下载文档第一篇:公司信息系统安全管理办法
文章标题:公司信息系统安全管理办法
[找文章到☆好范文 wenmi114.com(http://www.teniu.cc/)一站在手,写作无忧!]
第一章总则
第一条为了保护有限公司计算机信息系
统安全,规范信息系统管理,合理利用系统资源,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合公司实际情况,制定本规定。
第二条本制度所称的信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,保障应用系统的正常运行,以维护计算机信息系统的安全运行。
第二章硬件
第四条按照谁使用谁负责的原则,落实责任人,负责保管所用的网络设备和线路的完好。两人以上的用户,必须明确一人负责。
第五条计算机设备的日常维护由各部室、分公司负责。计算机设备和软件发生故障或异常情况,由局域网相关管理人员统一进行处理。
第六条按照作息时间准时开关机,及时处理有关文件,严禁使用公司计算机玩游戏、听音乐、看影碟等。
第七条计算机操作人员应保持计算机环境清洁,下班之前退出所有程序关闭计算机,切断插板电源后方可下班离开。
第八条各负责人应对计算机定时杀毒,对外来不明软盘,必须经过严格的病毒监测,方可使用;
第三章软件
第九条根据责任制,各部门、分公司配备的网络设备根据使用者落实到人,各责任人对于计算机的系统登陆必须设置帐号密码,严格控制非使用人员使用计算机
第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作信息系统,严禁使用外来盘片,以防泄密和病毒侵入。
第十一条操作计算机时不得使用一些危险性的命令,严禁使用分区及格式化硬盘等操作。
第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作无关的软件程序。各单位所使用的计算机和软件系统,除审批通过的管理软件外
第四章网络
第十三条联接局域网内的任何一台计算机不得直接或间接与国际互联网相联,如经发现,所带来的后果由用户责任人负担。
第十四条根据工作需求,批准联接国际互联网的相关部门,联接国际互联的计算机,严格与局域网分开,该计算机上使用的移动外设(U盘,移动硬盘,软盘)必须在经杀毒检测过后才可进入公司办公局域网使用。
第五章移动外设
第十五条凡公司发放的所有移动外设(U盘,移动硬盘,软盘等)只能在公司内部使用,不允许外借、存储私人资料或带离公司使用;
第十六条凡公司发放的所有移动外设(U盘,移动硬盘,软盘等),须定期杀毒;
第十七条外单位的移动外设,若需在本公司办公局域网内使用,必须先杀毒检测后方可使用;
第六章数据安全
第十八条严格按照保密要求操作,所有涉及信息系统操作的管理人员由公司统一发放系统登陆帐号,帐号专人专用,严禁泄漏口令和机密。
第十九条建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到软盘或光盘上,以防病毒破坏或意外而遗失。
第七章附则
第二十条设备管理部有权对局域网络以及各单位计算机
进行定期检查或不定期抽查,凡有违反本制度的单位、部门或个人,由设备管理部报告中心领导,视情节对部门或个人给予适当的经济处罚和行政处分。
第二十一条本制度适用于联网各部室、分公司网络管理人员。
第二十二条本制度由设备管理部负责解释。
第二十二条本制度自公布之日起试行。
第七章考核
第二十三条以上规章制度如有违反,按200元/项考核责任单位,100元/项考核责任人;
第二十四条计算机未达到更换使用年限,而发生故障,进行过主要部件修理的,按修理价值30考核该计算机使用单位,按15考核该计算机的责任人。
计算机日常维护条例
总则
第一条为了确
保湖南湘钢洪盛物流有限公司计算机有效利用率,规范计算机使用,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务。制定《计算机日常维护条例》,本条例适用于湖南湘钢洪盛物流有限公司所有办公用计算机。
第二条日常维护意为每日的计算机规范使用及保
养,湖南湘钢洪盛物流有限公司所有计算机根据使用者责任到人,日常维护由责任人完成。
硬件
第三条凡在使用中的计算机,均适用于本条例。
第四条按照作息时间准时开关机,无特殊情况不允许直接关闭计算机电源,或切断供电。
第五条不允许擅自打开机箱,更换计算机任何部件,若计算机发生故障,应及时联系设备管理人员,不得擅自修理,或请其他人修理。
