信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度第一章總則第一條為保證公司計算機網(wǎng)絡(luò)能夠安全可靠的運行,防止系統(tǒng)及數(shù)據(jù)被非法利用或破壞,充分發(fā)揮其在生產(chǎn)、經(jīng)營辦公和信息服務(wù)方面的重要作用,更好的為員工提供服務(wù)特制定本辦法。第二條本制度涉及的信息系統(tǒng),是指由計算機及其相關(guān)的配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的,按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的計算機系統(tǒng);本制度所指的計算機軟件是指在我公司內(nèi)部使用的計算機應(yīng)用軟件,適用于公司范圍內(nèi)的計算機系統(tǒng)。第二章組織機構(gòu)和職責第三條成立公司信息安全小組,由公司領(lǐng)導、辦公室,各相關(guān)部門、計算機維護人員組成,指定公司信息系統(tǒng)安全員和各系統(tǒng)管理員。第四條公司主要領(lǐng)導是公司信息系統(tǒng)管理和網(wǎng)絡(luò)安全的第一責任人,信息安全小組負責公司計算機應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全的全面管理和運行維護。第五條計算機系統(tǒng)管理員負責公司內(nèi)部信息系統(tǒng)及計算機網(wǎng)絡(luò)安全的管理和維護工作,為公司內(nèi)部網(wǎng)絡(luò)的安全運行提供技術(shù)保障。第六條信息安全員負責對公司信息化相關(guān)的各項申請記錄進行復核,審查用戶帳號使用情況和權(quán)限分配是否合理,對公司重要信息進行安全分級,定期復查系統(tǒng)管理員填制的各項檢查記錄。第七條公司的所有計算機及外圍設(shè)備是公司的固定資產(chǎn)按照誰使用誰負責的原則,落實責任人,使用部門為責任部門,負責保管配備的信息化資產(chǎn)的完好,保證良好的使用環(huán)境,并建立資產(chǎn)臺賬。笫三章系統(tǒng)安全管理一、賬號管理第八條應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)厙（以下簡稱“各系統(tǒng)”）的用戶名均應(yīng)該專人專用,用以識別不同的用戶和賬號,以確保可溯源和可追蹤性。第九條各系統(tǒng)的管理員賬號需進行有效的保護,經(jīng)公司信息安全小組審核后,由信息系統(tǒng)安全員分配管理員訪問權(quán)限給系統(tǒng)管理員。第十條各系統(tǒng)均需要設(shè)置充分的用戶密碼安全策略,包括：1、設(shè)定密碼最小長度不得低于八位；2、密碼一定由數(shù)字、字母和符號共同組成；3、設(shè)置密碼過期期限,定期更改密碼；4、設(shè)置密碼鎖定前登錄失敗次數(shù)等安全策略。第十一條各信息系統(tǒng)自帶的默認賬號和密碼必須在系統(tǒng)初次使用時進行修改,密碼由系統(tǒng)管理員保管。第十二條公司信息系統(tǒng)的訪問和應(yīng)用只限于通過公司內(nèi)網(wǎng)進行,如因特殊情況需要通過外網(wǎng)訪間信息系統(tǒng)的,報信息安全小組批準并由自動化所投權(quán)同意后方可進行。第十三條保全處每半年組織相關(guān)業(yè)務(wù)員部門對信息系統(tǒng)賬號進行復核,將信息系統(tǒng)的用戶及其權(quán)限清單提交給業(yè)務(wù)部門負責人,確認并審核權(quán)限的合理性,通過查看系統(tǒng)日志,檢查不適當賬號和權(quán)限的使用情況,對違規(guī)使用情況進行通報并立即整改。