办公网络安全管理细则

办公网络安全管理细则第一章总则1.1目的本细则以“数据不丢、系统不停、业务不瘫、责任可追”为底线，通过统一技术基线、统一行为基线、统一责任基线，把办公网从“可用”升级为“可控、可审、可证”。1.2适用范围覆盖××公司总部、分支机构、临时项目组、远程办公、外包驻场、第三方运维等全部接入公司办公网的人、机、系统、数据。1.3上位法与内部制度衔接以《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》为刚性底线；对接公司已发布的《信息安全管理办法》《员工手册》《采购管理办法》《外包管理办法》，凡冲突条款以更高标准为准。第二章组织与职责2.1网络安全委员会（下称“网安委”）主任：公司总裁；副主任：CIO、CFO、法务总监；执行秘书：信息安全部。职责：年度预算拍板、重大事件问责、跨部门争议仲裁。2.2信息安全部（下称“信安部”）编制：1名总监、2名架构师、3名渗透工程师、2名合规专员、1名隐私专员。职责：细则解释、基线制定、红蓝对抗、审计、度量、问责建议。2.3各部门安全官（BusinessSecurityOfficer，BSO）编制：每部门至少1名副经理级以上兼职；年度KPI中网络安全权重≥20%。职责：落实资产清单、权限年检、事件第一响应、整改督办。2.4全员“谁主管谁负责、谁运营谁负责、谁使用谁负责”。违规即触发《员工奖惩制度》第5.3条，视情节给予警告至解除劳动合同，并保留民事追偿与刑事报案权利。第三章资产与数据分级3.1资产五级分类核心（L5）：域控、ADFS、ERP、源代码仓库、财务数据库；重要（L4）：邮件系统、VPN、工单系统、客户数据库；较重要（L3）：打印机、会议室主机、测试环境；一般（L2）：员工办公笔记本、显示器；外部（L1）：访客Wi-Fi、临时外包电脑。3.2数据四级分类绝密（D4）：源代码、未公开财报、并购文件；机密（D3）：客户个人信息、合同、薪酬；内部（D2）：内部通知、项目计划；公开（D1）：已公开宣传材料。3.3分级标记与落库所有电子文件通过AzurePurview自动打标签；纸质文件在左上角盖红色“绝密/机密”章并配编号；未标记数据默认按最高级处理。第四章网络拓扑与边界控制4.1办公网分区VLAN10：员工有线；VLAN20：员工无线；VLAN30：外包；VLAN40：IoT（打印机、电视）；VLAN50：服务器；VLAN60：测试；VLAN70：访客；VLAN80：管理。4.2边界防火墙策略默认拒绝；白名单由信安部每季度评审；策略版本Git管理；变更须MR+双人审批+回退方案。4.3微隔离服务器区启用CiscoACI+ENA微隔离，按应用标签而非IP授权；策略粒度到端口级；东西向流量默认阻断。4.4远程接入仅允许公司托管设备接入VPN；双因子：硬件Token+机器证书；VPN地址池与内部DNS分离；会话闲置30分钟强制断线；VPN日志留存≥3年。第五章终端基线5.1硬件准入启用802.1X+MAB；证书私钥硬件加密存储TPM2.0；BIOS设管理员密码、关闭USB启动。5.2系统镜像由信安部统一制作Windows1122H2SecurityBaseline镜像，内置：·BitLockerXTS-AES256，密钥托管至AD；·Defender启用ASR、ExploitGuard、Cloud-DeliveredProtection；·PowerShellConstrainedLanguageMode；·本地管理员组仅保留“ITSupport”域组。5.3软件白名单采用WindowsAppLocker规则：·路径规则：仅%PROGRAMFILES%\及%WINDIR%\可执行；·发布者规则：只允许“WHQL签名+版本≥2022”驱动；·例外：经IT总监邮件+合规专员会签，加入“例外清单”并设90天有效期。5.4补丁管理WSUS组策略：严重补丁延迟≤7天；重要补丁≤14天；信安部每月第二个周二发布“补丁日”公告，逾期自动升级并强制重启。5.5数据防泄漏（DLP）终端安装MicrosoftPurviewDLP：·禁止D3/D4文件复制到个人U盘；·外发邮件若含D3/D4触发审批流，由部门BSO+法务双审；·违规一次扣减绩效10%，年度累计三次移交人资。第六章账号、权限与审计6.1账号生命周期唯一标识：员工编号+@corp.local；入职HR系统触发AD自动开户；离职HR点击“离职”即触发：①AD禁用→②邮箱转长期保留→③VPN证书吊销→④打印权限回收→⑤门禁失效；全流程≤30分钟。6.2权限模型RBAC+ABAC混合：·角色：员工、BSO、财务、外包、供应商；·属性：项目代码、成本中心、数据分级、时间段；·审批流：L3及以上系统权限需信安部+业务副总+财务总监三会签；·年检：每年6月自动发邮件给权限持有人，7个工作日无反馈即降级。6.3特权管理采用CyberArkPAM：·域管、DBA、网络设备admin口令每24小时随机化；·取口令需工单+双人审批+录屏；·会话最长4小时，超时强制结账；·录屏文件保存7年，SHA256哈希写入WORM存储。6.4日志集中所有L2及以上资产必须安装WazuhAgent；日志类型：认证、授权、进程、文件完整性、网络连接；信安部每日跑Sigma规则，发现High级告警30分钟内分诊。第七章邮件与协作安全7.1邮件网关使用Proofpoint：·默认开启SPF、DKIM、DMARCp=reject；·附件沙箱：首次看到的PE/ISO/VBA一律在云端引爆；·诈骗相似域检测：Levenshtein距离≤2即隔离；·每季度跑一次BEC模拟，点击率>5%的部门强制再培训。