科技公司信息安全管理制度

《科技公司信息安全管理制度》由会员分享，可在线阅读，更多相关《科技公司信息安全管理制度（16页珍藏版）》请在装配图网上搜索。

1、信息安全管理制度第一章总则第一条 为了建立、健全的信息安全管理制度，按照相关的标准，确 定信息安全针和目标，对信息安全风险进行有效管理，确保全体员工 理解并遵照信息安全管理制度的相关规定执行，改进信息安全管理制 度的有效性，特制定信息安全策略文档。第二条 本文档适用于公司信息安全管理活动。第二章信息安全围第三条 信息安全策略涉及的围包括：1 .单位全体员工。2 .单位所有业务系统。3 .单位现有信息资产，包括与上述业务系统相关的数据、硬件、软 件、服务及文档等。4 .单位办公场所和上述信息资产所处的物理位置。第三章 信息安全总体目标第一条 通过建立健全单位各项信息安全管理制度、加强单位员工的

2、信息安全培训和教育工作，制定适合单位的风险控制措施，有效控制 信息系统面临的安全风险，保障信息系统的正常稳定运行。第四章信息安全针第一条 单位主管领导定期组织相关人员召开信息安全会议，对有关 的信息安全重大问题做出决策。第二条 清晰识别所有资产，实施等级标记，对资产进行分级、分类 管理，并编制和维护所有重要资产的清单。第三条 综合使用访问控制、监测、审计和身份鉴别等法来保证数据、 网络、信息资源的安全，并加强对外单位人员访问信息系统的控制.降 低系统被非法入侵的风险。第四条 启动服务器操作系统、网络设备、安全设备、应用软件的日 志功能，定期进行审计并作相应的记录。第五条明确全体员工的信息安全责

3、任，所有员工必须接受信息安全 教育培训，提高信息安全意识。针对不同岗位，制定不同等级培训计 划，并定期对各个岗位人员进行安全技能及安全认知考核。第六条建立安全事件报告、事故应答和分类机制，确定报告可疑的 和发生的信息安全事故的流程，并使所有的员工和相关都能理解和执 行事故处理流程，同时妥善保存安全事件的相关记录与证据。第七条 对用户权限和口令进行格管理，防止对信息系统的非法访 问。第八条制定完善的数据备份策略，对重要数据进行备份。数据备份 定期进行还原测试，备份介质与原信息所在场所应保持安全距离。 第九条 与外单位的外包（服务）合同应明确规定合同参与的安全要 求、安全责任和安全规定等相关安全容

4、，并采取相应措施格保证对协 议安全容的执行。第十条 在开发新业务系统时，应充分考虑相关的安全需求，并格控 制对项目相关文件和源代码等敏感数据的访问。第十一条定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施进行风险控制。第十二条上述针由单位主管领导批准发布，并定期评审其适用性和充 分性，必要时予以修订。第五章信息安全职责第一条信息安全等缀保护工作领导小组负责批准信息安全策略文 件并且保证本文件被单位的各部门执行，同时负责对公司信息系统信 息安全面的指导向、安全建设等重大问题做出决策，协调各个部门之 间的安全协同工作，支持和推动信息安全工作在整个单位围的实施。第二条 信息安全等级保护工

5、作小组负责具体执行安全管理策略文 件的建立、实施、运作、监控、评审、维护和改进工作。第三条 公司所有员工有责任了解自身在信息系统信息安全面的责 任并认真执行。第六章信息安全管理原则第一条 信息安全管理工作实行“积极防、突出重点、职责到位、保 障业务”和“谁主管、谁负责”的管理原则。第七章信息安全管理组织架构第一条 设立公司信息技术部，主要职责是：按照规化、标准化、统 一化的指导思想，负责信息系统的统一规划、统一部署、统设和统一 管理；负责制订和贯彻落实单位信息技术管理制度，并检查制度执行 情况；负责对信息技术人员的管理、绩效考核、技术培训；做好信息 系统运行维护和技术支持工作，保证信息系统的高

