企業(yè)信息安全管理制度試行

企業(yè)信息平安管理制度試行XX公司信息平安管理制度1試行〕第一章總那么第一條為保證信息系統(tǒng)平安可靠穩(wěn)定運(yùn)行，降低或阻止人為或自然因素從物理層面對(duì)公司信息系統(tǒng)的保密性、完好性、可用性帶來(lái)的平安威脅，結(jié)合公司實(shí)際，特制定本制度。第二條本制度適用于XX公司以及所屬單位的信息系統(tǒng)平安管理。第二章職責(zé)第三條相關(guān)部門(mén)、單位職責(zé)：一、信息中心（一〕負(fù)責(zé)組織和協(xié)調(diào)XX公司的信息系統(tǒng)平安管理工作；〔二〕負(fù)責(zé)建立XX公司信息系統(tǒng)網(wǎng)絡(luò)成員單位間的網(wǎng)絡(luò)訪問(wèn)規(guī)那么；對(duì)公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)準(zhǔn)入進(jìn)行管理；管理崗位或網(wǎng)絡(luò)管理崗位主管進(jìn)行分配，由系統(tǒng)管理員或網(wǎng)絡(luò)管理員負(fù)責(zé)用戶(hù)口令的日常管理。（二）受權(quán)用戶(hù)。擁有由超級(jí)用戶(hù)根據(jù)應(yīng)用系統(tǒng)開(kāi)發(fā)或運(yùn)行維護(hù)的特殊需要，經(jīng)過(guò)崗位主管的審批，將一些系統(tǒng)命令運(yùn)行權(quán)限所授予的普通用戶(hù)，由受權(quán)用戶(hù)負(fù)責(zé)用戶(hù)口令的日常管理?！踩称胀ㄓ脩?hù)。應(yīng)用系統(tǒng)開(kāi)發(fā)或運(yùn)行維護(hù)人員為應(yīng)用系統(tǒng)一般監(jiān)控、維護(hù)的需要，由超級(jí)用戶(hù)分配的一般用戶(hù)，這類(lèi)用戶(hù)僅擁有缺省用戶(hù)訪問(wèn)權(quán)限的用戶(hù)，由用戶(hù)負(fù)責(zé)口令的日常管理?！菜摹衬涿脩?hù)。匿名用戶(hù)用于向公司網(wǎng)絡(luò)內(nèi)所有用戶(hù)提供相應(yīng)服務(wù)，這類(lèi)用戶(hù)一般僅擁有閱讀權(quán)限，無(wú)用戶(hù)名及口令，一般情況下只允許提供如：標(biāo)準(zhǔn)、期刊等無(wú)平安要求的系統(tǒng)服務(wù)時(shí)使用匿名用戶(hù)。三、對(duì)用戶(hù)以及權(quán)限的設(shè)定進(jìn)行嚴(yán)格管理，用戶(hù)權(quán)限的分配遵循〃最小特權(quán)〃原那么。四、口令是用戶(hù)用以保護(hù)所訪問(wèn)計(jì)算機(jī)資源權(quán)利，不被別人冒用的基本控制手段?？诹畈呗缘膽?yīng)用與其被保護(hù)對(duì)象有關(guān),口令強(qiáng)度與口令所保護(hù)的資源、數(shù)據(jù)的價(jià)值或敏感度成正比?！惨弧乘性诠揪钟蚓W(wǎng)網(wǎng)上運(yùn)行的設(shè)備、計(jì)算機(jī)系統(tǒng)及存有公司涉密數(shù)據(jù)的計(jì)算機(jī)設(shè)備都必須設(shè)置口令保護(hù)。（二〕所有有權(quán)把握口令的人員必須保證口令在產(chǎn)生、分配、存儲(chǔ)、銷(xiāo)毀經(jīng)過(guò)中的平安性和機(jī)密性?！踩晨诹顟?yīng)至少要含有8個(gè)字符；應(yīng)同時(shí)含有字母和非字母字符口令。〔四〕口令設(shè)置不能和用戶(hù)名或登錄名一樣，不能使用生日、人名、英文單詞等易被猜測(cè)、易被破解的口令，如有可能,采用機(jī)器隨機(jī)生成口令?！