信息安全管理辦法（15篇范文）

發(fā)布時間：2023-12-17 21:56:11 查看人數(shù)：47

目錄
第1篇信息安全管理辦法第2篇以管理信息系統(tǒng)規(guī)范班組的安全管理第3篇信息安全等級保護管理辦法第4篇海港工程建設項目信息安全管理對策探析第5篇信息科技部-安全管理中心-安全運營崗工作職責與職位要求第6篇信息技術設備物理環(huán)境安全管理規(guī)定第7篇安全風險信息平臺工作管理辦法第8篇安全生產(chǎn)信息調(diào)度中心運行管理辦法第9篇安全異常信息快速反應管理辦法第10篇信息系統(tǒng)運行維護安全管理規(guī)定第11篇區(qū)二中網(wǎng)絡與信息安全管理應急預案第12篇iso27000信息安全管理體系審核員工作職責與職位要求第13篇信息系統(tǒng)安全管理規(guī)定第14篇安全信息閉合管理規(guī)定第15篇人員離崗離職信息安全管理規(guī)定

信息安全管理辦法

第1篇信息安全管理辦法

第一章??? 總則

第一條為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理，防范和化解信息系統(tǒng)的運行風險，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定，結合我農(nóng)商行實際情況，特制定本辦法。

第二條本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人，包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工，包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。

第三條信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結合和的原則、按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實單位與個人信息安全責任制。

第四條信息系統(tǒng)系統(tǒng)信息安全管理員，應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。

第五條任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章組織保障

第六條農(nóng)商行設立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責。

第七條根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組，領導小組辦公室設農(nóng)商行科技信息部，負責協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。第八條農(nóng)商行科技信息部門設立信息安全崗位，配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行指導和檢查督促。

第九條農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人，同時均應指定至少一名部門信息安全員，具體負責本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應的信息安全保障職責?？萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門，設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組，設立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十一條信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷，具有本科以上學歷。

第十二條信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核，培訓與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓。第十三條農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作：（一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。（二）審核信息化建設項目中的安全方案，組織實施信息安全保障項目建設，維護、管理信息安全專用設施。（三）檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。（四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。第十四條信息安全管理人員在履行職責時，確因工作需要查詢相關涉密信息，須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請，獲得批準后方可查詢。第十五條信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。

第十六條信息安全管理人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員，并報農(nóng)商行科技信息部備案。如有變更應做好交接工作，并及時通報科技信息部。第十八條部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項信息安全技能培訓。第十九條部門信息安全員在如下職責范圍內(nèi)開展工作：（一）負責本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。（二）負責提出本部門信息安全保障需求，及時與農(nóng)商行信息安全管理人員溝通信息安全信息。（三）負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術支持人員

第二十條本辦法所稱技術支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。第二十一條農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中，應承擔如下安全義務：（一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問，未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。（二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導，并及時響應、處置。（三）嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。第二十二條外部技術支持人員應嚴格履行外包服務合同（協(xié)議）的各項安全承諾。提供技術服務期間，嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程，關鍵操作應經(jīng)授權，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務系統(tǒng)操作人員

第二十三條本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。第二十四條業(yè)務系統(tǒng)操作人員應承擔如下安全義務：（一）嚴格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時進行必要的數(shù)據(jù)備份。（二）發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。（三）不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件，不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。第二十五條業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則，嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。

第五節(jié) 一般計算機用戶

第二十六條本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。第二十七條一般計算機用戶應承擔如下安全義務：（一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導與管理。（二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。（三）未經(jīng)科技信息部檢測和授權，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡；不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。

第二十九條本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。

第三十條要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術部門進行業(yè)務技能考核，合格者方可上崗。

第三十一條要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權”原則，嚴格設定各用戶的操作權限。

第三十二條對要害崗位人員應實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓。

第三十三條要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條系統(tǒng)管理員安全責任

（一）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴格用戶權限管理，維護系統(tǒng)安全正常運行；

（三）認真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條系統(tǒng)開發(fā)員安全責任

（一）系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料；

（三）不得對系統(tǒng)設置后門；

（四）對系統(tǒng)核心技術保密。

第三十七條系統(tǒng)維護員安全責任

（一）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第三十八條各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。

第四章機房環(huán)境和設備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

第三十九條本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。第四十條農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。第四十一條農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定，滿足下列基本安全要求：

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。

（三）機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應設專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十二條機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時，由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。第四十三條機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。

第四十四條計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施聯(lián)動監(jiān)控。

第四十五條監(jiān)控設備的安裝應符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十六條農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控，通過技術和管理手段，確保計算機機房及配套設施安全。第四十七條農(nóng)商行機房投入使用前，應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收，并出具明確結論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。第四十八條農(nóng)商行建立健全機房管理辦法，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓，熟知機房各類設備的分布和操作要領，定期巡查機房，發(fā)現(xiàn)問題及時報告。

第四十九條機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料，并隨時提供調(diào)閱。

第五十條農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準，并辦理登記手續(xù)，由專人陪同。

第五十一條建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。

第五十二條向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理，應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配置自動監(jiān)控報警功能。第五十三條所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月。

第二節(jié) 設備資產(chǎn)管理

第五十四條農(nóng)商行科技信息部建立完備的計算機設備登記辦法，嚴格資產(chǎn)管理，明確計算機設備使用者或管理者及其安全責任。第五十五條農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章網(wǎng)絡安全管理

第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理

第五十六條省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源（網(wǎng)絡設備、通訊線路、ip地址和域名等）分配。第五十七條農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案，投產(chǎn)前應通過本單位組織的安全測試。第五十八條農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求：（一）符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求，使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段，有效降低外部攻擊、信息泄漏等風險，保障網(wǎng)絡傳輸與應用安全。（二）具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。（三）根據(jù)信息安全級別，將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡運行安全管理

第五十九條農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法，配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況，管理網(wǎng)絡資源及其配置信息，建立健全網(wǎng)絡運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。

（一）負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則；

（二）安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權限，維護網(wǎng)絡安全正常運行；

（三）監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。

第六十條網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能，緊急情況下，經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。

第六十一條農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前，接入方案、設備的安全性等應經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應的網(wǎng)絡資源。第六十二條農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前，應書面請示本部門主管領導，變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更，應提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應急恢復準備。第六十三條農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請，并采取相應的安全防護措施。第六十四條信息安全管理人員經(jīng)本部門主管領導批準，有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。第六十五條農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則，合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。第六十七條網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準，任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。

第六十八條經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接，應采用必要的技術隔離保護措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。第七十條計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。第七十一條未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。第七十二條使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章信息系統(tǒng)安全管理

第七十三條本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十四條信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題，建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容：（一）業(yè)務需求部門提出的安全需求。（二）安全需求分析和實現(xiàn)。（三）運行平臺的安全策略與設計。

第七十五條信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制，在安全防護方面應符合下列基本安全要求：

（一）采取必要的技術手段，建立嚴密的安全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復制；

（二）提供完整的數(shù)據(jù)備份和恢復功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復；

（三）具有嚴格的用戶和密碼管理，能對不同級別的用戶進行有限授權，特別應嚴格限制和分流特權用戶的權限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應設置審計監(jiān)控程序，具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。

第七十六條農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整、準確實現(xiàn)。

第七十八條信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。第七十九條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。第八十一條涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運行

第八十二條農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下：（一）項目承擔單位（部門）應組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。（二）科技信息部應提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或實施信息系統(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定，報科技信息部備案。

第八十三條信息系統(tǒng)投入運行前，應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結構及軟硬件配置等基本情況；

（二）關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十四條科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認證。

第八十五條對信息系統(tǒng)的安全評估應當包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條信息系統(tǒng)運行平臺應符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應安全等級標準。

（二）屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第八十八條農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負責信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。

第八十九條系統(tǒng)管理員不得兼任業(yè)務操作人員，不得安裝與系統(tǒng)無關的其他計算機程序；維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第九十條系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的，應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第九十一條未經(jīng)業(yè)務主管部門領導書面批準，其他任何人不得擅自使用業(yè)務操作人員用機，不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù)，不得擅自改變用戶權限。

第四節(jié) 業(yè)務操作

第九十二條業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定，科技信息部根據(jù)-授權進行相關設定操作。第九十三條業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。第九十四條業(yè)務操作人員應設置本人口令密碼，并嚴格保密，防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。第九十五條凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng)，業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準，不得代崗、兼崗。第九十六條業(yè)務操作人員離開操作用機時，應按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。第九十八條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。

第七章客戶端安全管理

第九十九條本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備，包括臺式個人計算機（pc）、便攜式計算機、柜員終端、自動柜員機（atm）、存折打印機、讀卡器、銷售終端（pos）和個人數(shù)字助理（pda）等。第一百條農(nóng)商行應建立完善的客戶端管理辦法，記錄所有客戶端設備信息和軟件配置信息，采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。第一百零一條客戶端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關的軟件。第一百零二條客戶端應統(tǒng)一安裝病毒防治軟件，設置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。第一百零三條確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉借其他人使用。

第八章信息安全專用產(chǎn)品與服務管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。第一百零五條省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。第一百零六條農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準，省聯(lián)社信息科技部應進行登記備案。

第二節(jié) 使用管理

第一百零七條農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。第一百零八條農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況，認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。第一百零九條各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料，應備份存檔至少三個月。第一百一十條農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。第一百一十一條防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置，由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。

第九章數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第一百一十三條? 農(nóng)商行應建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。

第一百一十五條農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。第一百一十六條農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作，適時進行業(yè)務數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務，并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。第一百一十七條農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年，妥善保管。第一百一十八條農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。第一百一十九條所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的，應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條農(nóng)商行應制定客戶信息管理辦法和流程，嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術文檔

第一百二十一條本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。第一百二十二條農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔，嚴格管理，并實行借閱登記辦法。未經(jīng)科技信息部領導批準，任何人不得將技術文檔轉借、復制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識，統(tǒng)一編號，并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。第一百二十四條農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制，應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。第一百二十五條農(nóng)商行應制定移動存儲設備（u盤、移動硬盤等）管理辦法，加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。第一百二十六條農(nóng)商行應建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次?？诹蠲艽a的強度應滿足不同安全性要求，不得設置過于簡單的弱口令密碼。第一百二十八條敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行，必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。第一百二十九條農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術應用管理

第一百三十條農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定，采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密措施。第一百三十一條農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。第一百三十二條農(nóng)商行應建立嚴格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。第一百三十三條農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設置遇緊急情況下密鑰自動銷毀功能。第一百三十四條各類密鑰應定期更換，對已泄露或懷疑泄露的密鑰應及時廢除，過期密鑰應安全歸檔或定期銷毀。

第十章第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。第一百三十六條農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批，農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。第一百三十七條允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制，列明所有用戶名單及其權限，嚴格監(jiān)督第三方訪問活動。第一百三十八條獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權的修改、增加、刪除數(shù)據(jù)操作，不得復制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。

第一百四十條信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議，協(xié)議應明確約定外包服務商的安全義務。

第一百四十一條經(jīng)本單位科技信息部領導批準，外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或將涉密介質(zhì)帶離湖南省農(nóng)村信用社。第一百四十二條計算機設備確需送外單位維修時，科技信息部應徹底清除所存工作信息，必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件，并徹底清除與密碼有關的軟件和信息。

第十一章災難備份與應急管理

第一節(jié) 災難備份管理

第一百四十三條災難備份是指利用技術、管理手段以及相關資源，確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件（以下稱“災難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。第一百四十四條科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結合”的原則，負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。第一百四十五條農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求，明確可容忍的業(yè)務中斷時間（恢復時間目標rto）和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。第一百四十六條農(nóng)商行應建立健全災難恢復計劃，定期開展災難恢復培訓。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災難恢復演練，包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。

第二節(jié) 應急管理

第一百四十七條應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓，甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。第一百四十八條在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略，同步實施備份方案。第一百四十九條農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。第一百五十條應急預案應包括以下基本內(nèi)容：（一）總則（目標、原則、適用范圍、預案調(diào)用關系等）。（二）應急組織機構。（三）預警響應機制（報告、評估、預案啟動等）。（四）各類危機處置流程。（五）應急資源保障。（六）事后處理流程。（七）預案管理與維護（生效、演練、維護等）。第一百五十一條農(nóng)商行應定期組織應急預案的演練，并指定專人管理和維護應急預案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應急預案的有效性和災難發(fā)生時的可獲取性。第一百五十二條農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮，決定重大事宜（決定應急預案的啟動、災難宣告、預警相關單位等）和調(diào)動應急資源。第一百五十三條農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應直接報省聯(lián)社信息科技部。

第一百五十四條重大信息安全事件發(fā)生后，農(nóng)商行相關人員應注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領導。

第一百五十五條農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告，其他任何單位或個人不得向社會發(fā)布應急事件公告。

第十二章安全檢查評估與培訓

第一節(jié) 監(jiān)測檢查

第一百五十七條農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。第一百五十八條農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領導小組和上一級科技信息部，抄送相關業(yè)務部門。第一百五十九條農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決，并報上一級單位相關部門。

第一百六十條農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。第一百六十一條農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告，經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關整改情況進行后續(xù)跟蹤。第一百六十二條農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。第一百六十三條農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。

第二節(jié) 評估審計

第一百六十四條農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應制定評估方案并進行必要的培訓。評估結束后，形成評估報告，提出整改意見報本單位科技信息部主管領導。第一百六十六條農(nóng)商行如聘請第三方機構進行安全評估，報省聯(lián)社信息科技部批準，并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。第一百六十七條農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權不得對外透露評估信息。

第一百六十八條農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定，確保測評有效和測評安全。

第一百六十九條農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。第一百七十條農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關日志記錄。

第三節(jié) 安全培訓

第一百七十一條農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條農(nóng)商行應開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓，提高全體員工信息安全意識，使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。

第十三章獎勵與處罰

第一百七十三條農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。第一百七十四條對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴重的，依據(jù)相關法律法規(guī)，追究其主管領導、相關部門負責人及直接責任人的責任；構成犯罪的，依法追究刑事責任。

第十四章附則

第一百七十五條之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。

第一章??? 總則

第四條信息系統(tǒng)系統(tǒng)信息安全管理員，應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。

