【精華】信息安全管理制度

　　在現實(shí)社會(huì )中，制度起到的作用越來(lái)越大，制度泛指以規則或運作模式，規范個(gè)體行動(dòng)的一種社會(huì )結構。這些規則蘊含著(zhù)社會(huì )的價(jià)值，其運行表彰著(zhù)一個(gè)社會(huì )的秩序。擬定制度需要注意哪些問(wèn)題呢？以下是小編為大家收集的信息安全管理制度，希望能夠幫助到大家。

信息安全管理制度1

　　質(zhì)量是企業(yè)生命，質(zhì)量信息則是維持企業(yè)生命的血液，質(zhì)量信息工作是全面質(zhì)量管理的重要組成部分。為保證我廠(chǎng)質(zhì)量信息暢通和信息資源的有效利用，特制定本制度。

　　一、信息的管理機構

　　1、供銷(xiāo)科為企業(yè)質(zhì)量信息的管理部門(mén)，負責全廠(chǎng)各種質(zhì)量信息的收集，分析、反饋和處理工作。

　　2、各車(chē)間、各部門(mén)的質(zhì)量信息工作由各單位指定專(zhuān)人負責，從而形成我們的質(zhì)量信息管理網(wǎng)絡(luò )，確保我們質(zhì)量信息的暢通。

　　二、質(zhì)量信息管理

　�。ㄒ唬┵|(zhì)量信息管理的主要任務(wù)

　　1、全面、及時(shí)、準確地收集各種質(zhì)量信息。

　　2、對質(zhì)量信息進(jìn)行比較，分析、加工、整理后按規定程序進(jìn)行傳遞的反饋。

　　3、利用各種質(zhì)量信息，準確地反映和預測影響產(chǎn)品質(zhì)量的主要因素，供領(lǐng)導決策。

　　4、掌握用戶(hù)使用產(chǎn)品的.情況，收集國內外同類(lèi)產(chǎn)品的質(zhì)量水平和發(fā)展動(dòng)態(tài)。

　�。ǘ�）質(zhì)量信息的處理

　　1、供銷(xiāo)部門(mén)按照質(zhì)量信息管理的規定填寫(xiě)質(zhì)量信息反饋表，匯總到質(zhì)檢部門(mén)，對反饋信息進(jìn)行調查核實(shí)，消除不真實(shí)部分，確保質(zhì)量信息的準確性。為了做好這項工作，各部門(mén)應設立專(zhuān)職或兼職質(zhì)量信息員，并建立質(zhì)量信息臺帳。

　　2、質(zhì)檢部分析質(zhì)量信息后確定責任部門(mén)進(jìn)廠(chǎng)處理，責任部門(mén)填寫(xiě)信息記錄表，并將處理情況反饋給質(zhì)檢部并結案備案。

　　3、為了促進(jìn)質(zhì)量信息的正常運運行和有效利用，對開(kāi)展質(zhì)量信息處理不當，耽誤信息傳遞的給予批評和處罰。

信息安全管理制度2

　　為了加強對酒店計算機網(wǎng)絡(luò )的安全保護，維護計算機網(wǎng)絡(luò )的正常運作，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò )國際互聯(lián)網(wǎng)管理暫行規定》等相關(guān)法律法規制定本制度。任何使用酒店計算機網(wǎng)絡(luò )的人員必須遵循此制度。

　　安全員制度

一、 設立專(zhuān)職或兼職計算機信息網(wǎng)絡(luò )安全員（以下簡(jiǎn)稱(chēng)安全員）。

　　二、 安全員主要負責酒店網(wǎng)絡(luò )（包含局域網(wǎng)、信息系統遠程接入網(wǎng)）的.系統安全性。

　　三、 安全員負責酒店網(wǎng)絡(luò )安全方面操作和知識的培訓。

　　四、 安全員負責系統數據的冗災備份工作。

　　五、 安全員確保系統日志保存完善并保留60天。

　　六、 對系統防病毒系統、防火墻和入侵檢測系統的定期升級。定期

　　對系統作安全檢測，及時(shí)發(fā)現安全漏洞予以消除，對檢測結果和漏洞消除情況有記錄。

　　七、 安全員應經(jīng)常保持對最新技術(shù)的掌握，實(shí)時(shí)了解網(wǎng)絡(luò )信息安全

　　的動(dòng)向，做到預防為主。

　　八、 安全員承擔對不良、有害信息上報、處置工作職責。

　　九、 安全員承擔本酒店制定的其他和公安機關(guān)交辦的相關(guān)網(wǎng)絡(luò )安全職責。

信息安全管理制度3

　　1.引言

　　本文檔旨在確保辦公網(wǎng)絡(luò )信息的安全，并提供相關(guān)措施以保護辦公網(wǎng)絡(luò )免受潛在的安全威脅。辦公網(wǎng)絡(luò )是公司內部傳輸和存儲敏感信息的關(guān)鍵基礎設施，因此必須采取適當的安全措施來(lái)保護其完整性、可用性和保密性。本文檔規定了辦公網(wǎng)絡(luò )信息安全管理制度，包括政策、責任和控制措施，旨在確保辦公網(wǎng)絡(luò )的安全運行。

　　2.辦公網(wǎng)絡(luò )信息安全政策

　　辦公網(wǎng)絡(luò )的信息安全政策是確保辦公網(wǎng)絡(luò )信息安全的基本準則。以下是辦公網(wǎng)絡(luò )信息安全的核心政策：

　　2.1安全意識培訓

　　所有使用辦公網(wǎng)絡(luò )的員工都應接受定期的安全意識培訓，了解關(guān)于網(wǎng)絡(luò )安全的基本知識、威脅和預防措施。此外，他們還應接受關(guān)于密碼管理、網(wǎng)絡(luò )釣魚(yú)和惡意軟件等方面的培訓，以提高他們對潛在威脅的識別能力。

　　2.2訪(fǎng)問(wèn)權限管理

　　根據員工的職責和需要，給予適當的訪(fǎng)問(wèn)權限。訪(fǎng)問(wèn)權限必須根據需要進(jìn)行審查和更新，并進(jìn)行記錄，以確保只有授權人員能夠訪(fǎng)問(wèn)和使用特定的信息資源。

　　2.3密碼策略

　　確定密碼策略以確保使用者密碼的復雜性和安全性。要求員工定期更改密碼，并禁止共享密碼或使用弱密碼。系統還應該實(shí)施賬號鎖定功能，以防止對賬號的暴力破解。

　　2.4更新和補丁管理

　　確保辦公網(wǎng)絡(luò )的操作系統、應用程序和安全工具始終處于最新的版本，以修復已知的安全漏洞。所有軟件應定期進(jìn)行更新和安全補丁，并記錄在案。

　　2.5備份和恢復

　　定期對辦公網(wǎng)絡(luò )進(jìn)行備份，并測試恢復過(guò)程，以確保備份的完整性和有效性。備份數據應存儲在安全的地方，以防止意外的數據丟失。

　　2.6安全審計與監控

　　建立安全審計和監控機制，以便能夠檢測到潛在的安全風(fēng)險和威脅，并及時(shí)采取適當的措施進(jìn)行應對。

　　3.辦公網(wǎng)絡(luò )信息安全的責任

　　辦公網(wǎng)絡(luò )信息安全的責任由不同的角色和職務(wù)承擔。以下是各個(gè)角色的安全責任：

　　3.1管理層

　　管理層應確保提供必要的資源和支持，以執行和維護辦公網(wǎng)絡(luò )信息安全管理制度。他們應促進(jìn)安全意識培訓并監督整體安全方案的執行。

　　3.2 IT部門(mén)

　　IT部門(mén)應負責辦公網(wǎng)絡(luò )的安全管理和運維工作，包括網(wǎng)絡(luò )設備的配置和維護、安全補丁的安裝、防病毒軟件的`管理等。

　　3.3員工

　　所有使用辦公網(wǎng)絡(luò )的員工都有責任遵守相關(guān)的安全政策和規范，包括安全密碼的使用、防范網(wǎng)絡(luò )釣魚(yú)攻擊和惡意軟件的下載等。

　　4.辦公網(wǎng)絡(luò )信息安全控制措施

　　為了保護辦公網(wǎng)絡(luò )的安全，以下控制措施應被實(shí)施和維護：

　　4.1防火墻配置

　　通過(guò)配置防火墻規則，限制對辦公網(wǎng)絡(luò )的非授權訪(fǎng)問(wèn)。防火墻應定期審計和更新，以適應不斷變化的安全需求。

　　4.2 網(wǎng)絡(luò )監控與入侵檢測

　　部署網(wǎng)絡(luò )監控工具，并實(shí)施入侵檢測系統，以及時(shí)發(fā)現網(wǎng)絡(luò )攻擊和異�；顒�(dòng)。監控和檢測結果應定期審查并分析。

　　4.3權限管理與訪(fǎng)問(wèn)控制

　　根據員工的職責和需要，分配適當的訪(fǎng)問(wèn)權限，并確保權限的及時(shí)更新和審計。同時(shí)，配置文件和文件夾的權限，以確保只有授權人員才能訪(fǎng)問(wèn)相關(guān)的敏感信息。

　　4.4安全補丁管理

　　確保及時(shí)安裝操作系統和應用程序的安全補丁，以修復已知的安全漏洞，并減少潛在的攻擊風(fēng)險。

　　4.5強制密碼策略

　　實(shí)施強制的密碼策略，要求員工定期更改密碼，并采用復雜的密碼。此外，系統應限制嘗試登錄次數，并要求使用多因素身份驗證。

　　4.6數據備份與恢復

　　定期對辦公網(wǎng)絡(luò )的重要數據進(jìn)行備份，并測試恢復過(guò)程，以確保備份的準確性和完整性。備份數據應存儲在安全的地方，以防止數據丟失。

　　5. 總結

　　辦公網(wǎng)絡(luò )信息安全是企業(yè)保護敏感信息和保護業(yè)務(wù)連續性的重要組成部分。本文檔提供了一系列的安全措施和政策，旨在確保辦公網(wǎng)絡(luò )的安全運行。每個(gè)員工都有責任遵守相關(guān)政策和規定，并積極參與安全意識培訓。通過(guò)共同努力，我們可以建立并維護一個(gè)安全可靠的辦公網(wǎng)絡(luò )環(huán)境。

信息安全管理制度4

　　一、一般規定

　　1、未經(jīng)網(wǎng)管批準，任何人不得變更網(wǎng)絡(luò )（內部信息平臺）拓撲結構、網(wǎng)絡(luò )（內部信息平臺）設備布置、服務(wù)器、路由器配置和網(wǎng)絡(luò )（內部信息平臺）參數。

　　2、任何人不得進(jìn)入未經(jīng)許可的計算機系統更改系統信息和用戶(hù)數據。

　　3、機關(guān)局域網(wǎng)上任何人不得利用計算機技術(shù)侵占用戶(hù)合法利益，不得制作、復制和傳播妨害單位穩定的有關(guān)信息。

　　4、各部門(mén)應定期對本科室計算機系統和相關(guān)業(yè)務(wù)數據進(jìn)行備份以防發(fā)生故障時(shí)進(jìn)行復原。

　　二、帳號管理

　　1、網(wǎng)絡(luò )（內部信息平臺）帳號采納分組管理。并具體登記：用戶(hù)姓名、部門(mén)名稱(chēng)、口令，存取權限，開(kāi)通時(shí)間，網(wǎng)絡(luò )（內部信息平臺）資源安排狀況等。

　　2、網(wǎng)絡(luò )（內部信息平臺）管理員為用戶(hù)設置明碼口令，用戶(hù)可以依據自己的保密狀況進(jìn)行修改口令，用戶(hù)應對工作站設置開(kāi)機密碼和屏保密碼。

　　3、用戶(hù)帳號下的數據屬于用戶(hù)私有數據，當事人具有存入權限，管理員具有管理和備份存取權限。

　　4、網(wǎng)絡(luò )（內部信息平臺）管理員依據有關(guān)帳號管理規則對用戶(hù)帳號執行管理，并對用戶(hù)帳號及數據的平安和保密負責。

　　5、網(wǎng)絡(luò )（內部信息平臺）管理員必需嚴守職業(yè)道德和職業(yè)紀律，不得將任何用戶(hù)的.密碼、帳號等保密信息等資料的泄露出去。

　　三、網(wǎng)絡(luò )管理員職責

　　1、幫助制定網(wǎng)絡(luò )（內部信息平臺）建設方案，確定網(wǎng)絡(luò )（內部信息平臺）平安及資源共享策略。

　　2、負責公用網(wǎng)絡(luò )（內部信息平臺）實(shí)體，如服務(wù)器、交換機、集線(xiàn)器、防火墻、網(wǎng)線(xiàn)、接插件等的維護和管理。

　　3、負責服務(wù)器和系統軟件的安裝、維護、調整及更新。

　　4、負責網(wǎng)絡(luò )（內部信息平臺）賬號管理，資源安排，數據平安和系統平安。

　　5、監視網(wǎng)絡(luò )（內部信息平臺）運行，調整參數，調度資源，保持網(wǎng)絡(luò )（內部信息平臺）平安、穩定、暢通。

　　6、負責系統備份和網(wǎng)絡(luò )（內部信息平臺）數據備份，負責各部門(mén)電子數據資料的整理和歸檔。

　　7、保管網(wǎng)絡(luò )（內部信息平臺）拓撲圖接線(xiàn)表，設備規格及配置單，管理記錄，運行記錄，檢修記錄等網(wǎng)絡(luò )（內部信息平臺）資料。

　　8、每年對本單位網(wǎng)絡(luò )（內部信息平臺）的效能和各電腦性能進(jìn)行評價(jià)，提出網(wǎng)絡(luò )（內部信息平臺）結構、技術(shù)和網(wǎng)絡(luò )、管理的改進(jìn)措施。

　　四、安全管理職責

　　1、保障網(wǎng)絡(luò )（內部信息平臺）暢通和信息安全。

　　2、嚴格遵守公司、省、市制定的相關(guān)法律、行政法規，嚴格執行《網(wǎng)絡(luò )安全工作制度》，以人為本，依法管理，確保網(wǎng)絡(luò )（內部信息平臺）平安有序。