6、效性、安全性、稳 定性和高可用性；在业务开展和业务管理过程中，提供及时有效的技 术配合和技术支持；完成上级单位交办的其他任务。第八章信息安全管理制度框架第一条信息技术管理制度由信息技术部制订、修订和解释，并经公 司部审核批准后执行，主要包括以下各项制度：第二条信息安全策略：规定信息技术管理制度的指导思想、基 本框架、管理架构；第三条 信息技术部根据监管机构相关法律法规的变更和单位管理 流程的调整，不定期对信息技术管理制度进行修订或补充完善。第四条 信息技术部根据单位信息技术管理制度和上级相关规走制 定的技术标准、技术规、操作流程、管理流程、实施细则、应急计划 等，作为单位信息技术管理制度的有效

7、补充。第五条相关应用系统安装与配置文档、系统管理与操作应用手册、 系统应急计划、系统权限管理等相关技术文档，作为单位信息技术管 理制度的有效补充。第九章信息安全策略一、安全管理机构策略第一条成立信息安全等级保护工作领导小组，全面负责信息安全工 作。第二条 信息技术部作为信息安全管理工作的职能部门，并设立安全 管理专员，并设立应用系统管理员、数据库管理员、网络管理员等岗 位，并定义各岗位的职责。第三条关键事务岗位应配备AB角。第四条 针对系统变更、重要操作、物理访问和系统接入等事项建立 审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制 度，并定期审查审批事项，及时更新需授权和审批的项

8、目、审批部门 和审批人等信息，并记录审批过程并保存审批文档。第五条 加强组织部的合作与沟通，定期召开协调会议，共同协作处 理信息安全问题，并加强外联单位（电信、公安局、业界专家、专业 安全单位、安全组织等）合作与沟通，并制定外联单位联系列表。第六条制定安全审核和安全检查制度，规安全审核和安全检查工 作，定期按照程序进行安全审核和安全检查活动。二、安全管理制度策略第一条由公司部统一制定信息安全工作的总体针和安全策略，说明 安全工作的总体目标、围、原则和安全框架，形成由安全策略、管理 制度、操作规程等构成的全面的信息安全管理制度体系。第二条信息安全等级保护工作领导小组负责定期组织相芙部门和 相关人

9、员对安全管理制度体系的合理性和适用性进行审定，对存在不 足或需要改进的安全管理制度进行修订。三、人员安全策略第一条 人力资源部负责员工录用，格规人员录用过程，对被录用 人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技 能进行考核，并签署协议。第二条员工应根据岗位职责要求格履行其安全角色和职责，主 要包括：保护资产免受未授权的访问、泄漏、修改、销毁或干扰，执 行特定的安全过程或活动，报告安全事件或其他风险。安全角色和职 责必须清晰的传达给所有员工，确保他们能清楚各自的安全责任。 第三条定期对各个岗位的人员进行安全技能及安全认知的考核，对 关键岗位的人员要进行全面、格的安全审查和技能考

10、核。第四条 外单位人员在访问中心信息处理设施前必须签署协议，协议 容包括外单位人员访问信息资产的权利、承担的安全责任、违反职责 要承担的后果等。负责接待人员或部门要保证外单位人员了解协议的 条款和容，并同意协议规定的权利和责任。第五条单位主要领导承担管理职责，保证所有员工和外单位人员能 按照安全针、策略和程序进行日常工作。管理职责包括使所有员工和 外单位人员清晰了解各自的安全角色和安全职责、提高他们的安全意 识和安全技能等。第六条定期对所有员工进行安全培训，培训容包括安全针、策略、 程序、信息处理设施正确使用法、安全意识等。根据人员的安全角色 和职责制定不同的墙训计划，保证所有员工和外单位人员

11、能认识到信 息安全问题和信息安全事件，并能按照各自的安全角色履行安全职 责。第七条 制定正式的纪律处理过程，来肃处理安全违规的员工，并威 慑其他员工，防止他们违反安全策略、程序和其他安全违规。纪律处 理要正确、公平，要根据违规的性质、重要性和对业务的影响等因素 区别对待。第八条当员工离职或调离其他岗位、外单位人员合同期满时，立即 终止原来的安全角色和安全职责，并通知中心所有员工，使所有员工 能及时清楚人员的变化。第九条 当员工离职或调离其他岗位、外单位人员合同期满时，及时 归还其使用的所有资产，如设备、软件、文件、访问卡、电子资料等， 防止对资产的非授权使用，及时删除其对信息和信息处理设施的访

