集團(tuán)公司信息安全管理制度

《xx集團(tuán)信息安全管理制度》1.總則 21.1信息安全定義 21.2確保信息安全的重要性 21.3本制度適用范圍 21.4責(zé)任 22.信息資產(chǎn)安全管理 22.1信息資產(chǎn)分類(lèi) 22.2信息資產(chǎn)管理 33.人力資源安全 33.1新進(jìn)員工管理 33.2信息系統(tǒng)權(quán)限管理 34.機(jī)房與環(huán)境安全 34.1機(jī)房位置選擇 34.2機(jī)房防護(hù)措施 34.3出入機(jī)房規(guī)定 44.4機(jī)房巡檢制度 45.網(wǎng)絡(luò)安全 45.1上網(wǎng)行為管理 45.2防火墻制度 45.3虛擬私人網(wǎng)絡(luò)（VPN） 45.4Internet安全 45.5虛擬局域網(wǎng)（VLAN） 55.6微博、微信管理 56.密碼安全與保密制度 56.1服務(wù)器操作系統(tǒng)超級(jí)用戶(hù)密碼 56.2數(shù)據(jù)庫(kù)超級(jí)用戶(hù)密碼 56.3其他系統(tǒng)超級(jí)用戶(hù)密碼 56.4個(gè)人pc密碼 56.5信息保密制度 57.數(shù)據(jù)庫(kù)、應(yīng)用與服務(wù)器安全 67.1建立磁盤(pán)陣列RAID 77.2數(shù)據(jù)庫(kù)備份 67.3數(shù)據(jù)庫(kù)權(quán)限管理 67.4直接修改數(shù)據(jù)庫(kù)數(shù)據(jù)流程 67.5信息的異地備份 67.6機(jī)密數(shù)據(jù)加密 67.7應(yīng)用程序版本管理 78.病毒防范制度 78.1殺毒軟件與殺毒 78.2病毒防范行為 71.總則1.1信息安全定義信息安全是指為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。定義包含了幾個(gè)層面的概念，其中計(jì)算機(jī)硬件可以看做是物理層面，軟件可以看做是運(yùn)行層面，和數(shù)據(jù)層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機(jī)密性。1.2確保信息安全的重要性信息系統(tǒng)是企業(yè)業(yè)務(wù)活動(dòng)正常運(yùn)行的基礎(chǔ)，信息安全是企業(yè)業(yè)務(wù)活動(dòng)正常運(yùn)行的保障。xx集團(tuán)是一家規(guī)范的多元化產(chǎn)業(yè)公司群，擁有大量的金融、財(cái)務(wù)、人力資源、客戶(hù)等涉密信息，網(wǎng)絡(luò)化，數(shù)字化使得這些信息雖然容易被存放，也極其容易被泄露、盜取和挪用。所以建立信息安全制度顯得十分必要。1.3本制度適用范圍除了xx集團(tuán)信息管理中心全體職員外，本制度還適用于使用、維護(hù)信息系統(tǒng)或使用信息工具的全體xx集團(tuán)職員。1.4責(zé)任在信息安全制度的涉及范圍內(nèi)，每個(gè)單位、部門(mén)的信息安全由部門(mén)負(fù)責(zé)人或由其指定專(zhuān)人來(lái)負(fù)責(zé)。2.信息資產(chǎn)安全管理2.1信息資產(chǎn)分類(lèi)信息資產(chǎn)按照機(jī)密性分為普通、敏感與機(jī)密三類(lèi)。2.2信息資產(chǎn)管理1.敏感與機(jī)密信息在傳輸和存儲(chǔ)時(shí)均需標(biāo)示其等級(jí)。2.敏感與機(jī)密信息欲復(fù)制、攜帶外出時(shí)，應(yīng)提出申請(qǐng)載明申請(qǐng)用途，經(jīng)單位負(fù)責(zé)人及集團(tuán)信息管理中心負(fù)責(zé)人授權(quán)核準(zhǔn)后，加密后攜離使用。3.