关于信息系统事件管理制度的信息

本篇文章给大家谈谈信息系统事件管理制度，以及对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享信息系统事件管理制度的知识，其中也会对进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、深圳经济特区计算机信息系统公共安全管理规定
• 2、信息管理的管理制度
• 3、基金公司信息系统管理制度制定应遵循的原则包括
• 4、高软之十二：信息系统安全管理
• 5、重庆市计算机信息系统安全保护条例(2006修订)
• 6、信息系统的修改工作需要实行什么制度

深圳经济特区计算机信息系统公共安全管理规定

第一章　总则第一条　为了保障深圳经济特区（以下简称特区）计算机信息系统安全，维护计算机信息系统公共秩序，促进社会稳定，根据特区实际，制定本规定。第二条　特区内下列计算机信息系统应用单位（以下简称计算机应用单位）的计算机信息系统公共安全管理（以下简称计算机安全管理），适用本规定：
（一）计算机信息网络经营、服务单位的计算机信息系统；
（二）国家机关用于存储、处理、传输公用信息和机密资料的计算机信息系统；
（三）金融、证券和公共事业单位的计算机信息系统；
（四）国防建设、尖端科学技术和国家重点经济建设单位的计算机信息系统；
（五）其他对社会公共利益有重大影响的计算机信息系统。第三条　本规定所称计算机信息系统，是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第四条　深圳市人民政府公安机关是特区计算机安全管理工作的行政主管部门（以下简称市主管部门）。其所属的计算机安全管理部门具体承担本规定规定的计算机安全管理工作。
其他有关政府职能部门，在各自职责范围内配合市主管部门，做好计算机安全管理的有关工作。第五条　市主管部门应积极开展计算机信息系统安全宣传教育和学术交流，指导计算机信息系统安全技术行业协会的活动；为计算机应用单位提供计算机信息系统安全保障体系技术服务。第二章　计算机应用单位的安全管理第六条　计算机应用单位应当建立和完善计算机信息系统安全保障体系。
计算机信息系统安全保障体系包括技术安全管理和安全组织管理。技术安全管理包括计算机信息系统实体安全、软件安全、输入输出控制和网络安全的管理以及安全稽核、风险分析等内容；安全组织管理包括建立安全组织和健全各种安全管理制度及制定应急计划等内容。
市主管部门应当监督、指导计算机应用单位建立和完善计算机信息系统安全保障体系。第七条　市主管部门应当根据计算机应用单位的行业特点，会同市政府有关主管部门发布计算机安全管理行业技术规范，计算机应用单位的安全保障体系不得低于该行业技术规范的最低安全要求。第八条　计算机应用单位应当确定计算机安全管理责任人。
安全管理责任人应当履行下列职责：
（一）组织宣传计算机安全管理方面的法律、法规和有关政策；
（二）拟定并组织实施本单位计算机安全管理的各项规章制度；
（三）定期组织检查计算机信息系统安全运行情况，及时排除各种安全隐患；
（四）负责组织安全稽核；
（五）负责组织本单位计算机从业人员的安全教育和培训；
（六）发生安全事故或计算机犯罪案件时，立即向市主管部门报告并采取妥善措施，保护现场，避免危害的扩大。
本规定所称的安全事故是指计算机信息系统中出现的因人为或自然因素造成的具有社会危害性的事件；所称的计算机犯罪案件是指针对或利用计算机信息系统的犯罪案件。第九条　计算机应用单位应当按照计算机安全管理行业技术规范要求，配备计算机安全技术人员。
计算机安全技术人员应履行下列职责：
（一）执行本单位计算机安全管理的各项规章制度；
（二）按照计算机安全管理行业技术规范要求对计算机信息系统安全运行情况进行检查测试，及时排除各种安全隐患；
（三）发生安全事故或计算机犯罪案件时，应当立即向本单位安全管理责任人报告或直接向市主管部门报告，并采取妥善措施，保护现场，避免危害的扩大。
计算机安全技术人员必须经过市主管部门许可的安全技术培训，考核合格后持证上岗。合格证有效期为二年。第十条　计算机应用单位使用的计算机信息系统安全专用产品必须符合国家有关技术规范或经过专业检测机构检测不低于本行业计算机安全管理技术规范中的最低安全要求。
前款所称的计算机信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。
市主管部门应当定期发布通告，公布合格的计算机信息系统安全专用产品目录。第十一条　计算机应用单位发现计算机信息系统中发生安全事故或计算机犯罪案件时，应当在二十四小时内向市主管部门报告。

