企業(yè)信息安全系統(tǒng)管理系統(tǒng)規(guī)章制度_第1頁(yè)
企業(yè)信息安全系統(tǒng)管理系統(tǒng)規(guī)章制度_第2頁(yè)
企業(yè)信息安全系統(tǒng)管理系統(tǒng)規(guī)章制度_第3頁(yè)
企業(yè)信息安全系統(tǒng)管理系統(tǒng)規(guī)章制度_第4頁(yè)
企業(yè)信息安全系統(tǒng)管理系統(tǒng)規(guī)章制度_第5頁(yè)
已閱讀5頁(yè),還剩30頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、實(shí)用文檔XX公司信息安全管理制度(試行)第一章總則第一條為保證信息系統(tǒng)安全可靠穩(wěn)定運(yùn)行,降低或阻止人為或自然因素從物理層面對(duì)公司信息系統(tǒng)的保密性、完整性、 可用性帶來(lái)的安全威脅,結(jié)合公司實(shí)際,特制定本制度。第二條本制度適用于XX公司以及所屬單位的信息系統(tǒng)安全管理。第二章職責(zé)第三條相關(guān)部門、單位職責(zé):一、 信息中心(一) 負(fù)責(zé)組織和協(xié)調(diào)XX公司的信息系統(tǒng)安全管理工作;(二) 負(fù)責(zé)建立 XX公司信息系統(tǒng)網(wǎng)絡(luò)成員單位間的網(wǎng)絡(luò)訪問(wèn)規(guī)則;對(duì)公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)準(zhǔn)入進(jìn)行管理;(三) 負(fù)責(zé)對(duì) XX公司統(tǒng)一的兩個(gè)互聯(lián)網(wǎng)出口進(jìn)行管理,配置防火墻等信息安全設(shè)備; 會(huì)同保密處對(duì)公司本部互聯(lián)網(wǎng)上網(wǎng)行為進(jìn)行管

2、理;(四) 對(duì) XX公司統(tǒng)一建設(shè)的信息系統(tǒng)制定專項(xiàng)運(yùn)維管理辦法,明確信息系統(tǒng)安全管理要求, 界定兩級(jí)單位信息安全管理責(zé)任;標(biāo)準(zhǔn)文案實(shí)用文檔(五) 負(fù)責(zé) XX公司網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)拓?fù)涞热中缘男畔踩芾怼6?人力資源部(一) 負(fù)責(zé)人力資源安全相關(guān)管理工作。(二) 負(fù)責(zé)將信息安全策略培訓(xùn)納入年度職工培訓(xùn)計(jì)劃,并組織實(shí)施。三、 各部門(一) 負(fù)責(zé)本部門信息安全管理工作。(二) 配合和協(xié)助業(yè)務(wù)主管部門完善相關(guān)制度建設(shè),落實(shí)日常管理工作。四、 所屬各單位(一) 負(fù)責(zé)組織和協(xié)調(diào)本單位信息安全管理工作。(二) 對(duì)本單位建設(shè)的信息系統(tǒng)制定專項(xiàng)運(yùn)維管理辦法,明確信息系統(tǒng)安全管理要求,報(bào) XX公司信息中心備案。

3、第三章信息安全策略的基本要求第四條信息系統(tǒng)安全管理應(yīng)遵循以下八個(gè)原則:一、 主要領(lǐng)導(dǎo)人負(fù)責(zé)原則;二、 規(guī)范定級(jí)原則;三、 依法行政原則;四、 以人為本原則;五、 注重效費(fèi)比原則;六、 全面防范、突出重點(diǎn)原則;標(biāo)準(zhǔn)文案實(shí)用文檔七、 系統(tǒng)、動(dòng)態(tài)原則;八、 特殊安全管理原則。第五條 公司保密委應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī), 組織制定公司信息安全策略, 經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后, 對(duì)員工及相關(guān)方進(jìn)行傳達(dá)和培訓(xùn)。第六條 制定信息安全策略時(shí)應(yīng)充分考慮信息系統(tǒng)安全策略的“七定”要求,即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。第七條信息安全策略主要包括以下內(nèi)容:一、 信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過(guò)程

