科技公司信息安全管理制度

1、信息安全管理制度第一章 總則第一條 為了建立、健全的信息安全管理制度， 按照相關(guān)的國(guó)家標(biāo)準(zhǔn)， 確定信息安全方針和目標(biāo)， 對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理， 確保全體 員工理解并遵照信息安全管理制度的相關(guān)規(guī)定執(zhí)行， 改進(jìn)信息安全管 理制度的有效性，特制定信息安全策略文檔。第二條 本文檔適用于公司信息安全管理活動(dòng)。第二章 信息安全范圍第三條 信息安全策略涉及的范圍包括：1單位全體員工。2單位所有業(yè)務(wù)系統(tǒng)。 3單位現(xiàn)有信息資產(chǎn)，包括與上述業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟 件、服務(wù)及文檔等。4單位辦公場(chǎng)所和上述信息資產(chǎn)所處的物理位置。第三章 信息安全總體目標(biāo)第一條 通過(guò)建立健全單位各項(xiàng)信息安全管理制度、 加強(qiáng)單

2、位員工的 信息安全培訓(xùn)和教育工作， 制定適合單位的風(fēng)險(xiǎn)控制措施， 有效控制 信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，保障信息系統(tǒng)的正常穩(wěn)定運(yùn)行。第四章信息安全方針第一條 單位主管領(lǐng)導(dǎo)定期組織相關(guān)人員召開(kāi)信息安全會(huì)議， 對(duì)有關(guān) 的信息安全重大問(wèn)題做出決策。第二條 清晰識(shí)別所有資產(chǎn)，實(shí)施等級(jí)標(biāo)記，對(duì)資產(chǎn)進(jìn)行分級(jí)、分類(lèi) 管理，并編制和維護(hù)所有重要資產(chǎn)的清單。第三條綜合使用訪問(wèn)控制、監(jiān)測(cè)、審計(jì)和身份鑒別等方法來(lái)保證數(shù) 據(jù)、網(wǎng)絡(luò)、信息資源的安全，并加強(qiáng)對(duì)外單位人員訪問(wèn)信息系統(tǒng)的控 制.降低系統(tǒng)被非法入侵的風(fēng)險(xiǎn)。第四條 啟動(dòng)服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的日志功能，定期進(jìn)行審計(jì)并作相應(yīng)的記錄。第五條 明確全

3、體員工的信息安全責(zé)任，所有員工必須接受信息安全 教育培訓(xùn)，提高信息安全意識(shí)。針對(duì)不同崗位，制定不同等級(jí)培訓(xùn)計(jì) 劃，并定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全認(rèn)知考核。第六條 建立安全事件報(bào)告、事故應(yīng)答和分類(lèi)機(jī)制，確定報(bào)告可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關(guān)方都能理解和 執(zhí)行事故處理流程，同時(shí)妥善保存安全事件的相關(guān)記錄與證據(jù)。第七條對(duì)用戶(hù)權(quán)限和口令進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的非法訪 問(wèn)。第八條 制定完善的數(shù)據(jù)備份策略，對(duì)重要數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份 定期進(jìn)行還原測(cè)試，備份介質(zhì)與原信息所在場(chǎng)所應(yīng)保持安全距離。第九條 與外單位的外包（服務(wù)）合同應(yīng)明確規(guī)定合同參與方的安全 要求、安全責(zé)任

