F4-B-研發(fā)服務(wù)體系-001-V1.0-運(yùn)行時(shí)信息資產(chǎn)安全分級管理制度

【運(yùn)行時(shí)信息資產(chǎn)安全分級管理制度】F4-B-研發(fā)服務(wù)體系-001-V1.0第頁運(yùn)行時(shí)信息資產(chǎn)安全分級管理制度目錄TOC\o"1-3"\h\u一、運(yùn)行時(shí)可導(dǎo)致信息資產(chǎn)安全風(fēng)險(xiǎn)的因素分類及責(zé)任部門 2二、各部門管理職責(zé)： 2三、運(yùn)營時(shí)資產(chǎn)使用監(jiān)管單位： 4四、管理制度 4

運(yùn)行時(shí)信息資產(chǎn)安全分級管理制度運(yùn)行時(shí)可導(dǎo)致信息資產(chǎn)安全風(fēng)險(xiǎn)的因素分類及責(zé)任部門一級風(fēng)險(xiǎn)：直接導(dǎo)致服務(wù)器運(yùn)行中斷，介質(zhì)損壞，信息資產(chǎn)大范圍損壞的風(fēng)險(xiǎn)，造成嚴(yán)重經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。主要原因有：設(shè)備斷電存儲(chǔ)介質(zhì)故障感染病毒二級風(fēng)險(xiǎn)：直接導(dǎo)致信息資產(chǎn)被非法拷貝傳播，信息系統(tǒng)停止運(yùn)行等重大故障，造成較大的經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部和各使用部門和研發(fā)部門共同承擔(dān)安全管理責(zé)任。主要原因有：軟件、系統(tǒng)、平臺、數(shù)據(jù)庫管理員密碼泄露，非法登錄，運(yùn)行數(shù)據(jù)被修改。程序入侵系統(tǒng)運(yùn)行配置文件非法拷貝傳播，使安全管控配置數(shù)據(jù)外泄。代碼BUG和溢出漏洞外部攻擊三級風(fēng)險(xiǎn)：導(dǎo)致系統(tǒng)運(yùn)行結(jié)果數(shù)據(jù)錯(cuò)誤或業(yè)務(wù)數(shù)據(jù)被非法復(fù)制傳播，造成一定的經(jīng)濟(jì)損失。由系統(tǒng)維護(hù)部承擔(dān)安全管理責(zé)任。主要原因有：業(yè)務(wù)管理員誤操作系統(tǒng)管理員誤操作操作人員帳號口令被竊。各部門管理職責(zé)：系統(tǒng)服務(wù)部：須保證服務(wù)器配置了防火墻，只允許信息系統(tǒng)運(yùn)行的最小資源開放。須保證網(wǎng)絡(luò)通暢、高效，有良好的系統(tǒng)運(yùn)行環(huán)境。對一級風(fēng)險(xiǎn)：a.房保證電源可靠性，雙回供電或服務(wù)器增加UPS不間斷電源。b.執(zhí)行變更管理流程前，對運(yùn)行數(shù)據(jù)進(jìn)行安全備份。c.安裝有效的防病毒軟件，每周一次更新病毒庫，在有嚴(yán)重病毒傳播警告時(shí)，及時(shí)更新病毒庫。對二級風(fēng)險(xiǎn)：a.內(nèi)部和外部網(wǎng)路及軟硬件的弱點(diǎn)掃描至少每季度進(jìn)行一次，在網(wǎng)絡(luò)發(fā)生重大變更后，在應(yīng)用程序和軟件發(fā)布前、安裝、升級后也需執(zhí)行一次掃描檢查。b.網(wǎng)站應(yīng)采取有效的數(shù)據(jù)保護(hù)、防釣魚攻擊等方面的安全防控措施，定期開展計(jì)算機(jī)病毒木馬查殺、漏洞掃描、滲透性測試等。c.須保證系統(tǒng)管理員密碼符合《訪問控制程序》中口令使用規(guī)定。須保證系統(tǒng)管理員密碼安全可靠保存。d.每天須監(jiān)控網(wǎng)絡(luò)流量數(shù)據(jù)，發(fā)現(xiàn)流量異常，即刻查明原因。按《信息安全事件管理程序》的要求執(zhí)行相關(guān)事件處理流程。保證即時(shí)發(fā)現(xiàn)外部攻擊風(fēng)險(xiǎn)，采取適當(dāng)措施應(yīng)對，將損失降到最低。研發(fā)部：敏感數(shù)據(jù)加密傳輸：制定加密方案，傳輸方式。對二級風(fēng)險(xiǎn)：a.對所開發(fā)程序提交測試部進(jìn)行系統(tǒng)性測試，對測試出的問題進(jìn)行處理解決，減少程序BUG的產(chǎn)生。b.對可能有安全隱患的程序代碼進(jìn)行溢出漏洞測試，保證代碼的可用性、可靠性。各業(yè)務(wù)部門為應(yīng)對三級風(fēng)險(xiǎn)，各業(yè)務(wù)相關(guān)部門應(yīng)做到：對業(yè)務(wù)系統(tǒng)權(quán)限進(jìn)行嚴(yán)格管理。嚴(yán)格執(zhí)行《訪問控制程序》中權(quán)限管理的規(guī)定和管理流程。對帳號密碼須嚴(yán)格執(zhí)行《訪問控制程序》中口令使用規(guī)定。業(yè)務(wù)人員操作應(yīng)嚴(yán)格執(zhí)行相關(guān)業(yè)務(wù)流程，避免誤操作發(fā)生。見《訊鳥流程操作規(guī)范》和其他業(yè)務(wù)流程操作規(guī)范。運(yùn)營時(shí)資產(chǎn)使用監(jiān)管單位：系統(tǒng)服務(wù)部管理制度引用文件：訊鳥流程操作規(guī)范訪問控制制度信息安全事件管理制度本制度相關(guān)修改及解釋權(quán)屬于研發(fā)服務(wù)體系文檔編號（由總經(jīng)辦填寫）F4-B-研發(fā)服務(wù)體系-001-V1.0密級內(nèi)部公開文檔發(fā)布級別公司級文檔發(fā)布及實(shí)行范圍研發(fā)服務(wù)體系制度試行日期（可選）制度執(zhí)行日期2017/07/01文檔起草人簽字：日期：2017/07/01文檔修訂人：簽字：日期：修訂說明：