第一篇：全省系統(tǒng)安全管理培訓(xùn)心得體會(huì)

全省系統(tǒng)安全管理培訓(xùn)心得體會(huì)

5月20日，本人參加了全省系統(tǒng)安全管理培訓(xùn)。通過(guò)此次培訓(xùn)，我更加深入認(rèn)識(shí)到安全的重要性。平安無(wú)事的時(shí)候似乎不起眼，看上去好像與生產(chǎn)、效益沒(méi)什么關(guān)系，無(wú)關(guān)緊要，甚至可有可無(wú)。但在公司發(fā)展戰(zhàn)略上來(lái)看，安全工作可是與效益緊密相連的，甚至影響到公司未的來(lái)發(fā)展，不能以利用事、做表面文章。

目前，生產(chǎn)安全與個(gè)人聯(lián)系越來(lái)越密切，與公司保持穩(wěn)定發(fā)展和實(shí)現(xiàn)價(jià)值最大化的關(guān)系越來(lái)越密切。我們要切實(shí)加強(qiáng)安全工作管理，從細(xì)微入手，強(qiáng)化安全生產(chǎn)監(jiān)管，加強(qiáng)安全專(zhuān)項(xiàng)整治，落實(shí)安全防范措施，健全安全責(zé)任制，堅(jiān)決查處各類(lèi)安全事故隱患。建立健全各種突發(fā)事件應(yīng)急機(jī)制，提高應(yīng)急處理的能力。把事故預(yù)防措施做到位，不讓事故再牽著走，才是我們安全工作的本質(zhì)，才能實(shí)現(xiàn)公司發(fā)展戰(zhàn)略目標(biāo)。

談?wù)J識(shí)。安全無(wú)處不在，在生活中無(wú)時(shí)無(wú)刻都關(guān)系安全問(wèn)題，現(xiàn)在整個(gè)社會(huì)都為了安全建立健全法律法規(guī)，如果連一個(gè)安全的生活環(huán)境都沒(méi)有，就更談不上怎么發(fā)展和壯大，談何社會(huì)的進(jìn)步、人們的美好生活。作為煙草行業(yè)，我們要在思想上由“要我安全”轉(zhuǎn)變?yōu)椤拔乙踩钡乃枷胍庾R(shí)：一是人員安全，就是要不斷加強(qiáng)對(duì)員工的安全教育培訓(xùn)工作，盡一切辦法提高員工的安全意識(shí)，只有從人員上養(yǎng)成良好的安全行為，就能夠控制和避免安全事故的發(fā)生，才能真正實(shí)現(xiàn)行業(yè)的安全運(yùn)行；二是實(shí)現(xiàn)環(huán)境安全，就是通過(guò)員工在日常工作中要留意觀察，發(fā)現(xiàn)危害安全的行為及時(shí)給予制止，；三是實(shí)現(xiàn)管理安全，就是作為管理人員在安全管理上要以身作則，要有高度的責(zé)任心，對(duì)違反安全規(guī)定的人絕不能講情面，必須按規(guī)章制度嚴(yán)格處理，絕不手軟，要有在安全管理上“嚴(yán)就是愛(ài)，松就是害”的思想；只有這樣才能會(huì)實(shí)現(xiàn)本質(zhì)上的安全運(yùn)行。

增認(rèn)識(shí)。安全工作要求全員參與，“安全就是效益”，這種觀點(diǎn)應(yīng)根植于每個(gè)人(包括我自己)的心中。首先武裝好自己，熟知熟會(huì)各項(xiàng)操作規(guī)程安全制度，認(rèn)真學(xué)習(xí)安全有關(guān)法律法規(guī)；其次養(yǎng)成良好的安全操作習(xí)慣；第三是勤于檢查，及時(shí)發(fā)現(xiàn)整改事故隱患。如果每位員工在每日的工作中相互監(jiān)督、相互提醒、相互檢查，查找漏洞和薄弱環(huán)節(jié)，防止不安全的因素存在，杜絕事故隱患，從小事做起，就能筑起安全大堤。無(wú)危則安，無(wú)損則全。安全就是人們?cè)谏詈蜕a(chǎn)過(guò)程中，生命得到保證，身體免于傷害，財(cái)產(chǎn)免于損失。

安全無(wú)小事，細(xì)節(jié)決定成敗，我們要從小事做起，從細(xì)節(jié)出發(fā)，堅(jiān)持安全學(xué)習(xí)培訓(xùn)，不斷提高員工安全意識(shí)，要安全、知安全、懂安全、會(huì)安全，自覺(jué)遵守安全法規(guī)，從“要我安全”的被動(dòng)局面轉(zhuǎn)化為“我要安全、我會(huì)安全”的自覺(jué)行動(dòng)。時(shí)刻繃緊安全這根弦，未雨綢繆，樹(shù)立“如履薄冰，如臨深淵”的憂(yōu)患意識(shí)，才能實(shí)現(xiàn)以人為本，企業(yè)社會(huì)和諧發(fā)展的目標(biāo)。

第二篇：電力系統(tǒng)安全管理和安全教育（推薦）

電力系統(tǒng)安全管理和安全教育

一、安全管理

1、重視培訓(xùn)教育，提高員工安全素質(zhì)

重視培訓(xùn)教育，使職工掌握必備的技能和防范事故的基本知識(shí)，做到在自身工作范圍內(nèi)不出事、少出事或者即使出了事也不致造成重大的損失和社會(huì)影響。

（1）舉辦多種安全知識(shí)宣傳活動(dòng)。如安全教育室、講座、圖書(shū)展覽、廣告板報(bào)、播放錄相片和電影、安全知識(shí)競(jìng)賽、家屬座談會(huì)等活動(dòng)，向職工進(jìn)行生動(dòng)豐富的安全教育。舉辦大型學(xué)習(xí)班，都要講授安全知識(shí)。如省電力工業(yè)局舉辦的多期處級(jí)干部工商管理學(xué)習(xí)班、班組長(zhǎng)學(xué)習(xí)班，都安排了安全知識(shí)講座。

（2）重視對(duì)職工的法制教育。領(lǐng)導(dǎo)者要樹(shù)立法制意識(shí)，正確處理安全與發(fā)展、安全與效益、安全與進(jìn)度的關(guān)系，依法管理安全生產(chǎn)，禁止違章指揮和強(qiáng)令工人冒險(xiǎn)作業(yè)。職工要牢固樹(shù)立規(guī)章制度觀念，自覺(jué)地、嚴(yán)格地執(zhí)行電業(yè)生產(chǎn)（建設(shè)）的各項(xiàng)規(guī)程制度，按規(guī)程規(guī)定的程序、工序、工藝要求做好本職工作。省電力工業(yè)局經(jīng)常組織安全工作規(guī)程、事故調(diào)查規(guī)程、調(diào)度規(guī)程和“兩票三制”的學(xué)習(xí)考試。在重要的事故和事件中，強(qiáng)調(diào)引用和對(duì)照規(guī)程制度的條款進(jìn)行分析，以推動(dòng)職工學(xué)習(xí)和執(zhí)行規(guī)程的自覺(jué)性。

