2014等级保护全套制度65.docVIP

PAGE / NUMPAGES 封 面 作者：ZHANGJIAN 仅供个人学习，勿做商业用途 附件1： 《XXXXXXXXXX信息安全管理制度》 《XXXXXXXXXX计算机网络信息安全保密制度》 《XXXXXXXXXX用户密码安全保密管理规定》 《XXXXXXXXXX电子文件保密管理规定》 《XXXXXXXXXX涉密计算机系统病毒防治管理规定》 《XXXXXXXXXX数字复印机多功能一体机保密管理规定》 《XXXXXXXXXX计算机信息发布、传递保密管理制度》 《XXXXXXXXXX互联网发布信息保密管理制度》 《XXXXXXXXXX计算机维修、更换及报废保密管理规定》 《XXXXXXXXXX移动存储介质管理制度》 《XXXXXXXXXX计算机保密管理制度》 《XXXXXXXXXX网络管理办法》 《XXXXXXXXXX系统数据备份与恢复管理制度》 《XXXXXXXXXX网络信息安全应急预案》 《XXXXXXXXXX机房安全管理制度》 《XXXXXXXXXX信息化安全管理办法》 《XXXXXXXXXX信息系统变更管理制度》 《XXXXXXXXXX信息安全事件报告和处置管理制度》 《XXXXXXXXXX信息安全系统安全建设工作计划》 信息安全管理制度 近年来， 随着计算机技术和信息技术的飞速发展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设，如何进行信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。资料个人收集整理，勿做商业用途 一、前言：企业的信息及其安全隐患。 在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面：资料个人收集整理，勿做商业用途 A服务器信息。主要存在于信管部。 B 密码信息。存在于各部门所有员工。 针对以上涉及到安全的信息，在企业中存在如下风险： 1 来自企业外的风险 ①病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。资料个人收集整理，勿做商业用途 ②不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、工程部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。资料个人收集整理，勿做商业用途 2、来自企业内的风险 ① 文件的传输风险。若有员工将公司重要文件以QQ、MSN发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。资料个人收集整理，勿做商业用途 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文 件和重要资料带走，会造成企业信息的外泄。 ④ 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司，可能会泄露企业机 密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。 ⑤ 上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。资料个人收集整理，勿做商业用途 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握， 可能会窃取此用户权限内的信息资料和业务数据；若管理员的密