集團(tuán)公司信息安全管理制度

《xx集團(tuán)信息安全管理制度》1.總則 21.1信息安全定義 21.2確保信息安全的重要性 21.3本制度適用范圍 21.4責(zé)任 22.信息資產(chǎn)安全管理 22.1信息資產(chǎn)分類 22.2信息資產(chǎn)管理 33.人力資源安全 33.1新進(jìn)員工管理 33.2信息系統(tǒng)權(quán)限管理 34.機(jī)房與環(huán)境安全 34.1機(jī)房位置選擇 34.2機(jī)房防護(hù)措施 34.3出入機(jī)房規(guī)定 44.4機(jī)房巡檢制度 45.網(wǎng)絡(luò)安全 45.1上網(wǎng)行為管理 45.2防火墻制度 45.3虛擬私人網(wǎng)絡(luò)（VPN） 45.4Internet安全 45.5虛擬局域網(wǎng)（VLAN） 55.6微博、微信管理 56.密碼安全與保密制度 56.1服務(wù)器操作系統(tǒng)超級用戶密碼 56.2數(shù)據(jù)庫超級用戶密碼 56.3其他系統(tǒng)超級用戶密碼 56.4個人pc密碼 56.5信息保密制度 57.數(shù)據(jù)庫、應(yīng)用與服務(wù)器安全 67.1建立磁盤陣列RAID 77.2數(shù)據(jù)庫備份 67.3數(shù)據(jù)庫權(quán)限管理 67.4直接修改數(shù)據(jù)庫數(shù)據(jù)流程 67.5信息的異地備份 67.6機(jī)密數(shù)據(jù)加密 67.7應(yīng)用程序版本管理 78.病毒防范制度 78.1殺毒軟件與殺毒 78.2病毒防范行為 71.總則1.1信息安全定義信息安全是指為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。定義包含了幾個層面的概念，其中計算機(jī)硬件可以看做是物理層面，軟件可以看做是運行層面，和數(shù)據(jù)層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機(jī)密性。1.2確保信息安全的重要性信息系統(tǒng)是企業(yè)業(yè)務(wù)活動正常運行的基礎(chǔ)，信息安全是企業(yè)業(yè)務(wù)活動正常運行的保障。xx集團(tuán)是一家規(guī)范的多元化產(chǎn)業(yè)公司群，擁有大量的金融、財務(wù)、人力資源、客戶等涉密信息，網(wǎng)絡(luò)化，數(shù)字化使得這些信息雖然容易被存放，也極其容易被泄露、盜取和挪用。所以建立信息安全制度顯得十分必要。1.3本制度適用范圍除了xx集團(tuán)信息管理中心全體職員外，本制度還適用于使用、維護(hù)信息系統(tǒng)或使用信息工具的全體xx集團(tuán)職員。1.4責(zé)任在信息安全制度的涉及范圍內(nèi)，每個單位、部門的信息安全由部門負(fù)責(zé)人或由其指定專人來負(fù)責(zé)。2.信息資產(chǎn)安全管理2.1信息資產(chǎn)分類信息資產(chǎn)按照機(jī)密性分為普通、敏感與機(jī)密三類。2.2信息資產(chǎn)管理1.敏感與機(jī)密信息在傳輸和存儲時均需標(biāo)示其等級。2.敏感與機(jī)密信息欲復(fù)制、攜帶外出時，應(yīng)提出申請載明申請用途，經(jīng)單位負(fù)責(zé)人及集團(tuán)信息管理中心負(fù)責(zé)人授權(quán)核準(zhǔn)后，加密后攜離使用。3.可攜帶存儲媒體（磁盤、光盤、移動硬盤、U盤等）若存儲敏感與機(jī)密信息，保存時需于枷鎖櫥柜內(nèi)。必須注意防磁、防潮、防火、防盜，必須垂直放置。4.單位、部門敏感與機(jī)密信息應(yīng)由單位、部門負(fù)責(zé)人管理，集團(tuán)敏感與機(jī)密信息應(yīng)由集團(tuán)辦公室負(fù)責(zé)人管理。5.敏感與機(jī)密信息不得使用網(wǎng)絡(luò)、傳真等方式傳送。