计算机及信息系统安全策略

涉密计算机及信息系统安全策略文件

1 概述

涉密计算机及信息系统安全策略文件属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。

公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。

本策略文件主要内容包括：人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。

2 适用范围

2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。

2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。

3 目标

制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。

同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。

4 组织

4.1保密委员会是计算机及信息系统安全管理的领导机关，负责领导信息安全管理体系的建立和信息安全管理的实施，主要包括：

◆提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权；

◆审查、批准信息安全策略和岗位职责；

◆审查业务关键安全事件；

◆批准增强信息安全保障能力的关键措施和机制；

◆保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续

发展。

4.2信息安全管理部门具体负责建立和维持信息安全管理体系，协调相关活动，主要承担如下职责：

◆调整并制定所有必要的信息安全管理规程、制度以及实施指南等；

◆提议并配合执行信息安全相关的实施方法和程序，如风险评估、信息管

理分层等；

◆主动采取部门内的信息安全措施，如安全意识培训及教育等；

◆配合执行新系统或服务的特殊信息安全措施；

◆审查对信息安全策略的遵循性；

◆配合并参与安全评估事项；

◆根据信息安全管理体系的要求，定期向上级主管领导和保密委员会报

告。

5 分层管理与控制

5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络（局域网）及计算机信息管理、互联网计算机信息管理三个管理层次。

5.2 涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由公司涉密人员使用，由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。

5.3 内部网络（局域网）及计算机配置加密管理措施，与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护，以免破坏和非授权修改。

5.4 互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理

措施，同样在信息安全防护上进行安全考虑。

5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。

6 人员安全策略

为避免信息遭受人为过失、窃取、欺骗、滥用的风险，应当识别计算机及信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。公司全体人员都应该了解计算机及系统的网络与信息安全需求，公司必须为全体人员提供足够的培训以达到该安全目的，并为他们提供报告安全事件和威胁的渠道。

6.1工作定义及资源的安全

工作人员从事或离开岗位时必须进行信息安全考虑，相关的安全事项必须包括在工作描述或合同中。包括：

◆对涉及访问秘密或关键信息，或者访问处理这些信息的系统的工作人员

应进行严格审查和挑选；

◆对信息系统具有特殊访问权限的工作人员应该签署承诺，保证不会滥用

权限；

◆当工作人员离开公司时应该移交信息系统的访问权限，或工作人员在公

司内部更换工作岗位时应该重新检查并调整其访问权限。

6.2员工培训

公司全体人员应了解计算机及信息系统的安全需求，并对如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训，熟悉信息安全的实施并加强安全意识。

6.3事件报告

必须建立有效的信息反馈渠道，以便于公司人员一旦发现安全威胁、事件和故障，能及时向有关领导报告。

6.4信息处理设备可接受的使用策略

公司禁止工作人员滥用计算机及信息系统的计算机资源，仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用（包括访问互联网）都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。

公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视

及其他不良内容的网站及某些非业务网站。

包括但不限于以下例子是不可接受的使用行为：

◆使用信息系统资源故意从事影响他人工作和生活的行为。

◆工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威

胁的、滥用的材料。

◆任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从

事用于个人获益的商业活动（如炒股）。

◆工作人员使用信息系统服务来参与任何政治或宗教活动。

◆在没有信息安全管理部门的事先允许或审批的情况下，工作人员在使用

的计算机中更改或安装任何类型的计算机软件和硬件。

◆在没有信息安全管理部门的事先允许或审批的情况下，工作人员拷贝、

安装、处理或使用任何未经许可的软件。

6.5处理从互联网下载的软件和文件

必须使用病毒检测软件对所有通过互联网（或任何其他公网）从信息系统之外的途径获得的软件和文件进行检查，同时，在获得这些软件和文件之前，信息安全管理部门必须研究和确认使用这些工具的必要性。

6.6工作人员保密协议

公司所有人员必须在开始工作前，亲自签订计算机及信息系统保密协议。

6.7知识产权权利

尊重互联网上他人的知识产权。

公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品，无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产，都是公司的专有资产。

7 物理和环境安全策略

计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。

7.1安全区域

根据信息安全的分层管理，应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护，安全区域防护等级应当与安全区域内的信息安全等级一致，安全区域的访问权限应该被严格控制。

7.2设备安全

对支持涉密信息或关键业务过程（包括备份设备和存储过程）的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括：

◆设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非

授权访问的风险降低到可接受的程度。

◆对涉密信息或关键业务过程的设备应该进行保护，以免受电源故障或其

他电力异常的损害。

◆对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素，

如温度和湿度是否超过正常界限。

◆对设备应该按照生产商的说明进行有序地维护。

◆安全规程和控制措施应该覆盖该设备的安全性要求。

◆设备包括存储介质在废弃使用之前，应该删除其上面的数据。

7.3物理访问控制

信息安全管理部门应建立访问控制程序，控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所，确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办公场所、布线室、机房和计算基础设施。

