第一章 總則
??????? 第一條 為規(guī)范信息化安全管理工作��,確保煤礦信息系統(tǒng)與網(wǎng)絡(luò)資源在可控范圍內(nèi)安全穩(wěn)定的運(yùn)行�����,保護(hù)現(xiàn)有的網(wǎng)絡(luò)、數(shù)據(jù)信息的安全���,特制定制定本制度��。
??????? 第二條 通過制定本制度形成一個動態(tài)以預(yù)防為主的信息安全管理方式��,通過實時的監(jiān)控和分析及時發(fā)現(xiàn)系統(tǒng)潛在的安全問題和風(fēng)險���,及時采取相應(yīng)的措施以避免問題的發(fā)生,最大限度地減少安全事件帶來的風(fēng)險和損失��,保證信息系統(tǒng)的使用安全�����。
??????? 第三條 通過安全管理不但能夠保障己有的安全系統(tǒng)得到正確�����、有效的使用�,而且能夠?qū)嶋H檢驗安全策略的使用情況,及時提出新的安全需求,以便及時進(jìn)行升級改進(jìn)或?qū)嵭行碌陌踩Wo(hù)措施����。
??????? 第四條 廣泛開展信息安全教育,進(jìn)行信息��、安全檢查���,保證系統(tǒng)安全運(yùn)行�。
??????? 第二章 適用范圍
??????? 第五條 本制定適用于煤礦信息網(wǎng)絡(luò)的各種軟����、硬件設(shè)備的綜合安全管理,對安全管理中的各項具體工作進(jìn)行指導(dǎo)�。
??????? 第六條 管理對象:
??????? 1.硬件設(shè)備:包括計算機(jī)主機(jī)及外設(shè)����、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備以及其它輔助設(shè)備��。
??????? 2.物理環(huán)境:包括機(jī)房場地環(huán)境����、設(shè)備維修、存儲環(huán)境等
??????? 3.通信線路:包括專用的通訊線路、網(wǎng)絡(luò)布線���、用于數(shù)據(jù)通訊的電話線等�����。
??????? 4.軟件系統(tǒng):包括網(wǎng)絡(luò)設(shè)備的配置�、操作系統(tǒng)����、應(yīng)用軟件以及其它各相關(guān)的應(yīng)用系統(tǒng)等。
??????? 5.文檔資料:包括設(shè)備及系統(tǒng)的使用說明及操作指南��、參數(shù)配置表���、運(yùn)行操作記錄���、故障維護(hù)處理記錄、電子數(shù)據(jù)及文檔等����。
??????? 第三章 工作職責(zé)
??????? 第七條 信息中心負(fù)責(zé)煤礦信息系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)督檢查。
??????? 第八條 保障煤礦信息系統(tǒng)安全運(yùn)行���,負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)及其它重要數(shù)據(jù)的備份管理���,向上級部門上報信息���、系統(tǒng)運(yùn)行安全報告。
??????? 第九條 負(fù)責(zé)安全產(chǎn)品的使用���、維護(hù)�����、升級�����,所有安全產(chǎn)品的使用����,必須符合公司的審批和授權(quán)�,不得擅自采購和私自試用��,負(fù)責(zé)本單位的安全教育和安全管理培訓(xùn)���。
??????? 第四章 工作程序
??????? 第十條 軟件系統(tǒng)安全:軟件系統(tǒng)包括系統(tǒng)軟件及應(yīng)用軟件�����。
??????? 1. 系統(tǒng)軟件指操作系統(tǒng)軟件和數(shù)據(jù)庫系統(tǒng)軟件:
??????? (1)系統(tǒng)軟件應(yīng)使用正版軟件�,其選用應(yīng)充分考慮軟件的安全性、可靠性�、穩(wěn)定性和健壯性,并報上一級主管部門備案����。
??????? (2)系統(tǒng)軟件必須具備身份驗證功能、訪問控制功能���、故障恢復(fù)功能�����、安全保護(hù)功能���、安全審計功能、分權(quán)制約的權(quán)限控制功能及加密功能�。
??????? 2.應(yīng)用軟件指各業(yè)務(wù)管理信息、系統(tǒng)�、決策支持系統(tǒng)���、電子商務(wù)系統(tǒng)、辦公自動化系統(tǒng)及其他軟件應(yīng)用系統(tǒng)等���,應(yīng)用軟件系統(tǒng)必須滿足軟件規(guī)范的有關(guān)要求����。
??????? 第十一條 各級信息中心����、部門在軟件系統(tǒng)的安全管理中的作為:
??????? 1.系統(tǒng)運(yùn)行前嚴(yán)格審查實施計劃的安全性,審查實施計劃流程是否符合整體安全策略���,是否制訂相應(yīng)應(yīng)急措施等��;
??????? 2.檢查系統(tǒng)運(yùn)行過程中相關(guān)部門安全管理規(guī)定的執(zhí)行情況�;
??????? 3.系統(tǒng)運(yùn)行結(jié)束后��,組織對照實施計劃評價實施效果�����,對整體安全體系的影響進(jìn)行相應(yīng)評估�����。
??????? 4.由相關(guān)技術(shù)部門提供系統(tǒng)運(yùn)行的安全報告����。
