信息安全管理制度.docx

1、信息安全管理制度信息安全管理制度第一条 信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。2、信息内容的安全。 侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系

2、统传播，避免对国家利益、公共利益以及个人利益造成损害。第二条 涉及国家秘密信息的安全工作实行领导负责制。第三条 信息的内部管理1、各科室（下属单位）在向委网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载；2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；3、各信息应用科室（单位）对本单位所负责的信息必须作好备份；4、各科室（单位）应对本部门的信息进行审查，网站各栏目信息的负责科室（单位）必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信

3、息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告；5、涉及国家秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行；6、涉及国家秘密信息，未经委信息安全分管领导批准不得在网络上发布和明码传输；7、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。第四条 信息加密1、涉及国家秘密的信息，其电子文档资料应当在涉密介质中加密单独存储；2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储；3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储；4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输

4、过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。第五条 任何单位和个人不得从事以下活动：1、利用信息网络系统制作、传播、复制有害信息；2、入侵他人计算机；3、未经允许使用他人在信息网络系统中未公开的信息；4、XX对网络（内部信息平台）系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、复制和删除等；5、XX查阅他人邮件；6、盗用他人名义发送电子邮件；7、故意干扰网络（内部信息平台）的畅通运行；8、从事其他危害信息网络（内部信息平台）系统安全的活动。第六条 本制度自发布之日起施行，凡与本制度有冲突的均以本制度为准。计算机管理制度为保证计算机的正常运行，确保计算机安全

5、运行，根据国家、省、市有关法律法规和政策规定，结合本委实际情况，制定本制度。一、管理范围划分本委计算机分为涉密和非涉密两部分，涉密计算机指主要用于储存或传输有关人事、财务、经济运行、信息安全等涉及国家、单位秘密、危害国家安全的图文信息的计算机。非涉密计算机指用于储存或传输可以向社会公开发表或公布的图文信息的计算机。信息安全科、运行科、人事科和机关财务各一台计算机按照涉密要求进行管理。二、非涉密计算机日常管理1、各科室的计算机，科室负责人为管理第一责任人，承担本科室计算机操作的管理、保密和安全,以防止误操作造成系统紊乱、文件丢失等故障。2、计算机主要是用于业务数据的处理及信息传输,提高工作效率。

6、严禁上班时间用计算机玩游戏及运行一切与工作无关的软件。3、新购的计算机、初次使用的软件、数据载体应经委计算机管理员检测,确认无病毒和有害数据后,方可投入使用。4、计算机操作人员发现本科室的计算机感染病毒,应立即中断运行,并与计算机管理员联系及时消除。5、爱护机关计算机设备，保持计算机设备的干净整洁。三、涉密计算机日常管理1、涉密的计算机内的重要文件由专人集中加密保存,不得随意复制和解密,未经加密的重要文件不能存放在与国际联网的计算机上。2、对需要保存的涉密信息,可到信息安全科转存到光盘或其他可移动的介质上。存储涉密信息的介质应当按照所存储信息的最高密级标明密级,并按相应密级的文件管理。3、存储

7、过国家秘密信息的计算机媒体的维修应保证所存储的国家秘密信息不被泄露。对报废的磁盘和其他存储设备中的秘密信息由技术人员进行彻底清除。4、涉密的计算机信息需打印输出必须到信息安全科专用打印机打印输出,打印出的文件应当按照相应密级的文件管理；打印过程中产生的残、次、废页应当及时在信息安全科专用设备粉碎销毁。5、对信息载体(软盘、光盘等)及计算机处理的业务报表、技术数据、图纸要有专人负责保存,按规定使用、借阅、移交、销毁。四、其他对违反以上规定的行为视情节轻重,结合国家、省、市及本委相关规定处理,并追究有关人员的责任。网络安全管理制度一、一般规定1、未经网管批准，任何人不得改变网络（内部信息平台）拓扑

8、结构、网络（内部信息平台）设备布置、服务器、路由器配置和网络（内部信息平台）参数。2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。3、机关局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害单位稳定的有关信息。4、各科室（单位）应定期对本科室（单位）计算机系统和相关业务数据进行备份以防发生故障时进行恢复。二、帐号管理1、网络（内部信息平台）帐号采用分组管理。并详细登记：用户姓名、部门名称、口令，存取权限，开通时间，网络（内部信息平台）资源分配情况等。2、网络（内部信息平台）管理员为用户设置明码口令，用户可以根据自己的保密情况进行修改口令，用户应对工作站设置开

