信息安全培训管理制度

2024-12-11 制度

　　在社会一步步向前发展的今天，很多情况下我们都会接触到制度，制度是一种要求大家共同遵守的规章或准则。拟起制度来就毫无头绪？以下是小编精心整理的信息安全培训管理制度，仅供参考，希望能够帮助到大家。

　　信息安全培训管理制度 1

　　一、计算机设备管理制度

　　1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

　　2.非我司技术人员对我司的设备、系统等进行维修、维护时，必须由我司相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。

　　3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非我司技术人员进行维修及操作。

　　二、操作员安全管理制度

　　1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置.

　　2.系统管理操作代码的设置与管理:

　　(1)系统管理操作代码必须经过经营管理者授权取得；

　　(2)系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；

　　(3)系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权；

　　(4)系统管理员不得使用他人操作代码进行业务操作；

　　(5)系统管理员调离岗位，上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码；

　　3.一般操作代码的设置与管理

　　(1)一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。

　　(2)操作员不得使用他人代码进行业务操作。

　　(3)操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。

　　三、密码与权限管理制度

　　1.密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串；

　　2.密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。

　　3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。

　　4.系统维护用户的密码应至少由两人共同设置、保管和使用。

　　5.有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。

　　四、数据安全管理制度

　　1.存放备份数据的.介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责；

　　2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。

　　3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

　　4.数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

　　5.数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。

　　6.需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

　　7.非我司技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。

　　8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。

　　信息安全培训管理制度 2

　　第一条为加强我局信息安全建设，提高全体税务干部的信息安全意识和技能，保障我局信息系统安全稳定的运行，特制定本制度。

　　第二条信息安全培训旨在强化我局全体税务干部的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。

　　第三条针对不同的培训对象进行分层次的培训，信息安全培训分为管理层培训、技术层培训和普通用户层培训三个层面，分层培训内容的参考范围和需达到的标准如下：

　　一、管理层信息安全培训

　　（一）对象：市局、各区县局的各级领导。

　　（二）内容：宏观信息安全管理理念及高级信息安全管理知识。

　　（三）标准：使管理层人员能够了解其信息安全职责，具备其工作所需的信息安全管理知识和信息安全管理能力。

　　二、技术层信息安全培训

　　（一）对象：各级信息化管理部门的各类技术管理人员。

　　（二）内容：系统安全策略；内部和外部攻击的检测；常用计算机及网络安全保护手段、日常工作中需要注意的信息安全方面的事项；《北京市地方税务局信息系统安全管理框架》下包括的所有制度内容。

　　（三）标准：使技术层人员能够了解其所从事岗位的信息安全职责，熟悉与其工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能。

　　三、普通用户层信息安全培训

　　（一）对象：全局的普通计算机用户。

　　（二）内容：所在岗位的信息安全职责；计算机病毒预防和查杀的`基本技能；计算机设备物理安全知识和网络安全常识；《北京市地方税务局信息系统安全管理框架》下的所有普通用户应掌握和了解的制度内容。

　　（三）标准：使普通用户了解其信息安全职责，熟悉与工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能。

　　第四条各单位信息安全管理部门和人事教育部门负责每年制定管理层和普通用户层的信息安全培训计划

　　信息安全培训管理制度 3

　　一、总则

　　为了加强公司内所有信息安全的管理，让大家充分运用计算机来提高工作效率，特制定本制度。

　　二、计算机管理要求

　　1、IT管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报给IT管理员，IT管理员（填写《计算机IP地址分配表》）进行备案管理。如有变更，应在变更计算机负责人一周内向IT管理员申请备案。

　　2、公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机（不包括IT管理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由计算机负责人承担。

　　3、计算机设备未经IT管理员批准同意，任何人不得随意拆卸更换；如果计算机出现故障，计算机负责人应及时向IT管理员报告，IT管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。

　　4、日常保养内容：

　　A、计算机表面保持清洁

　　B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性；

　　C、下班不用时，应关闭主机电源。

　　5、计算机IP地址和密码由IT管理员指定发给各部门，不能擅自更换。计算机系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管，不得随意带出公司或个人存放。

　　6、禁止将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。

　　7、计算机的内部调用：

　　A、IT管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移或调换。

　　B、计算机在公司内调用，IT管理员应做好调用记录，《调用记录单》经副总经理签字认可后交IT管理员存档。

　　8、计算机报废：

　　A、计算机报废，由使用部门提出，IT管理员根据计算机的使用、升级情况，组织鉴定，同意报废处理的，报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。

