在当今社会生活中,制度的使用越来越多,制度是一种需要共同遵守的规章制度。如何制定一个合适的制度?以下是小编为您收集的《安全信息员管理制度》,欢迎阅读,希望大家能够喜欢。
第一篇:安全信息员管理制度
网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度
附件八:网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度
根据《中华人民共和国计算机信息系统安全保护条例(国务院)》、《中华人民共和国计算机信息网络国际联网管理暂行规定(国务院)》、《计算机信息网络国际联网安全保护管理办法(公安部)》等规定,常武医院将认真开展网络与信息安全工作,明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对一切不良、有毒、违法等信息进行过滤、对用户信息进行保密,确保网络信息和用户信息的安全。
一、网站安全保障措施
1、网站服务器和其他计算机之间设置防火墙,拒绝外来恶意程序的攻击,保障网站正常运行。
2、在网站的服务器及工作站上安装相应的防病毒软件,对计算机病毒、有害电子邮件有效防范,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并根据需要将重要信息向相关部门汇报。
5、网站信息服务系统建立多种备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能及相关端口,并及时修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名、密码和验证码并绑定IP,以防他人非法登陆。
8、网站提供集中管理、多级审核的管理模式,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。
9、不同的操作人员设定不同的用户名和操作口令,且定期更换操作口令,严禁操作人员泄漏自己的口令;对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员的操作记录。
二、信息安全保密管理制度
1、充分发挥和有效利用常武医院医疗信息资源,保障常武医院门户网站的正常运行,对网络信息进行及时、有效、规范的管理。
2、在常武医院门户网站服务器上提供的信息,不得危害国家安全、泄露国家秘密;不得有害社会稳定、治安和有伤风化。
3、本院各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息引起的任何法律责任;
4、各部门指定专人担任信息管理员,负责本网站信息发布工作,不允许用户将其帐号、密码转让或借予他人使用;因密码泄密给本网站以及本院带来的不利影响由泄密人承担全部责任,并追究该部门负责人的管理责任;
5、不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、商标、著作权、商业秘密或其他专属权利之内容加以上载、张贴。
6、所有信息及时备份,并按规定将系统运行日志和用户使用日志记录保存3月以上且未经审核不得删除;网站管理员不得随意篡改后台操作记录;
7、严格遵循部门负责制的原则,明确责任人的职责,细化工作流程,网站相关信息按照编辑上传→初审→终审通过的审核程序发布,切实保障网络信息的有效性、真实性、合法性;
8、遵守对网站服务信息监视、保存、清除和备份的制度,经常开展网络有害信息的排查清理工作,对涉嫌违法犯罪的信息及时报告并协助公安机关查处。
三、用户信息安全管理制度
常武医院门户网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
① 违反相关法律法规或本网站服务协议规定;
② 按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③ 因维护社会个体和公众的权利、财产或人身安全的需要; ④ 被侵害的第三人提出合法的权利主张;
⑤ 为维护用户及社会公共利益、本网站的合法权益的需要; ⑥ 事先获得用户的明确授权或其它符合需要公开的相关要求。
4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。
6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
常武医院将严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。
单位(章):
年
月
日
第二篇:食品安全协管员、信息员管理制度
协管员、信息员管理制度
协管员、信息员主要由村(社区)干部担任,一般应具有初中以上文化程度。但是由于这些人员情况比较复杂,文化素质相对不高,必须建立起完善的管理制度,切实增强他们的履职能力。
一、纪律管理制度
(一)协管员、信息员没有执法权,只能协助食品安全监管部门履行职责,不得直接从事或参与罚没,不得扣押他人证件或财物等。
(二)协管员、信息员要注意遵守保密条例和制度,不得泄漏有碍食品安全监督执法工作的信息。
(三)市场监管协管员、信息员要廉洁奉公,不得接受涉案单位(个人)可能有碍案件查处的馈赠和宴请。
(四)协管员、信息员要恪守职责,不得利用食品安全协管人员的便利违规从事食品生产经营活动。
(五)协管员、信息员要行为规范,不得有假公济私等违法、违规行为。
二、巡查检查制度
