个人信息安全管理制度（通用20篇）

规章制度的制定是为了解决各种可能出现的问题和纠纷，通过建立明确的规则和条款，减少不确定性和争议。规章制度范文的内容包括组织架构、职责分工、考勤管理、劳动纪律等方面。

个人信息安全管理制度

随着网络社交服务应用的普及，来自社交网络产生的数据是个人信息大数据来源的主要渠道，社交网络中包含了大量的个人信息数据，并且这些数据都具有一定的关联性。匿名技术可以对个人信息标识和属性匿名，还可以对个人信息之间的关系数据进行匿名。匿名技术能够将个人信息数据之间的关联进行隐藏，产生数据可用的匿名数据集。在个人信息大数据收集阶段，数据的采集者是被数据的产生者在信任的基础上进行获取和维护，数据的使用者通过数据采集者提供的使用环境进行应用，但是使用者不确定是否具有攻击性，所以需要数据的采集者能够对数据集进行匿名化处理再发布给符合隐私保护要求的用户使用。匿名化原则包括：消除敏感属性映射关系（k-匿名）、避免同质性攻击（l-多样性）和敏感属性值分布不超过阈值t（t-相近性）。匿名化的主要方法有泛化法、聚类法、数据扰乱法和隐匿法。

水印技术是一种能够将个人信息进行隐藏嵌入到数据载体中的技术。在文档、图像、声音、视频等数据载体中，在不影响原始数据使用的前提下，通过数字水印技术进行数据安全保护，具有一定的隐蔽性、鲁棒性、防篡改性和安全性。基础的数字水印方案是由水印生成、嵌入和提取所构成。数字水印技术通过对载体进行分析，并选择适合的位置和算法嵌入到载体中，生成数据水印。在数字水印提取时，检测数据中是否存在水印信息，提取时采用密钥进行识别，密钥是水印信息的一部分，只有知道密钥密码的人才能够获取水印，读取信息。在个人信息安全保护方面，数字水印技术具有保证相关个人信息内容的唯一性、确定个人信息的所有权、保证个人信息内容的完整性与真实性、识别个人信息来源等功能。在实际应用操作中数字水印可分为鲁棒水印和脆弱水印两种，鲁棒水印可以作为个人信息数据的起源认证，它具有很好的强健性，不受各种编辑器处理的影响。脆弱水印对个人信息的完整性和真实性进行保护，它非常的敏感能够准确地判断出数据是否被篡改，多用于个人信息可信任性的证明。

大数据的采集、挖掘与计算的过程具有痕迹的可追溯性，由此通过数据溯源技术可以大数据中的数据来源进行确定。数据溯源记录了工作流从产生到输出的完整过程，数据溯源信息中包含了信息的`who、when、where、how、which、what和why7个部分。溯源与元数据之间具有一种信息的关联关系，它能描述对象的属性，同时数据属性也包含数据溯源信息。目前数据溯源的方法主要包括基于标准的数据溯源、基于查询反演的数据溯源、基于存储定位的数据溯源、双向指针追踪数据溯源、查询语言追踪的数据溯源和基于图论思想的数据溯源等。在个人信息安全保护中，根据个人信息数据利用的流程和涉及到的发布者、收集者、应用者、监督者等主体构建数据溯源模型，考虑大数据存在的异构分布特征引入时间、数据利用过程和数据异构分布特征构建三维模型，并将溯源信息保存在不同的数据库中形成异构数据库，再通过数据库接口或者数据转换工具形成统一的数据库，可实现数据的追踪、信息可靠性的评估和数据使用过程的重现。

学生个人信息安全工作管理制度

为维护互联网环境安全、健康，根据《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规，特制定本制度。

一、严格遵守国家有关涉及互联网方面的法律法规；

二、坚决封堵互联网上不良和有害信息的侵入；

三、积极配合公安机关的网络信息安全部门检查；

四、按照备案要求，及时备案本单位在互联网应用方面的变更信息；

五、在本单位建立网络信息安全保护小组，并报公安机关的网络安全部门备案；

六、根据本单位在互联网应用的实际情况，在安全员、安全教育和培训、机房管理、安全保护技术措施、巡视上报、帐号使用和操作权限管理等方面制定以下细则制度。

一、设立2人以上专职或兼职计算机信息网络安全员（以下简称安全员）；

二、安全员主要负责全校网络（包含局域网、广域网）的系统安全性；

三、安全员负责全校网络安全方面操作和知识的培训；

四、安全员负责系统数据的冗灾备份工作；

八、安全员承担对不良、有害信息上报、处置工作职责；

九、另安全员承担本单位制定的其他和公安机关交办的相关网络安全职责。

一、建立与公安机关联系的长效机制，对网络安全方面出现的问题和情况及时沟通；

二、网络安全管理员保持通讯畅通，确保24小时内有急事联系到人；

三、对计算机信息系统中发生的案件，应当24小时内向当地公安ail：xxx，并电话确认邮件送机关报告（电话：xxx转xx或者em达）。

一、安全员定期接受公安机关相关部门的安全培训；

三、实时了解网络信息安全的动向，不定期地对本单位联网用户（包含单位其他联网工作人员等）进行关于最新系统漏洞修复和最新病毒预防等安全防范方面的的培训和学习。

四、适时对全校员工进行基本的网络安全保护制度和具体方法进行介绍，切实维护计算机联网安全。

五、网络安全防范方面的的`培训和学习方面，畅通与公安机关有关人员的联系渠道，加强对各类有害信息、特别是影射性有害信息的识别能力，提高安全防犯能力。

一、对能够进入机房人员的设定要求（如：非机房人员准入制度等等）；

三、对运行设备及各种配置等等进行更改、增减的权限规定；

四、操作密码定期更改要求，超级用户权限设定、机房管理员权限等等的权限设定；

五、各种主要数据的冗灾备份要求；

七、对机房内设置的消防器材等不定期进行检查的要求，以保证其有效性；

八、机房环境（如整洁、温度等等）的要求；

九、其他。

二、对系统安全防范系统定期检测、升级、漏洞修补，确保系统安全；

三、系统数据冗灾备份；

四、定期巡视，确保信息安全、合法。

三、上述栏目属于新闻时事、时政类的栏目，必须建立信息发布前的先审后发制度；

一、联网单位应用系统中的用户权限设置；

三、后台管理员的权限设置；

四、其他。

本制度自即日起实施。制度一式二份，一份报公安机关的网络安全部门备案，一份和《中华人民共和国计算机信息网络国际联网单位备案表》同档保存在本单位备查。

个人信息安全管理制度

（1）调整分享功能，如腾讯qq空间与微信朋友圈等。

（2）更换手机号时要改变所绑定的银行卡，社交软件、购物软件等相关信息。

（3）不要使用山寨手机，不从非法渠道下载软件，不要越狱手机。

（4）不使用wifi共享软件，少蹭网。

（5）区分重要账户和非重要账户，设置不同密码，尽量用邮箱注册账号。

（6）警惕微信测试等网络调查，玩游戏测试等程序。

（7）警惕电话推销、网络推销，谨慎向外界透漏个人信息。

5结语。

大数据环境下的个人信息安全问题制约了信息技术的发展，为此研究和提升个人信息安全保护能力，对于保证大数据环境下数据应用的可靠性具有非常积极的现实意义。通过提出了匿名技术、水印技术、数据溯源保护和个人信息日常防护措施等内容，能够较好地从技术层面对个人信息安全进行保护，但是在个人信息安全保护方面还需要计算机安全系统、数据库安全系统、防火墙等多方面技术的结合，并建立数据保护的预警系统，全范围的保护个人信息安全，促进网络环境健康发展。

参考文献。

[1]ok数据泄露事件:社交媒体与公私边界[j].传媒,,(7).

[3]杨挺,薛质,施勇.基于k-匿名的隐私保护关键技术研究[j].信息技术,2016,(12):6-9.

