1、投资集团公司信息资产、网络及密码安全管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 1. 总则21.1 信息安全定义21.2 确保信息安全的重要性21.3 本制度适用范围21.4 责任22. 信息资产安全管理22.1 信息资产分类22.2 信息资产管理33. 人力资源安全33.1 新进员工管理33.2 信息系统权限管理34. 机房与环境安全34.1 机房位置选择34.2 机房防护措施34.3 出入机房规定44.4 机房巡检制度45. 网络安全45.1 上网行为管理45.2 防火墙制度45.3 虚拟私人网络（VPN）45.42、 Internet安全45.5 虚拟局域网（VLAN）55.6 微博、微信管理56. 密码安全与保密制度56.1 服务器操作系统超级用户密码56.2 数据库超级用户密码56.3 其他系统超级用户密码56.4 个人pc密码56.5 信息保密制度57. 数据库、应用与服务器安全67.1 建立磁盘阵列RAID77.2 数据库备份67.3 数据库权限管理67.4 直接修改数据库数据流程67.5 信息的异地备份67.6 机密数据加密67.7 应用程序版本管理78. 病毒防范制度78.1 杀毒软件与杀毒78.2 病毒防范行为71. 总则1.1 信息安全定义 信息安全是指为数据处理系统而采取的技术和管理的安3、全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。 定义包含了几个层面的概念，其中计算机硬件可以看做是物理层面，软件可以看做是运行层面，和数据层面；又包含了属性的概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。1.2 确保信息安全的重要性 信息系统是企业业务活动正常运行的基础，信息安全是企业业务活动正常运行的保障。xx集团是一家规范的多元化产业公司群，拥有大量的金融、财务、人力资源、客户等涉密信息，网络化，数字化使得这些信息虽然容易被存放，也极其容易被泄露、盗取和挪用。所以建立信息安全制度显得十分必要。1.3 本制度适用范围 除了xx集团信息4、管理中心全体职员外，本制度还适用于使用、维护信息系统或使用信息工具的全体xx集团职员。1.4 责任 在信息安全制度的涉及范围内，每个单位、部门的信息安全由部门负责人或由其指定专人来负责。2. 信息资产安全管理2.1 信息资产分类 信息资产按照机密性分为普通、敏感与机密三类。2.2 信息资产管理 1.敏感与机密信息在传输和存储时均需标示其等级。 2.敏感与机密信息欲复制、携带外出时，应提出申请载明申请用途，经单位负责人及集团信息管理中心负责人授权核准后，加密后携离使用。 3.可携带存储媒体（磁盘、光盘、移动硬盘、U盘等）若存储敏感与机密信息，保存时需于枷锁橱柜内。必须注意防磁、防潮、防火、防盗，5、必须垂直放置。 4.单位、部门敏感与机密信息应由单位、部门负责人管理，集团敏感与机密信息应由集团办公室负责人管理。 5.敏感与机密信息不得使用网络、传真等方式传送。 6.敏感与机密信息应采用加密方法进行保护，并考虑使用技术手段，防止信息在未经过授权的情况下遭到篡改。 7.敏感与机密信息应执行权限管理与异地备份机制。3. 人力资源安全3.1 新进员工管理 1.新员工签署劳动合同时，要明确信息安全责任，使新员工从一开始就了解公司对信息安全的要求，增加员工的安全印象。 2.对新员工进行岗前教育与培训，使员工在较短时间内熟悉组织的信息安全政策和程序。 3.明确规定员工必须遵守国家的法律法规的信息安全政6、策，任何与法律法规安全政策相违背的行为，都被视为安全事件并受到相应惩罚。 4.根据新员工的岗位职能，分配相应系统的使用权限。3.2 信息系统权限管理 1.任何信息系统必须具有权限管理功能。对于用户较多的大型系统，可使用区域、组别、个人三级管理；而对于用户数量一般的中型系统，可使用组别、个人进行二级管理。 2.为确保金融、财务等关键系统准确无误，系统中相关数据必须由一人录入，另一个审核。数据的录入人员和审核人员不能为同一人。 3.信息安全负责人负责信息系统权限管理和分配工作。如果是全公司员工都需使用系统，如OA，由集团办公室负责系统权限管理和分配工作。 4.各单位的信息技术部门人员负责权限管理的7、实施工作。3.2.1 信息系统权限申请流程 1.员工填写信息系统权限申请审批表时（附表1，以下简称“审批表”），应注明员工工号、姓名，权限区域、组别，申请理由等必要内容。 2.“审批表”交由所在单位的信息安全负责人审核信息后签名确认，并提交集团信息管理中心信息技术部。 3.“审批表”经集团信息管理中心信息技术部安全负责人审核签名确认后，由信息技术部开通权限。 4.原则上登陆系统的用户名与申请员工工号一致，初始密码是password或统一标记。