2024年信息化安全管理制度(3篇)

2024年信息化安全管理制度(3篇)

目錄

第1篇高校信息化安全管理方案范本

第2篇信息化安全管理制度

第3篇信息化安全管理制度

高校信息化安全管理方案范本

在高校信息化應(yīng)用日益深化的今天,信息和資源的整合日益密切,如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行,確保信息安全是亟待解決的關(guān)鍵問(wèn)題。從調(diào)研顯示,目前我國(guó)高校網(wǎng)絡(luò)系統(tǒng)存在許多安全問(wèn)題,如:非授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等,產(chǎn)生這些安全問(wèn)題的原因在于:沒(méi)有建立完善的網(wǎng)絡(luò)系統(tǒng)安全體系;沒(méi)有建立相應(yīng)的安全組織、管理、技術(shù)機(jī)構(gòu);沒(méi)有建立完備的網(wǎng)絡(luò)系統(tǒng)安全措施。

本文從高校信息系統(tǒng)的需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上,借鑒國(guó)際最佳實(shí)踐經(jīng)驗(yàn),研究并實(shí)施高校信息化安全管理體系,為高校信息安全管理工作提供借鑒和參考。

規(guī)劃信息化安全管理體系

分層次建立安全管理制度和手段

信息化安全管理體系規(guī)劃是高校安全體系建立的第一步,目的是識(shí)別安全問(wèn)題,明確安全管理的范圍和內(nèi)容,建立安全管理的組織管理機(jī)制,從管理和技術(shù)兩個(gè)角度,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段,形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規(guī)劃過(guò)程歸納為以下8個(gè)步驟:

1.建立安全管理組織:安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成,包括來(lái)自行政、it、業(yè)務(wù)、安全、保衛(wèi)、風(fēng)險(xiǎn)和規(guī)劃部門的人員。

2.識(shí)別保護(hù)對(duì)象:識(shí)別學(xué)校目前的關(guān)注點(diǎn)、面臨的風(fēng)險(xiǎn)及威脅,分析它們存在的原因,將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮。

3.評(píng)估現(xiàn)有措施:了解學(xué)校目前的安全管理措施并評(píng)估它們的效力。

4.考慮長(zhǎng)期需要:安全整體規(guī)劃應(yīng)考慮長(zhǎng)期的需要,具有一定的前瞻性,如長(zhǎng)期的制度適應(yīng)性、設(shè)備老化、安全人員的發(fā)展需要等。

5.納入學(xué)校的建設(shè)規(guī)劃:了解學(xué)校新建項(xiàng)目,如辦公樓、教學(xué)樓、停車場(chǎng)等項(xiàng)目,是否會(huì)影響現(xiàn)有的物理安全規(guī)劃,如有影響,將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤考慮。

6.建立安全工作機(jī)制:形成文件化的制度體系和工作條例,明確各崗位的責(zé)任、應(yīng)提供的服務(wù)和交付物,這些將有助于確保工作的落實(shí)和運(yùn)作效率。

7.應(yīng)對(duì)新老技術(shù)的混合:新技術(shù)的規(guī)劃應(yīng)考慮對(duì)老技術(shù)的沖擊,新老技術(shù)的融合運(yùn)用將是一個(gè)挑戰(zhàn)。

8.關(guān)鍵設(shè)施重點(diǎn)布局:關(guān)鍵設(shè)施指校園中那些需要連續(xù)、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合,這些設(shè)施的安全尤為重要,風(fēng)險(xiǎn)也最為突出。

體系框架的內(nèi)容

上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校信息化安全管理的具體問(wèn)題,有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架,其中包括安全組織體系、安全管理體系和安全技術(shù)體系。

圖1高校信息化安全管理體系

1.安全組織體系

它是確保信息安全工作貫徹和落實(shí)的基石,基本框架應(yīng)包含決策、管理、運(yùn)營(yíng)和應(yīng)用4個(gè)層次。決策層負(fù)責(zé)信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項(xiàng)的決策等;管理層負(fù)責(zé)信息化安全管理體系的實(shí)施、安全管理工作機(jī)制的研究制訂、安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等;運(yùn)營(yíng)層具體負(fù)責(zé)機(jī)房、網(wǎng)絡(luò)和服務(wù)器、數(shù)據(jù)庫(kù)、信息系統(tǒng)的安全管理和維護(hù);應(yīng)用層即普通用戶,職責(zé)包括嚴(yán)格按照系統(tǒng)操作手冊(cè)正確使用信息系統(tǒng),不得進(jìn)行可能危害信息系統(tǒng)安全的操作,不得發(fā)布惡意信息等。