7.4建筑和环境的安全管理

为确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁：偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。

必须在安全区域建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制，并至少每年操作一次灭火设备。

7.5保密室、计算机房访问记录管理

保密室、计算机房应设立物理访问记录，信息安全管理部门应定期检查物理访问记录本，以确保正确使用了这项控制。物理访问记录应至少保留12个月，以便协助事件调查。应经信息安全管理部门批准后才可以处置记录，并应用碎纸机处理。

8计算机和网络运行管理策略

计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息，需要使用安全且受控的方式管理和操作这些计算机，使它们拥有充分的资源。

由于公司计算机和信息系统采用三层管理模式，不排除联接到外部网络，计算机和信息系统的运行必须使用可控且安全的方式来管理，网络软件、数据和服务的完整性和可用性必须受到保护。

8.1操作规程和职责

应该制定管理和操作所有计算机和网络所必须的职责和规程，来指导正确的和安全的操作。这些规程包括：

◆数据文件处理规程，包括验证网络传输的数据；

◆对所有计划好的系统开发、维护和测试工作的变更管理规程；

◆为意外事件准备的错误处理和意外事件处理规程；

◆问题管理规程，包括记录所有网络问题和解决办法（包括怎样处理和谁

处理）；

◆事故管理规程；

◆为所有新的或变更的硬件或软件，制定包括性能、可用性、可靠性、可

控性、可恢复性和错误处理能力等方面的测试/评估规程；

◆日常管理活动，例如启动和关闭规程，数据备份，设备维护，计算机和

网络管理，安全方法或需求；

◆当出现意外操作或技术难题时的技术支持合同。

8.2操作变更控制

对信息处理设施和系统控制不力是导致系统或安全故障的常见原因，所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施，确保对设备、软件或程序的所有变更得到满意的控制。

8.3介质的处理和安全性

应该对计算机介质进行控制，如果必要的话需要进行物理保护：

◆可移动的计算机介质应该受控；

◆应该制定并遵守处理包含机密或关键数据的介质的规程；

◆与计算相关的介质应该在不再需要时被妥善废弃。

8.4鉴别和网络安全

鉴别和网络安全包括以下方面：

◆网络访问控制应包括对人员的识别和鉴定；

◆用户连接到网络的能力应受控，以支持业务应用的访问策略需求；

◆专门的测试和监控设备应被安全保存，使用时要进行严格控制；

◆通过网络监控设备访问网络应受到限制并进行适当授权；

◆应配备专门设备自动检查所有网络数据传输是否完整和正确；

◆应评估和说明使用外部网络服务所带来的安全风险；

◆根据不同的用户和不同的网络服务进行网络访问控制；

◆对IP地址进行合理的分配；

◆关闭或屏蔽所有不需要的网络服务；

◆隐藏真实的网络拓扑结构；

◆采用有效的口令保护机制，包括：规定口令的长度、有效期、口令规则

或采用动态口令等方式，保障用户登录和口令的安全；

◆应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录

节点，并且进行完整的访问审计；

◆严格设置对重要服务器、网络设备的访问权限；

◆严格控制可以对重要服务器、网络设备进行访问的人员；

◆保证重要设备的物理安全性，严格控制可以物理接触重要设备的人员，

并且进行登记；

◆对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后，必须

手工锁屏；

◆严格限制进行远程访问的方式、用户和可以使用的网络资源；

◆接受远程访问的服务器应该划分在一个独立的网络安全区域；

◆安全隔离措施必须满足国家、行业的相关政策法规。

个人终端用户（包括个人计算机）的鉴别，以及连接到所有办公自动化网络和服务的控制职责，由信息安全管理部门决定。

8.5操作人员日志

操作人员应保留日志记录。根据需要，日志记录应包括：

◆系统及应用启动和结束时间；

◆系统及应用错误和采取的纠正措施；

◆所处理的数据文件和计算机输出；

◆操作日志建立和维护的人员名单。

8.6错误日志记录

对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则，包括：1）审查错误日志，确保错误已经得到满意的解决；2）审查纠正措施，确保没有违反控制措施，并且采取的行动都得到充分的授权。

8.7网络安全管理策略

网络安全管理的目标是保证网络信息安全，确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全，保障连接的服务的有效性，避免非法访问。应该注意以下内容：

