第1页 / 共67页
第2页 / 共67页
第3页 / 共67页
第4页 / 共67页
第5页 / 共67页
第6页 / 共67页
第7页 / 共67页
第8页 / 共67页
信息安全管理制度.doc
1总则
2适用范围
3管理对象
4第四章术语定义
5安全制度方面
5.1安全制度要求
5.1.1本制度的诠释
5.1.2制度发布
5.1.3制度复审
6组织安全方面
6.1组织内部安全
6.1.1信息安全体系管理
6.1.2信息安全职责分配
6.1.3信息处理设备的授权
6.1.4独立的信息安全审核
6.2第三方访问的安全性
6.2.1明确第三方访问的风险
6.2.2当与客户接触时强调信息安全
6.2.3与第三方签订合约的安全要求
7信息资产与人员安全
7.1资产责任
7.1.1资产的清单
7.1.2资产的管理权
7.1.3资产的合理使用
7.2信息分类
7.2.1信息分类原则
7.2.2信息标记和处理
7.3人员安全
7.3.1信息安全意识、教育和培训
7.3.2惩戒过程
7.3.3资产归还
7.3.4删除访问权限
8物理和环境安全方面
8.1安全区域
8.1.1物理安全边界
8.1.2安全区域访问控制
8.1.3办公场所和设施安全
8.1.4防范外部和环境威胁
8.1.5在安全区域工作
8.1.6机房操作日志
8.2设备安全
8.2.1设备的安置及保护
8.2.2支持设施
8.2.3设备维护
8.2.4管辖区域外设备安全
8.2.5设备的安全处理或再利用
9通信和操作管理方面
9.1操作程序和职责
9.1.1规范的操作程序
9.1.2变更控制
9.1.3职责分离
9.1.4开发、测试和生产系统分离
9.1.5事件管理程序
9.2第三方服务交付管理
9.2.1服务交付
9.2.2第三方服务的变更管理
9.3针对恶意软件的保护措施
9.3.1对恶意软件的控制
9.4备份
9.4.1信息备份
9.5网络管理
9.5.1网络控制
9.6介质的管理
9.6.1可移动介质的管理
9.6.2介质的销毁
9.6.3信息处理程序
9.6.4系统文档的安全
9.7信息交换
9.7.1信息交换管理办法和程序
9.7.2交换协议
9.7.3物理介质传输
9.7.4电子消息
9.7.5业务信息系统
9.8电子商务服务
9.8.1电子商务
9.8.2在线交易
9.8.3公共信息
9.9监控
9.9.1日志
9.9.2监控系统的使用
9.9.3日志信息保护
9.9.4管理员和操作员日志
9.9.5故障日志
9.9.6时钟同步
10访问控制方面
10.1访问控制要求
10.1.1访问控制管理办法
10.2用户访问管理
10.2.1用户注册
10.2.2特权管理
10.2.3用户密码管理
10.2.4用户访问权限的检查
10.3用户的责任
10.3.1密码的使用
10.3.2清除桌面及屏幕管理办法
10.4网络访问控制
10.4.1网络服务使用管理办法
10.4.2外部连接的用户认证
10.4.3远程诊断和配置端口的保护
10.4.4网络的划分
10.4.5网络连接的控制
10.4.6网络路由的控制
10.5操作系统访问控制
10.5.1用户识别和认证
10.5.2密码管理系统
10.5.3系统工具的使用
10.5.4终端超时终止
10.5.5连接时间的限制
10.6应用系统访问控制
10.6.1信息访问限制
10.6.2敏感系统的隔离
10.7移动计算和远程办公
10.7.1移动计算
10.7.2远程办公
11信息系统采购、开发和维护方面
11.1系统安全需求
11.1.1系统的安全需求分析与范围
11.2应用系统中的安全
11.2.1数据输入的验证
11.2.2内部处理的控制
11.2.3消息验证
11.2.4数据输出的验证
11.3加密控制
11.3.1加密的使用管理办法
11.3.2密钥管理
11.4系统文件的安全
11.4.1生产系统的应用软件控制
11.4.2测试数据的保护
11.4.3对程序源代码库的访问控制
11.5开发和维护过程中的安全
11.5.1变更控制流程
11.5.2操作系统变更的技术检查
11.5.3商业软件的修改限制
11.5.4信息泄漏
11.5.5软件开发的外包
11.6技术漏洞管理
11.6.1控制技术漏洞
12信息安全事件的管理
12.1报告信息安全事件和漏洞
12.1.1信息安全事件报告
12.1.2信息安全漏洞报告
12.2信息安全事件的管理和改进
12.2.1职责和程序
12.2.2从安全事件中学习
12.2.3安全事件处理要求
13业务连续性管理方面
