信息系统运行维护安全管理规定
第一章总则
第一条为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法》,结合总公司实际,特制定本规定。
第二条本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。
第三条信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。
第二章管理机构及职责
第四条总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:
(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;
(二)负责总公司机关局域网的运行维护管理;
(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;
(四)指导、协调所属单位局域网系统的安全运行管理。
第五条总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:
(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接的畅通;
(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;
(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。
第三章网络接入及IP地址管理
第六条需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。
第七条总公司机关内部局域网的IP地址由办公室统一规划、管理和分配,IP地址的申请、补充、更换均需办理相关手续。
第八条申请与使用IP地址,应与登记的联网计算机网卡的以太网地址(MAC地址,即硬件地址)捆绑,以保证一个IP地址只对应一个网卡地址。
第九条入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的IP地址和指定的网关和掩码。严禁盗用他人IP地址或私自设置IP地址。总公司办公室有权切断私自设置的IP地址入网,以保证总公司内部局域网的正常运行。
第四章安全运行管理
第十条总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。
第十一条建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。
第十二条系统软件(操作系统和数据库)必须使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性,并具备身份验证、访问控制、故障恢复、安全保护、安全审计、分权制约等功能。
第十三条对会影响到全公司的硬件设备或软件的更改、调试等操作应预先制定具体实施方案,必要时准备好后备配件和应急措施。
第十四条数据库管理系统和关键网络设备(如服务器、防火墙、交换机等)的口令必须使用强口令,由专人掌管,定期更换。
第十五条业务信息系统应严格控制操作权限,原则上采用专人专用的用户名及密码登录;对数据库的维护不允许通过外网远程登录进行。
第十六条接入总公司信息系统的所有服务器和计算机均应采用国家许可的正版防病毒软件并及时更新软件版本,发现问题及时解决。具体措施如下:
(一)所有计算机全部安装和使用网络版防毒软件,未经许可,不得随意禁用或卸载,并设置好定期升级和杀毒的安全策略;
(二)对新购进的、修复的或重新启用的计算机设备,必须预先进行计算机病毒检查后方可安装运行;
(三)杜绝病毒传播的各种途径,光盘和优盘等存储介质及经远程通信传送的程序或数据在使用前应进行病毒检测,如工作需要使用共享目录,必须做好有关防范措施;
(四)在接入Internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开附件;
(五)当出现计算机病毒传染迹象时,立即拔掉网线,隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行。
