信息安全管理制度.doc

1、信息安全管理制度為加強公司各信息系統(tǒng)管理，保證信息系統(tǒng)安全，根據(jù)中華人民共和國保守國家秘密法和國家保密局計算機信息系統(tǒng)保密管理暫行規(guī)定、國家保密局計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定，及上級信息管理部門的相關規(guī)定和要求，結(jié)合公司實際，制定本制度。本制度包括網(wǎng)絡安全管理、信息系統(tǒng)安全保密制度、信息安全風險應急預案網(wǎng)絡安全管理制度第一條 公司網(wǎng)絡的安全管理，應當保障網(wǎng)絡系統(tǒng)設備和配套設施的安全，保障信息的安全，保障運行環(huán)境的安全。第二條 任何單位和個人不得從事下列危害公司網(wǎng)絡安全的活動：1、任何單位或者個人利用公司網(wǎng)絡從事危害公司計算機網(wǎng)絡及信息系統(tǒng)的安全。2、對于公司網(wǎng)絡主結(jié)點設備、光纜、網(wǎng)線布線

2、設施，以任何理由破壞、挪用、改動。3、未經(jīng)允許，對信息網(wǎng)絡功能進行刪除、修改或增加。4、未經(jīng)允許，對計算機信息網(wǎng)絡中的共享文件和存儲、處理或傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或增加。5、故意制作、傳播計算機病毒等破壞性程序。6、利用公司網(wǎng)絡，訪問帶有“黃、賭、毒”、反動言論內(nèi)容的網(wǎng)站。7、向其它非本單位用戶透露公司網(wǎng)絡登錄用戶名和密碼。8、其他危害信息網(wǎng)絡安全的行為。第三條 各單位信息管理部門負責本單位網(wǎng)絡的安全和信息安全工作，對本單位單位所屬計算機網(wǎng)絡的運行進行巡檢，發(fā)現(xiàn)問題及時上報信息中心。第四條 連入公司網(wǎng)絡的用戶必須在其本機上安裝防病毒軟件，一經(jīng)發(fā)現(xiàn)個人計算機由感染病毒等原因影響到整體

3、網(wǎng)絡安全，信息中心將立即停止該用戶使用公司網(wǎng)絡，待其計算機系統(tǒng)安全之后方予開通。第五條 嚴禁利用公司網(wǎng)絡私自對外提供互聯(lián)網(wǎng)絡接入服務，一經(jīng)發(fā)現(xiàn)立即停止該用戶的使用權。第六條 對網(wǎng)絡病毒或其他原因影響整體網(wǎng)絡安全的子網(wǎng)，信息中心對其提供指導，必要時可以中斷其與骨干網(wǎng)的連接，待子網(wǎng)恢復正常后再恢復連接。信息系統(tǒng)安全保密制度第一條、“信息系統(tǒng)安全保密”是一項常抓不懈的工作，每名系統(tǒng)管理員都必須提高信息安全保密意識，充分認識到信息安全保密的重要性及必要性。對重要系統(tǒng)的系統(tǒng)崗位員工進行信息系統(tǒng)安全保密培訓。第二條、實行信息發(fā)布責任追究制度，所有信息的發(fā)布必須按規(guī)定辦理審核、審簽手續(xù)，必須真實有效且符合中

4、華人民共和國法規(guī)。涉及國家及公司機密的信息系統(tǒng)必須與內(nèi)部網(wǎng)和互聯(lián)網(wǎng)實施物理隔離，嚴格執(zhí)行上網(wǎng)信息的審查制度和涉及國家秘密的信息不得在企業(yè)內(nèi)網(wǎng)發(fā)布的規(guī)定，杜絕泄密事件的發(fā)生。凡發(fā)布虛假、反動、色情、泄密等內(nèi)容，追究信息報送和審核者責任，對公司造成重大經(jīng)濟損失，將追究責任人相應的法律責任。第三條、信息系統(tǒng)管理權限從安全級別上分為絕密、機密、秘密；從適用對象上分為高級管理員、系統(tǒng)管理員、高級用戶、中級用戶、一般用戶、特殊用戶；從操作承載體上分為服務器（包括系統(tǒng)服務器、應用服務器和控制服務器）、工作終端、用戶終端；從設定內(nèi)容上分為完全控制、權限設置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷

5、貝、其他操作等。第四條、所有信息系統(tǒng)的使用者和不同安全等級信息之間必須存在授權關系，并在新建信息系統(tǒng)開發(fā)建設階段形成方案并加以設計，在軟件系統(tǒng)中預留對應關系設置的功能，根據(jù)使用者崗位職務的變遷進行調(diào)整。第五條、利用IT技術手段，對信息系統(tǒng)的硬件配置調(diào)整、軟件參數(shù)修改嚴加控制。利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)所提供的安全機制，設置相應的安全參數(shù)，保證系統(tǒng)訪問的安全；對于重要的計算機設備，要利用軟件技術等手段防止員工擅自安裝、卸載軟件或改變軟件系統(tǒng)配置，并定期對以上情況進行檢查。第六條、信息系統(tǒng)如需要委托專業(yè)機構進行系統(tǒng)運行和維護管理時，應嚴格審查其資質(zhì)條件、市場剩余和信用狀況等，并且與其簽訂正

6、式的服務合同和保密協(xié)議。第七條、所有信息系統(tǒng)服務器、工作終端、用戶終端必須安裝安全防病毒軟件，對未安裝防病毒軟件的終端用戶有權拒絕為其提供網(wǎng)絡接入服務。第八條、利用防火墻、路由器、入侵檢測等網(wǎng)絡設備，加強網(wǎng)絡安全，嚴密防范來自互聯(lián)網(wǎng)的黑客攻擊和非法侵入。第九條、對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蜿P鍵業(yè)務數(shù)據(jù)，要采取必要的技術手段確保信息傳遞的保密性、準確性、完整性。第十條、對于停止運行的廢舊系統(tǒng)，應當做好系統(tǒng)中有價值及涉密信息的銷毀、轉(zhuǎn)移等善后工作。第十一條、系統(tǒng)管理人員要遵守信息系統(tǒng)的各項管理制度，防止利用計算機舞弊和犯罪。第十二條、對重要業(yè)務系統(tǒng)的訪問建立用戶管理制度，對于不同類別不同級別的各類管

7、理及使用人員采取密碼分級管理，設定密碼有效期限，對密碼存儲采用非明文二次加密技術防止各類密碼泄露事故的發(fā)生。信息安全風險應急預案一、總則為加強公司信息安全風險源的預防管理，提高應急防范能力，保障網(wǎng)絡系統(tǒng)、信息系統(tǒng)及信息機房的整體安全，促進公司安全生產(chǎn)穩(wěn)步健康發(fā)展，制定本預案。二、編制目的依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法等有關法規(guī)文件精神。確保公司信息網(wǎng)絡系統(tǒng)安全運行，為公司整體安全形勢穩(wěn)步發(fā)展提供保障。三、適用范圍本預案適用于各單位信息安全突發(fā)風險應急管理。四、主要風險源1、火災2、意外斷電3、重要數(shù)據(jù)丟失4、網(wǎng)絡系統(tǒng)大面積癱瘓

8、五、風險源辨識及評估各單位應組織員工對風險源進行全面、系統(tǒng)的辨識和風險評估，并確保：危險源辨識前要進行相關知識的培訓；辨識范圍覆蓋本單位的所有活動及區(qū)域；對危險源辨識和風險評估資料進行統(tǒng)計、分析、整理、歸檔；5.1、火災辨識及評估5.1.1 火災辨識（1）自然災害引起的火災（2）強電線路短路引起的火災（3）雜物堆積引起的火災（4）溫度過高引起的火災。（5）老鼠咬線引起的火災。5.1.2 火災風險評估機房發(fā)生火災可能導致工作人員人身受到傷害；信息網(wǎng)絡設備受到損壞；網(wǎng)絡系統(tǒng)大面積癱瘓；國家、集體財產(chǎn)受到損失。5.2、意外斷電辨識及評估5.2.1 意外斷電辨識（1）自然災害引起的意外斷電。（2）短路

