信息安全管理体系制度汇编（技术方案）

信息安全管理体系汇编方案投标人名称：****有限责任公司地址：****号二楼联系人：****报告说明声明：本文内容信息来源于公开渠道，对文中内容的准确性、完整性、及时性或可靠性不作任何保证。本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据。目录 信息安全工作流程图 信息安全工作示意图 I 1 1 1 1 1 2 3第七章附则 4 5第一章总则 5 5 6 7第五章例会制度 9第六章附则 1 附件2:架构与安全委员会例会纪要 第五章系统安全管理 第六章应用安全管理 第七章数据安全管理 第八章信息系统建设安全管理 第九章信息系统变更安全管理 第十章信息系统运维安全管理 第十一章信息系统安全事件管理 第十二章信息安全检查与审计管理 第十三章信息系统风险评估管理 第十四章信息系统安全应急预案 第十五章业务连续性与灾难恢复管理 第十六章信息系统安全值守巡检规范 第十七章附则 第一章总则 第四章第三方人员安全管理制度 20 21数据中心机房管理制度 2 2 26附件1:机房人员、设备进出申请表 附件2:数据中心维护工作登记表 27 29 29 系统安全管理制度 40第七章资源控制 40 41 41第十一章抗抵赖 41 41 数据安全管理制度 43 45 46第七章数据备份安全 46 47 48 48 附件1:备份记录 附件2:备份计划表 附件3:备份数据可用性测试申请表 53附件4:备份数据可用性测试记录 附件5:数据恢复申请表 55业务系统建设安全管理制度 附件1:新业务上线申请表 信息系统变更安全管理制度 附件1:变更申请表 附件2:变更记录表 信息系统运维安全管理制度 附件1:信息系统运维账号申请表 信息系统安全事件管理制度 72 附件1:故障记录登记表 附件2:故障记录汇总审批表 突发业务高可用性管理制度 附件1:突发业务高可用性影响分析报告 附件2:突发业务高可用性实施计划 附件3:突发业务高可用性实施计划测试报告 附件4:突发业务高可用性实施计划评审报告 错误!未定义书签。 第三章事件分类 95 96 信息系统风险评估管理规范 9 9 信息系统安全值守巡检规范 第一章总则 附件1:保密协议书 附件2:培训记录单 第三方人员安全管理制度 附件1:第三方人员访问申请流程 附件2:第三方人员入网申请表 附件1:信息资产保密性赋值定义 附件2:信息资产完整性赋值定义 附件3:信息资产可用性赋值定义 附件4:信息资产清单 办公设备安全管理制度 附件1:办公设备申请采购工作流程 附件2:办公设备领用工作流程 附件3:办公设备调拨工作流程 附件4:办公设备维修报废流程 附件5:办公设备领用单 附件6:办公设备调拨申请表 附件7:办公设备送外维修申请表 附件1:介质目录清单 附件2:介质申请表 附件3:介质送外维修申请表 附件4:介质移交单 附件5:介质销毁清单 附件6:保密介质销毁申请表 没智业确没智业确设施安全操作培训教特续改进心持A日常安金检查申以检查C审计发第三方安全服务网络运营中心监制II规范操作改进制度日常安全检查改进度,提高意识遵守制度新上线业务安全检测突发安全事件应急响应第三方安全项目监督保障改进度查审计年度安全审计报告网络服务部题安全报告集团公司技术中心智农云业务部问题题全件安事信息系统安全管理制度信息系统安全管理制度信息系统日常安全管理规范信息安全管理体系信息安全管理体系网络运营中心监制IV第一章总则第二章总体安全方针第三章总体安全目标第四章安全工作原则网络运营中心监制1第五章安全工作要求第六章安全组织保障第二十四条信息安全实施小组由信息安全部、网络运维部、技术中心安全相关第七章附则第二十五条本方针的制定和修改需要经架构与安全委员会成员讨论通过后，管第一章总则第一条为了加强集团信息安全保障能力，建立健全集团的安全管理体系，提高第二条架构与安全委员会(以下简称“委员会”)是集团管理委员会领导下的IT服务管理的安全监督机构，负责集团信息安全相关的技术指导和管理工作，第三条委员会的宗旨是集中团队力量，落实集团信息化发展战略，建立统一的IT管理体系，规范IT管理制度，合理配置IT资源，优化IT体系结构，更好地第二章组织结构第四条委员会下设信息安全实施小组，由网络运营中心、技术中心、外部组织第五条委员会成员由集团管理委员会指派，每届任期为1年。详细人员名单见网络运营中心监制5架构与安全委员会信息安全实施小组信息安全实施小组网络安全工程师网络安全工程师数据库工程师系统工程师网络工程师研发工程师网络管理员外部技术人数据库工程师系统工程师网络工程师研发工程师网络管理员外部技术人员第三章架构与安全委员会一、负责集团信息安全相关的技术指导和管理工作，定期向集团管理委二、负责根据集团的智慧大北农平台战略，制定网络与信息安全体系的三、根据国家信息安全管理的相关法律法规和制度，建立和健全集团的七、负责集团信息安全相关问题的对内及对外的协调工作。