可攜帶存儲(chǔ)媒體（磁盤(pán)、光盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)等）若存儲(chǔ)敏感與機(jī)密信息，保存時(shí)需于枷鎖櫥柜內(nèi)。必須注意防磁、防潮、防火、防盜，必須垂直放置。4.單位、部門(mén)敏感與機(jī)密信息應(yīng)由單位、部門(mén)負(fù)責(zé)人管理，集團(tuán)敏感與機(jī)密信息應(yīng)由集團(tuán)辦公室負(fù)責(zé)人管理。5.敏感與機(jī)密信息不得使用網(wǎng)絡(luò)、傳真等方式傳送。6.敏感與機(jī)密信息應(yīng)采用加密方法進(jìn)行保護(hù)，并考慮使用技術(shù)手段，防止信息在未經(jīng)過(guò)授權(quán)的情況下遭到篡改。7.敏感與機(jī)密信息應(yīng)執(zhí)行權(quán)限管理與異地備份機(jī)制。3.人力資源安全3.1新進(jìn)員工管理1.新員工簽署勞動(dòng)合同時(shí)，要明確信息安全責(zé)任，使新員工從一開(kāi)始就了解公司對(duì)信息安全的要求，增加員工的安全印象。2.對(duì)新員工進(jìn)行崗前教育與培訓(xùn)，使員工在較短時(shí)間內(nèi)熟悉組織的信息安全政策和程序。3.明確規(guī)定員工必須遵守國(guó)家的法律法規(guī)的信息安全政策，任何與法律法規(guī)安全政策相違背的行為，都被視為安全事件并受到相應(yīng)懲罰。4.根據(jù)新員工的崗位職能，分配相應(yīng)系統(tǒng)的使用權(quán)限。3.2信息系統(tǒng)權(quán)限管理1.任何信息系統(tǒng)必須具有權(quán)限管理功能。對(duì)于用戶(hù)較多的大型系統(tǒng)，可使用區(qū)域、組別、個(gè)人三級(jí)管理；而對(duì)于用戶(hù)數(shù)量一般的中型系統(tǒng)，可使用組別、個(gè)人進(jìn)行二級(jí)管理。2.為確保金融、財(cái)務(wù)等關(guān)鍵系統(tǒng)準(zhǔn)確無(wú)誤，系統(tǒng)中相關(guān)數(shù)據(jù)必須由一人錄入，另一個(gè)審核。數(shù)據(jù)的錄入人員和審核人員不能為同一人。3.信息安全負(fù)責(zé)人負(fù)責(zé)信息系統(tǒng)權(quán)限管理和分配工作。如果是全公司員工都需使用系統(tǒng)，如OA，由集團(tuán)辦公室負(fù)責(zé)系統(tǒng)權(quán)限管理和分配工作。4.各單位的信息技術(shù)部門(mén)人員負(fù)責(zé)權(quán)限管理的實(shí)施工作。3.2.1信息系統(tǒng)權(quán)限申請(qǐng)流程1.員工填寫(xiě)《信息系統(tǒng)權(quán)限申請(qǐng)審批表》時(shí)（附表1，以下簡(jiǎn)稱(chēng)“審批表”），應(yīng)注明員工工號(hào)、姓名，權(quán)限區(qū)域、組別，申請(qǐng)理由等必要內(nèi)容。2.“審批表”交由所在單位的信息安全負(fù)責(zé)人審核信息后簽名確認(rèn)，并提交集團(tuán)信息管理中心信息技術(shù)部。3.“審批表”經(jīng)集團(tuán)信息管理中心信息技術(shù)部安全負(fù)責(zé)人審核簽名確認(rèn)后，由信息技術(shù)部開(kāi)通權(quán)限。4.原則上登陸系統(tǒng)的用戶(hù)名與申請(qǐng)員工工號(hào)一致，初始密碼是password或統(tǒng)一標(biāo)記。如果不是，則通過(guò)郵件告知申請(qǐng)人員。5.申請(qǐng)人員得到系統(tǒng)使用權(quán)限后，需立即登陸系統(tǒng)，并修改初始密碼。如不修改，所造成的后果自負(fù)。