信息安全管理办法68258

信息安全管理办法 第一章 总则 第一条 为保障公司信息安全 切实推行安全管理 积 极预防风险 完善控制措施 制定本办法 第二条 本办法适用于公司各职能部门 分公司信息安 全管理 第二章 主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管 理 网络安全管理 主机安全管理 应用安全管理 数据 安全管理和管理安全工作 第四条 IT 中心工作职责 1 IT 中心为公司信息安全管理主管部门 2 负责公司信息安全管理策略制订与落实 3 负责起草信息安全规章制度 承担信息安全保障 建设 信息安全日常管理职能 提供信息安全技术保障 4 负责各中心 分公司 专 兼 职信息管理员信 息安全指导 培训 第五条 各中心 分公司 1 指定专人担任专职或兼职信息管理员 负责协助 IT 中心开展信息安全实施工作 并提供部门内部技术支 2 持和网络管理工作 2 负责落实相关信息安全管理工作在部门内的实施 3 负责业务操作层的相关信息安全保障 4 负责做好本部门人员的信息安全教育工作 提高 人员的信息安全意识和技能水平 第三章 机房安全管理 第六条 机房人员出入 巡检 操作和设备管理请参照 机房安全管理规定 第四章 网络安全管理 第七条 公司内部网络与互联网实行安全隔离 在网络 边界处应部署防火墙或其他安全访问控制设备 制定访问 控制规则 第八条 新增网络设备入网时 网络管理员应按照 网 络设备安全配置检查表 进行检查 见附录 A 经信息安 全管理员确认所有检查项检查结果全部为 是 后允许网络设 备进入网络运行 第九条网络新建或改造 在投入使用前 网络管理员 须进行网络连通性 冗余性和传输速度等测试 信息安全 管理员全程参与 确保网络系统安全 第十条当网络设备配置发生变更时 须及时对网络设 备配置文件进行备份 网络设备配置每三个月进行全备份 3 网络设备配置文件由网络管理员保管 第十一条网络管理员应建立网络技术档案 技术文档 包括拓扑结构 含分支网络 网络设备配置等相关文档 网络技术文档由网络管理员保管 第五章 主机安全管理 第十二条主机系统原则上仅开启必要的系统服务和功 能 开启系统日志 安全日志 第十三条新增主机设备入网时 主机运行维护人员应 按照 主机设备安全配置检查表 进行检查 见附录 B 经信息安全管理员确认所有检查项检查结果全部为 是 后允 许主机设备进入网络运行 第十四条主机运行维护人员应及时更新软件版本和病 毒库 信息安全管理员负责制订统一的病毒管理策略 第十五条主机运行维护人员每个月通过防病毒管理软 件查看所有主机的防病毒软件运行状态 如有异常情况 主机运行维护人员需及时反馈给信息安全管理员进行处置 第六章 应用安全管理 第十六条重要信息系统应用开发应建立开发测试环境 开发测试的环境必须与实际运行环境分开 信息系统开发 测试 修改工作不得在生产环境中进行 第十七条新建信息系统入网前 系统管理员须进行由 4 信息安全管理员参加的系统测试 并出具包含身份鉴别 访问控制 安全审计等内容的系统测试报告 第七章 数据安全管理 第十八条公司每一位员工都有保守公司信息安全防止 泄密的责任 任何人不得向公司以外的任何单位或个人泄 露公司技术和商业机密 如因学术交流或论文发表涉及公 司技术或商业机密 应提前向公司汇报 并在获得批准同 意后 方能以认可的形式对外发布 第十九条定期对公司重要信息包括软件代码进行备份 备份完成后 做好登记工作 第二十条数据库管理员负责对重要信息系统的数据库 每周进行全备份 并对备份数据的有效性进行检查 第二十一条存放备份数据的介质包括 U 盘 移动硬盘 光盘和纸质 所有备份介质必须明确标识备份内容和时间 并实行异地存放 第二十二条数据恢复前 必须对原环境的数据进行备 份 防止有用数据的丢失 数据恢复后 必须进行验证 确认 确保数据恢复的完整性和可用性 第二十三条数据清理前必须对数据进行备份 在确认 备份正确后方可进行清理操作 