第十七条总公司及所属各单位信息系统如发生严重的网络中断故障,应按规定进行先期处置,同时报总公司办公室。
第六章数据管理
第十八条系统管理员应对系统数据(主要包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置及其他系统配置参数)实施严格的安全与保密管理,并定期核对,防止系统数据的非法生成、变更、泄漏、丢失与破坏。
第十九条各单位应定期进行数据备份,保证系统发生故障时能够迅速恢复;业务数据必须设置在线定时自动备份策略,必要时应采用双机备份。
第二十条各单位重要业务数据必须每年定期、完整、真实、准确地转储到不可更改的介质上,实行集中存储和异地保管,保存期至少2年。备份数据不得更改,应指定专人负责保管和登记。
第二十一条各单位业务数据不得随意进行数据恢复,因数据丢失或故障确需恢复的,应由系统管理员报本单位信息化工作部门,经批准后方可进行数据恢复操作,并做好记录。
第二十二条总公司信息系统的数据采集、存储、处理、传递、输出和发布应遵守计算机信息系统相关保密管理规定,以保证公司信息系统无泄密事件发生。
第七章附则
第二十三条本办法由总公司办公室负责解释。
第二十四篥本办法自印发之日起施行。
篇2:信息系统开发安全管控办法
1?范围
本标准规定了信息系统开发阶段、测试阶段、试运行阶段和上线阶段的管理内容与要求。
本标准适用于公司自主开发及委外开发信息系统的管理。
2?规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。凡是不注明日期的引用文件,其最新版本适用于本标准。
国务院令(第339号)计算机软件保护条例
国务院令(第147号)中华人民共和国计算机信息系统安全保护条例
Q/JYG/GL-SB-16-2013.a《投资项目管理办法》
3?术语和定义
信息系统:是指由计算机及其相关的配套设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统一般由三部分组成:硬件系统(计算机硬件系统和网络硬件系统)、系统软件(计算机系统软件和网络系统软件)、应用软件(包括由其处理、存储的信息)。
4?职责
4.1?****部门
4.1.1?负责公司信息系统开发各阶段文档的审批工作;
4.1.2?负责组织公司新开发信息系统的测试工作;
4.1.3?负责公司信息系统上线与终止的验收工作。
4.2?卷烟厂计算机中心
4.2.1?负责本厂信息系统开发各阶段文档的审批工作;
4.2.2?负责组织本厂新开发信息系统的测试工作;
4.2.3?负责本厂信息系统上线与终止的验收工作。
4.3?各实施部门或单位
4.3.1?负责本单位信息系统开发过程中的需求提出、测试及验收等工作。
5?管理内容与要求
5.1?总体要求
5.1.1?信息系统开发须遵循《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》。
5.1.2?信息系统开发过程中项目单位(承接信息系统开发的单位)须提交相应的安全需求、安全设计、安全测试等资料并经过****部门审批,否则不予立项或验收。
5.1.3?信息系统开发范围的变更(增加或缩减)、新技术的使用、新产品或新版本的采用、新的开发工具和环境须经过****部门审批。
5.2?信息系统开发生命周期管理要求
5.2.1?系统需求收集和分析阶段
a)?技术可行性分析
根据业务上提出的需求,信息系统归口管理部门应从技术开发的角度分析是否现有的技术手段和技术能力是否可以达到业务上要求的系统功能,主要包括:人员技术能力分析(指公司内的系统开发队伍是否有足够的软件开发的技术能力来完成系统开发的任务,或第三方外包的开发公司是否具有开发应用系统的技术能力)、计算机软件和硬件分析(指公司现有的软件和硬件的性能是否足够满足开发相应的系统的要求)、管理能力分析(指现有的技术开发管理制度和管理流程是否成熟且标准化,是否足够系统开发的要求)。
b)?需求可行性分析:信息系统归口管理部门应对该申请部门所提需求进行可行性分析,以判断需求是否明确,是否符合实际,是否能在一定的时间范围实现。
c)?经济可行性分析:信息系统归口管理部门应根据业务需求和技术手段的分析,确认投资的数额在可控制和可承受的范围内。
