公司企业信息安全实施指南

信息安全实施指南第13页共13页公司企业信息安全实施指南文档信息文档名称信息安全实施指南文档版本文档级别文档编号适用范围发布日期修订记录版本号修改日期内容说明负责人相关文档文档编号文档名称文档类型负责人目录第一部分、 资产信息安全管理 4第二部分、 组织信息安全管理 5第三部分、 人员信息安全管理 6第一节 员工信息安全管理 6第二节 第三方人员信息安全管理 6第四部分、 物理和环境安全管理 8第五部分、 通讯与操作安全管理 9第一节 操作程序和职责 9第二节 防范恶意代码 9第三节 备份 9第四节 网络安全管理 9第五节 介质处理 9第六节 监控及审计 10第七节 信息系统技术漏洞管理 10第六部分、 访问控制安全管理 11第一节 访问控制原则 11第二节 操作系统访问控制 11第三节 移动计算和远程工作 11第四节 用户访问管理 11第七部分、 信息安全事故管理 12第八部分、 策略符合性 13

资产信息安全管理应当建立信息资产管理登记制度，明确信息和资产的所有者、责任人、维护人员以及使用人员，并确保责任人了解并承担对相应资产的安全责任。信息资产管理登记应当维护企业公司所辖单位资产清单，包括所有为从灾难中恢复而需要的信息：资产类别、位置、责任人以及相关的配置信息等。信息资产管理登记的资产分类应当包括硬件资产、软件资产、信息资产、应用与服务以及其他无形资产。应当根据资产的分类及业务价值明确各项资产的合理使用规定，并要求使用或用有访问企业公司所辖单位资产权力的人员了解并遵守该规定。

组织信息安全管理企业公司所辖单位的管理层应当为信息安全提高有力的支持；信息安全活动应当由来自各个部门、具备相关角色和工作职责的代表进行协调。应当识别外部组织访问的风险并进行适当的控制，并在与其接触时强调相关安全要求。

人员信息安全管理员工信息安全管理员工雇佣前安全管理规定：安全职责应于雇用前在适当的岗位描述、雇用条款和条件中指出。应充分筛选所有应聘者、合同方和第三方用户，进行适当的背景调查，特别是对敏感岗位的成员。作为合同责任的一部分，员工、合同方和第三方用户应统一并签署他们的雇佣合同的条款和条件。这些条款和条件应规定他们和组织对于信息安全的责任。员工雇佣中安全管理规定：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。为尽可能减小安全风险，应对企业公司所辖单位的所有员工，适当时，包括合同方和第三方用户，提供安全程序和信息处理设施的正确使用方面的适当程度的意识、教育和培训。应建立一个正式的处理安全违规的纪律处理程序。惩戒过程之前应有一个安全违规的验证过程。雇佣关系终止或变更的安全管理规定：应当确保员工、合同方和第三方用户离开组织或雇佣变更时以一种有序的方式进行，并确保他们归还所有设备及删除或调整他们的所有访问权力。进行雇佣中止或变更时相关人员的责任应当被清晰规定和分配。雇员、合同方或第三方用户所签署的相关协议中应当明确雇用终止后仍然有效的职责和义务。第三方人员信息安全管理第三方人员种类：服务提供商（例如互联网服务提供商）、网络提供商、电话服务、维护和支持服务；设施和运行的外包；管理和业务顾问和审核员；开发者和提供商，例如软件产品和IT系统的开发者和提供商；清洁、供应和其他外包支持服务；临时人员、实习生安排和其他短期临时安排。第三方人员进行技术支持前，应当经过安全责任人的授权和审批。第三方人员对重要信息安全区域的访问应当遵照安全规定进行详细记录，记录中应当至少包括日期、进入及离开时间、第三方人员（签名）、本单位陪同人员（签名）、访问事由等信息。第三方的外部访问（不含普通因特网浏览器用户）要求：根据工作需要，可以允许但需严格限制第三方的外部访问；第三方所享有的外部访问权限应当按照最小权限原则进行分配。在第三方外部访问结束后，内部联系人员应当对访问权限作相应处理，如要求技术人员删除用户名和权限等。第三方人员在重要信息安全区域的现场实施过程中应当有IT人员全程陪同。企业公司所辖单位有权对使用内部计算机和网络的第三方进行检查，以确保第三方遵守有关安全策略和要求。未经陪同人员许可，第三方人员不准擅自开通网络共享资源，不准擅自利用企业公司所辖单位的计算机上互联网和其他外部网。由于工作需要对信息系统进行临时访问（访问时间不能超过24小时）的第三方人员，由陪同人员输入登录口令来获得临时性登录权限。在远程访问时，为其创建临时账号来获得登录权限，使用完后应当立即收回。如有需要，可以重新设置，但应当使用新的口令。第三方人员在离开前，由陪同人员通知相关账号管理人员进行用户账号的撤销。第三方人员的计算机在接入局域网前应当由陪同人员或陪同人员通知PC维护人员检查是否安装有最新防病毒代码的防毒软件。否则不允许其接入企业公司所辖单位网络。第三方人员因工作需要通过远程方式访问企业公司所辖单位局域网的，应当经信息安全责任人审批同意方可进行。第三方人员对信息系统进行远程维护时，应当由第三方人员记录重要操作并提交IT部门相关管理人员备案。IT部门相关人员应当对其访问行为进行记录、监控并负责善后处理。与第三方签订的协议中应覆盖所有相关的安全要求。这些协议可能涉及对企业公司所辖单位的信息或信息处理设施的访问、处理、沟通或管理。协议应确保在企业公司所辖单位和第三方之间不存在误解。第三方服务交付协议中应当包括安全控制措施、服务定义和交付水准，并进行监督、评审和变更控制，以确保第三方按照协议实施。第三方参与的项目或外包服务，应当在合同中明确规定人员的信息安全责任，必要时应当签署保密协议。保密协议内容应包括以下方面：定义要保护的信息（如敏感信息）；保密协议的期望持续时间；机密信息的许可使用，及签署者使用信息的权力；对涉及敏感信息的活动的审计监视权力；违反协议后期望采取的措施。

