集团信息安全管理制度模版.docx

1、xx集团信息安全管理制度1. 总则21.1 信息安全定义21.2 确保信息安全的重要性21.3 本制度适用范围21.4 责任22. 信息资产安全管理22.1 信息资产分类22.2 信息资产管理33. 人力资源安全33.1 新进员工管理33.2 信息系统权限管理34. 机房与环境安全34.1 机房位置选择34.2 机房防护措施34.3 出入机房规定44.4 机房巡检制度45. 网络安全45.1 上网行为管理45.2 防火墙制度45.3 虚拟私人网络（VPN）45.4 Internet安全45.5 虚拟局域网（VLAN）55.6 微博、微信管理56. 密码安全与保密制度56.1 服务器操作系统超级

2、用户密码56.2 数据库超级用户密码56.3 其他系统超级用户密码56.4 个人pc密码56.5 信息保密制度57. 数据库、应用与服务器安全67.1 建立磁盘阵列RAID77.2 数据库备份67.3 数据库权限管理67.4 直接修改数据库数据流程67.5 信息的异地备份67.6 机密数据加密67.7 应用程序版本管理78. 病毒防范制度78.1 杀毒软件与杀毒78.2 病毒防范行为71. 总则1.1 信息安全定义 信息安全是指为数据处理系统而采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。 定义包含了几个层面的概念，其中计算机硬件可以看做是

3、物理层面，软件可以看做是运行层面，和数据层面；又包含了属性的概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。1.2 确保信息安全的重要性 信息系统是企业业务活动正常运行的基础，信息安全是企业业务活动正常运行的保障。xx集团是一家规范的多元化产业公司群，拥有大量的金融、财务、人力资源、客户等涉密信息，网络化，数字化使得这些信息虽然容易被存放，也极其容易被泄露、盗取和挪用。所以建立信息安全制度显得十分必要。1.3 本制度适用范围 除了xx集团信息管理中心全体职员外，本制度还适用于使用、维护信息系统或使用信息工具的全体xx集团职员。1.4 责任 在信息安全制度的涉及范围内，每个

4、单位、部门的信息安全由部门负责人或由其指定专人来负责。2. 信息资产安全管理2.1 信息资产分类 信息资产按照机密性分为普通、敏感与机密三类。2.2 信息资产管理 1.敏感与机密信息在传输和存储时均需标示其等级。 2.敏感与机密信息欲复制、携带外出时，应提出申请载明申请用途，经单位负责人及集团信息管理中心负责人授权核准后，加密后携离使用。 3.可携带存储媒体（磁盘、光盘、移动硬盘、U盘等）若存储敏感与机密信息，保存时需于枷锁橱柜内。必须注意防磁、防潮、防火、防盗，必须垂直放置。 4.单位、部门敏感与机密信息应由单位、部门负责人管理，集团敏感与机密信息应由集团办公室负责人管理。 5.敏感与机密信

5、息不得使用网络、传真等方式传送。 6.敏感与机密信息应采用加密方法进行保护，并考虑使用技术手段，防止信息在未经过授权的情况下遭到篡改。 7.敏感与机密信息应执行权限管理与异地备份机制。3. 人力资源安全3.1 新进员工管理 1.新员工签署劳动合同时，要明确信息安全责任，使新员工从一开始就了解公司对信息安全的要求，增加员工的安全印象。 2.对新员工进行岗前教育与培训，使员工在较短时间内熟悉组织的信息安全政策和程序。 3.明确规定员工必须遵守国家的法律法规的信息安全政策，任何与法律法规安全政策相违背的行为，都被视为安全事件并受到相应惩罚。 4.根据新员工的岗位职能，分配相应系统的使用权限。3.2