6.敏感與機(jī)密信息應(yīng)采用加密方法進(jìn)行保護(hù)，并考慮使用技術(shù)手段，防止信息在未經(jīng)過授權(quán)的情況下遭到篡改。7.敏感與機(jī)密信息應(yīng)執(zhí)行權(quán)限管理與異地備份機(jī)制。3.人力資源安全3.1新進(jìn)員工管理1.新員工簽署勞動合同時，要明確信息安全責(zé)任，使新員工從一開始就了解公司對信息安全的要求，增加員工的安全印象。2.對新員工進(jìn)行崗前教育與培訓(xùn)，使員工在較短時間內(nèi)熟悉組織的信息安全政策和程序。3.明確規(guī)定員工必須遵守國家的法律法規(guī)的信息安全政策，任何與法律法規(guī)安全政策相違背的行為，都被視為安全事件并受到相應(yīng)懲罰。4.根據(jù)新員工的崗位職能，分配相應(yīng)系統(tǒng)的使用權(quán)限。3.2信息系統(tǒng)權(quán)限管理1.任何信息系統(tǒng)必須具有權(quán)限管理功能。對于用戶較多的大型系統(tǒng)，可使用區(qū)域、組別、個人三級管理；而對于用戶數(shù)量一般的中型系統(tǒng)，可使用組別、個人進(jìn)行二級管理。2.為確保金融、財務(wù)等關(guān)鍵系統(tǒng)準(zhǔn)確無誤，系統(tǒng)中相關(guān)數(shù)據(jù)必須由一人錄入，另一個審核。數(shù)據(jù)的錄入人員和審核人員不能為同一人。3.信息安全負(fù)責(zé)人負(fù)責(zé)信息系統(tǒng)權(quán)限管理和分配工作。如果是全公司員工都需使用系統(tǒng)，如OA，由集團(tuán)辦公室負(fù)責(zé)系統(tǒng)權(quán)限管理和分配工作。4.各單位的信息技術(shù)部門人員負(fù)責(zé)權(quán)限管理的實施工作。3.2.1信息系統(tǒng)權(quán)限申請流程1.員工填寫《信息系統(tǒng)權(quán)限申請審批表》時（附表1，以下簡稱“審批表”），應(yīng)注明員工工號、姓名，權(quán)限區(qū)域、組別，申請理由等必要內(nèi)容。2.“審批表”交由所在單位的信息安全負(fù)責(zé)人審核信息后簽名確認(rèn)，并提交集團(tuán)信息管理中心信息技術(shù)部。3.“審批表”經(jīng)集團(tuán)信息管理中心信息技術(shù)部安全負(fù)責(zé)人審核簽名確認(rèn)后，由信息技術(shù)部開通權(quán)限。4.原則上登陸系統(tǒng)的用戶名與申請員工工號一致，初始密碼是password或統(tǒng)一標(biāo)記。如果不是，則通過郵件告知申請人員。5.申請人員得到系統(tǒng)使用權(quán)限后，需立即登陸系統(tǒng)，并修改初始密碼。如不修改，所造成的后果自負(fù)。3.2.2信息系統(tǒng)權(quán)限變更流程1.信息系統(tǒng)權(quán)限變更流程適用于人員調(diào)崗、離崗、轉(zhuǎn)崗、離職等變化情況。2.“審批表”應(yīng)注明員工工號，姓名，變更（撤銷）權(quán)限原因，變更（撤銷）權(quán)限區(qū)域、組別等必要內(nèi)容。3.交由所在單位的信息安全負(fù)責(zé)人審核信息后簽名確認(rèn)，并提交集團(tuán)信息管理中心信息技術(shù)部。4.“審批表”經(jīng)集團(tuán)信息管理中心信息技術(shù)部安全負(fù)責(zé)人審核簽名確認(rèn)后，由信息技術(shù)調(diào)整或撤銷權(quán)限。4.機(jī)房與環(huán)境安全4.1機(jī)房位置選擇1.機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房的承重要求應(yīng)滿足設(shè)計要求，不能建立在地下室，以及用水設(shè)備的下層或者隔壁。2.