安全信息管理制度(3篇)

安全信息管理制度第八十二条实行安全信息反馈制度，是对各级管理人员安全责任的检阅，也是促进管理人员发挥职能作用的有效手段之一，对消除生产现场事故隐患有着十分重要的意义。第八十三条安全信息的_安全信息各区队从事井下工作的安全员、班组长、群众安全检查员、青年岗员、安检员、技术员、调度员及副队级以上管理人员现场检查过程中发现的安全隐患、问题，反馈的手段是：填写安全检查手册并按规定的形式进行汇报。第八十四条安全信息反馈的渠道：1.区队班组长、安全员、副队长(区长)反馈的安全信息，由区队第一责任者于反馈当日安排专人负责落实整改，对整改情况以及区队无法整改的隐患、信息，由区队负责于次日上午整理后报送矿安检科汇总；危及人身安全或重大安全隐患必须立即落实整改，本队无法整改的问题，由区队长负责，立即向部门和主管领导汇报，落实整改。2.井下安检员、调度员、技术员所反馈的安全信息由所在部门负责人把关，并于当天以问题整改通知书的形式下发有关区队，限期整改。对整改情况要有复查记录，并反馈到安检科。3.群检员、青年岗员所反馈的安全信息，分别由矿工会、团委负责以填写信息卡形式于反馈当天报送矿调度室，并由当班调度员负责通知有关区队落实整改，整改情况由群检员、青年岗员负责复查。最后统一汇总到矿安检科。4.区队第一责任者(含书记)反馈的安全信息，区队能安排整改的由区队当日整改；对区队无法整改的问题及整改情况，由区队汇总，于次日上午报送矿安检科，最后由安检科汇总。5.各部门负责人及矿领导反馈的安全信息，当班升井后填写在调度台安全信息台帐上，填写时必须指明整改单位、整改负责人和整改期限，由当班调度员负责落实到有关单位。整改情况由部门负责人复查。第八十五条安全信息的汇总与整理：1.区队由技术员或文书汇总当天所在区队反馈的安全信息并及时报送矿安检科。2.安检科设立专职人员负责安全信息的汇总、整理、分类，并及时报送有关单位及矿领导。3.对重大安全隐患及问题，每月底以事故隐患报表形式报上级有关部门协调处理。第八十六条安全信息员的规定：各区队的班组长、安全员、群众安全监督员、青年岗员、网员、井下安检员、调度员、技术员及副队级以上管理人员都是安全信息员。第八十七条安全信息的收集办法：安全信息主要是通过安全信息员所填写的安全检查手册反馈的隐患问题及矿自查、上级部门检查查出的问题收集与整理获得。第八十八条要建立安全信息反馈日报表，建立健全安全信息管理网络系统，实现集中统一管理。第八十九条安全信息管理规定：1.各区队必须自制表格，及时准确地反馈安全信息。2.所有安全信息员必须及时填写安全检查手册，并于升井后一小时内按照信息反馈渠道分别进行汇报处理，不得虚报、假报信息。3.各区队对安全信息员反馈的安全信息，必须认真抓好落实整改，重大问题，必须及时报送有关矿领导和有关部门，按四定(定整改方案、整改措施、整改负责人、整改期限)原则进行落实整改，决不能将隐患留在生产过程中。4.每月底，由主管矿领导负责召集安全信息员，对安全隐患、问题要进行全面评价、分析，_人员复查整改情况。煤矿安全生产隐患信息闭环制度为强化现场安全管理，建立安全长效机制，进一步落实各级管理人员的安全生产责任制，狠抓各类安全问题的查除整改工作，形成安全信息运行闭环，实现安全的无缝隙管理，结合公司实际，本着简单易行，便于操作的原则，制定本制度。一、安全信息中心设臵和职责(一)设臵：公司成立安全信息中心，由安全副总经理主管，设主任_名；工作人员_名。安全信息中心机控室设在公司办公楼五楼，安全信息录入室设在公司更衣楼一楼(群监站)。(二)工作方式：安全信息中心，三班安排人员工作值班。(三)职责建立完善矿各级涉及安全运行的责任制、操作规程、岗标等规章制度。建立、管理矿井安全信息数字化管理系统；收集单位和各级管理人员的安全信息，保证安全信息的及时收集反馈、整改落实；分门别类整理各类安全信息，对整理的信息进行级别分类，建立安全台帐；上报、督促、落实各类安全信息(隐患)的整改，负责每月通报一次；制作安全信息日报、旬报、月报、季报、年报、年报。存储安全信息档案；加强安全管理基础研究，不断创新管理，提高矿井安全管理水平。三、安全信息处臵流程(一)安全信息处臵流程：各级管理人员、检查人员到安全信息录入室拿自己的安全隐患记录本深入现场对照标准查出问题填写到安全隐患记录本上上井后到安全信息录入室交给信息员进行录入上网传给问题单位存在问题单位的主要负责人在问题通知单上签署整改措施及整改日期上网传给安全部和安全信息中心单位安全队长到安全部将已处理的隐患消号安监员现场跟踪复查并将结果(在已整改问题后面打勾签字，对未整改的问题要注明未整改原因)信息反馈给安全信息中心录入计算机上网信息员对到期应整改而未整改的按有关规定进行处罚并重新限定整改时间录入计算机上网直至问题整改完毕录入计算机上网。四、安全信息的管理(一)安全信息收集各级管理人员及检查人员在现场必须认真履行安全管理职责，严格按安全生产法、煤矿安全规程、煤矿操作规程、煤矿作业规程、隐患排查管理规定、三违认定标准以及公司、矿有关规定等一系列等法律法规，以严、细、实的作风查出作业现场的安全问题，上井后将安全隐患记录本交给安全部，值班人员对安全隐患筛选后交安全管理信息中心，信息员按照安全隐患记录本上的问题，录入安全局域网上发布。(二)安全信息整理信息中心负责对安全信息的整理，对每天来自各方面的安全信息按a(需集团公司解决)、b(需公司解决)、c(部室区队可以解决)三级分类，并分采掘管理、机电管理、运输管理、一通三防、其它等五类进行分类。