协调内部实第四章信息安全实施小组网络运营中心监制■负责日常的网络设备、服务器、数据库、应用中间件、应用系统等的安全检查与安全日志审计，及时发现安全问题及攻击事件，排除安全■负责业务相关网络的监控、维护和故障处理，并定期提交工作报告；■协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全■负责集团办公网络的监控、维护和故障处理，并定期提交工作报告；■负责集团总部办公区网络、员工终端PC、固定电话等的部署、维护和■协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全网络运营中心监制第五章例会制度网络运营中心监制第六章附则附件1:架构与安全委员会名单会议时间会议地点参会人员会议议题会议纪要会议结果第一章总则第二章信息系统安全管理信息系统安全值守巡检规范信息系统安全值守巡检规范突发业务高可用性管理制度信息系统安全应急预案信息系统风险评估规范信息安全检查与审计管理制度信息系统安全事件管理制度信息系统运维安全管理制度信息系统变更安全管理制度信息系统建设安全管理制度数据安全管理制度应用安全管理制度系统安全管理制度网络安全管理制度数据中心机房安全管理制度信息系统安全管理制度第三章数据中心机房安全管理第四章网络安全管理全、可控状态下运行，建立健全业务相关服务器操作系统的操作手册，需实施第十一条系统安全管理的内容是对集团业务相关服务器操作系统安全配置、第六章应用安全管理第十二条为规范集团业务系统、管理系统的应用安全，保障集团应用系统安第七章数据安全管理第十四条数据的安全管理是集团业务系统数据正常提供服务的重要保证。为加强数据的安全管理，提信息系统数据的可用性、完整性及保密性，需实施数第十五条数据安全管理涉及的内容有数据分级、数据传输安全、数据存储安全、数据变更安全、数据访问安全、数据备份安全、数据恢复安全、数据销毁第八章信息系统建设安全管理实现安全建设应与业务系统“同步规划、同步建设、同步运行”的安全工作原第十七条信息系统建设安全管理适用于对集团信息系统建设过程中的各阶第十八条信息系统建设安全管理的内容是对信息系统的研发、测试以及上线第九章信息系统变更安全管理第十九条为保证集团信息系统安全稳定运行，规范集团信息系统变更管理，提高变更的效率和质量，减少或避免变更对业务系统的影响，需实施信息系统第二十条变更管理是指对信息系统的增补或修改的管理。变更行为包括但不第二十一条变更管理的内容是对变更分类、变更管理流程安全进行统一规范和第十章信息系统运维安全管理第二十二条为了加强集团信息系统的运行维护安全管理，建立和健全信息系统相关操作手册，提高系统运行维护质量，减少人为造成的操作不当，保障信息第二十三条网络运营中心负责集团信息系统的日常安全运行维护工作，并负责第二十四条信息系统运维安全管理包括日常巡检管理，信息系统账号管第二十五条为加强集团信息系统安全事件的快速应对能力，保障集团信息系统或灾难的影响，确保灾难发生时能够及时进行数据恢复，需实施突发业务高可第十六章信息系统安全值守巡检规范第三十四条为规范集团信息化支撑设备或软件的安全巡检维护工作，保证信息系统安全稳定运行，最大限度的减少因硬件设备或软件系统故障对工作造成的第三十五条信息系统安全值守巡检规范内容包括安全值守巡检组织和职第三十六条本制度的制定和修改需要经架构与安全委员会成员讨论通第一章总则第二章信息系统日常管理介质安全管理制度介质安全管理制度桌面终端安全管理制度办公设备安全管理制度信息资产安全管理制度第三方人员安全管理制度人员安全管理制度第三章人员安全管理第五条人员安全管理主要是对人员录用、人员离岗、人员信息安全意识教育、第四章第三方人员安全管理制度第三方人员的安全管理，提供第三方人员在集团活动所要遵守的行为准则，需第八条第三发人员安全管理制度主要是对第三方人员的行为和操作进行管理第五章信息资产安全管理制度第十一条信息资产管理的主要是对对信息资产的分类，分级，管理和盘点进第六章办公设备安全管理制度安装、调试、使用、档案管理、数据保密、维护、维修、报废、以及计算机配件的采购、领用进行规范管理，提高办公设备的使用效率，需实施办公设备安第十三条集团办公设备包括各种计算机、打印机、扫描仪、投影仪、数码设第十四条办公设备的安全管理主要包括设备申购管理，设备采购管理，设备第七章桌面终端安全管理降低由于个人对桌面终端的使用不当而给集团造成的风险，提高集团桌面终端第十六条桌面终端安全管理所涉及的桌面终端包括办公终端、生产终端、外第十七条桌面终端安全管理的主要内容包括桌面终端的初始配置，桌面终端接入网络的要求，桌面终端日常使用的要求，桌面终端接入互联网的要求，桌第八章介质安全管理第十九条介质安全管理中所指的介质主要包括与信息系统相关的存储介质(磁盘、阵列、磁带库等)及存储重要数据的移动介质(移动硬盘、U盘等)。