網絡安全管理規章制度
制度是作為社會、政治和經濟機制的基礎,對于解決復雜的現代社會問題至關重要。寫好網絡安全管理規章制度要注意什么?小編給大家分享網絡安全管理規章制度,希望對大家有所幫助。
網絡安全管理規章制度篇1
提升網絡安全保護水平
《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)已于20--年6月1日起施行。《網絡安全法》明確了網絡安全保護和監管的工作原則、管理體制和管理制度,為維護我國網絡空間主權、國家安全和社會公共利益提供了有力的法律保障,為公安網安部門履行網絡安全監管職責提供了有力的法律武器,為公安機關維護社會大局穩定、促進社會公平正義、保障人民群眾安居樂業提供了有力的支持。公安機關尤其是公安網安部門必須深入學習《網絡安全法》,主動應對其帶來的各種變化,依法履行網絡安全監管職能,大力推動《網絡安全法》執法實踐。本文從深入理解領會、把握職能定位和厘清競合適用三個維度探討公安機關如何貫徹落實《網絡安全法》,重點解讀《網絡安全法》與相關網絡安全管理法律、行政法規和規章在七項管理制度上的交叉理解和競合適用問題。
1
深入理解領會
作為我國第一部網絡安全的基礎性法律,《網絡安全法》貫穿了網絡空間主權維護、網絡安全與信息化發展并重、網絡安全綜合治理、網絡安全重點保護四項原則,體現了我國對網絡安全規律認識的逐步深化;規定了國家網信部門統籌協調,電信、公安依法履行安全保護和監督管理的管理體制,有助于進一步強化各部門的資源整合和行動協同;確立或重申了網絡安全等級保護、網絡產品和服務管理、網絡實名、個人信息保護、網絡信息和應用管理、關鍵信息基礎設施保護(含國家安全審查、個人信息和重要數據境內存儲)、監測預警和應急處置等七大制度,規定了執法協助、危害行為規制、責任追究等三大項行政立法的通用要求(見下圖);總體來看,《網絡安全法》形成了網絡自身保護與網絡服務保護相結合,網絡技術安全與內容安全相結合,網絡生命周期管控與網絡供應鏈條管控相結合,教育、查處和信用懲戒相結合的制度體系。
《網絡安全法》的體系架構圖
2
把握職能定位
在網絡安全監督管理體制方面,《網絡安全法》第八條規定國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。目前其他規定網絡安全職責問題的“法律、行政法規”主要有《中華人民共和國警察法》、《互聯網信息服務管理辦法》、《中華人民共和國計算機信息系統安全保護條例》(以下簡稱《條例》)、《計算機信息網絡國際聯網安全保護管理辦法》(以下簡稱《辦法》)等。《中華人民共和國警察法》、《條例》和《辦法》分別明確了公安機關的人民警察主管計算機信息系統安全監察工作、公安部主管全國計算機信息系統安全保護工作、公安部計算機管理監察機構負責計算機信息網絡國際聯網的安全保護管理工作。綜上所述,國家網信部門是網絡安全的統籌協調部門,而公安機關是網絡安全的法定主管部門,因而《網絡安全法》中,除了明確規定由公安機關負責的事項,對于未列明監管部門或者寬泛規定由“有關主管部門”負責的事項,公安機關均應承擔監管職責。公安機關應準確把握職能定位,推動各級公安網安部門積極開展《網絡安全法》的執法工作。
3
厘清競合適用
《網絡安全法》不少制度、條款、術語與其他網絡安全管理相關法律、行政法規、規章存在交叉和不一致,網絡安全等級保護、網絡實名、個人信息保護、網絡信息和應用軟件管理、關鍵信息基礎設施保護、執法協助、危害行為規制等七項管理制度須重點進行關聯解讀和適用理解。
1)網絡安全等級保護
《網絡安全法》第二十一條、第二十五條規定了等級保護目的在于“保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改”,從管理制度、操作規程、安全負責人、防病毒、攻擊、侵入、數據保護以及應急處置等方面強化網絡安全等級保護義務,并明確了還需落實“法律、行政法規規定的其他義務”,違者根據第五十九條處罰。目前,明確對網絡安全等級保護做出規定的行政法規有《條例》第九條“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。”并在第二十條規定違反等級保護制度可以警告或者停機整頓的行政處罰。為落實《條例》,公安部會同國家保密局、國家密碼管理局、國家信息化領導小組辦公室于20--年出臺了《信息安全等級保護管理辦法》,規定了等級保護的定級、備案、建設、整改、測評等流程以及三級以上信息系統選用安全專用產品和測評機構的要求,在具體的安全管理制度和技術措施方面則指向了推薦性的行業標準。因此,違反《信息安全等級保護管理辦法》關于流程方面的強制性規定,則違反了《條例》第九條,可以按照《條例》第二十條處罰。而根據《網絡安全法》的規定,《條例》及《信息安全等級保護管理辦法》規定的等級保護有關義務屬于《網絡安全法》第二十一條規定的“法律、行政法規規定的其他義務”,因此,應適用《網絡安全法》第五十九條處罰。此外,還有《辦法》中規定的安全義務,雖然未列明屬于等級保護,但如其屬于實體安全、運行安全、數據安全范疇,目的在于“保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改”的,也應適用《網絡安全法》第五十九條處罰。而根據《辦法》制訂的《互聯網安全保護技術措施規定》(以下簡稱《規定》)規定的運行安全、數據安全義務,在處罰時應引用《辦法》,將《規定》規定的細化要求視為《辦法》中有關安全義務的解釋,在此基礎上運用《網絡安全法》實施處罰。
2)網絡實名
