信息化安全管理制度匯編(3篇)

包括哪些

信息化安全管理制度旨在確保企業(yè)信息系統(tǒng)的穩(wěn)定運行，保護數(shù)據(jù)資產(chǎn)的安全，防止未經(jīng)授權的訪問、修改或泄露。其主要包括以下幾個關鍵組成部分：

1. 安全策略：定義信息安全的目標、原則和范圍，明確各層級人員的責任和權限。

2. 訪問控制：設定用戶訪問權限，限制非授權人員對敏感信息的接觸。

3. 數(shù)據(jù)保護：實施加密技術，備份和恢復策略，防止數(shù)據(jù)丟失或損壞。

4. 網(wǎng)絡安全：防火墻設置，入侵檢測，以及惡意軟件防護措施。

5. 系統(tǒng)安全：定期更新和維護硬件、軟件，確保系統(tǒng)無漏洞。

6. 審計與監(jiān)控：記錄并分析系統(tǒng)活動，及時發(fā)現(xiàn)異常行為。

培訓內(nèi)容

1. 安全意識教育：讓員工了解信息安全的重要性，理解潛在威脅和風險。

2. 政策與流程：培訓員工理解和遵守信息安全政策，熟悉應急響應流程。

3. 技能培訓：教授密碼管理、郵件安全、網(wǎng)絡瀏覽等基本安全操作。

4. 應對技巧：教育員工如何識別和處理釣魚郵件、欺詐網(wǎng)站等網(wǎng)絡威脅。

5. 法規(guī)遵從：講解相關法律法規(guī)，確保業(yè)務操作符合法規(guī)要求。

應急預案

1. 事件分類：確定各類信息安全事件，如數(shù)據(jù)泄露、系統(tǒng)癱瘓等。

2. 應急響應團隊：組建跨部門團隊，負責協(xié)調(diào)和執(zhí)行應急行動。

3. 處理流程：制定詳細的響應步驟，包括隔離問題、分析原因、修復和恢復。

4. 溝通計劃：設定內(nèi)外部溝通機制，確保信息準確傳遞。

5. 后續(xù)改進：事件處理后進行復盤，改進預防措施，減少未來風險。

重要性

信息化安全管理制度對于企業(yè)的生存和發(fā)展至關重要。它不僅保護了企業(yè)的核心競爭力，防止商業(yè)機密泄露，還能保障客戶隱私，維護企業(yè)聲譽。此外，合規(guī)的信息安全管理可以降低法律風險，避免因違反法規(guī)導致的罰款或訴訟。在數(shù)字化時代，信息安全猶如企業(yè)的生命線，任何一次疏忽都可能導致無法估量的損失。因此，建立健全的信息化安全管理制度，是每個企業(yè)不可忽視的戰(zhàn)略任務。只有通過持續(xù)的投入和努力，才能構建起堅固的信息安全防線，為企業(yè)的發(fā)展保駕護航。

信息化安全管理制度范文

第1篇 高校信息化安全管理方案范本

在高校信息化應用日益深化的今天,信息和資源的整合日益密切,如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運行,確保信息安全是亟待解決的關鍵問題。從調(diào)研顯示,目前我國高校網(wǎng)絡系統(tǒng)存在許多安全問題,如:非授權訪問、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行和利用網(wǎng)絡傳播病毒等,產(chǎn)生這些安全問題的原因在于:沒有建立完善的網(wǎng)絡系統(tǒng)安全體系;沒有建立相應的安全組織、管理、技術機構;沒有建立完備的網(wǎng)絡系統(tǒng)安全措施。

本文從高校信息系統(tǒng)的需求出發(fā),遵從風險管理的理念,在信息化戰(zhàn)略規(guī)劃的基礎上,借鑒國際最佳實踐經(jīng)驗,研究并實施高校信息化安全管理體系,為高校信息安全管理工作提供借鑒和參考。

