2024年個人信息安全管理制度

2024年個人信息安全管理制度

個人信息安全管理制度1

1.總則

1.1目的：

為加強(qiáng)公司作風(fēng)建設(shè)，宣傳廉潔文化，預(yù)防利用職務(wù)及職權(quán)謀取不正當(dāng)利益。同時做好公司

信息的安全和保密工作使公司所擁有的信息在經(jīng)營活動中充分利用保護(hù)公司的利益不受侵害，

樹立健康積極的企業(yè)文化形象，特制定本管理制度。

1.2適用范圍：

本制度適用于公司所有在職員工。

1.3定義：

廉潔：清白高潔，不貪污，從不使用公家的錢來養(yǎng)活自己（不貪污），就是指人生光明磊落

的態(tài)度和誠信，正直的風(fēng)氣。

信息安全：信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不

受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行。

業(yè)務(wù)單位：與公司有一切業(yè)務(wù)（含但不限于供貨、施工、促銷合作等關(guān)系）往來或聯(lián)系的單

位或個人。

L4職責(zé)權(quán)限

3.1總經(jīng)辦負(fù)責(zé)廉潔文化建設(shè)方向的指引，對公司的信息安全管理具有監(jiān)督和最后裁決權(quán)。

3.2監(jiān)察部負(fù)責(zé)監(jiān)督和執(zhí)行廉潔與信息安全管理規(guī)定，接受全體員工的舉報和監(jiān)督，對舉報

和違規(guī)情況進(jìn)行調(diào)查核實。

33行政部負(fù)責(zé)廉潔文化和信息安全意識的宣傳和教育，接收和申報處理公司員工收受和外

部財物。

3.4信息部負(fù)責(zé)公司所有文件資料的分類存檔和保存，對電子存檔資料進(jìn)行定期整理和備份，

并做好文件防盜和密碼保護(hù)工作。

3.5各部門：具有共同維護(hù)公司廉潔文化建設(shè)和信息保密工作的權(quán)利，都有保守公司秘密的

義務(wù)，對公司廉潔和信息安全管理規(guī)定具有監(jiān)督和舉報權(quán)。

2.主要內(nèi)容：

2.1廉潔自律規(guī)定

2.1.1不準(zhǔn)收受任何業(yè)務(wù)單位的個人現(xiàn)金、購物卡券、有價證券和支付憑證。

2.1.2因各種原因未能拒收業(yè)務(wù)單位的，必須及時向公司行政部申報統(tǒng)一處理。具體需申報

的情況如下：

業(yè)務(wù)單位不回收的樣品和商品贈品；

業(yè)務(wù)單位節(jié)假日饋贈的禮品、禮籃等；

業(yè)務(wù)單位贈送的其他具有實際價值實物、活動等。

業(yè)務(wù)單位組織的集體考察、學(xué)習(xí)、旅游黝卜出活動；

業(yè)務(wù)單位贈送的無法拒絕的各類現(xiàn)金、購物卡券、有價證券和支付憑證；

2.1.3不準(zhǔn)向業(yè)務(wù)單位及其個人借貸錢物。

2.1.4不準(zhǔn)在各業(yè)務(wù)單位報銷應(yīng)由個人支付的有關(guān)票據(jù)。

2.1.5不借業(yè)務(wù)辦理之機(jī)，對各業(yè)務(wù)單位吃、卡、拿、要。

4.1.6禁止利用職權(quán)和職務(wù)上的便利和影響為親友及身邊工作人員謀取利益。

2.1.7工作中不弄虛作假，按規(guī)定收集整理好各類鄲出資料，不做假帳或帳外賬。

2.1.8不準(zhǔn)用公款支付個人名義的宴請。公關(guān)或業(yè)務(wù)接待必須經(jīng)總經(jīng)辦批準(zhǔn)后在合理的范圍

內(nèi)進(jìn)行。

2.1.9不準(zhǔn)接受可能對商品和設(shè)備供應(yīng)價格、工程施工價格的業(yè)務(wù)合作行為產(chǎn)生影響的錢、

物饋贈和宴請。

2.1.10不準(zhǔn)為謀取不正當(dāng)?shù)睦妫诮?jīng)濟(jì)往來中違反有關(guān)規(guī)定，以各種名義收取回扣、中

介費、手續(xù)費等歸個人所有。

2.1.11不借出差、考察、學(xué)習(xí)之機(jī)利用公款進(jìn)行旅游娛樂活動，或接受可能影響公正辦理

業(yè)務(wù)的宴請、禮品饋贈或其他服務(wù)。

2.1.12嚴(yán)禁以虛報、謊報等手段獲取榮譽(yù)；以虛報、謊報等手段獲取的榮譽(yù)、職稱及其他

利益予以取消或者糾正。

2.2信息安全

2.2.1公開信息：公司已對外公開發(fā)布的信息，如公司宣傳冊、產(chǎn)品或公司介紹視頻等。

2.2.2保密信息：公司僅允許在一定范圍內(nèi)發(fā)布的信息，一旦泄露，將可能給公司或相關(guān)方

造成不良影響。比如公司投資計劃等。

2.2.3根據(jù)信息價值、影響及發(fā)放范圍的不同，公司將保密信息劃分為絕密、機(jī)密、秘密、

內(nèi)部公開四個級別。

絕密信息：關(guān)系公司前途和命運(yùn)的公司最重要、最敏感的信息，對公司根本利益有著決定性

影響的保密信息，如：公司訂單,重大投資決議等。

機(jī)密信息：公司重要秘密，一旦泄露將使公司利益受到嚴(yán)重?fù)p害的保密信息如：未發(fā)布的.

任命文件，公司財務(wù)分析報告等文件。

秘密信息:公司一般性信息，但一旦泄露會使公司利益受到損害的保密信息，如：人事檔案，

供應(yīng)商選擇評估標(biāo)準(zhǔn)等文件。

內(nèi)部公開：僅在公司內(nèi)部公開或僅在公司某一個部門內(nèi)公開，對外泄露可能會使公司利益造

成損害的保密信息的保密信息，如：年度培訓(xùn)計劃，員工手冊，各種規(guī)章制度等。

2.2.4公司保密信息包括但不限于以下內(nèi)容：

大經(jīng)濟(jì)損失且情節(jié)嚴(yán)重的，將移交公安機(jī)關(guān)進(jìn)行立案處理。

2.3.2除公司公開的信息外，任何人將公司的保密信息以任何形式（口頭傳達(dá)、電子郵件、

上傳網(wǎng)絡(luò)、存儲拷貝、拍照影印、復(fù)印資料）對外泄露或散布出去的，公司將從源頭上追究信息

泄密者經(jīng)查實后立即根據(jù)情節(jié)輕重進(jìn)行追責(zé)處理。因信息泄密造成公司經(jīng)濟(jì)損失或形象受損時,

將依法移交司法機(jī)關(guān)進(jìn)行處理。

3.附則

3.1本制度最終解釋權(quán)歸xx有限公司所有。

3.2本制度自20xx年8月9E起實行，暫定實施1年。

個人信息安全管理制度2

為加強(qiáng)公司各信息系統(tǒng)管理，保證信息系統(tǒng)安全，根據(jù)《中華人民共和國保守國家秘密法》

和國家保密局《計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》、國家保密局《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保

密管理規(guī)定》，及上級信息管理部門的相關(guān)規(guī)定和要求，結(jié)合公司實際，制定本制度。

本制度包括網(wǎng)絡(luò)安全管理、信息系統(tǒng)安全保密制度、信息安全風(fēng)險應(yīng)急預(yù)案。

網(wǎng)絡(luò)安全管理制度

第一條公司網(wǎng)絡(luò)的安全管理，應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)設(shè)備和配套設(shè)施的安全，保障信息的安全，

保障運(yùn)行環(huán)境的安全。

第二條任何單位和個人不得從事下列危害公司網(wǎng)絡(luò)安全的活動：

1、任何單位或者個人利用公司網(wǎng)絡(luò)從事危害公司計算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全。

2、對于公司網(wǎng)絡(luò)主結(jié)點設(shè)備、光纜、網(wǎng)線布線設(shè)施,以任何理由破壞、挪用、改動。

3、未經(jīng)允許，對信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或增加。

4、未經(jīng)允許，對計算機(jī)信息網(wǎng)絡(luò)中的共享文件和存儲、處理或傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行

刪除、修改或增加。

5、故意制作、傳播計算機(jī)病毒等破壞性程序。

6、利用公司網(wǎng)絡(luò)，訪問帶有"黃、賭、毒"、反動言論內(nèi)容的網(wǎng)站。

7、向其它非本單位用戶透露公司網(wǎng)絡(luò)登錄用戶名和密碼。

8、其他危害信息網(wǎng)絡(luò)安全的行為。

第三條各單位信息管理部門負(fù)責(zé)本單位網(wǎng)絡(luò)的安全和信息安全工作對本單位單位所屬計算

機(jī)網(wǎng)絡(luò)的運(yùn)行進(jìn)行巡檢,發(fā)現(xiàn)問題及時上報信息中心。

第四條連入公司網(wǎng)絡(luò)的用戶必須在其本機(jī)上安裝防病毒軟件，一經(jīng)發(fā)現(xiàn)個人計算機(jī)由感染病

毒等原因影響到整體網(wǎng)絡(luò)安全，信息中心將立即停止該用戶使用公司網(wǎng)絡(luò)，待其計算機(jī)系統(tǒng)安全

之后方予開通。

第五條嚴(yán)禁利用公司網(wǎng)絡(luò)私自對外提供互聯(lián)網(wǎng)絡(luò)接入服務(wù)，一經(jīng)發(fā)現(xiàn)立即停止該用戶的使用

