1/12信息安全管理制度第一章总则第一条为了保护XXX公司计算机网络系统的安全、促进计算机信息系统的应用和发展、保证网络和信息系统的正常运行,特制定本安全管理制度。第二条本管理制度所称的计算机网络系统,是指由XXX公司投资购买、建设的计算机网络主、辅节点设备、配套的网络线缆设施及服务器、工作站所构成的软件、硬件的集成环境。第三条本管理制度所称计算机信息系统:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第四条本办法适用于XXX公司。第二章组织机构和职责第五条在信息安全工作管理中,安全管理员的职责包括:(一)负责公司整个计算机、网络设备、安全设备安全管理的日常工作。(二)开展公司范围内安全知识的培训和宣传工作。(三)监控公司安全总体状况,提出安全分析报告。(四)了解行业动态,为改进和完善安全管理工作,提出安全防范建议。(五)及时向上级领导、相关负责人报告计算机安全事件。(六)安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。(七)安全人员应定期参加下列计算机安全知识和技能的培训:计算机安全法律法规及行业规章制度的培训;计算机安全基本知识的培训;计算机安全专门技能的培训等。第六条在信息安全工作管理中,系统管理员的职责包括:(一)负责系统的运行管理,实施系统安全运行细则。(二)严格用户权限管理,维护系统安全正常运行。2/12(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件。(四)对进行系统操作的其他人员予以安全监督。(五)负责系统维护,及时解除系统故障,确保系统正常运行。(六)不得安装与系统无关的其他计算机程序。(七)维护过程中,发现安全漏洞应及时报告计算机安全人员。第七条在信息安全工作管理中,网络管理员的职责包括:(一)负责网络的运行管理,实施网络安全策略和安全运行细则(详见网络系统的管理规范)。(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件。(四)对操作网络管理功能的其他人员进行安全监督。第三章机房安全管理第八条机房安全建设和改造方案应通过上级保卫部门的安全审批。第九条机房安全建设应通过上级保卫部门组织的安全验收。第十条机房应按重要性进行分级管理,分级标准按有关规定执行。第十一条机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。严禁与机房业务无关的人员进入机房。第十二条计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。第十三条机房建设应当符合下列基本安全要求:(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。(二)机房(含屏蔽机房)应当埋设专用接地线,不得和其它接地线相连。(三)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。(四)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。(五)机房应设专用的供电系统,配备必要的UPS和发电机。第十四条机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。3/12第十五条监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。第十六条机房严禁无关人员进出,门禁系统的钥匙应严格发放,对于岗位变动的人员,及时收回原来门禁系统的钥匙。第十七条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。参观主机房,须经有关领导批准方可,参观时必须有机房管理员陪同。第十八条严禁将易燃易爆和强磁物品及其它与机房工作无关的物品带入机房。第十九条机房内保持肃静,严禁在机房内游艺或进行非业务活动。进入机房的工作人员,都必须严格遵守机房的安全、防火制度,严禁烟火。不准在机房内吸烟。第二十条机房内所有设备、仪器、仪表等物品要妥善保管,向外移(带)设备及物品,需有主管领导的批示或经系统管理员批准,方可拿出机房。第二十一条发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。第四章设备维修保养管理第二十二条只有得到授权的维护人员才能够对设备进行维修和保养。第二十三条注意设备的保养和用电的安全,定期对设备进行检查,及时消除隐患。第二十四条计算机信息网络系统的设备原则上由本单位的技术人员进行检修。不能检修的,尽可能请维修人员上门维修。第二十五条计算机信息网络系统的设备必须外出修理的,应当经领导批准,并清理设备内部存贮的涉密信息(如硬盘格式化等),方可外出进行修理。第二十六条计算机设备的采购需满足国家以及行业的相关安全保密规定。第五章网络安全管理第二十七条网络建设方案应通过上级计算机安全主管部门的安全审批。第二十八条网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。第二十九条在网络的出口出应该配备有相应的安全设备。第三十条网络建设中涉及网络安全的资料,应备案建档,统一管理。相关的密码和帐号应由专人管理。第三十一条网络建设应符合下列基本安全要求:(一)网络规划应有完整的安全策略。(二)能够保证网络传输信道的安全,信息在传输过程中不会被非法获取。4/12(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。(四)应具备必要的网络监测、跟踪和审计的功能。(五)应根据需要对网络采取必要的技术隔离措施。(六)能有效防止计算机病毒对网络系统的侵扰和破坏。(七)应具有应付突发情况的应急措施。(八)对于建设竣工文档应由专人管理,并且以光盘介质和纸质两种方式进行存档。第三十二条网络通信应符合下列基本安全要求:(一)各部门之间进行VLAN划分。(二)对重要服务器区、重要科室部门,实现严格的网络访问控制。