第二十条介质安全管理所包括的内容有介质的保管，介质的使用维护以及介第九章附则第二十一条本规范的制定和修改需要经架构与安全委员会成员讨论通过后，管第二十二条本规范解释权属架构与安全委员会。第一章总则第二章机房出入管理网络运营中心监制是是-否是否一致?是网络运营中心监制23第三章机房操作管理网络运营中心监制第二十条数据中心机房管理人员应定期对机房信息处理、供配电、空调、温湿度控制等设备进行巡检，应检查设备的运行状态是否正常，是否存在安全隐第五章附则第二十一条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管第二十二条本制度解释权属架构与安全委员会。附件1:机房人员、设备进出申请表申请人维护日期托管机房维护内容设备设备型号设备尺数量主机标识序列号机柜号迁入原因迁出设备设备型号设备尺数量主机标识序列号机柜号迁出原因一般维护具体操作其它参与维护人员网络运营中心意见：附件2:数据中心维护工作登记表北京大北农科技集团股份有限公司维护内容设备主机标识序列号号迁入原因(托盘、所需网线等耗材、标识)迁出设备主机标识序列号号迁出原因一般维护其它维护人姓名1、用户需进入IDC中心机房进行维护工作时，需先按要求填写此表格并以邮件形式发送相应客服代表，抄送“idc@”;2、黑色字体为必填项；3、设备上架前核实准备事宜，如设备摆放托盘、布线所需具体耗材、网线及设备标识；4、如客户在进入机房维护前未将该表发至客服或机房，蓝汛有权禁止客第二章管理职责第三章网络架构安全网络运营中心监制第九条网络工程师应绘制与实际网络结构相符的网络拓扑图，网络拓扑图要求第十条网络工程师应根据各部门的工作职能、重要性和所涉及信息的重要程度第十一条网络工程师应根据各业务系统的重要程度顺序来指定带宽分配优先第十二条应建立统一的日志服务器，实时收集网络/安全设备的日志信息，保第十三条应建立网络准入准出控制机制，如采用终端管理软件对非授权设备第十四条应在网络边界建立入侵防范机制，能够在网络边界处监控并记录端第十五条应在网络边界部署防恶意代码防范设备，如防毒墙，并且要及时更第十六条网络/安全设备应启用访问控制功能，网络安全工程师根据业务系统第十七条交换机应启用重要网段IP/MAC绑定功能，以防止ARP攻击。第十八条安全设备应启用对进出网络的信息内容过滤功能，实现对应用层第十九条流量控制设备应启用根据IP地址、端口、协议来限制应用数据流的最大流量功能，或者通过在防火墙设备启用根据IP地址限制网络连接数功能，网络运营中心监制30账号5分钟。第五章网络运维安全网络运营中心监制31第三十一条网络/安全工程师应建立详细的网络/安全设备操作手册，人员在操第三十二条网络安全工程师应根据集团业务系统访问关系制定相应的安全策略，第三十三条应严格遵守内外网隔离的原则，所有接入集团内部网络的终端设备第三十四条严格遵守网络变更管理，网络/安全工程师在调整网络配置参数前，第三十五条网络/安全工程师对机房网络/安全设备进行远程维护都要经过堡垒第三十六条网络安全工程师应实时关注重要网络/安全设备0S版本的安全问题，如发现使用的0S版本存在严重安全漏洞时，应邀请设备厂商对该0S版本进行补丁升级，升级前做好备份、测试工作。如设备厂商发布新0S版本，技术人员确前做好备份、测试工作。0S补丁、版本变更流程参见《信息系统变更安全管理第三十七条网络/安全工程师应定期对网络/安全设备开启的服务进行梳理，关网络运营中心监制报告(如风险评估报告、漏洞扫描报告、渗透测网络运营中心监制改进制度规范操作改进制度日常安全检查日常安全检查年度安全审计报告年度安全审计报告新上线业务安全检测突发安全事件应急响应目监督保障遵守制度提高意识遵守制度第四十一条在非工作时间网络运营中心技术人员应24小时接听移动电话，用于第四十二条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管系统安全管理制度第一条为了加强集团的系统安全管理，保障集团业务相关服务器操作系统在安第二条本制度的目的是对集团业务相关服务器操作系统安全配置、系统运维安第二章管理职责第三条网络运营中心是集团业务相关服务器操作系统的管理维护部门，其中系第四条系统工程师负责业务相关服务器操作系统的安装和账号管理，负责业务第五条系统工程师应基于遵循最小授权原则，根据用户需求不同建立满足其所第六条操作系统应启用口令复杂度功能，口令最小长度为8位，至少含有大写第七条操作系统应禁用不必要的默认账户，重命名系统默认管理员账户。第八条操作系统应启用登录失败处理功能，限制连续非法登录5次后锁定该账号5分钟。第九条操作系统应启用登录超时退出机制，当登录服务器超过3分钟无操作时网络运营中心监制第十条如无特殊需求，操作系统应禁止配置主机信任关系，防止因为不必要的第十一条操作系统应启用日志记录，记录重要用户行为、系统资源的异常使计，记录用户的操作内容。