企業資訊保安管理制度 試行

2023-01-06 14:00:07 字數 5125 閱讀 5147

xx公司資訊保安管理制度(試行)

第一條為保證資訊系統安全可靠穩定執行,降低或阻止人為或自然因素從物理層面對公司資訊系統的保密性、完整性、可用性帶來的安全威脅,結合公司實際,特制定本制度。

第二條本制度適用於xx公司以及所屬單位的資訊系統安全管理。

第三條相關部門、單位職責:

一、 資訊中心

(一) 負責組織和協調xx公司的資訊系統安全管理工作;

(二) 負責建立xx公司資訊系統網路成員單位間的網路訪問規則;對公司本部資訊系統網路終端的網路准入進行管理;

(三) 負責對xx公司統一的兩個網際網路出口進行管理,配置防火牆等資訊保安裝置;會同保密處對公司本部網際網路上網行為進行管理;

(四) 對xx公司統一建設的資訊系統制定專項運維管理辦法,明確資訊系統安全管理要求,界定兩級單位資訊保安管理責任;

(五) 負責xx公司網路邊界、網路拓撲等全域性性的資訊保安管理。

二、 人力資源部

(一) 負責人力資源安全相關管理工作。

(二) 負責將資訊保安策略培訓納入年度職工培訓計畫,並組織實施。

三、 各部門

(一) 負責本部門資訊保安管理工作。

(二) 配合和協助業務主管部門完善相關制度建設,落實日常管理工作。

四、 所屬各單位

(一) 負責組織和協調本單位資訊保安管理工作。

(二) 對本單位建設的資訊系統制定專項運維管理辦法,明確資訊系統安全管理要求,報xx公司資訊中心備案。

第四條資訊系統安全管理應遵循以下八個原則:

一、 主要領導人負責原則;

二、 規範定級原則;

三、 依法行政原則;

四、 以人為本原則;

五、 注重效費比原則;

六、 全面防範、突出重點原則;

七、 系統、動態原則;

八、 特殊安全管理原則。

第五條公司保密委應根據業務需求和相關法律法規,組織制定公司資訊保安策略,經主管領導審批發布後,對員工及相關方進行傳達和培訓。

第六條制定資訊保安策略時應充分考慮資訊系統安全策略的「七定」要求,即定方案、定崗、定位、定員、定目標、定制度、定工作流程。

第七條資訊保安策略主要包括以下內容:

一、 資訊網路與資訊系統必須在建設過程中進行安全風險評估,並根據評估結果制定安全策略;

二、 對已投入執行且已建立安全體系的系統定期進行漏洞掃瞄,以便及時發現系統的安全漏洞;

三、 對安全體系的各種日誌(如入侵檢測日誌等)審計結果進行研究,以便及時發現系統的安全漏洞;

四、 定期分析資訊系統的安全風險及漏洞、分析當前黑客非常入侵的特點,及時調整安全策略;

五、 制定人力資源、物理環境、訪問控制、操作、備份、系統獲取及維護、業務連續性等方面的安全策略,並實施。

第八條公司保密委每年應組織對資訊保安策略的適應性、充分性和有效性進行評審,必要時組織修訂;當公司的組織架構、生產經營模式等發生重大變化時也應進行評審和修訂。

第九條根據「誰主管、誰負責」的原則,公司建立資訊保安分級責任制,各層級落實資訊系統安全責任。

第一十條資訊系統相關崗位設定應滿足以下要求:

一、 安全管理崗與其它任何崗位不得兼崗、混崗、代崗。

二、 系統管理崗、網路管理崗與應用管理崗不得兼崗、混崗。

三、 安全管理崗、系統管理崗、網路管理崗、應用管理崗、裝置管理崗、技術檔案管理崗原則上有人員備份。

四、 以上崗位人員調離必須辦理交接手續,所掌握的口令應立刻更換或登出該使用者。

第一十一條人力資源部在相關崗位任職要求中應包含資訊保安管理的相關條件和要求;將資訊保安相關培訓納入年度職工培訓計畫,並組織實施。

第一十二條資訊系統物理安全指為了保證資訊系統安全可靠執行,不致受到人為或自然因素的危害,而對計算機裝置、設施(包括機房建築、供電、空調)、環境、系統等採取適當的安全措施。

第一十三條資訊管理部門應採取切實可行的物理防護手段或技術措施對物理周邊、物理入口、辦公及生產區域等進行安全控制,防止無關人員未授權物理訪問、損壞和干擾。

第一十四條資訊管理部門應加強對資訊系統機房及配線間的安全管理,要求如下:

