信息安全策略

1、【精品文檔】如有侵權，請聯(lián)系網(wǎng)站刪除，僅供學習與交流信息安全策略.精品文檔.三二一（北京）科技有限公司信息安全策略2016年8月版本控制版本修改時間修改內(nèi)容修改人員審核人員V1.02016-08-25新增陳達隆吳為問第一章 總則第一條 為了建立、健全三二一（北京）科技有限公司的信息安全管理制度，按照相關的國家標準，確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照信息安全管理制度的相關規(guī)定執(zhí)行，改進信息安全管理制度的有效性，特制定信息安全策略文檔。第二條 本文檔適用于三二一（北京）科技有限公司信息安全管理活動。第二章 信息安全范圍第三條 信息安全策略涉及的范圍包括：(一

2、) 公司全體員工。(二) 公司所有業(yè)務系統(tǒng)。(三) 公司現(xiàn)有信息資產(chǎn)，包括與上述業(yè)務系統(tǒng)相關的數(shù)據(jù)、硬件、軟件、服務及文檔等。(四) 公司辦公場所和上述信息資產(chǎn)所處的物理位置。第三章 信息安全總體目標第四條 通過建立健全公司各項信息安全管理制度、加強公司員工的信息安全培訓和教育工作，制定適合公司的風險控制措施，有效控制信息系統(tǒng)面臨的安全風險，保障信息系統(tǒng)的正常穩(wěn)定運行。第四章 信息安全方針第五條 公司主管領導定期組織相關人員召開信息安全會議，對有關的信息安全重大問題做出決策。第六條 清晰識別所有資產(chǎn)，實施等級標記，對資產(chǎn)進行分級、分類管理，并編制和維護所有重要資產(chǎn)的清單。第七條 綜合使用訪問控

3、制、監(jiān)測、審計和身份鑒別等方法來保證數(shù)據(jù)、網(wǎng)絡、信息資源的安全，并加強對外單位人員訪問信息系統(tǒng)的控制，降低系統(tǒng)被非法入侵的風險。第八條 啟動服務器操作系統(tǒng)、網(wǎng)絡設備、安全設備、應用軟件的日志功能，定期進行審計并作相應的記錄。第九條 明確全體員工的信息安全責任，所有員工必須接受信息安全教育培訓，提高信息安全意識。針對不同崗位，制定不同等級培訓計劃，并定期對各個崗位人員進行安全技能及安全認知考核。第十條 建立安全事件報告、事故應答和分類機制，確定報告可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關方都能理解和執(zhí)行事故處理流程，同時妥善保存安全事件的相關記錄與證據(jù)。第十一條 對用戶權限和口令進

4、行嚴格管理，防止對信息系統(tǒng)的非法訪問。第十二條 制定完善的數(shù)據(jù)備份策略，對重要數(shù)據(jù)進行備份。數(shù)據(jù)備份定期進行還原測試，備份介質與原信息所在場所應保持安全距離。第十三條 與外單位的外包（服務）合同應明確規(guī)定合同參與方的安全要求、安全責任和安全規(guī)定等相關安全內(nèi)容，并采取相應措施嚴格保證對協(xié)議安全內(nèi)容的執(zhí)行。第十四條 在開發(fā)新業(yè)務系統(tǒng)時，應充分考慮相關的安全需求，并嚴格控制對項目相關文件和源代碼等敏感數(shù)據(jù)的訪問。第十五條 定期對信息系統(tǒng)進行風險評估，并根據(jù)風險評估的結果采取相應措施進行風險控制。第十六條 上述方針由信息安全管理委員會批準發(fā)布，并定期評審其適用性和充分性，必要時予以修訂。第五章 信息安

