企业信息安全管理制度

——2———11—XX〔试行〕第一章总则第一条为保证信息系统安全牢靠稳定运行，降低或阻挡人用性带来的安全威逼，结合公司实际，特制定本制度。其次条本制度适用于XX公司以及所属单位的信息系统安全治理.其次章职责第三条 一、信息中心〔一〕XX〔二〕负责建立XX公司信息系统网络成员单位间的网络访问规章；对公司本部信息系统网络终端的网络准入进展治理；〔三〕XX为进展治理；〔四〕对XX公司统一建设的信息系统制定专项运维治理方法,明确信息系统安全治理要求,界定两级单位信息安全治理责任;〔五〕XX全治理。二、人力资源部〔一〕〔二〕负责将信息安全策略培训纳入年度职工培训打算,并组织实施。三、各部门〔一〕〔二〕协作和帮助业务主管部门完善相关制度建设，落实日常治理工作。四、所属各单位〔一〕〔二〕对本单位建设的信息系统制定专项运维治理方法，XX第三章信息安全策略的根本要求第四条 信息系统安全治理应遵循以下八个原则:一、主要领导人负责原则；二、标准定级原则；三、依法行政原则；四、以人为本原则；五、留意效费比原则；六、全面防范、突出重点原则;七、系统、动态原则；八、特别安全治理原则。第五条公司保密委应依据业务需求和相关法律法规,组织方进展传达和培训。第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第七条信息安全策略主要包括以下内容：一、信息网络与信息系统必需在建设过程中进展安全风险评估，并依据评估结果制定安全策略；二、对已投入运行且已建立安全体系的系统定期进展漏洞扫描,以便准时觉察系统的安全漏洞;〔如入侵检测日志等)审计结果进展争论,以便准时觉察系统的安全漏洞；四、定期分析信息系统的安全风险及漏洞、分析当前黑客格外入侵的特点，准时调整安全策略；五、制定人力资源、物理环境、访问掌握、操作、备份、系统猎取及维护、业务连续性等方面的安全策略,并实施。第八条公司保密委每年应组织对信息安全策略的适应性、生产经营模式等发生重大变化时也应进展评审和修订。第九条依据“谁主管、谁负责”的原则，公司建立信息安全分级责任制，各层级落实信息系统安全责任.第四章人力资源安全治理第十条 信息系统相关岗位设置应满足以下要求:一、安全治理岗与其它任何岗位不得兼岗、混岗、代岗。二、系统治理岗、网络治理岗与应用治理岗不得兼岗、混岗。三、安全治理岗、系统治理岗、网络治理岗、应用治理岗、设备治理岗、技术档案治理岗原则上有人员备份.四、以上岗位人员调离必需办理交接手续，所把握的口令应马上更换或注销该用户。第十一条人力资源部在相关岗位任职要求中应包含信息安训打算,并组织实施。第五章信息系统物理和环境安全治理第十二条信息系统物理安全指为了保证信息系统安全牢靠〔包括机房建筑、供电、空调〕、环境、系统等实行适当的安全措施。第十三条信息治理部门应实行切实可行的物理防护手段或制，防止无关人员未授权物理访问、损坏和干扰。第十四条信息治理部门应加强对信息系统机房及配线间的安全治理，要求如下：一、工作人员需经授权，方能且只能进入中心机房的授权工作区;确因工作需要，需进入非授权工作区时,需由该授权工作区人员伴随;做好机房出入登记〔格式见附录3—3〕.二、工作人员必需严格依据规定操作，未经批准不得超越画面；最终离开工作区域的人员应将门关闭.三、非授权人员严禁操作中心机房UPS消防及UPS供配电设备设施.五、严禁将易燃、易爆、强磁性物品带入中心机房；严禁在机房内吸烟.六、发生意外状况应马上实行应急措施，并准时向有关部门和领导报告。第六章信息系统资产治理第十五条信息治理部门应对信息和信息系统设备设施等相关资产建立台帐清单(格式见附录3—4〕,并定期对其进展盘点清查.第十六条设备使用人应对信息和信息系统设备设施、各类置，做到信息完整、字迹清楚，并做好防脱落防护工作。第十七条信息治理部门应对主机进展掌握治理,要求如下：一、关键业务生产系统中的主机原则上应承受双机热备份方式或n+m的多主机方式，确保软件运行环境牢靠；二、一般业务生产系统中的主机、生产用PC前置机，关键设备可以承受软硬件配置完全一样的设备来实现冷备份；三、各类设备在选购时技术规格中应明确效劳响应时间、一般不高于4小时。第十八条各相关部门应加强信息设备安装、调试、维护、修理、报废等环节的治理工作，防止因信息设备丧失、损坏、失窃以及资产报废处置不当引起的信息泄露。