12、问权限。四、系统建设策略第一条 信息系统建设前，应明确信息系统的边界和安全保护等级， 并明确说明信息系统为某个安全保护等级的法和理由，同时组织相关 部门和有关安全技术专家对信息系统定级结果的合理性和正确性进 行论证和审定，并确保信息系统的定级结果经过相关部门的批准。 第二条信息技术部负责对信息系统的安全建设进行总体规划，制定 近期和远期的安全建设工作计划；总体安全策略、安全技术框架、安 全管理策略、总体建设规划、详细设计案等相关配套文件的合理性和 正确性进行论证和审定，并且经过批准后，才能正式实施。信息系统 建设案必须进行安全论证，遵照相关标准，建立完善的身份验证、访 问控制、安全保护和安全审

13、计机制。核心业务系统必须采取基于协议 交换的多层结构，确保客户端操作与数据服务端的物理无关性，并具 备防止强力试探密码、防止异常中断后非法进入系统等安全防护功 能。第三条信息技术部负责安全产品的采购，确保安全产品采购和使用 符合的有关规定，而密码产品采购和使用符合密码主管部门的要求， 在采购前应预光对产品进行选型测试，确定产品的候选围，并定期审 定和更新候选产品。第四条 业务系统的开发、测试和运行设施要分离并进行控制，控制 措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员 访问运行系统及其信息等，以减少对运行设施及其信息的未授权访问 和带来的潜在风险。第五条 定期根据外包服务协议中

14、的安全要求，监视、评审由外单位 提供的服务、报告和记录，监督协议规定的信息安全条款和条件的格 执行。监视、评审容包括监视服务执行效率，评审服务报告，审查外 包服务的安全事件、操作问题、故障、失误追踪和破坏的记录。第六条授权信息技术部负责工程实施过程的管理，工程实施前应制 定详细的工程实施案控制实施过程，并要求工程实施单位能正式地执 行安全工程过程，并制定工程实施面的管理制度，明确说明实施过程 的控制法和人员行为准则。第七条新业务系统或升级版本在正式上线前，要进行合适的测试， 并根据验收要求和标准进行正式的验收，以证实全部验收准则完全被 满足。第八条系统建设完成后应制定详细的系统交付清单，并根据

15、交付清 单对所交接的设备、软件和文档等进行清点；应提供系统建设过程中 的文档和指导用户进行系统运行维护的文档，同时对负责系统运行维 护的技术人员进行相应的技能培训。第九条 信息技术部负责管理系统定级的相关材料，并控制这些材料 的使用；将系统等级及相关材料报系统主管部门和相应公安机关备 案。第十条 信息技术部负责等级测评的管理，并在系统运行过程中，对 三级信息系统应每年进行一次等级测评，应选择具有相关技术资质和 安全资质的测评单位，发现不符合相应等级保护标准要求的及时整 改；同时在系统发生变更时及时对系统进行等级测评，发现级别发生 变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准 要

16、求的及时整改。第十一条在选择安全服务商时应符合的有关规定，并与选定的安全服 务商签订与安全相关酌协议，明确约定相关责任，同时确保选定的安 全服务商提供技术培训和服务承诺，必要的与其签订服务合同。五、系统运维策略第一条 所有的资产要指定专人责任，并对责任人赋予相应的职责， 确保所有资产都可以核查。第二条根据资产的重要性、业务价值、依赖程度，对所有资产进行 分类、分级，编制资产的清单。对资产清单妥善保管，并在资产变更 时及时更新清单，确保可以对资产进行有效的保护。第三条 应对磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD、打 印媒体等进行有效的管理，防止非授权的使用和破坏。对可移动存储 介质的管

