《企业信息安全管理制度(试行).docx》由会员分享,可在线阅读,更多相关《企业信息安全管理制度(试行).docx(19页珍藏版)》请在第壹文秘上搜索。
1、XX公司信息平安管理制度(试行)第一章总则第一条为保证信息系统平安牢靠稳定运行,降低或阻挡人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的平安威逼,结合公司实际,特制定本制度。第二条本制度适用于XX公司以及所属单位的信息系统平安管理。第二章职责第三条相关部门、单位职贲:一、信息中心(一)负责组织和协调XX公司的信息系统平安管理工作;(二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息平安设备;会同保密处对公司本部互联网上网行为进行管理;(四)对XX公司统一
2、建设的信息系统制定专项运维管理方法,明确信息系统平安管理要求,界定两级单位信息平安管理责任;(五)负责XX公司网络边界、网络拓扑等全局性的信息平安管理。二、人力资源部(一)负责人力资源平安相关管理工作。(二)负责将信息平安策略培训纳入年度职工培训安排,并组织实施。三、各部门(一)负责本部门信息平安管理工作。(二)协作和帮助业务主管部门完善相关制度建设,落实日常管理工作。四、所属各单位(一)负责组织和协调本单位信息平安管理工作。(二)对本单位建设的信息系统制定专项运维管理方法,明确信息系统平安管理要求,报XX公司信息中心备案。第三章信息平安策略的基本要求第四条信息系统平安管理应遵循以下八个原则:
3、一、主要领导人负责原则;二、规范定级原则;三、依法行政原则;四、以人为本原则;五、留意效费比原则;六、全面防范、突出重点原则;七、系统、动态原则;八、特别平安管理原则。第五条公司保密委应依据业务需求和相关法律法规,组织制定公司信息平安策略,经主管领导审批发布后,对员工及相关方进行传达和培训。第六条制定信息平安策略时应充分考虑信息系统平安策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第七条信息平安策略主要包括以下内容:一、信息网络与信息系统必需在建设过程中进行平安风险评估,并依据评估结果制定平安策略;二、对已投入运行且已建立平安体系的系统定期进行漏洞扫描,以便刚好发
4、觉系统的平安漏洞;三、对平安体系的各种日志(如入侵检测日志等)审计结果进行探讨,以便刚好发觉系统的平安漏洞;四、定期分析信息系统的平安风险及漏洞、分析当前黑客特别入侵的特点,刚好调整平安策略;五、制定人力资源、物理环境、访问限制、操作、备份、系统获得及维护、业务连续性等方面的平安策略,并实施。第八条公司保密委每年应组织对信息平安策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大改变时也应进行评审和修订。第九条依据“谁主管、谁负责”的原则,公司建立信息平安分级责任制,各层级落实信息系统平安责任。第四章人力资源平安管理第十条信息系统相关岗位设置应满意以下
5、要求:一、平安管理岗与其它任何岗位不得兼岗、混岗、代岗。二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。三、平安管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。四、以上岗位人员调离必需办理交接手续,所驾驭的口令应马上更换或注销该用户。第十一条人力资源部在相关岗位任职要求中应包含信息平安管理的相关条件和要求;将信息平安相关培训纳入年度职工培训安排,并组织实施。第五章信息系统物理和环境平安管理第十二条信息系统物理平安指为了保证信息系统平安牢靠运行,不致受到人为或自然因素的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等实行适当的平安
6、措施。第十三条信息管理部门应实行切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行平安限制,防止无关人员未授权物理访问、损坏和干扰。第十四条信息管理部门应加强对信息系统机房及配线间的平安管理,要求如下:一、工作人员需经授权,方能且只能进入中心机房的授权工作区;确因工作须要,需进入非授权工作区时,需由该授权工作区人员陪伴;做好机房出入登记(格式见附录3-3)。二、工作人员必需严格依据规定操作,未经批准不得超越自己职权范围以外的操作;操作结束时,必需退出已进入的操作画面;最终离开工作区域的人员应将门关闭。三、非授权人员严禁操作中心机房UPS、专用空调、监控、消防及UPS供配
7、电设备设施。四、未经授权,任何人员不得擅自拷贝数据和文件等资料。五、严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。六、发生意外状况应马上实行应急措施,并刚好向有关部门和领导报告。第六章信息系统资产管理第十五条信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单(格式见附录3-4),并定期对其进行盘点清查。第十六条设备运用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识。标识应张贴在信息设备的明显位置,做到信息完整、字迹清楚,并做好防脱落防护工作。第十七条信息管理部门应对主机进行限制管理,要求如下:一、关键业务生产系统中的主机原则上应采纳双机热备份方式或n+m的
8、多主机方式,确保软件运行环境牢靠;二、一般业务生产系统中的主机、生产用PC前置机,关键设备可以采纳软硬件配置完全相同的设备来实现冷备份;三、各类设备在选购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求,核心服务器、存储相应时间一般不高于4小时。第十八条各相关部门应加强信息设备安装、调试、维护、修理、报废等环节的管理工作,防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。第七章信息系统访问限制及操作平安管理第十九条公司将系统运行平安按粒度从粗到细分为四个层次:系统级平安、资源访问平安、功能性平安、数据域平安。一、系统级平安策略包括:敏感系统的隔离、访问地址段的限制