参澹┛诹钍褂闷谙抻筛鱾€(gè)系統(tǒng)平安要求而定?！擦晨诹畹氖褂闷谙藓瓦^(guò)期失效應(yīng)盡可能由系統(tǒng)強(qiáng)迫執(zhí)行。（七）設(shè)備在啟用時(shí)，默認(rèn)口令必須更改。第二十一條系統(tǒng)運(yùn)行平安檢查是平安管理的常用工作方法,也是預(yù)防事故、發(fā)現(xiàn)隱患、指導(dǎo)整改的必要工作手段。信息系統(tǒng)平安管理人員應(yīng)做好系統(tǒng)運(yùn)行平安檢查與記錄（格式見(jiàn)附錄3-5）。檢查范圍：、應(yīng)用系統(tǒng)的訪問(wèn)控制檢查。包括物理和邏輯訪問(wèn)控制,能否根據(jù)規(guī)定的策略和程序進(jìn)行訪問(wèn)權(quán)限的增加、變更和取消，用戶(hù)權(quán)限的分配能否遵循''最小特權(quán)〃原那么。二、應(yīng)用系統(tǒng)的日志檢查。包括數(shù)據(jù)庫(kù)日志、系統(tǒng)訪問(wèn)日志、系統(tǒng)處理日志、錯(cuò)誤日志及異常日志。三、應(yīng)用系統(tǒng)可用性檢查：包括系統(tǒng)中斷時(shí)間、系統(tǒng)正常服務(wù)時(shí)間和系統(tǒng)恢復(fù)時(shí)間等。四、應(yīng)用系統(tǒng)能力檢查。包括系統(tǒng)資源消耗情況、系統(tǒng)交易速度和系統(tǒng)吞吐量等。五、應(yīng)用系統(tǒng)的平安操作檢查。用戶(hù)對(duì)應(yīng)用系統(tǒng)的使用能否根據(jù)信息平安的相關(guān)策略和程序進(jìn)行訪問(wèn)和使用。六、應(yīng)用系統(tǒng)維護(hù)檢查。維護(hù)性問(wèn)題能否在規(guī)定的時(shí)間內(nèi)解決，能否正確地解決問(wèn)題，解決問(wèn)題的經(jīng)過(guò)能否有效等。七、應(yīng)用系統(tǒng)的配置檢查。檢查應(yīng)用系統(tǒng)的配置能否合理和適當(dāng)，各配置組件能否發(fā)揮其應(yīng)有的功能。八、惡意代碼的檢查。能否存在惡意代碼，如病毒、木馬、隱蔽通道導(dǎo)致應(yīng)用系統(tǒng)數(shù)據(jù)的喪失、損壞、非法修改、信息泄露等。九、檢查出現(xiàn)異常時(shí)應(yīng)進(jìn)行記錄，非受控變化應(yīng)及時(shí)報(bào)告,以確定能否屬于信息平安事件，屬于信息平安事件的應(yīng)及時(shí)處理。第二十二條信息管理部門(mén)應(yīng)定期對(duì)重要系統(tǒng)、配置及應(yīng)用進(jìn)行備份。備份管理要求如下：一、各系統(tǒng)應(yīng)于投產(chǎn)前明確數(shù)據(jù)備份方法，對(duì)數(shù)據(jù)備份和復(fù)原進(jìn)行必要的測(cè)試，并根據(jù)實(shí)際運(yùn)行需要及時(shí)調(diào)整，每次調(diào)整應(yīng)進(jìn)行測(cè)試；二、對(duì)系統(tǒng)配置、網(wǎng)絡(luò)配置和應(yīng)用軟件應(yīng)進(jìn)行備份。在發(fā)生變動(dòng)時(shí)，應(yīng)及時(shí)備份；三、業(yè)務(wù)數(shù)據(jù)備份根據(jù)各生產(chǎn)系統(tǒng)備份計(jì)劃的詳細(xì)要求進(jìn)行,盡可能實(shí)現(xiàn)異地備份；四、集中管理的系統(tǒng)、設(shè)備數(shù)據(jù)的備份工作由所在單位的信息部門(mén)負(fù)責(zé)；五、備份介質(zhì)交接應(yīng)嚴(yán)格履行交接手續(xù)，做好交接登記；六、介質(zhì)存放地必須符合防盜、防火、防水、防鼠、防蟲(chóng)、防磁以及相應(yīng)的干凈度、溫濕度等要求。