信息安全管理制度优秀5篇
在不断进步的社会中,制度的使用频率呈上升趋势,制度是指在特定社会范围内统一的、调节人与人之间社会关系的一系列习惯、道德、法律(包括宪法和各种具体法规)、戒律、规章(包括政府制定的条例)等的总和它由社会认可的非正式约束、国家规定的正式约束和实施机制三个部分构成。那么制度的格式,你掌握了吗?差异网的小编精心为您带来了5篇《信息安全管理制度》,希望能够满足亲的需求。
信息安全管理论文 篇一
1医院信息化管理过程中暴露的各种网络安全隐患
以C/S为架构基础的医院信息系统网络,已经实现了对医院各个部门的广泛覆盖,大量联网的计算机在相同的时间段内同时运行,已经与患者在医院就诊的众多环节相联系,导致各类业务空前依赖网络。各大医院,依靠互联网实现了联接,并实现了和医保之间的联网,促进了医院网络越来越开放,这样就使得发生网络攻击、感染病毒的几率显著提高,要是网络信息系统出现故障,势必会使得医院上下的管理与医疗工作遭受影响,使患者、医院均蒙受无法估计的损失。医院信息化管理过程中,暴露的安全隐患大部分集中在系统安全、数据安全、网络安全三大方面。就系统安全来说,具体涉及操作系统安全与物理安全、还有应用程序安全;数据安全涉及数据防护的安全、数据本身的安全;在网络攻防手段与技术等显著发展的影响下,网络安全越来越复杂、多样,新旧安全威胁同时存在。通常而言,网络安全问题涉及四大方面,即技术、物理、应用服务、产品。受人为操作出现错误或失误、自然灾害、各类计算机攻击行为影响,造成的计算机网络无法正常运行,都属于物理方面;研发设计的信息产品有一定的缺陷存在,或者引进使用、日常维护信息技术,受某些非自主、非可控性影响,产生的安全隐患,都属于技术方面的;软件操作系统、硬件设备、应用程序中,被植入恶意代码或隐藏后门等带形成的安全威胁都属于产品方面的;网络终端与网络实现连接以后,面对的各种安全问题,像非法入侵、病毒感染、违规操作、间谍软件等,导致主机遭遇劫持、系统网络中断、数据被破坏或直接、医疗信息被窃取泄露、病人账户隐私遭到盗窃等,均属于应用服务方面。
2新形势背景下应对医院网络安全问题基本策略
医院网络安全会直接影响到医疗业务能否正常开展,构建一个能够稳定、安全运行的要想实现信息网络环境安全、稳定地运行,一定要把握安全策略、管理制度、技术手段三大方面之间的有效结合。
2.1管理制度完善、健全的规章管理制度是医院网络系统得以正常运行的保障。使用方法与管理制度的制定,要立足于实际,确保其科学合理,像操作使用医疗信息系统制度、维护运行医院网络制度、存储备份医疗资源数据制度等,此外,还要对人员的信息安全意识不断提高,使得医院网络安全管理有据可依,有章可循。
2.2安全策略医院一定要从实际出发,出台完善的安全管理策略,为信息网络系统高效、正常、安全地运行创造可靠的保障。为了保障服务器能够高效、可靠、稳定地正常运行,实施双机热备、双机容错的处理方案非常有必要,关于非常重要的设备,对主机系统供电尽可能使用UPS,一方面有利于供电电压保持稳定,同时对于突发事件防控具有显著的作用;针对主干网络链路,网络架构设计,构建冗余模式非常必要,在主干网络某条线路出现故障的时候,通过冗余线路,依然可以正常传输网络的信息数据;同时要对业务内网和网络外网实施物理隔离,防止互联网同医疗业务网之间出现混搭,有效控制医疗业务数据利用互联网这个途径对外泄漏,防止外部网成为非法用户利用的工具,进入到医院信息系统或服务器,展开非法操作;为了防止医院的业务信息发生丢失或遭到破坏,非常有必要构建数据与系统备份容灾系统,这样即便存储设备或机房发生故障,也能保证信息系统运行较快恢复正常运行;在权限方面实行分级管理,防止发生越权访问的情况、防止数据被修改,针对数据库建立专项的审计日志,实时审计关键数据,能够实现跟踪预警。
2.3技术手段网络安全问题日益多样化,而且越来越复杂,所以依靠技术手段对网络安全防范,也要注意防御措施的多层次性与多样性,对以往被动防护的局面转换,提高预防的主动性。因为医院在网络架构上实行外网与内网相隔离,内网上对在安全要求上,内网的要求相对而言更高,安装的杀毒软件最好为网络版,并成立管理控制中心,能够修复漏洞、对整个网络进行体检、修复危险项、查杀病毒等;将防火墙网关设立在外网和内网之间,对非法用户、不安全的服务予以过滤,能够及时探测、报警网络攻击行为等,对恶意入侵有效防控;还可以通过对专业的入侵检测系统部署,对防火墙存在的缺陷有效弥补,将众多关键点在网络中设置,利用检测安全日志、行为、审计数据或别的网络信息,对网络安全问题及时掌握,并做好应对;也可以对安全扫描技术,扫描网络中存在的不安全因素。
3结语
保障网络环境的安全性与稳定性是医院信息化管理的要求,因此必须重视从安全策略、管理制度,技术手段等角度,对医院信息系统安全全面加强。但是医院的网络安全实际上只是相对来说的,绝对的安全是不存在的,所以要立足于自身的实际特点,在实践过程中持续完善优化,这样才会保障网络安全防护体系行之有效,提升医院信息化管理效率。
学生信息安全管理制度 篇二
为了加强学生管理,进一步做好学生安全信息登记工作,特制定以下制度。
1、学校对学生的家长姓名、家庭住址、联系方式等各方面情况逐一进行详细登记,做到学生家庭情况熟,底子说得清。
2、学校对患有先天性疾病和重大疾患的学生,建立档案,如实记载,并在教育教学活动和社会实践中进行重点监护,防止学生因参加不适宜的活动而造成意外伤害。
3、做好学生出勤信息情况登记,对学生因事因病不能到校,学生家长应及时填写书面假条交班主任处,由班主任及时上报学校,学校作出统计。
4、学校将学生到校和放学时间、非正常缺课或擅自离校、以及身体和心理异常情况等关系学生安全的信息,及时登记,并将处理信息做好记录。
