网络与信息安全工作管理办法

1、盛年不重来,一日难再晨.及时宜自勉,岁月不待人Shim 斓网络与信息平安工作治理方法世茂房地产控股资讯科技部内部资料,未经同意,请勿翻印版本修订日期修订人审核人第一节平安组织原那么3第二节平安组织结构3第一节概述4第二节平安规划与建设4第三节物理平安治理5第四节人员平安治理6第五节平安培训7第六节信息资产平安治理 8第七节平安运维治理10第八节平安事件处理10第九节应急方案 11第十节系统开发与维护11第十一节符合性14第十二节治理审计与评估 14第十三节奖惩15第一节概述15第二节访问限制16第三节身份认证16第四节冗余恢复17第五节日志审计与响应 17第六节内容平安18第一章总那么第一条随

2、着上海世茂投资治理以下简称：上海世茂信息系统规模越来越大,随之带来的平安问题也不断增多,为 及时快速处理各种故障和平安事件, 防范与化解平安风险,保证网络 连续性以及高质量的效劳水平,特制定?上海世茂网络与信息平安工 作治理方法?,以下简称“本方法.第二条本方法依据?中华人民共和国计算机信息系统平安保护条例?,参考?ISO27001信息平安治理体系标准?而制定.第三条本方法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种平安问题,包括 组织治理、物理平安、操作系统平安、应用平安、数据平安、网络架 构平安、平安事件处理.第四条上海世茂网络与信息平安工作的治理原

3、那么1. 整体规划,分步实施：需要对网络与信息平安工作进行整体规划,分步实施,逐渐建立完善的网络与信息平安体系.2. 三同步原那么：平安系统应与业务系统及网络同步规划、 同步建设、同步运行.3. 适度平安：平安具有相对性和动态性的特点,必须做好安全建设的本钱效益分析,在平安性和投入本钱之间、平安性和易用性之间做好平衡工作.第五条本方法中的平安是指信息系统的平安第二章平安组织治理第一节平安组织原那么第六条上海世茂平安工作治理由信息化领导小组统一来制定.第二节平安组织结构第七条成立上海世茂网络与信息平安领导小组,全面负责上海世茂网络与信息平安各项工作.第八条领导小组下设IT总监,贯彻“信息化领导小

4、组的平安治理决策,作为执行治理机构.资讯科技部作为信息平安工作的 主要执行机构,负责信息平安日常工作,IT总监下属包括应用和运 维两个专业工作组.第三章平安策略第九条上海世茂平安策略体系是用于指导上海世茂的安全治理工作,明确信息平安的工作责任、内容、方法和流程的一套文 档,它覆盖了 IT系统的整个生命周期,对系统和网络的规划、设计、 建设、运维以及检查评估都提出了相应的平安要求.第十条上海世茂平安策略由资讯科技部、各部门提出需求,由资讯科技部组织制定.第十一条上海世茂的平安策略由上海世茂信息平安领导小组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落 实.第十二条资讯科技部及各专业工

5、作小组负责检查和考核策略的贯彻和实施,并建立平安策略违反报告制度.第十三条资讯科技部建立平安策略定期审核更新的制度和机制,定期对平安策略的有效性进行审核,并根据情况进行更新.第四章平安治理制度第一节概述第十四条为做好上海世茂网络与信息平安治理,必须做好安全规划和建设,完善物理环境平安,增强工作人员平安治理和教育, 建立信息资产平安治理制度.完善平安运维、事件处理、应急响应等 平安工作.第二节平安规划与建设第十五条上海世茂平安规划明确平安建设原那么,为网络与信息平安建设明确建设方向和蓝图.第十六条平安规划小组要根据上海世茂现有情况做好平安规划工作,制定近期12年总体平安规划和中长期35年 平安建

6、设目标,制定网络建设规划和人员方案,满足信息系统正常安 全保证并适应未来的开展战略.第十七条平安规划应考虑信息平安治理体系和平安技术架构的建设,根据网络开展规划适度超前建设,并考虑统一平安治理要 求和统一平安技术根底设施.第十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施平安限制举措.第十九条在特殊情况下,应预先明确风险,并指出应采取的限制举措.第二十条应对网络与系统建设过程中存在的平安风险进行严格的平安过程限制.第三节物理平安治理第二十一条 物理平安治理的目标是通过增强工作环境平安,防 止对上海世茂工作场所和信息资源的非法访问、破坏和干扰.第二十二