信息管理的管理制度

信息管理的四种模式：从独裁走向民主
根据对众多公司的信息应用和开发历史的研究，会发现主要存在四种典型的信息管理模式：
（1）信息独裁只有极少数人有权获得信息；
（2）信息无政府状态人人都可以构建自己的信息系统，处于混乱状态；
（3）信息民主信息流可以自由流动，但处于可控状态；
（4）信息大使超出了单个机构的范围，信息更加民主化，在企业边界建立了信息“大使馆”。 信息独裁是指信息特权集中在少数人手里。尽管少数高级经理人能够得到一些有用的信息，但常常需要通过昂贵的信息系统——经理信息系统EIS，才能获取。这种EIS系统非常复杂，难以程序化，而且使用不方便。更严重和深层的问题还在于：由于所有决策是由少数人做出，诸多员工的智慧未被利用。
此外，还有一种比较微妙的信息独裁模式，即企业管理人员和其他业务经理们并没有什么EIS系统，但企业培养和训练了一批高手，在他们的电脑里安装了专门的报告、分析和统计软件。这种被称为“信息中心”的概念把信息的利用扩大到更多的业务人员，但是，不知不觉中，这些技术精英们变成了另一种形式的信息独裁者。
在这两种信息独裁模式中，中下层员工都被剥夺了信息享有权，这样就产生了两种人：信息特权阶层和信息隔离阶层。信息隔离阶层可能被施加更多的压力，要求作出更好的工作业绩，但是在不赋予他们信息知
情权的情况下难度很大。于是他们可能会发动信息叛乱，要求建立自己的数据管理系统。这就是造成数据过载的基础。 信息无政府状态源于个人或部门把所需的信息均纳入自己的掌握之中。其结果是各自为政的数据“领地”或“地下”数据库的迅速产生。由于这些“地下”数据库建立在互不兼容的软硬件平台和应用的基础，根本无法连通，这种无政府状态下固有的混乱等缺点对内部沟通和企业赢利造成了严重的破坏。
和历史上许多短命的无政府状态事件相似，信息无政府状态往往只是一个短暂的狂欢过程。建立自己的地下数据库的部门对解决方案也只能有瞬间的满意，因为一旦高层管理人员收到来自不同部门数据不一致的报告，就会盘问数据的真实性。这样这些来路不明的地下数据库早晚会被统一。 许多公司逐渐明白：让企业内的所有员工共享信息可以使信息极大增值。他们也明白，为了使企业行为更加敏捷和高效，不能把大多数员工拒于信息之门的外面，而让他们一味盲目工作。
咀嚼数字、各自为政、分散的信息分析模式将逐渐让位于信息民主。后者通过向员工提高准确的信息，下放决策权而赋予企业更快更敏捷的行动能力。根据调查显示，民主化和授权的程度越大，信息的价值也就越大。而越倾向于打破机构界限，信息的价值也就越大。德鲁克也认为“决策应该在组织的最下层作出，并尽可能接近这一决策的执行人。” 信息民主并不需要局限在企业的防火墙里。通过因特网，信息民主可以通过企业外网延伸到客户、供应商和合作伙伴。含有商务智能的企业外网应该是一个安全的网站，企业外的用户、可以获取和分析信息。由于它们代表公司和外界交流的前沿阵地，所以称之为信息大使。 有远见的企业利用电子商务建立信息大使，目的是为企业外部用户提供获取、分析和共享相关信息的手段。利用这种信息大使，客户、供应商和合作伙伴也会使自己的业务更加智能化。企业外网主要在以下三个应用领域形成：供应链型外网、用户关系型外网以及信息中介型外网。
这种信息大使将是未来开展因特网业务的公司区别于其他公司的主要所在。这些能够利用增值信息提升其产品和服务的公司将能够向客户提供更有价值的建议，并最终赢得客户忠诚度。