6、信息系统权限管理 1.任何信息系统必须具有权限管理功能。对于用户较多的大型系统，可使用区域、组别、个人三级管理；而对于用户数量一般的中型系统，可使用组别、个人进行二级管理。 2.为确保金融、财务等关键系统准确无误，系统中相关数据必须由一人录入，另一个审核。数据的录入人员和审核人员不能为同一人。 3.信息安全负责人负责信息系统权限管理和分配工作。如果是全公司员工都需使用系统，如OA，由集团办公室负责系统权限管理和分配工作。 4.各单位的信息技术部门人员负责权限管理的实施工作。3.2.1 信息系统权限申请流程 1.员工填写信息系统权限申请审批表时（附表1，以下简称“审批表”），应注明员工工号、姓名

7、，权限区域、组别，申请理由等必要内容。 2.“审批表”交由所在单位的信息安全负责人审核信息后签名确认，并提交集团信息管理中心信息技术部。 3.“审批表”经集团信息管理中心信息技术部安全负责人审核签名确认后，由信息技术部开通权限。 4.原则上登陆系统的用户名与申请员工工号一致，初始密码是password或统一标记。如果不是，则通过邮件告知申请人员。 5.申请人员得到系统使用权限后，需立即登陆系统，并修改初始密码。如不修改，所造成的后果自负。3.2.2 信息系统权限变更流程 1.信息系统权限变更流程适用于人员调岗、离岗、转岗、离职等变化情况。 2.“审批表”应注明员工工号，姓名，变更（撤销）权限原

8、因，变更（撤销）权限区域、组别等必要内容。 3.交由所在单位的信息安全负责人审核信息后签名确认，并提交集团信息管理中心信息技术部。 4.“审批表”经集团信息管理中心信息技术部安全负责人审核签名确认后，由信息技术调整或撤销权限。4. 机房与环境安全4.1 机房位置选择 1.机房应选择在具有防震、防风和防雨等能力的建筑内。机房的承重要求应满足设计要求，不能建立在地下室，以及用水设备的下层或者隔壁。 2.机房场地应当避开强电场、强磁场、强振动源、强噪声源、重度环境污染，易发生火灾、水灾、易遭受雷击的地区4.2 机房防护措施 1.防雷击。机房建筑应设置避雷针；应设置防雷保安器，防止感应雷；应设置交流电

9、源接地。 2.防火。应设置火宅自动消防系统，自动检测火情，自动报警。机房建筑材料应具有耐火等级。 3.防水与防潮。水管安装不得穿过屋顶和活动地板下；应采取措施防止雨水通过屋顶和墙壁。 4.温湿度控制。应设置恒温恒湿系统，使机房温度、湿度的变化在设备运行所允许的范围内。 5.防静电。应采用必要的接地等防静电措施；应采用防静电地板。 6.防电力中断。应采用UPS和备用电源平衡管理，当发生突然停电时，不产生闪断现象。4.3 出入机房规定 1.机房大门配置电子门禁，除机房巡检人员、信息技术部经理、集团信息管理中心总监、集团负责人外，其他人员一律不得进入机房。 2.外来人员须进入机房的，要填写机房出入申

10、请审批单（附表2），经过集团信息管理中心信息技术部门安全负责人审核批准后，才能进入。 3.机房内安装监控装置，保留15天以上的摄像记录。4.4 机房巡检制度 1.机房管理员每天早（9:00）晚（17:00）巡视机房各个设备，认真填写机房巡检单（附表3）。发现设备故障，记录并立即报告信息技术部运维经理、总监。 2.信息技术部运维经理、总监不定时抽查机房巡检员日常巡检工作，发现漏巡检、晚巡检等违规行为，严肃处理。 3.机房巡检单每月汇总，封存入信息技术部档案。5. 网络安全5.1 上网行为管理1.防止非法信息恶意传播，避免企业机密信息泄漏；并可实时监控、管理网络资源使用情况，提高整体工作效率，建立