13.1业务连续性管理
13.1.1业务连续性管理流程
13.1.2业务连续性及风险评估
13.1.3开发和实施包括信息安全的持续计划
13.1.4业务连续性计划的测试、维护与再评估
14附则
信息安全制度
1 总则
第 1 条 为规范信息安全管理工作,加强过程管理和基础设施管
理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信
息系统的机密性、完整性、可用性,特制定本规定。
2 适用范围
第 2 条 本规定适用于。
3 管理对象
第 3 条 管理对象指组成计算机信息系统的系统、设备和数据等
信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、
资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行
安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发
与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合
性、项目与工程安全控制、安全检查与审计等。
1
4 第四章术语定义
DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,
也不是完全开放给因特网。
容量:分为系统容量和环境容量两方面。系统容量包括 CPU、内
存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。
安全制度:与信息安全相关的制度文档,包括安全管理办法、标
准、指引和程序等。
安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段
等。
恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑
炸弹等。
备份周期:根据备份管理办法制定的备份循环的周期,一个备份
周期的内容相当于一个完整的全备份。
系统工具:能够更改系统及应用配置的程序被定义为系统工具,
如系统管理、维护工具、调试程序等。
消息验证:一种检查传输的电子消息是否有非法变更或破坏的技
术,它可以在硬件或软件上实施。
数字签名:一种保护电子文档真实性和完整性的方法。例如,在
电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内
容是否被更改。
信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、
2
服务器、个人电脑和笔记本电脑等。
不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机
制。
电子化办公系统:包括电子邮件、KOA 系统以及用于业务信息传
送及共享的企业内部网。
5 安全制度方面
5.1 安全制度要求
5.1.1 本制度的诠释
第 4 条 所有带有“必须”的条款都是强制性的。除非事先得到
安全管理委员会的认可,否则都要坚决执行。其它的条款则是强烈建
议的,只要实际可行就应该被采用。
第 5 条 所有员工都受本制度的约束,各部门领导有责任确保其
部门已实施足够的安全控制措施,以保护信息安全。
第 6 条 各部门的领导有责任确保其部门的员工了解本安全管
理制度、相关的标准和程序以及日常的信息安全管理。
第 7 条 安全管理代表(或其指派的人员)将审核各部门安全控
制措施实施的准确性和完整性,此过程是公司例行内部审计的一部
分。
3
5.1.2 制度发布
第 8 条 所有制度在创建和更新后,必须经过相应管理层的审
批。制度经批准之后必须通知所有相关人员。
5.1.3 制度复审
第 9 条 当环境改变、技术更新或者业务本身发生变化时,必须
对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护
公司的信息资产。
第 10 条 安全管理委员会必须定期对本管理办法进行正式的复
审,并根据复审所作的修正,指导相关员工采取相应的行动。
6 组织安全方面
6.1 组织内部安全
6.1.1 信息安全体系管理
第 11 条 公司成立安全管理委员会,安全管理委员会是公司信
息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主
管 IT 领导、公司安全审计负责人、公司法律负责人等。
