企业信息安全管理制度汇编(试行)

1、XX公司信息平安管理制度试行第一章总那么第一条为保证信息系统平安可靠稳定运行， 降低或阻止人 为或自然因素从物理层面对公司信息系统的性、 完整性、可用性 带来的平安威胁，结合公司实际，特制定本制度。第二条 本制度适用于XX公司以及所属单位的信息系统平 安管理。第二章职责第三条 相关部门、单位职责：一、信息中心（一）负责组织和协调 XX公司的信息系统平安管理工作；（二）负责建立XX公司信息系统网络成员单位间的网络访 问规那么；对公司本部信息系统网络终端的网络准入进展管理；（三）负责对XX公司统一的两个互联网出口进展管理，配置防火墙等信息平安设备；会同处对公司本部互联网上网行为进展管理；（四）对X

2、X公司统设的信息系统制定专项运维管理方法， 明确信息系统平安管理要求，界定两级单位信息平安管理责任；（五）负责XX公司网络边界、网络拓扑等全局性的信息平安管理人力资源部（一）负责人力资源平安相关管理工作。（二）负责将信息平安策略培训纳入年度职工培训方案， 并组织实施。三、各部门（一）负责本部门信息平安管理工作。（二）配合和协助业务主管部门完善相关制度建立，落实 日常管理工作。四、所属各单位（一）负责组织和协调本单位信息平安管理工作。（二）对本单位建立的信息系统制定专项运维管理方法， 明确信息系统平安管理要求，报 XX公司信息中心备案。第三章信息平安策略的根本要求第四条信息系统平安管理应遵循以下

3、八个原那么：一、主要领导人负责原那么；二、规定级原那么；三、依法行政原那么；四、以人为本原那么；五、注重效费比原那么；六、全面防、突出重点原那么；七、系统、动态原那么；八、特殊平安管理原那么。第五条公司委应根据业务需求和相关法律法规， 组织制定 公司信息平安策略，经主管领导审批发布后， 对员工及相关方进 展传达和培训。第六条制定信息平安策略时应充分考虑信息系统平安策 略的“七定要求，即定方案、定岗、定位、定员、定目标、定 制度、定工作流程。第七条信息平安策略主要包括以下容：一、信息网络与信息系统必须在建立过程中进展平安风险 评估，并根据评估结果制定平安策略；二、对已投入运行且已建立平安体系的系

4、统定期进展漏洞扫描，以便及时发现系统的平安漏洞；三、对平安体系的各种日志 （如入侵检测日志等）审计结果进展研究，以便及时发现系统的平安漏洞；四、定期分析信息系统的平安风险及漏洞、分析当前黑客 非常入侵的特点，及时调整平安策略；五、制定人力资源、物理环境、访问控制、操作、备份、 系统获取及维护、业务连续性等方面的平安策略，并实施。第八条 公司委每年应组织对信息平安策略的适应性、 充分 性和有效性进展评审，必要时组织修订；当公司的组织架构、生产经营模式等发生重大变化时也应进展评审和修订。第九条 根据“谁主管、谁负责的原那么，公司建立信息平安分级责任制，各层级落实信息系统平安责任。第四章人力资源平安

5、管理第十条信息系统相关岗位设置应满足以下要求：一、平安管理岗与其它任何岗位不得兼岗、混岗、代岗。二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混冈。三、平安管理岗、系统管理岗、网络管理岗、应用管理岗、 设备管理岗、技术档案管理岗原那么上有人员备份。四、以上岗位人员调离必须办理交接手续，所掌握的口令 应立刻更换或注销该用户。第十一条 人力资源部在相关岗位任职要求中应包含信息平 安管理的相关条件和要求；将信息平安相关培训纳入年度职工培 训方案，并组织实施。第五章信息系统物理和环境平安管理第十二条信息系统物理平安指为了保证信息系统平安可靠运行，不致受到人为或自然因素的危害，而对计算机设备、设施包括

