信息安全管理岗岗位职责

篇2：市发改委计算机信息网络安全管理规定

市发改委计算机信息网络安全管理规定

为加强我委计算机信息网络安全管理，确保信息网络安全、高效、正常运行，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和柳保(2010)9号《关于在全市开展保密计算机违规联接互联网监管工作的通知》和有关规定，制定本规定。

第一条全委干部职工必须严格遵守国家保密法和计算机网络信息安全管理法规及本规定。

第二条任何单位和个人不得利用本委计算机信息网络从事危害国家安全、泄露国家秘密等非法活动，不得利用本委计算机信息网络制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息。

第三条涉密计算机信息系统的研制、安装和使用，必须符合保密要求，并采取有效的措施，配置合格的保密专用设备，防泄密、防窃密。

第四条涉密计算机信息系统必须与互联网实行物理隔离，严禁用处理国家秘密信息的计算机(包括便携式计算机)上互联网。

第五条装有国家秘密信息的便携式计算机原则上只能在委机关内使用，确因工作需要携带外出，必须将涉密信息全部转出便携式存储设备存放在机关。

第六条上互联网的计算机必须与处理涉密信息的计算机严格区分，专机专用，不得既用于上互联网又用于处理国家秘密信息。

第七条计算机网络插头和接口，必须标明字样，严格区分，按规范安装，其他人员不得擅自删除或更改与网络系统有关的设置，严防由于误操作造成泄密。

第八条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。使用计算机起草、存储、处理、传递涉密文件、材料，必须在涉密计算机上进行。

第九条建立上网信息保密审查制度，坚持“谁上网谁负责"的原则，信息上网必须经过严格审查和批准，确保国家秘密不上网，上网信息不涉密。

第十条各科室，应当造册登记，切实加强软盘、磁带、光盘、移动硬盘等信息媒体管理。存储有国家秘密信息的信息媒体，按所存储信息的最高密级标明密级，并按相应密级文件的保密规定进行管理，不得降低密级使用。不再使用的信息媒体应及时销毁。

第十一条报废、维修存储过国家秘密信息的计算机和信息媒体，须交委办公室按保密规定统一处理，保证所存储的国家秘密信息不被泄露。

第十二条做好计算机信息系统数据备份。根据需要与存贮环境，重要信息要定期(半年至二年)进行循环复制三份分处存放，并注意防止因静电、电磁干扰等原因导致信息丢失。

第十三条做好计算机日常维护工作，严格查毒杀毒，发现病毒及时清除，确保信息系统安全运行。

第十四条妥善保管和使用计算机CA认证系统密钥，保守计算机信息系统用户口令秘密。密钥被盗或遗失，应及时作废，重新分配。

第十五条文印室计算机管理。文印室的计算机由打字员负责管理，任何人不得擅自使用文印室的计算机，如需用扫描仪应自带U盘在外网计算机上操作直接将文件存入自带盘中，严禁扫描、传输有密级的文件。严禁外单位人员进入文印室。

第十六条本委计算机信息网络安全工作由委信息安全领导小组负责。委主要负责人担任领导小组组长，成员由各科室负责人组成。领导小组职责是：

(一)根据国家有关计算机信息网络安全的法规和政策，审定本委计算机信息网络安全工作计划和管理制度;

(二)指导和检查本委计算机信息网络安全工作;

(三)定期对计算机信息系统的系统安全保密管理人员进行上岗前保密培训，严格审查和考核。

(四)研究、解决本委计算机信息网络安全重大问题。

第十七条委信息安全领导小组下设办公室，由委办公室和相关人员组成，在领导小组领导下，负责本委计算机信息网络安全管理的日常工作。

第十八条各科室负责人是本科室计算机信息网络安全工作的第一责任人，对本科室信息安全工作负责。

第十九条各科室切实加强对本科室的保密知识教育，提高工作人员信息安全保密意识，自觉遵守保密纪律和有关保密规定，发现有违反规定的行为，立即纠正，发现国家秘密泄露或可能泄露情况时，应当立即报告委信息安全领导小组。

第二十条违反本规定造成泄密的，将按有关法律和规定，追究当事人和责任人的责任，依法依纪进行处理。

第二十一条本规定自发布之日起执行。

篇3：信息技术外包服务安全管理制度

第一节总则

1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。

2、本制度所称信息技术外包服务,是指医院以签订合同的方式,委托承担信息技术服务且非本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。

3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。

4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。

第二节外包服务范围

5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。

6、咨询服务:

