信息安全管理辦法

信息安全管理辦法第一章總則第一條為保障公司信息安全切實(shí)推行安全管理積極預(yù)防風(fēng)險(xiǎn)，完善控制措施，制定本辦法。第二條本辦法適用于公司各職能部門(mén)、分公司信息全管理。第二章主要內(nèi)容及工作職責(zé)第三條信息安全管理的主要工作內(nèi)容包括機(jī)房安全管理、網(wǎng)絡(luò)安全管理、主機(jī)安全管理、應(yīng)用安全管理、數(shù)據(jù)安全管理和管理安全工作。第四條IT中心工作職責(zé)1、IT中心為公司信息安全管理主管部門(mén)。2、負(fù)責(zé)公司信息安全管理策略制訂與落實(shí)。3設(shè)、信息安全日常管理職能，提供信息安全技術(shù)保障。4安全指導(dǎo)、培訓(xùn)。第五條各中心、分公司1指定專(zhuān)人擔(dān)任專(zhuān)職或兼職信息管理員負(fù)責(zé)協(xié)助IT中心開(kāi)展信息安全實(shí)施工作并提供部門(mén)內(nèi)部技術(shù)支持和網(wǎng)絡(luò)管理工作。2、負(fù)責(zé)落實(shí)相關(guān)信息安全管理工作在部門(mén)內(nèi)的實(shí)施。3、負(fù)責(zé)業(yè)務(wù)操作層的相關(guān)信息安全保障。4員的信息安全意識(shí)和技能水平。第三章機(jī)房安全管理第六條機(jī)房人員出入、巡檢、操作和設(shè)備管理請(qǐng)參照《機(jī)房安全管理規(guī)定。第四章網(wǎng)絡(luò)安全管理第七條公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)實(shí)行安全隔離，在網(wǎng)邊界處應(yīng)部署防火墻或其他安全訪問(wèn)控制設(shè)備，制定訪問(wèn)控制規(guī)則。第八條新增網(wǎng)絡(luò)設(shè)備入網(wǎng)時(shí)，網(wǎng)絡(luò)管理員應(yīng)按照《絡(luò)設(shè)備安全配置檢查表》進(jìn)行檢查（見(jiàn)附錄A，經(jīng)信息安全管理員確認(rèn)所有檢查項(xiàng)檢查結(jié)果全部為“是后允許網(wǎng)絡(luò)設(shè)備進(jìn)入網(wǎng)絡(luò)運(yùn)行。第九條網(wǎng)絡(luò)新建或改造，在投入使用前，網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)連通性、冗余性和傳輸速度等測(cè)試，信息安全管員全程參與，確保網(wǎng)絡(luò)系統(tǒng)安全。第十條當(dāng)網(wǎng)絡(luò)設(shè)備配置發(fā)生變更時(shí)，須及時(shí)對(duì)網(wǎng)絡(luò)設(shè)配置文件進(jìn)行備份；網(wǎng)絡(luò)設(shè)備配置每三個(gè)月進(jìn)行全備份，絡(luò)設(shè)備配置文件由網(wǎng)絡(luò)管理員保管。第十一條網(wǎng)絡(luò)管理員應(yīng)建立網(wǎng)絡(luò)技術(shù)檔案，技術(shù)文檔包括拓?fù)浣Y(jié)構(gòu)（含分支網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備配置等相關(guān)文檔，網(wǎng)絡(luò)技術(shù)文檔由網(wǎng)絡(luò)管理員保管。第五章主機(jī)安全管理第十二條主機(jī)系統(tǒng)原則上僅開(kāi)啟必要的系統(tǒng)服務(wù)和功能，開(kāi)啟系統(tǒng)日志、安全日志。第十三條新增主機(jī)設(shè)備入網(wǎng)時(shí)，主機(jī)運(yùn)行維護(hù)人員應(yīng)按錄B息安全管理員確認(rèn)所有檢查項(xiàng)檢查結(jié)果全部為是”后允許主機(jī)設(shè)備進(jìn)入網(wǎng)絡(luò)運(yùn)行。第十四條主機(jī)運(yùn)行維護(hù)人員應(yīng)及時(shí)更新軟件版本和病毒庫(kù)；信息安全管理員負(fù)責(zé)制訂統(tǒng)一的病毒管理策略。第十五條主機(jī)運(yùn)行維護(hù)人員每個(gè)月通過(guò)防病毒管理軟件查看所有主機(jī)的防病毒軟件運(yùn)行狀態(tài)，如有異常情況，主機(jī)運(yùn)行維護(hù)人員需及時(shí)反饋給信息安全管理員進(jìn)行處置。第六章應(yīng)用安全管理第十六條重要信息系統(tǒng)應(yīng)用開(kāi)發(fā)應(yīng)建立開(kāi)發(fā)測(cè)試環(huán)境，開(kāi)發(fā)測(cè)試的環(huán)境必須與實(shí)際運(yùn)行環(huán)境分開(kāi)，信息系統(tǒng)開(kāi)發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)境中進(jìn)行。第十七條新建信息系統(tǒng)入網(wǎng)前，系統(tǒng)管理員須進(jìn)行由息安全管理員參加的系統(tǒng)測(cè)試，并出具包含身份鑒別、訪問(wèn)控制、安全審計(jì)等內(nèi)容的系統(tǒng)測(cè)試報(bào)告。