协管员、信息员负责本网格内食品安全日常巡查检查。巡查检查对象是本网格内从事种植、养殖、食品生产、加工、销售的种植养殖场单位(户)、食品生产加工单位、超市(副食品店)、食品批发企业、食品配送中心、集贸市场、餐饮经营单位、食品摊贩等。定期巡查检查每月不少于1次,重点要把好“证、人、物、票、洁”五个方面。
(一)“证”就是检查食品生产经营单位的证照;
(二)“人”就是检查食品生产经营单位从业人员的健康证明和
卫生知识培训合格证;
(三)“物”就是检查食品生产经营单位内的食品是否处于保质期或有效期内,并查看食品颜色是否正常,标签标识是否齐全;
(四)“票”就是检查食品生产经营单位采购的食品及原辅料的票证,要留存供货方盖有公章的营业执照、食品生产(流通)许可证等复印件及每笔购物凭证或送货单,确保可溯源;
(五)“洁”就是检查食品生产经营单位的环境卫生,内外环境要整洁,食品放置要隔墙离地,分类有序摆放,食品和非食品要分架分区摆放。
在巡查检查过程中,认真做好现场巡查检查工作记录,对违法、违规生产经营等危害食品安全的行为应立即制止,及时上报乡镇(街道)食安办及相关食品安全监管部门,并积极协助相关食品安全监管部门依法进行查处。
食用移动监管云平台的地方,协管员、信息员还要对巡查的现场进行拍照或二维码扫描,对食品生产经营单位的违规行为应及时拍照并上传乡镇(街道)食安办信息处理平台,供相关部门调查处理。
三、信息报送制度
(一)全面掌握辖区涉及食品生产经营单位数、基本情况(包括种养殖、生产、定点屠宰、流通、餐饮等)以及动态变化情况,定期整理和汇总,上报上级网格及辖区食品安全监管部门。
(二)在日常巡查、排查中,发现辖区内有生产、销售假冒伪劣食品、“三无”食品的违法行为和无证无照从事食品生产经营的线索,要立即报告上级辖区食品安全监管部门和上级网格。
(三)及时向辖区食品安全监管部门反馈网格内食品生产经营单- 23
6、对行政相对人索、拿、卡、要钱物的。
7、以检举为名威逼、利诱行政相对人的。
8、捏造事实,编造谎言,陷害报复行政相对人的。
9、有其他违法违规违纪行为的。
第三篇:信息安全管理制度
信息工作管理制度
第一章 总 则
第一条 为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。
第二条 本制度适用范围为信息与监控中心,其他单位可参照执行。
第二章 岗位管理
第三条 业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。
第四条 机房运维人员根据运维合同规定由机房管理部门对其实行管理。
第五条 信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。
人员岗位及职责
(一)系统管理员
系统管理员是从事服务器及存储设备运行管理的人员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。
1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。
2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。
3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。
4、负责指定的服务器操作系统的管理口令修改。
5、负责制定、执行服务器及存储设备故障应急预案。
(二)业务管理员(业务联系人)
业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。
1、负责维护业务系统的运行及业务系统的安装环境。
2、负责制定、执行业务系统及其数据的备份计划。
3、负责业务数据的数据备份及数据恢复。
4、负责制定执行本业务系统的故障应急预案。
(三)网络管理员
2 网络管理员是网络及网络设备运行管理的管理人员,业务上应具备规划大型网络的能力,网络故障分析的能力。
1、负责日常监控网络运行,保持网络安全、稳定、畅通。
2、负责网络、安全设备的资料登记,软件保管及设备维修。
3、负责网络、安全设备的配置情况及针对相关业务配置参数设置,并备份各个设备的配置文件。
4、负责网络、安全设备的编号和调配。
5、负责网络资源规划和网络布线配线架的管理。
6、负责对网络的效能进行评价,提出网络结构、网络技术和网络管理的改进措施。
7、负责制定和执行网络故障应急预案。
(四)安全管理员
安全管理员是网络安全、系统安全进行风险评估的管理人员,业务上应具备文字处理的能力、划分系统保护定级及系统恢复定级的能力、协调沟通的能力。
1、负责定期对网络、操作系统等进行安全漏洞扫描,通知各相关技术人员并给予指导。
2、负责组织实施信息安全风险评估,报告。
3、负责组织人员进行安全培训。
4、负责确定系统保护定级和划分系统恢复等级。
5、负责配合省公安厅和经信委的信息安全检查。
(五)安全审计员
安全审计员是审计网络安全策略、安全防护、角色权限的管理人员。业务上应具备办公及应用软件安全分析的能力、系统安全风险策略及数据安全风险策略分析的能力、组织协调的能力。
1、负责办公软件和应用软件的安装和维护。
2、负责重要系统的用户角色权限的审计。网络安全、病毒防护的审计。
3、负责数据备份与灾难恢复的审计。
4、协助进行网络带宽分配、网络访问控制、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进行测试 。
5、负责重要系统软硬件获取应用的审计。