日志应至少保存1个月，重要系统日志应至少保存半第十二条系统工程师应启用服务器的维护管理IP地址限制机制，防止恶意用第十三条应建立统一的日志服务器，实时收集操作系统的日志信息，保障审第十四条服务器在分配给其他用户前，系统工程师应对存储空间内的数据进第十五条操作系统应按照最小化原则，不得安装和开启与业务系统无关的应第十六条系统工程师应及时安装系统操作系统及应用中间件的重要补丁。安第十七条业务相关服务器操作系统应统一安装防病毒软件，及时更新软件版第四章系统运维安全第十九条系统工程师应建立详细的系统操作手册，人员在操作时应严格按照第二章身份鉴别网络运营中心监制38第九条各业务系统、管理系统应提供登录防暴力破解的措施，例如限制失败登第十条登录时所采用的验证码必须在每次登录失败后自动更换，并具备有一定第十一条核心业务系统如支付相关系统的登录、支付模块应使用可以提供第第十二条核心业务系统如支付相关系统应使用数字证书签名，保证用户数据跨站脚本、源代码暴露等漏洞。并且可以对黑客页面篡改、挂马等有防御机制。第十四条核心业务系统如支付相关系统页面应支持用户设置用于防伪的预留第四章访问控制第十五条各业务系统、管理系统应具有访问控制功能，访问控制功能覆盖范第十六条各业务系统、管理系统应提供业务用户操作审计功能，记录用户的第十七条网络安全工程师应提供数据库安全配置规范，并由数据库工程师按第五章安全审计第十八条各业务系统、管理系统应具备安全审计功能，能够审计应用系统的网络运营中心监制第六章过期信息、文档处理第七章资源控制第八章应用容错网络运营中心监制第九章报文完整性第十章报文保密性第十一章抗抵赖第十二章编码安全第三十六条核心业务系统如支付相关系统在处理对外业务(非内部业务)时，第三十七条核心业务系统如支付相关系统在处理对外业务(非内部业务)时，网络运营中心监制应使用第三方电子签名；在处理内部业务(仅涉及本机构内人员或设备的业务)第三十八条技术中心应加强对核心业务系统如支付相关系统的服务器证书私钥第三十九条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管第一章总则第二章数据分级网络运营中心监制第三章数据传输安全第四章数据存储安全网络运营中心监制第五章数据变更安全网络运营中心监制第六章数据访问安全第十八条数据库DBA权限只能由网络运营中心维护人员只能拥有开发用户权限(即除可更改数据库物理结构以外的权限),数第十九条涉及交易数据及客户数据的数据库表应该严格限制访问的权限，并第二十条数据库工程师应定期(每季度一次)检查数据库用户权限的合法性第七章数据备份安全第二十一条必须根据数据的安全等级制定备份策略，备份策略应包含备份内容、第二十二条网络运营中心系统工程师负责所有系统的操作系统层、应用系统层见附件1:《备份记录》。第二十三条备份的数据包括操作系统、数据库、应用系统等数据信息，具体内一、操作系统层备份的内容包括操作系统和系统运行所产生的登录和操二、数据库层备份的内容包括数据库的日志、数据文件和系统程序文件；三、应用系统层备份内容包括应用系统程序文件、并发日志和输出文件。第二十四条在生产系统正式上线之前，系统工程师、数据库工程师必须制定完第二十五条根据数据等级采用不同的备份频率和类型：网络运营中心监制46第二十六条所有备份集必须集中放置在统一的备份服务器上(至少是互为备份第二十七条根据数据等级采用不同的备份存放周期：第二十八条为尽快恢复故障，应在本地数据中心保留备份信息，同时为了避免第二十九条需长年保留的数据，必须具备两份备份，本地保留一份，异地保留一份，当保留介质(磁带、磁盘、光盘)或介质存取设备将要失效时，必须转储第三十条应定期检查和测试备份信息，保持其可用性和完整性。恢复测试申第三十一条恢复测试完成后，由数据库工程师检查恢复结果，没有问题后提交恢复测试报告，由网络运营中心审核签字存档。恢复测试报告详见附件4:《备第八章数据恢复安全第三十二条数据库工程师应制定详细的备份恢复操作手册，对恢第三十三条备份恢复需要根据系统毁坏原因及程度(人为操作失误，设备损坏等),由业务部门或由数据库工程师提出，经业务部门负责人确认并填写数据恢网络运营中心监制第九章数据销毁安全第十章密码和密钥安全网络运营中心监制十一、如果需要特殊用户的口令(比如Oracle数据登入时),要禁止通过用户离开集团时(在这种情况下，应当归档密钥);网络运营中心监制第三十九条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管附件日期备份内容相关业务系统备份策略描述备份位哭.