信息化安全管理制度

信息化安全管理制度之相关制度和职责，信息化安全管理包括机房管理和服务器管理两部分。机房、服务器的日常维护、操作都应有专门的信息管理人员负责,未经信息部门许可其他人员不得对随意进出机房、操作服务器。机房管理人员负责机…

信息化安全管理包括机房管理和服务器管理两部分。机房、服务器的日常维护、操作都应有专门的信息管理人员负责,未经信息部门许可其他人员不得对随意进出机房、操作服务器。机房管理人员负责机房的日常检修、事故排查;

服务器管理员负责服务器的安装调试、例行维护、日常检查等工作。

炎炎夏日,尤其注意机房内线路排查,做好防火工作,服务器数据备份和系统备份。

一、机房安全管理

1.1 机房严格执行门禁制度,未经信息部门允许,任何人不得擅自进入;

1.2 机房内禁止堆放杂物,保证设备和办公桌面清洁、卫生、整齐;

1.3 机房内禁止存放易燃易爆品;设备设施周围及上方不得堆放物品,特别是液体物品;

1.4 机房内电气设备、供电线路必须由专职电工按规范安装;

1.5 机房内禁止乱拉临时电源线;

1.6 机房内的各类保险丝必须使用符合规定的保险丝,严禁使用铜、铁、铝线代替;

1.7 长期使用的电器设备应对其发热情况进行检查,避免发生火灾;

1.8 严格明火管理。明火作业必须有相关部门批准、核发“动火证”后方可施做;

1.9 规范配备灭火器材,定期进行消防报警设施试验,严禁使用其他物品将烟感包裹,禁止吸烟;

1.10 禁止携带食品进入机房,并定期灭鼠;

1.11 机房内温度和湿度严格控制在:温度:18-25℃,相对湿度:60%—80%;

1.12 机房值班人员要坚守岗位,早进入、晚离开时要检查设备情况,上班时密切监视网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗位。下班时,要做好交接班记录,要对所有计算机的电源进行细致的检查,该关的要切断电源,离开时察看灯、门、窗、锁是否关闭好。双休日、节假日,要有专人值班,检查网络运行情况,如发现问题应及时解决,并做好记录处理,解决不了的要及时报告;

1.13 不得随意合闸拉闸,不得同意不得擅自对程控交换机、核心交换机、路由器、服务器等设备设施进行停、断电;

1.14 员工负责设备设施性能测试,及时排除故障,下班前必须做全面检查,不留安全隐患;

1.15 机房内所有设备设施维护工作必须在计划内完成;计划外操作必须得到同意;

1.16 不得利用职务之便拨打与工作无关的外线电话;

1.17 未经批准,不得擅自关闭、重启各系统服务器、接口机;

1.18 未经批准,不得随意开关外线;

1.19 如遇紧急情况和突发事件必须在第一时间内通知主管人员;

二、服务器安全管理

1.1? 物理环境要求

1.1.1? 服务器须放置在机房或具备服务器运行相关条件的空间内。

1.1.2? 系统管理员应在每季度末对服务器进行一次硬件检测和除尘工作,并填写《服务器硬件检测记录单》(附录A)。

1.2? 软件环境要求

1.2.1? 无特殊情况,服务器要关闭网络文件与打印服务、QoS、终端服务、授权服务、Site ILS服务、消息队列服务(MSMQ)、远程存储、证书服务等其他暂时不用的服务。

1.2.2? 服务器操作系统需设置安全策略,策略设定后要进行有效性检查,确保有效执行。

1.2.3? 服务器应禁用匿名/默认账户或严格限制访问权限。

1.2.4? 为了保证该服务器的运行效能和安全,除了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必要的软件,包括等。

1.2.5? 服务器上至少要设置两个以上(含两个)的逻辑卷。

1.2.6? 服务器严禁安装游戏、聊天工具等与系统运行无关的程序及文件。

1.3? 服务器开关机

1.3.1? 各单位系统管理员负责服务器的开关机操作,操作完成后填写《服务器开关机记录表》(附录B)。

1.3.2? 除安装调试或者例行维护外,服务器不得频繁开关机。服务器维护应安排在非工作时间段进行。

1.3.3? 服务器在出现严重故障非重起不能解决时,系统管理员应及时通知服务器用户,在用户保存完正在操作的数据后方可中断数据库连接并进行重起操作。

1.4? 日志管理

1.4.1? 系统管理员应在每周末检查服务器的“事务日志”,发现有“严重错误”的,必须立即检查并排除故障,服务器所有日志在得到“事务已经满”提示的情况下,必须立即备份到制定目录下,事务日志备份完毕应立即清空。

