A. 《網路安全法》中明確了四大主體的責任義務,四大主體具體是()
四大主體具體是國家、主管部門、網路運營者、網路使用者。
1、出台《草案》,並且在未來在這部高規格法律下完善相應的配套體系和制度,並體現其可操作化和可執行性。除此之外,還需要若乾的細則出台,比如建立網路安全標准體系,由國務院哪些部門組織制定,牽涉哪些行業;網路產品、服務應當符合哪些國家標准和行業標准需要予以明確等等。
3、「網路運營者應當建立健全用戶信息保護制度,加強對用戶個人信息、隱私和商業秘密的保護」「並應當依照法律、行政法規的規定或者與用戶的約定,處理其保存的公民個人信息」。企業更要樹立一定的責任感,積極按照法律條款建立用戶信息保護制度。
4、網路使用者即任何個人和組織使用網路應當遵守憲法和法律,遵守公共秩序,尊重社會公德,不得危害網路安全。具體條款細化為不得從事入侵他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動、不得出售或者非法向他人提供公民個人信息等,還要增強法律意識。
一、建立健全網路和信息安全管理制度
各單位要按照網路與信息安全的有關法律、法規規定和工作要求,制定並組織實施本單位網路與信息安全管理規章制度。要明確網路與信息安全工作中的各種責任,規范計算機信息網路系統內部控制及管理制度,切實做好本單位網路與信息安全保障工作。
二、切實加強網路和信息安全管理
各單位要設立計算機信息網路系統應用管理領導小組,負責對計算機信息網路系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網路系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,並按照「誰主管誰負責,誰運行誰負責,誰使用誰負責」的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網路使用管理規定
各單位要提高計算機網路使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網路,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網路實行物理隔離,並強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平台信息發布審查監管
各單位通過門戶網站、微信公眾平台在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否准確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、後公開,一事一審、全面審查。各單位網路信息發布審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意後,方可按照宣傳內容做到統一口徑、統一發布,確保信息發布的時效性和嚴肅性。
五、組織開展網路和信息安全清理檢查
各單位要在近期集中開展一次網路安全清理自查工作。對辦公網路、門戶網站和微信公眾平台的安全威脅和風險進行認真分析,制定並組織實施本單位各種網路與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網路和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
如何加強網路安全管理
1 制定網路安全管理方面的法律法規和政策
法律法規是一種重要的行為准則,是實現有序管理和社會公平正義的有效途徑。網路與我們的生活日益密不可分,網路環境的治理必須通過法治的方式來加以規范。世界很多國家都先後制定了網路安全管理法律法規,以期規范網路秩序和行為。國家工業和信息化部,針對我國網路通信安全問題,制訂了《通信網路安全防護管理辦法》。明確規定:網路通信機構和單位有責任對網路通信科學有效劃分,根據有可能會對網路單元遭受到的破壞程度,損害到經濟發展和社會制度建設、國家的安危和大眾利益的,有必要針對級別進行分級。電信管理部門可以針對級別劃分情況,組織相關人員進行審核評議。而執行機構,即網路通信單位要根據實際存在的問題對網路單元進行實質有效性分級。針對以上條款我們可以認識到,網路安全的保證前提必須有科學合理的管理制度和辦法。網路機系統相當於一棵大樹,樹的枝幹如果出現問題勢必影響到大樹的生長。下圖是網路域名管理分析系統示意圖。
可以看到,一級域名下面分為若干個支域名,這些支域名通過上一級域名與下一級緊密連接,並且將更低級的域名授予下級域名部門相關的權利。預防一級管理機構因為系統過於寬泛而造成管理的無的放矢。通過逐級管理下放許可權。維護網路安全的有限運轉,保證各個層類都可以在科學規范的網路系統下全面健康發展。