7、条相关部门应根据上海世茂关于机房建设及治理等 标准,对机房场地与设施进行平安建设,并进行分级、分区平安治理. 机房平安建设和改造应通过资讯科技部的平安审批和验收,并建立、 健全严格的机房平安治理制度.第二十三条信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在平安的区域, 并使用适当的物理防护设 备和访问限制手段.第二十四条 应增强办公区的物理访问限制.第四节人员平安治理第二十五条 信息平安治理人员应当政治过硬、业务素质高、遵 纪守法、恪尽职守.第二十六条应建立相应制度以及相应技术手段增强对第三方人员的平安治理.第二十七条 违反国家法律、法规和行业规章受到处分的人员, 不得从

8、事信息平安治理工作.第二十八条 信息平安治理人员调离岗位,必须办理调离手续, 承诺其调离后的保密义务.第二十九条 信息平安岗位人员必须具备相应的资质并签定保密协议.信息平安治理人员应定期接受政治思想教育、 职业道德教育 和平安保密教育.第三十条信息平安治理人员责任：(1)负责计算机平安治理的日常工作；(2)开展计算机平安检查工作,对要害岗位人员平安工作进行指导;(3)开展计算机平安知识的培训和宣传工作；(4)监控计算机平安总体状况,提出平安分析报告；了解行业动态,为改良和完善计算机平安治理工作, 提出平安防 范建议；(5)及时向计算机平安工作领导小组和有关部门、单位报告 计算机平安事件.第三十

9、一条信息平安治理人员发现本单位所使用信息系统中的重大平安隐患,有权向上级报告.第三十二条 信息平安治理人员发现系统操作人员使用不当,应 及时建议有关单位、部门进行调整.第三十三条信息平安治理人员必须严格遵守国家有关法律、法 规和行业规章,严守国家、行业和岗位秘密.第三十四条 信息平安治理人员应定期参加以下计算机平安知 识和技能的培训：(1)计算机平安法律法规及行业规章制度的培训；(2)计算机平安根本知识的培训；(3)计算机平安专项技能的培训.第五节平安培训第三十五条 工作人员平安意识是平安治理工作开展的根底和前提,平安治理工作组应建立平安意识教育方案,通过持续的平安教育,提升人员平安意识.第三

10、十六条建立平安技术培训方案,通过各种培训方式,提升 各级治理人员和专业人员平安技能,降低平安操作风险.第六节信息资产平安治理一资产治理第三十七条上海世茂信息资产包括所拥有各种信息及其载体, 存在有形资产和无形资产,包括计算机设备、系统软件、应用软件、 数据、文档等.第三十八条 严格执行上海世茂设备治理部门有关设备治理的 各项规章制度,对资讯科技部治理的设备进行编号、登记、建立完善、 准确的台帐.第三十九条每半年,对全局计算机网络设备进行一次全面检查 和维护.每年末,资讯科技部对固定资产清查一次.第四十条各级信息资产责任者必须严格遵守相关制度,保证信息资产的机密性、完整性和可用性.第四十一条信息

11、系统资产治理具体方法参见?上海世茂信息资产平安治理方法?.二版权要求第四十二条上海世茂与计算机信息系统承建商签订建设合同 时,承建商应当保证产品无侵犯他人版权要求.第四十三条 承建商在计算机信息系统建设中使用第三方产品 时,必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授 权.(三)平安专用产品第四十四条本规定所称平安专用产品,是指用于保护计算机信 息系统平安的专用软件、硬件产品.第四十五条 平安专用产品准入、选型、采购部署工作由资讯科 技部统一组织实施.平安专用产品有以下情形之一的,取消其准入资 格：(1)平安专用产品的功能已发生变化,但未通过检测的；(2)经使用发现有严重问题的；(

