煤礦安全系統(tǒng)信息化管理系統(tǒng)規(guī)章制度

實(shí)用準(zhǔn)格爾旗昶旭煤炭有限責(zé)任公司煤礦安全信息化管理制度第一章 總則第一條為規(guī)范信息化安全管理工作，確保煤礦信息系統(tǒng)與網(wǎng)絡(luò)資源在可控范圍內(nèi)安全穩(wěn)定的運(yùn)行，保護(hù)現(xiàn)有的網(wǎng)絡(luò)、數(shù)據(jù)信息的安全，特制定制定本制度。第二條通過制定本制度形成一個(gè)動(dòng)態(tài)以預(yù)防為主的信息安全管理方式，通過實(shí)時(shí)的監(jiān)控和分析及時(shí)發(fā)現(xiàn)系統(tǒng)潛在的安全問題和風(fēng)險(xiǎn)，及時(shí)采取相應(yīng)的措施以避免問題的發(fā)生，最大限度地減少安全事件帶來的風(fēng)險(xiǎn)和損失，保證信息系統(tǒng)的使用安全。第三條通過安全管理不但能夠保障己有的安全系統(tǒng)得到正確、有效的使用，而且能夠?qū)嶋H檢驗(yàn)安全策略的使用情況，及時(shí)提出新的安全需求，以便及時(shí)進(jìn)行升級(jí)改進(jìn)或?qū)嵭行碌陌踩Ｗo(hù)措施。第四條廣泛開展信息安全教育，進(jìn)行信息、安全檢查，保證系統(tǒng)安全運(yùn)行。第二章 適用范圍第五條本制定適用于煤礦信息網(wǎng)絡(luò)的各種軟、硬件設(shè)備的綜合安全管理，對(duì)安全管理中的各項(xiàng)具體工作進(jìn)行指導(dǎo)。第六條 管理對(duì)象：文檔實(shí)用硬件設(shè)備：包括計(jì)算機(jī)主機(jī)及外設(shè)、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備以及其它輔助設(shè)備。物理環(huán)境：包括機(jī)房場地環(huán)境、設(shè)備維修、存儲(chǔ)環(huán)境等通信線路：包括專用的通訊線路、網(wǎng)絡(luò)布線、用于數(shù)據(jù)通訊的電話線等。軟件系統(tǒng)：包括網(wǎng)絡(luò)設(shè)備的配置、操作系統(tǒng)、應(yīng)用軟件以及其它各相關(guān)的應(yīng)用系統(tǒng)等。文檔資料：包括設(shè)備及系統(tǒng)的使用說明及操作指南、參數(shù)配置表、運(yùn)行操作記錄、故障維護(hù)處理記錄、電子數(shù)據(jù)及文檔等。第三章 工作職責(zé)第七條 信息中心負(fù)責(zé)煤礦信息系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)督檢查。第八條保障煤礦信息系統(tǒng)安全運(yùn)行，負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份管理，向上級(jí)部門上報(bào)信息、系統(tǒng)運(yùn)行安全報(bào)告。第九條負(fù)責(zé)安全產(chǎn)品的使用、維護(hù)、升級(jí)，所有安全產(chǎn)品的使用，必須符合公司的審批和授權(quán)，不得擅自采購和私自試用，負(fù)責(zé)本單位的安全教育和安全管理培訓(xùn)。第四章 工作程序第十條 軟件系統(tǒng)安全：軟件系統(tǒng)包括系統(tǒng)軟件及應(yīng)用軟件。文檔實(shí)用系統(tǒng)軟件指操作系統(tǒng)軟件和數(shù)據(jù)庫系統(tǒng)軟件:1）系統(tǒng)軟件應(yīng)使用正版軟件，其選用應(yīng)充分考慮軟件的安全性、可靠性、穩(wěn)定性和健壯性，并報(bào)上一級(jí)主管部門備案。