一些發達國家針對網路安全和運轉情況,實施了一系列管理規定,並通過法律來加強網路安全性能,這也說明了各個國家對於網路安全問題的重視。比方說加拿大出台了《消費者權利在電子商務中的規定》以及《網路保密安全法》等。亞洲某些國家也頒布過《電子郵件法》以及其他保護網路安全的法律。日本總務省還重點立法,在無線區域網方面做出了明確規定,嚴禁用戶自行接受破解網路數據和加密信息。還針對違反規定的人員制定了處罰條例措施。用法律武器保護加密信息的安全。十幾年前,日本就頒布了《個人情報法》,嚴禁網路暴力色情情況出現。在網路環境和網路網路安全問題上布防嚴謹,減小青少年犯罪問題的發生。
可以說網路安全的防護網首先就是保護網路信息安全的法律法規,網路安全問題已經成為迫在眉睫的緊要問題,每一個網路使用者都應該與計算機網路和睦相處,不利用網路做違法違規的事情,能夠做到做到自省、自警。
2 採用最先進的網路管理技術
工欲善其事,必先利其器。如果我們要保障安全穩定的網路環境,採用先進的技術的管理工具是必要的。在2011年中國最大軟體開發聯盟網站600萬用戶賬號密碼被盜,全國有名網友交流互動平台人人網500萬用戶賬號密碼被盜等多家網站出現這種網路安全慘案。最主要一個原因就是用戶資料庫依然採用老舊的明文管理方式沒有及時應用新的更加安全的管理用戶賬號方式,這點從CSDN網站用戶賬號被泄露的聲明:「CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對賬號資料庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN賬號管理功能,使用了強加密演算法,賬號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN賬號的各種安全性問題。」通過上面的案例,我們知道保障安全的網路應用避免災難性的損失,採用先進的網路管理與開發技術與平台是及其重要的。同時我們也要研究開發避免網路安全新方法新技術。必須達到人外有人,天外有天的境界,才能在網路安全這場保衛戰中獲得圓滿勝利。保證網路優化環境的正常運轉。
3 選擇優秀的網路管理工具
優良的網路管理工具是網路管理安全有效的根本。先進的網路管理工具能夠推動法律法規在網路管理上的真正實施,保障網路使用者的完全,並有效保證信息監管執行。
一個家庭裡面,父母和孩子離不開溝通,這就如同一個管道一樣,正面的負面都可以通過這個管道進行傳輸。網路系統也是這樣,孩子沉迷與網路的世界,在無良網站上觀看色情表演,以及玩游戲,這些都是需要藉助於網路技術和網路工具屏蔽掉的。還有些釣魚網站以及垃圾郵件和廣告,都需要藉助有效的網路信息系統的安全系統來進行處理。保障網路速度的流暢和安全。網路管理工具和軟體可以擔負起這樣的作用,現在就來看看幾款管理系統模型:
網路需求存在的差異,就對網路軟體系統提出了不同模式和版本的需求,網路使用的過程要求我們必須有一個穩定安全的網路信息系統。
網路環境的變化也給網路安全工具提出了不同的要求,要求通過有效劃分網路安全級別,網路介面必須能夠滿足不同人群的需要,尤其是網路客戶群和單一的網路客戶。在一個單位中,一般小的網路介面就能滿足公司內各個部門的需要,保障內部之間網路的流暢運行即是他們的需求,因此,如何選用一款優質的網路管理軟體和工具非常的有必要。
4 選拔合格的網路管理人員
網路管理如同一輛性能不錯的機車,但是只有技術操作精良的人才能承擔起讓它發揮良好作用的重任。先進的網路管理工具和技術,有些操作者不會用或者不擅長用,思維模式陳舊,這樣只會給網路安全帶來更多的負面效應,不能保證網路安全的穩定性,為安全運轉埋下隱患。
4.1 必須了解網路基礎知識。
總的來說,網路技術是一個計算機網路系統有效運轉的基礎。必須熟知網路計算機基礎知識,網路系統構架,網路維護和管理,內部區域網絡、有效防控網路病毒等基礎操作知識。另外,網路管理者要具備扎實的理論基礎知識和操作技能,在網路的設備、安全、管理以及實地開發應用中,要做到熟練掌握而沒有空白區域。計算機網路的維護運行,還需要網路管理人員有相應的職業資格證書,這也能夠說明管理者達到的水平。在網路需求和網路性能發揮等目標上實施有效管理。
4.2 熟悉網路安全管理條例
網路管理人員必須熟悉國家制定的相關的安全管理辦法,通過法律法規的武器來保護網路安全,作為他們工作的依據和標准,有必要也有能力為維護網路安全盡職盡責。
4.3 工作責任感要強
與普通管理崗位不同的是,網路安全問題可能隨時發生。這就給網路管理人員提出了更高更切實的要求。要具有敏銳的觀察力和快速做出決策的能力,能夠提出有效的應對辦法,把網路安全問題降到最低程度,所以網路管理人員的責任心必須要強。對於出現的問題,能在8小時以內解決,盡量不影響以後時間段的網路運轉。
C. 怎樣建立安全生產責任制
根據我國的安全生產方針「安全第一,預防為主,綜合治理」和安全生產法規建立的各級領導、職能部門、工程技術人員、崗位操作人員在勞動生產過程中對安全生產層層負責的制度。
安全生產責任制是企業崗位責任制的一個組成部分,是企業中最基本的一項安全制度,也是企業安全生產、勞動保護管理制度的核心。