12、3)能提供良好售后效劳的；(4)国家有关部门取消其销售资格的.第四十六条 平安专用产品在使用中,系统治理员应监测生成的 信息,对生成的信息应及时分析并作出分析报告； 在监测中如发现重 大问题,应立即采取相应限制举措并将有关情况逐级上报；平安专用产品使用中产生的重要报告应备份存档,并按密级资料治理方式履行有关手续.第七节平安运维治理第四十七条平安维护治理的目标是通过建立和执行对网络和操 作系统的平安维护流程和平安维护作业方案,来保证提供高质量的信 息系统效劳水平和通信水平.第四十八条平安维护工作主要包括硬件入网治理、病毒防范管 理、密码治理、系统和数据备份、日志治理和审计、软件版本治理和 补丁加

13、载.第四十九条 网络、主机的相关人员、维护方案配置应随网络调 整进行更新.第八节平安事件处理第五十条 平安事件处理的原那么是“积极预防、及时发现、快 速响应、保证恢复.第五十一条 系统宕机引起相关部门无法进行业务操作,非法侵 入、破坏计算机信息系统,利用计算机实施诈骗、盗窃、贪污、挪用 公款的计算机犯罪案件,以及造成不良社会影响的计算机平安事故, 属于信息平安事故.第五十二条各相关部门根据要求建立详细的平安事件响应机制, 规定在平安事件的发现、上报、分析、处理、总结和奖惩阶段的相关 责任和程序,最大限度地减少平安事件造成的损害.第五十三条对平安事件做好记录和存档工作,记录内容包括事 件的起因、

14、处理过程、处理结果、建议改良的平安对策等.第九节应急方案第五十四条 针对不同的平安事件,必须制定相应的应急方案, 内容至少包括方案的准备、演练、实施、系统恢复方案四个组成局部, 各部门应定期上报应急方案内容.第五十五条 通过应急方案的演练测试检查应急方案的有效性和 资源的可用性,并根据演练结果进行应急方案的调整.第十节系统开发与维护一承建商治理第五十六条资讯科技部是全局计算机信息系统承建商治理的第 一责任人.第五十七条计算机信息系统承建商必须遵守上海世茂信息平安 治理制度,必须签署保密协议；在提供优质的开发、维护效劳的同时, 不得擅自修改正式生产系统中的数据.二计算机信息系统建设第五十八条计算

15、机信息系统的规划和建设应同步做好系统平安 保护工作,以保证系统平安目标的实现.重要计算机信息系统立项的 平安治理实行审批制度.对初审合格的工程申报材料,应进行平安性 专项审查,提出审查意见后由资讯科技部最后审批. 对没有通过平安 治理审查的工程,不得予以立项.第五十九条计算机信息系统的开发必须符合软件工程标准,并 在软件开发的各阶段根据平安治理目标进行治理和实施.计算机信息 系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的平安保密责任和义务.计算机信息系统的 开发环境和现场应当与生产环境和现场隔离. 计算机信息系统开发完 成后,开发人员或参加开发的外部单位应

16、及时移交程序源代码及其相 关技术文档.第六十条 计算机信息系统投入运行前,应向资讯科技部系统 治理员提交性能测试报告；系统治理员对性能测试报告进行初步审查； 初审合格后,安排生产环境部署.三计算机信息系统运行第六十一条 计算机信息系统的使用部门应当严格用户和密码口令的治理,业务操作员应严格根据操作培训要求进行操作,保 证系统平安运行；对计算机信息系统在运行过程中出现的异常现象, 有责任向部门领导和资讯科技部报告.第六十二条计算机信息系统应定期进行数据备份,对备份介质 应按有关规定指定专人妥善保管.重要计算机信息系统应当制定应急 方案,保证业务的不间断运行.第六十三条系统治理员应合理配置操作系统

17、、数据库治理系统 所提供的平安审计功能,以到达相应平安等级标准,应及时安装正式 发布的系统补丁,修补系统存在的平安漏洞；并屏蔽与应用系统无关的所有网络功能,预防非法用户的侵入；第六十四条 系统治理员不得泄露操作系统、数据库的系统治理 员帐号、密码.联网设备的IP地址及网络参数,必须根据网络治理 标准及其业务应用范围进行设置,非系统治理人员不得修改.第六十五条系统治理员应对重要业务的计算机信息系统进行日 常巡检,监测系统运行日志,掌握系统运行状况；发现系统运行异常 应及时通报主管领导.四上线治理第六十六条计算机信息系统正式使用前必须经过系统使用部门 的整体功能测试和性能测试对原有系统的功能升级必