　　3、在發(fā)生網(wǎng)絡(luò )（內部信息平臺）重大突發(fā)事務(wù)時(shí)，應馬上報告，實(shí)行應急措施，盡快復原網(wǎng)絡(luò )（內部信息平臺）正常運行。

　　4、充分利用現有的平安設備設施、軟件，最大限度地防止計算機病毒入侵和黑客攻擊。

　　5、加強信息審查工作，保存，備份至少90天之內網(wǎng)絡(luò )信息日志，剛好加以分析，排查擔心定因素，防止黃色，反動(dòng)信息的傳播。

　　6、常常檢查網(wǎng)絡(luò )（內部信息平臺）工作環(huán)境的防火、防盜工作。

　　五、電腦操作人員培訓制度五、病毒的防治管理制度

　　1、任何人不得在機關(guān)的局域網(wǎng)上制造傳播任何計算機病毒，不得有意引入病毒。網(wǎng)絡(luò )（內部信息平臺）運用者發(fā)覺(jué)病毒應馬上向網(wǎng)絡(luò )管理員報告。網(wǎng)絡(luò )管理員剛好指導和幫助處理病毒。

　　2、各部門(mén)應定期查毒，（周期為一周或者10天）管理員應剛好升級病毒庫，并提示各部門(mén)對殺毒軟件進(jìn)行在線(xiàn)升級。

信息安全管理制度5

　　一、引言

　　隨著(zhù)信息技術(shù)的高速發(fā)展和廣泛應用，企業(yè)面臨越來(lái)越多的信息安全風(fēng)險。信息安全管理制度是保障企業(yè)信息安全的基礎性工作，對于確保企業(yè)信息資產(chǎn)的機密性、完整性和可用性至關(guān)重要。本文旨在提出一套完善的信息安全管理制度，確保企業(yè)在各個(gè)方面都能夠有效地保護信息安全。

　　二、信息安全政策制定

　　1. 信息安全政策的目標與原則

　�。�1）確保信息安全：信息安全政策的最終目標是為了保護企業(yè)的核心信息資產(chǎn)，確保其機密性、完整性和可用性。

　�。�2）全員參與：信息安全是全員責任，每個(gè)員工都要對企業(yè)信息安全負責。

　�。�3）合規要求：信息安全政策要與國家法律法規以及相關(guān)行業(yè)標準相一致，并能滿(mǎn)足監管機構的審計要求。

　　2. 信息安全政策的制定流程

　�。�1）需求調研：對企業(yè)現有信息安全狀況進(jìn)行調研，分析需求和問(wèn)題。

　�。�2）制定草案：根據調研結果和需求分析，制定信息安全政策草案。

　�。�3）征求意見(jiàn)：將信息安全政策草案發(fā)送給內部各部門(mén)和相關(guān)人員，征求意見(jiàn)。

　�。�4）修訂和定稿：根據意見(jiàn)修訂、完善信息安全政策，最終確定。

　　三、信息安全組織架構與職責劃分

　　1. 信息安全部門(mén)設立

　�。�1）信息安全部門(mén)的職責：負責組織和協(xié)調企業(yè)的信息安全管理工作，負責信息安全政策制定和執行，做好信息安全風(fēng)險評估和應對工作。

　�。�2）人員配備：信息安全部門(mén)應配備專(zhuān)業(yè)人員，包括信息安全經(jīng)理、信息安全管理員、信息安全技術(shù)專(zhuān)家等。

　　2. 職責劃分

　�。�1）信息安全經(jīng)理：負責信息安全政策的制定和管理、安全事件的響應與處置。

　�。�2）信息安全管理員：負責信息系統的安全運維和管理。

　�。�3）信息安全技術(shù)專(zhuān)家：負責信息安全技術(shù)方案的設計和實(shí)施。

　　四、信息安全管理流程

　　1. 風(fēng)險評估與管理

　�。�1）風(fēng)險評估的重要性：對企業(yè)現有信息系統、網(wǎng)絡(luò )設備和業(yè)務(wù)流程進(jìn)行風(fēng)險評估，及時(shí)發(fā)現潛在的信息安全風(fēng)險。

　�。�2）風(fēng)險評估的步驟：制定風(fēng)險評估計劃、進(jìn)行風(fēng)險識別和分析、制定風(fēng)險評估報告。

　　2. 安全事件的`監測與響應

　�。�1）安全事件的監測：建立監測系統，實(shí)時(shí)監測和分析網(wǎng)絡(luò )流量和日志，發(fā)現異常則及時(shí)進(jìn)行響應。

　�。�2）安全事件的響應：及時(shí)采取相應措施，恢復業(yè)務(wù)、調查事件原因、修復漏洞和防范措施。

　　3. 安全培訓與意識提升

　�。�1）培訓計劃的制定：制定信息安全培訓計劃，包括定期培訓和專(zhuān)項培訓。

　�。�2）員工安全意識：提高員工的信息安全意識，加強對社交工程和釣魚(yú)等攻擊的防范意識，保護企業(yè)信息資產(chǎn)。

　　五、信息安全管理制度的執行與監控

　　1. 信息安全檢查

　�。�1）定期檢查：定期對企業(yè)的信息系統、網(wǎng)絡(luò )設備和業(yè)務(wù)流程進(jìn)行安全檢查，發(fā)現問(wèn)題及時(shí)解決。

　�。�2）隨機抽查：對特定的信息系統、網(wǎng)絡(luò )設備和業(yè)務(wù)流程進(jìn)行隨機抽查，發(fā)現問(wèn)題則進(jìn)行糾正和改進(jìn)。

　　2. 審計與審查

　�。�1）內部審計：定期進(jìn)行內部審計，評估信息系統和網(wǎng)絡(luò )設備的安全性和合規性。

　�。�2）外部審查：委托第三方機構進(jìn)行外部審查，評估企業(yè)信息安全管理制度的有效性和合規性。

　　3. 事件記錄與報告

　�。�1）事件記錄：對所有的安全事件進(jìn)行記錄，包括事件的發(fā)生時(shí)間、類(lèi)型、等級和后續處理情況。

　�。�2）報告：定期向上級領(lǐng)導和相關(guān)部門(mén)報告信息安全事件的統計情況，并提出改進(jìn)措施。 六、信息安全管理制度的改進(jìn)

　　1. 改進(jìn)機制

　�。�1）內部反饋：鼓勵員工提出改進(jìn)建議和意見(jiàn)，并及時(shí)反饋。

　�。�2）持續改進(jìn)：對信息安全管理制度進(jìn)行持續改進(jìn)和優(yōu)化，及時(shí)調整和修訂。

　　2. 績(jì)效評估與考核

　�。�1）績(jì)效評估：對信息安全管理的執行情況進(jìn)行定期評估，形成評估報告。

　�。�2）考核獎懲：根據評估結果，對信息安全管理執行情況進(jìn)行獎懲，激勵和約束。

　　七、總結

　　信息安全管理制度是企業(yè)保護信息資產(chǎn)的重要手段，對于確保企業(yè)信息安全至關(guān)重要。本文提出了一套完善的信息安全管理制度需求，涵蓋了信息安全政策制定、信息安全組織架構、信息安全管理流程、信息安全管理制度的執行與監控等方面，希望可以對企業(yè)信息安全工作的開(kāi)展提供參考。同時(shí)也需要企業(yè)根據自身的實(shí)際情況進(jìn)行適度調整和完善，確保制度的可行性和有效性。

信息安全管理制度6

　　為保障學(xué)校網(wǎng)絡(luò )和信息健康、安全，根據《計算機信息網(wǎng)絡(luò )國際互聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)安全保護技術(shù)措施規定》、《計算機信息網(wǎng)絡(luò )國際聯(lián)網(wǎng)安全保護管理辦法》等國家法律、法規，特制定齊一小學(xué)信息安全管理條例。

　　總則

　　一、嚴格遵守國家有關(guān)涉及互聯(lián)網(wǎng)方面的法律法規；

　　二、堅決封堵互聯(lián)網(wǎng)上不良和有害信息的侵入；

　　三、積極配合公安機關(guān)的網(wǎng)絡(luò )信息安全部門(mén)檢查；

　　四、按照備案要求，及時(shí)備案學(xué)校在互聯(lián)網(wǎng)應用方面的變更信息；五、學(xué)校建立網(wǎng)絡(luò )信息安全領(lǐng)導小組和學(xué)校網(wǎng)絡(luò )信息保護小組，并報公安機關(guān)的網(wǎng)絡(luò )安全部門(mén)備案。

　　安全員制度

　　一、設立2人以上專(zhuān)職或兼職計算機信息網(wǎng)絡(luò )安全員；

　　二、安全員在學(xué)校信息技術(shù)部主任領(lǐng)導下，主要負責全校網(wǎng)絡(luò )系統的安全性；

　　三、安全員負責學(xué)校教師網(wǎng)絡(luò )安全知識和操作方面的培訓指導；

　　四、安全員確保系統日志保存并按規定保留60天以上；

　　五、安全員負責系統數據冗災備份工作；

　　六、安全員負責對防病毒系統、防火墻和入侵檢測系統定期升級；定期對系統進(jìn)行安全檢測，及時(shí)發(fā)現安全漏洞予以消除，并對檢測和漏洞消除情況做好記錄；

　　七、安全員承擔對不良、有害信息上報、處置工作。

　　與公安機關(guān)聯(lián)系制度

　　一、建立與公安機關(guān)聯(lián)的長(cháng)效機制，對網(wǎng)絡(luò )安全方面出現的問(wèn)題和情況及時(shí)溝通；

　　二、網(wǎng)絡(luò )安全保護小組以及安全員保持通訊暢通，確保24小時(shí)聯(lián)系制度；

　　三、對學(xué)校信息安全涉及的`案件，應當在24小時(shí)內向當地公安機關(guān)報告；

　　安全教育和培訓

　　一、安全員定期接受公安機關(guān)和上級教育主管部門(mén)的安全培訓；

　　二、實(shí)時(shí)了解網(wǎng)絡(luò )信息安全的動(dòng)向，不定期對學(xué)校聯(lián)網(wǎng)用戶(hù)（教師）進(jìn)行關(guān)于最新系統漏洞修復和最新病毒預防等安全防范方面的培訓和學(xué)習；

　　三、適時(shí)對學(xué)校老師進(jìn)行基本的網(wǎng)絡(luò )安全保護制度和具體方法的介紹，切實(shí)維護計算機聯(lián)網(wǎng)安全；

　　機房管理制度

　　一、對能夠進(jìn)入網(wǎng)絡(luò )控制機房的人員設定要求，建立網(wǎng)絡(luò )控制機房準入制度；

　　二、嚴格執行對任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設備正常運行構成威脅的物品的禁止要求；

　　三、操作密碼定期更改要求，超級用戶(hù)權限設定、機房管理員權限等等的權限設定；

　　四、建立《機房日志》，對各類(lèi)軟硬件的添加、更換等進(jìn)行登記；

　　五、各種主要數據的冗災備份要求；

　　六、對機房設置的消防器材等不定期進(jìn)行檢查的要求，確保其有效性。

　　安全保護技術(shù)措施

　　一、對個(gè)人使用計算機設置系統密碼，并設置屏幕保護，加強保護個(gè)人使用計算機信息安全；

　　二、系統日志保存完善，參照《互聯(lián)網(wǎng)安全保護技術(shù)措施規定》，保存時(shí)間在60天以上；

　　三、對系統安全防范系統定期檢測、升級、漏洞修補，確保系統安全；

　　四、系統數據冗災備份；

　　五、定期巡視，確保信息安全、合法。

　　巡視上報制度

　　一、對于校園論壇、留言板、社區等，建立信息發(fā)布前的關(guān)鍵字或敏感詞匯的自動(dòng)過(guò)濾功能；

　　二、對于電子郵件服務(wù)，建立垃圾郵件的自動(dòng)過(guò)濾功能；

　　三、新聞時(shí)事、時(shí)政類(lèi)欄目信息以及學(xué)校其他相關(guān)信息對外發(fā)布，必須建立信息發(fā)布前的審核制度；

　　四、以上通過(guò)相關(guān)管理措施發(fā)現的有害信息應完整留存，并指定專(zhuān)人定期上報公安機關(guān)網(wǎng)絡(luò )安全部門(mén)。

　　用戶(hù)登記制度

　　學(xué)校信息中心將對每位教師使用的計算機主機所對應IP地址，做好如實(shí)的登記工作，變動(dòng)信息及時(shí)更新工作。

　　附則

　　本制度自即日起實(shí)施。制度一式三份，一份報公安機關(guān)網(wǎng)絡(luò )安全部門(mén)備案；一份報教育局信息中心備案；一份與學(xué)校信息技術(shù)部存檔保管備查。

信息安全管理制度7

　　一、為保障局內計算機信息系統安全，防止計算機網(wǎng)絡(luò )失密泄密事件發(fā)生，根據《中華人民共和國計算機信息系統安全保護條例》及有關(guān)法律法規，結合本局實(shí)際制定本局的安全保密制度。

　　二、為防止病毒造成嚴重后果，對外來(lái)光盤(pán)、軟件要嚴格管理，原則上不允許外來(lái)光盤(pán)、軟件在局內局域網(wǎng)計算機上使用。確因工作需要使用的，事先必須進(jìn)行防（殺）毒處理，證實(shí)無(wú)病毒感染后，方可使用。

　　三、嚴格限制接入網(wǎng)絡(luò )的計算機設定為網(wǎng)絡(luò )共享或網(wǎng)絡(luò )共享文件，確因工作需要，要在做好安全防范措施的前提下設置，確保信息安全保密。

　　四、為防止黑客攻擊和網(wǎng)絡(luò )病毒的侵襲，接入網(wǎng)絡(luò )的計算機一律安裝殺毒軟件，及時(shí)更新系統補丁和定時(shí)對殺毒軟件進(jìn)行升級，并安裝必要的局域網(wǎng)ARP攔截防火墻。

　　五、本局醞釀或規劃重大事項的材料，在保密期間，將有關(guān)涉密材料保存到非上網(wǎng)計算機上。

　　六、各科室禁止將涉密辦公計算機擅自聯(lián)接國際互聯(lián)網(wǎng)。

　　七、保密級別在秘密以下的材料可通過(guò)電子信箱、QQ或MSN傳遞和報送，嚴禁保密級別在秘密以上（含秘密）的材料通過(guò)電子信箱、QQ或MSN傳遞和報送。

