信息安全管理机构

信息安全管理机构

1.组织架构

中国文联文艺资源中心为适应单位发展,促进与加强信息化建设,确保信息化网络与设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组就是信息安全管理的最高管理层,单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度,配合信息安全检查工作。

2.信息安全管理组织结构图

3.信息安全机构管理职责

3.1.信息化领导小组

信息化领导小组的最高领导由单位主管领导委任或授权。成员有:

委员会主任:向云驹

委员会副主任:冉茂金、彭宽

信息化领导小组职责(信息安全领导小组/信息安全工作委员会):

（1）负责指导与管理信息化建设与信息安全工作。

（2）负责定期组织相关部门与相关人员对安全管理制度体系的合理性与适用性进行审定。

3.2.应急领导小组

信息化领导小组下设应急领导小组。其成员包括:

组长:向云驹

副组长:冉茂金、彭宽

下设领导小组办公室:

下设领导小组办公室:由中国文联文艺资源中心综合部与各业务部门负责人组成。

应急领导小组职责:

（1）拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划与应急预案并组织实施。

（2）督促检查各处室应急预案的执行情况,并给予指导。

（3）督促技术部信息安全突发事件监测、预警工作情况,并给予指导。

（4）汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。（5）监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置与事后恢复与重建工作。

（6）组织制订信息安全常识、应急知识的宣传培训计划与应急救援队伍的业务培训、演练计划,并督促落实。

4.信息安全岗位管理职责

4.1.安全管理员

安全管理员职责:负责定期进行安全检查,组织全面安全检查。

4.2.安全审计员

安全审计员职责:负责定期进行安全审计,组织全面安全审核。

技能要求:具备监督审查的能力。

4.3.系统管理员

系统管理员职责:

（1）负责系统程序的安装与日常维护。

（2）负责根据业务需求与系统安全分析确定系统的访问控制策略;

（3）负责定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。

（4）负责安装系统的最新补丁程序,以及系统的备份与恢复工作。

（5）负责对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置与修改等内容。

（6）负责定期对运行日志与审计数据进行分析,以便及时发现异常行为。（7）负责对主机进行恶意代码检测并保存检测记录。

（8）负责对系统安全事件进行处理。

（9）负责服务器管理。

技能要求:计算机或相关专业本科或以上学历,具备操作系统操作与管理能力。4.4.数据库管理员

数据库管理员职责:负责数据库管理。

技能要求:计算机或相关专业本科或以上学历,具备数据库操作与管理能力。4.5.应用系统管理员

应用系统管理员职责:负责应用系统管理。

技能要求:计算机或相关专业本科或以上学历,具备所管辖应用系统的操作与管理能力。

4.6.网络管理员

网络管理员职责:

（1）负责对网络进行管理,主要负责网络设备的运行日志、网络监控记录的日常维护与报警信息分析与处理工作。

（2）负责对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面进行管理。

（3）负责定期对网络设备进行漏洞扫描,对发现的网络设备安全漏洞进行及时的修补。

（4）负责对网络设备进行备份、恢复管理。

（5）负责依据安全策略管理便携式与移动式设备的网络接入。

（6）负责定期检查违反规定拨号上网或其她违反网络安全策略的行为。（7）负责防病毒网关的管理,对网络进行恶意代码检测并保存检测记录。（8）负责对网络安全事件的处理。

技能要求:计算机或相关专业本科或以上学历,具备常用网络设备的操作与管理能力。

4.7.资产管理员

资产管理员负责对资产进行日常管理。除设置专门的资产管理外,另外还设置专门管理信息资产的信息资产管理员,信息资产管理员也就是资料管理员。资产管理员职责:

1)信息系统资产管理的责任人,负责资产清单的维护。

2)负责根据资产的重要程度对资产进行登记标识,对资产的内部流动、出

租或外调、报废进行管理。

3)负责对资产进行定期清查。

4)各种软硬件设备的采购、发放与领用等管理。

技能要求:具备资产管理能力,工作认真。

4.8.信息资产管理员

信息资产管理员职责:

（1）负责对信息资产进行标识,包括对存储信息资产的各类移动介质、服务器等加贴信息资产标识。

（2）负责统一管理的信息资产(不包含存储于信息系统内的信息资产)进行管理。

技能要求:需要严格遵守保密协议,具备一定的文档处理能力,具备信息资产管理能力。

4.9.资料管理员

资料管理员职责:

（1）负责管理系统定级的相关材料,并控制这些材料的使用。

（2）负责系统建设文档的管理工作,并按照管理规定控制这些材料的使用。（3）负责对软件的原件(盘)(包括新旧版本)进行登记造册,并保管。

（4）负责对通过移动介质进行导入电子资料进行病毒查杀与记录。

（5）负责杀毒记录的保管与整理。

（6）负责介质的保管、发放与登记。

技能要求:需要严格遵守保密协议,不该瞧的不瞧;具备一定的文档处理能力与移动介质知识,具备资料管理能力。

4.10.机房管理员

机房管理员职责:

（1）负责定期检查与维护UPS、空调、消防、通风等设备设施。

（2）负责定期对机房供配电、空调、温湿度控制等设施进行检查与维护。（3）负责机房安全,对机房的出入、服务器的开机或关机等工作进行管理。

技能要求:具备机房常用设备的操作与管理能力。

（1）负责对信息系统相关的各种设备(包括备份与冗余设备)、线路等定期进行维护管理。

4.11.密码管理员

密码管理员分为密码管理人员与密码副本管理人员。密码管理人员为管理系统级密码的管理人员,就是各类系统的系统管理员自己;密码副本管理人员为保管系统级密码副本的管理人员,由资料管理员(或者各系统管理员相互备份)担任。

4.11.1.密码管理人员

密码管理人员职责:

（1）负责密码的日常维护、定期修改

（2）制作密码副本

（3）负责陪同、监管其她需要该密码登陆系统的维护人员

（4）负责定期检查密码副本的封存情况

（5）填写相关密码管理文档

4.11.2.密码副本管理人员

密码副本管理人员:负责。

（1）保存密码副本

（2）在特殊情况下开启密码副本

（3）密码副本开启后及时通知系统密码管理人员

（4）协助系统级密码管理人员检查密码副本封存情况

（5）协助系统级密码管理人员填写相关密码管理文档

5.授权与审批

5.1.需要审批的事项

?安全策略的制定与发布;

?制度的制定与发布;

?人员配备与培训;

?网络与系统资源的访问授权;

?外部人员访问;

?与外单位合作;

?系统变更;

?网络与系统资源的访问授权

?产品采购

5.2.审批审查

定期审查审批事项,及时更新需授权与审批的项目、审批部门与审批人等信息,审查要求记录。

6.沟通与合作

?加强各类信息安全管理人员之间、组织内部机构之间以及文联系统内部

的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问

题。

?技术部定期或不定期召集相关部门与人员召开信息安全工作会议,协调

信息安全工作的实施。

?技术部定期召开例会,对信息安全工作进行讨论与执行。

?加强与有关部门与机构的合作与沟通,以便在发生安全事件时能够得到

及时的支持。建立外联单位联系列表,包括外联单位名称、合作内容、

联系人与联系方式等信息。

?加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通,

获取信息安全的最新发展动态,当发生紧急事件的时候能够及时得到支

持与帮助。聘请信息安全专家作为常年的安全顾问,指导信息安全建设,

参与安全规划与安全评审等。

7.审核与检查

?信息安全检查就是技术部以信息安全法规、标准与相关管理制定为依据,

对信息系统进行的信息安全检查。

?信息安全检查分以下几种方式:自查、常规检查与年度信息安全大检查与

系统变更后的自查。

?信息安全自查

1)技术部对负责运行与维护管理的信息系统的安全状况、安全保护制度及

措施的落实情况定期(每年)进行监督检查,发现问题及时纠正;

2)授权对其她机构运行与维护管理的信息系统的安全状况、安全保护制度

及措施的落实情况定期(每年)进行监督检查,发现问题及时纠正。

3)接受中国文联办公厅网络信息处与国家有关部门对信息系统安全工作的

监督与检查。

?信息安全常规检查

1)安全管理员负责对系统进行日常的安全检查。包括系统日常运行、用户

帐号、系统漏洞、数据备份与系统审计等情况;

