信息系统资产安全管理制度

信息系统安全管理制度第一章总则第一条为确保公司计算机网络能够安全可靠的运行，避免系统及数据被非法运用或破坏，充足发挥其在生产、经营、办公和信息服务方面的重要作用，更加好的为员工提供服务，特制订本方法。第二条本制度涉及的信息系统，是指由计算机及其有关的配套的设备、设施（含网络）构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等解决的计算机系统；本制度所指的计算机软件是指在我公司内部使用的计算机应用软件。合用于公司范畴内的计算机系统。第二章组织机构和职责第三条成立公司信息安全小组，由公司领导、办公室、各有关部门、计算机维护人员构成，指定公司信息系统安全员和各系统管理员。（见附件一）第四条公司重要领导是公司信息系统管理和网络安全的第一负责人，信息安全小组负责公司计算机应用系统和网络安全的全方面管理和运行维护。第五条计算机系统管理员负责公司内部信息系统及计算机网络安全的管理和维护工作，为公司内部网络的安全运行提供技术保障。第六条信息安全员负责对公司信息化有关的各项申请统计进行复核，审查顾客帐号使用状况和权限分派与否合理，对公司重要信息进行安全分级，定时复查系统管理员填制的各项检查统计。第七条公司的全部计算机及外围设备是公司的固定资产，按照谁使用谁负责的原则，贯彻负责人，使用部门为责任部门，负责保管配备的信息化资产的完好，确保良好的使用环境，并建立资产台账。第三章系统安全管理账号管理第八条应用系统、操作系统、数据库（下列简称“各系统”）的顾客名均应当专人专用，用以识别不同的顾客和账号，以确保可溯源和可追踪性。第九条各系统的管理员账号需进行有效的保护，经公司信息安全小组审核后，由信息系统安全员分派管理员访问权限给系统管理员。第十条各系统均需要设立充足的顾客密码安全方略，涉及：设定密码最小长度不得低于八位；密码一定由数字、字母和符号共同构成；设立密码过期期限，定时更改密码；设立密码锁定前登录失败次数等安全方略。第十一条各信息系统自带的默认账号和密码必须在系统初次使用时进行修改，密码由系统管理员保管。第十二条公司信息系统的访问和应用只限于通过公司内网进行，如因特殊状况需要通过外网访问信息系统的，报信息安全小组同意并由自动化所授权同意后方可进行。第十三条保全处每六个月组织有关业务员部门对信息系统账号进行复核,将信息系统的顾客及其权限清单提交给业务部门负责人,确认并审核权限的合理性。通过查看系统日志，检查不适宜账号和权限的使用状况，对违规使用状况进行通报并立刻整治。第十四条需新增或调节账户权限的顾客，由使用部门提出申请，并填写有关岗位权限调节申请表，经信息安全小组审核同意后，由系统管理员调节顾客账号及对应权限。防病毒管理第十五条公司信息安全小组负责防病毒软件的布署与配备，顾客与信息设备负责人负责所用计算机系统及数据的基本防护。第十六条全部接入公司网络的计算机都必须安装防病毒软件；外来计算机要接入公司网络必须装有防病毒软件和最新的病毒库和查杀引擎，报经信息安全小组负责人同意后，由系统管理员检查该计算机，符合规定后由系统管理员为该计算机设立网络连接。第十七条公司计算机的防病毒软件的实时监控要默认打开，不得私自关闭。第十八条公司计算机的防病毒软件和病毒库要通过一定的技术手段（例如给杀毒软件增加防护密码等）进行保护，避免顾客误删或未经授权强制删除或禁用防病毒程序。第十九条信息安全小组负责指导和培训顾客的防病毒知识，提高顾客的防病毒意识。第二十条系统管理员要定时检查并提示顾客升级最新的操作系统补丁。数据管理第二十一条各部门要对本部门重要信息进行安全分级，对不同的数据文献采用不同的保密方法避免泄密。第二十二条系统管理员对新公布的系统补丁程序进行风险评定，判断补丁程序可能会对各系统带来的影响，必要状况下应在测试环境下进行测试，填写《补丁程序测试统计》，并集中报告给信息安全小组进行审核。