐng)導(dǎo)指示，及時檢查貫徹執(zhí)行情況，對生產(chǎn)活動及出現(xiàn)的重大問題，如實地向礦有關(guān)領(lǐng)導(dǎo)或上級業(yè)務(wù)部門匯報。

7、及時了解和掌握全礦各采掘工作面的安裝、生產(chǎn)準備和日常生產(chǎn)情況。

8、經(jīng)常深入生產(chǎn)實際調(diào)查研究，掌握第一手資料，了解生產(chǎn)變化情況，及時向礦領(lǐng)導(dǎo)或有關(guān)部門提出建設(shè)性建議，保證生產(chǎn)不間斷地進行。

9、建立建全完整的原始記錄，按時填寫各項圖表及排版，及時提供生產(chǎn)調(diào)度日報和上月生產(chǎn)活動分析。

10、上級調(diào)度通知、調(diào)度通報，是傳達領(lǐng)導(dǎo)緊急指示、進行緊急工作部署的重要手段，屬于緊急公文，并且具有同級正式文件的同等效力，礦屬各單位必須嚴格執(zhí)行。

11、調(diào)度人員有權(quán)參加礦生產(chǎn)作業(yè)計劃的編審工作，有權(quán)組織召集或參加有關(guān)生產(chǎn)或安全問題的一些會議。

12、根據(jù)礦領(lǐng)導(dǎo)指示或生產(chǎn)上緊急需要，有權(quán)調(diào)度所屬有關(guān)單位人力、物力以及車輛，各有關(guān)單位必須堅決服從和執(zhí)行調(diào)度命令。

13、根據(jù)工作需要，調(diào)度人員有權(quán)了解計劃、生產(chǎn)措施和領(lǐng)導(dǎo)指示落實情況，有關(guān)單位或人員應(yīng)如實地提供情況和有關(guān)資料。

14、礦調(diào)度室經(jīng)常與采掘隊、輔助隊、銷售、供應(yīng)等單位加強聯(lián)系，及時解決存在的問題。

15、加強調(diào)度業(yè)務(wù)學(xué)習(xí)，掌握計算機信息錄入程序，及時準確填報各種生產(chǎn)數(shù)據(jù)，并按時向有關(guān)部傳遞。

三、調(diào)度員崗位職責(zé)：

1、負責(zé)掌握全礦安全生產(chǎn)動態(tài)，對當班生產(chǎn)的重要問題，班隊長的匯報情況，以及所發(fā)生的各種事故，及時安排處理，同時匯報有關(guān)領(lǐng)導(dǎo)，做好記錄。

2、對上級領(lǐng)導(dǎo)和上級部門的指示、通知等要認真做好記錄，迅速請有關(guān)領(lǐng)導(dǎo)傳閱，及時向有關(guān)單位傳達，并了解其執(zhí)行情況。

3、在礦值班領(lǐng)導(dǎo)主持下，組織開好下一班的班前作業(yè)會議，為下班的生產(chǎn)做好準備。

4、要認真貫徹安全生產(chǎn)方針，搞好安全工作，制止違章指揮、違章作業(yè)和違反勞動紀律的現(xiàn)象。

5、在發(fā)生人身事故時，要嚴格按照《關(guān)于工傷搶救程序的規(guī)定》，立即組織搶救工作。

6、做好雨季“三防”的日常工作，并做好相關(guān)記錄。

7、每班及時向公司調(diào)度中心匯報各種數(shù)據(jù)和信息，并按要求及時輸入“生產(chǎn)調(diào)度管理系統(tǒng)”。

四、調(diào)度會議制度：

1、參加調(diào)度會議人員

（1）每日碰頭會（早7：00），由礦屬各采、掘、機、運、通、輔助單位行政正職、職能科室正職參加。

（2）每日十六點班（15：00）、零點班（23：00）班前調(diào)度會，由采掘隊、生產(chǎn)輔助隊值班干部和該隊工長及礦當日值班領(lǐng)導(dǎo)參加。

2、調(diào)度會議內(nèi)容及程序：

（1）碰頭會由調(diào)度主任主持，班前會議由調(diào)度員主持。準時點名，通報上天生產(chǎn)任務(wù)完成情況，并做好當天生產(chǎn)計劃、工作安排。

（2）會議前必須做好一切準備工作，要講實效，時間不得超過30分鐘。

（3）會議宣傳貫徹上級安全生產(chǎn)方針、通報、指示、指令及礦領(lǐng)導(dǎo)指示精神，簡要分析通報上班安全生產(chǎn)運行和作業(yè)現(xiàn)場進展情況。

（4）與會隊干部匯報當班生產(chǎn)作業(yè)計劃，調(diào)度室將依據(jù)日作業(yè)計劃，結(jié)合作業(yè)現(xiàn)場及相關(guān)系統(tǒng)、環(huán)節(jié)的實際情況，下達其當班生產(chǎn)任務(wù)以及一些臨時性工作安排，各隊要認真組織落實。

（5）凡各區(qū)隊需下料或上下設(shè)備、管子、工字鋼、單體支柱，打躲避洞，打絞車基礎(chǔ)，鋪道，移裝巖機等工作時，必須在碰頭會或班前會上作計劃，凡各單位干零星雜活未向調(diào)度室做計劃私自安排，造成不良后果，均由該隊長負擔(dān)一切費用，并按照有關(guān)文件追究其責(zé)任。

（6）每日碰頭會，由安檢、生產(chǎn)、機電、調(diào)度、礦領(lǐng)導(dǎo)針對礦井安全生產(chǎn)過程中存在的問題以及當前階段性工作任務(wù)，提出具體解決辦法和安排意見，及時協(xié)調(diào)各區(qū)隊和各環(huán)節(jié)急待解決問題。

3、要求和紀律：

（1）所有按要求參加調(diào)度會議的人員，必須準時到會，遲到一次罰款20元，礦會一次罰款50元。確因有事不能參加者，必須事先向礦級領(lǐng)導(dǎo)主管和調(diào)度主任請假，否則按曠會論處。

（2）當班調(diào)度員必須按時督促碰頭會或班前會議所安排的工作任務(wù)的完成情況。

（3）開會期間手機必須設(shè)為振動或關(guān)機狀態(tài)，響鈴一次罰款50元；

（4）各單位對生產(chǎn)中存在的問題及解決方案必須事先溝通，確實需上會時再提出，嚴禁推諉扯皮。

五、區(qū)隊干部值班制度：

1、各區(qū)隊必須在每月1日前，將本隊全月干部值班安排表上報調(diào)度室，若值班人員有變化時，要及時通知調(diào)度室，否則每次罰款50元。

2、區(qū)隊必須堅持24小時不間斷值班制度（在其隊部值班），調(diào)度室隨時查崗，每班不少于一次。

3、若值班人員有事要暫時離開隊部時，必須事先向調(diào)度室請示，并說明去向，征得同意后，必須安排本隊其他人員留守在隊部接聽電話。

4、若值班干部中途有事要離開礦區(qū)時，必須由該隊其他干部代替值班，并通知調(diào)度室，代替人員到位后，原值班干部方可離開。

5、每發(fā)現(xiàn)值班干部脫崗一次，罰款20元；無人值班，罰款50元，并由該值班干部承擔(dān)因脫崗或空崗所產(chǎn)生的一切不良后果。

6、全礦所有干部及業(yè)務(wù)主管人員手機必須保持待機狀態(tài)，發(fā)現(xiàn)手機關(guān)機，每次處罰200元，并追究責(zé)任。

六、跟班干部及工長匯報制度：

1、各采掘隊必須由隊干部現(xiàn)場跟班，跟班干部對本班的安全生產(chǎn)工作負全責(zé)，保證本班生產(chǎn)任務(wù)的完成，確保安全工作。

2、跟班干部要堅持每班三次的（向調(diào)度室）匯報制度——班初匯報（匯報上班完成情況及遺留問題、當班計劃等）、班中匯報（匯報當班工作進展情況）、班末匯報（匯報本班任務(wù)完成情況及存在問題）。如有特殊事情，必須及時匯報調(diào)度室。

3、當班工長也要堅持每班兩次的匯報制度——班初匯報（匯報出勤人數(shù)、當班計劃等）、班末匯報（匯報本班任務(wù)完成情況）。

4、跟班人員和當班工長要按時匯報，遲匯報一次，罰款5元；少匯報一次，罰款10元；不匯報按無跟班或無工長論處，無跟班或無工長者一次罰款50元，罰該隊隊長100元，并追究有關(guān)人員的責(zé)任。

