计算机信息系统安全的基本要求
计算机信息系统安全的基本要求
[作者:佚名转贴自:摘自法规汇编点击数:915 文章录入:admin ]根据公安部的有关规定,下面是计算机信息系统安全的基本要求:
一、实体安全
1、中心周围100米内没有危险建筑,主要指没有易燃、易爆、有害气体等存放的场所,如加油站、燃气管道、煤气站散发较强腐蚀气体的设施等。
2、设有监控系统,指对系统运行的外围环境、操作环境实施监控(视)的设施。
3、有防火、防水措施。如机房内有火灾自动报警系统,有适用于计算机机房的灭火器材(气体灭火器),有应急计划及相关制度。防水:指机房内无渗水、漏水现象,如果机房上层有用水设施需加防水层。
4、机房环境(温度、湿度、洁净度)达到要求。作为中心机房温度应保持在18-24度,相对湿度保持在40-60%为好。机房和设备应保持清洁、卫生,进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。
5、防雷(防雷装置、接地)措施。机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击技术设施。
6、有备用电源,如长时间ups,停电后可供电8小时或更长时间,或者自备发电机。
7、平时使用ups供电。
8、有防静电措施,如防静电地板、设备接地良好等。
9、为保证设备用电质量,采取专线供电,与空调、照明、动力等分开。
10、采取防盗措施,中心应有值班守卫,出入口安装防盗安全门,窗户安装金属防护装置。
二、网络通信安全
1、装有通信设备的场所要设有标志,如“机房重地”、“请勿触摸”等醒目的文字、图形等。
2、重要的通信线路及通信控制装置要有备份,如备用网络通信线路,类似于调制解调器等服务于网络通信的设备也要有备用。
3、加密措施,包括网络通讯及软、硬件,即网络传输的信息要加密,软件、硬件有防止非法入侵的手段
4、网络运行状态应有安全审计跟踪措施,能随时掌握网络用户的工作状况。安全审计是指在计算机信息系统中模拟社会的监察机构对于系统(包括网络)的活动进行监视和记录的一种机制。其主要功能有:监视和记录系统的活动情况,使影响系统安全性的存取以及其他非法企图留下线索,以便查出非法操作者;检测和判定对系统的攻击,及时提供报警和处理;提供审计报告,使系统安全管理人员能够了解运行情况;识别合法用户的误操作等。
5、网络系统有访问控制措施,根据工作性质划分网络用户的访问权限。
6、有工作站身份识别措施,以辨别该工作站是否本网络的合法用户。
三、软件与信息安全
1、操作系统及数据库要有访问控制措施,按工作性质划分对操作系统及数据库的访问权限。能对不正常的运行状况或操作及时发现并进行控制或纠正。
2、应用软件、系统信息能防止恶意攻击和非法存取。
3、对数据库及系统状态要有监控、防护措施。
(1)系统标识与验证,即将系统有关数据处理的有关成份如用户、数据文件、软件和硬件设置唯一的机器可识别的标识符,使这些组件在预先建立的存取控制规则的控制下进行运作。
(2)系统存取控制,是对处理状态下的信息进行保护的措施,它通过对所有直接存取活动进行授权的措施,对访问系统或系统资源(如数据库)的程序和行为进行是否合法的检查。
(3)隔离技术,其目的在于堵住安全缺口。隔离技术使操作系统内受到破坏的部份不影响其它部份。
4、有用户身份识别措施,工作站开机有输入用户名、口令等要求。
5、系统用户信息要有异地备份,即备份信息不能存放在同一建筑物内,至少不能放在同一楼层,是否异地备份和备份的份数视信息数据的重要性和恢复的难度而定。
四、管理组织与制度安全
1、有专门的安全防范组织和计算机安全员。
2、有健全的安全管理规章制度,如机房安全管理制度、设备、数据管理制度及人员调离的安全管理制度等。例如在宣布人员调离的同时应马上收回钥匙、更换口令、取消帐户等,并向被调离人员申明其保密义务。
3、要有详尽的工作手册和完整的工作记录。
4、定期进行风险分析,制定灾难处理对策,如关键岗位人员的联络方法,备份设备如何取得,如何组织系统重建等。
5、建立有安全培训制度,进行计算机安全法律教育、职业道德教育及计算机安全常识教育。
6、制定有人员的安全管理制度,如关键岗位人员的定期考核、各部门人员职责的明确、参观中心机房人员的审批和陪同等。
五、安全技术措施
1、有灾难恢复的技术措施。这里所说的灾难,是指计算机系统受火灾、水灾或人为破坏而产生的严重的后果,灾难恢复是指灾难产生后迅速采取措施恢复计算机系统的正常运行。
2、采取开发工作与业务工作分离的措施
3、有应用业务、系统安全审计功能
4、有系统操作日志,如每天开、关机、设备运行状况等文字记录。
5、有服务器备份措施
6、有计算机防病毒措施,即计算机预防、清除病毒的软、硬件产品。
2003-09-27
金融机构计算机信息系统安全保护工作暂行规定(公安部、中国人民中国人民银行1998年8月31日发布)
第一章总则
