网络信息安全管理制度

网络安全应急管理制度
为提高我单位网络与信息安全突发性危害事件的防范和应急处理能力，形成科学、有效，快速反应的应急处理机制，最大限度地减轻网络与信息安全突发公共事件对本单位造成的影响，保障网络与业务信息系统的正常运行和数据安全，特制订网络与信息安全应急管理制度。

在网络安全和信息化工作领导小组统筹下，贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国网络安全法》等相关法律法规;落实贯彻上级部门网络和信息安全管理的有关文件精神，坚持积极防御、综合防范的方针，本着预防为主、注重应急工作原则，预防和控制风险，在发生信息安全事件时最大程度地减少损失，尽快使网络和信息系统恢复正常，做好网络和信息安全保障工作。

网络安全应急管理流程图
开始
突发事件
收集故障信息
报障云服务商处理故障
故障定位
通告故障
处理故障
信息系统
故障否
是
业务
恢复
业务测试
是
业务
恢复
否
是
关键业务抢通，厂家技术支持
业务
恢复
是
否
否
通告应急处理结果
记录应急维护信息
结束
信息系统安全管理制度
1、系统管理员控制。

由系统管理员对系统进行管理，并将系统管理员角色进行分类(如主机系统管理员、应用系统管理员、数据库管理员、审计管理员等)，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则。

2、权限控制。

系统管理员应根据业务需求和系统安全分析制订系统的访问控制策略，控制分配信息系统、文件及服务的访问权限。

3、系统主机管理。

系统管理员应根据系统设计方案和运行要求进行安装、调试，建立管理员账户，设置管理员密码，建立用户账户，设置系统安全策略、用户访问权利和资源访问权限，并根据安全风险最小化原则及运行效率最大化原则配置系统主机。

4、系统密码管理。

系统管理员应每月修改管理员密码，密码长度不得低于八位，要求有数字、字母并区分大小写、字符。

5、日志审计与分析。

系统管理员每天对运行日志和审计数据进行分析，保存分析报告，详细描述账户的连续多次登录失败、非工作时间的登录、访问受限系统、文件的失败尝试、系统错误等非正常事件。

6、漏洞管理。

系统管理员每季度应对操作系统、应用系统、数据库系统进行一次漏洞扫描，对漏洞风险持续跟踪，在经过充
分的验证测试后对必要漏洞开展修补工作;实施漏洞扫描或漏洞修补前，应对可能的风险进行评估和充分准备，如选择恰当时间，并做好数据备份和回退方案;漏洞扫描或漏洞修补后应进行验证测试，以保证系统的正常运行;应保存系统漏洞扫描报告，详细描述系统存在的漏洞、严重级别和结果处理等方面内容。

7、安全补丁管理。

系统管理员应及时跟踪国家有关部门(如:公安部国家网络与信息安全通报中心、信产部CNCERT)、操作系统开发商和数据库系统开发商最新发布的漏洞公告，为信息系统获取相关的补丁软件;在安装系统补丁前，应对补丁文件的有效性和安全性在测试环境中进行测试，确保不会导致产生隐患或系统故障，并对重要文件进行完全备份后，方可实施系统补丁程序的安装。

8、系统维护。

系统管理员应依据系统操作手册对系统进行维护，并详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容;未经允许任何人不得对系统进行操作，更不得随意更改配置;严禁除维修人员以外的外部人员操作各类设备。

9、配置管理。

系统管理员对信息系统的基本配置信息做详细记录，包括系统配置信息、用户帐户名称，系统安装目录、数据文件存贮目录，在信息系统配置信息发生改变时及时更新记录。

网络安全管理制度
1、人员管理。

重点岗位的人员应签订网络安全与保密协议，明确网络安全与保密要求和责任;人员离岗离职时应终止其IT资产、信息系统访问权限，收回各种软硬件设备及相关身份证件、门禁卡等，并签署安全保密承诺书;外部人员须经审批后方可进入，并安排本单位工作人员现场陪同，对访问活动进行记录并留存。

2、IT资产管理。

指定专人负责IT资产管理;建立IT资产台账，统一编号、统一标识、统一发放;及时记录资产状态和资产使用情况，保证账物相符。

3、IT资产采购管理。

采购安全可控的信息技术产品和服务。

4、信息技术外包管理。

与信息技术外包服务提供商签订服务合同和信息安全与保密协议，明确信息安全与保密责任;信息技术外包服务人员应为中国公民，现场服务过程中应安排专人陪同，并详细记录服务过程;外包开发的系统、软件上线使用前应进行安全测评，要求开发方及时提供系统、软件的升级、漏洞修复等信息技术服务;信息系统运维外包不得采用远程在线运维服务方式;将信息技术外包服务安全管理纳入年度信息安全检查范围。