（3）加強(qiáng)專(zhuān)業(yè)培訓(xùn)。專(zhuān)業(yè)的理論和實(shí)踐的培訓(xùn)教育主要在電力院校和基層單位完成，省電力工業(yè)局只對(duì)關(guān)系全系統(tǒng)的“專(zhuān)業(yè)”組織專(zhuān)業(yè)人員進(jìn)行培訓(xùn)，達(dá)到推動(dòng)和提高的目的。省電力工業(yè)局成立以來(lái)，在繼電保護(hù)和自動(dòng)裝置、焊接、輸電和帶電作業(yè)、變電運(yùn)行的培訓(xùn)和開(kāi)展考工定級(jí)等工作中都取得了良好的效果。通過(guò)長(zhǎng)期堅(jiān)持對(duì)職工的教育與培訓(xùn)，逐步提高全系統(tǒng)員工的安全意識(shí)，加強(qiáng)了責(zé)任，提高了專(zhuān)業(yè)技術(shù)，總體安全素質(zhì)得到提高，為系統(tǒng)的安全生產(chǎn)奠定了基礎(chǔ)。

2、突出重點(diǎn)抓安全

安全目標(biāo)確定之后，突出安全工作的重點(diǎn)內(nèi)容、重點(diǎn)對(duì)象、重點(diǎn)單位、重點(diǎn)設(shè)備、重點(diǎn)問(wèn)題和重點(diǎn)措施。

重點(diǎn)對(duì)象是人，強(qiáng)調(diào)以人為本，強(qiáng)調(diào)人的責(zé)任心、安全意識(shí)和安全技能，注重教育與培訓(xùn)。重點(diǎn)單位是依據(jù)他們?cè)谙到y(tǒng)中的地位和影響而決定的。如大型水、火電廠(chǎng)和供電局、變電站。重點(diǎn)設(shè)備是依其在發(fā)供電生產(chǎn)過(guò)程和基建施工中所起的作用而決定，如火電廠(chǎng)的鍋爐、汽輪機(jī)、發(fā)電機(jī)，供電系統(tǒng)中的主變、主線(xiàn)路、主開(kāi)關(guān)和主保護(hù)，施工企業(yè)的大型施工機(jī)具。

重點(diǎn)問(wèn)題是指影響安全生產(chǎn)諸多因素的難點(diǎn)、弱點(diǎn)。如鍋爐四管爆漏、惡性誤操作、繼電保護(hù)中的“三誤”，高壓輸電線(xiàn)路的樹(shù)枝碰線(xiàn)。

重點(diǎn)措施是解決安全生產(chǎn)的特別對(duì)策，有思想的、行政的、組織的、技術(shù)的和經(jīng)濟(jì)的措施，有的時(shí)候需要同時(shí)采用。

二、安全教育

新入廠(chǎng)（局、公司）的生產(chǎn)人員（含實(shí)習(xí)、代培人員），必須經(jīng)廠(chǎng)（局、公司）、車(chē)間和班組三級(jí)安全教育，經(jīng)《電業(yè)安全工作規(guī)程》考試合格后方可進(jìn)入生產(chǎn)現(xiàn)場(chǎng)工作。

新上崗生產(chǎn)人員必須經(jīng)過(guò)下列培訓(xùn)，并經(jīng)考試合格后上崗：運(yùn)行、調(diào)度人員（含技術(shù)人員），必須經(jīng)過(guò)現(xiàn)場(chǎng)規(guī)程制度的學(xué)習(xí)、現(xiàn)場(chǎng)見(jiàn)習(xí)和跟班實(shí)習(xí)，200MW及以上機(jī)組的主要崗位運(yùn)行人員，還應(yīng)經(jīng)仿真機(jī)培訓(xùn)； 檢修、試驗(yàn)人員（含技術(shù)人員），必須經(jīng)過(guò)檢修、試驗(yàn)規(guī)程的學(xué)習(xí)和跟班實(shí)習(xí)；特種作業(yè)人員，必須經(jīng)過(guò)國(guó)家規(guī)定的專(zhuān)業(yè)培訓(xùn)，持證上崗。

在崗生產(chǎn)人員應(yīng)定期進(jìn)行有針對(duì)性的現(xiàn)場(chǎng)考問(wèn)、反事故演習(xí)、技術(shù)問(wèn)答、事故預(yù)想等現(xiàn)場(chǎng)培訓(xùn)活動(dòng)；離開(kāi)運(yùn)行崗位3個(gè)月及以上的值班人員，必須經(jīng)過(guò)熟悉設(shè)備系統(tǒng)、熟悉運(yùn)行方式的跟班實(shí)習(xí)，并經(jīng)《電業(yè)安全工作規(guī)程》考試合格后，方可再上崗工作；生產(chǎn)人員調(diào)換崗位、所操作設(shè)備或技術(shù)條件發(fā)生變化，必須進(jìn)行適應(yīng)新崗位、新操作方法的安全技術(shù)教育和實(shí)際操作訓(xùn)練，經(jīng)考試合格后，方可上崗；200MW及以上機(jī)組主要崗位運(yùn)行人員、地區(qū)（市）及以上供電企業(yè)調(diào)度部門(mén)的調(diào)度人員和220kV及以上變電站的值班人員，應(yīng)創(chuàng)造條件進(jìn)行仿真系統(tǒng)的培訓(xùn)；所有生產(chǎn)人員必須熟練掌握觸電現(xiàn)場(chǎng)急救方法，所有職工必須掌握消防器材的使用方法。

新任命的各級(jí)生產(chǎn)領(lǐng)導(dǎo)人員，應(yīng)經(jīng)有關(guān)安全生產(chǎn)的方針、法規(guī)、規(guī)程制度和崗位安全職責(zé)的學(xué)習(xí)，由上級(jí)管理部門(mén)安排或組織考試。各級(jí)領(lǐng)導(dǎo)人員參加的生產(chǎn)培訓(xùn)，應(yīng)有安全方面的課程內(nèi)容。

除了培訓(xùn)，還有安全生產(chǎn)法規(guī)、規(guī)程制度的定期考試：國(guó)家電網(wǎng)公司對(duì)國(guó)家電網(wǎng)公司分公司、集團(tuán)公司、省電力公司總經(jīng)理、副總經(jīng)理、正副總工程師、安全監(jiān)督部門(mén)負(fù)責(zé)人一般每三年進(jìn)行一次有關(guān)安全生產(chǎn)法規(guī)的考試；國(guó)家電網(wǎng)公司分公司、集團(tuán)公司、省電力公司對(duì)本企業(yè)生產(chǎn)、建設(shè)等部門(mén)的負(fù)責(zé)人和專(zhuān)業(yè)技術(shù)人員，對(duì)所屬生產(chǎn)性企業(yè)和調(diào)度部門(mén)的正副職領(lǐng)導(dǎo)、正副總工程師、安監(jiān)部門(mén)負(fù)責(zé)人，一般每?jī)赡赀M(jìn)行一次有關(guān)安全生產(chǎn)法規(guī)和規(guī)程制度的考試；生產(chǎn)性企業(yè)和調(diào)度部門(mén)對(duì)車(chē)間負(fù)責(zé)人、生產(chǎn)科室負(fù)責(zé)人及專(zhuān)業(yè)技術(shù)人員，每年進(jìn)行一次有關(guān)安全生產(chǎn)規(guī)程制度的考試；生產(chǎn)性企業(yè)和調(diào)度部門(mén)對(duì)車(chē)間的運(yùn)行、檢修、試驗(yàn)人員以及特種作業(yè)人員，每年進(jìn)行安全生產(chǎn)規(guī)程制度的考試。

