資源描述:
《海油信息安全管理計(jì)劃詳細(xì)說明》由會(huì)員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1��、/*1目的規(guī)范計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理�,提高信息安全保障能力和水平����,維護(hù)國(guó)家及企業(yè)安全。2適用范圍公司機(jī)關(guān)及所屬單位����。3編制依據(jù)3.1《信息安全管理辦法》(IT-01-07,2011��,中國(guó)海油)3.2《信息系統(tǒng)安全等級(jí)保護(hù)管理細(xì)則》(IT-01-07-02,2011�����,中國(guó)海油)3.3《計(jì)算機(jī)信息網(wǎng)絡(luò)安全規(guī)范》(Q/HS5000-2009����,中國(guó)海油)3.4《信息安全管理辦法》(AM-01-08��,2015��,公司)3.5《信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施細(xì)則》(AM-01-08-01�����,2015����,公司)4職責(zé)4.1行政管理部督促、檢查���、指導(dǎo)公司及所屬單位計(jì)算機(jī)網(wǎng)絡(luò)信息運(yùn)營(yíng)的安全工作�����。4.2公司機(jī)關(guān)
2�、部門及所屬單位履行計(jì)算機(jī)網(wǎng)絡(luò)信息安全的義務(wù)和責(zé)任。5工作內(nèi)容與要求5.1安全防范5.1.1基本要求5.1.1.1各單位應(yīng)按信息系統(tǒng)安全保護(hù)級(jí)別對(duì)信息系統(tǒng)采取安全防范措施��,并確保安全防范工作的有效落實(shí)�����。5.1.1.2IT支持服務(wù)中心應(yīng)采取必要措施����,提高網(wǎng)絡(luò)的整體防護(hù)能力。5.1.1.3各信息系統(tǒng)的數(shù)據(jù)���、信息傳輸都應(yīng)采用加密傳輸��。5.1.1.4各業(yè)務(wù)責(zé)任單位應(yīng)制定其信息系統(tǒng)備份策略和災(zāi)備策略����。5.1.1.5IT支持服務(wù)中心應(yīng)提供備份和災(zāi)備的相應(yīng)資源�����、服務(wù),定期備份數(shù)據(jù)��、進(jìn)行恢復(fù)測(cè)試并做好記錄�。5.1.1.6各單位應(yīng)對(duì)本單位信息系統(tǒng)的信息進(jìn)行審查、檢查和復(fù)查���,確保信息的合法性���、合規(guī)性。5.1.1.
3����、7/*員工對(duì)所使用的終端�、網(wǎng)絡(luò)設(shè)施及其中的信息安全、賬號(hào)安全���、賬號(hào)權(quán)限內(nèi)的信息安全和上網(wǎng)行為負(fù)責(zé)����,員工終端中嚴(yán)禁存儲(chǔ)涉密(此處涉密系指涉及國(guó)家秘密��,下同)信息���,終端中的商密文件不可設(shè)置為共享�,工作郵箱電子郵件的收發(fā)要進(jìn)行病毒查殺。5.1.1.1員工發(fā)現(xiàn)異?;虬l(fā)現(xiàn)其他人員非法使用計(jì)算機(jī)時(shí),有及時(shí)向所屬單位或公司報(bào)告的責(zé)任����。5.1.1.2各單位要對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記、編號(hào)�,移動(dòng)存儲(chǔ)介質(zhì)要經(jīng)IT支持服務(wù)中心檢測(cè)合格、注冊(cè)后入網(wǎng)使用��。5.1.1.3涉及國(guó)家或企業(yè)秘密信息的存儲(chǔ)��、傳輸?shù)葢?yīng)指定專人負(fù)責(zé)���,并嚴(yán)格執(zhí)行國(guó)家�����、中國(guó)海油及公司有關(guān)保密的法律���、法規(guī)和相關(guān)管理規(guī)定。5.1.1.4涉密信息未經(jīng)批準(zhǔn)����,不
