信息系統(tǒng)數(shù)據(jù)管制制度1

1、信息系統(tǒng)數(shù)據(jù)管理制度1公司信息系統(tǒng)數(shù)據(jù)管理制度第一條為防止數(shù)據(jù)的非法生成、變更、泄漏、丟失與被破壞, 確保數(shù)據(jù)的有據(jù)性、準確性、完整性、及時性、保密性，特制訂 本制度。第二條數(shù)據(jù)管理范圍包括所有利用計算機進行輸入、存儲、 處理、再加工及輸出的數(shù)據(jù)，它包括文字材料、報表、各類原始 憑證、圖形、圖像等輸入處理對象，又包括存儲于計算機內(nèi)部及 傳輸?shù)母黝悢?shù)據(jù)，還包括計算機輸出的磁存儲、光存儲、電存儲 及各類打印數(shù)據(jù)。第三條數(shù)據(jù)必須是有據(jù)的，能夠辨認數(shù)據(jù)的內(nèi)容、用途和使 用方法；必須經(jīng)過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和 傳播數(shù)據(jù)；數(shù)據(jù)應只用于明確規(guī)定的目的，未經(jīng)批準不得它用； 采用的數(shù)據(jù)范圍應與

2、規(guī)定用途相符。第四條數(shù)據(jù)管理者應承擔保存或處理數(shù)據(jù)的保護職責，防止 數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應采用多種記錄手 段異地保存，免遭意外風險。第五條數(shù)據(jù)使用者有權(quán)查閱被授權(quán)的數(shù)據(jù)，索取數(shù)據(jù)記錄復 制件，更正有關(guān)自身的任何不準確數(shù)據(jù)；享受有限次數(shù)規(guī)定的有 問必答權(quán)利。第六條根據(jù)使用的不同系統(tǒng)制訂相應的數(shù)據(jù)存取細則，采取 措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。第七條無正當理由和有關(guān)批準手續(xù)，不得通報數(shù)據(jù)內(nèi)容，不 得泄漏數(shù)據(jù)給內(nèi)部或外部的無關(guān)人員，不得篡改數(shù)據(jù)庫數(shù)據(jù)內(nèi) 容，必要修改時，應經(jīng)由部門主管及公司分管領(lǐng)導審批，提交數(shù) 據(jù)管理部門，經(jīng)管理部門領(lǐng)導審批同意后由

3、數(shù)據(jù)管理員進行修 改。第八條不應造成可從發(fā)布的統(tǒng)計數(shù)據(jù)屮推斷出保密或敏感 的信息。第九條不同數(shù)據(jù)用途建立適當?shù)谋O(jiān)督、管理機制，保證與數(shù) 據(jù)有關(guān)的個體和數(shù)據(jù)管理者的合法權(quán)益不被侵犯。第十條有新系統(tǒng)上線或升級時，數(shù)據(jù)管理部門應當切實做好 上線或升級前的各項準備工作，應查驗設備廠商或軟件開發(fā)商或 開發(fā)人員提交的有關(guān)運行維護資料，并負責監(jiān)督設備廠商或軟件 開發(fā)商提供對相關(guān)崗位人員的技術(shù)培訓。制定科學的上線計劃和 新舊系統(tǒng)數(shù)據(jù)切換方案，考慮應急預案，確保新舊系統(tǒng)順利切換 和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還應由設備廠商或軟件 開發(fā)商制定詳細的數(shù)據(jù)遷移計劃并經(jīng)由數(shù)據(jù)管理部門及分管領(lǐng) 導審批同意后執(zhí)行。第

4、十一條信息系統(tǒng)屮的信息應該根據(jù)其重要性、密級、應用 需求等分別實施相應的加密措施，未經(jīng)流程及領(lǐng)導許可，保密信 息不得以明文形式存儲和傳送。由信息所有者根據(jù)信息的重要 性、密級規(guī)定及用途，決定操作人員的存取權(quán)限和存取方式。所 有的統(tǒng)計信息應根據(jù)其重要程度進行密級劃分，并制訂相應的管 理辦法，確定允許對外發(fā)布和交流的信息指標、報批權(quán)限和手續(xù)。(1) 備份的數(shù)據(jù)、打印出的數(shù)據(jù)應在指定的數(shù)據(jù)保管室或 指定的場所保管，并指定專人負責保管(2) 數(shù)據(jù)保管員必須用文件管理等方法，對數(shù)據(jù)進行登記 管理。(3) 未經(jīng)流程及領(lǐng)導許可，禁止數(shù)據(jù)的外借，內(nèi)部無權(quán)查 閱和無正式批文的人員不得查閱。對于經(jīng)正式批文借出的數(shù)