应将网络的操作职责和计算机的操作职责分离；

◆制定远程设备（包括用户区域的设备）的管理职责和程序；

◆应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整

性，并保护连接的系统，采取控制措施维护网络服务和所连接的计算机

的可用性；

◆信息安全管理活动应与技术控制措施协调一致，优化业务服务能力；

◆使用远程维护协议时，要充分考虑安全性。

8.8电子邮件安全策略

计算机和信息系统应制定有关使用电子邮件的策略，包括：

◆对电子邮件的攻击，例如病毒、拦截；

◆必要时，使用相关技术保护电子邮件的机密性、完整性和不可抵赖。

8.9病毒防范策略

病毒防范包括预防和检查病毒（包括实时扫描/过滤和定期检查），主要内容包括：

◆控制病毒入侵途径；

◆安装可靠的防病毒软件；

◆对系统进行实时监测和过滤；

◆定期杀毒；

◆及时更新病毒库；

◆及时上报；

◆详细记录。

防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。

严格控制盗版软件及其它第三方软件的使用，必要时，在运行前先对其进行病毒检查。

内部工作人员因为上不安全的网站下载文件或其他方式导致中毒，造成的后果由其本人负责。

8.10备份与恢复策略

定义计算机及信息系统备份与恢复应该采用的基本措施：

◆建立有效的备份与恢复机制；

◆定期检测自动备份系统是否正常工作；

◆明确备份的操作人员职责、工作流程和工作审批制度；

◆建立完善的备份工作操作技术文档；

◆明确恢复的操作人员职责、工作流程和工作审批制度；

◆建立完善的恢复工作操作技术文档；

◆针对建立的备份与恢复机制进行演习；

◆对备份的类型和恢复的方式进行明确的定义；

◆妥善保管备份介质。

8.11加密策略

对于应用系统安全需求分析中要求采用加密措施，或相关法规中要求采用加密措施的处理，一定要满足要求。

采用加密技术或选用加密产品，要求符合国家有关政策或行业规范的要求。

选用的加密机制与密码算法应符合国家密码政策，密钥强度符合国家规定。

对于敏感或重要信息，要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。

要求采用高强度的密钥管理系统，保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。

对敏感或重要密钥，要求分人制衡管理。

对敏感或重要密钥，要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。

密钥失密或怀疑失密时，必须及时向安全主管部门报告，更新密钥。并采取有效措施，防止再次发生类似情况。

9访问控制策略

为了保护计算机系统中信息不被非授权的访问、操作或破坏，必须对信息系统和数据实行控制访问。

计算机系统控制访问包括建立和使用正式的规程来分配权限，并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。

9.1计算机访问控制

应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问：

◆计算机活动应可以被追踪到人；

◆访问所有多用户计算机系统应有正式的用户登记和注销规程；

◆应使用有效的访问系统来鉴别用户；

◆应通过安全登录进程访问多用户计算机系统；

◆特殊权限的分配应被安全地控制；

◆用户选择和使用密码时应慎重参考良好的安全惯例；

◆用户应确保无人看管的设备受到了适当的安全保护；

◆应根据系统的重要性制定监控系统的使用规程。

◆必须维护监控系统安全事件的审计跟踪记录；

◆为准确记录安全事件，计算机时钟应被同步。

10风险管理及安全审计策略

信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的（直接和间接的）潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。

计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前，必须进行风险评估工作。

信息安全审计应当3个月进行一次，并形成文档化的信息安全审计报告。

信息安全风险评估应当至少1年一次，可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。

11信息系统应急计划和响应策略

11.1信息应急计划和响应的必要性

应该制定和实施应急计划和响应管理程序，将预防和恢复控制措施相结合，将灾难和安全故障（可能是由于自然灾害、事故、设备故障和蓄意破坏等引起）造成的影响降低到可以接受的水平。

应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划，确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。

11.2应急计划和响应管理程序

应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下主要内容：

◆考虑突发事件的可能性和影响。

◆了解中断信息系统服务可能对业务造成的影响（必须找到适当的解决方

案，正确处理较小事故以及可能威胁组织生存的大事故），并确定信息

处理设施的业务目标。

◆适当考虑风险处理措施，可以将其作为业务连续性程序的一部分。

◆定期对应急计划和响应程序进行检查和进行必要的演练，确保其始终有

效。

◆适当地对技术人员进行培训，让他们了解包括危机管理在内的应急程

序。

12遵循性

计算机及信息系统必须遵守国家法律和法规的要求。

公司所有工作人员都有责任学习、理解并遵守安全策略，以确保公司敏感信息的安全。对违反安全策略的行为，根据事件性质和违规的严重程度，采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外，所有部门和工作人员同样需要遵守相关国家法律和法规的要求。

计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释，由公司保密委员会审批发布。

公司已存在的但内容与本安全策略文件不符的管理规定，应以本安全策略的要求为准，并参考本安全策略及时进行修订。

信息系统安全管理办法(通用版)

企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性，确保数据的完整性和准确性，防止计算机网络失密、泄密时间发生，制定本办法。 第二条公司信息系统的安全与管理，由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下： （一）负责业务软件系统数据库的正常运行与业务软件软件的安全运行； （二）负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用； （三）保证业务软件进销调存数据的准确获取与运用； （四）负责公司办公网络与通信的正常运行与安全维护； （五）负责公司杀毒软件的安装与应用维护； （六）负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码，不得外泄。