6.1根据医院的信息化建设总体部署,协助医院制定切实可行的技术实施方案。

6.2对医院现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估,提出合理化的解决方案。

6.3根据医院的实际情况提出备份方案和应急方案。

6.4其它信息技术咨询服务。

7、运行维护服务:

7.1软硬件设备安装、升级服务。

7.2硬件设备的维修和保养。

7.3根据医院业务变化,提供应用系统功能性的需求解决方案及执行服务。

7.4系统定期巡检和整体性能评估。

7.5日常业务数据问题的处理服务。

7.6其它运行维护服务。

8、技术培训:根据医院的实际情况,提供相关的技术培训。

第三节外包服务安全管理

9、外包服务安全管理应按照“安全第一、预防为主”的原则,采取科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。

10、成立由分管领导同志信息化外包管理组织,明确信息化管理的部门、人员及其职责。

11、建立信息建设安全保密制度,与外包服务方签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。

12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。

13、外包服务方的人员素质、技术与管理水平能够满足拟承担项目的要求,进行相应的安全资质管理。

14、信息中心配备专人负责安全保密工作,负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估,采取安全措施对访问实施控制,出现问题应遵照合同规定及时处理和报告,确保其提供的服务符合医院的内部控制要求。

15、对外包服务的业务应用系统运行的安全状况应定期进行评估,当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务。

16、使用外包服务方设备的,对其进行必要的安全检查。

17、在重要安全区域,对外部服务方的每次访问进行风险控制;必要时应外部服务方的访问进行限制。

第四节附则

18、本制度由信息中心负责解释。

19、本制度自发布之日起生效执行。

篇4：信息化安全管理制度

第一张:总则

第一条,为加强信息化安全规范化管理,有效提高信息化管理水平,防止失密、泄密时间的发生。根据有关文件规定,特制定本制度。

第二条,本制度所指信息化系统包括医院管理系统、办公自动化、妇幼卫生统计直报系统,疫情直报系统、儿童免疫规划直报系统等。

第三条,信息安全是指为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

第二章环境和设备

第四条?机房安全

1、有服务器的单位要检录独立的机房。

2、机房应设置在独立的房间,环境相对安静的地段。

3、机房内门窗应增设防盗(防盗门、铁栅栏等)、防火(灭火器)措施。

4、未经网络管理员允许.任何人员不得进入机房,不得操作机房任何设备。

5、除网络服务器和联网设备外,工作人员离开机房时,必须关掉其它设备电源和照明电源。

6、严禁使用来历不明或无法确定其是否有病毒的存储介质。

第五条?两个或两个以上专用网络(医院内部管理网、妇幼卫生统计直报系统)的单位,互联网与各个专用网络之间不能相通,必须专网专机管理。

第六条?电脑实行专人专管,任何人不得在不经电脑使用人许可的情况下擅自动用他人电脑。如遇电脑使用人外出,则须在征得该电脑使用人所在的科室领导或相关领导的同意后方可使用。

第七条?计算机名称、lP地址由网管中心统一登记管理,如需变更,由网管中心统一调配。

第八条?PC机(个人使用计算机)应摆设在相对通风的环境,在不使用时,必须切断电源。

第九条?开机时,应先开显示器再开主机:关机时,应在退出所有程序后,先关主机,再关显示器。下班时,应在确认电脑被关闭后,方可离开单位。

第十条更换电脑时,要做好文件的拷贝工作,同时在管理人员的协助下检查电脑各方面是否正常。

第十一条离职时,应保证电脑完好、程序正常、文件齐全,接手人在确认文件无误后方可完善手续。

?第三章?软件与网络

第十二条禁止在工作时间内利用电脑做与工作无关的事情,如网上聊天、浏览与工作内容无关的网站、玩电脑游戏等。禁止在电脑上安装任何游戏软件。

第十三条外来存储介质在本单位内计算机上使用时,必须进行杀毒处理后方可使用。

第十四条为防止恶意代码植入系统,预防计算机病毒感染.在收到不明来历的电子邮件时应注意不要随意打开,并立即予以删除。

第十五条上网用户不得利用网络危害国家安全、泄露国家机密,不得侵犯国家、社会、单位、集体的利益和公民合法权益,不得从事违法犯罪活动。

第十六条上网用户不得在任何网络上制作、复制和传播下列信息

(一)煽动抗拒、破坏宪法和法律、行政法规实施:

(二)煽动颠覆国家政权推翻社会主义制度:

(三)煽动分裂国家、破坏国家统一:

(四)煽动民族仇恨、民族歧视,破坏民族团结:

(五)捏造或者歪曲事实,散布谣言.扰乱社会秩序:

(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪:

(七)公然悔辱他人或者捏造事实诽谤他人:

(八)损害形象和利益:

(九)其他违反宪法和法律、

第十七条上网用户不得从事下列危害计算机信息网络安全的活动

(一)未经允许,对自己或他人的计算机网络功能进行删除、修改或者增加;

(二)未经允许,对自己或他人的计算机信息存储、处理或者传输的数据和应用程序进行删除、修改或增加;

(三)浏览与工作无关的网站,上网下载或以其他方式带入任何未经批准使用的程序,故意制作、传播计算机病毒等破坏性程序;

(四)其它危害计算机信息网络安全的行为。

第十九条?计算机出现故障,需重新安装操作系统时,应通知管理人员进行安装,不得私自请电脑公司或外单位电脑人员进行安装,不得私自将计算机搬到电脑公司进行维修。

?第四章数据加密和备份

第二十条对于密级文件殛数据(财务、人事)要建立双备份制度,对重要资料除在电脑贮存外,还应定期拷贝到服务器、u盘或光盘上,以及防遭病毒破坏或断电而丢失。

第二十一条服务器必须设置密码,密码组成应由英文字母和数字组成,长度应在8位以上并随时更换。

第二十二条网络管理人员须随时做好本单位各类重要数据的备份工作,发生灾难性事件时能及时恢复系统数据。

第二十三条用户必须按自己的帐号、密码进入相应系统,不得盗用他人的帐号、密码。密码不得外泄,如发现可能外泄,应及时重设或申请更换;造成损失和危害的,追究其责任。网络特权服务用户不得泄露有关软硬件、网络授术细节及管理密码;所有人员必须保管好自己的密码,确保密码长度不少于8位、必须真有复杂性(含不重复的字母、数字及特殊符号)、不通用性、不易记性必须定期更新密码;使用密码时应确保旁人不能窥视;不要在软件使用时选自动记忆帐户密码功能;不要在任何地方使用任何方式谈论或书式记忆任何密码,未经批准不得将数据和软件拷贝带离本单位或从单位外带入数据输入到记算机中。

第五章?人员管理

第二十四条信息管理人员必须是单位的正式员工。

第二十五条信息管理人员变换必须报批网管中心,网管中心批准后方可更换。

第二十六条信息管理人员变换后,必须将单位内所有重要计算机(服务器)密码重新进行设置。

第二十七条各单位应根据实际情况建立本单位信息化管理制度。

第二十八条各单位的信息化建设、管理工作纳人年终考核.院信息安全管理领导小组具体负责考核工作。

第六章?附则

第二十九条本制度由医院信息安全管理领导小组负责解释。

第三十条本制度自发布之日起施行。

篇5：信息化安全管理制度

信息化安全管理包括机房管理和服务器管理两部分。机房、服务器的日常维护、操作都应有专门的信息管理人员负责,未经信息部门许可其他人员不得对随意进出机房、操作服务器。机房管理人员负责机房的日常检修、事故排查;

服务器管理员负责服务器的安装调试、例行维护、日常检查等工作。

炎炎夏日,尤其注意机房内线路排查,做好防火工作,服务器数据备份和系统备份。

一、机房安全管理

1.1机房严格执行门禁制度,未经信息部门允许,任何人不得擅自进入;

1.2机房内禁止堆放杂物,保证设备和办公桌面清洁、卫生、整齐;

1.3机房内禁止存放易燃易爆品;设备设施周围及上方不得堆放物品,特别是液体物品;

1.4机房内电气设备、供电线路必须由专职电工按规范安装;

1.5机房内禁止乱拉临时电源线;

1.6机房内的各类保险丝必须使用符合规定的保险丝,严禁使用铜、铁、铝线代替;

1.7长期使用的电器设备应对其发热情况进行检查,避免发生火灾;

1.8严格明火管理。明火作业必须有相关部门批准、核发“动火证”后方可施做;

1.9规范配备灭火器材,定期进行消防报警设施试验,严禁使用其他物品将烟感包裹,禁止吸烟;

1.10禁止携带食品进入机房,并定期灭鼠;

1.11机房内温度和湿度严格控制在:温度:18-25℃,相对湿度:60%—80%;

1.12机房值班人员要坚守岗位,早进入、晚离开时要检查设备情况,上班时密切监视网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗位。下班时,要做好交接班记录,要对所有计算机的电源进行细致的检查,该关的要切断电源,离开时察看灯、门、窗、锁是否关闭好。双休日、节假日,要有专人值班,检查网络运行情况,如发现问题应及时解决,并做好记录处理,解决不了的要及时报告;