4、中進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,并根據(jù)評(píng)估結(jié)果制定安全策略;二、 對(duì)已投入運(yùn)行且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描,以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞 ;三、 對(duì)安全體系的各種日志( 如入侵檢測(cè)日志等) 審計(jì)結(jié)果進(jìn)行研究,以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞;四、 定期分析信息系統(tǒng)的安全風(fēng)險(xiǎn)及漏洞、分析當(dāng)前黑客非常入侵的特點(diǎn),及時(shí)調(diào)整安全策略;五、 制定人力資源、物理環(huán)境、訪問(wèn)控制、操作、備份、系統(tǒng)獲取及維護(hù)、業(yè)務(wù)連續(xù)性等方面的安全策略,并實(shí)施。第八條公司保密委每年應(yīng)組織對(duì)信息安全策略的適應(yīng)性、充分性和有效性進(jìn)行評(píng)審, 必要時(shí)組織修訂; 當(dāng)公司的組織架構(gòu)、生產(chǎn)經(jīng)營(yíng)模式等發(fā)生重大變化時(shí)也應(yīng)進(jìn)行評(píng)審和修訂。標(biāo)準(zhǔn)文案實(shí)用文檔第

5、九條 根據(jù)“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則,公司建立信息安全分級(jí)責(zé)任制,各層級(jí)落實(shí)信息系統(tǒng)安全責(zé)任。第四章人力資源安全管理第十條信息系統(tǒng)相關(guān)崗位設(shè)置應(yīng)滿足以下要求:一、 安全管理崗與其它任何崗位不得兼崗、混崗、代崗。二、 系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應(yīng)用管理崗不得兼崗、混崗。三、 安全管理崗、 系統(tǒng)管理崗、 網(wǎng)絡(luò)管理崗、 應(yīng)用管理崗、設(shè)備管理崗、技術(shù)檔案管理崗原則上有人員備份。四、 以上崗位人員調(diào)離必須辦理交接手續(xù),所掌握的口令應(yīng)立刻更換或注銷該用戶。第十一條 人力資源部在相關(guān)崗位任職要求中應(yīng)包含信息安全管理的相關(guān)條件和要求; 將信息安全相關(guān)培訓(xùn)納入年度職工培訓(xùn)計(jì)劃,并組織實(shí)施。第五章信息系統(tǒng)物理和環(huán)境安

6、全管理第十二條信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全可靠運(yùn)行,不致受到人為或自然因素的危害,而對(duì)計(jì)算機(jī)設(shè)備、 設(shè)施(包括機(jī)房建筑、供電、空調(diào))、環(huán)境、系統(tǒng)等采取適當(dāng)?shù)陌踩胧?。第十三條 信息管理部門應(yīng)采取切實(shí)可行的物理防護(hù)手段或技術(shù)措施對(duì)物理周邊、 物理入口、 辦公及生產(chǎn)區(qū)域等進(jìn)行安全控標(biāo)準(zhǔn)文案實(shí)用文檔制,防止無(wú)關(guān)人員未授權(quán)物理訪問(wèn)、損壞和干擾。第十四條 信息管理部門應(yīng)加強(qiáng)對(duì)信息系統(tǒng)機(jī)房及配線間的安全管理,要求如下:一、 工作人員需經(jīng)授權(quán),方能且只能進(jìn)入中心機(jī)房的授權(quán)工作區(qū);確因工作需要,需進(jìn)入非授權(quán)工作區(qū)時(shí),需由該授權(quán)工作區(qū)人員陪同;做好機(jī)房出入登記(格式見附錄3-3 )。二、 工作人員必須