第一条为加强金融机构计算机信息系统安全保护工作,保障国家财产的安全,保证金融事业的顺利发展,根据《中华人民共和国中国人民银行法》《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规制定本暂行规定。
第二条金融机构计算机信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范和技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现科学化、规范化管理。
第三条金融机构计算机信息系统安全保护工作的基本任务是:预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动,预防、处理各种安全事故,提高金融机构计算机信息系统的整体安全水平,保障国家、集体和个人财产的安全。
第四条金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。金融机构的计算机信息系统安全保护领导小组、专职部门和专(兼)职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。
第五条金融机构应当建立同公安机关计算机管理监察部门的通报联系制度,及时通报有关计算机信息系统案件和事故情况,协助公安机关查处与本单位有关的案件和事故。
第六条公安机关计算机管理监察部门应当加强对金融机构计算机信息系统安全保护工作实施的指导和监督,及时查处金融机构计算机信息系统发生的案件和事故。
第二章安全防范设施
第七条本暂行规定所称金融机构计算机信息系统安全防范设施包括计算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的技术防护设施。
第八条金融机构的数据处理中心计算机主机房应当符合下列基本要求:
(一)主机房在建筑内应为独立区域。
(二)主机房周围100米内不得有危险建筑,如:加油站、煤气站等。
(三)主机房必须按照有关标准配置防火、防水、防盗设施并和当地公安机关110联网,以便报警。
(四)对不能停机的主机房必须采用双回路供电,或者配置发电机、持续工作八小时以上的UPS等设施。
第九条计算机设备必须有可靠接地,接地电阻不大于相应设备的技术要求,并装置必要的防雷电设施。
第十条金融机构应当在主机房、柜面等要害部位安装监控设备,落实值班监视制度。
第十一条对不能停机的计算机信息系统,金融机构应当配置必要的备份机,以便故障时切换使用。
第十二条重要的通讯控制装置及通讯线必须要有备份。
第十三条网络通讯设施要有安全技术措施。
第三章安全防范管理
第十四条中国人民银行和各政策性银行、商业银行应当加强信息科技管理部门,并设立专职的计算机信息系统安全管理人员。
第十五条县级以上金融机构必须成立计算机信息系统安全保护领导小组,由分管领导任组长,并确定专职部门负责日常的计算机信息系统安全保护工作。领导小组名单应当报同级人民银行计算机信息系统安全保护领导小组和公安机关计算机管理监察部门备案。其专职部门应当接受公安机关计算机管理监察部门的工作指导和监督。
第十六条金融基层单位应当设立专职或者兼职计算机信息系统安全管理人员。
第十七条各级金融机构应当将计算机信息系统安全防范工作纳入职工的岗位责任制,并与其他工作同时进行检查考核。定期对职工进行法制教育、安全意识教育和防范技能训练。
第十八条计算机信息系统安全保护领导小组负责本单位内各部门计算机信息系统安全管理和检查,并积极配合和支持公安机关计算机管理监察部门开展安全监察和查处案件。
第十九条计算机信息系统安全保护专职部门或者安全管理人员应当对本单位的主要计算机信息系统资源配置、技术人员构成进行登记,报同级公安机关计算机管理监察部门备案。
第二十条金融机构应当加强主要岗位工作人员的录用、考核制度,不适宜的人员必须及时调离。对重要岗位计算机信息系统的安全情况经常进行检查,及时整改不安全隐患。
第二十一条计算机工作人员调离时,必须移交全部技术手册及有关资料,并更换计算机的有关口令和密钥。涉及银行业务核心部分开发的技术人员调离本系统时,应当确认对本系统安全不会造成危害后方可调离。
第二十二条金融机构应当对与计算机有关的卫星天线、电源接口、通信接口等设备进行定期检查维护。
第二十三条金融机构应当建立计算机主机房的值班及人员出入管理登记等制度。
第二十四条金融机构应当建立操作人员密码制度,分清各自责任。密码修改要有记录。
第二十五条金融机构应当实行权限分散原则。明确系统管理员、系统操作员、终端操作员、程序员的权限和操作范围。建立系统运行日志,每天打印重要的操作清单。日志信息长期保存,以备稽查。
第二十六条金融机构应当对易受病毒攻击的计算机信息系统,定期进行病毒检查。用介质交换信息要按规定手续管理,并进行病毒预检,防止病毒对系统和数据的破坏。
第二十七条金融机构对证券交易、储蓄、会计等业务的计算机数据处理,应当建立严格的管理措施,以防止各类事故的发生。
第二十八条金融机构应当用软、硬件技术严格控制各级用户对数据信息的访问权限,包括访问的方式和内容。
