信息安全事件管理程序范本【16篇】

第1篇 信息安全事件管理程序范本

1 目的

為建立一個適當?shù)男畔踩录?、薄弱點和故障報告、反應與處理機制,減少信息安全事件和故障所造成的損失,采取有效的糾正與預防措施,特制定本程序。

2 范圍

本程序適用于***業(yè)務信息安全事件的管理。

3 職責

3.1 信息安全管理流程負責人

確定信息安全目標和方針;

確定信息安全管理組織架構、角色和職責劃分;

負責信息安全小組之間的協(xié)調(diào),內(nèi)部和外部的溝通;

負責信息安全評審的相關事宜;

3.2 信息安全日常管理員

負責制定組織中的安全策略;

組織安全管理技術責任人進行風險評估;

組織安全管理技術責任人制定信息安全改進建議和控制措施;

編寫風險改進計劃;

3.3 信息安全管理技術責任人

負責信息安全日常監(jiān)控;

信息安全風險評估;

確定信息安全控制措施;

響應并處理安全事件。

4 工作程序

4.1 信息安全事件定義與分類

信息安全事件是指信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接影響(后果)的。

造成下列影響(后果)之一的,均為一般信息安全事件。

a) ***秘密泄露;

b) 導致業(yè)務中斷兩小時以上;

c) 造成信息資產(chǎn)損失的火災;

d) 損失在一萬元人民幣(含)以上的故障/事件。

造成下列影響(后果)之一的,屬于重大信息安全事件。

a) 組織機密泄露;

b) 導致業(yè)務中斷十小時以上;

c) 造成機房設備毀滅的火災;

d) 損失在十萬元人民幣(含)以上的故障/事件。

4.2 信息安全事件管理流程

由信息安全管理負責人組織相關的運維技術人員根據(jù)***對信息安全的要求,確認代碼管理相關信息系統(tǒng)的安全需求;

對代碼管理相關信息系統(tǒng)進行信息安全風險評估,預測風險類型、風險發(fā)生的可能性、風險級別、潛在的業(yè)務影響,形成信息安全風險評估報告;

由信息安全日常管理員組織相關技術人員根據(jù)對根據(jù)風險評估的結(jié)果以及服務級別協(xié)議的安全需求,提出現(xiàn)階段的安全改進建議,并提交至信息安全管理負責人進行評估;若同意執(zhí)行安全改進建議,則在變更管理的控制下實施安全建議;

信息安全日常管理員根據(jù)安全改進之后的信息系統(tǒng)安全現(xiàn)狀提出具體的安全控制措施,形成風險處置計劃;

根據(jù)風險處置計劃,實施信息安全控制措施,盡可能的降低信息和業(yè)務風險;

監(jiān)視信息系統(tǒng)的活動并識別反常的活動和安全事件,并記錄下來,做初步的響應和處理;評估安全漏洞和不符合安全要求的任何情況,并采取必要的糾正措施;

對發(fā)現(xiàn)的或已發(fā)生的信息安全事件,按照信息安全事件響應程序進行處理;

每年一次或在發(fā)生重大信息安全事件時進行信息安全評審,分析信息安全事件的顯現(xiàn)趨勢、信息安全管理的改進等信息,并形成風險改進計劃,持續(xù)改進信息系統(tǒng)安全。

4.3 信息安全事件事后處理措施

對于一般信息安全事件,在故障排除或采取必要措施后,相關信息安全管理職能部門會同事件責任部門,對事件的原因、類型、損失、責任進行鑒定,形成《信息安全事件報告》,報信息安全管理者代表批準;對于重大信息安全事件的處理意見還應上報信息安全管理委員會討論通過。

對于違反組織信息安全方針、程序安全規(guī)章所造成的信息安全事件責任者依據(jù)以下措施予以懲戒。

處罰方式:

一般安全事故,根據(jù)所造成的經(jīng)濟損失,由***辦公室通過郵件發(fā)出正式嚴重警告。

一年內(nèi)累計出現(xiàn)三次或三次以上的一般安全事故,報***領導批準后進行相應懲罰,并在***進行通報批評。

造成重大安全事故的,***有權將責任人調(diào)離原工作崗并給予相應懲罰。

一年內(nèi)累計出現(xiàn)二次或二次以上的重大安全事故,***有權解除勞動合同并依法追究法律責任。

如果屬于故意行為導致信息安全事故,***有權解除勞動合同并依法追究法律責任。

對于信息安全事故責任人的處理結(jié)果由處理部門在***范圍內(nèi)予以通報。

負有信息安全事故處罰的各職能部門在確定實施處罰后,***室與被處罰部門溝通,確認責任者及處罰方式并上報***領導。

信息安全管理職能部門要求事件責任部門制定糾正措施并實施,實施結(jié)果記錄在《信息安全事件報告》。

由信息安全管理職能部門對實施情況進行跟蹤驗證,驗證結(jié)果記入《信息安全事件報告》。

4.4 報告信息安全薄弱點與預防措施

***與信息安全管理有關的所有員工發(fā)現(xiàn)信息安全薄弱點或潛在威脅均應履行報告義務。

對以下行為應給予獎勵:

及時發(fā)現(xiàn)非責任區(qū)信息安全隱患,該隱患足以導致信息安全事故的;

及時發(fā)現(xiàn)非責任區(qū)信息安全重大隱患,該隱患足以導致信息安全重大事故的;

及時發(fā)現(xiàn)并制止系統(tǒng)操作問題以避免設備重大損失或人員死亡的;

及時制止或報告泄露商業(yè)機密的事件以避免***重大經(jīng)濟損失或及時中止正在進行中的商業(yè)泄密行為的;

在信息安全事故中采取積極有效措施,降低損失的程度。

獎勵方式如下:

根據(jù)防止一般安全事故發(fā)生、一年內(nèi)防止一般安全事故發(fā)生三次或三次以上、防止造成重大安全事故、及時中止正在進行中的商業(yè)泄密行為、提出信息安全合理化建議等級別,報請***批準后,給予相應表揚或獎勵,并作為年底工作考核依據(jù)。

發(fā)現(xiàn)信息安全事故、薄弱點與故障的員工填寫《一般信息安全事件/薄弱點報告》,相關的代碼管理中心及信息安全實驗室進行調(diào)查后,確定是否采取預防措施,確認責任部門并實施。

5 相關文件

6 相關記錄

第2篇 中學計算機信息安全管理職責

鄴建中學計算機信息安全管理的職責

1、進行計算機信息安全使用與管理的宣傳和教育

安全管理辦公室要經(jīng)常向各處、室、年級組和學科組及全體上網(wǎng)用戶提供有關學習資料，以促進用戶提高計算機安全意識，增強執(zhí)行安全規(guī)章制度的自覺性。

2、制定并落實安全管理規(guī)章制度

安全管理辦公室要根據(jù)互聯(lián)網(wǎng)不斷發(fā)展變化的實際情況，不斷充實、完善安全管理制度。各處、室、年級組和學科組要明確一名責任人具體負責本部門的制度落實及安全管理工作。

3、進行計算機信息安全檢查

各處、室、年級組和學科組及電腦室管理人員要經(jīng)常組織對計算機使用、管理方面的安全檢查, 及時發(fā)現(xiàn)問題，采取有效措施，堵塞隱患漏洞。領導小組及辦公室成員對校園內(nèi)計算機進行不定期檢查。

第3篇 公司信息安全管理檢查執(zhí)行規(guī)定

1.檢查原則

根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對違規(guī)行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權限審核不當，造成公司安全制度和措施難以落實，安全管理工作混亂的部門，部門負責人須承擔領導責任。對違反信息安全管理規(guī)定者，如其直接領導有明顯管理和指導不力的須承擔連帶責任。

2.檢查方式

公司技術部門抽調(diào)網(wǎng)絡管理人員，不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件，排查違規(guī)電腦，追究相關當事人。

3.檢查結(jié)果

對于故意盜竊、泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質(zhì)特別嚴重造成重大損失的，給予罰款、降薪、降職、辭退、直至開除的處理，并賠償公司損失。對于觸犯國家法律的，移交國家司法機關依法處理。對違反公司信息安全制度規(guī)定，性質(zhì)較輕，在公司內(nèi)部系統(tǒng)給予點名通報批評，并記錄在案，責令限期改正。

第4篇 工業(yè)企業(yè)安全信息及歸檔管理辦法

工業(yè)公司安全信息及歸檔管理辦法

1、主題內(nèi)容與使用范圍

本辦法規(guī)定了安全信息管理體系、信息管理機構的職責、信息內(nèi)容、處理程序、填報要求、歸檔及檢查與考核。

本辦法適用于我公司安全生產(chǎn)信息及檔案管理。

2、引用文件

qjl424《安全生產(chǎn)管理通用表格》

3、術語

安全信息:國家和上級有關安全生產(chǎn)管理要求中所涉及的各種數(shù)據(jù)、報表、原始資料、檔案和文件。

4、安全信息管理體系

4.1經(jīng)營部是我公司安全信息歸口管理單位,負責安全信息的收集、傳遞、處理、反饋、分析、匯總、貯存及歸檔工作。

4.2各基層單位安全員負責本單位安全信息的收集、傳遞、處理、反饋等工作。

5、各級信息管理人員的職責

5.1公司安全第一負責人對本公司安全信息系統(tǒng)的正常運轉(zhuǎn)負責。

5.2主管安全副總經(jīng)理負責組織協(xié)調(diào)公司安全信息管理工作,審批、下達公司安全信息調(diào)查、建檔、統(tǒng)計任務。

5.3各單位安全第一負責人負責組織協(xié)調(diào)本單位安全信息管理工作,保證所下達的信息工作的正常進行。

6、安全信息內(nèi)容

6.1 qjl424中所規(guī)定的內(nèi)容。

6.2國家和上級有關安全生產(chǎn)監(jiān)察規(guī)程所要求的數(shù)據(jù)、資料。

6.3各級安全部門為貫徹國家和上級有關安全生產(chǎn)規(guī)定而提出的統(tǒng)計、建檔資料。

6.4上級有關安全生產(chǎn)的文件、法令及公司內(nèi)各項安全規(guī)章制度。

6.5各單垃安全生產(chǎn)管理的信息包括:

a.重大安全事故和重大安全問題及需要上級或有關部門協(xié)調(diào)、緊急處理的安全問題。

b.工傷事故分析報告、安委會會議執(zhí)行情況、安全檢查情況、隱患整改情況、技措計劃的實施情況、安全活動、安全教育培訓、安全組織機構變動情況。

c.單位年度安全工作計劃、目標、工作總結(jié)及其它有關情況。

d.與安全工作有關的原始記錄、檔案。

7、安全信息傳遞與處理

7.1在生產(chǎn)管理過程中,公司內(nèi)各單位發(fā)現(xiàn)安全問題需反饋到總公司的,由發(fā)出信息單位以文字形式上報經(jīng)營部。

7.2經(jīng)營部接受基層的信息后,按信息內(nèi)容,及時進行調(diào)查核實,提出處理意見,明確責任單位、反饋時間要求等,立即反饋給責任單位執(zhí)行。

7.3責任單位負責按信息內(nèi)容及經(jīng)營部處理意見組織處理,將處理情況填寫清楚,并按要求反饋給經(jīng)營部。

7.4經(jīng)營部負責信息存檔工作。

8、安全信息填報要求

8.1提供的信息必須備有相應完整可靠的原始記錄,隨時為查詢服務。

8.2提供的信息必須符合規(guī)定的格式,便于統(tǒng)計和貯存,通用表格如下:

8.2.1安全生產(chǎn)管理通用表格隱患類表格 見qjl424.3―88

8.2.2安全生產(chǎn)管理通用表格技措類表格 見qjl424.4―88

8.2.3安全生產(chǎn)管理通用表格獎懲類表格 見qjl424.5―88

8.2.4安全生產(chǎn)管理通用表格管理類表格 見qjl424.6―88

8.2.5安全生產(chǎn)管理通用表格有害作業(yè)類表格 見qjl424.7―88

8.3提供的信息必須在規(guī)定時間內(nèi)傳遞完畢。

8.4提供的信息必須有填報人和單位領導審查簽字。

9、安全信息資料歸擋要求

9.1經(jīng)營部建立七種安全管理檔案和八種安全管理圖表,并歸檔。

9.2七種安全管理檔案:

9.2.1工傷事故檔案。

9.2.2安全教育檔案。

9.2.3安全獎懲檔案。

9.2.4安全技術措施項目檔案。

9.2.5特種設備檔案(主要指吊車、壓力容器、空壓機等)。

9.2.6隱患及整改記錄。

9.2.7違章記錄。

9.3八種圖表:

9.3.1安全機構網(wǎng)絡體系圖。

9.3.2危險點和塵毒點分布圖。

9.3.3公司內(nèi)動力管線分布圖。

9.3.4配電系統(tǒng)及接地線布置圖;

9.3.5歷年工傷事故頻率圖。

9.3.6工傷事故年度統(tǒng)計圖。

9.3.7多發(fā)性事故及重大事故樹形圖。

9.3.8安全信息反饋圖。

10、檢查與考核

10.1本制度的執(zhí)行情況列為公司安全工作經(jīng)濟承包任務考核內(nèi)容,按年度進行檢查與考核。

10.2經(jīng)營部按制度檢查與考核,綜合評比各職能部門、分公司的安全信息管理工作。

勞保用品標準

第5篇 信息安全管理辦法

第一章??? 總則

第一條 為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理，防范和化解信息系統(tǒng)的運行風險，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定，結(jié)合我農(nóng)商行實際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人，包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工，包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。

第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結(jié)合和的原則、按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實單位與個人信息安全責任制。

第四條 信息系統(tǒng)系統(tǒng)信息安全管理員，應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。

第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章 組織保障

第六條 農(nóng)商行設立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責。

第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組，領導小組辦公室設農(nóng)商行科技信息部，負責協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設立信息安全崗位，配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行指導和檢查督促。

第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人，同時均應指定至少一名部門信息安全員，具體負責本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應的信息安全保障職責?？萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門，設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組，設立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷，具有本科以上學歷。

第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核，培訓與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。 （二）審核信息化建設項目中的安全方案，組織實施信息安全保障項目建設，維護、管理信息安全專用設施。 （三）檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 （四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時，確因工作需要查詢相關涉密信息，須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請，獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。

第十六條 信息安全管理人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員，并報農(nóng)商行科技信息部備案。如有變更應做好交接工作，并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作： （一）負責本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。 （二）負責提出本部門信息安全保障需求，及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 （三）負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術支持人員

第二十條 本辦法所稱技術支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。 第二十一條 農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中，應承擔如下安全義務： （一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問，未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。 （二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導，并及時響應、處置。 （三）嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同（協(xié)議）的各項安全承諾。提供技術服務期間，嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程，關鍵操作應經(jīng)授權，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務系統(tǒng)操作人員

第二十三條 本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。 第二十四條 業(yè)務系統(tǒng)操作人員應承擔如下安全義務： （一）嚴格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時進行必要的數(shù)據(jù)備份。 （二）發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。 （三）不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件，不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。 第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則，嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。

第五節(jié) 一般計算機用戶

第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導與管理。 （二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。 （三）未經(jīng)科技信息部檢測和授權，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡；不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。

第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。

第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術部門進行業(yè)務技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權”原則，嚴格設定各用戶的操作權限。

第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓。

第三十三條 要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條 系統(tǒng)管理員安全責任

（一）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴格用戶權限管理，維護系統(tǒng)安全正常運行；

（三）認真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條 系統(tǒng)開發(fā)員安全責任

（一）系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料；

（三）不得對系統(tǒng)設置后門；

（四）對系統(tǒng)核心技術保密。

第三十七條 系統(tǒng)維護員安全責任

（一）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。

第四章 機房環(huán)境和設備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第四十條 農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定，滿足下列基本安全要求：

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。

（三）機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應設專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十二條 機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時，由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。

第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施聯(lián)動監(jiān)控。

第四十五條 監(jiān)控設備的安裝應符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十六條 農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控，通過技術和管理手段，確保計算機機房及配套設施安全。 第四十七條 農(nóng)商行機房投入使用前，應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓，熟知機房各類設備的分布和操作要領，定期巡查機房，發(fā)現(xiàn)問題及時報告。

第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料，并隨時提供調(diào)閱。

第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準，并辦理登記手續(xù)，由專人陪同。

第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。

第五十二條 向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理，應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月。

第二節(jié) 設備資產(chǎn)管理

第五十四條 農(nóng)商行科技信息部建立完備的計算機設備登記辦法，嚴格資產(chǎn)管理，明確計算機設備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章 網(wǎng)絡安全管理

第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理

第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源（網(wǎng)絡設備、通訊線路、ip地址和域名等）分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案，投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求： （一）符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求，使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段，有效降低外部攻擊、信息泄漏等風險，保障網(wǎng)絡傳輸與應用安全。 （二）具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 （三）根據(jù)信息安全級別，將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡運行安全管理

第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法，配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況，管理網(wǎng)絡資源及其配置信息，建立健全網(wǎng)絡運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。

（一）負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則；

（二）安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權限，維護網(wǎng)絡安全正常運行；

（三）監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。

第六十條 網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能，緊急情況下，經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。

第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前，接入方案、設備的安全性等應經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應的網(wǎng)絡資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前，應書面請示本部門主管領導，變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更，應提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請，并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領導批準，有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。 第六十五條 農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則，合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準，任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接，應采用必要的技術隔離保護措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章 信息系統(tǒng)安全管理

第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十四條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題，建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容： （一）業(yè)務需求部門提出的安全需求。 （二）安全需求分析和實現(xiàn)。 （三）運行平臺的安全策略與設計。

第七十五條 信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制，在安全防護方面應符合下列基本安全要求：

（一）采取必要的技術手段，建立嚴密的安全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復制；

（二）提供完整的數(shù)據(jù)備份和恢復功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復；

（三）具有嚴格的用戶和密碼管理，能對不同級別的用戶進行有限授權，特別應嚴格限制和分流特權用戶的權限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應設置審計監(jiān)控程序，具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。

第七十六條 農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整、準確實現(xiàn)。

第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運行

第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承擔單位（部門）應組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。 （二）科技信息部應提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定，報科技信息部備案。