d)?安全可行性分析:信息系统归口管理部门应明确该系统的安全建设范围和内容,设定安全性指标要求,合理判定该信息系统是否符合公司的网络及信息安全要求。
5.2.2?设计阶段安全管理
a)?单点访问:任何用户如果希望访问应用系统中的某一个部分,则必须通过统一且唯一的认证授权方式以及流程。
b)?人员职责和权限的划分:系统必须具有基于人员职责的用户授权管理以确保每个用户可以访问到其权利范围内的应用系统部分,也要确保每个用户无法访问其权限范围以外的应用系统部分。
c)?保护敏感系统的安全性:通过将应用系统中敏感信息保存在服务器端以进行集中的加密安全管理,确保客户端系统本身并不能存储任何信息敏感的数据。
d)?确保访问层的安全性:系统在要确保系统模块本身安全性的同时,还需考虑模块与模块之间的通讯的安全性。模块与模块之间的安全性包括:应用系统内部模块之间的安全、应用系统内部模块和外部模块之间的安全性,如主机和客户端之间通讯的安全性,服务器和服务器间通讯的安全性,本地系统和异地系统之间通讯的安全性。
e)?确保日志管理机制健全:要求建立可以根据情况自由设置的日志管理机制,即日志纪录的范围和详细程度可以根据需求自行定制,且可实现在应用系统使用过程中进行日志的定制和记录,并保留所有系统开发相关程序库的更新审核纪录。
f)?新系统的容量规划:容量规划是指确定系统的总体规模,性能和系统弹性。容量规划应充分考虑:系统的预期存储容量和在给定的周期里面获取生成和存储的数据量;在线进程的数量和估计可能的占用资料;系统和网络的相应时间和性能,即端对端系统;系统弹性要求和设计使用率、峰值、槽值和平均值等;安全措施如加密解密数据对系统的影响等;7*24小时运作要求和可接受的系统宕机次数(维护或者设备更新导致的必须性宕机)。
5.2.3?开发阶段安全管理
a)?通用要求
1)?输入验证:在客户机/服务器环境下,系统需进行服务端的验证而禁止客户端的验证(如基于Javascript的验证),并在字符有效性检查之前设置边界检查验证以及环境变量提取数据验证。
2)?命名规范:规范变量、函数的命名;规范程序的书写格式等。
3)?SQL语句:如果应用程序需要连接后端数据库,使用存储过程而不能在代码中使用SQL语句。
4)?注释代码:当应用程序在实际环境中开始应用时,应该删除所有的注释代码。
5)?错误信息:所有为用户显示的错误信息不应暴露任何关于系统、网络或应用程序的敏感信息。
6)?URL内容:对于web应用,不能在URL上暴露任何重要信息,如密码、服务器名称、IP地址或者文件系统路径等。
b)?变更要求
1)?信息系统归口管理部门应对更改进行严格的控制,在系统开发的每一个阶段(可行性研究、需求分析、设计、编码、测试、培训等)的每一个更改实施前经过评审与授权。
2)?信息系统归口管理部门应当建立更改控制审批程序,对更改的申请、评审、测试、批准、更改的计划的提出和实施提出明确要求并严格的实施,确保安全性与控制程序不被损害,确保任何的改动都是经过审批的。
3)?更改的程序应考虑以下方面:清晰确认所有的需要更改的应用系统、信息、数据库和相关的硬件设备;清晰的确认更改的原因(业务上的具体流程和具体的需求或开发上的需求);由授权的用户提交更改的申请;保留相关的授权登记记录;在正式的实施之前,更改的方案必须经过评审并通过正式的批准;确保授权的用户在实施之前确认并接受更改的内容;确保在实施的过程中,尽量的减少对现行的商务运作系统的影响;确保建立的文件系统在完成各项更改时得到修改,旧文件被很好的归档或处置;保证所有的应用系统升级的版本的控制;确保所有的更改情求的审核跟踪;确保用户使用手册作相应的必要的更改;确保更改的实施选择了适当的时机以确保更改的实施不会干扰正常的商务运作。
c)?版本控制要求
1)?程序清单:信息系统归口管理部门应在任何时候对于程序清单必须进行严格的控制并且及时地进行更新;对应用系统开发源程序的打印的资料、电子版本或者是相关的报告都必须进行控制,纸质的文件应当保存在一个安全的环境下,如保险柜等,电子文档则应进行一定的加密;