第五條任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章組織保障

第六條農(nóng)商行設立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責。

第三章??? 人員管理

第一節(jié) 信息安全管理人員

第十一條信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷，具有本科以上學歷。

第二節(jié) 部門信息安全員

第三節(jié) 技術支持人員

第四節(jié) 業(yè)務系統(tǒng)操作人員

第五節(jié) 一般計算機用戶

第六節(jié) 信息系統(tǒng)要害崗位人員

第三十條要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術部門進行業(yè)務技能考核，合格者方可上崗。

第三十一條要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權”原則，嚴格設定各用戶的操作權限。

第三十二條對要害崗位人員應實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓。

第三十四條要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條系統(tǒng)管理員安全責任

（一）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴格用戶權限管理，維護系統(tǒng)安全正常運行；

（三）認真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條系統(tǒng)開發(fā)員安全責任

（一）系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料；

（三）不得對系統(tǒng)設置后門；

（四）對系統(tǒng)核心技術保密。

第三十七條系統(tǒng)維護員安全責任

（一）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第三十八條各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。

第四章機房環(huán)境和設備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。

（三）機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應設專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十五條監(jiān)控設備的安裝應符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十九條機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料，并隨時提供調(diào)閱。

第二節(jié) 設備資產(chǎn)管理

第五章網(wǎng)絡安全管理

第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理

第二節(jié) 網(wǎng)絡運行安全管理

（一）負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則；

（二）安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權限，維護網(wǎng)絡安全正常運行；

（三）監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。第七十條計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序。科技信息部憑相關批準證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。第七十一條未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。第七十二條使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章信息系統(tǒng)安全管理

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十五條信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制，在安全防護方面應符合下列基本安全要求：

（二）提供完整的數(shù)據(jù)備份和恢復功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復；

（三）具有嚴格的用戶和密碼管理，能對不同級別的用戶進行有限授權，特別應嚴格限制和分流特權用戶的權限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應設置審計監(jiān)控程序，具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。

第七十六條農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整、準確實現(xiàn)。

第三節(jié) 信息系統(tǒng)上線與運行

（三）信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定，報科技信息部備案。

第八十三條信息系統(tǒng)投入運行前，應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結構及軟硬件配置等基本情況；

（二）關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十五條對信息系統(tǒng)的安全評估應當包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條信息系統(tǒng)運行平臺應符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應安全等級標準。

（二）屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第四節(jié) 業(yè)務操作

第五節(jié) 信息系統(tǒng)廢止

第七章客戶端安全管理

第八章信息安全專用產(chǎn)品與服務管理

第一節(jié) 資質(zhì)審查與選型購置

第二節(jié) 使用管理

第九章數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十三條?農(nóng)商行應建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。

第二節(jié) 技術文檔

第三節(jié) 存儲介質(zhì)

第四節(jié) 口令密碼

第五節(jié) 密碼技術應用管理

第十章第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第二節(jié) 外包安全管理

第十一章災難備份與應急管理

第一節(jié) 災難備份管理

第二節(jié) 應急管理

第一百五十五條農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告，其他任何單位或個人不得向社會發(fā)布應急事件公告。

第十二章安全檢查評估與培訓

第一節(jié) 監(jiān)測檢查

第二節(jié) 評估審計

第三節(jié) 安全培訓

第一百七十一條農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第十三章獎勵與處罰

第十四章附則

第一百七十五條之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。

第2篇以管理信息系統(tǒng)規(guī)范班組的安全管理

飛來峽水利樞紐位于廣東省北江干流中游清遠市飛來峽管理區(qū)境內(nèi)，以防洪為主，兼有航運、發(fā)電、養(yǎng)殖、供水、旅游和改善生態(tài)環(huán)境等多種效益。由于樞紐生產(chǎn)班組眾多，且專業(yè)差別較大，班組內(nèi)技術人員和工人的素質(zhì)也不盡相同，這就導致了班組安全生產(chǎn)管理工作的難度增大。安全生產(chǎn)管理的職能部門難以及時掌握生產(chǎn)部門各班組有關的情況；班組之間有很多有用的信息難以共享，對整體安全生產(chǎn)管理水平的提高不利；故障和隱患處理等程序費時費力，跟不上社會信息化的步伐。隨著電腦應用的普及和管理信息系統(tǒng)技術的日趨成熟，對班組的安全生產(chǎn)管理實行信息化處理顯得更為迫切。

1 信息系統(tǒng)的設置

為實現(xiàn)管理信息化，管理局于2001年建立了信息管理系統(tǒng)。系統(tǒng)包括了生產(chǎn)、安全管理、政工、人事、后勤等方面的內(nèi)容，包含了局日常工作的主要方面。其中安全監(jiān)察子系統(tǒng)的功能就是實現(xiàn)局安全生產(chǎn)工作的信息化管理。目前安全監(jiān)察子系統(tǒng)包括了安全工具檢查、安全生產(chǎn)活動、安全生產(chǎn)檔案、消防安全管理等4個方面：

(1) 安全工具，包含安全帽及絕緣工具的檢查；

(2) 安全生產(chǎn)活動包含安全事故預想記錄，反事故演習記錄，異常情況分析，安全事故，障礙及異常分析；

(3) 安全生產(chǎn)檔案，包含安全生產(chǎn)學習檔案，安全生產(chǎn)檢查檔案，安全生產(chǎn)事故處理檔案，人身事故情況，安全生產(chǎn)隱患處理檔案；

(4) 消防安全管理，包含消防器材記錄，消防檢查記錄，消防演習記錄，火災事故記錄，火災隱患處理檔案。

班組安全管理的內(nèi)容非常廣泛，通常包括安全教育培訓、安全活動以及現(xiàn)場作業(yè)安全管理等。經(jīng)過系統(tǒng)的試運行表明，系統(tǒng)的模塊設置是能滿足目前班組的安全管理要求的。

2 信息管理系統(tǒng)的推廣應用

信息管理系統(tǒng)建立以后，進入試運行階段。班組常規(guī)安全生產(chǎn)學習活動照常進行，跟以往相比，不同的是將學習檢查的情況錄入信息管理系統(tǒng)內(nèi)相應的模塊，而不是記在筆記本上。安全監(jiān)察職能部門定期在網(wǎng)絡上進行檢查，對于未按時錄入或錄入不規(guī)范的，要及時提醒，對于未開展相關活動的，要限期整改。大量的安全生產(chǎn)信息也通過系統(tǒng)實現(xiàn)共享和相互交流。通過1年多的推廣應用，班組安全生產(chǎn)的日常管理工作均實現(xiàn)了信息化。

缺陷及故障處理是保證設備安全運行的一個重要環(huán)節(jié)，納入mis系統(tǒng)以后，發(fā)現(xiàn)缺陷的部門可以直接進入系統(tǒng)，填寫缺陷單，輔以電話通知就可立即將信息傳達到維護檢修部門，并且可以簽收。檢修部門處理后，同樣可輔以電話，申請運行部門進行驗收，運行部門可以在電腦上簽字。從上面的過程可以看出，通過信息系統(tǒng)提高了處理缺陷和故障的效率。對于事故、重大的缺陷等緊急情況，則可進行特殊處理，過后及時填寫有關記錄。

信息管理系統(tǒng)的推廣應用中也會遇到一些阻力，需要一個過程來適應。比如工作票的簽發(fā)，按以往的做法是，以書面的形式，由工作負責人填寫工作票，提交工作票簽發(fā)人簽發(fā)，然后開展工作。改成從管理信息系統(tǒng)簽發(fā)以后，程序基本還是一樣，工作負責人在電腦上填寫，自動傳到工作票簽發(fā)人的電腦上，工作票簽發(fā)人簽發(fā)后，自動傳到工作許可人的電腦上，再由許可人打印出來交給工作負責人開展工作。這個改動減少了工作負責人的跑動，也方便了存檔。但有些工作人員習慣了書面的填寫，覺得工作量并不加重很多，開始很不適應，在系統(tǒng)本身不完善的情況下有時會拖延一些時間，甚至有些抵觸情緒。對于這種情況，先在試運行期間采取雙軌制，在系統(tǒng)經(jīng)過完善后再強制執(zhí)行(原來的手工填寫作為一種備用)。

采用信息系統(tǒng)規(guī)范班組的安全管理工作，提高了安全生產(chǎn)管理工作的效率，規(guī)范了各級人員的工作行為，也方便了檔案的保存和調(diào)用，此外，通過共享信息，達到互相交流的目的，對樞紐運行管理的安全生產(chǎn)工作起到了良好的促進作用。

第3篇信息安全等級保護管理辦法

第一章總則

第一條

為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī),制定本辦法。

第二條

國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。

第三條

公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協(xié)調(diào)。

第四條

信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范,督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

第五條

信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范,履行信息安全等級保護的義務和責任。

第二章等級劃分與保護

第六條

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條

信息系統(tǒng)的安全保護等級分為以下五級:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。

第八條

信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護,國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。

第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。

第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章等級保護的實施與管理

第九條

信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。

第十條

信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條

信息系統(tǒng)的安全保護等級確定后,運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準,使用符合國家有關規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品,開展信息系統(tǒng)安全建設或者改建工作。

第十二條

在信息系統(tǒng)建設過程中,運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(gb17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術標準,參照《信息安全技術信息系統(tǒng)通用安全技術要求》(gb/t20271-2006)、《信息安全技術網(wǎng)絡基礎安全技術要求》(gb/t20270-2006)、《信息安全技術操作系統(tǒng)安全技術要求》(gb/t20272-2006)、《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》(gb/t20273-2006)、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統(tǒng)安全等級技術要求》(ga/t671-2006)等技術標準同步建設符合該等級要求的信息安全設施。

第十三條

運營、使用單位應當參照《信息安全技術信息系統(tǒng)安全管理要求》(gb/t20269-2006)、《信息安全技術信息系統(tǒng)安全工程管理要求》(gb/t20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條

信息系統(tǒng)建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構,依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評,第四級信息系統(tǒng)應當每半年至少進行一次等級測評,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查,第四級信息系統(tǒng)應當每半年至少進行一次自查,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。

經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。

第十五條

已運營(運行)的第二級以上信息系統(tǒng),應當在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

新建第二級以上信息系統(tǒng),應當在投入運行后30日內(nèi),由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng),應當向當?shù)卦O區(qū)的市級以上公安機關備案。

第十六條

辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應當填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應當同時提供以下材料:

(一)系統(tǒng)拓撲結構及說明;

(二)系統(tǒng)安全組織機構和管理制度;

(三)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;

(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;

(五)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告;

(六)信息系統(tǒng)安全保護等級專家評審意見;

(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。

第十七條

信息系統(tǒng)備案后,公安機關應當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應當按照本辦法向公安機關重新備案。

第十八條

受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應當會同其主管部門進行。

對第五級信息系統(tǒng),應當由國家指定的專門部門進行檢查。

公安機關、國家指定的專門部門應當對下列事項進行檢查:

(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;

(二) 運營、使用單位安全管理制度、措施的落實情況;

(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;

(四) 系統(tǒng)安全等級測評是否符合要求;

(五) 信息安全產(chǎn)品使用是否符合要求;

(六) 信息系統(tǒng)安全整改情況;

(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;

(八) 其他應當進行監(jiān)督檢查的事項。

第十九條

信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導,如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件:

(一) 信息系統(tǒng)備案事項變更情況;

(二) 安全組織、人員的變動情況;

(三) 信息安全管理制度、措施變更情況;

(四) 信息系統(tǒng)運行狀況記錄;

(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;

(六) 對信息系統(tǒng)開展等級測評的技術測評報告;

(七) 信息安全產(chǎn)品使用的變更情況;

(八) 信息安全事件應急預案,信息安全事件應急處置結果報告;

(九) 信息系統(tǒng)安全建設、整改結果報告。

第二十條

公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的,應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求,按照管理規(guī)范和技術標準進行整改。整改完成后,應當將整改報告向公安機關備案。必要時,公安機關可以對整改情況組織檢查。

第二十一條

第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品:

(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;

(二)產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權;

(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄;

(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;

(五)對國家安全、社會秩序、公共利益不構成危害;

(六)對已列入信息安全產(chǎn)品認證目錄的,應當取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書。

第二十二條

第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構進行測評:

(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);

(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);

(三) 從事相關檢測評估工作兩年以上,無違法記錄;

(四) 工作人員僅限于中國公民;

(五) 法人及主要業(yè)務、技術人員無犯罪記錄;

(六) 使用的技術裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求;

(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度;

(八) 對國家安全、社會秩序、公共利益不構成威脅。

第二十三條

從事信息系統(tǒng)安全等級測評的機構,應當履行下列義務:

(一)遵守國家有關法律法規(guī)和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質(zhì)量和效果;

(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;

(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規(guī)定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。

第四章涉密信息系統(tǒng)的分級保護管理

第二十四條

涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準,結合系統(tǒng)實際情況進行保護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。

涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準bmb17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。

保密工作部門和機構應當監(jiān)督指導涉密信息系統(tǒng)建設使用單位準確、合理地進行系統(tǒng)定級。

第二十六條

涉密信息系統(tǒng)建設使用單位應當將涉密信息系統(tǒng)定級和建設使用情況,及時上報業(yè)務主管部門的保密工作機構和負責系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導。

第二十七條

涉密信息系統(tǒng)建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設計與實施。

涉密信息系統(tǒng)建設使用單位應當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術標準,按照秘密、機密、絕密三級的不同要求,結合系統(tǒng)實際進行方案設計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品,并應當通過國家保密局授權的檢測機構依據(jù)有關國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設使用單位在系統(tǒng)工程實施結束后,應當向保密工作部門提出申請,由國家保密局授權的系統(tǒng)測評機構依據(jù)國家保密標準bmb22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前,應當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設使用單位在按照分級保護要求完成系統(tǒng)整改后,應當向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設使用單位在申請系統(tǒng)審批或者備案時,應當提交以下材料:

(一)系統(tǒng)設計、實施方案及審查論證意見;

(二)系統(tǒng)承建單位資質(zhì)證明材料;

(三)系統(tǒng)建設和工程監(jiān)理情況報告;

(四)系統(tǒng)安全保密檢測評估報告;

(五)系統(tǒng)安全保密組織機構和管理制度情況;

