企业信息安全管理制度(试行)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX公司信息安全管理制度(试行)
第一章总则
第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二条本制度适用于XX公司以及所属单位的信息系统安全管理。
第二章职责
第三条相关部门、单位职责:
一、信息中心
(一)负责组织和协调XX公司的信息系统安全管理工作;
(二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;
(三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;
(四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;
(五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。
二、人力资源部
(一)负责人力资源安全相关管理工作。
(二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。
三、各部门
(一)负责本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。
四、所属各单位
(一)负责组织和协调本单位信息安全管理工作。
(二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求
第四条信息系统安全管理应遵循以下八个原则:
一、主要领导人负责原则;
二、规范定级原则;
三、依法行政原则;
四、以人为本原则;
五、注重效费比原则;
六、全面防范、突出重点原则;
七、系统、动态原则;
八、特殊安全管理原则。
第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。
第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
第七条信息安全策略主要包括以下内容:
一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;
二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;
三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;
四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;
五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。
第四章人力资源安全管理
第十条信息系统相关岗位设置应满足以下要求:
一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。
二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。
三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管
理岗、技术档案管理岗原则上有人员备份。
四、以上岗位人员调离必须办理交接手续,所掌握的口令应立刻更换或注销该用户。
第十一条人力资源部在相关岗位任职要求中应包含信息安全管理的相关条件和要求;将信息安全相关培训纳入年度职工培训计划,并组织实施。
第五章信息系统物理和环境安全管理
第十二条信息系统物理安全指为了保证信息系统安全可靠运行,不致受到人为或自然因素的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等采取适当的安全措施。
第十三条信息管理部门应采取切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行安全控制,防止无关人员未授权物理访问、损坏和干扰。
第十四条信息管理部门应加强对信息系统机房及配线间的安全管理,要求如下:
一、工作人员需经授权,方能且只能进入中心机房的授权工作区;确因工作需要,需进入非授权工作区时,需由该授权工作区人员陪同;做好机房出入登记(格式见附录3-3)。
二、工作人员必须严格按照规定操作,未经批准不得超越自己职权范围以外的操作;操作结束时,必须退出已进入的操作画面;最后离开工作区域的人员应将门关闭。
三、非授权人员严禁操作中心机房UPS、专用空调、监控、消防及UPS 供配电设备设施。
四、未经授权,任何人员不得擅自拷贝数据和文件等资料。
五、严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。
六、发生意外情况应立即采取应急措施,并及时向有关部门和领导报告。
第六章信息系统资产管理
第十五条信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单(格式见附录3-4),并定期对其进行盘点清查。
第十六条设备使用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识。标识应张贴在信息设备的明显位置,做到信息完整、字迹清晰,并做好防脱落防护工作。
第十七条信息管理部门应对主机进行控制管理,要求如下:
一、关键业务生产系统中的主机原则上应采用双机热备份方式或n+m的多主机方式,确保软件运行环境可靠;
二、一般业务生产系统中的主机、生产用PC前置机,关键设备可以采用软硬件配置完全相同的设备来实现冷备份;
三、各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求,核心服务器、存储相应时间一般不高于4小时。
第十八条各相关部门应加强信息设备安装、调试、维护、维修、报废等环节的管理工作,防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。
第七章信息系统访问控制及操作安全管理
第十九条公司将系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。
一、系统级安全策略包括:敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。系统级安全是应用系统的第一道防护大门。
二、资源访问安全策略包括:对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL 程序资源和业务服务类方法的调用进行访问控制。
三、功能性安全策略包括:功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
四、数据域安全策略包括:一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
第二十条用户管理应建立用户身份识别与验证机制,防止非法用户进入应用系统。具体要求如下:
一、公司按照相关的访问控制策略,对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理等方面进行访问控制的管理活动。
二、用户是指用以登录、访问和控制计算机系统资源的帐户。用户管理是指对用户进行分层、授权的管理。用户由用户名加以区分,由用户口令加以保护。按照计算机系统所承载的应用系统运行管理的需要,将用户分为超级用户、授权用户、普通用户、匿名用户四类,分别控制其权限。