督促存在问题单位管理人员严格按类别划分签署整改日期，信息中心在网上建立安全信息日报表及未整改安全信息台账，对每天的安全信息分类统计，把未整改的安全信息记入台帐，按采煤、掘进、机电、运输、通防、地面单位分口生成安全信息日报表，进行日清日结。报表分送安全部和隐患涉及区队、业务部室、分管副总经理、安全副总经理。内容包括前一天检查问题未整改安全信息及新增加的安全信息。(三)安全信息筛选每天有安全部值班人员对隐患记录本上的隐患进行筛选，凡现场当天处理的隐患不上网。(四)安全隐患消号每天由各单位安全队长到安全部对已处理的隐患进行消号。(五)安全信息复查安全信息的复查主要由单位跟班管理人员及安监员负责，安监员下井前将前天的安全问题通知单按分片范围分解，到现场后逐条进行复查，对未整改的安全信息与下一班安监员严格交接，并通知单位跟班管理人员签字。上井后将信息反馈给信息中心，由信息员在已整改问题后面打勾签字，对未整改的问题要注明未整改原因，进行录入，以此类推，信息员对到期应整改而未整改的按有关规定进行处罚并重新限定整改时间直至问题整改完毕。五、奖罚规定(一)凡各级管理人员及检查人员以及小分队人员下井不到现场，上井造假填写安全隐患记录本，一经查实，对责任人罚款_元。(二)安全隐患记录本日常由安全信息中心负责保存，各级管理人员及检查人员一人一本，下井时从信息中心领取，升井后交给信息中心保管。否则，对责任人罚款_元。(三)公司设安全隐患信息整改、消号奖，凡按期对隐患进行整改、消号的，对隐患整改单位、相关业务部室、分管副总经理等相关管理人员重奖。(四)各级管理人员下井所到地点，如在_小时之内因有隐患而没有查出发生事故，将按有关规定严肃分析处理。安全信息管理制度（二）一、信息安全管理责任制1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我公司不会随意公布与用户个人身份有关的资料，除非有法律或程序要求。2、所有用户信息将得到本公司_系统的安全保存，并在和用户签署的协议规定时间内保证不会丢失;3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密，未经允许不得向他人泄露。公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。我公司将严格执行本规章制度，并形成规范化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等部门参加，并确定两名安全负责人作为_处理的联系人。二、有害信息发现受理处置机制第一条一旦发现网络有害信息的，应立即启动预案，采取“及时处理、下载保存和_小时上报制度”。第二条网络有害信息处置前期工作程序：一、发现有害信息的公司员工要立即报告公司信息部，由信息部协调处理网上_，摸清情况，采取措施，最大限度地遏制有害信息在网上传播和扩散，并在第一时间内向公司主管领导及有关部门报告。二、信息部负责有害信息的界定及监控，一旦发现不良信息要马上删除(如遇紧急情况，可直接关闭服务器，暂停网络运行)。三、信息部及时对有害信息予以删除，取证留样，对有害信息的来源进行调查；在最短时间内向网络有害信息处置办公室报告情况。四、信息部要对网络安全设备的记录留存，监督检查有害信息报告、清除等情况。五、信息安全员负责调查有害信息散布的原因、经过，收集相关证据，以有利于事件处理时事实清楚，责任明确。第三条网络有害信息处置后期工作程序：一、信息部要利用网络与信息安全技术平台，对网上有害信息和公共有害短信及时进行封堵：对违规从事网上业务或传播有害信息的用户(包括论坛)，依法采取责任令整顿，予以封禁用户等行政处罚措施。二、在事实清楚、责任明确的情况下，公司网络安全管理领导小组要对事件做出处理决定：影响较大、存在问题较多的网站，要集中力量研究和解决问题。对管理混乱、事故多发、造成不良影响的网站，要追究有关责任人责任。三、有关事件的处置经过、结论等相关事宜，一律由信息部统一对外宣传。四、做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费投入，要在技术管理和软件开发利用上下工夫，提高网络信息安全管理技能。网站服务器必须_必要的信息安全软件。三、有害信息投诉受理处置机制_投诉中心设在公司信息部。_投诉的受理和回复工作统一由信息部设专人负责，向社会公开投诉_号码，设置_箱。受理的有害信息投诉事件主要指单位和个人利用我公司网络制作、复制、查阅和下载下列信息的事件：1.煽动抗拒、破坏宪法和国家法律、行政法规实施；2.煽动分裂国家、破坏国家统一和民族团结、推翻_制度;3.捏造或者歪曲事实，散布谣言扰乱社会秩序;4.侮辱他人或者捏造事实诽谤他人;5.宣扬封建_、_秽、_、_、凶杀、_等。_公然侮辱他人或捏造事实诽谤他人的；7.损害网站形象和网站利益的；8.其他违反宪法和法律、行政法规的。_投诉受理中心对公众_、投诉事件，按集中管理、登记的原则办理，由信息部带领网络安全小组集中处理，并将处理结果备案。对较重大有害信息事件，应立即上报主管领导。_投诉受理中心受理的事件，要做到即接快办；夜间、节假日值班期间接到的投诉_，应于次日或节假日后的第一个工作日办理，对需紧急办理的重大信息安全事件可先处理后登记。负责查办的相关人员接到交办的投诉_事件后应及时安排办理，要求在法定时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明理由，可适当延长处理时间；处理结果应及时反馈给_投诉受理中心，由_投诉受理中心反馈给_人。