企业信息安全管理制度(试行)
企业信息安全管理制度
企业信息安全管理制度第一章总则第一条为了加强企业信息安全管理,保护企业资产和业务数据的安全,特制定本制度。
第二条本制度适用于企业全体员工,包括管理层、技术人员、行政人员以及其他相关人员。
第三条企业信息安全管理的目标是确保信息资产的保密性、完整性和可用性,防止信息泄露、篡改和丢失。
第二章组织架构与职责第四条成立企业信息安全领导小组,负责制定信息安全策略、监督信息安全工作并处理重大信息安全事件。
第五条设立信息安全管理部门,负责具体执行信息安全管理制度、开展信息安全风险评估和检查,并提供信息安全技术支持和培训。
第六条各部门应设立信息安全责任人,负责本部门信息安全工作的落实和日常管理。
第三章信息资产分类与保护第七条对企业信息资产进行分类,根据资产的重要性和敏感程度,采取相应的保护措施。
第八条加强对重要信息资产的物理保护,如设立门禁系统、安装监控设备等,防止未经授权的访问和破坏。
第九条对重要数据进行备份和恢复,确保数据的可靠性和可用性。
第四章信息安全技术与措施第十条建立完善的网络安全防护体系,包括防火墙、入侵检测系统、安全漏洞扫描等,防止网络攻击和恶意软件的侵入。
第十一条采用加密技术保护数据的传输和存储,确保数据的保密性。
第十二条对员工使用的终端设备进行安全管理,包括安装防病毒软件、定期更新操作系统和应用程序等。
第五章信息安全培训与意识提升第十三条定期开展信息安全培训,提高员工的信息安全意识和技能。
第十四条鼓励员工积极参与信息安全工作,及时报告发现的安全问题和隐患。
第六章信息安全事件处理与应急响应第十五条建立信息安全事件处理机制,对发生的信息安全事件进行及时响应和处理。
第十六条制定信息安全应急预案,确保在突发事件发生时能够迅速恢复业务运行。
第七章监督与考核第十七条信息安全管理部门定期对各部门的信息安全工作进行检查和评估,确保信息安全管理制度的落实。
第十八条将信息安全工作纳入企业的绩效考核体系,对在信息安全工作中表现突出的个人和部门进行表彰和奖励。
(完整版)企业信息安全管理制度
公司信息安全管理制度编制:关国健校对:审核:企业信息安全管理制度近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。
随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。
如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:A、技术图纸。
B、商务信息。
C、财务信息。
D、服务器信息。
E、密码信息。
针对以上涉及到安全的信息,在企业中存在如下风险:1、来自企业外的风险(1)病毒和木马风险:互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
(2)不法分子等黑客风险:计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
还有些黑客纯粹为显示自己的能力以攻击为乐,他们在用以上方法在网络上绑架了成千上万的电脑,让这些电脑成为自己傀儡,在网络上同时发布大量的数据包,前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来,它会导致受攻击方服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。
《企业信息安全管理制度》
第一章总则第一条为加强企业信息安全管理工作,保障企业信息系统安全稳定运行,维护企业合法权益,根据《中华人民共和国网络安全法》等相关法律法规,结合本企业实际情况,制定本制度。
第二条本制度适用于本企业所有信息系统、网络设备、数据资源以及涉及信息安全的相关活动。
第三条企业信息安全管理工作遵循以下原则:(一)安全第一,预防为主;(二)统一领导,分级管理;(三)责任明确,奖惩分明;(四)持续改进,不断提高。
第二章组织机构与职责第四条企业设立信息安全领导小组,负责企业信息安全工作的组织、领导和监督。
第五条信息安全领导小组的主要职责:(一)制定企业信息安全战略、规划和政策;(二)组织信息安全风险评估和应急处理;(三)监督信息安全管理制度和措施的落实;(四)协调各部门信息安全工作;(五)对信息安全事件进行调查和处理。
第六条企业设立信息安全管理部门,负责具体实施信息安全管理工作。
第七条信息安全管理部门的主要职责:(一)制定和实施企业信息安全管理制度;(二)开展信息安全培训和教育;(三)监督信息系统安全运行;(四)组织信息安全检查和审计;(五)处理信息安全事件。
第三章信息安全管理制度第八条信息安全管理制度包括但不限于以下内容:(一)信息系统安全管理制度:1. 确保信息系统符合国家相关安全标准;2. 对信息系统进行安全评估和风险评估;3. 定期对信息系统进行安全加固和漏洞修复;4. 对信息系统进行安全审计和监控。
(二)网络安全管理制度:1. 制定网络安全策略,规范网络行为;2. 对网络设备进行安全配置和管理;3. 对网络流量进行监控和过滤;4. 对网络入侵和攻击进行防范和应对。
(三)数据安全管理制度:1. 制定数据分类和分级标准;2. 对重要数据进行备份和恢复;3. 对数据传输进行加密;4. 对数据存储进行安全防护。
