IT部ۥ信息和数据资产安全管理规定.doc

IT部信息和数据资产平安治理规定 第一章?? 总那么 一、 目的：　 按照《XX集团信息技术资源平安保护规定》和有关公司规定，为进一步加强XX集团计算机信息系统平安保密治理，并结合各系统、各子公司的实际情况，制定本制度。 二、 范围：　　 计算机信息系统包括：涉密计算机信息系统和非涉密计算机信息系统。其中，涉密计算机信息系统指以计算机或者计算机网络为主体，按照一定的应用目的和规那么构成的处理涉密信息的人机系统。 三、 原那么：　 涉密计算机信息系统的保密工作坚持积极防范、突出重点，既确保企业信息平安又有利于企业开展正常业务的方针。 涉密计算机信息系统的平安保密工作实行分级保护与分类治理相结合、行政治理与技术防范相结合、防范外部与操纵内部相结合的原那么。 涉密计算机信息系统的平安保密治理，坚持“谁使用，谁负责”的原那么，同时实行主要领导负责制。 第二章? 系统治理人员的职责 一、 岗位设置： 用户单位的涉密计算机信息系统的治理由用户保密单位负责，详细技术工作由集团IT部承担，设置以下平安治理岗位：系统治理员、平安保密治理员、密钥治理员。 二、 岗位职责： 系统治理员负责信息系统和网络系统的运转维护治理，主要职责是：信息系统主机的日常运转维护；信息系统的系统安装、备份、维护；信息系统数据库的备份治理； 应用系统访征询权限的治理；网络设备的治理；网络的线路保障；网络效劳器平台的运转治理，网络病毒入侵防范。 平安保密治理员负责网络信息系统的平安保密技术治理，主要职责是：网络信息平安策略治理；网络信息系统平安检查；涉密计算机的平安治理；网络信息系统的平安审计治理。 密钥治理员负责密钥的治理，主要职责是：身份认证系统的治理；密钥的制造；密钥的更换；密钥的销毁。 三、 工作监管： 对涉密计算机信息系统平安治理人员的治理要遵照“从不单独原那么”、“责任分散原那么”和“最小权限原那么”。 新调入或任用涉密岗位的系统治理人员，必须先接受保密教育和网络平安保密知识培训后方可上岗工作。 保密单位负责定期组织系统治理人员进展保密法规知识的宣传教育和培训工作。 第三章? 机房治理制度 一、 机房平安治理： 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运转构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。 机房内不得使用无线通讯设备，禁止拍照和摄影。 机房内应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换）。加强防火平安知识教育，做到会使用消防器材。加强电源治理，严禁乱接电线和违章用电。觉察火险隐患，及时报告，并采取平安措施。 二、 机房日常治理： 各类技术档案、材料由专人妥善保管并定期检查。 机房应保持整洁有序，地面清洁。设备要陈列整齐，布线要正规，仪表要齐备，工具要到位，材料要齐全。机房的门窗不得随意打开。 每天上班前和下班后对机房做日常巡检，检查机房环境、电源、设备等并做好相应记录（见表一）。 三、 机房门禁治理： 出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经集团IT部批准，并有专人陪同。 机房大门必须随时关闭上锁。机房钥匙由集团公司集团IT部治理。 机房门禁卡（以下简称门禁卡）由XX集团IT部治理。门禁卡的发放范围是：系统治理员、平安保密治理员和密钥治理员。对临时进入机房工作的人员，不再发放门禁卡，在向用户单位保密部门提出申请得到批准后，由平安保密治理员陪同进入机房工作。 门禁卡应妥善保管，不得遗失和互相借用。门禁卡遗失后，应立即上报门禁卡治理单位，同时写出书面说明。 第四章? 系统治理员工作细那么 第一节? 系统主机维护治理方法 一、 工作职责： 系统主机由系统治理员负责维护，未经同意任何人不得对系统主机进展操作。 