第十四條需新增或調(diào)整賬戶權(quán)限的用戶,由使用部門提出申請,并填寫相關(guān)崗位權(quán)限調(diào)整申請表,經(jīng)信息安全小組審核批準后,由系統(tǒng)管理員調(diào)整用戶賬號及相應(yīng)權(quán)限。二、防病毒管理第十五條公司信息安全小組負責防病毒軟件的部署與配置，用戶與信息設(shè)備責任人負責所用計算機系統(tǒng)及數(shù)據(jù)的基本防護。第十六條所有接入公司網(wǎng)絡(luò)的計算機都必須安裝防病毒軟件;外來計算機要接入公司網(wǎng)絡(luò)必須裝有防病毒軟件和最新的病毒庫和查殺引擎,報經(jīng)信息安全小組負責人批準后,由系統(tǒng)管理員檢查該計算機,符合要求后由系統(tǒng)管理員為該計算機設(shè)置網(wǎng)絡(luò)連接。第十七條公司計算機的防病毒軟件的實時監(jiān)控要默認打開,不得擅自關(guān)閉。第十八條公司計算機的防病毒軟件和病毒庫要通過一定的技術(shù)手段（例如給殺毒軟件增加防護密碼等）進行保護,防止用戶誤刪或未經(jīng)授權(quán)強制刪除或禁用防病毒程序。第十九條信息安全小組負責指導和培訓用戶的防病毒知識提高用戶的防病毒意識。第二十條系統(tǒng)管理員要定期檢查并提醒用戶升級最新的操作系統(tǒng)補丁。三、數(shù)據(jù)管理第二十一條各部門要對本部門重要信息進行安全分級,對不同的數(shù)據(jù)文件采取不同的保密措施防止泄密。第二十二條系統(tǒng)管理員對新發(fā)布的系統(tǒng)補丁程序進行風險評估,判斷補丁程序可能會對各系統(tǒng)帶來的影響,必要情況下應(yīng)在測試環(huán)境下進行測試,填寫《補丁程序測試記錄》,并集中匯報給信息安全小組進行審核。經(jīng)測試無誤后方可在生產(chǎn)系統(tǒng)計算機中更新補丁程序。（見附件二《補丁程序測試記錄》）第二十三條信息安全員每周檢查上一周由系統(tǒng)管理員檢查的各項記錄,并對所檢查項目進行復核,填寫各類記錄單。第二十四條DCS負責公司所屬醫(yī)療信息化設(shè)備軟件和數(shù)據(jù)的備份,每月對控制系統(tǒng)軟件及數(shù)據(jù)進行一次異地備份,每月對代碼數(shù)據(jù)進行一次異地備份，負責對業(yè)務(wù)數(shù)據(jù)進行備份,所有備份應(yīng)刻錄成光盤,由信息安全員保管。第四章網(wǎng)絡(luò)與設(shè)備管理第二十五條系統(tǒng)管理員定期檢查防火墻、服務(wù)器及各網(wǎng)絡(luò)設(shè)備監(jiān)控日志,若發(fā)現(xiàn)異常,及時上報和詳細記錄并跟蹤解決;分析、檢查和跟進結(jié)果均記錄在《日志綜合檢查表》中，信息安全員負責復查確認。（見附件三《日志綜合檢查表》）第二十六條由于網(wǎng)絡(luò)設(shè)備的特殊重要性,網(wǎng)絡(luò)設(shè)備的配置管理由系統(tǒng)管理員完成,其他任何人不得改動設(shè)備配置。第二十七條為了保證特殊情況下的接管工作,系統(tǒng)管理員必須做好網(wǎng)絡(luò)設(shè)備的配置記錄,對每次的配置改動作記錄,并備份設(shè)備的配置文檔,記錄配置時間。第二十八條公司網(wǎng)絡(luò)端口只允許投權(quán)用戶使用,不得擅自接入交換設(shè)備,未辦理端口授權(quán)手續(xù),不得使用網(wǎng)絡(luò)端口,嚴禁自行接線上網(wǎng)。外來人員如需接入內(nèi)網(wǎng),需要經(jīng)過信息主管部門或信息安全小組負責人審批。第二十九條公司內(nèi)嚴禁私自搭建無線網(wǎng)絡(luò)平臺,嚴禁私自接入無線網(wǎng)絡(luò)設(shè)備。若因工作需要組建無線網(wǎng)絡(luò)的,需向設(shè)備保全處申報,由保全處組織對申報的無線平臺方案進行論證,批準后方可搭建。第三十條公司的聯(lián)網(wǎng)工作必須報公司主管部門批準后實施。實施完成后,應(yīng)繪制竣工圖,報部室信息主管部門。