企业信息安全管理制度(试行)

企业信息安全管理制度(试行)第一章总则第一条为保证信息系统安全可靠牢固运行，降低或阻拦人为或自然因素从物理层面对企业信息系统的保密性、完满性、可用性带来的安全威胁，结合企业实质，特拟定本制度。第二条本制度适用于XX企业以及所属单位的信息系统安全管理。第二章职责第三条相关部门、单位职责：一、信息中心（一）负责组织和协调XX企业的信息系统安全管理工作；（二）负责建立XX企业信息系统网络成员单位间的网络接见规则；对企业本部信息系统网络终端的网络准入进行管理；（三）负责对XX企业一致的两个互联网出口进行管理，配置防火墙等信息安全设施；会同保密处对企业本部互联网上网行为进行管理；（四）对XX企业一致建设的信息系统拟定专项运维管理方法，明确信息系统安全管理要求，界定两级单位信息安全管理—1—责任；（五）负责XX企业网络界线、网络拓扑等全局性的信息安全管理。二、人力资源部（一）负责人力资源安全相关管理工作。（二）负责将信息安全策略培训纳入年度职工培训计划，并组织推行。三、各部门（一）负责本部门信息安全管理工作。（二）配合和协助业务主管部门完满相关制度建设，落实平常管理工作。四、所属各单位（一）负责组织和协调本单位信息安全管理工作。（二）对本单位建设的信息系统拟定专项运维管理方法,明确信息系统安全管理要求，报XX企业信息中心备案.第三章信息安全策略的基本要求第四条信息系统安全管理应依照以下八个原则：一、主要领导人负责原则;二、规范定级原则；三、依法行政原则;四、以人为根源则；五、侧重效费比原则；—2—六、全面防范、突出重点原则；七、系统、动向原则；八、特别安全管理原则。第五条企业保密委应依照业务需求和相关法律法规,组织拟定企业信息安全策略,经主管领导审批宣布后,对职工及相关方进行传达和培训。第六条拟定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第七条信息安全策略主要包括以下内容：一、信息网络与信息系统必定在建设过程中进行安全风险评估，并依照评估结果拟定安全策略；二、对已投入运行且已建立安全系统的系统如期进行漏洞扫描,以便及时发现系统的安全漏洞;三、对安全系统的各种日志（如入侵检测日志等)审计结果进行研究，以便及时发现系统的安全漏洞；四、如期解析信息系统的安全风险及漏洞、解析当前黑客特别入侵的特点,及时调整安全策略；五、拟定人力资源、物理环境、接见控制、操作、备份、系统获取及保护、业务连续性等方面的安全策略,并推行.第八条企业保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审，必要时组织校正；当企业的组织架构、—3—生产经营模式等发生重要变化时也应进行评审和校正.第九条依照“谁主管、谁负责”的原则,企业建立信息安全分级责任制，各层级落实信息系统安全责任。第四章人力资源安全管理第十条信息系统相关岗位设置应满足以下要求:一、安全管理岗与其他任何岗位不得兼岗、混岗、代岗。二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗.三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设施管理岗、技术档案管理岗原则上有人员备份。四、以上岗位人员调离必定办理交接手续，所掌握的口令应立刻更换或注销该用户。第十一条人力资源部在相关岗位任职要求中应包括信息安全管理的相关条件和要求；将信息安全相关培训纳入年度职工培训计划，并组织推行.第五章信息系统物理和环境安全管理第十二条信息系统物理安全指为了保证信息系统安全可靠运行，不致碰到人为或自然因素的危害，而对计算机设施、设施（包括机房建筑、供电、空调）、环境、系统等采用合适的安全措施.第十三条信息管理部门应采用的确可行的物理防范手段或—4—技术措施对物理周边、物理入口、办公及生产地域等进行安全控制，防范没关人员未授权物理接见、损坏和搅乱.