企业信息安全管理工作标准.docx

信息安全管理工作标准 一、范围 本标准参考国家信息安全保护的相关标准及规定，特制定公司信息安全保护的相关技术规范和管理要求。 本标准适用于公司以及公司下属城市事业部、控股公司，可作为各级信息安全职能部门制定、实施信息安全保护技术方案和日常信息安全管理的参考和指导依据。公司及城市事业部、控股公司的信息安全保护工作除执行本标准外，还应符合国家信息安全等级保护相关标准及规定。 二、规范性引用文件 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 25028-2010 信息系统安全等级保护实施指南 GB/T 22239-2008 信息系统安全等级保护基本要求 三、术语和定义 VLAN（Virtual Local Area Network）虚拟局域网是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。 ACL（Access Control List，ACL）访问控制列表，是路由器和交换机接口的指令列表，用来控制端口进出的数据包。 桌面终端主要包括个人办公的台式机和笔记本。 四、信息安全保护基本规定 1.工作目标 构建一个全面、完整、高效的信息安全体系，进而提高公司信息系统的整体安全防护能力，保护商业秘密，为公司的经营管理及业务发展提供坚实的信息安全保障。 2.基本原则 2.1“分类保护，适度安全”原则 根据各业务系统的重要程度以及面临的风险大小等因素，划分各信息系统的安全保护类别，实施分类保护、合理投资、集中资源优先保护涉及核心业务、承载关键信息的重要系统。 2.2“内外并重”原则 信息安全工作需要做到内外并重，既要规范内部人员行为，又要防范外部威胁，加强访问控制，提升监控和审计能力。 l 2.3“技术与管理并重”原则 信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视信息安全管理，不断完善各类安全管理规章制度和操作规程，从而全面提高信息安全管理水平。 2.4“三同步”原则 信息安全建设应与业务系统同步设计、同步建设、同步运行，同时根据系统的应用类型、范围、企业依赖性等因素的变化进行动态调整。 3.信息安全保护对象 公司与公司下属城市事业部、控股公司的信息系统及与其所相关的信息资产均为信息安全保障体系的保护对象。公司信息资产分为以下七类： 3.1物理环境 支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施，包括机房、门禁、监控、电源、空调等。 3.2人员资产 与信息系统相关的人员，包括公司与公司下属城市事业部、控股公司的信息化管理人员、网络管理员、系统管理员、信息系统使用人员以及第三方人员等。 3.3网络资产 构成信息系统网络传输环境的设备、软件和通信介质，包括路由器、交换机、防火墙、网络管理系统等硬件设备和软件系统。 3.4主机资产 信息系统中承载业务系统和软件的计算机系统、外围系统（不含网络设备）及其操作系统。主机资产包括各类Unix或linux服务器、Windows服务器、工作站和桌面终端、磁盘阵列、备份设备等硬件及其操作系统。 3.5平台资产 支撑业务系统（包括生产系统和办公自动化等）的商业软件平台系统，包括各业务信息管理系统及相关的数据库、中间件、集成开发环境等。 3.6应用软件资产 为生产业务和管理应用而开发的各类应用软件及其提供的服务，包括办公工具软件、专业应用软件等。 3.7数据资产 计算机系统处理、存储和传输的数据对象，是信息系统的核心资产。 4.职责 4.1公司办公室 作为公司整体信息安全保护工作的归口管理部门，负责制定公司信息安全保护的管理办法和技术标准、对公司的信息资产进行妥善保护、指导公司下属城市事业部、控股公司信息安全保护工作的正常开展，同时监督检查各级企业的信息安全工作的开展落实情况，做好安全培训工作。 4.2公司下属城市事业部、控股公司信息化主管部门 负责参照本标准做好自身的信息资产的安全保护工作、指导检查下属单位或工程项目经理部的信息安全保护工作，并建立完善的信息化管理组织体系，做好安全培训工作。 4.3各级信息员 负责贯彻落实本标准对信息安全保障的规范及技术要求，做好自身负责的信息资产的安全保护工作，定期参加安全培训，提升安全意识和更新保护技能。 4.4信息资产使用人员 在信息资产的使用过程中，自觉严格参照本标准的规范执行，不进行违章操作，不越权使用数据，保护好自己的数据安全，预防商业机密泄漏。 