第七章信息系统访问掌握及操作安全治理第十九条公司将系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。一、系统级安全策略包括：敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、是应用系统的第一道防护大门.二、资源访问安全策略包括：对程序资源的访问进展安全掌握，在客户端上，为用户供给和其权限相关的用户界面,仅消灭和其权限相符的菜单和操作按钮;在效劳端则对URL程序资源和业务效劳类方法的调用进展访问掌握。三、功能性安全策略包括：功能性安全会对程序流程产生超过指定大小等.四、数据域安全策略包括：一是行级数据域安全，即用户可以访问哪些业务记录,一般以用户所在单位为条件进展过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。其次十条用户治理应建立用户身份识别与验证机制，防止非法用户进入应用系统。具体要求如下:一、公司依据相关的访问掌握策略，对用户注册、访问开通、访问权限安排、权限的调整及撤销、安全登录、口令治理等方面进展访问掌握的治理活动.二、用户是指用以登录、访问和掌握计算机系统资源的帐户.用户治理是指对用户进展分层、授权的治理.用户由用户名加以区分，由用户口令加以保护.依据计算机系统所承载的应用系匿名用户四类，分别掌握其权限。〔一〕岗位或网络治理岗位主管进展安排,由系统治理员或网络治理员负责用户口令的日常治理。〔二〕权限所授予的一般用户，由授权用户负责用户口令的日常治理.〔三〕户仅拥有缺省用户访问权限的用户，由用户负责口令的日常治理。〔四〕供相应效劳，这类用户一般仅拥有扫瞄权限，无用户名及口令，时使用匿名用户.三、对用户以及权限的设定进展严格治理，用户权限的分配遵循“最小特权“原则。四、口令是用户用以保护所访问计算机资源权利，不被他人冒用的根本掌握手段。口令策略的应用与其被保护对象有关,口令强度与口令所保护的资源、数据的价值或敏感度成正比。〔一〕全部在公司局域网网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必需设置口令保护.〔二〕全部有权把握口令的人员必需保证口令在产生、安排、存储、销毁过程中的安全性和机密性。〔三〕口令应至少要含有8个字符；应同时含有字母和非字母字符口令。〔四〕日、人名、英文单词等易被猜测、易被破解的口令，如有可能，承受机器随机生成口令.〔五〕〔六〕行。〔七〕其次十一条 系统运行安全检查是安全治理的常用工作方法，也是预防事故、觉察隐患、指导整改的必要工作手段。信息〔格式见附录3—5〕。检查范围：一、应用系统的访问掌握检查.包括物理和规律访问掌握，是否依据规定的策略和程序进展访问权限的增加、变更和取消，用户权限的安排是否遵循“最小特权”原则.二、应用系统的日志检查.包括数据库日志、系统访问日志、系统处理日志、错误日志及特别日志.三、应用系统可用性检查：包括系统中断时间、系统正常效劳时间和系统恢复时间等。四、应用系统力量检查。包括系统资源消耗状况、系统交易速度和系统吞吐量等。五、应用系统的安全操作检查。用户对应用系统的使用是否依据信息安全的相关策略和程序进展访问和使用。六、应用系统维护检查。维护性问题是否在规定的时间内——10———11—解决，是否正确地解决问题，解决问题的过程是否有效等。七、应用系统的配置检查.检查应用系统的配置是否合理和适当，各配置组件是否发挥其应有的功能.八、恶意代码的检查。是否存在恶意代码，如病毒、木马、等。九、检查消灭特别时应进展记录，非受控变化应准时报告,以确定是否属于信息安全大事 ,属于信息安全大事的应准时处理。进展备份.备份治理要求如下：一、各系统应于投产前明确数据备份方法，对数据备份和应进展测试；二、对系统配置、网络配置和应用软件应进展备份。在发生变动时，应准时备份；三、业务数据备份依据各生产系统备份打算的具体要求进展，尽可能实现异地备份；四、集中治理的系统、设备数据的备份工作由所在单位的信息部门负责;五、备份介质交接应严格履行交接手续，做好交接登记；六、介质存放地必需符合防盗、防火、防水、防鼠、防虫、防磁以及相应的干净度、温湿度等要求。第八章网络与通信安全治理其次十三条 信息化治理部门实行必要的技术手段和治理措施加强对网络和通信安全的治理保障公司内外信息传递安全。