2）系統(tǒng)軟件必須具備身份驗(yàn)證功能、訪問控制功能、故障恢復(fù)功能、安全保護(hù)功能、安全審計(jì)功能、分權(quán)制約的權(quán)限控制功能及加密功能。應(yīng)用軟件指各業(yè)務(wù)管理信息、系統(tǒng)、決策支持系統(tǒng)、電子商務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)及其他軟件應(yīng)用系統(tǒng)等，應(yīng)用軟件系統(tǒng)必須滿足軟件規(guī)范的有關(guān)要求。第十一條 各級(jí)信息中心、部門在軟件系統(tǒng)的安全管理中的作為：系統(tǒng)運(yùn)行前嚴(yán)格審查實(shí)施計(jì)劃的安全性，審查實(shí)施計(jì)劃流程是否符合整體安全策略，是否制訂相應(yīng)應(yīng)急措施等；檢查系統(tǒng)運(yùn)行過程中相關(guān)部門安全管理規(guī)定的執(zhí)行情況；系統(tǒng)運(yùn)行結(jié)束后，組織對(duì)照實(shí)施計(jì)劃評(píng)價(jià)實(shí)施效果，對(duì)整體安全體系的影響進(jìn)行相應(yīng)評(píng)估。由相關(guān)技術(shù)部門提供系統(tǒng)運(yùn)行的安全報(bào)告。當(dāng)系統(tǒng)調(diào)試完畢，應(yīng)建立系統(tǒng)維護(hù)檔案。如果系統(tǒng)出現(xiàn)變更，應(yīng)該重新對(duì)該系統(tǒng)作安全評(píng)估，調(diào)整安全配置，并更新相應(yīng)的系統(tǒng)檔案，必要的時(shí)候修正整體的安全策略。文檔實(shí)用第十二條 環(huán)境安全機(jī)房建設(shè)必須符合國家行業(yè)建設(shè)標(biāo)準(zhǔn)和規(guī)范。建立并嚴(yán)格執(zhí)行機(jī)房管理制度，無關(guān)人員未經(jīng)安全責(zé)任人批準(zhǔn)嚴(yán)禁進(jìn)入機(jī)房。依據(jù)有關(guān)機(jī)房管理辦法的要求，各級(jí)安全管理部門對(duì)其機(jī)房環(huán)境、機(jī)房進(jìn)出、機(jī)房設(shè)施、機(jī)房物品的管理定期進(jìn)行安全檢查。機(jī)房工作人員必須嚴(yán)格遵守各項(xiàng)操作規(guī)程，定期檢查安全保障設(shè)備，確保系統(tǒng)安全運(yùn)行及設(shè)備的安全。對(duì)主機(jī)房進(jìn)行開機(jī)、關(guān)機(jī)等日常的操作，建立操作程序，并建立完整的設(shè)備運(yùn)行日志、操作記錄及其它與安全有關(guān)的資料。第十三條 硬件設(shè)備安全對(duì)主要的信息財(cái)產(chǎn)按安全等級(jí)進(jìn)行適當(dāng)?shù)姆诸惡蜆?biāo)志，并采取相應(yīng)的安全保護(hù)措施，實(shí)行安全等級(jí)保護(hù)。對(duì)于處理與敏感、有價(jià)值或重要的組織財(cái)產(chǎn)相關(guān)的系統(tǒng)應(yīng)基于安全需求和風(fēng)險(xiǎn)評(píng)估進(jìn)行附加的控制。對(duì)系統(tǒng)的相關(guān)計(jì)算機(jī)和數(shù)據(jù)通信設(shè)備及其連接關(guān)系，要編制與實(shí)際相符的拓?fù)鋱D，并歸檔保存。業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的關(guān)鍵設(shè)備應(yīng)有備份策略。對(duì)業(yè)務(wù)系統(tǒng)設(shè)備和通信線路進(jìn)行定期的檢測和維護(hù)，確保隨時(shí)處于可用狀態(tài)。