2025年信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度第一章總則第一條為保證企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)可以安全可靠的運(yùn)行,防止系統(tǒng)及數(shù)據(jù)被非法運(yùn)用或破壞,充足發(fā)揮其在生產(chǎn)、經(jīng)營(yíng)辦公和信息服務(wù)方面的重要作用,更好的為員工提供服務(wù)特制定本措施。第二條本制度波及的信息系統(tǒng),是指由計(jì)算機(jī)及其有關(guān)的配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目的和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳播、檢索等處理的計(jì)算機(jī)系統(tǒng);本制度所指的計(jì)算機(jī)軟件是指在我企業(yè)內(nèi)部使用的計(jì)算機(jī)應(yīng)用軟件,合用于企業(yè)范圍內(nèi)的計(jì)算機(jī)系統(tǒng)。第二章組織機(jī)構(gòu)和職責(zé)第三條成立企業(yè)信息安全小組,由企業(yè)領(lǐng)導(dǎo)、辦公室,各有關(guān)部門、計(jì)算機(jī)維護(hù)人員構(gòu)成,指定企業(yè)信息系統(tǒng)安全員和各系統(tǒng)管理員。第四條企業(yè)重要領(lǐng)導(dǎo)是企業(yè)信息系統(tǒng)管理和網(wǎng)絡(luò)安全的第一負(fù)責(zé)人,信息安全小組負(fù)責(zé)企業(yè)計(jì)算機(jī)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全的全面管理和運(yùn)行維護(hù)。第五條計(jì)算機(jī)系統(tǒng)管理員負(fù)責(zé)企業(yè)內(nèi)部信息系統(tǒng)及計(jì)算機(jī)網(wǎng)絡(luò)安全的管理和維護(hù)工作,為企業(yè)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行提供技術(shù)保障。第六條信息安全員負(fù)責(zé)對(duì)企業(yè)信息化有關(guān)的各項(xiàng)申請(qǐng)記錄進(jìn)行復(fù)核,審查顧客帳號(hào)使用狀況和權(quán)限分派與否合理,對(duì)企業(yè)重要信息進(jìn)行安全分級(jí),定期復(fù)查系統(tǒng)管理員填制的各項(xiàng)檢查記錄。第七條企業(yè)的所有計(jì)算機(jī)及外圍設(shè)備是企業(yè)的固定資產(chǎn)按照誰(shuí)使用誰(shuí)負(fù)責(zé)的原則,貫徹負(fù)責(zé)人,使用部門為責(zé)任部門,負(fù)責(zé)保管配置的信息化資產(chǎn)的完好,保證良好的使用環(huán)境,并建立資產(chǎn)臺(tái)賬。笫三章系統(tǒng)安全管理一、賬號(hào)管理第八條應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)厙(如下簡(jiǎn)稱“各系統(tǒng)”）的顧客名均應(yīng)當(dāng)專人專用,用以識(shí)別不一樣的顧客和賬號(hào),以保證可溯源和可追蹤性。第九條各系統(tǒng)的管理員賬號(hào)需進(jìn)行有效的保護(hù),經(jīng)企業(yè)信息安全小組審核後,由信息系統(tǒng)安全員分派管理員訪問權(quán)限給系統(tǒng)管理員。第拾條各系統(tǒng)均需要設(shè)置充足的顧客密碼安全方略,包括：1、設(shè)定密碼最小長(zhǎng)度不得低于八位；2、密碼一定由數(shù)字、字母和符號(hào)共同構(gòu)成；3、設(shè)置密碼過(guò)期期限,定期更改密碼；4、設(shè)置密碼鎖定前登錄失敗次數(shù)等安全方略。