企业信息安全管理制度试行

1、XX 公司信息安全管理制度（试行）第一章 总则第一条 为保证信息系统安全可靠稳定运行，降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、 可用性带来的安全威胁，结合公司实际，特制定本制度。第二条本制度适用于XX公司以及所属单位的信息系统安 全管理。第二章 职责第三条 相关部门、单位职责：一、信息中心（一）负责组织和协调 XX公司的信息系统安全管理工作；（二）负责建立XX公司信息系统网络成员单位间的网络访 问规则；对公司本部信息系统网络终端的网络准入进行管理；（三）负责对XX公司统一的两个互联网出口进行管理，配 臵防火墙等信息安全设备； 会同保密处对公司本部互联网上网行 为进行管

2、理；（四）对XX公司统一建设的信息系统制定专项运维管理办 法，明确信息系统安全管理要求， 界定两级单位信息安全管理责任；（五）负责XX公司网络边界、网络拓扑等全局性的信息安 全管理。二、人力资源部（一）负责人力资源安全相关管理工作。（二）负责将信息安全策略培训纳入年度职工培训计划， 并组织实施。三、各部门（一）负责本部门信息安全管理工作。（二）配合和协助业务主管部门完善相关制度建设，落实 日常管理工作。四、所属各单位（一）负责组织和协调本单位信息安全管理工作。（二）对本单位建设的信息系统制定专项运维管理办法， 明确信息系统安全管理要求，报 XX公司信息中心备案。第三章 信息安全策略的基本要求第

3、四条 信息系统安全管理应遵循以下八个原则：一、主要领导人负责原则；二、规范定级原则；三、依法行政原则；四、以人为本原则；五、注重效费比原则；六、全面防范、突出重点原则；七、系统、动态原则；八、特殊安全管理原则。第五条 公司保密委应根据业务需求和相关法律法规， 组织 制定公司信息安全策略， 经主管领导审批发布后， 对员工及相关 方进行传达和培训。第六条 制定信息安全策略时应充分考虑信息系统安全策 略的“七定”要求，即定方案、定岗、定位、定员、定目标、定 制度、定工作流程。第七条 信息安全策略主要包括以下内容：一、信息网络与信息系统必须在建设过程中进行安全风险 评估，并根据评估结果制定安全策略；二

4、、对已投入运行且已建立安全体系的系统定期进行漏洞 扫描，以便及时发现系统的安全漏洞 ;三、对安全体系的各种日志 （ 如入侵检测日志等 ） 审计结果 进行研究，以便及时发现系统的安全漏洞 ;四、定期分析信息系统的安全风险及漏洞、分析当前黑客 非常入侵的特点，及时调整安全策略；五、制定人力资源、物理环境、访问控制、操作、备份、 系统获取及维护、业务连续性等方面的安全策略，并实施。第八条 公司保密委每年应组织对信息安全策略的适应性、 充分性和有效性进行评审， 必要时组织修订； 当公司的组织架构、 生产经营模式等发生重大变化时也应进行评审和修订。第九条 根据“谁主管、谁负责”的原则，公司建立信息安 全

5、分级责任制，各层级落实信息系统安全责任。第四章 人力资源安全管理第十条 信息系统相关岗位设臵应满足以下要求：一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混J-JU岗。三、安全管理岗、 系统管理岗、 网络管理岗、 应用管理岗、 设备管理岗、技术档案管理岗原则上有人员备份。四、以上岗位人员调离必须办理交接手续，所掌握的口令 应立刻更换或注销该用户。第十一条 人力资源部在相关岗位任职要求中应包含信息安 全管理的相关条件和要求； 将信息安全相关培训纳入年度职工培 训计划，并组织实施。第五章 信息系统物理和环境安全管理第十二条 信息系统物理安全指为了

6、保证信息系统安全可靠 运行，不致受到人为或自然因素的危害，而对计算机设备、 设施 （包括机房建筑、供电、空调）、环境、系统等采取适当的安全 措施。第十三条 信息管理部门应采取切实可行的物理防护手段或 技术措施对物理周边、 物理入口、 办公及生产区域等进行安全控 制，防止无关人员未授权物理访问、损坏和干扰。第十四条 信息管理部门应加强对信息系统机房及配线间的 安全管理，要求如下：一、工作人员需经授权，方能且只能进入中心机房的授权 工作区；确因工作需要，需进入非授权工作区时，需由该授权工 作区人员陪同；做好机房出入登记（格式见附录 3-3 ）。二、工作人员必须严格按照规定操作，未经批准不得超越 自

