1、2 XX電力工程有限公司信息安全管理辦法XX電力工程有限公司信息安全管理辦法 第一章第一章 總總 則則 第一條第一條 為加強公司信息安全管理,做到公司信息安全管理工作有據可依、有章可循,根據國家信息安全等級保護基本要求、ISO17799:2005 以及國家有關法律法規要求,并結合公司實際情況,制定本管理辦法。第二條第二條 本管理辦法適用于公司各部門,子公司可參照執行。第二章第二章 名詞釋義名詞釋義 第三條第三條 名詞釋義如下:(一)應用程序在電腦上面執行的軟件,供機構使用作為經營業務的工具。他們和系統程序(或作系統軟件,例如 Windows 系統)不同。普遍應用程序包括會計、文字處理、計算表、
2、數據庫、圖像或者簡報程序,或者一些特別為某種業務或者工作開發的應用程序。(二)資產任何實物或者虛擬的事物(資料、名譽、商標),或者是機構擁有而對機構有的業務價值的事物。3 (三)保密性對公司擁有的實體或者邏輯性資產加以保護,防止在沒有授權下被披露。(四)可用性對公司擁有的實體或者邏輯性資產,能夠在需要時候可以使用去達成業務和經營要求。一般情況涉及應用程序、系統、通訊正常運作,支持公司業務。(五)完整性保證公司獲得、處理、供應和使用的資料是完整、正確、可靠。(六)抗抵賴性防止在通信中涉及到的那些實體不承認參加了該通信。(七)可審查性有依據、有手段地對出現的信息安全問題提供跟蹤和調查。(八)安全審
3、計為測量系統的控制是否足夠、為保證與策略和標準相符合、為發現系統中的漏洞、為對控制策略和標準作出改變的建議,而對系統活動記錄。第三章第三章 安全策略安全策略 第四條第四條 為對公司信息系統所涉及的信息及信息資產進行恰當地安全保護,確保公司信息系統安全可靠運營。公司信息安全工作的重點將集中在可用性、完整性、機密性和可審查性。(一)安全策略重點保護物理和環境安全、信息資產分類管4 理、變更管理、業務連續管理、安全事故管理、審查評估。(二)信息安全工作圍繞業務來展開。(三)信息安全工作應該以風險管理為基礎,在安全、效率和成本之間均衡考慮。(四)應參考業界的做法,充分考慮到國內的管理和法制環境來建立組
4、織的信息安全體系;信息安全工作必須是各級領導負責,全員參與,專人管理;對保密信息的訪問應遵循工作相關性原則、最小授權原則和審批、受控原則。第四章第四章 信息安全組織領導信息安全組織領導 第五條第五條 公司領導負責審查和核準公司信息安全策略,審核批準重大的信息安全活動;負責相關部門與國家執法部門、相關管理部門、信息服務供應商以及其他相關供應商建立合作關系,以保證在發生安全事故時,能迅速采取行動和獲得幫助。第六條第六條 信息管理部負責組織制定信息安全策略、標準和流程并且在公司推行,負責組織信息安全監控以及安全事件的調查,負責組織信息安全培訓和宣傳,向公司領導提供建議并執行批準的安全控制措施。第七條
5、第七條 公司各部門負責本部門所有與信息安全相關的活動。5 第五章第五章 信息資產管理信息資產管理 第八條第八條 為了對信息資產進行有效保護,應明確資產責任并對資產進行分類、清點、標識。第九條第九條 在對信息資產的標識和信息資產處理過程中,應該執行以下控制措施:(一)信息所有人負責根據保密相關規定、信息的價值和信息泄露可能帶來影響,對信息的密級進行劃分;(二)信息所有人負責信息的授權,信息只能授權給工作必須的人員;(三)信息的獲取應該遵照工作需要原則、受控審批的原則,嚴禁未經批準的私下獲取行為;(四)保密信息在不可信通道上的傳遞必須經過加密;(五)在對外提供任何可能涉及公司保密信息的資料之前,不
