集团-信息安全管理办法.docx

.Q/QT某 集 团 有 限 公 司 发布2011-08-06实施2011-08-04发布信息安全管理办法Q/QTG 01-019-2011/A某 某 集 团 有 限 公 司 管 理 文 件B 精选范本 信息安全管理办法1 目的为了加强集团公司计算机信息系统的安全防护，保证集团公司计算机网络及生产业务应用服务系统的正常运作，使网络信息资源免遭窃取、篡改和破坏并依据中华人民共和国保守国家秘密法、计算机信息系统安全保护条例、计算机信息网络国际联网管理暂行规定和计算机信息系统国际联网保密管理规定等相关法律、法规的要求，特制定本办法。2 适应范围 本办法适用于使用集团公司计算机信息系统的所有职能部门、子公司（含连入企业网络或单机使用）。特车公司军品安全管理要求高于本规定的按军品安全规定执行。3 术语和定义3.1本管理办法中所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对企业信息进行采集、加工、存储、传输、检索、输出等处理的人机系统。3.2计算机信息系统安全是指计算机信息系统设施的完整存在，并且信息系统功能能够有效发挥，以及其中所载信息内容的准确、完整。4 职责4.1保密委员会是某某集团有限公司信息安全管理的最高管理机构，其机构设置详见保密管理规定。4.2企业管理部信息管理处（以下简称信息管理处）负责对集团公司计算机信息系统保密和安全管理的指导、协调、监督和检查工作。4.3 各涉密单位和个人按本规定做好计算机信息系统的安全防护。4.4所有使用部门、人员应有接收回执，并被视作已经阅读和遵守本办法所有条款。5 工作程序和要求5.1 信息系统安全和保密内容5.1.1计算机信息系统安全包括硬件设施、软件设施、供电系统、机房及网上信息等的安全。5.1.1.1硬件设施的安全包括PC、笔记本型计算机、各种类型工作站、服务器，各种网络联接设备（集线器、中继器、交换机、转换器），网络联线（光纤、电缆、双绞线）和路由设施的安全。a)计算机及相应配套设备实行专人专用、专人专管制度，使用人员承担所辖微机及配套设备的使用和保养责任。b) 禁止在信息设备旁放置盛水容器、食品，禁止在设备旁抽烟。c)硬件设备的使用实行登记制度，经主管部门批准才能投入使用和更换，并进行备案。d)设备的拆卸与维修、硬件升级均需要授权专业人员进行或者在专业人员指导下进行，禁止使用者随意拆卸与更换。用于联网的网络接口和网线，禁止挪做他用。e)信息存储设备的报废应遵循相关的程序，有敏感信息的存储设备在报废之前应该物理销毁或安全地覆盖。 5.1.1.2软件设施的安全包括操作系统软件、数据库管理系统、开发工具软件、应用系统、网络管理系统、WEB服务器软件、WEB浏览软件、安全管理软件、运行支持软件等。这些软件设施的执行代码、原代码、载体以及相应的配置参数、设计标准、数据格式都是安全保护对象。a)禁止在企业生产业务系统计算机上安装任何非正常生产经营、技术研发需要的系统和应用软件，确有特殊需求的应用软件，须经企业管理部批准后安装。b) 禁止从互联网络上下载或通过邮件系统接受、安装使用盗版软件和任何未经安全检验证明的外来应用软件，包括各类操作系统、数据库系统及应用软件。c)生产业务系统的操作系统、应用软件升级需经企业管理部专业人员许可后进行，企业管理部将不定期地对生产业务系统服务器、工作站、PC的操作系统、应用软件进行升级、打补丁和安全配置。d)禁止任何部门和个人将集团公司内部使用的各类系统及应用软件对外传播使用，因此行为对企业造成的知识产权经济损失全部由相关责任人个人承担。e)禁止任何部门和个人卸载公司安装使用的加密软件和防毒软件等安全软件。f)禁止任何部门和个人安装使用未经信息管理处允许的任何网络管理软件。5.1.1.3供电系统禁止任何单位和个人对计算机系统进行断电，迫不得已需要断电时，应及时通知企业管理部和计算机用户。5.1.1.4机房禁止任何单位和个人未经允许进入机房；未经授权禁止任何人操作机房中的任何设备。5.1.1.5网上信息安全网上信息安全按5.2.3.1的要求进行管理。5.1.2计算机信息系统保密指涉密信息及其载体在网络上采集、加工、存储、传输、检索、输出中被使用者直接泄露或被非法入侵者窃取。主要包括涉密信息和涉密载体等。5.1.2.1涉密信息包括以电子文件或数据库形式分布在网络上的各种服务器和主机上的企业科技、经营和管理等方面的秘密信息。5.1.2.2涉密载体包括硬磁盘、软磁盘、磁卡、光盘、磁带、文件、资料、报表，以及各种服务器、主机、数据库和接触上述秘密信息载体的计算机操作人员(包括集团公司内所有使用计算机工作的人员)。