中职学校教育信息化建设保障措施研究
[摘 要] 对教育信息化建设保障措施的内涵进行了研究,通过对现阶段中职学校教育信息化建设现状进行调查分析,根据中职学校的实际情况和老师实践经验,提出中职学校教育信息化建设的基本保障措施。
[关 键 词] 中职学校;教育信息化建设;保障措施
[
随着社会经济的快速发展,信息化建设越来越完善,进入了社会的各个领域,教育界也引进了信息化来辅助教学。教育信息化已经成为了时代的要求,在教育中的地位越来越重要,如何使教育信息化建设持续保持活力,是现在中职教师需要研讨的首要课题。
一、教育信息化建设保障措施的内涵
“教育信息化建设保障措施”就是指为了保证教育信息化建设工作能够按照预期的目标协调发展、稳步推进而采取的一系列保障措施,如:建立完善的制度、完善管理机制、组建相关组织等。
二、中职学校教育信息化建设现状
(一)基本情况
现阶段很多中职院校都把教育信息化建设列入了学校规划列表,并且都已经制定好了发展计划,各学校都配备了相应的机房、多媒体设备,制定了网络、机房、信息化设备管理制度,建立了各部门以及老师信息化建设评价体系,也设立了专门的信息化管理机构。各个学校的信息化建设资金大多来自于教育部门的拨款,只有少数学校具有自己的筹备资金。
学校特别重视老师运用信息化教学的能力培养,每年都会组织老师进行信息化培训,老师教学过程中一半以上的时间都能使用信息化教学,老师每个学期都要进行信息化能力考核,初级达标的达到百分之七十以上,中级达标的也在百分之二十以上。
(二)主要问题
1.教育信息化建设的资金来源比较单一,大多来自于教育机构的拨款,在分配方案上也不尽合理,资金经常不能及时补足,不利于信息化建设的持续发展。2.信息化建设中老师的师资力量不够,没有专门的专职老师教学队伍,老师的信息化水平不高。3.虽然各个学校都建立了管理制度,但是制度空壳化,没有实际的用途,学校领导对信息化建设不够重视,各部门之间的联系也不够密切。4.很多学校对于信息化建设没有形成健全的评估体系,评估标准也不够科学。
三、中职学校教育信息化建设基本保障措施
在对现阶段我国中职学校信息化建设的情况进行调查分析以后,笔者结合教学实际,提出了以下几个方面的措施,来保障教育信息化建设顺利完成。
(一)提供统一平台和充足的资金,注重网络应用实效
在中职学校进行教育信息化建设,首先要建立一个具有整体性、权威性和专业性的体系来提供保障,这个体系要对资金、人才、设备等各方面进行全方位的统筹,要具有专业水准,能够推动信息化建设工作的进行。并且,学校要组建一支专业化水平比较强的专业队伍,能够对网络中心、数据中心等各部门的工作进行统筹安排,以达到最优效果。
并且在资金方面,学校一定要拓展资金来源,不能仅仅依靠教育部门的教育资金来维持信息化建设所需要的资金,学校要积极争取企业、基金会、社会团体等各级财政资金,以保证学校教育信息化建设能够有足够的资金来支撑。
(二)依托公司开发建造,提供技术保障
校园信息化建设,主要是依托所合作的公司提供技术支持来建造的,所以,学校在进行信息化建设的时候,一定要做好各方面的平衡工作,紧密依靠公司力量,进行信息建设技术的完善,同时也要保证符合校园本质方面的需要,在依托公司的同时又健康独立的发展。
(三)建立完善的制度规范,为信息化建设提供制度保障
只有建立一系列的标准规范、管理运营制度、评价激励制度等,才能够保障中职学校教育信息化建设顺利进行。所以学校要吸取国内外的经验教训,根据本学校的实际情况,构建具有自己特色的中职教育信息化建设标准规范,从而规范学校的信息化建设工作,有了制度,才能更好的工作。制定一系列管理运营制度,为了使信息化建设工作能够顺利进行,学校一定要建立健全总的发展策略,再根据总策略,制定详细的分段策略和建设方案,使信息化建设过程能够有条不紊的进行。构建有效的评价激励制度,要建立一个科学详细的评价体系,来对各部门和老师的信息化建设工作进行考评,并且要将教学中使用信息化的情况以及老师运用信息化的能力作为老师考核、评优、晋升职务职称的一个重要依据。
综上所述,教育信息化建设是时代的要求,是符合现阶段的国情以及学生特点的,对于提高学生学习积极性、帮助学生解决学习难题、培养学生自主学习的能力等都有着重要的意义。所以在教育信息化建设的过程中,学校、老师一定要不断创新机制,在建设模式和管理方式上寻求变革,为教育信息化的建设提供保障,建设出符合实际的信息化建设策略。
参考文献:
[1]白海环.浅谈宁夏南部山区中小学教育信息化建设[J].科技视界,2015(8).
[2]束漫.广州教育信息化建设状况概述[J].情报杂志,2012(2).
[3]白红武.浅谈地方高校教育信息化建设的策略[A].向数字化转型的图书馆工作[C],2014.
[4]王洪梁.教育信息化过程中高校教师角色的重新定位[J].中国科技信息,2015(12).
