企业信息安全管理制度(试行).doc

企业信息安全管理制度(试行) XX公司信息安全管理制度〔试行〕 第一章总则 第一条为确保信息系统安全可靠稳定运行，降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁，结合公司实际，特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章使命 第三条相关部门、单位使命： 一、信息中心 〔一〕负责组织和协调XX公司的信息系统安全管理工作； 〔二〕负责建立XX公司信息系统网络成员单位间的网络访问规则；对公司本部信息系统网络终端的网络准入进行管理； 〔三〕负责对XX公司统一的两个互联网出口进行管理，配臵防火墙等信息安全设备；会同保密处对公司本部互联网上网行为进行管理； 〔四〕对XX公司统一建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，界定两级单位信息安全管理责 —1 — 任； 〔五〕负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 〔一〕负责人力资源安全相关管理工作。 〔二〕负责将信息安全策略培训纳进年度职工培训计划，并组织实施。 三、各部门 〔一〕负责本部门信息安全管理工作。 〔二〕配合和协助业务主管部门完善相关制度建设，落实日常管理工作。 四、所属各单位 〔一〕负责组织和协调本单位信息安全管理工作。 〔二〕对本单位建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，报XX公司信息中心备案。 第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则： 一、主要领导人负责原则； 二、规范定级原则； 三、依法行政原则； 四、以人为本原则； 五、注重效费比原则； 六、全面防范、特别重点原则； 七、系统、动态原则； 八、特别安全管理原则。 第五条公司保密委应依据业务必需求和相关法律法规，组织制定公司信息安全策略，经主管领导审批公布后，对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分合计信息系统安全策略的“七定〞要求，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容： 一、信息网络与信息系统必需在建设过程中进行安全风险评估，并依据评估结果制定安全策略； 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究，以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点，及时调整安全策略； 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略，并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审，必要时组织修订；当公司的组织架构、 —3 — 生产经营模式等发生重大变化时也应进行评审和修订。 第九条依据“谁主管、谁负责〞的原则，公司建立信息安全分级责任制，各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设臵应满足以下要求： 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。 四、以上岗位人员调离必需办理交接手续，所掌握的口令应立即改换或注销该用户。 第十一条人力资源部在相关岗位任职要求中应包涵信息安全管理的相关条件和要求；将信息安全相关培训纳进年度职工培训计划，并组织实施。 第五章信息系统物理和环境安全管理 第十二条信息系统物理安全指为了确保信息系统安全可靠运行，不致受到人为或自然因素的危害，而对计算机设备、设施〔包括机房建筑、供电、空调〕、环境、系统等采用适当的安全措施。 第十三条信息管理部门应采用切实可行的物理防护手段或 技术措施对物理周边、物理入口、办公及生产区域等进行安全控制，防止无关人员未授权物理访问、损坏和干扰。 第十四条信息管理部门应强化对信息系统机房及配线间的安全管理，要求如下： 一、工作人员必需经授权，方能且只能进入中心机房的授权工作区；确因工作必需要，必需进入非授权工作区时，必需由该授权工作区人员陪同；做好机房出入登记〔格式见附录3-3〕。 