信息系统资产安全管理制度

信息系统安全管理制度第一章总则第一条为保证公司计算机网络能够安全可靠的运行，防止系统及数据被非法利用或破坏，充分发挥其在生产、经营、办公和信息服务方面的重要作用，更好的为员工提供服务，特制定本办法。第二条本制度涉及的信息系统，是指由计算机及其相关的配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输检索等处理的计算机系统；本制度所指的计算机软件是指在我公司内部使用的计算机应用软件。适用于公司范围内的计算机系统。第二章组织机构和职责第三条成立公司信息安全小组，由公司领导、办公室、各相关部门、计算机维护人员组成，指定公司信息系统安全员和各系统管理员。（见附件一）第四条公司主要领导是公司信息系统管理和网络安全的第一责任人，信息安全小组负责公司计算机应用系统和网络安全的全面管理和运行维护。第五条计算机系统管理员负责公司内部信息系统及计算机网络安全的管理和维护工作，为公司内部网络的安全运行提供技术保障。第六条信息安全员负责对公司信息化相关的各项申请记录进行复核，审查用户帐号使用情况和权限分配是否合理，对公司重要信息进行安全分级，定期复查系统管理员填制的各项检查记录。第七条公司的所有计算机及外围设备是公司的固定资产，按照谁使用谁负责的原则，落实责任人，使用部门为责任部门，负责保管配备的信息化资产的完好，保证良好的使用环境，并建立资产台账。第三章系统安全管理账号管理第八条应用系统、操作系统、数据库（以下简称“各系统”）的用户名均应该专人专用，用以识别不同的用户和账号，以确保可溯源和可追踪性。第九条各系统的管理员账号需进行有效的保护，经公司信息安全小组审核后，由信息系统安全员分配管理员访问权限给系统管理员。第十条各系统均需要设置充分的用户密码安全策略，包括：1）设定密码最小长度不得低于八位；2）密码一定由数字、字母和符号共同组成；3）设置密码过期期限，定期更改密码；4）设置密码锁定前登录失败次数等安全策略。第十一条各信息系统自带的默认账号和密码必须在系统初次使用时进行修改，密码由系统管理员保管。第十二条公司信息系统的访问和应用只限于通过公司内网进行，如因特殊情况需要通过外网访问信息系统的，报信息安全小组批准并由自动化所授权同意后方可进行。第十三条保全处每半年组织相关业务员部门对信息系统账号进行复核,将信息系统的用户及其权限清单提交给业务部门负责人,确认并审核权限的合理性。通过查看系统日志，检查不适当账号和权限的使用情况，对违规使用情况进行通报并立即整改。第十四条需新增或调整账户权限的用户，由使用部门提出申请，并填写相关岗位权限调整申请表，经信息安全小组审核批准后，由系统管理员调整用户账号及相应权限。防病毒管理第十五条公司信息安全小组负责防病毒软件的部署与配置，用户与信息设备责任人负责所用计算机系统及数据的基本防护。第十六条所有接入公司网络的计算机都必须安装防病毒软件；外来计算机要接入公司网络必须装有防病毒软件和最新的病毒库和查杀引擎，报经信息安全小组负责人批准后，由系统管理员检查该计算机，符合要求后由系统管理员为该计算机设置网络连接。第十七条公司计算机的防病毒软件的实时监控要默认打开，不得擅自关闭。第十八条公司计算机的防病毒软件和病毒库要通过一定的技术手段（例如给杀毒软件增加防护密码等）进行保护，防止用户误删或未经授权强制删除或禁用防病毒程序。第十九条信息安全小组负责指导和培训用户的防病毒知识，提高用户的防病毒意识。第二十条系统管理员要定期检查并提醒用户升级最新的操作系统补丁。数据管理第二十一条各部门要对本部门重要信息进行安全分级，对不同的数据文件采取不同的保密措施防止泄密。第二十二条系统管理员对新发布的系统补丁程序进行风险评估，判断补丁程序可能会对各系统带来的影响，必要情况下应在测试环境下进行测试，填写《补丁程序测试记录》，并集中汇报给信息安全小组进行审核。