第二十九条金融机构应当对重要的数据建立数据备份制度,并做到异地保存。
第三十条金融机构应当对贮有重要数据的故障设备,交外单位人员修理时,本单位必须派专人在场监督。
第三十一条金融机构应当建立废弃数据、介质的处理制度。
第三十二条金融机构修改金融业务程序和系统参数,必须履行一定的审批手续,并做好文档资料的相应修改。
第三十三条金融机构的开发系统应当和业务系统分离,程序员只能在开发系统上工作。业务用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。
第三十四条系统管理员不能兼任柜面及事后稽核等工作,不得参与相关软件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。
第三十五条金融机构启用新的应用软件,应当按规定手续交系统维护人员安装到业务系统,并做好日志记录。
第三十六条重要系统应用软件运行过程中出现异常现象,金融机构应当立即报告本级银行安全管理职能部门,做好详细记录,经领导同意后,由系统管理人员进行检查、修改、维护。
第三十七条金融机构应当建立定期的系统和程序备份制度,异地保存两个以上最新的版本及其目录打印清单,以备系统和程序的恢复。
第三十八条金融机构对重要的业务系统及设备,必须制定应急情况处理方案。
第三十九条金融机构对联网的计算机及其网络设备和通讯设备的安装、使用,应当建立严格的管理措施,以防“黑客”的侵袭。
第四十条金融机构对重要通信应当采用加密措施,并定期更换通讯密钥。重要线路应当采用专线联接方式或者虚拟专线联接方式。
第四十一条金融机构应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施,以防止密钥的失密。
第四十二条金融机构对与国际联网的计算机信息系统,要按有关规定向公安机关登记备案。对生产机以及存放重要数据的计算机不得以任何方式与国际互联网联网。
第四十三条公安机关应当定期对金融机构的计算机信息系统进行检查,发现有影响计算机信息系统安全的隐患时,应当及时通知该金融机构。
第四十四条公安机关应当对金融机构的计算机信息系统安全管理人员进行安全知识培训,并颁发《计算机安全员上岗证》,并协助金融机构建立、完善计算机信息系统安全保护制度。
第四章事故与案件的处理
第四十五条金融机构计算机信息系统发生重大事故,应当立即报告本单位计算机信息系统安全保护领导小组和专职部门,并填写《计算机事故申报表》,报同级公安机关计算机管理监察部门和人民银行计算机信息系统安全保护领导小组。
第四十六条金融机构发现计算机犯罪案件,应当立即向当地公安机关报案,并保护好发案现场。发现其他不属公安机关管辖的案件,要将主要案情通报当地公安机关。
第四十七条公安机关接到金融单位报案后,应当立即派人赶赴现场,查处案件。
第五章奖励与处罚
第四十八条执行本暂行规定,在金融机构计算机信息系统安全保护工作中成绩显著的单位和个人,由上级金融主管部门、本单位或者公安机关给予表彰、奖励。
第四十九条违反本暂行规定,存在计算机信息系统安全隐患的金融机构,由公安机关发出整改通知,限期整改。因不及时整改而发生重大案件和事故的,由上级金融主管部门对该单位的主管负责人和直接责任人予以行政处分;构成违反治安管理或者计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司法机关依法追究刑事责任。
第六章附则
第五十条本暂行规定由公安部和中国人民银行负责解释。
第五十一条本暂行规定自发布之日起施行。
计算机信息系统安全管理制度范本
计算机信息系统安全 管理制度 2008年8月
目录 第一章总则 (3) 第二章系统管理人员的职责 (3) 第三章机房管理制度 (4) 第四章系统管理员工作细则 (4) 第五章安全管理员工作细则 (7) 第六章密钥管理员工作细则 (9) 第七章计算机信息系统应急预案 (10) 第八章附则 (10)
第一章总则 第1条依据《中华人民国保守国家秘密法》和有关规定,为进一步加强本单位计算机信息系统安全管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的工作坚持积极防、突出重点,既确保国家秘密安全又有利于信息化发展的方针。 第4条涉密计算机信息系统的安全工作实行分级保护与分类管理相结合、行政管理与技术防相结合、防外部与控制部相结合的原则。 第5条涉密计算机信息系统的安全管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防。 第8条安全管理员负责网络信息系统的安全技术管理,主要职责是:网络信息安全策略管理; 网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规
信息系统口令密码和密钥管理
信息系统口令密码和密钥 管理 The final edition was revised on December 14th, 2020.
