信息中心安全管理规范.docVIP

PAGE PAGE 2 信息中心安全管理规范 总则 为了信息网络的安全运行、网络数据资源的安全及信息中心服务器、计算机、网络设备及图书报刊等重要财产的安全，加强信息和技术中心的安全管理工作，信息和技术中心（信息部分）本着“结合工作实际、强化岗位责任、确保信息安全为主”的原则制定本部信息安全管理规范。 该规范的相关规定是根据信息部门的具体情况结合国家、省及集团的相关法规及规定制定的，如有矛盾以集团的相关法规及规定为准。 安全管理的内容 信息部门安全管理工作的主要内容包括：信息主机房设备及服务器的安全运行、信息网络系统的安全运行、图书、报刊阅览室的安全、设备安全及个人计算机的安全使用。 根据安全管理的内容及性质，信息安全管理工作分为：服务器、计算机及网络设备的物理安全管理；数据资源及软件系统安全管理；网络安全管理；图书、报刊的安全管理。 根据信息的具体情况，我们将信息的安全管理工作分为两极管理：一级重点安全管理区域包括：图书、报刊阅览室、主机房；二级安全管理区域包括各工作人员办公室。 安全管理制度 信息数据安全管理制度 禁止外来人员、闲杂人员进入机房重地，外来人员如需进入，应经中心领导同意。 严格执行口令分级管理制度，注意口令安全，严禁各岗位工作人员越权操作，由专人管理机器设备和系统口令，每三个月更换密码一次，并将系统口令封存后交部门主任备案。 禁止在系统服务器上安装游戏、使用非法盗版软件。 外来数据存储介质在与机房服务器数据交互前必须进行病毒查杀，并由系统管理人员来操作完成。 每周必须更新升级杀毒软件并对服务器扫描，及时发现病毒并予以清除。 在服务器上发现病毒以及遭到黑客攻击后，必须在清除的同时在8小时内向中心主任及技术部报告。 每天16小时需对图书管理系统、内部内容发布系统、网络图书阅览系统的数据库数据及日志记录进行备份，备份数据保存时间不得少于60天。 建立操作系统、数据库和应用系统的相关应用和端口的对应关系，关闭主机系统上与应用服务无关的端口。 安装新开发的应用系统时，如需要开发公司工程远程登入查找故障时，开放的账户只能给予满足要求的最小权限，并对远程登入时间、操作完成时间、操作事项进行记录，并及时关闭开放的用户。 未经部门负责人、中心领导同意、不得擅自安装、拆卸或改变网络设备及服务器设备，同时存储有保密及重要信息的存储设备的拆修需经部门负责人、中心领导同意。 在存储设备报废阶段，对于过期的保密信息（包括电子文档记录的信息），要及时、集中销毁；对于报废设备，处理时要销毁遗留在设备上涉及安全的信息。 信息部分网络及个人计算机安全制度 任何单位和个人未经中心主任和信息部负责人同意，不得擅自安装、拆卸或改变信息网络设备，不得安装任何外来软件及非法软件。 任何单位和个人不得利用本中心计算机从事危害网络及本地局域网服务器、工作站的活动，不得危害或侵入未授权的服务器、工作站。 除本部专职系统管理人员，其他单位或个人不得以任何方式进入本网络主、辅节点、服务器等设备进行修改、设置、删除等操作。 任何单位和个人不得以任何借口盗窃、破坏信息网络设施。 信息中心 内部网站与集团网站中的内容必须经中心负责人和部门负责人审核后，根据分级授权、分级管理的办法，按照谁发布，谁负责的原则来进行发布。 信息部的主、辅节点设备及服务器等发现计算机病毒、以及遭到黑客攻击后，必须及时通知系统维护人员处理同时向中心领导汇报，并在8小时内向技术部报告。 严禁在本网络中使用来历不明、引发病毒传染的软件；对于来历不明的可能引起计算机病毒的软件应使用集团技术部推荐的杀毒软件检查、杀毒。 任何单位和个人不得在本网络及其联网计算机上传送危害国家安全的信息(包括多媒体信息)及录、阅传送淫秽、色情、反动资料。 要严格执行技术部的网络IP管理制度，严禁擅自更改IP地址，影响网络安全。 杜绝网上炒股、网上聊天、计算机游戏，以及其它非正常使用网络，保持网络通道畅通。 信息部门主机房及阅览室防火、防盗安全制度 加强钥匙管理，严格控制钥匙借用，借用必须有登记，丢失须声明并记录。 工作人员离开工作场地必须关好窗户和锁好门。 工作人员应有高度的防火意识，禁止在机房及阅览室内吸烟或使用明火，禁止乱拉电线。 每天要对有关应用服务器、计算机、交换机、电源等设备安全运行情况进行不定期的巡视2次，做好有关记录，发现问题及时向部门、中心负责人汇报，并采取有效措施进行恢复。 每月进行一次电源开关、电气线路和接地装置的检查，进行绝缘和接地电阻的遥测，发现故障、老化、破损、绝缘不良等不安全因素，必须及时报修，并做好记录备案，消除安全隐患。 主机房及阅览室内禁止使用电炉、电热器等有明火的电器。 阅览室安全管理制度 工作人员必须提高警惕，加强责任心，搞好安全管理工作，做到六防（防火、防盗、