6、负责应急预案的审计,并组织应急演练。 第六条 信息工作人员与机房运维人员都必须遵守《山东省环境保护厅环境信息网络管理维护规范》,签订信息安全责任书。
第七条 对违反信息安全操作规范或严重疏忽,根据造成的后果的大小,可对信息工作人员的当年年度考核评定为不合格或职务晋升、评选先进等实行一票否决。人事关系隶属其他部门人员通知相关部门负责人,根据厅有关规定进行
4 处理。造成重大事故,构成犯罪的,将追究刑事责任。
第八条 信息工作人员离岗必须交接的内容:
1、将领用的办公电脑、U盘、移动硬盘等办公品办理退还手续。
2、本岗位所有的工作资料。
3、经办未了的事项。 第九条 离岗交接要求
1、离岗人员必须认真填写离岗表格资料,填写资料字迹要清晰。
2、离岗表格资料由信息主管部门负责对离岗人员材料进行评审。
3、资料、文件、未完工作交接时,需由信息主管部门确定监交人,监督移交是否完整、准确,并帮助移交工作顺利完成。资料交接清单必须有移交人、交接人以及监交人三方的签字认可。
4、离岗交接未通过评审者,人事部门不得为其办理离职手续。
5、交接时可能会出现资料交接不完全,人员离岗后,信息主管部门保留对移交人的追索权力。
第十条 根据《信息安全等级保护检查工作规范》的规定,信息部门每年举办一次信息安全技术培训。
第三章 网络管理
第十一条 根据《山东省环境保护厅环境信息网络管理维护规范》标准,网络管理员每天检查网络设备的运行情况。
第十二条 网络管理员日常检查各网络运行状态,记录网络运行各项参数。
日常检查内网管理软件、网络与安全管理软件的运行情况。及时执行网络与安全管理软件升级维护,并记录网络安全日常维护表。
第十三条 网络管理员配合安全审计员定期对网络带宽分配、网络访问控制、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进行测试。
第十四条 网络资源及网络参数变更,必须有机房负责人进行审批。
第十五条 出现网络异常,网络管理员及时报告机房负责人,核实原因。如网络出现故障或事故,应按照《信息安全应急预案》处理,及时维修、更换备机。
第十六条 网络、安全设备接入网络,必须经过运维管理部门审批。发现私自接入网络行为的,给予警告、记过处分,造成不良后果的,可以撤职。
第十七条 利用网络从事非法活动的,将根据有关法
6 律法规,追究责任。
第四章 系统管理
第十八条 根据“谁应用,谁负责”的原则,确定每个业务系统的业务管理员,软件研发单位负责对业务管理员进行培训。
第十九条 业务管理员应每天检查所管理业务系统(包括所使用的硬件设备)的运行情况,检查业务系统备份情况,及时修补系统补丁。
第二十条 对业务系统进行升级与维护,必须录入系统日常维护表。
第二十一条 业务系统及其备份系统发生故障时,系统管理员及时通知软件开发商并报告机房负责人,核实原因。如系统不能恢复或数据丢失等重大事故发生,应按照《信息安全应急预案》处理。
第二十二条 每年7月,业务管理员配合安全管理员对业务系统进行风险评估,根据风险评估报告(符合GB/T20984标准),进行系统修订。
第二十三条 每年7月,业务管理员配合安全管理员核定信息系统等保定级、系统恢复定级,按照信息安全检查内容进行自查。
第二十四条 业务系统服务器不得开放与工作无关
7 的服务端口。如需开通其他服务端口,必须备案,并自行保证信息安全。
第五章 软硬件资产管理
第二十五条 进入机房的软件、服务器、存储、网络与安全设备进行统一的编号和调配,如在财务管理所规定的固定资产价值范围内(含软件和其它信息设备),应统一登记,计入固定资产台账。
第二十六条 由行政管理部门和使用部门对软件和信息设备共同进行资产管理。
1、设置固定资产实物台帐,建立固定资产卡片。
2、对固定资产进行统一分类资产编号。
3、对固定资产的使用落实到具体负责人。
第二十七条 资产编号规则应按财政厅规定的资产编号规则实施。
第二十八条
信息管理部门定期组织人员,进行软件资产清查盘点,对清查盘点中发现的问题,应当查明原因,说明情况,软件资产清查盘点工作应当符合信息安全和保密的要求,防止信息外泄。
第二十九条
符合下列条件之一的软件资产可以申请报废
(一)闲置一年以上及版本陈旧已不再使用的
(二)达不到业务要求需要淘汰、报废、删除的;
(三)已超过授权期限,无法使用的;
(四)其他特殊情况需要处置的。
第三十条 根据设备新旧程度,信息管理部门应组织系统管理员和网络设备管理员及业务管理员,定期修订设备保养计划,设备进行保养及清洗,需按照保养计划执行。
第三十一条 信息设备发生故障时,应及时报告机房负责人并通知相关负责人,核实原因。如设备故障可能会导致系统或数据丢失时,应按照《信息安全应急预案》处理。
第三十二条 网络设备、安全设备、服务器设备其它机房设备维修,必须经过运维管理部门审批,填写维修单。
第三十三条 未经运维管理部门审批,不得拆换信息设备零件、配件、外设,不得改变网络设备、安全设备、服务器设备、存储设备安装位置及系统设置,更不准挪作它用。
第三十四条 符合下列条件之一的信息设备可以申请报废
(一)超过使用年限、自然损耗造成性能降低、主要部件损坏,无法修复的。
(二)多次修理,费用超过设备原值50%以上的。
(三)设备属淘汰产品,不能满足正常工作的。
(四)其他特殊情况需要处置的。
第六章 信息安全管理
9 第三十五条 按照《关于加强党政机关计算机信息系统安全和保密管理的若干规定》,重要数据应参照执行。
第三十六条 拥有重要数据的部门应该及时对数据进行备份,防止数据的丢失;涉及数据备份和恢复的部门要指定业务管理员负责数据备份工作,并认真填写备份日志。
