信息安全规范

信息安全规范篇一：信息安全管理规范目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事件的处理过程，并负责与政府相关应急部门联络，汇报情况。 网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理 工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。 设置信息安全评估审计员，根据有限公司及省公司制定的安全审计技术规范和有关技术要求，制定实施细则。牵头对各类网络和系统实施安全技术审计工作，根据 SOX要求定期对各类网络和系统帐号、口令设置，操作日志等进行审计及复核，生成审计报告。 安全监控人员职责： 省网管中心设置安全监控人员，对全网安全设备进行集中监控；及时发现全网信息安全事件，根据故障管理相关规定进行派单和督促处理；进行安全事件上报。 各系统维护员职责： 各单位分生产系统设置兼职系统安全维护员，负责本系统网络信息安全的技术工作及相关协调工作，贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件，根据相关安全技术规范和技术要求，对本系统进行包括安全在内的日常维护。处理本系统网络安全事件，协助分析、处理复杂和重大安全事件。提升系统安全级别，降低安全隐患，减少信息安全事件的发生，保障其安全运行。 信息安全关键岗位说明： 信息安全关键岗位说明：对以下情况的工作岗位，属于信息安全关键岗位 1、掌握业务及支撑系统超级用户权限的岗位（各系统超级用户管理员，根据 SOX 要求，由各单位分管领导进行授权） 2、掌握查看客户信息（手机终端客户的 HLR 信息、位置信息、通话纪录、短信、 彩信内容等等）权限的岗位。 3、可能造成严重影响客户感知的岗位（具有进行用户群发，业务定制等权限的 岗位） 4、掌握各类安全管理系统，如集中账号管理、网络认证接入、日志审计系统情 操作行为权限的岗位（安全管理员） 为加强信息安全关键岗位的管理，对以上岗位的情况要进行梳理备案，对 1-3 类岗位，由安全审计评估人员定期进行操作审计和确认。对第 4 类人员，由省网络部定期进行审查和考核。审计要求见安全审计管理细则 。 管理规范 管理系统 本管理规范适用于四川移动各业务生产、支撑系统，包括 OA 系统、MIS 系统、BOSS 系统及其子系统、经营分析系统、客户服务系统、MISC 系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。 网络与信息安全基本要求 网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。 各级网络维护部门应加强对系统管理人员安全意识的培养，建立完善的定时定人负责制，有效明确责任，提高维护管理效率。 网络信息安全管理流程 网络信息安全管理包含以下主要流程 ? 用户帐号口令管理 ? 信息安全监控流程 ? 设备入网安全管理流程 ? 终端接入管理流程 ? 信息安全预警流程 ? 安全审计流程 ? 网络安全域管理流程 ? 网络互联安全管理流程 ? 远程接入安全管理流程 ? 网络与信息安全风险评估管理流程 ? 客户信息保密管理流程 ? 网络信息安全资源策略维护管理流程 ? 安全维护作业计划 各岗位人员职责对应说明： 安全管理流程 用户帐号口令管理 为了预防和遏制公司网络各类信息安全事件的发生，及时处理因账号使用上出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本流程。 帐号安全管理流程 信息安全监控 密切关注用户投诉情况，对所有短信息进行监控。杜绝反动、色情等有害信息。防止发现黑客攻击。 信息安全监控流程 篇二：信息安全管理规范 通用版 信息安全管理规范及保密制度（通用版） 第一章 总则 第 1 条 为明确岗位职责，规范操作流程，确保公司信息资产的安全，特制订本制度。 第 2 条 本制度适用于公司所有员工。 第二章 电子邮件管理制度 第 3 条 行政人力部必须在员工入职三天内，向员工分配企业邮箱的个人用户名和密码。 第 4 条 公司邮箱账户限本人使用，禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码，并且在使用中定期（最多 3 个月）修改邮箱的密码，以防他人利用。密码至少为 8 位，且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失，由用户自行承担责任。 第 5 条 员工的对外往来的公务邮件，原则上必须使用公司统一后缀的邮箱；对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部 INTERNET 网上。