18、须经过系统操 作员的功能认可,才能在正式生产环境部署.五验收治理第六十七条必须经过资讯科技部评估,需要签订合同独立开发的业务软件系统必须进行系统验收；第六十八条 需要验收的系统必须经工程治理与咨询公司审核项 目文档以及上海世茂资讯科技部负责人审核确认后进行.六需求数据变更第六十九条业务操作员对已经上线运行的信息系统提出需求修 改要求以及数据变更要求时,系统开发员需要准确纪录需求,并整理 为?需求确认单?或?数据确认单?.第七十条 系统开发员对业务操作员签字确认后的?需求确认 单?、?数据确认单?进行系统处理,处理后的结果由业务操作员进行 确认.第十一节符合性一正版软件第七十一条资讯科技部是全局

19、推进使用正版化软件工作的第一 责任人.第七十二条 公司内软件正版化工作实行使用责任制.各部门的 主要负责人是本推进使用正版软件工作的第一责任人,对本部门使用 非正版软件、损害公司形象的,承当领导责任.软件正版化工作列入 各部门年终考核.二性能要求第七十三条 业务应用软件开发类工程正式上线前必须进行性能 测试,到达性能测试要求后部署正式环境；第十二节治理审计与评估第七十四条平安治理审计是参照一定的平安标准对运维过程和 信息系统本身进行平安评价的过程.此过程重点关注运维治理工作是 否有效地保护了信息系统的平安.第七十五条 风险评估主要依靠技术手段评估特定的内外威胁可 能对信息系统造成的损失,此工作

20、主要关注信息系统本身存在哪些漏洞、面临哪些威胁、可能遭到什么样的损害.第七十六条上海世茂资讯科技部应制定平安巡检机制,每半年 组织一次平安治理内部审计,发现在平安运维治理方面存在的问题； 并定期间隔最长不超过半年对网络与信息系统进行风险评估,并 对评估出来的问题和隐患进行及时整改.第七十七条各部门根据实际情况对所辖系统不定期进行平安自 评估.第十三节奖惩第七十八条执行上海世茂计算机信息系统平安治理体系,计算 机平安治理工作成绩突出的部门与个人,由资讯科技部报领导小组后, 对其进行通报表彰,并给予一定形式的奖励.第七十九条违反上海世茂计算机信息系统平安治理体系,造成 重大平安事故或计算机犯罪的,

21、根据有关部门法律法规,追究其主管 领导、相关部门及其他直接责任人的责任.第八十条 违反上海世茂计算机信息系统平安治理体系的单位 与个人,由资讯科技部报领导小组后,通报批评.第五章平安技术体系第一节概述第八十一条为切实防范网络攻击、保护上海世茂网络和信息安全,解决网络中存在的各种平安问题,需要运用访问限制、身份认证、 冗余恢复、审计响应、内容平安等多种平安技术构建上海世茂平安技 术体系.第二节访问限制第八十二条 访问限制的目标是通过设定对计算机资源包括信 息、网络、系统、数据库、应用等的访问策略,实现授权用户通过 正确的方式访问资源,阻止未授权用户有意或无意获得访问权限.第八十三条 设定访问限制

22、策略的原那么是“除明确允许执行情况 外必须禁止.第八十四条 平安域划分是对系统实施分级平安保护的前题条件, 平安治理工作组必须要对网络划分平安域, 明确网络边界和保护等级, 实现网络之间的有效隔离和访问限制.第八十五条 在网络、系统和应用层面制定访问限制和权限治理 策略,并增强人员治理,保证平安有效的访问限制.第三节身份认证第八十六条 增强面向网络和信息系统用户的治理,包括用户身 份治理、帐号和口令治理、权限治理、认证和授权.第八十七条 用户帐户的设定应符合“责任别离的原那么.第八十八条 对于重要系统应采用双因素或多因素认证机制.第八十九条 定期审计身份鉴别,对发现的异常进行及时处理,对累积性