信息系统口令、密码和密钥管理 1范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1994 国务院中华人民共和国计算机信息系统安全保护条例 国务院273号令商用密钥管理条例 1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定 2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法(试行) 2006 公司信息网防病毒运行统计管理规范(试行) 2006 公司信息网用户行为规范(试行) 3术语与定义 以下术语和定义适用于本标准。 信息系统 信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。 密钥 密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。4职责 信息中心职责 4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。 信息中心各专职职责 4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。 4.1.4 主机管理员负责主机、数据库系统的账号、口令的设置和更改。 4.1.5 应用系统管理员负责应用系统的账号、口令的设置和更改。 4.1.6 网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
计算机信息系统集成
计算机信息系统集成 计算机信息系统集成企业资质认证 法律依据 《国务院对确需保留的行政审批项目设定行政许可的决定》(国务院412号令) 实施主体 工业和信息化部 受理单位 工业和信息化部计算机信息系统集成资质认证工作办公室(简称部资质办) 许可条件: 一、一级资质申请条件 (一)综合条件 1、企业变革发展历程清晰,从事系统集成四年以上,原则上应取得计算机信息系统集成二级资质一年以上; 2、企业主业是系统集成,系统集成收入是企业收入的主要来源; 3、企业产权关系明确,注册资金2000万元以上; 4、企业经济状况良好,近三年系统集成年平均收入超过亿元,财务数据真实可信,并须经国家认可的会计师事务所审计; 5、企业有良好的资信和公众形象,近三年没有触犯知识产权保护等国家有关法律法规的行为。 (二)业绩 1、近三年内完成的、超过200万元的系统集成项目总值3亿元以上,工程按合同要求质量合格,已通过验收并投入实际应用; 2、近三年内完成至少两项3000万元以上系统集成项目或所完成1500万元以上项目总值超过6500万元,这些项目有较高的技术含量且至少应部分使用了有企业自主知识产权的软件; 3、近三年内完成的超过200万元系统集成项目中软件费用(含系统设计、软件开发、系统集成和技术服务费用,但不含外购或委托他人开发的软件费用、建筑工程费用等)应占工程总值30%以上(至少不低于9000万元),或自主开发的软件费用不低于5000万元; 4、近三年内未出现过验收未获通过的项目或者应由企业承担责任的用户重大投诉; 5、主要业务领域的典型项目在技术水平、经济效益和社会效益等方面居国内同行业的领先水平。 (三)管理能力
公司计算机信息系统管理制度
建筑公司计算机信息系统管理制度 第一条:为了保护公司计算机信息系统安全,促进公司计算机应用和发展,根据国家有关法律、法规,结合实际,特制定本制度。 第二条:本规定所称计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施和运行环境的安全,确保计算机功能的正常发挥,维护计算机信息系统的安全运行,保障信息的安全,预防公司危害计算机信息系统安全的活动。 第四条:任何部门和个人,不得危害计算机信息系统的安全,不得利用计算机信息系统从事危害公司利益及其他组织的活动,不得利用计算机信息系统危害国家安全、泄露国家秘密。 第五条:计算机信息系统使用部门应当建立健全计算机信息系统安全管理制度,负责本部门计算机信息系统的安全保护工作。 第六条:公司综合办公室计算机管理员应对计算机信息系统安全保护工作实行指导、监督,其具体职责: (一)宣传计算机信息系统安全保护法律、法规和规章; (二)检查计算机信息系统安全保护工作; (三)管理计算机病毒和其他有害数据的防治工作; (四)监督、检查计算机信息系统安全专用产品购买活动;
第七条:计算机管理员在对计算机信息系统安全保护工作进行指导、监督中,发现计算机信息系统存在安全隐患,应当及时通知使用部门和个人采取安全保护措施。 第八条:计算机信息系统实行安全等级保护。计算机信息系统使用部门应当根据划定的安全等级,采取相应的安全保护措施。 第九条:根据信息的种类和性质,计算机信息系统处理的信息分为以下四个等级: (一)A级,即密级信息,含绝密信息、机密信息、秘密信息三个等级; (二)B级,即敏感信息; (三)C级,即内部管理信息; (四)D级,即公共信息。 信息等级的具体标准,由公司领导根据有关规定制定。 第十条:计算机信息系统使用部门应当将计算机信息系统处理的信息的种类和性质,采取相应方法进行文件加密等处理。 第十一条:计算机机房建设应当符合计算机防护标准和国家有关规定,应有相应的保密技术防范设备。在计算机机房附近施工或者进行其他活动,不得危害计算机信息系统的安全。 第十二条:任何单位和个人不得从事下列活动: (一)制作、故意传播计算机病毒等破坏性程序和其他有害数据; (二)未经使用部门负责人允许,进入计算机信息系统或者使用计算机信息系统资源;
计算机信息系统安全管理制度
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
信息系统密码管理规定
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统得安全性,保障信息系统得正常运行以及业务 数据安全,防止黑客攻击与用户越权访问,防止 公司重要信息得丢失、泄漏与破坏,建立科学、规 范得信息系统密码管理规范,特制定本规定。 第二条本制度所指信息系统密码,包括以下几种类型: 1.公司所有业务系统普通用户密码(包括NC、即时通 讯、上网行为、邮箱、视频会议等业务登录密码); 2.公司所有业务系统权限管理员与系统运维管理员密 码(包括业务系统、网站系统、邮箱系统、安全审计 系统、备份系统、虚拟化系统、防病毒安全系统、 视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、 网站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安全 系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其她网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整得多级权限管理体系。这些系统得最高权限 分配得其她权限得密码,也需遵守本规定; 第四条公司业务系统普通用户得密码设置规范要求如下:
