網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

1、XXXX有限公司W(wǎng)HB-08網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范版本號(hào) : A/0編制人： XXX審核人： XXX批準(zhǔn)人： XXX20XX 年 X 月 X 日發(fā)布 20XX 年 X 月 X 日實(shí)施1.0 目的計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。 為保證公司計(jì)算 機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行， 充分發(fā)揮信息服務(wù)方面的重要作用， 更好的為公司運(yùn) 營提供服務(wù)，依據(jù)國家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實(shí)際情況制定本規(guī)定。2.0 術(shù)語 本規(guī)范中的名詞術(shù)語（比如“計(jì)算機(jī)信息安全”等）符合國家以及行業(yè)的相關(guān)規(guī)定。2.1 計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、 破壞或使

2、信 息被非法系統(tǒng)辨識(shí)，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系 統(tǒng)安全、數(shù)據(jù)庫安全、病毒防護(hù)、訪問權(quán)限控制、加密與鑒別等七個(gè)方面。2.2 狹義上的計(jì)算機(jī)信息安全， 是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散， 防止計(jì) 算機(jī)網(wǎng)絡(luò)上處理、 傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞， 防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制 作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。2.3 網(wǎng)絡(luò)安全，是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用 戶對網(wǎng)絡(luò)資源的正常訪問和對網(wǎng)絡(luò)服務(wù)的正常使用。2.4 計(jì)算機(jī)及網(wǎng)絡(luò)安全員，是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。2.5 普通用戶， 是指除了計(jì)算機(jī)

3、及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問到互 聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。2.6 主機(jī)系統(tǒng)，指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱 的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的 Web服務(wù)器、 Email 服務(wù)器、 DNS服務(wù)器、 OA服務(wù)器、 企業(yè)運(yùn)營管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。2.7 網(wǎng)絡(luò)服務(wù)，包含通過開放端口提供的網(wǎng)絡(luò)服務(wù)，如 WW、WEmail 、FTP、Telnet 、DNS 等。2.8 有害信息，參見國家現(xiàn)在法律法規(guī)的定義。2.9 重大計(jì)算機(jī)信息安全事件，是指公司對外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有 害信息通過 Email

4、 及其他途徑大面積傳播或已造成較大社會(huì)影響； 計(jì)算機(jī)病毒的蔓延； 重 要文件、數(shù)據(jù)、資料被刪除、篡改、竊??；由安全問題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部 癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷； 系統(tǒng)被入侵；頁面被非法替換或者修改；主機(jī)房及設(shè)備 被人為破壞；重要計(jì)算機(jī)設(shè)備被盜竊等事件。3.0 組織架構(gòu)及職責(zé)分工3.1 公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī) 構(gòu)，統(tǒng)一歸口負(fù)責(zé)外部部門 （政府和其他部門） 有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。3.3 計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制 度和措施，加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo)， 落

5、實(shí)國家有關(guān)計(jì)算機(jī)信息安全的法律、 法規(guī)和上級有關(guān)規(guī)定，保障公司的計(jì)算機(jī)信息的安全。3.4 計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰主管，誰負(fù)責(zé)”的原則，各部門負(fù)責(zé)人對本部門 計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。3.5 各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員， 并報(bào)公司計(jì)算 機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。 各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng) 絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。3.6 相關(guān)崗位信息安全職責(zé)：1）負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施，及時(shí)掌握和處理有關(guān)信息安 全問題。2）定期或不定期檢測本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時(shí)

6、報(bào)告，并提出整改意見、建議和技術(shù)措施。3）指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè) 置使用的情況。4）發(fā)現(xiàn)計(jì)算機(jī)信息安全問題，及時(shí)處理，保護(hù)現(xiàn)場，追查原因，并報(bào)部門計(jì)算機(jī)信 息安全領(lǐng)導(dǎo)小組。5）定期分析計(jì)算機(jī)安全系統(tǒng)日志，并作相應(yīng)處理。6）驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對象的安全控制方法和措施的有效性，對于不符合安全 控制要求的提出技術(shù)整改措施，對本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。7）負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。8）負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。9）定期分析操作系統(tǒng)日志 , 定期或不定期檢查系統(tǒng)進(jìn)程， 在發(fā)現(xiàn)異