备份文件名状态确认人附件2:备份计划表申请人备份内容频率类型执行时间备份位置保留时间日备份周备份月备份日备份周备份月备份日备份周备份月备份日备份周备份月备份网络运营中心意见：签字：时间：附件3:备份数据可用性测试申请表申请人申请部门测试时间测试项目网络运营中心意见：签字：时间：附件4:备份数据可用性测试记录测试日期测试人员测试项目可用性测试结果附件5:数据恢复申请表申请人申请部门恢复时间恢复系统及数据库名申请事由：网络运营中心意见：第三章业务系统研发、测试网络运营中心监制第四章业务系统上线网络运营中心监制第十三条试运行通过后，业务系统正式上线，上线之后，网络运营中心相关是是第十五条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管网络运营中心监制58附件1:新业务上线申请表申请人申请部门申请日期新业务名称新业务上线说明：测试部门架构与安全委员会信息安全部第一条为保证集团信息系统安全稳定运行，规范集团信息系统变更管理，提高第二条变更是指对信息系统需求的增补或修改，所做增补或修改可能会影响生产环境的安全性和稳定性。变更包括但不限于硬件设备、系统软件、应用软件、第二章变更分类一、计划变更：有计划的变更，变更前有预留一定的时间通知变更有关二、紧急变更：为了改正生产环境下的某一重要问题而必须立即实施的第四条对于计划变更需要进行申请审批，紧急变更也需要进行审批，但在紧急第三章变更管理流程一、变更申请：信息系统需要变更时，变更申请者应及时向其所在部门详见附件1:《变更申请表》。二、部门变更审核：收到变更申请后，所在部门领导需判断是否需要网网络运营中心监制网络运营中心监制信息系统变更流程图是是是存在后续问更否一第七条紧急变更为突发性变更，可以因问题紧迫取得特别批准，由集团架构与安全委员会进行批准。接到批准后网络运营中心应迅速准备变更，如有测试时间，应组织相关人员紧急测试；如没有测试时间，在确定准备充分后由网络运营中心网络运营中心监制62第八条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管附件申请人申请部门申请日期实施人变更类型□硬件设备□系统软件□账号权限□网络架构□应用软件□配置变更原因变更内容申请部门意见：签字：时间：网络运营中心意见：签字：时间：架构与安全委员会(紧急变更)意见：签字：时间：附件2:变更记录表序号变更时间申请人实施人变更类型变更内容变更结果网络运营中心监制第六条巡检完毕，填写相关表格，巡检过程中发现的问题需及时反映给网络运第三章信息系统运维账号管理第八条本制度中的信息系统运维账号是指操作系统、数据库、网络设备、安全第九条员工因工作需要申请信息系统运维账号时需要填写申请表，申请表详见附件1:《信息系统运维账号申请表》,填写完成后由所属部门领导进行审核，第十条网络运营中心相关部门经理审核申请表，确保申请人所申请账号的权限第十一条运维账号申请流程如下：运维账号申请流程图是是网络运营中心监制68第四章安全监控与入侵防范管理第十八条网络安全工程师应实时监控安全设备的运行状况、网络流量、用户第十九条系统工程师应实时监控服务器的运行状况，一旦出现异常情况，应第二十条数据库工程师应实时监控数据库、应用软件的运行状况，一旦出现第五章恶意代码防范第二十一条网络安全工程师负责对恶意代码进行防范管理，定期对网络和主机第二十二条所有计算机必须安装防病毒软件并实时运行，及时更新防病毒软件第二十三条定期对全体员工展开防病毒意识培训，抽查员工计算机安全防护情第二十四条员工在将外部计算机及移动介质接入集团内网之前，应先由网络运第二十五条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管附件1:信息系统运维账号申请表申请人申请时间申请部门账号类别口操作系统□数据库□网络设备口安全设备账号权限□只读□读写□执行账号用途说明申请部门意见：签字：时间：网络运营中心意见：签字：时间：第二章安全事件定义网络运营中心监制72网络运营中心监制■信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提■信息假冒事件是指通过假冒他人信息系统收发信息而导致的信息安网络运营中心监制■信息窃取事件是指未经授权用户利用可能的技术手段恶意主动获取■其它信息破坏事件是指不能被包含在以上5个■其他信息内容安全事件等4个第二层分类。■外围保障设施故障是指由于保障信息系统正常运行所必须的外部设网络运营中心监制七、其他信息安全事件类别是指不能归为以上6个基本分类的信息安全第三章安全事件分级网络运营中心监制网络运营中心监制第四章安全事件处理网络运营中心监制安全事件处理流程全事件?