《網絡安全法》第二十四條規定了“網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息、即時通訊等服務”等服務,“應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。”第六十一條規定了處罰。而《中華人民共和國怖主義法》(以下簡稱《法》)第二十一條規定,“電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者,應當對客戶身份進行查驗。對身份不明或者拒絕身份查驗的,不得提供服務”,并在第八十六條規定了處罰。《規定》第八條、第九條、第十條則規定了接入服務、互聯網數據中心服務單位和聯網單位要記錄并留存用戶注冊信息,開辦電子公告服務的,具有用戶注冊信息和信息審計功能。綜上所述,網絡實名的完整要求包括了要求用戶提供真實身份信息、真實身份信息的核驗、對真實身份信息的留存、不提供則不服務四個方面,分別在《網絡安全法》、《法》、《規定》作了要求,對違反者應分別適用相應依據處罰。
3)個人信息保護
《網絡安全法》第四十二條規定網絡運營者“未經被收集者同意,不得向他人提供個人信息”,而第四十四條規定“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”,相應的法律責任分別由第六十四條第一款和第二款作了規定,存在競合之處,前者規定的是特殊主體“網絡運營者”,后者是一般主體“任何個人和組織”。對網絡運營者的違法行為應依照第六十四條第一款處罰,對其他主體(包括網絡運營者內部員工的個人違法行為)則依據依照第六十四條第二款處罰。
4)網絡信息和應用軟件管理
《網絡安全法》第四十七條規定,“網絡運營者應當加強對其用戶的信息的管理,發現法律、行政法規禁止或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告”。但在第六十八條第一款僅規定“違反本法第四十七條規定,對法律、行政法規禁止或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的”給予處罰,并將“向有關主管部門報告”納入在內。而對違法信息未停止傳輸、采取消除等措施既包括了未“加強對用戶的信息的管理”,還包括了“發現”違法信息但未采取措施。此外,《規定》中第九條、第十條明確了互聯網信息服務、互聯網數據中心服務提供者和聯網單位要“在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄”,與《網絡安全法》的規定競合,應適用《網絡安全法》。
另外,《網絡安全法》第四十八條規定,“電子信息發送服務提供者和應用軟件下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,采取消除等處置措施,保存有關記錄,并向有關主管部門報告。”并在第六十八條第二款明確了法律責任,其適用對象是電子信息發送服務提供者(似乎指的是通信網絡的短信息)和應用軟件下載提供者,將安全義務、處置義務、報告義務全面納入,適用的行為是發送信息及提供應用軟件,而不僅僅是信息。
5)關鍵信息基礎設施保護
《網絡安全法》第三十八條規定,“除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務”,并在第五十九條第二款規定了處罰。因此,第三十八條對關鍵信息基礎設施運營者的安全義務的規定包含了第三十八條的內容,關鍵信息基礎設施的運營者不履行第三十八條的義務,應按照第五十九條第二款處罰。第三十八條規定“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。”其“檢測評估”與《信息安全等級保護管理辦法》規定的“等級測評”存在交叉。由于關鍵信息基礎設施保護是“在網絡安全等級保護制度的基礎上,實行重點保護”,因此,關鍵信息基礎設施的等級測評仍應開展。
6)執法協助
《網絡安全法》規定了情況報告機制、技術支持協助、配合監督檢查、配合信息處置等執法協助義務,與《法》、《條例》、《辦法》存在復雜的競合關系,須正確理解適用。
(1)情況報告。《網絡安全法》第十四條、第二十二條、第二十五條、第四十二條、第四十七條、第四十八條規定了危害網絡安全行為舉報、網絡產品和服務風險報告、網絡安全事件報告、個人信息事件報告、違法信息報告、惡意程序報告等制度。第十四條規定,“任何個人和組織有權對危害網絡安全的行為向網信、電信、公安等部門舉報”。第二十二條規定網絡產品、服務“發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告”。第二十五條規定網絡運營者“在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告”。第四十二條規定網絡運營者“在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告”。第四十七條規定網絡運營者“發現法律、行政法規禁止或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告”。第四十八條規定電子信息發送服務提供者和應用軟件下載服務提供者發現其用戶發送的電子信息、提供的應用軟件,設置惡意程序,或者含有法律、行政法規禁止或者傳輸的信息應“并向有關主管部門報告。”《網絡安全法》第五十九條、第六十條、第六十四條、第六十八條規定違反網絡產品和服務風險報告、網絡安全事件報告、個人信息事件報告、電子信息發送服務提供者和應用軟件下載服務提供者對違法信息和惡意程序的報告由有關主管部門處罰。而《條例》第十四條也規定“對計算機信息系統中發生的案件,有關使用單位應當在24小時內向當地縣級以上人民政府公安機關報告”,并在第二十條中規定了處罰。因此,對于違反《網絡安全法》規定的網絡產品和服務風險報告、網絡安全事件報告、個人信息事件報告,以及電子信息發送服務提供者和應用軟件下載服務提供者的惡意程序和違法信息報告等責任,未向公安機關履行報告義務的,公安機關可以根據《網絡安全法》相關條款處罰,對于其他案件包括違法信息的報告,其法律責任仍適用《條例》第二十條。