5、病毒预防。

公司所有计算机必须安装指定的防病毒软件
并实时运行。

未经安全管理人员允许，严禁卸载、禁用防病毒软件。

防病毒软件和病毒代码库要及时升级，确保使用的是最新版本。

6、病毒处理。

感染病毒的计算机要立即从网络中断开，只有清除病毒确保无病毒后方能再接入网络。

7、帐号注册。

帐号申请和维护的审批信息根据系统的重要性和实际操作的方便性可以选择电子和书面的形式。

帐号申请和维护的审批信息必须保存完整，以便进行帐号审查。

帐号授权的根本原则是最小权限原则，即满足用户能够完成相应工作的最小权限。

8、密码管理。

帐号的密码强度必须满足如下要求:至少包括大写字母、小写字母、数字、特殊字符中的至少三种;密码的长度必须大于等于8位、系统可支持的最大长度密码与帐号不能类似;密码不能含有英语字典中的单词或汉字词的拼音。

9、帐号管理。

系统管理员负责系统全部帐号的安全，用户负责自己使用帐号的安全。

10、帐号注销。

人员离职时所有所属的帐号必须及时禁用或删除。

11、保密协议。

工作人员在使用信息、信息系统时，违背有关的职责，违背聘用条款应当承担责任。

所有能够接触到敏感信息的工作人员签订《保密协议》，或在工作人员合同中包含保密协议的条款。

所有需访问信息系统的第三方工作人员也必须签订
同样的保密协议。

12、岗位设置。

根据工作需要，网络信息部设置以下岗位:网络信息部负责人、安全主管、系统管理员、网络管理员、安全管理员、数据库管理员、设备管理员、审计管理员等。

应配备专职安全管理员，不可兼任。

13、岗位安全要求。

对于重要性和敏感性较高的岗位，工作人员应进行轮换。

确保重要岗位只能通过两个或多个人才能完成。

网络安全保密管理制度
第一条网络信息安全保密工作是我单位数字平台安全运行与发展的基础，为给网络信息安全保密工作提供清晰的指导方向，加强安全管理工作，保障各类软件平台的安全运行，特制定本管理制度。

本制度适用于我公司及下属分公司的信息安全管理。

第二条数据中心租用云服务的，对应云服务的厂商物理环境建设应符合相应的国家标准。

第三条系统管理员必须与业务系统的操作员分离，系统管理员不得操作业务系统。

应用系统维护人员必须与应用系统开发人员分离，维护人员不得修改应用系统源代码。

第四条采用入侵检测、访问控制、密钥管理、安全控制等
网络安全保障措施，保证网络的安全。

不得随意改变设备IP地址、主机名等一切系统信息。

第五条对涉及到网络信息安全的网络操作事件进行记录，以进行安全追查等事后分析，并建立和维护“安全日志”，其内容包括:记录所有访问控制定义的变更情况,记录网络设备或设
施的关闭和重新启动情况,记录所有对资源的物理毁坏和威胁事件。

在安全措施不完善的情况下，严禁业务网络与互联网联接。

第六条对各业务系统必须建立科学的、严格的软件运行、维护等对应管理措施。

第七条建立软件复制及领用登记簿，建立健全相应的监督管理制度，防止软件的非法复制、流失及越权使用，保证信息系统的安全。

第八条定期更换系统和用户相关的各类密码，业务系统使用用户要进行动态管理，并定期更换密码。

第九条定期对业务处理及办公用PC的操作系统及时进行系统补丁升级，修复安全漏洞。

第十条不得擅自安装、拆卸或替换任何计算机软、硬件，严禁安装任何非法或盗版软件。

不得下载、打开与工作无关的任何电子文件，严禁浏览黄色、反动等非法或高风险网站。

第十一条注意防范计算机病毒，管理员要对业务或办公用PC每天更新病毒库，或设置病毒库每天自动更新策略。

第十二条所有数据必须经过合法的手续和规定的渠道采
集、加工、处理和传播，数据应只用于明确规定的目的，未经批准不得它用，采用的数据范围应与规定用途相符，不得超越。

第十三条根据数据使用者的权限合理分配数据存取授权，保障数据使用者的合法存取。

设置数据库用户口令，并监督用户定期更改;数据库用户在操作数据过程中，不得使用他人口令或者把自己的口令提供给他人使用。

第十四条严禁直接对数据库进行操作修改数据。

如遇特殊情况进行此操作时，必须由申请人提出申请，经申请人所属部门领导确认后提交至网络信息部，网络信息部相关领导确认后，方可由数据库管理人员进行修改，并对操作内容作好记录，长期保存。

修改前应做好数据备份工作。

第十五条应按照分工负责、互相制约的原则制定各类系统操作人员的数据读写权限，读写权限不允许交叉覆盖。

一线生产系统和二线监督系统进行系统维护、复原、强行更改数据时，至少应有两名操作人员在场，并进行详细的登记及签名。

第十六条对业务系统操作员权限实行动态管理，确保操作员岗位调整后及时修改相应权限，保证业务数据安全。

重点岗位的人员签订网络安全与保密协议，明确网络安全与保密要求和责任。