未經(jīng)公司信息安全小組審批,任何部門不得私自連接交換機集線器等網(wǎng)絡(luò)設(shè)備,不得私自接入網(wǎng)絡(luò),發(fā)現(xiàn)私自接入的網(wǎng)絡(luò)線路將予以拆除,并對相關(guān)部門及責任人進行考核。第三十一條計算機網(wǎng)絡(luò)布線應(yīng)按照施工標準規(guī)范建設(shè),交換機、光電轉(zhuǎn)換器、HUB的安裝力求實用美觀;交換機、光電轉(zhuǎn)換器等網(wǎng)絡(luò)重要設(shè)備應(yīng)綁扎固定;計算機網(wǎng)絡(luò)和交換機等網(wǎng)絡(luò)設(shè)備集中的機房需具備相應(yīng)的接地防雷措施。第三十二條公司所有計算機設(shè)備、網(wǎng)絡(luò)設(shè)備（包括交換機集線器、光電轉(zhuǎn)換器等）,應(yīng)建立臺賬資料庫,臺賬應(yīng)包括所有計算機設(shè)備,網(wǎng)絡(luò)設(shè)備的購置年限、一般配置、使用部門、隨機資料和軟件介質(zhì)等,具體參照《計算機管理辦法》。第三十三條由設(shè)備保全處牽頭,定期對計算機及其使用情況進行檢查;檢查內(nèi)容包括計算機設(shè)備的維護和保養(yǎng)、環(huán)境衛(wèi)生、計算機病毒的查殺、計算機是否安裝了與工作無關(guān)的其它游戲軟件等,一經(jīng)發(fā)現(xiàn)違規(guī)情況將予以通報考核。第五章中心機房管理第三十四條DCS工程師站是公司信息化設(shè)備的核心區(qū)域,涉及范圍廣,技術(shù)保密性強,環(huán)境要求高,對生產(chǎn)的影響較大為保證設(shè)備正常,高效的運行,無關(guān)人員不得擅自進入。外來人員進入機房必須由主管部門同意,必須有專人陪同,禁止帶與工作無關(guān)物品進入;非機房工作人員未經(jīng)許可不得擅自對運行設(shè)備及各種配置進行更改。第三十五條路由器、交換機和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備,須放置在機柜內(nèi),不得自行配置或更換,更不能挪作它用。第三十六條機房工作人員應(yīng)做好網(wǎng)絡(luò)安全工作,網(wǎng)絡(luò)設(shè)備及服務(wù)器的各種帳號嚴格保密。并對各類操作密碼定期更改系統(tǒng)管理人員應(yīng)不定期監(jiān)控中心機房設(shè)備運行狀況,發(fā)現(xiàn)異常情況應(yīng)立即按照預(yù)案規(guī)程進行操作,并及時上報和詳細記錄。（見附件四《機房綜合巡檢表》、附件五《應(yīng)用服務(wù)器檢查記錄》）笫六章互聯(lián)網(wǎng)安全及郵件系統(tǒng)管理第三十七條嚴格執(zhí)行國家《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》。不得利用網(wǎng)絡(luò)從事任何有悖網(wǎng)絡(luò)法規(guī)的活動,任何人不得惡意掃描、攻擊他人計算機,不得盜用,竊取他人資料、信息等。第三十八條公司各部門人員應(yīng)嚴格遵守國家相關(guān)法律法規(guī)規(guī)定,在法律許可范圍內(nèi)規(guī)范使用互聯(lián)網(wǎng)進行信息交流和傳遞活動,同時要做好所使用計算機的安全防護,及時安裝系統(tǒng)補丁和病毒庫,防止網(wǎng)絡(luò)病毒的傳播。第三十九條公司各員工負有信息保密的責任和義務(wù)。任何人不得利用公司計算機網(wǎng)絡(luò)泄露公司機密、技術(shù)資料和其他保密資料。第四十條任何人不得在網(wǎng)絡(luò)上發(fā)布有損公司形象和聲譽的信息。第四十一條本制度自下發(fā)之日起開始執(zhí)行,由設(shè)備保全處負責起草并對口管理。