　　一、崗位管理制度：

　�。ㄒ唬┯嬎銠C上網(wǎng)安全保密管理規定

　　1、未經(jīng)批準涉密計算機一律不許上互聯(lián)網(wǎng)，如有特殊需求，必須事先提出申請報主管領(lǐng)導批準后方可實(shí)施，并安裝物理隔離卡，在相關(guān)工作完成后撤掉網(wǎng)絡(luò )。

　　2、要堅持“誰(shuí)上網(wǎng)，誰(shuí)負責”的原則，各科室科長(cháng)負責嚴格審查上網(wǎng)機器資格工作，并報主管領(lǐng)導批準。

　　3、國際互聯(lián)網(wǎng)必須與涉密計算機系統實(shí)行物理隔離。

　　4、在與國際互聯(lián)網(wǎng)相連的信息設備上不得存儲、處理和傳輸任何涉密信息。

　　5、加強對上網(wǎng)人員的保密意識教育，提高上網(wǎng)人員保密觀(guān)念，增強防范意識，自覺(jué)執行保密規定。

　�。ǘ�）涉密存儲介質(zhì)保密管理規定

　　1、涉密存儲介質(zhì)是指存儲了涉密信息的硬盤(pán)、光盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán)及U盤(pán)等。

　　2、有涉密存儲介質(zhì)的科室需妥善保管，且需填寫(xiě)“涉密存儲介質(zhì)登記表”。

　　3、存有涉密信息的存儲介質(zhì)不得接入或安裝在非涉密計算機或低密級的計算機上，不得轉借他人，不得帶出工作區，下班后存放在本單位指定的柜中。

　　4、各科室負責管理其使用的各類(lèi)涉密存儲介質(zhì)，應當根據有關(guān)規定確定密級及保密期限，并視同紙制文件，按相應密級的文件進(jìn)行分密級管理，嚴格借閱、使用、保管及銷(xiāo)毀制度。借閱、復制、傳遞和清退等必須嚴格履行手續，不能降低密級使用。

　　5、涉密存儲介質(zhì)的`維修應保證信息不被泄露，需外送維修的要經(jīng)主管領(lǐng)導批準，維修時(shí)要有涉密科室科長(cháng)在場(chǎng)。

　　6、不再使用的涉密存儲介質(zhì)應由使用者提出報告，由單位領(lǐng)導批準后，交主管領(lǐng)導監督專(zhuān)人負責定點(diǎn)銷(xiāo)毀。

　　二、人員管理制度及操作規程：

　�。ㄒ唬┯嬎銠C維修維護管理規定

　　1、涉密計算機系統進(jìn)行維護檢修時(shí)，須保證所存儲的涉密信息不被泄露，對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。無(wú)法采取上述措施時(shí)，涉密科室科長(cháng)必須在維修現場(chǎng)，對維修人員、維修對象、維修內容、維修前后狀況進(jìn)行監督并做詳細記錄。

　　2、各涉密科室應將本科室設備的故障現象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。

　　3、凡需外送修理的涉密設備，必須經(jīng)主管領(lǐng)導批準，并將涉密信息進(jìn)行不可恢復性刪除處理后方可實(shí)施。

　　4、高密級設備調換到低密級單位使用，要進(jìn)行降密處理，并做好相應的設備轉移和降密記錄。

　　5、由辦公室指定專(zhuān)人負責各涉密科室計算機軟件的安裝和設備的維護維修工作，嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。

　　6、涉密計算機的報廢交主管領(lǐng)導監督專(zhuān)人負責定點(diǎn)銷(xiāo)毀。

　�。ǘ�）用戶(hù)密碼安全保密管理規定

　　1、用戶(hù)密碼管理的范圍是指本局所有涉密計算機所使用的密碼。

　　2、機密級涉密計算機的密碼管理由涉密科室負責人負責，秘密級涉密計算機的密碼管理由使用人負責。

　　3、用戶(hù)密碼使用規定。

　�。�1）密碼必須由數字、字符和特殊字符組成；

　�。�2）秘密級計算機設置的密碼長(cháng)度不能少于8個(gè)字符，密碼更換周期不得多于30天；

　�。�3）機密級計算機設置的密碼長(cháng)度不得少于10個(gè)字符，密碼更換周期不得超過(guò)7天；

　　4、密碼的保存。

　�。�1）秘密級計算機設置的用戶(hù)密碼由使用人自行保存，嚴禁將自用密碼轉告他人；若工作需要必須轉告，應請示主管領(lǐng)導認可。

　�。�2）機密級計算機設置的用戶(hù)密碼須登記造冊，并將密碼本存放于保密柜內，由科室主任、科長(cháng)管理。

　�。ㄈ�）涉密電子文件保密管理規定

　　1、涉密電子文件是指在計算機系統中生成、存儲、處理的機密、秘密和內部的文件、圖紙、程序、數據、聲像資料等。

　　2、電子文件的密級按其所屬項目的最高密級界定，其生成者應按密級界定要求標定其密級，并將文件存儲在相應的目錄下。

　　3、各用戶(hù)需在本人的計算機系統中創(chuàng )建“機密級文件”、“秘密級文件”、“內部文件”三個(gè)目錄，將系統中的電子文件分別存儲在相應的目錄中。

　　4、電子文件要有密級標識，電子文件的密級標識不能與文件的正文分離，一般標注于正文前面。

　　5、電子文件必須定期、完整、真實(shí)、準確地存儲到不可更改的介質(zhì)上，并集中保存，然后從計算機上徹底刪除。

　　6、各涉密科室自用信息資料要定期做好備份，備份介質(zhì)必須標明備份日期、備份內容以及相應密級，嚴格控制知悉此備份的人數，做好登記后進(jìn)保密柜保存。

　　7、各科室要對備份電子文件進(jìn)行規范的登記管理。備份可采用磁盤(pán)、光盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)等存儲介質(zhì)。

　　8、涉密文件和資料的備份應嚴加控制。未經(jīng)許可嚴禁私自復制、轉儲和借閱。對存儲涉密信息的磁介質(zhì)應當根據有關(guān)規定確定密級及保密期限，并視同紙制文件，分密級管理，嚴格借閱、使用、保管及銷(xiāo)毀制度。

　　9、備份文件和資料保管地點(diǎn)應有防火、防熱、防潮、防塵、防磁、防盜設施，并進(jìn)行異地備份。

　�。ㄋ模┥婷苡嬎銠C系統病毒防治管理規定

　　1、涉密計算機必須安裝經(jīng)過(guò)國家安全保密部門(mén)許可的查、殺病毒軟件。

　　2、每周升級和查、殺計算機病毒軟件的病毒樣本。確保病毒樣本始終處于最新版本。

　　3、絕對禁止涉密計算機在線(xiàn)升級防病毒軟件病毒庫，同時(shí)對離線(xiàn)升級包的來(lái)源進(jìn)行登記。

　　4、每周對涉密計算機病毒進(jìn)行一次查殺檢查。

　　5、涉密計算機應限制信息入口，如軟盤(pán)、光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等的使用。

　　6、對必須使用的外來(lái)介質(zhì)（磁盤(pán)、光盤(pán)，U盤(pán)、移動(dòng)硬盤(pán)等），必須先進(jìn)行計算機病毒的查、殺處理，然后才可使用。

　　7、對于因未經(jīng)許可而擅自使用外來(lái)介質(zhì)導致嚴重后果的，要嚴格追究相關(guān)人員的責任。

　�。ㄎ澹┥暇W(wǎng)發(fā)布信息保密規定

　　1、上網(wǎng)信息的保密管理堅持“誰(shuí)發(fā)布誰(shuí)負責”的原則。凡向國際聯(lián)網(wǎng)或本單位的網(wǎng)站提供或發(fā)布信息，必須經(jīng)過(guò)保密審查批準，報主管領(lǐng)導審批。提供信息的單位應當按照一定的工作程序，健全信息保密審批制度。

　　2、凡以提供網(wǎng)上信息服務(wù)為目的而采集的信息，除在其它新聞媒體上已公開(kāi)發(fā)表的，組織者在上網(wǎng)發(fā)布前，應當征得提供信息單位的同意。凡對網(wǎng)上信息進(jìn)行擴充或更新，應當認真執行信息保密審核制度。

　　3、涉密人員在其它場(chǎng)所上國際互聯(lián)網(wǎng)時(shí)，要提高保密意識，不得在聊天室、電子公告系統、網(wǎng)絡(luò )新聞上發(fā)布、談?wù)摵蛡鞑�國家秘密信息�?/p>

　　4、使用電子函件進(jìn)行網(wǎng)上信息交流，應當遵守國家保密規定，不得利用電子函件傳遞、轉發(fā)或抄送國家秘密信息。

信息安全管理制度8

　　一、遵守保密規定,嚴格控制不應公開(kāi)的檔案信息。

　　二、保存檔案數據信息的計算機不得與公共信息網(wǎng)絡(luò )聯(lián)接,確需聯(lián)接時(shí),必須通過(guò)安全保密審查。

　　三、加強對檔案信息網(wǎng)絡(luò )傳輸的管理,確保網(wǎng)絡(luò )和使用過(guò)程的信息安全。

　　四、確定專(zhuān)人負責計算機系統的`管理工作,并設置計算機操作系統用戶(hù)口令。

　　五、計算機系統必須安裝防病毒卡或反病毒軟件并及時(shí)更新版本,做好防病毒工作。

　　六、保存檔案數據的計算機外送修理時(shí),應將有關(guān)數據的內容清空、刪除或將硬盤(pán)摘除,并做好計算機修理情況登記。

　　七、應采取有效措施,保證檔案數據庫和檔案數據安全。所有數據至少復制兩套,并異地保存。

　　八、信息載體(如硬盤(pán)等)損壞,必須拆除后放入待鑒定室專(zhuān)門(mén)保存。

　　九、磁性載體每滿(mǎn)2年、光盤(pán)每滿(mǎn)4年應進(jìn)行一次抽樣機讀檢驗,抽樣率不低于10%,如發(fā)現問(wèn)題應及時(shí)采取恢復措施。

　　十、具有永久保存價(jià)值的文本和圖形形式的電子文件,必須同時(shí)制成紙質(zhì)文件或縮微品等拷貝件一并歸檔保存。

　　十一、應加強對歸檔電子文件鑒定銷(xiāo)毀的管理。對于屬于保密范圍的歸檔電子文件,連同存儲載體一起銷(xiāo)毀,并在網(wǎng)絡(luò )上徹底刪除;對于不屬于保密范圍的歸檔電子文件進(jìn)行邏輯刪除。

　　十二、以上各條請本單位全體干部職工互相監督,共同遵守。對違反本制度的,按國家有關(guān)規定處理。

信息安全管理制度9

　　一、信息系統平安包括：軟件平安和硬件網(wǎng)絡(luò )平安兩部分。

　　二、網(wǎng)絡(luò )信息辦公室人員必需實(shí)行有效的方法和技術(shù)，防止信息系統數據的丟失、破壞和失密；硬件破壞及失效等災難性故障。

　　三、對系統用戶(hù)的訪(fǎng)問(wèn)模塊、訪(fǎng)問(wèn)權限由運用單位負責人提出，交信息化領(lǐng)導小組核準后，由網(wǎng)絡(luò )信息辦公室人員賜予配置并存檔，以后變更必需報批后才能更改，網(wǎng)絡(luò )信息辦公室做好變更日志存檔。

　　四、系統管理人員應熟識并嚴格監督數據庫運用權限、用戶(hù)密碼運用狀況，定期更換用戶(hù)口令或密碼。網(wǎng)絡(luò )管理員、系統管理員、操作員調離崗位后一小時(shí)內由網(wǎng)絡(luò )信息辦公室負責人監督檢查更換新的密碼；廠(chǎng)方調試人員調試維護完成后一小時(shí)內，由系統管理員關(guān)閉或修改其所用帳號和密碼。

　　五、網(wǎng)絡(luò )信息辦公室人員要主動(dòng)對網(wǎng)絡(luò )系統實(shí)行監控、查詢(xún)，剛好對故障進(jìn)行有效隔離、解除和復原工作，以防災難性網(wǎng)絡(luò )風(fēng)暴發(fā)生。

　　六、網(wǎng)絡(luò )系統全部設備的配置、安裝、調試必需由網(wǎng)絡(luò )信息辦公室人負責，其他人員不得隨意拆卸和移動(dòng)。

　　七、上網(wǎng)操作人員必需嚴格遵守計算機及其他相關(guān)設備的操作規程，禁止其他人員進(jìn)行與系統操作無(wú)關(guān)的工作。

　　八、嚴禁自行安裝軟件，特殊是嬉戲軟件，禁止在工作用電腦上打嬉戲。

　　九、全部進(jìn)入網(wǎng)絡(luò )的'軟盤(pán)、光盤(pán)、U盤(pán)等其他存貯介質(zhì)，必需經(jīng)過(guò)網(wǎng)絡(luò )信息辦公室負責人同意并查毒，未經(jīng)查毒的存貯介質(zhì)肯定禁止上網(wǎng)運用，對造成“病毒”擴散的有關(guān)人員，將比照《計算機信息系統懲罰條例》進(jìn)行相應的經(jīng)濟和行政懲罰。

　　十、在醫院還沒(méi)有有效解決網(wǎng)絡(luò )平安（未安裝防火墻、高端殺毒軟件、入侵檢測系統和堡壘主機）的狀況下，內外網(wǎng)獨立運行，全部終端內外網(wǎng)不能混接，嚴禁外網(wǎng)用戶(hù)通過(guò)U盤(pán)等存貯介質(zhì)拷貝文件到內網(wǎng)終端。

　　十一、內網(wǎng)用戶(hù)全部文件傳遞，不得利用軟盤(pán)、光盤(pán)和U盤(pán)等存貯介質(zhì)進(jìn)行拷貝。

　　十二、保持計算機硬件網(wǎng)絡(luò )設備清潔衛生，做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。