5、跟班干部和當班工長必須同本班人員同上同下，發(fā)現(xiàn)遲下或早上者，一次罰款30元。

6、跟班人員要認真履行職責(zé)，及時向調(diào)度室如實匯報情況（例如生產(chǎn)影響和事故等），堅決杜絕虛報瞞報現(xiàn)象的發(fā)生，否則，要嚴格追究當班跟班干部的責(zé)任。

七、停工誤時管理制度：

1、停工誤時是指因設(shè)備故障、材料供應(yīng)、安全質(zhì)量等原因造成本單位或其它單位生產(chǎn)中斷，影響產(chǎn)量進尺和正常生產(chǎn)組織的非人身事故的總稱。

各單位需檢修的設(shè)備必須在前一天提出計劃，由調(diào)度室主任全面協(xié)調(diào)后，在當日碰頭會上進行安排，但必須規(guī)定時間，落實責(zé)任人。檢修完畢后及時向調(diào)度室匯報，調(diào)度臺做好記錄，此期間在規(guī)定時間內(nèi)完成不計本單位誤時，否則按誤時處理。

所有臨時性安排任務(wù)歸口調(diào)度室管理，被安排單位必須無條件立即執(zhí)行，否則，按照停工誤時論處。

2、事故處理程序：

（1）凡發(fā)生事故造成生產(chǎn)中斷的單位，必須立即匯報礦調(diào)度室，跟班干部必須在現(xiàn)場立即組織人員積極搶修、處理，避免事故擴大或誤時延長。

（2）各單位的事故處理，必須聽從調(diào)度室的統(tǒng)一協(xié)調(diào)指揮，凡不服從者，造成事故擴大或誤時延長，按責(zé)任劃分，予以加倍處罰，并追究部門領(lǐng)導(dǎo)責(zé)任。

（3）調(diào)度室按事故的影響范圍或程度，需調(diào)度其它單位人員或物資時，必須無條件服從，積極組織處理，否則按同類事故影響追究責(zé)任。

（4）事故單位處理完畢后，跟班干部應(yīng)立即匯報調(diào)度室，并對現(xiàn)場工作安排詳細說明，調(diào)度室做好記錄。

3、必須追查處理的事故：

（1）機電事故：造成生產(chǎn)單位停產(chǎn)超過1小時或直接經(jīng)濟損失500元以上的事故。

（2）頂板事故：造成生產(chǎn)中斷1小時以上或影響產(chǎn)量100噸以上，進尺1.5米以上的事故。

（3）運輸事故：主、副井提升井下運輸系統(tǒng)，停運1小時以上，或副提升系統(tǒng)停運2小時，或生產(chǎn)單位停產(chǎn)1小時的事故。

（4）其它事故：造成生產(chǎn)單位或系統(tǒng)影響，影響職工延時1小時以上的事故。

4、事故追查的管理規(guī)定：

（1）調(diào)度室負責(zé)事故追查的組織工作。按事故性質(zhì)通知分管領(lǐng)導(dǎo)，職能科室、事故單位負責(zé)人及事故有關(guān)人員按時參加。

（2）對2小時以下的誤時，由當日值班人員主持追查；2小時以上的誤時由調(diào)度主任及有關(guān)業(yè)務(wù)科室參加，生產(chǎn)礦長主持追查。

（3）事故的追查要達到“快、嚴、細、準”，結(jié)果由調(diào)度室在追查后4小時內(nèi)通報全礦。

（4）凡被通知參加追查的人員，必須按時參加，無故不參加者，每次罰款50元。

（5）對事故追查必須尊重客觀事實，需查看現(xiàn)場時應(yīng)及時組織相關(guān)人員到現(xiàn)場了解，堅持實事求是的原則。先從管理上查找并分析事故原因，責(zé)任必須落實到人，并制定切實可行的防范措施，寫出書處理意見，交礦調(diào)度室。

5、對事故責(zé)任單位及責(zé)任者造成經(jīng)濟損失賠償?shù)囊?guī)定：

（1）對影響安全生產(chǎn)的誤時要進行考核和處理。對造成局部性停工誤時的責(zé)任單位按1.5元/分鐘進行處罰；對造成某一系統(tǒng)或全礦停產(chǎn)誤時的對責(zé)任單位按3.0元/分鐘進行處罰。

（2）事故造成1000元以內(nèi)經(jīng)濟損失的，由責(zé)任者賠償損失的20%—40%，直接經(jīng)濟損失在1001—5000元者，由責(zé)任者賠償損失的10%—30%，并給予行政警告處分，其余部分由其單位負責(zé)賠償。

（3）對因個人操作不符合規(guī)定或擅離職守，而造成設(shè)備損壞，由責(zé)任者按100%賠償。

（4）對事故隱瞞不報者，一經(jīng)查出，每次罰款50元。

（5）事故責(zé)任單位及個人罰款、賠償，經(jīng)追查小組決定后由調(diào)度室月末出據(jù)罰單（一式三份，調(diào)度、財務(wù)、個人各持一份）通知到責(zé)任單位及責(zé)任者，由財務(wù)科執(zhí)罰。

（6）各單位全月誤時超過規(guī)定指標，扣干部工資10%。

附：各單位誤時控制指標

單位	全月誤時控制指標	備注
采煤隊	16h
掘進隊	8h	指一個掘進頭
運一隊	8h
運二隊	8h
機電隊	12h
通維隊	4h
生產(chǎn)	0
供應(yīng)	0
銷售	0

八、關(guān)于工傷搶救程序的規(guī)定：

為了確保我礦實現(xiàn)安全生產(chǎn)年，進一步完善工傷搶救程序，加強各級領(lǐng)導(dǎo)的安全意識和責(zé)任心，使工傷人員能夠迅速搶救上井并得以及時治療，結(jié)合我礦實際，特制定如下措施：

1、加強各級領(lǐng)導(dǎo)值班制度和采掘區(qū)隊現(xiàn)場跟班制度值班期間有事必須向調(diào)度室請假，說明去向和電話號碼，并能在10分鐘內(nèi)找見，如去處用電話無法聯(lián)系時，必須找本單位其它領(lǐng)導(dǎo)代替值班，否則不得離開值班崗位，嚴禁脫崗和空崗。

2、井下發(fā)生工傷，工傷所在單位必須立即如實向調(diào)度室匯報受傷人單位、姓名、受傷部位、受傷地點、傷勢情況，調(diào)度室通知該單位領(lǐng)導(dǎo)立即停止一切工作，組織現(xiàn)場人員盡力搶救和井上快速運送受傷人員。

3、調(diào)度室接到受傷情況匯報后，做好記錄，并按以下程序通知：

（1）立即通知運輸大巷（電話8040），停止沿途其他工作，將電車開往出事地點接送工傷人員。

（2）通知副井信號工（電話8034），通知副絞車司機（電話），聽到信號后，將罐籠放至下部等待工傷人員。

（3）通知調(diào)度值班司機魏鋒洲（電話：15091431884）。

（4）通知調(diào)度主任周志明（電話15929712697）。

（5）通知當天值班領(lǐng)導(dǎo)。

（6）受傷部位在腰部以上者，立即匯報公司調(diào)度中心（電話：6791202）。

（7）通知：何成育王掌學(xué)種盈倉王建芳

同戰(zhàn)倉李建平宋錄才

（8）傷勢嚴重時通知：

張存乾韓對民王全堂王萬恒同新立

鄧曉奇醫(yī)院負責(zé)人劉建軍何兵王忠斌

4、傷員上井后，要積極組織醫(yī)護人員搶救，必要時送局醫(yī)院搶救，并及時將情況匯報調(diào)度室。

5、調(diào)度室通知沿線車輛時間必須在5分鐘之內(nèi)通知完，通知有關(guān)領(lǐng)導(dǎo)必須在15分鐘之內(nèi)完成。

6、礦醫(yī)院接到調(diào)度室電話后做好搶救準備工作，如工傷危重，立即在15分鐘內(nèi)帶搶救箱，去井口等待進行應(yīng)急處理，并護送工傷到醫(yī)院。