1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A—Z)、数字(0-9)、 特殊字符(!#$%^&*)中得两种; 3.密码必须6个月更换一次,并且新密码不得与原密 码相同; 第五条对以下密码: 1.司所有业务系统权限管理员与系统运维管理员密 码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其她网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原 密码相同; 第六条信息系统密码设置规范得系统控制: 1.应用系统应控制密码得有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用得可能性; 2.用户密码唱得与编码规则限制。强行要求用户密码 符合长度与复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数.再密码错误输入三次 后,系统锁定登录用户。用火狐必须通知信息化部
计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定 第一章总则 第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统) 安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。 第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。 第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。 第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章管理机构与职责 第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。 第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责: (一)建立健全安全保密管理制度和防范措施,并监督检查落实情况; (二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。 第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、 党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成 员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。 第九条保密办主要职责: (一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施; (二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案; (三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求; (四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审; (五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是: (一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
信息系统口令、密码和密钥管理
信息系统口令、密码和密钥管理 1范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1994国务院中华人民共和国计算机信息系统安全保护条例 国务院273号令商用密钥管理条例 1998国家保密局中华人民共和国计算机信息系统保密管理暂行规定 2000国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003公司网络与信息安全管理办法(试行) 2006公司信息网防病毒运行统计管理规范(试行) 2006公司信息网用户行为规范(试行) 3术语与定义 以下术语和定义适用于本标准。 3.1 信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。 3.2 密钥 密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。 4职责 4.1信息中心职责 4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。 4.2信息中心各专职职责 4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。 4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。 4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。 4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。 5管理内容与要求 5.1主机与网络设备(含安全防护系统)口令、密码管理
计算机信息系统管理规定
计算机信息系统管理规定