2.安全管理體系

它是整個(gè)安全管理體系有效運(yùn)作和持續(xù)改進(jìn)的保障,應(yīng)在實(shí)踐中逐步實(shí)現(xiàn)規(guī)章制度的文件化、工作機(jī)制的程序化和監(jiān)控手段的系統(tǒng)化,基本框架具體包括安全制度的建立、建設(shè)與運(yùn)營(yíng)工作條例的建立、應(yīng)急響應(yīng)機(jī)制的建立、審計(jì)與評(píng)審機(jī)制的建立、安全教育與培訓(xùn)。

3.安全技術(shù)體系

該體系有力保障信息資源和應(yīng)用系統(tǒng)免受外部攻擊,基本框架由網(wǎng)絡(luò)層安全技術(shù)、系統(tǒng)層安全技術(shù)和應(yīng)用層安全技術(shù)構(gòu)成。網(wǎng)絡(luò)層安全技術(shù)包括防火墻、病毒防范、入侵檢測(cè)、vpn等;系統(tǒng)層安全技術(shù)包括數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)庫(kù)安全審計(jì)、應(yīng)用系統(tǒng)監(jiān)控、身份認(rèn)證等;應(yīng)用層安全技術(shù)包括權(quán)限管理、信息加密、桌面系統(tǒng)等。

信息化安全管理體系整改

上海財(cái)經(jīng)大學(xué)經(jīng)過(guò)多年的信息化建設(shè),包括教學(xué)、學(xué)生、辦公自動(dòng)化、招生、人事、財(cái)務(wù)、公共數(shù)據(jù)平臺(tái)、校園一卡通等一大批信息系統(tǒng)得到應(yīng)用。隨著應(yīng)用的深化,系統(tǒng)中積累大量的業(yè)務(wù)數(shù)據(jù)和工作成果,這些信息對(duì)學(xué)校目前的管理乃至今后的發(fā)展都至關(guān)重要,因此,信息的安全問(wèn)題也成為信息化工作的焦點(diǎn)。2009年起,在認(rèn)真分析學(xué)校信息安全管理和技術(shù)兩方面的問(wèn)題和原因的基礎(chǔ)上,學(xué)校從組織、管理、技術(shù)三方面入手進(jìn)行一系列的整改,截至目前,已形成較為完善的組織體系、管理體系和技術(shù)體系。

完善信息安全管理的組織結(jié)構(gòu)

2009年,學(xué)校對(duì)信息安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理,形成包含決策、管理、維護(hù)和應(yīng)用4個(gè)層次在內(nèi)的較為完善的網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu),工作職責(zé)更加明確。上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)如圖2。

圖2財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)

1.決策層:在信息化領(lǐng)導(dǎo)小組的職能中明確信息系統(tǒng)的安全管理職能,由信息化領(lǐng)導(dǎo)小組統(tǒng)一規(guī)劃、部署和統(tǒng)籌資源。

2.管理層:組建安全工作小組作為信息化安全工作的執(zhí)行機(jī)構(gòu),工作小組由信息化相關(guān)部門領(lǐng)導(dǎo)及專業(yè)技術(shù)人員和部分管理人員組成。

3.運(yùn)營(yíng)層:完善系統(tǒng)運(yùn)營(yíng)各崗位人員的工作職責(zé),包括機(jī)房管理員、網(wǎng)絡(luò)及服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員和信息系統(tǒng)管理員。

4.應(yīng)用層:進(jìn)一步明確應(yīng)用層各院系、部門及用戶的安全責(zé)任,與各院系、部門簽訂安全責(zé)任書,同時(shí)明確各院系、部門信息員的日常信息安全工作職責(zé),使其成為信息安全工作的基礎(chǔ)支持隊(duì)伍。

