公司企業(yè)信息安全實施指南

信息安全實施指南第13頁共13頁公司企業(yè)信息安全實施指南文檔信息文檔名稱信息安全實施指南文檔版本文檔級別文檔編號適用范圍發(fā)布日期修訂記錄版本號修改日期內(nèi)容說明負責人相關(guān)文檔文檔編號文檔名稱文檔類型負責人目錄第一部分、 資產(chǎn)信息安全管理 4第二部分、 組織信息安全管理 5第三部分、 人員信息安全管理 6第一節(jié) 員工信息安全管理 6第二節(jié) 第三方人員信息安全管理 6第四部分、 物理和環(huán)境安全管理 8第五部分、 通訊與操作安全管理 9第一節(jié) 操作程序和職責 9第二節(jié) 防范惡意代碼 9第三節(jié) 備份 9第四節(jié) 網(wǎng)絡(luò)安全管理 9第五節(jié) 介質(zhì)處理 9第六節(jié) 監(jiān)控及審計 10第七節(jié) 信息系統(tǒng)技術(shù)漏洞管理 10第六部分、 訪問控制安全管理 11第一節(jié) 訪問控制原則 11第二節(jié) 操作系統(tǒng)訪問控制 11第三節(jié) 移動計算和遠程工作 11第四節(jié) 用戶訪問管理 11第七部分、 信息安全事故管理 12第八部分、 策略符合性 13

資產(chǎn)信息安全管理應(yīng)當建立信息資產(chǎn)管理登記制度，明確信息和資產(chǎn)的所有者、責任人、維護人員以及使用人員，并確保責任人了解并承擔對相應(yīng)資產(chǎn)的安全責任。信息資產(chǎn)管理登記應(yīng)當維護企業(yè)公司所轄單位資產(chǎn)清單，包括所有為從災(zāi)難中恢復(fù)而需要的信息：資產(chǎn)類別、位置、責任人以及相關(guān)的配置信息等。信息資產(chǎn)管理登記的資產(chǎn)分類應(yīng)當包括硬件資產(chǎn)、軟件資產(chǎn)、信息資產(chǎn)、應(yīng)用與服務(wù)以及其他無形資產(chǎn)。應(yīng)當根據(jù)資產(chǎn)的分類及業(yè)務(wù)價值明確各項資產(chǎn)的合理使用規(guī)定，并要求使用或用有訪問企業(yè)公司所轄單位資產(chǎn)權(quán)力的人員了解并遵守該規(guī)定。

組織信息安全管理企業(yè)公司所轄單位的管理層應(yīng)當為信息安全提高有力的支持；信息安全活動應(yīng)當由來自各個部門、具備相關(guān)角色和工作職責的代表進行協(xié)調(diào)。應(yīng)當識別外部組織訪問的風險并進行適當?shù)目刂疲⒃谂c其接觸時強調(diào)相關(guān)安全要求。