1.4.2? 服务器日志至少保留半年,只允许授权用户访问,且不能进行修改。

1.5? 磁盘检查

1.5.1? 系统管理员应在每周末检查服务器的磁盘情况,如果发现磁盘的使用容量超过70%以上时,应及时删除不必要的文件腾出磁盘空间,必要时申购新的磁盘。

1.5.2? 服务器外出维修时系统管理员必须删除磁盘数据。

1.5.3? 系统管理员在每月末对服务器进行磁盘碎片整理工作。

1.6? 病毒和补丁管理

1.6.1? 为保障服务器性能,工作时间段内一般不进行查杀病毒和安装补丁的操作。

1.6.2? 每日22:00设置服务器自行查杀病毒。

1.6.3? 服务器杀毒软件的病毒库应设置为自动更新。

1.6.4? 在得知有重大病毒流行时应立即确认病毒库是否为最新且是否有效防护,如果病毒库不能有效防护应下载相关专杀工具或进行相关技术处理。

1.6.5? 系统管理员应在每月末登陆操作系统厂商网站查看是否有最新的更新通知,在得知有最新的安全漏洞时,应下载经测试后在非工作时间段内安装补丁。对于重大的安全漏洞应第一时间进行更新。

1.7? 故障管理

1.7.1? 服务器的故障包括:软件故障,硬件故障,入侵与攻击,其他不可预料的未知故障等。应建立服务器故障记录,当出现服务器故障,系统管理员对故障现象及解决过程进行详细记录,填写《服务器故障处理记录单》(附录C)

1.7.2? 当服务器出现硬件故障时,系统管理员应立即通知服务器厂商,并督促和配合厂商工作人员尽快维修或更换相关配件。

1.7.3? 对于不能尽快处理的故障,系统管理员应立即通过电话通知上级主管领导,并保护好故障现场。

1.8? 相关记录文档

1.8.1? 《服务器硬件检测记录单》? 保存期3年

1.8.2? 《服务器开关记录表》 保存期3年

1.8.3? 《服务器故障处理记录单》 保存期3年

安全管理专家，重要数据识别有了国家标准！专家：对数据跨境流动安全管理意义重大

（原标题：重要数据识别有了国家标准！专家：对数据跨境流动安全管理意义重大）

南方财经全媒体记者马嘉璐 广州报道

如何划分一般数据、重要数据、核心数据终于有了国标版“参考答案”。3月21日，国家标准GB/T -2024《数据安全技术 数据分类分级规则》（以下简称“国标”）正式发布，给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导。国标将于2024年10月1日起正式实施。

值得注意的是，国标针对重要数据专门制定了识别指南。规范、准确识别涉及的重要数据和核心数据安全管理专家，重要数据识别有了国家标准！专家：对数据跨境流动安全管理意义重大，是建立相应数据安全保护措施、推动数据有序跨境流动的前提。国标的主要起草人之一、中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋表示，国标的出台对于我国数据跨境流动安全管理制度的实施具有重大意义，回应了社会的普遍期待。

17项考虑因素识别重要数据

根据国标，重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据。核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据，主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

此外，国标还对数据分级规则、数据分类规则、数据分级分类流程、个人信息分类、重要数据识别、一般数据分级等均作出了系统性的指导。比如，在附录《重要数据识别指南》中，提出17项考虑因素，并列举出相应的示例。举例而言，直接影响领土安全和国家统一，或反映因家自然资源基础情况，如未公开的领陆、领水、领空数据；直接影响市场经济秩序，如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据等。

“国标中从重要数据如何影响国家安全的角度给出了识别标准，是原则性的、结果导向的。”左晓栋指出，虽然没有以行业来划分，但各行业可以以本国标为指导，来提出本行业本领域的重要数据识别指南或清单，这样更好地体现了国标的指导作用。

企业数据分级须对应到一般、重要、核心

无论是加强数据安全保护还是促进数据要素流通，数据分级分类管理都是一项基础性工作。2021年9月1日正式施行的《数据安全法》明确规定“国家建立数据分类分级保护制度”；2022年12月发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》也提出要探索建立跨境数据分类分级管理机制。根据2023年9月国家网信办公布的《规范和促进数据跨境流动规定（征求意见稿）》，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。也因此，相关部门、地区对于重要数据的判定将对数据跨境流动产生直接的影响。

此次国标发布之前，重要数据的判断标准主要依靠《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法》《信息安全技术 重要数据识别指南（征求意见稿）》等文件。根据南财合规科技研究院在2023年的一项调查研究，在数据出境合规实践中，由于重要数据识别标准的模糊，许多企业对重要数据的划分“感到无从下手”。所造成的风险是，一方面，数据处理者因未识别到重要数据，故而没有完成本该履行的出境前置程序，导致合规风险；另一方面，部分数据处理者将不属于重要数据的跨境数据事项向网信部门进行申报，造成了不必要的资源浪费及负担加重。

业界对重要数据的识别标准翘首以盼。左晓栋表示，国标的出台对于我国数据跨境流动安全管理制度的实施具有重大意义，回应了社会的普遍期待。

左晓栋分析，数据的分级是为了保护的需要，体现国家意志；数据的分类则是为了便于监管和治理。但从不同监管和治理的目标出发安全管理专家，可以有多种分类方法，在国家层面没必要统一。因此，国标给出了多种数据分类框架和方法，各行业可以根据实际情况灵活适用。关于数据分级，他建议，企业可以结合具体情况进行进一步划分级别，但必须对应到一般、重要和核心三级。