7、嚴(yán)格按照規(guī)定操作,未經(jīng)批準(zhǔn)不得超越自己職權(quán)范圍以外的操作;操作結(jié)束時(shí), 必須退出已進(jìn)入的操作畫面;最后離開工作區(qū)域的人員應(yīng)將門關(guān)閉。三、 非授權(quán)人員嚴(yán)禁操作中心機(jī)房 UPS、專用空調(diào)、監(jiān)控、消防及 UPS供配電設(shè)備設(shè)施。四、 未經(jīng)授權(quán), 任何人員不得擅自拷貝數(shù)據(jù)和文件等資料。五、 嚴(yán)禁將易燃、易爆、強(qiáng)磁性物品帶入中心機(jī)房;嚴(yán)禁在機(jī)房?jī)?nèi)吸煙。六、 發(fā)生意外情況應(yīng)立即采取應(yīng)急措施,并及時(shí)向有關(guān)部門和領(lǐng)導(dǎo)報(bào)告。第六章信息系統(tǒng)資產(chǎn)管理第十五條 信息管理部門應(yīng)對(duì)信息和信息系統(tǒng)設(shè)備設(shè)施等相關(guān)資產(chǎn)建立臺(tái)帳清單(格式見附錄 3-4 ),并定期對(duì)其進(jìn)行盤點(diǎn)清查。第十六條 設(shè)備使用人應(yīng)對(duì)信息和信息系統(tǒng)設(shè)備設(shè)施、各

8、類存儲(chǔ)介質(zhì)等相關(guān)資產(chǎn)進(jìn)行標(biāo)識(shí)。 標(biāo)識(shí)應(yīng)張貼在信息設(shè)備的明顯位標(biāo)準(zhǔn)文案實(shí)用文檔置,做到信息完整、字跡清晰,并做好防脫落防護(hù)工作。第十七條信息管理部門應(yīng)對(duì)主機(jī)進(jìn)行控制管理,要求如下:一、 關(guān)鍵業(yè)務(wù)生產(chǎn)系統(tǒng)中的主機(jī)原則上應(yīng)采用雙機(jī)熱備份方式或 n+m的多主機(jī)方式,確保軟件運(yùn)行環(huán)境可靠;二、 一般業(yè)務(wù)生產(chǎn)系統(tǒng)中的主機(jī)、生產(chǎn)用 PC前置機(jī),關(guān)鍵設(shè)備可以采用軟硬件配置完全相同的設(shè)備來(lái)實(shí)現(xiàn)冷備份;三、 各類設(shè)備在采購(gòu)時(shí)技術(shù)規(guī)格中應(yīng)明確服務(wù)響應(yīng)時(shí)間、備品備件、現(xiàn)場(chǎng)服務(wù)等方面的要求,核心服務(wù)器、存儲(chǔ)相應(yīng)時(shí)間一般不高于 4小時(shí)。第十八條 各相關(guān)部門應(yīng)加強(qiáng)信息設(shè)備安裝、調(diào)試、維護(hù)、維修、報(bào)廢等環(huán)節(jié)的管理工作,防止因

9、信息設(shè)備丟失、損壞、失竊以及資產(chǎn)報(bào)廢處置不當(dāng)引起的信息泄露。第七章信息系統(tǒng)訪問(wèn)控制及操作安全管理第十九條 公司將系統(tǒng)運(yùn)行安全按粒度從粗到細(xì)分為四個(gè)層次:系統(tǒng)級(jí)安全、資源訪問(wèn)安全、功能性安全、數(shù)據(jù)域安全。一、 系統(tǒng)級(jí)安全策略包括:敏感系統(tǒng)的隔離、訪問(wèn)地址段的限制、登錄時(shí)間段的限制、會(huì)話時(shí)間的限制、連接數(shù)的限制、特定時(shí)間段內(nèi)登錄次數(shù)的限制以及遠(yuǎn)程訪問(wèn)控制等。 系統(tǒng)級(jí)安全是應(yīng)用系統(tǒng)的第一道防護(hù)大門。二、 資源訪問(wèn)安全策略包括:對(duì)程序資源的訪問(wèn)進(jìn)行安全控制,在客戶端上,為用戶提供和其權(quán)限相關(guān)的用戶界面, 僅出現(xiàn)和其權(quán)限相符的菜單和操作按鈕; 在服務(wù)端則對(duì) URL 程序資源標(biāo)準(zhǔn)文案實(shí)用文檔和業(yè)務(wù)服務(wù)類方

