7.2.2 企事业单位信息安全管理制度
企事业单位一般都有自己的内部网络,在信息安全管理制度的制定方面,主要应考虑两个方面:一是保证本单位网络的正常运行;二是加强信息保密工作。一般来讲,制度应包含以下几个方面的内容:
(1)明确本制度制定的目的;
(2)保证计算机网络的正常运行和安全;
(3)保密条款;
(4)确定专门人员的职责及安全教育条款;
(5)明确对信息发布、审核等的要求。
下面以某单位的“计算机网络及信息安全管理制度”为例加以说明。
(1)严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。
(2)加强局域网的安全管理,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。
(3)局域网由信息中心统一规划、建设并负责运行、维护。未经许可,不得私自将计算机接入局域网。计算机入网前必须到信息中心办理登记手续方可接入。
(4)禁止非工作人员操纵网络服务器系统。遇到安全问题及时向信息中心报告,并采取措施及时解决。
(5)接入局域网的用户允许访问国际互联网,下属各单位上网查询信息,允许访问与工作相关的网站。非本单位工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上玩游戏。
(6)使用拨号上网的计算机在拨号上网时,必须中断与局域网的连接,以防止内部数据的外泄和遭受恶意攻击。
(7)不得向其他非我局工作人员透露内部网登录用户名和密码,做好各个应用系统的用户名和密码的保密工作。
(8)涉密计算机严禁访问互联网。
(9)安全专管员要加强网络信息监测,定期检查安全情况,检查计算机是否感染病毒并及时清除,同时应配合网络管理员对各开通服务器的系统日志进行不定期检查,发现隐患及时汇报与处理。
(10)信息中心采取安全技术措施,落实安全管理责任,加强对BBS、聊天室等交互式栏目信息发布的审核和网络运行日志的管理,并将系统运行日志完整保存3个月以上,以备公安机关的监督检查。
(11)负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际联网安全保护管理办法》,使他们具备基本的网络安全知识。
(12)加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密、侵犯国家、社会、集体的利益和公民的合法权益的内容出现。
(13)不得利用局域网络从事危害本单位利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。
(14)加强对信息源单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违法《计算机信息网络国际联网安全保护管理办法》的内容出现。
(15)一旦发现有从事下列危害计算机信息网络安全的活动,应做好记录并立即向当地公安机关报告:
① 未经允许进入计算机信息网络或者使用计算机信息网络资源;
② 未经允许对计算机信息网络功能进行删除、修改或者增加;
③ 未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
④ 故意制作、传播计算机病毒等破坏性程序的;
⑤ 其他危害计算机信息网络安全的活动。
(16)在信息发布的审核过程中,如果发现有以下内容,将一律不予以发布,并保留有关原始记录,在24小时内向当地公安机关报告:
① 煽动抗拒、破坏宪法和法律、行政法规实施的;
② 煽动颠覆国家政权,推翻社会主义制度的;
③ 煽动分裂国家、破坏国家统一的;
④ 煽动民族仇恨、民族歧视,破坏民族团结的;
⑤ 捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
⑥ 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
⑦ 公然侮辱他人或者捏造事实诽谤他人的;
⑧ 损害国家机关信誉的;
⑨ 其他违反宪法和法律、行政法规的。
(17)接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