计算机信息系统管理规定 第一章总则 第一条为进一步规范集团内部信息化管理,提高工作效率,使集团内部信息管理规范化、程序化、迅速快捷; 第二条集团计算机信息系统内容包括:机房、计算机硬件和软件、局域网、网页、集团网站、集团所有信息数据、互联网及其它一切与信息系统有关的使用和管理事项(包括台式计算机、笔记本计算机,服务器、UPS、网络交换机、网络路由器、防火墙、监控服务器、存储介质等)。 第三条集团计算机信息系统由信息科统一管理、维护对使用单位和个人进行业务指导、培训和考核,其它任何单位或个人请按照《计算机信息系统管理规定》使用和管理信息系统。 第四条集团计算机信息系统建设本着“总体规划、分步实施”的原则。系统建设应综合考虑成本费用、效率效果以及先进性和适用性。 第五条本制度只涉及微型以上档次的计算机管理,不包括工业过程控制的计算机管理。 第六条本制度适用集团公司及各事业部和分、子公司(以下简称集团各单位)。 第二章职责权限 第一条信息科负责集团与计算机信息有关的一切日常事务,主要职责:
(一)信息科负责机房和集团计算机信息系统的资产管理等日常事务; (二)负责计算机信息咨询、市场调查、信息系统长远规划,制定、执行、监督并实施信息系统相关规定; (三)负责各类计算机信息政策、信息资料、信息文件的收集与整理; (四)负责网络信息安全,计算机病毒防治,网络运行质量监控等相关事宜; (五)全程参与各类计算机信息系统硬件及其配件的计划、采购、维护和安装; (六)全程参与各类软件的开发、采购、安装及维护和使用指导; (七)制定集团计算机信息产品的使用标准和使用权限,经审批后组织实施; (八)负责集团网页设计、开发或与外单位合作开发集团网站。维护集团网页和网站的日常运作与安全管理,及时更新或提醒更新网页和网站的内容,确保网上内容的新颖性和时效性,监督使用国际互联网; (九)规划组织各类信息技术的咨询和培训,确保集团范围内计算机使用者拥有基本操作技能;并定期组织对集团各单位计算机使用水平的考核; (十)检查、监督集团范围内所有信息设备的管理和使用情况,确保各类信息资源的管理和使用符合集团的
GB17859-1999计算机信息系统安全保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则 1 范围 本标准规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。 2 引用标准 下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。 GB/T 5271 数据处理词汇 3 定义
除本章定义外,其他未列出的定义见GB/T 5271。 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel
计算机信息管理系统基本情况及功能说明
计算机信息管理系统基本 情况及功能说明 This model paper was revised by the Standardization Office on December 10, 2020
计算机信息管理系统基本情况及功能说明 山西福康源药业集团有限公司 基本情况 我公司使用的为用友时空医药管理软件。 用友时空在多年流通领域信息化平台研发的基础上,针对当前流通企业在快速发展过程中呈现出的管理模式创新多变、大规模快速扩张、降低运营成本获取规模效益等方面的特征,引入SOA理念,采用“工具平台化、体系架构化”的研发策略设计开发了KSOA流通企业信息融通平台(下文中简称“KSOA平台”)。 KSOA平台面向国内流通企业中高端客户,旨在以面向服务的、集成一体化的信息管理平台支撑流通企业差异化竞争、持续化发展战略的贯彻执行。 KSOA平台涵盖了流通企业经营中的业务职能、财务职能、人力资源管理职能、协同办公职能和决策支持职能等等。包括批发业务系统,连锁业务系统,零售业务系统,仓储管理系统,供应商在线自助系统,客户在线自助系统,网上在线购物系统,财务管理系统,协同办公系统,人力资源管理系统,应用服务系统等核心模块。 本《用户操作手册》对KSOA平台重点介绍包括KSOA平台涉及概念、通用单据操作说明、主要业务流程等内容,内容浅显易懂。用户在启用KSOA管理系统前,须仔细阅读本操作手册,了解各个子系统、各模块及功能情况,并在商品提供商的指导下实施、操作。
北京时空超越科技有限公司致各软件用户:请严格遵照本《用户操作手册》使用,对于因违反操作流程和规范所导致的系统问题,要求时空超越公司提供的任何相关的服务和支持,不列入商品售后服务的免费服务范畴。 对于用户在实际系统操作中所遇到,本《用户操作手册》中未有涉及的相关操作,请与北京时空超越公司技术部取得联系,获得相应解决办法及操作指导。 第一部分:平台整体概述 1.1第一章单据中出现的名词 账:账的概念来源于实际业务处理和企业会计核算方法,其表现形式与会计核算所使用账簿账页格式类似。根据核算对象不同分为商品总账、货位商品账、往来 账等。 货位:是为了明显标出些商品所在的位置,以便规范管理、统计分析、查询分类,货位可以根据用户需要灵活设置,既可以标示商品作在物理位置,也可以标示 商品所在虚拟位置。KSOA平台中货位字段西文名称是“hw”。 批号:是指用于识别“批”的一组数字或字母加数字,用以追溯和审查该批药品的生产历史。KSOA平台中批号字段西文名称是“pihao”。 保质期:的保质期是指商品在条件下的质量保证期限。商品的保质期由提供,标注在限时使用的商品上。在保质期内,商品的生产企业对该商品质量符合有关标 准或明示担保的质量条件负责,销售者可以放心销售这些商品,消费者可以 安全使用。保质期在单据明细项中相应字段是“baozhiqi”字段。 商品淘汰:流通企业在经营过程中,对于因各种原因(如滞销等)不适合销售的商品
《计算机信息系统安全保护等级划分准则》