第八十三條 信息系統(tǒng)投入運行前，應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構及軟硬件配置等基本情況；

（二）關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認證。

第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應安全等級標準。

（二）屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負責信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。

第八十九條 系統(tǒng)管理員不得兼任業(yè)務操作人員，不得安裝與系統(tǒng)無關的其他計算機程序；維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第九十條 系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的，應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第九十一條 未經(jīng)業(yè)務主管部門領導書面批準，其他任何人不得擅自使用業(yè)務操作人員用機，不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù)，不得擅自改變用戶權限。

第四節(jié) 業(yè)務操作

第九十二條 業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定，科技信息部根據(jù)-授權進行相關設定操作。 第九十三條 業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。 第九十四條 業(yè)務操作人員應設置本人口令密碼，并嚴格保密，防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng)，業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準，不得代崗、兼崗。 第九十六條 業(yè)務操作人員離開操作用機時，應按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。

第七章 客戶端安全管理

第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備，包括臺式個人計算機（pc）、便攜式計算機、柜員終端、自動柜員機（atm）、存折打印機、讀卡器、銷售終端（pos）和個人數(shù)字助理（pda）等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法，記錄所有客戶端設備信息和軟件配置信息，采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件，設置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品與服務管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準，省聯(lián)社信息科技部應進行登記備案。

第二節(jié) 使用管理

第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況，認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料，應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置，由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。

第九章 數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第一百一十三條? 農(nóng)商行應建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。

第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作，適時進行業(yè)務數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務，并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年，妥善保管。 第一百一十八條 農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的，應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程，嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術文檔

第一百二十一條 本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔，嚴格管理，并實行借閱登記辦法。未經(jīng)科技信息部領導批準，任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識，統(tǒng)一編號，并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制，應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設備（u盤、移動硬盤等）管理辦法，加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次?？诹蠲艽a的強度應滿足不同安全性要求，不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行，必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術應用管理

第一百三十條 農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定，采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換，對已泄露或懷疑泄露的密鑰應及時廢除，過期密鑰應安全歸檔或定期銷毀。

第十章 第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批，農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制，列明所有用戶名單及其權限，嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權的修改、增加、刪除數(shù)據(jù)操作，不得復制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條 本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。

第一百四十條 信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議，協(xié)議應明確約定外包服務商的安全義務。

第一百四十一條 經(jīng)本單位科技信息部領導批準，外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設備確需送外單位維修時，科技信息部應徹底清除所存工作信息，必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件，并徹底清除與密碼有關的軟件和信息。

第十一章 災難備份與應急管理

第一節(jié) 災難備份管理

第一百四十三條 災難備份是指利用技術、管理手段以及相關資源，確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件（以下稱“災難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求，明確可容忍的業(yè)務中斷時間（恢復時間目標rto）和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃，定期開展災難恢復培訓。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災難恢復演練，包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。

第二節(jié) 應急管理

第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓，甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略，同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容： （一）總則（目標、原則、適用范圍、預案調(diào)用關系等）。 （二）應急組織機構。 （三）預警響應機制（報告、評估、預案啟動等）。 （四）各類危機處置流程。 （五）應急資源保障。 （六）事后處理流程。 （七）預案管理與維護（生效、演練、維護等）。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練，并指定專人管理和維護應急預案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮，決定重大事宜（決定應急預案的啟動、災難宣告、預警相關單位等）和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應直接報省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關人員應注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領導。

第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告，其他任何單位或個人不得向社會發(fā)布應急事件公告。

第十二章 安全檢查評估與培訓

第一節(jié) 監(jiān)測檢查

第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領導小組和上一級科技信息部，抄送相關業(yè)務部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決，并報上一級單位相關部門。

第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告，經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。

第二節(jié) 評估審計

第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應制定評估方案并進行必要的培訓。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農(nóng)商行如聘請第三方機構進行安全評估，報省聯(lián)社信息科技部批準，并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權不得對外透露評估信息。

第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定，確保測評有效和測評安全。

第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關日志記錄。

第三節(jié) 安全培訓

第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條 農(nóng)商行應開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓，提高全體員工信息安全意識，使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。

第十三章 獎勵與處罰

第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴重的，依據(jù)相關法律法規(guī)，追究其主管領導、相關部門負責人及直接責任人的責任；構成犯罪的，依法追究刑事責任。

第十四章 附 則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。

?

第一章??? 總則

第一條 為加強邵陽市農(nóng)村商業(yè)銀行（以下簡稱農(nóng)商行）信息系統(tǒng)信息安全、硬件設備、安全運行、故障申報、日常檢查、網(wǎng)絡安全等管理，防范和化解信息系統(tǒng)的運行風險，杜絕各類事故和案件的發(fā)生，根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定，結(jié)合我農(nóng)商行實際情況，特制定本辦法。

第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡或信息資源的其他外部機構和個人，包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工，包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。

第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術防范相結(jié)合和的原則、按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實單位與個人信息安全責任制。

第四條 信息系統(tǒng)系統(tǒng)信息安全管理員，應當保障信息系統(tǒng)及配套設備的安全、運行環(huán)境的安全和信息的安全。

第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。

第二章 組織保障

第六條 農(nóng)商行設立科技信息部，由科技信息部歸口管理信息安全工作，并明確其信息安全管理職責。

第七條 根據(jù)省聯(lián)社要求，農(nóng)商行成立由農(nóng)商行領導和各職能部門主要負責人組成信息安全工作領導小組，領導小組辦公室設農(nóng)商行科技信息部，負責協(xié)調(diào)轄內(nèi)信息安全管理工作，決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設立信息安全崗位，配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理，建立完善信息安全管理辦法，并組織實施；對農(nóng)商行信息安全管理工作進行指導和檢查督促。

第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人，同時均應指定至少一名部門信息安全員，具體負責本部門的信息安全管理，協(xié)同科技信息部開展信息安全管理工作。

第三章??? 人員管理

農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍，履行相應的信息安全保障職責?？萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門，設信息安全管理員、系統(tǒng)維護管理員、技術維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設立信息系統(tǒng)安全管理領導小組，設立部門信息安全員。

第一節(jié) 信息安全管理人員

第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關規(guī)定受到過處罰或處分的人員，不得從事此項工作。

第十一條 信息安全管理人員應具有從事金融機構計算機工作三年以上經(jīng)歷，具有本科以上學歷。

第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核，培訓與審核合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理辦法，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。 （二）審核信息化建設項目中的安全方案，組織實施信息安全保障項目建設，維護、管理信息安全專用設施。 （三）檢測網(wǎng)絡和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 （四）定期組織信息安全宣傳教育活動，開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時，確因工作需要查詢相關涉密信息，須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請，獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。

第十六條 信息安全管理人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及農(nóng)村信用社業(yè)務核心技術的計算機安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

第二節(jié) 部門信息安全員

第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員，并報農(nóng)商行科技信息部備案。如有變更應做好交接工作，并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作，并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作： （一）負責本部門計算機病毒防治工作，監(jiān)督檢查本部門客戶端安全管理情況。 （二）負責提出本部門信息安全保障需求，及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 （三）負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理，組織開展本部門信息安全自查，協(xié)助科技信息部完成對本部門的信息安全檢查工作。

第三節(jié) 技術支持人員

第二十條 本辦法所稱技術支持人員，是指參與邵陽農(nóng)商行網(wǎng)絡、信息系統(tǒng)、機房環(huán)境等建設、運行、維護的內(nèi)部技術支持人員和外包服務人員。 第二十一條 農(nóng)商行內(nèi)部技術支持人員在履行網(wǎng)絡和信息系統(tǒng)建設和日常運行維護職責過程中，應承擔如下安全義務： （一）不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權限訪問，未經(jīng)批準不得擅自改變系統(tǒng)設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。 （二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領導，并及時響應、處置。 （三）嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法，做好數(shù)據(jù)備份工作。 第二十二條 外部技術支持人員應嚴格履行外包服務合同（協(xié)議）的各項安全承諾。提供技術服務期間，嚴格遵守湖南省農(nóng)村信用社相關安全規(guī)定與操作規(guī)程，關鍵操作應經(jīng)授權，并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務數(shù)據(jù)，不得對外泄露或引用任何工作信息。

第四節(jié) 業(yè)務系統(tǒng)操作人員

第二十三條 本辦法所稱業(yè)務系統(tǒng)操作人員是指直接操作業(yè)務系統(tǒng)進行業(yè)務處理的業(yè)務工作人員。 第二十四條 業(yè)務系統(tǒng)操作人員應承擔如下安全義務： （一）嚴格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保管，按需、適時進行必要的數(shù)據(jù)備份。 （二）發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常及時報告科技信息部。 （三）不得在操作終端上安裝與業(yè)務系統(tǒng)無關的軟件和硬件，不得擅自修改業(yè)務系統(tǒng)及其運行環(huán)境參數(shù)設置。 第二十五條 業(yè)務系統(tǒng)操作應按照“權限分散、不得交叉任職”原則，嚴格進行操作角色劃分和授權管理。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。

第五節(jié) 一般計算機用戶

第二十六條 本辦法所稱一般計算機用戶是指使用計算機設備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務： （一）及時更新所用計算機的病毒防治軟件和安裝補丁程序，自覺接受本部門信息安全員的指導與管理。 （二）不得安裝與辦公和業(yè)務處理無關的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡配置參數(shù)。 （三）未經(jīng)科技信息部檢測和授權，不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡；不得隨意將個人計算機帶入機房或私自拷貝任何信息。

第六節(jié) 信息系統(tǒng)要害崗位人員

第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關的系統(tǒng)管理員、網(wǎng)絡管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術支持人員和重要業(yè)務操作等崗位人員。

第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡等基礎設施。

第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查，技術部門進行業(yè)務技能考核，合格者方可上崗。

第三十一條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則，按照“必需知道”和“最小授權”原則，嚴格設定各用戶的操作權限。

第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法，并進行必要的安全教育和培訓。

第三十三條 要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及信用社業(yè)務保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第三十四條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第三十五條 系統(tǒng)管理員安全責任

（一）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

（二）嚴格用戶權限管理，維護系統(tǒng)安全正常運行；

（三）認真記錄系統(tǒng)安全事項，及時向計算機安全人員報告安全事件；

（四）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第三十六條 系統(tǒng)開發(fā)員安全責任

（一）系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；

（二）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料；

（三）不得對系統(tǒng)設置后門；

（四）對系統(tǒng)核心技術保密。

第三十七條 系統(tǒng)維護員安全責任

（一）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

（二）不得擅自改變系統(tǒng)參數(shù)配置；

（三）不得安裝與系統(tǒng)無關的其他計算機程序；

（四）維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。

第四章 機房環(huán)境和設備資產(chǎn)管理

第一節(jié) 機房環(huán)境安全管理

第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施。 第四十條 農(nóng)商行機房的規(guī)劃、建設、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關標準、監(jiān)管部門有關要求和省聯(lián)社有關規(guī)定，滿足下列基本安全要求：

（一）機房周圍100米內(nèi)不得存在危險建筑物，如加油站、煤氣站等。

（二）機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設施。

（三）機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。

（四）機房應設專用的供電系統(tǒng)，配備必要的ups和發(fā)電機。

第四十二條 機房建設、改造的方案應報上市網(wǎng)絡中心備案。必要時，由市網(wǎng)絡中心會同財務、保衛(wèi)等部門進行審核。 第四十三條 機房建設或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設計與施工經(jīng)驗的專業(yè)化公司。重要機房建設或改造工程應引入監(jiān)理辦法。

第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控，生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控，輔助區(qū)實施聯(lián)動監(jiān)控。

第四十五條 監(jiān)控設備的安裝應符合安全保密原則，確保監(jiān)控的安全規(guī)范運作，防止監(jiān)控信息的泄密。

第四十六條 農(nóng)商行機房應建立機房設施與場地環(huán)境集中監(jiān)控系統(tǒng)，對機房空調(diào)、消防、不間斷電源（ups）、供配電、門禁系統(tǒng)等重要設施實行全面監(jiān)控，通過技術和管理手段，確保計算機機房及配套設施安全。 第四十七條 農(nóng)商行機房投入使用前，應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法，并指派專人擔任機房管理員，落實機房安全責任制。機房管理員應經(jīng)過相關專業(yè)培訓，熟知機房各類設備的分布和操作要領，定期巡查機房，發(fā)現(xiàn)問題及時報告。

第四十九條 機房管理員負責妥善保管機房建設或改造的所有文檔、圖紙以及機房運行記錄等有關資料，并隨時提供調(diào)閱。

第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領導批準，并辦理登記手續(xù)，由專人陪同。

第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設備、已逾保修期的設備、近期維修過的設備等應成為保養(yǎng)的重點。

第五十二條 向社會提供公眾服務的柜面和核心業(yè)務處理環(huán)境應嚴格出入安全管理，應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管，至少保存三個月。

第二節(jié) 設備資產(chǎn)管理

第五十四條 農(nóng)商行科技信息部建立完備的計算機設備登記辦法，嚴格資產(chǎn)管理，明確計算機設備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權使用設備或信息。有特殊安全要求的計算機設備應放置在機房的特殊功能區(qū)，必要時，單獨建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄露的屏蔽裝置等。

第五章 網(wǎng)絡安全管理

第一節(jié) 網(wǎng)絡規(guī)劃建設安全管理

第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡和網(wǎng)絡安全的統(tǒng)一規(guī)劃、建設部署、策略配置和網(wǎng)絡資源（網(wǎng)絡設備、通訊線路、ip地址和域名等）分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署，組織實施網(wǎng)絡建設、改造工程。農(nóng)商行局域網(wǎng)的建設與改造方案應報上一級科技信息部審核、備案，投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡建設和改造應符合如下基本安全要求： （一）符合湖南省農(nóng)村信用社網(wǎng)絡安全管理要求，使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段，有效降低外部攻擊、信息泄漏等風險，保障網(wǎng)絡傳輸與應用安全。 （二）具備必要的網(wǎng)絡監(jiān)測、跟蹤和審計等管理功能。 （三）根據(jù)信息安全級別，將網(wǎng)絡劃分為不同的邏輯安全域。針對不同的網(wǎng)絡安全域，采取必要和有效的安全控制措施。

第二節(jié) 網(wǎng)絡運行安全管理

第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡安全運行辦法，配備網(wǎng)絡管理員。網(wǎng)絡管理員負責日常監(jiān)測和檢查網(wǎng)絡安全運行狀況，管理網(wǎng)絡資源及其配置信息，建立健全網(wǎng)絡運行維護檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡異常情況。

（一）負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則；

（二）安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權限，維護網(wǎng)絡安全正常運行；

（三）監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；

（四）對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。

第六十條 網(wǎng)絡管理員定期參加網(wǎng)絡安全技術培訓，具備一定的非法入侵、病毒蔓延等網(wǎng)絡安全威脅的應對技能，緊急情況下，經(jīng)本部門主管領導授權后可采取“先斷網(wǎng)、后處理”的緊急應對措施。

第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡接入管理。任何設備接入網(wǎng)絡前，接入方案、設備的安全性等應經(jīng)過審核與必要的檢測，審核（檢測）通過后方可接入并分配相應的網(wǎng)絡資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡變更管理。網(wǎng)絡管理員在調(diào)整網(wǎng)絡重要參數(shù)配置和服務端口前，應書面請示本部門主管領導，變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更，應提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請，并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領導批準，有權對本單位或轄內(nèi)網(wǎng)絡進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權，任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。 第六十五條 農(nóng)商行應以不影響業(yè)務的正常網(wǎng)絡傳輸為原則，合理控制多媒體網(wǎng)絡應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準，不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡資源的多媒體網(wǎng)絡應用。

第三節(jié) 網(wǎng)間互聯(lián)安全管理

第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構信息交換或信息共享需求實施的機構間網(wǎng)絡互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃，按照相關標準組織實施。未經(jīng)省聯(lián)社信息科技部核準，任何單位不得自行與外部機構實施網(wǎng)間互聯(lián)。

第六十八條 經(jīng)批準與其他業(yè)務相關機構進行網(wǎng)絡連接，應采用必要的技術隔離保護措施，對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。

第四節(jié) 接入國際互聯(lián)網(wǎng)管理

第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準，并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序?？萍夹畔⒉繎{相關批準證明實施聯(lián)網(wǎng)，并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù)，科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測，曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關法律法規(guī)和湖南省農(nóng)村信用社相關管理規(guī)定，不得從事任何違法違規(guī)活動。

第六章 信息系統(tǒng)安全管理

第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。

第一節(jié) 信息系統(tǒng)規(guī)劃與立項

第七十四條 信息系統(tǒng)建設項目應在規(guī)劃與立項階段同步考慮安全問題，建設方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關要求。項目技術方案應包括以下基本安全內(nèi)容： （一）業(yè)務需求部門提出的安全需求。 （二）安全需求分析和實現(xiàn)。 （三）運行平臺的安全策略與設計。

第七十五條 信息系統(tǒng)應采取與業(yè)務安全等級要求相應的安全機制，在安全防護方面應符合下列基本安全要求：

（一）采取必要的技術手段，建立嚴密的安全管理控制機制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、修改和復制；

（二）提供完整的數(shù)據(jù)備份和恢復功能，能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復；

（三）具有嚴格的用戶和密碼管理，能對不同級別的用戶進行有限授權，特別應嚴格限制和分流特權用戶的權限，防止非法用戶的侵入和破壞；

（四）重要信息系統(tǒng)應設置審計監(jiān)控程序，具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作，具有防止抵賴機制；

（五）涉密信息系統(tǒng)的安全設計應符合涉密信息保密管理的有關規(guī)定。

第七十六條 農(nóng)商行科技信息部負責對項目技術方案進行安全專項審查并提出審查意見，未通過安全審核的項目不得予以立項。

第二節(jié) 信息系統(tǒng)開發(fā)與集成

第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整、準確實現(xiàn)。

第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務后將程序源代碼及其相關技術文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關知識產(chǎn)權保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。

第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。

第三節(jié) 信息系統(tǒng)上線與運行

第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法，未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下： （一）項目承擔單位（部門）應組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報科技信息部審查。 （二）科技信息部應提出明確的測試方案和測試報告審查意見。必要時，可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。