國(guó)家電網(wǎng)公司分公司、集團(tuán)公司、省電力公司及所屬生產(chǎn)性企業(yè)和調(diào)度部門(mén)應(yīng)根據(jù)情況對(duì)一線(xiàn)人員的安全考試進(jìn)行抽考，如抽考成績(jī)與定期考試成績(jī)差距較大，應(yīng)重新進(jìn)行考試，并通報(bào)批評(píng)。

生產(chǎn)性企業(yè)和調(diào)度部門(mén)每年應(yīng)對(duì)工作票簽發(fā)人、工作負(fù)責(zé)人、工作許可人進(jìn)行培訓(xùn)，經(jīng)考試合格后，以正式文件公布有資格擔(dān)任工作票簽發(fā)人、工作負(fù)責(zé)人、工作許可人的人員名單。

生產(chǎn)性企業(yè)應(yīng)將安全生產(chǎn)規(guī)程制度的考試成績(jī)記入個(gè)人教育培訓(xùn)檔案，考試不及格的應(yīng)限期補(bǔ)考，合格后方可上崗。

對(duì)違反規(guī)程制度造成事故、一類(lèi)障礙和嚴(yán)重未遂事故的責(zé)任者，除按有關(guān)規(guī)定處理外，還應(yīng)責(zé)成其學(xué)習(xí)有關(guān)規(guī)程制度，并經(jīng)考試合格后，方可上崗。

生產(chǎn)性企業(yè)應(yīng)將企業(yè)內(nèi)部及外部的典型事故案例編成教材，及時(shí)對(duì)有關(guān)人員進(jìn)行教育。

生產(chǎn)性企業(yè)可運(yùn)用安全錄像、幻燈、電視、計(jì)算機(jī)多媒體、廣播、板報(bào)、實(shí)物、圖片展覽，以及安全知識(shí)考試、演講、競(jìng)賽等多種形式宣傳、普及安全技術(shù)知識(shí)，進(jìn)行有針對(duì)性、形象化的培訓(xùn)教育，提高職工的安全意識(shí)和自我防護(hù)能力。

生產(chǎn)性企業(yè)應(yīng)設(shè)置安全教育室，用音像、實(shí)物等對(duì)職工進(jìn)行安全教育。公司系統(tǒng)職業(yè)培訓(xùn)應(yīng)設(shè)安全技術(shù)專(zhuān)業(yè)課程。

第三篇：信息系統(tǒng)安全管理方案

信息系統(tǒng)安全管理方案

信息系統(tǒng)的安全，是指為信息系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，以保證系統(tǒng)連續(xù)正常運(yùn)行。信息系統(tǒng)的安全方案是為發(fā)布、管理和保護(hù)敏感的信息資源而制定的一級(jí)法律、法規(guī)和措施的總和，是對(duì)信息資源使用、管理規(guī)則的正式描述，是院內(nèi)所有人員都必須遵守的規(guī)則。信息系統(tǒng)的受到的安全威脅有：操作系統(tǒng)的不安全性、防火墻的不安全性、來(lái)自?xún)?nèi)部人員的安全威脅、缺乏有效的監(jiān)督機(jī)制和評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性手段、系統(tǒng)不能對(duì)病毒有效控制等。

一、機(jī)房設(shè)備的物理安全

硬件設(shè)備事故對(duì)信息系統(tǒng)危害極大，如電源事故引起的火災(zāi)，機(jī)房通風(fēng)散熱不好引起燒毀硬件等，嚴(yán)重的可使系統(tǒng)業(yè)務(wù)停頓，造成不可估量的損失；輕的也會(huì)使相應(yīng)業(yè)務(wù)混亂，無(wú)法正常運(yùn)轉(zhuǎn)。對(duì)系統(tǒng)的管理、看護(hù)不善，可使一些不法分子盜竊計(jì)算機(jī)及網(wǎng)絡(luò)硬件設(shè)備，從中牟利，使企業(yè)和國(guó)家財(cái)產(chǎn)遭受損失，還破壞了系統(tǒng)的正常運(yùn)行。因此，信息系統(tǒng)安全首先要保證機(jī)房和硬件設(shè)備的安全。要制定嚴(yán)格的機(jī)房管理制度和保衛(wèi)制度，注意防火、防盜、防雷擊等突發(fā)事件和自然災(zāi)害，采用隔離、防輻射措施實(shí)現(xiàn)系統(tǒng)安全運(yùn)行。

二、管理制度

在制定安全策略的同時(shí)，要制定相關(guān)的信息與網(wǎng)絡(luò)安全的技術(shù)標(biāo)

準(zhǔn)與規(guī)范。技術(shù)標(biāo)準(zhǔn)著重從技術(shù)方面規(guī)定與規(guī)范實(shí)現(xiàn)安全策略的技術(shù)、機(jī)制與安全產(chǎn)品的功能指標(biāo)要求。管理規(guī)范是從政策組織、人力與流程方面對(duì)安全策略的實(shí)施進(jìn)行規(guī)劃。這些標(biāo)準(zhǔn)與規(guī)范是安全策略的技術(shù)保障與管理基礎(chǔ)，沒(méi)有一定政策法規(guī)制度保障的安全策略形同一堆廢紙。

要備好國(guó)家有關(guān)法規(guī)，如：《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》、《商用密碼管理?xiàng)l例》等，做到有據(jù)可查。同時(shí)，要制定信息系統(tǒng)及其環(huán)境安全管理的規(guī)則，規(guī)則應(yīng)包含下列內(nèi)容：

１、崗位職責(zé)：包括門(mén)衛(wèi)在內(nèi)的值班制度與職責(zé)，管理人員和工程技術(shù)人員的職責(zé)；

２、信息系統(tǒng)的使用規(guī)則，包括各用戶(hù)的使用權(quán)限，建立與維護(hù)完整的網(wǎng)絡(luò)用戶(hù)數(shù)據(jù)庫(kù)，嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理，對(duì)公共機(jī)房實(shí)行精確到人、到機(jī)位的登記制度，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)客戶(hù)、ＩＰ地址、ＭＡＣ地址、服務(wù)帳號(hào)的精確管理；

３、軟件管理制度；

４、機(jī)房設(shè)備（包括電源、空調(diào)）管理制度；

５、網(wǎng)絡(luò)運(yùn)行管理制度；

６、硬件維護(hù)制度；

７、軟件維護(hù)制度；

８、定期安全檢查與教育制度；

９、下屬單位入網(wǎng)行為規(guī)范和安全協(xié)議。

三、網(wǎng)絡(luò)安全

按照網(wǎng)絡(luò)ＯＳＩ七層模型，網(wǎng)絡(luò)系統(tǒng)的安全貫穿與整個(gè)七層模型。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的ＴＣＰ／ＩＰ協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的以下層次：

