信息安全管理制度-模板.doc

信息安全管理制度-模板 信息安全管理制度 保密等级：内部公开 编制日期 审核日期 检察日期 批准日期 文件修订履历表 信息安全管理制度 1 目的 为满足业务运行要求，遵守国家法律法规，实施信息安全风险管理，确保信息安全以及实现继续改善的目的，特制定此制度。 2 范围 本制度适用于xxx〔以下简称xxx集团或集团〕信息安全整体工作，在集团范围内给予执行。 3 使命 3.1 最高管理者在公司的战略层面统筹推动两化融合。 3.2 管理者代表提出本公司的两化融合相关决策建议。 4 引用文件 无 5 信息安全建设和管理 5.2 人员安全管理 5.2.1 人力资源管理部门负责人员安全管理，应建立以员工为中心的人力资源管理策略。 5.2.2 人员聘用时必需明确员工信息安全责任，人力资源部门必需在新员工入职一个月内组织一次信息安全培训，并且每年定期组织一次针对全体员工的信息安全培训和宣导，提升员工的商业秘密保护意识。 5.2.3 员工离职时须严格按照离职流程进行，各交接人应该负责交接信息的安全处理，以确保相关信息资料的不外泄。 5.2.4 信息安全必需要全体员工的参加和支持，全体员工都有保护信息安全的使命，在岗位使命中应明确对信息安全的要求。特别岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全使命和权限。 5.3 信息安全风险评估 5.3.1 集团每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或薄弱点及是否必需要增加新的控制措施。 5.3.2 信息资源管理部负责组织成立风险评估小组。 5.3.3 风险评估小组组长负责进行信息安全风险评估的策划，风险评估小组按策划进行风险评估。 5.3.4 集团各部门负责按规定进行风险处理,并定期输出《xx信息安全风险评估报告》。 5.3.5 当集团发生以下状况时必需及时进行风险评估： 1〕当发生重大信息安全事故时； 2〕当信息网络系统发生重大更改时； 3〕管理者代表确定有必要时。 5.3.6 与外部公司签订合约时应进行信息安全风险评估； 5.4 信息安全事件报告和协查 5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。 5.4.2 强化值班管理及时发现信息，安全事件和隐患。 5.4.3 一旦发现信息安全案事件，应具体、如实记录事件经过，储存相关日志，并形成相应分析报告，并及时通知有关人员，并与公安部门取得联系。 5.5.4 进行网络违法案件及其他信息安全检查时，有关人员必需积极配合。 5.5 知识产权保护 5.5.1 集团从正当渠道获取各类专利、专有技术和正版软件，以确保著作人的版权和知识产权不受侵害。 5.5.2 集团员工应遵守从互联网获得软件和信息的条款规定。 5.5.3 法律、法规和合同约定的要求有限制内容的，集团员工除非得到授权的许可，否则不得复制、转换到另一种格式以提取文件内容，不得整体或部分的复制其文档内容。 5.5.4 集团各部门保留各类专利、专有技术、软件的授权文件〔证书〕、软件母盘及手册等证实和证据。 5.5.5 集团在授权范围内使用经授权的专利或专有技术，并采用必要的技术和管理手段，尽一切努力保护其所有人的合法权益不受第三方侵害。 5.6 密码安全管理规定 集团所有计算机、服务器、网络交换机等IT设备与信息系统必需按本规定要求设置相关密码。 5.6.1 用户的个人办公账号必需按照要求设置初始密码，用户必需在首次使用时更改密码并妥善保管，不得散发或与他人共享。 5.6.2 用户密码的设置不应少于10位，最好包涵大小写字母、数字和特别字符。5.6.3 信息系统管理员密码长度至少要求10位，必需包涵字母、数字与特别字符。 5.6.4 服务器、防火墙、路由器、交换机、网络负载等重要IT设备的超级管理员密码长度应在12位以上，且必需包涵字母、数字与特别字符。 5.6.5 以上所有密码均不能使用姓名的汉语拼音、生日，重复、顺序、规律数字、工号和常见的英文单词等容易推测的数字和字符串。 5.6.6 以上所有密码，每三个月定期更改，以加强密码的安全性。 5.6.7 服务器、防火墙、路由器、交换机、网络负载等重要设备的超级管理员密码由系统管理员自行储存，严禁将密码转告他人；假设因工作必需要必需转告，应由信息资源管理部负责人审批；非系统管理员使用密码完成工作后，系统管理员应该及时更改密码，确保密码安全。 5.7 机房安全管理 5.7.1 服务器及网络设备相关管理人员应尽量通过远程连接方式对服务器端进行维护，减少进入机房操作。 5.7.2 关于已获得批准进入机房的外来技术人员，相关设备负责人必需对其工作内容进行规范及管控。 5.7.3 进入机房工作人员应恪守保密原则，不得泄露机房各种信息资料与数据。