（三）信息系統(tǒng)建設牽頭業(yè)務部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定，報科技信息部備案。

第八十三條 信息系統(tǒng)投入運行前，應向省聯(lián)社科技部和市網(wǎng)絡中心提出安全評估和審批申請，并報送下列材料：

（一）系統(tǒng)的用途、總體結(jié)構及軟硬件配置等基本情況；

（二）關于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設計等情況的說明；

（三）系統(tǒng)安全性測試提綱和測試報告；

（四）信息系統(tǒng)安全評估和審批報告書。

第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關權威機構組建由相關業(yè)務和技術專家組成的安全評估委員會或安全評估專家組，對信息系統(tǒng)進行安全性測試、認證。

第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容：

（一）系統(tǒng)的安全策略；

（二）系統(tǒng)安全措施；

（三）系統(tǒng)安全功能的實現(xiàn)程度；

（四）系統(tǒng)運行的穩(wěn)定性、可靠性；

（五）系統(tǒng)運行平臺的安全可靠性。

第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告，并出具信息系統(tǒng)安全評估和審批報告書。

第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求：

（一）合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應安全等級標準。

（二）屏蔽與應用系統(tǒng)無關的所有網(wǎng)絡功能，防止非法用戶的侵入。

（三）按照網(wǎng)絡管理規(guī)范及其業(yè)務應用范圍設置聯(lián)網(wǎng)設備的ip地址及網(wǎng)絡參數(shù)。

（四）及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。

第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員（系統(tǒng)維護員），具體負責信息系統(tǒng)的日常運行管理，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況，并建立重要信息系統(tǒng)運行維護檔案，詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務系統(tǒng)的系統(tǒng)設置要求雙人在場。

第八十九條 系統(tǒng)管理員不得兼任業(yè)務操作人員，不得安裝與系統(tǒng)無關的其他計算機程序；維護過程中，發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。

第九十條 系統(tǒng)管理員確需對業(yè)務系統(tǒng)進行維護性操作的，應征得業(yè)務部門同意并在業(yè)務操作人員在場的情況下進行，并詳細記錄維護內(nèi)容、人員、時間等信息。

第九十一條 未經(jīng)業(yè)務主管部門領導書面批準，其他任何人不得擅自使用業(yè)務操作人員用機，不得擅自設置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務數(shù)據(jù)，不得擅自改變用戶權限。

第四節(jié) 業(yè)務操作

第九十二條 業(yè)務部門負責信息系統(tǒng)業(yè)務操作用戶和權限設定，科技信息部根據(jù)-授權進行相關設定操作。 第九十三條 業(yè)務操作人員應嚴格按照安全操作規(guī)程進行業(yè)務操作和必要的數(shù)據(jù)備份，并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領導和科技信息部報告。 第九十四條 業(yè)務操作人員應設置本人口令密碼，并嚴格保密，防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng)，業(yè)務操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務部門主管領導批準，不得代崗、兼崗。 第九十六條 業(yè)務操作人員離開操作用機時，應按序退出信息系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務數(shù)據(jù)被復制、修改、刪除以及誤操作。

第五節(jié) 信息系統(tǒng)廢止

第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務部門根據(jù)需要向科技信息部提出廢止申請，由科技信息部組織進行安全檢查后予以廢止，同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技信息部按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的，應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。

第七章 客戶端安全管理

第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡與信息系統(tǒng)所使用的終端設備，包括臺式個人計算機（pc）、便攜式計算機、柜員終端、自動柜員機（atm）、存折打印機、讀卡器、銷售終端（pos）和個人數(shù)字助理（pda）等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法，記錄所有客戶端設備信息和軟件配置信息，采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件，不得安裝和使用盜版軟件，不得安裝和使用與工作無關的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件，設置用戶密碼和屏幕保護口令等安全防護措施，確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權可遠程接入內(nèi)部網(wǎng)絡的用戶，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。

第八章 信息安全專用產(chǎn)品與服務管理

第一節(jié) 資質(zhì)審查與選型購置

第一百零四條 本辦法所稱信息安全專用產(chǎn)品，是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務，是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型，農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準，省聯(lián)社信息科技部應進行登記備案。

第二節(jié) 使用管理

第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法，建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況，認真查看相關日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術資料，應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置，由科技信息部或經(jīng)科技信息部授權在可信網(wǎng)絡內(nèi)并采取了必要的安全控制措施后進行操作。

第九章 數(shù)據(jù)、文檔與密碼管理

第一節(jié) 數(shù)據(jù)安全

第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。

第一百一十三條?農(nóng)商行應建立和實施信息分類及保護體系，明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技信息部負責審核安全需求并提供一定的技術實現(xiàn)手段。

第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù)，加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務部門應嚴格管理業(yè)務數(shù)據(jù)的增加、修改、刪除等變更操作，適時進行業(yè)務數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務，并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年，妥善保管。 第一百一十八條 農(nóng)商行業(yè)務部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法，并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸?shù)據(jù)時需要提供相關口令密碼的，應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。

第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程，嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息，包括客戶基本信息及存貸款與征信等業(yè)務信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。

第二節(jié) 技術文檔

第一百二十一條 本辦法所稱技術文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等建設與運行維護過程中形成的各種紙質(zhì)技術資料，包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡設計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術文檔統(tǒng)一歸檔，嚴格管理，并實行借閱登記辦法。未經(jīng)科技信息部領導批準，任何人不得將技術文檔轉(zhuǎn)借、復制和對外公布。

第三節(jié) 存儲介質(zhì)

第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識，統(tǒng)一編號，并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制，應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設備（u盤、移動硬盤等）管理辦法，加強移動存儲設備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設備在外網(wǎng)使用，禁止外網(wǎng)移動存儲設備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法，對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。

第四節(jié) 口令密碼

第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設置用戶口令密碼，并獨享使用，不得泄露，且至少每三個月更換一次?？诹蠲艽a的強度應滿足不同安全性要求，不得設置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設備的口令密碼設置應在安全的環(huán)境下進行，必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領導許可，任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。

第五節(jié) 密碼技術應用管理

第一百三十條 農(nóng)商行涉密網(wǎng)絡和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定，采用相應的加密措施。非涉密網(wǎng)絡和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略，合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制，密鑰管理人員必須是本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關鍵密鑰的備份工作，并確保密鑰副本的物理安全，且須設置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換，對已泄露或懷疑泄露的密鑰應及時廢除，過期密鑰應安全歸檔或定期銷毀。

第十章 第三方訪問和外包安全管理

第一節(jié) 第三方訪問控制

第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批，農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡相關的第三方訪問授權審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制，列明所有用戶名單及其權限，嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議，不得進行未授權的修改、增加、刪除數(shù)據(jù)操作，不得復制和泄露湖南省農(nóng)村信用社任何信息。

第二節(jié) 外包安全管理

第一百三十九條 本辦法所稱外包服務是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的開發(fā)、維護技術支持、咨詢等服務。

第一百四十條 信息科技外包服務應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務協(xié)議，協(xié)議應明確約定外包服務商的安全義務。

第一百四十一條 經(jīng)本單位科技信息部領導批準，外包服務提供商可提供上門維護服務并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術配置變更信息。外包服務提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設備確需送外單位維修時，科技信息部應徹底清除所存工作信息，必要時應與設備維修廠商簽訂保密協(xié)議。與密碼設備配套使用的計算機設備送修前必須請生產(chǎn)設備的科研單位拆除與密碼有關的硬件，并徹底清除與密碼有關的軟件和信息。

第十一章 災難備份與應急管理

第一節(jié) 災難備份管理

第一百四十三條 災難備份是指利用技術、管理手段以及相關資源，確保已有業(yè)務數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件（以下稱“災難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關業(yè)務部門負責提出業(yè)務系統(tǒng)災難備份需求，明確可容忍的業(yè)務中斷時間（恢復時間目標rto）和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃，定期開展災難恢復培訓。在條件許可的情況下，由省聯(lián)社信息科技部統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災難恢復演練，包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。

第二節(jié) 應急管理

第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務差錯和停頓，甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設計應急備份策略，同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關業(yè)務部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容： （一）總則（目標、原則、適用范圍、預案調(diào)用關系等）。 （二）應急組織機構。 （三）預警響應機制（報告、評估、預案啟動等）。 （四）各類危機處置流程。 （五）應急資源保障。 （六）事后處理流程。 （七）預案管理與維護（生效、演練、維護等）。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練，并指定專人管理和維護應急預案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領導小組統(tǒng)一負責各業(yè)務系統(tǒng)的應急協(xié)調(diào)與指揮，決定重大事宜（決定應急預案的啟動、災難宣告、預警相關單位等）和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報，一般信息安全事件應逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應直接報省聯(lián)社信息科技部。

第一百五十四條 重大信息安全事件發(fā)生后，農(nóng)商行相關人員應注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領導。

第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告，其他任何單位或個人不得向社會發(fā)布應急事件公告。

第十二章 安全檢查評估與培訓

第一節(jié) 監(jiān)測檢查

第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、重要信息系統(tǒng)和機房環(huán)境等設施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法，報送本單位信息安全工作領導小組和上一級科技信息部，抄送相關業(yè)務部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決，并報上一級單位相關部門。

第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告，經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的，需要對相關整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管，不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。

第二節(jié) 評估審計

第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。

第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前，應制定評估方案并進行必要的培訓。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技信息部主管領導。 第一百六十六條 農(nóng)商行如聘請第三方機構進行安全評估，報省聯(lián)社信息科技部批準，并與第三方評估機構簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告，未經(jīng)授權不得對外透露評估信息。

第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》的有關規(guī)定，確保測評有效和測評安全。

第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時，應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，并完整保留相關日志記錄。

第三節(jié) 安全培訓

第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓，不斷提高信息安全管理人員專業(yè)技能和管理水平。

第一百七十二條 農(nóng)商行應開展全員信息安全教育，對本單位全體正式和非正式員工進行必要的培訓，提高全體員工信息安全意識，使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。

第十三章 獎勵與處罰

第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評，對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴重的，依據(jù)相關法律法規(guī)，追究其主管領導、相關部門負責人及直接責任人的責任；構成犯罪的，依法追究刑事責任。

第十四章 附 則

第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關規(guī)定條款如與本辦法不一致的，按本辦法執(zhí)行。

第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。

第6篇 it部信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定

第一章?? 總則

一、 目的：

依據(jù)《xx集團信息技術資源安全保護規(guī)定》和有關公司規(guī)定，為進一步加強xx集團計算機信息系統(tǒng)安全保密管理，并結(jié)合各系統(tǒng)、各子公司的實際情況，制定本制度。

二、 范圍：

計算機信息系統(tǒng)包括：涉密計算機信息系統(tǒng)和非涉密計算機信息系統(tǒng)。其中，涉密計算機信息系統(tǒng)指以計算機或者計算機網(wǎng)絡為主體，按照一定的應用目標和規(guī)則構成的處理涉密信息的人機系統(tǒng)。

三、 原則：

涉密計算機信息系統(tǒng)的保密工作堅持積極防范、突出重點，既確保企業(yè)信息安全又有利于企業(yè)開展正常業(yè)務的方針。

涉密計算機信息系統(tǒng)的安全保密工作實行分級保護與分類管理相結(jié)合、行政管理與技術防范相結(jié)合、防范外部與控制內(nèi)部相結(jié)合的原則。

涉密計算機信息系統(tǒng)的安全保密管理，堅持“誰使用，誰負責”的原則，同時實行主要領導負責制。

第二章? 系統(tǒng)管理人員的職責

一、 崗位設置：

用戶單位的涉密計算機信息系統(tǒng)的管理由用戶保密單位負責，具體技術工作由集團it部承擔，設置以下安全管理崗位：系統(tǒng)管理員、安全保密管理員、密鑰管理員。

二、 崗位職責：

系統(tǒng)管理員負責信息系統(tǒng)和網(wǎng)絡系統(tǒng)的運行維護管理，主要職責是：信息系統(tǒng)主機的日常運行維護；信息系統(tǒng)的系統(tǒng)安裝、備份、維護；信息系統(tǒng)數(shù)據(jù)庫的備份管理； 應用系統(tǒng)訪問權限的管理；網(wǎng)絡設備的管理；網(wǎng)絡的線路保障；網(wǎng)絡服務器平臺的運行管理，網(wǎng)絡病毒入侵防范。

安全保密管理員負責網(wǎng)絡信息系統(tǒng)的安全保密技術管理，主要職責是：網(wǎng)絡信息安全策略管理；網(wǎng)絡信息系統(tǒng)安全檢查；涉密計算機的安全管理；網(wǎng)絡信息系統(tǒng)的安全審計管理。

密鑰管理員負責密鑰的管理，主要職責是：身份認證系統(tǒng)的管理；密鑰的制作；密鑰的更換；密鑰的銷毀。

三、 工作監(jiān)管：

對涉密計算機信息系統(tǒng)安全管理人員的管理要遵循“從不單獨原則”、“責任分散原則”和“最小權限原則”。

新調(diào)入或任用涉密崗位的系統(tǒng)管理人員，必須先接受保密教育和網(wǎng)絡安全保密知識培訓后方可上崗工作。

保密單位負責定期組織系統(tǒng)管理人員進行保密法規(guī)知識的宣傳教育和培訓工作。

第三章? 機房管理制度

一、 機房安全管理：

進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)、食品等對設備正常運行構成威脅的物品。嚴禁在機房內(nèi)吸煙。嚴禁在機房內(nèi)堆放與工作無關的雜物。

機房內(nèi)不得使用無線通訊設備，禁止拍照和攝影。

機房內(nèi)應按要求配置足夠量的消防器材，并做到三定（定位存放、定期檢查、定時更換）。加強防火安全知識教育，做到會使用消防器材。加強電源管理，嚴禁亂接電線和違章用電。發(fā)現(xiàn)火險隱患，及時報告，并采取安全措施。

二、 機房日常管理：

各類技術檔案、資料由專人妥善保管并定期檢查。

機房應保持整潔有序，地面清潔。設備要排列整齊，布線要正規(guī)，儀表要齊備，工具要到位，資料要齊全。機房的門窗不得隨意打開。

每天上班前和下班后對機房做日常巡檢，檢查機房環(huán)境、電源、設備等并做好相應記錄（見表一）。

三、 機房門禁管理：

出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經(jīng)集團it部批準，并有專人陪同。

機房大門必須隨時關閉上鎖。機房鑰匙由集團公司集團it部管理。

機房門禁卡（以下簡稱門禁卡）由xx集團it部管理。門禁卡的發(fā)放范圍是：系統(tǒng)管理員、安全保密管理員和密鑰管理員。對臨時進入機房工作的人員，不再發(fā)放門禁卡，在向用戶單位保密部門提出申請得到批準后，由安全保密管理員陪同進入機房工作。

門禁卡應妥善保管，不得遺失和互相借用。門禁卡遺失后，應立即上報門禁卡管理單位，同時寫出書面說明。

第四章? 系統(tǒng)管理員工作細則

第一節(jié)? 系統(tǒng)主機維護管理辦法

一、 工作職責：

系統(tǒng)主機由系統(tǒng)管理員負責維護，未經(jīng)允許任何人不得對系統(tǒng)主機進行操作。

根據(jù)系統(tǒng)設計方案和應用系統(tǒng)運行要求進行主機系統(tǒng)安裝、調(diào)試，建立系統(tǒng)管理員賬戶，設置管理員密碼，建立用戶賬戶，設置系統(tǒng)策略、用戶訪問權利和資源訪問權限，并根據(jù)安全風險最小化原則及運行效率最大化原則配置系統(tǒng)主機。

建立系統(tǒng)設備檔案（見表二）、包括系統(tǒng)主機詳細的技術參數(shù)，如：品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息，妥善保管系統(tǒng)主機保修卡，在系統(tǒng)主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。

二、 日常維護及例行檢查：

每月： 每月修改系統(tǒng)主機管理員密碼，密碼長度不得低于八位，要求有數(shù)字、字母并區(qū)分大小寫。每月對系統(tǒng)主機運行情況進行總結(jié)、并寫出系統(tǒng)主機運行維護月報，上報基礎架構管理負責人。

每周： 通過系統(tǒng)性能分析軟件對系統(tǒng)主機進行運行性能分析，并做詳細記錄（見表四），根據(jù)分析情況對系統(tǒng)主機進行系統(tǒng)優(yōu)化，包括磁盤碎片整理、系統(tǒng)日志文件清理，系統(tǒng)升級等。每周對系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進行備份，做詳細記錄（見表四）。每周下載安裝最新版的系統(tǒng)補丁，對系統(tǒng)主機進行升級，做詳細記錄（見表四）。

每天： 檢查系統(tǒng)主機各硬件設備是否正常運行，并做詳細記錄（見表五）。每天檢查系統(tǒng)主機各應用服務系統(tǒng)是否運行正常，并做詳細記錄（見表五）。每天記錄系統(tǒng)主機運行維護日記，對系統(tǒng)主機運行情況進行總結(jié)。在系統(tǒng)主機發(fā)生故障時應及時通知用戶，用最短的時間解決故障，保證系統(tǒng)主機盡快正常運行，并對系統(tǒng)故障情況做詳細記錄（見表六）。

第二節(jié)? 信息系統(tǒng)運行維護管理辦法

一、 工作職責：

根據(jù)信息系統(tǒng)的設計要求及實施細則安裝、調(diào)試、配置信息系統(tǒng)，建立信息系統(tǒng)管理員賬號，設置管理員密碼，密碼要求由數(shù)字和字母組成，區(qū)分大小寫，密碼長度不得低于8位。管理員密碼至少每月修改一次。

信息系統(tǒng)的開發(fā)和上線必須嚴格將開發(fā)環(huán)境和生產(chǎn)環(huán)境分開。不允許兩個環(huán)境使用同一個服務器、或同一個操作系統(tǒng)、或同一個數(shù)據(jù)庫實例。

對信息系統(tǒng)的基本配置信息做詳細記錄，包括系統(tǒng)配置信息、用戶帳戶名稱，系統(tǒng)安裝目錄、數(shù)據(jù)文件存貯目錄，在信息系統(tǒng)配置信息發(fā)生改變時及時更新記錄（見表三）。