按照系统设计方案和应用系统运转要求进展主机系统安装、调试，建立系统治理员账户，设置治理员密码，建立用户账户，设置系统策略、用户访征询权利和资源访征询权限，并按照平安风险最小化原那么及运转效率最大化原那么配置系统主机。 建立系统设备档案（见表二）、包括系统主机详细的技术参数，如：品牌、型号、购置日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息，妥善保管系统主机保修卡，在系统主机软硬件信息发生变更时对设备档案进展及时更新。 二、 日常维护及例行检查： 每月： 每月修正系统主机治理员密码，密码长度不得低于八位，要求有数字、字母并区分大小写。每月对系统主机运转情况进展总结、并写出系统主机运转维护月报，上报根底架构治理负责人。 每周： 通过系统功能分析软件对系统主机进展运转功能分析，并做详细记录（见表四），按照分析情况对系统主机进展系统优化，包括磁盘碎片整理、系统日志文件清理，系统晋级等。每周对系统日志、系统策略、系统数据进展备份，做详细记录（见表四）。每周下载安装最新版的系统补丁，对系统主机进展晋级，做详细记录（见表四）。 每天： 检查系统主机各硬件设备是否正常运转，并做详细记录（见表五）。每天检查系统主机各应用效劳系统是否运转正常，并做详细记录（见表五）。每天记录系统主机运转维护日记，对系统主机运转情况进展总结。在系统主机发生缺点时应及时通知用户，用最短的时间处理缺点，保证系统主机尽快正常运转，并对系统缺点情况做详细记录（见表六）。 第二节? 信息系统运转维护治理方法 一、 工作职责： 按照信息系统的设计要求及施行细那么安装、调试、配置信息系统，建立信息系统治理员账号，设置治理员密码，密码要求由数字和字母组成，区分大小写，密码长度不得低于8位。治理员密码至少每月修正一次。 信息系统的开发和上线必须严格将开发环境和消费环境分开。不同意两个环境使用同一个效劳器、或同一个操作系统、或同一个数据库实例。 对信息系统的根本配置信息做详细记录，包括系统配置信息、用户帐户名称，系统安装目录、数据文件存贮目录，在信息系统配置信息发生改变时及时更新记录（见表三）。 二、 日常维护及例行检查： 每月：对信息系统运转维护情况进展总结，并写出信息系统维护月报，并上报信息系统的技术负责人和业务负责人。 每周： 对信息系统系统数据、用户ID文件、系统日志进展备份，并做详细记录（见表四），备份介质并存档。 每天： 检查信息系统各项应用功能是否运转正常，并做详细记录（见表五）。每天记录信息系统运转维护日志，定期对信息系统运转情况进展总结。 三、 征询题处理： 在信息系统发生缺点时，应及时通知用户，并用最短的时间处理缺点，保证信息系统尽快正常运转，并对系统缺点情况做详细记录（见表六）。 当信息系统用户发生增加、减少、变更时，新建用户帐户，新建用户邮箱，需经保密单位审批，并填写系统用户申请单或系统用户变更申请单（见表七），审批通过后，由系统治理员进展操作，并做详细记录。 按照用户需求设置信息系统各功能模块访征询权限，并提交信息系统的业务主管审批。 第三节? 网络系统运转维护治理方法 一、 工作职责： 网络系统运转维护由系统治理员专人负责，未经同意任何人不得对网络系统进展操作。 按照网络系统设计方案和施行细那么安装、调试、配置网络系统，包括交换机配置、路由器配置，建立治理员账号，设置治理员密码，并关闭所有远程治理端口。 建立系统设备档案（见表二），包括交换机、路由器的品牌、型号、序列号、购置日期、硬件配置信息，详细记录综合布线系统信息配置表，交换机系统配置，路由器系统配置，网络拓扑机构图，VLAN划分表，并在系统配置发生变更时及时对设备档案进展更新。 二、 日常维护及例行检查： 每月： 对网络系统运转维护情况进展总结，并作出网络系统运转维护月报。 每周： 对网络系统设备（交换机、路由器）进展清洁。每周修正网络系统治理员密码。每周检测网络系统功能，包括数据传输的稳定性、可靠性、传输速率。 