第一章 總則
第一條 為加強(qiáng)開(kāi)云在線登錄內(nèi)信息技術(shù)管理與規(guī)范,完善開(kāi)云在線登錄治理結(jié)構(gòu),提高信息技術(shù)治理水平,特制定本管理辦法。
第二條 信息系統(tǒng)安全治理是指開(kāi)云在線登錄在運(yùn)用信息技術(shù)過(guò)程中��,制定的有關(guān)信息系統(tǒng)安全決策權(quán)分配和責(zé)任承擔(dān)的框架��,主要包括在信息系統(tǒng)安全原則����、信息系統(tǒng)安全架構(gòu)�、信息系統(tǒng)安全基礎(chǔ)設(shè)施、信息系統(tǒng)安全應(yīng)用和信息系統(tǒng)安全投入五個(gè)方面制定相關(guān)制度并建立有效工作機(jī)制���,實(shí)現(xiàn)信息系統(tǒng)安全決策的責(zé)任和權(quán)力的有效分配與控制,提高信息系統(tǒng)安全資源的有效性��、可用性和安全性�����。
第三條 信息系統(tǒng)安全治理是開(kāi)云在線登錄治理的重要組成部分�����,開(kāi)云在線登錄通過(guò)建立有效的信息系統(tǒng)安全治理機(jī)制,持續(xù)鞏固和提升信息系統(tǒng)安全能力,保持信息系統(tǒng)安全與業(yè)務(wù)目標(biāo)一致�����,合理利用信息系統(tǒng)安全資源�����,有效管理信息系統(tǒng)安全風(fēng)險(xiǎn)����,確保開(kāi)云在線登錄信息系統(tǒng)建設(shè)和運(yùn)行的安全�、高效��、穩(wěn)定��,確使信息系統(tǒng)安全能力成為提升開(kāi)云在線登錄服務(wù)能力的助推器。
第四條 本方案適用于開(kāi)云在線登錄所有與信息系統(tǒng)安全相關(guān)的所有活動(dòng)。
第二章 組織機(jī)構(gòu)與職責(zé)
第五條 開(kāi)云在線登錄成立計(jì)算機(jī)信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組�,領(lǐng)導(dǎo)小組下設(shè)圖書(shū)情報(bào)信息中心�。圖書(shū)情報(bào)信息中心主要負(fù)責(zé)人是落實(shí)計(jì)算機(jī)信息系統(tǒng)安全管理制度的第一責(zé)任人�。
第六條 圖書(shū)情報(bào)信息中心負(fù)責(zé)制定全開(kāi)云在線登錄計(jì)算機(jī)信息系統(tǒng)安全管理的辦法和規(guī)定,協(xié)調(diào)和處理全開(kāi)云在線登錄有關(guān)計(jì)算機(jī)信息系統(tǒng)安全的重大問(wèn)題。
第七條 開(kāi)云在線登錄圖書(shū)情報(bào)信息中心負(fù)責(zé)全開(kāi)云在線登錄計(jì)算機(jī)信息系統(tǒng)安全的監(jiān)督����、安全事故的偵查和處罰���;負(fù)責(zé)制定本開(kāi)云在線登錄計(jì)算機(jī)信息系統(tǒng)安全管理制度��、技術(shù)規(guī)定����、控制措施等����,并檢查執(zhí)行情況;負(fù)責(zé)對(duì)計(jì)算機(jī)病毒感染的預(yù)防、檢測(cè)和清除����;負(fù)責(zé)定期維護(hù)計(jì)算機(jī)軟件和數(shù)據(jù)��、對(duì)重要信息定期進(jìn)行檢查和備份;負(fù)責(zé)制定計(jì)算機(jī)信息系統(tǒng)安全管理辦法的實(shí)施細(xì)則和技術(shù)規(guī)范,并督促執(zhí)行�。與人事部協(xié)同組織對(duì)計(jì)算機(jī)信息系統(tǒng)安全管理人員的培訓(xùn)���;開(kāi)展計(jì)算機(jī)信息系統(tǒng)安全宣傳教育���。