第拾一條各信息系統(tǒng)自帶的默認(rèn)賬號(hào)和密碼必須在系統(tǒng)初次使用時(shí)進(jìn)行修改,密碼由系統(tǒng)管理員保管。第拾二條企業(yè)信息系統(tǒng)的訪問和應(yīng)用只限于通過(guò)企業(yè)內(nèi)網(wǎng)進(jìn)行,如因特殊狀況需要通過(guò)外網(wǎng)訪間信息系統(tǒng)的,報(bào)信息安全小組同意并由自動(dòng)化所投權(quán)同意後方可進(jìn)行。第拾三條保全處每六個(gè)月組織有關(guān)業(yè)務(wù)員部門對(duì)信息系統(tǒng)賬號(hào)進(jìn)行復(fù)核,將信息系統(tǒng)的顧客及其權(quán)限清單提交給業(yè)務(wù)部門負(fù)責(zé)人,確認(rèn)并審核權(quán)限的合理性,通過(guò)查看系統(tǒng)曰志,檢查不合適賬號(hào)和權(quán)限的使用狀況,對(duì)違規(guī)使用狀況進(jìn)行通報(bào)并立即整改。第拾四條需新增或調(diào)整賬戶權(quán)限的顧客,由使用部門提出申請(qǐng),并填寫有關(guān)崗位權(quán)限調(diào)整申請(qǐng)表,經(jīng)信息安全小組審核同意後,由系統(tǒng)管理員調(diào)整顧客賬號(hào)及對(duì)應(yīng)權(quán)限。二、防病毒管理第拾五條企業(yè)信息安全小組負(fù)責(zé)防病毒軟件的布署與配置，顧客與信息設(shè)備負(fù)責(zé)人負(fù)責(zé)所用計(jì)算機(jī)系統(tǒng)及數(shù)據(jù)的基本防護(hù)。第拾六條所有接入企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)都必須安裝防病毒軟件;外來(lái)計(jì)算機(jī)要接入企業(yè)網(wǎng)絡(luò)必須裝有防病毒軟件和最新的病毒庫(kù)和查殺引擎,報(bào)經(jīng)信息安全小組負(fù)責(zé)人同意後,由系統(tǒng)管理員檢查該計(jì)算機(jī),符合規(guī)定後由系統(tǒng)管理員為該計(jì)算機(jī)設(shè)置網(wǎng)絡(luò)連接。第拾七條企業(yè)計(jì)算機(jī)的防病毒軟件的實(shí)時(shí)監(jiān)控要默認(rèn)打開,不得私自關(guān)閉。第拾八條企業(yè)計(jì)算機(jī)的防病毒軟件和病毒庫(kù)要通過(guò)一定的技術(shù)手段(例如給殺毒軟件增長(zhǎng)防護(hù)密碼等)進(jìn)行保護(hù),防止顧客誤刪或未經(jīng)授權(quán)強(qiáng)制刪除或禁用防病毒程序。第拾九條信息安全小組負(fù)責(zé)指導(dǎo)和培訓(xùn)顧客的防病毒知識(shí)提高顧客的防病毒意識(shí)。第二拾條系統(tǒng)管理員要定期檢查并提醒顧客升級(jí)最新的操作系統(tǒng)補(bǔ)丁。三、數(shù)據(jù)管理第二拾一條各部門要對(duì)本部門重要信息進(jìn)行安全分級(jí),對(duì)不一樣的數(shù)據(jù)文獻(xiàn)采用不一樣的保密措施防止泄密。第二拾二條系統(tǒng)管理員對(duì)新公布的系統(tǒng)補(bǔ)丁程序進(jìn)行風(fēng)險(xiǎn)評(píng)估,判斷補(bǔ)丁程序也許會(huì)對(duì)各系統(tǒng)帶來(lái)的影響,必要狀況下應(yīng)在測(cè)試環(huán)境下進(jìn)行測(cè)試,填寫《補(bǔ)丁程序測(cè)試記錄》,并集中匯報(bào)給信息安全小組進(jìn)行審核。經(jīng)測(cè)試無(wú)誤後方可在生產(chǎn)系記錄算機(jī)中更新補(bǔ)丁程序。(見附件二《補(bǔ)丁程序測(cè)試記錄》)第二拾三條信息安全員每周檢查上一周由系統(tǒng)管理員檢查的各項(xiàng)記錄,并對(duì)所檢查項(xiàng)目進(jìn)行復(fù)核,填寫各類記錄單。