信息安全方針

1、陜西廣電網(wǎng)絡(luò)傳媒股份有限公司信息安全方針SHAANXI BC&TV NETWORK INTERMEDIARY8.丄TD陜西廣電網(wǎng)絡(luò)陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針文檔信息密級(jí)分類版本控制版本日期人員更新說(shuō)明V1.02010-10-27文檔審核審核人職務(wù)審核日期文檔批準(zhǔn)批準(zhǔn)人職務(wù)批準(zhǔn)日期分發(fā)控制部門人員文檔權(quán)限復(fù)查計(jì)劃復(fù)查時(shí)間復(fù)查人員復(fù)查結(jié)果陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針第一章總則第一條為給信息安全工作提供清晰的指導(dǎo)方向，加強(qiáng)安全管理工作，保證業(yè)務(wù)系統(tǒng)的安全運(yùn)營(yíng)，特制定本方針。第二條 信息安全工作是企業(yè)運(yùn)營(yíng)與發(fā)展的基礎(chǔ)和核心，是保證網(wǎng)絡(luò)品質(zhì) 的基礎(chǔ)，是保障客戶利益的

2、基礎(chǔ)，也是國(guó)家安全的需要，因此必須重視網(wǎng)絡(luò)與信 息安全工作。第三條信息安全是公司各部門所有員工共同分擔(dān)的責(zé)任，與每一個(gè)員工的日常工作息息相關(guān)，所有員工必須提高認(rèn)識(shí)，高度重視，從自己開始，堅(jiān)持不 懈地做好網(wǎng)絡(luò)與信息安全工作。第四條本方針適用于陜西廣電網(wǎng)絡(luò)傳媒股份有限公司全體員工。第二章安全目標(biāo)第五條陜西廣電網(wǎng)絡(luò)傳媒股份有限公司的信息安全使命是：（一） 保障業(yè)務(wù)正常和安全運(yùn)行，保證業(yè)務(wù)連續(xù)性；（二） 保護(hù)客戶隱私，保護(hù)客戶資料的機(jī)密性，維護(hù)客戶的利益；（三） 保護(hù)公司的商業(yè)機(jī)密和技術(shù)機(jī)密，維護(hù)公司的利益；第六條陜西廣電網(wǎng)絡(luò)傳媒股份有限公司的信息安全愿景是：建立行業(yè)一流的信息安全保障體系。第三章安全

3、工作基本原則第七條安全工作應(yīng)遵循以下基本原則：（一）“分級(jí)保護(hù)”原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風(fēng)險(xiǎn) 大小等因素決定各類信息的安全保護(hù)級(jí)別，分級(jí)保護(hù)，合理投資。（二）“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系 統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶 來(lái)危害。陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針（三） “三分技術(shù)、七分管理”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問 題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)， 重視安全管理，不斷完善各類安全管理 規(guī)章制度和操作規(guī)程，全面提高安全管理水平。（四）“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部

4、威脅 的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行為和審計(jì)機(jī)制。（五）“整體規(guī)劃，分步實(shí)施”原則：需要對(duì)公司信息安全建設(shè)進(jìn)行整體 規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。（六）“風(fēng)險(xiǎn)管理”原則：進(jìn)行安全風(fēng)險(xiǎn)管理，確認(rèn)可能影響信息系統(tǒng)的 安全風(fēng)險(xiǎn)，并以較低的成本將其降低到可接受的水平。（七）“適度安全”原則：沒有絕對(duì)的安全，安全和易用性是矛盾的，需 要做到適度安全，找到安全和易用性的平衡點(diǎn)。第四章安全組織機(jī)構(gòu)職責(zé)信息安全領(lǐng)導(dǎo)小組組長(zhǎng)；髙層領(lǐng)導(dǎo)擔(dān)任成.員：信息安全主管、各部門主管蠶Q U褲信息安全工作小組組長(zhǎng)；信息安全主管成員；各部門安全管理員第八條公司信息安全領(lǐng)導(dǎo)小組是由公司主管信息安全工作的高層領(lǐng)導(dǎo)主持，由

