第一章 總則
??????? 第一條 為規范信息化安全管理工作，確保煤礦信息系統與網絡資源在可控范圍內安全穩定的運行，保護現有的網絡、數據信息的安全，特制定制定本制度。
??????? 第二條 通過制定本制度形成一個動態以預防為主的信息安全管理方式，通過實時的監控和分析及時發現系統潛在的安全問題和風險，及時采取相應的措施以避免問題的發生，最大限度地減少安全事件帶來的風險和損失，保證信息系統的使用安全。
??????? 第三條 通過安全管理不但能夠保障己有的安全系統得到正確、有效的使用，而且能夠實際檢驗安全策略的使用情況，及時提出新的安全需求，以便及時進行升級改進或實行新的安全保護措施。
??????? 第四條 廣泛開展信息安全教育，進行信息、安全檢查，保證系統安全運行。
??????? 第二章 適用范圍
??????? 第五條 本制定適用于煤礦信息網絡的各種軟、硬件設備的綜合安全管理，對安全管理中的各項具體工作進行指導。
??????? 第六條 管理對象：
??????? 1.硬件設備：包括計算機主機及外設、網絡設備、存儲設備以及其它輔助設備。
??????? 2.物理環境：包括機房場地環境、設備維修、存儲環境等
??????? 3.通信線路：包括專用的通訊線路、網絡布線、用于數據通訊的電話線等。
??????? 4.軟件系統：包括網絡設備的配置、操作系統、應用軟件以及其它各相關的應用系統等。
??????? 5.文檔資料：包括設備及系統的使用說明及操作指南、參數配置表、運行操作記錄、故障維護處理記錄、電子數據及文檔等。
??????? 第三章 工作職責
??????? 第七條 信息中心負責煤礦信息系統運行情況進行監督檢查。
??????? 第八條 保障煤礦信息系統安全運行，負責業務數據及其它重要數據的備份管理，向上級部門上報信息、系統運行安全報告。
??????? 第九條 負責安全產品的使用、維護、升級，所有安全產品的使用，必須符合公司的審批和授權，不得擅自采購和私自試用，負責本單位的安全教育和安全管理培訓。
??????? 第四章 工作程序
??????? 第十條 軟件系統安全：軟件系統包括系統軟件及應用軟件。
??????? 1. 系統軟件指操作系統軟件和數據庫系統軟件:
??????? （1）系統軟件應使用正版軟件，其選用應充分考慮軟件的安全性、可靠性、穩定性和健壯性，并報上一級主管部門備案。
??????? （2）系統軟件必須具備身份驗證功能、訪問控制功能、故障恢復功能、安全保護功能、安全審計功能、分權制約的權限控制功能及加密功能。
??????? 2.應用軟件指各業務管理信息、系統、決策支持系統、電子商務系統、辦公自動化系統及其他軟件應用系統等，應用軟件系統必須滿足軟件規范的有關要求。
??????? 第十一條 各級信息中心、部門在軟件系統的安全管理中的作為：
??????? 1.系統運行前嚴格審查實施計劃的安全性，審查實施計劃流程是否符合整體安全策略，是否制訂相應應急措施等；
??????? 2.檢查系統運行過程中相關部門安全管理規定的執行情況；
??????? 3.系統運行結束后，組織對照實施計劃評價實施效果，對整體安全體系的影響進行相應評估。
??????? 4.由相關技術部門提供系統運行的安全報告。
??????? 5.當系統調試完畢，應建立系統維護檔案。如果系統出現變更，應該重新對該系統作安全評估，調整安全配置，并更新相應的系統檔案，必要的時候修正整體的安全策略。
??????? 第十二條 環境安全
??????? 1.機房建設必須符合國家行業建設標準和規范。
??????? 2.建立并嚴格執行機房管理制度，無關人員未經安全責任人批準嚴禁進入機房。依據有關機房管理辦法的要求，各級安全管理部門對其機房環境、機房進出、機房設施、機房物品的管理定期進行安全檢查。
??????? 3.機房工作人員必須嚴格遵守各項操作規程，定期檢查安全保障設備，確保系統安全運行及設備的安全。
??????? 4.對主機房進行開機、關機等日常的操作，建立操作程序，并建立完整的設備運行日志、操作記錄及其它與安全有關的資料。
??????? 第十三條 硬件設備安全
??????? 1.對主要的信息財產按安全等級進行適當的分類和標志，并采取相應的安全保護措施，實行安全等級保護。對于處理與敏感、有價值或重要的組織財產相關的系統應基于安全需求和風險評估進行附加的控制。
??????? 2.對系統的相關計算機和數據通信設備及其連接關系，要編制與實際相符的拓撲圖，并歸檔保存。
??????? 3.業務系統和網絡的關鍵設備應有備份策略。對業務系統設備和通信線路進行定期的檢測和維護，確保隨時處于可用狀態。
??????? 4.已開通運行的衛星通信端站，未經上級管理部門批準，不得關機，不得進行中斷性測試，嚴禁擅自改變設備參數。
??????? 5.對路由器、交換機等通訊設備必須采取嚴格的管理措施，設專人管理，未經批準不得隨意移動和接入。
??????? 6.對信息系統的計算機實體資源和定位狀況要進行逐項編號登記和建檔，未經批準不得隨意改變。
??????? 7.定期對硬件設備進行專業維護保養，如有故障，應組織專業人員進行處理。
??????? 8.應確定用戶對無人值守的設備進行適當的保護。安裝在用戶區域的設備，如工作站或文件服務器，需要特別的保護，以防在無人看守時遭受未授權的訪問。
??????? 第十四條 軟件安全
??????? 1.應用軟件應根據崗位情況、人員配置等情況進行不同級別的權限控制；
??????? 2.應用軟件本身必須具備操作日志和管理日志功能，以利于事后跟蹤查詢人員使用情況；
??????? 3.軟件使用人員應經過適當的操作培訓和安全教育；
??????? 4.建立應用軟件文檔管理制度、版本管理制度及軟件分發制度，防止軟件的盜用、誤用、流失及越權使用；
??????? 5.煤礦各部門必須根據信息中心統一部署，安裝防病毒、網絡入侵檢測軟件等監測、檢查類安全產品。
??????? 第十五條 系統操作與運行安全
??????? 1.各部門必須按照有關操作管理的要求，規范操作流程：進行訪問控制，采取嚴密的安全措施防止無關用戶進入系統，確保應用系統的安全、穩定、持續運行。
??????? 2.企業內部所有的機器應該提供口令保護功能；用戶在設置和使用口令時，應遵循好的安全習慣和口令管理的要求。操作人員應有互不相同的用戶名，定期更換操作口令。嚴禁操作人員泄露本人的操作口令。