物理和环境安全管理企业公司所辖单位建筑周围应设置围墙，并有人员24小时职守入口，未经许可，非本企业公司所辖单位人员不得入内；所有员工、合同方和第三方用户以及所有访问者要佩带可识别身份的标识。机房区域应当仅允许设备维护人员入内，进入机房人员应当进行详细登记，登记内容至少包括人名、所属部门或单位、进入机房理由、进入退出时间。门禁权限应定期复审，门禁日志（包括进入机房登记）至少保留三个月。企业公司所辖单位应安装入侵检测系统（内部监控录像），监查点至少包括大门入口、楼梯间以及机房，并安排人员监控，录像内容至少保留三个月。机房应当采取适当的防静电措施。重要设备的安全保障设施（如热敏和烟气探测器、火警系统、灭火设备、供电线路、照明器具、门禁等）应当至少每半年进行检查和维护，并进行书面记录。应当提供稳定的电力供应，防止供电不正常的现象。可以采用多种保证连续供电的方法例如多回路供电、不间断电源（UPS）、备用发电机等。应当明确信息设备维护的时间间隔，信息设备的日常维护工作应当按照规定的维护操作流程进行，操作流程应当指明具体步骤。每次维护工作完毕后，应当填写维护工作记录。信息系统设备的故障处理应当按照故障处理相关规定执行，记录故障现象和处理措施。设备的硬件配置发生变化应当根据变更配置管理流程进行记录备案。信息设备的购买和投入使用应当按照正式的规定和流程进行审批并备案。应当在每个信息设备上有明显的资产标识，标识中至少包括编号、名称等信息。信息设备验收过程中应当核对供货方提供的验收安装报告，保证订购要求及设备实际交货情况相符，验收安装报告应当由供货方和验收人签字确认。所有信息系统设备应当登记并及时更新；信息系统设备的登记记录应当至少包括信息设备的分类、名称、品牌、型号、用途、借用及返还情况、资产所有者、管理项目组、管理人员、使用人员等。应当每年进行复审。信息设备严禁外借，确因工作需要，应当报请相关部门领导批准，并进行登记备案。对弃置的存储有敏感信息的设备，应当采取安全的销毁措施。

