核心資產(chǎn)安全管理制度

1、xxx 通信有限責(zé)任公司 核心資產(chǎn)安全管理制度xxx通信有限責(zé)任公司2004 年 1 月目錄目錄 3一、硬件安全管理 4二、軟件安全管理 7三、數(shù)據(jù)安全管理10一、硬件安全管理1 設(shè)備選型1) 業(yè)務(wù)系統(tǒng)設(shè)備的選型與采購由信息中心統(tǒng)一歸口管理。2) 設(shè)備選型的原則是在滿足工作需要的前提下，保證所選產(chǎn)品的先進(jìn)性和實(shí)性，避免過早被淘汰，但也不要搞超前消費(fèi)而造成資金的浪費(fèi)。3) 選或購置涉密設(shè)備時應(yīng)符合有關(guān)規(guī)定，確保這些設(shè)備的可靠性。2 設(shè)備購置與安裝1) 對大宗采購的設(shè)備要在國內(nèi)和國際廠商間進(jìn)行招標(biāo)，并根據(jù)廠商的產(chǎn)品性能、質(zhì)量、價格和售后服務(wù)等指標(biāo)做出優(yōu)化選擇，實(shí)行集中采購。2) 下屬機(jī)構(gòu)購置的設(shè)備

2、，都要填寫購置申請表上報(bào)信息中心，經(jīng)信息中心和其他相關(guān)部門審批后由信息中心負(fù)責(zé)購置。3) 新購置的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品應(yīng)經(jīng)過安全檢測和實(shí)際測試，測試合格后方能投入使。4) 復(fù)雜的設(shè)備由廠商或集成商負(fù)責(zé)安裝調(diào)試，保證設(shè)備的可靠運(yùn)行。5) 關(guān)鍵的設(shè)備由信息技術(shù)人員經(jīng)過培訓(xùn)進(jìn)行安裝。3 設(shè)備登記與使1) 建立設(shè)備登記檔案，詳細(xì)記錄每臺設(shè)備的名稱、規(guī)格、配置、裝載軟件、單價、購入日期、供貨商、存放地點(diǎn)、使用部門、耐用年限等參數(shù)，關(guān)鍵設(shè)備應(yīng)建立維護(hù)檔案。2) 設(shè)備應(yīng)由網(wǎng)管人員登記網(wǎng)絡(luò)拓?fù)鋱D，所有帶網(wǎng)卡的設(shè)備都應(yīng)登記網(wǎng)卡號，嚴(yán)格限定相應(yīng)的網(wǎng)絡(luò)權(quán)限。3) 所有設(shè)備都應(yīng)粘貼印有其設(shè)備編號、名稱、類別、使用部

3、門的標(biāo)簽， 并填寫一式兩份的固定資產(chǎn)登記卡，一份交使用部門的行政秘書或各單位的管理部門保管，另一份留信息中心保管。4) 各部門及個人領(lǐng)用的設(shè)備應(yīng)實(shí)行個人負(fù)責(zé)制，每臺設(shè)備有專人負(fù)責(zé)管理和使用，不得隨意轉(zhuǎn)借，更不得交給無關(guān)人員使用。5) 各部門間設(shè)備的調(diào)撥由調(diào)入部門填寫設(shè)備調(diào)入申請單，由調(diào)入部門、調(diào)出部門及相關(guān)部門負(fù)責(zé)人簽字同意后方可進(jìn)行調(diào)撥。6) 對于不再需要或長期閑置的設(shè)備，各部門應(yīng)及時歸還給資產(chǎn)管理部門，以充分發(fā)揮設(shè)備的使用價值。4 設(shè)備維護(hù)1) 遵守定期維護(hù)檢查制度，對關(guān)鍵設(shè)備的維護(hù)與維修要建立詳細(xì)的維護(hù)檔案，凡因疏于保養(yǎng)而造成的設(shè)備損壞或工作延誤將追究當(dāng)事人的責(zé)任。2) 建立設(shè)備管理維護(hù)

4、記錄，實(shí)行維護(hù)記錄制度。對故障發(fā)生的時間、表現(xiàn)、采取的解決措施、結(jié)果及軟硬件的升級情況等進(jìn)行 詳細(xì)記錄，并由系統(tǒng)管理員予以簽字，以便今后解決故障。3) 建立相關(guān)電子設(shè)備的維護(hù)和維修手冊，詳細(xì)記錄各廠商的聯(lián)系電話、服務(wù)熱線等信息。4) 設(shè)備自然使用損壞后，當(dāng)事人需填寫故障維修申請單報(bào)信息中心， 由信息中心指派專人檢查損壞情況后進(jìn)行維修，對無法當(dāng)時維修好的設(shè)備聯(lián)系廠商或維修單位進(jìn)行修理。5) 非信息中心指定維護(hù)人員不得私自拆卸電子設(shè)備、不得維修設(shè)備或更換零件，凡因此而造成的設(shè)備損壞或配件丟失由當(dāng)事人負(fù)責(zé)賠償。6) 系統(tǒng)設(shè)備的擴(kuò)容和升級應(yīng)由信息中心考察必要性和可行性，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，統(tǒng)一安排購買配件和