7.2内部IM仅允许公司租户Teams；禁止第三方机器人；文件外发D3/D4级触发DLP弹窗；聊天记录写入ImmutableLog。7.3会议安全所有线上会议默认开启等候室；会议链接禁止放公网社区；录屏文件存入加密SharePoint，仅会议发起人+法务可下载。第八章开发及测试环境8.1网络隔离测试网与办公网、生产网三层隔离；禁止私拉NAT；测试库脱敏：姓名→哈希、身份证→掩码、银行卡→Token。8.2源代码管理GitLab自建：·默认分支保护：MR需2名CodeOwner+1名安全扫描通过；·依赖库扫描：每周SCA，发现Critical漏洞72小时内修复或打补丁；·提交签名：必须GPG签名；未签名CI直接拒绝。8.3密钥管理生产密钥统一存入HashiCorpVault：·禁止硬编码；·每90天轮转；·离职人员AccessToken4小时内失效。第九章数据备份与灾备9.1备份策略L4/L5系统：·本地快照：每6小时保留24份；·异地复制：AWSS3ImmutableObjectLock15天；·年度灾备演练：随机抽取5套系统做真实切换，RTO≤30分钟，RPO≤15分钟。9.2备份加密AES256-GCM，独立KMS；备份解密密钥分三片，分别由CIO、信安部、财务总监保管；任何两片可拼出完整密钥。9.3备份审计备份完整性每日跑SHA256校验；异常自动开JIRA高优先级工单；逾期未修复即上报网安委。第十章外包与第三方10.1准入评审所有外包公司必须填写《第三方网络安全问卷》；信安部打分<70分直接淘汰；70-85分需整改后复评；≥85分可入围。10.2合同安全条款必须包含：·数据分级与保密义务；·安全事件2小时内通知；·违约金：每延迟1小时按合同总额1%扣款；·审计权：公司可提前24小时书面通知后进场渗透。10.3驻场管理外包人员使用VLAN30，禁止访问L4/L5；USB口物理封闭；离场需IT签字确认，临时账号自动失效。第十一章物理安全11.1机房Tier3标准；双路市电+柴油发电机；门禁：双人双锁；CCTV保存90天；信安部每月随机抽查一次机柜锁。11.2工位屏幕背对走廊角度≤30°；午休锁屏快捷键Win+L；保洁员禁止触碰主机；发现未锁屏一次扣绩效5%。11.3访客前台核验身份证+拍照+打印临时胸卡；访客Wi-FiVLAN70，限速10Mbps，仅开放80/443；全程由被访人陪同，擅自进入办公区一次罚款500元。第十二章红蓝对抗与演练12.1年度红队评估外聘安全公司+内部信安部联合组成红队；授权范围：除客户正式环境外均可攻击；窗口期：每年9月1-30日；目标：获取域管或D4数据。12.2演练流程①启动会→②规则签字→③红队攻击→④蓝队防守→⑤复盘报告→⑥整改排期→⑦复测关闭；未关闭漏洞按P17天、P215天、P330天SLA考核。12.3演练度量MTTD（平均检测时间）≤30分钟；MTTR（平均响应时间）≤2小时；红队成功率≤30%为达标，超过即触发额外预算加强防护。第十三章安全培训与意识13.1入职培训HR系统未通过安全考试账号不予开户；题库200题随机20题，80分及格；补考仍不通过延迟转正。13.2年度复训全员在线课程+钓鱼模拟；点击率≤3%为绿色，3-5%黄色追加课堂培训，>5%红色部门主管约谈。13.3专业认证信安部人员必须持有CISSP/CISP/OSCP至少一项；公司报销考试费，未通过次年递减培训预算20%。第十四章事件响应与应急预案14.1事件分级P1紧急：生产停摆或D4数据泄露；P2高危：L4系统不可用或D3数据泄露；P3中危：L3系统异常；P4低危：其他。14.2响应流程①发现→②5分钟内电话通知信安部值班→③30分钟内成立WarRoom→④1小时内初步遏制→⑤24小时内出具《事件报告》→⑥72小时内RootCause+修复→⑦7天内复盘+改进。14.3取证所有涉事终端内存、硬盘做只读镜像；使用Kape+Volatility+ELK做日志关联；证据链写入WORM；需要司法取证时由法务对接公安网安大队。14.4通报与公关D4级泄露2小时内向董事会+监管机构报告；准备FAQ模板，由PR统一口径；社交媒体监测，负面热搜>100条/小时启动CEO直播回应。第十五章合规审计与问责15.1内部审计内审部每年7月独立抽查20%系统；发现重大缺陷直接上报审计委员会；连续两次同类缺陷部门副总扣减年度绩效30%。15.2外部审计ISO27001、等保三级、SOC2TypeⅡ轮流做；费用由公司统一支付；不合格项需在90天内关闭，逾期暂停相关系统上线。15.3问责清单·未打补丁导致入侵：直接责任人警告+罚款1000元，部门负责人书面检查；·私建Wi-Fi：首次罚款500元并没收设备，第二次记过；·数据泄露：按影响客户数×10元/人计算罚金，上限50万元；触犯刑法移交公安机关。第十六章持续改进与度量16.1安全KPI·漏洞密度：每千行代码≤0.2个High；·补丁合规率：L4/L5系统≥99%；·钓鱼点击率≤3%；·事件复发率≤5%。16.2数据驱动每周一信安部发布《安全运营周报》放Confluence；Dashboard使用Grafana+WazuhAPI；红黄绿灯直观展示，连续红灯两次即启动管理评审。16.3改进基金每年从IT预算中划出5%作为“安全债”基金，用于偿还历史遗留问题；使用需信安部+财务+业务三方评审，ROI>