信息安全培訓管理制度

時間：2024-12-11 15:39:34 敏冰制度我要投稿

相關推薦

信息安全培訓管理制度（精選7篇）

　　在社會一步步向前發展的今天，很多情況下我們都會接觸到制度，制度是一種要求大家共同遵守的規章或準則。擬起制度來就毫無頭緒？以下是小編精心整理的信息安全培訓管理制度，僅供參考，希望能夠幫助到大家。

信息安全培訓管理制度（精選7篇）

　　信息安全培訓管理制度 1

　　一、計算機設備管理制度

　　1.計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

　　2.非我司技術人員對我司的設備、系統等進行維修、維護時，必須由我司相關技術人員現場全程監督。計算機設備送外維修，須經有關部門負責人批準。

　　3.嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口，計算機出現故障時應及時向電腦負責部門報告,不允許私自處理或找非我司技術人員進行維修及操作。

　　二、操作員安全管理制度

　　1.操作代碼是進入各類應用系統進行業務操作、分級對數據存取進行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置.

　　2.系統管理操作代碼的設置與管理:

　　(1)系統管理操作代碼必須經過經營管理者授權取得；

　　(2)系統管理員負責各項應用系統的環境生成、維護，負責一般操作代碼的生成和維護，負責故障恢復等管理及維護；

　　(3)系統管理員對業務系統進行數據整理、故障恢復等操作，必須有其上級授權；

　　(4)系統管理員不得使用他人操作代碼進行業務操作；

　　(5)系統管理員調離崗位，上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統管理員代碼；

　　3.一般操作代碼的設置與管理

　　(1)一般操作碼由系統管理員根據各類應用系統操作要求生成，應按每操作用戶一碼設置。

　　(2)操作員不得使用他人代碼進行業務操作。

　　(3)操作員調離崗位，系統管理員應及時注銷其代碼并生成新的操作員代碼。

　　三、密碼與權限管理制度

　　1.密碼設置應具有安全性、保密性，不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼，也是保護用戶自身權益的`控制代碼。密碼分設為用戶密碼和操作密碼，用戶密碼是登陸系統時所設的密碼，操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日，重復、順序、規律數字等容易猜測的數字和字符串；

　　2.密碼應定期修改，間隔時間不得超過一個月，如發現或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿記錄用戶名、修改時間、修改人等內容。

　　3.服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經過相關部門負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。

　　4.系統維護用戶的密碼應至少由兩人共同設置、保管和使用。

　　5.有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼立即修改或用戶刪除，同時在“密碼管理登記簿”中登記。

　　四、數據安全管理制度

　　1.存放備份數據的介質必須具有明確的標識。備份數據必須異地存放，并明確落實異地備份數據的管理職責；

　　2.注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理，保證存儲介質的物理安全。

　　3.任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批，以保證備份數據安全完整。

　　4.數據恢復前，必須對原環境的數據進行備份，防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行，出現問題時由技術部門進行現場技術支持。數據恢復后，必須進行驗證、確認，確保數據恢復的完整性和可用性。

　　5.數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存，并確保可以隨時使用。數據清理的實施應避開業務高峰期，避免對聯機業務運行造成影響。

　　6.需要長期保存的數據，數據管理部門需與相關部門制定轉存方案，根據轉存方案和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。

　　7.非我司技術人員對本公司的設備、系統等進行維修、維護時，必須由本公司相關技術人員現場全程監督。計算機設備送外維修，須經設備管理機構負責人批準。送修前，需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除，并進行登記。對修復的設備，設備維修人員應對設備進行驗收、病毒檢測和登記。

　　8.管理部門應對報廢設備中存有的程序、數據資料進行備份后清除，并妥善處理廢棄無用的資料和介質，防止泄密。

　　信息安全培訓管理制度 2

　　第一條為加強我局信息安全建設，提高全體稅務干部的信息安全意識和技能，保障我局信息系統安全穩定的運行，特制定本制度。

　　第二條信息安全培訓旨在強化我局全體稅務干部的信息安全意識，使之明確信息安全是每個人的責任，并掌握其崗位所要求的信息安全操作技能。

　　第三條針對不同的培訓對象進行分層次的培訓，信息安全培訓分為管理層培訓、技術層培訓和普通用戶層培訓三個層面，分層培訓內容的參考范圍和需達到的標準如下：

　　一、管理層信息安全培訓

　　（一）對象：市局、各區縣局的各級領導。

　　（二）內容：宏觀信息安全管理理念及高級信息安全管理知識。

　　（三）標準：使管理層人員能夠了解其信息安全職責，具備其工作所需的信息安全管理知識和信息安全管理能力。

　　二、技術層信息安全培訓

　　（一）對象：各級信息化管理部門的各類技術管理人員。

　　（二）內容：系統安全策略；內部和外部攻擊的檢測；常用計算機及網絡安全保護手段、日常工作中需要注意的信息安全方面的事項；《北京市地方稅務局信息系統安全管理框架》下包括的所有制度內容。

　　（三）標準：使技術層人員能夠了解其所從事崗位的信息安全職責，熟悉與其工作相關的各項信息安全制度，具備工作所需的'信息安全知識和技能。

　　三、普通用戶層信息安全培訓

　　（一）對象：全局的普通計算機用戶。

　　（二）內容：所在崗位的信息安全職責；計算機病毒預防和查殺的基本技能；計算機設備物理安全知識和網絡安全常識；《北京市地方稅務局信息系統安全管理框架》下的所有普通用戶應掌握和了解的制度內容。