　　十三、網(wǎng)絡(luò )信息辦公室人員有權監督和制止一切違反安全管理的行為。

信息安全管理制度10

　　一、中小學(xué)校園網(wǎng)是學(xué)�，F代化發(fā)展重要組成部份，是學(xué)校數字化教育資源中心、信息發(fā)布交流技術(shù)平臺，是全面實(shí)施素質(zhì)教育和新課程改革的重要場(chǎng)所，務(wù)必高度重視、規范管理、發(fā)揮效益。

　　二、中小學(xué)校園網(wǎng)要按照教育部《中小學(xué)校園網(wǎng)建設指導意見(jiàn)》設計和建設，裝備調溫、調濕、穩壓、接地、防雷、防火、防盜等設備。

　　三、中小學(xué)校園網(wǎng)涉及網(wǎng)絡(luò )技術(shù)設備管理與維護、網(wǎng)絡(luò )線(xiàn)路管理與維護，終端用戶(hù)管理與監控，教育資源管理與開(kāi)發(fā)、網(wǎng)絡(luò )信息管理與安全、教學(xué)管理與效益等技術(shù)性強、安全性要求高的具體業(yè)務(wù)工作，務(wù)必設置管理機構，校級領(lǐng)導主管，配置精通計算機及網(wǎng)絡(luò )技術(shù)、電子維修技術(shù)，具備教師職業(yè)道德、熱愛(ài)本職工作的專(zhuān)業(yè)技術(shù)人員從事管理工作。

　　四、中小學(xué)校園網(wǎng)是學(xué)校的公共基礎設施和固定資產(chǎn)，未經(jīng)學(xué)校批準，任何部門(mén)和個(gè)人不得隨意拆卸或改動(dòng)布線(xiàn)結構；不得移動(dòng)或改動(dòng)網(wǎng)絡(luò )設備位置；不得干擾、破壞網(wǎng)絡(luò )正常運行。所有設備、成套軟件納入固定資產(chǎn)規范管理。

　　五、校園網(wǎng)所有用戶(hù)應以實(shí)名字注冊，對自己所發(fā)布信息負全責，接受上級部門(mén)與公安部門(mén)依法監督檢查。不得盜用他人賬號，不得在校園網(wǎng)上發(fā)布不健康、非法信息，不得散布計算機病毒、傳播黑客程序、濫用網(wǎng)絡(luò )游戲。學(xué)生用戶(hù)要嚴格遵守《全國青少年網(wǎng)絡(luò )文明公約》。

　　六、網(wǎng)絡(luò )中心應全天24小時(shí)開(kāi)機，設備和線(xiàn)路出現故障，應及時(shí)維修處理，確保網(wǎng)絡(luò )設備安全運轉。

　　七、嚴禁在辦公時(shí)間內上網(wǎng)聊天、玩游戲、觀(guān)看與工作無(wú)關(guān)的視頻信息。

　　八、非中心機房工作人員不得隨意進(jìn)入中心機房，不得以任何方式試圖登陸校園網(wǎng)后臺管理端，不得對服務(wù)器等設備進(jìn)行修改、設置、刪除等操作。

　　九、管理人員應監視并記錄服務(wù)器系統運行情況，隨時(shí)屏蔽有害網(wǎng)頁(yè)，出現異常情況應根據需要立即關(guān)閉服務(wù)器系統，及時(shí)處理。出現危急情況，應立即報告學(xué)校領(lǐng)導和相關(guān)主管部門(mén)。監視電壓、電流、濕溫度等環(huán)境條件；監視運行的作業(yè)和信息傳輸情況；填寫(xiě)中心機房工作日志。

　　十、為了確保中心機房的安全，應逐步實(shí)現網(wǎng)管人員對服務(wù)器的遠程操作。定期更換服務(wù)器口令；工作人員不得隨意泄漏口令。不得將系統特權授予普通用戶(hù)，不得隨意轉給他人；對過(guò)期用戶(hù)應及時(shí)收回所授予的.權力。

　　十一、學(xué)校重要數據不得外泄，重要數據的輸入及修改應按權限、由專(zhuān)人完成，并作加密處理。

　　十二、收集整理網(wǎng)管中心技術(shù)檔案。妥善保存備份資源。打印涉密資料應按權限保存，廢棄資料應及時(shí)銷(xiāo)毀。

　　十三、網(wǎng)管人員在工作時(shí)，應嚴格遵守安全規程，實(shí)行安全巡查值班制度，嚴防漏電、著(zhù)火、雷擊、被盜、磁化、系統崩潰、病毒攻擊、黑客入侵等不安全事故發(fā)生。危險品及可燃品不得帶入機房。

　　十四、中心機房不會(huì )客、不做與網(wǎng)絡(luò )安全運行與維護無(wú)關(guān)的事情。機房的設備與軟件不隨意外借。

信息安全管理制度11

　　1.安全管理制度要求

　　1.1總則：為了切實(shí)有效的保證公司信息安全，提高信息系統為公司生產(chǎn)經(jīng)營(yíng)的服務(wù)能力，特制定交互式信息安全管理制度，設定管理部門(mén)及專(zhuān)業(yè)管理人員對公司整體信息安全進(jìn)行管理，以確保網(wǎng)絡(luò )與信息安全。

　　1.1.1建立文件化的安全管理制度，安全管理制度文件應包括：

　　a)安全崗位管理制度；

　　b)系統操作權限管理；

　　c)安全培訓制度；

　　d)用戶(hù)管理制度；

　　e)新服務(wù)、新功能安全評估；

　　f)用戶(hù)投訴舉報處理；

　　g)信息發(fā)布審核、合法資質(zhì)查驗和公共信息巡查；

　　h)個(gè)人電子信息安全保護；

　　i)安全事件的監測、報告和應急處置制度；

　　j)現行法律、法規、規章、標準和行政審批文件。

　　1.1.2安全管理制度應經(jīng)過(guò)管理層批準，并向所有員工宣貫

　　2.機構要求

　　2.1法律責任

　　2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應是一個(gè)能夠承擔法律責任的組織或個(gè)人。

　　2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應取得相應許可。 3.人員安全管理

　　3.1安全崗位管理制度

　　建立安全崗位管理制度，明確主辦人、主要負責人、安全責任人的職責：崗位管理制度應包括保密管理。

　　3.2關(guān)鍵崗位人員

　　3.2.1關(guān)鍵崗位人員任用之前的背景核查應按照相關(guān)法律、法規、道德規范和對應的業(yè)務(wù)要求來(lái)執行，包括：1.個(gè)人身份核查：2.個(gè)人履歷的核查：

　　3.學(xué)歷、學(xué)位、專(zhuān)業(yè)資質(zhì)證明：

　　4.從事關(guān)鍵崗位所必須的能力

　　3.2.2應與關(guān)鍵崗位人員簽訂保密協(xié)議。

　　3.3安全培訓

　　建立安全培訓制度，定期對所有工作人員進(jìn)行信息安全培訓，提高全員的信息安全意識，包括：

　　1.上崗前的培訓；

　　2.安全制度及其修訂后的培訓；

　　3.法律、法規的發(fā)展保持同步的繼續培訓。

　　應嚴格規范人員離崗過(guò)程：

　　a)及時(shí)終止離崗員工的所有訪(fǎng)問(wèn)權限；

　　b)關(guān)鍵崗位人員須承諾調離后的保密義務(wù)后方可離開(kāi)；

　　c)配合公安機關(guān)工作的人員變動(dòng)應通報公安機關(guān)。 3.4人員離崗

　　應嚴格規范人員離崗過(guò)程：

　　a)及時(shí)終止離崗員工的所有訪(fǎng)問(wèn)權限；

　　b)關(guān)鍵崗位人員須承諾調離后的保密義務(wù)后方可離開(kāi)；

　　c)配合公安機關(guān)工作的人員變動(dòng)應通報公安機關(guān)。

　　4.訪(fǎng)問(wèn)控制管理

　　4.1訪(fǎng)問(wèn)管理制度

　　建立包括物理的和邏輯的系統訪(fǎng)問(wèn)權限管理制度。

　　4.2權限分配

　　按以下原則根據人員職責分配不同的訪(fǎng)問(wèn)權限：

　　a)角色分離，如訪(fǎng)問(wèn)請求、訪(fǎng)問(wèn)授權、訪(fǎng)問(wèn)管理；

　　b )滿(mǎn)足工作需要的最小權限；

　　c)未經(jīng)明確允許，則一律禁止。

　　4.3特殊權限限制和控制特殊訪(fǎng)問(wèn)權限的分配和使用：

　　a)標識出每個(gè)系統或程序的特殊權限；

　　b)按照“按需使用”、“一事一議”的'原則分配特殊權限；

　　c)記錄特殊權限的授權與使用過(guò)程；

　　d)特殊訪(fǎng)問(wèn)權限的分配需要管理層的批準。

　　注：特殊權限是系統超級用戶(hù)、數據庫管理等系統管理權限。

　　4.4權限的檢查

　　定期對訪(fǎng)問(wèn)權限進(jìn)行檢查，對特殊訪(fǎng)問(wèn)權限的授權情況應在更頻繁的時(shí)間間隔內進(jìn)行檢查，如發(fā)現不恰當的權限設置，應及時(shí)予以調整。

　　5網(wǎng)絡(luò )與主機系統的安全

　　5.1 網(wǎng)絡(luò )與主機系統的安全

　　應維護使用的網(wǎng)絡(luò )與主機系統的安全，包括：

　　a)實(shí)施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施；

　　b)實(shí)施7×24h網(wǎng)絡(luò )入侵行為的預防、檢測與響應措施；

　　c)適用時(shí)，對重要文件的完整性進(jìn)行檢測，并具備文件完整性受到破壞后的恢復措施；

　　d)對系統的脆弱性進(jìn)行評估，并采取適當的措施處理相關(guān)的風(fēng)險。注：系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。

　　5.2備份5.2.1

　　應建立備份策略，有足夠的備份設施，確保必要的信息和軟件在災難或介質(zhì)故障時(shí)可以恢復。

　　5.2.2 網(wǎng)絡(luò )基礎服務(wù)（登錄、消息發(fā)布等）應具備容災能力。

　　5.3安全審計

　　5.3.1應記錄用戶(hù)活動(dòng)、異常情況、故障和安全事件的日志。

　　5.3.2審計日志內容應包括：

　　a)用戶(hù)注冊相關(guān)信息，包括：

　　1)用戶(hù)唯一標識；

　　2)用戶(hù)名稱(chēng)及修改記錄；

　　3)身份信息，如姓名、證件類(lèi)型、證件號碼等；

　　4 )注冊時(shí)間、IP地址及端口號；

　　5)電子郵箱地址和于機號碼；

　　6 )用戶(hù)備注信息；7 )用戶(hù)其他信息。

　　b )群組、頻道相關(guān)信息，包括：

　　1)創(chuàng )建時(shí)間、創(chuàng )建人、創(chuàng )建人IP地址及端口號；

　　2 )刪除時(shí)間、刪除人、刪除人IP地址及端口號；

　　3 )群組組織結構；

　　4 )群組成員列表。

　　c)用戶(hù)登錄信息，包括：

　　1)用戶(hù)唯一標識；2 )登錄時(shí)間；3 )退出時(shí)間；4 ) IP地址及端口號。

　　d )用戶(hù)信息發(fā)布日志，包括：1)用戶(hù)唯一標識；2 )信息標識；3)信息發(fā)布時(shí)間；4 ) IP地址及端口號；5 )信息標題或摘要，包括圖片摘要 。

　　e)用戶(hù)行為，包括：1 )進(jìn)出群組或頻道；2 )修改、刪除所發(fā)信息；3 )上傳、下載文件。

　　5.3.3應確保審計日志內容的可溯源性，即可追溯到真實(shí)的用戶(hù)ID、網(wǎng)絡(luò )地址和協(xié)議。電子郵件、短信息、網(wǎng)絡(luò )電話(huà)、即時(shí)消息、網(wǎng)絡(luò )聊天等網(wǎng)絡(luò )消息服務(wù)提供者應能防范偽造、隱匿發(fā)送者真實(shí)標記的消息的措施；涉及地址轉換技術(shù)的服務(wù)，如移動(dòng)上網(wǎng)、網(wǎng)絡(luò )代理、內容分發(fā)等應審計轉換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的,應審計原始URL與短UR L之間的映射關(guān)系。

　　5.3.4應保護審計日志，保證無(wú)法單獨中斷審計進(jìn)程，防止刪除、修改或覆蓋審計日志。

　　5.3.5應能夠根據公安機關(guān)要求留存具備指定信息訪(fǎng)問(wèn)日志的留存功能。

　　審計日志保存周期

　　a )應永久保留用戶(hù)注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及歷史變更記錄；

　　b)系統維護日志信息保存12個(gè)月以上；

　　c)應留存用戶(hù)日志信息12個(gè)月以上；

　　d )對用戶(hù)發(fā)布的信息內容保存6個(gè)月以上；

　　e)已下線(xiàn)的系統的日志保存周期也應符合以上規定。

　　6應用安全

　　6.1用戶(hù)管理

　　6.1.1向用戶(hù)宣傳法律法規，應在用戶(hù)注冊時(shí)，與用戶(hù)簽訂服務(wù)協(xié)議，告知相關(guān)權利義務(wù)及需承擔的法律責任。

　　6.1.2建立用戶(hù)管理制度，包括：

　　a )用戶(hù)實(shí)名登記真實(shí)身份信息，并對用戶(hù)真實(shí)身份信息進(jìn)行有效核驗，有校核驗方法可追溯到用戶(hù)登記的真實(shí)身份，如：1)身份證與姓名實(shí)名驗證服務(wù)：2)有效的銀行卡：3)合法、有效的數字證書(shū)：4)已確認真實(shí)身份的網(wǎng)絡(luò )服務(wù)的注冊用戶(hù)：5)經(jīng)電信運營(yíng)商接入實(shí)名認證的用戶(hù)。（如某網(wǎng)站采用已經(jīng)實(shí)名認證的第三方賬號登陸，可認為該網(wǎng)站的用戶(hù)已進(jìn)行有效核驗。）

　　b )應對用戶(hù)注冊的賬號、頭像和備注等信息進(jìn)行審核，禁止使用違反法律法規和社會(huì )道德的內容：

　　c )建立用戶(hù)黑名單制度，對網(wǎng)站自行發(fā)現以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶(hù)納應入黑名單管理。