5、據(jù)必 須登記，并由經(jīng)手人簽字，便于發(fā)生數(shù)據(jù)泄漏時分清責任人。(4) 未經(jīng)流程及領(lǐng)導許可，數(shù)據(jù)保管員不得修改所保管的 任何數(shù)據(jù)。(5) 電腦操作人員要定期清理服務器屮的數(shù)據(jù)，將過期的、 作廢的數(shù)據(jù)全部清除，每天作廢的打印數(shù)據(jù)必須銷毀。(6) 數(shù)據(jù)是公司的重要資料，必須按嚴格地制度進行數(shù)據(jù) 備份。(7)每天將所有數(shù)據(jù)備份到專門用于備份的工作站硬盤上 和備份服務器上。(8)每周，將備份在工作站上的所有歷史數(shù)據(jù)刻錄在只讀 光碟上保存，備份數(shù)據(jù)一式三份，并用統(tǒng)一格式的標簽和目錄清 單。并必須異地存放。(9)公司總部及其分支機構(gòu)必須進行交易數(shù)據(jù)的多重備份。 備份數(shù)據(jù)應異地存放并送交一份至公司財務部門保管。

6、送交至公 司財務部門保管的備份必須采用只讀介質(zhì)。（10）數(shù)據(jù)備份及歷史數(shù)據(jù)的存放應保證防火、防熱、防塵、 防潮及防磁。磁記錄介質(zhì)應存放于距鋼筋房柱或類似結(jié)構(gòu)物十厘 米以外處，以防雷電經(jīng)鋼筋傳播時產(chǎn)生的磁場破壞所存數(shù)據(jù)。（11）未經(jīng)流程及領(lǐng)導許可，嚴禁修改歷史數(shù)據(jù)。（12）當軟件更換或版本大的升級后，應做好原系統(tǒng)完整的 程序和數(shù)據(jù)的備份，并寫出詳細的文檔資料，記載超級管理員的 操作號以及密碼。信息系統(tǒng)網(wǎng)絡安全風險與管理，網(wǎng)絡安全技術(shù)與應用,網(wǎng)絡安全技術(shù)與應用:王春鳳【摘要】隨著我國經(jīng)濟和技術(shù)的飛速發(fā)展，我國互聯(lián)網(wǎng)得到 了廣泛的應用，不管是個人還是企業(yè)對互聯(lián)網(wǎng)技術(shù)都產(chǎn)生了不同 的依賴性，信息系統(tǒng)是

7、組織的重要戰(zhàn)略資源，做好信息系統(tǒng)網(wǎng)絡 安全工作是首要任務。如果信息系統(tǒng)受到破壞，那么信息就會流 失，這不僅對我國和企業(yè)造成傷害，還會造成很大的損失。因此, 加強信息系統(tǒng)網(wǎng)絡安全管理工作十分重要。本文對目前信息系統(tǒng) 網(wǎng)絡安全管理的現(xiàn)狀以及風險進行分析，并對風險進行提出相關(guān) 的管理措施?！娟P(guān)鍵詞】信息系統(tǒng)；網(wǎng)絡安全；風險；問題；管理一、信息系統(tǒng)網(wǎng)絡安全問題現(xiàn)狀分析根據(jù)目前的情形，信息系統(tǒng)網(wǎng)絡安全問題面臨著很嚴重的挑 戰(zhàn)，其安全問題方面不容樂觀。信息系統(tǒng)是一個龐大復雜的大系 統(tǒng)，一般由多種軟件、接口、硬盤等等組件構(gòu)成，由于技術(shù)和設 計上存在不完善性，大量的漏洞和缺陷隨Z而來，這些弱點構(gòu)成 了信息系統(tǒng)