　　（三）標準：使普通用戶了解其信息安全職責，熟悉與工作相關的各項信息安全制度，具備工作所需的信息安全知識和技能。

　　第四條各單位信息安全管理部門和人事教育部門負責每年制定管理層和普通用戶層的信息安全培訓計劃

　　信息安全培訓管理制度 3

　　一、總則

　　為了加強公司內所有信息安全的管理，讓大家充分運用計算機來提高工作效率，特制定本制度。

　　二、計算機管理要求

　　1、IT管理員負責公司內所有計算機的管理，各部門應將計算機負責人名單報給IT管理員，IT管理員（填寫《計算機IP地址分配表》）進行備案管理。如有變更，應在變更計算機負責人一周內向IT管理員申請備案。

　　2、公司內所有的計算機應由各部門指定專人使用，每臺計算機的使用人員均定為計算機的負責人，如果其他人要求上機（不包括IT管理員），應取得計算機負責人的同意，嚴禁讓外來人員使用工作計算機，出現問題所帶來的一切責任應由計算機負責人承擔。

　　3、計算機設備未經IT管理員批準同意，任何人不得隨意拆卸更換；如果計算機出現故障，計算機負責人應及時向IT管理員報告，IT管理員查明故障原因，提出整改措施，如屬個人原因，對計算機負責人做出處罰。

　　4、日常保養內容：

　　A、計算機表面保持清潔

　　B、應經常對計算機硬盤進行整理，保持硬盤整潔性、完整性；

　　C、下班不用時，應關閉主機電源。

　　5、計算機IP地址和密碼由IT管理員指定發給各部門，不能擅自更換。計算機系統專用資料（軟件盤、系統盤、驅動盤）應由專人進行保管，不得隨意帶出公司或個人存放。

　　6、禁止將公司配發的計算機非工作原因私自帶走或轉借給他人，造成丟失或損壞的要做相應賠償，禁止計算機使用人員對硬盤格式化操作。

　　7、計算機的內部調用：

　　A、IT管理員根據需要負責計算機在公司內的調用，并按要求組織計算機的遷移或調換。

　　B、計算機在公司內調用，IT管理員應做好調用記錄，《調用記錄單》經副總經理簽字認可后交IT管理員存檔。

　　8、計算機報廢：

　　A、計算機報廢，由使用部門提出，IT管理員根據計算機的使用、升級情況，組織鑒定，同意報廢處理的，報部門經理批準后按《固定資產管理規定》到財務部辦理報廢手續。

　　B、報廢的計算機殘件由IT管理員回收，組織人員一次性處理。

　　C、計算機報廢的.條件：

　　1）主要部件嚴重損壞，無升級和維修價值；

　　2）修理或改裝費用超過或接近同等效能價值的設備。

　　三、環境管理

　　1、計算機的使用環境應做到防塵、防潮、防干擾及安全接地。

　　2、應盡量保持計算機周圍環境的整潔，不要將影響使用或清潔的用品放在計算機周圍。

　　3、服務器機房內應做到干凈、整潔、物品擺放整齊；非主管維護人員不得擅自進入。

　　四、軟件管理和防護

　　1、職責：

　　A、IT管理員負責軟件的開發購買保管、安裝、維護、刪除及管理。

　　B、計算機負責人負責軟件的使用及日常維護。

　　2、使用管理：

　　A、計算機系統軟件：要求IT管理員統一配裝正版Windows專業版，辦公常用辦公軟件安裝正版office專業版套裝、正版ERP管理系統，制圖軟件安裝正版CAD專業版，殺毒軟件安裝安全殺毒套裝，郵件軟件安裝閃電郵，及自主開發等各種正版及綠色軟件。

　　B、禁止私自下載或安裝軟件、游戲、電影等，如工作需要安裝或刪除軟件時，向IT管理員提出申請，經檢查符合要求的軟件由IT管理部員或在IT管理員的監督下進行安裝或刪除。

　　C、計算機負責人應管理好計算機的操作系統或軟件的用戶名、工號、密碼。若調整工作崗位，應及時通知IT管理部員更改相關權限。不得盜用他人用戶名和密碼登錄計算機，或更改、破壞他人的文件資料，做好局域網上共享文件夾的密碼保護工作。