礦井各部門負責(zé)人電話號碼

序號	部門職務(wù)	姓名	電話
1	總經(jīng)理	張存乾	13992311359
2	副總經(jīng)理	王建芳	13772766299
3	副總經(jīng)理	種盈倉	13572331879
4	副總經(jīng)理	王掌學(xué)	13892384088
5	副總經(jīng)理	何成育	13892384078
6	副總經(jīng)理	韓對民	13992337336
7	生產(chǎn)負責(zé)人	劉建軍	13892524199
7	生產(chǎn)負責(zé)人	宋錄才	13571376914
8	安監(jiān)負責(zé)人	李建平	13892352862
9	機電負責(zé)人	何兵	13474457109
10	技術(shù)科負責(zé)人	同戰(zhàn)倉	13759689096
11	供應(yīng)負責(zé)人	同新立	13892524498
12	通風(fēng)負責(zé)人	王忠斌	13772779639
13	財務(wù)負責(zé)人	王萬恒	13892573500
14	勞人負責(zé)人	王全堂	13891312631
15	后勤負責(zé)人	鄧曉奇	13572365990
16	辦公室負責(zé)人	王社永	13892319062
17	衛(wèi)生負責(zé)人

第9篇安全異常信息快速反應(yīng)管理辦法

第一章? 總則

第一條? 為深刻吸取長虹公司“3.21”煤與瓦斯突出事故教訓(xùn)，規(guī)范礦井“安全異常信息”的匯報和處置工作，形成快速反應(yīng)、運行有序的“安全異常信息”匯報和處置工作機制，實現(xiàn)“安全異常信息”超前預(yù)警、超前處置,有效防范事故的發(fā)生,保障安全生產(chǎn)，特制定本辦法。

第二條本辦法規(guī)定的應(yīng)當匯報和處置的“安全異常信息”主要是指：礦井生產(chǎn)過程中發(fā)生的“安全異常信息”，包括機電運輸專業(yè)、一通三防及防突專業(yè)、地測防治水專業(yè)、采煤專業(yè)、開掘?qū)I(yè)等五類信息；外部供電、通訊、供水等方面威脅礦井安全生產(chǎn)的“安全異常信息”;威脅礦井安全生產(chǎn)的極端天氣、地震等方面的“安全異常信息”。

第三條? 提升理念?！鞍踩惓Ｐ畔ⅰ笔鞘鹿暑A(yù)兆,是停產(chǎn)撤人的命令，“安全異常信息”不匯報,匯報不處置,或既不匯報又不處置就是事故，按照“四不放過”原則進行追查處理?！鞍踩惓Ｐ畔ⅰ钡膮R報要及時、準確和完整，處置要安全快速有效。

第四條? 調(diào)度室及相關(guān)業(yè)務(wù)科室負責(zé)“安全異常信息”的收集、撤人、匯報、處置、建檔、跟蹤、銷號七個環(huán)節(jié)的工作，在調(diào)度室建立“安全異常信息”閉合管理臺賬。調(diào)度室負責(zé)“安全異常信息”的收集、匯報、處置、建檔等工作，業(yè)務(wù)保安科室負責(zé)“安全異常信息”的跟蹤落實、整改銷號等工作。礦井行政主要負責(zé)人是礦井“安全異常信息”匯報和處置工作的第一責(zé)任人，分管副職對業(yè)務(wù)范圍內(nèi)的“安全異常信息”的匯報和處置工作負責(zé)。

第五條? 完善礦井“安全異常信息”處置技術(shù)、機構(gòu)、隊伍、資金、裝備方面的保障工作和“安全異常信息”匯報和處置工作的管理和考核，建立“安全異常信息”閉合管理臺賬。礦井行政主要負責(zé)人是本單位“安全異常信息”匯報和處置工作管理和提供有關(guān)保障的第一責(zé)任人，分管副職對業(yè)務(wù)范圍內(nèi)的“安全異常信息”匯報及處置工作管理和提供有關(guān)保障負責(zé)。

第六條? 調(diào)度室是“安全異常信息”匯報和處置的指揮中心，對所登記的“安全異常信息”要求做到實時調(diào)度。各業(yè)務(wù)保安科室是“安全異常信息”處置的技術(shù)指導(dǎo)部門。并負責(zé)“安全異常信息”閉合管理臺賬的建立、管理，跟蹤處置，直至安全異常狀況消除。

第二章? “安全異常信息”的匯報

第七條? “安全異常信息”要如實匯報，不得遲報、漏報或瞞報。

第八條? “安全異常信息”的匯報內(nèi)容

（一）機電運輸專業(yè)（詳見附表1）

1.礦井及重要負荷單回路供電。

2.主、副井及乘人系統(tǒng)運行異常。

3.大型固定設(shè)備技術(shù)測定及探傷等有（存在）重大缺陷。

4.主要通風(fēng)機故障單機運轉(zhuǎn)。

5.礦井主排水系統(tǒng)故障不能擔(dān)負正常涌水量。

6.危及安全的其它“安全異常信息”。

（二）一通三防及防突專業(yè)（詳見附表2）

1.采掘工作面出現(xiàn)明顯的煤與瓦斯突出及沖擊地壓預(yù)兆，包括中度以上噴孔、響煤炮或其它明顯預(yù)兆。

2.鉆探期間發(fā)現(xiàn)地質(zhì)構(gòu)造。

3.瓦斯高值或超限。

4.一氧化碳超標（放炮除外）。

5.監(jiān)測監(jiān)控系統(tǒng)異常，包括：（1）井上主要通風(fēng)機或井下局部通風(fēng)機監(jiān)測顯示停風(fēng)；（2）風(fēng)門開停傳感器監(jiān)測顯示敞開；（3）礦井監(jiān)控系統(tǒng)全部無記錄或部分無記錄；（4）監(jiān)控系統(tǒng)相關(guān)設(shè)備未按規(guī)定檢測、校驗、維護保養(yǎng)導(dǎo)致數(shù)據(jù)傳輸不正常的。

6.危及安全的其它“安全異常信息”。

（三）地測防治水專業(yè)（詳見附表3）

1.礦井涌水量達到預(yù)警水量（礦井排水系統(tǒng)聯(lián)合試運的正常排水量）。

2.暴雨天氣，可能發(fā)生洪水淹井。

3.探水鉆孔閥門損毀，涌水難以控制。

4.采掘工作面有突水征兆。

5.危及安全的其它“安全異常信息”。

（四）采煤專業(yè)（詳見附表4）

以下情況同時出現(xiàn)2處及以上的，必須上報：

1.工作面掉頂嚴重，冒落高度超過0.5m、連續(xù)長度超過5m。

2.工作面切頂嚴重，臺階下沉超過0.5m、連續(xù)長度超過5m。

3.采面煤壁嚴重片幫，深度超過1.5m、連續(xù)長度超過5m。

4.工作面支架連續(xù)5架嚴重鉆底或擠架。

5.工作面兩端頭老塘側(cè)局部懸頂面積大（面積大于2m×5m）。

6.危及安全的其它“安全異常信息”。

（五）開掘?qū)I(yè)（詳見附表5）

1.開掘工作面在一個生產(chǎn)班內(nèi)頂板連續(xù)發(fā)出響聲。

2.頂板離層明顯，出現(xiàn)裂縫、頂板掉渣。

3.巷道壓力增大片幫嚴重。

4.支架變形嚴重甚至斷裂。

5.工作面出現(xiàn)地質(zhì)構(gòu)造。

6.危及安全的其它“安全異常信息”。

第三章? “安全異常信息”的處置

第九條? 礦井“安全異常信息”的處置

（一）當?shù)V井生產(chǎn)過程中發(fā)生本辦法規(guī)定的“安全異常信息”時，現(xiàn)場管理人員（帶班領(lǐng)導(dǎo)、跟班干部、班組長）、安檢員、瓦檢員等，必須第一時間發(fā)出停止作業(yè)、撤人的命令，指揮現(xiàn)場人員撤到安全地點，同時向礦調(diào)度室匯報。