(六)其他有關材料。

第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據(jù)實際情況,決定是否對其重新進行測評和審批。

第三十二條

涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準bmb20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。

第三十三條

國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:

(一)指導、監(jiān)督和檢查分級保護工作的開展;

(二)指導涉密信息系統(tǒng)建設使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;

(三)參與涉密信息系統(tǒng)分級保護方案論證,指導建設使用單位做好保密設施的同步規(guī)劃設計;

(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;

(五)嚴格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設使用單位分級保護管理制度和技術措施的落實情況;

(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;

(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章信息安全等級保護的密碼管理

第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規(guī)定和相關標準。

第三十五條

信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應當嚴格執(zhí)行國家密碼管理的有關規(guī)定。

第三十六條

信息系統(tǒng)運營、使用單位應當充分運用密碼技術對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應報經(jīng)國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規(guī)定和相關標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準,其密碼的配備使用情況應當向國家密碼管理機構備案。

第三十七條

運用密碼技術對信息系統(tǒng)進行系統(tǒng)等級保護建設和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。

第三十九條

各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規(guī)定進行處置。

第六章法律責任

第四十條

第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結果:

(一) 未按本辦法規(guī)定備案、審批的;

(二) 未按本辦法規(guī)定落實安全管理制度、措施的;

(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;

(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術測評的;

(五) 接到整改通知后,拒不整改的;

(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構的;

(七) 未按本辦法規(guī)定如實提供有關文件和證明材料的;

(八) 違反保密管理規(guī)定的;

(九) 違反密碼管理規(guī)定的;

(十) 違反本辦法其他規(guī)定的。

違反前款規(guī)定,造成嚴重損害的,由相關部門依照有關法律、法規(guī)予以處理。

第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。

第七章附則

第四十二條

已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。

第四十三條

本辦法所稱“以上”包含本數(shù)(級)。

第四十四條

本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。

第4篇海港工程建設項目信息安全管理對策探析

海港工程就是在港口、碼頭、堤壩等建造于入海口和江河附近的工程設施，以及一些相關的配套設施，比如裝卸設施、進港航道、水上導航設施等。海港工程項目的建設，能夠更加良好地利用河、海、江、湖等水體資源。為了提高海港工程的建設質(zhì)量，增強海港工程的建設管理，一定要采取保證信息安全的措施。本文將從移動存儲設備管理、紙質(zhì)文檔資料管理、辦公設備和工地設備管理三個方面介紹海港工程當中保證信息安全的具體對策。

信息技術的發(fā)展對人類社會的影響是多種多樣的，體現(xiàn)在各個行業(yè)和各個領域。對于海港工程的建設來說，信息安全是極為重要的。信息安全包括信息的保密性、真實性、完整性、安全性等等。實行信息安全管理，能夠防止建設項目和建設單位的機密發(fā)生泄漏，提高海港工程的建設效率和建設質(zhì)量，讓企業(yè)收獲更多的經(jīng)濟效益。對于現(xiàn)代的工程建設來說，各種資料、數(shù)據(jù)信息的載體已經(jīng)從紙張向移動存儲設備轉移。各種病毒、木馬程序和間諜軟件給信息安全帶來嚴重的威脅。為了保護海港工程中的重要信息，必須要采取針對性的對策和措施。

一、對移動存儲設備的管理

(一)限制外接。在海港工程各種數(shù)據(jù)和資料的傳遞過程中，需要通過外接設備或者網(wǎng)絡接口來進行[1]。在這一過程當中，很容易被黑客攻擊，對系統(tǒng)進行入侵，竊取海港工程的重要信息和資料。所以在傳輸信息和資料時，要嚴格限制外接設備與網(wǎng)絡接口的使用。一方面，要對打印機、刻錄機、光驅、軟驅等常用的外接設備的使用作出限制，實行集中管理與統(tǒng)一使用。這些設備只能用于海港工程的信息傳輸，不得用于其他用途，對于用不到的設備要及時封禁。平時要有專門的設備管理人員將設備進行編號，分別進行保管，使用時要提前申請，用完后要及時交還。另一方面，要限制內(nèi)部人員的行為，不得將外接設備和網(wǎng)絡接口用于私人目的，不得私自以打印、刻錄的形式竊取工程信息，不得違反外接設備和網(wǎng)絡接口的使用規(guī)范。

(二)刻錄和打印。除了加強對外接設備和網(wǎng)絡接口進行管理，防止在數(shù)據(jù)傳輸過程中發(fā)生資料泄露之外，還要加強對內(nèi)部網(wǎng)絡非法打印、光盤刻錄等行為的打擊[2]。如果由于工作需要進行光盤刻錄行為，必須要向信息管理部門提出申請，經(jīng)過審批以后方可進行。光盤刻錄要到專門部門當中去進行，并且由相關部門全程跟蹤光盤的流向，避免用于私人目的。對于打印的安全管理，首先要屏蔽用戶主機的打印接口，防止用戶私自打印。如果需要打印，要向信息管理中心發(fā)送申請，取得許可之后，到打印部門進行打印。在打印的時候，要保證資料從電腦傳輸?shù)酱蛴C的過程中不會被截取，打印之后的文件不得隨意閱讀或者拿走。信息管理部門要根據(jù)文件的價值劃分文件的保密級別，分別制定打印規(guī)范條款，實行信息的精細化管理。

(三)存儲設備。在海港工程項目的建設過程中，很多施工單位和部門之間都需要通過軟盤、磁盤、光盤來傳遞信息。一旦這些載體丟失、被盜、發(fā)生損壞，都容易造成信息泄露事故，給企業(yè)造成經(jīng)濟損失，甚至泄露企業(yè)和國家機密。廢棄的軟盤、磁盤、光盤等存儲設備仍然具有一些磁力特性，一旦發(fā)生永久性的磁化反映，就容易造成內(nèi)部存儲信息的泄露[3]。所以，海港工程的信息管理中心要控制廢棄存儲設備的流通范圍，將不再使用的存儲設備交給保密機構進行統(tǒng)一的脫密和銷毀，還要做好登記和記錄。

二、對紙質(zhì)文檔資料的管理

雖然海港工程的建設已經(jīng)加大了對移動存儲設備的依賴程度，但是仍然需要大量的紙質(zhì)文檔來記錄、保存、傳輸各種機密信息。為了確保海港工程建設的信息安全，要采取必要的措施對紙質(zhì)文檔資料進行管理。首先，要制定紙質(zhì)文檔資料的保密條例，防止文檔的非法閱讀、非法調(diào)用和非法復印。其次，在制作紙質(zhì)文檔和紙質(zhì)文件的時候，草稿紙、復寫紙、計算機表格、演算紙等制作過程中的廢棄用具也不能隨意丟棄，要嚴格按照保密條例的規(guī)定進行銷毀，避免資料泄露。最后，對于文檔資料的傳閱范圍和傳閱步驟也要進行嚴格規(guī)定。同時，對于各種公共媒體上的報道，也要進行審核，避免涉密信息被公諸于眾。

三、對辦公設備和工地設備的管理

(一)辦公設備的管理。海港工程的信息管理部門要將辦公所用的電腦設備劃分為涉密計算機和非涉密計算機。涉密計算機必須要進行登記，按照編號分配人員進行專門管理。而非涉密計算機嚴禁儲存涉密信息。信息安全管理要綜合從信息技術、安全管理策略、安全管理措施等多個角度來考慮信息管理體制背后所隱藏的風險。信息管理部門需要通過網(wǎng)絡軟件監(jiān)控各個計算機的工作狀況，尤其是涉密計算機的工作狀況，審核項目內(nèi)部網(wǎng)絡和項目內(nèi)外網(wǎng)絡間的數(shù)據(jù)傳輸、信息交流。另外，信息管理軟件還要記錄各個工作人員和用戶的操作情況，在發(fā)生風險的時候發(fā)出警報信號，在發(fā)生非法操作的時候能夠留下記錄，以便工作人員尋求證據(jù)。

(二)工地設備的管理。由于信息技術的發(fā)達，信息傳輸手段變得多樣化，所以信息發(fā)生泄露的可能性也增大，給信息安全管理帶來了難度。對此，海港工程的信息管理部門需要提高警惕，防止落入信息系統(tǒng)、設備、部件當中一些人為設置的陷阱。比如，一些從境外引入的信息產(chǎn)品和施工設備，都可能存在“陷阱”，在使用過程中發(fā)生信息泄露。這就需要在施工之前對設備進行嚴格的技術審查和安全審查，并且為這種“陷阱”制定應急處理方案。另外，在海港工程的建設過程中，要采取必要的措施保護項目內(nèi)部的通訊。比如對通信信號進行加密，或者是對外部信號進行屏蔽等。

四、結論

海港工程的建設，能夠更好地利用我國的水體資源，促進沿海地區(qū)的經(jīng)濟發(fā)展。我國的工程建設已經(jīng)出現(xiàn)了信息化的趨勢，資料、數(shù)據(jù)、信息的存儲和傳輸已經(jīng)開始從紙張形式轉變成電子形式。為了保護企業(yè)和國家的機密，提高海港工程的建設效率和建設質(zhì)量，必須加強對海港工程的信息安全管理。對此，要成立專門的信息管理部門，加強對移動存儲設備、紙質(zhì)文檔資料、辦公設備和工地設備的管理，制定信息安全管理的規(guī)章制度和具體措施。

第5篇信息科技部-安全管理中心-安全運營崗工作職責與職位要求

職位描述：

職責描述：

1、參與優(yōu)化安全防御體系，研究和實踐使用有效技術解決銀行業(yè)務系統(tǒng)的安全相關問題。

2、跟蹤和分析各類安全問題和安全事件，如網(wǎng)站入侵調(diào)查，病毒木馬，ddos攻擊等。

3、跟蹤和分析新的安全漏洞和技術，定期對系統(tǒng)、應用、網(wǎng)絡進行安全檢測和風險評估。

4、編寫防御工具和分析工具，對新技術、新方法、新軟件進行評估和應用，完成網(wǎng)絡和系統(tǒng)安全加固。

5、協(xié)助各項信息安全相關工作，確保信息安全管控措施有效執(zhí)行。

職位要求：

1、全日制本科及以上學歷，計算機相關專業(yè)優(yōu)先；

2、相關工作經(jīng)驗3年以上，有銀行相關項目及從業(yè)經(jīng)驗為佳；

3、責任心強、工作細致、溝通能力強，有良好的團隊協(xié)作及問題解決能力。

第6篇信息技術設備物理環(huán)境安全管理規(guī)定

第一章總則

第一條目的:為了適應公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運行,特制定本管理辦法。

第二條依據(jù):本管理辦法根據(jù)《信息安全管理策略》制訂。

第三條范圍:本管理辦法適用于公司。

第二章基本要求

第四條公司員工應根據(jù)公司運營需要對資產(chǎn)進行保護。公司的資產(chǎn)保護要求通過完成以下目標來實現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護能得到公司的有效控制。

(二)減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風險。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動。

第五條安全控制措施包括以下各項:

(一)公司的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設備維護。

(五)清理資產(chǎn)。

第三章安全區(qū)域

第六條公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。

第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。

第八條物理安全邊界

所有進入公司安全區(qū)域的人員都需經(jīng)過授權,公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。

第九條安全區(qū)域出入控制措施

(一)物理控制措施

1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;

2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;

3、一段時間內(nèi)不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;

4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時,其實際進入權也同時相應取消;

(四)審查訪問

信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護

1、機房建設應符合gb 9361中a類安全機房的要求;

2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內(nèi);

3、恢復設備和備份介質(zhì)的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產(chǎn)生的破壞;

4、應提供適當?shù)臏缁鹪O備,并應放在合適的地點。

第十條交接區(qū)安全

(一)公司應設立交接區(qū),同時:

1、向公司發(fā)送貨物必須預先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認;

3、送貨公司在進入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關人員的鑒別確認;

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。

第四章設備安全

第十一條設備安置與保護

(一)公司中應考慮以下控制措施:

1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;

2、應把處理敏感數(shù)據(jù)的信息處理設施放在適當?shù)南拗朴^測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;

3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;

4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;

6、對于可能對信息處理設施運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;

8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;

9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。

第十二條支持性設施

(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調(diào))來支持系統(tǒng)。支持性設施應定期檢查并適當?shù)臏y試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。

(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內(nèi)發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。

(三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。

(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。

(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。

第十三條電纜安全

(一)敷設到公司內(nèi)各個區(qū)域的電纜線的保護方式如下:

1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;

2、網(wǎng)絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開;

4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網(wǎng)絡電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括:

(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護電纜;

(5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查;

(6)控制對配線盤和電纜室的訪問;

第十四條設備維護

(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。

(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。

(三)只有已授權的維護人員才可對設備進行修理和服務

(四)原則上應保存所有維護記錄

(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;

(六)設備資產(chǎn)的管理部門和人事部應當向外包維護單位索取維護計劃和記錄。

(七)設備資產(chǎn)的管理部門和人事部定期審核維護記錄和計劃。

(八)當對設備安排維護時,應實施適當?shù)目刂?要考慮維護是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;

(九)應遵守由保險策略所施加的所有要求。

第十五條場外設備的安全

(一)離開辦公場所的設備的保護應考慮下列措施:

1、離開建筑物的設備和介質(zhì)在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;

2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內(nèi);

3、家庭工作的控制措施應根據(jù)風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。

第十六條設備的安全處置與重新使用

(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。

(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內(nèi)存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關的敏感信息:

1、用碎紙機銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實際銷毀和核對。

4、數(shù)據(jù)存儲光盤應在處置前實際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請表》,經(jīng)部門負責人同意后,方可進行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計時備查。

第十七條設備的移動

(一)應考慮如下措施:

1、在未經(jīng)事先授權的情況下,不應讓設備、信息或軟件離開辦公場所;

2、明確識別有權允許資產(chǎn)移動,離開辦公場所的雇員、承包方人員和第三方人員;

3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;