5、實(shí)施升級。任何人不得自行聯(lián)系設(shè)備升級。5 設(shè)備報(bào)廢1) 長期閑置或不再使用的設(shè)備可向信息中心提出調(diào)撥或報(bào)廢申請， 由信息中心根據(jù)設(shè)備的完好率、使用年限等因數(shù)決定進(jìn)行調(diào)撥或報(bào)廢。2) 對各部門內(nèi)確無使用價值的設(shè)備的報(bào)廢申請，由信息中心核準(zhǔn)后報(bào)領(lǐng)導(dǎo)批準(zhǔn)，并由財(cái)務(wù)部備案。3) 由于使用人員重大責(zé)任事故而造成的部門內(nèi)的設(shè)備報(bào)廢，必須追究當(dāng)事人的責(zé)任，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，再作報(bào)廢處理，并由財(cái)務(wù)部備案。4) 各分支機(jī)構(gòu)大額設(shè)備(單件購買價超過五萬)的調(diào)撥和報(bào)廢工作原則上采用各單位提申請，信息中心審核批準(zhǔn)的方式。5) 設(shè)備報(bào)廢依據(jù)財(cái)務(wù)管理辦法和有關(guān)規(guī)定執(zhí)行，對報(bào)廢設(shè)備上保存的存貯介質(zhì)要進(jìn)行清除，防止泄密。二、軟件

6、安全管理1 軟件的選型1) 應(yīng)用軟件在開發(fā)或購買之前應(yīng)正式立項(xiàng)，成立由技術(shù)人員、業(yè)務(wù)人員和管理人員共同組成的項(xiàng)目小組并建立軟件質(zhì)量保證體系。2) 選用的軟件必須是正版軟件。2 軟件安全檢測審查1) 軟件在正式使用之前應(yīng)進(jìn)行必要的安全功能檢測，保證業(yè)務(wù)能正常安全可靠的運(yùn)行。不得建立無關(guān)的用戶，測試用戶在完成測試后必須加以限制或刪除。2) 應(yīng)用軟件在正式投入使用前必須經(jīng)過內(nèi)部評審，確認(rèn)系統(tǒng)功能、測試結(jié)果和試運(yùn)行結(jié)果均滿足設(shè)計(jì)要求，技術(shù)文檔齊全，并經(jīng)分管領(lǐng)導(dǎo)批準(zhǔn)。3) 重要的業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)具有如下安全特性：4) 自動記錄全部操作過程；5) 關(guān)鍵數(shù)據(jù)不得以明碼存放；6) 無法繞過應(yīng)用界面直接查看或操作

7、數(shù)據(jù)庫；7) 系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開；8) 防止異常中斷后非法進(jìn)入系統(tǒng)；9) 提供超時鍵盤鎖定功能；10) 業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸；11) 應(yīng)存儲一年以上完整的系統(tǒng)運(yùn)行記錄；12) 提供系統(tǒng)運(yùn)行狀態(tài)監(jiān)控模塊；13) 提供數(shù)據(jù)接口，滿足稽核、審計(jì)及技術(shù)監(jiān)控的要求；14) 其它有助于控制業(yè)務(wù)操作風(fēng)險的功能特性。15) 系統(tǒng)軟件應(yīng)具備如下安全功能：16) 身份驗(yàn)證功能，防止非法用戶隨意進(jìn)入系統(tǒng)；17) 訪問控制功能，防止系統(tǒng)中出現(xiàn)越權(quán)訪問；18) 故障恢復(fù)功能，能夠自動或在人工干預(yù)下從故障狀態(tài)恢復(fù) 到正常狀態(tài)而不致造成系統(tǒng)混亂和數(shù)據(jù)丟失；19) 安全保護(hù)功能，對信息的交換、傳輸、

8、存儲提供安全保護(hù)；20) 安全審計(jì)功能，便于應(yīng)用系統(tǒng)建立訪問用戶資源的審計(jì)記 錄；21) 分權(quán)制約功能，支持對操作員和管理員的權(quán)限分離與相互 制約。22) 系統(tǒng)軟件應(yīng)達(dá)到相應(yīng)的安全級別才能投入正常使用。23) 數(shù)據(jù)庫管理軟件除上述功能要求外，還應(yīng)具有數(shù)據(jù)庫的安 全性、完整性、一致性及可恢復(fù)性保障機(jī)制。24) 應(yīng)用軟件應(yīng)具備基本的訪問控制和安全審計(jì)功能。3 軟件系統(tǒng)開發(fā)1) 根據(jù)應(yīng)用系統(tǒng)對安全的要求，同步進(jìn)行安全保密設(shè)計(jì)。2) 軟件開發(fā)過程應(yīng)符合GB/T8566-1995 信息技術(shù)軟件生存期過程。3) 開發(fā)維護(hù)人員與操作人員必須實(shí)行崗位分離，開發(fā)環(huán)境和現(xiàn)場必須與生產(chǎn)環(huán)境和現(xiàn)場隔離。4) 軟件設(shè)計(jì)