GB17859-1999《计算机信息系统安全保护等级划分准则》 发布时间:2009-07-23 作者:国家质量技术监督局 1、范围 本标准规定了计算机信息系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级; 本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强. 2、引用标准 下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T5271 数据处理词汇 3、定义 出本章定义外,其他未列出的定义见GB/T5271. 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统. 3.2计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道/ 3.9 访问监控器reference monitor 监控器主体和客体之间授权访问关系的部件。 4 、等级划分准则 4.1第一级用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破坏。 4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。 4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。 4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。 4.2 第二级系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制
信息系统帐户密码管理规定
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
信息系统的类型
信息系统的类型 □信息系统的基本类型 信息系统可以是人工的或基于计算机的,独立的或综合的,成批处理的或联机的。通常的信息系统是上述各种类型的组合。当然它不能即是独 1.独立的系统是为了满足某个特定的应用领域(如,人事管理)而设计 2.综合的信息系统通过它们使用的数据而被综合在一起。系统利用一个资源共享的数据库来达到综合的目的。例如,工资系统要求正常地从人 3.以人工系统为基础已经开发出各种各样的计算机信息系统。到目前为止,在进行人工“计算机化”时,仍然缺乏设计经验和(或)缺少信息服务人员与用户之间的交流。也就是说,基于计算机的系统的工作流程直接借鉴了人工系统的工作流程。通常这些系统是独立的,而且把计算机仅仅用作为数据处理机。在设计这些系 4.信息系统也能按成批处理、联机处理或二者组合来分类。在成批处理系统中,将事务和数据分批地处理或产生报表。例如,银行将大量的支票编码,然后在一天结束时,将所在支票分批、排序并进行处理。又如,为了防止航空公司在塔拉斯一个售票点与在亚特兰大的另一个售票点同时出售从洛杉矶到旧金山的某一航班的最后一张机票,航空公司系统订票必须是联机的,以反映数据库当前的状态。多数联机信息系统也有成批处
即使出现了信息资源管理(IRM)系统,而且计算机信息系统的潜力得 到了广泛的承认之后,大多数系统仍然是独立的成批处理系统。如今这些 系统中多数已经失去了使用价值,而且被重新设计成综合的、联机的系统。通过定义可知,“综合”要求业务领域经理和公司领导密切地合作。信息 服务专业人员可以作为顾问,而有关综合信息系统与业务领域的冲突和差 异则应该由用户团体来解决。解决这些差异以真正实现综合的环境是信息 □社会团体的信息系统 在每个社会团体的每个专业领域都能发现数据处理系统或信息系统 的潜力。下面我们按社会团体列举出这些实行计算机化的专业或应用领域。对于某种程度在专业上相近的系统多数可以综合在一起(例如,工资,会计和人事)。下面给出的清单只是为了说明可能的应用领域,并不包括 1.通用系统:(1)工资 (2)收帐 (3)付帐 (4)总帐 (5)库存管理 和控制 (6)人力资源开发 (7)预算 (8)财务分析 (9)采购 (10)字 2.制造业:(1)定货输入和处理 (2)分配和发送 (3)生产调度 (4) 制造资源计划(MRP,通常又称物料需求) (5)市场分析 (6)计算机辅助 设计(CAD) (7)计算机辅助制造(CAM) (8)项目管理和控制 (9)成本标 3.保健:(1)病人结帐 (2)病房统计 (3)配方(包括药剂的相互影响) (4)护士站调度(5)诊断 (6)入院管理 (7)
计算机信息系统管理制度.doc
12计算机信息系统管理制度1 附件12: 湖南财润投资有限公司 计算机信息系统管理制度 第一章总则 第一条为了加强公司计算机信息系统管理,保障公司内部计算机信息系统安全、有效运行,根据国家相关法律、法规和政府有关规定,特制订本制度。 第二条本制度所称计算机信息系统包括计算机硬件系统、软件系统和网络系统。 第三条本制度所称计算机硬件系统及外设包括:计算机主机、显示器、打印机、扫描仪、投影仪、便携电脑、移动存储设备(U盘、移动硬盘等)等。 第四条本制度所称软件系统包括:计算机系统软件和应用软件。软件系统的建设过程包括软件系统的购臵或开发、验收过程。 第五条本制度所称网络系统包括:基于Intelnet和Intranet 的技术理论,由路由器、交换机、防火墙等网络设备和布线系统组成的内部和外部网络系统。 第六条公司各部门应严格执行国家信息安全相关标准,积极推进信息安全标准化,实行信息安全等级保护。
第七条公司内使用计算机信息系统的员工必须遵守本 制度规定,防范和控制信息系统风险,保护公司重要文件和数据的安全。 第二章硬件系统管理规定 第八条各部门申请计算机硬件系统及外设采购按以下流程办理: 1、由各部门提出计算机硬件系统及外设的品牌、型号及配臵需求,提交行政事务部审核; 2、行政事务部审核品牌、型号及配臵后,确定采购方案; 3、行政事务部确定的采购方案,分别报送行政事务部领导、财务管理部领导会签,然后送公司领导审批; 4、行政事务部负责寻找报价最低且服务良好的合格供应商进行设备采购,并对购臵的计算机硬件系统及外设进行验收,在安装、调试正常后,财务管理部进行账务处理和固定资产登记。 第九条行政事务部和财务管理部应不定期对信息化资产进行联合盘点、核查,确保账实相符。 第十条各部门计算机硬件系统及附属设备由行政事务部负责统一维护、保养,行政事务部应建立专门的设备档案备查。 第十一条计算机硬件系统及外设维护维修按以下流程办理: 1、公司内计算机系统及外设发生故障后,先向行政事务部
计算机信息系统安全和保密管理制度
