<div id="ix56d"></div>

    <progress id="ix56d"><tr id="ix56d"></tr></progress>

    <div id="ix56d"></div>

    <div id="ix56d"><tr id="ix56d"></tr></div>

    <em id="ix56d"><ins id="ix56d"><mark id="ix56d"></mark></ins></em>

      <dl id="ix56d"></dl>

          <div id="ix56d"><ol id="ix56d"></ol></div>
          关闭

          关闭

          关闭

          封号提示

          内容

          首页 企业信息安全管理制度(试行)

          企业信息安全管理制度(试行).docx

          企业信息安全管理制度(试行)

          Jenny
          2019-01-04 0人阅读 0 0 0 暂无简介 举报

          简介:本文档为《企业信息安全管理制度(试行)docx》,可适用于工程科技领域

          XX公司信息安全管理制度(试行)第章总则第条为保证信息系统安全可靠稳定运行降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁结合公司实际特制定本制度。第条本制度适用于XX公司以及所属单位的信息系统安全管理。第章职责第条相关部门、单位职责:、信息?#34892;模ǎ?#36127;责组织和协调XX公司的信息系统安全管理工作()负责建立XX公司信息系统网络成员单位间的网络访问规则对公司本部信息系统网络终端的网络准入进行管理()负责对XX公司统一的两个互联网出口进行管理配置防火?#38477;?#20449;息安全设备会同保密处对公司本部互联网上网行为进行管理()对XX公司统一建设的信息系统制定专项运维管理办法明确信息系统安全管理要求界定两级单位信息安全管理责任()负责XX公司网络边界、网络拓扑等全局性的信息安全管理。、人力?#35797;?#37096;()负责人力?#35797;?#23433;全相关管理工作。()负责将信息安全策略培?#30340;?#20837;年度职工培训计划并组织实施。、各部门()负责本部门信息安全管理工作。()配合和协助业务主管部门完善相关制度建设落实日常管理工作。、所属各单位()负责组织和协调本单位信息安全管理工作。()对本单位建设的信息系统制定专项运维管理办法明确信息系统安全管理要求报XX公司信息?#34892;?#22791;案。第章信息安全策略的基本要求第条信息系统安全管理应遵循以下八个原则:、主要领导人负责原则、规范定?#23545;?#21017;、依法行政原则、以人为本原则、注重效费比原则、全面防范、突出重点原则、系统、动态原则、特殊安全管理原则。第条公司保密委应根据业务需求和相关法律法规组织制定公司信息安全策略经主管领导审批发布后对员工及相关方进行传达?#22242;?#35757;。第条制定信息安全策略时应充分考虑信息系统安全策略的ldquo七定rdquo要求即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第条信息安全策略主要包括以下内容:、信息网络与信息系统必须在建设过程中进行安全风险评估并根据评估结果制定安全策略、对已?#24230;?#36816;行且已建立安全体系的系统定期进行漏洞扫描?#21592;?#21450;时发现系统的安全漏洞、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究?#21592;?#21450;时发现系统的安全漏洞、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点及时调整安全策略、制定人力?#35797;礎?#29289;理环?#22330;?#35775;问控制、操作、备份、系统获取及维护、业务连续性?#30830;?#38754;的安全策略并实施。第条公司保密委每年应组织对信息安全策略的?#35270;?#24615;、充分性和?#34892;?#24615;进行评审必要时组织修订当公司的组织架构、生产经营模?#38477;确?#29983;重大变化时也应进行评审和修订。第条根据ldquo谁主管、谁负责rdquo的原则公司建立信息安全分?#23545;?#20219;制各层级落实信息系统安全责任。第章人力?#35797;?#23433;全管理第条信息系统相关岗位设置应满足以下要求:、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。、以上岗位人员调离必须办理交接手续所掌握的口令应立刻更换或注销该用户。第条人力?#35797;?#37096;在相关岗位任职要求中应包含信息安全管理的相关条件和要求将信息安全相关培?#30340;?#20837;年度职工培训计划并组织实施。第章信息系统物理和环境安全管理第条信息系统物理安全指为了保证信息系统安全可靠运行不致受到人为或自然因素的危害而对计算机设备、设施(包括机房建筑、供电、空调)、环?