第十四条信息管理部门应加强对信息系统机房及配线间的安全管理,要求以下：一、工作人员需经授权,方能且只能进入中心计房的授权工作区；确因工作需要,需进入非授权工作区时，需由该授权工作区人员陪同；做好机房出入登记（格式见附录3-3）.二、工作人员必定严格依照规定操作,未经赞同不得超越自己职权范围以外的操作；操作结束时，必定退出已进入的操作画面；最后走动工作地域的人员应将门关闭。三、非授权人员严禁操作中心计房UPS、专用空调、监控、消防及UPS供配电设施设施。四、未经授权，任何人员不得擅自拷贝数据和文件等资料。五、严禁将易燃、易爆、强磁性物品带入中心计房；严禁在机房内吸烟。六、发买卖外情况应立刻采用应急措施，并及时向相关部门和领导报告.第六章信息系统财富管理第十五条信息管理部门对付信息和信息系统设施设施等相关财富建立台帐清单（格式见附录3—4)，并如期对其进行盘点盘点。第十六条设施使用人对付信息和信息系统设施设施、各种—5—储藏介质等相关财富进行表记。表记应张贴在信息设施的明显地址，做到信息完满、字迹清楚，并做好防零散防范工作。第十七条信息管理部门对付主机进行控制管理,要求以下：一、重点业务生产系统中的主机原则上应采用双机热备份方式或n+m的多主机方式，保证软件运行环境可靠；二、一般业务生产系统中的主机、生产用PC前置机，重点设施能够采用软硬件配置完满相同的设施来实现冷备份；三、各种设施在采买时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求，核心服务器、储藏相应时间一般不高于4小时。第十八条各相关部门应加强信息设施安装、调试、保护、维修、报废等环节的管理工作，防范因信息设施扔掉、损坏、失窃以及财富报废办理不当引起的信息泄露.第七章信息系统接见控制及操作安全管理第十九条企业将系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源接见安全、功能性安全、数据域安全。一、系统级安全策略包括:敏感系统的隔断、接看法址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特准时间段内登录次数的限制以及远程接见控制等。系统级安所有是应用系统的第一道防范大门。二、资源接见安全策略包括:对程序资源的接见进行安全控制，在客户端上，为用户供应和其权限相关的用户界面，仅出—6—现和其权限吻合的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行接见控制。三、功能性安全策略包括：功能性安全会对程序流程产生影响,如用户在操作业务记录时，可否需要审察，上传附件不能够高出指定大小等。四、数据域安全策略包括：一是行级数据域安全，即用户能够接见哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域安全，即用户能够接见业务记录的哪些字段。第二十条用户管理应建立用户身份鉴别与考据体系，防范非法用户进入应用系统.详尽要求以下：一、企业依照相关的接见控制策略，对用户注册、接见开通、接见权限分配、权限的调整及撤掉、安全登录、口令管理等方面进行接见控制的管理活动。二、用户是指用以登录、接见和控制计算机系统资源的帐户.用户管理是指对用户进行分层、授权的管理。用户由用户名加以划分，由用户口令加以保护。依照计算机系统所承载的应用系统运行管理的需要，将用户分为超级用户、授权用户、一般用户、匿名用户四类，分别控制其权限.（一）超级用户。拥有对运行系统的主机、前置机、服务器、数据库、运行进度、系统配置、网络配置等进行察看、更正、增加、重启等权限并可对下级用户进行授权的用户。由系统管理岗位或网络管理岗位主管进行分配，由系统管理员或网络管理员—7—负责用户口令的平常管理.（二）授权用户。拥有由超级用户依照应用系统开发或运行保护的特别需要，经过岗位主管的审批,将一些系统命令运行权限所授予的一般用户，由授权用户负责用户口令的平常管理。