信息安全管理制度

信息安全管理制度第一章总则1.1编制目的为规范公司信息安全管理工作，防范各类信息安全风险，保障公司网络、系统、数据的完整性、保密性、可用性，符合《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及行业监管要求，避免因信息安全事件给公司、客户、员工造成损失，特制定本制度。1.2适用范围本制度适用于公司及下属全资、控股子公司所有主体，覆盖全体在职员工、劳务派遣人员、外包服务人员、临时驻场第三方人员、来访人员，所有接触、使用公司信息资源的人员均需严格遵守本制度要求。1.3基本原则最小权限原则：所有账号、资源权限仅授予完成本职工作所需的最小范围，定期复核权限匹配度，多余权限第一时间回收，杜绝超权限授权、权限长期闲置等问题。权责一致原则：落实“谁使用谁负责、谁管理谁负责”要求，各部门负责人为本部门信息安全第一责任人，所有人员对自身操作涉及的信息安全问题承担直接责任。全程管控原则：覆盖人员入职到离职的全生命周期，覆盖物理环境、网络、系统、数据的全维度管控，覆盖信息资源采集、存储、使用、传输、销毁的全流程管理。合规适配原则：所有安全管理动作需符合国家法律法规、行业监管要求，每年至少开展1次制度合规性评估，结合公司业务调整、安全形势变化及时更新制度内容。第二章组织架构与职责公司建立三级信息安全管理体系，明确各角色安全管理职责，确保安全工作落地到人，职责分工如下表所示：角色所属部门核心职责考核指标信息安全管理委员会公司决策层审批信息安全战略、制度、年度预算，决策重大安全事件处置方案，统筹全公司安全管理工作年度重大安全事件发生率为0，安全预算执行率100%，合规要求落地率100%安全管理部职能管理部门制定落地安全制度，开展日常安全监控、漏洞整改、应急处置、审计考核、培训宣贯工作高危漏洞整改完成率100%，应急响应及时率100%，员工安全培训覆盖率100%部门安全联系人各业务/职能部门承担本部门安全接口职责，开展本部门安全宣贯、隐患排查上报，配合安全管理部工作本部门月度安全违规次数≤2次，安全隐患上报及时率100%，本部门员工培训参与率100%全体员工所有部门严格遵守安全制度，规范使用公司信息资源，及时上报发现的安全隐患个人年度安全违规次数≤1次，安全培训考核合格率100%信息安全管理委员会每季度召开1次安全工作会议，审议季度安全工作报告，决策下一季度安全工作重点；安全管理部每月召开1次安全工作同步会，向各部门同步当月安全隐患、违规情况及下月工作要求。第三章人员安全管理人员安全管理覆盖全生命周期，所有管控动作留存书面或电子记录备查，具体管控要求如下表所示：生命周期阶段管控动作责任部门完成时限验证标准入职前完成背景调查，核心岗位核查过往安全违规记录、资质真实性，签订《保密协议》人力资源部入职前1个工作日背调报告无异常，《保密协议》签字盖章留存入职当天开展信息安全入职培训，考核合格后按照最小权限原则开通系统、网络、物理区域权限安全管理部、HR入职当天培训考核得分≥80分，权限开通申请单有部门负责人、安全管理部签字在职期间每季度开展权限复核，每半年开展离岗审计，定期开展安全培训、合规检查安全管理部、各部门每季度首月10日前权限复核记录完整，审计报告无异常，培训考核合格岗位调整回收原岗位所有权限，按照新岗位要求重新审批开通权限，做好权限变更记录安全管理部、部门负责人调岗后3个工作日内原权限全部注销，新权限开通申请单齐全，变更记录存档离职前回收所有系统、网络、物理区域权限，回收办公设备、存储介质，完成离岗审计，签订《离职保密承诺书》安全管理部、HR、部门负责人离职当天权限注销记录齐全，设备介质全部回收，离岗审计无异常，《离职保密承诺书》签字留存所有人员在职期间严禁私自转借账号、密码，严禁在公共设备、公共文档中保存账号密码信息，严禁将内部系统账号告知无关人员；远程办公使用的VPN权限仅限工作时间使用，非工作时间需主动断开，VPN账号采用双因素认证，密码每30天更换1次，不得与其他平台密码重复。第四章物理环境安全管理4.1机房安全管理机房为公司核心物理安全区域，实行封闭式管理，出入口设置人脸识别+门禁卡双因素认证系统，所有进出人员需提前提交申请，由运维人员全程陪同，进出时间、事由、陪同人员信息详细登记在机房进出台账中，台账至少保存1年。机房内部安装温湿度实时监控系统，温度控制在18-24℃，湿度控制在40%-60%，超过阈值自动触发声光告警，运维人员需30分钟内到场处置。