　　B、报废的计算机残件由IT管理员回收，组织人员一次性处理。

　　C、计算机报废的条件：

　　1）主要部件严重损坏，无升级和维修价值；

　　2）修理或改装费用超过或接近同等效能价值的设备。

　　三、环境管理

　　1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。

　　2、应尽量保持计算机周围环境的`整洁，不要将影响使用或清洁的用品放在计算机周围。

　　3、服务器机房内应做到干净、整洁、物品摆放整齐；非主管维护人员不得擅自进入。

　　四、软件管理和防护

　　1、职责：

　　A、IT管理员负责软件的开发购买保管、安装、维护、删除及管理。

　　B、计算机负责人负责软件的使用及日常维护。

　　2、使用管理：

　　A、计算机系统软件：要求IT管理员统一配装正版Windows专业版，办公常用办公软件安装正版office专业版套装、正版ERP管理系统，制图软件安装正版CAD专业版，杀毒软件安装安全杀毒套装，邮件软件安装闪电邮，及自主开发等各种正版及绿色软件。

　　B、禁止私自下载或安装软件、游戏、电影等，如工作需要安装或删除软件时，向IT管理员提出申请，经检查符合要求的软件由IT管理部员或在IT管理员的监督下进行安装或删除。

　　C、计算机负责人应管理好计算机的操作系统或软件的用户名、工号、密码。若调整工作岗位，应及时通知IT管理部员更改相关权限。不得盗用他人用户名和密码登录计算机，或更改、破坏他人的文件资料，做好局域网上共享文件夹的密码保护工作。