5、学生在校发生食物中毒、传染病流行、安全事故后,学校应及时做好详实记录,做好事故现场及有关证据的保存工作。
6、做好学生安全信息登记工作的分析、总结、存档工作。
信息安全管理制度 篇三
一、计算机设备管理制度
1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三)一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4、系统维护用户的密码应至少由两人共同设置、保管和使用。
5、有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1、存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2、注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4、数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7、非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9、运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1、进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2、IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3、保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4、工作人员进入机房必须更换干净的工作服和拖鞋。
5、机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6、机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7、严禁在通电的情况下拆卸,移动计算机等设备和部件。
8、定期检查机房消防设备器材。
9、机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10、主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11、定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12、计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
信息安全管理论文 篇四
【摘要】电子档案主要就是利用科学技术来对档案进行合理构建,可是国内在管理电子档案信息时,还存在诸多安全问题需要进行解决。文章分析了电子档案管理过程中面临的安全问题,从而提出一些强化策略,希望可以为我国管理电子档案的工作人员提供参考。
【关键词】电子档案;信息安全;问题;策略
以前的纸质档案在保存过程中,时常会出现众多隐患,譬如:破损、腐蚀、虫蛀与丢失等,进而阻碍了档案管理工作的质量和发展速度。而在信息技术迅猛发展的当下,众多档案管理人员开始应用电子信息的方式来管理档案,这样一来就有效防止了纸质档案缺陷的发生。可是在一系列实践工作中不难发现,虽然现在我国应用电子档案信息的管理方式,可是在档案管理中依旧会出现不同种类的问题。譬如:标准化及规范化程度不够、编制人员素质不统一等等。所以,笔者在探究这些问题的过程中,并提出了解决办法,具体如下。
1分析档案信息的安全需求
档案信息安全具体包括以下要求:首先,要保证网络系统的运行安全;其次,档案信息内容应该具有相应的安全性。档案内容安全是档案管理中的重要内容,其不但包括信息传输安全,还包括信息存储安全。通过分析可知档案信息安全需求如下:
1.1完整性
针对电子档案信息而言,其背景信息、源数据以及内容都需要进行完善,同时还要确保硬件说明、软件说明、事件活动信息等都具有相应的完整性。也就是说,在传输电子档案信息时,一定不能出现破坏的现象,譬如:伪装重置、删除与篡改等。
1.2真实性
保证电子信息都是从可靠且安全的电子档案中获得来的,在通过迁移和传输后,不会与最初情况发生冲突,不会出现随意破坏以及伪造和改动等情况。
1.3保密性
只有合法的用户才能够访问电子信息,而那些非法用户是不能进行访问的。一般人们会对以下几种保密技术进行使用:信息加密技术、物理保密技术、防辐射技术、防侦收技术等。防辐射这种技术就是防止一些使用性质较高的信息被辐射出去;防侦收这种技术就是阻碍不法人员对有用的信息进行接收;物理保密这种技术就是应用各种各样的物理方法来保护信息,以有效预防信息外露;信息加密这种技术就是在秘钥的有效控制下,进行恰当的加密处理。
1.4不能被否认的特性
档案信息在通过网络系统进行交互时,确保参与者的一致性及真实、可靠性。也就是一切参与者都不能在否定前进行操作。应用信息源可以防止发信人员对自己已经发送的信息进行否认。
2存在于电子档案信息管理中的问题
现在我国在电子档案信息管理方面还存着众多安全问题,影响档案管理效果与发展速度,其中安全问题包括下述几种:
2.1标准化及规范化程度不够
我国现在所进行的档案信息管理还不是非常成熟,相比于那些发达的国家,还有很大的差距。我国电子信息档案管理才刚刚起步,所以,在管理过程经常会遇到这样或那样的问题。而随着网络技术的发展,人们逐渐明确数字化档案、信息化档案对于档案管理工作是非常重要的。可是我国目前在电子档案管理这方面却没有非常高的标准性和规范性,因此阻碍了数字化档案和信息化档案这个管理目标的实现。