機(jī)房場地應(yīng)當(dāng)避開強電場、強磁場、強振動源、強噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)4.2機(jī)房防護(hù)措施1.防雷擊。機(jī)房建筑應(yīng)設(shè)置避雷針；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置交流電源接地。2.防火。應(yīng)設(shè)置火宅自動消防系統(tǒng)，自動檢測火情，自動報警。機(jī)房建筑材料應(yīng)具有耐火等級。3.防水與防潮。水管安裝不得穿過屋頂和活動地板下；應(yīng)采取措施防止雨水通過屋頂和墻壁。4.溫濕度控制。應(yīng)設(shè)置恒溫恒濕系統(tǒng)，使機(jī)房溫度、濕度的變化在設(shè)備運行所允許的范圍內(nèi)。5.防靜電。應(yīng)采用必要的接地等防靜電措施；應(yīng)采用防靜電地板。6.防電力中斷。應(yīng)采用UPS和備用電源平衡管理，當(dāng)發(fā)生突然停電時，不產(chǎn)生閃斷現(xiàn)象。4.3出入機(jī)房規(guī)定1.機(jī)房大門配置電子門禁，除機(jī)房巡檢人員、信息技術(shù)部經(jīng)理、集團(tuán)信息管理中心總監(jiān)、集團(tuán)負(fù)責(zé)人外，其他人員一律不得進(jìn)入機(jī)房。2.外來人員須進(jìn)入機(jī)房的，要填寫《機(jī)房出入申請審批單》（附表2），經(jīng)過集團(tuán)信息管理中心信息技術(shù)部門安全負(fù)責(zé)人審核批準(zhǔn)后，才能進(jìn)入。3.機(jī)房內(nèi)安裝監(jiān)控裝置，保留15天以上的攝像記錄。4.4機(jī)房巡檢制度1.機(jī)房管理員每天早（9:00）晚（17:00）巡視機(jī)房各個設(shè)備，認(rèn)真填寫《機(jī)房巡檢單》（附表3）。發(fā)現(xiàn)設(shè)備故障，記錄并立即報告信息技術(shù)部運維經(jīng)理、總監(jiān)。2.信息技術(shù)部運維經(jīng)理、總監(jiān)不定時抽查機(jī)房巡檢員日常巡檢工作，發(fā)現(xiàn)漏巡檢、晚巡檢等違規(guī)行為，嚴(yán)肅處理。3.《機(jī)房巡檢單》每月匯總，封存入信息技術(shù)部檔案。5.網(wǎng)絡(luò)安全5.1上網(wǎng)行為管理1.防止非法信息惡意傳播，避免企業(yè)機(jī)密信息泄漏；并可實時監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率，建立上網(wǎng)行為管理制度。2.由集團(tuán)辦公室確定嚴(yán)禁上網(wǎng)行為，例如：網(wǎng)上購物，在線聊天，在線觀看電影、視頻、P2P等，信息技術(shù)部配合實現(xiàn)上網(wǎng)行為管理。3.特殊崗位需開發(fā)某些上網(wǎng)行為的，報集團(tuán)辦公室審批同意后，由信息技術(shù)部門配合實現(xiàn)上網(wǎng)行為管理。5.2防火墻制度 1.防止公司信息系統(tǒng)遭到來自外部人員的任何非法攻擊和入侵，需要將公司內(nèi)部局域網(wǎng)與Internet通過硬件防火墻進(jìn)行隔離。信息技術(shù)部負(fù)責(zé)建立、配置、管理硬件防火墻。 2.集團(tuán)下屬任何單位及部門（或個人）都不得關(guān)閉PC端操作系統(tǒng)防火墻，一旦發(fā)現(xiàn)造成系統(tǒng)損壞、數(shù)據(jù)丟失，后果自負(fù)。5.3虛擬私人網(wǎng)絡(luò)（VPN） 1.VPN技術(shù)是企業(yè)常用的網(wǎng)絡(luò)安全技術(shù)之一。VPN利用公共網(wǎng)絡(luò)建立專用網(wǎng)絡(luò)，屏蔽了網(wǎng)絡(luò)之外所有用戶。