每天： 检查网络系统设备（交换机、路由器）是否正常运转。 三、 征询题处理： 网络变更后进展网络系统配置材料备份。 当网络系统发生缺点时，应及时通知用户，并在最短的时间内处理征询题，保证网络系统尽快正常运转，并对系统缺点情况作详细记录（见表六）。 第四节　终端电脑运转维护治理方法 一、 工作职责： 终端电脑的维护由系统治理员负责，未经同意任何人不得对终端电脑进展维护操作。 按照用户应用需求和平安要求安装、调试电脑主机，安装操作系统、应用软件、杀毒软件等等。 建立系统设备档案（见表二）、包括电脑的品牌、型号、购置日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息，在电脑主机软硬件信息发生变更时对设备档案进展及时更新。 二、 征询题处理： 在电脑主机发生缺点时应及时进展处理，备份用户文件，用最短的时间处理缺点，保证电脑主机尽快可以正常运转，并对电脑主机缺点情况做详细记录（见表六），涉及存储介质损坏，直截了当送交集团IT部处理。 第五节　网络病毒入侵防范治理方法 一、 工作职责： 网络病毒入侵防护系统由系统治理员专人负责，任何人未经同意不得进展此项操作。 按照网络系统平安设计要求安装、配置瑞星、金山、avast等网络病毒防护系统，包括效劳器端系统配置和客户机端系统配置，开启客户端防病毒系统的实时监控。 所有XX集团（包括各子公司、分公司、分区）的效劳器和个人电脑，禁止安装360平安卫士的全系列产品。 二、 日常维护及例行检查： 每周： 登陆防病毒公司网站，下载最新的晋级文件，对系统进展晋级，并作详细记录（见表九）。每周对网络系统进展全面的病毒查杀，对病毒查杀结果做系统分析，并做详细记录（见表十）。 每日： 监测防病毒系统的系统日志，检测是否有病毒入侵、平安隐患等，对所觉察的征询题进展及时处理，并做详细记录（见表八）。每日阅读国家计算机病毒应急处理中心网站，理解最新病毒信息发布情况，及时向用户发布病毒预警和预防措施。 第五章? 平安保密治理员工作细那么 第一节 网络信息平安策略治理方法 一、 工作职责： 网络平安策略治理由平安保密治理员专职负责，未经同意任何人不得进展此项操作。 按照网络信息系统的平安设计要求及主机审计系统数据的分析结果，制定、配置、修正、删除主机审计系统的各项治理策略，并做记录（见表十一）。 按照网络信息系统的平安设计要求制定、配置、修正、删除网络平安评估分析系统的各项治理策略，并做记录（见表十一）。 按照网络信息系统的平安设计要求制定、配置、修正、删除入侵检测系统的各项治理策略，并做记录（见表十一）。 按照网络信息系统的平安设计要求制定、配置、修正、删除、内网主机平安监控与审计系统的各项治理策略，并做记录（见表十一）。 网络信息平安技术防护系统（主机审计系统、破绽系统、防病毒系统、内网主机平安监控与审计系统）由网络平安保密治理员统一负责安装和卸载。 二、 日常维护及例行检查： 每周： 对网络信息系统平安治理策略进展数据备份，并作详细记录（见表十二）。 第二节 网络信息系统平安检查治理方法 一、 工作职责： 网络信息系统平安检查由平安保密治理员专职负责执行，未经同意任何人不得进展此项操作。 二、 日常维护及例行检查： 每月： 通过破绽系统对网络系统终端进展平安评估分析，并对结果进展分析，及时对终端系统破绽及平安隐患进展处理，作详细记录（见表十五），并将平安评估分析报告上报集团IT部。 每周： 登陆入侵检测系统产品网站，下载最新晋级文件包，对系统进展更新，并做详细记录（见表十四）。 每周登录全评估产品网站，下载最新晋级文件包，对系统进展更新，并作详细记录（见表十六）。 每周备份入侵检测系统和破绽系统的审计信息，并作详细记录（见表十七）。 每天： 按照入侵检测系统的系统策略检测、审计系统日志，检查是否有网络攻击、异常操作、不正常数据流量等，对异常情况做及时处理，遇有严峻平安征询题上报集团IT部，并做详细记录（见表十三）。 