規(guī)劃信息化安全管理體系

分層次建立安全管理制度和手段

信息化安全管理體系規(guī)劃是高校安全體系建立的第一步,目的是識別安全問題,明確安全管理的范圍和內(nèi)容,建立安全管理的組織管理機制,從管理和技術兩個角度,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術防范手段,形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規(guī)劃過程歸納為以下8個步驟:

1. 建立安全管理組織:安全管理組織的成員由機構的戰(zhàn)略影響者組成,包括來自行政、it、業(yè)務、安全、保衛(wèi)、風險和規(guī)劃部門的人員。

2. 識別保護對象:識別學校目前的關注點、面臨的風險及威脅,分析它們存在的原因,將分析結果納入安全管理體系的規(guī)劃中重點考慮。

3. 評估現(xiàn)有措施:了解學校目前的安全管理措施并評估它們的效力。

4. 考慮長期需要:安全整體規(guī)劃應考慮長期的需要,具有一定的前瞻性,如長期的制度適應性、設備老化、安全人員的發(fā)展需要等。

5. 納入學校的建設規(guī)劃:了解學校新建項目,如辦公樓、教學樓、停車場等項目,是否會影響現(xiàn)有的物理安全規(guī)劃,如有影響,將安全規(guī)劃納入學校建設規(guī)劃中通盤考慮。

6. 建立安全工作機制:形成文件化的制度體系和工作條例,明確各崗位的責任、應提供的服務和交付物,這些將有助于確保工作的落實和運作效率。

7. 應對新老技術的混合:新技術的規(guī)劃應考慮對老技術的沖擊,新老技術的融合運用將是一個挑戰(zhàn)。

8. 關鍵設施重點布局:關鍵設施指校園中那些需要連續(xù)、可靠運行而又相互關聯(lián)的復雜設施集合,這些設施的安全尤為重要,風險也最為突出。

體系框架的內(nèi)容

上述的規(guī)劃步驟從組織、管理和技術三方面較全面地考慮高校信息化安全管理的具體問題,有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架,其中包括安全組織體系、安全管理體系和安全技術體系。

圖1 高校信息化安全管理體系

1. 安全組織體系

它是確保信息安全工作貫徹和落實的基石,基本框架應包含決策、管理、運營和應用4個層次。決策層負責信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項的決策等;管理層負責信息化安全管理體系的實施、安全管理工作機制的研究制訂、安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等;運營層具體負責機房、網(wǎng)絡和服務器、數(shù)據(jù)庫、信息系統(tǒng)的安全管理和維護;應用層即普通用戶,職責包括嚴格按照系統(tǒng)操作手冊正確使用信息系統(tǒng),不得進行可能危害信息系統(tǒng)安全的操作,不得發(fā)布惡意信息等。

2. 安全管理體系

它是整個安全管理體系有效運作和持續(xù)改進的保障,應在實踐中逐步實現(xiàn)規(guī)章制度的文件化、工作機制的程序化和監(jiān)控手段的系統(tǒng)化,基本框架具體包括安全制度的建立、建設與運營工作條例的建立、應急響應機制的建立、審計與評審機制的建立、安全教育與培訓。

3. 安全技術體系

該體系有力保障信息資源和應用系統(tǒng)免受外部攻擊,基本框架由網(wǎng)絡層安全技術、系統(tǒng)層安全技術和應用層安全技術構成。網(wǎng)絡層安全技術包括防火墻、病毒防范、入侵檢測、vpn等;系統(tǒng)層安全技術包括數(shù)據(jù)備份與恢復、數(shù)據(jù)庫安全審計、應用系統(tǒng)監(jiān)控、身份認證等;應用層安全技術包括權限管理、信息加密、桌面系統(tǒng)等。