作者:洪成
随着高新技术的发展和信息时代的到来,档案信息安全保障工作遇到一些前所未有的挑战和威胁,建立和健全档案信息安全保障措施刻不容缓。
一、档案信息安全存在的问题
1.环境方面存在的问题
(1)软环境方面存在的问题。①缺乏档案安全保障意识。档案工作是关系国家和社会发展的一件大事,然而,长期以来一些民众对于这项工作却存在偏见,很难认识到这项工作的特殊性与重要性,不能得到社会公众应有的支持和肯定。②档案事业发展缓慢。虽然各级政府对于档案工作给予了一定的关心和支持,但力度不够,收效不佳,档案工作还没有得到足够的重视。③档案安全保障资金不足。⑵硬环境方面存在的问题。①自然灾害因素的威胁。在档案库房选址时一定要充分考虑这些因素,规避可能带来的风险。②档案存储环境和载体的问题。载体的性质也会决定着档案信息的寿命。传统的档案载体以纸质方式为主,现在除了纸质档案以外,还有U盘、硬盘等电子档案。
2.法规方面存在的问题
(1)档案安全方面的法律法规还不完善。有关档案方面的法律法规还比较少,而且不够成熟,法律法规的滞后必然会给档案日常管理带来不必要的麻烦。因此,应抓紧制定和落实档案方面的法律法规,并不断进行细化。⑵档案针对性安全法规建设步伐缓慢。尽管我国已经出台了一些有关档案安全方面的法规,但这些安全法规并不能完全适应档案工作的实际需要,也没有很好的贯彻执行,目前,我国还没有完全针对电子档案方面的法律法规。因此,建立和完善档案方面针对性的安全法规迫在眉睫。
3.技术方面存在的问题
⑴实体档案安全技术方面的问题。实体档案一般具有原始唯一性,在保存过程中需要格外小心,一旦遭到破坏便很难修复,给档案信息造成一定的损失。怎样运用高新技术对档案进行修复,使档案得以更好的保存是广大档案工作者亟待研究和解决的问题。⑵电子档案安全技术方面的问题。电子档案在运用过程中常常会出现的系统安全以及网络安全等问题,需要引起高度重视,并采取有效措施加以解决,以保障电子档案的信息安全。
4.管理方面存在的问题
随着档案整理、保存和利用等方面的变化,档案管理的理念、思路与方法也应随之改变。现代档案管理不仅要求对实体档案进行管理,还要对电子档案进行规范。当前我国的档案管理方式还相对单一,管理方法还相对滞后,管理制度还很不健全,甚至还在沿用传统的老办法进行现代档案管理,这样势必会影响档案管理的效率和效果,也会影响档案信息的安全和稳定。
二、档案信息安全保障的有效措施
1.软件和硬件方面的建设
⑴档案信息安全的思想基础。要对档案信息安全的方式、内容和主体有清醒的认识和理解,要逐步培养和建立系统化和科学化的档案保护理念,并贯穿于日常档案管理工作的始终。安全意识的养成不是一朝一夕的,需要档案工作者、信息利用者和社会三者的互动和作用,档案工作者是主导,信息利用者是动力,社会是前提。各级档案参与者要从思想上重视起来,从行动上表现出来,自觉学习和践行档案安全教育,培养信息安全的意识,加强信息安全的道德建设。⑵档案信息安全的资金支持。档案部门是国家非营利性事业机构,档案环境建设、设备更换和软件维护等方面所需费用都完全依靠国家和政府的划拨。这些费用往往很难满足档案工作的实际需要,还存在一定的资金缺口,这就需要各级档案部门开动脑筋,发挥所长,多种途径筹措资金,以推动档案工作向前发展。⑶档案保存环境方面的建设。档案可以分为实体档案和电子档案,不同类型的档案应该采用相应的措施。①纸质类档案。纸的质量好坏直接影响着档案信息安全的周期,纸张的耐久性如何跟化学成分的特性、原料的品质以及纸张的生产工艺等因素有关。档案的文字安全是纸质档案信息安全的关键,字迹耐久性一般受字迹的色素和组合比例的影响。②磁带、胶片类档案。磁带和光盘等数字影像档案应远离磁场,避免因消磁而造成损失。胶片装具材料一般可分为金属材料、纸质和塑料三种,金属的胶片装具较为安全,使用寿命也较长。③光盘类档案。光盘档案的保存保管也需要特别注意。光盘的寿命受内外两方面环境的制约,内部因素主要指的光盘的成分和类型,外部因素主要指的是光盘的功率和读写方式等。
2.政策法规方面的建设
⑴法律法规体系的建设。目前我国关于档案信息安全保障的法律法规比较少,还属于起步阶段,加强这方面法律法规的建设刻不容缓,国家应该给予关注。⑵针对性法律法规的建设。关于针对性法律法规的建设应该从以下几个方面入手:①修改和完善档案法。《档案法》对于档案信息安全的执法检查项目要做明确规定,并定期对有关项目进行检查督导,同时要大力宣传和引导,树立档案工作人员的法律责任意识和安全意识。②建立和完善电子档案安全法规。我国在电子档案方面的法律法规很少,而且很不健全,因而对电子档案缺乏有效管理,出现一些安全问题。一方面要加强计算机网络的安全和指导,对网络环境下电子档案信息安全进行特殊保护。另一方面加强保护电子档案信息内容的立法,保证信息资源的完整性、真实性和有效性。
