企业 IT 信息安全管理规范

一、总则（一）制定目的伴随企业数字化转型深化，IT系统承载的核心业务数据、客户隐私及知识产权等资产价值持续攀升。为防范信息泄露、系统瘫痪、恶意攻击等安全风险，保障企业信息资产的保密性、完整性、可用性，支撑业务合规稳定运营，特制定本管理规范。（二）适用范围本规范适用于企业各部门（含分支机构）、全体员工及外包人员，覆盖企业所有IT资产（含硬件设备、软件系统、网络设施、业务数据等）的规划、建设、运维及退役全生命周期管理。二、管理原则1.合规优先：遵循《网络安全法》《数据安全法》等法律法规，符合行业监管要求（如金融、医疗领域专项合规标准）。2.分层防护：针对不同安全等级的资产（如核心业务系统、普通办公数据），设计差异化防护策略，平衡安全投入与风险防控。3.权责统一：明确安全管理岗、系统运维岗、业务部门等岗位权责，将安全责任纳入绩效考核。4.动态防御：结合威胁情报与行业趋势，定期更新防护策略，应对新型攻击手段（如勒索软件、供应链攻击）。三、人员安全管理（一）岗位权责划分安全管理岗：统筹信息安全规划，制定防护策略，组织培训与事件处置，定期向管理层汇报安全态势。系统运维岗：负责IT系统日常运维（如补丁更新、日志审计），执行安全策略，发现异常及时上报。（二）安全意识培训新员工入职需完成信息安全必修课程（含数据保密、钓鱼邮件识别、设备使用规范等），考核通过后方可开通系统权限。每年组织模拟演练（如钓鱼邮件测试、应急响应推演），检验员工实战能力，演练结果纳入部门安全考核。（三）人员变动管理员工调岗时，HR同步通知IT部门，24小时内完成系统权限调整（新增/回收），并移交涉密资料（如客户清单、核心代码）。员工离职时，IT部门需在离职手续办理前冻结账号、回收门禁卡/加密狗等硬件，核查其设备（如办公电脑）是否留存涉密数据。四、设备安全管理（一）终端设备管控办公电脑：统一安装企业级安全软件（含杀毒、防火墙、终端检测响应EDR），禁止私自安装未授权软件（如破解工具、盗版软件）。员工需设置8位以上复杂密码（含大小写、特殊字符），并开启屏幕锁屏（闲置15分钟自动锁屏）。移动设备：企业配发的手机/平板需安装MDM（移动设备管理）软件，禁止越狱/root。私人设备接入企业网络时，需通过安全沙箱（如虚拟桌面）访问业务系统，且禁止存储涉密数据。（二）服务器与网络设备服务器需部署在物理安全区域（如机房需双锁、温湿度监控、UPS供电），非授权人员禁止进入。服务器账号需遵循“最小权限原则”，如数据库管理员仅可操作指定库表，禁止跨权限访问。网络设备（交换机、防火墙）的配置文件需加密备份，变更操作需双人复核（一人配置、一人审计），禁止在生产环境中使用测试账号。（三）外设与介质管理U盘、移动硬盘等存储介质实行“白名单”管理，仅授权设备可接入企业终端。涉密数据传输需使用加密介质（如硬件加密U盘），并记录操作日志（含操作人、时间、文件内容摘要）。打印机、扫描仪等外设需绑定使用人，打印涉密文件时需现场取件，废弃纸张需碎纸处理。五、网络安全管理（一）网络架构防护企业网络划分为生产区、办公区、互联网区，通过防火墙/网闸实现逻辑隔离。生产区（如核心业务系统）与办公区之间设置“单向访问”规则（办公区仅可发起查询，生产区拒绝反向连接）。互联网出口部署入侵防御系统（IPS）、Web应用防火墙（WAF），实时拦截SQL注入、DDoS攻击等威胁。（二）访问控制策略远程办公需通过企业级VPN接入，采用“双因素认证”（密码+动态令牌/生物识别），且仅开放必要端口（如3389远程桌面仅对运维岗开放）。