9、、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问限制等。系统级平安是应用系统的第一道防护大门。二、资源访问平安策略包括:对程序资源的访问进行平安限制,在客户端上,为用户供应和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对UR1.程序资源和业务服务类方法的调用进行访问限制。三、功能性平安策略包括:功能性平安会对程序流程产生影响,如用户在操作业务记录时,是否须要审核,上传附件不能超过指定大小等。四、数据域平安策略包括:一是行级数据域平安,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域平安,即用户可以访问
10、业务记录的哪些字段。第二十条用户管理应建立用户身份识别与验证机制,防止非法用户进入应用系统。详如!要求如下:一、公司依据相关的访问限制策略,对用户注册、访问开通、访问权限安排、权限的调整及撤销、平安登录、口令管理等方面进行访问限制的管理活动。二、用户是指用以登录、访问和限制计算机系统资源的帐户。用户管理是指对用户进行分层、授权的管理。用户由用户名加以区分,由用户口令加以爱护。依据计算机系统所承载的应用系统运行管理的须要,将用户分为超级用户、授权用户、一般用户、匿名用户四类,分别限制其权限。(一)超级用户。拥有对运行系统的主机、前置机、服务器、数据库、运行进程、系统配置、网络配置等进行察看、修改
11、、添加、重启等权限并可对下级用户进行授权的用户。由系统管理岗位或网络管理岗位主管进行安排,由系统管理员或网络管理员负责用户口令的日常管理。(二)授权用户。拥有由超级用户依据应用系统开发或运行维护的特别须要,经过岗位主管的审批,将一些系统吩咐运行权限所授予的一般用户,由授权用户负责用户口令的日常管理。(三)一般用户。应用系统开发或运行维护人员为应用系统一股监控、维护的须要,由超级用户安排的一般用户,这类用户仅拥有缺省用户访问权限的用户,由用户负责口令的日常管理。(四)匿名用户。匿名用户用于向公司网络内全部用户供应相应服务,这类用户一般仅拥有阅读权限,无用户名及口令,一般状况下只允许供应如:标准、
12、期刊等无平安要求的系统服务时运用匿名用户。三、对用户以及权限的设定进行严格管理,用户权限的安排遵循“最小特权”原则。四、口令是用户用以爱护所访问计算机资源权利,不被他人冒用的基本限制手段。口令策略的应用与其被爱护对象有关,口令强度与口令所爱护的资源、数据的价值或敏感度成正比。(一)全部在公司局域网网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必需设置口令爱护。(二)全部有权驾驭口令的人员必需保证口令在产生、安排、存储、销毁过程中的平安性和机密性。(三)口令应至少要含有8个字符;应同时含有字母和非字母字符口令。(四)口令设置不能和用户名或登录名相同,不能运用生日、人名、英文单词等易被
13、揣测、易被破解的口令,如有可能,采纳机器随机生成口令。(五)口令运用期限由各个系统平安要求而定。(六)口令的运用期限和过期失效应尽可能由系统强制执行。(七)设备在启用时,默认口令必需更改。第二十一条系统运行平安检查是平安管理的常用工作方法,也是预防事故、发觉隐患、指导整改的必要工作手段。信息系统平安管理人员应做好系统运行平安检查与记录(格式见附录3-5)o检查范围:一、应用系统的访问限制检查。包括物理和逻辑访问限制,是否依据规定的策略和程序进行访问权限的增加、变更和取消,用户权限的安排是否遵循“最小特权”原则。二、应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异样日
14、志。三、应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统复原时间等。四、应用系统实力检查。包括系统资源消耗状况、系统交易速度和系统吞吐量等。五、应用系统的平安操作检查。用户对应用系统的运用是否依据信息平安的相关策略和程序进行访问和运用。六、应用系统维护检查。维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等。七、应用系统的配置检查。检查应用系统的配置是否合理和适当,各配置组件是否发挥其应有的功能。八、恶意代码的检查。是否存在恶意代码,如病毒、木马、隐藏通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。九、检查出现异样时应进行记录,非受控改变应刚好报
15、告,以确定是否属于信息平安事务,属于信息平安事务的应刚好处理。第二十二条信息管理部门应定期对重要系统、配置及应用进行备份。备份管理要求如下:一、各系统应于投产前明确数据备份方法,对数据备份和还原进行必要的测试,并依据实际运行须要刚好调整,每次调整应进行测试;二、对系统配置、网络配置和应用软件应进行备份。在发生变动时,应刚好备份;三、业务数据备份依据各生产系统备份安排的详细要求进行,尽可能实现异地备份;四、集中管理的系统、设备数据的备份工作由所在单位的信息部门负责;五、备份介质交接应严格履行交接手续,做好交接登记;六、介质存放地必需符合防盗、防火、防水、防鼠、防虫、防磁以及相应的干净度、温湿度等要求。第八章网络与通信平安管理第二十三条信息化管理部门实行必要的技术手段和管理措施,加强对网络和通信平安的管理,保障公司内外信息传递平安。网络平安管理包含网络访问限制、平安机制、网络服务、网络隔离等,基本要求是:一、定期对重要网络设备运行状况进行平安检查,发觉隐患刚好上报或整改,并做好记录(格式见附录3-5)。二、定期备份重要网络和通信设备配置文件,确保发生故障时能刚好复原网络运行,保证网络的可用性。第二十四条加强内部网络平安管理,详细要求如下:一、网络机房分区应独立、封闭。二、网络设备脱离生产环境前应清空全部网络配置。三、骨干网络设备应有备