学生个人信息安全工作管理制度

1、本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的，为校园网络应用而服务的硬件、软件的集成系统。

2、校园网络的安全管理，应当保障计算机网络设备和配套设施的安全，保障信息的安全和运行环境的安全，保障网络系统的正常运行，保障信息系统的安全运行。

3、校园网络及信息安全管理领导小组负责相应的网络安全和信息安全工作，定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。

4、所有上网用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。

5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查，必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。

6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。

1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备，管理人员应每天检查上述设备是否正常，保证网络设备的安全运行，要建立完整、规范的校园网设备运行情况档案及网络设备账目，认真做好各项资料（软件）的记录、分类和妥善保存工作。

2、校园网由学校电教处统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由电教处分配的ip地址，网络管理员对入网计算机和使用者进行及时、准确登记备案，由电教处负责对其进行监督和检查。任何人不得更改ip及网络设置，不得盗用ip地址及用户帐号。

3、与校园网相连的计算机用户建设应当符合国家的有关标准和规定，校园内从事施工、建设，不得危害计算机网络系统的安全。

4、网络管理员负责全校网络及信息的安全工作，建立网络事故报告并定期汇报，及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后，电教处必须及时备案并向公安机关报告。

5、网络教室及相关设施未经校领导批准不准对社会开放。

6、校园网中对外发布信息的web服务器中的内容必须经领导审核，由负责人签署意见后再由信息员发布。新闻公布、公文发布权限要经过校领导的批准。

7、校园网各类服务器中开设的帐户和口令为个人用户所拥有，电教部门对用户口令保密，不得向任何单位和个人提供这些信息。校园网及子网的系统软件、应用软件及信息数据要实施保密措施。

8、电教部门统一在每台计算机上安装防病毒软件，各部门、教研组、办公室要切实做好防病毒措施，随时注意杀毒软件是否开启，及时在线升级杀毒软件，及时向电教部门报告陌生、可疑邮件和计算机非正常运行等情况。

9、未经电教部门及校园各子网网管的同意，不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。

10、切实保护校园网的设备和线路，未经允许不准擅自改动计算机的连接线，不准打开计算机主机的机箱，不准擅自移动计算机、线路设备及附属设备，不准擅自把计算机设备外借。

11、各处室部门和教研组备课组必须加强对计算机的上网行为和相关软件应用的`指导管理，指定专人负责管理，发现问题应及时报告电教处处理。

12、对校园网络实行管理员24小时巡查制度，双休日、节假日，要有专人检查网络及信息安全运行情况。

13、服务器系统及各类网络服务系统的系统日志、网络运行日志、用户使用日志等均应严格按照保留60天的要求设置，邮件服务器系统严禁使用匿名转发功能。

1、使用校园网的全体师生必须对所提供的信息负责。严禁制造和输入计算机病毒，以及其他有害数据，危害计算机信息系统的安全，不得利用计算机联网从事危害家安全、泄露秘密等犯罪活动，不得制作、查阅、复制和传播有碍社会治安，不得在校园网及其连网计算机上录阅传送有反政府政治问题和淫秽色情内容有伤风化的信息。

2、除校园网负责人员外，其他单位或个人不得以任何方式试图登陆进入校园网服务器或计算机等设备进行修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为被视为对校园网安全运行的破坏行为。

3、用户要严格遵守校园网络管理规定和网络用户行为规范，不随意把户头借给他人使用，增强自我保护意识，经常更换口令，保护好户头和ip地址。严禁用各种手段破解他人口令、盗用户头和ip地址。

4、在校园网上的计算机网络用户禁止删除或卸载电教部门统一安装的杀毒软件和其它应用软件以及计算机的相关设置，不使用盗版软件，不允许玩电子游戏，不允许无关人员使用，也不允许进行与工作无关的操作。

5、使用校园网的全体师生发现违法行为和有害的、不健康的信息及时向校园网络及信息安全管理领导小组报告。

6、需在校内交流和存档的数据，按规定地址存放，不得存放在硬盘的c盘区，私人文件不得保存在工作电脑中，由此造成的文件丢失损坏等后果自负。

7、严禁在校园网内使用来历不明、引发病毒传染的软件或文件；对于外来光盘、优盘、软盘上的文件应使用合格的杀毒软件进行查杀毒。

8、专用的财务工作电脑和重要管理数据的电脑最好不要接入网络工作。

违反本制度规定，有下列行为之一者，学校可提出警告、停止其上网，情节严重者给予行政处分，或提交司法部门处理。

1、查阅、复制或传播下列信息者：

（1）煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；

（2）煽动抗拒、破坏宪法和国家法律、行政法规的实施；

（3）捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；

（4）公然侮辱他人或者捏造事实诽谤他人；

（5）宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。

2、破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。

3、盗用他人帐号或私自转借、转让用户帐号造成危害者。

4、故意制作、传播计算机病毒等破坏性程序者。

5、上网信息审查不严，造成严重后果者。

6、使用任何工具破坏网络正常运行或窃取他人信息者。

7、有盗用ip地址、盗用帐号和口令、破解用户口令等危及网络安全运行与管理的恶劣行径者。

学生个人信息安全工作管理制度

第一条、为保证网络正常安全运行及国家保密，凡使用校园网的各类用户必须严格遵守本条例。

第二条、学校网络使用和信息安全管理工作严格按照“谁主管、谁主办、谁负责”的原则，实行统一管理和分级负责相结合的管理体制。学校网管中心统一负责校园网络和全校计算机信息安全管理，各系、部、处、室、馆部门具体对本单位的网络使用和计算机信息安全负责。

第三条、网络安全问题将纳入各部门每年目标考核之中。

第四条、各部门确定网络安全负责人和直接责任人，必须有完善的.管理制度和使用规程、条理，重视安全问题。

第五条、各机房必须保留上网使用（登记）信息，详细完整的纸面或者电子文档信息供查，各部门严格管理计算机上网；上网计算机日志内容保留时间不少于60天，学生即使免费上网也必须登记使用信息；如果发生网络安全事件，各部门、系不能出示有效的、完整的、详细的上网使用登记信息，将由该部门、系自行全部负责。

第八条、网络申请使用必须先书面申请，正式使用前签定有关使用协议或者责任书。

第九条、网络中心将会同学校有关部门对全校机房等网络使用情况进行定期或者随机检查，发现问题及时通报、及时解决。

个人信息安全管理制度

手机上的个人信息，包括位置信息、通讯信息、账号密码信息以及存储文件信息四大类。其中，通讯信息包括通讯录、通话记录、短信等;手机内存储文件信息包括机主的照片、录音、视频等文件。此外，手机的一些硬件信息，比如imei号(手机串号)、无线网卡的mac地址、硬件配置信息也都属于个人信息的范畴。

盗取用户通讯录、短信、照片是“侵犯手机个人信息安全”。此外，目前一些应用软件暗中搜集用户的位置信息(比如常去的商场、日常的路线)，手机上网记录(浏览的网页、购物偏好)等信息，看似不起眼，其实通过这些信息进行用户习惯分析的数据具有商业价值，也都可能成为被侵犯的目标。这种侵犯行为较隐蔽，不易被发觉。

据了解，目前侵犯手机个人信息的主要方式，除了通过线下购买手机用户信息、通过诈骗电话(短信)套取个人信息等之外，主要是通过手机木马与恶意软件直接窃取，后者正在成为不法分子获取手机个人信息的重要方式。

减少手机信息泄密的途径。

手机用户一般应从正规、可靠网站下载手机软件，避免到论坛下载来历不明的软件。安装软件时注意观察软件权限，出现敏感权限要特别警惕。可以在手机上安装安全软件，例如手机360软件、梆梆手机防盗软件。可将个人照片、视频等隐私数据加密保存。开启安全软件中的手机防盗功能，方便找回手机，或者在无法找回时发送指令远程取回数据并销毁数据。在使用中随时留意手机运行状况，及时处理异常行为。

不随意连接公共场所免费wifi，央视曾曝光了在一些公共场所，有一些不法分子通过免费wifi来吸引顾客链接，然后通过一些病毒文件来窃取客户手机里面的各种密码，以此来获得不法收入。

曾有报道，有种恶意android应用程序tokengenerator(令牌生成器)，能够进行远程操控，并通过伪装成用户银行的令牌生成器窃取用户手机银行的账户信息。使用手机银行业务的朋友，可安装相应安全控制软件(例如mcafeemobilesecurity)，以保护自己的账号、密码等信息。另外，使用cdma制式的手机，保密性相对较高。