第三十七条 数据备份应根据不同业务制定不同的备份周期和备份策略,存放备份数据的介质必须具有明确的标识。备份数据应定期测试,以确保备份数据的可恢复性。
第三十八条 备份介质必须归档。备份介质要有业务管理员负责保管工作,保存地点应有防火,防热,防潮,防尘,防磁,防盗设施。
第三十九条 数据清理前业务管理员必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
第四十条 数据恢复前,业务管理员必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第四十一条 数据的备份、恢复、转出、转入的权限
10 都应严格控制。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。当存储过重要数据的介质(如光盘、软盘、磁带等)报废时应由专业技术人员进行物理性销毁。
第七章 密码管理
第四十二条 网络设备、服务器设备及其应用系统等系统密码和管理密码,应统一管理、专人使用。
第四十三条 密码更新应由各设备及系统管理员编制新密码,实施更新,并送机房负责人备查。
第四十四条 交换机、路由器、防火墙、服务器的系统密码和管理密码每月更新一次,在每月5日前负责完成。网站和视频会议系统服务器指定负责人将密码更新后,并及时通知机房负责人备案。
第四十五条 特殊情况机房负责人可根据工作的实际需要更新密码。
第八章 附则
第四十六条 结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,本制度适时修订。
第四十七条 本制度由信息与监控中心制定并解释。 第四十八条 本制度于 2011年 月 日批准实施。
11
网络安全事故应急预案
第一章 总则
为了正确、迅速和有效地处置网络系统可能发生的重大计算机网络安全事故,提高处理突发计算机网络安全事故的控制和排障能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机网络系统安全、数据安全,最大限度地减少计算机网络信息安全事故的危害和影响,保护各项工作顺利进行,特制定本预案。
第二章 适用范围
该预案适用于办公楼在日常工作过程中计算机网络发生的各类突发事件,包括通信网络故障、病毒防范、服务器软件系统故障、核心设备硬件故障、业务数据损坏等计算机网络安全事件。
第三章 组织机构职责
信息安全应急工作组组长由信息与监控中心主任任担任,副组长由信息监控中心副主任担任,技术总负责人由运维管理负责人担任,组员由系统管理员、业务管理员、网络管理员、安全管理员、安全审计员组成。主要职责是:
12 (1)承担本单位的值守应急工作;
(2)收集、分析工作信息,及时上报重要信息; (3)负责网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(4)组织制订、修订与本部门职能相关的专项应急预案 (5)负责组织协调网络与信息安全突发事件应急演练 (6)负责应对网络与信息安全突发事件的宣传教育与培训。
网络与信息安全技术服务团队
技术服务团队有厅机房运维单位的相关技术专家组成,人员构成有网络专家、服务器专家、系统专家、数据恢复专家。
(1)在网络与信息安全突发事件预防与应急处置时,提供咨询与建议;
(2)在制定网络与信息安全有关规定、预案、制度和项目建设的过程中提供参考意见;
(3)及时反映网络与信息安全应急工作中存在的问题与不足,并提出改进建议;
(4)对网络与信息安全突发事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
第四章 预案启动
13 第一条:突发计算机网络事故
1、关键设备和系统故障。
2、自然灾害(水,火,电等)电脑病毒等恶意代码危害。
3、人为的恶意攻击等。 第二条:应急准备
各运维人员应明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
第三条:具体措施
实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;
第五章 有关应急预案
第四条:自然灾害(水,火,电等)导致网络故障应急预案
(一)发生自然(水,火,电等)灾害时,第一目击者应立即通知机房负责人,并及时报告运维主管部门领导。
(二)机房维护人员应在确保自身安全的情况,抢出重要的设备和文件,并做登记,方便后期管理。
第五条:通信网络故障应急预案
(一)发生通信线路中断、路由故障、流量异常、域名系统故障后,网络管理员应及时通知机房负责人。
(二)经初步判断后,网络管理员应及时查清通信网络故障位置,隔离故障区域,通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
(三)事态或后果严重的,机房负责人应及时报告应急领导小组。
(四)应急处置结束后,机房负责人应将故障分析报告,在调查结束后一日内书面报告应急领导小组。
第六条:不良信息和网络病毒事件应急预案
(一)发现不良信息或网络病毒时,安全管理员应通知网络管理员立即断开网线,终止不良信息或网络病毒传播,并报告机房负责人。
(二)安全管理员根据机房负责人指令,采取隔离网络等措施,各单位应安装杀毒软件,并及时更新,立刻杀除杀毒或清除不良信息,并追查不良信息来源。
(三)事态或后果严重的,机房负责人应及时报告应急领导小组。
(四)处置结束后, 机房负责人应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告应急领导小组。
