- 目錄
包括哪些
信息安全培訓(xùn)管理制度旨在確保公司員工充分理解和掌握信息安全的基本原則,預(yù)防和應(yīng)對潛在的信息安全威脅。該制度涵蓋了以下幾個(gè)核心部分:
1. 新員工入職培訓(xùn)
2. 定期復(fù)訓(xùn)與更新
3. 實(shí)戰(zhàn)演練
4. 培訓(xùn)效果評估
培訓(xùn)內(nèi)容
1. 基礎(chǔ)知識(shí):涵蓋密碼安全、防病毒、網(wǎng)絡(luò)釣魚防范、數(shù)據(jù)加密等基礎(chǔ)概念。
2. 公司政策:明確公司的信息安全政策和規(guī)定,如訪問權(quán)限、數(shù)據(jù)保護(hù)、設(shè)備管理等。
3. 法規(guī)遵從:講解相關(guān)法律法規(guī),如《網(wǎng)絡(luò)安全法》等,強(qiáng)調(diào)合規(guī)性的重要性。
4. 應(yīng)急響應(yīng):教授如何識(shí)別和報(bào)告安全事件,以及初步的應(yīng)急處理措施。
5. 案例分析:通過實(shí)際案例,讓員工理解信息安全事故的后果及預(yù)防措施。
應(yīng)急預(yù)案
為應(yīng)對可能的信息安全事件,公司需建立完善的應(yīng)急預(yù)案,包括:
1. 緊急聯(lián)絡(luò)機(jī)制:設(shè)定明確的緊急聯(lián)絡(luò)人和流程,確保信息能在第一時(shí)間傳遞。
2. 數(shù)據(jù)恢復(fù)計(jì)劃:定期備份關(guān)鍵數(shù)據(jù),以備數(shù)據(jù)丟失或損壞時(shí)快速恢復(fù)。
3. 系統(tǒng)隔離策略:一旦發(fā)現(xiàn)安全漏洞,立即隔離受影響的系統(tǒng),防止威脅擴(kuò)散。
4. 后續(xù)處理:制定詳細(xì)的調(diào)查、修復(fù)和改進(jìn)計(jì)劃,確保事件得到妥善解決。
重要性
信息安全培訓(xùn)不僅是法規(guī)要求,更是保障公司業(yè)務(wù)連續(xù)性和聲譽(yù)的關(guān)鍵。其重要性體現(xiàn)在:
1. 防范風(fēng)險(xiǎn):通過培訓(xùn),員工能識(shí)別和避免日常工作中可能的安全隱患,減少數(shù)據(jù)泄露和系統(tǒng)破壞的風(fēng)險(xiǎn)。
2. 提升效率:了解并遵守信息安全規(guī)定,可以避免因誤操作導(dǎo)致的系統(tǒng)故障,提高工作效率。
3. 保護(hù)資產(chǎn):信息安全直接關(guān)乎公司的知識(shí)產(chǎn)權(quán)、客戶資料等核心資產(chǎn),培訓(xùn)有助于構(gòu)建堅(jiān)固的防護(hù)屏障。
4. 增強(qiáng)信任:良好的信息安全記錄能增強(qiáng)內(nèi)外部對公司的信任,提升品牌形象。
信息安全培訓(xùn)管理制度的實(shí)施對于公司的穩(wěn)定運(yùn)營至關(guān)重要。各級(jí)管理層應(yīng)高度重視,確保制度的有效執(zhí)行,共同維護(hù)公司的信息安全環(huán)境。
信息安全培訓(xùn)管理制度范文
第1篇 信息安全管理政策業(yè)務(wù)培訓(xùn)制度
第一章信息安全政策
一、計(jì)算機(jī)設(shè)備管理制度
1.計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境,禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。
2.非我司技術(shù)人員對我司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí),必須由我司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修,須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。
3.嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計(jì)算機(jī)外部設(shè)備接口,計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向電腦負(fù)責(zé)部門報(bào)告,不允許私自處理或找非我司技術(shù)人員進(jìn)行維修及操作。
二、操作員安全管理制度
1.操作代碼是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級(jí)對數(shù)據(jù)存取進(jìn)行控制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設(shè)置根據(jù)不同應(yīng)用系統(tǒng)的要求及崗位職責(zé)而設(shè)置.