4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。

(二)應執(zhí)行檢測未授權資產(chǎn)移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。

第五章附則

第十八條本管理辦法由信息部負責解釋和修訂。

第十九條本管理辦法自發(fā)布之日起施行。

第7篇安全風險信息平臺工作管理辦法

第一章總則

第一條為規(guī)范石家莊市軌道交通安全風險監(jiān)控工作,規(guī)范地鐵建設參建各方在安全風險監(jiān)控管理上的工作責任、工作內(nèi)容及工作流程,加強相關單位和部門在安全風險監(jiān)控工作中的協(xié)同性,提升軌道交通建設安全風險管理的專業(yè)化和規(guī)范化水平,最大程度規(guī)避和減少軌道交通工程建設及周邊環(huán)境的安全事故的發(fā)生,制定本辦法。

第二條本辦法根據(jù)住建部《城市軌道交通工程質(zhì)量安全檢查指南(試行)》,公司《石家莊市軌道交通工程建設安全風險管理體系》文件的相關規(guī)定,結合我市軌道交通工程建設實際制定。

第三條本辦法適用于石家莊市軌道交通工程施工階段的安全風險監(jiān)控管理工作。

第四條相關參建單位應用安全風險監(jiān)控與信息平臺情況考核,分日常管理考核與雙月度考核,由安全質(zhì)量部牽頭負責考核。

第五條安全風險監(jiān)控工作考核堅持客觀、公開、公平、公正的原則,自覺接受紀檢監(jiān)察部門和群眾的監(jiān)督。

第六條除本辦法外,軌道交通工程建設相關單位還應遵守國家和地方有關法律、法規(guī)、規(guī)范、標準。

第二章考核內(nèi)容

第七條投資承建單位

投資承建單位應成立信息化領導小組,總工程師任負責人,并設立專職信息員督促所轄施工標段落實安全風險信息化管理工作。

第八條標段施工單位

(一)各施工標段項目部安全總監(jiān)牽頭成立風險信息化小組,項目部安全總監(jiān)和安質(zhì)部長每天必須登錄安全風險監(jiān)控信息平臺,主要任務有:

1.每日17:00前,將自查臺賬和抽查臺賬檢查的問題、施工監(jiān)測數(shù)據(jù)上傳平臺;

2.巡視閉合閱處:通過安全風險監(jiān)控信息平臺對各單位提出的問題、要求和發(fā)布的通知、文件、通報(包含業(yè)主公告、各類巡檢通報、日常風險巡查推送的問題、軌道公司文件、預消警會議紀要、監(jiān)控中心周報、預警處置等)進行落實、整改、回復。填寫回復內(nèi)容,并可上傳相關附件。要求對所有的通報及整改通知的回復都以掃描件上傳至相應內(nèi)容的回復區(qū)域;

3.預警響應處置:及時處理平臺發(fā)出的本標段預警,在預警處置中,要詳細填寫處置措施及現(xiàn)場處置照片、視頻等。

(二)視頻監(jiān)控系統(tǒng):提供現(xiàn)場信息化設備放置場地及視頻會議室,配備網(wǎng)絡設備和網(wǎng)絡線路,保證各類信息能全面、及時、準確的上傳平臺(相關硬件參數(shù)見附件一):

1.按施工實際需要和軌道公司要求設置視頻監(jiān)控,施工單位負責采購本標段所需要的設備與硬件等,并負責進行安裝、調(diào)試、移位、維護和管理工作,確保視頻監(jiān)控正常使用;

2.攝像頭數(shù)量、位置要求:

車站明挖基坑至少設置2個攝像頭,礦山法暗挖工程,要求每個掌子面設置1個攝像頭,要清晰看到暗挖掌子面,并確保每掘進15米移動一次,蓋挖車站參照礦山法施工要求設置;

附屬結構明挖基坑、施工豎井至少安裝1個前端監(jiān)控設備;

施工豎井上各設置1個攝像頭,重大風險源處根據(jù)評估情況設置;

安全文明施工管理:有出渣土行為的施工現(xiàn)場,渣土車輛進出的大門口在開工前必須安裝攝像頭,并接入安全風險監(jiān)控信息系統(tǒng)。此項作為開工核查條件之一。

3.要保持視頻監(jiān)控 24小時正常運行,并確保監(jiān)控視頻的攝像角度和照明亮度,以滿足視頻監(jiān)控的需要。不得隨意挪動、故意遮擋、污損、用光照射攝像頭,不得無故中斷、關閉視頻(特別是夜晚施工時)和人為破壞設備;

4.提供全天候的應急響應服務,須在監(jiān)控中心發(fā)出平臺故障通知后24小時內(nèi)修復,保證平臺正常運轉。

(三)盾構監(jiān)控

1.按照實現(xiàn)盾構實時數(shù)據(jù)監(jiān)控要求配備電腦等設備,必要時施工單位需安排盾構廠家技術人員到現(xiàn)場配合數(shù)據(jù)解譯;

2.每日上傳出土量,同步注漿量;

(四)工程資料錄入:工程開工前,施工單位要及時錄入必要的工程資料,資料目錄詳見附件二。

第九條第三方監(jiān)測單位

(一)項目部項目負責人牽頭成立風險信息化小組,負責安全風險監(jiān)控信息平臺日常管理工作,并配備專職信息員;

(二)監(jiān)測數(shù)據(jù)上傳:每日17:00前上傳當天監(jiān)測數(shù)據(jù);

(三)及時查看并通過安全風險監(jiān)控信息平臺對建設單位(含監(jiān)控中心)提出的問題和要求進行落實、整改回復;

(四)每日瀏覽本標段工點風險情況,同時根據(jù)各自工點的安全評估狀態(tài),及時做出回復和處理。對數(shù)據(jù)異常和存在安全隱患的工點,應根據(jù)現(xiàn)場實際情況加密監(jiān)測點增加監(jiān)測頻率,并及時上傳監(jiān)測數(shù)據(jù)。

第十條監(jiān)理單位

(一)安全專監(jiān)牽頭成立風險信息化小組,負責安全風險監(jiān)控信息平臺日常管理工作,并配備專職信息員;

(二)每日將抽查臺賬檢查問題和巡查報告上傳安全風險監(jiān)控信息平臺。對有風險、監(jiān)測數(shù)據(jù)異常以及重大安全隱患和危險征兆的工點,督促施工單位進行整改和回復,并及時向監(jiān)控中心反饋;

(三)及時查看并安排相關人員通過信息平臺對建設單位及風險監(jiān)控中心提出的問題、要求和發(fā)布的通知、文件、通報(包含業(yè)主公告、各類巡檢通報、軌道公司文件、預消警會議紀要、監(jiān)控中心周報、預警處置等)進行落實、整改、回復;

(四)督促施工單位整改安全風險監(jiān)控信息平臺上發(fā)布的各類檢查通報,并做好復查工作。督促施工單位對安全風險監(jiān)控信息平臺上各項事件進行閉合管理;

(五)預警響應處置:每日登錄平臺瀏覽各自工點風險情況,同時根據(jù)各自工點的安全評估狀態(tài),及時做出回復和處理。工點評估為“有風險”或“預警”狀態(tài),按預警流程處理,將處理結果在信息平臺回復。

第三章獎懲

第十一條安全風險監(jiān)控信息平臺使用情況考核按單位性質(zhì)分為標段施工單位、第三方監(jiān)測單位、監(jiān)理單位三個組,各組內(nèi)不再按線路區(qū)分參建單位。安質(zhì)部組織每兩個月對各單位安全風險監(jiān)控信息平臺使用情況進行考核評分,各組分別排名,評分標準見附件三。投資承建單位信息平臺使用情況納入季度考核。

第十二條通過視頻監(jiān)控和巡視發(fā)現(xiàn)施工現(xiàn)場視頻不按規(guī)定設置、違規(guī)挪動、故意遮擋、污損、用光照射鏡頭、無故中斷、關閉視頻,以及視頻監(jiān)控平臺被人為破壞等問題,且拒絕整改、未按時整改、整改不到位的,每個問題給予10000元的處罰。有渣土車輛進出的施工現(xiàn)場大門口沒有安裝攝像頭并接入監(jiān)控信息系統(tǒng)的,罰款50萬元。

第十三條對日常巡查推送的問題,拒絕整改、未按時整改、整改不到位、整改但未及時回復的,每個問題給予5000元的處罰。安質(zhì)部對整改閉合情況進行抽查,發(fā)現(xiàn)弄虛作假的,每個問題給予20000元的處罰。

第十四條對監(jiān)測數(shù)據(jù)和巡視報告上傳不及時的,每次處罰5000元。

第十五條對履行《石家莊市軌道交通建設工程安全風險監(jiān)控管理辦法》工作職責不到位的,視情節(jié)輕重、整改態(tài)度、影響大小,每人次/問題給予5000元的處罰;對不配合或阻撓監(jiān)控中心工作的單位,每次處罰10000元。

第十六條對在同一個考核周期內(nèi)相同、類似問題多次重復發(fā)生的,從第三次開始,實施雙倍處罰。

第十七條監(jiān)控中心每雙月月底匯總存在問題情況,安全質(zhì)量部審核后,填寫處罰單,并形成考核處罰通報上傳信息平臺(處罰單見附件四)。

第十八條雙月考核排名考核結果將通過公司文件形式下發(fā)通報,對工作不積極,效率差,不配合工作的單位將約談該單位主要領導。

第十九條對各組排名靠前的單位予以獎勵,獎勵總額為前兩個月對被考核各單位處罰金額總和。標段施工單位組前1-5名分別獎勵前兩個月總處罰金額的20%、16%、12%、8%、8%,合計64%;第三方監(jiān)測組第1名獎勵前兩個月總處罰金額的6%;監(jiān)理單位組前1-3名分別獎勵前兩個月總處罰金額的12%、10%、8%,合計30%。所有獎勵處罰款項一并納入季度驗工計價,在季度驗工計價中扣除。

第四章附則

第二十條本辦法由石家莊市軌道交通有

第8篇安全生產(chǎn)信息調(diào)度中心運行管理辦法

根據(jù)《澄合煤業(yè)公司安全生產(chǎn)信息調(diào)度中心運行辦法》的通知精神，結合我礦的實際，為加強礦井信息調(diào)度工作，充分發(fā)揮調(diào)度協(xié)調(diào)職能，保證礦井生產(chǎn)任務的順利完成，特制定xx煤炭開發(fā)有限公司安全生產(chǎn)信息調(diào)度中心運行管理辦法。

一、調(diào)度運行方式：

1、調(diào)度范圍：礦井所屬各單位。

2、調(diào)度內(nèi)容：各系統(tǒng)的安全、生產(chǎn)、銷售及重大突發(fā)事件。

3、調(diào)度的方式：采用調(diào)度網(wǎng)絡與電話調(diào)度，報表傳送，定時與不定時相結合的方式進行調(diào)度；

4、時間與內(nèi)容：調(diào)度中心實行24小時值班制度。

二、工作職責：

1、負責全礦日常生產(chǎn)的組織和指揮，按班、按日、按月、按旬完成原煤產(chǎn)量、開拓、掘進進尺等各項任務。

2、負責組織或召開生產(chǎn)調(diào)度會，班前作業(yè)會，生產(chǎn)平衡會，及時解決生產(chǎn)中的一切具體問題，督促檢查執(zhí)行情況，凡是當前生產(chǎn)急需解決的問題，有權對同級業(yè)務部門進行統(tǒng)一調(diào)度，行使調(diào)度職權。

3、認真貫徹安全生產(chǎn)方針，嚴格按照安全規(guī)程，作業(yè)規(guī)程，操作規(guī)程指揮生產(chǎn)，對威脅安全生產(chǎn)的重大問題，有權下達調(diào)度命令，并督促有關部門采取迅速解決問題的有效措施，凡是發(fā)生重大事故，調(diào)度室要組織和指揮搶救工作，并組織盡快恢復生產(chǎn)。與此同時，迅速將事故詳細情況通知有關單位，并向有關領導和局調(diào)度室匯報。

4、及時掌握全礦生產(chǎn)動態(tài)，對生產(chǎn)薄弱環(huán)節(jié)、采掘工作面接替情況及采掘工作的出勤率等問題，進行專題調(diào)度。

5、抓好均衡生產(chǎn)。平時要狠抓夜班生產(chǎn)和月初、季初的生產(chǎn)，安排好礦井計劃檢修工作，并督促檢查計劃執(zhí)行情況。

6、認真做好上情下達、下情上報的工作，對領導指示，及時檢查貫徹執(zhí)行情況，對生產(chǎn)活動及出現(xiàn)的重大問題，如實地向礦有關領導或上級業(yè)務部門匯報。

7、及時了解和掌握全礦各采掘工作面的安裝、生產(chǎn)準備和日常生產(chǎn)情況。

8、經(jīng)常深入生產(chǎn)實際調(diào)查研究，掌握第一手資料，了解生產(chǎn)變化情況，及時向礦領導或有關部門提出建設性建議，保證生產(chǎn)不間斷地進行。

9、建立建全完整的原始記錄，按時填寫各項圖表及排版，及時提供生產(chǎn)調(diào)度日報和上月生產(chǎn)活動分析。

10、上級調(diào)度通知、調(diào)度通報，是傳達領導緊急指示、進行緊急工作部署的重要手段，屬于緊急公文，并且具有同級正式文件的同等效力，礦屬各單位必須嚴格執(zhí)行。

11、調(diào)度人員有權參加礦生產(chǎn)作業(yè)計劃的編審工作，有權組織召集或參加有關生產(chǎn)或安全問題的一些會議。

12、根據(jù)礦領導指示或生產(chǎn)上緊急需要，有權調(diào)度所屬有關單位人力、物力以及車輛，各有關單位必須堅決服從和執(zhí)行調(diào)度命令。

13、根據(jù)工作需要，調(diào)度人員有權了解計劃、生產(chǎn)措施和領導指示落實情況，有關單位或人員應如實地提供情況和有關資料。

14、礦調(diào)度室經(jīng)常與采掘隊、輔助隊、銷售、供應等單位加強聯(lián)系，及時解決存在的問題。

15、加強調(diào)度業(yè)務學習，掌握計算機信息錄入程序，及時準確填報各種生產(chǎn)數(shù)據(jù)，并按時向有關部傳遞。

三、調(diào)度員崗位職責：

1、負責掌握全礦安全生產(chǎn)動態(tài)，對當班生產(chǎn)的重要問題，班隊長的匯報情況，以及所發(fā)生的各種事故，及時安排處理，同時匯報有關領導，做好記錄。

