1、 6/65信息化安全管理制度 信息化安全管理制度 第一章總則 第一條為規范信息化安全管理工作，確保盤錦市煙草專賣局（公司）【以下簡稱市（局）公司】信息系統與網絡資源在可控范圍內安全穩定的運行，保護現有的網絡、數據信息的安全，特制定制定本制度。 第二條通過制定本制度形成一個動態以預防為主的信息安全管理方式，通過實時的監控和分析及時發現系統潛在的安全問題和風險，及時采取相應的措施以避免問題的發生，最大限度地減少安全事件帶來的風險和損失，保證信息系統的使用安全。 第三條通過安全管理不但能夠保障己有的安全系統得到正確、有效的使用，而且能夠實際檢驗安全策略的使用情況，及時提出新的安全需求，以便及時進行升

2、級改進或實行新的安全保護措施。 第四條廣泛開展信息安全教育，進行信息、安全檢查，保證系統安全運行。 第二章適用范圍 第五條本制定適用于對組成煙草信息網絡的各種軟、 硬件設備的綜合安全管理，對安全管理中的各項具體工作進行指導。 第六條管理對象： 1.硬件設備：包括計算機主機及外設、網絡設備、存儲設備以及其它輔助設備。 2.物理環境：包括機房場地環境、設備維修、存儲環境等 3.通信線路：包括專用的通訊線路、網絡布線、用于數據通訊的電話線等。 4.軟件系統：包括網絡設備的配置、操作系統、應用軟件以及其它各相關的應用系統等。 5.文檔資料：包括設備及系統的使用說明及操作指南、參數配置表、運行操作記錄、

3、故障維護處理記錄、電子數據及文檔等。 第三章工作職責 第七條 信息中心負責市（局）公司信息系統運行情況進行監督檢查。 第九條保障市（局）公司信息系統安全運行，負責業務數據及其它重要數據的備份管理，向省局信息中心上報信息、系統運行安全報告。 第十條負責安全產品的使用、維護、升級，所有安全產品的使用，必須符合省局信息中心的審批和授權，不得擅自采購和私自試用，負責本單位的安全教育和安全管理培訓。 第四章工作程序 第十一條軟件系統安全： 軟件系統包括系統軟件及應用軟件。 1.系統軟件指操作系統軟件和數據庫系統軟件: （1）系統軟件應使用正版軟件，其選用應充分考慮軟件的安全性、可靠性、穩定性和健壯性，并

4、報上一級主管部門備案。 （2）系統軟件必須具備身份驗證功能、訪問控制功能、故障恢復功能、安全保護功能、安全審計功能、分權制約的權限控制功能及加密功能。 2.應用軟件指各業務管理信息、系統、決策支持系統、電子商務系統、辦公自動化系統及其他軟件應用系統等，應用軟件系統必須滿足軟件規范的有關要求。 第十二條各級信息中心、部門在軟件系統的安全管理中的作為： 1.系統運行前嚴格審查實施計劃的安全性，審查實施計 劃流程是否符合整體安全策略，是否制訂相應應急措施等； 2.檢查系統運行過程中相關部門安全管理規定的執行情況； 3.系統運行結束后，組織對照實施計劃評價實施效果，對整體安全體系的影響進行相應評估。

5、4.由相關技術部門提供系統運行的安全報告。 5.當系統調試完畢，應建立系統維護檔案。如果系統出現變更，應該重新對該系統作安全評估，調整安全配置，并更新相應的系統檔案，必要的時候修正整體的安全策略。 第十三條環境安全 1.機房建設必須符合國家行業建設標準和規范。 2.建立并嚴格執行機房管理制度，無關人員未經安全責任人批準嚴禁進入機房。依據有關機房管理辦法的要求，各級安全管理部門對其機房環境、機房進出、機房設施、機房物品的管理定期進行安全檢查。 3.機房工作人員必須嚴格遵守各項操作規程，定期檢查安全保障設備，確保系統安全運行及設備的安全。 4.對主機房進行開機、關機等日常的操作，建立操作程序，并建

6、立完整的設備運行日志、操作記錄及其它與安全有關的資料。 第十四條硬件設備安全 1.對主要的信息財產按安全等級進行適當的分類和標 志，并采取相應的安全保護措施，實行安全等級保護。對于處理與敏感、有價值或重要的組織財產相關的系統應基于安全需求和風險評估進行附加的控制。 2.對系統的相關計算機和數據通信設備及其連接關系，要編制與實際相符的拓撲圖，并歸檔保存。 3.業務系統和網絡的關鍵設備應有備份策略。對業務系統設備和通信線路進行定期的檢測和維護，確保隨時處于可用狀態。 4.已開通運行的衛星通信端站，未經上級管理部門批準，不得關機，不得進行中斷性測試，嚴禁擅自改變設備參數。 5.對路由器、交換機等通訊