2)技术部组织相关人员定期分析、评审异常行为的审计记录,发现可疑行为

形成审计分析报告,并采取必要的应对措施。

?年度信息安全大检查

1)中国文联文艺资源中心根据国家信息安全主管部门每年发布的政府信息

系统安全检查指南,制定系统安全检查方案,组织实施做好信息系统安全检查工作;技术部负责实施;

2)应用系统、网站作为安全检查工作的重点,接受国家有关主管部门组织的

安全抽查。

3)年度信息安全大检查内容包括现有资产的具体情况,网络设备、主机设备

与安全设备的当前配置情况等。根据当前情况分析当前的安全状况,了解安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。检查情况按实际填写,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。

信息安全管理系统

信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进，信息安全问题日益凸显。信息技术水平不断在提升的同时，为何信息泄露，信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制，而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多，安全管理人员疲于应付，是否有合适的管理手段对其归类，有的放矢，加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合，融合国际主流及先进的风险管理方法、工具、设计理念，有效结合国内外对信息安全管理工作提出的相关安全标准体系要求，通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型，以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识，保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等，实现对信息安全事件引发因素的全面监测和智能分析，有的放矢的对信息安全工作进行管理。 2、“上医未病，自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效，为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建，实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析，提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用；德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入；正态分布、泊松分布等概率模型的预测分析，致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息，可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升，通过信息安全知识管理体系的建立，提升全员的信息安全管理意识，并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析，采用科学合理的数据分析模型，以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析，识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁，全面辨识风险源并制定相应的防控措施，并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估，量化风险指数，借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构，设置风险监控点，以风险管理视角对各重要的信息安全指标进行实时的数据监控，发挥信息系统“摄像头”的职能，针对信息安全关注的重大风险进行实时预警提示，确保风险的提前警示和预先处理。

信息安全管理规定

信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上，为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件）、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网）。 3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。 3.4 VPN：虚拟专用网络（Virtual Private Network，简称VPN），是指在公共网络上建立专用网络的技术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络交换设备的管理工作，及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计算机信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置，原则上不得设置成共用账号，以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时，所在部门的负责人应严格审核，控制授予满足其工作需要的最小权限；员工岗位或工作内容发生变化后应及时提出申请权限变更，应用系统管理员应及时变更异动员工的权限，冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即向信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。

企业设置安全生产管理机构的文件

企业设置安全生产管理机构的文件 （一）企业设置安全生产管理机构的文件 为了全面贯彻实施《中华人民共和国安全生产法》，进一步提高企业，工程建设的安全生产管理水平，适应安全生产新形势要求，加强基础工作，改进监控方式，依法落实各级安全责任制度，公司决定成立安全质检科，全面负责公司的各项安全生产事务。 （二）安全生产管理机构工作职责 1、在主管安全副总经理和总工程师领导下，贯彻执行安全生产和劳动保护的方针、政策、法令、法规与调理标准。落实本企业安委会的计划、方针和管理目标，并及时汇报工作情况。 2、协助有关部门做好安全生产宣传教育，培训工作和新工人、特殊工种作业人员的安全技术训练、考核、发证、年审工作。经常深入施工现场检查安全、掌握安全生产情况，督促指导，纠正不安全行为和因素，预防、消除不安全隐患。 3、对安全生产、文明施工及场容场貌、饮食卫生等进行检查，提高全体人员对文明施工的意识额文明施工水平。 4、对施工现场的安全隐患签发《整改通知单》对整改落实情况按着定人、定时间、定措施的原则，进行整改监督检查。按时复查，验收。 5、协助项目部对安全资料的管理，填写真实反映施工现场安全生产的实际情况。 6、做好年度安全工作计划、总结和《安全简报》等工作的编写

