投資集團公司信息資產網絡及密碼安全管理制度.docx
下載文檔
上傳人:職z****i
編號:1148246
2024-09-08
17頁
28.99KB
1、投資集團公司信息資產、網絡及密碼安全管理制度編 制: 審 核: 批 準: 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準: 版 本 號: 1. 總則21.1 信息安全定義21.2 確保信息安全的重要性21.3 本制度適用范圍21.4 責任22. 信息資產安全管理22.1 信息資產分類22.2 信息資產管理33. 人力資源安全33.1 新進員工管理33.2 信息系統權限管理34. 機房與環境安全34.1 機房位置選擇34.2 機房防護措施34.3 出入機房規定44.4 機房巡檢制度45. 網絡安全45.1 上網行為管理45.2 防火墻制度45.3 虛擬私人網絡(VPN)45.42、 Internet安全45.5 虛擬局域網(VLAN)55.6 微博、微信管理56. 密碼安全與保密制度56.1 服務器操作系統超級用戶密碼56.2 數據庫超級用戶密碼56.3 其他系統超級用戶密碼56.4 個人pc密碼56.5 信息保密制度57. 數據庫、應用與服務器安全67.1 建立磁盤陣列RAID77.2 數據庫備份67.3 數據庫權限管理67.4 直接修改數據庫數據流程67.5 信息的異地備份67.6 機密數據加密67.7 應用程序版本管理78. 病毒防范制度78.1 殺毒軟件與殺毒78.2 病毒防范行為71. 總則1.1 信息安全定義 信息安全是指為數據處理系統而采取的技術和管理的安3、全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。 定義包含了幾個層面的概念,其中計算機硬件可以看做是物理層面,軟件可以看做是運行層面,和數據層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。1.2 確保信息安全的重要性 信息系統是企業業務活動正常運行的基礎,信息安全是企業業務活動正常運行的保障。xx集團是一家規范的多元化產業公司群,擁有大量的金融、財務、人力資源、客戶等涉密信息,網絡化,數字化使得這些信息雖然容易被存放,也極其容易被泄露、盜取和挪用。所以建立信息安全制度顯得十分必要。1.3 本制度適用范圍 除了xx集團信息4、管理中心全體職員外,本制度還適用于使用、維護信息系統或使用信息工具的全體xx集團職員。1.4 責任 在信息安全制度的涉及范圍內,每個單位、部門的信息安全由部門負責人或由其指定專人來負責。2. 信息資產安全管理2.1 信息資產分類 信息資產按照機密性分為普通、敏感與機密三類。2.2 信息資產管理 1.敏感與機密信息在傳輸和存儲時均需標示其等級。 2.敏感與機密信息欲復制、攜帶外出時,應提出申請載明申請用途,經單位負責人及集團信息管理中心負責人授權核準后,加密后攜離使用。 3.可攜帶存儲媒體(磁盤、光盤、移動硬盤、U盤等)若存儲敏感與機密信息,保存時需于枷鎖櫥柜內。必須注意防磁、防潮、防火、防盜,5、必須垂直放置。 4.單位、部門敏感與機密信息應由單位、部門負責人管理,集團敏感與機密信息應由集團辦公室負責人管理。 5.敏感與機密信息不得使用網絡、傳真等方式傳送。 6.敏感與機密信息應采用加密方法進行保護,并考慮使用技術手段,防止信息在未經過授權的情況下遭到篡改。 7.敏感與機密信息應執行權限管理與異地備份機制。3. 人力資源安全3.1 新進員工管理 1.新員工簽署勞動合同時,要明確信息安全責任,使新員工從一開始就了解公司對信息安全的要求,增加員工的安全印象。 