文檔實(shí)用已開通運(yùn)行的衛(wèi)星通信端站，未經(jīng)上級(jí)管理部門批準(zhǔn)，不得關(guān)機(jī)，不得進(jìn)行中斷性測試，嚴(yán)禁擅自改變設(shè)備參數(shù)。對(duì)路由器、交換機(jī)等通訊設(shè)備必須采取嚴(yán)格的管理措施，設(shè)專人管理，未經(jīng)批準(zhǔn)不得隨意移動(dòng)和接入。對(duì)信息系統(tǒng)的計(jì)算機(jī)實(shí)體資源和定位狀況要進(jìn)行逐項(xiàng)編號(hào)登記和建檔，未經(jīng)批準(zhǔn)不得隨意改變。定期對(duì)硬件設(shè)備進(jìn)行專業(yè)維護(hù)保養(yǎng)，如有故障，應(yīng)組織專業(yè)人員進(jìn)行處理。應(yīng)確定用戶對(duì)無人值守的設(shè)備進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。安裝在用戶區(qū)域的設(shè)備，如工作站或文件服務(wù)器，需要特別的保護(hù)，以防在無人看守時(shí)遭受未授權(quán)的訪問。第十四條 軟件安全應(yīng)用軟件應(yīng)根據(jù)崗位情況、人員配置等情況進(jìn)行不同級(jí)別的權(quán)限控制；應(yīng)用軟件本身必須具備操作日志和管理日志功能，以利于事后跟蹤查詢?nèi)藛T使用情況；軟件使用人員應(yīng)經(jīng)過適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育；建立應(yīng)用軟件文檔管理制度、版本管理制度及軟件分發(fā)制度，防止軟件的盜用、誤用、流失及越權(quán)使用；文檔實(shí)用煤礦各部門必須根據(jù)信息中心統(tǒng)一部署，安裝防病毒、網(wǎng)絡(luò)入侵檢測軟件等監(jiān)測、檢查類安全產(chǎn)品。第十五條 系統(tǒng)操作與運(yùn)行安全各部門必須按照有關(guān)操作管理的要求，規(guī)范操作流程：進(jìn)行訪問控制，采取嚴(yán)密的安全措施防止無關(guān)用戶進(jìn)入系統(tǒng)，確保應(yīng)用系統(tǒng)的安全、穩(wěn)定、持續(xù)運(yùn)行。企業(yè)內(nèi)部所有的機(jī)器應(yīng)該提供口令保護(hù)功能；用戶在設(shè)置和使用口令時(shí)，應(yīng)遵循好的安全習(xí)慣和口令管理的要求。操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。嚴(yán)禁操作人員泄露本人的操作口令。數(shù)據(jù)庫管理系統(tǒng)和關(guān)鍵網(wǎng)絡(luò)設(shè)備（如路由器、防火墻等）的口令必須由專人掌管，并要求定期更換。按分級(jí)管理、共同負(fù)責(zé)的原則，由不同人員掌管服務(wù)器操作系統(tǒng)口令、數(shù)據(jù)庫管理系統(tǒng)口令和網(wǎng)絡(luò)管理口令。如果用戶需要訪問多種服務(wù)或平臺(tái)，需要多個(gè)口令，應(yīng)建議他們使用單一的有質(zhì)量的口令，并對(duì)儲(chǔ)存口令提供合理的保護(hù)。嚴(yán)格按崗位職責(zé)設(shè)置各崗位操作權(quán)限，各類操作系統(tǒng)的系統(tǒng)操作權(quán)限設(shè)置應(yīng)經(jīng)信息部門負(fù)責(zé)人批準(zhǔn)并備案。重要崗位的登錄過程應(yīng)增加必要的限制措施。敏感信息、訪問必須通過身份授權(quán)認(rèn)證。