第八章網(wǎng)絡(luò)與通信平安管理第二十三條信息化管理部門(mén)采取必要的技術(shù)手段和管理措施，加強(qiáng)對(duì)網(wǎng)絡(luò)和通信平安的管理，保障公司內(nèi)外信息傳遞平安。網(wǎng)絡(luò)平安管理包含網(wǎng)絡(luò)訪問(wèn)控制、平安機(jī)制、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)隔離等，基本要求是：一、定期對(duì)重要網(wǎng)絡(luò)設(shè)備運(yùn)行情況進(jìn)行平安檢查，發(fā)現(xiàn)隱患及時(shí)上報(bào)或整改，并做好記錄〔格式見(jiàn)附錄3-5〕。二、定期備份重要網(wǎng)絡(luò)和通信設(shè)備配置文件，確保發(fā)生故障時(shí)能及時(shí)恢復(fù)網(wǎng)絡(luò)運(yùn)行，保證網(wǎng)絡(luò)的可用性。第二十四條加強(qiáng)內(nèi)部網(wǎng)絡(luò)平安管理，詳細(xì)要求如下：一、網(wǎng)絡(luò)機(jī)房分區(qū)應(yīng)獨(dú)立、封閉。二、網(wǎng)絡(luò)設(shè)備脫離生產(chǎn)環(huán)境前應(yīng)清空所有網(wǎng)絡(luò)配置。三、骨干網(wǎng)絡(luò)設(shè)備應(yīng)有備份，接入網(wǎng)絡(luò)設(shè)備原那么上應(yīng)按5%比例備份。四、網(wǎng)絡(luò)構(gòu)造和網(wǎng)絡(luò)配置應(yīng)最大限度地保證網(wǎng)絡(luò)的強(qiáng)健性、平安性。五、企業(yè)網(wǎng)應(yīng)根據(jù)需要?jiǎng)澐植煌腣LAN,并通過(guò)訪問(wèn)控制列表控制各VLAN的訪問(wèn)權(quán)限。六、內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)未經(jīng)批準(zhǔn)不得安裝網(wǎng)絡(luò)探測(cè)軟件，嚴(yán)格禁止安裝任何黑客軟件。七、生產(chǎn)網(wǎng)絡(luò)和測(cè)試網(wǎng)絡(luò)必須實(shí)行別離，嚴(yán)禁在生產(chǎn)環(huán)境中做各種類(lèi)型的業(yè)務(wù)測(cè)試。第二十五條加強(qiáng)外聯(lián)網(wǎng)絡(luò)平安管理，詳細(xì)要求如下：一、外聯(lián)網(wǎng)絡(luò)平安遵循最小權(quán)限原那么，訪問(wèn)控制策略是〃允許必須，禁止其他〃。二、外聯(lián)網(wǎng)絡(luò)在穿過(guò)不可控區(qū)域時(shí)數(shù)據(jù)傳輸原那么上應(yīng)采用加密技術(shù)。三、制定外聯(lián)網(wǎng)絡(luò)方案時(shí)應(yīng)注意保守本公司網(wǎng)絡(luò)拓?fù)錁?gòu)造、IP地址、端口、平安策略等機(jī)密，并注意了解對(duì)方網(wǎng)絡(luò)構(gòu)造及其變化情況。第二十六條加強(qiáng)互聯(lián)網(wǎng)平安管理，詳細(xì)要求如下：一、互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)必須有相關(guān)的邏輯隔離，涉及國(guó)家機(jī)密的信息不得通過(guò)互聯(lián)網(wǎng)傳輸。二、不得訪問(wèn)有關(guān)黑客網(wǎng)站，不得下載、安裝黑客軟件。