(2)技術支持協助。《網絡安全法》第二十八條規定“網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助”,并在法律責任中規定了由有關主管部門處罰。該條系借鑒《法》第十八條所作的規定。但未明確提到十八條規定的“接術接口和解密”。《法》規定了由主管部門處罰,情節嚴重的并可以由公安機關處以行政拘留。而《辦法》第八條則規定“從事國際聯網業務的單位和個人應當接受公安機關的安全監督、檢查和指導,如實向公安機關提供有關安全保護的信息、資料及數據文件,協助公安機關查處通過國際聯網的計算機信息網絡的違法犯罪行為”,并規定了公安機關對拒不如實提供有關安全保護的信息、資料及數據文件行為的處罰。《規定》第十六條規定“互聯網服務提供者依照本規定采取的互聯網安全保護技術措施應當具有符合公共安全行業技術標準的聯網接口”,并規定了違者適用《辦法》予以處罰。具體適用上,如屬于防范、調查恐怖活動的情形,適用《法》,如屬于其他維護國家安全和偵查犯罪的情形,適用《網絡安全法》。如果不屬于維護國家安全、偵查犯罪以及防范和調查恐怖活動的情形,未如實提供有關安全保護的信息、資料及數據文件,互聯網服務提供者互聯網安全保護技術措施未具有符合公共安全行業技術標準的聯網接口,則適用《辦法》。
(3)配合監督檢查。《網絡安全法》第六十九條規定了對“拒絕、阻礙有關部門依法實施的監督檢查”的行為實施處罰。而《中華人民共和國治安管理處罰法》(以下簡稱《治安管理處罰法》)第五十條規定了對“阻礙人民警察依法執行職務”的處罰。因此,拒絕公安機關依法實施的網絡安全監督檢查的,根據《網絡安全法》第六十九條第(二)項處罰。阻礙公安機關依法實施的網絡安全監督檢查的,對“單位”根據《網絡安全法》第六十九條第(二)項處罰,對“其直接負責的主管人員和其他直接責任人員”依據《治安管理處罰法》第五十條予以處罰。
(4)配合信息處置。《網絡安全法》第五十條規定,“國家網信部門和有關部門依法履行網絡信息安全監督管理職責,發現法律、行政法規禁止或者傳輸的信息的,應當要求網絡運營者停止傳輸,采取消除等處置措施,保存有關記錄;對來源于中華人民共和國境外的上述信息,應當通知有關機構采取技術措施和其他必要措施阻斷傳播。”并在第六十九條規定了處罰。而《辦法》第十八條規定“公安機關計算機管理監察機構發現含有本辦法第五條所列內容的地址、目錄或者服務器時,應當通知有關單位關閉或者刪除”。《法》第十九條第二款規定“網信、電信、公安、國家安全等主管部門對含有恐怖主義、極端主義內容的信息,應當按照職責分工,及時責令有關單位停止傳輸、刪除相關信息,或者關閉相關網站、關停相關服務。有關單位應當立即執行,并保存相關記錄,協助進行調查。對互聯網上跨境傳輸的含有恐怖主義、極端主義內容的信息,電信主管部門應當采取技術措施,阻斷傳播。”并在第八十四條規定了處罰。因此,不按照公安機關的要求對法律、行政法規禁止或者傳輸的信息,采取停止傳輸、消除等處置措施的,公安機關可以依照《網絡安全法》第六十九條給予處罰。電信業務經營者、互聯網服務提供者未落實安全、信息內容監督制度和安全技術防范措施,造成含有恐怖主義、極端主義內容的信息傳播,由公安機關依照《法》處罰。至于處置措施,除了停止傳輸、消除外,還可使用《法》所提到的關閉相關網站、關停相關服務,還有《辦法》提到的關閉地址、目錄、服務器。
7)危害行為規制
《網絡安全法》第二十七條規定了“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具”,并在第六十三條規定了違反第二十七條的行政處罰,其目的是與《刑法》第二百八十五條、第二百八十六條相銜接,但在細節上有所不同,在危害網絡安全活動的程序、工具方面,《刑法》列明是“用于侵入、非法控制”。而《網絡安全法》列明“用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動”,隱含了“非法控制”這一類。
網絡安全管理規章制度篇2
一、計算機信息系統安全領導小組應對所有進入校園網的信息進行有效的病毒檢測。對于新發現的病毒要及時備份染毒文件并提交殺毒軟件提供商,以盡快獲得解決方案。
二、所有對外發布的信息必須進行有效的病毒檢測,以防止病毒的擴散,對于新發現的病毒要及時備份染毒文件,并追查病毒來源。
三、計算機信息系統安全領導小組應隨時檢查防火墻、網絡病毒檢測等網絡安全技術措施的配置,以防止網絡安全漏洞造成的后果擴散。
四、計算機信息系統安全領導小組應對學校網絡進行有效的網絡安全配置,并要求各辦公室報告已發現網絡安全漏洞。
五、計算機信息系統安全領導小組應采用合理的技術手段對網絡運行安全進行有效的監控。
六、嚴禁校園網內各辦公室及功能室任何上網計算機對全網絡范圍內進行網絡掃描、偵聽、IP欺騙、對校園網主機或其他部門的主機進行非法攻擊或侵入等非法活動,一經發現,將按情節予以中斷網絡連接或校內公開批評處理。