发放，对施工现场和工程按“标准”“规范”进行系统检查和评价。 7、对违章指挥、违章作业、违反安全生产和劳动保护法规的行为或安全生产发生矛盾时，经说服劝阻无效，应暂停生产，消除隐患危险，提出合理意见，并及时向本企业领导汇报。 8、负责编制安全（生产）管理保证体系，确保安全管理保证体系正常运转，实施。 9、主持伤亡事故的调查，做好伤亡事故的统计，分析工作并逐级上报。 （三）安全生产管理机构负责人的任命文件 任命书 经研究决定葫芦岛九州装饰工程有限公司法人带表总经理任命： 同志为公司安全质检**，主管公司及各项目部的工程质检业务。 总经理（签字）： 葫芦岛九州装饰工程有限公司 年月日

《电力行业网络与信息安全管理办法》 国能安全[2014]317号

电力行业网络与信息安全管理办法 第一章总则 第一条为加强电力行业网络与信息安全监督管理，规范电力行业网络与信息安全工作，根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定，制定本办法。 第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系，提高网络与信息安全防护能力，保障网络与信息安全，促进信息化工作健康发展。 第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针，遵循“统一领导、分级负责，统筹规划、突出重点”的原则。 第二章监督管理职责 第四条国家能源局是电力行业网络与信息安全主管部门，履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权，负责具体实施本辖区电力企业网络与信息安全监督管理。 第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责，主要内容为：

（一）组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署，并与电力生产安全监督管理工作相衔接； （二）组织制定电力行业网络与信息安全的发展战略和总体规划； （三）组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范，并监督实施； （四）组织制定电力行业网络与信息安全应急预案，督促、指导电力企业网络与信息安全应急工作，组织或参加信息安全事件的调查与处理； （五）组织建立电力行业网络与信息安全工作评价与考核机制，督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作； （六）组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作； （七）组织开展电力行业网络与信息安全的技术研发工作； （八）电力行业网络与信息安全监督管理的其它事项。 第三章电力企业职责 第六条电力企业是本单位网络与信息安全的责任主

信息安全管理系统的规范

信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及 技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复，确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

信息安全管理机构

信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展，促进和加强信息化建设，确保信息化网络和设备安全、稳定运行，组织成立了信息化领导小组，信息化领导小组是信息安全管理的最高管理层，单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度，配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有：

委员会主任：向云驹 委员会副主任：冉茂金、彭宽 信息化领导小组职责（信息安全领导小组/信息安全工作委员会）： （1）负责指导和管理信息化建设和信息安全工作。 （2）负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括： 组长：向云驹 副组长：冉茂金、彭宽 下设领导小组办公室： 下设领导小组办公室：由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责： （1）拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 （2）督促检查各处室应急预案的执行情况，并给予指导。 （3）督促技术部信息安全突发事件监测、预警工作情况，并给予指导。 （4）汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议。（5）监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 （6）组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，并督促落实。

安全生产管理机构设置及专职安全生产管理人员配备

关于印发《建筑施工企业安全生产管理机构设置及专职安全生产管理人员配备办法》和《危险性较大工程安全专项施工方案编制及专家论证审查办法》的通知 各省、自治区建设厅、直辖市建委，江苏省、山东省建管局，新疆生产建设兵团建设局： 现将《建筑施工企业安全生产管理机构设置及专职安全生产管理人员配备办法》和《危险性较大工程安全专项施工方案编制及专家论证审查办法》印发给你们，请结合实际，贯彻执行。 中华人民共和国建设部 二○○四年十二月一日 建筑施工企业安全生产管理机构设置及专职安全生产管理人员配备办法 第一条为规范建筑施工企业和民建设工程项目安全生产管理机构的设置及专职安全生产管理人员的配置工作，根据《建设工程安全生产管理条例》，制定本办法。 第二条本办法适用于土木工程、建筑工程、线路管道和设备安装工程及装修工程的新建、改建、扩建和拆除等活动。 第三条安全生产管理机构是指建筑施工企业及其在建设工程项目中设置的负责安全生产管理工作的独立职能部门。 建筑施工企业所属的分公司、区域公司等较大的分支机构应当各自独立设置安全生产管理机构，负责本企业（分支机构）的安全生产管理工作。建筑施工企业及其所属分公司、区域公司等较大的分支机构必须在建设工程项目中设立安全生产管理机构。 安全生产管理机构的职责主要包括：落实国家有关安全生产法律法规和标准、编制并适时更新安全生产管理制度、组织开展全员安全教育培训及安全检查等活动。