［三）負(fù)責(zé)對(duì)XX公司統(tǒng)一的兩個(gè)互聯(lián)網(wǎng)出口進(jìn)行管理，配置防火墻等信息平安設(shè)備；會(huì)同保密處對(duì)公司本部互聯(lián)網(wǎng)上網(wǎng)行為進(jìn)行管理；〔四〕對(duì)XX公司統(tǒng)一建設(shè)的信息系統(tǒng)制定專(zhuān)項(xiàng)運(yùn)維管理方法，明確信息系統(tǒng)平安管理要求，界定兩級(jí)單位信息平安管理責(zé)任；［五）負(fù)責(zé)XX公司網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)拓?fù)涞热中缘男畔⑵桨补芾?。二、人力資源部（一〕負(fù)責(zé)人力資源平安相關(guān)管理工作。（二〕負(fù)責(zé)將信息平安策略培訓(xùn)納入年度職工培訓(xùn)計(jì)劃，并組織施行。三、各部門(mén)〔一〕負(fù)責(zé)本部門(mén)信息平安管理工作。（二）配合和協(xié)助業(yè)務(wù)主管部門(mén)完善相關(guān)制度建設(shè)，落實(shí)日常管理工作。四、所屬各單位（一）負(fù)責(zé)組織和協(xié)調(diào)本單位信息平安管理工作?！捕?duì)本單位建設(shè)的信息系統(tǒng)制定專(zhuān)項(xiàng)運(yùn)維管理方法，明確信息系統(tǒng)平安管理要求，報(bào)XX公司信息中心備案。第三章信息平安策略的基本要求第四條信息系統(tǒng)平安管理應(yīng)遵循下面八個(gè)原那么：一、主要領(lǐng)導(dǎo)人負(fù)責(zé)原那么；二、規(guī)范定級(jí)原那么；三、依法行政原那么；四、以人為本原那么；五、注重效費(fèi)比原那么；六、全面防范、突出重點(diǎn)原那么；七、系統(tǒng)、動(dòng)態(tài)原那么；八、特殊平安管理原那么。第五條公司保密委應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī)，組織制定公司信息平安策略，經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后，對(duì)員工及相關(guān)方進(jìn)行傳達(dá)和培訓(xùn)。第六條制定信息平安策略時(shí)應(yīng)充分考慮信息系統(tǒng)平安策略的“七定〃要求，即定方案、定崗、定位、定員、定目的、定制度、定工作流程。第七條信息平安策略主要包括下面內(nèi)容：一、信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)經(jīng)過(guò)中進(jìn)行平安風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定平安策略；二、對(duì)已投入運(yùn)行且已建立平安體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的平安漏洞；三、對(duì)平安體系的各種日志（如入侵檢測(cè)日志等）審計(jì)結(jié)果進(jìn)行研究，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的平安漏洞；四、定期分析信息系統(tǒng)的平安風(fēng)險(xiǎn)及漏洞、分析當(dāng)前黑客非常入侵的特點(diǎn)，及時(shí)調(diào)整平安策略；五、制定人力資源、物理環(huán)境、訪問(wèn)控制、操作、備份、系統(tǒng)獲取及維護(hù)、業(yè)務(wù)連續(xù)性等方面的平安策略，并施行。第八條公司保密委每年應(yīng)組織對(duì)信息平安策略的適應(yīng)性、充分性和有效性進(jìn)行評(píng)審，必要時(shí)組織修訂；當(dāng)公司的組織架構(gòu)、生產(chǎn)經(jīng)營(yíng)形式等發(fā)生重大變化時(shí)也應(yīng)進(jìn)行評(píng)審和修訂。