4�����、得在網(wǎng)絡(luò)上發(fā)布或通過明碼(明文)傳輸����。5.1.1信息加密管理5.1.2.1涉及國(guó)家秘密的信息��,其電子文檔資料須加密存儲(chǔ)�����。5.1.2.2涉及國(guó)家和公司利益的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ)����。5.1.2.3涉及國(guó)家秘密��、國(guó)家與公司利益和社會(huì)安定的秘密信息和敏感信息��,在傳輸過程中應(yīng)遵守國(guó)家的有關(guān)規(guī)定��,視情況采用文件加密傳輸或鏈路傳輸加密��。5.1.2.4適度采用先進(jìn)的加密解密技術(shù)對(duì)公司其他電子文檔和數(shù)據(jù)進(jìn)行加密管理。5.1.2用戶賬號(hào)(ID)管理5.1.3.1信息系統(tǒng)管理系統(tǒng)中或運(yùn)維支持體系中應(yīng)包括賬號(hào)管理流程��。5.1.3.2信息系統(tǒng)用戶要嚴(yán)格管理賬號(hào)���,不得把自己賬號(hào)外借他人使用����、不得在電腦���、屏幕
5�、和辦公桌上貼條暴露賬號(hào)信息�,禁止索要、盜取���、使用���、傳播任何未經(jīng)授權(quán)使用的賬號(hào)。5.1.3.3加強(qiáng)對(duì)離職員工的賬號(hào)管理��,各單位在員工離職時(shí)應(yīng)辦理注銷其賬號(hào)���。5.1.3用戶權(quán)限管理5.1.4.1信息系統(tǒng)權(quán)限設(shè)計(jì)要符合安全管理要求�����,實(shí)現(xiàn)最小權(quán)限和權(quán)限互斥原則�����。5.1.4.2信息系統(tǒng)的用戶權(quán)限要嚴(yán)格對(duì)應(yīng)用戶工作職責(zé)����,權(quán)限申請(qǐng)和變更應(yīng)按流程辦理審批手續(xù)。5.1.4禁止活動(dòng)5.1.5.1涉密計(jì)算機(jī)必須與互聯(lián)網(wǎng)物理隔離��,禁止把涉密計(jì)算機(jī)直接或間接連入公司局域網(wǎng)絡(luò)和互聯(lián)網(wǎng)����,禁止在互聯(lián)網(wǎng)計(jì)算機(jī)中存儲(chǔ)或處理涉密信息。5.1.5.2禁止利用信息網(wǎng)絡(luò)系統(tǒng)制作���、傳播、復(fù)制有害信息�����。5.1.5.3/*禁止非法違規(guī)入侵計(jì)
6��、算機(jī)和信息系統(tǒng),禁止未經(jīng)授權(quán)對(duì)信息網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)���、處理或傳輸?shù)男畔⑦M(jìn)行增加��、修改����、復(fù)制和刪除等�����。5.1.5.1禁止未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息����。5.1.5.2禁止未經(jīng)授權(quán)查閱他人郵件和盜用他人名義發(fā)送電子郵件。5.1.5.3禁止未經(jīng)允許在互聯(lián)網(wǎng)公共郵箱��、即時(shí)通訊工具�����、云盤��、網(wǎng)盤或免費(fèi)空間上處理�、存儲(chǔ)��、傳輸公司業(yè)務(wù)和信息�����。5.1.5.4禁止故意干擾網(wǎng)絡(luò)的暢通運(yùn)行��。5.1.5.5禁止其他危害公司信息網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)�����。5.1員工信息系統(tǒng)使用5.2.1員工信息系統(tǒng)是指員工利用公司內(nèi)部計(jì)算機(jī)技術(shù)對(duì)業(yè)務(wù)和信息進(jìn)行集成處理的程序����、數(shù)據(jù)����、文檔以及計(jì)算機(jī)終端、各種存儲(chǔ)設(shè)備等公司重要資源的總稱
7����、,每個(gè)員工應(yīng)該安全�、可靠���、有效地使用員工信息系統(tǒng)并保證數(shù)據(jù)的完整性和準(zhǔn)確性����。5.2.2員工在使用員工信息系統(tǒng)時(shí)應(yīng)具備安全意識(shí)、保密意識(shí)和合規(guī)使用信息系統(tǒng)意識(shí)����,應(yīng)確保:a)設(shè)備安全;b)信息安全�����;c)信息系統(tǒng)安全����。5.2.3在使用員工信息系統(tǒng)前,員工應(yīng)簽署信息系統(tǒng)使用安全保密協(xié)議�����。5.2.4員工有保護(hù)辦公計(jì)算機(jī)和設(shè)備物理安全的責(zé)任和義務(wù)�,并按規(guī)定正確放置、保管����、使用和歸還員工信息系統(tǒng)�,具體要求如下:a)妥善保存