3.安全技术保障方面的建设
⑴实体档案信息安全保障方面的技术。①实体档案保存技术。主要涉及建筑的保护、驱虫的保护、装帧的保护和分类的保护等。在实际工作中,要依据档案类型的差别,采取恰当的保存方法,提高档案保存的技术。要对纸质档案、磁盘、光盘和胶片等实体档案进行分类保管,这样有利于保管环境的建设和维护,有利于档案的信息安全,也有利于档案的开放共享。②实体档案修复技术。档案在保存保管中由于各种内外因素的影响难免会出现字迹不清、磨损变形、纸张老化、磁盘损坏以及胶片褪色等现象。纸质档案的修复技术主要有去酸的技术、去污的技术和档案载体转换的技术等。电子档案的修复技术主要是照片档案修复技术,而光盘、磁盘以及磁带等的修复相对困难,一旦损坏便很难修复,最好做适当备份。实体档案的保管,有条件的档案机构建议实行三套管理,一套进行封存保管,不对外使用;一套进行异地备份,完全封存;一套可以开放共享,发挥其信息价值,确保档案的万无一失。⑵电子档案信息安全保障技术。与电子档案信息安全保障技术有关的内容主要包括:数据安全技术、系统安全技术、网络安全技术、用户安全技术、防写技术等。随着信息技术的快速发展,以云计算为特征的新型网络开始出现,具有随需随取和按需收费的特点,将会成为信息产业的第三次革命。
4.档案信息安全管理方面的建设
⑴档案信息安全组织体系。国家档案局应该在中央设立档案信息安全管理部门,对全国有关这方面的工作进行统一监督和管理,各地方档案部门应该成立相应的科室,对该方面的法规政策进行大力宣传和落实。⑵档案信息安全管理制度。①建立健全档案信息安全管理制度体系。国家档案局应该组织相关专家,制定我国现阶段这方面工作的总体方针和发展目标,对全国的档案信息安全保障工作进行宏观指导和管理。同时,各地方档案部门应该在国家法规和政策的指导下制定符合本地实际的地方制度和办法。②加强档案信息安全保密制度建设。各级档案部门要加强档案信息安全保密的教育,培养员工的保密意识,提高自身的职业道德,贯彻落实档案工作的各项规定。③建立电子档案信息安全管理体系。在体系建设中,逐步建立严格的档案保管制度,完善和发展电子档案的形成制度,规范数字档案的开放共享制度。⑶档案信息安全执行力度。档案信息安全保障,制度的建立是基础,制度的落实才是核心。制定的制度如果不严格贯彻执行就如同虚设,就发挥不了应有的作用。因此,可以成立专门的档案安全工作领导小组,并实行领导负责制,发挥领导的模范带头作用,定期对档案信息安全进行大检查,一旦发现问题,立刻进行解决,避免拖泥带水。
目前,传统档案与电子档案同时存在,必须认真对两种形式进行分析研究,充分考虑各种情况,在完善传统档案安全保障理论的基础上,加快对电子档案信息安全保障的研究,制定和落实档案信息安全保障的各项措施,构建档案信息安全保障体系,促进我国档案事业的稳定、发展和繁荣。
(作者单位:西安工程大学档案馆)
作者:王程程
摘 要:随着我国信息技术的迅速发展,数字化建设应用于社会的各行各业中,给人们的生活与工作都带来很大的变化与便利。数字化建设在档案管理中的应用也越来越广泛。随着社会的不断发展,档案安全问题日益突出,为广大工作者与人民的工作、学习带来很多困难。因此如何保障数字化档案的信息安全成为档案界广泛关心的问题,很多人士也为此做出努力。本文通过论述影响数字化档案信息安全的因素突出保障信息安全的措施,希望能确保国家档案信息的安全,以防不法分子破坏、窃取。
关键词:数字化;档案;信息安全;措施
随着信息技术在档案管理中的广泛应用,为社会提供了便利的信息查询与传输,但同时也为信息安全带来巨大的挑战。数字化背景下,档案信息管理面临很多新的问题,同时管理难度也不断增强。为数字化档案信息管理不断适应社会发展需要的同时保障信息的安全性,解决建设过程中存在的安全隐患是十分重要的,同时也是非常紧迫的。
一、数字化档案中存在的信息安全问题