五、信息系统安全类别划分 为对信息系统更有针对性的进行保护，公司各级信息系统应划分类别，实施分类保护。根据系统承载业务在生产经营和管理中的重要程度、遭到破坏的信息系统对经营管理及经济利益的危害程度、破坏范围等因素，信息系统分为以下三类： A类系统：信息系统受到破坏后，不仅对企业整体造成损害，而且影响企业核心业务活动，妨碍公司整体生产经营活动，给公司造成经济损失，甚至造成不良社会影响。 B类系统：信息系统受到破坏后，对公司多个部门或公司整体造成损害，影响公司多个部门的重要业务。 C类系统：信息系统受到破坏后，对公司局部造成损害，影响公司局部业务活动。 六、A类系统 1.物理安全 物理环境是信息系统正常运转的外在基础保障，需要根据运行的信息系统安全类别，参照国家标准及规范进行建设并维护。A类系统需要遵循以下技术要求： 1.1物理位置的选择 机房和办公场地应选择具有防震、防风和防雨等能力的建筑内。 1.2物理访问控制 本项要求包括： （1）机房出入口应安排专人值守，控制、鉴别和记录进入的人员； （2）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 1.3防盗窃和防破坏 本项要求包括： （1）应将主要设备放置在机房内； （2）应将设备或主要部件进行固定，并设置明显的不易除去的标记； （3）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； （4）应对介质分类标识，存储在介质库或档案室中； （5）主机房应安装必要的防盗报警及监控设施。 1.4防雷击 本项要求包括： （1）机房建筑应设置避雷装置； （2）机房应设置交流电源地线。 1.5防火 机房应设置灭火设备和火灾自动报警系统。 1.6防水和防潮 本项要求包括： （1）水管安装不得穿过机房屋顶和活动地板下； （2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； （3）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1.7防静电 关键设备应采用必要的接地防静电措施。 1.8温湿度控制 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9电力供应 本项要求包括： （1）应在机房供电线路上配置稳压器和过电压防护设备； （2）应提供短期的备用电力供应，至少满足关键设备在断电情况下仍能正常运行的要求。 1.10电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。 2.网络安全 2.1边界安全防护 （1） 公司以及公司下属城市事业部 在网络边界处必须部署防火墙系统或安全网关隔离外部网络，同时部署流控或上网行为管理设备进行网络控制。网络边界设备配置时尽量开放最少的端口，只对视频会议、接入网关等特殊应用nat全映射。 （2）工程项目经理部或其他人数较少的分支机构 应配备具备流控或上网行为管理功能的企业级网关或路由器，除视频会议、远程监控等特殊业务外，一般情况下禁止做端口映射。 2.2内网控制及防护 （1）网络设备安全防护 内网及边界网络设备不允许使用默认口令，设置口令必须符合安全的密码规范，至少8位且包含字母、符号、数字3种以上的字符，并且定期更换密码，统一管理。 （2）VLAN及ACL应用 内部网络中如果存在不同权限的用户，如工程项目经理部网络中有分包企业或监理单位等外部人员，需要采取VLAN隔离，并且根据不同权限设置访问控制策略（ACL），限制不同用户对相关信息资源的访问。 2.3WiFi网络安全 （1）企业网络中原则上不允许架设无密码的WiFi网络，如必须架设无密码公开WiFi，必须设置访问控制，不允许这些WiFi网络用户访问企业内网资源； （2）WiFi网络应由信息化专业人员搭建，设置成WPA2模式的密码，有条件的情况下应部署WiFi网络用户审计系统。 2.4网络运维管理 （1）企业网络应由指定的网络管理员进行日常维护，若对防火墙策略或网络拓扑进行较大变更，则需要信息化部门主管的审批才能进行； （2）网络运维过程中应注意保存配置初始化及变更记录等资料； （3）应部署网络监控系统，对网络使用情况进行实时监控，保障重要信息系统的网络资源。 3.服务器安全 3.1操作系统安装原则 操作系统按照最小化原则进行安装，达到服务器运行的应用需求即可，不允许安装多余的软件及控件。 3.2系统身份鉴别配置 （1）服务器密码设置必须符合相关的安全规范，至少8位且包含字母、符号、数字3种以上的字符； （2）设置账户锁定时间及锁定阀值对服务器登录进行保护。 