信息安全管理辦法_百度.doc

XX金融公司信息安全管理辦法第一章 總則第一條 根據中華人民共和國計算機信息系統安全保護條例等有關法律法規(guī)，制定本管理辦法。第二條 信息安全是指通過各種計算機、網絡（內部信息平臺）和密碼技術，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。（一）信息處理和傳輸系統的安全。系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護，避免因為系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。（二）信息內容的安全。側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測，采取技術措施對所發(fā)現的漏洞進行補救，防止竊取、冒充信息等。（三）信息傳播安全。要加強對信息的審查，防止和控制非法、有害的信息通過本公司的信息網絡（內部信息平臺）系統傳播，避免對國家利益、公司利益以及個人利益造成損害。第二章 職責權限第三條 信息安全管理實施工作責任制和責任追究制，由XX金融公司（以下簡稱“公司”）成立信息安全領導小組，由CIO擔任領導小組組長，負責本公司信息安全工作的策略，重點，制度和措施，對本單位的信息安全工作負領導責任；由信息技術部負責人擔任信息安全實施小組組長，成員包括部門信息安全管理員，負責信息安全保護工作的具體實施，對本單位的信息安全負直接管理責任。 第四條 信息安全實施小組對本公司的服務器，網絡，信息系統具有審核和管理權，負責本公司信息系統的規(guī)劃，建設，應用開發(fā)，運行維護與用戶管理。第三章 主要風險第五條 公司存在如下風險：（一）來自公司外的風險1.病毒和木馬風險?；ヂ摼W上不同類型的病毒和木馬，在感染公司用戶電腦后，會篡改電腦系統文件，使系統文件損壞，導致用戶電腦最終徹底崩潰，嚴重影響員工的工作效率；有些木馬在用戶訪問網絡的時候，不小心被植入電腦中，輕則丟失工作文件，重則泄露機密信息。2.不法分子等黑客風險。計算機網絡的飛速發(fā)展也導致一些不法分子利用網絡行竊、行騙等，如果是信息技術部、結算部和財務部電腦若被黑客植入后門，留下監(jiān)視類木馬查件，將有可能造成重要數據被拷貝泄露、財務網銀密碼被竊取。還可能使服務器資源耗盡，最終徹底崩潰，同時整個網絡徹底癱瘓。（二）來自公司內的風險1.文件的傳輸風險。員工將公司重要文件以QQ、MSN發(fā)送出去，造成公司信息資源的外泄，危害公司生存發(fā)展。2.文件的打印風險。員工將公司技術資料或商業(yè)信息打印到紙張帶出公司，公司信息資料外泄。3.文件的傳真風險。員工將紙質重要資料或技術圖紙傳真出去，以及將其他單位傳真給公司的技術文件和重要資料帶走，造成公司信息外泄。4.存儲設備的風險。員工通過光盤或移動硬盤等存儲介質將文件資料拷貝出公司，或員工私自拆開電腦機箱，將硬盤偷偷帶出公司，造成公司信息泄露。5.上網行為風險。員工在電腦上訪問不良網站，造成電腦及公司網絡的破壞，導致電腦系統崩潰。6.用戶密碼風險。主要包括用戶密碼和管理員密碼。用戶的開機密碼、業(yè)務系統登陸密碼被他人掌握，此用戶權限內的信息資料和業(yè)務數據被竊??；管理員密碼被不法分子竊取，破壞應用系統的正常運行。7.機房設備風險。主要包括服務器、UPS電源、網絡交換機、電話交換機、光端機等。這些風險來自自然災害導致的機房設施損壞及業(yè)務中斷。8.辦公/區(qū)域風險。主要包括辦公區(qū)域敏感信息的安全。員工在辦公區(qū)域隨意堆放本部門的重要文件或是在辦公區(qū)域毫不避嫌談論工作內容，可能會泄露部門工作機密，甚至是公司機密。為了保證公司信息的安全保密，公司所有人員必須嚴格遵守公司信息安全管理辦法，以此為基礎，從各個層面杜絕信息安全隱患。