信息安全管理制度

信息安全管理制度為了保障組織的信息安全，在信息技術(shù)快速發(fā)展的今天，制定一份完善的信息安全管理制度，可以有力地促進(jìn)組織的信息安全工作，下面就是一份信息安全管理制度的詳細(xì)內(nèi)容。一、制定目的本制度是為了規(guī)范組織用戶使用信息系統(tǒng)、網(wǎng)絡(luò)資源，確保信息系統(tǒng)、網(wǎng)絡(luò)資源的安全、穩(wěn)定運(yùn)行，防范包括人為在內(nèi)的各種惡意攻擊，保障組織信息資源安全，保護(hù)個(gè)人隱私，維護(hù)用戶利益，促進(jìn)組織信息化建設(shè)的和諧發(fā)展。二、適用范圍本制度適用于組織內(nèi)各類信息系統(tǒng)、網(wǎng)絡(luò)資源的管理和使用，包括但不限于計(jì)算機(jī)、服務(wù)器、數(shù)據(jù)庫、計(jì)算機(jī)網(wǎng)絡(luò)、存儲(chǔ)設(shè)備、通信設(shè)備等。三、制度內(nèi)容1.信息系統(tǒng)、網(wǎng)絡(luò)資源的安全管理1.1準(zhǔn)入管理：用戶準(zhǔn)入是指用戶使用信息系統(tǒng)、網(wǎng)絡(luò)資源的授權(quán)過程。用戶準(zhǔn)入應(yīng)當(dāng)遵循“最小權(quán)限原則”。1.1.1用戶準(zhǔn)入管理制度：（1）所有用戶使用信息系統(tǒng)、網(wǎng)絡(luò)資源前必須進(jìn)行身份認(rèn)證，并使用合法身份證明。（2）用戶身份驗(yàn)證成功后須取得相應(yīng)權(quán)限。（3）對(duì)于重要的數(shù)據(jù)、系統(tǒng)等，應(yīng)實(shí)行雙重認(rèn)證。1.1.2用戶權(quán)限管理制度：（1）用戶權(quán)限分級(jí)制度（2）系統(tǒng)管理員分級(jí)管理制度1.1.3用戶密碼和口令管理制度：（1）密碼復(fù)雜度限制和密碼強(qiáng)度：長度、大小寫、字符類型限制。（2）密碼定期更換。（3）口令長度要求。（4）口令復(fù)雜度要求。1.1.4用戶行為規(guī)范制度：用戶禁止進(jìn)行以下行為：（1）未經(jīng)許可存儲(chǔ)、拷貝或使用含有未經(jīng)許可的版權(quán)內(nèi)容。（2）使用P2P或BT下載非法文件或病毒。（3）未經(jīng)許可使用其他用戶的帳號(hào)或者帳號(hào)密碼。（4）在組織信息網(wǎng)絡(luò)中傳播不實(shí)、誹謗、侮辱、攻擊、敲詐、淫穢等信息。2.信息安全事件管理2.1信息安全事件的定義：在信息系統(tǒng)日常運(yùn)行過程中所發(fā)生的，導(dǎo)致信息系統(tǒng)數(shù)據(jù)泄露、服務(wù)中斷和與信息系統(tǒng)安全相關(guān)的事件。2.2信息安全事件等級(jí)（1）嚴(yán)重等級(jí)事件(1小時(shí)內(nèi)上報(bào))。（2）重要等級(jí)事件(2小時(shí)內(nèi)上報(bào))。（3）一般等級(jí)事件(24小時(shí)內(nèi)上報(bào))。2.3事件管理流程（1）發(fā)現(xiàn)異常事件。（2）組織安全人員調(diào)查分析。（3）初步判斷事件等級(jí)。（4）確認(rèn)事件范圍。（5）制定事件處理方案。（6）實(shí)施事件處置。（7）事件解決。（8）事件分析總結(jié)。3.備份管理3.1文件備份3.1.1全局范圍內(nèi)進(jìn)行自動(dòng)備份。3.1.2對(duì)于重要文件定期手動(dòng)備份。3.1.3定期測(cè)試恢復(fù)備份數(shù)據(jù)。3.1.4定期更換備份介質(zhì)。3.2數(shù)據(jù)庫備份3.2.1全局范圍內(nèi)進(jìn)行定期自動(dòng)備份。3.2.2對(duì)于重要數(shù)據(jù)庫全天候監(jiān)控。3.2.3定時(shí)對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析，并進(jìn)行調(diào)整優(yōu)化。3.2.4定期測(cè)試恢復(fù)備份數(shù)據(jù)。3.3關(guān)鍵系統(tǒng)備份3.3.1對(duì)于關(guān)鍵系統(tǒng)進(jìn)行全天候監(jiān)控。3.3.2定期記錄系統(tǒng)運(yùn)行狀態(tài)。3.3.3定期備份系統(tǒng)文件。3.3.4定期測(cè)試恢復(fù)備份數(shù)據(jù)。4.物理安全4.1環(huán)境設(shè)置4.1.1物理安全區(qū)域。4.1.2防火、防水、防震、防雷、防盜等措施。4.2電源管理4.2.1手動(dòng)切斷電源。4.2.2按計(jì)劃關(guān)機(jī)。4.2.3啟用UPS。4.3權(quán)限分配4.3.1安裝非法軟件。4.3.2改變系統(tǒng)配置。4.3.3更改系統(tǒng)安全策略。5.系統(tǒng)安全5.1系統(tǒng)安全審計(jì)5.1.1對(duì)系統(tǒng)操作記錄進(jìn)行審計(jì)。5.1.2對(duì)系統(tǒng)安全事件進(jìn)行審計(jì)。5.2代碼準(zhǔn)入審批5.2.1對(duì)新增加、修訂的軟件代碼進(jìn)行審批。5.2.2進(jìn)行軟件源代碼安全掃描。5.3系統(tǒng)漏洞掃描5.3.1定期檢測(cè)系統(tǒng)漏洞。5.3.2定期測(cè)試系統(tǒng)安全級(jí)別。6.違規(guī)處理6.1違規(guī)事件類型6.1.1未經(jīng)允許的外聯(lián)。6.1.2未經(jīng)允許的越權(quán)操作。6.1.3非法入侵。6.1.4信息泄露。）6.1.5病毒攻擊。6.2違規(guī)數(shù)據(jù)統(tǒng)計(jì)：6.2.1統(tǒng)計(jì)違規(guī)行為的數(shù)量和類型。6.2.2對(duì)違規(guī)行為的發(fā)現(xiàn)和處理進(jìn)行記錄。6.3違規(guī)事件處理：6.3.1協(xié)助組織制定違規(guī)行為預(yù)防計(jì)劃和紀(jì)律處分制度，實(shí)行預(yù)防、預(yù)警、防護(hù)的綜合治理。6.3.2責(zé)令?？凇和２僮?，限制使用權(quán)限。6.3.3緊急處理違規(guī)操作，保證系統(tǒng)穩(wěn)定運(yùn)行。6.3.4積極配合公安、通信行政部門的調(diào)查工作，協(xié)助善后處理。7.附則7.1本制度由信息化安全管理人員主持制定，經(jīng)組織領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施。7.2具體操作事宜由信息化安