信息系統(tǒng)監(jiān)理安全管理辦法2

1、信息系統(tǒng)平安管理方法（V0.1）第一章 總則第一條 為加強(qiáng)和規(guī)范北京賽迪信息工程監(jiān)理有限公司信息系統(tǒng)平安工作，進(jìn)一步推動(dòng)信息系統(tǒng)平安監(jiān)理標(biāo)準(zhǔn)化工作，提高項(xiàng)目現(xiàn)場平安監(jiān)理和文明實(shí)施管理水平，依據(jù)計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)平安愛護(hù)管理方法(公安部令第33號(hào))、中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)條例 （1994年國務(wù)院147號(hào)令）、計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）特制定本方法。其次條 本方法所稱信息系統(tǒng)指公司一體化企業(yè)級(jí)信息系統(tǒng)，主要包括信息工程管理與服務(wù)平臺(tái)項(xiàng)目（以下簡稱“云平臺(tái)”）和五大業(yè)務(wù)應(yīng)用?！皹I(yè)務(wù)應(yīng)用”包括電子政務(wù)、科研工程、通信工程、涉及國家隱私的信息系統(tǒng)、

2、工程管理和詢問等業(yè)務(wù)應(yīng)用。第三條 本方法適用于公司總部、各分公司。現(xiàn)場平安監(jiān)理和文明實(shí)施管理除應(yīng)執(zhí)行本方法外，尚應(yīng)符合國家、省現(xiàn)行有關(guān)法律、法規(guī)和標(biāo)準(zhǔn)的規(guī)定。當(dāng)本方法高于國家現(xiàn)行相關(guān)標(biāo)準(zhǔn)時(shí)，以本方法為準(zhǔn)。第四條 有關(guān)信息系統(tǒng)平安的基本概念、方針、原則和制度（一）有關(guān)平安的幾個(gè)基本概念 1、信息系統(tǒng)平安在信息系統(tǒng)工程中，信息平安涵蓋了人工和自動(dòng)信息處理的平安。信息系統(tǒng)平安包括：軟件平安和硬件網(wǎng)絡(luò)平安兩部分。在信息系統(tǒng)平安定義中，人是指信息系統(tǒng)應(yīng)用的主體，包括：各類用戶支持人員技術(shù)管理人員行政管理人員等 2、網(wǎng)絡(luò)指以計(jì)算機(jī)、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)以及操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成的物理和邏輯的

3、完整體系。 3、環(huán)境 是系統(tǒng)穩(wěn)定和牢靠運(yùn)行所須要的保障體系，包括：建筑物機(jī)房電力保障與備份應(yīng)急與復(fù)原體系等（二）平安生產(chǎn)的方針 平安生產(chǎn)的方針：平安第一，預(yù)防為主。 （三） 平安生產(chǎn)原則 “三同時(shí)”原則凡是我國境內(nèi)新建、改建、擴(kuò)建的基本建設(shè)項(xiàng)目(工程）、技術(shù)改造項(xiàng)目（工程）和引進(jìn)的建設(shè)項(xiàng)目，其勞動(dòng)平安衛(wèi)生設(shè)施必需符合國家規(guī)定的標(biāo)準(zhǔn)，必需與主體工程同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投入生產(chǎn)和運(yùn)用； “五同時(shí)”原則企業(yè)的生產(chǎn)組織及領(lǐng)導(dǎo)者在安排、布置、檢查、總結(jié)、評(píng)比生產(chǎn)的時(shí)候，同時(shí)安排、布置、檢查、總結(jié)、評(píng)比平安工作； “四不放過”原則在調(diào)查處理平安事故時(shí)，必需堅(jiān)持事故緣由分析不清不放過，事故責(zé)任者和群眾沒

4、有受到教化不放過，沒有實(shí)行切實(shí)可行的防范措施不放過和事故責(zé)任者沒有被處理不放過的原則； “三個(gè)同步”原則平安生產(chǎn)與經(jīng)濟(jì)建設(shè)、企業(yè)深化改革、技術(shù)改造同步規(guī)劃、同步發(fā)展、同步實(shí)施的原則。 （四）平安生產(chǎn)制度 平安生產(chǎn)制度：平安生產(chǎn)責(zé)任制、平安教化制度、平安檢查制度和事故報(bào)告制度。 其次章 信息系統(tǒng)平安管理職責(zé)第五條 公司信息系統(tǒng)平安管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理。各部門主要負(fù)責(zé)人是本單位信息系統(tǒng)平安第一責(zé)任人，各部門信息平安管理領(lǐng)導(dǎo)小組負(fù)責(zé)本單位信息系統(tǒng)平安重大事項(xiàng)決策和協(xié)調(diào)工作。第六條 信息系統(tǒng)平安納入公司平安管理體系，實(shí)行專業(yè)管理、歸口監(jiān)督。公司工程技術(shù)支持與服務(wù)部是信息系統(tǒng)平安的管理部門，負(fù)責(zé)管