　　D、计算机负责人应及时做好业务相关软件的应用程序数据备份（刻录光盘），防止因机器故障或被误删除而引起文件丢失。

　　E、计算机软件在使用过程中如发现异常或出现错误代码时，计算机负责人应及时上报IT管理员进行处理。

　　3、升级、防护：

　　A、如操作系统、软件需要更新及版本升级，则由IT管理员负责升级安装、购买等。

　　B、U盘、软盘在使用前，必须先采用杀毒软件进行扫描杀毒，无病毒后再使用。

　　C、由IT管理员协助计算机负责人对计算机进行病毒、木马程序检测和清理工作，要求定期更新杀毒软件。

　　五、硬件维护

　　1、要求：

　　A、IT管理部员负责计算机或相关电脑设备的维护。

　　B、对硬件进行维护的人员在拆卸计算机时，必须采取必要的防静电措施。

　　C、对硬件进行维护的人员在作业完成后或准备离去时，必须将所拆卸的设备复原。

　　D、对于关键的计算机设备应配备必要的断电、继电保护电源。

　　E、IT管理部员应按设备说明书进行日常维护，每月一次。

　　2、维护：

　　A、计算机的使用、清洁和保养工作，由计算机负责人负责；

　　B、IT管理员必须经常检查计算机及外设的状况，及时发现和解决问题。

　　六、网络管理

　　A、禁止浏览或登入反动、色情、邪教等不明非法网站、浏览非法信息以及利用电子信箱收发有关上述内容的邮件；不得通过互联网或光盘下载安装传播病毒以及黑客程序。

　　B、禁止私自将公司的受控文件及数据上传网络与拷贝传播。

　　七、维修流程

　　当计算机出现故障时，应立即停止操作，上报公司IT管理员，填写《公司电脑维修记录表》；由IT管理员负责维修。

　　八、奖惩办法

　　由于计算机设备是我们工作中的重要工具。因此，IT管理员将计算机的管理纳入对各计算机负责人的绩效考核范围，并将严格实行。

　　从本制度公布之日起：

　　1、凡是发现以下行为，IT管理员有权根据实际情况处罚并追究当事人及其直接领导的责任，严重的则交由上级部门领导对其处理。

　　A、私自安装和使用未经许可的软件（含游戏、电影），每个软件罚50元。

　　B、计算机具有密码功能却未使用，每次罚10元。

　　C、下班后，计算机未退出系统或关闭显示器的，每次罚10元。

　　D、擅自使用他人计算机或外设造成不良影响的，每次罚50元。

　　E、浏览登入反动、色情、邪教等不明非法网站，传播非法邮件的，每次罚100元。

　　F、如有私自或没有经过IT管理部审核更换计算机IP地址的，每次罚10元。

　　G、如有拷贝受控文件及数据，故意删除共享资料软件及计算机数据的，按损失酌情进行处罚。

　　2、凡发现由于：违章作业，保管不当，擅自安装、使用硬件和电气装置，而造成硬件的损坏或丢失的，其损失由责任人赔偿硬件价值的全部费用。

　　九、附则

　　1、本制度为公司计算机管理制度，要求每一位计算机负责人必须遵守该制度。

　　2、本制度由IT管理员负责编制与修改。

　　3、本制度由公司总经理批准后执行。

　　信息安全培训管理制度 4

　　一、前言

　　信息安全管理制度是组织内部的一种规章制度，其目的在于规范和管理组织内部的信息安全活动，确保组织的信息安全得到有效保障，保护组织及其所有利益相关者的信息安全。为此，本制度将全面介绍我们组织信息安全管理制度的原则、要求、程序、管理责任等，以期能够为相关工作的开展提供准确、明确的指导和保障。

　　二、信息安全原则

　　1. 信息安全意识普及原则

　　组织内部将不断开展安全意识培训活动，并制定相应的信息安全规定，提高全体员工的安全意识和保密意识。

　　2. 信息安全最小原则

　　在信息采集、传输、存储、处理等环节中，应遵循最小化原则，只收集必要的信息，保证信息的真实性、完整性和机密性。

　　3. 信息安全全面性原则

　　信息安全管理应从全面、系统的角度考虑，采取多种手段进行信息安全保护，确保信息安全风险得到有效控制，包括技术手段和管理手段等。

　　4. 信息安全风险评估原则

　　组织应该对信息系统、信息资源和信息安全进行全面评估和调查，确定信息安全威胁和风险，制定切实可行的措施和方案，实现信息安全的全面保护。

　　5. 信息安全追溯原则

　　当组织发生信息安全事件时，应该采取逐级追溯的措施，进行事故的调查、分析、并进行责任追究，避免类似安全事件再次发生。

　　三、信息安全管理要求

　　1. 信息安全管理的组织结构和职责

　　本组织应该成立信息安全管理委员会，主要负责信息安全相关工作的组织协调和管理。该委员会由高管层、信息管理人员、技术专家等组成，确定信息安全工作计划、审核和管理信息安全政策及规定等。

