1、2 XX电力工程有限公司信息安全管理办法XX电力工程有限公司信息安全管理办法 第一章第一章 总总 则则 第一条第一条 为加强公司信息安全管理,做到公司信息安全管理工作有据可依、有章可循,根据国家信息安全等级保护基本要求、ISO17799:2005 以及国家有关法律法规要求,并结合公司实际情况,制定本管理办法。第二条第二条 本管理办法适用于公司各部门,子公司可参照执行。第二章第二章 名词释义名词释义 第三条第三条 名词释义如下:(一)应用程序在电脑上面执行的软件,供机构使用作为经营业务的工具。他们和系统程序(或作系统软件,例如 Windows 系统)不同。普遍应用程序包括会计、文字处理、计算表、
2、数据库、图像或者简报程序,或者一些特别为某种业务或者工作开发的应用程序。(二)资产任何实物或者虚拟的事物(资料、名誉、商标),或者是机构拥有而对机构有的业务价值的事物。3 (三)保密性对公司拥有的实体或者逻辑性资产加以保护,防止在没有授权下被披露。(四)可用性对公司拥有的实体或者逻辑性资产,能够在需要时候可以使用去达成业务和经营要求。一般情况涉及应用程序、系统、通讯正常运作,支持公司业务。(五)完整性保证公司获得、处理、供应和使用的资料是完整、正确、可靠。(六)抗抵赖性防止在通信中涉及到的那些实体不承认参加了该通信。(七)可审查性有依据、有手段地对出现的信息安全问题提供跟踪和调查。(八)安全审
3、计为测量系统的控制是否足够、为保证与策略和标准相符合、为发现系统中的漏洞、为对控制策略和标准作出改变的建议,而对系统活动记录。第三章第三章 安全策略安全策略 第四条第四条 为对公司信息系统所涉及的信息及信息资产进行恰当地安全保护,确保公司信息系统安全可靠运营。公司信息安全工作的重点将集中在可用性、完整性、机密性和可审查性。(一)安全策略重点保护物理和环境安全、信息资产分类管4 理、变更管理、业务连续管理、安全事故管理、审查评估。(二)信息安全工作围绕业务来展开。(三)信息安全工作应该以风险管理为基础,在安全、效率和成本之间均衡考虑。(四)应参考业界的做法,充分考虑到国内的管理和法制环境来建立组
4、织的信息安全体系;信息安全工作必须是各级领导负责,全员参与,专人管理;对保密信息的访问应遵循工作相关性原则、最小授权原则和审批、受控原则。第四章第四章 信息安全组织领导信息安全组织领导 第五条第五条 公司领导负责审查和核准公司信息安全策略,审核批准重大的信息安全活动;负责相关部门与国家执法部门、相关管理部门、信息服务供应商以及其他相关供应商建立合作关系,以保证在发生安全事故时,能迅速采取行动和获得帮助。第六条第六条 信息管理部负责组织制定信息安全策略、标准和流程并且在公司推行,负责组织信息安全监控以及安全事件的调查,负责组织信息安全培训和宣传,向公司领导提供建议并执行批准的安全控制措施。第七条
5、第七条 公司各部门负责本部门所有与信息安全相关的活动。5 第五章第五章 信息资产管理信息资产管理 第八条第八条 为了对信息资产进行有效保护,应明确资产责任并对资产进行分类、清点、标识。第九条第九条 在对信息资产的标识和信息资产处理过程中,应该执行以下控制措施:(一)信息所有人负责根据保密相关规定、信息的价值和信息泄露可能带来影响,对信息的密级进行划分;(二)信息所有人负责信息的授权,信息只能授权给工作必须的人员;(三)信息的获取应该遵照工作需要原则、受控审批的原则,严禁未经批准的私下获取行为;(四)保密信息在不可信通道上的传递必须经过加密;(五)在对外提供任何可能涉及公司保密信息的资料之前,不
6、管提供的对象是客户、顾问、代理商、供应商、开发商、承包商还是个人,都必须事先经过相关部门的审批许可,并与接收单位签署保密协议。保密协议中对信息接收方如何使用信息需要明确说明;(六)员工如果发现保密信息泄露或丢失,或者存在泄露或丢失的可能,必须立即通知信息管理部;6 (七)未经批准,严禁泄露信息系统的安全控制机制。对外公布的信息必须经过审批,员工不得在公开媒体上发布、谈论和传播公司保密信息;(八)必须采用公司批准的保密信息的销毁方式销毁信息。第六章第六章 信息系统人力资源管理信息系统人力资源管理 第十条第十条 人是信息系统的操作者,为了降低设施误操作、偷窃、诈骗或滥用等方面的人为风险,必须明确使
7、用信息系统的人员安全责任和保密义务,对相关人员进行安全培训,对离开信息系统的人员做好资料和权限回收工作。第十一条第十一条 新入职员工必须接受培训,了解掌握公司信息安全方面的相关知识和相关规定。第十二条第十二条 人员离职时应及时收回所有涉及公司业务内容的资料和信息,立即取消所有访问信息系统的权限。第十三条第十三条 除了保障公司内部员工能安全的操作信息系统,还必须要求接触公司信息系统的第三方人员,如软件开发商,系统集成商等执行如下控制措施。第十四条第十四条 必须与接触公司信息的第三方签署保密协议。第十五条第十五条 对于第三方人员不该访问的信息应该采取办公区域分离、网络逻辑分离等措施。7 第十六条第