第七条定期监测检查各计算机运行情况，如业务软件系统数据库出现异常情况，首先做好系统日志，并及时向总经理汇报，提出应急解决方案。 第八条信息部在做系统需求更新测试时，需先进入备份数据库中测试成功后，方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位，也是各项数据的最原始存储位置，信息部必须做好设备的监测与记录工作，如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护，收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机（POS）IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式，外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址，应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施，任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理

信息安全策略总纲

信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统，非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策，管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全；管理与技术并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度，为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 （一）《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。

（二）《总纲》是制定XXXXXX信息安全管理制度和规定的依据 （三）信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 （四）信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的，其规定了信息安全中的各项技术要求。 （五）信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项，并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是：系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标，结合XXXXXX自身的实际情况，依据国家、监管部门有关安全法规和标准，授权制定信息系统的安全保护实施细则和具体管理办法；并根据环境、系统和威胁变化情况，及时调整和制定新的实施细则和具体管理办法。

计算机信息系统集成

计算机信息系统集成 计算机信息系统集成企业资质认证 法律依据 《国务院对确需保留的行政审批项目设定行政许可的决定》（国务院412号令） 实施主体 工业和信息化部 受理单位 工业和信息化部计算机信息系统集成资质认证工作办公室（简称部资质办） 许可条件： 一、一级资质申请条件 （一）综合条件 1、企业变革发展历程清晰，从事系统集成四年以上，原则上应取得计算机信息系统集成二级资质一年以上； 2、企业主业是系统集成，系统集成收入是企业收入的主要来源； 3、企业产权关系明确，注册资金2000万元以上； 4、企业经济状况良好，近三年系统集成年平均收入超过亿元，财务数据真实可信，并须经国家认可的会计师事务所审计； 5、企业有良好的资信和公众形象，近三年没有触犯知识产权保护等国家有关法律法规的行为。 （二）业绩 1、近三年内完成的、超过200万元的系统集成项目总值3亿元以上，工程按合同要求质量合格，已通过验收并投入实际应用； 2、近三年内完成至少两项3000万元以上系统集成项目或所完成1500万元以上项目总值超过6500万元，这些项目有较高的技术含量且至少应部分使用了有企业自主知识产权的软件； 3、近三年内完成的超过200万元系统集成项目中软件费用（含系统设计、软件开发、系统集成和技术服务费用，但不含外购或委托他人开发的软件费用、建筑工程费用等）应占工程总值30%以上（至少不低于9000万元），或自主开发的软件费用不低于5000万元； 4、近三年内未出现过验收未获通过的项目或者应由企业承担责任的用户重大投诉； 5、主要业务领域的典型项目在技术水平、经济效益和社会效益等方面居国内同行业的领先水平。 （三）管理能力

信息系统安全管理

湖南有线鼎城网络有限公司 信息系统安全管理制度 第一章总则 第一条依据《中华人民共和国保守国家秘密法》和有关保密规定，为进一步加强公司计算机信息系统安全保密管理，并结合公司的实际情况制定本制度。 第二条计算机信息系统包括：涉密计算机信息系统和非涉密计算机信息系统。其中，涉密计算机信息系统指以计算机或者计算机网络为主体，按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第三条涉密计算机信息系统的保密工作坚持积极防范、突出重点，既确保国家秘密安全又有利于信息化发展的方针。 第四条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第五条涉密计算机信息系统的安全保密管理，坚持“谁使用，谁负责”的原则，同时实行主要领导负责制。 第二章系统管理人员的职责 第一条公司的涉密计算机信息系统的管理由使用部门制定专人负责日常管理，具体技术工作由总工办承担，设

置以下安全管理岗位：系统管理员、安全保密管理员、密钥管理员。 第二条系统管理员负责信息系统和网络系统的运行维护管理，主要职责是：信息系统主机的日常运行维护；信息系统的系统安装、备份、维护；信息系统数据库的备份管理；应用系统访问权限的管理；网络设备的管理；网络服务器平台的运行管理；网络病毒入侵防范。 第三条安全保密管理员负责网络信息系统的安全保密技术管理；主要职责是：网络信息安全策略管理；网络信息系统安全检查；涉密计算机的安全管理；网络信息系统的安全审计管理；违规外联的监控。 第四条密钥管理员负责密钥的管理，主要职责是：身份认证系统的管理，密钥的制作，密钥的更换，密钥的销毁。 第五条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第六条新调入或任用涉密岗位的系统管理人员，必须先接受保密教育和网络安全保密知识培训后方可上岗工作。 第七条公司负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。