7、己职权范围以外的操作； 操作结束时， 必须退出已进入的操作 画面；最后离开工作区域的人员应将门关闭。三、非授权人员严禁操作中心机房 UPS专用空调、监控、 消防及UPS供配电设备设施。四、未经授权， 任何人员不得擅自拷贝数据和文件等资料。五、严禁将易燃、易爆、强磁性物品带入中心机房；严禁 在机房内吸烟。六、发生意外情况应立即采取应急措施，并及时向有关部 门和领导报告。第六章 信息系统资产管理第十五条 信息管理部门应对信息和信息系统设备设施等相 关资产建立台帐清单（格式见附录3-4 ），并定期对其进行盘点清查。第十六条 设备使用人应对信息和信息系统设备设施、各类5 存储介质等相关资产进行标识。

8、标识应张贴在信息设备的明显位 臵，做到信息完整、字迹清晰，并做好防脱落防护工作。第十七条 信息管理部门应对主机进行控制管理， 要求如下：一、关键业务生产系统中的主机原则上应采用双机热备份 方式或n+rnt勺多主机方式，确保软件运行环境可靠；二、一般业务生产系统中的主机、生产用PC前臵机，关键设备可以采用软硬件配臵完全相同勺设备来实现冷备份；三、各类设备在采购时技术规格中应明确服务响应时间、 备品备件、现场服务等方面的要求， 核心服务器、存储相应时间 一般不高于 4小时。第十八条 各相关部门应加强信息设备安装、调试、维护、 维修、报废等环节的管理工作，防止因信息设备丢失、损坏、失 窃以及资产报废

9、处臵不当引起的信息泄露。第七章 信息系统访问控制及操作安全管理第十九条 公司将系统运行安全按粒度从粗到细分为四个层 次：系统级安全、资源访问安全、功能性安全、数据域安全。一、系统级安全策略包括：敏感系统的隔离、访问地址段 的限制、登录时间段的限制、会话时间的限制、连接数的限制、 特定时间段内登录次数的限制以及远程访问控制等。 系统级安全 是应用系统的第一道防护大门。二、资源访问安全策略包括：对程序资源的访问进行安全 控制，在客户端上，为用户提供和其权限相关的用户界面， 仅出6 现和其权限相符的菜单和操作按钮； 在服务端则对 URL 程序资源 和业务服务类方法的调用进行访问控制。三、功能性安全策

10、略包括：功能性安全会对程序流程产生 影响，如用户在操作业务记录时，是否需要审核，上传附件不能 超过指定大小等。四、数据域安全策略包括：一是行级数据域安全，即用户 可以访问哪些业务记录，一般以用户所在单位为条件进行过滤； 二是字段级数据域安全，即用户可以访问业务记录的哪些字段。第二十条 用户管理应建立用户身份识别与验证机制，防止 非法用户进入应用系统。具体要求如下：一、公司按照相关的访问控制策略，对用户注册、访问开 通、访问权限分配、权限的调整及撤销、安全登录、口令管理等 方面进行访问控制的管理活动。二、用户是指用以登录、访问和控制计算机系统资源的帐 户。用户管理是指对用户进行分层、 授权的管理

11、。用户由用户名 加以区分， 由用户口令加以保护。 按照计算机系统所承载的应用 系统运行管理的需要，将用户分为超级用户、 授权用户、普通用 户、匿名用户四类，分别控制其权限。（一）超级用户。拥有对运行系统的主机、前臵机、服务 器、数据库、 运行进程、 系统配臵、 网络配臵等进行察看、 修改、 添加、 重启等权限并可对下级用户进行授权的用户。 由系统管理 岗位或网络管理岗位主管进行分配， 由系统管理员或网络管理员负责用户口令的日常管理。（二）授权用户。拥有由超级用户根据应用系统开发或运 行维护的特殊需要， 经过岗位主管的审批， 将一些系统命令运行 权限所授予的普通用户，由授权用户负责用户口令的日常

