范文一：医保信息安全管理制度b

医保信息安全管理制度

为确保医保联网计算机应用能够正常、高效、安全地运行，实现系统安全、数据安全、网絡安全和应用安全的目标，特制定《医保联网计算机信息安全管理制度》。

一、人员管理

(1)应定期对系统所有工作人员从政治思想、业务水平、工作表現等方面进行考核，尽可能保证这部分人员安全可靠。对不适合接触信息系统的人员要适时调离。

(2)所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培训，才能进入系统工作。

(3) 医保联网计算机专人负责，定期更改系统口令。

二、计算机安全管理

(1)除医保应用相关程序外，严禁随意安装其他软件。重要的數据文件必须多份拷贝异盘存放。

(2)严禁利用U 盘、移动便盘、光盘等移动外设，拷贝文件至医保联网计算机上。

(3)严禁修改、删除医保联网计算机上文件。

(4)医保联网计算机必须设置口令，对口令的产生、登记、更换期艰实行严格管理。口令最好在8位以上，

(5)严禁区保联网计第机上互联网。未经批准不得向他人提供查询或拷贝。

(6)、医保线路为专线专用，任何人员不得通过不正当手段非法进入医保信息系统网络

范文二：医保联网计算机信息安全管理制度

医保联网计算机信息安全管理制度

为确保医保联网计算机应用系统能够正常、高效、安全地运行，实现系统安全、数据安全、网络安全和应用安全的目标，特制定《科宏眼科医院医保计算机系统信息安全管理制度》。

一、定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核，尽可能保证这部分人员安全可靠。

二、所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培训，医保联网计算机专人负责，定期更改系统口令。

三、除医保应用相关程序外，严禁随意安装其他软件。重要的数据文件必须多份拷贝异盘存放。

四、严禁利用U盘、移动硬盘、光盘等移动外设，拷贝文件至医保联网计算机上。

五、严禁修改、删除医保联网计算机上文件。

六、 严禁医保联网计算机上互联网。 七、医保联网计算机，禁止运行与医保无关的业务程序，严禁医保联网计算机与其他计算机联网。

鄂州科宏眼科医院

范文三：医保联网计算机信息安全管理制度

教育百科:http://www.docin.com/mydoc-7352321-1.html

免费，快乐 ，优质 ，简单，高效，尽在教育百科。

医保联网计算机信息安全管理制度

为确保医保联网计算机应用能够正常、高效、安全地运行，实现系统安全、数据安全、网络安全和应用安全的目标，特制定《义乌市医保联网计算机信息安全管理制度》。

一、安全管理机构

(1)义乌市人事劳动社会保障局负责所有医保联网单位计算机信息安全。

(2)各医保联网单位计算机安全，有各单位自行负责。

二、人员管理

(1)应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核，尽可能保证这部分人员安全可靠。对不适合接触信息系统的人员要适时调离。

(2)所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培训，才能进入系统工作。

(3)医保联网计算机专人负责，定期更改系统口令。

三、计算机安全管理

(1)根据所处理业务的重要性确定安全等级，并据此采用有关规范和制定相应管理制度。

(1)除医保应用相关程序外，严禁随意安装其他软件。重要的数据文件必须多份拷贝异盘存放。

(2)严禁利用U盘、移动硬盘、光盘等移动外设，拷贝文件至医保联网计算机上。

(3)严禁修改、删除医保联网计算机上文件。

(4)医保联网计算机必须设置口令，对口令的产生、登记、更换期限实行严格管理。口令最好在8位以上。

(5)未经义乌市人事劳动社会保障局批准， 严禁医保联网计算机上互联网。未经批准不得向他人提供查询或拷贝。

四、违反处罚

(1)查到医保联网计算机上互联网一次，提出整改意见，不按义乌市人事

教育百科:http://www.docin.com/mydoc-7352321-1.html

免费，快乐 ，优质 ，简单，高效，尽在教育百科。

劳动社会保障局规定期内整改完成的，停止医保刷卡业务一个季度。累计三次的，终止医保定点授权。

(2)医保联网计算机，未经允许使用外设(如U盘，移动硬盘等)、光盘一次，暂停医保刷卡业务一个月，累计三次，进入黑名单，停止医保刷卡业务半年。

(3)医保联网计算机，禁止运行与医保无关的业务程序，查到的暂停医保刷卡业务一个星期。

(4)严禁医保联网计算机与其他计算机联网。

附 则

1、 对违反本制度并造成重大事故的，将追究直接责任人的责任。

2、 本制度由义乌市人事劳动社会保障信息管理中心制定和负责解释，自2009年3月1日起实施。

范文四：信息安全管理制度

互联网上网服务营业场所信息安全管理制度

根据《互联网上网服务营业场所管理条例》 、 《计算机信息网络国际联网安 全保护管理办法》等有关法律法规规定,制定本制度。

第一条 本单位和上网消费者不得利用本单位网络设备制作、下载、复制、 查阅、发布、传播或者以其他方式使用含有下列内容的信息:

