企业信息安全管理制度(试行)

XX 公司信息安全管理制度 试行 第一章总则 第一条 为保证信息系统安全可靠稳定运行 降低或阻止 人为或自然因素从物理层面对公司信息系统的保密性 完整性 可用性带来的安全威胁 结合公司实际 特制定本制度 第二条 本制度适用于XX公司以及所属单位的信息系统安 全管理 第二章职责 第三条 相关部门 单位职责 一 信息中心 一 负责组织和协调 XX 公司的信息系统安全管理工作 二 负责建立 XX 公司信息系统网络成员单位间的网络 访问规则 对公司本部信息系统网络终端的网络准入进行管理 三 负责对 XX 公司统一的两个互联网出口进行管理 配置防火墙等信息安全设备 会同保密处对公司本部互联网上 网行为进行管理 四 对 XX 公司统一建设的信息系统制定专项运维管理 2 办法 明确信息系统安全管理要求 界定两级单位信息安全管 理责任 五 负责 XX 公司网络边界 网络拓扑等全局性的信息 安全管理 二 人力资源部 一 负责人力资源安全相关管理工作 二 负责将信息安全策略培训纳入年度职工培训计划 并组织实施 三 各部门 一 负责本部门信息安全管理工作 二 配合和协助业务主管部门完善相关制度建设 落实 日常管理工作 四 所属各单位 一 负责组织和协调本单位信息安全管理工作 二 对本单位建设的信息系统制定专项运维管理办法 明确信息系统安全管理要求 报 XX 公司信息中心备案 第三章信息安全策略的基本要求 第四条 信息系统安全管理应遵循以下八个原则 一 主要领导人负责原则 二 规范定级原则 三 依法行政原则 四 以人为本原则 五 注重效费比原则 六 全面防范 突出重点原则 七 系统 动态原则 八 特殊安全管理原则 第五条 公司保密委应根据业务需求和相关法律法规 组 织制定公司信息安全策略 经主管领导审批发布后 对员工及 相关方进行传达和培训 第六条 制定信息安全策略时应充分考虑信息系统安全策 略的 七定 要求 即定方案 定岗 定位 定员 定目标 定制度 定工作流程 第七条 信息安全策略主要包括以下内容 一 信息网络与信息系统必须在建设过程中进行安全风险 评估 并根据评估结果制定安全策略 二 对已投入运行且已建立安全体系的系统定期进行漏洞 扫描 以便及时发现系统的安全漏洞 三 对安全体系的各种日志 如入侵检测日志等 审计结果 进行研究 以便及时发现系统的安全漏洞 四 定期分析信息系统的安全风险及漏洞 分析当前黑客 非常入侵的特点 及时调整安全策略 五 制定人力资源 物理环境 访问控制 操作 备份 系统获取及维护 业务连续性等方面的安全策略 并实施 第八条 公司保密委每年应组织对信息安全策略的适应性 4 充分性和有效性进行评审 必要时组织修订 当公司的组织架 构 生产经营模式等发生重大变化时也应进行评审和修订 第九条 根据 谁主管 谁负责 的原则 公司建立信息 安全分级责任制 各层级落实信息系统安全责任 第四章人力资源安全管理 第十条 信息系统相关岗位设置应满足以下要求 一 安全管理岗与其它任何岗位不得兼岗 混岗 代岗 二 系统管理岗 网络管理岗与应用管理岗不得兼岗 混 岗 三 安全管理岗 系统管理岗 网络管理岗 应用管理岗 设备管理岗 技术档案管理岗原则上有人员备份 四 以上岗位人员调离必须办理交接手续 所掌握的口令 应立刻更换或注销该用户 第十一条 人力资源部在相关岗位任职要求中应包含信息安 全管理的相关条件和要求 将信息安全相关培训纳入年度职工 培训计划 并组织实施 第五章信息系统物理和环境安全管理 第十二条 信息系统物理安全指为了保证信息系统安全可靠 运行 不致受到人为或自然因素的危害 而对计算机设备 设 施 包括机房建筑 供电 空调 环境 系统等采取适当的 安全措施 第十三条 信息管理部门应采取切实可行的物理防护手段或 技术措施对物理周边 物理入口 办公及生产区域等进行安全 控制 防止无关人员未授权物理访问 损坏和干扰 第十四条 信息管理部门应加强对信息系统机房及配线间的 安全管理 要求如下 一 工作人员需经授权 方能且只能进入中心机房的授权 工作区 确因工作需要 需进入非授权工作区时 需由该授权 工作区人员陪同 做好机房出入登记 格式见附录3 3 二 工作人员必须严格按照规定操作 未经批准不得超越 