企业信息安全管理制度试行

1、XX公司信息平安治理制度试行第一章总那么第一条为保证信息系统平安可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的平安威胁,结合公司实际,特制定本制度.第二条本制度适用于XX公司以及所属单位的信息系统安全治理.第二章责任第三条相关部门、单位责任：一、信息中央一负责组织和协调XX公司的信息系统平安治理工作；二负责建立XX公司信息系统网络成员单位间的网络访问规那么；对公司本部信息系统网络终端的网络准入进行治理；三负责对XX公司统一的两个互联网由口进行治理,配置防火墙等信息平安设备；会同保密处对公司本部互联网上网行为进行治理；四对XX公司统一建设的信息系统制

2、定专项运维治理方法,明确信息系统平安治理要求,界定两级单位信息平安治理责任；五负责XX公司网络边界、网络拓扑等全局性的信息安全治理.二、人力资源部一负责人力资源平安相关治理工作.二负责将信息平安策略培训纳入年度职工培训方案,并组织实施.三、各部门一负责本部门信息平安治理工作.二配合和协助业务主管部门完善相关制度建设,落实日常治理工作.四、所属各单位一负责组织和协调本单位信息平安治理工作.二对本单位建设的信息系统制定专项运维治理方法,明确信息系统平安治理要求,报XX公司信息中央备案.第三章信息平安策略的根本要求第四条信息系统平安治理应遵循以下八个原那么：一、主要领导人负责原那么；二、标准定级原那

3、么；三、依法行政原那么；四、以人为本原那么；五、注重效费比原那么；六、全面防范、突生重点原那么；七、系统、动态原那么；八、特殊平安治理原那么.第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息平安策略,经主管领导审批发布后,对员工及相关方进行传达和培训.第六条制定信息平安策略时应充分考虑信息系统平安策略的“七定要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程.第七条信息平安策略主要包括以下内容：一、信息网络与信息系统必须在建设过程中进行平安风险评估,并根据评估结果制定平安策略；二、对已投入运行且已建立平安体系的系统定期进行漏洞扫描,以便及时发现系统的平安漏洞；三、对平安

4、体系的各种日志如入侵检测日志等审计结果进行研究,以便及时发现系统的平安漏洞；四、定期分析信息系统的平安风险及漏洞、分析当前黑客非常入侵的特点,及时调整平安策略；五、制定人力资源、物理环境、访问限制、操作、备份、系统获取及维护、业务连续性等方面的平安策略,并实施.第八条公司保密委每年应组织对信息平安策略的适应性、充分性和有效性进行评审,必要时组织修订；当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订.第九条根据“谁主管、谁负责的原那么,公司建立信息平安分级责任制,各层级落实信息系统平安责任.第四章人力资源平安治理第十条信息系统相关岗位设置应满足以下要求：一、平安治理岗与其它任何岗

5、位不得兼岗、混岗、代岗.二、系统治理岗、网络治理岗与应用治理岗不得兼岗、混岗.三、平安治理岗、系统治理岗、网络治理岗、应用治理岗、设备治理岗、技术档案治理岗原那么上有人员备份.四、以上岗位人员调离必须办理交接手续,所掌握的口令应马上更换或注销该用户.第十一条人力资源部在相关岗位任职要求中应包含信息安全治理的相关条件和要求；将信息平安相关培训纳入年度职工培训方案,并组织实施.第五章信息系统物理和环境平安治理第十二条信息系统物理平安指为了保证信息系统平安可靠运行,不致受到人为或自然因素的危害,而对计算机设备、设施包括机房建筑、供电、空调、环境、系统等采取适当的平安举措.第十三条信息治理部门应采取切