8、的脆弱性。信息系統(tǒng)網(wǎng)絡安全問題主要來自兩大方 面：首先是人們技術(shù)能力和創(chuàng)造能力的局限性，使得信息系統(tǒng)在 網(wǎng)絡上存在本身的弱點；其次是社會現(xiàn)實引起的爭斗，商業(yè)競爭、 個人報復等等犯罪行為從信息系統(tǒng)的弱點進行入手，來對信息系 統(tǒng)網(wǎng)絡進行攻擊。信息系統(tǒng)在不斷的更新和完善，這是一個無止境的過程，縱 觀計算機與網(wǎng)絡技術(shù)的發(fā)展，每一項新技術(shù)的推出，都會有隨Z 而來的被“破解”，它的脆弱性會很快被顯現(xiàn)出來，然后就是不斷 的進行完善。同樣，信息系統(tǒng)也如此，設計者在設計和工程上存 在錯誤或失誤導致信息系統(tǒng)存在一定的缺陷，根據(jù)IBM研究人 員的統(tǒng)計結(jié)果顯示：計算機操作系統(tǒng)、數(shù)據(jù)庫都是由幾萬行、幾 十萬行程序代碼所

9、編寫而成，平均一千行代碼屮就可能存在一個 錯誤，那么，信息系統(tǒng)在互聯(lián)網(wǎng)上的應用朝著互聯(lián)互通的一體化 方向發(fā)展，技術(shù)要求越高，其復雜性就越來越大，同時，導致其 網(wǎng)絡安全的脆弱性因素就越來越多。病毒是互聯(lián)網(wǎng)屮普遍的存在，還有一種特殊的存在-照客， 黑客作為擁有主觀能動性的存在，是信息空間屮一種特殊文化現(xiàn) 象的產(chǎn)生，他伴隨著信息系統(tǒng)的發(fā)展而存在，并也隨著信息系統(tǒng) 的技術(shù)提高而提高，黑客扮演著陰暗面的角色，對全球信息系統(tǒng) 的惡意攻擊呈現(xiàn)著愈演愈烈的趨勢。隨著網(wǎng)絡技術(shù)的發(fā)展，病毒 和照客的攻擊也在不斷的發(fā)展進步，黑客的攻擊方法也在發(fā)生變 化，不僅是黑客本身利用IP地址來欺騙，利用程序代碼、分析 源代碼或

10、者發(fā)掘應用程序的缺陷來攻擊，而且還有黑客技術(shù)和病 毒傳播相結(jié)合的方式。如上所述，信心系統(tǒng)網(wǎng)絡安全的問題的現(xiàn) 狀一直都存在，技術(shù)人員在不斷的創(chuàng)新，同時也在不斷的與網(wǎng)絡 上的安全問題、陰暗面在做斗爭，修補脆弱的一面，致力于提高 信息系統(tǒng)網(wǎng)絡安全。二、信息系統(tǒng)網(wǎng)絡安全風險分析(1) 盜取和截獲信息系統(tǒng)網(wǎng)絡屮的信息。如果信息系統(tǒng)本 身的防火墻和安全措施、加密措施的強度不夠，攻擊者會通過互 聯(lián)網(wǎng)、電話線、電磁波輻射范圉內(nèi)所安裝的裝置、路由器上等可 以利用的裝置來截獲傳輸中的數(shù)據(jù)信息；更有甚者通過對信息流 量數(shù)據(jù)、通信次數(shù)的分析，來套取信息系統(tǒng)屮的信息。因此，應 運用加密技術(shù)對信息系統(tǒng)網(wǎng)絡來進行加密處理以

11、保證其機密性。(2) 篡改和假冒信息系統(tǒng)網(wǎng)絡屮的信息。當攻擊者破解了 信息系統(tǒng)的程序，熟悉了信息系統(tǒng)的網(wǎng)絡信息內(nèi)容格式后，很有 可能會利用技術(shù)和手段在信息系統(tǒng)傳輸信息的過程屮，入侵其中 并篡改信息內(nèi)容，從而破壞信息的真實性和完整性。所以，要預 防信息系統(tǒng)網(wǎng)絡中的隨意修改、生成、刪除情況。信息系統(tǒng)網(wǎng)絡 屮還會出現(xiàn)假冒的信息，攻擊者摸索到信息系統(tǒng)網(wǎng)絡中數(shù)據(jù)規(guī)律 或解密了機密信息后，可以假冒合法用戶去發(fā)送假冒信息去欺騙 用戶，在公司屮也可假冒領(lǐng)導發(fā)號施令，調(diào)閱機密文件等等。(3) 信息有效性得不到保障?；ヂ?lián)網(wǎng)應用的發(fā)展，信息化 社會隨Z到來，電了設備的信息傳遞，其有效性是值得關(guān)注的問 題。由電了商務

