2025年信息安全策略

TITLE三二一（北京）科技有限企业信息安全方略8月版本控制版本修改時间修改内容修改人员审核人员V1.0-08-25新增陈达隆吴為問總则為了建立、健全三二一（北京）科技有限企业的信息安全管理制度，按照有关的国標，确定信息安全方针和目的，對信息安全風险進行有效管理，保证全体员工理解并遵照信息安全管理制度的有关规定执行，改善信息安全管理制度的有效性，特制定信息安全方略文档。本文档合用于三二一（北京）科技有限企业信息安全管理活動。信息安全范围信息安全方略波及的范围包括：企业全体员工。企业所有业务系统。企业既有信息资产，包括与上述业务系统有关的数据、硬件、软件、服务及文档等。企业办公場所和上述信息资产所处的物理位置。信息安全總体目的通過建立健全企业各项信息安全管理制度、加强企业员工的信息安全培训和教育工作，制定适合企业的風险控制措施，有效控制信息系统面临的安全風险，保障信息系统的正常稳定运行。信息安全方针企业主管领导定期组织有关人员召開信息安全會议，對有关的信息安全重大問題做出决策。清晰识别所有资产，实行等级標识，對资产進行分级、分类管理，并编制和维护所有重要资产的清單。综合使用访問控制、监测、审计和身份鉴别等措施来保证数据、网络、信息资源的安全，并加强對外單位人员访問信息系统的控制，減少系统被非法入侵的風险。启動服务器操作系统、网络设备、安全设备、应用软件的曰志功能，定期進行审计并作對应的记录。明确全体员工的信息安全责任，所有员工必须接受信息安全教育培训，提高信息安全意识。针對不一样岗位，制定不一样等级培训计划，并定期對各個岗位人员進行安全技能及安全认知考核。建立安全事件汇报、事故应答和分类机制，确定汇报可疑的和发生的信息安全事故的流程，并使所有的员工和有关方都能理解和执行事故处理流程，同步妥善保留安全事件的有关记录与证据。對顾客权限和口令進行严格管理，防止對信息系统的非法访問。制定完善的数据备份方略，對重要数据進行备份。数据备份定期進行還原测试，备份介质与原信息所在場所应保持安全距离。与外單位的外包（服务）协议应明确规定协议参与方的安全规定、安全责任和安全规定等有关安全内容，并采用對应措施严格保证對协议安全内容的执行。在開发新业务系统時，应充足考虑有关的安全需求，并严格控制對项目有关文献和源代码等敏感数据的访問。定期對信息系统進行風险评估，并根据風险评估的成果采用對应措施進行風险控制。上述方针由信息安全管理委员會同意公布，并定期评审其合用性和充足性，必要時予以修订。信息安全职责信息安全管理委员會负责同意信息安全方略文献并且保证本文献被企业的各部门执行，同步负责對三二一（北京）科技有限企业信息系统信息安全面的指导方向、安全建设等重大問題做出决策，协调各個部门之间的安全协同工作，支持和推進信息安全工作在整個企业范围内的实行。信息技术部负责详细执行安全管理方略文献的建立、实行、运作、监控、评审、维护和改善工作。三二一（北京）科技有限企业所有员工有责任理解自身在信息系统信息安全面的责任并认真执行。信息安全管理原则信息安全管理工作实行“积极防备、突出重點、职责到位、保障业务”和“谁主管、谁负责”的管理原则。信息安全方略安全管理制度方略由企业统一制定信息安全工作的總体方针和安全方略，阐明安全工作的總体目的、范围、原则和安全框架，形成由安全方略、管理制度、操作规程等构成的全面的信息安全管理制度体系。信息技术部负责安全管理制度的制定，安全管理制度应具有统一的格式和版本控制，同步并组织有关人员對制定的安全管理制度進行论证和审定，并通過脐橙金融网络借贷信息中介平台進行公布。信息安全管理委员會负责定期组织有关部门和有关人员對安全管理制度体系的合理性和合用性進行审定，對存在局限性或需要改善的安全管理制度進行修订。