6、实可行的物理防护手段或技术举措对物理周边、物理入口、办公及生产区域等进行平安控制,预防无关人员未授权物理访问、损坏和干扰.第十四条信息治理部门应增强对信息系统机房及配线间的平安治理,要求如下：一、工作人员需经授权,方能且只能进入中央机房的授权工作区；确因工作需要,需进入非授权工作区时,需由该授权工作区人员陪同；做好机房由入登记格式见附录3-3o二、工作人员必须严格根据规定操作,未经批准不得超越自己职权范围以外的操作；操作结束时,必须退由已进入的操作画面；最后离开工作区域的人员应将门关闭.三、非授权人员严禁操作中央机房UPS、专用空调、监控、消防及UPS供配电设备设施.四、未经授权,任何人员不得

7、擅自拷贝数据和文件等资料.五、严禁将易燃、易爆、强磁性物品带入中央机房；严禁在机房内吸烟.六、发生意外情况应立即采取应急举措,并及时向有关部门和领导报告.第六章信息系统资产治理第十五条信息治理部门应对信息和信息系统设备设施等相关资产建立台帐清单格式见附录3-4,并定期对其进行盘点清查.第十六条设备使用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识.标识应张贴在信息设备的明显位置,做到信息完整、字迹清楚,并做好防脱落防护工作.第十七条信息治理部门应对主机进行限制治理,要求如下：一、关键业务生产系统中的主机原那么上应采用双机热备份方式或n+m的多主机方式,保证软件运行环境可靠；二、一

8、般业务生产系统中的主机、生产用PC前置机,关键设备可以采用软硬件配置完全相同的设备来实现冷备份；三、各类设备在采购时技术规格中应明确效劳响应时间、备品备件、现场效劳等方面的要求,核心效劳器、存储相应时间一般不高于4小时.第十八条各相关部门应增强信息设备安装、调试、维护、维修、报废等环节的治理工作,预防因信息设备丧失、损坏、失窃以及资产报废处置不当引起的信息泄露.第七章信息系统访问限制及操作平安治理第十九条公司将系统运行平安按粒度从粗到细分为四个层次：系统级平安、资源访问平安、功能性平安、数据域平安.一、系统级平安策略包括：敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接

9、数的限制、特定时间段内登录次数的限制以及远程访问限制等.系统级平安是应用系统的第一道防护大门.二、资源访问平安策略包括：对程序资源的访问进行平安限制,在客户端上,为用户提供和其权限相关的用户界面,仅由现和其权限相符的菜单和操作按钮；在效劳端那么对URL程序资源和业务效劳类方法的调用进行访问限制.三、功能性平安策略包括：功能性平安会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等.四、数据域平安策略包括：一是行级数据域平安,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤；二是字段级数据域平安,即用户可以访问业务记录的哪些字段.第二十条用户治理应建

10、立用户身份识别与验证机制,预防非法用户进入应用系统.具体要求如下：一、公司根据相关的访问限制策略,对用户注册、访问开通、访问权限分配、权限的调整及撤销、平安登录、口令治理等方面进行访问限制的治理活动.二、用户是指用以登录、访问和限制计算机系统资源的帐户.用户治理是指对用户进行分层、授权的治理.用户由用户名加以区分,由用户口令加以保护.根据计算机系统所承载的应用系统运行治理的需要,将用户分为超级用户、授权用户、普通用户、匿名用户四类,分别限制其权限.一超级用户.拥有对运行系统的主机、前置机、效劳器、数据库、运行进程、系统配置、网络配置等进行观察、修改、添加、重启等权限并可对下级用户进行授权的用户

11、.由系统治理岗位或网络治理岗位主管进行分配,由系统治理员或网络治理员负责用户口令的日常治理.二授权用户.拥有由超级用户根据应用系统开发或运行维护的特殊需要,经过岗位主管的审批,将一些系统命令运行权限所授予的普通用户,由授权用户负责用户口令的日常治理.三普通用户.应用系统开发或运行维护人员为应用系统一般监控、维护的需要,由超级用户分配的一般用户,这类用户仅拥有缺省用户访问权限的用户,由用户负责口令的日常治理.四匿名用户.匿名用户用于向公司网络内所有用户提供相应效劳,这类用户一般仅拥有浏览权限,无用户名及口令,一般情况下只允许提供如：标准、期刊等无平安要求的系统效劳时使用匿名用户.三、对用户以及权