6、管提供的對象是客戶、顧問、代理商、供應商、開發商、承包商還是個人,都必須事先經過相關部門的審批許可,并與接收單位簽署保密協議。保密協議中對信息接收方如何使用信息需要明確說明;(六)員工如果發現保密信息泄露或丟失,或者存在泄露或丟失的可能,必須立即通知信息管理部;6 (七)未經批準,嚴禁泄露信息系統的安全控制機制。對外公布的信息必須經過審批,員工不得在公開媒體上發布、談論和傳播公司保密信息;(八)必須采用公司批準的保密信息的銷毀方式銷毀信息。第六章第六章 信息系統人力資源管理信息系統人力資源管理 第十條第十條 人是信息系統的操作者,為了降低設施誤操作、偷竊、詐騙或濫用等方面的人為風險,必須明確使
7、用信息系統的人員安全責任和保密義務,對相關人員進行安全培訓,對離開信息系統的人員做好資料和權限回收工作。第十一條第十一條 新入職員工必須接受培訓,了解掌握公司信息安全方面的相關知識和相關規定。第十二條第十二條 人員離職時應及時收回所有涉及公司業務內容的資料和信息,立即取消所有訪問信息系統的權限。第十三條第十三條 除了保障公司內部員工能安全的操作信息系統,還必須要求接觸公司信息系統的第三方人員,如軟件開發商,系統集成商等執行如下控制措施。第十四條第十四條 必須與接觸公司信息的第三方簽署保密協議。第十五條第十五條 對于第三方人員不該訪問的信息應該采取辦公區域分離、網絡邏輯分離等措施。7 第十六條第
8、十六條 對于第三方人員需要訪問的信息須采取嚴格的申請和審批制度,以限制第三方人員只能獲得有限的信息資產權限。第七章第七章 物理和環境安全管理物理和環境安全管理 第十七條第十七條 為了避免機房、重點辦公區域受到自然災害、防止對公司工作場所和信息的非法訪問、破壞和干擾,須確保信息系統所處的環境安全。第十八條第十八條 公司業務部門應根據工作性質劃分相應的安全級別,并建立相應的訪問控制措施。第十九條第十九條 所有受控區域必須指定信息安全管理責任人。第二十條第二十條 根據設備及其運行系統的重要程度,將設備放置到相應級別控制區域。第二十一條第二十一條 根據設備及其運行系統的重要程度建立防盜、報警、監控等保
9、護措施。第二十二條第二十二條 建立關鍵設備的應急備份系統。第二十三條第二十三條 存儲介質的銷毀必須按公司批準通過的銷毀方式銷毀。第八章第八章 訪問控制管理訪問控制管理 8 第二十四條第二十四條 控制對信息的訪問,應根據業務和安全需求對信息系統和業務流程加以控制,對信息的傳播和授權加以控制。須從用戶、網絡、操作系統和應用幾方面采取如下控制措施來實現對信息系統的訪問控制:(一)帳戶及權限管理 1.網絡用戶名為員工名字的漢語拼音全拼。2.用戶申請接入公司信息化系統,應由本部門相關人員在系統中啟動入網申請流程審批同意后,由系統管理員負責完成入網接入工作。3.根據工作相關性原則并經過審批后為個人分配權限
10、;4.含有保密信息的系統禁止建立公用帳戶;5.用戶的崗位或職責發生變化時,應立即變更或取消相應的訪問權限;6.對于特別的授權,授權到期結束時,應及時詢問并作相應處理。7.如果某用戶因工作調動或其它原因不允許繼續使用某信息系統時,其隸屬的原工作單位應確保該用戶離職前及時申請注銷相關用戶賬號。(二)口令管理 1.必須明確口令的管理責任人,并設置口令;9 2.用戶用初始密碼進入系統后,應及時修改個人密碼,密碼長度不少于 8 位;3.用戶如忘記了自己的密碼,需到信息管理部申請還原初始密碼;4.應定期更改口令;5.不得共享個人的口令。(三)系統及系統管理員管理。為確保信息系統軟硬件的正確和安全運行,必須