经测试无误后方可在生产系统计算机中更新补丁程序。（见附件二《补丁程序测试记录》）第二十三条信息安全员每周检查上一周由系统管理员检查的各项记录，并对所检查项目进行复核，填写各类记录单。第二十四条DCS负责公司所属工业信息化设备软件和数据的备份，每月对控制系统软件及数据进行一次异地备份，每月对水泥磨工业信息化设备软件及数据进行一次异地备份，负责对设备配套工业信息化设备软件及数据进行备份，所有备份应刻录成光盘，由信息安全员保管。第四章网络与设备管理第二十五条系统管理员定期检查防火墙、服务器及各网络设备监控日志，若发现异常，及时上报和详细记录并跟踪解决；分析、检查和跟进结果均记录在《日志综合检查表》中，信息安全员负责复查确认。（见附件三《日志综合检查表》）第二十六条由于网络设备的特殊重要性，网络设备的配置管理由系统管理员完成，其他任何人不得改动设备配置。第二十七条为了保证特殊情况下的接管工作，系统管理员必须做好网络设备的配置记录，对每次的配置改动作记录，并备份设备的配置文档，记录配置时间。第二十八条公司网络端口只允许授权用户使用，不得擅自接入交换设备，未办理端口授权手续，不得使用网络端口，严禁自行接线上网。外来人员如需接入内网，需要经过信息主管部门或信息安全小组负责人审批。第二十九条公司内严禁私自搭建无线网络平台，严禁私自接入无线网络设备。若因工作需要组建无线网络的，需向设备保全处申报，由保全处组织对申报的无线平台方案进行论证，批准后方可搭建。第三十条公司的联网工作必须报公司主管部门批准后实施。实施完成后，应绘制竣工图，报部室信息主管部门。未经公司信息安全小组审批，任何部门不得私自连接交换机、集线器等网络设备，不得私自接入网络，发现私自接入的网络线路将予以拆除，并对相关部门及责任人进行考核。第三^一条计算机网络布线应按照施工标准规范敷设，交换机、光电转换器、HUB的安装力求实用美观；交换机、光电转换器等网络重要设备应绑扎固定；计算机网络和交换机等网络设备集中的机房需具备相应的接地防雷措施。第三十二条公司所有计算机设备、网络设备（包括交换机、集线器、光电转换器等），应建立台账资料库，台账应包括所有计算机设备、网络设备的购置年限、一般配置、使用部门、随机资料和软件介质等，具体参照《计算机管理办法》；第三十三条由设备保全处牵头，定期对计算机及其使用情况进行检查；检查内容包括计算机设备的维护和保养、环境卫生、计算机病毒的查杀、计算机是否安装了与工作无关的其它游戏软件等，一经发现违规情况将予以通报考核。第五章中心机房管理第三十四条DCS工程师站是公司信息化设备的核心区域，涉及范围广，技术保密性强，环境要求高，对生产的影响较大。为保证设备正常、高效的运行，无关人员不得擅自进入。外来人员进入机房必须由主管部门同意，必须有专人陪同，禁止带与工作无关物品进入；非机房工作人员未经许可不得擅自对运行设备及各种配置进行更改。第三十五条路由器、交换机和服务器以及通信设备是网络的关键设备，须放置在机柜内，不得自行配置或更换，更不能挪作它用。第三十六条机房工作人员应做好网络安全工作，网络设备及服务器的各种帐号严格保密。并对各类操作密码定期更改。系统管理人员应不定期监控中心机房设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。（见附件四《机房综合巡检表》、附件五《应用服务器检查记录》）第六章互联网安全及邮件系统管理第三十七条严格执行国家《计算机信息网络国际联网安全保护管理办法》。不得利用网络从事任何有悖网络法规的活动，任何人不得恶意扫描、攻击他人计算机，不得盗用、窃取他人资料、信息等。第三十八条公司各部门人员应严格遵守国家相关法律法规规定，在法律许可范围内规范使用互联网进行信息交流和传递活动，同时要做好所使用计算机的安全防护，及时安装系统补丁和病毒库，防止网络病毒的传播。第三十九条公司各员工负有信息保密的责任和义务。