（二）礦調(diào)度室值班人員接到生產(chǎn)現(xiàn)場或其它“安全異常信息”的匯報后，須在20分鐘內(nèi)用電話分別向礦井值班領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)及主要領(lǐng)導(dǎo)、分公司調(diào)度室、集團總調(diào)度室（電話：0375-2724146）、許平煤業(yè)生產(chǎn)技術(shù)處（調(diào)度）（電話：0375-3579000、3579331）、安監(jiān)局禹州監(jiān)察處匯報，同時須按照礦井值班領(lǐng)導(dǎo)的指示，立即通知受到安全威脅的人員撤離危險區(qū)域。之后須在30分鐘內(nèi)把“安全異常信息”填寫到相應(yīng)的“安全異常信息”匯報表（詳見附表）中，并通過集團oa辦公系統(tǒng)發(fā)送許平煤業(yè)生產(chǎn)技術(shù)處（調(diào)度）。

（三）由礦井值班領(lǐng)導(dǎo)立即組織調(diào)度、安監(jiān)、業(yè)務(wù)科室等有關(guān)人員趕赴現(xiàn)場收集“安全異常信息”第一手資料，礦井帶班領(lǐng)導(dǎo)立即趕赴現(xiàn)場對“安全異常信息”的處置進行指導(dǎo)和指揮，礦井總工程師負責(zé)牽頭完善相關(guān)處置措施，礦井分管副職牽頭組織對“安全異常信息”進行處置，業(yè)務(wù)保安科室負責(zé)牽頭建立跟蹤工作機制，實時督導(dǎo)“安全異常信息”的處置，直至安全異常狀況消除。

第四章? 考核

第十條

（一）作業(yè)現(xiàn)場發(fā)現(xiàn)“安全異常信息”后，現(xiàn)場管理人員（帶班領(lǐng)導(dǎo)、跟班干部、班組長）、現(xiàn)場安檢員、瓦檢員等未在第一時間向調(diào)度室匯報的，對上述人員罰款500元。

（二）調(diào)度室接到“安全異常信息”匯報后，應(yīng)在20分鐘內(nèi)向礦值班領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)及主要領(lǐng)導(dǎo)、分公司調(diào)度室、集團總調(diào)度室、許平煤業(yè)生產(chǎn)技術(shù)處（調(diào)度）、安監(jiān)局禹州監(jiān)察處匯報，之后須在30分鐘內(nèi)把“安全異常信息”填寫到相應(yīng)的“安全異常信息”匯報表中，并通過集團oa辦公系統(tǒng)發(fā)送許平煤業(yè)生產(chǎn)技術(shù)處（調(diào)度），逾時不報的對調(diào)度當班值班人員罰款500元。

（三）礦井調(diào)度室及業(yè)務(wù)保安科室未建立“安全異常信息”閉合管理臺賬的或“安全異常信息”閉合管理臺賬未及時建檔、整改銷號的，未及時建檔的，對調(diào)度室負責(zé)人罰款500元，未做到跟蹤閉合管理的，對分管業(yè)務(wù)科室負責(zé)人罰款500元。

（四）“安全異常信息”瞞報的對作業(yè)現(xiàn)場安全管理人員罰款500元，匯報不處置，對調(diào)度室當班值班人員罰款500元，對調(diào)度室負責(zé)人罰款500元。

（五）“安全異常信息”處置期間因技術(shù)、機構(gòu)、隊伍、資金、裝備保障不到位造成處置不及時或不能有效處置“安全異常信息”的，對相應(yīng)單位進行責(zé)任追究。

（六）監(jiān)測監(jiān)控系統(tǒng)出現(xiàn)高值后監(jiān)控上傳中斷，按瓦斯超限事故進行責(zé)任追究。

第五章? 附則

第十一條? 有關(guān)注釋

中度噴孔：鉆進過程中連續(xù)噴孔，停鉆后持續(xù)1-2分鐘，噴出顆粒直徑3毫米，鉆屑明顯增多，拋出距離1-2米，工作面里探絕對值增加0.3%以內(nèi)。

嚴重噴孔：停鉆后連續(xù)噴孔超過2分鐘，且?guī)С龃罅裤@屑；拋出距離大于2米或伴有煤炮聲；工作面里探絕對值增加0.3%以上。（符合上述任一條件，即判斷為嚴重噴孔）。

中度煤炮：聲音較大，間歇性明顯（時間間隔大于1分鐘），有震感，有掉渣、揚塵現(xiàn)象。

嚴重煤炮：聲音巨響、相鄰區(qū)段多處地點均能聽到；響聲連續(xù)；震感明顯；伴有大量揚塵。（符合上述任一條件，即判斷為嚴重煤炮）。

有聲預(yù)兆：煤層發(fā)出劈裂聲、悶雷聲、機槍聲、響煤炮、以及氣體穿過含水裂縫時的吱吱聲等。聲音由遠到近，由小到大，有短暫的，有連續(xù)的，時間間隔長短不一致。煤壁發(fā)生震動和沖擊，頂板來壓，支架發(fā)出折裂聲。

無聲預(yù)兆：工作面頂板壓力增大，煤壁被擠壓，片幫掉渣，頂板下沿或底板鼓起；煤層層理紊亂、煤暗淡無光澤、煤質(zhì)變軟；瓦斯忽大忽小，煤壁發(fā)涼，打鉆時有頂鉆、卡鉆、噴瓦斯等現(xiàn)象。

煤厚發(fā)生變化：增厚、變薄、尖滅、變軟。

瓦斯高值：正常作業(yè)情況下瓦斯增幅50%以上即為瓦斯高值。

瓦斯超限：無論任何條件下瓦斯?jié)舛冗_到1%即為瓦斯超限。

一氧化碳超標：除礦上建立臺帳管理的一氧化碳區(qū)域和放炮引起的一氧化碳超標外，其它地點一氧化碳超標都必須立即匯報。

主要通風(fēng)機停運：無論任何原因?qū)е轮饕L(fēng)機停運都必須立即匯報。

第十二條? 本辦法自印發(fā)之日起執(zhí)行。

附表：各專業(yè)“安全異常信息”匯報表

第10篇信息系統(tǒng)運行維護安全管理規(guī)定

第一章總則

第一條為了確?？偣拘畔⑾到y(tǒng)的安全、穩(wěn)定和可靠運行,充分發(fā)揮信息系統(tǒng)的作用,依據(jù)《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 <>》,結(jié)合總公司實際,特制定本規(guī)定。

第二條本規(guī)定所稱的信息系統(tǒng),是指由網(wǎng)絡(luò)傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備及服務(wù)器、計算機終端所構(gòu)成的,為正常業(yè)務(wù)提供應(yīng)用及服務(wù)的硬件、軟件的集成系統(tǒng)。

第三條信息系統(tǒng)安全管理實行統(tǒng)一規(guī)劃、統(tǒng)一規(guī)范、分級管理和分級負責(zé)的原則。

第二章管理機構(gòu)及職責(zé)

第四條總公司辦公室是公司信息系統(tǒng)運行維護和安全管理的主管部門,其安全管理職責(zé)是:

(一)負責(zé)總公司機關(guān)內(nèi)互聯(lián)網(wǎng)的運行管理,保證與城建局、各所屬單位網(wǎng)絡(luò)連接的暢通;

(二)負責(zé)總公司機關(guān)局域網(wǎng)的運行維護管理;

(三)落實安全技術(shù)措施,保障總公司信息系統(tǒng)的運行安全和信息安全;

(四)指導(dǎo)、協(xié)調(diào)所屬單位局域網(wǎng)系統(tǒng)的安全運行管理。

第五條總公司各所屬單位信息員負責(zé)本單位局域網(wǎng)的運行維護和安全管理,服從總公司辦公室的指導(dǎo)和管理。其安全管理職責(zé)是:

(一)負責(zé)廣域網(wǎng)本單位節(jié)點、本單位局域網(wǎng)的運行維護和安全管理,保證與總公司網(wǎng)絡(luò)連接的暢通;

(二)負責(zé)本單位人員的信息安全教育和培訓(xùn),建立健全安全管理制度;

(三)與總公司辦公室密切配合,共同做好總公司信息系統(tǒng)的安全運行、管理和維護工作。

第三章網(wǎng)絡(luò)接入及ip地址管理

第六條需要接入總公司網(wǎng)絡(luò)的所屬單位應(yīng)向總公司辦公室提交申請,經(jīng)審批同意后方可接入。

第七條總公司機關(guān)內(nèi)部局域網(wǎng)的ip地址由辦公室統(tǒng)一規(guī)劃、管理和分配,ip地址的申請、補充、更換均需辦理相關(guān)手續(xù)。