第四条专职安全生产管理人员是指经建设主管部门或者其他有关部门安全生产考核合格，并取得安全生产考核合格证书在企业从事安全生产管理工作的专职人员，包括企业安全生产管理机构的负责人及其工作人员和施工现场专职安全生产管理人员。 企业安全生产管理机构负责人依据企业安全生产实际，适时修订企业安全生产规章制度，调配各级安全生产管理人员，监督、指导并评价企业各部门或分支机构的安全生产管理工作，配合有关部门进行事故的调查处理等。 企业安全生产管理机构工作人员负责安全生产相关数据统计、安全防护和劳动保护用品配备及检查、施工现场安全督查等。 施工现场专职安全生产管理人员负责施工现场安全生产巡视督查，并做好记录。发现现场存在安全隐患时,应及时向企业安全生产管理机构和工程项目经理报告；对违章指挥、违章操作的，应立即制止。 第五条建筑施工总承包企业安全生产管理机构内的专职安全生产管理人员应当按企业资质类别和等级足额配备，根据企业生产能力或施工规模，专职安全生产管理人员人数至少为： （一）集团公司——1人/百万平方米·年（生产能力）或每十亿施工总产值·年，且不少于4人。 （二）工程公司（分公司、区域公司）——1人/十万平方米·年（生产能力）或每一亿施工总产值·年，且不少于3人。 （三）专业公司——1人/十万平方米·年（生产能力）或每一亿施工总产值·年，且不少于3人。 （四）劳务公司——1人/五十名施工人员，且不少于2人。 第六条建设工程项目应当成立由项目经理负责的安全生产管理小组，小组成员应包括企业派驻到项目的专职安全生产管理人员，专职安全生产管理人员的配置为： （一）建筑工程、装修工程按照建筑面积： 1、1万平方米及以下的工程至少1人； 2、1万～5万平方米的工程至少2人；

网络与信息安全管理措施

网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展，还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施，防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址，对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。 5、服务器平时处于锁定状态，并保管好登录密码;后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。 6、学校机房按照机房标准建设，内有必备的防静电地板、，定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度： （1）、网络信息必须标明来源;(即有关转载信息都必须

标明转载的地址) （2）、相关责任人定期或不定期检查网络系统安全，实施有效监控，做好安全监督工作； （3）、不得利用国际互联网制作、复制、查阅和传播一系列以下信息，如有违反规定有关部门将按规定对其进行处理； A、反对宪法所确定的基本原则的； B、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； C、损害国家荣誉和利益的； D、煽动民族仇恨、民族歧视、破坏民族团结的； E、破坏国家宗教政策，宣扬邪教和封建迷信的； F、散布谣言，扰乱社会秩序，破坏社会稳定的； G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； H、侮辱或者诽谤他人，侵害他人合法权益的； 含有法律、行政法规禁止的其他内容的。 2、组织结构： 设置专门的网络安全管理员，并由其上级进行监督、对学校网络系统管理实行责任制，对网络系统的管理人员，以及领导明确各级人员的责任，管理网络系统的正常运行，严格抓管理工作，实行谁管理谁负责。

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

工业控制系统信息安全管理制度(修订版)

工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作，无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。 2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》，妥善保管。 2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。 5.2 对系统软件（包括操作系统和应用软件）的任何修改，包括版本升级和安装补丁，都应及时进行备份。 5.3备份结束后，在备份件上正确标明备份内容、对象，并做好记录，填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行，具体要求同上。 有限公司 2017年1月 1日

信息安全管理组织机构及岗位职责

信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统 工程建设中的安全规划，监督安全措施的执行 1.4.5 组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施

1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理，实施系统安全运行细则 2.2.2 严格用户权限管理，维护系统安全正常运行 2.2.3 认真记录系统安全事项，及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理，实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行;

公司安全管理机构设置及安全管理人员配备管理制度(标准版)

( 安全管理 ) 单位：_________________________ 姓名：_________________________ 日期：_________________________ 精品文档 / Word文档 / 文字可改 公司安全管理机构设置及安全管理人员配备管理制度(标准 Safety management is an important part of production management. Safety and production are in the implementation process

