信息系统监理安全管理办法2

1、信息系统平安管理方法（V0.1）第一章 总则第一条 为加强和规范北京赛迪信息工程监理有限公司信息系统平安工作，进一步推动信息系统平安监理标准化工作，提高项目现场平安监理和文明实施管理水平，依据计算机信息网络国际联网平安爱护管理方法(公安部令第33号)、中华人民共和国计算机信息系统平安爱护条例 （1994年国务院147号令）、计算机信息系统平安爱护等级划分准则（GB 17859-1999）特制定本方法。其次条 本方法所称信息系统指公司一体化企业级信息系统，主要包括信息工程管理与服务平台项目（以下简称“云平台”）和五大业务应用。“业务应用”包括电子政务、科研工程、通信工程、涉及国家隐私的信息系统、

2、工程管理和询问等业务应用。第三条 本方法适用于公司总部、各分公司。现场平安监理和文明实施管理除应执行本方法外，尚应符合国家、省现行有关法律、法规和标准的规定。当本方法高于国家现行相关标准时，以本方法为准。第四条 有关信息系统平安的基本概念、方针、原则和制度（一）有关平安的几个基本概念 1、信息系统平安在信息系统工程中，信息平安涵盖了人工和自动信息处理的平安。信息系统平安包括：软件平安和硬件网络平安两部分。在信息系统平安定义中，人是指信息系统应用的主体，包括：各类用户支持人员技术管理人员行政管理人员等 2、网络指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应用程序所构成的物理和逻辑的

3、完整体系。 3、环境 是系统稳定和牢靠运行所须要的保障体系，包括：建筑物机房电力保障与备份应急与复原体系等（二）平安生产的方针 平安生产的方针：平安第一，预防为主。 （三） 平安生产原则 “三同时”原则凡是我国境内新建、改建、扩建的基本建设项目(工程）、技术改造项目（工程）和引进的建设项目，其劳动平安卫生设施必需符合国家规定的标准，必需与主体工程同时设计、同时施工、同时投入生产和运用； “五同时”原则企业的生产组织及领导者在安排、布置、检查、总结、评比生产的时候，同时安排、布置、检查、总结、评比平安工作； “四不放过”原则在调查处理平安事故时，必需坚持事故缘由分析不清不放过，事故责任者和群众没

4、有受到教化不放过，没有实行切实可行的防范措施不放过和事故责任者没有被处理不放过的原则； “三个同步”原则平安生产与经济建设、企业深化改革、技术改造同步规划、同步发展、同步实施的原则。 （四）平安生产制度 平安生产制度：平安生产责任制、平安教化制度、平安检查制度和事故报告制度。 其次章 信息系统平安管理职责第五条 公司信息系统平安管理实行统一领导、分级管理。各部门主要负责人是本单位信息系统平安第一责任人，各部门信息平安管理领导小组负责本单位信息系统平安重大事项决策和协调工作。第六条 信息系统平安纳入公司平安管理体系，实行专业管理、归口监督。公司工程技术支持与服务部是信息系统平安的管理部门，负责管

5、理各业务系统的平安保障工作。第七条 公司工程技术支持与服务部主要职责： （一）落实国家有关信息系统平安法规、方针、政策、标准和规范，联系国家有关部门落实信息系统平安管理相关工作； （二）组织制定公司信息系统平安管理规章制度和标准规范； （三）指导、协调和检查各部门信息系统平安工作，组织落实公司信息系统等级爱护制度，统筹开展公司信息系统风险评估和平安检查工作； （四）在公司应急体系框架内，负责公司信息系统应急管理相关工作； （五）开展涉密计算机网络和系统立项、设计和建设，做好信息系统平安与保密检查； （六）负责规范公司信息系统平安产品的测评和选型工作。第八条 各职能部门职责： （一）负责实行国家

6、有关信息系统平安法规、方针、政策、标准和规范，实行公司信息系统平安相关规章制度和技术标准，建立健全本单位信息系统平安标准制度和规范体系； （二）负责落实本单位范围内信息系统平安工作责任制； （三）在公司信息职能管理部门指导下，落实本单位信息系统等级爱护制度、信息系统风险评估和平安检查等工作； （四）按公司信息系统应急体系要求建立本单位信息系统应急体系，组织本单位信息系统平安突发事务的应急处理； （五）负责明确本单位信息系统平安运行维护部门或机构，落实信息系统平安运行维护日常工作，具体落实信息系统平安等级爱护和平安策略； （六）组织本单位信息系统平安的宣扬和培训。第三章 管理措施第九条 不断建立

7、健全信息系统平安管理制度体系，通过操作规程实现平安管理和操作人员的标准化作业；定期对信息系统平安管理制度进行检查和审定，对存在不足或须要改进的平安管理制度刚好进行修订。第十条 严格遵守“涉密不上网、上网不涉密”纪律，严禁将涉密计算机与互联网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家隐私。严禁在信息外网计算机上存储和处理涉及企业隐私的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉运用。第十一条 严格信息系统平安工作人员录用过程，审查其身份、背景、专业资格，关键岗位应签署保密协议；刚好终止离岗员工的全部访问权限；严特别部人员访问程序，对允许访问人员实行专

8、人全程陪伴或监督，并登记备案。第十二条 严格依据国家有关部门要求，开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统平安等级，要依据等级爱护有关要求，落实必要的管理和技术措施，严格执行等级爱护制度。第十三条 新建信息系统涉及平安防护措施建设，应明确平安需求，确定平安等级，结合公司平安防护总体策略，进行平安防护方案设计；依据国家有关规定和坚持激励运用国产化产品原则，开展平安产品选购，必要时开展产品预先选型测试；加强软件开发管理，确保开发环境与实际运行环境平安隔离；托付有资质的第三方测试单位对系统进行平安性测试，并出具平安性测试报告；对测试不符合要求的，在整改后要重新测试。系统试