　　D、計算機負責人應及時做好業務相關軟件的應用程序數據備份（刻錄光盤），防止因機器故障或被誤刪除而引起文件丟失。

　　E、計算機軟件在使用過程中如發現異常或出現錯誤代碼時，計算機負責人應及時上報IT管理員進行處理。

　　3、升級、防護：

　　A、如操作系統、軟件需要更新及版本升級，則由IT管理員負責升級安裝、購買等。

　　B、U盤、軟盤在使用前，必須先采用殺毒軟件進行掃描殺毒，無病毒后再使用。

　　C、由IT管理員協助計算機負責人對計算機進行病毒、木馬程序檢測和清理工作，要求定期更新殺毒軟件。

　　五、硬件維護

　　1、要求：

　　A、IT管理部員負責計算機或相關電腦設備的維護。

　　B、對硬件進行維護的人員在拆卸計算機時，必須采取必要的防靜電措施。

　　C、對硬件進行維護的人員在作業完成后或準備離去時，必須將所拆卸的設備復原。

　　D、對于關鍵的計算機設備應配備必要的斷電、繼電保護電源。

　　E、IT管理部員應按設備說明書進行日常維護，每月一次。

　　2、維護：

　　A、計算機的使用、清潔和保養工作，由計算機負責人負責；

　　B、IT管理員必須經常檢查計算機及外設的狀況，及時發現和解決問題。

　　六、網絡管理

　　A、禁止瀏覽或登入反動、色情、邪教等不明非法網站、瀏覽非法信息以及利用電子信箱收發有關上述內容的郵件；不得通過互聯網或光盤下載安裝傳播病毒以及黑客程序。

　　B、禁止私自將公司的受控文件及數據上傳網絡與拷貝傳播。

　　七、維修流程

　　當計算機出現故障時，應立即停止操作，上報公司IT管理員，填寫《公司電腦維修記錄表》；由IT管理員負責維修。

　　八、獎懲辦法

　　由于計算機設備是我們工作中的重要工具。因此，IT管理員將計算機的管理納入對各計算機負責人的績效考核范圍，并將嚴格實行。

　　從本制度公布之日起：

　　1、凡是發現以下行為，IT管理員有權根據實際情況處罰并追究當事人及其直接領導的責任，嚴重的則交由上級部門領導對其處理。

　　A、私自安裝和使用未經許可的軟件（含游戲、電影），每個軟件罰50元。

　　B、計算機具有密碼功能卻未使用，每次罰10元。

　　C、下班后，計算機未退出系統或關閉顯示器的，每次罰10元。

　　D、擅自使用他人計算機或外設造成不良影響的，每次罰50元。

　　E、瀏覽登入反動、色情、邪教等不明非法網站，傳播非法郵件的，每次罰100元。

　　F、如有私自或沒有經過IT管理部審核更換計算機IP地址的，每次罰10元。

　　G、如有拷貝受控文件及數據，故意刪除共享資料軟件及計算機數據的，按損失酌情進行處罰。

　　2、凡發現由于：違章作業，保管不當，擅自安裝、使用硬件和電氣裝置，而造成硬件的損壞或丟失的，其損失由責任人賠償硬件價值的全部費用。

　　九、附則

　　1、本制度為公司計算機管理制度，要求每一位計算機負責人必須遵守該制度。

　　2、本制度由IT管理員負責編制與修改。

　　3、本制度由公司總經理批準后執行。

　　信息安全培訓管理制度 4

　　一、前言

　　信息安全管理制度是組織內部的一種規章制度，其目的在于規范和管理組織內部的信息安全活動，確保組織的信息安全得到有效保障，保護組織及其所有利益相關者的信息安全。為此，本制度將全面介紹我們組織信息安全管理制度的原則、要求、程序、管理責任等，以期能夠為相關工作的開展提供準確、明確的指導和保障。

　　二、信息安全原則

　　1. 信息安全意識普及原則

　　組織內部將不斷開展安全意識培訓活動，并制定相應的信息安全規定，提高全體員工的安全意識和保密意識。

　　2. 信息安全最小原則

　　在信息采集、傳輸、存儲、處理等環節中，應遵循最小化原則，只收集必要的信息，保證信息的真實性、完整性和機密性。

　　3. 信息安全全面性原則

　　信息安全管理應從全面、系統的角度考慮，采取多種手段進行信息安全保護，確保信息安全風險得到有效控制，包括技術手段和管理手段等。

　　4. 信息安全風險評估原則

　　組織應該對信息系統、信息資源和信息安全進行全面評估和調查，確定信息安全威脅和風險，制定切實可行的措施和方案，實現信息安全的全面保護。

　　5. 信息安全追溯原則

　　當組織發生信息安全事件時，應該采取逐級追溯的措施，進行事故的調查、分析、并進行責任追究，避免類似安全事件再次發生。

　　三、信息安全管理要求

　　1. 信息安全管理的組織結構和職責

　　本組織應該成立信息安全管理委員會，主要負責信息安全相關工作的組織協調和管理。該委員會由高管層、信息管理人員、技術專家等組成，確定信息安全工作計劃、審核和管理信息安全政策及規定等。