　　2. 信息安全保护的范围和措施

　　组织应该采取措施保护以下方面的信息安全：

　　（1）保护组织的信息系统与网络安全，防止未经授权的访问、篡改、延迟、中断或拒绝服务等攻击；

　　（2）防止对关键信息系统、数据和设备等的破坏、破解、篡改、数据丢失等危害；

　　（3）确保对重要信息和数据的保密性、完整性和可用性；

　　（4）保护公司的品牌声誉和商业机密，并确保未授权的`信息泄露。

　　3. 信息安全管理过程和控制措施

　　组织应该采取一系列信息安全管理过程和控制措施，包括但不限于：

　　（1）确保信息安全政策及规定得到有效实施，对相关人员进行培训并定期回顾更新；

　　（2）建立安全的网络、系统和应用架构，进行访问控制、身份验证、安全管理等操作；

　　（3）采取防御性的安全措施，如攻击检测、入侵预防、边界安全等，防范未知的威胁；

　　（4）建立备份、复原和灾难恢复机制，以便在遭受攻击或突发事件时能够及时恢复正常业务运营；

　　（5）进行定期的安全审计和风险评估，发现隐患并采取措施加以纠正；

　　（6）开展安全漏洞通报和个人信息保护工作。

　　四、信息安全管理程序

　　1. 信息安全政策制定和发布程序

　　（1）确定信息安全目标和原则；

　　（2）制定组织的信息安全政策，明确信息安全管理的基本要求和责任；

　　（3）发布信息安全政策并进行全体员工安全培训。

　　2. 信息安全风险评估程序

　　（1）评估信息系统、信息资源的安全状况；

　　（2）分析风险，确定应对方案；

　　（3）制定战略和措施，建立信息安全保护体系。

　　3. 信息安全措施实施程序

　　（1）根据信息安全政策和要求制定信息安全规定和操作规范；

　　（2）实施信息安全措施和操作规范；

　　（3）修订完善信息安全规定和操作规范。

　　4. 信息安全管理监督程序

　　（1）建立监督检查机制，确保信息安全政策和规定得到有效执行；

　　（2）建立内部审计机制，定期进行信息安全审核；

　　（3）建立风险管理机制，评估和处理各项信息安全风险。

　　5. 信息安全事件管理程序

　　（1）建立信息安全事件应急预案；

　　（2）识别和评估信息安全事件；

　　（3）采取措施进行应对和处理。

　　五、信息安全管理责任

　　1. 组织领导层的责任

　　（1）制定信息安全政策和保密制度；

　　（2）确保组织内部的信息安全状况得到有效保障，对信息安全风险进行全面评估；

　　（3）确保相关人员能够有效执行信息安全管理制度和政策，定期开展信息安全培训活动；

　　（4）对违反信息安全规定和制度的行为进行处罚。 2. 信息安全管理与监督部门的责任

　　（1）建立信息安全管理制度，指导和协调信息安全工作的开展；

　　（2）监督和检查各种信息系统、存储媒介、应用系统等的安全性；

　　（3）对违反信息安全法规和内部规定的行为进行处理。

　　3. 个人责任

　　（1）遵守信息安全规定和制度，执行信息安全保护措施；

　　（2）保护机密信息，防止泄露；

　　（3）严禁进行网络攻击或其他有害行为；

　　（4）发现和处理信息安全事件，及时报告上级。

　　六、信息安全管理制度的修订和监督

　　1. 修订信息安全管理制度

　　本信息安全管理制度如遇重大安全事件或发生重大风险时，应当对制度进行修订。修订后的制度应当及时发布并进行全员培训、学习。

　　2. 监督信息安全管理制度的实施

　　本信息安全管理制度的实施需进行定期的监督，以保证制度的有效实施和执行。监督包括不限于定期的信息安全风险评估、安全漏洞扫描、信息安全审计和监督检查等。

　　3. 安全保密制度

　　本信息安全管理制度所包含的信息均为机密信息，未经允许不得外传或传递给无关人员。本信息安全管理制度适用于各部门及其所有员工，任何人不得违反规定操作。一旦违反蕞络，一切后果责任自行承担。

　　信息安全培训管理制度 5

　　第一章总则

　　第一条为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统）平安保密管理，确保国家隐私及商业隐私的平安，依据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

　　第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，根据肯定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。

　　第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障平安”的方针，坚持“谁主管、谁负责，谁运用、谁负责”和“限制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家隐私信息安全。

　　第四条涉密信息系统平安保密防护必需严格根据国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入运用。

　　第五条本规定适用于公司全部计算机和信息系统平安保密管理工作。

　　第二章管理机构与职责

　　第六条公司法人代表是涉密信息系统平安保密第一责任人，确保涉密信息系统平安保密措施的落实，供应人力、物力、财力等条件保障，督促检查领导责任制落实。

　　第七条公司保密委员会是涉密信息系统平安保密管理决策机构，其主要职责：

　　（一）建立健全平安保密管理制度和防范措施，并监督检查落实状况；

　　（二）协调处理有关涉密信息系统平安保密管理的重大问题，对重大失泄密事务进行查处。

　　第八条成立公司涉密信息系统平安保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统平安保密管理工作。

　　第九条保密办主要职责：

　　（一）拟定涉密信息系统平安保密管理制度，并组织落实各项保密防范措施；

　　（二）对系统用户和平安保密管理人员进行资格审查和平安保密教化培训，审查涉密信息系统用户的职责和权限，并备案；

　　（三）组织对涉密信息系统进行平安保密监督检查和风险评估，提出涉密信息系统平安运行的保密要求；

　　（四）会同科技信息部对涉密信息系统中介质、设备、设施的授权运用的审查，建立涉密信息系统平安评估制度，每年对涉密信息系统平安措施进行一次评审；

　　（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的平安保密产品进行准入审查和规范管理，对涉密信息系统进行平安保密性能检测；

　　（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；

　　（七）组织查处涉密信息系统失泄密事务。

　　第十条科技信息部、财会部主要职责是：

　　（一）组织、实施涉密信息系统的规划、设计、建设，制定平安保密防护方案；

　　（二）落实涉密信息系统平安保密策略、运行平安限制、平安验证等平安技术措施；每半年对涉密信息系统进行风险评估，提出整改措施，经涉密信息系统平安保密领导小组批准后组织实施，确保平安技术措施有效、牢靠；

　　（三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权运用、保管以及维护等平安保密管理措施；

　　（四）配备涉密信息系统管理员、平安保密管理员和平安审计员，并制定相应的职责；“三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过平安保密培训持证上岗；