6、机房建筑、供电、空调、环境、系统等采取适当的平安 措施。第十三条信息管理部门应采取切实可行的物理防护手段或 技术措施对物理周边、物理入口、办公及生产区域等进展平安控 制，防止无关人员未授权物理访问、损坏和干扰。第十四条信息管理部门应加强对信息系统机房及配线间的平安管理，要求如下：一、工作人员需经授权，方能且只能进入中心机房的授权工作区；确因工作需要，需进入非授权工作区时，需由该授权工作区人员陪同；做好机房出入登记格式见附录3-3。二、工作人员必须严格按照规定操作，未经批准不得超越 自己职权围以外的操作； 操作完毕时，必须退出已进入的操作画 面；最后离开工作区域的人员应将门关闭。三、非授权人员严

7、禁操作中心机房 UPS专用空调、监控、 消防及UPS供配电设备设施。四、未经授权，任何人员不得擅自拷贝数据和文件等资料。五、严禁将易燃、易爆、强磁性物品带入中心机房；严禁 在机房吸烟。六、发生意外情况应立即采取应急措施，并及时向有关部门和领导报告。第六章信息系统资产管理第十五条信息管理部门应对信息和信息系统设备设施等相 关资产建立台帐清单格式见附录3-4，并定期对其进展盘点清查。第十六条 设备使用人应对信息和信息系统设备设施、各类 存储介质等相关资产进展标识。标识应贴在信息设备的明显位 置，做到信息完整、字迹清晰，并做好防脱落防护工作。第十七条 信息管理部门应对主机进展控制管理，要求如下：一、

8、关键业务生产系统中的主机原那么上应采用双机热备份方式或n+m的多主机方式，确保软件运行环境可靠；二、一般业务生产系统中的主机、生产用PC前置机，关键设备可以采用软硬件配置完全一样的设备来实现冷备份；三、各类设备在采购时技术规格中应明确效劳响应时间、备品备件、现场效劳等方面的要求，核心效劳器、存储相应时间一般不高于4小时。第十八条各相关部门应加强信息设备安装、调试、维护、 维修、报废等环节的管理工作，防止因信息设备丧失、损坏、失 窃以及资产报废处置不当引起的信息泄露。第七章信息系统访问控制及操作平安管理第十九条公司将系统运行平安按粒度从粗到细分为四个层 次：系统级平安、资源访问平安、功能性平安、

9、数据域平安。一、系统级平安策略包括：敏感系统的隔离、访问地址段 的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段登录次数的限制以及远程访问控制等。系统级平安是应用系统的第一道防护大门。二、资源访问平安策略包括：对程序资源的访问进展平安控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮； 在效劳端那么对URL程序资 源和业务效劳类方法的调用进展访问控制。三、功能性平安策略包括：功能性平安会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小等。四、数据域平安策略包括：一是行级数据域平安，即用户 可以访问哪些业务记

10、录，一般以用户所在单位为条件进展过滤； 二是字段级数据域平安，即用户可以访问业务记录的哪些字段。第二十条 用户管理应建立用户身份识别与验证机制，防止 非法用户进入应用系统。具体要求如下：一、公司按照相关的访问控制策略，对用户注册、访问开 通、访问权限分配、权限的调整及撤销、平安登录、口令管理等 方面进展访问控制的管理活动。二、用户是指用以登录、访问和控制计算机系统资源的。用户管理是指对用户进展分层、授权的管理。用户由用户名加以 区分，由用户口令加以保护。 按照计算机系统所承载的应用系统 运行管理的需要，将用户分为超级用户、授权用户、普通用户、 匿名用户四类，分别控制其权限。（一）超级用户。拥有

11、对运行系统的主机、前置机、效劳器、数据库、运行进程、系统配置、网络配置等进展观察、 修改、 添加、重启等权限并可对下级用户进展授权的用户。由系统管理岗位或网络管理岗位主管进展分配，由系统管理员或网络管理员负责用户口令的日常管理。（二）授权用户。拥有由超级用户根据应用系统开发或运 行维护的特殊需要，经过岗位主管的审批， 将一些系统命令运行 权限所授予的普通用户，由授权用户负责用户口令的日常管理。（三）普通用户。应用系统开发或运行维护人员为应用系统一般监控、维护的需要，由超级用户分配的一般用户，这类用户仅拥有缺省用户访问权限的用户，由用户负责口令的日常管理。（四）匿名用户。匿名用户用于向公司网络所

