信息安全管理制度

德信誠培訓(xùn)網(wǎng)更多免費資料下載請進： 好好學(xué)習(xí)社區(qū)信息安全管理制度1.0目的落實本公司信息安全政策，強化及提升信息作業(yè)之安全水平，建立安全可靠的計算機化作業(yè)環(huán)境，確保計算機系統(tǒng)、數(shù)據(jù)、設(shè)備及網(wǎng)絡(luò)安全，以保障信息資產(chǎn)及公司計算機作業(yè)正常運作。根據(jù)本公司實際情況，特制定本制度。2.0范圍本制度適用于本公司所有部門及所有系統(tǒng)使用部門和人員。3.0職責(zé)部是本單位系統(tǒng)管理的責(zé)任主體，負(fù)責(zé)組織單位系統(tǒng)的維護和管理。4.0定義無5.0程序5.1硬件安全管理5.1.1服務(wù)器設(shè)備安全管理 a) 系統(tǒng)管理員每月對操作系統(tǒng)進行安全漏洞掃描，及時發(fā)現(xiàn)最新安全問題，通過升級、打補丁或加固等方式解決。b) 系統(tǒng)管理員對服務(wù)器的系統(tǒng)密碼每月更新一次，在每月月底前負(fù)責(zé)完成。c) 系統(tǒng)管理員在所有服務(wù)器操作系統(tǒng)上部署殺毒軟件，每天更新病毒庫。d) 系統(tǒng)管理員每天檢查服務(wù)器的系統(tǒng)日志，如發(fā)現(xiàn)有入侵情況要及時采取措施，保留原始數(shù)據(jù)，以便進行調(diào)查取證，并向部門領(lǐng)導(dǎo)匯報，做好入侵情況登記。e) 系統(tǒng)管理員變更（崗位調(diào)整或者離職），需向領(lǐng)導(dǎo)匯報，并立即將服務(wù)器系統(tǒng)密碼進行更新，并更新密保文件歸檔記錄。5.1.2網(wǎng)絡(luò)設(shè)備管理a) 公司一切網(wǎng)線、網(wǎng)絡(luò)設(shè)備設(shè)由網(wǎng)絡(luò)管理員專門負(fù)責(zé)維修處理，其他人未經(jīng)許可一律不得私自拆卸、自行維修，否則一切后果由當(dāng)事人承擔(dān)全部責(zé)任。b) 公司網(wǎng)絡(luò)使用軟件防火墻進行防護，網(wǎng)絡(luò)管理員應(yīng)每天檢查forefronttmg防火墻日志是否存在異常。c) 網(wǎng)絡(luò)管理員應(yīng)每天遠程登陸路由器、核心交換機、防火墻，監(jiān)測設(shè)備的運行狀態(tài)。d) 網(wǎng)絡(luò)管理員對核心交換機、路由器、防火墻的配置文件每月備份一次，在每月月底前負(fù)責(zé)完成。5.1.3辦公設(shè)備安全管理a) 計算機由公司統(tǒng)一配置并安排座位，任何部門和個人不允許私自挪用、調(diào)換、外借和移動電腦，如需需要挪用、調(diào)換、外借和移動電腦必須通知IT部，并由IT部同事協(xié)助處理。b) 計算機硬件及其配件添置參照《計算機網(wǎng)絡(luò)使用管理制度》的流程，軟件安裝及其相應(yīng)的權(quán)限應(yīng)需由本部門負(fù)責(zé)人填寫《計算機資源配置申請表》報行政部，在征得同意后，由網(wǎng)絡(luò)管理員負(fù)責(zé)進行電腦添置及客戶端軟件的安裝調(diào)試。c) 計算機操作應(yīng)按規(guī)定的程序進行。1) 計算機的開、關(guān)機應(yīng)按按正常程序操作，因非法操作而使電腦不能正常使用的，需及時通知IT部網(wǎng)絡(luò)管理員協(xié)助處理，避免或減少不避要的損失。2) 計算機嚴(yán)禁安裝與工作無關(guān)軟件，如：游戲軟件、影音播放器、炒股軟件等。3) 計算機操作員應(yīng)每天及時進行殺毒軟件的升級,每周檢查系統(tǒng)漏洞并及時打上補丁。