第九條根據(jù)〃誰(shuí)主管、誰(shuí)負(fù)責(zé)〃的原那么，公司建立信息平安分級(jí)責(zé)任制，各層級(jí)落實(shí)信息系統(tǒng)平安責(zé)任。第四章人力資源平安管理第十條信息系統(tǒng)相關(guān)崗位設(shè)置應(yīng)知足下面要求：一、平安管理崗與其它任何崗位不得兼崗、混崗、代崗。二、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應(yīng)用管理崗不得兼崗、混崗。三、平安管理崗、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗、應(yīng)用管理崗、設(shè)備管理崗、技術(shù)檔案管理崗原那么上有人員備份。四、以上崗位人員調(diào)離必須辦理交接手續(xù)，所把握的口令應(yīng)立即更換或注銷(xiāo)該用戶(hù)。第十一條人力資源部在相關(guān)崗位任職要求中應(yīng)包含信息安全管理的相關(guān)條件和要求；將信息平安相關(guān)培訓(xùn)納入年度職工培訓(xùn)計(jì)劃，并組織施行。第五章信息系統(tǒng)物理和環(huán)境平安管理第十二條信息系統(tǒng)物理平安指為了保證信息系統(tǒng)平安可靠運(yùn)行，不致遭到人為或自然因素的危害，而對(duì)計(jì)算機(jī)設(shè)備、設(shè)施〔包括機(jī)房建筑、供電、空調(diào)）、環(huán)境、系統(tǒng)等采取適當(dāng)?shù)钠桨泊胧?。第十三條信息管理部門(mén)應(yīng)采取切實(shí)可行的物理防護(hù)手段或技術(shù)措施對(duì)物理周邊、物理入口、辦公及生產(chǎn)區(qū)域等進(jìn)行安全控制，防止無(wú)關(guān)人員未受權(quán)物理訪問(wèn)、損壞和干擾。第十四條信息管理部門(mén)應(yīng)加強(qiáng)對(duì)信息系統(tǒng)機(jī)房及配線間的平安管理，要求如下：一、工作人員需經(jīng)受權(quán)，方能且只能進(jìn)入中心機(jī)房的受權(quán)工作區(qū)；確因工作需要，需進(jìn)入非受權(quán)工作區(qū)時(shí)，需由該受權(quán)工作區(qū)人員陪同；做好機(jī)房出入登記〔格式見(jiàn)附錄3-3）。二、工作人員必須嚴(yán)格根據(jù)規(guī)定操作，未經(jīng)批準(zhǔn)不得超越本人職權(quán)范圍以外的操作；操作結(jié)束時(shí)，必須退出已進(jìn)入的操作畫(huà)面；最后離開(kāi)工作區(qū)域的人員應(yīng)將門(mén)關(guān)閉。三、非受權(quán)人員嚴(yán)禁操作中心機(jī)房UPS、專(zhuān)用空調(diào)、監(jiān)控、消防及UPS供配電設(shè)備設(shè)施。四、未經(jīng)受權(quán)，任何人員不得擅自拷貝數(shù)據(jù)和文件等資料。五、嚴(yán)禁將易燃、易爆、強(qiáng)磁性物品帶入中心機(jī)房；嚴(yán)禁在機(jī)房?jī)?nèi)吸煙。六、發(fā)生意外情況應(yīng)立即采取應(yīng)急措施，并及時(shí)向有關(guān)部門(mén)和領(lǐng)導(dǎo)報(bào)告。第六章信息系統(tǒng)資產(chǎn)管理第十五條信息管理部門(mén)應(yīng)對(duì)信息和信息系統(tǒng)設(shè)備設(shè)施等相關(guān)資產(chǎn)建立臺(tái)帳清單〔格式見(jiàn)附錄3-4〕，并定期對(duì)其進(jìn)行盤(pán)點(diǎn)清查。