网络与信息安全工作管理办法

1、Shim 9网络与信息安全工作管理办法世茂房地产控股有限公司资讯科技部内部资料，未经同意，请勿翻印版本修订日期修订人审核人第一节安全组织原则 3第二节安全组织结构 3第一节概 述 4第二节安全规划与建设 4第三节物理安全管理 5第四节人员安全管理 6第五节安全培训 7第六节信息资产安全管理 8第七节安全运维管理 10第八节安全事件处理 10第九节应急计划 11第十节系统开发与维护 11第十一节符合性 14第十二节管理审计与评估 14第十三节奖惩 15第一节概 述 15第二节访问控制 16第三节身份认证 16第四节冗余恢复 17第五节日志审计与响应 17第六节内容安全 18GS-1-005.世茂

2、集团网络与信息安全工作管理办法第一章总则第一条随着上海世茂投资管理有限公司（以下简称：上海世茂）信息系统规模越来越大，随之带来的安全问题也不断增多，为 及时快速处理各种故障和安全事件， 防范与化解安全风险，保障网络 连续性以及高质量的服务水平，特制定上海世茂网络与信息安全工 作管理办法，以下简称“本办法”。第二条本办法依据中华人民共和国计算机信息系统安全保护条例，参考ISO27001信息安全管理体系规范而制定。第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题，包括 组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架 构安全、安全

3、事件处理。第四条上海世茂网络与信息安全工作的管理原则1. 整体规划，分步实施：需要对网络与信息安全工作进行整体规划，分步实施，逐渐建立完善的网络与信息安全体系。2. 三同步原则：安全系统应与业务系统及网络同步规划、 同步建设、同步运行。3. 适度安全：安全具有相对性和动态性的特点，必须做好安全建设的成本效益分析，在安全性和投入成本之间、安全性和易用性之间做好平衡工作。第五条本办法中的安全是指信息系统的安全第二章安全组织管理第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来制定。第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组，全面负责上海世茂网络与信息安全各项工作。第

4、八条领导小组下设IT总监，贯彻“信息化领导小组”的安全管理决策，作为执行管理机构。资讯科技部作为信息安全工作的 主要执行机构，负责信息安全日常工作，IT总监下属包括应用和运 维两个专业工作组。第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安全管理工作，明确信息安全的工作职责、内容、方法和流程的一套文 档，它覆盖了 IT系统的整个生命周期，对系统和网络的规划、设计、 建设、运维以及检查评估都提出了相应的安全要求。第十条上海世茂安全策略由资讯科技部、各部门提出需求，由资讯科技部组织制定。第十一条上海世茂的安全策略由上海世茂信息安全领导小组批准和发布，由资讯科技部组织宣传和培训，并监督

5、各部门执行落 实。第十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施，并建立安全策略违反报告制度。第十三条资讯科技部建立安全策略定期审核更新的制度和机制，定期对安全策略的有效性进行审核，并根据情况进行更新。第四章安全管理制度第一节概述第十四条为做好上海世茂网络与信息安全管理，必须做好安全规划和建设，完善物理环境安全，加强工作人员安全管理和教育， 建立信息资产安全管理制度。完善安全运维、事件处理、应急响应等 安全工作。第二节安全规划与建设第十五条上海世茂安全规划明确安全建设原则，为网络与信息安全建设明确建设方向和蓝图。第十六条安全规划小组要根据上海世茂现有情况做好安全规划工作，制定

6、近期（12年）总体安全规划和中长期（35年） 安全建设目标，制定网络建设规划和人员计划，满足信息系统正常安 全保障并适应未来的发展战略。第十七条安全规划应考虑信息安全管理体系和安全技术架构的建设，根据网络发展规划适度超前建设，并考虑统一安全管理要 求和统一安全技术基础设施。第十八条应在上海世茂信息系统规划、设计、开发、实施、运维的整个生命周期中各个阶段充分考虑并实施安全控制措施。第十九条在特殊情况下，应预先明确风险，并指出应采取的控制措施。第二十条应对网络与系统建设过程中存在的安全风险进行严格的安全过程控制。第三节物理安全管理第二十一条 物理安全管理的目标是通过加强工作环境安全，防 止对上海世