(四)用户安全管理制度:1. 制定用户账号和密码管理制度;2. 对用户权限进行严格控制;3. 对用户进行安全教育和培训;4. 对离职或调离员工进行账号和权限管理。
企业信息安全管理制度
企业信息安全管理制度第一章总则第一条为了加强企业信息安全管理工作,保障企业信息安全,根据《中华人民共和国网络安全法》等法律法规,结合企业实际情况,制定本制度。
第二条本制度适用于企业内部所有信息系统的安全管理,包括计算机网络、信息系统、数据存储、传输、处理等各个环节。
第三条企业应建立健全信息安全组织机构,明确信息安全管理部门及其职责,制定信息安全管理制度,加强信息安全培训和教育,提高全体员工的信息安全意识。
第四条企业应遵循预防为主、全面防护的原则,采取技术手段和管理措施,确保信息安全,保障企业正常运营。
第五条企业应建立健全信息安全事件应急预案,及时应对和处理信息安全事件,减轻或消除信息安全事件对企业的影响。
第二章信息资产管理第六条企业应建立信息资产清单,明确信息资产的分类、分布、使用和管理情况,定期对信息资产进行清查和盘点。
第七条企业应根据信息资产的重要性和敏感性,实行分级管理,对重要信息资产实施重点保护。
第八条企业应加强对信息资产的访问控制,对信息资产的使用和管理实行权限管理,确保信息资产的安全。
第三章信息系统安全管理第九条企业应建立信息系统安全管理制度,明确信息系统安全管理的责任和义务,制定信息系统安全策略和措施。
第十条企业应定期对信息系统进行安全检查和评估,及时发现和解决信息系统安全问题。
第十一条企业应加强对信息系统运维人员的管理,确保信息系统运维人员具备相应的技术能力和职业道德。
第十二条企业应采取技术手段,对信息系统进行实时监控和日志记录,及时发现和处理信息系统安全事件。
第四章数据安全管理第十三条企业应建立数据安全管理制度,明确数据安全管理的职责和义务,制定数据安全策略和措施。
第十四条企业应对数据进行分类管理,对敏感数据实施重点保护,确保数据的机密性、完整性和可用性。
第十五条企业应加强对数据存储、传输、处理等环节的安全管理,采取技术手段和管理措施,确保数据安全。
第十六条企业应建立健全数据备份和恢复机制,确保数据在发生安全事件时能够及时恢复。
企业信息安全管理制度(试行)
XX公司信息安全管理制度(试行)第一章总则第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二条本制度适用于XX公司以及所属单位的信息系统安全管理。
第二章职责第三条相关部门、单位职责:一、信息中心(一)负责组织和协调XX公司的信息系统安全管理工作;(二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;(四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;(五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。
二、人力资源部(一)负责人力资源安全相关管理工作。
(二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。
三、各部门(一)负责本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。
四、所属各单位(一)负责组织和协调本单位信息安全管理工作。
(二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求第四条信息系统安全管理应遵循以下八个原则:一、主要领导人负责原则;二、规范定级原则;三、依法行政原则;四、以人为本原则;五、注重效费比原则;六、全面防范、突出重点原则;七、系统、动态原则;八、特殊安全管理原则。
第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。
第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
第七条信息安全策略主要包括以下内容:一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
企业信息安全管理制度(试行)
XX公司信息安全管理制度(试行)第一章总则第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二条本制度适用于✠✠公司以及所属单位的信息系统安全管理。
第二章职责第三条相关部门、单位职责:一、信息中心(一)负责组织和协调✠✠公司的信息系统安全管理工作;(二)负责建立✠✠公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(三)负责对✠✠公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;(四)对✠✠公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;(五)负责✠✠公司网络边界、网络拓扑等全局性的信息安全管理。
二、人力资源部(一)负责人力资源安全相关管理工作。
(二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。