第四章 風險防范措施第六條 信息安全防范措施（一）計算機設備安全管理。1.公司所有人員應保持清潔、安全、良好的計算機設備工作環(huán)境，禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。2. 嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機組件，計算機出現故障時應及時向信息管理部報告，不允許私自處理和維修。3.發(fā)現由以下等個人原因造成硬件的損壞或丟失的，其損失由當事人如數賠償：違章作業(yè)；保管不當；擅自安裝、使用硬件和電氣裝置。公司每位員工對自己的工作電腦既有使用的權利又有保護的義務。任何的硬件損壞必須給出損壞報告，說明損壞原因，不得擅自更換。公司會視實際情況進行處理。4.下班后所有不再使用的計算機，應關閉主機電源，以防止意外，對于共同使用的計算機，原則上由最后一個退出系統的使用人員關機，并關閉電源。外人未經公司領導批準不得操作公司計算機設備。（二）部門資料安全管理1.外接存儲設備安全管理信息技術部使用技術手段禁止所有人員以個人介質光盤、U盤、移動硬盤等存儲設備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設備中，需要經過加密機來進行拷貝。為確保硬盤的安全，嚴禁任何人私自拆開電腦機箱，將用戶主機貼上封條標簽，除信息技術部人員外，任何人不得私自拆開機箱，若信息技術部進行電腦硬件故障排查時，拆除封條標簽后，在故障排查結束及時更換新的封條標簽。信息技術部將定期檢查，若發(fā)現有封條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關人責任。2.文件傳真安全管理。人員對外發(fā)送涉密傳真，必須經上級核實后，統一在規(guī)定部門登記，由規(guī)定部門通過加密機發(fā)送，禁止個人在未經許可的情況下對外發(fā)送涉密傳真文件，一經發(fā)現，所有后果將由個人承擔。在對內傳真文件時，應即刻通知傳真接收人接收并取走傳真件，在傳真結束時，應馬上取走傳真原件。若因傳真時沒有取走傳真件，導致傳真件丟失，造成本部門信息外泄，則由本人承擔一切后果。3.文件打印安全管理。所有人員不得私自將公司文件打印帶出公司，一經發(fā)現，嚴肅處理。若在上班時間，打印工作文件時，需要即刻在打印機處等候文件的打印，文件打印完成后馬上取走，若因文件打印時有其他緊急事件，應該通知本部門人員代為領取打印文件。禁止一切打印后未及時取走打印文件的行為，一經發(fā)現，將對本人警告，若因打印后，文件丟失，造成信息資料外泄，則由本人承擔相關責任。4.文件的存儲安全管理。所有部門人員應定時清理計算機中的文件，清除不需要的垃圾文件，將重要的文件和工作資料保存在特定的文件夾里，每月末應將電腦中的文件資料做一次備份，將文件資料備份到部門專用U盤或移動硬盤上，確保個人工作資料的文件歸檔，在電腦突發(fā)性故障或硬盤損壞時，能夠及時恢復最近的工作資料；電腦桌面上的文件應每周末拷貝到非系統盤符中或不要在桌面存放任何工作性文件資料。若因個人原因未執(zhí)行備份，造成數據資料丟失時，將由本人承擔相關后果。若員工離職，在辦完離職手續(xù)后，所在部門負責人應聯系信息技術部協助將此員工工作資料拷貝到部門U盤或移動硬盤上，若沒有執(zhí)行此安全過程，離職員工損失的文件資料由該部門承擔。5.辦公區(qū)域的安全管理。所有部門人員每天下班時應保證辦公桌的整潔，將部門重要文件資料存放在個人抽屜柜中，并檢查確保辦公桌上沒有存放重要文件或其他有可能泄露本部門工作內容的信息源。若因資料沒有存放好，被他人取走，造成的后果將由本人承擔。（三）帳號密碼安全管理使用者須妥善保管好自己的帳戶和密碼。嚴防被竊取而導致泄密。核心業(yè)務系統及OA帳戶及密碼由經營辦管理員設置后通知員工，員工及時修改密碼后牢記。