信息与网络管理中心信息安全保密管理办法

信息与网络管理中心信息安全保密管理办法

为加强信息化建设安全保密工作，维护集团安全和利益，结合信息化建设工作实际，特制定本管理办法。

一、 信息安全与保密

1、建立信息系统安全等级保护制度，建立人员权限控制表，进行信息分级管理，不同级别的人员只能查看相应级别的数据；

2、发布任何信息必须经过合法的工作程序或主管领导的审批；

3、记录敏感数据的操作日志，并长期保存；

4、对数据中心的运行拓扑结构、服务器软硬件信息，包括操作系统和应用软件的配置等信息应分级管理并严格保密；

5、在开发、运行、维护过程中，每位成员要有保密意识，不该看的不看，不该说的不说；

6、禁止在自己管理的计算机（工作用机、服务器）上开设与工作无关的服务；

7、禁止在个人用机（笔记本电脑、台式 PC 机）上存放敏感数据；

8、系统管理员、数据库管理员、信息系统开发人员及相关人员不得对外宣扬本职工作所从事的具体内容；

9、所有上互联网的人员必须遵守国家有关法律法规的规定

10、如发生信息安全与保密事故，当事人立即向信息中心主任汇报，相关信息不得向无关人员透露。

二、 数据安全

1、对存放敏感数据的运行服务器须严格管理。系统账号必须登记并定期检查；

2、严格控制对运行数据库和试运行库的直接访问。原则上只有运行服务室数据库管理人员、技术支持人员可以直接访问，其他人员访问数据库必须得到相关领导批准并备案；

3、建立数据备份制度，对数据进行定期备份，包括数据容灾备份；备份的数据应注意保密，不得随意存放；

4、运行数据库不得用于系统的开发调试；

5、测试数据库和开发数据库中不得存放敏感数据；

6、所有管理员（数据库系统、应用系统）应严格管理自己的帐号和密码，并定期更换密码；

7、 管理员登录系统应采用加密方式；

8、 不得利用邮件、移动存储介质、笔记本电脑等将数据中心的涉密资源带出办公室。

三、 网络和服务器安全

1、设立信息系统安全保密责任人，加强对信息安全工作的组织落实；

2、设立信息安全管理员岗位，并制定相应的岗位职责；

3、建立数据中心网络信息安全防范体系，保证服务器特别是关键服务器的安全；

4、凡用于对外提供服务的服务器必须保留至两年的日志。

四、 数据中心机房安全

1、对存放服务器的数据中心机房建立机房管理制度和严密的保安措施，无关人员严禁入内，相关人员进出机房必须有相应登记；

2、对信息备份的介质要专人保管，定期检查，防止丢失或受损；

3、加强机房日常管理，制定数据中心机房值班制度；

4、对于进出数据中心机房的设备必须经过严格的审批和登记手续。

五、 办公环境安全

1、对于新装的计算机必须严格按照规范进行；

2、每位成员在其办公用机安装操作系统后，必须安装补丁程序、防病毒软件并进行安全检查。每位成员负责自己使用的办公用机的安全，及时更新补丁，升级相关软件及病毒库；

3、所有成员都有责任和义务保管好所使用的网络设施和计算机设备，非管理人员禁止随意更改设备配置，确保设备的正常稳定运行；

4、禁止未授权的其他人员接入中心的计算机网络以及访问网络中的资源；

5、IP 地址为计算机网络的重要资源，使用者应在管理员的规划下使用这些资源，不能擅自更改。某些系统服务对网络产生影响，使用者应在安全管理员的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行；

6、计算机使用者应保管好分配给自己的用户账号和密码。禁止随意向他人泄露、借用自己的账号和密码，严禁不以真实身份登录系统。计算机使用者应定期更改密码、使用复杂密码。不得猜测他人的密码，不得使用黑客程序进行密码破解，不得窃取系统管理员的密码；

