信息安全管理控制规范

信息安全管理控制规范篇一：信息安全管理规范目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事件的处理过程，并负责与政府相关应急部门联络，汇报情况。 网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理 工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。 设置信息安全评估审计员，根据有限公司及省公司制定的安全审计技术规范和有关技术要求，制定实施细则。牵头对各类网络和系统实施安全技术审计工作，根据 SOX要求定期对各类网络和系统帐号、口令设置，操作日志等进行审计及复核，生成审计报告。 安全监控人员职责： 省网管中心设置安全监控人员，对全网安全设备进行集中监控；及时发现全网信息安全事件，根据故障管理相关规定进行派单和督促处理；进行安全事件上报。 各系统维护员职责： 各单位分生产系统设置兼职系统安全维护员，负责本系统网络信息安全的技术工作及相关协调工作，贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件，根据相关安全技术规范和技术要求，对本系统进行包括安全在内的日常维护。处理本系统网络安全事件，协助分析、处理复杂和重大安全事件。提升系统安全级别，降低安全隐患，减少信息安全事件的发生，保障其安全运行。 信息安全关键岗位说明： 信息安全关键岗位说明：对以下情况的工作岗位，属于信息安全关键岗位 1、掌握业务及支撑系统超级用户权限的岗位（各系统超级用户管理员，根据 SOX 要求，由各单位分管领导进行授权） 2、掌握查看客户信息（手机终端客户的 HLR 信息、位置信息、通话纪录、短信、 彩信内容等等）权限的岗位。 3、可能造成严重影响客户感知的岗位（具有进行用户群发，业务定制等权限的 岗位） 4、掌握各类安全管理系统，如集中账号管理、网络认证接入、日志审计系统情 操作行为权限的岗位（安全管理员） 为加强信息安全关键岗位的管理，对以上岗位的情况要进行梳理备案，对 1-3 类岗位，由安全审计评估人员定期进行操作审计和确认。对第 4 类人员，由省网络部定期进行审查和考核。审计要求见安全审计管理细则 。 管理规范 管理系统 本管理规范适用于四川移动各业务生产、支撑系统，包括 OA 系统、MIS 系统、BOSS 系统及其子系统、经营分析系统、客户服务系统、MISC 系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。 网络与信息安全基本要求 网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。 各级网络维护部门应加强对系统管理人员安全意识的培养，建立完善的定时定人负责制，有效明确责任，提高维护管理效率。 网络信息安全管理流程 网络信息安全管理包含以下主要流程 ? 用户帐号口令管理 ? 信息安全监控流程 ? 设备入网安全管理流程 ? 终端接入管理流程 ? 信息安全预警流程 ? 安全审计流程 ? 网络安全域管理流程 ? 网络互联安全管理流程 ? 远程接入安全管理流程 ? 网络与信息安全风险评估管理流程 ? 客户信息保密管理流程 ? 网络信息安全资源策略维护管理流程 ? 安全维护作业计划 各岗位人员职责对应说明： 安全管理流程 用户帐号口令管理 为了预防和遏制公司网络各类信息安全事件的发生，及时处理因账号使用上出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本流程。 帐号安全管理流程 信息安全监控 密切关注用户投诉情况，对所有短信息进行监控。杜绝反动、色情等有害信息。防止发现黑客攻击。 信息安全监控流程 篇二：ISMS-B-XX 信息安全管理规范 信息安全管理制度规范 目录 1 信息安全规范.(转载于: 小 龙文档 网:信息安全管理控制规范).2 总则 .2 环境管理 .2 资产管理 .4 介质管理 .4 设备管理 .5 总则 . 5 系统主机维护管理办法 .5 涉密计算机安全管理办法 .8 系统安全管理 .8 恶意代码防范管理 .9 变更管理 .9 安全事件处置 .10 监控管理和安全管理中心 .10 数据安全管理 .10 网络安全管理 . 11 操作管理 .13 安全审计管理办法 .14 信息系统应急预案 .14 附表 .错误！未定义书签。 1 信息安全规范 总则 第 1 条 为明确岗位职责，规范操作流程，确保公司信息系统的安全，根据中华人民共和国计算机 信息系统安全保护条例等有关规定，结合公司实际，特制订本制度。 第 2 条 信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用 目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第 3 条 信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则，将从物理安全、网络安 全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。 环境管理 第 1 条 信息机房由客户安排指定，但应该满足如下的要求： 1、物理位置的选择(G3) 2、防雷击(G3)3、防火(G3)4、防水和防潮(G3)5、防静电(G3)6、温湿度控制(G3)7、电磁防护(S2) 8、物理访问控制(G3)9、防盗窃和防破坏(G3)第 2 条第 3 条 由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批 准，并有专人陪同。 第 4 条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设 备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。 第 5 条 机房内应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换） 。加 强防火安全知识教育，做到会使用消防器材。加强电源管理，严禁乱接电线和违章用电。发现火险隐患，及时报告，并采取安全措施。 第 6 条 机房应保持整洁有序，地面清洁。设备要排列整齐，布线要正规，仪表要齐备，工具要到位， 资料要齐全。机房的门窗不得随意打开。 第 7 条 每天上班前和下班后对机房做日常巡检，检查机房环境、电源、设备等并做好相应记录（见 表一） 。 第 8 条 对临时进入机房工作的人员，不再发放门禁卡，在向用户单位保密部门提出申请得到批准后， 由安全保密管理员陪同进入机房工作。 