4) 禁止USB、IEEE1394儲存設(shè)備之使用。除總經(jīng)理批準(zhǔn)或有特殊用途的電腦外。公司將鎖定所有電腦的USB接口。未經(jīng)許可任何人都不準(zhǔn)破解或開啟USB接口。5) 計算機發(fā)生故障應(yīng)盡快通知網(wǎng)絡(luò)管理員及時解決，不允許私自打開電腦主機箱操作。6) 計算機操作員要愛護電腦并注意保持電腦清潔衛(wèi)生，并在正確關(guān)機并關(guān)閉顯示器后，方可下班離開；公司進行地面清洗前務(wù)必關(guān)閉電源。d) 為保護文件資料安全，勿將重要文件保存在系統(tǒng)活動分區(qū)內(nèi)如：C盤、我的文檔、桌面等；應(yīng)將本人的重要文件存放在硬盤其它非活動分區(qū)（如：D盤）。保存前用殺毒軟件檢查無病毒警告后方可保存。并定期清理本人相關(guān)文件目錄，及時把一些過期的、無用的文件刪除，以免占用硬盤空間。5.2軟件安全管理5.2.1應(yīng)用系統(tǒng)安全管理a) IT部負(fù)責(zé)公司人員的應(yīng)用系統(tǒng)權(quán)限分配，權(quán)限設(shè)定遵循最小授權(quán)原則，系統(tǒng)權(quán)限不能跨部門使用。1) 管理員權(quán)限：維護系統(tǒng)，對數(shù)據(jù)庫與服務(wù)器進行維護。系統(tǒng)管理員、數(shù)據(jù)庫管理員應(yīng)權(quán)限分離，不能由同一人擔(dān)任。2) 普通操作權(quán)限：對于各個系統(tǒng)的使用人員，針對其工作范圍給予操作權(quán)限。b) 新入職員工應(yīng)由IT部對其進行專門的信息安全培訓(xùn)，并對其進行考核，考核合格后方可安排上崗。c) IT部負(fù)責(zé)對公司全員進行信息安全培訓(xùn)，周期為半年一次，并做好相應(yīng)培訓(xùn)記錄。d) 新入職員工如需分配應(yīng)用系統(tǒng)賬號，需由本部門負(fù)責(zé)人《賬號申請表》由書面通知IT部后,并通過相應(yīng)流程后，由系統(tǒng)管理員進行用戶創(chuàng)建操作，并將創(chuàng)建結(jié)果通過郵件反饋相關(guān)部門負(fù)責(zé)人。e) 員工離職時，不得擅自清空企業(yè)郵箱，經(jīng)人事行政部郵件通知，系統(tǒng)管理員根據(jù)郵件具體實際本部門工作需求對離職員工的應(yīng)用系統(tǒng)和郵箱賬號進行限制登錄，保存賬號及數(shù)據(jù)并將處理結(jié)果以郵件反饋相關(guān)部門負(fù)責(zé)人，如無保留需求，應(yīng)由系統(tǒng)管理員在離職一周后刪除處理。f) 系統(tǒng)賬號為單個指定用戶單獨授權(quán)，任何人不得非法使用他人賬號登陸系統(tǒng)進行任何操作。g) 信息系統(tǒng)使用專人賬號和密碼，嚴(yán)禁將密碼告知他人。系統(tǒng)用戶將自身密碼告知他人，對所造成的影響將承擔(dān)連帶責(zé)任。h) 系統(tǒng)用戶定期更改用戶密碼。公司在用系統(tǒng)密碼更改周期為90天，在到期前幾天通過系統(tǒng)提示通知用戶自行更改密碼，到期后用戶仍未更改密碼將對其進行安全警告，用戶仍未修改密碼的將對其賬號進行登陸限制。5.2.2數(shù)據(jù)安全管理a) 本制度所指的計算機數(shù)據(jù)是指ERP、VMware各個應(yīng)用系統(tǒng)數(shù)據(jù)。b) 系統(tǒng)管理員應(yīng)在每天上班時間前對系統(tǒng)數(shù)據(jù)進行檢查，發(fā)現(xiàn)異常情況及時處理。