信息安全管理制度.doc
《信息安全管理制度.doc》由会员分享,可在线阅读,更多相关《信息安全管理制度.doc(66页珍藏版)》请在三一文库上搜索。
1、信息安全制度1 总则第1条 为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。2 适用范围第2条 本规定适用于。3 管理对象第3条 管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。4 第四章术语定义DMZ:用于隔离
2、内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。系统工具:能够更改系统及应用配置的程序被定义为系统工具,如系统管理、维护工具、调试程序等。消息验证:一种检查传输的电子消息是
3、否有非法变更或破坏的技术,它可以在硬件或软件上实施。数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、服务器、个人电脑和笔记本电脑等。不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。电子化办公系统:包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。5 安全制度方面5.1 安全制度要求5.1.1 本制度的诠释第4条 所有带有“必须”的条款都是强制性的。除非事先得到安全管理委员会的认可,否则都要坚决执行。其它的条款则是强烈建议的,只要实际
4、可行就应该被采用。第5条 所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。第6条 各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。第7条 安全管理代表(或其指派的人员)将审核各部门安全控制措施实施的准确性和完整性,此过程是公司例行内部审计的一部分。5.1.2 制度发布第8条 所有制度在创建和更新后,必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。5.1.3 制度复审第9条 当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息
5、资产。第10条 安全管理委员会必须定期对本管理办法进行正式的复审,并根据复审所作的修正,指导相关员工采取相应的行动。6 组织安全方面6.1 组织内部安全6.1.1 信息安全体系管理第11条 公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管IT领导、公司安全审计负责人、公司法律负责人等。第12条 信息安全管理代表由信息安全管理委员会指定,一般应包含稽核部IT稽核岗、信息管理部信息安全相关岗位及分公司IT岗。第13条 安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面:1)确定信息安全的目标符
6、合公司的要求和相关制度;2)阐明、复查和批准信息安全管理制度;3)复查信息安全管理制度执行的有效性;4)为信息安全的执行提供明确的指导和有效的支持;5)提供信息安全体系运作所需要的资源6)为信息安全在公司执行定义明确的角色和职责;7)批准信息安全推广和培训的计划和程序;8)确保信息安全控制措施在公司内被有效的执行。第14条 安全管理委员会需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。第15条 必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。第16条 信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具
7、体包括以下内容1)复审本管理制度的有效性2)复审技术变更带来的影响3)复审安全风险4)审批信息安全措施及程序5)审批信息安全建议6)确保任何新项目规划已考虑信息安全的需求7)复审安全检查结果和安全事故报告8)复审安全控制实施的效果和影响9)宣导和推行公司高层对信息安全管理的指示6.1.2 信息安全职责分配第17条 信息管理部门作为信息安全管理部门,负责信息安全管理策略制定及实施,其主要职责:(一)负责全公司信息安全管理和指导;(二)牵头制订全公司信息安全体系规范、标准和检查指引,参与我司信息系统工程建设的安全规划;(三)组织全公司安全检查;(四)配合全公司安全审计工作的开展;(五)牵头组织全公
8、司安全管理培训;(六)负责全公司安全方案的审核和安全产品的选型、购置。(七)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。(八)负责各类安全策略的日常维护和管理。第18条 各分公司信息管理部门作为信息安全管理部门,其主要职责:(一)根据本规定、信息安全体系规范、标准和检查指引,组织建立安全管理流程、手册;(二)组织实施内部安全检查;(三)组织安全培训;(四)负责机密信息和机密资源的安全管理;(五)负责安全技术产品的使用、维护、升级;(六)配合安全审计工作的开展;(七)定期上报本单位信息系统安全情况,反馈安全技术和管理的意见和建议。(八)依据本规定、安全规范、技术标准、操作手册实施各