2.對新員工進行崗前教育與培訓,使員工在較短時間內熟悉組織的信息安全政策和程序。 3.明確規定員工必須遵守國家的法律法規的信息安全政6、策,任何與法律法規安全政策相違背的行為,都被視為安全事件并受到相應懲罰。 4.根據新員工的崗位職能,分配相應系統的使用權限。3.2 信息系統權限管理 1.任何信息系統必須具有權限管理功能。對于用戶較多的大型系統,可使用區域、組別、個人三級管理;而對于用戶數量一般的中型系統,可使用組別、個人進行二級管理。 2.為確保金融、財務等關鍵系統準確無誤,系統中相關數據必須由一人錄入,另一個審核。數據的錄入人員和審核人員不能為同一人。 3.信息安全負責人負責信息系統權限管理和分配工作。如果是全公司員工都需使用系統,如OA,由集團辦公室負責系統權限管理和分配工作。 4.各單位的信息技術部門人員負責權限管理的7、實施工作。3.2.1 信息系統權限申請流程 1.員工填寫信息系統權限申請審批表時(附表1,以下簡稱“審批表”),應注明員工工號、姓名,權限區域、組別,申請理由等必要內容。 2.“審批表”交由所在單位的信息安全負責人審核信息后簽名確認,并提交集團信息管理中心信息技術部。 3.“審批表”經集團信息管理中心信息技術部安全負責人審核簽名確認后,由信息技術部開通權限。 4.原則上登陸系統的用戶名與申請員工工號一致,初始密碼是password或統一標記。如果不是,則通過郵件告知申請人員。 5.申請人員得到系統使用權限后,需立即登陸系統,并修改初始密碼。如不修改,所造成的后果自負。3.2.2 信息系統權限變8、更流程 1.信息系統權限變更流程適用于人員調崗、離崗、轉崗、離職等變化情況。 2.“審批表”應注明員工工號,姓名,變更(撤銷)權限原因,變更(撤銷)權限區域、組別等必要內容。 3.交由所在單位的信息安全負責人審核信息后簽名確認,并提交集團信息管理中心信息技術部。 4.“審批表”經集團信息管理中心信息技術部安全負責人審核簽名確認后,由信息技術調整或撤銷權限。4. 機房與環境安全4.1 機房位置選擇 1.機房應選擇在具有防震、防風和防雨等能力的建筑內。機房的承重要求應滿足設計要求,不能建立在地下室,以及用水設備的下層或者隔壁。 2.機房場地應當避開強電場、強磁場、強振動源、強噪聲源、重度環境污染,9、易發生火災、水災、易遭受雷擊的地區4.2 機房防護措施 1.防雷擊。機房建筑應設置避雷針;應設置防雷保安器,防止感應雷;應設置交流電源接地。 2.防火。應設置火宅自動消防系統,自動檢測火情,自動報警。機房建筑材料應具有耐火等級。 3.防水與防潮。水管安裝不得穿過屋頂和活動地板下;應采取措施防止雨水通過屋頂和墻壁。 4.溫濕度控制。應設置恒溫恒濕系統,使機房溫度、濕度的變化在設備運行所允許的范圍內。 5.防靜電。應采用必要的接地等防靜電措施;應采用防靜電地板。 6.防電力中斷。應采用UPS和備用電源平衡管理,當發生突然停電時,不產生閃斷現象。4.3 出入機房規定 1.機房大門配置電子門禁,除機房10、巡檢人員、信息技術部經理、集團信息管理中心總監、集團負責人外,其他人員一律不得進入機房。 2.外來人員須進入機房的,要填寫機房出入申請審批單(附表2),經過集團信息管理中心信息技術部門安全負責人審核批準后,才能進入。 3.機房內安裝監控裝置,保留15天以上的攝像記錄。4.4 機房巡檢制度 1.機房管理員每天早(9:00)晚(17:00)巡視機房各個設備,認真填寫機房巡檢單(附表3)。發現設備故障,記錄并立即報告信息技術部運維經理、總監。 2.信息技術部運維經理、總監不定時抽查機房巡檢員日常巡檢工作,發現漏巡檢、晚巡檢等違規行為,嚴肅處理。 3.