5.1.3信息系统安全和保密责任5.1.3.1企业管理部信息管理处（以下简称信息管理处）a）负责在企业网络及数据中心建设、维护、管理中提供安全保密方面的技术保障；b）负责企业网安全保密工作的整体规划、制度建设、培训教育、咨询服务和检查监督；c）负责与入网部门负责人签署某某集团有限公司计算机入网部门领导安全保密责任书（见附录A）；d）负责检查监督各部门签署某某集团有限公司计算机入网用户安全保密责任书（见附录B）的执行情况；e）对数据中心节点骨干网络的安全保密负全面责任；f）严格控制涉密信息的使用权限，严格密码和口令的保密管理；g）严格控制企业网的接入和接出；h）严格控制OA及其他相关生产业务系统电子证书的审核、签发5.1.3.2信息系统使用部门a）负责本部门计算机设备的安全及网络信息的安全保密工作；b）负责制定和组织实施本部门计算机信息系统的安全保密规章制度；c）负责本部门入网信息的保密级别、期限的控制工作；d）负责对使用计算机网络的操作人员进行安全保密的培训教育，组织签署某某集团有限公司计算机入网用户安全保密责任书，并定期进行安全保密的检查监督；e) 负责本部门使用计算机硬件的表面保洁、环境安全等，并负责使用软件按要求及时升级和其它方式的维护。5.1.3.3计算机操作人员a）按照5.1.3.2 e)的要求，负责保养好个人使用的计算机及其配套设备；b）对个人在信息采集、数据录入、文件制作与编辑、产品设计、工程设计、程序设计、信息浏览与查询、信息打印输出、拷贝、转储、公用电子邮件的发送与接收等操作过程中所产生、利用、废弃的信息安全保密负责；c）保证个人计算机系统账户密码和口令不丢失、不泄密；d）负责OA及其它生产业务系统电子证书口令和私钥的保密，不得随便导出、删除自己的电子证书。5.2信息系统安全和保密措施5.2.1入网管理：5.2.1.1为确保计算机信息系统的安全、保密，入网部门和个人必须严格按照信息管理处的要求办理申请入网登记手续，认真填写入网申请登记表，并列出入网设备清单，包括服务器、工作站、PC、网络联接设备（包括上网设备的网卡的MAC编码），申请登记表中必须注明每台入网设备使用者、维护者和具体安装位置。5.2.1.2申请入网时，必须说明入网的目的，所使用的网络资源，通过集团公司企业网和国际互联网所要传递信息的密级及保密措施。5.2.1.3以子网方式接入集团公司企业网的部门，必须由企业管理部审查其网络方案。包括网络操作系统、网络联接设备、服务器的审定。5.2.1.4申请入网登记表必须经过部门负责人审查签字并加盖部门公章。5.2.1.5申请OA及其它生产业务系统电子证书要经过部门负责人的认可，申请时要按各项的要求如实填写。5.2.1.6使用手机OA的人员应将手机开机设置为密码开机状态，并且使用手机上OA后应及时退出系统。不得将登录密码设置为记住密码状态。5.2.1.7利用外网上OA系统的用户原则上不得使用非集团公司的计算机，不得已时，应确认计算机安全无毒，使用完成后应用及时清除上网记录。5.2.2网络运行管理5.2.2.1网络地址由企业管理部统一分配，用户只允许使用分配的网络地址；网上资源的所有名称的命名，如用户名、服务器名、用户组名、主机名、电子邮箱名等，统一由企业管理部制定。5.2.2.2入网部门必须及时向企业管理部报告上网设备和人员的变动情况。5.2.2.3企业管理部对网络用户在网上的活动进行定期或不定期的检查；对有不正当活动的用户视情节给予通报批评或不同形式的处罚。5.2.2.4严格控制从未认定安全的网络进入集团企业网的用户。企业管理部网络管理员必须严格控制此种方式的入网用户名称及密码口令，并限制知悉人员的范围。5.2.2.5企业网的防火墙必须设专人管理，必须根据主管领导签发的书面文件，执行对用户的控制管理。5.2.2.6企业网保证24小时不间断运行，如遇特殊情况紧急停机时，企业管理部通过网络发布紧急停机通知用户。5.2.3涉密信息管理5.2.3.1国家秘密信息和企业机密信息(具体划分详见保密管理规定)不得进入企业网或国际互联网络；如工作需要必须上网时，要经部门领导批准后上报集团保密委员会主任审批，（集团内部和协作单位的涉密文档应经过加密后设定相应权限的密文，对外上报的文档为明文）。5.2.3.2集团各业务主管部门在业务工作中产生的科技秘密、经营秘密、管理秘密事项及资料，必须严格按照有关保密范围的规定及时划密，对企业秘密级信息上网要标明密级，密级标志不能与正文分离。5.2.3.3秘密信息和数据必须按照国家、集团公司及集团相关保密规定进行采集、存储、处理、传递、使用和销毁。5.2.3.4严格秘密信息载体（磁卡、磁盘、磁带、光盘、胶片、纸介质等）的管理，要视同纸质文件资料对其标注密级标志、责成专人管理并编号登记，按有关保密规定划密、调密、解密和借阅、复制、转送、携带、移交、保存、销毁。