實踐證明,凡是建立、健全了安全生產責任制的企業,各級領導重視安全生產、勞動保護工作,切實貫徹執行黨的安全生產、勞動保護方針、政策和國家的安全生產、勞動保護法規,在認真負責地組織生產的同時,積極採取措施,改善勞動條件,工傷事故和職業性疾病就會減少。
反之,就會職責不清,相互推諉,而使安全生產、勞動保護工作無人負責,無法進行,工傷事故與職業病就會不斷發生。
(3)網路安全責任制的建立擴展閱讀:
企業單位各生產小組都應該設有不脫產的安全員。小組安全員在生產小組長的領導和勞動保護幹部的指導下,首先應當在安全生產方面以身作則,起模範帶頭作用,並協助小組長做好下列工作:經常對本組工人進行安全生產教育。
督促他們遵守安全操作規程和各種安全生產制度;正確地使用個人防護用品;檢查和維護本組的安全設備;發現生產中有不安全情況的時候,及時報告;參加事故的分析和研究,協助領導上實現防止事故的措施。
企業單位的職工應該自覺地遵守安全生產規章制度,不進行違章作業,並且要隨時制止他人違章作業,積極參加安全生產的各種活動,主動提出改進安全工作的意見,愛護和正確使用機器設備、工具及個人防護用品。
D. 關於計算機網路安全制度有哪些
網路安全管理機構和制度 網路安全管理機構和規章制度是網路安全的組織與制度保障。網路安全管理的制度包括人事資源管理、資產物業管理、教育培訓、資格認證、人事考核鑒定製度、動態運行機制、日常工作規范、崗位責任制度等。建立健全網路安全管理機構和各項規章制度,需要做好以下幾個方面。 1.完善管理機構和崗位責任制 計算機網路系統的安全涉及整個系統和機構的安全、效益及聲譽。系統安全保密工作最好由單位主要領導負責,必要時設置專門機構,如安全管理中心SOC等,協助主要領導管理。重要單位、要害部門的安全保密工作分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組織機構,包括安全審查機構、安全決策機構、安全管理機構,都要建立和健全各項規章制度。 完善專門的安全防範組織和人員。各單位須建立相應的計算機信息系統安全委員會、安全小組、安全員。安全組織成員應由主管領導、公安保衛、信息中心、人事、審計等部門的工作人員組成,必要時可聘請相關部門的專家組成。安全組織也可成立專門的獨立、認證機構。對安全組織的成立、成員的變動等應定期向公安計算機安全監察部門報告。對計算機信息系統中發生的案件,應當在規定時間內向當地區(縣)級及以上公安機關報告,並受公安機關對計算機有害數據防治工作的監督、檢查和指導。 制定各類人員的崗位責任制,嚴格紀律、管理和分工的原則,不準串崗、兼崗,嚴禁程序設計師同時兼任系統操作員,嚴格禁止系統管理員、終端操作員和系統設計人員混崗。 專職安全管理人員具體負責本系統區域內安全策略的實施,保證安全策略的長期有效:負責軟硬體的安裝維護、日常操作監視,應急條件下安全措施的恢復和風險分析等;負責整個系統的安全,對整個系統的授權、修改、特權、口令、違章報告、報警記錄處理、控制台日誌審閱負責,遇到重大問題不能解決時要及時向主管領導報告。 安全審計人員監視系統運行情況,收集對系統資源的各種非法訪問事件,並對非法事件進行記錄、分析和處理。必要時將審計事件及時上報主管部門。 保安人員負責非技術性常規安全工作,如系統周邊的警衛、辦公安全、出入門驗證等。 2.健全安全管理規章制度 建立健全完善的安全管理規章制度,並認真貫徹落實非常重要。常用的網路安全管理規章制度包括以下7個方面: 1)系統運行維護管理制度。包括設備管理維護制度、軟體維護制度、用戶管理制度、密鑰管理制度、出入門衛管理值班制度、各種操作規程及守則、各種行政領導部門的定期檢查或監督制度。機要重地的機房應規定雙人進出及不準單人在機房操作計算機的制度。機房門加雙鎖,保證兩把鑰匙同時使用才能打開機房。信息處理機要專機專用,不允許兼作其他用途。終端操作員因故離開終端必須退出登錄畫面,避免其他人員非法使用。 2)計算機處理控制管理制度。包括編制及控制數據處理流程、程序軟體和數據的管理、拷貝移植和存儲介質的管理,文件檔案日誌的標准化和通信網路系統的管理。 3)文檔資料管理。各種憑證、單據、賬簿、報表和文字資科,必須妥善保管和嚴格控制;交叉復核記賬;各類人員所掌握的資料要與其職責一致,如終端操作員只能閱讀終端操作規程、手冊,只有系統管理員才能使用系統手冊。 4)操作及管理人員的管理制度。建立健全各種相關人員的管理制度,主要包括: ① 指定具體使用和操作的計算機或伺服器,明確工作職責、許可權和范圍; ② 程序員、系統管理員、操作員崗位分離且不混崗; ③ 禁止在系統運行的機器上做與工作無關的操作; ④ 不越權運行程序,不查閱無關參數; ⑤ 當系統出現操作異常時應立即報告; ⑥ 建立和完善工程技術人員的管理制度; ⑦ 當相關人員調離時,應採取相應的安全管理措施。如人員調離的時馬上收回鑰匙、移交工作、更換口令、取消賬號,並向被調離的工作人員申明其保密義務。 5) 機房安全管理規章制度。建立健全的機房管理規章制度,經常對有關人員進行安全教育與培訓,定期或隨機地進行安全檢查。