2.系統(tǒng)管理操作代碼的設(shè)置與管理:
(1)、系統(tǒng)管理操作代碼必須經(jīng)過經(jīng)營管理者授權(quán)取得;
(2)、系統(tǒng)管理員負(fù)責(zé)各項(xiàng)應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù),負(fù)責(zé)一般操作代碼的生成和維護(hù),負(fù)責(zé)故障恢復(fù)等管理及維護(hù);
(3)、系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等操作,必須有其上級(jí)授權(quán);
(4)、系統(tǒng)管理員不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作;
(5)、系統(tǒng)管理員調(diào)離崗位,上級(jí)管理員(或相關(guān)負(fù)責(zé)人)應(yīng)及時(shí)注銷其代碼并生成新的系統(tǒng)管理員代碼;
3.一般操作代碼的設(shè)置與管理
(1)、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成,應(yīng)按每操作用戶一碼設(shè)置。
(2)、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。
(3)、操作員調(diào)離崗位,系統(tǒng)管理員應(yīng)及時(shí)注銷其代碼并生成新的操作員代碼。
三、密碼與權(quán)限管理制度
1.密碼設(shè)置應(yīng)具有安全性、保密性,不能使用簡單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼,也是保護(hù)用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼,操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日,重復(fù)、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串;
2.密碼應(yīng)定期修改,間隔時(shí)間不得超過一個(gè)月,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改,并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。
3.服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人(不參與系統(tǒng)開發(fā)和維護(hù)的人員)設(shè)置和管理,并由密碼設(shè)置人員將密碼裝入密碼信封,在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時(shí)在“密碼管理登記簿”中登記。
4.系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用。
5.有關(guān)密碼授權(quán)工作人員調(diào)離崗位,有關(guān)部門負(fù)責(zé)人須指定專人接替并對密碼立即修改或用戶刪除,同時(shí)在“密碼管理登記簿”中登記。
四、數(shù)據(jù)安全管理制度
1.存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須異地存放,并明確落實(shí)異地備份數(shù)據(jù)的管理職責(zé);
2.注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸安全和保密管理,保證存儲(chǔ)介質(zhì)的物理安全。
3.任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批,以保證備份數(shù)據(jù)安全完整。
4.數(shù)據(jù)恢復(fù)前,必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行,出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后,必須進(jìn)行驗(yàn)證、確認(rèn),確保數(shù)據(jù)恢復(fù)的完整性和可用性。
5.數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份,在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存,并確??梢噪S時(shí)使用。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期,避免對聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。
6.需要長期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案,根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存,防止存儲(chǔ)介質(zhì)過期失效,通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。
7.非我司技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí),必須由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修,須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前,需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除,并進(jìn)行登記。對修復(fù)的設(shè)備,設(shè)備維修人員應(yīng)對設(shè)備進(jìn)行驗(yàn)收、病毒檢測和登記。