信息化安全管理體系整改

上海財經(jīng)大學經(jīng)過多年的信息化建設,包括教學、學生、辦公自動化、招生、人事、財務、公共數(shù)據(jù)平臺、校園一卡通等一大批信息系統(tǒng)得到應用。隨著應用的深化,系統(tǒng)中積累大量的業(yè)務數(shù)據(jù)和工作成果,這些信息對學校目前的管理乃至今后的發(fā)展都至關重要,因此,信息的安全問題也成為信息化工作的焦點。2009年起,在認真分析學校信息安全管理和技術兩方面的問題和原因的基礎上,學校從組織、管理、技術三方面入手進行一系列的整改,截至目前,已形成較為完善的組織體系、管理體系和技術體系。

完善信息安全管理的組織結構

2009年,學校對信息安全管理的組織結構進行重新梳理,形成包含決策、管理、維護和應用4 個層次在內(nèi)的較為完善的網(wǎng)絡信息系統(tǒng)安全管理組織機構,工作職責更加明確。上海財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理組織機構如圖2。

圖2 財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理組織機構

1. 決策層:在信息化領導小組的職能中明確信息系統(tǒng)的安全管理職能,由信息化領導小組統(tǒng)一規(guī)劃、部署和統(tǒng)籌資源。

2. 管理層:組建安全工作小組作為信息化安全工作的執(zhí)行機構,工作小組由信息化相關部門領導及專業(yè)技術人員和部分管理人員組成。

3. 運營層:完善系統(tǒng)運營各崗位人員的工作職責,包括機房管理員、網(wǎng)絡及服務器管理員、數(shù)據(jù)庫管理員和信息系統(tǒng)管理員。

4. 應用層:進一步明確應用層各院系、部門及用戶的安全責任,與各院系、部門簽訂安全責任書,同時明確各院系、部門信息員的日常信息安全工作職責,使其成為信息安全工作的基礎支持隊伍。

形成文件化的信息安全整體策略

早在2008年,學校就著手組織制定《上海財經(jīng)大學信息系統(tǒng)安全管理辦法》、《上海財經(jīng)大學信息系統(tǒng)建設管理辦法》和《上海財經(jīng)大學信息系統(tǒng)運行維護管理辦法》,從場地與設施安全管理、設備安全管理、系統(tǒng)安全管理、信息安全管理、建設安全管理、運行維護安全管理和技術文檔安全管理7 個方面詳細制定安全管理規(guī)定,并明確系統(tǒng)建設和系統(tǒng)運維過程中相關人員的工作流程和操作規(guī)范,為全校的信息系統(tǒng)安全管理提供依據(jù)。

2009年至2010年,針對信息安全問題突發(fā)性強的特點,為建立健全應急工作機制,提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應急處置能力,最大限度地減輕突發(fā)事件造成的損失,學校完成《上海財經(jīng)大學信息系統(tǒng)安全應急預案》的制定,并在it部門建立起突發(fā)事件應急響應工作機制。與此同時,為加強日常防控來減少突發(fā)事件的發(fā)生,學校it部門制定《運行維護工作條例》對硬件維護、操作系統(tǒng)維護、數(shù)據(jù)庫維護和應用系統(tǒng)維護的各個環(huán)節(jié)的工作流程和操作規(guī)程進行更加詳細的規(guī)定,并在工作中增加安全監(jiān)控、安全檢測、安全策略優(yōu)化、安全審計等環(huán)節(jié)加強對信息系統(tǒng)的安全防護。

2010年初,為明確和建立學校的信息安全策略,為各部門制定操作規(guī)范和開展安全工作提供指導,學校制定《上海財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理整體方案》,從信息安全組織體系、管理體系和技術體系3個層次,詳細描述管理策略以及技術手段。該方案的出臺極大地推動it部門管理制度的完善和技術改進,同時也促進各院系、部門內(nèi)部安全管理的強化和人員安全意識的提高。

強化安全管理

信息安全是一項長期的工作,必須將其納入信息系統(tǒng)的日常管理中常抓不懈,防患于未然。信息系統(tǒng)質(zhì)量的內(nèi)涵,除了系統(tǒng)功能和性能滿足業(yè)務要求外,與信息系統(tǒng)安全有關的系統(tǒng)安全性、可靠性、可用性也是系統(tǒng)質(zhì)量控制的范疇。主要采取的管理措施如下:

1.增加建設過程中的評審環(huán)節(jié)

在項目設計、開發(fā)階段成果接近完成時,由項目組會同相關業(yè)務部門共同組織技術評審,包括對系統(tǒng)安全性的審查。評審以項目前期形成的方案、文檔及學校的相關標準和規(guī)范為依據(jù),對該階段形成的方案、技術文檔及系統(tǒng)進行審查、確認等工作,并形成評審結論。

2.進行內(nèi)部測試和第三方測試

在項目驗收前,除了由項目內(nèi)部和業(yè)務部門參與的集成測試外,聘請專業(yè)的第三方測試機構進行測試。

3.安全檢測與審計雙管齊下,全方位監(jiān)控安全事件

對應用系統(tǒng)和服務器進行每三個月一次的定期安全檢測,有效消除潛在的安全隱患;定期進行應用系統(tǒng)的安全審計、數(shù)據(jù)庫的安全審計、服務器的安全審計、配置管理的安全審計等,避免越權操作及數(shù)據(jù)泄漏事件的發(fā)生。

4.建立突發(fā)事件應急響應機制

基于《上海財經(jīng)大學信息安全應急預案》,建立突發(fā)事件的應急響應機制,落實信息系統(tǒng)的服務級別管理,實行應急預案演練制度,建立預案庫,在突發(fā)事件發(fā)生后形成處置報告,分析原因,改進工作。

5.加強安全意識宣傳與教育

我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動,包括組織面向學生和教師的信息安全知識競賽活動,開展信息安全意識培訓等,提高人員的安全防范意識,發(fā)揮人在信息安全對策中的主體作用。

加強技術防范,構筑安全堡壘

系統(tǒng)的日常建設與運行管理中,我們通過構建自動化防控系統(tǒng)來加強系統(tǒng)的安全防范,為應用系統(tǒng)和用戶構筑起堅實的安全堡壘,具體措施包括:

1.搭建版本控制系統(tǒng),確保開發(fā)中源代碼的安全

在程序開發(fā)的過程中,需要多人同時參加和協(xié)作,通過搭建版本控制系統(tǒng),記錄系統(tǒng)建設過程中相關文檔和源代碼的變更過程,防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。

2.構建三套獨立環(huán)境,保證正式環(huán)境安全

將系統(tǒng)開發(fā)環(huán)境、系統(tǒng)測試環(huán)境和正式系統(tǒng)進行分離,確保開發(fā)階段和測試階段的工作不影響正式系統(tǒng)的使用。

3.建立備份與恢復機制,保護系統(tǒng)建設成果

建立本地及異地數(shù)據(jù)備份及恢復規(guī)范及方案,研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關程序,對系統(tǒng)建設過程中的成果進行及時備份,防止因為誤操作或機器故障導致數(shù)據(jù)丟失,切實保證數(shù)據(jù)的安全。

4.防火墻與入侵監(jiān)測,構筑網(wǎng)絡屏障

在internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務器之間架設兩層防火墻,防止校內(nèi)外用戶對服務器的攻擊;部署網(wǎng)絡分析系統(tǒng),實時監(jiān)控網(wǎng)絡流量、網(wǎng)絡攻擊和病毒傳播,為網(wǎng)絡安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問關鍵信息系統(tǒng),用戶需要通過vpn加密鏈路才能實現(xiàn)從校外訪問關鍵信息系統(tǒng)。

5.漏洞掃描與日志分析,促進應用安全的不斷提升

在應用系統(tǒng)層,我們采用系統(tǒng)日志分析平臺對應用進行日志分析,捕捉和定位異常事件;定期對應用服務執(zhí)行漏洞掃描,對出現(xiàn)的sql注入、跨站腳本攻擊、網(wǎng)頁非法篡改、強制訪問等系統(tǒng)安全風險及時進行分析和整改。