七、嚴禁校園網內的用戶利用網絡有意或無意的傳播病毒,在通過網絡向其他用戶傳送文件時,應先進行病毒檢測,確認無病毒后方可傳送,對于有意傳播病毒的將取消上網資格,情節嚴重的將送交公安機關處理。
網絡安全管理規章制度篇3
計算機網絡為學校局域網提供網絡基礎平臺服務和互聯網接入服務,由網絡維護中心負責計算機連網和網絡管理工作。為保證集團局域網能夠安全可靠地運行,充分發揮信息服務方面的重要作用,更好地為學校員工提供服務,現制定并發布《文山中學網絡安全管理制度》。
第一條
所有網絡設備(包括路由器、交換機、集線器、光纖、網線等)均歸網絡維護中心所管轄,其安裝、維護等操作由網絡維護中心工作人員進行,其他任何人不得破壞或擅自維修。
第二條
所有學校內計算機網絡部分的擴展必須經過網絡維護中心實施或批準實施,未經許可任何部門不得私自連接交換機、集線器等網絡設備,不得私自接入網絡。網絡維護中心有權拆除用戶私自接入的網絡線路并報告上級領導。
第三條
各分校、處(室)的聯網工作必須事先報經網絡維護中心,由網絡維護中心做網絡實施方案。
第四條
學校局域網的網絡配置由網絡維護中心統一規劃管理,其他任何人不得私自更改網絡配置。
第五條
接入學校局域網的客戶端計算機的網絡配置由網絡維護中心部署的服務器統一管理分配,包括:用戶計算機的IP地址、網關、DNS和WINS服務器地址等信息。未經許可,任何人不得更改網絡配置。
第六條
網絡安全:嚴格執行國家《網絡安全管理制度》。對在學校局域網上從事任何有悖網絡法規活動者,將視其情節輕重交有關部門或公安機關處理。
第七條
學校員工具有信息保密的義務。任何人不得利用計算機網絡泄漏公司機密、技術資料和其它保密資料。
第八條
各部門人員必須及時做好各種數據資料的錄入、修改、備份和數據工作,保證數據資料的完整準確和安全性。
第九條
任何人不得在局域網絡和互聯網上發布有損學校形象和職工聲譽的信息。
第十條
任何人不得掃描、攻擊學校計算機網絡和他人計算機。不得盜用、竊取他人資料、信息等。
第十一條
為了避免或減少計算機病毒對系統、數據造成的影響,接入學校局域網的所有用戶必須遵循以下規定:
1.任何部門和個人不得制作計算機病毒;不得故意傳播計算機病毒,危害計算機信息系統安全;不得向他人提供含有計算機病毒的文件、軟件、媒體。
2.采取有效的計算機病毒安全技術防治措施。建議客戶端計算機安裝使用網絡維護中心部署發布的相關殺毒軟件和360安全衛士對病毒和木馬進行查殺。
3.定期或及時用更新后的新版殺病毒軟件檢測、清除計算機中的病毒。
第十二條
學校的互聯網連接只允許員工為了工作、學習和工余的休閑使用,使用時必須遵守有關的國家的法律和規程,嚴禁傳播淫穢、反動等違犯國家法律和中國道德與風俗的內容。一經發現學校網絡維護中心有權撤消違紀者互聯網的使用權。
第十三條
為了發揮好網站的形象宣傳作用,各分校、處(室)要及時向網絡維護中心提供有關資料,以便充實網站內容,加大宣傳影響。由網絡維護中心統一整理、編輯上傳及內容更新。
第十四條
各分校、處(室)人員在下班離開前必須關閉計算機和電源插座,避免浪費電能和發生消防隱患,違紀者通報批評并進行相應的處罰。有加班需要的工作人員必須提前通知網絡維護中心。
網絡安全管理規章制度篇4
為加強公司網絡系統的安全管理,防止因偶發性事件、網絡病毒等造成系統故障,妨礙正常的工作秩序,特制定本管理辦法。
一、網絡系統的安全運行,是公司網絡安全的一個重要內容,有司專人負責網絡系統的安全運行工作。
二、網絡系統的安全運行包括四個方面:一是網絡系統數據資源的安全保護,二是網絡硬件設備及機房的安全運行,三是網絡病毒的防治管理,四是上網信息的安全。
(一)數據資源的安全保護。網絡系統中存貯的各種數據信息,是生產和管理所必須的重要數據,數據資源的破壞將嚴重影響生產與管理工作的正常運行。數據資源安全保護的主要手段是數據備份,規定如下:
1、辦公室要做到數據必須每周一備份。
2、財務部要做到數據必須每日一備份
3、一般用機部門要做到數據必須每周一備份。
4、系統軟件和各種應用軟件要采用光盤及時備份。
5、數據備份時必須登記以備檢查,數據備份必須正確、可靠。
6、嚴格網絡用戶權限及用戶名口令管理。
(二)硬件設備及機房的安全運行
1、硬件設備的供電電源必須保證電壓及頻率質量,一般應同時配有不間斷供電電源,避免因市電不穩定造成硬件設備損壞。
2、安裝有保護接地線,必須保證接地電阻符合技術要求(接地電阻≤2Ω,零地電壓≤2V),避免因接地安裝不良損壞設備。
3、設備的檢修或維護、操作必須嚴格按要求辦理,杜絕因人為因素破壞硬件設備。
4、網絡機房必須有防盜及防火措施。
5、保證網絡運行環境的清潔,避免因集灰影響設備正常運行。
(三)網絡病毒的防治
1、各服務器必須安裝防病毒軟件,上網電腦必須保證每臺電腦要安裝防病毒軟件。
2、定期對網絡系統進行病毒檢查及清理。
3、所有U盤須檢查確認無病毒后,方能上機使用。
4、嚴格控制外來U盤的使用,各部門使用外來U盤須經檢驗認可,私自使用造成病毒侵害要追究當事人責任。
5、加強上網人員的職業道德教育,嚴禁在網上玩游戲,看于工作無關的網站,下載歌曲圖片游戲等軟件,一經發現將嚴肅處理。
(四)上網信息及安全
1、網絡管理員必須定期對網信息檢查,發現有關泄漏企業機密及不健康信息要及時刪除,并記錄,隨時上報主管領導。
2、要嚴格執行國家相關法律法規,防止發生竊密、泄密事件。外來人員未經單位主管領導批準同意,任何人不得私自讓外來人員使用我公司的網絡系統作任何用途。