所有員工必須在所使用的計算機中設置開機密碼和屏幕保護密碼。為了保護公司的信息資產，設置密碼時應注意：密碼至少有8個字符長；密碼必須包含以下任一部分：字母A-Z或a-z，數字0-9，特殊字符，例如 $ ，-等。1.電腦密碼管理：每個員工管理自己電腦的登錄密碼,周期性的及時更改自己的電腦登錄密碼。2.應用系統密碼管理：所有核心業(yè)務系統用戶及OA用戶都將分配到一個帳號密碼，帳號是不變的，用戶可以更改自己的系統密碼，密碼盡可能設置為高安全性的復雜密碼，嚴禁用戶將密碼設置為如123456等傻瓜式密碼，若密碼設置過于簡單，被其他用戶非法登陸后，在核心業(yè)務系統中將會非法編制篡改單據，在OA中非法冒用流程管理權限，若產生此情況，將會導致嚴重的后果；嚴禁將核心業(yè)務系統帳號或OA帳號密碼透露給他人，讓他人代己做核心業(yè)務系統單據或辦理OA流程；員工調離崗位或離職，所在部門負責人應及時通知信管部注銷該員工的應用系統帳戶。若因以上原因造成的信息安全后果將由本人承擔。3.采用用戶身份認證系統：對核心業(yè)務系統采取USB KEY認證技術，并選擇其中一種技術與公司現有的靜態(tài)密碼技術相結合， USB KEY采用USB密鑰，存儲特定的加密算法，只有將USB鑰匙接上電腦，與電腦中存儲的認證軟件驗證通過后，才能進入。我們通過（動態(tài)+靜態(tài)）混合身份認證，或（硬件+軟件）混合身份認證，保證服務器的登陸基于網內的行為、網外的行為都是安全的。（四）殺毒軟件安全管理用戶使用的殺毒軟件和防火墻已經設置好自動調度更新和病毒庫升級，每日定時殺毒，使用者也應經常手動掃描殺毒。（五）各類軟件安全管理軟件原始盤片應交信息技術部保管，軟、硬件設備的原始資料（軟盤、光盤、說明書及保修卡、許可證協議等）交信息技術部保管。保管應做到防水、防磁、防火、防盜。使用者必需的操作守冊由使用者長借、保管。（六）郵件安全管理所有因公對外聯系的電子郵件一律通過公司郵箱在自己的辦公電腦上進行收發(fā)。（七）日常工作信息安全1.員工應對在自己公司電腦內公司機密信息的安全負責，當需暫時離開座位時必須立即啟動屏幕保護程序并帶有密碼。2.員工有責任正確地保護分配給本人的所有計算機帳戶。3.各部門經理及人事部應及時向信息技術部提供本部門及公司員工的人事及職位變動信息。4.每臺公司電腦內必須安裝反病毒軟件并啟動實時掃描程序。信息技術部可以提供最新殺毒軟件。5.不得安裝有可能危及公司計算機網絡的任何軟件，若實在有需要進行軟件測試的必須將計算機脫離公司計算機網絡進行單機操作。6.任何對公司內部計算機網絡的黑客行為是絕對禁止的，一經查實將按公司有關規(guī)定嚴肅處理。第七條 信息技術部的安全措施如下：（一）計算機網絡設備安全管理公司所有計算機及網絡設備統一歸信息技術部管理。本辦法所涉及產品的界定：1.計算機是指為公司內部員工使用的PC機（包括CPU、硬盤、內存、機箱、顯示器、主板、網卡、顯卡、顯示器、光驅、鍵盤和鼠標。2.網絡設備是指公司內部使用的服務器、網絡交換機、路由器、集線器、以及網絡接入設備等。3.計算機其他配件是指公司備用的光驅、軟驅等。4.附帶軟件包括計算機驅動盤、系統安裝盤、程序安裝盤等。5.包括計算機及耗材的采購計劃、故障維修等項工作。在員工電腦各組件老化或損壞，嚴重影響工作效率時，所在部門可申請以舊換新或報廢處理。若需要報廢，按照規(guī)定辦法執(zhí)行，各部門不得擅自處理破舊的電腦或電子設備。報廢的電腦硬盤必須消磁處理。（二）公司所有輸入輸出設備統一歸信息技術部管理輸入輸出設備包括掃描儀，傳真機，打印機。使用者在使用此相關設備遇到問題可尋信息技術部幫助。在使用設備過程中遇到故障要及時向信息技術部反映，以便信息技術部及時查找原因，解決故障。（三）公司視頻會議設備和視頻監(jiān)控設備統一由信息技術部管理1.