计算机信息系统安全管理制度

计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全，促进信息化 建设的健康发展，根据国家和辽宁省相关规定，结合本院实际，制定本规定。 第二条本院信息系统内所有计算机的安全保护，适用 本规定。 第三条工作职责 （一）每一个计算机信息系统使用人都是计算机安全员，计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护，发现故障、异常时及时向计算机信息系统管理员报告； （二）计算机信息系统管理员负责院内： 1、计算机信息系统使用制度、安全制度的建立、健全； 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查； 3、计算机信息系统的日常维护（包括信息资料备份， 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等）； 4、计算机信息系统与外部单位的沟通、协调（包括计 算机信息系统相关产品的采购、安装、验收及信息交换等）；5、计算机信息系统使用人员的技术培训和指导。 （三）计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。

第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书，并由局领导任命，在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训，经考核合 格后，方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化， 定期组织计算机安全员开展必要的培训，以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 （一）计算机机房由计算机信息管理员专人管理，未经计算机信息系统管理员许可，其他人员不得进入计算机房。 （二）计算机房服务器除停电外一般情况下全天候开机；在紧急情况下，可采取暂停联网、暂时停机等安全应急措施。如果是电力停电，首先联系医院后勤部门，问清停电的原因、何时来电。然后检查UPS电池容量，看能否持续供电到院内开始发电。 （三）计算机房服务器开机时，室内温度应控制在17度，避免温度过高影响服务器性能。 （四）计算机房应保证全封闭，确保蚊虫、老鼠、蟑螂等不能进入机房，如在机房发现蚊虫、老鼠、蟑螂等，应及时杀灭，以防设备、线路被破坏。

计算机和信息系统安全保密管理规定

计算机和信息系统安全保密管理规定 第一章总则 第一条为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统） 安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。 第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。 第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。 第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章管理机构与职责 第六条公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。 第七条公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责： （一）建立健全安全保密管理制度和防范措施，并监督检查落实情况； （二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。 第八条成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、 党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成 员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。 第九条保密办主要职责： （一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施； （二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案； （三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求； （四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审； （五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；（七）组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是： （一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案；（二）落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施；每半年对涉密信息系统进行风险评估，提出整改措施，经涉密信息系统安全保密领导

(完整版)涉密计算机安全策略文件

航天天绘科技有限公司 涉密计算机及信息系统安全策略文件 1 概述 涉密计算机及信息系统安全策略文件属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。 公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。 本策略文件主要内容包括：人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 2 适用范围 2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。 2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。 3 目标 制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。 同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。

计算机信息系统管理规定

计算机信息系统管理规定

计算机信息系统管理规定 第一章总则 第一条为进一步规范集团内部信息化管理，提高工作效率，使集团内部信息管理规范化、程序化、迅速快捷； 第二条集团计算机信息系统内容包括：机房、计算机硬件和软件、局域网、网页、集团网站、集团所有信息数据、互联网及其它一切与信息系统有关的使用和管理事项(包括台式计算机、笔记本计算机，服务器、UPS、网络交换机、网络路由器、防火墙、监控服务器、存储介质等)。 第三条集团计算机信息系统由信息科统一管理、维护对使用单位和个人进行业务指导、培训和考核，其它任何单位或个人请按照《计算机信息系统管理规定》使用和管理信息系统。 第四条集团计算机信息系统建设本着“总体规划、分步实施”的原则。系统建设应综合考虑成本费用、效率效果以及先进性和适用性。 第五条本制度只涉及微型以上档次的计算机管理，不包括工业过程控制的计算机管理。 第六条本制度适用集团公司及各事业部和分、子公司（以下简称集团各单位）。 第二章职责权限 第一条信息科负责集团与计算机信息有关的一切日常事务，主要职责：

(一)信息科负责机房和集团计算机信息系统的资产管理等日常事务； (二)负责计算机信息咨询、市场调查、信息系统长远规划，制定、执行、监督并实施信息系统相关规定； (三)负责各类计算机信息政策、信息资料、信息文件的收集与整理； (四)负责网络信息安全，计算机病毒防治，网络运行质量监控等相关事宜； (五)全程参与各类计算机信息系统硬件及其配件的计划、采购、维护和安装； (六)全程参与各类软件的开发、采购、安装及维护和使用指导； (七)制定集团计算机信息产品的使用标准和使用权限，经审批后组织实施； (八)负责集团网页设计、开发或与外单位合作开发集团网站。维护集团网页和网站的日常运作与安全管理，及时更新或提醒更新网页和网站的内容，确保网上内容的新颖性和时效性，监督使用国际互联网； (九)规划组织各类信息技术的咨询和培训，确保集团范围内计算机使用者拥有基本操作技能；并定期组织对集团各单位计算机使用水平的考核； (十)检查、监督集团范围内所有信息设备的管理和使用情况，确保各类信息资源的管理和使用符合集团的