延伸阅读：

规范回收旧手机：个人信息安全与环保同样重要。

据业内人士称，从回收的手机中倒卖个人隐私，可形成一个灰色利益链，如何保护用户隐私实现安全换机已成一大问题。

手机数据删除后，依旧可恢复。

家住广州的张先生告诉记者，自己家里还有4、5部闲置的旧手机，这些手机并不是坏了，只是过时了没使用而已;经拿到广州岗顶回收贩子那里询价，一部手机回收价格仅几块钱，又担心手机的去向，造成信息泄露。

记者在广州街上随机的采访了几十位市民，多数表示，知道旧手机需要处理掉，但不知该如何处理，卖给二手贩子担心信息泄露。

深圳福田的黄女士告诉记者，去年将自己的旧手机，卖给华强北的二手贩子不久后，就多次受到骚扰电话，对方对自己朋友、家人信息了解非常的全面。她称，自己在卖掉手机前，已经删除了所有信息。她怀疑二手贩子对手机进行信息恢复后贩卖给其他人。

魅族科技系统工程师刘先生向记者透露，手机中即使删除了个人数据，依旧可通过数据恢复软件获取部分信息。记者从淘宝网上了解到，目前有多家淘宝店有出售此类信息恢复软件，只要支付几块钱便得获得此类的软件。

对于该如何有效保障个人信息不被泄露，刘先生说，“用户可以将数据信息调包。将手机恢复出厂设置后，拷入一些视频类似的大文件，令手机存储空间处于饱和的状态，然后格式化一次，这样之前个人的信息就不再容易被复原了，即使是被复原也只能读取到上层的信息。建议市民将闲置的手机，交由正规回收渠道，这是最有效保障个人信息的手段。”

正规渠道处理旧手机，最大保障个人信息安全。

目前，国内包括魅族，华为，小米等多家手机企业已启动手机回收项目，目前这些官方渠道是有保障的。以魅族mcycle回收项目为例，魅族mcycle将交由第三方专业机构进行处理，涉及用户隐私部分将针对回收平台进行严格的数据监控，为每一个用户配备一份picc隐私险来保障回收的手机信息不被泄露，同时回收平台将使用国际3r标准清除手机数据，让数据不可恢复，双重保护效果，历史信息无法被拷贝复制，从根本保障个人信息安全。

旧手机放在家中真能成为累赘，但是信息安全问题确实令人为难，安全、环保回收手机的需求很大，希望更多的手机回收企业会随着行业的逐渐发展和完善，将这个产业做得更加细致，专业。

将本文的word文档下载到电脑，方便收藏和打印。

个人信息安全管理制度

1、成立了信息安全检查行动小组。由站长、书记任组长，相关科室（车间、负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。

2、信息安全检查小组对照网络与信息系统的实际情景进行了逐项排查、确认，并对自查结果进行了全面的核对、梳理、分析。整改，提高了对全站网络与信息安全状况的掌控。

1、组织成立了网络与信息安全检查工作小组，由站长、书记任组长，相关科室（车间、负责人、信息技术科全体人员为组员。

2、研究制定自查实施方案，根据系统所承担的业务的独立性、职责主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素，对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。

2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情景进行逐项排查。

1、系统安全基本情景自查。

客票发售与预订系统为实时性系统，对车站主要业务影响较高。目前拥有ibm服务器2台、cisco路由器2台、cisco交换机13台，系统均采用windows操作系统，灾备情景为系统级灾备，该系统不与互联网连接，防火墙采用永达公司永达安全管控防火墙。

旅客服务系统为实时性系统，对车站主要业务影响较高。目前拥有hp服务器13台、h3c路由5台、h3c交换机15台，系统采用linix操作系统，数据库采用sqlserver，灾备情景为数据灾备，该系统不与互联网连接，安全防护策略采用按照使用需求开放端口，重要数据均采用加密防护。

人员管理方面，指定专职信息安全员，成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议，制定了《人员离职离岗安全规定》、《外部人员访问审批表》。

资产管理方面，指定了专人进行资产管理，完善了《资产管理制度》、《设备维修维护和报废管理制度》，建立了《设备维修维护记录表》。

存储介质管理方面，完善了《存储介质管理制度》，建立了《存储介质管理记录表》。

运行维护管理方面，建立了《客服系统维护标准》、《运行维护操作记录表》，完善了《日常运行维护制度》。

三、自查发现的主要问题和面临的威胁分析。

四、改善措施。

五、整改效果。

学生个人信息安全工作管理制度

第一条为了保护校园网网络系统的安全、促进学院校园网网络的应用和发展、保证校园网网络的正常运行和网络用户的使用权益，维护校园网公共秩序和稳定，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定，特制定本规定。

第二条任何单位和个人不得利用校园网及国际互联网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。

第三条任何单位和个人不得通过校园网制作、复制、查阅和传播下列信息：

（一）煽动抗拒、破坏宪法和法律、行政法规实施的；

（二）煽动颠覆国家政权，推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

（七）公然侮辱他人或者捏造事实诽谤他人的；

（八）损害国家机关信誉的；

（九）其他违反宪法和法律、行政法规的。

第四条任何单位和个人不得从事下列危害校园网安全的活动：

（一）未经允许，进入校园网信息网络或者使用校园网络资源的；

（二）未经允许，对校园网络功能进行删除、修改或者增加的；

（四）故意制作、传播计算机病毒等破坏性程序的；

（五）其他危害校园网络安全的。

第五条用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际互联网和校园网侵犯用户的通信自由和通信秘密。

第六条本管理规定所称的校园网网络系统，是指由信息中心负责维护和管理的校园网设备、配套的光纤、网络线缆设施及网络服务器等所构成的、为校园网提供应用及服务的硬件和软件的集成系统。

第七条校园网系统的安全运行和系统设备管理维护工作由信息中心负责。任何单位和个人，未经信息中心同意，不得擅自安装、拆卸或改变网络设备。

第八条任何单位和个人、不得利用联网计算机从事危害校园网的活动。

第九条除信息中心外，其他单位或个人不得以任何方式试图登陆进入校园网服务器等设备进行修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为一律视为对校园网安全运行的破坏行为。

第十条校园网各类服务器中开设的账户和口令为个人用户所拥有，信息中心对用户口令保密，不得向任何单位和个人提供这些信息。

第十一条网络使用者不得利用各种网络设备或软件技术从事用户账户及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。

第十二条校园内从事施工、建设，不得危害计算机网络系统的'安全。

第十三条校园网设备及服务器等发生案件、以及遭到黑客攻击后，信息中心必须在24小时内向学院分管领导、主要领导或公安机关报告。

第十四条严禁在校园网上使用来历不明、引发病毒传染的软件；对于来历不明的、可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。

第十五条任何单位和个人不得在校园网及其联网计算机上传播危害国家安全的信息（包括多媒体信息），制作或传播淫秽、色情资料等违法或不健康信息。

第十六条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为：

（１）可向internet公开的；

（２）可向院内公开的；

（３）可向本单位部门公开的；

（４）可向有关单位或个人公开的；

（５）仅限于本单位内使用的；

（６）仅限于个人使用的。

第十七条信息中心要对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的单位（部门）必须对上网计算机的使用进行严格管理，部门负责人即为该部门的网络安全负责人。学院公共机房一律不准对社会开放，上网人员必须出示学生证、教师证等身份证件，机房工作人员记录上网人员身份和上下网的时间、机号、机器ip地址。

第十八条信息中心必须落实各项管理制度和技术规范，监控、封堵、清除网上有害信息。为了有效地防范网上非法活动，校园网要统一出口管理、统一用户管理，进出校园网访问信息的所有用户必须使用信息中心分配的ip地址和电子邮件服务器。