6.主動式監(jiān)控及時追蹤問題

自主完成服務器軟硬件運行狀態(tài)監(jiān)控系統(tǒng)的開發(fā),實現(xiàn)對服務器運行狀態(tài)及各信息系統(tǒng)狀態(tài)進行主動監(jiān)聽和預警;建立統(tǒng)一日志服務器,對所有系統(tǒng)的日志進行集中管理和備份,確保問題發(fā)生時通過日志進行定位和追蹤。

所謂“三分技術,七分管理”,信息化安全管理問題需要從管理和技術兩方面考慮和解決,依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術的支撐,才能達到“以較小的代價利用有限資源控制安全風險”的目標,更好地保證信息化建設和應用的成果。

第2篇 信息化安全管理制度

信息化安全管理包括機房管理和服務器管理兩部分。機房、服務器的日常維護、操作都應有專門的信息管理人員負責,未經(jīng)信息部門許可其他人員不得對隨意進出機房、操作服務器。機房管理人員負責機房的日常檢修、事故排查;

服務器管理員負責服務器的安裝調(diào)試、例行維護、日常檢查等工作。

炎炎夏日,尤其注意機房內(nèi)線路排查,做好防火工作,服務器數(shù)據(jù)備份和系統(tǒng)備份。

一、機房安全管理

1.1 機房嚴格執(zhí)行門禁制度,未經(jīng)信息部門允許,任何人不得擅自進入;

1.2 機房內(nèi)禁止堆放雜物,保證設備和辦公桌面清潔、衛(wèi)生、整齊;

1.3 機房內(nèi)禁止存放易燃易爆品;設備設施周圍及上方不得堆放物品,特別是液體物品;

1.4 機房內(nèi)電氣設備、供電線路必須由專職電工按規(guī)范安裝;

1.5 機房內(nèi)禁止亂拉臨時電源線;

1.6 機房內(nèi)的各類保險絲必須使用符合規(guī)定的保險絲,嚴禁使用銅、鐵、鋁線代替;

1.7 長期使用的電器設備應對其發(fā)熱情況進行檢查,避免發(fā)生火災;

1.8 嚴格明火管理。明火作業(yè)必須有相關部門批準、核發(fā)“動火證”后方可施做;

1.9 規(guī)范配備滅火器材,定期進行消防報警設施試驗,嚴禁使用其他物品將煙感包裹,禁止吸煙;

1.10 禁止攜帶食品進入機房,并定期滅鼠;

1.11 機房內(nèi)溫度和濕度嚴格控制在:溫度:18-25℃,相對濕度:60%—80%;

1.12 機房值班人員要堅守崗位,早進入、晚離開時要檢查設備情況,上班時密切監(jiān)視網(wǎng)絡的工作情況,防止黑客襲擊,做好每天的數(shù)據(jù)備份,不得無故脫離崗位。下班時,要做好交接班記錄,要對所有計算機的電源進行細致的檢查,該關的要切斷電源,離開時察看燈、門、窗、鎖是否關閉好。雙休日、節(jié)假日,要有專人值班,檢查網(wǎng)絡運行情況,如發(fā)現(xiàn)問題應及時解決,并做好記錄處理,解決不了的要及時報告;

1.13 不得隨意合閘拉閘,不得同意不得擅自對程控交換機、核心交換機、路由器、服務器等設備設施進行停、斷電;

1.14 員工負責設備設施性能測試,及時排除故障,下班前必須做全面檢查,不留安全隱患;

1.15 機房內(nèi)所有設備設施維護工作必須在計劃內(nèi)完成;計劃外操作必須得到同意;

1.16 不得利用職務之便撥打與工作無關的外線電話;

1.17 未經(jīng)批準,不得擅自關閉、重啟各系統(tǒng)服務器、接口機;

1.18 未經(jīng)批準,不得隨意開關外線;