一、 工作人員需經授權,方能且只能進入中心機房的授權工作區;確因工作需要,需進入非授權工作區時,需由該授權工作區人員陪同;做好機房出入登記(格式見附錄3-3)。

二、 工作人員必須嚴格按照規定操作,未經批准不得超越自己職權範圍以外的操作;操作結束時,必須退出已進入的操作畫面;最後離開工作區域的人員應將門關閉。

三、 非授權人員嚴禁操作中心機房ups、專用空調、監控、消防及ups供配電裝置設施。

四、 未經授權,任何人員不得擅自拷貝資料和檔案等資料。

五、 嚴禁將易燃、易爆、強磁性物品帶入中心機房;嚴禁在機房內吸菸。

六、 發生意外情況應立即採取應急措施,並及時向有關部門和領導報告。

第一十五條資訊管理部門應對資訊和資訊系統裝置設施等相關資產建立臺帳清單(格式見附錄3-4),並定期對其進行盤點清查。

第一十六條裝置使用人應對資訊和資訊系統裝置設施、各類儲存介質等相關資產進行標識。標識應張貼在資訊裝置的明顯位置,做到資訊完整、字跡清晰,並做好防脫落防護工作。

第一十七條資訊管理部門應對主機進行控制管理,要求如下:

一、 關鍵業務生產系統中的主機原則上應採用雙機熱備份方式或n+m的多主機方式,確保軟體執行環境可靠;

二、 一般業務生產系統中的主機、生產用pc前置機,關鍵裝置可以採用軟硬體配置完全相同的裝置來實現冷備份;

三、 各類裝置在採購時技術規格中應明確服務響應時間、備品備件、現場服務等方面的要求,核心伺服器、儲存相應時間一般不高於4小時。

第一十八條各相關部門應加強資訊裝置安裝、除錯、維護、維修、報廢等環節的管理工作,防止因資訊裝置丟失、損壞、失竊以及資產報廢處置不當引起的資訊洩露。

第一十九條公司將系統執行安全按粒度從粗到細分為四個層次:系統級安全、資源訪問安全、功能性安全、資料域安全。

一、 系統級安全策略包括:敏感系統的隔離、訪問位址段的限制、登入時間段的限制、會話時間的限制、連線數的限制、特定時間段內登入次數的限制以及遠端訪問控制等。系統級安全是應用系統的第一道防護大門。

二、 資源訪問安全策略包括:對程式資源的訪問進行安全控制,在客戶端上,為使用者提供和其許可權相關的使用者介面,僅出現和其許可權相符的選單和操作按鈕;在服務端則對url 程式資源和業務服務類方法的呼叫進行訪問控制。

三、 功能性安全策略包括:功能性安全會對程式流程產生影響,如使用者在操作業務記錄時,是否需要審核,上傳附件不能超過指定大小等。

四、 資料域安全策略包括:一是行級資料域安全,即使用者可以訪問哪些業務記錄,一般以使用者所在單位為條件進行過濾;二是字段級資料域安全,即使用者可以訪問業務記錄的哪些字段。

第二十條使用者管理應建立使用者身份識別與驗證機制,防止非法使用者進入應用系統。具體要求如下:

一、 公司按照相關的訪問控制策略,對使用者註冊、訪問開通、訪問許可權分配、許可權的調整及撤銷、安全登入、口令管理等方面進行訪問控制的管理活動。

二、 使用者是指用以登入、訪問和控制計算機系統資源的帳戶。使用者管理是指對使用者進行分層、授權的管理。使用者由使用者名稱加以區分,由使用者口令加以保護。

按照計算機系統所承載的應用系統執行管理的需要,將使用者分為超級使用者、授權使用者、普通使用者、匿名使用者四類,分別控制其許可權。

(一) 超級使用者。擁有對執行系統的主機、前置機、伺服器、資料庫、執行程序、系統配置、網路配置等進行察看、修改、新增、重啟等許可權並可對下級使用者進行授權的使用者。由系統管理崗位或網路管理崗位主管進行分配,由系統管理員或網路管理員負責使用者口令的日常管理。

(二) 授權使用者。擁有由超級使用者根據應用系統開發或執行維護的特殊需要,經過崗位主管的審批,將一些系統命令執行許可權所授予的普通使用者,由授權使用者負責使用者口令的日常管理。

(三) 普通使用者。應用系統開發或執行維護人員為應用系統一般監控、維護的需要,由超級使用者分配的一般使用者,這類使用者僅擁有預設使用者訪問許可權的使用者,由使用者負責口令的日常管理。