12、管理。（三）普通用户。应用系统开发或运行维护人员为应用系 统一般监控、维护的需要， 由超级用户分配的一般用户，这类用 户仅拥有缺省用户访问权限的用户， 由用户负责口令的日常管理。（四）匿名用户。匿名用户用于向公司网络内所有用户提 供相应服务，这类用户一般仅拥有浏览权限，无用户名及口令， 一般情况下只允许提供如： 标准、 期刊等无安全要求的系统服务 时使用匿名用户。三、对用户以及权限的设定进行严格管理，用户权限的分 配遵循 “最小特权”原则。四、口令是用户用以保护所访问计算机资源权利，不被他 人冒用的基本控制手段。口令策略的应用与其被保护对象有关， 口令强度与口令所保护的资源、数据的价值或敏感度

13、成正比。（一）所有在公司局域网网上运行的设备、计算机系统及 存有公司涉密数据的计算机设备都必须设臵口令保护。（二）所有有权掌握口令的人员必须保证口令在产生、分 配、存储、销毁过程中的安全性和机密性。（三）口令应至少要含有 8 个字符；应同时含有字母和非 字母字符口令。（四）口令设臵不能和用户名或登录名相同，不能使用生 日、人名、英文单词等易被猜测、易被破解的口令，如有可能， 采用机器随机生成口令。（五）口令使用期限由各个系统安全要求而定。（六）口令的使用期限和过期失效应尽可能由系统强制执 行。（七）设备在启用时，默认口令必须更改。第二十一条 系统运行安全检查是安全管理的常用工作方 法，也是预防

14、事故、发现隐患、指导整改的必要工作手段。信息 系统安全管理人员应做好系统运行安全检查与记录 （格式见附录 3-5 ）。检查范围：一、应用系统的访问控制检查。 包括物理和逻辑访问控制， 是否按照规定的策略和程序进行访问权限的增加、变更和取消， 用户权限的分配是否遵循“最小特权”原则。二、应用系统的日志检查。包括数据库日志、系统访问日 志、系统处理日志、错误日志及异常日志。三、应用系统可用性检查：包括系统中断时间、系统正常 服务时间和系统恢复时间等。四、应用系统能力检查。包括系统资源消耗情况、系统交 易速度和系统吞吐量等。五、应用系统的安全操作检查。用户对应用系统的使用是 否按照信息安全的相关策略

15、和程序进行访问和使用。六、应用系统维护检查。维护性问题是否在规定的时间内解决，是否正确地解决问题，解决问题的过程是否有效等。七、应用系统的配臵检查。检查应用系统的配臵是否合理 和适当，各配臵组件是否发挥其应有的功能。八、恶意代码的检查。 是否存在恶意代码， 如病毒、 木马、 隐蔽通道导致应用系统数据的丢失、 损坏、非法修改、 信息泄露 等。九、检查出现异常时应进行记录， 非受控变化应及时报告， 以确定是否属于信息安全事件， 属于信息安全事件的应及时处理。第二十二条 信息管理部门应定期对重要系统、 配臵及应用 进行备份。备份管理要求如下：一、各系统应于投产前明确数据备份方法，对数据备份和 还原进

16、行必要的测试， 并根据实际运行需要及时调整， 每次调整 应进行测试；二、对系统配臵、网络配臵和应用软件应进行备份。在发 生变动时，应及时备份；三、业务数据备份按照各生产系统备份计划的具体要求进 行，尽可能实现异地备份；四、集中管理的系统、设备数据的备份工作由所在单位的 信息部门负责；五、备份介质交接应严格履行交接手续，做好交接登记；六、介质存放地必须符合防盗、 防火、 防水、防鼠、防虫、9 防磁以及相应的洁净度、温湿度等要求。第八章 网络与通信安全管理第二十三条 信息化管理部门采取必要的技术手段和管理 措施， 加强对网络和通信安全的管理， 保障公司内外信息传递安 全。网络安全管理包含网络访问控

17、制、安全机制、网络服务、网 络隔离等，基本要求是：一、定期对重要网络设备运行情况进行安全检查，发现隐 患及时上报或整改，并做好记录（格式见附录 3-5 ）。二、定期备份重要网络和通信设备配臵文件，确保发生故 障时能及时恢复网络运行，保证网络的可用性。第二十四条 加强内部网络安全管理，具体要求如下：一、网络机房分区应独立、封闭。二、网络设备脱离生产环境前应清空所有网络配臵。三、骨干网络设备应有备份，接入网络设备原则上应按 5% 比例备份。四、网络结构和网络配臵应最大限度地保证网络的健壮性、 安全性。五、企业网应根据需要划分不同的VLAN,并通过访问控制列表控制各VLAN勺访问权限。六、内部网络计

