计算机安全管理办法

为加强辽东实业集团计算机系统安全工作，保障计算机信息系统安全，制定本办法。本规定适用于辽东实业集团及其分支机构。

辽东实业集团计算机安全工作的指导方针是：“预防为主，安全第一，严格管理，杜绝隐患”。辽东实业集团计算机安全工作实行统一领导、分级管理原则。

一、组织机构及其职责

辽东实业集团办公室为计算机安全工作管理部门，设兼职计算机安全管理员，负责组织指导和监督检查各单位、各部门有关计算机安全规定和制度的执行情况。主要职责是：负责计算机安全管理的日常工作；组织计算机安全检查，研究分析计算机安全现状和问题，提出安全分析报告和安全防范建议；组织计算机安全知识的培训和宣传工作，贯彻落实保密制度，监督检查计算机保密工作，及时提出计算机保密工作存在的问题及解决办法。

二、安全管理基本准则

（一）计算机安全工作制度体系的重点是规范内部人员行为和健全内部制约机制，要根据不断变化的情况，及时对计算机安全制度进行补充和完善，逐步形成完整的、科学的计算机安全工作制度体系。

（二）要害岗位人员管理规定

1.基于信息系统网络管理任务的强化以及安全的动态特性，要求计算机信息系统加强对要害岗位人员在安全方面的管理，实行责权分配。

2.要害岗位人员是指与重要计算机信息系统直接相关的系统管理员、业务岗位操作员等岗位人员。

3.要害岗位人员上岗前必须进行审查和业务技能考核，并进行必要的安全教育和培训，合格者方能上岗。

4.要害岗位人员上岗必须实行“权限分散，不得交叉覆盖”的原则。系统管理人员和软件维护人员不得兼任业务操作员，系统管理人员不得兼任柜面及事后稽核工作。

5.要害岗位人员离开岗位，必须严格办理离岗手续，承诺其离岗后的保密义务。涉及集团业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后方可调离。

6.要害岗位人员离岗后，必须即刻更换操作密码或注销用户。

7.要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定，承担相应岗位安全责任。

8.系统安全员的职责是对整个所辖范围的信息系统安全问题负责，在安全方面，系统管理员、操作员要服从系统安全员的指导、监督。

9.系统管理员的安全职责是对所辖范围的计算机系统问题负责，接受信息系统安全员的指导和监督，参与计算机系统安全策略、计划和事件处理程序的制定，参与计算机安全建设和运营方案的制定，负责系统的运行管理、实施系统安全细则，严格用户权限管理，记录系统安全事项，对进行系统操作的其他人员予以安全监督。

10.系统维护人员的安全职责是负责系统维护，及时解除系统故障，不得擅自改变系统功能，不得安装与系统无关的其它程序，发现漏洞及时报告系统安全员。

11.操作人员的安全职责是接受系统安全员的指导和监督，及时向系统管理员报告系统各种异常事件，严格执行系统操作规程和运行安全管理制度。

(三)计算机机房安全管理规定

1.计算机机房、场地与设施应满足相应的安全等级要求，并进行分级安全管理。

2.机房安全建设和改造方案应通过上级安全管理机构的安全审批和验收。

3.机房主管部门应建立健全严格的机房管理制度，并定期检查制度执行情况。

4.发生机房重大事件或案件，机房主管部门应立即向有关单位报告，并保护现场。

（四）网络安全管理规定

1.重要网络设备应放在主机房内，其他人员不得对网络设备进行任何操作。

2.与其他业务相关机构的网络连接，应采取必要的技术隔离保卫措施，对联网使用的用户，必须采取一人一帐户的访问控制。

3.内部网络的所有计算机设备，不得直接与国际互联网相联接，必须实行物理隔离。

4.凡要求接入国际互联网的计算机，须由使用部门提出申请，报集团办公会审批、备案。

5.使用国际互联网的部门应自觉接受集团办公室的监督检查。

(五)运行安全管理规定

1.重要计算机信息系统所用计算机设备维修、更换或报废时，应彻底清除相关业务信息，拆除所有相关涉密选配件，由使用部门登记封存。计算机信息系统使用部门应按规定进行数据备份，对备份介质保管、销毁采取相应的安全措施，保证数据信息的完整性和安全性。