三、各部门(一)负责本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。
四、所属各单位(一)负责组织和协调本单位信息安全管理工作。
(二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报✠✠公司信息中心备案。
第三章信息安全策略的基本要求第四条信息系统安全管理应遵循以下八个原则:一、主要领导人负责原则;二、规范定级原则;三、依法行政原则;四、以人为本原则;五、注重效费比原则;六、全面防范、突出重点原则;七、系统、动态原则;八、特殊安全管理原则。
第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。
第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
第七条信息安全策略主要包括以下内容:一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞三、对安全体系的各种日志☎如入侵检测日志等✆审计结果进行研究,以便及时发现系统的安全漏洞四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
公司信息安全管理制度(3篇)
公司信息安全管理制度第一章总则第一条为了保障公司信息安全,防范各类信息安全风险,确保公司的业务正常运行,根据国家有关法律法规和相关规定,结合公司的实际情况,制定本信息安全管理制度(以下简称“本制度”)。
第二条本制度适用于公司内的所有员工,在公司内外使用公司信息资源、参与信息系统运维、开发、维护等相关人员。
第三条公司信息安全管理的原则是“保密、完整性、可用性”。
公司将积极采取各种技术和管理措施,保障信息的机密性、完整性、可控性。
第二章组织和责任第四条公司设立信息安全管理部门,负责全面监管、组织和协调公司的信息安全工作。
第五条公司内设信息安全管理委员会,由公司高层管理人员和信息安全管理部门的负责人组成,负责决策信息安全相关的重大事项。
第六条公司内部设立信息安全审计部门,负责对公司信息系统和信息安全管理制度的执行情况进行审计,并向信息安全管理委员会提供报告。
第三章信息资源的分类及保护措施第七条公司的信息资源根据其重要性和敏感性进行分类,包括但不限于核心数据、客户数据、员工数据等。
第八条对于各类信息资源,公司将采取以下保护措施:(一)核心数据的存储和使用必须在安全环境中进行,并采取加密、备份等措施,确保数据的安全性和可恢复性。
(二)客户数据的收集、存储和使用必须经过合法授权,且符合法律法规的规定,不得私自泄露或滥用。
(三)员工数据的保护必须符合相关规定和公司的隐私政策,未经员工本人同意,不得向外部泄露或使用。
第四章信息系统的安全管理第九条公司的信息系统必须设置完备的安全控制措施,包括但不限于网络安全、系统安全、应用安全等。
第十条公司将建立信息系统的合理权限管理制度,确保每个员工和系统用户拥有的权限符合其工作需要,且及时更新权限。
第十一条公司将定期对信息系统进行漏洞扫描和安全评估,发现问题及时修补。
第十二条严禁公司内外部人员进行任何未经授权的入侵、攻击和滥用公司信息系统的行为,对于违反者将依法追究责任。
第十三条公司将定期进行信息系统的备份和恢复测试,以确保系统数据的可恢复性。
企业信息安全管理制度范文(三篇)
企业信息安全管理制度范文第一章概述1.1 引言本制度的制定目的是为了规范和保障企业的信息资产安全,确保企业信息系统稳定运行,防止信息泄露、篡改、丢失等安全事件的发生。
本制度适用于企业所有部门和员工,必须严格遵守。
1.2 信息安全管理目标(1)确保信息资产的保密性,防止未经授权的访问和泄露;(2)保障信息资产的完整性,防止篡改和损坏;(3)确保信息资产的可用性,确保及时获取和使用信息;(4)加强对信息安全问题的管理和控制能力。
1.3 术语和定义(1)信息资产:指企业所有的信息资源,包括但不限于计算机系统、网络设备、数据库、文件、文档等;(2)信息安全:指保护信息资产免受未经授权的访问、使用、泄露、篡改和破坏的能力;(3)风险评估:指对信息安全风险进行识别、评估和处理的过程;(4)安全事件:指违反信息安全规定和政策的行为或事件,包括但不限于病毒攻击、网络入侵、信息泄露等。
第二章组织与责任2.1 信息安全委员会(1)成立信息安全委员会,由企业高层领导担任主任,相关部门负责人担任委员,负责制定和审批信息安全政策和措施;(2)信息安全委员会的职责包括但不限于:制定和修订信息安全政策和制度、组织安全培训和宣传、指导信息安全工作等。
2.2 信息安全负责人(1)企业任命信息安全负责人,负责信息安全工作的组织、推动和监督;(2)信息安全负责人的职责包括但不限于:制定信息安全管理制度、组织安全演练和应急响应等。
2.3 部门和员工责任(1)各部门必须制定信息安全管理制度,明确部门内部的安全责任和工作要求;(2)员工必须接受信息安全培训并遵守相关规定,如发现安全问题要及时上报。
第三章信息安全管理3.1 信息安全政策(1)明确企业对信息安全的重视和承诺;(2)规定信息安全的基本原则,包括但不限于:保密原则、完整性原则、可用性原则;(3)指导和约束员工的信息安全行为,包括但不限于:不得私自更改、删除、泄露信息资产、使用非法软件等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX公司信息安全管理制度(试行)第一章总则第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二条本制度适用于XX公司以及所属单位的信息系统安全管理。