2)?版本升级控制:当软件的版本由于更新,修改等操作需要升级时,必须先向相关负责人员提交申请;信息系统归口管理部门应对升级的应用系统进行测试,确认系统的各种安全特性;信息系统归口管理部门应确认对应用系统的版本升级,即确认当前的版本为最新版本,旧的版本需进行归档,不得随意丢弃或删除;信息系统归口管理部门应制定相关的升级计划,确保将系统升级对业务的影响降至最低。
d)?开发审计:信息系统归口管理部门应对开发日志及开发人员权限进行每月审核。
5.2.4?测试阶段安全管理
a)?测试前安全检测:信息系统归口管理部门应组织开发人员进行代码审核,检查、消除程序代码潜在的安全漏洞。
b)?信息系统归口管理部门应设计详细的测试计划,测试范围,测试方法和测试工具,应充分考虑与其他系统的互操作性测试中对其他系统的影响,选择适当的时间、方法。并对应用系统存在的弱点威胁进行安全检查,如:假冒身份、恶意篡改、信息泄露、拒绝服务、特权提升等。
c)?信息系统归口管理部门应在测试系统功能正常运行的基础上,还需测试系统的模块和模块之间、功能和功能之间的接口的正确性、负载能力及水平、系统承受压力及峰值、测试环境等。
5.3?开发、测试及验收过程安全指导规范
5.3.1?开发环境安全
a)?信息系统归口管理部门应对项目文档、代码的存储进行备份,以确保在发生意外时,可有效恢复;
b)?信息系统归口管理部门应对项目文档和代码版本管理和访问控制;
c)?信息系统归口管理部门应对用于开发的服务器、个人电脑的配置做好严格的安全防护措施。
5.3.2?文档安全
a)?文档内容的安全:信息系统归口管理部门应对文档内容进行以下几个的规范:需求说明书中应明确描述应用系统的安全需求;设计说明书中应有针对安全需求的设计,并进行评审;在测试大纲或者测试方案中应有安全性测试方案,并以此进行安全性测试;开发各阶段输出的文档应对安全要求的执行情况进行描述。
b)?文档自身的安全:信息系统归口管理部门应对文档设定密级及读者范围,以限定其访问范围,文档的访问控制应有相应的授权机制。
5.3.3?源代码管理
a)?信息系统归口管理部门应根据协议执行源代码的管理,源代码管理应保存所有的历史版本,以便查阅。
b)?信息系统归口管理部门应对所有的程序源代码及设置支持文件等打包进行安全检查并存档。
c)?对于委托第三方开发的应用系统(或功能、模块等)的代码文件或设置文件,在需要对其进行修改时,必须经过投资装备部批准后,才能交给修改人进行修改。修改完毕需通过安全检查才可以提交,通过检查后的源代码(或设置文件)提交至****部门,由专人进行更新和归档。
d)?其他源代码规范:应用系统需对函数入口参数的合法性和准确性进行检查;应严格遵循Fail-Safe原则,即当发生意外事故时,必须能自动切换到安全的保护模式。(当应用系统的登录验证机制不能正常运行时,系统必须自动拒绝所有登录请求,而非接受所有登录请求);应禁止接受不安全的登录密码,并允许系统管理员强制密码设定规则;所有缺省安全设置必须能同时满足系统正常运行和系统安全两方面的要求;在所有警告或提示对话窗口中应使用准确、明了的描述性语言,并提供有关帮助链接;在接受用户输入时,必须有数据合法性检查,并严格规定输入数据的字符长度;在输入密码等敏感信息时,使用特殊符号来代替输入的字符;应禁止使用未经授权和验证的代码,在使用第三方代码时,应对代码安全性进行评估和测试;如密码由应用系统生成,则必须保证有足够的长度和随机性,如密码由用户生成,则应用系统应有密码安全策略来拒绝接受“不安全的”密码;应禁止以明文方式传递用户密码;应测试用的“后门”,应在发布版中去除;应注释代码中无用的代码;应规范代码的格式,并对代码进行版本控制,确保代码的可用性;应禁止在程序中添加隐藏“恶意”的代码,防止与应用系统相关的程序员对系统的非授权修改。
5.3.4?需求分析
a)?信息系统归口管理部门应在需求分析阶段确定应用系统的安全要求,并对其进行详细描述,制定项目安全需求说明书,并指导整个项目设计、实现、测试环节。
b)?在需求分析阶段应明确以下与安全相关的需求:用户数、终端数、在线并发数;用户角色的划分和权限的分配;应用系统性能要求;应用系统可用性要求;现有网络现状和网络性能要求;数据量估计、数据存储方式和周期;系统安全级别和数据保密性要求;其他对网络、存储、服务器、终端、操作系统、数据库、数据等方面的安全需求。
5.3.5?应用安全功能设计