(一)反对宪法确定的基本原则的;

(二)危害国家统一、主权和领土完整的;

(三)泄露国家秘密,危害国家安全或者损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯 的;

(五)破坏国家宗教政策,宣扬**、迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)宣传淫秽、赌博、暴力或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)危害社会公德或者民族优秀文化传统的;

(十)含有法律、行政法规禁止的其他内容的。

第二条 本单位和上网消费者不得进行下列危害信息网络安全的活动:

(一)故意制作或者传播计算机病毒以及其他破坏性程序的;

(二) 非法侵入计算机信息系统或者破坏计算机信息系统功能、 数据和应用 程序的;

(三)进行法律、行政法规禁止的其他活动的。

第三条 本单位通过依法取得经营许可证的互联网接入服务提供者接入互联 网, 不得采取其他方式接入互联网。 本单位提供上网消费者使用的计算机必须通 过局域网的方式接入互联网,不得直接接入互联网。

第四条 本单位不得经营非网络游戏。

第五条 本单位和上网消费者不得利用网络游戏或者其他方式进行赌博或者 变相赌博活动。

第六条 本单位实施经营管理技术措施,建立场内巡查制度,发现上网消费 者有本条例第十四条、 第十五条、 第十八条所列行为或者有其他违法行为的, 立 即予以制止并向文化行政部门、公安机关举报。

第七条 本单位在营业场所的显著位臵悬挂《网络文化经营许可证》和营业 执照。

第八条 本单位不得接纳未成年人进入营业场所。本单位在营业场所入口处

的显著位臵悬挂未成年人禁入标志。

第九条 本单位每日营业时间限于8时至24时。

第十条 本单位对上网消费者的身份证等有效证件进行核对、登记,并记录 有关上网信息。 登记内容和记录备份保存时间不得少于60日, 并在文化行政部 门、 公安机关依法查询时予以提供。 登记内容和记录备份在保存期内不得修改或 者删除。

第十一条 本单位依法履行信息网络安全、治安和消防安全职责,并遵守下 列规定:

(一)禁止明火照明和吸烟并悬挂禁止吸烟标志;

(二)禁止带入和存放易燃、易爆物品;

(三)不得安装固定的封闭门窗栅栏;

(四)营业期间禁止封堵或者锁闭门窗、安全疏散通道和安全出口;

(五)不得擅自停止实施安全技术措施。

第十二条 本单位在上网人员身份信息记录方面做到以下几点:

(一 ) 本单位工作人员必须要求用户出示有效证件,进行核实,将用户有效 证件号码和姓名如实录入收费系统后可让用户上机;

(二 ) 有效证件包括:身份证、军官证、士兵证、回乡证、台胞证、居留证、 护照、户口簿、驾驶证等公安机关认可能够证明身份的材料;

(三 ) 工作人员必须完整记录上机用户身份信息, 绝对禁止本单位工作人员编 造、借用他人身份信息;

(四 ) 本单位办理的会员上机时本单位工作人员必须核实会员身份信息。 第十三条 本单位在安全审计管理软件方面做到以下几点:

(一 ) 不得擅自更改本单位安全管理软件系统运行状况, 本单位安全管理计算 机专机专用,不得安装无关软件;

(二 ) 本单位计算机安全员每天接班后对安全管理专用计算机重新启动, 并每 3小时检查以下方面:

1、 查看服务是否正常:在网络神探管理页面 “系统” → “系统设臵” → “服 务运行状态”看服务运行状况。正常情况下,运行状态显示:服务已启动;如服 务状态显示未启动,可在“系统控制面板”→“管理工具”→“服务” ,查看名 为 NDClient 、 NetDetective 的两个系统服务是“已启动” ,如未启动,可手动开 启。如仍不正常,可重启计算机, 10分钟后查看仍不正常的立即停止营业并上 报公安机关管理部门。

2、查看日志是否生成:点击“系统”→“日志统计” ,起始日期和结束日期 选择当日日期, 点击统计, 查看日志数量是否能不断增加。 若无法统计日志数量,

则可以查看屏幕右下角“本地连接” ,点击后查看发送字节数和收到字节数,通 常情况下收到字节数应不断增加。

(三 ) 确保安全管理软件正常工作, 如发现不正常必须立即停业并报告公安机 关管理部门,排除故障后方可营业 ; 因停电、断网、装修、安全管理计算机损坏 等原因导致无法使用本单位安全管理软件的, 应立即停止营业并上报公安机关管 理部门 ;