5、全職責第十七條 信息安全管理委員會負責批準信息安全策略文件并且保證本文件被公司的各部門執(zhí)行，同時負責對三二一（北京）科技有限公司信息系統(tǒng)信息安全方面的指導方向、安全建設等重大問題做出決策，協(xié)調(diào)各個部門之間的安全協(xié)同工作，支持和推動信息安全工作在整個公司范圍內(nèi)的實施。第十八條 信息技術部負責具體執(zhí)行安全管理策略文件的建立、實施、運作、監(jiān)控、評審、維護和改進工作。第十九條 三二一（北京）科技有限公司所有員工有責任了解自身在信息系統(tǒng)信息安全方面的責任并認真執(zhí)行。第六章 信息安全管理原則第二十條 信息安全管理工作實行“積極防范、突出重點、職責到位、保障業(yè)務”和“誰主管、誰負責”的管理原則。第七章 信息

6、安全策略一、 安全管理制度策略第二十一條 由公司統(tǒng)一制定信息安全工作的總體方針和安全策略，說明安全工作的總體目標、范圍、原則和安全框架，形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。第二十二條 信息技術部負責安全管理制度的制定，安全管理制度應具有統(tǒng)一的格式和版本控制，同時并組織相關人員對制定的安全管理制度進行論證和審定，并通過臍橙金融網(wǎng)絡借貸信息中介平臺進行發(fā)布。第二十三條 信息安全管理委員會負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定，對存在不足或需要改進的安全管理制度進行修訂。二、 安全管理機構策略第二十四條 成立信息安全管理委員會，全面

7、負責信息安全工作。第二十五條 信息技術部作為信息安全管理工作的職能部門，并設立安全管理專員，并設立應用系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員等崗位，并定義各崗位的職責。第二十六條 關鍵事務崗位應配備AB角。第二十七條 針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度，并定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息，并記錄審批過程并保存審批文檔。第二十八條 加強組織內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題，并加強外聯(lián)單位合作與溝通，并制定外聯(lián)單位聯(lián)系列表。第二十九條 制定安全審核和安全檢查

8、制度，規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。三、 人員安全策略第三十條 人力行政部負責員工錄用，嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質等進行審查，對其所具有的技術技能進行考核，并簽署保密協(xié)議。第三十一條 員工應根據(jù)崗位職責要求嚴格履行其安全角色和職責，主要包括：保護資產(chǎn)免受未授權的訪問、泄漏、修改、銷毀或干擾，執(zhí)行特定的安全過程或活動，報告安全事件或其他風險。安全角色和職責必須清晰的傳達給所有員工，確保他們能清楚各自的安全責任。第三十二條 定期對各個崗位的人員進行安全技能及安全認知的考核，對關鍵崗位的人員要進行全面、嚴格的安全審查和技能考核。

9、第三十三條 外單位人員在訪問公司信息處理設施前必須簽署保密協(xié)議，保密協(xié)議內(nèi)容包括外單位人員訪問信息資產(chǎn)的權利、承擔的安全責任、違反職責要承擔的后果等。負責接待人員或部門要保證外單位人員了解保密協(xié)議的條款和內(nèi)容，并同意協(xié)議規(guī)定的權利和責任。第三十四條 公司主要領導承擔管理職責，保證所有員工和外單位人員能按照安全方針、策略和程序進行日常工作。管理職責包括使所有員工和外單位人員清晰了解各自的安全角色和安全職責、提高他們的安全意識和安全技能等。第三十五條 定期對所有員工進行安全培訓，培訓內(nèi)容包括安全方針、策略、程序、信息處理設施正確使用方法、安全意識等。根據(jù)人員的安全角色和職責制定不同的培訓計劃，保證

10、所有員工和外單位人員能認識到信息安全問題和信息安全事件，并能按照各自的安全角色履行安全職責。第三十六條 制定正式的紀律處理過程，來嚴肅處理安全違規(guī)的員工，并威懾其他員工，防止他們違反安全策略、程序和其他安全違規(guī)。紀律處理要正確、公平，要根據(jù)違規(guī)的性質、重要性和對業(yè)務的影響等因素區(qū)別對待。第三十七條 當員工離職或調(diào)離其他崗位、外單位人員合同期滿時，立即終止原來的安全角色和安全職責，并通知中心所有員工，使所有員工能及時清楚人員的變化。第三十八條 當員工離職或調(diào)離其他崗位、外單位人員合同期滿時，及時歸還其使用的所有資產(chǎn)，如設備、軟件、文件、訪問卡、電子資料等，防止對資產(chǎn)的非授權使用，及時刪除其對信息