12、有用户提供相应效劳，这类用户一般仅拥有浏览权限，无用户名及口令，般情况下只允许提供如： 标准、期刊等无平安要求的系统效劳时 使用匿名用户。三、对用户以及权限的设定进展严格管理，用户权限的分 配遵循“最小特权原那么。四、口令是用户用以保护所访问计算机资源权利，不被他 人冒用的根本控制手段。口令策略的应用与其被保护对象有关， 口令强度与口令所保护的资源、数据的价值或敏感度成正比。（一）所有在公司局域网网上运行的设备、计算机系统及 存有公司涉密数据的计算机设备都必须设置口令保护。（二）所有有权掌握口令的人员必须保证口令在产生、分 配、存储、销毁过程中的平安性和性。（三）口令应至少要含有 8个字符；应

13、同时含有字母和非 字母字符口令。（四）口令设置不能和用户名或登录名一样，不能使用生 日、人名、英文单词等易被猜想、易被破解的口令，如有可能， 采用机器随机生成口令。（五）口令使用期限由各个系统平安要求而定。（六）口令的使用期限和过期失效应尽可能由系统强制执 行。（七）设备在启用时，默认口令必须更改。第二十一条 系统运行平安检查是平安管理的常用工作方 法，也是预防事故、发现隐患、指导整改的必要工作手段。信息 系统平安管理人员应做好系统运行平安检查与记录格式见附录3-5。检查围：一、应用系统的访问控制检查。 包括物理和逻辑访问控制， 是否按照规定的策略和程序进展访问权限的增加、变更和取消，用户权限

14、的分配是否遵循“最小特权原那么。二、应用系统的日志检查。包括数据库日志、系统访问日 志、系统处理日志、错误日志及异常日志。三、应用系统可用性检查：包括系统中断时间、系统正常 效劳时间和系统恢复时间等。四、应用系统能力检查。包括系统资源消耗情况、系统交 易速度和系统吞吐量等。五、应用系统的平安操作检查。用户对应用系统的使用是 否按照信息平安的相关策略和程序进展访问和使用。六、应用系统维护检查。维护性问题是否在规定的时间解决，是否正确地解决问题，解决问题的过程是否有效等。七、应用系统的配置检查。检查应用系统的配置是否合理 和适当，各配置组件是否发挥其应有的功能。八、恶意代码的检查。是否存在恶意代码

15、，如病毒、木马、隐蔽通道导致应用系统数据的丧失、损坏、非法修改、信息泄露等。九、检查出现异常时应进展记录， 非受控变化应及时报告， 以确定是否属于信息平安事件，属于信息平安事件的应及时处理。第二十二条信息管理部门应定期对重要系统、配置及应用进展备份。备份管理要求如下：一、各系统应于投产前明确数据备份方法，对数据备份和复原进展必要的测试， 并根据实际运行需要及时调整，每次调整应进展测试；二、对系统配置、网络配置和应用软件应进展备份。在发 生变动时，应及时备份；三、业务数据备份按照各生产系统备份方案的具体要求进 展，尽可能实现异地备份；四、集中管理的系统、设备数据的备份工作由所在单位的 信息部门负

16、责；五、备份介质交接应严格履行交接手续，做好交接登记；六、介质存放地必须符合防盗、防火、防水、防鼠、防虫、防磁以及相应的干净度、温湿度等要求。第八章网络与通信平安管理第二十三条信息化管理部门采取必要的技术手段和管理 措施，加强对网络和通信平安的管理， 保障公司外信息传递平安。 网络平安管理包含网络访问控制、平安机制、网络效劳、网络隔离等，根本要：一、定期对重要网络设备运行情况进展平安检查，发现隐患及时上报或整改，并做好记录格式见附录3-5。二、定期备份重要网络和通信设备配置文件，确保发生故 障时能及时恢复网络运行，保证网络的可用性。第二十四条 加强部网络平安管理，具体要求如下：一、网络机房分区