基金公司信息系统管理制度制定应遵循的原则包括

简述内部控制制度的要素、设计和实施应遵循的原则 一、系统完整原则 内部控制是一个全方位的整体，它渗透于企业经营活动整个过程并贯穿于经营活动的始终。系统完整原则要求：在设计内容上，必须突破会计控制的局限，在一个更为广阔的视野中，结合治理层面和管理层面去构建内部控制，以确保管理层能有效地付出管理活动、能有效地利用企业资源，员工有效地从事具体业务的操作，信息使用者能获得相关、可靠的企业信息。在设计对象上，内部控制制度应该包括对人的约束和激励、各项业务活动的控制。在设计流程上，既应考虑各流程中的风险控制点，又应考虑各控制要素、控制过程之间的相互关联，使各业务循环或部门的子控制系统有机构成企业的一个科学、合理的管理系统，保证企业经营活动在预定的轨道上进行。在设计内部控制制度时还应关注制度的严谨性和完善性，讲究控制实效，把握控制要点，全面、准确地对企业经营的全过程做出有效的控制。 二、成本效益原则 成本效益原则，指为进行控制而花费的成本与缺乏控制时所遭受的损失比较，当控制的效益大于成本时，则该项控制措施才是可行的，否则就是不可行的。控制成本包括便于归属计量的直接成本和不便于归属计量的间接成本，控制效益包括短期效益、长期效益、企业自身效益和社会效益等。在实际中，有些工作的效益是难以用金额表示的，但执行该控制有利于企业各项控制目标的实现，如员工职业操守的培养、经济项目的审核程序、信息的反馈等等。贯彻成本效益原则要求：在构建内部控制制度时，应根据企业经营业务的特点、规模的大小、具体的管理情况，既要考虑控制设计成本、执行成本和修订成本，又要考虑企业整体效率和效益的提高，既要把企业的各项经济活动全面置于经济监控之中，又要对经营管理的重要方面、重要环节实行重点控制，力争以最小的控制成本取得最大的控制效果。 三、目标导向原则 目标是控制的出发点和归宿点，控制的最高宗旨就是实现预定的目标。企业内部控制系统的终极目标是确保企业系统的整体有效性。目标导向原则指企业应根据控制目标设计内部控制过程。基于企业整体效率视角的内部控制的目标分为两个层次：企业内部治理控制目标——确保董事会在公司中的作用及对公司和股东的受托责任；管理控制目标——提高企业经营的效率和效益。实现治理控制目标主要采用股东会、监事会对董事会和总经理的监督与控制机制；工资合约、收入分配合约对受托者的激励机制。管理控制目标主要通过高层战略目标的分解、管理过程的控制实现。也就是说，在战略目标的指导下，企业要制定近期的财务目标、营业目标、投资目标、研发目标等二级目标；在各个二级目标下，确定具体的控制子目标。在目标的执行过程中，要定期进行检查和考核、分析执行结果与计划产生偏差的成因，并向有关部门提出改进控制的建议，以进一步提高内控水平、更好地实现内控目标。 四、有效控制风险原则 风险是指遭受损失、伤害、不利或毁灭而未能达到目标的可能性。企业面临的风险包括来自政治、经济、文化与自然等方面的外部风险和战略风险、经营风险和财务风险、具体业务风险等。有效控制风险原则指企业在构建内部控制制度时，应密切关注实施主体使命、具体目标过程中面临的各种风险，有针对性地设计内部控制措施，使风险降低到企业可以忍受的合理水平。有效控制风险原则要求：管理当局应采取恰当的程序去设定支持主体使命的目标，识别影响目标实现的各种风险并进行评估，在企业愿意承受的风险水平和所能接受的目标偏离程度的基础上，采取回避、承担、降低和分担的风险应对措施，使企业目标顺利得以实现。在经济环境复杂多变、竞争日益激烈的现代社会，管理当局应树立正确的风险管理理念，建立系统、有效的风险管理和控制系统，最佳地分配控制资源，积极应对可能出现的风险，保持企业健康持续地发展。 五、合规性原则 合规性原则指企业在设计内部控制制度时，必须符合国家有关法律法规和有关政府监管部门的监管要求。合规性是企业从事经营、创造价值、实现内部控制目标的前提，是一种约束性条件。合规性原则要求：在构建内部控制制度时，企业既要遵循一般法律法规，如公司法、税法、合同法、会计法、企业会计准则、内部会计控制规范；又要根据自身行业特点和性质，遵循行业内部控制规范，如上市公司治理准则、证券投资基金管理公司内部控制指导意见、商业银行内部控制指引，等等。 六、适合控制环境原则 从系统论角度看，内部控制是一个系统，系统和包围该系统的环境之间具有紧密的联系，系统适应环境是系统存在和发展的前提。构建内部控制体系关注企业内外环境非常重要。内控环境主要包括：企业价值观、经营理念、经营特征、组织结构、人事政策、业务流程、信息技术等内容。适合控制环境原则要求：企业在设计内部控制制度时，对涉及的环境因素要进行深入的分析和了解，只有控制措施过程、机制及氛围与所处环境相适应，才能实现较为理想的控制效果。如，在信息化程度低的企业，应对各种风险的内控制度基本是依靠员工的素质和诚信、牵制法则、监督与问责机制；在信息化程度高的企业，内控制度除依赖以上理念和方法外还需考虑信息系统规划建设的治理风险、信息系统运转的不稳定性风险、软件中内控机制的漏洞风险等。 七、灵活性原则 灵活性原则是指进行内部控制设计时应根据不同的控制类型灵活采用不同的策略。按事件和风险是否有规律可循，控制可分为结构化控制、半结构化控制、非结构化控制。结构化控制的控制启动时机、控制方法、控制步骤是完全确定的，一般使用技术性控制方法；非结构化控制是指由于无法预知事件和风险出现而不能确定控制的时机、方法和步骤，一般使用管理性控制方法；半结构化控制是指事件和风险的出现有一定概率，无法确定控制的时机，但控制方法和控制步骤是确定的，一般使用技术控制和管理性控制相结合的方法。以控制时序为标志，分为事前控制、事中控制和事后控制。事前控制是指企业单位为防止人力、物力、财力等资源在应用时发生偏差，而在行为发生之前所实施的内部控制，事前控制多数是属于非结构化控制。事中控制，是指企业单位在运营过程中针对正在发生的行为所进行的控制，事中控制则是半结构化控制。事后控制一般是结构化控制。 八、责权利相结合原则 责权利相结合原则，即权力和责任相匹配、收益与业绩相联系，指在构建内部控制制度时，企业必须明确各责任主体（经营者、管理者、员工、部门）的责任，赋予该主体完成其责任所必需的权限，并根据该主体的责任完成情况分配收益。责任产生压力，使管理者和员工产生责任感；权利使管理者有办法来完成责任，并产生一种光荣感和责任心；利益产生动力，能把管理者与员工的积极性调动起来。责权利相结合原则要求：企业应对不同的责任主体规定作业任务、职责权限、操作程序和处理手续，制定相应的、科学严格的考核标准，并根据评价结果进行奖励和惩罚，以实现约束和激励相统一，促使内部控制制度有效实施。