權(quán)。

第六條對網(wǎng)絡(luò)病毒或其他原因影響整體網(wǎng)絡(luò)安全的子網(wǎng)，信息中心而其提供指導(dǎo)，必要時可

以中斷其與骨干網(wǎng)的連接，待子網(wǎng)恢復(fù)正常后再恢復(fù)連接。

信息系統(tǒng)安全保密制度

第一條、"信息系統(tǒng)安全保密”是一項常抓不懈的工作，每名系統(tǒng)管理員都必須提高信息安

全保密意識，充分認(rèn)識到信息安全保密的重要性及必要性。對重要系統(tǒng)的系統(tǒng)崗位員工進(jìn)行信息

系統(tǒng)安全保密培訓(xùn)。

第二條、實行信息、發(fā)布責(zé)任追究制度，所有信息的發(fā)布必須按規(guī)定辦理審核、審簽手續(xù)，必

須真實有效且符合中華人民共和國法規(guī)。涉及國家及公司機(jī)密的信息系統(tǒng)必須與內(nèi)部網(wǎng)和互聯(lián)網(wǎng)

實施物理隔離，嚴(yán)格執(zhí)行上網(wǎng)信息的審查制度和涉及國家秘'密的信息不得在企業(yè)內(nèi)網(wǎng)發(fā)布的規(guī)定,

杜絕泄密事件的‘發(fā)生。凡發(fā)布虛假、反動、色情、泄密等內(nèi)容，追究信息報送和審核者責(zé)任，

對公司造成重大經(jīng)濟(jì)損失，將追究責(zé)任人相應(yīng)的法律責(zé)任。

第三條、信息系統(tǒng)管理權(quán)限從安全級別上分為絕密、機(jī)密、秘密；從適用對象上分為高級管

理員、系統(tǒng)管理員、高級用戶、中級用戶、一般用戶、特殊用戶；從操作承載體上分為服務(wù)器（包

括系統(tǒng)服務(wù)器、應(yīng)用服務(wù)器和控制服務(wù)器）、工作終端、用戶終端；從設(shè)定內(nèi)容上分為完全控制、

權(quán)限設(shè)置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運(yùn)行、讀取、拷貝、其他操作等。

第四條、所有信息系統(tǒng)的使用者和不同安全等級信息之間必須存在授權(quán)關(guān)系，并在新建信息

系統(tǒng)開發(fā)建設(shè)階段形成方案并加以設(shè)計，在軟件系統(tǒng)中預(yù)留對應(yīng)關(guān)系設(shè)置的功能，根據(jù)使用者崗

位職務(wù)的變遷進(jìn)行調(diào)整。

第五條、利用IT技術(shù)手段，對信息系統(tǒng)的硬件配置調(diào)整、軟彳牛參數(shù)修改嚴(yán)加控制。利用操

作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)所提供的安全機(jī)制，設(shè)置相應(yīng)的安全參數(shù)，保證系統(tǒng)訪問的安全；

對于重要的計算機(jī)設(shè)備，要利用軟件技術(shù)等手段防止員工擅自安裝、卸載軟件或改變軟件系統(tǒng)配

置，并定期對以上情況進(jìn)行檢查。

第六條、信息系統(tǒng)如需要委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行和維護(hù)管理時應(yīng)嚴(yán)格審查其資質(zhì)條件、

市場剩余和信用狀況等，并且與其簽訂正式的服務(wù)合同和保密協(xié)議。

第七條、所有信息系統(tǒng)服務(wù)器、工作終端、用戶終端必須安裝安全防病毒軟件，對未安裝防

病毒軟件的終端用戶有權(quán)拒絕為其提供網(wǎng)絡(luò)接入服務(wù)。

第八條、利用防火墻、路由器、入侵檢測等網(wǎng)絡(luò)設(shè)備，加強(qiáng)網(wǎng)絡(luò)安全，嚴(yán)密防范來自互聯(lián)網(wǎng)

的黑客攻擊和非法侵入。

第九條、對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蜿P(guān)鍵業(yè)務(wù)數(shù)據(jù)，要采取必要的技術(shù)手段確保信息傳遞

的保密性、準(zhǔn)確性、完整性。

第十條、對于停止運(yùn)行的廢舊系統(tǒng)，應(yīng)當(dāng)做好系統(tǒng)中有價值及涉密信息的銷毀、轉(zhuǎn)移等善后

工作。

第十一條、系統(tǒng)管理人員要遵守信息系統(tǒng)的各項管理制度，防止利用計算機(jī)舞弊和犯罪。

第十二條、對重要業(yè)務(wù)系統(tǒng)的訪問建立用戶管理制度，對于不同類別不同級別的各類管理及

使用人員采取密碼分級管理，設(shè)定密碼有效期限，對密碼存儲采用非明文二次加密技術(shù)防止各類

密碼泄露事故的發(fā)生。

信息安全風(fēng)險應(yīng)急預(yù)案

一、總則

為加強(qiáng)公司信息安全風(fēng)險源的預(yù)防管理,提高應(yīng)急防范能力，保障何絡(luò)系統(tǒng)、信息系統(tǒng)及信

息機(jī)房的整體安全，促進(jìn)公司安全生產(chǎn)穩(wěn)步健康發(fā)展，制定本預(yù)案。

二、編制目的

依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)

國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等有關(guān)法規(guī)文件精神。確保公司信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，為公司整

體安全形勢穩(wěn)步發(fā)展提供保障。

三、適用范圍

本預(yù)案適用于各單位信息安全突發(fā)風(fēng)險應(yīng)急管理。

四、主要風(fēng)險源

1、火災(zāi)

2、意外斷電

3、重要數(shù)據(jù)丟失

4、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓

五、風(fēng)險源辨識及評估

各單位應(yīng)組織員工對風(fēng)險源進(jìn)行全面、系統(tǒng)的辨識和風(fēng)險評估，并確保：危險源辨識前要進(jìn)

行相關(guān)知識的培訓(xùn)；辨識范圍覆蓋本單位的所有活動及區(qū)域；對危險源辨識和風(fēng)險評估資料進(jìn)行

統(tǒng)計、分析、整理、歸檔；

5.1.火災(zāi)辨識及評估

5.1.1火災(zāi)辨識

(1)自然災(zāi)害引起的火災(zāi)

(2)強(qiáng)電線路短路引起的火災(zāi)

(3)雜物堆積引起的火災(zāi)

(4)溫度過高引起的火災(zāi)。

(5)老鼠咬線引起的火災(zāi)。

5.1.2火災(zāi)風(fēng)險評估

機(jī)房發(fā)生火災(zāi)可能導(dǎo)致工作人員人身受到傷害；信息網(wǎng)絡(luò)設(shè)備受到損壞；網(wǎng)絡(luò)系統(tǒng)大面積癱

瘓；國家、集體財產(chǎn)受到損失。

5.2、意外斷電辨識及評估

5.2.1意外斷電辨識

(1)自然災(zāi)害引起的意外斷電。

(2)短路跳閘引起的意外斷電。

522意外斷電風(fēng)險評估

L意外斷電可能導(dǎo)致機(jī)房核心交換機(jī)、防火墻、匯聚交換機(jī)、數(shù)據(jù)庫服務(wù)器、軟件服務(wù)器、

恒溫設(shè)備等重要設(shè)備損壞或數(shù)據(jù)丟失；

2、意外斷電可能導(dǎo)致煙霧報警系統(tǒng)、溫度報警和斷市電系統(tǒng)無法正常工作而帶來的間接財

產(chǎn)損失。

5.3、重要數(shù)據(jù)丟失辨識及評估

5.3.1重要數(shù)據(jù)丟失辨識

(1)意外斷電引起的數(shù)據(jù)丟失。

(2)服務(wù)器故障引起的數(shù)據(jù)丟失。

(3)數(shù)據(jù)庫損壞引起的數(shù)據(jù)丟失。

5.3.2重要數(shù)據(jù)丟失風(fēng)險評估

1、安全軟件系統(tǒng)數(shù)據(jù)丟失可能導(dǎo)致安全生產(chǎn)監(jiān)控類系統(tǒng)雌無法正常采集于傳輸，影響到

礦井安全生產(chǎn)的正常進(jìn)行。

2、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)丟失可能導(dǎo)致經(jīng)營管理類系統(tǒng)無法正常使用，影響公司相關(guān)部門經(jīng)營管