　　（五）落实计算机机房、配线间等重要部位的平安保密防范措施及网络的安全管理，负责日常业务数据及其他重要数据的备份管理；

　　（六）协作保密办对涉密信息系统进行平安检查，对存在的隐患进行刚好整改；

　　（七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事务。

　　第十一条党政办公室主要职责：

　　根据国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。

　　第十二条相关业务部门、单位主要职责：涉密信息系统的运用部门、单位要严格遵守保密管理规定，教化员工提高平安保密意识，落实涉密信息系统各项平安防范措施；精确确定应用系统密级，制定并落实相应的二级保密管理制度。

　　第十三条涉密信息系统配备系统管理员、平安保密管理员、平安审计员，其职责是：

　　（一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，确保信息系统的平安、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。

　　（二）平安保密管理员负责平安技术设备、策略实施和管理工作，包括用户帐号管理以及平安保密设备和系统所产生日志的.审查分析。

　　（三）平安审计员负责平安审计设备安装调试，对各种系统操作行为进行平安审计跟踪分析和监督检查，以刚好发觉违规行为，并每月向涉密信息系统平安保密领导小组办公室汇报一次状况。

　　第三章系统建设管理

　　第十四条规划和建设涉密信息系统时，根据涉密信息系统分级爱护标准的规定，同步规划和落实平安保密措施，系统建设与平安保密措施同安排、同预算、同建设、同验收。

　　第十五条涉密信息系统规划和建设的平安保密方案，应由具有“涉及国家隐私的计算机信息系统集成资质”的机构编制或自行编制，平安保密方案必需经上级保密主管部门审批后方可实施。

　　第十六条涉密信息系统规划和建设实施时，应由具有“涉及国家隐私的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必需由保密办和科技信息部共同组织验收。

　　第十七条对涉密信息系统要实行与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的平安保密产品。涉密信息系统运用的软件产品必需是正版软件。

　　第四章信息管理

　　第一节信息分类与限制

　　第十八条涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。

　　第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求刚好定密、标密，并按涉密文件进行管理。电子文件密级标识应与信息主体不行分别，密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。

　　第二十条涉密信息系统应建立平安保密策略，并实行有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。涉密信息远程传输必需实行密码爱护措施。

　　第二十一条向涉密信息系统以外的单位传递涉密信息，一般只供应纸质文件，确需供应涉密电子文档的，按信息交换及中间转换机管理规定执行。

　　第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必需运用符合保密标准、要求的工具或软件。

　　第二节用户管理与授权

　　第二十三条依据本部门、单位运用涉密信息系统的密级和实际工作须要，确定人员知悉范围，以此作为用户授权的依据。

　　第二十四条用户清单管理

　　（一）科技信息部管理“探讨试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单；财会部管理“财务会计核算网”用户清单；

　　（二）新增用户时，由用户本人提出书面申请，经本部门、单位审核，科技信息部、保密办审批后，由科技信息部备案并统一建立用户；“财务会计核算网”的用户由财会部统一建立；

　　（三）删除用户时，由用户本人所在部门、单位书面通知科技信息部，核准后由平安保密管理员即时将用户在涉密信息系统内的全部帐号、权限废止；“财务会计核算网”密办审核，公司分管领导审批。开通、审批坚持“工作必需”的原则。

　　第二十五条国际互联网计算机实行专人负责、专机上网管理，严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立运用登记制度。

　　第二十六条上网信息实行“谁上网谁负责”的保密管理原则，信息上网必需经过严格审查和批准，坚决做到“涉密不上网，上网不涉密”。对上网信息进行扩充或更新，应重新进行保密审查。

　　第二十七条任何部门、单位和个人不得在电子邮件、电子公告系统、闲聊室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家隐私信息。

　　第二十八条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，经科技信息部审批后，根据信息交换及中间转换机管理规定执行。

　　第五章便携式计算机管理

　　第二十九条便携式计算机（包括涉密便携式计算机和非涉密便携式计算机）实行“谁拥有，谁运用，谁负责”的保密管理原则，运用者须与公司签定保密承诺书。

　　第三十条涉密便携式计算机依据工作须要确定密级，粘贴密级标识，根据涉密设备进行管理，保密办备案后方可运用。

　　第三十一条便携式计算机应具备防病毒、防非法外联和身份认证（设置开机密码口令）等平安保密防护措施。

　　第三十一条禁止运用涉密便携式计算机上国际互联网和非涉密网络；严禁涉密便携式计算机与涉密信息系统互联。

　　第三十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分别保管。

　　第三十三条禁止运用私有便携式计算机处理办公信息；严禁非涉密便携式计算机存储、处理涉密信息；严禁将涉密存储介质接入非涉密便携式计算机运用。

　　第三十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质，根据“集中管理、审批借用”的原则进行管理，建立运用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司，返回时须进行技术检查。

