xxx信息安全管理制度.doc

项目标号密级：绝密 机密 限制 一般草稿文档：正式文档：正式文档修正：上海xxx电子商务有限公司信息安全管理制度目录第一章 关于信息安全的总述2第二章 信息安全管理的组织架构3第三章 岗位和人员管理3第四章 信息分级与管理3第五章 信息安全管理准则4第六章 信息安全风险评估和审计8第七章 培训9第八章 奖惩9第九章 附则9第一章 关于信息安全的总述第一条 （制度的目的）为了维护公司信息的安全，确保公司不因信息安全问题遭受损失，根据公司章程及相关制度，特制定本制度。第二条 （信息安全的概念）本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中，做到以下工作：1）确保信息保密，但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息；2）保证信息完整和不被灭失，但在特定的情况下应当销毁一些不应保存的信息档案；3）保证信息的可用性。 第三条 （制度的任务）通过对具体工作中关于信息安全管理的规定，提高全体员工的安全意识，增强公司经营过程中信息的安全保障，最终确保公司所有信息得到有效的安全管理，维护公司利益。 第四条 （制度的地位）本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。 第五条 （制度的适用范围）全体员工均必须自觉维护公司信息的安全，遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人，均予以追究。 第六条 （信息的概念）本制度所称的信息是指一切与公司经营有关情况的反映（或者虽然与公司经营无关，但其产生或存储是发生在公司控制的介质中），它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容，其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说，包括但不限于下列类型： 1、 与公司业务相关的各个业务系统中的信息，如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等； 2、 与公司业务相关的各种业务数据，如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等； 3、 与公司内部管理相关的各类行政数据，如人事资料、人事组织结构等； 4、 与公司财务管理相关的财务类数据，如采购信息、资产信息、财务信息； 5、 其他如公司各分子公司和外地办事结构的数据；公司员工对内、对外进行各种书面的、口头的信息传播行为等。 第七条 （信息安全工作的重要性）信息安全管理是公司内部管理的一项重要及长期性的工作，其贯穿整个公司各项业务与各个工作岗位，各个中心和部门必须积极配合该项工作的开展。第二章 信息安全管理的组织架构第八条 公司最高管理层是公司信息安全管理工作的最高领导者，负责全面把握公司信息安全管理工作的方向。 第九条 公司CTO以及其领导的技术专家小组作为信息安全管理工作顾问小组，负责指导公司信息安全管理工作。 第十条 公司成立专门的信息安全管理工作小组，负责检查信息管理风险、制定安全管理规范、监督公司信息安全管理工作。 第十一条 公司人力资源部、法务部、支付运维部及技术专家小组作为信息安全管理辅助执行机构配合信息安全小组工作执行。第三章 岗位和人员管理第十二条 涉及到信息安全的岗位和人员的权责必须清晰明确，建立责任人机制，任何信息都有明确的责任人进行负责。 第十三条 加强对机要岗位人员的管理，严格控制机要岗位人员的人事变动，加强日常工作监管。 第十四条 定期对员工进行信息安全培训，确保员工了解信息安全存在的威胁和问题，在日常工作中切实遵守信息安全政策。 第四章 信息分级与管理第十五条 信息分级依据信息的价值，或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。 第十六条 公司各类经营管理信息均属公司无形资产，都必须按照规定的分级方式进行分级，并明确标注。第十七条 公司为每级信息制定最低安全操作原则，以指导各项具体操作手册的制定和具体信息操作。第十八条 注：详细的信息分级标准，以及最低安全操作原则，见信息分级和管理标准。