如果不是，则通过邮件告知申请人员。 5.申请人员得到系统使用权限后，需立即登陆系统，并修改初始密码。如不修改，所造成的后果自负。3.2.2 信息系统权限变8、更流程 1.信息系统权限变更流程适用于人员调岗、离岗、转岗、离职等变化情况。 2.“审批表”应注明员工工号，姓名，变更（撤销）权限原因，变更（撤销）权限区域、组别等必要内容。 3.交由所在单位的信息安全负责人审核信息后签名确认，并提交集团信息管理中心信息技术部。 4.“审批表”经集团信息管理中心信息技术部安全负责人审核签名确认后，由信息技术调整或撤销权限。4. 机房与环境安全4.1 机房位置选择 1.机房应选择在具有防震、防风和防雨等能力的建筑内。机房的承重要求应满足设计要求，不能建立在地下室，以及用水设备的下层或者隔壁。 2.机房场地应当避开强电场、强磁场、强振动源、强噪声源、重度环境污染，9、易发生火灾、水灾、易遭受雷击的地区4.2 机房防护措施 1.防雷击。机房建筑应设置避雷针；应设置防雷保安器，防止感应雷；应设置交流电源接地。 2.防火。应设置火宅自动消防系统，自动检测火情，自动报警。机房建筑材料应具有耐火等级。 3.防水与防潮。水管安装不得穿过屋顶和活动地板下；应采取措施防止雨水通过屋顶和墙壁。 4.温湿度控制。应设置恒温恒湿系统，使机房温度、湿度的变化在设备运行所允许的范围内。 5.防静电。应采用必要的接地等防静电措施；应采用防静电地板。 6.防电力中断。应采用UPS和备用电源平衡管理，当发生突然停电时，不产生闪断现象。4.3 出入机房规定 1.机房大门配置电子门禁，除机房10、巡检人员、信息技术部经理、集团信息管理中心总监、集团负责人外，其他人员一律不得进入机房。 2.外来人员须进入机房的，要填写机房出入申请审批单（附表2），经过集团信息管理中心信息技术部门安全负责人审核批准后，才能进入。 3.机房内安装监控装置，保留15天以上的摄像记录。4.4 机房巡检制度 1.机房管理员每天早（9:00）晚（17:00）巡视机房各个设备，认真填写机房巡检单（附表3）。发现设备故障，记录并立即报告信息技术部运维经理、总监。 2.信息技术部运维经理、总监不定时抽查机房巡检员日常巡检工作，发现漏巡检、晚巡检等违规行为，严肃处理。 3.机房巡检单每月汇总，封存入信息技术部档案。5. 网11、络安全5.1 上网行为管理1.防止非法信息恶意传播，避免企业机密信息泄漏；并可实时监控、管理网络资源使用情况，提高整体工作效率，建立上网行为管理制度。2.由集团办公室确定严禁上网行为，例如：网上购物，在线聊天，在线观看电影、视频、P2P等，信息技术部配合实现上网行为管理。3.特殊岗位需开发某些上网行为的，报集团办公室审批同意后，由信息技术部门配合实现上网行为管理。5.2 防火墙制度 1.防止公司信息系统遭到来自外部人员的任何非法攻击和入侵，需要将公司内部局域网与Internet通过硬件防火墙进行隔离。信息技术部负责建立、配置、管理硬件防火墙。 2.集团下属任何单位及部门（或个人）都不得关闭PC12、端操作系统防火墙，一旦发现造成系统损坏、数据丢失，后果自负。5.3 虚拟私人网络（VPN） 1.VPN技术是企业常用的网络安全技术之一。VPN利用公共网络建立专用网络，屏蔽了网络之外所有用户。信息技术部提供技术，负责建立集团总部与各公司之间的VPN网络。 2.为提高VPN安全级别，信息技术部负责不定期地更换接连密码和加密方式。 3.进入VPN网络的集团、各公司成员不得泄露连接密码、加密方式和静态地址，一旦发现，严肃查处。造成后果的由责任人自负。5.4 Internet安全 1.信息技术部负责运用各种信息技术提高集团各公司官网的安全级别，防止非法攻击。 2.信息技术部负责运用PKI、数字签名等各13、种技术提高业务交易平台的安全级别，防止非法攻击和敏感与机密信息泄露。 3. 员工浏览Internet时，不得降低浏览器安全级别，不得浏览非法网站，一经发现，后果自负。5.5 虚拟局域网（VLAN） 1. 增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性，信息技术部负责建立集团办公场所VLAN。 2. 集团办公场所员工不得更改IP地址。5.6 微博、微信管理 1. 员工可以个人名义通过公司微博、微信、BBS平台，转发公司信息。 2. 以公司名义对外发布的信息，统一经集团办公室批准。 3. 信息技术部负责监控公司微博、微信、BBS平台，发现反动、黄色、侵14、害公司形象的信息，有权立刻删除，并向有关领导（包含但不仅限于集团信息、人事、行政负责人等）进行汇报。6. 密码安全与保密制度6.1 服务器操作系统超级用户密码 1.信息技术部项目工程师拥有所负责项目系统的超级用户密码。 2.信息技术部总监、运维部经理、机房巡查员拥有所有服务器操作系统超级用户密码。 