4、和安全規(guī)定等相關(guān)安全內(nèi)容， 并采取相應(yīng)措施嚴(yán)格保 證對(duì)協(xié)議安全內(nèi)容的執(zhí)行。第十條 在開(kāi)發(fā)新業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)充分考慮相關(guān)的安全需求，并嚴(yán)格 控制對(duì)項(xiàng)目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問(wèn)。第十一條定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果采取相應(yīng)措施進(jìn)行風(fēng)險(xiǎn)控制 第十二條上述方針由單位主管領(lǐng)導(dǎo)批準(zhǔn)發(fā)布， 并定期評(píng)審其適用性和 充分性，必要時(shí)予以修訂。第五章信息安全職責(zé)第一條 信息安全等綴保護(hù)工作領(lǐng)導(dǎo)小組負(fù)責(zé)批準(zhǔn)信息安全策略文 件并且保證本文件被單位的各部門(mén)執(zhí)行，同時(shí)負(fù)責(zé)對(duì)公司信息系統(tǒng)信 息安全方面的指導(dǎo)方向、安全建設(shè)等重大問(wèn)題做出決策，協(xié)調(diào)各個(gè)部 門(mén)之間的安全協(xié)同工作，支持和推動(dòng)信息安全工作在整

5、個(gè)單位范圍內(nèi) 的實(shí)施。第二條 信息安全等級(jí)保護(hù)工作小組負(fù)責(zé)具體執(zhí)行安全管理策略文件的建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)工作。第三條 公司所有員工有責(zé)任了解自身在信息系統(tǒng)信息安全方面的 責(zé)任并認(rèn)真執(zhí)行。第六章信息安全管理原則第一條 信息安全管理工作實(shí)行“積極防范、突出重點(diǎn)、職責(zé)到位、保障業(yè)務(wù)”和“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的管理原則。第七章信息安全管理組織架構(gòu)第一條 設(shè)立公司信息技術(shù)部，主要職責(zé)是：按照規(guī)范化、標(biāo)準(zhǔn)化、 統(tǒng)一化的指導(dǎo)思想，負(fù)責(zé)信息系統(tǒng)的統(tǒng)一規(guī)劃、統(tǒng)一部署、統(tǒng)一建設(shè) 和統(tǒng)一管理；負(fù)責(zé)制訂和貫徹落實(shí)單位信息技術(shù)管理制度，并檢查制度執(zhí)行情況；負(fù)責(zé)對(duì)信息技術(shù)人員的管理、績(jī)效考核、技術(shù)培訓(xùn)；做

6、 好信息系統(tǒng)運(yùn)行維護(hù)和技術(shù)支持工作，保證信息系統(tǒng)的高效性、安全 性、穩(wěn)定性和高可用性；在業(yè)務(wù)開(kāi)展和業(yè)務(wù)管理過(guò)程中，提供及時(shí)有 效的技術(shù)配合和技術(shù)支持；完成上級(jí)單位交辦的其他任務(wù)。第八章信息安全管理制度框架第一條 信息技術(shù)管理制度由信息技術(shù)部制訂、 修訂和解釋?zhuān)⒔?jīng)公 司內(nèi)部審核批準(zhǔn)后執(zhí)行，主要包括以下各項(xiàng)制度：第二條 信息安全策略：規(guī)定信息技術(shù)管理制度的指導(dǎo)思想、基本框架、管理架構(gòu)；第三條 信息技術(shù)部根據(jù)監(jiān)管機(jī)構(gòu)相關(guān)法律法規(guī)的變更和單位管理 流程的調(diào)整，不定期對(duì)信息技術(shù)管理制度進(jìn)行修訂或補(bǔ)充完善。第四條 信息技術(shù)部根據(jù)單位信息技術(shù)管理制度和上級(jí)相關(guān)規(guī)走制 定的技術(shù)標(biāo)準(zhǔn)、技術(shù)規(guī)范、操作流程、管理