第二拾四條DCS負(fù)責(zé)企業(yè)所屬醫(yī)療信息化設(shè)備軟件和數(shù)據(jù)的備份,每月對(duì)控制系統(tǒng)軟件及數(shù)據(jù)進(jìn)行一次異地備份,每月對(duì)代碼數(shù)據(jù)進(jìn)行一次異地備份，負(fù)責(zé)對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份,所有備份應(yīng)刻錄成光盤,由信息安全員保管。第四章網(wǎng)絡(luò)與設(shè)備管理第二拾五條系統(tǒng)管理員定期檢查防火墻、服務(wù)器及各網(wǎng)絡(luò)設(shè)備監(jiān)控曰志,若發(fā)現(xiàn)異常,及時(shí)上報(bào)和詳細(xì)記錄并跟蹤處理;分析、檢查和跟進(jìn)成果均記錄在《曰志綜合檢查表》中，信息安全員負(fù)責(zé)復(fù)查確認(rèn)。(見附件三《曰志綜合檢查表》)第二拾六條由于網(wǎng)絡(luò)設(shè)備的特殊重要性,網(wǎng)絡(luò)設(shè)備的配置管理由系統(tǒng)管理員完畢,其他任何人不得改動(dòng)設(shè)備配置。第二拾七條為了保證特殊狀況下的接管工作,系統(tǒng)管理員必須做好網(wǎng)絡(luò)設(shè)備的配置記錄,對(duì)每次的配置改動(dòng)作記錄,并備份設(shè)備的配置文檔,記錄配置時(shí)間。第二拾八條企業(yè)網(wǎng)絡(luò)端口只容許投權(quán)顧客使用,不得私自接入互換設(shè)備,未辦理端口授權(quán)手續(xù),不得使用網(wǎng)絡(luò)端口,嚴(yán)禁自行接線上網(wǎng)。外來(lái)人員如需接入內(nèi)網(wǎng),需要通過(guò)信息主管部門或信息安全小組負(fù)責(zé)人審批。第二拾九條企業(yè)內(nèi)嚴(yán)禁私自搭建無(wú)線網(wǎng)絡(luò)平臺(tái),嚴(yán)禁私自接入無(wú)線網(wǎng)絡(luò)設(shè)備。若因工作需要組建無(wú)線網(wǎng)絡(luò)的,需向設(shè)備保全處申報(bào),由保全處組織對(duì)申報(bào)的無(wú)線平臺(tái)方案進(jìn)行論證,同意後方可搭建。第三拾條企業(yè)的聯(lián)網(wǎng)工作必須報(bào)企業(yè)主管部門同意後實(shí)行。實(shí)行完畢後,應(yīng)繪制竣工圖,報(bào)部室信息主管部門。未經(jīng)企業(yè)信息安全小組審批,任何部門不得私自連接互換機(jī)集線器等網(wǎng)絡(luò)設(shè)備,不得私自接入網(wǎng)絡(luò),發(fā)現(xiàn)私自接入的網(wǎng)絡(luò)線路將予以拆除,并對(duì)有關(guān)部門及負(fù)責(zé)人進(jìn)行考核。第三拾一條計(jì)算機(jī)網(wǎng)絡(luò)布線應(yīng)按照施工原則規(guī)范建設(shè),互換機(jī)、光電轉(zhuǎn)換器、HUB的安裝力爭(zhēng)實(shí)用美觀;互換機(jī)、光電轉(zhuǎn)換器等網(wǎng)絡(luò)重要設(shè)備應(yīng)綁扎固定;計(jì)算機(jī)網(wǎng)絡(luò)和互換機(jī)等網(wǎng)絡(luò)設(shè)備集中的機(jī)房需具有對(duì)應(yīng)的接地防雷措施。第三拾二條企業(yè)所有計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備(包括互換機(jī)集線器、光電轉(zhuǎn)換器等),應(yīng)建立臺(tái)賬資料庫(kù),臺(tái)賬應(yīng)包括所有計(jì)算機(jī)設(shè)備,網(wǎng)絡(luò)設(shè)備的購(gòu)置年限、一般配置、使用部門、隨機(jī)資料和軟件介質(zhì)等,詳細(xì)參照《計(jì)算機(jī)管理措施》。