17、应独立、封闭。二、网络设备脱离生产环境前应清空所有网络配置。三、骨干网络设备应有备份，接入网络设备原那么上应按5%比例备份。四、网络构造和网络配置应最大限度地保证网络的强健 性、平安性。五、企业网应根据需要划分不同的VLAN,并通过访问控制列表控制各VLAN的访问权限。六、部网络计算机未经批准不得安装网络探测软件，严格 制止安装任何黑客软件。七、生产网络和测试网络必须实行别离，严禁在生产环境中做各种类型的业务测试。第二十五条 加强外联网络平安管理，具体要求如下：一、外联网络平安遵循最小权限原那么，访问控制策略是 “允许必须，制止其他。二、外联网络在穿过不可控区域时数据传输原那么上应采 用加密技

18、术。三、制定外联网络方案时应注意保守本公司网络拓扑构 造、IP地址、端口、平安策略等秘密，并注意了解对方网络构造 及其变化情况。第二十六条 加强互联网平安管理，具体要求如下：一、互联网与部网络必须有相关的逻辑隔离，涉及国家秘 密的信息不得通过互联网传输。二、不得访问有关黑客，不得下载、安装黑客软件。三、公司员工访问互连网， 必须遵守？中华人民国计算机信 息网络国际联网管理暂行规定 ？等规定，不得利用国际互连网从 事损害国家、公司及他人利益的活动。第九章信息系统供给商平安管理第二十七条公司对信息系统供给商实施平安管理。信息系统供给商包括设备类供给商、 技术类供给商、咨询效劳类供给商、 或者是以上

19、几类的任意组合。第二十八条 信息系统实施过程中，信息化管理部门应与供 给商签订平安协议，明确信息平安要求。第二十九条信息化管理部门应对供给商效劳全过程进展监视和控制第十章信息平安事件管理第三十条信息平安事件指导致信息资产丧失和损坏，影响 信息系统正常工作甚至业务中断的事件。主要有：一、信息系统软硬件故障；二、网络通信系统故障；三、机房供配电系统故障 ；四、系统感染计算机病毒 ；五、信息系统遭水灾、火灾、雷击；六、信息网络遭遇入侵或攻击；七、信息系统的敏感数据失窃、泄露；八、信息设备损坏、滥用或失窃；九、信息被非法访问、使用及篡改；十、违背信息平安策略规定的其他事项。第三十一条信息平安事件管理包

20、括组织机构、职责和规程 的建立，信息平安事态及信息平安弱点的报告和评估， 信息平安 事件的应急处理等。一、建立信息平安事件管理机构和应急预案（一）公司信息平安事件管理机构包含： XX公司委，负责 领导信息平安事件管理工作；各级信息化管理部门 ，负责处置信 息平安事件；信息平安事件响应小组负责人，负责信息平安事件响应和应急处理。（二）信息化管理部门针对各类信息平安事件应分别制定 相应的应急预案，开展必要的知识、技能、意识等培训。适时组 织相关人员开展应急演练。二、开展信息平安事态及信息平安弱点报告和评估。信息系统平安管理和维护人员应加强对网络信息系统日常检查维护，了解外部信息平安变化， 充分掌握

21、信息平安事态， 及时发现和消 除危及系统平安的各类平安隐患。 当发现险情时，应立即报告信 息平安事件处置责任部门。 完成信息平安事件处理后， 应及时进 展评估和改良，防止再次发生，并做好记录格式见附录 3-3，三、信息平安事件应急处理，要求如下：（一）当信息系统出现险情时，维护人员和各级应急救援 人员应正确履行应急预案所赋的职责和执行信息平安事件处置 责任部门下达的指令。（二）在发生网络与信息平安事件后，信息化管理部门应尽最大可能迅速收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件围和评估事件带来的影响和损害。一旦确认为网络与信息平安事件后，立即将事件上报信息平安领导小组并着手处 置。（三）平安事件进展最初的应急处置以后应及时采取行 动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要 确保应急处置措施对涉及的相关业务影响最小。（四）平安事件被抑制之后，通过对有关事件或行为的分 析结果，找出其根源，明确相应的补救措施并彻底去除。（五）在确保平安事件解决后，要及时清理系统、恢复数 据、程序、效劳恢复工作应防止出现误操作导致数据丧失。（六）信息平安事件发生时，应及时向公司委汇报，并及 时报告处置工作进展情况。事件处置中要作好