自己职权范围以外的操作 操作结束时 必须退出已进入的操 作画面 最后离开工作区域的人员应将门关闭 三 非授权人员严禁操作中心机房UPS 专用空调 监控 消防及UPS供配电设备设施 四 未经授权 任何人员不得擅自拷贝数据和文件等资料 五 严禁将易燃 易爆 强磁性物品带入中心机房 严禁 在机房内吸烟 六 发生意外情况应立即采取应急措施 并及时向有关部 门和领导报告 第六章信息系统资产管理 第十五条 信息管理部门应对信息和信息系统设备设施等相 关资产建立台帐清单 格式见附录3 4 并定期对其进行盘点 6 清查 第十六条 设备使用人应对信息和信息系统设备设施 各类 存储介质等相关资产进行标识 标识应张贴在信息设备的明显 位置 做到信息完整 字迹清晰 并做好防脱落防护工作 第十七条 信息管理部门应对主机进行控制管理 要求如下 一 关键业务生产系统中的主机原则上应采用双机热备份 方式或n m的多主机方式 确保软件运行环境可靠 二 一般业务生产系统中的主机 生产用PC前置机 关键 设备可以采用软硬件配置完全相同的设备来实现冷备份 三 各类设备在采购时技术规格中应明确服务响应时间 备品备件 现场服务等方面的要求 核心服务器 存储相应时 间一般不高于4小时 第十八条 各相关部门应加强信息设备安装 调试 维护 维修 报废等环节的管理工作 防止因信息设备丢失 损坏 失窃以及资产报废处置不当引起的信息泄露 第七章信息系统访问控制及操作安全管理 第十九条 公司将系统运行安全按粒度从粗到细分为四个层 次 系统级安全 资源访问安全 功能性安全 数据域安全 一 系统级安全策略包括 敏感系统的隔离 访问地址段 的限制 登录时间段的限制 会话时间的限制 连接数的限制 特定时间段内登录次数的限制以及远程访问控制等 系统级安 全是应用系统的第一道防护大门 二 资源访问安全策略包括 对程序资源的访问进行安全 控制 在客户端上 为用户提供和其权限相关的用户界面 仅 出现和其权限相符的菜单和操作按钮 在服务端则对URL 程序 资源和业务服务类方法的调用进行访问控制 三 功能性安全策略包括 功能性安全会对程序流程产生 影响 如用户在操作业务记录时 是否需要审核 上传附件不 能超过指定大小等 四 数据域安全策略包括 一是行级数据域安全 即用户 可以访问哪些业务记录 一般以用户所在单位为条件进行过滤 二是字段级数据域安全 即用户可以访问业务记录的哪些字段 第二十条 用户管理应建立用户身份识别与验证机制 防止 非法用户进入应用系统 具体要求如下 一 公司按照相关的访问控制策略 对用户注册 访问开 通 访问权限分配 权限的调整及撤销 安全登录 口令管理 等方面进行访问控制的管理活动 二 用户是指用以登录 访问和控制计算机系统资源的帐 户 用户管理是指对用户进行分层 授权的管理 用户由用户 名加以区分 由用户口令加以保护 按照计算机系统所承载的 应用系统运行管理的需要 将用户分为超级用户 授权用户 普通用户 匿名用户四类 分别控制其权限 8 一 超级用户 拥有对运行系统的主机 前置机 服务 器 数据库 运行进程 系统配置 网络配置等进行察看 修 改 添加 重启等权限并可对下级用户进行授权的用户 由系 统管理岗位或网络管理岗位主管进行分配 由系统管理员或网 络管理员负责用户口令的日常管理 二 授权用户 拥有由超级用户根据应用系统开发或运 行维护的特殊需要 经过岗位主管的审批 将一些系统命令运 行权限所授予的普通用户 由授权用户负责用户口令的日常管 理 三 普通用户 应用系统开发或运行维护人员为应用系 统一般监控 维护的需要 由超级用户分配的一般用户 这类 用户仅拥有缺省用户访问权限的用户 由用户负责口令的日常 管理 四 匿名用户 匿名用户用于向公司网络内所有用户提 供相应服务 这类用户一般仅拥有浏览权限 无用户名及口令 一般情况下只允许提供如 标准 期刊等无安全要求的系统服 务时使用匿名用户 三 对用户以及权限的设定进行严格管理 用户权限的分 配遵循 最小特权 原则 四 口令是用户用以保护所访问计算机资源权利 不被他 人冒用的基本控制手段 口令策略的应用与其被保护对象有关 口令强度与口令所保护的资源 数据的价值或敏感度成正比 一 所有在公司局域网网上运行的设备 计算机系统及 