信息安全管理制度 投标方案（技术方案）.docx

1

信息安全管理制度投标方案

目录

第一章信息安全管理制度 2

1.1.操作员安全管理制度 4

1.2.账号的设置与管理 5

1.3.密码与权限安全管理制度 6

1.4.数据信息安全管理制度 8

1.5.独立域控服务器 10

第二章网络传输安全管理制度 13

2.1.网络安全 15

2.2.应用安全 16

2.3.系统漏洞扫描与安全加固 17

第三章信息存储安全管理 30

3.1.数据存储 30

3.2.数据备份 31

3.3.终端隔离措施说明 32

3.4.数据防泄漏措施 33

3.5.建立文件保密制度 34

3.6.弥补系统漏洞 36

3.7.密切监管重点岗位的核心数据 37

2

第一章信息安全管理制度

为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规

定和要求，结合公司实际，制定本制度。

信息安全管理，是指数据(包括但不限于委案信息，日常邮件，查询资料，财务等信息)使用过程中传输、运行、

维护、废止等操作安全的系列管理活动。

第一条、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、

易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

第二条、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。

计算机设备送外维修，须经有关部门负责人批准。

第三条、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报

告，不允许私自处理或找非本单位技术人员进行维修及操作。

第四条、未经批准禁止携带非公司电子设备进入公司生产区域(包括个人电脑、手机、相机、U盘、移动硬盘、光

碟等带入公司，以防止公司网络感染病毒及数据外泄。公司

3

设备需由专人管理并定期盘点。

第五条、员工不得在互联网上以任何形式张贴涉及公司的保密或者敏感信息，如发现，公司保留追究其法律责任的

权利。

第六条、员工在工作过程中未经批准不能通过个人电话、

微信、QQ等通讯工具进行催收及联系客户。

第七条、公司内部设立信息安全专项小组，各部门选举安全专员负责监督、落实安全制度，定期开展安全培训加强

员工信息安全意识。

4

1.1.操作员安全管理制度

1、操作账号是进入各类应用系统进行业务操作、分级对数据存取进行控制的唯一凭证。账号等级分为系统管理员

账号、二级管理员账号及普通用户账号。

2、系统管理员账号授权二级管理员账号相应管理权限，二级管理员根据普通用户岗位需求不同授予相应的技能权

限组。

3、系统管理员账号必须经过经营管理者授权取得；

4、系统管理员负责各项应用系统的环境生成、维护，

负责一般账号的生成和维护，负责故障恢复等管理及维护；

5、系统管理员对业务系统进行数据整理、故障恢复等

操作，必须有其上级授权；

6、系统管理员不得使用他人密码进行业务操作；

7、系统管理员及二级管理员调离岗位，上级管理员(或

相关负责人)应及时注销其账号并生产新的系统管理员账号。

5

1.2.账号的设置与管理

1、普通用户账号由系统管理员根据各类应用系统操作

要求生成，应按每用户一账号设置。

2、所有用户不得使用其他用户账号进行业务操作。

3、用户调离岗位，系统管理员应及时注销其使用账号

或更改到新岗位对于技能权限组。

6

1.3.密码与权限安全管理制度

1、密码设置应具有安全性、保密性，不能使用简单的数字。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码，密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺

序、规律数字等容易猜测的数字和字符串；

2、管理员密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿

记录用户名、修改时间、修改人等内容。

3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记(暂时放在经理办公室的保管箱中)。如遇特殊情况需要启用封存的密码，必须经过经理同意