机房配备气体灭火系统，每月检查1次消防设备有效性，每季度开展1次机房消防演练，严禁携带易燃易爆物品进入机房，严禁在机房内私接电源、堆放杂物。4.2办公区域安全管理员工离开工位超过10分钟需锁定电脑屏幕，敏感纸质文件需锁入抽屉，废弃的敏感纸质文件需用高保密碎纸机粉碎，严禁直接丢弃至公共垃圾桶。研发、运维、财务、人力资源等敏感区域设置门禁，仅授权人员可进入，外来人员进入需由对接人全程陪同，严禁在办公区域私自安装无线路由器、信号放大器等设备，严禁私自拍摄敏感区域内部环境、屏幕内容对外传播。第五章网络安全管理公司网络实行内外网物理隔离，内网仅用于访问内部业务系统、存储内部数据，外网仅用于互联网访问，严禁私自将内网设备接入外网，严禁私自在网络中接入交换机、路由器等网络设备。网络边界部署入侵检测系统、入侵防御系统、Web应用防火墙，724小时实时监控网络流量，发现异常流量自动告警，运维人员需30分钟内核实处置。公司网络实行内外网物理隔离，内网仅用于访问内部业务系统、存储内部数据，外网仅用于互联网访问，严禁私自将内网设备接入外网，严禁私自在网络中接入交换机、路由器等网络设备。网络边界部署入侵检测系统、入侵防御系统、Web应用防火墙，724小时实时监控网络流量，发现异常流量自动告警，运维人员需30分钟内核实处置。公司无线网络分为员工WiFi和访客WiFi两个独立网段，员工WiFi采用WPA3加密，密码每90天更换1次，仅允许公司配发的设备接入；访客WiFi采用短信实名认证，会话时长限制为8小时，到期自动断开，仅允许访问互联网，禁止访问内网任何资源。常见网络安全风险处置要求如下表所示：风险场景风险等级处置流程责任部门响应时限非授权设备私自接入内网一般立即阻断设备接入，核实设备归属与接入原因，对相关责任人开展批评教育，留存记录安全管理部30分钟内防火墙规则未经审批私自变更较重立即回滚规则，核查变更影响范围，排查是否存在数据泄露风险，对责任人做绩效处罚安全管理部、运维部1小时内检测到暴力破解、网络入侵攻击较重立即封禁攻击IP，核查系统是否被入侵，排查漏洞并整改，留存攻击日志备查安全管理部、运维部1小时内勒索病毒攻击导致业务系统中断重大立即断开受影响系统网络，启动灾备系统恢复业务，排查攻击入口，留存日志上报监管部门安委会、安全管理部、运维部30分钟内大量敏感数据疑似对外泄露特别重大立即切断数据传输通道，排查泄露范围与原因，固定证据上报监管部门，同步启动法务追责流程安委会、安全管理部、法务部15分钟内所有人员严禁利用公司网络从事违法违规活动，包括但不限于传播不良信息、攻击第三方网站、下载盗版资源、参与网络赌博、倒卖网络资源等，一经发现直接按照严重违规处理。第六章数据安全管理公司实行数据分级分类管理，根据数据泄露后的影响程度将数据分为四个等级，不同等级数据执行不同管控标准，具体要求如下表所示：数据等级定义示例存储要求访问权限要求外发要求公开级可面向社会公众公开，不会对公司造成任何负面影响的信息官网宣传资料、公开招聘信息、对外发布的财报、公开的产品介绍无特殊加密要求，可存储在公开服务器无限制，所有人员均可访问经品牌部审核后可直接对外发布内部级仅可在公司内部流通，对外泄露会造成轻微影响的信息内部办公制度、普通业务通知、非敏感的日常办公文档存储在内网服务器，无需加密所有在职员工均可访问，禁止对外泄露经部门负责人审批后可对外提供，需标注“内部资料，请勿外传”敏感级涉及公司商业秘密、个人信息，对外泄露会造成较大损失的信息未公开的业务规划、普通客户联系方式、员工薪资信息、常规财务数据加密存储在内网核心服务器，定期备份仅授权岗位人员可访问，访问需经部门负责人审批，操作留痕经部门负责人、安全管理部审批，做脱敏处理后可外发，签订保密协议核心级涉及公司核心商业秘密，对外泄露会造成重大损失、影响公司生存发展的信息核心产品源代码、核心算法、Top100客户核心数据、未公开的重大投融资信息采用AES-256加密存储，本地+同城+异地三地备份，禁止存储在公共云服务器仅核心岗位授权人员可访问，访问需经部门负责人、总经理双人审批，全程操作留痕经总经理、安委会审批，做高强度脱敏处理，签订专项数据保密协议后方可外发数据全生命周期管控需满足以下要求：采集环节严格符合法律法规要求，采集个人信息需征得本人同意，不得超范围采集非必要信息；存储环节核心数据每24小时做增量备份，每周做全量备份，每季度开展1次备份数据恢复测试，确保备份数据可用性；使用环节严格遵循最小必要原则，不得超出工作需求复制、下载、存储数据；销毁环节不再使用的电子数据采用多次覆写或物理粉碎方式销毁，纸质数据采用碎纸机销毁，严禁直接丢弃或出售存储介质。