5、理各業(yè)務(wù)系統(tǒng)的平安保障工作。第七條 公司工程技術(shù)支持與服務(wù)部主要職責(zé)： （一）落實(shí)國家有關(guān)信息系統(tǒng)平安法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，聯(lián)系國家有關(guān)部門落實(shí)信息系統(tǒng)平安管理相關(guān)工作； （二）組織制定公司信息系統(tǒng)平安管理規(guī)章制度和標(biāo)準(zhǔn)規(guī)范； （三）指導(dǎo)、協(xié)調(diào)和檢查各部門信息系統(tǒng)平安工作，組織落實(shí)公司信息系統(tǒng)等級(jí)愛護(hù)制度，統(tǒng)籌開展公司信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和平安檢查工作； （四）在公司應(yīng)急體系框架內(nèi)，負(fù)責(zé)公司信息系統(tǒng)應(yīng)急管理相關(guān)工作； （五）開展涉密計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)立項(xiàng)、設(shè)計(jì)和建設(shè)，做好信息系統(tǒng)平安與保密檢查； （六）負(fù)責(zé)規(guī)范公司信息系統(tǒng)平安產(chǎn)品的測評(píng)和選型工作。第八條 各職能部門職責(zé)： （一）負(fù)責(zé)實(shí)行國家

6、有關(guān)信息系統(tǒng)平安法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，實(shí)行公司信息系統(tǒng)平安相關(guān)規(guī)章制度和技術(shù)標(biāo)準(zhǔn)，建立健全本單位信息系統(tǒng)平安標(biāo)準(zhǔn)制度和規(guī)范體系； （二）負(fù)責(zé)落實(shí)本單位范圍內(nèi)信息系統(tǒng)平安工作責(zé)任制； （三）在公司信息職能管理部門指導(dǎo)下，落實(shí)本單位信息系統(tǒng)等級(jí)愛護(hù)制度、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和平安檢查等工作； （四）按公司信息系統(tǒng)應(yīng)急體系要求建立本單位信息系統(tǒng)應(yīng)急體系，組織本單位信息系統(tǒng)平安突發(fā)事務(wù)的應(yīng)急處理； （五）負(fù)責(zé)明確本單位信息系統(tǒng)平安運(yùn)行維護(hù)部門或機(jī)構(gòu)，落實(shí)信息系統(tǒng)平安運(yùn)行維護(hù)日常工作，具體落實(shí)信息系統(tǒng)平安等級(jí)愛護(hù)和平安策略； （六）組織本單位信息系統(tǒng)平安的宣揚(yáng)和培訓(xùn)。第三章 管理措施第九條 不斷建立

7、健全信息系統(tǒng)平安管理制度體系，通過操作規(guī)程實(shí)現(xiàn)平安管理和操作人員的標(biāo)準(zhǔn)化作業(yè)；定期對(duì)信息系統(tǒng)平安管理制度進(jìn)行檢查和審定，對(duì)存在不足或須要改進(jìn)的平安管理制度剛好進(jìn)行修訂。第十條 嚴(yán)格遵守“涉密不上網(wǎng)、上網(wǎng)不涉密”紀(jì)律，嚴(yán)禁將涉密計(jì)算機(jī)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，嚴(yán)禁在非涉密計(jì)算機(jī)和互聯(lián)網(wǎng)上存儲(chǔ)、處理國家隱私。嚴(yán)禁在信息外網(wǎng)計(jì)算機(jī)上存儲(chǔ)和處理涉及企業(yè)隱私的信息。嚴(yán)禁涉密移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)和非涉密計(jì)算機(jī)及互聯(lián)網(wǎng)上交叉運(yùn)用。第十一條 嚴(yán)格信息系統(tǒng)平安工作人員錄用過程，審查其身份、背景、專業(yè)資格，關(guān)鍵崗位應(yīng)簽署保密協(xié)議；剛好終止離崗員工的全部訪問權(quán)限；嚴(yán)特別部人員訪問程序，對(duì)允許訪問人員實(shí)行專