機房管理規章制度主要包括:機房門衛管理、機房安全工作、機房衛生工作、機房操作管理等。 6)其他的重要管理制度。主要包括:系統軟體與應用軟體管理制度、數據管理制度、密碼口令管理制度、網路通信安全管理制度、病毒的防治管理制度、實行安全等級保護制度、實行網路電子公告系統的用戶登記和信息管理制度、對外交流維護管理制度等。 7)風險分析及安全培訓 ① 定期進行風險分析,制定意外災難應急恢復計劃和方案。如關鍵技術人員的多種聯絡方法、備份數據的取得、系統重建的組織。 ② 建立安全考核培訓制度。除了應當對關鍵崗位的人員和新員工進行考核之外,還要定期進行計算機安全方面的法律教育、職業道德教育和計算機安全技術更新等方面的教育培訓。 對於從事涉及國家安全、軍事機密、財政金融或人事檔案等重要信息的工作人員更要重視安全教育,並應挑選可靠素質好的人員擔任。 3.堅持合作交流制度 計算機網路在快速發展中,面臨嚴峻的安全問題。維護互聯網安全是全球的共識和責任,網路運營商更負有重要責任,應對此高度關注,發揮互聯網積極、正面的作用,包括對青少年在內的廣大用戶負責。各級政府也有責任為企業和消費者創造一個共享、安全的網路環境,同時也需要行業組織、企業和各利益相關方的共同努力。因此,應當大力加強與相關業務往來單位和安全機構的合作與交流,密切配合共同維護網路安全,及時獲得必要的安全管理信息和專業技術支持與更新。國內外也應當進一步加強交流與合作,拓寬網路安全國際合作渠道,建立政府、網路安全機構、行業組織及企業之間多層次、多渠道、齊抓共管的合作機制。 拓展閱讀:網路安全技術及應用(第2版)機械工業出版社 賈鐵軍主編 上海優秀教材獎
E. 為什麼要簽署網路信息安全責任書
網路與信息安全責任書 為明確互聯單位、接入單位、使用計算機信息網路國際聯網的法人和其他組織的信息網路安全管理責任,確保互聯網信息與網路安全,營造安全和諧的網路環境,根據《計算機信息網路國際聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》等有關法規規定,計算機信息網路國際聯網單位單位應認真落實以下責任: 一、自覺遵守法律、行政法規和其他有關規定,接受公安機關的安全監督、檢查和指導,如實向公安機關提供有關安全保護的信息、資料及數據文件,協助公安機關查處通過國際聯網的計算機信息網路的違法犯罪行為。如有違反上述法律法規的行為,公安機關將依法給予責任單位警告、罰款、停止聯網、停機整頓等行政處罰。 二、不利用國際聯網危害國家安全、泄漏國家秘密,不侵犯國家的、社會的、集體的利益和公民的合法權益,不從事犯罪活動。 三、不利用國際聯網製作、復制、查閱和傳播下列信息: (一)煽動抗拒、破壞憲法和法律、行政法規實施的; (二)煽動顛覆國家政權,推翻社會主義制度的; (三)煽動分裂國家、破壞國家統一的; (四)煽動民族仇恨、民族歧視,破壞民族團結的; (五)捏造或者歪曲事實,散布謠言,擾亂社會秩序的; (六)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事實誹謗他人的; (八)損害國家機關信譽的; (九)其他違反憲法和法律、行政法規的。 四、不從事下列危害計算機信息網路安全的活動: (一)未經允許,進入計算機信息網路或者使用計算機信息網路資源的; (二)未經允許,對計算機信息網路功能進行刪除、修改或者增加的; (三)未經允許,對計算機信息網路中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的; (四)故意製作、傳播計算機病毒等破壞性程序的; (五)其他危害計算機信息網路安全的。 五、建立安全保護管理制度、落實各項安全保護技術措施,保障本單位網路運行安全和信息安全。 六、嚴格遵守國家有關法律法規,做好本單位信息網路安全管理工作,設立信息安全責任人和信息安全審查員,對發布的信息進行實時審核,發現有以上二、三、四點所列情形之一的,應當保留有關原始記錄並在二十四小時內向公安機關網安部門報告。 七、按照國家有關規定,刪除本單位網路中含有以上第二點內容的地址、目錄或關閉伺服器。 八、變更名稱、住所、法定代表人、主要負責人、網路資源或終止經營活動,應及時到屬地公安機關網安部門辦理有關備案變更手續。 責任單位: 負責人簽字: 年 月 日篇二:網路信息安全責任書 xxx網路信息安全責任書 為進一步加強網路安全管理,落實安全責任制,嚴防網路安全事故的發生,共同營造安全和諧的網路信息環境,根據《計算機信息網路國際聯網安全保護管理辦法》、《互聯網安全保護技術措施規定》等有關法規規定,特製定本責任書。 一、不利用互聯網危害國家安全、泄漏國家秘密,不侵犯國家、社會、集體的利益和公民的合法權益,不從事犯罪活動。
