信息安全方針

1、陜西廣電網(wǎng)絡(luò)傳媒股份有限公司陜西廣電網(wǎng)絡(luò)傳媒股份有限公司 信息安全信息安全方針方針 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針 文檔信息文檔信息 機 密級分類 版本版本日期日期人員人員更新說明更新說明 V1.02010-10-27 版 版本控制 審核人審核人職務(wù)職務(wù)審核日期審核日期 文 文檔審核 批準人批準人職務(wù)職務(wù)批準日期批準日期 文 文檔批準 部門部門人員人員文檔權(quán)限文檔權(quán)限 復 分發(fā)控制 復查時間復查時間復查人員復查人員復查結(jié)果復查結(jié)果 復 復查計劃 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針 第一章第一章 總則總則 第一條為給信息安全工作提供清晰的指導方向，加強安全管理工作， 保證業(yè)務(wù)

2、系統(tǒng)的安全運營，特制定本方針。 第二條信息安全工作是企業(yè)運營與發(fā)展的基礎(chǔ)和核心，是保證網(wǎng)絡(luò)品 質(zhì)的基礎(chǔ)，是保障客戶利益的基礎(chǔ)，也是國家安全的需要，因此必須重視網(wǎng)絡(luò) 與信息安全工作。 第三條信息安全是公司各部門所有員工共同分擔的責任，與每一個員 工的日常工作息息相關(guān)，所有員工必須提高認識，高度重視，從自己開始，堅 持不懈地做好網(wǎng)絡(luò)與信息安全工作。 第四條本方針適用于陜西廣電網(wǎng)絡(luò)傳媒股份有限公司全體員工。 第二章第二章 安全目標安全目標 第五條陜西廣電網(wǎng)絡(luò)傳媒股份有限公司的信息安全使命是： (一)保障業(yè)務(wù)正常和安全運行，保證業(yè)務(wù)連續(xù)性； (二)保護客戶隱私，保護客戶資料的機密性，維護客戶的利益 ；

3、 (三)保護公司的商業(yè)機密和技術(shù)機密，維護公司的利益； 第六條陜西廣電網(wǎng)絡(luò)傳媒股份有限公司的信息安全愿景是： 建立行業(yè)一流的信息安全保障體系。 第三章第三章 安全工作基本原則安全工作基本原則 第七條安全工作應(yīng)遵循以下基本原則： (一)“分級保護”原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風 險大小等因素決定各類信息的安全保護級別，分級保護，合理投資。 (二) “同步規(guī)劃、同步建設(shè)、同步運行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系 統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng) 帶來危害。 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針 (三)“三分技術(shù)、七分管理”原則：網(wǎng)絡(luò)與信息安全不是單

4、純的技術(shù) 問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全 管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。 (四)“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威 脅的同時，加強規(guī)范內(nèi)部人員行為和審計機制。 (五)“整體規(guī)劃，分步實施”原則：需要對公司信息安全建設(shè)進行整 體規(guī)劃，分步實施，逐步建立完善的信息安全體系。 (六)“風險管理”原則：進行安全風險管理，確認可能影響信息系統(tǒng) 的安全風險，并以較低的成本將其降低到可接受的水平。 (七)“適度安全”原則：沒有絕對的安全，安全和易用性是矛盾的， 需要做到適度安全，找到安全和易用性的平衡點。 第四章第四章 安全組織機構(gòu)

5、職責安全組織機構(gòu)職責 第八條公司信息安全領(lǐng)導小組是由公司主管信息安全工作的高層領(lǐng)導 主持，由公司信息安全主管與各部門主管組成的公司信息安全工作常設(shè)領(lǐng)導組 織，是公司信息安全工作的最高決策機構(gòu)和領(lǐng)導機構(gòu)，全面負責公司信息安全 各項工作，其成員包括：公司信息安全主管、各部門主管。公司信息安全領(lǐng)導 小組的主要職責是： 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針 1、負責公司的整體信息安全管理工作，負責公司信息資產(chǎn)的安全。 2、負責協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標、職責， 并支持和推動信息安全工作在本所范圍內(nèi)的實施。 3、負責對與信息安全管理有關(guān)的重大事項進行決策，包括信息安全組 織機構(gòu)

6、調(diào)整、信息安全關(guān)鍵人事變動、以及信息安全管理重大策略變 更、確認可接受的風險和風險水平等。 4、負責對信息安全管理進行評審，審批和發(fā)布信息安全方針、信息安 全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項。 5、評審與監(jiān)督重大信息安全事故的處理。 第九條公司信息安全工作小組是公司信息安全工作的執(zhí)行機構(gòu)，由公 司信息安全主管擔任組長，成員包括各部門安全管理員。公司信息安全工作小 組的職責是： 1、直接對信息安全管理領(lǐng)導小組負責，承擔信息安全的具體工作，協(xié) 助信息安全領(lǐng)導小組在信息安全事務(wù)上的決策。 2、負責信息安全政策的貫徹與落實，負責信息安全管理體系的建立、 實施和日常運行，起草信息安全政策，