10、法的調(diào)用進(jìn)行訪問(wèn)控制。三、 功能性安全策略包括:功能性安全會(huì)對(duì)程序流程產(chǎn)生影響,如用戶在操作業(yè)務(wù)記錄時(shí),是否需要審核,上傳附件不能超過(guò)指定大小等。四、 數(shù)據(jù)域安全策略包括:一是行級(jí)數(shù)據(jù)域安全,即用戶可以訪問(wèn)哪些業(yè)務(wù)記錄,一般以用戶所在單位為條件進(jìn)行過(guò)濾;二是字段級(jí)數(shù)據(jù)域安全,即用戶可以訪問(wèn)業(yè)務(wù)記錄的哪些字段。第二十條 用戶管理應(yīng)建立用戶身份識(shí)別與驗(yàn)證機(jī)制,防止非法用戶進(jìn)入應(yīng)用系統(tǒng)。具體要求如下:一、 公司按照相關(guān)的訪問(wèn)控制策略,對(duì)用戶注冊(cè)、訪問(wèn)開通、訪問(wèn)權(quán)限分配、權(quán)限的調(diào)整及撤銷、安全登錄、口令管理等方面進(jìn)行訪問(wèn)控制的管理活動(dòng)。二、 用戶是指用以登錄、訪問(wèn)和控制計(jì)算機(jī)系統(tǒng)資源的帳戶。用戶管理是

11、指對(duì)用戶進(jìn)行分層、授權(quán)的管理。用戶由用戶名加以區(qū)分, 由用戶口令加以保護(hù)。按照計(jì)算機(jī)系統(tǒng)所承載的應(yīng)用系統(tǒng)運(yùn)行管理的需要,將用戶分為超級(jí)用戶、 授權(quán)用戶、普通用戶、匿名用戶四類,分別控制其權(quán)限。(一) 超級(jí)用戶。擁有對(duì)運(yùn)行系統(tǒng)的主機(jī)、前置機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、運(yùn)行進(jìn)程、 系統(tǒng)配置、 網(wǎng)絡(luò)配置等進(jìn)行察看、修改、添加、重啟等權(quán)限并可對(duì)下級(jí)用戶進(jìn)行授權(quán)的用戶。 由系統(tǒng)管理崗位或網(wǎng)絡(luò)管理崗位主管進(jìn)行分配, 由系統(tǒng)管理員或網(wǎng)絡(luò)管理員負(fù)責(zé)用戶口令的日常管理。標(biāo)準(zhǔn)文案實(shí)用文檔(二) 授權(quán)用戶。擁有由超級(jí)用戶根據(jù)應(yīng)用系統(tǒng)開發(fā)或運(yùn)行維護(hù)的特殊需要, 經(jīng)過(guò)崗位主管的審批, 將一些系統(tǒng)命令運(yùn)行權(quán)限所授予的普通用戶,由授