第十九条任何单位和个人不得私拉乱接网络线路，尤其禁止用双绞线等无屏蔽线路跨越室外联接其它节点。

第二十条所有网络用户均有责任严格遵守国家和教育与科研计算机网络的有关规定。

第二十一条严禁任何用户擅自连入校园网，入网用户要办理入网登记手续，并签署相应的安全协议，自觉遵守相关规定。

第二十二条全院师生员工及用户在网络上发现有碍社会治安和不健康的信息，有义务及时上报信息中心或宣传部，并自觉立即销毁。

第二十三条校园网的所有工作人员和用户必须遵守国家有关法律、法规和本院相关规定，严格执行安全保密制度，并对所提供的信息负责，严禁涉及国家机密的信息上网。

第二十四条任何个人不得利用计算机网络从事危害国家安全、泄露国家秘密的活动；不得查阅、复制和传播有碍社会治安和伤风败俗的信息。

第二十五条按《计算机病毒防治管理办法》（中华人民共和国公安部第51号令），切实做好计算机病毒的防治管理工作。

第二十六条校园网的所有工作人员和用户必须接受学院治安部门依法进行监督检查，治安部门为确保网络信息安全可以采取必要措施。

第二十七条信息发布按以下程序进行：

（一）信息中心协助党委宣传部对学院主页发布的信息进行全面规划，由信息中心指导各单位、各部门对部门所属点发布的信息进行全面规划。

（二）各单位、各部门在所属站点对外发布信息，需各单位、部门的主要领导审核、签署意见后，由信息中心从技术上开通其对外的信息服务。各单位、部门需在学院主页对外发布信息，须学院分管领导或主要领导签署意见后，由党委宣传部负责核实上传。

第二十八条有下列行为之一者，党委宣传部、信息中心可提出警告，并终止其使用网络，情节严重者提交学院处理或交由司法机关处理。

（一）复制或传播下列信息：

1、煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；

2、煽动抗拒、破坏宪法和国家法律、行政法规的实施；

3、捏造或者歪曲事实，故意散布谣言，扰乱社会铁序；

4、公然侮辱他人或者捏造事实诽谤他人；

5、宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等；

6、破坏，盗用计算机网络中的信息资源和危害计算机网络安全活动；

7、盗用他人账号；

8、私自转借、转让用户帐号造成危害；

9、故意制作、传播计算机病毒等破坏程序；

10、不按国家和学院有关规定擅自接纳网络用户；

11、上网信息审查不严，造成严重后果；

第二十九条凡在网上开设电子公告系统、聊天室、网络新闻组的部门或用户，必须经过院党委宣传部批准。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。

第三十条对校园网统一管理，实行三级管理责任制，分层负责。第一级是学院党政主要领导，分管宣传思想工作的院领导、分管信息中心的院领导、分管安全稳定的院领导分别对学院党政领导负责。第二级是党委宣传部和信息中心，党委宣传部是校园网上传信息的审核机关，在分管院领导的直接领导下，负责对校园网上传信息的审核，并对各单位、各部门信息工作进行指导；信息中心是管理校园网网络的业务机构，在分管院领导的直接领导下，负责做好校园网的日常业务工作，并对各单位、各部门进行业务指导。第三级是各单位、各部门，网络管理员和信息员在本部门主要领导的直接领导下开展工作，并接受党委宣传部、信息中心的业务指导。

第三十一条信息中心必须指定网络安全管理员，其主要职责是：

（一）做好校园网网络的的安全运行；沟通学院校园网与国家网络管理部门的安全联系；负责校园网的信息安全。

（二）与党委宣传部信息员一起负责对学院主页页面布局进行设计、创意等。

（三）根据规划，广泛组织和收集信息（包括文字、图片等），并录到计算机内或磁盘内。

（四）熟悉计算机的构造、性能及正常使用方法；不断学习计算机方面的有关知识，努力提高自身的计算机水平；做好防火、防盗、保密工作。

第三十二条学院各单位、各部门必须确定一名熟悉计算机基本操作（至少要懂得使用中文字处理软件word）的工作人员兼任安全管理员，其主要职责如下：

（一）必须遵循学院校园网管理相关制度，沟通本单位站点与学院校园主网的安全联系；负责各单位网络的信息安全。

（二）必须时刻监视网络信息，防止有害信息的传播，发现有害信息的应立即向学院党委宣传部、信息中心汇报，由学院党委宣传部、信息中心根据情况确定上报学院领导或公安机关。

（三）在信息中心的指导下负责对本单位上网信息的内容进行规划，以及对本单位主页页面布局进行设计、创意等。必须定期更新本网站内容，提供详细的网站更新资料。

（四）负责对信息进行更新。根据规划，广泛组织和收集信息（包括文字、图片等），并录到计算机内或磁盘内。

（五）负责本单位、本部门所有上网发布信息的撰写、制作、搜集、整理等，本部门领导签字同意后送信息中心上传部门网站，或经学院领导签字同意后送党委宣传部上传校园网首页。

（六）熟悉计算机的构造、性能及正常使用方法；不断学习计算机方面的有关知识，努力提高自身的计算机水平；做好防火、防盗、保密工作。

第三十三条违反第九条及第十五条规定的行为一经查实，将向学校校园网领导小组报告，视情节给予相应的行政纪律处分；造成重大影响和数据损失的将向市公安部门报告，由个人依法承担相关责任。

第三十四条违反第十一条规定的侦听、盗用行为一经查实，将提请学院给予行政处分，并在校园网上公布；对他人造成经济损失的，由本人加倍赔偿受害人损失，关闭其拥有的各类服务账号；行为恶劣、影响面大、造成他人重大损失的，将向公安部门报案。

第三十五条故意传播或制造计算机病毒，造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。

第三十六条违反第七、二十条规定，破坏网络设施或形成网络系统安全隐患的，将予以行政和经济重罚。对于造成网络系统毁坏的，必须承担全部经济损失，情节严重者将诉诸法律追究其刑事责任。

第三十七条各单位、各部门要加强对入网计算机的管理，严格执行有关规章制度，及时发现问题和隐患，堵塞隐患漏洞，做到防患于未然。对违反安全管理的，检查监督部门要根据情况下达隐患整改通知，或根据情节轻重按校纪进行处理，对问题严重的要采取强制性措施。对违反安全规定并已触犯《刑法》、《国家安全法》、《保密法》及《治安管理处罚条例》的，按有关法律、法规进行理。

第三十八条本制度由党委宣传部负责解释，自发布之日起执行。

学生个人信息安全工作管理制度

根据《河南省教育厅办公室关于加强学生信息安全工作的通知》（教办学〔20xx〕112号）精神，按照《中华人民共和国档案法》《中华人民共和国网络安全法》《最高法最高检关于侵犯公民个人信息问题的若干解释》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国刑法》、教育部41号令《普通高等学校学生管理规定》和学校《网络信息安全管理办法》等相关文件精神及要求，为进一步做好学生信息保护工作，特制定本制度。

一、学生处和各院部是我校学生学籍信息管理的主体责任部门，要不断完善学籍管理和学生信息安全的规章制度，加强学籍管理和学生信息安全。与学生信息相关的.部门也要加强学生信息管理工作，确保学生信息不泄露。

二、凡使用、查询学生信息（含毕业生和在校生）的部门和个人，均需填写《三门峡职业技术学院学生信息使用申请表》，履行审批手续后方可使用；使用人和使用部门对所使用的学生数据安全负责，使用过的电子版（纸质版）数据要及时删除或销毁。

三、全校掌握学生信息的部门工作人员，学籍、资助等专职工作人员，要加强相关法律法规和校内文件的学习，加强学生信息安全管理，学生数据要专人专管，严格履行使用审批手续。

四、各部门涉及学生信息的管理系统、账号、密码、密钥要专人管理，妥善保管，严防学生信息泄露；学信网、学院学籍管理系统等涉密系统严禁拍照。

五、严禁将涉及学生身份证号、银行卡号、手机号、邮箱等信息在qq、微信等社交媒体上传播。

六、信息网络中心依据国家有关网络信息安全管理的政策规定和要求，不断加强学校网络信息安全管理与防护措施，认真落实各项保密制度，开展网络信息安全巡检，排查隐患，保障学校网络信息安全，确保计算机网络系统和信息网络中心不发生泄密情况。发现违反保密规定或有失、泄密行为的问题时，及时制止、阻断传播途径并报上级领导。

七、各院部、各部门要切实做好对主管的各类网站和信息系统公众号（包括部门主页、下设机构网站以及各等）的信息安全管理工作，落实网站和信息系统信息发布审核和保密审查机制，加强数据使用和信息发布的规范管理，落实重要时期信息安全负责人与管理员值班制度，保持联系畅通，确保安全稳定。