人員信息安全管理員工信息安全管理員工雇傭前安全管理規(guī)定：安全職責應(yīng)于雇用前在適當?shù)膷徫幻枋觥⒐陀脳l款和條件中指出。應(yīng)充分篩選所有應(yīng)聘者、合同方和第三方用戶，進行適當?shù)谋尘罢{(diào)查，特別是對敏感崗位的成員。作為合同責任的一部分，員工、合同方和第三方用戶應(yīng)統(tǒng)一并簽署他們的雇傭合同的條款和條件。這些條款和條件應(yīng)規(guī)定他們和組織對于信息安全的責任。員工雇傭中安全管理規(guī)定：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險。為盡可能減小安全風險，應(yīng)對企業(yè)公司所轄單位的所有員工，適當時，包括合同方和第三方用戶，提供安全程序和信息處理設(shè)施的正確使用方面的適當程度的意識、教育和培訓(xùn)。應(yīng)建立一個正式的處理安全違規(guī)的紀律處理程序。懲戒過程之前應(yīng)有一個安全違規(guī)的驗證過程。雇傭關(guān)系終止或變更的安全管理規(guī)定：應(yīng)當確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進行，并確保他們歸還所有設(shè)備及刪除或調(diào)整他們的所有訪問權(quán)力。進行雇傭中止或變更時相關(guān)人員的責任應(yīng)當被清晰規(guī)定和分配。雇員、合同方或第三方用戶所簽署的相關(guān)協(xié)議中應(yīng)當明確雇用終止后仍然有效的職責和義務(wù)。第三方人員信息安全管理第三方人員種類：服務(wù)提供商（例如互聯(lián)網(wǎng)服務(wù)提供商）、網(wǎng)絡(luò)提供商、電話服務(wù)、維護和支持服務(wù)；設(shè)施和運行的外包；管理和業(yè)務(wù)顧問和審核員；開發(fā)者和提供商，例如軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和提供商；清潔、供應(yīng)和其他外包支持服務(wù)；臨時人員、實習(xí)生安排和其他短期臨時安排。第三方人員進行技術(shù)支持前，應(yīng)當經(jīng)過安全責任人的授權(quán)和審批。第三方人員對重要信息安全區(qū)域的訪問應(yīng)當遵照安全規(guī)定進行詳細記錄，記錄中應(yīng)當至少包括日期、進入及離開時間、第三方人員（簽名）、本單位陪同人員（簽名）、訪問事由等信息。第三方的外部訪問（不含普通因特網(wǎng)瀏覽器用戶）要求：根據(jù)工作需要，可以允許但需嚴格限制第三方的外部訪問；第三方所享有的外部訪問權(quán)限應(yīng)當按照最小權(quán)限原則進行分配。在第三方外部訪問結(jié)束后，內(nèi)部聯(lián)系人員應(yīng)當對訪問權(quán)限作相應(yīng)處理，如要求技術(shù)人員刪除用戶名和權(quán)限等。第三方人員在重要信息安全區(qū)域的現(xiàn)場實施過程中應(yīng)當有IT人員全程陪同。企業(yè)公司所轄單位有權(quán)對使用內(nèi)部計算機和網(wǎng)絡(luò)的第三方進行檢查，以確保第三方遵守有關(guān)安全策略和要求。未經(jīng)陪同人員許可，第三方人員不準擅自開通網(wǎng)絡(luò)共享資源，不準擅自利用企業(yè)公司所轄單位的計算機上互聯(lián)網(wǎng)和其他外部網(wǎng)。由于工作需要對信息系統(tǒng)進行臨時訪問（訪問時間不能超過24小時）的第三方人員，由陪同人員輸入登錄口令來獲得臨時性登錄權(quán)限。在遠程訪問時，為其創(chuàng)建臨時賬號來獲得登錄權(quán)限，使用完后應(yīng)當立即收回。如有需要，可以重新設(shè)置，但應(yīng)當使用新的口令。第三方人員在離開前，由陪同人員通知相關(guān)賬號管理人員進行用戶賬號的撤銷。第三方人員的計算機在接入局域網(wǎng)前應(yīng)當由陪同人員或陪同人員通知PC維護人員檢查是否安裝有最新防病毒代碼的防毒軟件。否則不允許其接入企業(yè)公司所轄單位網(wǎng)絡(luò)。第三方人員因工作需要通過遠程方式訪問企業(yè)公司所轄單位局域網(wǎng)的，應(yīng)當經(jīng)信息安全責任人審批同意方可進行。第三方人員對信息系統(tǒng)進行遠程維護時，應(yīng)當由第三方人員記錄重要操作并提交IT部門相關(guān)管理人員備案。IT部門相關(guān)人員應(yīng)當對其訪問行為進行記錄、監(jiān)控并負責善后處理。與第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。這些協(xié)議可能涉及對企業(yè)公司所轄單位的信息或信息處理設(shè)施的訪問、處理、溝通或管理。協(xié)議應(yīng)確保在企業(yè)公司所轄單位和第三方之間不存在誤解。第三方服務(wù)交付協(xié)議中應(yīng)當包括安全控制措施、服務(wù)定義和交付水準，并進行監(jiān)督、評審和變更控制，以確保第三方按照協(xié)議實施。第三方參與的項目或外包服務(wù)，應(yīng)當在合同中明確規(guī)定人員的信息安全責任，必要時應(yīng)當簽署保密協(xié)議。保密協(xié)議內(nèi)容應(yīng)包括以下方面：定義要保護的信息（如敏感信息）；保密協(xié)議的期望持續(xù)時間；機密信息的許可使用，及簽署者使用信息的權(quán)力；對涉及敏感信息的活動的審計監(jiān)視權(quán)力；違反協(xié)議后期望采取的措施。