15 第七条:服务器软件系统故障应急预案
(一)发生服务器软件系统故障后,系统管理员应立即报告机房负责人和业务管理员,组织启动备份服务器系统,由备份服务器接管业务应用,同时将故障服务器脱离网络,保存系统状态不变,保持原始数据。
(二)系统管理员与业务管理员应根据机房负责人指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商和运维单位,请求技术团队支援,作好技术处理。
(三)事态或后果严重的,及时上报应急领导小组和相关业务部门领导。
(四)处置结束后, 机房负责人应将事发经过、处置结果等在调查工作结束后一日内书面报告应急领导小组。
第八条:黑客攻击事件应急预案
(一)当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告机房负责人。
(二)接报告后,机房负责人应立即指令系统管理员和网络管理员核实情况,并通知业务管理员,及时关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻
16 破的登陆帐号,查看计算机中存在的危险端口并予以关闭,阻断可疑用户进入网络的通道。
(三)业务管理员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应上报厅应急领导小组,并请求应急团队技术支援。
(四)处置结束后, 机房负责人应将事发经过、处置结果等在调查工作结束后一日内报告应急领导小组。
第九条:核心设备硬件故障应急预案
(一)发生核心设备硬件故障后,机房负责人应及时备案,并组织查找、确定故障设备及故障原因,进行先期处置。
(二)若故障设备在短时间内无法修复,系统管理员根据机房负责人指令,应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(三)在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(四)事态或后果严重的,及时报告应急领导小组。 第十条:业务数据损坏应急预案
(一)重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。发生业务数据损坏时,业务管理员应及时报告机房负责人,并组织人员检查、备份业务系统当前数据。
(二)业务数据损坏事件超过2小时后,业务管理员应及时报告机房负责人,并以手工方式开展业务。
(三)业务管理员应待业务数据系统恢复后,检查历史数据和当前数据的差别,并补录数据;重新备份数据,并写出故障分析报告,会同机房负责人,在调查工作结束后一日内报告应急领导小组。
第六章 应急处置
第十一条 应急处置工作规范
(一)发生信息网络突发事件后,相关人员应在5分钟内向运维主管领导报告,机房负责人及时组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
(二)发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,保护好事故(事件)现场,并立即向应急领导小组报告。
(三)应急处置工作结束后,机房负责人组织有关人员和应急技术团队组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
第七章 附则
第十二条 预案更新
18 结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,每三年修订一次本预案。
第十三条 制定和解释
本预案由信息与监控中心制定并解释。 第十四条 预案施行
本预案于2011年 月
批准实施。 日
第四篇:信息安全管理制度
一、信息安全管理责任制
1、我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我公司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、所有用户信息将得到本公司网站系统的安全保存,并在和用户签署的协议规定时间内保证不会丢失;
3、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守相应规章制度。
我公司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定两名安全负责人作为突发事件处理的联系人。
二、有害信息发现受理处置机制
第一条
一旦发现网络有害信息的,应立即启动预案,采取“及时处理、下载保存和24小时上报制度”。
第二条
网络有害信息处置前期工作程序:
一、 发现有害信息的公司员工要立即报告公司信息部,由信息部协调处理网 上突发事件,摸清情况,采取措施,最大限度地遏制有害信息在网上传播和扩散,并在第一时间内向公司主管领导及有关部门报告。
二、 信息部负责有害信息的界定及监控,一旦发现不良信息要马上删除(如 遇紧急情况,可直接关闭服务器,暂停网络运行)。
三、 信息部及时对有害信息予以删除,取证留样,对有害信息的来源进行调 查;在最短时间内向网络有害信息处置办公室报告情况。
四、 信息部要对网络安全设备的记录留存,监督检查有害信息报告、清除等情况。
五、 信息安全员负责调查有害信息散布的原因、经过,收集相关证据,以有 利于事件处理时事实清楚,责任明确。
第三条
网络有害信息处置后期工作程序:
一、 信息部要利用网络与信息安全技术平台,对网上有害信息和公共有害短 信及时进行封堵:对违规从事网上业务或传播有害信息的用户(包括论坛),依法采取责任令整顿,予以封禁用户等行政处罚措施。
