信息安全管理办法74593
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理办法
第一章总则
第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。
第二条本办法适用于公司各职能部门、分公司信息安全管理。
第二章主要内容及工作职责
第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。
第四条IT中心工作职责
1、IT中心为公司信息安全管理主管部门。
2、负责公司信息安全管理策略制订与落实。
3、负责起草信息安全规章制度,承担信息安全保障
建设、信息安全日常管理职能,提供信息安全技术保障。
4、负责各中心、分公司、专(兼)职信息管理员信
息安全指导、培训。
第五条各中心、分公司
1、指定专人担任专职或兼职信息管理员,负责协助
IT中心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。
3、负责业务操作层的相关信息安全保障。
4、负责做好本部门人员的信息安全教育工作,提高
人员的信息安全意识和技能水平。
第三章机房安全管理
第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。
第四章网络安全管理
第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。
第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。
第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。
第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。
第十一条网络管理员应建立网络技术档案,技术文档包
括拓扑结构(含分支网络)、网络设备配置等相关文档,网络技术文档由网络管理员保管。
第五章主机安全管理
第十二条主机系统原则上仅开启必要的系统服务和功能,开启系统日志、安全日志。
第十三条新增主机设备入网时,主机运行维护人员应按照《主机设备安全配置检查表》进行检查(见附录B),经信息安全管理员确认所有检查项检查结果全部为“是”后允许主机设备进入网络运行。
第十四条主机运行维护人员应及时更新软件版本和病毒库;信息安全管理员负责制订统一的病毒管理策略。
第十五条主机运行维护人员每个月通过防病毒管理软件查看所有主机的防病毒软件运行状态,如有异常情况,主机运行维护人员需及时反馈给信息安全管理员进行处置。
第六章应用安全管理
第十六条重要信息系统应用开发应建立开发测试环境,开发测试的环境必须与实际运行环境分开,信息系统开发、测试、修改工作不得在生产环境中进行。
第十七条新建信息系统入网前,系统管理员须进行由信息安全管理员参加的系统测试,并出具包含身份鉴别、访问控制、安全审计等内容的系统测试报告。
第七章数据安全管理
第十八条公司每一位员工都有保守公司信息安全防止
泄密的责任,任何人不得向公司以外的任何单位或个人泄露公司技术和商业机密,如因学术交流或论文发表涉及公司技术或商业机密,应提前向公司汇报,并在获得批准同意后,方能以认可的形式对外发布。
第十九条定期对公司重要信息包括软件代码进行备份,备份完成后,做好登记工作。
第二十条数据库管理员负责对重要信息系统的数据库每周进行全备份,并对备份数据的有效性进行检查。
第二十一条存放备份数据的介质包括U盘、移动硬盘、光盘和纸质,所有备份介质必须明确标识备份内容和时间,并实行异地存放。
第二十二条数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
第二十三条数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。数据清理的实施应避开业务高
峰期避免对联机业务运行造成影响。
第二十四条管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第二十五条因审计、查询等管理需要拷贝系统原始数据的,需要经IT中心主管部门和业务主管部门同意后,并双方
在场后,由系统管理员导出数据。
第八章密码与权限管理
第二十六条信息系统的用户密码不少于8位,密码应至少在字母、数字、特殊字符这三类字符中任选两种或两种以上混合使用,不得使用缺省口令、空口令、弱口令;根据管理需要开设用户,及时删除系统多余和过期的账户。
第二十八条员工离职后,员工所属部门或人力资源部应在当天通知总部IT中心,及时关闭离职员工的OA账号和邮箱账号,并对员工的出入卡进行停卡处理。
第九章管理安全
第二十九条信息化设备安全管理
1、严禁将公司配发给员工用于办公的计算机转借给
非公司员工使用,严禁利用公司信息化设备资源为第三方从事兼职工作。
2、员工须保管好个人帐户口令,未经许可员工之间
不得私下互相转让、借用公司IT系统账号;员工完成信息系统的操作或离开工位时,须及时退出信息系统。
3、员工个人终端必须设置系统登陆密码和屏幕保护
密码。
4、员工个人终端必须安装公司统一采购的防病毒软
件,不得私自卸载和停用,及时更新重要系统补丁及病毒库,并定期查杀病毒。
5、员工发现计算机或信息受到安全威胁或者已经发
生安全攻击事件,应立即通知信息安全管理员。
第三十条专业安全人员管理
1、总部及各分公司IT中心应指定专人负责信息安全
管理工作。
2、总部IT中心的信息安全管理员负责协调信息安全
管理工作,各分公司信息安全管理人员负责各自信息安全建设工作的实施,推动各自信息安全各项工作开展。
3、信息安全管理人员在离岗时,应由IT中心负责人
指派专人接任信息安全管理工作;接任信息安全管理人员应及时终止离岗人员的访问权限,并在交接后三个工作日内修改相关安全系统口令密码。
第三十一条系统运维安全管理,参照《荷马有限公司信息系统运维管理办法》。
第三十二条信息安全事件预防和处理
1、公司IT中心应制定信息系统应急预案和演练计
划,并组织进行演练。
2、总部及各分公司IT中心负责信息安全事件预防和
处理工作。
3、非重要信息系统整体瘫痪,系统管理员应及时组
织人员进行系统恢复;重要信息系统整体瘫痪,系统管理员立即报IT中心负责人,并及时组织人员进行恢复,24