１、物理層安全：主要防止物理通路的損壞、物理通路的竊聽(tīng)、對(duì)物理通路的攻擊（干擾等）。

２、鏈路層安全：需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)。主要采用劃分 ＶＬＡＮ、加密通訊（遠(yuǎn)程網(wǎng)）等手段。

３、網(wǎng)絡(luò)層安全：需要保證網(wǎng)絡(luò)只給授權(quán)的用戶(hù)使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽(tīng)。

４、操作系統(tǒng)安全：保證客戶(hù)資料、操作系統(tǒng)訪(fǎng)問(wèn)控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)的應(yīng)用進(jìn)行審計(jì)。

５、應(yīng)用平臺(tái)安全：應(yīng)用平臺(tái)之建立在網(wǎng)絡(luò)系統(tǒng)上的應(yīng)用軟件服務(wù)器，如數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器、ＷＥＢ服務(wù)器等。其安全通常采用多種技術(shù)（如ＳＳＬ等）來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全系統(tǒng)。

６、應(yīng)用系統(tǒng)安全：使用應(yīng)用平臺(tái)提供的安全服務(wù)來(lái)保證基本安全，如通過(guò)通訊雙方的認(rèn)證、審計(jì)等手段。

系統(tǒng)安全體系應(yīng)具備以下功能：建立對(duì)特等網(wǎng)段、服務(wù)的訪(fǎng)問(wèn)控制體系；檢查安全漏洞；建立入侵性攻擊監(jiān)控體系；主動(dòng)進(jìn)行加密通

訊；建立良好的認(rèn)證體系；進(jìn)行良好的備份和恢復(fù)機(jī)制；進(jìn)行多層防御，隱藏內(nèi)部信息并建立安全監(jiān)控中心等。

網(wǎng)絡(luò)安全防范是每一個(gè)系統(tǒng)設(shè)計(jì)人員和管理人員的重要任務(wù)和職責(zé)。網(wǎng)絡(luò)應(yīng)采用保種控制技術(shù)保證安全訪(fǎng)問(wèn)而絕對(duì)禁止非法者進(jìn)入，已經(jīng)成為網(wǎng)絡(luò)建設(shè)及安全的重大決策問(wèn)題。

明確網(wǎng)絡(luò)資源。事實(shí)上我們不能確定誰(shuí)會(huì)來(lái)攻擊網(wǎng)絡(luò)系統(tǒng)，所以作為網(wǎng)絡(luò)管理員在制定安全策略之初應(yīng)充分了解網(wǎng)絡(luò)結(jié)構(gòu)，了解保護(hù)什么，需要什么樣的訪(fǎng)問(wèn)以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪(fǎng)問(wèn)。

第四篇：系統(tǒng)安全管理規(guī)定

全國(guó)國(guó)土資源信息網(wǎng)絡(luò) 系統(tǒng)安全管理規(guī)定（試行）

國(guó)土資源部信息中心

二〇〇二年

目錄

第一章 第二章 第三章 第四章 第五章 第六章 第七章

總則……………………………………………………3 物理安全管理…………………………………………3 網(wǎng)絡(luò)系統(tǒng)安全管理……………………………………5 信息安全管理…………………………………………7 口令管理………………………………………………9 人員組織管理………………………………10 附則…………………………………………12 1 全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)

安全管理規(guī)定

本規(guī)定由國(guó)土資源部信息中心提出。本規(guī)定由國(guó)土資源部歸口。

本規(guī)定起草單位：國(guó)土資源部信息中心。

本規(guī)定主要起草人：周俊杰、李曉波、劉志剛、葉興茂、?？讖?qiáng)、咸容禹

本規(guī)范于2002年3月1日首次發(fā)布。本規(guī)范由國(guó)土資源部信息中心負(fù)責(zé)解釋。

第一章

總

則

第一條

為了保證全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)的安全，根據(jù)中華人民共和國(guó)有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法律、法規(guī)和安全規(guī)定，結(jié)合全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的實(shí)際情況，特制定本規(guī)定。

第二條

各單位應(yīng)據(jù)此制訂具體的安全管理規(guī)定。

第三條

本規(guī)定所指的信息網(wǎng)絡(luò)系統(tǒng)，是指由計(jì)算機(jī)（包括相關(guān)和配套設(shè)備）為終端設(shè)備，利用計(jì)算機(jī)、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集、處理、存儲(chǔ)和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。

第四條

本規(guī)定適用于國(guó)土資源部所屬的網(wǎng)絡(luò)系統(tǒng)、單機(jī)，以及下屬單位通過(guò)其他方式接入到國(guó)土資源部網(wǎng)絡(luò)系統(tǒng)的單機(jī)和局域網(wǎng)系統(tǒng)。

第五條

接入范圍。可以接入國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)的單位包括：國(guó)土資源部公務(wù)員辦公系統(tǒng)、部所屬在京直屬單位、各省、自治區(qū)、直轄市、計(jì)劃單列市的國(guó)土資源政府管理機(jī)構(gòu)和國(guó)土資源部批準(zhǔn)的其他單位。

第六條

信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，在實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上，保護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。

第二章

物理安全管理

第七條

物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故與人為操作失誤或錯(cuò)誤，以及計(jì)算機(jī)犯罪行為而導(dǎo)致的破壞。

第八條

為了保障信息網(wǎng)絡(luò)系統(tǒng)的物理安全，對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，應(yīng)遵守國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》。

第九條

網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施，包括防盜、防毀、防電磁干擾等，并定期或不定期地進(jìn)行檢查。

第十條

對(duì)重要網(wǎng)絡(luò)設(shè)備配備專(zhuān)用電源或電源保護(hù)設(shè)備，保證其正常運(yùn)行。

第十一條

全國(guó)國(guó)土資源信息網(wǎng)絡(luò)系統(tǒng)所使用的鏈路必須符合國(guó)家相關(guān)的技術(shù)標(biāo)準(zhǔn)和規(guī)定。

第十二條

鏈路安全包括鏈路本身的物理安全和鏈路上所傳輸?shù)男畔⒌陌踩Ｎ锢戆踩告溌返奈锢斫橘|(zhì)符合國(guó)家的技術(shù)標(biāo)準(zhǔn)，安裝架設(shè)符合國(guó)家相關(guān)建設(shè)規(guī)范，具有穩(wěn)定、安全、可靠的使用性。傳輸信息的安全是指?jìng)鬏敳煌芗?jí)信息的鏈路采用相應(yīng)級(jí)別的密碼技術(shù)和設(shè)備或其他技術(shù)措施，保障所傳輸信息具有可靠的反截獲、反破譯和反篡改能力。

第十三條

鏈路安全主要采取密碼技術(shù)，用于傳輸涉及國(guó)家秘密的鏈路必須使用中辦機(jī)要局認(rèn)可的密碼技術(shù)和設(shè)備。

第十四條

鏈路加密措施的申請(qǐng)遵照國(guó)家《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》執(zhí)行。

第十五條

涉密系統(tǒng)單位須依據(jù)國(guó)家的有關(guān)規(guī)定和法律法規(guī)建立保密管理制度。

第十六條

客戶(hù)機(jī)的物理安全管理

（一）客戶(hù)機(jī)指所有連接到國(guó)土資源部信息網(wǎng)絡(luò)系統(tǒng)的個(gè)人計(jì)算機(jī)、工作站、服務(wù)器、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備；