#22330;?#31995;统等采取?#23454;?#30340;安全措施。第条信息管理部门应采取切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行安全控制防止无关人员未授权物理访问、损坏和干扰。第条信息管理部门应加强对信息系统机?#32771;?#37197;线间的安全管理要求如下:、工作人员需经授权方能且只能进入?#34892;?#26426;房的授权工作区确因工作需要需进入非授权工作区时需由该授权工作区人员陪同做好机房出入登记(格式见附录)。、工作人员必须?#32454;?#25353;照规定操作未经批准不?#36152;?#36234;自己职权范围以外的操作操作结束时必须退出已进入的操作画面最后离开工作区域的人员应将门关闭。、非授权人员严禁操作?#34892;?#26426;房UPS、专用空调、监控、消防及UPS供配电设备设施。、未经授权任?#31283;?#21592;不得擅自拷贝数据和文件等资料。、严禁将易燃、易爆、强磁性物品带入?#34892;?#26426;房严禁在机房内吸烟。、发生意外情况应立即采取应急措施并及时向有关部门和领导报告。第章信息系统资产管理第条信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单(格式见附录)并定期对其进?#20449;?#28857;清查。第条设备使用人应对信息和信息系统设备设施、各类存储介?#23454;认?#20851;资产进行标识。标识应?#30424;?#22312;信息设备的明显位置做到信息完整、字迹清晰并做好防脱落防护工作。第条信息管理部门应对主机进行控制管理要求如下:、关键业务生产系统中的主机原则上应采用双机热备份方式或nm的多主机方式确保软件运行环境可靠、一般业务生产系统中的主机、生产用PC前置机关键设备可以采用软硬件配置完全相同的设备来实现冷备份、各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务?#30830;?#38754;的要求核心服务器、存储相应时间一般不高于小时。第条各相关部门应加强信息设备安装、调试、维护、维修、报?#31995;然方?#30340;管理工作防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。第章信息系统访问控制?#23433;?#20316;安全管理第条公司将系统运行安全按粒度从粗到细分为四个层?#21361;?#31995;统级安全、?#35797;?#35775;问安全、功能性安全、数据域安全。、系统级安全策略包括?#22909;?#24863;系统的隔离、访问地?#33539;?#30340;限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间?#25991;?#30331;录?#38382;?#30340;限制以及远程访问控制?#21462;?#31995;统级安全是应用系统的第一道防护大门。、?#35797;?#35775;问安全策略包括:对程序?#35797;?#30340;访问进行安全控制在客户端上为用户提供和其权限相关的用户界面仅出现和其权限相符的菜单和操作按钮在服务端则对URL程序?#35797;?#21644;业务服务类方法的调用进行访问控制。、功能性安全策略包括:功能性安全会对程序流程产生影响如用户在操作业务记录时是否需要审核上传附件不能超过指定大小?#21462;!?#25968;据域安全策略包括:一是行级数据域安全?#20174;?#25143;可以访问哪些业务记录一般以用户所在单位为条件进行过滤二?#20146;?#27573;级数据域安全?#20174;?#25143;可以访问业务记录的哪些字段。第条用户管理应建立用户身份识别与验证机制防止非法用户进入应用系统。具体要求如下:、公司按照相关的访问控制策略对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理?#30830;?#38754;进行访问控制的管理活动。、用户?#20405;?#29992;以登录、访问和控制计算机系统?#35797;?#30340;帐户。用户管理?#20405;?#23545;用户进行分层、授权的管理。用户由用户名加以区分由用户口令加以保护。按照计算机系统所承载的应用系统运行管理的需要将用户分为超级用户、授权用户、普通用户、匿名用户四类分别控制其权限。()超级用户。拥有对运行系统的主机、前置机、服务器、数据库、运行进程、系统配置、网络配置等进行察看、修改、添加、重启等权限并可对下级用户进行授权的用户。由系统管理岗位或网络管理岗位主管进行分配由系统管理员或网络管理员负责用户口令的日常管理。()授权用户。拥有由超级用户根据应用系统开发或运行维护的特殊需要经过岗位主管的审批将一些系统命令运行权限所授予的普通用户由授权用户负责用户口令的日常管理。()普通用户。应用系统开发或运行维护人员为应用系统一般监控、维护的需要由超级用户分配的一般用户这类用户仅拥有?#31508;?#29992;户访问权限的用户由用户负责口令的日常管理。()匿名用户。匿名用户用于向公司网络内所有用户提供相应服务这类用户一般仅拥有浏览权限无用户名及口令一般情况下只?#24066;?#25552;供如:标准、期刊等无安全要求的系统服务时使用匿名用户。