信息安全管理制度

Slide2:上海市业余科技学院

一、信息安全管理制度

（1）只要符合国家信息安全法律、法规时规定，各单位、组织可以根据自身口勺实际状况和特点，制定信息安全管理制度，其详细内容如下P113

（1）安全方略与制度；

（2）安全风险管理.；

（3）人员和组织安全管理；

（4）环境与设备安全管理；

（5）网络与通信安全管理；

（6）应用与业务安全管理；

（7）数据安全和加密管理；

（8）项目工程安全管理；

（9）运行和维护安全管理；

（10）业务持续性管理:

（11）合规性管理；

（12）主机与系统安全管理；Slide3:上海市业余科技学院（）

二、信息安全管理制度示例1

（一）物理环境安全管理规范

1.安全域为了防止非法进入、危害和干扰，保证内部设备的运行安全和信息安全,理工作，建立健全安全保护管理制度；

（二）贯彻安全保护技术措施，保障本网络的运行安全和信息安全；

（三）负责对本网络顾客日勺安全教育和培训；

（四）对委托公布信息的单位和个人进行登记，并对所提供的信息内容按照本措施第五条进行审核；

（五）建立计算机信息网络电子公告系统日勺顾客登记和信息管理制度；

（六）发既有本措施第四条、第五条、第六条、第七条所列情形之一日勺，应当保留有关原始记录，并在24小时内向当地公安机关汇报；

（七）按照国家有关规定，删除本网络中具有本措施第五条内容日勺地址、目录或者关闭服务器〃Slide17:上海市业余科技学院

五、安全管理制度

（1）安全组织、安全管理员、安全审计员的安全责任制度；

（2）新闻组、BBS等交互式栏目及个人主页等信息服务栏目的I安全管理制度；

（3）信息公布审核和登记制度；

（4）信息巡查、保留、清除出和备份制度；

（5）病毒和网络安全漏洞检测制度；

（6）异常状况及违法犯罪案件汇报和协查制度；

（7）帐号使用登记和操作权限管理制度；

（8）安全教育和培训制度;

（9）立案制度;

（10）其他与安全保护有关口勺管理制度；Slide18:上海市业余科技学院

六、安全保护技术措施

（1）

1.互联网服务提供者和联网使用单位应当贯彻如下互联网安全保护技术措施

（一）防备计算机病毒、网络入侵和袭击破坏等危害网络安全事项或者行为的技术措施；

（二）重要数据库和系统重要设备时冗灾备份措施；

（三）记录并留存顾客登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护FI志H勺技术措施；

2.提供互联网接入服务口勺单位应当贯彻如下功能日勺安全保护技术措施（-）记录并留存顾客注册信息；

（二）使用内部网络地址与互联网网络地址转换方式为顾客提供接入服务日勺，可以记录并留存顾客使用日勺互联网网络地址和内部网络地址对应关系；

（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能Slide19:上海市业余科技学院

六、安全保护技术措施

（2）

3.提供互联网信息服务的单位应当贯彻如下功能的安全保护技术措施

（一）在公共信息服务中发现、停止传播违法信息，并保留有关记录；

（二）提供新闻、出版以及电子公告等服务啊，可以记录并留存公布的信息内容及公布时间；

（三）开办门户网站、新闻网站、电子商务网站的J,可以防备网站、网页被篡改，被篡改后可以自动恢复；

（四）开办电子公告服务卧J,具有顾客注册信息和发布信息审计功能；

（五）开办电子邮件和网上短信息服务的J,可以防备、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息Slide20:上海市业余科技学院

六、安全保护技术措施

（3）

4.提供互联网数据中心服务的I单位和联网使用单位还应当贯彻具有如下功能的安全保护技术措施（-）记录并留存顾客注册信息；

（二）在公共信息服务中发现、停止传播违法信息，并保留有关记录；

（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向顾客提供接入服务口勺,可以记录并留存顾客使用的互联网网络地址和内部网络地址对应关系应在计算机机房内部划分安全域安全域包括主机、网络、打印、操作、介质等严格控制人员出入安全域

