信息安全管理制度

信息安全管理制度第一章总则为规范本单位信息安全管理，保障信息系统、数据资产安全，维护业务连续稳定运行，保护国家、单位及用户合法权益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全等级保护条例》等法律法规，结合本单位实际运营情况，制定本制度。本制度适用于本单位全体在职人员、劳务派遣人员、外包服务人员、第三方合作人员、临时来访人员，以及所有归属本单位管理的信息资产、信息系统、物理环境、网络资源等，所有涉及本单位信息处理的活动均需遵守本制度要求。本单位信息安全管理遵循“预防为主、防治结合、权责统一、分级保护、动态调整”的原则，以“零信任”为核心管控思路，实现信息安全全生命周期管控，目标为防范信息泄露、系统破坏、非法入侵等安全事件，核心业务可用性不低于99.9%，年度重大信息安全事件发生率控制为0。第二章信息安全组织与职责2.1信息安全管理委员会设立信息安全管理委员会作为本单位信息安全最高决策机构，主任由单位主要负责人担任，成员由各部门负责人、信息安全主管部门负责人、法务部门负责人组成，主要职责为：1.审定本单位信息安全战略规划、管理制度、年度工作计划，审批信息安全经费预算，年度信息安全经费投入不低于单位营业收入的1.5%；2.统筹协调重大信息安全事件处置，审批重大安全事件处置方案和责任认定结果；3.每季度听取一次信息安全工作汇报，研究解决信息安全工作中的重大问题，督促各部门落实安全管控要求；4.对接上级监管部门，落实网络安全等级保护、关键信息基础设施保护等法定监管要求。2.2日常管理部门职责信息安全主管部门（网信/信息技术部）为信息安全日常管理机构，主要职责为：1.牵头制定、修订，组织落实各项安全管控要求，监督各部门执行情况；2.负责信息资产梳理分级、安全评估、漏洞整改、日常监控等工作；3.组织开展信息安全培训、应急演练、内部审计，牵头处置信息安全事件；4.按监管要求上报信息安全事件、安全评估报告等材料，对接第三方安全服务机构。2.3业务部门与第三方职责各业务部门为本部门信息安全责任主体，需指定1名专职信息安全联络员，主要职责为：梳理本部门信息资产清单，落实本部门安全管控要求，配合开展安全检查和事件调查，组织本部门人员参加安全培训，落实整改要求。所有外包、合作第三方必须在合作前签订《信息安全保密协议》，明确信息安全责任，严格遵守本单位信息安全管理制度，接受安全管控，对其人员的违规行为承担连带责任。第三章人员安全管理1.入职管理：所有新入职人员必须签订《信息安全保密承诺书》，明确在职及离职后的保密责任；涉及核心数据、关键信息系统的核心岗位，必须开展背景调查，有网络安全违法犯罪记录、不良从业记录的不得录用；新入职人员必须完成不少于8学时的信息安全岗前培训，考核合格后方可开通系统权限。2.在岗管理：全员每年信息安全培训不少于4学时，核心岗位每年不少于16学时，培训内容包括法律法规、风险防范、应急处置、制度要求等，培训考核结果纳入个人绩效考核；落实权限最小化原则，仅开放岗位履职必需的系统权限，岗位调整后3个工作日内必须完成权限调整，调离核心岗位的立即收回所有核心系统权限；禁止员工私自将单位敏感信息、核心数据带离工作场所，禁止私自拷贝、泄露给外部人员，禁止使用个人云盘、个人存储设备存储单位敏感信息；禁止员工利用单位信息系统从事与工作无关的活动，禁止访问非法网站、下载非法资源，禁止私自架设网络节点、接入非授权设备；禁止员工共享账号密码，禁止转借个人账号给他人使用。3.离职管理：离职人员必须在离职前完成信息资产交接，交回所有单位设备、密钥、门禁卡、账号权限凭证等，签订《离职保密承诺书》，明确离职后的保密责任和竞业限制要求；涉及核心数据岗位的离职人员，必须开展离岗安全审计，确认无违规留存信息资产后方可办理离职手续；离职后10个工作日内必须完成所有系统权限、门禁权限的注销。第四章信息资产管理信息安全主管部门每年至少开展1次全面信息资产梳理，每半年更新1次信息资产清单，所有资产必须登记资产名称、责任人、物理位置、密级、价值、接入状态、使用部门等信息，做到“账实相符、责任到人”。信息资产按重要程度分为三级，管控要求如下：1.核心资产：包括关键信息基础设施、涉及国家秘密的信息、单位核心业务数据、10万条以上用户个人信息、影响单位核心业务连续性的核心信息系统，核心资产发生安全事件会对单位业务、公众利益造成严重危害。