7、茂工作场所和信息资源的非法访问、破坏和干扰。第二十二条相关部门应按照上海世茂关于机房建设及管理等 标准，对机房场地与设施进行安全建设，并进行分级、分区安全管理, 机房安全建设和改造应通过资讯科技部的安全审批和验收，并建立、 健全严格的机房安全管理制度。第二十三条信息资产主管部门及使用部门必须保证关键或敏感的数据信息处理设备放置在安全的区域， 并使用适当的物理防护设 备和访问控制手段。第二十四条 应加强办公区的物理访问控制。第四节人员安全管理第二十五条 信息安全管理人员应当政治过硬、业务素质高、遵 纪守法、恪尽职守。第二十六条应建立相应制度以及相应技术手段加强对第三方人员的安全管理。第二十七条

8、违反国家法律、法规和行业规章受到处罚的人员， 不得从事信息安全管理工作。第二十八条 信息安全管理人员调离岗位，必须办理调离手续， 承诺其调离后的保密义务。第二十九条 信息安全岗位人员必须具备相应的资质并签定保密协议。信息安全管理人员应定期接受政治思想教育、 职业道德教育 和安全保密教育。第三十条信息安全管理人员职责：(1)负责计算机安全管理的日常工作；(2)开展计算机安全检查工作，对要害岗位人员安全工作进行指导;(3)开展计算机安全知识的培训和宣传工作；(4)监控计算机安全总体状况，提出安全分析报告；了解行业动态，为改进和完善计算机安全管理工作， 提出安全防 范建议；(5)及时向计算机安全工作

9、领导小组和有关部门、单位报告 计算机安全事件。第三十一条信息安全管理人员发现本单位所使用信息系统中的重大安全隐患，有权向上级报告。第三十二条 信息安全管理人员发现系统操作人员使用不当，应 及时建议有关单位、部门进行调整。第三十三条信息安全管理人员必须严格遵守国家有关法律、法 规和行业规章，严守国家、行业和岗位秘密。第三十四条 信息安全管理人员应定期参加下列计算机安全知 识和技能的培训：(1)计算机安全法律法规及行业规章制度的培训；(2)计算机安全基本知识的培训；(3)计算机安全专项技能的培训。第五节安全培训第三十五条 工作人员安全意识是安全管理工作开展的基础和前提，安全管理工作组应建立安全意识

10、教育计划，通过持续的安全教育，提高人员安全意识。第三十六条建立安全技术培训计划，通过各种培训方式，提高 各级管理人员和专业人员安全技能，降低安全操作风险。第六节信息资产安全管理（一）资产管理第三十七条上海世茂信息资产包括所拥有各种信息及其载体， 存在有形资产和无形资产，包括计算机设备、系统软件、应用软件、 数据、文档等。第三十八条 严格执行上海世茂设备管理部门有关设备管理的 各项规章制度，对资讯科技部管理的设备进行编号、登记、建立完善、 准确的台帐。第三十九条每半年，对全局计算机网络设备进行一次全面检查 和维护。每年末，资讯科技部对固定资产清查一次。第四十条各级信息资产责任者必须严格遵守相关制

11、度，保证信息资产的机密性、完整性和可用性。第四十一条信息系统资产管理具体办法参见上海世茂信息资产安全管理办法。（二）版权要求第四十二条上海世茂与计算机信息系统承建商签订建设合同 时，承建商应当保证产品无侵犯他人版权要求。第四十三条 承建商在计算机信息系统建设中使用第三方产品 时，必须事先得到上海世茂资讯科技部认可并具有第三方产品书面授 权。(三)安全专用产品第四十四条本规定所称安全专用产品，是指用于保护计算机信 息系统安全的专用软件、硬件产品。第四十五条 安全专用产品准入、选型、采购部署工作由资讯科 技部统一组织实施。安全专用产品有下列情形之一的，取消其准入资 格：(1)安全专用产品的功能已发

