《中国平煤神马集团信息安全管理办法》由会员分享,可在线阅读,更多相关《中国平煤神马集团信息安全管理办法(26页珍藏版)》请在金锄头文库上搜索。
1、平禹2013111 号关于转发中国平煤神马集团信息安全管理 办法(试行) 的通知公司各单位,机关各部室:现将中国平煤神马集团信息安全管理办法(试行)(中平2013188 号)转发给你们,望严格按照文件精神,认真贯彻执行。平禹煤电公司2013 年 5 月 9 日(电子公文)中平号关于印发中国平煤神马集团信息安全 管理办法(试行) 的通知基层各单位,机关各部门:中国平煤神马集团信息安全管理办法(试行)已经集团同意,现印发给你们,请认真贯彻执行。中国平煤神马集团2013 年 4 月 17 日(电子公文)中国平煤神马集团信息安全管理办法 (试 行)第一章第一章 总总 则则第一条第一条 为加强集团信息安
2、全管理,确保信息化建设快速、协调、有序、安全发展,根据国家有关法律法规以及中平能化集团信息化管理办法(中平2009337 号)等规定,特制定本办法。第二条第二条 本办法适用于集团各职能部室,直属和特设机构、专业化公司、事业部、区域公司及其所属各单位。第二章第二章 管理范管理范围围第三条第三条 本办法所称信息安全主要指:网络安全、环境安全、应用系统安全、数据安全、终端安全、操作安全、网络信息发布安全以及移动信息化安全等。第三章第三章 组织组织机构和工作机制机构和工作机制第四条第四条 集团信息化领导小组办公室(以下简称:集团信息办)负责按信息安全事件管理流程(详见附件 1)监督、检查、指导集团整体
3、信息安全管理工作,查处危害集团信息安全的事件;集团党委宣传部负责网络信息发布管理工作,对集团及所属各单位的网站设立及网络信息实施管理职能;计算机通讯分公司为技术管理部门,负责执行整体安全防范策略。第四章第四章 网网络络安全管理安全管理第五条第五条 集团及各单位网络要按照集团网络建设技术规范建设,集团骨干网络覆盖单位必须通过集团统一出口接入互联网,以发挥集团网络整体安全策略的作用,保障应用系统的无障碍运行环境。各机关处室和基层单位在进行互联网接入工作时,应遵循以下原则:(一)具备集团网络接入条件的,必须通过集团统一出口接入,不允许以其他任何形式接入互联网络。(二)暂时不具备接入条件的,向集团信息
4、办递交情况说明及接入申请,经集团信息办审核批准后,可通过其他方式接入互联网络。(三)已经接入集团网络但仍然私自接入其他网络出口的,一经发现,立刻中断其网络出口,并上报集团信息化领导小组,根据影响程度,做出相应处罚。第六条第六条 建立集团专用网络和涉密网络申报备案机制。集团级涉密网络和专用网络由集团相关处室信息化主管部门申报至集团信息办备案;单位级涉密网络和专用网络由各单位业务主管部门申报至单位信息办备案(备案表详见附件 2)。第七条第七条 涉密网络和专用网络不得以任何方式接入或连通其他网络,涉密信息不得在网络中传输与存储;如因特殊需要,必须接入其他网络的,应上报集团信息办审批通过后进行接入。第
5、八条第八条 无线网络作为办公网络的有效延伸,在集团日常办公中起到越来越大的作用。为了加强集团无线网络安全的管理,保障信息系统安全、稳定运行,无线设备接入集团办公网络时,应遵循以下原则:一一一 集团信息办负责集团整体无线网络安全的日常管理和监督工作;计算机通讯分公司负责机关各处室无线网络的开通及安全管理工作,基层各单位信息办负责本单位无线网络的开通及安全管理工作。一一一 计算机通讯分公司和基层各单位每月 5 日前将上月的无线设备使用情况上报至集团信息办登记备案(备案表详见附件 3)。一一一 无线网络设备要定期更改密码,至少每月变更一次,并做好变更记录。一一一 由于无线网络使用不当导致信息安全事件