　　2. 信息安全保護的范圍和措施

　　組織應該采取措施保護以下方面的信息安全：

　　（1）保護組織的信息系統與網絡安全，防止未經授權的訪問、篡改、延遲、中斷或拒絕服務等攻擊；

　　（2）防止對關鍵信息系統、數據和設備等的破壞、破解、篡改、數據丟失等危害；

　　（3）確保對重要信息和數據的保密性、完整性和可用性；

　　（4）保護公司的品牌聲譽和商業機密，并確保未授權的信息泄露。

　　3. 信息安全管理過程和控制措施

　　組織應該采取一系列信息安全管理過程和控制措施，包括但不限于：

　　（1）確保信息安全政策及規定得到有效實施，對相關人員進行培訓并定期回顧更新；

　　（2）建立安全的網絡、系統和應用架構，進行訪問控制、身份驗證、安全管理等操作；

　　（3）采取防御性的安全措施，如攻擊檢測、入侵預防、邊界安全等，防范未知的.威脅；

　　（4）建立備份、復原和災難恢復機制，以便在遭受攻擊或突發事件時能夠及時恢復正常業務運營；

　　（5）進行定期的安全審計和風險評估，發現隱患并采取措施加以糾正；

　　（6）開展安全漏洞通報和個人信息保護工作。

　　四、信息安全管理程序

　　1. 信息安全政策制定和發布程序

　　（1）確定信息安全目標和原則；

　　（2）制定組織的信息安全政策，明確信息安全管理的基本要求和責任；

　　（3）發布信息安全政策并進行全體員工安全培訓。

　　2. 信息安全風險評估程序

　　（1）評估信息系統、信息資源的安全狀況；

　　（2）分析風險，確定應對方案；

　　（3）制定戰略和措施，建立信息安全保護體系。

　　3. 信息安全措施實施程序

　　（1）根據信息安全政策和要求制定信息安全規定和操作規范；

　　（2）實施信息安全措施和操作規范；

　　（3）修訂完善信息安全規定和操作規范。

　　4. 信息安全管理監督程序

　　（1）建立監督檢查機制，確保信息安全政策和規定得到有效執行；

　　（2）建立內部審計機制，定期進行信息安全審核；

　　（3）建立風險管理機制，評估和處理各項信息安全風險。

　　5. 信息安全事件管理程序

　　（1）建立信息安全事件應急預案；

　　（2）識別和評估信息安全事件；

　　（3）采取措施進行應對和處理。

　　五、信息安全管理責任

　　1. 組織領導層的責任

　　（1）制定信息安全政策和保密制度；

　　（2）確保組織內部的信息安全狀況得到有效保障，對信息安全風險進行全面評估；

　　（3）確保相關人員能夠有效執行信息安全管理制度和政策，定期開展信息安全培訓活動；

　　（4）對違反信息安全規定和制度的行為進行處罰。 2. 信息安全管理與監督部門的責任

　　（1）建立信息安全管理制度，指導和協調信息安全工作的開展；

　　（2）監督和檢查各種信息系統、存儲媒介、應用系統等的安全性；

　　（3）對違反信息安全法規和內部規定的行為進行處理。

　　3. 個人責任

　　（1）遵守信息安全規定和制度，執行信息安全保護措施；

　　（2）保護機密信息，防止泄露；

　　（3）嚴禁進行網絡攻擊或其他有害行為；

　　（4）發現和處理信息安全事件，及時報告上級。

　　六、信息安全管理制度的修訂和監督

　　1. 修訂信息安全管理制度

　　本信息安全管理制度如遇重大安全事件或發生重大風險時，應當對制度進行修訂。修訂后的制度應當及時發布并進行全員培訓、學習。

　　2. 監督信息安全管理制度的實施

　　本信息安全管理制度的實施需進行定期的監督，以保證制度的有效實施和執行。監督包括不限于定期的信息安全風險評估、安全漏洞掃描、信息安全審計和監督檢查等。

　　3. 安全保密制度

　　本信息安全管理制度所包含的信息均為機密信息，未經允許不得外傳或傳遞給無關人員。本信息安全管理制度適用于各部門及其所有員工，任何人不得違反規定操作。一旦違反蕞絡，一切后果責任自行承擔。

　　信息安全培訓管理制度 5

　　第一章總則

　　第一條為加強公司計算機和信息系統（包括涉密信息系統和非涉密信息系統）平安保密管理，確保國家隱私及商業隱私的平安，依據國家有關保密法規標準和中核集團公司有關規定，制定本規定。

　　第二條本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的，根據肯定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡，包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。

　　第三條涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障平安”的方針，堅持“誰主管、誰負責，誰運用、誰負責”和“限制源頭、歸口管理、加強檢查、落實制度”的原則，確保涉密信息系統和國家隱私信息安全。

　　第四條涉密信息系統平安保密防護必需嚴格根據國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統，不得投入運用。

　　第五條本規定適用于公司全部計算機和信息系統平安保密管理工作。

　　第二章管理機構與職責

　　第六條公司法人代表是涉密信息系統平安保密第一責任人，確保涉密信息系統平安保密措施的落實，供應人力、物力、財力等條件保障，督促檢查領導責任制落實。

　　第七條公司保密委員會是涉密信息系統平安保密管理決策機構，其主要職責：

　　（一）建立健全平安保密管理制度和防范措施，并監督檢查落實狀況；

　　（二）協調處理有關涉密信息系統平安保密管理的重大問題，對重大失泄密事務進行查處。

　　第八條成立公司涉密信息系統平安保密領導小組，保密辦、科技信息部（信息化）、黨政辦公室（密碼）、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位，在公司黨政和保密委員會領導下，組織協調公司涉密信息系統平安保密管理工作。