12、生变化，但未通过检测的；(2)经使用发现有严重问题的；(3)能提供良好售后服务的；(4)国家有关部门取消其销售资格的。第四十六条 安全专用产品在使用中，系统管理员应监测生成的 信息，对生成的信息应及时分析并作出分析报告； 在监测中如发现重 大问题，应立即采取相应控制措施并将有关情况逐级上报；安全专用产品使用中产生的重要报告应备份存档，并按密级资料管理方式履行有关手续。第七节安全运维管理第四十七条安全维护管理的目标是通过建立和执行对网络和操 作系统的安全维护流程和安全维护作业计划，来保障提供高质量的信 息系统服务能力和通信能力。第四十八条安全维护工作主要包括硬件入网管理、病毒防范管 理、密码管理

13、、系统和数据备份、日志管理和审计、软件版本管理和 补丁加载。第四十九条 网络、主机的相关人员、维护计划配置应随网络调 整进行更新。第八节安全事件处理第五十条安全事件处理的原则是“积极预防、及时发现、快速响应、确保恢复”。第五十一条 系统宕机引起相关部门无法进行业务操作，非法侵 入、破坏计算机信息系统，利用计算机实施诈骗、盗窃、贪污、挪用 公款的计算机犯罪案件，以及造成不良社会影响的计算机安全事故， 属于信息安全事故。第五十二条各相关部门根据要求建立详细的安全事件响应机 制，规定在安全事件的发现、上报、分析、处理、总结和奖惩阶段的 相关责任和程序，最大限度地减少安全事件造成的损害。第五十三条对安

14、全事件做好记录和存档工作，记录内容包括事 件的起因、处理过程、处理结果、建议改进的安全对策等。第九节应急计划第五十四条 针对不同的安全事件，必须制定相应的应急计划， 内容至少包括计划的准备、演练、实施、系统恢复方案四个组成部分， 各部门应定期上报应急计划内容。第五十五条 通过应急计划的演练测试检查应急计划的有效性和 资源的可用性，并根据演练结果进行应急计划的调整。第十节系统开发与维护（一）承建商管理第五十六条资讯科技部是全局计算机信息系统承建商管理的第 一责任人。第五十七条计算机信息系统承建商必须遵守上海世茂信息安全 管理制度，必须签署保密协议；在提供优质的开发、维护服务的同时, 不得擅自修改

15、正式生产系统中的数据。（二）计算机信息系统建设第五十八条计算机信息系统的规划和建设应同步做好系统安全 保护工作，以确保系统安全目标的实现。重要计算机信息系统立项的 安全管理实行审批制度。对初审合格的项目申报材料，应进行安全性 专项审查，提出审查意见后由资讯科技部最后审批。 对没有通过安全 管理审查的项目，不得予以立项。第五十九条计算机信息系统的开发必须符合软件工程规范，并在软件开发的各阶段按照安全管理目标进行管理和实施。计算机信 息系统的开发人员或参加开发的协作单位应经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务。计算机信息系统 的开发环境和现场应当与生产环境和现场隔离。

16、计算机信息系统开发 完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其 相关技术文档。第六十条 计算机信息系统投入运行前，应向资讯科技部系统 管理员提交性能测试报告；系统管理员对性能测试报告进行初步审 查；初审合格后，安排生产环境部署。（三）计算机信息系统运行第六十一条 计算机信息系统的使用部门应当严格用户和密码（口令）的管理，业务操作员应严格按照操作培训要求进行操作，保 证系统安全运行；对计算机信息系统在运行过程中出现的异常现象， 有责任向部门领导和资讯科技部报告。第六十二条计算机信息系统应定期进行数据备份，对备份介质 应按有关规定指定专人妥善保管。重要计算机信息系统应当制定应急

17、计划，保证业务的不间断运行。第六十三条系统管理员应合理配置操作系统、数据库管理系统 所提供的安全审计功能，以达到相应安全等级标准，应及时安装正式 发布的系统补丁，修补系统存在的安全漏洞；并屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入；第六十四条 系统管理员不得泄露操作系统、数据库的系统管理 员帐号、密码。联网设备的IP地址及网络参数，必须按照网络管理 规范及其业务应用范围进行设置，非系统管理人员不得修改。第六十五条系统管理员应对重要业务的计算机信息系统进行日 常巡检，监测系统运行日志，掌握系统运行状况；发现系统运行异常 应及时通报主管领导。（四）上线管理第六十六条计算机信息系统正式使用