1.13不得随意合闸拉闸,不得同意不得擅自对程控交换机、核心交换机、路由器、服务器等设备设施进行停、断电;

1.14员工负责设备设施性能测试,及时排除故障,下班前必须做全面检查,不留安全隐患;

1.15机房内所有设备设施维护工作必须在计划内完成;计划外操作必须得到同意;

1.16不得利用职务之便拨打与工作无关的外线电话;

1.17未经批准,不得擅自关闭、重启各系统服务器、接口机;

1.18未经批准,不得随意开关外线;

1.19如遇紧急情况和突发事件必须在第一时间内通知主管人员;

二、服务器安全管理

1.1?物理环境要求

1.1.1?服务器须放置在机房或具备服务器运行相关条件的空间内。

1.1.2?系统管理员应在每季度末对服务器进行一次硬件检测和除尘工作,并填写《服务器硬件检测记录单》(附录A)。

1.2?软件环境要求

1.2.1?无特殊情况,服务器要关闭网络文件与打印服务、QoS、终端服务、授权服务、SiteServerILS服务、消息队列服务(MSMQ)、远程存储、证书服务等其他暂时不用的服务。

1.2.2?服务器操作系统需设置安全策略,策略设定后要进行有效性检查,确保有效执行。

1.2.3?服务器应禁用匿名/默认账户或严格限制访问权限。

1.2.4?为了保证该服务器的运行效能和安全,除了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必要的软件,包括OFFICE等。

1.2.5?服务器上至少要设置两个以上(含两个)的逻辑卷。

1.2.6?服务器严禁安装游戏、聊天工具等与系统运行无关的程序及文件。

1.3?服务器开关机

1.3.1?各单位系统管理员负责服务器的开关机操作,操作完成后填写《服务器开关机记录表》(附录B)。

1.3.2?除安装调试或者例行维护外,服务器不得频繁开关机。服务器维护应安排在非工作时间段进行。

1.3.3?服务器在出现严重故障非重起不能解决时,系统管理员应及时通知服务器用户,在用户保存完正在操作的数据后方可中断数据库连接并进行重起操作。

1.4?日志管理

1.4.1?系统管理员应在每周末检查服务器的“事务日志”,发现有“严重错误”的,必须立即检查并排除故障,服务器所有日志在得到“事务已经满”提示的情况下,必须立即备份到制定目录下,事务日志备份完毕应立即清空。

1.4.2?服务器日志至少保留半年,只允许授权用户访问,且不能进行修改。

1.5?磁盘检查

1.5.1?系统管理员应在每周末检查服务器的磁盘情况,如果发现磁盘的使用容量超过70%以上时,应及时删除不必要的文件腾出磁盘空间,必要时申购新的磁盘。

1.5.2?服务器外出维修时系统管理员必须删除磁盘数据。

1.5.3?系统管理员在每月末对服务器进行磁盘碎片整理工作。

1.6?病毒和补丁管理

1.6.1?为保障服务器性能,工作时间段内一般不进行查杀病毒和安装补丁的操作。

1.6.2?每日22:00设置服务器自行查杀病毒。

1.6.3?服务器杀毒软件的病毒库应设置为自动更新。

1.6.4?在得知有重大病毒流行时应立即确认病毒库是否为最新且是否有效防护,如果病毒库不能有效防护应下载相关专杀工具或进行相关技术处理。

1.6.5?系统管理员应在每月末登陆操作系统厂商网站查看是否有最新的更新通知,在得知有最新的安全漏洞时,应下载经测试后在非工作时间段内安装补丁。对于重大的安全漏洞应第一时间进行更新。

1.7?故障管理

1.7.1?服务器的故障包括:软件故障,硬件故障,入侵与攻击,其他不可预料的未知故障等。应建立服务器故障记录,当出现服务器故障,系统管理员对故障现象及解决过程进行详细记录,填写《服务器故障处理记录单》(附录C)

1.7.2?当服务器出现硬件故障时,系统管理员应立即通知服务器厂商,并督促和配合厂商工作人员尽快维修或更换相关配件。

1.7.3?对于不能尽快处理的故障,系统管理员应立即通过电话通知上级主管领导,并保护好故障现场。

1.8?相关记录文档

1.8.1?《服务器硬件检测记录单》?保存期3年

1.8.2?《服务器开关记录表》保存期3年

1.8.3?《服务器故障处理记录单》保存期3年