第六条责任应保持计算机环境(办公室环境)清洁,下班之前退出所有程序方可关闭计算机,确定切断插板电源后方可下班离开。
软件
第七条每日开机前检查计算机有无异常,定期对计算机进行杀毒。
第八条不允许在计算机上安装非办公软件,影响计算机的使用。
《公司信息系统安全管理办法》来源于teniu.cc,欢迎阅读公司信息系统安全管理办法。
第二篇:国家电网公司信息系统安全管理办法
国家电网公司信息系统安全管理办法
第一章 总 则
第一条 为加强和规范国家电网公司(以下简称公司)信息系统安全工作,提高公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条 本办法所称信息系统指公司一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。
第三条 信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
第四条 公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。
第五条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第六条 本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)的信息系统安全管理工作。
第二章 信息系统安全管理职责
第七条 公司信息系统安全管理实行统一领导、分级管理。各单位主要负责人是本单位信息系统安全第一责任人,各单位信息化领导小组负责本单位信息系统安全重大事项决策和协调工作。
第八条 信息系统安全纳入公司安全管理体系,实行专业管理、归口监督。公司信息化工作部是信息系统安全的管理部门,负责管理信息大区(信息内网和信息外网)的安全保障,国家电力调度通信中心负责电力二次系统特别是生产控制大区系统的安全保障,安全监察部负责公司信息系统安全监督工作。第九条 公司信息化工作部主要职责:
(一)落实国家有关信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实信息系统安全管理相关工作;
(二)组织制定公司信息系统安全管理规章制度和标准规范;
(三)指导、协调和检查各单位信息系统安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作;
(四)负责信息系统二级以下事故的调查和处理(公司信息系统安全事件描述见《国家电网公司信息系统事故调查与统计规定》);协助信息系统一级、二级事故的调查和处理;
(五)在公司应急体系框架内,负责公司信息系统应急管理相关工作;
(六)开展涉密计算机网络和系统立项、设计和建设,做好信息系统安全与保密检查;
(七)负责规范公司信息系统安全产品的测评和选型工作。第十条 公司安全监察部主要职责:
(一)负责公司信息系统安全全过程监督检查;
(二)负责信息系统一级、二级事故的调查和处理;
(三)负责监督公司信息系统应急管理工作落实;
(四)负责归口统计信息系统安全事故。第十一条 国家电力调度通信中心主要职责:
(一)负责制定电力二次系统管理制度,负责制定公司电力二次系统安全防护方案及应急处理预案;
(二)负责审核下级电力二次系统安全防护实施方案和应急处理预案,负责电力二次系统信息系统安全事故的调查和处理;
(三)配合完成国家有关部门对公司电力二次系统开展的信息系统安全检查、等级保护制度落实等各项工作。
第十二条 业务应用部门主要职责:
(一)配合开展业务应用系统安全等级定级工作;
(二)配合开展业务应用系统安全测评、安全检查和风险评估等工作;
(三)负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作;
(四)协助开展业务应用人员办公计算机安全管理。第十三条 各单位主要职责:
(一)负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范,贯彻落实公司信息系统安全相关规章制度和技术标准,建立健全本单位信息系统安全标准制度和规范体系;
(二)负责落实本单位范围内信息系统安全工作责任制;
(三)在公司信息职能管理部门指导下,落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作;
(四)按公司信息系统应急体系要求建立本单位信息系统应急体系,组织本单位信息系统安全突发事件的应急处理;