数据清理的实施应避开业 务高峰期避免对联机业务运行造成影响 第二十四条管理部门应对报废设备中存有的程序 数据 5 资料进行备份后清除 并妥善处理废弃无用的资料和介质 防止泄密 第二十五条因审计 查询等管理需要拷贝系统原始数据 的 需要经 IT 中心主管部门和业务主管部门同意后 并双 方在场后 由系统管理员导出数据 第八章 密码与权限管理 第二十六条信息系统的用户密码不少于 8 位 密码应 至少在字母 数字 特殊字符这三类字符中任选两种或两 种以上混合使用 不得使用缺省口令 空口令 弱口令 根据管理需要开设用户 及时删除系统多余和过期的账户 第二十八条员工离职后 员工所属部门或人力资源部 应在当天通知总部 IT 中心 及时关闭离职员工的 OA 账号 和邮箱账号 并对员工的出入卡进行停卡处理 第九章 管理安全 第二十九条 信息化设备安全管理 1 严禁将公司配发给员工用于办公的计算机转借给 非公司员工使用 严禁利用公司信息化设备资源为第三 方从事兼职工作 2 员工须保管好个人帐户口令 未经许可员工之间 不得私下互相转让 借用公司 IT 系统账号 员工完成信 息系统的操作或离开工位时 须及时退出信息系统 6 3 员工个人终端必须设置系统登陆密码和屏幕保护 密码 4 员工个人终端必须安装公司统一采购的防病毒软 件 不得私自卸载和停用 及时更新重要系统补丁及病 毒库 并定期查杀病毒 5 员工发现计算机或信息受到安全威胁或者已经发 生安全攻击事件 应立即通知信息安全管理员 第三十条 专业安全人员管理 1 总部及各分公司 IT 中心应指定专人负责信息安全 管理工作 2 总部 IT 中心的信息安全管理员负责协调信息安全 管理工作 各分公司信息安全管理人员负责各自信息安 全建设工作的实施 推动各自信息安全各项工作开展 3 信息安全管理人员在离岗时 应由 IT 中心负责人 指派专人接任信息安全管理工作 接任信息安全管理人 员应及时终止离岗人员的访问权限 并在交接后三个工 作日内修改相关安全系统口令密码 第三十一条 系统运维安全管理 参照 荷马有限公司 信息系统运维管理办法 第三十二条 信息安全事件预防和处理 1 公司 IT 中心应制定信息系统应急预案和演练计划 并组织进行演练 7 2 总部及各分公司 IT 中心负责信息安全事件预防和 处理工作 3 非重要信息系统整体瘫痪 系统管理员应及时组 织人员进行系统恢复 重要信息系统整体瘫痪 系统管 理员立即报 IT 中心负责人 并及时组织人员进行恢复 24 小时内无法恢复的 需要通知各相关部门并报分管领 导 4 系统恢复后 系统管理员应查明故障原因 制定 改进措施并加以验证 向 IT 中心负责人提交事件书面报 告 第十章 考核及其他 第三十三条对违反信息安全管理规定 导致信息安全事 件的 或发生信息安全事件后未及时如实上报的 应当 根据事件影响程度 追究相关部门领导责任并可对相关 责任人员处以警告 记过 记大过处分 情节严重者将 解除劳动合同并送公安机关处理 第三十四条本办法自公布之日起实施 8 附录 A 网络设备安全配置检查表 设备编号设备名称 网络管理员信息安全管理员检查时间 序号检查项检查结果备注 1 使用监控系统监控关键网络设备的运行状态 是 否 2 设置网络设备的登录口令 是 否 3 根据管理需要开设用户 无缺省口令 空口 令 弱口令 是 否 4 设置非法登录次数和登录连接超时时间 是 否 5 仅采用 ssh https 等加密协议方式对设备 进行交互式管理 是 否 6 对网络设备的远程管理的登录地址进行了限 制 是 否 7 网络设备本地时间配置时间同步 是 否 8 启用网络设备系统日志功能 是 否 9 附录 B 主机设备安全配置检查表 设备编号设备名称 主机运行维护 人员 信息安全管理员检查时间 序号检查项检查结果备注 1 更改缺省管理员账号名称 是 否本项仅适用于 windows 操作系统 2 停用不必要的帐号 是 否 3 设置帐号口令认证 口令 6 位及以上且为字母 数字