数据安全管理规定.doc

数据安全管理规定
一、目的
明确规定公司使用信息系统的各部门对数据安全管理的工作职责与范围,监督其日常与长期工作质量,并使其符合ISO质量管理体系要求。
二、范围
公司使用信息系统的各部门
三、适用文件
无
四、内容
(一)总则
:确保公司业务计算机信息系统正常运行,维护数据信息应用工作的正常开展,提高公司计算机信息系统数据整体安全水平,净化网络信息环境。
、财务、人事等电子数据。
“谁主管、谁负责,预防为主、综合治理,制度防范与技术防范相结合”的原则,逐步实现数据安全管理的科学化、规范化。各部门计算机数据管理实行负责人责任制,各部门指定专人负责本部门计算机数据管理工作,其职责是:
(1)保障本部门计算机数据的安全运行;
(2)对本部门的计算机数据及时进行分类登记、备份;
(3)对外来介质、软件进行检测;
(4)随时检测、清除计算机病毒和有害数据;
(二)计算机信息系统安全管理
;计算机信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。
、规范、严格的用户管理策略或办法。重要的计算机信息系统必须有双人互备做为系统管理员,系统管理员必须对计算机信息系统的各种服务器加设口令,严禁采用系统默认超级管理员用户命或口令;由系统管理员对用户实行集中管理,对用户按职能分组管理,设定用户访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志,审计日志应进行妥善保存。
、软件、数据等要有完整可靠的备份机制和手段,并具有在要求时间内恢复系统功能以及重要数据的能力。对重要计算机信息系统及设备要有应急处理预案,并定期举行数据安全应急演习。
,机房要在场地面积、用电环境、使用环境、消防防雷等方面符合国家有关规定。
,要尽量现场维修,系统管理员要在现场监督;确需要送出维修时,注意去掉存储部件或删除数据。
。只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统,严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。接入计算机信息系统的客户机要满足以下要求:1、装有杀毒防毒软件;2、与互联网或外网物理隔离;3、只装指定的业务软件;4、未经允许,不得接入移动存储设备;5、除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
、升级、调试和维护由系统管理员负责。未经系统管理员许可, 不得随意在计算机信息系统的客户机上安装新软件。
(三)互联网安全管理
“涉密计算机不上互联网,非涉密计算机不处理涉密信息”的原则。涉及公司秘密的
计算机信息系统,不得