二、 日常維護及例行檢查：

每月：對信息系統(tǒng)運行維護情況進行總結(jié)，并寫出信息系統(tǒng)維護月報，并上報信息系統(tǒng)的技術負責人和業(yè)務負責人。

每周： 對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、用戶id文件、系統(tǒng)日志進行備份，并做詳細記錄（見表四），備份介質(zhì)并存檔。

每天： 檢查信息系統(tǒng)各項應用功能是否運行正常，并做詳細記錄（見表五）。每天記錄信息系統(tǒng)運行維護日志，定期對信息系統(tǒng)運行情況進行總結(jié)。

三、 問題處理：

在信息系統(tǒng)發(fā)生故障時，應及時通知用戶，并用最短的時間解決故障，保證信息系統(tǒng)盡快正常運行，并對系統(tǒng)故障情況做詳細記錄（見表六）。

當信息系統(tǒng)用戶發(fā)生增加、減少、變更時，新建用戶帳戶，新建用戶郵箱，需經(jīng)保密單位審批，并填寫系統(tǒng)用戶申請單或系統(tǒng)用戶變更申請單（見表七），審批通過后，由系統(tǒng)管理員進行操作，并做詳細記錄。

根據(jù)用戶需求設置信息系統(tǒng)各功能模塊訪問權限，并提交信息系統(tǒng)的業(yè)務主管審批。

第三節(jié)? 網(wǎng)絡系統(tǒng)運行維護管理辦法

一、 工作職責：

網(wǎng)絡系統(tǒng)運行維護由系統(tǒng)管理員專人負責，未經(jīng)允許任何人不得對網(wǎng)絡系統(tǒng)進行操作。

根據(jù)網(wǎng)絡系統(tǒng)設計方案和實施細則安裝、調(diào)試、配置網(wǎng)絡系統(tǒng)，包括交換機配置、路由器配置，建立管理員賬號，設置管理員密碼，并關閉所有遠程管理端口。

建立系統(tǒng)設備檔案（見表二），包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息，詳細記錄綜合布線系統(tǒng)信息配置表，交換機系統(tǒng)配置，路由器系統(tǒng)配置，網(wǎng)絡拓撲機構圖，vlan劃分表，并在系統(tǒng)配置發(fā)生變更時及時對設備檔案進行更新。

二、 日常維護及例行檢查：

每月： 對網(wǎng)絡系統(tǒng)運行維護情況進行總結(jié)，并作出網(wǎng)絡系統(tǒng)運行維護月報。

每周： 對網(wǎng)絡系統(tǒng)設備（交換機、路由器）進行清潔。每周修改網(wǎng)絡系統(tǒng)管理員密碼。每周檢測網(wǎng)絡系統(tǒng)性能，包括數(shù)據(jù)傳輸?shù)姆€(wěn)定性、可靠性、傳輸速率。

每天： 檢查網(wǎng)絡系統(tǒng)設備（交換機、路由器）是否正常運行。

三、 問題處理：

網(wǎng)絡變更后進行網(wǎng)絡系統(tǒng)配置資料備份。

當網(wǎng)絡系統(tǒng)發(fā)生故障時，應及時通知用戶，并在最短的時間內(nèi)解決問題，保證網(wǎng)絡系統(tǒng)盡快正常運行，并對系統(tǒng)故障情況作詳細記錄（見表六）。

第四節(jié) 終端電腦運行維護管理辦法

一、 工作職責：

終端電腦的維護由系統(tǒng)管理員負責，未經(jīng)允許任何人不得對終端電腦進行維護操作。

根據(jù)用戶應用需求和安全要求安裝、調(diào)試電腦主機，安裝操作系統(tǒng)、應用軟件、殺毒軟件等等。

建立系統(tǒng)設備檔案（見表二）、包括電腦的品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息，在電腦主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。

二、 問題處理：

在電腦主機發(fā)生故障時應及時進行處理，備份用戶文件，用最短的時間解決故障，保證電腦主機盡快能夠正常運行，并對電腦主機故障情況做詳細記錄（見表六），涉及存儲介質(zhì)損壞，直接送交集團it部處理。

第五節(jié) 網(wǎng)絡病毒入侵防范管理辦法

一、 工作職責：

網(wǎng)絡病毒入侵防護系統(tǒng)由系統(tǒng)管理員專人負責，任何人未經(jīng)允許不得進行此項操作。

根據(jù)網(wǎng)絡系統(tǒng)安全設計要求安裝、配置瑞星、金山、avast等網(wǎng)絡病毒防護系統(tǒng)，包括服務器端系統(tǒng)配置和客戶機端系統(tǒng)配置，開啟客戶端防病毒系統(tǒng)的實時監(jiān)控。

所有xx集團（包括各子公司、分公司、分區(qū)）的服務器和個人電腦，禁止安裝360安全衛(wèi)士的全系列產(chǎn)品。

二、 日常維護及例行檢查：

每周： 登陸防病毒公司網(wǎng)站，下載最新的升級文件，對系統(tǒng)進行升級，并作詳細記錄（見表九）。每周對網(wǎng)絡系統(tǒng)進行全面的病毒查殺，對病毒查殺結(jié)果做系統(tǒng)分析，并做詳細記錄（見表十）。

每日： 監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志，檢測是否有病毒入侵、安全隱患等，對所發(fā)現(xiàn)的問題進行及時處理，并做詳細記錄（見表八）。每日瀏覽國家計算機病毒應急處理中心網(wǎng)站，了解最新病毒信息發(fā)布情況，及時向用戶發(fā)布病毒預警和預防措施。

第五章? 安全保密管理員工作細則

第一節(jié) 網(wǎng)絡信息安全策略管理辦法

一、 工作職責：

網(wǎng)絡安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。

根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結(jié)果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄（見表十一）。

根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略，并做記錄（見表十一）。

根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略，并做記錄（見表十一）。

根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄（見表十一）。

網(wǎng)絡信息安全技術防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。

二、 日常維護及例行檢查：

每周： 對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄（見表十二）。

第二節(jié) 網(wǎng)絡信息系統(tǒng)安全檢查管理辦法

一、 工作職責：

網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。

二、 日常維護及例行檢查：

每月： 通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析，并對掃描結(jié)果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處理，作詳細記錄（見表十五），并將安全評估分析報告上報集團it部。

每周： 登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并做詳細記錄（見表十四）。

每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并作詳細記錄（見表十六）。

每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細記錄（見表十七）。

每天： 根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報集團it部，并做詳細記錄（見表十三）。

第三節(jié) 涉密計算機安全管理辦法

一、 工作職責：

涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。

二、 日常維護及例行檢查：

每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄（見表十八），遇有重大問題上報保密部門。

三、 問題處理：

涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄（見表十八）。

新增涉密計算機聯(lián)入涉密網(wǎng)絡，需經(jīng)集團it部審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄（見表十八）。

第四節(jié) 安全審計管理辦法

一、 工作職責：

網(wǎng)絡信息安全審計系統(tǒng)由安全保密管理員負責，未經(jīng)允許任何人不得進行此項操作。

根據(jù)網(wǎng)絡系統(tǒng)主機安全設計要求安裝、配置、管理主機安全審計系統(tǒng)，制定審計規(guī)則，包括系統(tǒng)運行狀態(tài)、用戶登錄信息，網(wǎng)絡文件共享操作等。

二、 日常維護及例行檢查：

每月：對主機安全審計系統(tǒng)記錄信息進行分析總結(jié)，并向保密部門提交分析報告。

每周：備份設備安全審計系統(tǒng)審計信息，并做詳細記錄（見表二十）。

每日：查看安全審計系統(tǒng)信息，對審計結(jié)果進行分析整理，及時處理所發(fā)生的設備安全問題，并做詳細記錄（見表十九）。

第五章? 密鑰管理員工作細則

一、 工作職責：

身份認證系統(tǒng)由密鑰管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

負責向用戶單位派發(fā)安全鑰匙，用戶需填寫審批表，并提交保密部門審批（見表二十一）。

負責為每臺計算機安裝主機登錄系統(tǒng)。

負責主機登錄系統(tǒng)、身份認證系統(tǒng)的系統(tǒng)維護。

根據(jù)用戶需求，見保密部門審批單要求，制作、修改、注銷證書（見表七）。

二、 日常維護及例行檢查：

每日：檢查身份認證系統(tǒng)是否正常運行。

第六章? 數(shù)據(jù)資產(chǎn)管理規(guī)定

一、 范圍：

xx集團的內(nèi)部各信息系統(tǒng)均為涉密計算機信息系統(tǒng)，所有信息系統(tǒng)內(nèi)的數(shù)據(jù)資源均為xx集團的財產(chǎn)，任何人不得以任何方式私自復制、修改、保留。

二、 職責：

信息系統(tǒng)的運行維護由系統(tǒng)管理員和信息系統(tǒng)的業(yè)務單位指定的管理員共同負責，未經(jīng)系統(tǒng)管理員和信息系統(tǒng)的業(yè)務主管領導同意，任何人不得在系統(tǒng)后臺對信息系統(tǒng)進行任何操作。

系統(tǒng)管理員只對信息系統(tǒng)的技術平臺擁有相應的管理權限，任何對信息系統(tǒng)數(shù)據(jù)的使用均需要信息系統(tǒng)的業(yè)務主管領導同意；未經(jīng)許可系統(tǒng)管理員不得以任何方式向第三方透漏信息系統(tǒng)內(nèi)的任何信息。

三、 所有權：

信息系統(tǒng)（集團財務系統(tǒng)、媒介系統(tǒng)等）的數(shù)據(jù)直接管理權歸相應的業(yè)務單位所有（例如，媒介系統(tǒng)的業(yè)務所有人為媒介管理部。信息系統(tǒng)的技術維護工作由xx集團it部或相應的授權技術服務團隊負責。

所有有權直接接觸信息系統(tǒng)的生產(chǎn)環(huán)境的技術團隊成員，均需簽署保密協(xié)議。技術團隊成員有責任和義務為相關系統(tǒng)的信息或代碼保密。

第七章? 計算機信息系統(tǒng)應急預案

一、 工作職責：

系統(tǒng)管理人員參與制定各種意外事件處置預案，并具體執(zhí)行，包括火災、停電、設備故障等，每年進行預案演練。

二、 系統(tǒng)應急場景：

(一) 遇到火災應根據(jù)火情采取以下措施：

1. 如火情較輕時，應立即切斷機房總電源，并迅速用消防器材，力爭把火撲滅、控制在初期階段，同時上報集團保衛(wèi)部門。

2. 如火情嚴重應迅速撥打報警電話“119”，同時通知集團保衛(wèi)部門，聽從消防工作人員的現(xiàn)場指揮，協(xié)助處理有關事項。

(二) 如遇機房突發(fā)性停電，應迅速通知用戶，同時檢查后備電源使用情況；如有需要，可以關閉設備電源；來電后，及時通知用戶，并檢測設備是否正常運行。

(三) 系統(tǒng)出現(xiàn)災難性故障時，系統(tǒng)管理員應立刻通知部門主管，制定詳細的系統(tǒng)恢復方案。

三、 問題處理：

遇緊急情況，值班員應立即通知集團it部和系統(tǒng)管理員，保持24小時通訊暢通，隨時處理緊急事件。

線路故障應立即撥打線路故障電話“112”，同時上報部門主管，協(xié)助電信部門查找故障原因，盡快使線路恢復正常。

第7篇 信息科技部-安全管理中心-安全規(guī)劃崗工作職責與職位要求

職位描述：

1、負責信息安全策略（制度、流程、運行機制）的建設和維護，并組織落實

2、負責信息科技風險的識別與評估，制定風險控制方案，針對信息系統(tǒng)開展風險評估

3、配合監(jiān)管及內(nèi)外部安全審計，了解常見安全漏洞、熟悉安全評估、熟悉各類安全控制手段，完善運維環(huán)境安全系統(tǒng)建設和管理

4、負責全行信息科技安全檢查的各項工作，跟進并落實相關問題的整改

5、定期組織信息安全培訓，及全員的安全意識教育

職位要求：

1、全日制本科及以上學歷

2、5年及以上相關工作經(jīng)驗，了解iso27001、iso20000，對信息安全以及it服務管理體系有深入理解；

掌握信息安全、it開發(fā)、運維等專業(yè)知識，

3、熟悉銀行業(yè)信息科技監(jiān)管要求和標準

4、熟悉計算機軟硬件系統(tǒng)的產(chǎn)品設計、開發(fā)、可行性研究及軟件開發(fā)、測試、評估、操作管理；熟悉linux系統(tǒng)；熟悉oracle數(shù)據(jù)庫應用開發(fā)。

第8篇 火力發(fā)電廠安全性評價管理信息系統(tǒng)的設計

1. 引言

現(xiàn)代社會中，電力工業(yè)的安全生產(chǎn)對國民經(jīng)濟和人民生活有著舉足輕重的影響，做好安全生產(chǎn)工作始終是發(fā)電企業(yè)的永恒主題。然而，由于我國電力工業(yè)的特點及人員、設備、管理以及環(huán)境等諸多方面的原因，目前在發(fā)電企業(yè)中普遍存在著許多不安全的因素，因此，為了提高反事故工作的可預見性和安全投資效益，達到對可能發(fā)生事故的超前控制、將各種事故消滅在隱患之中，用一種科學的方法分析、預測電力生產(chǎn)設備系統(tǒng)中可能發(fā)生的事故及其概率的高低，具有重要的意義。

安全性評價是一項目前國際上比較流行的一種對安全工作系統(tǒng)化、規(guī)范化、可操作性強的管理模式，它是對一個系統(tǒng)（大到一個企業(yè)，小到一個車間、一個班組、一項工程設計、一個工藝流程、一個裝置或設備等）的安全性進行識別，并給出定性或定量的評價的工作，使用這種方法可以預見到系統(tǒng)客觀上存在但尚未引發(fā)事故的各種危險因素，并對系統(tǒng)的安全性作出大致的評價。因此，搞好安全性評價對提高發(fā)電企業(yè)的安全生產(chǎn)工作水平，降低安全事故的發(fā)生率具有重要的意義。

現(xiàn)代社會是一個科學技術飛速發(fā)展的時代，特別是計算機科學的興起，使我們的社會生活發(fā)生了巨大的變化，計算機以快速、高效的性能，改變了我們工作和生活的方方面面，把我們從繁重復雜的工作中解放出來，將安全性評價工作與計算機結(jié)合起來，將會給我們的安全性評價工作帶來質(zhì)的飛躍。

2. 系統(tǒng)目標

通過對用戶需求和安全性評價管理業(yè)務的調(diào)查和分析,研究管理實施所需要的功能,系統(tǒng)應達到以下目標.

2.1 面向多用戶

安全性評價是以各部門、各班組為基本單位進行的以群眾性自查為主的工作,其管理和應用是面向多部門、多用戶、同步性協(xié)作式方向發(fā)展，安全性評價的數(shù)據(jù)庫結(jié)構復雜，數(shù)據(jù)量較大，同一數(shù)據(jù)用戶比較多，如：在進行安全性評價登記的時候，全廠任何人都可以進行評價登記，因此建立具有數(shù)據(jù)共享機制的系統(tǒng)體系結(jié)構具有重要的意義。

2.2 業(yè)務功能完善

根據(jù)<<火力發(fā)電廠安全性評價>;>;（中國華北電力集團公司安全監(jiān)察部 編著）一書中的規(guī)定，在安全性評價管理軟件的業(yè)務流程中需要系統(tǒng)具有能夠填寫該書中附錄1-----附錄5中的內(nèi)容，并且應具有條件查詢、結(jié)果分析、評價項目維護與注銷、用戶系統(tǒng)權限維護、填寫記錄自動生成、評價結(jié)果自動生成、報表輸出等功能。

2.3 軟件具有很強的適應性、可以滿足不同電廠的需要

對于不同的電廠或電力企業(yè)，本系統(tǒng)應能適應其安全性評價工作的要求。

3.系統(tǒng)設計

3.1 client/server數(shù)據(jù)庫運行模式

client/server體系結(jié)構是新型的計算機網(wǎng)絡構造方法。在

client/server結(jié)構下，應用系統(tǒng)被分為前端（客戶機部分）和后端（服務器部分）兩個部分，client/server模式是指一個復雜的計算機應用任務被合理的分解為多個子任務，由服務器和客戶機分別承擔。合理有效的利用了客戶機和服務器的資源：大大減少網(wǎng)絡通信的負擔，改善了系統(tǒng)運行的總體性能?？蛻魴C和服務器之間體現(xiàn)為服務請求/服務響應關系，即用數(shù)據(jù)庫服務器完成數(shù)據(jù)處理的功能，而客戶機完成應用事務的組織和人機界面的實現(xiàn)。

在client/server體系結(jié)構中，客戶機的功能主要有管理用戶接口、從用戶接受數(shù)據(jù)、處理應用邏輯、產(chǎn)生數(shù)據(jù)庫請求，向服務器發(fā)送數(shù)據(jù)請求、從服務器接受結(jié)果和格式化結(jié)果；服務器的功能是從客戶機接受數(shù)據(jù)庫請求、處理數(shù)據(jù)庫請求、格式化結(jié)果并傳送給客戶機、執(zhí)行完整性檢查、提供并行訪問控制、執(zhí)行恢復、優(yōu)化查尋和更新處理。

在面向多用戶的系統(tǒng)環(huán)境中，數(shù)據(jù)庫系統(tǒng)運行模式對數(shù)據(jù)的共享、并發(fā)性和一致性起著決定性作用，對系統(tǒng)的性能起著關鍵作用，而client/server體系結(jié)構在這方面有著明顯的優(yōu)勢。所以，安全性評價管理信息系統(tǒng)采用client/server數(shù)據(jù)庫運行模式。

