信息安全管理办法

信息安全管理办法目的和范围为加强和规范中国xx集团有限公司信息系统安全防护实施工作，确保信息系统的安全实施，提高信息系统整体安全防护水平，实现信息系统的可控、能控、在控。现参照《中华人民共和国计算机信息网络国际联网安全保护管理制度》、《互联网信息服务管理规定》，特制定本管理制度。本办法属于公司管理体系三层次文件中的第二级，其上级管理文件为《信息化管理程序》。此文件不需二级单位编制实施细则。本办法适用于全部职能部门、二级单位（含分（子）公司、事业部）及项目部。相关术语本办法所指的信息系统是指信息基础设施（包括软、硬件）。管理原则3.1信息系统安全防护实施工作应统一组织，坚持与信息化建设同时规划、同时建设、同时投入运行的“三同步”原则。3.2信息系统安全防护工作按照“统一领导，分级负责”的原则，统一组织安全防护体系的实施工作。管理风险公司网络被攻击、破坏风险。上网实名制风险。管理职责5.1集团网络安全和信息化领导小组是信息安全防护工作的管理主责机构，各分子公司在集团网络安全和信息化领导小组的指导下，具体负责组织本公司信息系统安全防护实施工作。5.1信息系统安全防护工作主要职责：负责落实相关的标准、规范和管理要求；负责建立信息系统安全防护策略、制度、标准、规范体系；负责指导、协调、检查、监督各单位的信息系统安全防护实施工作；组织落实信息系统等级保护制度。管理内容、程序内容与要求本办法对信息系统安全防护策略、安全防护措施建设与对信息系统维护、安全检查等管理工作做出具体规定。应建立健全安全防护策略，落实各项安全防护措施，通过对信息系统进行信息安全检查，不断改善信息系统安全防护工作。安全防护建设信息系统安全防护建设要与信息化建设同步规划、同步建设、同步投入运行，要按照信息系统等级保护要求，采取相应安全策略，实现相应安全功能。对于新建的信息系统，在规划阶段要先确定信息系统安全等级，在设计阶段提出安全目标、安全需求及安全功能，结合总体安全防护策略，在实施阶段落实信息系统的相关安全要求，确定安全防护措施，在系统上线前应经过功能、性能和安全性测评，未经测评通过不得上线运行。已建信息系统要根据信息系统等级保护要求实施信息安全等级评估与改造，保证在不影响现有业务应用的情况下落实各类安全保护措施。改造后的信息系统未通过信息安全测评不得上线。集团网络安全和信息化领导小组负责制定及审核信息系统建设过程中的安全防护措施，网络安全和信息化领导小组办公室负责实施。安全防护策略信息系统要落实安全防护等级保护制度，实行“系统分级、防护分域、预防为主、积极管控”的总体安全防护策略。按照规定，逐步进行信息系统安全防护等级保护工作，重点做好信息系统的安全等级防护工作。根据信息系统管理的重要程度，应对系统进行安全等级的划分，并采取不同强度的安全防护措施。信息系统安全防护工作应以预防为主，从信息安全风险管理的角度出发、从信息系统全生命周期各阶段的特点出发、从业务系统的安全特性出发，采取主动、严密的预防措施，达到防患于未然的目的。为全面应对信息安全事件需要建立积极的管控机制，融合技术和管理手段，实现对信息安全风险的主动跟踪、及时掌握、有效处理，达到可控、能控、在控的管理效果。集团网络安全和信息化领导小组办公室负责组织制定公司信息系统安全防护体系，负责确定信息系统各个部分的安全防护等级，以及要采取的安全策略、安全措施及管理制度等，制定信息系统安全防护方案和信息系统等级化实施方案，制定信息系统与设备接入、访问、授权、加固、审计、系统和数据备份等具体安全策略。安全防护技术应按照信息系统的特性，对其进行安全防护，可利用但不仅包括下列技术：对网络设备进行统一集中的配置、管理及监控，全面准确地掌握网络拓扑和网络设备的运行情况，监测网络流量，提高网络管理的效率和质量。在网络边界部署防火墙，实现网络边界的Web应用防护、Web弱点扫描器、网页防篡改等功能，要求防火墙访问控制规则正确有效。互联网出口部署负载均衡设备，实现对DDos攻击的防护，确保网络出口的可用性。关闭23等远程控制端口，对外发布的设备只开启业务需要的通信端口，其余端口应该在防火墙和设备上进行关闭。保持所有网络安全设备规则库版本、漏洞库版本及时升级。公司局域网内用户实行实名制上网，外网用户连入公司内网必须使用VPN验证登陆，VPN同样使用实名制原则。对公司局域网中所有用户的行为进行监控记录，保证公司所有网络行为具备可追溯性。对系统主机和数据库进行必要的安全加固，通过合理地设置系统配置、服务、权限，减少安全弱点。系统服务器和客户端应严格控制操作系统及应用软件的安装与使用。建立数据备份机制及数据备份策略。安全防护运行管理制定安全管理相关制度，落实岗位责任制，加强安全工作。安全防护系统应由专人管理，根据信息系统的变更及时调整安全策略、更改配置，加强日常运行监控。加强企业级信息系统的用户口令管理；对于主机、数据库、应用服务器等系统管理员口令应定期更改。加强对企业级信息系统的数据备份管理，制定并及时调整备份策略，落实备份制度。制定企业级信息系统的应急预案，不断改进薄弱环节。加强信息安全事件的应急管理，建立和规范信息安全事件的发现、预警、分析、通报、及处置的工作流程，确保一旦发生网络与信息安全事件时，能够及时有效处理。加强信息系统安全日志管理，严格执行系统审计。做好安全分析工作，消除安全隐患。建立员工信息安全与保密制度。对信息系统的访问严格按照访问权限进行控制和调整。对外