搜索
保密等级:内部公开版本/版次:1.0编制日期审核日期审查日期批准日期信息安全管理制度文件修订履历表版本修订章节变更说明编制审核审查批准日期1.0第1页共8页信息安全管理制度1目的为满足业务运行要求,遵守国家法律法规,实施信息安全风险管理,确保信息安全以及实现持续改进的目的,特制定此制度。2范围本制度适用于xxx有限公司(以下简称xxx集团或集团)信息安全整体工作,在集团范围内给予执行。3职责3.1最高管理者在公司的战略层面统筹推进两化融合。3.2管理者代表提出本公司的两化融合相关决策建议。4引用文件无5信息安全建设和管理5.1组织架构5.2人员安全管理5.2.1人力资源管理部门负责人员安全管理,应建立以员工为中心的人力资源管理策略。5.2.2人员聘用时需明确员工信息安全责任,人力资源部门必须在新员工入职一个月内组织一次信息安全培训,并且每年定期组织一次针对全体员工的信息安全培训和宣导,提高员工的商业秘密保护意识。5.2.3员工离职时须严格按照离职流程进行,各交接人应该负责交接信息的安全处理,以确保相关信息资料的不外泄。第2页共8页5.2.4信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在岗位职责中应明确对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。5.3信息安全风险评估5.3.1集团每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。5.3.2信息资源管理部负责组织成立风险评估小组。5.3.3风险评估小组组长负责进行信息安全风险评估的策划,风险评估小组按策划进行风险评估。5.3.4集团各部门负责按规定进行风险处理,并定期输出《xx信息安全风险评估报告》。5.3.5当集团发生以下情况时需及时进行风险评估:1)当发生重大信息安全事故时;2)当信息网络系统发生重大更改时;3)管理者代表确定有必要时。5.3.6与外部公司签订合约时应进行信息安全风险评估;5.4信息安全事件报告和协查5.4.1对突发安全事件应建立应急预案管理制度和相关操作办法。5.4.2加强值班管理及时发现信息,安全事件和隐患。5.4.3一旦发现信息安全案事件,应详细、如实记录事件经过,保存相关日志,并形成相应分析报告,并及时通知有关人员,并与公安部门取得联系。5.5.4进行网络违法案件及其他信息安全检查时,有关人员必须积极配合。5.5知识产权保护5.5.1集团从正当渠道获取各类专利、专有技术和正版软件,以保证著作人的版权和知识产权不受侵害。5.5.2集团员工应遵守从互联网获得软件和信息的条款规定。5.5.3法律、法规和合同约定的要求有限制内容的,集团员工除非得到授权的许可,否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制其文档内容。5.5.4集团各部门保留各类专利、专有技术、软件的授权文件(证书)、软件母盘及手册等证明和证据。第3页共8页5.5.5集团在授权范围内使用经授权的专利或专有技术,并采取必要的技术和管理手段,尽一切努力保护其所有人的合法权益不受第三方侵害。5.6密码安全管理规定集团所有计算机、服务器、网络交换机等IT设备与信息系统必须按本规定要求设置相关密码。5.6.1用户的个人办公账号必须按照要求设置初始密码,用户必须在首次使用时更改密码并妥善保管,不得散发或与他人共享。5.6.2用户密码的设置不应少于10位,最好包含大小写字母、数字和特殊字符。5.6.3信息系统管理员密码长度至少要求10位,必须包含字母、数字与特殊字符。5.6.4服务器、防火墙、路由器、交换机、网络负载等重要IT设备的超级管理员密码长度应在12位以上,且必须包含字母、数字与特殊字符。5.6.5以上所有密码均不能使用姓名的汉语拼音、生日,重复、顺序、规律数字、工号和常见的英文单词等容易猜测的数字和字符串。5.6.6以上所有密码,每三个月定期更改,以增强密码的安全性。5.6.7服务器、防火墙、路由器、交换机、网络负载等重要设备的超级管理员密码由系统管理员自行保存,严禁将密码转告他人;若因工作需要必须转告,应由信息资源管理部负责人审批;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。5.7机房安全管理5.7.1服务器及网络设备相关管理人员应尽量通过远程连接方式对服务器端进行维护,减少进入机房操作。5.7.2对于已获得批准进入机房的外来技术人员,相关设备负责人需对其工作内容进行规范及管控。5.7.3进入机房工作人员应恪守保密原则,不得泄露机房各种信息资料与数据。5.7.4外来人员对各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经相关系统负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档,受访部门负责相应安全责任。5.7.5在机房设安全监控探头,并进行全天监视和录像,安全监控录像信息的保存周期为90天。5.7.6机房内应配备温度计,机房管理人员应每天关注温度的变化,做好机房的防潮、防湿、防高温工作,一般情况下,当机房的温度超过28摄氏度的话,则应开第4页共8页启降温设备做好降温工作。5.7.7机房管理人员定期检查机房线路、消防器材、火灾自动报警、火灾自动灭火系统等消防设施,保证其状态良好。5.8计算机安全管理5.8.1任何人不允许私自拆卸计算机及增减组件。5.8.2下班后所有不再使用的计算机,应关闭主机及显示器,对于公共的计算机,原则上由最后一个使用人员关机,并关闭电源。外来人员不得操作公司计算机。5.8.3员工离开工作岗位时应立即用带密码的计算机屏幕保护锁定计算机。5.8.4操作系统由集团统一提供,禁止安装使用其它来源的操作系统,特别是未经授权的非法拷贝。5.8.5集团提供的全部软件仅限于员工完成工作所使用;未经许可,不得将集团购买或开发的软件擅自提供给第三方。5.8.6计算机必须打开操作系统自带防火墙,使用人员不得私自改变计算机的安全配置,不得私自以任何方式接入互联网,不得从事危害网络秩序、网络安全的活动。