（二）使用人員應(yīng)愛(ài)護(hù)客戶(hù)機(jī)及與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備（包括網(wǎng)卡、網(wǎng)線(xiàn)、集線(xiàn)器、調(diào)制解調(diào)器等），按規(guī)操作，不得對(duì)其實(shí)施 4 人為損壞；

（三）客戶(hù)機(jī)使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置，杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生；

（四）網(wǎng)絡(luò)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源；

（五）客戶(hù)機(jī)使用人員不得利用客戶(hù)機(jī)進(jìn)行違法活動(dòng)。第十七條

緊急情況

（一）火災(zāi)發(fā)生。切斷電源，迅速報(bào)警，根據(jù)火情，選擇正確的滅火方式滅火；

（二）水災(zāi)發(fā)生。切斷電源，迅速報(bào)告有關(guān)部門(mén)，盡可能地弄清水災(zāi)原因，采取關(guān)閉閥門(mén)、排水、堵漏、防洪等措施；

（三）地震發(fā)生。切斷電源，避免引發(fā)短路和火災(zāi)；

（四）密碼設(shè)備丟失。根據(jù)中辦的有關(guān)規(guī)定處理。

第三章

網(wǎng)絡(luò)系統(tǒng)安全管理

第十八條

網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括五個(gè)方面： 機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程；

完整性：未經(jīng)授權(quán)的人不能修改數(shù)據(jù)，只有得到允許的人才能修改數(shù)據(jù)，并且能夠分辨出被篡改的數(shù)據(jù)。

可用性：得到授權(quán)的實(shí)體在合法的范圍內(nèi)可以隨時(shí)隨地訪(fǎng)問(wèn)數(shù)據(jù)，網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用。

可控性：可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。可審查性：一旦出現(xiàn)安全問(wèn)題，網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段。

第十九條

涉及國(guó)家機(jī)密、部門(mén)敏感信息的局域網(wǎng)的安全標(biāo)準(zhǔn)不得低于中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分 5 準(zhǔn)則》（GB 17859-1999）中規(guī)定的第二級(jí)－系統(tǒng)審計(jì)保護(hù)級(jí)。

第二十條

根據(jù)有關(guān)規(guī)定以及我國(guó)目前的安全技術(shù)水平，內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)與外部公共信息網(wǎng)絡(luò)系統(tǒng)必須物理隔離。

第二十一條

接入INTERNET公共信息網(wǎng)的重要信息網(wǎng)絡(luò)系統(tǒng)須安裝防火墻或其他安全設(shè)備。入網(wǎng)的安全設(shè)備必須具有國(guó)家保密局、公安部、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的技術(shù)鑒定、銷(xiāo)售許可和產(chǎn)品評(píng)測(cè)等資質(zhì)，并符合國(guó)家的相關(guān)規(guī)定。

第二十二條

網(wǎng)絡(luò)管理員應(yīng)盡可能地改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞。關(guān)閉不使用的服務(wù)，對(duì)不同級(jí)別的網(wǎng)絡(luò)用戶(hù)設(shè)置相應(yīng)的資源訪(fǎng)問(wèn)權(quán)限。重要網(wǎng)絡(luò)系統(tǒng)的安全配置應(yīng)達(dá)到中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）中規(guī)定的第二級(jí)－系統(tǒng)審計(jì)保護(hù)級(jí)以上。

第二十三條

網(wǎng)絡(luò)管理員應(yīng)當(dāng)做好系統(tǒng)記錄，定期檢查，發(fā)現(xiàn)問(wèn)題，及時(shí)解決。

第二十四條

重要的信息網(wǎng)絡(luò)系統(tǒng)自運(yùn)行開(kāi)始必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問(wèn)題能夠及時(shí)恢復(fù)正常。網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)的技術(shù)規(guī)劃、實(shí)施和操作，并作好詳細(xì)的記錄。

第二十五條

管理員應(yīng)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)中進(jìn)行系統(tǒng)運(yùn)行記錄（Log）和數(shù)據(jù)庫(kù)運(yùn)行記錄（Data Base Log）的轉(zhuǎn)儲(chǔ)保存以備查。

第二十六條

重要大型數(shù)據(jù)庫(kù)必須運(yùn)行于專(zhuān)門(mén)的服務(wù)器或工作站上，并異地備份。

第二十七條

網(wǎng)絡(luò)安全檢測(cè)。為使網(wǎng)絡(luò)長(zhǎng)期保持較高的安全水平，網(wǎng)絡(luò)管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)管理員在系統(tǒng)檢測(cè)完成后，應(yīng)編寫(xiě)檢測(cè)報(bào)告，需詳細(xì)記敘檢測(cè)的對(duì)象、手段、結(jié)果、建議和實(shí)施 6 的補(bǔ)救措施與安全策略。檢測(cè)報(bào)告存入系統(tǒng)檔案。

第二十八條

網(wǎng)絡(luò)反病毒。病毒的危害性巨大，對(duì)系統(tǒng)和信息的破壞程度具有不可測(cè)性，計(jì)算機(jī)用戶(hù)和系統(tǒng)管理員應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)和殺毒技術(shù)。

第四章

信息安全管理

第二十九條

信息安全是指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)和密碼技術(shù)，保護(hù)信息在傳輸、交換和存儲(chǔ)過(guò)程中的機(jī)密性、完整性和真實(shí)性。具體包括以下幾個(gè)方面。

（一）信息處理和傳輸系統(tǒng)的安全

系統(tǒng)管理員應(yīng)對(duì)處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù)，避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。

（二）信息內(nèi)容的安全

側(cè)重于保護(hù)信息的機(jī)密性、完整性和真實(shí)性。系統(tǒng)管理員應(yīng)對(duì)所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評(píng)測(cè)，采取技術(shù)措施對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救，防止竊取、冒充信息等。

（三）信息傳播安全

要加強(qiáng)對(duì)信息的審查，防止和控制非法、有害的信息通過(guò)我部的信息網(wǎng)絡(luò)系統(tǒng)傳播，避免對(duì)國(guó)家利益、公共利益以及個(gè)人利益造成損害。

第三十條

國(guó)土資源部涉及國(guó)家秘密信息的安全工作實(shí)行首長(zhǎng)負(fù)責(zé)制。國(guó)土資源部所屬單位涉及國(guó)家秘密信息的安全工作實(shí)行單位一把手負(fù)責(zé)制。

第三十一條

信息的內(nèi)部管理

（一）各單位在向部網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒、殺毒工 7 作，確保信息文件無(wú)毒上載；

（二）根據(jù)情況，采取網(wǎng)絡(luò)病毒監(jiān)測(cè)、查毒、殺毒等技術(shù)措施，提高網(wǎng)絡(luò)的整體抗病毒能力；