c) 信息系統(tǒng)服務(wù)器存儲采用RAID技術(shù)。d) 備份介質(zhì)應(yīng)保存在安全可靠的地方，保存地點應(yīng)能防火、防盜、防潮。備份介質(zhì)必須有由專人負(fù)責(zé)進行存取，其他人員未經(jīng)批準(zhǔn)不能操作。e) 發(fā)生系統(tǒng)災(zāi)害，應(yīng)第一時間進行數(shù)據(jù)恢復(fù)，并參照《網(wǎng)絡(luò)中心機房應(yīng)急預(yù)案及管理辦法》。1) 一旦發(fā)生系統(tǒng)災(zāi)害，負(fù)責(zé)系統(tǒng)管理的人員通過災(zāi)害發(fā)生前或其他信息系統(tǒng)所保存的各種備份介質(zhì)，依據(jù)備份標(biāo)記進行目的性的恢復(fù)；2) 數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)后，必須進行驗證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。3) 對所有發(fā)生的硬件和軟件災(zāi)害，必須對災(zāi)害發(fā)生及恢復(fù)情況進行總結(jié)；對于重大災(zāi)害，應(yīng)立即報告分管領(lǐng)導(dǎo)。5.2.3據(jù)備份管理機制為保護數(shù)據(jù)安全，采用對數(shù)據(jù)進行分類備份機制：a) ERP服務(wù)器應(yīng)用數(shù)據(jù)、數(shù)據(jù)庫每周(周一至周五)備份一次，采用系統(tǒng)自動完整備份方式。服務(wù)器端保留一份最新備份數(shù)據(jù)，另拷貝一份至外置移動硬盤，保留最近兩周數(shù)據(jù)。b) VMware各個虛擬機備份由VMwareVDP備份工具每天備份一次，采用平臺自動完整備份方式，備份數(shù)據(jù)保存在VMware存儲設(shè)備，VMware虛擬機存儲備份文件目錄：DATA4\vSphereDataProtection6.1，保留最近一周數(shù)據(jù)。5.3網(wǎng)絡(luò)安全管理a) 任何人不得利用網(wǎng)絡(luò)制作、復(fù)制、查閱和傳播宣傳封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的內(nèi)容危害他人，損害公司形象、利益。b) 公司一切網(wǎng)線、網(wǎng)絡(luò)設(shè)備設(shè)有專人負(fù)責(zé)維修處理，其他人未經(jīng)許可一律不得私自拆卸、自行維修，否則一切后果由當(dāng)事人承擔(dān)全部責(zé)任。c) 對于公司內(nèi)部的共享資源，任何人禁止隨意訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)資源，禁止隨意進入他人的主機及其共享文件夾。用戶要對本人共享資源進行加密。d) IP地址管理應(yīng)由網(wǎng)絡(luò)管理員統(tǒng)一管理：1) IP地址由網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃管理。未經(jīng)許可，不得擅自更改任何信息化設(shè)備（服務(wù)器、網(wǎng)絡(luò)、監(jiān)控、打印機等設(shè)備）的IP地址。2) IT部申請的公網(wǎng)IP任何公司個人不得擅自使用。3) 如有工作需要公網(wǎng)IP，需向IT部領(lǐng)導(dǎo)申請批準(zhǔn)，方可由IT部提供并使用。4) 公司公網(wǎng)IP無工作需要時，應(yīng)停止使用，并由網(wǎng)絡(luò)管理員回收。