在正常的系統(tǒng)運(yùn)行中，所有對(duì)業(yè)務(wù)系統(tǒng)的實(shí)質(zhì)性操作必須由操作員按權(quán)限控制要求執(zhí)行，其他人員不得直接對(duì)系統(tǒng)或應(yīng)用進(jìn)行實(shí)質(zhì)文檔實(shí)用性操作。第十六條 操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)安全管理1．系統(tǒng)選用：煤礦系統(tǒng)工程所選用的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)必須具備與其用途相適應(yīng)的安全性能；口令使用管理：要嚴(yán)格加強(qiáng)口令保密制度的執(zhí)行，杜絕使用公開或缺省的口令和用戶名稱，對(duì)關(guān)鍵用戶的口令要采用雙人監(jiān)護(hù)、異地保存等方式進(jìn)行管理，嚴(yán)防個(gè)人獨(dú)自以關(guān)鍵用戶進(jìn)入系統(tǒng)；系統(tǒng)運(yùn)行監(jiān)控管理：要加強(qiáng)系統(tǒng)日常的巡查，及時(shí)監(jiān)控用戶使用系統(tǒng)資源情況，對(duì)陌生用戶要及時(shí)查清來源，并加以相應(yīng)處理，對(duì)越權(quán)用戶要查明越權(quán)原因，并根據(jù)實(shí)際情況限制其使用權(quán)限；系統(tǒng)備份管理：及時(shí)做好系統(tǒng)動(dòng)、靜態(tài)數(shù)據(jù)的備份工作，以備系統(tǒng)出現(xiàn)意想不到的故障。第十七條 計(jì)算機(jī)病毒防范必須建立計(jì)算機(jī)病毒防范制度，系統(tǒng)管理員應(yīng)有較強(qiáng)的病毒防范意識(shí)，定期進(jìn)行病毒檢測，及時(shí)更新軟件版本和漏洞補(bǔ)丁，發(fā)現(xiàn)問題及時(shí)解決。具體措施如下：要求所有工作站全部安裝防病毒軟件；為防止原始設(shè)備計(jì)算機(jī)病毒的侵害對(duì)新購進(jìn)的計(jì)算機(jī)及設(shè)備，要組織專業(yè)人員檢查后方可安裝運(yùn)行；文檔實(shí)用軟盤、光盤等移動(dòng)存儲(chǔ)媒體，以及外來的軟件等，要先進(jìn)行計(jì)算機(jī)病毒檢查，確認(rèn)無計(jì)算機(jī)病毒后才可以使用；嚴(yán)禁使用未經(jīng)清查的、來歷不明的軟盤、光盤等；重要計(jì)算機(jī)要定期進(jìn)行計(jì)算機(jī)病毒檢查，系統(tǒng)中的程序要定期進(jìn)行比較測試和分析；在接入Internet網(wǎng)時(shí)，嚴(yán)格控制下載軟件，謹(jǐn)慎接收電子郵件；在接收電子郵件時(shí)，不隨意打開郵件附件；關(guān)鍵服務(wù)器要盡量做到專機(jī)專用，特別是具有讀寫權(quán)限、身份確認(rèn)功能的認(rèn)證服務(wù)器一定要專用；對(duì)共享的網(wǎng)絡(luò)文件服務(wù)器，應(yīng)特別加以維護(hù)，控制讀寫權(quán)限，盡量不在服務(wù)器上運(yùn)行無關(guān)軟件程序；系統(tǒng)的重要數(shù)據(jù)資源要采取措施加以保護(hù)；跟蹤計(jì)算機(jī)病毒發(fā)展的最新動(dòng)態(tài)，及時(shí)了解計(jì)算機(jī)病毒，特別是有嚴(yán)重破壞力的計(jì)算機(jī)病毒的爆發(fā)日期或爆發(fā)條件，及時(shí)通知各部門進(jìn)行防范；隨時(shí)注意計(jì)算機(jī)的各種異?