网络与信息安全工作管理办法.doc
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
精品文档
网络与信息安全工作管理办法
世茂房地产控股有限公司
资讯科技部
内部资料,未经同意,请勿翻印
版本修订日期修订人审核人
目录
第一节安全组织原则 (3)
第二节安全组织结构 (3)
第一节概述 (4)
第二节安全规划与建设 (4)
第三节物理安全管理 (5)
第四节人员安全管理 (6)
第五节安全培训 (7)
第六节信息资产安全管理 (8)
第七节安全运维管理 (10)
第八节安全事件处理 (10)
第九节应急计划 (11)
第十节系统开发与维护 (11)
第十一节符合性 (14)
第十二节管理审计与评估 (14)
第十三节奖惩 (15)
第一节概述 (15)
第二节访问控制 (16)
第三节身份认证 (16)
第四节冗余恢复 (17)
第五节日志审计与响应 (17)
第六节内容安全 (18)
第一章总则
第一条随着上海世茂投资管理有限公司(以下简称:上海
世茂)信息系统规模越来越大,随之带来的安全问题也不断增多,为及时快速处理各种故障和安全事件,防范与化解安全风险,保障网络连续性以及高质量的服务水平,特制定《上海世茂网络与信息安全工作管理办法》,以下简称“本办法” 。
第二条本办法依据《中华人民共和国计算机信息系统安全
保护条例》,参考《 ISO27001 信息安全管理体系规范》而制定。
第三条本办法的适用范围包括上海世茂信息系统在规划、
设计、开发、建设和运行维护过程中所涉及到的各种安全问题,包括
组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架
构安全、安全事件处理。
第四条上海世茂网络与信息安全工作的管理原则
1.整体规划,分步实施:需要对网络与信息安全工作进行整体规划,分步实施,逐渐建立完善的网络与信息安全体系。
2.三同步原则:安全系统应与业务系统及网络同步规划、同步建设、同步运行。
3.适度安全:安全具有相对性和动态性的特点,必须做好安全建设的成本效益分析,在安全性和投入成本之间、安全性和易用性
之间做好平衡工作。
第五条本办法中的安全是指信息系统的安全。
第二章安全组织管理
第一节安全组织原则第六条上海世茂安全工作管理由信息化领导小组统一来
制定。
第二节安全组织结构第七条成立上海世茂网络与信息安全领导小组,全面负责
上海世茂网络与信息安全各项工作。
第八条领导小组下设 IT 总监,贯彻“信息化领导小组” 的
安全管理决策,作为执行管理机构。资讯科技部作为信息安全工作的主要执行机构,负责信息安全日常工作,IT 总监下属包括应用和运维两个专业工作组。
第三章安全策略第九条上海世茂安全策略体系是用于指导上海世茂的安
全管理工作,明确信息安全的工作职责、内容、方法和流程的一套文档,它覆盖了 IT 系统的整个生命周期,对系统和网络的规划、设计、建设、运维以及检查评估都提出了相应的安全要求。
第十条上海世茂安全策略由资讯科技部、各部门提出需求,由资讯科技部组织制定。
第十一条上海世茂的安全策略由上海世茂信息安全领导小
组批准和发布,由资讯科技部组织宣传和培训,并监督各部门执行落实。
第十二条资讯科技部及各专业工作小组负责检查和考核策略的贯彻和实施,并建立安全策略违反报告制度。
第十三条资讯科技部建立安全策略定期审核更新的制度和机制,定期对安全策略的有效性进行审核,并根据情况进行更新。
第四章安全管理制度
第一节概述
第十四条为做好上海世茂网络与信息安全管理,必须做好安全规划和建设,完善物理环境安全,加强工作人员安全管理和教育,建
立信息资产安全管理制度。完善安全运维、事件处理、应急响应等安
全工作。
第二节安全规划与建设
第十五条上海世茂安全规划明确安全建设原则,为网络与信息安全建设明确建设方向和蓝图。
第十六条安全规划小组要根据上海世茂现有情况做好安全
规划工作,制定近期( 1~2 年)总体安全规划和中长期( 3~5 年)安全建设目标,制定网络建设规划和人员计划,满足信息系统正常安全保障并适应未来的发展战略。
第十七条安全规划应考虑信息安全管理体系和安全技术架
构的建设,根据网络发展规划适度超前建设,并考虑统一安全管理要求和统一安全技术基础设施。
第十八条应在上海世茂信息系统规划、设计、开发、实施、运
维的整个生命周期中各个阶段充分考虑并实施安全控制措施。
第十九条在特殊情况下,应预先明确风险,并指出应采取的控
制措施。
第二十条应对网络与系统建设过程中存在的安全风险进行严
格的安全过程控制。
第三节物理安全管理
第二十一条物理安全管理的目标是通过加强工作环境安全,防止
对上海世茂工作场所和信息资源的非法访问、破坏和干扰。
第二十二条相关部门应按照上海世茂关于机房建设及管理等
标准,对机房场地与设施进行安全建设,并进行分级、分区安全管理。机房安全建设和改造应通过资讯科技部的安全审批和验收,并建立、健全严格的机房安全管理制度。
第二十三条信息资产主管部门及使用部门必须保证关键或敏
感的数据信息处理设备放置在安全的区域,并使用适当的物理防护设备和访问控制手段。
第二十四条应加强办公区的物理访问控制。
第四节人员安全管理
第二十五条信息安全管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第二十六条应建立相应制度以及相应技术手段加强对第三方
人员的安全管理。
第二十七条违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理工作。
第二十八条信息安全管理人员调离岗位,必须办理调离手续,承诺其调离后的保密义务。
第二十九条信息安全岗位人员必须具备相应的资质并签定保
密协议。信息安全管理人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三十条信息安全管理人员职责:
(1)负责计算机安全管理的日常工作;
(2)开展计算机安全检查工作,对要害岗位人员安全工作进行指导;