信息系统安全管理

信息系统安全管理 完善的信息系统安全管理体系，应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量度量的信息安全管理。 信息安全管理不应该称为一个孤立的、为安全管理而管理的学科，信息安全管理应同IT服务、信息系统审计等建立密切的联系，更好的服务于用户应用。 17.1信息安全管理体系 信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所使用的方法体系，它是整个管理体系的一部分，是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保证组织的信息安全。它有许多要素组成，如组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等；它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表等要素的集合。 信息安全体系的标准和内容如下： 1)信息安全等级保护管理方法：公安部，公通字【2007】43号。 2)BS7799是英国标准协会针对信息安全管理而制定的一个标准。 3)ISO/IEC17799:2005为信息安全管理的实施细则； 4)ISO/IEC27001：2005是建立信息安全管理系统的一套需求规范。 为了保障数据的存储和传输安全，需要对一些重要的数据进行加密。由于对称密码算法比非对称密码算法了效率更高，所以特别适合对大量数据进行加密，国际数据加密算法IDEA长度是128位。 安全审计指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助安全事故产生的原因。 授权安全是指向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。 要实现信息的安全，仅信息安全技术手段还不够，还需要相关法律、法规的支持，以及对企业信息安全的管理。信息安全管理活动有：确定信息安全的方针和原则，对企业信息安全进行系统的规划、组织、实施以及监控企业的信息安全等。 安全服务就是为信息系统中各个层次的安全需要提供安全服务支持如数据库保密服务、安全对等实体认证服务、访问控制服务等； 安全审计是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确的执行，并帮助分析安全事故产生的原因。 安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统内的攻击行为，追查计算机网络系统内的泄密行为，是信息安全保障系统中的一个重要的组成部分。

信息安全管理方针和策略

1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》，并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标，引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。 ISO/IEC 27000，信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题，需考虑： 明确外部状况： ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地的； ?影响组织目标的主要动力和趋势； ?与外部利益相关方的关系，外部利益相关方的观点和价值观。 明确内部状况： ?治理、组织结构、作用和责任； ?方针、目标，为实现方针和目标制定的战略； ?基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）；

?与内部利益相关方的关系，内部利益相关方的观点和价值观； ?组织的文化； ?信息系统、信息流和决策过程（正式与非正式）； ?组织所采用的标准、指南和模式； ?合同关系的形式与范围。 明确风险管理过程状况： ?确定风险管理活动的目标； ?确定风险管理过程的职责； ?确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延； ?以时间和地点，界定活动、过程、职能、项目、产品、服务或资产； ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系； ?确定风险评价的方法； ?确定评价风险管理的绩效和有效性的方法； ?识别和规定所必须要做出的决策； ?确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。 确定风险准则： ?可以出现的致因和后果的性质和类别，以及如何予以测量； ?可能性如何确定； ?可能性和（或）后果的时间范围； ?风险程度如何确定； ?利益相关方的观点； ?风险可接受或可容许的程度； ?多种风险的组合是否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求，相关的信息安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要的管理。相关方的要求可包括法律法规要求和合同义务。

GB17859-1999计算机信息系统安全保护等级划分准则

GB17859-1999计算机信息系统安全保护等级划分准则 1 范围 本标准规定了计算机系统安全保护能力的五个等级，即： 第一级：用户自主保护级； 第二级：系统审计保护级； 第三级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。 2 引用标准 下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。 GB/T 5271 数据处理词汇 3 定义

除本章定义外，其他未列出的定义见GB/T 5271。 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel

信息安全策略模板

信息安全策略

变更履历

*变化状态：C——创建，A——增加，M——修改，D——删除

目录 1. 目的和范围......................... 错误!未指定书签。 2. 术语和定义......................... 错误!未指定书签。 3. 引用文件........................... 错误!未指定书签。 4. 职责和权限......................... 错误!未指定书签。 5. 信息安全策略....................... 错误!未指定书签。 5.1. 信息系统安全组织............. 错误!未指定书签。 5.2. 资产管理..................... 错误!未指定书签。 5.3. 人员信息安全管理............. 错误!未指定书签。 5.4. 物理和环境安全............... 错误!未指定书签。 5.5. 通信和操作管理............... 错误!未指定书签。 5.6. 信息系统访问控制............. 错误!未指定书签。 5.7. 信息系统的获取、开发和维护安全错误!未指定书签。 5.8. 信息安全事故处理............. 错误!未指定书签。 5.9. 业务连续性管理............... 错误!未指定书签。 5.10. 符合性要求.................. 错误!未指定书签。1附件............................... 错误!未指定书签。

《计算机信息系统安全保护等级划分准则》

GB17859-1999《计算机信息系统安全保护等级划分准则》 发布时间：2009-07-23 作者：国家质量技术监督局 1、范围 本标准规定了计算机信息系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级; 本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强. 2、引用标准 下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T5271 数据处理词汇 3、定义 出本章定义外,其他未列出的定义见GB/T5271. 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统. 3.2计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label

表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道/ 3.9 访问监控器reference monitor 监控器主体和客体之间授权访问关系的部件。 4 、等级划分准则 4.1第一级用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户信息，避免其他用户对数据的非法读写与破坏。 4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。 4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。 4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。 4.2 第二级系统审计保护级 与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制