第八條申請與使用ip地址,應(yīng)與登記的聯(lián)網(wǎng)計算機網(wǎng)卡的以太網(wǎng)地址(mac地址,即硬件地址)捆綁,以保證一個ip地址只對應(yīng)一個網(wǎng)卡地址。

第九條入網(wǎng)單位和個人應(yīng)嚴格使用由總公司辦公室及本單位網(wǎng)絡(luò)管理員分配的ip地址和指定的網(wǎng)關(guān)和掩碼。嚴禁盜用他人ip地址或私自設(shè)置ip地址?？偣巨k公室有權(quán)切斷私自設(shè)置的ip地址入網(wǎng),以保證總公司內(nèi)部局域網(wǎng)的正常運行。

第四章安全運行管理

第十條總公司機關(guān)和各所屬單位均應(yīng)指定專人擔(dān)任信息系統(tǒng)管理員,負責(zé)信息系統(tǒng)的日常運行維護、故障處理及性能調(diào)優(yōu)工作。

第十一條建立電子設(shè)備運行檔案,對所發(fā)生的故障、處理過程和結(jié)果等要做好詳細的記錄。關(guān)鍵設(shè)備應(yīng)有備品備件,并進行定期的檢測和維護,確保隨時處于可用狀態(tài)。

第十二條系統(tǒng)軟件(操作系統(tǒng)和數(shù)據(jù)庫)必須使用正版軟件,其選用應(yīng)充分考慮軟件的安全性、可靠性、穩(wěn)定性,并具備身份驗證、訪問控制、故障恢復(fù)、安全保護、安全審計、分權(quán)制約等功能。

第十三條對會影響到全公司的硬件設(shè)備或軟件的更改、調(diào)試等操作應(yīng)預(yù)先制定具體實施方案,必要時準備好后備配件和應(yīng)急措施。

第十四條數(shù)據(jù)庫管理系統(tǒng)和關(guān)鍵網(wǎng)絡(luò)設(shè)備(如服務(wù)器、防火墻、交換機等)的口令必須使用強口令,由專人掌管,定期更換。

第十五條業(yè)務(wù)信息系統(tǒng)應(yīng)嚴格控制操作權(quán)限,原則上采用專人專用的用戶名及密碼登錄;對數(shù)據(jù)庫的維護不允許通過外網(wǎng)遠程登錄進行。

第十六條接入總公司信息系統(tǒng)的所有服務(wù)器和計算機均應(yīng)采用國家許可的正版防病毒軟件并及時更新軟件版本,發(fā)現(xiàn)問題及時解決。具體措施如下:

(一)所有計算機全部安裝和使用網(wǎng)絡(luò)版防毒軟件,未經(jīng)許可,不得隨意禁用或卸載,并設(shè)置好定期升級和殺毒的安全策略;

(二)對新購進的、修復(fù)的或重新啟用的計算機設(shè)備,必須預(yù)先進行計算機病毒檢查后方可安裝運行;

(三)杜絕病毒傳播的各種途徑,光盤和優(yōu)盤等存儲介質(zhì)及經(jīng)遠程通信傳送的程序或數(shù)據(jù)在使用前應(yīng)進行病毒檢測,如工作需要使用共享目錄,必須做好有關(guān)防范措施;

(四)在接入internet網(wǎng)時,嚴格控制下載軟件,謹慎接收電子郵件;在接收電子郵件時,不隨意打開附件;

(五)當出現(xiàn)計算機病毒傳染跡象時,立即拔掉網(wǎng)線,隔離被感染的系統(tǒng)和網(wǎng)絡(luò),并進行處理,不應(yīng)帶“毒”繼續(xù)運行。

第十七條總公司及所屬各單位信息系統(tǒng)如發(fā)生嚴重的網(wǎng)絡(luò)中斷故障,應(yīng)按規(guī)定進行先期處置,同時報總公司辦公室。

第六章數(shù)據(jù)管理

第十八條系統(tǒng)管理員應(yīng)對系統(tǒng)數(shù)據(jù)(主要包括數(shù)據(jù)字典、權(quán)限設(shè)置、存儲分配、網(wǎng)絡(luò)地址、網(wǎng)管參數(shù)、硬件配置及其他系統(tǒng)配置參數(shù))實施嚴格的安全與保密管理,并定期核對,防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。

第十九條各單位應(yīng)定期進行數(shù)據(jù)備份,保證系統(tǒng)發(fā)生故障時能夠迅速恢復(fù);業(yè)務(wù)數(shù)據(jù)必須設(shè)置在線定時自動備份策略,必要時應(yīng)采用雙機備份。

第二十條各單位重要業(yè)務(wù)數(shù)據(jù)必須每年定期、完整、真實、準確地轉(zhuǎn)儲到不可更改的介質(zhì)上,實行集中存儲和異地保管,保存期至少2年。備份數(shù)據(jù)不得更改,應(yīng)指定專人負責(zé)保管和登記。

第二十一條各單位業(yè)務(wù)數(shù)據(jù)不得隨意進行數(shù)據(jù)恢復(fù),因數(shù)據(jù)丟失或故障確需恢復(fù)的,應(yīng)由系統(tǒng)管理員報本單位信息化工作部門,經(jīng)批準后方可進行數(shù)據(jù)恢復(fù)操作,并做好記錄。

第二十二條總公司信息系統(tǒng)的數(shù)據(jù)采集、存儲、處理、傳遞、輸出和發(fā)布應(yīng)遵守計算機信息系統(tǒng)相關(guān)保密管理規(guī)定,以保證公司信息系統(tǒng)無泄密事件發(fā)生。

第七章附則

第二十三條本辦法由總公司辦公室負責(zé)解釋。

第二十四篥本辦法自印發(fā)之日起施行。

第11篇區(qū)二中網(wǎng)絡(luò)與信息安全管理應(yīng)急預(yù)案

二中網(wǎng)絡(luò)與信息安全管理應(yīng)急預(yù)案

為確保網(wǎng)絡(luò)正常使用,充分發(fā)揮網(wǎng)絡(luò)在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務(wù)院《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和有關(guān)規(guī)定,特制訂本預(yù)案,妥善處理危害網(wǎng)絡(luò)與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。

一、危害網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)

1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等

網(wǎng)絡(luò)管理中心應(yīng)立即切斷局域網(wǎng)與外部的網(wǎng)絡(luò)連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。

2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務(wù)器上的,學(xué)校應(yīng)立即切斷與外部的網(wǎng)絡(luò)連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關(guān)閉租用空間。

3.如在外部可訪問的網(wǎng)站、郵件等服務(wù)器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務(wù)器的網(wǎng)絡(luò)連接,使得外部不可訪問。防止有害信息的擴散。

4.采取相應(yīng)的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關(guān)記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。

5.在確保安全問題解決后,方可恢復(fù)網(wǎng)絡(luò)(網(wǎng)站)的使用。

二、保障措施

1.加強領(lǐng)導(dǎo),健全機構(gòu),落實網(wǎng)絡(luò)與信息安全責(zé)任制。建立由主管領(lǐng)導(dǎo)負責(zé)的網(wǎng)絡(luò)與信息安全管理領(lǐng)導(dǎo)小組,并設(shè)立安全專管員。明確工作職責(zé),落實安全責(zé)任制;bbs、聊天室等交互性欄目要設(shè)有防范措施和專人管理。

2.局內(nèi)網(wǎng)絡(luò)由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設(shè)備,擅接終端設(shè)備。

3.加強安全教育,增強安全意識,樹立網(wǎng)絡(luò)與信息安全人人有責(zé)的觀念。安全意識淡薄是造成網(wǎng)絡(luò)安全事件的主要原因,各校要加強對教師、學(xué)生的網(wǎng)絡(luò)安全教育,增強網(wǎng)絡(luò)安全意識,將網(wǎng)絡(luò)安全意識與政治意識、責(zé)任意識、保密意識聯(lián)系起來。特別要指導(dǎo)學(xué)生提高他們識別有害信息的能力,引導(dǎo)他們正健康用網(wǎng)。

