1、信息系统管理方案- 1 -目 录第一章 信息系统管理领导组 .1第二章 信息系统管理制度 .2第三章 信息系统安全防范技术 .10第四章 信息系统应急预案 .16第五章 信息系统安全教育培训 .17第一章 信息系统管理领导组第一条 信息系统安全管理领导组成员及主要工作信息系统安全管理实行主管领导、信息系统管理中心主任和信息安全技术人员三级负责制。各公司信息化主管领导作为信息安全的第一责任人,履行安全管理的决策职责,负责安全事故应急处理指挥;信息系统管理中心主任,负责信息系统建设、运行和安全的具体管理工作;信息安全技术人员,具体负责信息系统日常安全维护工作。第二条 信息系统安全管理领导组岗位职责
2、一、 信息系统主管领导岗位职责1. 负责全市煤炭运销系统计算机信息系统管理的规划、建设、技改方案的拟定、审核及实施过程中的检查、监督。2. 负责对系统运行情况和管理维护工作进行检查,掌握全系统运行质量状况。3. 负责在全市采用和推广与系统有关的新技术,对现有设备进行挖掘、更新、改造。4. 负责对系统运行出现的重大故障要积极督促、协调相关部门尽快处理,组织制定防范措施。5. 负责信息系统的宏观调控,整体运行设计。6. 负责与集团公司信息系统相关工作的协调。二、 信息系统管理中心主任岗位职责1. 认真贯彻执行国家有关政策、法律法规及企业的各项制度。2. 及时准确传达上级指示,按时完成公司下达的各项
3、指标。3. 研究掌握网络技术发展趋势,定期写出分析报告。4. 负责制订系统信息网络管理的规章制度及标准。5. 负责制订系统信息网络的规划、建设及技改方案。6. 负责制订系统信息网络的安全运行及使用的管理。信息系统管理方案- 2 -7. 负责组织本部门及系统网络管理人员的培训、考核。8. 负责组织系统与网络相关的职能会议及拟订处理与网络相关的职能文件。9. 负责对系统各级网络管理部门工作的检查监督,定期提交调查报告。10. 定期做出网络运行和维护分析报告。11. 负责本地局域网数据使用授权的管理,监督局域网的数据备份工作。12. 检查审核网络运行档案的建立及移交。13. 负责系统内信息网络工程的
4、需求确定、设计方案的审定及工程验收。14. 指导、监督、检查所属下级的各项工作,掌握工作情况和数据。15. 负责收集与业务相关的一切信息并及时反馈。16. 按时完成上级交办的其它工作并按时复命。三、 信息系统安全技术人员岗位职责1. 执行公司的规章制度和工作程序,保质、保量按时完成工作。2. 掌握系统运行网络的软、硬件技术性能,并参加培训。3. 负责做好公司局域网数据的备份工作。4. 负责管理监测系统网络的运行情况、及时排除网络运行中的故障,对出现的重大问题要及时向直接上级汇报并提出解决方案。5. 参与网络总体工程设计方案的规划、建设及技改方案的制订及网络工程的验收。6. 掌握网络技术发展的趋
5、势,对系统网络工作提出建设性意见。7. 建立维护档案,定期移交上级信息管理中心。8. 随时采集客户需求信息,并及时上报直接上级。9. 负责本地微机操作员的培训及考核。10. 收集与企业相关的一切信息并及时反馈。11. 按时完成上级交办的其它工作并及时复命。第二章 信息系统管理制度第一节 机房管理制度第一条 机房的电源系统、空调系统、监控系统、消防系统的服务支撑以及对电源电压,地线、接地,温度、湿度,各种电缆走线,清洁度,防静电,防霉,防虫害,防火,防水,防易燃、易爆品,防电磁波等方面都应当符合国家标准及国家和信息系统管理方案- 3 -集团有关规定。第二条 信息管理中心配合公司安保部门对防火、防
6、盗、防雷、应急出口、应急照明等系统定期检查,并记录检查结果。第三条 机房环境管理:一、 机房附近不应有污染气体、强电磁场、强震动源、强噪声源及所有危害系统正常运行的因素。二、 机房的洁净程度必须满足设备制造厂家要求的工作条件,地面要最大程度的达到整洁,机房门窗必须封闭。三、 机房必须保持清洁,排列正规,布线整齐,仪表正常,工具到位,资料齐全,设备有序,使用方便。机房周围应保持清洁,凡路口、过道、门窗附近,不得堆放物品和杂物妨碍交通。四、 机房内核心设备与服务器必须配备 UPS,至少保证断电情况下 UPS 可对核心设备与服务器持续供电 30 分钟。五、 必须严格遵守设备制造商有关设备保护的要求。