附錄：補丁程序測試記錄系統(tǒng)名稱：系統(tǒng)：系統(tǒng)問題描述：提交日期：一、系統(tǒng)補丁基本信息補丁名稱：版本號：發(fā)布日期：發(fā)布單位：操作系統(tǒng)：語言：補丁內(nèi)容描述：二、補丁更新流程記錄測試環(huán)境是否準備好：口是口否補丁程序是否完成：口是口否安裝過程有無異常： 口是口否補丁是否安裝成功：口是口否安裝日期：測試人簽字：注：《程序測試跟蹤記錄》由簽字人完成三、程序測試跟蹤記錄日期系統(tǒng)環(huán)境是否異常應(yīng)用系統(tǒng)有誤異常其他信息摘要

第一天□有口無□有口無第五天□有口無□有口無第十天□有口無□有口無第十五天□有口無□有口無四、補丁測試結(jié)論報告安裝補丁后是否解決原系統(tǒng)問題：口是口否其他信息摘要解決原系統(tǒng)問題有無產(chǎn)生新問題：口是口否止匕補丁有無更新必要：口是口否此補丁是否具有推廣更新必要：口是口否確認人：確認日期：復審人簽字：復審日期：日志綜合檢查表檢查時間：年月日檢查人：復查時間：年月日復查人：檢查項檢查結(jié)果完成情況摘要備注口日志服務(wù)器設(shè)□正?？诓弧跻焉蠄罂谝?/p>

備日志正常解決口防火墻自動記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口應(yīng)用服務(wù)器記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q注：主要檢查日志有無缺失，有無嚴重及以上級別的警報，警告內(nèi)容記錄等其他各類異常情況；復查有信息安全員完成。檢查時間：年月日檢查人：復查時間：年月日復查人：檢查項檢查結(jié)果完成情況摘要備注口日志服務(wù)器設(shè)備日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口防火墻自動記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口應(yīng)用服務(wù)器記錄日志□正?？诓徽！跻焉蠄罂谝呀鉀Q注：主要檢查日志有無缺失，有無嚴重及以上級別的警報，警告內(nèi)容記錄等其他各類異常情況；復查有信息安全員完成。檢查時間：年月日檢查人：復查時間：年月日復查人：檢查項檢查結(jié)果完成情況摘要備注口日志服務(wù)器設(shè)備日志□正?？诓徽！跻焉蠄罂谝呀鉀Q口防火墻自動記□正常口不□已上報口已

錄日志正常解決□應(yīng)用服務(wù)器記錄日志□正?！醪徽！跻焉蠄蟆跻呀鉀Q注：主要檢查日志有無缺失，有無嚴重及以上級別的警報，警告內(nèi)容記錄等其他各類異常情況；復查有信息安全員完成。機房綜合巡檢表檢查時間：檢查人：一、機房環(huán)境檢查項檢查結(jié)果情況摘要溫度□正?！醪徽：圹E□正?！醪徽．愴憽跽！醪徽穸取跽！醪徽Ｇ鍧崱跽！醪徽．愇丁跽！醪徽Ｗⅲ汉圹E檢查地面、墻壁、天花板是否有裂痕、水漬；機房內(nèi)是否有鼠患、蟻患、蟑螂等活動痕跡。二、周邊設(shè)備檢查項檢查結(jié)果情況摘要UPS□正常□不正常電池組□正?！醪徽?/p>

空調(diào)口正?？诓徽Ｏ揽谡？诓徽６?、應(yīng)用設(shè)備檢查項檢查結(jié)果情況摘要核心設(shè)備數(shù)據(jù)指示燈情況口正常口不正常端口及網(wǎng)線情況口正?？诓徽＞W(wǎng)絡(luò)通信情況口正常口不正常注：包括核心路由器、交換機、防火墻、IPS等安全設(shè)備，語音網(wǎng)關(guān)及服務(wù)器，光電收發(fā)器等。檢查項檢查結(jié)果情況摘要支路設(shè)備數(shù)據(jù)指示燈情況口正?？诓徽６丝诩熬W(wǎng)線情況口正?？诓徽＞W(wǎng)絡(luò)通信情況口正常口不正常注：包括DMZ區(qū)防火墻，Web服務(wù)器交換機，數(shù)據(jù)存儲設(shè)備等。檢查項檢查結(jié)果情況摘要應(yīng)用服務(wù)器服務(wù)器工作指