第二章职责第三条相关部门、单位职责:一、信息中心(一)负责组织和协调XX公司的信息系统安全管理工作;(二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;(四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;(五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。
二、人力资源部(一)负责人力资源安全相关管理工作。
(二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。
三、各部门(一)负责本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。
四、所属各单位(一)负责组织和协调本单位信息安全管理工作。
(二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求第四条信息系统安全管理应遵循以下八个原则:一、主要领导人负责原则;二、规范定级原则;三、依法行政原则;四、以人为本原则;五、注重效费比原则;六、全面防范、突出重点原则;七、系统、动态原则;八、特殊安全管理原则。
第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。
第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
第七条信息安全策略主要包括以下内容:一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。
第四章人力资源安全管理第十条信息系统相关岗位设置应满足以下要求:一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。
二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。
三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。
四、以上岗位人员调离必须办理交接手续,所掌握的口令应立刻更换或注销该用户。
第十一条人力资源部在相关岗位任职要求中应包含信息安全管理的相关条件和要求;将信息安全相关培训纳入年度职工培训计划,并组织实施。
第五章信息系统物理和环境安全管理第十二条信息系统物理安全指为了保证信息系统安全可靠运行,不致受到人为或自然因素的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等采取适当的安全措施。
第十三条信息管理部门应采取切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行安全控制,防止无关人员未授权物理访问、损坏和干扰。
第十四条信息管理部门应加强对信息系统机房及配线间的安全管理,要求如下:一、工作人员需经授权,方能且只能进入中心机房的授权工作区;确因工作需要,需进入非授权工作区时,需由该授权工作区人员陪同;做好机房出入登记(格式见附录3-3)。
二、工作人员必须严格按照规定操作,未经批准不得超越自己职权范围以外的操作;操作结束时,必须退出已进入的操作画面;最后离开工作区域的人员应将门关闭。
三、非授权人员严禁操作中心机房UPS、专用空调、监控、消防及UPS 供配电设备设施。
四、未经授权,任何人员不得擅自拷贝数据和文件等资料。
五、严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。
六、发生意外情况应立即采取应急措施,并及时向有关部门和领导报告。
第六章信息系统资产管理第十五条信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单(格式见附录3-4),并定期对其进行盘点清查。
第十六条设备使用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识。
标识应张贴在信息设备的明显位置,做到信息完整、字迹清晰,并做好防脱落防护工作。
第十七条信息管理部门应对主机进行控制管理,要求如下:一、关键业务生产系统中的主机原则上应采用双机热备份方式或n+m的多主机方式,确保软件运行环境可靠;二、一般业务生产系统中的主机、生产用PC前置机,关键设备可以采用软硬件配置完全相同的设备来实现冷备份;三、各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求,核心服务器、存储相应时间一般不高于4小时。
第十八条各相关部门应加强信息设备安装、调试、维护、维修、报废等环节的管理工作,防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。
第七章信息系统访问控制及操作安全管理第十九条公司将系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。