在处理有害信息投诉事件的记录、登记、交办工作流程时，应填写相应表单，并随结果报告一同存档。处理人员应对重大有害信息事件_人或要求保密者做到保密，有关重大的有害信息事件及处理过程不得_。四、重大信息安全事件应急处置和报告制度为预防和及时处置网络_，保证网络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案。一、在公司领导的统一管理下，贯彻执行_计算机信息系统安全保护条例、_计算机信息网络国际互联网管理暂行规定等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。二、信息网络安全事件定义1、网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻_制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；公然侮辱他人或者捏造事实诽谤他人；宣扬封建_、_秽_、_、凶杀、_；发送危害国家安全、宣扬“_”等_及_势力的信息；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。2、网内网络应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生_事件。3、在网站上发布的内容违_的法律法规、侵犯知识产权等，已经造成严重后果。三、加大培训和宣传力度，加强和完善互联网安全管理，设置专门管理部门，采取统一管理体制，落实负责人。各部门要建立健全内部安全保障制度，按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，加强信息的_和备案工作，确保网络与信息安全。加强我公司互联网络信息安全管理，连接国际互联网的计算机用户绝对不能存储涉及国家_、公司内部_的文件。四、加强信息_工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。各级各类服务器提供信息服务，必须事先登记、审批，建立使用规范，落实责任人，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)，加强网络设备日志分析，及时收集信息，排查不安定因素。加强bbs、留言板等交互式栏目的专人管理，交互式栏目内容发布实行审核制度。对于非法网站要做到：发现一个，禁止一个，并及时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。五、网络部对互联网实施_小时值班责任制，必要时实行_。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控，若发现有异常行为应立即关闭该用户的网络连接，及时记录在案，并对其警告和批评教育，严重违法行为立即上报有关部门。六、加强_的快速反应。网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到：(1)及时发现、及时报告，在发现后在第一时间向上一级领导或部门报告。(2)保护现场，立即与网络隔离，防止影响扩大。(3)及时取证，分析、查找原因。(4)消除有害信息，防止进一步传播，将事件的影响降到最低。(5)在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。(6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交公司及国家司法机关处理，追究部门负责人和直接责任人的行政或法律责任。七、及时整顿，加强防范。各部门要积极配合上级网络安全管理部门的例行检查，并接受其技术指导。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，完善网络安全机制，防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制，实现公司信息安全管理，创造良好的网络环境。八、在重要、敏感时期，加大网络安全教育宣传力度，加强员工的法律意识和安全意识教育，提高其安全意识和防范能力；开展安全文明上网的教育引导工作，净化互联网网上环境，及时收集信息，排查不安定因素；坚持_小时值班制度，开通值班电话，保证与上级主管部门、电信部门和当地公安机关的热线联系，积极做好预防工作，发现问题及时处理，防患于未然。九、做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即_人员自救，并报警。十、网络安全事件报告与处置。事件发生并得到确认后，有关人员应立即将情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，有关违法事件移交公安机关处理。五、信息安全管理政策和业务培训制度第一章信息安全政策一、计算机设备管理制度1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、_、强腐蚀、强磁性等有害计算机设备安全的物品。2.非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。二、操作员安全管理制度1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.2.