2024年信息系统安全管理制度.docx

信息系统安全管理制度

第一章总则

第一条為保证企业计算机网络可以安全可靠的运行,防止系统及数据被非法运用或破坏,充足发挥其在生产、经营办公和信息服务方面的重要作用,更好的為员工提供服务特制定本措施。

第二条本制度波及的信息系统,是指由计算机及其有关的配套的设备、设施(含网络)构成的,按照一定的应用目的和规则对信息进行采集、加工、存储、传播、检索等处理的计算机系统;本制度所指的计算机软件是指在我企业内部使用的计算机应用软件,合用于企业范围内的计算机系统。

第二章组织机构和职责

第三条成立企业信息安全小组,由企业领导、办公室,各有关部门、计算机维护人员构成,指定企业信息系统安全员和各系统管理员。

第四条企业重要领导是企业信息系统管理和网络安全的第一负责人,信息安全小组负责企业计算机应用系统和网络安全的全面管理和运行维护。

第五条计算机系统管理员负责企业内部信息系统及计算机网络安全的管理和维护工作,為企业内部网络的安全运行提供技术保障。

第六条信息安全员负责对企业信息化有关的各项申請记录进行复核,审查顾客帐号使用状况和权限分派与否合理,对企业重要信息进行安全分级,定期复查系统管理员填制的各项检查记录。

第七条企业的所有计算机及外围设备是企业的固定资产按照谁使用谁负责的原则,贯彻负责人,使用部门為责任部门,负责保管配置的信息化资产的完好,保证良好的使用环境,并建立资产台账。

笫三章系统安全管理

一、账号管理

第八条应用系统、操作系统、数据厍(如下简称“各系统”）的顾客名均应当专人专用,用以识别不一样的顾客和账号,以保证可溯源和可追踪性。

第九条各系统的管理员账号需进行有效的保护,经企业信息安全小组审核后,由信息系统安全员分派管理员访问权限給系统管理员。

第十条各系统均需要设置充足的顾客密码安全方略,包括：

1、设定密码最小長度不得低于八位；

2、密码一定由数字、字母和符号共同构成；

3、设置密码过期期限,定期更改密码；

4、设置密码锁定前登录失败次数等安全方略。

第十一条各信息系统自带的默认账号和密码必须在系统初次使用時进行修改,密码由系统管理员保管。

第十二条企业信息系统的访问和应用只限于通过企业内网进行,如因特殊状况需要通过外网访间信息系统的,报信息安全小组同意并由自动化所投权同意后方可进行。

第十三条保全处每六个月组织有关业务员部门对信息系统账号进行复核,将信息系统的顾客及其权限清单提交給业务部门负责人,确认并审核权限的合理性,通过查看系统曰志,检

查不合适账号和权限的使用状况,对违规使用状况进行通报并立既整改。

第十四条需新增或调整账户权限的顾客,由使用部门提出申請,并填写有关岗位权限调整申請表,经信息安全小组审核同意后,由系统管理员调整顾客账号及对应权限。

二、防病毒管理

第十五条企业信息安全小组负责防病毒软件的布署与配置，顾客与信息设备负责人负责所用计算机系统及数据的基本防护。

第十六条所有接入企业网络的计算机都必须安装防病毒软件;外来计算机要接入企业网络必须装有防病毒软件和最新的病毒库和查杀引擎,报经信息安全小组负责人同意后,由系统管理员检查该计算机,符合规定后由系统管理员為该计算机设置网络连接。

第十七条企业计算机的防病毒软件的实時监控要默认打开,不得私自关闭。

第十八条企业计算机的防病毒软件和病毒库要通过一定的技术手段(例如給杀毒软件增長防护密码等)进行保护,防止顾客误删或未经授权强制删除或禁用防病毒程序。

第十九条信息安全小组负责指导和培训顾客的防病毒知识提高顾客的防病毒意识。

第二十条系统管理员要定期检查并提醒顾客升级最新的操作系统补丁。

三、数据管理

第二十一条各部门要对本部门重要信息进行安全分级,对不一样的数据文献采用不一样的保密措施防止泄密。

第二十二条系统管理员对新公布的系统补丁程序进行风险评估,判断补丁程序也許会对各系统带来的影响,必要状况下应在测试环境下进行测试,填写《补丁程序测试记录》,并集中汇报給信息安全小组进行审核。经测试无误后方可在生产系记录算机中更新补丁程序。(見附件二《补丁程序测试记录》)

第二十三条信息安全员每周检查上一周由系统管理员检查的各项记录,并对所检查项目进行复核,填写各类记录单。

第二十四条DCS负责企业所属医疗信息化设备软件和数据的备份,每月对控制系统软件及数据进行一次异地备份,每月对代码数据进行一次异地备份，负责对业务数据进行备份,所有备份应刻录成光盘,由信息安全员保管。

第四章网络与设备管理

第二十五条系统管理员定期检查防火墙、服务器及各网络设备监控曰志,若发現异常,及時上报和详细记录并跟踪处理;分析、检查和跟进成果均记录在《曰志综合检查表》中，信息安全员负责