5、公司信息安全主管與各部門主管組成的公司信息安全工作常設(shè)領(lǐng)導(dǎo)組 織，是公司信息安全工作的最高決策機(jī)構(gòu)和領(lǐng)導(dǎo)機(jī)構(gòu)， 全面負(fù)責(zé)公司信息安全各 項(xiàng)工作，其成員包括：公司信息安全主管、各部門主管。公司信息安全領(lǐng)導(dǎo)小組 的主要職責(zé)是：陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針1 1、負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全。2 2、負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動(dòng)信息安全工作在本所范圍內(nèi)的實(shí)施。3 3、負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括信息安全組 織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)、以及信息安全管理重大策略變更、 確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等

6、。4 4、負(fù)責(zé)對(duì)信息安全管理進(jìn)行評(píng)審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項(xiàng)。5 5、評(píng)審與監(jiān)督重大信息安全事故的處理。第九條公司信息安全工作小組是公司信息安全工作的執(zhí)行機(jī)構(gòu)，由公司信息安全主管擔(dān)任組長(zhǎng)，成員包括各部門安全管理員。公司信息安全工作小組的 職責(zé)是：1 1、直接對(duì)信息安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)，承擔(dān)信息安全的具體工作，協(xié) 助信息安全領(lǐng)導(dǎo)小組在信息安全事務(wù)上的決策。2 2、負(fù)責(zé)信息安全政策的貫徹與落實(shí)，負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各 信息安全執(zhí)行部門對(duì)于信息安全政策、措施的實(shí)施。3 3、負(fù)責(zé)

7、制定違反信息安全政策行為的標(biāo)準(zhǔn)，并協(xié)助公司人力資源部和 下屬單位對(duì)違反信息安全政策的人員和事件進(jìn)行確認(rèn)。4 4、負(fù)責(zé)信息安全事件的調(diào)查和記錄，對(duì)發(fā)生的每一起信息安全事件進(jìn) 行調(diào)查，并將過(guò)程、原因和解決方法記錄在案。5 5、負(fù)責(zé)定期召開信息安全工作會(huì)議，定期總結(jié)信息安全事件記錄報(bào)告， 并向信息安全領(lǐng)導(dǎo)小組匯報(bào)。第十條 公司信息安全主管，由公司信息安全領(lǐng)導(dǎo)小組產(chǎn)生，具體負(fù) 責(zé)信息安全管理的各項(xiàng)工作，并直接向信息安全領(lǐng)導(dǎo)小組匯報(bào)工作。公司信 息安全主管的職責(zé)是：1 1、依照信息安全領(lǐng)導(dǎo)小組的統(tǒng)一部署，貫徹與協(xié)調(diào)落實(shí)公司的信息安 全管理措施、技術(shù)措施、過(guò)程和程序。2 2、協(xié)調(diào)各部門與外部組織間有關(guān)的信

8、息安全工作，并督促各部門對(duì)于陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針信息安全管理措施、技術(shù)措施、過(guò)程和程序的實(shí)施和落實(shí)。3 3、 依照信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)等相關(guān)標(biāo)準(zhǔn)的要求，組織各部門 常態(tài)化地進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)工作。4 4、 進(jìn)行信息安全事件的調(diào)查和記錄，對(duì)發(fā)生的每一起信息安全事件進(jìn) 行調(diào)查，并將過(guò)程、原因和解決方法都記錄在案。5 5、 定期召集信息安全工作會(huì)議，總結(jié)信息安全工作經(jīng)驗(yàn)，向信息安全 領(lǐng)導(dǎo)小組匯報(bào)信息安全管理工作。第十一條公司各部門安全管理員，由公司各部門產(chǎn)生，具體負(fù)責(zé)部門 內(nèi)部信息安全管理的各項(xiàng)工作，并直接向信息安全主管匯報(bào)工作。公司各部 門安全管理員的職責(zé)是