9、机密码和屏保密码。3、用户帐号下的数据属于用户私有数据，当事人具有存入权限，管理员具有管理和备份存取权限。4、网络（内部信息平台）管理员根据有关帐号管理规则对用户帐号执行管理，并对用户帐号及数据的安全和保密负责。5、网络（内部信息平台）管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息等资料泄露出去。三、网络管理员职责1、协助制定网络（内部信息平台）建设方案，确定网络（内部信息平台）安全及资源共享策略。2、负责公用网络（内部信息平台）实体，如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理。3、负责服务器和系统软件的安装、维护、调整及更新。4、负责网

10、络（内部信息平台）账号管理，资源分配，数据安全和系统安全。5、监视网络（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安全、稳定、畅通。6、负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料的整理和归档。7、保管网络（内部信息平台）拓扑图接线表，设备规格及配置单，管理记录，运行记录，检修记录等网络（内部信息平台）资料。8、每年对本单位网络（内部信息平台）的效能和各电脑性能进行评价，提出网络（内部信息平台）结构、技术和网络、管理的改进措施。四、安全管理职责1、保障网络（内部信息平台）畅通和信息安全。2、严格遵守国家、省、市制定的相关法律、行政法规，严格执行网络安

11、全工作制度，以人为本，依法管理，确保网络（内部信息平台）安全有序。3、在发生网络（内部信息平台）重大突发事件时，应立即报告，采取应急措施，尽快恢复网络（内部信息平台）正常运行。4、充分利用现有的安全设备设施、软件，最大限度地防止计算机病毒入侵和黑客攻击。5、加强信息审查工作，保存，备份至少90天之内网络信息日志，及时加以分析，排查不安定因素，防止黄色，反动信息的传播。6、经常检查网络（内部信息平台）工作环境的防火、防盗工作。五、电脑操作人员培训制度五、病毒的防治管理制度1、任何人不得在机关的局域网上制造传播任何计算机病毒，不得故意引入病毒。网络（内部信息平台）使用者发现病毒应立即向网络管理员报

12、告。网络管理员及时指导和协助处理病毒。2、各部门应定期查毒，（周期为一周或者10天）管理员应及时升级病毒库，并提示各部门对杀毒软件进行在线升级。计算机病毒防治管理制度为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行，根据国家有关规定，结合实际情况，制定本制度。一、凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置，维修计算机及其软件的部门，必须遵守本办法。二、本办法所称计算机病毒，是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。三、任何工作人员不得制作和传播计算机病毒。四、任

13、何工作人员不得有下列传播计算机病毒的行为：1、故意输入计算机病毒，危害计算机信息系统安全。2、向计算机应用部门提供含有计算机病毒的文件、软件、媒体。3、购置和使用含有计算机病毒的媒体。五、预防和控制计算机病毒的安全管理工作，由委信息安全协调科负责实施，其主要职责是：1、制定计算机病毒防治管理制度和技术规程，并检查执行情况;2、培训计算机病毒防治管理人员外；3、采取计算机病毒安全技术防治措施；4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训；5、及时检测、清除计算机系统中的计算机病毒，并做好检测、清除的记录；6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治

14、产品；7、向公安机关报告发现的计算机病毒，并协助公安机关追查计算机病毒的来源。8、对因计算机病毒引起的计算机信息系统瘫痪，程序和数据严重破坏等重大事故及时向公安机关报告人，并保护现场。9 、计算机安全管理部门应加强对计算机操作人员的审查，并定期进行安全教育和培训。10、计算机信息系统应用部门应建立计算机运行记录制度，未经审定的任何程序，指令或数据，不得输入计算机系统运行。11、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测，发现染有计算机病毒的，应采取措施加以消除，在未消除病毒之前不准投入使用。12、通过网络进行电子邮件或文件传输，应及时对传输媒体进行病毒检测，接收到邮件时也要及

15、时进行病毒检测，以防止计算机病毒的传播。13、任何部门和个人不得从事下列活动：收集、研究有害数据；出版、刊登、讲解、出租有害数据原理，源程序的书籍，资料或文章；复制有害数据的检测，清除工具六、积极接受公安机关对计算机病毒防治管理工作的监督，检查和指导。密码安全保密制度一、提高安全认识，禁止非工作人员操纵系统主机，不使用系统主机时，应注意锁屏。二、每周检查主机登录日志，及时发现不合法的登录情况。三、对网络（内部信息平台）管理员，系统管理员和系统操作员所用口令每十五天更换一次，口令要无规则，重要口令要多于八位。四、加强口令管理，对PASSWORD文件用隐性密码方式保存，每半月检查本地的PASSWO