第七章數(shù)據(jù)安全管理第十八條公司每一位員工都有保守公司信息安全防止泄密的責(zé)任，任何人不得向公司以外的任何單位或個(gè)人泄露公司技術(shù)和商業(yè)機(jī)密，如因?qū)W術(shù)交流或論文發(fā)表涉及公司技術(shù)或商業(yè)機(jī)密，應(yīng)提前向公司匯報(bào)，并在獲得批準(zhǔn)同意后，方能以認(rèn)可的形式對(duì)外發(fā)布。第十九條定期對(duì)公司重要信息包括軟件代碼進(jìn)行備份，備份完成后，做好登記工作。第二十條數(shù)據(jù)庫(kù)管理員負(fù)責(zé)對(duì)重要信息系統(tǒng)的數(shù)據(jù)庫(kù)每周進(jìn)行全備份，并對(duì)備份數(shù)據(jù)的有效性進(jìn)行檢查。第二十一條存放備份數(shù)據(jù)的介質(zhì)包括U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)和紙質(zhì)，所有備份介質(zhì)必須明確標(biāo)識(shí)備份內(nèi)容和時(shí)間，并實(shí)行異地存放。第二十二條數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。第二十三條數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)份正確后方可進(jìn)行清理操作。數(shù)據(jù)清理的實(shí)施應(yīng)避開(kāi)業(yè)務(wù)高峰期避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。第二十四條管理部門(mén)應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無(wú)用的資料和介質(zhì)，止泄密。第二十五條因?qū)徲?jì)查詢(xún)等管理需要拷貝系統(tǒng)原始數(shù)據(jù)的，需要經(jīng)IT中心主管部門(mén)和業(yè)務(wù)主管部門(mén)同意后，并雙方在場(chǎng)后，由系統(tǒng)管理員導(dǎo)出數(shù)據(jù)。第八章密碼與權(quán)限管理第二十六條信息系統(tǒng)的用戶密碼不少于8少在字母、數(shù)字、特殊字符這三類(lèi)字符中任選兩種或兩種以上混合使用，不得使用缺省口令、空口令、弱口令；根據(jù)管理需要開(kāi)設(shè)用戶，及時(shí)刪除系統(tǒng)多余和過(guò)期的賬戶。第二十八條員工離職后，員工所屬部門(mén)或人力資源部在當(dāng)天通知總部IT的OA賬號(hào)和郵箱賬號(hào)，并對(duì)員工的出入卡進(jìn)行?？ㄌ幚?。第九章管理安第二十九條信息化設(shè)備安全管理1嚴(yán)禁將公司配發(fā)給員工用于辦公的計(jì)算機(jī)轉(zhuǎn)借給非公司員工使用嚴(yán)禁利用公司信息化設(shè)備資源為第三方從事兼職工作。2得私下互相轉(zhuǎn)讓、借用公司IT系統(tǒng)賬號(hào)；員工完成信息系統(tǒng)的操作或離開(kāi)工位時(shí)，須及時(shí)退出信息系統(tǒng)。3員工個(gè)人終端必須設(shè)置系統(tǒng)登陸密碼和屏幕保護(hù)密碼。4員工個(gè)人終端必須安裝公司統(tǒng)一采購(gòu)的防病毒軟件，不得私自卸載和停用，及時(shí)更新重要系統(tǒng)補(bǔ)丁及病毒庫(kù)，并定期查殺病毒。5員工發(fā)現(xiàn)計(jì)算機(jī)或信息受到安全威脅或者已經(jīng)發(fā)生安全攻擊事件，應(yīng)立即通知信息安全管理員。第三十條專(zhuān)業(yè)安全人員管理1、總部及各分公司IT中心應(yīng)指定專(zhuān)人負(fù)責(zé)信息安全管理工作。2、總部IT中心的信息安全管理員負(fù)責(zé)協(xié)調(diào)信息安全管理工作各分公司信息安全管理人員負(fù)責(zé)各自信息安全建設(shè)工作的實(shí)施，推動(dòng)各自信息安全各項(xiàng)工作開(kāi)展。3、信息安全管理人員在離崗時(shí)，應(yīng)由IT中心負(fù)責(zé)人指派專(zhuān)人接任信息安全管理工作接任信息安全管理人員應(yīng)及時(shí)終止離崗人員的訪問(wèn)權(quán)限并在交接后三個(gè)工作日內(nèi)修改相關(guān)安全系統(tǒng)口令密碼。第三十一條系統(tǒng)運(yùn)維安全管理，參照《荷馬有限公信息系統(tǒng)運(yùn)維管理辦法。第三十二條信息安全事件預(yù)防和處理1公司IT中心應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案和演練計(jì)劃，并組織進(jìn)行演練。2、總部及各分公司IT中心負(fù)責(zé)信息安全事件預(yù)防和處理工作。3人員進(jìn)行系統(tǒng)恢復(fù)重要信息系統(tǒng)整體癱瘓系統(tǒng)管理員立即報(bào)IT24小時(shí)內(nèi)無(wú)法恢復(fù)的，需要通知各相關(guān)部門(mén)并報(bào)分管領(lǐng)導(dǎo)。4進(jìn)措施并加以