02信息安全方针及安全策略制度

1、XXX科技有限公司文档编号2019-YY-24信息安全方针及安全策略制度文档版本10执行日期2019-10-24文档密级：一般文档状态： 草案 正式发布 正在修订 受控状态： 受控 非受控日期版 本描述作者审核审批2017.12.241.0首次发布-信息安全方针及安全策略制度一般文件目录1 适用范围 12 信息安全总体方针 13 信息安全总体目标 24 信息安全工作原则 25 信息安全体系框架 36 主要安全策略 3I信息安全方针及安全策略制度一般文件1 适用范围 作为公司生产网系统信息安全管理的纲领性文件，本文件用于指导公司建立 并实施信息安全管理体系的行动准则，适用于公司生产网系统的相关各

2、项日常安 全管理。2 信息安全总体方针“积极参与 明确责任 预防为主 快速响应 风险管控 持续改进 ”是公司的 信息安全总体方针。具体阐述如下：（1）在信息安全领导小组的领导下，全面贯彻国家及成都市关于信息安全 工作的相关指导性文件精神，在公司内部建立可持续改进的信息安全管理体系。（2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和 完善各项信息安全管理制度，使得信息安全管理有章可循。（3）通过定期的信息安全宣传、教育与培训，不断提高公司所有人员的信 息安全意识及能力。（4）推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事 件进行快速、有序地响应。（5）贯彻风险管理的

3、理念，定期对“快易行网络约约出租车系统”信息系 统进行风险评估和控制，将信息安全风险控制在可接受的水平。（6）持续改进公司信息安全各项工作，保障网络系统安全畅通与可控，保 障所开发和维护信息系统的安全稳定， 为社会公众提供安全可靠的招投标比选服 务。3 信息安全总体目标（1）按照等级保护三级要求，对公司生产网系统进行建设和运维。（2）建立公司信息化资产目录（包括软件、硬件、数据信息等） 。（3）建立健全并持续改进公司安全管理体系。（4）编制完成公司网络和信息安全事件总体应急预案，并组织应急演练。（5）每年至少开展一次由第三方机构主导的信息安全风险评估，同时单位 内部定期进行自评估，保障信息系统

4、的安全。（6）每年至少组织一次全公司范围的信息安全管理制度宣传贯彻。4 信息安全工作原则结合公司实际情况，信息安全工作的开展过程中，基本工作原则为：（1）以自身为主，坚持技术与管理并重。（2）正确处理安全与发展的关系，以安全保发展，在发展中求安全。（3）统筹规划，突出重点，强化基础工作。（4）明确公司各角色的责任和义务，充分发挥各方面的积极性，共同构筑 公司信息安全保障体系。5 信息安全体系框架6 主要安全策略6.1 网站运行安全保障措施(1) 网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作，做好安全策略 ,拒绝外来的恶意攻击，保障网站正常运行。(2) 在网站的

5、服务器及工作站上均安装了正版的防病毒软件， 对计算机病毒、 有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。(3) 做好生产日志的留存， 网站具有保存 60天以上的系统运行日志和用户使 用日志记录功能，内容包括 IP 地址及使用情况，主页维护者、邮箱使用者和对 应的 IP 地址情况等。(4) 交互式栏目具备有 IP地址、身份登记和识别确认功能，对没有合法手续 和不具备条件的电子公告服务立即关闭。(5) 网站信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻 击导致不能正常运行，保证备用系统能及时替换主系统提供服务。(6) 关闭网站系统中暂不使用的服务功能 ,及相关端口

6、 ,并及时用补丁修复系 统漏洞 ,定期查杀病毒。(7) 服务器平时处于锁定状态 ,并保管好登录密码 ;后台管理界面设置超级用 户名及密码 ,并绑定 IP,以防他人登入。(8) 网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由 网站系统管理员设置共享数据库信息的访问权限， 并设置相应的密码及口令。 不 同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。 对操作人员的权限严格按照岗位职责设定， 并由网站系统管理员定期检查操作人 员权限。(9) 公司机房按照电信机房标准建设，内有必备的独立 UPS不间断电源、高 灵敏度的烟雾探测系统和消防系统，定期进行电力、防火、防

7、潮、防磁和防鼠检 查。6.2 信息安全保密管理制度(1) 我公司建立了健全的信息安全保密管理制度， 实现信息安全保密责任制， 切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责” 、“谁主 办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程， 建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。(2) 网站信息内容更新全部由网站工作人员完成 ,工作人员素质高、专业水平 好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、 法规和相关规定。 严禁通过我公 司网站散布互联网信息管理办法等相关法律法

8、规明令禁止的信息(即“九不 准”)，一经发现，立即删除。(3) 遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害 信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。(4) 所有信息都及时做备份。 按照国家有关规定， 网站将保存 60天内系统运行日志和用户使用日志记录(5) 制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安 全意识，自觉遵守互联网管理有关法律、 法规，不泄密、不制作和传播有害信息， 不链接有害信息或网页。6.3 用户信息安全管理制度(1) 我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私 政策和网站服务条款以及其他公布的准则规定的情况下， 未经用户授权我公司不 会随意公布与用户个人身份有关的资料，除非有法律或程序要求。(2) 所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协 议规定时间内保证不会丢失 ;(3) 严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人 管理，严格保密，未经允许不得向他人泄露。(4) 公司定期对相关人员进行网络信