8、十六条 对于第三方人员需要访问的信息须采取严格的申请和审批制度,以限制第三方人员只能获得有限的信息资产权限。第七章第七章 物理和环境安全管理物理和环境安全管理 第十七条第十七条 为了避免机房、重点办公区域受到自然灾害、防止对公司工作场所和信息的非法访问、破坏和干扰,须确保信息系统所处的环境安全。第十八条第十八条 公司业务部门应根据工作性质划分相应的安全级别,并建立相应的访问控制措施。第十九条第十九条 所有受控区域必须指定信息安全管理责任人。第二十条第二十条 根据设备及其运行系统的重要程度,将设备放置到相应级别控制区域。第二十一条第二十一条 根据设备及其运行系统的重要程度建立防盗、报警、监控等保
9、护措施。第二十二条第二十二条 建立关键设备的应急备份系统。第二十三条第二十三条 存储介质的销毁必须按公司批准通过的销毁方式销毁。第八章第八章 访问控制管理访问控制管理 8 第二十四条第二十四条 控制对信息的访问,应根据业务和安全需求对信息系统和业务流程加以控制,对信息的传播和授权加以控制。须从用户、网络、操作系统和应用几方面采取如下控制措施来实现对信息系统的访问控制:(一)帐户及权限管理 1.网络用户名为员工名字的汉语拼音全拼。2.用户申请接入公司信息化系统,应由本部门相关人员在系统中启动入网申请流程审批同意后,由系统管理员负责完成入网接入工作。3.根据工作相关性原则并经过审批后为个人分配权限
10、;4.含有保密信息的系统禁止建立公用帐户;5.用户的岗位或职责发生变化时,应立即变更或取消相应的访问权限;6.对于特别的授权,授权到期结束时,应及时询问并作相应处理。7.如果某用户因工作调动或其它原因不允许继续使用某信息系统时,其隶属的原工作单位应确保该用户离职前及时申请注销相关用户账号。(二)口令管理 1.必须明确口令的管理责任人,并设置口令;9 2.用户用初始密码进入系统后,应及时修改个人密码,密码长度不少于 8 位;3.用户如忘记了自己的密码,需到信息管理部申请还原初始密码;4.应定期更改口令;5.不得共享个人的口令。(三)系统及系统管理员管理。为确保信息系统软硬件的正确和安全运行,必须
11、明确并遵循安全问题处理流程,将系统故障的风险降低到最小,保护软件和信息的完整性,防范和检测恶意代码以及未授权的移动代码的引入,防止对信息资产的毁坏和对业务活动的扰乱,检测未经授权的信息处理活动,须通过以下控制措施来实现上述目标。1.网络系统需统一规划 IP 地址,根据公司内部业务和保密要求的不同,将公司网络划分成不同网段并分配相应访问权限;网络的拓扑结构、IP 地址等信息未经授权,严禁泄露;2.所有与公司外部网络相连的出入口处必须设立防火墙或与公司网络隔离;对网络设备的远程登录操作应限定在指定网段范围内;3.为保证接入公司网络的信息机密性,通过VPN或专线互联;4.未经批准,不得建立如 ftp
12、、代理等网络服务;5.服务器端操作系统必须及时安装系统安全补丁并关闭所10 有系统不需要的系统服务;6.服务器的密码文件须加密存放;定期修改用户口令;必须删除所有系统上不使用的帐号;7.必须严格控制操作系统管理员对系统文件和业务数据的操作权限,应根据工作相关性原则授予用户相应权限,严格区分和控制各业务人员对数据的访问权限;8.系统建立的日志必须满足审计要求,必须定期检查和处理系统日志,防止非授权人员的访问和修改;9.必须对信息系统进行定期备份;10.建立和维护应用系统的用户权限表,根据业务访问控制策略对用户严格授权;严格限制业务人员越过应用程度对后台数据库或操作系统直接访问;11.系统的超级管
13、理权限应采取双人控制;12.公司的计算机系统都必须安装、运行公司统一购买的防病毒软件,并及时升级;13.网络设备的安装、配置、变更、撤销等操作需记录备案。(四)网络用户管理 1.不得在任何时间盗用任何其它计算机 IP 地址。在未经批准的情况下,任何用户或部门不得擅自更改本单位计算机的 IP地址;2.未经授权不得登录公司的主服务器、工作站、网络设备及11 其它可访问设备;3.不得随意登录其他用户计算机;4.不得对公司计算机网络功能进行删除,修改或者增加;5.不得以任何方式从事制作、传播、携带、邮寄含有反动政治内容及淫秽内容等扰乱社会和公司生产经营活动秩序;6.不得利用网络侮辱他人、诽谤他人;不得
