信息系统管理制度信息安全管理.docxVIP

信息系统管理制度（4）为了规范公司IT 各项工作，提高IT 系统的可靠性，提高IT 系统的总体服务水平，并使得相关工作具有持续改善性及相互协作性，特制定统一的IT 网络、软件安全标准，统一的系统管理维护流程以及信息安全管理的目的与责任等。根据公司计算机应用的需要，由IT 部制定本管理制度，并负责本管理制度的具体执行。四、信息安全管理：A、目的制定信息安全制度的目的是：确保广东东创公司的网络系统运行在一种合理的安全状态下，同时不影响公司员工使用网络。具体目标包括：保障数据安全和系统安全。1、数据安全1.1 防止未经授权修改数据；1.2 防止未经发觉的遗漏或重复数据；1.3 防止未经授权泄露数据；1.4 确保数据发送者的身份正确无误；1.5 确保数据接收者的身份正确无误；1.6 数据的发送者、接收者以及数据的交换仅对发送者与接收者是可见的；1.7 在取得明确的可访问系统的授权后，才能与该系统通信。2、系统安全2.1 防止未经授权或越权使用系统；2.2 控制网络流量，防止过量的访问使系统资源过载导致的系统崩溃。内部网络流量超负荷，保障网络安全。B、适用范围信息安全制度适用于：1、任何与广东东创公司网络设备相连的IP 网络，所有连接到上述网络上的设备；2、任何广东东创公司所属数据传输经过的网络，所有上述网络上传输的数据；3、对数据进行管理的人员，如果要将新的设备增加到广东东创公司的网络中，适用于该项目的负责人；4、所有连接到公司网络中的设备，以及广东东创公司职员在该网络中使用的任何设备；C、责任在信息安全制度的涉及范围内，每个部门的信息安全由部门负责人或由其指定专人来负责。D、内容1、内部人员的攻击，包括有意和无意两种。主要表现为：1.1 保密观念不强，或不懂遵守保密守则，随便泄漏机密；打印复制机密文件；随便打印出系统保密文件或向无关人员泄露有关机密信息；1.2 由于业务不熟练、操作失误，导致文件丢失或者误发，或因未遵守操作规则而造成泄密；1.3 因规章制度不健全造成人为泄露事故，如对机密文件管理不善，各种文件存放混乱，违章操作等造成不良后果；1.4 素质差，缺乏责任心，没有良好的工作态度，明知故犯，或有意破坏网络系统和设备；1.5 利用窃取系统的磁盘、磁带或纸带等记录载体或利用被废弃的打印文件、复写纸来窃取系统用户信息；1.6 通过非法窃取他人的用户名和口令来进入他人的计算机，拷贝文件或进行破坏；1.7 使用带有病毒的外来介质，带毒的磁盘、存储设备；1.8 浏览具有恶意代码的互联网网页。2、外部人员的攻击或非法访问2.1 外来设备企图联入本企业的局域网；2.2 通过物理连接试图窃取管理员身份、或窃取重要文件；2.3 通过发送病毒邮件、蠕虫攻击；2.4 外部人员非法在本企业局域网中安装、使用木马、嗅探器等程序。3、技术故障所带来的威胁。通常指突发事故3.1 由于硬件原因造成系统的故障；3.2 人为删除系统重要文件：BOOT.INI、NTDETECT.COM、NTLDR.SYS、IO.SYS、MSDOS.SYS、C:\WINNT 或C:\WINDOWS 目录及其中的文件等；3.3 新软件、硬件的不当安装引起系统无法正常使用；3.4 内部人员擅自使用其他软件或更改网络配置(如IP 地址)导致服务器不能正常工作；3.5 由于不可抗拒的因素导致硬件损坏。4、数据的意外丢失4.1 由于硬件的损坏导致数据丢失；4.2 由于系统的不稳定导致数据丢失；4.3 电力系统故障造成的数据丢失；E、解决方案1、软件资源的安全和管理方案主要规范软盘、光盘、移动存储设备使用、网络下载、使用外网邮件、软件安装和使用过程中病毒的预防及使用控制。2、数据资源的安全和管理方案数据存储的安全管理2.1 存放有业务数据或程序的磁盘、磁带或光盘，应视同文字记录妥善保管。必须注意防磁、防潮、防火、防盗，必须垂直放置；2.2 对硬盘上的数据，要根据安全分级建立有效的权限，并严格管理，对于内部访问级和机密级的数据要进行严格的NTFS 权限设置和必要的加密，以确保硬盘数据的安全；2.3 存放有业务数据或程序的磁盘、磁带或光盘，管理必须落实到人，并分类建立登记薄，记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等；2.4 对存放有重要数据的磁盘、磁带、光盘，至少要备份两份并分两处妥善保管；2.5 日常工作数据不存放于引导分区及操作系统所在的磁盘分区（如：我的文档、桌面、C 盘）；2.6 打印有业务数据的打印纸，要视同档案进行管理；2.7 凡超过数据保存期磁盘、磁带、光盘，必须经过特殊的数据清除处理，否则不能视同空白磁盘、磁带、光盘；2.8 凡不能正常记录数据的磁盘、磁带、光盘，须经测试确认后由IT 部进行销毁，并做好登记；2.9 对需要长期保存的有效数据，应在磁盘、磁带、光