　　6.1.3當用戶(hù)利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時(shí)，應查驗其合法資質(zhì)，查驗可以通過(guò)以下方法進(jìn)行：a )核對行政許可文件：b )通過(guò)行政許可主管部門(mén)的公開(kāi)信息: c )通過(guò)行政許可主管部門(mén)的驗證電話(huà)、驗證平臺。

　　6.2違法有害信息防范和處置

　　6.2.1公司采取管理與技術(shù)措施，及時(shí)發(fā)現和停止違法有害信息發(fā)布。

　　6.2.2公司采用人工或自動(dòng)化方式，對發(fā)布的信息逐條審核。

　　采取技術(shù)措施過(guò)濾違法有害信息，包括且不限于:a )基于關(guān)鍵詞的文字信息屏蔽過(guò)濾；b)基于樣本數據特征值的文件屏蔽過(guò)濾；c)基于URL的屏蔽過(guò)濾。

　　6.2.3應采取技術(shù)措施對違法有害信息的來(lái)源實(shí)施控制，防止繼續傳播。

　　注：違法有害信息來(lái)源控制技術(shù)措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發(fā)布來(lái)源、控制特定地區或指定IP帳號登陸、禁止客戶(hù)端推送、切斷與第三方應用的互聯(lián)互通等。

　　6.2.4公司建立7*24h信息巡查制度，及時(shí)發(fā)現并處置違法有害信息。

　　6.2.5建立涉嫌違法犯罪線(xiàn)索、異常情況報告、安全提示和案件調差配合制度，包括：

　　a)對發(fā)現的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據（包括用戶(hù)注冊信息、用戶(hù)登錄信息、用戶(hù)發(fā)布信息等記錄），并向屬地公安機關(guān)報告

　　b)對于煽動(dòng)非法聚集、策劃恐怖活動(dòng)、揚言實(shí)施個(gè)人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關(guān)報告，同時(shí)配合公安機關(guān)做好調查取證工作

　　6.2.6與公安機關(guān)建立7*24h違法有害信息快速處置工作機制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個(gè)環(huán)節應能再5min之內刪除，相關(guān)的屏蔽過(guò)濾措施應在10min內生效。 6.3破壞性程序防范

　　6.3.1實(shí)施破壞性程序的發(fā)現和停止發(fā)布措施、并保留發(fā)現的破壞性程序的相關(guān)證據。

　　6.3.2對軟件下載服務(wù)提供者（包括應用軟件商店），檢查用戶(hù)發(fā)布的軟件是否是計算機病毒等惡意代碼。

　　7個(gè)人電子信息保護

　　7.1.1制定明確、清楚的個(gè)人電子信息處置規則，并且在顯著(zhù)位置予以公示。在用戶(hù)注冊時(shí)，在與用戶(hù)簽訂服務(wù)協(xié)議中明示收集與使用個(gè)人電子信息的目的、范圍與方式。

　　7.1.2湖南凱美醫療網(wǎng)站僅收集為實(shí)現正當商業(yè)目的和提供網(wǎng)絡(luò )服務(wù)所必需的個(gè)人信息；收集個(gè)人電子信息時(shí)，取得用戶(hù)的明確授權同意；公司在姜個(gè)人電子信息交給第三方處理時(shí)，處理方符合本制度標準的要求，并取得用戶(hù)明確授權同意；法律、行政法規另有規定的，從其規定。

　　7.1.3公司在修改個(gè)人電子信息處理時(shí)，應告知用戶(hù)，并取得其同意。

　　7.2技術(shù)措施

　　公司建立覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節的安全保護制度和技術(shù)措施，防止個(gè)人電子信息泄露、損毀、丟失，包括：

　　a )采用加密方式保存用戶(hù)密碼等重要信息

　　b )審計內部員工對涉及個(gè)人電子信息的所有操作，并對審計進(jìn)行分析，預防內部員工故意泄露

　　c )審計個(gè)人電子信息上載、存儲或傳輸，作為信息泄露，毀損，丟失的查詢(xún)依據

　　d )建立程序來(lái)控制對涉及個(gè)人電子信息的系統和服務(wù)的訪(fǎng)問(wèn)權的分配。這些程序涵蓋用戶(hù)訪(fǎng)問(wèn)生存周期內的各個(gè)階段，從新用戶(hù)初始注冊到不再需要訪(fǎng)問(wèn)信息系統和服務(wù)的用戶(hù)的最終撤銷(xiāo)

　　e )系統的安全保障技術(shù)措施覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節，防止網(wǎng)絡(luò )違法犯罪活動(dòng)竊取信息，降低個(gè)人電子信息泄露的風(fēng)險

　　7.3個(gè)人信息泄露事件的處理

　　a)當發(fā)現個(gè)人電子信息泄露時(shí)間后，應：

　　b )立即采取補救措施，防止信息繼續泄露

　　c )24小時(shí)內告知用戶(hù)，根據用戶(hù)初始注冊信息重新激活賬戶(hù)，避免造成更大的損失立即告屬地公安機關(guān)

　　8安全事件管理

　　8.1安全時(shí)間管理制度

　　8.1.1建立安全事件的監測、報告和應急處置制度，確�？焖儆行Ш陀行虻仨憫�安全事件.

　　8.1.2安全事件包括違法有害信息、危害計算機信息系統安全的異常情況及突發(fā)公共事件。

　　8.2應急預案

　　制定安全事件應急處置預案，向屬地公安機關(guān)寶貝，并定期開(kāi)展應急演練。

　　8.3突發(fā)公共事件處理

　　突發(fā)公共事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），互聯(lián)網(wǎng)交互式服務(wù)提供者應建立相應處置機制，當突發(fā)公共事件發(fā)生后，投入相應的人力與技術(shù)措施開(kāi)展處置工作：

　　a)I級：應投入安全管理等部門(mén)80%甚至全部人力開(kāi)展處置工作；

　　b)II級：應投入安全管理等部門(mén)50% -80%的人力開(kāi)展處置工作；

　　c)III級：應投入安全管理等部門(mén)30%-50%的人力開(kāi)展處置工作；

　　d)IV級：應投入安全管理等部門(mén)30%的人力開(kāi)展處置工作。

　　8.4技術(shù)接口

　　公司網(wǎng)站所設技術(shù)接口為公安機關(guān)提供的符合國家及公共安全行業(yè)標準的技術(shù)接口，能確保實(shí)時(shí)，有效地提供相關(guān)證據。

信息安全管理制度12

　　本制度系列所管轄醫院信息包括醫院在運行管理中涉及到的基本信息（人、財、物）、運行信息（各類(lèi)業(yè)務(wù)工作與質(zhì)量安全管理資料數據）和管理信息（投資發(fā)展、人力資源開(kāi)發(fā)與利用、發(fā)展戰略研究），統稱(chēng)為“醫院信息”。依據《中華人民共和國保密法》、《醫療質(zhì)量管理辦法》，制定此制度系列。

　　一、醫院數據、資料信息安全管理制度

　　醫院內部的數據、資料信息安全管理尤為重要，如涉及全院的工作統計數據、質(zhì)量與安全評價(jià)分析相關(guān)的數據、與醫療糾紛有關(guān)的信息、醫院管理與建設重大決策信息、醫院經(jīng)濟管理相關(guān)的信息等，院領(lǐng)導認為不宜通過(guò)“三重一大”公示的信息，均屬于保密信息，必須實(shí)行安全管理，規定如下：

　�。ㄒ唬┤魏稳宋唇�(jīng)院領(lǐng)導批準，不得在公眾場(chǎng)合、公共媒體發(fā)布醫院涉密信息。

　�。ǘ�）醫院各職能部門(mén)和業(yè)務(wù)科室，對自身所涉密的醫院信息，有保密的義務(wù)和責任。

　�。ㄈ�）不屬于分管職能內的涉密信息，不得向其他部門(mén)和個(gè)人打探。

　�。ㄋ模┤魏螁T工不得以謀利為目的，散布、出賣(mài)、交換醫院涉密信息。

　�。ㄎ澹┤魏螁T工不得以泄私憤、圖報復，散布和出賣(mài)醫院涉密信息。違反以上各條，醫院有權追究泄密人的相應責任。

　　二、醫院網(wǎng)絡(luò )系統安全管理制度

　�。ㄒ唬�為了保證醫院網(wǎng)絡(luò )的正常運行，保護醫院網(wǎng)絡(luò )系統的安全和網(wǎng)絡(luò )用戶(hù)的使用權益，特制定本安全管理制度。

　�。ǘ�）本管理制度所稱(chēng)的醫院網(wǎng)絡(luò )系統是指在醫院信息系統中，由計算機及配套設施構成的，按照醫院網(wǎng)絡(luò )信息系統的應用目標和規定，對數據進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統。

　�。ㄈ�）醫院網(wǎng)絡(luò )系統安全管理是通過(guò)實(shí)施身份認證、訪(fǎng)問(wèn)控制與授權管理、數據備份和災備系統、安全分域及邊界防護、防病毒系統、入侵檢測、補丁管理、郵件安全網(wǎng)關(guān)、遠程接入等安全技術(shù)和與之相配套的管理制度，保障網(wǎng)絡(luò )主機及配套設備、設施的安全，網(wǎng)絡(luò )運行環(huán)境的安全，從而達到保障計算機網(wǎng)絡(luò )系統安全運行和信息安全的目的。

　�。ㄋ模┬畔⒖曝撠熱t院計算機網(wǎng)絡(luò )系統的安全管理工作，確保對計算機網(wǎng)絡(luò )系統安全管理的有效性。

　�。ㄎ澹┯嬎銠C網(wǎng)絡(luò )系統的建設和應用應遵守上級主管部門(mén)頒發(fā)的行政法規、用戶(hù)手冊和其他相關(guān)規定。

　�。�六）計算機網(wǎng)絡(luò )系統實(shí)行安全等級保護和用戶(hù)使用權限劃分。安全等級和用戶(hù)使用權限的劃分和設置由信息科負責制定和實(shí)施。

　�。ㄆ撸┯嬎銠C入網(wǎng)運行必須經(jīng)信息科批準備案，分配IP地址后，方可接入網(wǎng)絡(luò )。

　�。ò耍┮獙χ匾�主機的用戶(hù)名、開(kāi)機口令、應用口令和數據庫口令實(shí)施重點(diǎn)管理，嚴格控制設備存取及加密，未經(jīng)允許嚴禁外來(lái)盤(pán)片帶入機房對服務(wù)器進(jìn)行安裝等，不準將機器設備和數據帶出機房。

　�。ň牛┪崔k理入網(wǎng)手續，任何單位和個(gè)人不得非法私自將計算機接入醫院網(wǎng)絡(luò )，不得以不真實(shí)身份使用網(wǎng)絡(luò )資源，不得竊取他人賬號、口令使用網(wǎng)絡(luò )資源，不得盜用未經(jīng)合法申請的IP地址入網(wǎng)。未經(jīng)信息科允許，任何單位或個(gè)人不得擅自接納網(wǎng)絡(luò )用戶(hù)。

　�。ㄊ�）應根據網(wǎng)絡(luò )主機不同的安全級別采取相應的訪(fǎng)問(wèn)控制、數據保護、保密監控管理和系統安全等技術(shù)措施。

　�。ㄊ�一）信息科定期對網(wǎng)上用戶(hù)的訪(fǎng)問(wèn)及授權情況進(jìn)行檢查，及時(shí)發(fā)現和限制非法用戶(hù)和非授權訪(fǎng)問(wèn)。

　�。ㄊ�二）要按要求對數據進(jìn)行日備份、月備份和年備份。嚴格按操作規程進(jìn)行數據備份工作，確保備份數據的完整和準確性，做好備份數據的審核工作，并做好相應記錄。要確保導出、導入數據的完整和準確，并做好導出、導人數據的審核工作和相應記錄。

　�。ㄊ�三）加強邊界安全的防護，應根據安全區域劃分情況明確需進(jìn)行安全防護的邊界，并實(shí)施有效的訪(fǎng)問(wèn)控制策略和機制。

　�。ㄊ�四）應在網(wǎng)絡(luò )系統或安全域邊界的關(guān)鍵點(diǎn)采用嚴格的安全防護機制，如嚴格的登錄／鏈接控制，高性能的防火墻、防病毒網(wǎng)關(guān)、入侵防范、信息過(guò)濾、邊界完整性檢查等。

　�。ㄊ�五）要實(shí)施必要的邊界訪(fǎng)問(wèn)、違規外聯(lián)的審計和控制。

　�。ㄊ�六）應采用必要的手段（如入侵檢測系統、日志分析、網(wǎng)絡(luò )取證分析等）對系統內的安全事件進(jìn)行監控，檢測攻擊行為并能發(fā)現系統內非授權使用情況。

　�。ㄊ�七）應禁止系統內用戶(hù)非授權的外部鏈接（如自動(dòng)撥號、違規鏈接和無(wú)線(xiàn)上網(wǎng)）。

　�。ㄊ�八）應部署有效的網(wǎng)絡(luò )病毒防范軟件系統和相應的網(wǎng)絡(luò )病毒防范管理辦法，實(shí)施對計算機網(wǎng)絡(luò )病毒的有效防范。

　�。ㄊ�九）要制定文檔化的'明確的計算機病毒和惡意代碼防護策略，以及確保策略有效實(shí)施規章制度。

　�。ǘ�十）應在系統內關(guān)鍵的入口點(diǎn)以及各工作站、服務(wù)器和移動(dòng)計算機設備上采取計算機病毒和惡意代碼防護措施。

　�。ǘ�十一）應制定文檔化的信息系統備份和恢復的策略，建立健全備份和恢復的管理制度和操作規程。

　�。ǘ�十二）備份包括關(guān)鍵業(yè)務(wù)數據的備份、關(guān)鍵業(yè)務(wù)設備（如服務(wù)器、交換機等）的備份和電源備份。對重要信息系統（如HIs系統）的關(guān)鍵設施（如服務(wù)器）采取熱備份。