　　第九條保密辦主要職責：

　　（一）擬定涉密信息系統平安保密管理制度，并組織落實各項保密防范措施；

　　（二）對系統用戶和平安保密管理人員進行資格審查和平安保密教化培訓，審查涉密信息系統用戶的職責和權限，并備案；

　　（三）組織對涉密信息系統進行平安保密監督檢查和風險評估，提出涉密信息系統平安運行的保密要求；

　　（四）會同科技信息部對涉密信息系統中介質、設備、設施的授權運用的審查，建立涉密信息系統平安評估制度，每年對涉密信息系統平安措施進行一次評審；

　　（五）對涉密信息系統設計、施工和集成單位進行資質審查，對進入涉密信息系統的平安保密產品進行準入審查和規范管理，對涉密信息系統進行平安保密性能檢測；

　　（六）對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核；

　　（七）組織查處涉密信息系統失泄密事務。

　　第十條科技信息部、財會部主要職責是：

　　（一）組織、實施涉密信息系統的規劃、設計、建設，制定平安保密防護方案；

　　（二）落實涉密信息系統平安保密策略、運行平安限制、平安驗證等平安技術措施；每半年對涉密信息系統進行風險評估，提出整改措施，經涉密信息系統平安保密領導小組批準后組織實施，確保平安技術措施有效、牢靠；

　　（三）落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權運用、保管以及維護等平安保密管理措施；

　　（四）配備涉密信息系統管理員、平安保密管理員和平安審計員，并制定相應的職責；“三員”角色不得兼任，權限設置相互獨立、相互制約；“三員”應通過平安保密培訓持證上崗；

　　（五）落實計算機機房、配線間等重要部位的平安保密防范措施及網絡的安全管理，負責日常業務數據及其他重要數據的備份管理；

　　（六）協作保密辦對涉密信息系統進行平安檢查，對存在的隱患進行剛好整改；

　　（七）制定應急預案并組織演練，落實應急措施，處理信息安全突發事務。

　　第十一條黨政辦公室主要職責：

　　根據國家密碼管理的相關要求，落實涉密信息系統中普密設備的管理措施。

　　第十二條相關業務部門、單位主要職責：涉密信息系統的運用部門、單位要嚴格遵守保密管理規定，教化員工提高平安保密意識，落實涉密信息系統各項平安防范措施；精確確定應用系統密級，制定并落實相應的二級保密管理制度。

　　第十三條涉密信息系統配備系統管理員、平安保密管理員、平安審計員，其職責是：

　　（一）系統管理員負責系統中軟硬件設備的運行、管理與維護工作，確保信息系統的平安、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。

　　（二）平安保密管理員負責平安技術設備、策略實施和管理工作，包括用戶帳號管理以及平安保密設備和系統所產生日志的審查分析。

　　（三）平安審計員負責平安審計設備安裝調試，對各種系統操作行為進行平安審計跟蹤分析和監督檢查，以剛好發覺違規行為，并每月向涉密信息系統平安保密領導小組辦公室匯報一次狀況。

　　第三章系統建設管理

　　第十四條規劃和建設涉密信息系統時，根據涉密信息系統分級愛護標準的規定，同步規劃和落實平安保密措施，系統建設與平安保密措施同安排、同預算、同建設、同驗收。

　　第十五條涉密信息系統規劃和建設的平安保密方案，應由具有“涉及國家隱私的計算機信息系統集成資質”的機構編制或自行編制，平安保密方案必需經上級保密主管部門審批后方可實施。

　　第十六條涉密信息系統規劃和建設實施時，應由具有“涉及國家隱私的計算機信息系統集成資質”的機構實施或自行實施，并與實施方簽署保密協議，項目竣工后必需由保密辦和科技信息部共同組織驗收。

　　第十七條對涉密信息系統要實行與密級相適應的保密措施，配備通過國家保密主管部門指定的測評機構檢測的平安保密產品。涉密信息系統運用的軟件產品必需是正版軟件。

　　第四章信息管理

　　第一節信息分類與限制

　　第十八條涉密信息系統的密級，按系統中所處理信息的最高密級設定，嚴禁處理高于涉密信息系統密級的涉密信息。

　　第十九條涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求剛好定密、標密，并按涉密文件進行管理。電子文件密級標識應與信息主體不行分別，密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總，并在保密辦備案。

　　第二十條涉密信息系統應建立平安保密策略，并實行有效措施，防止涉密信息被非授權訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機。涉密信息遠程傳輸必需實行密碼愛護措施。

　　第二十一條向涉密信息系統以外的單位傳遞涉密信息，一般只供應紙質文件，確需供應涉密電子文檔的，按信息交換及中間轉換機管理規定執行。

　　第二十二條清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時，必需運用符合保密標準、要求的工具或軟件。

　　第二節用戶管理與授權

　　第二十三條依據本部門、單位運用涉密信息系統的密級和實際工作須要，確定人員知悉范圍，以此作為用戶授權的依據。

　　第二十四條用戶清單管理

　　（一）科技信息部管理“探討試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單；財會部管理“財務會計核算網”用戶清單；

　　（二）新增用戶時，由用戶本人提出書面申請，經本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統一建立用戶；“財務會計核算網”的用戶由財會部統一建立；

　　（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準后由平安保密管理員即時將用戶在涉密信息系統內的全部帳號、權限廢止；“財務會計核算網”密辦審核，公司分管領導審批。開通、審批堅持“工作必需”的原則。

　　第二十五條國際互聯網計算機實行專人負責、專機上網管理，嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立運用登記制度。

　　第二十六條上網信息實行“誰上網誰負責”的保密管理原則，信息上網必需經過嚴格審查和批準，堅決做到“涉密不上網，上網不涉密”。對上網信息進行擴充或更新，應重新進行保密審查。