3.2.2信息系統(tǒng)權(quán)限變更流程1.信息系統(tǒng)權(quán)限變更流程適用于人員調(diào)崗、離崗、轉(zhuǎn)崗、離職等變化情況。2.“審批表”應(yīng)注明員工工號(hào)，姓名，變更（撤銷(xiāo)）權(quán)限原因，變更（撤銷(xiāo)）權(quán)限區(qū)域、組別等必要內(nèi)容。3.交由所在單位的信息安全負(fù)責(zé)人審核信息后簽名確認(rèn)，并提交集團(tuán)信息管理中心信息技術(shù)部。4.“審批表”經(jīng)集團(tuán)信息管理中心信息技術(shù)部安全負(fù)責(zé)人審核簽名確認(rèn)后，由信息技術(shù)調(diào)整或撤銷(xiāo)權(quán)限。4.機(jī)房與環(huán)境安全4.1機(jī)房位置選擇1.機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房的承重要求應(yīng)滿(mǎn)足設(shè)計(jì)要求，不能建立在地下室，以及用水設(shè)備的下層或者隔壁。2.機(jī)房場(chǎng)地應(yīng)當(dāng)避開(kāi)強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)振動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)4.2機(jī)房防護(hù)措施1.防雷擊。機(jī)房建筑應(yīng)設(shè)置避雷針；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置交流電源接地。2.防火。應(yīng)設(shè)置火宅自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情，自動(dòng)報(bào)警。機(jī)房建筑材料應(yīng)具有耐火等級(jí)。3.防水與防潮。水管安裝不得穿過(guò)屋頂和活動(dòng)地板下；應(yīng)采取措施防止雨水通過(guò)屋頂和墻壁。4.溫濕度控制。應(yīng)設(shè)置恒溫恒濕系統(tǒng)，使機(jī)房溫度、濕度的變化在設(shè)備運(yùn)行所允許的范圍內(nèi)。5.防靜電。應(yīng)采用必要的接地等防靜電措施；應(yīng)采用防靜電地板。6.防電力中斷。應(yīng)采用UPS和備用電源平衡管理，當(dāng)發(fā)生突然停電時(shí)，不產(chǎn)生閃斷現(xiàn)象。4.3出入機(jī)房規(guī)定1.機(jī)房大門(mén)配置電子門(mén)禁，除機(jī)房巡檢人員、信息技術(shù)部經(jīng)理、集團(tuán)信息管理中心總監(jiān)、集團(tuán)負(fù)責(zé)人外，其他人員一律不得進(jìn)入機(jī)房。2.外來(lái)人員須進(jìn)入機(jī)房的，要填寫(xiě)《機(jī)房出入申請(qǐng)審批單》（附表2），經(jīng)過(guò)集團(tuán)信息管理中心信息技術(shù)部門(mén)安全負(fù)責(zé)人審核批準(zhǔn)后，才能進(jìn)入。3.機(jī)房?jī)?nèi)安裝監(jiān)控裝置，保留15天以上的攝像記錄。4.4機(jī)房巡檢制度1.機(jī)房管理員每天早（9:00）晚（17:00）巡視機(jī)房各個(gè)設(shè)備，認(rèn)真填寫(xiě)《機(jī)房巡檢單》（附表3）。發(fā)現(xiàn)設(shè)備故障，記錄并立即報(bào)告信息技術(shù)部運(yùn)維經(jīng)理、總監(jiān)。2.信息技術(shù)部運(yùn)維經(jīng)理、總監(jiān)不定時(shí)抽查機(jī)房巡檢員日常巡檢工作，發(fā)現(xiàn)漏巡檢、晚巡檢等違規(guī)行為，嚴(yán)肅處理。