形成文件化的信息安全整體策略

早在2008年,學(xué)校就著手組織制定《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全管理辦法》、《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)建設(shè)管理辦法》和《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)運(yùn)行維護(hù)管理辦法》,從場(chǎng)地與設(shè)施安全管理、設(shè)備安全管理、系統(tǒng)安全管理、信息安全管理、建設(shè)安全管理、運(yùn)行維護(hù)安全管理和技術(shù)文檔安全管理7個(gè)方面詳細(xì)制定安全管理規(guī)定,并明確系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維過(guò)程中相關(guān)人員的工作流程和操作規(guī)范,為全校的信息系統(tǒng)安全管理提供依據(jù)。

2009年至2010年,針對(duì)信息安全問(wèn)題突發(fā)性強(qiáng)的特點(diǎn),為建立健全應(yīng)急工作機(jī)制,提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應(yīng)急處置能力,最大限度地減輕突發(fā)事件造成的損失,學(xué)校完成《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全應(yīng)急預(yù)案》的制定,并在it部門建立起突發(fā)事件應(yīng)急響應(yīng)工作機(jī)制。與此同時(shí),為加強(qiáng)日常防控來(lái)減少突發(fā)事件的發(fā)生,學(xué)校it部門制定《運(yùn)行維護(hù)工作條例》對(duì)硬件維護(hù)、操作系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)維護(hù)和應(yīng)用系統(tǒng)維護(hù)的各個(gè)環(huán)節(jié)的工作流程和操作規(guī)程進(jìn)行更加詳細(xì)的規(guī)定,并在工作中增加安全監(jiān)控、安全檢測(cè)、安全策略優(yōu)化、安全審計(jì)等環(huán)節(jié)加強(qiáng)對(duì)信息系統(tǒng)的安全防護(hù)。

2010年初,為明確和建立學(xué)校的信息安全策略,為各部門制定操作規(guī)范和開(kāi)展安全工作提供指導(dǎo),學(xué)校制定《上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理整體方案》,從信息安全組織體系、管理體系和技術(shù)體系3個(gè)層次,詳細(xì)描述管理策略以及技術(shù)手段。該方案的出臺(tái)極大地推動(dòng)it部門管理制度的完善和技術(shù)改進(jìn),同時(shí)也促進(jìn)各院系、部門內(nèi)部安全管理的強(qiáng)化和人員安全意識(shí)的提高。

強(qiáng)化安全管理

信息安全是一項(xiàng)長(zhǎng)期的工作,必須將其納入信息系統(tǒng)的日常管理中常抓不懈,防患于未然。信息系統(tǒng)質(zhì)量的內(nèi)涵,除了系統(tǒng)功能和性能滿足業(yè)務(wù)要求外,與信息系統(tǒng)安全有關(guān)的系統(tǒng)安全性、可靠性、可用性也是系統(tǒng)質(zhì)量控制的范疇。主要采取的管理措施如下:

1.增加建設(shè)過(guò)程中的評(píng)審環(huán)節(jié)

在項(xiàng)目設(shè)計(jì)、開(kāi)發(fā)階段成果接近完成時(shí),由項(xiàng)目組會(huì)同相關(guān)業(yè)務(wù)部門共同組織技術(shù)評(píng)審,包括對(duì)系統(tǒng)安全性的審查。評(píng)審以項(xiàng)目前期形成的方案、文檔及學(xué)校的相關(guān)標(biāo)準(zhǔn)和規(guī)范為依據(jù),對(duì)該階段形成的方案、技術(shù)文檔及系統(tǒng)進(jìn)行審查、確認(rèn)等工作,并形成評(píng)審結(jié)論。

2.進(jìn)行內(nèi)部測(cè)試和第三方測(cè)試

在項(xiàng)目驗(yàn)收前,除了由項(xiàng)目?jī)?nèi)部和業(yè)務(wù)部門參與的集成測(cè)試外,聘請(qǐng)專業(yè)的第三方測(cè)試機(jī)構(gòu)進(jìn)行測(cè)試。

3.安全檢測(cè)與審計(jì)雙管齊下,全方位監(jiān)控安全事件

對(duì)應(yīng)用系統(tǒng)和服務(wù)器進(jìn)行每三個(gè)月一次的定期安全檢測(cè),有效消除潛在的安全隱患;定期進(jìn)行應(yīng)用系統(tǒng)的安全審計(jì)、數(shù)據(jù)庫(kù)的安全審計(jì)、服務(wù)器的安全審計(jì)、配置管理的安全審計(jì)等,避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生。