2.密钥必须作为绝密数据由专人保管，并定期更换。

3.网络参数配置、重要计算机信息系统详细开发资料及其源程序等核心技术文档，由办公室严格管理，不得外借。

4.安全人员要按规定进行系统的安全监测，业务操作人员应审查业务处理结果，对计算机信息系统安全运行的监测记录及其分析结果应严格管理，不得对外。

5.确认计算机信息系统出现重大安全事件，必须果断采取控制措施，注意保护现场，并立即报告集团办公室。

三、技术防范

（一）实体安全

1.机房和营业室应设立监控系统，应有对系统运行的环境、操作环境实施监控的设施。

2.机房和营业室应具有火灾报警系统，有适用于机房的灭火器材、应急计划及相关制度；无渗水、漏水现象，如果机房上层有用水设施，应加防水层。

3.机房和营业室应具有环境测控（温度、湿度、洁净度）措施；机房内应有空调设施，机房环境温度应保持在18－24摄氏度，相对湿度保持在40%－60%，机房和设备应保持清洁、卫生。

4.计算机系统应具有防雷措施（防雷装置和接地），机房设备应有接地设施。

5.机房和营业室应装备备用电源（UPS或发电机）。

6.机房和营业室应采取防鼠害措施，地板下应采取金属管布线。

（二）网络通信安全

与公共网相联的计算机系统应采取相应的加密机制、防火墙技术和防范措施，内部网络与国际互联网、外部网应采取物理隔离技术。

（三）主机设备安全

主机设备包括主机、终端、存储设备。

1.主机设备的安装使用环境，包括电源、温度、湿度、洁净度等，应达到规定的要求并定期检测。

2.主机设备应按相关技术规程安装、调试并验收。

3.应定期进行主机设备的例行保养和预防性检修，制定主机设备故障维修规程并严格执行，重大故障应注意保卫现场，进行应急处理关立即报告。

4.备份设备应按要求维护保养，保证能及时替换使用。

5.应经常收集设备使用情况及性能表现。

（四）操作运行安全

1.必须按技术规程进行系统和用户数据备份；系统和用户数据必须双备份，异地存放。关键系统应有灾难数据备份。

2.计算机系统管理人员、操作人员应慎重选择计算机系统的口令，口令长度不得低于8个字符。涉及资金及帐户管理的应用系统、保密的信息系统，其密码口令使用期限不得超过一个月，一般应用系统的密码口令不得超过三个月。

3.应建立业务系统正常调帐规程，并严格按规程操作，确保资金安全。

（五）安全技术措施

1.关键计算机系统应具有灾难恢复的技术措施。

2.计算机系统应有系统操作日志，每天开、关机、设备运行状况等应有文字记录。

3.计算机系统应有备份措施。

4.必须有计算机病毒防范措施，有计算机预防和清除病毒和软件或硬件产品。

四、安全检查和评审

集团办公室要组织计算机安全检查，发现安全隐患，限期整改。

安全检查内容包括：安全管理工作落实情况、制度建设及执行情况、安全技术防范措施等。安全检查可采取常规例行检查、抽查和年度检查等方式。

五、安全教育及培训

各单位要加强计算机安全教育，宣传计算机犯罪的危害，提高全员计算机安全防范意识和法纪观念，自觉维护计算机安全。

计算机操作人员应定期参加下列计算机安全知识和技能的培训：

（一）计算机安全法律法规及行业规章制度的培训。

（二）计算机安全基本知识的培训。

（三）计算机安全专门技能的培训。