a)?认证失败处理:连续失败登录后锁定该帐号,帐号锁定后可由系统管理员解锁,也可以在一段时间后自动解锁,并通知用户认证失败。
b)?授权:应用系统应包含用户权限分配和管理功能设计。如:系统读、写、执行权限设计;系统查看、配置、修改、删除、登录、运行等权限设计;数据访问范围的角色设计;应用功能模块使用权限的设计;限制用户对系统级资源的访问,系统级的资源包括:文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件日志的系统资源;程序应使用尽可能小的权限;数据库访问应该使用低权限数据库账号(如选择,删除,更新,插入等)通过参数化的存储过程来访问;应用启动进程的权限尽可能小;应用使用的系统账号(运行环境中的)应该有尽可能低的权限。应避免“Administrator”,“root”,“sa”,“sysman”,“Supervisor”或其它所有的特权用户被用来运行应用系统或连接到网站服务器,数据库或中间件。
c)?输入输出验证:为了防止攻击者绕过客户端直接验证,在服务器端进行验证时,必须使用服务器端代码执行验证;按照已知的有效类型、模式和范围验证数据;应限制用户输入并验证数据的类型、长度、格式和范围。
d)?数据加密:应用系统应使用公开并且经过验证和测试的加密方法;应避免向算法传递明文数据,并避免修改存储该数据;应确保所使用的密钥长度和密钥空间能提供足够的安全级别;对于大量数据加密,应使用对称的加密,提高加密的速度并减少资源消耗;对于少量存储的敏感数据使用非对称加密,确保数据的安全性;应对密钥的存储进行严格保护。
5.3.6?测试安全
a)?信息系统测试人员需明确记录测试目的、安全要点、测试参与人员、测试流程,并编写测试大纲,包括对应用系统的帐号、口令的安全测试;
b)?信息系统测试人员需对应用系统的安全功能点进行测试,确保安全功能的有效性、正确性;
c)?信息系统测试人员需对对应用系统抵抗攻击的能力进行测试;
d)?信息系统测试人员需对数据传输的安全性、物理环境等进行测试,测试数据如选择真实数据,应限定测试的人员,并在测试完成后全部删除和详细记录测试过程中发现的问题。
5.3.7?系统部署安全
a)?信息系统归口管理部门应规划应用系统部署需要的资源需求:应用系统部署的软件、硬件的资源要求;应用系统部署的网络要求;物理链路(光纤、五类线)资源;网络设备资源(HUB、Switch)、上联网络节点端口;IP地址;上联网络带宽;应用系统部署的有关部门、人员要求;其它资源的详细清单。
b)?信息系统归口管理部门应确保应用系统部署的环境安全:确保应用系统部署的硬件安全、操作系统安全;确保应用系统部署的帐号、口令安全;确保符合应用系统部署的安全策略要求(如访问控制);确保应用系统部署的物理环境安全(如电力);应了解脆弱的网络或者主机的配置缺陷。
c)?信息系统归口管理部门应确保应用系统部署的过程安全:确保应用系统部署过程的操作安全;对应用系统部署所在的系统进行安全备份;只对部署所需要的帐号提供最小的访问权限,防止进行其它与部署无关的活动;部署的过程应有业务人员在场,对部署的操作需要经业务人员的确认;对部署的操作过程应进行记录;应确保应用系统部署过程的安装安全。
d)?应用系统部署的其它安全问题:记录应用系统部署的详细过程;应用系统部署的时间进度安排;分析应用系统部署可能存在的风险,并制定风险规避方案;明确所有参与人员的工作职责;与所有参与人员签订保密协议,禁止泄漏部署有关的重要内容。
e)?信息系统归口管理部门需明确应用系统部署后的升级验收标准,并在验收之前做系统测试(如系统联通性测试),管理员应确保应用系统的验收标准和要求得到清楚地定义、记录和测试。管理员还应考虑以下的管理措施:性能和计算机容量需求;错误恢复和重新启动程序及意外事故的处理计划;有效的人工操作程序;业务连续性安排;证明新应用系统的安装不会对现有系统有负面影响,尤其是在高峰处理时段;证明已经考虑到新系统对该组织整体安全性的影响;应用系统的操作使用手册;安排人员培训。
5.3.8?日志设计
a)?日志的内容应尽可能详细、准确,但应平衡性能要求。应为日志文件设计不同的详细程度供系统管理员或用户选择。
b)?为日志文件设计输出界面,允许以不同的格式输出日志文件或允许直接输出日志文件到数据库。
