信息安全管理规范和操作指南.docx

信息安全管理规范和操作指南1.总则(1)为了保证公司信息网络系统的安全，根据有关计算机、网络和信息安全的相关法律、法规和安全规定，结合公司信息网络系统建设的实际情况，特制定本规定。(2)本规定所指的信息网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。(3)本规定适用于公司接入到公司网络系统的单机和局域网系统。信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。2.物理安全(1)物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误，以及计算机犯罪行为而导致的破坏。网络设备、设施应配备相应的安全保障措施，包括防盗、防毁、防电磁干扰等，并定期或不定期地进行检查。(2)对重要网络设备配备专用电源或电源保护设备，保证其正常运行。3.计算机的物理安全管理(1)计算机指所有连接到公司信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备；(2)使用人员应爱护计算机及与之相关的网络连接设备（包括网卡、网线、集线器、路由器等），按规定操作，不得对其实施人为损坏；(3)计算机使用人员不得擅自更改网络设置，杜绝一切影响网络正常运行的行为发生；(4)网络中的终端计算机在使用完毕后应及时关闭计算机和电源；(5)客户机使用人员不得利用计算机进行违法活动。4.紧急情况(1).火灾发生：切断电源，迅速报警，根据火情，选择正确的灭火方式灭火；(2)水灾发生：切断电源，迅速报告有关部门，尽可能地弄清水灾原因，采取关闭阀门、排水、堵漏、防洪等措施；(3)地震发生：切断电源，避免引发短路和火灾；5.网络系统安全管理(1)网络系统安全的内涵包括四个方面：1)机密性：确保信息不暴露给未授权的实体或进程；2)完整性：未经授权的人不能修改数据，只有得到允许的人才能修改数据，并且能够分辨出被篡改的数据。3)可用性：得到授权的实体在合法的范围内可以随时随地访问数据，网络的攻击者不能阻碍网络资源的合法使用。4)可控性：可以控制授权范围内的信息流向和行为方式。可审查性：一旦出现安全问题，网络系统可以提供调查的依据和手段。接入 Internet 公共信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质，并符合国家的相关规定。6.网络安全检测。(1)为使网络长期保持较高的安全水平，网络管理员应当用网络安全检测工具对网络系统进行安全性分析，及时发现并修正存在的安全漏洞。网络管理员在系统检测完成后，应编写检测报告，需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。网络反病毒。病毒的危害性巨大，对系统和信息的破坏程度具有不可测性，计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。7.信息系统安全管理(1)信息安全是指通过各种计算机、网络和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。1)信息处理和传输系统的安全系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。2)信息内容的安全侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。3)信息传播安全要加强对信息的审查，防止和控制非法、有害的信息通过我司的信息网络系统传播，避免对国家利益、公共利益以及个人利益造成损害。涉及商业机密文件必须采用 RMS 权限管理服务进行文件保护，以免外泄。8.信息系统的内部管理(1)各部门向网络系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载；(2)根据情况，采取网络病毒监测、查毒、杀毒等技术措施，提高网络的整体抗病毒能力；部门负责的重要信息必须作好备份；（3）网站和栏目信息的负责部门必须对所发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等做出明确的规定。信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时报告综合部；(4)涉及商业秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行；(5)涉及商业机密的项目招标、投标标注等信息，未经所属单位安全主管负责人的批准不得在网络上发布和明码传输；(6)个人计算机中的涉密文件不可设置为共享，个人电子邮件的收发要实行病毒查杀。(7)信息加密1).涉及商业秘密的信息，其电子文档资料须加密存储