5) 任何個人計算機不得私自設(shè)置與應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器地址相同的固定IP。6) 應(yīng)用服務(wù)器的內(nèi)網(wǎng)固定IP與端口及外網(wǎng)IP與端口由網(wǎng)絡(luò)管理員負(fù)責(zé)管理，如有變更需及時更新。e) 對存在網(wǎng)絡(luò)攻擊行為的主機，需先將其網(wǎng)絡(luò)斷開，進行物理隔離后進行徹底殺毒，確保系統(tǒng)安全后再將其接入網(wǎng)絡(luò)。f) 交換機、路由器、防火墻只允許網(wǎng)絡(luò)管理員對其進行維護管理，非相關(guān)人員禁止進行維護管理。g) 公司網(wǎng)絡(luò)使用軟件防火墻進行防護，網(wǎng)絡(luò)管理員應(yīng)每天檢查forefronttmg防火墻日志是否存在異常。5.4賬號密碼安全管理a) 公司所有電腦必須設(shè)置登陸密碼，密碼必須自身保管，嚴(yán)禁告訴他人。b) 每臺電腦都要有鎖屏密碼，離開座位時必須要按Win鍵+L進行鎖屏，再次進入操作系統(tǒng)需輸入登陸密碼方可進入。c) 新入職員工如需分配應(yīng)用系統(tǒng)賬號和權(quán)限，需在人事行政部郵件通知后,由系統(tǒng)管理員進行用戶創(chuàng)建操作，并將創(chuàng)建結(jié)果通過郵件反饋人事行政部。d) 員工離職時，不得擅自清空企業(yè)郵箱，經(jīng)人事行政部郵件通知，系統(tǒng)管理員根據(jù)郵件處理要求對離職員工應(yīng)用系統(tǒng)賬號進行限制登錄處理，保存賬號及數(shù)據(jù)并將處理結(jié)果以郵件反饋人事行政部。e) 系統(tǒng)賬號為單個指定用戶單獨授權(quán)，任何人不得非法使用他人賬號登陸系統(tǒng)進行任何操作。f) 信息系統(tǒng)要使用專人賬號和密碼，嚴(yán)禁將密碼告知他人。系統(tǒng)用戶將自身密碼告知他人，對所造成的影響將承擔(dān)連帶責(zé)任。g) 系統(tǒng)用戶定期更改用戶密碼。公司在用系統(tǒng)密碼更改周期為90天，在到期前幾天通過系統(tǒng)提示通知用戶自行更改密碼，到期后用戶仍未更改密碼將對其進行安全警告，用戶仍未修改密碼的將對其賬號進行登陸限制。h) 網(wǎng)絡(luò)管理員對交換機、路由器、防火墻的管理密碼每月更新一次，在每月月底前完成。i) 系統(tǒng)管理員對服務(wù)器的系統(tǒng)密碼根據(jù)實際情況進行密碼更新。5.5信息安全培訓(xùn)管理a) 新入職員工應(yīng)由IT部對其進行專門的信息安全培訓(xùn)，并對其進行考核，考核合格后方可安排上崗。b) IT部對公司全員進行信息安全培訓(xùn)，周期為每季度一次，并做好相應(yīng)培訓(xùn)記錄。5.6信息安全責(zé)任懲戒措施a) 計算機操作人員違反計算機安全、信息系統(tǒng)安全、網(wǎng)絡(luò)安全管理規(guī)定并對公司造成經(jīng)濟損失的，給予扣除績效獎金處罰；造成嚴(yán)重后果的經(jīng)IT部、HR部門及本部門領(lǐng)導(dǎo)商定后給予處理。b) IT部根據(jù)系統(tǒng)登陸地址和相應(yīng)系統(tǒng)賬號記錄，結(jié)合相應(yīng)時段的監(jiān)控記錄識別信息系統(tǒng)的非正常使用，對惡意進入他人電腦或使用他人系統(tǒng)賬號登陸的人員追究其相應(yīng)責(zé)任：未造成任何影響的行為對其行為進行警告；修改業(yè)務(wù)數(shù)據(jù)對公司造成經(jīng)濟損失的，扣除其績效獎金。c) 利用公司的計算機設(shè)備和網(wǎng)