　　第三十五条因工作须要外单位携带便携式计算机进入公司办公区域，需办理保密审批手续。

　　第六章应急响应管理

　　第三十六条为有效预防和处置涉密信息系统平安突发事务，刚好限制和消退涉密信息系统平安突发事务的危害和影响，保障涉密信息系统的平安稳定运行，科技信息部和财会部应分别制定相应应急响应预案，经公司涉密信息系统平安保密领导小组审批后实施。

　　第三十七条应急响应预案用于涉密信息系统平安突发事务。突发事务分为系统运行平安事务和泄密事务，依据事务引发缘由分为灾难类、故障类或攻击类三种状况。

　　（一）灾难事务：依据实际状况，在保障人身平安前提下，保障数据安全和设备安全；

　　（二）故障或攻击事务：推断故障或攻击的来源与性质，关闭影响平安与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，复原信息系统。根据事务发生的性质分别采纳以下方案：

　　1、病毒传播：刚好找寻并断开传播源，推断病毒的类型、性质、可能的危害范围。为避开产生更大的损失，爱护计算机，必要时可关闭相应的端口，找寻并公布病毒攻击信息，以及杀毒、防卫方法；

　　2、外部入侵：推断入侵的来源，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威逼很小的外部入侵，定位入侵的IP地址，刚好关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应马上采纳断开网络连接的方法，避开造成更大损失和带来的影响；

　　3、内部入侵：查清入侵来源，如IP地址、所在区域、所处办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应刚好关闭被入侵的服务器或相应设备；

　　4、网络故障：推断故障发生点和故障缘由，能够快速解决的尽快解除故障，并优先保证主要应用系统的运转；

　　5、其它未列出的不确定因素造成的事务，结合详细的状况，做出相应的处理。不能处理的刚好询问，上报公司信息安全领导小组。

　　第三十八条根据信息安全突发事务的性质、影响范围和造成的损失，将涉密信息系统平安突发事务分为特殊重大事务（I级）、重大事务（II级）、较大事务（III级）和一般事务（IV级）四个等级。

　　（一）一般事务由科技信息部（或财会部）依据应急响应预案进行处置；

　　（二）较大事务由科技信息部（或财会部）、保密办依据应急响应预案进行处置，刚好向公司信息安全领导小组报告并提请协调处置；

　　（三）重大事务启动应急响应预案，对突发事务进行处置，刚好向公司党政报告并提请协调处置；

　　（四）特殊重大事务由公司报请中核集团公司对信息安全突发事务进行处置。

　　第三十九条发生突发事务（如涉密数据被窃取或信息系统瘫痪等）应按如下应急响应的基本步骤、基本处理方法和流程进行处理：

　　（一）上报科技信息部和保密办；

　　（二）关闭系统以防止造成数据损失；

　　（三）切断网络，隔离事务区域；

　　（四）查阅审计记录找寻事务源头；

　　（五）评估系统受损程度；

　　（六）对引起事务漏洞进行整改；

　　（七）对系统重新进行风险评估；

　　（八）由保密办依据风险评估结果并书面确认平安后，系统方能重新运行；

　　（九）对事务类型、响应、影响范围、补救措施和最终结果进行具体的记录；

　　（十）依照法规制度对责任人进行处理。

　　第四十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以运用户明确自己的角色和责任。应急响应相关学问、技术、技能应纳入信息安全保密培训内容，并记录备案。

　　第七章人员管理

　　第四十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密学问技能教化与培训，并记录备案。

　　第四十二条涉密人员离岗、离职，应刚好调整或取消其访问授权，并将其保管的涉密设备、存储介质全部清退并办理移交手续。

　　第四十三条担当涉密信息系统日常管理工作的系统管理员、平安保密管理员、平安审计管理员应按重要涉密人员管理。

　　第八章督查与奖惩

　　第四十四条公司每年应对涉密信息系统平安保密状况、平安保密制度和措施的落实状况进行一次自查，并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的平安保密测评或保密检查，检查结果存档备查。