c)?日志文件中的每条数据记录应要求有日期和时间(精确到秒)。
d)?应利用操作系统或其他监控系统的日志文件对应用系统在发生异常时提供日志记录。
篇3:公共安全图像信息系统管理办法制度
第一条为了规范本市公共安全图像信息系统的建设和管理,提高预防和处置突发公共事件的能力,保障公共安全,保护公民的合法权益,制定本办法。
第二条本办法适用于本市行政区域内公共安全图像信息系统的建设和管理。
第三条本办法所称的公共安全图像信息系统,是指利用图像采集设备和其他相关设备对涉及公共安全的区域进行信息记录的视频系统。
第四条市人民政府有关部门和区、县人民政府负责本行业、本系统、本地区公共安全图像信息系统建设的组织实施,并协助做好公共安全图像信息系统使用、维护等方面的监督管理工作。
市和区、县公安机关负责公共安全图像信息系统建设、使用、维护的日常监督管理工作。
第五条下列单位和区域,应当安装公共安全图像信息系统:
(一)党政机关、国家机关所在地,广播电台、电视台,电信、邮政、金融、服务单位,博物馆、档案馆、重点文物保护单位,危险物品生产、销售、存放场所等重要单位;
(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所,举办体育赛事的场馆、场地,住宅区、停车场等人员聚集的公共场所;
(三)重点道路、路段和主要交通路口,地下通道、过街天桥,机场、火车站、地铁和城铁车站,公共电汽车的重要交通枢纽等;
(四)城市供排水、电力、燃气、热力设施,城市河湖及其他重要水务工程等重要城市基础设施;
(五)国家法律、法规规定的其他地点和区域。
公共安全图像信息系统建设的市级主管部门可以根据需要确定其他应当安装公共安全图像信息系统的区域,报市人民政府批准。
第六条单位按照本办法规定自建公共安全图像信息系统,应当符合政府的统一规划和要求,不得采集本单位范围以外的公共区域的图像信息。
第七条交通道路、广场等公共场所公共安全图像信息系统的建设由政府负责,其他任何单位和个人不得在该区域设置公共安全图像信息系统。
第八条公共安全图像信息系统的建设,应当符合国家和本市的技术规范和标准。
市质量技术监督、信息化主管部门和公安机关共同制定本市公共安全图像信息系统的技术规范和标准,公共图像信息系统应当具有采集、录像、传输等功能。
第九条设置公共安全图像信息系统,不得侵犯公民个人隐私;对涉及公民个人隐私的图像信息,应当采取保密措施。
涉及国家秘密、商业秘密的公共安全图像信息系统的建设,按照国家有关规定执行。
第十条新建、改建、扩建建设项目应当安装公共安全图像信息系统的,公共安全图像信息系统应当与项目主体工程同步规划、同步建设、同时投入使用。
第十一条公共安全图像信息系统的使用单位,应当自系统竣工验收合格之日起30日内,将公共安全图像信息系统的建设情况按照保卫隶属关系向市或者区、县公安机关备案;没有保卫隶属关系的,向本单位所在地的区、县公安机关备案。
本办法施行前已经建成的公共安全图像信息系统的使用单位应当自本办法施行之日起30日内,将公共安全图像信息系统的建设情况按照前款规定向公安机关备案。
第十二条公共安全图像信息系统的使用单位,应当采取下列措施,保证公共安全图像信息系统安全运行:
(一)对与公共安全图像信息系统密切接触的人员进行岗位技能和保密知识的培训;
(二)建立安全检查、运行维护、应急处理等制度;
(三)保持图像信息画面清晰,保证系统正常运行;
(四)不得擅自改变公共安全图像信息系统的用途和摄像设备的位置。
使用单位委托其他单位运营、维护、管理公共安全图像信息系统的,双方应当明确保证系统安全运行的责任。
第十三条公共安全图像信息系统的使用单位,应当建立、健全图像信息安全管理制度,遵守下列规定:
(一)建立值班监看制度,发现涉及公共安全的可疑信息及时向公安机关报告;
(二)建立图像信息使用登记制度,对图像信息的录制人员、调取时间、调取用途等事项进行登记;
(三)按照规定期限留存图像信息,不得擅自删改、破坏留存期限内图像信息的原始数据记录。
第十四条负责图像信息监看的工作人员,应当遵守各项图像信息安全管理制度,坚守岗位,爱护仪器设备,保守秘密。
与图像信息监看工作无关的人员不得擅自进入监看场所。留存的图像信息除按照本办法的规定使用外,任何人不得擅自查阅、复制、提供、传播。
