資源描述:
《海油信息安全管理細則》由會員上傳分享��,免費在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1、1目的規(guī)范計算機及計算機網(wǎng)絡(luò)信息安全管理��,提高信息安全保障能力和水平����,維護國家及企業(yè)安全。2適用范圍公司機關(guān)及所屬單位��。3編制依據(jù)3.1《信息安全管理辦法》(IT-01-07����,2011,中國海油)3.2《信息系統(tǒng)安全等級保護管理細則》(IT-01-07-02��,2011���,中國海油)3.3《計算機信息網(wǎng)絡(luò)安全規(guī)范》(Q/HS5000-2009�,中國海油)3.4《信息安全管理辦法》(AM-01-08����,2015,公司)3.5《信息系統(tǒng)安全等級保護工作實施細則》(AM-01-08-01��,2015,公司)4職責4.1行政管理部督促�、檢查、指導(dǎo)公司及所屬單位計算機網(wǎng)絡(luò)信息運營的安全工作�。4
2�、.2公司機關(guān)部門及所屬單位履行計算機網(wǎng)絡(luò)信息安全的義務(wù)和責任。5工作內(nèi)容與要求5.1安全防范5.1.1基本要求5.1.1.1各單位應(yīng)按信息系統(tǒng)安全保護級別對信息系統(tǒng)采取安全防范措施�����,并確保安全防范工作的有效落實�����。5.1.1.2IT支持服務(wù)中心應(yīng)采取必要措施�����,提高網(wǎng)絡(luò)的整體防護能力��。5.1.1.3各信息系統(tǒng)的數(shù)據(jù)�、信息傳輸都應(yīng)采用加密傳輸。5.1.1.4各業(yè)務(wù)責任單位應(yīng)制定其信息系統(tǒng)備份策略和災(zāi)備策略��。5.1.1.5IT支持服務(wù)中心應(yīng)提供備份和災(zāi)備的相應(yīng)資源��、服務(wù),定期備份數(shù)據(jù)�����、進行恢復(fù)測試并做好記錄�。5.1.1.6各單位應(yīng)對本單位信息系統(tǒng)的信息進行審查、檢查和復(fù)查�����,確保信息的
3�、合法性、合規(guī)性���。5.1.1.7員工對所使用的終端���、網(wǎng)絡(luò)設(shè)施及其中的信息安全、賬號安全��、賬號權(quán)限內(nèi)的信息安全和上網(wǎng)行為負責����,員工終端中嚴禁存儲涉密(此處涉密系指涉及國家秘密,下同)信息��,終端中的商密文件不可設(shè)置為共享,工作郵箱電子郵件的收發(fā)要進行病毒查殺��。5.1.1.1員工發(fā)現(xiàn)異?�;虬l(fā)現(xiàn)其他人員非法使用計算機時����,有及時向所屬單位或公司報告的責任�����。5.1.1.2各單位要對移動存儲介質(zhì)進行登記�����、編號����,移動存儲介質(zhì)要經(jīng)IT支持服務(wù)中心檢測合格、注冊后入網(wǎng)使用�。5.1.1.3涉及國家或企業(yè)秘密信息的存儲、傳輸?shù)葢?yīng)指定專人負責�,并嚴格執(zhí)行國家、中國海油及公司有關(guān)保密的法律�、法規(guī)和相關(guān)管理
4、規(guī)定。5.1.1.4涉密信息未經(jīng)批準��,不得在網(wǎng)絡(luò)上發(fā)布或通過明碼(明文)傳輸�����。5.1.1信息加密管理5.1.2.1涉及國家秘密的信息��,其電子文檔資料須加密存儲�����。5.1.2.2涉及國家和公司利益的敏感信息的電子文檔資料應(yīng)當加密存儲�����。5.1.2.3涉及國家秘密����、國家與公司利益和社會安定的秘密信息和敏感信息,在傳輸過程中應(yīng)遵守國家的有關(guān)規(guī)定����,視情況采用文件加密傳輸或鏈路傳輸加密。5.1.2.4適度采用先進的加密解密技術(shù)對公司其他電子文檔和數(shù)據(jù)進行加密管理�����。5.1.2用戶賬號(ID)管理5.1.3.1信息系統(tǒng)管理系統(tǒng)中或運維支持體系中應(yīng)包括賬號管理流程。5.1.3.2信息系統(tǒng)用戶要嚴