安全管理机构方略成立信息安全管理委员會，全面负责信息安全工作。信息技术部作為信息安全管理工作的职能部门，并设置安全管理专人，并设置应用系统管理员、数据库管理员、网络管理员等岗位，并定义各岗位的职责。关键事务岗位应配置AB角。针對系统变更、重要操作、物理访問和系统接入等事项建立审批程序，按照审批程序执行审批過程，對重要活動建立逐层审批制度，并定期审查审批事项，及時更新需授权和审批的项目、审批部门和审批人等信息，并记录审批過程并保留审批文档。加强组织内部的合作与沟通，定期召開协调會议，共同协作处理信息安全問題，并加强外联單位合作与沟通，并制定外联單位联络列表。制定安全审核和安全检查制度，规范安全审核和安全检查工作，定期按照程序進行安全审核和安全检查活動。人员安全方略人力行政部负责员工录取，严格规范人员录取過程，對被录取人的身份、背景、专业资格和资质等進行审查，對其所具有的技术技能進行考核，并签订保密协议。员工应根据岗位职责规定严格履行其安全角色和职责，重要包括：保护资产免受未授权的访問、泄漏、修改、销毁或干扰，执行特定的安全過程或活動，汇报安全事件或其他風险。安全角色和职责必须清晰的传达給所有员工，保证他們能清晰各自的安全责任。定期對各個岗位的人员進行安全技能及安全认知的考核，對关键岗位的人员要進行全面、严格的安全审查和技能考核。外單位人员在访問企业信息处理设施前必须签订保密协议，保密协议内容包括外單位人员访問信息资产的权利、承担的安全责任、违反职责要承担的後果等。负责接待人员或部门要保证外單位人员理解保密协议的条款和内容，并同意协议规定的权利和责任。企业重要领导承担管理职责，保证所有员工和外單位人员能按照安全方针、方略和程序進行平常工作。管理职责包括使所有员工和外單位人员清晰理解各自的安全角色和安全职责、提高他們的安全意识和安全技能等。定期對所有员工進行安全培训，培训内容包括安全方针、方略、程序、信息处理设施對的使用措施、安全意识等。根据人员的安全角色和职责制定不一样的培训计划，保证所有员工和外單位人员能认识到信息安全問題和信息安全事件，并能按照各自的安全角色履行安全职责。制定正式的纪律处理過程，来严厉处理安全违规的员工，并威慑其他员工，防止他們违反安全方略、程序和其他安全违规。纪律处理要對的、公平，要根据违规的性质、重要性和對业务的影响等原因区别看待。當员工离职或调离其他岗位、外單位人员协议期满時，立即终止本来的安全角色和安全职责，并告知中心所有员工，使所有员工能及時清晰人员的变化。當员工离职或调离其他岗位、外單位人员协议期满時，及時偿還其使用的所有资产，如设备、软件、文献、访問卡、電子资料等，防止對资产的非授权使用，及時删除其對信息和信息处理设施的访問权限。系统建设方略信息技术部负责對信息系统的安全建设進行總体规划，制定近期和遠期的安全建设工作计划；信息技术部根据信息系统的等级划分状况，统一考虑安全保障体系的總体安全方略、安全技术框架、安全管理方略、總体建设规划和详细设计方案，并形成配套文献。应组织有关部门和有关安全技术专家對總体安全方略、安全技术框架、安全管理方略、總体建设规划、详细设计方案等有关配套文献的合理性和對的性進行论证和审定，并且通過同意後，才能正式实行。信息技术部负责安全产品的采购，保证安全产品采购和使用符合国家的有关规定，而密码产品采购和使用符合国家密码主管部门的规定，在采购前应预先對产品進行选型测试，确定产品的候选范围，并定期审定和更新候选产品名單。业务系统的開发、测试和运行设施要分离并進行控制，控制措施包括敏感数据不能拷贝到测试系统环境中、严禁開发和测试人员访問运行系统及其信息等，以減少對运行设施及其信息的未授权访問和带来的潜在風险。定期根据外包服务协议中的安全规定，监视、评审由外單位提供的服务、汇报和记录，监督协议规定的信息安全条款和条件的严格执行。