三方公司安全管理制度.docx

精选资料第三方预付卡有限公司安全管理制度（密级：机密）记录编号YJ-WI-TD03-2013序号201402修订/版次A / 1生效日期2014年4月10日编制部门技术部编写邱明浩会签审核风控部批准唐一品文件修订记录版次/修订日期作者变更记录A / 02013-07-15邱明浩文档初始化A / 12014-04-10邱明浩调整相关格式，增加修订记录目录1.目的42.适用范围43.职责分配44.管理内容44.1.安全管理的定义44.2.公司安全原则54.3.与安全小组积极沟通54.4.机房环境和设备资产管理54.5.网络安全管理54.6.计算机系统安全管理74.7.客户端安全管理84.8.信息安全专用产品管理94.9.文档、数据与密码应用安全管理94.10.信息通报、灾难备份与应急管理104.11.安全监测、检查、评估与审计114.12.安全培训与考核114.13.奖励与处罚124.14.解释权13安全管理制度1. 目的为强化第三方支付有限公司（以下简称“公司”）信息安全管理，防范计算机信息技术风险，保障计算机网络与信息系统安全和稳定运行，根据国家相关法律法规及公司需求，特制定本制度。2. 适用范围本制度适用于公司全体人员。3. 职责分配3.1. 公司对信息安全管理工作实行统一领导。在总经理的领导下成立安全领导小组。安全小组对总经理负责，协助总经理起草、执行及监督安全制度措施的落实。各部门实行安全责任经理负责制。3.2. 各部门应由本部门负责人和相关部门主要负责人，共同协调本部门信息安全管理工作，决策本部门内信息安全重大事宜。3.3. 各岗位人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。3.4. 行政人事部负责按照人员招聘管理规定、人员调配管理规定、人员离职管理规定等人力资源管理流程保证公司关键岗位人员的能力素质与岗位要求相匹配。4. 管理内容4.1. 本制度所称信息安全管理，是指公司信息系统建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。4.2. 公司安全原则为“谁主管谁负责，谁运行谁负责，谁使用谁负责”，逐级落实信息安全责任制。4.3. 各部门遇到安全问题应及时上报，与安全小组积极沟通到位，确保安全问题做到及时解决。4.4. 机房环境和设备资产管理4.4.1. 本制度所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。4.4.2. 机房的规划、建设、改造、运行、维护由系统部负责，相关设备采购纳入集中采购。机房的消防、视频监视录像、门禁等子系统的规划、建设、运行和维护由系统部和安全小组协商确定。4.4.3. 机房投入使用前，应经过公司安全小组组织的验收，并出具明确结论的验收报告。未经验收或验收不合格的均不得投入使用。4.4.4. 时时建立健全机房管理制度，并指派专人担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料，并随时提供调阅。4.4.5. 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。4.4.6. 行政人事部应建立完备的计算机设备登记制度，严格资产管理，明确计算机设备使用者或管理者及其安全责任。4.5. 网络安全管理4.5.1. 安全小组负责监督网络安全的统一规划、建设部署、策略配置和网络资源（网络设备、通讯线路、IP地址和域名等）分配等方面的安全工作落实情况。4.5.2. 行政人事部按照安全小组的统一规划和总体部署，组织实施网络建设、改造工程。4.5.3. 公司网络建设和改造应符合如下基本安全要求：4.5.3.1. 符合网络安全管理要求，保障网络传输与应用安全。4.5.3.2. 具备必要的网络监测、跟踪等管理功能。4.5.3.3. 针对不同的网络安全域，采取必要的安全隔离措施。4.5.3.4. 办公网络按照部门划分不同的安全区域，核心部门如研发、财务应使用单独的安全域进行保护。4.5.3.5. 生产网络应按照系统安全级别划分不同的安全区域，如数据库、前置业务、网络支付、数据仓库等应使用单独的安全域进行保护。4.5.4. 公司系统部应建立健全网络安全运行管理规定，配备专职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。4.5.5. 网络管理员应具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能，紧急情况下，经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。4.5.6. 系统部应严格网络变更管理，网络管理员实施有可能影响网络正常运行的重大网络变更，应提前通知所有使用部门并安排在夜间进行，同时做好配置参数的备份和应急恢复准备。 4.5.7. 系统部应严格管理远程访问控制，确因工作需要进行远程访问的部门和人员应向系统部提出书面申请，并采取相应的安全防护措施。4.5.8. 公司内部网络与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机，不得直接接入国际互联网。4.5.9. 机房内计算机接入国际互联网应通过安全小组批准，并确保安装有安全小组选定的防病毒软件和最新补丁程序。系统部凭相关批准证明实施联网，并做好备案。未经安全小组的安全检测，曾接入国际互联网的计算机不得直接接入内部网络。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。4.5.10. 使用国际互联网的所有用户应遵守国家有关法律法规和公司相关管理规定，不得从事任何违法违规活动。4.6. 计算机系统安全管理4.6.1. 本制度所指的计算机系统是公司业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。4.6.2. 计算机系统开发应符合软件工程规范，依据安全需求进行安全设计，保证安全功能的完整实现。4.6.3. 计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。4.6.4. 计算机系统开发、测试、修改工作不得在生产环境中进行。4.6.5. 计算机系统上线运行具体要求：技术部测试小组应组织制定测试方案，进行系统上线前的自测试并形成测试报告。4.6.6. 系统部应明确系统管理员，具体负责计算机系统的日常运行管理，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。4.6.7. 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的，应征得业务部门同意并在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。4.6.8. 未经主管领导书面批准，其他任何人不得擅自使用业务操作人员用机，不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据，不得擅自改变用户权限。4.6.9. 