9、方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術(shù)資料嚴(yán)禁流入生產(chǎn)現(xiàn)場、散失和外泄。5) 開發(fā)的軟件應(yīng)遵循上述2.2 中的安全特性和功能。4 軟件使用與維護(hù)1) 應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。2) 嚴(yán)禁擅自使用外來的磁盤、磁帶和光盤。如工作需要，必須在確保無計(jì)算機(jī)病毒、計(jì)算機(jī)系統(tǒng)工作安全的情況下，經(jīng)信息中心批準(zhǔn)，并做好登記后方可使用。3) 軟件使用人員應(yīng)經(jīng)過適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。4) 信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。5) 應(yīng)采取有效措施，防止對應(yīng)用軟件的非法修改。6) 設(shè)專人負(fù)責(zé)業(yè)務(wù)軟件的版本升級，及時為軟件缺陷打補(bǔ)丁。5 軟件安全跟蹤與報(bào)告1) 設(shè)專人負(fù)責(zé)跟蹤系統(tǒng)軟件的安全補(bǔ)丁，及

10、時彌補(bǔ)安全漏洞。2) 關(guān)鍵的業(yè)務(wù)系統(tǒng)軟件和應(yīng)用軟件必須啟用其自身的安全審計(jì)留痕功能，便于系統(tǒng)建立訪問用戶資源的審計(jì)記錄。3) 專人負(fù)責(zé)定期檢查和跟蹤審計(jì)日志，及時發(fā)現(xiàn)問題，并生成日志分析報(bào)告。4) 定期對系統(tǒng)產(chǎn)生的日志進(jìn)行轉(zhuǎn)存和清除。三、數(shù)據(jù)安全管理1 數(shù)據(jù)保密性管理1) 對系統(tǒng)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失與破壞。2) 關(guān)鍵業(yè)務(wù)數(shù)據(jù)不得泄露，禁止外傳。3) 重要數(shù)據(jù)的處理過程中，被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作；處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)；妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。4) 各業(yè)務(wù)數(shù)據(jù)僅用于明

11、確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用。5) 無正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱客戶資料；經(jīng)正式批件查閱數(shù)據(jù)時必須登記，并由查閱人簽字。6) 涉密數(shù)據(jù)不得以明碼形式存儲和傳輸。7) 根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)。8) 在數(shù)據(jù)的傳輸過程中采用各種加密手段進(jìn)行保障，如利用SSL、 PGP 等技術(shù)手段。9) 未經(jīng)允許，不準(zhǔn)將機(jī)房設(shè)備、維護(hù)用品、軟盤、資料等私自帶出機(jī)房， 如有特殊情況，需經(jīng)負(fù)責(zé)人同意并進(jìn)行登記后方可帶出。2 數(shù)據(jù)訪問控制管理1) 設(shè)置系統(tǒng)管理員崗位，對系統(tǒng)數(shù)據(jù)實(shí)行專人管理。2) 設(shè)置數(shù)據(jù)庫管理員崗位，對業(yè)務(wù)數(shù)據(jù)實(shí)行專人管理。3) 數(shù)據(jù)庫管理系統(tǒng)的口

12、令必須由專人掌管，并定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令。4) 重要數(shù)據(jù)的處理過程中，被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作。處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)。 應(yīng)妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。5) 對數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)加控制。嚴(yán)禁未經(jīng)授權(quán)將財(cái)務(wù)數(shù)據(jù)等拷貝出系統(tǒng)，轉(zhuǎn)給無關(guān)的人員或單位；嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。6) 采用實(shí)時監(jiān)控機(jī)制，及時發(fā)現(xiàn)不良信息或破壞性數(shù)據(jù)，對其采取封堵、清除等相應(yīng)安全控制措施。7) 對監(jiān)控或檢測到的可疑數(shù)據(jù)采用跟蹤機(jī)制，并對其進(jìn)行可控性操作，以便發(fā)現(xiàn)其最終企圖。3 數(shù)據(jù)備

13、份管理1) 每個工作日結(jié)束后必須制作數(shù)據(jù)的備份并異地存放，保證系統(tǒng)發(fā)生故障時能夠快速恢復(fù)。2) 關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少15 年。3) 備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由營業(yè)部計(jì)算機(jī)信息技術(shù)人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管。4) 數(shù)據(jù)保管員必須對備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理。5) 備份數(shù)據(jù)不得更改。6) 備份數(shù)據(jù)保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。5 數(shù)據(jù)存儲管理1) 設(shè)專人負(fù)責(zé)數(shù)據(jù)存儲設(shè)備的使用和安全，包括磁盤陣列、磁帶、光盤等的安全。2) 采用專門的數(shù)據(jù)備份和容災(zāi)安全解決方案及存儲設(shè)備。3) 備份數(shù)據(jù)除了備