9、类安全策略。(九)负责各类安全策略的日常维护和管理。6.1.3 信息处理设备的授权第19条 新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。第20条 新设备在部署和使用之前,必须明确其用途和使用范围,并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。第21条 除非获得安全管理委员会的授权,否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。6.1.4 独立的信息安全审核第22条 必须对公司信息安全控制措施的实施情况进行独立地审核,确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的
10、第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。第23条 独立的信息安全审核必须每年至少进行一次。6.2 第三方访问的安全性6.2.1 明确第三方访问的风险第24条 必须对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。第25条 第三方包括但不限于:1)硬件和软件厂商的支持人员和其他外包商2)监管机构、外部顾问、外部审计机构和合作伙伴3)临时员工、实习生4)清洁工和保安5)公司的客户第26条 第三方对公司信息或信息系统的访问类型包括但不限于:1)物理的访问,例如:访问公
11、司大厦、职场、数据中心等;2)逻辑的访问,例如:访问公司的数据库、信息系统等;3)与第三方之间的网络连接,例如:固定的连接、临时的远程连接;第27条 第三方所有的访问申请都必须经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所需的最少资源,并且需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。第28条 公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前,主动告知第三方的职责、义务和需要遵守的规定,第三方必须在清楚并同意后才能接触相应信息或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。6.2.2 当与客户接触
12、时强调信息安全第29条 必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或信息系统。6.2.3 与第三方签订合约的安全要求第30条 与第三方合约中应包含必要的安全要求,如:访问、处理、管理公司信息或信息系统的安全要求。7 信息资产与人员安全7.1 资产责任7.1.1 资产的清单第31条 应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并及时维护更新。这些资产包括但不限于1)信息:数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。2)软件:应用软件、系统软件、开发工
13、具以及实用工具等。3)实体:计算机设备(处理器、显示器、笔记本电脑、调制解调器等)、通讯设备(路由器、程控电话交换机、传真机等)、存储设备、磁介质(磁带和磁盘等)、其它技术设备(电源、空调器等)、机房等。4)服务:通讯服务(专线)。第32条 资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后,资产清单必须更新。资产的风险评估必须每年至少一次,主要评估当前已部署安全控制措施的有效性。第33条 实体资产需要贴上适当的标签。7.1.2 资产的管理权第34条 所有资产都应该被详细说明,必须指明具体的管理者。管理者可以是个人,也可以是某个部门。管理者是部门的资产则由部门主管负责监
14、护。第35条 资产管理者的职责是:1)确定资产的保密等级分类和访问管理办法;2)定期复查资产的分类和访问管理办法。7.1.3 资产的合理使用第36条 必须识别信息和信息系统的使用准则,形成文件并实施。使用准则应包括:1)使用范围2)角色和权限3)使用者应负的责任4)与其他系统交互的要求第37条 所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则,并承担他们的责任。公司的所有信息处理设备(包括个人电脑)只能被使用于工作相关的活动,不得用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。7.2 信息分类7.2.1 信息分类原则第38条 所有信息都应该根据其敏感性、重要性以及业务
15、所要求的访问限制进行分类和标识。第39条 信息管理者负责信息的分类,并对其进行定期检查,以确保分类的正确。当信息被发布到公司外部,或者经过一段时间后信息的敏感度发生改变时,信息需要重新分类。第40条 信息的保密程度从高到低分为绝密、机密、秘密和非保密四种等级。以电子形式保存的信息或管理信息资产的系统,需根据信息的敏感度进行标识。含有不同分类信息的系统,必须按照其中的最高保密等级进行分类。7.2.2 信息标记和处理第41条 必须建立相应的保密信息处理规范。对于不同的保密等级,应明确说明如下信息活动的处理要求:1)复制2)保存和保管(以物理或电子方式)3)传送(以邮寄、传真或电子邮件的方式)4)销
16、毁第42条 电子文档和系统输出的信息(打印报表和磁带等)应带有适当的信息分类标记。对于打印报表,其保密等级应显示在每页的顶端或底部。第43条 将保密信息发送到公司以外时,负责传送信息的工作人员应在分发信息之前,先告知对方文档的保密等级及其相应的处理要求。7.3 人员安全7.3.1 信息安全意识、教育和培训第44条 所有公司员工和第三方人员必须接受包括安全性要求、信息处理设备的正确使用等内容的培训,并应该及时了解和学习公司对安全管理制度和标准的更新。第45条 应该至少每年向员工提供一次安全意识培训,其内容包括但不限于:1)安全管理委员会下达的安全管理要求2)信息保密的责任3)一般性安全守则4)信