8.管理部門應(yīng)對報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除,并妥善處理廢棄無用的資料和介質(zhì),防止泄密。
9.運(yùn)行維護(hù)部門需指定專人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作,建立我司的計(jì)算機(jī)病毒防治管理制度,經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查,發(fā)現(xiàn)病毒及時(shí)清除。
10.營業(yè)用計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來歷不明的載體(包括軟盤、光盤、移動(dòng)硬盤等)。
五、機(jī)房管理制度
1.進(jìn)入主機(jī)房至少應(yīng)當(dāng)有兩人在場,并登記“機(jī)房出入管理登記簿”,記錄出入機(jī)房時(shí)間、人員和操作內(nèi)容。
2.信息部人員進(jìn)入機(jī)房必須經(jīng)領(lǐng)導(dǎo)許可,其他人員進(jìn)入機(jī)房必須經(jīng)信息領(lǐng)導(dǎo)許可,并有有關(guān)人員陪同。值班人員必須如實(shí)記錄來訪人員名單、進(jìn)出機(jī)房時(shí)間、來訪內(nèi)容等。非信息部工作人員原則上不得進(jìn)入中心對系統(tǒng)進(jìn)行操作。如遇特殊情況必須操作時(shí),經(jīng)信息部負(fù)責(zé)人批準(zhǔn)同意后有關(guān)人員監(jiān)督下進(jìn)行。對操作內(nèi)容進(jìn)行記錄,由操作人和監(jiān)督人簽字后備查。
3.保持機(jī)房整齊清潔,各種機(jī)器設(shè)備按維護(hù)計(jì)劃定期進(jìn)行保養(yǎng),保持清潔光亮。
4.工作人員進(jìn)入機(jī)房必須更換干凈的工作服和拖鞋。
5.機(jī)房內(nèi)嚴(yán)禁吸煙、吃東西、會(huì)客、聊天等。不得進(jìn)行與業(yè)務(wù)無關(guān)的活動(dòng)。嚴(yán)禁攜帶液體和食品進(jìn)入機(jī)房,嚴(yán)禁攜帶與上機(jī)無關(guān)的物品,特別是易燃、易爆、有腐蝕等危險(xiǎn)品進(jìn)入機(jī)房。
6.機(jī)房工作人員嚴(yán)禁違章操作,嚴(yán)禁私自將外來軟件帶入機(jī)房使用。
7.嚴(yán)禁在通電的情況下拆卸,移動(dòng)計(jì)算機(jī)等設(shè)備和部件。
8.定期檢查機(jī)房消防設(shè)備器材。
9.機(jī)房內(nèi)不準(zhǔn)隨意丟棄儲(chǔ)蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料,對廢棄儲(chǔ)蓄介質(zhì)和業(yè)務(wù)保密資料要及時(shí)銷毀(碎紙),不得作為普通垃圾處理。嚴(yán)禁機(jī)房內(nèi)的設(shè)備、儲(chǔ)蓄介質(zhì)、資料、工具等私自出借或帶出。
10.主機(jī)設(shè)備主要包括:服務(wù)器和業(yè)務(wù)操作用pc機(jī)等。在計(jì)算機(jī)機(jī)房中要保持恒溫、恒濕、電壓穩(wěn)定,做好靜電防護(hù)和防塵等項(xiàng)工作,保證主機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。服務(wù)器等所在的主機(jī)要實(shí)行嚴(yán)格的門禁管理制度,及時(shí)發(fā)現(xiàn)和排除主機(jī)故障,根據(jù)業(yè)務(wù)應(yīng)用要求及運(yùn)行操作規(guī)范,確保業(yè)務(wù)系統(tǒng)的正常工作。
11.定期對空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo)(如風(fēng)量、溫升、濕度、潔凈度、溫度上升率等)進(jìn)行測試,并做好記錄,通過實(shí)際測量各項(xiàng)參數(shù)發(fā)現(xiàn)問題及時(shí)解決,保證機(jī)房空調(diào)的正常運(yùn)行。
12.計(jì)算機(jī)機(jī)房后備電源(ups)除了電池自動(dòng)檢測外,每年必須充放電一次到兩次。
第二章業(yè)務(wù)培訓(xùn)制度
一、培訓(xùn)制度
1、業(yè)務(wù)學(xué)習(xí)培訓(xùn)計(jì)劃由信息部根據(jù)年度工作計(jì)劃作出安排。
2、成立業(yè)務(wù)學(xué)習(xí)小組,定期組織業(yè)務(wù)學(xué)習(xí);
3、工作人員每年必須參加不少于15個(gè)課時(shí)的專業(yè)培訓(xùn)。
4、工作人員必須完成布置的學(xué)習(xí)計(jì)劃安排,積極主動(dòng)地參加信息部組織的業(yè)務(wù)學(xué)習(xí)活動(dòng)。
5、有選擇地參加其它行業(yè)和部門舉辦的專業(yè)培訓(xùn),鼓勵(lì)參加其它業(yè)務(wù)交流和學(xué)習(xí)培訓(xùn)。
6、支持、鼓勵(lì)工作人員結(jié)合業(yè)務(wù)工作自學(xué)。
二、培訓(xùn)內(nèi)容:
1.計(jì)算機(jī)安全法律教育
(1)、定期組織我司工作人員認(rèn)真學(xué)習(xí)《網(wǎng)絡(luò)安全制度》、《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)》等業(yè)務(wù)知識(shí),不斷提高工作人員的理論水平。
(2)、負(fù)責(zé)對企業(yè)的網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)。
(3)、定期的邀請上級(jí)有關(guān)部門和人員進(jìn)行信息安全方面的培訓(xùn),提高操作員的防范能力。