1.19 如遇緊急情況和突發(fā)事件必須在第一時間內(nèi)通知主管人員;

二、服務器安全管理

1.1 物理環(huán)境要求

1.1.1 服務器須放置在機房或具備服務器運行相關條件的空間內(nèi)。

1.1.2 系統(tǒng)管理員應在每季度末對服務器進行一次硬件檢測和除塵工作,并填寫《服務器硬件檢測記錄單》(附錄a)。

1.2 軟件環(huán)境要求

1.2.1 無特殊情況,服務器要關閉網(wǎng)絡文件與打印服務、qos、終端服務、授權服務、site server ils服務、消息隊列服務(msmq)、遠程存儲、證書服務等其他暫時不用的服務。

1.2.2 服務器操作系統(tǒng)需設置安全策略,策略設定后要進行有效性檢查,確保有效執(zhí)行。

1.2.3 服務器應禁用匿名/默認賬戶或嚴格限制訪問權限。

1.2.4 為了保證該服務器的運行效能和安全,除了安裝解壓縮、殺毒軟件等必要的應用軟件外,一般不安裝其他非必要的軟件,包括office等。

1.2.5 服務器上至少要設置兩個以上(含兩個)的邏輯卷。

1.2.6 服務器嚴禁安裝游戲、聊天工具等與系統(tǒng)運行無關的程序及文件。

1.3 服務器開關機

1.3.1 各單位系統(tǒng)管理員負責服務器的開關機操作,操作完成后填寫《服務器開關機記錄表》(附錄b)。

1.3.2 除安裝調(diào)試或者例行維護外,服務器不得頻繁開關機。服務器維護應安排在非工作時間段進行。

1.3.3 服務器在出現(xiàn)嚴重故障非重起不能解決時,系統(tǒng)管理員應及時通知服務器用戶,在用戶保存完正在操作的數(shù)據(jù)后方可中斷數(shù)據(jù)庫連接并進行重起操作。

1.4 日志管理

1.4.1 系統(tǒng)管理員應在每周末檢查服務器的“事務日志”,發(fā)現(xiàn)有“嚴重錯誤”的,必須立即檢查并排除故障,服務器所有日志在得到“事務已經(jīng)滿”提示的情況下,必須立即備份到制定目錄下,事務日志備份完畢應立即清空。

1.4.2 服務器日志至少保留半年,只允許授權用戶訪問,且不能進行修改。

1.5 磁盤檢查

1.5.1 系統(tǒng)管理員應在每周末檢查服務器的磁盤情況,如果發(fā)現(xiàn)磁盤的使用容量超過70%以上時,應及時刪除不必要的文件騰出磁盤空間,必要時申購新的磁盤。

1.5.2 服務器外出維修時系統(tǒng)管理員必須刪除磁盤數(shù)據(jù)。

1.5.3 系統(tǒng)管理員在每月末對服務器進行磁盤碎片整理工作。

1.6 病毒和補丁管理

1.6.1 為保障服務器性能,工作時間段內(nèi)一般不進行查殺病毒和安裝補丁的操作。

1.6.2 每日22:00設置服務器自行查殺病毒。

1.6.3 服務器殺毒軟件的病毒庫應設置為自動更新。

1.6.4 在得知有重大病毒流行時應立即確認病毒庫是否為最新且是否有效防護,如果病毒庫不能有效防護應下載相關專殺工具或進行相關技術處理。

1.6.5 系統(tǒng)管理員應在每月末登陸操作系統(tǒng)廠商網(wǎng)站查看是否有最新的更新通知,在得知有最新的安全漏洞時,應下載經(jīng)測試后在非工作時間段內(nèi)安裝補丁。對于重大的安全漏洞應第一時間進行更新。

1.7 故障管理

1.7.1 服務器的故障包括:軟件故障,硬件故障,入侵與攻擊,其他不可預料的未知故障等。應建立服務器故障記錄,當出現(xiàn)服務器故障,系統(tǒng)管理員對故障現(xiàn)象及解決過程進行詳細記錄,填寫《服務器故障處理記錄單》(附錄c)