11、上网行为管理制度。2.由集团办公室确定严禁上网行为，例如：网上购物，在线聊天，在线观看电影、视频、P2P等，信息技术部配合实现上网行为管理。3.特殊岗位需开发某些上网行为的，报集团办公室审批同意后，由信息技术部门配合实现上网行为管理。5.2 防火墙制度 1.防止公司信息系统遭到来自外部人员的任何非法攻击和入侵，需要将公司内部局域网与Internet通过硬件防火墙进行隔离。信息技术部负责建立、配置、管理硬件防火墙。 2.集团下属任何单位及部门（或个人）都不得关闭PC端操作系统防火墙，一旦发现造成系统损坏、数据丢失，后果自负。5.3 虚拟私人网络（VPN） 1.VPN技术是企业常用的网络安全技术之

12、一。VPN利用公共网络建立专用网络，屏蔽了网络之外所有用户。信息技术部提供技术，负责建立集团总部与各公司之间的VPN网络。 2.为提高VPN安全级别，信息技术部负责不定期地更换接连密码和加密方式。 3.进入VPN网络的集团、各公司成员不得泄露连接密码、加密方式和静态地址，一旦发现，严肃查处。造成后果的由责任人自负。5.4 Internet安全 1.信息技术部负责运用各种信息技术提高集团各公司官网的安全级别，防止非法攻击。 2.信息技术部负责运用PKI、数字签名等各种技术提高业务交易平台的安全级别，防止非法攻击和敏感与机密信息泄露。 3. 员工浏览Internet时，不得降低浏览器安全级别，不得

13、浏览非法网站，一经发现，后果自负。5.5 虚拟局域网（VLAN） 1. 增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性，信息技术部负责建立集团办公场所VLAN。 2. 集团办公场所员工不得更改IP地址。5.6 微博、微信管理 1. 员工可以个人名义通过公司微博、微信、BBS平台，转发公司信息。 2. 以公司名义对外发布的信息，统一经集团办公室批准。 3. 信息技术部负责监控公司微博、微信、BBS平台，发现反动、黄色、侵害公司形象的信息，有权立刻删除，并向有关领导（包含但不仅限于集团信息、人事、行政负责人等）进行汇报。6. 密码安全与保密制度6.1

14、服务器操作系统超级用户密码 1.信息技术部项目工程师拥有所负责项目系统的超级用户密码。 2.信息技术部总监、运维部经理、机房巡查员拥有所有服务器操作系统超级用户密码。 3.超级用户密码以每月为周期，由运维部经理、项目工程师、机房巡查员到场一起修改，并报备总监。 4. 各台服务器操作系统的超级用户密码必须不一致。6.2 数据库超级用户密码 1.信息技术部项目工程师拥有所负责项目数据库的超级用户密码。 2.信息技术部总监、运维部经理拥有所有数据库超级用户密码。 3.超级用户密码以每月为周期，由运维部经理、项目工程师到场一起修改，并报备总监。 4.每个数据库的超级用户密码必须不一致。6.3 其他系统

15、超级用户密码 1.信息技术部项目工程师拥有所负责项目的超级用户密码。 2.信息技术部总监、运维部经理拥有所有系统超级用户密码。6.4 个人pc密码 1.员工新领pc后，需修改登陆密码。个人密码不应过于简单，不应记录在笔记本上，被人破译或盗用。 2.员工使用完毕各应用系统后，需安全退出，防止被他人使用。6.5 信息保密制度 1.涉密信息不得通过任何途径传播和存储，一旦发现，要追求个人责任。 2.员工妥善保管好自己的密码，不得向其他人泄露。一旦发生泄露导致公司财产损失，要追究个人责任。 3.信息技术部研发的任何软件、代码、图片、界面等属于公司财产，不得以任何形式向外部人员提供、泄露。7. 数据库、

16、应用与服务器安全7.1 建立磁盘阵列RAID 1.RAID通过在多个磁盘上通过数据校验提供容错功能，确保服务器运行安全。 2.记录不可复制且保密程度较高数据的服务器（如用友NC数据库服务器），采用基于数据分条+数据镜像磁盘结构（RAID0+1）方式。可以确保在一半磁盘全部损坏前，完全保存数据。 3.记录一般数据的服务器，采用分布式奇偶校验的独立磁盘结构（RAID5）方式。可以确保在两块磁盘全部损坏前，完全保存数据。 4.信息技术部项目工程师负责建立、维护相关服务器RAID工作，检查磁盘工作状态。7.2 数据库备份 1.数据库是保存最终数据的介质，通过建立备份与灾难恢复策略，确保数据完整。 2.

