版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
xx公司信息安全方针策略第一章总则第一条为加强和规范xx公司(以下简称“xx公司")及各部门信息系统安全工作,提高本单位信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,特制定本方针。第二条本文件的目的是为xx公司信息系统安全管理提供一个总体的策略性架构文件,该文件将指导xx公司信息系统的安全管理体系的建立。安全管理体系的建立是为xx公司信息系统的安全管理工作提供参照,以实现xx公司统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。第三条本文件涵盖安全管理机构、人员安全管理、系统建设安全管理、系统运维安全管理、安全技术、业务运作安全管理等方面内容,适用于xx公司各部门信息系统资产和信息技术人员的安全管理和指导,适用于指导xx公司信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于xx公司安全管理体系中安全管理措施的选择。第四条引用标准及参考文件本文档的编制参照了以下国家的标准和文件:(一)《中华人民共和国计算机信息系统安全保护条例》(二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27号)(三)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(四)《信息安全技术信息系统安全管理要求》(GB/T20269—2006)(五)《信息系统等级保护安全建设技术方案设计要求》(报批稿)(六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)(七)《征信机构信息安全规范》(JR/T0117-2014)(以下简称:“征信规范”)第二章方针、目标和原则第五条xx公司信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为统内网和外网,实现“双机双网”,内网定位为承载涉密数据,外网定位为对外业务网络和访问互联网用户终端网络。内、外网之间实施强逻辑隔离的措施。第六条信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止xx公司对外服务中断和由此造成的系统运行事故。第七条信息安全工作的总体原则(1)基于安全需求原则xx公司信息技术部需要根据征信信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,遵从信息系统等级保护的规范要求,恰当地平衡安全投入与效果;(2)主要领导负责原则网络与信息安全领导小组确立xx公司信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;(3)全员参与原则信息系统所有相关人员需要普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;(4)系统方法原则按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;(5)持续改进原则随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;(6)依法管理原则保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,需要由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;(7)分权和授权原则对特定职能或责任领域的管理功能实施分离、独立审计等实行分权。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限;(8)选用成熟技术原则成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并首先试点然后逐步推广;(9)分级保护原则按等级划分标准确定信息系统的安全保护等级,实行分级保护;(10)管理与技术并重原则采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;(11)自主保护和国家监管结合原则xx公司在政府相关部门对信息系统的安全进行指导、监督和检查下,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。第八条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。第三章安全管理一、内部管理制度第九条根据本文件中征信系统建设管理及运维管理的条例,落实对机房管理、资产安全、设备管理、网络安全和系统安全等方面的信息安全管理。第十条对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等需要符合数据管理制度。第十一条需要根据重大事项报告和处置管理制度,有效避免和及时报告事故造成的危害。对重大信息安全事故及时向中国人民银行及其派出机构报告。第十二条根据信息安全检查制度,定期或根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出机构的安全检查。第十三条根据信息安全内部审计制度,每两年1次(根据实际情况可增加),对可能带来信息安全风险的因素进行审计和评估。系统中的审计记录保存半年(根据实际情况可大于半年),纸质版审计记录保存三年(根据实际情况可大于三年)。二、安全管理机构第十四条信息技术部在网络与信息安全领导小组管理下,负责信息安全管理工作。第十五条安全主管、信息安全管理员等各岗位需要履行岗位职责,遵守各自审批权限。各部门、各岗位之间,与同业机构、监管部门需要加强合作和沟通。第十六条加强安全主管、信息安全管理员、技术支持人员、业务操作人员、一般计算机用户等人员的安全管理,根据不同岗位的职责,对人员录用、离岗、考核和培训等工作进行规范。三、系统建设管理第十七条安全产品、密码产品的采购和使用需要符合国家密码主管部门的规定,并指定专门部门负责采购。第十八条指定专门人员负责工程实施过程管理,控制工程实施过程。软件开发需要开发测试环境与实际运行环境物理分开,软件设计相关文档交由专人保管。外包软件开发的部分,要求开发单位提供软件源代码,并进行“后门”检测。第十九条征信系统测试验收需要包括安全性测试,对测试验收过程中形成的测试报告需要进行审定,签字确定。征信系统交付时需要制定交付清单,并进行设备、软件和文档清点。需要对系统运行维护技术人员进行技能培训。第二十条将系统等级及相关材料报中国人民银行及其派出机构备案。第二十一条征信系统上线运行前,进行安全规范测评。运行过程中,每两年对系统进行一次安全规范测评,测评报告报中国人民银行及其派出机构。第二十二条外包及安全服务商提供服务时,需要签订与安全相关的协议,明确约定相关责任。涉及敏感操作(如输入用户口令等)由xx公司人员进行操作。外包服务方需要遵守xx公司相关安全规定与操作规程,不得查看、复制或带离任何敏感信息。四、系统运维管理第二十三条在读取移动存储设备上的数据、网络上接收文件或邮件之前,和外来计算机或存储设备接入网络系统之前需要进行病毒检查。