4.建立突發(fā)事件應(yīng)急響應(yīng)機(jī)制

基于《上海財(cái)經(jīng)大學(xué)信息安全應(yīng)急預(yù)案》,建立突發(fā)事件的應(yīng)急響應(yīng)機(jī)制,落實(shí)信息系統(tǒng)的服務(wù)級(jí)別管理,實(shí)行應(yīng)急預(yù)案演練制度,建立預(yù)案庫(kù),在突發(fā)事件發(fā)生后形成處置報(bào)告,分析原因,改進(jìn)工作。

5.加強(qiáng)安全意識(shí)宣傳與教育

我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動(dòng),包括組織面向?qū)W生和教師的信息安全知識(shí)競(jìng)賽活動(dòng),開(kāi)展信息安全意識(shí)培訓(xùn)等,提高人員的安全防范意識(shí),發(fā)揮人在信息安全對(duì)策中的主體作用。

加強(qiáng)技術(shù)防范,構(gòu)筑安全堡壘

系統(tǒng)的日常建設(shè)與運(yùn)行管理中,我們通過(guò)構(gòu)建自動(dòng)化防控系統(tǒng)來(lái)加強(qiáng)系統(tǒng)的安全防范,為應(yīng)用系統(tǒng)和用戶構(gòu)筑起堅(jiān)實(shí)的安全堡壘,具體措施包括:

1.搭建版本控制系統(tǒng),確保開(kāi)發(fā)中源代碼的安全

在程序開(kāi)發(fā)的過(guò)程中,需要多人同時(shí)參加和協(xié)作,通過(guò)搭建版本控制系統(tǒng),記錄系統(tǒng)建設(shè)過(guò)程中相關(guān)文檔和源代碼的變更過(guò)程,防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。

2.構(gòu)建三套獨(dú)立環(huán)境,保證正式環(huán)境安全

將系統(tǒng)開(kāi)發(fā)環(huán)境、系統(tǒng)測(cè)試環(huán)境和正式系統(tǒng)進(jìn)行分離,確保開(kāi)發(fā)階段和測(cè)試階段的工作不影響正式系統(tǒng)的使用。

3.建立備份與恢復(fù)機(jī)制,保護(hù)系統(tǒng)建設(shè)成果

建立本地及異地?cái)?shù)據(jù)備份及恢復(fù)規(guī)范及方案,研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關(guān)程序,對(duì)系統(tǒng)建設(shè)過(guò)程中的成果進(jìn)行及時(shí)備份,防止因?yàn)檎`操作或機(jī)器故障導(dǎo)致數(shù)據(jù)丟失,切實(shí)保證數(shù)據(jù)的安全。

4.防火墻與入侵監(jiān)測(cè),構(gòu)筑網(wǎng)絡(luò)屏障

在internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻,防止校內(nèi)外用戶對(duì)服務(wù)器的攻擊;部署網(wǎng)絡(luò)分析系統(tǒng),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播,為網(wǎng)絡(luò)安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問(wèn)關(guān)鍵信息系統(tǒng),用戶需要通過(guò)vpn加密鏈路才能實(shí)現(xiàn)從校外訪問(wèn)關(guān)鍵信息系統(tǒng)。

5.漏洞掃描與日志分析,促進(jìn)應(yīng)用安全的不斷提升

在應(yīng)用系統(tǒng)層,我們采用系統(tǒng)日志分析平臺(tái)對(duì)應(yīng)用進(jìn)行日志分析,捕捉和定位異常事件;定期對(duì)應(yīng)用服務(wù)執(zhí)行漏洞掃描,對(duì)出現(xiàn)的sql注入、跨站腳本攻擊、網(wǎng)頁(yè)非法篡改、強(qiáng)制訪問(wèn)等系統(tǒng)安全風(fēng)險(xiǎn)及時(shí)進(jìn)行分析和整改。