高软之十二：信息系统安全管理

信息系统安全策略是针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的措施、手段，以及建立的各种管理制度。

1、安全策略的核心内容是“七定”：定方案、定岗、定位、定员、定目标、定制度、定工作流程。

2、安全策略需要处理好的关系

①安全与应用的依存关系：安全与应用是矛盾统一的。没有应用就不会产生相应的安全需求；发生安全问题，就不能更好地开展应用；

②风险度的观点：信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”；

③适度安全的观点；

④木桶效应的观点；

⑤信息系统安全等级保护概念。

a、第一级：用户自主保护级：通过隔离用户与数据，使用户具备自主安全保护的能力；

b、第二级：系统审计保护级：适用于通过内网或国际网进行商务活动，需要保密的非重要单位；

c、第三级：安全标记保护级：具有系统审计保护级的所有功能。适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设邓单位；

d、第四级：结构化保护级：建立于一个明确定义的形式安全策略模型之上，要求将第三级中的自主和强制访问控制扩展到所有主体与客体。适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位和国防建设部门；

e、访问验证保护级：满足访问控制器需求。访问控制器本身是抗篡改的，必须足够小，能够分析和测试。适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

安全保护等级由2个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

3、信息安全系统：是信息系统的一部分，用于保证“业务应用信息系统”正常运营。用三维空间来反映信息安全系统的体系架构及其组成：

①X轴是“安全机制”。安全机制可以理解为提供某些安全服务，利用各种安全技术和技巧，所形成的一个较为完善的结构体系；

②Y轴是“OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的，包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层；

③Z轴是“安全服务”，从网络中的各个层次提供给信息应用系统所需要的安全服务支持。

X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。包含“认证、权限、完整、加密和不可否认”五大要素，也叫作“安全空间”的五大属性。

4、安全服务：分为对等实体认证服务（对对方实体的合法性、真实性进行确认，以防假冒）、数据保密服务、数据完整性服务、数据源点认证服务、截止否认服务、犯罪证据提供服务。

5、安全技术：加密技术、数字签名技术、访问控制技术、数据完整性技术、认证技术、数据挖掘技术。

6、信息安全系统架构体系

①MIS+S系统：初级信息安全保障系统或基本信息安全保障系统，其特点包括：业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码；

②S-MIS系统：标准信息安全保障系统，其特点包括：硬件和系统团建通用，PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的硬件、软件也要通过PKI/CA认证；

③S2-MIS系统：超安全的信息安全保障系统：其特点为硬件和系统软件都专用，PKI/CA安全基础设施必须带密码，业务应用系统必须根本改变。

7、ISSE过程：工程过程、风险过程（一个有害事件由外部威胁、内部脆弱性和影响三个部分组成）和保证过程。

8、PKI（公钥基础设施）：以不对称秘钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施，PKI的基本构件包括：