(四 ) 本单位安全责任人每天按照规定查看 “消息” , 浏览公安部门有关通知;

(五 ) 有效保存用户上网信息记录,保存记录达到 60天 ;

第十四条 本单位必须保证安全管理软件网络结构及网络配臵正常:

(一 ) 更改网络结构和设臵, 以及收费软件重新安装、 设备发生问题应立即停 止营业并上报公安机关管理部门,经公安机关管理部门核查合格后才营业 ; (二 ) 本单位工作人员必须了解连接安全管理专用计算机的交换机上的镜像 口与被镜像口位臵, 在网线接头上贴标签注明, 同时以书面形式记录该交换机各 接口的连接情况和网络结构,并存放在本单位内以备核查。

(三 ) 对局域网内任何电脑的更改报公安机关管理部门备案。

第十五条 本单位必须建立场内监控录像系统, 并确保有 30天以上异地备份 日志。

单位名称:上海浦东新区梦秋电脑网络服务有限公司 (单位公章)

日期: 2013年 01月 29日

范文五：信息安全管理制度

XXXXXX 公司信息安全管理制度 第一章 总 则

第一条 为了保护 XXXXXX 公司计算机网络系统的安全、 促进 计算机信息系统的应用和发展、 保证网络和信息系统的正常运行, 特制定本安全管理制度。

第二条 本管理制度所称的计算机网络系统,是指由 XXXXXX 公司投资购买、建设的计算机网络主、辅节点设备、配套的网络 线缆设施及服务器、工作站所构成的软件、硬件的集成环境。 第三条 本管理制度所称计算机信息系统:由计算机及其相 关的和配套的设备、设施(含网络)构成的,按照一定的应用目 标和规则对信息进行采集、加工、存储、传输、检索等处理的人 机系统。

第四条 本办法适用于 XXXX 本部。

第二章 组织机构和职责

第五条 在信息安全工作管理中,安全管理员的职责包括: (一) 负责公司整个计算机、网络设备、安全设备安全管理

- 1 -

的日常工作。

(二) 开展公司范围内安全知识的培训和宣传工作。

(三) 监控公司安全总体状况,提出安全分析报告。

(四) 了解行业动态,为改进和完善安全管理工作,提出安 全防范建议。

(五) 及时向上级领导、相关负责人报告计算机安全事件。

(六) 安全人员必须严格遵守国家有关法律、 法规和行业规 章,严守国家、行业和岗位秘密。

(七) 安全人员应定期参加下列计算机安全知识和技能的 培训:计算机安全法律法规及行业规章制度的培训;计算机安全 基本知识的培训;计算机安全专门技能的培训等。

第六条 在信息安全工作管理中,系统管理员的职责包括: (一) 负责系统的运行管理,实施系统安全运行细则。

(二) 严格用户权限管理,维护系统安全正常运行。

(三) 认真记录系统安全事项, 及时向计算机安全人员报告 安全事件。

(四) 对进行系统操作的其他人员予以安全监督。

(五) 负责系统维护,及时解除系统故障,确保系统正常运 行。

(六) 不得安装与系统无关的其他计算机程序。

(七) 维护过程中, 发现安全漏洞应及时报告计算机安全人 员。

- 2 -

第七条 在信息安全工作管理中,网络管理员的职责包括: (一) 负责网络的运行管理, 实施网络安全策略和安全运行 细则(详见网络系统的管理规范) 。

(二) 安全配置网络参数,严格控制网络用户访问权限,维 护网络安全正常运行。

(三) 监控网络关键设备、网络端口、网络物理线路,防范 黑客入侵,及时向计算机安全人员报告安全事件。

(四) 对操作网络管理功能的其他人员进行安全监督。 第三章 机房安全管理

第八条 机房安全建设和改造方案应通过上级保卫部门的安 全审批。

第九条 机房安全建设应通过上级保卫部门组织的安全验 收。

第十条 机房应按重要性进行分级管理,分级标准按有关规 定执行。

第十一条 机房应按相应级别合理分区,保障生产环境与运 行环境有效的安全空间隔离。对于安全等级要求较高的系统,要 实行分区控制,限制工作人员出入与己无关的区域。严禁与机房 业务无关的人员进入机房。

- 3 -

第十二条 计算机机房实行分区管理原则。 核心区实行 24小 时连续监控,生产区实行工作时间连续监控,辅助区实施联动监 控。

第十三条 机房建设应当符合下列基本安全要求:

(一) 机房周围 100米内不得存在危险建筑物,如加油站、 煤气站等。

(二) 机房 (含屏蔽机房 ) 应当埋设专用接地线, 不得和其它 接地线相连。

(三) 机房应配备防电磁干扰、 防电磁泄漏、 防静电、 防水、 防盗、防鼠害等设施。

(四) 机房应安装门禁系统、防雷系统、监视系统、消防系 统、报警系统,并与当地公安机关 110联网。

(五) 机房应设专用的供电系统, 配备必要的 UPS 和发电机。 第十四条 机房是重点保护的要害部位,机房主管部门应依 照安全第一的原则,建立、健全严格的机房安全管理制度,如值 班制度、紧急安全事件联系制度、安全应急制度、安全事件处理 制度、机房安全防护系统维护制度等,并定期检查制度执行情况。 第十五条 监控设备的安装应符合安全保密原则,确保监控 的安全规范运作,防止监控信息的泄密。

第十六条 机房严禁无关人员进出,门禁系统的钥匙应严格 发放,对于岗位变动的人员,及时收回原来门禁系统的钥匙。 第十七条 加强进出机房人员管理。禁止未经批准的外部人

- 4 -

员进入机房。非机房工作人员进出机房须经机房主管部门领导批 准,外来人员进出机房还须办理登记手续,并由专人陪同。参观 主机房,须经有关领导批准方可,参观时必须有机房管理员陪同。 第十八条 严禁将易燃易爆和强磁物品及其它与机房工作无 关的物品带入机房。

第十九条 机房内保持肃静,严禁在机房内游艺或进行非业 务活动。进入机房的工作人员,都必须严格遵守机房的安全、防 火制度,严禁烟火。不准在机房内吸烟。

第二十条 机房内所有设备、仪器、仪表等物品要妥善保管, 向外移(带)设备及物品,需有主管领导的批示或经系统管理员 批准,方可拿出机房。

第二十一条 发生机房重大事故或案件,机房主管部门应立 即向有关单位报告,并保护现场。

第四章 设备维修保养管理

第二十二条 只有得到授权的维护人员才能够对设备进行维 修和保养。

第二十三条 注意设备的保养和用电的安全,定期对设备进 行检查,及时消除隐患。

第二十四条 计算机信息网络系统的设备原则上由本单位的

- 5 -

技术人员进行检修。不能检修的,尽可能请维修人员上门维修。 第二十五条 计算机信息网络系统的设备必须外出修理的, 应当经领导批准, 并清理设备内部存贮的涉密信息 (如硬盘格式化 等 ) ,方可外出进行修理。

第二十六条 计算机设备的采购需满足国家以及行业的相关 安全保密规定。

第五章 网络安全管理

第二十七条 网络建设方案应通过上级计算机安全主管部门 的安全审批。

第二十八条 网络投入使用前应通过计算机安全主管部门组 织的安全测试和验收。

第二十九条 在网络的出口出应该配备有相应的安全设备。 第三十条 网络建设中涉及网络安全的资料,应备案建档, 统一管理。相关的密码和帐号应由专人管理。

第三十一条 网络建设应符合下列基本安全要求:

(一) 网络规划应有完整的安全策略。

(二) 能够保证网络传输信道的安全, 信息在传输过程中不 会被非法获取。

(三) 应具有防止非法用户进入网络系统盗用信息和进行 恶意破坏的技术手段。

- 6 -

(四) 应具备必要的网络监测、跟踪和审计的功能。

(五) 应根据需要对网络采取必要的技术隔离措施。

(六) 能有效防止计算机病毒对网络系统的侵扰和破坏。

(七) 应具有应付突发情况的应急措施。

(八) 对于建设竣工文档应由专人管理, 并且以光盘介质和 纸质两种方式进行存档。

第三十二条 网络通信应符合下列基本安全要求:

(一) 各部门之间进行 VLAN 划分。

(二) 对重要服务器区、重要科室部门,实现严格的网络访 问控制。

(三) 对联网的计算机及其网络设备和通讯设备的安装、 使 用, 应建立健全安全保护管理制度, 落实安全保护措施, 以防 “黑 客”侵入和用户非法越权操作。

(四) 存有重要数据的计算机,不得擅自与国际互联网联 网。

(五) 内部有权限上网的用户不能将内部资料通过网络进 行外传。

(六) 网络管理员在内部网络与外网直接的防火墙或路由 器上设置安全访问策略,严格限制内外网之间的访问。

(七) 接入国际互联网的计算机要有专人进行管理, 对上网 内容须进行必要的检查。

- 7 -

(八) 任何用户不得利用国际联网危害国家安全、 泄露国家 秘密,不得侵犯和危害公司的利益,不得从事违法犯罪活动。 第三十三条 访问互联网应符合下列基本安全要求:

(一) 涉密系统不得与境外机构、外国驻华机构、国际计算 机网络及国内公众计算机信息系统联网。

(二) 不得浏览“色情”或传播非法内容(如**功,发动 言论等)的网站。

(三) 不得在网上传播非法内容。

(四) 禁止下载非法的或有危害的软件。

(五) 没有安装防病毒软件的计算机不得访问互联网。 第三十四条 重要网络设备应放置在中心机房内,由网络管 理员负责管理。其他人员不得对网络设备进行任何操作。

第三十五条 网管设备属专管设备,必须严格控制其管理员 密码。

第三十六条 重要网络通信硬件设施、网管应用软件设施及 网络参数配置应有备份。

第三十七条 改变网络路由配置和通信地址等参数的操作, 必须具有包括时间、目的、内容及维护人员等要素的书面记录。 第三十八条 与其他业务相关机构的网络连接,应采用必要 的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的 访问控制。

第三十九条 网络管理人员应随时监测和定期检查网络运行

- 8 -

状况,对获得的信息应进行分析,发现安全隐患应报告计算机安 全人员。

第四十条 有权限的单位在使用专用设备对网络进行检测 时,网络管理人员应给予必要的协助和监督。

第四十一条 网络扫描、监测结果和网络运行日志等重要信 息应备份存储。

第四十二条 联网计算机应定期进行查、杀病毒操作,发现 计算机病毒,应按照规定及时处理。

第四十三条 严禁超越网络管理权限,非法操作业务数据信 息,擅自设置路由与非相关网络进行连接。

第四十四条 机房内交换机上的未被使用的空闲端口应设置 为不启用状态。

第六章 人事安全管理

第四十五条 人员管理应符合下列基本安全要求:

(一) 各部门遴选涉密系统的工作人员, 应当按机要人员的 标准,先审查后录用;并对其进行经常的保密教育,要求严格遵 守国家工作人员保密守则。对不适宜在涉密系统工作的人员应及 时调整。

(二) 建立安全培训制度,进行计算机安全法律教育、职业

- 9 -

道德教育和计算机安全技术教育。对关键岗位的人员进行定期考 核。定期组织对新进公司的职员进行安全管理培训。

(三) 对关键岗位人员的进行安全制度和常识的定期考核、 各部门人员职责的明确。

(四) 网络管理员、安全管理员、普通操作员岗位分离。

(五) 需要上外部互联网用户必须与信息中心办理上网申 请,严格执行安全保密制度。

(六) 内部用户对网络上有害信息应该及时控制并删除, 不 得传播。

(七) 对安全事故、案件等应该及时上报安全管理办公室, 并作日志记录。

(八) 网络管理员应定期检测网络运行情况, 安全管理员必 须定期检查系统安全情况。

(九) 有关信息安全条例及时上安排上网、 并转发给用户学 习。

(十) 发现异常用户登录, 应及时处理并上报安全管理办公 室备案。

第四十六条 多人负责原则:

(一) 每一项与安全有关的活动,都必须有两人或多人在 场。一为互相监督,二为一旦出现擅自离职,可以保证系统的正 常运行。而且应该签署工作情况记录,以证明安全工作已得到保 障。

- 10 -

(二) 以下各项是与安全有关的活动:

① 访问控制使用证件的发放与回收。

② 信息处理系统使用的媒介发放与回收。

③ 处理保密信息。

④ 硬件和软件的维护。

⑤ 系统软件的设计、实现和修改。

⑥ 重要程序和数据的删除和销毁等。

第四十七条 任期有限原则:

一般地讲,任何人最好不要长期担任与安全有关的职务,为 遵循任期有限原则,工作人员应不定期地循环任职,强制实行休 假制度,并规定对工作人员进行轮流培训,以使任期有限制度切 实可行。工作人员在调离本岗位后,应对其所涉及到的权限及口 令等进行重新设定。

第四十八条 职责分离原则:

(一) 在信息处理系统工作的人员不要打听、 了解或参与职 责以外的任何与安全有关的事情,除非系统主管领导批准。 (二) 出于对安全的考虑, 下面每组内的两项信息处理工作 应当分开:

① 计算机操作与计算机编程。

② 机密资料的接收和传送。

- 11 -

③ 安全管理员和网络管理员。

④ 应用程序和系统程序的编制。

⑤ 访问证件的管理与其它工作。

⑥ 计算机操作与信息处理系统使用媒介的保管等。

第四十九条 人员调离时安全管理应符合下列基本安全要 求:

(一) 根据人员安全保密管理, 对工作调动和离职人员要及 时调整相应的授权。

(二) 在宣布人员调离的同时, 应马上收回调离人员的各项 权限,包括取消帐号,收回相关房门钥匙,更换其原来管理的系 统的访问口令,并向被调离人员申明其保密义务。

(三) 涉及科研、开发及其他重要业务的技术人员调离时, 应确认对业务不会造成危害后方可调离。

(四) 人员的录用调入必须经人事组织技术部门的考核和 接受相应的安全教育。

第七章 系统及应用安全管理

第五十条 系统运行的基本要求:

(一) 对于各个信息系统的使用应建立相应安全操作规程 与规章制度。

- 12 -

(二) 指定专人负责启动、关闭重要计算机系统和相关设 备。

(三) 指定专人对系统运行状况进行监视, 及时发现问题并 报告上级。

(四) 记录内部网络拓扑情况,记录各计算机系统的 IP 地 址、网卡地址、系统配置,以在发生安全问题时,及时找到相关 系统。

(五) 各个信息系统的运行场所应满足相应的安全等级要 求。

(六) 各个信息系统应配备必要的计算机病毒防范工具。

(七) 重要的信息系统应配备必要的备份设备和设施。 第五十一条 系统数据安全管理的要求:

(一) 计算机信息系统应定期进行数据备份, 并检查备份介 质的有效性。

(二) 应对备份介质(磁带、磁盘、光盘、纸介质等)统一 编号,并标明备份日期、密级及保密期限。

(三) 应对备份介质妥善保管,特别重要的应异地存放,并 定期进行检查,确保数据的完整性、可用性。

(四) 应建立备份介质的销毁审批登记制度, 并采取相应的 安全销毁措施。

(五) 未采取保密措施的涉密系统 (含个人计算机 ) , 不得用

- 13 -

于采集、处理、存贮、传输和检索涉及公司秘密的信息 (以下简称 涉密信息 ) 。

(六) 重要信息系统使用的计算机设备更换或报废时, 应彻 底清除相关业务信息,并拆除所有相关的涉密选配件,由使用部 门登记封存。

第五十二条 服务器安全管理要求:

(一) 系统中各服务器为应用系统、安全系统专用,不得用 于其他用途。

(二) 未经许可,服务器中不得安装与系统无关的软件。

(三) 系统中各主要服务器不准开设文件共享服务, 若需进 行文件的传输与拷贝,可开通 FTP 服务。

(四) 网络管理员应建立完整的计算机运行日志, 操作记录 及其它与安全有关的资料。

第五十三条 个人计算机安全管理要求:

(一) 未采取保密措施的个人计算机 (含便携机,下同 ) ,不 得作为临时终端检索涉密系统的信息,不得与涉密系统联网。 (二) 个人计算机存贮涉密信息应当采取保密措施, 并标明 密级,按密级文件进行管理,不得在公共场所存放。

(三) 个人计算机不得安装和使用会影响网络性能的工具 软件,如网络扫描器、黑客攻击工具等。

(四) 个人计算机不得安装与工作无关的软件,如游戏、聊

- 14 -

天、炒股软件等。

第五十四条 数据库安全管理要求:

(一) 数据库的各个用户的默认密码应该被重新设置为新 的密码,且密码由数字和字母共同组成,密码长度不小于 8位。 (二) 严格设置和限制数据库用户的访问权限, 容许用户只 访问被批准的数据,以及限制不同用户有不同的访问模式。 (三) 开启数据库日志功能,数据库管理员定期查看日志, 查找异常情况,并将数据库日志进行备份。

(四) 若网络系统中采用了数据库审计系统, 数据库审计系 统的管理员应经常注意数据库审计系统的报警情况,以及时作出 安全响应措施。

(五) 数据库管理员应了解数据库安全漏洞情况及相应的 解决方法,如及时为数据库升级或打好相应的补丁。

(六) 对重要数据库定期进行备份。

第五十五条 系统运行平台的安全管理要求:

(七) 系统管理员应合理配置操作系统、 数据库管理系统所 提供的安全审计功能,以达到相应安全等级标准。

(八) 系统管理员应屏蔽与应用系统无关的所有网络功能, 防止非法用户的侵入。

(九) 涉密系统的操作系统应当建立用户身份验证、 访问权 限控制等保密防御机制和审计机制。

- 15 -

(十) 重要的涉密系统, 应当建立具有实时报警功能的监控 系统。

(十一) 传输重要信息,应当采用数字签名技术。

(十二) 涉密系统各类数据库应当建立用户身份鉴别、 访问 权限控制和数据库审计等保密措施,重要的数据应当加密存放。 (十三) 系统管理员应及时安装正式发布的系统补丁, 修补 系统存在的安全漏洞。并负责应用软件和数据库系统的升级和打 补丁。