任何人不得利用公司计算机网络泄露公司机密、技术资料和其他保密资料。第四十条任何人不得在网络上发布有损公司形象和声誉的信息。第四十一条本制度自下发之日起开始执行，由设备保全处负责起草并对口管理。补丁程序测试记录补丁程序测试记录系统名称：系统系统问题描述：提交人签字：提交日期：―、程序补丁基本信息补丁名称：版本号：发布日期：发布单位：操作系统：语言：补丁内容描述：获取方式：□网上下载□内部研发□外部提供获取日期：二、补丁更新流程记录测试环境是否准备好：□是□否补丁程序是否完整：□是□否安装过程有无异常：□是□否补丁是否安装成功：□是□否测试人签字：安装日期：注：《程序测试跟踪记录》由签字的测试人完成。三、程序测试跟踪记录日期系统环境有无异常应用系统有无异常其他信息摘要第一天□有□无□有□无第五天□有□无□有□无第十天□有□无□有□无第十五天□有□无□有□无四、补丁测试结论报告安装补丁后是否解决了原系统问题□是□否其他信息摘要解决了原系统问题有无产生新问题□有□无此补丁有无更新必要□有□无此补丁是否具有推广更新必要□是□否确认人：确认日期：复审人签字：复审日期：日志综合检查表日志综合检查表检查时间：年月日检查人：复查时间：年月日检查项检查结果情况摘要完成情况解决办法□日志服务器设备日志□正常□不正常□已上报□已解决□防火墙自动记录日志□正常□不正常□已上报□已解决□应用服务器记录日志□正常□不正常□已上报□已解决注：主要检查日志有无缺失，有无严重及以上级别的警报，警告内容记录等其他各类异常情况；复查由信息安全员完成。检查时间：年月日检查人：复查时间：年月日检查项检查结果情况摘要完成情况解决办法□日志服务器设备日志□正常□不正常□已上报□已解决□防火墙自动记录日志□正常□不正常□已上报□已解决□应用服务器记录日志□正常□不正常□已上报□已解决注：主要检查日志有无缺失，有无严重及以上级别的警报，警告内容记录等其他各类异常情况；复查由信息安全员完成。检查时间：年月日检查人：复查时间：年月日检查项检查结果情况摘要完成情况解决办法□日志服务器设备日志□正常□不正常□已上报□已解决□防火墙自动记录日志□正常□不正常□已上报□已解决□应用服务器记录日志□正常□不正常□已上报□已解决注：主要检查日志有无缺失，有无严重及以上级别的警报，警告内容记录等其他各类异常情况；复查由信息安全员完成。机房综合巡检表检杳时间：年月日检杳人：—\机房环境检杳项检杳结果情况摘要检杳项检杳结果情况摘要温度□正常□不正常湿度□正常□不正常痕迹□正常□不正常清洁□正常□不正常异响□正常□不正常异味□正常□不正常注：痕迹检查地面、墙壁、天花是否有裂痕、水渍；机房内是否有鼠患、蚁患、蟑螂等活动的痕迹。二、周边设备检杳项检杳结果情况摘要UPS本机负载数据记录ABCUPS□正常□不正常功率KW电池组□正常□不正常容量KVA空调□正常□不正常负载率％消防□正常□不正常峰值比三、应用设备核心设备检杳项检杳结果情况摘要数据指示灯状况□正常□不正常端口及网线状况□正常□不正常网络通讯情况□正常□不正常注：包括核心路由器、交换机、防火墙，IPS等安全设备，语音网关及服务器，光电收发器等。支路设备检杳项检杳结果情况摘要数据指示灯状况□正常□不正常端口及网线状况□正常□不正常网络通讯情况□正常□不正常注：包括DMZ区防火墙，Web服务器交换机，数据存储设备等。应用服务器检杳项检杳结果情况摘要服务器工作指示灯状况□正常□不正常网络数据指示灯状况□正常□不正常硬盘工作指示灯状况□正常□不正常服务器运行情况□正常□不正常端口及网线连接状况□正常□不正常网络通讯情况□正常□不正常复核审查人：复审时间：年月日应用服务器检查记录应用服务器检查记录检查项WebMailFTP病毒域OACA负载均衡存储应用系统摘服务器是否正常运行□是□是□是□是□是□是□是□是□是□是硬件温度是否过高□否□否□否□否□否□否□否□否□否□否硬盘