17、息分类5)安全事故报告程序6)电脑病毒爆发时的应对措施7)灾难发生时的应对措施第46条 应该对系统管理员、开发人员进行安全技能方面的培训,至少每年一次。员工和第三方人员在开始工作后90天内,必须进行技术和安全方面的培训。第47条 灾难恢复演习应至少每年举行一次。7.3.2 惩戒过程第48条 违反公司安全管理制度、标准和程序的员工将受到纪律处分。在对信息安全事件调查结束后,必须对事件中的相关人员根据公司的惩戒规定进行处罚。纪律处分包括但不限于:1)通报批评2)警告3)记过4)解除劳动合同5)法律诉讼第49条 当员工在接受可能涉及解除劳动合同和法律诉讼的违规调查时,其直接领导应暂停受调查员工的工作
18、职务和其访问权限,包括物理访问、系统应用访问和网络访问等。员工在接受调查时可以陈述观点,提出异议,并有进一步申诉的权力。7.3.3 资产归还第50条 在终止雇佣、合同或协议时,所有员工及第三方人员必须归还所使用的全部公司资产。需要归还的资产包括但不限于:1)帐号和访问权限2)公司的电子或纸质文档3)公司购买的硬件和软件资产4)公司购买的其他设备第51条 如果在非公司资产上保存有公司的资产,必须在带出公司前归还或删除公司的资产。7.3.4 删除访问权限第52条 在终止或变更雇佣、合同、协议时,必须删除所有员工及第三方人员对信息和信息系统的访问权限,或根据变更进行相应的调整。所有删除和调整操作必须
19、在最后上班日之前完成。第53条 对于公用的资源,必须进行及时的调整,比如:公用的帐号必须立即更改密码。第54条 在已经确定员工或第三方终止或变更意向后,必须及时对他们的权限进行限制,只保留终止或变更所需要的权限。8 物理和环境安全方面8.1 安全区域8.1.1 物理安全边界第55条 在公司的物理环境里,应该对需要保护的区域根据其重要性划分为不同的安全区域。特别是有重要设备的安全区域(比如机房)应该部署相应的物理安全控制。第56条 在大厦的统一入口处必须设立有专人值守的接待区域,在特别重要的安全区域也应该设立类似的接待区域。第57条 在非办公时间内,重要的安全区域必须安排保安定时巡视。任何时候,
20、公司内必须至少有一位保安值班。保安值班表应最少每月调整一次。8.1.2 安全区域访问控制第58条 在非办公时间,所有进入安全区域的入口都应该受到控制,比如上锁。任何时候,重要安全区域的所有出入口必须受到严格的访问控制,确保只有授权的员工才可以进入此区域。第59条 对于设有访问控制的安全区域,必须定期审核并及时更新其访问权限。所有员工都必须佩戴一个身份识别通行证,有责任确保通行证的安全并不得转借他人。员工离职时必须交还通行证,同时取消其所有访问权限。第60条 所有来宾的有关资料都必须详细记载在来宾进出登记表中,并向获准进入的来宾发放来宾通行证。同时,必须有相应的程序以确保回收所发放的来宾通行证。
21、来宾进出登记表必须至少保留1年,记录内容应包括但不限于:1)来宾姓名2)来宾身份3)来宾工作单位4)来访事由5)负责接待的员工6)来宾通行证号码7)进入的日期和时间8)离开的日期和时间8.1.3 办公场所和设施安全第61条 放置敏感或重要设备的区域(例如机房)应尽量不引人注目,给外面的信息应尽量最少,不应该有明显的标志指明敏感区域的所在位置和用途。这些区域还应该被给予相应的保护,保护措施包括但不限于:1)所有出入口必须安装物理访问控制措施2)使用来宾登记表以便记录来访信息3)严禁吸烟第62条 必须对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必须通过闭路电视进行监控。普
22、通会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候,办公区中的信息处理设备必须从物理上进行保护。门和窗户必须锁好。8.1.4 防范外部和环境威胁第63条 办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难,并采取额外的控制措施加以保护。第64条 机房必须增加额外的物理控制,选取的场地应尽量安全,并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。第65条 机房建设必须符合国标GB2887-89计算机场地技术条件和GB9361-88计算站场地安全要求中的要求。第66条 机房的消防措施必须满足以下要求:1)必须安装消防设备,并定
23、期检查。2)应该指定消防指挥员。3)机房内严禁存放易燃材料,每周例行检查一次。4)必须安装烟感及其他火警探测器和灭火装置。应每季度定期检查这些装备,确保它们能有效运作。5)必须在明显位置张贴火灾逃生路线图、灭火设备平面放置图以及安全出口的位置。6)安全出口必须有明显标识。7)应该训练员工熟悉使用消防设施。8)紧急事件发生时必须提供紧急照明。9)所有疏散路线都必须时刻保持通畅。10)必须保证防火门在火灾发生时能够开启。11)每年应至少举行一次火灾撤离演习,使工作人员熟知火灾撤离的过程。8.1.5 在安全区域工作第67条 员工进入机房的访问授权,不能超过其工作所需的范围。必须定期检查访问权限的分配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 管理制度
链接地址:https://www.31doc.com/p-3261323.html