3、要加強對各網絡安全的管理、檢查、監督,一旦發現問題及時上報公司負責人。公司計算機安全負責人分析并指導有關部門作好善后處理,對造成事故的責任人要依據情節給予必要的經濟及行政處理。
五、未經公司負責人批準,聯結在公司網絡上的所有用戶,嚴禁在同過其它入口上因太網或公司外單位網絡。
網絡安全管理規章制度篇5
一、嚴格遵守國家有關涉及互聯網方面的法律法規;
二、堅決封堵互聯網上不良和有害信息的侵入;
三、積極配合公安機關的網絡信息安全部門檢查;
四、按照備案要求,及時備案本單位在互聯網應用方面的&39;變更信息;
五、在本單位建立網絡信息安全保護小組,并報公安機關的網絡安全部門備案;
六、根據本單位在互聯網應用的實際情況,在安全員、安全教育和培訓、機房管理、安全保護技術措施、巡視上報、用戶登記、帳號使用和操作權限管理等方面制定以下細則制度。
網絡安全管理規章制度篇6
1、目的
維護公司計算機網絡安全、正常運行,確保服務器及各個終端正常使用。使網絡資源充分安全共享,為業務經營活動提供安全的網絡環境。
2、適用范圍
適用于公司內部辦公局域網絡,業務局域網絡、國大藥房、國瑞藥業、國藥物流的網絡。
3、職責
3.1 信息部
3.1.1系統管理崗負責公司整體網絡安全的規劃、管理及其相關的技術支持。
3.1.2系統管理崗負責公司網絡系統數據的安全備份。
3.1.3其它崗位協助系統管理崗進行公司網絡的安全管理。
3.2 各部門
3.2.1負責各自部門使用的計算機網絡設備的安全管理。
3.2.2負責各自部門數據的安全備份。
3.2.3負責及時通知信息部有關各自部門使用的計算機病毒發生情況及其它安全隱患情況。
4、工作程序
4.1 公司整體網絡安全的規劃、管理。
4.2 網絡安全信息的追蹤,黑客、病毒的日常防護工作。
4.2.1 每天至少一次上網瀏覽相關網站,下載最新病毒代碼
4.2.2 跟蹤最新防病毒信息及其防殺方法,將其及時發布在公司內部網絡上。
4.2.3及時跟蹤防火墻的軟硬件升級信息。
4.3 負責公司本部辦公網網絡安全防護工作。
4.3.1 及時升級本公司網絡的最新病毒代碼。
4.3.2 實時對各個工作終端進行病毒監測。
4.3.3 及時將染病毒的工作終端逐一脫離網絡。
4.3.4 對染毒終端逐一進行全面查殺毒。
4.3.5 及時對防火墻軟硬件進行升級。
4.3.6 建立日常病毒記錄日志,記錄病毒代碼。(參見《病毒記錄日志》)
4.4 監督、檢查、落實公司本部業務、國大藥房、國瑞藥業、國藥物流的網絡安全防護措施等工作。
4.5 協助本部相關部門進行重要數據的定期備份。
4.6 業務、辦公網數據的交換和相關數據輸入輸出的管理。
5、相關文件
《計算機及相關設備管理辦法》
《計算機機房管理制度》
6、記錄
《病毒記錄日志》
網絡安全管理規章制度篇7
根據《中華人民共和國計算機信息系統安全保護條例(國務院)》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定(國務院)》、《計算機信息網絡國際聯網安全保護管理辦法(公安部)》等規定,常武醫院將認真開展網絡與信息安全工作,明確安全責任,建立健全的管理制度,落實技術防范措施,保證必要的經費和條件,對一切不良、有毒、違法等信息進行過濾、對用戶信息進行保密,確保網絡信息和用戶信息的安全。
一、網站安全保障措施
1、網站服務器和其他計算機之間設置防火墻,拒絕外來惡意程序的攻擊,保障網站正常運行。
2、在網站的服務器及工作站上安裝相應的防病毒軟件,對計算機病毒、有害電子郵件有效防范,防止有害信息對網站系統的干擾和破壞。
3、做好訪問日志的留存。網站具有保存三個月以上的系統運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況,主頁維護者、對應的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識別確認功能,對非法貼子或留言能做到及時刪除并根據需要將重要信息向相關部門匯報。
5、網站信息服務系統建立多種備份機制,一旦主系統遇到故障或受到攻擊導致不能正常運行,可以在最短的時間內替換主系統提供服務。
6、關閉網站系統中暫不使用的服務功能及相關端口,并及時修復系統漏洞,定期查殺病毒。
7、服務器平時處于鎖定狀態,并保管好登錄密碼;后臺管理界面設置超級用戶名、密碼和驗證碼并綁定IP,以防他人非法登陸。
8、網站提供集中管理、多級審核的管理模式,針對不同的應用系統、終端、操作人員,由網站系統管理員設置共享數據庫信息的訪問權限,并設置相應的密碼及口令。
9、不同的操作人員設定不同的用戶名和操作口令,且定期更換操作口令,嚴禁操作人員泄漏自己的口令;對操作人員的權限嚴格按照崗位職責設定,并由網站系統管理員定期檢查操作人員的操作記錄。
二、信息安全保密管理制度
1、充分發揮和有效利用常武醫院醫療信息資源,保障常武醫院門戶網站的正常運行,對網絡信息進行及時、有效、規范的管理。
2、在常武醫院門戶網站服務器上提供的信息,不得危害國家安全、泄露國家秘密;不得有害社會穩定、治安和有傷風化。
3、本院各部門及信息采集人員對所提供信息的真實性、合法性負責并承擔發布信息引起的任何法律責任;
4、各部門指定專人擔任信息管理員,負責本網站信息發布工作,不允許用戶將其帳號、密碼轉讓或借予他人使用;因密碼泄密給本網站以及本院帶來的不利影響由泄密人承擔全部責任,并追究該部門負責人的管理責任;
5、不得將任何內部資料、機密資料、涉及他人隱私資料或侵犯任何人的專利、商標、著作權、商業秘密或其他專屬權利之內容加以上載、張貼。