第八條 開(kāi)云在線登錄分管信息化工作的負(fù)責(zé)人和信息技術(shù)管理人員,必須在接受專(zhuān)門(mén)的計(jì)算機(jī)信息安全培訓(xùn)后��,方能從事計(jì)算機(jī)信息安全管理工作��。
第三章 信息安全治理原則和目標(biāo)
第九條 信息系統(tǒng)安全原則是指導(dǎo)開(kāi)云在線登錄有效運(yùn)用信息系統(tǒng)安全來(lái)實(shí)現(xiàn)開(kāi)云在線登錄服務(wù)目標(biāo)的基本方針���。根據(jù)開(kāi)云在線登錄服務(wù)目標(biāo)��,確定開(kāi)云在線登錄信息系統(tǒng)安全原則如下:
1. 滿足和推動(dòng)服務(wù)業(yè)務(wù)發(fā)展;
2. 對(duì)新應(yīng)用快速實(shí)現(xiàn)���;
3. 信息系統(tǒng)安全架構(gòu)完整、統(tǒng)一���;
4. 數(shù)據(jù)集中、信息共享�����;
5. 控制成本����,提高工作效率;
6. 利用國(guó)家標(biāo)準(zhǔn)規(guī)范開(kāi)云在線登錄管理���;
第十條 為有效開(kāi)展信息系統(tǒng)安全治理工作,確保開(kāi)云在線登錄能夠利用信息系統(tǒng)安全增強(qiáng)服務(wù)能力���。根據(jù)開(kāi)云在線登錄運(yùn)營(yíng)規(guī)劃,確定開(kāi)云在線登錄信息系統(tǒng)安全治理目標(biāo)如下:
1. 明確信息系統(tǒng)安全決策的權(quán)力和責(zé)任���;
2. 實(shí)現(xiàn)技術(shù)和業(yè)務(wù)的有效匹配;
3. 實(shí)現(xiàn)信息系統(tǒng)安全資源的最優(yōu)配置��;
4. 實(shí)現(xiàn)信息系統(tǒng)安全風(fēng)險(xiǎn)的可管可控�。
第十一條 圖書(shū)情報(bào)信息中心制定公開(kāi)、可行的信息系統(tǒng)安全治理流程��,建立開(kāi)云在線登錄業(yè)務(wù)與信息系統(tǒng)安全之間清晰的聯(lián)系框架����,采取有效措施��,使開(kāi)云在線登錄管理層和各相關(guān)部門(mén)的人員了解并認(rèn)同開(kāi)云在線登錄的信息系統(tǒng)安全原則和治理目標(biāo)���。
第十二條 圖書(shū)情報(bào)信息中心根據(jù)開(kāi)云在線登錄發(fā)展需要組織制定信息系統(tǒng)安全規(guī)劃�。信息系統(tǒng)安全規(guī)劃應(yīng)與開(kāi)云在線登錄發(fā)展保持一致����,符合開(kāi)云在線登錄運(yùn)營(yíng)對(duì)信息系統(tǒng)安全的要求,并使技術(shù)和業(yè)務(wù)部門(mén)能正確地理解和把握開(kāi)云在線登錄對(duì)信息系統(tǒng)安全的要求��。
第十三條 信息系統(tǒng)安全規(guī)劃在有效性�、可用性和安全性方面應(yīng)滿足開(kāi)云在線登錄可預(yù)見(jiàn)的業(yè)務(wù)發(fā)展要求,應(yīng)在容量����、性能和安全保障方面做出規(guī)定���。
第四章 信息系統(tǒng)安全措施
第十四條 不得收集���、研究���、編制��、復(fù)制�����、傳播計(jì)算機(jī)病毒,發(fā)現(xiàn)計(jì)算機(jī)病毒要及時(shí)向開(kāi)云在線登錄圖書(shū)情報(bào)信息中心報(bào)告����。