、对用户以及权限的设定进行?#32454;?#31649;理用户权限的分配遵循ldquo最小特权rdquo原则。、口令是用户用以保护所访问计算机?#35797;?#26435;利不被他人冒用的基本控制手段。口令策略的应用与其被保护对象有关口令强度与口令所保护的?#35797;礎?#25968;据的价值或敏感度成正?#21462;#ǎ?#25152;?#24615;?#20844;司局域网网上运行的设备、计算机系统?#25353;?#26377;公司涉密数据的计算机设备都必须设置口令保护。()所有有权掌握口令的人员必须保证口令在产生、分配、存储、销毁过程中的安全性和机密性。()口令应至少要含有个字符应同时含有字母和?#20146;?#27597;字符口令。()口令设置不能和用户名或登?#27982;?#30456;同不能使用生日、人名、英文单?#23454;?#26131;被猜测、易被破解的口令如有可能采用机器随机生成口令。()口令使用期限由各个系统安全要求而定。()口令的使用期限和过期失效应尽可能由系统强制执行。()设备在启用时默认口令必须更改。第条系统运行安全检查是安全管理的常用工作方法也?#31363;?#38450;事?#30465;?#21457;现隐患、指导整改的必要工作手段。信息系统安全管理人员应做好系统运行安全检查与记录(格式见附录)。检查范围:、应用系统的访问控制检查。包括物理和逻辑访问控制是否按照规定的策略?#32479;?#24207;进行访问权限的增加、变更和取消用户权限的分配是否遵循ldquo最小特权rdquo原则。、应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。、应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统?#25351;?#26102;间?#21462;!?#24212;用系统能力检查。包括系统?#35797;?#28040;耗情况、系统交易速度和系统吞吐量?#21462;!?#24212;用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略?#32479;?#24207;进行访问和使用。、应用系统维护检查。维护性问题是否在规定的时间内解决是否正确地解决问题解决问题的过程是否?#34892;У取!?#24212;用系统的配置检查。检查应用系统的配置是否合理和?#23454;备?#37197;置组件是否发挥其应有的功能。、恶意代码的检查。是否存在恶意代码如病?#23613;?#26408;马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露?#21462;!?#26816;查出现异常时应进行记录非受控变化应及时报告以确定是否属于信息安全事件属于信息安全事件的应及时处理。第条信息管理部门应定期对重要系统、配置及应用进行备份。备份管理要求如下:、各系统应于投产前明确数据备份方法对数据备份和还原进行必要的测试并根据实?#35797;?#34892;需要及时调整每次调整应进行测试、对系统配置、网络配置和应用软件应进行备份。在发生变动时应及时备份、业务数据备份按照各生产系统备份计划的具体要求进行尽可能实现异地备份、集中管理的系统、设备数据的备份工作由所在单位的信息部门负责、备份介?#24335;?#25509;应?#32454;?#23653;行交接手续做好交接登记、介质存放地必须符?#25103;?#30423;、防火、防水、防鼠、防虫、?#26469;?#20197;及相应的洁净度、温湿度等要求。第章网络与通信安全管理第条信息化管理部门采取必要的技术手段和管理措施加强对网络和通信安全的管理保障公司内外信息传递安全。网络安全管理包含网络访问控制、安全机制、网络服务、网络隔离?#28982;?#26412;要求是:、定期对重要网络设备运行情况进行安全检查发现隐?#25216;?#26102;上报或整改并做好记录(格式见附录)。、定期备份重要网络和通信设备配置文件确保发生?#25910;?#26102;能及时?#25351;?#32593;络运行保证网络的可用性。第条加强内部网络安全管理具体要求如下:、网络机房分区应独立、封闭。、网络设备脱离生产环境前应清?#36134;?#26377;网络配置。、骨干网络设备应有备份接入网络设备原则上应按比例备份。、网络结?#36141;?#32593;络配置应最大限度地保证网络的健壮性、安全性。、企业网应根据需要划分不同的VLAN,并通过访问控制列表控制各VLAN的访问权限。、内部网络计算机未经批准不得安装网络探测软件?#32454;?#31105;止安装任何黑客软件。、生产网络和测试网络必须实行分离严禁在生产环境中做各种类型的业务测试。第条加强外联网络安全管理具体要求如下:、外联网络安全遵循最小权限原则访问控制策略是ldquo?#24066;?#24517;须禁止其他rdquo。、外联网络在穿过不可控区域时数据传输原则上应采用加密技术。、制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、端口、安全策略等秘密并注意了解对方网络结构及其变化情况。第条加强互联网安全管理具体要求如下:、互联网与内部网络必须有相关的逻辑隔离涉及国家秘密的信息不得通过互联网传输。