经测试无误后方可在生产系统计算机中更新补丁程序。（见附件二《补丁程序测试统计》）第二十三条信息安全员每七天检查上一周由系统管理员检查的各项统计，并对所检查项目进行复核，填写各类统计单。第二十四条DCS负责公司所属工业信息化设备软件和数据的备份，每月对控制系统软件及数据进行一次异地备份，每月对水泥磨工业信息化设备软件及数据进行一次异地备份，负责对设备配套工业信息化设备软件及数据进行备份，全部备份应刻录成光盘，由信息安全员保管。第四章网络与设备管理第二十五条系统管理员定时检查防火墙、服务器及各网络设备监控日志，若发现异常，及时上报和具体统计并跟踪解决；分析、检查和跟进成果均统计在《日志综合检查表》中，信息安全员负责复查确认。（见附件三《日志综合检查表》）第二十六条由于网络设备的特殊重要性，网络设备的配备管理由系统管理员完毕，其它任何人不得改动设备配备。第二十七条为了确保特殊状况下的接管工作，系统管理员必须做好网络设备的配备统计，对每次的配备改动作统计，并备份设备的配备文档，统计配备时间。第二十八条公司网络端口只允许授权顾客使用，不得私自接入交换设备，未办理端口授权手续，不得使用网络端口，严禁自行接线上网。外来人员如需接入内网，需要通过信息主管部门或信息安全小组负责人审批。第二十九条公司内严禁私自搭建无线网络平台，严禁私自接入无线网络设备。若因工作需要组建无线网络的，需向设备保全处申报，由保全处组织对申报的无线平台方案进行论证，同意后方可搭建。第三十条公司的联网工作必须报公司主管部门同意后实施。实施完毕后，应绘制竣工图，报部室信息主管部门。未经公司信息安全小组审批，任何部门不得私自连接交换机、集线器等网络设备，不得私自接入网络，发现私自接入的网络线路将予以拆除，并对有关部门及负责人进行考核。第三十一条计算机网络布线应按照施工原则规范敷设，交换机、光电转换器、HUB的安装力求实用美观；交换机、光电转换器等网络重要设备应绑扎固定；计算机网络和交换机等网络设备集中的机房需含有对应的接地防雷方法。第三十二条公司全部计算机设备、网络设备（涉及交换机、集线器、光电转换器等），应建立台账资料库，台账应涉及全部计算机设备、网络设备的购置年限、普通配备、使用部门、随机资料和软件介质等，具体参考《计算机管理方法》；第三十三条由设备保全处牵头，定时对计算机及其使用状况进行检查；检查内容涉及计算机设备的维护和保养、环境卫生、计算机病毒的查杀、计算机与否安装了与工作无关的其它游戏软件等，一经发现违规状况将予以通报考核。第五章中心机房管理第三十四条DCS工程师站是公司信息化设备的核心区域，涉及范畴广，技术保密性强，环境规定高，对生产的影响较大。为确保设备正常、高效的运行，无关人员不得私自进入。外来人员进入机房必须由主管部门同意，必须有专人陪伴，严禁带与工作无关物品进入；非机房工作人员未经许可不得私自对运行设备及多个配备进行更改。第三十五条路由器、交换机和服务器以及通信设备是网络的核心设备，须放置在机柜内，不得自行配备或更换，更不能挪作它用。第三十六条机房工作人员应做好网络安全工作，网络设备及服务器的多个帐号严格保密。并对各类操作密码定时更改。系统管理人员应不定时监控中心机房设备运行状况，发现异常状况应立刻按照预案规程进行操作，并及时上报和具体统计。（见附件四《机房综合巡检表》、附件五《应用服务器检查统计》）第六章互联网安全及邮件系统管理第三十七条严格执行国家《计算机信息网络国际联网安全保护管理方法》。不得运用网络从事任何有悖网络法规的活动，任何人不得恶意扫描、攻击别人计算机，不得盗用、窃取别人资料、信息等。第三十八条公司各部门人员应严格恪守国家有关法律法规规定，在法律许可范畴内规范使用互联网进行信息交流和传递活动，同时要做好所使用计算机的安全防护，及时安装系统补丁和病毒库，避免网络病毒的传输。第三十九条公司各员工负有信息保密的责任和义务。任何人不得运用公司计算机网络泄露公司机密、技术资料和其它保密资料。第四十条任何人不得在网络上公布有损公司形象和名誉的信息。第四十一条本制度自下发之日起开始执行，由设备保全处负责起草并对口管理。补丁程序测试统计系统名称：系统系统问题描述：