（三）各應(yīng)用單位對(duì)本單位所負(fù)責(zé)的信息必須作好備份；

（四）各單位應(yīng)對(duì)本單位的信息進(jìn)行審查，各網(wǎng)站和欄目信息的負(fù)責(zé)單位必須對(duì)所發(fā)布信息制定審查制度，對(duì)信息來(lái)源的合法性，發(fā)布范圍，信息欄目維護(hù)的負(fù)責(zé)人等作出明確的規(guī)定。信息發(fā)布后還要隨時(shí)檢查信息的完整性、合法性；如發(fā)現(xiàn)被刪改，應(yīng)及時(shí)報(bào)告辦公廳和信息中心；

（五）涉及國(guó)家秘密的信息的存儲(chǔ)、傳輸?shù)葢?yīng)指定專(zhuān)人負(fù)責(zé)，并嚴(yán)格按照國(guó)家有關(guān)保密的法律、法規(guī)執(zhí)行；

（六）涉及國(guó)家秘密的土地、礦產(chǎn)資源、海洋、測(cè)繪等信息，未經(jīng)所屬單位安全主管負(fù)責(zé)人的批準(zhǔn)不得在網(wǎng)絡(luò)上發(fā)布和明碼傳輸；

（七）個(gè)人計(jì)算機(jī)中的涉密文件不可設(shè)置為共享，個(gè)人電子郵件的收發(fā)要實(shí)行病毒查殺。

第三十二條

信息加密

（一）涉及國(guó)家秘密的信息，其電子文檔資料須加密存儲(chǔ)；

（二）涉及國(guó)家和部門(mén)利益的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ)；

（三）涉及社會(huì)安定的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ)；

（四）涉及國(guó)家秘密、國(guó)家與部門(mén)利益和社會(huì)安定的秘密信息和敏感信息在傳輸過(guò)程中視情況及國(guó)家的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。

第三十三條

任何單位和個(gè)人不得從事以下活動(dòng)：

（一）利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息；

（二）入侵他人計(jì)算機(jī)；

（三）未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開(kāi)的信息；

（四）未經(jīng)授權(quán)對(duì)信息網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序）進(jìn)行增加、修改、復(fù)制和刪除等；

（五）未經(jīng)授權(quán)查閱他人郵件；

（六）盜用他人名義發(fā)送電子郵件；

（七）故意干擾網(wǎng)絡(luò)的暢通運(yùn)行；

（八）從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)。

第五章

口令管理

第三十四條

具有口令功能的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理國(guó)家秘密信息，必須使用口令對(duì)用戶(hù)的身份進(jìn)行驗(yàn)證和確認(rèn)。對(duì)于重要網(wǎng)絡(luò)系統(tǒng)，使用單位要有專(zhuān)職或兼職系統(tǒng)保密員，負(fù)責(zé)日常的口令管理工作。

第三十五條

系統(tǒng)保密員負(fù)責(zé)給新增加的用戶(hù)分配初始口令；指導(dǎo)用戶(hù)正確使用口令；檢查用戶(hù)使用口令情況；幫助用戶(hù)開(kāi)啟被鎖定的口令，對(duì)非法操作及時(shí)查明原因；解決口令使用過(guò)程中出現(xiàn)的問(wèn)題；協(xié)助用戶(hù)保護(hù)國(guó)家秘密不受侵害；定期向主管領(lǐng)導(dǎo)和單位保密機(jī)構(gòu)匯報(bào)口令使用情況和需要解決的問(wèn)題。

第三十六條

定期更換口令?？诹畹淖铋L(zhǎng)使用時(shí)間不能超過(guò)半年，在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短口令的使用時(shí)間。當(dāng)口令使用期滿(mǎn)時(shí)，應(yīng)更換新的口令。

第三十七條

系統(tǒng)保密員必須有能力更改口令。當(dāng)口令使用期滿(mǎn)、被其他人知悉或認(rèn)為口令不保密時(shí)，系統(tǒng)保密員可按照口令更改程序變換口令。口令更換操作應(yīng)在保密條件下進(jìn)行。

第三十八條

對(duì)口令數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)和存取必須加以控制，以防止口令被非法修改或泄露。

當(dāng)系統(tǒng)提供的訪(fǎng)問(wèn)和存取控制機(jī)制不夠完善時(shí)或機(jī)制雖然完善，9 但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲(chǔ)等情況時(shí)，應(yīng)對(duì)存儲(chǔ)的口令加密。

第三十九條

口令的密級(jí)與系統(tǒng)處理國(guó)家秘密信息的密級(jí)相同。根據(jù)《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》第十七條的規(guī)定，涉密系統(tǒng)的身份認(rèn)證應(yīng)當(dāng)符合以下要求：

（一）口令應(yīng)當(dāng)由系統(tǒng)安全保密管理人員集中產(chǎn)生供用戶(hù)選用，并有口令更換記錄，不得由用戶(hù)產(chǎn)生；

（二）處理秘密級(jí)信息的系統(tǒng)口令長(zhǎng)度不得少于六個(gè)字符，口令更換周期不得長(zhǎng)于一個(gè)月；處理機(jī)密級(jí)信息的系統(tǒng)，口令長(zhǎng)度不得少于八個(gè)字符，口令更換周期不得長(zhǎng)于一周；處理絕密級(jí)信息的系統(tǒng)，應(yīng)當(dāng)采用一次性口令或生理特征等強(qiáng)認(rèn)證措施；

（三）口令必須加密存儲(chǔ)，并且保證口令存放載體的物理安全；

（四）口令在網(wǎng)絡(luò)中必須加密傳輸。

第四十條

用戶(hù)應(yīng)記住自己的口令，不應(yīng)把它記載在不保密的媒介物上，嚴(yán)禁將口令貼在終端上。輸入的口令不應(yīng)顯示在顯示終端上。

第六章

人員組織管理

第四十一條

安全的人員組織管理原則

網(wǎng)絡(luò)信息系統(tǒng)的安全管理的最根本核心是人員管理，提高安全意識(shí)，行于具體的安全技術(shù)工作中。為此，安全的人事組織管理主要基于以下三個(gè)原則。

（一）多人負(fù)責(zé)

每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，工作認(rèn)真可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。

負(fù)責(zé)的安全活動(dòng)范圍包括：

1.訪(fǎng)問(wèn)控制使用證件的發(fā)放與回收；

2.信息處理系統(tǒng)使用的媒介發(fā)放與回收； 3.處理保密信息； 4.硬件和軟件的維護(hù)；

5.系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改； 6.重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等。

（二）任期有限

任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。

（三）職責(zé)明確

在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。

出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)盡可能分開(kāi)。

1.系統(tǒng)管理與計(jì)算機(jī)編程； 2.機(jī)密資料的接收和傳送； 3.安全管理和系統(tǒng)管理； 4.訪(fǎng)問(wèn)證件的管理與其它工作；

5.計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。第四十二條 安全的人事組織管理的實(shí)現(xiàn)

信息系統(tǒng)的安全管理部門(mén)應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：

（一）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí) ；

（二）根據(jù)確定的安全等級(jí)，確定安全管理的范圍；

（三）制訂相應(yīng)的機(jī)房出入管理制度；

對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記 11 系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記和管理。

（四）制訂嚴(yán)格的操作規(guī)程；

操作規(guī)程要根據(jù)職責(zé)明確和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。

（五）制訂完備的系統(tǒng)維護(hù)制度；

對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門(mén)批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。

