标准文档实用文案目录目录.......................................................................1第一章总则..................................................................31.1范畴.................................................................31.2目标.................................................................31.3原则.................................................................31.4制定与实施...........................................................4第二章安全组织结构..........................................................52.1安全组织结构建立原则.................................................52.2安全组织设置.........................................................52.3安全组织职责.........................................................52.4人员安全管理.........................................................8第三章基本安全管理制度......................................................93.1入网安全管理制度.....................................................93.2操作安全管理制度.....................................................93.3机房与设施安全管理制度...............................................93.4设备安全使用管理制度................................................103.5应用系统安全管理....................................................103.6媒体/技术文档安全管理制度...........................................10第四章用户权限管理.........................................................124.1用户权限............................................................124.2用户登录管理........................................................124.3用户口令管理........................................................13第五章运行安全.............................................................145.1网络攻击防范........................................................145.2病毒防范............................................................155.3访问控制............................................................155.4行为审计............................................................16标准文档实用文案5.5异常流量监控........................................................165.6操作安全............................................................175.7IP地址管理制度.....................................................175.8防火墙管理制度......................................................18第六章安全事件的处理.......................................................196.1安全事件的定义......................................................196.2安全事件的分类......................................................196.3安全事件的处理和流程................................................206.4安全事件通报制度....................................................22标准文档实用文案第一章总则1.1范畴安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题,主要包括人员、组织、技术、服务等方面的安全管理要求和规定。本文所指的管理范围包括国药集团总公司和各分支机构的承载网络,同时包括其上承载的BI系统、BOA办公系统、编码系统、Email以及后续还要开发的HR系统和门户网站等各应用系统。1.2目标安全管理的目标是在合理的安全成本基础上,实现网络运行安全(网络自身安全)和业务安全(为网上承载的业务提供安全保证),确保各类网元设备的正常运行,确保信息在网络上的安全存储传输以及信息内容的合法性。全网安全管理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障,用科学规范的管理来配合先进的技术,以确保各项安全工作落到实处,真正保证网络安全。安全管理办法将用于指导中国医药集团网络安全建设和管理,加强人员的安全管理,防止数据丢失、损坏、篡改、泄漏,提高网络及相关业务系统的安全性。1.3原则安全管理工作的基本原则:1.网络安全管理应以国家相关政策法规和条例为依据。2.网络安全管理遵循统一规划、集中监控的原则。中国医药集团总公司负责对网络安全管理工作进行统一规划,负责安全策略的制定和监督实施。3.网络安全管理采用三级集中管理的方式。由中国医药集团总公司负责对全网的网络安全进行统一规划管理,协调处理重大事件,由中国医药集团信息中心对骨干承载网的安全运营进行集中管理,由各分支机构负责对各分公司的安全运营进行集中管理。标准文档实用文案4.网络安全管理工作应建立符合网络和业务发展要求的安全管理组织体系和安全技术支援保障体系。5.网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程或规定,全面提高的网络安全管理水平。1.4制定与实施本安全管理办法遵照我国信息安全的有关法律法规,并结合具体的情况,依据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。标准文档实用文案第二章安全组织结构2.1安全组织结构建立原则本章描述安全组织的建设,包括建立原则,组织设置,组织职责,针对人员的安全管理,和涉及应该指定的安全管理制度。中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。应遵循中国医药集团公司相关的规章制度、维护规程,制定的安全管理制度和内部的法规政策,指导、监督、考核安全制度的执行,确保全网安全工作的有序进行。采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。2.2安全组织设置2.2.1中国医药集团安全协调组织1.中国医药集团公司安全主管人员2.中国医药集团公司安全专家指导人员。2.2.2中国医药集团安全响应中心1.中国医药集团公司安全主管人员2.中国医药集团公司安全运营管理人员:由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。2.2.3各分支机构安全组织1)各分支机构网络安全主管人员:由相关主管人员组成。2)各分支机构原则上不设置专职的安全管理机构,但应设立专(兼)职安全管理员,由从事安全工作的管理人员、技术人员或业务监管人员担任。2.3安全组织职责2.3.1中国医药集团公司安全协调组织职责标准文档实用文案1.中国医药集团公司网络安全主管人员:1)贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、规程;2)研究决定系统安全工作的重大事项;3)制定系统安全工作和中国医药集团公司所管设备的规范、制度;4)组织、领导安全相关的工作。2.中国医药集团公司网络安全专家指导人员:1)在安全主管人员的领导下,从理论上、技术上,宏观上指导中国医药集团网络安全体系建设。2)发生重大安全事件时,协调各公司资源共同处理。3)定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法3.中国医药集团公司安全协调组织具体职责:1)制定安全管理制度,统一对网络安全工作进行管理。2)协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全管理和安全制度的执行。3)协助指导各分支机构安全管理人员处理网络中发生的重大安全事故,必要时派人到事故点处理。4)负责和监督对各分支机构安全管理人员的安全技术培训工作。2.3.2中国医药集团公司安全响应中心职责1.中国医药集团公司安全主管人员:1)贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;2)研究决定骨干网设备安全工作的重大事项;3)制定骨干网设备安全工作的实施细则;4)组织、领导各分支机构网络相关的安全工作2.安全响应中心安全管理人员:1)具体组织落实中国医药集团公司网络安全工作主管人员的工作计划;2)指导、监督、协调、规范骨干网系统安全工作的开展;3)对骨干网的网络运行和设备的安全实施监控管理;4)管理和维护、处理骨干网的具体安全工作;标准文档实用文案3.安全响应中心具体职责:1)对骨干网的网络运行和设备的安全实施监控管理,实施日常安全管理和监督安全管理制度的执行;2)负责骨干网网络设备和系统的安全评估和定期系统安全性增强。3)配合安全管理人员对骨干网相关安全事件处理;4)贯彻和执行网络安全管理办法及原则,并对骨干网的安全运营提出相应工作细则和操作规章制度,并组织实施;2.3.3各分支机构安全组织职责1.各分支机构网络安全主管人员:1)贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;2)研究决定分支机构网络设备安全工作的重大事项;3)制定分支机构网络设备安全工作的实施细则;4)组织、领导分支机构网络相关的安全工作。2.各分支机构安全管理人员:1)具体执行集团总公司网络安全主管人员的工作计划;2)指导、监督、协调、规范分支机构网络安全工作的开展;3)管理、维护和处理分支机构网络的安全工作。3.分支机构安全组织具体职责1)对分支机构网络设备的安全实施监控管理,实施日常安全管理和监督安全管理制度的执行;2)负责本网网络设备和系统的安全评估和定期系统安全性增强;3)定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法;4)配合集团总公司安全管理人员对骨干网相关安全事件处理;5)处理本网络中发生的重大安全事故,向中国医药集团公司安全工作小组上报安全事故情况;6)贯彻和执行集团总公司网