7、常的系統(tǒng)進(jìn)程或者 系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。10）負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。11）進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、 文件的恢復(fù) 以及安全漏洞的修補(bǔ)。12）在正常的系統(tǒng)升級后，對系統(tǒng)重新進(jìn)行安全設(shè)置，并對系統(tǒng)進(jìn)行技術(shù)安全檢查。13）根據(jù)上級和本級計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求， 按照規(guī)定的流程進(jìn)行系統(tǒng)升級或安 全補(bǔ)丁程序的安裝14）管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口， 并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。15）根據(jù)數(shù)據(jù)備份策略， 完成所管理系統(tǒng)數(shù)據(jù)的備份、 備份介質(zhì)保管、 數(shù)據(jù)恢復(fù)工作。1）自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定

8、。2）負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。3）發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件， 及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。4）不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)、集線器、光纖、 網(wǎng)線），不得私自接入網(wǎng)絡(luò)。3.7 各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對穩(wěn)定， 并加強(qiáng)對計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育 和技術(shù)培訓(xùn)。 在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、 離職或者其他原因離開原崗位時(shí)， 應(yīng)將其涉及 的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。4.0 系統(tǒng)安全規(guī)定4.1 公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理， 并建立出入登記和審批制度。 攜帶計(jì)算 機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、 出主機(jī)房， 應(yīng)經(jīng)主

9、管部門同意， 并由機(jī)房管理人員進(jìn)行核查 登記。4.2 各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理， 做好計(jì)算機(jī)設(shè)備的 增添、維修、調(diào)撥等的審核與管理。 計(jì)算機(jī)設(shè)備維修特別是需離場維修或承包給企業(yè)外部 人員維護(hù)、 維修時(shí)，應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、 不宜公開的內(nèi)部資料和賬 號(hào)、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。4.3 使用、操作計(jì)算機(jī)設(shè)備時(shí)，應(yīng)遵循以下安全要求：1）保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令，并不定期更換口令，不 得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。2）不安裝和使用來歷不明、沒有版權(quán)的軟件，對于外來的軟件、數(shù)據(jù)文件等，必須 先經(jīng)病毒檢

10、測，確認(rèn)無感染、攜帶病毒后方可使用。3）不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無關(guān)的軟件。4）不擅自更改設(shè)備的 IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。5）在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上，應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。6）在個(gè)人計(jì)算機(jī)上安裝防病毒軟件，并開啟實(shí)時(shí)病毒監(jiān)測功能，及時(shí)升級病毒庫和 軟件。7）非經(jīng)計(jì)算機(jī)管理部門的有效許可，不得對網(wǎng)絡(luò)進(jìn)行安全（漏洞）掃描和對賬號(hào)、 口令及數(shù)據(jù)包進(jìn)行偵聽； 不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、 散布病毒和發(fā)布有害信息。 在 網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。5.0 賬號(hào)管理安全5.1 賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。 唯一性原則

11、是指每個(gè)賬號(hào)對應(yīng)一個(gè)用戶，不允許多人共同擁有同一賬號(hào)。 必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配，不能根據(jù)個(gè)人需 要、職位進(jìn)行分配， 禁止與所管理主機(jī)系統(tǒng)無關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào)， 要根據(jù)工 作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。最小授權(quán)原則是指對賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制， 其權(quán)限不能大于其工作、 業(yè)務(wù)需要。 超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。5.2 系統(tǒng)中所有的用戶（包括超級權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。5.3 嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。5.4 員工發(fā)生工作變動(dòng)， 必須重新審核其賬號(hào)的必要性和權(quán)限， 及時(shí)取消非必要的賬號(hào)和 調(diào)整賬號(hào)權(quán)限；

12、如員工離開本部門，須立即取消其賬號(hào)。5.5 在本部門每個(gè)應(yīng)用系統(tǒng)、 網(wǎng)絡(luò)工程驗(yàn)收后， 應(yīng)立即刪除系統(tǒng)中所有的測試賬號(hào)和臨時(shí) 賬號(hào)，對需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。5.6 系統(tǒng)管理員必須定期對系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核， 發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí) 核實(shí)并作相應(yīng)的處理，對長期不用的用戶賬號(hào)進(jìn)行鎖定。5.7 一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。 在特殊情況下（如系統(tǒng)維修、 升級等）外部人員需要進(jìn)入系統(tǒng)操作， 必須由系統(tǒng)管理員進(jìn)行登錄， 并對操作過程進(jìn)行記 錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。6.0 口令安全管理6.1 口令的選取、組成、長度、修改周期應(yīng)符合安全規(guī)定。禁止使

