企业信息安全管理规范

企业信息安全管理规范

第一章总则

第一条为保证信息系统安全可靠稳定运行，降低或者阻挠

人为或者自然因素从物理层面对公司信息系统的保密性、完整性、

可用性带来的安全威胁，结合公司实际，特制定本制度。

第二条本制度合用于XX公司以及所属单位的信息系统安

全管理。

第二章职责

第三条相关部门、单位职责：

一、信息中心

（-）负责组织和协调XX公司的信息系统安全管理工作；

（-）负责建立XX公司信息系统网络成员单位间的网络访

问规则；对公司本部信息系统网络终端的网络准入进行管理；

（三）负责对XX公司统一的两个互联网出口进行管理，配

置防火墙等信息安全设备；会同保密处对公司本部互联网上网行

为进行管理；

（四）对XX公司统一建设的信息系统制定专项运维管理办

法，明确信息系统安全管理要求，界定两级单位信息安全管理责

任;

(五)负责XX公司网络边界、网络拓扑等全局性的信息安

全管理。

二、人力资源部

(-)负责人力资源安全相关管理工作。

(-)负责将信息安全策略培训纳入年度职工培训计戈L,

并组织实施。

三、各部门

(-)负责本部门信息安全管理工作。

(二)配合和协助业务主管部门完善相关制度建设，落实

日常管理工作。

四、所属各单位

(-)负责组织和协调本单位信息安全管理工作。

(二)对本单位建设的信息系统制定专项运维管理办法，

明确信息系统安全管理要求，报XX公司信息中心备案。

第三章信息安全策略的基本要求

第四条信息系统安全管理应遵循以下八个原则：

一、主要领导人负责原则；

二、规范定级原则；

三、依法行政原则；

四、以人为本原则；

五、注重效费比原则；

—2—

六、全面防范、突出重点原则；

七、系统、动态原则；

八、特殊安全管理原则。

第五条公司保密委应根据业务需求和相关法律法规，组织

制定公司信息安全策略，经主管领导审批发布后，对员工及相关

方进行传达和培训。

第六条制定信息安全策略时应充分考虑信息系统安全策

略的“七定”要求，即定方案、定岗、定位、定员、定目标、定

制度、定工作流程。

第七条信息安全策略主要包括以下内容：

一、信息网络与信息系统必须在建设过程中进行安全风险

评估，并根据评估结果制定安全策略；

二、对已投入运行且已建立安全体系的系统定期进行漏洞

扫描，以便及时发现系统的安全漏洞；

三、对安全体系的各种日志（如入侵检测日志等）审计结果

进行研究，以便及时发现系统的安全漏洞；

四、定期分析信息系统的安全风险及漏洞、分析当前黑客

非常入侵的特点，及时调整安全策略；

五、制定人力资源、物理环境、访问控制、操作、备份、

系统获取及维护、业务连续性等方面的安全策略，并实施。

第八条公司俣密委每年应组织对信息安全策略的适应性、

充分性和有效性进行评审，必要时组织修订；当公司的组织架构、

—3—

生产经营模式等发生重大变化时也应进行评审和修订。

第九条根据“谁主管、谁负责”的原则，公司建立信息安全

分级责任制，各层级落实信息系统安全责任。

第四章人力资源安全管理

第十条信息系统相关岗位设置应满足以下要求：

一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。

二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混

冈UL4。

三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、

设备管理岗、技术档案管理岗原则上有人员备份。

四、以上岗位人员调离必须办理交接手续，所掌握的口令

应立刻更换或者注销该用户。

第十一条人力资源部在相关岗位任职要求中应包含信息安

全管理的相关条件和要求；将信息安全相关培训纳入年度职工培

训计划，并组织实施。

第五章信息系统物理和环境安全管理

第十二条信息系统物理安全指为了保证信息系统安全可靠

运行，不致受到人为或者自然因素的危害，而对计算机设备、设

施（包括机房建造、供电、空调）、环境、系统等采取适当的安

全措施。

第十三条信息管理部门应采取切实可行的物理防护手段或

者

—4—

技术措施对物理周边、物理入口、办公及生产区域等进行安全控

制，防止无关人员未授权物理访问、损坏和干扰。

第十四条信息管理部门应加强对信息系统机房及配线间的

安全管理，要求如下：

一、工作人员需经授权，方能且只能进入中心机房的授权

工作区；确因工作需要，需进入非授权工作区时，需由该授权工

作区人员陪同；做好机房出入登记（格式见附录3-3）。

二、工作人员必须严格按照规定操作，未经批准不得超越

自己职权范围以外的操作；操作结束时，必须退出已进入的操作

画面；最后离开工作区域的人员应将门关闭。

三、非授权人员严禁操作中心机房UPS、专用空调、监控、

消防及UPS供配电设备设施。

四、未经授权，任何人员不得擅自拷贝数据和文件等资料。