4.不得關(guān)閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。

第12篇 iso27000信息安全管理體系審核員工作職責(zé)與職位要求

職位描述：

工作職責(zé)：

1.執(zhí)行公司安排的審核任務(wù)，及時向相關(guān)人員反饋審核工作中出現(xiàn)的各種問題，并積極配合解決問題；

2.在審核工作中堅持審核原則，遵守審核員的行為規(guī)范和公司的各項規(guī)定，注意自己的言行，維護公司利益和形象；

3.及時完成審核資料的準備、與客戶在審核前的溝通、督促客戶整改不符合項、根據(jù)認證決定工作人員的意見修改和完善審核資料等工作；

4.及時完成公司安排的技術(shù)文件的編制工作；

5.積極參加公司安排的現(xiàn)場見證工作；

6.在審核中了解客戶需求并向相關(guān)部門反饋；

7.積極參加公司安排的有關(guān)培訓(xùn)工作；

8.提供與審核相關(guān)的工作及公司其他各項工作的建議；

9.主動學(xué)習(xí)，持續(xù)提高自身的專業(yè)素質(zhì)和審核技能，為受審核方提供有價值的意見和建議，不斷提升審核工作質(zhì)量。

職位要求：

1.本科及以上學(xué)歷；

2.具備信息安全、密碼學(xué)、計算機科學(xué)與技術(shù)、計算機應(yīng)用、電子信息科學(xué)與技術(shù)、電子信息技術(shù)應(yīng)用、人工智能、計算數(shù)學(xué)與應(yīng)用數(shù)學(xué)、自動化、通信、電氣等相關(guān)的專業(yè)學(xué)歷；

3.已獲得信息安全領(lǐng)域?qū)I(yè)注冊資格；

4.至少2年與信息安全有關(guān)的管理、技術(shù)研究與開發(fā)服務(wù)、測評、教學(xué)、標準制定等工作；

5.國家管理體系審核員注冊準則中規(guī)定的各級別審核員應(yīng)具備的知識、技能和個人素質(zhì)；

6.尊重和維護公司的形象、聲譽和利益；

7.自我激勵，自我完善，具有良好的溝通能力及較強的團隊協(xié)作精神；

8.能滿足經(jīng)常性出差需要。

第13篇信息系統(tǒng)安全管理規(guī)定

系統(tǒng)安全管理規(guī)定

文檔號CSLJC_COM_STD_ISMS_1202_P_V0.1密級

ISO27001信息安全管理體系文件

系統(tǒng)安全管理規(guī)定

ISMS-MP-A.12-01活動

簽名

日期

創(chuàng)建

2011-8-24審核

批準II

文檔變更歷史

作者(或修訂人)版本號

日期

修改內(nèi)容與原因

V0.12011-8-24新建

評審記錄

評審方式

版本號

日期

評審意見

文檔狀態(tài)：草稿

1概述11.1目的11.2定義11.3范圍11.4原則12角色與職責(zé)13安全要求23.1系統(tǒng)安全規(guī)劃要求23.2系統(tǒng)運行與維護安全要求23.3操作系統(tǒng)安全配置策略53.3.1Windows系統(tǒng)安全配置管理策略53.3.2UNI*系統(tǒng)安全管理策略84附錄10概述

1.1目的

為了加強公司各類計算機系統(tǒng)的安全運維管理，特制定本規(guī)定。

1.2定義

本程序引用ISO/IEC

17799:2005標準中的術(shù)語。

1.3范圍

本文檔適用于公司建立的信息安全管理體系。

1.4原則

本文檔將依據(jù)信息技術(shù)和信息安全技術(shù)的不斷發(fā)展和信息安全風(fēng)險與信息安全保護目標的不斷變化而進行版本升級。

角色與職責(zé)

表2-1系統(tǒng)安全管理規(guī)定的角色和職責(zé)

序號

角色

職責(zé)

信息安全管理委員會

負責(zé)對系統(tǒng)安全管理進行指導(dǎo)和檢查

系統(tǒng)運維部

負責(zé)生產(chǎn)環(huán)境系統(tǒng)的維護工作

系統(tǒng)支援及維護部

負責(zé)系統(tǒng)安全管理的落地和實施工作

員工遵守公司系統(tǒng)安全管理規(guī)定

安全要求

3.1系統(tǒng)安全規(guī)劃要求

1、系統(tǒng)在投入使用前需要做好前期的規(guī)劃和設(shè)計，除了要滿足公司目前業(yè)務(wù)需要外還要考慮該業(yè)務(wù)系統(tǒng)將來的應(yīng)用需求，使系統(tǒng)具有一定的擴充能力。

2、系統(tǒng)服務(wù)器操作系統(tǒng)應(yīng)選用正版軟件并且遵守軟件規(guī)定的最終用戶使用協(xié)議，禁止使用盜版軟件。

3、新規(guī)劃使用系統(tǒng)應(yīng)考慮和原來系統(tǒng)的兼容性問題。

4、在新系統(tǒng)安裝之前應(yīng)有詳細的實施計劃，并嚴格按照計劃來實施。

5、在新系統(tǒng)安裝完成，投入使用前，應(yīng)對所有組件包括設(shè)備、服務(wù)或應(yīng)用進行連通性測試、性能測試、安全性測試，并在《系統(tǒng)測試記錄》做詳細記錄，最終形成測試報告。

6、在新系統(tǒng)安裝完成，測試通過，投入使用前，應(yīng)刪除測試用戶和口令，最小化合法用戶的權(quán)限，最優(yōu)化配置，應(yīng)及時對系統(tǒng)軟件、文件和重要數(shù)據(jù)進行備份。

3.2系統(tǒng)運行與維護安全要求

1、各個系統(tǒng)設(shè)備應(yīng)進行資產(chǎn)登記。

2、系統(tǒng)的帳號、口令應(yīng)符合《帳號與密碼安全管理規(guī)定》，并定期對帳號口令實施安全評估。

3、嚴格限制操作系統(tǒng)管理員權(quán)限帳號和普通賬號的數(shù)量和使用范圍。對于系統(tǒng)管理員的帳號要詳細登記備案，編制《管理員權(quán)限賬號記錄》，每季度對該記錄進行審核，更新帳號記錄。

4、操作系統(tǒng)帳號的申請與變更參考《帳號與密碼安全管理規(guī)定》3.5節(jié)“賬號權(quán)限控制流程”。

5、嚴格禁止非本系統(tǒng)管理、維護人員直接進入主機設(shè)備進行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進入主機設(shè)備進行操作時，必須由維護人員員親自登錄，并對操作全過程進行記錄備案。

6、應(yīng)盡可能減少主機設(shè)備的遠程管理方式。

7、嚴禁隨意安裝、卸載系統(tǒng)組件和驅(qū)動程序，如確實需要，應(yīng)及時評測可能由此帶來的影響；如果需要安裝補丁程序，參考《病毒與補丁安全管理規(guī)定》進行安裝。

8、禁止主機系統(tǒng)上開放具有“寫”權(quán)限的共享目錄，如果確實必要，優(yōu)先考慮建立FTP站點，緊急情況下可臨時開放，但要設(shè)置強共享口令，并在使用完之后立刻取消共享；應(yīng)禁止不被系統(tǒng)明確使用的服務(wù)、協(xié)議和設(shè)備的特性，避免使用不安全的服務(wù)。

9、應(yīng)嚴格并且合理的分配服務(wù)安裝分區(qū)或者目錄的權(quán)限，如果可能的話，給每項服務(wù)安裝在獨立分區(qū)；取消或者修改服務(wù)的banner信息；避免讓應(yīng)用服務(wù)運行在root或者administrator權(quán)限下。

10、應(yīng)嚴格控制重要文件的許可權(quán)和擁有權(quán)，重要的數(shù)據(jù)應(yīng)當加密存放在主機上，取消匿名FTP訪問，并合理使用信任關(guān)系。

11、應(yīng)對日志功能的啟用、日志記錄的內(nèi)容、日志的管理形式、日志的審查分析做出明確的規(guī)定；對于重要主機系統(tǒng)，應(yīng)建立集中的日志管理服務(wù)器，實現(xiàn)對重要主機系統(tǒng)日志的統(tǒng)一管理，以利于對主機系統(tǒng)日志的審查分析；應(yīng)保證各設(shè)備的系統(tǒng)日志處于運行狀態(tài)，并定期對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時應(yīng)及時向相關(guān)人員報告，日志審核要求詳見《安全審計管理規(guī)定》。

12、應(yīng)及時監(jiān)視、收集主機設(shè)備操作系統(tǒng)生產(chǎn)廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應(yīng)的官方站點，并對更新軟件或補丁進行評測，在獲得部門領(lǐng)導(dǎo)的批準下，對實際環(huán)境實施軟件更新或者補丁安裝；必須訂閱CERT