公务用邮件时，必须使用含有以下字样的个人签名： 声明：您有义务对本邮件内容进行保密，未经书面允许不可私自复制、转发、散布。 第 6 条 收到危害社会安定的邮件，应及时删除，严禁转发或点击相应链接，若因此造成不良影响或损失的，由用户个人承担责任，管理员发现类似现象的有权封锁相关邮件账户。发现邮件感染病毒，立刻将计算机断开公司网络，并使用相应软件进行杀毒。 第 7 条 发送带有公司涉密信息的邮件，发件人必须先经部门领导同意， （若是绝密级别，需经公司领导同意） ，并将涉密信息加密处理后方可发送；否则视情节严重程度予以处理。 第 8 条 员工离职时，根据需要交由部门专人监管一个月，后由行政人 力部注销。第 9 条 违反以上电子邮件管理规定，视情节轻重，最低经济处罚 50 元，并交行政人力部处理；情节特别严重的将移交国家司法机关，追究法律责任。 第三章 数据安全管理制度 第 10 条 为保证存储商业机密的计算机、文件、光盘等不会轻易泄露，公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度；同时储存涉及技术及商业机密的计算机均应进行 CMOS 加密及屏幕保护加密。此两项密码除使用者本人拥有外，应向本部门经理备份，不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者，其行为等同于故意泄密，公司将按照人力资源奖惩制度予以严肃查处。 第 11 条 计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时，应及时与管理员联系并采取保护数据安全的措施。 第 12 条 计算机终端用户未做好备份前不得删除任何硬盘数据，对重要的数据应保存双份，存放在不同位置，并进行定期检查，防止数据丢失。 第 13 条 计算机、服务器或存储设备，停止使用或使用前须进行低级格式化。第四章 网络安全管理 第 14 条 未进行安全配置、未装防火墙或杀毒软件的计算机终端，不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件进行升级、更新，并定期进行病毒查杀。 第 15 条 计算机终端用户应使用开机密码，屏保密码等。并定期更改。员工应妥善保管所掌握的各类办公账号和密码，严禁随意向他人泄露、借用自己的账号密码。 第 16 条 IP 地址为计算机网络的重要资源，公司员工应在管理员的规划下使用这些资源，不得擅自更改。对于影响网络安全的系统服务，员工应在管理员的知道下使用，禁止随意开启关闭计算机中的系统服务，保证计算机的网络畅通运行。 第 17 条 禁止未授权用户接入公司网络及访问网络中的资源。 第 18 条 经远程通信传送的程序或数据，必须经过检查无病毒后方可打开或运行。第五章 计算机安全管理 第 19 条 办公电脑硬盘机文件夹不得一直处于“共享”状态，如果需要共享时，必须设置密码，或设定用户权限，以限制用户；用毕，立即取消共享状态。不得下载和使用未经测试和来历不明的软件、未经病毒查杀不得使用 U 盘等介质。 第 20 条 计算机必须设置开机密码、屏保密码等，自动屏保开启时间要求为 5 分钟；密码长度至少为 8 位，且为字母、数字等的组合，不可过于简单。 第 21 条 台式机机箱需加锁，防止设备丢失。计算机终端用户不得挪用办公电脑硬盘等，违反规定挪用者，视为故意违反安全规定，视情节严重程度，交由行政人力部处理。 第六章 公司保密制度 第 22 条 公司秘密分为三类：绝密、机密、秘密。 绝密：是指与公司生存、生产、科研、经营、人事有重大利益关系，一旦泄露会使公司的安全和利益遭受特别严重损害的事项，主要包括以下内容： 1.公司股份构成，投资情况，新产品、新技术开发资料，客户资料，商业计划等。 2.公司总体发展规划、经营策略、营销策略、商务谈判内容，正式合同和协议文书。 3.按信息科技文件保密管理规定属于绝密级别的各种档案。 4.公司高层管理人员及其他对公司经营管理产生重大影响的会议纪要。 机密：是指与本公司的生存、生产、科研、经营、人事有重要利益关系，一旦泄露会使公司安全和利益遭受严重损害的事项，主要包括以下内容： 1.尚未确定的公司重要人事调整及安排情况，人力资源部对管理人员的考评材料。 2.公司与客户、外部高层人士、科研人员的来往情况及其载体。 3.公司薪金制度，财务专用印鉴、账号，保险柜密码，月度、季度、年 度的财务预、决算报告及各类财务、统计报表，电脑开启密码，重要磁盘、磁带的内容及其存放位置。4.按照信息科技文件保密管理规定属于机密级别的各种档案。 5.获得竞争对手情况的方法、渠道及公司相应对策。 6.外事活动中内部掌握的原则及政策。 7.公司高层管理人员的家庭住址。 8.公司总经理召开的经营管理工作会议的会议纪要。 秘密：是指与本公司的生存、生产、科研、经营、人事有较大利益关系，一旦泄露会使公司的安全和利益遭受损害的事项，主要包括以下内容： 1.