18、前必须经过系统使用部门 的整体功能测试和性能测试（对原有系统的功能升级必须经过系统操 作员的功能认可），才能在正式生产环境部署。（五）验收管理第六十七条必须经过资讯科技部评估，需要签订合同独立开发的业务软件系统必须进行系统验收；第六十八条 需要验收的系统必须经项目管理与咨询公司审核项 目文档以及上海世茂资讯科技部负责人审核确认后进行。（六）需求数据变更第六十九条业务操作员对已经上线运行的信息系统提出需求修 改要求以及数据变更要求时，系统开发员需要准确纪录需求，并整理 为需求确认单或数据确认单。第七十条 系统开发员对业务操作员签字确认后的需求确认 单、数据确认单进行系统处理，处理后的结果由业务操

19、作员进行 确认。第十一节符合性（一）正版软件第七十一条资讯科技部是全局推进使用正版化软件工作的第一 责任人。第七十二条 公司内软件正版化工作实行使用责任制。各部门的 主要负责人是本推进使用正版软件工作的第一责任人，对本部门使用 非正版软件、损害公司形象的，承担领导责任。软件正版化工作列入 各部门年终考核。（二）性能要求第七十三条 业务应用软件开发类项目正式上线前必须进行性能 测试，达到性能测试要求后部署正式环境；第十二节管理审计与评估第七十四条安全管理审计是参照一定的安全标准对运维过程和 信息系统本身进行安全评价的过程。此过程重点关注运维管理工作是 否有效地保护了信息系统的安全。第七十五条 风

20、险评估主要依靠技术手段评估特定的内外威胁可 能对信息系统造成的损失，此工作主要关注信息系统本身存在哪些漏洞、面临哪些威胁、可能遭到什么样的损害。第七十六条上海世茂资讯科技部应制定安全巡检机制，每半年 组织一次安全管理内部审计，发现在安全运维管理方面存在的问题； 并定期（间隔最长不超过半年）对网络与信息系统进行风险评估，并 对评估出来的问题和隐患进行及时整改。第七十七条各部门根据实际情况对所辖系统不定期进行安全自 评估。第十三节奖惩第七十八条执行上海世茂计算机信息系统安全管理体系，计算 机安全管理工作成绩突出的部门与个人，由资讯科技部报领导小组 后，对其进行通报表彰，并给予一定形式的奖励。第七十

21、九条违反上海世茂计算机信息系统安全管理体系，造成 重大安全事故或计算机犯罪的，根据有关部门法律法规，追究其主管 领导、相关部门及其他直接责任人的责任。第八十条 违反上海世茂计算机信息系统安全管理体系的单位 与个人，由资讯科技部报领导小组后，通报批评。第五章安全技术体系第一节概述第八十一条为切实防范网络攻击、保护上海世茂网络和信息安全，解决网络中存在的各种安全问题，需要运用访问控制、身份认证、 冗余恢复、审计响应、内容安全等多种安全技术构建上海世茂安全技 术体系。第二节访问控制第八十二条 访问控制的目标是通过设定对计算机资源（包括信 息、网络、系统、数据库、应用等）的访问策略，实现授权用户通过

22、正确的方式访问资源，阻止未授权用户有意或无意获得访问权限。第八十三条 设定访问控制策略的原则是“除明确允许执行情况 外必须禁止”。第八十四条 安全域划分是对系统实施分级安全保护的前题条 件，安全管理工作组必须要对网络划分安全域， 明确网络边界和保护 等级，实现网络之间的有效隔离和访问控制。第八十五条 在网络、系统和应用层面制定访问控制和权限管理 策略，并加强人员管理，保证安全有效的访问控制。第三节身份认证第八十六条 加强面向网络和信息系统用户的管理，包括用户身 份管理、帐号和口令管理、权限管理、认证和授权。第八十七条 用户帐户的设定应符合“职责分离”的原则。第八十八条 对于重要系统应采用双因素