第十五條 不得在計(jì)算機(jī)及網(wǎng)絡(luò)上制作、查閱��、復(fù)制����、傳播或執(zhí)行違反國(guó)家法律法規(guī)和開(kāi)云在線登錄部署有關(guān)規(guī)定、危害國(guó)家和開(kāi)云在線登錄安全的軟件或信息。
第十六條 不得在計(jì)算機(jī)及網(wǎng)絡(luò)上制作、查閱���、復(fù)制、傳播或執(zhí)行含有宣揚(yáng)封建迷信、淫穢色情����、兇殺�����、教唆犯罪等危害社會(huì)治安秩序內(nèi)容的信息。
第十七條 不得利用電子公告服務(wù)制作、復(fù)制和傳播謾罵�、侮辱或誹謗開(kāi)云在線登錄和個(gè)人的信息����。
第十八條 涉及國(guó)家或開(kāi)云在線登錄機(jī)密的信息���,必須采取有效的保密措施���,按照有關(guān)保密規(guī)定進(jìn)行采集���、存儲(chǔ)��、處理���、傳輸����、使用和銷(xiāo)毀�����。重要信息必須從物理上進(jìn)行隔離,并根據(jù)需要進(jìn)行必要的數(shù)據(jù)加密����。
第十九條 對(duì)計(jì)算機(jī)機(jī)房及其它重要區(qū)域須建立出入制度�。
第二十條 對(duì)關(guān)鍵應(yīng)用系統(tǒng)及數(shù)據(jù)的修改和備份須建立審批制度�����、日志管理制度��、安全審計(jì)制度、系統(tǒng)備份制度����。
第二十一條 建立帳戶��、密碼的管理制度,嚴(yán)格管理操作系統(tǒng)�����、重要信息應(yīng)用系統(tǒng)的用戶口令和訪問(wèn)權(quán)限,建立和健全系統(tǒng)訪問(wèn)日志,保證信息共享的安全性�。
第二十二條 在網(wǎng)絡(luò)上開(kāi)展電子公告服務(wù)的開(kāi)云在線登錄���,必須對(duì)用戶實(shí)行帳戶管理和建立相應(yīng)的信息管理制度�����。申請(qǐng)帳戶需填寫(xiě)提供真實(shí)姓名和所在部門(mén)等資料���,經(jīng)一定的核實(shí)程序���,方能成為電子公告服務(wù)的合法用戶���。
第二十三條 對(duì)服務(wù)器系統(tǒng)軟件和個(gè)人計(jì)算機(jī)操作系統(tǒng)須及時(shí)進(jìn)行版本升級(jí)或安裝補(bǔ)丁程序��,杜絕系統(tǒng)級(jí)的安全漏洞��。
第二十四條 建立計(jì)算機(jī)網(wǎng)絡(luò)病毒防治系統(tǒng)和計(jì)算機(jī)病毒預(yù)防、發(fā)現(xiàn)�、報(bào)告及清除管理制度�����。
第二十五條 計(jì)算機(jī)機(jī)房應(yīng)符合國(guó)家標(biāo)準(zhǔn)和其它有關(guān)規(guī)定,必須有防火�、防盜��、防水、防靜電�����、防雷擊���、防鼠害等安全措施�。在計(jì)算機(jī)機(jī)房附近施工,不得危害計(jì)算機(jī)的安全��。
第五章 信息系統(tǒng)安全體系
第二十六條 一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全����、訪問(wèn)控制安全、系統(tǒng)安全���、用戶安全����、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)�、密碼技術(shù)���、防火墻技術(shù)���、安全審計(jì)技術(shù)�����、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)���、黑客跟蹤技術(shù),在攻擊者和受保護(hù)資源間建立多道嚴(yán)密的安全防線��,增加惡意攻擊的難度��,并增加審計(jì)功能���,利用這些審核信息可以跟蹤入侵者����。