物理和環(huán)境安全管理企業(yè)公司所轄單位建筑周圍應(yīng)設(shè)置圍墻，并有人員24小時職守入口，未經(jīng)許可，非本企業(yè)公司所轄單位人員不得入內(nèi)；所有員工、合同方和第三方用戶以及所有訪問者要佩帶可識別身份的標識。機房區(qū)域應(yīng)當僅允許設(shè)備維護人員入內(nèi)，進入機房人員應(yīng)當進行詳細登記，登記內(nèi)容至少包括人名、所屬部門或單位、進入機房理由、進入退出時間。門禁權(quán)限應(yīng)定期復(fù)審，門禁日志（包括進入機房登記）至少保留三個月。企業(yè)公司所轄單位應(yīng)安裝入侵檢測系統(tǒng)（內(nèi)部監(jiān)控錄像），監(jiān)查點至少包括大門入口、樓梯間以及機房，并安排人員監(jiān)控，錄像內(nèi)容至少保留三個月。機房應(yīng)當采取適當?shù)姆漓o電措施。重要設(shè)備的安全保障設(shè)施（如熱敏和煙氣探測器、火警系統(tǒng)、滅火設(shè)備、供電線路、照明器具、門禁等）應(yīng)當至少每半年進行檢查和維護，并進行書面記錄。應(yīng)當提供穩(wěn)定的電力供應(yīng)，防止供電不正常的現(xiàn)象?？梢圆捎枚喾N保證連續(xù)供電的方法例如多回路供電、不間斷電源（UPS）、備用發(fā)電機等。應(yīng)當明確信息設(shè)備維護的時間間隔，信息設(shè)備的日常維護工作應(yīng)當按照規(guī)定的維護操作流程進行，操作流程應(yīng)當指明具體步驟。每次維護工作完畢后，應(yīng)當填寫維護工作記錄。信息系統(tǒng)設(shè)備的故障處理應(yīng)當按照故障處理相關(guān)規(guī)定執(zhí)行，記錄故障現(xiàn)象和處理措施。設(shè)備的硬件配置發(fā)生變化應(yīng)當根據(jù)變更配置管理流程進行記錄備案。信息設(shè)備的購買和投入使用應(yīng)當按照正式的規(guī)定和流程進行審批并備案。應(yīng)當在每個信息設(shè)備上有明顯的資產(chǎn)標識，標識中至少包括編號、名稱等信息。信息設(shè)備驗收過程中應(yīng)當核對供貨方提供的驗收安裝報告，保證訂購要求及設(shè)備實際交貨情況相符，驗收安裝報告應(yīng)當由供貨方和驗收人簽字確認。所有信息系統(tǒng)設(shè)備應(yīng)當?shù)怯洸⒓皶r更新；信息系統(tǒng)設(shè)備的登記記錄應(yīng)當至少包括信息設(shè)備的分類、名稱、品牌、型號、用途、借用及返還情況、資產(chǎn)所有者、管理項目組、管理人員、使用人員等。應(yīng)當每年進行復(fù)審。信息設(shè)備嚴禁外借，確因工作需要，應(yīng)當報請相關(guān)部門領(lǐng)導(dǎo)批準，并進行登記備案。對棄置的存儲有敏感信息的設(shè)備，應(yīng)當采取安全的銷毀措施。