二、不利用互聯網製作、復制、查閱和傳播下列信息: 1.煽動抗拒、破壞憲法和法律、行政法規實施的; 2.煽動顛覆國家政權,推翻社會主義制度的; 3.煽動分裂國家、破壞國家統一的; 4.煽動民族仇恨、民族歧視,破壞民族團結的; 5.捏造或者歪曲事實,散布謠言,擾亂社會秩序的; 6.宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的; 7.公然侮辱他人或者捏造事實誹謗他人的; 8.損害國家機關信譽的; 9.其他違反憲法和法律、行政法規的。 三、不從事下列危害網路信息安全的行為:1.製作或者故意傳播計算機病毒以及其他破壞性程序; 2.非法侵入計算機信息系統或者破壞計算機信息系統功能、數據和應用程序; 3.法律、行政法規禁止的其他行為。 四、嚴格遵守國家有關法律法規,做好本部門信息網路安全管理工作,對發布的信息進行實時審核,發現有以上所列情形之一的,應當保留有關原始記錄並在24小時內向xxxx報告。在工作中,服從監督,對出現重大事故並造成重大損失和惡劣影響的,承擔由此引起的一切法律責任,並將依法追究部門負責人的管理責任。 五、本責任書的執行情況納入年度績效考核。簽訂本責任書的責任人工作如有調整,繼任者承擔本責任書的責任。 xxxxxxxxxxxxxxxxxxxxxxxxx 責任單位: 負責人: xxxx年xx月xx日篇三:2013年信息安全責任書(正式) 2013年信息安全責任書 為了認真貫徹落實信息化工作會精神,進一步強化全員信息安全意識,落實信息安全責任,確保企業信息安全「50200」目標的實現,決定與計算機使用人員簽訂2013年信息安全責任書。 一、責任目標:重大網路及信息安全事件為零;重大病毒或木馬感染事件為零;網路或黑客攻擊事件為零;重要信息泄漏事件為零;數據丟失事件為零。信息安全培訓計劃完成率100%;信息安全隱患整改率100%; 二、責任期限:2013年1月1日——12月31日 三、工作責任 1、認真學習、貫徹、執行國家、地方、行業及企業相關信息安全法律法規及信息安全規章制度。 2、不擅自安裝、拆卸、更換、維修或移動計算機、列印機、網路設備等信息化設施;不擅自重裝操作系統;不擅自使用他人的計算機。 3、不擅自更改企業所分配ip地址,不盜用他人ip地址。 4、不擅自使用代理伺服器,不擅自將無線ap、路由器、交換機、hub及撥號上網等網路設備接入企業網路中。 5、不擅自卸載公司和企業開發的應用軟體;不擅自安裝和使用盜版的辦公軟體、應用軟體;不擅自安裝、下載和使用如:游戲、炒股、聊天、視頻、迅雷、電驢、pplive、 p2p等與工作無關的軟體。 6、不得故意製作、傳播病毒、木馬等破壞性程序;不得攻擊企業網路設備和他人的計算機;不得訪問不信任、不安全的站點;不隨意接收、打開來路不明的文件或郵件。 7、不得把u盤、光碟、移動硬碟、照相機、手機等移動存儲介質接入企業信息設備中。
8、不得利用企業網路訪問非法網站;不得製作、復制、發布、傳播含有以下內容的信息: a.反對憲法所確定的基本原則的; b.危害國家安全,泄露國家及企業秘密,顛覆國家政權,破壞國家統一的;c.損害國家榮譽和利益的; d.煽動民族仇恨、民族歧視,破壞民族團結的; e.破壞國家宗教政策,宣揚邪教和封建迷信的; f.散布謠言,擾亂社會秩序,破壞社會穩定的; g.散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的; h.侮辱或者誹謗他人,侵害他人合法權益的; i.含有法律、行政法規禁止的其他內容的。 9、計算機要設置登陸、屏保及應用系統密碼8位以上(建議英文字母與阿拉伯數字混合使用),定期更改密碼,密碼更改周期不超過90天。嚴格管理好密碼,不得泄露口令和密碼。 10、涉密計算機專機專用,專人管理,嚴格控制,不擅自安裝各類軟體;涉密計算機不得使用無線滑鼠、無線鍵盤及其它無線設備;涉密計算機不得與internet網聯接。不得泄露國家及企業重要信息。 11、雷電期間、下班、節假日及辦公場所無人值守時,要關閉信息化設備並切斷信息化設備電源。 12、工作期間,或遇雷電,發現信息化設備有異味、異聲及冒煙等現象,立即關閉信息化設備,同時切斷信息化設備電源,並立即向信息主管部門報告。
F. 怎樣加強網路與信息安全標准化建設
加強信息安全建設的幾點認識
董振國
信息安全建設是電子政務建設不可缺少的重要組成部分。電子政務信息系統承載著大量事關國家政治安全、經濟安全、國防安全和社會穩定的數據和信息;網路與信息安全不僅關繫到電子政務的健康發展,而且已經成為國家安全保障體系的重要組成部分。缺乏安全保障的電子政務信息系統,不可能實現真正意義上的電子政務。
一、強化安全保密意識,高度重視信息安全,是確保政務網路信息系統安全運行的前提條件
目前,電子政務信息系統大都是採用開放式的操作系統和網路協議,存在著先天的安全隱患。網路攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網路竊密和內部人員違規操作等都對電子政務的安全構成極大威脅。因此,信息安全保障工作是一項關系國民經濟和社會信息化全局的長期性任務。
