第一章 總則
第一條 信息安全保密工作是公司運營與發(fā)展的基礎�����,是保障客戶利益的基礎�����,為給信息安全工作提供清晰的指導方向����,加強安全管理工作,保障各類系統(tǒng)的安全運行�����,特制定本管理制度。
第二條 本制度適用于分�����、支公司的信息安全管理�����。
第二章 計算機機房安全管理
第三條 計算機機房的建設應符合相應的國家標準���。
第四條 為杜絕火災隱患��,任何人不許在機房內吸煙�����。嚴禁在機房內使用火爐��、電暖器等發(fā)熱電器�。機房值班人員應了解機房滅火裝置的性能���、特點���,熟練使用機房配備的滅火器材��。機房消防系統(tǒng)白天置手動��,下班后置自動狀態(tài)�����。一旦發(fā)生火災應及時報警并采取應急措施�����。
第五條 為防止水患,應對上下水道�、暖氣設施定期檢查,及時發(fā)現并排除隱患���。
第六條 機房無人值班時�,必須做到人走門鎖�;機房值班人員應對進入機房的人員進行登記,未經各級領導同意批準的人員不得擅自進入機房�。
第七條 為杜絕嚙齒動物等對機房的破壞,機房內應采取必要的防范措施��,任何人不許在機房內吃東西,不得將食品帶入機房���。
第八條 系統(tǒng)管理員必須與業(yè)務系統(tǒng)的操作員分離���,系統(tǒng)管理員不得操作業(yè)務系統(tǒng)。應用系統(tǒng)運行人員必須與應用系統(tǒng)開發(fā)人員分離�,運行人員不得修改應用系統(tǒng)源代碼。
第三章 計算機網絡安全保密管理
第九條 采用入侵檢測��、訪問控制����、密鑰管理、安全控制等手段�����,保證網絡的安全�����。
第十條 對涉及到安全性的網絡操作事件進行記錄����,以進行安全追查等事后分析��,并建立和維護“安全日志”��,其內容包括:
1����、記錄所有訪問控制定義的變更情況��。
2����、記錄網絡設備或設施的啟動、關閉和重新啟動情況�。
3、記錄所有對資源的物理毀壞和威脅事件��。
4���、在安全措施不完善的情況下,嚴禁公司業(yè)務網與互聯(lián)網聯(lián)接���。
第十一條 不得隨意改變例如IP地址�、主機名等一切系統(tǒng)信息。
第四章 應用軟件安全保密管理
第十二條 各級運行管理部門必須建立科學的�����、嚴格的軟件運行管理制度�����。
第十三條 建立軟件復制及領用登記簿���,建立健全相應的監(jiān)督管理制度����,防止軟件的非法復制����、流失及越權使用,保證計算機信息系統(tǒng)的安全�;
第十四條 定期更換系統(tǒng)和用戶密碼,前臺(各應用部門)用戶要進行動態(tài)管理�����,并定期更換密碼。
第十五條 定期對業(yè)務及辦公用PC的操作系統(tǒng)及時進行系統(tǒng)補丁升級,堵塞安全漏洞�。
第十六條 不得擅自安裝���、拆卸或替換任何計算機軟����、硬件,嚴禁安裝任何非法或盜版軟件�。
第十七條 不得下載與工作無關的任何電子文件,嚴禁瀏覽黃色�、反動或高風險等非法網站。
第十八條 注意防范計算機病毒����,業(yè)務或辦公用PC要每天更新病毒庫。
第五章 數據安全保密管理
第十九條 所有數據必須經過合法的手續(xù)和規(guī)定的渠道采集�、加工、處理和傳播����,數據應只用于明確規(guī)定的目的,未經批準不得它用�,采用的數據范圍應與規(guī)定用途相符,不得超越�����。
第二十條 根據數據使用者的權限合理分配數據存取授權���,保障數據使用者的合法存取���。
第二十一條 設置數據庫用戶口令,并監(jiān)督用戶定期更改����;數據庫用戶在操作數據過程中,不得使用他人口令或者把自己的口令提供給他人使用���。
第二十二條 未經領導允許�����,不得將存儲介質(含磁帶�、光盤���、軟盤�����、技術資料等)帶出機房���,不得隨意通報數據內容�,不得泄露數據給內部或外部無關人員����。
第二十三條 嚴禁直接對數據庫進行操作修改數據。如遇特殊情況進行此操作時���,必須由申請人提出申請�����,填寫《數據變更申請表》��,經申請人所屬部門領導確認后提交至信息管理部��,信息管理部相關領導確認后����,方可由數據庫管理人員進行修改���,并對操作內容作好記錄�����,長期保存�����。修改前應做好數據備份工作�����。
第二十四條 應按照分工負責���、互相制約的原則制定各類系統(tǒng)操作人員的數據讀寫權限,讀寫權限不允許交叉覆蓋�����。
第二十五條 一線生產系統(tǒng)和二線監(jiān)督系統(tǒng)進行系統(tǒng)維護�����、復原�、強行更改數據時,至少應有兩名操作人員在場�,并進行詳細的登記及簽名。
第二十六條 對業(yè)務系統(tǒng)操作員權限實行動態(tài)管理��,確保操作員崗位調整后及時修改相應權限,保證業(yè)務數據安全�����。