2、對上級領導和上級部門的指示、通知等要認真做好記錄，迅速請有關領導傳閱，及時向有關單位傳達，并了解其執(zhí)行情況。

3、在礦值班領導主持下，組織開好下一班的班前作業(yè)會議，為下班的生產(chǎn)做好準備。

4、要認真貫徹安全生產(chǎn)方針，搞好安全工作，制止違章指揮、違章作業(yè)和違反勞動紀律的現(xiàn)象。

5、在發(fā)生人身事故時，要嚴格按照《關于工傷搶救程序的規(guī)定》，立即組織搶救工作。

6、做好雨季“三防”的日常工作，并做好相關記錄。

7、每班及時向公司調(diào)度中心匯報各種數(shù)據(jù)和信息，并按要求及時輸入“生產(chǎn)調(diào)度管理系統(tǒng)”。

四、調(diào)度會議制度：

1、參加調(diào)度會議人員

（1）每日碰頭會（早7：00），由礦屬各采、掘、機、運、通、輔助單位行政正職、職能科室正職參加。

（2）每日十六點班（15：00）、零點班（23：00）班前調(diào)度會，由采掘隊、生產(chǎn)輔助隊值班干部和該隊工長及礦當日值班領導參加。

2、調(diào)度會議內(nèi)容及程序：

（1）碰頭會由調(diào)度主任主持，班前會議由調(diào)度員主持。準時點名，通報上天生產(chǎn)任務完成情況，并做好當天生產(chǎn)計劃、工作安排。

（2）會議前必須做好一切準備工作，要講實效，時間不得超過30分鐘。

（3）會議宣傳貫徹上級安全生產(chǎn)方針、通報、指示、指令及礦領導指示精神，簡要分析通報上班安全生產(chǎn)運行和作業(yè)現(xiàn)場進展情況。

（4）與會隊干部匯報當班生產(chǎn)作業(yè)計劃，調(diào)度室將依據(jù)日作業(yè)計劃，結合作業(yè)現(xiàn)場及相關系統(tǒng)、環(huán)節(jié)的實際情況，下達其當班生產(chǎn)任務以及一些臨時性工作安排，各隊要認真組織落實。

（5）凡各區(qū)隊需下料或上下設備、管子、工字鋼、單體支柱，打躲避洞，打絞車基礎，鋪道，移裝巖機等工作時，必須在碰頭會或班前會上作計劃，凡各單位干零星雜活未向調(diào)度室做計劃私自安排，造成不良后果，均由該隊長負擔一切費用，并按照有關文件追究其責任。

（6）每日碰頭會，由安檢、生產(chǎn)、機電、調(diào)度、礦領導針對礦井安全生產(chǎn)過程中存在的問題以及當前階段性工作任務，提出具體解決辦法和安排意見，及時協(xié)調(diào)各區(qū)隊和各環(huán)節(jié)急待解決問題。

3、要求和紀律：

（1）所有按要求參加調(diào)度會議的人員，必須準時到會，遲到一次罰款20元，礦會一次罰款50元。確因有事不能參加者，必須事先向礦級領導主管和調(diào)度主任請假，否則按曠會論處。

（2）當班調(diào)度員必須按時督促碰頭會或班前會議所安排的工作任務的完成情況。

（3）開會期間手機必須設為振動或關機狀態(tài)，響鈴一次罰款50元；

（4）各單位對生產(chǎn)中存在的問題及解決方案必須事先溝通，確實需上會時再提出，嚴禁推諉扯皮。

五、區(qū)隊干部值班制度：

1、各區(qū)隊必須在每月1日前，將本隊全月干部值班安排表上報調(diào)度室，若值班人員有變化時，要及時通知調(diào)度室，否則每次罰款50元。

2、區(qū)隊必須堅持24小時不間斷值班制度（在其隊部值班），調(diào)度室隨時查崗，每班不少于一次。

3、若值班人員有事要暫時離開隊部時，必須事先向調(diào)度室請示，并說明去向，征得同意后，必須安排本隊其他人員留守在隊部接聽電話。

4、若值班干部中途有事要離開礦區(qū)時，必須由該隊其他干部代替值班，并通知調(diào)度室，代替人員到位后，原值班干部方可離開。

5、每發(fā)現(xiàn)值班干部脫崗一次，罰款20元；無人值班，罰款50元，并由該值班干部承擔因脫崗或空崗所產(chǎn)生的一切不良后果。

6、全礦所有干部及業(yè)務主管人員手機必須保持待機狀態(tài)，發(fā)現(xiàn)手機關機，每次處罰200元，并追究責任。

六、跟班干部及工長匯報制度：

1、各采掘隊必須由隊干部現(xiàn)場跟班，跟班干部對本班的安全生產(chǎn)工作負全責，保證本班生產(chǎn)任務的完成，確保安全工作。

2、跟班干部要堅持每班三次的（向調(diào)度室）匯報制度——班初匯報（匯報上班完成情況及遺留問題、當班計劃等）、班中匯報（匯報當班工作進展情況）、班末匯報（匯報本班任務完成情況及存在問題）。如有特殊事情，必須及時匯報調(diào)度室。

3、當班工長也要堅持每班兩次的匯報制度——班初匯報（匯報出勤人數(shù)、當班計劃等）、班末匯報（匯報本班任務完成情況）。

4、跟班人員和當班工長要按時匯報，遲匯報一次，罰款5元；少匯報一次，罰款10元；不匯報按無跟班或無工長論處，無跟班或無工長者一次罰款50元，罰該隊隊長100元，并追究有關人員的責任。

5、跟班干部和當班工長必須同本班人員同上同下，發(fā)現(xiàn)遲下或早上者，一次罰款30元。

6、跟班人員要認真履行職責，及時向調(diào)度室如實匯報情況（例如生產(chǎn)影響和事故等），堅決杜絕虛報瞞報現(xiàn)象的發(fā)生，否則，要嚴格追究當班跟班干部的責任。

七、停工誤時管理制度：

1、停工誤時是指因設備故障、材料供應、安全質(zhì)量等原因造成本單位或其它單位生產(chǎn)中斷，影響產(chǎn)量進尺和正常生產(chǎn)組織的非人身事故的總稱。

各單位需檢修的設備必須在前一天提出計劃，由調(diào)度室主任全面協(xié)調(diào)后，在當日碰頭會上進行安排，但必須規(guī)定時間，落實責任人。檢修完畢后及時向調(diào)度室匯報，調(diào)度臺做好記錄，此期間在規(guī)定時間內(nèi)完成不計本單位誤時，否則按誤時處理。

所有臨時性安排任務歸口調(diào)度室管理，被安排單位必須無條件立即執(zhí)行，否則，按照停工誤時論處。

2、事故處理程序：

（1）凡發(fā)生事故造成生產(chǎn)中斷的單位，必須立即匯報礦調(diào)度室，跟班干部必須在現(xiàn)場立即組織人員積極搶修、處理，避免事故擴大或誤時延長。

（2）各單位的事故處理，必須聽從調(diào)度室的統(tǒng)一協(xié)調(diào)指揮，凡不服從者，造成事故擴大或誤時延長，按責任劃分，予以加倍處罰，并追究部門領導責任。

（3）調(diào)度室按事故的影響范圍或程度，需調(diào)度其它單位人員或物資時，必須無條件服從，積極組織處理，否則按同類事故影響追究責任。

（4）事故單位處理完畢后，跟班干部應立即匯報調(diào)度室，并對現(xiàn)場工作安排詳細說明，調(diào)度室做好記錄。

3、必須追查處理的事故：

（1）機電事故：造成生產(chǎn)單位停產(chǎn)超過1小時或直接經(jīng)濟損失500元以上的事故。

（2）頂板事故：造成生產(chǎn)中斷1小時以上或影響產(chǎn)量100噸以上，進尺1.5米以上的事故。

（3）運輸事故：主、副井提升井下運輸系統(tǒng)，停運1小時以上，或副提升系統(tǒng)停運2小時，或生產(chǎn)單位停產(chǎn)1小時的事故。

（4）其它事故：造成生產(chǎn)單位或系統(tǒng)影響，影響職工延時1小時以上的事故。

4、事故追查的管理規(guī)定：

（1）調(diào)度室負責事故追查的組織工作。按事故性質(zhì)通知分管領導，職能科室、事故單位負責人及事故有關人員按時參加。

（2）對2小時以下的誤時，由當日值班人員主持追查；2小時以上的誤時由調(diào)度主任及有關業(yè)務科室參加，生產(chǎn)礦長主持追查。

（3）事故的追查要達到“快、嚴、細、準”，結果由調(diào)度室在追查后4小時內(nèi)通報全礦。

（4）凡被通知參加追查的人員，必須按時參加，無故不參加者，每次罰款50元。

（5）對事故追查必須尊重客觀事實，需查看現(xiàn)場時應及時組織相關人員到現(xiàn)場了解，堅持實事求是的原則。先從管理上查找并分析事故原因，責任必須落實到人，并制定切實可行的防范措施，寫出書處理意見，交礦調(diào)度室。

5、對事故責任單位及責任者造成經(jīng)濟損失賠償?shù)囊?guī)定：

（1）對影響安全生產(chǎn)的誤時要進行考核和處理。對造成局部性停工誤時的責任單位按1.5元/分鐘進行處罰；對造成某一系統(tǒng)或全礦停產(chǎn)誤時的對責任單位按3.0元/分鐘進行處罰。

（2）事故造成1000元以內(nèi)經(jīng)濟損失的，由責任者賠償損失的20%—40%，直接經(jīng)濟損失在1001—5000元者，由責任者賠償損失的10%—30%，并給予行政警告處分，其余部分由其單位負責賠償。

（3）對因個人操作不符合規(guī)定或擅離職守，而造成設備損壞，由責任者按100%賠償。

（4）對事故隱瞞不報者，一經(jīng)查出，每次罰款50元。

（5）事故責任單位及個人罰款、賠償，經(jīng)追查小組決定后由調(diào)度室月末出據(jù)罰單（一式三份，調(diào)度、財務、個人各持一份）通知到責任單位及責任者，由財務科執(zhí)罰。

（6）各單位全月誤時超過規(guī)定指標，扣干部工資10%。

附：各單位誤時控制指標

單位	全月誤時控制指標	備注
采煤隊	16h
掘進隊	8h	指一個掘進頭
運一隊	8h
運二隊	8h
機電隊	12h
通維隊	4h
生產(chǎn)	0
供應	0
銷售	0

八、關于工傷搶救程序的規(guī)定：

為了確保我礦實現(xiàn)安全生產(chǎn)年，進一步完善工傷搶救程序，加強各級領導的安全意識和責任心，使工傷人員能夠迅速搶救上井并得以及時治療，結合我礦實際，特制定如下措施：

1、加強各級領導值班制度和采掘區(qū)隊現(xiàn)場跟班制度值班期間有事必須向調(diào)度室請假，說明去向和電話號碼，并能在10分鐘內(nèi)找見，如去處用電話無法聯(lián)系時，必須找本單位其它領導代替值班，否則不得離開值班崗位，嚴禁脫崗和空崗。

2、井下發(fā)生工傷，工傷所在單位必須立即如實向調(diào)度室匯報受傷人單位、姓名、受傷部位、受傷地點、傷勢情況，調(diào)度室通知該單位領導立即停止一切工作，組織現(xiàn)場人員盡力搶救和井上快速運送受傷人員。

3、調(diào)度室接到受傷情況匯報后，做好記錄，并按以下程序通知：

（1）立即通知運輸大巷（電話8040），停止沿途其他工作，將電車開往出事地點接送工傷人員。

（2）通知副井信號工（電話8034），通知副絞車司機（電話），聽到信號后，將罐籠放至下部等待工傷人員。

（3）通知調(diào)度值班司機魏鋒洲（電話：15091431884）。

（4）通知調(diào)度主任周志明（電話15929712697）。

（5）通知當天值班領導。

（6）受傷部位在腰部以上者，立即匯報公司調(diào)度中心（電話：6791202）。

（7）通知：何成育王掌學種盈倉王建芳

同戰(zhàn)倉李建平宋錄才

（8）傷勢嚴重時通知：

張存乾韓對民王全堂王萬恒同新立

鄧曉奇醫(yī)院負責人劉建軍何兵王忠斌

4、傷員上井后，要積極組織醫(yī)護人員搶救，必要時送局醫(yī)院搶救，并及時將情況匯報調(diào)度室。

5、調(diào)度室通知沿線車輛時間必須在5分鐘之內(nèi)通知完，通知有關領導必須在15分鐘之內(nèi)完成。

6、礦醫(yī)院接到調(diào)度室電話后做好搶救準備工作，如工傷危重，立即在15分鐘內(nèi)帶搶救箱，去井口等待進行應急處理，并護送工傷到醫(yī)院。

礦井各部門負責人電話號碼

序號	部門職務	姓名	電話
1	總經(jīng)理	張存乾	13992311359
2	副總經(jīng)理	王建芳	13772766299
3	副總經(jīng)理	種盈倉	13572331879
4	副總經(jīng)理	王掌學	13892384088
5	副總經(jīng)理	何成育	13892384078
6	副總經(jīng)理	韓對民	13992337336
7	生產(chǎn)負責人	劉建軍	13892524199
7	生產(chǎn)負責人	宋錄才	13571376914
8	安監(jiān)負責人	李建平	13892352862
9	機電負責人	何兵	13474457109
10	技術科負責人	同戰(zhàn)倉	13759689096
11	供應負責人	同新立	13892524498
12	通風負責人	王忠斌	13772779639
13	財務負責人	王萬恒	13892573500
14	勞人負責人	王全堂	13891312631
15	后勤負責人	鄧曉奇	13572365990
16	辦公室負責人	王社永	13892319062
17	衛(wèi)生負責人

第9篇安全異常信息快速反應管理辦法

第一章? 總則

第一條? 為深刻吸取長虹公司“3.21”煤與瓦斯突出事故教訓，規(guī)范礦井“安全異常信息”的匯報和處置工作，形成快速反應、運行有序的“安全異常信息”匯報和處置工作機制，實現(xiàn)“安全異常信息”超前預警、超前處置,有效防范事故的發(fā)生,保障安全生產(chǎn)，特制定本辦法。