3.3入侵及恶意代码防范 安装专门的入侵防火墙及恶意代码扫描工具，定期对服务器进行漏洞扫描。 3.4系统补丁更新 定期进行补丁更新，修补严重的系统漏洞，更新补丁前应注意数据备份，更新后如出现问题应当及时回退或者采取补救措施。 3.5服务器资源监控 （1）应有专人进行定期系统资源监控； （2）有条件的应部署专业服务器监控软件，随时掌握服务器资源，保障业务系统运转正常。 3.6 WEB网站服务器安全 公司对外宣传的WEB网站，为防止黑客入侵，可采用外包服务的方式，委托国内专业的大型网站服务商进行管理。 3.7数据备份 （1）应部署专业备份软件进行自动化管理，至少每天备份1次数据，备份方式须有2种以上，必要时应做到实时数据备份； （2）运行环境恢复时间长、配置复杂的系统需要有备用机。 七、B类系统 1.物理安全 物理环境是信息系统正常运转的外在基础保障，需要根据运行的信息系统安全类别，参照国家标准及规范进行建设并维护。B类系统需要遵循以下技术要求： 1.1物理访问控制 机房出入应安排专人负责，控制、鉴别和记录进入的人员。 1.2防盗窃和防破坏 本项要求包括： （1）应将主要设备放置在机房内； （2）应将设备或主要部件进行固定，并设置明显的不易除去的标记。 1.3防雷击 机房建筑应设置避雷装置。 1.4防火 机房应设置灭火设备。 1.5防水和防潮 本项要求包括： （1）应对穿过机房墙壁和楼板的水管增加必要的保护措施； （2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 1.6温湿度控制 机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.7电力供应 应在机房供电线路上配置稳压器和过电压防护设备。 2.网络安全 2.1边界安全防护 （1）公司及公司下属城市事业部、控股公司 在网络边界处必须部署防火墙系统或安全网关隔离外部网络，同时部署流控或上网行为管理设备进行网络控制。网络边界设备配置时尽量开放最少的端口，只对视频会议、接入网关等特殊应用nat全映射。 （2）工程项目经理部或其他人数较少的分支机构 应配备具备流控或上网行为管理功能的企业级网关或路由器，除视频会议、远程监控等特殊业务外，一般情况下禁止做端口映射。 2.2内网控制及防护 （1）网络设备安全防护 内网及边界网络设备不允许使用默认口令，设置口令必须使用复杂的密码规则，至少8位且包含字母、符号、数字3种以上的字符，并且定期更换密码，统一管理。 （2）VLAN及ACL应用 内部网络中如果存在不同权限的用户，如工程项目经理部网络中有分包企业或监理单位等外部人员，需要采取VLAN隔离，并且根据不同权限设置访问控制策略（ACL），限制不同用户对相关信息资源的访问。 2.3 WiFi网络安全 （1）公司网络中原则上不允许架设无密码的WiFi网络，如必须架设无密码公开WiFi，必须设置访问控制，不允许这些WiFi网络用户访问公司内网资源； （2）WiFi网络应由信息化专业人员搭建，设置成WPA2模式的密码，有条件的情况下应部署WiFi网络用户审计系统。 2.4网络运维管理 公司办公室网络应有指定的网络管理员进行日常维护，若对防火墙策略或网络拓扑进行较大的变更，则需要办公室的审批才能进行。 3.服务器安全 3.1操作系统安装原则 操作系统按照最小化原则进行安装，达到服务器运行的应用需求即可，不允许安装多余的软件及控件。 3.2系统身份鉴别配置 （1）服务器密码设置必须符合相关的安全规范，至少8位且包含字母、符号、数字3种以上的字符； （2）设置账户锁定时间及锁定阀值从而对服务器登录进行保护。 3.3入侵及恶意代码防范 安装专门的入侵防火墙及恶意代码扫描工具，定期对服务器进行漏洞扫描。 3.4系统补丁更新 定期进行补丁更新，修补严重的系统漏洞，更新补丁前应注意数据备份，更新后如出现问题应当及时回退或采取补救措施。 3.5服务器资源监控 应有专人进行定期系统资源监控。 3.6数据备份 （1）至少每天备份1次数据； （2）备份方式须有2种以上，如本机备份、介质备份（光盘、U盘等）。 八、C类系统 1.物理安全 C类系统需要遵循以下技术要求： 1.1防盗窃和防破坏 本项要求包括： （1）应将主要设备放置在专门的空间内，如机房、弱电间； （2）应将设备或主要部件进行固定，并设置明显的不易除去的标记。 1.2防雷击 选用带有防雷功能的电源插座。 