核心资产必须指定专人负责，落实724小时实时监控要求，每季度开展1次全量安全扫描和渗透测试，每半年开展1次安全评估。2.重要资产：包括单位内部管理核心数据、1万条以上10万条以下用户个人信息、支撑重要业务运行的信息系统，发生安全事件会对业务运行造成较大影响。重要资产每月开展1次安全扫描，每年开展1次渗透测试。3.一般资产：包括公开信息、非敏感内部行政信息、支撑普通业务运行的资产，发生安全事件影响范围有限。一般资产每半年开展1次安全扫描。资产报废必须经过信息安全主管部门审批，报废的存储介质必须进行消磁或者物理粉碎处理，禁止私自转卖、丢弃报废存储介质；信息资产对外提供使用必须经过部门负责人审批、信息安全主管部门备案，核心资产对外提供必须经过信息安全管理委员会审批，签署保密协议后方可对外提供。第五章物理与环境安全管理核心机房、数据中心属于一级防护区域，实行双人双锁门禁制度，进入必须登记姓名、单位、事由、进入时间，外来人员进入必须经信息安全主管部门审批，由本单位人员全程陪同，禁止外来人员单独停留；核心机房必须配备防火、防水、防雷、防潮、防盗窃、防静电设施，配备容量满足要求的不间断电源（UPS），保障断电后至少续航4小时，配备温度湿度自动监控系统，环境温度控制在18℃-24℃，相对湿度控制在40%-60%；物理环境设施每周开展1次巡检，消防设施每半年开展1次专业检测，确保可用性。单位所有区域视频监控日志留存不少于90天，核心机房、敏感办公区域监控日志留存不少于180天；员工离开工位必须锁屏，下班必须关闭设备电源，锁好存放敏感信息的文件柜，带出单位的纸质敏感信息必须经过审批，登记编号，返回后必须归档。所有入网设备必须提前进行安全检测，安装指定杀毒软件和终端管理软件，未经安全检测的设备禁止接入单位内部网络；核心网络设备、服务器的配置文件至少备份3份，分别存储在不同物理位置，每季度更新一次备份。禁止私自携带外部存储设备接入单位内部网络，确因工作需要接入的，必须经信息安全主管部门审批，完成病毒查杀后方可接入。第六章网络与通信安全管理单位网络按照功能划分为互联网出口区、核心业务区、办公区、DMZ区、访客区五个安全域，不同安全域之间通过下一代防火墙实现逻辑隔离，默认拒绝所有跨域访问，仅开放业务必需的端口和访问路径，核心业务区禁止直接对接互联网，所有跨区访问必须经过身份认证和操作审计。互联网出口必须部署入侵检测系统（IDS）、入侵防御系统（IPS）、Web应用防火墙（WAF）、流量清洗设备，对进出流量进行实时检测，阻断DDoS攻击、SQL注入、XSS跨站等恶意攻击，每周导出攻击日志进行分析，发现异常攻击行为立即溯源处置；无线网络划分为内部办公无线网络和访客无线网络，内部办公无线网络采用802.1X身份认证，仅对内部员工开放，访客无线网络仅开放互联网访问权限，禁止访问任何内部资源，采用短信实名认证，所有访客上网日志留存不少于6个月。VPN权限仅开放给因工作需要长期外出办公的人员，申请必须经部门负责人审批，采用“账号密码+短信/令牌”双因素认证，所有VPN访问日志留存不少于1年，每季度开展一次VPN权限审计，及时收回离职、岗位调整人员的VPN权限。漏洞管理实行“分级整改”机制，信息安全主管部门每月开展一次全网漏洞扫描，发现高危漏洞必须在72小时内完成修复，中危漏洞7天内完成修复，低危漏洞30天内完成修复，因业务原因无法及时修复的漏洞，必须采取IP白名单限制、流量监控等临时防护措施，上报信息安全管理委员会备案，每15天跟进一次漏洞风险情况。核心网络设备管理员密码每季度更换一次，禁止使用默认密码、弱密码。第七章数据安全与个人信息保护管理本单位数据按照《数据安全法》要求分为核心数据、重要数据、一般数据三级，落实全生命周期管控要求：1.数据采集：采集个人信息必须遵循最小必要原则，明确采集目的、使用范围、存储期限，获得用户明确授权同意，不得过度采集与业务无关的个人信息，不得通过欺骗、误导、捆绑等方式强迫用户授权。2.数据存储：核心数据必须存储在本单位本地核心存储设备，禁止存储在公有云、个人云盘、个人终端设备，核心数据必须采用AES-256算法加密存储；核心数据实行每日增量备份、每周全量备份，备份数据至少留存6个月，每季度开展一次备份恢复测试，确保备份数据可正常恢复；重要数据必须加密存储，备份周期不超过1个月。