二、 在事实清楚、责任明确的情况下,公司网络安全管理领导小组要对事件 做出处理决定:影响较大、存在问题较多的网站,要集中力量研究和解决问题。对管理混乱、事故多发、造成不良影响的网站,要追究有关责任人责任。
三、 有关事件的处置经过、结论等相关事宜,一律由信息部统一对外宣传。
四、 做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费 投入,要在技术管理和软件开发利用上下工夫,提高网络信息安全管理技能。网站服务器必须安装必要的信息安全软件。
三、有害信息投诉受理处置机制
举报投诉中心设在公司信息部。举报投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设置举报箱。
受理的有害信息投诉事件主要指单位和个人利用我公司网络制作、复制、查阅和下载下列信息的事件:
1.煽动抗拒、破坏宪法和国家法律、行政法规实施;
2.煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;
3.捏造或者歪曲事实,散布谣言扰乱社会秩序;
4.侮辱他人或者捏造事实诽谤他人;
5.宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
6.公然侮辱他人或捏造事实诽谤他人的;
7.损害网站形象和网站利益的;
8.其他违反宪法和法律、行政法规的。
举报投诉受理中心对公众举报、投诉事件,按集中管理、登记的原则办理,由信息部带领网络安全小组集中处理,并将处理结果备案。对较重大有害信息事件,应立即上报主管领导。
举报投诉受理中心受理的事件,要做到即接快办;夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记。
负责查办的相关人员接到交办的投诉举报事件后应及时安排办理,要求在法定时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明理由,可适当延长处理时间;处理结果应及时反馈给举报投诉受理中心,由举报投诉受理中心反馈给举报人。
在处理有害信息投诉事件的记录、登记、交办工作流程时,应填写相应表单,并随结果报告一同存档。
处理人员应对重大有害信息事件举报人或要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。
四、重大信息安全事件应急处置和报告制度
为预防和及时处置网络突发事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案。
一、在公司领导的统一管理下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
二、信息网络安全事件定义
1、网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然侮辱他人或者捏造事实诽谤他人;宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖;发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。
2、网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
3、在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。
三、加大培训和宣传力度,加强和完善互联网安全管理,设置专门管理部门,采取统一管理体制,落实负责人。各部门要建立健全内部安全保障制度,按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络与信息安全。加强我公司互联网络信息安全管理,连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。
四、加强信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日志分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏目的专人管理,交互式栏目内容发布实行审核制度。对于非法网站要做到:发现一个,禁止一个,并及时向主管领导汇报,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、网络部对互联网实施24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录在案,并对其警告和批评教育,严重违法行为立即上报有关部门。
六、加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
(2)保护现场,立即与网络隔离,防止影响扩大。
(3)及时取证,分析、查找原因。
(4)消除有害信息,防止进一步传播,将事件的影响降到最低。
(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
(6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
七、及时整顿,加强防范。各部门要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现公司信息安全管理,创造良好的网络环境。