1.7.2 當服務器出現(xiàn)硬件故障時,系統(tǒng)管理員應立即通知服務器廠商,并督促和配合廠商工作人員盡快維修或更換相關配件。

1.7.3 對于不能盡快處理的故障,系統(tǒng)管理員應立即通過電話通知上級主管領導,并保護好故障現(xiàn)場。

1.8 相關記錄文檔

1.8.1 《服務器硬件檢測記錄單》 保存期3年

1.8.2 《服務器開關記錄表》 保存期3年

1.8.3 《服務器故障處理記錄單》 保存期3年

第3篇 信息化安全管理制度

第一張:總則

第一條, 為加強信息化安全規(guī)范化管理,有效提高信息化管理水平,防止失密、泄密時間的發(fā)生。根據(jù)有關文件規(guī)定,特制定本制度。

第二條, 本制度所指信息化系統(tǒng)包括醫(yī)院管理系統(tǒng)、辦公自動化、婦幼衛(wèi)生統(tǒng)計直報系統(tǒng),疫情直報系統(tǒng)、兒童免疫規(guī)劃直報系統(tǒng)等。

第三條, 信息安全是指為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。

第二章環(huán)境和設備

第四條 機房安全

1、有服務器的單位要檢錄獨立的機房。

2、機房應設置在獨立的房間,環(huán)境相對安靜的地段。

3、機房內(nèi)門窗應增設防盜(防盜門、鐵柵欄等)、防火(滅火器)措施。

4、未經(jīng)網(wǎng)絡管理員允許.任何人員不得進入機房,不得操作機房任何設備。

5、除網(wǎng)絡服務器和聯(lián)網(wǎng)設備外,工作人員離開機房時,必須關掉其它設備電源和照明電源。

6、嚴禁使用來歷不明或無法確定其是否有病毒的存儲介質(zhì)。

第五條 兩個或兩個以上專用網(wǎng)絡(醫(yī)院內(nèi)部管理網(wǎng)、婦幼衛(wèi)生統(tǒng)計直報系統(tǒng))的單位,互聯(lián)網(wǎng)與各個專用網(wǎng)絡之間不能相通,必須專網(wǎng)專機管理。

第六條 電腦實行專人專管,任何人不得在不經(jīng)電腦使用人許可的情況下擅自動用他人電腦。如遇電腦使用人外出,則須在征得該電腦使用人所在的科室領導或相關領導的同意后方可使用。

第七條 計算機名稱、lp地址由網(wǎng)管中心統(tǒng)一登記管理,如需變更,由網(wǎng)管中心統(tǒng)一調(diào)配。

第八條 pc機(個人使用計算機)應擺設在相對通風的環(huán)境,在不使用時,必須切斷電源。

第九條 開機時,應先開顯示器再開主機:關機時,應在退出所有程序后,先關主機,再關顯示器。下班時,應在確認電腦被關閉后,方可離開單位。

第十條 更換電腦時,要做好文件的拷貝工作,同時在管理人員的協(xié)助下檢查電腦各方面是否正常。

第十一條 離職時,應保證電腦完好、程序正常、文件齊全,接手人在確認文件無誤后方可完善手續(xù)。

第三章 軟件與網(wǎng)絡

第十二條 禁止在工作時間內(nèi)利用電腦做與工作無關的事情,如網(wǎng)上聊天、瀏覽與工作內(nèi)容無關的網(wǎng)站、玩電腦游戲等。禁止在電腦上安裝任何游戲軟件。