7、六、 信息管理中心应监控及调节机房的环境条件,保证机房的温度在 18-25 摄氏度内。七、 机房有足够的照明设备、通信设施和良好的防静电设施。第四条 用电防火安全管理:一、 机房必须配备灭火装置等防火设施。二、 严禁在机房使用与公司无关的各种电器,非电工人员不准装、修电器设备和线路,不准带电作业。三、 加强机房施工监护,防止人为事故的发生,各种安装施工禁止使用 UPS 电源,施工人员撤离现场后应关闭工具电源。四、 机房内电器设备外壳要接地良好,高压操作时必须使用绝缘防护工具,并注意人身和设备安全。五、 机房应设置灭火装置和安全防护用具,安放在指定位置,并有专人负责定期检查。维护人员必须熟悉一般
8、的消防和安全操作方法。六、 消防系统需要定期委托当地消防部门进行检查验收。七、 机房内严禁吸烟,严禁存放易燃易爆物品。严禁在机房内大面积使用化学溶剂。八、 雷雨季节要加强对机房内部安全设备、地线及防护电路的检修。第五条 机房内部管理:一、 机房管理实施安全责任人制度,信息管理中心安排专人负责机房管理。二、 机房内严禁吸烟、喝酒和吃零食,不准大声喧哗。三、 机房管理人员应保持机房内整洁。四、 机房管理人员不做与工作无关的事情。五、 未经上级主管部门同意,任何人不得操作与自己不相关的设备。信息系统管理方案- 4 -六、 检修设备由相关人员进行,他人不得随意操作。第二节 设备管理制度第一条 信息设备
9、范围:信息设备是指公司各部门日常办公使用的信息设备,包括网络设备、电脑、打印机、复印机、网络、传真等专有设备,以及个人日常办公使用的信息设备,主要有电脑主机、显示器、打印机、UPS、复印机、电话、传真、外设(键盘、鼠标、音箱)等。第二条 信息设备统一列册登记(固定资产):各部门的信息设备(电脑、打印机、复印机、网络、传真机等) 实行管理和使用两分离的原则,统一由信息中心管理,各个渠道购入的信息设备均应作为固定资产统一列册登记。第三条 信息设备使用管理:一、 各部门负责人为第一责任人,对本部门计算机及相关设备的硬件管理负总责。二、 各部门人员保护好各自的电脑及其它相关设备(如打印机、复印机、传真
10、机、扫描仪等) ,认真做好“防尘、防潮、防火、防盗、防故障、防雷击”的“六防”工作。三、 爱护计算机及其相关硬件设备,不得让设备在空闲时,长期处于工作状态,不得人为损坏,不得在设备上堆压重物,避免强光照射设备表面,让其处于通风环境下,下班时检查设备是否关闭电源。四、 养成人走关机的良好习惯,节约用电、节约用纸、节约使用耗材等相关资源。五、 用于个人办公的信息设备,都将直接分配到个人使用和保管。个人都必须对自己领用的设备负责。领用(退回)任何设备时,都必须认真清点并签收(签退)。六、 服务器、网络设备、电脑、打印机、复印机、网络、传真等专有设备直接分配到各部门,各部门都必须对本部门使用的专有信息
11、设备负责,日常管理工作由信息管理中心信息技术员负责。七、 各人原则上只能使用自己分配的计算机。非必要时,不能将机器交由他人操作(特别是非本单位人员) 。未经当事人同意,不能擅自在他人的计算机上进行任何操作。八、 未经授权同意,不得擅自操作服务器和网络设备。九、 所有计算机设备,未经授权同意,不得擅自拆、换任何零件、配件、外设。不论该行为是否已经对设备、网络、数据造成影响,一经发现,将严肃处理。十、 未经授权同意,不得擅自将私有或外来的零件、配件、设备,加入到系统内部的计算机设备中或网络中,不得擅自安装未经认可、允许的游戏和盗版软件。十一、 如果需要将私有或各部门自行购置的计算机设备添加到本系统
12、的计算机设备信息系统管理方案- 5 -或网络中,必须在确认不影响现有设备、数据、网络安全并经相关领导签字同意后才能添加,否则一经发现将严肃处理。十二、 如果需要将系统内的计算机设备搬离办公地点(或借给外单位)使用,必须在相关领导签字同意后才能搬离或借出(必要时将相关数据备份后删除,以防泄露公司重要数据) 。十三、 如果人员工作发生调动(部门之间) ,计算机设备将跟随个人一起调动,个人仍使用原来的计算设备。如果原有设备不能满足新的岗位需要,或者实际情况不适合计算机设备跟随调动的,必须通过信息管理中心,由信息管理中心申请报告统一调整安排。十四、 未经集团批准,局域网内计算机不能与外网相联;禁止使用