否心是否可以处否案附件1:故障记录登记表故障事件故障报告人填写人故障发生时间完全恢复时间故障造成影响故障分析解决故障预防措施申请签批人填写日期故障记录概述故障记录单网络运营中心签批签字：时间：第二章安全检查与审计内容网络运营中心监制三、网络设备、安全设备的安全漏洞扫描检查，包括扫描检查设备存在四、对网络登录的审计，包括审计网络设备的登录情况，记录异常登录五、对网络操作的审计，包括审计网络设备的操作情况，记录对网络设六、对网络系统日志的审计，包括审计网络设备的告警日志，记录网络第六条主机安全全面检查与审计内容包括服务器、终端安全配置检查，服务器一、服务器、终端系统安全配置检查，包括记录账户设置、密码设置、二、服务器系统安全漏洞扫描检查，包括扫描检查服务器操作系统存在三、对系统登录的审计，包括审计服务器的登录情况，记录异常登录的四、对系统操作的审计，包括审计服务器的操作情况，记录对服务器重五、对系统日志的审计，包括审计服务器的系统日志、安全日志、应用程序写入的系统日志和其它服务日志(如DNSServer)等，记录异常情况；七、对系统上网情况的审计，包括审计禁止连接互联网的服务器、终端第七条数据库安全全面检查与审计内容包括数据库安全配置检查，对数据库登一、数据库安全配置进行检查，包括账户设置、密码设置、权限设置、二、对数据库登录的审计，包括审计数据库的登录情况，记录异常登录网络运营中心监制第三章全面安全检查与审计流程网络运营中心监制全面安全检查与审计工作流程全面安全检查与全面安全检查与否是认是计网络运营中心监制85第十六条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管第三章技术保障网络运营中心监制第四章突发业务高可用性管理网络运营中心监制四、测试完成后填写《突发业务高可用性实施计划测试件3。突发业务高可用性管理流程突发业务高可用是是执行计划第五章附则网络运营中心监制90类别口业务类□系统类□网络类突发业务高可用性影响分析序号事件名称关键业务活动对关键业务的影响责任分工事件级别主管部门签字：时间：事件级别重大事件造成信息中心业务数据全部丢失，业务系统中断半天以上，或者所有管理部工作中断一天以上的信息安全事件。造成信息中心业务数据部分丢失，业务系统中管理部工作中断半天以上的信息安全事件。一般事件造成业务系统中断，或者部分管理部工作中断件。附件2:突发业务高可用性实施计划实施目的实施范围突发业务高可用性管理具体实施要求序号事件名称过程影响应急措施、业务系统恢复的方法、步骤及时限要求责任分工主管部门意见：签字：时间：测试部门测试系统测试地点测试时间测试记录序号测试项目测试结果测试人测试结论：第三章事件分类网络运营中心监制第四章机房故障应急预案第七条机房故障事件主要是指物理环境故障(机房渗漏水、机房火灾、机房停电、机房空调无法制冷等)、设备故障事件、网络故障事件、系统故障事件以及二、网络运营中心应急团队分析确认故障原因，如果内部技术人员可以三、如果内部技术人员无法解决，则由网络运营中心协调外部厂商(如机房物理环境设备、网络设备、服务器设备、软件等厂商)进行处理，制定四、处理方案制定完成后由网络运营中心总监进行审核通过后，相关技五、故障处理完成后，详细记录处理过程，定期向架构与安全委员会汇是否内部可以解网络运营中心总监审核通过，相关技术人第五章业务系统故障应急预案业务系统故障应急流程原因是否简单故障?第六章应急处理保障第十三条通信保障：网络运营中心负责收集、建立突发事件应急团队人员的应急联络方式，应急团队全体人员保证全天24小时通讯畅通。第十四条设备保障：网络服务部与数据中心负责建立并维护电力、空调、机第十五条数据保障：网络运营中心负责建立信息系统备份机制，保证重要数第十六条队伍保障：人力资源部负责建立信第七章应急处理培训及演练第十七条在架构与安全委员会的领导下，由网络运营中心负责信息系统应急第十八条宣传教育和培训：将突发信息事件的应急管理、工作流程等列为培第十九条应急预案演练：网络运营中心每年至少安排一次演练，演练之前需第二十条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管第二十一条本制度解释权属架构与安全委员会。第一条本规范用于指导集团进行周期性的信息安全风险评估，风险评估的目的第二条风险评估的范围包括集团拥有的所有信息资产。风险评估的具体对象包第二章风险的概念第三条资产：资产是企业、机构直接赋予了价值因而需要保护的东西。它可能第四条威胁：威胁是对系统和集团的资产引起不期望事件而造成的损害的潜在第五条脆弱性：脆弱性和资产紧密相连，它可能被威胁利用，引起资产损失或发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面网络运营中心监制第三章风险评估职责第四章风险评估过程评估对象的基本评估对象的基本信息安全部制别析是网络运营中心监制101网络拥塞、服务中断);二、标准性原则：服务方案的设计与实施应依据国内、国际相关要求、三、规范性原则：工作中的过程和文档，具有很好的规范性，可以便于四、可控性原则：方法和过程要在被评估方认可的范围之内，安全服务五、整体性原则：内容应当整体全面，包括安全涉及的各个层面，避免六、保密原则：对过程数据和结果数据严格保密，未经授权不得泄露给第十八条评估完成之后，将评估结果整理成评估报告，提交至架构与安全委第五章附则第十九条本规范的制定和修改需要经架构与安全委员会成员讨论通过后，管第二十条本规范解释权属架构与安全委员会。