2.门禁控制□必须设置控制人员出入时门禁系统（如磁卡、指纹识别等），并建立24小时值班制度□门禁系统按照最小授权原则，严格控制计算机机房及内部各安全域的J人员出入3•监控与报警计算机机房必须安装摄像监控系统，对机房大门和重要区域进行监控和记录，在发现异常状况时，启动报警系统，报警系统与保安系统和公安部110联动

4.人员安全管理对于机房工作人员，按照其工作岗位职能进行不一样级别的授权，严格控制人员访问机房内部区域的权限，保证机房物理环境的安全Slide4:上海市业余科技学院

二、信息安全管理制度示例

（2）

5.设备放置与保护设备放置与保护的原则

①关键设备和需要尤其保护的设备，应在物理上实既有效隔离

②设备放置应有助于控制并减少潜在威胁和风险设备放置应考虑便于维护

③设备应放置在对应口勺安全域中

6.电源管理

①配电系统应有详细口勺配线图；

②配电柜设备要放置在便于维护的明显位置，注意各线路负载；

③增长、迁移、变更设备时，必须及时修改配线图；

④对于规定双路供电日勺设备，双路甩源必须来自不一样日勺UPSSlide5:上海市业余科技学院

二、信息安全管理制度示例

（3）

7.电缆管理

①计算机机房内，电源电缆和通信电缆应铺设在地板下，通过屏蔽保护以防止干扰；

②根据设备H勺用电负荷合理选用电缆；

③对于多路主干通信线路进入计算机机房，应采用不一样的方向，不一样电缆井H勺入户方式，以减少外界施工带来的破坏风险

8.环境管理和维护

①定期检查和记录机房环境的I温度、湿度等

②定期检查多种环境设备H勺运转状况；

③定期对多种环境设备进行例行检修；

9.设备常规管理建立签收制度，设置专职介质管理岗位，严格管理多种存储介质和信息报表文档介质在报废之前应删除信息，并集中统一保管，按摄影应规范的保密性规定进行报废处理不得在机房内拍照，不得随意取走机房内口勺设备和资料Slide6:上海市业余科技学院

二、信息安全管理制度示例

（4）

10.设备变更管理对任何设备的迁移、扩容和升级、维修、施工等操作均应制定对应的制度和原则工作流程，实行结结束，应向安检部门递交对应的记录和技术文档

11.设备故障处理

①将故障分为两类一类电源等系统故障；二类空调、门禁等故障；

②发生一类故障应及时采用应急措施，如切换到UPS等;发生二类故障时，，应尽快找故障原因并排除故障

12.管理制度和规定应当制定严密的规范和各项管理制度，包括值班制度、机房管理规定等Slide7:上海市业余科技学院

二、信息安全管理制度示例

（5）

（二）终端计算机安全使用规范（）1安装防病毒软件，在线自动更新功能；

（2）将IE浏览器的安全级别调整为中〃，将隐私级别设置为中高〃;

（3）应安装操作系统的最新补丁软件包，弥补安全漏洞；

（4）启动操作系统日勺自动更新服务；

（5）设置登录密码，并定期修改；

（6）清除IE浏览器的临时文献夹，防止部分敏感内容泄露；

（7）注意定期备份重要文献

（8）注意不要随意打开邮件，并立即予以删除；

（9）严禁私自修改系统的计算机命名标识和网络配置；

（10）严禁在办公网络中使用调制解调器拨号上网；（）11严禁私自安装多种应用软件；

（12）严禁访问互联网上与工作无关或来历不明日勺站点，严禁从互联网上下载与工作无关日勺文献Slide8:上海市业余科技学院

二、信息安全管理制度示例

（6）

（三）防火墙系统管理规范防火墙是企业网络安全的关键设备，是不一样网络安全域间通信流的唯一通道，能根据企业有关的安全方略控制（容许、拒绝、监视和记录）进出网络的访问行为，同步也控制着网络资源H勺分派和应用