　�。ǘ�十三）應定期備份和對恢復策略進(jìn)行測試，以保證其有效性。要有系統恢復的預案和演練。

　�。ǘ�十四）應根據業(yè)務(wù)的重要程度、信息系統的資產(chǎn)價(jià)值等進(jìn)行相應的需求分析，確定系統恢復的目標，如：關(guān)鍵業(yè)務(wù)功能、恢復的優(yōu)先順序、恢復的時(shí)間范圍。

　�。ǘ�十五）為確保醫院計算機局域網(wǎng)絡(luò )運行安全，要在有效部署防火墻、入侵檢測和防病毒系統的情況下，實(shí)施遠程接入。醫院業(yè)務(wù)網(wǎng)（內網(wǎng)）與遠程接入（外網(wǎng)）業(yè)務(wù)的物理隔離。凡涉密的計算機主機不得與互聯(lián)網(wǎng)（Internet）鏈接。

　�。ǘ�十六）任何部門(mén)和個(gè)人使用醫院網(wǎng)絡(luò )提供的遠程接人服務(wù)必須向信息科申請。入網(wǎng)用戶(hù)的用戶(hù)名和IP地址是用戶(hù)在醫院局域網(wǎng)上的合法標識，也是對用戶(hù)收費的重要依據，一經(jīng)指定不得擅自更改。

　�。ǘ�十七）未經(jīng)信息科批準，任何個(gè)人或部門(mén)不得為外單位人員提供電子郵件或其他網(wǎng)絡(luò )服務(wù)。

　�。ǘ�十八）所有入網(wǎng)用戶(hù)，應當遵守國家有關(guān)法律、法規及醫院的有關(guān)規章制度，嚴格執行安全保密制度，不得利用計算機網(wǎng)絡(luò )從事危害國家安全、損害醫院利益等違法、違規活動(dòng)，不得制作、查閱、復制和傳播擾亂社會(huì )治安、有傷風(fēng)化、淫穢色情等信息，不得利用網(wǎng)絡(luò )攻擊、損害公用網(wǎng)絡(luò )和其他用戶(hù)。否則，醫院有權停止對其提供的服務(wù)；由此造成的不良后果由用戶(hù)承擔。

　�。ǘ�十九）使用計算機機網(wǎng)絡(luò )系統的部門(mén)和個(gè)人必須遵守計算機安全使用的規定，對計算機網(wǎng)絡(luò )系統發(fā)生的問(wèn)題和故障要立即向信息中心報告。

　�。ㄈ�十）用戶(hù)不得從事下列危害計算機網(wǎng)絡(luò )安全的行為：

　　1、未經(jīng)允許，進(jìn)入計算機網(wǎng)絡(luò )系統或使用網(wǎng)上信息資源：

　　2、私自轉借或轉讓用戶(hù)賬號，盜用他人賬號或IP地址：

　　3、未經(jīng)允許，對網(wǎng)上應用系統的功能進(jìn)行刪減或更改：

　　4、未經(jīng)允許，對計算機網(wǎng)絡(luò )的存儲、處理或傳輸數據和應用程序進(jìn)行刪減或更改；

　　5、故意制作、傳播計算機病毒等破壞程序，使用任何工具破壞網(wǎng)絡(luò )正常運行；

　　6、破壞、盜用計算機網(wǎng)絡(luò )中的信息資源和危害計算機網(wǎng)絡(luò )安全；

　　7、其他危害計算機網(wǎng)絡(luò )安全的行為。

　　上述違規造成醫院損失的，依照有關(guān)法律、法規及醫院有關(guān)處罰規定進(jìn)行處理，情節嚴重者移交公安機關(guān)處理。

　　三、涉密數據保密管理制度

　�。ㄒ唬┤魏慰剖液蛡�(gè)人不得利用涉密計算機網(wǎng)絡(luò )系統泄漏屬于醫院內部秘密的信息數據，危害醫院、員工和患者的合法權益；不得從事其它違法犯罪活動(dòng)。涉密單位和涉密人員應當遵守保密法律法規，認真執行國家和省制定的涉密計算機網(wǎng)絡(luò )系統的保密規定。

　�。ǘ�）涉密計算機網(wǎng)絡(luò )系統的單位保密管理實(shí)行領(lǐng)導負責制，并制定部門(mén)或專(zhuān)人負責具體的日常管理工作。并保持計算機保密管理人員相對穩定。

　�。ㄈ�）涉密計算機網(wǎng)絡(luò )系統工作人員定期進(jìn)行保密教育和檢查。涉密計算機信息系統的系統管理人員應當經(jīng)過(guò)嚴格審查，定期進(jìn)行考核，并保持相對穩定。

　�。ㄋ模┥婷苋藛T調離崗位，應當履行國家規定保守秘密的義務(wù)。

　�。ㄎ澹┥婕搬t院秘密的數據，必須按照保密規定進(jìn)行采集、存儲、處理、傳遞、使用和銷(xiāo)段。

　�。�六）計算機存儲、處理、傳遞、輸出的涉密信息要有相應的密級標識且不得與正文分離，輸出的涉密文件按相應密級文件管理。

　�。ㄆ撸┥婷茚t院信息和數據不得在與公用網(wǎng)絡(luò )聯(lián)網(wǎng)的計算機信息系統中存儲、處理、傳遞，涉密信息一律不得在網(wǎng)上發(fā)布。

　�。ò耍┥婷苡嬎銠C必須設置口令保護，根據密級確定口令長(cháng)度與更換周期，實(shí)行專(zhuān)人專(zhuān)用，嚴禁以任何方式登錄國際互聯(lián)網(wǎng)或與互聯(lián)網(wǎng)物理連接。

　�。ň牛┐鎯ι婷苄畔⒌拿襟w應按所存儲信息的最高密級標明密級，并按相應密級文件管理制度管理，存儲過(guò)涉密信息的計算機媒體不能降低密級使用，維修存儲過(guò)涉密信息的計算機媒體應到部門(mén)指定維修點(diǎn)維修，有人全程跟蹤，保證存儲的秘密信息不被泄露。

　�。ㄊ�）儲涉密數據的計算機硬盤(pán)或其它存儲介質(zhì)不得擅自更換或者報廢。確需更換或者報廢的，應當經(jīng)院領(lǐng)導批準后，交醫院的網(wǎng)絡(luò )管理部門(mén)進(jìn)行登記、封存，或者按規定銷(xiāo)毀。

　�。ㄊ�一）涉密單位應當將涉密數據與備份數據分別保存在單位內不同的地點(diǎn)。有條件的，應實(shí)行異地容災備份。不得在便攜式計算機上存儲涉密信息。

　�。ㄊ�二）發(fā)現計算機信息泄密后應立即采取補救措施，并按規定及時(shí)報告保密部門(mén)。

　　四、信息提供、發(fā)布和上網(wǎng)保密審查制度

　　1、信息提供、發(fā)布、上網(wǎng)實(shí)行保密審查、領(lǐng)導審批和登記備案制度。

　　2、信息發(fā)布、上網(wǎng)，堅持涉密不公開(kāi)、公開(kāi)不涉密和誰(shuí)上網(wǎng)、誰(shuí)負責的原則。

　　3、對涉密信息確需對外發(fā)布、上網(wǎng)的，應采取解密或者刪除、改編、隱去等保密措施，并經(jīng)主管部門(mén)或保密工作部門(mén)審定。

　　4、接受記者采訪(fǎng)，不得涉及醫院秘密內容。

　　五、計算機設備管理制度

　�。ㄒ唬┯嬎銠C及其輔助設備是實(shí)現現代化管理的工具，各科室有關(guān)工作人員都要結合本職工作利用計算機手段來(lái)提高工作效率。

　�。ǘ�）各科室購置和上級分配給予的計算機和輔助設備均屬固定資產(chǎn)，統一由計算機中心負責維護，各科室由電腦管理員專(zhuān)人負責管理和使用。

　�。ㄈ�）服務(wù)器、計算機及輔助設備和其他應用軟件所配的專(zhuān)用磁盤(pán)、光盤(pán)，由中心專(zhuān)人登記管理入賬，每年清點(diǎn)一次。

　�。ㄋ模┯嬎銠C的備件、易耗件、磁盤(pán)及有關(guān)資料的購買(mǎi)，由信息管理部門(mén)統一申請，經(jīng)科室負責人并上報院長(cháng)同意后，由后勤采購進(jìn)行統一購置，統一給各科室配置。

　�。ㄎ澹┯嬎銠C、服務(wù)器、網(wǎng)絡(luò )通訊電纜設備，未經(jīng)信息部門(mén)同意不得拆裝、移動(dòng)。

　�。�六）計算機和輔助設備需檢修，應報告計算機中心專(zhuān)業(yè)工作人員，由計算機中心有關(guān)人員檢修，若需外單位修理，由領(lǐng)導會(huì )同有關(guān)部門(mén)商量后辦理。

　�。ㄆ撸�對外來(lái)磁盤(pán)要先殺毒，后使用。各計算機一旦發(fā)現病毒，必須立即清除，否則不得使用該計算機，更不能向服務(wù)器上傳數據。

　�。ò耍┩鈦�(lái)人員未經(jīng)科室領(lǐng)導和專(zhuān)業(yè)人員同意不得操作計算機，以免發(fā)生病毒感染和其他損失。

　�。ň牛┎坏迷谟嬎銠C上進(jìn)行與工作無(wú)關(guān)（如做游戲、下棋、打撲克等）的操作。

　　六、服務(wù)器機房管理制度

　　為保證網(wǎng)絡(luò )中心設備與信息的安全，保障機房有良好的運行環(huán)境和工作環(huán)境，作如下規定：

　�。ㄒ唬└鏖T(mén)鑰匙由指定的專(zhuān)人保管，不能隨意轉借。丟失要聲明。出入請隨手關(guān)門(mén)。

　�。ǘ�）要有安全防范意識，節假日值班人員不得擅離崗位。早進(jìn)入、晚離開(kāi)時(shí)要檢查設備情況，離開(kāi)時(shí)查看燈、門(mén)、窗、鎖是否關(guān)閉好。

　�。ㄈ�）易燃xx物品不準帶入機房，機房及周邊地區嚴禁煙火，不能明火作業(yè)，機房一律禁止吸煙。

　�。ㄋ模�機房工作人員要有防火意識，出現異常情況應立即報警，切斷電源，用滅火設備撲救。

　�。ㄎ澹┓枪ぷ魅藛T嚴禁進(jìn)入服務(wù)器機房，特殊情況要事先征得院長(cháng)或主管副院長(cháng)的同意，未經(jīng)許可一律不準觸碰開(kāi)關(guān)和設備，否則后果自負。

　�。�六）機房?jì)鹊囊磺泄�用物品未�?jīng)許可一律不得挪用和外借。

　�。ㄆ撸�機房?jì)炔粶蚀舐曅鷩W，機房衛生由工作人員定期負責清掃，保持清潔。

　�。ò耍┚W(wǎng)管員負責機房的安全管理與檢查；負責建立與記錄安全日志。

　　七、計算機網(wǎng)絡(luò )工作站管理制度

　�。ㄒ唬┍局贫人�稱(chēng)醫院計算機網(wǎng)絡(luò )工作站，是指醫院計算機網(wǎng)絡(luò )中以臺式電腦或筆記本電腦為中心的包括所連打印機等外圍設備在內的計算機工作單元。醫院未聯(lián)網(wǎng)工作的計算機也采用此制度進(jìn)行管理。

　�。ǘ�）各個(gè)管理部門(mén)和科室中，每一工作站配置的計算機、打印機等設備須指定專(zhuān)人使用、保管和維護，轉交他人保管時(shí)需嚴格交接。

　�。ㄈ�）各工作站所有使用人員必須嚴格遵守《醫院網(wǎng)絡(luò )系統安全管理制度》。

　�。ㄋ模┯嬎銠C操作人員，不得隨意搡作計算機或相關(guān)設備，更不允許外來(lái)人員操作計算機。

　�。ㄎ澹┎辉谟嬎銠C上玩游戲及做與工作無(wú)關(guān)的操作。

　�。�六）不在醫院計算機上使用來(lái)歷不明的光盤(pán)、軟盤(pán)。

　�。ㄆ撸┯嬎銠C網(wǎng)絡(luò )上的所有操作人員必須保管好自己的密碼，因密碼保管不善造成的經(jīng)濟損失，概由操作人員自己負責。

　�。ò耍┯嬎銠C一旦發(fā)生故障應及時(shí)報告信息科處理。

　�。ň牛┏�計算機網(wǎng)絡(luò )中心機房工作人員外，任何入不得拆裝計算機，或擅自接入其它設備。

　�。ㄊ�）不間斷電源的計算機，在供電中斷時(shí)，操作人員應立即保存數據，退出程序后按正常操作關(guān)機。

　�。ㄊ�一）嚴格按照操作規程操作，下班前必須按程序關(guān)機，并切斷電源。

　�。ㄊ�二）計算機旁不準抽煙、會(huì )客，不準吃零食物和飲料。

　�。ㄊ�三）計算機旁邊嚴禁擺放各種易燃易爆、腐蝕性或強磁物品。遇臨時(shí)停電及雷電天氣，應采取保護措施，避免發(fā)生意外。

　�。ㄊ�四）愛(ài)護計算機及各種相關(guān)設備，計算機主機、顯示器、打印機上不能堆放雜物。

　�。ㄊ�五）科室指定專(zhuān)人負責科內計算機的一般性管理工作，定期用干凈柔軟的干抹布清除設備上的灰塵，清潔和整理計算機工作臺。

　�。ㄊ�六）因維護管理不當造成計算機硬件設備損壞，由當事人負責賠償。

　�。ㄊ�七）外來(lái)參觀(guān)須報請信息科及主管院領(lǐng)導批準，不能向外展示和泄露醫院重要業(yè)務(wù)數據。

　�。ㄊ�八）違反本制度者，醫院將視情節給予處罰。

　　八、監控機房管理制度

　�。ㄒ唬�為確保監控機房安全，設立監控機房管理員，負責對機房各類(lèi)設備、軟件系統進(jìn)行維護和管理。

　�。ǘ�）監控機房管理員應認真履行職責，及時(shí)發(fā)現、報告、解決硬件系統出現的故障，保障系統的正常運行。

　�。ㄈ�）監控機房管理員及時(shí)完成監控數據的刻錄歸檔，確保監控數據完整無(wú)誤。不得無(wú)故中斷監控，不得漏刻監控資料，未經(jīng)刻錄不得無(wú)故刪除監控資料。

