互联网企业信息安全手册

互联网企业信息安全手册前言为规范互联网企业信息安全管理行为，防范信息安全风险，保障企业核心数据、业务系统及用户信息安全，维护企业合法权益和市场信誉，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《非银行支付机构监督管理条例》及NIST网络安全框架（CSF2.0）相关要求，结合互联网企业业务特点（含电商、平台、服务类等），制定本手册。本手册适用于企业全体员工（含正式员工、实习生、外包人员）、合作单位及相关关联方，涵盖信息安全管理、技术防护、人员管理、应急处置等全场景，是企业信息安全工作的纲领性文件，全体相关人员必须严格遵守、认真执行。第一章总则第一条核心原则本手册遵循“合法合规、风险可控、权责清晰、全员参与”的核心原则，参照NIST网络安全框架“治理、识别、保护、检测、响应、恢复”六大核心功能，构建全方位、多层次的信息安全防护体系，实现信息安全与业务发展协同推进。第二条适用范围1.人员范围：企业全体员工（正式、实习、外包）、合作单位工作人员、访问企业系统/场地的外来人员；2.资产范围：企业业务系统（网站、APP、后台管理系统等）、服务器、网络设备、终端设备（电脑、手机、平板等）、核心数据（用户数据、业务数据、财务数据等）、办公文档、网络链路等；3.业务范围：用户注册、数据采集、存储、传输、使用、销毁，业务运营、系统维护、合作对接、办公协同等全业务流程。第三条权责分工1.信息安全管理部门：作为信息安全工作的牵头部门，负责手册的制定、更新、宣贯，统筹信息安全风险防控、应急处置、监督检查等工作；2.各业务部门：落实本部门信息安全责任，配合信息安全管理部门开展风险排查、应急处置，加强本部门员工信息安全教育；3.全体员工：严格遵守本手册规定，规范操作终端设备、业务系统，主动防范信息安全风险，发现安全隐患及时上报；4.合作单位：遵守企业信息安全管理要求，规范使用企业提供的系统、数据，承担相应的信息安全责任。第二章信息安全管理基础第四条安全管理制度1.企业建立健全信息安全管理制度体系，包括但不限于：数据安全管理制度、网络安全管理制度、终端安全管理制度、密码管理制度、应急处置制度、人员安全管理制度等；2.管理制度需结合业务发展和技术升级及时更新，每年至少开展一次全面评审，确保符合最新法律法规及NIST网络安全框架要求；3.所有管理制度需向全体相关人员宣贯，确保人人知晓、严格执行，留存宣贯记录。第五条信息资产分类分级管理1.资产分类：将企业信息资产分为核心资产（用户敏感数据、核心业务系统、财务数据等）、重要资产（普通业务数据、办公系统、网络设备等）、一般资产（普通办公文档、非核心终端等）；2.资产分级：核心资产实行一级防护，重要资产实行二级防护，一般资产实行三级防护，根据分级采取差异化的防护措施，重点保障核心资产安全；3.建立信息资产台账，明确资产名称、责任人、存放位置、防护等级、使用范围等信息，定期开展资产清查，及时更新台账。第六条合规管理要求1.严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规，落实网络安全等级保护制度，按照规定完成等级测评，履行网络安全保护义务；2.收集、使用用户个人信息，需遵循合法、正当、必要原则，明示收集、使用目的、方式和范围，经用户同意后方可收集，不得收集与业务无关的个人信息；3.核心数据、重要数据需在境内存储，确需向境外提供的，需按照规定完成安全评估，符合数据跨境流动相关要求；4.定期开展合规自查，及时整改合规风险，留存自查记录，主动接受行业主管部门、监管机构的监督检查。第三章技术安全防护规范第七条网络安全防护1.企业网络需划分安全区域（如核心区、业务区、办公区、DMZ区），设置防火墙、入侵检测/防御系统（IDS/IPS）、网络隔离设备等，严格控制区域间访问权限；2.网络设备（路由器、交换机、防火墙等）需设置强密码，定期更换密码，关闭不必要的端口和服务，禁止弱口令、默认口令，定期进行固件升级和安全加固；3.监测、记录网络运行状态、网络安全事件，按照规定留存网络日志不少于六个月，便于安全事件追溯和排查；4.防范网络攻击，重点防范钓鱼攻击、DDoS攻击、恶意软件攻击等常见网络攻击类型，建立网络攻击监测预警机制，及时处置网络安全风险；5.企业无线网络需加密传输，设置复杂密码，禁止开放无密码无线网络，限制接入设备数量和权限，防范无线信号被窃取、篡改。