理工作和日常辦公無法正常進(jìn)行。

5.4、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓

5.4.1網(wǎng)絡(luò)系統(tǒng)大面積癱瘓辨識

(1)意外斷電引起的核心交換機(jī)、防火墻損壞或故障導(dǎo)致網(wǎng)絡(luò)系統(tǒng)大面積癱瘓。

(2)通信線路中斷引起的網(wǎng)絡(luò)系統(tǒng)大面積癱瘓

(3)服務(wù)器損壞或故障引起的大面積無法登錄互聯(lián)網(wǎng)。

5.4.2網(wǎng)絡(luò)系統(tǒng)大面積癱瘓風(fēng)險評估

1、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓可能導(dǎo)致公司與生產(chǎn)礦井之間的信息傳輸中斷，管理部門失去對礦

并生產(chǎn)的安全監(jiān)管，安全生產(chǎn)無法正常進(jìn)行。

2、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓可能導(dǎo)致公司日常辦公無法正常進(jìn)行。

5.5、高空作業(yè)辨識及評估

5.5.1高空作業(yè)辨識

(1)日常高空維修可能造成人身傷害。

(2)工程高空施工可能造成人身傷害。

5.5.2高空作業(yè)風(fēng)險評估

日常高空維修網(wǎng)絡(luò)設(shè)備、打掃衛(wèi)生和高空施工可能造成工作人員人身傷害和精神傷害，影響

公司安全生產(chǎn)穩(wěn)步發(fā)展。

六、安全風(fēng)險應(yīng)急預(yù)案及措施

根據(jù)各單位存在的主要風(fēng)險源和風(fēng)險評估保障安全生產(chǎn)工作有序進(jìn)行制定本預(yù)案及措施。

6.1火災(zāi)應(yīng)急預(yù)案及處置措施

6.1.1應(yīng)急預(yù)案

(1)發(fā)生特大火災(zāi)時(包括機(jī)房、UPS、庫房)，值班人員應(yīng)立即逃離火災(zāi)范圍，啟動對

應(yīng)的火災(zāi)應(yīng)急預(yù)案和響應(yīng)級別，拉響警報，向公司總調(diào)度室、本單位負(fù)責(zé)人、單位安監(jiān)部門匯報，

在確保人身安全的情況下，組織人員利用滅火器進(jìn)行滅火；

如果火勢過大，人員無法靠近時，應(yīng)立即撥打火警119,求助消防部門進(jìn)行滅火。

(2)發(fā)生重大火災(zāi)時(包括機(jī)房局部、UPS控制器、庫房局部)，值班人員應(yīng)立即逃離火

災(zāi)范圍，啟動對應(yīng)的火災(zāi)應(yīng)急預(yù)案，拉響警報，向公司調(diào)度室和本單位安監(jiān)部門匯報，在確保人

身安全的情況下，組織人員利用滅火器進(jìn)行滅火，力爭將財產(chǎn)損失降到最低。

(3)發(fā)生較大火災(zāi)時(包括消防通道、辦公室)值班人員應(yīng)啟動對應(yīng)的火災(zāi)應(yīng)急預(yù)案，向

公司總調(diào)度室及本單位安監(jiān)部門匯報，在確保人身安全的情況下組織人員利用滅火器進(jìn)行滅火，

避免或降(氐財產(chǎn)損失。

6.1.2措施

(1)火災(zāi)發(fā)生時，值班和工作人員應(yīng)立即脫離火災(zāi)范圍，確保人身安全。

(2)根據(jù)火災(zāi)大小確定火災(zāi)風(fēng)險等級，并啟動相應(yīng)的響應(yīng)等級。

(3)根據(jù)火災(zāi)風(fēng)險等級向公司總調(diào)度室及本單位安監(jiān)部門匯報火災(zāi)情況。

(4)火勢過大無法控制時，應(yīng)立即撥打火警119進(jìn)行求助。

(5)在確保人身安全的情況下，組織人員利用滅火器進(jìn)行滅火，避免火災(zāi)擴(kuò)大，降低財產(chǎn)

損失。

(6)盡最大可能搜集火災(zāi)發(fā)生的相關(guān)信息，做好記錄，為事故處理是供依據(jù)。

(7)每月針對火災(zāi)誘發(fā)根源法行徹底檢查(如易燃物品不能堆放、庫房物品分類并整齊擺

放等)，預(yù)防火災(zāi)的發(fā)生。

6.2、意外斷電應(yīng)急預(yù)案及處置措施

6.2.1應(yīng)急預(yù)案

發(fā)生自然災(zāi)害和短路引起的意外斷電時，值班人員在確保人身安全的情況下，根據(jù)風(fēng)險等級

啟動相應(yīng)的響應(yīng)等級，向本單位安監(jiān)部門進(jìn)行匯報，邀請電力維修人員進(jìn)行斷電故障排查，并組

織技術(shù)人員對機(jī)房核心交換機(jī)、防火墻、匯聚交換機(jī)、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)備份服務(wù)器、軟件服

務(wù)器、軟件系統(tǒng)、煙霧報警、UPS溫度監(jiān)控、機(jī)房溫度監(jiān)控系統(tǒng)進(jìn)行隱患排直，發(fā)現(xiàn)設(shè)備故障

和數(shù)據(jù)丟失，應(yīng)當(dāng)進(jìn)行及時處理和上報。

6.2.2處置措施

(1)發(fā)生意外斷電時，在確保人身安全的情況下，值班人員應(yīng)啟動相應(yīng)的響應(yīng)等級。

(2)向本單位安監(jiān)部門進(jìn)行;匚報。

(3)必須請專業(yè)電力維修人員進(jìn)行故障排杳與維修。

(4)搜集意外斷電發(fā)生的信息并作好記錄，為事故處理提供依據(jù)。

6.3、重要數(shù)據(jù)丟失應(yīng)急預(yù)案及處置措施

6.3.1應(yīng)急預(yù)案

(1)因意外斷電引起重要數(shù)據(jù)丟失時，值班人員應(yīng)根據(jù)風(fēng)險等級啟動相應(yīng)的響應(yīng)等級，向

公司總調(diào)度室和安監(jiān)部門進(jìn)行匯報，邀請專業(yè)電力維修人員進(jìn)行故障排查，恢復(fù)供電正常，排查

機(jī)房設(shè)備及數(shù)據(jù)情況，發(fā)現(xiàn)設(shè)備故障和數(shù)據(jù)丟失，立即組織相關(guān)技術(shù)人員進(jìn)行恢復(fù)。

(2)因服務(wù)器故障引起數(shù)據(jù)丟失時，值班人員應(yīng)根據(jù)風(fēng)險等級啟動相應(yīng)的響應(yīng)等級,向公

司總調(diào)度室和案件部門進(jìn)行匯報，并組織技術(shù)人員進(jìn)行服務(wù)器維修和數(shù)據(jù)恢復(fù)，如果服務(wù)器和數(shù)

據(jù)無法維修和恢復(fù)時，應(yīng)向本單位負(fù)責(zé)人匯報并外請專業(yè)人員進(jìn)行維修，確保設(shè)備和數(shù)據(jù)安全。

(3)因數(shù)據(jù)庫無法啟動引起的數(shù)據(jù)丟失，值班人員應(yīng)根據(jù)風(fēng)險等級啟動相應(yīng)的響應(yīng)等級，

向公司總調(diào)度室和案件部門進(jìn)行匯報，并組織技術(shù)人員進(jìn)行數(shù)據(jù)恢復(fù)，如果數(shù)據(jù)無法恢復(fù)，應(yīng)向

本單位負(fù)責(zé)人匯報并外請專業(yè)人員進(jìn)行數(shù)據(jù)恢復(fù)，確保設(shè)數(shù)據(jù)安全。

6.3.2處置措施

(1)發(fā)生數(shù)據(jù)丟失時，值班人員應(yīng)根據(jù)風(fēng)險等級啟動相應(yīng)相應(yīng)等級。

(2)值班人員向本單位安監(jiān)部門匯報。

(3)組織技術(shù)人員對數(shù)據(jù)進(jìn)行恢復(fù)。

(4)本單位技術(shù)人員無法恢復(fù)丟失數(shù)據(jù)時，應(yīng)向本單位負(fù)責(zé)人匯報并外請專業(yè)人員進(jìn)行數(shù)