6.主動(dòng)式監(jiān)控及時(shí)追蹤問(wèn)題

自主完成服務(wù)器軟硬件運(yùn)行狀態(tài)監(jiān)控系統(tǒng)的開(kāi)發(fā),實(shí)現(xiàn)對(duì)服務(wù)器運(yùn)行狀態(tài)及各信息系統(tǒng)狀態(tài)進(jìn)行主動(dòng)監(jiān)聽(tīng)和預(yù)警;建立統(tǒng)一日志服務(wù)器,對(duì)所有系統(tǒng)的日志進(jìn)行集中管理和備份,確保問(wèn)題發(fā)生時(shí)通過(guò)日志進(jìn)行定位和追蹤。

所謂“三分技術(shù),七分管理”,信息化安全管理問(wèn)題需要從管理和技術(shù)兩方面考慮和解決,依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術(shù)的支撐,才能達(dá)到“以較小的代價(jià)利用有限資源控制安全風(fēng)險(xiǎn)”的目標(biāo),更好地保證信息化建設(shè)和應(yīng)用的成果。

信息化安全管理制度

信息化安全管理包括機(jī)房管理和服務(wù)器管理兩部分。機(jī)房、服務(wù)器的日常維護(hù)、操作都應(yīng)有專門的信息管理人員負(fù)責(zé),未經(jīng)信息部門許可其他人員不得對(duì)隨意進(jìn)出機(jī)房、操作服務(wù)器。機(jī)房管理人員負(fù)責(zé)機(jī)房的日常檢修、事故排查;

服務(wù)器管理員負(fù)責(zé)服務(wù)器的安裝調(diào)試、例行維護(hù)、日常檢查等工作。

炎炎夏日,尤其注意機(jī)房?jī)?nèi)線路排查,做好防火工作,服務(wù)器數(shù)據(jù)備份和系統(tǒng)備份。

一、機(jī)房安全管理

1.1機(jī)房嚴(yán)格執(zhí)行門禁制度,未經(jīng)信息部門允許,任何人不得擅自進(jìn)入;

1.2機(jī)房?jī)?nèi)禁止堆放雜物,保證設(shè)備和辦公桌面清潔、衛(wèi)生、整齊;

1.3機(jī)房?jī)?nèi)禁止存放易燃易爆品;設(shè)備設(shè)施周圍及上方不得堆放物品,特別是液體物品;

1.4機(jī)房?jī)?nèi)電氣設(shè)備、供電線路必須由專職電工按規(guī)范安裝;

1.5機(jī)房?jī)?nèi)禁止亂拉臨時(shí)電源線;

1.6機(jī)房?jī)?nèi)的各類保險(xiǎn)絲必須使用符合規(guī)定的保險(xiǎn)絲,嚴(yán)禁使用銅、鐵、鋁線代替;

1.7長(zhǎng)期使用的電器設(shè)備應(yīng)對(duì)其發(fā)熱情況進(jìn)行檢查,避免發(fā)生火災(zāi);

1.8嚴(yán)格明火管理。明火作業(yè)必須有相關(guān)部門批準(zhǔn)、核發(fā)“動(dòng)火證”后方可施做;

1.9規(guī)范配備滅火器材,定期進(jìn)行消防報(bào)警設(shè)施試驗(yàn),嚴(yán)禁使用其他物品將煙感包裹,禁止吸煙;

1.10禁止攜帶食品進(jìn)入機(jī)房,并定期滅鼠;

1.11機(jī)房?jī)?nèi)溫度和濕度嚴(yán)格控制在:溫度:18-25℃,相對(duì)濕度:60%—80%;

1.12機(jī)房值班人員要堅(jiān)守崗位,早進(jìn)入、晚離開(kāi)時(shí)要檢查設(shè)備情況,上班時(shí)密切監(jiān)視網(wǎng)絡(luò)的工作情況,防止黑客襲擊,做好每天的數(shù)據(jù)備份,不得無(wú)故脫離崗位。下班時(shí),要做好交接班記錄,要對(duì)所有計(jì)算機(jī)的電源進(jìn)行細(xì)致的檢查,該關(guān)的要切斷電源,離開(kāi)時(shí)察看燈、門、窗、鎖是否關(guān)閉好。雙休日、節(jié)假日,要有專人值班,檢查網(wǎng)絡(luò)運(yùn)行情況,如發(fā)現(xiàn)問(wèn)題應(yīng)及時(shí)解決,并做好記錄處理,解決不了的要及時(shí)報(bào)告;