第二條本辦法規(guī)定的應當匯報和處置的“安全異常信息”主要是指：礦井生產(chǎn)過程中發(fā)生的“安全異常信息”，包括機電運輸專業(yè)、一通三防及防突專業(yè)、地測防治水專業(yè)、采煤專業(yè)、開掘專業(yè)等五類信息；外部供電、通訊、供水等方面威脅礦井安全生產(chǎn)的“安全異常信息”;威脅礦井安全生產(chǎn)的極端天氣、地震等方面的“安全異常信息”。

第三條? 提升理念?！鞍踩惓Ｐ畔ⅰ笔鞘鹿暑A兆,是停產(chǎn)撤人的命令，“安全異常信息”不匯報,匯報不處置,或既不匯報又不處置就是事故，按照“四不放過”原則進行追查處理。“安全異常信息”的匯報要及時、準確和完整，處置要安全快速有效。

第四條? 調(diào)度室及相關業(yè)務科室負責“安全異常信息”的收集、撤人、匯報、處置、建檔、跟蹤、銷號七個環(huán)節(jié)的工作，在調(diào)度室建立“安全異常信息”閉合管理臺賬。調(diào)度室負責“安全異常信息”的收集、匯報、處置、建檔等工作，業(yè)務保安科室負責“安全異常信息”的跟蹤落實、整改銷號等工作。礦井行政主要負責人是礦井“安全異常信息”匯報和處置工作的第一責任人，分管副職對業(yè)務范圍內(nèi)的“安全異常信息”的匯報和處置工作負責。

第五條? 完善礦井“安全異常信息”處置技術、機構、隊伍、資金、裝備方面的保障工作和“安全異常信息”匯報和處置工作的管理和考核，建立“安全異常信息”閉合管理臺賬。礦井行政主要負責人是本單位“安全異常信息”匯報和處置工作管理和提供有關保障的第一責任人，分管副職對業(yè)務范圍內(nèi)的“安全異常信息”匯報及處置工作管理和提供有關保障負責。

第六條? 調(diào)度室是“安全異常信息”匯報和處置的指揮中心，對所登記的“安全異常信息”要求做到實時調(diào)度。各業(yè)務保安科室是“安全異常信息”處置的技術指導部門。并負責“安全異常信息”閉合管理臺賬的建立、管理，跟蹤處置，直至安全異常狀況消除。

第二章? “安全異常信息”的匯報

第七條? “安全異常信息”要如實匯報，不得遲報、漏報或瞞報。

第八條? “安全異常信息”的匯報內(nèi)容

（一）機電運輸專業(yè)（詳見附表1）

1.礦井及重要負荷單回路供電。

2.主、副井及乘人系統(tǒng)運行異常。

3.大型固定設備技術測定及探傷等有（存在）重大缺陷。

4.主要通風機故障單機運轉。

5.礦井主排水系統(tǒng)故障不能擔負正常涌水量。

6.危及安全的其它“安全異常信息”。

（二）一通三防及防突專業(yè)（詳見附表2）

1.采掘工作面出現(xiàn)明顯的煤與瓦斯突出及沖擊地壓預兆，包括中度以上噴孔、響煤炮或其它明顯預兆。

2.鉆探期間發(fā)現(xiàn)地質(zhì)構造。

3.瓦斯高值或超限。

4.一氧化碳超標（放炮除外）。

5.監(jiān)測監(jiān)控系統(tǒng)異常，包括：（1）井上主要通風機或井下局部通風機監(jiān)測顯示停風；（2）風門開停傳感器監(jiān)測顯示敞開；（3）礦井監(jiān)控系統(tǒng)全部無記錄或部分無記錄；（4）監(jiān)控系統(tǒng)相關設備未按規(guī)定檢測、校驗、維護保養(yǎng)導致數(shù)據(jù)傳輸不正常的。

6.危及安全的其它“安全異常信息”。

（三）地測防治水專業(yè)（詳見附表3）

1.礦井涌水量達到預警水量（礦井排水系統(tǒng)聯(lián)合試運的正常排水量）。

2.暴雨天氣，可能發(fā)生洪水淹井。

3.探水鉆孔閥門損毀，涌水難以控制。

4.采掘工作面有突水征兆。

5.危及安全的其它“安全異常信息”。

（四）采煤專業(yè)（詳見附表4）

以下情況同時出現(xiàn)2處及以上的，必須上報：

1.工作面掉頂嚴重，冒落高度超過0.5m、連續(xù)長度超過5m。

2.工作面切頂嚴重，臺階下沉超過0.5m、連續(xù)長度超過5m。

3.采面煤壁嚴重片幫，深度超過1.5m、連續(xù)長度超過5m。

4.工作面支架連續(xù)5架嚴重鉆底或擠架。

5.工作面兩端頭老塘側局部懸頂面積大（面積大于2m×5m）。

6.危及安全的其它“安全異常信息”。

（五）開掘專業(yè)（詳見附表5）

1.開掘工作面在一個生產(chǎn)班內(nèi)頂板連續(xù)發(fā)出響聲。

2.頂板離層明顯，出現(xiàn)裂縫、頂板掉渣。

3.巷道壓力增大片幫嚴重。

4.支架變形嚴重甚至斷裂。

5.工作面出現(xiàn)地質(zhì)構造。

6.危及安全的其它“安全異常信息”。

第三章? “安全異常信息”的處置

第九條? 礦井“安全異常信息”的處置

（一）當?shù)V井生產(chǎn)過程中發(fā)生本辦法規(guī)定的“安全異常信息”時，現(xiàn)場管理人員（帶班領導、跟班干部、班組長）、安檢員、瓦檢員等，必須第一時間發(fā)出停止作業(yè)、撤人的命令，指揮現(xiàn)場人員撤到安全地點，同時向礦調(diào)度室匯報。

（二）礦調(diào)度室值班人員接到生產(chǎn)現(xiàn)場或其它“安全異常信息”的匯報后，須在20分鐘內(nèi)用電話分別向礦井值班領導、分管領導及主要領導、分公司調(diào)度室、集團總調(diào)度室（電話：0375-2724146）、許平煤業(yè)生產(chǎn)技術處（調(diào)度）（電話：0375-3579000、3579331）、安監(jiān)局禹州監(jiān)察處匯報，同時須按照礦井值班領導的指示，立即通知受到安全威脅的人員撤離危險區(qū)域。之后須在30分鐘內(nèi)把“安全異常信息”填寫到相應的“安全異常信息”匯報表（詳見附表）中，并通過集團oa辦公系統(tǒng)發(fā)送許平煤業(yè)生產(chǎn)技術處（調(diào)度）。

（三）由礦井值班領導立即組織調(diào)度、安監(jiān)、業(yè)務科室等有關人員趕赴現(xiàn)場收集“安全異常信息”第一手資料，礦井帶班領導立即趕赴現(xiàn)場對“安全異常信息”的處置進行指導和指揮，礦井總工程師負責牽頭完善相關處置措施，礦井分管副職牽頭組織對“安全異常信息”進行處置，業(yè)務保安科室負責牽頭建立跟蹤工作機制，實時督導“安全異常信息”的處置，直至安全異常狀況消除。

第四章? 考核

第十條

（一）作業(yè)現(xiàn)場發(fā)現(xiàn)“安全異常信息”后，現(xiàn)場管理人員（帶班領導、跟班干部、班組長）、現(xiàn)場安檢員、瓦檢員等未在第一時間向調(diào)度室匯報的，對上述人員罰款500元。

（二）調(diào)度室接到“安全異常信息”匯報后，應在20分鐘內(nèi)向礦值班領導、分管領導及主要領導、分公司調(diào)度室、集團總調(diào)度室、許平煤業(yè)生產(chǎn)技術處（調(diào)度）、安監(jiān)局禹州監(jiān)察處匯報，之后須在30分鐘內(nèi)把“安全異常信息”填寫到相應的“安全異常信息”匯報表中，并通過集團oa辦公系統(tǒng)發(fā)送許平煤業(yè)生產(chǎn)技術處（調(diào)度），逾時不報的對調(diào)度當班值班人員罰款500元。

（三）礦井調(diào)度室及業(yè)務保安科室未建立“安全異常信息”閉合管理臺賬的或“安全異常信息”閉合管理臺賬未及時建檔、整改銷號的，未及時建檔的，對調(diào)度室負責人罰款500元，未做到跟蹤閉合管理的，對分管業(yè)務科室負責人罰款500元。

（四）“安全異常信息”瞞報的對作業(yè)現(xiàn)場安全管理人員罰款500元，匯報不處置，對調(diào)度室當班值班人員罰款500元，對調(diào)度室負責人罰款500元。

（五）“安全異常信息”處置期間因技術、機構、隊伍、資金、裝備保障不到位造成處置不及時或不能有效處置“安全異常信息”的，對相應單位進行責任追究。

（六）監(jiān)測監(jiān)控系統(tǒng)出現(xiàn)高值后監(jiān)控上傳中斷，按瓦斯超限事故進行責任追究。

第五章? 附則

第十一條? 有關注釋

中度噴孔：鉆進過程中連續(xù)噴孔，停鉆后持續(xù)1-2分鐘，噴出顆粒直徑3毫米，鉆屑明顯增多，拋出距離1-2米，工作面里探絕對值增加0.3%以內(nèi)。

嚴重噴孔：停鉆后連續(xù)噴孔超過2分鐘，且?guī)С龃罅裤@屑；拋出距離大于2米或伴有煤炮聲；工作面里探絕對值增加0.3%以上。（符合上述任一條件，即判斷為嚴重噴孔）。

中度煤炮：聲音較大，間歇性明顯（時間間隔大于1分鐘），有震感，有掉渣、揚塵現(xiàn)象。

嚴重煤炮：聲音巨響、相鄰區(qū)段多處地點均能聽到；響聲連續(xù)；震感明顯；伴有大量揚塵。（符合上述任一條件，即判斷為嚴重煤炮）。

有聲預兆：煤層發(fā)出劈裂聲、悶雷聲、機槍聲、響煤炮、以及氣體穿過含水裂縫時的吱吱聲等。聲音由遠到近，由小到大，有短暫的，有連續(xù)的，時間間隔長短不一致。煤壁發(fā)生震動和沖擊，頂板來壓，支架發(fā)出折裂聲。

無聲預兆：工作面頂板壓力增大，煤壁被擠壓，片幫掉渣，頂板下沿或底板鼓起；煤層層理紊亂、煤暗淡無光澤、煤質(zhì)變軟；瓦斯忽大忽小，煤壁發(fā)涼，打鉆時有頂鉆、卡鉆、噴瓦斯等現(xiàn)象。

煤厚發(fā)生變化：增厚、變薄、尖滅、變軟。

瓦斯高值：正常作業(yè)情況下瓦斯增幅50%以上即為瓦斯高值。

瓦斯超限：無論任何條件下瓦斯?jié)舛冗_到1%即為瓦斯超限。

一氧化碳超標：除礦上建立臺帳管理的一氧化碳區(qū)域和放炮引起的一氧化碳超標外，其它地點一氧化碳超標都必須立即匯報。

主要通風機停運：無論任何原因導致主要通風機停運都必須立即匯報。

第十二條? 本辦法自印發(fā)之日起執(zhí)行。

附表：各專業(yè)“安全異常信息”匯報表

第10篇信息系統(tǒng)運行維護安全管理規(guī)定

第一章總則

第一條為了確保總公司信息系統(tǒng)的安全、穩(wěn)定和可靠運行,充分發(fā)揮信息系統(tǒng)的作用,依據(jù)《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 <>》,結合總公司實際,特制定本規(guī)定。

第二條本規(guī)定所稱的信息系統(tǒng),是指由網(wǎng)絡傳輸介質(zhì)、網(wǎng)絡設備及服務器、計算機終端所構成的,為正常業(yè)務提供應用及服務的硬件、軟件的集成系統(tǒng)。

第三條信息系統(tǒng)安全管理實行統(tǒng)一規(guī)劃、統(tǒng)一規(guī)范、分級管理和分級負責的原則。

第二章管理機構及職責

第四條總公司辦公室是公司信息系統(tǒng)運行維護和安全管理的主管部門,其安全管理職責是:

(一)負責總公司機關內(nèi)互聯(lián)網(wǎng)的運行管理,保證與城建局、各所屬單位網(wǎng)絡連接的暢通;

(二)負責總公司機關局域網(wǎng)的運行維護管理;

(三)落實安全技術措施,保障總公司信息系統(tǒng)的運行安全和信息安全;

(四)指導、協(xié)調(diào)所屬單位局域網(wǎng)系統(tǒng)的安全運行管理。

第五條總公司各所屬單位信息員負責本單位局域網(wǎng)的運行維護和安全管理,服從總公司辦公室的指導和管理。其安全管理職責是:

(一)負責廣域網(wǎng)本單位節(jié)點、本單位局域網(wǎng)的運行維護和安全管理,保證與總公司網(wǎng)絡連接的暢通;

(二)負責本單位人員的信息安全教育和培訓,建立健全安全管理制度;

(三)與總公司辦公室密切配合,共同做好總公司信息系統(tǒng)的安全運行、管理和維護工作。

第三章網(wǎng)絡接入及ip地址管理

第六條需要接入總公司網(wǎng)絡的所屬單位應向總公司辦公室提交申請,經(jīng)審批同意后方可接入。

第七條總公司機關內(nèi)部局域網(wǎng)的ip地址由辦公室統(tǒng)一規(guī)劃、管理和分配,ip地址的申請、補充、更換均需辦理相關手續(xù)。

第八條申請與使用ip地址,應與登記的聯(lián)網(wǎng)計算機網(wǎng)卡的以太網(wǎng)地址(mac地址,即硬件地址)捆綁,以保證一個ip地址只對應一個網(wǎng)卡地址。

第九條入網(wǎng)單位和個人應嚴格使用由總公司辦公室及本單位網(wǎng)絡管理員分配的ip地址和指定的網(wǎng)關和掩碼。嚴禁盜用他人ip地址或私自設置ip地址?？偣巨k公室有權切斷私自設置的ip地址入網(wǎng),以保證總公司內(nèi)部局域網(wǎng)的正常運行。