（六）制訂應(yīng)急措施。

要制訂系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。

第七章

附

則

第四十三條

本規(guī)定自正式頒布之日起實(shí)施。第四十四條

本規(guī)定由國(guó)土資源部信息中心負(fù)責(zé)解釋。第四十五條

本規(guī)定與國(guó)家有關(guān)法律、法規(guī)不一致的以國(guó)家法律、法規(guī)為準(zhǔn)。

第五篇：信息系統(tǒng)安全管理規(guī)范

信息系統(tǒng)安全管理規(guī)范

1、目標(biāo)

此文檔用于規(guī)范公司業(yè)務(wù)系統(tǒng)的安全管理，安全管理所達(dá)到的目標(biāo)如下：

確保業(yè)務(wù)系統(tǒng)中所有數(shù)據(jù)及文件的有效保護(hù)，未經(jīng)許可的用戶(hù)無(wú)法訪(fǎng)問(wèn)數(shù)據(jù)。對(duì)用戶(hù)權(quán)限進(jìn)行合理規(guī)劃，使系統(tǒng)在安全狀態(tài)下滿(mǎn)足工作的需求。

2、機(jī)房訪(fǎng)問(wèn)控制

機(jī)房做為設(shè)備的集中地，對(duì)于進(jìn)入有嚴(yán)格的要求。只有公司指定的系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員才有權(quán)限申請(qǐng)進(jìn)入機(jī)房。系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員因工作需要進(jìn)入機(jī)房前必須經(jīng)過(guò)公司書(shū)面批準(zhǔn)。嚴(yán)格遵守機(jī)房管理制度。

3、操作系統(tǒng)訪(fǎng)問(wèn)控制

保護(hù)系統(tǒng)數(shù)據(jù)安全的第一道防線(xiàn)是保障網(wǎng)絡(luò)訪(fǎng)問(wèn)的安全，不允許未經(jīng)許可的 用戶(hù)進(jìn)入到公司網(wǎng)絡(luò)中。第二道防線(xiàn)就是要控制存放數(shù)據(jù)及應(yīng)用文件的主機(jī)系統(tǒng) 不能被未經(jīng)許可的用戶(hù)直接訪(fǎng)問(wèn)。為防止主機(jī)系統(tǒng)被不安全訪(fǎng)問(wèn)，采取以下措施： 操作系統(tǒng)級(jí)的超級(jí)管理用戶(hù)口令、數(shù)據(jù)庫(kù)管理用戶(hù)口令、應(yīng)用管理用戶(hù)口令 只能由系統(tǒng)管理員設(shè)定并經(jīng)辦公室審核，１個(gè)月做一次修改，口令要向其他人員 保密。在應(yīng)用系統(tǒng)實(shí)施階段，考慮到應(yīng)用軟件提供商需要對(duì)自己的產(chǎn)品進(jìn)行調(diào)試，可以在調(diào)試時(shí)將應(yīng)用管理用戶(hù)口令暫時(shí)開(kāi)放給應(yīng)用軟件提供商； 調(diào)試一結(jié)束系統(tǒng) 管理員馬上更改口令。對(duì)口令設(shè)定必需滿(mǎn)足以下規(guī)范： 最多允許嘗試次數(shù) 口令最長(zhǎng)有效期 口令的最大長(zhǎng)度 口令的最小長(zhǎng)度 5 30 天 不受限 6 口令的唯一性要求。

4、系統(tǒng)的安全控制

最近三次所更改的口令不能相同 通過(guò)口令控制及對(duì)象的安全控制實(shí)現(xiàn)。

5、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制

為有效的保障業(yè)務(wù)數(shù)據(jù)的安全，采取以下措施：

數(shù)據(jù)庫(kù)內(nèi)具有較高權(quán)限的管理用戶(hù)口令由辦公室數(shù)據(jù)庫(kù)管理員設(shè)定,并由辦公室審核，不能向其他人開(kāi)放。口令必須１個(gè)月做一次修改。業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建用戶(hù)的口令由辦公室數(shù)據(jù)庫(kù)管理員設(shè)定，由辦公室審核。不能向其他人開(kāi)放。口令必須 1 個(gè)月做一次修改。

對(duì)口令設(shè)定必需滿(mǎn)足以下規(guī)范：

口令最長(zhǎng)有效期 口令的最大長(zhǎng)度 口令的最小長(zhǎng)度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根據(jù)操作需求，在數(shù)據(jù)庫(kù)中分別建立對(duì)業(yè)務(wù)數(shù)據(jù)只有“增、刪、改”權(quán)限的用戶(hù)；對(duì)業(yè)務(wù)數(shù)據(jù)只有“查詢(xún)”權(quán)限的用戶(hù)。不同的操作需求開(kāi)

放不同權(quán)限的用 戶(hù)。除辦公室門(mén)的人員外，其他部門(mén)的任何人員均沒(méi)有權(quán)限從后臺(tái)數(shù)據(jù)庫(kù)直接進(jìn)行數(shù)據(jù)的“增、刪、改”操作 對(duì)于業(yè)務(wù)必須的后臺(tái) job 或批處理，必須由辦公室門(mén)人員執(zhí)行。

6、應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制

應(yīng)用系統(tǒng)訪(fǎng)問(wèn)依靠系統(tǒng)內(nèi)部定義的操作用戶(hù)權(quán)限來(lái)控制,操作用戶(hù)權(quán)限控制到菜單一級(jí)，對(duì)于操作用戶(hù)的安全管理有如下規(guī)范：

所有應(yīng)用級(jí)的操作用戶(hù)及初始口令統(tǒng)一由辦公室門(mén)設(shè)定，以個(gè)人郵件的形式分別發(fā)給各部門(mén)的操作人員。各部門(mén)操作人員在首次登錄時(shí)必須修改口令，口令必須１個(gè)月做一次修改。

對(duì)于口令設(shè)定必需滿(mǎn)足以下規(guī)范：

口令最長(zhǎng)有效期 口令的最大長(zhǎng)度口令的最小長(zhǎng)度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人員不能將自己的用戶(hù)及口令隨意告訴他人所有使用者的認(rèn)可都由系統(tǒng)管理員來(lái)逐一分配。必須由部門(mén)經(jīng)理提交訪(fǎng)問(wèn)權(quán)認(rèn)可的申請(qǐng)表，然后由辦公室批準(zhǔn)。當(dāng)應(yīng)用系統(tǒng)中需要加入新的使用者時(shí)，首先使用者需要填寫(xiě)“權(quán)限申請(qǐng)表”。該申請(qǐng)表應(yīng)該得到部門(mén)經(jīng)理和辦公室的共同批準(zhǔn)。之后，IT 系統(tǒng)管理員會(huì)幫助 應(yīng)用系統(tǒng)的使用者開(kāi)通賬戶(hù)，并建立相應(yīng)的訪(fǎng)問(wèn)等級(jí)和權(quán)限。當(dāng)應(yīng)用系統(tǒng)需要關(guān)閉某位使用者的賬戶(hù)時(shí)，首先該部門(mén)應(yīng)該填寫(xiě)“權(quán)限申請(qǐng) 表”，并得到部門(mén)經(jīng)理和辦公室的共同批準(zhǔn)。之后，IT 系統(tǒng)管理員會(huì)幫助應(yīng)用系 統(tǒng)使用者關(guān)閉該賬戶(hù)。大多數(shù)的主文件都會(huì)與審查日志一起更新。使用者號(hào)碼、處理日期以及時(shí)間 將寫(xiě)入日志，以備今后查詢(xún)之用。