，F(xiàn)象，一旦發(fā)現(xiàn)，應(yīng)立即用查毒軟件仔細(xì)檢查；經(jīng)常更新與升級(jí)防殺計(jì)算機(jī)病毒軟件的版本；對(duì)重點(diǎn)崗位的計(jì)算機(jī)要定點(diǎn)、定時(shí)、定人作查毒殺毒巡檢；當(dāng)出現(xiàn)計(jì)算機(jī)病毒傳染跡象時(shí)，立即隔離被感染的系統(tǒng)和網(wǎng)文檔實(shí)用絡(luò)，并進(jìn)行處理，不應(yīng)帶“毒”繼續(xù)運(yùn)行，并同時(shí)上報(bào)信息中心，由信息中心派人處理。接受省經(jīng)濟(jì)信息中心采用定期常規(guī)檢查與特別日期專項(xiàng)檢查、集中檢查與分散檢查相結(jié)合方式，對(duì)計(jì)算機(jī)病毒防范管理制度的實(shí)施情況進(jìn)行檢查。第十八條 網(wǎng)絡(luò)安全新建網(wǎng)絡(luò)、網(wǎng)絡(luò)改造、網(wǎng)絡(luò)變更或新系統(tǒng)在投入使用前，必須按照規(guī)范的規(guī)定制訂相對(duì)應(yīng)的網(wǎng)絡(luò)安全防范措施，并對(duì)新建網(wǎng)絡(luò)或改造后網(wǎng)絡(luò)實(shí)施安全檢驗(yàn)，未經(jīng)檢驗(yàn)的新建網(wǎng)絡(luò)或改造后網(wǎng)絡(luò)不允許投入使用。為了保證全省行業(yè)網(wǎng)絡(luò)的安全，全省行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)要嚴(yán)格控制Internet出口數(shù)量，各單位和個(gè)人不得擅自利用行業(yè)網(wǎng)絡(luò)聯(lián)入Internet 。市局公司可以根據(jù)需要建設(shè) Internet 出口，但必須符合以下要求：點(diǎn)3.Internet 出口必須實(shí)行與行業(yè)內(nèi)聯(lián)網(wǎng)的邏輯隔離，其安全方案由省局信息中心統(tǒng)一制定和審批；有Internet出口的單位必須采取嚴(yán)格的安全保護(hù)措施，至少配置放火墻和入侵檢測措施，對(duì)Internet 提供公共服務(wù)的服務(wù)器（如WEB服務(wù)等）應(yīng)采取與行業(yè)內(nèi)聯(lián)網(wǎng)邏輯隔離的設(shè)置，不得允許來自Internet 的用戶訪問行業(yè)網(wǎng)絡(luò)；文檔實(shí)用5.不得采用一臺(tái)路由器同時(shí)與 Internet 和行業(yè)內(nèi)聯(lián)網(wǎng)進(jìn)行互聯(lián)。禁止建立面向行業(yè)外的電子公告系統(tǒng)；建立面向行業(yè)內(nèi)的電子公告系統(tǒng)，須報(bào)省局信息中心批準(zhǔn)和備案，并建立用戶登一記和信息、管理制度；禁止聯(lián)入行業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)通過調(diào)制解調(diào)器撥號(hào)等方式登錄到其他網(wǎng)絡(luò)，如業(yè)務(wù)確實(shí)需要，需經(jīng)同級(jí)保密委員會(huì)及信息、網(wǎng)絡(luò)主管部門批準(zhǔn)。存放和處理涉及國家秘密信息、的系統(tǒng)和網(wǎng)絡(luò)要與行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)實(shí)行嚴(yán)格的物理隔離，涉密系統(tǒng)的建設(shè)要符合國家保密局頒布的相關(guān)標(biāo)準(zhǔn)和要求。不得將行業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)直接連通，行業(yè)網(wǎng)絡(luò)在與外部網(wǎng)絡(luò)進(jìn)行連接時(shí)，在外聯(lián)網(wǎng)的交界處，必須提供相應(yīng)的安全保護(hù)措施，并制定嚴(yán)密的訪問權(quán)限。