網(wǎng)絡(luò)安全五層體系 |
安全技術(shù)����、建議 |
應(yīng)對(duì)措施 |
網(wǎng)絡(luò)安全 |
防火墻����、網(wǎng)絡(luò)監(jiān)管系統(tǒng)����、訪問(wèn)控制系統(tǒng) |
建立完善的網(wǎng)絡(luò)訪問(wèn)控制措施�����,安裝防火墻對(duì)敏感設(shè)備和數(shù)據(jù)建立必要的隔離措施 |
加強(qiáng)主機(jī)本身的安全��,對(duì)主機(jī)進(jìn)行安全監(jiān)管,對(duì)系統(tǒng)資源的訪問(wèn)進(jìn)行有效控制 |
對(duì)局域網(wǎng)內(nèi)部的服務(wù)器群組進(jìn)行訪問(wèn)控制���、入侵防御等安全措施 |
|
系統(tǒng)安全 |
入侵檢測(cè)系統(tǒng) |
基于內(nèi)容實(shí)時(shí)對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行檢測(cè),并能對(duì)非法訪問(wèn)及時(shí)阻斷 |
通過(guò)檢測(cè)中發(fā)現(xiàn)的漏洞�����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患 |
對(duì)網(wǎng)絡(luò)中的異常流量以及蠕蟲(chóng)病毒進(jìn)行準(zhǔn)確地定位�����,及時(shí)地報(bào)警�����,維護(hù)網(wǎng)絡(luò)的正常運(yùn)行 |
|
賬號(hào)安全 |
互聯(lián)網(wǎng)安全認(rèn)證接入系統(tǒng) |
對(duì)網(wǎng)絡(luò)用戶的身份進(jìn)行認(rèn)證,保證內(nèi)部任何訪問(wèn)的合法性 |
使用集中管理,防止因不安全密碼泄漏帶來(lái)的安全威脅 |
|
內(nèi)容安全 |
內(nèi)容審計(jì)系統(tǒng) |
檢測(cè)并跟蹤入侵攻擊等��,以便建立詳細(xì)的安全審計(jì)日志 |
|
第六章 信息系統(tǒng)安全監(jiān)督和處罰
第二十七條 所有使用計(jì)算機(jī)的人員應(yīng)積極配合開(kāi)云在線登錄圖書(shū)情報(bào)信息中心對(duì)計(jì)算機(jī)安全事故的查處��。
第二十八條 圖書(shū)情報(bào)信息中心應(yīng)定期檢查計(jì)算機(jī)的使用安全情況���,發(fā)現(xiàn)有安全隱患的�����,應(yīng)及時(shí)責(zé)成和協(xié)助使用部門(mén)或個(gè)人進(jìn)行整改�。
第二十九條 對(duì)計(jì)算機(jī)信息系統(tǒng)安全隱患嚴(yán)重,又不采取整改措施的��,圖書(shū)情報(bào)信息中心有權(quán)責(zé)令其停機(jī)整改�����。
第三十條 對(duì)于利用電子公告服務(wù)制作���、復(fù)制和傳播謾罵�、侮辱或誹謗開(kāi)云在線登錄和個(gè)人信息的��,將依據(jù)開(kāi)云在線登錄有關(guān)規(guī)定和國(guó)家有關(guān)法律追究當(dāng)事人的責(zé)任��。
第三十一條 發(fā)生其它計(jì)算機(jī)信息系統(tǒng)安全事故的責(zé)任人或當(dāng)事人將給予行政處分,情況嚴(yán)重的�����,移交公安機(jī)關(guān)懲處�����。
第七章 附則
第三十二條 本方案由圖書(shū)情報(bào)信息中心負(fù)責(zé)解釋���。
第三十三條 本方案自發(fā)布之日起執(zhí)行�����。