目前数字化档案信息中存在的安全问题可以概况为以下几个方面:首先是相关的管理制度不完善,根据我国对档案馆管理建设的相关规定,在数字化管理的过程中需要制定一系列的相关规定,保障进程的顺利,同时确保信息的安全。但是从目前数字化档案管理的现状来看,相关的制度并不完善,对很多行为没有起到严格的规范作用,导致工作流程及内容不够规范,这样在档案信息的存取、查找、传输等过程中很可能因为管理制度不够完善增加安全隐患;其次是数字化信息管理技术落后,将数字化技术应用于档案管理过程中由于涉及档案管理的多个方面,同时对技术、设备的要求都较高,一旦设备机器出现故障就会影响档案信息的安全,例如设备系统的软硬件对档案信息的存储查找都是十分重要的,一旦期发生故障,设备既会出现问题,这样很可能造成信息丢失等问题,而很多应用于档案数字化进程中的软件本身还存在一些缺陷,容易遭到病毒的入侵以及黑客的攻击,这些都严重影响信息的安全;最后是工作人员方面的问题,数字化档案信息化管理虽然相对于传统的档案管理更加便捷、方便,但是仍然需要工作人员操作,但是很多工作人员由于对电子技术了解甚少,没有接受过专业的学习训练,专业素质较低,很可能在工作过程中没有严格按照规范操作,造成信息的泄露,或者由于缺乏责任心无意间将系统密码泄露,信息即会被窃取。以上都是数字化档案信息中存在的安全性问题。
二、保障数字化档案信息安全的措施
针对以上提到的数字化档案信息安全中存在的问题提出以下措施:
1.建立完善的制度
任何一项工作展开时都需要由完善的管理制度,为工作流程起到规范作用,确保工作的顺利展开。对于数字化档案信息工作而言,科学完善的管理制度与体系更是十分重要的,是确保档案信息安全性的前提,让工作人员在工作过程中有据可循、有法可依,对工作人员起到一定的监管作用。完善的数字化档案管理制度应包括以下几点内容:首先是要建立完善的业务管理制度,将工作内容分级,不同级别的工作人员由相应的责任,明确各个工作人员的职能,避免工作中出现差错,同时不同级别由不同级别的管理制度,确保在工作过程中每一个部门、级别都能层层把关,将工作落实的过程中负起自己的责任,除此之外严格对档案的各项业务做出相应的制度,包括档案的运行、查找、传输、保护等多个方面,确保各项工作安全展开,提升档案数字化工作的质量。此外还需要建立完善的管理制度,在建设相关管理制度时需要参照国家颁布的相关法律制度严格监管,同时还需要结合档案馆的实际情况,对档案运营的各个方面进行仔细分析,确保每一个工作环节都有相应的管理制度,同时又明确的规定和制度可以依照,保证每一个环节的工作都有序开展,促进档案数字化建设的发展。
2.提升技术水平
技术是档案信息数字化的基础,因此在确保档案信息安全方面应该提升工作中的技术水平。首先要提高信息加密技术,很多档案信息都是人员、国家的机密,一旦泄露将会给国家和民族带来很大的伤害,因此提高加密技术确保数据的安全性,具体而言就是在档案工作中,加密技术可以采用不同级别的加密方式,同时对密码应该定期更换,在设置密码时要尽量加深密码的难度,结合数字、字母、字符等形式,避免用简单的身份证号码、电话号码等简单的数字来当密码,还可以将信息加密与信息解密中分别采取不同的密码,双重保护;其次是数据备份技术,档案信息由于各方面的原因容易遭到破坏,因此数据备份技术也是非常必要的,档案馆在日常管理的过程中应该建立相关的备份制度,同时定期对信息进行检查和补充,确保信息备份以及信息的正确性,同时备份日志也是重要的,是备份工作的凭证;最后是入侵检测技术,档案信息很可能会遭到病毒的入侵以及黑客的攻击,造成很大的安全隐患,因此数字化档案管理过程中技术方面还需要具备入侵检测技术,提高电子网絡的安全性,一旦计算机是被恶意使用行为后应当及时做出保护措施,对蓄意攻击行为实时监控,提高数字网络的安全性能。
3.提升档案馆工作人员素质
工作人员也是档案馆数字化工作管理中的重要环节。档案馆需要加强对管理人员的培训,为他们提供学习计算机、网络以及数字化方面知识的机会,提升专业技能,除此之外还应该加强对他们的职业道德教育以及工作操作规范教育,让他们认识到信息安全的重要性,提高责任心,在工作过程中严格按照规范操作,提高自身觉悟,避免在工作过程中出现失误。对于工作人员则应该积极主动地学习,提高自身的专业素养,同时明确自己身上的责任,努力做一个懂技术、懂管理的综合类人才,为国家的档案信息安全做出自己的一份力。
三、结束语
综上所述,信息技术在档案管理工作过程中的应用为社会提供了很大便利,但是也造成了很大的安全隐患。本文在论述了数字化档案信息过程中存在的具体安全问题后,提出了完善工作制度、提升技术水平、加强工作人员培训等具体措施,希望能解决实际问题,确保档案信息的安全,让档案信息能最大限度地发挥其应有的价值。
参考文献
[1]段玉玲,侯德山.数字化人事档案的信息安全保障研究[J].无线互联科技,2019,16(22):13-14.
[2]魏振国.浅谈数字化档案信息安全管理[J].机电兵船档案,2019(05):68-70.
[3]吕晓庆.浅析影响数字档案信息安全的因素[J].办公室业务,2018(07):44.
[4]黑丙喆.保障数字化档案信息安全的措施[J].电视指南,2017(13):214.
[5]代虹.数字化档案信息安全保障策略与探讨[J].办公室业务,2017(10):30.