第五章 信息安全管理准则第一节 实体和环境安全第十九条 关键或敏感信息的存放和处理设备需要放在安全的地方，并使用相应的安全防护设备和准入控制手段进行保护，确保这些信息或设备免受未经授权的访问、损害或者干扰。具体措施如下： 1. 存放或处理信息的设备，如服务器、存储设备等，应该放在公司内部机房或专业、可信的IDC机房内。 2. 存放公司重要信息的IT设备接入网络环境（特别是接入公网环境）必须经过严格的安全检查，配备符合安全要求的网络设备和安全防范设备，并采取有效的管理措施确保不被入侵或数据泄露。 3. 对于那些不能放在机房里，但又存放有关键或敏感信息的设备，如文件服务器，代码管理服务器等，必须放在有严格进出限制的房间里，不得放在公共办公区域。 4. 对于存放纸质文件的文件柜和文件室，必须有锁或其他安全控制装置，并指定专人负责文件取放。 5. 对于纸质文件或可移动存储介质，暂时不用时，需存放在合适的加锁的柜子和/或其它形式的安全设备中，并且可移动存储介质上的重要文件需要加密保护。 第二十条 严格控制进出安全区域的人员，并使用必要的监控设备或手段监视人员在安全区域的行为。具体包括： 1. 安全区域是指为存放关键或敏感信息，以及信息处理设备，而划分出来有进入控制手段的区域。 2. 内部员工进入安全区域必须经过授权，并登记进入和离开时间。 3. 外来人员在安全区内工作，除需要经过授权外，必须在适当的监视下进行工作。 4. 人员随身携带物品或设备进出安全区域必须经过检查。 第二十一条 存放关键或敏感信息的介质或设备离开工作环境（安全区域），运输、携带或在外部使用，需采取保护手段，防止信息窃取和损坏。第二十二条 存放关键或敏感信息的介质或设备，如果不再使用或转作其他用途，应将其中的数据进行彻底销毁。应注意选择数据销毁手段，确保数据真正无法恢复。 第二节 操作管理第二十三条 明确所有信息处理操作的流程，明确流程中每个环节的责任，确保信息处理过程安全无误。具体措施如下：1. 信息处理过程或操作步骤应整理成正式文档，改动处理过程必须得到管理层授权，操作人员必须按照信息处理的规定程序操作； 2. 信息处理职责划分清晰，并通过访问控制、接触限制机制确定授权人员身份； 3. 定期检查人员权限列表。 第二十四条 信息系统必须建立详细的操作规范和要求，并对这些操作规范进行备案，进行定期检查，及时更新操作规范。第二十五条 各信息管理部门应采取有效取防范措施防止和检测恶意软件的入侵信息系统或设备，防范措施必须由安全部门制定或经过安全部门审核。第二十六条 根据信息使用特性建立备份策略和恢复流程，留存一个或多个数据备份，并演练数据恢复流程。 第二十七条 信息系统应记录操作日志、事件日志和错误日志，根据信息等级和类型制定日志信息的保存期限，并且在适当的时候可监视设备运行和操作环境情况。 第三节 访问控制第二十八条 制定正式流程控制信息系统访问权限与服务使用权限的分配。这些流程应该涉及用户访问生命周期的各个阶段，从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册，定期对用户访问权限进行检查。第二十九条 公司统一建立员工的身份信息库，并为每位员工配备相应身份卡，所有信息必须使用实名访问，除非信息明确标注可被匿名访问或使用其他认证策略。对于纸质文档的借阅、复印等需用身份卡进行实名登记，对于信息系统的访问必须使用统一的用户实名认证。 第三十条 信息的逻辑访问权仅应授予合法用户，信息系统应该满足以下要求： 1. 根据已经确定的业务访问控制策略来控制信息系统功能的用户访问权； 2. 防止能够越过系统访问控制措施的实用程序和操作系统软件的非法访问； 3. 不妨害其它与之共享信息资源的系统的安全； 4. 仅能向信息所有者、其它指定的合法个人或定义的用户组提供信息访问。 第四节 系统开发和维护第三十一条 新系统和改进系统在建设过程中都应该考虑信息安全的需求，并采取相应的防范措施，包括：1. 系统包括基础设施、自主开发的业务应用程序和第三方开发的应用程序； 2. 涉及关键或敏感信息的基础设施和自主开发程序的安全设计方案必须经过信息安全管理组织审核； 3. 从外部采购商用软件或系统需要进行安全评估，需要达到公司信息安全要求。 第三十二条 系统开发过程的产物（如设计文档，源代码，算法等）应严格管理，确保无关人员无法接触，并可有效控制这些产物传播范围。第三十三条 对于系统中不可避免需要暴露的敏感信息，必须采取有效措施确保信息不会被无关人员获取或者确保信息不可被非法使用。第三十四条 系统开发过程必须有配套的项目管理工作，以保证相关项目中可能涉及到信息得到有效的管理。