企业信息安全管理规范

企业信息安全管理规范

1目的：

为保障信息设备正常运行、规范文件存储、保证数据安全、信息系统设备安全；

2范围：

信息设备安全、应用系统安全、数据数据安全、用户信息安全、权限对照表、用户授权申请、用户培训。3作业内容：

3.1信息设备安全

3.1.1定义：信息设备安全指的是计算机、服务器、路由器、交换机、视讯等相关IT类硬件设

备的物理安全。

3.1.2机房应选择在具有防震、防风和防雨等能力的建筑内。

3.1.3机房应采取防电磁干扰措施，电源线和通信线缆应隔离，避免互相干扰，对重要设备和磁

介质实施电磁屏蔽。

3.1.4机房应采取防静电、防水的相关措施。

3.1.5机房应安装门禁、防雷、监视、消防、报警设施。

3.1.6计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路，应建立

备用供电系统，以备常用供电系统停电时启用。

3.1.7机房应配备 UPS 设备，以保证机房设备的电源能在发生断电的情况下维持机房所有设备

的电源供应。

3.1.8定时检查机房环境温度、湿度情况，确保温度控制在 15℃~30℃的范围内，湿度控制在

35%~65%的范围内，以保证机房设备和系统的正常运行。

3.1.9重要服务器及相关设备必须放置在机房内，并固定在机柜的相应位置。

3.1.10应将通信线缆铺设在隐蔽处，不允许祼线部署。

3.1.11信息设备安全机房设施，IT部安排经授权人员专人管理，并设定电子门禁管制，未经授

权人员不可进入。外来人员进出机房应办理登记手续，并由专业管理人员陪同。

3.1.12未经许可，任何人不得擅自拆卸、搬移、更换主机及网络设备的部件；

3.1.13使用者电脑由用户管理。

3.1应用系统安全

3.1.1定义：应用系统安全指的是服务器、客户端操作系统、软件应用系统，如：Windows操作

系统、server2003/08系统，ERP、门禁、考勤、电话计费系统等。

3.1.2应在主机操作系统中安装防病毒系统，并定期对服务器主机进行恶意代码查杀，及实时更

新病毒库。

3.1.3防病毒系统应具有全方位网络恶意代码防护能力、集中管理与监控功能和系统自动更新功

能，而且系统必须具有较好的兼容性，不能影响各应用系统的正常运行。

3.1.4设定指定邮箱接收防病毒系统自动更新信息及查杀病毒信息，并定时每周/每月检查系统

运行状态，查看日志记录，并予以分析处理。

3.1.5所有主机应通过补丁服务器进行补丁统一自动分发。

3.2网络安全

3.2.1总体安全要求

3.2.1.1应对计算机网络进行安全区域划分，不同安全区域具有不同安全等级，并采取相应

的安全防护措施。一般情况下，可划为如下几个区域：

➢办公内网：由本单位局域网内的服务器、客户端及相关设备组成的网络区域；

➢业务专网：由集团公司及各级下属单位共同组成的通过专用 VPN 系统相连

接的广域网络；

3.2.1.2应在不同网络安全区域之间采取安全隔离措施。

➢业务专网和办公内网之间物理隔离；

3.2.1.3未经许可，不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运

行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新。

3.2.1.4公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求，并通过流量分

配措施对网络的各种应用合理分配相应的带宽，以保证重要应用系统的正常访问。

3.2.1.5所有网络设备管理员帐号设置应满足安全性要求。

➢口令长度应设置在 8 位字符以上、复杂度为数字、字母、特殊字符的组合，并且定期更新；

➢当登录失败超过三次时结束会话连接并锁定账号 30分钟以上，当网络登录连接超时自动退出。

3.2.1.6应对所有网络设备进行日志审计。

➢审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况；

➢应使用日志审计工具设置特定事件报警及生成日志报表；

➢应做好网络设备日志的保存工作，保存期大于30天，保存的日志不可修改。

3.2.2业务专网安全管理

3.2.2.1业务专网采用统一的专用 VPN 系统组网。

➢(办公内网采用硬件 VPN 方式接入业务专网；

➢移动办公用户采用 VPN 单机连接方式接入业务专网；

➢VPN 连接必须采用安全的 VPN 连接协议，办公内网 VPN 互联必须采用硬件鉴权和口令双重认证。

3.2.2.2办公内网 VPN 互联应配置双物理线路，以提高网络可靠性。

3.3数据安全及保密管理

3.3.1数据库安全

3.3.1.1数据库系统的管理员口令应设置为长度在 8 位字符以上、复杂性为数字、字母、特

殊字符的组合，并且定期更新。

3.3.1.2对于数据库系统应有严格的资源访问控制策略，访问控制细粒度应达到数据库表级。

3.3.1.3应严格限制数据库系统的默认用户访问权限，及时删除不必要的临时账号和测试账

号等。

3.3.2数据备份

3.3.2.1制定重要数据的备份与恢复方案，并建立相应的备份与恢复系统，要求如下：

➢IT授权人员每天将船务、报关、财务等重要资料进行备份，以防遗失。

➢IT部每周将船务、报关、业务、财务等重要备份资料进行刻录光盘或硬盘备份，以防备份数据恢复失败而存取不到相关资料。备份数据应定期每周提供一份至香港总部。

➢任何未经授权许可人员不得随意将数据备份至其它电脑。

➢所有资料数据不得存入电脑系统盘，以防遗失。相关人员在进行数据编辑处理时，应及时存盘，公司电脑统一设定为每15分钟会自动存盘一次。

3.3.3保密管理

3.3.3.1公司保密的信息资料包括但不限于：

➢公司董事局资料，重大会议记录、纪要，保密期限内的重要决定事项；仅限经理级及以上人员阅览。

➢公司的年度工作总结，财务预算决算报告，缴纳税款、营业报表和各种综合统计报表；仅限财务人员、公司高层阅览。

➢公司有关销售业务资料；仅限业务部人员、公司高层阅览。

➢货源信息和对供应商调研资料；仅限采购人员、授权人员及公司高层人员阅览。

➢公司开发设计资料(包括技术图纸)，技术资料和生产情况,公司新的样板，样板单，公司规定的敏感产品等；仅限设计开发流程人员、QE人员、业务主管、公司高层阅

览。

➢客户提供的一切文件、重要信息资料等；限对口部门阅览。

➢公司的安全防范状况及存在问题；仅限安全办、经理级人员阅览。

➢公司员工违法违纪的检举、投诉、调查材料,发生案件、事故的调查登记资料；限行政管理人员阅览。

➢公司、法人代表的印章、营业执照、财务印章、合同协议；限指定人员阅览。

➢其它由公司定义的商业及技术、安全机密.