8、人全程陪伴或監(jiān)督，并登記備案。第十二條 嚴(yán)格依據(jù)國家有關(guān)部門要求，開展公司網(wǎng)絡(luò)與信息系統(tǒng)定級(jí)、審批、備案工作。針對(duì)確定的網(wǎng)絡(luò)與信息系統(tǒng)平安等級(jí)，要依據(jù)等級(jí)愛護(hù)有關(guān)要求，落實(shí)必要的管理和技術(shù)措施，嚴(yán)格執(zhí)行等級(jí)愛護(hù)制度。第十三條 新建信息系統(tǒng)涉及平安防護(hù)措施建設(shè)，應(yīng)明確平安需求，確定平安等級(jí)，結(jié)合公司平安防護(hù)總體策略，進(jìn)行平安防護(hù)方案設(shè)計(jì)；依據(jù)國家有關(guān)規(guī)定和堅(jiān)持激勵(lì)運(yùn)用國產(chǎn)化產(chǎn)品原則，開展平安產(chǎn)品選購，必要時(shí)開展產(chǎn)品預(yù)先選型測試；加強(qiáng)軟件開發(fā)管理，確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境平安隔離；托付有資質(zhì)的第三方測試單位對(duì)系統(tǒng)進(jìn)行平安性測試，并出具平安性測試報(bào)告；對(duì)測試不符合要求的，在整改后要重新測試。系統(tǒng)試

9、運(yùn)行前，要開展相關(guān)平安培訓(xùn)。第十四條 加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)全過程管理：（一）嚴(yán)格執(zhí)行信息機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運(yùn)行環(huán)境符合要求，嚴(yán)格機(jī)房出入管理。要編制信息系統(tǒng)資產(chǎn)清單，建立資產(chǎn)管理制度，依據(jù)資產(chǎn)重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)。（二）對(duì)信息系統(tǒng)軟硬件設(shè)備選型、選購、運(yùn)用等實(shí)行規(guī)范化管理，建立相應(yīng)操作規(guī)程，對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備實(shí)行標(biāo)準(zhǔn)化作業(yè)。強(qiáng)化存儲(chǔ)介質(zhì)存放、運(yùn)用、維護(hù)和銷毀等各項(xiàng)措施。（三）依據(jù)最小服務(wù)配置和最小授權(quán)原則，對(duì)平安策略、平安配置、日志和操作等方面做出具體規(guī)定，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)；具體記錄日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)置和修改等內(nèi)容，嚴(yán)禁任何未經(jīng)授

10、權(quán)的操作；定期開展運(yùn)行日志和審計(jì)數(shù)據(jù)分析工作，剛好發(fā)覺異樣行為。剛好依據(jù)須要進(jìn)行軟件升級(jí)更新，并在更新前做好備份；定期進(jìn)行漏洞掃描，剛好發(fā)覺平安漏洞并進(jìn)行修補(bǔ)；剛好安裝補(bǔ)丁程序，在安裝補(bǔ)丁前做好測試和備份工作。（四）剛好升級(jí)防病毒軟件，加強(qiáng)全員防病毒、木馬的意識(shí)，不打開、閱讀來歷不明的郵件；要指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并做好記錄，定期開展分析；加強(qiáng)防惡意代碼軟件授權(quán)運(yùn)用、惡意代碼庫升級(jí)等管理。（五）嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。保證全部與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，進(jìn)行必要的平安隔離，配置嚴(yán)格的訪問限制策略，開展必要的平安評(píng)估

11、。（六）建立和執(zhí)行密碼運(yùn)用管理制度，運(yùn)用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。（七）對(duì)信息網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況等進(jìn)行監(jiān)測和報(bào)警；定期對(duì)監(jiān)測和報(bào)警記錄進(jìn)行分析，依據(jù)須要實(shí)行必要的應(yīng)對(duì)措施；應(yīng)建立平安管理中心，對(duì)平安設(shè)備、惡意代碼、補(bǔ)丁升級(jí)、平安審計(jì)等平安設(shè)施進(jìn)行集中管理。（八）嚴(yán)格依據(jù)有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，剛好報(bào)告信息系統(tǒng)事故狀況，仔細(xì)開展信息系統(tǒng)事故緣由分析，堅(jiān)持“四不放過”原則，有效落實(shí)整改，確保類似事故不再發(fā)生。嚴(yán)格執(zhí)行有關(guān)公司網(wǎng)絡(luò)與信息系統(tǒng)平安運(yùn)行狀況通報(bào)制度，做好定期、節(jié)假日和特別時(shí)期的網(wǎng)絡(luò)與信息系統(tǒng)平安運(yùn)行狀況報(bào)送工作。第十五條 嚴(yán)格執(zhí)行公司有關(guān)信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估管理規(guī)定，切實(shí)將