、不得访问有关黑客网站不得下载、安装黑客软件。、公司员工访问互连网必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定不得利用国际互连网从事损害国家、公司及他人利益的活动。第章信息系统供应商安全管理第条公司对信息系统供应商实施安全管理。信息系统供应商包括设备类供应商、技术类供应商、咨询服务类供应商、或者是以上几类的?#25105;?#32452;合。第条信息系统实施过程中信息化管理部门应与供应商签订安全保密协议明确信息安全要求。第条信息化管理部门应对供应商服务全过程进行监视和控制。第章信息安全事件管理第条信息安全事件指导致信息资产丢失?#36864;?#22351;影响信息系统正常工作甚至业务中?#31995;?#20107;件。主要有:、信息系统软硬件?#25910;稀?#32593;络通信系统?#25910;稀?#26426;房供配电系统?#25910;稀?#31995;统感染计算机病?#23613;?#20449;息系统遭水灾、火灾、雷击、信息网络遭遇入侵或攻击、信息系统内的敏感数据失窃、泄露、信息设备损坏、滥用或失窃、信息被非法访问、使用?#25353;?#25913;、违背信息安全策略规定的其他事项。第条信息安全事件管理包括组织机构、职责和规程的建立信息安全事态及信息安全弱点的报告和评估信息安全事件的应急处理?#21462;!?#24314;立信息安全事件管理机?#36141;?#24212;急预案()公司信息安全事件管理机构包含:XX公司保密委负责领导信息安全事件管理工作各级信息化管理部门,负责处置信息安全事件信息安全事件响应小组(负责人)负责信息安全事件响应和应急处理。()信息化管理部门针对各类信息安全事件应分别制定相应的应急预案开展必要的知识、技能、意识等培训。适时组织相关人员开展应急演练。、开展信息安全事态及信息安全弱点报告和评?#39304;?#20449;息系统安全管理和维护人员应加强对网络信息系统日常检查维护了解外部信息安全变化充分掌握信息安全事态及时发现和消除危及系统安全的各类安全隐患。当发现险情时应立即报告信息安全事件处置责任部门。完成信息安全事件处理后应及时进行评估和改进避免再次发生并做好记录(格式见附录)。、信息安全事件应急处理要求如下:()当信息系统出现险情时维护人员和各级应?#26412;?#25588;人员应正确履行应急预案所赋的职责和执行信息安全事件处置责任部门下达的指令。()在发生网络与信息安全事件后信息化管理部门应尽最大可能迅速收集事件相关信息鉴别事件性质确定事件来源弄清事件范围和评估事件带来的影响?#36864;?#23475;。一旦确认为网络与信息安全事件后立即将事件上报信息安全领导小组并着手处置。()安全事件进行最初的应急处置以后应及时采取行动抑制其影响的进一步扩大限制潜在的损失与破?#20302;?#26102;要确保应急处置措施对涉及的相关业务影响最小。()安全事件被抑制之后通过对有关事件或行为的分析结果找出其根源明确相应的补救措施并彻底清除。()在确保安全事件解决后要及时清理系统、?#25351;?#25968;据、程序、服务?#25351;?#24037;作应避免出现误操作导致数据丢失。()信息安全事件发生时应及时向公司保密委汇报并及时报告处置工作进展情况。事件处置中要作好完整的过程记录保存各相关系统日?#23616;?#33267;处置工作结束。()系统?#25351;?#36816;行后信息管理部门应对事件造成的损失、事件处理流程和应急预案进行评?#39304;?#23545;响应流程、预案提出修改意见、总结事件处理的经验和教训撰写ldquo信息安全事件处理报告rdquo。同时确定是否需要上报该事件及其处理过程需要上报的应及时准备相关材料属于重大事件或存在违法犯罪行为的第一时间向公安机关网络监察部门报案。第章附则第条本文件所引用的文件见附录。第条本文件相关的名词解释见附录。第条本文件所使用的记录见附录。第条本文件由信息?#34892;?#36127;责解释。第条本文件为第次发布自下发之日起执行。附录:引用文件序号文件名?#21697;?#24067;单位岗?#36824;娣度?#21147;?#35797;?#37096;培训管理办法人力?#35797;?#37096;附录?#22909;?#35789;解释信息安全指可供利用并产生效益的企业经营活动过程中涉及?#38477;?#21508;种文字、数字、音像、图表、语言等一切信息的总称。附录?#21512;?#20851;记录信息安全策略(文件)XX信息系统运维管理办法(文字)信息系统检查表机房出入登记信息设备设施台帐安全保密协议(文字)各类信息安全事件应急预案(文字)附录:信息系统检查表KSECJTZDV-信息系统检查表检查项目检查人检查时间检查情况风险及异常情况发现风险及异常时填写处置?#25353;?#26045;风险及异常处置时填写mdashmdashmdashmdash附录:机房出入登记KSECJTZDV-机房出入登?#20999;?#26085;期进入时间离开时间姓名事由陪同人员批准备注附录:信息设备设施台帐KSECJTZDV-信息设备设施台?#24066;?#37096;门固定资产编号责?#31283;?#35774;备类型品牌型号硬盘序列号MAC地址使用情况启用时间备注文件更改状态一览表文件更改状态一览表版本号修改号编写审核批准发布修订日期