13、用名字、姓氏、電話號(hào) 碼、生日等容易猜測的字符串作為口令， 也不要使用單個(gè)單詞作為口令， 在口令組成上必 須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合，口令長度要求在 8 位以上。6.2 重要的主機(jī)系統(tǒng)，要求至少每個(gè)月修改口令，對于管理用的工作站和個(gè)人計(jì)算機(jī)，要 求至少每兩個(gè)月修改口令。6.3 重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。6.4 本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。6.5 軟件安全管理：6.1 不安裝和使用來歷不明、沒有版權(quán)的軟件。6.2 不得在重要的主機(jī)系統(tǒng)上安裝測試版的軟件。6.3 開發(fā)、修改應(yīng)用系統(tǒng)時(shí)，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集

14、、傳輸、處理、存貯，訪問控制等方面進(jìn)行論證，測試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測試、驗(yàn) 收。6.4 操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、 升級和 打安全補(bǔ)丁。6.5 個(gè)人計(jì)算機(jī)上不得安裝與工作無關(guān)的軟件。 在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供 服務(wù)和應(yīng)用無關(guān)的其它軟件。6.6 系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對可能的攻擊嘗試、非授權(quán)訪問提出警告。6.7 主機(jī)系統(tǒng)的服務(wù)器、 工作站所使用的操作系統(tǒng)必須進(jìn)行登記。 登記記錄上應(yīng)該標(biāo)明廠 家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級的時(shí)間等內(nèi)容，并進(jìn)行存檔保存。6.8 重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、 重新安裝或者升級時(shí)

15、應(yīng)建立系統(tǒng)鏡像， 在發(fā)生網(wǎng)絡(luò)安全 問題時(shí)利用系統(tǒng)鏡像對系統(tǒng)進(jìn)行完整性檢查。7.0 服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)（如防火墻、入侵檢測系統(tǒng)等）等應(yīng)具備日志功 能并必須啟用。 網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志， 在發(fā)現(xiàn)系 統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù)，對網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、 跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。8.0 新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。9.0 互聯(lián)網(wǎng)信息安全9.1 公司對外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害 信息傳播。9.2 各部門搭建的電子

16、郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理 上采取有效措施過濾垃圾電子郵件及有害信息。10.0 數(shù)據(jù)安全10.1 需要保護(hù)的重要數(shù)據(jù)至少包括：1）重要文件、資料、圖紙（電子版） 。2）財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫。3）重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。4）其他重要數(shù)據(jù)。10.2 各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃，及時(shí)做好數(shù) 據(jù)備份及恢復(fù)。10.3 對數(shù)據(jù)備份必須有明確的記錄，在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間，備份操作人員 等信息。對于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。10.4 各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證，對數(shù)據(jù)恢復(fù)過程進(jìn)行 試驗(yàn)，

17、確保在發(fā)生安全問題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。10.5 各部門計(jì)算機(jī)管理部門應(yīng)對所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案，登記的內(nèi)容主 要包括：需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全 管理和日常備份的人員、可以訪問數(shù)據(jù)的用戶、訪問的方式以及權(quán)限。10.6 涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。10.7 禁止在沒有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù)，在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī) 至少應(yīng)該有開機(jī)口令、 登錄口令、 數(shù)據(jù)庫口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī) 上存放重要數(shù)據(jù)。10.8 不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需，須將數(shù)據(jù)用 安全可靠的加密手段加密存儲(chǔ)，并將存儲(chǔ)的軟盤或筆記本電腦比照密級文件管理。11.0 安全管理11.1 各部門必須對本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測：1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測一次；2）計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次；3）數(shù)據(jù)備份應(yīng)每月檢查一次。11.2 檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng) 采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。11.3 發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴(kuò)散影響。觸犯 刑律的，應(yīng)保存證據(jù)，報(bào)告公安機(jī)關(guān)，并配