9、跳閘引起的意外斷電。5.2.2 意外斷電風險評估1、意外斷電可能導致機房核心交換機、防火墻、匯聚交換機、數(shù)據(jù)庫服務器、軟件服務器、恒溫設備等重要設備損壞或數(shù)據(jù)丟失； 2、意外斷電可能導致煙霧報警系統(tǒng)、溫度報警和斷市電系統(tǒng)無法正常工作而帶來的間接財產(chǎn)損失。5.3、重要數(shù)據(jù)丟失辨識及評估5.3.1 重要數(shù)據(jù)丟失辨識（1）意外斷電引起的數(shù)據(jù)丟失。（2）服務器故障引起的數(shù)據(jù)丟失。（3）數(shù)據(jù)庫損壞引起的數(shù)據(jù)丟失。5.3.2 重要數(shù)據(jù)丟失風險評估1、安全軟件系統(tǒng)數(shù)據(jù)丟失可能導致安全生產(chǎn)監(jiān)控類系統(tǒng)數(shù)據(jù)無法正常采集于傳輸，影響到礦井安全生產(chǎn)的正常進行。2、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)丟失可能導致經(jīng)營管理類系統(tǒng)無法正常使用，

10、影響公司相關部門經(jīng)營管理工作和日常辦公無法正常進行。5.4、網(wǎng)絡系統(tǒng)大面積癱瘓5.4.1 網(wǎng)絡系統(tǒng)大面積癱瘓辨識（1）意外斷電引起的核心交換機、防火墻損壞或故障導致網(wǎng)絡系統(tǒng)大面積癱瘓。（2）通信線路中斷引起的網(wǎng)絡系統(tǒng)大面積癱瘓（3）服務器損壞或故障引起的大面積無法登錄互聯(lián)網(wǎng)。5.4.2 網(wǎng)絡系統(tǒng)大面積癱瘓風險評估1、網(wǎng)絡系統(tǒng)大面積癱瘓可能導致公司與生產(chǎn)礦井之間的信息傳輸中斷，管理部門失去對礦井生產(chǎn)的安全監(jiān)管，安全生產(chǎn)無法正常進行。2、網(wǎng)絡系統(tǒng)大面積癱瘓可能導致公司日常辦公無法正常進行。5.5、高空作業(yè)辨識及評估5.5.1高空作業(yè)辨識（1）日常高空維修可能造成人身傷害。（2）工程高空施工可能造成

11、人身傷害。5.5.2 高空作業(yè)風險評估日常高空維修網(wǎng)絡設備、打掃衛(wèi)生和高空施工可能造成工作人員人身傷害和精神傷害，影響公司安全生產(chǎn)穩(wěn)步發(fā)展。六、安全風險應急預案及措施根據(jù)各單位存在的主要風險源和風險評估，保障安全生產(chǎn)工作有序進行，制定本預案及措施。6.1 火災應急預案及處置措施6.1.1 應急預案（1）發(fā)生特大火災時（包括機房、UPS、庫房），值班人員應立即逃離火災范圍，啟動對應的火災應急預案和響應級別，拉響警報，向公司總調(diào)度室、本單位負責人、單位安監(jiān)部門匯報，在確保人身安全的情況下，組織人員利用滅火器進行滅火；如果火勢過大，人員無法靠近時，應立即撥打火警119，求助消防部門進行滅火。（2）發(fā)

12、生重大火災時（包括機房局部、UPS控制器、庫房局部），值班人員應立即逃離火災范圍，啟動對應的火災應急預案，拉響警報，向公司調(diào)度室和本單位安監(jiān)部門匯報，在確保人身安全的情況下，組織人員利用滅火器進行滅火，力爭將財產(chǎn)損失降到最低。（3）發(fā)生較大火災時（包括消防通道、辦公室）值班人員應啟動對應的火災應急預案，向公司總調(diào)度室及本單位安監(jiān)部門匯報，在確保人身安全的情況下，組織人員利用滅火器進行滅火，避免或降低財產(chǎn)損失。 6.1.2 處置措施（1）火災發(fā)生時，值班和工作人員應立即脫離火災范圍，確保人身安全。（2）根據(jù)火災大小確定火災風險等級，并啟動相應的響應等級。（3）根據(jù)火災風險等級向公司總調(diào)度室及本單