信息系统的类型

信息系统的类型 □信息系统的基本类型 信息系统可以是人工的或基于计算机的，独立的或综合的，成批处理的或联机的。通常的信息系统是上述各种类型的组合。当然它不能即是独 1.独立的系统是为了满足某个特定的应用领域(如，人事管理)而设计 2.综合的信息系统通过它们使用的数据而被综合在一起。系统利用一个资源共享的数据库来达到综合的目的。例如，工资系统要求正常地从人 3.以人工系统为基础已经开发出各种各样的计算机信息系统。到目前为止，在进行人工“计算机化”时，仍然缺乏设计经验和(或)缺少信息服务人员与用户之间的交流。也就是说，基于计算机的系统的工作流程直接借鉴了人工系统的工作流程。通常这些系统是独立的，而且把计算机仅仅用作为数据处理机。在设计这些系 4.信息系统也能按成批处理、联机处理或二者组合来分类。在成批处理系统中，将事务和数据分批地处理或产生报表。例如，银行将大量的支票编码，然后在一天结束时，将所在支票分批、排序并进行处理。又如，为了防止航空公司在塔拉斯一个售票点与在亚特兰大的另一个售票点同时出售从洛杉矶到旧金山的某一航班的最后一张机票，航空公司系统订票必须是联机的，以反映数据库当前的状态。多数联机信息系统也有成批处

即使出现了信息资源管理(IRM)系统，而且计算机信息系统的潜力得 到了广泛的承认之后，大多数系统仍然是独立的成批处理系统。如今这些 系统中多数已经失去了使用价值，而且被重新设计成综合的、联机的系统。通过定义可知，“综合”要求业务领域经理和公司领导密切地合作。信息 服务专业人员可以作为顾问，而有关综合信息系统与业务领域的冲突和差 异则应该由用户团体来解决。解决这些差异以真正实现综合的环境是信息 □社会团体的信息系统 在每个社会团体的每个专业领域都能发现数据处理系统或信息系统 的潜力。下面我们按社会团体列举出这些实行计算机化的专业或应用领域。对于某种程度在专业上相近的系统多数可以综合在一起(例如，工资，会计和人事)。下面给出的清单只是为了说明可能的应用领域，并不包括 1.通用系统：(1)工资 (2)收帐 (3)付帐 (4)总帐 (5)库存管理 和控制 (6)人力资源开发 (7)预算 (8)财务分析 (9)采购 (10)字 2.制造业：(1)定货输入和处理 (2)分配和发送 (3)生产调度 (4) 制造资源计划(MRP，通常又称物料需求) (5)市场分析 (6)计算机辅助 设计(CAD) (7)计算机辅助制造(CAM) (8)项目管理和控制 (9)成本标 3.保健：(1)病人结帐 (2)病房统计 (3)配方(包括药剂的相互影响) (4)护士站调度(5)诊断 (6)入院管理 (7)

应用系统安全策略

应用系统安全策略 1 高效的认证机制 登录验证机制：登录时需要输入系统分配的用户名和密码，连续输入错误次数达到系统设定的次数，系统将锁定该用户账户，只有通过系统管理员才能进行解锁重置。同时，系统支持用户安全卡（USBKEY）管理机制，利用软件电子钥匙的方法，只有持有该电子钥匙的用户才能正常启动客户端软件或Web 插件，再配合加密的用户名密码对，通过双重措施保障用户访问的安全。管理人员访问网络视频监控系统时都将进行身份认证，认证信息采用128位的DES加密处理，以判断用户是否有权使用此系统。认证系统对用户进行安全认证，身份验证的资料来源于集中规划的数据库，数据库管理着视频监控系统所有用户的身份资料。系统应具有独特的用户名与MAC地址绑定功能，能够限定某一用户使用唯一指定的终端观看其权限范围内的视频信息，避免该用户名、密码被盗后，通过其它终端访问系统造成视频信息泄露，同时也可有效地监督用户的工作行为，防止非正常场所观看秘密视频信息。 2 严格的权限管理 授权机制：系统应提供完善的授权机制，可以灵活地分配给用户可以查看的监控点、可执行的功能模块、可执行的具体功能等。用户只能查看权限范围内的监控点和执行被授予的功能。管理人员登录到监控系统后，可以对监控点的设备进行管理和配置、实时查看监控点的视频图像、录像日程安排，管理、查看和检索保存在存储系统中的视频文件。系统具有完善的权限管理系统，数据库中记录了各个管理人员对各监控点的使用权限，权限管理系统根据这些数据对用户使用权限进行管理，并对用户使用界面进行定制，使用户只能管理和使用具有相应权限的监控点的设备和视频文件，而不能随意查看，甚至管理其它监控点的设备和视频文件，以保障系统的安全性。同一用户名在同一时间内，系统可严格限定只能有一人登陆使用系统，防止某一用户名和密码泄露后，其它人访问监控系统，造成视频信息泄露。 3 完善的日志管理 系统详细记录用户登录、登出、控制视频、浏览视频等重要操作日志，便于查询和统计;同时，在系统产生故障时，可以通过系统日志信息，作为分析、处理问题的一个重要依据。 4 软件监测技术

信息系统安全管理制度

信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................

