网络信息安全管理制度Word下载.docx
- 文档编号:13590574
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:13
- 大小:27.11KB
网络信息安全管理制度Word下载.docx
《网络信息安全管理制度Word下载.docx》由会员分享,可在线阅读,更多相关《网络信息安全管理制度Word下载.docx(13页珍藏版)》请在冰豆网上搜索。
版本
页面
1
新制作文件,首次发行。
无
1、目的:
信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。
信息安全管理将不同层次(网络、操作系统、数据库管理系统、应用系统)上进行。
2、适用范围:
2.1机房出入管理
2.2人员管理
2.3系统维护管理
2.4数据备份管理
2.5事件处理管理
2.6数据恢复管理
2.7安全审计管理
3、职责:
3.1行政部:
维护公司信息安全,内外的正常运行,
3.2各部门:
使用网络时保证公司信息不外泄。
4、定义:
4.1角色:
角色标识、角色名、角色等级、角色描述。
4.2资源:
资源标识、资源名、资源描述。
4.3权限:
权限标识、权限名、权限描述。
4.4角色资源权限矩阵:
角色标识、资源标识、权限标识。
4.5用户:
用户标识,用户名、用户描述。
4.6用户识别:
用户标识、鉴别标识。
4.7用户角色矩阵:
用户标识、角色标识。
4.8用户资源权限矩阵:
用户标识、资源标识、权限标识。
需要说明的是,用户模型中的大部分内容应由特定的人员来制定和维护、并按特定的保密等级来保存和管理。
5、作业内容:
5.1对部门信息安全做出整体规划:
通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:
A.技术图纸。
主要存在于工程部、品质部。
B.商务信息。
主要存在于采购部、市场部。
C.财务信息。
主要存在于财务部。
D.服务器信息。
主要存在于行政部。
E.密码信息。
存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:
5.1.1来自企业外的风险
5.1.1.1病毒和木马风险。
互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;
有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
5.1.1.2不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是工程部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
5.1.2来自企业内的风险
5.1.2.1文件的传输风险。
若有员工将公司重要文件以QQ、MSN发送出去,将会造成企业信息资源的外泄,甚至被竞争对手掌握,危害到企业的生存发展。
5.1.2.2文件的打印风险。
若员工将公司技术资料或商业信息打印到纸张带出公司,会使企业信息资料外泄。
5.1.2.3文件的传真风险。
若员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,会造成企业信息的外泄。
5.1.2.4存储设备的风险。
若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息。
若有动机不良的员工,私自拆开电脑机箱,将硬盘偷偷带出公司,将会造成企业信息的泄露。
5.1.2.5上网行为风险。
员工可能会在电脑上访问不良网站,会将大量的病毒和顽固性插件带到企业网络中来,造成电脑及企业网络的破坏,更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃。
5.1.2.6用户密码风险。
主要包括用户密码和管理员密码。
若用户的开机密码、业务系统登陆密码被他人掌握,可能会窃取此用户权限内的信息资料和业务数据;
若管理员的密码被窃取,可能会被不法分子破坏应用系统的正常运行,甚至会被窃取整个服务器数据。
5.1.2.7机房设备风险。
主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。
这些风险来自防盗、防雷、防火、防水。
若这些自然灾害发生,可能会损坏机房设施,造成业务中断。
5.1.2.8办公/区域风险。
主要包括办公区域敏感信息的安全。
有些员工缺乏安全意识,在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容,若不小心被其他人拿走或听到,可能会泄露部门工作机密,甚至是公司机密。
为了保证企业信息的安全保密,公司所有人员必须严格遵守企业信息安全管理总则,以安全总则为基础,各部门具体细则为安全管理行为标准,从各个层面杜绝信息安全隐患。
5.2各部门信息隐患制订安全防范措施。
5.2.1计算机设备安全管理
5.2.1.1公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
5.2.1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许私自拆卸计算机组件,计算机出现故障时应及时向信息管理部报告,不允许私自处理和维修。
5.2.1.3发现由以下等个人原因造成硬件的损坏或丢失的,其损失由当事人如数赔偿:
违章作业;
保管不当;
擅自安装、使用硬件和电气装置。
公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。
任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。
公司会视实际情况进行处理。