5.9服务器安全管理5.9.1集团所有服务器必须严格按照密码安全管理规定设置开机密码、系统登陆密码、以及带密码的屏幕保护。5.9.2集团所有服务器应按照信息资源管理部相关安全技术规范来设置安全策略,策略设定后要进行有效性检查,确保有效执行。5.9.3服务器日常操作和维护由系统管理人员负责,未经许可其他人不得对服务器进行操作。5.9.4为了保证服务器的运行效能和安全,只允许安装压缩、杀毒等必要的应用软件,严禁安装游戏、聊天工具等与系统无关的软件。5.9.5系统管理人员定期对服务器进行巡检,发现服务器有严重错误或黑客入侵等行为,必须立即采取措施进行处理。5.9.6服务器的关键信息及重要数据应定期备份,确保系统一旦发生故障时能够快速恢复。5.9.7原则上不允许在个人电脑上共享公司有商业价值的重要文件或在部门公共盘上存放有商业价值的重要文件。5.10网络安全管理5.10.1集团所有网络设备密码必须严格按照密码安全管理规定执行。第5页共8页5.10.2未经信息资源管理部批准,任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数。5.10.3网络管理人员定期对网络、系统、线路和设备的运行情况进行统计分析,优化网络性能,保证系统和设备运行正常、完好。5.10.4定期进行网络安全漏洞扫描,及时发现网络漏洞,及时进行整改。5.10.5网络管理人员通过技术手段对集团网络进行不间断监控,及时发现和拒绝不安全的操作以及黑客攻击行为,阻止网络内外的入侵。5.10.6网络管理人员每个季度对路由器、防火墙、安全监控系统的安全策略进行一次审查和必要的修改,并对配置文件进行备份保存,以确保安全策略的完整性和一致性。5.10.7网络优化、安全策略调整、或网络设备新增时,必须经过详细研究讨论和全面测试,并要通过安全方案审核,确保网络系统的安全和正常运行。5.10.8禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给无关人员或向外随意传播。5.11计算机病毒防治5.11.1集团所有计算机及服务器必须统一安装经信息资源管理部批准的企业防病毒软件。5.11.2防病毒软件由信息资源管理部根据集团网内病毒和黑客软件的入侵、处理和分布情况,调整管理策略和配置,并及时下发策略。5.11.3禁止用户私自禁用或绕开企业防病毒软件。5.11.4企业防病毒软件不能自动清除并引起安全事故的病毒,应及时上报IT运维人员及信息资源管理部。5.11.5防病毒服务器是防病毒体系关键部分,须建立巡检制度,系统管理人员每天检查服务器状态,病毒定义码以不超过7天为准,并检查客户端分发状态。5.11.6集团各部门/各分支机构计算机接受防病毒服务器的管理,在每次开机时自动从防病毒服务器上下载最新病毒库。5.11.7计算机设备保管人应定期检查防病毒软件安装及病毒库的升级情况。5.11.8用户在使用任何电子媒介前都应对其进行病毒扫描,对发现病毒的电子媒介应禁用,病毒清除后方可使用,对不能清除的病毒,应及时上报信息资源管理部。5.11.9用户应在计算机启动后需检查是否已启动病毒实时监测系统,如未启动,应在进行其他操作前启动病毒实时监测系统。第6页共8页5.12信息系统安全管理5.12.1信息系统投运前,信息资源管理部要掌握有关设备所提供的各种系统监控、维护工具,并检查其安全性和完整性。5.12.2为保障信息系统正常运行,由信息资源管理部指定专人(系统管理员)负责信息系统的应用及数据库管理,包括对程序、硬件、网络、操作系统等的安装、修正、备份等操作。5.12.3信息系统管理员建立系统维护记录,实行维护过程登记。对故障的发生时间、表现与频率、解决方法、结果进行详细记录,形成专门的系统管理维护记录。5.12.4信息系统需求变更应当严格遵照管理流程进行操作。信息系统管理员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变信息系统环境配置。5.12.5根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度。5.12.6集团所有信息系统只限于集团内部使用,严禁将信息系统软件以任何形式调用、出借、挪用给该范围以外的任何单位或个人。5.12.7定期对信息系统中的数据进行备份,以便服务器发生故障时,能启用备份恢复数据到最近状态。需备份的数据包括:应用程序备份、数据库备份。备份方式包括每日系统自动备份、系统管理员不定期储存备份。5.12.8对信息系统数据的备份、恢复、转出及转入权限严格控制,禁止除系统管理员之外的其他人员进行操作。5.12.9任何人员不得直接打开信息系统数据库文件进行操作,不得随意增加、删除、修改数据,不得修改原程序和数据库表结构。5.12.10信息系统硬件设备的报废应由使用部门提出申请,信息资源管理部根据设备的使用情况进行审核,提出设备报废清单,按固定资产报废流程办理。5.13数据备份管理5.13.1数据安全存储要求5.13.1.1数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。5.13.1.2包含重要、敏感或关键数据信息的移动式存储介质须专人值守。5.13.1.3删除可重复使用存储介质上的涉密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区第7页共8页域填入无用的信息进行覆盖。5.13.2数据备份要求5.13.2.1数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光盘等。备份数据信息的物理介质应有数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管。5.13.2.2一般情况下对服务器和网络安全设备的配置数据信息每季度进行一次备份,当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份;网络设备配置文件在进行版本升级前和配置修改后进行备份。5.13.2.3备份执行过程应有详细的规划和记录,包括备份主体、备份时间、