信息安全管理制度 为维护公司信息安全，保证公司网络环境的稳定，特制定本制度。 第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室（下属单位）在向网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力； 3、各信息应用科室对本单位所负责的信息必须作好备份； 4、各科室应对本部门的信息进行审查，网站各栏目信息的负责科室必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告；

计算机信息系统安全和保密管理制度

计算机信息系统安全和保密管理制度 1 计算机信息系统安全和保密管理制度 为进一步加强我局计算机信息系统安全和保密管理，保障计算机信息系统和数据的安全，特制定本制度。 第一条严格落实计算机信息系统安全和保密管理工作责任制，各部门负责人为信息安全系统第一责任人。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则，各处室在其职责范围内，负责本单位计算机信息系统安全和保密管理。 第二条办公室是全局计算机信息系统安全和保密管理的职能部门，信息中心具体负责技术保障工作。 第三条局域网分为内网、外网。内网运行各类办公软件，专用于公文的处理和交换，属涉密网；外网专用于各处室和个人浏览国际互联网，属非涉密网。上内网的计算机不得再上外网，涉及国家秘密的信息应当在制定的涉密信息系统中处理。 第四条购置计算机及相关设备须按照保密局指定的有关参数指标，信息中心将新购置的计算机及相关设备的有关信息参数登记备案后，经办公室验收后，方可提供上网IP 地接入机关局域网。 第五条计算机的使用管理应符合下列要求： （一）严禁同一计算机既上互联网又处理涉密信息； （二）信息中心要建立完整的办公计算机及网络设备技术档案，定期对计算机及软件安装情况进行检查和登记备案； （三）设置开机口令，长度不得少于8 个字符，并定期更换，防止口令被盗；

（四）安装正版防病毒等安全防护软件，并及时进行升级，及时更新操作系统补丁程序； （五）未经信息中心认可，机关内所有办公计算机不得修改上网IP 地址、网关、DNS服务器、子网掩码等设置； （六）严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息； （七）严禁将办公计算机带到与工作无关的场所；确因工作需要需携带有涉密信息的手提电脑外出的，必须确保涉密信息安全。 第六条涉密移动存储设备的使用管理应符合下列要求： （一）分别由各处室兼职保密员负责登记，做到专人专用专管，并将登记情况报综合处备案； （二）严禁涉密移动存储设备在内、外网之间交叉使用； （三）移动存储设备在接入本部门计算机信息系统之前，应查杀病毒、木马等恶意代码； （四）鼓励采用密码技术等对移动存储设备中的信息进行保护； （五）严禁将涉密存储设备带到与工作无关的场所。 第七条数据复制操作管理应符合下列要求： （一）将互联网上的信息复制到内网时，应采取严格的技术防护措施，查杀 病毒、木马等恶意代码，严防病毒等传播； （二）使用移动存储设备从内网向外网复制数据时，应当采取严格的保密措

信息安全工作总体方针和安全策略

1.总体目标 以满足业务运行要求，遵守行业规程，实施等级保护及风险管理，确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行，由某部门对该项工作的落实和执行进行监督，由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则（或者采用其他原则例如：“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等）。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序，并在关联制度文档中定义出相关的安全角色，并对其赋予管理职责。“以人为本”，通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度，明确机房的出入管理办法，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制

方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人，建立网络维护方面相关操作办法并由某人或某部门监督执行看，确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下，建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人，对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行，建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法，并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门，设立安全主管等主要安全角色，依据信

计算机信息系统保密管理规定

xxxxxx公司 计算机信息系统保密管理规定 编制： 审核： 批准：

xxxxx公司计算机信息系统保密管理规定 第一章总则 第一条为保护计算机信息系统处理的国家秘密信息安全，根据国保发（1998）1号文件精神，依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。 第二条本规定适用于公司涉密信息系统的运行管理，规定所称的计算机信息系统由本单位的各类涉密计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。 第三条本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。 第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。 第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查，发现问题，及时提出并督促整改。各部门负责本部门计算机信息系统及涉密信息的安全保密工作。 第二章台账、维修、报废管理 第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理，涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。 第七条各部门应建立本部门计算机和信息系统分台账。由各部门负责统计、维护和管理。 第八条台账应以电子和文档版本形式存在，总台账和分台账内容应当吻合，并与实物相符，发现问题实时更新台账，保证台账与实物相符。 第九条台账信息按照设备分类，应包含以下信息： ㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。 ㈡存储介质台账应当包含：责任人、名称、型号、密级、启用时间、标识和警示语以及销毁时间；见附表十。