(五)负责明确本单位信息系统安全运行维护部门或机构,落实信息系统安全运行维护日常工作,具体落实信息系统安全等级保护和安全策略;
(六)组织本单位信息系统安全的宣传和培训。
第三章 管理措施
第十四条 不断建立健全信息系统安全管理制度体系,通过操作规程实现安全管理和操作人员的标准化作业;定期对信息系统安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度及时进行修订。
第十五条 明确安全管理机构,设立系统管理员、网络管理员、安全管理员等岗位,并明确各岗位职责。应加强信息系统安全管理人员之间、信息职能部门和业务部门之间的合作与沟通,定期或不定期召开协调会议,共同协作处理信息系统安全问题。
第十六条 严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与互联网和其他公共信息网络连接,严禁在非涉密计算机和互联网上存储、处理国家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。
第十七条 严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,关键岗位应签署保密协议;及时终止离岗员工的所有访问权限;严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。第十八条 严格按照国家有关部门要求,开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级,要根据等级保护有关要求,落实必要的管理和技术措施,严格执行等级保护制度。
第十九条 新建信息系统涉及安全防护措施建设,应明确安全需求,确定安全等级,结合公司安全防护总体策略,进行安全防护方案设计;根据国家有关规定和坚持鼓励使用国产化产品原则,开展安全产品采购,必要时开展产品预先选型测试;加强软件开发管理,确保开发环境与实际运行环境安全隔离;委托有资质的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;对测试不符合要求的,在整改后要重新测试。系统试运行前,要开展相关安全培训。
第二十条 加强信息系统运行维护全过程管理:
(一)严格执行信息机房管理有关规范,确保机房运行环境符合要求,严格机房出入管理。要编制信息系统资产清单,建立资产管理制度,根据资产重要程度对资产进行标识。
(二)对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、使用、维护和销毁等各项措施。
(三)按照最小服务配置和最小授权原则,对安全策略、安全配置、日志和操作等方面做出具体规定,明确各个角色的权限、责任和风险;详细记录日常操作、运行维护记录、参数设置和修改等内容,严禁任何未经授权的操作;定期开展运行日志和审计数据分析工作,及时发现异常行为。及时根据需要进行软件升级更新,并在更新前做好备份;定期进行漏洞扫描,及时发现安全漏洞并进行修补;及时安装补丁程序,在安装补丁前做好测试和备份工作。
(四)及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。
(五)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估。
(六)建立和执行密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
(七)对信息网络与系统运行状况等进行监测和报警;定期对监测和报警记录进行分析,根据需要采取必要的应对措施;应建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。
(八)严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。严格执行有关公司网络与信息系统安全运行情况通报制度,做好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。第二十一条 严格执行公司有关信息系统安全风险评估管理规定,切实将信息系统安全风险评估工作常态化和制度化,及时落实整改,及时消除信息系统安全隐患。根据国家和公司要求,定期开展信息系统安全检查工作,做好特殊时期安全检查和安全保障工作。
第二十二条 不断完善应急预案,加强培训和演练,确保人力、设备等应急保障资源可用。