八、在重要、敏感时期,加大网络安全教育宣传力度,加强员工的法律意识和安全意识教育,提高其安全意识和防范能力;开展安全文明上网的教育引导工作,净化互联网网上环境,及时收集信息,排查不安定因素;坚持24小时值班制度,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系,积极做好预防工作,发现问题及时处理,防患于未然。
九、做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十、网络安全事件报告与处置。
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
五、信息安全管理政策和业务培训制度 第一章 信息安全政策
一、计算机设备管理制度
1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3. 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
1. 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.
2.系统管理操作代码的设置与管理:
(1)、系统管理操作代码必须经过经营管理者授权取得;
(2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
(3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
(4)、系统管理员不得使用他人操作代码进行业务操作;
(5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
3.一般操作代码的设置与管理
(1)、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
(2)、操作员不得使用他人代码进行业务操作。
(3)、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1. 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和 操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和 字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入 密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密 码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场 技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可 以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失 效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构 负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检 测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.信息部人员进入机房必须经领导许可,其他人员进入机房必须经信息领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进 出机房时间、来访内容等。非信息部工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经信息部负责人批准同意后有关人员监督下进 行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、 易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内 的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统 的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及 时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
第二章 业务培训制度
一、培训制度
1、业务学习培训计划由信息部根据工作计划作出安排。
2、成立业务学习小组,定期组织业务学习;
3、工作人员每年必须参加不少于15个课时的专业培训。
4、工作人员必须完成布置的学习计划安排,积极主动地参加信息部组织的业务学习活动。
5、有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。
6、支持、鼓励工作人员结合业务工作自学。
二、培训内容:
1.计算机安全法律教育
(1)、定期组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。
(2)、负责对企业的网络用户进行安全教育和培训。
(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。
2.计算机职业道德教育
(1)、工作人员要严格遵守工作规程和工作制度。