八、按照《最高法最高检关于侵犯公民个人信息问题的若干解释》《中华人民共和国刑法》等文件相关条款，泄露公民个人信息根据不同情况处以三年以下有期徒刑或三年以上七年以下有期徒刑并处罚金。

九、各院部、部门可参照本制度制定本部门的管理办法，做好本单位学生信息安全日常管理工作和重大事件期间网络安全保障工作，规范学生信息使用，确保学生信息安全。

十、本办法自20xx年三月起生效。

个人信息安全管理制度

第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据《全国人大常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规，制定本规定。

第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。

第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。

第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。

第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。

第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。

第二章信息收集和使用规范。

第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。

第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。

第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。

第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

第三章安全保障措施。

第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：

（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；

（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；

（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；

（七）按照电信管理机构的规定开展通信网络安全防护工作；

（八）电信管理机构规定的其他必要措施。

第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。

电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。

第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。

第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。

第四章监督检查。

第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。

电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。

电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。

第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。

第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。

第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。

第五章法律责任。

第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款。

第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告；构成犯罪的，依法追究刑事责任。

第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的，依法追究刑事责任。

个人信息安全管理制度

个人信息安全管理制度

为保障互联网网络与信息安全，维护国家安全和社会稳定，保障公民、法人和其他组织的合法权益，承诺遵守《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《互联网安全保护技术措施规定》（部82号令）等有关法律法规的规定，履行以下法定义务：

一、依法进行备案登记。

1、在网络正式联通后的三十日内到郴州市局网技支队进行备案登记；

2、向机关提供本单位互联网资料、网络拓扑结构和接入本网络的接入单位和用户情况；

3、向机关提供本单位ip地址范围、分配给本网联网用户ip地址和详细使用情况。

4、与郴州市局网技支队建立联席制度和用户资料报告制度，确保用户ip等资料及时更新。

二、依法从事信息服务业务。

不利用国际联网制作、复制、发布、传播下列信息：（注：据修订后的292号令的相关内容进行修改）。

（一）煽动抗拒、破坏宪法和法律、行政法规实施的；

（二）煽动颠覆国家政权、推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

（七）公然侮辱他人或者捏造事实诽谤他人的；

（八）损害国家机关信誉的；

（九）其他违反宪法和法律、行政法规的。

发现网络传输的信息明显属于上述所列内容之一的.，立即停止传输，保存有关记录，并向机关报告；对网络传输的信息内容难以辨别的，经相关主管部门审核同意后再发布。

三、切实履行安全保护职责。

（二）信息监视、保存、清除和备份制度；

（三）病毒检测和网络安全漏洞检测制度；

（四）违法案件报告和协助查处制度；

（五）账号使用登记和操作权限管理制度；

（六）安全管理人员岗位工作职责；

（八）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施。

（九）重要数据库和系统主要设备的冗灾备份措施；

（十一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；

（十五）法律、法规和规章规定应当落实的其他安全保护制度和安全保护技术措施。

提供微博客、博客、论坛、即时通讯等交互式信息服务的，还应落实以下安全保护管理制度和安全保护技术措施：

（五）法律、法规和规章规定应当落实的其他安全保护技术措施。

四、配合机关互联网管理工作。

2、当机关依法查询、追踪和查处通过计算机信息网络实施的违法犯罪活动时，如实提供有关信息、资料及数据文件。

3、建立网络与信息安全责任人联系制度，保证机关可以随时与本单位安全责任人沟通联系。本单位法定代表人为第一负责人，相关部门负责人为第二负责人，并确保联系畅通。

4、网站提供信息服务项目、网站网址、接入服务商、安全负责人及联系方式等发生变更的，相关情况应于变更后一个工作日内报告机关。

若有违反上述承诺的行为，愿意承担法律责任。

单位电话：单位传真：

法定代表人及联系电话：

网络与信息安全责任人及联系电话（所有相关部门安全负责人均应列明）：

此承诺书一式两份，一份报机关网络安全保卫部门备案，一份单位/个人留存。

单位盖章（个人签名）：

信息安全管理制度

本程序规定了工程信息收集和传递渠道,旨在加强工程建设信息的综合管理,保障工程信息的及时性、准确性、统一性,进一步发挥工程信息的作用,更好地为工程管理服务,保障工程建设情况的可控、在控。

本程序适用于华电青岛发电有限公司三期2×300mw级供热机组扩建工程建设。

3.1三期办是华电青岛发电有限公司三期2×300mw级供热机组扩建工程建设信息的综合管理部门,负责工程建设信息的汇总、编制和对外报送等。其他单位不得自行对外提供有关工程建设信息,若确实需要对外提供有关工程建设信息,必须征得三期办的同意后方可进行。

3.2施工、调试、设计、设备供应、监理各单位设置专职的工程信息员并指定信息负责人,信息负责人不仅熟悉工程信息,而且具备一定的语言文字处理能力,负责本单位工程信息周工作计划、月度工作计划、安全信息的`编制以及工程信息的采集、编制和传送等工作。

3.3物资供应部门负责工程设备信息的采集、编制和传送工作。

4.1工程建设信息主要内容为:工程周报、工程月报、工程快讯、施工计划、投资计划、资金计划、工程量完成报表、投资完成报表、监理月报、设备月报、设计月报、安全周报、安全月报、质量月报、调试简报、工程资金到位及支付情况。

4.2工程信息文件的传送采用书面和电子版两种形式传递、报送。

4.3工程进展资料报送。

4.3.1施工承包商收集整理本周工程进展资料,编制工程周报。周报内容、格式参照有关规定,每周一报送。

4.3.2施工承包商收集整理本月工程进展资料,编制工程月报。月报内容、格式参照有关规定,每月26日报送。

4.3.3施工承包商根据三期办下发的工程综合进度计划,编制本单位承包合同范围的本月工程量完成情况、工程付款计划、下月施工计划及下月施工资金计划,每月26日报送监理公司,监理公司审核后本月28日返回建设单位。

4.4工程监理资料报送。

4.4.1监理公司按照监理大纲要求,整理本月施工图纸会审、设计单位施工图纸交付、工程完成的主要形象进度、工程联系单整改、质监及工程质量四级验收、安全检查、投资完成等情况以及工程存在的问题进行整理汇总编制工程监理月报,每月25日报送。监理公司根据整理本月施工图纸会审、设计单位施工图纸交付、工程完成的主要形象进度、工程联系单整改、质监及工程质量四级验收、安全检查等情况编制周报,每周一报送。

4.5物资管理部门收集整理主要设备到货情况、监造情况、设备质量、下月设备交付计划以及存在问题,形成设备月报,每月25日报送。

4.6设计单位收集整理设计进度、图纸供应情况以及存在问题形成设计简报,每月25日报送。

4.7调试单位整理工程调试工作的进展情况,形成调试简报,每周一报送。调试日报,次日8点前报送,调试周报每周一报送。

4.8各单位每月将工程安全监察情况整理形成安全简报,每月25日报送。

4.9各单位将工程质量情况整理形成质量月报,每月25日报送。

4.10三期办于每月26日前将各单位、部门所报工程信息、资料编辑、汇总,按要求向建设单位计划部门报送,由计划部门于29日向有关部门上报。

4.11各单位提供的信息资料必须经本单位或者信息负责人审核后上报。

4.12各单位信息员更换人员后须及时通报三期办。

信息安全管理制度

为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。

2范围

本程序适用于***业务信息安全事件的管理。

3职责

3.1信息安全管理流程负责人

确定信息安全目标和方针;

确定信息安全管理组织架构、角色和职责划分;

负责信息安全小组之间的协调,内部和外部的沟通;

负责信息安全评审的相关事宜;

3.2信息安全日常管理员

负责制定组织中的安全策略;

组织安全管理技术责任人进行风险评估;

组织安全管理技术责任人制定信息安全改进建议和控制措施;

编写风险改进计划;

3.3信息安全管理技术责任人

负责信息安全日常监控;

信息安全风险评估;

确定信息安全控制措施;