18、算机未经批准不得安装网络探测软件，严 格禁止安装任何黑客软件。七、生产网络和测试网络必须实行分离，严禁在生产环境中做各种类型的业务测试。第二十五条 加强外联网络安全管理，具体要求如下：一、外联网络安全遵循最小权限原则， 访问控制策略是 “允 许必须，禁止其他”。二、外联网络在穿过不可控区域时数据传输原则上应采用 加密技术。三、制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、端口、安全策略等秘密，并注意了解对方网络结构及其 变化情况。第二十六条 加强互联网安全管理，具体要求如下：一、互联网与内部网络必须有相关的逻辑隔离，涉及国家 秘密的信息不得通过互联网传输。二、不得访问有关黑客网站，

19、不得下载、安装黑客软件。三、公司员工访问互连网，必须遵守中华人民共和国计 算机信息网络国际联网管理暂行规定 等规定， 不得利用国际互 连网从事损害国家、公司及他人利益的活动。第九章 信息系统供应商安全管理第二十七条 公司对信息系统供应商实施安全管理。 信息系 统供应商包括设备类供应商、 技术类供应商、 咨询服务类供应商、 或者是以上几类的任意组合。第二十八条 信息系统实施过程中， 信息化管理部门应与供 应商签订安全保密协议，明确信息安全要求。第二十九条 信息化管理部门应对供应商服务全过程进行监视和控制第十章 信息安全事件管理第三十条 信息安全事件指导致信息资产丢失和损坏，影响 信息系统正常工作

20、甚至业务中断的事件。主要有：一、信息系统软硬件故障；二、网络通信系统故障；三、机房供配电系统故障 ；四、系统感染计算机病毒 ；五、信息系统遭水灾、火灾、雷击 ；六、信息网络遭遇入侵或攻击；七、信息系统内的敏感数据失窃、泄露；八、信息设备损坏、滥用或失窃 ；九、信息被非法访问、使用及篡改；十、 违背信息安全策略规定的其他事项。第三十一条 信息安全事件管理包括组织机构、 职责和规程 的建立， 信息安全事态及信息安全弱点的报告和评估， 信息安全 事件的应急处理等。一、 建立信息安全事件管理机构和应急预案（一）公司信息安全事件管理机构包含：XX公司保密委，负责领导信息安全事件管理工作；各级信息化管理部

21、门 , 负责处 臵信息安全事件；信息安全事件响应小组（负责人），负责信息安全事件响应和应急处理。（二）信息化管理部门针对各类信息安全事件应分别制定 相应的应急预案，开展必要的知识、技能、意识等培训。适时组 织相关人员开展应急演练。二、 开展信息安全事态及信息安全弱点报告和评估。信息 系统安全管理和维护人员应加强对网络信息系统日常检查维护， 了解外部信息安全变化， 充分掌握信息安全事态， 及时发现和消 除危及系统安全的各类安全隐患。 当发现险情时， 应立即报告信 息安全事件处臵责任部门。 完成信息安全事件处理后， 应及时进 行评估和改进， 避免再次发生， 并做好记录 （格式见附录 3-3）。三、

22、信息安全事件应急处理，要求如下：（一） 当信息系统出现险情时，维护人员和各级应急救援 人员应正确履行应急预案所赋的职责和执行信息安全事件处臵 责任部门下达的指令。（二） 在发生网络与信息安全事件后，信息化管理部门应 尽最大可能迅速收集事件相关信息， 鉴别事件性质， 确定事件来 源，弄清事件范围和评估事件带来的影响和损害。 一旦确认为网 络与信息安全事件后， 立即将事件上报信息安全领导小组并着手 处臵。（三）安全事件进行最初的应急处臵以后应及时采取行动， 抑制其影响的进一步扩大， 限制潜在的损失与破坏， 同时要确保 应急处臵措施对涉及的相关业务影响最小。（四）安全事件被抑制之后，通过对有关事件或行为的分 析结果，找出其根源，明确相应的补救措施并彻底清除。（五）在确保安全事件解决后，要及时清理系统、恢复数 据、程序、服务恢复工作应避免出现误操作导致数据丢失。（六）信息安全事件发生时，应及时向公司保密委汇报， 并及时报告处臵工作进展情况。 事件处臵中要作好完整的过程记 录，保存各相关系统日志直至处臵工作结束。（七）系统恢复运行后，信息管理部门