第二十三条 建立备份与恢复管理相关安全管理制度,严格控制数据备份和恢复过程,妥善保存备份记录,定期执行恢复程序。要切实根据需要开展业务应用容灾系统建设。
第二十四条 切实加强网络信任体系建设规划工作,不断完善公司安全认证系统相关技术标准和功能规范。强化信任体系应用工作,做好信息系统统一身份认证,以及重要信息的加密和签名工作。第二十五条 切实加强员工信息系统安全培训,提高全员信息系统安全意识;强化信息系统安全人员专业技能培训,做到培训工作有计划、有总结,培训效果有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规和公司有关规定,造成一定不良影响和后果的,要追究其责任。
第四章 技术措施
第二十六条 根据国家和公司有关规定,对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统;采取防雨水措施,防止雨水、水蒸气结露和地下积水;设置温、湿度自动调节设施,控制机房温、湿度在设备运行所允许范围之内,保证双路供电,电源线和通信电缆应隔离,避免互相干扰;采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
第二十七条 加强网络安全技术工作:
(一)网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽;建立业务终端与业务服务器之间的访问控制;根据需要划分不同子网;对重要网段采取网络层地址与数据链路层地址绑定措施。
(二)采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制;对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。
(三)加强内部用户私自访问外部网络行为的检测工作,要能够及时发现,准确定位,有效阻断;对重要网段,应采用入侵检测系统进行监控,对入侵事件及时提供报警。
第二十八条 加强系统安全技术工作:
(一)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非法登录次数,设置连接超时功能;用户访问不得采用空账号和空口令,口令要足够强健,长度不得少于8位。
(二)严格限制匿名用户的访问权限;实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制力度应达到主体为用户级,客体为文件、数据库表级。
(三)控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
第二十九条 严格网络、系统安全审计工作,安全审计系统应定期生成审计报表,自动进行备份,审计记录应受到保护,避免删除、修改或破坏。第三十条 重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备份;对门户网站页面,要具有防篡改机制和措施。第三十一条 严格用户帐号及口令管理,使用强健复杂口令,定期更换口令,杜绝使用空口令;定期开展用户终端计算机数据备份工作,及时安装系统补丁程序,及时更新杀病毒程序,加强移动存储介质管理。
第五章 附则
第三十二条 本办法由国家电网公司信息化工作部负责解释并督促执行。第三十三条 各单位可根据本办法制定实施细则,报国家电网公司备案。第三十四条 本办法自印发之日起执行。
第三篇:信息系统安全管理办法
1.0
目的为保证集团计算机信息系统的平安,防止信息泄密,特制定本管理办
法。
2.0
适用范围
本规定适用于本集团的全体员工;适用于本公司所有办公用计算机、网
络布线和网络连接设备。
3.0
职责
集团人力行政中心统一负责管理和维护集团各公司的计算机、打印机、电脑网络等办公自动化设备及各类软件,并对计算机系统平安保密工作进行指导、协调和监督检查;各部门主管负责本部门办公设备和信息系统的平安保密工作,应指定专人经常进行信息的平安情况检查;定期查、杀病毒,确保系统平安运行。
4.0
具体管理方法
4.1
设备平安管理
4.1.1
非设备维护人员,不得私自拆装计算机设备,不得私自变更网络设备的连接,对非法操作造成的财产损失和网络重大故障的有关人员,要追究
责任。
严禁带电拔插计算机上的所有连线和设备〔键盘、鼠标、打印机、软件
狗等〕,以防止损坏设备。
4.1.3
除不可抗拒的原因外,禁止非法开、关机,关机后再次启动电脑的间隔