　　第四十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所运用的平安保密、漏洞检查（取证）软件等，应覆盖保密检查的项目，并通过国家保密局的检测。平安保密检查工具应刚好升级或更新，确保检查时运用最新版本。

　　第四十六条各部门、单位应将员工遵守涉密计算机及信息系统平安保密管理制度的状况，纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩规定执行。

　　第九章附则

　　第四十七条本规定由保密办负责说明与修订。

　　第四十八条本规定自发布之日起实施。

　　信息安全培训管理制度 6

　　一、总则

　　为加强公司信息安全风险源的预防管理，提高应急防范实力，保障网络系统、信息系统及信息机房的整体平安，促进公司平安生产稳步健康发展，制定本预案。

　　二、编制目的

　　依据《中华人民共和国计算机信息系统平安爱护条例》、《中华人民共和国计算机信息网络国际联网平安爱护管理方法》等有关法规文件精神。确保公司信息网络系统平安运行，为公司整体平安形势稳步发展供应保障。

　　三、适用范围

　　本预案适用于各单位信息安全突发风险应急管理。

　　四、主要风险源

　　1、火灾；

　　2、意外断电；

　　3、重要数据丢失；

　　4、网络系统大面积瘫痪。

　　五、风险源辨识及评估

　　各单位应组织员工对风险源进行全面、系统的辨识和风险评估，并确保：危急源辨识前要进行相关学问的培训；辨识范围覆盖本单位的全部活动及区域；对危急源辨识和风险评估资料进行统计、分析、整理、归档；

　　5.1、火灾辨识及评估

　　5.1.1火灾辨识

　　（1）自然灾难引起的火灾。

　　（2）强电线路短路引起的火灾。

　　（3）杂物积累引起的火灾。

　　（4）温度过高引起的火灾。

　　（5）老鼠咬线引起的火灾。

　　5.1.2火灾风险评估

　　机房发生火灾可能导致工作人员人身受到损害；信息网络设备受到损坏；网络系统大面积瘫痪；国家、集体财产受到损失。

　　5.2、意外断电辨识及评估

　　5.2.1意外断电辨识

　　（1）自然灾难引起的意外断电。

　　（2）短路跳闸引起的意外断电。

　　5.2.2意外断电风险评估

　　1、意外断电可能导致机房核心交换机、防火墙、汇聚交换机、数据库服务器、软件服务器、恒温设备等重要设备损坏或数据丢失；

　　2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的间接财产损失。

　　5.3、重要数据丢失辨识及评估

　　5.3.1重要数据丢失辨识

　　（1）意外断电引起的数据丢失。

　　（2）服务器故障引起的数据丢失。

　　（3）数据库损坏引起的数据丢失。

　　5.3.2重要数据丢失风险评估

　　1、平安软件系统数据丢失可能导致平安生产监控类系统数据无法正常采集于传输，影响到矿井平安生产的正常进行。

　　2、数据库系统数据丢失可能导致经营管理类系统无法正常运用，影响公司相关部门经营管理工作和日常办公无法正常进行。

　　5.4、网络系统大面积瘫痪

　　5.4.1 网络系统大面积瘫痪辨识

　　（1）意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。

　　（2）通信线路中断引起的网络系统大面积瘫痪。

　　（3）服务器损坏或故障引起的大面积无法登录互联网。

　　5.4.2 网络系统大面积瘫痪风险评估

　　1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断，管理部门失去对矿井生产的平安监管，平安生产无法正常进行。

　　2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。

　　5.5、高空作业辨识及评估

　　5.5.1高空作业辨识

　　（1）日常高空修理可能造成人身损害。

　　（2）工程高空施工可能造成人身损害。

　　5.5.2高空作业风险评估

　　日常高空修理网络设备、打扫卫生和高空施工可能造成工作人员人身损害和精神损害，影响公司平安生产稳步发展。

　　六、平安风险应急预案及措施

　　依据各单位存在的主要风险源和风险评估，保障平安生产工作有序进行，制定本预案及措施。

　　6.1火灾应急预案及处置措施

　　6.1.1应急预案

　　（1）发生特大火灾时（包括机房、UPS、库房），值班人员应马上逃离火灾范围，启动对应的火灾应急预案和响应级别，拉响警报，向公司总调度室、本单位负责人、单位安监部门汇报，在确保人身平安的状况下，组织人员利用灭火器进行灭火；假如火势过大，人员无法靠近时，应马上拨打火警119，求助消防部门进行灭火。