23、或多因素认证机制。第八十九条 定期审计身份鉴别，对发现的异常进行及时处理，对累积性事件进行必要的趋势分析。第四节冗余恢复第九十条冗余恢复主要是针对网络、操作系统、应用系统以及数据可能发生的异常情况，为保障信息系统连续性所做的准备和防 范措施。第九十一条 应根据系统的重要程度，制定数据与软件的备份策 略，明确备份周期和方法，并提供充足的备份设施，并定期进行备份 数据恢复演练。第九十二条 系统内重要主机、支持重要应用的网络设备应有冗 余设置，应采用技术措施保证服务器出现故障经更换或修复后，能够自动安装操作系统、应用软件，并恢复数据。第五节 日志审计与响应第九十三条 日志审计是对主机、网络的运行状况

24、，尤其是资源 的访问情况进行记录、检查、监控以及完整性检查等；响应主要指对 网络安全问题的实时检测、告警和处理。第九十四条系统内重要主机上应部署日志审计产品并定期进行 漏洞扫描。第九十五条重要的信息系统应部署入侵检测设备，并配备相应 的告警和处理机制。第六节内容安全第九十六条 内容安全指防止传输和存储的数据（信息）泄漏、 甄别应用和数据的合法性。包括加密、防病毒、垃圾邮件过滤网关、 内容过滤等产品。第九十七条 应部署覆盖全网的多级防病毒系统，并定期进行病 毒库升级。第六章安全检查第九十八条为提高各部门人员及管理人员安全意识，不断促进 安全防范及管理工作深入进行，信息安全委员会应制定对安全管理工

25、 作的检查和考核制度并组织和执行安全检查工作。第九十九条 安全检查的内容至少要包括安全组织、安全规划建 设、信息资产管理、人员安全、安全培训、物理环境安全、安全运维、 安全事件处理、设备配置安全、应急计划、入网安全、管理审计与评 估、软件版权、访问控制、身份认证、冗余恢复、日志审计与响应、 内容安全等方面。第一百条 应将安全工作逐步纳入到工作人员的绩效考核体系 中。第一章 检查内容 第一节组织结构第一条检查安全组织机构建设情况:1. 安全组织；2. 专（兼）职安全管理员；3. 人员变动情况。第二条检查人员管理情况：1. 健全的网络与信息安全管理制度;2. 网络与信息安全学习、培训I;3. 重要

26、岗位安全管理。第二节机房检查第三条检查机房环境：1. 外部供电系统；2. 内部供电系统；3. 应急照明；4. 主机房环境温度、湿度控制；5. 防火系统；6. 场地监控；7. 门禁保安；8. 紧急联络；9. 接地系统；10. 防盗设施；11. 静电防护措施；12. 防电磁干扰措施；13. 防雷装置。第四条检查机房的日常管理：1. 工作交接手续；2. 各类数据和存储介质管理；3. 过期报表和作废文档的销毁；4. 硬件设备的管理和维护；5. 各种设施有效性的定期检查；6. 机房工程改变、维修操作、设备的调出的审批。第五条检查生产管理制度：1. 机房操作员、系统管理员岗位职责；2. 机房出入管理制度；

27、3. 机房场地、设施及设备管理制度；4. 进出机房人员登记簿；5. 系统运行日志；6. 设备维护登记簿。第三节网络系统检查第六条检查网络建设：1. 上海世茂集团网络规划、设计、改造过程中的安全考虑；2. 网络建成后的安全评审；3. 设备备份和线路备份；4. 网络设计、实施阶段文档；5. 文档（包括：网络设计方案、网络拓扑结构图、网络配置参数、IP地址分配方案等）的保管。第七条检查网络安全规定：1. 网络的管理和维护工作；2. 办公网等内部网络与互联网之间的安全隔离措施；3. 专线连接中防火墙等安全措施；4. 拨号连接中防火墙、身份认证和回拨等安全措施；5. 网络中身份认证、加密、访问控制、数字签名、事件审计等安全技术和措施；6. 互联网上网管理办法或规定；7. 对拨号上互联网的计算机和调制解调器的登记记录。第八条检查网络运维：1. 重要网络设备口令的管理；2. 口令的定期更换；3. 网络实时监控和事件报警响应机制；4. 专人定期或不定期监测网络设备性能参数和网络运行状况；5. 对涉及网络配置的增、删、修改等操作的审批手续和配置更改记录；6. 备机