23、事件进行必要的趋势分析.第四节冗余恢复第九十条冗余恢复主要是针对网络、操作系统、应用系统以及数据可能发生的异常情况,为保证信息系统连续性所做的准备和防 范举措.第九十一条 应根据系统的重要程度,制定数据与软件的备份策 略,明确备份周期和方法,并提供充足的备份设施,并定期进行备份 数据恢复演练.第九十二条 系统内重要主机、支持重要应用的网络设备应有冗 余设置,应采用技术举措保证效劳器出现故障经更换或修复后,能够自动安装操作系统、应用软件,并恢复数据.第五节 日志审计与响应第九十三条 日志审计是对主机、网络的运行状况,尤其是资源 的访问情况进行记录、检查、监控以及完整性检查等；响应主要指对 网络平

24、安问题的实时检测、告警和处理.第九十四条系统内重要主机上应部署日志审计产品并定期进行 漏洞扫描.第九十五条重要的信息系统应部署入侵检测设备,并配备相应 的告警和处理机制.第六节内容平安第九十六条 内容平安指预防传输和存储的数据信息泄漏、 甄别应用和数据的合法性.包括加密、防病毒、垃圾邮件过滤网关、 内容过滤等产品.第九十七条 应部署覆盖全网的多级防病毒系统,并定期进行病 毒库升级.第六章平安检查第九十八条为提升各部门人员及治理人员平安意识,不断促进 平安防范及治理工作深入进行,信息平安委员会应制定对平安治理工 作的检查和考核制度并组织和执行平安检查工作.第九十九条 平安检查的内容至少要包括平安

25、组织、平安规划建 设、信息资产治理、人员平安、平安培训、物理环境平安、平安运维、 平安事件处理、设备配置平安、应急方案、入网平安、治理审计与评 估、软件版权、访问限制、身份认证、冗余恢复、日志审计与响应、 内容平安等方面.第一百条 应将平安工作逐步纳入到工作人员的绩效考核体系 中.第一章 检查内容 第一节组织结构第一条检查平安组织机构建设情况:1. 平安组织；2. 专兼职平安治理员；3. 人员变动情况.第二条检查人员治理情况：1. 健全的网络与信息平安治理制度;2. 网络与信息平安学习、培训I;3. 重要岗位平安治理.第二节机房检查第三条检查机房环境：1. 外部供电系统；2. 内部供电系统；3

26、. 应急照明；4. 主机房环境温度、湿度限制；5. 防火系统；6. 场地监控；7. 门禁保安；8. 紧急联络；9. 接地系统；10. 防盗设施；11. 静电防护举措；12. 防电磁干扰举措；13. 防雷装置.第四条检查机房的日常治理：1. 工作交接手续；2. 各类数据和存储介质治理；3. 过期报表和作废文档的销毁；4. 硬件设备的治理和维护；5. 各种设施有效性的定期检查；6. 机房工程改变、维修操作、设备的调出的审批.第五条检查生产治理制度：1. 机房操作员、系统治理员岗位责任；2. 机房出入治理制度；3. 机房场地、设施及设备治理制度；4. 进出机房人员登记簿；5. 系统运行日志；6. 设

27、备维护登记簿.第三节网络系统检查第六条检查网络建设：1. 上海世茂集团网络规划、设计、改造过程中的平安考虑；2. 网络建成后的平安评审；3. 设备备份和线路备份；4. 网络设计、实施阶段文档；5. 文档包括：网络设计方案、网络拓扑结构图、网络配置参数、IP地址分配方案等的保管.第七条检查网络平安规定：1. 网络的治理和维护工作；2. 办公网等内部网络与互联网之间的平安隔离举措；3. 专线连接中防火墙等平安举措；4. 拨号连接中防火墙、身份认证和回拨等平安举措；5. 网络中身份认证、加密、访问限制、数字签名、事件审计等安全技术和举措；6. 互联网上网治理方法或规定；7. 对拨号上互联网的计算机和调制解调器的登记记录.第八条检查网络运维：1. 重要网络设备口令的治理；2. 口令的定期更换；3. 网络实时监控和事件报警响应机制；4. 专人定期或不定期监测网络设备性能参数和网络运行状况；5. 对涉及网络配置的增、删、修改等操作的审批