12、權(quán)用戶負(fù)責(zé)用戶口令的日常管理。(三) 普通用戶。應(yīng)用系統(tǒng)開發(fā)或運(yùn)行維護(hù)人員為應(yīng)用系統(tǒng)一般監(jiān)控、維護(hù)的需要, 由超級(jí)用戶分配的一般用戶,這類用戶僅擁有缺省用戶訪問(wèn)權(quán)限的用戶,由用戶負(fù)責(zé)口令的日常管理。(四) 匿名用戶。匿名用戶用于向公司網(wǎng)絡(luò)內(nèi)所有用戶提供相應(yīng)服務(wù),這類用戶一般僅擁有瀏覽權(quán)限,無(wú)用戶名及口令,一般情況下只允許提供如: 標(biāo)準(zhǔn)、期刊等無(wú)安全要求的系統(tǒng)服務(wù)時(shí)使用匿名用戶。三、 對(duì)用戶以及權(quán)限的設(shè)定進(jìn)行嚴(yán)格管理,用戶權(quán)限的分配遵循 “最小特權(quán)”原則。四、 口令是用戶用以保護(hù)所訪問(wèn)計(jì)算機(jī)資源權(quán)利,不被他人冒用的基本控制手段??诹畈呗缘膽?yīng)用與其被保護(hù)對(duì)象有關(guān),口令強(qiáng)度與口令所保護(hù)的資源、數(shù)據(jù)的

13、價(jià)值或敏感度成正比。(一) 所有在公司局域網(wǎng)網(wǎng)上運(yùn)行的設(shè)備、計(jì)算機(jī)系統(tǒng)及存有公司涉密數(shù)據(jù)的計(jì)算機(jī)設(shè)備都必須設(shè)置口令保護(hù)。(二) 所有有權(quán)掌握口令的人員必須保證口令在產(chǎn)生、分配、存儲(chǔ)、銷毀過(guò)程中的安全性和機(jī)密性。(三) 口令應(yīng)至少要含有 8 個(gè)字符;應(yīng)同時(shí)含有字母和非字母字符口令。(四) 口令設(shè)置不能和用戶名或登錄名相同,不能使用生標(biāo)準(zhǔn)文案實(shí)用文檔日、人名、英文單詞等易被猜測(cè)、易被破解的口令,如有可能,采用機(jī)器隨機(jī)生成口令。(五) 口令使用期限由各個(gè)系統(tǒng)安全要求而定。(六) 口令的使用期限和過(guò)期失效應(yīng)盡可能由系統(tǒng)強(qiáng)制執(zhí)行。(七) 設(shè)備在啟用時(shí),默認(rèn)口令必須更改。第二十一條 系統(tǒng)運(yùn)行安全檢查是安全

14、管理的常用工作方法,也是預(yù)防事故、發(fā)現(xiàn)隱患、指導(dǎo)整改的必要工作手段。信息系統(tǒng)安全管理人員應(yīng)做好系統(tǒng)運(yùn)行安全檢查與記錄(格式見附錄3-5 )。檢查范圍:一、 應(yīng)用系統(tǒng)的訪問(wèn)控制檢查。 包括物理和邏輯訪問(wèn)控制,是否按照規(guī)定的策略和程序進(jìn)行訪問(wèn)權(quán)限的增加、變更和取消,用戶權(quán)限的分配是否遵循“最小特權(quán)”原則。二、 應(yīng)用系統(tǒng)的日志檢查。包括數(shù)據(jù)庫(kù)日志、系統(tǒng)訪問(wèn)日志、系統(tǒng)處理日志、錯(cuò)誤日志及異常日志。三、 應(yīng)用系統(tǒng)可用性檢查:包括系統(tǒng)中斷時(shí)間、系統(tǒng)正常服務(wù)時(shí)間和系統(tǒng)恢復(fù)時(shí)間等。四、 應(yīng)用系統(tǒng)能力檢查。包括系統(tǒng)資源消耗情況、系統(tǒng)交易速度和系統(tǒng)吞吐量等。五、 應(yīng)用系統(tǒng)的安全操作檢查。用戶對(duì)應(yīng)用系統(tǒng)的使用是否按