3.2 數(shù)據(jù)庫及開發(fā)工具

本系統(tǒng)采用powerdesigner來建立數(shù)據(jù)庫模型，powerdesigner是sybase 公司的case工具集，使用它可以方便的對信息系統(tǒng)進行分析與設計，這個工具集包含了四個模塊，覆蓋了軟件開發(fā)生命周期的各個階段。采用powerdesigner可以方便的畫出數(shù)據(jù)流圖、實體關系圖，得到系統(tǒng)完整的邏輯模型，并且利用它自身提供的接口可以實現(xiàn)由實體關系圖向物理模型的自動轉(zhuǎn)換，使設計人員可以在物理模型的基礎上進行數(shù)據(jù)庫的后臺設計。如下所示的是利用powerdesigner為本系統(tǒng)建立的部分實體關系圖，可以看出，通過使用 powerdesigner，可以形象的描述出本系統(tǒng)中需要處理的信息。圖一

除了使用powerdesigner進行數(shù)據(jù)建模以外，系統(tǒng)采用powerbuilder7.0作為主要開發(fā)工具，powerbuilder7.0是一個面向?qū)ο蟮腸lient/server開發(fā)工具，開發(fā)出的代碼具有很強的可重用性，它提供了眾多的描繪器用于創(chuàng)建和管理不同的對象，提供了豐富的對象、控件和函數(shù)，開發(fā)效率高，成本低，對數(shù)據(jù)庫的應用開發(fā)有著特殊的支持，具有強大的數(shù)據(jù)庫操作功能，用在開發(fā)客戶應用程序時，這個程序首先建立一個與數(shù)據(jù)庫的通信通道，然后將用戶的需求以某種方式傳送給數(shù)據(jù)庫服務器，在應用程序接收到數(shù)據(jù)庫服務器返回的數(shù)據(jù)后，它分析返回的數(shù)據(jù)并呈現(xiàn)給用戶。而數(shù)據(jù)庫服務器是一個存取數(shù)據(jù)和管理數(shù)據(jù)的軟件，它針對客戶的請求為客戶提供數(shù)據(jù)服務，這些服務包括數(shù)據(jù)插入、修改和查詢等。系統(tǒng)可選用oracle、sysbase、informix、sqlserver等目前流行的各種關系數(shù)據(jù)庫，在蒲山發(fā)電運營中心安全性評價管理實例中我們采用oracle8i作為后臺數(shù)據(jù)庫服務器系統(tǒng)，oracle8i是一個功能極其強大和靈活的關系型數(shù)據(jù)庫系統(tǒng)，適應于client/server數(shù)據(jù)庫體系結(jié)構。

3.3 網(wǎng)絡結(jié)構設計

數(shù)據(jù)庫

服務器安全性評價管理信息系統(tǒng)是在局域網(wǎng)基礎上建立的client/server體系結(jié)構，圖二是以蒲山發(fā)電運營中心的局域網(wǎng)為例的網(wǎng)絡示意圖：

中心交換機

邊緣交換機

邊緣交換機

光纖

客戶端

客戶端圖二

主干網(wǎng)采用100m光纖進行連接，各部門、班組和控制室等通過hub（集線器）與主干網(wǎng)相連，網(wǎng)絡協(xié)議采用tcp/ip協(xié)議。

4．系統(tǒng)開發(fā)

4.1 面向?qū)ο蟮拈_發(fā)方法

面向?qū)ο蟮某绦蛟O計在當今的應用程序開發(fā)中具有重要的地位，它相對于傳統(tǒng)的開發(fā)方法而言，提高了程序開發(fā)的質(zhì)量和速度，是一種建立在現(xiàn)實世界基礎上的新的軟件開發(fā)思維，代表了一種全新的程序設計思路和觀察、表述、處理問題的方法，它力求符合人們?nèi)粘Ｗ匀坏乃季S習慣，降低，分解問題的難度和復雜性，提高整個求解過程的可控制性、可監(jiān)測性和可維護性，從而達到以較小的代價和較高的效率獲得較滿意效果的目的，在開發(fā)過程中，它強調(diào)的是系統(tǒng)開發(fā)的關鍵是來自對前端概念的理解而不是對后端方法的實現(xiàn)。只有當應用領域的固有的概念被識別、理解并構造清楚了，才能有效地設計系統(tǒng)的數(shù)據(jù)結(jié)構以及實現(xiàn)的功能。powerbuilder7.0是一個面向?qū)ο蟮拈_發(fā)工具，利用它可以開發(fā)出面向?qū)ο蟮膚indows應用程序，powerbuilder7.0在系統(tǒng)中具有封裝性、繼承性和多態(tài)性的特征。利用面向?qū)ο蟮姆椒蓪崿F(xiàn)系統(tǒng)和人機交互界面的設計，數(shù)據(jù)管理的設計。powerbuilder7.0采用面向?qū)ο蟮姆椒ㄩ_發(fā)應用程序的用戶界面，充分利用windows的窗口資源，從而不僅使用戶界面更加美觀、簡潔、易操作，而且提高了窗口的可重復利用性。

4.2 功能實現(xiàn)

根據(jù)對安全性評價需求的調(diào)查和對整個評價業(yè)務的研究，以及對整個安全評價管理信息系統(tǒng)操作流程的分析，系統(tǒng)應具有以下功能，如圖三所示：

系統(tǒng)功能

查詢功能

維護功能

填寫與審核

輔助分析

自動生成

輸出功能

圖三

其中維護及填寫與審核應能實現(xiàn)如圖四、圖五所示的功能：

系統(tǒng)維護

系統(tǒng)權限維護

系統(tǒng)數(shù)據(jù)維護

檢查項目

評價結(jié)果項目

評價項目

操作權限

人員項目對應關系

圖四

發(fā)現(xiàn)安全問題

填寫安全評價發(fā)現(xiàn)問題及整改措施

利用歷次的記錄生成

上報

進行審核

審查合格

不合格，退回重新填寫

記錄可以進行自動生成

可以查看評價標準

利用填寫的發(fā)現(xiàn)問題及整改措施生成查評扣分記錄

直接填寫

終結(jié)，打印最終結(jié)果

利用查評扣分記錄自動生成或手動填寫

填寫查評扣分記錄

可以查看評價標準填寫評價結(jié)果明細總分自動生成

利用查評扣分記錄自動生成或手動填寫

填寫安全評價總表

圖五

4.2.1 維護功能

維護功能是安全性評價管理信息系統(tǒng)的一個特色，利用它可以維護所有在填寫、查詢等功能中用到的數(shù)據(jù)，這樣就保證了整個系統(tǒng)在使用時候的可適應性以及靈活性。維護分為對系統(tǒng)數(shù)據(jù)的維護和對系統(tǒng)權限的維護。利用系統(tǒng)權限的維護，可以控制用戶在整個系統(tǒng)中的訪問權限，從而保證整個系統(tǒng)的安全性，利用系統(tǒng)數(shù)據(jù)的維護，可以對在整個系統(tǒng)中使用到的一些基本數(shù)據(jù)（比如：安全評價項目的維護）進行維護操作，包括填加、刪除、注銷等功能。如圖六、圖七所示：其中圖六表示的是系統(tǒng)權限的維護，圖七表示的是對系統(tǒng)數(shù)據(jù)的維護。

圖六 圖七

4.2.2填寫與審核功能

填寫與審核在整個安全性評價系統(tǒng)中占有重要的地位，用戶利用這個功能進行評價結(jié)果的填寫與審核，最終生成最后的評價結(jié)果。在填寫的時候，每個項目任何人都可以對其安全性進行評價，在評價的時候可以實時利用局域網(wǎng)的連接在數(shù)據(jù)庫中查詢別人已經(jīng)填寫過歷次有關該項目的記錄，對于某條或幾條記錄如果認為可以使用或在上面進行修改的話，可以利用生成按鈕將這些記錄直接生成過來。而在審核的時候，只能有特定的幾個被賦予審核權限的人才可以進行操作。通過審核，生成最終的評價結(jié)果。在審核和評價的時候，為了對項目填寫和審核的方便，把握評價的尺度，當點擊某項目的時候，可以在這些窗口中隨時查看到該項目評價的標準。如圖八所示：該圖表示的是填寫時的情況

圖八

4.2.3 查詢功能

查詢是安全性評價管理信息系統(tǒng)的一項重要的功能，也是作用最為顯著的功能，根據(jù)用戶的需求，它包括簡單數(shù)據(jù)的查詢和對評價結(jié)果綜合分析的查詢，按照查詢手段的不同，它包括按照時間查詢和包括時間查詢在內(nèi)的條件查詢，各類查詢還可以交叉進行，這是目前在安全性評價系統(tǒng)中作用發(fā)揮的最突出的部分，通過查詢，用戶可以對整個安全評價過程進行了解。如可以對整個安全評價最終結(jié)果進行查詢，如圖九所示：

圖九

4.2.4 輔助分析功能

系統(tǒng)的輔助分析功能主要是對評價的最終結(jié)果進行分析，包括本次評分情況分析以及歷次得分情況分析等，通過這個功能，可以使用戶對全廠的整個安全情況有一個總體的認識，可以把握全廠的安全性情況走勢。如圖十所示：圖十

4.2.5 數(shù)據(jù)的自動生成功能

由于安全性評價是一項群眾性的安全自查活動，因此，為了服務于多用戶的使用，提高進行評價登記時的效率，減輕登記人員的工作量，設計了數(shù)據(jù)的自動生成功能，利用這項功能，用戶可以將歷次評價中自己或別人所填寫的內(nèi)容生成到自己的填寫表格中去。見4.2.3填寫與審核中圖。

4.2.6 輸出功能

輸出功能也是系統(tǒng)的一項重要功能，利用它，系統(tǒng)可以進行在安全評價中各種報表的輸出，根據(jù)用戶不同的要求，系統(tǒng)具有不同的輸出形式，用戶只需簡單的操作，就可得到需要的輸出結(jié)果。圖十一所示的是附錄四在打印時的情況：圖十一

5．結(jié)束語

安全性評價是一門正在新興的軟科學，它使我們的安全管理工作從傳統(tǒng)的經(jīng)驗管理走向了科學管理，使定量評價成為我們今后進行安全工作的一項重要的方法和手段，將計算機科學與其結(jié)合在一起，將使我們的安全性評價管理工作邁上一個臺階，大大提高我們的現(xiàn)代化安全管理水平。

第9篇 數(shù)字化礦山安全信息管理系統(tǒng)

數(shù)字化礦山安全監(jiān)控系統(tǒng)為集團公司領導及安全管理部門提供了高效、穩(wěn)定、快捷的瓦斯實時監(jiān)測數(shù)據(jù)，公司領導在辦公室、會議室可以隨時查詢各礦井瓦斯、通風、井下風速、風量的實時數(shù)據(jù)，各相關領導隨時根據(jù)所掌握的情況，制定可行的安全生產(chǎn)對策，系統(tǒng)同時還可以查詢礦井瓦斯綜合報表、瓦斯變化分析曲線、井下傳感器動態(tài)示意圖、礦山地質(zhì)圖形、地質(zhì)儲量三維立體圖形查、井下巷道公布圖，并實現(xiàn)了風機視頻監(jiān)控等各項功能，做到了礦井安全監(jiān)控縱向到底、橫向到邊、信息準確、反應靈敏。七煤集團數(shù)字化礦山安全監(jiān)測系統(tǒng)，公開了井下瓦斯變化的全過程，為安全生產(chǎn)的科學決策，提供了信息支持，實現(xiàn)了礦井瓦斯重點排查跟蹤、重大安全隱患排查跟蹤，系統(tǒng)功能包括：

1、數(shù)字化礦山瓦斯監(jiān)測監(jiān)控管理信息系統(tǒng)

2、礦井風機監(jiān)控管理信息系統(tǒng)

3、井下巷道風流、風速、風量實時監(jiān)測管理系統(tǒng)

4、gis網(wǎng)絡數(shù)字煤礦安監(jiān)管信息系統(tǒng)、

5、gis網(wǎng)站煤炭安全隱患排查信息系統(tǒng)、

6、礦山地質(zhì)圖形管理信息系統(tǒng)

系統(tǒng)地提供了完備的安全監(jiān)測與信息管理，建立了煤礦信息基本數(shù)據(jù)庫，對通風系統(tǒng)圖、采掘工程平面圖、井下運輸系統(tǒng)圖等實現(xiàn)了動態(tài)網(wǎng)絡監(jiān)測，實現(xiàn)了礦井通風安全多級監(jiān)管、統(tǒng)一監(jiān)測的目的，使集團公司安全管理更加科學化、規(guī)范化、系統(tǒng)化。

數(shù)字化礦山安全監(jiān)控系統(tǒng)為集團公司領導及安全管理部門提供了高效、穩(wěn)定、快捷的礦井環(huán)境實時監(jiān)測數(shù)據(jù)，公司各級領導及管理人員可隨時查詢各礦井瓦斯、溫度、一氧、負壓、粉塵、井下風速、風量的實時數(shù)據(jù)信息，根據(jù)所掌握的情況，制定可行的安全生產(chǎn)指揮策略，系統(tǒng)支持礦井瓦斯變化分析曲線、井下傳感器動態(tài)示意圖、礦山地質(zhì)圖形、地質(zhì)儲量三維立體圖形查詢、礦井圖，做到了礦井環(huán)境安全監(jiān)控縱向到底、橫向到邊、信息準確，為礦井安全生產(chǎn)提供了保障。

第10篇 現(xiàn)有信息管理狀況安全評價

安全管理是一個仍在繼續(xù)發(fā)展的領域,除了cc中的系統(tǒng)和產(chǎn)品標準、sse-cmm中涉及到的系統(tǒng)運行安全管理和bs7799中的如風險管理和涉及安全方面的人員管理等外,企業(yè)還應該更加自己的需要制定了相應的安全政策并對此有效的執(zhí)行。安全管理措施對于企業(yè)來說是安全生產(chǎn)的一個重要組成部分。如果企業(yè)安全管理措施不完善或?qū)嵤┎涣Ρ厝粫е缕髽I(yè)人員的違章現(xiàn)象,從而產(chǎn)生事故隱患。這種現(xiàn)象不能及時改正、消除,就極易發(fā)生事故,釀成大禍。有資料表明,我國工傷事故中70 %以上是由于人的因素和管理問題引起的。所以對企業(yè)的安全管理措施評價勢在必行。

安全管理的前提是制訂保證安全目標的政策。安全政策包括物理方面的政策如關鍵計算設備的安全政策、邏輯方面的政策如數(shù)據(jù)訪問、安全政策和行政制約方面的安全政策如人員安全管理政策。安全管理的一個重要組成部分是對安全政策實施過程與結(jié)果的審計并根據(jù)審計結(jié)論采取必要的行動,目前雖然對安全管理力度的級別定義在國內(nèi)的信息系統(tǒng)的等級保護中有了要求,但具體的實施細則還沒有正式執(zhí)行,目前還無法進行參照。不過有一個原則是在高密級要求環(huán)境下應采取比低密級更強的安全管理。

另外也可以參考北京市委辦公廳、北京市人民政府辦公廳2001發(fā)布的《北京市黨政機關計算機網(wǎng)絡與信息信息安全管理辦法》中對信息安全管理的要求,該辦法對組織領導和責任制、安全方案審查、安全服務單位、產(chǎn)品資質(zhì)準入、保密要求和管理制度、監(jiān)控和應急處理、信息內(nèi)容、人員上崗培訓、宣傳、教育、監(jiān)督檢查、法律責任、實施時間等方面都作了不同的要求,應該說涉及面還是很廣的。

在進行自評估時,除了可以參照bs7799的控制項進行自我檢查外,還可以考慮采用外部的風險評估服務,其目的是通過系統(tǒng)的風險評估識別企業(yè)信息系統(tǒng)中的風險點,并區(qū)分出高低,例如哪些威脅才是需要關注的,定位出特地的安全需求。并且在一定條件下,指導企業(yè)進行最有效的降低總體風險和特定風險,監(jiān)控不斷變化的安全狀況,最終指導進行安全風險管理,為企業(yè)的安全管理體系的建立提供原始信息。

如何針對安全管理的內(nèi)容進行管理

首先,需要根據(jù)企業(yè)的現(xiàn)實情況,明確大概的安全方針并制定相應的安全策略。在制定策略時需要注意不能脫離實際,很多安全策略和標準實際上是為 一種理想狀態(tài)下寫的,包括一些信息安全顧問偶然也會犯這種錯誤,并沒有真正了解到當前企業(yè)的安全需求和現(xiàn)狀的情況下制定的安全策略在企業(yè)的實際實施過程中必然會出現(xiàn)問題,管理層或使用者會發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。如果這些安全策略過于理論化或限制性太強,那么企業(yè)組織就會漠視這這些策略。因此在安全策略定制必須遵循以下原則:越符合現(xiàn)狀越容易推行,越簡單越容易操作,改動越小越容易接受.同時,在制定信息安全管理制度時要注意考慮企業(yè)現(xiàn)有的文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來的。與企業(yè)文化和業(yè)務活動不相適應的信息安全管理制度往往會導致發(fā)生大范圍的不遵守現(xiàn)象。另外,規(guī)章制度還必須包括適當?shù)谋O(jiān)督機制。

其次,要對現(xiàn)有信息系統(tǒng)進行安全評估。信息系統(tǒng)安全評估是指根據(jù)公認的標準和指導規(guī)范對信息系統(tǒng)及其業(yè)務應用的效能、效率、安全性進行監(jiān)測、評估和控制的過程,以完成企業(yè)的安全目標,同時樹立風險管理意識并遵循這個進行相關的安全體系建立。

再次,要充分認識到信息安全管理是一個過程。信息安全是一個動態(tài)的過程,必須分階段的對安全策略進行調(diào)整,同時安全攻擊和防范技術都在高速的發(fā)展,而這一切是一個沒有終點的過程,必須建立在一套好的信息安全管理機制的基礎上。

總的來說,安全管理不是一種即買即用的東西。一購買就能提供足夠安全水平的安全管理體系是不存在的。建立一個有效的信息安全管理首先需要要在信息安全評估的基礎上,制定出相關的管理策略和規(guī)章制度后,才能通過配套選用相應的安全產(chǎn)品搭建起整個信息安全架構。現(xiàn)在有些企業(yè)通過安裝部分的安全產(chǎn)品或者制定了一些安全制度但沒有得到良好的執(zhí)行,我們也不能認為這個企業(yè)就有了信息安全管理體系,因為安全管理體系的建立是一個管理系統(tǒng)的驗證規(guī)范, 需依循“pdca”循環(huán)進行,包括持續(xù)改善,訂定政策、管理審查、文件管制、內(nèi)部稽核等。而且信息安全管理與一般管理的不同在于信息安全管理著重在風險評