(四) 匿名使用者。匿名使用者用於向公司網路內所有使用者提供相應服務,這類使用者一般僅擁有瀏覽許可權,無使用者名稱及口令,一般情況下只允許提供如:標準、期刊等無安全要求的系統服務時使用匿名使用者。

三、 對使用者以及許可權的設定進行嚴格管理,使用者許可權的分配遵循 「最小特權」原則。

四、 口令是使用者用以保護所訪問計算機資源權利,不被他人冒用的基本控制手段。口令策略的應用與其被保護物件有關,口令強度與口令所保護的資源、資料的價值或敏感度成正比。

(一) 所有在公司區域網網上執行的裝置、計算機系統及存有公司涉密資料的計算機裝置都必須設定口令保護。

(二) 所有有權掌握口令的人員必須保證口令在產生、分配、儲存、銷毀過程中的安全性和機密性。

(三) 口令應至少要含有8個字元;應同時含有字母和非字母字元口令。

(四) 口令設定不能和使用者名稱或登入名相同,不能使用生日、人名、英文單詞等易被猜測、易被破解的口令,如有可能,採用機器隨機生成口令。

(五) 口令使用期限由各個系統安全要求而定。

(六) 口令的使用期限和過期失效應盡可能由系統強制執行。

(七) 裝置在啟用時,預設口令必須更改。

第二十一條系統執行安全檢查是安全管理的常用工作方法,也是預防事故、發現隱患、指導整改的必要工作手段。資訊系統安全管理人員應做好系統執行安全檢查與記錄(格式見附錄3-5)。檢查範圍:

一、 應用系統的訪問控制檢查。包括物理和邏輯訪問控制,是否按照規定的策略和程式進行訪問許可權的增加、變更和取消,使用者許可權的分配是否遵循「最小特權」原則。

二、 應用系統的日誌檢查。包括資料庫日誌、系統訪問日誌、系統處理日誌、錯誤日誌及異常日誌。

三、 應用系統可用性檢查:包括系統中斷時間、系統正常服務時間和系統恢復時間等。

四、 應用系統能力檢查。包括系統資源消耗情況、系統交易速度和系統吞吐量等。

五、 應用系統的安全操作檢查。使用者對應用系統的使用是否按照資訊保安的相關策略和程式進行訪問和使用。

六、 應用系統維護檢查。維護性問題是否在規定的時間內解決,是否正確地解決問題,解決問題的過程是否有效等。

七、 應用系統的配置檢查。檢查應用系統的配置是否合理和適當,各配置元件是否發揮其應有的功能。

八、 惡意**的檢查。是否存在惡意**,如病毒、木馬、隱蔽通道導致應用系統資料的丟失、損壞、非法修改、資訊洩露等。

九、 檢查出現異常時應進行記錄,非受控變化應及時報告,以確定是否屬於資訊保安事件,屬於資訊保安事件的應及時處理。

第二十二條資訊管理部門應定期對重要系統、配置及應用進行備份。備份管理要求如下:

一、 各系統應於投產前明確資料備份方法,對資料備份和還原進行必要的測試,並根據實際執行需要及時調整,每次調整應進行測試;

二、 對系統配置、網路配置和應用軟體應進行備份。在發生變動時,應及時備份;

企業資訊管理制度

6.16資訊管理 6.16.1資訊概述 6.16.1.1企業資訊的構成 按照資訊 可以分為企業內部資訊和企業外部資訊。6.16.1.1.1企業內部資訊 由企業內部所產生的各種資訊。反映企業基本現狀和企業經濟活動資訊。如企業狀況資訊 人 財 物,規模等 經濟活動資訊 供 產 銷,財務核算 技改 新產品...

企業資訊管理制度

1.1 財務部資訊中心為公司重要部門,非內部人員不得進入機房。由於機房的計算機內儲存有公司許多重要的資料,資訊管理員要切實做好保密工作,無權向任何人洩露任何資料和技術資料。1.2 每天做好機房的安全衛生工作,對計算機的安全衛生 防火 防潮 防塵等工作應常抓不懈。1.3 資訊管理員要隨時注意計算機和收...

企業資訊管理制度

公司資訊管理制度 第一章總則 第一條為提高公司的管理效能和整體運作效率,加快公司資訊化建設步伐,使各類資訊更好地為企業的科學決策服務,根本上提高資訊資源的運作成效,結合公司實際,特制定本制度。第二條公司資訊管理堅持準確性 全面性 有效性 及時性 共享性和高質量原則。堅持實事求是原則。第三條本制度適用...