市场调查预测情况，未来新产品的市场预测情况。 2.公司内部制度检查，奖惩措施及执行情况。 3.生产、技术、财务部门的安全保卫情况。 4.公司内部各类通知及邮件等。 5.按信息科技文件保密管理规定属于秘密级别的各种档案。 6.公司部门例会会议纪要。 第 23 条 各密级知晓范围 绝密级 公司高层管理人员及与绝密内容有直接关系的工作人员。 机密级 经理级别以上管理人员以及与机密内容有直接关系的工作人员。 秘密级 项目经理级别以上管理人员以及与秘密内容有直接关系的工作人员。 第 24 条 保密守则 1.公司员工必须有保密意识，做到不该问的绝不问，不该说的绝不说，不该看的绝不看。 2.员工认知期间的工作成果归公司所有，并按企业员工保密合同及本制度进行管理。 3.任何人不得以任何形式在互联网上直接暴露公司研发项目的名称，团队交流尽可能采用拼音缩写等形式。 4.未经公司管理层同意，员工不得随意将可能涉及公司技术及商业秘密的文件、数据等带离公司（包括带回家中或是其它地方） 。经管理层批准，可将涉及公司的技术及商业秘密的文件、数据带离公司的员工，必须采取必要的安全防范措施，保证相关资料不被泄露。如因失窃等因素而导致公司的商业和技术机密泄露，公司将对相关责任人按“玩忽职守”予以经济或行政处罚。5.禁止任何非本公司员工在任何时间内非经允许使用本公司的计算机等办公设备，在确有需要使用本公司计算机等办公设备，须由本公司正式员工向本部门经理及综合部相关负责人提出申请，取得同意后方可在指定区域内使用，负责申请之员工须保证使用人不能访问涉及公司机密的任何内容。 6.任何非本公司外来人员需要经由领导同意，并登记备案后方可入内，且不可出入机房要地。 7.所有员工不得随意拷贝与自身业务无关的文件（文档） ，复印或用其他方法取得公司商业秘密。如确有工作需要，须事先由本部门经理向总经理申请，获得签字同意后方可在相关部门经理的指导下进行。 8.严禁在公共场合、私人交往、公用电话、传真上交谈、传递保密事项。 9.员工发现公司秘密已经泄漏或可能泄漏时，应立即采取补救措施，并及时报告公司高层。 10.掌握公司秘密的人员在工作变动时，应及时办理交接手续，并由主管领导签字。 11.除本制度外，关键岗位人员还应遵守关键岗位信息安全规范及保密制度 。 第七章 其他 第 25 条 对于由于工作失误或没按照本制度执行而导致公司商业秘密泄露者，公司将视情节轻重给以相应的经济及行政处罚；对于有意泄露公司机密者，公司除将立即与其解除劳动合同、并对其处以经济及行政处分外，还将视其行为后果的严重性，保留追究其刑事责任的权利。 第 26 条 本制度由公司各部门进行实施，企业管理部进行监督，修订权归公司所有。自*年*月*日起生效。篇三：企业信息安全管理制度企业信息安全管理制度 编制： 校对： 审核： 企业信息安全管理制度 近年来， 随着计算机技术和信息技术的飞速发展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设，如何进行信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。 一、前言：企业的信息及其安全隐患。 在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面： A. 技术图纸。主要存在于技术部、项目部、质管部。.B. 商务信息。主要存在于采购部、客服部。 C. 财务信息。主要存在于财务部。 D 服务器信息。主要存在于信管部。 E 密码信息。存在于各部门所有员工。 针对以上涉及到安全的信息，在企业中存在如下风险：1 来自企业外的风险 病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。 不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及 DDoS 分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。 2、来自企业内的风险 文件的传输风险。若有员工将公司重要文件以QQ、MSN 发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文 件和重要资料带走，会造成企业信息的外泄。 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将(转载于: 小 龙文档 网:信息安全规范)文件资料拷贝出公司，可能会泄露企业机 密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。 上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握， 可能会窃取此用户权限内的信息资料和业务数据；若管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。 