五、严禁将易燃、易爆、强磁性物品带入中心机房；严禁

在机房内吸烟。

六、发生意外情况应即将采取应急措施，并及时向有关部

门和领导报告。

第六章信息系统资产管理

第十五条信息管理部门应对信息和信息系统设备设施等相

关资产建立台帐清单（格式见附录3-4）,并定期对其进行盘点

清查。

第十六条设备使用人应对信息和信息系统设备设施、各类

5

存储介质等相关资产进行标识。标识应张贴在信息设备的明显位

置，做到信息完整、字迹清晰，并做好防脱落防护工作。

第十七条信息管理部门应对主机进行控制管理，要求如下：

一、关键业务生产系统中的主机原则上应采用双机热备份

方式或者n+m的多主机方式，确保软件运行环境可靠；

二、普通业务生产系统中的主机、生产用PC前置机，关键

设备可以采用软硬件配置彻底相同的设备来实现冷备份；

三、各类设备在采购时技术规格中应明确服务响应时间、

备品备件、现场服务等方面的要求，核心服务器、存储相应时间

普通不高于4小时。

第十八条各相关部门应加强信息设备安装、调试、维护、

维修、报废等环节的管理工作，防止因信息设备丢失、损坏、失

窃以及资产报废处置不当引起的信息泄露。

第七章信息系统访问控制及操作安全管理

第十九条公司将系统运行安全按粒度从粗到细分为四个层

次：系统级安全、资源访问安全、功能性安全、数据域安全。

一、系统级安全策略包括：敏感系统的隔离、访问地址段

的限制、登录时间段的限制、会话时间的限制、连接数的限制、

特定时间段内登录次数的限制以及远程访问控制等。系统级安全

是应用系统的第一道防护大门。

二、资源访问安全策略包括：对程序资源的访问进行安全

控制，在客户端上，为用户提供和其权限相关的用户界面，仅出

6

现和其权限相符的菜单和操作按钮；在服务端则对URL程序资源

和业务服务类方法的调用进行访问控制。

三、功能性安全策略包括：功能性安全会对程序流程产生

影响，如用户在操作业务记录时，是否需要审核，上传附件不能

超过指定大小等。

四、数据域安全策略包括：一是行级数据域安全，即用户

可以访问哪些业务记录，普通以用户所在单位为条件进行过滤；

二是字段级数据域安全，即用户可以访问业务记录的哪些字段。

第二十条用户管理应建立用户身份识别与验证机制，防止

非法用户进入应用系统。具体要求如下：

一、公司按照像关的访问控制策略，对用户注册、访问开

通、访问权限分配、权限的调整及撤销、安全登录、口令管理等

方面进行访问控制的管理活动。

二、用户是指用以登录、访问和控制计算机系统资源的帐

户。用户管理是指对用户进行分层、授权的管理。用户由用户名

加以区分，由用户口令加以保护。按照计算机系统所承载的应用

系统运行管理的需要，将用户分为超级用户、授权用户、普通用

户、匿名用户四类，分别控制其权限。

（一）超级用户。拥有对运行系统的主机、前置机、服务

器、数据库、运行进程、系统配置、网络配置等进行察看、修改、

添加、重启等权限并可对下级用户进行授权的用户。由系统管理

岗位或者网络管理岗位主管进行分配，由系统管理员或者网络管

理员

—7—

负责用户口令的日常管理。

（二）授权用户。拥有由超级用户根据应用系统开辟或者运

行维护的特殊需要，经过岗位主管的审批，将一些系统命令运行

权限所授予的普通用户，由授权用户负责用户口令的日常管理。

（三）普通用户。应用系统开辟或者运行维护人员为应用系

统普通监控、维护的需要，由超级用户分配的普通用户，这种用

户仅拥有缺省用户访问权限的用户，由用户负责口令的日常管理。

（四）匿名用户。匿名用户用于向公司网络内所实用户提供

相应服务，这种用户普通仅拥有浏览权限，无用户名及口令，

普通情况下只允许提供如：标准、期刊等无安全要求的系统服务

时使用匿名用户。

三、对用户以及权限的设定进行严格管理，用户权限的分

配遵循“最小特权’惊则。

四、口令是用户用以保护所访问计算机资源权利，不被他

人冒用的基本控制手段。口令策略的应用与其被保护对象有关，

口令强度与口令所保护的资源、数据的价值或者敏感度成正比。

（一）所有在公司局域网网上运行的设备、计算机系统及

存有公司涉密数据的计算机设备都必须设置口令保护。

（二）所有有权掌握口令的人员必须保证口令在产生、分

配、存储、销毁过程中的安全性和机密性。

（三）口令应至少要含有8个字符；应同时含有字母和非字

母字符口令。

8—

（四）口令设置不能和用户名或者登录名相同，不能使用生

日、人名、英文单词等易被猜测、易被破解的口令，如有可能，

采用机器随机生成口令。

（五）口令使用期限由各个系统安全要求而定。

（六）口令的使用期限和过期失效应尽可能由系统强制执

行。

（七）设备在启用时，默认口令必须更改。

第二十一条系统运行安全检查是安全管理的常用工作方法,

也是预防事故、发现隐患、指导整改的必要工作手段。信息系

统安全管理人员应做好系统运行安全检查与记录（格式见附录3.

5）o检查范围:

一、应用系统的访问控制检查。包括物理和逻辑访问控制，

是否按照规定的策略和程序进行访问权限的增加、变更和取销，

用户权限的分配是否遵循“最小特权”原则。

二、应用系统的日志检查。包括数据库日志、系统访问日

志、系统处理日志、错误日志及异常日志。

三、应用系统可用性检查：包括系统中断时间、系统正常

服务时间和系统恢复时间等。

四、应用系统能力检查。包括系统资源消耗情况、系统交

易速度和系统乔吐量等。

五、应用系统的安全操作检查。用户对应用系统的使用是

否按照信息安全的相关策略和程序进行访问和使用。

9

六、应用系统维护检查。维护性问题是否在规定的时间内

解决，是否正确地解决问题，解决问题的过程是否有效等。

七、应用系统的配置检查。检查应用系统的配置是否合理

和适当，各配置组件是否发挥其应有的功能。

八、恶意代码的检查。是否存在恶意代码，如病毒、木马、隐

蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。

九、检查浮现异常时应进行记录，非受控变化应及时报告，以

确定是否属于信息安全事件，属于信息安全事件的应及时处理。

第二十二条信息管理部门应定期对重要系统、配置及应用

进行备份。备份管理要求如下：

一、各系统应于投产前明确数据备份方法，对数据备份和

还原进行必要的测试，并根据实际运行需要及时调整，每次调整

应进行测试；

二、对系统配置、网络配置和应用软件应进行备份。在发

生变动时，应及时备份；

三、业务数据备份按照各生产系统备份计划的具体要求进

行，尽可能实现异地备份；

四、集中管理的系统、设备数据的备份工作由所在单位的

信息部门负责；

五、备份介质交接应严格履行交接手续，做好交接登记；

六、介质存放地必须符合防盗、防火、防水、防鼠、防虫、

10—

防磁以及相应的洁净度、温湿度等要求。

第八章网络与通信安全管理

第二十三条信息化管理部门采取必要的技术手段和管理

措施，加强对网络和通信安全的管理，保障公司内外信息传递安

全。网络安全管理包含网络访问控制、安全机制、网络服务、网

络隔离等，基本要求是：

一、定期对重要网络设备运行情况进行安全检查，发现隐

患及时上报或者整改，并做好记录（格式见附录3-5）。

二、定期备份重要网络和通信设备配置文件•，确保发生故

障时能及时恢复网络运行，保证网络的可用性。

第二十四条加强内部网络安全管理，具体要求如下：

一、网络机房分区应独立、封闭。

二、网络设备脱离生产环境前应清空所有网络配置。

三、骨干网络设备应有备份，接入网络设备原则上应按5%

比例备份。

四、网络结构和网络配置应最大限度地保证网络的茁壮性、

安全性。

五、企业网应根据需要划分不同的VLAN,并通过访问控制

列表控制各VLAN的访问权限。

六、内部网络计算机未经批准不得安装网络探测软件，严

格禁止安装任何黑客软件。

七、生产网络和测试网络必须实行分离，严禁在生产环境

—11—

中做各种类型的业务测试。

第二十五条加强外联网络安全管理，具体要求如下：

一、外联网络安全遵循最小权限原则，访问控制策略是“允许

必须，禁止其他”。

二、外联网络在穿过不可控区域时数据传输原则上应采用

加密技术。

三、制定外联网络方案时应注意保守本公司网络拓扑结构、

IP地址、端口、安全策略等秘密，并注意了解对方网络结构及其

变化情况。

第二十六条加强互联网安全管理，具体要求如下：

一、互联网与内部网络必须有相关的逻辑隔离，涉及国家

秘密的信息不得通过互联网传输。

二、不得访问有关黑客网站，不得下载、安装黑客软件。

三、公司员工访问互连网，必须遵守《中华人民共和国计

算机信息网络国际联网管理暂行规定》等规定，不得利用国际互

连网从事伤害国家、公司及他人利益的活动。

第九章信息系统供应商安全管理

