网络信息安全管理新规制度.docxVIP

信息安全管理规范和操作指南 总则 为了确保企业网络系统安全，依据相关计算机、网络和信息安全相关法律、法规和安全要求，结合企业网络系统建设实际情况，特制订本要求。 各分支机构应据此制订具体安全管理要求。 本要求所指信息网络系统，是指由计算机（包含相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行信息采集、处理、存放和传输设备、技术、管理组合。 本要求适适用于企业所属各分支机构经过其它方法接入到企业网络系统单机和局域网系统。 信息网络系统安全含义是经过多种计算机、网络、密码技术和信息安全技术，在实现网络系统安全基础上，保护信息在传输、交换和存放过程中机密性、完整性和真实性。 物理安全 物理安全是指保护计算机网络设施和其它媒体免遭地震、水灾、火灾等环境事故和人为操作失误或错误，和计算机犯罪行为而造成破坏。 网络设备、设施应配置对应安全保障方法，包含防盗、防毁、防电磁干扰等，并定时或不定时地进行检验。 对关键网络设备配置专用电源或电源保护设备，确保其正常运行。 计算机物理安全管理 a.计算机指全部连接到企业网络系统个人计算机、工作站、服务器、网络打印机及多种终端设备； b.使用人员应珍惜计算机及和之相关网络连接设备（包含网卡、网线、集线器、路由器等），按要求操作，不得对其实施人为损坏； c.计算机使用人员不得私自更改网络设置，杜绝一切影响网络正常运行行为发生； d.网络中终端计算机在使用完成后应立即关闭计算机和电源； e.用户机使用人员不得利用计算机进行违法活动。 紧急情况 a.火灾发生：切断电源，快速报警，依据火情，选择正确灭火方法灭火； b.水灾发生：切断电源，快速汇报相关部门，尽可能地搞清水灾原因，采取关闭阀门、排水、堵漏、防洪等方法； c.地震发生：切断电源，避免引发短路和火灾； 网络系统安全管理 网络系统安全内涵包含四个方面： 机密性：确保信息不暴露给未授权实体或进程； 完整性：未经授权人不能修改数据，只有得到许可人才能修改数据，而且能够分辨出被篡改数据。 可用性：得到授权实体在正当范围内能够随时随地访问数据，网络攻击者不能阻碍网络资源正当使用。 可控性：能够控制授权范围内信息流向和行为方法。可审查性：一旦出现安全问题，网络系统能够提供调查依据和手段。接入Internet公共信息网关键信息网络系统须安装防火墙或其它安全设备。入网安全设备必需含有国家保密局、公安部、中国国家信息安全测评认证中心技术判定、销售许可和产品评测等资质，并符合国家相关要求。 网络安全检测。为使网络长久保持较高安全水平，网络管理员应该用网络安全检测工具对网络系统进行安全性分析，立即发觉并修正存在安全漏洞。网络管理员在系统检测完成后，应编写检测汇报，需具体记叙检测对象、手段、结果、提议和实施补救方法和安全策略。检测汇报存入系统档案。 网络反病毒。病毒危害性巨大，对系统和信息破坏程度含有不可测性，计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。 信息系统安全管理 信息安全是指经过多种计算机、网络和密码技术，保护信息在传输、交换和存放过程中机密性、完整性和真实性。具体包含以下多个方面。 a.信息处理和传输系统安全 系统管理员应对处理信息系统进行具体安全检验和定时维护，避免因为系统瓦解和损坏而对系统内存放、处理和传输信息造成破坏和损失。 b.信息内容安全 侧重于保护信息机密性、完整性和真实性。系统管理员应对所负责系统安全性进行评测，采取技术方法对所发觉漏洞进行补救，预防窃取、冒充信息等。 c.信息传输安全 要加强对信息审查，预防和控制非法、有害信息经过本企业信息网络系统传输，避免对国家利益、公共利益和个人利益造成损害。 包含商业机密文件必需采取RMS权限管理服务进行文件保护，以免外泄。 信息系统内部管理 各分支机构在向网络系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 依据情况，采取网络病毒监测、查毒、杀毒等技术方法，提升网络整体抗病毒能力； 各分支机构对本单位所负责信息必需作好备份； 各网站和栏目信息负责部门必需对所公布信息制订审查制度，对信息起源正当性，公布范围，信息栏目维护责任人等做出明确要求。信息公布后还要随时检验信息完整性、正当性；如发觉被删改，应立即汇报信息系统部； 包含商业秘密信息存放、传输等应指定专员负责，并严格根据国家相关保密法律、法规实施； 包含商业机密项目招标、投标标注等信息，未经所属单位安全主管责任人同意不得在网络上公布和明码传输； 个人计算机中涉密文件不可设置为共享，个人电子邮件收发要实施病毒查杀。 信息加密 a.包含商业秘密信息，其电子文档资料须加密存放； b.包含企业和部门利益敏感信息电子文档资料应该加密存放； c.包含社会安定敏感信息电子文档资料应该加密存放； d.包含企业秘密、