17、理包括所有介质应存储在符合制造商说明的安全、环境中， 使用介质要进行授权、登记并追踪审计等。第四条应对不再需要的介质进行安全处置，降低介质敏感信息泄漏给未授权人员的风险。第五条 应对信息系统相关的各种设备（包括备份和冗余设备）、线 路等指定专门的部门或人员定期进行维护管理。第六条 应建立配套设施、软硬件维护面的管理制度，对其维护进行 有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维 修过程的监督控制等，应确保信息处理设备必须经过审批才能带离机 房或办公地点。第七条 应对通信线路、主机、网络设备和应用软件的运行状况、网 络流量、用户行为等进行监测和报警，形成记录并妥善保存；同时组 织

18、相关人员定期对监测和报警记录进行分析、评审，发现可疑行为， 形成分析报告，并采取必要的应对措施。第八条应指定专人对网络和主机进行恶意代码检测并保存检测记 录；定期检查信息系统各种产品的恶意代码库的升级情况并进行记 录，对主机防病毒产品、防病毒网关和防病毒网关上截获的危险病毒 或恶意代码进行及时分析处理，并形成书面的报表和总结汇报。第九条 应建立变更簪理制度，系统发生变更前，制定变更案，同时 向主管领导申请，变更和变更案经过评审、审批后可实施变更，并在 实施后将变更情况向相关人员通告。第十条遵照信息安全事故报告机制，报告可能对中心的信息资产安 全造成影响的不同种类的安全事故和弱点，并确保所有的员

19、工、合同 和外单位人员都遵守执行这套报告程序。第十一条对安全事故进行分类和分级，及时对信息安全事故的类型、频率和影响等进行评估，并采取适当措施防止事故再次发生。第十二条应建立应急预案，在统一的应急预案框架下制定不同事件的 应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、 系统恢复流程、事后教育和培训等容；同时应从人力、设备、技术和 财务等面确保应急预案的执行有足够的资源保障。六、物理安全策略第一条 信息技术部负责机房安全，并配备机房安全管理人员，对机 房的出入、服务器的开机或关机等工作进行管理；应定期对机房供配 电、空调、温湿度控制等设施进行维护管理。第二条 应建立机房安全管理制

20、度，对有关机房物理访问，物品带进、 带出机房和机房环境安全等面的管理作出规定。第三条在机房设置安全防盗报警装置和监控系统来实现防盗、防 毁、保障设备的安全。第四条 按照相关设计规和技术要求，在机房设计和建设中做好静电 防护设施、防雷装置和接地保护系统。第五条必须建立警报系统，在发现擅自进入受控区域时发出警报。 第六条对于重要的数据要进行备份，备份数据的存放位置应符合 GBJ45-82中规定的一级耐火等级，符合防火、防高温、防水、防震 等要求；定期对备份数据进行检查，保证其可用性。第七条 信息系统所使用的链路必须符合相关的技术标准和规定。链 路安全包括链路本身的物理安全和键路上所传输信息的安全。

21、七、主机安全策略第一条 应指定专人对系统进行管理，划分系统管理员角色，明确各 个角色的权限、责任和风险，权限设定应当遵循最小授权原则；并建 立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常 操作流程等面作出具体规定；同时依据操作手册对系统进行维护，详 细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置 和修改等容，禁进行未经授权的操作。第二条 应提高全体用户的防病毒意识，安装防病毒软件，及时告知 防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件 或之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之 前也应进行病毒检查。第三条 当因外部审核、软件开发、软

22、件安装或其他规定需求而需要 特殊的访问账号时，账号必须被授权；创建的日期期限必须明确；工 作结束时此账号必须删除。第四条 所有账号都必须使用分配的用户进行唯一性标识。第五条 应指派专人负责删除个人账号；必须将修改用户账号相关信 息的过程文件化；必须定期评审现有账号的有效性，并将此过程文件 化。第六条操作系统应遵循最小安装的原则，仅安装需要的组件和应用 程序，并通过设置升级服务器等式保持系统补丁及时得到更新。第七条 应定期的对服务器和重要客户端上的每个操作系统用户和 数据库用户进行审计，审计容包括重要用户行为、系统资源的异常使 用和重要系统命令的使用等系统重要的安全相关事件。第八条 在访问操作系