第十五条在公共场所设置公共安全图像信息系统,应当设置标识。
第十六条发生社会治安、自然灾害、事故灾难、公共卫生等突发公共事件时,具有突发公共事件调查、处置权的政府有关主管部门有权查看、调取、复制图像信息,有关单位应当予以配合。
第十七条政府有关主管部门工作人员查看、调取、复制图像信息时,应当遵守下列规定:
(一)工作人员不得少于二人;
(二)出示工作证件和证明文件;
(三)填写查看、调取、复制图像信息情况登记表;
(四)遵守图像信息的使用、保密制度,不得擅自提供、传播图像信息,对涉及国家秘密、商业秘密和公民个人隐私的图像信息予以保密。
第十八条公安机关应当对公共安全图像信息系统的日常使用、维护情况进行监督检查,发现问题督促相关单位及时整改;必要时,质量技术监督、信息化主管部门在技术检测等方面应当予以协助。
第十九条违反本办法的规定,应当建设公共安全图像信息系统不建设或者不按照规范和标准建设的,由公安机关责令限期整改并予以警告;逾期不整改或者整改不合格的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。
第二十条违反本办法第六条的规定,单位设置公共安全图像信息系统擅自采集本单位范围以外的公共区域的图像信息的,由公安机关责令改正,并对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。
第二十一条违反本办法第七条的规定,擅自在公共场所设置公共安全图像信息系统,由公安机关责令拆除;单位设置的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;个人设置的,对个人处500元以上1000元以下的罚款。
第二十二条违反本办法第十一条的规定,不遵守备案制度的,由公安机关责令改正,并对单位处1000元以上1万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以下的罚款。
第二十三条违反本办法第十二条的规定,未采取保障图像信息系统运行安全管理措施,影响系统安全运行的,由公安机关责令限期整改,可以对单位并处1000元以上1万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以下的罚款;逾期不整改或者整改不合格的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。
第二十四条违反本办法第十三条、第十四条的规定,未建立、健全或者违反图像信息安全管理制度,以及擅自查阅、复制、提供、传播图像信息的,由公安机关对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;构成违反治安管理行为的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。
第二十五条违反本办法第十六条的规定,拒不提供图像信息的,由公安机关对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;构成违反治安管理行为的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。
第二十六条违反本办法第十七条的规定,政府有关主管部门的工作人员查看、调取、复制图像信息时违反相关管理制度,由主管部门追究其行政责任。构成犯罪的,依法追究刑事责任。
第二十七条本办法自2007年4月1日起施行。
篇4:保障信息系统稳定运行安全措施
为保障信息系统稳定运行,最大限度的减少突发事件对业务工作造成的影响和损失,连云港工商局实行以四项制度和六项原则为举措的安全保障工作,取得了良好的工作效果。
这四项制度是:1、落实安全检查制度。依据省局的有关管理制度和《连云港工商信息系统运行规范》、《连云港工商系统信息安全规范》的要求,做好机房设备、网络、辅助设施的日常维护和定期检查工作。2、做好数据备份管理。按照《江苏省工商信息系统数据备份管理规定》和《连云港工商系统信息安全规范》的要求,信息管理部门、档案室及有关业务部门认真做好各类数据的备份工作,并经常检查备份资料的存储环境,保证备份资料的准确性、安全性。3、做好病毒防范工作。经常性的关注新病毒的信息,信息管理部门定期检查系统内及客户端杀毒软件的运行状况和补丁安装情况,及时发现可能存在的安全隐患。4、做好应急准备工作。各级业务部门应各自做好信息系统故障时的本级应急计划,以便发生信息系统突发事件时从容应对。