2.2没有统一的电子档案文件
在电子档案管理过程中,如果只针对计算机软件的研究和开发而言,现在最需要重视的问题就是软件开发无法与档案的使用需求相符合,并且还不能提高档案的存储效率和实际利用。此外,单位、地区间应用的档案管理系统存在不统一的情况,这样各单位以及地区就不能够实现共享和利用档案文件的目的。
2.3没有较强的技术支持
针对电子档案管理工作而言,假如没有较硬的技术支持,那么电子档案信息就会存在安全隐患。现在我国在进行档案信息管理时,缺少科学技术支持。具体有下述表现:其一,在选配硬件方面有问题存在。譬如:在选配硬件时,选择的硬件系统性能和质量都非常差,且功能还不健全,进而影响档案管理系统的实际运行,还可能会因此丢失一部分档案文件。其二,病毒入侵计算机。当计算机中进入病毒之后,计算机当中的数据就会被破坏,使得相应的功能出现降低,并使数据和系统受到影响,进而失去安全性能,譬如:随着木马病毒的快速蔓延,电子系统就会被影响,进而影响到整个档案管理工作。
2.4管理人员的素质不统一
大部分企业当中的档案管理人员都具备众多的管理档案的知识,可是他们的素质却不相同,较为明显的表现就是计算机知识和技能的掌握情况存在极大差距,在进行电子档案管理时,想要对一些电子软件进行操作,那么管理人员一定要具备非常强的操作能力,只有这样管理才能使有效性得到提升。可是实际上,部分管理人员都比较缺少计算机知识、不具备基本的操作能力和应用网络技术的能力,进而致使档案管理不能够得到安全保证。
3强化档案管理安全性的方法
3.1提高档案管理的规范性及标准性
为了强化电子档案的管理,使其安全性能得到提升,就应该规范档案管理工作。譬如:在搜集完电子文件之后,应该形成一个系统的文件,然后再进行细致的整理及积累,最后在相关人员鉴定没有错误后进行归档处理。只要按照以上步骤进行档案归档工作,那么档案的规范性、标准性都会得到相应的提升。同时,当整理完电子档案,并做好归档工作之后,还应该进行保管和移交工作。此外,档案管理部门还应该集中对电子文件进行管理,进而使档案管理工作更加的规范和标准。
3.2对管理软件进行升级处理
现在国内所拥有的档案管理软件并不成熟,所以,应该对管理软件进行升级处理,以使档案信息的安全得到保证。升级管理软件的目标包括以下几种:第一种,提升管理软件的兼容性;第二种提升软件的统一性。兼容性就是管理软件能够与其余操作系统和设备进行配合,因此软件只有具有良好的配合功能,才算具有良好的兼容性,譬如:和操作平台进行配合等等。而统一性就是升级过的电子软件拥有一个较为完善的管理系统,并且在每一个环节当中都应该体现出统一性原则,譬如:统一应用软件、统一规章制度、统一标准等,尤其是单位、地区内,一定要防止档案系统出现较为严重的差异情况,进而使系统在具备统一特征之后,使档案文件能够被更加广泛分享和利用。
3.3建立专业的管理队伍
管理信息档案属于较为系统且复杂的一项工作,想要使档案管理具备更高的安全性及有效性,便需要建立一支专业知识、操作能力及素质都极高的管理队伍。首先,对管理人员进行培养,让他们意识到管理工作的重要性,严格杜绝那些思想不先进、工作不积极的现象发生。其次,应该选拔和聘用一些熟悉档案业务且工作能力和素质都极强的管理人员,然后再对这部分人员进行业务、技能和知识培训,以此提升管理人员的综合素质。此外,因为部分管理人员没有过硬的计算机操作能力,并且与计算机有关的知识积累也较为欠缺。所以,在网络应用和计算机操作方面都应该加强培训,进而使电子档案的利用、整理、形成和接收等工作可以更加完善。
3.4构建维护电子档案的法律条例
为了防止档案信息丢失和被随意被更改的现象发生,就需要构建维护电子档案的法律条例。其一,在掌握目前已经建立的法律内容同时,认真的整合立法信息资源,并构建维护电子档案的法律体系,进而使电子文件更加的安全和真实。其二,档案和文件在立法上一定要保持一致性,不能盲目的在两者间进行立法,只有这样才能促进档案管理工作持续进行。其三,应该明确电子文件在法律上的地位,制定恰当的法律和法规,进而使档案管理工作在法律的维护下良好发展。其四,管理档案的部门间应该做好配合,如:信息部门、技术部门、法律部门等,充分分析文件所具有的特殊性质,并在借鉴发达国家颁布的法律体系基础上,建立与国内国情相符合的法规体系,促进档案工作快速、稳定发展。
4结语
针对目前的实际情况来看,在我国还有很多安全问题存在电子信息档案管理过程中,譬如:电子文件统一性不足、管理人员素质不统一、标准化及规范化不足、没有较强的技术支持等。针对档案管理工作而言,一定要在探讨以上问题的基础上,制定相应的强化措施,以使电子文件的安全性得到提升。在管理电子档案时,笔者认为要提高档案管理的规范性及标准性、对管理软件进行升级处理、建立专业的管理队伍、构建完善的法律条例,使电子档案文件更加的安全和真实,保证档案管理工作的完善性和科学性。
【参考文献】
[1]刘斌。信息时代的电子档案安全管理研究[J].河南社会科学,20xx,21(6):102-103.
[2]彭远明,涂昊云。电子档案安全评价指标的制定与实现方式[J].档案学研究,20xx(6):65-70.
[3]赵晖。电子档案信息安全管理面临的问题和挑战[J].城建档案,20xx(1):33-34.
[4]纪晓群,江媛媛,柳萍等。电子档案与纸质档案的和谐共存与集成管理[J].兰台世界,20xx(29):15-16.
[5]恽敏霞,刘辉。基于电子档案的区域性教师专业发展评价研究[J].当代教育科学,20xx(8):39-41.
[6]刘立。实施电子文件的有效管理确保电子档案的真实完整[J].档案学研究,20xx(2):33-36.
信息安全管理制度 篇五
1目标
胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2评估依据、范围和方法
2.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[20xx]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[20xx]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2 评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,
管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法
采用自评估方法。
3重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。
5安全检查项目评估
5.1 规章制度与组织管理评估
5.1.1组织机构
5.1.1.1评估标准
信息安全组织机构包括领导机构、工作机构。
5.1.1.2现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论
完善信息安全组织机构,成立信息安全工作机构。
5.1.2岗位职责
5.1.2.1估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2现状描述
我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
5.1.2.3 评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3病毒管理
5.1.3.1 评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2 现状描述
本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3 评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4运行管理
5.1.4.1 评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维
流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
5.1.5账号与口令管理
5.1.5.1 评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
5.1.5.2 现状描述
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3 评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
5.2 网络与系统安全评估
5.2.1网络架构
5.2.1.1 评估标准
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
5.2.1.2 现状描述
局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
5.2.1.3 评估结论
局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2网络分区
5.2.2.1 评估标准
生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.2.2 现状描述
生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
5.2.2.3评估结论
对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.3 网络设备
5.2.3.1 评估标准
网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.3.2 现状描述
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
5.2.3.3 评估结论
对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.4 IP管理
5.2.4.1 评估标准
有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
5.2.4.2 现状描述
没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
5.2.4.3 评估结论
建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
5.2.5补丁管理
5.2.5.1 评估标准
有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
5.2.5.2现状描述
通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
5.2.5.3 评估结论
完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
5.2.6系统安全配置
5.2.6.1 评估标准
它山之石可以攻玉,以上就是差异网为大家带来的5篇《信息安全管理制度》,希望可以启发您的一些写作思路,更多实用的范文样本、模板格式尽在差异网。