精选计算机安全工作管理办法.doc

计算机安全工作管理办法 计算机安全工作管理办法 　　计算机安全管理办法 　　为加强辽东实业集团计算机系统安全工作，保障计算机信息系统安全，制定本办法。本规定适用于辽东实业集团及其分支机构。 　　辽东实业集团计算机安全工作的指导方针是：“预防为主，安全第一，严格管理，杜绝隐患”。辽东实业集团计算机安全工作实行统一领导、分级管理原则。 　　一 　　、组织机构及其职责 　　辽东实业集团办公室为计算机安全工作管理部门，设兼职计算机安全管理员，负责组织指导和监督检查各单位、各部门有关计算机安全规定和制度的执行情况。主要职责是：负责计算机安全管理的日常工作；组织计算机安全检查，研究分析计算机安全现状和问题，提出安全分析报告和安全防范建议；组织计算机安全知识的培训和宣传工作，贯彻落实必威体育官网网址制度，监督检查计算机必威体育官网网址工作，及时提出计算机必威体育官网网址工作存在的问题及解决办法。 　　二、安全管理基本准则 　　（一）计算机安全工作制度体系的重点是规范内部人员行为和健全内部制约机制，要根据不断变化的情况，及时对计算机安全制度进行补充和完善，逐步形成完整的、科学的计算机安全工作制度体系。 　　（二）要害岗位人员管理规定 　　1.基于信息系统网络管理任务的强化以及安全的动态特性，要求计算机信息系统加强对要害岗位人员在安全方面的管理，实行责权分配。 　　2.要害岗位人员是指与重要计算机信息系统直接相关的系统管理员、业务岗位操作员等岗位人员。 　　3.要害岗位人员上岗前必须进行审查和业务技能考核，并进行必要的安全教育和培训，合格者方能上岗。 　　4.要害岗位人员上岗必须实行“权限分散，不得交叉覆盖”的原则。系统管理人员和软件维护人员不得兼任业务操作员，系统管理人员不得兼任柜面及事后稽核工作。 　　5.要害岗位人员离开岗位，必须严格办理离岗手续，承诺其离岗后的必威体育官网网址义务。涉及集团业务必威体育官网网址信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后方可调离。 　　6.要害岗位人员离岗后，必须即刻更换操作密码或注销用户。 　　7.要害岗位人员必须严格遵守必威体育官网网址法规和有关计算机安全管理规定，承担相应岗位安全责任。 　　8.系统安全员的职责是对整个所辖范围的信息系统安全问题负责，在安全方面，系统管理员、操作员要服从系统安全员的指导、监督。 　　9.系统管理员的安全职责是对所辖范围的计算机系统问题负责，接受信息系统安全员的指导和监督，参与计算机系统安全策略、计划和事件处理程序的制定，参与计算机安全建设和运营方案的制定，负责系统的运行管理、实施系统安全细则，严格用户权限管理，记录系统安全事项，对进行系统操作的其他人员予以安全监督。 　　10.系统维护人员的安全职责是负责系统维护，及时解除系统故障，不得擅自改变系统功能，不得安装与系统无关的其它程序，发现漏洞及时报告系统安全员。 　　11.操作人员的安全职责是接受系统安全员的指导和监督，及时向系统管理员报告系统各种异常事件，严格执行系统操作规程和运行安全管理制度。 　　(三)　计算机机房安全管理规定 　　1.计算机机房、场地与设施应满足相应的安全等级要求，并进行分级安全管理。 　　2.机房安全建设和改造方案应通过上级安全管理机构的安全审批和验收。 　　3.机房主管部门应建立健全严格的机房管理制度，并定期检查制度执行情况。 　　4.发生机房重大事件或案件，机房主管部门应立即向有关单位报告，并保护现场。 　　（四）网络安全管理规定 　　1.重要网络设备应放在主机房内，其他人员不得对网络设备进行任何操作。 　　2.与其他业务相关机构的网络连接，应采取必要的技术隔离保卫措施，对联网使用的用户，必须采取一人一帐户的访问控制。 　　3.内部网络的所有计算机设备，不得直接与国际互联网相联接，必须实行物理隔离。 　　4.凡要求接入国际互联网的计算机，须由使用部门提出申请，报集团办公会审批、备案。 　　5.使用国际互联网的部门应自觉接受集团办公室的监督检查。 　　(五)　运行安全管理规定 　　1.重要计算机信息系统所用计算机设备维修、更换或报废时，应彻底清除相关业务信息，拆除所有相关涉密选配件，由使用部门登记封存。计算机信息系统使用部门应按规定进行数据备份，对备份介质保管、销毁采取相应的安全措施，保证数据信息的完整性和安全性。 　　2.密钥必须作为绝密数据由专人保管，并定期更换。 　　3.网络参数配置、重要计算机信息系统详细开发资料及其源程序等核心技术文档，由办公室严格管理，不得外借。 　　4.安全人员要按规定进行系统的安全监测，业务操作人员应审查业务处理结果，对计算机信息系统安全运行的监测记录及其分析结果应严格管理，不得对外发布。 　　5.确认计算机信息系统出现重大安全事件，必须果断采取控制措施，注意保护现 场，并立即报告集团办公室。 　　三、技术防范