内部控制-信息系统安全管理制度.pdf

计算机信 息系统安全 管理制度 目录 第一章 总则 2 第二章 系统管理人员的职责 2 第三章 机房管理制度 3 第四章 系统管理员工作细则 3 第五章 安全管理员工作细则 6 第六章 密钥管理员工作细则 8 第七章 计算机信息系统应急预案 8 第八章 附则 9 第一章 总则 第 1条 依据《中华人民国保守国家秘密法》和有关规定，为进一步加强信息公司计算机信息系 统安全管理，并结合用户单位的实际情况，制定本制度。 第2条 计算机信息系统包括：涉密计算机信息系统和非涉密计算机信息系统。其中，涉密计算 机信息系统指以计算机或者计算机网络为主体， 按照一定的应用目标和规则构成的处理 涉密信息的人机系统。 第3条 涉密计算机信息系统的工作坚持积极防、突出重点，既确保国家秘密安全又有利于信息 化发展的方针。 第4条 涉密计算机信息系统的安全工作实行分级保护与分类管理相结合、 行政管理与技术防相 结合、防外部与控制部相结合的原则。 第5条 涉密计算机信息系统的安全管理，坚持“谁使用，谁负责”的原则，同时实行主要领导 负责制。 第二章 系统管理人员的职责 第6条 用户单位的涉密计算机信息系统的管理由用户单位负责，具体技术工作由信息承担，设 置以下安全管理岗位：系统管理员、安全管理员、密钥管理员。 第 7条 系统管理员负责信息系统和网络系统的运行维护管理，主要职责是：信息系统主机的日 常运行维护；信息系统的系统安装、备份、维护；信息系统数据库的备份管理； 应用 系统访问权限的管理； 网络设备的管理； 网络的线路保障； 网络服务器平台的运行管理， 网络病毒入侵防。 第8条 安全管理员负责网络信息系统的安全技术管理，主要职责是：网络信息安全策略管理； 网络信息系统安全检查；涉密计算机的安全管理；网络信息系统的安全审计管理；违规 外联的监控。 第9条 密钥管理员负责密钥的管理，主要职责是：身份认证系统的管理；密钥的制作；密钥的 更换；密钥的销毁。 第 10条 对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则” 、“责任分散原则” 和“最小权限原则” 。 第 11条 新调入或任用涉密岗位的系统管理人员， 必须先接受教育和网络安全知识培训后方可上 岗工作。 第 12条 单位负责定期组织系统管理人员进行法规知识的宣传教育和培训工作。 第三章 机房管理制度 第 13条 出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经办批 准，并有专人陪同。 第 14条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等 对设备正常运行构成威胁的物品。 严禁在机房吸烟。 严禁在机房堆放与工作无关的杂物。 第 15条 机房不得使用无线通讯设备，禁止拍照和摄影。 第 16条 各类技术档案、资料由专人妥善保管并定期检查。 第 17条 机房应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换） 。 加强防火安全知识教育，做到会使用消防器材。加强电源管理，严禁乱接电线和违章用 电。发现火险隐患，及时报告，并采取安全措施。 第 18条 机房应保持整洁有序，地面清洁。设备要排列整齐，布线要正规，仪表要齐备，工具要