12、信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估工作常態(tài)化和制度化，剛好落實(shí)整改，剛好消退信息系統(tǒng)平安隱患。依據(jù)國家和公司要求，定期開展信息系統(tǒng)平安檢查工作，做好特別時(shí)期平安檢查和平安保障工作。第十六條 不斷完善應(yīng)急預(yù)案，加強(qiáng)培訓(xùn)和演練，確保人力、設(shè)備等應(yīng)急保障資源可用。第十七條 建立備份與復(fù)原管理相關(guān)平安管理制度，嚴(yán)格限制數(shù)據(jù)備份和復(fù)原過程，妥當(dāng)保存?zhèn)浞萦涗?，定期?zhí)行復(fù)原程序。要切實(shí)依據(jù)須要開展業(yè)務(wù)應(yīng)用容災(zāi)系統(tǒng)建設(shè)。第十八條 切實(shí)加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)規(guī)劃工作，不斷完善公司平安認(rèn)證系統(tǒng)相關(guān)技術(shù)標(biāo)準(zhǔn)和功能規(guī)范。強(qiáng)化信任體系應(yīng)用工作，做好信息系統(tǒng)統(tǒng)一身份認(rèn)證，以及重要信息的加密和簽名工作。第十九條 切實(shí)加強(qiáng)員工信息系統(tǒng)平安培

13、訓(xùn)，提高全員信息系統(tǒng)平安意識(shí)；強(qiáng)化信息系統(tǒng)平安人員專業(yè)技能培訓(xùn)，做到培訓(xùn)工作有安排、有總結(jié)，培訓(xùn)效果有評(píng)價(jià)。要對(duì)關(guān)鍵崗位人員進(jìn)行全面、嚴(yán)格的平安審查和技能考核，對(duì)在信息系統(tǒng)平安工作中做出顯著成果的單位和人員應(yīng)賜予嘉獎(jiǎng)和表彰。對(duì)違反國家法律、法規(guī)和公司有關(guān)規(guī)定，造成肯定不良影響和后果的，要追究其責(zé)任。第四章 技術(shù)措施其次十條 依據(jù)國家和公司有關(guān)規(guī)定，對(duì)機(jī)房建筑設(shè)置符合要求的避雷裝置、滅火和火災(zāi)自動(dòng)報(bào)警系統(tǒng)；實(shí)行防雨水措施，防止雨水、水蒸氣結(jié)露和地下積水；設(shè)置溫、濕度自動(dòng)調(diào)整設(shè)施，限制機(jī)房溫、濕度在設(shè)備運(yùn)行所允許范圍之內(nèi)，保證雙路供電,電源線和通信電纜應(yīng)隔離，避開相互干擾；采納接地方式防止外界電磁

14、干擾和設(shè)備寄生耦合干擾。其次十一條 加強(qiáng)網(wǎng)絡(luò)平安技術(shù)工作： （一）網(wǎng)絡(luò)核心交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備要冗余配置，合理安排網(wǎng)絡(luò)帶寬；建立業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問限制；依據(jù)須要?jiǎng)澐植煌泳W(wǎng)；對(duì)重要網(wǎng)段實(shí)行網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施。 （二）采納防火墻或入侵防護(hù)設(shè)備（IPS）對(duì)內(nèi)網(wǎng)邊界實(shí)施訪問審查和限制；對(duì)進(jìn)出網(wǎng)絡(luò)信息內(nèi)容實(shí)施過濾，對(duì)應(yīng)用層常用協(xié)議吩咐進(jìn)行限制，網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。嚴(yán)格撥號(hào)訪問限制措施。 （三）加強(qiáng)內(nèi)部用戶私自訪問外部網(wǎng)絡(luò)行為的檢測工作，要能夠剛好發(fā)覺，精確定位，有效阻斷；對(duì)重要網(wǎng)段，應(yīng)采納入侵檢測系統(tǒng)進(jìn)行監(jiān)控，對(duì)入侵事務(wù)剛好供應(yīng)報(bào)警。其次十二條 加強(qiáng)系

15、統(tǒng)平安技術(shù)工作： （一）對(duì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設(shè)置連接超時(shí)功能；用戶訪問不得采納空賬號(hào)和空口令，口令要足夠強(qiáng)健，長度不得少于8位。 （二）嚴(yán)格限制匿名用戶的訪問權(quán)限；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶訪問權(quán)限分別，對(duì)訪問權(quán)限一樣的用戶進(jìn)行分組，訪問限制力度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)。 （三）限制單個(gè)用戶的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù)，限制單個(gè)用戶對(duì)系統(tǒng)資源、磁盤空間的最大或最小運(yùn)用限度，當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測并報(bào)警。其次十三條 嚴(yán)格網(wǎng)絡(luò)、系統(tǒng)平安審計(jì)工作，平安審計(jì)系統(tǒng)應(yīng)定期生成審計(jì)報(bào)表，自動(dòng)進(jìn)行備份，審計(jì)記錄應(yīng)受到愛護(hù)，避開刪除、修改或破壞。其次十四條 重要和敏感信息實(shí)行