二、工作人员必需严格按照规定操作，未通过批准不得超越自己职权范围以外的操作；操作结束时，必需退出已进入的操作画面；最后离开工作区域的人员应将门关闭。 三、非授权人员严禁操作中心机房UPS、专用空调、监控、消防及UPS供配电设备设施。 四、未通过授权，任何人员不得擅自拷贝数据和文件等资料。 五、严禁将易燃、易爆、强磁性物品带入中心机房；严禁在机房内吸烟。 六、发生意外状况应马上采用应急措施，并及时向有关部门和领导报告。 第六章信息系统资产管理 第十五条信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单〔格式见附录3-4〕，并定期对其进行盘点清查。 第十六条设备使用人应对信息和信息系统设备设施、各类 —5 —存储介质等相关资产进行标识。标识应张贴在信息设备的显然位臵，做到信息完整、字迹清楚，并做好防脱落防护工作。 第十七条信息管理部门应对主机进行控制管理，要求如下： 一、关键业务生产系统中的主机原则上应采纳双机热备份方式或n+m的多主机方式，确保软件运行环境可靠； 二、一般业务生产系统中的主机、生产用PC前臵机，关键设备可以采纳软硬件配臵完全相同的设备来实现冷备份； 三、各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求，核心服务器、存储相应时间一般不高于4小时。 第十八条各相关部门应强化信息设备安装、调试、维护、修理、报废等环节的管理工作，防止因信息设备丢失、损坏、失窃以及资产报废处臵不当引起的信息泄露。 第七章信息系统访问控制及操作安全管理第十九条公司将系统运行安全按粒度从粗到细分为四个层次：系统级安全、资源访问安全、功能性安全、数据域安全。 一、系统级安全策略包括：敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特按时间段内登录次数的限制以及远程访问控制等。系统级安全是应用系统的第一道防护大门。 二、资源访问安全策略包括：对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出 现和其权限相符的菜单和操作按钮；在服务端则对URL 程序资源和业务服务类方法的调用进行访问控制。 三、功能性安全策略包括：功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否必需要审核，上传附件不能超过指定大小等。 四、数据域安全策略包括：一是行级数据域安全，即用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤；二是字段级数据域安全，即用户可以访问业务记录的哪些字段。 第二十条用户管理应建立用户身份识别与验证机制，防止非法用户进入应用系统。具体要求如下： 一、公司按照相关的访问控制策略，对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理等方面进行访问控制的管理活动。 二、用户是指用以登录、访问和控制计算机系统资源的帐户。用户管理是指对用户进行分层、授权的管理。用户由用户名加以区分，由用户口令加以保护。按照计算机系统所承载的应用系统运行管理的必需要，将用户分为超级用户、授权用户、一般用户、匿名用户四类，分别控制其权限。 〔一〕超级用户。拥有对运行系统的主机、前臵机、服务器、数据库、运行进程、系统配臵、网络配臵等进行察看、修改、添加、重启等权限并可对下级用户进行授权的用户。由系统管理岗位或网络管理岗位主管进行分配，由系统管理员或网络管理员 —7 — 负责用户口令的日常管理。 〔二〕授权用户。拥有由超级用户依据应用系统开发或运行维护的特别必需要，经过岗位主管的审批，将一些系统命令运行权限所授予的一般用户，由授权用户负责用户口令的日常管理。 〔三〕一般用户。应用系统开发或运行维护人员为应用系统一般监控、维护的必需要，由超级用户分配的一般用户，这类用户仅拥有缺省用户访问权限的用户，由用户负责口令的日常管理。 〔四〕匿名用户。匿名用户用于向公司网络内所有用户提供相应服务，这类用户一般仅拥有浏览权限，无用户名及口令，一般状况下只同意提供如：标准、期刊等无安全要求的系统服务时使用匿名用户。 三、对用户以及权限的设定进行严格管理，用户权限的分配遵循“最小特权〞原则。 四、口令是用户用以保护所访问计算机资源权利，不被他人冒用的基本控制手段。口令策略的应用与其被保护对象有关，口令强度与口令所保护的资源、数据的价值或敏感度成正比。 