监视、评审内容包括监视服务执行效率，评审服务汇报，审查外包服务的安全事件、操作問題、故障、失误追踪和破壞的记录。授权信息技术部负责工程实行過程的管理，工程实行前应制定详细的工程实行方案控制实行過程，并规定工程实行單位能正式地执行安全工程過程，并制定工程实行方面的管理制度，明确阐明实行過程的控制措施和人员行為准则。新业务系统或升级版本在正式上线前，要進行合适的测试，并根据验收规定和原则進行正式的验收，以证明所有验收准则完全被满足。系统建设完毕後应制定详细的系统交付清單，并根据交付清單對所交接的设备、软件和文档等進行清點；应提供系统建设過程中的文档和指导顾客進行系统运行维护的文档，同步對负责系统运行维护的技术人员進行對应的技能培训。信息技术部负责等级测评的管理，并在系统运行過程中，對信息系统应每年進行一次等级测评，应选择具有国家有关技术资质和安全资质的测评單位，发現不符合對应等级保护原则规定的及時整改；同步在系统发生变更時及時對系统進行等级测评，发現级别发生变化的及時调整级别并進行安全改造，发現不符合對应等级保护原则规定的及時整改。在选择安全服务商時应符合国家的有关规定，并与选定的安全服务商签订与安全有关的协议，明确约定有关责任，同步保证选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务协议。系统运维方略所有的资产要指定专人责任，并對负责人赋予對应的职责，保证所有资产都可以核查。根据资产的重要性、业务价值、依赖程度，對所有资产進行分类、分级，编制资产的清單。對资产清單妥善保管，并在资产变更時及時更新清單，保证可以對资产進行有效的保护。应對磁带、磁盘、闪盘、可移動硬件驱動器、CD、DVD、打印媒体等進行有效的管理，防止非授权的使用和破壞。對可移動存储介质的管理包括所有介质应存储在符合制造商阐明的安全、保密环境中，使用介质要進行授权、登记并追踪审计等。应對不再需要的介质進行安全处置，減少介质敏感信息泄漏給未授权人员的風险。应對信息系统有关的多种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期進行维护管理。应建立配套设施、软硬件维护方面的管理制度，對其维护進行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修過程的监督控制等，应保证信息处理设备必须通過审批才能带离机房或办公地點。重要的紙质文档应实行借阅登记制度，未經信息技术部领导同意，任何人不得将技术文档转借、复制或對外公開;重要的電子文档应建立OA等電子化办公审批平台進行管理。应對通信线路、主机、网络设备和应用软件的运行状况、网络流量、顾客行為等進行监测和报警，形成记录并妥善保留；同步组织有关人员定期對监测和报警记录進行分析、评审，发現可疑行為，形成分析汇报，并采用必要的应對措施。应指定专人對网络和主机進行惡意代码检测并保留检测记录；定期检查信息系统内多种产品的惡意代码库的升级状况并進行记录，對主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或惡意代码進行及時分析处理，并形成書面的报表和總結汇报。应建立對所有密钥的产生、分发和接受、使用、存储、更新、销毁等方面進行管理的制度，密钥管理人员必须是本机构在编的正式员工。应建立变更管理制度，系统发生变更前，制定变更方案，同步向主管领导申請，变更和变更方案通過评审、审批後方可实行变更，并在实行後将变更状况向有关人员通告。遵照信息安全事故汇报机制，汇报也許對中心的信息资产安全导致影响的不一样种类的安全事故和弱點，并保证所有的员工、协议方和外單位人员都遵守执行這套汇报程序。