一、系统级安全策略包括:敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。
系统级安全是应用系统的第一道防护大门。
二、资源访问安全策略包括:对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL 程序资源和业务服务类方法的调用进行访问控制。
三、功能性安全策略包括:功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
四、数据域安全策略包括:一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
第二十条用户管理应建立用户身份识别与验证机制,防止非法用户进入应用系统。
具体要求如下:一、公司按照相关的访问控制策略,对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理等方面进行访问控制的管理活动。
二、用户是指用以登录、访问和控制计算机系统资源的帐户。
用户管理是指对用户进行分层、授权的管理。
用户由用户名加以区分,由用户口令加以保护。
按照计算机系统所承载的应用系统运行管理的需要,将用户分为超级用户、授权用户、普通用户、匿名用户四类,分别控制其权限。
(一)超级用户。
拥有对运行系统的主机、前置机、服务器、数据库、运行进程、系统配置、网络配置等进行察看、修改、添加、重启等权限并可对下级用户进行授权的用户。
由系统管理岗位或网络管理岗位主管进行分配,由系统管理员或网络管理员负责用户口令的日常管理。
(二)授权用户。
拥有由超级用户根据应用系统开发或运行维护的特殊需要,经过岗位主管的审批,将一些系统命令运行权限所授予的普通用户,由授权用户负责用户口令的日常管理。
(三)普通用户。
应用系统开发或运行维护人员为应用系统一般监控、维护的需要,由超级用户分配的一般用户,这类用户仅拥有缺省用户访问权限的用户,由用户负责口令的日常管理。
(四)匿名用户。
匿名用户用于向公司网络内所有用户提供相应服务,这类用户一般仅拥有浏览权限,无用户名及口令,一般情况下只允许提供如:标准、期刊等无安全要求的系统服务时使用匿名用户。
三、对用户以及权限的设定进行严格管理,用户权限的分配遵循“最小特权”原则。
四、口令是用户用以保护所访问计算机资源权利,不被他人冒用的基本控制手段。
口令策略的应用与其被保护对象有关,口令强度与口令所保护的资源、数据的价值或敏感度成正比。
(一)所有在公司局域网网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必须设置口令保护。
(二)所有有权掌握口令的人员必须保证口令在产生、分配、存储、销毁过程中的安全性和机密性。
(三)口令应至少要含有8个字符;应同时含有字母和非字母字符口令。
(四)口令设置不能和用户名或登录名相同,不能使用生日、人名、英文单词等易被猜测、易被破解的口令,如有可能,采用机器随机生成口令。
(五)口令使用期限由各个系统安全要求而定。
(六)口令的使用期限和过期失效应尽可能由系统强制执行。
(七)设备在启用时,默认口令必须更改。
第二十一条系统运行安全检查是安全管理的常用工作方法,也是预防事故、发现隐患、指导整改的必要工作手段。
信息系统安全管理人员应做好系统运行安全检查与记录(格式见附录3-5)。
检查范围:一、应用系统的访问控制检查。
包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。
二、应用系统的日志检查。
包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
三、应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等。
四、应用系统能力检查。
包括系统资源消耗情况、系统交易速度和系统吞吐量等。
五、应用系统的安全操作检查。
用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
六、应用系统维护检查。
维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等。
七、应用系统的配置检查。
检查应用系统的配置是否合理和适当,各配置组件是否发挥其应有的功能。
八、恶意代码的检查。
是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。
九、检查出现异常时应进行记录,非受控变化应及时报告,以确定是否属于信息安全事件,属于信息安全事件的应及时处理。
第二十二条信息管理部门应定期对重要系统、配置及应用进行备份。
备份管理要求如下:一、各系统应于投产前明确数据备份方法,对数据备份和还原进行必要的测试,并根据实际运行需要及时调整,每次调整应进行测试;二、对系统配置、网络配置和应用软件应进行备份。
在发生变动时,应及时备份;三、业务数据备份按照各生产系统备份计划的具体要求进行,尽可能实现异地备份;四、集中管理的系统、设备数据的备份工作由所在单位的信息部门负责;五、备份介质交接应严格履行交接手续,做好交接登记;六、介质存放地必须符合防盗、防火、防水、防鼠、防虫、防磁以及相应的洁净度、温湿度等要求。