第一章 總則
??????? 第一條 為規(guī)范信息化安全管理工作，確保煤礦信息系統(tǒng)與網(wǎng)絡(luò)資源在可控范圍內(nèi)安全穩(wěn)定的運行，保護現(xiàn)有的網(wǎng)絡(luò)、數(shù)據(jù)信息的安全，特制定制定本制度。
??????? 第二條 通過制定本制度形成一個動態(tài)以預(yù)防為主的信息安全管理方式，通過實時的監(jiān)控和分析及時發(fā)現(xiàn)系統(tǒng)潛在的安全問題和風險，及時采取相應(yīng)的措施以避免問題的發(fā)生，最大限度地減少安全事件帶來的風險和損失，保證信息系統(tǒng)的使用安全。
??????? 第三條 通過安全管理不但能夠保障己有的安全系統(tǒng)得到正確、有效的使用，而且能夠?qū)嶋H檢驗安全策略的使用情況，及時提出新的安全需求，以便及時進行升級改進或?qū)嵭行碌陌踩Ｗo措施。
??????? 第四條 廣泛開展信息安全教育，進行信息、安全檢查，保證系統(tǒng)安全運行。
??????? 第二章 適用范圍
??????? 第五條 本制定適用于煤礦信息網(wǎng)絡(luò)的各種軟、硬件設(shè)備的綜合安全管理，對安全管理中的各項具體工作進行指導(dǎo)。
??????? 第六條 管理對象：
??????? 1.硬件設(shè)備：包括計算機主機及外設(shè)、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備以及其它輔助設(shè)備。
??????? 2.物理環(huán)境：包括機房場地環(huán)境、設(shè)備維修、存儲環(huán)境等
??????? 3.通信線路：包括專用的通訊線路、網(wǎng)絡(luò)布線、用于數(shù)據(jù)通訊的電話線等。
??????? 4.軟件系統(tǒng)：包括網(wǎng)絡(luò)設(shè)備的配置、操作系統(tǒng)、應(yīng)用軟件以及其它各相關(guān)的應(yīng)用系統(tǒng)等。
??????? 5.文檔資料：包括設(shè)備及系統(tǒng)的使用說明及操作指南、參數(shù)配置表、運行操作記錄、故障維護處理記錄、電子數(shù)據(jù)及文檔等。
??????? 第三章 工作職責
??????? 第七條 信息中心負責煤礦信息系統(tǒng)運行情況進行監(jiān)督檢查。
??????? 第八條 保障煤礦信息系統(tǒng)安全運行，負責業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份管理，向上級部門上報信息、系統(tǒng)運行安全報告。
??????? 第九條 負責安全產(chǎn)品的使用、維護、升級，所有安全產(chǎn)品的使用，必須符合公司的審批和授權(quán)，不得擅自采購和私自試用，負責本單位的安全教育和安全管理培訓(xùn)。
??????? 第四章 工作程序
??????? 第十條 軟件系統(tǒng)安全：軟件系統(tǒng)包括系統(tǒng)軟件及應(yīng)用軟件。
??????? 1. 系統(tǒng)軟件指操作系統(tǒng)軟件和數(shù)據(jù)庫系統(tǒng)軟件:
??????? （1）系統(tǒng)軟件應(yīng)使用正版軟件，其選用應(yīng)充分考慮軟件的安全性、可靠性、穩(wěn)定性和健壯性，并報上一級主管部門備案。
??????? （2）系統(tǒng)軟件必須具備身份驗證功能、訪問控制功能、故障恢復(fù)功能、安全保護功能、安全審計功能、分權(quán)制約的權(quán)限控制功能及加密功能。
??????? 2.應(yīng)用軟件指各業(yè)務(wù)管理信息、系統(tǒng)、決策支持系統(tǒng)、電子商務(wù)系統(tǒng)、辦公自動化系統(tǒng)及其他軟件應(yīng)用系統(tǒng)等，應(yīng)用軟件系統(tǒng)必須滿足軟件規(guī)范的有關(guān)要求。
??????? 第十一條 各級信息中心、部門在軟件系統(tǒng)的安全管理中的作為：
??????? 1.系統(tǒng)運行前嚴格審查實施計劃的安全性，審查實施計劃流程是否符合整體安全策略，是否制訂相應(yīng)應(yīng)急措施等；
??????? 2.檢查系統(tǒng)運行過程中相關(guān)部門安全管理規(guī)定的執(zhí)行情況；
??????? 3.系統(tǒng)運行結(jié)束后，組織對照實施計劃評價實施效果，對整體安全體系的影響進行相應(yīng)評估。