资产管理 第 1 条 第 2 条 第 3 条 第 4 条 介质管理 第 1 条 建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定。 编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。 根据资产的重要程度对资产进行标识管理。 对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 篇三： 网络数据和信息安全管理规范 XXXX 有限公司 WHB-08 网络数据和信息安全管理规范 版本号:A/0 编制人：XXX 审核人：XXX 批准人：XXX 20XX 年 X 月 X 日发布 20XX 年 X 月 X 日实施 目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。 术语 本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。 普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的 Web 服务器、Email 服务器、DNS 服务器、OA 服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS 等。 有害信息，参见国家现在法律法规的定义。 重大计算机信息安全事件，是指公司对外网站（电子公告板等）上出现有害信息；有害信息通过 Email 及其他途径大面积传播或已造成较大社会影响；计算机病毒的蔓延；重要文件、数据、资料被删除、篡改、窃取；由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断；系统被入侵；页面被非法替换或者修改；主机房及设备被人为破坏；重要计算机设备被盗窃等事件。组织架构及职责分工 公司设立计算机信息及网络安全领导小组，作为公司计算机信息安全工作的领导机 构，统一归口负责外部部门（政府和其他部门）有关计算机信息安全工作和特定事件的处理。计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施，加强计算机信息安全工作的管理和指导，落实国家有关计算机信息安全的法律、法规和上级有关规定，保障公司的计算机信息的安全。 计算机信息及网络安全工作实行“谁主管，谁负责”的原则，各部门负责人对本部门计算机信息及网络安全负直接责任。 各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员，并报公司计算机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。 相关岗位信息安全职责： 计算机及网络安全员： 1）负责本部门计算机信息及网络安全工作的具体实施，及时掌握和处理有关信息安全问题。 2）定期或不定期检测本部门计算机信息及网络安全情况，发现安全漏洞和隐患及时报告，并提出整改意见、建议和技术措施。 3）指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。 4）发现计算机信息安全问题，及时处理，保护现场，追查原因，并报部门计算机信息安全领导小组。 5）定期分析计算机安全系统日志，并作相应处理。 6）验证本部门重要数据保护对象的安全控制方法和措施的有效性，对于不符合安全控制要求的提出技术整改措施，对本部门的数据备份策略进行验证并实施。 7）负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。 8）负责所管理计算机主机系统和网络设备的用户账号及授权管理。 9）定期分析操作系统日志,定期或不定期检查系统进程，在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。 10）负责指导并督促用户设置高安全性的账号口令和安全日志。 11）进行计算机信息安全事件的排除和修复，包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。 12）在正常的系统升级后，对系统重新进行安全设置，并对系统进行技术安全检查。 13）根据上级和本级计算机信息安全领导的要求，按照规定的流程进行系统升级或安全补丁程序的安装。14）管理本部门的计算机网络服务和相应端口，并进行登记备案和实施技术安全管理。 15）根据数据备份策略，完成所管理系统数据的备份、备份介质保管、数据恢复工作。 普通用户职责： 1）自觉遵守计算机信息及网络安全的法律、法规和规定。 2）负责所使用个人计算机设备及数据和业务系统账号的安全。 3）发现本部门计算机网存在的安全隐患及安全事件，及时报告部门计算机管理部门。 4）不得擅自安装、维护公司所有网络设备（包括路由器、交换机、集线器、光纤、网线） ，不得私自接入网络。各部门应保持计算机及网络安全员的相对稳定，并加强对计算机及网络安全员的教育和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时，应将其涉及的用户账号和权限及时进行变更或注销。 系统安全规定 公司计算机机房由计算机管理部门负责管理，并建立出入登记和审批制度。携带计算机设备及磁盘等存储介质进、出主机房，应经主管部门同意，并由机房管理人员进行核查登记。 各部门计算机管理部门应指定专人负责本部门计算机设备的管理，做好计算机设备的增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时，应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等，如有应采取拆卸硬盘、有效删除有关资料等有效措施，防止泄密。 使用、操作计算机设备时，应遵循以下安全要求： 1）保管好自己使用或所负责保管计算机设备的账号、口令，并不定期更换口令，不得转借、转让账号。 2）不安装和使用来历不明、没有版权的软件，对于外来的软件、数据文件等，必须先经病毒检测，确认无感染、携带病毒后方可使用。 3）不在个人使用的计算机上安装与工作无关的软件。4）不擅自更改设备的 IP 地址及网络拓扑结构及软、硬件配置。 5）在存储有重要数据的计算机上，应设置开机密码、屏幕保护密码。 6）在个人计算机上安装防病毒软件，并开启实时病毒监测功能，及时升级病毒库和软件。 7）非经计算机管理部门的有效许可，不得对网络进行安全（漏洞）扫描和对账号、口令及数据包进行侦听；不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在网络设备及主机系统进行操作还应该遵循有关网络安全规定。账号管理安全 账号的设置必须遵循“唯一性、必要性、最小授权”的原则。 唯一性原则是指每个账号对应一个用户，