响应并处理安全事件。

4工作程序

4.1信息安全事件定义与分类

信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。

造成下列影响(后果)之一的,均为一般信息安全事件。

a) ***秘密泄露;

b)导致业务中断两小时以上;

c)造成信息资产损失的火灾;

d)损失在一万元人民币(含)以上的故障/事件。

造成下列影响(后果)之一的,属于重大信息安全事件。

a)组织机密泄露;

b)导致业务中断十小时以上;

c)造成机房设备毁灭的火灾;

d)损失在十万元人民币(含)以上的故障/事件。

4.2信息安全事件管理流程

根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;

对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;

每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。

4.3信息安全事件事后处理措施

对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。

对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。

处罚方式:

一般安全事故,根据所造成的经济损失,由***办公室通过邮件发出正式严重警告。

一年内累计出现三次或三次以上的一般安全事故,报***领导批准后进行相应惩罚,并在***进行通报批评。

造成重大安全事故的,***有权将责任人调离原工作岗并给予相应惩罚。

一年内累计出现二次或二次以上的重大安全事故,***有权解除劳动合同并依法追究法律责任。

如果属于故意行为导致信息安全事故,***有权解除劳动合同并依法追究法律责任。

对于信息安全事故责任人的处理结果由处理部门在***范围内予以通报。

负有信息安全事故处罚的各职能部门在确定实施处罚后,***室与被处罚部门沟通,确认责任者及处罚方式并上报***领导。

信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。

由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。

4.4报告信息安全薄弱点与预防措施

***与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。

对以下行为应给予奖励:

及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;

及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;

及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;

在信息安全事故中采取积极有效措施,降低损失的程度。

奖励方式如下:

根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请***批准后,给予相应表扬或奖励,并作为年底工作考核依据。

发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。

5相关文件

6相关记录

信息安全管理制度

为加强公司信息安全风险源的预防管理，提高应急防范能力，保障网络系统、信息系统及信息机房的整体安全，促进公司安全生产稳步健康发展，制定本预案。

依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神。确保公司信息网络系统安全运行，为公司整体安全形势稳步发展提供保障。

本预案适用于各单位信息安全突发风险应急管理。

1、火灾。

2、意外断电。

3、重要数据丢失。

4、网络系统大面积瘫痪。

5.1、火灾辨识及评估。

5.1.1火灾辨识。

（1）自然灾害引起的火灾。

（2）强电线路短路引起的火灾。

（3）杂物堆积引起的火灾。

（4）温度过高引起的火灾。

（5）老鼠咬线引起的火灾。

5.1.2火灾风险评估。

机房发生火灾可能导致工作人员人身受到伤害；信息网络设备受到损坏；网络系统大面积瘫痪；国家、集体财产受到损失。

5.2、意外断电辨识及评估。

5.2.1意外断电辨识。

（1）自然灾害引起的意外断电。

（2）短路跳闸引起的意外断电。

5.2.2意外断电风险评估。

2、意外断电可能导致烟雾报警系统、温度报警和断市电系统无法正常工作而带来的间接财产损失。

5.3、重要数据丢失辨识及评估。

5.3.1重要数据丢失辨识。

（1）意外断电引起的数据丢失。

（2）服务器故障引起的数据丢失。

（3）数据库损坏引起的数据丢失。

5.3.2重要数据丢失风险评估。

1、安全软件系统数据丢失可能导致安全生产监控类系统数据无法正常采集于传输，影响到矿井安全生产的正常进行。

2、数据库系统数据丢失可能导致经营管理类系统无法正常使用，影响公司相关部门经营管理工作和日常办公无法正常进行。

5.4、网络系统大面积瘫痪。

5.4.1网络系统大面积瘫痪辨识。

（1）意外断电引起的核心交换机、防火墙损坏或故障导致网络系统大面积瘫痪。

（2）通信线路中断引起的网络系统大面积瘫痪。

（3）服务器损坏或故障引起的'大面积无法登录互联网。

5.4.2网络系统大面积瘫痪风险评估。

1、网络系统大面积瘫痪可能导致公司与生产矿井之间的信息传输中断，管理部门失去对矿井生产的安全监管，安全生产无法正常进行。

2、网络系统大面积瘫痪可能导致公司日常办公无法正常进行。

5.5、高空作业辨识及评估。

5.5.1高空作业辨识。

（1）日常高空维修可能造成人身伤害。

（2）工程高空施工可能造成人身伤害。

5.5.2高空作业风险评估。

日常高空维修网络设备、打扫卫生和高空施工可能造成工作人员人身伤害和精神伤害，影响公司安全生产稳步发展。

根据各单位存在的主要风险源和风险评估，保障安全生产工作有序进行，制定本预案及措施。

6.1火灾应急预案及处置措施。

6.1.1应急预案。

如果火势过大，人员无法靠近时，应立即拨打火警119，求助消防部门进行灭火。

（2）发生重大火灾时（包括机房局部、ups控制器、库房局部），值班人员应立即逃离火灾范围，启动对应的火灾应急预案，拉响警报，向公司调度室和本单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火，力争将财产损失降到最低。

（3）发生较大火灾时（包括消防通道、办公室）值班人员应启动对应的火灾应急预案，向公司总调度室及本单位安监部门汇报，在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免或降低财产损失。

6.1.2处置措施。

（1）火灾发生时，值班和工作人员应立即脱离火灾范围，确保人身安全。

（2）根据火灾大小确定火灾风险等级，并启动相应的响应等级。

（3）根据火灾风险等级向公司总调度室及本单位安监部门汇报火灾情况。

（4）火势过大无法控制时，应立即拨打火警119进行求助。

（5）在确保人身安全的情况下，组织人员利用灭火器进行灭火，避免火灾扩大，降低财产损失。

（6）尽最大可能搜集火灾发生的相关信息，做好记录，为事故处理提供依据。

（7）每月针对火灾诱发根源进行彻底检查（如易燃物品不能堆放、库房物品分类并整齐摆放等），预防火灾的发生。

6.2、意外断电应急预案及处置措施。

6.2.1应急预案。

发生自然灾害和短路引起的意外断电时，值班人员在确保人身安全的情况下，根据风险等级启动相应的响应等级，向本单位安监部门进行汇报，邀请电力维修人员进行断电故障排查，并组织技术人员对机房核心交换机、防火墙、汇聚交换机、数据库服务器、数据备份服务器、软件服务器、软件系统、烟雾报警、ups温度监控、机房温度监控系统进行隐患排查，发现设备故障和数据丢失，应当进行及时处理和上报。

6.2.2处置措施。

（1）发生意外断电时，在确保人身安全的情况下，值班人员应启动相应的响应等级。

（2）向本单位安监部门进行汇报。

（3）必须请专业电力维修人员进行故障排查与维修。

（4）搜集意外断电发生的信息并作好记录，为事故处理提供依据。

6.3、重要数据丢失应急预案及处置措施。

6.3.1应急预案。

（1）因意外断电引起重要数据丢失时，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和安监部门进行汇报，邀请专业电力维修人员进行故障排查，恢复供电正常，排查机房设备及数据情况，发现设备故障和数据丢失，立即组织相关技术人员进行恢复。

（2）因服务器故障引起数据丢失时，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行服务器维修和数据恢复，如果服务器和数据无法维修和恢复时，应向本单位负责人汇报并外请专业人员进行维修，确保设备和数据安全。

（3）因数据库无法启动引起的数据丢失，值班人员应根据风险等级启动相应的响应等级，向公司总调度室和案件部门进行汇报，并组织技术人员进行数据恢复，如果数据无法恢复，应向本单位负责人汇报并外请专业人员进行数据恢复，确保设数据安全。

6.3.2处置措施。

（1）发生数据丢失时，值班人员应根据风险等级启动相应相应等级。

（2）值班人员向本单位安监部门汇报。

（3）组织技术人员对数据进行恢复。

（4）本单位技术人员无法恢复丢失数据时，应向本单位负责人汇报并外请专业人员进行数据恢复，确保数据安全。

（5）做好数据丢失与恢复过程的记录。

6.4、高空作业应急预案及处置措施。

6.4.1应急预案。

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救电话送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

如果坠落人员处于昏迷状态，其他维修人员应当立即进行简单的急救（如将人平躺在地上，进行按压胸部、掐人中、人工呼吸等），同时拨打120急救电话送往医院进行抢救，并向公司总调度室、本单位负责人及安监部门汇报。