提交人签字：提交日期:一、程序补丁基本信息补丁名称：版本号：公布日期：公布单位：操作系统：语言：补丁内容描述：

获取方式：□网上下载□内部研发□外部提供获取日期：二、补丁更新流程统计测试环境与否准备好：□是□否补丁程序与否完整：□是□否安装过程有无异常：□是□否补丁与否安装成功：□是□否测试人签字：安装日期：注：《程序测试跟踪统计》由签字的测试人完毕。三、程序测试跟踪统计日期系统环境有无异常应用系统有无异常其它信息摘要第一天□有□无□有□无第五天□有□无□有□无第十天□有□无□有□无第十五天□有□无□有□无四、补丁测试结论报告安装补丁后与否解决了原系统问题□是□否其它信息摘要解决了原系统问题有无产生新问题□有□无此补丁有无更新必要□有□无此补丁与否含有推广更新必要□是□否确认人：确认日期：复审人签字：复审日期：日志综合检查表检查时间：年月日检查人：复查时间：年月日复查人：检查项检查成果状况摘要完毕状况解决方法备注□日志服务器设备日志□正常□不正常□已上报□已解决□防火墙自动统计日志□正常□不正常□已上报□已解决□应用服务器统计日志□正常□不正常□已上报□已解决注：重要检查日志有无缺失，有无严重及以上级别的警报，警告内容统计等其它各类异常状况；复查由信息安全员完毕。检查时间：年月日检查人：复查时间：年月日复查人：检查项检查成果状况摘要完毕状况解决方法备注□日志服务器设备日志□正常□不正常□已上报□已解决□防火墙自动统计日志□正常□不正常□已上报□已解决□应用服务器统计日志□正常□不正常□已上报□已解决注：重要检查日志有无缺失，有无严重及以上级别的警报，警告内容统计等其它各类异常状况；复查由信息安全员完毕。检查时间：年月日检查人：复查时间：年月日复查人：检查项检查成果状况摘要完毕状况解决方法备注□日志服务器设备日志□正常□不正常□已上报□已解决□防火墙自动统计日志□正常□不正常□已上报□已解决□应用服务器统计日志□正常□不正常□已上报□已解决注：重要检查日志有无缺失，有无严重及以上级别的警报，警告内容统计等其它各类异常状况；复查由信息安全员完毕。机房综合巡检表检查时间：年月日检查人：一、机房环境检查项检查成果状况摘要检查项检查成果状况摘要温度□正常□不正常湿度□正常□不正常痕迹□正常□不正常清洁□正常□不正常异响□正常□不正常异味□正常□不正常注：痕迹检查地面、墙壁、天花与否有裂痕、水渍；机房内与否有鼠患、蚁患、蟑螂等活动的痕迹。二、周边设备检查项检查成果状况摘要UPS本机负载数据统计ABCUPS□正常□不正常功率KW电池组□正常□不正常容量KVA空调□正常□不正常负载率%消防□正常□不正常峰值比三、应用设备核心设备检查项检查成果状况摘要数据批示灯状况□正常□不正常端口及网线状况□正常□不正常网络通讯状况□正常□不正常注：涉及核心路由器、交换机、防火墙，IPS等安全设备，语音网关及服务器，光电收发器等。支路设备检查项检查成果状况摘要数据批示灯状况□正常□不正常端口及网线状况□正常□不正常网络通讯状况□正常□不正常注：涉及DMZ区防火墙，Web服务器交换机，数据存储设备等。应用服务器检查项检查成果状况摘要服务器工作批示灯状况□正常□不正常网络数据批示灯状况□正常□不正常硬盘工作批示灯状况□正常□不正常服务器运行状况□正常□不正常端口及网线连接状况□正常□不正常网络通讯状况□正常□不正常复核审查人：复审时间：年月日应用服务器检查统计检查项WebMailFTP病毒域OACA负载均衡存储应用系统摘要检查签字复审签字服务器与否正常运行□是□是□是□是□是□是□是□是□是□是硬件温度与否过高□否□否□否□