          用户评价(0)

          关闭

          新课改视野下建构高中语文教学实验成果报告(32KB)

          抱歉,积分不足下载失败,请稍后再试!

          提示

          试读已结束,如需要继续阅读或者下载,敬请购买!

          评分:

          /20

          ¥33.0

          立即购买

          意见
          反馈

          立即扫码关注

          爱问共享资料微信公众号

          返回
          顶部

          举报
          资料

          澳门银座时时彩平台

            <div id="ix56d"></div>

            <progress id="ix56d"><tr id="ix56d"></tr></progress>

            <div id="ix56d"></div>

            <div id="ix56d"><tr id="ix56d"></tr></div>

            <em id="ix56d"><ins id="ix56d"><mark id="ix56d"></mark></ins></em>

              <dl id="ix56d"></dl>

                  <div id="ix56d"><ol id="ix56d"></ol></div>

                    <div id="ix56d"></div>

                    <progress id="ix56d"><tr id="ix56d"></tr></progress>

                    <div id="ix56d"></div>

                    <div id="ix56d"><tr id="ix56d"></tr></div>

                    <em id="ix56d"><ins id="ix56d"><mark id="ix56d"></mark></ins></em>

                      <dl id="ix56d"></dl>

                          <div id="ix56d"><ol id="ix56d"></ol></div>