　　第二十七條任何部門、單位和個人不得在電子郵件、電子公告系統、閑聊室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家隱私信息。

　　第二十八條從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統，經科技信息部審批后，根據信息交換及中間轉換機管理規定執行。

　　第五章便攜式計算機管理

　　第二十九條便攜式計算機（包括涉密便攜式計算機和非涉密便攜式計算機）實行“誰擁有，誰運用，誰負責”的保密管理原則，運用者須與公司簽定保密承諾書。

　　第三十條涉密便攜式計算機依據工作須要確定密級，粘貼密級標識，根據涉密設備進行管理，保密辦備案后方可運用。

　　第三十一條便攜式計算機應具備防病毒、防非法外聯和身份認證（設置開機密碼口令）等平安保密防護措施。

　　第三十一條禁止運用涉密便攜式計算機上國際互聯網和非涉密網絡；嚴禁涉密便攜式計算機與涉密信息系統互聯。

　　第三十二條涉密便攜式計算機不得處理絕密級信息。未經保密辦審批，嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行，并與涉密便攜式計算機分別保管。

　　第三十三條禁止運用私有便攜式計算機處理辦公信息；嚴禁非涉密便攜式計算機存儲、處理涉密信息；嚴禁將涉密存儲介質接入非涉密便攜式計算機運用。

　　第三十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質，根據“集中管理、審批借用”的原則進行管理，建立運用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司，返回時須進行技術檢查。

　　第三十五條因工作須要外單位攜帶便攜式計算機進入公司辦公區域，需辦理保密審批手續。

　　第六章應急響應管理

　　第三十六條為有效預防和處置涉密信息系統平安突發事務，剛好限制和消退涉密信息系統平安突發事務的危害和影響，保障涉密信息系統的平安穩定運行，科技信息部和財會部應分別制定相應應急響應預案，經公司涉密信息系統平安保密領導小組審批后實施。

　　第三十七條應急響應預案用于涉密信息系統平安突發事務。突發事務分為系統運行平安事務和泄密事務，依據事務引發緣由分為災難類、故障類或攻擊類三種狀況。

　　（一）災難事務：依據實際狀況，在保障人身平安前提下，保障數據安全和設備安全；

　　（二）故障或攻擊事務：推斷故障或攻擊的來源與性質，關閉影響平安與穩定的網絡設備和服務器設備，斷開信息系統與攻擊來源的網絡物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息，修復被破壞的信息，復原信息系統。根據事務發生的性質分別采納以下方案：

　　1、病毒傳播：剛好找尋并斷開傳播源，推斷病毒的類型、性質、可能的危害范圍。為避開產生更大的損失，愛護計算機，必要時可關閉相應的端口，找尋并公布病毒攻擊信息，以及殺毒、防衛方法；

　　2、外部入侵：推斷入侵的來源，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威逼很小的外部入侵，定位入侵的IP地址，剛好關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應馬上采納斷開網絡連接的方法，避開造成更大損失和帶來的影響；

　　3、內部入侵：查清入侵來源，如IP地址、所在區域、所處辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的'，應剛好關閉被入侵的服務器或相應設備；

　　4、網絡故障：推斷故障發生點和故障緣由，能夠快速解決的盡快解除故障，并優先保證主要應用系統的運轉；

　　5、其它未列出的不確定因素造成的事務，結合詳細的狀況，做出相應的處理。不能處理的剛好詢問，上報公司信息安全領導小組。

　　第三十八條根據信息安全突發事務的性質、影響范圍和造成的損失，將涉密信息系統平安突發事務分為特殊重大事務（I級）、重大事務（II級）、較大事務（III級）和一般事務（IV級）四個等級。

　　（一）一般事務由科技信息部（或財會部）依據應急響應預案進行處置；

　　（二）較大事務由科技信息部（或財會部）、保密辦依據應急響應預案進行處置，剛好向公司信息安全領導小組報告并提請協調處置；

　　（三）重大事務啟動應急響應預案，對突發事務進行處置，剛好向公司黨政報告并提請協調處置；

　　（四）特殊重大事務由公司報請中核集團公司對信息安全突發事務進行處置。

　　第三十九條發生突發事務（如涉密數據被竊取或信息系統癱瘓等）應按如下應急響應的基本步驟、基本處理方法和流程進行處理：

　　（一）上報科技信息部和保密辦；

　　（二）關閉系統以防止造成數據損失；

　　（三）切斷網絡，隔離事務區域；

　　（四）查閱審計記錄找尋事務源頭；

　　（五）評估系統受損程度；

　　（六）對引起事務漏洞進行整改；

　　（七）對系統重新進行風險評估；

　　（八）由保密辦依據風險評估結果并書面確認平安后，系統方能重新運行；

　　（九）對事務類型、響應、影響范圍、補救措施和最終結果進行具體的記錄；

　　（十）依照法規制度對責任人進行處理。

　　第四十條科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練，檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效，并對其效果進行評估，以運用戶明確自己的角色和責任。應急響應相關學問、技術、技能應納入信息安全保密培訓內容，并記錄備案。

　　第七章人員管理

　　第四十一條各部門、單位每年應組織開展不少于1次的全員信息安全保密學問技能教化與培訓，并記錄備案。

　　第四十二條涉密人員離崗、離職，應剛好調整或取消其訪問授權，并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。