7、流程、實(shí)施細(xì)則、應(yīng)急計(jì) 劃等，作為單位信息技術(shù)管理制度的有效補(bǔ)充。第五條 相關(guān)應(yīng)用系統(tǒng)安裝與配置文檔、系統(tǒng)管理與操作應(yīng)用手冊(cè)、 系統(tǒng)應(yīng)急計(jì)劃、系統(tǒng)權(quán)限管理等相關(guān)技術(shù)文檔，作為單位信息技術(shù)管 理制度的有效補(bǔ)充。第九章信息安全策略一、安全管理機(jī)構(gòu)策略第一條成立信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組，全面負(fù)責(zé)信息安全工 作。第二條 信息技術(shù)部作為信息安全管理工作的職能部門(mén)， 并設(shè)立安全 管理專(zhuān)員，并設(shè)立應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員等崗 位，并定義各崗位的職責(zé)。第三條關(guān)鍵事務(wù)崗位應(yīng)配備AB角 第四條 針對(duì)系統(tǒng)變更、 重要操作、 物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立 審批程序， 按照審批程序執(zhí)行審批過(guò)程， 對(duì)

8、重要活動(dòng)建立逐級(jí)審批制 度，并定期審查審批事項(xiàng)， 及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門(mén) 和審批人等信息，并記錄審批過(guò)程并保存審批文檔。第五條 加強(qiáng)組織內(nèi)部的合作與溝通， 定期召開(kāi)協(xié)調(diào)會(huì)議， 共同協(xié)作 處理信息安全問(wèn)題，并加強(qiáng)外聯(lián)單位（電信、公安局、業(yè)界專(zhuān)家、專(zhuān) 業(yè)安全單位、安全組織等）合作與溝通，并制定外聯(lián)單位聯(lián)系列表。 第六條 制定安全審核和安全檢查制度， 規(guī)范安全審核和安全檢查工 作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。二、安全管理制度策略第一條 由公司內(nèi)部統(tǒng)一制定信息安全工作的總體方針和安全策略， 說(shuō)明安全工作的總體目標(biāo)、 范圍、原則和安全框架， 形成由安全策略、 管理制度、操作規(guī)程

9、等構(gòu)成的全面的信息安全管理制度體系。第二條 信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相芙部門(mén)和 相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定， 對(duì)存在不 足或需要改進(jìn)的安全管理制度進(jìn)行修訂。三、人員安全策略第一條 人力資源部負(fù)責(zé)員工錄用， 嚴(yán)格規(guī)范人員錄用過(guò)程， 對(duì)被 錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技 術(shù)技能進(jìn)行考核，并簽署保密協(xié)議。第二條 員工應(yīng)根據(jù)崗位職責(zé)要求嚴(yán)格履行其安全角色和職責(zé)，主要包括：保護(hù)資產(chǎn)免受未授權(quán)的訪問(wèn)、泄漏、修改、銷(xiāo)毀或干擾，執(zhí)行特定的安全過(guò)程或活動(dòng)，報(bào)告安全事件或其他風(fēng)險(xiǎn)。安全角色和 職責(zé)必須清晰的傳達(dá)給所有員工，確保他們能清楚各自的安

10、全責(zé)任。第三條 定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核， 對(duì) 關(guān)鍵崗位的人員要進(jìn)行全面、嚴(yán)格的安全審查和技能考核。第四條 外單位人員在訪問(wèn)中心信息處理設(shè)施前必須簽署保密協(xié)議， 保密協(xié)議內(nèi)容包括外單位人員訪問(wèn)信息資產(chǎn)的權(quán)利、承擔(dān)的安全責(zé)任、 違反職責(zé)要承擔(dān)的后果等。負(fù)責(zé)接待人員或部門(mén)要保證外單位人員了 解保密協(xié)議的條款和內(nèi)容，并同意協(xié)議規(guī)定的權(quán)利和責(zé)任。第五條 單位主要領(lǐng)導(dǎo)承擔(dān)管理職責(zé)，保證所有員工和外單位人員能 按照安全方針、策略和程序進(jìn)行日常工作。管理職責(zé)包括使所有員工 和外單位人員清晰了解各自的安全角色和安全職責(zé)、 提高他們的安全 意識(shí)和安全技能等。第六條 定期對(duì)所有員工進(jìn)行安全

