2023年信息安全管理制度_

下面是小编为大家整理的2023年信息安全管理制度_,供大家参考。

　

　信息安全管理制度_ _

　 一、信息安全管理责任制

　1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策与网站服务条款与其他公布的准则规定的情况下，未经用户授权我公司不可能随意公布与用户个人身份有关的资料，除非有法律或者程序要求。

　2、所有用户信息将得到本公司网站系统的安全储存，并在与用户签署的协议规定时间内保证不可能丢失;

　3、严格遵守网站用户帐号使用登记与操作权限管理制度，对用户信息专人管理，严格保密，未经同意不得向他人泄露。

　公司定期对有关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。

　我公司将严格执行本规章制度，并形成规范化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等部门参加，并确定两名安全负责人作为突发事件处理的联系人。

　二、有害信息发现受理处置机制

　第一条

　一旦发现网络有害信息的，应立即启动预案，采取“及时处理、下载储存与 24 小时上报制度”。

　第二条

　网络有害信息处置前期工作程序：

　一、发现有害信息的公司员工要立即报告公司信息部，由信息部协调处理网上突发事件，摸清情况，采取措施，最大限度地遏制有害信息在网上传播与扩散，并在第一时间内向公司主管领导及有关部门报告。

　二、信息部负责有害信息的界定及监控，一旦发现不良信息要马上删除（如遇紧急情况，可直接关闭服务器，暂停网络运行）。

　三、信息部及时对有害信息予以删除，取证留样，对有害信息的来源进行调查；在最短时间内向网络有害信息处置办公室报告情况。

　四、信息部要对网络安全设备的记录留存，监督检查有害信息报告、清除等情况。

　五、信息安全员负责调查有害信息散布的原因、通过，收集有关证据，以有利于事件处理时事实清晰，责任明确。

　第三条

　网络有害信息处置后期工作程序：

　一、信息部要利用网络与信息安全技术平台，对网上有害信息与公共有害短信及时进行封堵：对违规从事网上业务或者传播有害信息的用户（包含论坛），依法采取责任令整顿，予以封禁用户等行政处罚措施。

　二、在事实清晰、责任明确的情况下，公司网络安全管理领

　导小组要对事件做出处理决定：影响较大、存在问题较多的网站，要集中力量研究与解决问题。对管理混乱、事故多发、造成不良影响的网站，要追究有关责任人责任。

　三、有关事件的处置通过、结论等有关事宜，一律由信息部统一对外宣传。

　四、做好经费保障工作与技术开发工作。公司划拨一定的网络安全管理经费投入，要在技术管理与软件开发利用上下工夫，提高网络信息安全管理技能。网站服务器务必安装必要的信息安全软件。

　三、有害信息投诉受理处置机制

　举报投诉中心设在公司信息部。举报投诉的受理与回复工作统一由信息部设专人负责，向社会公开投诉举报电话号码，设置举报箱。

　受理的有害信息投诉事件要紧指单位与个人利用我公司网络制作、复制、查阅与下载下列信息的事件：

　1.煽动抗拒、破坏宪法与国家法律、行政法规实施；

　2.煽动分裂国家、破坏国家统一与民族团结、推翻社会主义制度;

　3.捏造或者者歪曲事实，散布谣言扰乱社会秩序;

　4.侮辱他人或者者捏造事实诽谤他人;

　5.宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。

　6.公然侮辱他人或者捏造事实诽谤他人的；

　7.损害网站形象与网站利益的；

　8.其他违反宪法与法律、行政法规的。

　举报投诉受理中心对公众举报、投诉事件，按集中管理、登记的原则办理，由信息部带领网络安全小组集中处理，并将处理结果备案。对较重大有害信息事件，应立即上报主管领导。

　举报投诉受理中心受理的事件，要做到即接快办；夜间、节假日值班期间接到的投诉举报，应于次日或者节假日后的第一个工作日办理，对需紧急办理的重大信息安全事件可先处理后登记。

　负责查办的有关人员接到交办的投诉举报事件后应及时安排办理，要求在法定时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明理由，可适当延长处理时间；处理结果应及时反馈给举报投诉受理中心，由举报投诉受理中心反馈给举报人。

　在处理有害信息投诉事件的记录、登记、交办工作流程时，应填写相应表单，并随结果报告一同存档。

　处理人员应对重大有害信息事件举报人或者要求保密者做到保密，有关重大的有害信息事件及处理过程不得泄密。

　四、重大信息安全事件应急处置与报告制度

　为预防与及时处置网络突发事件，保证网络信息安全，保护社会稳固，特制订网络信息安全事件应急处置预案。

　一、在公司领导的统一管理下，贯彻执行《中华人民共与国计算机信息系统安全保护条例》、 《中华人民共与国计算机信息网络国际互联网管理暂行规定》等有关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防与操纵风险，在发生信息安全事故或者事件时最大程度地减少缺失，保护社会与公司稳固，尽快使网络与系统恢复正常，做好网络运行与信息安全保障工作。

　二、信息网络安全事件定义

　1、网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一与民族团结、推翻社会主义制度；煽动抗拒、破坏宪法与国家法律、行政法规的实施；捏造或者者歪曲事实，有意散布谣言，扰乱社会秩序；公然侮辱他人或者者捏造事实诽谤他人；宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖；发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息；破坏社会稳固的信息及损害国家、公司声誉与稳固的谣言等。