存有公司涉密数据的计算机设备都必须设置口令保护 二 所有有权掌握口令的人员必须保证口令在产生 分 配 存储 销毁过程中的安全性和机密性 三 口令应至少要含有 8 个字符 应同时含有字母和非 字母字符口令 四 口令设置不能和用户名或登录名相同 不能使用生 日 人名 英文单词等易被猜测 易被破解的口令 如有可能 采用机器随机生成口令 五 口令使用期限由各个系统安全要求而定 六 口令的使用期限和过期失效应尽可能由系统强制执 行 七 设备在启用时 默认口令必须更改 第二十一条系统运行安全检查是安全管理的常用工作方 法 也是预防事故 发现隐患 指导整改的必要工作手段 信 息系统安全管理人员应做好系统运行安全检查与记录 格式见 附录3 5 检查范围 一 应用系统的访问控制检查 包括物理和逻辑访问控制 是否按照规定的策略和程序进行访问权限的增加 变更和取消 用户权限的分配是否遵循 最小特权 原则 二 应用系统的日志检查 包括数据库日志 系统访问日 志 系统处理日志 错误日志及异常日志 10 三 应用系统可用性检查 包括系统中断时间 系统正常 服务时间和系统恢复时间等 四 应用系统能力检查 包括系统资源消耗情况 系统交 易速度和系统吞吐量等 五 应用系统的安全操作检查 用户对应用系统的使用是 否按照信息安全的相关策略和程序进行访问和使用 六 应用系统维护检查 维护性问题是否在规定的时间内 解决 是否正确地解决问题 解决问题的过程是否有效等 七 应用系统的配置检查 检查应用系统的配置是否合理 和适当 各配置组件是否发挥其应有的功能 八 恶意代码的检查 是否存在恶意代码 如病毒 木马 隐蔽通道导致应用系统数据的丢失 损坏 非法修改 信息泄 露等 九 检查出现异常时应进行记录 非受控变化应及时报告 以确定是否属于信息安全事件 属于信息安全事件的应及时处 理 第二十二条信息管理部门应定期对重要系统 配置及应 用进行备份 备份管理要求如下 一 各系统应于投产前明确数据备份方法 对数据备份和 还原进行必要的测试 并根据实际运行需要及时调整 每次调 整应进行测试 二 对系统配置 网络配置和应用软件应进行备份 在发 生变动时 应及时备份 三 业务数据备份按照各生产系统备份计划的具体要求进 行 尽可能实现异地备份 四 集中管理的系统 设备数据的备份工作由所在单位的 信息部门负责 五 备份介质交接应严格履行交接手续 做好交接登记 六 介质存放地必须符合防盗 防火 防水 防鼠 防虫 防磁以及相应的洁净度 温湿度等要求 第八章网络与通信安全管理 第二十三条信息化管理部门采取必要的技术手段和管理 措施 加强对网络和通信安全的管理 保障公司内外信息传递 安全 网络安全管理包含网络访问控制 安全机制 网络服务 网络隔离等 基本要求是 一 定期对重要网络设备运行情况进行安全检查 发现隐 患及时上报或整改 并做好记录 格式见附录3 5 二 定期备份重要网络和通信设备配置文件 确保发生故 障时能及时恢复网络运行 保证网络的可用性 第二十四条加强内部网络安全管理 具体要求如下 一 网络机房分区应独立 封闭 二 网络设备脱离生产环境前应清空所有网络配置 三 骨干网络设备应有备份 接入网络设备原则上应按5 比例备份 12 四 网络结构和网络配置应最大限度地保证网络的健壮性 安全性 五 企业网应根据需要划分不同的VLAN 并通过访问控制 列表控制各VLAN的访问权限 六 内部网络计算机未经批准不得安装网络探测软件 严 格禁止安装任何黑客软件 七 生产网络和测试网络必须实行分离 严禁在生产环境 中做各种类型的业务测试 第二十五条加强外联网络安全管理 具体要求如下 一 外联网络安全遵循最小权限原则 访问控制策略是 允许必须 禁止其他 二 外联网络在穿过不可控区域时数据传输原则上应采用 加密技术 三 制定外联网络方案时应注意保守本公司网络拓扑结构 IP地址 端口 安全策略等秘密 并注意了解对方网络结构及 其变化情况 第二十六条加强互联网安全管理 具体要求如下 一 互联网与内部网络必须有相关的逻辑隔离 涉及国家 秘密的信息不得通过互联网传输 二 不得访问有关黑客网站 不得下载 安装黑客软件 三 公司员工访问互连网 必须遵守 中华人民共和国计 算机信息网络国际联网管理暂行规定 