7、設備必須采取嚴格的管理措施，設專人管理，未經批準不得隨意移動和接入。 6.對信息系統的計算機實體資源和定位狀況要進行逐項編號登記和建檔，未經批準不得隨意改變。 7.定期對硬件設備進行專業維護保養，如有故障，應組織專業人員進行處理。 8.應確定用戶對無人值守的設備進行適當的保護。安裝在用戶區域的設備，如工作站或文件服務器，需要特別的保護，以防在無人看守時遭受未授權的訪問。 第十五條軟件應用安全 1.應用軟件必須經過功能測試、試運行，確認達到設計要求后，方可正式投入使用，測試及試運行有關文檔納入文 檔管理。 2.市局（公司）各部門必須使用合法的軟件，未經信息中心批準的軟件，不得在業務系統中使用.

8、3.必須明確軟件的使用范圍和使用權限，采取有效措施，防止對應用軟件的非法修改； 4.應用軟件應根據崗位情況、人員配置等情況進行不同級別的權限控制； 5.應用軟件本身必須具備操作日志和管理日志功能，以利于事后跟蹤查詢人員使用情況； 6.軟件使用人員應經過適當的操作培訓和安全教育； 7.建立應用軟件文檔管理制度、版本管理制度及軟件分發制度，防止軟件的盜用、誤用、流失及越權使用； 8.市局（公司）各部門必須根據信息中心統一部署，安裝防病毒、網絡入侵檢測軟件等監測、檢查類安全產品。 第十六條系統操作與運行安全 1.市局（公司）各部門必須按照有關操作管理的要求，規范操作流程：進行訪問控制，采取嚴密的安全

9、措施防止無關用戶進入系統，確保應用系統的安全、穩定、持續運行。 2.企業內部所有的機器應該提供口令保護功能；用戶在設置和使用口令時，應遵循好的安全習慣和口令管理的要求。操作人員應有互不相同的用戶名，定期更換操作口令。嚴禁操作人員泄露本人的操作口令。 3.數據庫管理系統和關鍵網絡設備（如路由器、防火墻等）的口令必須由專人掌管，并要求定期更換。按分級管理、共同負責的原則，由不同人員掌管服務器操作系統口令、數據庫管理系統口令和網絡管理口令。如果用戶需要訪問多種服務或平臺，需要多個口令，應建議他們使用單一的有質量的口令，并對儲存口令提供合理的保護。 4.嚴格按崗位職責設置各崗位操作權限，各類操作系統的

10、系統操作權限設置應經信息部門負責人批準并備案。重要崗位的登錄過程應增加必要的限制措施。敏感信息、訪問必須通過身份授權認證。 5.在正常的系統運行中，所有對業務系統的實質性操作必須由操作員按權限控制要求執行，其他人員不得直接對系統或應用進行實質性操作。 第十七條操作系統、數據庫系統安全管理 1系統選用：煙草信息系統工程所選用的操作系統、數據庫管理系統必須具備與其用途相適應的安全性能； 2.口令使用管理：要嚴格加強口令保密制度的執行，杜絕使用公開或缺省的口令和用戶名稱，對關鍵用戶的口令要采用雙人監護、異地保存等方式進行管理，嚴防個人獨自以關鍵用戶進入系統； 3.系統運行監控管理：要加強系統日常的巡

11、查，及時監控用戶使用系統資源情況，對陌生用戶要及時查清來源，并 加以相應處理，對越權用戶要查明越權原因，并根據實際情況限制其使用權限； 4.系統備份管理：及時做好系統動、靜態數據的備份工作，以備系統出現意想不到的故障。 第十八條計算機病毒防范 必須建立計算機病毒防范制度，系統管理員應有較強的病毒防范意識，定期進行病毒檢測，及時更新軟件版本和漏洞補丁，發現問題及時解決。具體措施如下： 1.要求所有工作站全部安裝防病毒軟件； 2.為防止原始設備計算機病毒的侵害對新購進的計算機及設備，要組織專業人員檢查后方可安裝運行； 3.軟盤、光盤等移動存儲媒體，以及外來的軟件等，要先進行計算機病毒檢查，確認無計

12、算機病毒后才可以使用；嚴禁使用未經清查的、來歷不明的軟盤、光盤等； 4.重要計算機要定期進行計算機病毒檢查，系統中的程序要定期進行比較測試和分析； 5.在接入Internet 網時，嚴格控制下載軟件，謹慎接收電子郵件；在接收電子郵件時，不隨意打開郵件附件； 6.關鍵服務器要盡量做到專機專用，特別是具有讀寫權限、身份確認功能的認證服務器一定要專用；對共享的網絡文件服務器，應特別加以維護，控制讀寫權限，盡量不在服務器上運行無關軟件程序； 7.系統的重要數據資源要采取措施加以保護； 8.跟蹤計算機病毒發展的最新動態，及時了解計算機病毒，特別是有嚴重破壞力的計算機病毒的爆發日期或爆發條件，及時通知各部