6.4.2处置措施。

（1）日常高空维修必须在确保人身安全的情况下进行，否则不能进行维修作业。

（2）在日常工作中设计到高空维修，维修人员一定要2人或2人以上进行维修。否则，维修人员可以拒绝维修工作。

（2）高空维修人员必须佩带安全绳索，并采用安全梯子进行高空作业。否则，不能进行高空维修作业。

（3）事故发生后要对事故的经过进行详细记录，为事故处理提供依据。

信息安全管理制度

一、信息系统安全包括：软件安全和硬件网络安全两部分。

二、网络信息办公室人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密;硬件破坏及失效等灾难性故障。

三、对系统用户的访问模块、访问权限由使用单位负责人提出，交信息化领导小组核准后，由网络信息办公室人员给予配置并存档，以后变更必须报批后才能更改，网络信息办公室做好变更日志存档。

四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室负责人监督检查更换新的密码;厂方调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。

五、网络信息办公室人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。

六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责，其他人员不得随意拆卸和移动。

七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。

八、严禁自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。

九、所有进入网络的软盘、光盘、u盘等其他存贮介质，必须经过网络信息办公室负责人同意并查毒，未经查毒的存贮介质绝对禁止上网使用，对造成“病毒”蔓延的有关人员，将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。

十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

十一、内网用户所有文件传递，不得利用软盘、光盘和u盘等存贮介质进行拷贝。

十二、保持计算机硬件网络设备清洁卫生，做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。

十三、网络信息办公室人员有权监督和制止一切违反安全管理的行为。

一、对网络故障的判断。

当网络系统终端发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要立即向网络信息办公室汇报，网络信息办公室工作人员对科室提出的上述问题必须重视，经核实后给予科室反馈信息。网络信息办公室负责人应召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复工作的，应立即恢复工作;如故障原因不明确、情况严重不能在短期内排除的，应立即报告医务部和院领导，在网络不能运转的情况下由机关协调全院工作以保障医疗工作的正常运转。网络故障分为三类：

一类故障：服务器不能工作;光纤损坏;主服务器数据丢失;备份盘损坏;服务器工作不稳定;局部网络不通;数据被人删改;重点终端故障;规律性的整体、局部软、硬件故障。

二类故障：单一终端软、硬件故障;单一患者信息丢失;偶然性的数据处理错误;某些科室违反工作流程要求。

三类故障：各终端由于不熟练或使用不当造成的错误。针对上述故障分类等级，处理方案如下：

一类故障———由网络信息办公室主任上报医务部和院领导，由医务部组织协调恢复工作。

二类故障———由技术工程师上报网络信息办公室主任，由网络信息办公室集中解决。

三类故障———由技术工程师单独解决，并详细登记情况。

二、网络整体故障的首要工作。

(一)当网络信息办公室一旦确定为网络整体故障，首先是立刻报告医务部。医务部应立即按上报程序向院领导汇报。网络信息办公室需马上组织恢复工作，并充分考虑到特殊情况如节假日、病员量大、人员外出及医院的重大活动对故障恢复带来的时间影响。

(二)当发现网络整体故障时，根据故障恢复时间的程度将转入手工工作的时限明确如下：

1、10分钟内不能恢复———门诊挂号、住院登记、药房转入手工操作;门诊收费、住院核算、西药房工作转入老系统操作。

2、6小时内不能恢复———原则上将医师工作站、护士工作站、药房、急诊检查、入院、手术室、医技检查转入手工操作(具体实行时间及步骤由医务部、护理部通知)。

3、24小时以上不能恢复———将出院核算转入手工。

三、具体协调工作。

(一)所有手工工作的统一时间须由医务部或网络信息办公室通知，相关单位严格按照通知时间协调工作，在未接到新的指示前不准私自操作计算机。

(二)门诊挂号工作协调。

1、门诊挂号协调工作由门诊部护士长负责协调请示，如手工挂号的转入、转出时间等;。

2、当网络系统中断时，改为手工挂号;。

3、网络恢复后，及时将中断期间的患者信息输入到计算机;。

4、在以后的工作中如发现某位患者的信息系统内没有记载，应详细询问患者以前是否是在网络故障时就诊过。

(三)门诊收费系统工作协调。

2、当网络系统运行中断超过10分钟时，应通知收款处转入手工收款工作;。

3、门诊收款负责同志应建立手工发票使用登记本，对发票使用情况做详细登记;。

4、当系统恢复正常时，由收款处负责同志负责对网络运行稳定性进行监测，如不稳定，及时向网络信息办公室反映情况。

5、在接到使用计算机的指令并重新启动运行后，门诊收款负责人应组织收款员逐步转入到机器操作。

(四)住院费用核算系统工作协调。

1、由住院处科主任总体负责协调工作;。

2、当系统停止运行超过2天时，对普通出院患者，推迟出院结算时间;对急出院的患者应根据病历和临床科室护士工作站记录，进行手工核算出院。

3、在网络停止运行期间，出院患者急需结算时，应由该科护士工作站追查是否还有正在进行的检查，向结算室提供详细费用情况后，方可送交核算。

(五)临床工作系统协调。

1、临床科工作由医务部、护理部共同协调;。

2、网络故障期间临床科室详细记录患者的所有费用执行情况;。

4、出院带药由经管医师负责掌握经费情况，如出现费用超支情况由该医师负责;。

5、根据医务部通知恢复运行时间，按要求补录医嘱。

6、如患者急需出院，应向核算室提供详细费用情况，对正在进行的检查应予以说明。

(六)医技检查工作协调。

1、在网络停运期间应详细留取、整理检查申请单底联;。

2、网络恢复后根据检查单底联登记，通过手工记价补录患者费用;。

3、对出院快或有出院倾向的患者各科在申请单上注明，检查科室应及时通知科室或出院处沟通费用情况。

(七)药房工作协调。

1、中心摆药应严格按照网络信息办公室规定的时间及要求进行计算机操作;。

2、网络故障时，根据临床科提供的药品请领单发药;。

4、网络恢复后对出院带药处方及时进行录入;。

5、数据补录工作结束后应查看系统内库存与实际库存相符情况。

各信息点接到重新运行通知时，需重新启动计算机，整体网络故障的工程恢复工作，由网络信息办公室严格按照服务器数据管理要求进行恢复工作。

四、网络修复后的数据处理。

(一)由各科组织核校患者费用情况;。

(二)药房校查库存;。

(三)临床科室补录患者医嘱。

各科室要严格各项操作并及时反馈执行中的有关情况。

信息安全管理制度

病案管理者因工作关系对每份病案都要进行收集、整理、查、订,对病人的隐私了解的较多，因此,尊重患者的隐私权和保密权就成为对管理人员的职业道德要求。工作中对病人的隐私要严格保密,守口如瓶，不得外泄,不得张扬,任意传播。更不能利用工作之便索取非法利益。

防盗、防尘、防湿、防蛀、防高温措施

1、在防尘工作方面，经常性的除尘工作，坚持一天一小扫，一周一大扫，节假日全面大扫除;适时开、关闭档案库房门窗，防止尘灰、烟雾进入档案库房及档案橱内。定期擦拭档案室地板、档案橱表面、橱内的灰尘，保持档案橱、档案自身的'干净清洁。

2、在防火工作方面，档案库房门上挂有“严禁烟火”的警示牌，无关人员不得进入档案库房，需进入档案库房的人员一律严禁烟火、抽烟;下班时切断电源;灭火器定点放置，不得随意移动或拿作他用，定期检查，对失效过期的灭火器适时更换，使其保持良好的灭火状态。

3、在防盗工作方面，档案库房配备了防盗网、铁窗铁橱，并保持良好的工作状态。下班时关锁好门窗，上班时检查档案库房门窗、铁网、铁橱、档案是否完好。

4、在防潮工作方面，防止雨水进入档案库房，每天掌握库房内的湿度变化情况，库内库外设置温湿度计，作为库内库外湿度比较。当库内湿度大于库外时，采取抽风、排气、打开库房门窗进行通风或关闭门窗启动除湿机;当库房湿度小于库外湿度时采取关闭门窗等措施将库房湿度控制在45%?60%范围内。