公司安全管理机构设置及安全管理人员配 备管理制度(标准版) 1目的 规范公司安全生产管理机构设置及安全生产管理人员配备，以便推动公司安全生产工作的正常开展。 2适用范围 本制度适用于公司内部安全管理机构设置及人员配备方面的管理。 3安全管理机构设置和人员配备 3.1公司成立安全生产委员会，作为公司安全生产方面的最高领导机构，全面统筹、协调公司的安全管理。安全生产委员会以公司总经理为主任，常务副总经理、副总经理、总经理助理、财务总监等高管任副主任，各部门负责人为成员。

3.2安委会下设安全环保办公室，负责公司的日常安全工作。安全环保办公室由常务副总经理兼主任，同时配备副主任及其他安全管理人员。公司各部门负责人是本部门第一安全责任人，负责本部门的全面安全管理。 3.3安全生产委员会成员和安全管理人员应具备相应的安全管理素质。 3.3.1企业主要负责人应经过安全机关的专门培训合格，具备5年以上管理经验，较高的业务管理素质，熟悉安全管理知识和安全管理要求。 3.3.2安全管理人员应经过安全机关的专门培训合格，具备3年以上管理经验，熟悉安全制度，掌握现场安全管理等以及其他安全技能。 3.4公司安委会和安全环保办公室的机构设置和人员配备应以文件形式下发、确认，出现变动要及时更新。 4工作要求 4.1安委会工作

信息安全管理制度汇总

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全管理机构及岗位设置

信息安全管理机构及岗位设置

1 总则 1.1 目的 为加强医院信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组，领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括： 1）根据国家和行业有关信息安全的政策、法律和法规，批准医本院信息安全总体决策规划、管理规范和技术标准； 2）确定本院信息安全各有关部门工作职责，指导、监督信息安全工作； 3）审定本院网络与信息系统的安全应急策略及应急预案； 4）决定相应应急预案的启动，负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。

3.2信息安全工作组的主要职责包括： 1）贯彻执行医院信息安全领导小组的决议，协调和规范医院信息安全工作； 2）根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实； 3）组织对信息安全工作制度和技术操作策略的制定，拟订信息安全总体规划，制定近期和远期的安全建设工作计划并监督执行； 4）负责协调、督促各职能部门的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行； 5）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策； 6）采取相应应急措施，组织协调相关人员排除系统故障，恢复系统； 7）负责医院的紧急信息安全事件报告，组织事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； 8）及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9）组织信息安全知识的培训和宣传工作。 10）每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专（兼）职信息安全技术人员应当政治

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

设置安全生产管理机构

设置安全生产管理机构 关于成立安全生产管理机构安全部的通知 各部门、项目部: 为了全面贯彻实施《中华人民共和国安全生产法》，进一步提高企业，工程建设的安全生产管理水平，适应安全生产新形势要求，推动企业进一步落实《安全生产法》基本要求，切实落实我司安全生产主题责任活动领导，经研究决定新一届公司企业安全管理机构，设置为安全部。该部门负责各项安全生产事务。 附:安全生产管理机构安全部工作职责 主题词:中集机构设立安全部 中集建设集团有限公司 2010年5月8日印发 安全生产管理机构安全部工作职责一、安全管理机构组织 安全生产管理是企业管理的重要组成部分，是保证生产顺利进行、防止伤亡事故发生、确保安全生产而采取的各种对策、方针和行动等总称，安全生产管理机构的职能在于计划、决策、组织、指挥、协调、控制、监督。 (一) 安全管理保证体系 1、施工现场建立以项目经理为首的生产指挥保证体系，实行“管生产必须同时管理安全”原则; 2、施工现场配合建立以党支部为首的思想政治工作保证体系; 3、施工现场配合建立以工会主席为首的群众监督保证体系; 4、施工现场建立以项目负责人为首的技术安全保证体系; 5、施工现场建立以安全员为首的专业安全检查保证体系; (二) 安全管理领导小组