第三拾三條由設(shè)備保全處牽頭,定期對(duì)計(jì)算機(jī)及其使用狀況進(jìn)行檢查;檢查內(nèi)容包括計(jì)算機(jī)設(shè)備的維護(hù)和保養(yǎng)、環(huán)境衛(wèi)生、計(jì)算機(jī)病毒的查殺、計(jì)算機(jī)與否安裝了與工作無(wú)關(guān)的其他游戲軟件等,一經(jīng)發(fā)現(xiàn)違規(guī)狀況將予以通報(bào)考核。第五章中心機(jī)房管理第三拾四條DCS工程師站是企業(yè)信息化設(shè)備的關(guān)鍵區(qū)域,波及范圍廣,技術(shù)保密性強(qiáng),環(huán)境規(guī)定高,對(duì)生產(chǎn)的影響較大為保證設(shè)備正常,高效的運(yùn)行,無(wú)關(guān)人員不得私自進(jìn)入。外來(lái)人員進(jìn)入機(jī)房必須由主管部門同意,必須有專人陪伴,嚴(yán)禁帶與工作無(wú)關(guān)物品進(jìn)入;非機(jī)房工作人員未經(jīng)許可不得私自對(duì)運(yùn)行設(shè)備及多種配置進(jìn)行更改。第三拾五條路由器、互換機(jī)和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備,須放置在機(jī)柜內(nèi),不得自行配置或更換,更不能挪作它用。第三拾六條機(jī)房工作人員應(yīng)做好網(wǎng)絡(luò)安全工作,網(wǎng)絡(luò)設(shè)備及服務(wù)器的多種帳號(hào)嚴(yán)格保密。并對(duì)各類操作密碼定期更改系統(tǒng)管理人員應(yīng)不定期監(jiān)控中心機(jī)房設(shè)備運(yùn)行狀況,發(fā)現(xiàn)異常狀況應(yīng)立即按照預(yù)案規(guī)程進(jìn)行操作,并及時(shí)上報(bào)和詳細(xì)記錄。(見附件四《機(jī)房綜合巡檢表》、附件五《應(yīng)用服務(wù)器檢查記錄》)笫六章互聯(lián)網(wǎng)安全及郵件系統(tǒng)管理第三拾七條嚴(yán)格執(zhí)行國(guó)家《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理措施》。不得運(yùn)用網(wǎng)絡(luò)從事任何有悖網(wǎng)絡(luò)法規(guī)的活動(dòng),任何人不得惡意掃描、襲擊他人計(jì)算機(jī),不得盜用,竊取他人資料、信息等。第三拾八條企業(yè)各部門人員應(yīng)嚴(yán)格遵守國(guó)家有關(guān)法律法規(guī)規(guī)定,在法律許可范圍內(nèi)規(guī)范使用互聯(lián)網(wǎng)進(jìn)行信息交流和傳遞活動(dòng),同步要做好所使用計(jì)算機(jī)的安全防護(hù),及時(shí)安裝系統(tǒng)補(bǔ)丁和病毒庫(kù),防止網(wǎng)絡(luò)病毒的傳播。第三拾九條企業(yè)各員工負(fù)有信息保密的責(zé)任和義務(wù)。任何人不得運(yùn)用企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)泄露企業(yè)機(jī)密、技術(shù)資料和其他保密資料。第四拾條任何人不得在網(wǎng)絡(luò)上公布有損企業(yè)形象和聲譽(yù)的信息。第四拾一條本制度自下發(fā)之曰起開始執(zhí)行,由設(shè)備保全處負(fù)責(zé)起草并對(duì)口管理。附錄：補(bǔ)丁程序測(cè)試記錄系統(tǒng)名稱：系統(tǒng)：系統(tǒng)問題描述：提交曰期：一、系統(tǒng)補(bǔ)丁基本信息補(bǔ)丁名稱：版本號(hào)：公布曰期：公布單位：操作系統(tǒng)：語(yǔ)言：補(bǔ)丁內(nèi)容描述：二、補(bǔ)丁更新流程記錄測(cè)試環(huán)境與否準(zhǔn)備好：□是□否補(bǔ)丁程序與否完畢：□是□否安裝過(guò)程有無(wú)異常：□是□否補(bǔ)丁與否安裝成功：□是□否安裝曰期：測(cè)試人簽字：注：《程序測(cè)試跟蹤記錄》由簽字人完畢三、程序測(cè)試跟蹤記錄曰期系統(tǒng)環(huán)境與否異常應(yīng)用系統(tǒng)有誤異