6、的,将按照集团信息安全事件管理流程有关规定处理。第五章第五章 环环境安全管理境安全管理第九条第九条 集团信息机房及各单位信息机房要按照集团机房建设技术规范建设,应遵循统一建设、统一管理的原则。各级信息办作为主要责任部门,应保证信息机房的各项指标符合集团信息办发布的各项标准,并制定完善的机房管理制度。第十条第十条 各级业务系统要做到集中管理。集团级业务系统应统一放置在集团数据中心(集团信息机房),由计算机通讯分公司负责日常维护;单位级业务系统应统一放置在各单位数据中心(单位信息机房),由各单位信息管理部门负责日常维护。第十一条第十一条 外部人员未经允许不得随意出入信息机房,进入信息机房的人员和进
7、行的操作必须记录在案并留存 90 天以上,以备检查或追溯需要查询的操作。第六章第六章 应应用系用系统统安全管理安全管理第十二条第十二条 本办法所指应用系统特指集团及下属单位利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。包括集团各职能部室、各事业部、各基层单位应用于经营管理、安全生产、日常办公、工程设计、监测监控等各个领域运行的计算机信息系统(包括MIS 系统、办公自动化系统、CAD、CAM、CRM、SCM、MRP、ERP、电子商务、网站系统、组态以及其它业务应用系统)。第十三条第十三条 建立应用系统申报备案机制。集团级应用系统由集团相关处室信息化部门申报至集团信息
8、办备案;单位级应用系统由各单位业务主管部门申报至本单位信息化主管部门备案(备案表详见附件 4)。第十四条第十四条 由外部单位参与开发、改造的业务系统,业务主管部门需要与开发单位签订保密协议。第十五条第十五条 应用系统主管部门或单位对应用系统的使用负责,要配备专职或兼职的系统管理人员,并授权其进行系统设置、变更等操作,统一分配系统用户和管理用户权限。第十六条第十六条 任何单位或个人未经系统主管人员批准,不得对应用程序进行修改或删除。不得向非工作需要的人员泄露应用系统的系统环境、系统设置和用户密码等信息。第十七条第十七条 应用系统主管部门要建立系统级操作运行记录,应保存 90 天以上时段的日志,以
9、备检查或追溯需要查询的操作。第十八条第十八条 集团级应用系统和各单位使用的重要业务系统,必须建立灾难备份系统和应用系统安全应急预案,明确应急预案的激活条件和处理流程,按季度检查灾难备份系统的运行情况,并组织模拟演练。第十九条第十九条 建立应用系统安全评估机制。各业务主管部门按季度对所负责的应用系统进行安全评估,对应用系统的合规性进行检查;集团信息办每年对集团级业务系统和各单位使用的重要业务系统进行应用系统审计和风险评估。第二十条第二十条 集团信息办有权根据系统安全状况对运行中的设备或系统采取必要的强制管理措施,包括更改或限制服务器端口、限制网络带宽、中断网络连接、关闭停止运行等。第七章第七章
10、数据安全管理数据安全管理第二十一条第二十一条 数据是集团重要的资源,必须按照数据集中的要求,坚持技术与管理并重,确保集团信息系统数据的完整性、及时性和安全性。第二十二条第二十二条 业务主管部门对系统数据的真实性、准确性、及时性和完整性负责。第二十三条第二十三条 业务主管部门应指定专(兼)职人员,负责数据库的日常管理,做好数据库系统及其承载信息的安全保密工作。集团级业务系统的数据库由计算机通讯分公司集中维护;各单位负责的应用系统数据库,由各单位自行维护,亦可委托计算机通讯分公司维护,不得委托外部维护。第二十四条第二十四条 数据库专(兼)职管理人员应当接受集团认可的专门培训并备案管理,要管理好数据
11、库相关的系统文件、存储介质和数据资料,未经批准不得以任何形式将资料、介质带出机房或办公室。第二十五条第二十五条 数据库系统安装使用必须采取相应的技术措施,如不使用操作系统的共享服务,限制数据库服务器与前台服务器非业务通信等,防止病毒破坏和渗透攻击。第二十六条第二十六条 计算机通讯分公司负责保障集团数据中心数据库服务器、存储和备份设备的正常运行。需要集团统一存储和备份的数据,由所属业务部门根据不同类型数据量、更新频率、重要程度、保存时间,制定相应操作规范、备份和恢复方案。经集团信息办审批后,由计算机通讯分公司根据委托或合同内容提供相应的数据存储备份服务和技术支持。第二十七条第二十七条 关键业务数