内部网络访问实行“基于角色的访问控制（RBAC）”，如财务人员仅可访问财务系统，市场人员仅可访问CRM客户数据。（三）网络监控与审计部署全流量分析系统，实时监控网络异常（如端口扫描、异常流量突发），日志留存至少6个月（满足监管审计要求）。每月开展网络安全巡检，重点检查防火墙策略有效性、弱密码账号、未授权设备接入等问题，形成《安全巡检报告》并跟踪整改。六、数据安全管理（一）数据分类分级企业数据分为公开类（如企业官网新闻）、内部类（如部门周报）、机密类（如客户隐私、财务报表、核心技术文档）。机密数据需标记“机密★★★”，并限制知悉范围（如仅限部门负责人及授权人员）。（二）数据加密与备份核心业务数据需执行“3-2-1备份策略”（3份副本、2种存储介质、1份离线备份），每周全量备份、每日增量备份，每月验证备份可用性（如模拟恢复测试）。（三）数据访问与共享内部数据共享需通过企业级文档平台（如钉钉云盘、企业微信微盘），禁止使用私人邮箱、公共网盘传输涉密数据。向外部合作方提供数据时，需签订《数据保密协议》，并对数据进行脱敏处理（如隐藏客户手机号中间段、身份证号部分字段）。七、应用与系统安全管理（一）软件采购与开发采购商业软件时，需核查厂商安全资质（如等保三级认证、ISO____认证），要求提供“安全漏洞响应承诺”（如24小时内响应高危漏洞）。自主开发系统需遵循“安全左移”原则，在需求阶段纳入安全需求（如权限设计、数据加密），开发过程中开展代码审计（如使用SonarQube检测代码漏洞），上线前通过渗透测试（由第三方安全公司执行）。（二）系统运维与升级操作系统、中间件（如Weblogic）需及时更新补丁（优先修复高危漏洞，如Log4j2漏洞），更新前需在测试环境验证兼容性。业务系统需设置“操作日志”（记录用户登录、数据修改、权限变更等行为），日志需加密存储，且仅授权人员可查询。八、安全事件管理（一）事件分级与响应安全事件分为三级：一般事件（如单台终端中毒、小范围密码泄露）：由部门安全专员1小时内处置，24小时内提交《事件报告》。严重事件（如核心系统被入侵、大量数据泄露）：启动应急预案，安全管理岗30分钟内上报管理层，联合技术团队（含外部专家）开展处置。重大事件（如勒索软件攻击导致业务中断）：成立专项应急小组，同步向监管部门（如网信办）报备，4小时内发布对外声明（如客户通知、媒体沟通）。（二）处置与复盘事件处置需遵循“止损优先、溯源为辅”原则，如发现勒索软件，优先断网隔离、恢复备份，再分析攻击路径（如钓鱼邮件、漏洞利用）。事件结束后72小时内完成复盘，输出《整改方案》（如修复漏洞、优化策略、加强培训），并跟踪整改落地情况。九、监督与改进（一）定期检查与审计每月开展“安全自查”，由各部门安全专员检查本部门设备、数据、账号的合规性，结果纳入部门KPI。每季度开展“内部审计”，由安全管理岗联合内审部门，抽查系统日志、权限配置、备份策略等，形成《审计报告》并通报问题。每年邀请第三方安全机构开展“等保测评”“渗透测试”，验证安全防护有效性，出具《安全评估报告》。（二）持续改进机制安全管理岗需跟踪行业安全趋势（如新型攻击手段、合规政策变化），每半年更新《安全防护策略》。建立“安全建议通道”，鼓励员工反馈安全隐患（如疑似钓鱼邮件、系统漏洞），对有效建议给予奖励（如绩效加分、礼品）。十、附则1.本规范由企业信息安全管理部负责解释，自发布之