5、在防高温工作方面，注意掌握高温气候条件下，库房温度的变化情况，当库房温度大于或小于库房温度(标准为14℃--24℃)时采取排气、抽风、通风或启动空调机进行降温，使库内温度控制在标准范围内。

6、在防光工作方面，给档案库房门窗装上了防光布帘外，注意防止太阳日光直射档案库房，严禁档案纸张材料搬到太阳下暴晒。做好除湿、降温、防光工作，有效防止档案纸张材料发生霉烂、变质、字迹褪色。

7、在防蛀工作方面，注重做好勤防勤治虫害档案的工作。库房内严禁存放任何杂物。定期施放杀虫驱虫药物，并根据药效时限适时更换失效过期的杀虫驱虫药物。定期做好库内库外的防虫灭虫工作。每月翻动橱内档案二次，查看虫害档案情况，一旦发现虫害档案，立即采取措施扑灭虫害，防止虫害档案的漫延。

8、在防腐工作方面，档案库房内经常性的进行抽风、通风，保持室内空气清新，严禁有害气体、物品进入档案库房，定期施放、更换防腐药物，净化库房周围环境，保持库房内清洁。

信息安全管理制度

第一条为了提高财务部门的工作效率,减小会计信息化带来的风险,特制定本制度。

第二条本制度适用于财务部所有人员。

第三条本制度所指的财务信息化是指利用计算机信息技术代替人工进行财务信息处理,以及替代部分由人工完成的对会计信息进行分析和判断的过程。

第四条本制度所指的信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据,包括记账凭证、会计账簿、会计报表(包括报表格式和计算公式)等。

第五条财务部的计算机只允许用作企业的会计、财务工作,禁止与财务工作无关的其他活动等。

第六条财务部的计算机专人专用,禁止交叉使用。

第七条企业会计信息的录入由专人负责,被指派人员保管好自己的账号与密码,严防泄露。

第八条会计人员搜集的原始凭证在录入计算机之前必须经由审核人员审核,审核人员做好审核记录。

第九条会计人员在计算机上编制记账凭证时,由审核人员上机审核并做好审核记录。

第十条会计人员打印出的账表由财务部负责人负责审核,定期报送主管领导审核。

第十一条财务人员每次使用计算机时必须使用不间断的电源,防止因断电导致核心数据丢失。

第十二条财务人员在每次下班前需将系统备份,防止数据丢失。

第十三条财务人员经过授权后定期存储与保存系统中的会计信息备份。

第十四条未经授权不得对会计软件进行修改、升级或更换硬件,否则造成的后果由当事人承担。

第十五条负责保管信息化会计档案的人员需定期检查,做好防火、防尘和防潮工作,防止存储介质损坏导致会计档案丢失。

第十六条财务部应在每年或上年末建立新的会计年度的完整的账务文件根据现行财务制度,运用当前在用系统的规则正确地设置全部级次的会计科目,会计年度中间可以任意追加新的会计科目,但已制单或记账的会计科目不得修改或删除(账务的`修改工作由系统管理员执行)。

第十七条转换会计年度时,应在新的会计年度开始后的20天内,完成结转各账户的年初手续,并保证数据检验平衡正确,年初余额在当年记账以前可以修改,当年记账以后如有调整,只能通过填制记账凭证进行。

第十八条任何登记入账的经济业务都必须填制记账凭证,摘要区规范填入,在机上填制的记账凭证编号应当连续,编号出现间断时,应在断号的第一张凭证上注明间断的编号,并在打印输出的该张凭证上注明断号的原因并签字盖章。

第十九条记账凭证必须经过复核人员签字后,才能根据其登记账簿,复核人员必须在屏幕上直接对机器存储的记账进行复核签字,同时要对打印输出的记账凭证或代用凭单进行签字盖章。同一张记账凭证,制单和复核不能是同一人。

记账凭证在记账以前必须打印输出(记账凭证清单),没有打印输出的记账凭证不得登记入账。

第二十条总账及现金账和银行账均可采用计算机打印输出的活页账装订,出纳人员根据审核人员审查并准许报销的凭证,收入或付出款项,出纳人员可以不登记订本式日记账,如现金处理收支较多可根据需要自设辅助账。

单位每天必须将当日发生的现金收支数据输入计算机并据以计算出库存日报表,并在表上签字盖章。

第二十一条单位根据机器使用和人员分工情况以及工作需要,确定每月的记账期限,每月至少记账一次,每月月末以前应将当月所有收支及转账业务全部登记入账。至少每月核对一次总账,每季度核对一次明细账。

第二十二条必须将储存在机器内的账簿数据打印输出为书面账簿,会计账簿打印间隔时间不得超过一个月,平时可以只打印已满页的账簿数据,但每年年末必须将全部账簿数据打印输出。

第二十三条本制度由公司财务部制定,解释权、修改权归属财务部资产。

第二十四条本制度自下发之日起实施,修改时亦同。

信息安全管理制度

为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。

本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案。

第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。

第二条任何单位和个人不得从事下列危害公司网络安全的活动：

1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。

2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。

3、未经允许，对信息网络功能进行删除、修改或增加。

4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。

7、向其它非本单位用户透露公司网络登录用户名和密码。

第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。

第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。

第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。

第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

第一条、“信息系统安全保密”是一项常抓不懈的.工作，每名系统管理员都必须提高信息安全保密意识，充分认识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统安全保密培训。

第二条、实行信息发布责任追究制度，所有信息的发布必须按规定办理审核、审签手续，必须真实有效且符合中华人民共和国法规。涉及国家及公司机密的信息系统必须与内部网和互联网实施物理隔离，严格执行上网信息的审查制度和涉及国家秘密的信息不得在企业内网发布的规定，杜绝泄密事件的发生。凡发布虚假、反动、色情、泄密等内容，追究信息报送和审核者责任，对公司造成重大经济损失，将追究责任人相应的法律责任。

第三条、信息系统管理权限从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器（包括系统服务器、应用服务器和控制服务器）、工作终端、用户终端；从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。

第四条、所有信息系统的使用者和不同安全等级信息之间必须存在授权关系，并在新建信息系统开发建设阶段形成方案并加以设计，在软件系统中预留对应关系设置的功能，根据使用者岗位职务的变迁进行调整。

第五条、利用it技术手段，对信息系统的硬件配置调整、软件参数修改严加控制。利用操作系统、数据库系统、应用系统所提供的安全机制，设置相应的安全参数，保证系统访问的安全；对于重要的计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配置，并定期对以上情况进行检查。

第六条、信息系统如需要委托专业机构进行系统运行和维护管理时，应严格审查其资质条件、市场剩余和信用状况等，并且与其签订正式的服务合同和保密协议。

第七条、所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其提供网络接入服务。

第八条、利用防火墙、路由器、入侵检测等网络设备，加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。

第九条、对于通过互联网传输的涉密或关键业务数据，要采取必要的技术手段确保信息传递的保密性、准确性、完整性。

第十条、对于停止运行的废旧系统，应当做好系统中有价值及涉密信息的销毁、转移等善后工作。

第十一条、系统管理人员要遵守信息系统的各项管理制度，防止利用计算机舞弊和犯罪。

第十二条、对重要业务系统的访问建立用户管理制度，对于不同类别不同级别的各类管理及使用人员采取密码分级管理，设定密码有效期限，对密码存储采用非明文二次加密技术防止各类密码泄露事故的发生。

信息安全管理制度

一、为了处理工作中涉及的办公秘密和业务秘密信息，特制定计算机信息系统安全保密制度。

二、信息科、机要科负责指导市政府办公室涉密人员的保密技术培训，落实技术防范措施。

三、涉密信息不得在与国际网络的计算机系统中存储，处理和传输。

四、凡上网的信息，上网前必须进行审查，进行登记，“谁上网，谁负责”，确保国家机密不上网。

五、如在网上发现反动、黄色的宣传和出版物，要保护好现场，及时报向市委保密局汇报，依据有关规定处理；如发现泄露国家机密的情况，要及时采取措施，对违反规定造成后果的，依据有关规定进行处理。

六、加强个人主页管理，对于在个人主页中张贴，传播有害信息的责任人要依法处理，并删除个人主页。

七、发生重大突发事件期间，各涉密科室要加强网络监控，及时、果断地处理网上突发事件。