5����、格管理賬號,不得把自己賬號外借他人使用�����、不得在電腦�����、屏幕和辦公桌上貼條暴露賬號信息����,禁止索要����、盜取、使用��、傳播任何未經(jīng)授權(quán)使用的賬號����。5.1.3.3加強對離職員工的賬號管理��,各單位在員工離職時應(yīng)辦理注銷其賬號��。5.1.3用戶權(quán)限管理5.1.4.1信息系統(tǒng)權(quán)限設(shè)計要符合安全管理要求���,實現(xiàn)最小權(quán)限和權(quán)限互斥原則。5.1.4.2信息系統(tǒng)的用戶權(quán)限要嚴格對應(yīng)用戶工作職責�����,權(quán)限申請和變更應(yīng)按流程辦理審批手續(xù)�。5.1.4禁止活動5.1.5.1涉密計算機必須與互聯(lián)網(wǎng)物理隔離,禁止把涉密計算機直接或間接連入公司局域網(wǎng)絡(luò)和互聯(lián)網(wǎng)��,禁止在互聯(lián)網(wǎng)計算機中存儲或處理涉密信息���。5.1.5.2禁止利用信
6�、息網(wǎng)絡(luò)系統(tǒng)制作�����、傳播�、復(fù)制有害信息����。5.1.5.3禁止非法違規(guī)入侵計算機和信息系統(tǒng)����,禁止未經(jīng)授權(quán)對信息網(wǎng)絡(luò)系統(tǒng)中存儲、處理或傳輸?shù)男畔⑦M行增加����、修改、復(fù)制和刪除等���。5.1.5.1禁止未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息�����。5.1.5.2禁止未經(jīng)授權(quán)查閱他人郵件和盜用他人名義發(fā)送電子郵件。5.1.5.3禁止未經(jīng)允許在互聯(lián)網(wǎng)公共郵箱����、即時通訊工具、云盤��、網(wǎng)盤或免費空間上處理����、存儲����、傳輸公司業(yè)務(wù)和信息����。5.1.5.4禁止故意干擾網(wǎng)絡(luò)的暢通運行。5.1.5.5禁止其他危害公司信息網(wǎng)絡(luò)系統(tǒng)安全的活動��。5.1員工信息系統(tǒng)使用5.2.1員工信息系統(tǒng)是指員工利用公司內(nèi)部計算機技術(shù)對業(yè)務(wù)
7����、和信息進行集成處理的程序、數(shù)據(jù)�����、文檔以及計算機終端���、各種存儲設(shè)備等公司重要資源的總稱����,每個員工應(yīng)該安全���、可靠��、有效地使用員工信息系統(tǒng)并保證數(shù)據(jù)的完整性和準確性����。5.2.2員工在使用員工信息系統(tǒng)時應(yīng)具備安全意識、保密意識和合規(guī)使用信息系統(tǒng)意識��,應(yīng)確保:a)設(shè)備安全���;b)信息安全�����;c)信息系統(tǒng)安全����。5.2.3在使用員工信息系統(tǒng)前�����,員工應(yīng)簽署信息系統(tǒng)使用安全保密協(xié)議��。5.2.4員工有保護辦公計算機和設(shè)備物理安全的責任和義務(wù)��,并按規(guī)定正確放置���、保管�、使用和歸還員工信息系統(tǒng)�,具體要求如下:a)妥善保存可移動設(shè)備,