时间不得低于1分钟。
对外来软盘、u盘等介质应先杀毒,以消除可能带有的病毒。
严禁在开机状态下移动计算机主机等设备。
4.1.6
未经人力行政中心IT部门登记,不得将外来的笔记本电脑等设备私自接
入公司网络。
4.2
软件平安管理
4.2.1
计算机上使用的系统软件由集团人力行政中心有关技术人员进行安装,各部门使用的自购或开发的软件必须由集团人力行政中心技术员检查确认平安问题并建立软件档案前方可使用。
计算机使用人员应遵守如下规定:
〔1〕不得随意修改计算机和网络上的配置参数、程序及信息资源;
〔2〕未经防病毒检查和平安性检查,不得随意拷入外来程序及数据;
〔3〕不得私自从因特网上下载非工作必需的软件,以免影响其他人上网的速度。
〔4〕不得安装与工作无关的软件,严禁办公时间在电脑上玩游戏、上网浏览色情网站或下载游戏软件,工作时间不得上网聊天或进入交友网站。
4.3
信息平安管理
4.3.1
各计算机用户负责妥善处理本人使用的计算机上的信息,未经许可不得
随意拷贝、打印保密信息。
4.3.2不得向网络输入有害程序和信息或利用网络查询、传播各种违法信息。
4.3.3向网站发布信息必须按相关规定审批前方可发布。
4.3.4需长期保存的文件不得放置在电脑C盘,应放在D、E等盘,并及时备份〔建议采用光盘或U盘的方式,尽量不使用软盘方式〕,以免由于系统出错格式化造成文档丧失,如因硬盘损坏等原因造成信息丧失的后果由当事人及部门主管负责。
任何部门或个人发现计算机信息系统泄密和存在不平安因素,应及时报
告集团人力行政中心IT部门采取措施补救。
5.0
违反本管理方法按?奖惩制度?处理。
6.0
本管理方法解释权归属集团人力行政中心。如原有规定与本管理方法有冲突,以本管理方法为准。
7.0
本管理方法自2021年1月1日起执行。
第四篇:xx信息系统安全管理办法
1信息系统安全管理的基本要求
1.1信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。
1.2信息系统的安全管理包括:组织和人员管理、信息系统建设安全管理、运行维护安全管理和信息安全风险评估等。
1.3依据国家《计算机信息系统安全保护等级划分准则》,结合公司实际情况,信息系统实行等级化保护和等级化管理。适用于公司所属各二级单位、机关各部室。
2职责与分工
2.1为保证信息系统安全运行,建立公司、二级单位两级信息系统安全管理体系,本着“谁主管谁负责,谁运行谁负责”的原则,在公司设立信息安全领导小组,接受公司信息化领导小组和公司保密委员会的指导,信息部全面负责公司信息系统安全管理工作,机关各部室和各二级单位分别设立信息系统安全管理组织,各司其责,做好本部门或本单位信息系统安全管理工作。
2.2公司信息部负责对公司信息系统安全的统一管理。组织制定并执行信息系统安全规划、策略、标准、流程、应急计划;行使防范与保护、监控与检查、响应与处置职能;负责对公司重大信息安全项目实行集中决策,统一部署,优化配置资源,建设全局性的信息系统安全体系;负责对公司信息系统建设项目验收的信息安全评估与审批;负责落实信息系统安全宣传教育与培训计划等。
2.3各二级单位和机关各部室应建立信息系统安全管理组织或兼职管理员。负责信息安全管理实施细则和要求的落实;检查信息系统安全管理的日常工作;修改完善信息安全策略规范;关注信息安全风险;加强对内部信息系统使用人员的安全管理,在岗位职责中明确其信息安全责任;监督信息系统建设、运行、维护第三方单位属地的信息安全工作;协调处理安全威胁、违例行为和其他信息安全突发事件。
2.4电信事业部和档案管理中心应配合公司信息部做好信息系统安全工作。按照《中国石化信息系统关键岗位安全管理办法》,设立并加强对本单位信息系统安全管理员、系统管理员、数据库管理员、网络管理员、系统维护人员、重要应用系统的开发、操作人员等信息系统关键岗位人员资格、职责、权限、培训、考核、监督的管理。定期组织开展应急预案演练工作。
3信息系统安全管理内容与方法
3.1信息系统安全保护等级划分
3.1.1公司的信息系统安全保护等级总体定为三个级别,分为三级、二级和一级,其中三级的信息安全保护等级最高。信息系统安全等级定为二级以上的信息系统在本管理办法中定义为重要信息系统。
3.1.2信息安全保护等级为一级:信息系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产,在遭到攻击和破坏时,系统所承载的业务以及单位利益造成较小的负面影响。