1.岗位职能防火墙应承担的责任

①防火墙规划和布署、方略制定，规则配置与测试；

②防火墙状态监控和日志审计分析;

③安全事件的响应处理;

2.规划和布署，配置测试应当防止在配置上日勺错误及对企业安全方略的违反，在防火墙配置完毕后，管理人员在企业网络上对防火墙配置进行一定的测试

3.防火墙状态监控防火墙自身日勺异常状态对于整个网络日勺安全来说举足轻重，异常也许是由偶发日勺安全信息流引起日勺，但更大的也许是出现了网络安全问题Slide9:上海市业余科技学院

二、信息安全管理制度示例

（7）

4.防火墙日志分析必须定期对防火墙口志进行备份和分析，理解网络和信息系统所面临的安全威胁现实状况，并根据分析结果虽然调整防火墙H勺安全规则配置

5.安全事件日勺响应处理防火墙对重要的安全事件进行实时的报警而不是日志备份，因此，管理员有能力根据安全事件报警信息作出响应应当尽快检查防火墙，以确定与否有危害网络安全的事件发生，并汇报上级信息安全管理部门Slide10:上海市业余科技学院第四节互联网安全管理Slide11:上海市业余科技学院

一、概述

（1）

1.1996年2月1日国务院公布《计算机信息网络国际联网管理暂行规定》

2.1997年12月11日经国务院同意，公安部发布了《计算机信息网络国际联网安全保护管理措施》

3.2005年12月13日，公安部公布了《互联网安全保护技术措施规定》

4.所有与国际联网活动有关的单位，必须遵守国家对互联网安全管理有关H勺规定，充足履行所需承担的安全保护职责，配合国家完毕有效的安全管理Slide12:上海市业余科技学院

二、合用范围1,互联网服务提供者是指向顾客提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位

5.提供互联网数据中心服务的单位是指提供主机托管、租赁和虚拟空间租用等服务口勺单位

6.联网使用单位是指为本单位需要连接并使用互联网口勺单位Slide13:上海市业余科技学院

三、严禁行为

（1）

1.《计算机信息网络国际联网管理暂行规定》第13条规定从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得运用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播阻碍社会治安的信息和淫秽色情等信息〃Slide14:上海市业余科技学院

三、严禁行为

（2）

2.对于互联网信息公布的内容，《计算机信息网络国际联网安全保护管理措施》第5条明确规定任何单位和个人不得运用国际联网制作、复制、查阅和传播下列信息

（一）煽动抗拒、破坏宪法和法律、行政法规实行的；

（二）煽动颠覆国家政权，推翻社会主义制度口勺；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

（七）公然欺侮他人或者捏造事实诽谤他人的；

（八）损害国家机关信誉日勺；

（九）其他违反宪法和法律、行政法规的〃Slide15:上海市业余科技学院

三、严禁行为

（3）3•对于互联网活动行为，《计算机信息网络国际联网安全保护管理措施》第6条明确规定任何单位和个人不得从事下列危害计算机信息网络安全时活动

（一）未经容许，进入计算机信息网络或者使用计算机信息网络资源的；

（二）未经容许，对计算机信息网络功能进行删除、修改或者增长的；

（三）未经容许，对计算机信息网络中存储、处理或者传播的数据和应用程序进行删除、修改或者增长的；

（四）故意制作、传播计算机病毒等破坏性程序的；I

（五）其他危害计算机信息网络安全的Slide16:上海市业余科技学院（）

四、安全保护职责1L根据《计算机信息网络国际联网安全保护管理措施》第10条明确规定互联单位、接入单位及使用计算机信息网络国际联网日勺法人和其他组织应当履行下列安全保护职责

（一）负责本网络的安全保护管。