9、：1 1、 根據(jù)公司信息安全工作小組的計(jì)劃和要求，組織協(xié)調(diào)落實(shí)本部門的 信息安全管理工作，整理、核查并歸檔本部門的信息安全記錄。2 2、 在本部門內(nèi)宣傳落實(shí)信息安全管理體系各項(xiàng)方針、政策、規(guī)范、辦 法與細(xì)則等文件，提高本部門人員的信息安全意識(shí)與技能。第五章安全工作要求第十二條公司和各部門必須建立和完善信息安全管理規(guī)章制度和操作程 序，規(guī)范和加強(qiáng)信息安全管理工作，所有員工必須遵守與其相關(guān)的信息安全規(guī)章 制度。第十三條 加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，在所 有崗位職責(zé)中明確信息安全責(zé)任， 要害工作崗位實(shí)現(xiàn)職責(zé)分離，關(guān)鍵事務(wù)雙人臨 崗，重要崗位要有人員備份，定期進(jìn)行人員的安全審查

10、。第十四條所有員工都應(yīng)簽署保密協(xié)議，并接受信息安全教育培訓(xùn)，提高安 全意識(shí)，及時(shí)報(bào)告網(wǎng)絡(luò)與信息安全事件。第十五條必須加強(qiáng)第三方訪問和外包服務(wù)的安全控制，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ) 上制定安全控制措施，并與第三方公司和外包服務(wù)公司簽署安全責(zé)任協(xié)議， 明確 其安全責(zé)任。第十六條 各部門必須加強(qiáng)信息資產(chǎn)管理，建立和維護(hù)信息資產(chǎn)清單，維護(hù)陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針最新的網(wǎng)絡(luò)拓?fù)鋱D，建立信息資產(chǎn)責(zé)任制，對(duì)信息資產(chǎn)進(jìn)行分類管理和貼標(biāo)簽。第十七條加強(qiáng)機(jī)房和辦公區(qū)域的安全管理，為設(shè)備的正常運(yùn)行提供物理和 環(huán)境安全保障。第十八條 建立日常維護(hù)操作規(guī)程和變更控制規(guī)程，規(guī)范日常運(yùn)行維護(hù)操 作，嚴(yán)格控制和審批任

11、何變更行為。第十九條 加強(qiáng)項(xiàng)目建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù)系統(tǒng)“同步 規(guī)劃、同步建設(shè)、同步運(yùn)行”，加強(qiáng)安全規(guī)劃、安全審批、安全驗(yàn)收管理。第二十條 加強(qiáng)防范惡意軟件，所有 WindowsWindows 機(jī)器必須安裝網(wǎng)絡(luò)防病毒系統(tǒng)， 定期更新病毒特征代碼，及時(shí)報(bào)告發(fā)現(xiàn)的病毒。第二十一條按照補(bǔ)丁跟進(jìn)和發(fā)布、補(bǔ)丁獲取、補(bǔ)丁測(cè)試、補(bǔ)丁加載、補(bǔ)丁驗(yàn)證、補(bǔ)丁歸檔這一流程進(jìn)行補(bǔ)丁安全管理。第二十二條建立維護(hù)作業(yè)計(jì)劃，嚴(yán)格執(zhí)行維護(hù)作業(yè)計(jì)劃，加強(qiáng)對(duì)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控，編寫日常運(yùn)行維護(hù)報(bào)告。第二十三條部署網(wǎng)絡(luò)層面和系統(tǒng)層面的訪問控制、安全審計(jì)以及安全監(jiān)控技術(shù)措施，保障業(yè)務(wù)系統(tǒng)的安全運(yùn)行。第二十四條增強(qiáng)主機(jī)系統(tǒng)的安全配置，定期進(jìn)行安全評(píng)估和安全加固。第二十五條制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，定期更新、維護(hù)和測(cè)試，做好數(shù)據(jù)備份工作，確保數(shù)據(jù)的及時(shí)恢復(fù)，保證數(shù)據(jù)的安全。第二十六條加強(qiáng)用戶帳號(hào)和權(quán)限管理，按照最小特權(quán)原則為用戶分配權(quán)限，避免出現(xiàn)共用帳號(hào)的情況。第二十七條加強(qiáng)用戶口令的管理，口令長(zhǎng)度至少 8 8 位，并采用數(shù)字、字母和特殊字符的組合，定期修改用戶口令。第二十八條加強(qiáng)應(yīng)用系統(tǒng)的安全