12、限的设定进行严格治理,用户权限的分配遵循“最小特权原那么.四、口令是用户用以保护所访问计算机资源权利,不被他人冒用的根本限制手段.口令策略的应用与其被保护对象有关,口令强度与口令所保护的资源、数据的价值或敏感度成正比.一所有在公司局域网网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必须设置口令保护.二所有有权掌握口令的人员必须保证口令在产生、分配、存储、销毁过程中的平安性和机密性.三口令应至少要含有8个字符；应同时含有字母和非字母字符口令.四口令设置不能和用户名或登录名相同,不能使用生日、人名、英文单词等易被猜想、易被破解的口令,如有可能,采用机器随机生成口令.五口令使用期限由各个

13、系统平安要求而定.六口令的使用期限和过期失效应尽可能由系统强制执行.七设备在启用时,默认口令必须更改.第二十一条系统运行平安检查是平安治理的常用工作方法,也是预防事故、发现隐患、指导整改的必要工作手段.信息系统平安治理人员应做好系统运行平安检查与记录格式见附录3-5.检查范围：一、应用系统的访问限制检查.包括物理和逻辑访问限制,是否根据规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权原那么.二、应用系统的日志检查.包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志.三、应用系统可用性检查：包括系统中断时间、系统正常效劳时间和系统恢复时间等.四、应用系

14、统水平检查.包括系统资源消耗情况、系统交易速度和系统吞吐量等.五、应用系统的平安操作检查.用户对应用系统的使用是否根据信息平安的相关策略和程序进行访问和使用.六、应用系统维护检查.维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等.七、应用系统的配置检查.检查应用系统的配置是否合理和适当,各配置组件是否发挥其应有的功能.八、恶意代码的检查.是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丧失、损坏、非法修改、信息泄露等.九、检查由现异常时应进行记录,非受控变化应及时报告,以确定是否属于信息平安事件,属于信息平安事件的应及时处理.第二十二条信息治理部门应定期

15、对重要系统、配置及应用进行备份.备份治理要求如下：一、各系统应于投产前明确数据备份方法,对数据备份和复原进行必要的测试,并根据实际运行需要及时调整,每次调整应进行测试；二、对系统配置、网络配置和应用软件应进行备份.在发生变动时,应及时备份；三、业务数据备份根据各生产系统备份方案的具体要求进行,尽可能实现异地备份；四、集中治理的系统、设备数据的备份工作由所在单位的信息部门负责；五、备份介质交接应严格履行交接手续,做好交接登记；六、介质存放地必须符合防盗、防火、防水、防鼠、防虫、防磁以及相应的洁净度、温湿度等要求.第八章网络与通信平安治理第二十三条信息化治理部门采取必要的技术手段和治理举措,增强对

16、网络和通信平安的治理,保证公司内外信息传递安全.网络平安治理包含网络访问限制、平安机制、网络效劳、网络隔离等,根本要求是：一、定期对重要网络设备运行情况进行平安检查,发现隐患及时上报或整改,并做好记录格式见附录3-5o二、定期备份重要网络和通信设备配置文件,保证发生故障时能及时恢复网络运行,保证网络的可用性.第二十四条增强内部网络平安治理,具体要求如下：一、网络机房分区应独立、封闭.二、网络设备脱离生产环境前应清空所有网络配置.三、骨干网络设备应有备份,接入网络设备原那么上应按5%比例备份.四、网络结构和网络配置应最大限度地保证网络的健壮性、平安性.五、企业网应根据需要划分不同的VLAN,并通