(十四) 系统管理员应启用系统提供的审计功能, 监测系统 运行日志,掌握系统运行状况。

(十五) 系统管理员不得泄露操作系统、 数据库的系统管理 员帐号、密码。

(十六) 联网设备的 IP 地址及网络参数,必须按照网络管 理规范及其业务应用范围进行设置,不得随意修改。

(十七) 安全管理员使用扫描工具或请外部专用人员定期 对内部网络系统进行安全扫描。

(十八) 对于已经发现的操作系统和应用软件漏洞和解决 方法,安全管理员应及时告知系统管理员及内部职员,并及时进 行解决。

第九章 数据安全管理

- 16 -

第五十六条 本制度所指的信息数据,包括存储在计算机硬 盘、磁道机、磁盘阵列、光盘塔等电子信息数据,还包括以纸为 信息载体的记录内部网络情况及信息系统等资源的文档。

第五十七条 公司各个部门必须建立完善的业务数据管理制 度,对业务数据实施严格的安全保密管理。各个业务部数据信息 应保存一年以上。

第五十八条 数据备份应符合下列基本安全要求:

(一) 使用数据备份软件对需要长期保存的重要数据进行 快速有效的数据备份工作。

(二) 各部门重要数据的备份一般保证有多份 (最少两份) , 并异地存放,保证系统发生故障时能够快速恢复。存放备份数据 的介质必须具有明确的标识,并明确落实异地备份数据的管理职 责。

(三) 备份数据保管地点应有防火、防热、防潮、防尘、防 磁、防盗设施。

(四) 建议第一次备份时作一次系统数据的全备份, 以后每 天作一次增量备份,每周作一次全备份。

(五) 数据备份过程中, 应确保备份数据源和备份目的介质 之间数据传输安全。

- 17 -

(六) 数据备份的存储介质应设有严格的访问策略限制。

(七) 备份数据应仅用于明确规定的目的, 未经批准不得它 用。

(八) 无正当理由和有关批准手续,不得查阅备份数据。经 正式批件查阅数据时必须登记,并由查阅人签字。

(九) 保密数据不得以明码形式存储和传输。

(十) 根据数据的保密规定和用途, 确定数据使用人员的存 取权限、存取方式和审批手续。

(十一) 注意计算机重要信息资料和数据存储介质的存放、 运输安全和保密管理,保证存储介质的物理安全。

(十二) 任何非应用性业务数据的使用及存放数据的设备 或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审 批,以保证备份数据安全完整。

第五十九条 涉密介质应符合下列基本安全要求:

(一) 涉密系统存贮涉密信息的介质 (含磁盘、 磁带和光盘, 以下简称涉密介质 ) ,应当由专人负责保管,涉密介质应当与非密 介质分开保管。

(二) 涉密介质应当按密级文件进行管理, 标明密级并造册 登记,收发、传递和使用应当有审批手续和传递记录。

(三) 涉密介质应当有防拷贝措施, 拷贝涉密信息要经领导

- 18 -

审批,拷贝的涉密介质按原涉密介质进行管理。

(四) 涉密介质不得降低密级使用和记录非密信息, 无保存 价值的涉密介质应当报领导批准后销毁,并作好销毁记录。 (五) 涉密介质不得到境外修理。

第六十条 数据管理应符合下列基本安全要求:

(一) 公司内部信息数据及网络应用情况要实施保密措施。 信息数据资源保密等级可分为:(1)可向 Internet 公开的; (2) 可向内部公开的; (3)可向特定服务器区公开的; (4)可向有关 部门或个人公开的; (5)仅限于本部门内使用的; (6)仅限于个 人使用的。

(二) 公司内各部门计算机数据管理实行负责人责任制, 各 部门指定专人负责本部门计算机数据管理工作。保障本部门计算 机数据的安全运行,对本部门的计算机数据及时进行分类登记、 备份,随时检测、清除计算机病毒,使用病毒防护工具恢复被病 毒感染的数据。

(三) 计算机数据中涉及国家和商业秘密的信息应采取技 术加密、保密措施,并编制操作密码,任何人不准泄露操作密码。 操作密码要定期更改。如发现失、泄密现象应及时向有关部门报 告。

(四) 传递应予保密的数据, 应通过符合保密要求的邮件等

- 19 -

方式进行。

(五) 在数据采集、传递、加工和发布中违反报名规定,给 国家和社会造成危害的,对直接责任人要给予行政处分,情节严 重的,要追究刑事责任。

(六) 记录有公司内部网络拓扑情况、网络地址、系统配置 等的电子文档,应由网络管理员妥善保管,加密存储。相关的纸 介质文档,也应妥善保管在安全处,未经上级批准不得借阅或复 印。

(七) 数据恢复前,必须对原环境的数据进行备份,防止有 用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行, 由信息部门技术人员进行现场技术支持。数据恢复后,必须进行 验证,确保数据恢复的完整性和可用性。