機房巡檢單每月匯總,封存入信息技術部檔案。5. 網11、絡安全5.1 上網行為管理1.防止非法信息惡意傳播,避免企業機密信息泄漏;并可實時監控、管理網絡資源使用情況,提高整體工作效率,建立上網行為管理制度。2.由集團辦公室確定嚴禁上網行為,例如:網上購物,在線聊天,在線觀看電影、視頻、P2P等,信息技術部配合實現上網行為管理。3.特殊崗位需開發某些上網行為的,報集團辦公室審批同意后,由信息技術部門配合實現上網行為管理。5.2 防火墻制度 1.防止公司信息系統遭到來自外部人員的任何非法攻擊和入侵,需要將公司內部局域網與Internet通過硬件防火墻進行隔離。信息技術部負責建立、配置、管理硬件防火墻。 2.集團下屬任何單位及部門(或個人)都不得關閉PC12、端操作系統防火墻,一旦發現造成系統損壞、數據丟失,后果自負。5.3 虛擬私人網絡(VPN) 1.VPN技術是企業常用的網絡安全技術之一。VPN利用公共網絡建立專用網絡,屏蔽了網絡之外所有用戶。信息技術部提供技術,負責建立集團總部與各公司之間的VPN網絡。 2.為提高VPN安全級別,信息技術部負責不定期地更換接連密碼和加密方式。 3.進入VPN網絡的集團、各公司成員不得泄露連接密碼、加密方式和靜態地址,一旦發現,嚴肅查處。造成后果的由責任人自負。5.4 Internet安全 1.信息技術部負責運用各種信息技術提高集團各公司官網的安全級別,防止非法攻擊。 2.信息技術部負責運用PKI、數字簽名等各13、種技術提高業務交易平臺的安全級別,防止非法攻擊和敏感與機密信息泄露。 3. 員工瀏覽Internet時,不得降低瀏覽器安全級別,不得瀏覽非法網站,一經發現,后果自負。5.5 虛擬局域網(VLAN) 1. 增強局域網的安全性,含有敏感數據的用戶組可與網絡的其余部分隔離,從而降低泄露機密信息的可能性,信息技術部負責建立集團辦公場所VLAN。 2. 集團辦公場所員工不得更改IP地址。5.6 微博、微信管理 1. 員工可以個人名義通過公司微博、微信、BBS平臺,轉發公司信息。 2. 以公司名義對外發布的信息,統一經集團辦公室批準。 3. 信息技術部負責監控公司微博、微信、BBS平臺,發現反動、黃色、侵14、害公司形象的信息,有權立刻刪除,并向有關領導(包含但不僅限于集團信息、人事、行政負責人等)進行匯報。6. 密碼安全與保密制度6.1 服務器操作系統超級用戶密碼 1.信息技術部項目工程師擁有所負責項目系統的超級用戶密碼。 2.信息技術部總監、運維部經理、機房巡查員擁有所有服務器操作系統超級用戶密碼。 3.超級用戶密碼以每月為周期,由運維部經理、項目工程師、機房巡查員到場一起修改,并報備總監。 4. 各臺服務器操作系統的超級用戶密碼必須不一致。6.2 數據庫超級用戶密碼 1.信息技術部項目工程師擁有所負責項目數據庫的超級用戶密碼。 2.信息技術部總監、運維部經理擁有所有數據庫超級用戶密碼。 3.超15、級用戶密碼以每月為周期,由運維部經理、項目工程師到場一起修改,并報備總監。 4.每個數據庫的超級用戶密碼必須不一致。6.3 其他系統超級用戶密碼 1.信息技術部項目工程師擁有所負責項目的超級用戶密碼。 2.信息技術部總監、運維部經理擁有所有系統超級用戶密碼。6.4 個人pc密碼 1.員工新領pc后,需修改登陸密碼。個人密碼不應過于簡單,不應記錄在筆記本上,被人破譯或盜用。 2.員工使用完畢各應用系統后,需安全退出,防止被他人使用。6.5 信息保密制度 1.涉密信息不得通過任何途徑傳播和存儲,一旦發現,要追求個人責任。 2.員工妥善保管好自己的密碼,不得向其他人泄露。一旦發生泄露導致公司財產損失16、,要追究個人責任。 3.