17、过访问限制列表限制各VLAN的访问权限.六、内部网络计算机未经批准不得安装网络探测软件,严格禁止安装任何黑客软件.七、生产网络和测试网络必须实行别离,严禁在生产环境中做各种类型的业务测试.第二十五条增强外联网络平安治理,具体要求如下：一、外联网络平安遵循最小权限原那么,访问限制策略是“允许必须,禁止其他.二、外联网络在穿过不可控区域时数据传输原那么上应采用加密技术.三、制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、端口、平安策略等秘密,并注意了解对方网络结构及其变化情况.第二十六条增强互联网平安治理,具体要求如下：一、互联网与内部网络必须有相关的逻辑隔离,涉及国家秘密的信息不得通过

18、互联网传输.二、不得访问有关黑客网站,不得下载、安装黑客软件.三、公司员工访问互连网,必须遵守?中华人民共和国计算机信息网络国际联网治理暂行规定?等规定,不得利用国际互连网从事损害国家、公司及他人利益的活动.第九章信息系统供给商平安治理第二十七条公司对信息系统供给商实施平安治理.信息系统供给商包括设备类供给商、技术类供给商、咨询效劳类供给商、或者是以上几类的任意组合.第二十八条信息系统实施过程中,信息化治理部门应与供应商签订平安保密协议,明确信息平安要求.第二十九条信息化治理部门应对供给商效劳全过程进行监视和限制.第十章信息平安事件治理第三十条信息平安事件指导致信息资产丧失和损坏,影响信息系统

19、正常工作甚至业务中断的事件.主要有：一、信息系统软硬件故障；二、网络通信系统故障；三、机房供配电系统故障；四、系统感染计算机病毒；五、信息系统遭水灾、火灾、雷击；六、信息网络遭遇入侵或攻击；七、信息系统内的敏感数据失窃、泄露；八、信息设备损坏、滥用或失窃；九、信息被非法访问、使用及篡改；十、违背信息平安策略规定的其他事项.第三十一条信息平安事件治理包括组织机构、责任和规程的建立,信息平安事态及信息平安弱点的报告和评估,信息平安事件的应急处理等.一、建立信息平安事件治理机构和应急预案一公司信息平安事件治理机构包含：XX公司保密委,负责领导信息平安事件治理工作；各级信息化治理部门,负责处置信息平安

20、事件；信息平安事件响应小组负责人,负责信息平安事件响应和应急处理.二信息化治理部门针对各类信息平安事件应分别制定相应的应急预案,开展必要的知识、技能、意识等培训.适时组织相关人员开展应急演练.二、开展信息平安事态及信息平安弱点报告和评估.信息系统平安治理和维护人员应增强对网络信息系统日常检查维护,了解外部信息平安变化,充分掌握信息平安事态,及时发现和消除危及系统平安的各类平安隐患.当发现险情时,应立即报告信息平安事件处置责任部门.完成信息平安事件处理后,应及时进行评估和改良,预防再次发生,并做好记录格式见附录3-3.三、信息平安事件应急处理,要求如下：一当信息系统由现险情时,维护人员和各级应急

21、救援人员应正确履行应急预案所赋的责任和执行信息平安事件处置责任部门下达的指令.二在发生网络与信息平安事件后,信息化治理部门应尽最大可能迅速收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围和评估事件带来的影响和损害.一旦确认为网络与信息平安事件后,立即将事件上报信息平安领导小组并着手处置.三平安事件进行最初的应急处置以后应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要保证应急处置举措对涉及的相关业务影响最小.四平安事件被抑制之后,通过对有关事件或行为的分析结果,找由其根源,明确相应的补救举措并彻底去除.五在保证平安事件解决后,要及时清理系统、恢复数据、程序、效劳恢复工作应预防由现误操作导致数据丧失.六信息平安事件发生时,应及时向公司保密委汇报,并及时报告处置工作进展情况.事件处置中要作好完整的过程记录,保存各相关系统日志直至处置工作结束.七