信息技術(shù)部提供技術(shù)，負(fù)責(zé)建立集團(tuán)總部與各公司之間的VPN網(wǎng)絡(luò)。 2.為提高VPN安全級別，信息技術(shù)部負(fù)責(zé)不定期地更換接連密碼和加密方式。 3.進(jìn)入VPN網(wǎng)絡(luò)的集團(tuán)、各公司成員不得泄露連接密碼、加密方式和靜態(tài)地址，一旦發(fā)現(xiàn)，嚴(yán)肅查處。造成后果的由責(zé)任人自負(fù)。5.4Internet安全 1.信息技術(shù)部負(fù)責(zé)運用各種信息技術(shù)提高集團(tuán)各公司官網(wǎng)的安全級別，防止非法攻擊。2.信息技術(shù)部負(fù)責(zé)運用PKI、數(shù)字簽名等各種技術(shù)提高業(yè)務(wù)交易平臺的安全級別，防止非法攻擊和敏感與機(jī)密信息泄露。3.員工瀏覽Internet時，不得降低瀏覽器安全級別，不得瀏覽非法網(wǎng)站，一經(jīng)發(fā)現(xiàn)，后果自負(fù)。5.5虛擬局域網(wǎng)（VLAN）1.增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性，信息技術(shù)部負(fù)責(zé)建立集團(tuán)辦公場所VLAN。2.集團(tuán)辦公場所員工不得更改IP地址。5.6微博、微信管理1.員工可以個人名義通過公司微博、微信、BBS平臺，轉(zhuǎn)發(fā)公司信息。2.以公司名義對外發(fā)布的信息，統(tǒng)一經(jīng)集團(tuán)辦公室批準(zhǔn)。3.信息技術(shù)部負(fù)責(zé)監(jiān)控公司微博、微信、BBS平臺，發(fā)現(xiàn)反動、黃色、侵害公司形象的信息，有權(quán)立刻刪除，并向有關(guān)領(lǐng)導(dǎo)（包含但不僅限于集團(tuán)信息、人事、行政負(fù)責(zé)人等）進(jìn)行匯報。6.密碼安全與保密制度6.1服務(wù)器操作系統(tǒng)超級用戶密碼1.信息技術(shù)部項目工程師擁有所負(fù)責(zé)項目系統(tǒng)的超級用戶密碼。2.信息技術(shù)部總監(jiān)、運維部經(jīng)理、機(jī)房巡查員擁有所有服務(wù)器操作系統(tǒng)超級用戶密碼。3.超級用戶密碼以每月為周期，由運維部經(jīng)理、項目工程師、機(jī)房巡查員到場一起修改，并報備總監(jiān)。4.各臺服務(wù)器操作系統(tǒng)的超級用戶密碼必須不一致。6.2數(shù)據(jù)庫超級用戶密碼1.信息技術(shù)部項目工程師擁有所負(fù)責(zé)項目數(shù)據(jù)庫的超級用戶密碼。2.信息技術(shù)部總監(jiān)、運維部經(jīng)理擁有所有數(shù)據(jù)庫超級用戶密碼。3.超級用戶密碼以每月為周期，由運維部經(jīng)理、項目工程師到場一起修改，并報備總監(jiān)。4.每個數(shù)據(jù)庫的超級用戶密碼必須不一致。6.3其他系統(tǒng)超級用戶密碼1.信息技術(shù)部項目工程師擁有所負(fù)責(zé)項目的超級用戶密碼。2.信息技術(shù)部總監(jiān)、運維部經(jīng)理擁有所有系統(tǒng)超級用戶密碼。6.4個人pc密碼1.員工新領(lǐng)pc后，需修改登陸密碼。個人密碼不應(yīng)過于簡單，不應(yīng)記錄在筆記本上，被人破譯或盜用。2.員工使用完畢各應(yīng)用系統(tǒng)后，需安全退出，防止被他人使用。6.5信息保密制度1.涉密信息不得通過任何途徑傳播和存儲，一旦發(fā)現(xiàn)，要追求個人責(zé)任。2.員工妥善保管好自己的密碼，不得向其他人泄露。一旦發(fā)生泄露導(dǎo)致公司財產(chǎn)損失，要追究個人責(zé)任。3.信息技術(shù)部研發(fā)的任何軟件、代碼、圖片、界面等屬于公司財產(chǎn)，不得以任何形式向外部人員提供、泄露。