對安全事故進行分类和分级，及時對信息安全事故的类型、频率和影响等進行评估，并采用合适措施防止事故再次发生。应建立有效的技术保障机制，保证在安全事件处置過程中不會因技术能力缺乏而导致处置中断或延長应急处置時间。应建立应急预案，在统一的应急预案框架下制定不一样事件的应急预案，应急预案框架应包括启動应急预案的条件、应急处理流程、系统恢复流程、事後教育和培训等内容；同步应從人力、设备、技术和财务等方面保证应急预案的执行有足够的资源保障。物理安全方略运行维护部负责机房安全，并配置机房安全管理人员，對机房的出入、服务器的開机或关机等工作進行管理；应定期對机房供配電、空调、温湿度控制等设施進行维护管理。应建立机房安全管理制度，對有关机房物理访問，物品带進、带出机房和机房环境安全等方面的管理作出规定。在机房内设置安全防盗报警装置和监控系统来实現防盗、防毁、保障设备的安全。按照有关设计规范和技术规定，在机房设计和建设中做好静電防护设施、防雷装置和接地保护系统。必须建立警报系统，在发現私自進入受控区域時发出警报。對于重要的数据要進行备份，备份数据的寄存位置应符合GBJ45-82中规定的一级耐火等级，符合防火、防高温、防水、防震等规定；定期對备份数据進行检查，保证其可用性。對于办公环境，应加强企业人员的保密性管理，工作人员调离办公室应立即交還该办公室钥匙、不在办公区接待来访人员、离開電脑時应锁屏、在办公桌面不得摆放具有企业客户数据等敏感信息的文献。主机安全方略应指定专人對系统進行管理，划分系统管理员角色，明确各個角色的权限、责任和風险，权限设定应當遵照最小授权原则；并建立系统安全管理制度，對系统安全方略、安全配置、曰志管理和平常操作流程等方面作出详细规定；同步根据操作手册對系统進行维护，详细记录操作曰志，包括重要的平常操作、运行维护记录、参数的设置和修改等内容，严禁進行未經授权的操作。应提高全体顾客的防病毒意识，安装防病毒软件，及時告知防病毒软件版本，在讀取移動存储设备上的数据以及网络上接受文献或邮件之前，先進行病毒检查，對外来计算机或存储设备接入网络系统之前也应進行病毒检查。當因内外部审核、软件開发、软件安装或其他规定需求而需要特殊的访問账号時，账号必须被授权；创立的曰期期限必须明确；工作結束時此账号必须删除。所有账号都必须使用分派的顾客進行唯一性標识。应指派专人负责删除個人账号；必须将修改顾客账号有关信息的過程文献化；必须定期评审既有账号的有效性，并将此過程文献化。操作系统应遵照最小安装的原则，仅安装需要的组件和应用程序，并通過设置升级服务器等方式保持系统补丁及時得到更新。应定期的對服务器和重要客户端上的每個操作系统顾客和数据库顾客進行审计，审计内容包括重要顾客行為、系统资源的异常使用和重要系统命令的使用等系统内重要的安全有关事件。在访問操作系统過程中，對于不活動的會话必须设定在一种不活動周期後关闭，以防止未授权人员访問和拒绝服务袭击。记录系统管理员和系统操作员的操作曰志，并定期评审這些曰志信息。系统管理员和系统操作员的曰志应包括事件发生的時间，波及的帐号和管理员或操作员，事件或故障的信息内容等信息。网络安全方略应建立网络安全管理制度，對网络安全配置、曰志保留時间、安全方略、升级与打补丁、口令更新周期等方面作出规定；同步应指定专人對网络進行管理，负责运行曰志、网络监控记录的平常维护和报警信息分析和处理工作；应实現设备的最小服务配置，并對配置文献進行定期离线备份；应定期對网络系统進行漏洞扫描，對发現的网络系统安全漏洞進行及時的修补；应根据廠家提供的软件升级版本對网络设备進行更新，并在更新前對既有的重要文献進行备份。应保证所有与外部系统的连接均得到授权和同意；并根据安全方略容許或者拒绝便携式和移動式设备的网络接入；同步定期检查违反规定拨号上网或其他违反网络安全方略的行為。计算机设备假如無人值守必须启動