第四章安全運行管理

第十條總公司機關和各所屬單位均應指定專人擔任信息系統(tǒng)管理員,負責信息系統(tǒng)的日常運行維護、故障處理及性能調(diào)優(yōu)工作。

第十一條建立電子設備運行檔案,對所發(fā)生的故障、處理過程和結果等要做好詳細的記錄。關鍵設備應有備品備件,并進行定期的檢測和維護,確保隨時處于可用狀態(tài)。

第十二條系統(tǒng)軟件(操作系統(tǒng)和數(shù)據(jù)庫)必須使用正版軟件,其選用應充分考慮軟件的安全性、可靠性、穩(wěn)定性,并具備身份驗證、訪問控制、故障恢復、安全保護、安全審計、分權制約等功能。

第十三條對會影響到全公司的硬件設備或軟件的更改、調(diào)試等操作應預先制定具體實施方案,必要時準備好后備配件和應急措施。

第十四條數(shù)據(jù)庫管理系統(tǒng)和關鍵網(wǎng)絡設備(如服務器、防火墻、交換機等)的口令必須使用強口令,由專人掌管,定期更換。

第十五條業(yè)務信息系統(tǒng)應嚴格控制操作權限,原則上采用專人專用的用戶名及密碼登錄;對數(shù)據(jù)庫的維護不允許通過外網(wǎng)遠程登錄進行。

第十六條接入總公司信息系統(tǒng)的所有服務器和計算機均應采用國家許可的正版防病毒軟件并及時更新軟件版本,發(fā)現(xiàn)問題及時解決。具體措施如下:

(一)所有計算機全部安裝和使用網(wǎng)絡版防毒軟件,未經(jīng)許可,不得隨意禁用或卸載,并設置好定期升級和殺毒的安全策略;

(二)對新購進的、修復的或重新啟用的計算機設備,必須預先進行計算機病毒檢查后方可安裝運行;

(三)杜絕病毒傳播的各種途徑,光盤和優(yōu)盤等存儲介質(zhì)及經(jīng)遠程通信傳送的程序或數(shù)據(jù)在使用前應進行病毒檢測,如工作需要使用共享目錄,必須做好有關防范措施;

(四)在接入internet網(wǎng)時,嚴格控制下載軟件,謹慎接收電子郵件;在接收電子郵件時,不隨意打開附件;

(五)當出現(xiàn)計算機病毒傳染跡象時,立即拔掉網(wǎng)線,隔離被感染的系統(tǒng)和網(wǎng)絡,并進行處理,不應帶“毒”繼續(xù)運行。

第十七條總公司及所屬各單位信息系統(tǒng)如發(fā)生嚴重的網(wǎng)絡中斷故障,應按規(guī)定進行先期處置,同時報總公司辦公室。

第六章數(shù)據(jù)管理

第十八條系統(tǒng)管理員應對系統(tǒng)數(shù)據(jù)(主要包括數(shù)據(jù)字典、權限設置、存儲分配、網(wǎng)絡地址、網(wǎng)管參數(shù)、硬件配置及其他系統(tǒng)配置參數(shù))實施嚴格的安全與保密管理,并定期核對,防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。

第十九條各單位應定期進行數(shù)據(jù)備份,保證系統(tǒng)發(fā)生故障時能夠迅速恢復;業(yè)務數(shù)據(jù)必須設置在線定時自動備份策略,必要時應采用雙機備份。

第二十條各單位重要業(yè)務數(shù)據(jù)必須每年定期、完整、真實、準確地轉儲到不可更改的介質(zhì)上,實行集中存儲和異地保管,保存期至少2年。備份數(shù)據(jù)不得更改,應指定專人負責保管和登記。

第二十一條各單位業(yè)務數(shù)據(jù)不得隨意進行數(shù)據(jù)恢復,因數(shù)據(jù)丟失或故障確需恢復的,應由系統(tǒng)管理員報本單位信息化工作部門,經(jīng)批準后方可進行數(shù)據(jù)恢復操作,并做好記錄。

第二十二條總公司信息系統(tǒng)的數(shù)據(jù)采集、存儲、處理、傳遞、輸出和發(fā)布應遵守計算機信息系統(tǒng)相關保密管理規(guī)定,以保證公司信息系統(tǒng)無泄密事件發(fā)生。

第七章附則

第二十三條本辦法由總公司辦公室負責解釋。

第二十四篥本辦法自印發(fā)之日起施行。

第11篇區(qū)二中網(wǎng)絡與信息安全管理應急預案

二中網(wǎng)絡與信息安全管理應急預案

為確保網(wǎng)絡正常使用,充分發(fā)揮網(wǎng)絡在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務院《互聯(lián)網(wǎng)信息服務管理辦法》和有關規(guī)定,特制訂本預案,妥善處理危害網(wǎng)絡與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。

一、危害網(wǎng)絡與信息安全突發(fā)事件的應急響應

1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等

網(wǎng)絡管理中心應立即切斷局域網(wǎng)與外部的網(wǎng)絡連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。

2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務器上的,學校應立即切斷與外部的網(wǎng)絡連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關閉租用空間。

3.如在外部可訪問的網(wǎng)站、郵件等服務器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務器的網(wǎng)絡連接,使得外部不可訪問。防止有害信息的擴散。

4.采取相應的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。

5.在確保安全問題解決后,方可恢復網(wǎng)絡(網(wǎng)站)的使用。

二、保障措施

1.加強領導,健全機構,落實網(wǎng)絡與信息安全責任制。建立由主管領導負責的網(wǎng)絡與信息安全管理領導小組,并設立安全專管員。明確工作職責,落實安全責任制;bbs、聊天室等交互性欄目要設有防范措施和專人管理。

2.局內(nèi)網(wǎng)絡由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設備,擅接終端設備。

3.加強安全教育,增強安全意識,樹立網(wǎng)絡與信息安全人人有責的觀念。安全意識淡薄是造成網(wǎng)絡安全事件的主要原因,各校要加強對教師、學生的網(wǎng)絡安全教育,增強網(wǎng)絡安全意識,將網(wǎng)絡安全意識與政治意識、責任意識、保密意識聯(lián)系起來。特別要指導學生提高他們識別有害信息的能力,引導他們正健康用網(wǎng)。

4.不得關閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。

第12篇 iso27000信息安全管理體系審核員工作職責與職位要求

職位描述：

工作職責：

1.執(zhí)行公司安排的審核任務，及時向相關人員反饋審核工作中出現(xiàn)的各種問題，并積極配合解決問題；

2.在審核工作中堅持審核原則，遵守審核員的行為規(guī)范和公司的各項規(guī)定，注意自己的言行，維護公司利益和形象；

3.及時完成審核資料的準備、與客戶在審核前的溝通、督促客戶整改不符合項、根據(jù)認證決定工作人員的意見修改和完善審核資料等工作；

4.及時完成公司安排的技術文件的編制工作；

5.積極參加公司安排的現(xiàn)場見證工作；

6.在審核中了解客戶需求并向相關部門反饋；

7.積極參加公司安排的有關培訓工作；

8.提供與審核相關的工作及公司其他各項工作的建議；

9.主動學習，持續(xù)提高自身的專業(yè)素質(zhì)和審核技能，為受審核方提供有價值的意見和建議，不斷提升審核工作質(zhì)量。

職位要求：

1.本科及以上學歷；

2.具備信息安全、密碼學、計算機科學與技術、計算機應用、電子信息科學與技術、電子信息技術應用、人工智能、計算數(shù)學與應用數(shù)學、自動化、通信、電氣等相關的專業(yè)學歷；

3.已獲得信息安全領域專業(yè)注冊資格；

4.至少2年與信息安全有關的管理、技術研究與開發(fā)服務、測評、教學、標準制定等工作；

5.國家管理體系審核員注冊準則中規(guī)定的各級別審核員應具備的知識、技能和個人素質(zhì)；

6.尊重和維護公司的形象、聲譽和利益；

7.自我激勵，自我完善，具有良好的溝通能力及較強的團隊協(xié)作精神；

8.能滿足經(jīng)常性出差需要。

第13篇信息系統(tǒng)安全管理規(guī)定

系統(tǒng)安全管理規(guī)定

文檔號CSLJC_COM_STD_ISMS_1202_P_V0.1密級

ISO27001信息安全管理體系文件

系統(tǒng)安全管理規(guī)定

ISMS-MP-A.12-01活動

簽名

日期

創(chuàng)建

2011-8-24審核

批準II

文檔變更歷史

作者(或修訂人)版本號

日期

修改內(nèi)容與原因

V0.12011-8-24新建

評審記錄

評審方式

版本號

日期

評審意見

文檔狀態(tài)：草稿

1概述11.1目的11.2定義11.3范圍11.4原則12角色與職責13安全要求23.1系統(tǒng)安全規(guī)劃要求23.2系統(tǒng)運行與維護安全要求23.3操作系統(tǒng)安全配置策略53.3.1Windows系統(tǒng)安全配置管理策略53.3.2UNI*系統(tǒng)安全管理策略84附錄10概述

1.1目的

為了加強公司各類計算機系統(tǒng)的安全運維管理，特制定本規(guī)定。

1.2定義

本程序引用ISO/IEC

17799:2005標準中的術語。

1.3范圍

本文檔適用于公司建立的信息安全管理體系。

1.4原則

本文檔將依據(jù)信息技術和信息安全技術的不斷發(fā)展和信息安全風險與信息安全保護目標的不斷變化而進行版本升級。

角色與職責

表2-1系統(tǒng)安全管理規(guī)定的角色和職責

序號

角色

職責

信息安全管理委員會

負責對系統(tǒng)安全管理進行指導和檢查

系統(tǒng)運維部

負責生產(chǎn)環(huán)境系統(tǒng)的維護工作

系統(tǒng)支援及維護部

負責系統(tǒng)安全管理的落地和實施工作

員工遵守公司系統(tǒng)安全管理規(guī)定

安全要求

3.1系統(tǒng)安全規(guī)劃要求

1、系統(tǒng)在投入使用前需要做好前期的規(guī)劃和設計，除了要滿足公司目前業(yè)務需要外還要考慮該業(yè)務系統(tǒng)將來的應用需求，使系統(tǒng)具有一定的擴充能力。

2、系統(tǒng)服務器操作系統(tǒng)應選用正版軟件并且遵守軟件規(guī)定的最終用戶使用協(xié)議，禁止使用盜版軟件。

3、新規(guī)劃使用系統(tǒng)應考慮和原來系統(tǒng)的兼容性問題。

4、在新系統(tǒng)安裝之前應有詳細的實施計劃，并嚴格按照計劃來實施。

5、在新系統(tǒng)安裝完成，投入使用前，應對所有組件包括設備、服務或應用進行連通性測試、性能測試、安全性測試，并在《系統(tǒng)測試記錄》做詳細記錄，最終形成測試報告。

6、在新系統(tǒng)安裝完成，測試通過，投入使用前，應刪除測試用戶和口令，最小化合法用戶的權限，最優(yōu)化配置，應及時對系統(tǒng)軟件、文件和重要數(shù)據(jù)進行備份。

3.2系統(tǒng)運行與維護安全要求

1、各個系統(tǒng)設備應進行資產(chǎn)登記。

2、系統(tǒng)的帳號、口令應符合《帳號與密碼安全管理規(guī)定》，并定期對帳號口令實施安全評估。

3、嚴格限制操作系統(tǒng)管理員權限帳號和普通賬號的數(shù)量和使用范圍。對于系統(tǒng)管理員的帳號要詳細登記備案，編制《管理員權限賬號記錄》，每季度對該記錄進行審核，更新帳號記錄。

4、操作系統(tǒng)帳號的申請與變更參考《帳號與密碼安全管理規(guī)定》3.5節(jié)“賬號權限控制流程”。

5、嚴格禁止非本系統(tǒng)管理、維護人員直接進入主機設備進行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術工程師、非本系統(tǒng)技術工程師、安全管理員等）進入主機設備進行操作時，必須由維護人員員親自登錄，并對操作全過程進行記錄備案。

6、應盡可能減少主機設備的遠程管理方式。

7、嚴禁隨意安裝、卸載系統(tǒng)組件和驅動程序，如確實需要，應及時評測可能由此帶來的影響；如果需要安裝補丁程序，參考《病毒與補丁安全管理規(guī)定》進行安裝。

8、禁止主機系統(tǒng)上開放具有“寫”權限的共享目錄，如果確實必要，優(yōu)先考慮建立FTP站點，緊急情況下可臨時開放，但要設置強共享口令，并在使用完之后立刻取消共享；應禁止不被系統(tǒng)明確使用的服務、協(xié)議和設備的特性，避免使用不安全的服務。

9、應嚴格并且合理的分配服務安裝分區(qū)或者目錄的權限，如果可能的話，給每項服務安裝在獨立分區(qū)；取消或者修改服務的banner信息；避免讓應用服務運行在root或者administrator權限下。

10、應嚴格控制重要文件的許可權和擁有權，重要的數(shù)據(jù)應當加密存放在主機上，取消匿名FTP訪問，并合理使用信任關系。

11、應對日志功能的啟用、日志記錄的內(nèi)容、日志的管理形式、日志的審查分析做出明確的規(guī)定；對于重要主機系統(tǒng)，應建立集中的日志管理服務器，實現(xiàn)對重要主機系統(tǒng)日志的統(tǒng)一管理，以利于對主機系統(tǒng)日志的審查分析；應保證各設備的系統(tǒng)日志處于運行狀態(tài)，并定期對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時應及時向相關人員報告，日志審核要求詳見《安全審計管理規(guī)定》。

12、應及時監(jiān)視、收集主機設備操作系統(tǒng)生產(chǎn)廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應的官方站點，并對更新軟件或補丁進行評測，在獲得部門領導的批準下，對實際環(huán)境實施軟件更新或者補丁安裝；必須訂閱CERT