①数字证书：由认证机构经过数字签名后发给网上信息交易主体的一段电子文档校验对方的身份真伪，保证交易信息的真实性、完整性、机密性和不可否认性。数字证书是PKI的基础；

②认证中心：CA是PKI的核心，由公正、权威、可信的第三方认证机构，负责数字证书的签发、撤销和生命周期的管理，还提供秘钥管理和证书在线查询等服务；

③数字证书注册审批机构：RA系统是CA的数字证书发放、管理的延伸；

④其它：数字签名、密钥和证书管理工具、双证书体系、PKI的体系架构、PKI信任服务体系、PKI密钥管理中心。

9、X.509证书标准：版本号、序列号、签名算法标识符、认证机构、有效期限、主题信息、认证机构的数字签名、公钥信息。

10、PKI/CA对数字证书的管理：按照数字证书的生命周期实施的，包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新。

11、CA是一个受信任的机构，为了当前和以后的事务处理，CA给个人、计算机设备和组织机构颁发证书，以证实他们的身份，并为他们使用证书的一切行为提供信誉的担保。

12、PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。

13、PMI与PKI的区别：PMI主要进行授权管理，证明这个用户有什么权限，能干什么；PKI主要进行身份鉴别，证明用户身份。

14、访问控制的基本概念：信息安全保证机制的核心内容之一。访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机信息应用系统在合法范围内使用；访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度，有两个重要过程：

①认证过程：通过“鉴别”来检验主体的合法身份；

②授权管理：通过“授权”那赋予用户对某项资源的访问权限。

15、访问控制机制分类：强制访问控制（MAC，用户不能改变他们的安全级别或对象的安全属性）和自主访问控制（DAC-允许对象的属主来制定针对该对象的保护策略，那限定哪些主体针对哪些客体可以执行什么操作）。

16、访问控制的应用：有以下4种：

①DAC，自主访问控制方式：针对每个用户指明能够访问的资源，对不在指定资源列表总的对象不允许访问；

②ACL，访问控制列表方式：目标资源拥有访问权限列表，指明允许哪些用户访问；

③MAC，强制访问控制方式：目标具有一个包含等级的安全标签（不保密、限制、秘密、机密等）；访问者拥有包含等级列表的许可，其中定义了可以单温哪个级别的目标。多用于军事和安全部门；

④RBAC，基于角色的访问控制方式：首先定义一些组织内的角色，如局长、科长、职员；再根据管理规定给这些角色分配相应的权限，最后对组织内的每个人根据具体业务和职位分配一个或多个角色。

17、安全审计：记录、审查主体对客体进行访问和使用情况，保证安全规则被正确执行，并帮助分析安全事故产生的原因。

①安全审计的内容：采用网络监控与入侵防护系统，识别网络各种违规操作与攻击行为，即时相应并进行阻断；对信息内容和业务流程进行审计，可以防止内部机密或敏感信息的非法泄露和单位资产的流失。

②信息安全审计系统就是业务应用信息系统的“黑匣子”。即使在整个系统遭到灭顶之灾的破坏后，“黑匣子”也能安然无恙，并确切记录破坏系统的各种痕迹和“现场记录”。

③信息安全审计系统就是业务应用信息系统的“黑匣子监护神”。随时对一切现行的犯罪行为、违法行为进行监视、追踪、抓捕，同时对暗藏的、隐患的犯罪倾向、违法迹象进行“堵漏”、铲除。

④安全审计的作用：对潜在的攻击者起到震慑或警告作用；对于已经发生的系统破坏行为提供有效的追究证据；为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞；为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

⑤安全审计功能：CC标准将安全审计功能分为6个部分：

a、安全审计自动响应功能：定义被测事件指示出一个潜在的安全攻击时做出的响应，他是管理审计事件的需要，这些需要包括报警或行动；

b、安全审计数据生成功能：要求记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合；

c、安全审计分析功能：定义了分析系统和审计数据来寻找可能的或真正的安全违规操作（分为潜在攻击分析、基于模板的异常检测、简单攻击试探、复杂攻击试探）；

d、安全审计浏览功能：要求审计系统能够给使授权的用户有效地浏览审计数据，包括审计浏览、有限审计浏览、可选审计浏览。

e、安全审计事件选择功能：要求系统管理员能够维护、检查或修改审计事件的集合；

f、安全审计事件存储功能：要求审计系统将提供控制措施，以防止由于资源不可用丢失审计数据。

18、重要应用系统运行情况审计：包括基于主机操作系统代理、基于应用系统代理、基于应用系统独立程序、基于网络旁路监控方式。

19、分布式审计系统：由审计中心（对整个审计系统的数据进行集中存储和管理）、审计控制台（提供给管理员用于对审计数据进行查阅）和审计Agent（直接同被审计网络和系统连接的部件，不同的审计Agent完成不同的功能）组成。