系统管理操作代码的设置与管理：(1)、系统管理操作代码必须经过经营管理者授权取得;(2)、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护;(3)、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权;(4)、系统管理员不得使用他人操作代码进行业务操作;(5)、系统管理员调离岗位，上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;3.一般操作代码的设置与管理(1)、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。(2)、操作员不得使用他人代码进行业务操作。(3)、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。三、_与权限管理制度1._设置应具有安全性、保密性，不能使用简单的代码和标记。_是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。_分设为用户_和操作_，用户_是登陆系统时所设的_，操作_是进入各应用系统的操作员_。_设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串;2._应定期修改，间隔时间不得超过一个月，如发现或怀疑_遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。3.服务器、路由器等重要设备的超级用户_由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理，并由_设置人员将_装入_信封，在骑缝处加盖个人名章或签字后交给_管理人员存档并登记。如遇特殊情况需要启用封存的_，必须经过相关部门负责人同意，由_使用人员向_管理人员索取，使用完毕后，须立即更改并封存，同时在“_管理登记簿”中登记。4.系统维护用户的_应至少由两人共同设置、保管和使用。5.有关_授权工作人员调离岗位，有关部门负责人须指定专人接替并对_立即修改或用户删除，同时在“_管理登记簿”中登记。四、数据安全管理制度1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责;2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。4.数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。5.数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。6.需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。7.非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止_。9.运行维护部门需指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。10.营业用计算机未经有关部门允许不准_其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等。五、机房管理制度1.进入主机房至少应当有两人在场，并登记“机房出入管理登记簿”，记录出入机房时间、人员和操作内容。2.信息部人员进入机房必须经领导许可，其他人员进入机房必须经信息领导许可，并有有关人员陪同。值班人员必须如实记录来访人员_、进出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经信息部负责人批准同意后有关人员监督下进行。对操作内容进行记录，由操作人和监督人签字后备查。3.保持机房整齐清洁，各种机器设备按维护计划定期进行保养，保持清洁光亮。4.工作人员进入机房必须更换干净的工作服和拖鞋。5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房，严禁携带与上机无关的物品，特别是易燃、_、有腐蚀等危险品进入机房。6.机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。7.严禁在通电的情况下拆卸，移动计算机等设备和部件。8.定期检查机房消防设备器材。9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料，对废弃储蓄介质和业务保密资料要及时销毁(碎纸)，不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。10.主机设备主要包括。服务器和业务操作用pc机等。在计算机机房中要保持恒温、恒湿、电压稳定，做好静电防护和防尘等项工作，保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，保证机房空调的正常运行。12.计算机机房后备电源(ups)除了电池自动检测外，每年必须充放电一次到两次。第二章业务培训制度一、培训制度1、业务学习培训计划由信息部根据年度工作计划作出安排。2、成立业务学习小组，定期_业务学习；3、工作人员每年必须参加不少于_个课时的专业培训。