11、明確并遵循安全問題處理流程,將系統故障的風險降低到最小,保護軟件和信息的完整性,防范和檢測惡意代碼以及未授權的移動代碼的引入,防止對信息資產的毀壞和對業務活動的擾亂,檢測未經授權的信息處理活動,須通過以下控制措施來實現上述目標。1.網絡系統需統一規劃 IP 地址,根據公司內部業務和保密要求的不同,將公司網絡劃分成不同網段并分配相應訪問權限;網絡的拓撲結構、IP 地址等信息未經授權,嚴禁泄露;2.所有與公司外部網絡相連的出入口處必須設立防火墻或與公司網絡隔離;對網絡設備的遠程登錄操作應限定在指定網段范圍內;3.為保證接入公司網絡的信息機密性,通過VPN或專線互聯;4.未經批準,不得建立如 ftp
12、、代理等網絡服務;5.服務器端操作系統必須及時安裝系統安全補丁并關閉所10 有系統不需要的系統服務;6.服務器的密碼文件須加密存放;定期修改用戶口令;必須刪除所有系統上不使用的帳號;7.必須嚴格控制操作系統管理員對系統文件和業務數據的操作權限,應根據工作相關性原則授予用戶相應權限,嚴格區分和控制各業務人員對數據的訪問權限;8.系統建立的日志必須滿足審計要求,必須定期檢查和處理系統日志,防止非授權人員的訪問和修改;9.必須對信息系統進行定期備份;10.建立和維護應用系統的用戶權限表,根據業務訪問控制策略對用戶嚴格授權;嚴格限制業務人員越過應用程度對后臺數據庫或操作系統直接訪問;11.系統的超級管
13、理權限應采取雙人控制;12.公司的計算機系統都必須安裝、運行公司統一購買的防病毒軟件,并及時升級;13.網絡設備的安裝、配置、變更、撤銷等操作需記錄備案。(四)網絡用戶管理 1.不得在任何時間盜用任何其它計算機 IP 地址。在未經批準的情況下,任何用戶或部門不得擅自更改本單位計算機的 IP地址;2.未經授權不得登錄公司的主服務器、工作站、網絡設備及11 其它可訪問設備;3.不得隨意登錄其他用戶計算機;4.不得對公司計算機網絡功能進行刪除,修改或者增加;5.不得以任何方式從事制作、傳播、攜帶、郵寄含有反動政治內容及淫穢內容等擾亂社會和公司生產經營活動秩序;6.不得利用網絡侮辱他人、誹謗他人;不得
14、利用網絡損害公司信譽;7.不得在公司內部使用任何類型的黑客軟件,如:計算機或設備的非法登錄軟件、郵件 炸彈、口令破譯軟件、IP 地址追蹤軟件、地址欺騙軟件、惡作劇軟件等。禁止采取包括軟件在內的任何手段對公司內部計算機或用戶進行攻擊、恐嚇或軟件欺騙;8.不得在客戶計算機上安裝 Proxy(Internet 代理)服務器類軟件、翻墻類軟件,同時禁止在本地計算機上配置非法 Proxy客戶端;9.未經批準不得在內部網站中開設聊天室等服務欄目;10.不得以任何名義制造、傳播、復制計算機病毒;11.嚴禁在任何時間在個人計算機上玩電腦游戲。12.不得公開發布虛假計算機病毒疫情信息活動;14.不得有其它違反憲
15、法和法律、行政法規的行為及其他危害計算機信息網絡安全的行為。12 第九章第九章 信息安全事件管理信息安全事件管理 第二十五條第二十五條 為確保信息系統相關的信息安全事件能夠被及時的發現和正確的處理,須采取一致和有效的方法來管理信息安全事件。(一)系統管理員應根據安全事件的類型和級別定義判斷安全事件,及時處理安全事件的發生。(二)各系統發生安全事件應根據安全事件處理流程進行處理和匯報。(三)系統管理員或各部門信息安全管理員負責安全事件的判斷、報告和安全事件應急恢復流程的啟動申請。第十章第十章 系統獲取、開發與維護管理系統獲取、開發與維護管理 第二十六條第二十六條 為確保信息系統在開發階段就能做好