1.3防火及防水 应就近设置灭火设备，并采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 1.4温湿度控制 应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.5电力供应 有条件的情况下，应部署UPS为系统提供稳定的电压，以应对短时间的临时停电。 2.网络安全 2.1边界安全防护 应配备具备流控或上网行为管理功能的企业级网关或防火墙，除视频会议、远程监控等特殊业务外，一般情况下禁止做端口映射。 2.2内网控制及防护 （1）网络设备安全防护 内网及边界网络设备不允许使用默认口令，设置口令必须使用复杂的密码规则，至少8位且包含字母、符号、数字3种以上的字符。 （2）VLAN及ACL应用 内部网络中如果存在不同权限的用户，如工程项目经理部网络中有分包企业或监理单位等外部人员，需要采取VLAN隔离，并且根据不同权限设置访问控制策略（ACL），限制不同用户对相关信息资源的访问。 2.3 WiFi网络安全 （1）企业网络中原则上不允许架设无密码的WiFi网络，如必须架设无密码公开WiFi，必须设置访问控制，不允许这些WiFi网络用户访问企业内网资源； （2）WiFi网络应由信息化专业人员搭建，设置成WPA2模式的密码。 3.主机安全 3.1系统身份鉴别配置 （1）主机密码设置必须符合相关的安全规范，至少8位且包含字母、符号、数字3种以上的字符； （2）设置账户锁定时间及锁定阀值对服务器登录进行保护。 3.2入侵及恶意代码防范 安装专门的入侵防火墙及恶意代码扫描工具，定期对服务器进行漏洞扫描。 3.3系统补丁更新 定期进行补丁更新，修补严重的系统漏洞，更新补丁前应注意数据备份，更新后如出现问题应当及时回退或者采取补救措施。 3.4数据备份 （1）至少每周备份1次数据； （2）备份方式须有2种以上，如本机备份、介质备份（光盘、U盘等）。 九、软件系统开发安全 1.确定系统的安全类别 系统开发立项之初应按照本标准进行安全类别划分，根据相关类别为软件系统配置相应的软硬件资源，并实施相应的安全防护措施。 2.软件开发阶段 （1）在信息系统的代码设计阶段，应根据需求设计并实施安全技术，对信息系统开发全过程进行质量管理； （2）防止技术人员故意保留“后门”，保证系统最终产品的安全性，且应在软件安装之前检测软件包中可能存在的恶意代码。 3.软件测试验收 应对系统进行安全性测试验收。 十、桌面终端安全 1.全生命周期管理 按照《办公电子及网络设备资产管理办法》由相关部门对桌面终端进行全生命周期管理。 2.防病毒软件及补丁更新 应正确安装防病毒软件，必须及时更新病毒特征库和进行定期的病毒扫描（1周1次），应及时安装和升级系统及应用软件补丁更新。 3.密码安全防护 （1）桌面终端系统应设置用户密码，密码设置必须符合相关的安全规范，长时间离开计算机应进行计算机锁定； （2）在使用各业务系统时，个人账户应设置一定长度及复杂度的密码，不得把自己的账户密码告知他人，未经允许不得使用他人账户密码登陆系统。 4.信息保密 （1）保存机密信息的桌面终端应采取专人专机，严禁接入局域网，严禁使用usb存储设备，有条件的应使用硬件加密狗登录系统； （2）严禁在网络上不加密传输各类涉密文件，泄密文件通过软件加密后才允许传输； （3）外出维修时，应保留并封存硬盘，维修完成后再装载硬盘。终端报废或转移使用人时，应使用专用工具对密级数据进行清除。 5.数据备份 使用人应对桌面终端上的重要数据进行定期备份，可通过刻录光盘、拷贝到USB存储设备等方式备份，应注意密级数据备份介质的保管安全。 6.上网行为规范 （1）严禁在业务系统中，发布与工作和业务无关的信息； （2）严禁访问黄色、反动网站； （3）严禁下载未经验证、未知来源的软件，严禁下载使用网络扫描软件或黑客攻击工具； （4）严禁利用企业网络在公网上发布违反国家法律法规的反动或不当言论，严禁发布不实信息造谣中伤他人，严禁对外发布传播影响企业形象的信息。 十一、应急预案 1.公司及公司所属子公司、下属分公司或分支机构（以下简称所属机构）、控股公司应根据自身机房、服务器及网络等软硬件环境、所运行信息系统的类别，制定符合实际、切实可行的应急预案，尤其是针对机房停电、核心网络设备故障、病毒爆发、重要服务器或存储设备故障、黑客攻击、机房火灾等突发事件，制定应对措施，提高安全事件的反应和处理能力。 2.定期进行应急预案演练。 3.发生信息安全事件后，根据相应的预案按照制定的流程进行事故处理，重大安全事件需要逐级上报，事故处理后须组织专家进行评估，对系统存在的缺陷进行整改，并更新应急预案。