〔一〕所有在公司局域网网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必需设臵口令保护。 〔二〕所有有权掌握口令的人员必需确保口令在产生、分配、存储、销毁过程中的安全性和机密性。 〔三〕口令应至少要含有8个字符；应同时含有字母和非字母字符口令。 〔四〕口令设臵不能和用户名或登录名相同，不能使用生日、人名、英文单词等易被推测、易被破解的口令，如有可能，采纳机器随机生成口令。 〔五〕口令使用期限由各个系统安全要求而定。 〔六〕口令的使用期限和过期失效应尽可能由系统强制执行。 〔七〕设备在启用时，默认口令必需更改。 第二十一条系统运行安全检查是安全管理的常用工作方法，也是预防事故、发现隐患、指导整改的必要工作手段。信息系统安全管理人员应做好系统运行安全检查与记录〔格式见附录3-5〕。检查范围： 一、应用系统的访问控制检查。包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增加、变更和取消，用户权限的分配是否遵循“最小特权〞原则。 二、应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。 三、应用系统可用性检查：包括系统中断时间、系统正常服务时间和系统恢复时间等。 四、应用系统能力检查。包括系统资源消耗状况、系统交易速度和系统吞吐量等。 五、应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。 —9 — 六、应用系统维护检查。维护性问题是否在规定的时间内解决，是否正确地解决问题，解决问题的过程是否有效等。 七、应用系统的配臵检查。检查应用系统的配臵是否合理和适当，各配臵组件是否发挥其应有的功能。 八、恶意代码的检查。是否存在恶意代码，如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。 九、检查出现异常时应进行记录，非受控变化应及时报告，以确定是否属于信息安全事件，属于信息安全事件的应及时处理。 第二十二条信息管理部门应定期对重要系统、配臵及应用进行备份。备份管理要求如下： 一、各系统应于投产前明确数据备份方法，对数据备份和还原进行必要的测试，并依据实际运行必需要及时调整，每次调整应进行测试； 二、对系统配臵、网络配臵和应用软件应进行备份。在发生变动时，应及时备份； 三、业务数据备份按照各生产系统备份计划的具体要求进行，尽可能实现异地备份； 四、集中管理的系统、设备数据的备份工作由所在单位的信息部门负责； 五、备份介质交接应严格履行交接手续，做好交接登记； 六、介质存放地必需符合防盗、防火、防水、防鼠、防虫、防磁以及相应的洁净度、温湿度等要求。 第八章网络与通信安全管理 第二十三条信息化管理部门采用必要的技术手段和管理措施，强化对网络和通信安全的管理，确保公司内外信息传递安全。网络安全管理包涵网络访问控制、安全机制、网络服务、网络隔离等，基本要求是： 一、定期对重要网络设备运行状况进行安全检查，发现隐患及时上报或整改，并做好记录〔格式见附录3-5〕。 二、定期备份重要网络和通信设备配臵文件，确保发生故障时能及时恢复网络运行，确保网络的可用性。 第二十四条强化内部网络安全管理，具体要求如下： 一、网络机房分区应独立、封闭。 二、网络设备脱离生产环境前应清空所有网络配臵。 三、骨干网络设备应有备份，接入网络设备原则上应按5%比例备份。 四、网络结构和网络配臵应最大限度地确保网络的健壮性、安全性。 五、企业网应依据必需要划分不同的VLAN,并通过访问控制列表控制各VLAN的访问权限。 六、内部网络计算机未通过批准不得安装网络探测软件，严格禁止安装任何黑客软件。 七、生产网络和测试网络必需执行分开，严禁在生产环境 —11 — 中做各种类型的业务测试。 第二十五条强化外联网络安全管理，具体要求如下： 一、外联网络安全遵循最小权限原则，访问控制策略是“同意必需，禁止其他〞。 二、外联网络在穿过不可控区域时数据传输原则上应采纳加密技术。 三、制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、端口、安全策略等秘密，并注意了解对方网络结构及其变化状况。 第二十六条强化互联网安全管理，具体要求如下： 一、互联网与内部网络必需有相关的逻辑隔离，涉及国家秘密的信息不得通过互联网传输。 二、不得访问有关黑客网站，不得下载、安装黑客软件。 