　2、网内网络应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生泄密事件。

　3、在网站上公布的内容违反国家的法律法规、侵犯知识产权等，已经造成严重后果。

　三、加大培训与宣传力度，加强与完善互联网安全管理，设

　置专门管理部门，采取统一管理体制，落实负责人。各部门要建立健全内部安全保障制度，按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人与职责，细化工作措施与流程，建立完善管理制度与实施办法，加强信息的审查与备案工作，确保网络与信息安全。加强我公司互联网络信息安全管理，连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。

　四、加强信息审查工作，若发现主页被恶意更换，应立即停止主页服务并恢复正确内容，同时检查分析被更换的原因，在被更换的原因找到并排除之前，不得重新开放主页服务。各级各类服务器提供信息服务，务必事先登记、审批，建立使用规范，落实责任人，并具备相应的安全防范措施（如：日志留存、安全认证、实时监控、防黑客、防病毒等），加强网络设备日志分析，及时收集信息，排查不安定因素。加强 bbs、留言板等交互式栏目的专人管理，交互式栏目内容公布实行审核制度。关于非法网站要做到：发现一个，禁止一个，并及时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。

　五、网络部对互联网实施 24 小时值班责任制，必要时实行远程操纵。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控，若发现有特殊行为应立即关闭该用户

　的网络连接，及时记录在案，并对其警告与批判教育，严重违法行为立即上报有关部门。

　六、加强突发事件的快速反应。网络管理员具体负责相应的网络安全与信息安全工作，不同意有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到：

　（1）及时发现、及时报告，在发现后在第一时间向上一级领导或者部门报告。

　（2）保护现场，立即与网络隔离，防止影响扩大。

　（3）及时取证，分析、查找原因。

　（4）消除有害信息，防止进一步传播，将事件的影响降到最低。

　（5）在处置有害信息的过程中，任何单位与个人不得保留、贮存、散布、传播所发现的有害信息。

　（6）追究有关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重与后果影响较大者，提交公司及国家司法机关处理，追究部门负责人与直接责任人的行政或者法律责任。

　七、及时整顿，加强防范。各部门要积极配合上级网络安全管理部门的例行检查，并同意其技术指导。针对网络存在的安全隐患与出现的问题，及时提出整治方案并具体落实到位，完善网络安全机制，防范网络安全事件再度发生。逐步建立网络信息安

　全管理长效工作机制，实现公司信息安全管理，制造良好的网络环境。

　八、在重要、敏感时期，加大网络安全教育宣传力度，加强员工的法律意识与安全意识教育，提高其安全意识与防范能力；开展安全文明上网的教育引导工作，净化互联网网上环境，及时收集信息，排查不安定因素；坚持 24 小时值班制度，开通值班电话，保证与上级主管部门、电信部门与当地公安机关的热线联系，积极做好预防工作，发现问题及时处理，防患于未然。

　九、做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。

　十、网络安全事件报告与处置。

　事件发生并得到确认后，有关人员应立马上情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接，进行现场保护，协助调查取证与系统恢复等工作，有关违法事件移交公安机关处理。

　五、信息安全管理政策与业务培训制度第一章信息安全政策

　一、计算机设备管理制度

　1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

　2.非本单位技术人员对我单位的设备、系统等进行维修、保

　护时，务必由本单位有关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。

　3.严格遵守计算机设备使用、开机、关机等安全操作规程与正确的使用方法。任何人不同意带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不同意私自处理或者找非本单位技术人员进行维修及操作。

　二、操作员安全管理制度

　1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行操纵的代码。操作代码分为系统管理代码与通常操作代码。代码的设置根据不一致应用系统的要求及岗位职责而设置.

　2.系统管理操作代码的设置与管理：

　（1）、系统管理操作代码务必通过经营管理者授权取得;

　（2）、系统管理员负责各项应用系统的环境生成、保护，负责通常操作代码的生成与保护，负责故障恢复等管理及保护;

　（3）、系统管理员对业务系统进行数据整理、故障恢复等操作，务必有其上级授权;

　（4）、系统管理员不得使用他人操作代码进行业务操作;

　（5）、系统管理员调离岗位，上级管理员（或者有关负责人）应及时注销其代码并生成新的系统管理员代码;

　3.通常操作代码的设置与管理

　（1）、通常操作码由系统管理员根据各类应用系统操作要求

　生成，应按每操作用户一码设置。

　（2）、操作员不得使用他人代码进行业务操作。

　（3）、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。

　三、密码与权限管理制度

　1.密码设置应具有安全性、保密性，不能使用简单的代码与标记。密码是保护系统与数据安全的操纵代码，也是保护用户自身权益的操纵代码。密码分设为用户密码与操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字与字符串;

　2.密码应定期修改，间隔时间不得超过一个月，如发现或者怀疑密码遗失或者泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。

　3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人（不参与系统开发与保护的人员）设置与管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或者签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，务必通过有关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更换并封存，同时在“密码管理登记簿”中登记。

　4.系统保护用户的密码应至少由两人共同设置、保管与使用。

　5.有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或者用户删除，同时在“密码管理登记簿”中登记。

　四、数据安全管理制度

　1.存放备份数据的介质务必具有明确的标识。备份数据务必异地存放，并明确落实异地备份数据的管理职责;

　2.注意计算机重要信息资料与数据存储介质的存放、运输安全与保密管理，保证存储介质的物理安全。

　3.任何非应用性业务数据的使用及存放数据的设备或者介质的调拨、转让、废弃或者销毁务必严格按照程序进行逐级审批，以保证备份数据安全完整。

　4.数据恢复前，务必对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，务必进行验证、确认，确保数据恢复的完整性...

推荐访问:标签 信息安全 管理制度 信息安全管理制度_ 信息安全管理制度体系包括