3.1.3信息安全保护等级为二级:信息系统处理信息为日常业务信息。系统所管理、控制和处理的信息资产,在遭到攻击和破坏时,会对系统所承载的业务以及单位利益带来一定的损失或破坏。
3.1.4信息安全保护等级为三级:信息系统处理信息为核心业务信息。系统所管理、控制和
处理的信息资产,在遭到攻击和破坏时,会对系统所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏,对社会稳定、国家安全产生负面影响。
3.1.5各级信息系统安全管理组织或兼职管理员根据以上分级标准,对信息系统进行分级保护。具体信息系统安全等级的确定要以应用系统为核心进行,用于支撑应用系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于应用系统的安全等级。
3.2信息系统建设
3.2.1信息安全是信息系统建设的重要组成部分,信息安全建设应与业务系统“同步设计、同步建设、同步运行”。
3.2.2重要信息系统应有安全性设计、论证和评估,包括安全需求、安全功能、安全措施、性能指标等内容,公司信息部负责组织审查。
3.2.3重要信息系统建设项目验收,必须包括对其信息系统安全内容的验收。
3.2.4信息系统建设项目中信息安全相关内容文档由各级信息系统安全管理组织统一备案管理。
3.2.5信息安全建设项目由公司信息部负责统一组织规划、立项、设计、实施、验收。
3.2.6信息系统建设、运行、维护的第三方单位必须经过公司信息部组织的资格审查,并签订信息安全协议书,承诺所承担的信息安全保密责任和义务。
3.3运行维护管理
3.3.1建立信息系统日常运行维护的相关安全管理办法。制订日常运行维护操作和变更控制流程,规范日常运行维护操作。
3.3.2建立用户帐户申请、创建、交付、冻结、注销的审批与操作流程。用户权限的分配、变更应及时进行记录。根据系统的实际情况严格密码管理,强化密码强度。
3.3.3临时用户的设置与删除必须经过业务主管部门和信息部的审批,并记录备案。
3.3.4建立健全信息系统病毒预防和控制体系,实现对用户终端保护的统一部署和病毒定义文件的自动升级。
3.3.5加强补丁管理工作,包括补丁的跟踪、获取、测试、加载、验证和归档等环节。
3.3.6操作系统、数据库、应用系统的初始密码必须在系统投用前修改,数据库管理员、操作系统管理员、应用系统管理员必须定期更改密码。
3.3.7关系到主干网或企业核心信息系统的信息安全系统(防火墙、入侵检测系统、防病毒系统、加密设备等)的部署和调整,须经公司信息部审批并备案。
3.3.8加强对信息安全系统的运行管理,安全策略须经过业务主管部门和信息部的审核,配置、变更须严格遵守规范流程,认真进行配置与变更的记录、日志的审核。
3.3.9涉密载体维修及数据修复须依照有关保密工作规定,送定点许可单位进行维修或修复。
3.3.10信息设备磁盘、磁带等存储介质上的敏感数据,在外送维修前必须删除,并经相应业务部门确认。
3.4信息安全风险评估和信息安全事件处理
3.4.1各级信息系统安全管理组织或兼职管理员负责组织、协调本单位的信息安全风险评估管理工作,采用自评估与公司信息部检查评估相结合的形式,对信息系统面临的威胁进行分析,选择适度的安全措施。公司信息部每年组织对关键信息基础设施进行风险分析和评估,产生风险分析报告。
3.4.2各级信息系统安全管理组织会同有关业务部门对信息系统进行安全风险分析与评估,提交正式的风险分析报告。风险分析报告中应明确管理上、技术上存在的问题与对策。
3.4.3各级信息系统安全管理组织或兼职管理员负责接报本部门或本单位的信息安全事件报告,并及时进行处理。重大事件须24小时内向公司信息部报告。
3.5应急预案演练
3.5.1加强对信息系统安全应预案的演练工作,每年至少进行一次应急预案演练。
3.5.2应急预案演练方案的制定,要切合公司信息系统运行的实际情况,方案具有可操性。
3.5.3应急预案的演练应做好记录,演练后要做好总结,针对演练中发现的问题及时进行整改。
4信息系统安全监督、检查与考核
4.1监督与检查内容
信息系统安全监督与检查内容包括信息系统安全和组织人员情况、信息系统安全等级保护情况、信息系统建设、运维安全管理和应急预案演练情况。
4.2检查考核方法
4.2.1信息部负责对机关各部室及各二级单位信息系统安全进行检查与考核。本管理办法纳入公司经济责任制考核体系。
4.2.2信息系统安全检查采用自查和检查相结合的方式,每年组织1次信息系统安全自查工作。检查工作采用现场检查、远程检测等方式进行。