重庆市计算机信息系统安全保护条例(2006修订)

第一条　为了保护计算机信息系统的安全，促进计算机的应用和发展，根据《中华人民共和国治安管理处罚法》和《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规的规定，结合本市实际，制定本条例。第二条　本条例所称的计算机信息系统，是指由计算机及配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条　计算机信息系统的安全保护，应当保障计算机及配套设备、设施（含网络）的安全，运行环境以及计算机信息的安全，确保计算机信息系统安全运行。第四条　本市行政区域内计算机信息系统安全保护工作，适用本条例。第五条　公安机关是计算机信息系统安全保护工作的主管部门，其主要职责是：
（一）监督、检查、指导计算机信息系统安全保护工作；
（二）查处危害计算机信息系统安全的违法犯罪案件；
（三）宣传计算机信息系统安全保护法规，组织培训安全保护人员；
（四）对重要的计算机信息系统新建、改建、扩建工程方案进行安全指导；
（五）指导对计算机病毒和其它有害数据的防治工作；
（六）监督、检查、指导计算机信息系统等级保护工作；
（七）监督计算机信息系统安全专用产品的制造、销售；
（八）对国际联网的计算机信息系统进行备案审查及安全管理；
（九）对重要的计算机信息系统进行监控；
（十）法律、法规规定的其他职责。
国家安全机关、国家保密机关及政府有关部门，在规定的职责范围内负责计算机信息系统的安全保护工作。第六条　信息系统的运营、使用单位应当履行下列信息系统安全保护职责：
（一）遵守计算机信息系统安全保护的有关法律、法规；
（二）建立健全计算机信息系统安全管理制度和落实责任制；
（三）对管理人员和应用操作人员进行计算机安全教育；
（四）落实计算机信息系统安全保护技术措施；
（五）按照法律、法规的规定要求如实提供有关计算机信息系统安全保护工作所需的信息、资料和数据文件；
（六）协助公安机关查处涉及计算机信息系统安全的违法犯罪案件；
（七）建立信息安全事件的等级响应、处置制度；
（八）法律、法规规定的其他应当履行的安全保护职责。第七条　任何单位和个人不得利用计算机信息系统从事危害国家利益、集体利益和公民合法权益的活动，不得危害计算机信息系统的安全。第八条　计算机信息系统实行安全等级保护。建设和应用计算机信息系统必须符合国家规定的标准。第九条　重要的计算机信息系统使用单位，应配备安全保护人员；对可能遭受的侵害和破坏，应制定应急处置预案。
计算机信息系统的安全保护人员应接受计算机安全培训，未经培训不得上岗。第十条　计算机机房应符合国家标准和国家有关规定。
在计算机机房附近施工或者进行其他活动，不得危害计算机信息系统的安全。第十一条　未经市公安局批准，任何单位和个人不得从事下列活动：
（一）收集和保存计算机病毒；
（二）制作、传播、销售有关计算机病毒机理及病毒源程序的书刊资料和计算机信息媒体；
（三）公开发布计算机病毒疫情信息；
开展计算机病毒防治研究，须报市公安局备案。第十二条　任何单位和个人不得制造或故意输入、传播计算机病毒或其他有害数据，不得违法复制、截收、删除、增加、修改、查阅计算机信息系统中的数据。第十三条　对计算机信息系统中发生的违法案件、计算机病毒和危害社会公共安全的其他有害数据，有关使用单位和个人应在发现后二十四小时内向所在地县级以上公安机关报告，并保护现场及相关资料，公安机关应立即采取措施进行处理。第十四条　进行国际联网的计算机信息系统，互联单位、接入单位和网络信息服务单位应在网络正式联通后三十日内向市公安局备案。
进行国际联网，必须使用国家规定的国际出入信道，不得自行建立或者使用其他通道。第十五条　重要计算机信息系统的使用单位发现计算机信息系统出现安全问题，应及时处理，并报告公安机关。
公安机关发现影响计算机信息系统的安全隐患时，应及时向使用单位发出整改通知书，限期整改。