施工现场建立以项目经理为组长的安全管理领导小组，明确项目经理是施工现场安全管理的第一责任者，安全管理领导小组成员可由项目其他管理人员及作业对现场负责人组成。 二、专职安全员配置 (一)施工现场必须按规定设置专职安全员，专职安全员必须经安全监督部门培训考核，持证上岗，并由建设部人事教育司发放继续教育证书。 (二)专职安全员配置的一般规定: 1、施工面积10000M2以下时，必须至少有一名专职安全员; 2、施工面积10000M2以上时，必须设2-3名安全员; 3、施工面积50000M2以上时，必须设不同专业专职安全员，组成安全管理组 进行安全监督检查; (三)专职安全员上岗证 1、专职安全员应按建设部的规定，每年集中培训40学时，经考核合格后才能上岗。 2、专职安全员上岗证复印件必须是符合规定的有效证件。 三、安全生产管理机构和人员的工作职责 1、贯彻执行安全生产工作条例及有关安全技术劳动法规。 2、做好安全生产的宣传教育和管理工作，总结交流推广先进经验; 3、经常深入基层，指导下级安全技术人员的工作; 4、掌握安全生产情况，调查研究生产中的不安全问题，提出改进意见和措施; 5、组织安全活动和定期安全检查; 6、参加审查施工组织设计(施工方案)和编制安全技术措施计划，并对贯彻执 行情况进行督促检查;

国家安全监管总局办公厅关于印发总局网络运行和信息安全保密管理

国家安全监管总局办公厅关于印发总局网络运行和信息安全 保密管理办法的通知 【法规类别】国家安全工作网络安全管理 【发文字号】安监总厅[2010]143号 【发布部门】国家安全生产监督管理总局(原国家安全生产监督管理局) 【发布日期】2010.08.04 【实施日期】2010.08.04 【时效性】现行有效 【效力级别】部门规范性文件 国家安全监管总局办公厅关于印发总局网络运行和信息安全保密管理办法的通知 （安监总厅〔2010〕143号） 各省、自治区、直辖市及新疆生产建设兵团安全生产监督管理局，各省级煤矿安全监察机构，总局和煤矿安监局机关各司局、应急指挥中心，各直属事业单位、社团组织： 为进一步规范网络运行，确保信息安全，现将《国家安全监管总局网络运行和信息安全保密管理办法》印发给你们，请遵照执行。 二○一○年八月四日国家安全监管总局网络运行和信息安全保密管理办法

为加强安全生产系统网络信息安全保密管理，保障网络正常运行和信息安全，提高办公效率，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和国家有关规定，制定本办法。 一、总则 1.本办法所称网络包括各单位使用的内网、国家安全生产监督管理总局（以下简称总局）政务外网和各单位应用的互联网。其中，内网是指各单位内部与互联网物理隔离的局域网；总局政务外网是指全国安全生产系统信息化综合应用的专用广域网络，与互联网逻辑隔离。 2.总局政务外网建设和管理遵循总局统筹规划、统一建设和各省级单位分级管理的原则。 二、组织管理与职责 3.总局保密委员会是全国安全生产系统网络信息安全保密管理的领导机构，负责指导、审查安全生产系统信息安全保密管理工作。 4.总局办公厅是全国安全生产系统信息安全保密工作的日常管理部门，负责信息安全保密管理工作的指导、协调、监督、检查以及对失泄密事件的查处。 5.总局规划科技司负责总局政务外网和总局机关网络信息安全保障项目的规划、立项和建设管理工作。 6.总局通信信息中心是全国安全生产系统信息网络运行与维护的管理部门和信息安全保障能力建设的技术支撑部门，负责按照国家有关涉密、非涉密信息系统技术标准规范，提出总局政务外网和总局机关网络建设的技术需求，负责建设项目的技术管理和建成系统的运维管理。

公司信息安全管理制度

公司信息安全管理制度 一、信息安全指导方针 保障信息安全，创造用户价值，切实推行安全管理，积极预防风险，完善控制措施，信息安全，人人有责，不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 （一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置； （二）系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得； 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码； （三）一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串； 2、密码应定期修改，间隔时间不得超过一个月，如发现或怀