11、培訓(xùn)，培訓(xùn)內(nèi)容包括安全方針、策 略、程序、信息處理設(shè)施正確使用方法、安全意識(shí)等。根據(jù)人員的安 全角色和職責(zé)制定不同的墻訓(xùn)計(jì)劃，保證所有員工和外單位人員能認(rèn) 識(shí)到信息安全問(wèn)題和信息安全事件，并能按照各自的安全角色履行安 全職責(zé)。第七條 制定正式的紀(jì)律處理過(guò)程，來(lái)嚴(yán)肅處理安全違規(guī)的員工，并 威懾其他員工，防止他們違反安全策略、程序和其他安全違規(guī)。紀(jì)律 處理要正確、公平，要根據(jù)違規(guī)的性質(zhì)、重要性和對(duì)業(yè)務(wù)的影響等因 素區(qū)別對(duì)待。第八條 當(dāng)員工離職或調(diào)離其他崗位、外單位人員合同期滿(mǎn)時(shí)，立即 終止原來(lái)的安全角色和安全職責(zé)，并通知中心所有員工，使所有員工 能及時(shí)清楚人員的變化。第九條 當(dāng)員工離職或調(diào)離其他崗

12、位、外單位人員合同期滿(mǎn)時(shí)，及時(shí) 歸還其使用的所有資產(chǎn)，如設(shè)備、軟件、文件、訪問(wèn)卡、電子資料等， 防止對(duì)資產(chǎn)的非授權(quán)使用，及時(shí)刪除其對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)限。四、系統(tǒng)建設(shè)策略第一條信息系統(tǒng)建設(shè)前，應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)， 并明確說(shuō)明信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，同時(shí)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性 進(jìn)行論證和審定，并確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。 第二條信息技術(shù)部負(fù)責(zé)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定 近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；總體安全策略、安全技術(shù)框架、安 全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理

13、性 和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。信息系 統(tǒng)建設(shè)方案必須進(jìn)行安全論證，遵照相關(guān)標(biāo)準(zhǔn)，建立完善的身份驗(yàn)證、 訪問(wèn)控制、安全保護(hù)和安全審計(jì)機(jī)制。核心業(yè)務(wù)系統(tǒng)必須米取基于協(xié) 議交換的多層結(jié)構(gòu)，確?？蛻?hù)端操作與數(shù)據(jù)服務(wù)端的物理無(wú)關(guān)性，并具備防止強(qiáng)力試探密碼、防止異常中斷后非法進(jìn)入系統(tǒng)等安全防護(hù)功第二條 信息技術(shù)部負(fù)責(zé)安全產(chǎn)品的米購(gòu)，確保安全產(chǎn)品米購(gòu)和使用 符合國(guó)家的有關(guān)規(guī)定，而密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求，在采購(gòu)前應(yīng)預(yù)光對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍， 并定期審定和更新候選產(chǎn)品名單。第四條 業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施要分離并進(jìn)行控制， 控制 措施包括

14、敏感數(shù)據(jù)不能拷貝到測(cè)試系統(tǒng)環(huán)境中、 禁止開(kāi)發(fā)和測(cè)試人員 訪問(wèn)運(yùn)行系統(tǒng)及其信息等，以減少對(duì)運(yùn)行設(shè)施及其信息的未授權(quán)訪問(wèn) 和帶來(lái)的潛在風(fēng)險(xiǎn)。第五條 定期根據(jù)外包服務(wù)協(xié)議中的安全要求， 監(jiān)視、評(píng)審由外單位 提供的服務(wù)、報(bào)告和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴(yán) 格執(zhí)行。監(jiān)視、評(píng)審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評(píng)審服務(wù)報(bào)告，審 查外包服務(wù)的安全事件、操作問(wèn)題、故障、失誤追蹤和破壞的記錄。第六條授權(quán)信息技術(shù)部負(fù)責(zé)工程實(shí)施過(guò)程的管理，工程實(shí)施前應(yīng)制 定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地 執(zhí)行安全工程過(guò)程，并制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施 過(guò)程的控制方法和人員行為準(zhǔn)則。第