信息系统的修改工作需要实行什么制度

信 息 安 全 管 理 制 度        
  为维护公司信息安全，保证公司网络环境信息系统事件管理制度的稳定，特制定本制度。
 一、 互联网使用管理互联网使用管理互联网使用管理互联网使用管理    
1、禁止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司秘密、非法网站及与工作无关的网页等信息。行政部门建立网管监控渠道对员工上网信息进行监督。一经发现，视情节严重给予警告、通报批评、扣发工资500-1000元/次、辞退等处罚。 2、未经允许，禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。一经发现，视情节严重给予警告、通报批评、扣发工资1000-2000元/次、辞退等处罚。  
3、公司网络采取分组开通域名方式，防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号密码安全系数降低。  二、网站信息管理
1、公司网站发布、转载信息依据国家有关规定执行，不包含违反国家各项法律法规的内容。  
2、公司网站内容定期进行备份，由网管员保管，并对相应操作系统和应用系统进行安全保护。  
3、公司网管加强对上网设备及相关信息的安全检查，对网站系统的安全进行实时监控。 4、严格执行公司保密规定，凡涉及公司秘密内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网信息系统事件管理制度；
5、所有上网稿件须经分管领导审批后，由企划部门统一上传。  三、软件管理软件管理软件管理软件管理  1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行，任何部门和员工不得擅自采购。  
2、公司提供的全部软件仅限于员工完成公司的工作使用。未经许可，不得将公司购买或开发的软件擅自提供给第三人。
3、操作系统由公司统一提供。禁止安装使用其它来源的操作系统，特别是未经授权的非法拷贝。擅自使用造成的一切后果由使用人自行承担，对于造成损失的，将视情节及危害程度严重给予警告、通报批评、扣发工资100-200元/次等处罚。  
4、一般应用软件统一在公司文件服务器上提供常用软件安装目录，不提供安装光盘（操作系统除外）。安装非公司提供的软件导致系统损害，信息丢失的，将视情节及危害程度严重给予警告、通报批评、扣发工资100-300元/次、辞退等处罚。  5、公司小范围使用的专业版权软件，使用人需在自行备份并由信息系统管理员验证后才可进行安装。  
6、禁止安装使用非工作用软件。其它工作所需的应用软件，可由使用部门申请，再由行政部门统一发布。  四、计算机病毒管理
1、集团计算机病毒管理由集团信息办负责进行规划、实施和监控。  
2、员工应树立预防计算机病毒的意识和熟知预防计算机病毒的措施，及时更新系统漏洞和使用杀毒软件。具体内容包括： （1）及时更新微软补丁，每周至少更新一次。当屏幕右下角有自动更新的图标时，要及时安装。 （2）有些特殊的软件（如SQL SERVER等），及时到相应网站打补丁。 （3）及时安装杀毒软件和升级杀毒软件病毒特征库。严禁因杀毒软件影响性能，而把杀毒软件卸载。每周至少更新一次，确保杀毒软件为最新版本。 （4）严禁打开来历不明的邮件。能判断为病毒邮件的，立即删除；不能判断的联系信息系统管理员解决。当计算机感染病毒后，请及时断开网线，使用杀毒软件查杀和查看操作系统和应用软件的补丁是否及时更新；严重者请及时联系信息办信息系统管理员解决。 （5）当有新病毒通过某些软件（如：QQ,MSN）传播时，请立即关闭相应软件或拔掉网线。查杀问题解决后，方可继续使用。  3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者，第一次给予警告、第二次给予通报批评，第三次及以上将给予通报批评并扣发工资50-100元/次。  五、网络资源管理
1、集团网络资源和服务器由集团信息办信息系统管理员统一进行规划、管理和监督。 2、服务器及个人用机的管理： （1）部门级及以上服务器必须指定专人负责管理，并在行政部门备案，未经授权，非管理员不得对其进行操作。 （2）部门级及以上的服务器管理员有责任对其负责的服务器进行例行检查，包括：服务器的CPU、内存、硬盘等资源利用情况；服务器上运行的服务使用情况；服务器上运行的OS及时升级；服务器上运行的杀毒软件的及时更新； （3）服务器管理员要做好服务器的备份工作，至少每季度有一份完整异地（异机）备份，重要数据及时备份。信息系统管理员有责任监督、协调其备份工作。 （4）个人和部门未经行政部门批准不得私自设立服务器。 （5）服务器管理员每月定期对服务器做一次全面检查，并填写服务器检查日志。 （6）服务器管理员每季度需修改服务器密码一次。当服务器管理员有变更时，管理员密码需及时更改。 （7）员工应避免随意共享工作相关资料，若需共享，应指定合理权限，并在完成后及时取消；严禁未经信息系统管理部门批准，擅自共享给局域网内所有用户。 （8）员工应自行维护电脑的正常使用，并按照网管的要求进行设置及及时进行补丁更新，不得擅自退出域、去除域管理员权限、修改主机名、修改ip等。  