　�。ㄋ模┍O控機房必須做好防火、防靜電、防潮、防塵、防熱和防盜工作。機房禁止放置易燃、易爆、腐蝕、強磁性物品，禁止在監控機房?jì)仁褂闷渌�用電設備，禁止將監控機房鑰匙交他人保管，確保監控機房安全。

　�。ㄎ澹﹪栏褡袷乇Ｃ苤贫�。數據資料必須由監控機房管理員負責保管，未經(jīng)允許不得私自拷貝、下載和外借。嚴禁任何人在監控計算機上使用未經(jīng)檢測允許的介質(zhì)(軟盤(pán)、光盤(pán)等)，嚴禁在監控計算機上做與監控無(wú)關(guān)的事情。

　�。�六）監控機房?jì)缺３智鍧�，嚴禁在機房抽煙、喝水、吃東西、亂扔雜物、大聲喧嘩等。

　�。ㄆ撸�實(shí)行工作人員值班制度。值班人員應按規定做好實(shí)時(shí)監管工作，并做好書(shū)面情況記錄，發(fā)現問(wèn)題及時(shí)匯報并妥善處理。

　�。ò耍┲蛋嗳藛T應嚴格執行機房管理制度，并與監控機房管理員做好交接。如需監控機房管理員進(jìn)行配合的，監控機房管理員應予以協(xié)助。

　�。ň牛┏�監控機房管理員和工作人員外，任何無(wú)關(guān)人員不得進(jìn)入監控機房。

　�。ㄊ�）監控機房管理員要經(jīng)常督促檢查本制度執行情況，切實(shí)履行管理職責，發(fā)現異常情況必須及時(shí)匯報。

　　九、計算機網(wǎng)絡(luò )突發(fā)故障處理預案

　�。ㄒ唬╇娔X網(wǎng)絡(luò )故障

　　電腦網(wǎng)絡(luò )發(fā)生故障后，維護人員要結合醫院的分布式特點(diǎn)，通過(guò)操作人員反饋回來(lái)的信息和現有的網(wǎng)絡(luò )檢測手段，迅速定位故障事件的來(lái)源，明確故障事件發(fā)生的范圍，確認網(wǎng)絡(luò )系統受損害程度，將情況及時(shí)通報直接上級并層層上報。通過(guò)進(jìn)一步的分析，將故障發(fā)生類(lèi)型劃分為網(wǎng)絡(luò )線(xiàn)路、網(wǎng)絡(luò )交換機、服務(wù)器三大類(lèi)型，確定起因是硬件故障、外力損壞、惡意攻擊還是感染病毒，進(jìn)而采取下一步措施。

　　1、網(wǎng)絡(luò )線(xiàn)路故障

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調。

　�。�2）排查：根據網(wǎng)絡(luò )拓撲結構和故障發(fā)生的范圍，使用網(wǎng)絡(luò )檢測指令，確定檢修線(xiàn)路的位置。

　�。�3）搶修：攜帶對線(xiàn)器、轉接器、備用線(xiàn)、壓線(xiàn)鉗等工具，迅速到達線(xiàn)路故障現場(chǎng)，進(jìn)行修復。

　�。�4）驗證：連接網(wǎng)絡(luò )進(jìn)行檢測，確定故障得到解決。

　�。�5）回復：通知故障發(fā)生點(diǎn)恢復使用。

　�。�6）記錄：對整個(gè)事件的時(shí)間、現象、處理過(guò)程作出詳細記錄。

　　2、網(wǎng)絡(luò )交換機故障

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調。聯(lián)系電話(huà)：網(wǎng)絡(luò )負責人。

　�。�2）診斷：根據故障發(fā)生的片區和網(wǎng)絡(luò )交換機的分布圖，結合網(wǎng)絡(luò )檢測指令，判斷出故障交換機的位置。

　�。�3）修復：攜帶電筆、改刀等常規工具，迅速到達故障交換機所在位置，通過(guò)觀(guān)察交換機指示燈，確定其工作狀態(tài)是否正常：如果是斷電所致，立即與維修中心聯(lián)系，恢復供電；如果狀態(tài)鎖死，立即對交換機進(jìn)行復位處理；排除上述因素后如果故障依舊，立即用備用交換機對其進(jìn)行更換。

　�。�4）驗證：連接網(wǎng)絡(luò )進(jìn)行檢測，確定故障得到解決。

　�。�5）回復：通知故障發(fā)生點(diǎn)恢復使用。

　�。�6）事后：對換下交換機送修。待修復后備用。

　�。�7）記錄：對整個(gè)事件的時(shí)間、現象、處理過(guò)程作出詳細的記錄。

　　3、服務(wù)器故障

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調。

　�。�2）診斷：根據故障現象，初步判定是硬件故障還是軟件故障，如果是硬件故障，立即斷開(kāi)主服務(wù)器，啟用備用服務(wù)器；如果是系統軟件故障，盡量正常下機，重啟服務(wù)器；如果是應用軟件故障，立即聯(lián)系HIS公司進(jìn)行遠程維護。

　�。�3）如故障發(fā)生在夜晚或節假日期間，首先應通知負責系統技術(shù)人員立即在15分鐘內趕赴現場(chǎng)，并通知電腦中心主管組織相關(guān)人員進(jìn)行搶修，上報設備科，必要時(shí)盡快聯(lián)系相關(guān)公司維修部進(jìn)行遠程維護。

　　4、停電

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調。

　�。�2）配合：聯(lián)系維修中心，確定停電的時(shí)間長(cháng)短，如果在五分鐘以?xún)�，在恢復供電后重新運行接口機即可；如果在五分鐘以上，對接口機和服務(wù)器進(jìn)行正常下機操作，待恢復供電后，重新開(kāi)啟服務(wù)器至運行狀態(tài)，再運行接口機。

　�。�3）記錄：對整個(gè)事件的時(shí)間、現象、處理過(guò)程作出詳細的記錄。

　　5、病毒發(fā)作

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調，必要時(shí)立即赴現場(chǎng)處理。

　�。�2）診斷：對故障進(jìn)行分析，找出病毒特征碼，確定是何種病毒。

　�。�3）排殺：從專(zhuān)業(yè)網(wǎng)站上下載專(zhuān)殺工具進(jìn)行殺毒。

　�。�4）補�。簭膶�(zhuān)業(yè)網(wǎng)站上下載補丁，封堵漏洞，進(jìn)行免疫處理。

　�。�5）記錄：對整個(gè)事件的時(shí)間、現象、處理過(guò)程作出詳細的記錄。

　　二、通訊網(wǎng)絡(luò )故障

　　當通訊網(wǎng)絡(luò )發(fā)生故障后，要迅速根據設備監控狀況、用戶(hù)反饋的故障現象，確定故障類(lèi)型，將情況及時(shí)通報直接上級并層層上報。通過(guò)進(jìn)一步的分析，將故障劃分為通訊電纜故障、數字程控交換機故障、電深故障三大類(lèi)型，并采取下一步措施。

　　1、通訊電纜故障

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調，必要時(shí)立即赴現場(chǎng)處理，通訊工程師應立即奔赴現場(chǎng)。

　�。�2）查找：根據故障現象、范圍和分線(xiàn)盒的分布位置，確定故障點(diǎn)：如果是主線(xiàn)纜受損，立即通知電信相關(guān)部門(mén)進(jìn)行搶修；如果是戶(hù)線(xiàn)纜受損，立即趕赴現場(chǎng)。

　�。�3）修復：對于主線(xiàn)纜受損，為電信維修部門(mén)提供準確的線(xiàn)路資料，協(xié)調施工工作，掌握搶修進(jìn)度；對于戶(hù)線(xiàn)纜受損，查清故障原因，更換相應線(xiàn)纜。

　�。�4）反饋：通知相關(guān)用戶(hù)恢復使用。

　�。�5）記錄：對整個(gè)事件的時(shí)間、現象、處理過(guò)程和資料變更情況作出詳細記載。

　　2、交換機故障

　�。�1）通知：值班人員迅速通知直接上級并層層上報。上級管理人員根據實(shí)際情況給予指導和協(xié)調，必要時(shí)立即赴現場(chǎng)處理，設備科領(lǐng)導應立即趕赴現場(chǎng)。

　�。�2）分析：作出分析后，根據交換機的故障現象進(jìn)行處理。

　�。�3）反饋：通知相關(guān)用戶(hù)恢復使用。將情況上報相關(guān)領(lǐng)導。

　�。�4）善后：對故障時(shí)間、現象、處理情況作出詳細記載。

　　3、電源故障

　�。�1）通知：值班人員迅速與院內總務(wù)科取得聯(lián)系，確定停電時(shí)間的長(cháng)短。同時(shí)通知直接上級。

　�。�2）處理：中心機房通過(guò)UPS電源繼續正常工作，維護人員必須對設備的工作情況進(jìn)行監控。

　�。�3）跟蹤：隨時(shí)保持與總務(wù)科的聯(lián)系，如果停電時(shí)間超過(guò)半小時(shí)，按照操作流程關(guān)閉部分外圍設備，減少蓄電池的負荷量，以確保程控機的正常運行。

　�。�4）記錄：詳細記載停電發(fā)生的起止時(shí)間、蓄電池的使用情況，在恢復正常供電后及時(shí)檢查蓄電池充電情況。

信息安全管理制度13

　　第一節總則

　　1、為加強醫院信息技術(shù)外包服務(wù)的安全管理，保證醫院信息系統運行環(huán)境的穩定，特制定本制度。

　　2、本制度所稱(chēng)信息技術(shù)外包服務(wù)，是指醫院以簽訂合同的方式，托付擔當信息技術(shù)服務(wù)且非本醫院所屬的專(zhuān)業(yè)機構供應的信息技術(shù)服務(wù)，主要包括信息技術(shù)詢(xún)問(wèn)服務(wù)、運行維護服務(wù)、技術(shù)培訓及其它相關(guān)信息化建設服務(wù)等。

　　3、安全管理是以平安為目的，進(jìn)行有關(guān)安全工作的方針、決策、安排、組織、指揮、協(xié)調、限制等職能，合理有效地運用人力、財力、物力、時(shí)間和信息，為達到預定的平安防范而進(jìn)行的各種活動(dòng)的總和，稱(chēng)為安全管理。

　　4、外包服務(wù)安全管理遵循關(guān)于平安的全部商業(yè)準則及適當的外部法律、法規。

　　第二節外包服務(wù)范圍

　　1、外包服務(wù)包括信息技術(shù)詢(xún)問(wèn)服務(wù)、運行維護服務(wù)、技術(shù)培訓等。

　　2、詢(xún)問(wèn)服務(wù)：

　�。�1）依據醫院的信息化建設總體部署，幫助醫院制定切實(shí)可行的技術(shù)實(shí)施方案。

　�。�2）對醫院現有的信息技術(shù)基礎架構、設備運行狀態(tài)和應用狀況進(jìn)行診斷和評估，提出合理化的解決方案。

　�。�3）依據醫院的實(shí)際狀況提出備份方案和應急方案。

　�。�4）其它信息技術(shù)詢(xún)問(wèn)服務(wù)。

　　3、運行維護服務(wù)：

　�。�1）軟硬件設備安裝、升級服務(wù)。

　�。�2）硬件設備的修理和保養。

　�。�3）依據醫院業(yè)務(wù)改變，供應應用系統功能性的需求解決方案及執行服務(wù)。

　�。�4）系統定期巡檢和整體性能評估。

　�。�6）日常業(yè)務(wù)數據問(wèn)題的處理服務(wù)。

　�。�7）其它運行維護服務(wù)。

　　4、技術(shù)培訓：依據醫院的實(shí)際狀況，供應相關(guān)的技術(shù)培訓。

　　第三節外包服務(wù)安全管理

　　1、外包服務(wù)安全管理應根據“平安第一、預防為主”的原則，實(shí)行科學(xué)有效的安全管理措施，應用確保信息安全的技術(shù)手段，建立權責明確、覆蓋信息化全過(guò)程的崗位責任制，對信息化全過(guò)程實(shí)行嚴格監督和管理，確保信息安全。

　　2、成立由分管領(lǐng)導同志信息化外包管理組織，明確信息化管理的部門(mén)、人員及其職責。

　　3、建立信息建設平安保密制度，與外包服務(wù)方簽訂平安保密協(xié)議或合同，明確符合安全管理及其它相關(guān)制度的要求。并對服務(wù)人員進(jìn)行平安保密教化。

　　4、制定信息化加工過(guò)程管理、信息化成果驗收與交接、存儲介質(zhì)管理等操作規程或規章制度。

　　5、外包服務(wù)方的`人員素養、技術(shù)與管理水平能夠滿(mǎn)意擬擔當項目的要求，進(jìn)行相應的平安資質(zhì)管理。

　　6、信息中心配備專(zhuān)人負責平安保密工作，負責日常信息安全監督、檢查、指導工作。對服務(wù)方供應的服務(wù)進(jìn)行平安性監督與評估，實(shí)行平安措施對訪(fǎng)問(wèn)實(shí)施限制，出現問(wèn)題應遵照合同規定剛好處理和報告，確保其供應的服務(wù)符合醫院的內部限制要求。

　　7、對外包服務(wù)的業(yè)務(wù)應用系統運行的平安狀況應定期進(jìn)行評估，當出現重大平安問(wèn)題或隱患時(shí)應進(jìn)行重新評估，提出改進(jìn)看法，直至停止外包服務(wù)。

　　8、運用外包服務(wù)方設備的，對其進(jìn)行必要的平安檢查。

　　9、在重要平安區域，對外部服務(wù)方的每次訪(fǎng)問(wèn)進(jìn)行風(fēng)險限制；必要時(shí)應外部服務(wù)方的訪(fǎng)問(wèn)進(jìn)行限制。

　　第四節附則

　　1、本制度由信息中心負責說(shuō)明。

　　2、本制度自發(fā)布之日起生效執行。

信息安全管理制度14

　　一、計算機設備管理制度

　　1、計算機的使用部門(mén)要保持清潔、安全、良好的計算機設備工作環(huán)境，禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