13、門進行防范； 9.隨時注意計算機的各種異常現象，一旦發現，應立即用查毒軟件仔細檢查； 10.經常更新與升級防殺計算機病毒軟件的版本； 11.對重點崗位的計算機要定點、定時、定人作查毒殺毒巡檢； 12.當出現計算機病毒傳染跡象時，立即隔離被感染的系統和網絡，并進行處理，不應帶“毒”繼續運行，并同時上報信息中心，由信息中心派人處理。 13.接受省經濟信息中心采用定期常規檢查與特別日期專項檢查、集中檢查與分散檢查相結合方式，對計算機病毒防范管理制度的實施情況進行檢查。 第十九條網絡安全 1.新建網絡、網絡改造、網絡變更或新系統在投入使用前，必須按照規范的規定制訂相對應的網絡安全防范措施，并對新建網絡

14、或改造后網絡實施安全檢驗，未經檢驗的新建網絡或改造后網絡不允許投入使用。 2.為了保證全省行業網絡的安全，全省行業計算機網絡要嚴格控制Internet 出口數量，各單位和個人不得擅自利用 行業網絡聯入Internet 。市局公司可以根據需要建設Internet 出口，但必須符合以下要求：3.4.5點 3.Internet出口必須實行與行業內聯網的邏輯隔離，其安全方案由省局信息中心統一制定和審批； 4.有Internet出口的單位必須采取嚴格的安全保護措施，至少配置放火墻和入侵檢測措施，對Internet 提供公共服務的服務器（如WEB 服務等）應采取與行業內聯網邏輯隔離的設置，不得允許來自In

15、ternet 的用戶訪問行業網絡； 5.不得采用一臺路由器同時與Internet 和行業內聯網進行互聯。 6.禁止建立面向行業外的電子公告系統；建立面向行業內的電子公告系統，須報省局信息中心批準和備案，并建立用戶登一記和信息、管理制度； 7.禁止聯入行業網絡的計算機通過調制解調器撥號等方式登錄到其他網絡，如業務確實需要，需經同級保密委員會及信息、網絡主管部門批準。 8.存放和處理涉及國家秘密信息、的系統和網絡要與行業計算機網絡和互聯網實行嚴格的物理隔離，涉密系統的建設要符合國家保密局頒布的相關標準和要求。 9.不得將行業網絡與其他網絡直接連通，行業網絡在與外部網絡進行連接時，在外聯網的交界處（

16、和各級政府機構，如銀行、稅務等互聯的接口處），必須提供相應的安全保護 措施，并制定嚴密的訪問權限。 10.內聯網地址和域名的規劃、分配、監督和實施由省信息中心統一規劃、組織實施，各部門必須嚴格遵守，不得擅自變更，以確保行業計算機網絡的互聯互通。 11.行業網絡應該只開放與業務相關的必要的服務端口。 12.建立衛星設備管理制度、日常維護制度、技術資料管理制度等，加強衛星通信的監管，防止垃圾信息上衛星通信網，保證衛星通信網的安全穩定運行。 13.其它未進行詳細規定的網絡安全管理詳見網絡管理一章。 第二十條人員安全管理 1.全省行業信息安全技術人員應具備大專以上學歷，具有必備的計算機理論知識和相應的

17、專業技術水平、良好的職業道德和認真負責的服務意識。 2.計算機系統管理員必須熟悉、掌握本單位信息系統的資源配置，運行狀況，并建立詳細檔案。 3.關鍵技術崗位應進行嚴格審查并保持人員相對穩定，離崗時必須嚴格辦理離崗手續，明確其離崗后的保密義務，退還全部技術資料并立即更換信息系統的操作口令。 4.加強對信息安全技術人員進行業務培訓和技術培訓，實行持證上崗制，不合格或未參加培訓者不得上崗。 5.加強對信息系統使用人員進行系統安全教育，提高使 用人員有關信息系統安全管理法律、法規意識和應用水平。 第二十一條安全責任管理 1.行業網絡的上網單位要保證網絡運行安全、可靠，做到實體安全、運行安全、數據安全和管理安全。各部門必須遵守其他相關法律法規的規定，計算機網絡和信息安全系統的建設必須符合安全要求，自覺維護國家的安全和穩定，自覺保守國家、行業和單位的秘密。 2.各部門應建立安全責任制度, 指定安全管理部門和配備必要的安全管理和技術人員，相應管理和維護人員必須對本人接辦的各項事務的處理過程負責，確保行業計算機網絡和信息、系統的安全運行。 3.各類人員必須承擔相應信息系統安全管理責任，并嚴格遵守有關規