15、照信息安全的相關(guān)策略和程序進(jìn)行訪問(wèn)和使用。六、 應(yīng)用系統(tǒng)維護(hù)檢查。維護(hù)性問(wèn)題是否在規(guī)定的時(shí)間內(nèi)標(biāo)準(zhǔn)文案實(shí)用文檔解決,是否正確地解決問(wèn)題,解決問(wèn)題的過(guò)程是否有效等。七、 應(yīng)用系統(tǒng)的配置檢查。檢查應(yīng)用系統(tǒng)的配置是否合理和適當(dāng),各配置組件是否發(fā)揮其應(yīng)有的功能。八、 惡意代碼的檢查。 是否存在惡意代碼, 如病毒、木馬、隱蔽通道導(dǎo)致應(yīng)用系統(tǒng)數(shù)據(jù)的丟失、 損壞、非法修改、 信息泄露等。九、 檢查出現(xiàn)異常時(shí)應(yīng)進(jìn)行記錄, 非受控變化應(yīng)及時(shí)報(bào)告,以確定是否屬于信息安全事件, 屬于信息安全事件的應(yīng)及時(shí)處理。第二十二條 信息管理部門應(yīng)定期對(duì)重要系統(tǒng)、 配置及應(yīng)用進(jìn)行備份。備份管理要求如下:一、 各系統(tǒng)應(yīng)于投產(chǎn)前明確

16、數(shù)據(jù)備份方法,對(duì)數(shù)據(jù)備份和還原進(jìn)行必要的測(cè)試, 并根據(jù)實(shí)際運(yùn)行需要及時(shí)調(diào)整, 每次調(diào)整應(yīng)進(jìn)行測(cè)試;二、 對(duì)系統(tǒng)配置、網(wǎng)絡(luò)配置和應(yīng)用軟件應(yīng)進(jìn)行備份。在發(fā)生變動(dòng)時(shí),應(yīng)及時(shí)備份;三、 業(yè)務(wù)數(shù)據(jù)備份按照各生產(chǎn)系統(tǒng)備份計(jì)劃的具體要求進(jìn)行,盡可能實(shí)現(xiàn)異地備份;四、 集中管理的系統(tǒng)、設(shè)備數(shù)據(jù)的備份工作由所在單位的信息部門負(fù)責(zé);五、 備份介質(zhì)交接應(yīng)嚴(yán)格履行交接手續(xù),做好交接登記;六、 介質(zhì)存放地必須符合防盜、 防火、防水、防鼠、防蟲、防磁以及相應(yīng)的潔凈度、溫濕度等要求。標(biāo)準(zhǔn)文案實(shí)用文檔第八章網(wǎng)絡(luò)與通信安全管理第二十三條信息化管理部門采取必要的技術(shù)手段和管理措施,加強(qiáng)對(duì)網(wǎng)絡(luò)和通信安全的管理,保障公司內(nèi)外信息傳遞

17、安全。網(wǎng)絡(luò)安全管理包含網(wǎng)絡(luò)訪問(wèn)控制、安全機(jī)制、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)隔離等,基本要求是:一、 定期對(duì)重要網(wǎng)絡(luò)設(shè)備運(yùn)行情況進(jìn)行安全檢查,發(fā)現(xiàn)隱患及時(shí)上報(bào)或整改,并做好記錄(格式見附錄3-5 )。二、 定期備份重要網(wǎng)絡(luò)和通信設(shè)備配置文件,確保發(fā)生故障時(shí)能及時(shí)恢復(fù)網(wǎng)絡(luò)運(yùn)行,保證網(wǎng)絡(luò)的可用性。第二十四條加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理,具體要求如下:一、 網(wǎng)絡(luò)機(jī)房分區(qū)應(yīng)獨(dú)立、封閉。二、 網(wǎng)絡(luò)設(shè)備脫離生產(chǎn)環(huán)境前應(yīng)清空所有網(wǎng)絡(luò)配置。三、 骨干網(wǎng)絡(luò)設(shè)備應(yīng)有備份,接入網(wǎng)絡(luò)設(shè)備原則上應(yīng)按5%比例備份。四、 網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)配置應(yīng)最大限度地保證網(wǎng)絡(luò)的健壯性、安全性。五、 企業(yè)網(wǎng)應(yīng)根據(jù)需要?jiǎng)澐植煌腣LAN,并通過(guò)訪問(wèn)控制列表控制各 V