3.《機(jī)房巡檢單》每月匯總，封存入信息技術(shù)部檔案。5.網(wǎng)絡(luò)安全5.1上網(wǎng)行為管理1.防止非法信息惡意傳播，避免企業(yè)機(jī)密信息泄漏；并可實(shí)時(shí)監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率，建立上網(wǎng)行為管理制度。2.由集團(tuán)辦公室確定嚴(yán)禁上網(wǎng)行為，例如：網(wǎng)上購(gòu)物，在線(xiàn)聊天，在線(xiàn)觀(guān)看電影、視頻、P2P等，信息技術(shù)部配合實(shí)現(xiàn)上網(wǎng)行為管理。3.特殊崗位需開(kāi)發(fā)某些上網(wǎng)行為的，報(bào)集團(tuán)辦公室審批同意后，由信息技術(shù)部門(mén)配合實(shí)現(xiàn)上網(wǎng)行為管理。5.2防火墻制度 1.防止公司信息系統(tǒng)遭到來(lái)自外部人員的任何非法攻擊和入侵，需要將公司內(nèi)部局域網(wǎng)與Internet通過(guò)硬件防火墻進(jìn)行隔離。信息技術(shù)部負(fù)責(zé)建立、配置、管理硬件防火墻。 2.集團(tuán)下屬任何單位及部門(mén)（或個(gè)人）都不得關(guān)閉PC端操作系統(tǒng)防火墻，一旦發(fā)現(xiàn)造成系統(tǒng)損壞、數(shù)據(jù)丟失，后果自負(fù)。5.3虛擬私人網(wǎng)絡(luò)（VPN） 1.VPN技術(shù)是企業(yè)常用的網(wǎng)絡(luò)安全技術(shù)之一。VPN利用公共網(wǎng)絡(luò)建立專(zhuān)用網(wǎng)絡(luò)，屏蔽了網(wǎng)絡(luò)之外所有用戶(hù)。信息技術(shù)部提供技術(shù)，負(fù)責(zé)建立集團(tuán)總部與各公司之間的VPN網(wǎng)絡(luò)。 2.為提高VPN安全級(jí)別，信息技術(shù)部負(fù)責(zé)不定期地更換接連密碼和加密方式。 3.進(jìn)入VPN網(wǎng)絡(luò)的集團(tuán)、各公司成員不得泄露連接密碼、加密方式和靜態(tài)地址，一旦發(fā)現(xiàn)，嚴(yán)肅查處。造成后果的由責(zé)任人自負(fù)。5.4Internet安全 1.信息技術(shù)部負(fù)責(zé)運(yùn)用各種信息技術(shù)提高集團(tuán)各公司官網(wǎng)的安全級(jí)別，防止非法攻擊。2.信息技術(shù)部負(fù)責(zé)運(yùn)用PKI、數(shù)字簽名等各種技術(shù)提高業(yè)務(wù)交易平臺(tái)的安全級(jí)別，防止非法攻擊和敏感與機(jī)密信息泄露。3.員工瀏覽Internet時(shí)，不得降低瀏覽器安全級(jí)別，不得瀏覽非法網(wǎng)站，一經(jīng)發(fā)現(xiàn)，后果自負(fù)。5.5虛擬局域網(wǎng)（VLAN）1.增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶(hù)組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性，信息技術(shù)部負(fù)責(zé)建立集團(tuán)辦公場(chǎng)所VLAN。2.集團(tuán)辦公場(chǎng)所員工不得更改IP地址。5.6微博、微信管理1.員工可以個(gè)人名義通過(guò)公司微博、微信、BBS平臺(tái)，轉(zhuǎn)發(fā)公司信息。2.以公司名義對(duì)外發(fā)布的信息，統(tǒng)一經(jīng)集團(tuán)辦公室批準(zhǔn)。3.