估及管理,并選擇適當控制措施,將組織損失降到最低。風險評估的過程不是一段時間的工作,而是需要隨著技術的發(fā)展及企業(yè)自身的變化持續(xù)改善的過程。企業(yè)實施了一套信息安全管理體系并不表示其自身信息安全受到絕對的保護,而是確保其本身的信息安全價值、風險等已確實評估,同時為當前信息系統(tǒng)的安全狀態(tài)提供了一個快照,并在此基礎上進行不斷的控制與管理。

需要說明的是,要遵循以上要求即使對最有安全意識和執(zhí)行能力的企業(yè)來說也不是一件簡單的事,但總體來說提高信息安全管理水平已是一股不可違逆的潮流,所有的機構或企業(yè)已不是“做”與“不做”的問題,而是必須盡早實施的問題。企業(yè)應權衡自身承受安全的風險與成本,訂定出一套符合本身需求的安全政策,改善自身的營運體制,以符合國際安全標準與世界潮流。

如何建設一個安全監(jiān)控中心(soc)

雖然信息安全管理問題主要是個從上而下的問題,不能指望通過某一種工具來解決,但良好的安全技術基礎架構能有效的推動和保障信息安全管理。隨著國內(nèi)行業(yè)it應用度和信息安全管理水平的不斷提高,企業(yè)對于安全管理的配套設施如安全監(jiān)控中心(soc)的要求也將有大幅度需求,這將會是一個較明顯的發(fā)展趨勢。

推行soc的另外一個明顯的好處是考慮到在國內(nèi)企業(yè)目前的信息化程度下直接實施信息管理變革的困難性,如果嘗試先從技術角度入手建立soc相對來說阻力更小,然后通過soc再推動相應的管理流程制定和實施,這也未嘗不是值得推薦的并且符合國情的建設方式,而且目前已經(jīng)有些it應用成熟度較高的大型企業(yè)開始進行這方面工作的試點和探索了,因為這些組織已經(jīng)認識到僅依賴于某些安全產(chǎn)品,不可能有效地保護自己的整體網(wǎng)絡安全,信息安全作為一個整體,需要把安全過程中的有關各方如各層次的安全產(chǎn)品、分支機構、運營網(wǎng)絡、客戶等納入一個緊密的統(tǒng)一安全管理平臺中,才能有效地保障企業(yè)的網(wǎng)絡安全和保護原有投資,信息安全管理水平的高低不是單一的安全產(chǎn)品的比較,也不是應用安全產(chǎn)品的多少和時間的比較,而是組織的整體的安全管理平臺效率間的比較。下面我們就來談談建立一個soc應該從那些方面考慮。

首先,一個較完善的soc應該具有以下功能模塊:

(一)安全設備的集中管理

統(tǒng)一日志管理(集中監(jiān)控):包括各安全設備的安全日志的統(tǒng)一監(jiān)控;安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等;

模塊分析:大型網(wǎng)絡中的不同節(jié)點處往往都部署了許多安全產(chǎn)品,起到不同的作用。首先要達到的目標是全面獲取網(wǎng)絡安全實時狀態(tài)信息,解決網(wǎng)絡安全管理中的透明性問題。解決網(wǎng)絡安全的可管理控制性問題。從安全管理員的角度來說,最直接的需求就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡中每個安全產(chǎn)品的運行情況,并對他們產(chǎn)生的日志和報警信息進行統(tǒng)一分析和匯總。

統(tǒng)一配置管理(集中管理):包括各安全設備的安全配置文件的集中管理,提高各管理工具的維護管理水平,提高安全管理工作效率;有條件的情況下實現(xiàn)各安全產(chǎn)品的配置文件(安全策略)的統(tǒng)一分發(fā),修正和更新;配置文件的統(tǒng)一在(離)線管理,定期進行采集和審核,對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲、查詢。

模塊分析:目前企業(yè)中主要的安全產(chǎn)品如防火墻、入侵檢測和病毒防護等往往是各自為政,有自己獨立的體系和控制端。通常管理員需要同時運行多個控制端,這就直接導致了對安全設備統(tǒng)一管理的要求。不過從目前國內(nèi)的情況來說,各不同廠商的安全產(chǎn)品統(tǒng)一管理的難度較大,統(tǒng)一監(jiān)控更容易實現(xiàn),在目前現(xiàn)狀中也更為重要。

目前國內(nèi)現(xiàn)狀是各個安全公司都從開發(fā)管理自己設備的管理軟件入手,先做到以自己設備為中心,把自己設備先管理起來,同時提出自己的協(xié)議接口,使產(chǎn)品能夠有開放性和兼容性。這些安全設備管理軟件和網(wǎng)絡管理軟件類似,對安全設備的發(fā)現(xiàn)和信息讀取主要建立在snmp協(xié)議基礎上,對特定的信息輔助其他網(wǎng)絡協(xié)議。獲取得內(nèi)容大部分也和網(wǎng)絡設備管理相同,如cpu使用情況,內(nèi)存使用情況,系統(tǒng)狀態(tài),網(wǎng)絡流量等。

各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理(協(xié)同處理):協(xié)調(diào)處理是安全技術的目標,同時也符合我國對信息安全保障的要求即實現(xiàn)多層次的防御體系。整體安全技術體系也應該有多層次的控制體系。不僅僅包含各種安全產(chǎn)品,而且涉及到各主機操作系統(tǒng)、應用軟件、路由交換設備等等。

模塊分析:目前國內(nèi)有部分提法是ids和防火墻的聯(lián)動就是基于這種思路的,但是實際的使用情況中基本上沒有客戶認同這點,原因當然有很多,但實際上要實現(xiàn)這點還需要較長的技術積累。

設備的自動發(fā)現(xiàn):網(wǎng)絡拓撲變化后能自動發(fā)現(xiàn)設備的調(diào)整并進行基本的探測和給出信息。

模塊分析:大部分企業(yè)內(nèi)部的網(wǎng)絡的拓撲都是在變化的,如果不支持設備的自動發(fā)現(xiàn),就需要人工方式解決,給管理員造成較大的工作壓力,也不能掌握網(wǎng)絡的實際拓撲,這樣不便于排錯和發(fā)現(xiàn)安全故障。可以采用自動搜尋拓撲的機制。如ibm tivoli netview可以自動發(fā)現(xiàn)大多數(shù)網(wǎng)絡設備的類型,或通過更改mib庫,來隨時添加系統(tǒng)能識別的新的設備。

(二)安全服務的集中管理

實現(xiàn)安全相關軟件/補丁安裝情況的管理功能,建立安全相關軟件/補丁信息庫,提供查詢、統(tǒng)計、分析功能,提供初步的分發(fā)功能。

模塊分析:微軟在對自己的操作系統(tǒng)的全網(wǎng)補丁分發(fā)上走的比較前,成功的產(chǎn)品有sus和sns等,國際上也有部分的單一產(chǎn)品是作這個工作的,但目前還沒有看到那個soc集成了這個模塊。

安全培訓管理:建立安全情報中心和知識庫(側(cè)重安全預警平臺),包括:最新安全知識的收集和共享;最新的漏洞信息和安全技術,;實現(xiàn)安全技術的交流和培訓。持續(xù)更新發(fā)展的知識和信息是維持高水平安全運行的保證。

模塊分析:雖然這個模塊的技術含量較低,但要為安全管理體系提供有效的支持,這個模塊是非常重要的,有效的安全培訓和知識共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎工作,也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道,建立安全問題上報、安全公告下發(fā)、處理和解決反饋的溝通平臺。

風險分析自動化:自動的搜集系統(tǒng)漏洞信息、對信息系統(tǒng)進行入侵檢測和預警,分析安全風險,并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補丁加載,病毒代碼更新等工作,有效的提高安全工作效率,減小網(wǎng)絡安全的'時間窗口',大大提高系統(tǒng)的防護能力。

模塊分析:安全管理軟件實施的前提是已經(jīng)部署了較完善的安全產(chǎn)品,如防火墻,防病毒,入侵檢測等。有了安全產(chǎn)品才能夠管理和監(jiān)視,安全管理平臺的作用在于在現(xiàn)有各種產(chǎn)品的基礎上進行一定的數(shù)據(jù)分析和部分事件關聯(lián)工作,例如設置掃描器定期對網(wǎng)絡進行掃描,配合該時間段的入侵檢測系統(tǒng)監(jiān)控日志和補丁更新日志,就可以對整網(wǎng)的技術脆弱性有個初步的了解。

(三)業(yè)務流程的安全管理

初步的資產(chǎn)管理(資產(chǎn)、人員):統(tǒng)一管理信息資產(chǎn),匯總安全評估結(jié)果,建立風險管理模型。提供重要資產(chǎn)所面臨的風險值、相應的威脅、脆弱性的查詢、統(tǒng)計、分析功能。

模塊分析:國內(nèi)外安全廠商中資產(chǎn)管理功能都很簡單,和現(xiàn)有的財務、運營軟件相差非常大,基本上是照般了bs7799中的對資產(chǎn)的分析和管理模塊。

安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動(協(xié)調(diào)處理):安全管理系統(tǒng)和網(wǎng)絡管理平臺已經(jīng)組織常用的運營支持系統(tǒng)結(jié)合起來,更有效的利用系統(tǒng)和人力資源,提高整體的運營和管理水平。

模塊分析:如果可能的話,由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡中的不同方面,統(tǒng)一的安全管理平臺必然要求對網(wǎng)絡中部署的安全設備和部分運營設備的安全模塊進行協(xié)同管理,這也是安全管理平臺追求的最高目標。但這并非是一個單純的技術問題,還涉及到行業(yè)內(nèi)的標準和聯(lián)盟。目前在這方面作的一些工作如 check point公司提出的opsec開放平臺標準,即入侵檢測產(chǎn)品發(fā)現(xiàn)攻擊和check point防火墻之間的協(xié)調(diào),現(xiàn)在流行的ips概念,自動封鎖攻擊來源等,都在這方面作了較好的嘗試,在和整體的網(wǎng)絡管理平臺的結(jié)合方面,目前國內(nèi)外作的工作都較少,相對來說一些大型的it廠商如ibm/cisco/ca由于本身就具備多條產(chǎn)品線(網(wǎng)絡、安全、應用產(chǎn)品),其自身產(chǎn)品的融合工作可能已經(jīng)作了一些,但總體來說成熟度不高。

與其它信息系統(tǒng)的高度融合:實現(xiàn)與oa、erp等其他信息系統(tǒng)的有機融合,有效的利用維護、管理、財務等各方面信息提高安全管理水平。安全管理的決策分析和知識經(jīng)驗將成為公司管理的重要組成部分。

(四)組織的安全管理

組織構成:根據(jù)企業(yè)的不同情況建立專職或兼職的安全隊伍,從事具體的安全工作。由于信息安全工作往往需要多個業(yè)務部門的共同參與,為迅速解決業(yè)務中出現(xiàn)的問題,提高工作效率,公司必須建立跨部門的協(xié)調(diào)機制。具體協(xié)調(diào)機構應由專門的安全組織負責,并明確牽頭責任部門或人員。有條件的企業(yè)或者組織應成立獨立的安全工作組織。

組織責任:

a) 建立健全相關的安全崗位及職責;

b) 制定并發(fā)布相關安全管理體系,定期進行修正;

c) 對信息系統(tǒng)進行安全評估和實施,處理信息安全事故;

d) 部門間的協(xié)調(diào)和分派并落實信息安全工作中各部門的職責;

以上是soc必須具備的一些模塊,現(xiàn)階段國內(nèi)外也有一些廠商推出了安全管理平臺軟件,從推動整個行業(yè)發(fā)展來看當然是好現(xiàn)象,但蘿卜快了不洗泥,其中也存在一些發(fā)展中的問題,比如作為一個soc必然要求具備統(tǒng)一的安全日志審計功能,但單一安全設備審計軟件不能等同于安全管理平臺,究其原因為國內(nèi)現(xiàn)有安全廠商中安全設備廠商占多數(shù),優(yōu)勢項目是在已有安全設備上添加統(tǒng)一日志管理和分析功能,由于是單個廠商的行為缺乏整體的行業(yè)標準,導致目前的安全審計軟件普遍缺乏聯(lián)動性,不支持異構設備,就算是對java的支持各個廠商的實現(xiàn)力度也不同,普遍只具備信息統(tǒng)計功能和分析報告的功能。。

在目前的安全管理平臺提供商中,能提供完整的產(chǎn)品體系廠商非常少。而號稱專業(yè)的安全產(chǎn)品廠商,因為安全產(chǎn)業(yè)起步很晚,這些廠商只能在某個領域做深,還無法提供整套的安全產(chǎn)品線,這也是一個現(xiàn)實。作為用戶應該認清需求,把各種安全產(chǎn)品在自己網(wǎng)絡中結(jié)合起來,深入了解安全管理平臺提供商的實力,才能夠達到安全目的,滿足自己的安全需求。

最后,從投入產(chǎn)出比的角度來說,因為soc往往只是一個軟件平臺的開發(fā)工作,大多數(shù)情況下不需要或者較少需要新的硬件投入,總投入往往不是很大,如果上了soc后即使不能完善和推薦安全管理體系,也可以起到減輕管理員的工作負擔,增強管理員的控制力度,并對整個網(wǎng)絡內(nèi)的安全狀況進行統(tǒng)一監(jiān)控和管理的作用,這樣總體來說安全管理平臺soc的投入產(chǎn)出就非常值得。

第11篇 安全信息管理規(guī)定范文

1 總則:

1.1 為加強公司的安全監(jiān)督管理,使安全信息管理工作制度化和規(guī)范化,保證安全信息的及時性、準確性和完整性,根據(jù)國家有關法律、法規(guī)、規(guī)程和南方電網(wǎng)公司《電業(yè)生產(chǎn)安全信息管理暫行規(guī)定》、云南電網(wǎng)公司《電業(yè)安全信息管理規(guī)定》,特制定本管理辦法。

1.2 本辦法所指的安全信息是指公司安全生產(chǎn)、交通和消防安全狀況,包括安全事件、事故、障礙等涉及事故定性報表內(nèi)容以及工作動態(tài)方面的信息,還包括安全會議、活動要求的相關信息。

1.3 本辦法適用于本公司

1.4 安全信息應當本著分級報送、歸口管理、資源共享的原則,在收集、統(tǒng)計、報告過程中要切實做到實事求是,報告內(nèi)容準確、完整,為公司持續(xù)改進安全生產(chǎn)管理工作提供科學依據(jù),嚴禁漏報、虛報、瞞報。

1.5 本規(guī)定所涉及的事故(障礙)的定義、等級劃分、責任歸屬和事故調(diào)查的組織、程序等,嚴格按照南方電網(wǎng)公司頒發(fā)的《電力生產(chǎn)事故調(diào)查規(guī)程》的規(guī)定及其條文解釋執(zhí)行。

1.6 公司安全管理部門是公司安全信息的歸口管理部門,負責審核、匯總、分析和公布各類安全信息,綜合分析和預測公司的安全形勢,編寫公司安全情況報告(通報、快報、簡報)。

1.7 公司各單位安全管理部門是所在單位的安全信息歸口管理部門,負責收集、匯總、分析各類安全信息,并經(jīng)分管領導審核后上報。

1.8 公司各單位應結(jié)合實際情況配備兼職安全信息管理人員,并為安全信息管理人員收集、編輯、報送信息提供必要條件。

1.9 各單位應對安全信息管理制度進行細化,針對各單位的實際情況制定相關規(guī)定,逐步理順并優(yōu)化信息收集、篩選、整理、編輯、報送等環(huán)節(jié)的關系,加強對信息工作管理。

2 安全信息報告、報送管理:

2.1 各職能部門的安全信息由各單位以書面、電子郵件、辦公自動化等形式上報公司安全管理部門。

2.2 各項目部安全信息由承擔施工任務的單位收集、匯總、整理后報送安全管理處,對于安全管理處直接要求項目部上報的信息,則由項目部直接報送安全管理部門。

2.3 安全生產(chǎn)突發(fā)事件(主要是指一些已危及或影響人身、設備安全的事件:如地震、洪水、泥石流等自然災害和其他不可預見的事件,以下簡稱“突發(fā)事件”)及安全生產(chǎn)事故(施工生產(chǎn)人身重傷及以上、重大及以上電網(wǎng)和設備事故、重大及以上交通事故、重大及以上火災事故、誤操作事故等)的報告,應在對事故情況有所了解的前提下立即報告。

2.4 快速報告:發(fā)生突發(fā)事件及安全生產(chǎn)事故時,事故單位在立即組織事故處理或施救的同時,應及時向公司有關領導和部門進行快速報告。

2.4.1發(fā)生嚴重的突發(fā)事件,導致人身傷亡、設備損壞或其他情況的,應立即向安全管理部門報告,有人員死亡的還應向當?shù)毓膊块T報告。

2.4.2發(fā)生施工生產(chǎn)人身死亡事故、電網(wǎng)或設備事故、有人員傷亡的重大及以上交通事故、重大及以上火災事故,事故單位應立即向安全管理部門報告,涉及人員死亡的還應向當?shù)毓膊块T報告。

2.4.3發(fā)生生產(chǎn)性人身重傷及以上人身傷亡事故、重大及以上電網(wǎng)或設備事故、重大及以上交通事故或火災事故,以及下列一般事故和事件后,應以最快的速度,最遲不得超過2小時,以電話、電傳或電子郵件方式向公司安全管理部門報告。

(1)其他可能造成重大不良社會影響的事故(事件);

(2)發(fā)生突發(fā)事件而對正常生產(chǎn)秩序造成影響的。

2.4.4快速報告應包括以下的基本信息:

(1)事故發(fā)生的時間、地點、單位;

(2)事故發(fā)生、擴大和應急救援處理過程的簡要情況、初步原因判斷;