4、工作人员必须完成布置的学习计划安排，积极主动地参加信息部_的业务学习活动。5、有选择地参加其它行业和部门举办的专业培训，鼓励参加其它业务交流和学习培训。6、支持、鼓励工作人员结合业务工作自学。二、培训内容：1.计算机安全法律教育(1)、定期_本单位工作人员认真学习网络安全制度、计算机信息网络安全保护等业务知识，不断提高工作人员的理论水平。(2)、负责对企业的网络用户进行安全教育和培训。(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训，提高操作员的防范能力。2.计算机职业道德教育(1)、工作人员要严格遵守工作规程和工作制度。(2)、不得制造，发布虚假信息，向非业务人员提供有关数据资料。(3)、不得利用计算机信息系统的漏洞偷窃客户资料，进行诈骗和转移资金。(4)、不得制造和传播计算机病毒。3.计算机技术教育(1)、操作员必须在指定计算机或指定终端上进行操作。(2)、机房管理员，程序维护员，操作员必须实行岗位分离，不得串岗，越岗。(3)、不得越权运行程序，不得查阅无关参数。(4)、发现操作异常，应立即向机房管理员报告。三、培训方法：1.结合专业实际情况，指派有关人员参加学习。2.有计划有针对性，指派人员到外地或外单位进修学习。3.举办专题讲座或培训班，聘请有关专家进行讲课。4.所有上岗工作人员或换岗工作人员应经过培训考核合格，方能上岗。5.自订学习计划，参加专业函授学习成绩及时反馈有关部门，良好学业者给予奖励。安全信息管理制度（三）第一章总则第一条为了保护_公司计算机网络系统的安全、促进计算机信息系统的应用和发展、保证网络和信息系统的正常运行，特制定本安全管理制度。第二条本管理制度所称的计算机网络系统，是指由_公司投资购买、建设的计算机网络主、辅节点设备、配套的网络线缆设施及服务器、工作站所构成的软件、硬件的集成环境。第三条本管理制度所称计算机信息系统。由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第四条本办法适用于_公司。第二章_机构和职责第五条在信息安全工作管理中，安全管理员的职责包括：(一)负责公司整个计算机、网络设备、安全设备安全管理的日常工作。(二)开展公司范围内安全知识的培训和宣传工作。(三)监控公司安全总体状况，提出安全分析报告。(四)了解行业动态，为改进和完善安全管理工作，提出安全防范建议。(五)及时向上级领导、相关负责人报告计算机安全事件。(六)安全人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位_。(七)安全人员应定期参加下列计算机安全知识和技能的培训：计算机安全法律法规及行业规章制度的培训；计算机安全基本知识的培训；计算机安全专门技能的培训等。第六条在信息安全工作管理中，系统管理员的职责包括：(一)负责系统的运行管理，实施系统安全运行细则。(二)严格用户权限管理，维护系统安全正常运行。1/12(三)认真记录系统安全事项，及时向计算机安全人员报告安全事件。(四)对进行系统操作的其他人员予以安全监督。(五)负责系统维护，及时解除系统故障，确保系统正常运行。(六)不得_与系统无关的其他计算机程序。(七)维护过程中，发现安全漏洞应及时报告计算机安全人员。第七条在信息安全工作管理中，网络管理员的职责包括：(一)负责网络的运行管理，实施网络安全策略和安全运行细则(详见网络系统的管理规范)。(二)安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行。(三)监控网络关键设备、网络端口、网络物理线路，防范_，及时向计算机安全人员报告安全事件。(四)对操作网络管理功能的其他人员进行安全监督。第三章机房安全管理第八条机房安全建设和改造方案应通过上级保卫部门的安全审批。第九条机房安全建设应通过上级保卫部门_的安全验收。第十条机房应按重要性进行分级管理，分级标准按有关规定执行。第十一条机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。严禁与机房业务无关的人员进入机房。第十二条计算机机房实行分区管理原则。核心区实行_小时连续监控，生产区实行工作时间连续监控，辅助区实施联动监控。第十三条机房建设应当符合下列基本安全要求：(一)机房周围_米内不得存在危险建筑物，如加油站、煤气站等。(二)机房(含屏蔽机房)应当埋设专用接地线，不得和其它接地线相连。(三)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。(四)机房应_门禁系统、防雷系统、监视系统、消防系统、报警系统，并与当地公安机关110联网。(五)机房应设专用的供电系统，配备必要的ups和发电机。第十四条机房是重点保护的要害部位，机房主管部门应依照安全第一的原则，建立、健全严格的机房安全管理制度，如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等，并定期检查制度执行情况。2/12第十五条监控设备的_应符合安全保密原则，确保监控的安全规范运作，防止监控信息的_。第十六条机房严禁无关人员进出，门禁系统的钥匙应严格发放，对于岗位变动的人员，及时收回原来门禁系统的钥匙。第十七条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准，外来人员进出机房还须办理登记手续，并由专人陪同。参观主机房，须经有关领导批准方可，参观时必须有机房管理员陪同。