據(jù)恢復(fù)，確保數(shù)據(jù)安全。

(5)做好數(shù)據(jù)丟失與恢復(fù)過程的記錄。

6.4、高空作業(yè)應(yīng)急預(yù)案及處置措施

6.4.1應(yīng)急預(yù)案

(1)在高空維修過程中發(fā)生人員墜落風(fēng)險時，如果墜落人員處于清醒狀態(tài)，應(yīng)立即撥打120

送往醫(yī)院進(jìn)行急救；

如果墜落人員處于昏迷狀態(tài)，其他維修人員應(yīng)當(dāng)立即進(jìn)行簡單的急救(如將人平躺在地上,

進(jìn)行按壓胸部、掐人中、人工呼吸等)，同時撥打120急救電話送往醫(yī)院進(jìn)行搶救，并向公司

總調(diào)度室、本單位負(fù)責(zé)人及安監(jiān)部門匯報。

(2)在高空施工過程中發(fā)生人員墜落風(fēng)險時，如果墜落人員處于清醒狀態(tài)，應(yīng)立即撥打120

送往醫(yī)院進(jìn)行急救；

如果墜落人員處于昏迷狀態(tài)，其他維修人員應(yīng)當(dāng)立即進(jìn)行簡單的急救(如將人平躺在地上,

進(jìn)行按壓胸部、掐人中、人工呼吸等)，同時撥打120急救電話送往醫(yī)院進(jìn)行搶救，并向公司

總調(diào)度室、本單位負(fù)責(zé)人及安監(jiān)部門匯報。

6.4.2處置措施

（1）日常高空維修必須在確保人身安全的情況下進(jìn)行，否則不能進(jìn)行維修作業(yè)。

（2）在日常工作中設(shè)計到高空維修，維修人員一定要2人或2人以上進(jìn)行維修。否則，維

修人員可以拒絕維修工作。

（2）高空維修人員必須佩帶安全繩索，并采用安全梯子進(jìn)行高空作業(yè)。否則，不能進(jìn)行高

空維修作業(yè)。

（3）事故發(fā)生后要對事故的經(jīng)過進(jìn)行詳細(xì)記錄，為事故處理提供礴。

個人信息安全管理制度3

為維護(hù)公司信息安全，保證公司網(wǎng)絡(luò)環(huán)境的穩(wěn)定，特制定本制度。

第一條信息安全是指通過各種計算機(jī)、網(wǎng)絡(luò)（內(nèi)部信息平臺）和密碼技術(shù)，保護(hù)信息在傳輸、

交換和存儲過程中的機(jī)密性、完整性和真實性。具體包括以下幾個方面。

1、信息處理和傳輸系統(tǒng)的安全。系統(tǒng)管理員應(yīng)對處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定

期維護(hù)，避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。

2、信息內(nèi)容的安全。側(cè)重于保護(hù)信息的機(jī)密性、完整性和真實性。系統(tǒng)管理員應(yīng)對所負(fù)責(zé)

系統(tǒng)的安全性進(jìn)行評測，采取技術(shù)措施對所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救，防止竊取、冒充信息等。

3、信息傳播安全。要加強(qiáng)對信息的審查，防止和控制非法、有害的信息通過本公司的信息

網(wǎng)絡(luò)（內(nèi)部信息平臺）系統(tǒng)傳播，避免對公司利益、公共利益以及個人利益造成損害。

第二條信息的內(nèi)部管理

1、各部門在向網(wǎng)絡(luò)（內(nèi)部信息平臺）系統(tǒng)提交信息前要作好查毒、殺毒工作，確保信息文

件無毒上載；

2、根據(jù)情況，采取網(wǎng)絡(luò)（內(nèi)部信息平臺）病毒監(jiān)測、查毒、殺毒等技術(shù)措施，提高網(wǎng)絡(luò)（內(nèi)

部信息平臺）的整體搞病毒能力；

3、各信息應(yīng)用部門對本部門所負(fù)責(zé)的信息必須作好備份;

4、各部門應(yīng)對本部門的信息遂行審查，網(wǎng)站各欄目信息的負(fù)責(zé)部門必須對發(fā)布信息制定審

查制度，對信息來源的合法性，發(fā)右范圍，信息欄目維護(hù)的負(fù)責(zé)人等作出明確的規(guī)定。信息發(fā)布

后還要隨時檢查信息的完整性、合法性；如發(fā)現(xiàn)被刪改，應(yīng)及時向信息安全部門報告；

5、涉密文件不可放置個人計算機(jī)中，非涉密電子郵件的收發(fā)也要實行病毒查殺。

第四條信息加密

1、涉及公司秘'密的信息，其電子文檔資料應(yīng)當(dāng)在涉密介質(zhì)中加密單獨存儲；

2、涉及公司和部門利益的敏感信息的電子文檔資料應(yīng)當(dāng)在涉密介質(zhì)中加密單獨存儲；

第五條任何部門和個人不得從事以下活動：

1、利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息；

2、入侵他人計算機(jī)；

3、未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息；

4、未經(jīng)授權(quán)對網(wǎng)絡(luò)（內(nèi)部信息平臺）系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)

用程序）進(jìn)行增加、修改、復(fù)制和刪除等；

5、未經(jīng)授權(quán)杳閱他人郵件；

6、盜用他人名義發(fā)送電子郵件；

7、故意干擾網(wǎng)絡(luò)（內(nèi)部信息平臺）的暢通運(yùn)行；

8、從事其他危害信息網(wǎng)絡(luò)（內(nèi)部信息平臺）系統(tǒng)安全的活動。

第六條本制度自發(fā)布之日起施行，凡與本制度有沖突的均以本制度為準(zhǔn)。

第一項計算機(jī)管理制度

為保證計算機(jī)的正常運(yùn)行，確保計算機(jī)安全運(yùn)行，制定本制度。

一、管理范圍劃分

本公司計算機(jī)分為涉密和非涉密兩部分，涉密計算機(jī)指主要用于儲存或傳輸有關(guān)人事、財務(wù)、

經(jīng)濟(jì)運(yùn)行、信息安全等涉及企業(yè)經(jīng)營管理信息的計算機(jī)。非涉密計算機(jī)指用于儲存或傳輸日常辦

公資料信息計算機(jī)。信息技術(shù)部、關(guān)務(wù)部、財務(wù)部計算機(jī)按照涉密要求進(jìn)行管理。

二、非涉密計算機(jī)日常管理

1、各部門的計算機(jī)，操作人為管理第一責(zé)任人，承擔(dān)公司計算機(jī)操作的管理、保密和安全，

以防止誤操作造成系統(tǒng)紊亂、文件丟失等故障。

2、計算機(jī)主要是用于業(yè)務(wù)數(shù)據(jù)的‘處理及信息傳輸，提高工作效率。嚴(yán)禁上班時間用計算機(jī)

玩游戲及運(yùn)行一切與工作無關(guān)的軟件。

3、新購的計算機(jī)、初次使用的軟件、數(shù)據(jù)載體應(yīng)經(jīng)我部計算機(jī)管理員檢測，確認(rèn)無病毒和

有害數(shù)據(jù)后，方可投入使用。

4、計算機(jī)操作人員發(fā)現(xiàn)本部門的計算機(jī)感染病毒，應(yīng)立即中斷運(yùn)行，并與計算機(jī)管理員聯(lián)

系及時消除。

5、愛護(hù)機(jī)關(guān)計算機(jī)設(shè)備，保持計算機(jī)設(shè)備的干凈整潔。

三、涉密計算機(jī)日常管理

1、涉密的計算機(jī)內(nèi)的重要文件由專人集中加密保存，不得隨意復(fù)制和解密,未經(jīng)加密的重

要文件不能存放在與國際聯(lián)網(wǎng)的計算機(jī)上。

2、對需要保存的涉密信息，可到信息安全科轉(zhuǎn)存到光盤或其他可移動的介質(zhì)上。存儲涉密

信息的介質(zhì)應(yīng)當(dāng)按照所存儲信息的最高密級標(biāo)明密級，并按相應(yīng)密級的文件管理。

3、對信息載體（軟盤、光盤等）及計算機(jī)處理的業(yè)務(wù)報表、技術(shù)數(shù)據(jù)、圖紙要有專人負(fù)責(zé)保

存，按規(guī)定使用、借閱、移交、銷毀。

四、其他

對違反以上規(guī)定的行為視情節(jié)輕重，由公司行政部進(jìn)行處罰，并追究有關(guān)人員的責(zé)任。

個人信息安全管理制度4

一、一般規(guī)定

1、未經(jīng)網(wǎng)管批準(zhǔn)，任何人不得改變網(wǎng)絡(luò)（內(nèi)部信息平臺）拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)（內(nèi)部信息平臺）

設(shè)備布置、服務(wù)器、路由器配置和網(wǎng)絡(luò)（內(nèi)部信息平臺）參數(shù)。

2、任何人不得進(jìn)入未經(jīng)許可的計算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)。

3、機(jī)關(guān)局域網(wǎng)上任何人不得利用計算機(jī)技術(shù)侵占用戶合法利益，不得制作、復(fù)制和傳播妨

害單位穩(wěn)定的有關(guān)信息。

4、各部門應(yīng)定期對本科室計算機(jī)系統(tǒng)和相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份以防發(fā)生故障時進(jìn)行恢復(fù)。

二、帳號管理

1、網(wǎng)絡(luò)（內(nèi)部信息平臺）帳號采用分組管理。并詳細(xì)登記：用戶姓名、部門名稱、口令,

存取權(quán)限，開通時間，網(wǎng)絡(luò)（內(nèi)部信息平臺）資源分配情況等。

2、網(wǎng)絡(luò)（內(nèi)部信息平臺）管理員為用戶設(shè)置明碼口令，用戶可以根據(jù)自己的保密情況進(jìn)行

修改口令，用戶應(yīng)對工作站設(shè)置開機(jī)密碼和屏保密碼。

3、用戶帳號下的雌屬于用戶私有數(shù)據(jù)，當(dāng)事人具有存入權(quán)限，管理員具有管理和備份存

取權(quán)限。

4、網(wǎng)絡(luò)（內(nèi)部信息平臺）管理員根據(jù)有關(guān)帳號管理規(guī)則對用戶帳號執(zhí)行管理，并對用戶帳

號及數(shù)據(jù)的安全和保密負(fù)責(zé)。

5、網(wǎng)絡(luò)（內(nèi)部信息平臺）管理員必須嚴(yán)守職業(yè)道德和職業(yè)紀(jì)律，不得將任何用戶的密碼、

帳號等保密信息等資料的泄露出去。

三、網(wǎng)絡(luò)管理員職責(zé)