18、LAN的訪問(wèn)權(quán)限。六、 內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)未經(jīng)批準(zhǔn)不得安裝網(wǎng)絡(luò)探測(cè)軟件,嚴(yán)格禁止安裝任何黑客軟件。七、 生產(chǎn)網(wǎng)絡(luò)和測(cè)試網(wǎng)絡(luò)必須實(shí)行分離,嚴(yán)禁在生產(chǎn)環(huán)境中做各種類型的業(yè)務(wù)測(cè)試。標(biāo)準(zhǔn)文案實(shí)用文檔第二十五條加強(qiáng)外聯(lián)網(wǎng)絡(luò)安全管理,具體要求如下:一、 外聯(lián)網(wǎng)絡(luò)安全遵循最小權(quán)限原則,訪問(wèn)控制策略是 “允許必須,禁止其他”。二、 外聯(lián)網(wǎng)絡(luò)在穿過(guò)不可控區(qū)域時(shí)數(shù)據(jù)傳輸原則上應(yīng)采用加密技術(shù)。三、 制定外聯(lián)網(wǎng)絡(luò)方案時(shí)應(yīng)注意保守本公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP 地址、端口、安全策略等秘密,并注意了解對(duì)方網(wǎng)絡(luò)結(jié)構(gòu)及其變化情況。第二十六條加強(qiáng)互聯(lián)網(wǎng)安全管理,具體要求如下:一、 互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)必須有相關(guān)的邏輯隔離,涉及國(guó)家秘密的信息

19、不得通過(guò)互聯(lián)網(wǎng)傳輸。二、 不得訪問(wèn)有關(guān)黑客網(wǎng)站,不得下載、安裝黑客軟件。三、 公司員工訪問(wèn)互連網(wǎng),必須遵守中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定等規(guī)定, 不得利用國(guó)際互連網(wǎng)從事?lián)p害國(guó)家、公司及他人利益的活動(dòng)。第九章信息系統(tǒng)供應(yīng)商安全管理第二十七條 公司對(duì)信息系統(tǒng)供應(yīng)商實(shí)施安全管理。 信息系統(tǒng)供應(yīng)商包括設(shè)備類供應(yīng)商、 技術(shù)類供應(yīng)商、 咨詢服務(wù)類供應(yīng)商、或者是以上幾類的任意組合。第二十八條 信息系統(tǒng)實(shí)施過(guò)程中, 信息化管理部門應(yīng)與供應(yīng)商簽訂安全保密協(xié)議,明確信息安全要求。第二十九條信息化管理部門應(yīng)對(duì)供應(yīng)商服務(wù)全過(guò)程進(jìn)行標(biāo)準(zhǔn)文案實(shí)用文檔監(jiān)視和控制。第十章信息安全事件管理第三十條 信息安全事

20、件指導(dǎo)致信息資產(chǎn)丟失和損壞,影響信息系統(tǒng)正常工作甚至業(yè)務(wù)中斷的事件。主要有:一、 信息系統(tǒng)軟硬件故障;二、 網(wǎng)絡(luò)通信系統(tǒng)故障;三、 機(jī)房供配電系統(tǒng)故障;四、 系統(tǒng)感染計(jì)算機(jī)病毒;五、 信息系統(tǒng)遭水災(zāi)、火災(zāi)、雷擊;六、 信息網(wǎng)絡(luò)遭遇入侵或攻擊;七、 信息系統(tǒng)內(nèi)的敏感數(shù)據(jù)失竊、泄露;八、 信息設(shè)備損壞、濫用或失竊;九、 信息被非法訪問(wèn)、使用及篡改;十、 違背信息安全策略規(guī)定的其他事項(xiàng)。第三十一條信息安全事件管理包括組織機(jī)構(gòu)、職責(zé)和規(guī)程的建立, 信息安全事態(tài)及信息安全弱點(diǎn)的報(bào)告和評(píng)估,信息安全事件的應(yīng)急處理等。一、 建立信息安全事件管理機(jī)構(gòu)和應(yīng)急預(yù)案(一) 公司信息安全事件管理機(jī)構(gòu)包含:XX公司保密