14、利用网络损害公司信誉;7.不得在公司内部使用任何类型的黑客软件,如:计算机或设备的非法登录软件、邮件 炸弹、口令破译软件、IP 地址追踪软件、地址欺骗软件、恶作剧软件等。禁止采取包括软件在内的任何手段对公司内部计算机或用户进行攻击、恐吓或软件欺骗;8.不得在客户计算机上安装 Proxy(Internet 代理)服务器类软件、翻墙类软件,同时禁止在本地计算机上配置非法 Proxy客户端;9.未经批准不得在内部网站中开设聊天室等服务栏目;10.不得以任何名义制造、传播、复制计算机病毒;11.严禁在任何时间在个人计算机上玩电脑游戏。12.不得公开发布虚假计算机病毒疫情信息活动;14.不得有其它违反宪
15、法和法律、行政法规的行为及其他危害计算机信息网络安全的行为。12 第九章第九章 信息安全事件管理信息安全事件管理 第二十五条第二十五条 为确保信息系统相关的信息安全事件能够被及时的发现和正确的处理,须采取一致和有效的方法来管理信息安全事件。(一)系统管理员应根据安全事件的类型和级别定义判断安全事件,及时处理安全事件的发生。(二)各系统发生安全事件应根据安全事件处理流程进行处理和汇报。(三)系统管理员或各部门信息安全管理员负责安全事件的判断、报告和安全事件应急恢复流程的启动申请。第十章第十章 系统获取、开发与维护管理系统获取、开发与维护管理 第二十六条第二十六条 为确保信息系统在开发阶段就能做好
16、安全设计,防止应用程序的漏洞给应用系统带来安全风险。为确保系统在使用过程中,可以通过加密手段来保护信息的机密性、真实性和完整性,须采取以下控制措施:(一)系统开发策略 1.建立并遵循安全开发标准;2.在系统分析阶段,进行风险分析和风险管理,确定系统安13 全控制机制;3.操作人员只保留可执行代码;4.程序源代码尽可能不要保留在运行系统上;5.在开发过程中的关键点进行安全评审;6.信息系统的生产环境和开发测试环境需要分离。(二)加密措施 1.员工不得泄露密钥;2.密钥必须有明确的管理人员;3.加密系统要正式使用时,所有的初始工作(如初始化、安装、启动、复位等),都必须有信息管理部人员到场监控;4
17、.密钥系统管理职责必须分离。对于公司自建的证书中心,其数字证书的根密钥必须有严格的物理安全,采取至少双人控制、职责分离等措施;5.加密系统解密密钥必须进行备份,保证公司管理人员可以在系统出错、人为错误或其它问题情况下,能够恢复加密过的数据;6.加密系统的管理人员必须签署专门的保密协议;7.加密的数据和口令须分开传递;8.使用加密保护敏感数据,明确指明密钥管理员的职责;9.密钥产生、分发的相关信息必须防止泄露给未授权的人员,当这些信息不再需要时,必须采用公司规定的方式予以销毁;14 10.密钥管理员在交接工作时必须根据公司规定的方式销毁这些加密材料。第十一章第十一章 业务连续性管理业务连续性管理
18、 第二十七条第二十七条 为了减少业务的中断,防止关键业务在运行过程中受到重大安全事故或灾害的影响,确保其在受损的情况下能够及时恢复,须采取如下控制措施:(一)根据业务重要程度及优先级制订灾难恢复计划;(二)建立安全事故处理流程;(三)对关键的业务系统要建立异地数据备份;(四)定期备份并检查;(五)进行紧急事故响应演练。第十二章第十二章 安全监控及审计管理安全监控及审计管理 第二十八条第二十八条 对于攻击类行为应该进行实时监控和报警,其它违规行为视情况实时、每周或每月定期处理。第二十九条第二十九条 对网络上关键的信息流进行检查与监控,对异常情况及时输出报告。第三十条第三十条 对内部网络上关键服务
19、的操作系统、应用系统、15 网络设备的存取控制记录进行检查和监控。第三十一条第三十一条 信息系统必须建立日志,日志记录的信息必须满足公司内外部的安全审计要求;建立统一的日志备份和分析系统来保存日志并对日志进行实时分析和定期总结。第十三章第十三章 附附 则则 第三十二条第三十二条 本管理办法由信息管理部和人力资源部联合编制并负责解释。第三十三条第三十三条 本管理办法自颁布之日起实施。第三十四条第三十四条 原中电信字2011 164 号XX电力工程有限公司信息安全管理办法同时作废。第三十五条第三十五条 本管理办法中涉及到以下管理办法的相关内容详见以下文件:XX电力工程有限公司机房管理办法 XX电力工程有限公司计算机终端管理办法 XX电力工程有限公司网络安全管理办法 XX电力工程有限公司数据备份与恢复管理办法 XX电力工程有限公司第三方人员信息安全管理办法 XX电力工程有限公司信息安全事件管理办法
全部分类
免费下载资料库
10000份+资源包
千万vip文档畅享下载
下载文档文件编辑即用
网站精选百万好案
百万工程地产工作者都在用
微信扫一扫登录