1、協(xié)助制定網(wǎng)絡(luò)（內(nèi)部信息平臺）建設(shè)方案，確定網(wǎng)絡(luò)（內(nèi)部信息平臺）安全及資源共享

策略。

2、負(fù)責(zé)公用網(wǎng)絡(luò)（內(nèi)部信息平臺）實體，如服務(wù)器、交換機(jī)、集線器、防火墻、網(wǎng)線、接

插件等的維護(hù)和管理。

3、負(fù)責(zé)服務(wù)器和系統(tǒng)軟件的.安裝、維護(hù)、調(diào)整及更新。

4、負(fù)責(zé)網(wǎng)絡(luò)（內(nèi)部信息平臺）賬號管理，資源分配，數(shù)據(jù)安全和條充安全。

5、監(jiān)視網(wǎng)絡(luò)（內(nèi)部信息平臺）運(yùn)行，調(diào)整參數(shù)，調(diào)度資源，保持網(wǎng)絡(luò)（內(nèi)部信息平臺）安

全、穩(wěn)定、暢通。

6、負(fù)責(zé)系統(tǒng)備份和網(wǎng)絡(luò)（內(nèi)部信息平臺）數(shù)據(jù)備份，負(fù)責(zé)各部門電子數(shù)據(jù)資料的整理和歸

檔。

7、保管網(wǎng)絡(luò)（內(nèi)部信息平臺）拓?fù)鋱D接線表，設(shè)備規(guī)格及配置單，管理記錄,運(yùn)行記錄,

檢修記錄等網(wǎng)絡(luò)（內(nèi)部信息平臺）資料。

8、每年對本單位網(wǎng)絡(luò)（內(nèi)部信息平臺）的效能和各電腦性能進(jìn)行評價，提出網(wǎng)絡(luò)（內(nèi)部信

息平臺）結(jié)構(gòu)、技術(shù)和網(wǎng)絡(luò)、管理的改進(jìn)措施。

四、安全管理職責(zé)

1、保障網(wǎng)絡(luò)（內(nèi)部信息平臺）暢通和信息安全。

2、嚴(yán)格遵守公司、省、市制定的相關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行《網(wǎng)絡(luò)安全工作制度》，

以人為本，依法管理，確保網(wǎng)絡(luò)（內(nèi)部信息平臺）安全有序。

3、在發(fā)生網(wǎng)絡(luò)（內(nèi)部信息平臺）重大突發(fā)事件時，應(yīng)立即報告，采取應(yīng)急措施，盡快恢復(fù)

網(wǎng)絡(luò)（內(nèi)部信息平臺）正常運(yùn)行。

4、充分利用現(xiàn)有的安全設(shè)備設(shè)施、軟件，最大限度地防止計算機(jī)病毒入侵和黑客攻擊。

5、加強(qiáng)信息審查工作，保存，備份至少90天之內(nèi)網(wǎng)絡(luò)信息日志，及時加以分析，排查不

安定因素，防止黃色，反動信息的傳播。

6、經(jīng)常檢查網(wǎng)絡(luò)（內(nèi)部信息平臺）工作環(huán)境的防火、防盜工作。五、電腦操作人員培訓(xùn)制

度

五、病毒的防治管理制度

1、任何人不得在機(jī)關(guān)的局域網(wǎng)上制造傳播任何計算機(jī)病毒，不得故意引入病毒。網(wǎng)絡(luò)（內(nèi)

部信息平臺）使用者發(fā)現(xiàn)病毒應(yīng)立即向網(wǎng)絡(luò)管理員報告。網(wǎng)絡(luò)管理員及時指導(dǎo)和協(xié)助處理病毒。

2、各部門應(yīng)定期查毒，（周期為一周或者10天）管理員應(yīng)及時升級病毒庫，并提示各部

門對殺毒軟件進(jìn)行在線升級。

個人信息安全管理制度5

為確保計算機(jī)網(wǎng)絡(luò)（內(nèi)部信息平臺）系統(tǒng)安全、高效運(yùn)行和各類設(shè)備運(yùn)行處于良好狀態(tài)，正

確使用和維護(hù)各種設(shè)備、管理有章、職責(zé)明確，特制定本制度。

一、一般規(guī)定

1、嚴(yán)禁在網(wǎng)絡(luò)服務(wù)器上安裝一切與工作無關(guān)的軟件。嚴(yán)禁將外來不明的磁盤、光盤、軟件

在網(wǎng)絡(luò)服務(wù)器上使用。嚴(yán)禁在網(wǎng)絡(luò)上運(yùn)行或傳播一切法律法規(guī)禁止、有損公司機(jī)關(guān)形象以及涉及

公司秘密、危害公司安全的軟件或圖文信息。

2、無關(guān)人員不準(zhǔn)進(jìn)入機(jī)房，不準(zhǔn)違規(guī)操作和使用機(jī)房設(shè)備，不準(zhǔn)私自將機(jī)房設(shè)備帶離機(jī)房。

需借用機(jī)房設(shè)備的機(jī)房工作人員必須上報經(jīng)分管領(lǐng)導(dǎo)同意并辦理有關(guān)登記手續(xù)后方可借出。

3、做好機(jī)房設(shè)備的日常維護(hù)工作，嚴(yán)禁在機(jī)房內(nèi)吸煙，不準(zhǔn)在機(jī)房堆放雜物和垃圾，保持

機(jī)房室內(nèi)整潔。下班時，必須關(guān)閉不用的設(shè)備及電源，鎖好機(jī)房門窗，方可離開。

二、值班巡視規(guī)定

1、值班由委門衛(wèi)一并負(fù)責(zé)，遵照委值班規(guī)定。

2、巡視由網(wǎng)絡(luò)管理員負(fù)責(zé)，巡視人員要遵守以下職責(zé)：

（1）要在第一時間發(fā)現(xiàn)隱患，并及時報告，使相關(guān)管理人員能及時趕到現(xiàn)場盡最大可能縮

短故障恢復(fù)時間。

(2)履行機(jī)房的各項規(guī)定，不得作與工作、業(yè)務(wù)無關(guān)的任何私事，不得擅自離開崗位。督

促進(jìn)入機(jī)房人員嚴(yán)格遵守。

(3)負(fù)責(zé)機(jī)房的環(huán)境設(shè)備與網(wǎng)絡(luò)(內(nèi)部信息平臺)系統(tǒng)的安全運(yùn)行；

負(fù)責(zé)完成規(guī)定的日常操作和故障監(jiān)測記錄，簡單故障的排除，負(fù)責(zé)環(huán)境設(shè)備的日常巡視。

3、巡視內(nèi)容包括：

(1)網(wǎng)絡(luò)(內(nèi)部信息平臺)運(yùn)行設(shè)備的巡視：各服務(wù)器的CPU和內(nèi)存的工作狀況；

防火墻的工作狀況；網(wǎng)站的工作狀況；交換機(jī)的工作狀況；客戶端的網(wǎng)絡(luò)(內(nèi)部信息平臺)

運(yùn)行速度；認(rèn)真做好記錄。

(2)機(jī)房環(huán)境的巡視：機(jī)房門的關(guān)閉情況,機(jī)房的衛(wèi)生狀況，機(jī)房的燈光狀況，機(jī)房的溫

度、濕度及空氣狀況，認(rèn)真做好記錄。

(3)機(jī)房設(shè)備的巡視：對機(jī)房空調(diào)系統(tǒng)的.運(yùn)行情況進(jìn)行經(jīng)常性巡視，密切注意工作負(fù)荷、

電池容量、室內(nèi)溫濕度等數(shù)值，以保證網(wǎng)絡(luò)(內(nèi)部信息平臺)安全、正常的運(yùn)行；

電柜的供電電壓、電流；空調(diào)的工作狀況；認(rèn)真做好巡視記錄。

三、日常管理規(guī)定

1、到機(jī)房工作的人員不得在機(jī)房內(nèi)吃食品，飲水，吸煙或其他與工作無關(guān)的事宜。

2、到機(jī)房工作的人員嚴(yán)禁攜帶與工作無關(guān)的物品，特別是易燃、易曝、強(qiáng)磁、腐蝕性物體

等危險物品進(jìn)入機(jī)房。

3、到機(jī)房工作的人員應(yīng)嚴(yán)格遵守崗位責(zé)任制，不能亂動與自己工作無關(guān)的設(shè)備，嚴(yán)禁在機(jī)