5.7.4 外来人员对各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、改换必必需经相关系统负责人书面批准后方可进行；必需按规定进行具体登记和记录，对各类软件、现场资料、档案整理存档，受访部门负责相应安全责任。 5.7.5 在机房设安全监控探头，并进行全天监视和录像，安全监控录像信息的储存周期为90天。 5.7.6 机房内应配备温度计，机房管理人员应天天关注温度的变化，做好机房的防潮、防湿、防高温工作，一般状况下，当机房的温度超过28摄氏度的话，则应开启降温设备做好降温工作。 5.7.7 机房管理人员定期检查机房线路、消防器材、火灾自动报警、火灾自动灭火系统等消防设施，确保其状态优良。 5.8 计算机安全管理 5.8.1 任何人不同意私自拆卸计算机及增减组件。 5.8.2 下班后所有不再使用的计算机，应关闭主机及显示器，关于公共的计算机，原则上由最后一个使用人员关机，并关闭电源。外来人员不得操作公司计算机。5.8.3 员工离开工作岗位时应马上用带密码的计算机屏幕保护锁定计算机。 5.8.4 操作系统由集团统一提供，禁止安装使用其它来源的操作系统，特别是未通过授权的非法拷贝。 5.8.5 集团提供的全部软件仅限于员工完成工作所使用；未通过许可，不得将集团购买或开发的软件擅自提供给第三方。 5.8.6 计算机必需打开操作系统自带防火墙，使用人员不得私自改变计算机的安全配置，不得私自以任何方式接入互联网，不得从事危害网络秩序、网络安全的活动。 5.9 服务器安全管理 5.9.1 集团所有服务器必需严格按照密码安全管理规定设置开机密码、系统登陆密码、以及带密码的屏幕保护。 5.9.2 集团所有服务器应按照信息资源管理部相关安全技术规范来设置安全策略，策略设定后要进行有效性检查，确保有效执行。 5.9.3 服务器日常操作和维护由系统管理人员负责，未通过许可其他人不得对服务器进行操作。 5.9.4 为了确保服务器的运行效能和安全，只同意安装压缩、杀毒等必要的应用软件，严禁安装游戏、聊天工具等与系统无关的软件。 5.9.5 系统管理人员定期对服务器进行巡检，发现服务器有严重错误或黑客入侵等行为，必需马上采用措施进行处理。 5.9.6 服务器的关键信息及重要数据应定期备份，确保系统一旦发生故障时能够快速恢复。 5.9.7 原则上不同意在个人电脑上共享公司有商业价值的重要文件或在部门公共盘上存放有商业价值的重要文件。 5.10 网络安全管理 5.10.1 集团所有网络设备密码必需严格按照密码安全管理规定执行。 5.10.2 未通过信息资源管理部批准，任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数。 5.10.3 网络管理人员定期对网络、系统、线路和设备的运行状况进行统计分析，优化网络性能，确保系统和设备运行正常、完好。 5.10.4 定期进行网络安全漏洞扫描，及时发现网络漏洞，及时进行整改。 5.10.5 网络管理人员通过技术手段对集团网络进行不间断监控，及时发现和拒绝不安全的操作以及黑客攻击行为，阻止网络内外的入侵。 5.10.6 网络管理人员每个季度对路由器、防火墙、安全监控系统的安全策略进行一次检察和必要的修改，并对配置文件进行备份储存，以确保安全策略的完整性和一致性。 5.10.7 网络优化、安全策略调整、或网络设备新增时，必需经过具体研究讨论和全面测试，并要通过安全方案审核，确保网络系统的安全和正常运行。 5.10.8 禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给无关人员或向外随意传播。 5.11 计算机病毒防治 5.11.1 集团所有计算机及服务器必需统一安装经信息资源管理部批准的企业防病毒软件。 5.11.2 防病毒软件由信息资源管理部依据集团网内病毒和黑客软件的入侵、处理和分布状况，调整管理策略和配置，并及时下发策略。 5.11.3 禁止用户私自禁用或绕开企业防病毒软件。 5.11.4 企业防病毒软件不能自动清除并引起安全事故的病毒，应及时上报IT运维人员及信息资源管理部。 5.11.5 防病毒服务器是防病毒体系关键部分，须建立巡检制度，系统管理人员天天检查服务器状态，病毒定义码以不超过7天为准，并检查客户端分发状态。 5.11.6 集团各部门/各分支机构计算机接受防病毒服务器的管理，在每次开机时自动从防病毒服务器上下载最新病毒库。 5.11.7 计算机设备保管人应定期检查防病毒软件安装及病毒库的升级状况。 5.11.8 用户在使用任何电子媒介前都应对其进行病毒扫描，对发现病毒的电子媒介应禁用，病毒清除后方可使用，对不能清除的病毒，应及时上报信息资源管理部。 5.11.9 用户应在计算机启动后必需检查是否已启动病毒实时监测系统，如未启动，应在进行其他操作前启动病毒实时监测系统。 