17、数据库每日零点进行完全备份，15天循环覆盖，存放在数据库服务器上。 3.信息技术部项目工程师负责建立、维护相关数据库备份，检验备份文件状态。7.3 数据库权限管理 1.信息技术部数据库工程师负责设计数据库权限管理方案；项目工程师负责实施相关数据库权限管理工作。 2.除信息技术部项目工程师、运维部经理、总监外，任何人员不能得到数据库超级用户权限和密码。 3.按权限、管理组、人员三个维度设计数据库权限，做到职责明确。7.4 直接修改数据库数据流程 1.原则上在系统上线初始化后，不允许任何形式直接修改数据库数据。 2.数据库设计时要建立修改行为触发日志，为审计提供依据。 3.数据库维护人员仅有数据库

18、查询权限。需要直接修改数据库的，用户可填写数据库修改数据申请表（附表4），报本部门总监确认签字后，提交信息技术部。 4.信息技术部总监签字确认数据库修改数据申请表后，由运维部经理实施修改。7.5 信息的异地备份 1.异地备份数据是指在另外一个地方产生一个副本，在紧急情况下，副本可立即投入使用。 2.建立异地备份存储服务器，存放数据库备份文件、应用程序、和其他重要信息。 3.异地备份存储服务器，每天6点开始，提取各个数据库备份文件，15天循环覆盖。 4.应用程序实行版本管理，每个版本程序副本放置在异地备份存储服务器上。 5.信息技术部项目工程师负责相关系统的异地备份工作。7.6 机密数据加密 1

19、.凡被认定涉及个人隐私、经济利益而不能被公开的信息，称为机密数据。机密数据不能以明文的形式保存或者传输，必须经过加密手段处理。 2.为确保交易者隐私和信息安全，大大财富等交易平台传输的交易者信息、密码、交易内容，必须通过公开秘钥体系（PKI）手段进行加密后传输。 3.机密数据不能以明文形式存入数据库，必须以加密方式存放。7.7 应用程序版本管理 1.应用程序设计时，需具有版本管理功能。程序只要发生任何一处修改，版本号则要发生变更。 2. 信息技术部项目工程师管理相关应用程序的版本。不同版本的程序需要以副本的形式保存在服务器中。8. 病毒防范制度8.1 杀毒软件与杀毒 1.信息技术部为所有员工配

20、置的pc（含笔记本）安装正版防杀病毒软件和360安全卫士，并开启自动升级功能。 2.员工应有较强的病毒防范意识，定期进行病毒库升级，病毒查杀。如发现升级或者杀毒失败，立即通知信息技术部门人员。 3.员工不得卸载防杀病毒软件和360安全卫士，和关闭自动升级功能，一经发现，严肃处理。8.2 病毒防范行为 1.员工不得擅自安装来及不明和未经病毒检测的软件，特别不得安装游戏和与工作无关的其他软件。 2.员工收到任何形式的程序和数据（如电子邮件），必须经过检测确认无病毒后方可使用。 3.如证明新型病毒在公司局域网内传播，信息技术部有权中断计算机网络，对网络中的病毒进行排查，逐个pc进行升级和病毒查杀。 附表1：信息系统权限申请审批表附表2：机房出入申请审批单附表3：机房巡检单附表4：数据库修改数据申请表 集团信息管理中心 2014年6月8