6、所有信息及時備份,并按規定將系統運行日志和用戶使用日志記錄保存3月以上且未經審核不得刪除;網站管理員不得隨意篡改后臺操作記錄;
7、嚴格遵循部門負責制的原則,明確責任人的職責,細化工作流程,網站相關信息按照編輯上傳→初審→終審通過的審核程序發布,切實保障網絡信息的有效性、真實性、合法性;
8、遵守對網站服務信息監視、保存、清除和備份的制度,經常開展網絡有害信息的排查清理工作,對涉嫌違法犯罪的信息及時報告并協助公安機關查處。
三、用戶信息安全管理制度
常武醫院門戶網站為充分保護用戶的個人隱私、保障用戶信息安全,特制訂用戶信息安全管理制度。
1、定期對相關人員進行網絡信息安全培訓并進行考核,使網站相關管理人員充分認識到網絡安全的重要性,嚴格遵守相應規章制度。
2、尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私保護協議和網站服務條款以及其他公布的準則規定的情況下,未經用戶授權不隨意公布和泄露用戶個人身份信息。
3、對用戶的個人信息嚴格保密,并承諾未經用戶授權,不得編輯或透露其個人信息及保存在本網站中的非公開內容,但下列情況除外:
①違反相關法律法規或本網站服務協議規定;
②按照主管部門的要求,有必要向相關法律部門提供備案的內容;
③因維護社會個體和公眾的權利、財產或人身安全的需要;
④被侵害的第三人提出合法的權利主張;
⑤為維護用戶及社會公共利益、本網站的合法權益的需要;
⑥事先獲得用戶的明確授權或其它符合需要公開的相關要求。
4、用戶應當嚴格遵守網站用戶帳號使用登記和操作權限管理制度,并對自己的用戶賬號、密碼妥善保管,定期或不定期修改登錄密碼,嚴格保密,嚴禁向他人泄露。
5、每個用戶都要對其帳號中的所有活動和事件負全責。用戶可隨時改變用戶的密碼和圖標,也可以結束舊的帳號而重新申請注冊一個新帳號。用戶同意若發現任何非法使用用戶帳號或安全漏洞的情況,有義務立即通告本網站。
6、如用戶不慎泄露登陸賬號和密碼,應當及時與網站管理員聯系,請求管理員及時鎖定用戶的操作權限,防止他人非法操作;在用戶提供有效身份證明和有效憑據并審查核實后,重新設定密碼恢復正常使用。
常武醫院將嚴格執行本規章制度,并形成規范化管理,并成立由單位負責人、其他部門負責人、信息管理主要技術人員組成的網絡信息安全小組,并確定至少兩名安全負責人作為突發事件處理的直接責任人。
網絡安全管理規章制度篇8
第一條:目的
為維護公司網絡安全,保障信息安全,保證公司網絡系統的暢通,有效防止病毒入侵,特制定本制度。
第二條:適用范圍
本制度適用于公司網絡系統管理。
第三條:職責
1、技術開發部負責公司網絡系統的安全管理和日常系統維護,制定相關制度并參加檢查。
2、辦公室、安質部會同相關部門不定期抽查網絡內設備安全狀態,發現隱患及時予以糾正。
3、各部門負責落實網絡安全的各項規定。
第四條:網絡安全管理范圍
網絡安全管理須從以下幾個方面進行規范:物理層、網絡層、平臺安全,物理層包括環境安全和設備安全、網絡層安全包含網絡邊界安全、平臺安全包括系統層安全和應用層安全。
第五條:機房安全
1、公司網絡機房是網絡系統的核心。除技術部管理人員外,其他人員未經允許不得入內。
2、技術部的管理人員不準在主機房內會客或帶無關人員進入。
3、未經許可,不得動用機房內設施。
第六條:機房工作人員進入機房必須遵守相關工作制度和條例,不得從事與本職工作無關的事宜,每天上、下班前須檢查設備電源情況,在確保安全的情況下,方可離開。
第七條:為防止磁化記錄的破壞,機房內不準使用磁化杯、收音機等產生磁場的物體。
第八條:機房工作人員要嚴格按照設備操作規程進行操作,保證設備處于良好的運行狀態。
第九條:機房溫度要保持溫度在20±5攝氏度,相對濕度在70%±5%。
第十條:做好機房和設備的衛生清掃工作,定期對設備進行除塵,保證機房和設備衛生、整潔。
第十一條:機房設備必須符合防雷、防靜電規定的措施,每年進行一次全面檢查處理,計算機及輔助設備的電源須是接地的電源。
第十二條:工作人員必須遵守勞動紀律,堅守崗位,認真履行機房值班制度,做好防火、防水、防盜等工作。
第十三條:機房電源不可以隨意斷開,對重要設備必須提供雙套電源。并配備UPS電源供電。公司辦公樓如長時間停電須通知技術部,制定相應的技術措施,并指明電源恢復時間。
第十四條:網絡系統的主設備是連續運行的,技術部每天必須安排專職值班人員。
第十五條:負責監視、檢查網絡系統運行設備及其附屬設備(如電源、空調等)的工作狀況,發現問題及時向技術部領導報告,遇有緊急情況,須立即采取措施進行妥善處理。
第十六條:負責填寫系統運行(操作)日志,并將當日發生的重大事件填寫在相關的記錄本上。負責對必要的數據進行備份操作。
第十七條:負責保持機房的衛生及對溫度、濕度的調整,負責監視并制止違章操作及無關人員的操作。
第十八條:不準帶電拔插計算機及各種設備的信號連線。不準帶電拔插計算機及各種設備。不準隨意移動各種網絡設備,確需移動的要經技術部領導同意。
第十九條:在維護與檢修計算機及設備時,打開機箱外殼前須先關閉電源并釋放掉自身所帶靜電。
第二十條:公司網絡與信息系統中,在網絡邊界和對外出口處必須配置網絡防火墻。
第二十一條:未實施網絡安全管理措施的計算機設備禁止與外網相連。
第二十二條:任何接入網絡區域中的網絡安全設備,必須使用經過國家有關安全部門認證的網絡安全產品。
第二十三條:在計算機聯入公司網絡之后,禁止再以其他任何方式(如撥號上網、ISDN、ADSL等)與外網相連。
第二十四條:對于公司內部網路應當根據應用功能不同的要求,必須進行網絡分段管理,以防止通過局域網“包廣播”方式惡意收集網絡的信息。