(三)对联网的计算机及其网络设备和通讯设备的安装、使用,应建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入和用户非法越权操作。(四)存有重要数据的计算机,不得擅自与国际互联网联网。(五)内部有权限上网的用户不能将内部资料通过网络进行外传。(六)网络管理员在内部网络与外网直接的防火墙或路由器上设置安全访问策略,严格限制内外网之间的访问。(七)接入国际互联网的计算机要有专人进行管理,对上网内容须进行必要的检查。(八)任何用户不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯和危害公司的利益,不得从事违法犯罪活动。第三十三条访问互联网应符合下列基本安全要求:(一)涉密系统不得与境外机构、外国驻华机构、国际计算机网络及国内公众计算机信息系统联网。(二)不得浏览“色情”或传播非法内容(如法轮功,发动言论等)的网站。(三)不得在网上传播非法内容。(四)禁止下载非法的或有危害的软件。(五)没有安装防病毒软件的计算机不得访问互联网。第三十四条重要网络设备应放置在中心机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第三十五条网管设备属专管设备,必须严格控制其管理员密码。第三十六条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第三十七条改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。5/12第三十八条与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。第三十九条网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员。第四十条有权限的单位在使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。第四十一条网络扫描、监测结果和网络运行日志等重要信息应备份存储。第四十二条联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。第四十三条严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。第四十四条机房内交换机上的未被使用的空闲端口应设置为不启用状态。第六章人事安全管理第四十五条人员管理应符合下列基本安全要求:(一)各部门遴选涉密系统的工作人员,应当按机要人员的标准,先审查后录用;并对其进行经常的保密教育,要求严格遵守国家工作人员保密守则。对不适宜在涉密系统工作的人员应及时调整。(二)建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。定期组织对新进公司的职员进行安全管理培训。(三)对关键岗位人员的进行安全制度和常识的定期考核、各部门人员职责的明确。(四)网络管理员、安全管理员、普通操作员岗位分离。(五)需要上外部互联网用户必须与信息中心办理上网申请,严格执行安全保密制度。(六)内部用户对网络上有害信息应该及时控制并删除,不得传播。(七)对安全事故、案件等应该及时上报安全管理办公室,并作日志记录。(八)网络管理员应定期检测网络运行情况,安全管理员必须定期检查系统安全情况。(九)有关信息安全条例及时上安排上网、并转发给用户学习。(十)发现异常用户登录,应及时处理并上报安全管理办公室备案。第四十六条多人负责原则:(一)每一项与安全有关的活动,都必须有两人或多人在场。一为互相监督,二为一旦出现擅自离职,可以保证系统的正常运行。而且应该签署工作情况记录,6/12以证明安全工作已得到保障。(二)以下各项是与安全有关的活动:①访问控制使用证件的发放与回收。②信息处理系统使用的媒介发放与回收。③处理保密信息。④硬件和软件的维护。⑤系统软件的设计、实现和修改。⑥重要程序和数据的删除和销毁等。第四十七条任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。工作人员在调离本岗位后,应对其所涉及到的权限及口令等进行重新设定。第四十八条职责分离原则:(一)在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。(二)出于对安全的考虑,下面每组内的两项信息处理工作应当分开:①计算机操作与计算机编程。②机密资料的接收和传送。③安全管理员和网络管理员。④应用程序和系统程序的编制。⑤访问证件的管理与其它工作。⑥计算机操作与信息处理系统使用媒介的保管等。第四十九条人员调离时安全管理应符合下列基本安全要求:(一)根据人员安全保密管理,对工作调动和离职人员要及时调整相应的授权。(二)在宣布人员调离的同时,应马上收回调离人员的各项权限,包括取消帐号,收回相关房门钥匙,更换其原来管理的系统的访问口令,并向被调离人员申明其保密义务。(三)涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。(四)人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育。第七章系统及应用安全管理第五十条系统运行的基本要求:(一)对于各个信息系统的使用应建立相应安全操作规程与规章制度。(二)指定专人负责启动、关闭重要计算机系统和相关设备。7/12(三)指定专人对系统运行状况进行监视,及时发现问题并报告上级。(四)记录内部网络拓扑情况,记录各计算机系统的IP地址、网卡地址、系统配置,以在发生安全问题时,及时找到相关系统。(五)各个信息系统的运行场所应满足相应的安全等级要求。(六)各个信息系统应配备必要的计算机病毒防范工具。(七)重要的信息系统应配备必要的备份设备和设施。第五十一条系统数据安全管理的要求:(一)计算机信息系统应定期进行数据备份,并检查备份介质的有效性。(二)应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号,并标明备份日期、密级及保密期