第三章机房安全值守30-19:30,夜班工作时间为19:30-第二天8:30。第八条事故处理结束后，网络安全工程师协同值守人员对事故原因、处理步骤进行总结分析，结合集团现状提出防御改进措施，形成《故障记录登记表》,并第九条值守人员在值班期间应随时接听其他部门人员关于网络、服务器及应用系统故障的报告电话，确认并记录故障情况，联系相第四章办公室安全值守第十条网络运营中心办公室工作人员应至少每天早晚巡检一次，巡检完成后填写巡检表，巡检表详见《网络巡检表》、《系统巡检表》、《安全巡检表》,巡一、网络工程师查看网络/安全设备的运行状态、警报、CPU、内存、流二、系统工程师查看服务器设备的运行状态、警报、CPU、内存、磁盘、第十一条网络运营中心办公室应安排夜间值守人员，每3小时对网络、服务第十二条事故处理结束后，网络安全工程师协同值守人员对事故原因、处理第十三条夜间值守人员应随时接听其他部门人员或机房值守人员关于网络、第十四条本规范的制定和修改需要经架构与安全委员会成员讨论通过后，管第一条为了加强集团人员信息安全管理，提高集团人员的信息安全意识，特制第二条本制度的目的是对人员录用、人员离岗、人员信息安全意识教育、人员第二章人员录用第三条在面试有关业务系统岗位的工作人员时，应由应聘岗位所属部门的部门第四条集团人员在签订《劳动合同》的同时应签订保密协议书，约定信息系统务等内容详见附件1:《保密协议书》。第五条对拟录用的人员应进行详细的背景调查，对其工作经历背景确认无误后第七条关键岗位人员应职责分离，如系统、数据库管理员应职责分离，防止由第八条集团人员入职需要进行入职培训，加强信息安全制度规范的教育培训，第九条新入职人员所需的账号如应用系统、操作系统账号权限应由相应的技术网络运营中心监制第三章人员调/离岗第四章信息安全意识教育第五章人员考核第十九条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管附件 法定代表人或委托代理人： 注册地址： 现通讯地址：邮政编码： 紧急联系人姓名：关系：联系电话：第一条商业秘密的内容第二条职务成果第三条保密规章和制度第四条保密责任第五条保密期限第六条从事第二职业的限制第七条秘密信息的载体第八条任职期间第九条违约责任网络运营中心监制1第十条专项培训1、乙方在职期间参加由甲方或甲方关联公司支付费用的专项培训(学习)的，乙方必须自培训(学习)完成之日起继续为甲方服务年。2、乙方违反劳动合同或甲方规章制度导致劳动合同提前终止或乙方单方提出提前解除劳动合同，或培训(学习)后未依照本条第1款约定的期限为甲方或甲方关联公司提供服务违约金金额=甲方或甲方关联公司为乙方支付的培训(学习)费用总额*未服满服务期/约定培训(学习)后的服务期培训(学习)费用总额包含：培训(学习)费用、杂费、办理相关证件费用、培训(学习)期间发生的食宿、交通、出差补助、技术交流等在甲方或甲方关联公司实际报支或由甲3、在甲方或甲方关联公司付完培训(学习)费用后或培训(学习)期间解除劳动合同的，无论解除劳动合同的原因，无论乙方是否实际参加培训(学习),无论乙方是否继续完成培训(学习),均应按本条第2款约定承担违约责任。4、乙方培训(学习)完成后，应于培训(学习)完成之日起下一个工作日及时到岗报到，逾期三个工作日未到岗报到的，视为乙方单方解除劳动合同，应按本条第2款约定向甲5、乙方违反本协议约定需向甲方或甲方关联公司支付违约金的，不排除乙方依照法律规定或其他合同约定向甲方或甲方关联公司支付违约金、第十一条争议解决第十二条其它事项第十三条生效网络运营中心监制113附件2:培训记录单培训时间培训地点培训老师参加培训人员培训内容第一章总则第二章第三方人员安全管理第三章第三方人员安全操作第十一条禁止第三方人员直接对网络设备和主机进行操作，第三方人员可以第十二条第三方人员在机房内的所有工作情况，都必须说明该工作可能引起第十三条网络运营中心技术人员需要采用必要的设备和手段(如防火墙、IDS等设备；认证、审计等手段)对第三方人员的各种操作进行有效的监控和限制，第四章附则第十四条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管第三方人员内网访问申请流程图请表审批记录存档附件2:第三方人员入网申请表申请时间接待部门第三方人员姓名工作单位手机号码网络运营中心意见：签字：时间：第二章信息资产分类协议等)等。服务器等)和网络通信设备、安全设备、存储介质(磁盘和阵列等)等。