第一章信息安全政策
??????? 一���、計算機設備管理制度
??????? 1.計算機的使用部門要保持清潔、安全�、良好的計算機設備工作環(huán)境,禁止在計算機應用環(huán)境中放置易燃�����、易爆、強腐蝕���、強磁性等有害計算機設備安全的物品��。
??????? 2.非我司技術人員對我司的設備�����、系統(tǒng)等進行維修���、維護時,必須由我司相關技術人員現(xiàn)場全程監(jiān)督��。計算機設備送外維修�,須經有關部門負責人批準。
??????? 3.嚴格遵守計算機設備使用���、開機����、關機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口�,計算機出現(xiàn)故障時應及時向電腦負責部門報告,不允許私自處理或找非我司技術人員進行維修及操作。
??????? 二�����、操作員安全管理制度
??????? 1.操作代碼是進入各類應用系統(tǒng)進行業(yè)務操作����、分級對數(shù)據(jù)存取進行控制的代碼�。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設置根據(jù)不同應用系統(tǒng)的要求及崗位職責而設置.
??????? 2.系統(tǒng)管理操作代碼的設置與管理:
??????? (1)��、系統(tǒng)管理操作代碼必須經過經營管理者授權取得�;
??????? (2)、系統(tǒng)管理員負責各項應用系統(tǒng)的環(huán)境生成�、維護,負責一般操作代碼的生成和維護���,負責故障恢復等管理及維護��;
??????? (3)��、系統(tǒng)管理員對業(yè)務系統(tǒng)進行數(shù)據(jù)整理�、故障恢復等操作,必須有其上級授權���;
??????? (4)�����、系統(tǒng)管理員不得使用他人操作代碼進行業(yè)務操作���;
??????? (5)、系統(tǒng)管理員調離崗位����,上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統(tǒng)管理員代碼;
??????? 3.一般操作代碼的設置與管理
??????? (1)�����、一般操作碼由系統(tǒng)管理員根據(jù)各類應用系統(tǒng)操作要求生成�,應按每操作用戶一碼設置。
??????? (2)��、操作員不得使用他人代碼進行業(yè)務操作�。
??????? (3)、操作員調離崗位�,系統(tǒng)管理員應及時注銷其代碼并生成新的操作員代碼���。
??????? 三、密碼與權限管理制度
??????? 1.密碼設置應具有安全性�����、保密性�,不能使用簡單的代碼和標記。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼��,也是保護用戶自身權益的控制代碼����。密碼分設為用戶密碼和操作密碼��,用戶密碼是登陸系統(tǒng)時所設的密碼��,操作密碼是進入各應用系統(tǒng)的操作員密碼����。密碼設置不應是名字、生日����,重復、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串��;
??????? 2.密碼應定期修改��,間隔時間不得超過一個月���,如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應立即修改�,并在相應登記簿記錄用戶名���、修改時間���、修改人等內容。
??????? 3.服務器����、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封�,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼���,必須經過相關部門負責人同意�����,由密碼使用人員向密碼管理人員索取�����,使用完畢后���,須立即更改并封存�����,同時在“密碼管理登記簿”中登記����。
??????? 4.系統(tǒng)維護用戶的密碼應至少由兩人共同設置�����、保管和使用����。
??????? 5.有關密碼授權工作人員調離崗位���,有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除����,同時在“密碼管理登記簿”中登記。
??????? 四���、數(shù)據(jù)安全管理制度
??????? 1.存放備份數(shù)據(jù)的介質必須具有明確的標識��。備份數(shù)據(jù)必須異地存放�����,并明確落實異地備份數(shù)據(jù)的管理職責��;
??????? 2.注意計算機重要信息資料和數(shù)據(jù)存儲介質的存放�����、運輸安全和保密管理�����,保證存儲介質的物理安全�����。
??????? 3.任何非應用性業(yè)務數(shù)據(jù)的使用及存放數(shù)據(jù)的設備或介質的調撥��、轉讓���、廢棄或銷毀必須嚴格按照程序進行逐級審批����,以保證備份數(shù)據(jù)安全完整�。
??????? 4.數(shù)據(jù)恢復前,必須對原環(huán)境的數(shù)據(jù)進行備份���,防止有用數(shù)據(jù)的丟失�����。數(shù)據(jù)恢復過程中要嚴格按照數(shù)據(jù)恢復手冊執(zhí)行��,出現(xiàn)問題時由技術部門進行現(xiàn)場技術支持����。數(shù)據(jù)恢復后���,必須進行驗證、確認���,確保數(shù)據(jù)恢復的完整性和可用性��。
??????? 5.數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份��,在確認備份正確后方可進行清理操作�。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存,并確?����?梢噪S時使用����。數(shù)據(jù)清理的實施應避開業(yè)務高峰期,避免對聯(lián)機業(yè)務運行造成影響���。
??????? 6.需要長期保存的數(shù)據(jù)���,數(shù)據(jù)管理部門需與相關部門制定轉存方案,根據(jù)轉存方案和查詢使用方法要在介質有效期內進行轉存�����,防止存儲介質過期失效��,通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性����。轉存的數(shù)據(jù)必須有詳細的文檔記錄。
??????? 7.非我司技術人員對本公司的設備�、系統(tǒng)等進行維修、維護時�����,必須由本公司相關技術人員現(xiàn)場全程監(jiān)督��。計算機設備送外維修�,須經設備管理機構負責人批準。送修前�����,需將設備存儲介質內應用軟件和數(shù)據(jù)等涉經營管理的信息備份后刪除�����,并進行登記�。對修復的設備,設備維修人員應對設備進行驗收、病毒檢測和登記�����。
??????? 8.管理部門應對報廢設備中存有的程序����、數(shù)據(jù)資料進行備份后清除��,并妥善處理廢棄無用的資料和介質���,防止泄密��。