我們必須認真貫徹「一手抓電子政務建設,一手抓網路和信息安全」的精神和中辦發[2003]27號文件關於信息安全保障工作的總體要求,充分認識加強信息安全體系建設的重要性和緊迫性,高度重視網路和信息安全。這是做好信息安全保障工作的前提條件。「高度重視」首先要領導重視;只有領導重視才能把信息安全工作列入議事日程,放到重要的位置,才能及時協調解決信息安全工作所面臨的諸多難題。其次,要通過加強網路保密知識的普及教育,特別是對縣處級以上幹部進行網路安全知識培訓,大力強化公務員隊伍的安全保密意識,使網路信息安全宣傳教育工作不留死角,為網路信息系統安全運行創造條件。
二、加強法制建設,建立完善的制度規范,是做好信息安全保障工作的重要基礎
確保政務網路信息安全,必須加強信息安全法制建設和標准化建設,嚴格按照規章制度和工作規范辦事。俗話說,沒有規矩不成方圓,信息安全工作尤其如此。如果我們能夠堅持建立法制和標准,完善制度和規范並很好地執行,就會把不安全因素和失誤降到最低限度,使政務信息安全工作不斷登上新的台階。
為此,一要嚴格按照現行的法律法規規范網路行為,維護網路秩序,同時逐步建立和完善信息安全法律制度。要加強信息安全標准化工作,抓緊制定急需的信息安全和技術標准,形成與國際標准相銜接的具有中國特色的信息安全標准體系。
二要建立健全各項規章制度和日常工作規范。要根據網路和信息安全面臨的新情況、新問題,緊密聯系本單位信息安全保密工作的實際,本著「堵漏、補缺、管用」的原則,抓緊修訂、完善和新建信息安全工作的各項規章制度及操作規程,切實增強制度的科學性、有用性和可操作性,使信息安全工作有據可依、有章可循。
三要重視安全標准和規章制度的貫徹落實。有了制度,不能把它束之高閣。不按制度辦事,是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是由於沒有按程序辦事所造成的。因此,要組織信息化工作人員反復學習有關制度和規范,使他們熟悉和掌握各項制度的基本內容,明白信息安全工作的規矩和方法,自覺用制度約束自己,規范工作。
四要建立完善對制度落實情況的監督檢查和激勵機制。工作程序、規章制度建立後,必須做到行必循之,把規章制度的每一條、每一款落到實處。執行制度主要靠自覺,但必須有嚴格的監督檢查。要通過監督檢查建立信息安全工作的激勵機制,把信息安全工作與年度考核評比及「爭先創優」工作緊密結合起來,激勵先進,鞭策後進,確保各項信息安全工作制度落到實處。各地、各部門要不定期地對本地和本系統的制度落實情況進行自查自糾,發現問題及早解決。
三、建立信息安全組織體系,落實安全管理責任制,是做好政務信息安全保障工作的關鍵
調查顯示,在實際的網路安全問題中,約有80%是由於管理問題造成的。因此,建立信息安全管理機構,加強組織協調,發揮其統籌規劃、科學管理、宏觀調控和決策的作用,強化信息安全管理,形成全方位的信息安全管理組織體系至關重要。
一方面,要逐步建立和完善信息安全組織體系。該體系應包括各地、各部門成立的保密工作領導小組;有本部門主管領導參加的政務網路與信息安全協調小組;聘請國內外安全專家組成的安全咨詢專家小組。根據建設和應用情況需要,還可建立相應的信息安全管理執行機構(如「政府安全中心」),負責整個政務信息系統中的安全保密工作,包括提供相關服務。
另一方面,要在健全信息安全組織體系的基礎上,切實落實安全管理責任制。明確各級、各部門行政一把手(或主管領導同志)作為信息安全保障工作的第一責任人;技術部門主管或項目負責人作為信息安全保障工作直接責任人,強化對網路管理人員和操作人員的管理。切實把好用人關,對關鍵崗位實行A、B角色管理;對網路管理人員和涉密操作人員要簽訂保密協議,明確保密職責,實行持證上崗制度。要培養一批具有信息安全管理經驗的復合人才,充實到關鍵崗位,為政務信息化把好安全關。
四、結合實際注重實效,正確處理信息安全「五大關系」,是確保信息安全投資效益的最佳選擇
在電子政務建設中,信息安全方面的投資往往涉及很大金額。各地、各部門應緊密結合自身實際,正確處理和把握與信息安全相關的「五大關系」,使有限的資金發揮出最大的社會效益。
1、要正確處理發展與安全的關系。發展與安全是信息安全關系中最基本、最重要的一對關系,由此可以派生出其他一些關系。發展與安全的關系是辯證統一、相輔相成的,其中發展是目的,安全是保證。二者關系處理得好,安全會有保障並能促進發展;處理不好,安全就會制約並牽制發展。正確處理發展與安全的關系就是要加快發展,確保安全。具體講,就是在加快發展過程中確保安全;在確保安全的條件下加快發展。這里要注意克服兩種傾向:一是過分強調發展而忽視安全;二是追求絕對安全而制約發展。為此,要堅持電子政務發展和網路信息安全「兩手抓」。要在電子政務建設和發展過程中不斷加強安全管理,完善安全措施,切實保障安全;同時要在適度安全、基本安全的前提下,培育業務需求,加大工作力度,促進電子政務事業加快發展。