　　第四十三條擔當涉密信息系統日常管理工作的系統管理員、平安保密管理員、平安審計管理員應按重要涉密人員管理。

　　第八章督查與獎懲

　　第四十四條公司每年應對涉密信息系統平安保密狀況、平安保密制度和措施的落實狀況進行一次自查，并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的平安保密測評或保密檢查，檢查結果存檔備查。

　　第四十五條檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所運用的平安保密、漏洞檢查（取證）軟件等，應覆蓋保密檢查的項目，并通過國家保密局的檢測。平安保密檢查工具應剛好升級或更新，確保檢查時運用最新版本。

　　第四十六條各部門、單位應將員工遵守涉密計算機及信息系統平安保密管理制度的狀況，納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人，按公司保密責任考核及獎懲規定執行。

　　第九章附則

　　第四十七條本規定由保密辦負責說明與修訂。

　　第四十八條本規定自發布之日起實施。

　　信息安全培訓管理制度 6

　　一、總則

　　為加強公司信息安全風險源的預防管理，提高應急防范實力，保障網絡系統、信息系統及信息機房的整體平安，促進公司平安生產穩步健康發展，制定本預案。

　　二、編制目的

　　依據《中華人民共和國計算機信息系統平安愛護條例》、《中華人民共和國計算機信息網絡國際聯網平安愛護管理方法》等有關法規文件精神。確保公司信息網絡系統平安運行，為公司整體平安形勢穩步發展供應保障。

　　三、適用范圍

　　本預案適用于各單位信息安全突發風險應急管理。

　　四、主要風險源

　　1、火災；

　　2、意外斷電；

　　3、重要數據丟失；

　　4、網絡系統大面積癱瘓。

　　五、風險源辨識及評估

　　各單位應組織員工對風險源進行全面、系統的辨識和風險評估，并確保：危急源辨識前要進行相關學問的培訓；辨識范圍覆蓋本單位的全部活動及區域；對危急源辨識和風險評估資料進行統計、分析、整理、歸檔；

　　5.1、火災辨識及評估

　　5.1.1火災辨識

　　（1）自然災難引起的火災。

　　（2）強電線路短路引起的火災。

　　（3）雜物積累引起的火災。

　　（4）溫度過高引起的火災。

　　（5）老鼠咬線引起的火災。

　　5.1.2火災風險評估

　　機房發生火災可能導致工作人員人身受到損害；信息網絡設備受到損壞；網絡系統大面積癱瘓；國家、集體財產受到損失。

　　5.2、意外斷電辨識及評估

　　5.2.1意外斷電辨識

　　（1）自然災難引起的意外斷電。

　　（2）短路跳閘引起的意外斷電。

　　5.2.2意外斷電風險評估

　　1、意外斷電可能導致機房核心交換機、防火墻、匯聚交換機、數據庫服務器、軟件服務器、恒溫設備等重要設備損壞或數據丟失；

　　2、意外斷電可能導致煙霧報警系統、溫度報警和斷市電系統無法正常工作而帶來的間接財產損失。

　　5.3、重要數據丟失辨識及評估

　　5.3.1重要數據丟失辨識

　　（1）意外斷電引起的數據丟失。

　　（2）服務器故障引起的數據丟失。

　　（3）數據庫損壞引起的數據丟失。

　　5.3.2重要數據丟失風險評估

　　1、平安軟件系統數據丟失可能導致平安生產監控類系統數據無法正常采集于傳輸，影響到礦井平安生產的正常進行。

　　2、數據庫系統數據丟失可能導致經營管理類系統無法正常運用，影響公司相關部門經營管理工作和日常辦公無法正常進行。

　　5.4、網絡系統大面積癱瘓

　　5.4.1 網絡系統大面積癱瘓辨識

　　（1）意外斷電引起的核心交換機、防火墻損壞或故障導致網絡系統大面積癱瘓。

　　（2）通信線路中斷引起的網絡系統大面積癱瘓。

　　（3）服務器損壞或故障引起的大面積無法登錄互聯網。

　　5.4.2 網絡系統大面積癱瘓風險評估

　　1、網絡系統大面積癱瘓可能導致公司與生產礦井之間的信息傳輸中斷，管理部門失去對礦井生產的平安監管，平安生產無法正常進行。

　　2、網絡系統大面積癱瘓可能導致公司日常辦公無法正常進行。

　　5.5、高空作業辨識及評估

　　5.5.1高空作業辨識

　　（1）日常高空修理可能造成人身損害。

　　（2）工程高空施工可能造成人身損害。

　　5.5.2高空作業風險評估

　　日常高空修理網絡設備、打掃衛生和高空施工可能造成工作人員人身損害和精神損害，影響公司平安生產穩步發展。

　　六、平安風險應急預案及措施

　　依據各單位存在的主要風險源和風險評估，保障平安生產工作有序進行，制定本預案及措施。

　　6.1火災應急預案及處置措施

　　6.1.1應急預案

　　（1）發生特大火災時（包括機房、UPS、庫房），值班人員應馬上逃離火災范圍，啟動對應的火災應急預案和響應級別，拉響警報，向公司總調度室、本單位負責人、單位安監部門匯報，在確保人身平安的狀況下，組織人員利用滅火器進行滅火；假如火勢過大，人員無法靠近時，應馬上撥打火警119，求助消防部門進行滅火。