7.數(shù)據(jù)庫、應(yīng)用與服務(wù)器安全7.1建立磁盤陣列RAID1.RAID通過在多個磁盤上通過數(shù)據(jù)校驗提供容錯功能，確保服務(wù)器運行安全。2.記錄不可復(fù)制且保密程度較高數(shù)據(jù)的服務(wù)器（如用友NC數(shù)據(jù)庫服務(wù)器），采用基于數(shù)據(jù)分條+數(shù)據(jù)鏡像磁盤結(jié)構(gòu)（RAID0+1）方式?？梢源_保在一半磁盤全部損壞前，完全保存數(shù)據(jù)。3.記錄一般數(shù)據(jù)的服務(wù)器，采用分布式奇偶校驗的獨立磁盤結(jié)構(gòu)（RAID5）方式?？梢源_保在兩塊磁盤全部損壞前，完全保存數(shù)據(jù)。4.信息技術(shù)部項目工程師負(fù)責(zé)建立、維護(hù)相關(guān)服務(wù)器RAID工作，檢查磁盤工作狀態(tài)。7.2數(shù)據(jù)庫備份1.數(shù)據(jù)庫是保存最終數(shù)據(jù)的介質(zhì)，通過建立備份與災(zāi)難恢復(fù)策略，確保數(shù)據(jù)完整。2.數(shù)據(jù)庫每日零點進(jìn)行完全備份，15天循環(huán)覆蓋，存放在數(shù)據(jù)庫服務(wù)器上。3.信息技術(shù)部項目工程師負(fù)責(zé)建立、維護(hù)相關(guān)數(shù)據(jù)庫備份，檢驗備份文件狀態(tài)。7.3數(shù)據(jù)庫權(quán)限管理1.信息技術(shù)部數(shù)據(jù)庫工程師負(fù)責(zé)設(shè)計數(shù)據(jù)庫權(quán)限管理方案；項目工程師負(fù)責(zé)實施相關(guān)數(shù)據(jù)庫權(quán)限管理工作。2.除信息技術(shù)部項目工程師、運維部經(jīng)理、總監(jiān)外，任何人員不能得到數(shù)據(jù)庫超級用戶權(quán)限和密碼。3.按權(quán)限、管理組、人員三個維度設(shè)計數(shù)據(jù)庫權(quán)限，做到職責(zé)明確。7.4直接修改數(shù)據(jù)庫數(shù)據(jù)流程1.原則上在系統(tǒng)上線初始化后，不允許任何形式直接修改數(shù)據(jù)庫數(shù)據(jù)。2.數(shù)據(jù)庫設(shè)計時要建立修改行為觸發(fā)日志，為審計提供依據(jù)。3.數(shù)據(jù)庫維護(hù)人員僅有數(shù)據(jù)庫查詢權(quán)限。需要直接修改數(shù)據(jù)庫的，用戶可填寫《數(shù)據(jù)庫修改數(shù)據(jù)申請表》（附表4），報本部門總監(jiān)確認(rèn)簽字后，提交信息技術(shù)部。4.信息技術(shù)部總監(jiān)簽字確認(rèn)《數(shù)據(jù)庫修改數(shù)據(jù)申請表》后，由運維部經(jīng)理實施修改。7.5信息的異地備份1.異地備份數(shù)據(jù)是指在另外一個地方產(chǎn)生一個副本，在緊急情況下，副本可立即投入使用。2.建立異地備份存儲服務(wù)器，存放數(shù)據(jù)庫備份文件、應(yīng)用程序、和其他重要信息。3.異地備份存儲服務(wù)器，每天6點開始，提取各個數(shù)據(jù)庫備份文件，15天循環(huán)覆蓋。4.應(yīng)用程序?qū)嵭邪姹竟芾?，每個版本程序副本放置在異地備份存儲服務(wù)器上。5.信息技術(shù)部項目工程師負(fù)責(zé)相關(guān)系統(tǒng)的異地備份工作。7.6機(jī)密數(shù)據(jù)加密1.凡被認(rèn)定涉及個人隱私、經(jīng)濟(jì)利益而不能被公開的信息，稱為機(jī)密數(shù)據(jù)。機(jī)密數(shù)據(jù)不能以明文的形式保存或者傳輸，必須經(jīng)過加密手段處理。2.為確保交易者隱私和信息安全，大大財富等交易平臺傳輸