2、處理好安全成本與效益的關系。成本與效益的關系是由信息安全基本關系派生出來的,二者的關系是對立統一、相反相成的。成本與效益的關系處理得好,安全成本就會下降同時效益提高;處理不好,安全成本就會上升同時效益下降。正確處理好安全成本與效益的關系,必須堅持綜合平衡。要根據中辦發[2003]27號文件中關於「信息化發展的不同階段和不同信息系統不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點」的要求,一方面千方百計降低安全投入成本,另一方面努力提高安全措施的實際效果,確保滿足重點項目、重點部位的安全需求,使有限的安全保障資金充分發揮出良好的使用效益。
3、處理好信息安全與共享(信息公開和保密)的關系。這也是從信息安全基本關系中派生出來的。開放和發展需要信息資源共享,而網路互聯為信息共享提供了條件。但信息公開和信息保護是一對不可迴避的矛盾。推進信息化建設既要強調資源共享,還要保證信息安全。我們應立足於電子政務建設的大系統,整體地、動態地看待信息安全與資源共享問題,用發展的眼光和辯證的觀點去處理問題。在這對矛盾中,目前資源共享是矛盾的主要方面。當前我國各地方、各行業的信息資源建設普遍存在「數字鴻溝」、「信息孤島」現象。針對這種情況,我們在處理兩者之間關系時,應當緊緊圍繞矛盾的主要方面,在確保國家安全和尊重個人隱私的前提下,把當前工作的重點放在最大限度地促進信息資源共享方面,消除數字鴻溝和信息孤島,提高信息資源共享程度,使政務信息資源發揮更大的社會效益。
4、處理好安全管理與技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之一。在信息安全保障體系中,安全管理和安全技術是一個不可分割的統一體,是一個事物的兩個方面。管理離不開技術,技術離不開管理;兩者緊密相連、相互滲透、互為補充。因此,在信息安全工作中,我們要堅持管理和技術並重,做到管理手段和技術手段相結合,也就是在加強管理的前提下,採用先進的安全技術,在提升技術的基礎上強化管理。信息安全問題的解決需要技術手段,但又不能單純依賴技術。信息化的過程其實是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。在這方面,我們要同時注意防止和克服「重管理、輕技術」和「單純技術觀點」兩種傾向,既要高度重視信息安全技術的重要作用,又要避免陷入唯技術論的怪圈。從理論上看,不存在絕對安全的技術;技術固然重要,但管理更不容忽視。雖然「三分技術,七分管理」的說法不一定準確,但從另一個角度說明了安全管理工作的重要性。因此,我們應以業務為主導,從全局的高度部署安全策略,採用先進技術,加強安全管理,把採取安全技術手段與加強日常管理和健全體制機制緊密結合起來,堅持一手抓安全技術手段開發,一手抓安全規章制度的建立與完善,提高政務網路信息系統的安全性和可靠性。
5、處理好信息安全工作中應急事件處理與建立長效機制的關系。要保證政務網路與信息系統的「長治久安」,必須著手建立一套長期有效的安全機制。但信息安全問題在信息化進程中廣泛存在且突發性強,所以又必須強調和重視應急事件的處理。一旦出現影響到國家利益的網路安全與信息安全事件,必須能夠立即採取有效措施,控制危機的發展,把損失減少到最低限度。
為此,首先要建立和完善信息安全監控體系,及時發現和處置突發事件,提高對網路攻擊、病毒入侵、網路失竊密的防範能力,防治有害信息傳播,增強對政務網路和信息系統的監控、管理和保護。其次,要重視信息安全應急處理工作,建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案,加強信息安全應急支援服務隊伍建設,提高信息安全應急響應能力。
G. 網路安全法責任是怎麼規定的
1、建立信息安全管理制度義務
網路運營者通常是通過公司章程、用戶協議、網路管理制度等對網路平台、用戶進行管理。網路運營者要落實安全管理責任,首先就需要建立健全內部安全管理制度。《網路安全法》第21條規定,網路運營者應當制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任。
2、用戶身份信息審核義務
建立用戶身份信息制度有助於構建誠信的網路空間。《網路安全法》第24條規定,網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
3、用戶發布信息管理義務
網路運營者對其平台上的信息負有管理義務。《網路安全法》第47條規定,網路運營者應當加強對其用戶發布的信息的管理。信息管理手段包括對網上公共信息進行巡查。工信部《通信簡訊息服務管理規定》、公安部《互聯網危險物品信息發布管理規定》、國信辦《互聯網信息搜索服務管理規定》等規定均要求網路服務提供者對公共信息進行實時巡查。
4、保障個人信息安全義務
網路運營者在運營中會收集大量的個人信息,保障個人信息安全是網路運營者的基本義務。《網路安全法》第40—44條對網路運營者的個人信息保護義務做了較為具體的規定。
5、違法信息處置義務
網路運營者發現其用戶發布的違法信息,應當立即進行處置。《網路安全法》第47條規定,網路運營者發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