第五篇:民航空管系统安全信息管理办法
民航空管系统安全信息管理办法
(征求意见稿)
第一章 总则
第一条 为规范民航空管系统安全信息的报告、收集、分析和应用,实现安全信息共享,控制风险、消除隐患、预防民用航空事故的发生,制定本办法。
第二条 本办法依据《民用航空安全信息管理规定》(CCAR-396-R2)、《中国民用航空空中交通管理规则》(CCAR-93TM-R4)、《民用航空空中交通运行单位安全管理规则》(CCAR-83)、《民用航空器事故征候》(MH/T2001-2011)和《民用航空其他不安全事件样例》(AC-396-AS-2010-05)等规章、标准和规范性文件。
第三条 本办法适用于空管系统各单位和个人的空管安全信息管理。本办法所称的空管系统是指民航局空管局、各地区空管局、空管分局(站)以及各直属单位的统称。
第四条 空管安全信息管理工作实施统一管理、分级负责;逐级上报、应用共享的原则。
民航局空管局安全管理部门负责统一管理空管系统的安全信息管理工作,负责组织建立用于空管安全信息报告、存储、分析和发布的空管安全信息系统。
各地区空管局和空管分局(站)应当制定空管安全信息管理程序,负责本辖区的空管安全信息管理工作,并应当定期利用民航局空管局空管安全信息系统存储、分析、发布和上报本辖区内的空管安全信息。
第二章 空管安全信息分类
第五条 本办法所称的空管安全信息包括强制报告信息、自愿报告信息和日常报告信息。
第六条 本办法所称的强制报告信息主要包括:民用航空器事故(以下简称事故)、民用航空器事故征候(以下简称事故征候)及其他不安全事件。
(一)本办法所称事故按照《民用航空安全信息管理规定》(CCAR-396-R2)的定义和标准执行;
(二)本办法所称事故征候按照《民用航空器事故征候》(MH/T2001-2011)的定义和标准执行;严重事故征候是指《民用航空器事故征候》中的运输航空严重事故征候;一般事故征候是指《民用航空事故器征候》中的运输航空一般事故征候、通用航空事故征候和航空器地面事故征候。
(三)本办法所称其他不安全事件按照《中国民用航空空中交通管理规则》(CCAR-93TM-R4)中的“严重差错标准”和《民用航空其他不安全事件样例》(AC-396-AS-2010-05)中的“空管保障”样例执行。
(四)以上标准若被修改、代替,以最新版本为准。第七条 本办法所称自愿报告信息包括空管系统各单位或工作人员在日常工作中发现的安全隐患和缺陷,以及没有造成明显后果的事件或违章行为的情况。
第八条 本办法所称的日常报告信息包括:
(一)安全工作总结;
(二)安全信息月报;
(三)安全评估、安全检查、风险管理等情况;
(四)安全管理会议的有关记录;
(五)安全教育和培训及其考核档案;
(六)安全奖励和处罚情况;
(七)其他安全管理内容。
第三章 空管安全信息报告
第九条 本办法所称事发相关空管单位是指与所发生事件有关的空管系统单位;本办法所称事发空管单位是指主要由于空管原因导致事件发生的空管系统单位。
第十条 事故和严重事故征候信息的报告按照以下规定进行:
(一)事故和严重事故征候发生后,事发相关空管单位应立即向事发地监管局和所属地区空管局运行管理部门报告;地区空管局运行管理部门接到报告后,应立即向民航局空管局运行管理部门报告;民航局空管局运行管理部门接到报告后,应立即向局领导、安全管理部门报告。
(二)在事故和严重事故征候发生后12小时内,事发空管单位应当向事发地监管局填报“民用航空安全信息初始报告表”,并且抄报事发地民航地区管理局、事发相关单位所在地民航地区管理局以及民航局安全信息主管部门。
(三)在事故和严重事故征候发生后12小时内,事发空管单位应将初始报告内容通过民航局空管局空管安全信息系统上报至所属地区空管局安全管理部门;地区空管局安全管理部门应当在事发后24小时内将审核后的报告内容上报至民航局空管局安全管理部门;民航局空管局安全管理部门将内容审核后尽快报告局领导。
第十一条 一般事故征候、其他不安全事件的报告按照以下规定进行:
(一)一般事故征候和其他不安全事件发生后,事发相关空管单位立即向事发地监管局和所属地区空管局运行管理部门(或设备监控部门)报告;地区空管局运行管理部门(或设备监控部门)接到事件信息后,应立即向民航局空管局运行管理部门(或设备监控部门)报告;民航局空管局运行管理部门(或设备监控部门)接到事件信息后,应尽快向局领导、安全管理部门报告。