7、上网时必须将杀毒软件的实时监测功能打开；

8、接到可疑邮件时不要随意打开，以免感染病毒；

9、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常上课和工作的行为。

信息与网络管理中心信息安全保密管理办法

为加强信息化建设安全保密工作，维护集团安全和利益，结合信息化建设工作实际，特制定本管理办法。

一、 信息安全与保密

1、建立信息系统安全等级保护制度，建立人员权限控制表，进行信息分级管理，不同级别的人员只能查看相应级别的数据；

2、发布任何信息必须经过合法的工作程序或主管领导的审批；

3、记录敏感数据的操作日志，并长期保存；

4、对数据中心的运行拓扑结构、服务器软硬件信息，包括操作系统和应用软件的配置等信息应分级管理并严格保密；

5、在开发、运行、维护过程中，每位成员要有保密意识，不该看的不看，不该说的不说；

6、禁止在自己管理的计算机（工作用机、服务器）上开设与工作无关的服务；

7、禁止在个人用机（笔记本电脑、台式 PC 机）上存放敏感数据；

8、系统管理员、数据库管理员、信息系统开发人员及相关人员不得对外宣扬本职工作所从事的具体内容；

9、所有上互联网的人员必须遵守国家有关法律法规的规定

10、如发生信息安全与保密事故，当事人立即向信息中心主任汇报，相关信息不得向无关人员透露。

二、 数据安全

1、对存放敏感数据的运行服务器须严格管理。系统账号必须登记并定期检查；

2、严格控制对运行数据库和试运行库的直接访问。原则上只有运行服务室数据库管理人员、技术支持人员可以直接访问，其他人员访问数据库必须得到相关领导批准并备案；

3、建立数据备份制度，对数据进行定期备份，包括数据容灾备份；备份的数据应注意保密，不得随意存放；

4、运行数据库不得用于系统的开发调试；

5、测试数据库和开发数据库中不得存放敏感数据；

6、所有管理员（数据库系统、应用系统）应严格管理自己的帐号和密码，并定期更换密码；

7、 管理员登录系统应采用加密方式；

8、 不得利用邮件、移动存储介质、笔记本电脑等将数据中心的涉密资源带出办公室。

三、 网络和服务器安全

1、设立信息系统安全保密责任人，加强对信息安全工作的组织落实；

2、设立信息安全管理员岗位，并制定相应的岗位职责；

3、建立数据中心网络信息安全防范体系，保证服务器特别是关键服务器的安全；

4、凡用于对外提供服务的服务器必须保留至两年的日志。

四、 数据中心机房安全

1、对存放服务器的数据中心机房建立机房管理制度和严密的保安措施，无关人员严禁入内，相关人员进出机房必须有相应登记；

2、对信息备份的介质要专人保管，定期检查，防止丢失或受损；

3、加强机房日常管理，制定数据中心机房值班制度；

4、对于进出数据中心机房的设备必须经过严格的审批和登记手续。

五、 办公环境安全

1、对于新装的计算机必须严格按照规范进行；

2、每位成员在其办公用机安装操作系统后，必须安装补丁程序、防病毒软件并进行安全检查。每位成员负责自己使用的办公用机的安全，及时更新补丁，升级相关软件及病毒库；

3、所有成员都有责任和义务保管好所使用的网络设施和计算机设备，非管理人员禁止随意更改设备配置，确保设备的正常稳定运行；

4、禁止未授权的其他人员接入中心的计算机网络以及访问网络中的资源；

5、IP 地址为计算机网络的重要资源，使用者应在管理员的规划下使用这些资源，不能擅自更改。某些系统服务对网络产生影响，使用者应在安全管理员的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行；

6、计算机使用者应保管好分配给自己的用户账号和密码。禁止随意向他人泄露、借用自己的账号和密码，严禁不以真实身份登录系统。计算机使用者应定期更改密码、使用复杂密码。不得猜测他人的密码，不得使用黑客程序进行密码破解，不得窃取系统管理员的密码；

7、上网时必须将杀毒软件的实时监测功能打开；

8、接到可疑邮件时不要随意打开，以免感染病毒；

9、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常上课和工作的行为。