13、局域网内计算机上 Iternet、QQ 等外部公众网。第四条 信息设备及配件耗材申购:一、 由各部门提出所需设备的购置申请,并填写“信息设备申购表”进行申购审批,其中注明所需设备的用途、大体规格参数、时间、价位等相关信息。 “信息设备申购表”见附件。二、 交由相关负责人进行审核批准,通过后由信息管理中心统一购置。三、 由信息管理中心信息系统安全技术人员验收合格后,将设备具体配置上报信息管理中心统一备案并将经过调试的设备交付申请设备的部门,并进行发放登记,责任人签收,统一编号存档。第五条 信息设备维护:一、 对故障设备及网络系统的管理和维护由信息管理中心统一负责。二、 各部门设备出现故障应及时上
14、报信息管理中心申请报修,不得擅自处理,由信息管理中心视故障的情况,安排专业技术人员进行检查。三、 确定故障后填写“设备维修申请表” ,由信息管理中心审核上报,批准后,信息管理中心统一协调安排专业技术人员进行维修, “信息设备维修申请单”见附件。四、 维护完毕后,由信息管理中心或申请人本人验收合格后,信息系统技术人员上报维修流程给信息管理中心存档备查。第六条 信息设备报废:设备报废原则包括以下几条:一、 超过使用年限、自然损耗造成性能降低、让主要部件损坏,无法修复的。二、 设备因产品质量低劣,不能正常运行,又无法改造利用。三、 多次修理,费用超过设备原值 1/2 以上的。四、 设备属淘汰产品,不
15、能满足正常工作的。五、 报废手续:1. 按规定填写“信息设备报废申报表” (见附件),及时提交信息管理中心。信息系统管理方案- 6 -2. 报废表填报后,由信息管理中心组织人员进行技术鉴定,并填写出意见,报领导审核批准后实施3. 报废设备的回收:1) 凡经批准报废的设备,各部门不得自行处理,由信息管理中心统一办理。2) 各部门交回的设备,要保持完整不得私自拆卸挪作它用。3) 报废设备的处理由信息管理中心提出处理意见,报领导审核批准方可执行。4) 报废设备内的数据信息由信息管理中心统一备份后删除销毁。附件:信息设备申购单申请部门申请人申请日期产品名称型号/数量申请原因配置要求部门负责人意见同意
16、不同意签字/日期:信息设备维修申请单设备名称申请人申请日期故障描述信息系统管理方案- 7 -信息办确认维修结果设备技术员确认签字: 申请人确认维修结果:日期: 日期:信息系统管理方案- 8 -信息设备报废申报表部门: 电话: 年 月 日设备型号 设备名称 数量 单价 购置日期 备 注报废原因申报部门负责人意见信息办负责人意见第三节 病毒防治管理制度第一条 任何工作人员不得有下列传播计算机病毒的行为:一、 故意输入计算机病毒,危害计算机信息系统安全。二、 向计算机应用部门提供含有计算机病毒的文件、软件、媒体。三、 购置和使用含有计算机病毒的媒体。第二条 信息系统安全技术人员要定期对各部门计算机进
17、行检查,发现问题及时报告并检修。 第三条 不使用来历不明的软盘、光盘等软件,必须使用正版软件。第四条 发现新的病毒或由于计算机病毒导致计算机系统遭到破坏、数据丢失时,要及时上报信息系统相关领导。第五条 预防和控制计算机病毒的安全管理工作,由信息系统安全管理人员领导,信息系统安全技术人员负责实施。第六条 对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。第四节 系统数据等管理制度第一条 用户和密码管理一、 对于网络设备、主机、操作系统、数据库、业务应用程序,系统用户都必须通过用户和密码认证方可访问。信息系统管理方案- 9 -二、 用户权限分为普通