3.超级用户密码以每月为周期，由运维部经理、项目工程师、机房巡查员到场一起修改，并报备总监。 4. 各台服务器操作系统的超级用户密码必须不一致。6.2 数据库超级用户密码 1.信息技术部项目工程师拥有所负责项目数据库的超级用户密码。 2.信息技术部总监、运维部经理拥有所有数据库超级用户密码。 3.超15、级用户密码以每月为周期，由运维部经理、项目工程师到场一起修改，并报备总监。 4.每个数据库的超级用户密码必须不一致。6.3 其他系统超级用户密码 1.信息技术部项目工程师拥有所负责项目的超级用户密码。 2.信息技术部总监、运维部经理拥有所有系统超级用户密码。6.4 个人pc密码 1.员工新领pc后，需修改登陆密码。个人密码不应过于简单，不应记录在笔记本上，被人破译或盗用。 2.员工使用完毕各应用系统后，需安全退出，防止被他人使用。6.5 信息保密制度 1.涉密信息不得通过任何途径传播和存储，一旦发现，要追求个人责任。 2.员工妥善保管好自己的密码，不得向其他人泄露。一旦发生泄露导致公司财产损失16、，要追究个人责任。 3.信息技术部研发的任何软件、代码、图片、界面等属于公司财产，不得以任何形式向外部人员提供、泄露。7. 数据库、应用与服务器安全7.1 建立磁盘阵列RAID 1.RAID通过在多个磁盘上通过数据校验提供容错功能，确保服务器运行安全。 2.记录不可复制且保密程度较高数据的服务器（如用友NC数据库服务器），采用基于数据分条+数据镜像磁盘结构（RAID0+1）方式。可以确保在一半磁盘全部损坏前，完全保存数据。 3.记录一般数据的服务器，采用分布式奇偶校验的独立磁盘结构（RAID5）方式。可以确保在两块磁盘全部损坏前，完全保存数据。 4.信息技术部项目工程师负责建立、维护相关服务器17、RAID工作，检查磁盘工作状态。7.2 数据库备份 1.数据库是保存最终数据的介质，通过建立备份与灾难恢复策略，确保数据完整。 2.数据库每日零点进行完全备份，15天循环覆盖，存放在数据库服务器上。 3.信息技术部项目工程师负责建立、维护相关数据库备份，检验备份文件状态。7.3 数据库权限管理 1.信息技术部数据库工程师负责设计数据库权限管理方案；项目工程师负责实施相关数据库权限管理工作。 2.除信息技术部项目工程师、运维部经理、总监外，任何人员不能得到数据库超级用户权限和密码。 3.按权限、管理组、人员三个维度设计数据库权限，做到职责明确。7.4 直接修改数据库数据流程 1.原则上在系统上线18、初始化后，不允许任何形式直接修改数据库数据。 2.数据库设计时要建立修改行为触发日志，为审计提供依据。 3.数据库维护人员仅有数据库查询权限。需要直接修改数据库的，用户可填写数据库修改数据申请表（附表4），报本部门总监确认签字后，提交信息技术部。 4.信息技术部总监签字确认数据库修改数据申请表后，由运维部经理实施修改。7.5 信息的异地备份 1.异地备份数据是指在另外一个地方产生一个副本，在紧急情况下，副本可立即投入使用。 2.建立异地备份存储服务器，存放数据库备份文件、应用程序、和其他重要信息。 3.异地备份存储服务器，每天6点开始，提取各个数据库备份文件，15天循环覆盖。 4.应用程序实行19、版本管理，每个版本程序副本放置在异地备份存储服务器上。 5.信息技术部项目工程师负责相关系统的异地备份工作。7.6 机密数据加密 1.凡被认定涉及个人隐私、经济利益而不能被公开的信息，称为机密数据。机密数据不能以明文的形式保存或者传输，必须经过加密手段处理。 2.为确保交易者隐私和信息安全，大大财富等交易平台传输的交易者信息、密码、交易内容，必须通过公开秘钥体系（PKI）手段进行加密后传输。 3.机密数据不能以明文形式存入数据库，必须以加密方式存放。7.7 应用程序版本管理 1.应用程序设计时，需具有版本管理功能。程序只要发生任何一处修改，版本号则要发生变更。 2. 信息技术部项目工程师管理相20、关应用程序的版本。不同版本的程序需要以副本的形式保存在服务器中。8. 病毒防范制度8.1 杀毒软件与杀毒 1.信息技术部为所有员工配置的pc（含笔记本）安装正版防杀病毒软件和360安全卫士，并开启自动升级功能。 2.员工应有较强的病毒防范意识，定期进行病毒库升级，病毒查杀。如发现升级或者杀毒失败，立即通知信息技术部门人员。 3.员工不得卸载防杀病毒软件和360安全卫士，和关闭自动升级功能，一经发现，严肃处理。8.2 病毒防范行为 1.员工不得擅自安装来及不明和未经病毒检测的软件，特别不得安装游戏和与工作无关的其他软件。 2.员工收到任何形式的程序和数据（如电子邮件），必须经过检测确认无病毒后方可使用。 3.如证明新型病毒在公司局域网内传播，信息技术部有权中断计算机网络，对网络中的病毒进行排查，逐个pc进行升级和病毒查杀。 集团行政管理中心 xx年6月