信息技術(shù)部負(fù)責(zé)監(jiān)控公司微博、微信、BBS平臺(tái)，發(fā)現(xiàn)反動(dòng)、黃色、侵害公司形象的信息，有權(quán)立刻刪除，并向有關(guān)領(lǐng)導(dǎo)（包含但不僅限于集團(tuán)信息、人事、行政負(fù)責(zé)人等）進(jìn)行匯報(bào)。6.密碼安全與保密制度6.1服務(wù)器操作系統(tǒng)超級(jí)用戶(hù)密碼1.信息技術(shù)部項(xiàng)目工程師擁有所負(fù)責(zé)項(xiàng)目系統(tǒng)的超級(jí)用戶(hù)密碼。2.信息技術(shù)部總監(jiān)、運(yùn)維部經(jīng)理、機(jī)房巡查員擁有所有服務(wù)器操作系統(tǒng)超級(jí)用戶(hù)密碼。3.超級(jí)用戶(hù)密碼以每月為周期，由運(yùn)維部經(jīng)理、項(xiàng)目工程師、機(jī)房巡查員到場(chǎng)一起修改，并報(bào)備總監(jiān)。4.各臺(tái)服務(wù)器操作系統(tǒng)的超級(jí)用戶(hù)密碼必須不一致。6.2數(shù)據(jù)庫(kù)超級(jí)用戶(hù)密碼1.信息技術(shù)部項(xiàng)目工程師擁有所負(fù)責(zé)項(xiàng)目數(shù)據(jù)庫(kù)的超級(jí)用戶(hù)密碼。2.信息技術(shù)部總監(jiān)、運(yùn)維部經(jīng)理?yè)碛兴袛?shù)據(jù)庫(kù)超級(jí)用戶(hù)密碼。3.超級(jí)用戶(hù)密碼以每月為周期，由運(yùn)維部經(jīng)理、項(xiàng)目工程師到場(chǎng)一起修改，并報(bào)備總監(jiān)。4.每個(gè)數(shù)據(jù)庫(kù)的超級(jí)用戶(hù)密碼必須不一致。6.3其他系統(tǒng)超級(jí)用戶(hù)密碼1.信息技術(shù)部項(xiàng)目工程師擁有所負(fù)責(zé)項(xiàng)目的超級(jí)用戶(hù)密碼。2.信息技術(shù)部總監(jiān)、運(yùn)維部經(jīng)理?yè)碛兴邢到y(tǒng)超級(jí)用戶(hù)密碼。6.4個(gè)人pc密碼1.員工新領(lǐng)pc后，需修改登陸密碼。個(gè)人密碼不應(yīng)過(guò)于簡(jiǎn)單，不應(yīng)記錄在筆記本上，被人破譯或盜用。2.員工使用完畢各應(yīng)用系統(tǒng)后，需安全退出，防止被他人使用。6.5信息保密制度1.涉密信息不得通過(guò)任何途徑傳播和存儲(chǔ)，一旦發(fā)現(xiàn)，要追求個(gè)人責(zé)任。2.員工妥善保管好自己的密碼，不得向其他人泄露。一旦發(fā)生泄露導(dǎo)致公司財(cái)產(chǎn)損失，要追究個(gè)人責(zé)任。3.信息技術(shù)部研發(fā)的任何軟件、代碼、圖片、界面等屬于公司財(cái)產(chǎn)，不得以任何形式向外部人員提供、泄露。7.數(shù)據(jù)庫(kù)、應(yīng)用與服務(wù)器安全7.1建立磁盤(pán)陣列RAID1.RAID通過(guò)在多個(gè)磁盤(pán)上通過(guò)數(shù)據(jù)校驗(yàn)提供容錯(cuò)功能，確保服務(wù)器運(yùn)行安全。2.記錄不可復(fù)制且保密程度較高數(shù)據(jù)的服務(wù)器（如用友NC數(shù)據(jù)庫(kù)服務(wù)器），采用基于數(shù)據(jù)分條+數(shù)據(jù)鏡像磁盤(pán)結(jié)構(gòu)（RAID0+1）方式?？梢源_保在一半磁盤(pán)全部損壞前，完全保存數(shù)據(jù)。3.記錄一般數(shù)據(jù)的服務(wù)器，采用分布式奇偶校驗(yàn)的獨(dú)立磁盤(pán)結(jié)構(gòu)（RAID5）方式?？梢源_保在兩塊磁盤(pán)全部損壞前，完全保存數(shù)據(jù)。4.