第二十五條:禁止下載互聯網上任何未經確認其安全性的軟件,嚴禁使用盜版軟件及游戲軟件。
第二十六條:密碼管理:密碼的編碼必須采用盡可能長并不易猜測的字符串,不能通過電子郵件等明文方式傳送傳輸,密碼必須定期更新。
第二十七條:普通系統用戶:未經相關部門許可,禁止與其他人員共享賬號和密碼;禁止運行網絡監聽工具或其他黑客工具;禁止查閱別人的文件。
第二十八條:系統管理員:不得隨意在系統中增加賬號,隨意修改權限,未經技術開發部領導許可,嚴禁委托他人行使管理員權利。
第二十九條:外來軟盤或光盤須在未聯網的單機上檢查病毒,確認無毒后方可上網使用。私自使用造成病毒侵害要追究當事人責任。
第三十條:網絡系統的所有軟件均不準私自拷貝出來贈送其它單位或個人,違者將嚴肅處理。
第三十一條:實行專人負責檢測病毒,定期進行檢查,配備相應的實時病毒檢測工具。
第三十二條:嚴禁隨意使用軟盤和U盤等存儲介質,如工作需要,須經過病毒檢測方可使用。
第三十三條:嚴禁以任何途徑和媒體傳播計算機病毒,對于傳播和感染計算機病毒者,視情節輕重,給予適當的處分。制造病毒或修改病毒程序制成者,要給予嚴肅處理。
第三十四條:發現病毒,應及時對感染病毒的設備進行隔離,情況嚴重時報相關部門并及時妥善處理。
第三十五條:實時進行防病毒監控,做好防病毒軟件和病毒代碼的智能升級。
第三十六條:應當注意保護網絡數據信息的安全,對于存儲在數據庫中的關鍵數據以及關鍵的應用系統應作數據備份。
第三十七條:附則
1、本制度解釋權屬安質部。
2、本制度自頒布之日起執行。
網絡安全管理規章制度篇9
一、目的
為了規范本單位網絡安全管理,按照《GB/T22239網絡安全技術信息系統安全等級保護基本要求》及其它中華人民共和國有關計算機網絡安全的相關標準、法律、法規和安全規定,結合本單位的實際情況,特制定本制度。
二、適用范圍
本制度適用于本單位業務相關的計算機網絡如辦公局域網絡,業務網絡,互聯網絡及其它下屬機構的網絡等的安全管理。
三、職責
為加強本單位網絡和系統安全管理,保障網絡暢通,成立網絡安全工作領導小組,負責網絡安全的領導和協調。其下轄信息技術部,內設立網絡/系統安全主管和網絡/系統管理員。
本制度所指的系統,是指計算機信息系統中所涉及的計算機軟件系統。具體是指:本單位主機操作系統和應用系統,以及下屬單位通過網絡接入的主機操作系統和應用系統。
3.1網絡安全領導小組職責:
(1)制訂網絡建設與發展的總體規劃。
(2)制訂并監督執行網絡運行的有關制度。
(3)制訂網絡的運行安全與網絡安全計劃。
(4)定期檢查各級網絡系統的管理狀況。
(5)處理網絡運行管理當中的普遍性、重大性問題。
(6)制訂網絡管理人員教育與培訓的計劃。
3.2信息技術部工作職責:
3.2.1負責全網的網絡安全相關的具體事務;全面負責本單位系統安全管理工作。綜合協調相關部門完成系統安全規劃、建設、維護、保障工作。
3.2.2落實國家及市政府有關系統安全法規、方針、政策、標準和規范,聯系上級主管部門并落實系統安全管理相關工作。
3.2.3組織制定安全管理規章制度和標準規范。
3.2.4指導、協調和檢查各部門系統安全工作,組織落實系統籌級保護制度,統籌開展系統風險評估和安全檢查工作。
3.2.5負責系統一般事故的調查和處理,協助系統重大事故的調查和處理。
3.2.6在應急體系框架內,負責系統應急管理相關工作。
3.2.7開展涉密計算機網絡的系統立項、設計和建設,做好系統安全與保密檢查。
3.2.8負責規范系統安全產品的測評和選型工作。
3.2.1信息技術部主管的職責:
(1)制定網絡建設及網絡發展規劃,確定網絡安全策略。
(2)管理施網絡建設及網絡調整任務。
(3)定期對網絡運行情況及相關記錄進行審查。
(4)考核網絡管理員,做好網絡建設和網絡更新的組織工作和技術支持,制定和修訂網絡管理規章制度并監督執行。
3.2.2網絡/系統管理員的職責:
(1)協助網絡主管制定網絡建設及網絡發展規劃,確定網絡安全策略。
(2)協助網絡主管實施網絡建設及網絡調整。
(3)負責公用網絡實體,如交換機、集線器、防火墻、網關、配線架、網線、接插件等的維護和管理。
(4)負責網絡設備及相關軟件的安裝、維護、調整及更新。
(5)負責網絡賬號管理、設備帳號管理、網絡資源分配、數據安全。
(6)監視網絡運行,調整網絡參數,調度網絡資源,保持網絡安全、穩定、暢通。
(7)負責系統備份和網絡數據備份。
(8)保管網絡拓撲圖、網絡接線表、設備規格及配置單、網絡管理記錄、網絡運行記錄、網絡檢修記錄等網絡資料。
(9)每年對本單位網絡的效能評價,提出網絡結構、網絡技術和網絡管理的改進措施。
3.3其它各部門職責:
(1)負責各自部門使用的計算機網絡設備的安全管理。
(2)負責各自部門數據的安全備份。
(3)負責及時通知信息技術部有關各自部門使用的計算機病毒、網絡異常等情況及其它安全隱患情況。
四、管理要求
4.1在本單位網絡安全領導小組的統一領導下,由信息技術部負責網絡安全的具體管理,其下設網絡管理角色,明確各個角色的權限、責任和風險。達到如下管理要求:
(1)定期查看網絡運行情況,及時發現設備性能、網絡帶寬、路由等存在的問題。
(2)定期對運行日志和審計數據進行分析,生成相應的審計報表,及時發現網絡攻擊,非法接入、病毒爆發等異常行為,重要系統應每天生成審計報表,每個月生成全網審計報表。
(3)定期對防火墻、防病毒網關、入侵防范系統、交換機等設備進行更新,以適應不斷變化的網絡情況。
(4)對各種網絡設備及相關軟件系統安全策略、安全配置、日志管理、漏洞掃描、自身防護、口令管理等方面做出規定。對重要日常維護工作建立操作規程等。