通讯与操作安全管理操作程序和职责信息系统的操作和应当遵循正式的管理流程，以降低未授权访问、无意识修改或滥用企业公司所辖单位资产的风险。至少包括：设备、系统维护；计算机机房管理；备份操作以及系统失效时的恢复程序；应尽可能应分离职责，确保在无授权或未被监测时，个人不能访问或修改企业公司所辖单位信息资产。防范恶意代码应当部署统一的恶意代码防范系统，包括客户端、介质、邮件、WEB等方面。保护信息系统不受病毒侵害，是每个员工不可推卸的责任。员工应当遵守《员工信息安全手册》上相关防范恶意和移动代码的规定，任何不负责任的行为将视为违反信息安全管理规定并追究其个人责任。应当定期查询防病毒服务器上的病毒定义文件版本是否为最新。及时检查并安装经过检验的安全补丁。定期巡检：至少每两周进行一次，并详细记录巡检结果。巡检内容包括计算机上防病毒软件是否激活、病毒库是否更新、计算机上相应的补丁文件是否安装、是否有不符规定的共享目录等。巡检过程中发现的问题应当及时解决。由于人为原因造成的防病毒软件无法正常运行，或由于随意共享目录造成病毒感染及传播的将予以通报。备份IT管理员负责制订备份策略、系统恢复操作流程和恢复测试等工作。对重要的应用系统、操作系统、配置文件及日志等应当进行备份，对重要数据应定时备份，并送指定地点存放。备份信息介质应当做好标记，并放置在专门地点，该地点应当安全可靠。恢复流程应当至少每半年检查和测试以确保能有效地在规定时间内进行数据的恢复。网络安全管理应当对网络进行充分管理和控制，明确网络的操作管理职责，并使用适当的网络安全监控措施及日志审计手段。应当明确企业公司所辖单位网络服务安全特性和管理要求，例如网络连接控制以及安全连接的技术参数。介质处理不得将载有重要信息的存储介质随意存放，未经信息资产安全责任人授权，不得带出办公地点。存放业务应用系统及重要信息的介质，严禁外借，确因工作需要，须报请部门领导批准。如果介质上的内容不再需要，应当立即清除，对于备份或存放有重要信息或软件的存储介质，在弃用时应当对信息资料进行消除处理，避免不必要的泄密。对需要长期保存的介质，应当在介质质量保证期内进行转储，以防止介质失效造成损失。所有存储介质应当妥善保存。监控及审计重要设备及应用应当开启日志，应当建立信息系统的登录、使用情况和日志检查的监控流程。对日志应当要有监控及定期评审。下列事件应当被记录并监控：超级权限操作，例如系统启动和停止；成功与不成功的登录；非授权存取的企图；攻击企图；系统警告和错误。所有的生产环境服务器和网络设备的系统时钟应当保持同步。信息系统技术漏洞管理企业公司所辖单位应当及时确认信息系统的技术漏洞，一旦潜在的技术漏洞被确认，应该确认相关的风险并采取措施；这些措施可能包括对包含漏洞的系统打补丁，或者应用其它控制措施；如果要安装补丁，则应先评估安装补丁可能带来的风险，补丁在安装之前应该进行测试与评估，以确保补丁是有效的，且不会影响系统的正常运转。对补丁行为的所有过程应进行记录和审核。

访问控制安全管理访问控制原则访问控制的基本规则是“未经允许，应当一律禁止”。访问控制的规则和权限应该符合企业公司所辖单位业务要求，并记录在案。用户的访问权限在授予时要遵循最小权限原则。访问控制的权限应当定期评审，以保证它对企业公司所辖单位业务的适用性。操作系统访问控制应当通过安全登陆程序对操作系统的访问进行控制。所有用户应当有唯一的、专供其个人使用的用户ID，并采取适当的用户认证手段。应当使用交互式口令管理系统，并启用强口令策略。对于监控、备份、日志管理等系统实用程序应当经过主管领导批准并由系统管理员进行安装和维护。不活动会话应当有超时设置。应当使用连接时间限制以提供高风险应用程序的额外安全保障。移动计算和远程工作应当制定移动计算安全管理规定，以防范使用移