12、作為領(lǐng)軍，以電了化形式取代了紙張形式的信息 傳遞方式，其信息的有效性是開展業(yè)務的前提。信息系統(tǒng)屮信息 的有效性關(guān)系到企業(yè)、個人甚至國家，因此，對網(wǎng)絡故障、應用 程序代碼、系統(tǒng)硬件、軟件、病毒等潛在威脅加以預防和控制， 以保證信息系統(tǒng)網(wǎng)絡傳遞的信息是有效的，正確的。以上三點是信息系統(tǒng)網(wǎng)絡安全的風險分析，風險的存在不是 一步就可以解決的問題，分析出了哪些方面存在風險，才可以更 好的預防和控制。三、信息系統(tǒng)網(wǎng)絡風險管理的目的信息系統(tǒng)網(wǎng)絡的安全是人類面臨的新問題，它普遍的存在人 們的日常生活屮，信息系統(tǒng)的復雜性和安全問題的突發(fā)性、不確 定性使得安全問題的解決面臨困難，沒有完善的全面防范，防范 的重點難

13、以確定，具有高突發(fā)性的信息安全問題。積極尋求解決 方法和手段是進行治理信息系統(tǒng)網(wǎng)絡安全的務實選擇。在尋求解 決方法、有效對策時，防范不足信息安全會失效；全面防范會造 成財力、人力、物力的浪費，或是信息系統(tǒng)網(wǎng)絡的可用性下降。 因此，信息系統(tǒng)風險管理是要盡可能的安全卻又不能太過于安全 的，要從經(jīng)濟、技術(shù)的可行性上來有效的進行管理。進入互聯(lián)網(wǎng)時代以后，信息網(wǎng)絡安全威脅不斷增加，也在不 斷的迫使人們重新考慮合適的安全模式，信息系統(tǒng)網(wǎng)絡安全觀念 是人們探索的新產(chǎn)物。信息安全問題也從過去單純的應對威脅拓 展到既要應對威脅，又要面對挑戰(zhàn)。在當今復雜的信息系統(tǒng)環(huán)境 下，風險總是存在的，無論你采取多么完美的信息

14、系統(tǒng)安全手段, 都難以徹底消除安全問題的威脅。對信息系統(tǒng)網(wǎng)絡進行風險管 理，可以將攻擊和破壞產(chǎn)生后果的程度限制在可承受范圍內(nèi)，風 險管理是對信息系統(tǒng)的一個動態(tài)管理，是一個連續(xù)的過程，即在 特定的安全方案下將風險降到最低以致于可以接受的過程，并非 完全的消滅風險。風險可以不被一舉消除，但是必須要控制在可 接受范圍內(nèi)，有了對風險的管理，人們就不在被動的受威脅，完 全可以在主動、防患于未然的常態(tài)下出擊，從而使信息系統(tǒng)網(wǎng)絡 得到安全的保障。信息系統(tǒng)網(wǎng)絡的風險管理信息安全的新模式， 如果運用好風險管理的手段，將會對信息系統(tǒng)起到很好的保障的 作用。四、信息系統(tǒng)網(wǎng)絡安全管理方法(1)增強安全防護體系。每一項

15、信息系統(tǒng)都會有相應的安 全防護體系，但是安全防護體系的脆弱性是網(wǎng)絡攻擊者的目標， 現(xiàn)在的網(wǎng)絡安全已不再是一個簡單的概念，它與國家、企業(yè)、個 人Z間緊密相關(guān)，例如對于企業(yè)信息系統(tǒng)網(wǎng)絡安全而言，安全問 題涉及到多層數(shù)據(jù)信息，幾乎覆蓋了企業(yè)信息的通信平臺、網(wǎng)絡 平臺、應用平臺等系統(tǒng)單元，是企業(yè)網(wǎng)絡至關(guān)重要的核心部分。 增強安全防護體系不僅僅是常人眼中的防火墻，還需要更全面的 防護體系，來提供安全的服務。（2）樹立信息安全管理意識。現(xiàn)今信息系統(tǒng)的網(wǎng)絡安全的 使用者還是以電了商務的銀行、證券、電信等為主，中小企業(yè)也 隨Z使用，對網(wǎng)絡安全的問題也R益重視。信息系統(tǒng)網(wǎng)絡根據(jù)互 聯(lián)網(wǎng)的特點，是信息在人與人Z間的支配，在造成信息破壞的因 素中，認為失誤的破壞率遠遠大于技術(shù)失誤，所以要提高信息安 全的管理意識，三分靠技術(shù)，七分靠管理，安