第二十七条公司对信息系统供应商实施安全管理。信息系

统供应商包括设备类供应商、技术类供应商、咨询服务类供应商、

或者是以上几类的任意组合。

第二十八条信息系统实施过程中，信息化管理部门应与供

应商签订安全保密协议，明确信息安全耍求。

12—

第二十九条信息化管理部门应对供应商服务全过程进行

监视和控制。

第十章信息安全事件管理

第三十条信息安全事件指导致信息资产丢失和损坏，影响

信息系统正常工作甚至业务中断的事件。主要有：

一、信息系统软硬件故障；

二、网络通信系统故障；

三、机房供配电系统故障；

四、系统感染计算机病毒；

五、信息系统遭水灾、火灾、雷击；

六、信息网络遭遇入侵或者攻击；

七、信息系统内的敏感数据失窃、泄露；

八、信息设备损坏、滥用或者失窃；

九、信息被非法访问、使用及篡改；

十、违背信息安全策略规定的其他事项。

第三十一条信息安全事件管理包括组织机构、职责和规程

的建立，信息安全事态及信息安全弱点的报告和评估，信息安全

事件的应急处理等。

一、建立信息安全事件管理机构和应急预案

（-）公司信息安全事件管理机构包含：XX公司保密委，负

责领导信息安全事件管理工作；各级信息化管理部门，负责处置

信息安全事件；信息安全事件响应小组（负责人），负责信息

—13—

安全事件响应和应急处理。

（二）信息化管理部门针对各类信息安全事件应分别制定相

应的应急预案，开展必要的知识、技能、意识等培训。适时组

织相关人员开展应急演练。

二、开展信息安全事态及信息安全弱点报告和评估。信息

系统安全管理和维护人员应加强对网络信息系统日常检查维护，

了解外部信息安全变化，充分掌握信息安全事态，及时发现和消

除危及系统安全的各类安全隐患。当发现险情时，应即将报告信

息安全事件处置责任部门。完成信息安全事件处理后，应及时进

行评估和改进，避免再次发生，并做好记录（格式见附录3.3）。

三、信息安全事件应急处理，要求如下：

（一）当信息系统浮现险情时，维护人员和各级应急救援

人员应正确履行应急预案所赋的职责和执行信息安全事件处置

责任部门下达的指令。

（二）在发生网络与信息安全事件后，信息化管理部门应

尽最大可能迅速采集事件相关信息，鉴别事件性质，确定事件来

源，弄清事件范围和评估事件带来的影响和伤害。一旦确认为网

络与信息安全事件后，立即将事件上报信息安全领导小组并着手

处置。

（三）安全事件进行最初的应急处置以后应及时采取行动，

抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保

应急处置措施对涉及的相关业务影响最小。

14—

（四）安全事件被抑制之后，通过对有关事件或者行为的

分析结果，找出其根源，明确相应的补救措施并彻底清除，

（五）在确保安全事件解决后，要及时清理系统、恢复数

据、程序、服务恢复工作应避免浮现误操作导致数据丢失。

（六）信息安全事件发生时，应及时向公司保密委汇报，

并及时报告处置工作发展情况。事件处置中要作好完整的过程记

录，保存各相关系统日志直至处置工作结束。

（七）系统恢复运行后，信息管理部门应对事件造成的损失、

事件处理流程和应急预案进行评估。对响应流程、预案提出修改

意见、总结事件处理的经验和教训，撰写“信息安全事件处理报

告同时确定是否需要上报该事件及其处理过程，需要上报的

应及时准备相关材料，属于重大事件或者存在违法犯罪行为的第

一时间向公安机关网络监察部门报案。

第十一章附则

第三十二条本文件所引用的文件见附录1。

第三十三条本文件相关的名词解释见附录2。

第三十四条本文件所使用的记录见附录3。

第三十五条本文件由信息中心负责解释。

第三十六条本文件为第1次发布，自下发之日起执行。

15

附录1:引用文件

序号文件名称发布单位

岗位规范人力资源部

2