5.2.1.4下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。
外人未经公司领导批准不得操作公司计算机设备。
5.2.2部门资料安全管理
5.2.2.1外接存储设备安全管理
严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。
若因出差等原因需要拷贝文件资料到存储设备中,需要向上级请示此行为,并以公司存储设备做文件拷贝。
为确保硬盘的安全,严禁任何人私自拆开电脑机箱:
①将用户主机贴上封条标签,除网络管理员外,任何人不得私自拆开机箱,若网络管理员进行电脑硬件故障排查时,拆除封条标签后,在故障排查结束及时更换新的封条标签。
网络管理员将定期检查,若发现有封条拆开痕迹,将查看视频监控记录,追查相关人责任。
②给每台电脑主机配备锁柜,将所有用户主机存放在锁柜内,锁柜钥匙统一由网络管理员保管,若需要为用户处理电脑故障时,网络管理员排除电脑故障后,要锁好主机柜,确保主机内硬盘的安全。
5.2.2.2文件传真安全管理
所有人员对外发送传真,必须经上级核实后,在对外发送,严禁个人私自在未经许可的情况下对外发送任何类型的传真文件,一经发现,所有后果将由个人承担。
在对内传真文件时,应即刻通知传真接收人接收并取走传真件,在传真结束时,应马上取走传真原件。
若因传真时没有取走传真件,导致传真件丢失,造成本部门信息外泄,则由本人承担一切后果。
5.2.2.3文件打印安全管理
所有人员不得私自将公司文件打印带出公司,一经发现,严肃处理。
若在上班时间,打印工作文件时,需要即刻在打印机处等候文件的打印,文件打印完成后马上取走,若因文件打印时有其他紧急事件,应该通知本部门人员代为领取打印文件。
禁止一切打印后未及时取走打印文件的行为,一经发现,将对本人警告,若因打印后,文件丢失,造成信息资料外泄,则由本人承担相关责任。
5.2.2.4文件的存储安全管理
所有部门人员应每周对计算机中的文件整理,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用U盘或移动硬盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;
电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。
若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。
若员工离职,在办完离职手续后,所在部门负责人应联系网络管理员协助将离职员工的工作资料拷贝到部门U盘或移动硬盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。
5.2.3办公区域的安全管理
所有部门人员每天下班时应保证办公桌的整洁,将部门重要文件资料存放在个人抽屉柜中,并确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。
若因资料没有存放好,被他人取走,造成的后果将由本人承担。
5.2.4.账户密码安全管理
使用者须妥善保管好自己的账户和密码。
严防被窃取而导致泄密。
账户及密码由网络管理员设置后通知员工,员工不得随意更改密码。
所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。
为了保护公司的信息资产,设置密码时应注意:
密码至少有8个字符长;
密码必须包含以下任一部分:
字母A-Z或a-z,数字0-9,特殊字符,例如:
$,-等。
5.2.4.1电脑密码管理:
每个员工拥有一个公司内部计算机登录账户。
新员工申请账户时需要向网络管理员提供姓名、部门、职位等信息,网络管理员将在一天内将账户信息通知其本人。
公司所有用户在分配到工作电脑时,应首先更改自己的电脑登录密码,并将个人登录密码在信息管理部登记,若更改密码后,未进行登记,一经网络管理员发现,将对该用户进行口头警告。
同时,因没有及时向网络管理员备案造成的电脑故障问题或文件丢失等问题,网络管理员不承担责任。
5.2.4.2应用系统密码管理:
所有ERP用户及OA用户都将分配到一个账户密码,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等简单密码,若密码设置过于简单,被其他用户非法登陆后,在ERP中将会非法编制篡改单据,在OA中非法冒用流程管理权限,若产生此情况,将会导致严重的后果;
严禁将ERP账号或OA账号密码透露给他人,让他人代做ERP单据或办理OA流程;
员工调离岗位或离职,所在部门负责人应及时通知网络管理员注销该员工的应用系统账户。
若因以上原因造成的信息安全后果将由本人承担。
5.2.4.3采用用户身份认证系统:
目前我公司登陆服务器采取的是静态密码认证,这种密码保护技术是最低层次的。
在企业内,容易被其他部门人员注意到服务器登陆密码,从而可能会被动机不良的员工登陆到服务器,破坏服务器数据;
在企业外,容易遭到黑客字典扫描破解密码,从而攻击各应用服务器,破坏或盗取商业数据等。
因此,我司在未来的发展规划中,要将用户身份认证当作安全的一个重大隐患,想办法解决这个问题。
这里,我们可以采取动态口令牌或USBKEY认证技术,并选择其中一种技术与公司现有的静态密码技术相结合,动态口令牌随机生成动态密码,并于60秒内自动刷新密码,无法采用数据字典扫描破解密码,让黑客攻击行为束手无策;
而USBKEY采用USB密钥,存储特定的加密算法,只有将USB钥匙接上电脑,与电脑中存储的认证软件验证通过后,才能进入。
我们通过(动态+静态)混合身份认证,或(硬件+软件)混合身份认证,保证服务器的登陆基于网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全管理 制度