15、七條 新業(yè)務(wù)系統(tǒng)或升級(jí)版本在正式上線前，要進(jìn)行合適的測(cè)試， 并根據(jù)驗(yàn)收要求和標(biāo)準(zhǔn)進(jìn)行正式的驗(yàn)收，以證實(shí)全部驗(yàn)收準(zhǔn)則完全被 滿(mǎn)足。第八條 系統(tǒng)建設(shè)完成后應(yīng)制定詳細(xì)的系統(tǒng)交付清單， 并根據(jù)交付清 單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；應(yīng)提供系統(tǒng)建設(shè)過(guò)程中 的文檔和指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔， 同時(shí)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維 護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。第九條 信息技術(shù)部負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料， 并控制這些材料 的使用；將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門(mén)和相應(yīng)公安機(jī)關(guān)備案。 第十條 信息技術(shù)部負(fù)責(zé)等級(jí)測(cè)評(píng)的管理， 并在系統(tǒng)運(yùn)行過(guò)程中， 對(duì) 三級(jí)信息系統(tǒng)應(yīng)每年進(jìn)行一次等級(jí)測(cè)評(píng)， 應(yīng)選擇具有國(guó)家相關(guān)

16、技術(shù)資 質(zhì)和安全資質(zhì)的測(cè)評(píng)單位， 發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí) 整改；同時(shí)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)， 發(fā)現(xiàn)級(jí)別發(fā) 生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造， 發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo) 準(zhǔn)要求的及時(shí)整改。 第十一條在選擇安全服務(wù)商時(shí)應(yīng)符合國(guó)家的有關(guān)規(guī)定， 并與選定的安 全服務(wù)商簽訂與安全相關(guān)酌協(xié)議， 明確約定相關(guān)責(zé)任， 同時(shí)確保選定 的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。五、系統(tǒng)運(yùn)維策略 第一條 所有的資產(chǎn)要指定專(zhuān)人責(zé)任，并對(duì)責(zé)任人賦予相應(yīng)的職責(zé)， 確保所有資產(chǎn)都可以核查。第二條 根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價(jià)值、依賴(lài)程度，對(duì)所有資產(chǎn)進(jìn)行 分類(lèi)、分級(jí)，編制資產(chǎn)的清

17、單。對(duì)資產(chǎn)清單妥善保管，并在資產(chǎn)變更 時(shí)及時(shí)更新清單，確?？梢詫?duì)資產(chǎn)進(jìn)行有效的保護(hù)。第三條 應(yīng)對(duì)磁帶、磁盤(pán)、閃盤(pán)、可移動(dòng)硬件驅(qū)動(dòng)器、 CD DVD打 印媒體等進(jìn)行有效的管理， 防止非授權(quán)的使用和破壞。 對(duì)可移動(dòng)存儲(chǔ) 介質(zhì)的管理包括所有介質(zhì)應(yīng)存儲(chǔ)在符合制造商說(shuō)明的安全、 保密環(huán)境 中，使用介質(zhì)要進(jìn)行授權(quán)、登記并追蹤審計(jì)等。第四條 應(yīng)對(duì)不再需要的介質(zhì)進(jìn)行安全處置， 降低介質(zhì)敏感信息泄漏給未授權(quán)人員的風(fēng)險(xiǎn) 第五條 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線 路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理。第六條應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn) 行有效的管理，包括明確維護(hù)人員的

18、責(zé)任、涉外維修和服務(wù)的審批、 維修過(guò)程的監(jiān)督控制等，應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離 機(jī)房或辦公地點(diǎn)。第七條 應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng) 絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；同時(shí)組 織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為， 形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施。第八條 應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記 錄；定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記 錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn) 病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)。 第九條 應(yīng)建立變更簪理制