2.計(jì)算機(jī)職業(yè)道德教育
(1)、工作人員要嚴(yán)格遵守工作規(guī)程和工作制度。
(2)、不得制造,發(fā)布虛假信息,向非業(yè)務(wù)人員提供有關(guān)數(shù)據(jù)資料。
(3)、不得利用計(jì)算機(jī)信息系統(tǒng)的漏洞偷竊客戶資料,進(jìn)行詐騙和轉(zhuǎn)移資金。
(4)、不得制造和傳播計(jì)算機(jī)病毒。
3.計(jì)算機(jī)技術(shù)教育
(1)、操作員必須在指定計(jì)算機(jī)或指定終端上進(jìn)行操作。
(2)、機(jī)房管理員,程序維護(hù)員,操作員必須實(shí)行崗位分離,不得串崗,越崗。
(3)、不得越權(quán)運(yùn)行程序,不得查閱無關(guān)參數(shù)。
(4)、發(fā)現(xiàn)操作異常,應(yīng)立即向機(jī)房管理員報(bào)告。
三、培訓(xùn)方法:
1.結(jié)合專業(yè)實(shí)際情況,指派有關(guān)人員參加學(xué)習(xí)。
2.有計(jì)劃有針對性,指派人員到外地或外單位進(jìn)修學(xué)習(xí)。
3.舉辦專題講座或培訓(xùn)班,聘請有關(guān)專家進(jìn)行講課。
4.所有上崗工作人員或換崗工作人員應(yīng)經(jīng)過培訓(xùn)考核合格,方能上崗。
5.自訂學(xué)習(xí)計(jì)劃,參加專業(yè)函授學(xué)習(xí)成績及時(shí)反饋有關(guān)部門,良好學(xué)業(yè)者給予獎(jiǎng)勵(lì)。
第2篇 信息安全教育培訓(xùn)管理制度
第一條 為加強(qiáng)我局信息安全建設(shè),提高全體稅務(wù)干部的信息安全意識(shí)和技能,保障我局信息系統(tǒng)安全穩(wěn)定的運(yùn)行,特制定本制度。
第二條 信息安全培訓(xùn)旨在強(qiáng)化我局全體稅務(wù)干部的信息安全意識(shí),使之明確信息安全是每個(gè)人的責(zé)任,并掌握其崗位所要求的信息安全操作技能。
第三條 針對不同的培訓(xùn)對象進(jìn)行分層次的培訓(xùn),信息安全培訓(xùn)分為管理層培訓(xùn)、技術(shù)層培訓(xùn)和普通用戶層培訓(xùn)三個(gè)層面,分層培訓(xùn)內(nèi)容的參考范圍和需達(dá)到的標(biāo)準(zhǔn)如下:
一、管理層信息安全培訓(xùn)
(一)對象:市局、各區(qū)縣局的各級(jí)領(lǐng)導(dǎo)。
(二)內(nèi)容:宏觀信息安全管理理念及高級(jí)信息安全管理知識(shí)。
(三)標(biāo)準(zhǔn):使管理層人員能夠了解其信息安全職責(zé),具備其工作所需的信息安全管理知識(shí)和信息安全管理能力。
二、技術(shù)層信息安全培訓(xùn)
(一)對象:各級(jí)信息化管理部門的各類技術(shù)管理人員。
(二)內(nèi)容:系統(tǒng)安全策略; 內(nèi)部和外部攻擊的檢測;常用計(jì)算機(jī)及網(wǎng)絡(luò)安全保護(hù)手段、 日常工作中需要注意的信息安全方面的事項(xiàng); 《北京市地方稅務(wù)局信息系統(tǒng)安全管理框架》下包括的所有制度內(nèi)容。
(三)標(biāo)準(zhǔn):使技術(shù)層人員能夠了解其所從事崗位的信息安全職責(zé),熟悉與其工作相關(guān)的各項(xiàng)信息安全制度,具備工作所需的信息安全知識(shí)和技能。
三、普通用戶層信息安全培訓(xùn)
(一)對象:全局的普通計(jì)算機(jī)用戶。
(二)內(nèi)容:所在崗位的信息安全職責(zé);計(jì)算機(jī)病毒預(yù)防和查殺的基本技能;計(jì)算機(jī)設(shè)備物理安全知識(shí)和網(wǎng)絡(luò)安全常識(shí); 《北京市地方稅務(wù)局信息系統(tǒng)安全管理框架》下的所有普通用戶應(yīng)掌握和了解的制度內(nèi)容。
(三)標(biāo)準(zhǔn):使普通用戶了解其信息安全職責(zé),熟悉與工作相關(guān)的各項(xiàng)信息安全制度,具備工作所需的信息安全知識(shí)和技能。
第四條 各單位信息安全管理部門和人事教育部門負(fù)責(zé)每年制定管理層和普通用戶層的信息安全培訓(xùn)計(jì)劃
第3篇 信息安全管理政策和業(yè)務(wù)培訓(xùn)制度
第一章信息安全政策
一、計(jì)算機(jī)設(shè)備管理制度
1.計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境,禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。
2.非我司技術(shù)人員對我司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí),必須由我司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修,須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。
3.嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計(jì)算機(jī)外部設(shè)備接口,計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向電腦負(fù)責(zé)部門報(bào)告,不允許私自處理或找非我司技術(shù)人員進(jìn)行維修及操作。
二、操作員安全管理制度
1.操作代碼是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級(jí)對數(shù)據(jù)存取進(jìn)行控制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設(shè)置根據(jù)不同應(yīng)用系統(tǒng)的要求及崗位職責(zé)而設(shè)置.