作者:李艳红
**小学教育信息化 网络安全保障及应急措施
根据区教育局要求,为确保发生网络安全问题时各项应急工作高效、有序地进行,最大限度地减少损失,根据互联网网络安全相关条例及上级相关部门文件精神,结合我校校园网工作实际,特制定本预案。
一、成立安全应急领导小组
学校全体行政人员及全体网络管理员组成网络安全应急领导小组。
领导小组成员: 组长:*** 组员:*** *** *** ***
领导小组主要职责:
(1)加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。
(2)充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。
(3)认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态。 (4)采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。
(5)调动一切积极因素,全面保证和促进学校网络安全稳定地运行。
二、各级处理预案
1.网站不良信息事故处理预案
(1)备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。
(2)打印不良信息页面留存。
(3)完全隔离出现不良信息的目录,使其不能再被访问。 (4)删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。
(5)修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。
(6)全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。
(7)从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
2.网络恶意攻击事故处理预案
(1)发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息。
(2)如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
(3)如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。接着立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用。暂时扣留该电脑。
(4)重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
(5)对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。
(6)从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
3.学校重大网络事件处理预案
(1)对学校重大事件(如活动、评估等对网络安全有特别要求的事件)进行评估、确定所需的网络设备及环境。
(2)关闭其它与该网络相连,有可能对该网络造成不利影响的一切网络设备及计算机设备,保障该网络的畅通。
(3)对重要网络设备提供备份,出现问题需尽快更换设备。 (4)对外网连接进行监控,清除非法连接,出现重大问题立刻向上级部门求救。
(5)事先应向领导小组汇报本次事件中所需用到的设备、环境,以及可能出现的事故及影响,在事件过程中出现任何问题应立刻向领导小组组长汇报。
三、日常管理
1.领导小组依法发布有关消息和警报,全面组织各项网络安全防御、处理工作。各有关组员随时准备执行应急任务。
2.网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查,封堵、更新有安全隐患的设备及网络环境。
3.加强对校园网内计算机设备的管理,加强对学校网络的使用者(学生和教师)的网络安全教育。加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。 4.加强各类值班值勤,保持通讯畅通,及时掌握学校情况,全力维护正常教学、工作和生活秩序。
5.按预案落实各项物资准备。
四、网络安全事故发生后有关行动
1.领导小组得悉消防紧急情况后立即赶赴本级指挥所,各种网络安全事故处理小组迅速集结待命。
2.应急小组成员听从组织指挥,迅速组织本级抢险防护。 (1)确保WEB网站信息安全为首要任务,学校公网连接。迅速发出紧急警报,所有相关成员集中进行事故分析,确定处理方案。
(2)确保校内其它接入设备的信息安全:经过分析,可以迅速关闭、切断其他接入设备的所有网络连接,防止滋生其他接入设备的安全事故。
(3)分析网络,确定事故源:使用各种网络管理工具,迅速确定事故源,按相关程序进行处理。
(4)事故源处理完成后,逐步恢复网络运行,监控事故源是否仍然存在。
(5)针对此次事故,进一步确定相关安全措施、总结经验,加强防范。
(6)从事故一发生到处理的整个过程,必须及时向领导小组组长以及教务处以及校长汇报,听从安排,注意做好保密工作。 3.积极做好广大师生的思想宣传教育工作,迅速恢复正常秩序,全力维护校园网安全稳定。
4.迅速了解和掌握事故情况,及时汇总上报。
5.事后迅速查清事件发生原因,查明责任人,并报领导小组根据责任情况进行处理。
五、其他
1.在应急行动中,学校各部门要密切配合,服从指挥,确保政令畅通和各项工作的落实。
2.各部门应根据本预案,结合本部门实际情况,认真制定本部门的应急预案,并切实落实各项组织措施。
3.本预案从发布之日起正式施行。
**小学
网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全,社会的稳定。我公司将认真开展网络与信息安全工作,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件。对有毒有害的信息进行过滤,对用户信息进行保密,确保网络与信息安全。
我公司承诺在开展信息服务业务时,将依照信息产业部颁布的《增值电信业务网络信息安全保障基本要求》(YDN126-2005)完善公司的网络与信息安全保障措施,制定相应的信息安全管理制度,建立网络与信息安全应急流程,落实信息安全责任.具体措施如下:
8-
1、信息安全管理人员的要求: 8-1-
1、信息安全联络员制度:
我公司将建立信息安全联络员制度,具体由赵建强担任,7*24小时手机18602908588,我公司承诺,如我公司信息安全联络员人员有变动和调整,将在2个工作日内以书面的方式向陕西省通信管理局进行汇报。 8-1-
2、信息安全管理组织机构:
我公司将建立以副总经理徐国华为主的的,以公司技术部、研发部、市场部、客户部三个部门主管领导为成员的信息安全管理组织机构,全面负责公司网络与信息安全工作.具体由信息安全联络员赵建强负责实施,由公司技术部经理高强(7*24小时手机13891969090)担任公司信息系统安全员,由研发部经理刘斌(7*24小时手机18992879456)担任公司网络技术安全员具体实施和维护网络和信息安全。
8-
2、信息安全管理制度要求: 8-2-
1、信息安全管理职责
我公司信息安全主要由我公司信息安全联络员赵建强督促技术部和研发部实施,具体包含以下方面:
A、对整个所管范围的信息系统安全问题负责。在安全方面网络安全员、系统管理员、网络管理员和操作员要服从信息系统安全员的领导和管理;