??????? 4.由相關(guān)技術(shù)部門提供系統(tǒng)運行的安全報告。
??????? 5.當系統(tǒng)調(diào)試完畢，應(yīng)建立系統(tǒng)維護檔案。如果系統(tǒng)出現(xiàn)變更，應(yīng)該重新對該系統(tǒng)作安全評估，調(diào)整安全配置，并更新相應(yīng)的系統(tǒng)檔案，必要的時候修正整體的安全策略。
??????? 第十二條 環(huán)境安全
??????? 1.機房建設(shè)必須符合國家行業(yè)建設(shè)標準和規(guī)范。
??????? 2.建立并嚴格執(zhí)行機房管理制度，無關(guān)人員未經(jīng)安全責任人批準嚴禁進入機房。依據(jù)有關(guān)機房管理辦法的要求，各級安全管理部門對其機房環(huán)境、機房進出、機房設(shè)施、機房物品的管理定期進行安全檢查。
??????? 3.機房工作人員必須嚴格遵守各項操作規(guī)程，定期檢查安全保障設(shè)備，確保系統(tǒng)安全運行及設(shè)備的安全。
??????? 4.對主機房進行開機、關(guān)機等日常的操作，建立操作程序，并建立完整的設(shè)備運行日志、操作記錄及其它與安全有關(guān)的資料。
??????? 第十三條 硬件設(shè)備安全
??????? 1.對主要的信息財產(chǎn)按安全等級進行適當?shù)姆诸惡蜆酥?，并采取相?yīng)的安全保護措施，實行安全等級保護。對于處理與敏感、有價值或重要的組織財產(chǎn)相關(guān)的系統(tǒng)應(yīng)基于安全需求和風險評估進行附加的控制。
??????? 2.對系統(tǒng)的相關(guān)計算機和數(shù)據(jù)通信設(shè)備及其連接關(guān)系，要編制與實際相符的拓撲圖，并歸檔保存。
??????? 3.業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的關(guān)鍵設(shè)備應(yīng)有備份策略。對業(yè)務(wù)系統(tǒng)設(shè)備和通信線路進行定期的檢測和維護，確保隨時處于可用狀態(tài)。
??????? 4.已開通運行的衛(wèi)星通信端站，未經(jīng)上級管理部門批準，不得關(guān)機，不得進行中斷性測試，嚴禁擅自改變設(shè)備參數(shù)。
??????? 5.對路由器、交換機等通訊設(shè)備必須采取嚴格的管理措施，設(shè)專人管理，未經(jīng)批準不得隨意移動和接入。
??????? 6.對信息系統(tǒng)的計算機實體資源和定位狀況要進行逐項編號登記和建檔，未經(jīng)批準不得隨意改變。
??????? 7.定期對硬件設(shè)備進行專業(yè)維護保養(yǎng)，如有故障，應(yīng)組織專業(yè)人員進行處理。
??????? 8.應(yīng)確定用戶對無人值守的設(shè)備進行適當?shù)谋Ｗo。安裝在用戶區(qū)域的設(shè)備，如工作站或文件服務(wù)器，需要特別的保護，以防在無人看守時遭受未授權(quán)的訪問。
??????? 第十四條 軟件安全
??????? 1.應(yīng)用軟件應(yīng)根據(jù)崗位情況、人員配置等情況進行不同級別的權(quán)限控制；
??????? 2.應(yīng)用軟件本身必須具備操作日志和管理日志功能，以利于事后跟蹤查詢?nèi)藛T使用情況；
??????? 3.軟件使用人員應(yīng)經(jīng)過適當?shù)牟僮髋嘤?xùn)和安全教育；
??????? 4.建立應(yīng)用軟件文檔管理制度、版本管理制度及軟件分發(fā)制度，防止軟件的盜用、誤用、流失及越權(quán)使用；
??????? 5.煤礦各部門必須根據(jù)信息中心統(tǒng)一部署，安裝防病毒、網(wǎng)絡(luò)入侵檢測軟件等監(jiān)測、檢查類安全產(chǎn)品。
??????? 第十五條 系統(tǒng)操作與運行安全
??????? 1.各部門必須按照有關(guān)操作管理的要求，規(guī)范操作流程：進行訪問控制，采取嚴密的安全措施防止無關(guān)用戶進入系統(tǒng)，確保應(yīng)用系統(tǒng)的安全、穩(wěn)定、持續(xù)運行。
??????? 2.企業(yè)內(nèi)部所有的機器應(yīng)該提供口令保護功能；用戶在設(shè)置和使用口令時，應(yīng)遵循好的安全習(xí)慣和口令管理的要求。操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。嚴禁操作人員泄露本人的操作口令。