　　（2）发生重大火灾时（包括机房局部、UPS限制器、库房局部），值班人员应马上逃离火灾范围，启动对应的'火灾应急预案，拉响警报，向公司调度室和本单位安监部门汇报，在确保人身平安的状况下，组织人员利用灭火器进行灭火，力争将财产损失降到最低。

　　（3）发生较大火灾时（包括消防通道、办公室）值班人员应启动对应的火灾应急预案，向公司总调度室及本单位安监部门汇报，在确保人身平安的状况下，组织人员利用灭火器进行灭火，避开或降低财产损失。

　　6.1.2处置措施

　　（1）火灾发生时，值班和工作人员应马上脱离火灾范围，确保人身平安。

　　（2）依据火灾大小确定火灾风险等级，并启动相应的响应等级。

　　（3）依据火灾风险等级向公司总调度室及本单位安监部门汇报火灾状况。

　　（4）火势过大无法限制时，应马上拨打火警119进行求助。

　　（5）在确保人身平安的状况下，组织人员利用灭火器进行灭火，避开火灾扩大，降低财产损失。

　　（6）尽最大可能搜集火灾发生的相关信息，做好记录，为事故处理供应依据。

　　（7）每月针对火灾诱发根源进行彻底检查（如易燃物品不能堆放、库房物品分类并整齐摆放等），预防火灾的发生。

　　6.2、意外断电应急预案及处置措施

　　6.2.1应急预案

　　发生自然灾难和短路引起的意外断电时，值班人员在确保人身平安的状况下，依据风险等级启动相应的响应等级，向本单位安监部门进行汇报，邀请电力修理人员进行断电故障排查，并组织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服务器、软件系统、烟雾报警、UPS温度监控、机房温度监控系统进行隐患排查，发觉设备故障和数据丢失，应当进行刚好处理和上报。

　　6.2.2处置措施

　　（1）发生意外断电时，在确保人身平安的状况下，值班人员应启动相应的响应等级。

　　（2）向本单位安监部门进行汇报。

　　（3）必需请专业电力修理人员进行故障排查与修理。

　　（4）搜集意外断电发生的信息并作好记录，为事故处理供应依据。

　　6.3、重要数据丢失应急预案及处置措施

　　6.3.1应急预案

　　（1）因意外断电引起重要数据丢失时，值班人员应依据风险等级启动相应的响应等级，向公司总调度室和安监部门进行汇报，邀请专业电力修理人员进行故障排查，复原供电正常，排查机房设备及数据状况，发觉设备故障和数据丢失，马上组织相关技术人员进行复原。

　　（2）因服务器故障引起数据丢失时，值班人员应依据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行服务器修理和数据复原，假如服务器和数据无法修理和复原时，应向本单位负责人汇报并外请专业人员进行修理，确保设备和数据平安。

　　（3）因数据库无法启动引起的数据丢失，值班人员应依据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行数据复原，假如数据无法复原，应向本单位负责人汇报并外请专业人员进行数据复原，确保设数据平安。

　　6.3.2处置措施

　　（1）发生数据丢失时，值班人员应依据风险等级启动相应相应等级。

　　（2）值班人员向本单位安监部门汇报。

　　（3）组织技术人员对数据进行复原。

　　（4）本单位技术人员无法复原丢失数据时，应向本单位负责人汇报并外请专业人员进行数据复原，确保数据平安。

　　（5）做好数据丢失与复原过程的记录。

　　6.4、高空作业应急预案及处置措施

　　6.4.1应急预案

　　（1）在高空修理过程中发生人员坠落风险时，假如坠落人员处于醒悟状态，应马上拨打120送往医院进行急救；假如坠落人员处于昏迷状态，其他修理人员应当马上进行简洁的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救电话送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

　　（2）在高空施工过程中发生人员坠落风险时，假如坠落人员处于醒悟状态，应马上拨打120送往医院进行急救；假如坠落人员处于昏迷状态，其他修理人员应当马上进行简洁的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救电话送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

　　6.4.2处置措施

　　（1）日常高空修理必需在确保人身平安的状况下进行，否则不能进行修理作业。

　　（2）在日常工作中设计到高空修理，修理人员肯定要2人或2人以上进行修理。否则，修理人员可以拒绝修理工作。

　　（3）高空修理人员必需佩带平安绳索，并采纳平安梯子进行高空作业。否则，不能进行高空修理作业。

　　（4）事故发生后要对事故的经过进行具体记录，为事故处理供应依据。