16、安全設計,防止應用程序的漏洞給應用系統帶來安全風險。為確保系統在使用過程中,可以通過加密手段來保護信息的機密性、真實性和完整性,須采取以下控制措施:(一)系統開發策略 1.建立并遵循安全開發標準;2.在系統分析階段,進行風險分析和風險管理,確定系統安13 全控制機制;3.操作人員只保留可執行代碼;4.程序源代碼盡可能不要保留在運行系統上;5.在開發過程中的關鍵點進行安全評審;6.信息系統的生產環境和開發測試環境需要分離。(二)加密措施 1.員工不得泄露密鑰;2.密鑰必須有明確的管理人員;3.加密系統要正式使用時,所有的初始工作(如初始化、安裝、啟動、復位等),都必須有信息管理部人員到場監控;4
17、.密鑰系統管理職責必須分離。對于公司自建的證書中心,其數字證書的根密鑰必須有嚴格的物理安全,采取至少雙人控制、職責分離等措施;5.加密系統解密密鑰必須進行備份,保證公司管理人員可以在系統出錯、人為錯誤或其它問題情況下,能夠恢復加密過的數據;6.加密系統的管理人員必須簽署專門的保密協議;7.加密的數據和口令須分開傳遞;8.使用加密保護敏感數據,明確指明密鑰管理員的職責;9.密鑰產生、分發的相關信息必須防止泄露給未授權的人員,當這些信息不再需要時,必須采用公司規定的方式予以銷毀;14 10.密鑰管理員在交接工作時必須根據公司規定的方式銷毀這些加密材料。第十一章第十一章 業務連續性管理業務連續性管理
18、 第二十七條第二十七條 為了減少業務的中斷,防止關鍵業務在運行過程中受到重大安全事故或災害的影響,確保其在受損的情況下能夠及時恢復,須采取如下控制措施:(一)根據業務重要程度及優先級制訂災難恢復計劃;(二)建立安全事故處理流程;(三)對關鍵的業務系統要建立異地數據備份;(四)定期備份并檢查;(五)進行緊急事故響應演練。第十二章第十二章 安全監控及審計管理安全監控及審計管理 第二十八條第二十八條 對于攻擊類行為應該進行實時監控和報警,其它違規行為視情況實時、每周或每月定期處理。第二十九條第二十九條 對網絡上關鍵的信息流進行檢查與監控,對異常情況及時輸出報告。第三十條第三十條 對內部網絡上關鍵服務
19、的操作系統、應用系統、15 網絡設備的存取控制記錄進行檢查和監控。第三十一條第三十一條 信息系統必須建立日志,日志記錄的信息必須滿足公司內外部的安全審計要求;建立統一的日志備份和分析系統來保存日志并對日志進行實時分析和定期總結。第十三章第十三章 附附 則則 第三十二條第三十二條 本管理辦法由信息管理部和人力資源部聯合編制并負責解釋。第三十三條第三十三條 本管理辦法自頒布之日起實施。第三十四條第三十四條 原中電信字2011 164 號XX電力工程有限公司信息安全管理辦法同時作廢。第三十五條第三十五條 本管理辦法中涉及到以下管理辦法的相關內容詳見以下文件:XX電力工程有限公司機房管理辦法 XX電力工程有限公司計算機終端管理辦法 XX電力工程有限公司網絡安全管理辦法 XX電力工程有限公司數據備份與恢復管理辦法 XX電力工程有限公司第三方人員信息安全管理辦法 XX電力工程有限公司信息安全事件管理辦法
全部分類
標準檢索
招標公告
免費下載資料庫
10000份+資源包
千萬vip文檔暢享下載
下載文檔文件編輯即用
網站精選百萬好案
百萬工程地產工作者都在用
微信掃一掃登錄