（三）一般用户。应用系统开发或运行保护人员为应用系一致般监控、保护的需要，由超级用户分配的一般用户，这类用户仅拥出缺省用户接见权限的用户,由用户负责口令的平常管理.（四）匿名用户.匿名用户用于向企业网络内所适用户供应相应服务，这类用户一般仅拥有阅读权限，无用户名及口令，一般情况下只赞同供应如：标准、期刊等无安全要求的系统服务时使用匿名用户。三、对用户以及权限的设定进行严格管理，用户权限的分配依照“最小特权”原则。四、口令是用户用以保护所接见计算机资源权益，不被他人冒用的基本控制手段.口令策略的应用与其被保护对象相关，口令强度与口令所保护的资源、数据的价值或敏感度成正比。（一）所有在企业局域网网上运行的设施、计算机系统及存有企业涉密数据的计算机设施都必定设置口令保护。（二）所有有权掌握口令的人员必定保证口令在产生、分配、储藏、销毁过程中的安全性和机密性。（三）口令应最少要含有8个字符；应同时含有字母和非字母字符口令。—8—（四）口令设置不能够和用户名或登录名相同，不能够使用生日、人名、英文单词等易被猜想、易被破解的口令,如有可能,采用机器随机生成口令。（五）口令使用限时由各个系统安全要求而定。（六）口令的使用限时和过期无效应尽可能由系统逼迫执行.（七）设施在启用时,默认口令必定更正。第二十一条系统运行安全检查是安全管理的常用工作方法，也是预防事故、发现隐患、指导整改的必要工作手段.信息系统安全管理人员应做好系统运行安全检查与记录（格式见附录3—5）.检查范围：一、应用系统的接见控制检查.包括物理和逻辑接见控制，可否依照规定的策略和程序进行接见权限的增加、更正和取消，用户权限的分配可否依照“最小特权"原则.二、应用系统的日志检查。包括数据库日志、系统接见日志、系统办理日志、错误日志及异常日志。三、应用系统可用性检查：包括系统中断时间、系统正常服务时间和系统恢复时间等。四、应用系统能力检查.包括系统资源耗资情况、系统交易速度和系统吞吐量等.五、应用系统的安全操作检查。用户对应用系统的使用是否依照信息安全的相关策略和程序进行接见和使用。—9—六、应用系统保护检查。保护性问题可否在规定的时间内解决，可否正确地解决问题，解决问题的过程可否有效等。七、应用系统的配置检查。检查应用系统的配置可否合理和合适，各配置组件可否发挥其应有的功能。八、恶意代码的检查。可否存在恶意代码,如病毒、木马、隐蔽通道以致应用系统数据的扔掉、损坏、非法更正、信息泄露等。九、检查出现异常时应进行记录，非受控变化应及时报告，以确定可否属于信息安全事件，属于信息安全事件的应及时处理。第二十二条信息管理部门应如期对重要系统、配置及应用进行备份。备份管理要求以下：一、各系统应于投产前明确数据备份方法,对数据备份和还原进行必要的测试，并依照实质运行需要及时调整，每次调整应进行测试；二、对系统配置、网络配置和应用软件应进行备份.在发生变动时，应及时备份；三、业务数据备份依照各生产系统备份计划的详尽要求进行，尽可能实现异地备份；四、集中管理的系统、设施数据的备份工作由所在单位的信息部门负责；五、备份介质交接应严格履行交接手续，做好交接登记；—10—六、介质存放地必定吻合防盗、防火、防水、防鼠、防虫、防磁以及相应的洁净度、温湿度等要求。第八章网络与通信安全管理第二十三条信息化管理部门采用必要的技术手段和管理措施，加强对网络和通信安全的管理，保障企业内外信息传达安全.网络安全管理包括网络接见控制、安全体系、网络服务、网络隔断等，基本要求是：一、如期对重要网络设施运行情况进行安全检查，发现隐患及时上报或整改,并做好记录（格式见附录3—5）。二、如期备份重要网络和通信设施配置文件，保证发生故障时能及时恢复网络运行，保证网络的可用性。第二十四条加强内部网络安全管理，详尽要求以下：一、网络机房分区应独立、关闭。二、网络设施走开生产环境前应清空所有网络配置。三、骨干网络设施应有备份，接入网络设施原则上应按5％比率备份.四、网络结构和网络配置应最大限度地保证网络的强壮性、安全性。