內(nèi)聯(lián)網(wǎng)地址和域名的規(guī)劃、分配、監(jiān)督和實(shí)施由省信息中心統(tǒng)一規(guī)劃、組織實(shí)施，各部門必須嚴(yán)格遵守，不得擅自變更，以確保行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的互聯(lián)互通行業(yè)網(wǎng)絡(luò)應(yīng)該只開放與業(yè)務(wù)相關(guān)的必要的服務(wù)端口。建立衛(wèi)星設(shè)備管理制度、日常維護(hù)制度、技術(shù)資料管理制度等，加強(qiáng)衛(wèi)星通信的監(jiān)管，防止垃圾信息上衛(wèi)星通信網(wǎng)，保證衛(wèi)星通文檔實(shí)用信網(wǎng)的安全穩(wěn)定運(yùn)行。13.其它未進(jìn)行詳細(xì)規(guī)定的網(wǎng)絡(luò)安全管理詳見《 網(wǎng)絡(luò)管理》 一章。第十九條 人員安全管理全省行業(yè)信息安全技術(shù)人員應(yīng)具備大專以上學(xué)歷，具有必備的計(jì)算機(jī)理論知識(shí)和相應(yīng)的專業(yè)技術(shù)水平、良好的職業(yè)道德和認(rèn)真負(fù)責(zé)的服務(wù)意識(shí)。計(jì)算機(jī)系統(tǒng)管理員必須熟悉、掌握本單位信息系統(tǒng)的資源配置，運(yùn)行狀況，并建立詳細(xì)檔案。關(guān)鍵技術(shù)崗位應(yīng)進(jìn)行嚴(yán)格審查并保持人員相對(duì)穩(wěn)定，離崗時(shí)必須嚴(yán)格辦理離崗手續(xù)，明確其離崗后的保密義務(wù)，退還全部技術(shù)資料并立即更換信息系統(tǒng)的操作口令。加強(qiáng)對(duì)信息安全技術(shù)人員進(jìn)行業(yè)務(wù)培訓(xùn)和技術(shù)培訓(xùn)，實(shí)行持證上崗制，不合格或未參加培訓(xùn)者不得上崗。加強(qiáng)對(duì)信息系統(tǒng)使用人員進(jìn)行系統(tǒng)安全教育，提高使用人員有關(guān)信息系統(tǒng)安全管理法律、法規(guī)意識(shí)和應(yīng)用水平。第二十條 安全責(zé)任管理行業(yè)網(wǎng)絡(luò)的上網(wǎng)單位要保證網(wǎng)絡(luò)運(yùn)行安全、可靠，做到實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全。各部門必須遵守其他相關(guān)法律文檔實(shí)用法規(guī)的規(guī)定，計(jì)算機(jī)網(wǎng)絡(luò)和信息安全系統(tǒng)的建設(shè)必須符合安全要求，自覺維護(hù)國家的安全和穩(wěn)定，自覺保守國家、行業(yè)和單位的秘密。各部門應(yīng)建立安全責(zé)任制度,指定安全管理部門和配備必要的安全管理和技術(shù)人員，相應(yīng)管理和維護(hù)人員必須對(duì)本人接辦的各項(xiàng)事務(wù)的處理過程負(fù)責(zé)，確保行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息、系統(tǒng)的安全運(yùn)行。各類人員必須承擔(dān)相應(yīng)信息系統(tǒng)安全管理責(zé)任，并嚴(yán)格遵守有關(guān)規(guī)定，自覺維護(hù)遼寧煙草信息系統(tǒng)安全。根據(jù)國家保密法規(guī)，建立健全信息、發(fā)布與上網(wǎng)