5.12 信息系统安全管理 5.12.1 信息系统投运前，信息资源管理部要掌握有关设备所提供的各种系统监控、维护工具，并检查其安全性和完整性。 5.12.2 为确保信息系统正常运行，由信息资源管理部指定专人〔系统管理员〕负责信息系统的应用及数据库管理，包括对程序、硬件、网络、操作系统等的安装、修正、备份等操作。 5.12.3 信息系统管理员建立系统维护记录，执行维护过程登记。对故障的发生时间、表现与频率、解决方法、结果进行具体记录，形成专门的系统管理维护记录。 5.12.4 信息系统必需求变更应当严格遵照管理流程进行操作。信息系统管理员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变信息系统环境配置。 5.12.5 依据业务性质、重要性程度、涉密状况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。 5.12.6 集团所有信息系统只限于集团内部使用，严禁将信息系统软件以任何形式调用、出借、挪用给该范围以外的任何单位或个人。 5.12.7 定期对信息系统中的数据进行备份，以便服务器发生故障时，能启用备份恢复数据到最近状态。必需备份的数据包括：应用程序备份、数据库备份。备份方式包括每日系统自动备份、系统管理员不定期储存备份。 5.12.8 对信息系统数据的备份、恢复、转出及转入权限严格控制，禁止除系统管理员之外的其他人员进行操作。 5.12.9 任何人员不得直接打开信息系统数据库文件进行操作，不得随意增加、删除、修改数据，不得修改原程序和数据库表结构。 5.12.10 信息系统硬件设备的报废应由使用部门提出申请，信息资源管理部依据设备的使用状况进行审核，提出设备报废清单，按固定资产报废流程办理。 5.13 数据备份管理 5.13.1 数据安全存储要求 5.13.1.1 数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 5.13.1.2 包涵重要、敏感或关键数据信息的移动式存储介质须专人值守。 5.13.1.3 删除可重复使用存储介质上的涉密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区 域填入无用的信息进行覆盖。 5.13.2 数据备份要求 5.13.2.1 数据信息备份应采纳性能可靠、不宜损坏的介质，如磁带、光盘等。备份数据信息的物理介质应有数据信息的来源、备份日期、恢复步骤等信息，并置于安全环境保管。 5.13.2.2 一般状况下对服务器和网络安全设备的配置数据信息每季度进行一次备份，当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份；网络设备配置文件在进行版本升级前和配置修改后进行备份。 5.13.2.3 备份执行过程应有具体的规划和记录，包括备份主体、备份时间、备份策略、备份路径等。 5.13.2.4 数据清理前必需对数据进行备份，在确认备份正确后方可进行清理操作。 5.13.3 备份数据恢复管理 5.13.3.1 应依据不同业务系统实际状况，确定必需要备份的数据信息。 5.13.3.2 定期检查、测试备份介质和备份信息，坚持其可用性和完整性，并确保在预定的时间内恢复成功。 5.13.3.3 恢复策略应该依据数据信息的重要程度和引入新数据信息的频率设定备份的频率〔如每日或每周、增量或整体〕。 5.14 物理环境安全管理 5.14.1 公司物理区域应建立牢固的物理安全周界，应有妥当的出入控制保护，以防未通过授权的人员进出造成安全隐患 5.14.2 行政管理部门确保安全区域的消防设施的完整与合格，并建立安全事故处理与消防应急预案，避免因火灾或水灾等引起的可能风险。 5.14.3 行政管理部门负责管理与关闭安全周界的防火门、消防门、安全通道门窗，并安装报警器同时建立巡视制度。 5.14.4 员工进入办公区域，必需刷卡进入，并注意防止外来人员跟随进入。 5.14.5 外来人员进入办公区域，须由到前台进行《来访登记》后，经前台接待人员通过 联系接待部门，得到确认并在接待人员陪同下，方可进入办公区域，来访者只同意访问经授权的区域。 5.14.6 所有人员天天下班时应确保办公桌的整洁，将重要文件资料存放在个人抽屉柜或保险柜中，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门 工作内容的信息源。 5.15 业务连续性 5.15.1 信息资源管理部负责信息系统的业务继续性管理工作。 5.15.2 重要信息系统一旦受到重大影响或中断后，信息资源管理部及相关部门应马上对信息系统采用应急措施，并进行恢复，确保生产经营活动的继续运行。 6 处罚措施 员工如有违反以上规章条例，可依据违章的情节与严重程度对该员工给予相应处罚。 7 附则 本制度由信息资源管理部负责制订与解释，自公布之日起生效。