11、和信息處理設施的訪問權限。四、 系統(tǒng)建設策略第三十九條 信息技術部負責對信息系統(tǒng)的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃；信息技術部根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件。第四十條 應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施。第四十一條 信息技術部負責安全產(chǎn)品的采購，確保安全產(chǎn)品采購和使用符合國家的有關規(guī)定，而密碼產(chǎn)品采購和使用符合國家密碼主管部門的要

12、求，在采購前應預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。第四十二條 業(yè)務系統(tǒng)的開發(fā)、測試和運行設施要分離并進行控制，控制措施包括敏感數(shù)據(jù)不能拷貝到測試系統(tǒng)環(huán)境中、禁止開發(fā)和測試人員訪問運行系統(tǒng)及其信息等，以減少對運行設施及其信息的未授權訪問和帶來的潛在風險。第四十三條 定期根據(jù)外包服務協(xié)議中的安全要求，監(jiān)視、評審由外單位提供的服務、報告和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴格執(zhí)行。監(jiān)視、評審內(nèi)容包括監(jiān)視服務執(zhí)行效率，評審服務報告，審查外包服務的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。第四十四條 授權信息技術部負責工程實施過程的管理，工程實施前應制定

13、詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程，并制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。第四十五條 新業(yè)務系統(tǒng)或升級版本在正式上線前，要進行合適的測試，并根據(jù)驗收要求和標準進行正式的驗收，以證實全部驗收準則完全被滿足。第四十六條 系統(tǒng)建設完成后應制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；應提供系統(tǒng)建設過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔，同時對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓。第四十七條 信息技術部負責等級測評的管理，并在系統(tǒng)運行過程中，對信息系統(tǒng)應每年進行一次等級測評，應選擇具有

14、國家相關技術資質和安全資質的測評單位，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；同時在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改。第四十八條 在選擇安全服務商時應符合國家的有關規(guī)定，并與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責任，同時確保選定的安全服務商提供技術培訓和服務承諾，必要的與其簽訂服務合同。五、 系統(tǒng)運維策略第四十九條 所有的資產(chǎn)要指定專人責任，并對責任人賦予相應的職責，確保所有資產(chǎn)都可以核查。第五十條 根據(jù)資產(chǎn)的重要性、業(yè)務價值、依賴程度，對所有資產(chǎn)進行分類、分級，編制資產(chǎn)的清單。對資產(chǎn)清

15、單妥善保管，并在資產(chǎn)變更時及時更新清單，確?？梢詫Y產(chǎn)進行有效的保護。第五十一條 應對磁帶、磁盤、閃盤、可移動硬件驅動器、CD、DVD、打印媒體等進行有效的管理，防止非授權的使用和破壞。對可移動存儲介質的管理包括所有介質應存儲在符合制造商說明的安全、保密環(huán)境中，使用介質要進行授權、登記并追蹤審計等。第五十二條 應對不再需要的介質進行安全處置，降低介質敏感信息泄漏給未授權人員的風險。第五十三條 應對信息系統(tǒng)相關的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理。第五十四條 應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修

16、和服務的審批、維修過程的監(jiān)督控制等，應確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點。第五十五條 重要的紙質文檔應實行借閱登記制度，未經(jīng)信息技術部領導批準，任何人不得將技術文檔轉借、復制或對外公開;重要的電子文檔應建立OA等電子化辦公審批平臺進行管理。第五十六條 應對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存；同時組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應對措施。第五十七條 應指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄；定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄

17、，對主機防病毒產(chǎn)品、防病毒網(wǎng)關和郵件防病毒網(wǎng)關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。第五十八條 應建立對所有密鑰的產(chǎn)生、分發(fā)和接收、使用、存儲、更新、銷毀等方面進行管理的制度，密鑰管理人員必須是本機構在編的正式員工。第五十九條 應建立變更管理制度，系統(tǒng)發(fā)生變更前，制定變更方案，同時向主管領導申請，變更和變更方案經(jīng)過評審、審批后方可實施變更，并在實施后將變更情況向相關人員通告。第六十條 遵照信息安全事故報告機制，報告可能對中心的信息資產(chǎn)安全造成影響的不同種類的安全事故和弱點，并確保所有的員工、合同方和外單位人員都遵守執(zhí)行這套報告程序。第六十一條 對安全事故進行分

18、類和分級，及時對信息安全事故的類型、頻率和影響等進行評估，并采取適當措施防止事故再次發(fā)生。第六十二條 應建立有效的技術保障機制，確保在安全事件處置過程中不會因技術能力缺乏而導致處置中斷或延長應急處置時間。第六十三條 應建立應急預案，在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容；同時應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障。六、 物理安全策略第六十四條 運營維護部負責機房安全，并配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理；應定期對機房供配電、空調(diào)、溫濕度控制

19、等設施進行維護管理。第六十五條 應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定。第六十六條 在機房內(nèi)設置安全防盜報警裝置和監(jiān)控系統(tǒng)來實現(xiàn)防盜、防毀、保障設備的安全。第六十七條 按照相關設計規(guī)范和技術要求，在機房設計和建設中做好靜電防護設施、防雷裝置和接地保護系統(tǒng)。第六十八條 必須建立警報系統(tǒng)，在發(fā)現(xiàn)擅自進入受控區(qū)域時發(fā)出警報。 第六十九條 對于重要的數(shù)據(jù)要進行備份，備份數(shù)據(jù)的存放位置應符合GBJ45-82中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等要求；定期對備份數(shù)據(jù)進行檢查，保證其可用性。第七十條 對于辦公環(huán)境，應加強公司人員的保密性

20、管理，工作人員調(diào)離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、離開電腦時應鎖屏、在辦公桌面不得擺放含有公司客戶數(shù)據(jù)等敏感信息的文件。七、 主機安全策略第七十一條 應指定專人對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵循最小授權原則；并建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；同時依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容，嚴禁進行未經(jīng)授權的操作。第七十二條 應提高全體用戶的防病毒意識，安裝防病毒軟件，及時告知防病毒軟件版本，在讀取移動存儲設

21、備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢查。第七十三條 當因內(nèi)外部審核、軟件開發(fā)、軟件安裝或其他規(guī)定需求而需要特殊的訪問賬號時，賬號必須被授權；創(chuàng)建的日期期限必須明確；工作結束時此賬號必須刪除。第七十四條 所有賬號都必須使用分配的用戶進行唯一性標識。第七十五條 應指派專人負責刪除個人賬號；必須將修改用戶賬號相關信息的過程文件化；必須定期評審現(xiàn)有賬號的有效性，并將此過程文件化。第七十六條 操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。第七十七條 應定期的對服務器和重

22、要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進行審計，審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件。第七十八條 在訪問操作系統(tǒng)過程中，對于不活動的會話必須設定在一個不活動周期后關閉，以防止未授權人員訪問和拒絕服務攻擊。第七十九條 記錄系統(tǒng)管理員和系統(tǒng)操作員的操作日志，并定期評審這些日志信息。系統(tǒng)管理員和系統(tǒng)操作員的日志應包括事件發(fā)生的時間，涉及的帳號和管理員或操作員，事件或故障的信息內(nèi)容等信息。八、 網(wǎng)絡安全策略第八十條 應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；同時應指定專人對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；應實現(xiàn)設備的最小服務配置，并對配置文件進行定期離線備份；第八十一條 應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補；應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份。第八十二條 應保證所有與外部系統(tǒng)的連接均得到授權和批準；并依據(jù)安全策略允許或者拒絕便攜式和移動式設備的網(wǎng)絡接入；同時定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡安全策略的行為。第八十三條 計算機設備如果無人值守必須啟動口令保護（屏?；蜃N）。第八十四條 網(wǎng)絡基礎設施支持一系列合理定義的、被認可的網(wǎng)絡協(xié)