等规定 不得利用国际 互连网从事损害国家 公司及他人利益的活动 第九章信息系统供应商安全管理 第二十七条公司对信息系统供应商实施安全管理 信息 系统供应商包括设备类供应商 技术类供应商 咨询服务类供 应商 或者是以上几类的任意组合 第二十八条信息系统实施过程中 信息化管理部门应与 供应商签订安全保密协议 明确信息安全要求 第二十九条信息化管理部门应对供应商服务全过程进行 监视和控制 第十章信息安全事件管理 第三十条 信息安全事件指导致信息资产丢失和损坏 影响 信息系统正常工作甚至业务中断的事件 主要有 一 信息系统软硬件故障 二 网络通信系统故障 三 机房供配电系统故障 四 系统感染计算机病毒 五 信息系统遭水灾 火灾 雷击 六 信息网络遭遇入侵或攻击 七 信息系统内的敏感数据失窃 泄露 八 信息设备损坏 滥用或失窃 九 信息被非法访问 使用及篡改 14 十 违背信息安全策略规定的其他事项 第三十一条信息安全事件管理包括组织机构 职责和规 程的建立 信息安全事态及信息安全弱点的报告和评估 信息 安全事件的应急处理等 一 建立信息安全事件管理机构和应急预案 一 公司信息安全事件管理机构包含 XX公司保密委 负责领导信息安全事件管理工作 各级信息化管理部门 负责处 置信息安全事件 信息安全事件响应小组 负责人 负责信 息安全事件响应和应急处理 二 信息化管理部门针对各类信息安全事件应分别制定 相应的应急预案 开展必要的知识 技能 意识等培训 适时 组织相关人员开展应急演练 二 开展信息安全事态及信息安全弱点报告和评估 信息 系统安全管理和维护人员应加强对网络信息系统日常检查维护 了解外部信息安全变化 充分掌握信息安全事态 及时发现和 消除危及系统安全的各类安全隐患 当发现险情时 应立即报 告信息安全事件处置责任部门 完成信息安全事件处理后 应 及时进行评估和改进 避免再次发生 并做好记录 格式见附 录3 3 三 信息安全事件应急处理 要求如下 一 当信息系统出现险情时 维护人员和各级应急救援 人员应正确履行应急预案所赋的职责和执行信息安全事件处置 责任部门下达的指令 二 在发生网络与信息安全事件后 信息化管理部门应 尽最大可能迅速收集事件相关信息 鉴别事件性质 确定事件 来源 弄清事件范围和评估事件带来的影响和损害 一旦确认 为网络与信息安全事件后 立即将事件上报信息安全领导小组 并着手处置 三 安全事件进行最初的应急处置以后应及时采取行动 抑制其影响的进一步扩大 限制潜在的损失与破坏 同时要确 保应急处置措施对涉及的相关业务影响最小 四 安全事件被抑制之后 通过对有关事件或行为的分 析结果 找出其根源 明确相应的补救措施并彻底清除 五 在确保安全事件解决后 要及时清理系统 恢复数 据 程序 服务恢复工作应避免出现误操作导致数据丢失 六 信息安全事件发生时 应及时向公司保密委汇报 并及时报告处置工作进展情况 事件处置中要作好完整的过程 记录 保存各相关系统日志直至处置工作结束 七 系统恢复运行后 信息管理部门应对事件造成的损 失 事件处理流程和应急预案进行评估 对响应流程 预案提 出修改意见 总结事件处理的经验和教训 撰写 信息安全事 件处理报告 同时确定是否需要上报该事件及其处理过程 需要上报的应及时准备相关材料 属于重大事件或存在违法犯 罪行为的第一时间向公安机关网络监察部门报案 16 第十一章附则 第三十二条本文件所引用的文件见附录1 第三十三条本文件相关的名词解释见附录2 第三十四条本文件所使用的记录见附录3 第三十五条本文件由信息中心负责解释 第三十六条本文件为第1次发布 自下发之日起执行 附录 1 引用文件 序号序号文件名称文件名称发布单位发布单位 岗位规范人力资源部 2 培训管理办法人力资源部 附录 2 名词解释 1 信息安全 指可供利用并产生效益的 企业经营活动过程中涉及到的各种文字 数字 音 像 图表 语言等 一切信息的总称 附录 3 相关记录 1 信息安全策略 文件 2 XX 信息系统运维管理办法 文字 3 信息系统检查表 4 机房出入登记 5 信息设备设施台帐 6 安全保密协议 文字 7 各类信息安全事件应急预案 文字 附录 3 3 信息系统检查表 KSEC JTZD207V1KSEC JTZD20