信息技術部研發的任何軟件、代碼、圖片、界面等屬于公司財產,不得以任何形式向外部人員提供、泄露。7. 數據庫、應用與服務器安全7.1 建立磁盤陣列RAID 1.RAID通過在多個磁盤上通過數據校驗提供容錯功能,確保服務器運行安全。 2.記錄不可復制且保密程度較高數據的服務器(如用友NC數據庫服務器),采用基于數據分條+數據鏡像磁盤結構(RAID0+1)方式。可以確保在一半磁盤全部損壞前,完全保存數據。 3.記錄一般數據的服務器,采用分布式奇偶校驗的獨立磁盤結構(RAID5)方式。可以確保在兩塊磁盤全部損壞前,完全保存數據。 4.信息技術部項目工程師負責建立、維護相關服務器17、RAID工作,檢查磁盤工作狀態。7.2 數據庫備份 1.數據庫是保存最終數據的介質,通過建立備份與災難恢復策略,確保數據完整。 2.數據庫每日零點進行完全備份,15天循環覆蓋,存放在數據庫服務器上。 3.信息技術部項目工程師負責建立、維護相關數據庫備份,檢驗備份文件狀態。7.3 數據庫權限管理 1.信息技術部數據庫工程師負責設計數據庫權限管理方案;項目工程師負責實施相關數據庫權限管理工作。 2.除信息技術部項目工程師、運維部經理、總監外,任何人員不能得到數據庫超級用戶權限和密碼。 3.按權限、管理組、人員三個維度設計數據庫權限,做到職責明確。7.4 直接修改數據庫數據流程 1.原則上在系統上線18、初始化后,不允許任何形式直接修改數據庫數據。 2.數據庫設計時要建立修改行為觸發日志,為審計提供依據。 3.數據庫維護人員僅有數據庫查詢權限。需要直接修改數據庫的,用戶可填寫數據庫修改數據申請表(附表4),報本部門總監確認簽字后,提交信息技術部。 4.信息技術部總監簽字確認數據庫修改數據申請表后,由運維部經理實施修改。7.5 信息的異地備份 1.異地備份數據是指在另外一個地方產生一個副本,在緊急情況下,副本可立即投入使用。 2.建立異地備份存儲服務器,存放數據庫備份文件、應用程序、和其他重要信息。 3.異地備份存儲服務器,每天6點開始,提取各個數據庫備份文件,15天循環覆蓋。 4.應用程序實行19、版本管理,每個版本程序副本放置在異地備份存儲服務器上。 5.信息技術部項目工程師負責相關系統的異地備份工作。7.6 機密數據加密 1.凡被認定涉及個人隱私、經濟利益而不能被公開的信息,稱為機密數據。機密數據不能以明文的形式保存或者傳輸,必須經過加密手段處理。 2.為確保交易者隱私和信息安全,大大財富等交易平臺傳輸的交易者信息、密碼、交易內容,必須通過公開秘鑰體系(PKI)手段進行加密后傳輸。 3.機密數據不能以明文形式存入數據庫,必須以加密方式存放。7.7 應用程序版本管理 1.應用程序設計時,需具有版本管理功能。程序只要發生任何一處修改,版本號則要發生變更。 2. 信息技術部項目工程師管理相20、關應用程序的版本。不同版本的程序需要以副本的形式保存在服務器中。8. 病毒防范制度8.1 殺毒軟件與殺毒 1.信息技術部為所有員工配置的pc(含筆記本)安裝正版防殺病毒軟件和360安全衛士,并開啟自動升級功能。 2.員工應有較強的病毒防范意識,定期進行病毒庫升級,病毒查殺。如發現升級或者殺毒失敗,立即通知信息技術部門人員。 3.員工不得卸載防殺病毒軟件和360安全衛士,和關閉自動升級功能,一經發現,嚴肅處理。8.2 病毒防范行為 1.員工不得擅自安裝來及不明和未經病毒檢測的軟件,特別不得安裝游戲和與工作無關的其他軟件。 2.員工收到任何形式的程序和數據(如電子郵件),必須經過檢測確認無病毒后方可使用。 3.如證明新型病毒在公司局域網內傳播,信息技術部有權中斷計算機網絡,對網絡中的病毒進行排查,逐個pc進行升級和病毒查殺。 集團行政管理中心 xx年6月