B、负责信息系统安全策略、计划和事件处理程序的决策;
C、负责安全建设和运营方案的决策;
D、负责安全事件处理的决策;
E、负责信息系统安全培训。 8-2-
2、信息安全管理考核制度:
西安鹏博士数码科技有限公司网络信息安全及保密责任管理考核制度
第一章总则
第一条为西安鹏博士数码科技有限公司网络系统及网络的安全运行,特制定本制度。
第二条本制度所指计算机和设备为公司所有的办公计算机以及托管在IDC机房的计算机及设备。
第三条本制度所指网络为公司局域网和公司业务服务器网络。 第二章计算机使用管理
第四条各指定专门计算机和服务器管理人员,负责计算机的日常管理和维护。 第五条计算机管理人员应爱护机器,熟悉计算机性能,定期做好维护和保养工作,发现问题及时报告和排除。
第六条计算机和服务器设备必须专机专用,并设置6位以上的密码。非计算机管理人员和授权操作人员外任何人员不得以任何理由和任何形式使用计算机。 第七条离开计算机时,必须切换到密码保护状态,非工作时间切断电源,做到人走机停,确保计算机安全。
第八条严禁在计算机和服务器上安装与公司日常办公无关的任何程序与软件,确需安装的,报公司技术部门批准并对其进行病毒检测后进行安装;严禁随意删除或更改程序文件;严禁擅自更改计算机中的任何设置;严禁使用计算机进行与本职工作无关的操作。
第九条为公司网络系统安全工作,软盘、光盘、u盘、移动硬盘等外部存储设备必须做好病毒的防、查、杀工作,确保安全后方可使用。
第十条严禁任何人私自随意拆装、移动计算机设备,更换计算机硬件设备,特殊需要,须报公司技术部门批准,由计算机管理人员进行操作。 第十一条正确地使用和操作计算机和服务器。 第三章:操作规范 第十二条服务器操作人员必须设置6位数以上的用户密码并严格保密、定期变更。如遗忘或丢失用户密码,要及时与公司技术部联系并重新设置。
第十三条业务操作人员必须执行上机操作规程,严格按系统岗位分工和系统授权进行规范化操作。任何人不得越权或以他人名义进行操作。
第十四条在系统运行过程中,操作人员如要离开工作现场,必须在离开前退出系统,防止他人越权操作或擅入系统。
第十五条业务操作人员在业务操作过程中发现数据错误或问题,严禁擅自进行数据修改或更改软件设置。应及时与公司技术部门联系,按规定的程序进行修改或设置。
第四章网络安全
第十六条网络系统的安全管理包括保障计算机网络设备和配套设施的安全、系统数据安全和网络运行环境的安全。
第十七条网络内各客户端用户和计算机管理人员必须熟练掌握局域网络使用的基本知识,熟悉其使用方法,确保正确、规范操作。
第十八条计算机管理人员要定期和不定期的检查网络设备及配套设施是否正常运行,网络是否畅通,以保证业务的正常使用。如发现问题及时进行解决,不能解决的与技术部门联系,确保网络随时畅通。
第十九条严格遵守信息传递操作流程。各客户端计算机可根据工作需要设立共享硬盘或文件夹,以方便相关资料、信息的传递和使用,设立的共享硬盘或文件夹使用完毕后应立即取消共享设置。
第二十条网络用户密码及共享权限密码严禁外泄。未经同意严禁擅自拷贝其他工作站的程序及内容;严禁擅自修改他人文件。
第二十一条网络内各客户端计算机必须安装防病毒软件,发现病毒应立即采取杀毒措施,确实无法解决的,必须尽快与技术部门联系。
第二十二条计算机操作人员严禁制造、复制病毒并在网上传播,严禁通过网络干扰、攻击服务器和其它工作站,不得破坏、窃取服务器和其它计算机的数据文件资料,不得发送垃圾信息、散布谣言、发表反动言论等活动。
第二十三条为防止数据被非法或越权窃取,以及遭受病毒入侵和黑客攻击,各网络严格实行与其它任何网络绝对物理隔离。 第二十四条严禁浏览和传递与业务无关的信息,节约网络资源。 第五章责任追究
第二十五条因管理人员或业务操作人员疏忽或操作失误等原因,给工作带来影响,但经努力可以挽回的,对其进行批评教育;若操作人员违反操作规程,使工作或财产蒙受损失的,要追究当事人的行政和经济责任。
第二十六条因管理人员或业务操作人员不负责任或管理不善,发生泄密、数据丢失、资产损失等重大安全事故,将按照国家法律有关规定,追究相关人员的法律责任。
8-2-
3、有害信息发现处置机制:
A、有害信息的发现;公司信息安全责任小组7*24小时有信息安全员在线负责有害信息的筛选,当发现有害信息出现的时候,第一时间联络公司网络信息安全相关责任人,并同时上报公司信息安全联络员,同时采取必要的手段,防止有害信息的进一步扩散和满意;
B、有害信息的处理;当信息安全人员查看或发现有害信息时,信息安全人员再通知和上报公司网络安全责任人和信息安全联络员之后,将立即删除有害信息,同时保存有关记录,并立即向通信管理局和公安机关报告。
C、公司接受并配合通信管理局和公安机关的安全监督、检查和指导,如实向以上两个部门提供有关安全保护的信息、资料和数据文件,协助公安机关查处通过国际互联网的计算机信息网络的违法犯罪行为。 8-2-
4、有害信息投诉受理处置机制:
我公司客服电话029-88854837对用户提供7*24小时服务,如有用户投诉我公司业务出现有害信息,我公司客服将第一时间通知主管客服以及信息安全联络员,同时启动“有害信息发现处置机制”。 8-2-
5、重大信息安全事件应急处置和报告制度:
A、 当发生网络与信息安全事件时,首先应区分事件性质为自然灾害事件或人为破坏事件,根据两种情况分别采用不同处置流程。
流程一:当事件为自然灾害事件时,应根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后保障设备安全。具体方法有:硬盘拔出与保存,设备断电与拆卸、搬迁等。 流程二:当事件为人为或病毒破坏事件时,首先判断破坏来源与性质,然后断开影响安全的网络设备,断开与破坏来源的网络连接,跟踪并锁定破坏来源IP地址或其它用户信息,修复被破坏的信息,恢复信息系统。
B、事件报告
当发生网络与信息安全事件时,事发部门要第一时间向公司信息安全联络员进行报告。初次报告最迟不超过2小时,报告内容包括信息来源、影响范围、事件性质、事件趋势和拟采取措施等。 8-2-
6、信息安全管理政策和业务培训制度: A、公司服务器安全制度
1、公司服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障服务器正常运行。
2、在服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、对于信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
5、关闭服务器系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
6、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
7、服务器提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
B、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对短信平台服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,服务器将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。
5、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