第八条终端安全防护1.企业所有终端设备（办公电脑、服务器、手机等）需安装正版操作系统、杀毒软件、终端安全管理软件，定期更新系统补丁和病毒库，开启实时防护功能；2.终端设备需设置强密码，禁止共享账号、密码，禁止使用弱口令（如123456、admin等），定期更换密码，重要终端需开启多因素认证；3.禁止在企业终端设备上安装未经授权的软件、插件，禁止接入未经安全检测的外部设备（U盘、移动硬盘等），禁止浏览非法网站、下载非法文件；4.办公电脑需开启屏幕保护密码，离开座位时及时锁屏，防止信息泄露；终端设备报废、维修前，需彻底清除设备内的企业数据、敏感信息，留存数据清除记录；5.远程办公终端需符合企业终端安全要求，连接企业网络需使用加密VPN，禁止使用公共网络处理企业敏感信息，远程办公结束后及时断开VPN连接。第九条系统安全防护1.业务系统（网站、APP、后台管理系统等）需进行安全开发，遵循安全开发生命周期（SDL），在需求、设计、开发、测试、部署等阶段落实安全要求，防范代码漏洞；2.系统部署前需进行安全检测，排查漏洞、弱口令等安全隐患，整改完成后方可部署上线；上线后定期进行安全扫描、渗透测试，及时修复安全漏洞；3.系统需设置访问控制权限，遵循“最小权限原则”，根据员工岗位分配相应的操作权限，禁止超权限操作，定期开展权限审计，及时回收闲置、过期权限；4.核心业务系统需部署冗余备份系统，定期进行数据备份，备份数据需加密存储，定期测试备份数据的恢复能力，确保数据可恢复；5.系统日志需全面记录用户操作、系统运行状态、安全事件等信息，日志留存时间不少于六个月，便于安全事件追溯和分析。第十条数据安全防护1.数据分类分级：按照敏感程度将数据分为敏感数据（用户身份证号、银行卡号、手机号、密码等）、重要数据（业务数据、财务数据、运营数据等）、普通数据（非敏感、非核心数据），采取差异化防护措施；2.数据收集：收集用户数据需明确告知用户收集目的、范围、用途，经用户同意后方可收集，不得强制收集、过度收集，禁止收集与业务无关的用户数据；3.数据存储：敏感数据、重要数据需加密存储（静态加密、传输加密），使用符合国家规定的加密算法，存储设备需进行安全加固，防范数据泄露、篡改；4.数据使用：严格控制数据访问权限，禁止未经授权访问、查询、下载、传播敏感数据；使用数据时需遵循最小必要原则，不得超出授权范围使用数据；5.数据传输：数据在企业内部、企业与合作单位之间传输时，需采用加密传输方式（如HTTPS、SSL等），防范数据在传输过程中被窃取、篡改；6.数据销毁：过期数据、无用数据需按照规定进行销毁，销毁方式需确保数据无法恢复（如物理销毁、专业数据销毁软件销毁），留存数据销毁记录；7.数据备份与恢复：建立数据备份机制，定期对核心数据、重要数据进行备份，备份数据需异地存储，定期测试备份数据的恢复能力，确保数据发生丢失、损坏时可及时恢复。第四章人员安全管理规范第十一条入职安全管理1.新员工入职前，需进行背景调查（重点核查信息安全相关资质、过往从业记录），签订《信息安全保密协议》《员工信息安全承诺书》，明确信息安全责任和义务；2.新员工入职后，需参加信息安全培训（内容包括本手册、管理制度、安全操作规范、常见安全风险等），培训合格后方可上岗，留存培训记录和考核成绩；3.为新员工分配账号、权限时，遵循“最小权限原则”，根据岗位需求分配相应权限，禁止分配与岗位无关的权限。第十二条在岗安全管理1.企业定期开展信息安全培训（每年至少2次），内容包括最新法律法规、安全漏洞、常见攻击手段、应急处置方法等，提升员工信息安全意识和操作能力；2.员工需严格遵守密码管理规定，定期更换账号密码，禁止共享账号、密码，禁止将账号、密码泄露给他人（包括亲友、合作单位人员）；3.员工禁止利用企业系统、网络从事违法违规活动（如传播非法信息、攻击他人系统、窃取数据等），禁止违规操作业务系统、篡改数据；4.员工发现信息安全隐患（如系统漏洞、数据泄露、网络攻击等），需及时向信息安全管理部门上报，不得隐瞒、拖延，留存上报记录；5.员工离职前，需交还企业所有信息资产（办公设备、文档、密钥等），办理账号、权限注销手续，签订《离职信息安全承诺书》，明确离职后的信息安全责任。第十三条外包人员与外来人员管理1.外包人员需签订《信息安全保密协议》，明确信息安全责任和义务，接受企业信息安全培训，考核合格后方可开展工作；2.为外包人员分配临时账号、权限，权限范围严格控制在工作所需范围内，工作结束后及时注销账号、回收权限；3.