六项原则的主要内容是:1、保证窗口原则。事件发生之际,信息技术人员和相关业务部门积极应对,首先确保窗口工作不间断和窗口设备正常运行,为避免因此而造成其它更大地负面影响,必要时可临时关闭其它系统或线路。2、临机处置原则。任何信息管理人员在发现或面临突发事件的第一时间、现场当口,为事件处置第一责任人,可不预先请示报告立即采取紧急措施,避免事件扩大和财产更大损失的发生,事后应及时报告“应急指挥中心(小组)”,不得缓报、谎报、瞒报、漏报。3、保障业务原则。按照突发事件类别和影响程度合理区分轻重缓急,及时做出保障重点窗口业务或保障重点业务条线的决断,可暂停信息系统部分模块运作或暂停信息系统中非重要单位、部门的应用。4、保全数据原则。在可能或即将发生突发事件之际,各级信息管理技术人员和业务部门工作人员在第一时间积极果断的采取补救或一切可能措施,甚至不惜代价保全机内和备份的重要数据资料。5、服从调配原则。在处置突发事件阶段,各级使用或储备的信息设备器材均为工商管理机关共有财产,均应服从应急“指挥中心(小组)”统一调配,任何人不得擅自拖延、隐瞒、追讨。6、责任追究原则。根据突发事件发生全过程的调查结果和灾害损失认定状况,除不可抗力因素外,由于单位、人为的因素导致信息系统突发事件发生或在事件中造成严重后果的,严肃追究单位、部门、个人相应的责任。
篇5:企业信息系统安全防护措施范本
企业信息安全现状:
信息安全是随着企业信息化建设面临的最大问题,在普华永道最新发布的全球信息安全状况调查显示,最近一年中国内地和香港企业检测到的信息安全事件平均数量高达1245次,与前次调查记录的241次事件相比,攀升517%。信息安全逐渐成为企业良性发展的最大制约,企业发生信息安全事件后会遭受难以估算的名誉及经济损失,也许一次信息安全事件就可以将一个企业置于“死地”。
企业信息安全的主要威胁及来源:
信息安全主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
从威胁源上划分主要为内部威胁、外部威胁和自然因素威胁。
主要威胁包括:
1.信息泄露:信息被泄露或透露给某个非授权的实体;
2.破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失;
3.非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用;
4.计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
主要威胁来源:
1.人为疏忽,比如员工对信息数据使用不当,安全意识差等
2.黑客行为,网络环境被黑客入侵,关键数据被黑客窃取
3.内部泄密,员工为获取非法利益将企业信息资产出售
企业信息系统的安全防护措施:
A.内部制度:
建立完善的信息资产管控制度,如关键技术人员的竞业限制,信息数据的分级授权,信息数据的使用规定等
B.网络防护:
1.安装防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
2.网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。
3.安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
4.虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
C.数据加密:
数据加密作为保障企业信息安全的最后一道防线,能抵御网络遭受破坏后的数据窃取。多数企业选择使用翼火蛇安全软件,它采用世界顶级内核开发企业OSR的最新同源技术,创新地使用银行级RSA公钥算法+军工级RC4对称密钥算法,在安全性及稳定性上实现了统一。同时经过众多企业需求进行反复设计,在使用的便利性及易用性上也超越了同类产品。
制度专栏