第十八条严禁将易燃_和强磁物品及其它与机房工作无关的物品带入机房。第十九条机房内保持肃静，严禁在机房内游艺或进行非业务活动。进入机房的工作人员，都必须严格遵守机房的安全、防火制度，严禁烟火。不准在机房内吸烟。第二十条机房内所有设备、仪器、仪表等物品要妥善保管，向外移(带)设备及物品，需有主管领导的批示或经系统管理员批准，方可拿出机房。第二十一条发生机房重大事故或案件，机房主管部门应立即向有关单位报告，并保护现场。第四章设备维修保养管理第二十二条只有得到授权的维护人员才能够对设备进行维修和保养。第二十三条注意设备的保养和用电的安全，定期对设备进行检查，及时消除隐患。第二十四条计算机信息网络系统的设备原则上由本单位的技术人员进行检修。不能检修的，尽可能请维修人员上门维修。第二十五条计算机信息网络系统的设备必须外出修理的，应当经领导批准，并清理设备内部存贮的_信息(如硬盘格式化等)，方可外出进行修理。第二十六条计算机设备的采购需满足国家以及行业的相关安全保密规定。第五章网络安全管理第二十七条网络建设方案应通过上级计算机安全主管部门的安全审批。第二十八条网络投入使用前应通过计算机安全主管部门_的安全测试和验收。第二十九条在网络的出口出应该配备有相应的安全设备。第三十条网络建设中涉及网络安全的资料，应备案建档，统一管理。相关的_和帐号应由专人管理。第三十一条网络建设应符合下列基本安全要求：(一)网络规划应有完整的安全策略。(二)能够保证网络传输信道的安全，信息在传输过程中不会被非法获取。3/12(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。(四)应具备必要的网络监测、跟踪和审计的功能。(五)应根据需要对网络采取必要的技术隔离措施。(六)能有效防止计算机病毒对网络系统的侵扰和破坏。(七)应具有应付突发情况的应急措施。(八)对于建设竣工文档应由专人管理，并且以光盘介质和纸质两种方式进行存档。第三十二条网络通信应符合下列基本安全要求：(一)各部门之间进行vlan划分。(二)对重要服务器区、重要科室部门，实现严格的网络访问控制。(三)对联网的计算机及其网络设备和通讯设备的_、使用，应建立健全安全保护管理制度，落实安全保护措施，以防“黑客”侵入和用户非法越权操作。(四)存有重要数据的计算机，不得擅自与国际互联网联网。(五)内部有权限上网的用户不能将_通过网络进行外传。(六)网络管理员在内部网络与外网直接的防火墙或路由器上设置安全访问策略，严格限制内外网之间的访问。(七)接入国际互联网的计算机要有专人进行管理，对上网内容须进行必要的检查。(八)任何用户不得利用国际联网危害国家安全、泄露国家_，不得侵犯和危害公司的利益，不得从事违法犯罪活动。第三十三条访问互联网应符合下列基本安全要求：(一)_系统不得与境外机构、外国驻华机构、国际计算机网络及国内公众计算机信息系统联网。(二)不得浏览“_”或传播非法内容(如_，发动言论等)的网站。(三)不得在网上传播非法内容。(四)禁止下载非法的或有危害的软件。(五)没有_防病毒软件的计算机不得访问互联网。第三十四条重要网络设备应放置在中心机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第三十五条网管设备属专管设备，必须严格控制其管理员_。第三十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第三十七条改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。4/12第三十八条与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必须采用一人一帐户的访问控制。第三十九条网络管理人员应随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告计算机安全人员。第四十条有权限的单位在使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。第四十一条网络扫描、监测结果和网络运行日志等重要信息应备份存储。第四十二条联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。第四十三条严禁超越网络管理权限，非法操作业务数据信息，擅自设置路由与非相关网络进行连接。第四十四条机房内交换机上的未被使用的空闲端口应设置为不启用状态。第六章人事安全管理第四十五条人员管理应符合下列基本安全要求：(一)各部门遴选_系统的工作人员，应当按机要人员的标准，先_后录用；并对其进行经常的保密教育，要求严格遵守国家工作人员保密守则。对不适宜在_系统工作的人员应及时调整。(二)建立安全培训制度，进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。定期_对新进公司的职员进行安全管理培训。(三)对关键岗位人员的进行安全制度和常识的定期考核、各部门人员职责的明确。(四)网络管理员、安全管理员、普通操作员岗位分离。(五)需要上外部互联网用户必须与信息中心办理上网申请，严格执行安全保密制度。(六)内部用户对网络上有害信息应该及时控制并删除，不得传播。(七)对安全事故、案件等应该及时上报安全管理办公室，并作日志记录。(八)网络管理员应定期检测网络运行情况，安全管理员必须定期检查系统安全情况。