(2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。
(3)、不得利用计算机信息系统的漏洞偷窃客户资料,进行诈骗和转移资金。
(4)、不得制造和传播计算机病毒。
3.计算机技术教育
(1)、操作员必须在指定计算机或指定终端上进行操作。
(2)、机房管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。
(3)、不得越权运行程序,不得查阅无关参数。
(4)、发现操作异常,应立即向机房管理员报告。
三、培训方法:
1.结合专业实际情况,指派有关人员参加学习。
2.有计划有针对性,指派人员到外地或外单位进修学习。
3.举办专题讲座或培训班,聘请有关专家进行讲课。
4.所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗。
5.自订学习计划,参加专业函授学习成绩及时反馈有关部门,良好学业者给予奖励。
第五篇:信息安全管理制度
第一条 作业区域管理
保证机房、数据中心、催收现场处于封闭式管理。
(一)前台工作人员:保证门禁使用,外来人员来访等级《访客登记表》,访客记录至少保留一年以上。
(二)机房管理人员:保证监控摄像清晰、正常使用,监控录像至少保存半年以上。
(三)机房管理人员:保证机房上锁,钥匙专人保管,进入人员需进行《机房出入登记表》登记。 第二条 网络管理
IT专员:保证
(一)所有网络设备连接区域设置防火墙和路由器配置标准。
(二)催收作业区域、数据操作区域一律屏蔽外网。
(三)生产网和办公隔离。可连接网络电脑不可连接内网,可连接内网电脑不可连接外网,保证办公网和生产网不得相互访问。 第三条 数据接触终端管理
保证机房、供应链管理部、催收现场等涉及银行数据的电脑
(一)采取严格的管控措施,屏蔽USB接口,不得安装光驱及软驱等设备。如因业务需要必须使用USB接口的应及时汇报公司,并报备至银行信用卡中心。
(二)安装防病毒软件且及时更新病毒库,设置屏幕保护。
(三)数据接触终端的用户账户组应为USER组。 第四条 数据接触人员管理
严格控制数据访问权限,数据接触人员只能访问其开展业务所需的系统和数据。
(一)管理员账号只可管理员访问,一般系统用户只能访问自己使用的账户资料。
(二)三个月维护一次系统的访问权限清单、修改管理员账号和密码。
(三)催收系统用户的数据导出等操作保留日志记录,数据库管理员的所有操作保留日志记录,日志记录保存至少两年,定期对日志记录进行审核并留审核记录。 第五条 VPN数据管理
(一)VPN密码仅由数据中心指定专员保管使用,密码不得明文保存在纸面、电脑。数据专员离职或转岗,应立即停止该人员的所有权限,并及时通知银行信用卡中心更改VPN密码。
(二)数据专员使用专用电脑收发卡中心数据,数据接收后应立即导入系统,不得将原始数据流转多人直接使用。该计算机数据接触终端进行管理,互联网权限仅限于访问VPN。专用电脑放置在专用区域,摄像头监控。 第六条 数据导入管理
数据由数据专员直接导入系统,总分机构催收人员仅能通过VPN访问催收系统使用数据。 第七条 数据传输
公司总部与分公司间的数据传输需符合以下要求:
(一)禁止向分公司提供银行委案资料,特殊情况下如需使用,须经总部负责人审核并留档审核记录。
(二)使用企业邮箱传输数据。
(三)数据传输前均需加密,可使用PGP软件加密或者压缩加密,密码长度不得小于8位数。密码和传输文件不得同时传输。 第八条 数据保护
应本着“必须知道”原则,对各个环节的数据进行保护。
(一)未经许可及员工业务必须知道之需要,数据中心不得向任何人提供涉及银行资料的数据信息。
(二)办公电脑上不允许存有任何有银行相关数据。对需要系统后台数据库储存的卡号、手机号码等敏感信息需进行加密。
(三)备份介质应存放在数据主管指定的电脑,任何人未经授权不得使用备份数据。
第九条 数据使用
未经各银行卡中心授权不得提取、使用信用卡持卡人相关信息用于其他用途。
(一)除供应链管理部根据银行需求享有通过系统调取或者数据库中提取数据之外,任何他人未经许可不享有使用主系统数据之权限。
(二)严格管理批量数据的提供和使用,数据只能发给直接使用人员,不得通过邮件群发、文件服务器共享等任何形式向无关人员提供批量数据。
(三)外访人员外方材料由指定数据专员打印,外方材料及时入库存档、有效保管。
第十条 数据销毁
保证供应链管理部、催收作业电脑等,根据银行要求彻底删除所有存储的数据,包括办公计算机、文件服务器、系统数据库、备份介质等。 第十一条 政策与人员管理
数据中心及相关人员严格执行公司《信息安全管理制度》,保证
(一)与接触卡中心客户数据的所有人签署保密协议,就保密方面的责任与罚则进行约定。
(二)梳理信用卡数据相关的业务流程并根据数据的流转过程绘制流程图,明确各个环节的数据传输方式、数据保存期限、数据接触人员等。
(三)数据中心应开展安全教育培训工作,接触数据的员工上岗前应进行数据安全培训,确保了解岗位的操作规范、安全制度规范等。 第十二条 本制度生效时间为2015年7月1日。
泉州和富金融服务外包有限公司
2015年6月25日
【安全信息员管理制度】相关文章:
安全信息员工作制度05-09
信息系统管理中信息安全论文04-27
集团信息安全管理制度01-03
学生安全信息管理制度03-29
信息安全管理制度汇总04-02
信息安全财务管理制度04-02
信息安全服务管理制度04-02
信息安全管理制度包括04-02
信息安全风险管理制度04-02
信息安全事件管理制度04-03