??????? 5.當(dāng)系統(tǒng)調(diào)試完畢,應(yīng)建立系統(tǒng)維護(hù)檔案����。如果系統(tǒng)出現(xiàn)變更,應(yīng)該重新對該系統(tǒng)作安全評估��,調(diào)整安全配置���,并更新相應(yīng)的系統(tǒng)檔案�,必要的時候修正整體的安全策略�����。
??????? 第十二條 環(huán)境安全
??????? 1.機(jī)房建設(shè)必須符合國家行業(yè)建設(shè)標(biāo)準(zhǔn)和規(guī)范�����。
??????? 2.建立并嚴(yán)格執(zhí)行機(jī)房管理制度�����,無關(guān)人員未經(jīng)安全責(zé)任人批準(zhǔn)嚴(yán)禁進(jìn)入機(jī)房。依據(jù)有關(guān)機(jī)房管理辦法的要求�����,各級安全管理部門對其機(jī)房環(huán)境���、機(jī)房進(jìn)出���、機(jī)房設(shè)施、機(jī)房物品的管理定期進(jìn)行安全檢查��。
??????? 3.機(jī)房工作人員必須嚴(yán)格遵守各項操作規(guī)程��,定期檢查安全保障設(shè)備�,確保系統(tǒng)安全運(yùn)行及設(shè)備的安全。
??????? 4.對主機(jī)房進(jìn)行開機(jī)���、關(guān)機(jī)等日常的操作�,建立操作程序���,并建立完整的設(shè)備運(yùn)行日志��、操作記錄及其它與安全有關(guān)的資料�����。
??????? 第十三條 硬件設(shè)備安全
??????? 1.對主要的信息財產(chǎn)按安全等級進(jìn)行適當(dāng)?shù)姆诸惡蜆?biāo)志�,并采取相應(yīng)的安全保護(hù)措施��,實行安全等級保護(hù)����。對于處理與敏感、有價值或重要的組織財產(chǎn)相關(guān)的系統(tǒng)應(yīng)基于安全需求和風(fēng)險評估進(jìn)行附加的控制��。
??????? 2.對系統(tǒng)的相關(guān)計算機(jī)和數(shù)據(jù)通信設(shè)備及其連接關(guān)系�����,要編制與實際相符的拓?fù)鋱D��,并歸檔保存����。
??????? 3.業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的關(guān)鍵設(shè)備應(yīng)有備份策略。對業(yè)務(wù)系統(tǒng)設(shè)備和通信線路進(jìn)行定期的檢測和維護(hù)����,確保隨時處于可用狀態(tài)�。
??????? 4.已開通運(yùn)行的衛(wèi)星通信端站��,未經(jīng)上級管理部門批準(zhǔn)���,不得關(guān)機(jī)����,不得進(jìn)行中斷性測試�����,嚴(yán)禁擅自改變設(shè)備參數(shù)�。
??????? 5.對路由器、交換機(jī)等通訊設(shè)備必須采取嚴(yán)格的管理措施���,設(shè)專人管理�����,未經(jīng)批準(zhǔn)不得隨意移動和接入���。
??????? 6.對信息系統(tǒng)的計算機(jī)實體資源和定位狀況要進(jìn)行逐項編號登記和建檔�,未經(jīng)批準(zhǔn)不得隨意改變��。
??????? 7.定期對硬件設(shè)備進(jìn)行專業(yè)維護(hù)保養(yǎng)��,如有故障�����,應(yīng)組織專業(yè)人員進(jìn)行處理���。
??????? 8.應(yīng)確定用戶對無人值守的設(shè)備進(jìn)行適當(dāng)?shù)谋Wo(hù)。安裝在用戶區(qū)域的設(shè)備�����,如工作站或文件服務(wù)器�����,需要特別的保護(hù)���,以防在無人看守時遭受未授權(quán)的訪問�。
??????? 第十四條 軟件安全
??????? 1.應(yīng)用軟件應(yīng)根據(jù)崗位情況、人員配置等情況進(jìn)行不同級別的權(quán)限控制���;
??????? 2.應(yīng)用軟件本身必須具備操作日志和管理日志功能��,以利于事后跟蹤查詢?nèi)藛T使用情況����;
??????? 3.軟件使用人員應(yīng)經(jīng)過適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育��;
??????? 4.建立應(yīng)用軟件文檔管理制度��、版本管理制度及軟件分發(fā)制度��,防止軟件的盜用���、誤用���、流失及越權(quán)使用;
??????? 5.煤礦各部門必須根據(jù)信息中心統(tǒng)一部署�,安裝防病毒、網(wǎng)絡(luò)入侵檢測軟件等監(jiān)測���、檢查類安全產(chǎn)品��。
??????? 第十五條 系統(tǒng)操作與運(yùn)行安全
??????? 1.各部門必須按照有關(guān)操作管理的要求�,規(guī)范操作流程:進(jìn)行訪問控制,采取嚴(yán)密的安全措施防止無關(guān)用戶進(jìn)入系統(tǒng)���,確保應(yīng)用系統(tǒng)的安全�����、穩(wěn)定�、持續(xù)運(yùn)行���。
??????? 2.企業(yè)內(nèi)部所有的機(jī)器應(yīng)該提供口令保護(hù)功能;用戶在設(shè)置和使用口令時�,應(yīng)遵循好的安全習(xí)慣和口令管理的要求。操作人員應(yīng)有互不相同的用戶名���,定期更換操作口令���。嚴(yán)禁操作人員泄露本人的操作口令。