(八) 数据清理前必须对数据进行备份, 在确认备份正确后 方可进行清理操作。历次清理前的备份数据要根据备份策略进行 定期保存或永久保存,并确保可以随时使用。数据清理的实施应 避开业务高峰期,避免对联机业务运行造成影响。

(九) 需要长期保存的数据, 数据管理部门需与相关部门制 定转存方案,根据转存方案和查询使用方法要在介质有效期内进 行转存,防止存储介质过期失效,通过有效的查询、使用方法保 证数据的完整性和可用性。转存的数据必须有详细的文档记录。 (十) 计算机设备送外维修,须经设备管理机构负责人批

- 20 -

准。送修前,需将设备存储介质内应用软件和数据等涉经营管理 的信息备份后删除,并进行登记。对修复的设备,设备维修人员 应对设备进行验收、病毒检测和登记。

(十一) 管理部门应对报废设备中存有的程序、 数据资料进 行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。

第十章 病毒防治管理

第六十一条 网络中所有联网的服务器和客户端均应安装病 毒防护系统软件,若病毒防护软件带有集中管理功能,则对网络 用户实现病毒防护软件的统一设置,不容许用户私自卸载防病毒 软件,不容许用户禁止实时病毒扫描功能。

第六十二条 安全管理员负责更新防病毒软件。

第六十三条 定期进行病毒扫描,发现病毒立即处理;设置 病毒防护软件自动扫描为每周至少一次。

第六十四条 外面进来的信息介质必须经过病毒扫描、病毒 清除后才能使用。

第六十五条 计算机使用人员在使用软盘时,应先对软盘进 行病毒扫描。

第六十六条 计算机使用者在离开前应锁定计算机或退出系

- 21 -

统。

第六十七条 任何人未经计算机所属使用人的同意,不得使 用他人的计算机。

第六十八条 安全管理员负责公司内部计算机病毒的检测和 清理工作。

第六十九条 安全管理负责人对防病毒措施的落实情况进行 监督。

第七十条 安全管理员定期将防病毒软件的统计日志和公司 内病毒发作情况向安全管理领导小组汇报。

第十一章 帐号密码与权限管理

第七十一条 由网络管理员负责创建用户和删除用户,用户 的密码口令修改由用户自己完成,未经用户同意,网络管理员无 权修改用户的密码。

第七十二条 密码设置应具有安全性、保密性,不能使用简 单的代码和标记。密码是保护系统和数据安全的控制代码,也是 保护用户自身权益的控制代码。密码分设为用户密码和管理员密 码,用户密码是登陆系统时所设的密码,管理员密码是进入各应 用系统的管理员密码。

第七十三条 编制密码应当选择有大小写英文字母与数字混

- 22 -

合用的可拼读但无意义的字母组合,字长不得少于 6个字符,机 密系统口令长度不得少于 10位。不得选择常用、易猜或有特殊意 义的名字或单词 , 如:名字、生日,重复、顺序、规律数字等容易 猜测的数字和字符串。

第七十四条 密码应定期修改,间隔时间不得超过一个月, 如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录 用户名、修改时间、修改人等内容。

第七十五条 口令字 (表 ) 必须注意保密,不得记载或张贴在 外。

第七十六条 用户注意对自己帐号和密码保密,帐号不得转 借、转让他人使用,不得将帐号和密码告诉外部人员。

第七十七条 用户密码在失密后立即报告, 及时更换新密码。 第七十八条 操作人员应有互不相同的用户名,用户对自己 使用的帐号负责,不得与他人共享同一帐号,系统应定期提醒用 户更改帐号密码。

第七十九条 对各用户权限统筹安排,各岗位操作权限要严 格按岗位职责设置,应定期检查操作人员的权限。

第八十条 重要岗位的登录过程应增加必要的限制措施。 第八十一条 对于内部网络内使用的公用帐号和密码 (如 FTP

- 23 -

服务器的登录帐号和密码)应定期更换,同时也不得将此帐号信 息泄漏于外部人员。

第八十二条 在职人员离职时,应及时删除该用户的帐号。 第八十三条 创建用户、删除用户、修改密码等设计用户安 全性的操作应该有详细的日志记录,并由安全管理员负责查看。 第八十四条 服务器、路由器等重要设备的超级用户密码由 运行机构负责人指定专人(不参与系统开发和维护的人员)设置 和管理。

第八十五条 有关密码授权工作人员调离岗位,有关部门负 责人须指定专人接替并对密码立即修改或用户删除并进行登记。

第十二章 附 则

第八十六条 本办法由 XXXX 信息管理部负责解释。

第八十七条 本办法经 XXXX 信息化工作领导小组审议通过后 生效,自发布之日起实施。

- 24 -

转载请注明出处范文大全网 » 医保信息安全管理制度b