　　（2）發生重大火災時（包括機房局部、UPS限制器、庫房局部），值班人員應馬上逃離火災范圍，啟動對應的火災應急預案，拉響警報，向公司調度室和本單位安監部門匯報，在確保人身平安的狀況下，組織人員利用滅火器進行滅火，力爭將財產損失降到最低。

　　（3）發生較大火災時（包括消防通道、辦公室）值班人員應啟動對應的火災應急預案，向公司總調度室及本單位安監部門匯報，在確保人身平安的狀況下，組織人員利用滅火器進行滅火，避開或降低財產損失。

　　6.1.2處置措施

　　（1）火災發生時，值班和工作人員應馬上脫離火災范圍，確保人身平安。

　　（2）依據火災大小確定火災風險等級，并啟動相應的響應等級。

　　（3）依據火災風險等級向公司總調度室及本單位安監部門匯報火災狀況。

　　（4）火勢過大無法限制時，應馬上撥打火警119進行求助。

　　（5）在確保人身平安的狀況下，組織人員利用滅火器進行滅火，避開火災擴大，降低財產損失。

　　（6）盡最大可能搜集火災發生的相關信息，做好記錄，為事故處理供應依據。

　　（7）每月針對火災誘發根源進行徹底檢查（如易燃物品不能堆放、庫房物品分類并整齊擺放等），預防火災的發生。

　　6.2、意外斷電應急預案及處置措施

　　6.2.1應急預案

　　發生自然災難和短路引起的意外斷電時，值班人員在確保人身平安的'狀況下，依據風險等級啟動相應的響應等級，向本單位安監部門進行匯報，邀請電力修理人員進行斷電故障排查，并組織技術人員對機房核心交換機、防火墻、匯聚交換機、數據庫服務器、數據備份服務器、軟件服務器、軟件系統、煙霧報警、UPS溫度監控、機房溫度監控系統進行隱患排查，發覺設備故障和數據丟失，應當進行剛好處理和上報。

　　6.2.2處置措施

　　（1）發生意外斷電時，在確保人身平安的狀況下，值班人員應啟動相應的響應等級。

　　（2）向本單位安監部門進行匯報。

　　（3）必需請專業電力修理人員進行故障排查與修理。

　　（4）搜集意外斷電發生的信息并作好記錄，為事故處理供應依據。

　　6.3、重要數據丟失應急預案及處置措施

　　6.3.1應急預案

　　（1）因意外斷電引起重要數據丟失時，值班人員應依據風險等級啟動相應的響應等級，向公司總調度室和安監部門進行匯報，邀請專業電力修理人員進行故障排查，復原供電正常，排查機房設備及數據狀況，發覺設備故障和數據丟失，馬上組織相關技術人員進行復原。

　　（2）因服務器故障引起數據丟失時，值班人員應依據風險等級啟動相應的響應等級，向公司總調度室和案件部門進行匯報，并組織技術人員進行服務器修理和數據復原，假如服務器和數據無法修理和復原時，應向本單位負責人匯報并外請專業人員進行修理，確保設備和數據平安。

　　（3）因數據庫無法啟動引起的數據丟失，值班人員應依據風險等級啟動相應的響應等級，向公司總調度室和案件部門進行匯報，并組織技術人員進行數據復原，假如數據無法復原，應向本單位負責人匯報并外請專業人員進行數據復原，確保設數據平安。

　　6.3.2處置措施

　　（1）發生數據丟失時，值班人員應依據風險等級啟動相應相應等級。

　　（2）值班人員向本單位安監部門匯報。

　　（3）組織技術人員對數據進行復原。

　　（4）本單位技術人員無法復原丟失數據時，應向本單位負責人匯報并外請專業人員進行數據復原，確保數據平安。

　　（5）做好數據丟失與復原過程的記錄。

　　6.4、高空作業應急預案及處置措施

　　6.4.1應急預案

　　（1）在高空修理過程中發生人員墜落風險時，假如墜落人員處于醒悟狀態，應馬上撥打120送往醫院進行急救；假如墜落人員處于昏迷狀態，其他修理人員應當馬上進行簡潔的急救（如將人平躺在地上，進行按壓胸部、掐人中、人工呼吸等），同時撥打120急救電話送往醫院進行搶救，并向公司總調度室、本單位負責人及安監部門匯報。

　　（2）在高空施工過程中發生人員墜落風險時，假如墜落人員處于醒悟狀態，應馬上撥打120送往醫院進行急救；假如墜落人員處于昏迷狀態，其他修理人員應當馬上進行簡潔的急救（如將人平躺在地上，進行按壓胸部、掐人中、人工呼吸等），同時撥打120急救電話送往醫院進行搶救，并向公司總調度室、本單位負責人及安監部門匯報。

　　6.4.2處置措施

　　（1）日常高空修理必需在確保人身平安的狀況下進行，否則不能進行修理作業。

　　（2）在日常工作中設計到高空修理，修理人員肯定要2人或2人以上進行修理。否則，修理人員可以拒絕修理工作。

　　（3）高空修理人員必需佩帶平安繩索，并采納平安梯子進行高空作業。否則，不能進行高空修理作業。

　　（4）事故發生后要對事故的經過進行具體記錄，為事故處理供應依據。