第二十四条每半年修改一次密码,包括网络设备用户密码、操作系统用户密码、数据库用户密码和应用程序用户密码等。网络设备、操作系统、数据库和应用程序的超级管理员用户密码要纸质密封交专人保管。密码设置规则需要符合征信规范中相关要求。第二十五条征信系统发生变更前,需要经过审批,在做好征信数据的备份和恢复工作基础上,方可实施变更,并在实施后向相关人员通告。第二十六条安全事件处置和应急管理需符合安全事件报告和处置管理制度,重大事项处置和应急管理需符合重大事项报告和处置管理制度。第四章安全技术第二十七条为保障通信网络安全,征信系统面向互联网时,需使用强壮的加密算法和安全协议保证信息传输的机密性和完整性。征信系统服务器需使用安全的协议和强壮的加密算法进行安全、可靠的身份认证。第二十八条服务器端物理安全(1)机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。(2)机房出入口安排专人值守,控制、鉴别和记录进入的人。需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。(3)主机房应安装必要的防盗报警设施和监控报警系统。应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。(4)防雷击、防火、防水防潮、防静电。(5)设置温、湿度自动调节设施。(6)在机房供电线路上配置稳压器和过电压防护设备,提供短期的备用电力供应。(7)电源线和通信线缆隔离铺设,避免互相干扰。第二十九条服务器端网络安全(1)保证接入网络的带宽满足业务高峰期需要。(2)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段。(3)按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问。(4)对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。(5)监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。(6)对登录网络设备的用户进行身份鉴别,限制非法登录次数,当网络登录连接超时自动退出。(7)对网络设备进行远程管理时,防止信息在网络传输过程中被窃听。第三十条服务器端主机安全(1)对登录操作系统和数据库的用户进行身份鉴别。(2)根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。实行操作系统和数据库系统特权用户的权限分离。(3)对服务器上的每个操作系统用户和数据库用户进行安全审计,包括用户权限、重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全操作。保护审计记录。(4)操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。(5)通过设定终端接入方式、网络地址范围等条件限制终端登录。设置登录终端的操作超时锁定。限制单个用户对系统资源的使用限度。对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。第三条服务器端应用安全(1)对登录用户进行身份标识和鉴别。(2)依据安全策略控制用户对文件、数据库表等客体的访问。授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。(3)对用户权限及应用系统重要安全事件进行审计,保证无法删除、修改或覆盖审计记录。(4)采用校验码技术保证通信过程中数据的完整性。(5)在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验证,对通信过程中的敏感信息字段进行加密。(6)通过数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。(7)当应用系统通信双方中的一方在一段时间内未作任何响应时,另一方能够自动结束会话。第三十二条数据安全及备份恢复策略(1)检测数据在传输、存储过程中的破坏并做恢复。(2)征信系统采用加密或其他有效措施实现系统管理数据和鉴别信息传输、保存中的保密性。(3)提供本地数据备份与恢复功能,增量数据备份至少每天一次,完全数据备份至少每周一次,备份介质场外存放。(4)提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。第五章业务运作第三十三条根据外部机构接入征信系统管理办法,对申请接入征信系统的外部机构进行综合评估,确认符合条件并测试通过后方可接入征信系统生产环境。第三十四条根据外部机构从征信系统注销管理办法,对信息提供者、信息使用者的注销申请进行审核,审核通过后再进行注销操作。对停止经营活动且营业执照等已注销,但是不主动申请从征信系统注销的机构,经核实后发起主动注销操作。第三十五条根据征信系统内部用户管理制度对各类内部用户的申请、创建、变更、终止及用户操作等行为进行规范。根据征信系统外部用户管理制度对各类外部用户的操作进行规范。对异常操作行为进行监控,必要时采取措施暂停违规用户权限。第三十六条通过接口和非接口规范方式进行信息采集时,采集的范围、内容、方式和频次、报文接收与反馈、审核、意外事件处理需要符合规定。第三十七条对征信信息进行整理加工,形成信用报告、信用评分、信用评级等征信产品时,不得擅自更改原始数据。同时需要对信息加工所采用的方法和模型作出说明。第三十八条征信系统需要保存原始报文文件、反馈文件、信息查询文件等对外交互过程中产生的信息文件及相应日志信息,并防止数据泄露。对征信系统采集的个人不良信息应当按照法律法规规定的期限进行保存,并确保个人不良信息去标识化处理。第三十九条对查询用户输入的查询条件设置校验规则,进行有效性检查。记录查询用户所属机构、查询用户、查询时间、查询原因、被查询对象等信息。批量查询请求需要填写请求文件,征信系统记录并审核后通过可靠方式反馈结果。信息使用者发生异常查询的,xx公司采取暂停查询权限等紧急措施,并及时核查异常查询产生的原因。第四十条异议申请与受理、内外部核查、异议信息更正等事项需要符合异议处理制度。第四十一条xx公司生产数据库、备份数据库设在中国境内。在中
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 年产10万吨润滑制品及5万吨冷却液项目环评报告表
- 2024厨师聘用合同
- 盐城师范学院《轮滑中级》2022-2023学年第一学期期末试卷
- 盐城师范学院《科学社会主义理论与实践》2021-2022学年第一学期期末试卷
- 2024标准个人房屋租赁合同样本
- 2024装饰施工工装合同范本
- 仓储租赁价格协议
- 市场调研承揽合同(2024年版)
- 检测中心2024年1月安全考试试卷
- 药品生产01.13考核题
- 《节能监察的概念及其作用》
- 综合布线系统竣工验收表
- 人教版《生命.生态.安全》六年级上册全册教案
- 蔬菜会员卡策划营销推广方案多篇
- 导管滑脱应急预案及处理流程
- (精选word)三对三篮球比赛记录表
- DB32T 3921-2020 居住建筑浮筑楼板保温隔声工程技术规程
- 京东考试答案
- 尿道损伤(教学课件)
- 大型火力发电厂专业词汇中英文翻译大全
- 火电厂生产岗位技术问答1000问(电力检修)
评论
0/150
提交评论