房大聲喧嘩、玩電子游戲、聊天等。

4、機(jī)房內(nèi)不能存放田可食品，嚴(yán)禁在機(jī)房內(nèi)存放雜物，嚴(yán)禁在機(jī)房內(nèi)使用其他用電器。

四、運(yùn)行維護(hù)規(guī)定

1、配電柜一年進(jìn)行至少兩次維護(hù)檢查。內(nèi)容包括：清掃灰塵檢杳各接點、觸電的溫升，松

2、機(jī)房專用空調(diào)每年進(jìn)行兩次巡檢，維護(hù)內(nèi)容：清掃及更換各過濾網(wǎng)、清洗或更換加濕罐、

清掃室外機(jī)、測量工作壓力、測量工作電壓、電流、檢查下水管道是否暢通及漏水報警是否正常、

進(jìn)行軟化水更換。

3、機(jī)房防雷設(shè)施每年檢查一次，維護(hù)內(nèi)容：檢測個防雷器的可靠性、檢查接地狀況。

4、機(jī)房每年進(jìn)行兩次專業(yè)保潔，維護(hù)內(nèi)容：對機(jī)房的地板進(jìn)行調(diào)整和清潔、對底板下、天

棚板上進(jìn)行清潔。

五、安全保密規(guī)定

1、做好防雷、防火、防水、防盜、防蟲害。

防雷：按公司的規(guī)定對機(jī)房的設(shè)備進(jìn)行接地。每年要按公司的規(guī)定對防雷設(shè)施及設(shè)備接地進(jìn)

行檢測。

防火：需按公司的規(guī)定在計算機(jī)機(jī)房進(jìn)行設(shè)置消防設(shè)施。設(shè)施每年要按公司規(guī)定進(jìn)行檢測。

防水：要經(jīng)常檢直機(jī)房的防漏水情況，空調(diào)、門窗及屋頂。

防盜：嚴(yán)格機(jī)房進(jìn)出管理，門禁要24小時工作，嚴(yán)格執(zhí)行進(jìn)出機(jī)房的登記制度、嚴(yán)格執(zhí)行

進(jìn)出機(jī)房不得攜帶其他物品的規(guī)定。

防蟲害：經(jīng)常檢查機(jī)房的頂棚上和地板下的封閉情況，和目在機(jī)房內(nèi)在放食品，不得在機(jī)房

內(nèi)堆放雜物。

2、網(wǎng)絡(luò)(內(nèi)部信息平臺)運(yùn)行安全管理

(1)對INTERNET網(wǎng)的進(jìn)口要加裝防火墻。防火墻的設(shè)置要經(jīng)常根據(jù)需要進(jìn)行調(diào)整以防入

侵。

(2)對所有服務(wù)器要安裝病毒軟件，要經(jīng)常對防病毒軟件進(jìn)行升級。經(jīng)常對計算機(jī)病毒進(jìn)

行檢測。

3、系統(tǒng)設(shè)備安全管理

(1)進(jìn)入機(jī)房不得帶拷貝工具和便攜機(jī)；

(2)機(jī)房內(nèi)所有服務(wù)器應(yīng)設(shè)有開機(jī)密碼、系統(tǒng)登陸密碼；

(3)機(jī)房內(nèi)所有服務(wù)器都應(yīng)設(shè)有帶密碼的屏幕保護(hù)；

(4)網(wǎng)管人員操作后應(yīng)將服務(wù)器處于鎖定狀態(tài)；

(5)非網(wǎng)管人員不得私自操作任何服務(wù)器；

(6)認(rèn)真遵守公司的各項保密制度；

(7)嚴(yán)格遵守黨和公司的保密制度。有關(guān)打印結(jié)果、存儲介質(zhì)及原始數(shù)據(jù)必須有本人保管。

帶有密級的媒體應(yīng)用時鎖入保險柜中，收、發(fā)要登記。定期集中銷毀廢棄的涉密紙、物；

(8)需要于正常工作時之夕限用機(jī)房加班的人員，應(yīng)得到主管領(lǐng)導(dǎo)的批準(zhǔn)，并向運(yùn)行值班

人員辦理登記手續(xù)。機(jī)房的值班人員必須同時在場陪同；

(9)嚴(yán)禁與機(jī)房工作無關(guān)的人員進(jìn)入機(jī)房；

(10)非機(jī)房工作人員在機(jī)房工作是必須有機(jī)房值班人員陪同；

(11)機(jī)房內(nèi)各類服務(wù)器應(yīng)由專人分類管理

(12)建立設(shè)備、資料責(zé)任制。

個人信息安全管理制度6

1.安全管理制度要求

1.1總則：為了切實有效的保證公司信息安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務(wù)能力，

特制定交互式信息安全管理制度，設(shè)定管理部門及專業(yè)管理人員對公司整體信息安全進(jìn)行管理,

以確保網(wǎng)絡(luò)與信息安全。

L1.1建立文件化的安全管理制度，安全管理制度文件應(yīng)包括:

a）安全崗位管理制度；

b）系統(tǒng)操作權(quán)限管理;

c）安全培訓(xùn)制度；

d）用戶管理制度；

e）新服務(wù)、新功能安全評估；

f）用戶投訴舉報處理；

g）信息發(fā)布審核、合法資質(zhì)直驗和公共信息巡有；

h）個人電子信息安全保護(hù);

i）安全事件的監(jiān)測、報告和應(yīng)急處置制度；

j）現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。

1.1.2安全管理制度應(yīng)經(jīng)過管理層批準(zhǔn)，并向所有員工宣貫

2.機(jī)構(gòu)要求

2.1法律責(zé)任

2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個能夠承擔(dān)法律責(zé)任的組織或個人。

2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。3.人員安全

3.1安全崗位管理制度

建立安全崗位管理制度，明確主辦人、主要負(fù)責(zé)人、安全責(zé)任人的職責(zé)：崗位管理制度應(yīng)包

括保密管理。

3.2關(guān)鍵崗位人員

3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要

求來執(zhí)行，包括：

L個人身份核查：

2.個人履歷的核查：

3.學(xué)歷、學(xué)位、專業(yè)資質(zhì)證明：

4.從事關(guān)鍵崗位所必須的能力

3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。

3.3安全培訓(xùn)

建立安全培訓(xùn)制度，定期對所有工作人員進(jìn)行信息安全培訓(xùn)，提高全員的信息安全意識，包

括：

1.上崗前的培訓(xùn)；

2.安全制度及其修訂后的培訓(xùn)；

3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓(xùn)。

應(yīng)嚴(yán)格規(guī)范人員離崗過程：

a）及時終止離崗員工的所有訪問權(quán)限；

b）關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開；

c）配合公安機(jī)關(guān)工作的人員變動應(yīng)通報公安機(jī)關(guān)。3.4人員離崗

應(yīng)嚴(yán)格規(guī)范人員離崗過程：

a）及時終止離崗員工的所有訪問權(quán)限；

b）關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開；

c）配合公安機(jī)關(guān)工作的人員變動應(yīng)通報公安機(jī)關(guān)。

4.訪問控制管理

4.1訪問管理制度

建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。

4.2權(quán)限分配

按以下原則根據(jù)人員職責(zé)分配不同的訪問權(quán)限：

a）角色分離，如訪問請求、訪問授權(quán)、訪問管理；

b）滿足工作需要的最小權(quán)限；

c）未經(jīng)明確允許，則一律禁止。

4.3特殊權(quán)限限制和控制特殊訪問權(quán)限的分配和使用：

a）標(biāo)識出每個系統(tǒng)或程序的特殊權(quán)限;

b）按照“按需使用"、"一事一議”的原則分配特殊權(quán)限；

c）記錄特殊權(quán)限的授權(quán)與使用過程；

d）特殊訪問權(quán)限的分配需要管理層的批準(zhǔn)。

注：特殊權(quán)限是系統(tǒng)超級用戶、數(shù)據(jù)庫管理等系統(tǒng)管理權(quán)限。

4.4權(quán)限的檢查

定期對訪問權(quán)限進(jìn)行檢查，對特殊訪問權(quán)限的授權(quán)情況應(yīng)在更頻繁的時間間隔內(nèi)進(jìn)行檢查,

如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置,應(yīng)及時予以調(diào)整。

5網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全

5.1網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全

應(yīng)維護(hù)使用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全，包括：

a）實施計算機(jī)病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞后的恢復(fù)措施；

b）實施7x24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施；

c）適用時，對重要文件的完整性進(jìn)行檢測，并具備文件完整性受到破壞后的恢復(fù)措施；

d）對系統(tǒng)的脆弱性進(jìn)行評估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險。注：系統(tǒng)脆弱性評估包括

采用安全掃描、滲透測試等多種方式。

5.2備份5.2.1

應(yīng)建立備份策略，有足夠的備份設(shè)施確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以恢復(fù)。