(5)定期對網絡設備的配置文件、安全策略、重要數據等進行備份。
五、系統安全工作過程
5.1對系統管理員角色進行劃分:
5.1.1指定專門的部門或人員對相應的系統進行管理;
5.1.2劃分系統管理員的角色,落實系統(主機)管理員、應用管理員和數據庫管理員角色。
5.1.3根據明確的各個系統管理角色分配對應的管理權限實現管理用戶的權限分離,并僅授予管理用戶所需的最小權限。
5.1.4根據系統管理角色,明確各個角色的責任和風險。
5.2定期對系統日志和審計數據進行分析:
5.2.1開啟系統的日志和審計功能,日志和審計范圍應包含服務器和重要客戶端上的每個操作系通用戶和數據庫用戶。
5.2.2審計內容應包括系統重要用戶行為、系統資源異常和重要系統命令的使用等系統內重要的安全相關事件。
5.2.3重要的服務器生成審計記錄和報表,審計記錄包含事件的日期、時間、類型標識和結果等。
5.2.4定期對系統日志和審計記錄進行備份。
5.2.5發現日志和審計中的異常情況和行為立即向信息主管人員報告。
5.3系統安全配置和安全運行
5.3.1重要系統的用戶管理由主管部門審批,并制定用戶口令復雜度、更新周期等制度。
5.3.2采用安全的系統遠程管理方式,防止鑒別信息在網絡傳輸過程中被竊聽。
5.3.3啟用系統入侵防范功能或應用入侵防范功能軟硬件,對重要服務器的入侵行為進行檢測和報警,對入侵事件進行記錄。
5.3.4及時對系統進行必要的升級,關閉系統中危險和無用的服務。
5.3.5操作系統安裝防惡意代碼軟件,并及時更新;安裝了網絡防惡意代碼軟件的,則制定統一的惡意代碼防范策略。
5.3.6通過一定的手段限制非授權終端用戶登錄重要的服務器,對重要服務器的資源使用情況進行監控,并形成監控機制。
六、網絡安全管理工作過程
6.1網絡內各種網絡設備、安全設備及網絡安全相關系統由網絡管理員統一管理,其他任何人不得擅自操作網絡設備,修改網絡設置,網絡管理員對于網絡系統的設置、修改做好登記、備案工作。重大更改必須向主管領導匯報,征得同意后方可進行。
6.2網絡管理員繪制與網絡運行情況一致的網絡拓撲圖,并根據網絡變化情況對拓撲圖進行及時更新。
6.3采取監控技術措施,每天定時對網絡設備性能、路由、網絡流量情況進行監控,記錄,保證能及時發現網絡中存在或是即將發生的問題,根據情況及時對網絡進行調整,保障網絡穩定通暢。
6.4根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,對網絡劃分不同的子網或網段,并按照方便管理和控制的原則為各子網、網段分配地址段,避免將重要網段部署在網絡邊界處,重要網段與其他網段之間采取可靠的技術隔離手段。
6.5通過技術手段,對接入網絡和接入互聯網進行管理,能及時發現和阻止非授權的用戶接入本單位網絡和接入互聯網。
6.6對網絡系統中的各種日志進行管理,日志能詳細記錄下事件的日期、時間、事件等信息,保證日志信息不會被刪除、修改或覆蓋。每天對日志進行審查,分析,及時發現網絡中的異常情況,并生成分析報表。
6.7網絡內所有網絡設備、安全設備及網絡安全相關系統應當根據管理需求設立正確的角色分配,各種角色權限分離,建立相應帳號,每個帳號僅由一個管理員使用,并加口令予以保護,任何非系統管理員嚴禁使用、猜測各類管理員口令。
6.8定制口令管理策略,口令長度至少在8位以上,由字母、數字、其它符號構成,且定期更換,并作好相應的口令更換記錄。
6.9對網絡內所有網絡設備、安全設備及網絡安全相關系統的遠程管理用戶限制IP地址,并采用加密傳輸的方式進行遠程管理,并采用技術措施防止口令探測。
6.10在網絡邊界部署訪問控制設備,根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級,應對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制。
6.11采取技術措施,使網絡中的連接會話處于非活躍一定時間或會話結束后終止網絡連接。
6.12采取技術措施,限制網絡最大流量數及網絡連接數。
6.13采取技術措施,使重要網段能防止地址欺騙。
6.14如有_用戶,應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶。
6.15如有撥號用戶,應限制具有撥號訪問權限的用戶數量。
6.16采取技術措施,網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等,當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。
6.17采取技術措施,在網絡邊界處對惡意代碼進行檢測和清除。
6.18采取技術措施,防止IP地址欺騙。
6.19每天制作設備配置、安全策略等重要數據的備份并異地存放,系統一旦故障時能夠快速恢復。備份數據不得更改。
6.20每天定時對防火墻、防毒墻、入侵檢測、交換機等設備的軟硬件及相關規則庫進行更新,并進行記錄。
6.21根據網絡使用情況,根據不同的網絡安全事件的緊急預案,并定期對安全預案進行預演。
七、附則
(1)本辦法由信息技術部負責解釋并督促執行。
(2)本辦法自印發之日起執行。
(3)違反本管理制度,將提請有關部門視情節給予相應的批評教育、通報批評、行政處分或處以警告、責令停機整頓。觸犯國家法律、行政法規的,依照有關法律、行政法規的規定予以處罰;構成犯罪的,依法追究刑事責任。
八、相關記錄
1、《網絡安全管理記錄》