13、位安監(jiān)部門匯報火災情況。（4）火勢過大無法控制時，應立即撥打火警119進行求助。（5）在確保人身安全的情況下，組織人員利用滅火器進行滅火，避免火災擴大，降低財產(chǎn)損失。（6）盡最大可能搜集火災發(fā)生的相關信息，做好記錄，為事故處理提供依據(jù)。（7）每月針對火災誘發(fā)根源進行徹底檢查（如易燃物品不能堆放、庫房物品分類并整齊擺放等），預防火災的發(fā)生。6.2、意外斷電應急預案及處置措施6.2.1 應急預案發(fā)生自然災害和短路引起的意外斷電時，值班人員在確保人身安全的情況下，根據(jù)風險等級啟動相應的響應等級，向本單位安監(jiān)部門進行匯報，邀請電力維修人員進行斷電故障排查，并組織技術人員對機房核心交換機、防火墻、匯聚交

14、換機、數(shù)據(jù)庫服務器、數(shù)據(jù)備份服務器、軟件服務器、軟件系統(tǒng)、煙霧報警、UPS溫度監(jiān)控、機房溫度監(jiān)控系統(tǒng)進行隱患排查，發(fā)現(xiàn)設備故障和數(shù)據(jù)丟失，應當進行及時處理和上報。6.2.2 處置措施（1）發(fā)生意外斷電時，在確保人身安全的情況下，值班人員應啟動相應的響應等級。（2）向本單位安監(jiān)部門進行匯報。（3）必須請專業(yè)電力維修人員進行故障排查與維修。（4）搜集意外斷電發(fā)生的信息并作好記錄，為事故處理提供依據(jù)。6.3、重要數(shù)據(jù)丟失應急預案及處置措施6.3.1 應急預案（1）因意外斷電引起重要數(shù)據(jù)丟失時，值班人員應根據(jù)風險等級啟動相應的響應等級，向公司總調(diào)度室和安監(jiān)部門進行匯報，邀請專業(yè)電力維修人員進行故障排查

15、，恢復供電正常，排查機房設備及數(shù)據(jù)情況，發(fā)現(xiàn)設備故障和數(shù)據(jù)丟失，立即組織相關技術人員進行恢復。（2）因服務器故障引起數(shù)據(jù)丟失時，值班人員應根據(jù)風險等級啟動相應的響應等級，向公司總調(diào)度室和案件部門進行匯報，并組織技術人員進行服務器維修和數(shù)據(jù)恢復，如果服務器和數(shù)據(jù)無法維修和恢復時，應向本單位負責人匯報并外請專業(yè)人員進行維修，確保設備和數(shù)據(jù)安全。（3）因數(shù)據(jù)庫無法啟動引起的數(shù)據(jù)丟失，值班人員應根據(jù)風險等級啟動相應的響應等級，向公司總調(diào)度室和案件部門進行匯報，并組織技術人員進行數(shù)據(jù)恢復，如果數(shù)據(jù)無法恢復，應向本單位負責人匯報并外請專業(yè)人員進行數(shù)據(jù)恢復，確保設數(shù)據(jù)安全。6.3.2 處置措施（1）發(fā)生數(shù)據(jù)

16、丟失時，值班人員應根據(jù)風險等級啟動相應相應等級。（2）值班人員向本單位安監(jiān)部門匯報。（3）組織技術人員對數(shù)據(jù)進行恢復。（4）本單位技術人員無法恢復丟失數(shù)據(jù)時，應向本單位負責人匯報并外請專業(yè)人員進行數(shù)據(jù)恢復，確保數(shù)據(jù)安全。（5）做好數(shù)據(jù)丟失與恢復過程的記錄。6.4、高空作業(yè)應急預案及處置措施6.4.1 應急預案（1）在高空維修過程中發(fā)生人員墜落風險時，如果墜落人員處于清醒狀態(tài)，應立即撥打120送往醫(yī)院進行急救；如果墜落人員處于昏迷狀態(tài)，其他維修人員應當立即進行簡單的急救（如將人平躺在地上，進行按壓胸部、掐人中、人工呼吸等），同時撥打120急救電話送往醫(yī)院進行搶救，并向公司總調(diào)度室、本單位負責人及安監(jiān)部門匯報。（2）在高空施工過程中發(fā)生人員墜落風險時，如果墜落人員處于清醒狀態(tài)，應立即撥打120送往醫(yī)院進行急救；如果墜落人員處于昏迷狀態(tài)，其他維修人員應當