5.2.2網(wǎng)絡(luò)鄲出服務(wù)（登錄、消息發(fā)布等）應(yīng)具備容災(zāi)能力。

5.3安全審計

5.3.1應(yīng)記錄用戶活動、異常情況、故障和安全事件的日志。

5.3.2審計日志內(nèi)容應(yīng)包括：

a）用戶注冊相關(guān)信息，包括：

1）用戶唯一標(biāo)識；

2）用戶名稱及修改記錄；

3）身份信息，如姓名、證件類型、證件號碼等；

4）注冊時間、IP地址及端口號；

5）電子郵箱地址和于機(jī)號碼；

6）用戶備注信息；7）用戶其他信息。

b）群組、頻道相關(guān)信息，包括：

1）創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人!P地址及端口號；

2）刪除時間、刪除人、刪除人IP地址及端口號；

3）群組組織結(jié)構(gòu)；

4）群組成員列表。

c）用戶登錄信息，包括：

1）用戶唯一標(biāo)識；

2）登錄時間；

3）退出時間；

4）IP地址及端口號。

d）用戶信息發(fā)布日志，包括：

1）用戶唯一標(biāo)識；

2）信息標(biāo)識；

3）信息發(fā)布時間；

4）IP地址及端口號；

5）信息標(biāo)題或摘要，包括圖片摘要。

e）用戶行為，包括：

1）進(jìn)出群組或頻道；

2）修改、刪除所發(fā)信息；

3）上傳、下載文件。

53.3應(yīng)確保審計日志內(nèi)容的可溯源性，即可追溯到真實的用戶ID、網(wǎng)絡(luò)地址和協(xié)議。電子

郵件、短信息、網(wǎng)絡(luò)電話、即時消息、網(wǎng)絡(luò)聊天等網(wǎng)絡(luò)消息服務(wù)提供者應(yīng)能防范偽造、隱匿發(fā)送

者真實標(biāo)記的消息的措施；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)審

計轉(zhuǎn)換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的，應(yīng)審計原始URL與屈URL之間的映射關(guān)

系。

5.3.4應(yīng)保護(hù)審計日志，保證無法單獨中斷審計進(jìn)程，防止刪除、修改或覆蓋審計日志。

5.3.5應(yīng)能夠根據(jù)公安機(jī)關(guān)要求留存具備指定信息訪問日志的留存功能。

審計日志保存周期

a）應(yīng)永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）

注冊信息、成員列表以及歷史變更記錄；

b）系統(tǒng)維護(hù)日志信息保存12個月以上；

c）應(yīng)留存用戶日志信息12個月以上;

d）對用戶發(fā)布的信息內(nèi)容保存6個月以上；

e）已下線的系統(tǒng)的日志保存周期也應(yīng)符合以上規(guī)定。

6應(yīng)用安全

6.1用戶管理

6.1.1向用戶宣傳法雷去規(guī)，應(yīng)在用戶注冊時，與用戶簽訂服務(wù)協(xié)議，告知相關(guān)權(quán)利義務(wù)及

需承擔(dān)的法律責(zé)任。

6.1.2建立用戶管理制度，包括：

a）用戶實名登記真實身份信息，并對用戶真實身份信息進(jìn)行有效核撿，有校核驗方法可追

溯到用戶登記的真實身份，如：

1）身份證與姓名實名驗證服務(wù)：

2）有效的銀彳亍卡:

3）合法、有效的數(shù)字證書：

4）已確認(rèn)真實身份的網(wǎng)絡(luò)服務(wù)的注冊用戶：

5）經(jīng)電信運(yùn)營商接入實名認(rèn)證E勺用戶。（如某網(wǎng)站采用已經(jīng)實名認(rèn)證的第三方賬號登陸，可

認(rèn)為該網(wǎng)站的用戶已進(jìn)行有效核驗。）

b）應(yīng)對用戶注冊的賬號、頭像和備注等信息進(jìn)行審核，禁止使用違反法律法規(guī)和社會道德

的內(nèi)容：

c）建立用戶黑名單制度，對網(wǎng)站自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報的多次、大量發(fā)送傳播違法有

害信息的用戶納應(yīng)入黑名單管理。

6.1.3當(dāng)用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時，應(yīng)查驗其合法資質(zhì)，查驗可以通過以

下方法進(jìn)行：

a）核對行政許可文件：

b）通過行政許可主管部門的公開信息：

c）通過行政許可主管部門的驗證電話、驗證平臺。

6.2違法有害信息防范和處置

6.2.1公司采取管理與技術(shù)措施，及時發(fā)現(xiàn)和停止違法有害信息發(fā)布。

6.2.2公司采用人工或自動化方式，對發(fā)布的信息逐條審核。

采取技術(shù)措施過濾違法有害信息，包括且不限于：

a）基于關(guān)鍵詞的文字信息屏蔽過濾；

b）基于樣本數(shù)據(jù)特征值的文件屏蔽過濾；

c）基于URL的屏蔽過濾。

623應(yīng)采取技術(shù)措施對違法有害信息的來源實施控制，防止繼續(xù)傳播。

注：違法有害信息、來源控制技術(shù)措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分

享、禁止留言及回復(fù)、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、

切斷與第三方應(yīng)用的互聯(lián)互通等。

6.2.4公司建立7x24h信息巡有制度，及時發(fā)現(xiàn)并處置違法有害信息。

625建立涉嫌違法3巳罪線索、異常情況報告、安全提示和案件調(diào)差配合制度，包括：

a）對發(fā)現(xiàn)的.違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶注冊信息、用戶

登錄信息、用戶發(fā)布信息等記錄），并向?qū)俚毓矙C(jī)關(guān)報告

b）對于煽動非法聚集、策劃恐怖活動、揚(yáng)言實施個人極端暴力行為等重要情況或重大緊急事

件立即向?qū)俚毓矙C(jī)關(guān)報告，同時配合公安機(jī)關(guān)做好調(diào)查取證工作

6.2.6與公安機(jī)關(guān)建立7x24h違法有害信息快速處置工作機(jī)制，有明確URL的單條違法有

害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個環(huán)節(jié)應(yīng)能再5min之內(nèi)

刪除，相關(guān)的屏蔽過濾措施應(yīng)在lCmin內(nèi)生效。6.3破壞性程序防范

6.3.1實施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施、并保留發(fā)現(xiàn)的破壞性程序的相關(guān)證據(jù)。

6.3.2對軟件下載服務(wù)提供者（包括應(yīng)用軟件商店），檢查用戶發(fā)布的軟件是否是計算機(jī)病

毒等惡意代碼。

7個人電子信息保護(hù)

7.1.1制定明確、清楚的個人電子信息處置規(guī)則，并且在顯著位置予以公示。在用戶注冊時,

在與用戶簽訂服務(wù)協(xié)議中明示收集與使用個人電子信息的目的、范圍與方式。

7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實現(xiàn)正當(dāng)商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個人信息；收

集個人電子信息時，取得用戶的明確授權(quán)同意；公司在姜個人電子信息交給第三方處理時，處理

方符合本制度標(biāo)準(zhǔn)的要求，并取得用戶明確授權(quán)同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

7.1.3公司在修改個人電子信息處理時，應(yīng)告知用戶，并取得其同意。

7.2技術(shù)措施

公司建立覆蓋個人電子信息處理的各個環(huán)節(jié)的安全保護(hù)制度和技術(shù)措施防止個人電子信息

泄露、損毀、丟失，包括：

a）采用加密方式保存用戶密碼等重要信息

b）審計內(nèi)部員工對涉及個人電子信息的所有操作，并對審計進(jìn)行分析，預(yù)防內(nèi)部員工故意

泄露

c）審計個人電子信息上載、存睹或傳輸，作為信息泄露，毀損，丟失的查詢依據(jù)

d）建立程序來控制對涉及個人電子信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配。這些程序涵蓋用戶

訪問生存周期內(nèi)的各個階段從新用戶初始注冊到不再需要訪問信息系統(tǒng)和服務(wù)的用戶的最終撤

銷

e）系統(tǒng)的安全保障技術(shù)措施覆蓋個人電子信息處理的各個環(huán)節(jié)，防止網(wǎng)絡(luò)違法犯罪活動竊

取信息，降低個人電子信息泄露的風(fēng)險

7.3個人信息泄露事件的處理

a）當(dāng)發(fā)現(xiàn)個人電子信息泄露時間后，應(yīng)：

b）立即采取補(bǔ)救措施，防止信息繼續(xù)泄露

c）24小時內(nèi)告知用戶，根據(jù)用戶初始注冊信息重新激活賬戶，避免造成更大的損失立即告

屬地公安機(jī)關(guān)

8安全事件管理

8.1安全時間管理制度

8.1.1建立安全事件的監(jiān)測、報告和應(yīng)急處置制度，確?？焖儆行Ш陀行虻仨憫?yīng)安全事件.

