信息安全管理制度.pdfVIP

信息安全管理制度

一、加强安全教育管理，提高所有工作人员安全保密意

识

1.从事计算机网络信息活动时，必须遵守《中华人民共

和国计算机信息系统安全保护条例》的规定，应严格遵守国

家法律、法规，加强信息安全教育，增强个人安全意识。

2.通过正式的信息安全培训，以及网站、简报、会议、

讲座等各种形式的信息安全教育活动，不断加强工作人员的

信息安全意识，提高信息安全技能。每年组织2次全员信息

安全管理制度宣传，安全制度张贴在办公场所明显位置。

二、建立安全保密工作规则，保证所有存在安全风险和

涉密的工作尊章进行

1.建立电脑设备及系统权限管理台账，明确记录电脑使

用者及系统用户权限。按照“仅知”原则，通过功能和技术

配置，对重要信息系统、数据等实施访问控制。

2.所有涉及保密或隐私数据的工作人员都要签订保密

协议，根据工作人员工作职责，确定数据信息查看和使用范

围，规定数据信息使用规范，明确泄密风险内容及所负法律

责任。

3.通过操作记录、数据审计日志、工作痕迹保留等技术

手段，建立责任倒查追究机制，对于非工作原因进行的数据

查询、超出权限职责的业务办理及不合规的业务办理进行数

1

据核查。以上各项记录专项保存、备份，设置为最高等级访

问权限，并定期由专人进行历史记录审计，发现问题及时追

究。

三、加强信息安全日常管理，形成符合安全制度要求的

工作行为习惯

1.工作人员须执行密码管理规定，密码应同时包含大小

写字母、数字和符号，并对相关密码进行定期更改。任何密

码不得外泄，如有因密码外泄而造成的损失，由当事人全部

责任。

2.工作电脑不允许交叉连接工作内网与互联网,离开工

位须锁定计算机，下班须退出信息系统并关闭个人电脑。

3.工作人员对所用电脑应在每周进行一次进行杀毒以

及杀毒软件的升级,每月进行一次系统安全补丁安装。

4.不允许随意使用外来U盘，不得不使用的情况下，应

先进行病毒扫描。

5.敏感信息和相关文件不得通过微信、QQ等互联网即

时通讯软件传递，不得通过互联网邮箱发送。

6.设立信息系统代码安全质检员，对各信息系统从代码

层级进行安全检查，最大程度避免系统漏洞带来的安全风险。

7.严格数据修改工作流程，所有数据修改都需要根据数

据修改任务单进行。

四、加强运维工作管理，做好信息系统安全运维保障

2

1.每日定时进行系统巡检，对人工巡检维护记录和系统

管理工具监测记录进行汇总记录，包括运行情况、报警情况、

故障情况、故障处理等。

2.对系统异常和系统故障的时间、现象、应急处理方法

及结果作详细的记录，填写《系统维护和应急处理记录》。

3.严格病毒防护，对防病毒产品上截获的信息进行分析

处理，包括恶意代码的特征、危害方式、危害后果和处理措

施。

4.定期按照数据备份策略，分别采用自动和人工方式对

数据库进行备份。

5.在软件系统中维护过程中严格遵守信息安全保密制

度。

五、细化系统权限管理，确保工作职责与系统权限严格

匹配

1.业务办理权限：主要是所有业务办理人员，账号的开

通和权限的分配由各业务科室负责人申请，信息科进行账号

添加与权限配置。工作人员转岗或离职，业务科室负责人应

及时申请账号注销。

2.后台管理权限：各系统的后台管理由信息科负责，信

息科可以根据工作需要指定多名工作人员分别进行权限管

理。

3.从业单位权限：主要是指各业务信息终端使用人员的

3

权限管理，该权限由终端接入单位申请，业务责任科室审核，

信息科进行账号添加与权限配置。

4.数据维护权限：严格数据库访问控制，确因工作需要，

工作人员可以根据工作内容临时申请操作数据库。数据库访

问权限由数据操作人员申请，所在部门负责人审批通过后，

由信息科专人进行授权操作。工作任务完成后，及时进行账

号注销或锁定。数据库权限从表名和操作类型两个角度细化

配置，确保将权限