(計算機緊急響應(yīng)小組)公告或其他專業(yè)安全機構(gòu)提供的安全漏洞信息的相關(guān)資源，應(yīng)立即提醒信息安全工作組任何可能影響網(wǎng)絡(luò)正常運行的漏洞；及時評測對漏洞采取的對策，在獲得部門領(lǐng)導(dǎo)的批準下，對實際環(huán)境實施評測過的對策，并將整個過程記錄備案；軟件更新或者補丁安裝應(yīng)盡量安排在非業(yè)務(wù)繁忙時段進行，操作必須由兩人以上完成，由一人監(jiān)督，一人操作，并在升級（或修補）前后做好數(shù)據(jù)和軟件的備份工作，同時將整個過程記錄備案；軟件更新或者補丁安裝后應(yīng)重新對系統(tǒng)進行安全設(shè)置，并進行系統(tǒng)的安全檢查。

13、應(yīng)定期進行安全漏洞掃描和病毒查殺工作，平均頻率應(yīng)不低于每月一次，并在《月度網(wǎng)絡(luò)安全掃描記錄》中詳細記錄評估掃描結(jié)果。重大安全漏洞發(fā)布后，應(yīng)在3個工作日內(nèi)進行；為了防止網(wǎng)絡(luò)安全掃描以及病毒查殺對網(wǎng)絡(luò)性能造成影響，應(yīng)根據(jù)業(yè)務(wù)的實際情況對掃描時間做出規(guī)定，應(yīng)一般安排在非業(yè)務(wù)繁忙時段；當發(fā)現(xiàn)主機設(shè)備上存在病毒、異常開放的服務(wù)或者開放的服務(wù)存在安全漏洞時應(yīng)及時上報信息安全工作組，并采取相應(yīng)措施。

14、應(yīng)至少每周1次，對所有主機設(shè)備進行檢查，確保各設(shè)備都能正常工作；應(yīng)通過各種手段監(jiān)控主機系統(tǒng)的CPU利用率、進程、內(nèi)存和啟動腳本等的使用狀況，在發(fā)現(xiàn)異常系統(tǒng)進程或者系統(tǒng)進程數(shù)量異常變化時，或者CPU利用率，內(nèi)存占用量等突然異常時，應(yīng)立即上報信息安全工作組，并同時采取適當控制措施，并記錄備案。

15、當主機系統(tǒng)出現(xiàn)以下現(xiàn)象之一時，必須進行安全問題的報告和診斷：

系統(tǒng)中出現(xiàn)異常系統(tǒng)進程或者系統(tǒng)進程數(shù)量有異常變化。

系統(tǒng)突然不明原因的性能下降。

系統(tǒng)不明原因的重新啟動。

系統(tǒng)崩潰，不能正常啟動。

系統(tǒng)中出現(xiàn)異常的系統(tǒng)賬號

系統(tǒng)賬號口令突然失控。

系統(tǒng)賬號權(quán)限發(fā)生不明變化。

系統(tǒng)出現(xiàn)來源不明的文件。

系統(tǒng)中文件出現(xiàn)不明原因的改動。

系統(tǒng)時鐘出現(xiàn)不明原因的改變。

系統(tǒng)日志中出現(xiàn)非正常時間系統(tǒng)登錄，或有不明IP地址的系統(tǒng)登錄。

發(fā)現(xiàn)系統(tǒng)不明原因的在掃描網(wǎng)絡(luò)上其它主機。

16、應(yīng)及時報告任何已知的或可疑的信息安全問題、違規(guī)行為或緊急安全事件，并在采取適當措施的同時，應(yīng)向信息安全工作組報告細節(jié)；應(yīng)定期提交安全事件和相關(guān)問題的管理報告，以備管理層檢查。

17、應(yīng)根據(jù)“知所必需”原則嚴格限制泄漏安全違規(guī)行為、安全事件或安全漏洞。如果必須向任何公司外部方（包括任何合法的權(quán)威機構(gòu)）泄漏這類受限信息，應(yīng)先咨詢公司相關(guān)法律部門。

18、系統(tǒng)軟件安裝之后，應(yīng)立即進行備份；在后續(xù)使用過程中，在系統(tǒng)軟件的變更以及配置的修改之前和之后，也應(yīng)立即進行備份工作；應(yīng)至少每年1次對重要的主機系統(tǒng)進行災(zāi)難影響分析，并進行災(zāi)難恢復(fù)演習(xí)。

19、應(yīng)至少每年1次對整個網(wǎng)絡(luò)進行風(fēng)險評估，每次風(fēng)險評估時，手工檢查的比例應(yīng)不低于10％，滲透測試的比例應(yīng)不低于5％；風(fēng)險評估后應(yīng)在10個工作日內(nèi)完成對網(wǎng)絡(luò)的修補和加固，并進行二次評估。

3.3操作系統(tǒng)安全配置策略

3.13.23.33.3.1Windows系統(tǒng)安全配置管理策略在應(yīng)用以下安全策略之前應(yīng)根據(jù)業(yè)務(wù)系統(tǒng)的實際情況進行操作，注意實施操作后對業(yè)務(wù)的風(fēng)險。

1、物理安全策略

應(yīng)設(shè)置BIOS口令以增加物理安全。

應(yīng)禁止遠程用戶使用光驅(qū)和軟驅(qū)。

2、補丁管理策略

應(yīng)啟動Windows自動更新功能，及時安裝Windows補?。⊿P、hotfi*）。

對于不能訪問Internet的Windows系統(tǒng)，應(yīng)采用手工打補丁的方式。

3、帳戶與口令策略所有帳戶均應(yīng)設(shè)置口令。

應(yīng)將系統(tǒng)管理員賬號administrator重命名。

應(yīng)禁止Guest賬號。

應(yīng)啟用“密碼必須符合復(fù)雜性要求”，設(shè)置“密碼長度最小值”、“密碼最長存留期”、“密碼最短存留期”、“密碼強制歷史”，停用“為域中用戶使用可還原的加密來存儲”。

應(yīng)設(shè)置“賬戶鎖定時間”，“賬戶鎖定閾值”，“復(fù)位賬戶鎖定計數(shù)器”來防止遠程密碼猜測攻擊。

在信息安全組批準下，應(yīng)定期利用口令破解軟件進行口令模擬破解測試，在發(fā)現(xiàn)脆弱性口令后及時通告并采取強制性的補救修改措施。

4、網(wǎng)絡(luò)服務(wù)策略

應(yīng)盡可能減少網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的服務(wù)。

應(yīng)通過修改注冊表項，調(diào)整優(yōu)化TCP/IP參數(shù)，來提高系統(tǒng)抵抗DoS攻擊的能力。

應(yīng)限制使用SNMP服務(wù)。如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5校驗等功能。

5、文件系統(tǒng)策略

所有分區(qū)均應(yīng)使用NTFS。

盡量使用磁盤配額管理、文件加密（EFS）等功能。

應(yīng)卸載OS/2和POSI*操作環(huán)境子系統(tǒng)。

應(yīng)將所有常用的管理工具放在%systemroot%外的特殊目錄下，并對其進行嚴格的訪問控制，保證只有管理員才具有執(zhí)行這些工具的權(quán)限。

應(yīng)關(guān)閉NTFS生成

8.3文件名格式。

應(yīng)設(shè)置訪問控制列表（ACL），對重要的目錄、文件進行訪問權(quán)限的限制。

6、日志策略

應(yīng)啟用系統(tǒng)和文件審核功能，包括應(yīng)用程序日志、安全日志、系統(tǒng)日志、以及各種服務(wù)的日志。

應(yīng)更改日志存放的目錄，并及時監(jiān)控，特別是安全日志、系統(tǒng)日志。對于重要主機設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實現(xiàn)對重要主機設(shè)備日志的統(tǒng)一管理，以利于對主機設(shè)備日志的審查分析。

7、安全性增強策略

對于獨立服務(wù)器應(yīng)直接檢查本地的策略和配置。對于屬于域的服務(wù)器，應(yīng)檢查域控制器上對計算機的域管理策略。檢查內(nèi)容主要為用戶、用戶組及其權(quán)限管理策略。