8.1.2安全事件包括違法有害信息、危害計算機(jī)信息系統(tǒng)安全的異常情況及突發(fā)公共事件。

8.2應(yīng)急預(yù)案

制定安全事件應(yīng)急處置預(yù)案，向?qū)俚毓矙C(jī)關(guān)寶貝，并定期開展應(yīng)急演練。

8.3突發(fā)公共事件處理

突發(fā)公共事件分為四級：i級（特別重大）、n級（重大）、m級（較大）、iv級（一般）,

互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立相應(yīng)處置機(jī)制，當(dāng)突發(fā)公共事件發(fā)生后，投入相應(yīng)的人力與技術(shù)

措施開展處置工作：

a）I級：應(yīng)投入安全管理等部門80%甚至全部人力開展處置工作；

b）II級：應(yīng)投入安全管理等部門50%-80%的人力開展處置工作；

c）III級：應(yīng)投入安全管理等部門30%-50%的人力開展處置工作；

d）IV級：應(yīng)投入安全管理等部130%的人力開展處置工作。

8.4技術(shù)接口

公司網(wǎng)站所設(shè)技術(shù)接口為公安機(jī)關(guān)提供的符合國家及公共安全行業(yè)標(biāo)準(zhǔn)的技術(shù)接口，能確保

實時，有效地提供相關(guān)證據(jù)。

個人信息安全管理制度7

1目標(biāo)

勝達(dá)集團(tuán)信息安全檢查工作的主要目標(biāo)是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主

要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。

2評估依據(jù)、范圍和方法

2.1評估依據(jù)

根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通

知》（信安通[2006]15號）、國家電力監(jiān)管委員會《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)

開展安全檢查的通知》（辦信息[2006]48號）以及集團(tuán)公司和省公司公司的文件、檢查方案要

求，開展xx單位的信息安全評估。

2.2評估范圍

本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管理信息系統(tǒng)中業(yè)務(wù)

種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜，在檢杳工作中強(qiáng)調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進(jìn)

行安全性評估,具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管

理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況評估。

2.3評估方法

采用自評估方法。

3重要資產(chǎn)識別

對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識

別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感罐和業(yè)務(wù)的服

務(wù)器進(jìn)行登記匯總，形成重要資產(chǎn)清單。

資產(chǎn)清單見附表1。

4安全事件

對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行;□甘、記錄，形成本單位

的‘安全事件列表。安全事件列表見附表2。

5安全檢查項目評估

5.1規(guī)章制度與組織管理評估

5.1.1組織懈

評估標(biāo)準(zhǔn)

信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)溝、工作機(jī)構(gòu)。

5.1.L2現(xiàn)狀描述

本局已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但尚未成立信息安全工作機(jī)構(gòu)。

5.1.1.3評估結(jié)論

完善信息安全組織機(jī)構(gòu),成立信息安全工作機(jī)構(gòu)。

5.1.2崗位職責(zé)

5.121間示準(zhǔn)

崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的

工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實行主、副崗備用制度。

5.122現(xiàn)雌述

我局沒有配置專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員，都是兼責(zé)；

專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，崗位沒有實行主、副崗備用制度。

5.1.23評估結(jié)論

本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人

員；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，根據(jù)實際情況制定管理制度；崗位沒有

實行主、副崗備用制度,在條件許可下，落實主、副崗備用制度。

5.1.3病毒管理

5.1.3.1評估標(biāo)準(zhǔn)

病毒管理包括計算機(jī)病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機(jī)制、病毒

掃描策略（1周內(nèi)至少進(jìn)行一次掃描）O

5.13.2現(xiàn)狀描述

本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù)，定期從省公司病毒庫服務(wù)器下載、升級安

全策略；病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生

技部和省公司生技部；每周進(jìn)行二次自動病毒掃描；沒有制定計算機(jī)病毒防治管理制度。

5.1.3.3評估結(jié)論

完善病毒預(yù)警和報告機(jī)制，制定計算機(jī)病毒防治管理制度。

5.1.4運(yùn)行管理

準(zhǔn)

運(yùn)行管理應(yīng)制定信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制

度并實行工作票制度；制定機(jī)房出入管理制度并上墻，對進(jìn)出機(jī)房情況記錄。

5.1.4.2現(xiàn)狀描述

沒有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維流程、值班制度，

沒有實行工作票制度；機(jī)房出入管理制度上墻，但沒有機(jī)房進(jìn)出情況記錄。

5.1.43評估結(jié)論

結(jié)合本局具體情況，制訂信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運(yùn)維

流程、值班制度，實行工作票制度；機(jī)房出入管理制度上墻，記錄機(jī)房進(jìn)出情況。

5.1.5賬號與口令管理

評估標(biāo)準(zhǔn)

制訂了賬號與口令管理制度；普通用戶賬戶密碼、口令長度要求符合大于6字符，管理員

賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、

文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進(jìn)行變更或注銷。

現(xiàn)WS述

沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6

字符；管理員賬戶密碼、口令長度大于8字符,半年內(nèi)賬戶密碼、口令有過變更，但沒有變更

相關(guān)記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進(jìn)行變更或注銷。

評估結(jié)論

制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密

碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進(jìn)行變更或注銷。

5.2網(wǎng)絡(luò)與系統(tǒng)安全評估

5.2.1網(wǎng)絡(luò)架構(gòu)

示準(zhǔn)

局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備售用設(shè)備，不允許勺卜聯(lián)鏈

路繞過防火墻，具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

現(xiàn)狀描述

局域網(wǎng)核心交換設(shè)備準(zhǔn)備了備用設(shè)備，城域網(wǎng)核心路由設(shè)備采取了設(shè)備冗余；沒有不經(jīng)過防

火墻的外聯(lián)鏈路，有當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

評估結(jié)論

局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備按要求采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，外聯(lián)鏈路

沒有繞過防火墻，完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

5.2.2網(wǎng)絡(luò)分區(qū)

評估標(biāo)準(zhǔn)

生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。

現(xiàn)雌述

生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間沒有進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。

522.3i錨結(jié)論

對生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)之間進(jìn)行分區(qū)，VLAN間的訪問控制設(shè)置合理。

5.2.3網(wǎng)絡(luò)設(shè)備

5.2.3.1評估標(biāo)準(zhǔn)

網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等

服務(wù)，SNMP社區(qū)串、本地用戶口令強(qiáng)?。ǎ?字符，數(shù)字、字母混雜）。

5.23.2現(xiàn)WS述

網(wǎng)絡(luò)設(shè)備配置沒有進(jìn)行備份，網(wǎng)絡(luò)關(guān)鍵點設(shè)備是雙電源，網(wǎng)絡(luò)設(shè)備關(guān)閉了HTTP.FTP.TFTP

等服務(wù)，SNMP社區(qū)串、本地用戶口令沒達(dá)到要求。

5.2.33評估結(jié)論

對網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份,完善SNMP社區(qū)串、本地用戶口令強(qiáng)健（＞8字符，數(shù)字、字

母混雜）。

5.2.4IP管理

評估標(biāo)準(zhǔn)

有IP地址管理系統(tǒng)，IP地址管理有規(guī)劃方案和分配策略，IP地址分配有記錄。

現(xiàn)狀描述

沒有IP地址管理系統(tǒng)，正在進(jìn)行對IP地址的規(guī)劃和分配，IP地址分配有記錄。

5.2.43評估結(jié)論

建立IP地址管理系統(tǒng)，加快進(jìn)行對IP地址的規(guī)劃和分配JP地址分配有記錄。

5.2.5補(bǔ)丁管理

評估標(biāo)準(zhǔn)

有補(bǔ)丁管理的手段拗卜丁管理制度，Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測試

記錄。

5.25.2現(xiàn)狀描述

通過手工補(bǔ)丁管理手段，沒有制訂相應(yīng)管理制度；Windows系統(tǒng)主機(jī)補(bǔ)丁安裝基本齊全，

沒有補(bǔ)丁安裝的測試記錄。

5.2.53評估結(jié)論

完善補(bǔ)丁管理的手段，制訂相應(yīng)管理制度；補(bǔ)缺Windows系統(tǒng)主機(jī)補(bǔ)丁安裝，補(bǔ)丁安裝前

進(jìn)行測試記錄。

5.2.6系統(tǒng)安全配置

示準(zhǔn)

個人信息安全管理制度8

1、校園網(wǎng)的所有工作人員和用戶必須遵守國家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度，

并對所提供的信息負(fù)責(zé)。

2、任何個人不得利用計算機(jī)網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密的活動;不得查閱、復(fù)

制和傳播有礙社會治安和傷風(fēng)敗俗的信息。

3、校園網(wǎng)的'所有工作人員和用戶必須接受并配合學(xué)校治安部門依法進(jìn)行的監(jiān)督檢查和采取

的必要措施。

4、校園網(wǎng)實行統(tǒng)一管理、分層負(fù)責(zé)制。網(wǎng)絡(luò)中心對校級資源進(jìn)行管理，各處、室、部門管

理人員負(fù)責(zé)對各處、室、部門級資源進(jìn)行管理，計算機(jī)系統(tǒng)管理員負(fù)責(zé)對各計算機(jī)系統(tǒng)的管理。

5、嚴(yán)禁任何用戶擅自連入校園網(wǎng)，入網(wǎng)單位和個人要辦理入網(wǎng)登記手續(xù)，并簽署相應(yīng)的信

息安全協(xié)議。

6、各單位設(shè)專人負(fù)責(zé)審查上網(wǎng)信息，嚴(yán)禁涉及國家機(jī)密的信息上網(wǎng)。

7、校園網(wǎng)工作人員和用戶在網(wǎng)絡(luò)上發(fā)現(xiàn)有礙社會治安和不健康的信息時有義務(wù)及時上報網(wǎng)

絡(luò)管理人員并自覺進(jìn)行銷毀。

8、校園網(wǎng)各級管理機(jī)構(gòu)設(shè)定網(wǎng)絡(luò)安全員，負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和