第七章应用系统安全管理新开发应用系统实行安全左移管理，需求阶段同步梳理安全需求，开发阶段每周开展1次代码安全审计，上线前完成渗透测试、等保测评，测评合格后方可上线。第三方应用系统接入公司网络前需完成安全评估，核查系统漏洞情况、数据安全保护能力，评估合格后方可接入，接入后每季度开展1次安全扫描，发现漏洞要求第三方72小时内完成整改。应用系统账号实行一人一号管理，严禁共享账号，默认账号、测试账号上线前需全部删除，用户密码需满足复杂度要求：长度不少于8位，包含大小写字母、数字、特殊字符，每90天更换1次，不得与最近5次使用的密码重复。应用系统运维权限实行最小化管理，运维操作全程留痕，操作日志至少保存1年，涉及核心数据的运维操作需双人复核后方可执行。每月开展1次全量应用系统漏洞扫描，高危漏洞72小时内完成整改，中危漏洞15个工作日内完成整改，低危漏洞30个工作日内完成整改，整改完成后需通过安全管理部验证。第八章设备与介质安全管理公司配发的办公电脑、服务器、打印机等设备仅用于工作用途，严禁私自安装破解软件、盗版软件，严禁私自拆修设备，如需维修需提交申请由IT部门统一处理，维修时安排专人陪同，涉及核心数据的设备维修前需完成数据备份与销毁，严禁设备离开公司维修。移动存储介质分为内网介质和外网介质，粘贴明确标识，内网介质仅可在内网设备使用，外网介质仅可在外网设备使用，严禁交叉使用，存储核心数据的介质由专人保管，加密存储，严禁带出公司，确需带出的需经部门负责人、安全管理部审批并做好登记。报废存储介质由安全管理部统一销毁，采用消磁或物理粉碎方式，全程录像留存销毁记录，严禁私自出售、丢弃报废存储介质。严禁将私人U盘、移动硬盘、手机等存储设备接入内网设备，确需接入的需提交申请，经IT部门病毒查杀、安全管理部审批后方可接入，使用后留存操作记录。第九章应急响应与处置公司制定《网络攻击应急预案》《数据泄露应急预案》《系统故障应急预案》《物理灾害应急预案》四类专项预案，每年至少更新1次预案内容，适配最新安全形势。应急响应分为四个阶段：1.发现阶段：任何人员发现安全隐患或事件需第一时间通过电话、企业微信、邮件上报安全管理部，不得隐瞒或私自处置。2.研判阶段：安全管理部接到上报后30分钟内完成事件等级研判，确定事件影响范围、损失程度，同步上报对应管理层。3.处置阶段：按照预案要求开展处置，第一时间控制事态发展，切断攻击源，避免影响扩大，随后修复漏洞、恢复业务，排查受损情况。4.复盘阶段：事件处置完成后7个工作日内形成复盘报告，分析事件根因，制定整改措施，落实整改责任，优化应急预案。安全事件分为四个等级：一般事件（影响范围小、无损失，如单个账号被盗未泄露数据）、较大事件（影响范围较大、轻微损失，如业务系统中断1小时内）、重大事件（影响范围大、重大损失，如敏感数据泄露、业务系统中断4小时以上）、特别重大事件（影响范围极大、特别重大损失，如核心数据大量泄露、涉及监管处罚）。发生重大及以上事件需1小时内上报安委会，同时按照监管要求上报相关部门。每年至少开展2次实战应急演练，每季度开展1次桌面推演，演练后15个工作日内完成问题整改，优化预案内容。第十章审计与考核安全管理部每月开展1次常规安全审计，每季度开展1次专项审计，每年开展1次全面审计，审计内容包括账号权限、访问日志、操作记录、漏洞整改情况、制度落实情况，审计日志至少保存6个月，涉及核心数据的审计日志至少保存1年，审计发现的异常24小时内核实，形成审计报告报安委会。安全考核纳入各部门绩效考核，占比不低于5%，各部门负责人对本部门安全事件承担连带责任。对发现重大安全隐患、避免重大安全事件的人员给予500-5000元现金奖励，纳入年度评优优先范围。违规行为处罚标准如下表所示：违规行为违规等级处罚措施连带责任人处罚离开工位未锁屏、敏感文件随意摆放、公共设备留存账号密码一般第一次口头警告，扣当月绩效5%；第二次通报批评，扣当月绩效10%；第三次记过，扣当月绩效20%部门安全联系人扣当月绩效2%，部门负责人扣当月绩效1%私自接入非授权网络设备、内网介质交叉使用、私人存储设备私自接入内网较重通报批评，扣当月绩效20%，暂停系统权限7天，重新培训考核合格后恢复权限部门安全联系人扣当月绩效5%，部门负责人扣当月绩效3%转借