19、度，系統(tǒng)發(fā)生變更前，制定變更方案，同 時(shí)向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更， 并在實(shí)施后將變更情況向相關(guān)人員通告。第十條 遵照信息安全事故報(bào)告機(jī)制，報(bào)告可能對(duì)中心的信息資產(chǎn)安 全造成影響的不同種類(lèi)的安全事故和弱點(diǎn)，并確保所有的員工、合同 方和外單位人員都遵守執(zhí)行這套報(bào)告程序。第十一條對(duì)安全事故進(jìn)行分類(lèi)和分級(jí)，及時(shí)對(duì)信息安全事故的類(lèi)型、 頻率和影響等進(jìn)行評(píng)估，并采取適當(dāng)措施防止事故再次發(fā)生。 第十二條應(yīng)建立應(yīng)急預(yù)案， 在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的 應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、 應(yīng)急處理流程、 系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；同時(shí)應(yīng)從人力、設(shè)

20、備、技術(shù) 和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。六、物理安全策略第一條 信息技術(shù)部負(fù)責(zé)機(jī)房安全， 并配備機(jī)房安全管理人員， 對(duì)機(jī) 房的出入、 服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理； 應(yīng)定期對(duì)機(jī)房供配 電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。第二條 應(yīng)建立機(jī)房安全管理制度， 對(duì)有關(guān)機(jī)房物理訪問(wèn)， 物品帶進(jìn)、 帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。第三條 在機(jī)房?jī)?nèi)設(shè)置安全防盜報(bào)警裝置和監(jiān)控系統(tǒng)來(lái)實(shí)現(xiàn)防盜、 防 毀、保障設(shè)備的安全。第四條 按照相關(guān)設(shè)計(jì)規(guī)范和技術(shù)要求， 在機(jī)房設(shè)計(jì)和建設(shè)中做好靜 電防護(hù)設(shè)施、防雷裝置和接地保護(hù)系統(tǒng)。第五條 必須建立警報(bào)系統(tǒng)，在發(fā)現(xiàn)擅自進(jìn)入受控區(qū)域時(shí)發(fā)出警報(bào)

21、。 第六條 對(duì)于重要的數(shù)據(jù)要進(jìn)行備份，備份數(shù)據(jù)的存放位置應(yīng)符合GBJ45-82中規(guī)定的一級(jí)耐火等級(jí)，符合防火、防高溫、防水、防震等 要求；定期對(duì)備份數(shù)據(jù)進(jìn)行檢查，保證其可用性。第七條 信息系統(tǒng)所使用的鏈路必須符合國(guó)家相關(guān)的技術(shù)標(biāo)準(zhǔn)和規(guī) 定。鏈路安全包括鏈路本身的物理安全和鍵路上所傳輸信息的安全。七、主機(jī)安全策略第一條 應(yīng)指定專(zhuān)人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各 個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；并建 立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常 操作流程等方面作出具體規(guī)定；同時(shí)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)， 詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)

22、行維護(hù)記錄、參數(shù)的設(shè) 置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作。第二條 應(yīng)提高全體用戶(hù)的防病毒意識(shí)，安裝防病毒軟件，及時(shí)告知 防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件 或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系 統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。第三條 當(dāng)因內(nèi)外部審核、軟件開(kāi)發(fā)、軟件安裝或其他規(guī)定需求而需 要特殊的訪問(wèn)賬號(hào)時(shí)，賬號(hào)必須被授權(quán)；創(chuàng)建的日期期限必須明確； 工作結(jié)束時(shí)此賬號(hào)必須刪除。第四條 所有賬號(hào)都必須使用分配的用戶(hù)進(jìn)行唯一性標(biāo)識(shí)。第五條 應(yīng)指派專(zhuān)人負(fù)責(zé)刪除個(gè)人賬號(hào)；必須將修改用戶(hù)賬號(hào)相關(guān)信 息的過(guò)程文件化；必須定期評(píng)審現(xiàn)有賬號(hào)的有效性， 并將此過(guò)程文件