7、確定信息安全管理標準，督促 各信息安全執(zhí)行部門對于信息安全政策、措施的實施。 3、負責制定違反信息安全政策行為的標準，并協(xié)助公司人力資源部和 下屬單位對違反信息安全政策的人員和事件進行確認。 4、負責信息安全事件的調(diào)查和記錄，對發(fā)生的每一起信息安全事件進 行調(diào)查，并將過程、原因和解決方法記錄在案。 5、負責定期召開信息安全工作會議，定期總結(jié)信息安全事件記錄報告， 并向信息安全領(lǐng)導小組匯報。 第十條公司信息安全主管，由公司信息安全領(lǐng)導小組產(chǎn)生，具體負 責信息安全管理的各項工作，并直接向信息安全領(lǐng)導小組匯報工作。公司信 息安全主管的職責是： 1、依照信息安全領(lǐng)導小組的統(tǒng)一部署，貫徹與協(xié)調(diào)落實公司的

8、信息安 全管理措施、技術(shù)措施、過程和程序。 2、 協(xié)調(diào)各部門與外部組織間有關(guān)的信息安全工作，并督促各部門對 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針 于信息安全管理措施、技術(shù)措施、過程和程序的實施和落實。 3、 依照信息安全風險評估和等級保護等相關(guān)標準的要求，組織各部 門常態(tài)化地進行信息安全風險評估和等級保護工作。 4、 進行信息安全事件的調(diào)查和記錄，對發(fā)生的每一起信息安全事件 進行調(diào)查，并將過程、原因和解決方法都記錄在案。 5、 定期召集信息安全工作會議，總結(jié)信息安全工作經(jīng)驗，向信息安 全領(lǐng)導小組匯報信息安全管理工作。 第十一條 公司各部門安全管理員，由公司各部門產(chǎn)生，具體負責部門 內(nèi)部信

9、息安全管理的各項工作，并直接向信息安全主管匯報工作。公司各部 門安全管理員的職責是： 1、根據(jù)公司信息安全工作小組的計劃和要求，組織協(xié)調(diào)落實本部門的 信息安全管理工作，整理、核查并歸檔本部門的信息安全記錄。 2、在本部門內(nèi)宣傳落實信息安全管理體系各項方針、政策、規(guī)范、辦 法與細則等文件，提高本部門人員的信息安全意識與技能。 第五章第五章 安全工作要求安全工作要求 第十二條 公司和各部門必須建立和完善信息安全管理規(guī)章制度和操作程 序，規(guī)范和加強信息安全管理工作，所有員工必須遵守與其相關(guān)的信息安全規(guī) 章制度。 第十三條 加強內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，在 所有崗位職責中明確信息

10、安全責任，要害工作崗位實現(xiàn)職責分離，關(guān)鍵事務(wù)雙 人臨崗，重要崗位要有人員備份，定期進行人員的安全審查。 第十四條 所有員工都應(yīng)簽署保密協(xié)議，并接受信息安全教育培訓，提高 安全意識，及時報告網(wǎng)絡(luò)與信息安全事件。 第十五條 必須加強第三方訪問和外包服務(wù)的安全控制，在風險評估的基 礎(chǔ)上制定安全控制措施，并與第三方公司和外包服務(wù)公司簽署安全責任協(xié)議， 明確其安全責任。 第十六條 各部門必須加強信息資產(chǎn)管理，建立和維護信息資產(chǎn)清單，維 陜西廣電網(wǎng)絡(luò)傳媒股份有限公司-信息安全方針 護最新的網(wǎng)絡(luò)拓撲圖，建立信息資產(chǎn)責任制，對信息資產(chǎn)進行分類管理和貼標 簽。 第十七條 加強機房和辦公區(qū)域的安全管理，為設(shè)備的正

11、常運行提供物理 和環(huán)境安全保障。 第十八條 建立日常維護操作規(guī)程和變更控制規(guī)程，規(guī)范日常運行維護操 作，嚴格控制和審批任何變更行為。 第十九條 加強項目建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù)系統(tǒng)“同 步規(guī)劃、同步建設(shè)、同步運行”，加強安全規(guī)劃、安全審批、安全驗收管理。 第二十條 加強防范惡意軟件，所有 Windows 機器必須安裝網(wǎng)絡(luò)防病毒系 統(tǒng)，定期更新病毒特征代碼，及時報告發(fā)現(xiàn)的病毒。 第二十一條按照補丁跟進和發(fā)布、補丁獲取、補丁測試、補丁加載、 補丁驗證、補丁歸檔這一流程進行補丁安全管理。 第二十二條建立維護作業(yè)計劃，嚴格執(zhí)行維護作業(yè)計劃，加強對設(shè)備、 操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的運行監(jiān)控，編寫日常運行維護報告。 第二十三條部署網(wǎng)絡(luò)層面和系統(tǒng)層面的訪問控制、安全審計以及安全 監(jiān)控技術(shù)措施，保障業(yè)務(wù)系統(tǒng)的安全運行。 第二十四條增強主機系統(tǒng)的安全配置，定期進行安全評估和安全加固。 第二十五條制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，定期更新、維護和測試，做 好數(shù)據(jù)備份工作，確保數(shù)據(jù)的及時恢復，保證數(shù)據(jù)的安全。 第二十六條加強用戶帳號和權(quán)限管理，按照最小特權(quán)原則為用戶分配 權(quán)限，避免出現(xiàn)共用帳號的情況。 第二十七條加強用戶口令的管理，口令長度至少 8 位，并采用數(shù)字、 字母和特殊字符的組合，定期修改用戶口令。 第二十八條加強應(yīng)用系統(tǒng)的安全管理，包