12、据必须采用“双备份”原则,即:除数据中心存储设备备份外,应用管理该数据库的业务部门,要指定专人用不可更改介质作另行备份,以保证数据的安全完整,便于追溯系统历史操作和严重灾难恢复。第二十八条第二十八条 所有数据的输出必须经主管业务领导批准,任何单位和个人,不得对应用系统中处理或存储的数据进行修改或删除,不得将数据复制、打印、转借和删改。第二十九条第二十九条 对不执行数据安全管理规定,造成数据设备损坏、数据严重破坏、数据资料丢失和泄密的,要追究相关领导和当事人的责任。第八章第八章 终终端安全管理端安全管理第三十条第三十条 终端用户不得从事危害计算机网络安全的行为;严禁扫描访问非授权网络;不得非法对
13、计算机网络资源进行删除、修改或增加;不得制作、传播计算机病毒等破坏性程序;远程办公用户必须妥善保存网络登录帐号和密码,不得交由他人使用。第三十一条第三十一条 接入集团办公网络的电脑终端,在日常办公使用中必须遵循以下原则:一一一必须安装杀毒软件。一一一禁用 GUEST 账号、Internet 来宾账号等默认或不必要的账号;删除不必要的账号;更改默认管理员账号名称;账户锁定 3 次错误登录;账户锁定时间大于 20 分钟;复位账户锁定计数 20 分钟。一一一必须设定登录密码。登录密码长度最小值 6 位,必须包含数字、字母,密码最长留存期 90 天,强制密码历史 5 次。一一一设置屏幕保护时间小于 3
14、 分钟,并设定屏幕保护恢复时使用密码保护。第三十二条第三十二条 内网各网络终端要求 IP 地址绑定 MAC 地址或固定 IP 地址,并详细记录 IP 地址分配情况。通过代理接入网络的单位必须保留网内用户上网日志 60 天,以备追查非法网络访问行为和定位网络故障。第九章第九章 操作安全管理操作安全管理第三十三条第三十三条 业务主管部门要定期检查应用系统的运行情况,按照设备维护或系统运行要求进行必要处理,并及时填写系统维护记录,留存操作人员姓名、时间、内容、故障现象、处理手段等相关文档。第三十四条第三十四条 应用系统管理员应严格按照设定的权限操作,严禁越权操作,操作员应做好操作记录,并对自己用户名
15、下的所有操作负责。第三十五条第三十五条 系统安装完成后必须立即更改初始密码,使用的密码长度最小为 6 位,密码必须包含字母、数字,密码最长留存期 90 天,强制密码历史 5 次。应用系统登录用户名和超级用户密码,必须妥善保管不得泄漏。集团级业务系统和各单位的重要系统必须做到密码分段持有,操作时密码持有人必须同时在场。系统管理人员如有变动必须立即更改密码。第十章第十章 网网络络信息信息发发布安全管理布安全管理第三十六条第三十六条 凡涉及网络信息发布安全管理的,按照集团关于加强网络信息管理的规定(暂行)(平煤发20085 号)执行。第十一章第十一章 移移动动信息化安全管理信息化安全管理第三十七条第
16、三十七条 为了防止数据丢失和未经授权访问所带来的业务风险,集团信息办统一管理集团移动信息化平台,具体负责统一平台对外接口,与运营商洽谈系统及网络对接事宜。各机关处室和基层单位不得以任何形式私自建设移动信息化平台。第三十八条第三十八条 集团移动信息化平台建成之后,交由计算机通讯分公司运营。计算机通讯分公司在日常维护工作当中必须做到以下几点:(一)指定专职人员负责集团移动信息化平台的日常管理,做好平台及其承载信息的安全保密工作。(二)确保网络的安全性和可靠性,建立完善的网络日常监测及故障处理机制。(三)定期检查移动信息化平台的运行情况,按照设备维护或系统运行要求进行必要处理,并及时填写维护记录。(四)系统管理员应严格按照设定的权限操作,严禁越权操作,操作员应做好操作记录,并对自己用户名下的所有操作负责。(五)制定完善的操作规范和定期备份制度,并报集团信息办备案。系统管理员要按照制度要求定期进行数据备份,并做好备份执行记录。第