6、公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守相应规章制度。 8-
3、信息安全技术手段要求:
8-3-
1、有害信息发现和过滤实施方案
在网关处理的短信中,可能含有不良的信息,如果不加阻隔,可能会产生不良的社会影响,所以在网关的设计中,就包含过滤的处理逻辑。具体实现是,设计一张记录信息匹配项的过滤表,网关在初始化时读入,处理每一条短信业务时,将短信内容和过滤项进行匹配,如果命中,则按规则将匹配的内容过滤或替换成提示信息,然后将原始信息保留到过滤历史记录表中备案。
8-3-
2、用户日志60日留存:
保留用户60天的上下行短信记录(MO、MT)和基本的用户信息表,其中用户的上下行短信每天各自记录两张日志表备案;基本的用户信息表每天通过数据库作业每天自动备份到服务器硬盘。同时每周备份完整的数据库信息到服务器硬盘。
8-3-
3、网站备案动态管理:
我公司暂不从事经营性和非经营性互联网信息服务,如后续需要增加经营性互联网业务,一方面将重新提交材料向陕西省通信管理局申请,在获批可以开展经营性互联网信息服务时,或公司建非经营性互联网另外将按照工业和信息化部印发《互联网站备案管理工作方案》,进行网站备案工作。
同时我公司承诺:
A、在公司网站开通时在主页底部的中央位置标明其备案编号,并在备案编号下方按要求链接信息产业部备案管理系统网址,供公众查询核对。
B、公司在网站开通时,按照信息产业部备案管理系统的要求,将备案电子验证标识放置在其网站的指定目录下。
C、公司在在备案有效期内需要变更其《备案登记表》中填报的信息的,应当提前三十日登陆信息产业部备案系统向原备案机关履行备案变更手续。
D、公司在备案有效期内需要终止提供服务的,应当在服务终止之日登陆信息产业部备案系统向原备案机关履行备案注销手续。
E、公司保证所提供的信息内容(网站的互联网域名或IP地址)合法。
F、由公司专人负责网站备案相关信息,具体暂定由赵建强负责,7*24手机号码18602908588
网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、网站运行安全保障措施
1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。
5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
9、机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。
二、信息安全保密管理制度
1、严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。
3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。
5、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
三、用户信息安全管理制度
1、尊重并保护用户的个人隐私,在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不得公布与用户个人身份有关的资料,除非有法律或程序要求。
2、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
公司定期对相关人员进行网络信息安全培训并进行考核,使相关人员能够充分认识到网络安全的重要性,严格遵守相应规章制度。
公司严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少一名安全负责人作为突发事件处理的联系人。
附件八:网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度
根据《中华人民共和国计算机信息系统安全保护条例(国务院)》、《中华人民共和国计算机信息网络国际联网管理暂行规定(国务院)》、《计算机信息网络国际联网安全保护管理办法(公安部)》等规定,常武医院将认真开展网络与信息安全工作,明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对一切不良、有毒、违法等信息进行过滤、对用户信息进行保密,确保网络信息和用户信息的安全。
一、网站安全保障措施
1、网站服务器和其他计算机之间设置防火墙,拒绝外来恶意程序的攻击,保障网站正常运行。
2、在网站的服务器及工作站上安装相应的防病毒软件,对计算机病毒、有害电子邮件有效防范,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并根据需要将重要信息向相关部门汇报。
5、网站信息服务系统建立多种备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能及相关端口,并及时修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名、密码和验证码并绑定IP,以防他人非法登陆。
8、网站提供集中管理、多级审核的管理模式,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。
9、不同的操作人员设定不同的用户名和操作口令,且定期更换操作口令,严禁操作人员泄漏自己的口令;对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员的操作记录。
二、信息安全保密管理制度
1、充分发挥和有效利用常武医院医疗信息资源,保障常武医院门户网站的正常运行,对网络信息进行及时、有效、规范的管理。
2、在常武医院门户网站服务器上提供的信息,不得危害国家安全、泄露国家秘密;不得有害社会稳定、治安和有伤风化。
3、本院各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息引起的任何法律责任;
4、各部门指定专人担任信息管理员,负责本网站信息发布工作,不允许用户将其帐号、密码转让或借予他人使用;因密码泄密给本网站以及本院带来的不利影响由泄密人承担全部责任,并追究该部门负责人的管理责任;
5、不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、商标、著作权、商业秘密或其他专属权利之内容加以上载、张贴。
6、所有信息及时备份,并按规定将系统运行日志和用户使用日志记录保存3月以上且未经审核不得删除;网站管理员不得随意篡改后台操作记录;
7、严格遵循部门负责制的原则,明确责任人的职责,细化工作流程,网站相关信息按照编辑上传→初审→终审通过的审核程序发布,切实保障网络信息的有效性、真实性、合法性;
8、遵守对网站服务信息监视、保存、清除和备份的制度,经常开展网络有害信息的排查清理工作,对涉嫌违法犯罪的信息及时报告并协助公安机关查处。
三、用户信息安全管理制度
常武医院门户网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
① 违反相关法律法规或本网站服务协议规定;
② 按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③ 因维护社会个体和公众的权利、财产或人身安全的需要; ④ 被侵害的第三人提出合法的权利主张;