1.13不得隨意合閘拉閘,不得同意不得擅自對(duì)程控交換機(jī)、核心交換機(jī)、路由器、服務(wù)器等設(shè)備設(shè)施進(jìn)行停、斷電;

1.14員工負(fù)責(zé)設(shè)備設(shè)施性能測(cè)試,及時(shí)排除故障,下班前必須做全面檢查,不留安全隱患;

1.15機(jī)房?jī)?nèi)所有設(shè)備設(shè)施維護(hù)工作必須在計(jì)劃內(nèi)完成;計(jì)劃外操作必須得到同意;

1.16不得利用職務(wù)之便撥打與工作無(wú)關(guān)的外線電話;

1.17未經(jīng)批準(zhǔn),不得擅自關(guān)閉、重啟各系統(tǒng)服務(wù)器、接口機(jī);

1.18未經(jīng)批準(zhǔn),不得隨意開(kāi)關(guān)外線;

1.19如遇緊急情況和突發(fā)事件必須在第一時(shí)間內(nèi)通知主管人員;

二、服務(wù)器安全管理

1.1物理環(huán)境要求

1.1.1服務(wù)器須放置在機(jī)房或具備服務(wù)器運(yùn)行相關(guān)條件的空間內(nèi)。

1.1.2系統(tǒng)管理員應(yīng)在每季度末對(duì)服務(wù)器進(jìn)行一次硬件檢測(cè)和除塵工作,并填寫《服務(wù)器硬件檢測(cè)記錄單》(附錄a)。

1.2軟件環(huán)境要求

1.2.1無(wú)特殊情況,服務(wù)器要關(guān)閉網(wǎng)絡(luò)文件與打印服務(wù)、qos、終端服務(wù)、授權(quán)服務(wù)、siteserverils服務(wù)、消息隊(duì)列服務(wù)(msmq)、遠(yuǎn)程存儲(chǔ)、證書服務(wù)等其他暫時(shí)不用的服務(wù)。

1.2.2服務(wù)器操作系統(tǒng)需設(shè)置安全策略,策略設(shè)定后要進(jìn)行有效性檢查,確保有效執(zhí)行。

1.2.3服務(wù)器應(yīng)禁用匿名/默認(rèn)賬戶或嚴(yán)格限制訪問(wèn)權(quán)限。

1.2.4為了保證該服務(wù)器的運(yùn)行效能和安全,除了安裝解壓縮、殺毒軟件等必要的應(yīng)用軟件外,一般不安裝其他非必要的軟件,包括office等。

1.2.5服務(wù)器上至少要設(shè)置兩個(gè)以上(含兩個(gè))的邏輯卷。

1.2.6服務(wù)器嚴(yán)禁安裝游戲、聊天工具等與系統(tǒng)運(yùn)行無(wú)關(guān)的程序及文件。

1.3服務(wù)器開(kāi)關(guān)機(jī)

1.3.1各單位系統(tǒng)管理員負(fù)責(zé)服務(wù)器的開(kāi)關(guān)機(jī)操作,操作完成后填寫《服務(wù)器開(kāi)關(guān)機(jī)記錄表》(附錄b)。

1.3.2除安裝調(diào)試或者例行維護(hù)外,服務(wù)器不得頻繁開(kāi)關(guān)機(jī)。服務(wù)器維護(hù)應(yīng)安排在非工作時(shí)間段進(jìn)行。

1.3.3服務(wù)器在出現(xiàn)嚴(yán)重故障非重起不能解決時(shí),系統(tǒng)管理員應(yīng)及時(shí)通知服務(wù)器用戶,在用戶保存完正在操作的數(shù)據(jù)后方可中斷數(shù)據(jù)庫(kù)連接并進(jìn)行重起操作。

1.4日志管理

1.4.1系統(tǒng)管理員應(yīng)在每周末檢查服務(wù)器的“事務(wù)日志”,發(fā)現(xiàn)有“嚴(yán)重錯(cuò)誤”的,必須立即檢查并排除故障,服務(wù)器所有日志在得到“事務(wù)已經(jīng)滿”提示的情況下,必須立即備份到制定目錄下,事務(wù)日志備份完畢應(yīng)立即清空。