視頻會議設備包括視頻會議服務器、視頻會議終端、SONY攝像頭、會議話筒、電視、投影儀以及鍵盤、接收器、遙控器和線材部分。信息管理部負責以上設備的維護管理工作包括視頻會議的搭建。2.視頻監(jiān)控設備包括監(jiān)控服務器、監(jiān)控系統以及各路視頻采集器。信息管理部負責各路視頻的監(jiān)控以及備份和維護工作。（四）核心業(yè)務系統、OA帳戶安全管理系統管理帳號的設置與管理1. 核心業(yè)務系統、OA系統管理帳號必須經過主管領導授權取得。2. 核心業(yè)務系統管理員負責核心業(yè)務系統帳套環(huán)境生成、維護，負責一般操作帳號的生成和維護，負責故障恢復等管理及維護；OA系統由集團數據中心統一管理、流程的建設和優(yōu)化。3. 核心業(yè)務系統、OA系統管理員對業(yè)務系統進行數據整理、故障恢復等操作，必須有相關部門的簽字和領導的審批授權。4. 核心業(yè)務系統、OA操作用戶需要增加或修改權限需要填寫核心業(yè)務系統/OA用戶權限申請表，并經過本部門負責人簽字后交由信息技術部作權限相關處理。5.系統管理員不得使用他人帳號進行業(yè)務操作。6.系統管理員調離崗位或離職，信息技術部負責人應及時注銷其帳號并生成新的系統管理員帳號。（五）密碼安全管理1.終端計算機密碼安全管理：電腦終端密碼由用戶自行管理，在用戶人員變動或電腦更換時，系統管理員及時收回并更換密碼。2.應用服務器密碼安全管理：包括核心業(yè)務系統服務器、OA服務器、域服務器、郵箱服務器。信息技術部為確保服務器置于外網相對安全，針對每個服務器創(chuàng)建一個復雜的、不同的密碼，并每年更換一次新密碼。制成密碼登記文件，并提交給部門負責人。3.防火墻/路由器密碼安全管理: 防火墻和路由器的密碼和服務器管理方法一樣，設置成不同的、復雜的密碼，并每年更換一次，將密碼登記到網絡設備密碼登記文件中，并提交給部門負責人。4. 核心業(yè)務系統/OA系統密碼安全管理: 核心業(yè)務系統/OA系統密碼分為管理員密碼和操作用戶密碼。系統管理員登錄密碼由核心業(yè)務系統/OA管理員掌管，為保證系統安全需要定期更改時，及時上報部門負責人。操作用戶密碼由核心業(yè)務系統/OA管理員在創(chuàng)建帳戶時初始生成，信息技術部發(fā)放帳號密碼后，由用戶本人修改密碼，并自行保管好自己的密碼，如特殊原因忘記密碼時，由核心業(yè)務系統/OA管理員幫其初始化密碼。信息技術部應將所有的服務器和網絡設備設置不同的密碼，所有的密碼僅限于信息技術部內部人員掌握，不得向其他部門人員透露，在特殊情況下，需要供應商做遠程調試時，方可透漏相關設備密碼，在調試結束后，應盡快更改密碼。并通知部門內其他人員。由于服務器及網絡設備均置于公網上，容易受到不法分子攻擊，因此，需要定期更改密碼，且密碼復雜性盡可能設置高。（六）數據備份安全管理定期備份核心業(yè)務系統服務器、OA服務器、郵箱服務器。數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存，并確?？梢噪S時使用。數據清理的實施應避開公司網絡應用高峰，避免對各部門工作造成影響。（七）信息資料安全管理，在條件允許的范圍內要求使用如下系統管理1.加密系統管理；使用的是文檔加密系統，對常用辦公軟件office、pdf、AutoCAD文件加密，公司內部的此類文件被帶出公司后，顯示在其他的電腦上均為亂碼，保證了各個部門在未授權的情況無法將公司的文件資料泄露出去。2.監(jiān)控軟件管理：監(jiān)控軟件在很大程度上起到威懾作用，監(jiān)控軟件能夠記錄所有用戶在個人電腦上的一舉一動，通過實時屏幕監(jiān)控、屏幕錄象、插入存儲設備報警、網頁及程序過濾等功能及時抓出威脅公司信息安全的元兇。3.打印控制軟件管理：打印控制軟件應用后，員工的打印需要在管理員審核通過后方能打印，