23、统过程中，对于不活动的会话必须设定在一个 不动期后关闭，以防止未授权人员访问和拒绝服务攻击。第九条 记录系统管理员和系统操作员的操作日志，并定期评审这些 日志信息。系统管理员和系统操作员的日志应包括事件发生的时间， 涉及的帐号和管理员或操作员，事件或故障的信息容等信息。八、网络安全策略第一条 应建立网络安全管理制度，对网络安全配置、日志保存时间、 安全策略、升级与打补丁、口令更新期等面作出规定；同时应指定专 人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警 信息分析和处理工作；应实现设备的最小服务配置，并对配置文件进 行定期离线备份；第二条应定期对网络系统进行漏洞扫描，对发现的网络

24、系统安全漏 洞进行及时的修补；应根据厂家提供的软件升级版本对网络设备进行 更新，并在更新前对现有的重要文件进行备份。第三条应保证所有与外部系统的连接均得到授权和批准；并依据安 全策略允或者拒绝便携式和移动式设备的网络接入；同时定期检查违 反规定拨号上网或其他违反网络安全策略的行为。第四条 计算机设备如果无人值守必须启动口令保护（屏保或注销）。 第五条 网络基础设施支持一系列合理定义的、被认可的网络协议， 使用任未经认可的协议都必须经过公司的批准。第六条防火墙必须按照防火墙实施规文件进行安装和配置。第七条 未经单位批准不可以安装路由器、交换机、集线器或者无线访问端口。第八条在未经单位批准的情况下

25、，用户不得安装网络硬件或软件提 供网络服务。第九条 在网络边界、安全域之间使用防火墙或VLAN进行逻辑隔离 和访问控制，使用网络安全审计系统对网络访问行为进行记录、监视 和回放，保证对网络进行充分的管理和控制，防止威胁的发生，维护 业务系统和信息的安全。第十条 记录日志的设施和日志信息应加以保护，防止被篡改和未授 权访间。九、应用安全策略第一条 所有访问应用的账号都必须使用分配的用户进行唯一性标 识。第二条 基于各个业务应用要求，应格限制用户对信息和应用系统功 能的访问权限，防止对信息系统的未授权访问。第三条 对应用系统进行安全访问的控制。第四条 对应用系统自身产生的日志文件与系统日志进行审计

26、，记录 用户活动、异常和信息安全事件的日志信息，并保留一定的时间，以 支持将来的调查和审计。十、数据安全和备份恢复策略第一条应建立备份与恢复管理相关的安全管理制度，对备份信息的 备份式、备份频度、存储介质和保存期等进行规。第二条应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的性。第三条 应制定详细的备份策略，使用足够的备份设施，定期对业务 数据进行备份，确保业务数据在灾难或媒体故障后能及时进行恢复。第十章制定和发布管理第一条 公司信息安全管理体系规文件由信息技术部（或者信息安全 等级保护工作小组）负责起草或组织起草。起草的规性文件应当结构 谨、容完备、形式规、条理清

27、楚、用词准确、文字简洁。第二条 文件的发布应遵照统一的格式，进行版本控制；并应注明发 布围，对收发文进行登记。第三条对需要废止的管理制度由信息安全等级保护领导小组明文 废止或者宣布失效。第四条对新制定的规可以替代旧的规的，应当在新的规中列出详细 目录，明文废止被替代的规。第十一章评审和修订第一条 文件评审画，公司信息安全等级保护工作小组定期（至少每 年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管 理体系的充份性、适当性和有效性。第二条 评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：第三条系统业务发生重大变更。第四条系统信息安全策略的重大变更。第五条目前等级保护管理体系的执行不力。第六条系统等级保护管理体系的围发生变更。第七条 相关标准法规发布修订版本或有变更。第八条 评审工作的会议记录均需归档，以保存正式的记录。第九条 规草案经信息安全等级保护领导小组审议并原则通过后，起 草部门根据审议中提出的修改意见对草案进行修改，经信息安全等级 保护领导小组负责人签发，以公司管理制度规形式公布。第十条 为了保证本策略文件的时效性、可有性，必须根据相关审核 规定进行评审和修订，修订后重新发布。第十二章附则第一条 本规定的解释权归公司信息技术部。第二条 本规定自发布之日起生效。