外来人员（客户、合作单位人员、访客等）进入企业办公区域，需进行登记（姓名、单位、事由、联系方式等），由企业员工陪同，禁止进入核心办公区域（如服务器机房、信息安全管理室）；4.外来人员禁止使用企业终端设备、网络，禁止接触企业敏感数据、核心系统，确需使用的，需经信息安全管理部门批准，安排专人监督。第五章常见安全风险防控第十四条钓鱼攻击防控1.员工需提高警惕，不随意点击来路不明的邮件、短信链接，不下载可疑附件，不填写陌生表单（尤其是要求填写账号、密码、身份证号等敏感信息的表单）；2.识别钓鱼邮件、短信特征：发件人地址异常、内容包含诱导性语言（如“账户异常”“中奖通知”“工资补贴申领”等）、链接地址异常、附件名称可疑；3.收到可疑邮件、短信，需及时向信息安全管理部门上报，不得转发、传播，避免扩大风险；4.企业定期开展钓鱼攻击演练，提升员工识别和防范钓鱼攻击的能力。第十五条恶意软件防控1.员工禁止从非官方渠道下载软件、插件、游戏等，禁止安装未经授权的软件，避免感染病毒、木马、蠕虫等恶意软件；2.终端设备需开启杀毒软件实时防护，定期进行病毒扫描，及时清除恶意软件；3.发现终端设备出现异常（如运行缓慢、弹窗增多、数据丢失等），需立即断开网络，停止操作，向信息安全管理部门上报，由专业人员进行处置；4.企业定期更新终端安全管理软件，推送安全补丁，及时防范新型恶意软件攻击。第十六条密码安全防控1.密码设置规范：密码长度不少于12位，包含大小写字母、数字、特殊字符，禁止使用弱口令（如123456、admin、生日等），禁止使用与个人信息相关的密码；2.密码更换要求：企业系统账号密码每90天更换一次，终端设备密码每60天更换一次，更换后不得使用历史密码（前3次）；3.密码保管要求：密码需妥善保管，禁止手写在纸上、粘贴在终端设备上，禁止共享给他人，禁止在公共场合输入密码；4.重要账号（如管理员账号、核心业务账号）需开启多因素认证（如短信验证码、动态令牌、指纹识别等），提升账号安全性。第十七条数据泄露防控1.禁止员工私自复制、传播、泄露企业敏感数据、核心数据，禁止将敏感数据存储在个人设备（如个人电脑、手机、U盘等）上；2.办公文档（尤其是敏感文档）需加密存储，禁止随意发送给外部人员，确需发送的，需经部门负责人和信息安全管理部门批准，采取加密、脱敏等措施；3.禁止在公共网络（如网吧、咖啡厅Wi-Fi）处理企业敏感数据，禁止通过个人邮箱、社交软件（如微信、QQ）传输企业敏感数据；4.定期开展数据泄露风险排查，及时发现并整改数据泄露隐患，建立数据泄露应急处置机制。第六章应急处置规范第十八条应急组织与职责1.成立信息安全应急处置小组，由企业负责人担任组长，信息安全管理部门、各业务部门负责人担任成员，明确小组职责和分工；2.应急处置小组职责：制定应急处置预案，组织应急演练，处置信息安全事件，上报应急情况，协调外部资源（如监管部门、安全厂商）等。第十九条应急处置流程1.事件上报：员工发现信息安全事件（如数据泄露、网络攻击、系统瘫痪、恶意软件感染等），需立即向信息安全管理部门上报，说明事件类型、发生时间、影响范围等信息，不得隐瞒、拖延；2.事件研判：应急处置小组接到上报后，立即对事件进行研判，确定事件等级（一般、较大、重大、特别重大），制定处置方案；3.应急处置：按照处置方案，采取相应的处置措施（如切断网络、隔离受影响设备、修复漏洞、清除恶意软件、恢复数据等），控制事件扩大，降低事件损失；4.事件调查：事件处置完成后，应急处置小组对事件进行调查，分析事件原因、责任主体、损失情况，形成调查报告；5.整改优化：根据调查报告，针对事件暴露的问题，整改安全隐患，完善信息安全管理制度和技术防护措施，避免类似事件再次发生；6.事件上报：重大、特别重大信息安全事件，需及时向行业主管部门、监管机构上报，按照要求配合调查处理。第二十条应急演练1.企业每半年至少开展一次信息安全应急演练，演练内容包括数据泄露、网络攻击、系统瘫痪等常见安全事件的处置；2.演练结束后，及时总结演练效果，分析存在的问题，优化应急处置预案和处置流程，提升应急处置能力；3.全体员工需参与应急演练，熟悉应急处置流程和自身职责，提升应急响应能力。第七章监督检查与责任追究第二十一条监督检查1.信息安全管理部门定期开展信息安全监督检查（每月至少1次），重点检查制度执行情况、技术防护措施落实情况、员工操作规范情况等，留存检查记录；2.每季度开展