⑤ 为维护用户及社会公共利益、本网站的合法权益的需要; ⑥ 事先获得用户的明确授权或其它符合需要公开的相关要求。
4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。
6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
常武医院将严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。
单位(章):
年
月
日
网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步名群安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、 网站运行安全保障措施
1、 安全意识淡薄是造成网络安全事件的主要原因。我公司宣传和网络管理部分将加强对全体职工的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来,树立网络与信息安全人人有责的观念。
2、我公司网站主机采用的虚拟主机服务器,由服务器提供商提供安全可靠的防火墙和主机软硬件安全服务。机房按照电信机房标准建设,内有必备的独立 UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。
3、维护计算机信息安全,装杀毒软件及管理软件,并确保管理软件正常运行。
4、公司内部要加强自身管理和自我监督,公司内部网络系统严格划分内网、外网的不同职能,做到内外有别。由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。对造作人员的权限严格按照岗位职责设定,并有网站系统管理员定期检查操作人员权限。
5、防止和处理危害网络安全的突发事件,制定突发事件和敏感时期处置工作预案。处理突发事件要及时果断,最大限度地遏制突发事件的影响和有害信息的扩散。
6、建立了健全的网站安全管理制度,实现网站安全运行责任制,切实负起确保网站安全的责任。明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保网站的安全有效运行。
7、及时对网站运行情况进行监视,保存、清除和备份的制度。所有网站信息都及时做多种途径备份,确保存储安全,减少不必要的损失。
8、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守网络安全管理有关法律、法规。工作人员及时参加网络安全技术的培训,掌握新动态,学习最新网络安全防范技术。
二、 信息安全保密管理制度
1、 我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,其实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、
谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、 网站信息内容更新全部有网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关管理法律、法规和相关规定。严禁通过我公司网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、 遵守对网站服务信息监视、保存、清除和备份的制度。开展网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、 所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统进行日志和用户使用日志记录。
5、 制定并遵守安全教育和培训制度。加大宣传教育制度,增强网络安全意识,直觉遵守互联网管理有关法律、法规、不泄密、不制作和传播有害信息,不链接有害信息或网页。
三、 用户信息安全管理制度
1、 我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、 严格遵守网站用户账号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄密。
我司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少1名安全负责人作为突发事件处理的联系人。
广州市润杰医疗器械有限公司
健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度
►网站安全保障措施 ►信息安全保密管理制度 ►用户信息安全管理制度
一、网站安全保障措施
1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
9、机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。
二、信息安全保密管理制度
1、 信息监控制度:
(1)网站信息必须在网页上标明来源;(即有关转载信息都必须标明转载的地址) (2)相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;
(3)不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理;
A、反对宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的;
D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; I、 含有法律、行政法规禁止的其他内容的。
2、 组织结构:
设置专门的网络管理员,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,审核批准后发布、坚持做到来源不名的不发、为经过上级部门批准的不发、内容有问题的不发、的三不发制度。
3、对网站管理实行责任制
对网站的管理人员,以及领导明确各级人员的责任,管理网站的正常运行,严格抓管理工作,实行谁管理谁负责。
三、用户信息安全管理制度
一、 信息安全内部人员保密管理制度:
1、 相关内部人员不得对外泄露需要保密的信息;
2、 内部人员不得发布、传播国家法律禁止的内容;
3、 信息发布之前应该经过相关人员审核;
4、 对相关管理人员设定网站管理权限,不得越权管理网站信息;
5、 一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
6、 对有毒有害的信息进行过滤、用户信息进行保密。
二、 登陆用户信息安全管理制度:
1、 对登陆用户信息阅读与发布按需要设置权限;
2、 对会员进行会员专区形式的信息管理;
3、 对用户在网站上的行为进行有效监控,保证内部信息安全;
4、 固定用户不得传播、发布国家法律禁止的内容。
推荐阅读:
浅析档案信息化建设需具备的保障措施09-11
电子信息工程发展现状及保障措施01-16
浅析电子信息工程发展现状及保障措施12-30
企业网络信息资产的安全分析及保障措施01-27
现代信息技术在开放教育教学质量保障中的应用——以云南开放大学为例09-10
教育科研工作保障措施(共9篇)09-08
心理健康教育保障措施(推荐9篇)11-23
教育信息化基础教育论文04-22
教育信息化基础教育论文提纲11-15