(九)有关信息安全条例及时上安排上网、并转发给用户学习。(十)发现异常用户登录，应及时处理并上报安全管理办公室备案。第四十六条多人负责原则：(一)每一项与安全有关的活动，都必须有两人或多人在场。一为互相监督，二为一旦出现擅自离职，可以保证系统的正常运行。而且应该签署工作情况记录，5/12以证明安全工作已得到保障。(二)以下各项是与安全有关的活动：访问控制使用证件的发放与回收。信息处理系统使用的媒介发放与回收。处理保密信息。硬件和软件的维护。系统软件的设计、实现和修改。重要程序和数据的删除和销毁等。第四十七条任期有限原则。一般地讲，任何人最好不要长期担任与安全有关的职务，为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。工作人员在调离本岗位后，应对其所涉及到的权限及口令等进行重新设定。第四十八条职责分离原则：(一)在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。(二)出于对安全的考虑，下面每组内的两项信息处理工作应当分开：计算机操作与计算机编程。_资料的接收和传送。安全管理员和网络管理员。应用程序和系统程序的编制。访问证件的管理与其它工作。计算机操作与信息处理系统使用媒介的保管等。第四十九条人员调离时安全管理应符合下列基本安全要求：(一)根据人员安全保密管理，对工作调动和离职人员要及时调整相应的授权。(二)在宣布人员调离的同时，应马上收回调离人员的各项权限，包括取消帐号，收回相关房门钥匙，更换其原来管理的系统的访问口令，并向被调离人员申明其保密义务。(三)涉及科研、开发及其他重要业务的技术人员调离时，应确认对业务不会造成危害后方可调离。(四)人员的录用调入必须经人事_技术部门的考核和接受相应的安全教育。第七章系统及应用安全管理第五十条系统运行的基本要求：(一)对于各个信息系统的使用应建立相应安全操作规程与规章制度。(二)指定专人负责启动、关闭重要计算机系统和相关设备。6/12(三)指定专人对系统运行状况进行监视，及时发现问题并报告上级。(四)记录内部网络拓扑情况，记录各计算机系统的ip地址、网卡地址、系统配置，以在发生安全问题时，及时找到相关系统。(五)各个信息系统的运行场所应满足相应的安全等级要求。(六)各个信息系统应配备必要的计算机病毒防范工具。(七)重要的信息系统应配备必要的备份设备和设施。第五十一条系统数据安全管理的要求：(一)计算机信息系统应定期进行数据备份，并检查备份介质的有效性。(二)应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号，并标明备份日期、密级及保密期限。(三)应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性。(四)应建立备份介质的销毁审批登记制度，并采取相应的安全销毁措施。(五)未采取保密措施的_系统(含个人计算机)，不得用于采集、处理、存贮、传输和检索涉及公司_的信息(以下简称_信息)。(六)重要信息系统使用的计算机设备更换或报废时，应彻底清除相关业务信息，并拆除所有相关的_选配件，由使用部门登记封存。第五十二条服务器安全管理要求：(一)系统中各服务器为应用系统、安全系统专用，不得用于其他用途。(二)未经许可，服务器中不得_与系统无关的软件。(三)系统中各主要服务器不准开设文件共享服务，若需进行文件的传输与拷贝，可开通ftp服务。(四)网络管理员应建立完整的计算机运行日志，操作记录及其它与安全有关的资料。第五十三条个人计算机安全管理要求：(一)未采取保密措施的个人计算机(含便携机，下同)，不得作为临时终端检索_系统的信息，不得与_系统联网。(二)个人计算机存贮_信息应当采取保密措施，并标明密级，按密级文件进行管理，不得在公共场所存放。(三)个人计算机不得_和使用会影响网络性能的工具软件，如网络扫描器、黑客攻击工具等。(四)个人计算机不得_与工作无关的软件，如游戏、聊天、炒股软件等。第五十四条数据库安全管理要求：(一)数据库的各个用户的默认_应该被重新设置为新的_，且_由数字7/12和字母共同组成，_长度不小于_位。(二)严格设置和限制数据库用户的访问权限，容许用户只访问被批准的数据，以及限制不同用户有不同的访问模式。(三)开启数据库日志功能，数据库管理员定期查看日志，查找异常情况，并将数据库日志进行备份。(四)若网络系统中采用了数据库审计系统，数据库审计系统的管理员应经常注意数据库审计系统的报警情况，以及时作出安全响应措施。(五)数据库管理员应了解数据库安全漏洞情况及相应的解决方法，如及时为数据库升级或打好相应的补丁。(六)对重要数据库定期进行备份。第五十五条系统运行平台的安全管理要求：(七)系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。(八)系统管理员应屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入。(九)_系统的操作系统应当建立用户身份验证、访问权限控制等保密防御机制和审计机制。(十)重要的_系统，应当建立具有实时报警功能的监控系统。(十一)传输重要信息，应当采用数字签名技术。(十二)_系统各类数据库应当建立用户身份鉴别、访问权限控制和数据库审计等保密措施，重要的数据应当加密存放。(十三)系统管理员应及时_正式发布的系统补丁，修补系统存在的安全漏洞。并负责应用软件和数据库系统的升级和打补丁。