机房设备风险。主要包括服务器、UPS 电源、网络交换机、电话交换机、光端机等。这些风险来自防 盗、防雷、防火、防水。若这些自然灾害发生，可能会损坏机房设施，造成业务中断。 办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本 部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到，可能会泄露部门工作机密，甚至是公司机密。 为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基础，各部门具体细则为安全管理行为标准，从各个层面杜绝信息安全隐患。 二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。 1.计算机设备安全管理。 1） 公司所有人员应保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2） 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向信息管理部报告，不允许私自处理和维修。 3）发现由以下等个人原因造成硬件的损坏或丢失的，其损失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进行处理。 4）下班后所有不再使用的计算机，应关闭主机电源，以防止意外，对于共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。 2.部门资料安全管理。1） 外接存储设备安全管理。 严禁所有人员以个人介质光盘、U 盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示此行为，并以公司存储设备做文件拷贝。为确保硬盘的安全，严禁任何人私自拆开电脑机箱：将用户主机贴上封条标签，除信管部人员外，任何人不得私自拆开机箱，若信管部进行电脑硬件故障排查时，拆除封条标签后，在故障排查结束及时更换新的封条标签。信管部将定期检查，若发现有封条拆开痕迹，将查看视频监控记录，追查相关人责任。给每台电脑主机配备锁柜，将所有用户主机存放在锁柜内，锁柜钥匙统一由信管部保管，若需要为用户处理电脑故障时，信管部在打开锁柜处理完电脑故障时，一定要锁好主机柜，确保主机内硬盘的安全。 2） 文件传真安全管理。 所有人员对外发送传真，必须经上级核实后，统一在综合部登记，由综合部发送，严禁个人私自在未经许可的情况下对外发送任何类型的传真文件，一经发现，所有后果将由个人承担。在对内传真文件时，应即刻通知传真接收人接收并取走传真件，在传真结束时，应马上取走传真原件。若因传真时没有取走传真件，导致传真件丢失，造成本部门信息外泄，则由本人承担一切后果。 3） 文件打印安全管理。 所有人员不得私自将公司文件打印带出公司，一经发现，严肃处理。若在上班时间，打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，若因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件。禁止一切打印后未及时取走打印文件的行为，一经发现，将对本人警告，若因打印后，文件丢失，造成信息资料外泄，则由本人承担相关责任。 4） 文件的存储安全管理。 所有部门人员应每周清理计算机中的文件，清除不需要的垃圾文件，将重要的文件和工作资料保存在特定的文件夹里，每月末应将电脑中的文件资料做一次备份，将文件资料备份到部门专用 U 盘或移动硬盘上，确保个人工作资料的文件归档，在电脑突发性故障或硬盘损坏时，能够及时恢复最近的工作资料；电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份，造成数据资料丢失时，将由本人承担相关后果。若员工离职，在办完离职手续后，所在部门负责人应联系信管部协助将此员工工作资料拷贝到部门 U 盘或移动硬盘上，若没有执行此安全过程，离职员工损失的文件资料由该部门承担。 5） 办公区域的安全管理。 所有部门人员每天下班时应保证办公桌的整洁，将部门重要文件资料存放在个人抽屉柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好，被他人取走， 造成的后果将由本人承担。3.帐号密码安全管理。 使用者须妥善保管好自己的帐户和密码。严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工，员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产，设置密码时