计算机信息系统安全和保密管理制度 1 计算机信息系统安全和保密管理制度 为进一步加强我局计算机信息系统安全和保密管理,保障计算机信息系统和数据的安全,特制定本制度。 第一条严格落实计算机信息系统安全和保密管理工作责任制,各部门负责人为信息安全系统第一责任人。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各处室在其职责范围内,负责本单位计算机信息系统安全和保密管理。 第二条办公室是全局计算机信息系统安全和保密管理的职能部门,信息中心具体负责技术保障工作。 第三条局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属涉密网;外网专用于各处室和个人浏览国际互联网,属非涉密网。上内网的计算机不得再上外网,涉及国家秘密的信息应当在制定的涉密信息系统中处理。 第四条购置计算机及相关设备须按照保密局指定的有关参数指标,信息中心将新购置的计算机及相关设备的有关信息参数登记备案后,经办公室验收后,方可提供上网IP 地接入机关局域网。 第五条计算机的使用管理应符合下列要求: (一)严禁同一计算机既上互联网又处理涉密信息; (二)信息中心要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案; (三)设置开机口令,长度不得少于8 个字符,并定期更换,防止口令被盗;
(四)安装正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序; (五)未经信息中心认可,机关内所有办公计算机不得修改上网IP 地址、网关、DNS服务器、子网掩码等设置; (六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息; (七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有涉密信息的手提电脑外出的,必须确保涉密信息安全。 第六条涉密移动存储设备的使用管理应符合下列要求: (一)分别由各处室兼职保密员负责登记,做到专人专用专管,并将登记情况报综合处备案; (二)严禁涉密移动存储设备在内、外网之间交叉使用; (三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码; (四)鼓励采用密码技术等对移动存储设备中的信息进行保护; (五)严禁将涉密存储设备带到与工作无关的场所。 第七条数据复制操作管理应符合下列要求: (一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀 病毒、木马等恶意代码,严防病毒等传播; (二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措
信息系统密码管理规定
信 息系统密码管 理规定 为了加强风险管理,强化保密工作,提高公司信息系统的安全性, 保障信息系统的正常运行以及业务数据安全,防止黑客攻击和用户 越权访问,防止公司重要信息的丢失、泄漏和破坏,建立科学、规 范的信息系统密码管理规范,特制定本规定。 员密码; 应用系统服务器、数据库、网络系统,自身包含有完整的多级权限 管理体系。这些系统的最高权限分配的其他权限的密码,也需遵守 本规定; 密码必须包含字母(a-z,A-Z ))数字(0-9 )、特殊字符(!@#$%八& 中 的两种; 第一条 第二条 本制度所指信息系统密码,包括以下几种类型: 1. 公司所有业务系统普通用户密码(包括 NG 即时通讯、上网行为、邮 箱、视频会议等业务登录密码) 2. 公司所有业务系统权限管理员和系统运维管理员密码(包括业务系统、 网站系统、邮箱系统、安全审计系统、备份系统、虚拟化系统、防病毒 安全系统、视频会议系统、存储系统等后台管理密码) 3. 应用服务器管理密码(包括运行业务系统服务器、网站服务器、邮件服 务器、安全审计系统服务器、备份系统服务器、虚拟化系统服务器、防 病毒安全系统服务器、存储设备等登录密码) 4.系统数据库管理员密码; 5. 其他网络应用及网络系统(路由器、交换机、上网行为、 VPN 等)管理 第三条 第四条 公司业务系统普通用户的密码设置规范要求如下: 1. 密码长度不得低于6位; 2.
3.密码必须6个月更换一次,并且新密码不得与原密码相同; 第五条对以下密码: 1. 司所有业务系统权限管理员和系统运维管理员密码; 2. 应用服务器管理密码; 3. 系统数据库管理员密码; 4. 其他网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原密码相同; 第六条信息系统密码设置规范的系统控制: 1.应用系统应控制密码的有效期,通过设置,强行要求用户定期进行密码 修改,减少密码被盗用的可能性; 2.用户密码唱的和编码规则限制。强行要求用户密码符合长度和复杂性要 求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数。再密码错误输入三次后,系统锁定登录用 户。用火狐必须通知信息化部门解除锁定。 第七条公司引进、购买或者自主幵发的所有业务系统,均按照本办法第六条的要求,完善密码管理功能模块。 第八条所有业务系统各类用户可自行修改密码。密码应妥善保管,不得公幵或告知他人。如果遗忘,应及时联系信息化相关管理人员重新设 置。 第九条信息系统服务器操作系统管理员、系统数据库管理员和公司网络服务器管理员密码应由不同人员分别掌控。
计算机信息系统保密管理规定
xxxxxx公司 计算机信息系统保密管理规定 编制: 审核: 批准:
xxxxx公司计算机信息系统保密管理规定 第一章总则 第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。 第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。 第三条本规定包括:信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。 第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。 第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。各部门负责本部门计算机信息系统及涉密信息的安全保密工作。 第二章台账、维修、报废管理 第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。 第七条各部门应建立本部门计算机和信息系统分台账。由各部门负责统计、维护和管理。 第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。 第九条台账信息按照设备分类,应包含以下信息: ㈠计算机台账应当包含:密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。 ㈡存储介质台账应当包含:责任人、名称、型号、密级、启用时间、标识和警示语以及销毁时间;见附表十。