(二)在一般事故征候和其他不安全事件发生后24小时内,事发空管单位应当向事发地监管局填报“民用航空安全信息初始报告表”,并将报告内容通过民航局空管局空管安全信息系统上报至所属地区空管局安全管理部门;地区空管局安全管理部门应当在事发后48小时内将审核后的报告内容上报至民航局空管局安全管理部门;民航局空管局安全管理部门将内容审核后尽快报告局领导。
(三)需要空管系统负责调查的事件,负责调查的单位应当在事发后7日内以正式文件形式,将事件经过、调查情况、原因分析、采取的措施、以及处理建议或决定报民航局空管局。同时将事件经过、调查情况、原因分析通过空管安全信息系统逐级上报。
第十二条 向空管系统举报与空管安全有关的事件按照以下规定进行处理:
(一)举报事件由受理举报信息单位负责调查。
(二)如果举报事件经调查为强制报告信息范畴,负责调查的单位应当在接受到举报3日内,向民航局空管局安全管理部门上报事件相关信息。
(三)举报人的合法权益应受法律保护。
第十三条 任何单位和个人不得瞒报、缓报或者谎报空管安全信息;不得因信息不全而推迟上报,在上报后若获得新的信息,应当及时补充报告。
当空管安全信息系统不可用时,可以使用其他方式上报;空管安全信息系统恢复后,应当使用该系统补报。第十四条 自愿报告信息应遵照民航局、民航局空管局的相关规定执行。
第十五条 日常报告信息的报告按照以下规定进行:
(一)安全工作总结。各地区空管局应在每年12月25日前将安全工作管理目标、指标、计划及完成情况上报民航局空管局。
(二)安全信息月报。各地区空管局应在每月10日前将本辖区的运行保障情况、不正常事件、安全形势分析等信息上报民航局空管局。
(三)各地区空管局安全管理部门根据日常空管安全工作,将安全管理会议、安全教育培训、风险管理、安全评估、安全检查、安全形势分析、安全奖惩等安全管理活动情况上报民航局空管局。
(四)相关安全管理信息应根据分类通过民航局空管局空管安全信息系统上报。
第四章 空管安全信息分析和处理
第十六条 民航局空管局安全管理部门负责对空管系统安全信息的分析和处理;地区空管局安全管理部门负责对本地区、本单位空管安全信息的分析和处理。
第十七条 各级安全管理部门应定期分析空管安全信息,识别安全风险,把握安全形势,并为安全决策提供可靠依据,适时启动风险管理机制。
第十八条 对与空管安全工作关系重大的空管安全信息,各级安全管理部门应当及时召开专题会议分析情况,研究对策。
第十九条 各级安全管理部门发现需要进行事件调查的安全信息,应及时启动不安全事件调查程序。
第五章 空管安全信息发布和归档
第二十条
民航局空管局安全管理部门负责对空管系统内部发布空管安全信息;地区空管局安全管理部门负责对本地区内部发布空管安全信息。
第二十一条
空管安全信息发布分为定期信息发布和不定期信息发布。
(一)定期信息发布内容包括:日常报告信息中空管安全形势分析报告、季度空管安全信息和安全工作月报。
(二)不定期信息发布内容包括:强制报告信息、自愿报告信息,以及日常报告信息中安全培训、安全管理会议、安全奖惩、风险管理、安全评估、安全检查及整改情况。
第二十二条 空管系统各单位应妥善保存空管安全信息的有关文本、影音、数据及其他资料,不得擅自修改相关数据和文档记录。
第六章 空管安全信息工作人员的岗位要求 第二十三条 空管系统各级安全管理部门分别指定专人负责安全信息管理工作,并配臵安全信息管理设备,保证安全信息管理所必须的资金投入。
第二十四条 负责安全信息管理工作的人员应具备以下条件:
(一)应有较强的事业心和工作责任感,遵纪守法,恪守职业道德,坚持原则,实事求是;
(二)掌握民航局、民航局空管局关于安全信息管理方面的规定;
(三)掌握民航局空管局空管安全信息系统的基本操作,了解信息分析的原理、步骤和方法,具有较强的信息分析和处理能力;
(四)熟悉空管相关业务或有两年以上空管从业经验;
(五)通过局方组织的行业基础与安全培训,考核合格。
第七章 责任追究
第二十五条 空管系统单位违反本办法第十条、第十一条、第十二条、第十三条,根据事件的性质、级别、造成的后果和影响等,由民航局空管局或所在地区空管局对直属相关单位的主要领导、分管领导进行安全问责,对相关责任人进行处罚。第二十六条 空管系统单位或个人违反第二十二条、第二十三条,民航局空管局或所在地区空管局责令其改正,对相关责任人进行处罚。
第八章 附则
第二十七条 本办法由民航局空管局负责解释。第二十八条 本办法自2012年××月××日起施行。民航总局空管局2001年10月23日公布的《民航空中交通管理系统不安全事件报告制度》(MD-TM-2001-114)自施行之日起废止。