(十四)系统管理员应启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。(十五)系统管理员不得泄露操作系统、数据库的系统管理员帐号、_。(十六)联网设备的ip地址及网络参数，必须按照网络管理规范及其业务应用范围进行设置，不得随意修改。(十七)安全管理员使用扫描工具或请外部专用人员定期对内部网络系统进行安全扫描。(十八)对于已经发现的操作系统和应用软件漏洞和解决方法，安全管理员应及时告知系统管理员及内部职员，并及时进行解决。第八章数据安全管理第五十六条本制度所指的信息数据，包括存储在计算机硬盘、磁道机、磁盘阵8/12列、光盘塔等电子信息数据，还包括以纸为信息载体的记录内部网络情况及信息系统等资源的文档。第五十七条公司各个部门必须建立完善的业务数据管理制度，对业务数据实施严格的安全保密管理。各个业务部数据信息应保存一年以上。第五十八条数据备份应符合下列基本安全要求：(一)使用数据备份软件对需要长期保存的重要数据进行快速有效的数据备份工作。(二)各部门重要数据的备份一般保证有多份(最少两份)，并异地存放，保证系统发生故障时能够快速恢复。存放备份数据的介质必须具有明确的标识，并明确落实异地备份数据的管理职责。(三)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。(四)建议第一次备份时作一次系统数据的全备份，以后每天作一次增量备份，每周作一次全备份。(五)数据备份过程中，应确保备份数据源和备份目的介质之间数据传输安全。(六)数据备份的存储介质应设有严格的访问策略限制。(七)备份数据应仅用于明确规定的目的，未经批准不得它用。(八)无正当理由和有关批准手续，不得查阅备份数据。经正式批件查阅数据时必须登记，并由查阅人签字。(九)保密数据不得以明码形式存储和传输。(十)根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。(十一)注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。(十二)任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。第五十九条_介质应符合下列基本安全要求：(一)_系统存贮_信息的介质(含磁盘、磁带和光盘，以下简称_介质)，应当由专人负责保管，_介质应当与非密介质分开保管。(二)_介质应当按密级文件进行管理，标明密级并造册登记，收发、传递和使用应当有审批手续和传递记录。(三)_介质应当有防拷贝措施，拷贝_信息要经领导审批，拷贝的_介质按原_介质进行管理。(四)_介质不得降低密级使用和记录非密信息，无保存价值的_介质应当报领导批准后销毁，并作好销毁记录。9/12(五)_介质不得到境外修理。第六十条数据管理应符合下列基本安全要求：(一)公司内部信息数据及网络应用情况要实施保密措施。信息数据资源保密等级可分为：(1)可向inter_公开的；(2)可向内部公开的；(3)可向特定服务器区公开的；(4)可向有关部门或个人公开的；(5)仅限于本部门内使用的；(6)仅限于个人使用的。(二)公司内各部门计算机数据管理实行负责人责任制，各部门指定专人负责本部门计算机数据管理工作。保障本部门计算机数据的安全运行，对本部门的计算机数据及时进行分类登记、备份，随时检测、清除计算机病毒，使用病毒防护工具恢复被病毒感染的数据。(三)计算机数据中涉及国家和商业_的信息应采取技术加密、保密措施，并编制操作_，任何人不准泄露操作_。操作_要定期更改。如发现失、_现象应及时向有关部门报告。(四)传递应予保密的数据，应通过符合保密要求的邮件等方式进行。(五)在数据采集、传递、加工和发布中违反报名规定，给国家和社会造成危害的，对直接责任人要给予行政处分，情节严重的，要追究刑事责任。(六)记录有公司内部网络拓扑情况、网络地址、系统配置等的电子文档，应由网络管理员妥善保管，加密存储。相关的纸介质文档，也应妥善保管在安全处，未经上级批准不得借阅或复印。(七)数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，由信息部门技术人员进行现场技术支持。数据恢复后，必须进行验证，确保数据恢复的完整性和可用性。(八)数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。(九)需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。(十)计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备10/12存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。(十一)管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止_。第九章病毒防治管理第六十一条网络中所有联网的服务器和客户端均应_病毒防护系统软件，若病毒防护软件带有集中管理功能，则对网络用户实现病毒防护软件的统一设置，不容许用户私自卸载防病毒软件，不容许用户禁止实时病毒扫描功能。第六十二条安全管理员负责更新防病毒软件。第六十三条定期进行病毒扫描，发现病毒立即处理；设置病毒防护软件自动扫描为每周至少一次。第六十四条外面进来的信息介质必须经过病毒扫描、病毒清除后才能使用。第六十五条计算机使用人员在使用