3.数据传输：敏感数据传输必须采用HTTPS、TLS1.3及以上加密传输协议，禁止通过明文邮件、普通即时通讯工具传输敏感数据，确需传输的必须加密后传输；对外开放的数据接口必须设置调用权限、调用频率限制，禁止无授权批量导出数据，每季度对接口调用日志开展审计，发现异常批量调用立即阻断并溯源。4.数据使用：使用敏感数据必须经过部门负责人审批，禁止超权限使用数据，禁止私自将敏感数据提供给第三方；开展数据分析、数据挖掘必须进行去标识化处理，不得泄露可识别的个人信息，不得滥用数据侵犯用户合法权益。5.数据销毁：不再需要留存的敏感数据必须进行安全销毁，存储敏感数据的介质必须进行物理粉碎或者多次消磁处理，电子数据删除必须进行3次以上覆写处理，确保数据无法被恢复。6.数据出境：核心数据、重要数据禁止出境，确因业务需要出境的，必须按照法律法规要求完成安全评估，获得监管部门审批后方可出境。落实个人信息保护法定责任，建立个人信息处理活动台账，每年开展一次个人信息保护影响评估，评估报告报送相关监管部门；发生个人信息泄露、篡改、丢失等安全事件，立即启动应急响应，按照要求及时通知受影响用户和监管部门。第八章终端与应用系统安全管理所有办公终端必须统一安装本单位指定的终端安全管理软件，开启实时病毒防护，自动更新病毒库，每月至少开展一次全盘病毒查杀；禁止终端开启不必要的端口和服务，禁止私自设置开放的共享文件夹，确因工作需要共享的，必须设置长度不小于8位的强密码，限制访问IP范围；禁止在终端存储敏感信息，确需临时存储的必须加密存储；禁止私自安装软件，所有软件必须从单位指定的内部软件仓库下载安装，禁止安装盗版软件、来路不明的软件。新应用系统上线前必须开展第三方安全测试和渗透测试，发现安全漏洞必须整改合格后方可上线，上线必须经过信息安全主管部门审批；应用系统必须落实身份认证要求，敏感系统必须采用双因素认证，用户密码长度不小于8位，必须包含大小写字母、数字和特殊字符，每90天必须更换一次密码，禁止复用最近5次的密码，禁止共享账号密码；应用系统每半年开展一次渗透测试，及时修复漏洞，系统操作日志、访问日志必须留存不少于1年，禁止私自删除、修改日志。第九章信息安全应急管理信息安全主管部门牵头制定总体信息安全应急预案，针对勒索病毒攻击、数据泄露、核心系统宕机、DDoS攻击等常见场景制定专项应急预案，核心业务系统制定专项灾备恢复方案。本单位每年至少开展2次信息安全应急演练，其中针对勒索病毒、数据泄露的专项演练每年至少开展1次，演练后10个工作日内形成演练总结报告，针对演练发现的问题修订应急预案，完善防护措施。信息安全事件处置遵循“先控源、后溯源、再恢复”的流程：任何人员发现信息安全事件必须立即向信息安全主管部门报告，不得隐瞒拖延；信息安全主管部门接到报告后立即核实事件情况，判断事件等级，一般事件立即组织处置，重大事件1小时内上报信息安全管理委员会，按照法律法规要求24小时内上报属地监管部门；处置阶段立即隔离受感染的设备和系统，切断攻击路径，防止事件扩大，开展溯源分析，排查影响范围，核心业务中断后要求4小时内恢复核心业务运行，24小时内恢复全部业务，无法本地恢复的立即启动异地灾备切换；事件处置完成后15个工作日内形成完整的处置报告，分析事件原因，落实整改措施，完善管理制度和防护体系，开展全员警示教育。核心业务系统必须建立异地灾备中心，灾备中心与生产中心物理距离不小于50公里，核心数据每日同步到灾备中心，每半年开展一次灾备切换演练，确保灾备系统可用。第十章审计考核与违规处置信息安全主管部门每季度开展一次内部信息安全审计，审计内容包括权限合规性、日志留存、漏洞整改、数据安全管控、物理环境安全等，每年聘请具备资质的第三方机构开展一次全面信息安全评估，审计评估报告上报信息安全管理委员会。信息安全工作纳入各部门年度绩效考核，权重不低于5%，纳入个人年度绩效考核；对落实信息安全要求到位、及时发现重大安全隐患避免安全事件发生的个人和部门，给予不低于5000元的奖励。违反本制度的按以下标准处置：1.违反制度要求未造成安全事件的，对直接责任人给予批评教育，责令限期整改，情节较轻的扣除当月绩效考核5%，情节较重的扣除当月绩效考核20%；2.违反制度造成一般安全事件，造成经济损失10万元以下的，对直接责任人给予记过处分，承担不低于10%的经济赔偿，