五、企业网应依照需要划分不相同的VLAN，并经过接见控制列表控制各VLAN的接见权限。六、内部网络计算机未经赞同不得安装网络探测软件，严格严禁安装任何黑客软件。—11—七、生产网络和测试网络必定推行分别，严禁在生产环境中做各种种类的业务测试.第二十五条加强外联网络安全管理，详尽要求以下:一、外联网络安全依照最小权限原则,接见控制策略是“允许必定，严禁其他”。二、外联网络在穿过不能控地域时数据传输原则上应采用加密技术.三、拟定外联网络方案时应注意保守本企业网络拓扑结构、IP地址、端口、安全策略等奥秘，并注意认识对方网络结构及其变化情况。第二十六条加强互联网安全管理，详尽要求以下：一、互联网与内部网络必定有相关的逻辑隔断,涉及国家奥秘的信息不得经过互联网传输。二、不得接见相关黑客网站，不得下载、安装黑客软件.三、企业职工接见互连网,必定遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定，不得利用国际互连网从事损害国家、企业及他人利益的活动。第九章信息系统供应商安全管理第二十七条企业对信息系统供应商推行安全管理.信息系统供应商包括设施类供应商、技术类供应商、咨询服务类供应商、也许是以上几类的任意组合。第二十八条信息系统推行过程中，信息化管理部门应与供—12—应商签订安全保密协议，明确信息安全要求.第二十九条信息化管理部门对付供应商服务全过程进行监察和控制。第十章信息安全事件管理第三十条信息安全事件指以致信息财富扔掉和损坏，影响信息系统正常工作甚至业务中断的事件.主要有:一、信息系统软硬件故障；二、网络通信系统故障；三、机房供配电系统故障；四、系统感染计算机病毒；五、信息系统遭水灾、火灾、雷击;六、信息网络遭到入侵或攻击；七、信息系统内的敏感数据失窃、泄露；八、信息设施损坏、滥用或失窃；九、信息被非法接见、使用及篡改；十、违犯信息安全策略规定的其他事项。第三十一条信息安全事件管理包括组织机构、职责和规程的建立，信息安全形势及信息安全缺点的报告和评估，信息安全事件的应急办理等。一、建立信息安全事件管理机构和应急方案（一）企业信息安全事件管理机构包括:XX企业保密委,负责领导信息安全事件管理工作；各级信息化管理部门,负责办理—13—信息安全事件;信息安全事件响应小组（负责人），负责信息安全事件响应和应急办理。（二）信息化管理部门针对各种信息安全事件应分别拟定相应的应急方案，睁开必要的知识、技术、意识等培训。合时组织相关人员睁开应急演练。二、睁开信息安全形势及信息安全缺点报告和评估。信息系统安全管理和保护人员应加强对网络信息系统平常检查保护，认识外面信息安全变化,充分掌握信息安全形势，及时发现和除掉危及系统安全的各种安全隐患.当发现险情时,应立刻报告信息安全事件办理责任部门。完成信息安全事件办理后，应及时进行评估和改进，防范再次发生，并做好记录（格式见附录3-3）.三、信息安全事件应急办理,要求以下：（一）当信息系统出现险情时，保护人员和各级应抢救援人员应正确履行应急方案所赋的职责和履行信息安全事件办理责任部门下达的指令。（二）在发生网络与信息安全事件后,信息化管理部门应尽最大可能迅速收集事件相关信息，鉴别事件性质，确定事件根源，弄清事件范围和评估事件带来的影响和损害。一旦确认为网络与信息安全事件后，立刻将事件上报信息安全领导小组并着手办理。（三）安全事件进行最初的应急办理今后应及时采用行动，控制其影响的进一步扩大,限制潜藏的损失与损坏，同时要—14—保证应急办理措施对涉及的相关业务影响最小.（四）安全事件被控制此后，经过对相关事件或行为的分析结果，找出其根源，明确相应的拯救措施并完整除掉.（五）在保证安全事件解决后，要及时清理系统、恢复数据、程序、服务恢复工作应防范出现误操作以致数据扔掉。（六）信息安全事件发生时,应及时向企业保密委报告，并及时报告办理工作进展情况。事件办理中要作好完满的过程记录，保存各相关系统日志直至办理工作结束。（七）系统