H. 網路管理制度.
因為我不知道你公司的性質,所以只能給你提供個範本,希望可以作為參考!
一、總則:
1、目的:
一個公司的網路管理我們不但要做到「攘外」——防止外部黑客以及病毒的侵襲,還要做到「安內」——管理好公司內部人員的越權操作,所謂是「無規矩不成方圓」。為加強公司內部網路的管理工作,確保公司內部網路安全高效運行,特製定本制度。
2、適用范圍:
本公司內部計算機網路事宜均適用本制度。
3、網路管理員職責
公司網路管理設網路管理員和網路主管(由工程部經理兼任)。
網路主管的職責是:
考核網路管理員,做好網路建設和網路更新的組織工作和技術支持,制定和修訂網路管理規章制度並監督執行。
網路管理員的職責如下:
A、協助網路主管制定網路建設及網路發展規劃,確定網路安全及資源共享策略。
B、負責公用網路實體,如伺服器、交換機、集線器、防火牆、網關、配線架、網線、接插件等的維護和管理。
C、負責伺服器和系統軟體的安裝、維護、調整及更新。
D、負責網路賬號管理、資源分配、數據安全和系統安全。
E、監視網路運行,調整網路參數,調度網路資源,保持網路安全、穩定、暢通。
F、負責系統備份和網路數據備份;負責各部門電子數據資料的整理和歸檔。
G、保管網路拓撲圖、網路接線表、設備規格及配置單、網路管理記錄、網路運行記錄、網路檢修記錄等網路資料。
H、每年對本公司網路的效能和各電腦性能進行評價,提出網路結構、網路技術和網路管理的改進措施。
二、網路管理制度
1、安全管理制度
A、未經網管批准,任何人不得改變網路拓撲結構,網路設備布置,伺服器、路由器配置和網路參數。
B、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據。
C、公司區域網上任何人不得利用計算機技術侵佔用戶合法利益,不得製作、復制和傳播妨害公司穩定的有關信息。
D、各部門定期對本部門計算機系統和相關業務數據進行備份以防發生故障時進行恢復。
2、帳號管理制度
A、網路賬號採用分組管理。並詳細登記:用戶姓名、部門名稱、相應軟體賬號名及口令、存取許可權、開通時間、網路資源分配情況等。申請表要經部門領導簽字後交網路管理員辦理,注銷帳號時要通知管理員。
B、網路管理員為用戶設置明碼口令,用戶可以根據自己的保密情況進行修改口令,用戶應對工作站設置開機密碼和屏保密碼。
C、用戶帳號下的數據屬於用戶私有數據,當事人具有全部存取許可權,管理員具有管理理和備份存取許可權。
D、網路管理員根據公司制度的帳號管理規則對用戶帳號執行管理,並對用戶帳號及數據的安全和保密負責。
E、網路管理員必須嚴守職業道德和職業紀律,不得將任何用戶的密碼、帳號等保密信息、個人隱私等資料泄露出去。
3、公司電腦操作人員培訓制度
A、公司中所有操作電腦的人員,都要經過電腦的上崗培訓,只有培訓合格證的人員,才可以有操作電腦的許可權,並且自己的機器都設有屏保密碼,避免別人的不合理侵入;
B、公司購買新的軟體產品或自己開發的軟體產品,安裝使用前一定要生產廠家的專家技術人員來廠進行培訓,只有經過培訓合格者,方能取得此軟體的操作許可權。
4、病毒的防治管理制度
A、任何人不得在公司的區域網上製造傳播任何計算機病毒,不得故意引入病毒。
B、網路使用者發現病毒應立即向網路管理員報告以便獲得及時處理。
C、網路伺服器的病毒防治由網路管理員負責,各部門的電腦病毒的防治由各部門指定專人負責,網路管理員可以進行指導和協助。
D、各部門應定期查毒,(周期為一周或者10天)管理員應及時升級病毒庫,並提示各部門對殺毒軟體進行在線升級。
三、本制度自頒布之日起生效。