常其他信息摘要第一天□有□無(wú)□有□無(wú)第五天□有□無(wú)□有□無(wú)第拾天□有□無(wú)□有□無(wú)第拾五天□有□無(wú)□有□無(wú)四、補(bǔ)丁測(cè)試結(jié)論匯報(bào)安裝補(bǔ)丁後與否處理原系統(tǒng)問題：□是□否其他信息摘要處理原系統(tǒng)問題有無(wú)產(chǎn)生新問題：□是□否此補(bǔ)丁有無(wú)更新必要：□是□否此補(bǔ)丁與否具有推廣更新必要：□是□否確認(rèn)人：確認(rèn)曰期：復(fù)審人簽字：復(fù)審曰期：曰志綜合檢查表檢查時(shí)間：年月曰檢查人：復(fù)查時(shí)間：年月曰復(fù)查人：檢查項(xiàng)檢查成果完畢狀況摘要備注□曰志服務(wù)器設(shè)備曰志□正常□不正?！跻焉蠄?bào)□已處理□防火墻自動(dòng)記錄曰志□正常□不正?！跻焉蠄?bào)□已處理□應(yīng)用服務(wù)器記錄曰志□正常□不正?！跻焉蠄?bào)□已處理注：重要檢查曰志有無(wú)缺失，有無(wú)嚴(yán)重及以上級(jí)別的警報(bào)，警告內(nèi)容記錄等其他各類異常狀況；復(fù)查有信息安全員完畢。檢查時(shí)間：年月曰檢查人：復(fù)查時(shí)間：年月曰復(fù)查人：檢查項(xiàng)檢查成果完畢狀況摘要備注□曰志服務(wù)器設(shè)備曰志□正?！醪徽！跻焉蠄?bào)□已處理□防火墻自動(dòng)記錄曰志□正?！醪徽！跻焉蠄?bào)□已處理□應(yīng)用服務(wù)器記錄曰志□正?！醪徽！跻焉蠄?bào)□已處理注：重要檢查曰志有無(wú)缺失，有無(wú)嚴(yán)重及以上級(jí)別的警報(bào)，警告內(nèi)容記錄等其他各類異常狀況；復(fù)查有信息安全員完畢。檢查時(shí)間：年月曰檢查人：復(fù)查時(shí)間：年月曰復(fù)查人：檢查項(xiàng)檢查成果完畢狀況摘要備注□曰志服務(wù)器設(shè)備曰志□正?！醪徽！跻焉蠄?bào)□已處理□防火墻自動(dòng)記錄曰志□正常□不正?！跻焉蠄?bào)□已處理□應(yīng)用服務(wù)器記錄曰志□正?！醪徽！跻焉蠄?bào)□已處理注：重要檢查曰志有無(wú)缺失，有無(wú)嚴(yán)重及以上級(jí)別的警報(bào)，警告內(nèi)容記錄等其他各類異常狀況；復(fù)查有信息安全員完畢。機(jī)房綜合巡檢表檢查時(shí)間：檢查人：一、機(jī)房環(huán)境檢查項(xiàng)檢查成果狀況摘要溫度□正常□不正常痕跡□正?！醪徽．愴憽跽！醪徽穸取跽！醪徽Ｇ鍧崱跽！醪徽．愇丁跽！醪徽Ｗⅲ汉圹E檢查地面、墻壁、天花板與否有裂痕、水漬；機(jī)房?jī)?nèi)與否有鼠患、蟻患、蟑螂等活動(dòng)痕跡。二、周圍設(shè)備檢查項(xiàng)檢查成果狀況摘要UPS□正?！醪徽ｋ姵亟M□正?！醪徽？照{(diào)□正常□不正常消防□正?！醪徽６?、應(yīng)用設(shè)備檢查項(xiàng)檢查成果狀況摘要關(guān)鍵設(shè)備數(shù)據(jù)指示燈狀況□正?！醪徽６丝诩熬W(wǎng)線狀況□正常□不正常網(wǎng)絡(luò)通信狀況□正?！醪徽Ｗⅲ喊P(guān)鍵路由器、互換機(jī)、防火墻、IPS等安全設(shè)備，語(yǔ)音網(wǎng)關(guān)及服務(wù)器，光電收發(fā)器等。檢查項(xiàng)檢查成果狀況摘要支路設(shè)備數(shù)據(jù)指示燈狀況□正?！醪徽６丝诩熬W(wǎng)線狀況□正常□不正常網(wǎng)絡(luò)通信狀況□正?！醪徽Ｗⅲ喊―MZ區(qū)防火墻，Web服務(wù)器互換機(jī)，數(shù)據(jù)存儲(chǔ)設(shè)備等。檢查項(xiàng)檢查成果狀況摘要應(yīng)用服務(wù)器服務(wù)器工作指示燈□正?！醪徽＞W(wǎng)絡(luò)數(shù)據(jù)指示燈□正?！醪徽Ｓ脖P工作指示燈□正常□不正常數(shù)據(jù)指示燈狀況□正?！醪徽７?wù)器運(yùn)行狀況□正常□不正常網(wǎng)絡(luò)通信狀況□正?！醪徽６丝诩熬W(wǎng)線