三、公司员工访问互连网，必需遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定，不得利用国际互连网从事损害国家、公司及他人利益的活动。 第九章信息系统供应商安全管理 第二十七条公司对信息系统供应商实施安全管理。信息系统供应商包括设备类供应商、技术类供应商、咨询服务类供应商、或者是以上几类的任意组合。 第二十八条信息系统实施过程中，信息化管理部门应与供应商签订安全保密协议，明确信息安全要求。 第二十九条信息化管理部门应对供应商服务全过程进行监视和控制。 第十章信息安全事件管理 第三十条信息安全事件指导致信息资产丢失和损坏，影响信息系统正常工作甚至业务中断的事件。主要有： 一、信息系统软硬件故障； 二、网络通信系统故障； 三、机房供配电系统故障； 四、系统感染计算机病毒； 五、信息系统遭水灾、火灾、雷击； 六、信息网络遭遇入侵或攻击； 七、信息系统内的敏感数据失窃、泄露； 八、信息设备损坏、乱用或失窃； 九、信息被非法访问、使用及窜改； 十、背离信息安全策略规定的其他事项。 第三十一条信息安全事件管理包括组织机构、使命和规程的建立，信息安全事态及信息安全弱点的报告和评估，信息安全事件的应急处理等。 一、建立信息安全事件管理机构和应急预案 〔一〕公司信息安全事件管理机构包涵：XX公司保密委，负责领导信息安全事件管理工作；各级信息化管理部门,负责处臵信息安全事件；信息安全事件响应小组〔负责人〕，负责信息 —13 — 安全事件响应和应急处理。 〔二〕信息化管理部门针对各类信息安全事件应分别制定相应的应急预案，展开必要的知识、技能、意识等培训。适时组织相关人员展开应急演练。 二、展开信息安全事态及信息安全弱点报告和评估。信息系统安全管理和维护人员应强化对网络信息系统日常检查维护，了解外部信息安全变化，充分掌握信息安全事态，及时发现和消除危及系统安全的各类安全隐患。当发现险情时，应马上报告信息安全事件处臵责任部门。完成信息安全事件处理后，应及时进行评估和改善，避免再次发生，并做好记录〔格式见附录3-3〕。 三、信息安全事件应急处理，要求如下： 〔一〕当信息系统出现险情时，维护人员和各级应急救援人员应正确履行应急预案所赋的使命和执行信息安全事件处臵责任部门下达的指令。 〔二〕在发生网络与信息安全事件后，信息化管理部门应尽最大可能迅速收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围和评估事件带来的影响和损害。一旦确认为网络与信息安全事件后，立马上事件上报信息安全领导小组并着手处臵。 〔三〕安全事件进行最初的应急处臵以后应及时采用行动，抑制其影响的进一步扩展，限制潜在的损失与破坏，同时要确保应急处臵措施对涉及的相关业务影响最小。 〔四〕安全事件被抑制之后，通过对有关事件或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。 〔五〕在确保安全事件解决后，要及时清理系统、恢复数据、程序、服务恢复工作应避免出现误操作导致数据丢失。 〔六〕信息安全事件发生时，应及时向公司保密委汇报，并及时报告处臵工作进展状况。事件处臵中要作好完整的过程记录，储存各相关系统日志直至处臵工作结束。 〔七〕系统恢复运行后，信息管理部门应对事件造成的损失、事件处理流程和应急预案进行评估。对响应流程、预案提出修改看法、总结事件处理的经验和教训，撰写“信息安全事件处理报告〞。同时确定是否必需要上报该事件及其处理过程，必需要上报的应及时准备相关材料，属于重大事件或存在违法犯罪行为的第一时间向公安机关网络监察部门报案。 第十一章附则 第三十二条本文件所引用的文件见附录1。 第三十三条本文件相关的名词解释见附录2。 第三十四条本文件所使用的记录见附录3。 第三十五条本文件由信息中心负责解释。 第三十六条本文件为第1次公布，自下发之日起执行。 —15 —附录1：引用文件 附录2：名词解释 指可供利用并产生效益的，企业经营活动过程中涉及到的各种文字、数字、音像、图表、语言等，一切信息的总称。 附录3：相关记录 1.信息安全策略(文件) 2.XX信息系统运维管理办法〔文字〕 6.安全保密协议〔文字〕 7.各类信息安全事件应急预案〔文字〕 —16 — 附录3-3：信息系统检查表 KSEC/JTZD207V1－1 信息系统检查表 —17 — 附录3-4：机房出入登记 KSEC/JTZD207V1－2 机房出入登记 —18 — 附录3-5：信息设备设施台帐 KSEC/JTZD207V1－3 信息设备设施台帐 —19 — 文件更改状态一览表 文件更改状态一览表 —20 —