技术部负责计算机系统用户和权限设定，系统部根据授权进行相关设定操作。4.6.10. 业务操作人员严格按照业务操作规程进行业务操作、数据备份，并保障信息安全。一旦发现计算机系统运行异常及时向本部门领导和系统部报告。4.6.11. 凡是能够执行录入、审核权限的计算机系统，业务操作人员不得一人兼录入、审核两职。未经业务部门主管领导批准，不得代岗、兼岗。4.6.12. 业务操作人员离开操作用机时，应按序退出计算机系统，回到操作系统初始状态，防止业务数据被复制、修改、删除以及误操作。4.6.13. 实行计算机系统废止申报、备案制度。使用计算机系统的业务部门根据需要向技术部提出废止申请，由系统部组织进行安全检查后予以废止，同时备案。4.6.14. 对已经废止的计算机系统软件和数据备份介质，系统部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的，应在安全小组监督下予以不可恢复性销毁。4.7. 客户端安全管理4.7.1. 各部门客户端不得安装和使用与工作无关的软件。4.7.2. 系统部要及时安装、更新系统必要的补丁程序。4.7.3. 客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护措施，确保安装最新的病毒特征码和必要的补丁程序。4.7.4. 确因工作需要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。4.8. 信息安全专用产品管理4.8.1. 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置，由系统部在可信网络内采取了必要的安全控制措施后进行操作。4.9. 文档、数据与密码应用安全管理4.9.1. 本制度所称技术文档是指公司网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。4.9.2. 技术文档实行借阅登记。未经技术部负责人审核及总经理批准，任何人不得将技术文档转借、复制和对外公布。4.9.3. 所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应异地存放。4.9.4. 各部门应做好存储介质在物理传输过程中的安全控制，应选择可靠的传递方式和防盗控制措施，应加强对移动存储设备（盘、软盘、移动硬盘）的管理。4.9.5. 各部门应建立存储介质销毁制度，对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。4.9.6. 本制度中所称的数据是指以电子形式存储的公司业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。4.9.7. 系统部应严格管理业务数据的增加、修改、删除等变更操作，适时进行业务数据有效性检查，按照既定备份策略执行数据备份任务，并定期测试备份数据的有效性和预演数据恢复流程。4.9.8. 系统部应明确规定备份数据的保存时限，建立备份数据销毁登记制度，并根据数据重要性级别分类采取相应的安全销毁措施。4.9.9. 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。4.9.10. 系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码，至少每三个月更换一次。口令密码的强度应满足不同安全性要求。4.9.11. 敏感计算机系统和设备的口令密码设置应在安全的环境下进行4.9.12. 系统部选用的密码产品和加密算法应符合国家相关密码管理政策规定。4.9.13. 技术部和系统部应建立严格的密钥管理规定，选择密码管理人员必须是公司在编的正式员工，规范管理密钥产生、存储、分发、使用、废除、销毁等过程。4.10. 信息通报、灾难备份与应急管理4.10.1. 各部门应及时对安全事件进行信息通报，一般信息安全事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件（下称“重大信息安全事件”）应直接报总经理。4.10.2. 重大信息安全事件发生后，相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及时报告安全小组和主管领导。4.10.3. 各部门应在重大信息安全事件发生后的30分钟内按规定程序报安全小组及总经理，由安全小组决定是否发布预警信息或启动应急预案。4.10.4. 灾难备份是指利用技术、管理手段以及相关资源，确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件（以下称“灾难”）发生后在最短的时间内可以恢复和继续运营的有序管理过程。4.10.5. 安全小组按照“统筹安排、资源共享”的原则，负责公司重要信息系统灾难备份的统一规划、实施和管理。4.10.6. 安全小组负责统计总结系统灾难备份需求，确定灾难备份方案。4.10.7. 系统部应建立健全灾难恢复计划，定期开展灾难恢复培训。在条件许可的情况下，由安全小组统一部署，重要信息系统至少每年进行一次灾难恢复演练。4.10.8. 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿，甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。4.10.9. 系统部应和安全小组制定和不断完善网络、计算机系统和机房环境等应急预案。4.10.10. 安全小组定期组织应急预案的演练，根据人员、信息资源等变动情况以及演练情况适时予以更新和完善，确保应急预案的有效性和灾难发生时的可获取性。4.10.11. 安全小组统一负责各业务系统的应急协调与指挥，决策重大事宜（决定应急预案的启动、灾难宣告等）和调动应急资源。4.11. 安全监测、检查、评估与审计4.11.1. 系统部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源，加强对网络、重要计算机系统和机房环境等设施的安全运行监测。4.11.2. 系统部应建立运行监测日报，报送安全小组。4.11.3. 安全小组应至少每年组织一次公司的信息安全专项检查。4.11.4. 安全小组在开展安全检查前应以安全管理制度为依据制定详细的检查方案和计划，确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告，经安全小组领导批准后将检查整改报告尽快送达被检查部门。要求限期整改的，需要对相关整改情况进行后续跟踪。4.11.5. 安全小组每年至少组织一次对公司信息系统的安全评估。4.11.6. 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前，应制定评估方案并进行必要的培训。评估结束后，形成评估报告，提出整改意见报总经理。4.11.7. 技术部在支持与配合安全小组开展检查信息安全工作的同时，应适时开展信息系统日常运行管理和信息安全事件全过程的技术审计，发现问题及时报安全小组。4.11.8. 系统部应完整保留相关日志记录，涉及资金交易的业务系统日志应根据需要确定保留时间。4.11.9.