2.系統(tǒng)管理操作代碼的設(shè)置與管理:
(1)、系統(tǒng)管理操作代碼必須經(jīng)過經(jīng)營管理者授權(quán)取得;
(2)、系統(tǒng)管理員負(fù)責(zé)各項(xiàng)應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù),負(fù)責(zé)一般操作代碼的生成和維護(hù),負(fù)責(zé)故障恢復(fù)等管理及維護(hù);
(3)、系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等操作,必須有其上級(jí)授權(quán);
(4)、系統(tǒng)管理員不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作;
(5)、系統(tǒng)管理員調(diào)離崗位,上級(jí)管理員(或相關(guān)負(fù)責(zé)人)應(yīng)及時(shí)注銷其代碼并生成新的系統(tǒng)管理員代碼;
3.一般操作代碼的設(shè)置與管理
(1)、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成,應(yīng)按每操作用戶一碼設(shè)置。
(2)、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。
(3)、操作員調(diào)離崗位,系統(tǒng)管理員應(yīng)及時(shí)注銷其代碼并生成新的操作員代碼。
三、密碼與權(quán)限管理制度
1.密碼設(shè)置應(yīng)具有安全性、保密性,不能使用簡單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼,也是保護(hù)用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼,操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日,重復(fù)、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串;
2.密碼應(yīng)定期修改,間隔時(shí)間不得超過一個(gè)月,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改,并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。
3.服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人(不參與系統(tǒng)開發(fā)和維護(hù)的人員)設(shè)置和管理,并由密碼設(shè)置人員將密碼裝入密碼信封,在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼,必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須立即更改并封存,同時(shí)在“密碼管理登記簿”中登記。
4.系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用。
5.有關(guān)密碼授權(quán)工作人員調(diào)離崗位,有關(guān)部門負(fù)責(zé)人須指定專人接替并對密碼立即修改或用戶刪除,同時(shí)在“密碼管理登記簿”中登記。
四、數(shù)據(jù)安全管理制度
1.存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須異地存放,并明確落實(shí)異地備份數(shù)據(jù)的管理職責(zé);
2.注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸安全和保密管理,保證存儲(chǔ)介質(zhì)的物理安全。
3.任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批,以保證備份數(shù)據(jù)安全完整。
4.數(shù)據(jù)恢復(fù)前,必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行,出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后,必須進(jìn)行驗(yàn)證、確認(rèn),確保數(shù)據(jù)恢復(fù)的完整性和可用性。
5.數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份,在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存,并確保可以隨時(shí)使用。數(shù)據(jù)清理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期,避免對聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。
6.需要長期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案,根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存,防止存儲(chǔ)介質(zhì)過期失效,通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。
7.非我司技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí),必須由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修,須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前,需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除,并進(jìn)行登記。對修復(fù)的設(shè)備,設(shè)備維修人員應(yīng)對設(shè)備進(jìn)行驗(yàn)收、病毒檢測和登記。
8.管理部門應(yīng)對報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除,并妥善處理廢棄無用的資料和介質(zhì),防止泄密。