3、IP地址的管理： （1）IP地址由行政部门统一规划管理。未经许可，不得擅自更改任何设备的IP地址。 （2）公司申请的公网IP任何人不得私用。 （3）工作需要公网IP，需申请信息部批准后，方可使用。 （4）公司公网IP使用无工作需要时，立即停止使用，并通知行政部门收回。 （5）FTP等特殊服务器的使用须经行政部门批准，且不得擅自更改使用用途。  六、机房管理
1、人员管理：相关维护人员凭门禁卡或密码进出机房，其它人员不得擅入。如确需进入机房的其它工作人员，应向相关部门提出申请，并做相应的登记备案后，在相关人员的陪同下入内。信息系统管理员有权在场监控及记录入内者的工作情况。
2、机房设备管理：参照公司固定资产管理制度进行管理。非电源性电子设备（如路由器，服务器等）必须接不间断电源，保证数据在突然断电时不致丢失；机房温度应保持在22±2℃。工作时间，非工作时间公司保安应定时巡视机房，确保机房环境、供电及温度正常；如出现机房温度超过30摄氏度警戒线、停电等异常情况，应与管理员联络，立刻采取必要措施保障机房设备的安全。
3、信息管理：任何人员（包括管理员）在机房信息设备上进行更改操作，都需记录备案。未经管理员许可在机房内擅自进行操作者，可视情节给予通报批评、扣发工资200-500元；情节严重的，可予以辞退。
4、施工管理：公司机房建设应符合机房建设的有关标准和规定；在公司机房内施工，须由信息安全部经理批准,并有网络管理员或授权的公司保安监督施工现场。  七、电子设备使用管理
1、电子设备的新增购买申请先采用调配方式，若无法调配同等配置的，才予购买。使用管理参照公司固定资产管理制度。
2、计算机及其辅助设备一经领用，使用人员需严格按照设备使用说明书和管理员制定的相关使用规定操作。对丢失、擅自转让、人为毁损造成无法修复等损失，可视情节给予警告、通报批评、按价赔偿。 (1)台式计算机：非经信息管理员工同意不得擅自打开机箱。 (2)笔记本电脑设备：a、不同品牌型号的零配件不可互换使用。b、用于移动办公，绝对不允许作为服务器共享操作。c、应保持出厂预装的正版操作系统，保留硬盘中的隐藏分区。如确因工作需要重新安装其它操作系统（如WIN2000等），需由系统管理员进行。不允许私自重新分区格式化，将原出厂隐藏区格式化删除。  
3、非经许可，不得将个人台式电脑及相关设备带入公司，特殊情况，需办理相关登记手续。
4、员工不得随意增减配件，不得在未经管理员许可的情况下对硬盘做低级格式化。未经行政部门批准，严禁将台式电脑及其它电子设备带出公司。私自调配电子设备（含配件），可视情节给予警告、通报批评、扣发工资200-500元/次。  
八、信息系统管理员 1、管理权限和责任 （1）负责公司各信息系统的信息安全、日常维护、系统管理等。 （2）严格遵守公司制定的相关信息安全管理制度，履行工作职责。 （3）制定各信息系统的管理维护标准，包含用户及权限建立与变更标准及流程、定期检查制度、违约处罚条款等，送交信息安全主管部门审核备案，并严格执行。 （4）信息系统管理员必须签订《关键职位员工之保密承诺书》。  
2、职责规范 （1）推动员工树立信息系统安全防范意识，完善公司信息安全保障机制，逐步建立以预防、发现、响应、恢复为基础的信息安全管理机制。 （2）遵守职业道德，严守保密制度，不以任何形式携带走所接触的、信息系统事件管理制度了解的、获知的、掌握的、使用的集团任何资料；不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的集团商业秘密（包括技术秘密和经营秘密）；未经公司书面同意，不擅自使用已接触到、了解到、知悉或被告之的商业秘密；不利用已知的公司资源（如公司信息系统缺陷、口令等），做违反国家法规、窃取公司商业秘密、攻击公司服务器等行为。 （3）端正服务态度，对员工的需求积极快速响应，并提供迅速、周到的技术服务支持。  九、附则：    
1、本制度解释权归集团信息办。 2、本制度自颁布之日起施行。

关于信息系统事件管理制度和的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 信息系统事件管理制度的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于、信息系统事件管理制度的信息别忘了在本站进行查找喔。