第三十五条 系统维护必须做到权限清晰，系统中的重要数据必须指定专人负责数据管。第三十六条 开发、测试和线上环境分开，重要系统的开发、测试和维护职责必须分离。系统开发或变更结束，开发团队应与维护团队进行正式的系统交接工作，并提供必要的技术文档。 第五节 信息流转、使用和发布第三十七条 公司信息对外发布由公司负责公共关系及投资者关系的部门统一负责，所有员工应当严格遵守相关部门制定的信息发布政策。第三十八条 采取有效措施保护通过网络传送的关键或敏感信息，具体措施如下： 1、 利用公共网络传送信息或进行交易处理，应评估可能的信息风险，确定信息传送的完整性、机密性、身份鉴别及不可否认性等安全需求，并针对数据传输、网络线路与设备、与外部的网络接口及路由器等事项，采取妥善适当的安全控管措施。 2、 开放外界连接的信息系统，应根据数据及系统重要性和价值，采用数据加密、身份鉴别、电子签名、防火墙及安全漏洞侦测等不同安全类型的技术或措施，防止数据及系统被侵入、破坏、窜改、删除及未经授权的存取。 与外界网络连接的接口，应使用防火墙及其他必要的安全设施，控管外界与公司内部网络的数据传输与资源存取。 4、 开放外界连接的信息系统，必要时应以代理服务器等方式提供外界存取数据，避免外界直接进入信息系统或数据库存取数据。 5、 存有关键或敏感信息的系统，应加强安全保护措施，防止关键或敏感信息遭不当或不法的窃取使用。 6、 内部员工之间或内部员工与外部人员发送关键或敏感的信息，必须使用公司信息安全管理组织指定的传送方式。 第三十九条 公司应采取有效措施保护通过邮件传送的关键或敏感数据，具体措施如下：1、 机密性数据以外的敏感性数据及文件，如有电子传送的需要，各部门应是需要以适当的加密或电子签名等安全技术处理； 2、 机密数据原则上不建议使用电子邮件传送。如果业务性质特殊，必须利用电子邮件或其他电子方式传送机密性数据及文件，应采用公司认可的加密或电子签名等安全技术处理。 第四十条 机要信息通过网络传播必须加密，正文和密码必须采取两个以上的通路进行发送。第四十一条 为了规避转发带来的信息泄漏风险，机要信息从源到使用环境，禁止通过中间环节进行转发，特殊情况需要经过公司高层批准。 第四十二条 严格控制信息使用需求，涉及到关键或敏感的信息必须严格进行审批： 1、 对于各类信息的需求方必须明确，需求方的变化必须进行审核，机要信息需求方发生变化必须得到公司高层批准； 2、 信息的使用需求必须明确，使用需求发生变化必须进行审核，机要信息的使用需求发生变更必须得到公司高层批准。 第四十三条 信息使用者必须确保信息使用环境的安全，并在使用完毕后妥善处理信息（视信息类型不同，采取归还、归档或者销毁等操作），在未经授权的情况下不得擅自传播信息。第四十四条 管理信息流转和使用的组织应致力于实现信息流转的程序化和自动化，减少信息流转环节，以及不必要的人为接触，提高信息安全和工作效率。第六节 安全事故和故障处理第四十五条 各个信息系统必须建立事故和故障的应急处理预案，尽量降低事故和故障对公司经营的影响。第四十六条 安全事故汇报，将影响安全的事故通过适当的管理渠道尽快向管理层汇报。 第四十七条 安全部门定期发布安全漏洞报告，列举安全漏洞和安全风险，以及可以采取的解决措施，相关部门积极配合改进。 第四十八条 安全事故发生后，回顾事故处理过程，分析事故原因，从事故中吸取教训。 第七节 业务连续性管理第四十九条 公司重要的业务，特别是重要的IT应用和信息管理系统，必须考虑如何防止业务中断，保证重要业务流程不受重大故障和灾难的影响。第五十条 重要IT系统需要制定和实施连续性计划，内容包括： 1. 确定并认可各项责任和应急程序； 2. 确定执行应急程序可以在规定时间内恢复IT系统； 3. 适当地对员工进行培训，让他们了解包括危机管理在内的应急程序； 4. 应急程序定期演练。 第五十一条 业务连续性计划需要定期进行检查、维护，甚至重新分析。第六章 信息安全风险评估和审计第五十二条 信息安全风险评估主要是为了发现公司信息管理的安全漏洞，评估信息安全风险对公司的影响以及提出相应改进的措施。第五十三条 信息安全风险评估主要由公司的安全部门和信息安全管理组织承担，由其制定相关风险评估模型并定期对各系统和流程进行评估。 第五十四条 信息安全审计主要是为了审核各级组织和系统是否按照公司相关制度和流程进行信息安全管理。 第五十五条 公司根据相关内部审计制度建立信息安全审计