第三章信息资产分级四、信息资产赋值计算：资产赋值(资产价值)应依据资产在保密性、第四章信息资产管理三、在处置数据资产时，要小心操作，反复确认后再进行处置，避免由一、所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢二、所有正版软件实体由专人保管，在安装软件时要规定使用权限，防三、当人员离职或岗位变动时，需要收回有关的软件，必要时，由网络一、重要级别较高的硬件资产应放在安全的位置，以减少硬件在使用期二、硬件资产的使用人(或管理人),在使用或管理硬件资产时，要注三、对硬件资产定期进行维护保养，发生毁坏，丢失等问题时能够及时四、硬件资产如需报废时，应向主管部门提出报废申请，经网络运营中第五章信息资产盘点第十四条网络运营中心人员定期(一季度一次)对集团信息资产进行盘点，第十五条本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管网络运营中心监制附件1:信息资产保密性赋值定义标识定义3三级包含集团的重要秘密，其泄露会使集团的安全和利益遭受严重损害2二级集团的一般性秘密，其泄露会使集团的安全和利益受到损害1一级可对社会公开的信息标识定义3三级业务冲击严重，较难弥补2二级击明显，但可以弥补1一级务冲击轻微或可以忽略，容易弥补标识定义3三级可用性价值高，信息及信息系统的可用度达到每天95%以上，或系统允许中断时间小于5min2二级可用性价值中，信息及信息系统的可用度在正常工作时间达到80%以1一级可用性价值低，信息及信息系统的可用度在正常工作时间达到60%以序号资产名称资产类型资产等级资产责任人资产使用部门备注第一章总则第二章管理职责第三章设备申请采购管理四、各岗位办公设备陈旧(超四年以上)并且经常出故障，严重影响使设备配置标准、集团年度办公设备配置计划并结合采购采取厂家直销模式，对于符合招标条件的采购由财务部在12月进行厂家入围招标，中标厂家获得下一年的供货权；对于零星采购则由财务部在7天采购到位。相应的采购需求计划要由资产管理部记录留档。办公设备采购工作流程详见附件1:《办公设备申请采购工作流程》。第九条非计算机设备(打印机、投影仪、数码相机等)采取供应商竞标模式，每季度最后一个月由资产管理部收集各部门下一季度的采购需求，并提供设备的型号、配置给财务部，由财务部办理设备采购招标手续，中标单位获得下一第十一条所有采购办公设备需要统一由资产管理部进行记录留档，贴上标识允许入库，并在0A中填写入库单。第四章设备使用维护管理第十二条资产管理部对全集团办公设备的调拨、使用、维护、档案管理进行第十三条个人计算机领用数量配备标准：集团员工一人只配一台个人计设备，可选台式计算机或笔记本电脑。研发类岗位人员，集团原则上配置台式计算机；部分需经常移动办公的岗位(如市场推广配套岗位),可选配笔记本第十四条计算机设备配置类型按功能划分为：办公计算机A、办公计算机B、办公计算机C、笔记本A、笔记本B、笔记本C、图形工作站A、图形工作站B。一、办公计算机A:关键技术岗位、软件开发岗位。二、办公计算机B:技术岗位。三、办公计算机C:办公类岗位。四、笔记本A:研发、设计类岗位(A为移动工作站)。五、笔记本B(C):办公类岗位(B为性能、C为便携性)。第十五条业务生产的办公设备的配置按实际需求配备，其它办公设备如投影第十六条设备采购入库后，资产管理部通知申购部门由领用人在《设备领用单》上签字，并由资产管理部记录留档，设备领用单详见附件5。设备领用工作流程详见附件2:《办公设备领用工作流程》。第十七条办公设备使用者由于工作原因进行岗位调动或离职，设备按以下方由于工作原因需更换新计算机设备或离职的，其原使用的计算机设备经使用人并提交给资产管理部，资产管理部审核设备调拨是否符合要求，确认无误后将设备调拨到新单位、部门，新单位对调拨的设备进行核对、接收，最后由资产管理部及时更新设备资产信息，设备调拨申请表详见附件6。设备调拨工作流程详见附件3:《办公设备调拨工作流程》。第二十条设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)四、当发生办公设备丢失、损坏事件时，使用者(或使用部门)应及时三、资产管理部储备若干台(不超过五台)笔记本电脑，提供全集团各部门临时借用，但借用时间不能超过10天(特殊情况除外),借用单第五章设备维修报废管理第二十五条办公设备出现故障后，由使用人通知网络运营中心进行维修，如果网络运营中心技术人员无法维修，则需要填写设备送外维修申请表，由部门领导进行审批，申请表详见附件7。另外还需要网络运营中心技术人员进行必要处理后方可送外修理，以防止数据外泄，网络运营中心对维修设备进行记录留第二十六条办公设备损坏无法维修或者达到报废年限无法满足要求时，由资产管理部提出报废申请，由网络运营中心进行技术审核，财务部门进行报废年限审核，审核无误后由资产管理部、财务部以及网络运营中心对报废设备进行报第六