第三节 涉密计算机平安治理方法 一、 工作职责： 涉密计算机平安治理由平安保密治理员专人负责，未经同意任何人不得进展此项操作。 按照网络系统平安设计要求制定、修正、删除涉密计算机平安审计策略，包括打印操纵策略、外设输入输出操纵策略、应用程序操纵策略，并做记录。 二、 日常维护及例行检查： 每日对涉密计算机进展平安审计，及时处理平安征询题，并做详细记录（见表十八），遇有严峻征询题上报保密部门。 三、 征询题处理： 涉密计算机的新增、变更、淘汰需经保密部门审批，审批通过后由平安保密治理员统一进展操作，并做详细记录（见表十八）。 新增涉密计算机联入涉密网络，需经集团IT部审批，由平安保密治理员统一进展操作，并做详细记录（见表十八）。 第四节 平安审计治理方法 一、 工作职责： 网络信息平安审计系统由平安保密治理员负责，未经同意任何人不得进展此项操作。 按照网络系统主机平安设计要求安装、配置、治理主机平安审计系统，制定审计规那么，包括系统运转状态、用户登录信息，网络文件共享操作等。 二、 日常维护及例行检查： 每月：对主机平安审计系统记录信息进展分析总结，并向保密部门提交分析报告。 每周：备份设备平安审计系统审计信息，并做详细记录（见表二十）。 每日：查看平安审计系统信息，对审计结果进展分析整理，及时处理所发生的设备平安征询题，并做详细记录（见表十九）。 第五章? 密钥治理员工作细那么 一、 工作职责： 身份认证系统由密钥治理员专人负责，未经同意任何人不得进展此项操作。 负责向用户单位派发平安钥匙，用户需填写审批表，并提交保密部门审批（见表二十一）。 负责为每台计算机安装主机登录系统。 负责主机登录系统、身份认证系统的系统维护。 按照用户需求，见保密部门审批单要求，制造、修正、注销证书（见表七）。 二、 日常维护及例行检查： 每日：检查身份认证系统是否正常运转。 第六章? 数据资产治理规定 一、 范围：　 XX集团的内部各信息系统均为涉密计算机信息系统，所有信息系统内的数据资源均为XX集团的财产，任何人不得以任何方式私自复制、修正、保存。 二、 职责：　 信息系统的运转维护由系统治理员和信息系统的业务单位指定的治理员共同负责，未经系统治理员和信息系统的业务主管领导同意，任何人不得在系统后台对信息系统进展任何操作。 系统治理员只对信息系统的技术平台拥有相应的治理权限，任何对信息系统数据的使用均需要信息系统的业务主管领导同意；未经许可系统治理员不得以任何方式向第三方透漏信息系统内的任何信息。 三、 所有权：　 信息系统（集团财务系统、媒介系统等）的数据直截了当收理权归相应的业务单位所有（例如，媒介系统的业务所有人为媒介治理部。信息系统的技术维护工作由XX集团IT部或相应的授权技术效劳团队负责。 所有有权直截了当接触信息系统的消费环境的技术团队成员，均需签署保密协议。技术团队成员有责任和义务为相关系统的信息或代码保密。 第七章? 计算机信息系统应急预案 一、 工作职责： 系统治理人员参与制定各种意外事件处置预案，并详细执行，包括火灾、停电、设备缺点等，每年进展预案演练。 二、 系统应急场景： (一) 遇到火灾应按照火情采取以下措施： 1. 如火情较轻时，应立即切断机房总电源，并迅速用消防器材，力争把火扑灭、操纵在初期阶段，同时上报集团保卫部门。 2. 如火情严峻应迅速拨打报警“119”，同时通知集团保卫部门，服从消防工作人员的现场指挥，协助处理有关事项。 (二) 如遇机房突发性停电，应迅速通知用户，同时检查后备电源使用情况；如有需要，可以关闭设备电源；来电后，及时通知用户，并检测设备是否正常运转。 (三) 系统出现灾难性缺点时，系统治理员应立即通知部门主管，制定详细的系统恢复方案。 三、 征询题处理：　 遇紧急情况，值班员应立即通知集团IT部和系统治理员，保持24小时通讯畅通，随时处理紧急事件。 线路缺点应立即拨打线路缺点“112”，同时上报部门主管，协助电信部门查找缺点缘故，尽快使线路恢复正常。 ?