7、個(gè)人義務(wù)

如果技術(shù)上可行，每一位使用者都應(yīng)該通過(guò)一個(gè)唯一的使用者身份號(hào)碼來(lái)識(shí)別，該號(hào)碼設(shè)有密碼，并不得與任何人共享。使用者的身份號(hào)碼意味著不允許存在公共使用。然而，支持網(wǎng)關(guān)和服務(wù)器的設(shè)備是一個(gè)例外，例如：互聯(lián)網(wǎng)服務(wù)器等。只有得到 IT 經(jīng)理的批準(zhǔn)，才能使用這些公共使用身份號(hào)碼。使用者不得與他人共享密碼。如果已經(jīng)告知了他人，那么使用者將對(duì)他人利 用密碼所做的任何行為的后果負(fù)責(zé)。若使用者懷疑他的密碼已經(jīng)被泄露了，那么他應(yīng)該盡快更換密碼。并應(yīng)該在 第一時(shí)間向 IT 系統(tǒng)管理員匯報(bào)。3使用者不應(yīng)該書(shū)面記錄下密碼，并放在別人可以輕易看到的地方。密碼不得設(shè)置成特定詞匯或其他能被輕易猜到的字詞。類(lèi)似姓名、電話(huà)號(hào)碼、身份證號(hào)、生日等都是不合格的密碼。使用者不得向他人泄漏密碼。如果 IT 技術(shù)支持人員要求運(yùn)用使用

者的號(hào)碼 訪(fǎng)問(wèn)，則必須當(dāng)著使用者的面登錄。如果使用者泄漏了密碼，則必須盡快更改密 碼。如果他們因誘騙而泄漏了密碼，則必須盡快向 IT 系統(tǒng)管理員匯報(bào)。如果使用者懷疑我們信息系統(tǒng)的安全性受到威脅，則必須盡快向 IT 系統(tǒng)管 理員匯報(bào)。使用者對(duì)他們自己輸入系統(tǒng)的數(shù)據(jù)的精確性負(fù)責(zé)，同時(shí)也對(duì)他們指示系統(tǒng)開(kāi)發(fā)下載到我們系統(tǒng)上的數(shù)據(jù)的精確性負(fù)責(zé)。他們必須盡力保證數(shù)據(jù)的準(zhǔn)確性。如 果發(fā)現(xiàn)錯(cuò)誤，并且自己能夠修改的話(huà)，則應(yīng)該將其改正。如果自己改正不了，則應(yīng)該向他們的主管匯報(bào)。如果是在源文件發(fā)現(xiàn)數(shù)據(jù)錯(cuò)誤，則應(yīng)該盡快改正這些錯(cuò)誤，而不是故意將這些錯(cuò)誤輸入我們的電腦系統(tǒng)。使用者在離開(kāi)終端機(jī)器或電腦以前必須下線(xiàn)，這一點(diǎn)應(yīng)該強(qiáng)制執(zhí)行。如果是 在使用不帶下線(xiàn)功能的單機(jī)個(gè)人電腦，則必須在離開(kāi)電腦前終止程序。只有當(dāng)執(zhí) 行批處理任務(wù)時(shí)是例外。當(dāng)使用者的工作職責(zé)有變動(dòng)時(shí)，他的訪(fǎng)問(wèn)權(quán)也應(yīng)該作相應(yīng)的變更。部門(mén)經(jīng) 理應(yīng)該及時(shí)遞交“權(quán)限申請(qǐng)表”以通知 IT 系統(tǒng)管理員。特別是在員工辭職的情 況下，他/她的部門(mén)經(jīng)理以及人事部經(jīng)理應(yīng)該及時(shí)通知 IT 系統(tǒng)管理員，以保證在 最短的時(shí)間內(nèi)撤銷(xiāo)他/她的系統(tǒng)訪(fǎng)問(wèn)權(quán)。

8、局域網(wǎng)和廣域網(wǎng)安全

在可能的情況下，我們都應(yīng)將端口轉(zhuǎn)換到使用者的個(gè)人電腦。如果沒(méi)有足夠的轉(zhuǎn)換，已轉(zhuǎn)換的端口將根據(jù)以下優(yōu)先等級(jí)來(lái)分配：

需要帶寬的使用者可以訪(fǎng)問(wèn)機(jī)密數(shù)據(jù)的使用者職務(wù)等級(jí)，例如：公司領(lǐng)導(dǎo)優(yōu)先于管理員，管理員優(yōu)先于經(jīng)理，依此類(lèi)推。所有的訪(fǎng)問(wèn)我們本地網(wǎng)絡(luò)的端口只有在部門(mén)經(jīng)理指定授權(quán)使用者時(shí)才可以 開(kāi)通。因此，在公共區(qū)域（例如：會(huì)議室）的訪(fǎng)問(wèn)端口只能在使用時(shí)開(kāi)通。4 交換機(jī)位于數(shù)據(jù)中心，對(duì)該中心的物理訪(fǎng)問(wèn)應(yīng)該控制。除了授權(quán)的 IT 支持人員以外，任何使用者都不得在公司辦公地點(diǎn)的個(gè)人電腦上安裝任何帶有數(shù)據(jù)包監(jiān)聽(tīng)、端口或地址掃描功能的軟件。IP 地址只能由經(jīng)授權(quán)的 IT 支持人員來(lái)分配。使用者不得自行分配他們的 IP 地址。所有的交換機(jī)、路由器、互聯(lián)網(wǎng)服務(wù)器以及防火墻都應(yīng)該設(shè)置密碼，此密碼 不得為原廠(chǎng)密碼。交換機(jī)、路由器、互聯(lián)網(wǎng)服務(wù)器以及防火墻的所有不同等級(jí)的密碼都應(yīng)該記 錄在案。IT 經(jīng)理應(yīng)該保留一個(gè)備份。所有服務(wù)器的管理員密碼和主管密碼都應(yīng)該記錄在案。IT 經(jīng)理應(yīng)該保留一 個(gè)備份。對(duì)于交換機(jī)、路由器、網(wǎng)絡(luò)集線(xiàn)器以及服務(wù)器的結(jié)構(gòu)等級(jí)的訪(fǎng)問(wèn)應(yīng)該只限授 權(quán)的 IT 支持人員。關(guān)于安全的信息以及通往網(wǎng)絡(luò)的網(wǎng)關(guān)的保護(hù)機(jī)制應(yīng)該只有授權(quán)的 IT 支持人 員知道。所有的交換機(jī)和路由器都應(yīng)該由非間斷電原提供至少 60 分鐘的電源供應(yīng)。如可能，非間斷電源供應(yīng)機(jī)應(yīng)該輪流由一臺(tái)備用的發(fā)電機(jī)來(lái)充電。只有經(jīng)授權(quán)的使用者才允許安裝和使用

網(wǎng)絡(luò)發(fā)明和監(jiān)控工具。