(3)事故后果(傷亡情況、設備損壞、可能造成的電網(wǎng)事故或不良社會影響等)的初步估計。

2.4.5發(fā)生上述突發(fā)事件或事故的單位,應在24小時內(nèi)向公司安全管理部門提交書面的報告。

2.5 安全信息定期報告:

2.5.1安全信息定期報告包括月度報告、年度報告及日常安全管理資料等。公司各單位須按要求將相關資料以書面、電子郵件及辦公自動化等形式上報公司安全管理部門。

2.5.2每月5日前,上報上月的事故報告和《施工生產(chǎn)安全月報表》(見附表一)、《交通與特種設備安全月報表》(見附表二)。上報內(nèi)容要求:各基層單位匯總各在建項目(部門)的安全生產(chǎn)情況,包括:學習上級安全管理文件、開展安全檢查、進行安全教育培訓、考試、安全交底、應急演習、各施工工序的安全管理及當前存在的安全問題等方面的內(nèi)容。

2.5.3 每年11月30日前,上報本年度安全監(jiān)督管理工作總結(jié)和年度安全生產(chǎn)形勢分析報告,下一年度的工作思路和打算。

2.5.4 每年“五一”、“十一”、春節(jié)長假結(jié)束后,分別于收假前一天上午10點前上報節(jié)日安全生產(chǎn)情況及值班、車輛安排情況等。

2.5.5 公司組織的季度安全大檢查、安全專項檢查結(jié)束后,需要整改的單位,須按整改要求在整改期限內(nèi)上報安全問題整改情況。

3 安全信息監(jiān)督管理:

3.1公司建立安全生產(chǎn)舉報制度,設立郵件信箱和安全監(jiān)督電話,多途徑收集、傳遞安全信息。

3.2 公司安全管理部門負責對各單位的安全信息報告情況進行年度考評。各單位不按要求或不按時上報的,安全管理部門將于年終進行考核評比,并做出獎懲。

3.3對于瞞報事故和弄虛作假行為,公司將嚴肅查處,并根據(jù)獎懲規(guī)定對有關責任者予以嚴肅處理。

4 附則:

4.1 安全管理部門要求上報的其他安全信息、匯報材料或征集稿件應于規(guī)定期限內(nèi)上報,對逾期報送或不報的單位公司將進行統(tǒng)計考核,記入年度考核中。

4.2 本規(guī)定由公司安全管理部門負責解釋。

4.3 本規(guī)定自發(fā)布之日起實行。

5 相關文件:

5.1《中華人民共和國安全生產(chǎn)法》

5.2南方電網(wǎng)公司《電網(wǎng)建設安全健康與環(huán)境管理辦法實施細則》

5.3南方電網(wǎng)公司《電業(yè)生產(chǎn)安全信息管理暫行規(guī)定》

5.4云南電網(wǎng)公司《電業(yè)安全信息管理規(guī)定》

6 附表:

附表一:施工生產(chǎn)( )月安全報表

填報單位(公章):填報時間:年月日

施工生產(chǎn)安全管理和安全活動情況(包括合同工)及安全規(guī)程執(zhí)行情況

若發(fā)生了安全事故、事件,按(四不放過)原則采取的安全措施

安全情況

存在問題

單位負責人:填報人:

附表二:交通與特種設備( )月安全報表

填報單位(公章):填報時間:年月日

交通安全管理和安全活動情況(包括合同工)及安全規(guī)程執(zhí)行情況

施工車輛安全檢查情況(包括分包單位)

若發(fā)生了交通安全事故、事件,按(四不放過)原則采取的安全措施

安全情況

存在問題

單位負責人:填報人:

第12篇 安全管理信息系統(tǒng)的基本構成和設計原則

安全管理信息靠安全管理信息系統(tǒng)收集、加工和提供，因此，研究安全管理信息，必然要研究安全管理信息系統(tǒng)。

一、安全管理信息系統(tǒng)的構成

管理信息系統(tǒng)，國外簡稱mis，是專指以電子計算機網(wǎng)絡為基礎的自動化數(shù)據(jù)處理系統(tǒng)。但是從一般意義上來說，所謂管理信息系統(tǒng)實際是指那些專門為管理系統(tǒng)生產(chǎn)和提供有用信息以便使其正確地發(fā)揮管理職能，達到管理目的的系統(tǒng)。

根據(jù)以上對管理信息系統(tǒng)概念的理解，一個完整的企業(yè)安全管理信息系統(tǒng)主要由以下部分構成。

1.信息源

即根據(jù)安全管理系統(tǒng)的需要，解決應從哪里收集安全信息的問題。區(qū)分信息源可以有兩個標準。一是根據(jù)地點不同，可分為內(nèi)源和外源。內(nèi)源是指安全管理系統(tǒng)內(nèi)部的信息，外源則是指安全管理系統(tǒng)以外但與之有關的安全管理環(huán)境的信息；二是根據(jù)時間不同，

可分為一次信息源和二次信息源。一次信息源是指從內(nèi)源和外源收集的原始安全信息，二次信息源是指安全管理信息系統(tǒng)儲存待用的安全信息。選擇適當?shù)男畔⒃词前踩芾硇畔⑾到y(tǒng)及時、準確地為管理用戶提供有用安全信息，進行有效服務的重要前提。

2．信息接收系統(tǒng)

即根據(jù)企業(yè)安全管理的需要和可能，解決以什么方式收集安全信息的問題。隨著科學技術的發(fā)展，人們收集安全信息的方式多種多樣，其中有直接的人工收集方式，也有采用無線電傳感技術進行安全信息收集的方式。及時、真實、完整地收集原始安全信息，是保證安全管理信息系統(tǒng)其他環(huán)節(jié)工作質(zhì)量的重要基礎。因此，根據(jù)企業(yè)安全管理的需要，考慮技術和經(jīng)濟上的可能，選擇適當?shù)陌踩畔⑹占绞胶拖鄳陌踩畔⒔邮昭b置是設計安全管理信息系統(tǒng)的重要環(huán)節(jié)。

3．信息處理系統(tǒng)

是指包括信息加工、存儲和輸出裝置，解決如何根據(jù)安全管理的需要，對安全信息進行加工、存儲和輸出到安全管理用戶的系統(tǒng)。根據(jù)技術條件的不同，信息處理可采用多種方式。目前，安全信息加工和存儲越來越多地運用電子計算機，特別是微型電腦。與此相適應，信息傳輸也越來越多采用現(xiàn)代化通信設備，如衛(wèi)星通信和光纖通信等。

4．信息控制系統(tǒng)

為了保證安全管理信息系統(tǒng)不斷為安全管理系統(tǒng)提供及時、準確、可靠的安全信息，安全管理信息系統(tǒng)要建立靈敏的信息控制系統(tǒng)，以不斷取得反饋信息，糾正工作中的偏差，控制整個安全管理信息系統(tǒng)按照安全管理用戶的需要提供有效的服務。根據(jù)安全管理信息系統(tǒng)規(guī)模的大小，安全信息控制系統(tǒng)可以設專門機構，也可由專人負責。

5．信息工作者

信息工作者是安全管理信息系統(tǒng)最重要的構成要素。在安全管理信息系統(tǒng)中，信息工作者的主要任務是負責對安全管理信息系統(tǒng)的設計和管理。在安全管理信息系統(tǒng)的每一個工作環(huán)節(jié)編制程序、操作設備，形成有效的人—機系統(tǒng)，對安全信息進行收集、加工、存儲和輸出。所以，在現(xiàn)代化安全管理信息系統(tǒng)中，信息管理者既要有懂安全管理的人員，也要有懂計算機和現(xiàn)代化通信技術的人員。應當指出，安全管理信息系統(tǒng)在技術上愈是現(xiàn)代化，信息管理者的作用就愈重要。為此，不斷提高信息管理者的素質(zhì)，是保證安全信息管理系統(tǒng)有效運轉(zhuǎn)的關鍵。

綜合上述各要素，安全管理信息系統(tǒng)的構成和運轉(zhuǎn)情況，如圖6—2所示。

在實際安全生產(chǎn)中，安全管理信息系統(tǒng)主要是指那些專門為各種安全管理活動收集、加工、儲存、提供信息的部門和機構。如統(tǒng)計部門、情報部門、咨詢部門、預測部門、圖書資料部門、計算中心等。上述各種部門其軀干雄居于大中城市，四肢伸向各個單位、各個企業(yè)，上下結(jié)合，縱橫交錯，共同形成一個國家或地區(qū)范圍內(nèi)的龐大的安全管理信息系統(tǒng)。

二、安全管理信息系統(tǒng)的設計原則

任何有效的安全管理都必須由安全管理信息系統(tǒng)提供及時、準確、適量、經(jīng)濟的信息。為了達到這一目的，安全管理信息系統(tǒng)的設計必須遵循以下原則。

1.要有明確的目的性

安全管理信息系統(tǒng)是為安全管理系統(tǒng)提供信息服務的。因此它的設計必須要首先明確服務對象的性質(zhì)、范圍及其所需安全信息在數(shù)量、質(zhì)量、時間等方面的要求。做到這一點，在安全管理系統(tǒng)設計前，就要詳細調(diào)查安全管理用戶的情況，標清所服務的對象經(jīng)常需要哪些安全信息，這些信息應從哪里獲取，以什么方式收集和傳遞，摸清這些情況，系統(tǒng)設計才能有明確的目的。

2．要堅持系統(tǒng)的完整性和統(tǒng)一性

所謂完整性，就是根據(jù)信息加工需要，必須具備的環(huán)節(jié)不能缺少，同時要保證各環(huán)節(jié)的相互聯(lián)系和正常運轉(zhuǎn)；所謂統(tǒng)一性，就是要求整個信息系統(tǒng)的工作要統(tǒng)一，要制度化。整個系統(tǒng)各個工作環(huán)節(jié)所加工和輸送的信息在語法、語意和格式上要標準化、規(guī)范化。堅持安全管理信息系統(tǒng)設計的統(tǒng)一性，主要是為了各個環(huán)節(jié)工作的協(xié)調(diào)，同時便于與別的管理信息系統(tǒng)聯(lián)系、合作，所加工的信息也便于各個管理系統(tǒng)使用。

3．要保證一定的可靠性

安全管理信息系統(tǒng)的可靠性，集中表現(xiàn)在所提供的信息的準確性、適用性和及時性。只有這樣，才能贏得用戶的信任并樂于采用?？煽啃允前踩芾硇畔⑾到y(tǒng)的生命所在，為了保證安全管理信息系統(tǒng)的可靠性，必須要使整個系統(tǒng)有良好的素質(zhì)，其中包括設備、人員、服務態(tài)度、工作作風等素質(zhì)。同時還有必要在整個系統(tǒng)中配備一定的控制裝置和監(jiān)督人員。

4．要允許一定的相對獨立性

允許安全管理信息系統(tǒng)一定的相對獨立性，主要目的是要保證信息的真實性和可靠性。為此，一些主要的安全管理信息系統(tǒng)應在組織上與安全管理系統(tǒng)分設，即使對于從屬于安全管理系統(tǒng)的信息機構，也要從紀律、制度上，甚至通過立法來保證其行使職能的相對獨立性，避免某些長官意志和過多的行政干預。

5．要注意一定的適應性和靈活性

在科學技術日新月異，社會和經(jīng)濟形勢千變?nèi)f化的情況下，現(xiàn)代安全管理要求有很強的適應性和靈活性。安全管理上的這種適應性和靈活性，主要靠及時獲取安全信息來達到，這就要求安全管理信息系統(tǒng)也應具有一定的適應性和靈活性。只有這樣才能在條件一旦變化時仍能及時提供可靠的、具有現(xiàn)實意義的安全信息，以便安全管理系統(tǒng)的決策、計劃等能隨時適應新的情況。忽視安全管理信息系統(tǒng)設計的適應性與靈活性的原則，實際上是對資源的浪費，有時還可能導致安全管理決策的失誤。當然重視適應性、靈活性原則，并不排斥相對的穩(wěn)定性，這就要在設備采用、人員配備、機構設置等方面正確處理好需要與可能、穩(wěn)定與靈活、長遠與眼前的關系。

6．要講究經(jīng)濟性

在安全信息系統(tǒng)設計中，所謂經(jīng)濟性原則，就是不但要考慮所提供安全信息的準確性、適用性、及時性，而且要考慮獲取、加工和輸送這些安全信息的費用或成本。實際上就是要講究安全管理信息系統(tǒng)的工作效率和經(jīng)濟效益。影響安全管理信息系統(tǒng)經(jīng)濟效益的因素是多方面的。為此，進行安全管理信息系統(tǒng)設計必須要進行經(jīng)濟技術分析，綜合考慮各種影響因素，使設備上的先進性、技術上的可行性和經(jīng)濟上的合算性達到滿意的結(jié)合。

安全管理信息系統(tǒng)設計的以上原則是一個矛盾統(tǒng)一體。從總的方面說，安全管理信息系統(tǒng)的設計過程就是要從如何滿足各安全管理用戶需要出發(fā)，不斷使上述原則達到統(tǒng)一的過程。在這個過程中，根據(jù)需要與可能有所側(cè)重，但完全忽略某一方面則是不行的。

三、安全管理信息系統(tǒng)現(xiàn)代化的技術策略

安全管理信息現(xiàn)代化是安全管理現(xiàn)代化的客觀要求，也是時代發(fā)展的客觀要求。安全管理信息系統(tǒng)現(xiàn)代化是一個綜合性概念，它包括指導思想現(xiàn)代化、組織結(jié)構現(xiàn)代化、人員素質(zhì)現(xiàn)代化和技術手段現(xiàn)代化。根據(jù)當代科學技術水平和安全管理水平，所謂安全管理信息系統(tǒng)技術手段現(xiàn)代化，主要是指建立以電子計算機和現(xiàn)代通信技術為基礎的網(wǎng)絡化、? 自動化的信息收集、加工、儲存、傳遞系統(tǒng)。要達到這一目標，必須要從實際出發(fā)，采取正確的技術策略。

1.要有正確的指導思想和明確目標

一個企業(yè)的安全管理信息系統(tǒng)現(xiàn)代化水平，在何時要達到什么程度，這是制定技術策略首先要解決的問題?？偨Y(jié)國內(nèi)外經(jīng)驗，制定安全管理信息系統(tǒng)現(xiàn)代化技術策略的指導思想應該是：既不能脫離一個企業(yè)的實際，急于求成、全面引進，在一切方面都要“迎頭趕上”，也不能亦步亦趨照抄別人所走過的路子，要立足自己的情況，充分利用有利時機和一切可能條件，全面規(guī)劃，逐步實施。在目標的制定上，總的說要與本國的經(jīng)濟和科學技術發(fā)展目標相適應，要和安全管理現(xiàn)代化的水平相適應。具備了一定條件，個別方面和某些領域也可首先突破。

2．要全面規(guī)劃、配套進行

安全管理信息系統(tǒng)技術手段現(xiàn)代化是一項復雜的系統(tǒng)工程。必須全面規(guī)劃、配套進行。安全管理信息系統(tǒng)向安全管理系統(tǒng)提供安全信息，包括要綜合發(fā)揮信息收集、加工、儲存、傳遞等一系列的功能，這就要求信息收集、加工、儲存、傳遞等技術手段要相互協(xié)調(diào)和配套。具體說，沒有電子計算機，信息就不能高速度、高質(zhì)量地加工、處理；而沒有先進的傳感技術和通信技術，信息就不能迅速、大量、有效地獲得和傳遞，電子計算機也無展其技。特別是要做到安全管理信息系統(tǒng)的網(wǎng)絡化、自動化，更要求傳感、通信和計算機技術相互配套，同步發(fā)展。因為計算機和傳感技術只能形成離散的信息收集和加工點，只有通信技術才能把這些離散的點連成線、結(jié)成網(wǎng)。同時還要想到，在實現(xiàn)安全管理信息系統(tǒng)技術手段現(xiàn)代化的過程中，不但要大力發(fā)展信息技術，而且還要大力發(fā)展與其有關的各種支持技術和為之提供新材料，新能源的基礎技術，這樣又要考慮一批批技術群和產(chǎn)業(yè)群的協(xié)調(diào)、配套發(fā)展。

3．加快人才培養(yǎng)，適應技術現(xiàn)代化的需要

先進的技術手段要靠高素質(zhì)的人才操作使用。因此，安全管理信息系統(tǒng)技術手段的現(xiàn)代化水平要與現(xiàn)有人才的素質(zhì)相適應，高素質(zhì)人才的培養(yǎng)也要與不斷發(fā)展的信息業(yè)和不斷提高的信息獲取、加工和傳遞的技術水平相適應。當代，隨著信息業(yè)的不斷發(fā)展，對于從事信息業(yè)人才的需求量不斷增加。為此，應該運用多種形式加快培養(yǎng)。其中主要包括對預測專家、情報專家、咨詢專家、計算機專家、通信專家和信息管理專家的培養(yǎng)。此外，為了加快安全管理信息系統(tǒng)技術手段現(xiàn)代化的步伐，還要注意提高廣大安全管理者和勞動者的科學文化素質(zhì)，如果廣大安全管理者和勞動者的科學文化水平不高，吸收和運用安全信息的能力不強，同樣也影響安全管理信息系統(tǒng)技術手段現(xiàn)代化水平的提高。

第13篇 藥品安全信息化管理暫行規(guī)定

推進藥品經(jīng)營企業(yè)信息化建設，運用信息化手段實現(xiàn)藥品安全監(jiān)管是貫徹落實科學監(jiān)管理念的重要舉措，也是藥品經(jīng)營企業(yè)提高管理水平和工作效率的重要途徑。為進一步提升藥品經(jīng)營企業(yè)質(zhì)量管理水平，促進信息技術在藥品流通領域的應用，實施實時監(jiān)控，根據(jù)國家食品藥品監(jiān)督管理局等上級部門規(guī)定，結(jié)合本縣實際，現(xiàn)就全縣藥品經(jīng)營企業(yè)實行信息化管理作如下規(guī)定，請遵照執(zhí)行。

一、藥品經(jīng)營企業(yè)計算機管理系統(tǒng)建設

全縣所有藥品經(jīng)營企業(yè)均應配置專用計算機，實現(xiàn)藥品購銷存信息化管理，保證藥品質(zhì)量可控可追溯。計算機設施和管理系統(tǒng)應符合以下要求：