　　2、非本單位技術(shù)人員對我單位的設備、系統等進(jìn)行維修、維護時(shí)，必須由公司相關(guān)技術(shù)人員現場(chǎng)全程監督。計算機設備送外維修，須經(jīng)有關(guān)部門(mén)負責人批準。

　　3、嚴格遵守計算機設備使用、開(kāi)機、關(guān)機等安全操作規程和正確的使用方法。任何人不允許帶電插拔計算機外部設備接口，計算機出現故障時(shí)應及時(shí)向IT部門(mén)報告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。

　　二、操作員安全管理制度

　�。ㄒ唬┎僮鞔�碼是進(jìn)入各類(lèi)應用系統進(jìn)行業(yè)務(wù)操作、分級對數據存取進(jìn)行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置；

　�。ǘ�）系統管理操作代碼的設置與管理

　　1、系統管理操作代碼必須經(jīng)過(guò)經(jīng)營(yíng)管理者授權取得；

　　2、系統管理員負責各項應用系統的環(huán)境生成、維護，負責一般操作代碼的生成和維護，負責故障恢復等管理及維護；

　　3、系統管理員對業(yè)務(wù)系統進(jìn)行數據整理、故障恢復等操作，必須有其上級授權；

　　4、系統管理員不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作；

　　5、系統管理員調離崗位，上級管理員（或相關(guān)負責人）應及時(shí)注銷(xiāo)其代碼并生成新的系統管理員代碼；

　�。ㄈ�）一般操作代碼的設置與管理

　　1、一般操作碼由系統管理員根據各類(lèi)應用系統操作要求生成，應按每操作用戶(hù)一碼設置。

　　2、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。

　　3、操作員調離崗位，系統管理員應及時(shí)注銷(xiāo)其代碼并生成新的操作員代碼。

　　三、密碼與權限管理制度

　　1、密碼設置應具有安全性、保密性，不能使用簡(jiǎn)單的代碼和標記。密碼是保護系統和數據安全的控制代碼，也是保護用戶(hù)自身權益的控制代碼。密碼分設為用戶(hù)密碼和操作密碼，用戶(hù)密碼是登陸系統時(shí)所設的密碼，操作密碼是進(jìn)入各應用系統的操作員密碼。密碼設置不應是名字、生日，重復、順序、規律數字等容易猜測的數字和字符串；

　　2、密碼應定期修改，間隔時(shí)間不得超過(guò)一個(gè)月，如發(fā)現或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿記錄用戶(hù)名、修改時(shí)間、修改人等內容。

　　3、服務(wù)器、路由器等重要設備的超級用戶(hù)密碼由運行機構負責人指定專(zhuān)人（不參與系統開(kāi)發(fā)和維護的人員）設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過(guò)相關(guān)部門(mén)負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時(shí)在“密碼管理登記簿”中登記。

　　4、系統維護用戶(hù)的密碼應至少由兩人共同設置、保管和使用。

　　5、有關(guān)密碼授權工作人員調離崗位，有關(guān)部門(mén)負責人須指定專(zhuān)人接替并對密碼立即修改或用戶(hù)刪除，同時(shí)在“密碼管理登記簿”中登記。

　　四、數據安全管理制度

　　1、存放備份數據的介質(zhì)必須具有明確的標識。備份數據必須異地存放，并明確落實(shí)異地備份數據的管理職責；

　　2、注意計算機重要信息資料和數據存儲介質(zhì)的存放、運輸安全和保密管理，保證存儲介質(zhì)的物理安全。

　　3、任何非應用性業(yè)務(wù)數據的使用及存放數據的設備或介質(zhì)的調撥、轉讓、廢棄或銷(xiāo)毀必須嚴格按照程序進(jìn)行逐級審批，以保證備份數據安全完整。

　　4、數據恢復前，必須對原環(huán)境的數據進(jìn)行備份，防止有用數據的丟失。數據恢復過(guò)程中要嚴格按照數據恢復手冊執行，出現問(wèn)題時(shí)由技術(shù)部門(mén)進(jìn)行現場(chǎng)技術(shù)支持。數據恢復后，必須進(jìn)行驗證、確認，確保數據恢復的完整性和可用性。

　　5、數據清理前必須對數據進(jìn)行備份，在確認備份正確后方可進(jìn)行清理操作。歷次清理前的備份數據要根據備份策略進(jìn)行定期保存或永久保存，并確�？梢噪S時(shí)使用。數據清理的實(shí)施應避開(kāi)業(yè)務(wù)高峰期，避免對聯(lián)機業(yè)務(wù)運行造成影響。

　　6、需要長(cháng)期保存的數據，數據管理部門(mén)需與相關(guān)部門(mén)制定轉存方案，根據轉存方案和查詢(xún)使用方法要在介質(zhì)有效期內進(jìn)行轉存，防止存儲介質(zhì)過(guò)期失效，通過(guò)有效的查詢(xún)、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。

　　7、非本單位技術(shù)人員對本公司的`設備、系統等進(jìn)行維修、維護時(shí)，必須由本公司相關(guān)技術(shù)人員現場(chǎng)全程監督。計算機設備送外維修，須經(jīng)設備管理機構負責人批準。送修前，需將設備存儲介質(zhì)內應用軟件和數據等涉經(jīng)營(yíng)管理的信息備份后刪除，并進(jìn)行登記。對修復的設備，設備維修人員應對設備進(jìn)行驗收、病毒檢測和登記。

　　8、管理部門(mén)應對報廢設備中存有的程序、數據資料進(jìn)行備份后清除，并妥善處理廢棄無(wú)用的資料和介質(zhì)，防止泄密。

　　9、運行維護部門(mén)需指定專(zhuān)人負責計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，經(jīng)常進(jìn)行計算機病毒檢查，發(fā)現病毒及時(shí)清除。

　　10、營(yíng)業(yè)用計算機未經(jīng)有關(guān)部門(mén)允許不準安裝其它軟件、不準使用來(lái)歷不明的載體（包括軟盤(pán)、光盤(pán)、移動(dòng)硬盤(pán)等）。

　　五、機房管理制度

　　1、進(jìn)入主機房至少應當有兩人在場(chǎng)，并登記“機房出入管理登記簿”，記錄出入機房時(shí)間、人員和操作內容。

　　2.IT部門(mén)人員進(jìn)入機房必須經(jīng)領(lǐng)導許可，其他人員進(jìn)入機房必須經(jīng)IT部門(mén)領(lǐng)導許可，并有有關(guān)人員陪同。值班人員必須如實(shí)記錄來(lái)訪(fǎng)人員名單、進(jìn)出機房時(shí)間、來(lái)訪(fǎng)內容等。非IT部門(mén)工作人員原則上不得進(jìn)入中心對系統進(jìn)行操作。如遇特殊情況必須操作時(shí)，經(jīng)IT部門(mén)負責人批準同意后有關(guān)人員監督下進(jìn)行。對操作內容進(jìn)行記錄，由操作人和監督人簽字后備查。

　　3、保持機房整齊清潔，各種機器設備按維護計劃定期進(jìn)行保養，保持清潔光亮。

　　4、工作人員進(jìn)入機房必須更換干凈的工作服和拖鞋。

　　5、機房?jì)葒澜�吸煙、吃東西、會(huì )客、聊天等。不得進(jìn)行與業(yè)務(wù)無(wú)關(guān)的活動(dòng)。嚴禁攜帶液體和食品進(jìn)入機房，嚴禁攜帶與上機無(wú)關(guān)的物品，特別是易燃、易爆、有腐蝕等危險品進(jìn)入機房。

　　6、機房工作人員嚴禁違章操作，嚴禁私自將外來(lái)軟件帶入機房使用。

　　7、嚴禁在通電的情況下拆卸，移動(dòng)計算機等設備和部件。

　　8、定期檢查機房消防設備器材。

　　9、機房?jì)炔粶孰S意丟棄儲蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數據資料，對廢棄儲蓄介質(zhì)和業(yè)務(wù)保密資料要及時(shí)銷(xiāo)毀（碎紙），不得作為普通垃圾處理。嚴禁機房?jì)鹊脑O備、儲蓄介質(zhì)、資料、工具等私自出借或帶出。

　　10、主機設備主要包括：服務(wù)器和業(yè)務(wù)操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩定，做好靜電防護和防塵等項工作，保證主機系統的平穩運行。服務(wù)器等所在的主機要實(shí)行嚴格的門(mén)禁管理制度，及時(shí)發(fā)現和排除主機故障，根據業(yè)務(wù)應用要求及運行操作規范，確保業(yè)務(wù)系統的正常工作。

　　11、定期對空調系統運行的各項性能指標（如風(fēng)量、溫升、濕度、潔凈度、溫度上升率等）進(jìn)行測試，并做好記錄，通過(guò)實(shí)際測量各項參數發(fā)現問(wèn)題及時(shí)解決，保證機房空調的正常運行。

　　12、計算機機房后備電源（UPS）除了電池自動(dòng)檢測外，每年必須充放電一次到兩次。

信息安全管理制度15

　　為提高公司信息系統的可靠性、穩定性、安全性,降低人為因素導致信息系統失效的可能性,形成良好的信息傳遞渠道,特制定本規范。

　　1. 機房管理規范

　　1.1非工作人員不得進(jìn)出機房。工作人員出入機房注意鎖好房門(mén),未經(jīng)上級批準,禁止將機房相關(guān)鑰匙、密碼等物品或信息外露給其它人員,同時(shí)有責任對信息保密。

　　1.2機房工作人員必須熟知機房?jì)仍O備的基本安全操作和規則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線(xiàn)路;定期檢查硬件運作狀態(tài)(如設備指示燈)。不得亂拉亂接電線(xiàn),應選用安全、有保證的供電、用電器材,嚴禁隨意對設備斷電、更改設備供電線(xiàn)路,嚴禁隨意串接、并接、搭接各種供電線(xiàn)路。

　　1.3機房?jì)冉�止吃食物、抽煙、隨地吐痰,對于意外或工作過(guò)程中弄污地板和其它物品的,必須及時(shí)采取措施清理干凈;禁止在服務(wù)器上進(jìn)行試驗性質(zhì)的軟件調試,禁止在服務(wù)器隨意安裝軟件。

　　1.4機房工作人員必須定期檢查軟件的運行狀況、定期調閱軟件運行日志記錄,進(jìn)行數據和軟件日志備份,做好硬件設備的維護保養工作。

　　1.5任何人均不得在服務(wù)器、交換設備等核心設備上進(jìn)行與工作無(wú)關(guān)的任何操作。未經(jīng)上級允許,更不允許他人操作機房?jì)炔康?設備。

　　2. 計算機操作人員管理規范

　　2.1計算機操作員應具備計算機基礎知識,熟練使用windows、office、長(cháng)安福特dms系統及常用軟件,并對其所使用的計算機軟、硬件負有維護保管責任。

　　2.2任何員工未經(jīng)授權,不得修改計算機軟硬件設置。嚴禁在工作機共享文件,員工所掌握的工作數據、文件等均屬公司所有,嚴禁拷貝、傳播、修改、破壞。凡違反網(wǎng)絡(luò )操作規程,影響網(wǎng)絡(luò )運行者罰款100元。

　　2.3計算機操作人員離開(kāi)工作區域時(shí)應保證重要文件、資料、設備、數據處于安全保護狀態(tài);個(gè)人的工作文件應隨時(shí)做好安全存放與備份,不得將個(gè)人工作文件存放于“c盤(pán)我的文檔”。如有問(wèn)題及時(shí)聯(lián)系系統管理員,與系統管理員一同維護好日常網(wǎng)絡(luò )的安全運行。

　　2.4計算機操作人員每次開(kāi)機確保病毒實(shí)時(shí)監測程序和黑客防火墻程序的正常運行;日常工作中注意保持計算機等相關(guān)設備的清潔,下班時(shí)務(wù)必關(guān)掉所有辦公設備的電源。

　　3. 計算機系統安全性維護

　　3.1計算機信息系統操作人員不得擅自進(jìn)行系統軟件的刪除、拷貝、修改等操作,不得擅自升級、改變系統軟件版本或更換系統軟件,不得擅自改變軟件系統環(huán)境配置。

　　3.2硬件設備的更新、擴充、修復等工作應當由相關(guān)人員提出申請,報上級主管負責人審批。未經(jīng)允許,不得擅自拆裝硬件設備。

　　3.3在使用任何外來(lái)的光盤(pán),u盤(pán),移動(dòng)硬盤(pán)等外來(lái)媒體的文件前,必須進(jìn)行殺毒;嚴禁瀏覽任何非法網(wǎng)站、黑客網(wǎng)站及不健康的網(wǎng)站,嚴禁下載帶有附件的不明郵件;

　　3.4系統管理人員負責長(cháng)安福特dms系統工作權限的設置,員工只能使用自己的工作權限,嚴禁盜用他人用戶(hù)名與密碼,嚴格執行工作流程;長(cháng)安福特dms系統上使用的密碼一經(jīng)啟用,不得隨意修改、公開(kāi),并需在行政部做備份,如需修改須事先告知行政部。

　　3.5各部門(mén)如有計算機操作員人員更替,必須及時(shí)通知行政部,系統管理員注銷(xiāo)或開(kāi)設新用戶(hù)。

　　3.6系統管理人員須嚴格管理公司無(wú)限網(wǎng)絡(luò )的使用,接入密碼要經(jīng)常更新,以保證無(wú)線(xiàn)網(wǎng)絡(luò )的安全;

【信息安全管理制度】相關(guān)文章：

信息安全管理制度11-28

網(wǎng)絡(luò )與信息安全管理制度11-29

(熱門(mén))網(wǎng)絡(luò )與信息安全管理制度15篇11-29

網(wǎng)絡(luò )與信息安全管理制度(優(yōu)秀15篇)11-30

網(wǎng)絡(luò )與信息安全管理制度匯總【15篇】11-30

網(wǎng)絡(luò )與信息安全09-06

信息安全檢查09-06

網(wǎng)絡(luò )與信息安全【優(yōu)選】09-06

信息安全策略03-13

統計信息管理制度11-26