1.4.2服務(wù)器日志至少保留半年,只允許授權(quán)用戶訪問(wèn),且不能進(jìn)行修改。

1.5磁盤檢查

1.5.1系統(tǒng)管理員應(yīng)在每周末檢查服務(wù)器的磁盤情況,如果發(fā)現(xiàn)磁盤的使用容量超過(guò)70%以上時(shí),應(yīng)及時(shí)刪除不必要的文件騰出磁盤空間,必要時(shí)申購(gòu)新的磁盤。

1.5.2服務(wù)器外出維修時(shí)系統(tǒng)管理員必須刪除磁盤數(shù)據(jù)。

1.5.3系統(tǒng)管理員在每月末對(duì)服務(wù)器進(jìn)行磁盤碎片整理工作。

1.6病毒和補(bǔ)丁管理

1.6.1為保障服務(wù)器性能,工作時(shí)間段內(nèi)一般不進(jìn)行查殺病毒和安裝補(bǔ)丁的操作。

1.6.2每日22:00設(shè)置服務(wù)器自行查殺病毒。

1.6.3服務(wù)器殺毒軟件的病毒庫(kù)應(yīng)設(shè)置為自動(dòng)更新。

1.6.4在得知有重大病毒流行時(shí)應(yīng)立即確認(rèn)病毒庫(kù)是否為最新且是否有效防護(hù),如果病毒庫(kù)不能有效防護(hù)應(yīng)下載相關(guān)專殺工具或進(jìn)行相關(guān)技術(shù)處理。

1.6.5系統(tǒng)管理員應(yīng)在每月末登陸操作系統(tǒng)廠商網(wǎng)站查看是否有最新的更新通知,在得知有最新的安全漏洞時(shí),應(yīng)下載經(jīng)測(cè)試后在非工作時(shí)間段內(nèi)安裝補(bǔ)丁。對(duì)于重大的安全漏洞應(yīng)第一時(shí)間進(jìn)行更新。

1.7故障管理

1.7.1服務(wù)器的故障包括:軟件故障,硬件故障,入侵與攻擊,其他不可預(yù)料的未知故障等。應(yīng)建立服務(wù)器故障記錄,當(dāng)出現(xiàn)服務(wù)器故障,系統(tǒng)管理員對(duì)故障現(xiàn)象及解決過(guò)程進(jìn)行詳細(xì)記錄,填寫《服務(wù)器故障處理記錄單》(附錄c)

1.7.2當(dāng)服務(wù)器出現(xiàn)硬件故障時(shí),系統(tǒng)管理員應(yīng)立即通知服務(wù)器廠商,并督促和配合廠商工作人員盡快維修或更換相關(guān)配件。

1.7.3對(duì)于不能盡快處理的故障,系統(tǒng)管理員應(yīng)立即通過(guò)電話通知上級(jí)主管領(lǐng)導(dǎo),并保護(hù)好故障現(xiàn)場(chǎng)。

1.8相關(guān)記錄文檔

1.8.1《服務(wù)器硬件檢測(cè)記錄單》保存期3年

1.8.2《服務(wù)器開(kāi)關(guān)記錄表》保存期3年

1.8.3《服務(wù)器故障處理記錄單》保存期3年

信息化安全管理制度

第一張:總則

第一條,為加強(qiáng)信息化安全規(guī)范化管理,有效提高信息化管理水平,防止失密、泄密時(shí)間的發(fā)生。根據(jù)有關(guān)文件規(guī)定,特制定本制度。

第二條,本制度所指信息化系統(tǒng)包括醫(yī)院管理系統(tǒng)、辦公自動(dòng)化、婦幼衛(wèi)生統(tǒng)計(jì)直報(bào)系統(tǒng),疫情直報(bào)系統(tǒng)、兒童免疫規(guī)劃直報(bào)系統(tǒng)等。

第三條,信息安全是指為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。

第二章環(huán)境和設(shè)備

第四條機(jī)房安全

1、有服務(wù)器的單位要檢錄獨(dú)立的機(jī)房。

2、機(jī)房應(yīng)設(shè)置在獨(dú)立的房間,環(huán)境相對(duì)安靜的地段。

3、機(jī)房?jī)?nèi)門窗應(yīng)增設(shè)防盜(防盜門、鐵柵欄等)、防火(滅火器)措施。

4、未經(jīng)網(wǎng)絡(luò)管理員允許.任何人員不得進(jìn)入機(jī)房,不得操作機(jī)房任何設(shè)備。

5、除網(wǎng)絡(luò)服務(wù)器和聯(lián)網(wǎng)設(shè)備外,工作人員離開(kāi)機(jī)房時(shí),必須關(guān)掉其它設(shè)備電源和照明電源。