21、委,負(fù)責(zé)領(lǐng)導(dǎo)信息安全事件管理工作;各級(jí)信息化管理部門, 負(fù)責(zé)處置信息安全事件;信息安全事件響應(yīng)小組(負(fù)責(zé)人),負(fù)責(zé)信息安全事件響應(yīng)和應(yīng)急處理。標(biāo)準(zhǔn)文案實(shí)用文檔(二) 信息化管理部門針對(duì)各類信息安全事件應(yīng)分別制定相應(yīng)的應(yīng)急預(yù)案,開展必要的知識(shí)、技能、意識(shí)等培訓(xùn)。適時(shí)組織相關(guān)人員開展應(yīng)急演練。二、 開展信息安全事態(tài)及信息安全弱點(diǎn)報(bào)告和評(píng)估。信息系統(tǒng)安全管理和維護(hù)人員應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)信息系統(tǒng)日常檢查維護(hù),了解外部信息安全變化,充分掌握信息安全事態(tài),及時(shí)發(fā)現(xiàn)和消除危及系統(tǒng)安全的各類安全隱患。當(dāng)發(fā)現(xiàn)險(xiǎn)情時(shí), 應(yīng)立即報(bào)告信息安全事件處置責(zé)任部門。完成信息安全事件處理后,應(yīng)及時(shí)進(jìn)行評(píng)估和改進(jìn), 避免再次發(fā)生,

22、并做好記錄 (格式見附錄3-3 )。三、 信息安全事件應(yīng)急處理,要求如下:(一) 當(dāng)信息系統(tǒng)出現(xiàn)險(xiǎn)情時(shí),維護(hù)人員和各級(jí)應(yīng)急救援人員應(yīng)正確履行應(yīng)急預(yù)案所賦的職責(zé)和執(zhí)行信息安全事件處置責(zé)任部門下達(dá)的指令。(二) 在發(fā)生網(wǎng)絡(luò)與信息安全事件后,信息化管理部門應(yīng)盡最大可能迅速收集事件相關(guān)信息,鑒別事件性質(zhì), 確定事件來(lái)源,弄清事件范圍和評(píng)估事件帶來(lái)的影響和損害。 一旦確認(rèn)為網(wǎng)絡(luò)與信息安全事件后, 立即將事件上報(bào)信息安全領(lǐng)導(dǎo)小組并著手處置。(三) 安全事件進(jìn)行最初的應(yīng)急處置以后應(yīng)及時(shí)采取行動(dòng),抑制其影響的進(jìn)一步擴(kuò)大, 限制潛在的損失與破壞, 同時(shí)要確保應(yīng)急處置措施對(duì)涉及的相關(guān)業(yè)務(wù)影響最小。(四) 安全事件被抑制之后,通過(guò)對(duì)有關(guān)事件或行為的分標(biāo)準(zhǔn)文案實(shí)用文檔析結(jié)果,找出其根源,明確相應(yīng)的補(bǔ)救措施并徹底清除。(五) 在確保安全事件解決后,要及時(shí)清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)丟失。(六) 信息安全事件發(fā)生時(shí),應(yīng)及時(shí)向公司保密委匯報(bào),并及時(shí)報(bào)告處置工作進(jìn)展情況。 事件處置中要作好完整的過(guò)程記錄,保存各相關(guān)系統(tǒng)日志直至處置工作結(jié)束。(七) 系統(tǒng)恢復(fù)運(yùn)行后,信息管理部門應(yīng)對(duì)事件造成的損失、事件處理流程和

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論