5.2.3.5计算机信息系统打印输出的企业涉密文件，应当按相应密级的纸质文件进行管理。5.2.3.6对在集团公司企业网范围内共享的信息，其安全和保密由企业管理部设置防火墙控制。对在局部范围内共享的信息，应用划分虚拟网段的办法，拒绝本部门网段以外用户访问，或对共享的数据库和文件加密码和口令保护，对确需上网的企业秘密级较强的信息要做深度加密处理。5.2.4计算机操作人员守则5.2.4.1非多人共享使用主机，只能在使用时开机。工作结束后或操作人离开主机时，必须将系统关闭或锁定。5.2.4.2在制作、编辑、查询浏览涉密文件资料时，不得让未授权者在场。在未授权者在场的情况下，要退出涉密系统或将操作系统锁定。5.2.4.3不得在网上从事危害国家和企业安全、泄露国家和企业秘密的活动。5.2.4.4不得在网上宣扬封建迷信、淫秽、色情、赌博、暴力、恐怖，教唆犯罪。5.2.4.5不得在网上公然侮辱他人或者捏造事实诽谤他人。5.2.4.6不得使用别人的网络地址、侵入别人的系统、盗用别人的电子证书或帐号、侵犯国家、集体和个人的合法权益。5.2.4.7必须签订并严格遵守某某集团有限公司计算机入网用户安全保密责任书。5.2.5数据中心机房、设备和设施的管理5.2.5.1建立健全机房管理制度和计算机维修与保养制度，并严格遵守。5.2.5.2对所有安装网络设备、服务器、工作站和各类计算机集中的技术中心等场所，必须建立人员进出审批和登记制度。5.2.5.3机房内不准吸烟、不准动用任何明火、要备齐防火设施设备。5.2.5.4计算机网络线路和供电线路要配备合格的接地保护，防止静电和雷击对计算机系统的破坏。5.2.5.5关键业务系统的服务器和网络通信线路要有备份和冗余。5.2.5.6对设备的安全、维护和维修必须落实到责任人。5.2.5.7保持机房整洁。5.2.6软件设施安全保密管理5.2.6.1软件要建立备份制度、备份操作按规定进行并由专人负责并管理，软件的原载体和备份载体要建立使用登记制度，未经主管领导批准不得外借。5.2.6.2操作系统和数据库管理系统的超级用户必须指定专人负责，其系统安装配置参数和进入系统的口令限于具体负责人和主管领导知悉，并备有书面记录。参数和口令修改的同时要修改书面记录。5.2.6.3对投入运行的应用系统必须建立运行管理制度。包括严密的操作规程、明确的责任分工。认真填写运行日志，记录系统启动和关闭时间，运行中出现的问题和处理办法。5.2.7密码与口令管理5.2.7.1企业网内所有设备的进入必须设置规范的密码和口令保护。对未设置密码和口令或设置密码和口令不合格的用户要取消其入网权限。5.2.7.2公用密码与口令，主要是用于共享数据库、共享文件。但不同的用户，可根据不同的密码或口令，对共享信息进行建立、增加删除、修改、查询、浏览等不同操作。5.2.7.3公用密码和口令的设置，由应用系统的使用部门的主管人员设定，并设密码、口令记录本，要经常更新。5.2.7.4应用系统的设计者或提供者必须提供完整的密码、口令保护程序。否则，其应用系统不得在网上运行。5.2.7.5公用密码、口令的使用要建立申请登记制度。5.2.7.6专用密码与口令，主要用于非共享的软件设施的加密目的，如个人机器的进入、个人的电子信箱、各种服务器的管理、各种操作系统的超级用户、进入国际网的用户口令等。5.2.7.7专用密码与口令设置，若是涉及系统控制管理的，至少有主管人员和具体工作人员参加，并备有书面记录，而个人的密码与口令则由自己决定设置与更新。5.2.7.8电子证书要专人专用，如果本人调离本工作岗位时要及时报告上级主管部门并撤消旧的电子证书，新的电子证书由继任者重新申请。6 检查与考核凡违反本管理办法所造成安全损失、泄密事故的部门和个人，按公司有关安全和保密的规定进行处罚，触犯国家法律的，移交司法部门追究法律责任。7 相关文件保密管理规定8 相关记录及保存期某某集团有限公司计算机入网部门领导安全保密责任书 保存期：10年某某集团有限公司计算机入网用户安全保密责任书 保存期：10年本文件由某某集团企管部起草。主要起草人： 。起草单位审查人：。归口审核人：。管理审核人：。批准人：。本标准由某某集团企管部归口并负责解释。本文件2011年8月4日发布，2011年8月6日实施。 附录A（规范性附录）某某集团有限公司计算机入网部门领导安全保密责任书为确保某某集团有限公司计算机信息系统网络的安全保密，依据某某集团有限公司信息安全管理办法的规定，企业管理部特制定本责任书。本责任书由入网部门主管计算机安全保密工作的领导与集团企业管理部领导签署，由企业管理部负责保管，集团安全保密委员会将检查、监督签署情况。望入网部门有关领导认真阅读某某集团有限公司信息安全管理办法和本责任书，明确安全保密责任，强化安全意识教育，严格管理，做好本部