16、RD文件，确认所有帐号都有口令，当系统中的帐号不再被使用时，应立即从相应PASSWORD数据库中清除。五、ROOT口令只被系统管理员掌握，尽量不直接ROOT口令登录系统主机。六、系统目录应属ROOT所有，应完全禁止其他用户有写权限。七、对TELNET、FTP到主机的用户进行权限限制，或完全禁止。八、网络（内部信息平台）管理员、系统管理员调离岗位后一小时内由接任人员监督检查更换新的密码。涉密和非涉密移动存储介质管理制度一、涉密和非涉密移动存储介质由办公室建立台帐，信息安全人员负责涉密和非涉密移动存储介质的日常管理和维护维修。二、涉密移动存储介质不得在非涉密计算机上使用。三、涉密移动存储介质未经批

17、准不得擅自带离本单位，确因工作需要携带外出的，须履行登记备案手续，并经委领导批准。四、严禁将涉密移动存储介质借给外单位或他人使用。五、涉密移动存储介质需维修的，由单位技术人员送至有保密资质的单位现场监修，严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复，必须按涉密载体予以销毁。六、非涉密移动存储介质不得存储任何涉密信息。七、非涉密移动存储介质不得连接涉密计算机。八、不再使用或不能使用的涉密和非涉密移动存储介质要及时上交办公室，由技术人员对要报废的涉密和非涉密移动存储介质进行进一步确认，并与领取时的类型，电子（产品）序列号，编号等进行核对，填写销毁登记表，经委领导批准后

18、，送有保密资质的单位进行销毁。九、任何部门和个人不得擅自销毁涉密和非涉密移动存储介质。病毒检测和网络安全漏洞检测制度一、网络（内部信息平台）的服务器，具有合法权限的用户才能进行相应权限范围内的操作，任何其他非法操作都属于入侵行为。二、所有用户，不准扫描端口，不准猜测和扫描其他用户的密码，不准猜测和扫描网络（内部信息平台）的服务器和交换设备的口令。三、系统管理员应定期检查服务器的系统日志，如发现有入侵情况，应用时采取措施，保留原始数据，以便进行调查取证，并向委领导汇报，做好入侵情况登记。四、服务器如果发现漏洞要及时修补漏洞或进行系统升级。五、要定期对网站进行网络（内部信息平台）数据包的监控，及时

19、发现和网络（内部信息平台）运行情况，全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为，阻止网络（内部信息平台）内外的入侵。六、网络（内部信息平台）信息安全员履行对所有上网信息进行审查的职责，根据需要采取措施，监视、记录、检测、制止、查处、防范针对其所管辖网络（内部信息平台）或入网计算机的人或事。七、所有用户有责任对所发现或发生的违反有关法律，法规和规章制度的人或事予以制止或向委信息安全协调科反映、举报，协助有关部门或管理人员对上述人或事进行调查、取证、处理，应该向调查人员如实提供所需证据。八、网络（内部信息平台）管理员应根据实际情况和需要采用新技术调整网络（内部信息平台）结

20、构，系统功能，变更系统参数和使用方法，及时排除系统隐患。安全培训、案件报告和协查制度一、安全培训制度1、网络（内部信息平台）安全员要定期接受安全培训。2、对全委干部职工在计算机信息网络国际互联网安全保护管理办法、互联网安全保护技术措施规定、计算机信息网络国际联网安全保护管理办法等关于网络安全方面的国家法律、法规的学习、培训，提高维护网络安全的警惕性和自觉性。3、实时了解网络信息安全的动向，适时进行基本的网络安全保护制度和具体方法进行介绍，切实维护计算机联网安全。畅通与公安机关有关人员的联系渠道，加强对各类有害信息、特别是影射性有害信息的识别能力，提高安全防范能力。二、违法案件报告和协查制度1、

21、落实网络安全岗位责任制，实行领导责任制和网络安全员负责制，网络安全事件实行谁主管，谁负责。2、加强值班和值班日志的管理，建立定期，不定期的日志分析制度，及时发现网络（内部信息平台）安全事件和隐患。3、一旦发现网络（内部信息平台）违法案件，应详细、如实记录事件经过，保存相关日志，及时通知有关人员，并与公安部门取得联系。4、进行网络违法案件及其他网络安全检查时，网络安全员和其他有关人员必须积极配合。三、以下行为属于违法使用网络（内部信息平台）：1、破坏网络（内部信息平台）通讯设施，包括室内网络布线，室内信息插座，配线间网络设备等。2、随意改变网络接入位置。3、盗用他人的IP地址，更改网卡地址、盗用他人帐号（包括上网帐号、电子邮件帐号、信息发布帐号等）；4、通过电子邮件、网络（内部信息平台）、存储介质等途径故意传播计算机病毒。5、对网络进行恶意侦听和信息截获，在网络上发送干扰正常通信的数据。6、对网络各攻击，包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击，以后、以及利用IP欺骗手段实施的拒绝服务攻击；7、访问和传播色情、反动、邪教、谣言等不良信息的。