网络安全治理包含网络访问掌握、安全机制、网络效劳、网络隔离等，根本要求是:一、定期对重要网络设备运行状况进展安全检查，觉察隐患准时上报或整改，并做好记录(格式见附录3—5〕.二、定期备份重要网络和通信设备配置文件，确保发生故障时能准时恢复网络运行，保证网络的可用性。其次十四条 加强内部网络安全治理，具体要求如下:一、网络机房分区应独立、封闭.二、网络设备脱离生产环境前应清空全部网络配置.5%比例备份。四、网络构造和网络配置应最大限度地保证网络的强健性、安全性。五、企业网应依据需要划分不同的N列表掌握各VLAN的访问权限.六、内部网络计算机未经批准不得安装网络探测软件，严格制止安装任何黑客软件.七、生产网络和测试网络必需实行分别,严禁在生产环境中做各种类型的业务测试.其次十五条 加强外联网络安全治理，具体要求如下：许必需,制止其他”。二、外联网络在穿过不行控区域时数据传输原则上应承受加密技术。三、制定外联网络方案时应留意保守本公司网络拓扑结构、IP地址、端口、安全策略等隐秘，并留意了解对方网络构造及其变化状况。其次十六条 加强互联网安全治理，具体要求如下：一、互联网与内部网络必需有相关的规律隔离，涉及国家隐秘的信息不得通过互联网传输。二、不得访问有关黑客网站,不得下载、安装黑客软件。三、公司员工访问互连网，必需遵守《中华人民共和国计连网从事损害国家、公司及他人利益的活动。第九章信息系统供给商安全治理其次十七条 公司对信息系统供给商实施安全治理.信息系统供给商包括设备类供给商技术类供给商询问效劳类供给商、或者是以上几类的任意组合。其次十八条 信息系统实施过程中信息化治理部门应与供给商签订安全保密协议，明确信息安全要求.其次十九条 信息化治理部门应对供给商效劳全过程进展监视和掌握。第十章信息安全大事治理第三十条信息安全大事指导致信息资产丧失和损坏，影响信息系统正常工作甚至业务中断的大事。主要有：一、信息系统软硬件故障；二、网络通信系统故障;三、机房供配电系统故障；四、系统感染计算机病毒;五、信息系统遭水灾、火灾、雷击；六、信息网络患病入侵或攻击;七、信息系统内的敏感数据失窃、泄露；八、信息设备损坏、滥用或失窃;九、信息被非法访问、使用及篡改；十、违反信息安全策略规定的其他事项。大事的应急处理等.一、建立信息安全大事治理机构和应急预案〔一〕公司信息安全大事治理机构包含：XX公司保密委，置信息安全大事；信息安全大事响应小组〔负责人),负责信息安全大事响应和应急处理。〔二〕相应的应急预案,开展必要的学问、技能、意识等培训。适时组织相关人员开展应急演练。二、开展信息安全事态及信息安全弱点报告和评估.信息系统安全治理和维护人员应加强对网络信息系统日常检查维护，危及系统安全的各类安全隐患.当觉察险情时，应马上报告信息安全大事处置责任部门.完成信息安全大事处理后,应准时进展评估和改进，避开再次发生，并做好记录〔格式见附录3-3〕。三、信息安全大事应急处理，要求如下：〔一〕当信息系统消灭险情时,维护人员和各级应急救援人员应正确履行应急预案所赋的职责和执行信息安全大事处置责任部门下达的指令。〔二〕尽最大可能快速收集大事相关信息，鉴别大事性质,确定大事来源,弄清大事范围和评估大事带来的影响和损害。一旦确认为网处置。〔三〕动，抑制其影响的进一步扩大,限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。〔四〕安全大事被抑制之后，通过对有关大事或行为的分析结果，找出其根源,明确相应的补救措施并彻底去除。〔五〕在确保安全大事解决后，要准时清理系统、恢复数据、程序、效劳恢复工作应避开消灭误操作导致数据丧失.〔六〕录,保存各相关系统日志直至处置工作完毕。〔七〕修改意见、总结大事处理的阅历和教训,撰写“信息安全大事处理报告“。同时确定是否需要上报该大事及其处理过程，需要上报的应准时预备相关材料,属于重大大事或存在违法犯罪行为的第一时间向公安机关网络监察部门报案。第十一章 附则第三十二条 本文件所引用的文件见附录1.第三十三条 本文件相关的名词解释见附录2。第三十四条 本文件所使用的记录见附录3。第三十五条 本文件由信息中心负责解释。第三十六条 本文件为第1次公布，自下发之日起执行。附录1：引用文件序号文件名称序号文件名称公布单位岗位标准人力资源部22培训治理方法人力资源部附录2：名词解释1.信息