第十六條設(shè)備使用人應(yīng)對(duì)信息和信息系統(tǒng)設(shè)備設(shè)施、各類(lèi)存儲(chǔ)介質(zhì)等相關(guān)資產(chǎn)進(jìn)行標(biāo)識(shí)。標(biāo)識(shí)應(yīng)張貼在信息設(shè)備的明顯位置，做到信息完好、字跡明晰，并做好防脫落防護(hù)工作。第十七條信息管理部門(mén)應(yīng)對(duì)主機(jī)進(jìn)行控制管理，要求如下:一、關(guān)鍵業(yè)務(wù)生產(chǎn)系統(tǒng)中的主機(jī)原那么上應(yīng)采用雙機(jī)熱備份方式或n+m的多主機(jī)方式，確保軟件運(yùn)行環(huán)境可靠；二、一般業(yè)務(wù)生產(chǎn)系統(tǒng)中的主機(jī)、生產(chǎn)用PC前置機(jī)，關(guān)鍵設(shè)備能夠采用軟硬件配置完全一樣的設(shè)備來(lái)實(shí)現(xiàn)冷備份；三、各類(lèi)設(shè)備在采購(gòu)時(shí)技術(shù)規(guī)格中應(yīng)明確服務(wù)響應(yīng)時(shí)間、備品備件、現(xiàn)場(chǎng)服務(wù)等方面的要求，核心服務(wù)器、存儲(chǔ)相應(yīng)時(shí)間一般不高于4小時(shí)。第十八條各相關(guān)部門(mén)應(yīng)加強(qiáng)信息設(shè)備安裝、調(diào)試、維護(hù)、維修、報(bào)廢等環(huán)節(jié)的管理工作，防止因信息設(shè)備喪失、損壞、失竊以及資產(chǎn)報(bào)廢處置不當(dāng)引起的信息泄露。第七章信息系統(tǒng)訪問(wèn)控制及操作平安管理第十九條公司將系統(tǒng)運(yùn)行平安按粒度從粗到細(xì)分為四個(gè)層次：系統(tǒng)級(jí)平安、資源訪問(wèn)平安、功能性平安、數(shù)據(jù)域安全。一、系統(tǒng)級(jí)平安策略包括：敏感系統(tǒng)的隔離、訪問(wèn)地址段的限制、登錄時(shí)間段的限制、會(huì)話時(shí)間的限制、連接數(shù)的限制、特定時(shí)間段內(nèi)登錄次數(shù)的限制以及遠(yuǎn)程訪問(wèn)控制等。系統(tǒng)級(jí)平安是應(yīng)用系統(tǒng)的第一道防護(hù)大門(mén)。二、資源訪問(wèn)平安策略包括：對(duì)程序資源的訪問(wèn)進(jìn)行平安控制，在客戶(hù)端上，為用戶(hù)提供和其權(quán)限相關(guān)的用戶(hù)界面，僅出現(xiàn)和其權(quán)限相符的菜單和操作按鈕；在服務(wù)端那么對(duì)URL程序資源和業(yè)務(wù)服務(wù)類(lèi)方法的調(diào)用進(jìn)行訪問(wèn)控制。三、功能性平安策略包括：功能性平安會(huì)對(duì)程序流程產(chǎn)生影響，如用戶(hù)在操作業(yè)務(wù)記錄時(shí)，能否需要審核，上傳附件不能超過(guò)指定大小等。四、數(shù)據(jù)域平安策略包括：一是行級(jí)數(shù)據(jù)域平安，即用戶(hù)能夠訪問(wèn)哪些業(yè)務(wù)記錄，一般以用戶(hù)所在單位為條件進(jìn)行過(guò)濾;二是字段級(jí)數(shù)據(jù)域平安，即用戶(hù)能夠訪問(wèn)業(yè)務(wù)記錄的哪些字段。第二十條用戶(hù)管理應(yīng)建立用戶(hù)身份識(shí)別與驗(yàn)證機(jī)制，防止非法用戶(hù)進(jìn)入應(yīng)用系統(tǒng)。詳細(xì)要求如下：一、公司根據(jù)相關(guān)的訪問(wèn)控制策略