第十三條 外來存儲介質(zhì)在本單位內(nèi)計算機上使用時,必須進行殺毒處理后方可使用。

第十四條 為防止惡意代碼植入系統(tǒng),預防計算機病毒感染.在收到不明來歷的電子郵件時應注意不要隨意打開,并立即予以刪除。

第十五條 上網(wǎng)用戶不得利用網(wǎng)絡危害國家安全、泄露國家機密,不得侵犯國家、社會、單位、集體的利益和公民合法權益,不得從事違法犯罪活動。

第十六條 上網(wǎng)用戶不得在任何網(wǎng)絡上制作、復制和傳播下列信息

(一)煽動抗拒、破壞憲法和法律、行政法規(guī)實施:

(二)煽動顛覆國家政權推翻社會主義制度:

(三)煽動分裂國家、破壞國家統(tǒng)一:

(四)煽動民族仇恨、民族歧視,破壞民族團結:

(五)捏造或者歪曲事實,散布謠言.擾亂社會秩序:

(六)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪:

(七)公然悔辱他人或者捏造事實誹謗他人:

(八)損害形象和利益:

(九)其他違反憲法和法律、

第十七條 上網(wǎng)用戶不得從事下列危害計算機信息網(wǎng)絡安全的活動

(一)未經(jīng)允許,對自己或他人的計算機網(wǎng)絡功能進行刪除、修改或者增加;

(二)未經(jīng)允許,對自己或他人的計算機信息存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或增加;

(三)瀏覽與工作無關的網(wǎng)站,上網(wǎng)下載或以其他方式帶入任何未經(jīng)批準使用的程序,故意制作、傳播計算機病毒等破壞性程序;

(四)其它危害計算機信息網(wǎng)絡安全的行為。

第十九條 計算機出現(xiàn)故障,需重新安裝操作系統(tǒng)時,應通知管理人員進行安裝,不得私自請電腦公司或外單位電腦人員進行安裝,不得私自將計算機搬到電腦公司進行維修。

第四章 數(shù)據(jù)加密和備份

第二十條 對于密級文件殛數(shù)據(jù)(財務、人事)要建立雙備份制度,對重要資料除在電腦貯存外,還應定期拷貝到服務器、u盤或光盤上,以及防遭病毒破壞或斷電而丟失。

第二十一條 服務器必須設置密碼,密碼組成應由英文字母和數(shù)字組成,長度應在8位以上并隨時更換。

第二十二條 網(wǎng)絡管理人員須隨時做好本單位各類重要數(shù)據(jù)的備份工作,發(fā)生災難性事件時能及時恢復系統(tǒng)數(shù)據(jù)。

第二十三條 用戶必須按自己的帳號、密碼進入相應系統(tǒng),不得盜用他人的帳號、密碼。密碼不得外泄,如發(fā)現(xiàn)可能外泄,應及時重設或申請更換;造成損失和危害的,追究其責任。網(wǎng)絡特權服務用戶不得泄露有關軟硬件、網(wǎng)絡授術細節(jié)及管理密碼;所有人員必須保管好自己的密碼,確保密碼長度不少于8位、必須真有復雜性(含不重復的字母、數(shù)字及特殊符號)、不通用性、不易記性必須定期更新密碼;使用密碼時應確保旁人不能窺視;不要在軟件使用時選自動記憶帳戶密碼功能;不要在任何地方使用任何方式談論或書式記憶任何密碼,未經(jīng)批準不得將數(shù)據(jù)和軟件拷貝帶離本單位或從單位外帶入數(shù)據(jù)輸入到記算機中。

第五章 人員管理

第二十四條 信息管理人員必須是單位的正式員工。

第二十五條 信息管理人員變換必須報批網(wǎng)管中心,網(wǎng)管中心批準后方可更換。

第二十六條 信息管理人員變換后,必須將單位內(nèi)所有重要計算機(服務器)密碼重新進行設置。

第二十七條 各單位應根據(jù)實際情況建立本單位信息化管理制度。

第二十八條 各單位的信息化建設、管理工作納人年終考核.院信息安全管理領導小組具體負責考核工作。

第六章 附則

第二十九條 本制度由醫(yī)院信息安全管理領導小組負責解釋。

第三十條 本制度自發(fā)布之日起施行。