1、具有獨立的計算機管理信息系統(tǒng)，能覆蓋企業(yè)內(nèi)藥品的購進、儲存、銷售以及經(jīng)營和質(zhì)量控制的全過程，保證藥品購、銷、存數(shù)量保持一致；能全面記錄企業(yè)經(jīng)營管理及實施《藥品經(jīng)營質(zhì)量管理規(guī)范》方面的信息；符合《藥品經(jīng)營質(zhì)量管理規(guī)范》對藥品經(jīng)營各環(huán)節(jié)的要求。

2、應配備能通過計算機自動開具載明藥品名稱、生產(chǎn)廠商、批號、數(shù)量、價格等內(nèi)容的銷售憑證設備，藥店在銷售藥品時均應向購藥者出具銷售憑證。同時，應在店堂醒目處告示消費者有權索取藥品銷售憑證，使廣大群眾知道藥品銷售憑證開具有效憑證的規(guī)定，保障群眾用藥安全。

3、保證計算機系統(tǒng)的安全性。

（1）計算機系統(tǒng)自身安全，主要包括利用防毒、防火等軟、硬件設備保障系統(tǒng)本身不易受破壞和干擾，保證其正常運行；同時，定期做好備份。

（2）計算機系統(tǒng)使用安全，主要包括系統(tǒng)操作人員權限的設定、分配應符合要求，能按照法律法規(guī)和崗位職責進行權限的分配，不會出現(xiàn)非本崗位的操作功能。

4、計算機系統(tǒng)數(shù)據(jù)信息能隨時接受藥品監(jiān)管部門檢查、查詢、復制。

二、藥品經(jīng)營企業(yè)在線遠程監(jiān)管系統(tǒng)建設

1、應在營業(yè)場所內(nèi)指定一臺固定電話，報藥品監(jiān)管部門備案，確保通訊暢通，并保證在崗人員能隨時接聽來電。

2、以企業(yè)身份申請注冊qq帳號，加入藥品監(jiān)管部門統(tǒng)一指定的qq群（群號202038542），由企業(yè)負責人負責管理，可委托藥店從業(yè)人員操作，確保不因從業(yè)人員變動而影響正常登錄使用；qq設置為自動登陸，在營業(yè)期間保持處于正常在線狀態(tài)，指定專人負責接收發(fā)qq群內(nèi)發(fā)布的各項通知、公告等信息。

3、配備網(wǎng)絡視頻設施，確保藥品監(jiān)管部門在巡查藥師是否在崗等情況時能正常啟用。

4、所有購進品種應及時上傳至浙江省藥品信用信息系統(tǒng)，并保證品種信息完整、準確、真實，為藥品監(jiān)管部門實行購進品種在線監(jiān)管提供條件。

5、具備能與藥品監(jiān)管部門開展實時監(jiān)控的數(shù)據(jù)接口，為藥品監(jiān)管部門對購銷品種和溫濕度在線監(jiān)管提供條件。

三、其它規(guī)定事項

1、藥品經(jīng)營企業(yè)駐店藥師需要請假或調(diào)整在崗排班表的，應提前以電子文檔格式報送至藥品監(jiān)管部門指定的電子郵箱。

2、藥品經(jīng)營企業(yè)在實施藥品安全信息化體系建設的表現(xiàn)情況與將企業(yè)信用等級評定掛鉤。對于本規(guī)定的各事項履行不到位，尤其是藥品購銷存記錄不及時輸入電腦臺帳、經(jīng)營品種不及時上傳至省局信用系統(tǒng)、不同步開具銷售憑證的，將加大日常監(jiān)督檢查深度和頻次，強化監(jiān)督抽樣的力度，降低信用等級，構成違法的，依法予以從重處理，并予以實名通報。

第14篇 應用信息技術提升企業(yè)安全管理水平

信息技術在電力企業(yè)安全生產(chǎn)管理中的應用空間廣泛，對企業(yè)規(guī)范管理行為、改善管理方式、夯實管理基礎、提高工作效率，有著極其重要的作用。電力企業(yè)應以安全生產(chǎn)為己任，積極推行信息技術的應用，探索電力安全生產(chǎn)的新思路，持續(xù)改進，不斷提高。

1以信息化規(guī)范員工作業(yè)行為

人的不安全行為是導致事故發(fā)生的主要因素，電力企業(yè)在注重員工的安全教育與培訓的同時，必須依靠技術進步，借助信息化手段，規(guī)范員工作業(yè)行為，以期逐步培養(yǎng)良好的工作習慣。

(1)實行變電倒閘操作全程錄音。變電運行人員在倒閘操作過程中，使用錄音筆進行全過程錄音，工區(qū)、監(jiān)督部門定期檢查錄音文件并予以通報，從而規(guī)范倒閘操作的全過程監(jiān)督和管理，促進“六要”、“八步”在現(xiàn)場的落實。

(2)推行

變電巡檢系統(tǒng)。該系統(tǒng)通過在每個設備單元間隔安裝的信息鈕記錄值班員的到位信息，確保巡視人員的到位，做到路徑最優(yōu)，項目齊全，痕跡保全，提高設備巡視到位率。

(3)應用輸電線路巡檢系統(tǒng)，跟蹤巡線全過程，同時輔以數(shù)碼相機記錄設備缺陷，保證了巡視到位和準確掌握缺陷信息。

(4)運用powerpoint工具軟件，編輯系列違章現(xiàn)象專題圖片，在職工中開展找錯競賽，以身邊的違章現(xiàn)象教育身邊人。

(5)開展網(wǎng)上培訓。使用規(guī)程學習與考核軟件，隨時進行網(wǎng)上學習、練習和模擬測試，試題隨機生成，逐步取代常規(guī)的安全知識考試形式，使培訓和考試工作科學化、規(guī)范化。

2以信息化強化基礎管理

強化安全生產(chǎn)基礎管理，以信息技術為平臺，減輕勞動強度，提高工作效率，保證基礎管理工作的適宜性、完整性、有效性。

(1)利用全文檢索系統(tǒng)，為工作提供方便。建立有效的技術標準體系，跟蹤技術標準發(fā)布動態(tài)，及時進行補充與完善，使其覆蓋率達到100%。

(2)利用網(wǎng)絡平臺加強制度管理，在健全和完善安全生產(chǎn)管理制度的基礎上，實現(xiàn)網(wǎng)絡化，方便查詢與學習。

(3)建立違章類型管理庫，利用信息技術實現(xiàn)違章的分類管理。在開展管理性違章、行為性違章、裝置性違章的排查基礎上，按違章分值、性質(zhì)、等級進行編號，實現(xiàn)信息化數(shù)據(jù)積累，為逐步降低違章的重復率提供技術手段，促進反違章工作的深化。

(4)開發(fā)危險點和控制措施庫管理信息系統(tǒng)，實行危險點預控措施卡的編制、審核、批準的網(wǎng)上流轉(zhuǎn)，實現(xiàn)危險點的動態(tài)管理。

(5)研發(fā)安全用具管理系統(tǒng)，實現(xiàn)對安全工器具的全過程管理，該系統(tǒng)應涵蓋工區(qū)和班組，包含安全用具在役、退役、報廢等檔案管理，試驗報告管理，試驗周期管理等功能，加強安全用具的管理工作。

(6)運用信息技術，規(guī)范會議管理。開發(fā)安全生產(chǎn)會議管理系統(tǒng)，提高會議質(zhì)量和效率，做到會前準備充分，提前在網(wǎng)上發(fā)布會議材料；會中議題明確，主題突出；會后紀要分發(fā)迅速，實施情況分類標示，統(tǒng)計分析、考核有據(jù)，會議時間大大縮短。

3

以信息化提升安全管理水平

充分利用網(wǎng)絡技術，為安全生產(chǎn)提供更為快捷、方便、安全的信息平臺，達到過程控制、資源共享。

(1)應用微機兩票管理系統(tǒng)，實現(xiàn)兩票網(wǎng)上流轉(zhuǎn)，提高工作效率和兩票合格率，為兩票的統(tǒng)計分析提供便利條件，規(guī)范兩票管理。

(2)應用生產(chǎn)管理信息系統(tǒng)(mis)，保證生產(chǎn)與檢修計劃可控、在控。按照“五結(jié)合”原則進行計劃統(tǒng)籌，合理調(diào)配資源，提高工作的安全性，優(yōu)化缺陷管理流程，加強閉環(huán)控制。mis系統(tǒng)提供完整的缺陷報告、等級核定、任務下達、消缺情況、投運結(jié)論等閉環(huán)控制流程，通過網(wǎng)絡實現(xiàn)實時檢查監(jiān)督，提高設備消缺質(zhì)量。

(3)開發(fā)調(diào)度mis、變電mis，使電網(wǎng)運行管理水平再上新臺階，運行工作實現(xiàn)網(wǎng)絡化。調(diào)度指令票實現(xiàn)網(wǎng)上傳遞和過程監(jiān)督，該系統(tǒng)中的危險點預控模塊，實現(xiàn)擬票、審票、操作全過程監(jiān)護控制與提示，初步實現(xiàn)調(diào)度危險點預控智能化，防止調(diào)度誤操作事故的發(fā)生；變電mis系統(tǒng)涵蓋運行日志、日常運行、安全管理等各項運行工作，實現(xiàn)運行工作透明化。

(4)應用scada/pas系統(tǒng)，實現(xiàn)電網(wǎng)運行數(shù)據(jù)分析和安全性靜態(tài)評價；應用調(diào)度模擬操作，防止調(diào)度誤操作的發(fā)生，解合環(huán)操作前利用潮流分析軟件、模擬操作進行潮流分析，為電網(wǎng)的安全、優(yōu)質(zhì)、經(jīng)濟運行

提供有力的保障。

(5)應用繼電保護在線信息管理系統(tǒng)，實現(xiàn)繼電保護定值單、試驗報告和保護動作月報的錄入、繼電保護圖紙的電子化和上傳工作；應用繼電保護及安全自動裝置核對軟件，進行季度安全自動裝置狀態(tài)核對；應用繼電保護整定計算軟件進行繼電保護整定計算，防止人為因素造成的誤整定并提高工作效率。

(6)建立企業(yè)安全網(wǎng)頁和安全文化網(wǎng)站，營造企業(yè)安全文化氛圍。通過安全信息發(fā)布、通報事故分析報告、違章照片曝光和錄相片播放等形式，借以形成安全教育的氛圍，從培養(yǎng)“我要安全”理念、培訓“我會安全”技能、強化“我懂安全”素質(zhì)三方面入手，逐步實現(xiàn)從“要我安全”到“我要安全”、“我會安全”、“我懂安全”的轉(zhuǎn)變，對保證安全生產(chǎn)具有潛意識的推動作用。

第15篇 學校網(wǎng)絡信息安全管理應急預案

為確保網(wǎng)絡正常使用,充分發(fā)揮網(wǎng)絡在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務院《互聯(lián)網(wǎng)信息服務管理辦法》和有關規(guī)定,特制訂本預案,妥善處理危害網(wǎng)絡與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。

一、危害網(wǎng)絡與信息安全突發(fā)事件的應急響應

1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等

網(wǎng)絡管理中心應立即切斷局域網(wǎng)與外部的網(wǎng)絡連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。

2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務器上的,學校應立即切斷與外部的網(wǎng)絡連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關閉租用空間。

3.如在外部可訪問的網(wǎng)站、郵件等服務器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務器的網(wǎng)絡連接,使得外部不可訪問。防止有害信息的擴散。

4.采取相應的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。

5.在確保安全問題解決后,方可恢復網(wǎng)絡(網(wǎng)站)的使用。

二、保障措施

1.加強領導,健全機構,落實網(wǎng)絡與信息安全責任制。建立由主管領導負責的網(wǎng)絡與信息安全管理領導小組,并設立安全專管員。明確工作職責,落實安全責任制;bbs、聊天室等交互性欄目要設有防范措施和專人管理。

2.局內(nèi)網(wǎng)絡由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設備,擅接終端設備。

3.加強安全教育,增強安全意識,樹立網(wǎng)絡與信息安全人人有責的觀念。安全意識淡薄是造成網(wǎng)絡安全事件的主要原因,各校要加強對教師、學生的網(wǎng)絡安全教育,增強網(wǎng)絡安全意識,將網(wǎng)絡安全意識與政治意識、責任意識、保密意識聯(lián)系起來。特別要指導學生提高他們識別有害信息的能力,引導他們正健康用網(wǎng)。

4.不得關閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。

第16篇 搞好安全信息管理提高安全管理水平

安全信息管理是電力企業(yè)安全管理的重要組成部分， 是指導安全生產(chǎn)和做出安全決策的重要依據(jù)，搞好企業(yè)內(nèi)部安全信息管理對提高企業(yè)安全管理水平，預防、控制事故的發(fā)生，有著極其重要的作用。

1 安全信息的分類

安全信息包括安全情報、資料、臺帳、指令以及發(fā)生在生產(chǎn)現(xiàn)場的事故、障礙、異常、未遂、差錯的具體行為等，它應反映出企業(yè)整個生產(chǎn)過程的基本安全情況，企業(yè)內(nèi)部安全信息的獲得可來自企業(yè)內(nèi)部和外部，一般以企業(yè)內(nèi)部的安全信息為主，采取內(nèi)外結(jié)合的原則。

全信息分類的目的是為了便于具體認識與運用安全信息去指導安全生產(chǎn)，提高安全管理水平，從而有效地預防和控制事故的發(fā)生。安全信息分類主要是根據(jù)安全信息的產(chǎn)生和作用來進行的，安全信息大體可分為3類：

（1） 安全指令信息。是指上級領導及管理部門發(fā)出的各種安全工作的指令、要求、事故通報、安全生產(chǎn)簡報、兄弟單位安全管理經(jīng)驗以及事故教訓等信息。

（2） 安全動態(tài)信息。是指生產(chǎn)過程中的安全運行情況、安全規(guī)章制度的制定和落實情況；易燃易爆等危險品及現(xiàn)場設施防護完善狀況；生產(chǎn)中出現(xiàn)的異?，F(xiàn)象；現(xiàn)場作業(yè)工人的情緒以及工器具、設備的異常狀態(tài)等多方面的安全動態(tài)信息。

（3） 安全反饋信息。是指能將在執(zhí)行安全指令過程中發(fā)生的人的不安全行為、物的不安全狀態(tài)以及環(huán)境的不安全因素等信息及時反饋到安全監(jiān)督人員和相應決策部門，通過閉環(huán)控制、偏差管理，及時作出新的決策，制定新的防范措施。

2 安全信息管理

安全信息管理要采用現(xiàn)代科學管理的理論和方法，應體現(xiàn)“及時、準確、適用”3個特性：

（1）及時性——收集、傳遞、反饋、運用、處理安全信息要及時，錯過收集和使用的時間，安全信息就失去應有的作用。如：對于在裝設三相短路接地線時，沒有用驗電器在停電設備上驗明確無電壓，就直接在停電設備上裝設接地線的違規(guī)行為，如果在生產(chǎn)中能及時發(fā)現(xiàn)并糾正，就能有效地控制、預防事故的發(fā)生，否則，就可能導致事故。

（2）準確性——收集到的安全信息要真實、準確、完整，實事求是，不弄虛作假，否則就會影響安全信息的使用效果，甚至可能做出不符合實際的決策，貽誤了安全管理工作。如：在電氣倒閘操作過程中，沒有使用操作票，原因是領導允許無票操作。在收集此信息時，如果只收集到無票進行電氣倒閘操作的違章作業(yè)行為，而沒有收集到領導違章指揮的事實，就不能使決策部門提出全面的整改措施，其結(jié)果是只解決了無票操作的違章作業(yè)問題，而沒有解決領導的違章指揮問題。

（3）適用性——安全信息的使用價值因人們的需求和使用的時間、方式、對象、地點不同而不同。只有適用的安全信息，才能促進安全管理工作，才能充分發(fā)揮安全信息的作用。如：在學習兄弟單位安全管理經(jīng)驗時，不結(jié)合本企業(yè)的安全生產(chǎn)實際情況，生搬硬套，就不可能充分發(fā)揮安全信息的作用。

一個企業(yè)安全工作的好壞，在一定程度上取決于企業(yè)對安全信息的收集、處理和利用的狀況。企業(yè)的安全信息管理應該通過收集 、分析、管理、處理、傳遞等環(huán)節(jié)形成一個自上而下、自下而上的高效、流通的閉環(huán)反饋系統(tǒng)。只有這樣，才能夠使領導全面準確地掌握安全信息，作出符合實際的決策，然后，再下達給基層，指導生產(chǎn)一線的安全管理。

3 安全信息管理的基本環(huán)節(jié)

（1）建立安全信息管理制度 。從制度上保證安全信息在企業(yè)中的流通，把安全信息管理工作納入議事日程中，在討論研究安全工作時，應討論研究安全信息的應用管理工作，解決安全工作中存在的問題，保證安全信息所具有的作用在安全管理中得到充分發(fā)揮。

（2）建立安全信息管理網(wǎng)。 通過安全信息管理網(wǎng)及時傳達有關安全生產(chǎn)的法規(guī)和方針政策，了解兄弟單位及本企業(yè)的安全生產(chǎn)動態(tài)，并將重要的安全信息及時、準確地傳送到信息管理網(wǎng)，實現(xiàn)資源共享，提高工作效率。

（3）落實安全信息管理責任制 。安全信息要分級管理，分工明確，責任到人，提高安全信息的利用率，保證安全信息正常運轉(zhuǎn)，保證安全信息管理得力、有效。

（4）加強班組安全信息收集。班組是企業(yè)最小的基層單位，又是安全信息的重要來源。加強班組信息管理是搞好信息收集和反饋的重要環(huán)節(jié)。

（5）加強信息檔案工作。安全信息建檔資料是企業(yè)寶貴的財富，它可以幫助人們了解企業(yè)安全生產(chǎn)的狀況，及時作出正確決策，掌握安全生產(chǎn)主動權，對提高安全管理水平，預防、控制事故的發(fā)生有著重要的作用。

(俞福成)