23、化。第六條 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用 程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。第七條 應(yīng)定期的對(duì)服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和 數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行審計(jì)，審計(jì)內(nèi)容包括重要用戶(hù)行為、系統(tǒng)資源的異常 使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。第八條 在訪問(wèn)操作系統(tǒng)過(guò)程中，對(duì)于不活動(dòng)的會(huì)話必須設(shè)定在一個(gè) 不潘動(dòng)周期后關(guān)閉，以防止未授權(quán)人員訪問(wèn)和拒絕服務(wù)攻擊。第九條 記錄系統(tǒng)管理員和系統(tǒng)操作員的操作日志， 并定期評(píng)審這些 日志信息。系統(tǒng)管理員和系統(tǒng)操作員的日志應(yīng)包括事件發(fā)生的時(shí)間， 涉及的帳號(hào)和管理員或操作員，事件或故障的信息內(nèi)容等信息。八、

24、網(wǎng)絡(luò)安全策略第一條 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、 安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；同時(shí)應(yīng)指 定專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和 報(bào)警信息分析和處理工作；應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文 件進(jìn)行定期離線備份；第二條 應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏 洞進(jìn)行及時(shí)的修補(bǔ)；應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行 更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份。第三條 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)； 并依據(jù)安 全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；同時(shí)定期檢查 違反規(guī)定撥號(hào)上網(wǎng)或其他違反

25、網(wǎng)絡(luò)安全策略的行為。第四條 計(jì)算機(jī)設(shè)備如果無(wú)人值守必須啟動(dòng)口令保護(hù) （屏?；蜃N(xiāo)）第五條 網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持一系列合理定義的、被認(rèn)可的網(wǎng)絡(luò)協(xié)議，使用任何未經(jīng)認(rèn)可的協(xié)議都必須經(jīng)過(guò)公司的批準(zhǔn)。第六條防火墻必須按照防火墻實(shí)施規(guī)范文件進(jìn)行安裝和配置。第七條未經(jīng)單位批準(zhǔn)不可以安裝路由器、交換機(jī)、集線器或者無(wú)線訪問(wèn)端口。第八條 在未經(jīng)單位批準(zhǔn)的情況下， 用戶(hù)不得安裝網(wǎng)絡(luò)硬件或軟件提 供網(wǎng)絡(luò)服務(wù)。第九條在網(wǎng)絡(luò)邊界、安全域之間使用防火墻或 VLAN進(jìn)行邏輯隔離 和訪問(wèn)控制， 使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行記錄、 監(jiān)視 和回放，保證對(duì)網(wǎng)絡(luò)進(jìn)行充分的管理和控制，防止威脅的發(fā)生，維護(hù) 業(yè)務(wù)系統(tǒng)和信息的安全。第十條 記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)， 防止被篡改和未授 權(quán)訪間。九、應(yīng)用安全策略第一條 所有訪問(wèn)應(yīng)用的賬號(hào)都必須使用分配的用戶(hù)進(jìn)行唯一性標(biāo) 識(shí)。第二條 基于各個(gè)業(yè)務(wù)應(yīng)用要求， 應(yīng)嚴(yán)格限制用戶(hù)對(duì)信息和應(yīng)用系統(tǒng) 功能的訪問(wèn)權(quán)限，防止對(duì)信息系統(tǒng)的未授權(quán)訪問(wèn)。第三條 對(duì)應(yīng)用系統(tǒng)進(jìn)行安全訪問(wèn)的控制。第四條 對(duì)應(yīng)用系統(tǒng)自身產(chǎn)生的日志文件與系統(tǒng)日志進(jìn)行審計(jì)， 記錄 用戶(hù)活動(dòng)、異常和信息安全事件的日志信息，并保留