第 12 条 信息安全管理代表由信息安全管理委员会指定,一般
应包含稽核部 IT 稽核岗、信息管理部信息安全相关岗位及分公司 IT
岗。
4
第 13 条 安全管理委员会通过清晰的方向、可见的承诺、详细
的分工,积极地支持信息安全工作,主要包括以下几方面:
1)确定信息安全的目标符合公司的要求和相关制度;
2)阐明、复查和批准信息安全管理制度;
3)复查信息安全管理制度执行的有效性;
4)为信息安全的执行提供明确的指导和有效的支持;
5)提供信息安全体系运作所需要的资源
6)为信息安全在公司执行定义明确的角色和职责;
7)批准信息安全推广和培训的计划和程序;
8)确保信息安全控制措施在公司内被有效的执行。
第 14 条 安全管理委员会需要对内部或外部信息安全专家的建
议进行评估,并检查和调整建议在公司内执行的结果。
第 15 条 必须举行信息安全管理会议,会议成员包括安全管理
委员会、安全管理代表和其他相关的公司高层管理人员。
第 16 条 信息安全管理会议必须每年定期举行,讨论和审批信
息安全相关事宜,具体包括以下内容
1)复审本管理制度的有效性
2)复审技术变更带来的影响
3)复审安全风险
4)审批信息安全措施及程序
5)审批信息安全建议
6)确保任何新项目规划已考虑信息安全的需求
5
7)复审安全检查结果和安全事故报告
8)复审安全控制实施的效果和影响
9)宣导和推行公司高层对信息安全管理的指示
6.1.2 信息安全职责分配
第 17 条 信息管理部门作为信息安全管理部门,负责信息安全
管理策略制定及实施,其主要职责:
(一)负责全公司信息安全管理和指导;
(二)牵头制订全公司信息安全体系规范、标准和检查指引,参
与我司信息系统工程建设的安全规划;
(三)组织全公司安全检查;
(四)配合全公司安全审计工作的开展;
(五)牵头组织全公司安全管理培训;
(六)负责全公司安全方案的审核和安全产品的选型、购置。
(七)依据本规定、安全规范、技术标准、操作手册实施各类安
全策略。
(八)负责各类安全策略的日常维护和管理。
第 18 条 各分公司信息管理部门作为信息安全管理部门,其主
要职责:
(一)根据本规定、信息安全体系规范、标准和检查指引,组织
建立安全管理流程、手册;
6
(二)组织实施内部安全检查;
(三)组织安全培训;
(四)负责机密信息和机密资源的安全管理;
(五)负责安全技术产品的使用、维护、升级;
(六)配合安全审计工作的开展;
(七)定期上报本单位信息系统安全情况,反馈安全技术和管理
的意见和建议。
(八)依据本规定、安全规范、技术标准、操作手册实施各类安
全策略。
(九)负责各类安全策略的日常维护和管理。
6.1.3 信息处理设备的授权
第 19 条 新设备的采购和设备部署的审批流程应该充分考虑信
息安全的要求。
第 20 条 新设备在部署和使用之前,必须明确其用途和使用范
围,并获得安全管理委员会的批准。必须对新设备的硬件和软件系统
进行详细检查,以确保它们的安全性和兼容性。
第 21 条 除非获得安全管理委员会的授权,否则不允许使用私人
的信息处理设备来处理公司业务信息或使用公司资源。
6.1.4 独立的信息安全审核
第 22 条 必须对公司信息安全控制措施的实施情况进行独立地
7
审核,确保公司的信息安全控制措施符合管理制度的要求。审核工作
应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负
责安全审核的人员必须具备相应的技能和经验。
第 23 条 独立的信息安全审核必须每年至少进行一次。
6.2 第三方访问的安全性
6.2.1 明确第三方访问的风险
第 24 条 必须对第三方对公司信息或信息系统的访问进行风险
评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全
风险。只有在风险被消除或降低到可接受的水平时才允许其访问。
第 25 条 第三方包括但不限于:
1)硬件和软件厂商的支持人员和其他外包商
2)监管机构、外部顾问、外部审计机构和合作伙伴
3)临时员工、实习生
4)清洁工和保安
5)公司的客户
第 26 条 第三方对公司信息或信息系统的访问类型包括但不限
于:
1)物理的访问,例如:访问公司大厦、职场、数据中心等;
2)逻辑的访问,例如:访问公司的数据库、信息系统等;
3)与第三方之间的网络连接,例如:固定的连接、临时的远程连
8
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