9、运行前，要开展相关平安培训。第十四条 加强信息系统运行维护全过程管理：（一）严格执行信息机房管理有关规范，确保机房运行环境符合要求，严格机房出入管理。要编制信息系统资产清单，建立资产管理制度，依据资产重要程度对资产进行标识。（二）对信息系统软硬件设备选型、选购、运用等实行规范化管理，建立相应操作规程，对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、运用、维护和销毁等各项措施。（三）依据最小服务配置和最小授权原则，对平安策略、平安配置、日志和操作等方面做出具体规定，明确各个角色的权限、责任和风险；具体记录日常操作、运行维护记录、参数设置和修改等内容，严禁任何未经授

10、权的操作；定期开展运行日志和审计数据分析工作，刚好发觉异样行为。刚好依据须要进行软件升级更新，并在更新前做好备份；定期进行漏洞扫描，刚好发觉平安漏洞并进行修补；刚好安装补丁程序，在安装补丁前做好测试和备份工作。（四）刚好升级防病毒软件，加强全员防病毒、木马的意识，不打开、阅读来历不明的邮件；要指定专人对网络和主机进行恶意代码检测并做好记录，定期开展分析；加强防恶意代码软件授权运用、恶意代码库升级等管理。（五）严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序，建立健全变更管理制度。保证全部与外部系统的连接均得到授权和批准，进行必要的平安隔离，配置严格的访问限制策略，开展必要的平安评估

11、。（六）建立和执行密码运用管理制度，运用符合国家密码管理规定的密码技术和产品。（七）对信息网络与系统运行状况等进行监测和报警；定期对监测和报警记录进行分析，依据须要实行必要的应对措施；应建立平安管理中心，对平安设备、恶意代码、补丁升级、平安审计等平安设施进行集中管理。（八）严格依据有关信息系统事故调查规定，刚好报告信息系统事故状况，仔细开展信息系统事故缘由分析，坚持“四不放过”原则，有效落实整改，确保类似事故不再发生。严格执行有关公司网络与信息系统平安运行状况通报制度，做好定期、节假日和特别时期的网络与信息系统平安运行状况报送工作。第十五条 严格执行公司有关信息系统平安风险评估管理规定，切实将

12、信息系统平安风险评估工作常态化和制度化，刚好落实整改，刚好消退信息系统平安隐患。依据国家和公司要求，定期开展信息系统平安检查工作，做好特别时期平安检查和平安保障工作。第十六条 不断完善应急预案，加强培训和演练，确保人力、设备等应急保障资源可用。第十七条 建立备份与复原管理相关平安管理制度，严格限制数据备份和复原过程，妥当保存备份记录，定期执行复原程序。要切实依据须要开展业务应用容灾系统建设。第十八条 切实加强网络信任体系建设规划工作，不断完善公司平安认证系统相关技术标准和功能规范。强化信任体系应用工作，做好信息系统统一身份认证，以及重要信息的加密和签名工作。第十九条 切实加强员工信息系统平安培

13、训，提高全员信息系统平安意识；强化信息系统平安人员专业技能培训，做到培训工作有安排、有总结，培训效果有评价。要对关键岗位人员进行全面、严格的平安审查和技能考核，对在信息系统平安工作中做出显著成果的单位和人员应赐予嘉奖和表彰。对违反国家法律、法规和公司有关规定，造成肯定不良影响和后果的，要追究其责任。第四章 技术措施其次十条 依据国家和公司有关规定，对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统；实行防雨水措施，防止雨水、水蒸气结露和地下积水；设置温、湿度自动调整设施，限制机房温、湿度在设备运行所允许范围之内，保证双路供电,电源线和通信电缆应隔离，避开相互干扰；采纳接地方式防止外界电磁

14、干扰和设备寄生耦合干扰。其次十一条 加强网络平安技术工作： （一）网络核心交换机、路由器等网络设备要冗余配置，合理安排网络带宽；建立业务终端与业务服务器之间的访问限制；依据须要划分不同子网；对重要网段实行网络层地址与数据链路层地址绑定措施。 （二）采纳防火墙或入侵防护设备（IPS）对内网边界实施访问审查和限制；对进出网络信息内容实施过滤，对应用层常用协议吩咐进行限制，网关应限制网络最大流量数及网络连接数。严格拨号访问限制措施。 （三）加强内部用户私自访问外部网络行为的检测工作，要能够刚好发觉，精确定位，有效阻断；对重要网段，应采纳入侵检测系统进行监控，对入侵事务刚好供应报警。其次十二条 加强系

15、统平安技术工作： （一）对操作系统和数据库系统用户进行身份标识和鉴别，具有登录失败处理，限制非法登录次数，设置连接超时功能；用户访问不得采纳空账号和空口令，口令要足够强健，长度不得少于8位。 （二）严格限制匿名用户的访问权限；实现操作系统和数据库系统特权用户访问权限分别，对访问权限一样的用户进行分组，访问限制力度应达到主体为用户级，客体为文件、数据库表级。 （三）限制单个用户的多重并发会话和最大并发连接数，限制单个用户对系统资源、磁盘空间的最大或最小运用限度，当系统服务水平降低到预先规定的最小值时，应能检测并报警。其次十三条 严格网络、系统平安审计工作，平安审计系统应定期生成审计报表，自动进行备份，审计记录应受到爱护，避开删除、修改或破坏。其次十四条 重要和敏感信息实行