6、嚴(yán)禁使用來(lái)歷不明或無(wú)法確定其是否有病毒的存儲(chǔ)介質(zhì)。

第五條兩個(gè)或兩個(gè)以上專用網(wǎng)絡(luò)(醫(yī)院內(nèi)部管理網(wǎng)、婦幼衛(wèi)生統(tǒng)計(jì)直報(bào)系統(tǒng))的單位,互聯(lián)網(wǎng)與各個(gè)專用網(wǎng)絡(luò)之間不能相通,必須專網(wǎng)專機(jī)管理。

第六條電腦實(shí)行專人專管,任何人不得在不經(jīng)電腦使用人許可的情況下擅自動(dòng)用他人電腦。如遇電腦使用人外出,則須在征得該電腦使用人所在的科室領(lǐng)導(dǎo)或相關(guān)領(lǐng)導(dǎo)的同意后方可使用。

第七條計(jì)算機(jī)名稱、lp地址由網(wǎng)管中心統(tǒng)一登記管理,如需變更,由網(wǎng)管中心統(tǒng)一調(diào)配。

第八條pc機(jī)(個(gè)人使用計(jì)算機(jī))應(yīng)擺設(shè)在相對(duì)通風(fēng)的環(huán)境,在不使用時(shí),必須切斷電源。

第九條開(kāi)機(jī)時(shí),應(yīng)先開(kāi)顯示器再開(kāi)主機(jī):關(guān)機(jī)時(shí),應(yīng)在退出所有程序后,先關(guān)主機(jī),再關(guān)顯示器。下班時(shí),應(yīng)在確認(rèn)電腦被關(guān)閉后,方可離開(kāi)單位。

第十條更換電腦時(shí),要做好文件的拷貝工作,同時(shí)在管理人員的協(xié)助下檢查電腦各方面是否正常。

第十一條離職時(shí),應(yīng)保證電腦完好、程序正常、文件齊全,接手人在確認(rèn)文件無(wú)誤后方可完善手續(xù)。

第三章軟件與網(wǎng)絡(luò)

第十二條禁止在工作時(shí)間內(nèi)利用電腦做與工作無(wú)關(guān)的事情,如網(wǎng)上聊天、瀏覽與工作內(nèi)容無(wú)關(guān)的網(wǎng)站、玩電腦游戲等。禁止在電腦上安裝任何游戲軟件。

第十三條外來(lái)存儲(chǔ)介質(zhì)在本單位內(nèi)計(jì)算機(jī)上使用時(shí),必須進(jìn)行殺毒處理后方可使用。

第十四條為防止惡意代碼植入系統(tǒng),預(yù)防計(jì)算機(jī)病毒感染.在收到不明來(lái)歷的電子郵件時(shí)應(yīng)注意不要隨意打開(kāi),并立即予以刪除。

第十五條上網(wǎng)用戶不得利用網(wǎng)絡(luò)危害國(guó)家安全、泄露國(guó)家機(jī)密,不得侵犯國(guó)家、社會(huì)、單位、集體的利益和公民合法權(quán)益,不得從事違法犯罪活動(dòng)。

第十六條上網(wǎng)用戶不得在任何網(wǎng)絡(luò)上制作、復(fù)制和傳播下列信息

(一)煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施:

(二)煽動(dòng)顛覆國(guó)家政權(quán)推翻社會(huì)主義制度:

(三)煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一:

(四)煽動(dòng)民族仇恨、民族歧視,破壞民族團(tuán)結(jié):

(五)捏造或者歪曲事實(shí),散布謠言.擾亂社會(huì)秩序:

(六)宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪:

(七)公然悔辱他人或者捏造事實(shí)誹謗他人:

(八)損害形象和利益:

(九)其他違反憲法和法律、

第十七條上網(wǎng)用戶不得從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)

(一)未經(jīng)允許,對(duì)自己或他人的計(jì)算機(jī)網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加;

(二)未經(jīng)允