應(yīng)限制對注冊表的訪問，嚴禁對注冊表的匿名訪問，嚴禁遠程訪問注冊表，并對關(guān)鍵注冊表項進行訪問控制，以防止它們被攻擊者用于啟動特洛伊木馬等惡意程序。

應(yīng)定期檢查注冊表啟動項目，避免系統(tǒng)被安裝非法的自啟動程序。

應(yīng)隱含最后登陸用戶名，避免攻擊者猜測系統(tǒng)內(nèi)的用戶信息。

在登錄系統(tǒng)時應(yīng)顯示告警信息，防止用戶對遠程終端服務(wù)口令進行自動化的腳本猜測，并刪除關(guān)機按鈕。

應(yīng)刪除Windows主機上所有默認的網(wǎng)絡(luò)共享。

應(yīng)關(guān)閉對Windows主機的匿名連接。

對于不需要共享服務(wù)的主機，應(yīng)徹底關(guān)閉文件和打印機共享服務(wù)。

應(yīng)限制Pcanywhere等遠程管理工具的使用，如確實需要，應(yīng)使用最新版本，完整安裝補丁程序并經(jīng)過評測，獲得信息安全工作組的許可；并使用Pcanywhere加密方式進行管理。

應(yīng)安裝防病毒軟件，并及時更新軟件版本和病毒庫。

盡量安裝防火墻。

3.3.2UNI*系統(tǒng)安全管理策略

1、補丁管理策略

應(yīng)及時安裝系統(tǒng)最新補丁。

應(yīng)及時升級服務(wù)至最新版本。

2、帳戶與口令策略

所有帳戶均應(yīng)設(shè)置口令。

去除不需要的帳戶、修改默認帳號的shell變量。

除root外，不應(yīng)存在其他uid=0的帳戶。

應(yīng)設(shè)置超時自動注銷登陸，減少安全隱患。

應(yīng)限制可以su為root的組。

應(yīng)禁止root遠程登陸。

在信息安全組批準下，應(yīng)定期利用口令破解軟件進行口令模擬破解測試，在發(fā)現(xiàn)脆弱性口令后及時通告并采取強制性的補救修改措施。

3、網(wǎng)絡(luò)服務(wù)策略

應(yīng)盡可能減少網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的服務(wù)。

應(yīng)啟用inetd進站連接日志記錄，增強審計功能。

應(yīng)調(diào)整優(yōu)化TCP/IP參數(shù)，來提高系統(tǒng)抵抗DoS攻擊的能力。

應(yīng)調(diào)整TCP/IP參數(shù)，禁止IP源路由。

應(yīng)限制使用SNMP服務(wù)。如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5校驗等功能。

應(yīng)調(diào)整內(nèi)核參數(shù)打開“TCP隨機序列號”功能。

4、文件系統(tǒng)策略

盡量使系統(tǒng)root用戶初始創(chuàng)建權(quán)限(umask)為077。

盡量使用磁盤配額管理功能。

去除適當文件的set-uid和set-gid位。

應(yīng)限制/etc目錄的可寫權(quán)限。

增強對關(guān)鍵文件的執(zhí)行權(quán)限控制。

為不同的掛載點指派不同的屬性。

5、日志策略

應(yīng)對ssh、su登陸日志進行記錄。

除日志服務(wù)器外，應(yīng)禁止syslogd網(wǎng)絡(luò)監(jiān)聽514端口。

對于重要主機設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實現(xiàn)對重要主機設(shè)備日志的統(tǒng)一管理，以利于對主機設(shè)備日志的審查分析。

6、安全性增強策略

應(yīng)保證bashshell保存少量的（或不保存）命令。

應(yīng)禁止GUI登陸。

應(yīng)隱藏系統(tǒng)提示信息。

盡量安裝第三方安全增強軟件。

附錄

附錄一：相關(guān)文件

《信息安全管理體系手冊》

《系統(tǒng)測試記錄》

《操作系統(tǒng)管理員權(quán)限帳號記錄》

《操作系統(tǒng)普通權(quán)限賬號記錄》

《操作系統(tǒng)賬號開通申請》

《月度網(wǎng)絡(luò)安全掃描記錄》

第14篇安全信息閉合管理規(guī)定

為加強安全信息系統(tǒng)化管理,嚴格落實安全生產(chǎn)責(zé)任制,及時消除現(xiàn)場隱患,特制訂安全信息閉合管理規(guī)定,望各部門認真執(zhí)行。

1 信息反饋

公司大檢查、隱患排查、公司職能科室專項檢查、公司干部日常檢查、帶班干部檢查、現(xiàn)場人員舉報反饋的問題,由安環(huán)部統(tǒng)一下卡整改。

2 收集處理

2.1安環(huán)部應(yīng)及時處理所有信息,經(jīng)仔細篩選、歸類后填寫隱患整改通知單,不得丟失或隨意改動每一條信息,并及時通知責(zé)任整改部門管理干部落實整改。

2.2整改部門接到通知單后,立即安排組織整改。所有隱患要制定確保安全的臨時性防范措施。治理周期較長、存在較大安全威脅的一般安全隱患的防范措施,經(jīng)廠長辦批準后,交安環(huán)部備案。重大隱患的防范措施要經(jīng)生產(chǎn)經(jīng)理批準后交安環(huán)部備案。

2.3對于一時解決不了的隱患,應(yīng)定出計劃,按期解決;對于不停車處理不了的隱患,一般要停車處理;對于非處理不行的隱患,在開車情況下要有安全檢修方案,經(jīng)廠長辦批準方可整改。

3 復(fù)查驗收

3.1由經(jīng)理層督辦的重大安全隱患治理結(jié)束后,由生產(chǎn)廠長組織有關(guān)部門負責(zé)人進行復(fù)查驗收,出具重大安全隱患治理驗收報告,報請總經(jīng)理審批后,送安環(huán)部存檔。

3.2對于由部室負責(zé)人督辦的治理周期較長或存在較大安全威脅的一般安全隱患治理結(jié)束后,由相關(guān)部室負責(zé)人組織有關(guān)部門進行驗收,合格后出具隱患治理驗收報告,經(jīng)生產(chǎn)廠長簽字后,送安環(huán)部存檔。

3.3對于一些危險性不大、治理周期很短、發(fā)現(xiàn)后能夠立即整改消除的隱患;直接由責(zé)任區(qū)域的部門負責(zé)人進行復(fù)查驗收,合格后將驗收單報安環(huán)部存檔。經(jīng)復(fù)查,如隱患未整改或整改不徹底,由責(zé)任部門繼續(xù)處理,直至完成整改。

4 工作考核

4.1各部門對各項檢查查出來的問題認真落實整改,如未及時進行整改,且無有效延期整改的,考核責(zé)任部門負責(zé)人20元/條。

4.2對于隱患整改工作有協(xié)助部門的,如整改未完成連帶考核協(xié)助部門相關(guān)責(zé)任人50%。

第15篇人員離崗離職信息安全管理規(guī)定

為規(guī)范本單位計算機信息安全工作,更好的服務(wù)于本單位信息化建設(shè)需要,特制定本規(guī)定:

第一條為保證本單位的計算機與網(wǎng)絡(luò)信息安全,適應(yīng)信息安全等方面的需要,防止計算機網(wǎng)絡(luò)失密泄密事件發(fā)生,特制定本制度;

第二條工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務(wù)的秘密信息,承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù),直至該秘密信息成為公開信息,而無論離職人員因何種原因離職。

第三條離職人員因職務(wù)上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體,均歸本單位所有,而無論這些秘密信息有無商業(yè)上的價值。

第四條離職人員應(yīng)當于離職時,或者于本單位提出請求時,返還全部屬于本單位的財物,包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的,則視為離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給本單位,本單位應(yīng)當在離職人員返還這些載體時,給予離職人員相當于載體本身價值的經(jīng)濟補償;但秘密信息可以從載體上消除或復(fù)制出來時,可以由本單位將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上,并把原載體上的秘密信息消除,此種情況下離職人員無須將載體返還,本單位也無須給予離職人員經(jīng)濟補償。

第五條離職人員離職時,應(yīng)將工作時使用的電腦、u盤及其他一切存儲設(shè)備中關(guān)于工作相關(guān)或與本單位有利益關(guān)系的信息、文件等內(nèi)容交接給本單位相關(guān)人員,不得在離職后以任何形式帶走相關(guān)信息。

***********

年月日