18、用户、维护用户与超级用户三个级别。普通用户为各应用系统的使用者,维护用户为各层面系统维护者,超级用户为各层面的管理员用户。三、 具有重要权限的帐号密码设置必须符合以下安全要求:1. 密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容。2. 密码长度至少是六个字符,组成上必须包含大小写字母、数字、标点等不同的字符。3. 如果数据库系统、应用系统提供了密码安全周期机制,则帐户密码必须至少每 120 天修改一次。4. 同一密码不得被给定账户在一年内重复使用。5. 如果数据库系统、应用系统提供了密码安全机制,则必须在 3
19、0 分钟之内连续出现 5 次无效的登录尝试,其账户必须锁定 15 分钟。在此期间,超级用户可以采用经过批准的备用验证机制重新启用账户。6. 厂商默认密码必须在软件或硬件安装调试完毕后进行修改。7. 对于操作系统,必须禁用 GUEST 帐户,并将管理员帐户重命名。四、 密码保护与备份策略:1. 范围:网络设备、服务器操作系统、数据库、应用系统、ADSL 帐户拨号信息;2. 包含项目:网络设备包括访问的 IP 地址、端口,所有超级用户的用户名以及密码;3. 服务器操作系统的 IP 地址、所有管理员帐户名、密码;4. 数据库中所有具有系统数据库管理员权限的用户的用户名和密码;5. 应用系统中所有超级
20、用户的用户名以及密码;6. ADSL 帐户的用户名以及密码。第二条 主机安全管理一、 主机系统管理员由信息管理部领导指定专人负责,主机系统管理员与应用系统管理员不可兼职。主机的访问权限由主机系统管理员统一管理,并为系统应用人员分配与其工作相适应的权限。二、 主机系统管理员必须每日检查主机机房工作环境是否满足主机的工作条件, 包括不间断电源、温度、湿度、洁净程度等。若主机机房的工作条件不能满足主机的工作要求,应及时向上级主管部门反映,提出改善主机机房的要求,以保障主机设备的安全。 三、 主机系统管理员负责系统安全措施的设置,系统用户管理和授权,制定系统安全检查规则,实施对生产系统服务器的访问控制
21、、日志监测、系统升级,防止非法入侵。信息系统管理方案- 10 -第三条 网络安全管理一、 需要全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施,以便优化公司 IT 系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和补救措施的记录。二、 网络层次管理必须遵循以下要求:1. 信息系统所有相关部门必须同集团信息系统管理部密切合作。2. 必须编制并保留网络连接拓扑结构。三、 信息系统技术人员负责煤矿网络、办公网络的安全管理,信息系统技术人员必须掌握网络管理和网络安全方面的知识。四、 信息系统技术人员必须使用安全工具或技术
22、进行系统间的访问控制,并根据系统的安全等级,相应的在系统的接入点部署防火墙等网络安全产品,保证网络安全。第四条 操作系统安全管理一、 操作系统管理员由信息管理部领导指定专人担任。二、 操作系统管理员主要责任包括:1. 对操作系统登录帐号、权限、帐号持有人进行登记分配管理。2. 制定并实施操作系统的备份和恢复计划。3. 管理系统资源并根据实际需要提出系统变更、升级计划。4. 监控系统运行状况,发现不良侵入立即采取措施制止。5. 每 1 个月检查系统漏洞,根据实际需要提出版本升级计划,及时安装系统补丁,并记录。6. 检查系统 CPU、内存、文件系统空间的使用情况等。7. 检查服务器端口的开放情况。
23、8. 每月分析系统日志和告警信息,根据分析结果提出解决方案。三、 在信息系统管理制度正式公布之前,操作系统管理员必须删除操作系统中所有测试帐号,对操作系统中无关的默认帐号进行删除或禁用。四、 本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端时,必须退出操作系统。在操作系统设置上,信息系统管理员必须将操作系统帐号自动退出时间参数设置为 10 分钟以内。第五条 数据库管理数据库管理员的职责:一、 数据库用户注册管理及其相关安全管理。二、 对数据库系统存储空间进行管理,根据实际需要提出扩容计划。对数据库系统性能进行分析、监测,优化数据库的性能。必要时进行数据库碎片整理、重建索引等。三、 制定并实施数据库的备份及恢复计划,根据备份计划进行数据库数据和配置备