通訊與操作安全管理操作程序和職責信息系統(tǒng)的操作和應(yīng)當遵循正式的管理流程，以降低未授權(quán)訪問、無意識修改或濫用企業(yè)公司所轄單位資產(chǎn)的風險。至少包括：設(shè)備、系統(tǒng)維護；計算機機房管理；備份操作以及系統(tǒng)失效時的恢復(fù)程序；應(yīng)盡可能應(yīng)分離職責，確保在無授權(quán)或未被監(jiān)測時，個人不能訪問或修改企業(yè)公司所轄單位信息資產(chǎn)。防范惡意代碼應(yīng)當部署統(tǒng)一的惡意代碼防范系統(tǒng)，包括客戶端、介質(zhì)、郵件、WEB等方面。保護信息系統(tǒng)不受病毒侵害，是每個員工不可推卸的責任。員工應(yīng)當遵守《員工信息安全手冊》上相關(guān)防范惡意和移動代碼的規(guī)定，任何不負責任的行為將視為違反信息安全管理規(guī)定并追究其個人責任。應(yīng)當定期查詢防病毒服務(wù)器上的病毒定義文件版本是否為最新。及時檢查并安裝經(jīng)過檢驗的安全補丁。定期巡檢：至少每兩周進行一次，并詳細記錄巡檢結(jié)果。巡檢內(nèi)容包括計算機上防病毒軟件是否激活、病毒庫是否更新、計算機上相應(yīng)的補丁文件是否安裝、是否有不符規(guī)定的共享目錄等。巡檢過程中發(fā)現(xiàn)的問題應(yīng)當及時解決。由于人為原因造成的防病毒軟件無法正常運行，或由于隨意共享目錄造成病毒感染及傳播的將予以通報。備份IT管理員負責制訂備份策略、系統(tǒng)恢復(fù)操作流程和恢復(fù)測試等工作。對重要的應(yīng)用系統(tǒng)、操作系統(tǒng)、配置文件及日志等應(yīng)當進行備份，對重要數(shù)據(jù)應(yīng)定時備份，并送指定地點存放。備份信息介質(zhì)應(yīng)當做好標記，并放置在專門地點，該地點應(yīng)當安全可靠?；謴?fù)流程應(yīng)當至少每半年檢查和測試以確保能有效地在規(guī)定時間內(nèi)進行數(shù)據(jù)的恢復(fù)。網(wǎng)絡(luò)安全管理應(yīng)當對網(wǎng)絡(luò)進行充分管理和控制，明確網(wǎng)絡(luò)的操作管理職責，并使用適當?shù)木W(wǎng)絡(luò)安全監(jiān)控措施及日志審計手段。應(yīng)當明確企業(yè)公司所轄單位網(wǎng)絡(luò)服務(wù)安全特性和管理要求，例如網(wǎng)絡(luò)連接控制以及安全連接的技術(shù)參數(shù)。介質(zhì)處理不得將載有重要信息的存儲介質(zhì)隨意存放，未經(jīng)信息資產(chǎn)安全責任人授權(quán)，不得帶出辦公地點。存放業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)，嚴禁外借，確因工作需要，須報請部門領(lǐng)導(dǎo)批準。如果介質(zhì)上的內(nèi)容不再需要，應(yīng)當立即清除，對于備份或存放有重要信息或軟件的存儲介質(zhì)，在棄用時應(yīng)當對信息資料進行消除處理，避免不必要的泄密。對需要長期保存的介質(zhì)，應(yīng)當在介質(zhì)質(zhì)量保證期內(nèi)進行轉(zhuǎn)儲，以防止介質(zhì)失效造成損失。所有存儲介質(zhì)應(yīng)當妥善保存。監(jiān)控及審計重要設(shè)備及應(yīng)用應(yīng)當開啟日志，應(yīng)當建立信息系統(tǒng)的登錄、使用情況和日志檢查的監(jiān)控流程。對日志應(yīng)當要有監(jiān)控及定期評審。下列事件應(yīng)當被記錄并監(jiān)控：超級權(quán)限操作，例如系統(tǒng)啟動和停止；成功與不成功的登錄；非授權(quán)存取的企圖；攻擊企圖；系統(tǒng)警告和錯誤。所有的生產(chǎn)環(huán)境服務(wù)器和網(wǎng)絡(luò)設(shè)備的系統(tǒng)時鐘應(yīng)當保持同步。信息系統(tǒng)技術(shù)漏洞管理企業(yè)公司所轄單位應(yīng)當及時確認信息系統(tǒng)的技術(shù)漏洞，一旦潛在的技術(shù)漏洞被確認，應(yīng)該確認相關(guān)的風險并采取措施；這些措施可能包括對包含漏洞的系統(tǒng)打補丁，或者應(yīng)用其它控制措施；如果要安裝補丁，則應(yīng)先評估安裝補丁可能帶來的風險，補丁在安裝之前應(yīng)該進行測試與評估，以確保補丁是有效的，且不會影響系統(tǒng)的正常運轉(zhuǎn)。對補丁行為的所有過程應(yīng)進行記錄和審核。

訪問控制安全管理訪問控制原則訪問控制的基本規(guī)則是“未經(jīng)允許，應(yīng)當一律禁止”。訪問控制的規(guī)則和權(quán)限應(yīng)該符合企業(yè)公司所轄單位業(yè)務(wù)要求，并記錄在案。用戶的訪問權(quán)限在授予時要遵循最小權(quán)限原則。訪問控制的權(quán)限應(yīng)當定期評審，以保證它對企業(yè)公司所轄單位業(yè)務(wù)的適用性。操作系統(tǒng)訪問控制應(yīng)當通過安全登陸程序?qū)Σ僮飨到y(tǒng)的訪問進行控制。所有用戶應(yīng)當有唯一的、專供其個人使用的用戶ID，并采取適當?shù)挠脩粽J證手段。應(yīng)當使用交互式口令管理系統(tǒng)，并啟用強口令策略。對于監(jiān)控、備份、日志管理等系統(tǒng)實用程序應(yīng)當經(jīng)過主管領(lǐng)導(dǎo)批準并由系統(tǒng)管理員進行安裝和維護。不活動會話應(yīng)當有超時設(shè)置。應(yīng)當使用連接時間限制以提供高風險應(yīng)用程序的額外安全保障。移動計算和遠程工作應(yīng)當制定移動計算安全管理規(guī)定，以防范使用移