信息技術(shù)部項(xiàng)目工程師負(fù)責(zé)建立、維護(hù)相關(guān)服務(wù)器RAID工作，檢查磁盤(pán)工作狀態(tài)。7.2數(shù)據(jù)庫(kù)備份1.數(shù)據(jù)庫(kù)是保存最終數(shù)據(jù)的介質(zhì)，通過(guò)建立備份與災(zāi)難恢復(fù)策略，確保數(shù)據(jù)完整。2.數(shù)據(jù)庫(kù)每日零點(diǎn)進(jìn)行完全備份，15天循環(huán)覆蓋，存放在數(shù)據(jù)庫(kù)服務(wù)器上。3.信息技術(shù)部項(xiàng)目工程師負(fù)責(zé)建立、維護(hù)相關(guān)數(shù)據(jù)庫(kù)備份，檢驗(yàn)備份文件狀態(tài)。7.3數(shù)據(jù)庫(kù)權(quán)限管理1.信息技術(shù)部數(shù)據(jù)庫(kù)工程師負(fù)責(zé)設(shè)計(jì)數(shù)據(jù)庫(kù)權(quán)限管理方案；項(xiàng)目工程師負(fù)責(zé)實(shí)施相關(guān)數(shù)據(jù)庫(kù)權(quán)限管理工作。2.除信息技術(shù)部項(xiàng)目工程師、運(yùn)維部經(jīng)理、總監(jiān)外，任何人員不能得到數(shù)據(jù)庫(kù)超級(jí)用戶(hù)權(quán)限和密碼。3.按權(quán)限、管理組、人員三個(gè)維度設(shè)計(jì)數(shù)據(jù)庫(kù)權(quán)限，做到職責(zé)明確。7.4直接修改數(shù)據(jù)庫(kù)數(shù)據(jù)流程1.原則上在系統(tǒng)上線(xiàn)初始化后，不允許任何形式直接修改數(shù)據(jù)庫(kù)數(shù)據(jù)。2.數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)要建立修改行為觸發(fā)日志，為審計(jì)提供依據(jù)。3.數(shù)據(jù)庫(kù)維護(hù)人員僅有數(shù)據(jù)庫(kù)查詢(xún)權(quán)限。需要直接修改數(shù)據(jù)庫(kù)的，用戶(hù)可填寫(xiě)《數(shù)據(jù)庫(kù)修改數(shù)據(jù)申請(qǐng)表》（附表4），報(bào)本部門(mén)總監(jiān)確認(rèn)簽字后，提交信息技術(shù)部。4.信息技術(shù)部總監(jiān)簽字確認(rèn)《數(shù)據(jù)庫(kù)修改數(shù)據(jù)申請(qǐng)表》后，由運(yùn)維部經(jīng)理實(shí)施修改。7.5信息的異地備份1.異地備份數(shù)據(jù)是指在另外一個(gè)地方產(chǎn)生一個(gè)副本，在緊急情況下，副本可立即投入使用。2.建立異地備份存儲(chǔ)服務(wù)器，存放數(shù)據(jù)庫(kù)備份文件、應(yīng)用程序、和其他重要信息。3.異地備份存儲(chǔ)服務(wù)器，每天6點(diǎn)開(kāi)始，提取各個(gè)數(shù)據(jù)庫(kù)備份文件，15天循環(huán)覆蓋。4.應(yīng)用程序?qū)嵭邪姹竟芾?，每個(gè)版本程序副本放置在異地備份存儲(chǔ)服務(wù)器上。5.信息技術(shù)部項(xiàng)目工程師負(fù)責(zé)相關(guān)系統(tǒng)的異地備份工作。7.6機(jī)密數(shù)據(jù)加密1.凡被認(rèn)定涉及個(gè)人隱私、經(jīng)濟(jì)利益而不能被公開(kāi)的信息，稱(chēng)為機(jī)密數(shù)據(jù)。機(jī)密數(shù)據(jù)不能以明文的形式保存或者傳輸，必須經(jīng)過(guò)加密手段處理。2.為確保交易者隱私和信息安全，大大財(cái)富等交易平臺(tái)傳輸