(計算機緊急響應小組)公告或其他專業(yè)安全機構提供的安全漏洞信息的相關資源，應立即提醒信息安全工作組任何可能影響網(wǎng)絡正常運行的漏洞；及時評測對漏洞采取的對策，在獲得部門領導的批準下，對實際環(huán)境實施評測過的對策，并將整個過程記錄備案；軟件更新或者補丁安裝應盡量安排在非業(yè)務繁忙時段進行，操作必須由兩人以上完成，由一人監(jiān)督，一人操作，并在升級（或修補）前后做好數(shù)據(jù)和軟件的備份工作，同時將整個過程記錄備案；軟件更新或者補丁安裝后應重新對系統(tǒng)進行安全設置，并進行系統(tǒng)的安全檢查。

13、應定期進行安全漏洞掃描和病毒查殺工作，平均頻率應不低于每月一次，并在《月度網(wǎng)絡安全掃描記錄》中詳細記錄評估掃描結果。重大安全漏洞發(fā)布后，應在3個工作日內(nèi)進行；為了防止網(wǎng)絡安全掃描以及病毒查殺對網(wǎng)絡性能造成影響，應根據(jù)業(yè)務的實際情況對掃描時間做出規(guī)定，應一般安排在非業(yè)務繁忙時段；當發(fā)現(xiàn)主機設備上存在病毒、異常開放的服務或者開放的服務存在安全漏洞時應及時上報信息安全工作組，并采取相應措施。

14、應至少每周1次，對所有主機設備進行檢查，確保各設備都能正常工作；應通過各種手段監(jiān)控主機系統(tǒng)的CPU利用率、進程、內(nèi)存和啟動腳本等的使用狀況，在發(fā)現(xiàn)異常系統(tǒng)進程或者系統(tǒng)進程數(shù)量異常變化時，或者CPU利用率，內(nèi)存占用量等突然異常時，應立即上報信息安全工作組，并同時采取適當控制措施，并記錄備案。

15、當主機系統(tǒng)出現(xiàn)以下現(xiàn)象之一時，必須進行安全問題的報告和診斷：

系統(tǒng)中出現(xiàn)異常系統(tǒng)進程或者系統(tǒng)進程數(shù)量有異常變化。

系統(tǒng)突然不明原因的性能下降。

系統(tǒng)不明原因的重新啟動。

系統(tǒng)崩潰，不能正常啟動。

系統(tǒng)中出現(xiàn)異常的系統(tǒng)賬號

系統(tǒng)賬號口令突然失控。

系統(tǒng)賬號權限發(fā)生不明變化。

系統(tǒng)出現(xiàn)來源不明的文件。

系統(tǒng)中文件出現(xiàn)不明原因的改動。

系統(tǒng)時鐘出現(xiàn)不明原因的改變。

系統(tǒng)日志中出現(xiàn)非正常時間系統(tǒng)登錄，或有不明IP地址的系統(tǒng)登錄。

發(fā)現(xiàn)系統(tǒng)不明原因的在掃描網(wǎng)絡上其它主機。

16、應及時報告任何已知的或可疑的信息安全問題、違規(guī)行為或緊急安全事件，并在采取適當措施的同時，應向信息安全工作組報告細節(jié)；應定期提交安全事件和相關問題的管理報告，以備管理層檢查。

17、應根據(jù)“知所必需”原則嚴格限制泄漏安全違規(guī)行為、安全事件或安全漏洞。如果必須向任何公司外部方（包括任何合法的權威機構）泄漏這類受限信息，應先咨詢公司相關法律部門。

18、系統(tǒng)軟件安裝之后，應立即進行備份；在后續(xù)使用過程中，在系統(tǒng)軟件的變更以及配置的修改之前和之后，也應立即進行備份工作；應至少每年1次對重要的主機系統(tǒng)進行災難影響分析，并進行災難恢復演習。

19、應至少每年1次對整個網(wǎng)絡進行風險評估，每次風險評估時，手工檢查的比例應不低于10％，滲透測試的比例應不低于5％；風險評估后應在10個工作日內(nèi)完成對網(wǎng)絡的修補和加固，并進行二次評估。

3.3操作系統(tǒng)安全配置策略

3.13.23.33.3.1Windows系統(tǒng)安全配置管理策略在應用以下安全策略之前應根據(jù)業(yè)務系統(tǒng)的實際情況進行操作，注意實施操作后對業(yè)務的風險。

1、物理安全策略

應設置BIOS口令以增加物理安全。

應禁止遠程用戶使用光驅和軟驅。

2、補丁管理策略

應啟動Windows自動更新功能，及時安裝Windows補?。⊿P、hotfi*）。

對于不能訪問Internet的Windows系統(tǒng)，應采用手工打補丁的方式。

3、帳戶與口令策略所有帳戶均應設置口令。

應將系統(tǒng)管理員賬號administrator重命名。

應禁止Guest賬號。

應啟用“密碼必須符合復雜性要求”，設置“密碼長度最小值”、“密碼最長存留期”、“密碼最短存留期”、“密碼強制歷史”，停用“為域中用戶使用可還原的加密來存儲”。

應設置“賬戶鎖定時間”，“賬戶鎖定閾值”，“復位賬戶鎖定計數(shù)器”來防止遠程密碼猜測攻擊。

在信息安全組批準下，應定期利用口令破解軟件進行口令模擬破解測試，在發(fā)現(xiàn)脆弱性口令后及時通告并采取強制性的補救修改措施。

4、網(wǎng)絡服務策略

應盡可能減少網(wǎng)絡服務，關閉不必要的服務。

應通過修改注冊表項，調(diào)整優(yōu)化TCP/IP參數(shù)，來提高系統(tǒng)抵抗DoS攻擊的能力。

應限制使用SNMP服務。如果的確需要，應使用V3版本替代V1、V2版本，并啟用MD5校驗等功能。

5、文件系統(tǒng)策略

所有分區(qū)均應使用NTFS。

盡量使用磁盤配額管理、文件加密（EFS）等功能。

應卸載OS/2和POSI*操作環(huán)境子系統(tǒng)。

應將所有常用的管理工具放在%systemroot%外的特殊目錄下，并對其進行嚴格的訪問控制，保證只有管理員才具有執(zhí)行這些工具的權限。

應關閉NTFS生成

8.3文件名格式。

應設置訪問控制列表（ACL），對重要的目錄、文件進行訪問權限的限制。

6、日志策略

應啟用系統(tǒng)和文件審核功能，包括應用程序日志、安全日志、系統(tǒng)日志、以及各種服務的日志。

應更改日志存放的目錄，并及時監(jiān)控，特別是安全日志、系統(tǒng)日志。對于重要主機設備，應建立集中的日志管理服務器，實現(xiàn)對重要主機設備日志的統(tǒng)一管理，以利于對主機設備日志的審查分析。

7、安全性增強策略

對于獨立服務器應直接檢查本地的策略和配置。對于屬于域的服務器，應檢查域控制器上對計算機的域管理策略。檢查內(nèi)容主要為用戶、用戶組及其權限管理策略。

應限制對注冊表的訪問，嚴禁對注冊表的匿名訪問，嚴禁遠程訪問注冊表，并對關鍵注冊表項進行訪問控制，以防止它們被攻擊者用于啟動特洛伊木馬等惡意程序。

應定期檢查注冊表啟動項目，避免系統(tǒng)被安裝非法的自啟動程序。

應隱含最后登陸用戶名，避免攻擊者猜測系統(tǒng)內(nèi)的用戶信息。

在登錄系統(tǒng)時應顯示告警信息，防止用戶對遠程終端服務口令進行自動化的腳本猜測，并刪除關機按鈕。

應刪除Windows主機上所有默認的網(wǎng)絡共享。

應關閉對Windows主機的匿名連接。

對于不需要共享服務的主機，應徹底關閉文件和打印機共享服務。

應限制Pcanywhere等遠程管理工具的使用，如確實需要，應使用最新版本，完整安裝補丁程序并經(jīng)過評測，獲得信息安全工作組的許可；并使用Pcanywhere加密方式進行管理。

應安裝防病毒軟件，并及時更新軟件版本和病毒庫。

盡量安裝防火墻。

3.3.2UNI*系統(tǒng)安全管理策略

1、補丁管理策略

應及時安裝系統(tǒng)最新補丁。

應及時升級服務至最新版本。

2、帳戶與口令策略

所有帳戶均應設置口令。

去除不需要的帳戶、修改默認帳號的shell變量。

除root外，不應存在其他uid=0的帳戶。

應設置超時自動注銷登陸，減少安全隱患。

應限制可以su為root的組。

應禁止root遠程登陸。

在信息安全組批準下，應定期利用口令破解軟件進行口令模擬破解測試，在發(fā)現(xiàn)脆弱性口令后及時通告并采取強制性的補救修改措施。

3、網(wǎng)絡服務策略

應盡可能減少網(wǎng)絡服務，關閉不必要的服務。

應啟用inetd進站連接日志記錄，增強審計功能。

應調(diào)整優(yōu)化TCP/IP參數(shù)，來提高系統(tǒng)抵抗DoS攻擊的能力。

應調(diào)整TCP/IP參數(shù)，禁止IP源路由。

應限制使用SNMP服務。如果的確需要，應使用V3版本替代V1、V2版本，并啟用MD5校驗等功能。

應調(diào)整內(nèi)核參數(shù)打開“TCP隨機序列號”功能。

4、文件系統(tǒng)策略

盡量使系統(tǒng)root用戶初始創(chuàng)建權限(umask)為077。

盡量使用磁盤配額管理功能。

去除適當文件的set-uid和set-gid位。

應限制/etc目錄的可寫權限。

增強對關鍵文件的執(zhí)行權限控制。

為不同的掛載點指派不同的屬性。

5、日志策略

應對ssh、su登陸日志進行記錄。

除日志服務器外，應禁止syslogd網(wǎng)絡監(jiān)聽514端口。

對于重要主機設備，應建立集中的日志管理服務器，實現(xiàn)對重要主機設備日志的統(tǒng)一管理，以利于對主機設備日志的審查分析。

6、安全性增強策略

應保證bashshell保存少量的（或不保存）命令。

應禁止GUI登陸。

應隱藏系統(tǒng)提示信息。

盡量安裝第三方安全增強軟件。

附錄

附錄一：相關文件

《信息安全管理體系手冊》

《系統(tǒng)測試記錄》

《操作系統(tǒng)管理員權限帳號記錄》

《操作系統(tǒng)普通權限賬號記錄》

《操作系統(tǒng)賬號開通申請》

《月度網(wǎng)絡安全掃描記錄》

第14篇安全信息閉合管理規(guī)定

為加強安全信息系統(tǒng)化管理,嚴格落實安全生產(chǎn)責任制,及時消除現(xiàn)場隱患,特制訂安全信息閉合管理規(guī)定,望各部門認真執(zhí)行。

1 信息反饋

公司大檢查、隱患排查、公司職能科室專項檢查、公司干部日常檢查、帶班干部檢查、現(xiàn)場人員舉報反饋的問題,由安環(huán)部統(tǒng)一下卡整改。

2 收集處理

2.1安環(huán)部應及時處理所有信息,經(jīng)仔細篩選、歸類后填寫隱患整改通知單,不得丟失或隨意改動每一條信息,并及時通知責任整改部門管理干部落實整改。

2.2整改部門接到通知單后,立即安排組織整改。所有隱患要制定確保安全的臨時性防范措施。治理周期較長、存在較大安全威脅的一般安全隱患的防范措施,經(jīng)廠長辦批準后,交安環(huán)部備案。重大隱患的防范措施要經(jīng)生產(chǎn)經(jīng)理批準后交安環(huán)部備案。

2.3對于一時解決不了的隱患,應定出計劃,按期解決;對于不停車處理不了的隱患,一般要停車處理;對于非處理不行的隱患,在開車情況下要有安全檢修方案,經(jīng)廠長辦批準方可整改。

3 復查驗收

3.1由經(jīng)理層督辦的重大安全隱患治理結束后,由生產(chǎn)廠長組織有關部門負責人進行復查驗收,出具重大安全隱患治理驗收報告,報請總經(jīng)理審批后,送安環(huán)部存檔。

3.2對于由部室負責人督辦的治理周期較長或存在較大安全威脅的一般安全隱患治理結束后,由相關部室負責人組織有關部門進行驗收,合格后出具隱患治理驗收報告,經(jīng)生產(chǎn)廠長簽字后,送安環(huán)部存檔。

3.3對于一些危險性不大、治理周期很短、發(fā)現(xiàn)后能夠立即整改消除的隱患;直接由責任區(qū)域的部門負責人進行復查驗收,合格后將驗收單報安環(huán)部存檔。經(jīng)復查,如隱患未整改或整改不徹底,由責任部門繼續(xù)處理,直至完成整改。

4 工作考核

4.1各部門對各項檢查查出來的問題認真落實整改,如未及時進行整改,且無有效延期整改的,考核責任部門負責人20元/條。

4.2對于隱患整改工作有協(xié)助部門的,如整改未完成連帶考核協(xié)助部門相關責任人50%。

第15篇人員離崗離職信息安全管理規(guī)定

為規(guī)范本單位計算機信息安全工作,更好的服務于本單位信息化建設需要,特制定本規(guī)定:

第一條為保證本單位的計算機與網(wǎng)絡信息安全,適應信息安全等方面的需要,防止計算機網(wǎng)絡失密泄密事件發(fā)生,特制定本制度;

第二條工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務的秘密信息,承擔如同任職期間一樣的保密義務和不擅自使用的義務,直至該秘密信息成為公開信息,而無論離職人員因何種原因離職。

第三條離職人員因職務上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體,均歸本單位所有,而無論這些秘密信息有無商業(yè)上的價值。

第四條離職人員應當于離職時,或者于本單位提出請求時,返還全部屬于本單位的財物,包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的,則視為離職人員已同意將這些載體物的所有權轉讓給本單位,本單位應當在離職人員返還這些載體時,給予離職人員相當于載體本身價值的經(jīng)濟補償;但秘密信息可以從載體上消除或復制出來時,可以由本單位將秘密信息復制到本單位享有所有權的其他載體上,并把原載體上的秘密信息消除,此種情況下離職人員無須將載體返還,本單位也無須給予離職人員經(jīng)濟補償。

第五條離職人員離職時,應將工作時使用的電腦、u盤及其他一切存儲設備中關于工作相關或與本單位有利益關系的信息、文件等內(nèi)容交接給本單位相關人員,不得在離職后以任何形式帶走相關信息。

***********

年月日